microsoft windows server 2003 полное руководство.pdf

MicrosoftW i n d o w sS e r v e r 2 0 0 3ПолноеруководствоКэти Айвеис т др.СП ЭКОММосква, 2004

ББК 32.97УДК 681.3К. АйвенсMicrosoft Windows Server 2003. Полное руководство./Пер. с англ., — М.: Издательство «СП ЭКОМ», 2004.— 896 с: ил.ISBN 5-9570-0026-4Эта книга поможет вам освоить архитектуру и средства Windows Server2003. Книга содержит множество практических решений и полностью охватываетвопросы установки, миграции, обслуживания систем, управления пользователямии многое другое. Рассматриваются: конфигурирование сетевых служб, управлениесредствами серверов, эффективное развертывание Active Directory.Независимо от уровня вашего опыта это квалифицированное руководство является,по существу, исчерпывающим источником, позволяющим понять и эффективноиспользовать Windows Server 2003.Copyright © 2003 by The McGraw-Hill Companies.© Русский перевод, Издательство «СП ЭКОМ», 2004ISBN 0-07-219484-7 (англ.)ISBN 5-9570-0026-4

ОглавлениеВведение 32Нужна ли вам эта книга? 32Глава 1. Введение в Windows Server 2003 33Версии Windows Server 2003 33Standard Edition 33Enterprise Edition 34Datacenter Edition 34Web Edition 34Совершенно новые средства Windows Server 2003! 34Новые средства удаленного администрирования 35Теперь RIS позволяет развертывать серверы 35Удаленный рабочий стол 35Удаленный помощник 35Управление автономными серверами (headless server) 39Новые возможности Active Directory 39Новые способы навигации и управления в Active Directory 39Сохраняемые запросы 40Разделы каталогов приложений 41Улучшения в репликации 42Переименование Active Directory и доменов 42Улучшения в уровнях готовности и надежности 42Автоматизированное восстановление системы 43Emergency Management Services 43Средство миграции состояния пользователей (USMT) 43Совместимость программ 43Служба теневой копии тома 44-Результирующий набор политики 45Глава 2. Установка 46Требования к оборудованию 46Список совместимости оборудования 46Симметричное мультипроцессорное оборудование 46Кластеризация оборудования 47Поддержка Plug and Play 48Вопросы ACPI 49Разработка плана развертывания 49Документирование оборудования 50Документирование сети 51Документирование программного обеспечения (ПО) 51Документирование унаследованных компонентов 51Подготовьтесь к возможным проблемам 52Выполнение предустановочных задач 52Отсоедините устройства ИБП от последовательного порта 53Знайте местоположение файлов на носителях установки Windows Server2003 .... 53Ознакомление с моделями установки 55Модернизация в сравнении с новой установкой 55Winnt.exeHWinnt32.exe 55

6 Windows Server 2003. Полное руководствоИспользование Winnt.exe 56Использование Winnt32.exe 57Установка с компакт-диска 59Загрузка с CD Windows Server 2003 59Запуск Setup.exe с CD-ROM 59Установка с загрузочной дискеты MS-DOS 59Использование сетевых точек разделяемого доступа для установки 60Использование скриптов входа и пакетных файлов 61Автоматизированные установки 61Выбор типа автоматизированной установки 61Несопровождаемая установка 65Создание дистрибутивной папки 66Применение пакетов обновления (Service Pack) 66Применение драйверов контроллеров ЗУ большой емкости 67Применение обновленных драйверов Plug and Play 67Создание файла UNATTEND.TXT 68Запуск несопровождаемой установки 68SYSPREP 68Подготовка эталонного образа 69Выполнение установки 71Установка SYSPREP на эталонном компьютере 71Создание Sysprep.inf 72Исключение взаимодействия с пользователем 74Задание альтернативных контроллеров ЗУ большой емкости 75Корректировка размеров дисковых разделов 76Запуск программ после завершения работы SYSPREP 76Клонирование эталонного изображения в файл 80Восстановление эталонного образа на целевой компьютер 80Запуск этапа Mini-Setup 80Выполнение SYSPREP в режиме Factory Mode 81RIS (Remote Installation Services) 81Требования к RIS 82Установка сервера RIS 82Управление серверами RIS 84Управление доступом к службам RIS 86Предварительная подготовка компьютеров в Active Directory 87Задание полномочий доступа к образу 87Создание «плоских» образов RIS 88Использование RIPrep-образов RIS 88Установка образов RIS на клиентских компьютерах 90Глава 3. Основы работы системы для серверов 91Средства Manage Your Server 91Мастера Configure Your Server Wizard 91File Server (Файловый сервер) 92Print Server (Сервер печати) 94Application Server (Сервер приложений) 94Mail Server (Почтовый сервер) 95Terminal Server (Терминальный сервер) 95Remote Access/VPN Server (Сервер дистанционного доступа/виртуальных частных сетей) 95Domain Controller (Контроллер домена) 96

ОглавлениеDNS Server (Сервер DNS) 96DHCP Server (Сервер DHCP) 96Streaming Media Server (Сервер потоковой медиа-информации) 96WINS Server (Сервер WINS) 96Удаление ролей серверов 97Журнал Configure Your Server 98Задание ролей серверов вручную 98Remote Desktop (Удаленный рабочий стол) 99Активизация Remote Desktop на сервере 99Клиентское ПО для дистанционного подключения 102Установка клиентского ПО для дистанционного подключенияна компьютерах с предыдущими версиями Windows 102Конфигурирование дополнительных параметровдистанционного подключения 103Запуск сеанса Remote Desktop 105Работа в сеансе Remote Desktop 107Печать 107Перемещение данных между компьютерами 108Выход из сеанса Remote Desktop 108Управление подключениями с сервера 109Присоединение к консольному сеансуПОИспользование оснастки для Remote DesktopIllИзменения в IIS 112Использование версии Web Edition для IIS 113Установка IIS 113Предотвращение установки IIS 114Активация 115Требуется ли вам активация вашей копии? 115Как действует активация 115Активация вашей установки 116Активация через интернет 116Активация по телефону 116Активация после допустимого периода 117Средства совместимости программного обеспечения 117Тестирование совместимости с помощью мастера 118Совместимость с версией 119Совместимость при выводе на экран 119Полномочия доступа 119Тестирование ваших настроек совместимости 120Задание опций совместимости вручную 121Глава 4. Реестр Windows Server 2003 122Обзор реестра 122Структура реестра 125Ульи и файлы ульев 125Элементы данных реестра 126Имя записи 126Типы данных записи 126HKEY_CLASSES_ROOT 128Регистрация классов на уровне пользователя 128Данные HKEY_CLASSES_ROOT 129HKEY CURRENT USER 131

8 Windows Server 2003. Полное руководствоПрофили пользователей 131Данные HKEY_CURRENT_USER 133HKEY_LOCAL_MACHINE 137HKLM\Hardware 137HKLM\SAM 137HKLM\Security 137HKLM\Software 137HKLM\System 138HKEY_USERS 138HKEY_CURRENT_CONFIG 138Regedit.exe 138Как заставить Regedit не отображать последнийиз использовавшихся разделов 138Дистанционный доступ к реестрам 139Поиск в реестре 141Создание списка Favorites 141Настройка и устранение проблем с помощью реестра 142Экспорт разделов 142Добавление элементов в реестр 144Удаление элементов реестра 144Изменение значений элементов реестра 144Использование файлов регистрации 145Архитектура .reg-файла 145Слияние файла регистрации с реестром 146Пример файла регистрации 147Удаление элементов реестра с помощью .reg-файла 148Средства безопасности для реестра 148Описание полномочий 148Работа с полномочиями 149Добавление пользователей или групп в список полномочий 150Задание специальных полномочий 150Изменение владельца раздела 151Аудитреестра 152Включение аудита 152Задание опций аудита в реестре 154Просмотр журнала аудита 155Reg.exe 155Общие указания по работе с Reg.exe 155RegAdd 156Reg Delete 157Reg Copy 157RegCompare 157Reg Export 158Reg Import 158Reg Save 158RegRestore 159Reg Load 159Reg Unload 159Reg Query 160RegMon 160

Оглавление 9Глава 5. Загрузка 161Загрузка оборудования 161POST (этап самотестирования) 162Ошибки памяти 163Ошибки диска 163Ошибки SCSI 164Загрузка операционной системы 164Исполняемый код MBR 165Исполняемые файлы загрузки Windows Server 2003 166Меню выбора загружаемой операционной системы 166Запуск Ntdetect 167Запуск Ntoskrnl и загрузка HAL 167Загрузка драйверов и служб 167Загрузка операционной системы 168Вход компьютера в домен 168Изменение настроек паролей компьютеров для доменови организационных единиц 169Политики для рядовых компьютеров 171Политика для контроллера домена 172Задание политик паролей для отдельных компьютеров 172Загрузка служб входа 173О файле Boot.ini 173Содержимое Boot.ini 173ARC-путь для компьютеров х86 175Синтаксис multi() 175Синтаксис scsi() 176Синтаксис signature() 177Поправки в Boot.ini 177Изменение длительности тайм-аута 177Как сделать, чтобы меню появлялось на экране 178napaMeTpbiBoot.ini 178Скрытие меню вариантов загрузки 180Меню Advanced Options (Меню дополнительных вариантов загрузки) 181Safe Mode (Безопасный режим) 182Enable Boot Logging (Активизировать журнал загрузки) 182Enable VGA Mode (Включить режим VGA) 183Last Known Good Configuration (Загрузка последней удачной конфигурации) ..183Изменения в реестре после использования вариантаLast Known Good Configuration 184Directory Services Restore Mode (Режим восстановления служб каталога) 185Debugging Mode (Отладочный режим) 185Создание загрузочной дискеты 185Создание загрузочной дискеты из вашей собственной системы 185Создание загрузочной дискеты на другом компьютере Windows Server 2003 186Создание загрузочной дискеты на компьютере,работающем под управлением другой версии Windows 186Создание «быстрого» файла Boot.ini 187Глава 6. Интерфейс пользователя Windows Server 2003 188Первая загрузка 188Первый вход 188Присоединение к домену 188

10 Windows Server 2003. Полное руководствоИнтерфейс, используемый для локальных или доменных имен входа 189Окно Manage Your Server 189Настройки видео 190Рабочий стол 190Включение службы Themes 191Переход на другие темы 191Изменение тем 191Удалениетем 192Меню Start 192Левая панель меню Start 193Закрепление программ в меню Start 193Список часто используемых программ 193Правая панель меню Start 194Включение классического меню Start 195Панельзадач 195Область уведомлений 196Добавление значкадля сетевого адаптера 196Управление областью уведомлений 197Группирование кнопок панели задач 197Закрепление панели задач 198Панели инструментов панели задач 198Поведение папок и виды их представления 199Первоначальное поведение папок 199Просмотр папок и файлов 200Выводите расширения имен файлов, чтобы избежать опасности 201Соответствия для типов файлов 202Службы Help and Support 202Использование указателя 202Поиск разделов 204Работа со справочными страницами 205Настройка справочной системы 205Изменение опций HSC 206Настройка функции Search 206Установка и разделяемое использование справочных файлов 206Глава 7. Командная строка 207Приемы и тонкости использования командной строки 207Поиск элемента меню Command Prompt 207Быстрый доступ к командной строке из графического интерфейса 207Клавиатурные сокращения, используемые при вводе команд 208Использование doskey для повторного вызова и редактирования команд 209Окно командной строки 210Изменение свойств окна командной строки 210Вкладка Options (Параметры) 211Вкладка Font (Шрифт) 212Вкладка Layout (Расположение) 213Вкладка Colors (Цвета) 213Копирование и вставка в окне командной строки 214Расширения команд 214Команды с расширениями 215Отключение расширений команд 215Отключение расширений команд на один сеанс командного процессора .... 215

ОглавлениеЛЛ_Отключение расширений команд на постоянной основе 215Порядок применения различающихся настроек для расширений команд 216Автоматическое завершение имен папок и файлов 216Включение средства завершения имен папоки файлов для одного командного сеанса 216Включение средства завершения имен папоки файлов на постоянной основе 216Включение средства завершения имен папок и файлов для компьютера 217Включение средства завершения имен папок и файловдля текущего пользователя 217Выбор управляющего символа 217Завершение имен папок и завершение имен файлов 217Символы подстановки 218Команды Windows Server 2003 218Команды, не поддерживаемые в Windows Server 2003 218Команды, не поддерживаемые в Enterprise Server или Datacenter Server 220Команды, которые изменились 220Спер 221Бе1или Erase 221Dir 221Diskcopy 222Format 222Label 223More 223Prompt 223Xcopy 223Использование UNC-пути в командной строке 224Просмотр и управление файлами с помощью UNC-пути 224Использование команд Pushd и Popdдля доступа к удаленным компьютерам 224Pushd и Net use 225Использование команды Subst для локальных виртуальных дисков 226Справки по командам 227Глава 8. Средства обслуживания системы 228Дефрагментация 228Оснастка Disk Defragmenter 229Анализ диска 229Дефрагментация диска 231Ограничения Disk Defragmenter 231Defiag.exe 232Устранение проблем дефрагментации 233Некоторые системные файлы никогда не дефрагментируются 233Дефрагментация системного файла подкачки страниц 233Недостаточный объем свободного пространства ухудшаетдефрагментацию 234Зарезервированные области диска в NTFS 235Оптимизация производительности дефрагментатора диска 236Программа Scheduled Tasks 236Файл выполнения Scheduled Tasks 236Использование мастера создания заданий Scheduled Task Wizard 237Создание назначенного задания вручную 238

12 Windows Server 2003. Полное руководствоВкладка Task (Задание) 239Вкладка Schedule (Расписание) 239Вкладка Settings (Параметры) 240Вкладка Security (Безопасность) 241Изменение или удаление назначенных заданий 242Запуск и остановка назначенных заданий 242Просмотр состояния назначенных заданий 242Глобальные опции для назначенных заданий 243Работа с заданиями на удаленных компьютерах 244Папка Scheduled Tasks и папка Tasks 244Просмотр заданий на удаленном компьютере 245Передача заданий на удаленные компьютеры 245Отправка и получение заданий с помощью электронной почты 245АГехе 246Schtasks.exe 247Создание заданий с помощью Schtasks.exe 247Управление существующими заданиями с помощью Schtasks.exe 249Запрос информации задания 249Удаление заданий 249Disk Cleanup (Очистка диска) 250Запуск Disk Cleanup 250Определение того, что можно удалить 250Сжатие старых файлов 251Дополнительные опции для Disk Cleanup 251Использование Cleanmgr.exe 252System Information 252Перемещение в окне System Information 253Сохранение данных о системе в файле 254Экспорт данных о системе 254Запуск системных средств из окна System Information 254Подсоединение к удаленному компьютеру 255Использование Msinfo32.exe 255Подкатегории для Hardware Resources 256Подкатегории для Components 256Подкатегории для Software Environment 257Start /wait msinfo32.exe 257Оснастка Local Computer Management (Управление локальным компьютером).. 257Дерево System Tools 258Оснастка Shared Folders (Разделяемые папки) 261Local Users and Groups (Локальные пользователи и группы) 264Performance Logs and Alerts (Журналы производительностии оповещения) 267Device Manager (Диспетчер устройств) 267Storage 269Removable Storage (Съемные ЗУ) 269Оснастка Disk Management (Управление дисками) 276Оснастка Services and Applications (Службы и приложения) 278Глава 9. Печать 280Новые возможности печати 280Основы печати 281Процессы печати 281

Оглавление 13Создание выходного файла 281Обработка выходного файла 282Маршрутизация задания печати 282Отправка задания печати 282Компоненты печати 282Спулер 283Файлы спулинга 284Драйверы принтеров 284Графические драйверы 285Драйверы интерфейса принтера 285Файлы характеристик принтера 285Процессор печати Windows Server 2003 286Другие процессоры печати 286Маршрутизатор печати 287Мониторы печати 288Локальный монитор печати 289Монитор стандартных портов 289Монитор печати Macintosh 291Мониторы печати LPR 293Мониторы печати от сторонних поставщиков 295Мониторы языков 295Провайдеры печати 295Провайдер локальной печати 295Провайдеры дистанционной печати 296Установка локальных принтеров 296Установка принтера Plug and Play 296Установка принтеров вручную 297Что делать, если не представлена модель принтера 298Использование драйверов от изготовителя 298Установка USB-принтеров и IEEE-принтеров 298Установка принтеров с инфракрасной связью 298Установка готового для работы в сети принтера 299Предоставление принтеров для разделяемого использования 300Задание разделяемого доступа к принтеру 300Задание полномочий доступа к принтеру 301Аудит доступа к принтеру 303Включение аудита для компьютера 303Конфигурирование принтера для аудита 305Добавление драйверов для других версий Windows 307Использование средства Printer Location Tracking(Отслеживание местоположения принтера) 308Требования средства Printer Location Tracking 308Требования к именованию местоположения принтера 308Активизация средства Printer Location Tracking 309Установка удаленных принтеров 310Подсоединение к удаленным принтерам 310Поиск в Active Directory 310Ввод критериев поиска 311Сортировка и фильтрация результатов поиска 312Сохранение информации поиска 313Поиск в сети 314

14 Windows Server 2003. Полное руководствоПланирование развертывания принтеров 314Взаимно-однозначное соответствие виртуальныхи физических принтеров 314Пулы принтеров 314Зависимость «многие к одному» между виртуальными принтерамии физическим принтером 315Конфигурирование серверов печати 317Формы для сервера печати 317Порты сервера печати 317Драйверы сервера печати 318Опции для спулера сервера печати 318Конфигурирование принтеров 319Диалоговое окно Printing Preferences (Настройки печати по умолчанию) 320Диалоговое окно свойств принтера 321Общая информация о принтере 321Страницы-разделители 321Планирование времени доступа к принтеру 322Задание приоритетов по умолчанию для документов 322Задание опций спулинга 323Вкладка Color Management (Управление цветом) 325Обзор возможностей Color Management 326Администрирование принтеров 327Управление удаленными принтерами 327Перенаправлениие заданий печати 327Управление заданиями печати в очереди 328Вывод данных печати в файл 328Печать из DOS 329Глава 10. Работа в сети с использованием TCP/IP 330Обзор TCP/IP 330Использование TCP/IP в разработках Microsoft 331Улучшения в TCP/IP Windows Server 2003 332IGMP\fersion3 332Альтернативная конфигурация 332Отключение «NetBIOS over TCP/IP» 333Автоматическое определение метрики маршрутизации 334Автоматическое конфигурирование частных адресов 335Поддержка новых стандартов TCP/IP 336Поддержка больших окон TCP/IP 336Поддержка выборочных подтверждений 336Поддержка улучшений в оценке времени на передачуи подтверждение приема 337Поддержка обнаружения маршрутизаторов с помощью ICMP 337Поддержка IP Version 6 338Улучшения в TCP/IP 339TCP/IP и сетевая модель Windows Server 2003 340Стек протоколов TCP/IP 341Уровень сетевого доступа (Network Access) 342ARP 342Сетевой уровень (Network Layer) 343Маршрутизация IP 343Заголовок IP 344

Оглавление 15Транспортный уровень (Transport Layer) 346TCP (Transport Control Protocol) 346Заголовок TCP 346Анатомия сеанса TCP 348Протокол UDP (User Datagram Protocol) 348Прикладной уровень (Application Layer) 349Установка и конфигурирование TCP/IP 350IP-адрес 351Маска подсети 351Типы IP-адресов 352Понятие подсети 353Шлюз по умолчанию 354Расширенная IP-адресация 354Предпочтительные и альтернативные серверы DNS 354Понятие о регистрации и разрешении имен 355Использование файла HOSTS 356Использование системы доменных имен (DNS) 356HMeHaNetBIOS 357Типыузлов 358Регистрация имен NetBIOS 359Регистрация имен с помощью широковещательных сообщений 359Регистрация имен с помощью WINS 360Разрешение имен NetBIOS 360Разрешение имен с помощью широковещательных сообщений 362OatoLMHOSTS 362Когда следует прекратить использование NetBIOS 364Инструментальные средства TCP/IP 364Ping 364Tracert 366Pathping 367Ipconfig 367Netstat 368ARP 369Route 370Nbstat 371Глава 11. DHCP и IP-адресация 373Открытые IP-адреса 373Частные IP-адреса 374Ознакомление с DHCP 374HCTOKHDHCP 374Выделение IP-адресов 375Другие возможности DHCP 376Новые возможности для DHCP в Windows Server 2003 377Автоматическое конфигурирование клиентов 377Отключение автоматического конфигурирования клиента 377Обнаружение и предотвращение работынеавторизованных серверов DHCP 378Обмен информацией с DHCP 379Согласование аренды 380Обновление аренды 381Запуск сервера Microsoft DHCP 381

16 Windows Server 2003. Полное руководствоКонфигурирование клиента для использования DHCP 382Конфигурирование сервера DHCP 383DHCP и разрешение имен 385DHCPHDNS 385DHCPHWINS 386Глава 12. Ознакомление с DNS 387Введение в DNS (Domain Name System) 387Как это начиналось 388Разрешение имен в целом 388Домены 390FQDN (Полностью уточненное доменное имя) 391Зоны 391Первичная зона 391Вторичная зона 392Зона, интегрированная с Active Directory 392Фиктивная (Stub) зона 392Делегирование 392Записи 393Пересылка/Репликация зон 394Файлы 395DNS Windows Server 2003 395Записи реестра клиентской стороны 398Динамическое обновление (Dynamic Update) 398Список поиска суффиксов DNS (DNS Suffix Search List) 398Передача первичного суффикса DNS (Primary DNS Suffix Devolution) 399Регистрация PTR-записи (Register PTR Record) 399Интервал обновления регистрации (Registration Refresh Interval) 399Замена адресов в конфликтах (Replace Addresses in Conflicts) 400Регистрация записей DNS с помощью суффикса DNSдля конкретного соединения (Register DNS Records withConnection-Specific DNS Suffix) 400Задание TTL (Срок действия) в А- и PTR-записях(TTL Set in the A and PTR Records) 400Уровень защиты обновлений (Update Security Level) 401Обновление зон доменов верхнего уровня(Update Тор-Level Domain Zones) 401Базовая поддержка для DNSSEC (RFC 2535) 401Записи расширения для DNS (EDNSO) 402Ведение журналов DNS 402Средства DNS 403NSLOOKUP 403IPCONFIG 403PING 403DNSCMD 403NETDIAG 404RENDOM 404DNSlint 404Установка DNS 404Установка DNS вручную 405Установка DNS с помощью мастера Manage Your Server Wizard 405Задание зоны прямого поиска 406

Оглавление 17Тестирование: давайте посмотрим, как это работает 407Параметры безопасности 407Интеграция с DHCP 407Документы RFC 407Draft-документы интернет для DNS 408Другие спецификации для DNS 408WINS 408HMeHaNetBIOS 409LMHOSTS 411Типы разрешения 411Регистрация, обновление и освобождение имен 411Процесс разрешения имени 412Репликация базы данных 412Автоматическая репликация 413Автоматическое резервное копирование 414Глава 13. Служба RRAS (Routing and Remote Access Service) 415Изменения в RRAS для Windows Server 2003 415Обзор IP-маршрутизации 416Алгоритмы маршрутизации 418Статическая маршрутизация 418Динамическая маршрутизация 419Маршрутизация с коммутируемым соединениемпо требованию (demand-dial routing) 420Протоколы маршрутизации 420Маршрутизируемые протоколы и протоколы маршрутизации 420RIP 421OSPF 422Основы работы службы RRAS (Routing and Remote Access Service) 423Дистанционные соединения и дистанционное управление 424Сетевые протоколы 425TCP/IP 426IPX/SPX 427NetBEUI 428AppleTalk 428Протоколы доступа 428PPP(Point-to-Point Protocol) 429РРТР (Point-to-Point Tunneling Protocol) 429L2TP (Layer Two Tunneling Protocol) 431SLIP (Serial Line Internet Protocol) 432Методы доступа 432Аналоговые соединения 432ISDN (Integrated Services Digital Network) 433X.25 433ADSL (Asymmetric Digital Subscriber Line) 434ATM (Asynchronous Transfer Mode) 434ICS (Internet Connection Sharing) 435Защита соединений RRAS 436Методы аутентификации 436EAP 437CHAP 438SPAP 438

18 Windows Server 2003. Полное руководствоPAP 439Неаутентифицированный доступ 439Ответный вызов (Callback) 439Идентификация вызова (Caller ID) 439Основы виртуальных частных сетей (VPN) 439Аутентификация 440Туннелирование 440Шифрование 441МРРЕ 442IPSec 442Вопросы реализации VPN 442Выбор варианта реализации VPN 443Установка RRAS 443Включение RRAS 444Конфигурирование RRAS 444Конфигурирование варианта Remote Access (Dial-up or VPN)[Дистанционный доступ (Коммутируемый доступ или VPN)] 445Конфигурирование маршрутизатора с NAT (Network Address Translation) 447Создание интерфейса с коммутируемым соединениемпо требованию 450Конфигурирование VPN-доступа и NAT 451Конфигурирование варианта Secure Connection Between Two PrivateNetworks (Защищенное соединение между двумя частными сетями) 453Конфигурирование нестандартной конфигурации RRAS 454Конфигурирование ICS (Internet Connection Sharing) 455Конфигурирование клиентов RRAS 458Клиент Windows 2000 458Клиент Windows XP 459Задание настроек безопасности для соединения 460Конфигурирование политик дистанционного доступа 460Конфигурирование нестандартной политики дистанционного доступа 462Мастер Remote Access Policy Wizard: использование типичнойполитики для общераспространенного сценария 463Редактирование политики дистанционного доступа 465Управление и устранение проблем RRAS 466Управление несколькими серверами RRAS 466Мониторинг соединений 467Просмотр таблиц маршрутизации 468Добавление статических маршрутов 468Ведение журнала событий 469Куда делись мои опции? 471RRAS и 64-битные версии Windows Server 2003 471Глава 14. Сетевые службы клиентов 472Сетевые службы для клиентов Windows 472Client for Microsoft Networks 472File and Printer Sharing for Microsoft Networks 473Служба Browser 474Службы для Novell NetWare 475Взаимодействие компьютеров Windows в сравнениис компьютерами NetWare 475NWLink 476

Оглавление 19Установка NWLink 476Конфигурирование NWLink 477Client Service for NetWare (CSNW) 478Установка Client Service for NetWare (CSNW) 479Конфигурирование Client Service for NetWare 479Services for NetWare 479Microsoft Directory Synchronization Services (MSDSS) 480File Migration Utility (FMU) 480File and Print Services for NetWare (FPNW) 480Services for Macintosh (SFM) 481Сетевые протоколы Macintosh 481Арр1еТа1киАрр1е File Protocol overTCP/IP 481Маршрутизация AppleTalk 482Исходные маршрутизаторы 483Зоны 483Конфигурирование маршрутизации и зон 483Дистанционный доступ 485Аутентификация клиентов Macintosh 485File Services for Macintosh 487Print Services for Macintosh 489Создание доступного для Macintosh принтера 490Службы интеграции с UNIX 491POSK 491Print Services for UNIX 491Установка Print Services for UNIX 491Создание доступного для UNIX принтера 492Использование Print Services for UNIX с принтерами Windows 493Соединения с сетью UNIX 493Telnet 494Сервер Telnet 494HyperTerminal взамен графического клиента Telnet 495Безопасность Telnet 497Tlntadmn.exe 498Глава 15. Файловые системы и функции 499FATandFAT32 499NTFS 500Главная таблица файлов (Master File Table) NTFS 501Фрагментация NTFS 503Сжатие NTFS 505Модернизация в файловую систему NTFS 507Выбор нужной файловой системы 507Преобразование в NTFS 508Форматирование тома для NTFS 510Форматирование тома с помощью оснастки Disk Management 510Форматирование тома с помощью Format.com 510Полномочия NTFS 511Полномочия NTFS и полномочия для разделяемых ресурсов 511Полномочия по умолчанию 512Наследуемые полномочия 514Явно определяемые полномочия и наследуемые полномочия 515Удаление наследования из родительского объекта 515

20 Windows Server 2003. Полное руководствоИзменение наследуемых полномочий для дочернего объекта 515Коррекция полномочий ! 517Создание группы безопасности для настраиваемых полномочий 517Добавление группы к объекту и задание полномочий 518Действующие полномочия (Effective Permissions) 519Учет значения Deny для полномочий 519Глава 16. Управление файлами и дисками 520Распределенная файловая система DFS (Distributed File System) 520В каких случаях использовать DFS? 520Терминология DFS 521Автономная DFS и доменная DFS 522Автономная DFS 522Доменная DFS 522Создание корня DFS 522Создание автономного корня DFS 523Создание доменного корня DFS 524Добавление ссылки к корню 526Отображение букв накопителей на корень для пользователей 528Управление DFS 528Реплики DFS 528Теневые копии разделяемых папок 529Активизация теневых копий 529Конфигурирование теневых копий 530Конфигурирование области хранения 530Конфигурирование расписания 531Отключение средства создания теневых копий 532Установка клиентского ПО для создания теневых копий 532Доступ к предыдущим версиям файлов 533Работа с версиями 533Работа с отдельными файлами 535Дисковые квоты 536Требования по дисковым квотам 536Сжатие файлов и дисковые квоты 536Метаданные и дисковые квоты 537Структуры томов и дисковые квоты 537Вопросы модернизации 537Планирование квот по умолчанию 537Активизация и применение квот 538Активизация дисковых квот 538Запрещение доступа, если достигнут предел квоты 538Задание квот по умолчанию 539Задание опций для журнала событий 539Задание индивидуальных квот 539Удаление записей квот пользователей 540Отчеты о квотах 541Перемещение записей квот на другой том 541Служба Remote Storage (Внешнее хранилище) 542Краткий обзор RSS 542Установка службы RSS 543Установка компонента RSS 543Установка службы RSS 543

Оглавление 21Корректировка настроек RSS 544Расписание копирования файлов 544Копирование файлов вручную 544Настройки для свободного пространства 544Освобождение пространства на томе вручную 544Критерии выбора файлов 545Копии носителей 545Проверка хранящихся файлов 546Использование файлов, управляемых службой RSS 546Резервные копии RSS 547Удаление RSS 547Служба Removable Storage Management (Управление съемными ЗУ) 548Конфигурирование Removable Storage 548Библиотеки 549Автоматизированные библиотеки 549Автономные библиотеки 549Получение описи автоматизированной библиотеки 549Пулы носителей 550Пулы неопознанных носителей 551Пулы свободных носителей 551Пулы импортированных носителей 551Идентификация носителей 551Идентификация на носителях 551Идентификация с помощью штрих-кода 551Форматы носителей 552Состояния носителей 552Управление пулами носителей 553Создание и конфигурирование пула носителей 553Удаление пула носителей 554Управление носителями 555Перемещение носителя в другой пул носителей 555Очистка библиотек 555Управление рабочей очередью (Work Queue) 555Просмотр рабочей очереди 556Отмена или удаление заданий из рабочей очереди 556Управление запросами для оператора 556Приемы и советы по работе с RSM 557Глава 17. Безопасность Windows Server 2003 558Аутентификация Windows Server 2003 558Аутентификация NTLM 558Аутентификация NTLM для telnet 559Обзор Kerberos 559Реализация Kerberos в Windows Server 2003 560Реализация смарт-карт 561Инфраструктура открытых ключей и аутентификация Windows Server 2003 561Шаблоны сертификатов 562Защита данных с помощью EFS (Encrypting File System) Windows Server2003 563Вопросы администрирования, связанные с EFS 564Использование системного ключа (SYSKEY) 566Использование SYSKEY в домене , 568Защищенные паролем заставки 568

22 Windows Server 2003. Полное руководствоIPSec (Internet Protocol Security) 570Оснастка IPSec Monitor 573Локальные политики безопасности 574Локальные политики безопасности для учетных записей 574Политики блокировки учетных записей 575Локальные политики 576Реализация аудита 578Выявление проникновений в систему безопасности путем аудита журналов... 581Защита журналов событий 582Доверительные отношения между доменами 583Управление корректировками ПО 585Microsoft Network Security Hotfix Checker (HFNETCHK) 585Microsoft Baseline Security Analyzer (MBSA) 586Возможности сканирования MBSA 587Контрольный список 589Глава 18. Контроллеры доменов 590Создание нового домена 590Планирование развертывания контроллеров домена (DC) 591Установка Active Directory 591Active Directory и DNS 591Установка первого контроллера домена (DC) в новом домене 592Установка других контроллеров домена (DC) в новом домене 593Создание дополнительных контроллеров домена (DC)путем восстановления из резервной копии 594Резервное копирование состояния системы 594Восстановление состояния системы на целевом компьютере 595Запуск DC Promo 595Модернизация доменов Windows 2000 596Подготовка леса и домена 597Модернизация леса 597Модернизация домена 598Модернизация контроллеров домена (DC) Windows 2000 598Модернизация доменов Windows NT 4 598Решения по установке DNS 599Функциональные уровни домена и леса 599Функциональные уровни домена 600Функциональные уровни леса 600Модернизация контроллеров домена (DC) 601Модернизация основного контроллера домена (PDC) 601Модернизация резервных контроллеров домена (BDC) 601Описание ролей контроллера домена (DC) 602Репликация как повод для ролей 602Назначение ролей 603Хозяин схемы 603Установка оснастки Schema (Схема) 604Загрузка оснастки Schema в консоли ММС 604Передача роли хозяина схемы другому контроллеру домена (DC) 605Хозяин именования доменов 606Передача роли хозяина именования доменов с помощьютекущего обладателя этой роли 606

Оглавление 23Передача роли хозяина именования доменовс помощью нового обладателя этой роли 607Хозяин относительных идентификаторов (RID) 608Передача роли хозяина RID с помощью текущего обладателяэтой роли 609Передача роли хозяина RID с помощью нового обладателя этой роли 609Хозяин эмулятораглавногоконтроллерадомена(РОС) 609Эмулятор PDC в сети с несколькими версиями Windows 609Хозяин эмулятора PDC в сети Windows Server 2003/Windows 2000 610Синхронизация времени на уровне леса 611Передача роли эмулятора PDC с помощью текущего обладателя этой роли ..611Передача роли эмулятора PDC с помощью нового обладателя этой роли 611Хозяин инфраструктуры 612Передача роли хозяина инфраструктуры с помощью текущегообладателя этой роли 612Передача роли хозяина инфраструктуры с помощью новогообладателя этой роли 613W32Time 613Ознакомление с иерархией синхронизации времени 613Ознакомление с процессом синхронизации 614Использование сервера внешнего времени 615Поиск сервера внешнего времени 616Конфигурирование синхронизации с помощью серверавнешнего времени 616Записи журнала событий W32Time 617Глобальный каталог 618Поиск в глобальном каталоге 618Решение задач аутентификации с помощью глобального каталога 619Глобальные каталоги поддерживают универсальные группы 619Кэширование членства в универсальных группах 619Активизация/отключение глобального каталога на контроллере домена 620Глава 19. Описание Active Directory 622Структура Active Directory 622Оснастка Active Directory Users and Computers 622Организационные единицы 623Контейнеры 623Объекты Active Directory 625LDAP и Active Directory 625Отличительные имена 625Относительные отличительные имена 626Планирование вашей структуры Active Directory 626Централизованное или децентрализованноеадминистративное управление 626Мастер делегирования управления (Delegation of Control Wizard) 626Создание специализированных консолей ММС 627Создание панелей задач ММС 628Географическое местоположение 630Организационная структура 630Смешанная организационная структура 630Поиск в Active Directory 630

24 Windows Server 2003. Полное руководствоActive Directory Users and Computers 630Использование средства поиска Windows 631Поддержка Active Directory 631NTDSUtil 632DCDiag 632Оснастка Active Directory Sites and Services 635Создание структуры сайтов 635Транспорт между сайтами 636Подсети 637Службы (Services) 637Средства поддержки и устранения проблем для Sites and Services 638Replmon 638Netdiag 639Оснастка Active Directory Domains and Trusts 640Глава 20. Управление группами и организационными единицами 643Группы Windows Server 2003 643Локальные группы 643Локальные группы по умолчанию 644Добавление членов в локальные группы 646Создание локальных групп 647Доменные группы 649Описание областей действия групп 649Глобальные группы 649Локальные в домене группы 650Универсальные группы 650Изменение областей действия 651Доменные группы по умолчанию 651Группы, находящиеся в контейнере Builtin 651Группы в контейнере Users 653Специальные группы 653Использование групп для полномочий 654Полномочия по папкам 654Полномочия по разделяемым ресурсам 655Организационные единицы 656Создание OU 656Размещение объектов в OU 657Делегирование администрирования OU 658Управление делегированием 659Глава 21. Управление пользователями и данными входа 661Пользовательские учетные записи 661Локальные учетные записи 661Доменные учетные записи 662Группы 662Управление доменными учетными записями 662Встроенные доменные учетные записи 663Учетная запись Administrator 663Учетная запись Guest 663Учетная запись HelpAssistant 664Доменные пользовательские учетные записи 664Создание доменной пользовательской учетной записи 664

Оглавление 25Конфигурирование свойств для пользовательской учетной записи 665Копирование пользовательской учетной записи 666Модифицирование схемы для копирования свойств пользователей 667Переименование учетных записей 668Отключение и включение учетных записей 669Управление основными именами пользователей (UPN) 670Управление локальными пользовательскими учетными записями 671Создание локальных пользовательских учетных записей 671Конфигурирование локальных учетных записей 672Членство в локальных группах 673Локальные профили 673Обзор процесса входа 674Локальный вход 674Вход в домен 674Вход в доверяемые домены 675Удаленный вход 675Аутентификация 675Kerberos 675NTLM 676Пароли 676Новые требования к паролям 677Сильные пароли 677Политики доменных паролей 678Политики паролей и настройки паролей пользователей 678Политика Enforce Password History (Ведение журнала паролей) 679Политика Maximum Password Age(Максимальный срок действия паролей) 679Политика Minimum Password Age(Минимальный срок действия паролей) 679Политика Minimum Password Length (Минимальная длина паролей) 679Политика Password Must Meet Complexity Requirements(Пароль должен отвечать требованиям сложности) 680Блокировки по неверным паролям 680Конфигурирование блокировок для домена или OU 680Конфигурирование блокировок для компьютера 681Разблокирование блокированной учетной записи 681Диск обновления пароля 682Создание диска обновления пароля 682Обновление пароля с помощью диска обновления 682Профили пользователей 683Локальные профили 683Конфигурирование профиля пользователя по умолчанию 685Настройка локального профиля пользователя поумолчанию 685Перемещаемые профили 686Конфигурирование перемещаемых профилей для пользователей 686Как происходит создание перемещаемых профилей на сервере 686Предварительное размещение перемещаемого профиля 687Новые групповые политики для перемещаемых профилей 688Перемещаемые профили для клиентов более ранних версий Windows 688Обязательные профили 688Домашние папки 689

26 Windows Server 2003. Полное руководствоДобавление домашних папок к профилям 690Перенаправление документов в домашнюю папку 691Ручное перенаправление папки My Documents 691Использование групповых политик для перенаправления папкиMy Documents 691Скрипты входа 694Активизация скриптов входа в диалоговом окне свойств пользователя 695Активизация скриптов входа с помощью групповой политики 695Глава 22. Использование Group Policy для управления клиентскимии серверными машинами 696Основы Group Policy 696Требования к использованию Group Policy 699Взаимодействие с более ранними операционными системами 701Обработка и наследование при использовании Group Policy 702Когда происходит обработка объектов GPO 704Фильтрация в Group Policy 704Security Filtering (Фильтрация субъектов безопасности) 704WMI Filtering 705Объекты Group Policy 705Редактирование объектов Group Policy 706Настройки Group Policy 707Секция Computer Configuration 708Настройки ПО (Software Settings) 708Настройки Windows (Windows Settings) 709Administrative Templates 712User Configuration 712Настройки ПО (Software Settings) 712Windows Settings 714Administrative Templates 717Нестандартные шаблоны 718Использование консоли GPMC для управления Group Policy 719Создание объектов Group Policy 720Присоединение объектов Group Policy к контейнерам Active Directory 720Делегирование управления Group Policy 721Моделирование Group Policy 721Результаты Group Policy 722Резервное копирование объектов Group Policy 722Импорт настроек GPO 723Восстановление объектов Group Policy из резервной копии 723Копирование объектов Group Policy 723Миграция настроек GPO 724Создание скриптов операций GPMC 724Глава 23. Сетевая установка программного обеспечения 725RIS (Remote Installation Services) 726Установка Remote Installation Services 727Использование плоского образа 730Установка с помощью метода RIPrep 730Процедуры для клиентов RIS 731Управление RIS 731Использование RIS для управления вашей средой Windows 2003 733

Оглавление 27Структура решений RIS 733Установка и обслуживание ПО с помощью IntelHmirror и Active Directory 734Intellimirror 735Управление данными пользователей (User Data Management) 735Управление настройками пользователей (User Settings Management) 736Установка и обслуживание ПО (Software Installation and Maintenance) 737Политики ограничения ПО 739Глава 24. Кластеризация 741Кластеры Network Load Balancing 741Преимущества Network Load Balancing 742Готовность 742Масштабируемость 742Управляемость 743Архитектура NLB 743Оборудование и протоколы 743Виртуальные кластеры 744Конфигурирование приложений 744Серверы приложений и соединения с изменяемым состоянием 745Установка и конфигурирование Network Load Balancing 746Установка службы NLB с помощью диалогового окна NLB Properties 746Задание параметров кластера для службы Network Load Balancing 747Вкладка Host Parameters (Параметры хостов) 750Правила для портов (Port Rules) 751Конфигурирование TCP/IP для службы Network Load Balancing 755Использование Nlbmgr.exe для конфигурирования кластеров и узлов 755Создание кластера с помощью NLB Manager 756Добавление узлов к кластеру с помощью NLB Manager 757Изменение параметров кластера и хостов с помощью NLB Manager 758Администрирование Network Load Balancing 758Администрирование NLB с помощью NLB Manager 758Управление NLB-кластером с помощью Nlb.exe 759Кластеры серверов 761Архитектура кластеров серверов 761Переход по отказу (failover) и возвратпосле восстановления (failback) 762Режимы работы кластера серверов 763Компоненты оборудования кластера серверов 763Программные компоненты 766Логические и физические компоненты кластеров 768Использование кластеров серверов в вашем окружении 769Модель кластера с горячим резервированием 770Модель кластера типа active/active 771Гибридная конфигурация 772Конфигурация с одним узлом 772Установка службы Cluster 772Создание нового кластера 772Исправление ошибок конфигурирования 775Использование Cluster Administrator 776Добавление узлов к существующему кластеру 777Тестирование кластера 777Установка приложений 778

28 Windows Server 2003. Полное руководствоГлава 25. Настройка и оптимизация производительности 779Описание оптимизации производительности 779Определение уровней и целей обслуживания 780Задание политик и процедур 781Задание базовых значений 782Определение характеристик рабочей нагрузки 782Эталонные значения и предоставляемая поставщиком информация 783Сбор данных: что включается в мониторинг 783Объекты 784Счетчики 784Экземпляры 784Средства мониторинга производительности 785Task Manager 785Network Monitor 786Оснастка Performance 787Графическое представление производительности с помощьюSystem Monitor 788Performance Logs and Alerts 790Работа с журналами счетчиков 790Работа с журналами трассировки 795Просмотр файлов журналов с помощью System Monitor 796Работа с оповещениями 797Утилиты от сторонних поставщиков 798Мониторинг и оптимизация системных ресурсов 799Мониторинг памяти 800Мониторинг процессора 801Мониторинг дисковой подсистемы 802Мониторинг сетевой производительности 803Контроль над системными ресурсами 803Windows System Resource Monitor 804Глава 26. Планирование катастроф и восстановление 805Резервное копирование 805Новые возможности резервного копирования 805Теневая копия тома (volume shadow copy) 805Несколько типов целевых носителей 806Резервное копирование/Восстановление состояния системы 806Резервное копирование защищенных системных файлов 807Интеграция со службой Remote Storage 807Интеграция с Task Scheduler 807Управляемый отдельно носитель резервной копии 807Конфигурация отказоустойчивых дисков не включаетсяв резервную копию 808Вопросы полномочий резервного копирования 808Дисковые квоты и файлы резервных копий 808Типы резервного копирования 808Резервное копирование 809Конфигурирование ПО резервного копирования 810Настройки вкладки General 810Настройки вкладки Restore 811Настройки вкладки Backup Type (Тип резервного копирования) 812

Оглавление 29Настройки вкладки Backup Log (Журнал резервного копирования) 812Настройки вкладки Exclude Files 812• Создание задания резервного копирования 813Расписание резервного копирования 816Использование пакетных файлов для резервного копирования 816Работа с Removable Storage Manager 818Восстановление 819Восстановление файлов и папок 819Задание опций восстановления 820Опции местоположения файлов 821Опции замены файлов 821Опции для исключаемых файлов 822Дополнительные опции восстановления 822Восстановление контроллеров домена 823Восстановление системных служб 823Выбор типа восстановления для контроллера домена 824Восстановление типа Primary 824Восстановление типа Normal (Nonauthoritative) 824Восстановление типа Authoritative 824Восстановление состояния системы в другом месте 825Консоль восстановления (Recovery Console) 826Доступ к Recovery Console с CD 826Установка Recovery Console на компьютере 827Использование Recovery Console 828Правила для использования Recovery Console 828Команды Recovery Console 828Изменение правил для Recovery Console 833Задание политик, разрешающих изменения среды Recovery Console 833Изменение среды Recovery Console 835Удаление Recovery Console 835Автоматизированное восстановление системы(ASR - Automated System Recovery) 835Создание системы восстановления ASR 836Восстановление системы с помощью ASR 837Создание загрузочных дискет 837Ошибки STOP: Blue Screen of Death 838Что может вызывать ошибки BSOD? 839Подготовка к ошибкам BSOD 839Конфигурирование опций восстановления системы 839Задание типа файла дампа 840Complete Memory Dump (Полный дамп памяти) 841Kernel Memory Dump (Дамп памяти ядра) 841Small Memory Dump (Малый дамп памяти) 842Конфигурирование административных оповещений 842Активизация служб Messenger и Alerter на сервере 843Задание получателей оповещений 843Активизация службы Messenger на компьютерах-получателях 845Тестирование конфигурации с помощью принудительной ошибки BSOD 845Что происходит во время аварийных отказов 845Принудительный вызов ошибки BSOD 847Конфигурирование принудительной ошибки BSOD 847

30 Windows Server 2003. Полное руководствоПринудительный вызов отказа компьютера 847Исследование ошибки BSOD 848Обратите внимание непосредственно на ошибку STOP 848Просмотр журнала событий 849Просмотр файла дампа 850Отправка файла в службу поддержки Microsoft 850Распространенные ошибки STOP 850ОхОООООООА 850OxOOOOOOlE 8510x00000024 : 8510х0ОО0О02Е 8510x00000050 8520x00000058 852Ох0000007А 8520хООО0007В 8520x0000007F 8530x00000076 8530x00000077 8530x00000079 8530хС000021А 8540хС0000221 854Windows Error Reporting 855Активизация Error Reporting в окне свойств системы 856Активизация средства Error Reporting в групповых политиках 858Вывод уведомлений об ошибках (Display Error Notification) 859Report Errors (Отправлять отчеты об ошибках) 859Advanced Error Reporting Settings (Дополнительные настройки) 860Отправка отчетов 861Сбор и просмотр отчетов 861Chkdsk 862Chkdsk 863Запуск Chkdsk вручную 863Autochk.exe 865Chkntfs.exe 866Приложение. Internet Information Services 6 (IIS 6) 867Новые возможности IIS 6 867Улучшения в архитектуре 867Режимы изоляции 868Пулы приложений 868Очереди запросов в режиме ядра 868Веб-сады 869Повторяемый запуск рабочего процесса 869Запуск по требованию и тайм-аут простоя 869Мониторинг состояния, работа с неотвечающим процессоми защита от частых сбоев 869Родственность процессоров 870МетабазаХМЬ 870Более высокий уровень безопасности 870Другие улучшения в безопасности 870Повышение управляемости 871

Оглавление 31Наиболее распространенные административные задачи 872Установка IIS 872Управление IIS 872Активизация расширений веб-служб 873Создание веб-сайта 874Конфигурирование веб-сайта 875Создание приложения 875Создание пула приложений 876Конфигурирование повторяемого запуска рабочих процессов 878Конфигурирование тайм-аута простоя (Idle Timeout) 879Создание веб-сада (Wfeb Garden) 879Конфигурирование мониторинга состояния (Health Monitoring) 880Задание учетной записи для пула приложений (вкладка Identity) 881Конфигурирование настроек приложения 881Активизация непосредственного редактирования метабазы 883Резервное копирование метабазы 884Восстановление метабазы 886Экспорт метабазы 887Импорт метабазы 888Алфавитный указатель 889

ВведениеWindows Server 2003 - это новая и улучшенная версия по сравнению с Windows 2000,содержащая новые средства и функции, которые упрощают администрированиевашей сети и делают его более эффективным. Если вы переходите к Windows Server2003 из Windows NT, то изучение таких средств, как Active Directory, Group Policy идругих средств управления, может показаться сначала трудным делом, и действительно,изучение может занять довольно много времени. Эта книга поможет вамупорядочить изучаемые концепции и задачи, что сократит время вашего обучения.Нужна ли вам эта книга?Эта книга написана для сетевых администраторов, профессионалов ИТ и квалифицированныхпользователей. Авторы предполагали, что читатель знаком с основнымисетевыми понятиями и жаргоном. Кроме того, во всех указаниях по выполнениюзадач предполагается, что вы выполняете вход в свою сеть с административнымиполномочиями.Мы писали эту книгу для тех, кто несет ответственность за управление сетямиWindows. Под словом «управление» понимается развертывание, конфигурированиеи повседневное администрирование.

Глава 1Введениев Windows Server 2003Система Windows Server 2003 - это развитие системы Windows 2000, и она представляетмножество средств, которые были в моем «списке пожеланий», когда я работалс Windows 2000. Для администраторов, работающих с сетями Windows 2000, развертываниеэтой новой версии Windows не станет сложной задачей, поскольку основыизменились не слишком сильно. Для администраторов, работающих с сетямиWindows NT, эта превосходно настроенная версия корпоративной операционнойсистемы Microsoft содержит столько инструментов администрирования и средствуправления, что у них не найдется причин для того, чтобы продолжать работать сNT.Версии Windows Server 2003Windows Server 2003 поставляется в виде следующих четырех версий (изданий):• Windows Server 2003, Standard Edition Server;• Windows Server 2003, Enterprise Edition (32-битная и 64-битная версии);• Windows Server 2003, Datacenter Edition (32-битная и 64-битная версии);• Windows Server 2003, Web Edition.В этом разделе дается обзор наиболее примечательных средств каждой версии.StandardEditionWindows Server 2003 Standard Edition подходит для большинства сетевых задач. Онаподдерживает четырехстороннюю симметричную мультипроцессорную обработку(SMP) и 4 Гб RAM-памяти. Вы можете использовать Standard edition для службыбалансирования сетевой нагрузки NLB (Network Load Balancing), но не для службыкластеров (Cluster Services), а также для размещения Terminal Server.В крупной организации эта версия вполне подходит для файловых служб, поддерживаяраспределенную файловую систему DFS (Distributed File System), шифрующуюфайловую систему EFS (Encrypting File System) и теневые копии (ShadowCopies). Вы можете также использовать Standard edition для службы дистанционнойустановки RIS (Remote Installation Services) и для веб-служб. В этой версии можнозапускать все службы управления сетью, службы приложений .NET и мультимедиа.Вы можете использовать Standard edition как универсальный сервер для подразделенийи небольших организаций. Для небольших организаций Standard edition хорошодействует в любой роли, начиная с предоставления файловых служб и службпечати, и вплоть до контроллера домена.2 - 3994

34 Windows Server 2003. Полное руководствоEnterpriseEditionВерсия Enterprise edition «усилена», отвечая всем требованиям предприятий любогоразмера. Она поддерживает восьмистороннюю SMP, 32 Гб RAM в 32-битной версиии 64 Гб RAM в 64-битной версии. Она поддерживает кластеры серверов, содержащиедо восьми узлов.Возможности масштабирования делают эту версию подходящей для любой ролив крупной организации как прочную базу для управления приложениями, веб-службами(особенно при необходимости веб-кластеров) и инфраструктурой.Примечание. Enterprise edition является заменой Windows 2000 Advanced Server.Datacenter EditionКак наиболее мощная система для платформы Windows, версия Datacenter editionподдерживает 32-стороннюю SMP в 32-битной версии и 64-стороннюю SMP в 64-битной версии. Она может работать с 64 Гб RAM в 32-битной версии и 512 Гб RAMв 64-битной версии. В нее встроена кластеризация, предусматривающая использованиевосьми узлов. Как и соответствующая версия Windows 2000, Datacenter editionпоставляется через OEM-поставщиков (изготовителей комплектного оборудования),которые участвуют в программе Datacenter и обеспечивают соответствующую поддержку.Web EditionЭтот новый продукт Windows предназначен для разработки и запуска веб-сайта. Вэту версию включено ПО IIS 6.0, а также другие компоненты, которые позволяютвам размещать веб-приложения, веб-страницы и веб-службы XML. Вы не можетеиспользовать Web edition для работы «ферм» веб-серверов, которым требуются кластеры.И вы не можете устанавливать любые службы управления сетью, такие какActive Directory, службы DNS и службы DHCP. Версия Web edition недоступна какрозничный продукт; вы должны приобретать ее в комплекте с машиной от ОЕМпоставщиковили от партнера Microsoft System Builder.Совершенно новые средства WindowsServer 2003!Если вы уже управляли своим предприятием с помощью Windows 2000, то найдетемножество новых возможностей, некоторые из которых являются небольшими улучшениямипо сравнению с существующими средствами, а остальные - совершенноновыми. Если вы управляли предприятием Windows NT, поскольку придерживалисьточки зрения «подождем - увидим» относительно Windows 2000, то новые средстваWindows Server 2003 убедят вас, что модернизация предоставит намного больше возможностейвашим пользователям и вам как администратору. В этом разделе я даюобзор версий и новых возможностей, доступных для Windows Server 2003. Подробныеинструкции по использованию описанных здесь возможностей вы найдете помере чтения этой книги.

Глава 1. Введение в Windows Server 2003 35Новые средства удаленного администрированияWindows Server 2003 содержит ряд средств, которые упрощают для вас дистанционноеуправление серверами и доменами. Вы можете просматривать, изменять илиустранять проблемы серверных служб и настроек доменов со своей рабочей станции.Кроме того, вы можете делегировать конкретные задачи другим сотрудникамвашего отдела ИТ и предоставлять им управление аспектами вашего предприятия сих собственных рабочих станций или из центра службы поддержки.Теперь RIS позволяет развертывать серверыРаньше служба RIS была доступна только в версиях Windows для клиентов/рабочихстанций. В Windows Server 2003 вы можете использовать новые функции NET RISдля развертывания всех версий Windows Server 2003 (кроме Datacenter).Удаленный рабочий столСредство Remote Desktop (Удаленный рабочий стол) фактически появилось вWindows 2000, когда Microsoft разделила Terminal Server на два отдельных приложения:Administrative mode и Application mode. В режиме Administrative mode предоставлялисьдве бесплатные лицензии на сервер, чтобы администраторы могли выполнятьдоступ к серверу для выполнения административных задач. В режимеApplication mode предоставлялись стандартные средства Terminal Server для запускаприложений на сервере.Теперь, в Windows Server 2003, Terminal Server используется только для запускаприложений, а новый компонент, Remote Desktop for Administration (Удаленныйрабочий стол для администрирования) встроен в эту операционную систему. Посколькуэто компонент, а не отдельное приложение, лицензия уже не нужна, поэтомулюбое число назначенных вами администраторов могут дистанционно управлятьвашими компьютерами Windows Server 2003.Клиентская часть этого ПО (под названием Remote Desktop Connection - Подключениек удаленному рабочему столу) встроена в Windows XP (клиентская системав семействе Windows Server 2003). Для версий Windows, предшествовавших ХР,вы можете установить клиентское ПО с CD Windows Server 2003 или из разделяемойточки сети, содержащей установочные файлы Windows Server 2003.Конфигурирование сервера для дистанционного доступа требует всего лишьнескольких щелчков мышью. Все серверы Windows Server 2003 содержат локальнуюгруппу Remote Desktop Users Group (Пользователи удаленного рабочего стола), вкоторую вы можете добавлять пользователей и для которой вы можете конфигурироватьнастройки безопасности. Более подробное описание настройки и использованияRemote Desktop for Administration см. в гл. 3.Удаленный помощникСотрудники вашей службы поддержки скажут вам, что лучший способ помочьпользователю - это подойти к его рабочей станции (или поручить это кому-то другому).Иногда проблема слишком сложна, чтобы можно было объяснить пользователюее решение, а иногда пользователю требуются детальные инструкции, которыепотребуют слишком много времени, чтобы пользователь нашел нужные

36 Windows Server 2003. Полное руководстводиалоговые окна или пункты меню. Remote Assistance (Удаленный помощник) позволяетвам работать на компьютере удаленного пользователя, не покидая вашегособственного компьютера. Remote Assistance применяется в двух ситуациях.• Пользователь-новичок запрашивает помощь от опытного пользователя.• Опытный пользователь предоставляет помощь пользователю-новичку без получениязапроса о помощи.Если сотрудник службы поддержки подсоединяется к машине какого-либопользователя с помощью Remote Assistance, этот сотрудник может видеть экранпользователя и даже использовать собственную мышь и клавиатуру для управлениякомпьютером этого пользователя. В дополнение ко всем этим удобствам, RemoteAssistance позволяет использовать средства чата и функцию обмена файлами. Чтобыиспользовать Remote Assistance, должны выполняться следующие условия.• Компьютеры должны работать под управлением Windows Server 2003 или WindowsХР.• Компьютеры должны быть соединены через локальную сеть или Internet.Это означает, что вашим сотрудникам службы поддержки, работающим на рабочихстанциях Windows ХР, не нужно идти к компьютеру Windows Server 2003, чтобыоказывать помощь пользователю.Запрос помощи. Пользователь, работающий на компьютере с Windows Server 2003или Windows ХР, может запрашивать помощь от другого пользователя, работающегос Windows Server 2003 или Windows ХР. Запросы Remote Assistance активизированыпо умолчанию в Windows ХР, что позволяет пользователям, работающим с WindowsХР, запрашивать помощь опытных пользователей, работающих с Windows Server 2003или Windows ХР. На компьютерах, работающих под управлением Windows Server 2003,вы должны активизировать средство Remote Assistance, чтобы можно было запрашиватьпомощь.Имеется групповая политика для активизации и отключения запросов RemoteAssistance - как на уровне домена/организационной единицы (OU), так и на уровнелокального компьютера Windows Server 2003/Windows ХР. Эта политика находится вComputer Configuration\Administrative Templates\ System\Remote Assistance.Примечание. Чтобы открыть редактор локальных групповых политик, выберите Start/Run (Пуск/Выполнить) и введите gpedit.msc.Если групповая политика не сконфигурирована, вы можете активизировать илиотключить это средство в диалоговом окне System Properties (Свойства системы):щелкните правой кнопкой на My Computer и выберите пункт Properties. Перейдитево вкладку Remote (Удаленное использование), установите флажок Turn on RemoteAssistance (Включить удаленного помощника) и разрешите отправку приглашенийс этого компьютера. Щелкните на кнопке Advanced (Дополнительно), чтобы открытьдиалоговое окно Remote Assistance Settings (Параметры удаленного помощника), гдевы можете делать следующее.

Глава 1. Введение в Windows Server 2003 37You сзп i*t БяА» lot Ihe ше ol Remote Asmlance on Ihrt compeer^]b-..• 'I.;, .rwpi'et tr. be contidlod ieni-5(ebL. . ' : •C a n c e lРазрешать ИЛИ запрещать использование средства удаленного управления.Задавать ограничение по времени, в течение которого действует запрос помощи.Примечание. Если групповая политика активизирована или отключена (состояниеenabled или disabled), а не находится в состоянии Not Configured (He задана), то оназамещает настройки диалогового окна System Properties.Для запроса помощи выполните следующие шаги.1. Щелкните на кнопке Start и выберите Help and Support (Помощь и поддержка).2. В правой панели щелкните на Remote Assistance под Ask for Assistance (Запрос оподдержке) в Windows XP и под Support Tasks (Задачи поддержки) в Windows Server2003.3. Щелкните на кнопке Invite (Отправить приглашение), чтобы кто-либо помогвам.Система откроет окно Outlook Express или Outlook (в зависимости от используемойу вас по умолчанию программы электронной почты), чтобы отправить запрос.Запрашивающий пользователь вводит адрес электронной почты получателя илиоткрывает адресную книгу, чтобы выбрать получателя.Внимание. Если вы не используете Outlook или Outlook Express, этот процесс не выполняется.Данное средство не работает с любым другим ПО электронной почты,включая популярную программу Eudora.Если оба пользователя работают на компьютерах с Windows XP и оба выполниливход в Windows Messenger, то запрашивающий пользователь может использовать длязапроса помощи мгновенное сообщение (instant message) вместо электронной почты.После того как выполнено соединение Remote Assistance, поддерживающийпользователь (приглашенный для оказания поддержки) имеет доступ к компьютерупригласившего пользователя. Если этот пользователь дает разрешение, то поддерживающийпользователь берет на себя управление компьютером этого пользователяи выполняет любую задачу, которую может выполнить этот пользователь, (Нужноне только это разрешение, но также требуется, чтобы групповые политики илинастройки в диалоговом окне System Properties поддерживали средство «take control»[Взять управление].)

38 Windows Server 2003. Полное руководствоПредложение помощи без приглашения. Пользователю не обязательно проходить черезвсе шаги графического интерфейса, чтобы запросить помощь, - он может простоснять трубку (или крикнуть, если это одно помещение), чтобы обратиться к вашейслужбе поддержки. Затем сотрудник службы поддержки может непосредственноподсоединиться к компьютеру этого пользователя с помощью средства RemoteAssistance. На самом деле, этот сотрудник может использовать это средство непосредственногоподсоединения к компьютеру, даже если нет запроса о помощи (устноили через электронную почту). Поскольку доступ к другому компьютеру можетоказаться рискованной акцией, процесс не выполняется, если вы не активизировалиэто средство с помощью определенной групповой политики.Эта групповая политика называется Offer Remote Assistance (Предложение удаленнойподдержки), и вы можете активизировать ее на локальном компьютере, открывлокальный редактор Group Policy (введите gpedit.msc в диалоговом окне Run)и раскрыв дерево консоли до уровня Computer Configuration\AdministrativeTemplates\System\Remote Assistance.Offer Remote Assistance PropertiesSeting |Ш Offei Remote Assistance,ч, 0\ ih*r .-,,,., „Supported ere At least Microsoft Windows XP ProfessionalУкажите, может ли этот удаленный пользователь взять управление данным компьютеромили может только видеть содержимое его экрана. Затем щелкните на кнопкеShow и добавьте имена групп или пользователей, которые могут выполнять доступк этому компьютеру с помощью Remote Assistance. Используйте форматДомен\Имяпользователя или Домен\Имя_группы.Примечание. Предложение удаленной поддержки не действует, если не активизированатакже политика Solicited Remote Assistance (Запрашиваемая удаленная поддержка).Даже если эта политика активизирована, при попытке поддерживающего сотрудникаподсоединиться к компьютеру пользователя этот пользователь должен датьявное разрешение, чтобы данный сотрудник мог выполнить соединение. Поддер-

Глава 1. Введение в Windows Server 2003 39живающий сотрудник должен выполнить следующие шаги, чтобы создать соединениеRemote Assistance.1. Щелкнуть на кнопке Start и затем щелкнуть на Help and Support.2. В секции Support Tasks щелкнуть на Tools (Сервис).3. В левой панели щелкнуть на Help and Support Center Tools.4. Щелкнуть на Offer Remote Assistance (Предложить удаленную поддержку).5. Ввести имя или IP-адрес целевого компьютера и щелкнуть на кнопке Connect(Подсоединиться).DD'•SystemCert ejetx* J**iWithRemoteAssistance,youcanof forhelp to abedareanetworkuser tyouhaveadministrativeprMegesandknowthecomputernanworIPaddress.Whenyou startRemoteAssistance,youcanview the.user'sscreen,chat in realtime,andworkfrom aremotebeationonthe' t " ' ' ['TypeorpastethecomputernameorIPaddress:РЪ мккм', Wrtf.ve *(*гп«.*:» V*

40 Windows Server 2003. Полное руководствоется быстрее. Возможности поиска зависят, конечно, от количества информации,которую вы вводите при создании объектов Active Directory. Например, если вы вводитеинформацию о рабочем окружении пользователя (отдел, подразделение, имяруководителя и т.д.), то можете выполнять поиск по этим фильтрам.Чтобы управлять объектами в Active Directory, вы можете выбрать сразу несколькообъектов и внести изменения в свойства этих объектов за один раз. Кроме того, выможете перетаскивать объекты между контейнерами методом «drag and drop». Этоудобный способ добавления пользователей (или групп) в одну группу.Администраторы могут теперь налагать квоты Active Directory, чтобы ограничиватьколичество объектов, которыми может владеть пользователь, группа или компьютер.Члены групп Domain Administrators (Администраторы домена) и EnterpriseAdministrators (Администраторы предприятия) исключаются из этих квот.Вы можете изменять местоположение по умолчанию для пользовательских икомпьютерных учетных записей. Перемещение этих учетных записей из контейнеровUsers и Computers в организационные единицы (OU) означает, что вы можетеприменять к ним групповые политики.Вы можете также создать контроллер домена (DC) путем восстановления из резервнойкопии существующего DC. Это невероятно эффективный способ развертываниядомена (подробнее см. в гл. 18).Сохраняемые запросыКонсоль Active Directory Users and Computers теперь содержит папку Saved Queries(Сохраняемые запросы) в дереве консоли, и вы можете использовать ее для создания,сохранения и редактирования запросов. Это позволяет обходиться без необходимостиразработки нестандартных скриптов ADSI, которые выполняют запросыпо объектам Active Directory. Сохраняемые запросы - это быстрый способ доступа кнабору объектов каталога, когда вам требуется управление или просмотр этих объектов.Вы можете копировать свои настроенные запросы на другие контроллеры тогоже домена Windows Server 2003.Создание сохраняемых запросов начинается со щелчка правой кнопкой на папкеSaved Queries и выбора New/Query (Создать/Запрос). Задайте имя запроса и принеобходимости введите описание.(j'..eiy tool. l Jveroe«-ilraiudej

Глава 1. Введение в Windows Server 2003 41Затем создайте запрос с помощью средств диалогового окна New Query. Щелкнитена кнопке Browse, чтобы выбрать контейнер, который хотите использовать каккорень для запросов.' : -г-м! >'•* с•:••••»ir>:i усч want 'о .сtvenseaslШ ccountingф-Ш Builtinffi-Q ComputersЖ-«2 Domain ControllersForeignSecurityPfincipalsф LabШ-Ш LostAndFoundA LJ NTDS Quotas| >_J Program DataS-Q SystemilЩелкните на кнопке Define Query (Определить запрос), чтобы определить типичныйзапрос, используя вкладку Users, Computers или Groups (вы не можете смешиватьтипы объектов).i*QueneiU.i

42 Windows Server 2003. Полное руководствоадминистраторы могут использовать утилиту командной строки Ntdsutil, чтобы вручнуюсоздавать разделы каталога приложений или управлять разделами, которые созданыприложениями.Раздел каталога приложений может быть дочерним разделом каталога доменаили другого раздела каталога приложений. Например, если я создаю раздел каталогаприложений с именем AppsA как дочерний раздел моего домена ivenseast.com, тоон имеет DNS-имя appsa.ivenseast.com и отличительное имя dc=appsa, dc=ivenseast,dc=com. Если я затем создаю раздел каталога приложений с именем AppsB как дочернийраздел первого раздела каталога приложений, то он имеет DNS-имяappsb.appsa.ivenseast.com и отличительное имя dc=appsb, dc=appsa, dc=ivenseast,dc=com. Вы увидите, что иерархическая логика этих разделов упрощает управлениеэтими разделами.Вы можете также создать раздел каталога приложений как корень нового деревав существующем лесу. Например, ivenseast.com является корнем единственного деревадоменов в моем лесу. Я могу создать раздел каталога приложений с DNS-именемappsc и отличительным именем dc=appsc. Этот раздел каталога приложений неявляется частью того дерева, которое используется для ivenseast.com; он являетсякорнем нового дерева в данном лесу.Внимание. Вы не можете сделать раздел каталога домена дочерним в разделе каталогаприложений.Достоинства этого средства очевидны: оно снижает трафик репликации в лесу.Кроме того, вы можете ограничить репликацию данных только теми DC, где этиданные нужны пользователям, которые подсоединяются к указанным DC, что позволяетрезко ограничить трафик межсайтовой репликации.Улучшения в репликацииВ Windows Server 2003 изменен способ репликации базы данных Active Directory иглобального каталога за счет использования нового принципа, который называетсяlinked value (связанное значение). Если в глобальном каталоге изменяются атрибуты,то реплицируются только изменения. Например, после изменений реплицируютсятолько отдельные члены группы вместо репликации всех членов группы. Крометого, новые алгоритмы делают процессы репликации более быстрыми иэффективными, действуя между несколькими сайтами и доменами внутри леса.Переименование Active Directory и доменовWindows Server 2003 позволяет вам изменять имена DNS и NetBIOS для домена. Ранеедля переименования домена требовалось, чтобы вы создали новый домен и затемвыполнили миграцию всех существующих объектов этого домена в новый домен.Эта новая возможность давно требовалась администраторам в компаниях,которые участвуют в слияниях и приобретениях. Кроме того, это великолепное средстводля администраторов, которые решают отделить внутреннюю инфраструктуруот интернета путем создания отдельных DNS-имен (для повышения уровня безопасности).Улучшения в уровнях готовности и надежностиМы всегда стремимся получить надежность 0,9999, и в Windows Server 2003 включенынекоторые средства, помогающие в этом.

Глава 1. Введение в Windows Server 2003 43Автоматизированное восстановление системыПроцедуры восстановления с помощью гибких дисков становятся все сложнее исложнее для реализации в Windows. Последним «работающим» процессом восстановленияс помощью гибкого диска было использование диска аварийного восстановленияERD (Emergency Repair Disk) в Windows NT 4. В Windows 2000 также существовалспособ создания ERD-диска, но размер файлов данных делал его почтибесполезным.Средство автоматизированного восстановления системы ASR (Automated SystemRecovery) - это средство восстановления с использованием гибкого диска, но в отличиеот ERD средство ASR привязано к соответствующей резервной копии файлов,необходимых для загрузки Windows. Вы можете сохранять эту резервную копиюна локальном ленточном накопителе или на локально подсоединенном съемномдиске. Подробнее об этом см. в гл. 26.Emergency Management ServicesСлужба Emergency Management Services (EMS) обеспечивает механизм управлениясерверами, когда не функционирует операционная система. Если сервер работаетнормально, то вы можете управлять им дистанционно с помощью обычных средствадминистрирования, предоставляемых в Windows Server 2003. Дистанционное управлениесерверами с помощью этих средств называется управлением по каналам сети(in-band management) или работой с помощью in-band-соединения. К in-band-соединениямотносятся сетевые адаптеры, модемы, ISDN и другие знакомые вам средства.Если in-band-соединение недоступно, то вы можете использовать для доступа иадминистрирования компьютера Windows Server 2003 службу EMS. Это называютработой с помощью так называемого out-of-band-соединения (по вспомогательномуканалу), для которого не требуются даже сетевые драйверы операционной системы.Вы можете использовать out-of-band-соединение даже для поиска и устранения проблемсервера, который не полностью инициализирован и не работает в полной мере.В большинстве случаев вы можете делать это дистанционно, если этот сервер снабженоборудованием для out-of-band-соединения (под это описание подходят автономные[headless] серверы). На самом деле, вам нужно подходить к такому серверу,только когда требуется установить его оборудование.EMS работает в текстовом режиме терминала, а не в графическом режиме, поэтомувы можете использовать эту службу с широким диапазоном устройств обменаинформацией (наиболее типичные из них - последовательные порты) с помощьютаких out-of-band-средств, как эмуляторы терминалов. Конечно, это также означает,что вы можете использовать EMS с другими платформами, такими как UNIX иLinux.Средство миграции состояния пользователей (USMT)Если вы развертываете Windows Server 2003 как модернизацию, то средство User StateMigration Tool (USMT) считывает существующие настройки, файлы и документы.Вам не приходится повторно конфигурировать эти настройки.Совместимость программWindows Server 2003 содержит два средства, помогающих вам запускать унаследованныепрограммы: Compatibility Wizard (Мастер совместимости) и ProgramCompatibility Mode (Режим совместимости программ). Эти средства особенно по-

44 Windows Server 2003. Полное руководстволезны для программ вашей собственной разработки, которые содержат жесткиессылки на версии Windows (распространенная проблема в программировании).Мастер проводит вас через шаги, необходимые для тестирования программы сточки зрения совместимости с версией Windows. Если задан режим совместимости(например, программа наиболее совместима с Windows 9x), то данная программавсегда запускается в этом режиме. Вы можете также запускать мастер ProgramCompatibility Wizard в файле установки для соответствующей программы.Program Compatibility Mode выполняет аналогичную задачу, но без мастера, работаянепосредственно с исполняемым файлом. В Windows Server 2003 все исполняемыефайлы имеют новую вкладку Compatibility (Совместимость) в диалоговом окнеProperties (см. рис. 1.1). Вы можете использовать эти опции для задания версииWindows, настроек видео и настроек безопасности. В главе 3 содержатся подробныеинструкции по использованию всех возможностей этого средства.Рис. 1.1. Программы, которыеработали раньше, будут продолжатьработать с помощью опцийGeneral)Compatibility I Security: Summary:Ifyouhaveproblems with thisprogramand itworked correctlyon вкладки Compatibilityan earlier versionofWindows, select the compatibilitymode thatmatches that earliet version.rripatfcility riodeRun thisprogram in compatibilitymode for: . .':'.'•IQRun in256 colors ;.. 0 Run in Б40 и 480 screen resolution[3 Disable visual themes• User account piiv^ges: О Allow non-administrators to run this progiamLearn more about program compatiblyСлужба теневой копии томаТеневая копия тома — это «моментальная» репликация папки документов. Вы можетеконфигурировать эту службу для создания набора копий, отражающего текущеесостояние каждого документа в папке (включая документы, с которыми работаютв данный момент). Каждый набор создается отдельно в соответствии с датой ивременем его создания. Когда пользователи вносят изменения в документы, онимогут считывать предыдущие версии этих документов из теневой копии. Это лучше,чем просто резервные копии, для больших важных документов, над которымиработают несколько пользователей. (Подробнее об этом см. в гл. 16.)

Глава 1. Введение в Windows Server 2003 45Результирующий набор политикиОдной из наиболее удручающих сторон Windows 2000 является тот факт, что я, как имногие администраторы, в конце концов, теряю след политик, которые я применяюк пользователям и компьютерам. Интерфейс пользователя групповой политикине позволяет определить, что у вас сделано. Windows Server 2003 содержит удобноесредство под названием RSoP (Resultant Set of Polices - Результирующий наборполитики), которое позволяет вам видеть результат применения настроек политикик компьютерам и пользователям. И, наконец, я могут теперь выполнять отладкуполитик, если пользователи жалуются на неприемлемые ограничения или медленнуюзагрузку из-за слишком большого числа политик. Еще важнее то, что RSoPимеет «режим планирования», который показывает вам результат политик до началаих применения.

Глава 2УстановкаWindows Server 2003 предоставляет несколько способов развертывания операционнойсистемы на предприятии. Но прежде чем начать эту работу, вам нужно документироватьваши текущие сетевые конфигурации, а также включить в план способи расписание модернизации. Планирование и подготовка являются основой успешногоразвертывания Windows Server 2003 - будь то установка одного сервера, стасерверов или тысячи серверов. Вы должны убедиться, что ваше оборудование, конфигурациясети и приложения позволят установить эту новую операционную систему,не прерывая работу вашей компании.Требования к оборудованиюНикакая операционная система не будет работать должным образом, если она устанавливаетсяна машине с недостаточными возможностями или на машине с неподдерживаемымоборудованием. Windows Server 2003 предъявляет некоторые важныеминимальные требования к оборудованию. В таблице 2.1 приводятся системныетребования к оборудованию для всех версий Windows Server 2003. Вы увидите, что«минимальные требования» совершенно неадекватны для реальных приложений,поэтому в таблицу включены также рекомендуемые значения.Список совместимости оборудованияСписок совместимости оборудования (HCL - Hardware Compatibility List) компанииMicrosoft содержит обширный список продуктов от различных поставщиков,включая компьютеры, кластеры, дисковые контроллеры и устройства для сетей храненияданных [SAN - Storage Area Networks]. Для включения в список HCL поставщикидолжны удостоверить тот факт, что их оборудование поддерживает WindowsServer 2003.Список HCL включен как часть группы Microsoft Windows Hardware Quality Labs(WHQL). Текущий список HCL можно найти в www.microsoft.com. Включение в HCLозначает, что администратор может быть уверен в совместимости оборудования, атакже найдет соответствующие драйверы, включенные в Windows Server 2003. Этоособенно важно для компьютеров, использующих нестандартные уровни абстрагированияоборудования (HAL), например, для симметричного мультипроцессорногооборудования (SMP) или для компьютеров, использующих сложные дисковыеконтроллеры.Симметричное мультипроцессорное оборудованиеСимметричное мультипроцессорное оборудование (SMP-оборудование) поддерживаетсякомпанией Microsoft, начиная с первых версий Windows NT. SMP (иногдаэто называют симметричной мультипроцессорной обработкой с непосредственной

Глава 2. Установка 47связью) позволяет компьютеру использовать два и более процессоров, когда все ЦПсовместно используют память и устройства ввода-вывода.Кластеризация оборудованияКластер серверов - это набор непосредственно связанных компьютеров, выполняющихприложения из одной общей группы и воспринимаемых в сети как одна система(компьютер). Компьютеры в кластере физически связаны друг с другом посредствомвысокоскоростных интерфейсов и используют специальное программное обеспечение,обеспечивающее кластеризацию операционной системы и приложений.Табл. 2.1. Требования к оборудованию Windows Server 2003StandardEditionWeb EditionEnterpriseEditionDatacenterEditionМинимальнаяскоростьпроцессораМинимальнаяскорость процессора(Itanium)Количество поддерживаемыхпроцессоровМинимальныйразмер RAM (x86)Минимальныйразмер RAM(Itanium)Максимальныйразмер RAM (x86)Максимальныйразмер RAM(Itanium)Минимальныйобъем пространствана диске (х86)Минимальныйобъем пространствана диске (Itanium)133 МГц(рекомендуется550 Мгц)2128 Мб(рекомендуется256 Мб)2 ГбПриблизительно2 Гб133 МГц(рекомендуется550 Мгц)4128 Мб(рекомендуется256 Мб)4 ГбПриблизительно2 Гб133 МГц(рекомендуется550 Мгц)1ГГц8128 Мб(рекомендуется256 Мб)1 Гб (рекомендуется2 Гб)32 Гб64 ГбПриблизительно2 ГбПриблизительно4 Гб133 МГц(рекомендуется550 Мгц)1ГГц32128 Мб(рекомендуется256 Мб)1 Гб (рекомендуется2 Гб)64 Гб512 ГбПриблизительно2 ГбПриблизительно4 Гб

48 Windows Server 2003. Полное руководствоWindows Server 2003 поддерживает собственными средствами два типа кластеризации.• MSCS (Microsoft Clustering Services — службы кластеризации Microsoft). Требуетнепосредственной (сильной) связи между элементами оборудования и обеспечиваетизбыточность, способность перехода по отказу (failover), а также совместногодоступа к приложениям и данным во всем кластере. MSCS можно использоватьтолько в Enterprise Edition и Datacenter Edition.• NLB (Network Load Balancing — балансирование сетевой нагрузки). Обеспечиваетбалансирование IP-трафика между несколькими серверами. В отличие от MSCS,NLB не обеспечивает переход по отказу (failover) для приложений и данных.Служба NLB доступна во всех версиях Windows Server 2003.Кроме NLB и MSCS, Windows Server 2003 поддерживает также третий тип кластеризации- Component Load Balancing (Балансирование загрузки компонентов),при котором можно балансировать загрузку объектов СОМ+ между несколькимикомпьютерами. Однако этот метод не обеспечивается собственными средствамиWindows Server 2003 и требует приобретения Microsoft Application Center 2000.Примечание. Для изучения кластеров см. гл. 24.При выборе оборудования кластеризации учтите следующее.• Ввиду использования нового кворум-ресурса под названием Majority Node Set(Мажоритарный набор узлов) для MSCS больше не требуется разделяемое кворум-устройство.Это означает, что вы можете создать кластер серверов без разделяемыхдисков (хотя традиционный кворум-механизм для кластеров по-прежнемуможно использовать).• Служба MSCS оптимизирована для SAN-устройств (сетей хранения данных).и В отличие от NLB в предыдущих версиях Windows служба NLB теперь поддерживаетнесколько сетевых адаптеров (карт сетевого интерфейса - NIC), что позволяетбалансировать нагрузку между несколькими подсетями и использоватькомпьютеры с NLB как прокси-серверы или брандмауэры.При выборе оборудования для определенного типа кластеризации, особенно дляMSCS, важно обеспечить, чтобы оборудование серверов и физические межсоединениямежду серверами и дисками поддерживались данной операционной системой.Список кластеров оборудования, совместимых с Windows Server 2003, см. в спискеHCL Microsoft.Поддержка Plug and PlayКлиентские и серверные операционные системы Microsoft (в том числе WindowsServer 2003) поддерживают стандарты Plug and Play (PnP), чтобы определять подключенныеустройства и устанавливать соответствующие драйверы. Вы можете использоватьс Windows Server 2003 разнообразные PnP-устройства, включая картыдля шин PCI и ISA.Если на вашем компьютере имеются устройства, не поддерживающие РпР,Windows Server 2003 тоже позволяет использовать их. Однако вы должны проследить,чтобы ресурсы, используемые соответствующим устройством, не создаваликонфликта друг с другом или с зарезервированными ресурсами BIOS компьютера.Если вы уже используете одно или несколько не поддерживающих РпР устройств в

Глава 2. Установка 49более ранней версии Windows, и эти устройства работают должным образом, то, вероятно,они будут нормально работать и в Windows Server 2003. Однако вы должныдокументировать эти устройства, включая текущие диапазоны адресов ввода-вывода,диапазоны адресов памяти, линии прерываний (IRQ) и каналы прямого доступак памяти (DMA), если это требуется. Эта информация может потребоваться позже,когда вы будете конфигурировать устройства или изменять их конфигурацию вWindows Server 2003.ВопросыACPIВ настоящее время ACPI (Advanced Configuration and Power Interface - Усовершенствованныйинтерфейс конфигурирования и управления электропитанием) — этостандарт, используемый для взаимодействия PC-совместимого оборудования с BIOSкомпьютера. Windows Server 2003 поддерживает ACPI, но этот стандарт могут неподдерживать более ранние системы Windows, использующие средства АРМ(Advanced Power Management). Во избежание проблем сверяйтесь со списком HCL.Разработка плана развертыванияУстановка новой операционной системы в действующей сети является непростойзадачей. Прежде чем выполнить установку или модернизацию к Windows Server 2003на своем первом компьютере, проведите исчерпывающее тестирование этой операционнойсистемы в экспериментальных условиях и составьте четкий список шагов,которые следует предпринять для ее развертывания и последующего управления ввашей эксплуатируемой среде. Это и будет ваш план развертывания.Не существует никаких строго определенных правил относительно плана развертывания,но любой такой план должен быть максимально детализирован. Начнитес основополагающей информации о текущей инфраструктуре и окружении,определите структуру вашей компании и составьте подробную схему вашей сети,включая протоколы, адресацию и соединения с внешними сетями (каналы с другимилокальными сетями и Интернет). Кроме того, в вашем плане развертывания должныбыть указаны используемые в вашей среде приложения, на которые можетповлиять установка Windows Server 2003. Сюда относятся многоуровневые приложения,веб-приложения и все компоненты, которые будут выполняться на компьютере(ах)Windows Server 2003.После определения компонентов вашей среды нужно описать в плане развертыванияособенности вашей установки, включая описание вашей тестовой среды, количествосерверов, которые будут развернуты, и порядок развертывания. Последней,но не менее важной частью плана развертывания должны быть шаги, которыепотребуется выполнить, если что-то будет происходить неверно; разработка мер,позволяющих справиться с потенциальными проблемами развертывания, являетсяодним из наиболее важных аспектов этапа планирования.Если вам трудно определить весь объем оборудования, приложений и данных,используемых в вашей организации, выясните, существует ли в вашей организацииплан бесперебойной работы предприятия, включающий ИТ-ресурсы. Многие ИТподразделенияподдерживают план аварийного восстановления, где определеныконкретные шаги по восстановлению серверов в случае стихийного бедствия, и этотплан может оказаться хорошим источником информации о текущих аппаратныхплатформах, версиях приложений и местонахождении критически важных деловыхданных.

50 Windows Server 2003. Полное руководствоСовет. Документ, созданный с помощью текстового процессора, вполне подходитдля плана развертывания, но если у вас большое окружение или вы планируете развертываниеWindows Server 2003 на достаточно длительный период времени, то дляслежения за ходом развертывания вы можете использовать подходящее программноесредство управления проектами, например, Microsoft Project.Примечание. В вашем плане развертывания должны быть указаны все сотрудники,непосредственно участвующие в процессе развертывания, а также их роли. Это снизитвероятность того, что некоторые задачи будут дублированы или, что еще хуже,вообще не будут выполнены.Документирование оборудованияПрежде чем приступить к установке, очень важно определить, соответствует ли вашеоборудование высоким требованиям Windows Server 2003. Ввиду большого числатребований, влияющих на совместимость с этой операционной системой, вам нужнодокументировать все имеющиеся компьютеры, на которых вы планируете установитьили модернизировать ОС. Исходя из этого анализа, вам может потребоватьсядля поддержки Windows Server 2003 улучшение таких компонентов, как RAM,ЦП и емкость дисков, или даже замена компьютера.Чтобы определить оборудование, которое требуется модернизировать или заменитьдо начала развертывания, вы можете составить список инвентаризации с описаниемоборудования компьютеров, которые предполагается использовать в качествесерверов. В таблице 2.2 приводится список инвентаризации оборудования синформацией о двух компьютерах, которые предполагается модернизировать доWindows Server 2003.Табл. 2.2. Пример списка инвентаризации компонентов оборудованияКомпьютер Serverl5 Server22Текущая операционнаясистемаТекущая рольОсновная функцияRAMЦПДискиСетевые интерфейсыАрхитектура HALМодернизацияWindows NT 4Главный контроллер домена (PDC)PDC, сервер печати512 Мб (РС133 SDRAM)1.2 ГГц Pentium III40 Гб IDE (RAID-0)10/100 Мбит/с, (1) 1 Гбит/сОднопроцессорная - не ACPIДобавить второй ЦП 1.2 ГГцPentium IIIМодернизация к последней BIOSДобавление RAM 512 МбWindows 2000 AdvancedServerРядовой серверСервер базы данных2 Гб (РС2100 DDR)2.0 ГГц Pentium 418 Гб SCSI (RAID-5)10/100 Мбит/сМногопроцессорнаяACPIМодернизация кпоследней BIOS

Глава 2. Установка 51При разработке стратегии модернизации или замены оборудования для вашихустановок Windows Server 2003 используйте информацию из этого списка совместнос информацией из приведенного выше раздела «Требования к оборудованию».Документирование сетиДокументирование сетевой информации в вашем плане развертывания - это анализвсех аспектов сетевого взаимодействия в вашей организации. Сюда входит нетолько физическое оборудование сети, такое как сетевые адаптеры, типы кабелей,маршрутизаторы, переключатели и концентраторы, но также информация о конфигурациипротоколов, географическая схема сайтов и логическая топология.Для взаимодействия с другими хостами вашей сети компьютер Windows Server2003 должен использовать совместимую схему сетевой адресации и должен иметьуникальное имя. В случае протокола TCP/IP это требует документирования вашихтекущих подсетей, доступных статических IP-адресов в каждой подсети, имеющихсясерверов DHCP и пространств имен DNS. Для сетевых имен вам следует включитьв документацию метод, который используется вашей организацией для именованиясерверов в сети.Примечание. Windows Server 2003 устанавливает TCP/IP по умолчанию как единственныйпротокол (при установках «с нуля»). К тем же сетевым адаптерам могутбыть привязаны и другие протоколы, позволяя вам, например, запускать IPX/SPXдля взаимодействия с сетью NetWare.В вашем плане развертывания должны быть описаны все соединения между внутреннимифизическими сетями, а также все соединения с другими региональнымисетями (MAN) и глобальными сетями (WAN). Сюда следует включать тип соединения,пропускную способность и тип данных, передаваемых через соответствующийканал.Даже если вы не планируете модернизировать контроллеры домена к WindowsServer 2003, документирование вашей текущей структуры домена покажет, как отдельныекомпьютеры Windows Server 2003 «впишутся» в вашу сеть. Кроме того, вамбудет проще определить последовательность модернизации ваших существующихдоменов и контроллеров доменов, когда вы приступите к их модернизации.Документирование программного обеспечения (ПО)Документируйте ваши приложения, включая имя каждого приложения, выполняемогона каждом сервере, текущие версии (включая уровни пакетов с исправлениями)и краткое описание назначения соответствующего ПО. Кроме того, в дополнениек наиболее очевидным деловым приложениям не забудьте включить важныеслужбы, такие как SQL Server, а также «менее заметные» компоненты, такие какслужбы от сторонних фирм и средства управления ПО.Документирование унаследованных компонентовТермин «унаследованный» фактически означает в нашем случае «устаревший», иэто в равной степени относится к оборудованию, приложениям, протоколам и данным.Унаследованные компоненты обычно используются для важных целей во всей

52 Windows Server 2003. Полное руководствоорганизации, и это часто является обоснованной причиной того, что соответствующийунаследованный компонент пока не удален или не заменен. В связи с WindowsServer 2003 к унаследованным компонентам могут относиться:• Определенные карты ISA или PCI, например, карты стандарта SNA для связи сбольшими ЭВМ или адаптеры хостов шифрования, не поддерживаемые этойоперационной системой. Если эти устройства работают в настоящий момент насервере Windows NT или Windows 2000, нет никакой гарантии, что драйверы этихустройств будут работать с Windows Server 2003.• Старые контроллеры устройств массовой памяти или контроллеры со старымиBIOS, которые не поддерживаются этой операционной системой. Например, увас ничего не выйдет, если попытаться использовать одну из старых версий контроллераDEC/Mylex DAC960 RAID, работающих с Windows 2000.• Старые 8-битные или 16-битные приложения для DOS или Windows 3.x. Хотя вWindows Server 2003 сделаны огромные усилия для поддержки обратной совместимостисо старым ПО, отнюдь не каждая программа будет правильно работатьс этой операционной системой.Подготовьтесь к возможным проблемамДаже в самом лучшем плане развертывания нельзя учесть каждую проблему, котораяможет возникнуть при включении Windows Server 2003 в вашу среду. Например,при сборе информации о сети не было включено важное приложение, и это приложениене запускается в Windows Server 2003, или BIOS с устаревшим ACPI вызываетпроблемы на только что модернизированных контроллерах домена. Независимо отконкретных проблем, с которыми вы можете столкнуться, важно определить потенциальныериски, связанные с каждым этапом развертывания, и включить непредвиденныеобстоятельства в ваш план развертывания. Вы должны предусмотретьспособ возврата из текущего этапа по возможности путем восстановления средык ее предыдущему состоянию.Проблемы можно предусмотреть до того, как они произойдут, иначе их приходитсяустранять по мере возникновения. Конечно, невозможно документироватьвсе, что может неверно происходить при развертывании, и предусмотреть соответствующиемеры. Но, составив список потенциальных проблем и их решений на каждомэтапе вашего плана развертывания, вы можете избавить себя от массы работы,включая ужасные ситуации, когда в 2 часа ночи вы осознаете, что уже 12 часов вашсервер не работает, а вы так и не знаете, как его наладить.Очевидно, что резервное копирование всей информации является обязательнымусловием развертывания новой операционной системы, но в план устранения непредвиденныхпроблем следует включать не только восстановление из резервнойкопии. Вы должны обязательно учесть в своем плане развертывания такие обстоятельства,как несовместимость с оборудованием и приложениями, включенными вваш план, а также с драйверами от сторонних фирм.Выполнение предустановочных задачВ этом разделе приводится контрольный список некоторых задач, которые следуетвыполнить, прежде чем начать процесс установки.

Отсоедините устройства ИБПот последовательного портаГлава 2. Установка 53На этапе установки Windows Server 2003 утилита установки обследует компьютердля выявления подсоединенных устройств. К сожалению, кабели ИБП (UPS), подсоединенныек последовательному порту, могут вызывать «зависание» утилиты установки.Во избежание этой ситуации отсоедините ИБП, подсоединенный к вашемукомпьютеру через последовательный порт, пока не завершится процесс установкиWindows Server 2003.Знайте местоположение файлов на носителяхустановки Windows Server 2003Установочный компакт-диск Windows Server 2003 содержит все файлы, которые требуютсядля создания и управления установками этой операционной системы во всейвашей организации. Поскольку на этом носителе имеется множество установочныхфайлов и средств развертывания, вам следует ознакомится с местоположением файловна этом CD-ROM. В таблице 2.3 приводится список содержимого на носителяхустановки (эта информация относится только к носителям 32-битной установки).Табл. 2.3. Файлы на носителе Windows Server 2003Папка\\DOCS\I386\I386\ADMT\I386\COMPDATA\I386\DRWСодержимоеAUTORUN.INF: Запускает SETUP.EXE, когда CD-ROMустанавливается на Windows-компьютере с активизированнымсредством Autorun (Автозапуск).README.HTM: Содержит информацию, относящуюся ксовместимости и установке. Использует многие файлы изпапки \DOCS.SETUP.EXE: Запускает программу установки для WindowsServer 2003. Может использоваться только на Windows-компьютерах.Release Notes (Примечания к выпуску). Сведения о последнихизменениях, действия по устранению проблем и информацияпо совместимости.Файлы установки для операционной системы WindowsServer 2003, включая программы установки WINNT.EXE иWINNT32.EXE. Содержит также несколько подпапок с утилитами.Active Directory Migration Tool 2.0 (ADMT). Используетсядля миграции данных между доменами Windows NT 4 иWindows Server 2003.Данные по совместимости для приложений и оборудования.Используется при работе утилиты проверки совместимостиоборудования и программного обеспечения.Средство поиска и устранения проблем Dr. Watson.

54 Windows Server 2003. Полное руководствоПапка\I386\LANG\I386\SYSTEM32\I386\WINNTMIG\I386\WINNTUPG\PRINTERS\SUPPORT\TOOLS\VALUEADD\MSFT\FONTS\VALUEADD\MSFT\MGMT\CIMV2R5\VALUEADD\MSFT\MGMT\DOMREN\VALUEADD\MSFT\MGMT\IAS\VALUEADD\MSFT\MGMT\PBA\VALUEADD\MSFT\NET\TOOLS\VALUEADD\MSFT\USMTСодержимоеФайлы языков, используемых с приложениями WindowsServer 2003.Подсистема Session Manager, используемая для запуска сеансовпользователей.DLL миграции, используемые при миграции к WindowsServer 2003.DLL модернизации, используемые при модернизации кWindows Server 2003.Драйверы принтеров и поддерживающие DLL.DEPLOY.CAB: Windows Server 2003 Corporate DeploymentTools. Этот сжатый архив содержит средства для развертыванияоперационной системы, включая SYSPREP, SetupManager и несколько справочных .chm-файлов.GBUNICNV.EXE: Утилита преобразования символов изнационального стандарта Китая для кодировки текста(GB18030-2000) в общепринятый международный форматUnicode.MSRDPCLI.EXE: Remote Desktop Client для использованияс Terminal Services.NETSETUP.EXE: Network Setup Wizard.SUP*.*: Средства поддержки для управления чем угодно:дисками и файлами, объектами Active Directory, периферийнымиустройствами и безопасностью системы.Дополнительные шрифты True Type.Файл MOF (Managed object format), который можно компилироватьдля передачи дополнительных атрибутов в хранилищеCIM (common information model) WindowsManagement Instrumentation (WMI).Средство переименования доменов. Используется для переименованиядоменов, действующих на собственном функциональномуровне домена Windows Server 2003.Оснастка Windows NT 4 Internet Authentication Service (IAS)для консоли ММС.Программа Phone Book Administrator.TTCP.EXE: Использовавшееся ранее как часть WindowsResource Kits, это средство применяется для генерации необработанныхданных TCP или UDP.Средство User State Migration Tool (USMT), используемоедля миграции профиля пользователя и приложений с одногокомпьютера на другой.

Ознакомление с моделями установкиГлава 2. Установка 55Для установки Windows Server 2003 существует много различных сценариев, начинаяс установки одного экземпляра этой операционной системы на компьютере сновым неразмеченным жестким диском и вплоть до модернизации из какой-либопредыдущей версии Windows. В этом разделе рассматриваются наиболее типичныесценарии (модели) установки.Модернизация в сравнении с новой установкойWindows Server 2003 поддерживает как модернизацию, так и новую установку. Еслиу вас имеется компьютер с какой-либо функционирующей операционной системойи его оборудование совместимо с Windows Server 2003, то, скорее всего, вам будетлучше модернизировать этот компьютер. Но прежде чем устанавливать WindowsServer 2003, вам следует ознакомиться с преимуществами и недостатками обеих моделейустановки.Модернизация. При модернизации на месте (in-place) сохраняются существующиенастройки, включая групповые и пользовательские учетные записи, профили, разделяемыересурсы, службы и полномочия доступа. Сохраняются файлы и приложения,установленные на данном компьютере, включая параметры реестра, ярлыкирабочего стола и папки. Однако это не обязательно означает, что эти приложениябудут совместимы с Windows Server 2003.При модернизации серверов Windows 2000 решение может быть принято, исходяиз простоты реализации. Например, если вы развернули Windows 2000 Server дляобслуживания сложного приложения собственной разработки и вам будет сложновыполнить повторную компоновку компонентов этого приложения, то модернизацияможет оказаться намного проще новой установки, поскольку это позволит сохранитьслужбы, настройки реестра и другие компоненты приложения, в которые,возможно, были внесены недокументированные изменения.С другой стороны, если ваш сервер Windows 2000 был ранее модернизирован изWindows NT 4 (а до этого, возможно, была сделана модернизация из Windows NT3.51), то вам стоит подумать об установке «с нуля». При каждой последующей модернизациисохраняются компоненты из предыдущей операционной системы, и этикомпоненты могут негативно влиять на устойчивость и производительность системыWindows Server 2003.Установка «с нуля». При установке «с нуля» не остается ничего от предыдущей операционнойсистемы, то есть лишних параметров реестра, служб, папок или файлов.Установки «с нуля» обеспечивают определенное единообразие всех ваших компьютеров,работающих под управлением Windows Server 2003.Winnt.exe и Winnt32.exeWinnt.exe и Winnt32.exe - это, соответственно, имена 16-битной и 32-битной программустановки, используемые для всех платформ Windows. Эти две утилиты предусматриваютобширный набор опций командной строки для установки и модернизацииоперационных систем, включая несопровождаемую пользователемустановку, поддержку динамических обновлений, ведение полного журнала установкии поддержку службы Emergency Management Services (EMS). В зависимостиот выбранного метода установки вы можете использовать одну из этих программдля установки операционной системы на вашем компьютере.

56 Windows Server 2003. Полное руководство• Winnt.exe - это 16-битная программа, и она используется только для установки«с нуля».• Winnt32.exe - это 32-битная программа, и ее можно использовать как для установки«с нуля», так и для модернизации из совместимой версии Windows.Эти программы имеют много аналогичных параметров. Обе программы имеютпараметры, поддерживающие различные виды несопровождаемой установки. Обеподдерживают специальные возможности для пользователей (Accessibility Options).Обе позволяют вам задавать команды, которые должны быть запущены после завершенияустановки Windows Server 2003.Но поскольку Winnt32.exe - это 32-битная программа, поддерживающая модернизациюиз предыдущих версий Windows, она позволяет использовать несколькодополнительных команд для поддержки таких средств, как Dynamic Update,Emergency Management Services и журнал установки.Использование Winnt.exeWinnt.exe - 16-битная программа, и ее не запускают в 32-битных операционных системах.Эту программу можно запускать на компьютере, работающем под управлениемболее ранней версии Windows, для установки «с нуля» (но не для модернизации).Имеются следующие параметры./%:путь-к-исходной папке. Указывает местоположение файлов установки WindowsServer 2003. Путь может быть задан как путь на диске (D:\i386) или UNC-путь\\INSTALLSRV\i386SOURCE\). В случае UNC-пути у вас должно быть установленосоединение с соответствующим сетевым ресурсом./идиск. Помещает временные файлы на диск, указанный параметром диск./и:файл-ответов. Используется для несопровождаемых установок (см. ниже раздел«Несопровождаемые установки»). Файл-ответов содержит информацию для программыустановки, что позволяет обойтись без ручного ввода информации пользователем.При использовании этого параметра требуется также параметр /s./udf:id [, UDB-файл]. При использовании в несопровождаемых установках передаетпрограмме установки идентификатор, указывающий UDB-файл (UniquenessDatabase), который будет применяться для модифицирования файла ответов. Значенияиз UDB-файла замещают соответствующие значения файла ответов, что позволяетиспользовать уникальную информацию при установке операционной системыбез указания каждого запрашиваемого параметра. Если не указать какой-либоUDB-файл (в виде пути на диске или UNC-пути), то вам будет предложено указатьфайл с именем $UNIQUE$.UDB./г.папка. Указывает имя папки, которая должна быть установлена после завершенияпрограммы установки. Папка и ее содержимое остаются на компьютере послезавершения установки./гктапка. Указывает имя папки, которая должна быть скопирована на компьютер.После завершения программы установки эта папка удаляется./е:команда. Указывает команду (или программу), которая будет выполнена послезавершения программы установки. Эта команда выполняется в контексте даннойлокальной системы./а. Указывает установку специальных возможностей (Accessibility Options).

Использование Winnt32.exeГлава 2. Установка 57Winnt32.exe - 32-битная программа установки, которую можно использовать дляустановки «с нуля» или для установки на компьютере, работающем под управлениемболее ранней версии Windows, начиная с Windows 95. Хотя Winnt32.exe можнозапускать из любой унаследованной версии Windows, она позволяет выполнить модернизациюне из всех версий. Ее можно использовать для модернизации только изопределенных предыдущих версий серверных операционных систем Microsoft. Новы можете запускать Winnt32.exe из любой немодернизируемой платформы (например,Windows 98) для полной перезаписи текущей ОС или для установки, позволяющейвыполнять загрузку нескольких операционных систем.Имеются следующие параметры./checkupgradeonly. Проверка компьютера на совместимость с Windows Server 2003.Результаты выводятся на экран, и вы можете также сохранять эти результаты в файле.Имя файла по умолчанию - %SYSTEMROOT%\UPGRADE.TXT./стй:команда. Указывает команду, которая должна быть выполнена после перезагрузкикомпьютера (после того, как программа установки собрала всю информациюо конфигурации, но до завершения последней фазы программы установки). Этакоманда выполняется в контексте данной локальной системы./соруИг.имя-папки. Указывает имя папки, которую вы хотите создать в том месте,где устанавливаются исходные файлы Windows./copysource:uAi»-nan/rti. Указывает имя папки, которую вы хотите скопировать накомпьютер во время установки. После завершения программы установки эта папкаудаляется./&Ъп%\уровенъ\:[имя-файла\. Указывает создание журнала отладки во время установкив соответствии с одним из следующих уровней детализации.• 0 Включаются только серьезные ошибки.• 1 Включаются все ошибки.• 2 Включаются все ошибки и предупреждения.• 3 Включаются все ошибки, предупреждения и информация.• 4 Наиболее подробный уровень ведения журнала, включающий все ошибки, предупреждения,информацию и другие подробные сведения./dudisable. Указывает отключение средства динамического обновления (DynamicUpdate) во время установки. В результате программа установки использует исходныеустановочные файлы Windows Server 2003. Эта команда переопределяет значениепараметра /DUDisable в файле ответов UNATTEND.TXT./dupreparernjwb. Указывает загрузку файлов динамического обновления (DynamicUpdate) с веб-сайта Windows Update. Это позволяет клиентам устанавливать обновленныеустановочные файлы без необходимости их отдельной загрузки./dusharernjwb. Указывает место (дисковый путь или UNC-путь), куда вы ранее загрузилифайлы с веб-сайта Dynamic Update, используя параметр /duprepare. Еслиприменить этот параметр на компьютере, где вы будете устанавливать Windows Server2003, то при установке будут использоваться обновленные установочные файлы./emsport:{coml | com2 | off | usebiossettings}. Указывает программе установки, чтонужно включить или отключить службу Emergency Management Services (EMS). EMSпозволяет дистанционно управлять сервером в ситуациях, когда сервер не функционируетдолжным образом.

58 Windows Server 2003. Полное руководство/emshaudrate:cKopocmb-e-6odax. Указывает скорость передачи данных в бодах для EMSпри работе через последовательный порт. Допустимые значения - 9600,19200,57600или 115200. Этот параметр неприменим к 64-битным установкам, поскольку дляEMS нельзя задать использование последовательного порта с оборудованием наоснове IA64./т:имя-папки. Указывает для программы установки альтернативное местоположениеобновленных или заменяющих файлов. Если в указанном месте имеются файлы,то они будут использоваться вместо файлов, находящихся на принятом по умолчаниюносителе установочных файлов./makelocalsource. Указывает программе установки, что нужно скопировать все установочныефайлы на локальный жесткий диск. Этот параметр обычно используется,если вы знаете, что у вас не будет дальнейшего доступа к исходным файлам в процессеустановки./noreboot. Указывает программе установки, что после копирования файлов не нужноперезагружать компьютер./&:путъ-к-исходной-папке. Указывает местоположение файлов установки WindowsServer 2003. Путь может быть указан как дисковый путь или UNC-путь (при наличиисоответствующего соединения в сети)./syspart:6yicea-ducica. Указывает программе установки, что нужно только копироватьустановочные файлы на указанный жесткий диск и пометить этот диск какактивный. При перезагрузке компьютера работа продолжится со следующей фазыпрограммы установки. Этот параметр требуется использовать совместно с параметром/tempdrive, и его нельзя применять на компьютерах, которые на данный моментработают под управлением Windows 95, Windows 98 или Windows Me. Этот параметрнедоступен в 64-битных установках./tempAri\e:6yicea-ducica. Помещает временные файлы на указанный диск и устанавливаетWindows на этом диске. Если этот параметр не указан, программа установкинаходит подходящий диск./udf:id [,1ЮВ-файл]. При использовании в несопровождаемых установках передаетпрограмме установки идентификатор, указывающий UDB-файл (UniquenessDatabase), который будет применяться для модифицирования файла ответов. Значенияиз UDB-файла замещают соответствующие значения файла ответов, что позволяетиспользовать уникальную информацию при установке операционной системыбез указания каждого запрашиваемого параметра. Если не указать какой-либоUDB-файл (в виде пути на диске или UNC-пути), то вам будет предложено указатьфайл с именем $UNIQUE$.UDB./unattend. Указывает модернизацию предыдущей серверной операционной системыWindows (при условии, что она допускает модернизацию). Программа установкиавтоматически загружает динамические обновления (Dynamic Updates) и включаетэти файлы при модернизации операционной системы. Все настройкикопируются непосредственно из предыдущей установки, поэтому от пользователяне требуется никаких действий./unattend: [ число]: [файл -ответов]. Указывает выполнение новой установки в несопровождаемомрежиме с использованием следующих значений:• Число. Указывает время ожидания (в секундах) после копирования файлов передперезагрузкой.

Глава 2. Установка 59• Файл-ответов. Полный путь (дисковый или UNC) к файлу UNATTEND.TXT,который будет использоваться во время установки для задания соответствующейинформации.Установка с компакт-дискаУстановка с CD Windows Server 2003 - это, видимо, наиболее простой способ установки,поскольку для этого не требуется дополнительного оборудования или сетевойподдержки. Кроме того, установка с CD-ROM происходит быстрее, посколькув ней используются операции ввода-вывода через высокоскоростную шину междуCD-ROM и ЦП вместо более медленных сетевых соединений, которые используютсяпри других способах установки.Загрузка с CD Windows Server 2003Платформа Windows уже много лет поддерживает загрузочный CD-ROM, и в WindowsServer 2003 продолжается использование этого простого и полезного метода установки.Для загрузки с CD у вас должен использоваться привод CD-ROM, поддерживающийрасширения ISO 9660 El Torino для загрузочных носителей, а в BIOSпервым загрузочным устройством должен быть выбран привод CD-ROM.Этот способ можно использовать только для новой установки Windows Server2003, но не для модернизации из предыдущей версии Windows.Запуск Setup.exe с CD-ROMВы можете использовать этот способ, если на вашем компьютере уже установленакакая-либо операционная система Windows и вы хотите выполнить модернизациюиз этой операционной системы (если она поддерживает модернизацию) или установитьWindows Server 2003 как отдельную операционную систему (конфигурациядля двойственной загрузки). Установите CD-ROM в дисковод, и если включено средствоAutorun (Автозапуск), то появится меню с различными опциями. Если средствоAutorun не включено, дважды щелкните на Setup.exe на CD-ROM.Установка с загрузочной дискеты MS-DOSУстановка Windows Server 2003 с загрузочной дискеты MS-DOS - это подходящийвариант, только если вы устанавливаете новый экземпляр операционной системы.Этот способ нельзя использовать для установки из существующей операционнойсистемы, установленной на данном компьютере.Возможны две основные причины, по которым вам может потребоваться этотстарый, но эффективный способ для установки Windows Server 2003. Во-первых, увас может быть накопитель CD-ROM, не поддерживающий загрузку. Во-вторых,вам может потребоваться двойственная загрузка Windows Server 2003 на компьютере,где уже работает операционная система, которая не позволяет запускать ни однойиз программ установки Windows Server 2003, например, Linux или FreeBSD.В любом случае вы можете использовать загрузочную дискету MS-DOS с поддержкойCD-ROM для доступа к накопителю CD-ROM и затем запустить Winnt.exeдля установки операционной системы.

60 Windows Server 2003. Полное руководствоПримечание. В отличие от Windows NT и Windows 2000, в систему Windows Server2003 не включена поддержка загрузочных дискет.Создание загрузочной дискеты MS-DOS не представляет сложностей (вы можетедаже подготовить ее в системе Windows 9.x). Эта дискета должна содержать загрузочныефайлы MS-DOS, драйверы DOS для большинства приводов CD-ROM с интерфейсомIDE, ATAPI и SCSI, а также утилиты создания дисковых разделов,включая Fdisk и Format. Он должен также содержать программу кэширования дискаSmartdrv.exe, которая существенно сокращает время инсталляции на первом этапепрограммы установки, когда происходит копирование файлов на системный диск.Для большей эффективности проследите, чтобы в файле Autoexec.bat на дискетепрограмма Smartdrv.exe вызывалась после Mscdex.exe, например,@echo offa:\mscdex.exe /d:mscd0001a:\smartdrv.exeПрежде чем использовать загрузочный диск MS-DOS для запуска установкиWindows Server 2003, вы должны убедиться, что у вас хватвет места на диске дляиспользования программой установки. Программа установки, запускаемая при загрузкенепосредственно с CD-ROM, может создавать дисковые разделы, но автономнаяпрограмма Winnt.exe не может этого. Если вы попытаетесь начать установкуWindows Server 2003 после загрузки с помощью загрузочной дискеты MS-DOS,не имея отформатированного раздела FAT16, FAT32 или NTFS, то программа установкисообщит, что нет доступного пространства на диске, и вам останется тольковыйти из программы установки.Чтобы обойти это ограничение, вам нужно создать дисковый раздел, в которомможно сохранить временные файлы установки Windows Server 2003. Это должен бытьпервичный раздел (primary partition), и его нужно сделать активным. Он должен бытьдостаточно большим, чтобы вместить файлы установки (примерно 1 Гб), но это необязательно должен быть загрузочный раздел или системный раздел после того, какбудет установлена операционная система. Однако установка и управление системойWindows Server 2003 будут намного проще, если он будет загрузочным и системнымразделом, а это означает, что он должен быть достаточно большим, чтобы вместитьполностью установленную операционную систему (не менее 2 Гб для 32-битныхсистем х86 и 4 Гб для 64-битных систем Itanium). Этот раздел может поддерживатьлюбую файловую систему Microsoft - FAT16, FAT32 или NTFS. Чтобы создать этотраздел, вы можете использовать любое средство, которое записывает таблицы разделов,включая утилиты Fdisk и Format на загрузочной дискете MS-DOS.Создав загрузочную дискету и убедившись, что у вас имеется раздел FAT или NTFS,выполните загрузку компьютера, на котором хотите установить Windows Server 2003.Ваш накопитель CD-ROM должен быть представлен как системный диск, и вы можетезатем запустить nporpaMMy\i386\Winnt.exe, чтобы начать процесс установки.Использование сетевых точек разделяемого доступадля установкиПоскольку установка Windows Server 2003 происходит с помощью файлов, вы можетеиспользовать для нее почти любой носитель, включая сетевые разделяемые

Глава 2. Установка 61ресурсы на других Windows-компьютерах. Вы можете использовать определеннуюразделяемую точку для оперативных установок или для автоматизированных несопровождаемыхустановок. Для установки из сетевой разделяемой точки соответствующийкомпьютер должен содержать какую-либо операционную системуMicrosoft, которая может обеспечивать сетевые соединения.Для установки Windows Server 2003 из удаленного разделяемого ресурса, подсоединитеськ сетевому ресурсу, содержащему установочные файлы, и запуститеWinnt.exe или Winnt32.exe.Использование скриптов входа и пакетных файловВы можете использовать скрипты входа (командные файлы и скрипты WSH) илизапускаемые вручную пакетные файлы для запуска установок Windows Server 2003.Хотя это нельзя назвать формально автоматизированным методом установки (посколькусам по себе пакетный файл не можете передавать информацию установки впрограмму установки Windows Server 2003), вы можете использовать скрипты входаили пакетные файлы для передачи команд в Winnt.exe и Winnt32.exe, чтобы выполнятьнесопровождаемые установки. (Сведения о параметрах см. выше в разделах«Использование Winnt.exe» и «Использование Winnt32.exe»).Автоматизированные установкиАвтоматизированные установки Windows Server 2003 позволяют сетевому администраторубыстро и легко устанавливать эту операционную систему во всей организации.Еще важнее то, что при таких установках обеспечивается высокая степень согласованности,поскольку на каждом компьютере используется одинаковаяинформация установки и конфигурирования и одинаковый набор установочныхфайлов.Еще одним преимуществом автоматизированной установки является исключениебольшей части взаимодействия пользователя с процессом установки; в результатепользователи, имеющие относительно небольшой объем знаний об этой операционнойсистеме, могут выполнять ее развертывание. Разработав хорошоавтоматизированный способ установки, вы можете свести весь процесс установкик загрузке с дискеты или к щелчку на значке рабочего стола.Выбор типа автоматизированной установкиДля автоматизированной установки Windows Server 2003 можно использовать следующиетри метода:• несопровождаемая установка;• установка с помощью SYSPREP;• установка с помощью RIS (Remote Installation Services).Каждый из этих методов имеет свои преимуществ и недостатки. Для их реализацииимеется соответствующие средства на носителе установки.Основой автоматизированной установки является то, что вы заранее подготавливаетеинформацию о своем компьютере для программы установки Windows Server2003, в результате чего эта информация автоматически извлекается в процессе установки.Поскольку это используется при автоматизированном развертывании,очень важно знать почти все о ваших установках до начала развертывания, включая

62 Windows Server 2003. Полное руководствоколичество и местоположение развертываемых серверов, опции сетевого конфигурирования,соглашения об именовании и устанавливаемые службы.Кроме того, каждый из методов автоматизированной установки требует тщательнойи исчерпывающей оценки таких факторов, как пропускная способностьсети и время установки. Обычно администраторы считают, что в их окружении можноприменять более одного автоматизированного метода установки, но обычно лишьодин метод наиболее подходит для определенного окружения.Автоматизированные установки можно разделить на два вида.• Установки «образа» операционной системы. Репликация (дублирование) полностьюсконфигурированного эталонного компьютера с Windows Server 2003 на одинили несколько других компьютеров. SYSPREP - это метод установки с помощьюобраза. RIS тоже позволяет выполнять установку с помощью образа.• Установки с помощью файла ответов. Для конфигурирования целевых компьютеровWindows Server 2003 используется определенный текстовый файл. Этот текстовыйфайл содержит ответы на вопросы, которые запрашиваются у пользователяпрограммой установки при интерактивной установке, например, имякомпьютера, режим лицензирования и сетевые настройки. Несопровождаемаяустановка - это установка с помощью файла ответов; RIS тоже можно использоватькак метод установки с помощью файла ответов.В таблице 2.4 дается краткий обзор факторов для этих трех методов установки.Табл. 2.4. Краткая справка для выбора метода активизированной установкиФактор SYSPREP RIS Несопровож-даемаяустановкаИспользование для новых установокДаДаДаИспользование для модернизацийНетНетДаТребование высокой пропускнойспособностиНетДаНетИдеально подходит для единообразногооборудованияДаДаНетИдеально подходит для разнообразногооборудованияНетНетДаТребует TCP/IPНетДаНетПоддерживает статическую адресациюTCP/IPНетНетДаПоддерживает нестандартные уровни HALНетНетДаОграничен сетевыми адаптерами (NIC),которые поддерживают РХЕ или поддерживаютсясредством Remote BootConfiguration ToolНетДаНетЛегко поддерживает нестандартныеконтроллеры ЗУ большой емкостиТребует Active DirectoryТребует DHCPНетНетНетДаДаДаДаНетНет

Глава 2. Установка 63Фактор SYSPREP RISПоддерживает заранее установленныеприложения, использующиеActive DirectoryПоддерживает автоматизированнуюустановку заранее сконфигурированныхконтроллеров доменаПоддерживает автоматизированнуюустановку Certificate ServicesПоддерживает автоматизированнуюустановку Clustering ServicesПоддержка приложений сторонних фирмв методе установкиМожет использоватьсяс Windows Server 2003 Wfeb EditionНетНетНетНетНетДаДаДаДаДаДаНетНесопровождаемаяустановкаДаДаДаДаДаДаПримечание. Как SYSPREP, так и RIS можно использовать только для установкиновой системы. Их нельзя использовать для модернизации компьютера к WindowsServer 2003. Несопровождаемая установка - это единственный способ автоматизированнойустановки, который можно использовать для модернизации операционнойсистемы.Как видно из таблицы 2.4, при определении наиболее подходящего для вашейорганизации метода требуется взвесить много различных факторов. Имеются такжеследующие дополнительные факторы, которые могут повлиять на ваше решение.• Пропускная способность. Для установок с помощью RIS всегда требуется высокаяпропускная способность, так как по определению образы операционной системыустанавливаются через сеть. Для установок с помощью SYSPREP и несопровождаемыхустановок тоже может потребоваться высокая пропускнаяспособность, если файл образа SYSPREP или установочные файлы операционнойсистемы находятся в разделяемом сетевом ресурсе. Однако для SYSPREP инесопровождаемых установок могут также использоваться файлы с локальныхносителей, таких как CD-ROM или локальный жесткий диск.• Поддержка архитектуры. При использовании SYSPREP или RIS с опцией RIPREPна целевом компьютере должен использоваться уровень HAL, совместимый сHAL исходного компьютера. В таблице 2.5 приводится список взаимной совместимостиуровней HAL по умолчанию, которые поддерживаются системойWindows Server 2003.• Поддержка сетевых адаптеров (NIC). Чтобы использовать RIS, один или несколькосетевых адаптеров на целевом компьютере должны поддерживать стандартIntel Pre-Boot Execution Environment (PXE), либо сетевой адаптер должен поддерживатьсязагрузочным гибким диском RIS, который создается с помощьюсредства Remote Boot Floppy Generator Tool (RBFG.EXE). Загрузочный гибкийдиск RIS поддерживает только определенный ограниченный список сетевых

64 Windows Server 2003. Полное руководствоадаптеров на основе PCI, и его нельзя изменить для поддержки дополнительныхсетевых адаптеров.Табл. 2.5. Список совместимости уровней HAL для автоматизированных установокИмя HAL Описание Поддерживаемая архитектуракомпьютеровHAL.DLLHALAPIC.DLLHALMPS.DLLHALACPI.DLLHe-ACPI PIC (Программируемыйконтроллер прерываний)He-ACPI APIC (Усовершенствованныйпрограммируемыйконтроллер прерываний) содним процессоромHe-ACPI APIC с несколькимипроцессорамиACPI PICHALAACPI.DLL ACPI APIC с одним процессоромHALMACPI.DLL ACPI APIC с несколькимипроцессорамиHe-ACPI PICACPI PICHe-ACPI APIC однопроцессорнаяи многопроцессорнаяACPIAPIC однопроцессорная имногопроцессорнаяHe-ACPI APIC однопроцессорнаяACPI APIC однопроцессорнаяHe-ACPI APIC однопроцессорнаяи многопроцессорнаяACPI APIC однопроцессорнаяи многопроцессорнаяACPI PICACPI APIC однопроцессорнаяи многопроцессорнаяACPI APIC однопроцессорнаяACPI APIC многопроцессорнаяКонтроллеры ЗУ большой емкости. Если целевой компьютер использует контроллерЗУ большой емкости, который не включен в файлы информации по устройствампо умолчанию (.inf-файлы) для Windows Server 2003, и вы используете методустановки на основе образа операционной системы, то вы должнысконфигурировать специальную часть установки (Mini-Setup). Ввиду этого дополнительногошага более удобной для вас может оказаться несопровождаемаяустановка.Сетевые протоколы и службы. Для работы RIS требуется, чтобы в вашей сетидействовали протокол TCP/IP, службы DNS, DHCP и Active Directory (но службыDNS и DHCP не обязательно должны быть версиями, которые поставляетMicrosoft). Для установок с помощью SYSPREP и несопровождаемых установокмогут использоваться другие протоколы, такие как IPX/SPX, и для них не обязательнонужны службы DNS и Active Directory, если эти службы не требуются дляобраза, который вы устанавливаете на целевом компьютере.Кластеры. В кластере серверов соответствующие машины должны иметь одинаковуюконфигурацию за исключением сетевой адресации. Установки с помощьюSYSPREP могут оказаться очень эффективным методом в этой ситуации,поскольку все компьютеры будут гарантированно иметь одинаковый набор файлови версий. Однако важно помнить, что NLB (Network Load Balancing) нельзя

Глава 2. Установка 65реализовать в образе SYSPREP. NLB следует устанавливать и конфигурироватьпо отдельности на каждом компьютере после окончания процесса установкиобраза.• Приложения и службы. Если вы планируете распространять приложения как всоставе установки на основе образа, то должны тщательно проверить, как этиприложения ведут себя на машине, подготовленной с помощью SYSPREP илиRIP с опцией RIPREP (см. ниже в этой главе). При использовании SYSPREPили RIPREP происходит полное стирание уникальной информации о компьютере,включая конфигурацию TCP/IP, идентификатор безопасности (SID) компьютераи другую информацию. По этой причине приложения, работа которыхосновывается на Active Directory, не следует устанавливать в образе SYSPREP.Их следует устанавливать только после того, как к целевому компьютеру примененобраз SYSPREP. Это ограничение SYSPREP и RIPREP также означает, чтоданные методы нельзя использовать для установки Active Directory, CertificateServices, Clustering Services на целевом компьютере, хотя на компьютере, гдевыполнена установка образа с помощью одного из этих методов, можно установитьлюбую из этих служб после начального конфигурирования компьютера.• Подсети TCP/IP. Для метода RIS требуется протокол TCP/IP, и работа сервераRIS основывается на DHCP для предоставления клиентам RIS информации поIP-адресам. Если вы планируете использовать RIS в качестве метода автоматизированнойустановки, а целевые компьютеры находятся в подсети TCP/IP, отличнойот подсети доступного сервера DHCP, то вам потребуется сконфигурироватьсвой маршрутизатор для направления пакетов DHCP между этим серверомDHCP и целевыми компьютерами. Кроме того, если сервер RIS находится в подсети,отличной от подсети целевого компьютера, то вам нужно также сконфигурироватьсвой маршрутизатор для передачи пакетов DHCP на сервер RIS. Дляэтого обычно модифицируют таблицу маршрутизатора IP Helper, чтобы включитьв нее запись для сервера RIS, или модифицируют провайдера ретрансляцииDHCP.Ясно, что требуется проанализировать большой объем информации, прежде чемсделать обоснованный выбор наиболее эффективного метода автоматизированнойустановки. Кроме того, важно помнить, что в вашем случае не обязательно будетиспользоваться только один метод. Например, в крупной организации с несколькимигеографически разбросанными отделениями имеет смысл использовать сочетаниенескольких методов автоматизированной установки в зависимости от пропускнойспособности между этими отделениями. Если выбрать эффективный метод,отвечающий требованиям вашей среды, то автоматизированные установки окажутсябыстрым эффективным и единообразным способом развертывания Windows Server2003 среди компьютеров вашей организации.Несопровождаемая установкаВ случае несопровождаемой установки используется файл ответов с информацией,которая требуется программе установки Windows Server 2003. Кроме того, при несопровождаемойустановке могут устанавливаться нестандартные драйверы устройстви даже устанавливаться приложения (после завершения установки самойоперационной системы). Несопровождаемая установка инициируется с помощьюпрограммы Winnt.exe или Winnt32.exe:3 - 3994

66 Windows Server 2003. Полное руководство• используйте Winnt.exe для установки новой операционной системы;• используйте Winnt32.exe для модернизации существующей операционной системы.Создание дистрибутивной папкиНа первом шаге подготовки несопровождаемой установки нужно создать дистрибутивнуюпапку. Дистрибутивная папка содержит установочные файлы операционнойсистемы, драйверы от сторонних фирм, «заплаты» и обновления, а такжедругие компоненты, которые вы будете устанавливать на целевом компьютере. Дистрибутивнаяпапка может существовать почти на любом носителе, включая сетевойразделяемый ресурс, CD, другой съемный носитель или раздел локального жесткогодиска.Для создания дистрибутивной папки можно вручную скопировать файлы и другиекомпоненты в исходную папку или использовать для этой цели Windows SetupManager (включенный в файл \SUPPORT\TOOLS\DEPLOY.CAB на CD WindowsServer 2003).Как минимум, дистрибутивная папка должна содержать всю папку \i386 (илипапку \ia64 для 64-битных установок). Эту папку можно скопировать в корень сетевогоразделяемого ресурса или на носитель автоматизированной установки. Есливам требуется устанавливать дополнительное программное обеспечение вместе ссодержимым исходного носителя, например, пакеты обновления (Service Pack) инестандартные драйверы, создайте папку $ОЕМ$ внутри папки \i386 дистрибутивнойпапки. В папку $ОЕМ$ можно включать следующие папки (отметим, что именавсех подпапок и файлов в этих папках должны соответствовать формату 8.3).• \$ОЕМ$\$$. Эта папка содержит все обновленные системные файлы, которыезаменяют существующие системные файлы. Эти файлы копируются в папку установкиWindows Server 2003, и структура файлов в папке \$ОЕМ$\$$ должна вточности соответствовать структуре файлов папки установки. Например, есливы хотите заменить файл C:\WINNT\SYSTEM32\DRIVERS.CAB другой версией,то должны поместить эту обновленную версию в папку\i386\$OEM$\$$\SYSTEM32.• \$ОЕМ$\$1. Аналогична папке \$ОЕМ$\$$. Помещенные сюда файлы будут вточности копироваться на целевой компьютер. Но, в отличие от \$ОЕМ$\$$,эти файлы и папки будут помещаться в корень диска, на котором устанавливаетсяWindows Server 2003.• \$ОЕМ$\диск. Помещенные в эту папку файлы и папки будут в точности копироватьсяв корень (корневую папку) указанного диска целевого компьютера. Например,файлы, помещенные в папку \$ОЕМ$\Е, будут копироваться в кореньдиска Е: на целевом компьютере.• \$OEM$\textmode. Эта папка содержит драйверы устройств, HAL-файлы и другиеаппаратно-зависимые файлы для использования во время текстовой фазыустановки Windows Server 2003. Эти файлы должны быть указаны в файлеTEXTMODE.OEM (см. ниже в этом разделе).Применение пакетов обновления (Service Pack)Если вы устанавливаете Windows Server 2003 после того, как выпущены один или несколькоService Pack, то можете применить Service Pack к вашей дистрибутивной папке.Это означает, что сразу после установки компьютеры будут получать обновленныефайлы (так называемая slipstream-установка). Чтобы применить какой-либо Service

Глава 2. Установка 67Pack к вашей дистрибутивной папке, загрузите исполняемый файл этого Service Packс веб-сайта Microsoft Update. Раскройте этот Service Pack, запустив исполняемый файлс параметром -х. В результате файлы из Service Pack будут помещены в папку, имякоторой вы должны будете указать. По окончании обновите дистрибутивную папкуизвлеченными файлами Service Pack с помощью следующей команды:[sp-диск] :\[sp-nyTb]\update.exe -s: [ds-диск] :\[ds-nyTb]гдеsp-диск и sp-путъ представляют путь к извлеченным файлам Service Packds-диск и ds-путь представляют путь к дистрибутивной папке.Применение драйверов контроллеров ЗУ большой емкостиПри использовании других методов автоматизированной установки применениедрайверов контроллеров ЗУ большой емкости (mass storage) из источников, отличныхот носителей Windows Server 2003, может оказаться очень сложным делом. Ксчастью, несопровождаемая установка позволяет легко управлять нестандартнымидрайверами. Используя специальную папку \$OEM$\textmode, вы можете указатьодин или несколько драйверов контроллеров ЗУ большой емкости, которые будутиспользоваться в процессе идентификации драйверов во время установки.Чтобы добавить эти драйверы, скопируйте файл драйвера в папку \$ОЕМ$\textmode. У вас должен быть хотя бы один .sys-файл (драйвер) и один файлTXTSETUP.OEM (файл описания, предоставляемый поставщиком драйвера). Послекопирования этих файлов внесите изменения в файл TXTSETUP.OEM, заменивсимволом «точка» путь, указывающий местоположение файлов драйверов в концекаждой строки.Затем включите в файл TXTSETUP.OEM строку [MassStorageDrivers]. Для каждогодрайвера в файле TXTSETUP.OEM создайте одну строку в этой секции. В окончательномвиде это может выглядеть следующим образом:[MassStorageDrivers]"[имя драйвера]" = "OEM"Вы должны также добавить следующую строку в файл UNATTEND.TXT:[Unattended]OEMPrelnstall = YesПрименение обновленных драйверов Plug and PlayИспользуя специальную папку \$ОЕМ$\$1 в дистрибутивной папке, выможете задатьдополнительные драйверы Plug and Play, которые будут доступны, когда будетпроисходить распознавание оборудования у клиентов установки. Скопируйте этидрайверы в любую подпапку папки \$ОЕМ$\$ 1 и затем внесите изменения в записьOEMPnPDriversPath файла UNATTEND.TXT, указав местоположение драйвероввнутри папки \$ОЕМ$\$1. Например, если вы создаете папку \$OEM$\$l\Drivers\NIC\MegaNIC в дистрибутивной папке, добавьте следующие строки в файлUNATTEND.TXT:[Unattended]OEMPnPDriversPath = \Drivers\NIC

68 Windows Server ?003. Полное руководствоДрайверы, скопированные в эту папку, будут включаться в список драйверов,когда на клиентах установки будет выполняться поиск драйверов Plug and Play вовремя распознавания устройств.Создание файла UNATTEND.TXTUNATTEND.TXT - это имя файла ответов, который используется во время несопровождаемойустановки. Этот файл содержит информацию, которая вводилась бычеловеком, выполняющим установку операционной системы с помощью графическогоинтерфейса. UNATTEND.TXT содержит ключевую информацию, например,о владельце, региональных настройках, драйверах от сторонних фирм и других данных,которые требуются для установки операционной системы. Задавая информациюв файле UNATTEND.TXT, вы можете частично или полностью автоматизироватьнесопровождаемую установку.Хотя этот файл обычно имеет имя UNATTEND.TXT, вы можете назвать его какугодно. Этот файл обычно устанавливается в корне дистрибутивной папки. В дополнениек создаваемому вручную файлу UNATTEND.TXT вы можете создать новыйфайл или внести изменения в существующий файл с помощью средства WindowsSetup Manager, включенного в файл \SUPPORT\TOOLS\DEPLOY.CAB носителяустановки Windows Server 2003.Запуск несопровождаемой установкиДля запуска несопровождаемой установки вы можете использовать Winnt.exe илиWinnt32.exe. Ниже приводится несколько типичных сценариев, показывающих, насколькогибкой может быть несопровождаемая установка.winnt32 /unattend:5:unattend.txt /s:\\installsrv\distзапускает несопровождаемую установку с использованием файла UNATTEND.TXT,находящегося в сетевом разделяемом ресурсе \\installsrv\dist и ожидает пять секундпосле копирования файлов, прежде чем выполнить перезагрузку компьютера.winnt32 /urunattend.txt /s:d:\i386 /e:c:\dcpromoзапускает несопровождаемую новую установку с использованием файлаUNATTEND.TXT, находящегося на локальном CD-ROM в папке \i386, включаетспециальные возможности (Accessibility Options) во время установки и запускаетпрограмму DCPROMO.EXE.SYSPREPУже много лет системные администраторы используют процесс клонирования компьютера,то есть двоичной копии операционной системы, реестра и приложений, атакже всех файлов и структур жесткого диска этого компьютера, чтобы дублироватькопию (реплику) одного компьютера на другой компьютер. Это чрезвычайно полезныйпроцесс, поскольку он позволяет очень быстро конфигурировать один илинесколько компьютеров без необходимости ввода информации о лицензировании.К сожалению, клонирование диска имеет свою «Ахиллесову пяту». Дублированиевсего, что находится на диске, означает, что копируется также вся уникальнаяинформация, относящаяся к конкретному компьютеру, например, адрес TCP/IP,идентификаторы безопасности (SID) и другие значения. Это не представляет особойпроблемы для старых операционных систем Microsoft, например, Windows 95,но является серьезной проблемой для более сложных операционных систем, таких

Глава 2. Установка 69как Windows Server 2003. Хотя существует целый ряд средств, которые позволяютскорректировать уникальные значения, например, NewSID компании Syslnternals(www.sysinternals.com), эти средства на самом деле не содержат способа настройкиклонированного образа.SYSPREP не только автоматизирует присваивание уникальной информации клонированнымобразам, но также формирует настроенную информацию для каждойустановки, выполненной из клонированного образа. С помощью SYSPREP вы можетелегко выполнять слияние настраиваемой информации, такой как имя компьютера,имя домена, сведения о лицензировании продукта и даже информация обактивизации продукта, с клонированной установкой Windows Server 2003.Программа SYSPREP и средства ее поддержки (включая программу SetupManager) находятся в файле \SUPPORT\TOOLS\DEPLOY.CAB на CD Windows Server2003.Подготовка эталонного образаПрежде чем развертывать настраиваемый образ с помощью SYSPREP, вы должныподготовить эталонный образ, содержащий полностью сконфигурированную копиюWindows Server 2003, которая будет копироваться на целевые компьютеры. Созданиеэталонного образа требует существенной детализации. Поскольку каждыйфайл и конфигурация устройств в образе, который вы создаете, будут использоватьсяна одном или нескольких целевых компьютерах, критически важным условиемявляется включение в образ должных компонентов, ничего не упустив и недобавив ничего лишнего.Начните с определения всех компонентов Windows Server 2003, которые вы хотитеустановить на компьютере с эталонным образом. Помните, что все компоненты,установленные на эталонном компьютере, будут копироваться на целевые компьютеры.Сетевые протоколы. Ваш образ должен включать TCP/IP, но может также потребоватьсявключение унаследованных протоколов, таких как IPX/SPX и NetBEUI. Помните,что вы должны включать все компоненты в эталонный образ по принципу«наименьшего общего знаменателя». Это означает, что вы должны установить толькоте компоненты, которые относятся ко всем целевым компьютерам.Например, предположим, что вы используете SYSPREP для развертывания вашегоэталонного образа Windows Server 2003 на 20 различных целевых компьютерах.Два компьютера будут действовать как шлюзы с унаследованным окружениемNetWare, для которого требуется протокол IPX/SPX. В этом случае вам не нужныизлишние затраты на установку IPX/SPX на всех целевых компьютерах. Вместо установкиIPX/SPX в эталонном образе используйте файл настройки SYSPREP.INF(см. ниже в этом разделе), чтобы задать дополнительные настройки сетевых протоколовна компьютерах, где требуется протокол IPX/SPX.Компоненты Windows. Компоненты Windows выбираются пользователем в секцииWindows Components аплета Add or Remove Programs (Установка и удаление программ)панели управления (Control Panel). Используйте принцип «наименьшегообщего знаменателя» для установки только тех служб, которые требуются на всехцелевых компьютерах.Поскольку SYSPREP удаляет настроенную информацию об эталонном образе,прежде чем копировать его на целевые компьютеры, службы, которые непосредственносвязаны с Active Directory, не могут устанавливаться в эталонном образе.Сюда относятся службы Clustering Services и Certificate Services. Кроме того, вы не

70 Windows Server 2003. Полное руководствоможете сделать эталонный компьютер контроллером домена, прежде чем используетеего для отображения на другие компьютеры.Приложения. Вы можете сэкономить много времени, установив в эталонном образеприложения, которые будут затем устанавливаться на целевых компьютерах. Вместес приложениями на целевой компьютер будут передаваться их файлы, значенияиз реестра, значки рабочего стола и другие компоненты, что позволяет полностьюобойтись без программ установки от сторонних фирм.Еще одним преимуществом установки приложений в эталонном образе являетсято, что вам не требуется вход на целевой компьютер с помощью привилегированнойучетной записи. Поскольку вы устанавливаете приложения в эталонном образе,предположительно используя учетную запись с локальными административнымипривилегиями, пользователю уже не нужно выполнять локальный вход на целевойкомпьютер с помощью какой-либо привилегированной учетной записи после завершенияработы SYSPREP. Это особенно полезно, если вы доставляете целевойкомпьютер в удаленный офис и хотите использовать его как сервер, сведя к минимумувзаимодействие пользователей с этим компьютером.Напомним, однако, что ограничение по Active Directory, Clustering Services иCertificate Services действует также при установке приложений на эталонном компьютере.Если приложение использует одну из этих служб, то вам следует устанавливатьэто приложение на целевых компьютерах после SYSPREP-установки (к счастью,это также можно автоматизировать с помощью SYSPREP).Системные «заплаты». Системные «заплаты» (patch) улучшают работу вашей операционнойсистемы Windows Server 2003, а также снимают потенциальные угрозы безопасности.Большинство важных «заплат» операционных систем Microsoft выпускаютсяв виде оперативных исправлений (hotfix), которые исправляют определенноеповедение компонентов, или пакетов обновлений (Service Pack) с большим числомоперативных исправлений, объединенных в одном пакете. Установка заплат в эталонномобразе позволяет обойтись без их индивидуальной установки на отдельныхцелевых компьютерах и гарантирует минимальный уровень последующих измененийдля всех целевых компьютеров. Вы должны устанавливать только те заплаты,которые, как вам известно, работают с программным обеспечением, которое вы планируетеразвертывать на целевых компьютерах.Собственные настройки среды. Во многих организациях используются собственныефоновые изображения, «обои» и значки, чтобы создать единообразную среду длявсех пользователей организации. Например, если ваша организация имеет собственныйлоготип, то его можно скопировать в эталонный образ.Состояние запускаемых служб. Поскольку службы занимают память и создают точкивхода на ваш сервер, тщательно продумайте, какие службы активизировать по умолчанию.Драйверы устройств от сторонних фирм для оборудования Plug and Play (PnP). Вы должныустановить драйверы устройств от сторонних фирм, если на одном или несколькихцелевых компьютерах имеются устройства, которых нет на компьютере сэталонным образом, и драйверы устройств, которых нет в файле DRIVERS.CAB системыWindows Server 2003.В отличие от протоколов, компонентов Windows и приложений вы не должнысоблюдать принцип «наименьшего общего знаменателя» при установке драйверовдля устройств целевых компьютеров. Вы можете копировать драйверы на компью-

Глава 2. Установка 71тер с эталонным образом, так как природа РпР подразумевает, что реально будутустанавливаться только необходимые драйверы. Вы можете также копировать в эталонныйобраз драйверы для устройств, не поддерживаемых РпР, но эти устройствапотребуется устанавливать на целевом компьютере Windows Server 2003 вручную.Вы можете копировать эти драйверы в любое место на диске; файл с именемSYSPREP.INF будет указывать для Windows Server 2003 нужную папку для драйверовот сторонних фирм.Выполнение установкиОпределив компоненты, которые потребуются для эталонного компьютера и всехцелевых компьютеров, вы можете создать эталонный образ путем установки WindowsServer 2003 и всех определенных вами компонентов. Эталонный образ можно устанавливатьс помощью любого метода установки. Например, если вы хотите настроитьэталонный образ, используя несколько итераций, то можете использовать методнесопровождаемой установки, обеспечивая каждый раз постоянную основу длясоздания образа. Вы можете легко модифицировать .inf-файл для несопровождаемойустановки, добавляя или удаляя компоненты и приложения.После того как программа установки Windows Server 2003 выполнит последнююперезагрузку, вы должны выполнить вход, используя локальную привилегированнуюучетную запись, прежде чем запустить SYSPREP. По умолчанию локальная учетнаязапись Administrator является единственной учетной записью, отвечающей этомукритерию. Это даст вам полный доступ, который требуется для установкиприложений и драйверов, а также для настройки среды. Не используйте доменнуюучетную запись, поскольку профиль для доменной учетной записи будет потерянпосле запуска SYSPREP.Установка SYSPREP на эталонном компьютереПрограмма SYSPREP состоит из нескольких обязательных файлов, и все эти файлыдолжны быть скопированы в папку %SystemDrive%\SYSPREP на эталонном компьютере(обычно это папка C:\SYSPREP).• Sysprep.exe - это исполняемая программа SYSPREP, которая подготавливает эталонныйкомпьютер к отображению на целевой компьютер, «вырезая» уникальнуюинформацию, такую как имя компьютера, информация о сетевом адресе иданные регистрации продукта.• Setupcl.exe генерирует новые значения идентификаторов безопасности (SID) дляцелевого компьютера и должна находиться в той же папке, что и Sysprep.exe.• Factory.exe - это программа, используемая для поддержки SYSPREP в специальномрежиме Factory Mode (режим изготовителя), который описывается ниже вэтом разделе («Выполнение SYSPREP в режиме Factory Mode»).Кроме этих обязательных файлов имеется несколько других файлов, дополнительновключаемых в процесс SYSPREP для улучшения и автоматизации процессаустановки.• Sysprep.inf - это необязательный текстовый файл, аналогичный .ini-файлу. Онсодержит настраиваемую информацию, которая будет применяться к целевомукомпьютеру, такую как конфигурация сети, членство в домене и данные по регистрациии активации продукта. Это не обязательный файл, но если он используется,то может частично или полностью автоматизировать установку WindowsServer 2003 на целевом компьютере во время этапа мини-установки (Mini-Setup)SYSPREP.

72 Windows Server 2003. Полное руководство• Winbom.ini - это необязательный текстовый файл, используемый при запускеSYSPREP в режиме Factory Mode. В отличие от других обязательных и необязательныхфайлов SYSPREP, Winbom.ini не требуется устанавливать в папке%SystemDrive%\SYSPREP. Подробности использования этого файла см. ниже вэтом разделе («Выполнение SYSPREP в режиме Factory Mode»).• Systemmgr.exe (Setup Manager) — это мощная дополнительная утилита, котораяавтоматически копирует для вас необходимые файлы SYSPREP в папку%SystemDrive%\SYSPREP, а также предоставляет простой в использовании графическийинтерфейс для подготовки файла Sysprep.inf. Если вы используете SetupManager для подготовки файла Sysprep.inf, то вам уже не нужно вручную копироватьобязательные файлы SYSPREP в папку %SystemDrive%\SYSPREP.Все эти файлы, за исключением Sysprep.inf и Winbom.ini, находятся в файле\SUPPORT\TOOLS\DEPLOY.CAB на CD Windows Server 2003.Создание Sysprep.infДля использования SYSPREP не обязательно создавать файл Sysprep.inf. Однако онпозволяет существенно сократить и даже устранить взаимодействие с пользователемво время установки. При первой перезагрузке целевого компьютера после установкиобраза эталонного компьютера происходит запуск специального этапа миниустановки(Mini-Setup), на котором требуется, чтобы человек, выполняющийустановку на целевом компьютере, отвечал на вопросы, относящиеся к индивидуальнойнастройке этого компьютера, то есть вводил информацию по сетевой настройке,региональной настройке и членству в домене или рабочей группе. Но еслив папке %SystemDrive%\SYSPREP имеется файл Sysprep.inf, то на этапе Mini-Setupиспользуются значения из этого файла.Sysprep.inf- это текстовый файл, структура и синтаксис которого очень похожина файл UNATTEND.TXT, используемый для метода несопровождаемой установки.Файл разбит на секции, и в каждой секции представлен набор параметров изначений, которые используются при установке эталонного образа на целевом компьютере.Имеется очень много отдельных записей, и многие их них совпадают сзаписями файла UNATTEND.TXT, однако для краткости мы приводим в таблице2.6 только наиболее употребительные записи.Табл. 2.6. Наиболее употребительные записи файла Sysprep.infСекция Запись Допустимыезначения[Display][GuiRunOnce]XresolutionYresolutionЛюбое целоечисло >=640Любое целоечисло >=480Любая команда,заключеннаяв кавычкиОписаниеРазрешение по горизонтали,при котором запускаетсяWindows Server 2003.Разрешение по вертикали,при котором запускаетсяWindows Server 2003.Для каждой строки из этойсекции SYSPREP выполняеткоманду в контексте выполнившеговход пользователя.

Секция Запись Допустимыезначения[GuiUnattended][Networking] -[Identification]AdminPasswordAutoLogonAutoLogonГлава 2. Установка 73Любой допустимыйпарольWindows Server2003, заключенныйв кавычкиYes или NoЛюбое целоечислоOEMSkipRegional 0 или 1OEMSkipWelcome 0 или 1JoinWorkgroupJoinDomainНетЛюбое допустимоеимя рабочейгруппыЛюбое допустимоеимя доменаОписаниеЭто значение становитсяпаролем локального администратора.Сообщает SYSPREP, чтопосле перезагрузки нужновыполнить автоматическийвход на компьютер,используя значениеAdminPassword.Сообщает SYSPREP,сколько раз можно выполнятьвход на компьютер,используя указанноезначение AdminPassword.Если задано значение 1,то указывает SYSPREP,что нужно пропуститьстраницу региональных иязыковых настроек наэтапе Mini-Setup. Региональнуюинформациюможно включить в секцию[RegionalSettings]файла Sysprep.inf.Если задано значение 1,то указывает SYSPREP,что нужно пропуститьокно Welcome в началеэтапа Mini-Setup.Задает сведения по сетевойидентификации.Указывает имя рабочейгруппы, которой будетпринадлежать целевойкомпьютер.Указывает имя домена, ккоторому будет присоединенцелевой компьютер.Если вы задаете это значение,то можете такжезадать записи DomainAdminи DomainAdminPassword.

74 Windows Server 2003. Полное руководствоСекция Запись ДопустимыезначенияОписание[Identification] DomainAdminDomainAdminPasswordЛюбое допустимоепользовательскоеимяадминистраторадоменаДопустимыйпароль дляпользователя,идентифицированноговDomainAdminУказывает пользовательскоеимя, которое будетиспользовано для присоединенияцелевого компьютерак домену. Соответствующаяучетная записьдолжна иметь право добавлениякомпьютеров кдомену.Указывает пароль пользователя,идентифицированногов DomainAdmin.Полное описание всех секций и записей, допустимых для файла Sysprep.inf, см.в help-файле Windows Pre-Installation Reference, который находится в\SUPPORT\TOOLS\DEPLOY.CAB на CD Windows Server 2003.Примечание. С помощью Setup Manager вы можете создавать предварительно сконфигурированныйфайл Sysprep.inf, который настраивается в соответствии с вашимиответами в графическом интерфейсе Setup Manager.Исключение взаимодействия с пользователемЕсли вы хотите расширить записи в файле Sysprep.inf для полной автоматизацииэтапа Mini-Setup на целевом компьютере, чтобы исключить взаимодействие с пользователем,то должны заполнить, как минимум, секции этого файла в соответствии стаблицей 2.7.Табл. 2.7. Записи, которые должны быть обязательно заданы, чтобы исключитьвзаимодействие с пользователем во время установкиСекция[GuiUnattended][UserData][Networking]ЗаписьOEMSkipRegional = 1AdminPasswordTimeZoneFullNameOrgNameComputerNameProductKeyВ этой секции не требуется никаких записей; однако имя этойсекции должно быть представлено в файле SYSPREP.INF, чтобызадать записи в секции [Identification]

Глава 2. Установка 75СекцияЗапись[Identification][LicenseFilePrintData]JoinWorkgroup (в случае присоединения к рабочей группе)JoinDomain (в случае присоединения к домену)DomainAdmin (в случае присоединения к домену)DomainAdminPassword (в случае присоединения к домену)AutoMode = PerServer (если используется лицензированиетипа Per Server)AutoUsers (если используется лицензирование типа Per User)Ниже приводится достаточно простой файл Sysprep.inf, который позволяет установитьWindows Server 2003 без взаимодействия с пользователем. В нем используютсятолько что описанные и некоторые другие записи.[GuiUnattended]OEMSkipRegional = 1AdminPassword = "W1k1d@L337!H4x0r"TimeZone = 027[UserData]ComputerName = WEBSERVER01FulName = "Network Administrator"OrgName = "Widgets International, LLC"ProductKey = "00000-19095-ABCDE-FGHIJ-KLMNO"[Networking][Identification]DomainAdmin = AdministratorDomainAdminPassword = "!pO74zz1um%"JoinDomain = WIDGETINT[LicenseFilePrintData]AutoMode = PerServerAutoUsers = 100Задание альтернативных контроллеров ЗУ большой емкостиОбычно вам следует использовать SYSPREP как метод установки только в ситуациях,когда на компьютере с эталонным образом и на всех целевых компьютерах используетсяодинаковое или очень сходное оборудование. Однако в определенныхситуациях у вас может быть целевой компьютер, на котором используется контроллерЗУ большой емкости (mass storage), несколько отличающийся от контроллераэталонного компьютера (возможно, из-за использования другого чипсета). К счастью,в файле Sysprep.inf можно задать, чтобы целевой компьютер выполнял пересмотрконтроллеров ЗУ большой емкости. Нужный драйвер выбирается с помощьюPlug and Play. Чтобы активизировать эту возможность, нужно включить в секцию[Sysprep] этого файла следующую запись:[Sysprep]BuildMassStorageSection = YesЭта запись указывает SYSPREP на необходимость заполнения секции[SysprepMassStorage] того же файла Sysprep.inf и установки драйвера для каждого изэтих контроллеров ЗУ большой емкости в базу данных критически важных устройств.Вы можете затем заполнить секцию [SysprepMassStorage] своего файла Sysprep.inf,запустив Sysprep.exe с ключом -bmsd (см. ниже в этом разделе).

76 Windows Server 2003. Полное руководствоПримечание. Полное заполнение секции [SysprepMassStorage] в файле SYSPREP.INFсущественно увеличит время установки с помощью SYSPREP на целевом компьютере.Если вы знаете конкретные контроллеры ЗУ большой емкости на целевых компьютерах,то перед окончательным созданием эталонного образа имеет смысл удалитьиз секции [SysprepMassStorage] все записи, кроме записей для этихконтроллеров.Корректировка размеров дисковых разделовПри копировании эталонного образа на целевой компьютер может обнаружиться,что этот компьютер имеет существенно больший объем дискового пространства,чем эталонный компьютер. Хотя многие программные продукты клонирования могутавтоматически изменять для вас размеры разделов, чтобы система Windows Server2003 получала пространство на диске в полном объеме, некоторые продукты не позволяютделать это автоматически. В этом случае вы можете использовать следующуюзапись в SYSPREP.INF, чтобы система Windows Server 2003 расширяла разделдля захвата всего нераспределенного пространства, которое следует непосредственноза разделом, в котором устанавливается операционная система:[Unattended]ExtendOEMPartition = 1 значениегде значение — дополнительно задаваемый размер в мегабайтах, на который вы хотелибы увеличить текущий размер раздела.Имеется несколько особенностей, касающихся использования этой записи. Вопервых,вы можете увеличивать только разделы NTFS. Эта запись будет игнорироваться,если для раздела с образом, который вы восстанавливаете на целевом компьютере,используется файловая система FAT. Кроме того, поскольку выувеличиваете размер раздела, размер жесткого диска целевого компьютера долженбыть не меньше размера диска компьютера с эталонным образом. Раздел, которыйвы хотите расширить, должен быть иметь нераспределенное пространство. Вы неможете расшириться за счет пространства, которое уже захвачено существующимразделом. И, наконец, вы не можете захватить все пространство диска, посколькуэта запись никогда не занимает последний цилиндр жесткого диска, чтобы моглиправильно действовать динамические диски.Запуск программ после завершения работы SYSPREPSYSPREP не только предоставляет настроенную системную информацию, но такжеможет устанавливать и запускать программы на целевых компьютерах после установкиWindows Server 2003. Это требуется достаточно часто. Например, если работаопределенных программ основывается на службах Clustering Services или CertificateServices или они интегрированы с Active Directory, то вы не можете устанавливать ихна компьютере с эталонным образом, но, тем не менее, вам может потребоваться ихавтоматическая установка сразу после завершения установки с помощью SYSPREP.Вы можете использовать файл Sysprep.inf для запуска большинства команд, включаязапуск утилит установки программ, пакетных файлов, скриптов Windows ScriptingHost (WSH) и команд, необходимых для создания контроллера домена.Чтобы запустить определенную программу после завершения установки WindowsServer 2003 на целевом компьютере, создайте в файле Sysprep.inf новую секцию сименем [GuiRunOnce]. В этой секции создайте по одной записи для каждой коман-

Глава 2. Установка 77ды, которую вы хотите запустить. Каждая команда должна быть задана в отдельнойстроке и должна быть заключена в кавычки. В следующем примере задается установкаActive Directory на целевом компьютере и последующий запуск программыустановки, основывающейся на использовании службы Microsoft Installer. В этомпримере файлы Setup.msi и dcpromo_answer_file должны находиться в папкеC:\Installers на целевом компьютере.[GuiRunOnce]"c:\windows\system32\dcpromo /answer:c:\installers\dcpromo_answer_file""c:\windows\system32\msiexec c:\installers\setup.msi"Секция [GuiRunOnce] действует путем модифицирования раздела реестраHKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\RunOnceHдобавления каждой команды к этому параметру. Каждая команда запускается синхронно,то есть команды обрабатываются по порядку, и очередная команда не запускается,пока не будет выполнена предыдущая команда.Важным ограничением секции [GuiRunOnce] является то, что программы запускаютсяв контексте выполнившего вход пользователя. Если пользователь, выполнившийвход на данный сервер, не имеет необходимых привилегий для запускаопределенной команды из секции [GuiRunOnce], то эта команда не будет выполнена(хотя будут выполняться попытки запуска последующих команд). Поскольку секция[GuiRunOnce] обрабатывается в контексте выполнившего локальный входпользователя, это также означает, что любая программа, которая записывает относящуюсяк профилю информацию только для текущего пользователя, будет недоступнадругим пользователям, выполнившим вход на данный компьютер.Если вы хотите запустить привилегированные команды на целевом компьютерепосле установки Windows Server 2003, и вы знаете, что первый пользователь, которыйвыполнит вход на этот компьютер, не имеет привилегий, необходимых длявыполнения этих команд, то можете использовать альтернативу секции[GuiRunOnce]. Создайте папку \i386\$OEM$ в папке программы SYSPREP и добавьтеследующую запись в файл SYSPREP.INF (предполагается, что системнымдиском является диск С:):[Unattended]InstallFilesPath = C:\Sysprep\i386Далее создайте текстовый файл с именем Cmdlines.txt, аналогичный секции[GuiRunOnce] файла Sysprep.inf. Этот файл содержит одну секцию с именем[Commands], и каждая запись этой секции содержит заключенную в кавычки команду.Например, с помощью следующего файла Cmdlines.txt происходит запускфайла VBS (Visual Basic Script), после чего происходит запуск программы установки,которая должна выполняться в режиме без сообщений (quiet mode).[Commands]"wscript c:\scripts\cleanup.vbs""c:\installers\setup.exe-quiet"Имеются два преимущества в использовании файла Cmdlines.txt для запускапрограмм после завершения работы SYSPREP. Во-первых, команды из этого файлазапускаются до окончательной перезагрузки SYSPREP (в отличие от секции[GuiRunOnce], которая запускается после окончательной перезагрузки SYSPREP).Это означает, что команды выполняются в привилегированном контексте локальнойсистемы. Второе преимущество состоит в том, что любая связанная с профилем

78 Windows Server 2003. Полное руководствоинформация записывается в профиль HKEY_USERS\.Default, в результате чеголюбой пользователь, выполнивший первый вход на данный компьютер, получитэту информацию в виде копии в своем локальном профиле.Имеются также некоторые недостатки в использовании Cmdlines.txt.Не могут устанавливаться пакеты MSI (с помощью Msiexec.exe), поскольку файлCmdlines.txt запускается до окончательной перезагрузки SYSPREP. На этот моментслужба Microsoft Installer не работает в полном виде. Используйте в этом случае[GuiRunOnce] или перепакуйте MSI-файл в формат, который не основывается наслужбе Microsoft Installer (например, в пакет SMS [Microsoft Systems ManagementServer]).При выполнении Cmdlines.txt не действуют сетевые соединения. Это вызываетсбой любой программы, использующей сетевое соединение или ресурс.Внимание. SYSPREP не может использоваться для автоматизации любого ввода иливзаимодействия с пользователем, которое требуется для команд из секции[GuiRunOnce] или из файла Cmdlines.txt. Если для программы, запускаемой из этихисточников, требуется ввод (например, ввод серийного номера или щелчок на диалоговойкнопке ОК), то у пользователя будет запрошен ввод этой информации. Ксчастью, многие программы и скрипты можно модифицировать для установки безвзаимодействия с пользователем. Альтернативный вариант - это упаковка приложенияв формат, который не требует взаимодействия, например, в виде пакетаMicrosoft Installer (MSI) или исполняемого пакета SMS.Выполнение Sysprep.exeПосле установки Windows Server 2003 на компьютере с эталонным образом и заполненияфайла Sysprep.inf запустите Sysprep.exe, чтобы стереть информацию, относящуюсяк конкретной машине на данном компьютере.Чтобы можно было использовать файлы Sysprep.inf и Setupcl.exe, они должнынаходиться в папке %SystemDrive%\SYSPREP. Если вы используете файл Sysprep.infдля передачи информации по установке и конфигурированию на целевой компьютер,то этот файл тоже должен находиться в данной папке.Программа Sysprep.exe имеет ряд параметров для настройки ее работы на целевомкомпьютере. Она имеет следующий синтаксис:SYSPREP -командагде команда - это действие, которое должно быть выполнено этой программой. (Некоторыекоманды предназначены для использования исключительно в специальномрежиме SYSPREP Factory Mode.) Ниже описываются команды, которые выможете использовать.-activated. Если вы запускаете SYSPREP в режиме Factory Mode и уже активировалиWindows Server 2003, то этот ключ позволяет вам не восстанавливать допустимыйпериод для активации продукта. Эта опция используется до того, как вы применитекоманду -reseal в режиме Factory Mode.-audit. Если вы запускаете SYSPREP в режиме Factory Mode, эта команда выполнитперезагрузку компьютера без генерации новых идентификаторов безопасности (SID)и без обработки любых команд из секции [OEMRunOnce] файла Winbom.ini.-bmsd. Для этой команды требуется, чтобы в секции [Sysprep] файла Sysprep.inf имеласьзапись BuildMassStorageSection = Yes и чтобы в этом файле имелась также сек-

Глава 2. Установка 79ция [SysprepMassStorage]. При выполнении этих условий запуск SYSPREP с даннойкомандой вызывает заполнение секции [SysprepMassStorage] идентификаторами РпР(Plug and Play) всех запоминающих устройств большой емкости, которые поддерживаютсясобственными средствами Windows Server 2003. Вы можете затем удалитьвручную те записи, которые не хотите использовать для клиентов.Вы можете также использовать эту команду, когда хотите использовать SYSPREPдля заполнения секции [SysprepMassStorage] файла Sysprep.inf на эталонном компьютере,например, если знаете, что на одном или нескольких целевых компьютерахиспользуется контроллер ЗУ большой емкости, отличный от контроллера эталонногокомпьютера. Эта команда только заполняет секцию [SysprepMassStorage]файла Sysprep.inf; она не удаляет настроенную информацию эталонного компьютера,не генерирует новых идентификаторов безопасности (SID) и не завершает работукомпьютера. Эта команда должна использоваться отдельно. Вы не можете использоватьее в сочетании с другими командами SYSPREP.-clean. Эта команда удаляет неиспользуемые драйверы ЗУ большой емкости, добавленныев секцию [SysprepMassStorage] файла Sysprep.inf. Она также удаляет любыенеиспользуемые устройства, внесенные с помощью Plug and Play.-factory. Инициирует специальный режим Factory Mode для SYSPREP. Эта командаперезапускает компьютер и помещает его в состоянии связи с сетью; однако частьMini-Setup процесса SYSPREP не будет запущена. После активизации Factory Modeна эталонном компьютере этот компьютер можно клонировать для получения образа.Этот образ затем восстанавливается на целевом компьютере, и в это времяможно модифицировать файл Sysprep.inf для выполнения дополнительных шаговили добавить к образу драйверы таких устройств, как контроллеры ЗУ большой емкости.После выполнения задач режима Factory Mode происходит запуск SYSPREPс командой -reseal для завершения процесса и подготовки компьютера к этапу Mini-Setup.-forceshutdown. Эта команда указывает SYSPREP, что после окончания установкинужно завершить работу компьютера. Эту команду можно использовать, если ACPIBIOS компьютера не прекращает самостоятельно работу компьютера после того,как SYSPREP завершает свой процесс.-noreboot. Эта команда указывает SYSPREP, что после окончания процесса SYSPREPне нужно прекращать работу компьютера или перезагружать его. Обычно эту командуследует использовать только в целях тестирования, так как изменения на эталонномкомпьютере после выполнения SYSPREP могут вызвать неверную установкуэталонного образа.-nosidgen. По умолчанию SYSPREP генерирует новую информацию идентификаторовбезопасности (SID) для каждого целевого компьютера. Но если вы создаете толькоодну копию эталонного компьютера, и эталонный компьютер будет выведен изэксплуатации или на нем будет создан новый образ, то вы можете использовать этукоманду, чтобы процесс SYSPREP не генерировал новый SID на целевом компьютере.-рпр. Эта команда вызывает полный пересмотр всех устройств Plug and Play (PnP)на этапе Mini-Setup. Вам следует использовать эту команду, только если целевойкомпьютер имеет унаследованные ISA-устройства РпР. Процесс полной перенумерацииустройств существенно увеличивает время выполнения процесса SYSPREPна целевом компьютере.

80 Windows Server 2003. Полное руководство-quiet. Эта команда указывает SYSPREP, что нужно отменить вывод на экран требующихподтверждения сообщений.-reseal. Если целевой компьютер находится в режиме Factory Mode и в образ внесенывсе дополнительные изменения, то эта команда подготавливает данный компьютерк окончательной установке образа. Seal - это последний этап процесса FactoryMode.Хотя вы можете запускать SYSPREP с любыми параметрами из командной строки,программа SYSPREP имеет также графический интерфейс, который дает вамдоступ к большинству возможностей SYSPREP, включая настройки Factory Mode.Для входа в графический режим SYSPREP запустите Sysprep.exe без параметров.После запуска SYSPREP работает в соответствии с параметрами, переданнымив командной строке (или, в графическом режиме, выполняет действия, выбранныев этом интерфейсе). В зависимости от команд, переданных в SYSPREP, время выполненияможет занять от нескольких секунд до нескольких минут. По окончанииработы SYSPREP автоматически завершает работу компьютера, если он совместимс ACPI. В противном случае вы получаете сообщение, когда можно выполнить безопасноевыключение компьютера.Клонирование эталонного изображения в файлПоскольку Microsoft не предоставляет и не продает (пока) какое-либо программноеобеспечение для выполнения этого шага, для клонирования эталонного образа требуетсяПО от сторонних фирм. На рынке имеется несколько превосходных продуктовдля клонирования, включая Ghost компании Symantec Software, Drive Image^ компанииPowerQuest и NovaDISK компании NovaSTOR. Большинство пакетовклонирования позволяют вам клонировать эталонный образ на различные носители,включая другой раздел диска, сетевые разделяемые ресурсы, CD-R/CD-RW илина DVD в одном из допускающих запись стандартов.Восстановление эталонного образа на целевой компьютерПроцесс, используемый для восстановления эталонного образа, варьируется в зависимостиот ПО, использованного для создания этого образа. Для получения подробнойинформации по восстановлению из файла образа см. в документации соответствующегоПО. Отметим, что большинство программ создания образов отсторонних фирм могут автоматически справляться с отличиями между эталонными целевыми компьютерами, например, при различных размерах жестких дисков.Отметим, однако, что никакое ПО создания образов не может установить на дискбольше данных, чем умещается на этом диске, поэтому убедитесь, что ваш целевойкомпьютер имеет достаточный размер пространства на диске, чтобы вместить файлыиз эталонного образа, который восстанавливается вашей программой созданияобразов.Запуск этапа Mini-SetupКогда компьютер, на котором восстановлен образ SYSPREP, загружается в первыйраз, выполняются следующие шаги, если соответствующие ответы не заданы в файлеSysprep.inf.1. Plug and Play обнаруживает все совместимые устройства компьютера. Обычнодля выполнения этого процесса требуется от трех до пяти минут. Но если у васполностью собрана секция [SysprepMassStorage] файла Sysprep.inf, то этот процессможет занять значительно больше времени (до 45 минут).

Глава 2. Установка 812. Вы должны подтвердить условия лицензионного соглашения конечного пользователяWindows Server 2003 End-User License Agreement (EULA).3. Вы должны ввести свое имя и название организации.4. Вы должны присоединиться к рабочей группе или домену.5. Вы должны задать региональные параметры для сервера, такие как язык, типвалюты и часовой пояс.6. Вы должны задать для интерфейса телефонии Telephony API, например, телефонныйкод соответствующего региона.7. Вы должны задать сетевые протоколы, службы и адресацию.8. Автоматически удаляется папка SYSPREP.9. Происходит перезагрузка компьютера, и появляется диалоговое окно входа(logon).К этому моменту Windows Server 2003 успешно установлена на целевом компьютере.Вы можете выполнить вход на этот компьютер, как на любом другом компьютерепод уровнем Windows Server 2003, и вносить дальнейшие изменения, например,устанавливать другое ПО или обновленные драйверы.Выполнение SYSPREP в режиме Factory ModeFactory Mode - это особое средство SYSPREP, позволяющее администраторам поддерживатьодин базовый образ для всех компьютеров Windows Server 2003 независимоот различий в оборудовании (конечно, при условии, что они используют одинсовместимый уровень HAL). Если вы создали образ эталонного компьютера в режимеFactory Mode и восстанавливаете его на целевом компьютере, то этот компьютерне загружается автоматически в режим Mini-Setup. Вместо этого в режимеFactory Mode происходит обработка другого файла, Winbom.ini, который аналогиченфайлу Sysprep.inf. В файле Winbom.ini вы можете задавать информацию, относящуюсяк данной конкретной машине, например, дополнительные приложения иобновленные драйверы контроллеров ЗУ большой емкости. После обработки файлаWinbom.ini на целевом компьютере вы можете подготовить этот компьютер сновак выполнению этапа Mini-Setup программы SYSPREP, используя команду -reseal.RIS (Remote Installation Services)Windows Server 2003 поддерживает и третий метод автоматизированной установки,RIS (Remote Installation Services). RIS представляет собой некоторое сочетание методаавтоматизированной установки с помощью файла UNATTEND.TXT иSYSPREP.Работа RIS основывается на использовании раздела хост-компьютера WindowsServer 2003, который задан как сервер RIS. Раздел RIS на этом сервере содержитодин или несколько образов Windows Server 2003 вместе с дополнительными файлами,которые модифицируют эти образы во время процесса установки.Хотя все файлы установки клиентов в RIS называют «образами», реально этомогут быть образы на основе файлов (они называются «плоскими» [flat] образами)аналогично несопровождаемой установке или двоичные образы (их называютRIPrep-образами — но названию утилиты, используемой для их создания) аналогичноSYSPREP.После создания образов на сервере RIS целевые компьютеры (клиенты) подсоединяютсяк этому серверу и устанавливают образ через сеть на свои локальные жесткиедиски. Клиентам не требуется локальная копия носителя установки или образа,и, в отличие от SYSPREP, для создания или установки образа на целевых компьюте-

82 Windows Server 2003. Полное руководствоpax не требуется ПО создания образов от сторонних фирм. (Однако RIS может развертыватьобразы, созданные с помощью ПО клонирования от сторонних фирм.)Требования к RISХотя RIS представляет очень гибкий метод установки Windows Server 2003, существуютнекоторые обязательные требования по его использованию.• Работа RIS основывается на подсоединении клиентов к выделенному серверуRIS. Однако для этого клиенты должны иметь сетевой адаптер, который поддерживаетстандарт дистанционной загрузки РХЕ (Intel Pre-Boot Execution) илиподдерживается диском Microsoft RIS Boot Disk. RIS Boot Disk - это загрузочныйдиск (дискета), который создается с помощью RIS и поддерживает сетевоесоединение с сервером RIS. RIS Boot Disk поддерживает ограниченное количествосетевых адаптеров, но поддержку дополнительных адаптеров нельзя добавитьк этому диску. В результате, если ваш целевой компьютер не поддерживаетРХЕ и не поддерживается диском RIS Boot Disk, вы не можете использовать RISкак метод автоматизированной установки.• Для RIS требуется, чтобы дисковый раздел на сервере RIS содержал образы RIS,и для этого раздела должна использоваться файловая система NTFS. Для разделаRIS не может использоваться файловая система EFS, и раздел RIS не можетбыть системным загрузочным или корневым разделом. Раздел RIS нельзя адресоватькак разделяемый ресурс DFS.• На сервере RIS должна быть установлена служба RIS. Службу RIS можно установитьс носителя установки Windows Server 2003.• Сервер RIS должен отвечать минимальным требованиям к оборудованию дляверсии Windows Server 2003, которая устанавливается на клиентских компьютерах,и этот сервер должен иметь высокоскоростное соединение со всеми клиентами(например, Ethernet 100 Мбит/с).• Сервер RIS не может быть групповым (multihomed) компьютером (то есть иметьнесколько сетевых адаптеров).• На сервере RIS должен быть запущен протокол TCP/IP.• Для сети и домена, где находятся ваш сервер RIS и клиенты, должны быть доступныDHCP, DNS и Active Directory, хотя сами они не обязательно должны работатьна самом сервере RIS. Сервер DHCP не обязательно должен быть серверомMicrosoft DHCP, но если этот так, то он должен быть авторизован.• RIS можно использовать только с версиями Standard, Enterprise и DatacenterEdition продукта Windows Server 2003.Установка сервера RISУстановка сервера RIS является первым шагом к установкам с помощью RIS. Еслислужба RIS еще не установлена на вашем сервере RIS, то эту службу можно установитьс помощью секции Windows Components аплета Add or Remove Programs в ControlPanel. После установки мастер RIS Setup Wizard проводит вас через шаги конфигурированиявашего сервера RIS.Местоположение файлов RIS. Setup Wizard запрашивает у вас местоположение разделаи файлов образов RIS. Раздел RIS не обязательно должен быть исключительновыделен для RIS; клиенты выполняют к нему доступ с помощью UNC-пути \\имяcepBepa-RIS\RemoteInstall.Вы должны выбрать раздел NTFS как место размещенияфайлов сервера RIS, и этот раздел не может быть загрузочным или корневымразделом данного сервера.

Глава 2. Установка 83Активизация RIS. Чтобы сразу активизировать RIS на сервере, установите флажокRespond To Client Computers Requesting Service (Отвечать клиентским компьютерам,запрашивающим обслуживание). Если вы хотите сначала создать образы RIS,то можете позже вручную активизировать ответы RIS клиентам.Чтобы сервер RIS отвечал только предварительно подготовленным в ActiveDirectory клиентам, установите флажок Do Not Respond To Unknown Client Computers(He отвечать неизвестным клиентским компьютерам). В случае установки этогофлажка только предварительно подготовленным клиентским компьютерам будетразрешена установка образа с сервера RIS. Предварительная подготовка компьютера(prestage) заключается в том, что уникальный глобальный идентификатор GUIDэтого клиентского компьютера, основывающийся на МАС-адресе карты сетевогоинтерфейса (NIC), заранее включается в Active Directory.Поиск файлов для начального образа. Setup Wizard запрашивает у вас местоположениеустановочных файлов Windows Server 2003, которые будут использоваться длясоздания первого образа на сервере RIS. Вы можете в дальнейшем модифицировать,заменить или удалить этот образ. Установочные файлы будут скопированы вразделяемый ресурс \RemoteInstall, созданный на сервере RIS. Эти файлы можнонайти на физическом носителе, например, на CD, или в разделяемом сетевом ресурсе.Имя папки для начального образа. Setup Wizard просит вас ввести имя папки, где будутустановлены файлы. Эта папка будет создана в разделяемом ресурсе\RemoteInstall, созданном на сервере RIS. Имя папки должно быть достаточно описательным,чтобы представить версию операционной системы (например,WIN2K3_STANDARD). Имя папки не обязательно должно быть ограничено форматомименования 8.3.Ввод «дружественного» описания и справочного текста. Ввод «дружественного» (понятного)описания и справочного (help) текста позволяет дать более широкое описаниеобраза RIS. Это описание и справочный текст видят клиенты, когда они выбираютобраз для установки на целевом компьютере. Если у вас много образов RIS,доступных для установки, эти значения могут существенно помочь пользователю,чтобы отличать образы друг от друга.Если предположить, что у вас был установлен флажок Respond To Client ComputersRequesting Service, то после завершения работы мастера Setup Wizard ваш серверRIS может предоставлять образы Windows Server 2003 клиентам. Для обслуживанияклиентских запросов на сервере активизируются следующие три службы.• Remote Installation (BINLSVC). Это служба, через которую проходят запросы отклиентов RIS, которые используют сетевые адаптеры (NIC), поддерживающиеРХЕ или поддерживаемые диском RIS Boot Disk. Она выполняет отправку образовклиентам, и если клиентский компьютер не подготовлен предварительно вActive Directory, то она создает учетную запись этого компьютера в Active Directory.• Trivial File Transfer Protocol Daemon (TFTPD). Эта служба передает на клиентскиекомпьютеры начальные установочные файлы, которые требуются службеRIS. Этот протокол поддерживается как сетевыми адаптерами, поддерживающимиРХЕ, так и диском RIS Boot Disk. Наиболее важным файлом, которыйотправляется клиенту службой TFTPD, является файл Startrom.com, которыйнастраивает клиентский компьютер и затем разрешает пользователю инициироватьRIS-установку.

84 Windows Server 2003. Полное руководство• Single Instance Store (SIS). Эта служба снижает общий объем пространства, используемогосервером RIS, путем устранения нескольких копий одного файла.Если SIS находит более одной копии какого-либо файла в разделе RIS на сервереRIS, она оставляет одну копию и создает ссылки для других копий. Это позволяетсоздавать в разделе RIS несколько образов, которые используют многообщих файлов, не занимая слишком много места на диске.Управление серверами RISСерверы RIS управляют почти всеми аспектами установки и дистрибуции образов,включая готовность, безопасность и возможности установки. К счастью, имеетсямного средств, которые вы можете использовать для управления своими серверамиRIS, а также быстрого и эффективного выполнения своих установок.Управление свойствами сервера RIS с помощью Active Directory. Управление RIS осуществляетсяс помощью страниц свойств в объектах Active Directory. Для доступа кстраницам свойств RIS для сервера RIS откройте оснастку Active Directory Users andComputers, перейдите в контейнер, содержащий сервер RIS, щелкните правой кнопкойна этом сервере и выберите пункт Properties. Вы можете задать следующие опциидля сервера RIS на странице свойств Remote Install.• Client Servicing (Обслуживание клиентов). Указывает, будет ли сервер RIS отвечатьвсем клиентам, запрашивающим обслуживание, или только предварительноподготовленным (prestaged) клиентам. Если выбрать вариант Respond to clientsrequesting service (Отвечать клиентам, запрашивающим обслуживание), то RISбудет отвечать любым клиентским компьютерам, запрашивающим образ (этотакже способ активизации сервера RIS, если вы первоначально не задали этуопцию в мастере RIS Setup Wizard). Если выбрать вариант Do not respond tounknown client computers, то сервер RIS будет отвечать только предварительноподготовленным клиентам. Информацию по предварительной подготовке клиентовRIS в Active Directory см. ниже в этом разделе («Предварительная подготовкакомпьютеров в Active Directory»).• Verify Server (Проверка сервера). С помощью этой опции запускается мастер,который проверяет согласованность сервера RIS с точки зрения настроек и конфигурации.Если отсутствуют ключевые файлы RIS, то у вас запрашивается носительустановки Windows Server 2003. Опция \ferify Server доступна только в техслучаях, когда вы выполнили локальный вход на сервер RIS или подсоединилисьчерез Remote Desktop.• Show Client (Показать клиента). Позволяет вам выполнять поиск клиентов RIS вActive Directory. Выводится диалоговое окно со списком клиентских компьютеров(подготовленных и не подготовленных предварительно) вместе с их глобальноуникальными идентификаторами (GUID).• Advanced Settings (Дополнительные параметры). Эти параметры позволяют вамуточнять, как клиентские компьютеры должны отвечать серверу RIS. Сюда включаютсяследующие подопции.• Automatic client computer account naming format (Формат автоматического именованияучетных записей клиентских компьютеров). Позволяет вам задаватьсоглашение по именованию для клиентских компьютеров, поэтому даннаяинформация не должна вводиться человеком, выполняющим установку наклиентском компьютере. Чтобы обеспечить уникальность имен, вы можетеиспользовать следующие параметры.

Глава 2. Установка 85ПараметрПодставляемое значение%First%Last%Username%МАСИмя выполнившего вход пользователяФамилия выполнившего вход пользователяСетевое имя входа пользователяМАС-адрес сетевого адаптера целевого компьютера%# Вставка наращиваемого номера, который отслеживается сервером RISКроме того, вы можете вставлять число после знака %, чтобы указать количествосимволов. Например, формат именования %lFirst%7Last%MAC дастимя компьютера «JHAMILTO0030628AC74D», если установку на целевом компьютеревыполняет пользователь John HAMILTON и МАС-адрес первого сетевогоадаптера (NIC) на клиентском компьютере равен 00-30-62.8A-C7-4D.• Active Directory location of client computer accounts (Местоположение учетныхзаписей клиентских компьютеров в Active Directory). Указывает контейнер, вкотором находятся учетные записи предварительно подготовленных целевыхкомпьютеров, а также контейнер, в котором создаются учетные записидля еще не подготовленных компьютеров.Управление свойствами сервера RIS с помощью Risetup. Risetup - это утилита команднойстроки, которая позволяет вам осуществлять управление и автоматизацию элементовсервера RIS, например, образов. Она имеет следующий синтаксис:risetup [/add] | [/check] | [/auto имя_файла.гп/]где/add указывает Risetup, что нужно добавить новый образ установки на сервере RIS./check выполняет проверку правильности функционирования сервера RIS, выявляети устраняет большинство проблем, связанных с неверно работающими серверамиRIS, и выполняет повторную авторизацию сервера RIS в Active Directory./auto имя_файла.'т/указывает Risetup, что нужно сконфигурировать сервер автоматически,как это определено в файле имя_файлалпГ Этот файл определяет конфигурациюсервера RIS аналогично мастеру RIS Setup Wizard, но не требует никакоговзаимодействия с администратором.Ниже приводится пример .inf-файла для параметра /auto утилиты Risetup:[Version]Signature = "$Windows NT$"[Risetup][Rootdir] = "e:\RemotelnstallSource = "z:\lnstallSource\i386"[Directory] = "WIN2K3_STANDARD"[Description] = "Windows Server 2003 Standard Edition"[HelpText] = "Base image for all servers in the Philadelphia office"[Screens] = "overwrite"[Architecture] = "x86"[Language] = "English"Записи очевидны по своему смыслу, и все они обязательны для .inf-файла. Лишьнесколько записей требуют пояснений:

86 Windows Server 2003. Полное руководство• [Rootdir]. Указывает диск и папку (директорию), где находятся файлы RIS. Этопапка, предоставляемая для разделяемого использования с помощью имени разделяемогоресурса \RemoteInstall. Если служба RIS уже установлена, и вы запустилимастер RIS Setup Wizard, чтобы задать местоположение папки RIS, то этотпуть должен оставаться неизменным (вы не можете изменить эту запись, чтобыпереместить местоположение папки RIS). Это должен быть путь на локальномдиске, а не UNC-путь, и максимальное количество символов, включая путь иимя папки, не должно быть больше 127.• [Source]. Указывает местоположение носителя установки, из которого долженбыть создан образ установки. Это может быть путь на локальном диске или UNCпуть,и он может содержать до 260 символов.• [Directory]. Папка (директория), которая будет создана в разделяемом ресурсе\RemoteInstall сервера RIS, чтобы помещать в нее файлы образа. Это имя можетсодержать до 39 символов.• [Description]. Краткое описательное название образа. Оно может содержать до63 символов.• [HelpText]. Более длинное описательное название образа. Оно может содержатьдо 260 символов.• [Screens]. Указывает действия, которые будут выполнены с имеющимися .oscфайламипри установке образа; .osc-файлы содержат текст, который выводитсяна экран целевого компьютера во время установки образа RIS. Допускаются тризначения: overwrite (перезапись), backup (резервная копия) и leavealone (не затрагивать).• [Architecture]. Указывает архитектуру процессора для образа. Это может быть«х86» для 32-битного ЦП или «ia64» для семейства 64-битных процессоровItanium. RIS не позволяет вам устанавливать образ на неверном процессоре.Управление доступом к службам RISЕсли вы развертываете RIS на большом предприятии, то вам, видимо, потребуетсяограничить количество компьютеров, на которых можно устанавливать образ с помощьюRIS, а также круг лиц, которые могут устанавливать образ на этих компьютерах.Это можно осуществлять несколькими способами.Использование Group Policy для управления доступом. Объекты GPO (Group PolicyObjects) - это средство Active Directory, которое позволяет администратору делегироватьполномочия на предприятии. Используя оснастку Active Directory Users andComputers, вы можете ограничивать уровень доступа определенной организационнойединицы (OU) к службам RIS. Щелкните правой кнопкой на OU, которой выхотите делегировать (или ограничить) доступ к RIS, и выберите в контекстном менюпункт Properties. Затем выберите вкладку Group Policy. Перейдите в контейнер UserConfiguration\ Software Settings\Remote Installation Services и дважды щелкните наChoice Options (Параметры выбора). Вы можете разрешить (enable), отключить(disable) или оставить несконфигурированным (not configured) для наследованияполитики любое из четырех следующих средств RIS.• Automatic Setup (Автоматическая настройка). Проверяется идентификатор GUIDклиентского компьютера, чтобы определить, был ли он предварительно подготовлен.Если да, то сохраняется существующая учетная запись этого компьютера.Иначе создается учетная запись компьютера с использованием политик именования,заданных для RIS.

Глава 2. Установка 87• Custom Setup (Нестандартная настройка). Позволяет пользователям изменить имяих собственного компьютера, а также местоположение учетной записи этогокомпьютера в дереве Active Directory.• Restart Setup (Повторный запуск). Позволяет пользователю возобновить настройку,если не удалось выполнить предыдущую попытку.• Tools (Инструментальные средства). Переключатель вывода списка любых дополнительныхсредств, которые вы установили для клиентских компьютеров RIS.Предварительная подготовка компьютеров в Active DirectoryРазрешая использовать ваш сервер RIS только тем компьютерам, которые предварительноподготовлены в Active Directory, вы препятствуете тому, чтобы любой доменныйпользователь мог установить образ на любом компьютере. Разрешение установкиобразов на любом компьютере может иметь серьезные последствия, включаявопросы лицензирования и администрирования. Если это возможно, старайтесьвыполнять предварительную подготовку всех ваших клиентских компьютеров.Для предварительной подготовки клиентского компьютера используйте оснасткуActive Directory Users and Computers. Перейдите к контейнеру, где хотите размещатьучетные записи ваших клиентских компьютеров, щелкните правой кнопкой,укажите пункт New и затем выберите пункт Computer. В диалоговом окне New Object(Создание объекта) введите имя, которое будет назначено компьютеру, и затем щелкнитена кнопке Next. Установите флажок This is a managed computer (Это администрируемыйкомпьютер), введите идентификатор GUID этого компьютера и щелкнитена кнопке Next.GUID обычно содержит МАС-адрес сетевого адаптера (NIC) вместе со строкойсимволов (обычно это нули) в начале адреса. GUID данного компьютера можнообычно найти в BIOS компьютера, и поставщики часто печатают GUID снаружиили внутри корпуса компьютера. После предварительной подготовки клиентскихкомпьютеров и конфигурирования RIS таким образом, чтобы не отвечать на запросынеизвестных клиентских компьютеров; только предварительно подготовленныеклиенты смогут использовать сервер RIS.Задание полномочий доступа к образуОграничив права пользователей в RIS с помощью объектов GPO и ограничив кругклиентских компьютеров посредством их предварительной подготовки, вы можететакже ограничить доступ пользователя к определенным образам.Для ограничения доступа к определенному образу выполните следующие шаги.1. Откройте оснастку Active Directory Users and Computers.2. Перейдите к контейнеру, содержащему сервер RIS, щелкните правой кнопкой ивыберите пункт Properties.3. Перейдите во вкладку Remote Install.4. Щелкните на Advanced Settings, затем щелкните на вкладке Images (Образы).5. Выберите образ, доступ к которому хотите ограничить, и щелкните на кнопкеProperties.6. Щелкните на Permissions (Полномочия) и выберите вкладку Security.7. Укажите пользователей, которые могут или не могут получать доступ к этомуобразу. (Если это «плоский» [flat] образ, то вам нужно только задать полномочиядоступа к файлу Ristndrd.sif этого образа.)

Windows Server 2003. Полное руководствоСоздание «плоских» образов RISЧтобы создать «плоский» (flat) образ RIS, нужно указать для сервера RIS местоположениеустановочных файлов операционной системы. Эти файлы копируются насервер RIS и могут затем выбираться для установки на клиентском компьютере (впредположении, что пользователь имеет полномочия на запуск RIS и подходящиеполномочия доступа к файлу образа).Чтобы создать новый «плоский» образ RIS, выполните следующие шаги.1. Откройте оснастку Active Directory Users and Computers.2. Перейдите к контейнеру, содержащему сервер RIS, щелкните правой кнопкойна этом сервере и выберите пункт Properties.3. Перейдите во вкладку Remote Install.4. Щелкните на Advanced Settings, затем щелкните на вкладке Images.5. Щелкните на кнопке Add, чтобы запустить мастер RIS Setup Wizard.6. Выберите вариант Add A New Installation Image (Добавить новый образ установки)и щелкните на кнопке Next.7. Введите путь к установочным файлам Windows Server 2003 (например, D:\i386,если вы будете копировать с CD-ROM) и щелкните на кнопке Next.8. Введите имя папки на сервере RIS, в которой будут храниться эти установочныефайлы, и щелкните на кнопке Next.9. Введите «дружественное» имя (friendly name) и справочный текст (help text), которыеописывают данный образ, и щелкните на кнопке Finish.Установочные файлы копируются в папку образов на сервере RIS. В процессекопирования этих файлов сервер RIS создает файл с именем Ristndrd.sif. Этот файл,аналогично файлам UNATTEND.TXT и Sysprep.inf, представляет настраиваемуюинформацию об установке, которая объединяется с установочными файлами, когдаони устанавливаются на клиентском компьютере. Файл Ristndrd.sif позволяетполностью автоматизировать установку образа на клиентском компьютере.Ristndrd.sif- это простой текстовый файл, и вы можете его редактировать для вводадополнительной информации по конфигурированию сверх базовой информации обобразе, которая известна серверу RIS. Вы можете также использовать Setup Managerдля создания .sif-файла. После создания .sif-файла его можно связать с несколькимиобразами. Подробную информацию по настройке файла Ristndrd.sif можно найтив Windows Server 2003 Corporate Deployment Kit (находится в файле \SUPPORT\TOOLS\DEPLOY.CAB).Использование RIPrep-образов RISАналогично SYS PREP, RIS позволяет вам создать образ на компьютере, на которомуже выполнено конфигурирование и установка приложений и нестандартных драйверов.Для этого в RIS используется утилита RIPrep (Rprep.exe). RIPrep имеет несколькопреимуществ по сравнению с SYSPREP, наиболее важным из которых являетсято, что компьютеры, для которых используется один и тот же образ, необязательно должны быть идентичны или даже использовать одинаковый контроллерЗУ большой емкости (однако на них должны использоваться совместимые уровниабстрагирования оборудования [HAL]).Чтобы создать образ с помощью RIPrep, вы должны быть членом локальной группыAdministrators на компьютере, который будет использоваться для создания этогообраза, и должны иметь полномочия записи в папки RIS (\RemoteInstall) на сервереRIS.

Глава 2. Установка 89Примечание. RIPrep нельзя использовать для создания образа компьютера с 64-битнойархитектурой IA64. Если вы хотите применять RIS для установки образов накомпьютере Windows Server 2003 с архитектурой IA64, то должны использовать «плоские»образы.Создание образа. Аналогично SYSPREP начните процесс создания RIPrep-образа свыбора базового компьютера, оборудование которого аналогично оборудованию всехцелевых компьютеров, на которых будет использоваться этот образ. УстановитеWindows Server 2003 вместе с любыми нестандартными драйверами, приложениямии другими файлами, которые хотите предоставить всем целевым компьютерам, гдебудет использоваться образ.При создании базового образа используйте только один раздел и сделайте этораздел как можно меньше, соблюдая при этом требования к размеру пространствадля операционной системы, файлов приложений, файла подкачки и других компонентов.RIS будет использовать полный размер этого раздела, чтобы определятьминимальный размер разделов на клиентских компьютерах; если вы создаете базовыйобраз, содержащий 20 Гб файлов, но использующий раздел размером 120 Гб, товы не сможете использовать этот образ на клиентских компьютерах с дисками, емкостькоторых меньше 120 Гб. Обзор компонентов, которые можно устанавливать вRIPrep-образе на этом этапе, см. выше в подразделе «Подготовка эталонного образа»раздела «SYSPREP».Работа с мастером подготовки к дистанционной установке (Remote Installation PreparationWizard). После создания образа запустите программу RIPrep.exe, которая копируетобраз на сервер RIS и подготавливает его к установке на целевых компьютерах.Этот мастер требует от вас ввода настроенной информации для образа, включаяимя сервера RIS (по умолчанию это сервер RIS, с которого вы запускаете RIPrep.exe),имя папки на сервере RIS, в которой вы хотите установить данный образ, а также«дружественное» описание и справочный текст для образа.Примечание. RIPrep, возможно, информирует вас, что не может остановить определенныеслужбы, работа которых должна быть прекращена, чтобы выполнить процессустановки образа. Если появится это сообщение об ошибке, вы должны попытатьсявручную прекратить работу этих служб. Если остановить эти службы неудается, или если они не могут быть остановлены из-за требований зависимости, товы все-таки сможете продолжить процесс RIPrep.После завершения этого процесса репликации образ автоматически добавляетсяк списку установок операционной системы, доступных клиентским компьютерамна сервере RIS. Аналогично SYSPREP создаваемые с помощью RIPrep образыможно использовать только на тех целевых компьютерах, которые используют совместимыеуровни HAL. Остальное оборудование целевых компьютеров не обязательнодолжно быть таким же, как на компьютере, где создан образ RIPrep, посколькупроцесс клиентской установки образов RIS выполняет полный пересмотрустройств Plug and Play, чтобы проверить, что установлены подходящие драйверы.В папке на сервере RIS, где создается RIPrep-образ, создается также файлRiprep.sif. В этом файле, аналогично файлу Sysprep.inf, содержится информация понастройке конфигурации клиентского компьютера. Как и файл Ristndrd.sif, используемыйдля «плоских» образов, этот файл можно редактировать для адаптации к

90 Windows Server 2003. Полное руководствотребованиям конкретной дистанционной установки. Подробную информацию понастройке файла Riprep.sif можно найти в Windows Server 2003 Corporate DeploymentKit (находится в файле \SUPPORT\TOOLS\DEPLOY.CAB).Установка образов RIS на клиентских компьютерахПосле создания образов процесс конкретной установки образа RIS на клиентскомкомпьютере проходит достаточно просто. Если клиентский компьютер имеет сетевойадаптер, поддерживающий РХЕ, и этот компьютер находится в том же сетевомсегменте, что и сервер RIS, то вы можете просто включить этот компьютер. В противномслучае, если сетевой адаптер вашего клиентского компьютера не поддерживаетРХЕ, то вы можете создать диск RIS Boot Disk. Напомним, что RIS Boot Diskподдерживает лишь ограниченный выбор сетевых адаптеров; если ваш сетевой адаптерне поддерживает РХЕ и не поддерживается диском RIS Boot Disk, то вы не можетеиспользовать RIS для установки образов на данном клиентском компьютере.Чтобы создать RIS Boot Disk, запустите на любом компьютере Disk Boot Generator(Rbfg.exe) с сервера RIS и щелкните на кнопке Create Disk (Создать диск).Внимание. Возможно, ваш сетевой адаптер поддерживает РХЕ, но BIOS не сконфигурированадля выбора РХЕ-адаптера как загрузочного устройства. Если вы знаете,что ваш адаптер поддерживает РХЕ, и не можете добиться, чтобы ваш компьютерзагружался в RIS, проверьте в BIOS (ROM), что ваш РХЕ-адаптер сконфигурированкак первый вариант загрузки.После запуска РХЕ-адаптера или диска RIS Boot Disk пользователю предлагаетсянажать F12, чтобы начать процесс установки. Пользователь должен выполнитьследующие шаги, чтобы установить операционную систему.1. Введите допустимое пользовательское имя и пароль. Соответствующая учетнаязапись должна находиться в том же домене, что и учетная запись компьютера(если он предварительно подготовлен в Active Directory). Если компьютер неподготовлен предварительно, то учетная запись пользователя должна иметь полномочиядля добавления компьютеров к домену.2. Введите имя домена. Это должно быть полностью уточненное DNS-имя домена(evenseast.com), а не NetBIOS-имя (evenseast).3. Выберите вариант установки. В зависимости от того, как объекты GPO сконфигурированыдля сервера RIS, пользователь может иметь доступ к следующимвариантам: Setup (Установка), Custom Setup (Настраиваемая установка), Restarta Previous Setup Attempt (Повторный запуск установки) и Maintenance andTroubleshooting Tools (Средства обслуживания и устранения проблем).4. Введите имя компьютера и путь к папке. Это единственные обязательные данные,если на предыдущем шаге выбран вариант Custom Setup.5. Выберите образ, который вы хотите установить. В зависимости от того, как заданысписки управления доступом (ACL) на сервере RIS, пользователь, возможно,будет иметь доступ не ко всем образам, имеющимся на сервере RIS.6. Установите образ. В зависимости от размера образа и набора его возможностей, атакже скорости сетевых соединений и насыщенности трафика между клиентскимкомпьютером и сервером RIS это может занять много времени. Если в файлеRistndrd.sif (для плоских образов) или в файле Riprep.sif (для Riprep-образов) не заданадля образов такая информация, как имя компании, зарегистрированное имяпользователя и код продукта, то эта информация запрашивается у пользователя.

Глава 3Основы работы системыдля серверовЕсли вы переходите к Windows Server 2003 из Windows 2000, то обнаружите лишьнебольшое число существенных изменений в работе этой операционной системыили в способах администрирования вашего предприятия. Отличия между управлениемсерверами, работающими под управлением Windows 2000 и Windows Server 2003несущественны: вы просто получаете некоторые новые средства, которые упрощаютвашу работу.Но если вы переходите к Windows Server 2003 из Windows NT 4, то вам придетсяузнать много нового, в том числе ознакомиться с новыми принципами и новымисредствами во всех главах этой книги.В данной главе дается обзор основ Windows Server 2003, то есть всего, что вамнужно знать, чтобы использовать новые возможности и средства, имеющиеся в вашемраспоряжении.Средства Manage Your ServerПосле установки Windows Server 2003 страница Manage Your Server (Управление вашимсервером) автоматически появляется при каждой загрузке вашего компьютера.Microsoft ввела это средство в Windows 2000, а его версия для Windows Server 2003просто изумляет! Как видно из рисунка 3.1, это окно представляет множество утилитдля конфигурирования ролей серверов и управления службами, которые выпредоставляете пользователям с помощью этих ролей.Примечание. Вы можете также открыть эту страницу, выбрав Manage Your Server вменю Start.Мастера Configure Your Server WizardВы можете использовать возможности мастеров, которые вызываются из окнаManage Your Server, чтобы конфигурировать сервер Windows Server 2003 для определеннойроли или нескольких ролей (для каждой роли имеется отдельный мастер).Соответствующий мастер проводит вас через процесс установки компонентов, требующихсядля служб, которые вы хотите предоставлять своим пользователям с помощьюэтого сервера.Примечание. Мастеров Configure Your Server нет в версии Windows Server 2003 WebEdition.

92 Windows Server 2003. Полное руководствоЧтобы запустить мастер, щелкните на ссылке Add Or Remove Role (Добавлениеили удаление роли). На первой странице мастера появляется контрольный списокпредварительных задач (рис. 3.2), большинство из которых вы, вероятно, выполнилиавтоматически во время установки операционной системы.При щелчке на кнопке Next мастер проверяет сетевой адаптер (NIC), чтобы убедиться,что данный компьютер может взаимодействовать с сетью, и затем выводитсписок ролей, которые вы можете назначить серверу. В следующих разделах приводитсябазовая информация по каждой роли сервера.Поиск в Help-файлах слова или фразыДобавление или удаление компонентов для ролей сервераОткрытие диалогового окна System Propertiesм ?у Yuur Sei «IM a n a g e Your ServerОткрытие страниц Tools HelpВывод списка Administrative ToolsПодсоединение к сайту UpdateIManaging Your Server Roles. Use the tools and information found here to add оperform your daily administrative tasks.emove roles andYourserverhasbeenconfiguredwfththefolowing roles:.Л: File ServerFile servers provide and manage access to files.jl Add or remove a roteф Read about server rolesФ; Read about remoteadmintstratio. fjpj Manage this file serverЦ; Add shared folders*& Review the next steps forthis rolerAdministrative Tools ,More Tools —Windows Update„ Computer and Domain NameI Help and SupportMicrosoft TechNetDeployment and Resource KitsList of Common AdministrativeTasksWindows Server CommunitiesWhat's New. Strategic Technology Protection:-;: Program£H Bont display this page at logonИспользование оснастокдля управления службамиОтключение автоматическойзагрузки этой страницыОткрытие Help-файловРис. 3.1. Используйте средства Manage Your Server, чтобы конфигурироватьсервер для выполнения определенных задачFile Server (Файловый сервер)Большинство администраторов создают файловые серверы для хранения файловпользовательских данных, поскольку этот подход дает много преимуществ какпользователям, так и администраторам. Самым важным преимуществом являетсято, что резервное копирование файлового сервера является также резервным копированиемвсех пользовательских данных.

Глава 3. Основы работы системы для серверов 93Я не встречал администратора, который смог добиться выполнения правил порезервному копированию, когда пользователи сохраняли данные на своих локальныхкомпьютерах. Любому администратору приходилось сталкиваться с обращениямипользователей, у которых перестал работать или был запорчен диск, и опроспользователей всегда показывал, что нет свежих резервных копий (или вообще нетрезервных копий). Кроме того, сохранение данных на файловых серверах являетсяединственным способом работы, если у вас есть перемещающиеся (блуждающие)пользователи.Используйте для файловых серверов компьютеры с дисками большой емкости.Для этого имеет смысл использовать несколько дисков. Поскольку ввод-вывод являетсянаиболее существенным фактором для файловых серверов, старайтесь приобрестикак можно более быстрые диски.При настройке файловых серверов вы должны проследить, чтобы параметрыконфигурации пользовательских приложений указывали на этот сервер как местопо умолчанию для файлов данных.PreliminaryStepsYoucanensure thatyousuccessfulyconfigureyourserverbycompletingthe folowingstepsbeforecontinutfig.Beforecontinuing, verify that thefolowingstepshavebeencompleted.• InstalaBmodemsandnetworkcards.• Atach alnecessarycables.• Ifyouplan touse thisserver for Internet connectivity,connect to the Internetnow.• Turn on аи peripherals, such as printers and external drives.• Have your Windows .NET Server 2003 Setup CD available, or know your network installation path.When you click Next, the wizard wiB search for network connections.Рис. З.2. Прежде чем устанавливать компоненты сервера, убедитесь, что всефизические соединения сконфигурированы и работаютВ зависимости от приложения это можно сделать путем задания соответствующихпараметров во время развертывания или с помощью групповых политик. (Длянекоторых приложений вам может потребоваться отображение диска в точки разделяемогодоступа для пользователей.)В случае файлового сервера мастер Configure Your Server предлагает следующиеопции конфигурирования.• Дисковые квоты (в предположении, что данный компьютер форматируется всистеме NTFS); более подробно о дисковых квотах см. в гл. 16.• Службы индексирования.Этот мастер также запускает мастер Share A Folder Wizard, который позволяетвам предоставлять для разделяемого доступа существующие папки или создаватьновые разделяемые папки.

94 Windows Server 2003. Полное руководствоPrint Server (Сервер печати)Если вы настраиваете сервер как сервер печати, то соответствующий мастер проводитвас через процесс предоставления драйверов принтеров клиентским компьютерам. Выможете даже загружать драйверы для старых версий Windows (до Windows 2000), чтобыпользователям этих версий было проще выполнять установку принтеров. У вас долженбыть доступ к драйверам принтеров, и во многих случаях вы можете извлекать эти драйверыс CD соответствующей операционной системы. Или вы можете копировать драйверыпрежних версий Windows на сервер или гибкий диск до запуска этого мастера.Совет. Имеет смысл посещать веб-сайт изготовителя принтера для возможного полученияновых драйверов.Если вы устанавливаете драйверы для Windows Server 2003, Windows 2000 илиWindows XP, то при щелчке на кнопке Next происходит запуск мастера добавленияпринтеров Add Printer Wizard. Если вы также устанавливаете драйверы для клиентовстарых версий, то в дополнение к мастеру Add Printer Wizard запускается мастерAdd Printer Drivers Wizard (Мастер добавления драйверов принтеров).Сетевая печать требует интенсивного ввода-вывода, поэтому имеет смысл поместитьна файловый сервер быстрый диск. Кроме того, я добавил второй параллельныйпорт (он стоит меньше 10 долларов) на мой файловый сервер, чтобы поддерживатьболее одного принтера. Вы можете также поддерживать несколькопринтеров с помощью порта USB, поскольку большинство новых принтеров позволяютиспользовать USB-соединения. Кроме того, я нашел одно интересное устройство- расширитель порта USB, который превращает один порт USB в соединениедля четырех портов. У меня устройство от компании Linksys, но, теперь, когда USBсоединениястали настолько популярны, такое устройство, возможно, предлагаюти другие изготовители. Ваш сервер Windows Server 2003 может поддерживать несколькопринтеров без каких-либо потерь в производительности.Примечание. Более подробно об управлении службами сетевой печати см. в гл. 9.Application Server (Сервер приложений)Роль «сервер приложений» фактически означает «сервер веб-приложений». Есливам нужно предоставить сетевым пользователям доступ только к таким приложениям,как Word или Excel, то вы можете установить Terminal Server. Это не означает,что вы настраиваете сервер приложений для предоставления услуг всему миру (хотяэто возможно). Большинство администраторов, которые создают серверы приложений,хотят предоставлять своим пользователям доступ к этому серверу через интернетили хотят, чтобы пользователи могли иметь доступ к веб-технологиям (например,к средствам ftp-пересылки или к HTML-документам). Если вы используетемастер Configure Your Server Wizard для создания сервера приложений, то происходитавтоматическая установка следующих компонентов.• Internet Information Services (IIS). Обеспечивает инфраструктуру для веб-приложенийи веб-служб.• Консоль Application Server. Предоставляет средства администрирования для управлениявеб-приложениями.• СОМ+. Расширение модели COM (Component Object Model), которое добавляетсредства разработчика к встроенным интегрированным функциям СОМ.• Distributed Transaction Coordinator (DTC). Координирует транзакции СОМ+.

Глава 3. Основы работы системы для серверов 95Кроме того, вы можете дополнительно выбрать следующие средства.• Install FrontPage Server Extensions. Позволяет пользователям дистанционно администрироватьи публиковать веб-сайт.• Enable ASP.NET. Платформа веб-приложений для развертывания веб-приложенийкласса предприятий.Mail Server (Почтовый сервер)Почтовый сервер выполняет сбор электронной почты с почтового сервера ISP (провайдерауслуг интернет) и распространяет эту почту пользователям. Это способ централизациипочтовых услуг вместо обращения каждого пользователя к ISP. Крометого, в случае конфигурирования сервер Windows Server 2003 для этой роли он действуеткак сервер SMTP.Прежде чем конфигурировать почтовый сервер, вы должны обратиться к своемуISP, чтобы получить статический IP-адрес для данного компьютера, и должны такжеубедиться, что у вашего ISP имеется запись Mail eXchanger (МХ-запись), которая соответствуетимени почтового сервера для вашего доменного имени электронной почты.Мастер проводит вас через шаги конфигурирования (включая настройки аутентификации),и после окончания вы можете использовать оснастку РОРЗ Service дляуправления вашим почтовым сервером.Terminal Server (Терминальный сервер)Терминальный сервер предоставляет пользователям доступ к Windows-приложениям.Вы можете установить терминальный сервер в любой версии Windows Server 2003,за исключением Web edition.Используя терминальный сервер, вы устанавливаете одну копию приложения ипредоставляете пользователям доступ к этому приложению на сервере. Пользователимогут сохранять файлы, поддерживать свои собственные настройки и работать сэтим ПО, как будто оно установлено на их собственном компьютере.Примечание. В приложении А дается обзор работы терминального сервера в WindowsServer 2003.Remote Access/VPN Server (Сервер дистанционного доступа/виртуальных частных сетей)Эта роль сервера используется для того, чтобы удаленные пользователи получали доступк локальной сети, к которой подсоединен данный сервер. Пользователи могутиспользовать коммутируемые (dial-up) соединения или подсоединяться из своих браузеров.Действуя как точка доступа (шлюз), сервер дистанционного доступа/VPN обеспечиваеттакже трансляцию сетевых адресов (NAT — Network Address Translation). Спомощью VPN и NAT ваши пользователи-клиенты могут определять IP-адреса компьютеровв вашей частной сети, а другие интернет-пользователи не могут.Хотя традиционные коммутируемые соединения продолжают использоваться (ихчасто применяют сотрудники, подсоединяющиеся из дома), VPN-соединения находятвсе большее распространение. Использование широкополосных соединенийсделало VPN полезным средством доступа к сетевым ресурсам для мобильныхпользователей и пользователей удаленных подразделений.Если вы хотите использовать свой компьютер Windows Server 2003 для этой роли, тоон должен иметь несколько сетевых адаптеров (multihomed), чтобы соединение локальнойсети и широкополосное соединение существовали отдельно (и независимо).

96 Windows Server 2003. Полное руководствоМастер проводит вас через все шаги, предлагая опции конфигурирования, которыезависят от того, как ваши удаленные пользователи присоединены к сети.Обычно вам нужно принять следующие решения по конфигурации.• Назначение сетевых адаптеров. Укажите мастеру, какой сетевой адаптер (NIC)выделен для широкополосного соединения и какой адаптер подсоединен к локальнойсети.• Назначение IP-адресов входящим клиентам. Если ваша локальная сеть имеет серверDHCP, то сервер дистанционного доступа/VPN может одновременно арендоватьдесять адресов и назначать эти адреса удаленным клиентам. Если у васнет сервера DHCP, то вы можете сконфигурировать сервер дистанционного доступа/VPNдля генерации и назначения IP-адресов удаленным клиентам. Выдолжны задать диапазон IP-адресов, которые используете для этой цели.• Конфигурирование служб RAS/RRAS, если вы разрешаете коммутируемые (dialup)соединения. Отметим, что служба RAS встроена в Windows Server 2003, и ее ненадо устанавливать как компонент Windows.Domain Controller (Контроллер домена)Контроллер домена (DC) содержит Active Directory и управляет входами в систему(logon). Вы можете использовать этот мастер для установки первого контроллера домена,или, если у вас уже установлен какой-либо контроллер домена, этот мастер проводитвас через шаги установки других контроллеров доменов следующих видов:• другой контроллер домена для существующего домена;• контроллер домена для нового леса;• контроллер домена для нового дочернего домена;• контроллер домена для нового дерева доменов.Сведения по установке и конфигурированию контроллеров доменов см. в гл. 18.DNS Server (Сервер DNS)Сервер DNS обеспечивает работу службы разрешения имен, которая требуется дляActive Directory. Сведения по DNS см. в гл. 12.DHCP Server (Сервер DHCP)Сервер DHCP предоставляет IP-адреса для компьютеров вашей сети. Более подробнуюинформацию по DHCP см. в гл. 12.Streaming Media Server (Сервер потоковой медиа-информации)Если вам требуется доставлять содержимое Windows Media (потоковое аудио и видео),то вы можете конфигурировать компьютер Windows Server 2003 как сервер потоковоймедиа-информации. Этот мастер устанавливает службу Windows MediaServices, которая позволяет вам доставлять цифровую медиа-информацию (в реальноммасштабе времени) клиентам локальной сети, клиентам коммутируемого доступаи клиентам VPN.WINS Server (Сервер WINS)Когда Microsoft выпустила Windows 2000, в ее маркетинговой стратегии было многозаявлений о том, что средства WINS теперь уже не нужны. На самом деле это не так.Мы не знаем администраторов, развернувших Windows 2000, которым бы удалосьуйти от необходимости конфигурирования и поддержки служб WINS, и выпускWindows Server 2003 не изменил этой ситуации.

Глава 3. Основы работы системы для серверов 97Даже после развертывания домена Windows Server 2003 вам, видимо, еще потребуетсяWINS в течение некоторого времени. Это относится не только к клиентамстарых версий Windows, которым требуется разрешение имен NetBIOS, но такжесвязано с тем, что у вас, видимо, используются приложения, в которых осуществляютсявызовы WINS. (Сразу приходит в голову Microsoft Office.)Установка сервера WINS и поддержка служб WINS не представляет сложностей,поскольку Windows Server 2003 выполняет такие задачи эффективно и автоматически.Более подробно о работе с WINS см. в гл. 12.Удаление ролей серверовПо мере настройки, корректировки и оптимизации вашего предприятия обычноприходится пересматривать роли серверов в предоставлении сетевых услуг пользователям.У вас могут быть серверы, выполняющие несколько ролей, и по мере приобретениянового оборудования вы можете передавать роли новым компьютерам.Или может оказаться, что некоторые серверы с несколькими ролями испытываютслишком большую нагрузку, обслуживая пользователей, что приводит к снижениюпроизводительности.Manage Your Server позволяет удалять роли так же легко и быстро, как и добавлятьих. Для этого щелкните на ссылке Add Or Remove Role, чтобы запустить мастерConfigure Your Server Wizard, который вы уже использовали для создания ролей.Щелкните на кнопке Next в первом окне (предварительная информация), и послетого, как Windows проверит ваши сетевые соединения, вы увидите список ролейсерверов. Роли, которые вы назначили данному компьютеру, будут представленызначением Yes в колонке Configured. Если вы задали роль вручную, установив определенныйкомпонент Windows вместо использования мастера Configure Your ServerWizard, то эта роль тоже будет представлена значением Yes (см. ниже раздел «Заданиеролей серверов вручную»).Выделите роль, которую хотите удалить, и щелкните на кнопке Next, чтобы вызватьокно мастера Role Removal Confirmation (Подтверждение удаления роли), см. рис. 3.3.RoleRemovalConfirmationTheConfigureYourServerWizardisreadytoremovetherole.Summary:RemovethePOP3serviceRemoveSimpleMailTransferProtocol (SMTP)ЛWtien you cfck Next, the Configure Your Server Wuard removes the existing mail serverconfiguration from this server.To change your selection, click Back. To remove this role, select the Remove the mad server rolecheck box, and then click Next.Рис. 3.3. Мастер удалит соответствующие файлы и настройки после того, как выподтвердите удалениеА - 3994

98 Windows Server 2003. Полное руководствоУстановите флажок, подтверждающий удаление, и затем щелкните на кнопкеNext. Мастер удалит соответствующие файлы и при необходимости внесет измененияв конфигурацию.WindowsComponents wizardConfiguringComponentsSetupismakingtheconfigurationchangesyourequested.- - Rea*ewarf »#*•Setupcc* figuft:theJ ievft^J пшчлв; depe'wing on ih* conIЩелкните на кнопке Finish в последнем окне мастера, чтобы завершить этотпроцесс.Журнал Configure Your ServerWindows Server 2003 ведет журнал процессов, выполняемых мастером Configure YourServer Wizard. Для просмотра этого журнала щелкните на ссылке Add Or RemoveRole в окне Manage Your Server и щелкайте на кнопках Next, пока не появится списокServer Role (Роль сервера) в окне мастера Configure Your Server Wizard. Затемщелкните на ссылке View Your Server Log (Просмотр журнала).Альтернативный способ - это перейти в %SystemRoot%\debug и открыть текстовыйфайл с именем Configure Your Server.log.Задание ролей серверов вручнуюЕсли вы предпочитаете сделать это вручную и вообще избегаете работать с мастерами,то можете настроить любой сервер Windows Server 2003 для любой роли. Длябольшинства доступных ролей серверов требуется установка одного или несколькихкомпонентов Windows. Исключение составляют роли файлового сервера (дляэтого требуются только разделяемые папки) и сервера печати (для этого требуетсязадать разделяемый доступ к подсоединенным принтерам).Откройте апплет Add Or Remove Programs в Control Panel и щелкните на кнопкеAdd. Затем выполните прокрутку, чтобы найти компонент, требующийся для роли,которую должен выполнять данный компьютер в вашей сети.Для многих компонентов вы можете выбрать определенные средства и функцииили выбрать все средства, доступные для данного компонента.Если установить компонент таким способом, то роль этого компонента появитсяв списке ролей, которые представлены значением Yes в колонке Configured мастераConfigure Your Server Wizard. Вы можете удалить этот компонент (и соответствующуюроль) вручную в апплете Add Or Remove Programs или с помощью мастера.

Глава 3. Основы работы системы для серверов 99Remote Desktop (Удаленный рабочий стол)Remote Desktop - очень удобное средство, и, опробовав его, вы уже не сможете обходитьсябез этого средства. Оно впервые появилось в Windows 2000 как составнаячасть режима Terminal Services Administrative Mode. На сервере Windows 2000 можнобыло устанавливать Terminal Services в двух режимах: Administrative mode (Административныйрежим) или Application mode (Режим приложений). В административномрежиме предоставлялись две бесплатные лицензии для доступа к серверу в целяхвыполнения административных задач. Администраторы могли выполнять этизадачи, находясь за своим компьютером, - без необходимости присутствия рядом ссервером.В Windows Server 2003 средство Remote Desktop встроено в операционную системусервера. Его фактическое имя Remote Desktop for Administration (Удаленный рабочийстол для администрирования), но его всегда называют Remote Desktop.Соответствующее клиентское ПО (под названием Remote Desktop Connection -Подключение к удаленному рабочему столу) встроено в Windows XP (клиентскаясистема семейства Windows Server 2003). Для клиентских версий Windows, выпущенныхдо Windows XP, вы можете установить это клиентское ПО (см. ниже раздел «КлиентскоеПО для дистанционного подключения»).Для средства Remote Desktop используется протокол Terminal Services RemoteDesktop Protocol (RDP) через порт 3389. RDP переносит интерфейс с сервера наклиентский компьютер и передает нажатия клавиш клавиатуры и щелчки мыши склиентского компьютера на сервер. Вы осуществляете дистанционный вход на сервер,как будто делаете это локально. Windows Server 2003 может поддерживать одновременнодва дистанционных соединения, а также консольный сеанс, и каждыйсеанс действует независимо от других.Чтобы использовать средство Remote Desktop для администрирования серверов,вы должны сначала выполнить две задачи.• Активизировать это средство на сервере и разрешить доступ подходящим пользователям.• Установить соответствующее клиентское ПО на своем собственном компьютере.Активизация Remote Desktop на сервереЧтобы активизировать доступ с помощью Remote Desktop на своем компьютереWindows Server 2003, откройте диалоговое окно System Properties, щелкнув правойкнопкой на My Computer и выбрав в контекстном меню пункт Properties. Перейдитево вкладку Remote (Удаленное использование), см. рис. 3.4, и установите флажокAllow users to connect remotely to this computer (Разрешить пользователям дистанционныйдоступ к этому компьютеру).После активизации этого средства вам нужно задать список пользователей, которымразрешается дистанционный доступ к вашему серверу. Членам группыAdministrators автоматически разрешается доступ к данному серверу, но вы можетедобавить и других пользователей. Вы можете добавлять по одному пользователюили включать подходящих пользователей в группу Remote Desktop. Чтобы сделатьэто, щелкните на кнопке Select Remote Users (Выбрать удаленных пользователей),после чего появится диалоговое окно Remote Desktop Users.

• , • • • • : , , ,( • » J 3 . j » . . u : e f : t o c o n n e d . * f r . r . t - l y r . i t t u s t ' > m p j l ' > r•100 Windows Server 2003. Полное руководствоRemote Desktop UseisThe tneis bted below сзпсоппесНо the o--;;tw and any members ofti^&difeis gwup can connect even if they are not b!edBti.- accessRemoveITo create new user Accounts or add mess to ofhet groups, go to CentralSystem PiupertiesAdvancedAutomate Update:и.„ j., .....Рис. З.4. Первый шаг, позволяющийкомпьютеру приниматьдистанционные подключенияS.H«i ibt wao. Uiil W- comfute t.»o :.t i««J fi.m »..»«iТ.лг. o.-,R*rf...JeAi^..'3/• ' '• ,•CanedjЧтобы добавлять пользователей и/или группы вручную, щелкните на кнопке Addи используйте средства диалогового окна Select Users, чтобы выбрать подходящихпользователей. Наиболее эффективный способ - это выбрать вариант RemoteDesktop Users Group. Однако по умолчанию эта группа не заполнена. Чтобы добавитьпользователей в эту группу, щелкните на ссылке User Accounts (Учетные записипользователей) в диалоговом окне Remote Desktop Users, чтобы открыть оснасткуLocal Users and Groups (Локальные пользователи и группы). Затем выполнитеследующие шаги.1. Выберите в дереве консоли объект Groups и затем дважды щелкните на объектеRemote Desktop Users Group в правой панели (панели подробной информации).2. В диалоговом окне Properties щелкните на кнопке Add, чтобы открыть диалоговоеокно Select Users, Computers, Or Groups (Выбор: Пользователи, Компьютерыили Группы).

Глава 3. Основы работы системы для серверов 101Select Users, Computers, or GroupsSelect ihrt obiect ivpelUtFrom \>h location£r.'*« ine obtecllo tetec('flbjeel Types.:tocahant...JCaned3.4.5.Если на локальном компьютере появится поле From This Location (Из следующегоместа), щелкните на кнопке Locations (Местоположения) и выберите доменили весь каталог (если у вас несколько доменов, из которых вы можете выбратьпользователей).Введите имена пользователей, которых вы хотите включить в группу, или щелкнитена кнопке Advanced, чтобы использовать средства поиска этого диалоговогоокна для выбора пользователей. Если вы вводите имена входа, щелкните накнопке Check Names (Проверка имен), чтобы проверить наличие указанных имени расширить имя до полностью уточненного доменного имени.Окончив добавление пользователей в группу, щелкните на кнопке ОК, чтобывернуться в диалоговое окно Properties, где будут показаны члены группы (рис.3.5).keUsmЯКНШЭДРис. 3.5. Не забудьте добавитьсебя в этот список, чтобы вымогли осуществлять доступ кданному серверу со своей рабочейстанции, даже если выполняетевход не как администраторWENSEAST\an*H^3lVENSEAST\kalhyWENSEASTSIeah6. Щелкните на кнопке ОК, чтобы вернуться в оснастку Local Users and Groups, изатем закройте эту оснастку, чтобы вернуться в диалоговое окно Remote DesktopUsers.7. Закройте диалоговое окно Remote Desktop Users, даже если в нем нет никакихимен. Группе Remote Desktop Users автоматически предоставляется удаленныйдоступ к данному компьютеру (в следующий раз, когда вы откроете диалоговое

102 Windows Server 2003. Полное руководствоокно Remote Desktop Users, в нем будет представлен список всех пользователейэтой группы).Примечание. Пользователи, которых вы добавляете в группу Remote Desktop Users,не обязательно должны иметь повышенные привилегии; вы можете выбирать обычныхдоменных пользователей. Такие пользователи могут администрировать сервербез необходимости входа под учетной записью Administrator.Внимание. Чтобы защитить сервер, вы должны обеспечить, чтобы пользователи,включенные в группу Remote Desktop Users, имели усложненные пароли.После конфигурирования сервера для дистанционного доступа пользователимогут администрировать этот сервер, используя следующие типы соединений:• сетевые (локальная сеть);• коммутируемые (dial-up);• VPN (виртуальные частные сети).Теперь вам нужно настроить свою рабочую станцию, а также рабочие станцииостальных пользователей, которые будут дистанционно администрировать сервер.Клиентское ПО для дистанционного подключенияWindows XP содержит клиентское ПО для дистанционного подключения, поэтомудля подсоединения к вашему компьютер Windows Server 2003 с компьютера WindowsХР нужно всего лишь указать и щелкнуть мышью. Выберите Start (nycK)\Programs(Программы)\А11 Programs (Все nporpaMMbi)\Accessories (Стандартные)\Communications (Связь)^ето1е Desktop Connection (Подключение к удаленномурабочему столу), чтобы открыть диалоговое окно Remote Desktop Connection.Совет. Щелкните правой кнопкой на списке Remote Desktop Connection и выберитепункт Pin To Start Menu (Закрепить в меню «Пуск»), чтобы избежать навигации черезнесколько меню в будущем, или создайте значок в панели инструментов QuickLaunch (Быстрый запуск).Установка клиентского ПО для дистанционного подключенияна компьютерах с предыдущими версиями WindowsВы можете установить клиентское ПО Remote Desktop Connection в других версияхWindows с компакт-диска Windows Server 2003 или из сетевой разделяемой точки,содержащей установочные файлы Windows Server 2003.1. Запустите программу установки (Setup), которая, возможно, запустится автоматически,когда вы установите CD Windows Server 2003.2. Выберите Perform Additional Tasks (Выполнить дополнительные задачи).3. Выберите Set Up Remote Desktop Connection (Создать подключение к удаленномурабочему столу).4. Выполните шаги, запрашиваемые мастером, чтобы принять условия лицензионногосоглашения и установить это ПО для всех пользователей данного компьютераили только для текущего пользователя.

Глава 3. Основы работы системы для серверов 1035. После того как мастер закончит установку файлов, это ПО появится в менюPrograms.ПО дистанционного подключения на CD Windows Server 2003 имеет версию 5.2,которая является более поздней версией этого ПО, чем версия 5.1, поставляемая вWindows ХР и Windows XP Service Pack 1. Версия 5.2 содержит дополнительное средстводля доступа к консольному сеансу сервера (без этой версии вы можете получатьдоступ к консольному сеансу сервера только через командную строку). Болееподробную информацию см. ниже в разделе «Присоединение к консольному сеансу».Возможно, вам потребуется обновление вашего ПО дистанционного подключенияв Windows XP.Конфигурирование дополнительных параметров дистанционногоподключенияВы можете конфигурировать параметры дистанционного подключения в соответствиис вашими собственными требованиями, щелкнув на кнопке Options (Параметры),чтобы открыть набор опций, показанных на рисунке 3.6.'.'RemoteDe-.klopConnюгеDesktopРис. 3.6. Конфигурированиедополнительных параметровдистанционного подключенияGenetal Di plai Lo al Rt it.es Prngrjms Experience?: Logon «Uings • ~ --•--: •;•; • -•• ••: :»e| Type the name of the compute, or choose a computer ffom,'J==4 the diop-down list. ••••N-EHSEASTQ Save my password! ; • / •: j S ave ciHient settings; or open saved connection.: ISave As . .Open ., .:.., • : | I..,,,,,-I [I Ц,.!р ijВкладка General окна Remote Desktop Connection. Во вкладке General (Общие) имеютсядве очень полезные опции:• вы можете сохранять пароль;• вы можете сохранять настройки подключения вместе с заданными вами параметрамиконфигурации.Сконфигурировав все параметры подключения, щелкните на кнопке Save As(Сохранить как), чтобы сохранить файл настроек подключения, то есть .rdp-файл(файл протокола удаленного рабочего стола). Задайте описательное название этого.rdp-файла, которое напоминало бы об этом удаленном сервере и его настройках.Чтобы изменить какие-либо настройки подключения, щелкните правой кнопкойна этом файле и выберите в контекстном меню пункт Edit (Правка).

104 Windows Server 2003. Полное руководствоВы можете создать, настроить и сохранить несколько .rdp-файлов, в том числефайлы для подключения к одному серверу с различными настройками. Сохраняемыевами файлы подключения помещаются в вашу папку My Documents (Мои документы).Вы можете переместить значок файла дистанционного подключения нарабочий стол или в панель инструментов Quick Launch (Быстрый запуск). Если выоткрываете сохраненный .rdp-файл, то любые изменения, которые вы вносите впараметры конфигурации, записываются в ваш сохраненный файл.Используемый по умолчанию файл настроек подключения, содержащий всенастройки по умолчанию, находится в папке My Documents. Это скрытый файл сименем default.rdp. Если вы не работаете с каким-либо другим .rdp-файлом, то прикаждом изменении параметров конфигурации в любом из диалоговых окон RemoteDesktop Connection эти изменения записываются в файл default.rdp.Вкладка Display окна Remote Desktop Connection. Вкладка Display (Экран) содержитпараметры конфигурирования внешнего вида окна удаленного рабочего стола. Помните,что настройки сервера могут влиять на ваш выбор (в зависимости от оборудованияи драйверов, установленных на сервере).Вкладка Local Resources окна Remote Desktop Connection. Вкладка Local Resources (Локальныересурсы) содержит несколько интересных опций, показанных на рисунке3.7. Вы можете конфигурировать следующие ресурсы.• Звуковые фрагменты можно воспроизводить локально, на удаленном компьютереили не воспроизводить совсем.• Комбинации клавиш Windows могут действовать локально, на удаленном компьютереили только в полноэкранном режиме.• Вы можете делать доступными для данного сеанса локальные диски, принтерыи последовательные порты.General Display LocalResources ;Programs 'Experiencemote согс'р-Ле) sojndF j Bring to thiscomputer1 Рис. 3.7. Решите, к какимлокальным ресурсам и к какимудаленным ресурсам вы хотитеиметь доступUx-sl devices ••ApplyWindowskeycombinations(foiexampleALT+TAB)j In fulscieenmodeonlyConnect automatically to these local devices when logged onto the [emote comoutenI..] Disk drives0 PrintersQ Serial portsl i f Correct""]} Cancel ~~] [" HelpПо умолчанию доступен локальный принтер, но если вы хотите перемещатьфайлы или выполнять операции копирования и вставки между приложениями, ра-

Глава 3. Основы работы системы для серверов 105ботающими на обоих компьютерах, то должны установить флажок доступа к локальнымдискам (флажок Disk drives). Доступны все локальные диски, включая отображаемыедиски (см. ниже раздел «Перемещение данных между компьютерами».)Вкладка Programs. Вкладка Programs используется как средство дистанционного подключения,позволяющее запускать определенную программу, как только вы начинаетеудаленный сеанс. Но на самом деле это средство доступно, только если выподсоединяетесь к компьютеру, исполняющему роль Terminal Server.Вкладка Experience. Вкладка Experience (Дополнительно) используется для конфигурированияскорости и элементов Windows, показанных на рисунке 3.8.Рис. 3.8. Уточняющая настройкаподключения во вкладкеExperienceAlow the folowing[I]Desktopbackground0Show contents ofwindow whiledragging0Menuandwindowanimation0 ThanesElBitmap cachingIСоппесГ]] | CancelЕсли вы запускаете самую последнюю версию Remote Desktop Connection (котораяпоставляется на CD Windows Server 2003), то во вкладке Experience имеетсядополнительная опция: Reconnect If Connection Is Dropped (Снова подсоединятьсяпри потере соединения). Эта опция включена по умолчанию, то есть система пытаетсяснова установить соединение с удаленным сервером, если по какой-либо причинепроизошло разъединение.Запуск сеанса Remote DesktopДля запуска сеанса удаленного рабочего стола откройте программу Remote DesktopConnection.NgNHj1 ••'-•ji1У, .;•":•; 1ect j:j Caned ] [ Help | | Optio

106 Windows Server 2003. Полное руководствоВ поле Computer введите информацию об удаленном компьютере.• Для соединения локальной сети или VPN-соединения введите имя сервера.• Для интернет-соединения введите IP-адрес сервера.Примечание. Раскрывающийся список диалогового окна Remote Desktop Connectionсодержит также команду Browse For More (Дополнительный обзор), но она не действуетдля удаленного рабочего стола. Этот браузер выполняет поиск серверов домена,на которых установлена служба Terminal Server, но объект для домена не раскрывается,за исключения показа этих серверов. В период бета-тестированияWindows Server 2003 я направил запрос улучшений, где предлагалось включить поисксерверов, активизированных для функции удаленного рабочего стола. Я получилответ, что хотя для средства Remote Desktop используются те же функции, что идля Terminal Server (протокол RDP через порт 3389), применяется другой программныйкод. Пока что непонятно, будет ли учтено мое предложение.Щелкните на кнопке Connect (Подключиться), чтобы открыть диалоговое окноLog On to Windows (Начало сеанса работы с Windows) для удаленного сервера (см.рис. 3.9). Введите свой пароль и щелкните на кнопке ОК.Рис. 3.9. Значок канцелярской кнопки с левой стороны панели подключенияуправляет представлением этой панели на экране: она видна всегда (кнопка«прижата») или только когда мышь оказывается над ее областью (кнопка «вытащена»)Вы можете подсоединяться к компьютеру Windows Server 2003, пока он работает;чтобы вы получили доступ к этому компьютеру, вам не потребуется вход на этоткомпьютер какого-то интерактивного пользователя.В результате вашего удаленного подключения к этому серверу происходит запускнового сеанса. Запускаются программы, которые должны выполняться призагрузке компьютера (например, антивирусное ПО). Меню Start (Пуск), панельинструментов и другие элементы, которые вы видите на экране, берутся с сервера.Если два удаленных пользователя уже подключились к этому серверу (это предельноеколичество), то система выдает следующее сообщение об ошибке:

Глава 3. Основы работы системы для серверов 107maximumnumber of a&wed correctionsРабота в сеансе Remote DesktopПосле подключения вы можете администрировать удаленный сервер. Вы можетеоткрыть Панель управления (Control Panel) и управлять настройками ее апплетов,конфигурировать сервер (включая повышение его уровня до контроллера домена,если это обычный сервер), запускать системные средства и вообще работать, какбудто вы сидите перед монитором этого сервера. Если это контроллер домена, то выможете запускать административные задачи, например, добавлять пользователей икомпьютеры или задавать групповые политики на уровне домена.Вы можете также запускать приложения и сохранять данные. Папка MyDocuments (Мои документы), которую вы видите в диалоговом окне Save As, создаетсядля вас при вашем первом входе на компьютер Windows Server 2003 с помощьюRemote Desktop. В вашем распоряжении находится вся иерархия подпапок этогокомпьютера, как если бы вы осуществили вход интерактивно.Вы можете даже выполнять задачи, требующие перезагрузки или заполненияработы сервера с помощью кнопок Start\Shut Down (Завершение работы). Вы получитепредупреждение, что это повлияет на всех остальных пользователей, работающихс этим компьютером, и затем произойдет автоматическое разъединение этогоудаленного сеанса.Однако мой опыт показывает, что перезагрузка может оказаться опасной, еслирядом с сервером нет человека, чтобы вмешаться в случае какой-либо проблемыперезагрузки. Например, однажды я запустил перезагрузку удаленного сервера, укоторого была установлена дискета в дисководе А. Появилось сообщение о несистемномдиске, и я ничего не мог сделать. К счастью, это не был критически важныйсервер для данной локальной сети, поэтому простой, в течение которого я нашел потелефону нужного человека, не оказал существенного влияния на работу пользователей.ПечатьПо умолчанию для удаленных подключений активизирован локальный (клиентский)принтер, что имеет смысл в таком сеансе (вам нет резона печатать документ,который вы не видите). Когда вы подключаетесь к удаленному серверу, ваши локальныепринтеры обнаруживаются этим сервером и если на сервере установлендрайвер для вашего принтера, то создается очередь печати с этого сервера. Если насервере нет драйвера для вашего принтера, то вы должны установить его, преждечем сможете выполнять печать на своем локальном принтере во время сеанса.Задания из очереди печати сервера отправляются в очередь принтера, котораясоздается на локальном компьютере, когда вы в первый раз выполняете печать изсеанса удаленного подключения. Затем при каждом вашем подключении сервер ищетна локальном компьютере очередь печати для сеанса удаленного рабочего стола икогда находит ее, автоматически создает очередь сервера (не ожидая, пока вы инициируетекакое-либо задание печати, чтобы создать очередь сервера).

:108 Windows Server 2003. Полное руководствоВнимание. В отличие от обычной очереди печати Windows, задания печати не сохраняютсяв очереди сервера, если вы отсоединяетесь (предполагая выполнить печатьпри повторном подключении). При отсоединении задания печати удаляются.Перемещение данных между компьютерамиВы можете вырезать или копировать информацию с одного компьютера на другой,если сконфигурировали свое подключение таким образом, чтобы были доступнылокальные диски. Это могут быть выделенные данные для вставки в приложениях,работающих на каждом компьютере, или файлы, которые копируются или перемещаютсямежду этими компьютерами.Откройте окно My Computer или Windows Explorer (Проводник), чтобы увидетьдиски сервера (названные локальными дисками, поскольку вы работаете на сервере)и диски клиентского компьютера (вашего локального компьютера). Как видно изрисунка 3.10, доступны все ваши локальные диски, включая отображаемые диски.Tit -.1.We* Fjw jjjgjj| $ MyComputerНамHard Disk Drives*Ь=5!ЁЩ!5и•Local DiskDevice» with Removable StorageГ;.иЯ»!Tolal S f e FreeSpace .Comments37.2 GB 34.6 GB& 3 X Floppy (A)$ . CD Drive (D:)ЗИ-lnch Floppy DiskCD DriveOtheronDOCSJgZonDOCSJgAonDOCSSgConDOCSЩSystem FolderSystem FolderSystem FolderSystem FolderDiskfromRemoteDesktopConnectionDiskfromRemoteDesktopConnectionDiskfromRemoteDesktopConnectionDiskfromRemoteDesktopConnectionРис. 3.10. Если вы сконфигурировали в Remote Desktop доступ к локальнымдискам, то можете видеть их на экранеВыход из сеанса Remote DesktopИмеется два способа отключения от удаленного сервера:• отсоединение от сеанса (Disconnect);• завершение сеанса работы (Log Off).Отсоединение от сеанса возвращает вас на ваш локальный компьютер, причемсеансы, которые вы инициировали на сервере, продолжают выполняться. Например,если вы запустили резервное копирование, то можете подключаться повторно(подсоединяться, используя то же пользовательское имя), чтобы проверить ход работыили закрыть приложения. Чтобы отсоединиться, щелкните на кнопке X в правомверхнем углу панели подключения. В диалоговом окне Disconnect WindowsSession (Отсоединение от сеанса Windows) щелкните на кнопке ОК.

Глава 3. Основы работы системы для' " ' - Лчмп(Log Off) действует так же, как и при работе непосредственнона сервере. Для завершения сеанса работы выберите Srart\Log Off "ослечего открывается такое же диалоговое окно, как и при интерактивном з а нии сеанса работы сервера Windows Server 2003рактивном заверше-:Управление подключениями с сервераЕсли вы работаете за консолью компьютера Windows Server 2003 когда к нему пол Н отк УДаЛеННЬЮ П ° ЛЬ30ВаТеЛИ ' то не -«и- никаких признаков их рабГьь Онимогут открывать программы, копировать данные и выполнять другие задачи безкаких-либо изменений на экране. Но вы можете видеть, кто подключился к компьютеру, открыв Task Manager (Диспетчер задач) и перейдя во в э д и se reWindows TaskManagerAppkalons |PTOCMWS | l'ei,-, gUsers10|Stalus••••: :0 Active1 Active2 ActiveCfentNameACCNTDOCS•L ..

110 Windows Server 2003. Полное руководствоДля отправки сообщения пользователю выделите нужное пользовательское имяи щелкните на кнопке Send Message (Отправить сообщение).Send MessageМ-!•=..;- titlefrom IVENSEASTSadmhistrator -1/7/2003 3:48 PM f•I n e e d t o l e b o o t • let m e k n o w w h e n y o u ' r e f i n i s h e dЧтобы отсоединить пользователя (Disconnect) или завершить его сеанс (Logoff)выделите его пользовательское имя и щелкните на соответствующей кнопке Пользо-^Присоединение к консольному сеансу°" ° ТС ° еДИНеН ( disc ° nne *ed) или его сеанс завер-Сервер, который активизирован для удаленного подключения, может поддерживатьдва сеанса Remote Desktop в дополнение к обычному (интерактивно^) к^сТвГ"Г"'Г"" 6 ТаКЖС бРЭТЬ " а СббЯ ^ а в л -ие консольным сеансом,если вам требуется работать в точности так же, как если бы вы сидели за этим ком-ГРаботая с Remote Desktop версии 5.2 (или с последующими версиями), вы можетевыполнять эти действия в графическом интерфейсе, но при работе с версией?!Fвы должны использовать командную строку.• В версии 5.2 просто добавьте ключ /consoie к имени или IP-адресу сервера (не1забыв поставить пробел перед этим ключом).Л1кГОТКройт^окнокомандной строки и введите следующую командуmstsc -y.UMHjcepeepa /F -console.теп Е т" К0Й - либ ° пользователь выполнил интерактивный вход на этот компьютер,то система предупредит вас, что произойдет завершение сеанса этого пользова-1С Л л.

•jT h e r e a r e n o i t e m s t o s h o w i n t h i s v i e w . iLogon Message* NГлава 3. Основы работы системы для серверов 111тЬ? user Г/О-бЕДГР.а^ггиг^г^сч i-; logged гл tcii-illy to thus computer. Thus user Kssbe*-. Hi-; for 2 minutes. Th? d«Wop >; unlocked. It you continue tNs user's WindowsSession ъчй rn.j and any urvsaved da э wifl be lost. C'o you war* to continue'i f 11:Если вы взяли на себя управление консольным сеансом и администратор пытаетсявыполнить вход интерактивно, то появится сообщение, что компьютер блокировани только удаленный пользователь или администратор может деблокироватькомпьютер. Если администратор решает деблокировать компьютер и берет на себяуправление консольным сеансом, то произойдет завершение вашего сеанса (сеансаудаленного пользователя). Вы можете использовать те же шаги, чтобы снова выполнитьвход в консольный сеанс, инициировав тем самым «состояние войны» междувами и интерактивным пользователем. Постарайтесь уладить эту ситуацию дипломатичнымпутем.Использование оснастки для Remote DesktopДля управления своими операциями удаленного рабочего стола с вашей рабочейстанции "Windows XP вы можете использовать оснастку вместо диалоговых оконRemote Desktop. Эта оснастка не устанавливается по умолчанию на компьютерах"Windows XP, но вы можете добавить ее.Соответствующий файл, adminpak.msi, находится в папке \i386 на CD WindowsServer 2003. Вы можете скопировать этот файл на любой компьютер или в разделяемыйсетевой ресурс. Щелкните правой кнопкой на этом файле и выберите в контекстномменю пункт Install (Установить).Adminpak.msi - это набор из многих оснасток, а не только средство для RemoteDesktop. Вы можете использовать эти оснастки для дистанционного выполнениязадач администрирования на вашем компьютере Windows Server 2003 с вашей собственнойрабочей станции Windows XP.Примечание. Adminpak.msi устанавливается на компьютерах Windows 2000, толькоесли вы обновите Microsoft Installer на этих компьютерах.Эти новые оснастки устанавливаются в вашем подменю Administrative Tools.Выберите в этом списке Remote Desktops, чтобы открыть соответствующую оснастку.Ф Remote DesktopI Fife АЛог, VmШ ^ ^ 'Ш \ Console Roc*Р«лл

112 Windows Server 2003. Полное руководствоЧтобы создать и сконфигурировать подключение, щелкните правой кнопкой наобъекте Remote Desktops в дереве консоли и выберите в контекстном меню пунктAdd New Connection (Создать новое подключение). Затем заполните поля данных вдиалоговом окне Add New Connection.Add New ConnectionPatswOftJОотнпОтметим, что флажок входа в консольный сеанс (Connect to console) установленпо умолчанию, и, вам, возможно, потребуется сбросить его. При подсоединении ккомпьютеру Windows Server 2003 в панели подробной информации (правой панели)консоли ММС появится диалоговое окно Log On to Windows.Вы можете создавать любое число необходимых соединений, и не забывайте сохранятьконсоль ММС, когда закрываете эту оснастку. При последующем открытиивсе ваши соединения появятся в дереве консоли. Дважды щелкните на нужномзначке, чтобы подсоединиться к соответствующему серверу. Вы можете подсоединятьсяк нескольким серверам и переключаться между ними, выбирая нужный серверв дереве консоли.Не забывайте завершать сеанс, прежде чем закрывать консоль ММС.Изменения в113Важным изменением в лучшую сторону по сравнению с Windows 2000 является то,что при установке Windows Server 2003 не происходит автоматической установкикомпонента Internet Information Services (IIS).Для подавляющего большинства серверов предприятий IIS не только не являетсянеобходимым компонентом, но может оказывать негативное влияние на их производительность.Нет смысла добавлять IIS к контроллерам доменов, файловымсерверам, серверам печати, хостам Terminal Server или другим серверам, которыевы устанавливаете в своей сети для предоставления услуг пользователям.Кроме того, многочисленные проблемы безопасности, для устранения которыхMicrosoft выпустила «заплаты», возникали из-за компонента IIS, который автоматическидобавлялся к серверным версиям Windows. Исключение обязательной установкиIIS повышает уровень безопасности без необходимости обхода всех серверовWindows и удаления компонента IIS или применения заплат безопасности.

Глава 3. Основы работы системы для серверов 113Использование версии Web Edition для IISВ семействе серверных операционных систем Windows появилась новая версия -Windows Server 2003 Web Edition. Она предназначена для управления вашими вебсайтами.Ее легко развертывать, ею легко управлять, и она предварительно конфигурируетсядля установки и активизации всех средств, которые требуются вам длявеб-хостинга.Web Edition - это единственная версия Windows Server 2003, при установке которойпроисходит автоматическая установка компонентов ITS. Кроме того, Web Editionавтоматически устанавливает и другие компоненты, которые требуются для вашихвеб-служб, включая следующие средства.• Средства дистанционного администрирования.• Протокол WebDAV (Web Distributed Authoring and Versioning).• NLB (Network Load Balancing - балансирование сетевой нагрузки).• Конфигурирование протокола SSL с помощью мастеров.Поскольку система Windows Server 2003 Web Edition специально разработана дляхостинга веб-сайтов, она не поддерживает следующие возможности.Контроллер домена (Active Directory не устанавливается).Разделяемое использование принтеров.IAS (Internet Authentication Service).Кластеры.Windows Media Services.Установка IISЕсли вы хотите использовать компьютер Windows Server 2003 для своего веб-сайта ивам нужны службы, которые не работают в Web Edition, то вы можете установитьIIS и другие компоненты веб-сайта на компьютере, который работает под управлениемWindows Server 2003 Standard Edition или Enterprise Edition. Имеется два способаустановки IIS.• Использовать Manage Your Server и выбрать роль Application Server.• Использовать Add/Remove Windows Components (Добавление и удаление компонентовWindows) аплета Add or Remove Programs в Control Panel (см. ниже инструкции).Выбор отдельных компонентов для установки зависит от причины, по которойвы устанавливаете IIS. Например, для создания сервера приложений на уровне предприятиявы будете использовать меньший (и отличающийся) набор компонентов,чем для веб-сервера.Add/Remove Windows Components позволяет установить больше дополнительныхкомпонентов, чем мастер установки роли Application Server, который запускаетсяпри использовании средств Manage Your Server. Для установки IIS из ControlPanel выполните следующие шаги.1. Откройте Add or Remove Programs из Control Panel и щелкните на Add/RemoveWindows Components.2. Выберите Application Server и щелкните на кнопке Details (Подробно).

114 Windows Server 2003. Полное руководство3. В диалоговом окне Application Server в секции Subcomponents of Application Server(Дополнительные компоненты сервера приложений) выберите InternetInformation Services (IIS) и щелкните на кнопке Details.4. В диалоговом окне Internet Information Services (IIS) в секции Subcomponents ofInternet Information Services (IIS) выполните один из следующих пунктов.• Для добавления дополнительных компонентов установите флажок рядом скомпонентом, который вы хотите установить.• Для удаления дополнительных компонентов сбросьте флажок рядом с компонентом,который вы хотите удалить.5. Щелкайте на кнопках ОК, пока не вернетесь в окно мастера Windows ComponentWizard.6. Щелкните на кнопке ОК и затем на кнопке Finish.Предотвращение установки IISВы можете предотвратить установку IIS на любом компьютере Windows Server 2003с помощью новой групповой политики Prevent IIS Installation. Вы можете применятьэту политику локально или во всем домене.Чтобы применить эту политику локально, выберите Start\Run, выберитеgpedit.msc и щелкните на кнопке ОК. В окне редактора объектов Group Policy ObjectEditor раскройте в дереве консоли объект Computer Configuration (Конфигурациякомпьютеров) до уровня \Administrative Templates\Windows Components\InternetInformation Services (рис. 3.11).•j= i[Г| из ИЗ.LocalComputer PolicyЩ Compute! ConfigurationiSSl Software Settings33 £j Windows SettingsВ Qj Administrative Templatesid- ij Windows Componentsj _J NelMeethgI v ••£] Internet Explorerj : - dj Application CompatibilityЩ; !- LJTask SchedulerI ф-Sil Terminal ServicesI НЁЗ Windows InstallerГ iНШ Windows Messenger| J-Ш Windows Media Player{; - -Ц&2 Windows Update[+] -iiij SystemУ _J NetworkQ Printers# Prevent IIS installationиIРис. 3.11. Microsoft добавила новую политику, чтобы предотвращать установку I ISв Windows Server 2003В правой панели имеется единственная политика - Prevent IIS Installation. Дваждыщелкните на этой политике и выберите пункт Enabled (Включена).Чтобы применять эту политику к домену или организационной единице (OU),выполните следующие шаги.

Глава 3. Основы работы системы для серверов 1151. Откройте оснастку Active Directory Users and Computers.2. Щелкните правой кнопкой на объекте для домена или OU, к которой вы хотитеприменить эту политику, и выберите в контекстном меню пункт Properties.3. Перейдите во вкладку Group Policy и выберите Group Policy Object.4. Щелкните на кнопке Edit, чтобы открыть GP Editor.5. Раскройте в дереве консоли объект Computer Configuration до уровня\Administrative Templates\Windows Components\Internet Information Services.6. Дважды щелкните на политике Prevent IIS Installation в правой панели и выберитепункт Enabled.АктивацияАктивацию считают одной из наименее понятных функций. Многие известные авторыизлагают эту тему, не ознакомившись как следует с фактами. Активация(activation) - это просто привязка установленной копии Windows Server 2003 к компьютерус идентификацией этого компьютера по определенным компонентам оборудования.Причиной ввода этой функции, конечно, является соблюдение условийлицензионного соглашения конечного пользователя Windows Server 2003 End-UserLicense Agreement (EULA), которые запрещают приобретение копии этой операционнойсистемы и ее установку на нескольких компьютерах вместо приобретениякопии (и лицензии) для каждого компьютера. Обычно это характеризуют словом«пиратство», что является в данном случае синонимом воровства.Активацию не следует путать с регистрацией. При активации в Microsoft не отправляетсяникакой личной информации (не отправляется даже ваше имя, котороевы вводите в окнах мастера установки). Вы можете, если хотите, зарегистрироватьсвою копию Windows Server 2003, но это не является обязательным шагом. Регистрация,при которой в Microsoft передается ваше имя и адрес, позволяет вам получатьпочту от Microsoft с информацией о последних обновлениях, новых продуктахи угрозах безопасности.Требуется ли вам активация вашей копии?Каждый, кто приобретает копию Windows Server 2003 у розничного продавца, долженактивировать эту копию. Предзагрузка, выполняемая OEM-поставщиками напотребительских компьютерах (но не компьютерах для предприятий), часто активируетсяперед доставкой, но если это не сделано, то вы должны активировать своюустановку.Если вы покупаете Windows Server 2003 в соответствии с определенной программойкорпоративной закупки, включающей скидки, предоставляемые Microsoft длямелких, средних и крупных предприятий, вы не обязаны активировать свои установкиWindows Server 2003. Большинство читателей этой книги соответствуют этомуописанию и могут пропустить данный раздел.Как действует активацияПроцесс активации регистрирует в базе данных Microsoft уникальный идентификаторпродукта (Product ID) для вашего компьютера и вашей установки Windows Server2003. Этот идентификатор формируется путем объединения частей кода продукта,присвоенного вашей копии Windows Server 2003, с информацией об определенныхкомпонентах оборудования компьютера.

116 Windows Server 2003. Полное руководствоПри установке Windows Server 2003 мастер установки просит вас ввести код продукта,который обычно находится сзади упаковки CD-ROM. Этот код содержит 25символов, разбитых на пять групп по пять символов.Программа установки также сканирует компоненты оборудования компьютера(все, что содержит считываемые идентификаторы), читает информацию об оборудованиии создает алфавитно-цифровую строку, в которой используется часть этойинформации.С помощью алгоритма, который объединяет части кода продукта и эту алфавитно-цифровуюстроку, вашей установке Windows Server 2003 присваивается уникальный20-символьный идентификатор продукта (Product ID). Вы можете увидеть этотID во вкладке General диалогового окна System Properties. Именно этот идентификаторрегистрируется в Microsoft.При повторной установке Windows Server 2003 на том же компьютере даже призамене одного из компонентов оборудования вам не нужно повторно активироватьсвою копию. Если вы повторно устанавливаете определенную копию на новом компьютере(заменившем старый компьютер), то прежняя активация не действует, ивы должны позвонить в Microsoft, чтобы объяснить эту ситуацию. При повторнойустановке копии на том же компьютере, но с изменением ряда компонентов оборудования(например, контроллера жесткого диска, жесткого диска и сетевого адаптера)вам может потребоваться повторная активация этой копии. Мой собственныйопыт в такой ситуации был положительным, и мне сразу был выдан код активации.Активация вашей установкиЗначок Activate (Активация) представлен в области уведомления панели инструментов,пока вы не выполните процесс активации. Щелкните на этом значке, чтобызапустить процесс активации. Затем появится окно, где предлагается активация черезинтернет или по телефону.Если запустить активацию и затем прекратить ее, то значок может исчезнуть. Вэтом случае выберите Start\Programs\Activate Windows (программа активизации остаетсяв списке Programs, пока не закончится активация).Активация через интернетЕсли у вас есть модем (телефонный, кабельный или для цифровой абонентской линии[DSL]), выберите вариант активации через интернет. Вам не нужно устанавливатьсоединение со своим ISP (провайдером услуг интернет), поскольку вы подсоединяетесьнепосредственно к серверу Microsoft. Щелкните на кнопке Next и затемукажите, хотите ли вы зарегистрировать свой продукт в дополнение к его активации.В случае регистрации вы должны будете указать личную информацию (имя,адрес и адрес электронной почты).Щелкните на кнопке Next и подождите несколько секунд. По окончании этогопроцесса Windows выведет сообщение «You have successfully activated your copy ofWindows» (Вы успешно активировали свою копию Windows).Активация по телефонуВ случае активации вашей установки по телефону щелкните на кнопке Next и выполнитеследующие шаги.1. Выберите местоположение (страну), чтобы увидеть соответствующие номера телефонов.

Глава 3. Основы работы системы для серверов 1172. Позвоните по соответствующему номеру и сообщите представителю службы работыс покупателями значение Installation ID Number (Код идентификатора установки),показанное в этом окне.3. Введите в соответствующих полях значение идентификатора подтверждения(confirmation ID), которое сообщит вам представитель службы.4. Щелкните на кнопке Next, и вы увидите сообщение об успешном завершенииактивации.Активация после допустимого периодаЕсли не активировать Windows в течение допустимого периода, то операционнаясистема не позволит вам выполнять вход (logon). Однако Windows не прекращаетработу, пока компьютер включен, поэтому вы столкнетесь с этой проблемой толькопри перезагрузке компьютера.Если вы загружаете компьютер после допустимого периода и не можете выполнитьвход, то должны перезапустить компьютер и загрузиться в режиме Safe ModeMinimum (Безопасный режим с минимальной поддержкой), а не в режиме Safe ModeWith Networking (Безопасный режим с сетевой поддержкой). Затем выберитеStart\Programs\Activate Windows. Если вы подсоединяетесь к интернет через вашулокальную сеть, то должны использовать активацию по телефону.После активации вашей установки выберите Start\Shutdown\Restart, чтобы перезагрузитьсяобычным образом в Windows и выполнить вход.Средства совместимости программного обеспеченияБольшинство программ (а, может быть, и все), которые вы использовали раньше,должны нормально работать в Windows Server 2003. Исключение обычно составляютпрограммы, которые запрашивают версию операционной системы и допускаюттолько определенные ответы. По моему опыту это встречается в вертикальных приложениях(обычно в базах данных) и в приложениях собственной разработки илисозданных по заказу.Примечание. При обсуждении совместимости я полностью исключаю игры.Но не всегда все складывается удачно. Например, может появиться сообщение«This program cannot run because you're not running Windows NT» (Эта программа неможет работать, поскольку вы работаете не в Windows NT) или аналогичное сообщениедля любой предыдущей версии Windows. Или программа вообще не хочет запускаться.Не впадайте сразу в отчаяние. Windows Server 2003 содержит средства совместимости,которые, возможно, позволят вам запустить программу в режиме эмуляцииверсии Windows, которую она ищет, то есть, попросту говоря, «сжульничать».Вы можете использовать средства совместимости Windows Server 2003 двумя способами:провести тестирование своего ПО с помощью мастера совместимости ивручную задать выполнение приложения в режиме совместимости.Кроме того, средства совместимости Windows Server 2003, возможно, помогут вамсправиться с вопросами несовместимости, не относящимися к проблемам версий.• Проблемы отображения на экране (включая темы [Themes]), с которыми не могутсправиться старые приложения.

118 Windows Server 2003. Полное руководство• Настройки полномочий доступа, при этом вы можете использовать мастер, чтобыпредоставить полномочия доступа к программе всем пользователям.Примечание. Средства совместимости в Windows Server 2003 предназначены толькодля Windows-приложений, но не для DOS-приложений.Тестирование совместимости с помощью мастераВы можете тестировать определенную программу на совместимость с помощью мастераProgram Compatibility Wizard, который вызывается из меню Accessories (Стандартные).Мастер выполняет тестирование программы в различных версиях Windows,пока не найдет версию, где программа выполняется успешно.В начальном окне мастера выводится предупреждение, что вам не следует использоватьэтот мастер для тестирования антивирусных программ, программ резервногокопирования и системных программ. Предполагая, что ПО, которое высобираетесь тестировать, не попадает ни в одну из этих категорий, щелкните накнопке Next.В следующем окне мастера у вас запрашивается, как найти программу, которуювы хотите тестировать, с помощью следующих опций.• I want to choose from a list of programs (Я хочу выбрать из списка программ).Выберите этот вариант, если программа установлена на вашем компьютереWindows Server 2003. Щелкните на кнопке Next, чтобы увидеть список программ,установленных с помощью функций Windows Installer.• I want to use this program in the CD-ROM drive (Я хочу использовать эту программуна CD-ROM). Выберите этот вариант, если хотите проверить определеннуюпрограмму на CD, прежде чем устанавливать ее. Мастер находит файл установкина CD (обычно setup.exe или install.exe) и автоматически выбирает этот файлдля тестирования.• I want to locate the program manually (Я хочу найти программу вручную). Выберитеэтот вариант, чтобы проверить программу, которая находится на вашем диске,но не входит в список установленных программ, который выводится при выборепервого варианта. Щелкните на кнопке Next и введите путь к файлу этой программыили щелкните на кнопке Browse, чтобы найти его.Вот некоторые рекомендации по выбору нужного варианта тестирования.• Если вы тестируете программу на CD, то Windows Server 2003 не сможет записатьнеобходимую информацию после того, как вы определите подходящий режимсовместимости. Это фактически «исследовательская» задача. Определив, вкаком режиме работать, установите программу и затем используйте задаваемыевручную средства совместимости (см. ниже), чтобы применить соответствующиенастройки совместимости.• В определение программных файлов для мастера входят любые файлы со следующимирасширениями имени: .exe, .com, .cmd, .bat, .pif и .Ink. При ручном выборепрограммы в папке этой программы вы можете увидеть несколько такихимен (например, .bat-файл, который запускает .ехе-файл). Вы должны выбратьфайл, который является реальным исполняемым файлом программы (обычноэто .ехе-файл).

Совместимость с версиейГлава 3. Основы работы системы для серверов 119После выбора файла программы щелкните на кнопке Next и выберите режим совместимости.Как видно из рисунка 3.12, вы можете запрашивать у мастера тестированиедля любой предыдущей версии Windows.• Если программа работала должным образом в версии Windows, которую вы использовалидо модернизации к Windows Server 2003, выберите эту версию.• Если вы еще не запускали эту программу, обратитесь к производителю (или программисту),чтобы определить подходящую версию Windows.• Если проблемы совместимости (обнаруженные или предполагаемые) не относятсяк версии, а связаны с выводом на экран или полномочиями, выберите вариант DoNot Apply A Compatibility Mode (He применять какой-либо режим совместимости).Выбрав нужный вариант, щелкните на кнопке Next.Program Compatibility WizardSelect a compatibilitymode for the programChoose theoperatingsystem that isrecommended for thisprogram,or thatpreviouslysupported theprogram correctly:GMicrosoftWindows 9J4 - " ~ 7 "" ":ОMicrosoft Windows 98 / Windows MeО MiCrOSOft WindOWS 2000 :О MiCrOSCft WindOWS XP : •.: ~.:~: •.::.::О йо not appfy a compatfoility mode ::Рис. 3.12. Выберите наиболее вероятный вариант - вы всегда можете опробоватьдругую версиюСовместимость при выводе на экранВыберите параметры вывода на экран, которые поддерживаются данной программой,и щелкните на кнопке Next. Если вы не предполагаете каких-либо проблемвывода на экран для этой программы в Windows Server 2003, просто щелкните накнопке Next. Если во время тестирования вы обнаружите, что некоторые значкиили диалоговые окна программы трудно различать, то вы можете снова запуститьмастер и внести изменения в этом окне мастера.Полномочия доступаЕсли программа выводит сообщения об ошибках доступа для пользователей илиничего не происходит, когда пользователи выбирают эту программу (это часто возникаетиз-за полномочий доступа), то вы можете сконфигурировать данное приложение,задав более свободные полномочия. Это намного проще, чем вносить измененияв полномочия для папок, особенно для приложения, которое обращается кнескольким папкам.

120 Windows Server 2003. Полное руководствоProgram Compatibility WizardSelect user account privilegesIf you are receivingaccess denied errors or cannot start the program, select the checkbox.El Alow non-administrators to run this programRedirects program data to unrestricted locationsso that users without administrator accounts canuse theprogram.Тестирование ваших настроек совместимостиВ следующем окне мастера выводится сводка ваших настроек совместимости. Есливы хотите что-то изменить, используйте кнопку Back (Назад), чтобы вернуться кпредыдущим окнам. Иначе щелкните на кнопке Next, чтобы запустить тестированиеприложения. Опробуйте программу в работе.Если вы тестируете файл программы установки, находящийся на CD, и эта программаоткрывается и внешне работает должным образом, прекратите установку.Скопируйте содержимое CD на жесткий диск и снова запустите мастер (чтобы онмог записать необходимые изменения) или примените настройки совместимостивручную. Имеет также смысл провести тестирование самой программы после ее установки.Используйте полученные настройки совместимости, предоставив соответствующуюпапку для разделяемого доступа и устанавливая программу на пользовательскихкомпьютерах из этой разделяемой точки.После закрытия программы вы возвращаетесь в окно мастера, где нужно сообщить,как работала программа. Выберите один из следующих вариантов.• Yes, set the program to always use these compatibility settings (Да, задать для даннойпрограммы постоянное использование этих настроек совместимости). Выберитеэтот вариант, если программа работает должным образом при использованиивыбранных вами опций.• No, try different compatibility settings (Нет, опробовать другие настройки совместимости).Выберите этот вариант, чтобы снова запустить мастер (следите за выбраннымивами настройками, чтобы знать, какие элементы не работают).• No, I am finished trying compatibility settings (Нет, я прекратил опробование настроексовместимости). Результаты настолько удручают, что вы решили отказатьсяот дальнейших попыток и предполагаете обратиться к компании-разработчикуили к программисту.Щелкните на кнопке Next. Если вы выбрали вариант опробования других настроек,то мастер возвращается к первой странице настроек (выбор версии операционнойсистемы). При выборе одного из двух остальных вариантов мастер предлагаетотправить в Microsoft временные файлы, которые он создал (возможно, вашерешение или отсутствие решения можно найти в статье Knowledge Base). Выберитевариант Yes или N0 и щелкните на кнопке Next.Если щелкнуть на ссылке для временных файлов, которые вы создали, то выувидите имена этих файлов. Если вы хотите увидеть их содержимое, откройтеWindows Explorer или My Computer, перейдите в соответствующую папку-контейнер(\Documents and 5еК1^5\Имя_Пользователя\Ьоса1 Settings\Temp) и откройтеэти файлы в Notepad (Блокнот).

Глава 3. Основы работы системы для серверов 121Щелкните на кнопке Next и затем щелкните на кнопке Finish в последнем окнемастера.Задание опций совместимости вручнуюЕсли вы знаете, какие изменения нужно внести для запуска программы в WindowsServer 2003, то можете задать опции совместимости вручную. Этот подход можноиспользовать только для установленного ПО, а не на установочных CD (так какWindows должна записать изменения, которые вы вносите).Щелкните правой кнопкой на файле вашей программы и выберите в контекстномменю пункт Properties. Перейдите во вкладку Compatibility, которая выглядитаналогично рисунку 3.13. Выберите опции, которые хотите изменить, и затем щелкнитена кнопке ОК.Рис. 3.13. Все опции, доступные вокнах мастера, доступны также вalCtrnosLWilyдиалоговом окне свойств программыIf youhaveproblems with thisprogramand itworked correctlyonan earlier versionofWindows, select the compatibilitymodethatmatches thai earlier version.r Compatibilitymode •I I Runrhrprogrsrn in corripa'ibilrtyrood-? lor• SelingsО Run in 256 colorsП Run in 640 x 480 screen resolutionEH Disable visual themesiUser account privfiege.;[Ц Allow non-administrators to run this programLearn more about program compatibility.Если вы не можете разрешить проблемы совместимости с помощью средств совместимостиWindows Server 2003, то вам нужно обратиться к соответствующей компании-разработчику.Возможно, вам уже известно, что эта компания планируетобновить программу для последующих версий Windows (а если нет, то, возможно,она планирует вообще прекратить свою работу).

Глава 4Реестр Windows Server2003В систему Windows, начиная с Windows 95, включается единое хранилище, котороеназывается реестром (registry) и используется для хранения информации об этойоперационной системе и установленных приложениях. Реестр является базой данных,и он используется почти во всем, что вы делаете. Он содержит информацию осамом компьютере, его оборудовании, периферийных устройствах, подсоединенныхк компьютеру, об установленном ПО, а также о пользователях, выполняющихвход на этот компьютер.Приложения используют реестр все время, используя стандартные интерфейсыприкладных программ WIN32 API для доступа к необходимым данным. Программыустановки ПО используют стандартные API для добавления, изменения или удаленияданных реестра. Реально реестр принадлежит программному обеспечению(включая операционную систему) и предназначен для того, чтобы предоставлятьинформацию для ПО, а не для пользователей.Большинство данных реестра, которые записываются в результате действийпользователей, помещаются туда из диалоговых окон, в которых работает пользователь(например, из апплетов Панели управления [Control Panel]), или из групповыхполитик. Предполагается, что вы вносите изменения в элементы конфигурациив окнах графического интерфейса и в диалоговых окнах.Однако в реальных условиях многие из нас считают, что непосредственная работав реестре выполняется быстрее и проще, чем прохождение через последовательностьдиалоговых окон. Кроме того, некоторые проблемы могут быть разрешенытолько путем непосредственных изменений в реестре.Обзор реестраРеестр пополнялся из целого ряда управляющих файлов и баз данных, которые имелисьв предыдущих версиях Windows, что логически привело к современной реализацииэтого хранилища настроек Windows Server 2003.В системе Microsoft Windows 3.1, которая была первой широко используемойверсией Windows (особенно в бизнесе) использовались три типа файлов, определяющихоборудование компьютера и приложения для этой операционной системы.Два типа файлов использовались для инициализации и имели расширение имени.ini, и третий тип файлов использовался как база данных для регистрации. Средифайлов инициализации (.ini-файлов) имелись файлы, включенные в Windows, а такжемножество частных .ini-файлов из приложений (прикладного ПО).В Windows 3.1 использовались шесть .ini-файлов для загрузки и управления средойWindows (control.ini, progman.ini, protocol.ini, system.ini, win.ini и winfile.ini).

Глава 4. Реестр Windows Server 2003 123Файл win.ini был основным местом хранения информации, относящейся к конфигурацииПО этой операционной системы, а также специальной информации длявсей системы, добавляемой приложениями. Поскольку каждое приложение вносилоизменения в файл win.ini (не принимая во внимание все остальные приложения),этот файл разрастался очень быстро. Это вызывало проблемы, когда размерфайла превышал 64 Кб. В операционной системе разрешался рост этого файла сверх64 Кб (без уведомления пользователя, что превышен этот предел), хотя любая запись,выходящая за границу 64 Кб, игнорировалась. Если приложения добавлялизаписи в верхние разделы файла win.ini, то информация внизу файла выталкиваласьза границу инициализации, и эта информация не реализовалась. Приложения,которым требовались эти потерянные записи инициализации, переставали работатьполностью или утрачивали определенные функции. Пытаясь воспрепятствоватьэтой проблеме, Microsoft рекомендовала разработчикам приложений сохранятьинформацию приложений в частных .ini-файлах, которые бы относились только ких приложению. Хотя это помогло, большинство разработчиков приложений продолжалиразмещать большое количество информации в файле win.ini.Файл system.ini использовался как основное хранилище системной информацииоб оборудовании, установленном на компьютере, чтобы указывать операционнойсистеме на оборудование и связанные с ним программные компоненты (драйверыустройств, оболочки и т.д.).Файл progman.ini содержал настройки инициализации для Windows ProgramManager, и файл winfile.ini содержал настройки инициализации для Windows FileManager. Отсутствие этих файлов не препятствовало работе Windows (в отличие отфайлов system.ini и win.ini), но загружалась конфигурация по умолчанию для приложений,которыми они управляли, без каких-либо настроек, внесенных пользователем.Файл protocol.ini, который впервые появился для версии Windows for Workgroupsв Windows 3.1х, содержал информацию инициализации для сетевой работы в Windows.Частные файлы инициализации были .ini-файлами, которые добавлялись в каталогWindows приложениями от сторонних фирм, которые устанавливались на компьютере.Эти файлы содержали конкретную информацию о состоянии приложения,включая такие элементы, как положение на экране, список недавноиспользовавшихся файлов и т.д.Файл win.ini до сих пор существует в большинстве систем Windows NT/ 2000/Server 2003, и его роль состоит в поддержке 16-битных приложений.И последним файлом, который использовался системой Windows 3.1x для конфигурациисистемы, был файл reg.dat. Это была база данных регистрации Windows3.1 Registration Database, которая являлась непосредственным предшественникомреестра. (Прошло не слишком времени, и пользователи сократили RegistrationDatabase до registry.) Эта база данных с вложенными структурами, начиная от единственногокорня (HKEY_CLASSES_ROOT), содержала информацию, связанную срасширениями имен файлов, а также поддержку OLE (Object Linking and Embedding)для функции drag-and-drop. В отличие от .ini-файлов, которые являлись простымитекстовыми файлами ASCII, и которые можно было редактировать в любом текстовомредакторе, файл reg.dat был двоичным файлом и поставлялся со своей собственномпрограммой редактирования, Registration Information Editor (Regedit.exe). Этотпервый реестр имел некоторые серьезные ограничения в виде единственной иерархическойструктуры и предельного размера в 64 Кб файла reg.dat.Большой проблемой реестра Windows 3.1 было то, как он использовался или,скорее, не использовался этой операционной системой. Не было особого смысла в

124 Windows Server 2003. Полное руководствоаккуратной поддержке этой базы данных регистрации на уровне текущих изменений.Приложения могли вносить в него записи, а могли и не вносить. В операционнуюсистему не было встроено никаких стандартов, чтобы приложения записывалив реестр те же данные, что и в собственные .ini-файлы или в системные .ini-файлы.Если конфигурация программного обеспечения, .ini-файлы и база данных регистрацииимели одинаковую информацию, это часто бывало просто совпадением. Крометого, методы связи, использовавшиеся для запроса и записи в реестр, были сложныи требовали больших дополнительных затрат ресурсов, что часто замедляло работукомпьютера. И, наконец, настроек отдельного пользователя не существовало, поэтомупользователи одного компьютера получали настройки, оставленные последнимработавшим пользователем.Когда Microsoft выпустила первый вариант Windows NT (NT 3.1), реестр сталнамного более гибким и мощным. Ограничение в 64 Кб было снято. Иерархическаяструктура была расширена, включив несколько контейнеров с вложенными уровнями,а код управления реестром был переработан, чтобы поддерживать достаточновысокую производительность. Было реализовано дистанционное администрирование,что упростило жизнь сетевого администратора. Microsoft заставиларазработчиков использовать реестр для переменных и значений и даже ее собственныепрограммы стали поддерживать реестр.Файлы ./л/ продолжают использоваться!На самом деле .ini-файлы продолжают играть определенную роль в самых новыхверсиях Windows. Запустите поиск .ini-файлов на вашем компьютере Windows Server2003, и вы найдете очень много таких .ini-файлов. После задания ролей компьютера,но перед установкой каких-либо приложений поиск .ini-файлов на моем компьютереWindows Server 2003 дал 228 .ini-файлов.Правила Microsoft для разработчиков включают указание, что любая программадолжна записывать свои установочные настройки в разделНКЕУ_ШСАЬ_МАСНШЕ\5оплуаге\Имя_поставщика и все пользовательские настройкив HKEY_CURRENT_USER\Software\MMH_nocTaBUWKa. Слишком многиекомпании, разрабатывающие ПО, игнорируют это правило или не выполняют егодолжным образом. Некоторые приложения создают подразделы, но не заполняютих данными. Некоторые приложения пишут данные реестра, которые очевиднымобразом нарушают это правило, например, регистрируя информацию команднойстроки, которая указывает на .ini-файл вместо исполняемого файла программы.Еще одним существенным изменением в выпуске Windows NT 3.1 было появлениеRegedt32. Этот новый 32-битный редактор реестра выводил каждое поддерево вего собственном окне и содержал новые мощные команды, позволяющие, например,подсоединяться к реестру на удаленном компьютере, а также защищать разделыреестра.Windows NT 4 и Windows 95 (а позже Windows 98) были выпущены с почти одинаковымиреестрами. В обоих случаях были добавлены два новых поддерева:HKEY_CURRENT_CONFIG и HKEY_DYN_DATA.Все эти изменения привели нас к реестру Windows Server 2003 (а также Windows2000), который является темой этой главы.

Структура реестраГлава 4. Реестр Windows Server 2003 125Реестр - это иерархическая база данных, содержащая вложенные контейнеры и данныеследующего типа.• Поддеревья (Subtree). Корни, или основные группы этой иерархии.• Разделы (Key). Основные контейнеры, находящиеся непосредственно в поддеревьях.• Подразделы (Subkey). Дочерние подразделы. Подразделы могут содержать вложенныеподразделы или записи.• Записи (Entry). Реальные данные (значения), которые влияют на систему. Записипредставлены в правой панели редактора реестра.Примечание. Обозначение HKEY происходит от HandleToKey (указатель к разделу).Ульи и файлы ульевФизически реестр - это набор файлов, которые называются ульями. Улей (hive) -это определенная часть реестра (определенный набор разделов, подразделов и параметров),которая представлена файлом на вашем компьютере. Файлы ульев можнопросматривать или редактировать только с помощью редактора реестра. Однакоих можно копировать, что является способом их резервного копирования вручную.(Большинство программ резервного копирования, включая соответствующую встроеннуюпрограмму в Windows Server 2003, позволяют выполнять резервное копированиереестра.)Файлы ульев реестра сохраняются в виде .dat-файлов, и для каждого из этихфайлов имеется соответствующий .log-файл, который действует как журнал транзакцийдля основного .dat-файла. Добавление .log-файла к .dat-файлу используетсякак средство отказоустойчивости. В случае изменений, когда требуется обновитьфайл определенного улья, эти изменения сначала вносятся в .log-файл, которыйдействует как файл транзакций. (Если вы знакомы с Microsoft Exchange Server илиобщим подходом к использованию базы данных/файла транзакций Jet, то здесь используетсятот же принцип.)При обновлении .log-файла транзакции записываются на диск, и затем происходитобновление файла улья с диска. Запись на диск является принудительной; этоне тот случай, когда «изменения помещаются в кэш, а их запись происходит, когдана это есть время». При отказе компьютера до обновления файла улья можно выполнить«откат» транзакций .log-файла, чтобы вернуться к предыдущим настройкам.В самом реестре ведется запись для файлов ульев в спискеHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Hive. Просматриваяэтот список, вы увидите пару интересных элементов.Во-первых, здесь имеется запись для раздела Hardware, но в панели данных нетни одного файла улья. Дело в том, что раздел Hardware формируется целиком вовремя загрузки. Файл ntdetect.com собирает информацию, необходимую для заполненияэтого раздела, и операционная система не считывает эту информацию из какого-либофайла улья.Второй интересный момент - это путь к файлу: \Device\HarddiskVolumel\Windows\System32\Conflg\ (вместо файлов настроек выполнившего

126 Windows Server 2003. Полное руководствовход пользователя, которые находятся в подпапках \Device\HarddiskVolumel\Documents and Settings). Если вы не используете Windows как «цель» для своей установкиWindows Server 2003, то происходит подстановка использованного вами именипапки (на протяжении всей этой книги я использую для обозначения этой папки%SystemRoot%). Этот формат позволяет понять, в какой момент Windows выполняетдоступ к этой информации во время загрузки операционной системы. Операционнаясистема не может читать или назначать буквы-обозначения дисков, пока невойдет в процесс запуска, то есть это единственный способ, посредством которогоWindows может найти соответствующее местоположение.В таблице 4.1 показано местоположение файлов ульев (а также их содержимое)на вашем компьютере Windows Server 2003.Табл. 4.1. Местоположение и содержимое файлов ульев на компьютере WindowsServer 2003Улей реестраHKEY_LOCAL_MACHINE\SAMHKEY_LOCAL_MACHINE\SecurityHKEY_LOCAL_MACHINE\SoftwareHKEY_LOCAL_MACHINE\SystemHKEY_CURRENT_CONFIGHKEY_CURRENT_USERHKEY_USERS\.DefaultФайл на диске%SystemRoot%\System32\Config\Sam%SystemRoot%\System32\Config\Security%SystemRoot%\System32\Config\Software%SystemRoot%\System32\Config\System%SystemRoot%\System32\Config\System%SystemDrive%\Documents and Settings\%SystemDrive%\Documents and Settings\Default User\Ntuser.datЭлементы данных реестраЭлементы данных реестра находятся на нижнем уровне иерархии реестра. Они содержатданные, которые определяют поведение разделов и подразделов (хотя не всеразделы и подразделы содержат записи данных). Записи представлены в правойпанели редактора реестра.Любая запись содержит три элемента.• Имя (параметр).• Тип данных.• Значение данных.Имя записиИмя записи это почти всегда (но не всегда) одно слово, даже если фактически этосоставное имя. Например, AutoRepeatRate - это имя записи в подразделе KeyboardResponse. Во время редактирования реестра вы можете добавлять новые записи иприсваивать им имя, однако это имя не должно быть произвольным. Имена должныбыть известны операционной системе или приложению, которое использует даннуюзапись, и вы должны знать это имя, прежде чем добавлять запись.Типы данных записиКаждая запись имеет тип данных, которые может хранить эта запись. Существуютдесять типов данных, но некоторые из них не используются системой Windows Server

Глава 4. Реестр Windows Server 2003 1272003. В следующих разделах описываются типы данных, которые могут вам встретиться.REG_DWORD. Это двойное слово - два 16-битных слова, образующих 32-битное значение.Это наиболее распространенный тип данных в реестре, и он используетсядля разнообразных записей. Вы можете встретить записи с информацией о драйвереустройства, булевыми значениями, такие величины, как количество секунд, котороедолжно пройти, прежде чем что-то произойдет или не произойдет, и другуюинформацию.В редакторе Regedit записи типа REG_DWORD выводятся в шестнадцатеричномформате, но вы можете переходить в десятичный или двоичный формат (в зависимостиот вида записи), если хотите выполнить редактирование. Я не могу выполнятьв уме преобразование шестнадцатеричных значений в другие системысчисления, поэтому при необходимости изменения какой-либо величины, например,периода тайм-аута, я должен изменить формат представления, чтобы выполнитьсвою задачу. Если вы можете выполнять такие преобразования в уме, то сможетеработать быстрее.REG_BINARY. Этот тип данных используется в записях с необработанными двоичнымиданными. «Необработанные» означает, что нет никаких терминаторов, кромесамих двоичных данных. Этот тип данных обычно используется для информации окомпонентах оборудования. Эти данные можно выводить и редактировать в двоичномили шестнадцатеричном формате в Regedit.REGSZ. Это тип данных для текстовых строк фиксированной длины. Большинствозаписей, где используется этот тип, содержит булевы значения или короткие текстовыестроки. Это очень распространенный тип данных, видимо, используемыйпочти так же часто, как и тип REG_DWORD.Обозначение SZ означает String/Zero, поскольку в конце строки ставится нулевойбайт. Regedit не показывает конечный нуль, поэтому вы можете не помнить обэтом (за исключением ситуации, когда вы пишете программу, работающую с реестром,и тогда вы должны учитывать этот конечный байт).В случае просмотра или редактирования записи этого типа в Regedit открывающеесяокно озаглавлено «String Editor» (Редактор строк).REG_MULTI_SZ. Этот тип данных используется в записях данных, содержащих несколькотекстовых строк. Строки разделяются запятыми или пробелами, и записьзаканчивается двумя нуль-символами (которые не видны в редакторе реестра). Вокне редактирования Regedit видны двоичные данные (хотя вы можете видеть текств правой части этого окна).Когда приложения ищут какую-либо запись типа REG_MULTI_SZ, им отправляетсявся запись; они не могут запрашивать конкретную строку (что важно знать,если вы программист).REG_EXPAND_SZ. Этот тип используется, когда в запись включаются одна или несколькопеременных, значения которых должны быть подставлены какой-либо службойоперационной системы или приложением. Это те же переменные, которые выиспользуете в пакетных файлах и скриптах (например, %SystemRoot% или%UserName%). Я так и не смог определить, почему сам реестр не может присваиватьзначение такой переменной и передавать его запрашивающей службе или программе,- ведь реестру известно, где искать эту информацию.

128 Windows Server 2003. Полное руководствоREG_FULL_RESOURCE_DESCRIPTOR. Этот тип записи используется для хранения спискаресурсов для компонентов оборудования. Его содержимое представлено матрицей,объединяющей ресурсы для определенного компонента (или драйвера). Regedit выводитэту информацию в двоичном формате.REGLINK. Этот тип данных содержит символическую ссылку между данными и каким-либозначением в реестре. Например, если приложению требуется знать уникальныйидентификатор пользователя (для информации о настройках), то оно можетискать идентификатор безопасности (security ID) текущего пользователя(HKEY_CURRENT_USER).REG_DWORD_LITTLE_ENDIAN. Этот тип записи аналогичен типу записи REG_DWORD.Он чаще всего используется для хранения чисел. Значение данных - это 32-битноечисло, в котором наиболее значащий байт выводится на экран как старший (левый)байт. Этот тип записи имеется только в Windows Server 2003, Windows 2000 и Windows98. Технически он присутствует в Windows NT, но реестр Windows NT автоматическипреобразует данные, записанные в REG_DWORD_LITTLE_ENDIAN, в стандартныйтип REG_DWORD.REG_DWORD_BIG_ENDIAN. Этот тип записи противоположен типуREG_DWORD_LITTLE_ENDIAN. Наиболее значащий байт выводится на экранкак младший (правый) байт, и это используется платформами, где байты следуютименно в этом порядке (PowerPC и Alpha). Поскольку Windows Server 2003 не поддерживаетэти платформы, любые оставшиеся элементы реестра этого типа игнорируются.HKEY_CLASSES_ROOTHKEY_CLASSES_ROOT заполняется всеми видами базовой информации. У васредко будет повод работать интерактивно в этом поддереве; это набор «строительныхблоков», с помощью которых могут работать операционная система и приложения.В этом поддереве существуют два типа данных.• Информация, ассоциируемая с типами файлов.• Данные конфигурации для объектов СОМ.Регистрация классов на уровне пользователяНаиболее интересными в этом поддереве являются изменения, появившиеся вWindows 2000. Этот поддерево является алиасом (псевдонимом), и его источником вWindows NT было поддерево HKEY_LOCAL_MACHINE\Software\Classes. В WindowsServer 2003/2000 это поддерево остается алиасом, но его данные извлекаются из двухисточников.• HKEY_LOCAL_MACHINE\Software\Classes.• HKEY_CURRENT_USER\Software\Classes.Последний из этих разделов реестра не существовал в его нынешней конфигурациидо Windows 2000. (Хотя такой раздел имеется в Windows 98, его содержимоеотличается от одноименного раздела в Windows Server 2003/2000. В Windows 98 этотраздел содержит идентификаторы класса [CLSID] для используемых по умолчаниюзначков рабочего стола ОС.)Этот новый источник на уровне пользователя для HKEY_CLASSES_ROOT вMicrosoft назвали регистрацией классов на уровне пользователя (per-user class

Глава 4. Реестр Windows Server 2003 129registration). Это означает, что на компьютерах с несколькими пользователями можетсодержаться различная информация о классах, которая регистрируется при установкеПО каждым конкретным пользователем. Информация на уровне отдельногопользователя может включать любое количество изменений в регистрацииклассов, что приводит к созданию нескольких наборов уникальных записей для ПО,которое устанавливается на данном компьютере.Регистрация классов на уровне пользователя полезна для перемещающихся(блуждающих) пользователей (на многих предприятиях разделяемое использованиекомпьютеров происходит реже, чем их использование перемещающимися пользователями).Независимо от компьютера, на котором выполняет вход пользователь,все идентификаторы классов, соответствия для типов файлов и другие связи с программнымобеспечением из реестра не изменяются, поскольку информация о регистрацииклассов перемещается вместе с данным пользователем. Однако это средствоиспользуется, только если вы используете возможности IntelliMirror длясоздания профилей перемещающихся пользователей, поскольку операционная системзагружает информацию регистрации классов после загрузки базового профиляпользователя, используя расширения IntelliMirror (информация регистрацииклассов записывается в локальную часть профиля во время процесса входа).Вы не можете выполнять запись в реестр для использования регистрации классовна уровне пользователя; это задача программирования. Инструкции и средствадля записи в разделы на уровне пользователей содержатся в комплектах разработкидля программистов.Данные HKEY_CLASSES_ROOTЭлементы данных в поддереве HKEY_CLASSES_ROOT снабжают операционнуюсистему информацией об устанавливаемых объектах. Просматривая это поддерево,вы увидите два набора разделов, организованных в алфавитном порядке.Первый набор разделов, содержащий все возможные расширения имен файловот * до z*.Второй набор разделов - это идентификаторы программ и объектов.Соответствия для типов файлов. Хотя термин «соответствия для типов файлов» (fileassociations) использовался еще в Windows 3.1, современная реализация поддереваHKEY_CLASSES_ROOT стала намного больше как по размерам, так и функциям.Подразделы, которые имеются для любого конкретного расширения имен файлов,содержат информацию, которая используется для процессов COM, VB, автоматизациии сценарных процессов. В панели данных для раздела расширения обычноуказывается тип файлов, соответствующий данному расширению имен, например,раздел .avi содержит элемент данных типа REG_SZ с именем Content Type и значениемvideo/avi.&' Registry EditotNomeЙ-а OpenWithList| I ;; "(Ш| wmplayer.exepj Content Type1 ! j- fil OpenWithProgldsg]MP2.LastI i !-И PetsistentHandlerI j SfflSheExEi]PerceivedTjipe{BB2E617C-0920-11d1-3MJjj jjMy ConwlMVHI«h'.aASSE5.R00IVa»iREG.SZREG.SZREG_SZREG SZ5 - 3994

130 Windows Server 2003. Полное руководствоДля зарегистрированных типов файлов имеются подразделы, содержащие информацию,которая используется системой при работе с этими типами файлов.Например, подраздел с именем ShellNew указывает операционной системе, как создатьновый экземпляр файла этого типа. Некоторые разделы для расширений имеютподразделы, связывающие данное расширение с одной или несколькими программами(и каждый из этих подразделов имеет подраздел ShellNew).Например, когда вы устанавливаете операционную систему, расширение .docавтоматически регистрируется для WordPad.exe. Если выбрать подраздел .doc вHKEY_CLASSES_ROOT, то появится элемент данных Default со значениемWordPad.exe.Document.l. Если вы устанавливаете Microsoft Windows, то в правойпанели появится второй элемент данных с именем Content Type и значениемapplication/msword. Дело в том, что процесс установки для Windows не перезаписываетсоответствие для WordPad; он сам добавляет второе соответствие. Не все программыустановки действуют таким образом, и вы можете встретить случаи, когдапри установке приложения происходит запись поверх предыдущих соответствий длярасширений имен файлов.Если вам нужно изменить соответствие для расширений имен файлов, не используйтереестр. Вместо этого используйте вкладку File Types (Типы файлов) диалоговогоокна Folder Options (Свойства папки), которое можно вызвать из панелиуправления или из меню Tools (Сервис) для системных папок. Вы можете добавлятьсоответствия, если хотите ассоциировать несколько программ с одним расширением,или можете изменить соответствие с одной программы на другую.Gena »l | View Пе Types | Offine FI-: \Extensions j Ha Type»|§BKF Windows Backup FilejWj BLG Performance Monitor File§|BMP Bitmap Image_5ЙГАТ • r ,«,iu Г J .Inn JШШШD*.»L la AW ЫетжOf^iMh

Глава 4. Реестр Windows Server 2003 131зависит от объекта и типа информации об этом объекте, которая требуется операционнойсистеме. Для регистрируемых типов файлов часто используются один илинесколько следующих подразделов.• CLSID. Указывает уникальный идентификатор класса данного типа объектов.• Default Icon. Указывает файл, содержащий значок для этого типа файлов. Обычноэто файл с расширением .ехе или .

132 Windows Server 2003. Полное руководствоSettings\Default User содержит настройки конфигурации для пользователя по умолчанию,которые хранятся в реестре в HKEY_USERS\.DEFAULT. Для профиля каждогопользователя используются также общие программные группы, которые находятсяв %SystemDrive%\Documents and Settings\All Users.Соглашения по созданию папок профилей пользователей (включая профильDefault User и профиль All Users) в Windows Server 2003 отличаются от соглашений,используемых в Windows NT 4.0.• При «чистой» установке Windows Server 2003 или при модернизации поверхWindows 2000/9.х папка для профилей пользователей создается на том же диске,что и для установки Windows 2000, а именно, в %SystemDrive%:\Documents andSettings.• В случае модернизации к Windows Server 2003 поверх Windows NT папки для профилейостаются в том же месте, что и в Windows NT, а именно, в%SystemRoot%Profiles.Примечание. Путь к профилю пользователя обычно представлен переменной%ProfilePath%, а имя папки для пользователя создается из идентификатора этогопользователя.Файл NTUSER.DAT содержит включаемую в реестр часть профиля для выполнившеговход пользователя (обычно в HKEY_CURRENT_USER), и она загружаетсяв реестр во время входа пользователя. В соответствующей подпапке профиля содержатсяподпапки с дополнительными настройками.F> [drf Vie« Favorite look HelpВас* • • Search Folders\..Jr:\DocumentsandSetings\KathyAffi Ш Application Data]i^i CookiesЩ DesktopЕЕ |3* Favoritesffi ££5 Kathy's DocumentsШ Й Local Settings^ Щ Recent Documents§| NetHood& PrintHoodg~! SendToШ %-} Start Menu^ TemplatesISebtact г • .. 34.6 ЩЩiilliill1 .. .: :j Application Data |ij ntuser.dat.LOG•Jj Cookiesffi SK_Trace.loggj DesktopISf Favorites£^Kathj>'s DocumentsLocal SettingsMy Recent DocumentsNetHoodPrintHoodii3 SendTo— £3 Start Menu i| Templates |i NTUSER.DAT |J5 Go 'Примечание. В дополнение к локальным профилям в Windows Server 2003, как и вWindows 2000/NT, поддерживаются два дополнительных типа профилей: перемещаемые(roaming) и обязательные (mandatory). Более подробные сведения о профиляхпользователей см. в гл. 21.

Данные HKEY CURRENTJJSERГлава 4. Реестр Windows Server 2003 133Настройки среды текущего выполнившего вход пользователя содержатся во вложеннойиерархии подразделов. Почти все настройки конфигурации, которые находятсяздесь, можно изменять в графическом интерфейсе, а не интерактивно в самомреестре.Й' Regislty EditmHe £dil V eШШ1 АррЕ vents>-тЛ ConsoleS _J Control Panel: -ЩЦ EnvironmentШШ Identitiesф-Ш Keyboard LayoutЩ-Ш Networkф-Ш Printersу *Ж1 Sessionlnformationф-В| Software!• Ш UNICODE Program Groups i'-Ш Volatile Environment !JTypeREG_SZ.... Data(value not set)jШAppEvents. Традиционно, начиная с Windows 9x, Microsoft выделяет целиком отдельныйраздел реестра, чтобы включать в него звуки для событий. Этот раздел содержитдва подраздела.• EventLabels. Группа подразделов с именами, которые фактически являются меткамидля типов событий. Элемент данных в каждом подразделе содержит описаниесоответствующей метки (и часто описание совпадает с самой меткой).• Schemes. Содержит дополнительные подразделы, в которых находятся разнообразныенастройки, включая фактические имена звуковых файлов, связанных ссобытиями.Пользователи связывают звуковые файлы с событиями в апплете Панели управленияSounds And Audio Devices (Звук и аудиоустройства). Кроме того, схемы,звуковые файлы и описания событий добавляют некоторые приложения (например,небольшая мелодия, обозначающая поступление новой почты в Eudora).Console. Раздел Console содержит настройки для подсистемы консоли Windows Server2003, под управлением которой работают все приложения, выполняемые в текстовомрежиме (включая Command Processor, который используется вами для работы вкомандной строке). Информацию по заданию настроек конфигурации для окнакомандной строки см. в гл. 7.Control Panel. Этот раздел и его подразделы содержат настройки, которые управляютвнешним видом рабочего стола, вместе с определяемыми пользователем опциямидля многих апплетов, вызываемых из панели управления.При раскрытии этого раздела появляются имена подразделов, соответствующиенекоторым апплетам, вместе с рядом других категорий настроек. Значения этих элементовданных изменяются, когда пользователи вносят изменения в опции апплетовпанели управления. Большинство этих опций действуют сразу, без необходимостиперезагрузки операционной системы.Не поддавайтесь мнению, что поскольку эти настройки обычно влияют толькона пользовательский интерфейс, они «безвредны». Администраторы, которые ве-

134 Windows Server 2003. Полное руководстворят этому и предоставляют пользователям полную свободу в изменении настроекпо умолчанию, часто раскаиваются в своем решении. Некоторые из настроек разделаControl Panel и его подразделов оказывают большее влияние, чем это кажется.Например, если неопытный пользователь существенно изменит видеонастройки,это может привести к тому, что компьютер не сможет загружаться обычным образом.Защищенная паролем экранная заставка (Screen Saver) может быть важна дляклиентской машины, на экране которой могут выводиться важные данные, и есликого-то раздражает это средство, он может отключить его и уйти на обед, оставивзаписи платежной ведомости на экране монитора. А тут еще всякие истории о пользователях,которые защищают паролем экранную заставку, не записав или не запомнивпароль, что вынуждает их обращаться в службу поддержки.В Windows Server 2003 имеется обширный набор групповых политик, управляющихдоступом к апплетам панели управления (конкретную информацию см. в гл. 22).Environment. Этот раздел содержит записи данных, представляющие значения переменныхсреды для выполнившего вход пользователя.g? Registry EditorЩШ Identitiest' '_! Keyboard LayoutШ Ш Networkф-Й PrintersJ g(Default) bv-REG.SZREG_EXPAND_SZREG_EXPAND_SZData.(value not set)XUSERPROFILESftLocd SettingsVTempUlSERPROFILESALocal SetfmgsUempВключены переменные среды Temp и Tmp, поскольку приложения могут использоватьлюбую из этих переменных.Вместо использования редактора реестра для работы с этими настройками выможете просматривать и изменять их в диалоговом окне System Properties (щелкнитеправой кнопкой на My Computer и выберите пункт Properties). Во вкладке Advanced(Дополнительно) щелкните на кнопке Environment Variables (Переменные среды),чтобы увидеть информацию, аналогичную рисунку 4.1.Рис. 4.1. Настройки среды пользователяможно добавить в диалоговомокне System Properties.Qu$terU)g,,.,...;..v :.-. ::. :fi.Q.\^jrjr>.;W:".V-.'u^J-v f:I- !ComSpec G\WINDOWS\system32\cmd.exeNUMBER_OF_P. 1OS WindowsNTPath O\wmrows\system32;C:\WIND0WS;.

Глава 4. Реестр Windows Server 2003 135Если вносятся изменения в настройки среды (через реестр или в диалоговомокне System Properties), то новые настройки начинают действовать только при следующемвходе пользователя.Внимание. Элементы данных в разделе Environment должны иметь тип данныхREG_SZ. Если ввести элемент другого типа или изменить существующий тип данных,то система не будет заменять переменную ее значением.Identities. Это раздел, отсутствовавший в предыдущих версиях Windows, не документированMicrosoft. Это, видимо, какой-либо идентификатор для текущего пользователя,но не основной идентификатор. В HKEY_USERS каждый пользователь имеетуникальный идентификатор. Раздел уникального идентификатора текущего пользователяимеет подраздел, значение которого совпадает со значением этого элементаданных.Keyboard Layout. В этом разделе хранится информация об установленных раскладкахклавиатуры, включая настройки устройств и драйверов. Кроме того, если пользовательдобавляет другие клавиатуры (файлы языков клавиатур), то информация обэтих клавиатурах содержится в подразделах.Изменения по устройствам и драйверам следует вносить в аплете панели управленияKeyboard. Дополнительные клавиатуры добавляются в аплете Regional andLanguage Options (Региональные стандарты и язык).Network. Этот раздел существует, только если текущий пользователь имеет отображенныесетевые диски. Сам этот раздел является родительским разделом и не содержитсущественных данных. Для каждого постоянного отображаемого диска имеетсядочерний подраздел, именем которого является буква-обозначениеотображаемого сетевого диска.£ * Regntiy Editoi"иЙ-Й| Netwtxk| t! j! ЩШI UiJIjSessionlnformationi &Ш Softwarei ЧЁ1 UNICODE Program Groups II Mil Volatile Environment$11 HKEY.LOCAL.MACHINEI .\y,£\f...\ -IMy Cenwi«\HKEY.CURRENI_U5ER\Ntiioit СJ Mara | Тур*»Й (Default)jpConneclionType||lDeferFlagsS^PiovideiName|j{]ProviderTjip6L] n efnotePatnREG_S2REG.DWORDREG.DWORDREG.S2REG.DWORDREG.S2REG.DWORD.Data(value not set)0x00000001 (1)0x00000004 (4)Microsoft Windows Network0x00020000(131072)WAdminSNETcomprefFigs0x00000000(0)Если пользователь отображает какой-либо диск и не выбирает опцию ReconnectAt Logon (Снова подсоединяться при входе), то отображаемый диск не записываетсяв реестр. (Все текущие отображаемые диски независимо от их постоянства имеютзначки в My Computer.)Примечание. По умолчанию состояние опции Reconnect At Logon определяется тем,что было выбрано на тот момент, когда пользователь отображал диск.Каждый подраздел содержит информацию о соединении.

136 Windows Server 2003. Полное руководство• Connectioniype. Указывает тип соединения для данного отображения. Значение1 указывает перенаправление диска; значение 2 указывает перенаправление принтера.• DeferFlags. Этот раздел не документирован Microsoft (хотя в группе документированиямне говорят, что надеются добавить некоторую информацию в будущем).В моем реестре все отображаемые диски имеют значение 4. Значение 4обычно указывает зависимость от определенного набора обстоятельств (1 = одинфактор, 2 = что-либо еще, и т.д.). (Если я это выясню, то помещу информациюв www.admin911 .com.)• ProviderName. Указывает сетевого провайдера, который создает это соединение.По умолчанию задано значение Microsoft Windows Networks (которое можно интерпретироватькак Microsoft LanMan).• Provideriype. Указывает провайдера, используемого для соединения. Значение- это константа, заданная Microsoft. Для Microsoft LanMan эта константа равна0x20000 (откройте этот элемент данных, чтобы увидеть данные в шестнадцатеричномформате). В случае сторонних провайдеров эта константа назначаетсяданным провайдером.• RemotePath. UNC-путь к данному отображаемому разделяемому ресурсу.• UserNarae. Указывает пользовательское имя, которое будет использоваться длясоединения. По умолчанию этот элемент данных не содержит значения, так какпочти все время это выполнивший вход пользователь. Но если в конфигурацииотображения указывается другое пользовательское имя для подсоединения кданному отображаемому диску, то оно представлено как значение в этом элементеданных. (В мастере отображения сетевого диска Map Network Drive Wizardимеется опция Connect Using A Different User Name [Подсоединяться с помощьюдругого пользовательского имени], с помощью которой можно задаватьпользовательское имя и пароль для конфигурируемого соединения.)Printers. Этот подраздел содержит информацию о принтерах, установленных на данномкомпьютере, включая заданные пользователем параметры конфигурации.Session Information. Этот подраздел, видимо, содержит информацию о приложениях,используемых в текущем сеансе (единственный элемент данных в моем реестре - этоProgramCount, значение которого равно количеству открытых на данный момент программ).Я использовал слово «видимо», поскольку этот подраздел не документирован.В группе по документированию реестра Windows мне сообщили, что они не документировалиэтот раздел, но планируют сделать это в будущей версии Windows.Software. В этом разделе хранятся пользовательские настройки приложений и программныепеременные, относящиеся к выполнившему вход пользователю. При внесенииизменений в конфигурацию пользователями эти элементы данных изменяются.Подразделы этого раздела создаются не только программами установки ПО,— здесь также хранятся все виды важных настроек операционной системы. Подробноеописание этих настроек выходит за рамки изложения данной книги.UNICODE Program Groups. Этот раздел включен для совместимости с прежними версиями- для пользователей, которые использовали Program Manager. Элементы данных,если они имеются, определяют содержимое все личных программных групп вProgram Manager.Volatile Environment. Этот раздел содержит настройки для сеанса текущего пользователя.

ё Ш H K E Y . U S E R SГлава 4. Реестр Windows Server 2003 137U'ReghhyEditM;FJe £

138 Windows Server 2003. Полное руководствоэто поддерево (и обычно добавляют тот же раздел в HKEY_CURRENT_USER\Software) с подразделами для имени, версии и других компонентов продукта.Операционная система хранит здесь настройки компьютера, включая настройки,которые определяются групповыми политиками.HKLM\SystemЭто огромный раздел! Многие из его подразделов и элементов данных управляютзагрузкой операционной системы (см. гл. 5); другие подразделы и элементы данныхуправляют почти всем, что делает операционная система (особенно службы ядра).Это определяющий раздел для настроек конфигурации компьютера, но подробноеописание этого раздела выходит за рамки изложения данной книги.HKEYJJSERSЭто поддерево содержит подразделы для профиля Default User и всех известныхпрофилей пользователей для данного компьютера. Каждый подраздел с профилемотдельного пользователя идентифицируется идентификатором безопасности(Security ID, SID) и раскрывается в виде полного набора подразделов с настройками(для раздела HKEY_CURRENT_USER, когда данный пользователь выполняетвход).HKEY_CURRENT_CONFIGЭто поддерево содержит информацию о профиле оборудования, который используетсяданным компьютером при загрузке. Это алиас для HKEY_LOCAL_MACHINE\System\CurrentControlSet\HardwareProfile\Current.Regedit.exeRegedit.exe - это единственный редактор реестра в Windows Server 2003; regedt32 ужене используется. (Если открыть Start\Run и ввести regedt32, то откроется Regedit.exe.)Большинство из тех, кто часто работает с реестром, всегда предпочитали интерфейсRegedit.exe и использовали regedt32 только для задания настроек безопасности. Теперьнастройки безопасности доступны и в Regedit.exe, то есть фактически мы непотеряли regedt32.Как заставить Regedit не отображать последнийиз использовавшихся разделовОдной из неприятных (для меня) особенностей Regedit в Windows Server 2003 (и вWindows 2000) является то, что при открытии этого редактора появляется последнийиз использовавшихся вами разделов. Иногда это раздел, находящийся далековнизу дерева, и требуется много работы, чтобы выполнить прокрутку, закрытие разделови прочие операции в левой панели для перехода к разделу, который вы хотитеиспользовать на этот раз. Чтобы изменить это поведение, вы должны выполнитьдве задачи.• Удалить информацию о последнем из использовавшихся вами разделов.• Указать системе, чтобы она не записывала эту информацию при вашем следующемдоступе к какому-либо разделу.

Глава 4. Реестр Windows Server 2003 139Чтобы выполнить эти задачи, выполните следующие шаги.1. Перейдите в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Applets\Regedit.2. Дважды щелкните в правой панели на элементе данных LastKey и удалите значение,создав пустую строку.3. Щелкните на кнопке ОК, чтобы закрыть String Editor.4. Снова щелкните правой кнопкой на разделе Regedit в левой панели и выберите вконтекстном меню пункт Permissions (Полномочия).5. Щелкните на кнопке Advanced, чтобы открыть диалоговое окно Advanced SecuritySettings (Дополнительные настройки безопасности).6. Выберите свое пользовательское имя и щелкните на кнопке Edit, чтобы открытьдиалоговое окно Permission Entry (Ввод полномочий).7. Выберите опцию Deny (Запретить) для полномочий Set Value (Задание значения).8. Выберите этот новый элемент Вепуи щелкните на кнопке Edit. Затем выберите в раскрывающемся списке ApplyOnly (Применять только) вариант This Key Only (Только этот раздел). (Это ограничитзапрет полномочий Set Value только подразделом Regedit, и не будет влиятьна подраздел Favorites.)9. Щелкните на кнопке ОК три раза, чтобы закрыть диалоговое окно Permissions(после второго щелчка на кнопке ОК вам нужно будет подтвердить тот факт, чтовы внесли эти изменения).Раздел Regedit не существует, если вы еще не запускали Regedit на данном компьютере.Если этого раздела нет, не добавляйте его в реестр вручную. Вместо этогооткройте и закройте Regedit, чтобы создать этот раздел, и затем снова откройтеRegedit, чтобы выполнить указанные шаги.Если вы не хотите выполнять все эти шаги, то можете закрывать все разделывручную, удерживая клавишу Shift и непрерывно нажимая клавишу «левая стрелка»,пока не произойдет сжатие всей иерархической структуры. Лично я считаю этомучительным занятием.Дистанционный доступ к реестрамВы можете использовать Regedit для поиска и управления в реестре другого компьютерав вашей сети. Выберите File\Connect Network Registry (Подсоединиться к рееструв сети), чтобы открыть диалоговое окно Select Computer (Выбор компьютера).Введите имя компьютера, к которому вы хотите подсоединиться, или щелкните накнопке Advanced для поиска этого компьютера.ЩЩс№:Fi mthi ic ihonQbpcl Types. :;

| • •••• • ; ; : ; • : , ;.•;D a l a• W i m ^ •••'• -•'•:•• • : . I1 0i1Ii1140 Windows Server 2003. Полное руководствоПоддерево удаленного реестра выводится вслед за поддеревьями вашего локальногореестра. Отметим, что реально только два поддерева выводятся для удаленногокомпьютера (напомним, что все остальные поддеревья образуются из этих двух поддеревьев).е-' ЯеянЛш Edftolie Edit y«« Fjv:-iit«HelpB-j§MyComputerI ф-ft HKEY_CLASSES_ROOTHKEY_CURRENT_USERHKEY_LOCAL_MACHINEi ШШ HKEY_USERS! ^S.. HK gC [:LIRRENT - (:0NFIGЩШ HKEY_LOCAL_MACHINEi-ii HKEYJJSERSvOefaВы можете одновременно подсоединяться к нескольким удаленным реестрам, икаждый набор поддеревьев идентифицируется именем компьютера.i i pH-JJ M V Computeii ЩШ HKEY CLASSES ROOTПа-Tiei. Type* 'Jj HKEY_CURRENT_USERi ffi£j HKEY_LOCAL_MACHINEffi LU HKEY.USERSEg -_J HKEY CURRENT CONFIG ?f LJ HKEY_LOCAL_MACHINE; lk-Ш HKEY USERSH§ Server-11S-i HKEY_LOCAL MACHINEШШ HKEY_USEBS]^:::'А%;::-:.1:ш::тжт тI•Чтобы отсоединиться от реестра удаленного компьютера, выберитеFile\Disconnect Network Registry (Отсоединить реестр в сети), щелкните на именисоответствующего компьютера и щелкните на кнопке ОК.Disconnect Netwotk RegistryC o m f u l f i n a m e :j A d m i nCiVZil IПримечание. Если вы забыли отсоединиться, то при закрытии Regedit произойдетавтоматическое отсоединение всех удаленных реестров.

Поиск в реестреГлава 4. Реестр Windows Server 2003 141Regedit содержит эффективное средство поиска данных в реестре. Чаще всего я открываюреестр для поиска данных после установки приложения. Кроме того, иногдапоиск в реестре - это единственный способ найти причину сообщения об ошибке,где говорится об отсутствии какого-либо исполняемого файла во время загрузки.Поиск в реестре выполняется «сверху вниз», а это означает, что поиск начинаетсяс точки, где вы находились перед запуском поиска. Если начать сверху (My Computer),то поиск охватывает все поддеревья. Если у вас нет причины выполнять поиск информациио классах, то лучше всего начинать с HKEY_CURRENT_USER илиHKEY_LOCAL_MACHINE. Если у вас есть основания быть уверенным, что искомыеданные находятся в какой-либо конкретной части реестра, раскройте соответствующееподдерево и начните поиск с соответствующего раздела или подраздела.Вы можете открыть диалоговое окно Regedit Find, используя любое из следующихдействий.• Выбрать Edit\Find.• Нажать клавишу F3.• Нажать клавиши CTRL-F.После начала поиска клавиша F3 используется уже для другой цели - поиск следующегоэкземпляра искомой строки.В диалоговом окне Find введите строку поиска и, если это имеет смысл, введитеконкретный тип данных. Затем щелкните на кнопке Find Next (Найти далее).ГMrch whole siring onlyЕсли вы нашли нужную строку и этот экземпляр вам не подходит, щелкните накнопке F3, чтобы искать следующий экземпляр.Примечание. Часто бывает трудно определить, чем является искомая строка: разделом,элементом данных или значением. Приложения могут добавлять подразделы сименами, которые, казалось бы, должны быть именами элементов данных.Создание списка FavoritesЕсли имеются разделы реестра, которые вы часто посещаете для просмотра данныхили работы с ними, то можете сохранить эти разделы в списке Favorites (Избранное).Чтобы добавить какой-либо раздел в свой список, выделите этот раздел и выберитеFavorites\Add to Favorites. Появится диалоговое окно Add to Favorites, чтобыпозволяет вам присвоить имя данному элементу. По умолчанию выводится имя раздела,но вы можете уточнять название. Например, я добавил в свой список Favorites

142 Windows Server 2003. Полное руководствоподраздел HKCU\Software\Microsoft\Windows\CurrentVersion\Policies. В диалоговомокне было представлено имя Policies, но поскольку имеется много подразделов сэтим именем, я изменил название, чтобы стало ясно, что это раздел, где содержатсяпользовательские политики.Add to FavontesFsvoiKervsm?jWindowsUser Policies0,Or* elJXIВаш список избранных разделов появится в меню Favorites. Чтобы сразу перейтив какой-либо подраздел, щелкните на его имени в этом списке.Чтобы удалить какую-либо запись из вашего списка Favorites, выберитеFavorites\Remove Favorites. В диалоговом окне Remove Favorites выберите запись,которую хотите удалить, и щелкните на кнопке ОК.Remove FavoritesSelect Favotiefs]9CuitentControlSetI CuientContralSet-Control: j RegeditfWindowsUser PoliciesmCanedВ отличие от списка Favorites в Internet Explorer вы не можете переименоватьзапись. Вместо этого приходится удалить запись и добавить ее снова. Наиболее быстрыйспособ - это щелкнуть на записи, чтобы перейти в соответствующий раздел,удалить запись и затем выбрать Add to Favorites (вы находитесь в нужном разделе),чтобы снова создать запись (введя на этот раз более осмысленное описательное имя).Настройка и устранение проблемс помощью реестраИногда единственный способ устранения проблемы - это работа с реестром. Вомногих случаях это результат консультаций со службами поддержки Microsoft иликомпании, разрабатывающей ПО, либо результат инструкций, которые вы нашли вкакой-либо статье Microsoft Knowledge Base. Вы можете добавлять, удалять или изменятьподразделы и элементы данных реестра.Экспорт разделовПрежде чем работать с данными реестра, всегда создавайте резервную копию подраздела,в котором вы работаете, чтобы можно было восстановить прежние данные,если ваши изменения неверны. Для этого выберите подраздел, с которым планируетеработать, и выберите File\Export. В диалоговом окне Export Registry File (Экспортфайла реестра) задайте имя файла и выберите тип файла Registration File (*.reg).

Глава 4. Реестр Windows Server 2003 143Windows Server 2003 выбирает папку My Documents как место по умолчанию, но выможете сохранять этот файл где угодно.Тип файла по умолчанию для экспорта - это файл регистрации, имеющий расширение.reg. Файл регистрации содержит все данные выбранного раздела и егоподразделов. Например, при экспорте раздела HKCU\Network (содержащего подразделыдля двух отображаемых дисков моего компьютера) получается следующийтекст.Windows Registry Editor Version 5.00[HKEY CURRENT USER\Network][HKEY_CURRENT_USER\Network\Y]"RemotePath"="\\\\Admin\\NET Server CR""UserName"=dword:00000000"ProviderName"="Microsoft Windows Network"" ProviderType"="dword :00020000""ConnectionType"=dword:00000001"DeferFlags"=dword:00000004. [HKEY_CURRENT_USER\Network\Z]"RemotePath"="\\\\Admin\\NETcomprefFigs""UserName"=dword:00000000"ProviderName"="Microsoft Windows Network""ProviderType"="dword:00020000""Con nectionType"=dword: 00000001"DeferFlags"=dword:00000004Результат действия по умолчанию для .reg-файла (при двойном щелчке на этомфайле) - это слияние, то есть запись содержимого этого файла в реестр (то же самоепроисходит при выборе File\Import в линейке меню Regedit). На самом деле распространение.reg-файла - это удобный способ внесения необходимых измененийв реестр на нескольких компьютерах (см. ниже раздел «Использование файлов регистрации»).Но если вам нужен только просмотр содержимого .reg-файла, щелкните правойкнопкой на этом файле и выберите пункт Edit, в результате чего этот файл откроетсяв Notepad.Примечание. Файлы регистрации - это текстовые файлы Unicode.Если вы внесли изменения в какой-либо раздел, но затем решили отказаться отних, то можете дважды щелкнуть на созданном .reg-файле, чтобы восстановить прежниеданные в этом разделе и его подразделах. Windows попросит вас подтвердитьваши действия.При слиянии .reg-файла с реестром все данные этого файла записываются в реестр.Но если вы добавили новый подраздел или новый элемент данных в существующийподраздел, то при слиянии новый элемент не будет удален. Windows не удаляеттекущее содержимое раздела, с которым вы работаете, прежде чем выполнитьслияние с данными .reg-файла. Если вы добавили что-либо в реестр и затем решиливернуться к прежним данным, то должны вручную удалить новые объекты.

144 Windows Server 2003. Полное руководствоПримечание. Вы можете также сохранять файлы реестра в файлах другого типа: дляреестров B-9X/NT В виде двоичных файлов ульев или в виде текстовых файлов. Крометого, вы можете загружать или удалять (unload) файлы ульев. Подобные подробностивыходят за рамки изложения данной книги, но вы можете подробнее ознакомиться среестром в моей книге «Admin911: Windows 2000 Registry», изданной в McGraw-Hill/Osborne (2000). Почти все в этой книге применимо также к Windows Server 2003.Добавление элементов в реестрРаботая в Regedit, вы можете добавлять разделы или элементы данных в реестр. Вбольшинстве случаев добавляемые пользователем элементы - это данные в какомлибоподразделе, но иногда требуется добавить новый подраздел и наполнить егоэлементами данных.Для добавления подраздела сделайте следующее.1. Щелкните правой кнопкой на родительском разделе и выберите New\Key (Coздать\Раздел).2. Задайте имя этого нового раздела (следуя инструкциям из документации или изслужбы поддержки).Для добавления элемента данных сделайте следующее.1. Щелкните правой кнопкой на его разделе-контейнере и выберите New\(вы должны знать нужный тип значения элемента данных, которыйдобавляете в реестр).IllSlnngValueCWDRO ValueJyqxmdabfe S*f»g Value2. Задайте имя этого элемента данных (следуя инструкциям из документации илииз службы поддержки).3. Дважды щелкните на этом элементе данных и введите подходящее значение.Удаление элементов реестраВы можете удалить из реестра любой раздел или элемент данных, за исключениемподдеревьев. Щелкните правой кнопкой на элементе, который хотите удалить, ивыберите в контекстном меню пункт Delete. Windows попросит вас подтвердить вашидействия. Удаление элемента реестра - это опасная операция, поэтому убедитесь вправильности полученных инструкций и в точности следуйте этим инструкциям.Изменение значений элементов реестраЗначения реестра могут иметь различный формат: текстовый, шестнадцатеричный,десятичный и двоичный. Тип значения обычно (но всегда) связан с типом элементаданных. Вы можете изменить значение элемента данных, дважды щелкнув на этомэлементе в правой панели, чтобы открыть диалоговое окно его редактирования.

Глава 4. Реестр Windows Server 2003 145Использование файлов регистрацииЧаще всего .reg-файлы используются для восстановления раздела, который вы экспортироваликак резервную копию, прежде чем внести в него изменения. Это достаточнонесложный способ восстановления поврежденного пользователем реестра.Приложения часто содержат .reg-файлы в своей группе файлов установки и используютих для регистрации информации конфигурирования. Любой пользовательможет написать .reg-файл (этап написания не представляет сложностей; опаснойчастью может оказаться результат пересылки этого файла в реестр).Вы можете использовать .reg-файлы, чтобы поручать администрирование реестроввашей системы. Ознакомившись с тем, как они действуют и что они делают,вы можете использовать их для управления пользователями, настройками ПО, настройкамикомпьютеров или другими элементами, хранящимися в реестре.Написание и использование .reg-файлов - это способ отправки изменений реестрана один или несколько компьютеров вашей системы вместо открытия реестрана каждом компьютере и внесения изменений интерактивным способом. Такие измененияреестра очень эффективны и обычно используются в следующих обстоятельствах.• Вы хотите освободить определенные компьютеры и определенных пользователейот политик уровня домена, которые были к ним применены.• Вы хотите ограничить определенных пользователей, чтобы не позволять им использоватьопределенные средства.• Вы хотите предложить пользователям возможность внесения поправок в их системы.Обладая возможностями групповых политик для своих компьютеров WindowsServer 2003, вы можете также использовать .reg-файлы, чтобы вносить изменения вреестр для управления доступом и поведением пользователей на компьютерах с болееранними версиями Windows.Если вы пишете программы, то даже в случае написания кода только для внутреннегоиспользования (в отличие от крупных компаний по разработке ПО) вы можетеиспользовать .reg-файлы, чтобы конфигурировать реестр для своей программы.Архитектура .гед-файлаФайлы регистрации - это текстовые файлы с расширением .reg, использующие следующийформат.Имя инструментального средствапустая строка[Путь в реестре]"Имя элемента данных"=Тип данных:значение"Имя элемента данных"=Тип данных:значение"Имя элемента данных"=Тип данных:значениеИмя инструментального средства. Первая строка идентифицирует средство, котороеиспользуется для выполнения этой процедуры.• Для Windows Server 2003/2000/XP: Windows Registry Editor Version 5.00.• Для всех версий Windows 9x/NT: REGEDIT4.После этой строки следует пустая строка.

146 Windows Server 2003. Полное руководствоПуть в реестре. Путь в реестре к разделу, содержащему значения, которые вы импортируете,заключается в прямоугольные скобки, причем каждый уровень в иерархииотделяется обратным слэшем, например, [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]. У вас может быть несколько путейв файле регистрации.Примечание. Если нижний уровень иерархии, которую вы вводите в .reg-файле, отсутствуетв текущем реестре, то вы создаете новый подраздел. Содержимое файловрегистрации пересылается в реестр в порядке его ввода: если вы создаете новыйраздел и подраздел в этом разделе, вводите строки в соответствующем порядке.Данные. Данные, которые вы пересылаете в реестр, вводятся в следующем виде:"Имя элемента данных"=Тип элемента данных:3начение элемента данных• Имя элемента данных заключается в кавычки.• После элемента данных непосредственно следует знак равенства (=).• Тип элемента данных непосредственно следует после знака равенства и заканчиваетсясимволом двоеточие (:).• Значение элемента данных должно вводиться в подходящем формате (строчный,шестнадцатеричный, десятичный или двоичный).Вы можете ввести несколько строк элементов данных для одного пути в реестре,например:"GroupPoIicyRefreshTime"=dword:00000014"GroupPolicyRefreshTimeOffset"=dword:0000000fВ этих двух строках представлены шестнадцатеричные значения для значенийданных: 00000014 - это шестнадцатеричный эквивалент 20, и 0000000f- это шестнадцатеричныйэквивалент 15. Если вы не очень хорошо разбираетесь в шестнадцатеричныхи других трудночитаемых данных, ограничьтесь при создании элементовданных в своем .reg-файле элементами данных, которые содержат строки, либоиспользуют 0 и 1 для отключения и включения политики или какого-либо запрещения.В реестре нет булева типа данных. Но вы можете пересылать булевы данные вреестр, используя в .reg-файле элементы типа DWORD (4 байта) или STRING (2байта), и при этом не обязательно вводить полную строку. Просто введите 1, и выувидите в реестре значение 0x00000001(1).Слияние файла регистрации с реестромФайлы регистрации используются путем слияния .reg-файла с реестром, осуществляемогов Regedit. Имеется три способа пересылки содержимого этого файла в реестр.• Дважды щелкнуть на этом файле (действие по умолчанию для .reg-файла - этослияние).• Ввести Regedit .reg в командной строке.• Выбрать File\Import в линейке меню Regedit.Совет. Если вы хотите запускать .reg-файлы из командной строки в несопровождаемомрежиме или хотите формировать пакетные файлы, с помощью которых происходитслияние .reg-файлов с реестром без вмешательства пользователя, используйтекоманду Regedit со следующим синтаксисом: Regedit /s .reg.

Глава 4. Реестр Windows Server 2003 147Во время пересылки .reg-файла в реестр происходят следующие действия.• Если путь в этом файле не указан, он добавляется.• Если какой-либо элемент данных еще не существует, он добавляется (вместе сего значением).• Если какой-либо элемент данных уже существует, его значение заменяется значениемиз .reg-файла.Файлы регистрации действуют, даже если вы применили групповую политику,отключающую средства редактирования реестра (в противном случае программы исистема не могли бы вносить изменения в реестр, если это требуется).Вы можете распространять .reg-файл через электронную почту или позволятьпользователям копировать его из разделяемой точки сети во время входа (с помощьюкакой-либо команды в скрипте входа). Затем вы можете предоставлять каждомупользователю возможность его использования.Пример файла регистрацииВ качестве примера здесь приводится текст .reg-файла, слияние которого я выполняюна всех компьютерах моей сети. Он добавляет в контекстное меню для папокопцию, позволяющую открывать окно командной строки. Я предпочитаю открыватьокно Command Prompt для конкретного места вместо использования командыCD для перехода в структуре папок.Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\Directory\shel\OpenNew]@="Command Window Here" (здесь окно командной строки)[HKEY_CLASSES_ROOT\Directory\shell\OpenNew\Command]@="cmd.exe /k cd %1"Чтобы создать этот .reg-файл путем изменений в реестре и экспорта раздела,выполните следующие действия в Regedit.1. Выберите раздел HKEY_CLASSES_ROOT\Directory\shell.2. Создайте новый подраздел с именем OpenNew.3. Откройте элемент данных Default в правой панели и присвойте ему значениеCommand Window Here. (Это значение реестра представляет фразу, которая будетпоявляться в контекстном меню, поэтому вы можете заменить фразу нужнымдля вас образом.)4. Создайте новый подраздел с именем Command в подразделе OpenNew.5. Откройте элемент данных Default в подразделе Command и введите значениеcmd.exe /k cd %1.6. Выделите подраздел OpenNew и выберите File\Export для создания .reg-файла,который содержит эти новые подразделы вместе с их данными.Если на вашем компьютере несколько дисков, то вы можете добавить аналогичнуюкоманду в контекстное меню, которое появляется при щелчке правой кнопкойна каком-либо диске в Windows Explorer или в My Computer. Выполняются те жешаги, что и при создании команды для папок, со следующими изменениями.• В качестве начальной точки используйте раздел HKEY_CLASSES_ROOT\Drive\shell.

148 Windows Server 2003. Полное руководство• Для элемента данных Default в подразделе HKEY_CLASSES_ROOT\Drive\shell\OpenNew\Command введите значение cmd.exe /к.Экспортируйте раздел HKEY_CLASSES_ROOT\Drive\shell и распространяйтеэтот .reg-файл всем пользователям, которые хотели бы использовать это удобноесредство.Удаление элементов реестра с помощью .гед-файлаВы можете также использовать .reg-файл для удаления подразделов и элементовданных. Это настолько просто, что даже вызывает опасения.• Чтобы удалить подраздел, введите знак «минус» в начале имени этого подраздела.• Чтобы удалить отдельный элемент данных, введите знак «минус» вместо его значения(«Имя_элемента_данных=-»).Средства безопасности для реестраРабота со средствами безопасности для реестра очень похожа на работу со средствамибезопасности, которые вы получаете с помощью файловой системы NTFS.Вы можете применять полномочия доступа к разделам и подразделам на уровне группыили пользователя, определять, хотите ли вы, чтобы полномочия были наследуемыми,и создавать целую иерархию полномочий с любым уровнем уточнений. Инымисловами, как и в NTFS, у каждого раздела реестра есть свой список управлениядоступом ACL (access control list).По умолчанию заданы довольно жесткие уровни безопасности реестра. Администраторыимеют полный доступ ко всему реестру, но другие пользователи имеютполный доступ только к разделам, которые относятся к их собственным пользовательскимучетным записям (сюда включается HKEYCURRENTJJSER), а такжедоступ только по чтению к разделам, которые относятся к данному компьютеру иустановленному ПО. Тем не менее, вам может потребоваться изменение настроекбезопасности реестра, чтобы предоставлять или отменять полномочия на уровнегруппы или пользователя. В этом разделе дается описание задач, связанных с заданиемполномочий.Описание полномочийПолномочия, которые вы можете применять к определенному разделу реестра, доступнына двух уровнях.• Базовые полномочия, которые составлены из отдельных полномочий.• Отдельные полномочия.Базовые полномочия - это группа из отдельных (более конкретных) полномочий.Для большинства разделов базовые полномочия - это Full Control (Полныйдоступ) и Read (Чтение).Отдельные полномочия приводятся в таблице 4.2. Все полномочия из таблицы4.2 предоставляются пользователям, имеющим полномочия Full Control. Полномочия,которые не попадают в группу Read (третья колонка табл. 4.2), называютсяспециальными полномочиями.

Глава 4. Реестр Windows Server 2003 149Табл. 4.2. Полномочия, применяемые к разделам реестраПолномочия Описание Включается в базовыеполномочия Read?Quary ValueSet ValueCreate SubkeyEnumerate SubkeyNotifyCreate LinkDeleteWrite DACWrite OwnerRead ControlПросмотр значения в элементе данныхИзменение значения в элементе данныхСоздание подразделаПросмотр всех подразделовПолучение или задание уведомленийаудитаСоздание ссылки на другой разделУдаление раздела (и подразделов)Изменение полномочий DACИзменение владельцаЧтение списка ACLРабота с полномочиямиДаНетДля просмотра или задания полномочий по разделу реестра (включая поддеревьяверхнего уровня) щелкните правой кнопкой на этом разделе и выберите в контекстномменю пункт Permissions. Появится диалоговое окно Permissions для этого раздела,аналогичное рисунку 4.2.НетДаДаНетНетНетНетДаPermissions forCommend Piocessor^y\£юирог ij$einame;Iftaa 2Vfi3CREATOROWNER0 PowerUsers (AS20021\PowetUsers)fllSYSTEMЙ2 Users (AS 20021 \Usets]Рис. 4.2. Базовые полномочия длягрупп и пользователей представленыв диалоговом окне PermissionsAdd...Peimitwc-ги loi Adrmntsliator?Full ControlReadSpecial PermissionsFjerymEl ••|0 Ш CancelПри выборе каждого пользователя или группы вы видите полномочия. Полномочия,которые затенены, наследуются от родительских разделов и не могут бытьизменены в этом диалоговом окне.

150 Windows Server 2003. Полное руководствоДобавление пользователей или групп в список полномочийВы можете добавлять пользователей или группы в список полномочий доступ к разделус помощью следующих шагов.1. Щелкните на кнопке Add, чтобы открыть диалоговое окно Select Users, Computers,Or Groups (Выбор пользователей, компьютеров или групп).Select Users. Computers, oi GroupsFiomlb.-lx-alrcn£iM 'he obi«> аэте; io ;Aci!3tie:l Tvpe:LotAon:I•i/anceJ.2. Щелкните на кнопке Locations и выберите компьютер или домен, который хотитеиспользовать.3. Если вы знаете имена пользователей и/или групп, введите имена, которые хотитедобавить, отделяя каждое имя символом «точка с запятой». Если вы не знаетеимен, щелкните на кнопке Advanced, чтобы задать критерии поиска, и выберитенужные имена. По окончании ввода имен щелкните на кнопке ОК.4. Вернувшись в диалоговое окно Permissions, выделите каждую новую запись иназначьте полномочия Read или Full Control. (Если вы не хотите использоватьэти базовые полномочия, см. следующий раздел, «Задание специальных полномочий».)5. По окончании щелкните на кнопке ОК.Примечание. Вы можете также удалить пользователя или группу в этом диалоговомокне, выбрав соответствующую запись и щелкнув на кнопке Remove.Задание специальных полномочийЕсли вы хотите задать более конкретные полномочия для группы или пользователя,то можете задать специальные полномочия, используя следующие шаги.1. В диалоговом окне Permissions щелкните на кнопке Advanced, чтобы открытьдля данного раздела диалоговое окно Advanced Security Settings.2. Дважды щелкните на пользователе или группе, для которого хотите задать специальныеполномочия (см. рис. 4.3).3. В секции Permissions установите флажок Allow (Разрешить) или Deny (Запретить)для каждого вида полномочий, которые вы хотите задать.4. Задайте наследование, выбрав один из вариантов в раскрывающемся списке поляApply Onto (Применять к).• This key only (Только к этому разделу).• This key and sub keys (К этому разделу и подразделам).• Subkeys only (Только к подразделам).

'•••'':1Глава 4. Реестр Windows Server 2003 151ligbjerf | . ,•;N vr.e: |ГУ!Я'Л.ИТЧ-'Ti'.o..?T."T^Biffif •••'• . .%pJ:|n|Kj| This key and subkeysEfr..i;,ior,iFul ControlQueryValueSet ValueCreate SubkeyEnumerate SubkeysNotifyCreate LinkDeleteWrite DACWrite OwnerRead ControlAlowПElП•a DDDD0Change.JPer»•D• •D•••Рис. 4.З. Текущие полномочия дляэтого пользователя были заданыпутем выбора базовых полномочийReadi—ApplyJhete r»m«iom lo ob«ct: and/aCOn! • • lil^j.ipnjf[ OK ~]Cancel5. Щелкните на кнопке ОК, чтобы вернуться в диалоговое окно Advanced SecuritySettings. Задайте полномочия для другого пользователя или группы либо два разщелкните на кнопках ОК, чтобы закрыть все диалоговые окна.Внимание. Не изменяйте никаких полномочий для раздела System, поскольку это можетвызвать проблемы для операционной системы и установленных приложений.Изменение владельца разделаВладелец раздела реестра может указывать пользователей и группы, которым разрешаетсяработа с этим разделом, что дает полный доступ конкретному человеку.Получение владения разделом реестра является ответственной задачей, и она должнавыполняться только администратором, у которого имеется проблема доступа кданному разделу (обычно в результате неверных изменений в списке ACL). По умолчаниюдля компьютеров Windows Server 2003 владение определяется следующимобразом.• Для компьютеров, используемых как рядовые серверы, это члены локальнойгруппы Administrators.• Для компьютеров, работающих как контроллеры домена, это члены группыDomain Administrators.Для просмотра или изменения владения щелкните правой кнопкой на данномразделе и выберите в контекстном меню пункт Permissions. Щелкните на кнопкеAdvanced и затем щелкните на вкладке Owner (Владелец). Как видно из рисунка 4.4,текущий владелец показан вверху вкладки Owner, и ниже представлен список допустимымпользователей, которые могут стать владельцами.

152 Windows Server 2003. Полное руководствоAdvanced Security Settings totCommand Processor: :v:Rermi, rigOwner I Elective Remissions IYou ;aMil-! ы a: :ign ownenftp :•! »•'• -ii--i«youI,*.*ih» requied perrwcon)c< ;-nvilw.Curentowner of t!"is item:|Adrrai*atws |AS2OO21 Vidministiators)» 'I !"HamО JAoMntojtorjVENSEAST Wdministiator)]JJJ Administrators (AS 20021 "Administrators]ГReplace у&тц ы tvbcortanen siid.V IРис. 4.4. В список, доступный для передачи владения, включен также текущийпользовательВы можете передавать владение любому пользователю из этого списка. Если вы хотитевыбрать владельца, находящегося вне текущих доступных групп Administrator,щелкните на кнопке Other Users Or Groups (Другие пользователи или группы), чтобыоткрыть диалоговое окно Select User, Computer, Or Group. Выберите имя, котороехотите добавить в список, и затем вернитесь во вкладку Owner и выделите этоимя. Но прежде чем предоставить владение пользователю или группе, вы должныизменить полномочия, разрешив полномочия Write Owner (предоставив новому владельцуправо управлять владением).Аудит реестраВам может потребоваться аудит определенных действий с реестром, чтобы попытатьсянайти источник какой-либо проблемы. Или вам может потребоваться аудитпросто из любопытства (если у вас достаточный объем свободного места на дискедля журнала аудита).У вас имеются достаточно мощные и гибкие возможности аудита операций среестром; вы можете выполнять аудит разделов, пользователей, групп и любых сочетаний.Для аудита операций с реестром нужно выполнить три шага.1. Включить аудит как групповую политику.2. Задать опции конфигурирования аудита в реестре.3. Просматривать результаты аудита в журнале Security оснастки Event Viewer.Включение аудитаПрежде чем выполнять аудит операций с реестром, вы должны включить аудит,который отключен по умолчанию в Windows Server 2003. Включение/отключение

Глава 4. Реестр Windows Server 2003 153аудита осуществляется с помощью групповой политики, и вы можете использоватьдля этого политику на уровне домена или локальную политику в зависимости отдействий в реестре, аудит которых хотите выполнять.Включение аудита для домена. Чтобы включить аудит реестра на уровне домена, откройтеоснастку Active Directory Users and Computers и затем выполните следующиешаги.1. Откройте диалоговое окно Properties для данного домена.2. Щелкните на вкладке Group Policy.3. Выберите объект Default Domain Policy и щелкните на кнопке Edit.4. Появится консоль Group Policy. Перейдите в Computer Configuration\WindowsSettings\Security Settings\Local Policies\Audit Policy.5. Дважды щелкните на записи Audit object access в правой панели, чтобы открытьдиалоговое окно Properties.Audit object access PropertiesSecurity Policy Sating I1Aw»these atempts:Г U,»., eor. "I Caned |6. Включите эту политику, установив флажок Define This Policy Settings (Определитьследующие настройки политики) и установив флажок Success и/или флажокFailure (аудит успешных и/или неудачных попыток).Примечание. Политики аудита реестра позволяют также выбирать аудит успешныхили неудачных попыток для каждого типа доступа к реестру. Это позволяет осуществлятьизбирательную фильтрацию, не допуская излишнего разрастания файлажурнала.Включение аудита на локальном компьютере. Чтобы включить аудит реестра на каком-либокомпьютере, выполните следующие шаги.1. Откройте средство администрирования Local Security Settings.2. В дереве консоли раскройте Local Policies и выберите Audit Policy.3. Дважды щелкните на записи Audit object access в правой панели и выберите действия,аудит которых хотите осуществлять.

154 Windows Server 2003. Полное руководствоAudit obtec! access PropertiesiutWbi-?:' вссез:Audil thes; ollГГ§uccc:_-failuuЗадание опций аудита в реестреПосле включения аудита вы можете задать действия, аудит которых хотите осуществлять.Откройте Regedit, щелкните правой кнопкой на родительском разделе, которыйхотите использовать как верхнюю точку процесса аудита (по умолчанию аудитнаследуется подразделами) и выберите в контекстном меню пункт Permissions. Щелкнитена кнопке Advanced и перейдите во вкладку Audit. Щелкните на кнопке Add,чтобы начать добавление пользователей и групп, аудит которых хотите осуществлять.Используйте следующие рекомендации.• Для аудита действий определенного лица выберите этого пользователя.• Для аудита, позволяющего увидеть, кто и что делает в реестре, лучше всего выбратьгруппу Everyone.• В более сложных случаях выберите подходящие группы и пользователей.При выборе каждого пользователя или группы выберите также действия, аудиткоторых хотите осуществлять, как это показано на рисунке 4.5.По умолчанию аудит выполняется для текущего раздела и наследуется подразделами.Вы можете изменить это поведение, выбрав другой вариант в раскрывающемсясписке Apply Onto. Имеются три варианта: This key only, This key and subkeysи Subkeys only.Вот некоторые советы по конфигурированию аудита.• Включение аудита вызывает снижение производительности. Чем больше группи пользователей вы добавляете, тем больше задач вы включаете в аудит и тембольше влияете на уровень производительности.• Почти нет смысла выполнять аудит неудачных попыток отдельных пользователей,поскольку в большинстве случаев это происходит из-за недостаточных полномочийпользователя. Если этот пользователь не может выполнить какую-либозадачу, то нет смысла сообщать об этом в виде события аудита. Если приложениясообщают об ошибках и служба поддержки предполагает наличие проблемыдоступа к данным реестра, задайте аудит неудачных попыток для разделаSYSTEM.Не выполняйте аудит успешных попыток для обычных задач, которые не могутпринести вреда, например, запрос значения. Этот может привести только к огромнымразмерам журнала.

• , , . . .F u « C o n t r o lQ u e r y V a l u eS e t V a l u eC r e a t e S u b k e yJ T h i s k e y a n d s u b k e y sE n u m e r a t e S u b k e y sN o t i f yC r e a t e L i n kD e l e t eW r i t e D A CW r i t e O w n e rR e a d C o n t r o lS u c c e s s f u l F a t e dr A t r t . J » W . a u * r i Q B V n « . o o b j « « C I M . A I 11« f > i ' o i c o r n e t « h h t h t t c o n u i n a o n k . 'JГлава 4. Реестр Windows Server 2003 155Auditing Entry farCommand Piocessor:Object IN*t,e:Рис. 4.5. Выберите действие ирезультат для каждой задачиреестра, аудит которой хотитеосуществлятьП • IПП iПDD••••• • I• D п • 1ПIOK Cytct-1 |Просмотр журнала аудитаАудит - это события системы безопасности, поэтому результаты аудита находятся вжурнале Security оснастки Event Viewer. Откройте Event Viewer и выберите журналSecurity для просмотра событий аудита.Reg.exeReg.exe - это надежное и многофункциональное средство командной строки, котороевы можете использовать для управления записями реестра. Как и для командыnet, для reg.exe требуется вторая команда, например, reg add. Эта программа позволяетработать как с локальными, так и с удаленными реестрами. Но если вы применяетеэто средство к удаленному реестру, то можете работать только сHKEY_LOCAL_MACHINE и HKEY_CURRENT_USER.Общие указания по работе с Reg.exeСуществует несколько общих правил и рекомендаций по работе с командами reg, иони приводятся здесь, чтобы не повторять их для каждой команды.При вводе имени раздела или подраздела вы должны ввести полный путь к этомуразделу, начиная с поддерева. Однако вы можете использовать следующие сокращениядля имен поддеревьев.СокращениеПоддеревоHKCRHKLMHKCUНКССHKEY_CLASSES_ROOTHKEY_LOCAL_MACHINEHKEY_CURRENT_USERHKEY CURRENT CONFIGURATION

156 Windows Server 2003. Полное руководствоКроме того, вам будут полезны следующие сведения.• Указываемый путь не зависит от используемого регистра букв.• Имя нового раздела зависит от регистра букв.• Имена разделов, содержащие пробелы, должны быть заключены в кавычки.• Регистр букв не имеет значения для существующих элементов данных.• Имя нового элемента данных и его значение зависят от регистра букв.Зависимость от регистра букв означает, что соответствующие элементы записываютсяв реестр в том виде, как вы их вводите, то есть с прописными и строчнымибуквами. Для функций реестра это обычно не имеет значения, поскольку, за несколькимиисключениями, поиск разделов, элементов данных или значений в реестрене завит от регистра букв. Но вы можете, например, ввести NewFeatureNameвместо newfeaturename, поскольку использование прописных букв упрощает чтениезаписи.Reg AddКоманда reg add используется для добавления в реестр раздела и/или элемента данных.Она имеет следующий синтаксис:гдеreg add [\\Машина\]Имя_раздела[/у Имя_значения\/\е][/1 Tun][/s Разделитель][йДанные][/Т\\\Машина - это имя удаленного компьютера. Пропустите этот параметр, если выработаете на локальной машине. Имя_раздела — это имя раздела, где будет помещенановая запись, или имя нового раздела, который вы добавляете в реестр. Если выдобавляете раздел, то можете не указывать все остальные параметры (см. ниже).Например, если у вас имеется раздел с именем HKEY_CURRENT_USER\Software\CompanyDatabase и вы хотите добавить подраздел с именем ColorScheme,введите следующую команду.reg add HKCU\Software\ CompanyDatabase\ColorSchemeСистема возвратит сообщение «The operation completed successfully» (Операцияуспешно завершена).Примечание. Если вы используете пробел в имени, не используя для этого именикавычек, то система предполагает, что любой текст после первого слова являетсяпараметром, и выводит сообщение об ошибке: «Too many command-line parameters»(Слишком много параметров командной строки).Если вы вводите новый элемент данных, то используются следующие параметры.Для одновременного ввода нового раздела и нового элемента данных простовведите имя нового раздела в конце пути./v Имя_значения — это имя нового элемента данных. Если это имя содержит пробелы,заключите его в кавычки./ve указывает пустое значение./t Тип указывает тип данных для нового элемента данных. Если пропустить этотпараметр, то по умолчанию задается тип данных REG_SZ.

Глава 4. Реестр Windows Server 2003 157/s Разделитель указывает символ, который вы хотите использовать как разделительв случае нескольких строк данных (для типов данных REG_MULTI_SZ)./d Данные - это данные, которые вы хотите присвоить добавляемому элементу данных./f вызывает перезапись значения существующей записи.Reg DeleteКоманда reg delete используется для удаления подразделов и/или элементов данныхиз реестра. Она имеет следующий синтаксис.гдеreg delete [\\Машина\]Имя_раздела[/\ Имя_значения][/уя][/Ц\\Машина - это имя удаленного компьютера. Пропустите этот параметр, если выработаете в локальном реестре.Имя_раздела - это подраздел для данной записи (или подраздел, который вы хотитеудалить). Указывайте полный путь./v Имя_значения - удаление элемента данных с этим именем. Если это имя содержитпробелы, заключите его в кавычки./va - удаление всех элементов данных в указанном подразделе./ve - удаление пустого элемента данных./f вызывает операцию удаления без подтверждения пользователем.RegCopyКоманда reg copy используется для копирования записи реестра в новое место влокальном или удаленном реестре. Она имеет следующий синтаксис.гдеreg copy [\\Машина\] Исходный_раздел [\\Машина\] Целевой_раздел [/s] [Д]\\М7и/ина]Исходный_раздел - это имя компьютера и путь в реестре для исходногокомпьютера. Пропустите параметр «Машина», если это локальный компьютер.\\Машина\] Целевой_раздел - это имя компьютера и путь в реестре для целевогокомпьютера. Пропустите параметр «Машина», если это локальный компьютер./s — копирование всех подразделов, находящихся в последнем разделе указанногопути, вместе с элементами данных, содержащимися в этих подразделах.Д вызывает копирование без запроса подтверждения пользователем.RegCompareКоманда reg compare используется для сравнения одной записи реестра с другойзаписью реестра на локальном или удаленном компьютере. Она имеет следующийсинтаксис.reg compare [\\Машина\]Имя_раздела_][Х\Машина\]Имя__раздела_2[/\ Имя_значения][/$][/Ц[Output]

158 Windows Server 2003. Полное руководствогдеМашина - это имя компьютера. Пропустите этот параметр для локального компьютера.Имя_раздела_1, Имя_раздела_2 - указывают полный путь в реестре к первому и второмуподразделам./v Имя_значения — сравнение значений элемента данных, указанного параметромИмя_значения (имена элементов данных, содержащих пробелы, заключайте в кавычки).Параметр Output принимает одно из следующих значений.• /оа - вывод всех отличий и совпадений.• /od - вывод только отличий.• /os - вывод только совпадений.• /on - не выводится никаких результатов.Система отвечает одним из следующих возвращаемых кодов.• 0 Сравнение прошло успешно, и нет никаких отличий.• 1 Сравнение провести не удалось.в 2 Сравнение прошло успешно, и есть отличия.Reg ExportКоманда reg export используется для экспорта записи реестра в файл. Эта команда даеттакой же результат, как и команда File\Export Registry File при работе в Regedit. Этакоманда работает только с локальным реестром. Она имеет следующий синтаксис.гдеreg export Имя_раздела Имя_файла [/у]Имя_раздела - полный путь в реестре к разделу, который вы хотите экспортировать.Имя_файла - имя .reg-файла, в который вы хотите экспортировать раздел./у - перезапись существующего файла с именем Имя_файпа без запроса подтверждения.Reg ImportКоманда reg import используется для импорта записи реестра из .reg-файла. Онаимеет следующий синтаксис.гдеreg import Имя_файлаИмя_файла — имя .reg-файла, который вы хотите импортировать.Эта команда дает такой же результат, как и команда File\Import Registry File приработе в Regedit или двойной щелчок на .reg-файле.Reg SaveКоманда reg save используется для сохранения раздела в файле улья. Она имеет следующийсинтаксис.

Глава 4. Реестр Windows Server 2003 159reg save \\Машина Имя_раздела Имя_файла [/у]где\\Машина - это имя удаленного компьютера (пропустите этот параметр для локальногокомпьютера).Имя_раздела - полный путь в реестре к разделу.Имя_файла - целевой файл (с расширением .hiv)./у — перезапись существующего файла с именем Имя_файла без запроса подтвержденияперезаписи.Reg RestoreКоманда reg restore используется для восстановления какого-либо раздела из HIVфайла,созданного командой reg save. Она имеет следующий синтаксис.reg restore [\\Машина] Имя_раздела Имя_файлагде\\Машина - это имя удаленного компьютера (пропустите этот параметр для локальногокомпьютера).Имя_раздела — полный путь в реестре к целевому разделу.Имя_файпа - имя сохраненного ранее файла, из которого вы хотите теперь выполнитьвосстановление.Reg LoadКоманда reg load используется для загрузки файла улья (созданного с помощью командыreg save) в другую часть реестра. Это полезно при поиске проблемных записейреестра. Она имеет следующий синтаксис.reg load [\\Машина] Имя_раздела Имя_файлагде\\Машина - это имя удаленного компьютера (пропустите этот параметр для локальногокомпьютера).Имя_раздела — полный путь к месту в реестре, которое вы хотите использовать дляразмещения данного улья.Имя_файла - имя файла улья.Примечание. Этот раздел не является постоянным, и он исчезает, когда вы перезагружаетекомпьютер.Reg UnloadКоманда reg unload используется для удаления улья, который вы загрузили с помощьюкоманды reg load. Она имеет следующий синтаксис.reg unload \\Машина Имя_раздела

160 Windows Server 2003. Полное руководствогде\\Машина - это имя удаленного компьютера (пропустите этот параметр для локальногокомпьютера).Имя_раздела - полный путь к месту в реестре, где содержится загруженный вамифайл.Reg QueryКоманда reg query используется для получения информации о записи или несколькихзаписях в разделе или подразделе. Она имеет следующий синтаксис.гдеreg query \\Машина Имя_раздела [{/v Имя_значения\/уе}][/$][/5е Разделитель^/^Данные] [{/k\/d}][/c][/e][/t Тип\[/г\Машина - это имя удаленного компьютера (пропустите этот параметр для локальногокомпьютера).Имя_раздела - полный путь к разделу, который вы запрашиваете./v Имя_значения - имя запрашиваемого элемента данных реестра. Если этот параметропущен, выдаются все элементы данных из раздела Имя_раздела. Имя_значенияне является обязательным параметром, если используется параметр /f./ve - запрашиваются пустые элементы данных,/s - запрашиваются все подразделы и элементы данных./se Разделитель указывает разделитель значений, который вы хотите искать в элементахданных типа REG_MULTI_SZ. Если Разделитель не указан, то система использует\0.RegMonОдин мой знакомый по журналу, для которого я пишу статьи (Windows & .NetMagazine), является очень хорошим специалистом по операционным системам. Яуже давно (начиная с Windows NT) использую написанную им утилиту под названиемRegMon, которая позволяет мне следить за доступом приложений к реестру вреальном масштабе времени.Вы можете задавать фильтры, чтобы ограничивать типы информации, о которойсообщает эта программа, вьщелять нужную запись и переходить непосредственнок подразделу реестра, на которую ссылается эта запись. Это отличный способ отслеживанияэлементов реестра, которые добавляются во время установки ПО. Запуститеregmon.exe, прежде чем программа установки начнет копировать файлы ивыполнять запись в разделы реестра, и вы узнаете все, что происходит в реестре.Сохраните результаты, и затем проверьте эти записи после того, как удалите (деинсталлируете)соответствующее ПО. Поскольку большинство процедур деинсталляциине могут целиком удалить информацию реестра, которая была записана во времяустановки, то вы можете очистить свой реестр вручную.RegMon распространяется бесплатно, и вы можете загрузить ее изwww.sysintemals.com. В дополнение к этой утилите вы найдете много полезных утилитна данном веб-сайте.

Глава 5ЗагрузкаНаиболее неприятные обращения, которые получают ИТ-специалисты от пользователей,начинаются со слов «мой компьютер не загружается (не запускается)». Иногдаэти слова следует воспринимать буквально, поскольку ничего не происходит, когдапользователь нажимает кнопку Power (и довольно часто оказывается, что просто вилкане вставлена в розетку). Но в большинстве случаев что-то происходит неверно призагрузке компьютера либо на этапе самотестирования при включении питания (POST),либо во время выполнения процедур загрузки операционной системы.Диагностировать и устранять проблему (если она устранима) намного проще,если вы понимаете, как осуществляется процесс загрузки, и этой теме посвященаданная глава.Термин «отказ при загрузке» используется для описания как проблем компьютера,так и проблем операционной системы. В «прежние» времена, когда загрузкаосуществлялась в MS-DOS, проблемы загрузки почти всегда относились к оборудованию.Этап самотестирования (POST) продолжался намного дольше, чем загрузкаоперационной системы, и источником большинства проблем загрузки было оборудование.После этапа POST просто появлялась DOS, объявляя о своем присутствиимерцающим курсором в строке приглашения (в командной строке). Единственныммоментом небольшой паники было сообщение «non-system disk or disk error» (несистемныйдиск или ошибка диска), что чаще всего вызывалось тем, что в дисководеоставался гибкий диск.Фактически DOS никак не проявляла себя видимым образом - мы форматировалидиск для размещения системных файлов в загрузочном секторе (наиболее важнымсистемным файлом был io.sys). Одним из нововведений, появившихся в DOSверсии 5, было то, что в главный загрузочный сектор помещался только указательна io.sys, а сам файл размещался в загрузочном разделе (вне главного загрузочногосектора). Это новый подход позволял другим операционным системам модифицироватьглавный загрузочный сектор путем установки своих собственных указателейна свои собственные системные загрузочные файлы. Этот подход используется и вWindows Server 2003 (а также в Windows 2000/Windows NT).Загрузка оборудованияЭто книга о Windows Server 2003, поэтому я не хочу уделять слишком много времениаппаратной составляющей процесса загрузки. Но взаимозависимость между современнымиверсиями Windows и оборудованием компьютера несколько сгладила прежниеотличия между загрузкой оборудования и загрузкой операционной системы,поэтому в связи зависимостью Windows от оборудования я дам некоторые пояснения.Оборудование компьютера стало более надежным, и процедуры BIOS стали намногоболее устойчивыми. Это, конечно, означает, что причиной невыполнениязагрузки является, скорее всего, не проблема компонентов оборудования, а проблемаоперационной системы.6 - 3994

162 Windows Server 2003. Полное руководствоИ все же имеется компонент оборудования, который нельзя отнести к категории«улучшенная и более надежная конструкция». Это блок питания. Я должен сказать,что за десятилетия моей работы по созданию, обслуживанию и поддержке компьютеровпроблемы оборудования возникали чаше всего именно из-за этогокомпонента. Когда блок питания перестает работать должным образом (а фактическион является преобразователем тока), это может вызвать повреждение многихдругих компонентов. Я помню, как несколько лет назад на одном из семинаров обсуждаласьпроблема, что ни одному из производителей не удается изготовить безотказныйблок питания, и представитель одной из ведущих компаний сказал, что«никто не хочет платить за это».Я не единственный консультант/администратор, который вынужден все времяпомнить о проблемах блока питания. Следите за вентилятором у задней стенки и незабывайте удалять пыль и грязь. Периодически снимайте корпус и очищайте внутренностьпылесосом. Пыль затрудняет движение воздуха, а это приводит к отказублока питания.Прислушивайтесь к звукам, которые издает блок питания, когда вы включаетекомпьютер. Если вы слышите нечто, напоминающее звук реактивного двигателя,это означает неполадки блока питания. Замените его, прежде чем это вызовет повреждениедругих компонентов.POST (этап самотестирования)Сразу после включения компьютера процессор обращается к BIOS для управлениякомпьютером. Работа BIOS начинается с этапа POST, на котором выполняется проверкавидеосистемы, после которой следует тест памяти. Затем происходит загрузкаинформации BIOS о дисководах и начинается их проверка. После этого осуществляетсяпроверка даты и времени, и затем проверка портов. Вся информация,которую использует BIOS, находится в КМОП (CMOS) памяти, питание которойпроисходит от ее собственной батареи.На этапе POST проверяется не только наличие оборудования, но также настройкиоборудования. В настоящее время настройки оборудования жестких дисков записываютсяавтоматически, когда вы устанавливаете соответствующий дисковод, иесли вам никогда не приходилось вводить значения для цилиндров, головок, зон«парковки» и сбойных секторов, то вам не понять, почему старые специалисты считаютэто в некотором роде чудом.Если во время просмотра настроек BIOS обнаруживает контроллер SCSI, оназапускает процедуру самотестирования конфигурации самого контроллера. Настройкиконтроллера SCSI не конфигурируются и не содержатся в КМОП. Если контроллерSCSI обнаруживает проблему, он сообщает о ней независимо от других проблем,обнаруживаемых и сообщаемых BIOS.Ошибки BIOS выводятся на экран вместе со звуковым сигналом для привлечениявашего внимания. Некоторые ошибки BIOS выводятся в числовом виде, и быловремя, когда производители BIOS использовали один набор номеров (применяемыйIBM), но теперь это не так, поэтому для интерпретации сообщений вам требуетсядокументация, поставляемая вместе с вашим компьютером. К счастью, теперь,скорее всего, вы увидите текстовые сообщения вместо номеров ошибок, например,«hard drive controller failure» (отказ контроллера жесткого диска) или странное сообщение«Keyboard error, press Fl to continue» (ошибка клавиатуры, для продолжениянажмите Fl).

Ошибки памятиГлава 5. Загрузка 163В прежние времена в компоненты памяти включался дополнительный чип - «чипчетности», и в тест BIOS включалась проверка на четность. В компоненты памятибольше не включают проверку на четность, поскольку теперь она не нужна: изготовителиблоков памяти достигли уровня, когда отказы стали большой редкостью.Но после добавления памяти на компьютере при следующей перезагрузке вполневозможно сообщение об ошибке памяти, например, «mismatched memoryinformation» (несоответствие информации о памяти), означающее, что количествопамяти, записанное в КМОП, не соответствует количеству памяти, обнаруженномупри загрузке.Чтобы разрешить эту проблему, перезагрузите компьютер и войдите в программунастройки BIOS. По моему опыту это дает немедленное решение, поскольку текущееколичество памяти автоматически появляется в окне настройки BIOS. Достаточнопросто выйти из BIOS. Это сообщение об ошибке фактически являетсяподтверждением того, что система «видит» установленную вами память, но это несоответствует значению, записанному в КМОП. При входе в программу настройкиBIOS система проверяет память и вносит изменения в соответствии с общим количествомфизической памяти.Если вы добавили память на компьютере, а суммарное значение RAM, представленноево время загрузки, не совпадает с новой суммой и на экране не появляетсясообщение о несоответствии информации о памяти, то у вас более серьезнаяпроблема: система не обнаруживает новую память. Это почти всегда означает физическуюошибку в установке блоков памяти, то есть выбор неверного слота илинеаккуратную вставку штырьков. Я также встречал такую проблему, когда был установленневерный тип памяти (вставка DRAM на старом компьютере с EDO, илиматеринская плата не допускала смешивания SIMM и DIMM, или сочетания различныхскоростей доступа). Для некоторых материнских плат требуются измененияв DIP-переключателях или в конфигурации перемычек (хотя это теперь встречаетсяредко). Вы должны ознакомиться с документацией материнской платы,прежде чем добавлять память на компьютере.Ошибки дискаЕсли на этапе POST возникают ошибки жесткого диска, это представляет серьезнуюпроблему. Не впадайте в панику - ведь у вас, конечно, есть резервная копия, неправда ли? По моим наблюдениям в половине случаев проблему представляет недиск, а контроллер, и после его замены загрузка диска проходит нормально, безповреждения каких-либо данных. Если поврежден встроенный контроллер, вам необязательно покупать материнскую плату, поскольку вы можете приобрести картуконтроллера. Прочитайте документацию материнской платы, чтобы узнать, какиезадачи требуется выполнить, чтобы система BIOS «видела» эту карту вместо встроенноймикросхемы.Если проблема относится все же к диску, то объем работы будет гораздо больше,чем в случае простой замены контроллера. Кроме замены самого диска вы должныснова установить операционную систему и приложения, а затем выполнить восстановлениеиз последней резервной копии.Иногда бывает трудно определить, к чему относится проблема - к жесткому дискуили операционной системе, - поскольку момент, когда BIOS передает процесс заг-

164 Windows Server 2003. Полное руководстворузки жесткому диску, это также момент, когда операционная система начинаетсобственный процесс загрузки. Если не открываются файлы операционной системы,то причиной проблемы может быть поврежденный файл (проблема операционнойсистемы) или отсутствующий файл (что может быть проблемой оборудования,если поврежден диск). Чтобы выявить источник проблемы, используйте загрузочныйгибкий диск, чтобы определить возможность доступа к жесткому диску.Ошибки SCSIЧтобы использовать все преимущества SCSI, вы должны справиться с некоторымитрудностями (хотя эти преимущества явно указывают в пользу SCSI, особенно насерверах). Применение SCSI требует дополнительных усилий, включая использованиенезависимых программ BIOS, то есть вам нужно заботиться о дополнительныхнастройках BIOS. В этом разделе я расскажу об определенных проблемах SCSI,с которыми сталкивался за годы работы.Одна из распространенных проблем - это неверная оконечная нагрузка, когдаадминистратор подключает к компьютеру дополнительные устройства SCSI. He забывайтетакже, что каждое устройство в цепочке SCSI должно иметь свой собственныйуникальный адрес SCSI. Если вы добавляете второй контроллер SCSI, избавьтесьот конфликтов, проверив настройки, ввода-вывода, IRQ и DMA.Многие контроллеры SCSI в конце загрузки BIOS отправляют на экран сообщение,что BIOS установлена успешно. Важно знать, что это сообщение относится кконтроллеру, а не к подключенным устройствам. Если система «зависает» после загрузкиBIOS SCSI, это означает, что контроллер в порядке, но имеется проблемадиска. Не расстраивайтесь, особенно после установки нового диска, поскольку диск,возможно, исправен. Проверьте следующее.• Убедитесь, что цепочка SCSI имеет правильную оконечную нагрузку.• Убедитесь, что вы сконфигурировали «раскрутку» (spin up) диска SCSI при подачепитания (power-up), а не при обнаружении (detection). У дисков, которыесконфигурированы вторым способом, часто истекает время тайм-аута, и они немогут реагировать при подаче питания. Прочитайте в документации SCSI, какзадается эта настройка, - определенным значением в BIOS или установкой переключателя(перемычки).• Убедитесь, что загрузочный диск задан как диск 0.Я встречался с некоторыми проблемами SCSI, относящимися к связи междуоборудованием и операционной системой. Например, когда вы устанавливаете операционнуюсистему, она предполагает обнаружить настройки SCSI, которые существовалина тот момент, когда вы запускали эту операционную систему. Если вывнесли изменения в настройки SCSI, то операционная система может не загружаться.Одна из характерных причин - это настройка enabled/disabled для BIOS SCSI.Windows может управлять всем взаимодействием между контроллером и операционнойсистемой при обоих вариантах этой настройки, но если во время установкиWindows вы указали, каким образом нужно действовать, то уже не можете изменитьсвое решение (если только не хотите снова установить эту операционную систему).Загрузка операционной системыВо время установки программа установки Windows Server 2003 поместила данные впервый сектор первичного (primary) раздела вашего компьютера (загрузочный сек-

Глава 5. Загрузка 165тор). Эти данные содержатся в главной загрузочной записи (MBR), и она содержитисполняемые инструкции на компьютере х86. Кроме исполняемых инструкций MBRсодержит также таблицу, в которой имеется до четырех записей, определяющихместоположение первичных разделов на диске. Программа установки также копируетв корневую папку загрузочного диска два файла, которые инициируют последовательностьзагрузки Windows Server 2003 (Ntldr и Ntdetect.com), а также помещаетв эту папку файл Boot.ini, содержащий опции загрузки. (См. ниже раздел «О файлеBoot.ini».)Содержимое таблиц разделовMBR содержит таблицу разделов, в которой может быть не более четырех записей,поскольку на одном жестком диске можно создать не более четырех первичных разделов.Но вы можете использовать большее число логических дисков за счет использованиядополнительных (extended) разделов. Дополнительные разделы допускаютвложенность, поэтому теоретически вы можете иметь на компьютеренеограниченное число логических дисков.Каждый раздел имеет свою таблицу раздела, содержащую следующие поля.Флаг загрузки (логическое значение «загрузочный/не загрузочный раздел»).Начальная сторона.Начальный цилиндр.Начальный сектор.Указатель системы (указывает тип файловой системы).Конечная сторона.Конечный цилиндр.Конечный сектор.Относительные секторы.Количество секторов.Примечание. Если загрузочный сектор, который будет использоваться для WindowsServer 2003, был ранее отформатирован для DOS (сюда же относятся системыWindows 9x), то программа установки копирует содержимое этого загрузочного секторав файл bootsect.dos и помещает его в корневую папку загрузочного диска. Этопозволяет осуществлять двойственную загрузку с Windows 9x.Исполняемый код MBRВ качестве последнего шага процесса загрузки BIOS ваш компьютер считывает главнуюзагрузочную запись (MBR) в память и затем передает управление исполняемомукоду этой MBR. Этот исполняемый код ищет в таблице первичный раздел, флагкоторого указывает, что этот раздел является загрузочным. Когда код MBR находитпервый загрузочный раздел, он считывает первый сектор этого раздела, которыйявляется загрузочным сектором.Файлы загрузки Windows Server 2003 находятся в системном разделе, а файлыоперационной системы находятся в загрузочном разделе:• Системный раздел содержит связанные с оборудованием файлы, которые тре-

166 Windows Server 2003. Полное руководствобуются для загрузки Windows Server 2003, включая MBR. На машинах х86 этодолжен быть первичный раздел, который помечен как активный. Это всегда диск0, поскольку именно к этому диску обращается BIOS для переключения процессазагрузки на MBR.• Загрузочный раздел содержит файлы операционной системы, то есть папку%SystemRoot%. Файлы поддержки %SystemRoot%\System тоже должны находитьсяв загрузочном разделе.Примечание. Обычно системный раздел и загрузочный раздел совпадают, хотя этоне является обязательным требованием.Исполняемые файлы загрузки Windows Server 2003Код загрузочного сектора считывает Ntldr в память для запуска процесса загрузкиоперационной системы. Ntldr содержит доступный только по чтению код NTFS иFAT. Он начинает работать в реальном режиме, и его первой задачей является переключениекомпьютера в определенную форму защищенного режима. Этот первыйвариант защищенного режима не может выполнять преобразования из физическогов виртуальное состояние, поскольку это средство становится доступно по окончаниизагрузки операционной системы.Вся физическая память доступна операционной системе, и компьютер действуеткак 32-битная машина. Ntldr активизирует страничный обмен и создает таблицыстраниц. Затем Ntldr считывает файл Boot.ini из корневой папки, и, если требуется,выводит на монитор меню выбора загружаемой операционной системы. Если Ntldrотсутствует или повреждена, вы увидите следующее сообщение об ошибке:Ntldr is missing (Ntldr отсутствует)Press CTL+ALT+DEL to restart (Нажмите CTL+ALT+DEL для перезагрузки)Как раз это делать не нужно; вы снова запустите тот же цикл, и в конце появитсято же сообщение. Вы должны заменить Ntldr. Загрузитесь с загрузочной дискеты(см. ниже раздел «Создание загрузочной дискеты»).• Если нет Ntldr, скопируете ее с этой дискеты в корневую папку загрузочногодиска (обычно это С:).• Если Ntldr есть на жестком диске, то, видимо, она запорчена. Для ее замены выдолжны сначала изменить атрибут «read-only».Если у вас нет загрузочной дискеты, вы должны запустить программу установкиWindows Server 2003 (Setup) с компакт-диска и затем выбрать вариант Repair. Информациюпо восстановлению отказавшей операционной системы см. в гл. 26.Меню выбора загружаемой операционной системыЕсли на компьютере активизирована двойственная загрузка, то появляется меню,содержащее список доступных для загрузки операционных систем. Если пользовательне выбрал конкретную операционную систему до истечения заданного промежуткавремени, то запускается операционная система по умолчанию (обычно этоWindows Server 2003).

Глава 5. Загрузка 167Совет. Как только вы нажали клавишу со стрелкой, перемещающую вас среди вариантоввыбора, отсчет времени прекращается, что позволяет вам не торопясь выбратьнужный вариант.Запуск NtdetectNtldr запускает Ntdetect.com. Ntdetect запрашивает в BIOS информацию об устройствахи конфигурации. Информация, которую собирает Ntdetect, передается в реестри помещается в подразделы внутри HKEY_LOCAL_MACHINE\Hardware\Description.В случае проблемы Ntdetect (файл отсутствует или поврежден), возможно, непоявится никакого сообщения об ошибке. Просто может остановиться процесс загрузки.В таких случаях нужно заменить Ntdetect.com. Используйте для загрузки своегокомпьютера загрузочную дискету и скопируйте Ntdetect с этой дискеты в корневуюпапку своего жесткого диска.Запуск Ntoskrnl и загрузка HALПосле того как Ntdetect завершает процедуры проверки оборудования, управлениепроцессом загрузки операционной системы снова передается Ntldr, которая запускаетNtoskrnl.exe и загружает HAL.dll (оба файла находятся в папке %SystemRoot%\System32).Ntoskrnl.exe содержит подсистему ядра и исполнительные подсистемы. Это основнойфайл для компонента режима ядра Windows Server 2003. Он содержитExecutive, Kernel, Cache Manager, Memory Manager, Scheduler, Security ReferenceMonitor и т.д. Ntoskrnl.exe - это как раз тот файл, который реально запускает WindowsServer 2003.Чтобы оборудование могло взаимодействовать с операционной системой,Ntoskrnl.exe требуется HAL.dll, где содержится код, позволяющий осуществлять этовзаимодействие (HAL - Hardware Abstraction Layer - Уровень абстрагирования оборудования).Иногда может возникать сообщение об ошибке, указывающее проблемуNtoskrnl.exe, но чаще всего это «ложная» ошибка, вызываемая тем, что папка, котораяуказана в Boot.ini, не совпадает с именем папки, в которую были установленысистемные файлы Windows Server 2003. Это обычно означает, что кто-то переименовалпапку %SystemRoot% или создал новую папку и переместил в нее файлыWindows Server 2003. Переместите файлы назад в папку, указанную в Boot.ini. (Правда,это может также означать, что кто-то редактировал файл Boot.ini, и тогда вамнужно внести исправления в этот файл.)Загрузка драйверов и службЗатем Ntldr загружает низкоуровневые системные службы и драйверы устройств,но службы не инициализируются - это происходит позже. Это конец последовательностиавтозагрузки (boot sequence), после чего начинается последовательностьзагрузки (load sequence), или фаза ядра. Ntldr имеет определенный порядок загрузкисистемных служб и драйверов устройств. При установке Windows Server 2003 на вашкомпьютер копируются не только те драйверы, которые соответствуют вашему обо-

168 Windows Server 2003. Полное руководстворудованию. Каждый драйвер, известный любому программисту Microsoft, имеет своюзапись в реестре. Откройте реестр и перейдите в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services. Вы увидите очень большой список служб и драйверовустройств. Выберите любой подраздел и посмотрите элемент данных типаREG_DWORD с именем Start. Эта запись имеет шестнадцатеричное значение и заканчиваетсячислом в круглых скобках. Именно это число задает для Ntldr порядокзагрузки.• Значение (0) указывает, что данная служба загружается на этапе загрузки ядра.• Значение (1) указывает, что данная служба загружается на этапе инициализацииядра (следующая фаза).• Значение (2) указывает, что данная служба загружается на этапе загрузки служб.• Значение (3) указывает, что данная служба активизируется (enable), но не инициализируется(для нее требуется ручной запуск, который вы осуществляете воснастке Services).• Значение (4) указывает, что данная служба не активизируется.Загрузка операционной системыNtoskrnl.exe начинает загружать операционную систему. Инициализируется ядроWindows Server 2003, загружаются и инициализируются подсистемы, обеспечиваяработу базовых систем, которые требуются для выполнения задачи загрузки операционнойсистемы. Инициализируются драйверы, загруженные ранее с помощьюNtldr, после чего следует инициализация остальных драйверов и служб.При инициализации драйверов первого уровня вы можете столкнуться с проблемой- обычно в форме STOP или «синего» экрана. Это почти всегда происходитво время первой автозагрузки после того, как вы обновили какой-либо драйвер.Ntoskrnl инициализирует этот драйвер, и операционная система останавливается.Используйте меню Advanced Options, чтобы использовать вариант Last KnownGood Configuration (Загрузка последней удачной конфигурации), см. ниже раздел«Меню Advanced Options (Меню дополнительных вариантов загрузки)». Затем используйтеболее подходящий драйвер от изготовителя или вернитесь к предыдущемудрайверу.Если нет ошибки драйвера, то начинают действовать ядро и исполнительныесистемы Windows Server 2003. Подсистема Session Manager Subsystem (Smss.exe) создаетсреду пользователя. Выполняется проверка реестра, и загружаются остальныедрайверы и программы, которые требуется загрузить. Ядро загружает Kernel32.dll,Gdi32.dll и User32.dll, которые обеспечивают службы Win32 API, требующиеся клиентскимпрограммам.Вход компьютера в доменВо время загрузки ядра и инициализации драйверов компьютер выполняет вход вдомен. Используя свою учетную запись (уникальное имя и собственный пароль),компьютер открывает защищенный канал (иногда называемый «чистым» каналом)с контроллером домена. Все это происходит до того, как становятся доступны средствавхода пользователя.Учетные записи компьютеров используются между клиентскими компьютерами,рядовыми серверами и контроллерами домена. Внутри каждого домена происходятодни и те же действия между несколькими контроллерами домена. Компью-

Глава 5. Загрузка 169теры используют защищенный канал для обмена информацией, которая необходимадля функций аутентификации и авторизации. Учетные записи компьютеров повышаютуровень безопасности вашей сети, гарантируя, что компьютер, отправляющийважную информацию, действительно является членом домена.В качестве дополнительной меры безопасности компьютеры (как и пользователив сетевой конфигурации, где требуются средства безопасности) должны периодическиобмениваться паролями. По умолчанию в Windows Server 2003 период сменыпароля составляет 30 дней. Когда наступает момент смены пароля, компьютергенерирует новый пароль и отправляет его ближайшему контроллеру домена череззащищенный канал (доступ к которому осуществляется с помощью старого пароля).После этого данный компьютер для доступа к защищенному каналу должениспользовать новый пароль.Соответствующий контроллер домена обновляет свою базу данных и сразу реплицируетизменение пароля этого компьютера на другие контроллеры данного домена.Пароли учетных записей компьютеров помечаются как события AnnounceImmediately (Объявить сразу), то есть они не должны ждать следующей плановой репликации.Иногда это вызывает существенное снижение производительности сети. Еслимногие (или все) компьютеры домена имеют пароли, срок действия которых истекаетв один день, то работа, которую должны немедленно выполнить контроллерыдомена, может замедлить выполнение других важных задач контроллеров домена(таких как аутентификация пользователей или выполнение репликаций по расписанию).Еще хуже ситуация с контроллером, который предоставляет определенныеуслуги (например, действуя как сервер DNS).Примечание. В случае модернизации Windows Server 2003 из Windows NT вы получаетесущественное улучшение по сравнению с Windows NT, где срок действия паролейпо умолчанию составлял 7 дней, а не 30 дней. До Service Pack 4 for NT фирмаMicrosoft даже не предоставляла средства и разделы реестра, чтобы вы могли вноситьизменения в пароли компьютеров.С другой стороны, вы можете посчитать, что значения по умолчанию для передачипо защищенным каналам являются в вашей ситуации недостаточно жесткими,и повысить уровень защиты в этой части (хотя это может повлиять на производительность).Windows Server 2003 позволяет вам изменять настройки политик безопасностидля управления паролями компьютеров. Вы можете изменять настройки для паролейкомпьютеров на уровне домена, организационной единицы (OU) или отдельногокомпьютера (хотя это не принято, поскольку вы не добьетесь повышения производительности,конфигурируя компьютеры по отдельности).Изменение настроек паролей компьютеров для доменови организационных единицЧтобы изменить настройки паролей для учетных записей компьютеров в доменеили организационной единице (OU), выполните следующие шаги.1. На контроллере домена откройте Active Directory Users and Computers и щелкнитеправой кнопкой на объекте-домене или объекте-OU.2. Выберите в контекстном меню пункт Properties и перейдите во вкладку GroupPolicy.

170 Windows Server 2003. Полное руководство3. В случае домена выберите Default Domain Policy (Политика домена по умолчанию)и щелкните на кнопке Edit.4. В случае OU щелкните на кнопке New и затем щелкните на кнопке Edit (если выуже добавили какую-либо групповую политику, выберите ее и щелкните на кнопкеEdit).5. Раскройте дерево консоли до уровня Computer Configuration\WindowsSettings\Security Settings\Local Policies\Security Options.В правой панели выберите политику, которую хотите использовать, чтобы изменитьконфигурацию для учетных записей компьютеров. Для компьютеров, которыене являются контроллерами домена, используются опции с пометкой DomainMember (Рядовой член домена); для контроллеров домена используются опции спометкой Domain Controller (Контроллер домена), см. рис. 5.1.t* Group Policy Object Editor£fc it lion View t|»lc.-> EJ та ;•? C3,Jf New Group Policy Object [server-li.ivens^E'S Computer Configurationip Software SettingsШ fWindows SettingsScripts (Startup/Shutdown] \Security Settings$гШ Account PoliciesВ -Щ Local Policiesjjljjj Audit Policy&• Л User Rights Assignmei|[jl-JJEventLogp RestrictedGroups IЩ1-Ш System Servicesф-Ш Registry@Ш Fie System Iф Wireless Network (IEEE eOPublic Key PolicesфИЗ Software Restriction PoliciШ'Ш IP Security Policies on Ac|||TPoky • I Poky Senna -lJ| Audit: Audit the access of global system objectsNot Defined___ jAudit Audit the use of Backup and Restore privilegeЩ Audit: Shut down system immediately if unable to log security...Devices: Allow undock without having to log onDevices: Allowed to format and eject removable media^Devices: Prevent users from installing printer driversevices: Restrict CD-ROM access to locally logged-on user...evices: Restrict floppy access to locally logged-on user onlyevices: Unsigned driver installation behaviorЩ Domain controller: Allow server operators to schedule tasks'omain controller: LDAP server signing requirementslomain controller: Refuse machine account password chan...^{Domain member: Digitally encrypt or sign secure channel dat...Domain member: Digitally encrypt secure channel data (whe...Not DefinedNot DefinedNot DefinedNot DefinedNot DefinedNot DefinedNot DefinedNot DefinedNot DefinedNot DefinedNot DefinedNot DefinedNot Defined^ omain member: Disable machine account password changes Not DefinedЩ Domain member: Maximum machine account password age Not DefinedDomain member: Require strong (Windows 2000 or later] set... Not Defined;Рис. 5.1. Имеется несколько политик для изменения того, как происходит работа спаролями и защищенными каналами в учетных записях компьютеровКомпьютеры с двойственной загрузкой и пароли компьютеровВ случае использования двойственной загрузки какого-либо компьютера вы должнызнать, что система Windows «видит» каждую установку операционной системыкак отдельный компьютер с отдельной учетной записью компьютера. При каждойустановке генерируется ее собственный уникальный пароль.Вы должны создавать уникальное имя компьютера для каждой версии Windowsна компьютере с двойственной загрузкой. В противном случае комбинация имя/пароль не сработает, когда компьютер попытается создать защищенный канал длявхода в домен.

Политики для рядовых компьютеровГлава 5. Загрузка 171Имеется несколько групповых политик для изменения настроек учетных записейрядовых компьютеров и способа их взаимодействия с контроллером домена.Digitally Encrypt or Sign Secure Channel Data (Always) [Шифровать или подписывать цифровымспособом данные защищенного канала (всегда)]. Эта политика не включена поумолчанию, но если у вас есть компьютеры в какой-либо OU или имеется отдельныйкомпьютер, для которого вы хотите активизировать эту политику, дважды щелкнитена этой политике и выберите селективную кнопку Enable. Активизироватьэту политику почти никогда не требуется, поскольку политика Digitally encrypt orsign secure channel data (when possible) включена по умолчанию (см. ниже). Преждечем включить политику, при которой шифрование данных происходит всегда, нужноучесть следующие факты.• Данные входа, передаваемые через защищенный канал, шифруются всегда, дажеесли весь остальной трафик через этот защищенный канал не шифруется.• Трафик защищенного канала, управляемый этой политикой, это только трафик,инициируемый рядовым компьютером домена.• Вы можете включить эту политику, только если все контроллеры этого доменаработают под управлением Windows NT 4 Service Pack, начиная с версии 6.• Если вы включите эту политику, то политика Digitally sign secure channel data(when possible), см. ниже, считается включенной (независимо от ее настройки).Digitally Encrypt or Sign Secure Channel Data (When Possible) [Шифровать или подписыватьцифровым способом данные защищенного канала (когда это возможно)]. Эта политика,включенная по умолчанию, указывает, что компьютер должен пытатьсяосуществлять шифрование для всего трафика, который он инициирует через защищенныйканал. Если контроллер домена поддерживает шифрование всего трафиказащищенного канала (на контроллерах домена под управлением Windows NT 4.0Service Pack, начиная с версии 6, поддерживается шифрование), то шифруется весьтрафик. Если контроллер домена не поддерживает шифрование всего трафика, тошифруется только информация входа, передаваемая через защищенный канал.Я не думаю, что имеется обоснованная причина, чтобы отключать эту политику.Это не только существенно снизит уровень безопасности вашей сети, но также можетпротиворечить приложениям, использующим защищенный канал, посколькудля многих вызовов API в приложениях для Windows Server 2003/Windows 2000 требуетсяшифрование или подпись данных, передаваемых через защищенный канал.Digitally Sign Secure Channel Data (When Possible) [Подписывать цифровым способом данныезащищенного канала (когда это возможно)]. Эта политика, включенная по умолчанию,указывает, что компьютер пытается осуществлять подписание для всего трафика,который он инициирует через защищенный канал. Если контроллер доменаподдерживает подписание трафика защищенного канала (это верно для контроллеровдомена под управлением NT4 SP6 или выше), то подписывается весь трафик.Подписание отличается от шифрования в том, что шифрование предназначенодля защиты данных, передаваемых через защищенный канал, от прочтения постороннимилицами, а подписание - для защиты от подделки этих данных постороннимилицами.Disable Machine Account Password Changes (Отключить изменения пароля учетной записикомпьютера). Эта политика отключена по умолчанию. (Меня раздражают поли-

172 Windows Server 2003. Полное руководствотики, которые начинаются со слова Disable, то есть при их включении происходитотключение каких-то свойств.) Если включить эту политику, то вы отключаете защиту,которая обеспечивается за счет изменений паролей, поскольку вы указываете,что компьютеры не должны изменять свои пароли. Это означает, что хакер, подобравшийспособ взлома пароля, получает постоянный доступ к даннымзащищенного канала, которые инициируются компьютером.Некоторые администраторы включают эту политику, если какой-либо компьютерне получает доступ в домен. В любом случае это компьютер с двойственной загрузкой,и администратор не осознал, что для каждой установки Windows требуетсяуникальное имя компьютера, чтобы создать учетную запись компьютера (см. вышев этой главе).Maximum Machine Account Password Age (Максимальный срок действия пароля учетнойзаписи компьютера). Дважды щелкните на этой политике, чтобы изменить период,после которого создается новый пароль. Эта политика помечена «not defined» (неопределена), но на самом деле для нее определен срок в 30 дней. Чтобы изменитьинтервал между изменениями пароля, выберите Define the Policy Setting (Определитьзначение для политики) и задайте новый интервал в днях.Вы можете использовать эту политику для снижения нагрузки на контроллерыдомена. В большинстве случаев это не требуется (или не рекомендуется), но есливы развернули новый домен Windows Server 2003, то возможна ситуация, когда всекомпьютеры, выполняющие вход в этот домен, имеют одинаковую дату смены пароля.Для большинства моих клиентов это означало бы, что сотни компьютероводновременно уведомляют контроллер домена о новом пароле, после чего следуетнемедленная репликация каждого пароля на другие контроллеры домена. А ведьдля многих из вас количество компьютеров может исчисляться тысячами.Совет. Чтобы снизить нагрузку на контроллер домена, имеет смысл вносить это изменениена уровне организационной единицы (OU), задавая различные интервалыдля различных OU.Require Strong (Windows 2000 or Later) Session Key [Требуется ключ сеанса с сильнымшифрованием (Windows 2000 или выше)]. Эта политика, отключенная по умолчанию,указывает, что для шифрования данных защищенного канала требуется 128-битныйключ шифрования. Вы можете включить эту настройку, только если все контроллерыдомена работают под управлением Windows 2000 или Windows Server 2003.Политика для контроллера доменаВ случае контроллеров домена имеется только одна политика для конфигурированиятрафика через защищенный канал: Refuse machine account password changes (Отклонятьизменения паролей учетных записей компьютеров). Эта политика отключенапо умолчанию, если включить ее, то контроллеры домена будут отказыватьсяпринимать изменения паролей учетных записей компьютеров. Я не знаю какойлибопричины для включения этой политики (и непонятно, зачем эта политика представленав редакторе объектов Group Policy, но, возможно, у каких-то администраторовимеется некоторая странная проблема, требующая включения этой политики).Задание политик паролей для отдельных компьютеровВы можете внести изменения в любую политику отдельного рядового компьютераWindows Server 2003 с помощью следующих шагов.

Глава 5. Загрузка 1731. Откройте Local Security Policy (Локальная политика безопасности) из менюAdministrative Tools.2. Раскройте дерево консоли до Local Policies\Security Options.3. В правой панели выберите политику рядового члена домена (Domain member),которую хотите изменить для данного компьютера.а > й-в. с?SecuritySetingsШ Account Policie3 ОЭ Local Policies4$• Ш Usei Rights Assignmentф13 РиЫс'Кеу Policies""Soltwae Restriction PokeslpSecurity Policies on Local ComputerЩ Domain member Digital enaypt a sign secure channel data (always] Enabled£S>] Domain member: Digital encrypt secure channel data (when possible) Enabled^Domain member: Digitally sign secure channel data (when possibte) Enabled£2] Domain member: Disable machine account password changes DisabledDomainmember:Requirestrong (Windows2000or later]sessionkey DisabledМ*ГАГЫР \nnnn Пп nnf Hienl.au bet iK-ansm*Загрузка служб входаНа следующем шаге запуска операционной системы подсистема Win32 запускаетпрограмму Winlogon.exe, которая выводит на экран окно входа и загружает LocalSecurity Authority (Lsass.exe).Начинается процесс входа, поэтому в диалоговом окне Log On To Windows (Началосеанса работы с Windows) нужно ввести имя и пароль. Если не возникает никакихошибок, то система осуществляет ваш вход и вы можете приступить к работе.На этом заканчивается загрузка Windows Server 2003.О файле Boot.iniСодержимое экранного меню (если оно появится) определяется файлом Boot.ini.Однако в этом файле определяются не только варианты выбора для пользователей.Этот файл является важным элементом управления процессом загрузки операционнойсистемы.Содержимое Boot.iniBoot.ini - это текстовый файл, содержащий информацию, необходимую для выполненияпроцесса загрузки. Вы можете редактировать этот файл в любом текстовомредакторе (этот файл является скрытым и доступен только по чтению, поэтомувы должны изменить соответствующие атрибуты, чтобы можно было сохранить вашиизменения, и не забудьте снова изменить эти атрибуты по окончании редактирования).Как и в любом .ini-файле, каждая секция этого файла содержит заголовок в прямоугольныхскобках. Информация этого файла создается во время установки операционнойсистемы и конкретно представляет данный компьютер. Файл содержитдве секции:• [boot loader]• [operating systems]

174 Windows Server 2003. Полное руководствоСекция [boot loader] содержит значение тайм-аута и путь к загружаемой по умолчаниюоперационной системе. Значение тайм-аута - это время (в секундах), в течениекоторого пользователь может сделать выбор в экранном меню. По умолчаниюэто значение равно 30 секундам, и пользователь видит на экране обратный отсчетвремени (до 0). Если пользователь не смог сделать выбор в течение этого времени,то загружается заданная по умолчанию операционная система.Вы можете указать другую операционную систему по умолчанию и изменитьдлительность тайм-аута без редактирования файла Boot.ini.1. Откройте апплет System в панели управления (Control Panel); можно также щелкнутьправой кнопкой на My Computer и выбрать пункт Properties.2. Перейдите во вкладку Advanced.3. В секции Startup And Recovery (Загрузка и восстановление) щелкните на кнопкеSettings (Параметры), чтобы внести изменения в полях для ОС по умолчанию(Default operating system) и времени, в течение которого меню будет представленона экране (Time to display list of operating systems), см. рис. 5.2.Рис. 5.2. В случае двойственнойзагрузки вы можете изменитьпараметры для меню загрузки17 Гипе to display list or operating systems: | 30 т] secondsГ T«v,e to 'Ji-;pl>y '«overy options *Ып r^Ttitd |~ ^To кЯ the startup optrens fJe manualy. M Ш.EdJSystem f jJ'j'e - - • ;(7 ijr:r,v«:s;v.- : ; :;u;.:,:K, svrf ; :.--f'vi ' " Si: ," ":P;P Automatical testart«•t«.tet"jyriif.g Wijnrjfw -ICompletememorydumpPump file:| %SystemRoot%\MEMO17 Qytmrbe vtf e>Ktln~] cancel j'Примечание. Если установлена только одна операционная система и вы не загрузилипредварительно Recovery Console (Консоль восстановления), то Windows Server2003 не выводит это меню.В секции [operating systems] задаются пути к операционным системам, установленнымна данном компьютере. На компьютерах х86 каждый путь вводится в егособственной строке. Формат этой информации определяется спецификациями ARC(Advanced Risk Computing).Текстовые строки в кавычках задают текст, который выводится в пунктах экранногоменю. Ниже приводится пример файла Boot.ini, автоматически помещен-

Глава 5. Загрузка 175ного в корневую папку на загрузочном диске во время установки Windows Server2003 на новом диске.[boot loader]timeout=30default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]multi(0)disk(0)rdisk(0)partition(1 )\WINDOWS="Windows Server 2003" /fastdetectARC-путь для компьютеров х86На компьютерах х86 имеются две структуры, доступные для ARC-пути, - строка,которая начинается с multi(), или строка, которая начинается со scsi():гдеmulti(A)disk(B)rdisk(C)partition(D)\scsi(A)disk(B)rdisk(C)partition(D)\• А - порядковый номер адаптера (первый адаптер 0, и он должен быть адаптеромдля загрузки).• В - параметр для диска, и он используется только с синтаксисом scsi().• С - порядковый номер для диска, подсоединенного к адаптеру.• D - номер раздела, начиная с 1 (в отличие от адаптеров и дисков, нумерациякоторых начинается с 0).Использование параметров А, В, С и D для синтаксиса multi() отличается отсинтаксиса scsi(), см. следующие разделы.Синтаксис multi()Для компьютеров х86 синтаксис multi() отличается от синтаксиса scsi(). Синтаксисmulti() указывает Windows, что загрузка системных файлов должна зависеть от BIOSданного компьютера. Это означает, что данная операционная система используетвызовы INT 13 BIOS для поиска и загрузки Ntoskrnl.exe и любых других файлов,необходимых для загрузки операционной системы. В ранних версиях Windows NTсинтаксис multi() действовал только для дисков IDE и ESDI, но, начиная с версииWindows NT 3.5, этот синтаксис можно также использовать для дисков SCSI, еслиустройство SCSI сконфигурировано для использования вызовов INT 13 BIOS.Вы можете использовать синтаксис multi() для запуска Windows на любом диске,если такие диски идентифицируются посредством стандартного интерфейса INT13. Но поскольку поддержка вызовов INT 13 варьируется среди контроллеров дискови поскольку большинство системных BIOS могут идентифицировать только одинконтроллер диска с помощью INT 13, то реально синтаксис multi() можно использоватьдля запуска Windows только с первых двух дисков, подсоединенных к первичному(primary) контроллеру диска (или с первых четырех дисков, если у вас имеетсядвухканальный контроллер EIDE).• В системе с интерфейсом IDE синтаксис multi() можно применять максимум кчетырем дискам (максимальное количество дисков, допустимых по первичномуи вторичному каналам двухканального контроллера).• В системе, где используется только интерфейс SCSI, синтаксис multi() действуеттолько для первых двух дисков контроллера SCSI, который загружается первымво время загрузки.

176 Windows Server 2003. Полное руководство• В смешанной системе (SCSI и IDE) синтаксис multi() действует только для первыхдвух дисков IDE, подсоединенных к первому контроллеру IDE.Используя пояснения к параметрам выше в этом разделе, можно уточнить спецификуARC-пути при использовании синтаксиса multi().• А - порядковый номер адаптера (первый адаптер 0, и он должен быть адаптеромдля загрузки).• В - всегда равен 0, поскольку в синтаксисе multi() используются вызовы INT 13и не используется информация параметра disk().• С - порядковый номер для диска, подсоединенного к адаптеру (число от 0 до 3 взависимости от количества дисков на этом адаптере).• D - номер раздела, начиная с 1 (в отличие от адаптеров и дисков, нумерациякоторых начинается с 0).Синтаксис scsi()Для компьютеров х86 обычно используют синтаксис scsi(), если Windows Server 2003загружают с устройства SCSI. Синтаксис scsi() указывает Windows Server 2003, чтодля доступа к загрузочному разделу нужно загружать и использовать драйвер устройства.Для компьютера х86 таким драйвером является Ntbootdd.sys, помещаемыйв корень системного раздела во время установки (это переименованная копия драйвераустройства для конкретного адаптера).Примечание. Для RISC-компьютеров драйвер встроен в программно-аппаратноеобеспечение (firmware). Я отмечаю это как интересный технический факт, но в нашемслучае это не имеет значения, поскольку Windows Server 2003 работает толькона компьютерах х86.Ниже приводится специфика ARC-пути при использовании синтаксиса scsi() накомпьютере х86.• А - порядковый номер адаптера, связанного с драйвером Ntbootdd.sys.• В - идентификатор SCSI для соответствующего диска.• С - логический номер устройства (LUN) SCSI. Поскольку это может быть отдельныйдиск, в большинстве конфигураций SCSI имеется только один LUN наодин идентификатор SCSI.• D - номер раздела.Если у вас несколько контроллеров SCSI, для каждого из которых используетсясвой драйвер устройства, то значение А соответствует контроллеру, связанному сдрайвером Ntbootdd.sys. Во время установки Windows Server 2003 диск, подсоединенныйк одному из этих контроллеров, определяется как загрузочный диск. Программаустановки копирует драйвер для этого контроллера в корневую папку системногораздела, изменяя имя драйвера на Ntbootdd.sys.Технически вы не обязаны использовать синтаксис scsi() для дисков SCSI, кромеслучаев, когда выполняется одно из двух следующих условий (оба условия препятствуютиспользованию вызовов INT 13 BIOS).• BIOS отключена на контроллере, подсоединенном к диску, на котором установленаWindows Server 2003.• Загрузочный раздел начинается с 1024-го цилиндра диска или выходит за егопределы.

Глава 5. Загрузка 177Но даже если ваш диск SCSI может работать с вызовами INT 13 BIOS, предпочтительноиспользовать синтаксис scsi(), который вызывает использованиеNtbootdd.sys для продолжения запуска операционной системы.Синтаксис signature()В Windows Server 2003 синтаксис signature() поддерживается в записи ARC-пути файлаBoot.ini. Этот синтаксис может быть использован при выполнении одного из следующихусловий.• Раздел, в котором устанавливается Windows Server 2003, больше 7.8 Гб, или номерконечного цилиндра для этого раздела больше 1024.• Диск, на котором вы устанавливаете Windows Server 2003, подсоединен к контроллеруSCSI, у которого отключена BIOS (вызовы INT 13 BIOS не могут бытьиспользованы во время загрузки).Синтаксис signature() технически одинаков с синтаксисом scsi(), но он используетсядля поддержки архитектуры Plug and Play, имеющейся в Windows Server 2003.При использовании синтаксиса signature() Ntldr ищет диск, сигнатура которого указаназначением в круглых скобках, даже если этот диск подсоединен к контроллеруSCSI с другим номером. Это важно, если вы добавляете контроллеры SCSI.Значение, которое помещается в скобки, берется из главной загрузочной записи(MBR) физического диска, и это уникальное шестнадцатеричное число. Это значениезаписывается в MBR во время работы программы установки в текстовом режиме.Как и в случае синтаксиса scsi(), для синтаксиса signature() требуется, чтобыопределенный драйвер SCSI, переименованный в Ntbootdd.sys, находился в корневойпапке вашего диска.Поправки в Boot.iniВы можете внести улучшения в процесс загрузки, изменяя записи в файле Boot.ini.Изменение длительности тайм-аутаЧаще всего в файле Boot.ini изменяют длительность тайм-аута с 30 секунд на меньшеезначение. (Вы можете также изменить это значение в апплете System панелиуправления, как это описано выше в разделе «Содержимое Boot.ini».)Внимание. Иногда пользователи задают значение тайм-аута 0, чтобы компьютер автоматическизагружал заданную по умолчанию операционную систему. Это не рекомендуетсяне только потому, что вы теряете возможность загрузки предыдущейоперационной системы (если она имеется), но и потому, что вы не можете нажатьклавишу F8 для вызова на экран меню дополнительных вариантов загрузки, используемыхдля устранения проблем.В отличие от Windows NT вы не можете сделать длительность тайм-аута «бесконечной»,чтобы меню оставалось на экране, пока пользователь не сделает выбор.Если изменить длительность тайм-аута на -1, это значение игнорируется. При следующейзагрузке восстанавливается предыдущее значение длительности.Но, если вы нажмете в течение периода тайм-аута любую клавишу, кроме клавишиEnter (или используете клавишу со стрелкой для выделения другой строкименю), то меню будет оставаться на экране, пока вы не сделаете свой выбор.

178 Windows Server 2003. Полное руководствоКак сделать, чтобы меню появлялось на экранеЕсли у вас нет двойной загрузки или вы еще не установили на своем компьютереRecovery Console (Консоль восстановления), то не появится никакого меню, посколькуWindows Server 2003 будет загружаться автоматически. Если вам нужен доступк меню Advanced Options, то вы должны нажать клавишу F8 в промежутке междуокончанием этапа POST и началом загрузки Windows Server 2003. Это оченьнебольшой интервал, чтобы успеть нажать клавишу F8 для вызова меню AdvancedOptions. Я видел пользователей, которые не успевали это сделать несколько раз подряд,выключая компьютер для повторения попытки.Для пользователей, которым обязательно требуется легкий доступ к менюAdvanced Options, вы можете «заставить» Windows Server 2003 выводить меню загрузкивместе с сообщением, что для вызова меню Advanced Options нужно нажатьклавишу F8. Для этого вам нужно всего лишь создать вторую запись (фиктивныйвариант выбора), чтобы система Windows предполагала, что пользователь имеет возможностьвыбора.Для компьютера, который загружает только Windows Server 2003, файл Boot.iniможет выглядеть, например, следующим образом:[boot loader]timeout=30default=multi(0)disk(0)rdisk(0)partition( 1 )\WINDOWS[operating systems]multi(0)disk(0)rdisk(0)partition(1 )\WINDOWS="Windows Server 2003" /fastdetectИспользуйте следующие шаги для изменения файла Boot.ini таким образом, чтобына экране появлялось меню загрузки.1. Измените атрибуты Boot.ini таким образом, чтобы снять атрибут read-only, этопозволит вам записать свои изменения (по окончании восстановите этот атрибут).2. Выделите и скопируйте последнюю строку, после чего выполните вставку вследза последней строкой.3. Удалите любые ключи (в данном случае /fastdetect).4. Измените текст внутри кавычек (то есть текст, который появляется на экране),чтобы не запутать пользователя. Например, «Не обращайте внимания на этоттекст, выберите вариант Windows .NET для загрузки ОС».5. При желании измените значение тайм-аута вверху файла, чтобы увеличить илиуменьшить интервал, после которого происходит автоматический запуск WindowsServer 2003.6. Сохраните изменения.Теперь при каждой загрузке компьютера будет появляться меню загрузки, чтопозволит вам легко вызывать меню Advanced Options, если это потребуется.Параметры Boot.iniВы можете добавлять ключи (параметры) в строках файла Boot.ini. Ниже приводятсянаиболее распространенные параметры.• /BASEVIDEO. Вынуждает систему загружаться в 16-цветном режиме VGA с разрешением640x480.• /BAUDRATE=NNNN. Задает скорость в бодах для порта отладки. По умолчаниюскорость для этого порта составляет 19200 бод, но для дистанционной от-

Глава 5. Загрузка 179ладки через модем предпочтительнее использовать скорость 9600. При использованиипараметра /BAUDRATE автоматически используется параметр /DEBUG./BOOTLOG. Указывает запись журнала процесса загрузки в файл%SystemRoot%\Ntbtlog.txt. Файл журнала содержит список драйверов, которыезагрузились или не загрузились во время этого процесса./CRASHDEBUG. Активизирует СОМ-портдля отладки при отказе Windows Server2003 (ошибка STOP), но позволяет вам продолжать использование этого СОМпортадля обычных операций с модемом./DEBUG. Активизирует отладчик ядра для выполнения дистанционной отладкив реальном масштабе времени через СОМ-порт./DEBUGPORT-COMX. Выбор СОМ-порта как порта отладки. По умолчаниюдля порта отладки используется COM2 (если он существует). Если COM2 не существует,то по умолчанию используется СОМ1./FASTDETECT. Указывает Ntdetect не проверять параллельные и последовательныепорты, предоставляя выполнение этой задачи драйверам Plug and Play.Microsoft утверждает, что этот параметр автоматически добавляется в файлеBoot.ini к строке, которая указывает загрузку Windows Server 2003, если у васимеется возможность двойственной загрузки с предыдущей версией Windows.Однако этот параметр обычно добавляется на компьютерах, которые не содержатпредыдущей версии любой операционной системы и не имеют двойственнойзагрузки./INTAFFINITY. Указывает для многопроцессорного HAL (Halmps.dll) задание«родственности» прерываний таким образом, чтобы прерывания поступали толькона процессор с самым большим номером в симметричной мультипроцессорнойсистеме (SMP). По умолчанию многопроцессорный HAL разрешает получатьпрерывания всем процессорам./NODEBUG. Отключает отладчик. Это ускоряет процесс загрузки, но если у васвыполняется код, содержащий жестко запрограммированное отладочное прерывание,появится «синий» экран./NOGUIBOOT. Прекращает инициализацию видеодрайвера VGA, который отвечаетза представление растровой графики во время процесса загрузки. Этотдрайвер используется для отображения на экране индикатора хода процесса вовремя загрузки, и что более важно, отображает «синий» экран (Blue screen ofDeath), поэтому его отключение отключает также способность Win2K делать этивещи./NOSERIALMICE:COMX. Отключает проверку порта мыши для указанногоСОМ-порта. Это полезно, если ваш ИБП (UPS) подключен к СОМ1, и вы нехотите, чтобы операционная система проверяла этот порт для мыши (см. врезку«Когда нужно блокировать проверки последовательных портов»)./РАЕ. Используется, чтобы NTLDR загружала ntkrnlpa.exe. Эта программа поддерживаетверсию ядра х86, которая поддерживает преимущества РАЕ (IntelPhysical Address Extensions), даже когда компьютер имеет не больше 4 Гб физическойпамяти. (РАЕ позволяет компьютеру х86 иметь до 64 Гб физической памяти,но операционная система должна быть специальным образом кодирована,чтобы использовать память сверх предела 4 Гб, который является стандартомдля компьютеров х86.) Версия РАЕ ядра Windows Server 2003 предоставляет 64-битные физические адреса драйверам устройств, поэтому данный параметр полезендля тестирования драйверов устройств, предназначенных для компьютеровс большой памятью.

180 Windows Server 2003. Полное руководство• /NOPAE. Используется, чтобы NTLDR загружала версию ядра, не поддерживающуюРАЕ, даже если компьютер содержит больше 4 Гб RAM и может поддерживатьРАЕ.• /NOLOWMEM. Действует, только если используется параметр РАЕ и компьютерсодержит больше 4 Гб физической памяти. Этот параметр указывает поддерживающейРАЕ версии ядра Win2K (ntkrnlpa.exe), что не нужно использоватьпервые 4 Гб физической памяти. Вместо этого она должна загружать все приложенияи драйверы устройств, а также выделять все пулы памяти выше этой границы.Используйте этот параметр, только если тестируете драйверы устройствна совместимость с компьютерами, имеющими большую память.• /SOS. Указывает загрузчику, чтобы он выводил на экран имена загружаемыхмодулей.Когда нужно блокировать проверки последовательных портовNtdetect.com ищет во время загрузки устройство указания (обычно мышь). Именнопоэтому вы можете менять порты для мыши (если используете последовательнуюмышь), прежде чем включать компьютер, и затем система Windows сама найдет нужныйпорт, что избавляет вас от необходимости входа в панель управления (ControlPanel) для изменения конфигурации подключения мыши. Чтобы сделать это,Ntdetect.com отправляет данные в последовательные порты. Если последовательнаямышь найдена, Windows отключает данный порт, чтобы загрузить и использоватьдрайвер для мыши (напомним, что никакое приложение не может использоватьданный порт для получения прямого доступа к оборудованию в многозадачнойоперационной системе).Иногда на этот запрос отвечает модем, и Ntdetect, предполагая, что это мышь,отключает данный порт и загружает драйвер мыши. Это нарушает ваши планы, есливы хотите использовать модем.Иногда на информацию запроса отвечает ИБП (UPS), подсоединенный к последовательномупорту (для выполнения программы завершения работы компьютера),что может вызвать серьезные проблемы: ИБП воспринимает последующее отключениепорта как сигнал ожидаемой потери мощности и запускает свою процедурузавершения работы компьютера, либо отключение порта блокирует средства ИБП,используемые для автоматического завершения работы компьютера.Если вы не используете последовательную мышь и у вас возникают проблемыустройств, подсоединенных к последовательным портам, используйте параметр /NOSERIALMICE в своем файле boot.ini.Скрытие меню вариантов загрузкиВы можете скрыть элементы экранного меню. Например, если компьютер имеетдвойную загрузку, но вы хотите, чтобы все пользователи (кроме вас) имели толькоодин вариант, то можете скрыть другие варианты.Чтобы сделать недоступными элементы меню, добавьте строку [любой текст] втом месте, где хотите заканчивать действие меню файла Boot.ini. Например, нижеприводится файл Boot.ini, где пользователям запрещен доступ к Windows 2000 Serverна компьютере с двойной загрузкой Windows Server 2003 и Windows 2000.

Глава 5. Загрузка 181[boot loader]timeout=30default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]multi(0)disk(0)rdisk(0)partition(1 )\WINDOWS="Windows Server 2003" /fastdetect[любой текст]multi(0)disk(0)rdisk(0)partition(1 )\WINDOWS="Windows 2000 Server"Если вы хотите разрешить доступ к строкам ниже строки [любой текст], простоудалите эту строку. И не забудьте изменить атрибуты файла Boot.ini, сняв атрибутread-only, прежде чем сохранять этот файл.Меню Advanced Options(Меню дополнительных вариантов загрузки)При возникновении какой-либо проблемы загрузки операционной системы запуститеснова свой компьютер и на этот раз используйте меню Advanced Options, длявызова которого нужно нажать клавишу F8.Если появится какое-либо меню, обратите внимание, что внизу экрана появитсястрока «For troubleshooting and advanced startup Options for Windows 2000, press F8» (Дляустранения проблем и дополнительных вариантов загрузки нажмите клавишу F8).Если не появляется никакого меню (потому что компьютер выполняет автоматическуюзагрузку Windows Server 2003), вы можете нажать F8 по окончании этапаPOST (самотестирование при включении питания).При нажатии F8 появляется меню со следующими вариантами выбора, которыепомогают пользователю устранить проблему, не позволяющую выполнить нормальнуюзагрузку.Safe Mode (Безопасный режим)Safe Mode With Networking (Безопасный режим с сетевой поддержкой)Safe Mode With Command Prompt (Безопасный режим с поддержкой команднойстроки)Enable Boot Logging (Активизировать журнал загрузки)Enable VGA Mode (Включить режим VGA)Last Known Good Configuration (Загрузка последней удачной конфигурации)Directory Services Restore Mode (Режим восстановления служб каталога - толькодля контроллеров доменов)Debugging Mode (Отладочный режим)Start Windows Normally (Обычная загрузка Windows)Reboot (Перезагрузка)Return to OS Choises Menu (Возврат в меню выбора операционных систем)Примечание. Если для установки Windows Server 2003 вы использовали RIS (RemoteInstall Services), то могут появиться дополнительные варианты выбора, связанные сRIS.Используйте клавиши со стрелками для выбора нужного варианта в этом менюи нажмите клавишу Enter.

182 Windows Server 2003. Полное руководствоSafe Mode (Безопасный режим)Лучшей частью режима Safe Mode является то, что он разрешает вам доступ ко всемвашим дискам независимо от используемой файловой системы. Если этот режимработает, то вы можете внести изменения в конфигурацию, позволяющие устранитьпроблему. Например, обычно режим Safe Mode используется для того, чтобыудалить новый установленный драйвер, который не работает должным образом, илиотменить изменения в схеме конфигурирования, которые не позволяют выполнитьнормальную загрузку. Имеются три следующих варианта Safe Mode.• Safe Mode. Загрузка только базовых файлов и драйверов, необходимых толькодля запуска операционной системы: мышь, монитор, клавиатура, ЗУ, базовыесредства видео и используемые по умолчанию системные службы.• Safe Mode With Networking. Добавляет сетевую поддержку (драйверы сетевыхадаптеров), хотя это не подходит в случае сетевых адаптеров PCMCIA.• Safe Mode With Command Prompt. Переводит систему в текстовый режим вместообычного графического режима (GUI). Используйте этот вариант в случае проблемыexplorer.exe (но не Windows Explorer [Проводник] - графической оболочки,которая запускается программой explorer.exe). Вы можете выполнять из команднойстроки всевозможные задачи, включая открытие окна GUI (если вызнаете имя файла, открывающего это окно). Если оболочка explorer.exe работаетправильно (или вы заменяете ее, работая в текстовом режиме), то вы можетеоткрыть ее и использовать последовательность Start | Shut Down, чтобы перезагрузитькомпьютер. В противном случае для перезагрузки компьютер введитекоманду shutdown или нажмите CTL+ALT+DEL, чтобы открыть диалоговое окноWindows Security и выбрать вариант Shut Down.Примечание. Использование любого из вариантов Safe Mode вызывает запись журналав файл %SystemRoot%\Ntbtlog.txt. См. ниже раздел «Enable Boot Logging (Активизироватьжурнал загрузки)».Enable Boot Logging (Активизировать журнал загрузки)При выборе этого варианта Windows Server 2003 создает файл журнала(%SystemRoot%\Ntbtlog.txt). В этом файле выводится список всех драйверов - загруженныхи не загруженных. Ниже приводится небольшая часть типичного файлажурнала Ntbtlog.txt (кстати, это файл в кодировке Unicode).Loaded driver \WINDOWS\system32\ntoskrnl.exeLoaded driver \WINDOWS\system32\hal.dllLoaded driver \WINDOWS\system32\KDCOM.DLLLoadeddriver\WINDOWS\system32\BOOTVID.DLLLoaded driver ACPI.sysLoaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYSLoaded driver pci.sysLoaded driver isapnp.sysLoaded driver viaide.sysLoaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYSLoaded driver MountMgr.sysLoaded driver ftdisk.sys

Глава 5. Загрузка 183Loaded driver dmload.sysLoaded driver dmio.sysLoaded driver PartMgr.sysLoaded driver VolSnap.sysLoaded driver atapi.sysLoaded driver disk.sysLoaded driver Ntfs.sysDid not load driver \SystemRoot\System32\Drivers\Changer.SYSEnable VGA Mode (Включить режим VGA)Это вариант, знакомый пользователям Windows NT 4, используется для запускаWindows Server 2003 с использованием базового драйвера VGA. Используйте этотвариант, если вы установили новый видеодрайвер для своей видеокарты, и этот драйверне работает (что становится очевидным при следующей загрузке, когда операционнаясистема пытается войти в графический режим). Базовый видеодрайвер -этот тот же драйвер, который используется при запуске Windows Server 2003 в одномиз вариантов Safe Mode. Замените драйвер и затем перезагрузите компьютер.Last Known Good Configuration(Загрузка последней удачной конфигурации)Используйте этот вариант для запуска Windows Server 2003 с настройками реестра,которые были сохранены при последнем нормальном завершении работы. Этот вариантне позволяет разрешить проблемы, вызванные отсутствующими или поврежденнымидрайверами, но он полезен для разрешения проблем, вызванных изменениямиконфигурации в вашем последнем сеансе. Эти изменения отменяются, чтообычно требуется в данной ситуации.Windows использует реестр, чтобы определить и загрузить последнюю удачнуюконфигурацию, которая была записана в реестр после хорошей (успешной) загрузки.Термин «удачная» (good) означает, что, все системы работали, и пользовательуспешно выполнил вход.Записи реестра, которые используются операционной системой для ее загрузки,содержатся в наборе разделов реестра со словами ControlSet в именах этих разделов.Во время процесса загрузки Windows Server 2003 читает раздел ControlSet, чтобыполучить информацию об оборудовании, установленном на компьютере, а также осистемных службах, необходимых для загрузки операционной системы.Подраздел System в HKEY_LOCAL_MACHINE содержит три управляющих набора,доступных системе Windows Server 2003 во время загрузки: ControlSetOOl,ControlSet002 и CurrentControlSet. Каждый из этих разделов имеет одинаковую структуруподразделов.В реестре имеется даже отдельный раздел, который помогает вам определить, кчему относится каждый их управляющих наборов и для чего он используется:HKEY_LOCAL_MACHINE\System\Select.

184 Windows Server 2003. Полное руководство• Registry EditorF3f Ed!View FavoriteHelpa LJ SYSTEMфтр Controls etOO1l$MiJ Controls et002&-£j Cur.entControlSetHH| MountedDevicesГЬп'efautt)Щ CurrentЩ| DefaultJHi FailedLastKnownGood. 'i сJj"H^.fe' H> tY 11 irAl_MACHINE\SY$TEM\SetaREG_S2REG_DW0RDREG_DW0RDREG_DW0RDREG_DW0RD(value not set)0x00000001 11)0x00000001(1)0x00000000(0)0x00000002(2)Информация в подразделе Select показывает, что ControlSetOOl иCurrentControlSet идентичны: все значения совпадают. CurrentControlSet - это дубликатControlSetOOl, чтобы приложениям не нужно было определять, какой из нумерованныхControlSet используется для загрузки.• Элемент данных Current представляет управляющий набор, который был использовансистемой Windows Server 2003 во время загрузки для текущего сеанса.• Элемент данных Default представляет управляющий набор, который будет использоватьсясистемой Windows Server 2003 при ее следующей загрузке, и это тотже набор, который используется на данный момент.• Элемент данных LastKnownGood представляет управляющий набор, которыйбудет использоваться системой Windows Server 2003, если вы выберете вариантзагрузки Last Known Good Configuration.• Элемент данных Failed указывает управляющий набор, в котором Windows Server2003 сохраняет данные из неудачной загрузки. Этот управляющий набор не существует,пока пользователь не обратится к варианту загрузки Last Known GoodConfiguration.После каждой успешной загрузки операционная система копирует данные изCurrentControlSet и ControlSetOOl в ControlSet002. Затем, когда вы вносите измененияв конфигурацию, они записываются в CurrentControlSet и ControlSetOOl. Если неудается выполнить следующую загрузку, то при использовании варианта Last KnownGood Configuration Windows Server 2003 использует данные из ControlSet002, представляющиесостояние вашей системы на момент последней успешной загрузки.Изменения в реестре после использования вариантаLast Known Good ConfigurationЕсли вы посмотрите подразделы System после использования варианта Last KnownGood Configuration, то увидите, каким образом Windows Server 2003 работает с измененнымиуправляющими наборами.Ы' Registry Editor:bFJe: : . ::: EcSt y.i- ШШШ £] Controls et003К _J CurrentControlSet1 1 i-23 MountedDevices1 i !"€ЭВВИi {", JSetup: i ffiia WRAACl HKEYUSERS•1 1AJNar,e-JdlCefau»Ла CurrentЩ DefaultpFafledЩ LastKnownGoodWjiComr-, ; ! • .STEMNSeled•!TyfflREG_SZREG_DW0RDREG_DWORDREG.DWORDBEG_DWORD. . ._|O|x|! Data ••: ,>: =: :S:li(value not set)0x00000002(2)0x00000002(2)0x00000001(1)0x00000003(3)jИ

Глава 5. Загрузка 185Появится новый подраздел с управляющим набором, ControlSet003, - на тотслучай, если вы должны снова использовать Last Known Good Configuration. WindowsServer 2003 перемещает устойчивый работающий управляющий набор «последнейуспешной загрузки» на одну ступень ниже. Если вы вносите изменения в конфигурацию,надеясь на этот раз установить все правильно (в отличие от предыдущегораза) и новые изменения тоже не позволяют выполнить загрузку, то у вас есть взапасе этот устойчивый управляющий набор. Если вы продолжаете использоватьвариант Last Known Good Configuration и вносить изменения в конфигурацию, которыене позволяют устранить проблему, то система Windows Server 2003 создаетнужное количество управляющих наборов, чтобы вам всегда был доступен набор споследней удачной конфигурацией.Directory Services Restore Mode(Режим восстановления служб каталога)Этот вариант доступен только для контроллеров домена, и он восстанавливает состояниесистемы для контроллера домена, включая папку %SystemRoot%\Sysvol (гдехранятся открытые файлы домена, которые реплицируются между контроллерамидомена) и Active Directory.Debugging Mode (Отладочный режим)Используйте этот вариант для запуска Windows Server 2003 и передачи отладочнойинформации на другой компьютер через последовательный кабель. Это полезно принеобходимости слежения за процессом загрузки с другого компьютера.Создание загрузочной дискетыЕсли один из файлов, который загружался раньше в процессе загрузки операционнойсистемы (Ntldr, Ntdetect.com или Boot.ini), отсутствует или поврежден, вы неможете вывести меню Advanced Options, чтобы устранить проблемы своей системы.Чтобы справиться с этой ситуацией, вы можете использовать загрузочную дискету,созданную специально для вашего экземпляра Windows Server 2003.Создание загрузочной дискеты из вашей собственнойсистемыЕсли вы понимаете, насколько это важно, то создадите загрузочную дискету, кактолько ваша установка Windows Server 2003 заработает (без ошибок). К сожалению,пользователи редко следуют этому совету и не думают о необходимости загрузочнойдискеты, пока не возникнет какая-либо проблема загрузки. Но если вы все жепланируете свои действия заранее, то выполните эту задачу следующим образом.1. Поместите гибкий диск в дисковод.2. Откройте My Computer или Windows Explorer и щелкните правой кнопкой наобозначении гибкого диска.3. Выберите в контекстном меню пункт Format и отформатируйте гибкий диск,используя параметры по умолчанию.

186 Windows Server 2003. Полное руководство4. Скопируйте следующие файлы из корневой папки вашего жесткого диска на дискету.• Ntdetect.com• Ntldr• Boot.ini• Ntbootdd.sys (если он существует)Проверьте дискету путем перезагрузки операционной системы.Примечание. Ntbootdd.sys существует, только если у вас имеется какая-либо системаSCSI. Это ваш драйвер SCSI (переименованный).Создание загрузочной дискеты на другом компьютереWindows Server 2003Если у вас нет загрузочной дискеты, и не проходит загрузка, то вы можете создатьтакую дискету на другом компьютере, работающем под управлением Windows Server2003 и имеющем такую же файловую систему (NTFS, FAT или FAT32).1. Выполните описанные выше шаги для создания загрузочной дискеты.2. Откройте файл Boot.ini и убедитесь, что его содержимое соответствует конфигурациивашего компьютера. Если нет, то используйте информацию раздела «Офайле Boot.ini» (см. выше), чтобы внести соответствующие изменения.3. Если у вас другой контроллер SCSI, найдите файл с подходящим драйвером ископируйте его на дискету. Удалите файл Ntbootdd.sys, скопированный с компьютера,на котором вы создали эту дискету, и затем переименуйте этот драйверSCSI в Ntbootdd.sys.4. Если на исходном компьютере используется контроллер IDE, а на вашем компьютере- контроллер SCSI, используйте Notepad (Блокнот), чтобы изменитьсоответствующие данные в файле Boot.ini, и затем скопируйте нужный драйверSCSI на дискету и переименуйте его в Ntbootdd.sys.5. Если на исходном компьютере используется контроллер SCSI, а на вашем компьютере- контроллер IDE, используйте Notepad, чтобы изменить соответствующиеданные в файле Boot.ini, и удалите файл Ntbootdd.sys, если скопировалиего с исходного компьютера.Проверьте эту загрузочную дискету на своем компьютере.Создание загрузочной дискеты на компьютере,работающем под управлением другой версии WindowsЕсли вы не можете найти другой компьютер, работающий с той же версией WindowsServer 2003, то можете создать загрузочную дискету на другом компьютере, работающемпод управлением Windows NT 4 или более поздней версии (включая клиентскиеверсии Windows). Вам потребуется компакт-диск Windows Server 2003 или доступк разделяемой точке сети, где содержатся установочные файлы Windows Server2003. Затем выполните следующие шаги.1. Отформатируйте гибкий диск, используя параметры по умолчанию.

Глава 5. Загрузка 1872. На CD или в разделяемой сетевой папке выделите Ntldr и Ntdetect.com.3. Щелкните правой кнопкой и выберите Send То | 3 1/2 Floppy (А) [Отправить |Диск 3,5 (А)]4. Если ваш компьютер имеет контроллер SCSI, скопируйте соответствующий драйверна дискету и переименуйте этот файл в Ntbootdd.sys.5. Используйте как модель файл Boot.ini и измените его содержимое в соответствиис конфигурацией вашего компьютера. Помните, что вы должны заменитьссылку WINNT на Windows, поскольку Windows Server 2003 использует Windowsкак имя папки для системных файлов.Создание «быстрого» файла Boot.iniВ аварийной ситуации достаточно, чтобы файл Boot.ini только загружал WindowsServer 2003, поэтому вам не нужно беспокоиться о каждой строке этого файла соссылками на другую операционную систему, даже если ваш компьютер сконфигурировандля двойственной загрузки. Вот пример такого файла:[boot loader]timeout=30default=scsi(0)disk(0)rdisk(0)partition( 1 )\VVindows[operating systems]scsi(0)disk(0)rdisk(0)partition(1 )\Windows="Windows Server 2003"Если ваш компьютер загружается с жесткого диска IDE, замените scsi(O) наmulti(O).Совет. Текст, который вы помещаете в кавычках, не обязательно должен совпадатьс исходным текстом файла Boot.ini на вашем компьютере: это текст, который выводитсяв меню. Он не влияет на то, как Windows ищет загрузочные файлы.

Глава 6Интерфейс пользователяWindows Server 2003Пользовательский интерфейс, который вы видите, открывая в первый раз WindowsServer 2003, является «симбиозом» Windows 2000 и Windows XP, хотя он понятнее инесколько эффективнее, чем в этих версиях. Но если вы переходите к Windows Server2003 из Windows NT, то интерфейс выглядит и действует по-новому. В этой главе мырассмотрим интерфейс Windows Server 2003 и его исключительные возможностиконфигурирования.Первая загрузкаПри первой нормальной загрузке Windows Server 2003 (в отличие от перезагрузок,которые происходят во время установки этой системы) вы обратите внимание натри вещи: неполное диалоговое окно входа, полноэкранное окно Manage Your Serverи видеонастройки, которые кажутся примитивными.Первый входКогда вы выполняете первый вход, появляется диалоговое окно Welcome to Windows(Добро пожаловать в Windows), где указывается, что вы должны ввести последовательностьдля системы безопасности Windows (CTRL+ALT+DELETE), чтобы начатьработу. Следующее диалоговое окно Log On To Windows (Начало сеанса работыс Windows) содержит только поля для вашего имени входа и пароля. Отсутствуетполе, где вы можете выбрать между входом на локальный компьютер или в домен.Если вы сконфигурировали сетевые настройки во время установки, то щелкнитена кнопке Options (Параметры) в этом диалоговом окне, чтобы появилось третьеполе, Log On To (Вход в), и затем используйте раскрывающийся список, чтобы выбратьдомен, в который вы хотите выполнить вход. Если вы не задали сетевые настройкиво время установки, то у вас не будет никаких вариантов входа в домены:вы сможете выполнить вход только на свой локальный компьютер (см. следующийраздел).Присоединение к доменуДля входа в какой-либо домен компьютер должен иметь учетную запись в этом домене.Подобно пользовательским учетным записям учетная запись компьютера -это средство для аутентификации доступа компьютера к сети и к ресурсам в домене.Как и любая пользовательская учетная запись, учетная запись каждого компьютерадолжна быть уникальной. Учетные записи компьютеров можно создавать в доменедвумя способами.

Глава 6. Интерфейс пользователя Windows Server 2003 189• Администратор добавляет учетную запись компьютера в домен с помощью оснасткиActive Directory Users and Computers.• Пользователь с правами присоединения компьютера к домену выполняет вход вдомен с компьютера и создает учетную запись этого компьютера в процессе входа.Чтобы присоединить компьютер к домену, выполните следующие шаги.1. Щелкните правой кнопкой на My Computer (Мой компьютер) и выберите в контекстномменю пункт Properties.2. Перейдите во вкладку Computer Name (Имя компьютера).3. Щелкните на кнопке Change (Изменить), чтобы открыть диалоговое окноComputer Name Changes (Изменения в имени компьютера).4. Выберите Domain (Домен) и введите имя домена. (Вы можете ввести NetBIOSимяили FQDN [полностью уточненное имя домена].)5. Щелкните на кнопке ОК.Появится диалоговое окно, где запрашивается ваше имя входа и пароль. Этоимя входа должно существовать в указанном домене. Если имя данного компьютерауже существует в этом домене, то ваше имя входа в домен должно иметь достаточныеправа, чтобы присоединить заранее заданную учетную запись компьютера кдомену. Если имени данного компьютера еще нет в домене, то ваше имя входа вдомен должно иметь достаточные права, чтобы создать учетную запись компьютера.Все необходимые права имеют члены группы Administrators на локальном компьютереи члены группы Domain Admins в домене. Через несколько секунд (а иногдаи дольше) вы увидите диалоговое окно Welcome to Имя_домена.Интерфейс, используемый для локальныхили доменных имен входаОписанный выше процесс определяет, с каким интерфейсом вы будете работать вWindows Server 2003. Даже при входе на локальный компьютер и в домен с одинаковымименем входа вы используете различные учетные записи. В Windows различаютсялокальные учетные записи и учетные записи компьютеров. Например, многиеадминистраторы выполняют первый вход в Windows Server 2003, используя учетнуюзапись Administrator. Затем, присоединяя данный компьютер к домену, они сноваиспользуют учетную запись Administrator (обычно с другим паролем), чтобы с уверенностьюприсоединить компьютер к домену.Windows Server 2003 создает две отдельные учетные записи в этом сценарии: однудля локального имени и одну для доменного имени. При настройке этого интерфейсасоответствующие значения сохраняются в профиле зарегистрированной учетнойзаписи. Здесь действуют два правила.• Если вы осуществляете вход на локальный компьютер и вносите изменения внастройки конфигурации, то вы не увидите этих изменений, когда выполнитевход в домен с помощью того же имени (и наоборот).• В папке Documents and Settings имеется отдельная подпапка для каждого экземпляраимени входа (одна для локального имени и одна для доменного имени).Окно Manage Your ServerОкно Manage Your Server открывается в полноэкранном режиме при каждой загрузкекомпьютера, пока вы не установите флажок Don't Display This Page at Logon (He

190 Windows Server 2003. Полное руководствопоказывать эту страницу при входе); этот флажок находится в нижнем левом углу.Вы можете использовать это окно, чтобы выбрать роль для данного компьютераили удалить какую-либо роль данного компьютера. Эти шаги выполняются с помощьюмастеров, и конкретные сведения по конфигурированию различных ролей приводятсяв соответствующих разделах этой книги.Настройки видеоПосле первой загрузки видеонастройки кажутся примитивными: значки больше вразмерах и не такие четкие, как вам нужно. Хотя система Windows Server 2003 находитваш видеоконтроллер и драйвер, она загружает те же видеонастройки (низкогоуровня), которые использовала при установке. Однако система «знает» это. Почтисразу же во время первой загрузки появляется следующее сообщение: «Your computerscreen resolution and color depth are currently set to a very low level. You can get a betterpicture by increasing these settings. To do this click this balloon» (Разрешение экрана иглубина цвета вашего компьютера заданы сейчас на очень низком уровне. Вы можетеулучшить качество изображений, увеличив эти значения. Чтобы сделать это,щелкните на этом сообщении).После щелчка появится диалоговое окно Display Settings (Параметры экрана) ссообщением, где запрашивается, хотите ли вы, чтобы система Windows автоматическискорректировала разрешение экрана и глубину цвета. Щелкните на кнопкеYes, чтобы повысить разрешение и глубину цвета. В большинстве случаев Windowsзадает разрешение, которое несколько ниже максимального разрешения вашегоконтроллера, но задает максимальные поддерживаемые настройки цветов. Вы можетеизменять настройки видео нужным вам образом после того, как это сделаетWindows. Для этого щелкните на пустом месте рабочего стола и выберите пунктProperties. Затем используйте вкладку Settings (Параметры) диалогового окна DisplayProperties (Свойства: Экран), чтобы внести изменения.Рабочий столПо умолчанию рабочий стол содержит только Корзину (Recycle Bin) и панель задач.Фон представлен светло-голубым цветом без каких-либо изображений, характерныхдля Windows XP.В Windows Server 2003, как и в клиентской системе Windows XP, для конфигурированияинтерфейса можно использовать темы. Тема (официальное название «темарабочего стола» - desktop theme) - это набор заранее определенных компонентовинтерфейса, включая:Значки (Icon)Шрифты (Font)Цвета (Color)Звуки (Sound)Указатели мыши (Mouse pointers)Заставка (Screen saver)Элементы Windows (линейки заголовков, шаблоны и т.д.)Вы можете изменять существующие темы или создавать свои собственные темы.Если вы администратор (или имеете определенные административные права), томожете разработать тему и сделать ее темой компании для всех компьютеров WindowsServer 2003 в вашей организации. Это легко осуществить, поскольку темы представ-

Глава 6. Интерфейс пользователя Windows Server 2003 191лены файлами, которые можно копировать и даже передавать по электронной почтеи затем устанавливать. Кроме того, темы, разработанные в Windows Server 2003,можно использовать на компьютерах Windows XP (и наоборот).Включение службыThemesПрежде чем работать с темами, вы должны включить службу Themes, которая отключенапо умолчанию в Windows Server 2003. Для этого выполните следующие шаги.1. Откройте оснастку Services из меню Administrative Tools.2. Дважды щелкните на Themes (Темы).3. Выберите тип Automatic (Автоматически) из списка Startup (Запуск) и щелкнитена кнопке Apply (Применить), в результате чего станет доступна кнопка Start.4. Щелкните на кнопке Start, чтобы запустить эту службу.5. После запуска службы щелкните на кнопке ОК.Вы можете также выбрать тип Manual (Вручную) из списка Startup и запуститьэту службу, но при каждой загрузке компьютера вам придется запускать эту службувручную, если потребуется работать с темами.Переход на другие темыВ Windows Server 2003 темой по умолчанию является Windows Classic, и в отличие отдругих версий Windows здесь не предлагается слишком много тем для выбора. Новы можете перейти к другой теме во вкладке Themes диалогового окна DisplayProperties, используя одно из следующих средств в раскрывающемся списке.• Имя_темы. Имеющаяся тема.• Browse. Открывает диалоговое окно Open Theme (Открыть тему). По умолчаниюэто диалоговое окно открывается в папке Program Files, но вы можете переходитьна своем компьютере к нужному файлу темы, который получили с другогокомпьютера через в сети или из Интернет.• More themes online. Открывает Internet Explorer и позволяет перейти на сайтMicrosoft, где вы можете приобрести дополнение (add-on) Windows, включающееграфические файлы. Щелкните на ссылке Themes в левой части этого окна,чтобы решить, подходят ли вам эти темы.Изменение темВы можете изменить любой компонент в теме по своему вкусу. Модифицируя тему,вы должны сохранить ее как новую тему под другим (уникальным) именем. Если несделать этого, то она автоматически сохраняется под именем Modified Theme. Ноесли выбрать в дальнейшем другую тему, то имя Modified Theme исчезнет, и вы несможете перезагрузить его.Не все изменения в теме приводят к созданию новой Modified Theme, посколькуследующие компоненты действуют независимо от темы.• Выбор заставки (Screen saver), включая вариант None (Нет).• Все опции вкладки Settings.• Добавление, удаление или изменение значков рабочего стола (щелкните на кнопкеCustomize Desktop [Настройка рабочего стола] вкладки Desktop диалоговогоокна Display Properties).

192 Windows Server 2003. Полное руководство• Изменения, которые вы вносите в апплетах Mouse (Мышь) и Sounds and AudioDevices (Звуки и аудиоустройства).Для внесения изменений в компоненты тем используйте диалоговое окно DisplayProperties. Закончив модифицирование компонентов, щелкните на кнопке Save As(Сохранить как) во вкладке Themes, чтобы сохранить эти новые настройки конфигурациив виде темы. По умолчанию Windows Server 2003 сохраняет темы в папкеMy Documents.Удаление темВы можете удалять любые темы за исключением системных тем. Чтобы удалить какую-либотему, сохраненную вами после модификации или полученную вами, выберитеэту тему в раскрывающемся списке Themes и затем щелкните на кнопкеDelete.Меню StartИнтерфейс меню Start (Пуск) тоже обновился в серверных продуктах Windows. Этодвухпанельный интерфейс, аналогичный меню Start Windows XP, но он более эффективен,поскольку предназначен для управления сервером и сетью. Как видно изрисунка 6.1, это меню администратора! На верхнем уровне иерархии меню Startимеется непосредственный доступ к меню Administrative Tools и к окну команднойстроки (Command Prompt), чтобы вам не нужно было проходить через последовательностьвложенных меню.Рис. 6.1. Важные средстваадминистратора вызываютсяодним щелчкомManage Your Server' < / Windows ExplorerCommandPromptI}* Control p.m. I'•.mstrahveToolsV*&f • • • 'j Printersand fetes'-*S> :• ; ! iandSupportЕсли вы хотите, то можете вернуться к меню Classic Start (Классическое меню«Пуск»), которое описывается ниже в разделе «Включение классического меню Start».

Глава 6. Интерфейс пользователя Windows Server 2003 193Левая панель меню StartЛевая панель меню Start разделена на три части двумя горизонтальными линиями.• Названия программ в верхней части «закреплены» (pin) в этом меню, и вы можетезакреплять здесь любые нужные вам приложения. Microsoft заранее закрепляетManage Your Server и Windows Explorer.• Названия программ под верхней линией — это недавно использовавшиеся программы(для вашего удобства Microsoft заранее вносит сюда Command Prompt иNotepad [Блокнот]).• Под нижней линией находится ссылка All Programs, действующая аналогичноссылке Programs в предыдущих версиях Windows.Закрепление программ в меню StartДля доступа с помощью щелчка к вашим часто используемым программам вы можетезакрепить ссылки на эти программы в верхней части меню Start. Чтобы максимальноупростить эту задачу, в Windows Server 2003 имеется новая команда контекстногоменю, которая появляется при щелчке правой кнопкой на исполняемомфайле: Pin To Start Menu (Закрепить в меню «Пуск»).Вы можете удалять записи закрепленных программ, щелкнув правой кнопкойна соответствующей записи и выбрав пункт Unpin (Изъять из меню «Пуск»). Чтобыизменить порядок программ в этом списке, перетащите нужную программу в новуюпозицию.Вы можете также поместить вверх меню Start записи для Internet Explorer иOutlook Express. Выполните для этого следующие шаги.1. Щелкните правой кнопкой на кнопке Start и выберите пункт Properties, чтобыоткрыть вкладку Start Menu диалогового окна Taskbar and Start Menu Properties(Свойства рабочего стола и меню «Пуск»).2. Щелкните на кнопке Customize (Настроить), чтобы открыть диалоговое окноCustomize Start Menu (Настройка меню «Пуск»).3. В секции Show on Start Menu (Отображать в меню «Пуск») установите флажокInternet и/или E-mail (Электронная почта), чтобы поместить ссылки на InternetExplorer и Outlook Express в меню Start.4. Два раза щелкните на кнопках ОК.Эти ссылки не закрепляются (по крайней мере, формально), поскольку в их контекстныхменю не появляется команда Unpin. Для удаления этих ссылок вы можетеиспользовать один из следующих способов.• Использовать предыдущие шаги и сбросить соответствующий флажок или флажки.• Щелкнуть правой кнопкой на соответствующей записи и выбрать пункт RemoveFrom This List (Удалить из этого списка).Список часто используемых программПо мере открытия программ Windows помещает соответствующие записи в нижнююполовину левой панели. (Формально его называют списком часто используемыхпрограмм, но большинство из нас называют его просто списком программ.)Для вашего удобства Windows заранее помещает туда Command Prompt и Notepad.Вы можете удалить любую запись, щелкнув на ней правой кнопкой и выбрав пунктRemove From This List.7 - 3994

194 Windows Server 2003. Полное руководствоИзменение максимального количества программ, включаемых в список. По умолчаниюWindows Server 2003 отображает в этом списке шесть программ и заменяет егозаписи именами новых вызываемых программ. Заранее включенные записи не заменяютсяновыми вызываемыми программами, поэтому вы ограничены фактическичетырьмя записями. Чтобы изменить максимальное количество записей, используйтеследующие шаги.1. Щелкните правой кнопкой на кнопке Start и выберите пункт Properties, чтобыоткрыть вкладку Start Menu диалогового окна Taskbar and Start Menu Properties.2. Щелкните на кнопке Customize, чтобы открыть окно Customize Start Menu.3. Задайте максимальное количество программ в меню Start.4. Два раза щелкните на кнопках ОК.Очистка списка программ. В диалоговом окне Customize Start Menu имеется такжекнопка Clear List (Очистить список). Щелкните на этой кнопке, чтобы удалить изсписка все программы, включая программы, первоначально помещенные в этотсписок системой Windows Server 2003.Использование значков в списке программ. Следует отметить две вещи относительнозначков, которые появляются в списке программ. Во-первых, объекты, которыепредставлены в нем, действуют буквально: если вы открываете приложение, щелкаяна ярлыке рабочего стола, его название появляется как Shortcut to Имя_Программывместо Имя_Программы. Во-вторых, среди команд меню, которое вызываетсящелчком правой кнопки для этих объектов, имеется пара действительно полезныхкоманд: Pin To Start Menu и Run As (Запуск от имени).Если вы хотите сделать более простым меню Start, щелкните правой кнопкой напрограммах, которые вы часто используете, и выберите пункт Pin To Start Menu,чтобы они постоянно находились вверху левой панели. Затем задайте равным нулюмаксимальное количество программ для списка часто используемых программ. Есливы хотите еще более упростить меню Start, переместите записи для всех часто используемыхпрограмм в панель QuickLaunch (Быстрый запуск).Команда Run As очень полезна для административных задач, поскольку для множествазадач, выполняемых вами на сервере, требуются административные права.Вход на сервер (или другой компьютер) с помощью учетной записи Administrator -не слишком подходящий способ, а команда Run As позволяет вам делать это безнеобходимости выхода и повторного входа.Правая панель меню StartПравая панель меню Start содержит ссылки, команды и различные меню, и все этодоступно для настройки. Чтобы сделать меню удобными, в правую панель включеныважные программы и системные средства, представляющие свое содержимое, когдавы указываете на них. Это чрезвычайно упрощает работу с любым апплетом панелиуправления (Control Panel) или открытие любой оснастки для администрирования.Чтобы внести изменения в содержимое правой панели, выполните следующие шаги.1. Щелкните правой кнопкой на кнопке Start и выберите пункт Properties, чтобыоткрыть вкладку Start Menu диалогового окна Taskbar and Start Menu Properties.2. Щелкните на кнопке Customize, чтобы открыть окно Customize Start Menu.3. Перейдите во вкладку Advanced (Дополнительно) и выберите или отключите опции,как вам это требуется.4. Два раза щелкните на ОК.

Глава 6. Интерфейс пользователя Windows Server 2003 195Включение классического меню StartЕсли вам сложно привыкнуть к новым принципам меню Start, то можете перейти кболее привычному интерфейсу классического меню Start. Для этого щелкните правойкнопкой на кнопке Start и выберите пункт Properties. В диалоговом окне Taskbarand Start Menu Properties выберите Classic Menu (Классическое меню «Пуск»).После щелчка на кнопке ОК и следующем щелчке на кнопке Start вы увидите,что меню Start выводится в однопанельной версии, которую вы использовали в предыдущихверсиях Windows. Но это еще не все. Чтобы полностью вернуться к прежнемувиду, на рабочий стол добавляются следующие значки.• My Documents• My Computer• My Network Places• Internet ExplorerКроме того, активизируется кнопка Customize для меню Classic Start. Щелкнитена ней, чтобы открыть диалоговое окно Customize Classic Start Menu (Настройкаклассического меню «Пуск»), где вы можете добавлять, удалять и модифицироватьобъекты этого меню.cancustwfceyou a*tby idlingorToremovetecords of•axe^M'idoaer

196 Windows Server 2003. Полное руководствоОбласть уведомленийWindows Server 2003 управляет областью уведомлений по-новому, ограничивая количествовидимых значков, чтобы не переполнять панель задач. Вы можете, однако,настраивать поведение области уведомлений (см. ниже «Управление областьюуведомлений»).По умолчанию этой области представлены значок времени, значок, на которомвы можете щелкнуть, чтобы посмотреть на веб-сайте Microsoft наличие обновленийк Windows Server 2003, и значок для регулировки уровня громкости динамиков (еслина данном компьютере есть звуковой контроллер).Примечание. Пока вы не активировали Windows, в области уведомлений находитсякнопка активации.Некоторые приложения, особенно загружаемые при загрузке Windows, также помещаютсвои значки в область уведомлений. Кроме того, когда ваше клиентское приложениеэлектронной почты получает новые сообщения или когда вы открываете TaskManager (Диспетчер задач), здесь тоже появляется соответствующий значок.Добавление значка для сетевого адаптераИмеет смысл добавлять в области уведомлений значок для вашего сетевого адаптера(карты сетевого интерфейса, NIC), поскольку это позволяет следить за исправностьюсоединения. Если имеется проблема кабеля, то в этом значке появляетсякрасный знакХ, а когда компьютер обменивается данными с другим устройством,этот значок светится. Чтобы поместить значок для вашего сетевого адаптера в областьуведомлений, выберите объект Network Connections (Сетевые подключения) вControl Panel и затем выберите объект Local Area Connection (Подключение по локальнойсети). Щелкните на кнопке Properties и затем установите флажок Show iconin notification area when connected (При подключении вывести значок в области уведомлений).GeneralAuthentic *кп AdvsncedConnect using:~Ч»3Com 3CS0HCI Fa-t Ethane* AdaoleiConfigure...::TNs connection uses the following items:("sTL~1 Network Load Balancing! and Printer Sharing for Microsoft Networks•«"Internet Piotocol (TCP/IP)Install.. Uninslal PropefttesArrows your computer to access resources on a Microsoftnetwork.gSShow icon«»4 when connected

Глава 6. Интерфейс пользователя Windows Server 2003 197Управление областью уведомленийПо мере роста числа значков в области уведомлений Windows Server 2003 не обязательнорасширяет эту область, чтобы вместить все значки. Вместо этого, используяпринцип «последнего используемого элемента», система скрывает значки. Еслиимеются скрытые значки, то на левой границе области уведомления появляетсянаправленная влево стрелка. Щелкните на этой стрелке, чтобы увидеть все значки,и стрелка изменит направление, чтобы вы могли щелкнуть на ней снова для скрытиянеактивных значков. Вы можете включать или отключать это средство и дажезадавать поведение скрывать/показывать (hide/show) для конкретных значков с помощьюследующих шагов.1. Щелкните правой кнопкой на пустой части панели задач и выберите пункт Properties.2. Установите или сбросьте флажок Hide inactive icons (Скрывать неиспользуемыезначки).3. При установке флажка на шаге 2 становится доступна кнопка Customize, на которойвы можете щелкнуть, чтобы задать поведение по умолчанию hide/showдля конкретных значков.4. Щелкните на нужном значке и выберите в раскрывающемся списке поведениепо умолчанию.Costowfee Notifications'A'indww drptay: icom lot achve and i.ifgenl noUicaHom and bJeiir t^-:b**orie^>C'UC-3ricfajrig4lbtt-?la3.'C4 led iteritt withe kuWo».Current ItemsВ kiviЩ ^gS Local Area Connection Speed;... Hide when inactive3 % Stay current with automatic upd... i Hide when inactive v§ UtiZoneAlarm ;:Past ItemsAlways showJ$ 1 document(s) pending fof Adrrti... Hide when inactiveI EI^ZoneAlarmHide when inactive"f. 14 days left fa activationHide when inactive[fie lore Defaults]Группирование кнопок панели задачПанель задач насыщена кнопками, когда вы работаете с несколькими приложениямиили с несколькими документами в одном приложении. В Windows Server 2003имеется новое средство - группирование кнопок, которое упрощает для вас использованиекнопок панели задач. По мере увеличения числа кнопок в панели задач этосредство изменяет их отображение.Поначалу Windows Server 2003 выводит для открытых документов одного приложениявсе кнопки подряд, что после вам легко находить нужные документы (и переходитьмежду ними).

198 Windows Server 2003. Полное руководствоПримечание. Если документ имеет слишком длинное имя, то Windows скрывает последниебуквы (с помощью многоточия), что указывает на дополнительный текст.Чтобы увидеть полностью имя документа вместе с именем его приложения, задержитемышь над этой кнопкой.По мере увеличения количества кнопок Windows Server 2003 объединяет все открытыедокументы одного приложения в одну кнопку панели задач, которая помеченаименем этого приложения. С правой стороны этой кнопки появляется треугольник,указывающий, что в данном приложении открыто несколько документов.При щелчке на этом треугольнике появляется список всех документов данногоприложения, и вы можете выбрать нужный документ. Затем вы можете перейти вэтот документ или закрыть его.При щелчке правой кнопкой на треугольнике выводится список команд, которыевы можете применить ко всем документам.Ире Horiiw*a8yTleVatbcaly:.|; Hriimtee Group • . :.)шшшшшяшшшшмшшштишшшшшкшшfПримечание. Если вам не нравится средство группирования кнопок, вы можете отключитьего, сбросив флажок Group similar taskbar buttons (Группировать сходныекнопки панели задач) в диалоговом окне Taskbar and Start Menu Properties.Закрепление панели задачИмеется новое средство, позволяющее закрепить панель задач. Это означает, чтовы не можете случайно переместить ее, что является разумным ограничением длянеобдуманного использования мыши пользователями. Если вам не удается добавлятьновые панели инструментов или изменять размер элементов панели задач,щелкните правой кнопкой на пустом месте панели задач, чтобы появилось контекстноеменю. Если команда Lock the Taskbar (Закрепить панель задач) помечена «галочкой»,щелкните на этой команде, чтобы разблокировать панель задач, и затемвнесите необходимые изменения.Панели инструментов панели задачЧтобы добавить какую-либо панель инструментов к панели задач, щелкните правойкнопкой на пустом месте панели задач, укажите Taskbars (Панели инструментов)и затем выберите нужную панель инструментов из следующего списка.

Глава 6. Интерфейс пользователя Windows Server 2003 199• Панель инструментов Quick Launch (Быстрый запуск) содержит значки, на которыхвы можете щелкать, чтобы открывать программы. По умолчанию панельQuick Launch содержит значки для Internet Explorer и для рабочего стола.• Панель Address (Адрес) позволяет вам быстро перейти на указанную вами вебстраницу.• Панель Links (Ссылки) содержит ссылки на веб-адреса.• Панель Desktop (Рабочий стол) содержит копии значков рабочего стола.• Панель New (Создать панель инструментов) позволяет вам поместить на рабочемстоле значок-ссылку на определенную папку.Поведение папок и виды их представленияЕсли вы переходите к Windows Server 2003 из Windows NT, то увидите большие отличияв представлении папок и их содержимого. Кроме того, вы увидите некоторыеновые возможности для настройки работы с папками, а также обнаружите, что некоторыеопции, которые вы использовали раньше, перемещены в другие меню.Чаще всего настройка папок заключается в изменении опций их представленияна экране. Если вы использовали Windows NT, то обратите внимание, что для примененияопций представления папок нужно выбрать Tools\Folder Options (Сервис\Свойства папки).Первоначальное поведение папокВо вкладке General (Общие) диалогового окна Folder Options (рис. 6.2) содержатсяопции, которые определяют внешний вид и поведение папок на тот момент, когдавы впервые открываете их.Folder OptionsGwul v*w File Til»! OlUneFeesTasksРЩЩ О Show common tasks in folders'• i f ч ciassjc fqjderjРис. 6.2. Здесь вы можетеизменять представление идействие папок при их открытии-: Browse folder»'---. •••••. •Ш:® Open each folder in the same window® Open each folder in its own window ::•: Click items as followsppjО Sinaje-cfck to open an item (point to select). ' U:vk : • ':. •,••• • : ;:•'.. «hf••• i : .••••' '• '••••:• •6} ЦоиЫе-dick to open an item (single-click to select)Restore Defaults

200 Windows Server 2003. Полное руководствоЕсли вы хотите увидеть ссылки на соответствующие папки в левой половинеокна, выберите вариант Show common tasks (Отображение списка типичных задач впапках). Ссылки изменяются в зависимости от системного окна, которое вы открыли.Например, как видно из рисунка 6.3, в результате открытия окна My Computerвыводятся ссылки на другие связанные с этим окном системные окна.Fte Edit View Favorites ToolsHelp:O &** " О • it \ ,P Search »•: Foldersi, rlvSystem TasksName Type •Hard Disk DrivesU -о{ Vi viji ШSS» Local Disk (G)Local DiskDevices with Removable StorageйА1ЕйЖР.К.Й:1! З'Л-Inch Floppy Disk••3.CO Drive (D:) CD DriveNetwork DrivesSSNET Server С... NetworkDrive^ F i . . . NetworkDrive29.2 GB29.2 GBcb;ectsу ; к Comput?!Рис. 6.З. Из окна My Computer вы можете переходить одним щелчком к связаннымс этим окном системным окнамВы можете задавать способ открытия окон папок для ваших перемещений черезподпапки. Вы можете выбрать между открытием каждой папки в одном и том жеокне и открытием нового окна для каждой выбранной вами папки.Вы можете изменять способ выбора и открытия объектов в папках. По умолчаниюсистема выделяет объект, когда вы щелкаете на его представлении, и открываетобъект при двойном щелчке. Вы можете изменить это поведение, задав открытиеобъекта при одинарном щелчке и выделение объекта, когда вы указываете его. Есливыбрать это поведение, то вы можете задать, когда должны подчеркиваться названияобъектов.Просмотр папок и файловВо вкладке View (Вид) диалогового окна Folder Options (рис. 6.4) содержится множествоопций просмотра содержимого папок. Большинство администраторов изменяютследующие опции, чтобы снять неудобные для них встроенные ограничения.Устанавливают флажок Display the contents of system folders (Отображать содержимоесистемных папок).

Глава 6. Интерфейс пользователя Windows Server 2003 201Выбирают вариант Show hidden files and folders (Показывать скрытые файлы ипапки).Сбрасывают флажок Hide protected operating system files (Скрывать защищенныесистемные файлы); Windows выводит предупреждение и просит вас подтвердитьваше решение.Folder Options| FileTypes | Ofline Files I;Youcanapp^< theview (suchas Derailsor Tiles) thatyouare using for this folder to al folders.| AppiyioAjl Folders' "| | Reset AlFoldersРис. 6.4. Некоторые из опцийпредставления папок неудобныдля администраторовAdvanced setings:!:rj FilesandFolders!'ЙГ IZi AutomatFcalty search for network folders and printersi И Display fife size information in folder tips! [7] Display simple folder view in Explorer's Folders listi О Display the contents of system loldersi Wl Display the furl path in the address bari Q Display the full path in the title bari О Do not cache thumbnails.!• £2 Hidden files and foldersii: 0 Do not show hidden files and foldersО Show hidden files and foldersI El Hi , for known file types ..:',.Restore DefauksВыводите расширения имен файлов,чтобы избежать опасностиВы должны обязательно внести в меню View одно изменение для всех пользователейи всех компьютеров своей сети. Сбросьте флажок Hide extensions for kaown filetypes (Скрывать расширения для зарегистрированных типов файлов). Это опасныйфлажок, и я никогда не понимал, зачем Microsoft устанавливает его по умолчанию.Эта установка, возможно, запускает намного больше вирусов, чем можно себе представить.Даже прилежное обновление вашего антивирусного ПО не избавит вас отвозможности появления нового вируса до того, как вы получите подходящий методего обнаружения от своего поставщика антивирусного ПО. Если вы получаете вложениеэлектронной почты в виде файла имя_файлаЛх1, то маловероятно, что этотфайл содержит какой-либо вирус. Но если вы не видите расширение имени, то несможете определить, что на самом деле получили файл имя_файлаДх1.ехе. Расширенияимен, соответствующие исполняемым файлам, являются признаком того, чтополученный файл может оказаться опасным. Внесите это изменение на своих домашнихкомпьютерах и посоветуйте своим пользователям сделать то же самое на ихдомашних компьютерах.

202 Windows Server 2003. Полное руководствоСоответствия для типов файловВо вкладке File Types (Типы файлов) вы можете вносить изменения в соответствиямежду расширениями имен файлов и приложениями. Приложения обычно используютсоответствия для типов файлов во время установки, но вы можете изменятьсоответствия или добавлять несколько соответствий к расширениям имен файлов.Я предлагаю внести важное изменение: связать расширение .vbs с Блокнотом(Notepad). Это хороший способ избежать вирусов, которые встроены в поступающиемакросы Microsoft Office. Даже если ваша компания использует текстовый процессорили программу для работы с электронными таблицами, которые не могутпострадать от вирусов в макросах (например, WordPerfect), можно быть уверенным,что кто-то из ваших получателей использует Microsoft Office и может непреднамереннопереслать вам такой вирус.Примечание. Диалоговое окно Folder Options содержит также вкладку Offline Files(Автономные файлы), где можно включать и конфигурировать это средство. Однакосредство «автономные файлы» редко используется на сетевых серверах (обычноэто средство конечного пользователя), поэтому я не буду вдаваться в детали.Если у вас есть причина активизировать это средство, то его опции понятны безпояснений.Службы Help and SupportДля справочной системы Windows Server 2003 используется совершенно новый интерфейс.У него даже новое имя. Окно, которое открывается после выбора Help andSupport (Справка и поддержка) в меню Start, имеет заголовок Help and Support Center(Центр справки и поддержки), и в Microsoft часто используют для этой справочнойсистемы сокращение HSC.Эта справочная система организована в виде веб-страницы, и если вы подсоединенык Интернет, то она использует в нужных случаях веб-страницы. Большинствовозможностей сосредоточено в двух колонках ссылок: заголовки ссылок насодержимое справочных файлов слева и заголовки страниц поддержки для конкретныхзадач справа. Панель инструментов аналогична панели инструментов InternetExplorer и содержит такие знакомые вам значки, Back (Назад), Forward (Вперед),Ноше (Домашняя страница), History (Журнал), Favorites (Избранное) и т.д.Использование указателяЩелкните на значке Index (Указатель) в панели инструментов, чтобы открыть алфавитныйуказатель справочной системы. По мере того, как вы вводите символы,указатель перемещается к разделу, название которого соответствует введенным символам.

Глава 6. Интерфейс пользователя Windows Server 2003failoverSee fatoverfileor directoryownershipgroupsSee clustergroupsinstalingnetworkmanagementFa,k,v«Tndl,,lback-Set group УЬаскроЛсуSetting group propertiesуказывающий на один из следующих типовссылок5 S ; справочные страницы. Если щелкнуть на такой ссылке, то вы перемещаетесьна справочную страницу по данной темеЕСЛИ Щ6ЛКНУТЬ н а т а к о й ссьикеи'. откроется окно соответствующегоинструментального средства или оснастки.

204 Windows Server 2003. Полное руководство.18 results found for clusterHelp and InformationPlanning-and preparing for ckMH^oQe cluster i'lard^/areServer clusterresourcesCluster application types5erv*t dustersServer clusters overviewPiapning your server fis':erDererfining ;

Глава 6. Интерфейс пользователя Windows Server 2003 205г:AdtoFavorites ChangeViewPrint. Locate «'contentsEverynodeisatachedtooneormoreBfiflSfistoragedevices. Each ШГЩЖ storage device attaches one or moredisks. The disks store all of the cluster's configuration andresource data. Each disk can be owned by only one node atany point in time, but ownership can be transferred betweennodes. The result is that each node has access to д!1 ЯИВВЯconfiguration data.Evei^node communicates with the other nodes in theВШЙЯ through one or more physically independentnetworks, known as interconnects. Network adapters, alsocalled network interfaces, attach nodes to networks.• Every node in the 'or leaving the II can detect another system joining• Every node in the ВШ5?Я can detect the resources that srsrunning locally and the resources that are running on theother SB3S nodes.• All nodes in the ВДВЗД are grouped under a common name,the HITBJ3} name, which is used when accessing andmanaging theISЧтобы снять выделение текста поиска, щелкните правой кнопкой на любом местесправочной страницы и выберите в контекстном меню пункт Refresh (Обновить).Вы можете также отключить это средство, см. ниже раздел «Настройка функцииSearch».Работа со справочными страницамиВы можете не только читать справочные страницы, которые выводятся в правойпанели. Например, часто бывает нужна печатная копия инструкций, и вы можетещелкнуть на кнопке Print в панели инструментов над справочной страницей, чтобыотправить копию этой страницы на принтер.Если вам нужно скопировать текст из справочной страницы в другое приложение,то вы можете сделать это для всего текста или его выделенной части следующимобразом.• Чтобы выделить весь текст, щелкните правой кнопкой в любом месте справочнойстраницы и выберите пункт Select All (Выделить все). Затем снова щелкнитеправой кнопкой и выберите пункт Сору.• Чтобы скопировать часть текста, протяните мышь, чтобы выделить нужный вамтекст. Затем поместите указатель мыши в любом месте выделенного текста, щелкнитеправой кнопкой и выберите пункт Сору.Если вы щелкнули на ссылке, указывающей переход на другую справочную страницу,то для возврата к исходной странице используйте кнопку Back в окне Helpand Support Center (HSC).Настройка справочной системыОкно HSC поддерживает всевозможную настройку, включая предоставление разделяемогодоступа к справочным файлам (help-файлам) другим пользователям сети.Щелкните на значке Options (Параметры) в панели инструментов, чтобы увидетькатегории настройки.

206 Windows Server 2003. Полное руководствоDSetsearch optons• tastsllandshare widowsHelpИзменение опций HSCВ левой панели окна HSC выберите пункт Change Help and Support Center Options(Изменение параметров центра справки и поддержки), чтобы увидеть в правой панелисписок опций. Затем выберите или отмените опции в соответствии с вашимитребованиями.Настройка функции SearchВы можете настраивать все аспекты средства поиска HSC, выбрав в левой панелипункт Set Search Options (Изменить параметры поиска). В правой панели появятсядоступные опции, причем все они понятны без пояснений.Установка и разделяемое использование справочных файловВы можете устанавливать и предоставлять для разделяемого использования справочные(help) файлы для Windows Server 2003 и Windows XP, а это означает, что вы получаетедоступ к справочной системе, когда администрируете серверы или рабочие станциисо своего собственного рабочего стола (в предположении, что ваша собственнаярабочая станция работает под управлением Windows Server 2003 или Windows XP).Чтобы сделать это, выберите в левой панели Install and Share Windows Help (Установкаи совместное использование справки) и затем выберите соответствующую задачу вправой панели. При выборе каждого пункта появляется простое в использовании диалоговоеокно, с помощью которого выполняется выбранная задача.fcji.Switch ?romone operatingsystem'sHelp content toanother •': : .:S3 instillHelp tnrtsntfromanotherWindowscomputer§ Install Нф ranter* 1 from a CD or disk Ыщв ":у : •: : ; ;: :t3 Ste-t , ur.Hel iun>«-r>>, ther on you neh аЛsJ Ursnst II Help t at uuha e 'retailed from another Windows' operating system

Глава 7Командная строкаКомандные процессоры - это приложения, которые позволяют вам взаимодействоватьнепосредственно с операционной системой вместо использования графическогоинтерфейса (GUI) для передачи инструкций и команд в операционную систему.При работе без GUI все происходит быстрее. Вы можете использовать командныйпроцессор для запуска команд или запуска ориентированных на команды приложений(называемых также текстовыми приложениями).Если вы работали раньше с Windows NT, то обнаружите в Windows Server 2003некоторые изменения (в лучшую сторону) в интерфейсе командной строки, а такжев некоторых командах. Большинство этих изменений появились сначала в Windows2000, и если вы переходите к Windows Server 2003 из Windows 2000, то сможете легкоиспользовать эти новые средства командной строки.Приемы и тонкости использованиякомандной строкиПрежде чем приступить к техническому описанию функций командного процессораWindows Server 2003, я посвящу несколько разделов некоторым приемам его использования.Поиск элемента меню Command PromptЕсли вы переходите к Windows Server 2003 из Windows NT, то вам следует знать, чтоэлемент меню Command Prompt (Командная строка) перемещен в подменюAccessories (Стандартные). (Он перемещен на новое место уже в Windows 2000, поэтомув случае модернизации из этой ОС у вас не будет проблемы его поиска.)Но Windows Server 2003 помещает также ссылку на Command Prompt в меню Start(Пуск) над верхней горизонтальной линией. Для приверженцев командной строкиэто действительно удобно.Быстрый доступ к командной строкеиз графического интерфейсаМне как приверженцу командной строки часто требуется быстрый доступ к окнукомандной строки. Кроме того, я хотел бы открывать окно командной строки в определенномместе (в конкретной папке) вместо прохождения через иерархию папокмоего компьютера с помощью команды cd. Для этого нужно добавить определеннуюкоманду в контекстное меню Windows Explorer (Проводник) или My Computer,используя следующие шаги.1. Откройте Regedit и перейдите в раздел HKEY_CLASSES_ROOT\Directory\shell.

208 Windows Server 2003. Полное руководство2. Создайте в разделе Directory\shell новый подраздел, выбрав в меню Edit (Правка)пункт New\Key (Создать\Раздел) и указав имя OpenNew.3. Откройте в правой панели элемент данных Default и измените его значение наOpen A Command Prompt (Открыть командную строку). Этот текст появится вконтекстном меню, поэтому вы можете указать здесь любое удобное для вас значение.4. Выберите подраздел OpenNew и создайте под ним новый подраздел с именемCommand.5. Откройте в подразделе Command элемент данных Default и введите в качествеего значения cmd.exe /k /cd %1.Вы можете добавить аналогичную команду для контекстного меню, которое появляетсяпри щелчке правой кнопкой на объекте-диске в окне Windows Explorer илиMy Computer. Для этого нужно выполнить те же шаги, что и для папок, кроме следующихотличий.• Используйте в качестве отправной точки подразделHKEY_CLASSES_ROOT\Drive\shell.• Для элемента данных Default нового подразделаHKEY_CLASSES_ROOT\Drive\shell\OpenNew\Command введите значениеcmd.exe /k.Клавиатурные сокращения, используемыепри вводе командЕсли вернуться к 80-годам прошлого века, когда в нашем распоряжении была толькокомандная строка, мы использовали клавиатурные сокращения, чтобы не вводитьвесь текст команды. Сначала нужно было очень тщательно вводить команду,поскольку в случае ошибки приходилось вводить команду заново. Но затем появиласьвозможность использования клавиши «стрелка влево», при нажатии которойпроисходило удаление символов аналогично клавише «backspace». Некоторые клавиатурныесокращения действуют до сих пор.• Для ввода предыдущей команды используйте клавишу F3.• Если вы ошиблись в каком-либо символе, нажмите F2 и этот символ, чтобы ввестипредыдущую команду вплоть до этого символа. Затем исправьте неверныйсимвол и нажмите F3, чтобы автоматически ввести остаток предыдущей команды.(Это был недокументированный прием в ранних версиях DOS, но он используетсяснова, и в Windows Server 2003 при нажатии F2 появляется небольшоеокно с сообщением: «Enter char to copy up to:» [Введите символ, чтобыскопировать команду вплоть до этого символа]).Примечание. F3 и F2 - это элементы из набора средств doskey.exe, который описываетсяв следующем разделе.• Введите dir *. для вывода списка всех элементов без расширения имени. Этополезно для получения списка папок (директорий), хотя в него включаются такжефайлы, не имеющие расширения имени.• Введите cd .. для перемещения на один уровень вверх в структуре папок.• Введите cd \ для перемещения в корневую папку.

Глава 7. Командная строка 209Использование doskey для повторноговызоваи редактирования командWindows Server 2003 запускает doskey.exe по умолчанию, что позволяет запоминатьвведенные вами команды в памяти, чтобы вы могли снова вызывать их. Буфер командне сохраняется после выхода из сеанса командной строки. В таблице 7.1 приводитсясписок наиболее употребительных клавиатурных сокращений, с помощьюкоторых можно воспроизводить и редактировать предыдущие команды.Табл. 7.1. Наиболее употребительные клавиатурные сокращения doskeyКлавиатурноесокращениеДействиеСтрелка вверхСтрелка внизPage UpPage DownСтрелка влевоСтрелка вправоCtrl-Стрелка влевоCtrl-Стрелка вправоНотеEndEscF4F7Alt-F7F8F9Вызов предыдущей команды.Вызов команды, которую вы использовали после вызваннойвами команды.Вызов самой старой команды сеанса.Вызов самой последней команды.Перемещение курсора назад на один символ.Перемещение курсора вперед на один символ.Перемещение курсора назад на одно слово.Перемещение курсора вперед на одно слово.Перемещение курсора в начало строки.Перемещение курсора в конец строки.Сброс команды.Удаление символов, начиная с текущей позиции курсоравплоть до указанного вами символа. Нажмите F4 и введитеопределенный символ, чтобы doskey удалила все символыот текущей позиции курсора до первого экземпляра указанноговами символа.Во всплывающем окне выводятся все команды, сохраненныев памяти для данного сеанса. Используйте клавиши сострелкой, чтобы выбрать нужную вам команду, и затем нажмитеклавишу Enter, чтобы запустить эту команду. Илинажмите клавишу F9, введите номер нужной команды изатем нажмите клавишу Enter.Удаление всех команд, сохраненных в памяти для текущегосеанса.Вывод на экран всех сохраненных в памяти команд, начинающихсяс символов, которые вы набрали перед нажатиемF8.Позволяет вам повторно ввести команду, указав ее номер(см. выше инструкции для F7).

210 Windows Server 2003. Полное руководствоОкно командной строкиWindows Server 2003 предоставляет вам для выполнения команд окно команднойстроки (Command Prompt). Вы можете выбирать для этого следующие варианты окон.• Если открыть %SystemRoot%\System32\Command.com, то в заголовке окна будетсодержаться путь к command.com. В строке приглашения будет представленпуть %SystemRoot%\System32. В этом окне работает приложение MS-DOSCommand.com.• Если выбрать пункт Command Prompt (из подменю Accessories), то в заголовкеокна содержится текст Command Prompt. В строке приглашения будет представленпуть C:\Documents and Ъъ\\лп%,%\Имя_пользователя. В этом окне работаетCmd.exe.• Если открыть меню Start, выбрать Run (Выполнить) и затем ввести cmd (илиcmd.exe), то в заголовке окна будет содержаться путь к cmd.exe. В строке приглашениябудет представлен путь C:\Documents and $,с\.йп%£\Имя_полъзователя. Вэтом окне работает Cmd.exe.Изменение свойств окна командной строкиАпплет Console, который можно было запускать из панели управления (Control Panel)Windows NT 4, теперь исключен, и настройка окна Command Prompt теперь выполняетсянепосредственно из самого окна. Щелкните правой кнопкой на заголовкеэтого окна, после чего появится следующее меню.•Для настройки окна Command Prompt вы можете использовать команду Defaultsили команду Properties: появится одно и то же диалоговое окно. Но эти командыпо-разному влияют на вашу систему.• Команда Defaults вносит изменения, сохраняемые на постоянной основе для всехокон Command Prompt. Эти изменения не применяются в текущем окне: вы увидитеих действие во всех окнах Command Prompt, которые будете открывать вдальнейшем.• Команда Properties изменяет настройки текущего окна Command Prompt. Измененияначинают действовать сразу. Однако после щелчка на кнопке ОК вы получаетевозможность внесения изменений на постоянной основе, которые будутдействовать во всех последующих сеансах этого командного процессора(запускаемых с помощью значка, который вы использовали для открытия данногосеанса).

iZlL" ГГ Л Глава 7. Командная строкаТ0ЛЬК° К "У С -НС У, ТОГфи"211вносите изменения в окне, которое открыто с помощью пункта сменю Accessories, то вы не увидите своих изменений, если откроете окно с шмощью значка из панели инструментов QuickLaunch (Быстрый запуск) даже если этотзначок получен путем копирования пункта Command Prompt из меню Accelries)Вкладка Options (Параметры)1°^° т(П^ТРЬО, см. рис. 7.1, содержит разнообразные опции конфи-Console Windows Ptopeilies| Cokx, |ЕиИ« iue: 15Г-3bniiif/ OptionsС ;s'.ndo«••"• FvlSceen-Ectl ptnns DdfdilModoPInsertModePSuloCompletРис. 7.1. Используйте вкладкуOptions для задания базовыхпараметров конфигурации(!f Me P к УР С0 Р а >- Изменяет размер мерцающего курсора. ВариантSo и щрифтШ ° И КВаДРаТ> И ^ ^ ^KW*) ~ к в а ^ > же размера,Command History (Запоминание команд). Buffer Size (Размер буфера) - это макчесТоТ^К°Т еСТВ0 К0Мавд ' Чинящихся в буфере. Number of Buffers (КоливаютRvl y * CP0B) I ЭТ СЙМ0М ДСЛе к о л и ч е с т а о° „ процессов, которые поддерживаютбуферы журнала. При увеличении любого из этих параметров увеличиваемсяколичество используемой памяти. Если установить флажок Discard Old Duplicates£ Г а Т Г Т ° РеНИЯ) ' Т ° СИСТШа УДШ1ЯеТ жированные команды'из ZР 0КНа ^^У зониспользуетсяпо умолчанию) и полноэкранным (вариант

212 Windows Server 2003. Полное руководствоFull Screen). Для переключения между режимами Window и Full Screen во времяработы в окне командной строки используйте комбинацию клавиш ALT-ENTER• Edit Options (Правка). Установите флажок Quick Edit Mode (Выделение мышью)"чтобы использовать протягивание мыши для вырезания, копирования и вставкитекста вместо использования команд меню Edit. Установите флажок InsertMode (Режим вставки), чтобы выполнять вставку текста в окне Command Promptвместо замещения существующего текста.Совет. Режим Insert Mode удобен, если вы не умеете быстро работать с клавиатуройонпозволяет вам перемещаться среди команд и параметров и исправлять ошибкивводэ..Вкладка Font (Шрифт)Вкладка Font (рис. 7.2) используется, чтобы изменить внешнийокна командной строки.вид содержимого• Console Windows PropertiesOpUom Fonl I Ls»« |Cdc«i |s: dirSVSTEH SVSIEH32 8 screen pixels wide< • • .iВы можете выбирать между растровыми шрифтами (Raster Fonts, по умолчанию)имТе^ имеет различный рГичнь УРе вид (в зависимости 3 С0Ш01е) - от СбКЦИЯ выбранного SiZ£ (РйЗМер) вами типа ЭТ0Г ° шрифта. «иалошвого ок"• Для изменения размера растрового шрифта нужно указать его размер в пиксе-Л ЭХ.• Для изменения размера шрифта TrueType нужно указать его размер в пунктахили ввести этот размер в текстовом поле вверху списка. (Чтобы использоватьполужирные шрифты TrueType в окне командной строки, установите флажок

Вкладка Layout (Расположение)- — -мое всего буфераWindow Position (Положение окна). По умолчанию окно позиционируется системои,новыможетесб Роситьсоответсйф^^^(ЗНаЧ6НИЯ Lef * и Т °Р) ^^мо-, если окно командной строки открыто у вас почти все впемя, и выхотите позиционировать его для более удобного доступа еслТнавашемэкране открыты также окна приложенийДоступа, если на вашемConsoleWindow*PropertiesCVw I Fort Laj^ui I tck'.i IScieen Bulei 3«Рис. 7.З. Используйте вкладкуLayout, чтобы изменить расположениеокна командной строкиИечКWindow ЯгаfioHjflhl R — F ~ 3WindowPortionW I 3lop; | I]P Lti vj-Jm еойюп wn4owВкладка Colors (Цвета)Используйте вкладку Colors, чтобы задать цвет для каждого из следующих элемен-• Screen Text (Текст на экране)

214 Windows Server 2003. Полное руководство• Screen Background (Фон экрана)• Popup Text (Текст всплывающего окна)• Popup Background (Фон всплывающего окна)Примечание. Всплывающие командные окна - это окна, которые открываются автоматическив результате некоторого действия пользователя.Копирование и вставка в окне команднойстрокиЧтобы скопировать текст из окна командной строки, выделите этот текст, используяодин из следующих способов.• Если вы задали для окна командной строки режим Quick Edit Mode, протянитемышь через текст, который вы хотите скопировать, и нажмите клавишу Enter,чтобы поместить его в буфер обмена.• Если вы не задали для окна командной строки режим Quick Edit Mode, щелкнитеправой кнопкой на полосе заголовка и выберите пункт Edit\Mark (Изменить\Пометить). Затем поместите курсор в начале текста, который вы хотите копировать.Удерживая клавишу Shift, щелкните в конце текста, который вы хотитекопировать. Альтернативный способ — это протянуть мышь, чтобы выделитьтекст (после того, как вы выбрали Edit\Mark). Выделив текст, нажмите клавишуEnter, чтобы поместить текст в буфер обмена.Примечание. Вы не можете вырезать текст в окне командной строки, а можете толькокопировать.Для вставки текста в окне какого-либо приложения Windows выберите Edit\Paste(Правка\Вставка) или нажмите Ctrl-V. Для вставки текста в программу MS-DOS(или в другое окно командной строки) щелкните правой кнопкой на полосе заголовкаи выберите Edit\Paste.Для вставки текста из другого приложения в окно командной строки поместитесвой курсор в точку вставки. Затем используйте один из следующих способов длявставки текста.• Если вы задали для окна командной строки режим Quick Edit Mode, щелкнитеправой кнопкой для автоматической вставки текста.• Если вы не задали для окна командной строки режим Quick Edit Mode, щелкнитеправой кнопкой и выберите в появившемся меню пункт Paste.• Если вы предпочитаете делать все с клавиатуры, не используя мышь, нажмитеAlt+Пробел и затем введите е, р (от edit, paste).Расширения командМощь командной строки Windows Server 2003 дополняется расширениями команд,которые добавляют функции к определенным командам. Расширения команд активизированыпо умолчанию (см. ниже раздел «Отключение расширений команд»,чтобы узнать, как отключаются расширения).

Команды с расширениямиГлава 7. Командная строка 215Ниже приводится список команд, для которых поддерживаются расширения. Расширенияконкретны для каждой команды, и вы можете получить соответствующуюинформацию путем ввода команда /? в командной строке.AssocCallCd или ChdirDel или EraseEndlocalForFtypeGotoIfMd или MkdirPopdPromptPushdSetSetlocalShiftStartОтключение расширений командРасширения активизированы по умолчанию, но вы можете отключать их на одинсеанс командного процессора или отключать на постоянной основе.Отключение расширений команд на один сеанс командногопроцессораЧтобы отключить или повторно включить расширения на один сеанс командногопроцессора, введите в командной строке соответственно cmd /e:ofF или cmd /e:on.Например, вы можете отключить расширения команд, когда используете командуcd, и затем снова активизировать их для остальных задач, которые выполняете вданном сеансе.Отключение расширений команд на постоянной основеЕсли вы хотите отключить или включить расширения для всех командных сеансов,то должны внести изменения в реестр. Вы можете задать соответствующее значениедля компьютера (что повлияет на каждого пользователя) или для текущего пользователя.Откройте Regedit и перейдите в один из следующих подразделов.• Чтобы включить или отключить расширения для компьютера, перейдите в разделHKEY_LOCAL_MACHINE\ Software\Microsoft\Command Processor.• Чтобы включить или отключить расширения для текущего пользователя определенногокомпьютера, перейдите в раздел HKEY_CURRENT_USER\Software\Microsoft\Command Processor.Откройте элемент данных типа REG_DWORD с именем Enable Extensions и введитезначение 1 (включены) или 0 (отключены). По умолчанию это шестнадцатеричныйтип данных, поэтому данные ввода преобразуются в 0x1 или 0x0.

216 Windows Server 2003. Полное руководствоПорядок применения различающихся настроекдля расширений командЕсли значения параметра включения расширений команд отличаются в различныхнастройках, то используется следующий порядок их применения.1. Значение, введенное в командной строке (cmd /e:X, где Х- это on или off).2. Значение из раздела реестра Current User.3. Значение из раздела реестра Local Computer.Автоматическое завершение имен папоки файловЗавершение имен папок и файлов - это средство, с помощью которого вы можетевводить с командой часть имени папки или файла, а остальную часть имени можетзаполнять система. Чтобы использовать это средство, вы вводите управляющий символ,вызывающий данную функцию. Например, вы можете ввести cd \рго управляющийсимвол, чтобы перейти в папку Program Files, или ввести type myf управляющийсимвол, чтобы вывести на экран содержимое файла myfile.txt. Если имеется несколькопапок или файлов, соответствующих введенным символам, то при повторном вводеуправляющего символа вы перемещаетесь к следующему экземпляру. Получив нужноеимя, нажмите клавишу Enter, чтобы выполнить команду. Если ни одно из именне соответствует введенному набору символов, то система выдает звуковой сигнал.Средство завершения имен не включено по умолчанию, но вы можете вызватьего на один сеанс или сделать постоянным.Включение средства завершения имен папоки файлов для одного командного сеансаЕсли вы хотите включить средство завершения имен папок и файлов для текущегокомандного сеанса, то можете выполнить эту задачу непосредственно в команднойстроке. Для включения или отключения этого средства введите соответственно /cmd f:on или /cmd f:off. Затем для завершения имени папки или имени файла используйтесоответственно комбинацию CTRL-D или CTRL-F.Включение средства завершения имен папоки файлов на постоянной основеЧтобы это средство действовало постоянно, нужно внести изменения в соответствующуюзапись реестра. Вы можете включить автоматическое завершение имен дляданного компьютера или для текущего пользователя. В большинстве случаев прощевсего включить это средство для компьютера, чтобы оно было доступно всем пользователям.Но вы можете отключить это средство для любого отдельного пользователяили задать для этого пользователя управляющий символ, отличный от управляющегосимвола, который задан для компьютера. При различиях между настройкамидля компьютера и пользователя используются настройки этого пользователя.

Глава 7. Командная строка 217Включение средства завершения имен папок и файловдля компьютераЧтобы включить средство завершения имен для данного компьютера, откройтеRegedit и перейдите в раздел HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor.• Для завершения имен папок откройте элемент данных CompletionChar и введитев шестнадцатеричном виде управляющий символ, который хотите использовать.• Для завершения имен файлов откройте элемент данных PathCompletionChar ивведите в шестнадцатеричном виде управляющий символ, который хотите использовать.Включение средства завершения имен папок и файловдля текущего пользователяЧтобы включить средство завершения имен для текущего пользователя, откройтеRegedit, перейдите в раздел HKEY_CURRENT_USER\Software\Microsoft\ComrnandProcessor и выполните процедуру, описанную выше для компьютера.Выбор управляющего символаУправляющие символы вводятся в реестре в шестнадцатеричном виде. Например,если вы хотите использовать клавишу TAB, то для управляющего символа нужнозадать значение 0x9 (вы можете ввести значение 9, и система преобразует его в шестнадцатеричныйформат). Если вы хотите ввести символы, которые используютсядля одного сеанса, то используйте 0x4 для CTRL-D и 0x6 для CTRL-F.Завершение имен папок и завершение имен файловНиже приводятся отличия между функциями завершения имен папок и имен файлов.• Средство завершения имен файлов применяется также к именам папок, посколькуоно ищет фактически полный путь, соответствующий как именам файлов,так и именам папок.• Если управляющий символ для завершения имен файлов используется в команде,которая относится только к папкам (например, cd или rd), то происходитпоиск только имен папок.• Функция завершения имен папок применяется только к именам папок, поэтомуона позволяет выполнять поиск среди папок быстрее, чем функция завершенияимен файлов, когда имеются файлы и папки с одинаковыми частями имен.• Вы можете использовать в средстве автоматического завершения один управляющийсимвол для имен папок и для имен файлов.Примечание. Если управляющие символы, которые вы задали для включения этогосредства на уровне компьютера, отличаются от управляющих символов, заданныхна уровне текущего пользователя, то используются управляющие символы текущегопользователя.Это очень полезное средство, если вы много работаете с командной строкой.Это не только экономия на вводе, но также средство, позволяющее обойтись безошибок ввода и без дополнительных хлопот, если вы не можете в точности вспом-

218 Windows Server 2003. Полное руководствонить имя папки или файла. Чтобы еще больше упростить этот процесс, ниже приводятсянесколько советов по использованию средства автоматического завершенияимен.• Вы должны вводить пробел между командой для папок (например, cd или rd) иобратным слэшем.• Функция завершения имен автоматически помещает в кавычки имена, содержащиепробелы, чтобы вам не нужно было вводить кавычки.• Вы можете использовать клавишу «стрелка влево» для отмены и повторного вводауправляющего символа. Весь текст справа от курсора удаляется. Это удобно, есливы хотите расширить поиск путем сокращения вводимой строки.• Если по окончании поиска вы изменяете строку и снова вводите управляющийсимвол, то существующий список соответствий игнорируется и создается новыйсписок.Символы подстановкиWindows Server 2003 позволяет использовать в командной строке символы подстановки.Вы можете ввести команду, затем строку, представляющую часть имени (папкиили файла в зависимости от используемой команды), и какой-либо символ подстановки.Windows выполняет эту команду для каждой подходящей папки.Большинство пользователей знают это средство и постоянно используют его, как,например, в команде dir *.txt или dir tr*.Но символы подстановки можно также использовать и с другими командами,таким как cd. Если ввести команду cd \wi* на компьютере, где имеется папка Windows,то эта команда будет выполнена должным образом. Если на компьютере имеетсяпапка Windows и, например, папка Wizards, то команда будет выполнена для первогоподходящего имени (Windows).Но это средство не обладает гибкостью и возможностями управления для пользователя,которые имеет средство завершения имен, когда на экране появляется каждоесоответствие по мере того, как вы вводите управляющий символ, и пользовательможет нажать клавишу Enter, когда на экране окажется подходящее имя.Команды Windows Server 2003Командная строка - это излюбленный способ работы для многих администраторови опытных пользователей, особенно для тех, кто имел когда-то в своем распоряжениитолько средства DOS. В этом разделе представлены команды, которые исчезлиили изменились после перехода из Windows NT/Windows 9x. Информация этого разделаприменима также к Windows 2000/Windows XP.Команды, не поддерживаемые в Windows Server 2003Целый ряд команд MS-DOS (16-битных команд) исключен из Windows Server 2003.На самом деле некоторые из них уже исчезли в Windows NT 4 и в Windows 2000, ноони приводятся здесь, если вы не заметили этого или выполняете миграцию изWindows 3.x или среды, где не установлена система Windows. В таблице 7.2 приводятсяустаревшие 16-битные команды.

Глава 7. Командная строка 219Табл. 7.2. Команды MS-DOS, которых нет в Windows Server 2003НеподдерживаемаякомандаAssignBackupChoiceCttyDblspaceDeltreeDosshellDrvspaceEmm386FasthelpFdiskIncludeInterlnkIntersrvJoinMemmakerMenucolorMenudefaultMenuitemMirrorMsavMsbackupMscdexMsdNumlockPowerRestoreScandiskПоясненияБольше не поддерживается.Больше не поддерживается.Больше не поддерживается.Больше не поддерживается.Больше не поддерживается.Заменена командой rmdir/s, которая удаляет папки, содержащиефайлы и подпапки.Не нужна.Больше не поддерживается.Не нужна.Не нужна; используйте вместо нее команду help.Заменяется средством Disk Management.Несколько конфигураций подсистемы MS-DOS не поддерживаются.Больше не поддерживается.Больше не поддерживается.Не нужна, поскольку имеется поддержка более крупныхразделов.Не нужна; операционная система автоматически оптимизируетиспользование памяти подсистемой MS-DOS.Несколько конфигураций подсистемы MS-DOS не поддерживаются.Несколько конфигураций подсистемы MS-DOS не поддерживаются.Несколько конфигураций подсистемы MS-DOS не поддерживаются.Больше не поддерживается.Больше не поддерживается.Не нужна; используйте ntbackup для копирования на ленточныенакопители или хсору для копирования на жесткиедиски.Не нужна; Windows Server 2003 обеспечивает доступ к CD-ROM для подсистемы MS-DOS.Не нужна; используйте оснастку System Information.Больше не поддерживается.Больше не поддерживается.Больше не поддерживается.Больше не поддерживается; используйте chkdsk.

220 Windows Server 2003. Полное руководствоSmartdrvSubmenuSysUndeleteUnformatVsafeHe нужна; Windows Server 2003 автоматически обеспечиваеткэширование для подсистемы MS-DOS.Несколько конфигураций подсистемы MS-DOS не поддерживаются.Системные файлы Windows Server 2003 не умещаются надискете.Больше не поддерживается.Больше не поддерживается.Больше не поддерживается.Отметим, что в таблице 7.2 отсутствуют некоторые 16-битные команды, которыевы, возможно, еще используете (особенно в унаследованных .bat-файлах). Привызове этих команд ваш командный сеанс действует как 16-битный сеанс. Это означает,что имена папок отображаются на экране в формате 8.3. Чтобы вернуться кстандартному отображению имен Windows Server 2003, введите cd \исходная папка,например, cd documents and settings\iMW_/icw3oeame/w.Команды, не поддерживаемые в Enterprise Serverили Datacenter ServerЕсли вы работаете под управлением Windows Server 2003 Enterprise Server либоDatacenter Server или любой 64-битной версии ОС Windows, то в них отсутствуютследующие 16-битные команды.AppendDebugEditEdlinExe2binExpandGraphicsLoadfixLoadhigh (lh)MemSetverShareСледующие команды не используются системой Windows Server 2003, но допускаютсядля совместимости с файлами и программами MS-DOS.• Fastopen• Forcedos• NlsfuncКоманды, которые изменилисьНекоторые команды, имеющиеся в Windows Server 2003, изменились по сравнениюс Windows 9x, и в большинстве случаев эти изменения увеличивают возможностикоманды.

ChcpГлава 7. Командная строка 221С помощью этой команды выводится или задается номер активной кодовой страницы^Онаизменена в том, как теперь задаются кодовые страницы для всех оконкомандной строки.• Используйте эту команду без параметров, чтобы вывести на экран номер активнойкодовой страницы.• Используйте синтаксис chcp nnn, чтобы задать номер кодовой страницы лил.Del или EraseЭта команда поддерживает следующие параметры (не все из них являются новыми).• файл или папка (включая символы подстановки) указывает имя файла или папки.• /Р запрос подтверждения перед удалением каждого файла (имеется также в болееранних версиях Windows).• /F принудительное удаление файлов с атрибутом «read-only».• /S удаление указанных файлов из всех подпапок, в которых они имеются; выводна экран имен удаляемых файлов, если включены расширения команд (по умолчанию);вывод на экран имен файлов, которые не может найти эта команда,если отключены расширения команд.• /Q режим без сообщений (не запрашивает подтверждения для глобального символаподстановки).• /А выбор файлов в зависимости от их атрибутов. Для выбора по атрибутам используйтестандартные сокращения: R S Н А (для операции «нет» используйтезнак «минус»).DirКоманда Dir используется со следующими параметрами (не все из них являютсяновыми).• [диск:] [путь] [имя_файла] указывает диск, папку и/или файлы для включения всписок.• /А - вывод на экран имен файлов с указанными атрибутами (используются следующиесокращения):D Папки (directories)R Файлы, доступные только по чтению (read-only)Н Скрытые файлы (hidden)А Файлы, готовые для архивации (archive)S Системные файлы (system)./В - вывод в простом формате (без заголовочной информации или сводки)./С - вывод разделителя по тысячам в размерах файлов (по умолчанию); чтобыотключить, используйте -С./D - вывод в том же формате, что и для параметра /W, но файлы сортируются поколонкам./L - вывод имен с использованием только строчных букв./N - вывод имен файлов с правой стороны./О - вывод в отсортированном виде в соответствии со следующими значениями:N По имени (в алфавитном порядке)S По размеру файлов (начиная с минимального размера)Е По расширениям имен (в алфавитном порядке)

222 Windows Server 2003. Полное руководство• D По дате/времени (начиная с самых старых файлов)• G С группированием по папкам• /Р - приостановка после вывода очередной экранной страницы.• /Q - вывод имени владельца файла.• /S - вывод файлов указанной папки и всех ее подпапок.• /Т - задание параметра для времени, которое выводится на экран или используетсядля сортировки:• С время создания• А Время последнего доступа (начиная с самого раннего)• W Время последней записи• /W - вывод списка в широком формате.• /X - вывод коротких имен, генерируемых для формата 8.3 (как для параметра /Nс коротким именем, которое выводится перед длинным именем, но если нет короткогоимени, то выводятся пробелы).• /4 - вывод четырех цифр года.DiskcopyВ команде Diskcopy больше не поддерживается параметр /1, который указываеткопирование только первой стороны диска.FormatКоманда Format может иметь следующий синтаксис:где:Format том [/¥Б:файловая_система][/\:метка\[/0][/А:размер][/С][/Х]Format том [/Угметка] [/Q] [/F-.размер]Format том [/У:метка][/О][/Т:дорожки /N:секторы]Format том [/У:метка][/(}][/1][/4]Format том [/Q][/l][/4][/8]том - буква-обозначение накопителя (должна быть с двоеточием), точка монтированияили имя тома./¥8:файловая_система - тип файловой системы./У:метка - метка тома (в метке тома допускается использование символов Л и&)./Q указывает быстрое форматирование./С указывает, что файлы, созданные на данном томе, будут сжиматься по умолчанию./X вызывает сначала демонтирование тома, если это требуется (закрывает всеоткрытые описатели)./А:размер переопределяет размер единичного блока по умолчанию (allocationunit):• NTFS поддерживает размеры 512, 1024, 2048, 4096, 8192,16К, 32К, 64К• РАТподдерживаетразмеры512, 1024,2048,4096,8192,16К, 32К, 64К(128К,256К для размера сектора > 512 байтов)• ЕАТ32поддерживаетразмеры512,1024,2048,4096,8192,16К,32К,64К(128К,256К для размера сектора > 512 байтов)/^•.размер указывает размер форматируемого гибкого диска (160, 180, 320, 360,640,720, 1.2, 1.23, 1.44, 2.88 или 20.8) (доступны в Windows 9х)./Т:дорожки указывает число дорожек на каждой стороне диска.

Глава 7. Командная строка 223• [№:секторы указывает число секторов, приходящихся на одну дорожку.LabelВ метке тома можно использовать символы Л и &.MoreВ отличие от одноименной команды в прошлых версиях Windows команда More вWindows Server 2003 имеет параметры./Е - включение расширенных средств./С - очистка экрана, прежде чем вывести страницу./Р - расширение символов FormFeed./S - сжатие нескольких пустых строк в одну строку./Тл - увеличение табуляции до п пробелов (по умолчанию 8).Следующие параметры могут быть представлены в переменной среды More.• +л — вывод первого файла, начиная со строки и.• файлы — список файлов, которые нужно вывести на экран (имена файлов разделяютсяпробелами).Если включены расширенные средства (параметр /Е), то в ответ на приглашение«More» можно ввести следующие команды.Р п - вывод следующих п строк.S n - пропуск следующих п строк.F - вывод следующего файла.Q - завершение работы.= - вывод номера строки.? - вывод справочной строки. - вывод следующей страницы. - вывод следующей строки.PromptWindows Server 2003, как и Windows 2000, поддерживает следующие новые добавленияк командной строке.• $ААмперсанд• $С Открыть круглые скобки• $F Закрыть круглые скобки• $S ПробелХсоруНовый параметр /g позволяет вам сохранять файл в шифрованном виде при копированиишифрованных файлов на том, который не поддерживает шифрование файлов.

224 Windows Server 2003. Полное руководствоИспользование UNC-путив командной строкеВы можете использовать командную строку Windows Server 2003 для переходов всети и управления папками и файлами на других компьютерах. (Конечно, ваши возможностив этом зависят от ваших полномочий доступа.)Просмотр и управление файламис помощью UNC-путиВ следующих примерах командной строки представлены некоторые способы использованияUNC-пути в командной строке.• dir \\Имя_компьютера\Имя_разделяемого_ресурса• dir\\Имя_кoмпьютepa\Имя_paздeляeмoгo_pecypca\Пoдпппa_paздeляeмoгo_peсурса• сору \\Имя_компьютера\Имя_разделяемого_ресурса\Имя_файла c:\mydocuments• del\\Имя_кoмпьютepa\Имя_paздeляeмoгo_pecypca\Имя_фaйлa (или имена файлов)Использование команд Pushd и Popdдля доступа к удаленным компьютерамКоманда cd не работает с UNC-адресом, что не позволяет вам переходить в папкуудаленного разделяемого ресурса, как вы делаете это на локальном компьютере.Однако вы можете использовать команду pushd для автоматического назначениявременной буквы-обозначения накопителя удаленному ресурсу и автоматическогоперехода в папку этого ресурса. Затем вы можете использовать команду popd дляудаления этой буквы накопителя. Ниже при описании команд pushd и popd предполагается,что для командного процессора включены расширения команд (состояниепо умолчанию в Windows Server 2003). Если отключить расширения команд, токоманда pushd не работает с UNC-путями.Чтобы использовать pushd, введите следующую команду:pushd Х\Имя_компъютера\Имя_разделяемого_ресурсагде Имя_разделяемого_ресурса — это разделяемый диск или папка.Если нажать клавишу Enter, то данная команда выполняет три следующих действия.• Сохраняет в памяти путь к текущей папке, чтобы в дальнейшем его можно былоиспользовать для команды popd (команда popd возвращает вас на этот диск, когдавы используете ее для удаления буквы накопителя, назначенной с помощью командыpushd).• Назначает букву накопителя для введенного вами UNC-пути. Буквы накопителейназначаются автоматически в обратном порядке, начиная с z:.• Перемещает вас в целевой разделяемый ресурс, выводя приглашение с автоматическиназначенной буквой накопителя.

Глава 7. Командная строка 225Как только в приглашении появляется назначенная буква накопителя, это означает,что вы работаете в папке удаленного разделяемого ресурса и можете управлятьпапками и файлами, как если бы работали локально. Вы можете применять кэтому ресурсу все доступные локально команды.Вы можете использовать команду pushd сколько угодно раз, и Windows Server2003 будет хранить путь для каждой пары «буква накопителя/разделяемый ресурс»,пока вы не используете все буквы алфавита, кроме букв, использованных для локальныхустройств (после чего pushd отказывается взаимодействовать с вами). Дляперемещения между несколькими разделяемыми ресурсами просто вводите соответствующуюбукву накопителя в командной строке.Назначения, сделанные с помощью команды pushd, действуют только во времятекущего сеанса командной строки, поэтому, если вы планируете много раз переходитьмежду локальным компьютером и удаленными ресурсами, держите открытымокно командной строки (вы можете, конечно, сворачивать его).Чтобы освободить букву накопителя, введите popd в командной строке, что вызоветудаление последней назначенной буквы накопителя. Если вы назначили толькоодну букву накопителя (с помощью команды pushd), то команда popd возвратит васв локальную папку, где вы находились во время ввода команды pushd. Если вы назначилинесколько букв накопителей, то команда popd удалит последнюю назначеннуюбукву накопителя и переместит вас к предпоследней назначенной вами буквенакопителя, продолжайте вводить popd в командной строке, чтобы удалить другиебуквы накопителей, пока вы не вернетесь на исходный локальный диск. Если выхотите удалить все назначенные буквы накопителей, просто закройте командныйсеанс.Команда Pushd очень удобна, если вы используете для управления удаленнымикомпьютерами пакетные (.bat) файлы. Вы можете использовать пакетный файл дляудаления определенных файлов с нескольких машин с помощью следующих строк:• pushd \\имя_сервера\имя_разделяемого_ресурса• del имя_файла.расширение_имениPushd и Net useВы можете, конечно, воспользоваться командой net use, чтобы задавать соответствие(отображение) между буквами накопителей и удаленными разделяемыми ресурсами.Ниже приводятся некоторые сравнительные сведения по командам pushdи net use.• Диски, заданные с помощью net use, остаются и после завершения командногосеанса. Они остаются также после перезагрузки, если вы используете ключ /persistent:yes. Отметим, что ключ /persistences, возможно, будет использоватьсяпо умолчанию, поскольку состояние этого параметра по умолчанию зависит оттого, что использовалось в последний раз в графическом интерфейсе или в команднойстроке. Если вы никогда не выполняли отображение накопителей, топо умолчанию в Windows Server 2003 задано значение yes.• Вы можете ввести net use в командной строке, чтобы увидеть все отображаемыенакопители, которые создали с помощью команды net use и/или pushd.• Если вы задаете накопитель с помощью команды net use, которая назначает буквунакопителя, уже назначенную командой pushd, то net use выдает сообщениеоб ошибке, где указывается, что данная буква накопителя уже используется.8 - 3994

226 Windows Server 2003. Полное руководство• Если вы задаете накопитель с помощью команды net use, используя букву накопителят., и затем используете pushd, то команда pushd назначит букву накопителяу: (она выявляет используемые буквы накопителя, которые назначены командойnet use или pushd).• Вы можете удалить отображение накопителя, созданное с помощью команды pushdили net use, путем ввода в командной строке net use Буква_накопителя: /del.Использование команды Substдля локальных виртуальных дисковВы можете использовать понятие виртуального диска, которое используется в командеpushd для удаленных разделяемых ресурсов, чтобы выполнять переход на своемлокальном компьютере. Это проще, чем вводить cd \Имя_папки для различных папокс длинными именами (например, \documents and settings или program files\internetexplorer).Используйте Pushd в пакетных файлахЯ приверженец командной строки и использую много средств командной строкидля выполнения задач. Поэтому я использую пакетный (batch) файл, чтобы заранееназначить все удаленные папки, которые обычно посещаю. Вот пример моего пакетногофайла:pushd \\western\western-cpushd \\wks12\wks12-c\windows\profiles\kathy\my documentspushd \\docs\newsletters• В первой строке указан разделяемый жесткий диск компьютера с именем western(это дает мне полный доступ ко всем папкам на этом диске).• Во второй строке указана папка My Documents на компьютере Windows 98 SE сименем wksl2 (в Windows 98 SE профили хранятся в папке \Windows\Profiles\Имя_пользователя). My Documents не является разделяемой папкой, но С: являетсяразделяемым диском, и эта строка показывает, что вы можете перемещатьсячерез неразделяемые подпапки разделяемого ресурса, чтобы назначить буквунакопителя.• В третьей строке указан разделяемый ресурс с именем newsletters на компьютерес именем docs.Отметим, что этот пакетный файл не заканчивается командой exit. Это привелобы к закрытию командного окна и, тем самым, к удалению всех назначений буквнакопителей, поскольку они действуют только во время текущего сеанса. По этойпричине я запускаю этот пакетный файл из командной строки. Если бы я открылэтот пакетный файл из окна Windows Explorer, My Computer или как элемент папкиStartup меню Programs, то командное окно закрылось бы, и сеанс был бы завершенпосле выполнения команд пакетного файла.Вы можете использовать команду Subst (subst Буква_накопшпеля: Путь), чтобыназначить букву накопителя для локального пути. В отличие от команды pushd здесьбуква накопителя не назначается автоматически; вы должны задать ее вручную. Этоозначает, что вы должны знать, какие буквы накопителей доступны для команды

Глава 7. Командная строка 227subst. Вы не можете применить уже используемую букву накопителя, поэтому введитев командной строке net use, чтобы определить буквы накопителей, занятые спомощью команд net use и/или pushd.Введите в командной строке subst без параметров, и система выведет все отображения,созданные с помощью команды subst. (Виртуальные диски, созданные с помощьюкоманды subst, не выводятся на экран, если вы вводите в командной строкеnet use.) Чтобы удалить локальный виртуальный диск, введите subst Буква_накопителя:/d). В отличие от команды pushd виртуальные диски, созданные командойsubst, остаются после командного сеанса. Но они не остаются после перезагрузки.Справки по командамСистема Help and Support (Справка и поддержка) Windows Server 2003 содержит алфавитныйсписок всех доступных команд вместе с описанием их синтаксиса. В окнеHelp and Support Services введите в поле Search (Найти) command-line reference a-z.Вьщелите эту страницу в панели Results и выберите Add to Favorites (Добавить в избранное).После этого вам достаточно щелкнуть на средстве Favorites в окне Helpand Support Services, чтобы получить доступ к информации о командах.Вы можете также получать справку по любой команде путем ввода в команднойстроке Имя_команды /?.

Глава 8Средства обслуживаниясистемыWindows Server 2003 содержит средства обслуживания, которые вы можете использоватьдля обеспечения стабильной работы своего сервера. Регулярное техническоеобслуживание является важной частью вашей работы, и те, кто забывает о необходимостивыполнения задач технического обслуживания, обычно сожалеют об этом.В этой главе описываются базовые средства обслуживания системы для версийWindows Server 2003.ДефрагментацияЕсли вы открываете файл данных в какой-либо программе, вносите изменения вэтот файл и сохраняете его, то в исходном месте хранения файла на диске может нехватить места для обновленного документа, если он стал больше. Операционнаясистема разбивает документ, используя для части документа одно место на диске идля остальной части другое место. По мере увеличения размера файла его части могутсохраняться в нескольких местах на диске. Такой файл называют фрагментированным.При каждом открытии такого файла система должна выполнять поиск на диске,чтобы найти все его части. Процедура поиска замедляет вашу работу, посколькудля загрузки файла требуется несколько операций чтения диска.Если вы удаляете файлы и папки, особенно группы файлов и папок, то образуютсянебольшие участки свободного места на диске, а при создании и сохраненииновых файлов маловероятно, что эти файлы смогут размещаться в одной непрерывнойобласти. В результате при каждом создании файла или папки либо сохраненииизмененного файла требуется все больше времени для записи на диск, посколькусистема должна выполнить несколько операций записи в нескольких местах диска,чтобы сохранить новый объект. Диск становится фрагментированным. WindowsServer 2003 содержит две встроенные программы дефрагментации дисков.• Disk Defragmenter (Дефрагментация диска) в подменю System Tools (Служебные)меню Accessories (Стандартные). При выборе этого пункта меню открываетсяоснастка ММС dfrg.msc.• Defrag.exe, которая запускается из командной строки.Вы можете использовать любую из этих утилит для оптимизации своего дискапутем дефрагментации файлов. Дефрагментатор выполняет сбор всех частей файлаи записывает их на диск в одной непрерывной области. Программа создает местодля каждого файла путем перемещения других файлов (которые тоже могут бытьдефрагментированы) во временную область, пока не наступит их очередь дефрагментации.

;•-. .-Й:;: :::::: :: ::": •• • ••Глава 8. Средства обслуживания системы 229Оснастка Disk DefragmenterДля запуска графической версии встроенного дефрагментатора откройте подменюAccessories меню System Tools и выберите Disk Defragmenter. Вы должны иметь административныеправа, чтобы использовать эту оснастку.Совет. Вы можете создать ярлык рабочего стола для Disk Defragmenter. Удерживаяправую кнопку мыши, перетащите файл этой программы (%SystemRoot%\System32\dfrg.msc) на рабочий стол и выберите в контекстном меню пункт CreateShortcut Here (Создать ярлык). Если вам нужно, то вы можете переместить этот ярлыкв свою панель инструментов QuickLaunch (Быстрый запуск).Анализ дискаВ окне Disk Defragmenter (рис. 8.1) выводится список локальных дисков вместе синформацией об установленной файловой системе, емкости диска и объеме свободногопространства на диске. Прежде чем запустить процедуру дефрагментации,нужно получить анализ диска, выполненный программой Disk Defragmenter. Дело втом, что дефрагментация - это интенсивная и длительная процедура, а проведенныйанализ может показать, что у вас нет необходимости в проведении дефрагментации.i'••: Disk DehaqmentetFfc Ad,.:., \VwHelp• ffliSffliBlB S' •':|Volume i:: : : : : | SessbnSlatus1 >(C)| File SystemMIFSNTFSCapactp)1620.BGGBFrefSpMel•• .'. -.-i a 7 3 6 B' Fi i i« Ш*: :90%:liBiiiiiSssei:' ' ^ B J J l l l l f l lE~'in^5tsooek 'jsage vlit dtni^vitiViaon*;'..? :-•' .:C'elia-gmeril J1I -._JП Fngmt-nlHhlf- H Cor.liguouHil«П UmavaUe fitsРис. 8.1. В окне Disk Defragmenter отображаются все локальные дискиДля запуска процесса анализа можно использовать несколько способов:• Щелкните правой кнопкой на диске и выберите в контекстном меню пунктAnalyze.

230 Windows Server 2003. Полное руководство• Выделите диск и щелкните на кнопке Analyze.• Выделите диск и выберите пункт Analyze в меню Action (Действия).Внимание. Открытые файлы нельзя анализировать (и дефрагментировать), поэтомузакройте все приложения и утилиты, прежде чем начать этот процесс.Функция Analyze проверяет диск, и вы можете видеть ход этого процесса в панелиAnalysis Display. Области представляются соответствующим цветом:• Синий - непрерывные файлы• Красный - фрагментированные файлы• Белый - свободное место• Зеленый - системные файлы (которые нельзя перемещать).Вы можете щелкнуть на кнопке Pause, чтобы приостановить этот процесс, еслитребуется прочитать файл или выполнить какую-то другую задачу на данном компьютере.Название кнопки изменяется на Resume (Возобновить), чтобы позволяетвам продолжить анализ. Чтобы прекратить процесс, используйте кнопку Stop. Позавершении анализа появится окно сообщения, где может быть указано, что вамтребуется дефрагментация диска.Disk DehaqmenteiAnalysis is compfete (ОС (С)You do no' nred lo defragment ita* volumeOweЧтобы получить более подробную информацию о состоянии диска, щелкнитена кнопке View Report (Просмотр отчета), и вы увидите, какие файлы и папки фрагментированы,а также количество фрагментированных сегментов для каждого изних (рис. 8.2).Примечание. Вы можете использовать кнопки окна Analysis Report (Отчет об анализе),чтобы напечатать отчет или сохранить его в текстовом файле, если это требуетсяпо какой-либо причине.Выполните прокрутку списка файлов и папок, и если часто используемые файлысильно фрагментированы, это может быть возможной причиной замедления работывашей системы. Чем больше фрагментированных файлов у вас открыто, тембольше количество фрагментов, а это снижает производительность системы.Просмотрев результаты отчета, вы можете решить, что нужна дефрагментациядиска (даже если Disk Defragmenter не считает это необходимым). Процедуру Analyzeследует запускать регулярно; периодичность запуска зависит от уровня активностивашего компьютера. Например, файл-серверы, которые используются большимчислом пользователей, следует анализировать как минимум еженедельно.

Глава 8. Средства обслуживания системы 231Analysts Reportenslyaso cwftplelefM |C ]Рис. 8.2. Вы можете видетьподробную информацию отекущем состоянии фрагментацииVolume [C:)Volume sizeCluster sizeUsedspaceFree spacefree, space10MB \WINNT\sjPStem32\config\soltwaie2MB \WINNT\system32\configASYSTEM.ALT2MB \WINNT\system32\conlig\system16MBVProgiam FilesMnteinet Expbrei\Backup Data.3E4KB \WINNT\system32\dHcachc316KB \WINNT\system32ШДефрагментация дискаВы можете дефрагментировать диск сразу после завершения процедуры Analyze(кнопка Defragment появляется и в окне сообщения Analysis Complete [Анализ завершен], и в окне Analysis Report) или отложить дефрагментацию на другое время.Открытые файлы не могут быть дефрагментированы, поэтому проследите, чтобыбыли закрыты все приложения. Если вы дефрагментируете файл-сервер, выполняйтеэту задачу в нерабочее время. Чтобы начать дефрагментацию, выделите нужный диски используйте один из следующих методов.• Щелкните на кнопке Defragment.• Выберите пункт Defragment в меню Action.• Щелкните правой кнопкой на диске и выберите в контекстном меню пунктDefragment.Перед началом дефрагментации происходит повторный анализ диска (даже еслибыла выполнена процедура Analyze), и затем начинается процедура дефрагментации.В панели Analyze выводится графическое представление вашего диска во время анализа,и в панели Defragmentation отображается состояние диска по мере выполненияпроцесса дефрагментации. Вы можете следить за ходом этого процесса в панелиDefragmentation, но мы советуем заняться в это время чем-либо другим, посколькуэтот процесс занимает достаточно много времени. По окончании дефрагментациивыводится соответствующее сообщение. Используйте кнопку View Report в окне этогосообщения, чтобы увидеть подробный отчет о текущем состоянии диска.Ограничения Disk DefragmenterПриложение Disk Defragmenter, включенное в Windows Server 2003, имеет некоторыесерьезные ограничения. Это приложение получено от компании ExecutiveSoftware, которая предоставила ограниченную версию ее полного продаваемого продукта.Имеются следующие ограничения.

232 Windows Server 2003. Полное руководство• Вы не можете запускать Disk Defragmenter по заданному расписанию.• Вы можете дефрагментировать только локальные тома; эту версию нельзя включатьв дистанционные процедуры.• Вы можете дефрагментировать единовременно только один том.• Эту программу нельзя включать в скрипты.Полная версия этого продукта под названием Diskeeper не ограничена, и выможете приобрести ее у компании Executive Software (www.execsoft.com).Примечание. Файл-серверы наиболее подвержены фрагментации, но их нельзя дефрагментироватьв обычные рабочие часы, поэтому невозможность запуска дефрагментациипо расписанию является серьезным неудобством (если вам не нравитсяработать ночью). Достаточно этой причины, чтобы подумать о приобретении полнойверсии данного продукта.Defrag.exeНовым средством для Windows Server 2003 является программа defrag.exe, запускаемаяиз командной строки, и вы можете использовать эту программу вместо соответствующейоснастки. Эта исполняемая программа вызывает тот же код, что и оснастка(Executive Software Disk Defragmenter).Использование defrag.exe дает несколько преимуществ, и главным из них являетсято, что вы можете запускать эту программу по расписанию с помощью планировщиказаданий Windows Server 2003 Task Scheduler, что невозможно при использованииописанной выше оснастки. Еще одним преимуществом, которое, возможно,является таковым только для приверженцев командной строки, является скоростьи эффективность этой программы.Defrag.exe имеет следующий синтаксис:где:defrag/naM[/a][/f][/v]том - буква накопителя для тома, который вы хотите дефрагментировать./а - запускается только процесс анализа.Д - запускается дефрагментация тома, даже если анализ не показывает необходимостьдефрагментации./v - вывод подробной информации во время работы программы.Если вы вводите defrag буква-тома: без параметров, то программа выполняетанализ и затем дефрагментирует диск. На самом деле, программа всегда выполняетанализ, даже если вы задали параметр Д.Если вы не задали параметр /v, то программа выводит сводку результатов анализа,и затем появляется мерцающий курсор. По окончании дефрагментации происходитвозврат в командную строку. Если вы задали параметр /v, то программа выводит информациюо состоянии фрагментации папок и файлов из процесса анализа (AnalysisReport) и затем выводит тот же отчет (видимо, с более удовлетворительной статистикой)под названием Defragmentation Report после процесса дефрагментации.Эти два отчета трудно сравнивать, поскольку для этого нужно выполнить прокруткувверх, чтобы увидеть числовые показатели анализа, и сравнить их с показателямидефрагментации, для просмотра которых нужно выполнить прокрутку да-

Глава 8. Средства обслуживания системы 233леко вниз. Я считаю, что проще перенаправлять результаты отчетов в файл и затемоткрывать файл с результатами в текстовом процессоре, чтобы компоновать этиданные для упрощения интерпретации. Чтобы перенаправить экранный отчет вфайл, добавьте следующее в конце команды:>имя_файла.расширение (используйте подходящее для вас имя файла и расширениеего имени).Чтобы прекратить работу этой программы, нажмите CTRL-C. В отличие от графическоговарианта Disk Defragmenter вы не можете приостановить (pause) defrag.exe.Внимание. Вы не можете одновременно запускать defrag.exe и Disk Defragmenter.После запуска любой из этих программ вторая программа запускаться не будет.Устранение проблем дефрагментацииНе удивляйтесь, если по окончании процесса дефрагментации ваш диск будет вопределенной степени фрагментирован. Возможен ряд сценариев, которые могутпривести к этой ситуации, и некоторые из них можно исправить.Некоторые системные файлы никогда не дефрагментируютсяДефрагментатор дисков жестко запрограммирован на пропуск определенных системныхфайлов. Microsoft и Executive Software документировали следующие пропускаемыефайлы:Bootsect.dosSafeboot.fsSafeboot.csvSafeboot.rsvHiberfil.sysMemory.dmp (если он существует)Файл подкачки страниц (возможный способ обхода см. в следующем разделе).Примечание. В Windows Server 2003 файл Shelllcon больше не исключается (он исключалсяв Windows 2000).Memory.dmp - это файл, который создается, если вы задали в своей системе записьв файл, когда возникает ошибка типа STOP. Этот файл включается в списокисключаемых файлов в Windows Server 2003, поскольку области диска, где сохраняетсяэтот файл, загружаются ядром во время загрузки системы, и хранятся в памяти.Эти области диска используются затем для записи файла дампа, если это требуется.Поскольку область находится в памяти, дефрагментатор не может перемещать ее.Дефрагментация системного файла подкачки страницСистемный файл подкачки страниц (иногда его называют файлом свопинга) всегдаоткрыт для исключительного использования операционной системой и поэтому неможет быть дефрагментирован. Но если файл подкачки становится фрагментированным,это заметно влияет на производительность. Вы можете справиться с этойпроблемой, если на вашем компьютере есть второй диск или раздел. Ниже описывается,как это сделать.

234 Windows Server 2003. Полное руководство1. Откройте аплет System из панели управления (Control Panel) или щелкните правойкнопкой на My Computer и выберите в контекстном меню пункт Properties.2. В диалоговом окне System Properties (Свойства системы) перейдите во вкладкуAdvanced (Дополнительно) и щелкните на кнопке Settings (Параметры) в секцииPerformance (Быстродействие) этого диалогового окна.3. В диалоговом окне Performance Options (Параметры быстродействия) перейдитево вкладку Advanced.4. Щелкните на кнопке Change (Изменить) в секции Virtual Memory (Виртуальнаяпамять) этого диалогового окна, чтобы открыть диалоговое окно Virtual Memory(рис. 8.3).Рис. 8.3. Если у вас два диска, то выможете временно переместить файлподкачкиPaging Ш да for sdected torn -C4ive: С:Space available: I £767 MBMinimum see (MB): |'536С System managed sizeI"' go радо fieSe*total p*J>r.g file яге for Л dr.ves -Мютоги stowed: 2 MBPecommended: 76oM8Currently allocate* 763 MB£Ж Cancel5. Выберите другой диск и задайте для файла подкачки (paging file) те же размеры,что и для исходного файла подкачки.6. Выделите исходный диск и затем выберите вариант No paging file (Без файлаподкачки).7. Выполните перезагрузку, чтобы система использовала новый файл подкачки.8. Запустите Disk Defragmenter на диске, где раньше находился файл подкачки. Вамне потребуется дефрагментация файла подкачки, поскольку его уже нет на данномдиске. В результате дефрагментации этого диска появится достаточныйобъем свободного непрерывного пространства, чтобы в нем мог разместитьсяфайл подкачки, когда вы вернете его на этот диск.9. Переместите файл подкачки назад, на исходный диск, используя те же шаги.После перезагрузки файл подкачки будет создан снова в виде непрерывногофайла на исходном диске.Недостаточный объем свободного пространства ухудшаетдефрагментациюЕсли вы дефрагментируете диск, и последующий отчет показывает, что многие файлыостались фрагментированными, то у вас, возможно, не хватает свободного мес-

Глава 8. Средства обслуживания системы 235та на диске, чтобы программа могла временно размещать там фрагменты файлов.Запустите процедуру Analyze еще раз, чтобы увидеть, предлагает ли программа сновадефрагментировать диск (это бывает довольно часто). И даже если в отчете сообщается,что диску не требуется дефрагментация, вы, возможно, захотите запуститьэтот процесс, чтобы еще немного оптимизировать диск.Но мере уменьшения объема свободного пространства вам не стоит запускатьутилиту дефрагментации несколько раз подряд в надежде на то, что диск будет дефрагментированв такой степени, что это повысит его производительность. При каждомзапуске этого процесса Disk Defragmenter делает все, что возможно, с учетомнедостатка свободного пространства.Совет. Дефрагментатору требуется не менее 15% свободного места на диске, но лучшеиметь запас порядка 25%.Оптимальное решение - это переместить большое число файлов с данного дискапутем их копирования на другой диск или другой компьютер в сети. Это решениелучше всего применять после того, как вы дефрагментировали диск один раз илидва раза подряд. Просмотрите отчет и отметьте файлы, которые были успешно дефрагментированы(найдите самый большой непрерывный файл в списке). Скопируйтетакие файлы на другой диск или компьютер, чтобы предоставить дефрагментаторучасти непрерывного пространства, с которыми он мог бы работать. В процесседефрагментации программа также старается объединить свободные области на дискев непрерывные блоки, что повышает вероятность того, что перемещенные вамифайлы будет размещены в непрерывных областях, когда вы скопируете их назад.Зарезервированные области диска в NTFSСистема NTFS содержит главную таблицу файлов (MFT - Master File Table), котораядолжна находиться в начале тома. Таблица MFT содержит информацию о местоположениикаждого файла (или нескольких местоположениях файла, если этотфайл фрагментирован). Windows резервирует место в начале тома для таблицы MFT,чтобы это пространство не было доступно для программы дефрагментации. Дефрагментаторне имеет права размещать в этом зарезервированном пространстве дефрагментированныефайлы и даже не может использовать его для временной «парковки»файлов во время процесса дефрагментации.Примечание. Если вы будете следить за использованием этого зарезервированногопространства, то обнаружите, что Windows все же использует его время от временидля хранения данных, отличных от таблицы MFT. Это не слишком хорошо, но когдаоперационной системе не хватает места на вашем диске, у нее нет иного выбора.Это еще один довод в пользу регулярного обслуживания, обеспечивающего достаточныйобъем свободного места на вашем диске.Расчет объема свободного места на томе NTFS - это не слишком простая задача.Восьмая часть диска выделена для зоны MFT, поэтому, просматривая статистикуиспользуемого и свободного пространства на томе NTFS в Windows Explorer илиMy Computer, вы должны учесть этот факт для расчета истинного объема свободногопространства. Чтобы получить значение доступного объема, вычтите примерно12% из объема свободного пространства, который показан на экране.

236 Windows Server 2003. Полное руководствоОптимизация производительностидефрагментатора дискаВы можете сделать работу дефрагментатора более эффективной, если будете соблюдатьопределенные правила и процедуры. Запуск этой программы после определенныхсобытий позволяет вам снизить уровень нагрузки, что сделает процесс дефрагментацииболее эффективным (и более быстрым). Вот некоторые правила, которымнужно следовать.• Выполняйте дефрагментацию после удаления (деинсталляции) какого-либо приложения.• Выполняйте дефрагментацию каждый раз после того, как удалили большое числофайлов (или несколько очень больших файлов).• Выполняйте дефрагментацию перед установкой какого-либо приложения, особенноперед установкой на сервере приложений офисного типа (таких какExchange Server, Oracle или SQL Server).• Выполняйте дефрагментацию после обновления операционной системы (например,после установки какого-либо service pack или переустановки файлов ОСдля восстановления поврежденной системы).Программа Scheduled TasksScheduled Tasks (Назначенные задания) - это планировщик задач, который устанавливаетсявместе с Windows Server 2003 и используется для запуска приложений иутилит по заданному вами расписанию. Это средство наиболее подходит для регулярногозапуска средств обслуживания. Создаваемые вами задания - это файлы (срасширением job), которые можно передавать по электронной почте или копироватьна удаленные компьютеры, что позволяет вам создавать и запускать запланированныезадачи на других компьютерах. Файлы заданий (job-файлы) находятся впапке %SystemRoot%\Tasks.Вы можете запускать эту утилиту из панели управления (Control Panel) или изменю Start (в подменю System Tools меню Accessories). В окне Scheduled Tasks имеетсязначок Add Scheduled Task (Добавить назначенное задание), а также значки длялюбых существующих заданий.Внимание. Следите за правильностью даты и времени на компьютере, если вы запускаетеназначенные задания.Файл выполнения Scheduled TasksВозможно, вам будет интересно узнать, что Scheduled Tasks - это не приложение идаже не исполняемый файл. Эта утилита выполняется как DLL, запускаемая программойexplorer.exe со следующим описанием пути:где:%SystemRoot%\explorer.exe:: {20D04FE0-3AEA-1069-A2D8.08002B30309D}\:: {21ЕС2020-ЗАЕА-1069-A2DD-08002B30309D}\::{D6277990-4C6A-11CF-8D87-OOAA0060F5BF}

Глава 8. Средства обслуживания системы 237{20D04FEO-3AEA-1069-A2D8.08002B30309D} - это CLSID (идентификатор класса) дляобъектов My Computer{21EC2020-3AEA-1069-A2DD-08002B30309D} - это CLSID для объектов Control Panel{D6277990-4C6A-11CF-8D87-00AA0060F5BF} - это CLSID для множества значков иобъектов, которые обращаются к mstask.dll.Использование мастера создания заданийScheduled Task WizardДля запуска этого мастера щелкните на значке Add Scheduled Task и затем щелкнитена кнопке Next в начальном окне. Вы увидите список файлов приложений на вашемкомпьютере.Г1.Г.1 tfw pro? im m-j :rst V-'» idom lei iimI о - sre ггояе рожали tkk BIOWCE£;.;k э'юп.^pSystem Information^Terminal Server Licensing^Terminal Services ManagerЩUtility Manager©Windows Media Player% Windows Update| Verion Ld5.2.3663.0 (m...5.2.3663.0 (m...5.2.3663.0 (m...5.2.3663.0 (m...8.00.00.44775.4.3663.0 (m...Piow.elack I Саяге!В этот список входят компоненты, установленные вместе с операционной системой,а также любые установленные вами программы от сторонних компаний, которыепоявляются в списке приложений аплета Add or Remove Programs (Установкаи удаление программ).Внимание. Не задавайте выполнение программы резервного копирования WindowsBackup в окне Scheduled Tasks; она имеет собственную функцию планирования заданий,которая автоматически передает запланированное задание резервного копированияв список Scheduled Tasks.Если в этом списке нет приложения, которое вы хотите запускать по расписанию(обычно это программа, запускаемая из командной строки), то щелкните накнопке Browse, чтобы открыть окно Select Program To Schedule (Выбор программыдля выполнения по расписанию). Это окно устроено аналогично любому окну Open,и вы можете выбрать локальное приложение, скрипт или документ либо войти всеть, чтобы выбрать объект на удаленном компьютере. В следующем окне мастеравы начинаете конфигурировать задание.

238 JA/indows Server 2003. Полное руководствоDiskCleanupЕсли выбрать вариант When I log on (Когда я выполняю вход), то соответствующеезадание связывается с пользовательским именем, которое вы вводите в следующемокне. Это может быть имя любого пользователя, то есть вы можете планироватьзадание не только для своего входа. Вы должны знать пароль соответствующегопользователя, чтобы сконфигурировать этот вариант задания, и этот пользовательдолжен иметь достаточные права, чтобы запускать выбранную программу.Продолжайте проход через окна мастера, конфигурируя ваше задание. В последнемокне мастера обычно содержится кнопка Finish, но имеется также вариант,чтобы по кнопке Finish открывалось диалоговое окно Advanced Properties (Дополнительныесвойства), которое создается для этого задания. В диалоговом окнеProperties этого задания предлагаются дополнительные опции конфигурирования(информацию об этих опциях см. в следующем разделе).Создание назначенного задания вручнуюЕсли вы хотите попасть непосредственно в диалоговое окно Properties для конфигурированиясвоего задания (вместо прохождения через окна мастера), используйтеодин из следующих способов для создания нового задания.• В окне Scheduled Tasks выберите File\New\Scheduled Task.• В окне Scheduled Tasks щелкните правой кнопкой на пустой области и выберитев контекстном меню пункт New\Scheduled Task.В этом окне появится новый значок с именем New Task. Имя значка представленов режиме правки, что позволяет вам задать имя этого нового задания. После вводаимени задания щелкните правой кнопкой на этом значке и выберите в контекстномменю пункт Properties, чтобы открыть диалоговое окно Properties (рис. 8.4).В следующих разделах описывается, как использовать диалоговое окно Propertiesдля конфигурирования задания.

Глава 8. Средства обслуживания систе'мы 239CopyFiguieFites :' D vv.'ir DOWS'-.Taskji.ropyFig.jirftejobG—'в oilРис. 8.4. Конфигурированиенового задания вручную спомощью диалогового окнаего свойствSJanin; %Г|E 4STERN^n,n,,, a,, S,1 [MSwad., |Вкладка Task (Задание)1Опции вкладки Task почти самоочевидны, но все же мы дадим пару пояснений.Если в задании запускается программа, то вы можете добавить параметры к исполняемомуфайлу. Проследите, чтобы параметры были заданы полностью и точно,и не включайте функции, требующие интерактивных действий. Если вы используетепараметр, который требует ввода имени файла, убедитесь, что этот файлсуществует, и что путь к этому файлу задан правильно. Не используйте параметр,который требует подтверждения, если этот параметр не позволяет передать ответmnaY/N.Вы можете использовать поле Run As (Выполнять от имени), чтобы ввестипользовательское имя и пароль, с которыми будет выполняться это задание. Убедитесь,что указанный вами пользователь имеет достаточные полномочия, чтобы запускатьэтот исполняемый файл.Вкладка Schedule (Расписание)Во вкладке Schedule можно задать частоту выполнения задания, но опции расписанияв мастере и в диалоговом окне Properties отличаются одним компонентом. Вмастере предлагается опция Weekdays (В рабочие дни), когда вы выбираете вариантDaily (Ежедневно), а в окне Properties его нет. Если вы хотите запускать это заданиетолько по рабочим дням, то должны выбрать вариант Weekly (Еженедельно) и затемщелкнуть на пяти рабочих днях недели.Вы можете сузить или расширить конфигурацию расписания, щелкнув на кнопкеAdvanced и выбрав нужные опции (предлагаемые опции различаются в зависимостиот выбранной категории расписания).Примечание. Для следующих вариантов нет дополнительных опций: System Startup(Загрузка системы), Logon (Вход) и When Idle (Во время простоя).

240 Windows Server 2003, Полное руководствоВкладка Settings (Параметры)Во вкладке Settings можно задавать опции, определяющие работу задания при определенныхсостояниях системы (рис. 8.5).CspyFiguteFilesTsst | -"..:!,-.«•.• Selling! |••b. ,Jul, il.,.l „ rj,,,.,iРис. 8.5. Задайте поведениезадания в зависимости отразличных состоянийP 5i.ir.il.*u-,kiiii lurnior p3 ^ bouifijfo 3IcteTmГ 2i* start'he task if the compute has been idle for at least; V jl ihe .computer has not been idle (hat bng, tetry Idrupt№ >Powei ManageiwnlFCool :I*I theiaik n И» алщи1» ,. .unnng wi : i-iiMinГV*l e Ihe ccmpuia to iun 1N3 taslJВ секции Scheduled Task Completed (Завершение назначенного задания) вкладкиSettings имеется два флажка.• Delete the task if it is not scheduled to run again (Удалить задание, если оно незапланировано для последующего запуска). Это относится к заданиям которыеимеют конечную дату (включая, конечно, одноразовые задания). Такое заданиеудаляется после их последнего автоматического запуска. Не устанавливайте данныйфлажок, если хотите периодически возвращаться к этому заданию• Stop the task if it runs for (Остановить задание, если оно выполняется в течение)-время. Введите максимальное время, в течение которого может работать это задание(по умолчанию 72 часа, что, конечно, странно). Эту опцию полезно использоватьдля длительных заданий, запланированных на ночные часы, если выне хотите, чтобы они продолжались, когда начнется рабочий день.Совет. Не задавайте ограничение по длительности для резервного копирования (илидругой критически важной задачи), поскольку такие задачи должны продолжатьсядо их полного завершения независимо от количества времени, которое потребуетсядля этого. Вместо этого укажите более раннее время запуска, чтобы задача закончиласьдо наступления рабочего дня.*«нчпВ секции Idle Time (Время простоя) задайте опции для задания, выполнениекоторого вы спланировали на период простояни llZZT'T*° ЗНаЧаеТ ПСРИ0Д ' В ТеЧ6НИе КОТорого не «пользуется ни мышь,ни клавиатура. Это, конечно, не означает, что простаивает сам компьютер, поскольку

Глава 8. Средства обслуживания системы 241в этот период могут происходить многие вещи, включая загрузку файлов, поиск вбазе данных, репликацию и другие автоматизированные задачи. Опции Idle Time неделают выполнение ваших назначенных заданий более эффективным, и вам не следуетназначать на одно время два задания, интенсивно использующих процессорили ввод-вывод, если только вы не позволите им выполняться дольше, чем при ихзапуске в различное время.В секции Power Management (Управление питанием) вкладки Settings укажите,нужно ли запускать задание при работе компьютера от батарей (первый флажок) инужно ли прекращать задание, если компьютер переходит на режим работы от батарей(второй флажок). Эти два флажка относятся к лэптопам и не касаются компьютеров,которые переходят на питание от ИБП-устройств, когда отключается сетевоепитание. (Если вы используете для работы с ИБП такие программы, какPowerChute, то ваш компьютер, видимо, сконфигурирован для автоматического завершенияработы.) Третий флажок - вывод компьютера из спящего режима длязапуска задания - появляется на компьютерах, где поддерживается это средство.Вкладка Security (Безопасность)Вкладка Security для запланированных заданий появилась снова! Если вы переходитек Windows Server 2003 из Windows NT 4, то ничего не заметите, но в Windows2000 это средство было исключено. Многие из нас направили сообщения по этомувопросу в период бета-тестирования Windows 2000 и во время опробования первыхбета-выпусков Windows Server 2003 (этой вкладки все еще не было). Но теперь еевернули.Примечание. На момент написания этой книги Microsoft выпустила бета-версию.dll, которая возвращает вкладку Security в Task Scheduler (Планировщик заданий)Windows ХР (ее нет в Windows XP Professional). Ищите это средство в будущих servicepack Windows XP.Во вкладке Security указываются полномочия и права доступа к файлу задания.Задайте нужные параметры безопасности, чтобы соответствующие пользователимогли вносить изменения в свойства этого задания. Например, пользователь, указанныйдля этого задания, сможет изменять расписание, что могут делать все администраторы,несущие ответственность по заданиям. С другой стороны, вы не должныдопускать, чтобы другие пользователи (или хакеры) могли запускать, удалятьили изменять задания.Вкладка Security не влияет на настройки безопасности для программы, котораявыполняется в рамках задания, — исполняемый файл этой программы имеет собственнуювкладку Security. При выполнении задания его программа выполняетсятак, как если бы ее запустил указанный вами пользователь в контексте безопасностиэтого пользователя. Например, если пользователь, указанный для назначенногозадания, является членом группы Backup Operators на локальном компьютере, топрограмма, указанная в файле этого задания, выполняется так, как если бы вход налокальный компьютер был выполнен членом группы Backup Operators. Если задание,назначенное для одного пользователя, запускается в тот период, когда вход наданный компьютер осуществил другой пользователь, оно выполняется, но текущийпользователь его не видит.Если выполнивший вход пользователь создает задание, которое запускается подего собственной учетной записью, или администратор создает задание, которое за-

242 Windows Server 2003. Полное руководствопускается под учетной записью определенного пользователя, то контекст безопасностиэтого задания может вызывать проблемы. Если в вашей сети задана периодическаясмена паролей пользователями, то вы должны менять пароль во всех заданиях,назначенных для пользователей. Изменение пароля одного задания вызываеттакже изменение пароля во всех заданиях, связанных с тем же пользователем.Однако изменение паролей для заданий - слишком сложное дело (хотя бы потому,что вы должны постоянно помнить об этом). Кроме того, пользователи могутпереходить в другие отделы и менять компьютеры или увольняться из компании.Поскольку пароль учетной записи Administrator имеет неограниченный срок действия,то лучше использовать для таких задач эту учетную запись. И еще лучше,если вы создадите пользователя с административными привилегиями для заданий иизмените параметры этого пользователя, указав, что срок действия пароля не ограничен(Password never expires).Изменение или удаление назначенных заданийЧтобы изменить свойства задания, откройте окно Scheduled Tasks и затем откройтеэто задание. Перейдите в нужную вкладку диалогового окна Properties и внеситенеобходимые изменения.Чтобы удалить назначенное задание, выделите его и удалите, используя один изследующих способов.• Нажмите клавишу Delete.• Щелкните на значке Delete в панели инструментов.• Щелкните правой кнопкой на этом задании и выберите в контекстном менюпункт Delete.• Выберите пункт Delete в меню File.Удаленные задания перемещаются в корзину (Recycle Bin). Если вы не хотитезапускать определенное задание, но предполагаете использовать его в будущем, товместо удаления отключите его. Для этого сбросьте флажок Enable во вкладке Taskдиалогового окна Properties этого задания.Запуск и остановка назначенных заданийВы можете запускать любое задание в любое время, если не хотите ждать следующегозапланированного запуска. В окне Scheduled Tasks выделите это задание и выберитеFile\Run или щелкните правой кнопкой на этом задании и выберите в контекстномменю пункт Run.Если задание выполняется, и вы хотите остановить его, откройте окно ScheduledTasks, щелкните правой кнопкой на этом задании и выберите в контекстном менюпункт End Task (Прекратить задание). Возможно, это произойдет не мгновенно, а снебольшой задержкой.Просмотр состояния назначенных заданийВы можете получать информацию о состоянии задания, изменив тип отображенияна Details в меню View. В колонках этого представления содержится информация окаждом задании.

Глава 8. Средства обслуживания системы 243Ш Scheduled Task»Fie , |* Advanced HdpAddress | jScheduled TasksJ. * '2 I Next Run Tin» I •©3 CopyFigureFiles^ Disk CleanupAt 9:00 AM every day...At8:37AM everySun.,9:00:00 AM 9...8:37:00 AM 9...9:00:04 AM 9...Never0x00x0AdministratorAdministratorСовет. Чтобы выполнить сортировку по определенной колонке щелкните на заголовкеэтой колонки (чтобы изменить порядок сортировки на обратный щелкнитена заголовке этой колонки еще раз).Колонка Status (Состояние) может содержать следующие значения.ЗначениеНетRunningMissedCould not startОписаниеЗадание не выполняетсяЗадание выполняется на данный моментСистема «упустила» возможность запуска задания (обычно это означает,что компьютер не работал в запланированное время)Последняя попытка запуска задания была неудачнойПримечание. Если вы загружаете компьютер, который не работал в запланированноевремя и, тем самым, не смог запустить задание, то во время загрузки Windowsпоявится диалоговое окно с сообщением, что. возможно, было пропущено запланированноесобытие.Просматривайте файл журнала, чтобы увидеть подробную информацию о работезаданий. Для доступа к файлу журнала нужно выбрать Advanced\View Log (Дополнительно\Просмотржурнала) в меню папки Scheduled Tasks или открыть этотжурнал в Блокноте (Notepad). Этот журнал находится в файле %SystemRoot%\SchedLgU.Txt.Глобальные опции для назначенных заданийВо вкладке Advanced окна Scheduled Tasks имеются опции управления работой назначенныхзаданий.• Stop Using Task Scheduler (Прекратить использование планировщика заданий).Выбор этой команды отключает запуск любых назначенных заданий, пока вы невернетесь в меню Advanced и не выберите команду Start Using Task Scheduler(Начать использование планировщика заданий). Кроме того, Task Scheduler незапустится автоматически при следующей загрузке Windows Server 2003, если выне перезапустили Task Scheduler до перезагрузки.• Pause Task Scheduler (Приостановить планировщик заданий). Используйте эту команду,чтобы временно прекратить работу выполняемых заданий и запуск зада-

244 Windows Server 2003. Полное руководствоний. Эту команду полезно использовать во время установки программного обеспечения.Чтобы возобновить запуск назначенных заданий, выберите в менюAdvanced пункт Continue Task Scheduler (Продолжить работу планировщика заданий).Задания, запланированные на тот период, когда вы приостановили TaskScheduler, не будут запущены, пока не наступит запланированное время их следующегозапуска.• Notify Me of Missed Tasks (Извещать меня о пропущенных заданиях). Эта командане соответствует своему названию. Она уведомляет вас не о пропущенныхзаданиях, а об отказах самой службы Schedule Task. Вы не получаете уведомленийо заданиях, которые не удалось запустить из-за повреждения или отсутствияисполняемых файлов.• AT Service Account (Служебная учетная запись AT). Используйте эту команду,чтобы заменить пользовательскую учетную запись, с которой запускаются задания,запланированные с помощью команды AT (по умолчанию используетсяучетная запись System). При выборе этой команды появляется диалоговое окноAT Service Account Configuration (Конфигурирование служебной учетной записиAT), где вы можете выбрать пользовательскую учетную запись (а также ввестии подтвердить пароль для этой учетной записи). Это явно неподходящая идея;выполнение задач должно осуществляться с помощью учетной записи System.• View Log (Просмотр журнала). Выберите эту команду, чтобы открыть файл журналав Notepad, где вы можете видеть информацию о выполнении (или неудачномвыполнении) ваших запланированных заданий.Примечание. Журнал находится в файле %SystemRoot%\SchedLgU.Txt.Работа с заданиями на удаленных компьютерахВы можете просматривать, добавлять или изменять назначенные задания на удаленномкомпьютере в зависимости от ваших полномочий работы на этом компьютере.Даже не имея права доступа к заданиям на другом компьютере, вы можетеотправлять задания пользователям на других компьютерах в форме job-файлов.Папка Scheduled Tasks и папка TasksПри работе с заданиями на удаленных компьютерах важно знать, что папка ScheduledTasks, доступ к которой вы получаете в панели управления, и папка%SystemRoot%\Tasks — это не одно и то же при доступе к удаленному компьютеру.Если вы открываете эти папки на локальном компьютере, то их содержимое идентично.Большинство пользователей предполагает, что они идентичны и при доступек удаленному компьютеру. Но это не так.Если вы открываете %SystemRoot%\Tasks на удаленном компьютере, появляетсячто-то очень знакомое, поскольку вы видите на самом деле содержимое вашейсобственной папки %SystemRoot%\Tasks (это зеркальное отображение - то же самоепроисходит с Recycle Bin). Действуют следующие правила.• Если вы удаляете задание из удаленной (как вам кажется) папки Tasks, то насамом деле вы удаляете его своей собственной папки.• Система не позволяет вам перетаскивать задание между папками Tasks, посколькуна самом деле вы пытаетесь перетащить его в ту же папку.

Глава 8. Средства обслуживания системы 245Просмотр заданий на удаленном компьютереДля просмотра папки Scheduled Tasks на удаленном компьютере вы должны найтипапку Scheduled Tasks. Откройте My Network Places (Сетевое окружение) и раскройтезапись для удаленного компьютера, чтобы найти папку Scheduled Tasks. Ее легконайти, поскольку значок этой папки содержит изображение часов. Выберите этупапку для просмотра ее содержимого (используйте представление Details, чтобыполучить максимум информации). Действуют следующие правила.• Диск, содержащий папку Scheduled Tasks, должен быть предоставлен для разделяемогодоступа, чтобы вы имели доступ к этой папке.• Вы не можете задавать сопоставление (букву накопителя) для папки ScheduledTasks.Если вы имеете соответствующий уровень полномочий, то можете удалять и изменятьзадания на удаленном компьютере.Передача заданий на удаленные компьютерыВы можете перетаскивать или копировать задание между своим и удаленным компьютеромпри соблюдении следующих условий.• На целевом компьютере должен присутствовать файл, от которого зависит задание(обычно это исполняемый файл).• Свойства задания, возможно, потребуется скорректировать, чтобы изменить путьк этому файлу на целевом компьютере.• Свойства задания, возможно, потребуется скорректировать, чтобы указать другоепользовательское имя.Если вы имеете доступ к папке Scheduled Tasks на целевом компьютере, то наиболееподходящий способ - это нажать правую кнопку мыши и, не отпуская ее,перетащить задание между локальной папкой Scheduled Tasks и удаленной папкойScheduled Tasks. Выберите пункт Сору Неге в меню, которое появится, когда вы отпуститеправую кнопку мыши (перетаскивание при нажатой левой кнопке вызываетперемещение файла, а не копирование). Альтернативный способ - это копированиеи вставка задания между папками Scheduled Tasks с помощью командконтекстных меню, которые появляются при щелчке правой кнопкой.Если у вас нет доступа к папке Scheduled Tasks удаленного компьютера, выполнитекопирование задания и его вставку в любом месте на целевом компьютере, изатем пользователь этого компьютера переместит файл задания в свою папкуScheduled Tasks.Внимание. Не используйте папку %SystemRoot%\Tasks как исходную или целевуюпапку в процедуре копирования/вставки.Отправка и получение заданий с помощью электронной почтыВы можете отправить по электронной почте файл задания (имя_задания.]оЪ) любомупользователю, присоединив этот файл к сообщению в виде вложения. Но есливаша программа электронной почты не позволяет вам входить в панель управления,чтобы вы могли открыть папку Scheduled Tasks, то вы не получите доступа кjob-файлу, когда щелкнете на кнопке Attach. В этом случае нужно открыть ControlPanel, открыть папку Scheduled Tasks и скопировать задание в любую папку, к кото-

246 Windows Server 2003. Полное руководстворой имеется доступ из вашей программы электронной почты (я использую кореньдиска С:). Затем присоедините эту копию к сообщению электронной почты.Получателю нужно просто перетащить или скопировать этот файл в его папкуScheduled Tasks.АТ.ехеЕсли вы использовали команду AT в Windows NT и/или Windows 2000, то, видимо,знакомы с понятием планирования запуска программ. Команду AT можно использоватьдля планирования заданий и Windows Server 2003.Task Scheduler и команда AT работают согласованно. Если вы создаете задание спомощью команды AT, то эта задача появляется в окне Scheduled Tasks. Вы можетеизменить задание, используя ключи команды AT, или использовать средстваScheduled Tasks, чтобы изменить конфигурацию задания, которое вы создали с помощьюкоманды AT.Но если вы использовали Scheduled Tasks для изменения конфигурации, то модификаторыкоманды AT больше не действуют для этого задания, поскольку выпередали его в Scheduled Tasks.АТ.ехе имеет следующий синтаксис:где:at [\\имя_компьютера] [{[ID] [/delete]\/delete [/yes]}]at [\\имя_компьютера] часышинуты [/interactive] [{[/every:dama[,...]\Jnext:dama[,...]}] команда]\\имя_компьютера указывает удаленный компьютер (без этого параметра используетсялокальный компьютер).ID указывает идентификационный номер, присвоенный какой-либо существующейкоманде планировщика./delete отменяет запланированную команду. Если ID команды не указан, то отменяютсявсе запланированные команды на данном компьютере./yes задает ответ Yes на все запросы подтверждения, когда вы удаляете запланированныесобытия.часышинуты - это время, когда должна быть запущена команда, в 24-часовом формате./interactive позволяет команде взаимодействовать с рабочим столом текущего выполнившеговход пользователя,/every: запускает команду в указанный день или дни недели или месяца.дата указывает, когда будет запускаться команда. Задайте один или несколько днейнедели (М [Пн], Т [Вт], W [Cp], Th [Чт], F [Пт], S [Сб], Su [Be]) или один илинесколько дней месяца (числа от 1 до 31). Несколько дат разделяются запятыми.Если этот параметр опущен, то используется текущий день месяца./nextidama запускает команду для следующего экземпляра указанного дня.команда - программа или пакетный файл для выполнения. Если в качестве параметранужно указать путь, используйте абсолютный путь. Если это команда на удаленномкомпьютере, то используйте UNC-путь, а не сопоставляемую букву накопителя.

Глава 8. Средства обслуживания системы 247Вы можете ввести at без параметров, чтобы получить информацию о командах,которые вы запланировали с помощью программы АТ.ехе. В эту информацию невключаются запланированные задания, которые вы создали в графическом интерфейсеScheduled Tasks, а также запланированные задания, которые вы создали спомощью АТ.ехе, но затем изменили в графическом интерфейсе Scheduled Tasks.При вводе at \\Имя_компьютера выполняются те же действия на удаленном компьютере.Schtasks.exeНовая программа schtasks.exe (она включена в Windows Server 2003 и Windows XP)аналогична АТ.ехе, но имеет намного больше возможностей, и я думаю, что единственнойпричиной того, что АТ.ехе еще остается на вашем диске, является поддержкастарых запланированных команд, которые вы пока не переделали с помощьюschtasks.exe.Schtasks.exe - это версия утилиты Scheduled Tasks для командной строки, поэтомувсе, что вы делаете с помощью одного средства, реализуется также и в другом. Вотличие от АТ.ехе вы можете быть уверены, что после изменений в графическоминтерфейсе для задания, созданного с помощью schtasks.exe, это задание будет попрежнемудоступно для schtasks.exe.В этом разделе дается описание двух наборов синтаксической информации:• Синтаксис и параметры для создания заданий• Синтаксис и параметры для работы с существующими заданиямиСоздание заданий с помощью Schtasks.exeВы можете создавать в командной строке задания с очень высоким уровнем детализации.Schtasks.exe имеет следующий синтаксис для создания заданий:schtasks /create /tn имя_задания /tr путь /sc расписание [/mo модификатор] [/Адень] [/i время простоя] [/st время_начала] [/sd дата_начала] [/ed дата_окончания]f/s компьютер] f/ru пользователь [/гр пароль]]где:/create обязательно указывается как первый параметр,/tn имя_задания - имя задания,/tr путь — путь и имя файла запускаемой программы или команды,/sc расписание — тип расписания с использованием следующих опций:Minute, Hourly, Daily, Weekly, Monthly(Минуты, часы, дни, недели, месяцы)Once (Один раз)Onstart (При загрузке)Единицы времениЗадание запускается один раз в указанныедень и время.Задание запускается при загрузке (в указанныйдень или при следующей загрузкесистемы).

248 Windows Server 2003. Полное руководствоOnlogon (При входе пользователя)Onidle (Во время простоя)Задание запускается при входе пользователя(в указанный день или при следующемвходе пользователя).Задание запускается, если система «простаивает»в течение указанного промежуткавремени (в указанный день или при следующемпростое системы)./то модификатор указывает, насколько часто запускается задание в пределах еготипа расписания. Этот параметр используется следующим образом:• Обязателен для типа расписания Monthly.• Необязателен для типа расписания Minute, Hourly, Daily или Weekly.• begin text inlin (допустимые значения: first (первая), second (вторая), third (третья),fourth (четвертая) и last (последняя)./d день указывает день недели. Этот параметр используется следующим образом:• Допустимые значения - это mon, tue, wed, thu, fri, sat и sun.• Обязателен для типа расписания Monthly с модификатором first, second, third,fourth или last.• Необязателен для типа расписания Weekly./i время простоя указывает, сколько минут должен «простаивать» компьютер, преждечем будет запущено задание. Допустимые значения - это целые числа от 0 до 999./st время_начала указывает время запуска задания в формате чч:мм:сс. Используетсяследующим образом:• Обязателен для типа расписания Once.• Необязателен для типа расписания Minute, Hourly, Daily, Weekly и Monthly./sd дата_начала указывает дату начала использования задания в формате мм/дд/гггг. Используется следующим образом:• Обязателен для типа расписания Once.• Необязателен для всех других типов расписания./ed дата_окотания указывает дату, когда нужно прекратить запуск задания./s компьютер указывает имя или IP-адрес удаленного компьютера (с обратнымислэшами или без них). Если этот параметр пропущен, то подразумевается локальныйкомпьютер./ги пользователь - запуск задания с уровнем полномочий учетной записи этогопользователя. Если этот параметр пропущен, то задание выполняется с полномочиямитекущего выполнившего вход пользователя./гр пароль указывает пароль пользовательской учетной записи, указанной параметром/га пользователь. Если этот параметр пропущен, то при запуске задания у пользователязапрашивается пароль.

Глава 8. Средства обслуживания системы 249Управление существующими заданиямис помощью Schtasks.exeДля управления заданиями с помощью Schtasks.exe используется небольшое числоопций и параметров.Запрос информации заданияВы можете увидеть список заданий, набрав schtasks /query в командной строке. Врезультатах выводятся все задания, созданные с помощью Task Scheduler в графическоминтерфейсе и с помощью schtasks.exe в командной строке. Это важное отличиемежду schtasks.exe и АТ.ехе.Возможности параметра /query можно расширить с помощью следующего синтаксиса:schtasks /query [/s Имя_сервера] [До формат] [/nh] [/v]где:/s Имя_сервера указывает удаленный компьютер для данной команды.До формат указывает формат отображения на экране с использованием следующихзначений:• table (таблица). Это значение по умолчанию.• list (список)• csv (с разделителями-запятыми)/nh отменяет вывод заголовков колонок в форматах table и csvСовет. Ключ /nh полезно использовать для перенаправления вывода в файл, особеннов формате csv. Полученный файл можно загрузить в базу данных или электроннуютаблицу./у указывает режим подробного вывода со всей известной информацией о каждомзадании.Примечание. В режиме /v выводится много неформатированной информации. Еесложно читать. И, возможно, это больше, чем вам нужно. Если вам нужна эта информация,то проще открыть программу Scheduled Tasks и посмотреть свойства задания.Удаление заданийПри удалении заданий с помощью schtasks.exe система сначала запрашивает подтверждениеэтого удаления (если вы не используете ключ /f) и затем возвращаетсообщение об удалении. Для удаления заданий с помощью schtasks.exe используйтеследующий синтаксис:schtasks /delete /tn имя_задания [/s Имя_сервера] [/f]где:/delete - обязательная команда./tn имя_задания указывает задание (используйте /tn *, чтобы указать все задания).

250 Windows Server 2003. Полное руководство/s Имя_сервера указывает удаленный компьютер (для локального компьютера этотпараметр пропускается)./f вызывает принудительное удаление, если задание выполняется в данный момент,причем удаление происходит без запроса подтверждения.Внимание. Параметр /f действует по принципу «не брать пленных», поэтому используйтеего с осторожностью.Если вы используете schtasks.exe, указывая имя файла задания, и видите сообщениеоб ошибке, где сообщается, что данные неверны (invalid data), это означает,что файл задания поврежден. Вы не можете исправить или восстановить поврежденноезадание; нужно удалить это задание и снова создать его.Disk Cleanup (Очистка диска)Disk Cleanup используется для удаления всего, что вам не нужно и никогда не потребуется.Disk Cleanup применяется только к локальным дискам и может одновременноработать только с одним диском.Запуск Disk CleanupДля запуска Disk Cleanup используйте один из следующих способов.• Выберите Start\Run и введите cleanmgr, затем щелкните на кнопке ОК.• Выберите Disk Cleanup в подменю System Tools меню Accessories.Если у вас несколько дисков, то вы сначала должны выбрать диск. Эта программасканирует ваш диск, определяя, сколько и каких файлов можно удалить.Определение того, что можно удалитьПосле завершения анализа (что может занять много времени на большом диске,если вы еще не использовали эту программу) в диалоговом окне Disk Cleanup появляютсяпометки рядом с категориями файлов, которые можно безопасно удалить(рис. 8.6).Вы можете выбрать дополнительные категории файлов и отказаться от некоторыхпредложенных вам категорий, установив или сбросив соответствующие флажки.По мере внесения изменений выводится суммарный объем пространства на диске,который вы освободите в результате очистки. После выбора нужных категорийщелкните на кнопке ОК, чтобы очистить диск. Появится диалоговое окно для подтверждения;щелкните на кнопке Yes, чтобы подтвердить, что вы хотите удалитьвыбранные файлы.Если у вас несколько дисков, то все категории типов файлов будут представленытолько для диска, содержащего папку SystemRoot. Если выбрать любой другойдиск, то для очистки будут доступны только Recycle Bin (Корзина), опция сжатиястарых файлов (см. следующий раздел) и файлы Catalog (от предыдущих процессовиндексирования).

• •Глава 8. Средства обслуживания системы«', Disk Cleanup tot fO:lDtekCta3PJ More Option;up to 3202 KBof diskРис. 8.6. Выберите тип файлов,чтобы увидеть описание соответствующейкатегории13 цЭ Temporary Internet FilesQ 120 Setup Log FflesО L«] Temporary files0|B: bownkudnd Pro,ет , F te , w , д с „,,^ а^,,, к arid Jayaouh*ddrA^^гсе1jСжатие старых файловВыполните прокрутку окна, чтобы найти строку с именем Compress old files (Сжатие старых файлов). Disk Cleanup не предлагает удалить старые файлы вместо этого она предлагает держать старые файлы в сжатом формате Для х файловиспользуется меньший объем пространства на дискеФVou сап сотргем Wes that are no! accessed very often Specify how man»4w to WM betoit >n ипжое: ;ed ife Is ccnoci'edCancelСжатие файлов доступно только для дисков с файловой системой NTFS Есливы решили сжать файлы, то не забудьте задать в окне Folder Optiom ^Свойства папки), что сжатые файлы должны выводиться другим цветом.Дополнительные опции для Disk CleanupВ диалоговом окне Disk Cleanup имеется вкладка More Options (Дополнительнойгде представлены две дополнительные альтернативы очистки

252 Windows Server 2003. Полное руководство• Windows components (Компоненты Windows). Позволяет вам удалять необязательныекомпоненты Windows, которые вы установили, но не используете.• Installed programs (Установленные программы). Позволяет удалять программы,которые вы установили, но не собираетесь больше использовать.При выборе одного из следующих вариантов появляется соответствующее диалоговоеокно Windows.• Optional Windows Components (Необязательные компоненты Windows). Выводитсядиалоговое окно Add or Remove Windows Components, доступ к которому обычноосуществляется из аплета панели управления Add or Remove Programs.• Installed Programs. Выводится диалоговое окно Add or Remove Programs со спискомустановленного программного обеспечения.Использование Cleanmgr.exeВ версии утилиты очистки диска для командной строки (cleanmgr.exe) предоставляетсяряд параметров, которые вы можете использовать для автоматизации процессаочистки и повышения его эффективности. (Кстати, cleanmgr.exe не представлена всекции справок по командной строке help-файлов Windows Server 2003, поэтому вам,может быть, захочется поместить закладку на эту страницу.) Cleanmgr.exe поддерживаетследующие параметры командной строки.• /d буква-диска. Выбор диска для очистки.• /sageset: п. Вывод диалогового окна Disk Cleanup Settings, чтобы вы могли выбратьнабор опций очистки и назначить этому набору номер («). Система затемсоздает раздел реестра для хранения этого набора опций, присвоив ему номер п.Значение п может быть целым числом от 0 до 65535; фактически вы присваиваетес помощью этого числа номер версии для очистки диска с использованиемвыбранного набора опций. Например, вы можете задать очистку корзины(Recycle Bin) и временных файлов Интернет (Temporary Internet Files) и присвоитьэтой конфигурации значение л, равное 1. Вы можете затем создать еще одиннабор конфигурации, выбрав другие типы файлов или указав сжатие старыхфайлов, и присвоить этому набору значение п, равное 2.• /sagerun: п. Запуск задания с номером п, который вы присвоили с помощью параметра/sageset.Еще одним преимуществом создания нескольких вариантов конфигурации дляDisk Cleanup является то, что вы можете использовать cleanmgr.exe с подходящимипараметрами в планировщике заданий (Task Scheduler). После создания нумерованныхнаборов с помощью параметра sageset в командной строке используйте эту командус параметром sagerun: n в Task Scheduler (подставив ваш собственный номервместо п). Вы можете спланировать одну конфигурацию, для которой будет ежедневновыполняться очистка Recycle Bin, Temporary Internet Files и других распространенныхтипов файлов, и другую конфигурацию, для которой будет еженедельновыполняться сжатие старых файлов или удаление старых индексных записей.SystemInformationВ окне System Information Windows Server 2003 выводится информация о конфигурациилокального или удаленного компьютера. Вы можете открыть это окно, используяследующие способы.

Глава 8. Средства обслуживания системы 253• Выберите Start\All Programs\Accessories\System Tools\System Information.• Выберите Start\Run и введите msinfo32.В левой панели окна System Information представлено много категорий, и онооткрывается с выбранным элементом System Summary, для которого в правой панеливыводится базовая информация о данном компьютере.ш System InformationFie £dl Viewloots£»- Hardware ResourcesЩ Components•M- Software EnvironmentЙ Internet SellingsOSManufacturer MicrosoftCorporationSystemName AS20021SystemManufacturer VIA Technologies. Inc.SystemModel VT82C692BXSystemType X86-basedPCProcessorx86Family 6Model 8Stepping 6 Genuinelntd "668Mhz iBIOSVersion/Date AwardSoftware International. Inc.6.00PG.12/21/2000 'SMBIOS Version 2.2Windows Directory D:\WIND0WSSystem Diectory D:\WIND0WS\system32BootDevice \Device\HarddiskVolume1Locale . . UnitedStates•I•i»arch telKJed category only Г iesch category nsmei n-Jj-CcseFind ["33Администраторы уделяют не слишком много внимания этому средству в повседневныхзадачах администрирования. Но сотрудники служб поддержки (Microsoftили сторонних поставщиков оборудования/программного обеспечения) довольночасто просят обратившихся к ним пользователей, чтобы они посмотрели определеннуюинформацию в окне System Information.Если вам нужно найти информацию об определенном элементе, то вы можетеперемещаться в левой панели или использовать версию этого средства для команднойстроки с параметрами, которые сводят вывод к типу информации, которую выищете. В следующих разделах дается описание обоих методов.Перемещение в окне System InformationПри раскрытии категорий в левой панели появляются подкатегории (а некоторыеподкатегории имеют собственные подкатегории). Этот список кажется нескончаемым.Однако эта программа содержит средство поиска, которое упрощает переходк нужной вам информации. Введите слово или фразу в поле Find what и затем выполнитеследующие действия.• Для поиска среди всех категорий и всех элементов в правой панели щелкните накнопке Find после ввода текста, который вы хотите найти.• Чтобы ограничить поиск определенной категорией, включая данные в правойпанели, выберите эту категорию и затем установите флажок Search SelectedCategory Only (Поиск только для выбранной категории). Если эта категория имеетподкатегории, то они автоматически включаются в область поиска.• Для поиска только в дереве консоли, игнорируя элементы в панели подробнойинформации (правой панели), установите флажок Search Category Names Only(Поиск только среди имен категорий).

254 Windows Server 2003. Полное руководствоСовет. Если внизу консоли нет поля Find what, нажмите клавиши Ctrl-F, чтобы включитьсредство поиска или выберите Edit\Hide Find (Правка\Скрыть поле поиска),чтобы снять пометку с этого пункта меню.Сохранение данных о системе в файлеВозможно, вам потребуется сохранить информацию о системе в файле и затем отправитьэтот файл электронной почтой сотруднику службы поддержки (или выгрузитьэтот файл на веб-сайт). Для этого выберите File\Save и введите местоположениеи имя для файла в диалоговом окне Save As.Файлы с информацией о системе сохраняются с расширением имени .nfo. Поумолчанию Windows Server 2003 сохраняет .nfo-файлы для версии System Information7.0. В диалоговом окне Save As предлагается второй тип файлов для .nfo-файловверсии 5.0/6.0. Используйте этот тип файлов, если вы подсоединены к удаленномукомпьютеру, работающему с более ранней версией Windows, чем Windows Server 2003.В случае открытия .nfo-файла появляется окно System Information, где представленысохраненные в этом файле данные.Экспорт данных о системеВы можете экспортировать данные о системе в текстовый файл, который можетеанализировать в текстовом процессоре или текстовом редакторе. Вы можете работатьс этим файлом на любом компьютере независимо от используемой операционнойсистемы, поскольку для этого не нужно открывать программу System Information,в которой он создан.Выберите File\Export и введите местоположение и имя для своего файла данных(система автоматически добавит расширение .txt). Полученный файл напоминает.ini-файл: он имеет [секции], после которых следуют данные каждой секции.Вы можете экспортировать определенные данные, выбрав категорию или подкатегориюв левой панели, прежде чем экспортировать данные. Будет выполненэкспорт только тех данных, которые связаны с выбранной категорией.Вы можете также получить текстовый отчет, распечатав информацию о системе(с помощью File\Print). Это огромный файл, и на это может потребоваться большестраниц, чем умещается в лотке вашего принтера. Вы можете, конечно, ограничитьколичество данных, выбрав определенную категорию, но почти всегда лучше выполнитьэкспорт в файл. После этого сможете распечатать те секции, для которыхнужна печатная копия.Запуск системных средств из окна System InformationВ меню Tools предоставляется ряд встроенных средств конфигурирования и анализаWindows Server 2003, которые вы можете использовать для устранения проблемсвоего компьютера. Во многих случаях сотрудники служб поддержки просят пользователейзапустить одно из этих средств, чтобы помочь им в попытках разрешенияпроблем.

Глава 8. Средства обслуживания системы 255ш System Infoimatton•i Internet SellingМм [>«gnosiie«Fie Sionatue Verification UtSj.Search selected categorycategory name» or*/I Value••MicrosoftCorporationAS20021VIA Technologies. Inc.«ITJ..-Fi-vi Ji f iПодсоединение к удаленному компьютеруВы можете запускать System Information для удаленного компьютера, если имеетесоответствующие права на этом компьютере. Для подсоединения используйте одиниз следующих способов.• Нажмите Ctrl-R.• Выберите в линейке меню View\Remote Computer (Вид\Удаленный компьютер).В диалоговом окне Remote Computer введите имя соответствующего компьютера.Вы не обязаны использовать UNC-формат - просто введите имя машины. Подсоединившись,вы увидите в категории System Summary имя этого удаленного компьютера;в остальном все остальное выглядит и происходит так же, как при работе слокальным компьютером.Для возврата к локальному компьютеру нажмите Ctrl-R и выберите My Computer.При выходе из этой программы также происходит отсоединение от удаленного компьютера.Использование Msinfo32.exeВы можете также запускать программу System Information из командной строки длязапуска окна System Information. Параметры, которые вы можете использовать сверсией msinfo32 для командной строки, позволяют вам управлять количествоминформации, которая выводится в окне System Information. Вы можете очень точнозадавать то, что хотите видеть.Однако реализуется это не слишком просто. Если открыть командный сеанс иввести msinfo32.exe, то система выдаст сообщение об ошибке.Т. Command PromptJD:\>msinfe»32'nsinft>32' is not recognised as an internal or external command,operable program ov batch file.I•i , ,Программа msinfo32.exe находится в папке Program Files\Common Files\MicrosoftShared\MSinfo, которая не входит в путь по умолчанию. Однако вы не обязаны использоватьэтот путь, чтобы открыть данную программу, и можете разрешить этупроблему одним из двух способов.• Введите в командной строке winmsd. (Программа Winmsd.exe в Windows NT запускалаприложение для диагностики Windows NT. В Windows Server 2003/Windows2000 winmsd.exe - это модуль, запускающий msinfo32.exe.)

256 Windows Server 2003. Полное руководство• Введите в командной строке start msinfo32. (Команда Start запускает второй экземпляркомандного процессора и выполняет введенную команду — в данномслучае это msinfo32.)Имеются следующие параметры для msinfo32.exe:/categories (+\-)(аЯ\имя_категории) +\-(имя_категории)... - вывод на экран или вфайл указанных категорий./category имя_категории — указание определенной категории для запуска./msinfo_file=itwi_$aiMa - открытие сохраненного .nfo-файла./nfo или /s имя_файла - вывод в .nfo-файл с указанным именем./report имя_файла — вывод в текстовый файл с указанным именем./computer имя_компьютера — подсоединение к указанному компьютеру.Чтобы выбрать или исключить из выбора одну из основных категорий, используйтеследующие правила.Чтобы увидеть данную категориюSystem SummaryHardware ResourcesComponentsSoftware EnvironmentInternet ExplorerApplicationsВведите следующий текстSystemSummaryResourcesComponentsSWEnvInternetExplorerAppsВ следующих разделах приводится текст, который нужно вводить в команднойстроке для задания подкатегорий.Подкатегории для Hardware ResourcesЧтобы увидеть данную категориюConflict/SharingDMAForced HardwareI/OIRQsMemoryПодкатегории для ComponentsЧтобы увидеть данную категориюMultimediaDisplayInfraredInputВведите следующий текстResourcesConflictResourcesDMAResourcesForcedHardwareResourcesIOResourcesIRQSResourcesMemoryВведите следующий текстComponentsMultimediaComponentsDisplayComponentslnfraredComponentslnput

Глава 8. Средства обслуживания системы 257Чтобы увидеть данную категориюModemNetworkPortsStoragePrintingProblem DevicesUSBВведите следующий текстComponentsModemComponentsNetworkComponentsPortsComponentsStorageComponentsPrintingComponentsProblemDevicesComponentsUSBПодкатегории для Software EnvironmentЧтобы увидеть данную категориюDriversEnvironment VariablesJobsNetwork ConnectionsRunning TasksLoaded ModulesServicesProgram GroupsStartup ProgramsOLE RegistrationВведите следующий текстSWEnvDriversSWEnvEnvVarsSWEnvJobsSWEnvNetConnSWEnvRunningTasksSWEnvLoadedModulesSWEnvServicesSWEnvProgramGroupSWEnvStartupProgramsSWEnvOLERegStart /wait msinfo32.exeВвод команды Start /wait msinfo32.exe [параметры, если они требуются] указываетсистеме, что следующий элемент не должен обрабатываться, пока не будет завершенаобработка текущего элемента. Это препятствует возможной перегрузке компьютера,поскольку для некоторых категорий требуется значительная доля времениЦП. Это особенно важно, если вы используете msinfo32.exe в пакетном файле.Оснастка Local Computer Management(Управление локальным компьютером)В Windows Server 2003 имеется оснастка ММС, которая позволяет управлять почтивсем на вашем компьютере (или на удаленном компьютере, если вы имеете соответствующиеполномочия). Большинство средств, доступных из оснастки LocalComputer Management, доступны также из системы меню или из командной строки.Но, конечно, намного проще открыть одну консоль ММС, чтобы иметь доступ сразук нескольким средствам.Чтобы открыть оснастку Local Computer Management, щелкните правой кнопкойна My Computer и выберите в контекстном меню пункт Manage, после чего появитсяконсоль ММС, показанную на рисунке 8.7.9 - 3994

258 Windows Server 2003. Полное руководствоS Computer Management£|IComputer Management (Local!$ "S& System Too| sEvent Viewer, $• Щ Shared Folders" Local Users and GroupsPerformance Logs and AlertsDevice Manager(ageRemovable Storage|^ Disk Defragment^_ Disk Management&f|S Services and Applicationsф-fj Telephonyl~@$A Servicesi jg WMI ControlЫ 13 Indexing ServiceNameuSystem ToolsЛ Storage9 Services and ApplicationsРис. 8.7. Используя оснастку Computer Management, вы можете управлять своимкомпьютером из одной консолиДерево System ToolsЕсли раскрыть все объекты под System Tools, то вы увидите большое число оснасток,служебных средств и элементов конфигурации (рис. 8.8).ComputerManagement (LB-(ljJl Event ViewerApplicationSecuritySystemShared Foldersj «Й Shares1-Й SessionsOpen FilesK-jJJ Local Users and Groupssets£3 GroupsPerformance Logs and AlertsCounter LogsTrace LogsAlertsDevice ManagerStoiaqejjEventViewerSshmdFaMmLocalUsersandGroupsЙ Performance Logs and AlertsDevice ManagerExtension Snap-inExtension Snap-inDisplays event tee».Displays shared folders, current sessions, andManages Local Users and Groups.Configures performance data logs and alertsDevice ManagerРис. 8.8. Вы можете управлять опциями конфигурирования системы, событиями ипроизводительностью с помощью объектов контейнера System Tools

Глава 8. Средства обслуживания системы 259Оснастка Event Viewer (Просмотр событий). Используйте Event Viewer для сбора информациио событиях, которые возникли в вашей системе. Вы можете вызвать EventViewer из оснастки Computer Management или из папки Administrative Tools, находящейсяв панели управления. (Если вы переходите к Windows Server 2003 из WindowsNT, это важно знать, чтобы вы не запутались.)• Журналы Event Viewer. Информация о действиях, поведении и проблемах в вашейсистеме записывается в журналы. По умолчанию Windows Server 2003 EventViewer содержит три журнала.• Журнал Application (Журнал приложений). Содержит события, регистрируемыеприложениями. Какие события отслеживать, решают разработчики приложений.• Журнал Security (Журнал безопасности). В этот журнал записываются события,выбранные для аудита, например, попытки входа в систему, а также события,связанные с доступом пользователей к ресурсам. Как администратор вы можетерешить, какие события нужно записывать в журнал безопасности.• Журнал System. Содержит события, регистрируемые системными компонентамиWindows Server 2003. Это обычно сообщения об сбоях драйверов или системныхслужб. Типы записываемых событий встроены в Windows Server 2003.Примечание. Если Windows Server 2003 действует как контроллер домена или серверDNS, то для отслеживания этих служб в Event Viewer включаются дополнительныежурналы.• События. В Event Viewer выводятся разнообразные типы событий, каждый изкоторых имеет свой уровень значимости и свой тип значка в журналах событий.Чтобы увидеть детали события, нужно дважды щелкнуть на записи этого событияв Event Viewer.• Error (Ошибка). Указывает на существенную проблему, которая может говоритьо потере функционирования, например, для драйверов или служб, которые неудалось запустить.• Warning (Предупреждение). Указывает на некоторую проблему, которая можетстать серьезной, если вы не займетесь этой проблемой.• Information (Информация). Чисто информационная запись, но не признак будущейили существующей проблемы.• Success Audit (Аудит успеха). Успешное событие системы безопасности, котороевключается в журнал, поскольку система или администратор выбрали аудит этогособытия.• Failure Audit (Аудит отказов). Событие системы безопасности для неудачной попыткивыполнения, которое включается в журнал, поскольку система или администраторвыбрали аудит этого события.Конфигурирование Event Viewer. Журналы событий, которые вы используете, запускаютсяавтоматически во время загрузки операционной системы. Файлы журналовимеют конечные размеры, и перезаписываются в соответствии с тем, как это определенов опция конфигурирования журнала. Чтобы увидеть или изменить опцииконфигурирования журнала, щелкните правой кнопкой на этом журнале в EventViewer и выберите в контекстном меню пункт Properties.

260 Windows Server 2003. Полное руководствоSystem PropertiesGeneral | ГДмLognameDeaiedModfMAccessed«ISystemJDAWIND0WS\systerifl2\conn g \Sj.;Ev8nt.Evt'•i •..;.•••: :;•:••• :J • ••1 . : '.• il. mil i .?(] i . И • И

•:•:': : :"•"•: 1 : ; - : -'- :Г л а в а 8 . С р е д с т в а о б с л у ж и в а н и я с и с т е м ы 261nt sonsCategots:|(AI)|(AI)i1t11Fram. j First Even! AIo j Last Event 3 Г J ji! •ШОснастка Shared Folders (Разделяемые папки)Оснастка Shared Folders позволяет вам следить за использованием соединений иресурсов, используя информацию трех подпапок дерева консоли.[~| ComputerManagementFife ActionYewHelp i -ial >lCompute! Management (Local)B|is System ToolsЙ :j!^ EvenlVie•••-i J S I - a e s^ S e s s i o n sjii—^ Shares•• -£*p Sessions• - ^ Open Files^ J Open FilesЕЙ Щ Peiformance Logs and Alerts•* .Щ Device ManagerShares (Разделяемые ресурсы). Откройте объект Shares, чтобы увидеть разделяемыересурсы на данном компьютере. В колонках правой панели содержится информацияо каждом разделяемом ресурсе.Compute.ManagrawntЕ*ЕЗ D С?., й О^Computer Management [Local]ijgjj System Tootsffl Й Event ViewerЙ|§ Shared Folders: !•-^ Sessions•: :..,.^ Qpen pfesЁ Щ Local Users and Groupslii~|p Performance Logs and Alerts^Щ Device Manager Щi^ADMINS DAWINDOWS Windows 0i»AS20021-D DA Windows 2SS?AS22021-C CA Windows 0:$ CA Windows 0SSD$ DA Windows 0ЙЭ IPC$ Wndows 0De*.oc*onDefault shareDefault shareRemote IPCJJ

262 Windows Server 2003. Полное руководствоКолонкаShare Name(Имя разделяемого ресурса)Folder Path (Путь к папке)Туре (Тип)#Client Connections(Количество подсоединенныхклиентов)Description (Описание)ИнформацияРазделяемый ресурс: разделяемая папка, именованныйканал (pipe), разделяемый принтер и т.д.Путь к разделяемому ресурсу.Тип сетевого соединения: Windows, Netware,Macintosh.Количество пользователей, подсоединенных на данныймомент к разделяемому ресурсу.Описательный текст для разделяемого ресурса.Совет. Нажмите F5, чтобы обновить информацию на экране; это позволит вам увидетьточное количество текущих пользователей.Чтобы создать новый ресурс, щелкните правой кнопкой на объекте Share в деревеконсоли и выберите в контекстном меню пункт New File Share (Создать файловыйресурс). Чтобы сконфигурировать существующий ресурс, щелкните правойкнопкой на соответствующем ресурсе в правой панели и выберите в контекстномменю пункт Properties.Чтобы отправить сообщение какому-либо компьютеру или всем компьютерам,которые используются подсоединенными пользователями, щелкните правой кнопкойна объекте Share в дереве консоли и выберите All Tasks\Send Console Message(Все задачи\Отправить консольное сообщение). Введите текст сообщения и выберитеили исключите компьютеры, которым может быть отправлено сообщение.I'm planning abackup in10minutes,so finishupbefore then,OK?Щелкните на кнопке Add, чтобы выбрать и другие компьютеры в сети (не подсоединенныев данный момент к этому компьютеру) для отправки сообщения.Если кто-либо из подсоединенных пользователей работает на компьютере подуправлением Windows 9x, то он не сможет получить сообщение, если на его компьютерене установлен компонент WinPopup. В операционные системы Windows NT/2000/ХР/2003 встроены возможности Messenger Service, поэтому их пользователиполучат ваше сообщение в окне Messenger Service.

Глава 8. Средства обслуживания системы 263Примечание. На момент написания этой книги консольные сообщения, отправляемыена подсоединенные контроллеры домена, не удается доставить. Я пытаюсь разрешитьэту проблему с Microsoft. Информация, появляющаяся по этой теме, будетдоступна по адресу www.admin911 .com.Sessions (Сеансы). Сеанс начинается в тот момент, когда удаленный пользовательвыполняет доступ к разделяемому ресурсу. Для объекта Sessions выводится следующаяинформация:jLD ЩВ УЭ Shared Folders! F-fBShm| Open FilesLocal Users and GroupsJPerformance Logs and Ajff, Device Manager -J, I JJ_|г9|С AMY DOCS Windom 1 00:04:57 00:04:30 No Iб LEAH SERVEFI-... Windom 1 00:0557 00:04:30 No I!IКолонкаИнформацияUser (Пользователь)Текущие пользователи, подсоединенные кданному компьютеру.Computer (Компьютер)Имя компьютера подсоединенного пользователя.Туре (Тип)Тип сетевого соединения: Windows, Netware,Macintosh.#Open FilesКоличество ресурсов, открытых на этомкомпьютере данным пользователем.Connected Time (Время соединения) Время, прошедшее с начала сеанса.Idle Time (Время простоя)Время, прошедшее с момента последнегодействия пользователя.Guest (Гость)Указывает, подсоединен ли данный пользователькак гость.Вы можете отсоединить всех пользователей, подсоединенных к этому компьютеру,щелкнув правой кнопкой на объекте Sessions в дереве консоли и выбрав в контекстномменю Disconnect All Sessions (Отсоединить все сеансы). Чтобы отсоединитьотдельного пользователя, щелкните правой кнопкой на сеансе этогопользователя в правой панели и выберите в контекстном меню пункт Close Session(Закрыть сеанс).Совет. Перед внезапным отключением сеанса пользователя стоит отправить емусоответствующее сообщение.Open Files (Открытые файлы). Объект Open Files содержит информацию, указывающую,какие файлы были открыты, кем открыты и что делают эти пользователи.

264 Windows Server 2003. Полное руководствоCompute* ManagementУЛ bile £cionViewWindowHelp «ш.шa-'SjJSharedFolders'•Щ Shares•i'J SessionsLocalUsersandGroupsPerformanceLogs DeviceManager -jOpenFile ^г : ;j j Type 11 Locks j QpenMwiaП D:\Collwin\RegLEAH WindowsReadГ] D:\Documenls and Sellings... AMYWindowsReadВы можете закрыть все открытые файлы, щелкнув правой кнопкой на объектеOpen Files и выбрав в контекстном меню Disconnect All Open Files (Отсоединить всеоткрытые файлы). Вы можете закрыть конкретный открытый файл, щелкнув на немправой кнопкой в правой панели и выбрав в контекстном меню Close Open File (Закрытьоткрытый файл).Local Users and Groups (Локальные пользователи и группы)Оснастка Local Users and Groups используется для управления пользователями игруппами, которые выполнили вход на этот компьютер (но не вход в домен). Есликомпьютер Windows Server 2003 является контроллером домена, то эта оснастка недоступна.Контроллеры домена управляют только доменными пользователями игруппами.Управление локальными пользователями. Чтобы увидеть список пользователей, выберитеобъект User в дереве консоли. По умолчанию Windows Server 2003 создаетучетную запись Administrator и учетную запись Guest (другие учетные записи могутпоявиться в зависимости от установленных компонентов).Примечание. Если компьютер является членом домена, то вполне возможно, чтонесколько пользователей, которых нет в локальном списке User, выполнили вход вдомен, используя этот компьютер. Локальные компьютеры только аутентифицируютпользователей, которые выбрали вход на локальный компьютер вместо входа вдомен в диалоговом окне входа Windows Logon.Учетная запись Administrator - это локальная учетная запись, которую создаетWindows Server 2003 для установки операционной системы. Вы используете эту учетнуюзапись во время установки и конфигурирования ОС, и последним применениемэтой учетной записи должно быть создание вашей собственной учетной записи(сделайте себя членом группы Administrators).Учетную запись Administrator нельзя удалить, отключить или вывести из локальнойгруппы Administrators, чтобы вы не изолировали самого себя от компьютера(правда, вы должны еще помнить свой пароль).Учетная запись Administrator имеет свой собственный набор подпапок в%SystemDrive%\Documents and Settings. Если вы входите в домен с этой учетнойзаписью (что можете делать, если знаете пароль для учетной записи Administrator наконтроллере домена), то Windows Server 2003 создает локально вторую учетную записьAdministrator с именем Administrator./fMS^OMET/A Эта учетная запись тожесодержит набор подпапок в %SystemDrive%\Documents and Settings.

Глава 8. Средства обслуживания системы 265По умолчанию Windows Server 2003 отключает учетную запись Guest, что являетсяразумным подходом и обычно не требует изменений. Если учетная запись Guestвключена, то пользователи могут выполнять вход как «гость», то есть без пароля.Однако учетная запись Guest является членом группы Guest, полномочия и правакоторой сильно ограничены.Добавление локальных пользователей. Чтобы добавить пользователей на локальномкомпьютере, щелкните правой кнопкой на объекте Users в дереве консоли и выберитев контекстном меню пункт New User (Создать пользователя). Появится диалоговоеокно New User (рис. 8.9), где нужно ввести базовую информацию об этомпользователе.Рис. 8.9. Создание новогопользователя для локальногокомпьютера-£onf «nvpassword : : ! :: i:: I|i Щ Si : l ? i17 IJMI mr>changepa:nmfds 1P• > • ' .Ниже приводятся некоторые рекомендации по вводу данных в этом диалоговомокне.• В поле User Name вводится пользовательское имя входа, например, kathyi, kathy,kivens и т.д.• Это должно быть уникальное на данном компьютере имя, и оно может содержатьдо 20 символов в верхнем и нижнем регистре, за исключением следующихсимволов:"/\[]:;\=, + *?• Поля Full Name и Description не являются обязательными, но полезны для поиска,если вы создаете много локальных пользователей.• Вы можете ввести пароль (не забудьте сообщить его новому пользователю) илине вводить его, если знаете, что данный пользователь собирается сразу выполнитьвход, чтобы создать новый личный пароль.• Если вы создаете реальный постоянный пароль, сбросьте флажок User mustchange password at next logon (Пользователь должен изменить пароль при следующемвходе). Вы можете также выбрать одну из других опций для пароля.Конфигурирование локальных пользователей. После создания нового пользователядважды щелкните на имени этого пользователя в правой панели консоли, чтобыоткрыть диалоговое окно Properties этого пользователя. Здесь вы можете управлятьправами и полномочиями этого пользователя.

266 Windows Server 2003. Полное руководствоВо вкладке Member of (Член групп) задайте членство в группах. Пользовательавтоматически является членом группы Users, имеющей ограниченные права и полномочия(такие же, как для группы Guest). Щелкните на кнопке Add, чтобы добавитьпользователя в другие необходимые группы.Примечание. Диалоговое окно Add, используемое для добавления групп, изменилосьпо сравнению с Windows 2000. Не появляется список существующих групп, ивы должны щелкнуть на кнопке Advanced, чтобы инициировать поиск.• Вкладка Profile (Профиль) используется для конфигурирования перемещаемыхи обязательных профилей, а также настройки домашней папки (обычно в сети).Поскольку это локальный пользователь, который, возможно, выполняет такжевход в домен с доменным пользовательским именем (которое может совпадать слокальным пользовательским именем), поэтому обычно не принято изменятьэти настройки на локальном компьютере. Используйте средства на контроллередомена, чтобы задавать опции доменной конфигурации для пользователя.• Все другие вкладки используются для конфигурирования Terminal Server исвойств коммутируемого доступа (Dial-in) пользователя; они рассматриваютсяв соответствующих главах этой книги.Управление локальными группами. Windows Server 2003 создает ряд встроенных группво время установки операционной системы. За исключением группы Replicator (котораяимеет особую роль, и не должна содержать обычных пользователей) вы можетевключать локальных пользователей в группы, если хотите повысить их полномочияна данном компьютере. Включение пользователя в группу - это эффективныйспособ управления полномочиями и правами (иначе приходится присваивать праваи полномочия каждому пользователю по отдельности).Создание локальных групп. Вы можете создавать локальные группы с конкретнымигруппами полномочий, которые могут требоваться для локального компьютера.Обычно в сетевой среде компьютер редко работает в автономном режиме, то есть восновном его работа происходит на уровне домена.Но если вы все же хотите добавить локальную группу, щелкните правой кнопкойна объекте Groups в дереве консоли и выберите в контекстном меню пункт NewGroup (Создать группу). В диалоговом окне New Group (рис. 8.10) задайте имя этойгруппы и (при необходимости) описание.Добавление членов в локальные группы. Вы можете щелкнуть на кнопке Add, чтобыначать добавление членов в локальную группу, или закрыть это диалоговое окно иначать добавление позже, дважды щелкнув на имени этой группы в правой панели.Если данный компьютер включен в состав домена, то членами такой группы могутбыть локальные пользователи, доменные пользователи или глобальные группы домена.В диалоговом окне Select Users or Groups (Выбор пользователей или групп) выберитеобъект, который хотите добавить в группу, используя следующие рекомендации.• Щелкните на Object Types (Типы объектов), чтобы выбрать пользователя и/илигруппу.• Щелкните на Locations (Местоположение), чтобы выбрать локальный компьютер,домен или одну из глобальных групп домена.

Глава 8. Средства обслуживания системы 267Щелкните на кнопке Advanced, чтобы открыть диалоговое окно Search (Поиск),где можете дополнительно уточнить свои критерии.Выбрав свои критерии, щелкните на кнопке Find Now, чтобы получить списокдоступных вам объектов, после чего вы можете начать добавление членов в своюгруппу.Рис. 8.10. Создание новойгруппы начинается с базовойинформацииOs.:ePerformance Logs and Alerts (Журналы производительностии оповещения)Вы можете следить за состоянием компьютера и устранять потенциальные или реальныепроблемы, используя мониторы производительности, встроенные в операционнуюсистему. Информацию по этим темам см. в гл. 26.Device Manager (Диспетчер устройств)Device Manager - это неоценимое средство поиска и устранения проблем оборудования,обновления драйверов и изменения конфигурации установленных устройств.Вот некоторые необходимые сведения по использованию Device Manager.• Вы должны иметь административные привилегии на данном компьютере.• Вы можете управлять только локальными устройствами.• Сетевые настройки политик, возможно, не позволят вам вносить изменения поустройствам.Примечание. Device Manager можно использовать не только как часть оснасткиComputer Management, но и как отдельную оснастку. Чтобы открыть эту отдельнуюоснастку, щелкните правой кнопкой на My Computer и выберите в контекстномменю пункт Properties. Выберите вкладку Hardware и щелкните на Device Manager.Просмотр устройств компьютера. Первой и наиболее очевидной функцией DeviceManager является быстрый просмотр вашего компьютера и всех установленных устройств.Это позволяет вам сразу увидеть, имеются ли проблемы или конфликтыоборудования, за счет отметки устройств, не работающих должным образом (они

268 Windows Server 2003. Полное руководствопомечены желтым восклицательным знаком), а также нераспознанных устройств(они помечены желтым вопросительным знаком). Device Manager не только представляетобзор оборудования вашего компьютера, но также позволяет выбирать различныеспособы просмотра этой информации. В меню View предлагаются следующиевиды отображений.• Devices by type (Устройства по типам). Отображение по умолчанию, в которомвыводится список установленных устройств, сгруппированные по типам в алфавитномпорядке.• Devices by connection (Устройства по подключению). Список всех устройств, упорядоченныйпо типам их подсоединения.• Resources by type (Ресурсы по типам). Отображение устройств, упорядоченныхпо ресурсам, которые они используют. К ресурсам относятся DMA, I/O, IRQ иадреса памяти.• Resources by connection (Ресурсы по подключению). Аналогично Resources by type.В этом отображении выводится список ресурсов с типами подсоединений в видеих подмножества.• Show hidden devices (Отображать скрытые устройства). Удобное средство для поискаустройств, которые были физически отсоединены, но не были деинсталлированыс компьютера. Отображаются также установленные устройства, не поддерживающиеPlug and Play.Печать отчетов по устройствам компьютера. Кроме просмотра информации об устройствахвы можете также печатать отчеты, выбрав пункт Print в меню Action. Можновыводить следующие три типа отчетов.• System summary (Сведения о системе). Содержит базовую информацию о системе,такую как операционная система, процессор и установленная память. Крометого, этот отчет содержит сводку информации по дисковым устройствам, использованиюпрерываний (IRQ), прямого доступа к памяти (DMA),использованию памяти и портов ввода-вывода (I/O).• Selected class or device (Выбранный класс или устройство). Содержит подробнуюинформацию по устройству, которое выбирается вами перед вызовом командыPrint. В этом отчете указывается класс данного устройства, его описание илиимя, ресурсы, которые оно использует, а также информация о драйверах устройства.• All devices and system summary (Сведения о системе и всех устройствах). Печатьтой же информации, что и в отчете System summary, и затем вывод информацииотчета Selected class or device no каждому установленному устройству.Имеет смысл печатать отчет All devices and system summary для каждого компьютераи держать эту распечатку в столе, на котором стоит компьютер, или в находящейсяпод рукой папке. Вы можете также выводить отчет в файл и накапливать этуинформацию в большом документе с отчетами по всем сетевым компьютерам.Управление устройствами. Вы можете также управлять устройствами в Device Manager.Вы можете модифицировать настройки, заменять драйверы, активизировать и отключатьустройства, а также удалять (деинсталлировать) устройства. Для доступа ксвойствам устройства дважды щелкните на строке этого устройства или щелкнитеправой кнопкой на этой строке и выберите в контекстном меню пункт Properties.Поскольку каждому устройству требуется драйвер, в каждом диалоговом окнеProperties обязательно содержатся следующие две вкладки.

Глава 8. Средства обслуживания системы 269• General (Общие). Содержит базовую информацию, такую как имя, тип и изготовительустройства, его текущее состояние (работает или не работает), средствоустранения проблемы, если устройство не работает, а также опцию Device Usage(Использование устройства), чтобы активизировать или отключать устройство.• Driver (Драйвер). Содержит информацию о текущем установленном драйвере дляданного устройства. Указывается имя драйвера, поставщик, дата, версия и цифроваяподпись (если она имеется).Щелкните на кнопке Driver Details, чтобы открыть диалоговое окно Driver FileDetails (Сведения о файле драйвера), где указывается путь и имя (имена) установленногодрайвера (драйверов). Вы можете использовать кнопки этого диалоговогоокна, чтобы удалить текущий драйвер или обновить его.Если устройство использует системные ресурсы, то имеется вкладка Resources(Ресурсы), содержащая список используемых ресурсов, а также опцию для их ручногоизменения. Не используйте эту возможность, если недостаточно ориентируетесьв вопросах работы с устройствами. Во вкладке Resources содержится также списокконфликтующих устройств, который предупреждает вас о любых конфликтахресурсов между выбранным устройством и всеми остальными установленными устройствами.Вкладка Advanced включается для устройств, имеющих дополнительные возможности,которые могут быть заданы пользователем. У вас могут быть также устройствасо своими собственными специальными вкладками. Например, для установленныхпортов включается вкладка Port Settings (Настройка порта), для модемов -вкладки Modem (Модем) и Diagnostics (Диагностика), и USB Root Hub содержитвкладку Power.Удаление устройств. Кроме просмотра установленных устройств и изменения ихсвойств вы можете также использовать Device Manager для удаления устройств. Чтобыудалить устройство, щелкните правой кнопкой на его строке и выберите в контекстномменю пункт Uninstall. Вы можете также удалить устройство, открыв диалоговоеокно Properties, выбрав вкладку Driver и щелкнув на кнопке Uninstall.StorageStorage - это вторая категория средств в дереве консоли Computer Management. Ееподкатегории содержат средства для управления съемными ЗУ, дефрагментациидисков и управления дисками. Дефрагментация дисков описывается в начале этойглавы, и в этом разделе дается описание остальных двух средств.Removable Storage (Съемные ЗУ)Removable Storage Management (RSM) отслеживает и управляет съемными носителями(лентами и дисками) и соответствующими устройствами (приводами и автоматамис автоматической сменой носителей [типа changer и jukebox]). Для управленияэтими носителями RSM помечает и каталогизирует ленты и диски. Управлениеоборудованием - это управление слотами и дверцами для доступа к носителям иизвлечения носителей. RSM - это не отдельный компонент; это инструмент управленияносителями для приложений и средств, которые взаимодействуют со съемныминосителями, например, Backup и Remote Storage.

270 Windows Server 2003. Полное руководствоПримечание. Для использования компакт-дисков с помощью RSM эти CD должныбыть перезаписываемыми и должны быть отформатированы с помощью файловойсистемы CDFS. Оптические носители можно форматировать с помощью FAT, FAT32и NTFS.RSM не может поддерживать более одного соединения между компьютером исъемными ЗУ. Все приложения, использующие съемные ЗУ, должны работать накомпьютере, который подсоединен к конкретной библиотеке носителей. В контекстеRSM слово «библиотека» означает систему хранения данных, которая состоитиз съемных носителей и оборудования, которое выполняет чтение и запись на этихносителях. Имеется два типа библиотек: автоматизированная (robotic) библиотекас несколькими приводами и автономная (stand-alone) библиотека, которая соответствуетустройствам с одним приводом и с ручной установкой носителей.Примечание. В Windows Server 2003 устройству автоматической смены дисков ATAPICD-ROM присваивается только одна буква накопителя. RSM монтирует, демонтируети управляет всеми съемными носителями этого устройства.В дополнение к инструменту RSM, который вы видите в оснастке ComputerManagement, Windows Server 2003 содержит заранее сконфигурированную консольдля RSM под именем ntmsmgr.msc (она находится в %SystemRoot%\System32). Длязапуска этой автономной оснастки используйте команду Run. Если вы много работаетес RSM, создайте значок рабочего стола или панели задач для этого ММСфайла.Вы можете просматривать или задавать свойства для компонентов RSM путемвыбора соответствующего объекта в дереве консоли. В основном, вы будете, видимо,работать с носителями (перемещение носителей в пулы и из пулов носителейили оценка состояния носителей) или управлять библиотеками. В следующих разделахдается определение и описание библиотек и носителей в RSM.Библиотеки. Как уже говорилось выше, библиотека - это набор, состоящий из носителейи устройства, которое используется для чтения и записи на этих носителях.Имеются два типа библиотек: автоматизированная и автономная.Вы можете также указать, что формально существует третий тип библиотеки -«отключенная» (offline) библиотека. RSM позволяет следить за отключенными носителями,когда эти носители не содержатся в какой-либо библиотеке. Эти носителимогут находиться где угодно - в вашем столе, на полке или в вашей сумке. ПосколькуRSM следит за отключенными носителями, мы можем сказать, что всеотключенные на данный момент носители находятся в отключенной (offline) библиотеке.Автоматизированные библиотеки. Автоматизированные библиотеки — это автоматизированныеустройства, которые могут содержать несколько физических носителей(лент или дисков). Иногда эти устройства называют устройствами автоматическойсмены носителей (changer или jukebox). Это обычно автоматизированнаяподсистема, в которой происходит перемещение носителей в слоты (гнезда) и изслотов. Это могут быть слоты хранения (носители «паркуются», когда они не используются)или слоты привода (носители являются активной «целью»). Некоторыеавтоматизированные библиотеки имеют дополнительные компоненты оборудования,такие как дверцы, чистящие картриджи, устройства чтения штрих-кода и

Глава 8. Средства обслуживания системы 271порты вставки/извлечения). Управление этими дополнительными компонентамитоже осуществляет RSM.Автономные библиотеки. Автономные (stand-alone) библиотеки - это неавтоматизированныеустройства с одним приводом. На приводе находится одна лента или одиндиск, и носитель должен устанавливаться вручную.Опись библиотек. В автоматизированной библиотеке вы можете выполнять опись,или инвентаризацию (inventory), что позволяет учесть все носители этой библиотеки.Существует два типа описи.• Быстрая опись (Fast inventory). Проверка изменений в состоянии каждого слота(от заполненных до пустых и наоборот). Если носитель находится в слоте, происходитчтение записанного на носитель идентификатора (on-media identifier).• Полная опись (Full inventory). Идентифицируется каждый носитель. Если носительимеет штрих-код, то при описи считывается этот штрих-код. Если нетштрих-кода, то при описи считывается записанный на носитель идентификатор(что может занять много времени).Чтобы задать тип описи по умолчанию, раскройте объект Libraries (Библиотеки) вдереве консоли и щелкните правой кнопкой на объекте-библиотеке, которую хотитеконфигурировать. Выберите пункт Properties и задайте тип описи (Inventory Method)во вкладке General (варианты Fast inventory, Full inventory и None [без описи]).Чтобы выполнить опись, щелкните правой кнопкой на объекте-библиотеке ивыберите в контекстном меню пункт Inventory. Результаты описи выводятся в правойпанели.Пулы носителей. Все носители включаются в один из пулов носителей, то есть в наборносителей с определенными атрибутами, включая тип носителей и политикиуправления. Пулы носителей имеют иерархическую структуру, которая начинаетсяс класса пулов носителей. Имеется два класса.• Пулы носителей приложений (Application media pools). Создаются приложениямив целях группирования и отслеживания носителей. В Windows Server 2003 дляBackup и Remote Storage поддерживаются свои пулы носителей.• Системные пулы носителей (System media pools). Создаются и управляются с помощьюRSM и включают следующие пулы носителей.• Неопознанные (Unrecognized).• Свободные (Free).• Импортированные (Import).Примечание. Носители можно перемещать из одного пула в другой, и это всегдаосуществляется с помощью RSM.Пулы неопознанных носителей содержат носители, которые не может распознатьRSM. Обычно это совершенно пустой носитель, который еще не получил свойидентификатор от RSM (это происходит при вставке носителя в библиотеку). Ноесли носитель содержит идентификатор, который не может прочитать или «понять»RSM, то он тоже включается в пул Unrecognized. Носители, находящиеся в пулеUnrecognized, не включаются в список базы данных RSM и поэтому недоступныдля приложений.

272 Windows Server 2003. Полное руководствоПулы свободных носителей содержат носители, которые на данный момент неиспользуются приложениями. Такой носитель доступен для использования любымприложением, которому он требуется. Предполагается, что любые данные на такомносителе не нужны, поскольку это, например, старая резервная копия, которая ужене подходит для процедуры восстановления. Вы можете сконфигурировать RSMтаким образом, чтобы приложения извлекали носители из пула Free автоматически,когда приложению не хватает носителей в его собственном пуле. Если не сконфигурироватьавтоматическое извлечение носителей из пула Free, то вы должныперемещать носители в пул приложения вручную, когда это требуется.Пулы импортированных носителей содержат носители, которые опознаны какносители допустимого типа, но не используются RSM. Обычно носитель оказываютсяв пуле Import, когда он переносится из системы RSM в другую систему RSMтой же организации. Вы можете перемещать носители из пула Import в пул Free илив пул Application.Пул носителей может содержать носители или другие пулы носителей. Пул носителейне может одновременно содержать носители и другие пулы; это либо одноуровневаяструктура, либо иерархическая структура. Например, пул типа Free можетсодержать пулы носителей для каждого типа носителей.Примечание. Библиотека может содержать носители из различных пулов носителей,и один пул носителей может использоваться с несколькими библиотеками.Идентификация носителей. Чтобы отслеживать носители и поддерживать данные ихописи, RSM идентифицирует каждую единицу носителей. Имеется два типа идентификации:записываемый на носитель идентификатор (on-media identifier) и штрихкод(barcode). Идентификаторы на носителях записываются электронным способомпри первой установке носителя в библиотеку. Этот идентификатор имеет двечасти.• Тип метки. Идентифицирует формат, используемый для записи данных. Этотформат зависит от типа носителя.• Идентификатор метки. Уникальный идентификатор для конкретного диска илиленты.Идентификаторы в виде штрих-кода доступны, если ваша библиотека поддерживаетштрих-коды. RSM может идентифицировать носители по штрих-кодам, которыезадают пользователи. Носители, для которых используются штрих-коды, тожеполучают записываемые на носитель идентификатор, и RSM может использоватьлюбой из этих методов для идентификации ленты или диска. Штрих-коды прощеиспользовать, поскольку вы не обязаны монтировать носитель в устройстве, чтобыидентифицировать его.Форматы носителей. Чтобы работать с записываемыми на носитель идентификаторами,RSM использует MLL (Media Label Library - библиотека меток носителей).Библиотека MLL - это DLL, которая используется для интерпретации форматаметки носителя, записанной каким-либо приложением. RSM поддерживает форматыFAT, NTFS и CDFS для дисковых носителей и MTF (Microsoft Tape Format)для ленточных носителей. RSM может различать, какое приложение записало меткуносителя путем проверки в зарегистрированных библиотеках MLL. Разработчикиприложений, в которых используются другие форматы носителей, должны предоставлятьсоответствующие MLL.

Глава 8. Средства обслуживания системы 273Состояния носителей. Состояние носителя - это текущее рабочее состояние лентыили диска. RSM использует для оценки текущего состояния записываемый идентификаторили штрих-код. Состояния носителей определяются на двух уровнях: физическоесостояние (Physical state) и состояние «сторон» (Side state).Физическое состояние определяет текущее состояние в зависимости от местонахожденияносителя и его физического использования. Имеются пять возможныхфизических состояний, описанных в таблице 8.2.Состояние сторон - это состояние стороны (сторон), где сохраняются данные.Каждый тип носителя имеет одну или две стороны. Например, магнитооптическмедиски имеют две стороны, а ленты имеют одну сторону. RSM отслеживает стороныносителей, как это описано в таблице 8.2.Примечание. Администратор может задавать ограничение по количеству «захватов»сторон, чтобы ограничить количество захватов и освобождений носителя приложением.RSM проверяет каждый раз этот счетчик при освобождении стороны, и когдадостигается максимум, сторона выводится из эксплуатации. Это средство позволяетадминистраторам запрещать использование носителей сверх нормального срокаслужбы (что особенно важно для лент).Управление пулами носителей. Для управления пулами носителей используется оснасткаRemovable Storage. Вы можете создать пул, удалить пул и перемещать носителимежду пулами.Табл. 8.1. Описание физических состояний носителейФизическое состояниеОписаниеIdle (Простаивает)Носитель отсоединен (находится в слоте хранения. автоматизированного устройства или физически находитсявне устройства, то есть на хранении).In Use (Используется). RSM в данный момент перемещает носитель.Loaded (Загружен).Носитель смонтирован на приводе и доступен длячтения или записи данных.Mounted (Смонтирован). Носитель находится на приводе, но еще не доступендля чтения или записи данных.Unloaded (Выгружен). Носитель был демонтирован, и находится в состоянииожидания, пока кто-либо не удалит его физическииз устройства.Табл. 8.2. Описание состояний сторон для съемных носителейСостояние стороныAllocated (Занята).Available (Доступна).Completed (Заполнена).ОписаниеДанная сторона зарезервирована каким-либо приложениеми недоступна для любого другого приложения.Данная сторона доступна для использования любымприложением.Данная сторона заполнена до конца.

274 Windows Server 2003. Полное руководствоСостояние стороныОписаниеDecommissioned(Выведена из использования).Imported (Импортирована).Incompatible (Несовместима).Reserved (Зарезервирована).Unprepared (He подготовлена).Unrecognized (He опознана).Сторона стала недоступна для использования,поскольку достигла своего максимума по количеству«захватов» (см. выше примечание с описаниемэтого максимума).Тип метки данной стороны опознан. Идентификаторметки не опознан.Тип носителя несовместим с данной библиотекой.Носитель следует удалить.Данная сторона доступна только определенномуприложению. Это состояние относится к двустороннимносителям, когда одна сторона уже захваченаэтим приложением.Сторона помещена в пул свободных носителей(типа Free), но еще не получила метку свободногоносителя.RSM не может опознать тип и идентификаторметки данной стороны.Вы можете создать пул носителей для определенного приложения как новый пулверхнего уровня или как пул внутри существующего пула приложений (но не внутрисистемных пулов или пулов типа Free [Свободные], Import [Импортированные]или Unrecognized [Неопознанные]).• Для создания пула носителей верхнего уровня щелкните правой кнопкой наобъекте Media Pools в дереве консоли и выберите в контекстном меню пунктCreate Media Pool (Создать пул носителей).• Для создания пула носителей внутри существующего пула щелкните правойкнопкой на этом существующем пуле и выберите в контекстном меню пунктCreate Media Pool.Сконфигурируйте новый пул носителей в диалоговом окне Create a New MediaPool Properties, используя следующие указания.• Введите имя этого нового пула носителей.• Введите описание (дополнительно).• В секции Media information (Информация о носителях) укажите, что этот пулдолжен содержать либо другие пулы носителей (вариант Contains Other MediaPools), либо реальные носители (вариант Contains Media Of Type).• Введите тип носителей в случае второго варианта.• Задайте следующие опции захвата, возврата и перераспределения носителей.• Установите флажок Draw Media From Free Media Pool, чтобы данный пулавтоматически получал носители из пула свободных носителей (Free), когдав нем не остается незанятых носителей. Не устанавливайте этот флажок, есливы хотите перемещать носители из пула свободных носителей вручную (используяконсоль RSM).• Установите флажок Return Media To Free Media Pool, чтобы данный пул автоматическивозвращал носитель в пул свободных носителей, если этот носительуже не нужен приложению. Не устанавливайте этот флажок, если выхотите перемещать носители в пул свободных носителей вручную.

Глава 8. Средства обслуживания системы 275• Установите флажок Limit Reallocations (Ограничить количество перераспределений)и введите соответствующее ограничение, чтобы ограничить количествозахватов носителей другими пулами носителей.• Используйте вкладку Security, чтобы предоставлять пользователям и группам полномочияработы с данным пулом носителей.Чтобы удалить определенный пул носителей в консоли Removable Storage (RSM),раскройте объект Media Pools в дереве консоли. Щелкните правой кнопкой на пуленосителей, который хотите удалить, и выберите в контекстном меню пункт Delete.Вы должны будете подтвердить это удаление.Перемещение носителя в другой пул. Чтобы переместить носитель из одного пуланосителей в другой, перетащите соответствующую ленту или диск из правой панелив соответствующий пул носителей в дереве консоли. Если исходный или адресуемыйпул носителей является подчиненным, то раскройте сначала содержащий егообъект.Извлечение носителя из библиотеки. Всегда извлекайте носитель, используя консольRSM, чтобы программа RSM «знала», что носитель удаляется из соответствующейбиблиотеки. Используемый метод зависит от того, какая это библиотека - автономная(stand-alone) или автоматизированная.• Если носитель находится в автономной библиотеке, щелкните правой кнопкойна соответствующем объекте-библиотеке и выберите в контекстном меню пунктEject.• Если носитель находится в автоматизированной библиотеке, щелкните правойкнопкой на соответствующем объекте-носителе и выберите в контекстном менюпункт Eject. Затем выполните соответствующие шаги в мастере извлечения носителейMedia Eject Wizard.Очистка библиотек. RSM ведет учет процедур очистки устройств, поэтому для выполненияопераций очистки вам следует использовать консоль RSM. Шаги, которыевы используете в консоли, зависят оттого, какая это библиотека - автономнаяили автоматизированная. Чтобы выполнить очистку устройства для автономнойбиблиотеки, установите вручную чистящий картридж. Затем, чтобы уведомить RSM,откройте консоль, щелкните правой кнопкой на соответствующем устройстве ивыберите в контекстном меню пункт Mark As Clean (Пометить как чистое).Чтобы выполнить очистку в автоматизированной библиотеке, щелкните правойкнопкой на соответствующей библиотеке и выберите в контекстном меню пунктCleaner Management (Управление очисткой). Мастер Cleaner Management Wizardпроведет вас через соответствующие шаги (включая инструкции по вставке чистящегокартриджа).Советы по работе с RSM. RSM - это мощное средство, но вы должны использоватьего все время, иначе оно не будет работать должным образом. Если вы используетеленточное устройство резервного копирования, то RSM становится важным компонентомвашей профессиональной деятельности.Важно помнить, что любые операции со съемными носителями вы должны выполнятьчерез консоль RSM. Перемещение ленты, очистка ленты, списание лентыили ввод новых лент не должны выполняться без использования RSM.При необходимости восстановления файлов из резервной копии на ленте у васможет возникнуть проблема с данной лентой; это не физическая проблема, а проблемамонтирования ленты, чтобы можно было прочитать ее содержимое или ката-

276 Windows Server 2003. Полное руководстволог. Иногда соответствующее приложение резервного копирования снова и сновазапускает цикл монтирования, каталогизации и демонтирования ленты. Это почтивсегда вызывается тем, что записанный на носитель идентификатор (метка) не соответствуетинформации базы данных RSM для смонтированной ленты. Возможно,носитель в ленточной библиотеке переключен на другую ленту или помещен вневерный слот. Используйте возможности мастеров извлечения и вставки носителейRSM Eject Media Wizard и Inject Media Wizard вместо ручного удаления и заменыносителей. Это позволяет RSM следить за носителями.Если вы забыли об этих советах, и происходит бесконечное повторение цикламонтирования и демонтирования ленты с резервной копией, то вы должны прекратитьвосстановление и сначала выполнить полную опись библиотеки (Full inventory).Work Queue (Рабочая очередь). RSM не является многозадачной программой, то естьона работает последовательно, выполняя одну задачу за другой. Если ваше ленточноеустройство имеет несколько приводов, и вы хотите, чтобы RSM подготовиладве ленты, то она закончит работы с первой лентой, прежде чем перейти ко второй,даже если обе ленты доступны в равной степени.Вы можете следить за ходом выполнения нескольких задач, наблюдая за рабочейочередью RSM. Для этого нужно выбрать объект Work Queue в дереве консоли.В правой панели будут выводиться задачи и их состояния.Оснастка Disk Management (Управление дисками)Оснастка Disk Management используется как место выполнения связанных с дискамизадач, таких как управление разделами и томами, назначение букв дисков (накопителей),а также (для версий Windows Server 2003) создание и восстановлениеотказоустойчивых томов.Примечание. Вопросы отказоустойчивых томов - это обширная и сложная тема,которая выходит за рамки изложения этой книги.Примечание. Средства управления дисками в Windows Server 2003 существенно изменилисьпо сравнению с Windows NT. В случае перехода к Windows Server 2003 изWindows 2000 вы уже знакомы с этими средствами и процедурами.Если выбрать объект Disk Management в дереве консоли, то в правой панелипоявится информация о дисках на данном компьютере (рис. 8.11). Кстати, это позволяеттакже определить, чем являются дисковые накопители, которые представленыв окне My Computer, - разделами одного диска или отдельными дисками.Управление дисками. С помощью оснастки Disk Management вы можете управлятьдисками на своем компьютере. Большинство этих задач достаточно опасны, еслине прочитать соответствующую документацию. Список всех задач обширен, посколькуимеется огромное количество вариантов и комбинаций.Управление буквами накопителей. Назначение букв накопителей (дисков) происходитв Windows Server 2003 иначе, чем в Windows NT (и более ранних версиях). Например,если у вас имеется устройство автоматической смены дисков ATAPI CD-ROM, то ему присваивается одна буква накопителя. Монтирование, демонтированиеи управление всеми его носителями осуществляет Removable Storage Manager (RSM).В Windows NT 4 такое устройство имеет по отдельной букве накопителя для каждо-

Глава 8. Средства обслуживания системы 277го из носителей, которыми оно может управлять, и когда вы ссылаетесь на одну изэтих букв, происходит автоматическое переключение носителей.Щ Computer Management, Fie Acion \_V.-J Help|-|Pfx- -ifl»l I> •• El 3 C? Xi:*;Й) Shared Folders 313 "S Local Users and Groups|--Ш UsersVc«::!layoutSJ 1С;)' PartitionS3 (D:j PartitionJ !•••© CroupsiSijp Performance Logs and AT••••$ Device ManagerS-S Storagei &•$ Removable Storage i«3» Duk 0£ MediaMedia PoolsData|a26S8Or**... .Work Queue I Ji CDflUMOOperator Requests CD ROM l£ 1DiskDefragmenterТур» ;:l H ,tu»4 iBSP| :tap»tf I F.Basic NTFS Healthy (System) 16.60... 14.65GBBasic NTFS Healthy (Boot) 20.66... 18.73 GBjRc-i116.60 GB NTFS|Healthy (System)ID:): 20.66 GB NTFSHealthy (Boot)J % Frse ! F.au» Tc88% No90% No:i >Щ Primary partition g Ej(mi«lpa.!to2 Loocjl drr.-«Рис. 8.11. В оснастке Disk Management вы можете видеть информацию о дискахсвоего компьютераВ Windows Server 2003 буквы накопителей присваиваются томам программойMount Manager (MountMgr). Когда определенному тому присваивается буква накопителя,эта буква накопителя резервируется для данного тома в базе данныхMountMgr (которая находится в реестре).Когда у вас происходит модернизация из Windows NT в Windows Server 2003,имеющиеся назначения букв накопителей экспортируются в файл $Win_nt$.~bt\Migrate.inf, чтобы процесс установки на этапе текстового режима мог прочитать иимпортировать эту информацию в базу данных MountMgr.В случае модернизации из Windows 2000 в Windows Server 2003 система поддерживаетсуществующую информацию о буквах накопителей (Windows Server 2003выполняет эти функции тем же способом, что и Windows 2000).При установке Windows Server 2003 «с нуля» MountMgr использует определеннуюпроцедуру для присваивания букв накопителям и продолжает использовать эту процедурудля томов или накопителей, которые добавляются на данном компьютере.Программа установки выполняет следующие шаги для определения назначенийбукв накопителей.1. Просматриваются все несъемные диски в порядке их нумерации. Просмотр начинаетсяс активных первичных (primary) разделов (если имеются разделы, помеченныекак активные). Затем происходит переход к первому первичному разделуна каждом диске. Буквы накопителей назначаются по порядку сиспользованием следующей свободной буквы (кроме букв А и В).2. Просматриваются все несъемные жесткие диски, и происходит назначение буквнакопителей всем логическим дискам в дополнительном (extended) разделе.Просматриваются все съемные диски (Zip, магнитооптические и т.д.) в порядкеих нумерации. Буквы присваиваются с использованием следующей свободнойбуквы (кроме букв А и В).3. Назначаются буквы для накопителей на гибких дисках, начиная с буквы А.

278 Windows Server 2003. Полное руководство4. Назначаются буквы для накопителей CD-ROM с использованием следующейсвободной буквы (кроме букв А, В и С).Имеется одно исключение из этой схемы. Для унаследованных отказоустойчивыхнаборов Fault Tolerant на базовых дисках их последняя использовавшая букванакопителя записывается в собственной области на физическом диске. Во времяустановки Windows Server 2003 эти буквы накопителей запоминаются, и этим буквамотдается приоритет в процессе назначения букв накопителям. Поэтому унаследованнымнаборам Fault Tolerant буквы накопителей присваиваются раньше, чемдругим разделам базовых дисков.Назначенные буквы накопителей используются на постоянной основе и не изменяются,пока не произойдет удаление или ручное изменение какого-либо тома спомощью оснастки Disk Management. Исключением является случай, когда том(съемный диск) отключен и происходит подключение нового тома. Новый том можетполучить букву накопителя отключенного тома. Чтобы не нарушить распределениебукв для накопителей при вводе новых томов, у вас должны быть подключенывсе существующие тома.Logical Disk Manager (LDM) следит за последней буквой накопителя, назначеннойдинамическому тому, в своей базе данных конфигурации. Эта база данных находитсяв собственной области размером 1 Мб в конце каждого динамического диска.Когда MountMgr назначает буквы динамическим томам, происходит обращениек LDM, чтобы выяснить, имеется ли «предлагаемая буква накопителя», исходя изинформации, содержащейся в базе данных конфигурации.MountMgr присваивает буквы накопителей динамическим томам на основанииследующего.• Если база данных MountMgr в реестре уже содержит какую-либо букву накопителядля тома, то данный том получает эту букву.• Если база данных MountMgr не содержит букву накопителя для данного тома,то MountMgr запрашивает у LDM «предлагаемую» букву накопителя. LDM просматриваетсвою базу данных конфигурации, и если найдена записанная букванакопителя, эта буква предлагается MountMgr.• Если эта предлагаемая буква накопителя свободна, то она присваивается данномутому и записывается в базу данных MountMgr, чтобы ее можно было использоватьпри следующем монтировании.• Если предлагаемая буква накопителя уже используется, то данному тому присваиваетсяследующая свободная буква накопителя.• Если LDM не имеет предлагаемой буквы накопителя, то данному тому присваиваетсяследующая свободная буква.Чтобы управлять назначениями букв вручную, щелкните правой кнопкой нанужном накопителе и выберите в контекстном меню пункт Change Drive Letter AndPath (Изменить букву накопителя и путь).Оснастка Services and Applications(Службы и приложения)Последняя оснастка в дереве консоли Computer Management - это Services andApplications. При выборе объекта Services в дереве консоли выводится информацияоб установленных службах. Сведения по управлению службами приводятся на протяжениивсей этой книги, поэтому я не буду здесь вдаваться в подробности.

Глава 8. Средства обслуживания системы 279Вы можете использовать диалоговое окно Properties для любой службы, чтобыизменять ее конфигурацию, но будьте осторожны, поскольку это небезопасно.• Во вкладке General (Общие) вы можете изменять способ запуска данной службы.Вы можете также запускать службу, прекращать ее работу, приостанавливатьи возобновлять работу службы.• Во вкладке Logon (Вход) вы можете изменять учетную запись, которая закрепляетсяза данной службой.• Во вкладке Recovery (Восстановление) вы можете выбирать действия для случаевотказа службы. Возможны такие действия, как перезапуск службы, перезагрузкакомпьютера или запуск определенного файла (обычно программы уведомления,которая дает знать администратору, что произошло).• Во вкладке Dependencies (Зависимости) вы можете видеть имена служб, которыезависят отданной службы, а также имена служб, от которых зависит данная служба.Эти наборы очень важны, когда вы вносите изменения в поведение службы.

Глава 9ПечатьУстановка и конфигурирование принтеров и служб печати в Windows Server 2003выполняются просто по сравнению с тем, что приходится делать для установки иконфигурирования служб и серверов печати других сетевых ОС. Конечно, обеспечениетакой простоты требует большой внутренней работы, основная часть которойвыполняется ядром операционной системы в фоновом режиме.В этой главе описывается, каким образом Windows Server 2003 выполняет печать,а также рассматриваются компоненты, участвующие в процессе печати. Здесьтакже описываются основные варианты установки и конфигурирования, которыевы можете использовать при установке служб печати в вашей сети.Новые возможности печатиПри модернизации из Windows NT вы увидите целый ряд существенных улучшенийв печати Windows Server 2003. Если вы работали с Windows 2000, то уже знакомы сбольшинством этих изменений, но в Windows Server 2003 появилось несколько дополнительныхнововведений.Все средства печати Windows Server 2003 будут описаны в этой главе, но для самыхлюбопытных ниже приводится краткая сводка наиболее важных модификаций.• Дистанционное администрирование портов. Дистанционное администрированиепринтеров расширено и включает теперь дистанционное администрированиепортов. (Введено в Windows 2000).• Стандартный порт для TCP/IP. Новый порт, который называют стандартнымпортом, можно использовать для простой установки большинства принтеровTCP/IP в вашей сети. Если вы когда-либо конфигурировали печать TCP/IP вWindows NT 4, то по достоинству оцените тот факт, что вам не нужно проходитьчерез многочисленные шаги во всех этих диалоговых окнах. (Введено в Windows2000).• Печать через интернет. Печать интегрирована с интернетом, и пользователи могутполучать доступ к серверам печати в сети интранет или в интернете с помощьюURL-адреса. (Введено в Windows 2000).• Мониторы очереди печати. Вы можете следить за показателями работы локальногоили удаленного принтера с помощью объекта Print Queue (Очередь печати)в System Monitor. Имеются счетчики для многочисленных показателей производительности.(Введено в Windows 2000).• Пользователи могут изменять настройки. Пользователи, работающие с WindowsХР Professional и Windows Server 2003, могут изменять личные настройки параметровпо умолчанию для документов. Это не было доступно для пользователей,работающих с Windows NT или Windows 2000 (но было доступно при работе сWindows 9x).

Глава 9. Печать 281• Новое диалоговое окно Print. Изменилось стандартное диалоговое окно Print,которое появляется при печати из приложений. Вы можете теперь устанавливатьпринтер непосредственно из диалогового окна Print.• Новое название для папки Printers. Папка Printers теперь называется Printers andFaxes (Принтеры и факсы).• Автоматическая установка драйверов принтеров во всех узлах кластера. Если выустанавливаете драйвер принтера в одном узле кластера, этот драйвер автоматическиустанавливается во всех остальных узлах.• Блокирование установки драйверов принтеров в режиме ядра. С помощью групповойполитики администратор может запретить пользователям установку драйверовпринтеров в режиме ядра.Основы печатиWindows Server 2003 - это операционная система в защищенном режиме без прямогодоступа к оборудованию. Поэтому для управления возможностями печати и взаимодействияс физическими печатающими устройствами используются виртуальныепринтеры (иногда их называют логическими принтерами). Отправка заданияпечати на принтер означает отправку этого задания на соответствующее виртуальноеустройство. При этом важно помнить о следующем.• Значки, которые выводятся в списках принтеров, представляют виртуальныепринтеры.• Пользователи отправляют задания печати виртуальному принтеру, а не на физическийпринтер.• Установленные драйверы принтеров загружаются во время печати и отправляютсявиртуальному принтеру.• Изменения конфигурации в свойствах принтера выполняются для виртуальногопринтера, но эти параметры должны соответствовать возможностям физическогопринтера.Процессы печатиПрежде чем отправить задание печати на принтер, операционная система выполняетцелый ряд процессов. Ниже приводится краткое описание этих процессов,начиная с момента, когда пользователь отправляет документ на принтер. (Мы предполагаем,что соответствующая программа является Windows-приложением.) Компонентыпечати, которые действуют в этих процессах, описываются ниже.Создание выходного файлаWindows-приложение вызывает интерфейс Graphical Device Interface (GDI), который,в свою очередь, обращается к драйверу принтера, связанного с целевым принтером.Используя информацию о документе, представленную этим приложением,GDI и драйвер формируют данные в формате EMF (enhanced metafile), содержащиевызовы GDI и информацию драйвера принтера. Затем Windows-приложение обращаетсяк клиентской стороне спулера печати (Winspool.drv).После загрузки драйвера печати в память все коды и наборы команд конкретногопринтера становятся доступны последующим процессам.

282 Windows Server 2003. Полное руководствоПримечание. Процессы печати других ОС и приложений (отличных от Windows) неиспользуют GDI. Эту задачу осуществляет какой-либо компонент, аналогичный GDIWindows.Выходной файл содержит команды (инструкции), которые называются вызовамиинтерфейса DDI(Device Driver Interface). Эти команды передаются драйверу принтера.Соответствующий выходной файл называется файлом журнала DDL Графическийпроцессор (%SystemRoot%\System32\gdi32.dll) преобразует команды GDI вкоманды DDI, которые могут читать процессоры печати операционной системы идрайвер принтера.Обработка выходного файлаВыходной файл передается локальному спулеру, который определяет тип данных изатем передает задание на печать процессору печати. Он также передает информациюо типе данных. Процессор печати преобразует данные печати в формат, которыйпредполагается физическим принтером. См. ниже разделы по процессорам печати,где описываются типы данных и форматы данных.Примечание. Независимо от физического принтера, на который отправляется выходнойфайл (локальный или сетевой принтер), этот файл всегда передается локальномуспулеру.Маршрутизация задания печатиКлиентский компьютер использует удаленный вызов процедур (RPC - RemoteProcedure Call) для отправки задания печати маршрутизатору Windows на серверепечати. Маршрутизатор принимает задание от клиентского компьютера и определяетместоположение физического принтера. Если принтер является локальным,это просто означает, что соответствующее задание отправляется назад клиентскомуспулеру, и локальный компьютер считается сервером печати.Отправка задания печатиСпулер на сервере печати передает задание печати монитору печати операционнойсистемы. Монитор печати проверяет целевой порт и, если он свободен, происходитотправка задания печати. Если порт занят, то монитор печати задерживает заданиепечати в очереди спулера, пока не освободится порт. Монитор печати управляеттакже связью между принтером и отправившим задание пользователем, если кабельпринтера поддерживает двунаправленное соединение.Компоненты печатиНа всех шагах, которые выполняются операционной системой для передачи заданияпечати из приложения на физический принтер, требуется использовать целыйряд компонентов и процессов, предоставляемых операционной системой.

СпулерГлава 9. Печать 283Спулер - это программный компонент, содержащий группу DLL, поддерживающихпроцедуры, которые должны выполняться при отправке документа на принтер. Кэтим процедурам относятся:• отслеживание портов принтеров, связанных с каждым принтером;• отслеживание конфигурации каждого принтера, включая память, лотки и т.д.;• назначение приоритетов заданиям печати в очереди;• передача задания печати через последовательность программных процессов,которые зависят от типа задания, типа данных и местоположения физическогопринтера;• отправка задания физическому принтеру.Спулер получает задание печати, сохраняет это задание на диске, после чего передаетзадание через последовательность процессов печати и отправляет его на принтер.После сохранения задания печати на диске пользователь может вернуться кработе в приложении, из которого отправлено задание. Вся обработка задания печатипроисходит в фоновом режиме.По умолчанию для спулинга используется папка %SystemRoot%\System32\Spool\Printers. Вы можете изменять местоположение спулера, и это обычно имеетсмысл, если на данном компьютере есть другой диск (где больше объем свободногопространства). Файлы спулинга на сервере печати могут занимать существеннуючасть пространства на диске.Если на сервере печати есть второй диск, подсоединенный к отдельному контроллеру,то вы можете также повысить производительность ввода-вывода на используемомпо умолчанию диске спулера, переместив спулер на диск с другим (отдельным)контроллером.Чтобы переместить спулер, откройте папку Printers and Faxes и выберите в менюFile пункт Server Properties (Свойства сервера). («Сервер» означает сервер печати,поэтому данный пункт меню представлен также на рабочих станциях, которые предоставляютразделяемые принтеры.) В диалоговом окне Print Server Properties перейдитево вкладку Advanced (Дополнительно), где показано местоположение папкиспулера. Введите новое местоположение с учетом следующих особенностей.• Не помещайте папку спулера в корень. Windows Server 2003 не допустит такуюконфигурацию и вернет папку спулера в ее исходное местоположение. (Я используюD:\Printing\Spool\Printers.)• Не перемещайте папку спулера, пока имеются активные задания печати, посколькуэти задания не будут напечатаны.• Если указанная вами папка не существует, она будет создана для вас, но если этоподпапка, то ее родительская папка уже должна существовать. Иначе говоря, системаможет автоматически создать только нижний уровень указанного пути, поэтомулучше заранее создать полный путь, прежде чем переместить спулер.• Если спулер находится в разделе NTFS, то проследите, чтобы группа Everyoneимела полномочия записи для папки спулера.Новое местоположение немедленно записывается в реестр и начинает действоватьсразу. Оно записывается в раздел HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Print\Printers для элемента данныхDefaultSpoolDirectory (тип данных REG_SZ).

284 Windows Server 2003. Полное руководствоЕсли новое местоположение не действует, нужно завершить и снова запуститьслужбу Print Spooler, используя следующие шаги.1.2.3.4.В панели управления (Control Panel) откройте апплет Administrative Tools (Администрирование).Откройте консоль Services (Службы).Выберите Print Spooler.Если вы используете представление Extended (Расширенное), то щелкните в панелиэтой консоли на кнопке Stop и затем щелкните на кнопке Restart.[de factor*View- *•PrintSpooler-jic-DtheserviceRestarttheservice^Extended AStandard /J^PiotectedStorage'-. \ ^RemoteAccessAuL.jjjj ^9 RemoteAccessCon.• .• -Jiни BBS - I-r,Piotect Detectsuns. ssto. StartedJS. - - |LwjOni . s JAutomati cManagescfi.ManualLocalSystem" ! щ iil5. Если вы используете в панели консоли представление Standard (Стандартное),то щелкните правой кнопкой на Print Spooler и выберите в контекстном менюпункт Stop. Затем еще раз щелкните правой кнопкой и выберите пункт Restart.Вы можете также завершать работу службы Print Spooler и запускать ее из команднойстроки с помощью команд net stop spooler и start spooler.Файлы спулингаПапка спулера содержит файлы спулинга (список файлов спулинга называется очередью).Для каждого включаемого в спулинг задания печати в папку спулера записываютсядва файла.• Файл спулинга. Этот файл непосредственно содержит задание печати. Он имеетрасширение .spl.• «Теневой» файл. Этот файл содержит административную информацию, необходимуюдля печати данного задания (целевой принтер, приоритет задания, имяотправившего задание пользователя и т.д.). Этот файл имеет расширение .shd.Если происходит отключение сервера печати, но напечатаны не все задания,включенные в спулинг, то после перезагрузки сервера печать возобновляется в силутого, что имеются файлы спулинга и теневые файлы этих заданий.Драйверы принтеровДрайверы принтеров преобразуют данные и коды документа задания печати в форму,которая требуется принтеру. Операционная система использует драйвер принтерадля трех конкретных задач и разбивает функции драйвера принтера на соответствующиеконкретные части. Каждая из этих частей представлена следующиминаборами файлов.

• Графические драйверы.• Драйверы интерфейса принтера.• Файлы характеристик принтера.Глава 9. Печать 285Каждая из этих частей играет свою роль в обработке информации печати.Графические драйверыФункции вывода изображений (воспроизведение графики) реализуются WindowsServer 2003 с помощью DLL. DLL Print Graphics Driver предоставляет вызовы API,которые используются как интерфейс графического устройства при формированиифайла журнала DDL Кроме того, графический драйвер преобразует команды DDI вкоманды, которые воспринимаются принтером. Эти файлы хранятся в подпапкахвнутри %SystemRoot%\System32\Spool\Drivers\w32x86.Драйверы интерфейса принтераФайлы интерфейса принтера (это .dll-файлы) предоставляют опции, которые можетвыбирать пользователь при конфигурировании принтера. В частности, они выводятдиалоговые окна Properties и Printing Preferences.Файлы характеристик принтераЭти файлы содержат информацию, предоставляемую изготовителями принтеров,где описываются возможности и опции конфигурирования принтеров, например,может ли данный принтер выполнять печать на обеих сторонах листа, максимальнодопустимый размер страницы и т.д.Очередь печатиПоследовательность заданий печати, ожидающих отправки на физический принтерв папке спулера, называется очередью.Если вы работали когда-либо с Novell NetWare или с OS/2, то вам придется пересмотретьсвое понимание слова «очередь». Очередь, используемая этими операционнымисистемами, - это основной программный интерфейс между приложениямии физическим принтером. Имеется взаимнооднозначное соответствие междуочередью и принтером.Например, если в OS/2 пользователь отправляет задание печати на принтер, этозадание перехватывается спулером OS/2, содержащим задание в очереди, котораяреально является виртуальным алиасом для конкретного физического принтера.Задание печати представляется очереди для обработки, то есть очередь не являетсянабором файлов печати, которые уже «обработаны» операционной системой. Спулери очередь представляют объединенное понятие. Драйвер принтера, спулер иочередь не обрабатывают задание печати по отдельности: задание захватывается,содержится и передается на физический принтер одним объектом - очередью.NetWare 3JC (И NetWare 4.x, если вы используете очередь вместо виртуальногопринтера) действует почти так же, как и OS/2, за исключением того, что для настройкиочереди и сервера принтера требуется намного больше работы.Для растровых принтеров эти файлы называются минидрайверами и обычно реализуютсяв форме DLL (хотя вы можете видеть и другие расширения, такие как.gdp или .pcd). Они совместимы по исходным кодам между различными платформамии процессорами.

286 Windows Server 2003. Полное руководствоДля PostScript-принтеров это файлы PostScript Printer Description (PPD), то естьтекстовые файлы, поставляемые изготовителем принтера. Они совместимы как двоичныефайлы между различными платформами и процессорами.Процессор печати Windows Server 2003Процессор печати выполняет рендеринг задания печати после того, как он получаетэтот файл от спулера. Рендеринг означает преобразование данных задания печатив данные, которые «понятны» и допустимы для принтера.Прежде чем передать задание, спулер проверяет тип данных. Если необходимрендеринг, то вместе с заданием печати спулер передает процессору печати информациюрендеринга. Вопрос необходимости обработки задания зависит от типа данных,переданных клиентским приложением.Windows NT/2000/XP/2003 Server использует по умолчанию тип данных EMF,поэтому процессор печати может передавать задание принтеру «с полной уверенностью»,что принтер сможет интерпретировать и обработать задание печати.Процессор печати и конфигурацию для типа данных можно найти в диалоговомокне Properties (Свойства) принтера: щелкните на кнопке Print Processor (Процессорпечати) во вкладке Advanced.Используются следующие типы данных.• RAW. Этот тип данных указывает, что рендеринг задания уже был выполнен ионо готово для данного принтера. В этом случае процессор печати ничего неделает. Тип RAW применяется клиентами, не использующими Windows NT4/2000/ХР/2003, и это тип данных по умолчанию для всех PostScript-принтеров.• RAW [FF appended]. Этот тип данных указывает, что клиент отправил документбез символа конца страницы в конце задания (что требуется для вывода из принтерапоследней страницы). Процессор печати добавляет символ конца страницыи больше ничего не делает.• RAW [FF auto]. Этот тип данных действует так же, каки RAW [FF appended], нопроцесс печати проверяет наличие символа конца страницы в конце задания ипри необходимости добавляет его.• TEXT. Этот тип данных указывает, что задание содержит простой текст, и онобычно используется для заданий печати, отправляемых на PostScript-принтерыили плоттеры (которые не воспринимают текст как допустимый тип данных).Процессор печати использует драйвер принтера для рендеринга такого заданияв команды принтера, которые допускаются адресуемым принтером.• EMF. Тип данных EMF (Enhanced Metafile) используется по умолчанию большинствомприложений, написанных для Windows NT4, Windows 2000, WindowsХР и Windows Server 2003. Информация EMF генерируется интерфейсом GDIперед спулингом; затем спулер пересылает задание печати в очередь в фоновомрежиме. EMF-файлы обычно меньше, чем файлы с типом данных RAW. Ещеважнее то, что они обеспечивают переносимость и могут преобразовываться всоответствии с требованиями почти любого принтера.Другие процессоры печатиВ дополнение к процессору печати, встроенному в Windows Server 2003, вы можетевключать в вашу систему и другие процессоры печати. Некоторые процессоры печатидоступны в Windows Server 2003 как дополнительные компоненты, см. табл. 9.1.

•Глава 9. Печать 287Табл. 9.1. Дополнительные процессоры печати для Windows Server 2003Компонент Назначение ИсточникPrint Services forUNIXPeer Web ServicesFile and PrintServices for NetWareClient Service forNetWareGateway Service forNetWarePrint Services forMacintoshПечать, при которой используетсяпротокол TCP/IPПечать, направляемая в интернет изWindows XP ProfessionalПечать, направляемая в WindowsServer 2003 с компьютеров, работающихпод управлением NetWareПечать, направляемая на серверыNetWare из Windows XP ProfessionalПечать, направляемая в очереди и изочередей печати NetWare с помощьюWindows Server 2003 (является такжешлюзом для клиентов SMB при печати,направляемой в очереди печатиNetWare)Печать, направляемая в WindowsServer 2003 с компьютеров MacintoshДополнительныйкомпонент в WindowsServer 2003.Windows XPProfessional ResourceKit.Microsoft Services forNetWare (продаетсяотдельно).Дополнительныйкомпонент в WindowsXP Professional.Дополнительныйкомпонент в WindowsServer 2003.Дополнительныйкомпонент в WindowsServer 2003.Имеются также процессоры печати от сторонних поставщиков. Например, программныеприложения, которые генерируют данные, требующие специальной обработкидля их интерпретации принтером, обычно содержат свой процессор печати.Маршрутизатор печатиМаршрутизатор печати принимает запрос на печать от клиента и определяет компонентспулера, который следует использовать для выполнения данного запроса.Он действует между клиентским компьютером и сервером печати (который может,конечно, оказаться, тем же компьютером). Маршрутизатор печати реализуется спомощью Wmspool.drv, находящегося в папке %SystemRoot%\System32, а связь междуклиентом и маршрутизатором печати осуществляется с помощью вызовов RPC.Первая задача маршрутизатора печати - это поиск физического принтера, накоторый должно быть доставлено задание печати. Когда принтер найден, маршрутизаторсравнивает драйвер этого принтера с драйвером принтера на клиентскомкомпьютере (если он имеется). Если на клиентском компьютере нет драйвера этогопринтера или он имеет более раннюю дату, чем драйвер на сервере печати, то дляклиента загружается драйвер с сервера печати.Если клиент не получает от маршрутизатора печати никакого сообщения обошибке («Printer not found — принтер не найден), то задание обрабатывается клиентскимкомпьютером (без гарантии, что он имеет подходящий драйвер), и это означает,что задание помещается в локальный спулер. Если сервер печати не являетсяклиентским компьютером, то маршрутизатор печати копирует задание из клиентскогоспулера в спулер сервера печати.

288 Windows Server 2003. Полное руководствоМониторы печатиМонитор печати - это компонент, который управляет портом, а также связью междупортом и спулером. Он передает задания в порт, осуществляя при этом следующиезадачи.• Доступ к порту (передача задания печати).• Освобождение доступа к порту в конце задания печати.• Отправка уведомления спулеру, когда закончена печать задания (после чего спулерудаляет задание из очереди).• Следит за сообщениями об ошибках от принтера.Монитор печати, который выполняет эти задачи, иногда называют мониторомпорта. Если принтер поддерживает двунаправленную связь при печати, то мониторпечати действует также как монитор языков, обеспечивая двустороннюю передачуданных между принтером и спулером печати. Это позволяет получать информациюо конфигурации спулера и состоянии принтера.Однако наиболее важной задачей монитора принтера является управление портомввода-вывода, и существуют мониторы печати для порта любого типа, которыйвы используете или устанавливаете в своей системе Windows Server 2003. В таблице9.2 представлены сведения о поддержке мониторов печати в Windows Server 2003.Табл. 9.2. Поддержка мониторов печати в Windows Server 2003Порт Целевой принтер(ы) Доступность в WindowsServer 2003Локальный порт(параллельный,последовательный,USB, 1394, IR)Стандартный портTCP/IPПечатающие устройстваAppleTalkПорт LPRhttpПорт для NetWare -принтеровПринтеры, подсоединенные к Встроеннаяданному компьютеруГотовые к работе в сети печа- Встроеннаятающие устройства TCP/IPПринтеры AppleTalkПринтеры TCP/IP, подсоединенныек серверу UNIX (илиVAX)Печать через интернетРесурсы печати NetWareПосле установки протоколаAppleTalkПосле установки PrintServices for UNIXПо.сле установки IISПосле установки протоколаNW Link и компонентаClient Service for NetWareПримечание. Если на компьютере нет инфракрасных (IR) устройств, то IR-порты непредставлены во вкладке Ports диалогового окна Properties принтера. Порты USB иIEEE 1394 никогда не появляются в списке выбора вкладки Ports диалогового окнаProperties принтера, поскольку вы можете выбирать их вручную. Если вы подсоединяетепринтер к порту USB или IEEE 1394, то Windows Server 2003 самостоятельнообнаруживает это соединение и автоматически устанавливает порт и монитор порта.

Локальный монитор печатиГлава 9. Печать 289Локальный монитор печати (%SystemRoot%\System32\Localmon.dll) управляет локальнымипортами. Следующие назначения портов для принтеров считаются локальными(любой принтер можно сконфигурировать для печати через любой портиз этого списка).Parallel (Параллельный).Serial (Последовательный).File (монитор печати запрашивает имя файл, когда вы используете этот порт).Явно указанное имя файла (каждое задание, переданное в файл с указаннымименем, замещает последнее задание, переданное в файл с этим именем).UNC-путь для разделяемого удаленного принтера.NULIR (инфракрасный).USBШЕЕ 1394Монитор стандартных портовПредпочтительным монитором порта для сетевых принтеров в Windows Server 2003является монитор стандартных портов TCP/IP. Сетевыми принтерами считаютсяготовые для сетевой работы принтеры, содержащие сетевые адаптеры (такие какHP JetDirect) и внешние сетевые устройства (такие как Intel NetPort). Монитор стандартныхпортов может поддерживать много принтеров на одном сервере, и он используетпротокол SNMP (Simple Network Management Protocol) для конфигурированияи мониторинга принтеров.Примечание. Монитор стандартных портов совместим с документом RFC 1759, которыйявляется стандартом для Management Information Base, поэтому данный монитордает более подробную информацию о состоянии принтера, чем монитор портаLPR.Использование NUL-порта для тестированияNUL-порт обычно используется для тестирования сетевой печати. Задайте для принтераиспользование NUL-порта и приостановите его (чтобы можно было видетьожидающие задания; иначе задания будут проходить через порт слишком быстро,чтобы вы могли наблюдать за ними). Затем отправьте какое-либо задание на этотпринтер с подсоединенного клиентского компьютера. Вы сможете увидеть это задание,когда откроете объект-принтер. Если вы не видите задание, проверьте параметрынастройки, чтобы убедиться, что принтер сконфигурирован для NUL-порта.Если вы все-таки видите задание, значит, ваше тестирование прошло успешно. Возобновитепечать, что реально ничего не вызовет, поскольку задания, направленныев NUL-порт, просто исчезают. Вместо бумаги документы печатаются «виртуально»,поскольку переходят в область потерянных документов.Чтобы можно было использовать монитор стандартных портов, на сервере печатидолжен быть запущен протокол TCP/IP (поскольку TCP/IP является сетевымпротоколом по умолчанию для Windows Server 2003, это не будет проблемой).10-3994

290 Windows Server 2003. Полное руководствоПримечание. Хотя клиенты обычно работают с TCP/IP в домене Windows 2000 илиWindows Server 2003, это не является обязательным требованием для печати на сетевомпринтере через сервер печати, который использует монитор стандартных портов.Ведь только серверу печати требуется взаимодействие с принтером. А для взаимодействияс сервером печати клиенты могут использовать любой известныйтранспортный протокол.Монитор стандартных портов отправляет документы на принтеры, используяодин из двух протоколов сервера печати: RAW или LPR. Эти два протокола удовлетворяюттребованиям взаимодействия почти для всех сетевых принтеров TCP/IP.Протокол сервера печати типа RAW является типом по умолчанию для большинствасетевых принтеров. Сервер печати открывает поток TCP в один из портовпринтера (обычно 9101 для LPT1,9102 для LPT2 и т.д.). Закончив отправку данных,сервер печати отсоединяется от порта. Однако при необходимости (то есть когдаэтого требует принтер) вы можете сконфигурировать монитор стандартных портовдля использования LPR.Примечание. Монитор стандартных портов не согласуется с требованием RFC 1179,что номер исходного порта TCP должен находиться в диапазоне от 721 до 731, посколькуэто ограничивает сервер печати 11 принтерами. Поэтому монитор стандартныхпортов Windows Server 2003 использует порты из незарезервированного пулапортов (порты 1024 и выше).Чтобы добавить порт, для которого используется монитор стандартных портов,выполните следующие шаги.1. Откройте окно Printers And Faxes.2. Щелкните правой кнопкой на сетевом принтере, который вы хотите сконфигурировать,и выберите в контекстном меню пункт Properties.3. Перейдите во вкладку Ports.4. Щелкните на кнопке Add Port (Добавить порт) и выберите в списке имеющихсятипов портов Standard TCP/IP Port (Стандартный порт TCP/IP).5. Щелкните на кнопке New Port, чтобы запустить мастер Add Standard TCP/IPPort Wizard, и затем щелкните на кнопке Next.6. В поле Printer Name or IP Address (Имя принтера или IP-адрес) введите имя илиIP-адрес сетевого принтера.7. Для поля Port Name (Имя порта) мастер использует идентификацию принтера,которую вы ввели в поле Printer Name, и это обычно подходит. Но вы можетепри желании ввести другое имя для порта.

Глава 9. Печать 2918. Щелкните на кнопке Next.Windows Server 2003 запрашивает устройство через протокол SNMP. Используявозвращаемые значения, в окне выводятся соответствующие опции устройства. Взависимости от возможностей принтера вы можете при необходимости выбрать дополнительныеопции.Если мастер выводит окно с именем Additional Port Information Required (Требуетсядополнительная информация о порте), выполните один из следующих шагов.• Выберите вариант Standard и затем выберите в списке одно из устройств. Есливы не знаете детальной информации о порте, используйте вариант GenericNetwork Card (Обобщенная сетевая карта).• Щелкните на кнопке Custom (Нестандартный) и сконфигурируйте порт самостоятельнов окне Configure Standard TCP/IP Port Monitor (Настроить мониторстандартных портов TCP/IP).Примечание. Если мастеру не известен протокол принтера, он запрашивает у вас этуинформацию. Вам нужно ознакомиться с документацией поставщика принтера,чтобы выбрать между вариантами RAW и LPR.Щелкните на кнопке Finish, и новый порт появится в списке вкладки Ports диалоговогоокна Properties данного сетевого принтера.Монитор печати MacintoshМонитор печати Macintosh (Sfmmon.dll) управляет печатью через протоколыAppleTalk. Только серверы печати, работающие под управлением Windows Server 2003,могут получать задания печати Macintosh AppleTalk; компьютер Windows XPProfessional, который действует как сервер печати, не может печатать задания отклиентов Macintosh.Монитор печати Hewlett-Packard:протокол DLC больше не поддерживаетсяWindows Server 2003 не поддерживает протокол печати DLC (Data Link Control). DLC -это протокол по умолчанию для использования монитора печати hpmon от Hewlett-Packard. Для поддержки сервера печати, который использует в настоящее времяhpmon, на сервере печати Windows Server 2003 вы должны модернизировать текущийсетевой адаптер HP JetDirect, заменив его на адаптер, поддерживающий IP.После этого вы можете использовать монитор стандартных портов.В качестве альтернативного решения вы можете использовать сервер печати подуправлением Windows 2000 или Windows NT 4. Те, кто не хочет модернизироватьоборудование и будет использовать для таких принтеров более раннюю версиюWindows, могут найти указания по установке и конфигурированию DLC и hpmon вкниге Windows 2000: The Complete Reference (Osborne/McGraw-Hill).Для поддержки печати Macintosh вы должны иметь следующие компоненты.• Протокол AppleTalk для взаимодействия между клиентом и сервером печати.• Службу Print Services for Macintosh, которая поддерживает монитор печатиMacintosh.• Порт Macintosh.

292 Windows Server 2003. Полное руководствоУстановка AppleTalk. Для установки протокола AppleTalk выполните следующие шаги.1. Откройте аплет Network and Internet Connections (Сеть и подключения к Интернет)в панели управления (Control Panel).2. Откройте аплет Network Connections (Сетевые соединения).3. Щелкните правой кнопкой на Local Area Connection (Соединение локальнойсети) и выберите пункт Properties.4. В диалоговом окне Local Area Connection Properties щелкните на кнопке Install(Установить).5. Выберите Protocol и щелкните на кнопке Add.6. Выберите AppleTalk Protocol и щелкните на кнопке ОК.Соответствующие файлы будут копироваться с CD-ROM Windows Server 2003.Для клиентов Macintosh сервер печати Windows Server 2003 будет выглядеть как устройствоAppleTalk.Установка Print Services for Macintosh. Чтобы добавить службу Print Services forMacintosh на соответствующем сервере печати, выполните следующие шаги.1. Откройте аплет панели управления Add or Remove Programs (Установка и удалениепрограмм).2. Щелкните на значке Add/Remove Windows Components, чтобы открыть окно мастераWindows Components Wizard.3. В списке Windows Components найдите Other Network File and Print Services (Другиесетевые файловые службы и службы печати). Выделите эту строку, но неустанавливайте флажок (вам не нужен выбор полного варианта с установкой).4. Щелкните на кнопке Details (Подробно), чтобы вывести список всех имеющихсяслужб, то есть File Services for Macintosh, Print Services for Macintosh и PrintServices for UNIX.5. Выберите Print Services for Macintosh и щелкните на кнопке ОК.6. Следуйте дополнительным указаниям для установки служб с CD-ROM WindowsServer 2003.Примечание. Если выполнять эту задачу в Windows XP Professional, то появится толькоPrint Services for UNIX, поскольку Windows XP Professional не поддерживает файловыеслужбы и службы печати Macintosh.Установка порта AppleTalk. Для установки порта AppleTalk и сопутствующего принтеравыполните следующие шаги.1. Откройте папку Printers And Faxes.2. Откройте объект Add Printer (Добавить принтер), чтобы запустить мастер AddPrinter Wizard, и затем щелкните на кнопке Next.3. Выберите вариант Local Printer (Локальный принтер) и проследите, чтобы небыл установлен флажок автоматического обнаружения принтера; затем щелкнитена кнопке Next.4. Выберите вариант Create A New Port (Создать новый порт), чтобы активизироватьтекстовое поле Туре (Тип).5. Щелкните на стрелке справа от текстового поля Туре и выберите вариантAppleTalk Printing Devices (Печатающие устройства AppleTalk); затем щелкнитена кнопке Next.

Глава 9. Печать 2936. В списке AppleTalk Printing Devices щелкните на принтере AppleTalk, которыйвы хотите добавить, и затем щелкните на кнопке ОК.7. Щелкните на кнопке Yes для захвата этого устройства AppleTalk.8. Выполните экранные инструкции для завершения установки этого принтера.То, что вам требуется, зависит от того, что вы делаете. Ниже приводятся рекомендациипо поддержке печати Macintosh в вашей сети.• Для печати из Windows Server 2003 на принтере AppleTalk достаточно установитьпротокол AppleTalk, который позволяет вам добавлять порт AppleTalk (он доступенкак для Windows Server 2003, так и для Windows XP Professional).• Чтобы клиенты Macintosh могли печатать на разделяемых принтерах, вы должныустановить протокол AppleTalk и Services for Macintosh в системе WindowsServer 2003, которая действует как сервер печати (это недоступно для WindowsXP Professional).Мониторы печати LPRВ среде UNIX приложение может использовать службу LPR (Line Printer Remote) дляотправки документа службе спулера печати на другом компьютере. LPR - это частьпротоколов, разработанных с помощью TCP/IP и для TCP/IP, чтобы предоставлятьуслуги печати для UNIX (ее начали использовать с вариантом Berkeley UNIX, которыйпомнят только старые пользователи). В настоящее время LPR продолжает использоватьсядля многих клиентов UNIX.В Windows NT 4 LPR требовалась для печати через TCP/IP (даже если не былокомпьютеров UNIX), но этот подход изменился с появлением Windows 2000, гдеTCP/IP интерпретируется как стандартный порт. В Windows Server 2003 LPR используетсятак же, как и в Windows 2000.Это не означает, что вам не требуется служба LPR; просто она не нужна вам дляпечати через TCP/IP в среде Windows Server 2003. Однако вам нужна LPR для предоставленияуслуг печати в окружении, включающем UNIX.Протоколы LPR позволяют клиентским приложениям отправлять задания печатинепосредственно спулеру печати на сервере печати. Клиентская составляющаяназывается LPR, и серверная составляющая называется LPD (Line PrinterDaemon). Microsoft Print Services for UNIX поддерживает обе службы - LPR и LPD.С клиентской стороны Windows Server 2003 поддерживает LPR с помощью исполняемогофайла Lpr.exe (в %SystemRoot%\System32). После запуска этого исполняемогофайла начинает действовать монитор печати (Lprmon.dll), который взаимодействуетсо службами LPD (собственные службы для хоста UNIX).Со стороны сервера Windows Server 2003 предоставляет службы LPD с помощьюLpdsvc.dll. Эта служба может поддерживать любой формат печати, но не выполняетникаких преобразований. Клиентское приложение должно отправлять данные вформате, который предполагается принтером.Для печати из клиентского приложения UNIX на принтере Windows Server 2003соответствующий клиент должен иметь поддерживаемую версию LPR (не все версииUNIX поддерживают стандарты LPR, которые поддерживаются системойWindows Server 2003). Lpdsvc на сервере печати получает документы от утилит LPR,работающих на клиентской машине UNIX (это собственные утилиты LPR такогоклиента, поэтому вам не нужно устанавливать их). На сервере печати Windows Server2003 должна быть запущена служба Print Services for UNIX.Для печати из Windows Server 2003 на принтере, управление которым осуществляетсервер печати UNIX, Lpr.exe предоставляет библиотеку Lprmon.dll, которая

294 Windows Server 2003. Полное руководствовзаимодействует с собственной службой LPD на хосте UNIX. Для этого также требуетсяустановка Print Services for UNIX.Установка Print Services for UNIX. Чтобы установить Print Services for UNIX, выполнитеследующие шаги на сервере печати, который может работать под управлениемWindows Server 2003 или Windows XP Professional.1. Откройте аплет панели управления Add or Remove Programs.2. Щелкните на значке Add/Remove Windows Components, чтобы открыть окно мастераWindows Components Wizard.3. В следующем окне этого мастера выполните прокрутку списка Components, чтобынайти Other Network File and Print Services. Выделите эту строку, но не устанавливайтефлажок, иначе будет выбрана установка.4. Щелкните на кнопке Details, чтобы вывести список всех имеющихся служб.5. Выберите Print Services for UNIX и щелкните на кнопке ОК.6. Следуйте дополнительным указаниям для установки служб с CD-ROM Windows.После этого должны быть запущены службы LPD (клиентские службы запускаютсяисполняемым файлом Lpr), и для принтера должен быть создан порт LPR.Конфигурирование служб LPD. Службы LPD (службы TCP/IP Print Server) запускаютсяавтоматически, когда вы устанавливаете Print Services for UNIX. Чтобы обеспечитьправильность конфигурирования служб TCP/IP Print Server, выполните следующиешаги.1. Откройте аплет Services из панели управления или из меню Programs (если выустановили Administrative Tools).2. Выполните прокрутку, чтобы найти TCP/IP Print Server. Если вы не видите этойстроки, выберите в меню консоли Action\Refresh (Действие\Обновить).3. Убедитесь, что эта служба запущена.4. Проследите, чтобы эта служба была сконфигурирована для автоматического запуска.Добавление порта LPR. Чтобы добавить порт на сервере печати Windows Server 2003или Windows XP Professional, который предоставляет услуги печати клиентам UNIX,выполните следующие шаги.1. Откройте папку Printers And Faxes и откройте объект Add Printer.2. Когда появится мастер Add Printer Wizard, щелкните на кнопке Next, чтобы перейтив следующее окно.3. Выберите вариант Local Printer и проследите, чтобы не был установлен флажокавтоматического обнаружения принтера. Щелкните на кнопке Next.4. В следующем окне выберите вариант Create A New Port, чтобы активизироватьтекстовое поле Туре (Тип).5. Щелкните на направленной вниз стрелке рядом с полем Туре и выберите портLPR, который включен в список как результат установки Print Services for UNIX.Щелкните на кнопке Next.6. В поле Name or Address (Имя или адрес) введите DNS-имя или IP-адрес хостадля данного принтера.7. В поле Name Of Printer Or Print Queue On That Server (Имя принтера или очередипечати на данном сервере) введите имя установленного принтера (идентификация,которая используется хост-компьютером).

Мониторы печати от сторонних поставщиковГлава 9. Печать 295Несколько изготовителей принтеров поставляют свои собственные мониторы печати.Монитор печати Digital управляет любыми портами Digital Network, которыевы устанавливаете для использования устройств PrintServer компании DEC (DigitalEquipment Corporation). Кроме того, этот порт и сопровождающий монитор печатитребуются для некоторых отдельных принтеров DEC. Этот монитор должен бытьполучен от изготовителя (www.hp.com). Для установки этого принтера и порта используйтевариант Have Disk (Установить с диска).Если у вас есть печатающие устройства Lexmark, то вместе с устройством выобязательно получили программное обеспечение монитора печати Lexmark. Еслиэто не так, посетите сайт www.lexmark.com. Мониторы печати Lexmark управляютрасширенными средствами, доступными этим принтерам, и все они требуют взаимодействияс портом (что, конечно, является работой для монитора печати). Дляустановки этого принтера и монитора печати используйте вариант Have Disk.Примечание. Портами AppleTalk можно управлять только локально, на сервере печати.Мониторы языковМониторы языков принтеров используются для поддержки взаимодействия в случаепечатающих устройств с двунаправленной передачей данных. Чтобы использоватьвозможности двунаправленной печати, вам требуется двунаправленный принтер,порт и монитор портов.Для монитора языков Windows Server 2003 используется Pjlmon.dll, который находитсяв папке %SystemRoot%\System32. Pjlmon.dll использует Printer Job Language(PJL), и любой двунаправленный принтер, который использует PJL, может использоватьPjlmon.dll. Если принтер использует другой язык принтера, то поставщикобязательно должен предоставить монитор языка.Провайдеры печатиПоследним компонентом для печати Windows Server 2003 является провайдер печати.Провайдер печати отправляет задание на физическое устройство, используяопции конфигурации для этого устройства. Фактически он реализует параметры,выбранные вами в диалоговом окне Properties для данного принтера.Например, если у вас выбрана печать направляемых спулеру заданий, как тольконачинается спулинг, он отправляет задание принтеру сразу, не ожидая, пока будетполучено все задание. В Windows Server 2003 включены два провайдера печати -для локальной и дистанционной печати.Провайдер локальной печатиПровайдер локальной печати - это Localspl.dll, находящийся в папке%SystemRoot%\System32. Он направляет задания печати локально подсоединенномупринтеру. Для этого он выполняет следующие задачи (используя вызовы RPC).1. При получении задания (от локального приложения или удаленного пользователя)он записывает задание на диск в виде файла спулинга. Он также записываеттеневой файл.

296 Windows Server 2003. Полное руководство2. Если имеется опция конфигурирования для страниц-разделителей (SeparatorPage), он обрабатывает эти страницы.3. Он определяет, какой процессор печати требуется для типа данных задания печатии передает задание этому процессору печати. После того, как процессорпечати закончит внесение модификаций (если они требуются), он передает заданиеназад провайдеру локальной печати.4. Он проверяет порт для адресуемого принтера и затем передает задание мониторупечати, связанному с этим портом.Провайдеры дистанционной печатиОба провайдера дистанционной печати - это .dll-файлы в папке %SystemRoot%\System32. Провайдеры дистанционной печати используются, когда компьютерWindows Server 2003 отправляет задания печати на удаленный сервер печати.• Win32spl.dll перемещает задания печати на серверы печати Windows.• NWProvau.dll перемещает задания печати на серверы печати Novell NetWare.Если адресуемый принтер находится на сервере печати, работающем под управлениемкакой-либо предыдущей версии Windows (Windows NT и более ранние версии),то провайдер дистанционной печати Windows Server 2003 обращается к сетевомуредиректору Windows, который отправляет задание через сеть насоответствующий сервер печати. Этот сервер берет на себя печать задания.Примечание. Редиректор Windows - это компонент интерфейсов Windows NetworkAPI. Он позволяет клиентским компьютерам получать доступ к ресурсам на другихкомпьютерах, как будто это локальные ресурсы. Взаимодействие осуществляетсячерез стек протоколов, с которым он связан.Провайдер дистанционной печати NetWare берет на себя управление заданиемпечати, если имя сервера интерпретировано как имя сервера печати NetWare. Провайдерпечати NetWare передает задание редиректору NetWare, который передаетзадание серверу печати.Установка локальных принтеровУстановка принтеров (на самом деле это установка драйверов принтеров) в WindowsServer 2003 не представляет никаких сложностей, особенно если принтер - это устройствоPlug and Play. Вы можете установить локальный принтер, если имеете административныеправа на данном компьютере.Установка принтера Plug and PlayПосле физического подсоединения принтера и загрузки компьютера принтер устанавливаетсяавтоматически, если он определен как устройство Plug and Play. Происходитавтоматический запуск мастера поиска нового оборудования Found NewHardware Wizard, который устанавливает принтер. Установка происходит полностьюв фоновом режиме и не требует никакого вмешательства пользователя.Если механизм Plug and Play не обнаруживает принтер при загрузке, и вы знаете,что принтер не является устройством Plug and Play, то выполните инструкцииследующего раздела, «Установка принтеров вручную».

Глава 9. Печать 297Примечание. Plug and Play, возможно, не сработает, если у вас принтер новой модели,которую не распознает данная ОС. Попытайтесь найти на сайтах Microsoft обновленныедрайверы.Если вы уверены, что данный принтер должен обнаруживаться механизмом Plugand Play, то можете попытаться выполнить автоматическую установку из папкиPrinters and Faxes (в подменю Settings или в панели управления). Откройте объектAdd Printer, чтобы запустить мастер Add Printer Wizard. Щелкните на кнопке Next впервом окне мастера, которое является вводным окном и не требует никаких действий.В следующем окне мастера выберите вариант Local Printer и установите флажокAutomatically Detect And Install My Plug And Play Printer (Автоматическое определениеи установка принтера Plug and Play). Затем щелкните На кнопке Next.Когда (или если) мастер Add Printer Wizard найдет принтер, он сообщит об этоми спросит, нужно ли напечатать тестовую страницу (вам следует выбрать ответ Yes).Просто отвечайте на все дополнительные запросы конфигурирования. После окончанияустановки и копирования файлов драйвера принтера на ваш локальный дискбудет выполнена печать тестовой страницы.Если мастер Add Printer Wizard не может найти принтер, появляется сообщение,что Windows не может обнаружить принтеры Plug and Play. Щелкните на кнопкеNext, чтобы выполнить установку принтера вручную (см. ниже). Если у вас естьдрайверы от изготовителя принтера, они должны быть под рукой (если они находятсяна гибком диске или на CD-ROM) или вы должны знать их местоположениена вашем жестком диске (если загрузили их из интернета).Установка принтеров вручнуюЕсли ваш принтер не является устройством Plug and Play, то вы должны установитьего вручную, используя следующие шаги.1. Откройте объект Add Printer, чтобы запустить мастер Add Printer Wizard.2. Щелкните на кнопке Next в первом окне мастера, которое является вводнымокном и не требует никаких действий.3. В следующем окне мастера выберите вариант Local Printer и проследите, чтобыбыл сброшен флажок Automatically Detect And Install My Plug And Play Printer.4. Выберите порт, к которому подсоединен принтер, и щелкните на кнопке Next.5. В следующем окне выберите изготовителя и модель своего принтера и щелкнитена кнопке Next.6. Введите имя принтера и укажите, будет ли он принтером по умолчанию для приложенийWindows.7. В следующем окне запрашивается, хотите ли вы предоставлять этот принтер дляразделяемого использования другим пользователям сети. Если да, то выберитеShare As (Разделяемое использование под именем) и введите разделяемое имяпринтера (или согласитесь с именем, которое предлагает Windows; обычно этоназвание модели принтера). Для удобства сетевых пользователей вы можете добавитьдополнительное описание.8. Укажите, нужно ли напечатать тестовую страницу (всегда имеет смысл ответитьYes).9. Щелкните на кнопке Next, чтобы появилось последнее окно мастера, и щелкнитена кнопке Finish.

298 Windows Server 2003. Полное руководствоФайлы драйвера будут скопированы на жесткий диск, и в папке Printers and Faxesпоявится значок этого принтера.Что делать, если не представлена модель принтераЕсли в списке нет модели вашего принтера, и у вас нет драйверов от изготовителя,щелкните на кнопке Cancel. После того, как вы обратитесь к изготовителю для получениядрайверов, снова вызовите окно мастера. Если это новая модель принтера,то вы можете также щелкнуть на Windows Update, чтобы попытаться найти на вебсайтеMicrosoft соответствующий драйвер. В окне мастера можно выбрать следующиеварианты.• Have Disk (Установить с диска). Щелкните на этой кнопке, если вы хотите использоватьдрайверы принтера, полученные от изготовителя. См. следующий раздел,«Использование драйверов от изготовителя».• Windows Update. Щелкните на этой кнопке, если хотите получить драйвер принтерас веб-сайта Microsoft.Использование драйверов от изготовителяЕсли у вас есть драйверы принтера от изготовителя, щелкните на кнопке Have Disk,как это описано в предыдущем разделе, «Что делать, если не представлена модельпринтера». Укажите местоположение драйверов и следуйте остальным указаниям,чтобы завершить установку принтера.Установка USB-принтеров и IEEE-принтеровЕсли ваш принтер подсоединен к порту USB (Universal Serial Bus) или IEEE 1394, томеханизм Plug and Play немедленно обнаружит его. На самом деле Plug and Play срабатываетсразу, как только вы вставляете разъем в порт; вам не нужно даже запускатьмастер Add Printer Wizard. Как только обнаружен порт USB или IEEE, этотпорт добавляется к списку портов, доступных для принтера, и процесс автоматическойустановки выбирает порт без вмешательства пользователя.Установка принтеров с инфракрасной связьюПринтеры с инфракрасной связью обнаруживаются и устанавливаются автоматически,если компьютер и принтер включены и находятся в пределах одного метрадруг от друга. В течение нескольких секунд компьютер находит такой принтер, послечего все происходит автоматически и вам не нужно ничего делать.Если ваш компьютер не поддерживает инфракрасную связь, а принтер поддерживает,то вы можете добавить инфракрасный приемопередатчик к последовательномупорту на своем компьютере. Затем установите соответствующий драйвер, используяследующие шаги.1. Откройте аплет Add/Remove Hardware (Добавление и удаление оборудования) впанели управления и щелкните на кнопке Next.2. В следующем окне выберите Add/Troubleshoot a device (Добавление/Устранениенеполадок устройства) и щелкните на кнопке Next. Подождите несколько секунд,пока Windows будет искать устройства Plug and Play.3. Когда появится следующее окно, выделите вариант A New Device (Добавлениенового устройства [первая строка списка]) и щелкните на кнопке Next.

Глава 9. Печать 2994. В следующем окне выберите вариант I Will Select From A List To Manually InstallMy New Hardware (Установка оборудования, выбранного из списка вручную) ищелкните на кнопке Next.5. В следующем окне выберите Infrared Devices (Устройства ИК-связи) и щелкнитена кнопке Next.6. В следующем окне выберите изготовителя и устройство (или выберите вариантHave Disk, если у вас есть драйверы от изготовителя).7. Следуйте остальным указаниям, чтобы установить устройство с инфракраснойсвязью.После этого вы можете автоматически установить принтер с инфракрасной связью.Установка готового для работы в сети принтераПринтеры, имеющие собственные соединения сетевого интерфейса, работают быстрее,чем принтеры, подсоединенные к компьютерам через параллельный порт.Большинство современных устройств подсоединения к интернету для принтеровмогут использовать для обмена данных TCP/IP, и Windows Server 2003 позволяетиспользовать эти возможности. Вы можете использовать два способа, когда требуетсядобавить к сети принтер, готовый для работы в сети.• Добавить этот принтер на компьютере каждого пользователя и отменить управлениеразделяемым использованием принтера.• Добавить этот принтер на компьютере, который действует как сервер печати, изадать разделяемое использование принтера.Администраторам небольших сетей или небольших подразделений может показаться,что их административные заботы будут меньше, если они позволят всемпользователям выполнить установку принтера на их компьютерах и непосредственноуправлять им. Но это создает следующие проблемы для пользователей.• Пользователю не известно состояние принтера, поскольку при отображенииочереди на его экране выводятся только его задания печати.ш Установка приоритетов печати является бесполезным занятием, поскольку сюдавключаются только задания печати запрашивающего пользователя.• Ошибки принтера (нет бумаги, замятие и т.д.) выводятся только для пользователя,отправившего текущее задание печати. Все остальные продолжают пытатьсяотправить свои задания.Конечно, это неприемлемо. Управление разделяемым использованием принтероввсегда дает преимущества, если доступ к этим принтерам требуется несколькимпользователям. Установите непосредственно подсоединенный принтер на серверепечати. Если количество одновременных обращений к принтеру не превышает десяти,вы можете использовать рабочую станцию Windows XP Professional или Windows2000 Professional (если только вам не требуется поддержка служб Macintosh илиNetWare). Печать не налагает слишком большой нагрузки на процессор компьютераили подсистему ввода-вывода, поэтому вы можете использовать компьютер, которыйвыполняет и другие задачи.Теперь, когда я убежден, что вы подсоедините принтер с сетевым адаптером (картойсетевого интерфейса) к серверу печати (и проследите, чтобы на компьютере,действующем как сервер печати, был запущен TCP/IP), используйте следующиеинструкции для установки такого принтера.

300 Windows Server 2003. Полное руководство1. Откройте окно Printers And Faxes и затем откройте объект Add Printer (щелкнитена кнопке Next, чтобы сразу перейти в следующее окно мастера Add PrinterWizard).2. Выберите вариант Local Printer и проследите, чтобы не был установлен флажокавтоматического обнаружения принтера; затем щелкните на кнопке Next.3. В окне Select The Printer Port (Выбор порта принтера) выберите вариант Create ANew Port. Выберите в раскрывающемся списке Standard TCP/IP Port; затем щелкнитена кнопке Next, чтобы открыть окно нового мастера (это мастер добавляети конфигурирует порты TCP/IP принтера).4. Введите имя или IP-адрес для этого принтера, задайте имя порта (для порта ипринтера можно использовать одно и то же имя) и щелкните на кнопке Next.5. В раскрывающемся списке выберите тип устройства или выберите вариантCustom и сконфигурируйте устройство вручную.Протокол, номер порта и тип данных для принтера встроены в тип устройства,поэтому при необходимости ручной установки устройства вы должны иметь этуинформацию.Предоставление принтеровдля разделяемого использованияЕсли вы устанавливаете принтер в Windows Server 2003, то по умолчанию заданоразделяемое использование принтера. Система Windows XP Professional не задаетразделяемое использование принтеров по умолчанию во время ее установки, и выдолжны отдельно выбрать разделяемое использование принтера. Обычно для всехпринтеров в сети задают разделяемое использование, за исключением принтеров,на которых печатаются чеки или используются другие специальные типы документов,которые требуют определенной защиты.Задание разделяемого доступа к принтеруЕсли вы решили не задавать разделяемое использование принтера во время установки,то можете сделать это в любой момент позже. Откройте папку Printers andFaxes, щелкните правой кнопкой на значке принтера и выберите в контекстном менюпункт Sharing (Разделяемое использование). Появится диалоговое окно Propertiesпринтера с открытой вкладкой Sharing. Выберите Shared As (Разделяемое использованиепод именем) и введите имя для принтера (или согласитесь с именем по умолчанию,для которого обычно используется название модели принтера). Во вкладкеSharing имеются следующие дополнительные опции.• Установите флажок List In The Directory (Включить в список каталога), чтобыопубликовать принтер в Active Directory.• Щелкните на кнопке Additional Drivers (Дополнительные драйверы), чтобы реализоватьтребования удаленных пользователей, которые используют другие версииWindows. См. ниже раздел «Добавление драйверов для других версийWindows».Во вкладке General диалогового окна Properties принтера вы можете добавлятьнеобязательные описательные комментарии (см. рис. 9.1).

Глава 9. Печать 301Используйте текстовое поле Location (Местоположение), чтобы описать физическоеместоположение принтера. Эта информация доступна пользователям,которые выполняют поиск принтеров.Используйте текстовое поле Comment, чтобы добавить описание для данногопринтера. Содержимое этого поля появляется на экране, когда удаленный пользовательзадерживает указатель мыши над значком данного принтера в окне MyNetwork Places.is' HP LaseiJet 5Р P.oper«es6enelai)Sharing j Ports j Advanced] Security | Device Settings j|HPLaseiJet5P! : Location: =IE 1st floorРис. 9.1. В этом принтеревсегда используется фирменныйбланк (letterhead) вместообычной бумаги, поэтомуважно, чтобы это было известноудаленным пользователямCommentI LetterheadHPL. S;«lei c .P•.„I... ,-'.u • :,I,,..! • • i.Speed: S ppro 1 : •Maximum |«оЫюп 6''iO dpiPunling Piel«fnc« I Piim I*u Page•> |Задание полномочий доступа к принтеруПолномочия доступа к принтеру задаются во вкладке Security диалогового окнаProperties принтера (рис. 9.2).По умолчанию это следующие полномочия.Пользовательили группаPrint (Печать)Manage Printer(Управлениепринтером)Manage Documents(Управлениедокументами)Everyone (Все)Administrators(Администраторы)Creator/Owner(Создатель/Владелец)Power Users(Привилегированныепользователи)ДаДаДаДаДаДаДаДа

302 Windows Server 2003. Полное руководствоЦ[* HP LaserJet 5P PropertiesGeneal | Sherir»g | Ports | Advanced S«euiy |0ftvic«Settings)Рис. 9.2. Задание полномочийдля пользователей и групп вовкладке Security! • • • • , • . ! • . , •a t o r s I A S 2 Q 0 2 1 > A d m i n i s l f a i o r s ]fij C R E A T O R O W N E R6 2 E v e r y o n e6 J P o w e r U s e r s I A S 2 0 0 2 1 \ P o w e r U s e r s )PrintManage PrintersManageDocumentsSpecial PermissionsAgfl . ]AlowElE)ElBemove jDeny•••Caned "Для каждого из этих уровней полномочий имеется набор следующих прав.• Print• Печать документов• Приостановка, возобновление, перезапуск и отмена печати собственных документовпользователя• Подсоединение к принтеру• Manage Documents• Все полномочия, предусмотренные уровнем Print• Управление настройкой заданий для всех документов• Приостановка, перезапуск и удаление всех документов• Manage Printer• Все полномочия, предусмотренные уровнем Manage Documents• Предоставление принтера для разделяемого использования• Изменение свойств принтера• Удаление принтеров• Изменение полномочий доступа к принтеруДля предоставления полномочий другим пользователям и группам используйтекнопку Add вкладки Security. Вы можете предоставлять полномочия для домена иливсего Active Directory. Чтобы удалить пользователя или группу из списка обладателейполномочий для данного принтера используйте кнопку Remove.Щелкните на кнопке Advanced, чтобы открыть диалоговое окно Advanced SecuritySettings (Дополнительные параметры безопасности), см. рис. 9.3, где вы можете задатьболее точные полномочия, включить аудит и изменить владельца.Внимание. Если в вашей сети есть клиенты Macintosh, то вам следует знать об ихвлиянии на уровни безопасности. Если клиент Macintosh может физически отправитьдокумент на принтер, этих полномочий достаточно, чтобы можно было вы-

Глава 9. Печать303поднять любые другие действия с параметрами принтера. Клиенты Macintosh неподчиняются никаким полномочиям, которые вы задали для до ГпрГнтеру^вы не можете ограничивать этих клиентов никакими средствами^зопасностиТо ,m nta^uor, ^ ^ ptrm .. :nriS к1м|Pamisaonentjias-: g a g e s s S SAllow Po WMU SHS(AS200... Manage Docum...

304 Windows Server 2003. Полное руководствоta Local Security Settings_ Security SetingsЩ-Ш Account PoliciesВ C3 Local Policiesgg) User Rights AssignmentH£9 Security OptionsPublic Key PoliciesSoftware Restriction PoliciesIP Security Policies on Local ComputerPoky ; • : . .§i|)Audit account logon eventsi8j»j Audit account managementЩ\ Audit directory service access©Audit logon eventsЩ Audit object accessSJ>]Audit policy changeSjAudit privilege useщЗ Audit process trackingL?$ Audit system events| Security Seltinq |SuccessNo auditingNo auditingSuccessNo auditingNo auditingNo auditingNo auditingNo auditing.......Вам нужно изменить политику Audit Object Access (Аудит доступа к объектам).По умолчанию для этой политики задано значение No Auditing (Без аудита). Еслипоказано какое-либо другое значение (Success и/или Failure), это означает, что ктотос административными привилегиями внес это изменение или на самом деле применяетсякакая-либо доменная политика.Если применяется доменная политика, то вы не можете изменить эту настройку.Например, доменная политика, указывающая аудит неудачных попыток (Failure),не может быть изменена на данном компьютере, чтобы указывать аудит успешныхпопыток (Success) или аудит успешных и неудачных попыток. Если вам нужна другаянастройка для данного компьютера, то вы должны убедить системного администратора,чтобы он выполнил одно из следующих действий.• Отменил настройку соответствующей доменной политики.• Изменил настройку этой доменной политики, чтобы она соответствовала тому,что вам требуется.• Применил эту настройку только к тем организационным единицам (OU), в которыене включен данный компьютер.• Переместил данный компьютер в OU, для которой не требуется эта настройка.Если не действует никакая политика, дважды щелкните на строке Audit ObjectAccess и выберите типы попыток доступа, аудит которых хотите осуществлять:Success, Failure или оба типа.

Глава 9. ПечатьКонфигурирование принтера для аудитаЧтобы задать аудит для принтера, щелкните на кнопке Advanced во вкладке Securityдиалогового окна Properties принтера и перейдите во вкладку Auditing. Вы можетезадавать аудит действий групп и/или отдельных пользователей. Щелкните на кнопкеAdd, чтобы открыть окно, где вы можете выбрать нужных пользователей30!:;£eteclHs object Щ§';?. jUser.proup. я Euiil iivsmmty рягтарзГJifSF" 1 "" 1.5£•*. jr,c»d'! :, 'Щелкните на кнопке Object Types (Типы объектов), чтобы выбрать типы объектов,которые хотите отслеживать.• Built-in security principal (Встроенный субъект безопасности)• Computers• Groups• UsersЩелкните на кнопке Locations, чтобы задать область вашего предприятия длякоторой хотите отслеживать объекты выбранных вами типов. Система представляетлокальный компьютер, домены, доступ к которым имеет сервер печати организационныеединицы предприятия (OU) и весь Active Directory. Выберите нужноеместоположение. ; *В поле с именем Enter the Object Name to Select (Введите имя объекта для выбора)нужно задать имена объектов, типы которых вы выбрали. Например, если вывыбрали тип Users и задали в качестве местоположения домен, введите всех пользователейэтого домена, которых хотите отслеживать при их доступе к принтеру Выполнениеэтой задачи потребует посторонней помощи, так как обычно в доменеимеется достаточно много пользователей.Щелкните на кнопке Advanced, чтобы система помогла вам найти целевые объектыс помощью диалогового окна Select User, Computer Or Group (Выбор пользователя,компьютера или группы), см. рис. 9.4. Вы можете применять фильтры чтобысузить диапазон, что упрощает создание списка имен, содержащего нужные вамОоЪС КТЫ.Щелкните на кнопке Find Now (Найти), чтобы создать список, соответствующийзаданным критериям. Список появится внизу этого диалогового окна Выберитепервый объект для аудита и щелкните на кнопке ОК. Щелкните на кнопке ОКеще раз чтобы открыть диалоговое окно конфигурирования аудита для этого объектафис. у.э). Выберите нужные опции аудита и щелкните на кнопке ОКДля каждого пользователя, группы или другого объекта, аудит которых вы хотитеосуществлять, повторите этот процесс, поскольку его можно единовременно выполнятьтолько для одного объекта.

• ;306 Windows Server 2003. Полное руководствоI Select User. Computer, 01 Group:. .'••tl.K .;!..• •.ll'.'lir- •lUserШШOl^On.UHBSJ .,.•.;..;;••Njn< Щ] Stats with y.|||Dezav(tart : " | Starts with _J i|1 •..:.'•.., •

Глава 9. Печать 307Добавление драйверовдля других версий WindowsЕсли принтер, который вы конфигурируете, будет использоваться совместно спользователями, которые работают в других версиях Windows, то вы можете установитьдополнительные драйверы для таких пользователей. Эти драйверы устанавливаютсяна сервере печати и предоставляются клиентам автоматически, когда происходитдоступ к принтеру. Тем самым сервер печати становится сетевойразделяемой точкой для распространения драйверов принтера.Чтобы добавить драйверы для других клиентов, откройте диалоговое окноProperties данного принтера и перейдите во вкладку Sharing. Щелкните на кнопкеAdditional Drivers, чтобы открыть диалоговое окно Additional Drivers (рис. 9.6). Выберитедрайверы, которые хотите установить, щелкните на кнопке ОК и следуйтеуказаниям.Additional Drive»You cm imtЫ1 addtioria! .J гда i so thtf. tjiti i on the following system*can dmrtad them *jt«!nt>:-3«y when they connect.Windows XP or .NETWindows 2000, XP or .NE1Рис. 9.6. Выбор драйверовпринтера для клиентских компьютеров,которые выполняютдоступ к данному принтеру.Драйверы принтеров для Windows 2000/NT/Me/9x включены в CD Windows Server2003 Support.Если у вас есть драйверы от изготовителей, используйте вариант установки сдиска (Have Disk). Знайте, что вам может потребоваться использование вариантаHave Disk для принтеров, которые могли поддерживаться системами Windows 9x илиNT 4. Вы можете использовать для варианта Have Disk компакт-диск соответствующейоперационной системы (например, CD Windows NT).Драйверы принтера для кластеровВ Windows Server 2003 включена новая возможность: вы можете установить драйверпринтера в одном узле кластера, а служба кластеризации позаботится о распространениидрайверов в другие узлы этого кластера. Это отличная возможность, посколькув предыдущих версиях серверных продуктов Windows приходилось устанавливатьдрайвер принтера в каждом узле кластера.

308 Windows Server 2003. Полное руководствоИспользование средства Printer LocationTracking (Отслеживание местоположенияпринтера)Windows Server 2003 поддерживает средство Printer Location Tracking, которое автоматизируетпроцесс поиска и подсоединения к удаленному принтеру, основываясьна его местоположении. Отслеживание местоположения полезно для больших доменовс несколькими сайтами, поскольку оно освобождает пользователя от необходимостизнать местоположение целевого принтера. Если пользователь выбираетпоиск принтера в каталоге, то система определяет местоположение этого пользователяв домене и автоматически выполняет поиск в каталоге, чтобы найти принтеры,находящиеся в том же месте, что и пользователь.Требования средства Printer Location TrackingЧтобы использовать Printer Location Tracking, вы должны подготовить и сконфигурироватьсвой домен для этого средства, соблюдая следующие условия.• У вас несколько сайтов в одном домене или несколько подсетей в одном сайте.• Схема IP-адресации вашей сети организована в соответствии с физической схемойвашей сети.• У вас имеется объект-подсеть для каждого сайта (созданный с помощью оснасткиActive Directory Sites and Services).Это средство могут использовать только те клиенты, которые включены в ActiveDirectory, а это означает, что для клиентов предыдущих версий Windows (WindowsNT/Me/9x) должен быть установлен клиент AD (Active Directory).Вы должны создать объект-подсеть для каждой подсети с помощью оснасткиActive Directory Sites and Services. После того, как вы создали сайт и объекты-подсети,нужно задать строку местоположения для каждой подсети. Поэтому используйтевкладку Location диалогового окна Properties для подсети, чтобы задать строкуместоположения (см. следующий раздел).Примечание. Имя сайта службы каталога не обязательно должно совпадать с именемместоположения.Требования к именованию местоположения принтераПоскольку процесс поиска принтеров автоматизирован, и для пользователей должнабыть обеспечена точность представления информации в AD (Active Directory),вы должны продумать протокол именования местоположений для всех принтеров вAD. Протокол именования местоположений должен отвечать следующим правилам.• Имена местоположений должны иметь форму Имя/Имя/Имя/Имя.• Имя местоположения может содержать любые символы за исключением символанаклонной черты, который используется как разделитель.

Глава 9. Печать 309• Каждый компонент Имя может содержать не более 32 символов.• Полностью имя местоположения может содержать не более 26о символов.Например, в моей организации имеется два домена - Eastern (Восточный) иWestern (Западный), и каждый домен содержит по два сайта.• Eastern содержит сайты Admin (Администрация) и Accounting (Бухучет).• Western содержит сайты HR (Отдел кадров) и Research (Научно-исследовательскийотдел).Эти сайты имеют следующие подсети.• Admin содержит подсети для второго и третьего этажей (2nd Floor и 3nd Floor).• Accounting содержит подсети для 5nd Floor и 6nd Floor.• HR содержит подсети для West Bldg (Западный корпус) и West Bldg PH (Надстройканад западным корпусом).• Research содержит подсети для Lab (Лаборатория) и 9nd Floor.Имя местоположения для принтеров, находящихся в подсети Admin на второмэтаже, принимает форму Eastern/Admin/Floor2. Протокол использования FloorX дляобозначения этажей был частью моего общего процесса планирования для печати.Я объяснил этот протокол пользователям, чтобы все, кто заполняет поле местоположенияв диалоговом окне Find Printers, знали формат этих данных. Важно проследить,чтобы поле Location было заполнено для каждого принтера в сети.Активизация средства Printer Location TrackingPrinter Location Tracking активизируется с помощью трех процессов.• Конфигурирование подсетей.• Создание групповой политики для активизации этого средства.• Ввод информации о местоположении для каждого принтера в соответствии ссистемой местоположений для подсетей.Щелкните правой кнопкой на каждой подсети, которую вы используете для отслеживанияместоположений, и выберите пункт Properties. Во вкладке Location диалоговогоокна Properties введите местоположение подсети в формате местоположение/местоположение.Например, у меня имеется подсеть с именем research/lab(см. описание организации в предыдущем разделе).1. Откройте консоль ММС и добавьте групповую политику для соответствующегоконтейнера (домен или OU). Раскройте дерево консоли до уровня ComputerConfiguration\AdministrativeTernplates\Printers.2. В правой панели дважды щелкните на политике Рге-Populate Printer SearchLocation Text (Заранее заполнить текст местоположения для поиска принтера),чтобы открыть диалоговое окно Properties, и во вкладке Policy выберите вариантEnabled (Включена).3. Откройте каждый принтер в AD и введите информацию о местоположении вформате местоположение/местоположение в соответствии со схемой именованияместоположений для ваших подсетей.Совет. Создайте дополнительный набор местоположений, чтобы предоставитьпользователям очень точную информацию о принтере, например, research/lab/room 1(комната 1) или research/lab/hallway (коридор).

310 Windows Server 2003. Полное руководствоУстановка удаленных принтеровПосле того как ваши серверы печати предоставили для разделяемого использованиясвои принтеры, вы и пользователи вашей сети можете начать установку удаленныхпринтеров. Чтобы установить удаленный принтер, вы можете использоватьMy Network Places, Add Printer Wizard, Active Directory или ваш браузер.Подсоединение к удаленным принтерамЕсли вы знаете местоположение принтера, который хотите использовать (это означает,что вы знаете компьютер, который действует как сервер печати для этого принтера),откройте окно My Network Places. Раскройте сеть, чтобы найти соответствующийсервер печати. Щелкните правой кнопкой на этом объекте-принтере ивыберите пункт Connect, чтобы автоматически установить принтер.Альтернативно вы можете использовать мастер Add Printer Wizard. Откройте папкуPrinters and Faxes, запустите Add Printer Wizard и щелкните на кнопке Next в первомокне. Выберите вариант Network printer и щелкните на кнопке Next, чтобы появилосьокно Locate Your Printer (Поиск вашего принтера), см. рис. 9.7.Add Printer WizaidLocate Your PrinterHowdo youwant to locateyour printer?11, > ,', .!,[, - •. I ore n Ihe nghitoc-sbonWhatdoyitivwrttodo?• ; Fmdspinle

• Add Printer Wizard• Команда Search (Найти) в меню Start (Пуск)• Команда Find Printer в диалоговом окне Print.Глава 9. Печать 311В окне Add Printer Wizard выберите вариант Find A Printer In The Directory (Найтипринтер в Каталоге) и затем щелкните на кнопке Next, чтобы найти принтер.Появится диалоговое окно Find Printers (Поиск принтеров), и вы сможете использоватьвкладки этого диалогового окна, чтобы задать нужные вам детали.Ввод критериев поискаВверху этого диалогового окна выберите вариант Entire Directory (Весь каталог), чтобывыполнить поиск в Active Directory для своей организации, или выберите свой домен.Обычно имеет смысл выбрать свой домен, чтобы вы могли реально забрать результатыпечати, поскольку другие домены, скорее всего, находятся слишком далеко.Ж Find PrintersEfe idk У*« HelpEntire Directory| Advanced jjj]grow.*.Информация вкладки Printers достаточно проста, и вы не обязаны указыватьимя (поле Name) или модель (поле Model) принтера. Кроме того, поиск по местоположению(поле Location) будет успешным, только если вы точно укажете информацию,которая была введена, когда принтер задавался для разделяемого использования.Более точные критерии можно ввести во вкладке Features (Характеристики).Информация, которую вы вводите, сравнивается со свойствами всех сетевых принтеров.Например, вам может потребоваться принтер с возможностью цветной печатиили с определенным разрешением.1^1 Find Printersи VMW ЦеЬЯ Ш и Ш Ш н З -1 -1 • 1ЩШЦ5 Entire DirectoryProwse .jГ" Can print doTjble-jided Г~ С-ьп staple|: RndWJ'ГCan (Hint colorilllSii'SisiHas pape.v&.e«50l.i • JAny J dpi«sd at feist: . 11Or

• ••••to j < ^ E n t i r e D i r e c t o r yt V , i e r s | F e a t u r e s A d v a n C EH e l d . j312 Windows Server 2003. Полное руководствоЕсли вы хотите существенно ограничить варианты выбора, то можете перейтиво вкладку Advanced. Щелкните на кнопке Field (Поле), чтобы открыть раскрывающийсясписок имен полей, которые описывают характеристики принтера. В списоквключены критерии, доступные в двух других вкладках.Выбрав определенное поле, задайте условие поиска. Для некоторых полей условиемявляется значение Тгае или False (например, поддержка цветной печати). В другихполях имеется достаточно широкий выбор, чтобы охватить все возможности.После выбора полей и задания условий щелкните на кнопке Add, чтобы сформироватьваш список критериев, пример которого показан на следующем рисунке.gk Find Prinleu.j |"3г 1 Jl _J Rioyljsconditi.j ;Location nntertan n i !••!; .Isnot Startswith •;•.•:•;•,• : halwa Postscript y 111111111IpfaAI IСформировав критерии поиска, щелкните на кнопке Find Now. Мастер выдастсписок всех принтеров, отвечающих этим критериям. Если в списке не будет ниодного принтера, вы можете ввести другие критерии или вернуться в окно Add PrinterWizard, чтобы изменить способ поиска (в следующих разделах описываются другиеметоды поиска).Щелкните правой кнопкой на принтере, который вы хотите использовать, ивыберите в контекстном меню пункт Connect. Будет выполнена автоматическая установкапринтера, и вы сможете начать его использование.Примечание. Вы можете щелкнуть на кнопке Find Now без ввода какой-либо информации,чтобы увидеть список всех принтеров, включенных в каталог.Сортировка и фильтрация результатов поискаЕсли результаты поиска дали несколько вариантов, вы можете выполнить их сортировкуи фильтрацию. Выберите представление Details для окна Results (если оноеще не выбрано).Сортировка. Чтобы выполнить сортировку результатов, щелкните на заголовке колонки,по которой хотите выполнить сортировку. Щелкните на нем еще раз, чтобывыполнить сортировку в обратном порядке. Например, если вы хотите сделать выборсреди принтеров, подсоединенных к определенному компьютеру, щелкните назаголовке колонки Server Name (Имя сервера). Или, если вам нужна определеннаямодель, выполните сортировку по колонке Model и затем выберите нужный серверили местоположение.

:•;:•••• • .- ) ! w e s t e r nF i e l d - r jP a g e s p e r M i n u t el o c a t i o n• :• • •• •1 E r i e - l e x l h b t - s " /\ j ^ H P L a s e t J e t G P:;:Глава 9. Печать 313Фильтрация. Фильтрация упрощает выбор принтера, если представлен слишкомбольшой список. Для фильтрации представленных на экране результатов выберитеView\Filter в линейке меню диалогового окна Find Printers. После этого вверху окнарезультатов появится новая строка, см. рис. 9.8.|4§Fmd PrintersFJe Ed.' Vf,HelpIn/Browse...IРгл;«:| Fe*s« Advanced ]| Find Now1ГSreateithanor;:siu;.rfiii sithird floorin1 1j Remove f1OK1Егйи *e>?t heremMlilntt-r text hereHP LaserJet 6P: ':•Server NarneErt« text hose: :/west, western, rvensw...,,-nlCrterteihMj|Рис. 9.8. Задайте фильтрацию критериев поиска для дальнейшего уточнения ипримените ее к найденным принтерамФильтрация происходит путем сравнения текста, который вы вводите для каждойколонки, со спецификациями, которые вы задаете для фильтра. После вводатекста щелкните на стрелке рядом с этим текстовым полем, чтобы выбрать в раскрывающемсясписке критерий, применяемый к вашему тексту.Критерий по умолчанию (обычно это «contains» - содержит) применяется сразупосле ввода текста, поэтому в соответствующей колонке сразу выводятся результатыфильтрации. Если выбрать другой критерий, то результаты в команде изменяютсяв соответствии с нужной вам информацией. Вы можете выполнять фильтрациюпо любому числу колонок. Чтобы отключить фильтрацию, снова выберитеView\Filter, чтобы отменить выбор этой опции.Сохранение информации поискаВы можете сохранять информацию поиска, чтобы при следующем поиске вам ненужно было снова описывать характеристики принтера. Для сохранения информациипоиска выполните следующие шаги.1. Выберите File\Save Search (Файл\Сохранить информацию поиска), чтобы открытьдиалоговое окно Save Directory Search (Сохранение информации поиска вкаталоге).2. Задайте для этого файла описательное имя (например, Color-2nd Floor [цветной-2-йэтаж] или LetterheadlnTray [с фирменными бланками]). К имени файлаавтоматически добавляется расширение .qds.Вы можете распространять файл с информацией поиска другим пользователям.Если у вас выбраны принтеры из определенного домена, а не из всего каталога, то

314 Windows Server 2003. Полное руководствополучатели должны находиться в том же домене. Если вы придерживаетесь плановогоподхода, то можете сэкономить много времени своим пользователям, создавтакие файлы для определенных местоположений, типов бумаги, цветовых возможностейи т.д.Поиск в сетиВернувшись в окно Locate Your Printer мастера Add Printer Wizard, вы можете выполнятьпоиск путем перемещения в сети. Выберите вариант Connect to This Printer.Если вы знаете имя принтера, введите его в поле Name, используя формат \\Имя_-сервера\\Разделяемое_имя_принтера, и щелкните на кнопке Next. Если вы не знаетеимя принтера, оставьте поле Name пустым и щелкните на кнопке Next, чтобы открытьокно, где выводится список имен всех компьютеров, которые действуют каксервер печати.Если вы знаете, к какому компьютеру подключен нужный вам принтер, откройтеего. Иначе вам придется открывать их по очереди. Затем выберите принтер ищелкните на кнопке Next, чтобы завершить процесс установки.Планирование развертывания принтеровПринтеры следует разворачивать в соответствии с потребностями пользователей,хотя «политические» соображения и вопросы безопасности могут нарушить логикувашего плана. Я знаю ИТ-руководителей, которым приходится помещать принтерв офисе начальства для удобства конкретного человека (и, конечно, такой принтерневозможно использовать разделяемым образом, так как другие пользователи немогут свободно входить в этот офис). В таких случаях вы должны объяснить, чтотакие принтеры создают дополнительную нагрузку на бюджет, поскольку вы неможете использовать свой «запас» принтеров при таком подходе.Взаимно-однозначное соответствие виртуальныхи физических принтеровСтандартно между виртуальным принтером (значок этого принтера выводится дляпользователей) и физическим принтером устанавливается взаимно-однозначноесоответствие. Все пользователи отправляют задания печати на виртуальный принтер,который передает эти задания физическому принтеру. Пользователи могут задаватьопции печати в своих программах, и виртуальный принтер выполняет всюобработку, чтобы задания печатались нужным образом.Пулы принтеровПул принтеров — зависимость типа «один к многим», при которой один виртуальныйпринтер может передавать задания печати нескольким физическим принтерам(см. рис. 9.9). Вы можете использовать пулы принтеров для гарантированной печатив критически важных работах. Пулы обычно используются для распределениянагрузки в ситуациях, когда пользователям приходится долго ждать, пока их документыбудут выведены на принтере.Чтобы использовать пулы принтеров, все физические принтеры должны бытьодинаковыми (или, по крайней мере, иметь режим эмуляции, чтобы применялся

Глава 9. Печать 315один драйвер принтера). Эти принтеры должны быть сосредоточены в одном месте,иначе пользователи не будут знать, в какой комнате получить напечатанное задание,поскольку оно поступает на произвольный принтер.Чтобы сконфигурировать объединение принтеров в пул, щелкните правой кнопкойна принтере, который хотите использовать для пула, и выберите в контекстномменю пункт Properties. Перейдите во вкладку Ports и установите флажок Enable PrinterPooling (Включить использование пула принтеров). Затем выберите другие порты, ккоторым подсоединены принтеры в данном пуле. Вы можете добавить другие параллельныепорты на данном сервере и/или выбрать порт на другом компьютере (спомощью UNC-пути). Каждая комбинация компьютер/принтер становится компонентомпула.Документ l\Виртуальный принтерДокументРис. 9.9. В пуле принтеров один виртуальный принтер управляет несколькимифизическими принтерамиЗависимость «многие к одному» между виртуальнымипринтерами и физическим принтеромВы можете создать конфигурацию типа «многие к одному» между виртуальнымипринтерами и физическим принтером применительно к различным опциям на физическомпринтере (рис. 9.10). Например, принтер, имеющий два лотка, может содержатьфирменные бланки и обычную бумагу (или бланки для покупки и бланкидля продажи). Создание виртуального принтера, который сконфигурирован дляопределенного бланка, упрощает работу пользователей, которые хотят печатать натаком бланке. Могут быть и другие причины, например:• доступ к принтерам осуществляют две группы, выполняющие печать на различнойбумаге;• принтеры используются для очень больших документов, которые следует печататьночью (отложенная печать).Для создания нескольких виртуальных принтеров используйте возможностимастера Add Printer Wizard в папке Printers, чтобы создать нужное число копий прин-

316 Windows Server 2003. Полное руководствотера (это, конечно, локальные принтеры). Когда появится запрос об использованиитекущего драйвера, выберите вариант, при котором остается текущий драйвер.В окне мастера Name The Printer (Именование принтера) выводится то же имя, чтои для первого принтера с пометкой «(Сору 2)». Вы можете переименовать принтер вэтот момент или позже. Окончательное имя принтера должно отражать его конфигурацию.Мастер также запрашивает разделяемое имя и предлагает поле комментария,информацию которого вы можете ввести в этот момент или позже.Виртуальный принтерсконфигурировандля лотка с бланкамидля покупкиБольшой документс графикойВиртуальный принтерсконфигурировандля печати ночьюДокументиз канцелярииВиртуальный принтерсконфигурирован длялотка с фирменнымибланкамиРис. 9.10. Задания печати отправляются виртуальным принтерам, каждый изкоторых передает задания одному и тому же физическому принтеруФизическая защита принтеровФизическая защита необходима для принтеров с бланками чеков, бланками дляпокупки, бланками для продажи - словом, с такими типами бумаг, которые не должныпопадать в чужие руки. Кроме того, для пользователей, которые печатают требующиезащиты документы (особенно бухгалтерия или отдел кадров), принтеры должныразмещаться в защищенных помещениях, где кто-то должен наблюдать за ихиспользованием. Лучше всего подключать их к компьютеру, за которым работаетпользователь, отправляющий на печать важную информацию.Например, для моего принтера Lexmark у меня созданы следующие виртуальныепринтеры.• Lex-banners для бланков с баннерами.• Lex-nights для ночной печати.• Lex-SO для бланков продаж.• Lex-LH для фирменных бланков.

Глава 9. Печать 317Lex-LH был исходным установленным виртуальным принтером, который я переименовал,чтобы указать его конфигурацию.Теперь вы можете сконфигурировать каждый виртуальный принтер для его конкретногоиспользования. Например, в случае моего принтера Lexmark виртуальныйпринтер для печати на бланках продаж (они находятся в лотке 2) лоток 2 сконфигурировандля бумаги формата Letter, а другие лотки помечены как недоступные.Опции конфигурирования принтеров рассматриваются ниже в разделе «Конфигурированиепринтеров».Конфигурирование серверов печатиВы можете задать свойства сервера печати, открыв папку Printers and Faxes и выбравFile\Server Properties. Свойства, которые вы задаете для сервера печати, не зависятот конкретного принтера, и они являются свойствами по умолчанию для всехпринтеров данного сервера.Формы для сервера печатиWindows Server 2003 работает с размерами и форматами бумаги в виде форм, а неопций лотка принтера. По определению форма - это бумага определенного размера.Используя формы, администраторы позволяют пользователям выбирать определеннуюформу, не заботясь о том, какой лоток и для какого размера будет использоваться.Поскольку большинство компаний работают с сетевыми серверами печати,принтеры часто скрыты от пользователей, а это означает, что они не могут посмотреть,в каком лотке находится бумага нужного размера.Если у вас сконфигурированы формы, то при необходимости печати на бумагеопределенного размера пользователь просто выбирает бумагу нужного размера. Системавыбирает для этой формы соответствующий лоток. Приложения Windows могутпредставлять различные формы пользователю, и если он выбирает вариант, отличныйот установки по умолчанию, спулер считывает конфигурацию принтера и включаеткоды для соответствующего лотка, когда документ передается на принтер.Установите флажок Create A New Form (Создать новую форму) и затем укажитеразмеры, отвечающие вашему критерию. Задайте имя формы, чтобы она была доступнавсем принтерам на данном сервере печати (если они могут физически реализоватьданную форму).Порты сервера печатиВо вкладке Ports представлены порты, доступные на данном сервере печати. Выможете предпринять следующие действия в этой вкладке.• Щелкнуть на кнопке Add, чтобы добавить порты конкретных поставщиков имониторы портов.• Щелкнуть на кнопке Delete, чтобы удалить порт, который вы больше не используете.• Щелкнуть на Configure Port (Конфигурировать порт), чтобы изменить параметрыпорта.В случае параллельных портов вы можете изменять длительность тайм-аута дляповторения попыток передачи. Это период времени, после которого предполагается,что принтер не отвечает.

318 Windows Server 2003. Полное руководствоВ случае последовательных портов вы можете изменять значения для параметровпередачи данных (скорость передачи, биты данных, четность, стоповые биты иуправление потоком). Значения по умолчанию- 9600, 8,N, l,None. Если вы изменялиэти значения (особенно управление потоком [Flow control]) и результаты васне устраивают, то вы можете воспользоваться кнопкой Restore Defaults (Восстановитьзначения по умолчанию) в этой вкладке.Драйверы сервера печатиВо вкладке Drivers представлены драйверы принтеров, установленные на данномсервере печати, включая все драйверы, которые вы загрузили для клиентов предыдущихверсий Windows (рис. 9.11).Ш Print Seivet PropertiesFams] Palsdivers | Advanced]Рис. 9.11. Это драйверы длявсех принтеров данногосервера печатиInstalled pintef dryersHP LaserJet 6PLexmark Optra PlusWindows 2000, XPM.N..Windows 2000, XP or .N..I Remove | F.,»,-.J I ftopabes [Вы можете добавлять, удалять и обновлять драйверы для принтеров, установленныхна данном сервере. (При добавлении и удалении драйверов запускается мастер.)Щелкните на кнопке Properties, чтобы увидеть файлы драйверов (включаяhelp-файлы) и чтобы задать полномочия доступа к этим файлам. Отметим, что helpфайлы,присоединенные к драйверам принтеров, не являются стандартными helpфайлами,а содержат текст для средства What's This? (Что это?).Опции для спулера сервера печатиВо вкладке Advanced вы можете задавать опции для спулера на сервере печати (рис.9.12). Вы можете изменять местоположение папки спулинга (что относится ко всемпринтерам, которые подсоединены к данному серверу печати); инструкции см. вышев разделе «Спулер».Доступные для конфигурирования элементы, которые включаются и отключаютсяс помощью флажков, очевидны по своему смыслу. Однако следует указать,что установка флажка Log Spooler Warning Events (Регистрировать события предуп-

Глава 9. Печать 319реждений спулера) может привести к слишком большому числу записей журналаSystem в Event Viewer. Регистрируйте только события ошибок. (Событие предупреждениярегистрируется каждый раз, когда кто-либо с подходящими полномочиямивносит изменения в опции конфигурации для принтера или сервера печати.)Если у вас нет очень существенной причины (например, поиск серьезной проблемы),не устанавливайте флажок Log Spooler Information Events (Регистрировать информационныесобытия спулера), поскольку каждое событие печати будет записыватьсяв Event Viewer.% Рнп1 Seiver PropertiesFoirr» ] Рол. | Driven Advanced |Рис. 9.12. Задайте поведениеспулера для данногосервера печатиl||Sfpkt«;IT) \WINDOWS\sj*sm32\spool\PRINTERSW Log spooler sP Log spoolersP Log spooler jrtorawtai evertoГ" Peep on enori of remote document:Г 5Ьо« rtoimelional noiile*om lor \съ4 OI«J«:F Show irformafonal пдасапэг.* loi nd-iorf punter)'•'•,[- :..•.. • :J -- v --'- ! 1Установка флажка Notify When Remote Documents Are Printed (Уведомлять, когдапечатаются удаленные документы) может раздражать пользователей, а то, что выможете уведомлять компьютер вместо пользователя (следующий флажок), не делаетэту опцию более сносной. И дело не только в том, что система отправляет надоевшеесообщение, что документ напечатан; пользователю к тому же приходитсящелкнуть на кнопке ОК, чтобы убрать это сообщение.Конфигурирование принтеровВы можете задать параметры печати по умолчанию с помощью диалогового окнаProperties принтера. Параметры по умолчанию, которые вы задали, могут быть измененылюбым пользователем, которому вы предоставили полномочия управленияпринтерами (см. выше раздел «Задание полномочий доступа к принтеру»). Параметрыконфигурирования, конечно, варьируются в зависимости от принтера. Цветныепринтеры имеют больше опций, чем монохромные. PostScript-принтеры имеютсвои опции, дуплексные принтеры имеют специальные опции и т.д. Однакоимеются настройки, которые являются глобальными по своей природе, и они рассматриваютсяв этом разделе.

320 Windows Server 2003. Полное руководствоДиалоговое окно Printing Preferences(Настройки печати по умолчанию)Опции Printing Preferences - это параметры по умолчанию, которые появляются вдиалоговом окне Print, когда пользователь выбирает данный принтер. Все эти опциимогут быть изменены пользователем для каждого отдельного задания печати;вы просто конфигурируете параметры по умолчанию. Чтобы задать эти параметры,щелкните правой кнопкой на принтере, который вы хотите конфигурировать, ивыберите в контекстном меню пункт Printing Preferences. Появится диалоговое окноPrinting Preferences для выбранного принтера (рис. 9.13).1* Lexmark Optra Plus Plinting Preferenceslayout I Papa/Quality j!'*•= From ioBadГ Back Ю Front" ;! П 3Advanced. IРис. 9.13. Конфигурирование параметров по умолчанию для печатиПримечание. То же самое диалоговое окно доступно из диалогового окна Propertiesпринтера: нужно щелкнуть на Printing Defaults (Параметры печати по умолчанию)во вкладке Advanced. В заголовке указано Printing Defaults вместо Printing Preferences,но все остальное идентично.Для параметров вкладки Layout диалогового окна Printing Preferences должныбыть заданы значения по умолчанию, которые подходят для большинства пользователей.Ориентация, порядок печати и количество страниц на листе бумаги - этостандартные настройки. Во вкладке Paper/Quality задается источник подачи бумаги(обычно наилучшим вариантом для установки по умолчанию является автоматическийвыбор). Если принтер может выполнять цветную печать, то вы можете выбратькак вариант по умолчанию печать в оттенках серого (gray scale) вместо цветнойпечати. При щелчке на кнопке Advanced открывается еще одно диалоговое окно сопциями конкретного типа принтера, для которых вы можете задать настройки поумолчанию.

Глава 9. Печать 321Настройки по умолчанию намного важнее, если вы используете несколько виртуальныхпринтеров для ограничения возможностей выбора. Например, вы можетепредоставить определенному отделу виртуальный принтер с именем «drafts» (черноваяпечать), задав по умолчанию печать при низком разрешении и запретив цветнуюпечать (если принтер имеет цветовые возможности). Даже если пользователимогут вносить изменения в диалоговом окне Print, когда работают в своем приложении,настройки по умолчанию делают более вероятным использование заданныхвами опций.Диалоговое окно свойств принтераКонфигурирование свойств для определенного принтера выполняется с помощьюдиалогового окна Properties (Свойства) этого принтера. Для доступа к этому окнущелкните правой кнопкой на объекте-принтере и выберите в контекстном менюпункт Properties. Количество вкладок и содержимое вкладок варьируются в зависимостиот типа принтера. Однако имеются некоторые глобальные опции, которыевы должны проверять и задавать.Общая информация о принтереВо вкладке General (Общие) для всех принтеров содержится имя принтера, местоположениеи комментарии. Вам следует использовать текстовые поля Location иComments, чтобы пользователям было легче идентифицировать (и находить) принтеры.Разработайте в рамках своей компании соглашение по содержимому этих полей.Чтобы облегчить пользователям поиск принтеров, избегайте использованиялишних слов. Чтобы вызвать диалоговое окно, описанное в предыдущем разделе,щелкните на кнопке Printing Preferences.Страницы-разделителиСтраницы-разделители отправляются на принтер в начале каждого задания печати,и они печатаются перед первой страницей. Текст страницы-разделителя указываетвладельца задания печати (пользователь, отправивший это задание на принтер).Страница-разделитель не оказывает влияния на нумерацию страниц следующего заней задания печати. (Страницы-разделители называют также баннерами, особенноте, кто много лет работал с NetWare).Если несколько пользователей выполняют печать на одном принтере, они, вконце концов, идут к принтеру, чтобы получить свою распечатку. Они имеют привычкубрать несколько листов из выходного лотка, и если это чужая распечатка,кладут их снова в лоток принтера. К этому времени напечатана следующая страница(или несколько следующих страниц), что нарушает порядок следования страниц.При использовании страниц-разделителей пользователь может легко находитьсвое задание печати, и ему не нужно читать каждую страницу, чтобы увидеть, гдезаканчивается задание, - достаточно найти следующую страницу-разделитель.Совет. Иногда страницы-разделители больше мешают, чем помогают. Если принтериспользуется пользователями, которые обычно печатают одностраничные документы,страницы-разделители становятся излишними.Чтобы включать страницы-разделители, откройте диалоговое окно Properties дляданного принтера, перейдите во вкладку Advanced и щелкните на Separator Page(Страница-разделитель). Появится диалоговое окно Separator Page, где вы можете11 - 3994

322 Windows Server 2003. Полное руководствоввести имя файла страницы-разделителя или щелкнуть на кнопке Browse, чтобынайти файл, который хотите использовать. Файлы страниц-разделителей находятсяв папке %SystemRoot%\System32 и имеют расширение имени .sep.По умолчанию в Windows Server 2003 устанавливаются четыре файла страницразделителей.• Pcl.sep. Для принтеров, использующих PCL (Printer Control Language). В этомфайле перед печатью страницы-разделителя происходит также переключениедвуязычных принтеров на режим PCL.• Sysprint.sep. Для принтеров, использующих PostScript. В этом файле перед печатьюстраницы-разделителя происходит также переключение двуязычных принтеровна режим PostScript.• Pscript.sep. He печатает страницу-разделитель и используется для переключениядвуязычных принтеров на режим PostScript.• Sysprtj.sep. Печатает страницу-разделитель перед каждым документом и задаетшрифты Japanese, если они имеются.Можно предположить, что вас заинтересуют только первые два файла.Планирование времени доступа к принтеруРазделяемый принтер можно запланировать для использования во вкладке Advancedдиалогового окна Properties этого принтера. По умолчанию принтеры доступны всегда.Если вы хотите изменить часы работы принтера, щелкните на кнопке выбораAvailable From (Доступен с) и задайте начальное и конечное время доступа к принтеру.Эта задача обычно выполняется, если для одного физического принтера используютсянесколько виртуальных принтеров. Если принтер поддерживает цвет и имеетдругие средства, необходимые для больших сложных документов, то вы должнызадать ограничения по времени для какой-либо виртуальной копии этого принтераи указать определенным пользователям, чтобы они отправляли свои документы наэтот виртуальный принтер перед уходом с работы. Это означает, что сложные документы,которые печатаются медленно, будут выводиться ночью, что не создаст неудобствдля других пользователей, использующих этот принтер. Проследите, что влотке принтера было много бумаги (на самом деле используйте принтер для ночнойпечати, только если в его лотке умещается несколько сотен листов).Еще одним хорошим применением виртуального принтера, сконфигурированногодля доступа в определенные периоды времени, - это печать на бланках илиспециальной бумаге. Установите политику компании, в соответствии с которой бланкинаходятся в лотке принтера в течение определенного периода времени, и затемукажите этот период как время, когда доступен этот принтер.Задание приоритетов по умолчанию для документовВо вкладке Advanced имеется также текстовое поле Priority (Приоритет), котороепредставляет уровень приоритета по умолчанию для каждого документа, отправленногона принтер. По умолчанию задан уровень приоритета 1, то есть самое низкоезначение. Вы можете изменить его на любое значение от 1 до 99.Нет смысла задавать уровень приоритета для документов, которые поступаютнепосредственно на принтер. Единственный способ использования уровней приоритета,- это создать несколько виртуальных принтеров и задать для них различныеприоритеты. Задания печати, которые отправляются на виртуальный принтер сболее высоким приоритетом, печатаются раньше, чем задания, отправленные на

Глава 9. Печать 323стандартный виртуальный принтер. Используйте затем один из следующих методов,чтобы пользователи правильно использовали приоритеты печати.• Объясните, что только более важные документы следует отправлять на виртуальныйпринтер, имеющий более высокий приоритет (странно, но это срабатывает).• Задайте для принтеров с более высоким приоритетом полномочия доступа, которыеограничивают доступ группами и пользователями, которые действительноимеют задания печати с высоким приоритетом.Задание опций спулингаВо вкладке Advanced диалогового окна Properties для принтера имеются разнообразныеопции спулинга (рис. 9.14).Gen«al| Shanng | Рс«'» Г^У??*:Г!1Secw«y| Device Sellings |Рис. 9.14. Конфигурацияопций спулинга для принтера" Alwjy» svalatfeF 3 ^ 5 '• Г7j.", ^(=• Stool pnnl doc^ems w magi» fashes priming l«u«Г ',.an printing altti ы p.jg» n ool?diB(7 Start printing jitrГ НоИ mtmatched d&cumenfe17 Piint spooled doo^nenlsUtlГ L«ePP4«eddocw.enttPij.l Picce;soi. IOKCencdЗадание события, с которого начинается процесс печати. Вы можете выбрать междузапуском печати после поступления последней страницы в спулер (Start printing afterlast page is spooled) и запуском сразу после того, как данные документа стали поступатьв папку спулера (Start printing immedeately). Выбор первого варианта означает,что спулер не начинает обработку файла, пока не получит его целиком (приложениеотправляет признак конца файла, чтобы указать, что отправлен весь файл). Второйвариант означает, что спулер направляет страницы процессу печати по мере ихполучения.Ожидание, пока не будет выполнен спулинг последней страницы, означает определеннуюзадержку перед началом вывода документа на принтере. Однако этогарантирует, что будет печататься весь документ и что этот документ не содержитошибок, то есть документ с поврежденными данными не будет отправлен на принтер.Фактически это выбор между скоростью и надежностью, и вы должны выбратьвариант, который отвечает вашим собственным принципам.

324 Windows Server 2003. Полное руководствоИспользование или обход спулера. Во вкладке Advanced имеется вариант вывода заданияпечати непосредственно на принтер (Print directly to the printer). Это означает,что вы обходите спулер и передаете файлы непосредственно из приложения напринтер. Хотя такой способ может показаться чрезвычайно эффективным, это неразумныйподход, поскольку спулер не затрагивает документы, отделяя несколькодокументов друг от друга.Но если имеется проблема печати, используйте этот вариант, чтобы выяснить, неявляется ли источником проблемы спулер. Если задание, которое не печаталось (илипечаталось неверно) со спулером, печатается должным образом, если вы обходите спулер,то вам следует повторно установить файлы спулера (см. выше раздел «Спулер»).Управление несоответствующими документами. Во вкладке Advanced имеется флажокзадержки несоответствующих документов (Hold mismatched documents). Несоответствующимназывается документ, в котором имеются коды, не соответствующие текущейконфигурации принтера. Например, документ должен печататься как конверт(envelope), а на принтере, возможно, нет лотка для конвертов, то естьпредполагается ручная вставка конвертов.Если установлен флажок задержки несоответствующих документов, то спулерперемещает вперед другие документы (которые не являются несоответствующими),оставляя позади них несоответствующий документ, требующий специальных действий.В конце концов, когда в спулере останется только файл несоответствующегодокумента, этот документ будет отправлен на принтер. При этом у большинствапринтеров мигают определенные индикаторы, указывая, что для печати заданиятребуется ручная подача бумаги.По умолчанию этот флажок не установлен, поскольку у большинства принтеровредко бывают пустые спулеры, и может оказаться, что пользователь будет бесконечнождать, когда будет напечатан его несоответствующий документ. Однакопользователи должны понимать, что если для их документа нужно вручную вставитьопределенный бланк, то они должны подойти к принтеру и выполнить эту задачу.В противном случае все задания, поступившие после несоответствующего задания,будут задержаны.Print Spooled Documents First (Печатать первыми документы, уже поступившие в спулер).Во вкладке Advanced имеется флажок, указывающий печать в первую очередьуже поступивших в спулер документов, и этот флажок установлен по умолчанию.Это означает, что спулер наделяет документы, уже прошедшие процесс спулинга,более высоким приоритетом, чем документы, которые еще находятся в процессеспулинга. Таким образом, большой документ, который был направлен в спулер каким-либоприложением раньше другого, меньшего документа, будет напечатан послеэтого меньшего документа. Это действительно эффективная опция. Иногда нескольконебольших документов поступают в спулер после того, как был отправлен большойдокумент, и эти небольшие документы помещаются в очередь после окончанияих спулинга. Когда закончится спулинг большого документа, перед ним вочереди могут оказаться несколько документов. Если установлен этот флажок, тоспулер напечатает сначала самый большой документ, затем - самый большой изостальных документов и т.д. Это гарантирует, что большие документы не получаютде факто низкий приоритет.Если этот флажок сброшен, то спулер считывает значение приоритета документа,прежде чем отправлять задания печати на принтер. Если все документы имеютодинаковый приоритет, то находящиеся в очереди документы печатаются в том порядке,как они закончили спулинг.

Глава 9. Печать 325Keep Printed Documents (Сохранять напечатанные документы в очереди). Этот флажоквкладки Advanced в точности соответствует своему названию: он указывает спулеру,что для каждого документа, отправленного на принтер, спулер должен сохранятьсоответствующий файл задания. Единственный способ удаления файла из спулера,это его удаление вручную: откройте My Computer или Windows Explorer иудалите этот файл. Вам придется делать это после каждого задания печати, если увас нет большого запаса пространства на диске.Назначение данной опции - это возможность повторной печати файла из спулеравместо того, чтобы снова открывать соответствующее приложение. Эта функциянастолько редко требуется администратору, что можно считать, что она не требуетсяникогда.Enable Advanced Printing Features (Активизировать дополнительные возможности печати).Этот флажок вкладки Advanced установлен по умолчанию, и он позволяет пользователямиспользовать любые дополнительные средства для данного принтера. Для некоторыхих этих дополнительных средств, таких как печать буклетов и печать несколькихстраниц на одном листе, требуется спулинг метафайла. Если у вас возникают проблемыиспользования дополнительных средств (обычно проблемы возникают, только если выиспользуете драйвер принтера, который представляет эмуляцию вместо реального драйверадля данного принтера), то вы можете сбросить этот флажок.Примечание. Метафайлы - это файлы, которые описывают или указывают другиефайлы. Microsoft использует метафайлы для формата WMF (Windows Metafile). WMFфайлсодержит последовательность команд GDI (Graphical Device Interface), которыеобычно используются для печати графики.Вкладка Color Management (Управление цветом)Для принтеров, позволяющих выполнять цветную печать, вы можете использоватьвозможности средства Image Color Management (ICM). ICM позволяет выводить согласованныйцвет независимо от возможностей конкретного устройства. ICM отображаетцвета и выполняет преобразование типов цветов (например, RGB в CMYK)для точного вывода согласованных цветов. Это означает, что цвет на экране соответствуетцвету при печати, цвет со сканера соответствует цвету на экране, и т.д.Вкладка Color Management диалогового окна Properties для цветного принтерапозволяет предоставлять цветовые профили пользователям, которые выполняютдоступ к этому принтеру. Во вкладке Color Management (она выводится только дляцветных принтеров, поддерживающих средства управления цветом) вы увидите однуиз следующих конфигураций цветовых профилей.• На принтер не загружено никаких профилей.• Загружен профиль sRGB Color Space Profile.Примечание. Профиль sRGB - это цветовой профиль по умолчанию для WindowsServer 2003, который подходит для всех устройств, обладающих возможностями управленияцветом.Чтобы добавить цветовой профиль к принтеру, щелкните на кнопке Add и выберитенужный профиль в диалоговом окне Add Profile Association (Добавление связис профилем). Файлы цветовых профилей имеют расширением имени .icm и хранятсяв папке %SystemRoot%\System32\Spool\Drivers\Color. Вы можете добавлять сколь-

326 Windows Server 2003. Полное руководствоко угодно профилей и затем конфигурировать принтер для автоматического выборанаилучшего профиля или разрешать пользователям выбирать профиль.Если у вас есть пользователи, которым требуется средства сопоставления цветовдля подготовки высококачественной графики или работы в настольных издательскихсистемах, прочитайте следующий раздел.Обзор возможностей Color ManagementПодробное описание утилит управления цветом, включенных в ICM, выходит зарамки изложения этой книги, однако имеет смысл дать некоторый обзор, чтобы вымогли решить, нужно ли вам более глубокое изучение этих средств.Чтобы конфигурировать цвета для входных и выходных устройств (монитора,сканера и принтера), в ICM используются API-вызовы. Вы можете назначать цветовыепрофили принтерам, чтобы пользователи имели доступ к этим профилям. Выможете также добавить цветовой профиль к монитору, используя кнопку Advancedвкладки Settings (Параметры) диалогового окна Display Properties (Свойства: Экран).На самом деле, если вы добавляете цветовой профиль к принтеру, то вы должныдобавить этот профиль к монитору (и наоборот). Это означает, что по принципуWYSIWYG на экране будут отображаться согласованные цвета заданий печати, чтоважно при подготовке высококачественной графики.Профили могут также устанавливаться в другом порядке - путем открытия данногопрофиля и его ассоциирования с монитором и принтером. Щелкните правойкнопкой на объекте-профиле и выберите в контекстном меню пункт Associate (Связать).Затем добавьте монитор и принтеры(ы) к списку ассоциированных устройств.Без цветового профиля цветовые возможности могут варьироваться от заданияк заданию из-за отличий в использовании цвета различными устройствами. Пользователис особыми требованиями (графика, работа в настольных издательских системахи т.д.) могут устанавливать цветовые профили в соответствии с выполняемойработой, что гарантирует согласованность цвета для всех устройств и компьютеров.Поскольку профили увеличивают нагрузку и могут замедлять процесс печати, в повседневнойцветной печати не следует использовать профили.Версия ICM, включенная в Windows Server 2003, позволяет работать с любымисканерами, мониторами и принтерами, которые поддерживают управление цветом.Управление цветом поддерживается только теми приложениями, в которых используютсяподдержка API-вызовов ICM. Если вы хотите вызвать средства управленияцветом, выберите File\Color Management в меню используемого приложения.Примечание. Windows-приложения могут поддерживать один из двух уровней APIвызовов:один набор API для RGB и еще один набор для множественных цветовыхпространств. Эти API поддерживают профили цветовых устройств и содержат процедурыпреобразования цветов.Сканеры, которые поддерживают управление цветом, создают sRGB-выход иливстраивают цветовой профиль в файл изображения. Предпочтительно использоватьпервый вариант, поскольку операционная система может работать с sRGB-выходом.Встроенный цветовой профиль не обязательно доступен другим устройствам.Сканер может создавать sRGB-выход одним из двух способов.• Он может обратиться к ICM, передать ICM соответствующий профиль сканераи указать ей на профиль sRGB. Затем ICM Windows Server 2003 генерирует sRGBвыход,который может быть передан этим устройством в приложение.

Глава 9. Печать 327• Он может использовать собственную систему, которая выполняет коррекциюиз цветового пространства сканера в стандарты sRGB. Это не слишком гибкийподход, и обычно в этом случае для выполнения процесса передачи цветовыхданных в приложение требуется программное обеспечение от изготовителя сканера.К сожалению, некоторые собственные программы изготовителей не совместимыс ICM Windows.Важность ICM и цветовых профилей состоит в том, что все компоненты, использующиеассоциированный цветовой профиль, могут позволить ICM управлять последовательностьюпередачи цветов на протяжении всего процесса редактирования.Администрирование принтеровИмея достаточные полномочия, вы можете управлять принтерами на сервере печати.На самом деле вы можете управлять свойствами сервера печати для удаленногокомпьютера. Windows Server 2003 содержит средства удаленного управления печатью,и поэтому вы должны уделять особое внимание полномочиям.Управление удаленными принтерамиВы можете осуществлять доступ к удаленному принтеру для администрирования изокна My Network Places или с помощью команды Search меню Start для поиска принтера.Вы имеете такие же возможности управления свойствами удаленной папкиPrinters и содержащимися в ней принтерами, как и для локальной папки Printers.Если вы регулярно администрируете какой-либо удаленный принтер или удаленныйсервер печати, то можете помещать такие принтеры на своем собственном компьютере.Это хороший способ упрощения вашей работы. На своем локальном компьютересоздайте папку для управления принтерами или откройте папку Printers and Faxes.Затем откройте My Network Places и раскройте компьютер, где находится нужный серверпечати. Поместив рядом оба окна, перетащите папку Printers с удаленного серверапечати в вашу локальную папку. Вы можете также открыть папку Printers на удаленномсервере печати и перетащить отдельные объекты-принтеры на свой компьютер.Перенаправлениие заданий печатиПри отказе какого-либо принтера вы можете переместить задания печати, которыеожидают в очереди, на другой принтер, если для него используется тот же драйвер.Этот новый принтер может находиться на том же сервере печати или на другом серверепечати. Возможность перенаправления заданий означает, что вам не обязательноудалять очередь и сообщать пользователям, что они должны повторить печать.Чтобы выполнить эту задачу, откройте папку Printers and Faxes и откройте принтер,который не работает. Выберите Printer\Properties, чтобы открыть диалоговоеокно Properties, и перейдите во вкладку Ports. Затем используйте следующий способ,чтобы переместить очередь на другой принтер.• Для перемещения заданий печати на другой принтер того же сервера печативыделите порт, к которому подсоединен этот принтер. Щелкните на кнопке ОК.• Для перемещения заданий печати на какой-либо принтер другого сервера печативыберите Add Port\Local Port\New Port (Добавить порт\Локальный порт\Создатьпорт). Затем введите UNC-путь для этого удаленного принтера, используяформат \\Сервер_печати \\Разделяемое_имя_принтера.

328 Windows Server 2003. Полное руководствоЗадание, при печати которого появилось сообщение об ошибке, нельзя переместитьна другой принтер, и его следует удалить. Пользователь, который являетсявладельцем этого задания, должен отправить новое задание печати.Управление заданиями печати в очередиЕсли открыть принтер двойным щелчком на его значке в папке Printers and Faxes, тов его окне будет показаны все задания очереди вместе с информацией о каждомзадании (имя документа, размер, владелец и т.д.). Имея соответствующий уровеньполномочий, вы можете выполнять следующие действия с находящимися в очередидокументами.• Отменить задание печати, щелкнув правой кнопкой на его строке и выбрав пунктCancel.• Приостановить задание печати, щелкнув правой кнопкой на его строке и выбравпункт Pause.• Возобновить приостановленное задание печати, щелкнув правой кнопкой на егостроке и выбрав пункт Resume.• Перезапустить документ, печать которого остановлена (обычно из-за того, чтозамялась бумага или в принтере нет бумаги), щелкнув правой кнопкой на егостроке и выбрав пункт Restart.• Изменить приоритет задания печати, щелкнув правой кнопкой на его строке ивыбрав пункт Properties. Во вкладке General диалогового окна Properties нужноповысить или снизить значение приоритета этого документа.Примечание. При возобновлении или перезапуске задания печати оно должно подождать,пока не будут напечатаны документы с более высоким приоритетом, которые,возможно, поступили в очередь.Чтобы выполнить какое-либо действие со всеми документами очереди, щелкнитеправой кнопкой на объекте-принтере и выберите нужную команду из контекстногоменю:• Pause printing (Приостановить печать)• Cancel all documents (Удалить все документы)• Resume printing (Возобновить печать)Примечание. Пользователи могут управлять только свои собственными заданиями,для доступа к которым им нужно щелкнуть на значке принтера, который появляетсяв панели задач во время печати.Вывод данных печати в файлВ диалоговом окне Windows Print, которое появляется, если выбрать в приложенииFile\Print, предлагается вариант вывода данных печати в файл на диске. Кроме того,вы можете создать «принтер», который автоматически выводит данные печати в файлна диске вместо физического принтера. Это может потребоваться по несколькимпричинам:

• Вам нужно напечатать документ из другого места.• Принтер временно не работает.• Вы хотите передать этот файл другому пользователю.Глава 9. Печать 329Имеет смысл создать виртуальный принтер, который сконфигурирован для дисковыхфайлов (см. выше раздел «Зависимость «многие к одному» между виртуальнымипринтерами и физическим принтером»). При добавлении принтера используйтедля выбора порта вариант File. При доступе пользователя к этому принтеру унего запрашивается имя файла. Этот файл сохраняется на компьютере пользователяс расширением имени .ргп.Чтобы вывести данные печати в файл, введите следующую команду в команднойстроке.гдеprint [/с!:устройство] [диск:] [путь] [имя_файла]/diycmpoucmeo - это выходное устройство, которым может быть порт (например,lpt) или удаленный принтер (\\Имя_сервера_печати\Разделяемое_имя_прштера).дисктуть имя_файла - это путь к файлу, в который выводятся данные печати.Этот дисковый файл будет успешно печататься только на принтере, для которогоон был создан. Иными словами, вы не можете сконфигурировать свой лазерныйпринтер HP для вывода данных печати в файл, если хотите напечатать затем этотфайл на лазерном принтере Lexmark. Коды, которые предполагаются соответствующимпринтером, встраиваются в этот дисковый файл.Печать из DOSЕсли ваш принтер подсоединен к LPT1: на вашем собственном компьютере, то увас не будет проблем при печати из какой-либо программы DOS или из команднойстроки. Но если вы используете удаленный принтер, то печать из DOS нельзя выполнить,просто выбрав принтер в соответствующей программе. Для печати из DOSвы должны вручную перенаправить печать с помощью следующей команды.net use Iptx \\Имя_сервера_печати\Разделяемое_имя_принтерагде х - это порт, в который вы хотите перенаправить печать (обычно lptl).Вы можете сделать эту команду постоянной, добавив параметр /persistences.Например, чтобы использовать принтер с именем HPLJ6, который подсоединен ккомпьютеру с именем PrtSrv3, введите команду net use lptl \\PrtSrv3\HPLJ6 /persistent:yes.После перенаправления порта вы можете отправлять файлы на этот принтер изкомандной строки в дополнение к печати из приложений DOS. Параметр persistentдействует и после перезагрузки компьютера, поэтому вам всегда доступен этот удаленныйпринтер. Однако состояние перенаправления порта lpt относится к профилюпользователя, поэтому для доступа к данному компьютеру нескольких пользователейкаждый пользователь должен вызвать команду перенаправления.Если у вас имеется для выбора несколько удаленных принтеров, то вы можетеперенаправить на один из них Ipt2, на другой - Ipt3, и т.д. Затем в своем приложенииDOS задайте возможность направления печати в эти порты. Для печати из команднойстроки вы должны только указать в команде имя порта, чтобы отправитьDOS-файл на нужный принтер.

Глава 10Работа в сетис использованием TCP/IPВся система Windows Server 2003 разработана с учетом взаимодействия через TCP/IP. Многие функции, которые описываются в этой главе, не видны пользователюпосле должного конфигурирования TCP/IP, но вы не сможете полностью освоитьадминистрирование сети Windows Server 2003, пока не ознакомитесь с сетевымипроцессами, которые выполняются скрытым образом. В данной главе дается обзормногих таких процессов, включая следующие темы.м Использование TCP/IP в рамках сетевой модели Windows Server 2003• Протоколы TCP/IP и уровни их функционирования• Использование утилит TCP/IP Windows Server 2003Понимание этих тем упрощает разрешение проблем TCP/IP в случае их возникновения.Обзор TCP/IPРасширение Windows до уровня сетевой операционной системы класса предприятияи огромная популярность интернета - вот два фактора, которые сделали протоколTCP/IP сетевым стандартом де факто в наше время. Сети предприятий сталиболее разнородными за последние годы как за счет ввода новых технологий, так иобъединения существующих технологий, и одним из следствий этого явления сталообщее увеличение перегрузки сетевого трафика из-за различных типов протоколов,используемых на различных платформах.Чтобы справиться с этой перегрузкой, многие сетевые администраторы прибеглик стандартизации на основе какого-либо одного набора протоколов, чтобы имбыло проще управлять сетевым трафиком. По целому ряду причин наиболее очевиднымкомплектом протоколов является TCP/IP. В частности, это следующие причины.• Совместимость. Большинство известных сетевых операционных систем в настоящеевремя могут использовать TCP/IP как собственный протокол. Остальныеоперационные системы явно уступают в их поддержке отраслевых стандартов.• Масштабируемость. TCP/IP разрабатывали для использования в том, что сталотеперь крупнейшей интерсетью, то есть в интернете. TCP/IP содержит протоколы,отвечающие почти любой задаче обмена информацией при различных уровняхскорости, объемах служебной информации и надежности.• Разнородность (гетерогенность). Комплект TCP/IP может поддерживать практическилюбое оборудование или платформу операционных систем, которые используютсяв настоящее время. Его модульная архитектура позволяет поддерживатьновые платформы без переделки базовых протоколов.

Глава 10. Работа в сети с использованием TCP/IP 331• Адресуемость. Каждой машине в сети TCP/IP присваивается уникальный идентификатор,что делает ее адресуемой на любой другой машине в сети.• Доступность. Протоколы TCP/IP предлагаются как открытые стандарты, которыемогут использовать все, и они разрабатываются на основе «открытого форума»,когда приветствуется вклад от любых заинтересованных сторон.Рост популярности Windows в наши дни, в частности, объясняется использованиемTCP/IP. Его предшественник, NETBEUI (собственный исходный протоколWindows NT), оказался недостаточным как протокол уровня предприятия, посколькуу него нет сетевого уровня, и поэтому он не поддерживает маршрутизацию междусегментами сети.Использование TCP/IP в разработках MicrosoftРазработка протоколов TCP/IP для использования в сети ARPANET (которую позжепереименовали в Internet) началась в 1970-х гг., но некоторые нововведения,которые сделали TCP/IP применимым для использования в частных сетях уровняпредприятия, были осознаны много позже. Показательным случаем стало применениеTCP/IP компанией Microsoft для ее собственной глобальной корпоративнойинтерсети.В начале 1990-х гг., когда группа по информационным технологиям (InformationTechnology Group) компании Microsoft обсуждала различные протоколы, которыемогли бы заменить «архаичные» протоколы XNS, TCP/IP был первым кандидатомс самого начала, но он содержал определенные серьезные препятствия для широкомасштабногоразвертывания по всему миру. Главными препятствиями были администрированиеи конфигурирование IP-адресации, разрешения сетевых имен и использованияшироковещательных сообщений для поиска других компьютеров.Даже в сети небольшого или среднего масштаба задача назначения IP-адресовявляется достаточно обременительной; но в крупной интерсети, охватывающей более50 стран, это требует серьезных административных затрат. Требуется не толькотщательно планировать назначения сетевых адресов и вести аккуратные записи вкакой-либо центральной точке, но также справляться с задачей реального конфигурированиятысяч узлов. Вы смогли бы отправить обученный персонал в каждыйудаленный офис? Обучить сотрудников, которые уже работают там? Разработатьдокументацию, которая (как предполагается) позволит конечным пользователямсконфигурировать свои собственные рабочие станции?Еще одной серьезной проблемой является разрешение имен при таком масштабе.Чтобы использовать TCP/IP с операционными системами Microsoft до Windows2000, вам приходилось иметь средства сопоставления имен NetBIOS с IP-адресами.В локальном сегменте сети это осуществлялось с помощью широковещательныхсообщений (что само по себе могло создавать проблемы сетевого трафика). Для соединенияс машинами в других сетях на каждой рабочей станции требовались записифайла LMHOSTS, где указывались имена NetBIOS и соответствующие IP-адреса.Задача поддержки этих файлов на таком большом числе компьютеров требуетеще больших затрат, чем назначение IP-адресов.Для сотрудников Microsoft было ясно, что трудности, с которыми они сталкиваются,будут возникать в определенной степени при любой реализации TCP/IP вкрупной корпоративной сети. Результатом усилий Microsoft совместно с другимиразработчиками сетей и производителями программных продуктов стали модулиDHCP и WINS, которые предоставляли сетевым пользователям соответственно

332 Windows Server 2003. Полное руководствослужбы конфигурирования IP-адресов и разрешения имен. Используя эти службы,вы могли в огромной степени снизить административную нагрузку, возникающуюв большой сети TCP/IP и избавить своих пользователей от необходимости знатьчто-либо о протоколах и IP-адресах.Комплект TCP/IP сильно изменился с появлением Windows 2000 и последующимвыпуском Windows Server 2003. В него вошло много новых средств и улучшенийпо сравнению с предыдущими реализациями. TCP/IP Windows Server 2003 былстандартизован. Он больше не основывается на NetBIOS для разрешения имен.Вместо этого основным механизмом разрешения имен является система доменныхимен DNS (Domain Name System).Термин TCP/IP не охватывает весь этот комплект. На самом деле это набор изболее чем дюжины протоколов, a TCP и IP - это только два из них. Стандарты, накоторых основываются эти протоколы, публикуются группой IETF (InternetEngineering Task Force) в форме документов RFC (requests for comments). Если васинтересуют документы RFC, начните с сайта IETF, www.ietf.org, откуда вы можетепереходить на другие сайты, содержащие документы RFC. На большинстве сайтовэти документы хранятся в каталоге верхнего уровня под названием RFC. Это в основномASCII-файлы, и некоторые документы содержат рисунки, доступные в форматеPostScript.Улучшения в TCP/IPWindows Server 2003Как и почти для всего в компьютерном мире, в TCP/IP постоянно вносятся измененияи улучшения, отвечающие постоянно растущим деловым потребностям. В этомразделе описываются некоторые из новых технологий TCP/IP, включенные в WindowsServer 2003 (многие из них появились впервые в Windows 2000, но представлены здеськак «новые» для тех, кто переходит к Windows Server 2003 из Windows NT).IGMP Version 3Протокол IGMP (Internet Group Management Protocol) Version 3 позволяет определятьчленство в группах для групповых сообщений. Хосты могут указывать, что онизаинтересованы в получении трафика групповых сообщений из определенных источников.Это средство препятствует тому, чтобы поддерживающие групповую доставкумаршрутизаторы не передавали групповой трафик в подсеть, где нет хостов,которым требуется получать групповой трафик.Альтернативная конфигурацияАльтернативные конфигурации TCP/IP - это новая возможность для семействаWindows (Windows Server 2003 и Windows XP). Альтернативная конфигурация означает,что компьютер может иметь альтернативную конфигурацию TCP/IP - вручнуюсконфигурированный IP-адрес, который может использоваться в отсутствие сервераDHCP. Без альтернативной конфигурации TCP/IP использует по умолчанию средствоавтоматической IP-адресации Automatic Private IP Addressing (APIPA), чтобыназначить уникальный IP-адрес в диапазоне от 169.254.0.1 до 169.254.255.254 с маскойподсети 255.255.0.0.Возможность иметь альтернативную настройку - это преимущество типа «двасредства по цене одного» для пользователей компьютеров, которые подсоединяютсяболее чем к одной сети, в одной из которых или в обеих нет сервера DHCP. Например,мобильные пользователи часто подсоединяются к офисной сети, а такжеиспользуют свои компьютеры в своих домашних сетях. Многие мобильные пользо-

Глава 10. Работа в сети с использованием TCP/IP 333ватели ездят в филиалы своих компаний или к клиентам, где им нужно подключатьсяк местным сетям. В одном из мест для лэптопа этого пользователя используетсяконфигурация TCP/IP, предусматривающая использование DHCP. В другом месте,если нет сервера DHCP, лэптоп автоматически использует альтернативную конфигурацию,выполняя доступ к устройствам домашней сети и к интернету. Такойпользователь имеет доступ к обеим сетям без необходимости изменения настроекTCP/IP вручную и последующей перезагрузки.Хотя ваш компьютер Windows Server 2003 вряд ли является лэптопом, вам какадминистратору может потребоваться настройка компьютера Windows XP какоголибопользователя для альтернативной конфигурации. Выполните для этого следующиешаги.1. Откройте диалоговое окно Properties для объекта Local Area Connection (Соединениелокальной сети).2. Во вкладке General (Общие) выберите Internet Protocol (TCP/IP) и щелкните накнопке Properties.3. Выберите вариант Obtain an IP address automatically (Получать IP-адрес автоматически),что вызовет появление вкладки Alternate Configuration (Альтернативнаяконфигурация) в этом диалоговом окне.4. Перейдите во вкладку Alternate Configuration (рис. 10.1).5. Выберите вариант User Configured (Задается пользователем) и введите требуемуюинформацию.Internet Protocol (TCP/IP) PropertiesGeneral Alternate Configuration | .. ....чтобы упростить подсоединениеко второй локальной сетиII thu t-jnvtv i: uwd ;

334 Windows Server 2003. Полное руководствоНапример, серверам с двумя сетевыми подключениями, которые подсоединеныкак к внутренней сети, так и к интернету, не требуется NetBT со стороны интернета.Возможность отключения NetBT для соединения с Internet означает, что компьютерможет продолжать работать как сервер WINS или клиент во внутренней сети.Это повышает как уровень производительности, так и уровень безопасности.По умолчанию Windows Server 2003 задает состояние NetBT как «использоватьDHCP, иначе включить NetBT». Чтобы увидеть или изменить эту настройку, выполнитеследующие шаги.1. Откройте диалоговое окно Properties для соответствующего соединения (обычноэто требуется сделать для соединения с интернетом).2. Выберите Internet Protocol (TCP/IP) и щелкните на кнопке Properties.3. Щелкните на кнопке Advanced (Дополнительно), чтобы открыть диалоговое окноAdvanced TCP/IP Settings.4. Перейдите во вкладку WINS, чтобы увидеть текущую настройку NetBIOS (рис.10.2).5. При необходимости внесите изменения.Advanced TCP/IP SettingstPSe".r. g;jDNS WINS |0e4on:|Л1Рис. 10.2. Вручную отключите(Disable) или включите(Enable) NetBIOS over TCP/IP(NetBT)

Глава 10. Работа в сети с использованием TCP/IP 335Автоматическое конфигурирование частных адресовAutomatic Private IP Addressing (APIPA) - это средство, которое позволяет вам автоматизироватьконфигурирование IP-адресов для сетей, имеющих одну подсеть и несодержащих сервера DHCP. По умолчанию Windows Server 2003 активизирует APIPA.Это средство действует следующим образом. Компьютер пытается обратиться к какому-либосерверу DHCP в сети, чтобы получать конфигурацию для каждого сетевогосоединения автоматически. Затем происходят следующие действия.• Если какой-либо сервер DHCP найден и аренда конфигурации проходит успешно,то происходит конфигурирование TCP/IP.• Если сервер DHCP не найден, то интерфейс компьютера проверяется на наличиеальтернативной конфигурации. Если она найдена, то ее настройки используются,чтобы сконфигурировать TCP/IP для этого интерфейса. (См. выше раздел«Альтернативная конфигурация».)• Если для данного интерфейса нет альтернативной конфигурации, то для автоматическогоконфигурирования TCP/IP используется APIPA. Это означает, чтоWindows задает адрес из зарезервированного диапазона IP-адресов (от 169.254.0.1до 169.254.255.254). Для маски подсети задается значение 255.255.0.0. (Формальноэтот адрес считается временным, пока не найден сервер DHCP, и действительно,система продолжает искать его.)Вы можете отключить APIPA на компьютере путем редактирования реестра:1. Перейдите в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.2. Создайте новый элемент типа REG_DWORD с именем I PAutoconfigurationEnabled.(Этот элемент данных не существует, если вы не добавили его, поскольку Windowsавтоматически включает APIPA.)3. Введите значение 0, чтобы отключить APIPA.4. Чтобы снова включить это средство, измените значение на 1.Этот раздел имеет довольно сложную структуру. Вы должны помнить, что онсодержит настройки, которые применяются ко всему компьютеру. Однако в немимеется подраздел с именем Interfaces, имеющий отдельные подразделы для каждогоотдельного интерфейса TCP/IP на данном компьютере.£:' Registry EditorFte £]NameSetverSlNV Domain[iSlNV HostnameТур*REG_SZREG_EXPAND_SZREG_DW0RDREG.SZREG.DWORDREG.DWORDREG_DWORDREG.DWORDREG.SZREG.DWORDREG.SZREG.SZREG SZ

336 Windows Server 2003. Полное руководствоЕсли в каком-либо из подразделов Имя_интерфейса имеется элементIPAutoconfigurationEnabled, то именно это значение используется для данного интерфейса(а не значение одноименного элемента в разделеHKEYJLOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters).Поэтому важно проверить значения во всех этих подразделах, чтобы начали действоватьименно те изменения, которые вы вносите.Поддержка новых стандартов TCP/IPНовые документы RFC для TCP/IP появляются все время, и в этом разделе рассматриваютсянекоторые новые RFC, которые поддерживаются в Windows Server2003. Вы можете получать информацию по RFC на веб-сайте RFC Editor по адресуwww.rfc-editor.org. Этот сайт поддерживается членами ISI (Information ServicesInstitute), которые публикуют упорядоченный список всех RFC.Поддержка больших окон TCP/IPРазмер окна связан с максимальным количеством пакетов, которые могут быть отправленыбез ожидания подтверждения. Без поддержки больших окон максимальныйразмер окна обычно фиксирован и равен 64 Кб. Это неэффективно, если междуотдельными отправителями и получателями передаются большие объемы данных.При использовании поддержки больших окон вы можете динамически задавать размерокна, используя опции конфигурирования TCP, что повышает пропускную способностьсети.Примечание. Большие окна TCP определены в документе RFC 1323, «TCP Extensionsfor High Performance».Поддержка выборочных подтвержденийВыборочные (селективные) подтверждения - это недавно разработанное средстводля TCP, которое позволяет получателю выборочно направлять отправителю запросыповторной отправки данных, ограничиваясь только теми данными, которые действительнопотеряны.Без этого средства подтверждения являются накопительными. TCP подтверждаетполучение только тех сегментов, которые согласуются с предыдущими подтвержденнымисегментами. Сегменты, которые получены не по порядку, не подтверждаютсяявным образом. TCP требует, чтобы сегменты подтверждались втечение достаточно короткого промежутка времени, иначе недостающий сегмент ивсе следующие за ним сегменты передаются заново. Это означает, что сегменты могутбыть успешно получены, и все-таки будут переданы снова.Использование выборочных подтверждений означает, что только те данные,которые не были получены, требуют повторной передачи, что повышает эффективностьиспользования пропускной способности сети.Примечание. Выборочные подтверждения определены в документе RFC 2018, «TCPSelective Acknowledgement Options».

Глава 10. Работа в сети с использованием TCP/IP 337Поддержка улучшений в оценке времени на передачуи подтверждение приемаTCP использует значение времени на передачу и подтверждение приема (RTT -round-trip time) для оценки времени, которое требуется для взаимного обмена даннымимежду отправителем и получателем. Windows Server 2003 поддерживает использованиенового средства TCP RTT Measurement, которое улучшает способ оценкиэтого времени. Это, в свою очередь, помогает настраивать таймеры повторнойпередачи, что повышает скорость и производительность TCP.Этот новый способ особенно полезен для более длинных каналов, например,каналов глобальной сети (WAN) с большим числом сегментов либо беспроводныхили спутниковых каналов связи.Примечание. Определение этого метода дается в документе RFC 1323 «TCP Extensionsfor High Performance».Поддержка обнаружения маршрутизаторов с помощью ICMPСредство обнаружения маршрутизаторов с помощью ICMP (Internet Control MessageProtocol) использует управляющие сообщения ICMP для обнаружения шлюза поумолчанию в каком-либо сегменте сети, если шлюз по умолчанию не был сконфигурированвручную и не был назначен через DHCP. Используются два сообщенияICMP:• Запрос поиска маршрутизаторов, отправляемый хостом для обнаружения маршрутизаторовв сети.• Объявление маршрутизатора, которое отправляется каким-либо маршрутизатором.Это сообщение отправляется в ответ на запрос поиска маршрутизаторов, ионо отправляется периодически, чтобы извещать хосты в сети, что имеется данныймаршрутизатор.По умолчанию Windows Server 2003 отключает обнаружение маршрутизаторов спомощью ICMP для хостов, если хост не получил опцию Perform Router Discovery(Выполнять обнаружение маршрутизаторов) от сервера DHCP. Для Windows Server2003 с запущенной службой RAS вы можете включить поддержку обнаружения маршрутизаторовс помощью ICMP следующим образом.1. Откройте оснастку Routing and Remote Access из меню Administrative Tools.2. В дереве консоли раскройте Server, затем раскройте IP Routing и выберите General.3. В правой панели щелкните правой кнопкой на соответствующем сетевом адаптере(NIC) и выберите в контекстном меню пункт Properties.4. Во вкладке General установите флажок Enable Router Discovery Advertisements(Включить объявления для обнаружения маршрутизатора).5. В поле Advertisement Lifetime (minutes) [Время действия объявления (в минутах)]задайте время, по прошествии которого с момента последнего объявлениямаршрутизатора этот маршрутизатор считается отключенным.6. В поле Level of preference (Уровень предпочтения) задайте уровень для данногомаршрутизатора, при котором он считается шлюзом по умолчанию для хостов.7. В поле Minimum time (minutes) [Минимальное время (в минутах)] задайте минимальныйпромежуток времени, после которого маршрутизатор периодическиотправляет объявления ICMP.

338 Windows Server 2003. Полное руководство8. В поле Maximum time (minutes) задайте максимальный промежуток времени, послекоторого маршрутизатор периодически отправляет объявления ICMP.Примечание. Реально маршрутизатор периодически отправляет объявления ICMPв некоторый случайный момент времени между минимальным и максимальнымпромежутком.Примечание. Обнаружение маршрутизаторов с помощью объявлений ICMP описанов документе RFC 1256, «ICMP Router Discovery Messages».Поддержка IP Version 6Одной из основных причин использования IPv6 является резкий рост числа зарегистрированныхIP-адресов. Принципы, лежащие в основе IPv6, аналогичны существующейсхеме IP-адресации (IPv4), но вместо 32-битной адресации используется128-битная адресация. Это существенно увеличивает количество доступных для использованияIP-адресов. Для 128-битной адресации в IPv6 используются восемьнаборов шестнадцатеричных цифр, разделенных символом «двоеточие» (:). Такимобразом, адрес IPv6 может иметь следующий вид.4321:0:1:2:3:4:567:89аЬВ IPv6 определен также новый тип ресурсной записи, АААА, для работы с новым128-битным форматом адресации. Кроме того, создается ip6.int - новое пространствоимен для обратного поиска (сопоставления имен IP-адресам).На данный момент в США разгорелась полемика, нужен ли реально IPv6, и основнымдоводом против его ввода является то, что на самом деле количество устройств,которым требуются открытые (допустимые для интернета) IP-адреса, меньше,чем утверждают сторонники IPv6. Сторонники IPv4 указывают на функциивнутренних частных IP-адресов (такие как DHCP) как средство, которое позволитобойтись существующим количеством доступных открытых адресов. Специалистыиз Европы и Азии больше склоняются к переходу на IPv6, чем администраторы вСША. Они указывают, что в интернете скоро будет миллиард пользователей, и каждыйпользователь может иметь больше одного устройства, выполняющего доступ винтернет. На данный момент, как они считают, мы явно ощущаем нехватку IP-адресов.Одним из интересных разрабатываемых приложений IPv6, особенно в Азии, являетсяего использование для одноранговых сетей, включающих некомпьютерныеустройства. Для связи с вашими бытовыми приборами, системами безопасности идругими устройствами через ваш компьютер (дома или в офисе) каждое устройствополучает адрес IPv6. (Я представляю себе свою микроволновую печь, на дисплеекоторой показаны часы, отсчет времени, когда подогревается мой кофе, и ее адресIPv6.)Пока не началось широкое распространение IPv6, я не хочу уделять много местаописанию всех деталей запуска IPv6 в вашей сети (вы должны задать маршрутизаторы,DNS и сетевые адаптеры). Но если вам все же нужен IPv6 на вашем компьютереWindows Server 2003 (например, чтобы включать домашнюю микроволновуюпечь перед вашим уходом с работы), то вы должны добавить IPv6 к вашему сетевомуадаптеру (NIC) путем добавления протокола Microsoft TCP/IP version 6 из диалоговогоокна Select Network Protocol.

Глава 10. Работа в сети с использованием TCP/IP 339Улучшения в TCP/IPЕсли вы переходите к Windows Server 2003 из Windows NT, то вам необходимознать об улучшениях (дополнениях) TCP/IP, которые появились с выпуском Windows2000 (и, конечно, представлены в Windows Server 2003). Соответствующий обзорприводится в таблице 10.1.Табл. 10.1. Улучшения в TCP/IPСредствоInternet PrintingProtocolQuality of Service (QoS)Telephony ApplicationProgramming Inteface(TAPI) 3IP Security (IPSec)Layer Two TunnelingProtocol (L2TP)NDIS5Automatic ClientConfiguration (Автоматическоеконфигурированиеклиента)Поддержка высокоскоростныхсетейInternet GroupManagement Protocolversion 2 (IGMPv2)Protocol Stack Tuning(Настройка стекапротоколов)ОписаниеПозволяет вам направлять задания печати непосредственнопо URL-адресу и управлять печатающими устройствамичерез интранет или интернет.Поддерживает стандарты, связанные с качеством обслуживания(QoS), такие как Resorce Reservation Protocol (RSVP),Differentiated Quality of Service и 801.1р, чтобы получать болеевысокие уровни качества обслуживания. QoS интерпретируетсякак некое «соглашение» между двумя и более машинами,которое гарантирует определенный ожидаемыйуровень пропускной способности, управления трафиком ит.д. Однако это средство забирает довольно много ресурсов.Улучшенная поддержка средств телефонии.Технология шифрования для IP. Часто используется в виртуальныхчастных сетях (VPN). Более подробные сведенияпо вопросам безопасности см. в гл. 17.Расширение возможностей для защищенных виртуальныхчастных сетей.Новая сетевая архитектура, которая поддерживает множестводополнений, таких как групповые сообщения, резервированиедоли пропускной способности, управлениеэлектропитанием и т.д.Способность клиента DHCP конфигурировать самого себядля работы в сети, когда нет связи с сервером DHCP.Поддержка высокоскоростных сетей (определенных в RFC1323) в увеличении производительности и масштабируемости.Сюда включается поддержка SelectiveAcknowledgements (SACK), IEEE 1394, беспроводных сетей,IP over ATM (RFC 1577) и многих других средств.Позволяет компьютерам использовать технологии на основегрупповых сообщений, такие как службы потоковогомедиа.Windows автоматически регулирует настройки протоколов,такие как увеличение размера окна TCP по умолчанию дляповышения производительности сети.

340 Windows Server 2003. Полное руководствоСредствоPlug and PlayNetworkingУлучшения вDHCPОписаниеАвтоматическое обнаружение сетевого оборудования, такого каксетевые адаптеры и адаптеры PCMCIA, без ручного вмешательства.Новые средства для DHCP, включая интеграцию с DNS, улучшениесредств мониторинга и отчетов об использовании, обнаружениеподдельных серверов DHCP и многое другое.TCP/IP и сетевая модельWindows Server 2003Сетевая архитектура Windows Server 2003 особенно подходит для использования различныминаборами протоколов. Имея интерфейс Transport Device Interface (TDI)вверху транспортного уровня модели OSI и интерфейс Network Device InterfaceSpecification (NDIS) внизу сетевого уровня, основные транспортные протоколыбольшей частью изолированы остальной части сетевого стека.Любые допустимые протоколы, которые могут обращаться к этим двум интерфейсам,могут использоваться для отправки данных через сеть. Конечно, различные протоколымогут одновременно функционировать в Windows Server 2003, требуя компромиссамежду взаимодействием платформ и производительностью сетевого трафика.Поверх TDI находятся интерфейсы пользовательского режима (их называют такжеинтерфейсами прикладного программирования, или API). К этим интерфейсам обращаютсяприложения, когда им требуются сетевые службы. Во главе этих интерфейсовнаходятся интерфейс NetBIOS, который по-прежнему поддерживаетсясистемой Windows Server 2003 для файловых служб, и Windows Sockets (Winsock),который является стандартным интерфейсом для многих утилит TCP/IP и Internetв целях обратной совместимости с клиентами предыдущих версий Windows. Поддерживаютсятакже следующие API.• Удаленные вызовы процедур (RPC - Remote Procedure Calls)• Блоки серверных сообщений (SMB - Server Message Blocks)• Именованные каналы (Named Pipes)• Почтовые слоты (Mail Slots)Эти API не обязательно связаны с определенным набором протоколов. Например,в первоначальном выпуске системы Windows NT можно было передавать данныетолько из ее интерфейсов API в протокол NetBEUI и затем драйверу NDIS. Вэтой упрощенной системе не было функций TCP/IP, но она предоставляла определенныесетевые услуги.TDI предоставляет распределенный интерфейс, который позволяет направлятьсетевые запросы от различных API тому протоколу, который требуется для доступак нужному ресурсу. Например, NetBIOS-запросы файлов можно направлять протоколамTCP/IP при доступе к диску Windows в сети или протоколу NWLink, когдаприложению требуется файл, находящийся на сервере NetWare. Несколько приложений,работающих в Windows Server 2003, могут обрабатывать несколько сетевыхзапросов одновременно, а это означает, что вызовы различных функций могут передаватьсячерез TDI в стек протоколов TCP/IP либо в стек NWLink или одновременнов оба стека.

Глава 10. Работа в сети с использованием TCP/IP 341Все стеки протоколов, действующие на компьютере Windows Server 2003, передаютсвои запросы сетевых услуг в одно место - интерфейс NDIS. NDIS - это стандарт,используемый для создания драйвера устройства, который обеспечивает доступк сетевому оборудованию. Сетевую архитектуру Windows Server 2003 можнорассматривать как последовательность «суживающих» процедур. Приложения вверхуэтой модели генерируют запросы, которые могут использовать любой из несколькихAPI. Затем эти API передают запросы меньшему числу протоколов (обычно одномуили двум). Различные виды запросов могут смешиваться в отдельных стекахпротоколов; в интерфейсе NDIS они смешиваются в один поток и компонуются ввиде дискретных пакетов, которые передаются через сетевой адаптер и затем самомусетевому носителю.Тем самым протоколы TCP/IP в первую очередь используются для перемещениязапросов от TDI к интерфейсу NDIS, упаковывая их в дискретные блоки, которыеназываются дейтаграммами, что позволяет эффективно передавать эти запросыв их место назначения. Это процесс, конечно, выполняется в обратном порядке,когда данные поступают на рабочую станцию. Можно считать, что упаковка состоитиз трех основных функций.• Адресация. Для отправки данных другому компьютеру в сети должны существоватьсредства, с помощью которых может быть уникально идентифицированаточка назначения. TCP/IP предоставляет свою собственную систему идентификациив форме IP-адреса для каждой машины в сети.• Маршрутизация. Протокол канального уровня (Data Link), такой как Ethernet,не занимается конечной доставкой сетевых пакетов, а только их пересылкой следующеймашине в сети. TCP/IP предоставляет средства, с помощью которыхсетевой трафик эффективно и надежно маршрутизируется через несколько сетевыхсегментов в место назначения.• Мультиплексирование. Поскольку такая операционная система, как WindowsServer 2003, может выполнять несколько программ одновременно, сетевые запросымультиплексируются через кабель (то есть пакеты из различных источникови с различными точками назначения смешиваются в потоке сетевых данных).Поэтому, чтобы запросы могли быть переданы соответствующемуприкладному процессу на целевом компьютере, должен быть идентифицированкаждый пакет. TCP/IP выполняет эту задачу, назначая каждому процессу номерпорта, который в сочетании с IP-адресом уникально идентифицирует в сети конкретныйпроцесс, которому должен быть доставлен пакет. Комбинация IP-адресаи номера порта называется сокетом.Стек протоколов TCP/IPПротоколы TCP/IP, реализованные в Windows Server 2003, можно разбить на четырефункциональных уровня, примерно соответствующих уровням эталонной модели OSI.• Прикладной (Application)• Транспортный (Transport)• Сетевой (Network; известный также как уровень интернет)• Сетевого доступа (Network Access)Как и в эталонной модели OSI, функции различных протоколов TCP/IP разбиваютсяна четыре уровня, которые делают процесс инкапсуляции (упаковки) данныхболее структурированным. По мере того, как сообщение проходит из пользо-

342 Windows Server 2003. Полное руководствовательского интерфейса вверху сетевого стека к реальному сетевому носителю (обычноэто кабель) вниз, данные, обработанные протоколом верхнего уровня, повторноинкапсулируются протоколами, действующими на каждом следующем уровне. Врезультате получается составной пакет, который передается целевому компьютеру,где весь процесс повторяется в обратном порядке по мере прохождения сообщениявверх по этим уровням.Изучение уровней, на которых действует этот комплект протоколов, позволяетпонять, каким образом они реализованы для использования в сетях Windows Server2003. В следующих разделах дается обзор уровней TCP/IP.Уровень сетевого доступа (Network Access)Уровень сетевого доступа действует внизу стека протоколов TCP/IP, непосредственнонад канальным уровнем (Data Link), для передачи дейтаграмм через сетевой носитель.TCP/IP имеет свою собственную систему адресации, посредством которойон идентифицирует другие компьютеры в сети. Но после того, как дейтаграммы IPпоступают в интерфейс NDIS, они перепаковываются в виде фреймов, соответствующихиспользуемому типу сети.Каждый тип сети - Ethernet или какой-либо еще - имеет свой собственный способидентификации компьютеров в сети. В большинстве современных типов сетейэта идентификация осуществляется с помощью адреса устройства, который кодируетсяв каждом сетевом адаптере его изготовителем. Этот МАС-адрес (Media AccessControl address) используется в крайнем фрейме каждого сетевого пакета дляидентификации компьютера, которому он должен быть передан.Поэтому для дейтаграммы IP, которая должна быть отправлена через сеть, долженсуществовать способ, позволяющий определить, какой МАС-адрес соответствуетзаданному IP-адресу. Этот задача протоколов уровня сетевого доступа, из которыхнаиболее известен протокол разрешения адресов ARP (Address Resolution Protocol).ARPARP действует между сетевым и канальным уровнями сетей Ethernet. Он не можетдействовать, пока не получит IP-адрес компьютера, которому отправлена дейтаграмма.Дейтаграмма не может быть передана через сеть, пока ARP не снабдит канальныйуровень адресом целевого устройства.Когда ARP получает дейтаграмму от сетевого уровня, он считывает IP-адрес точкиназначения из заголовка IP и затем формирует пакет разрешения запроса адреса (ARPпакет),который распространяется путем широковещательной передачи во всей локальнойсети. Запрос разрешения адреса содержит IP-адрес целевого компьютера(если он находится в том же сегменте сети) или IP-адрес шлюза по умолчанию длясоответствующей рабочей станции (в противном случае).Каждый компьютер в данном сегменте сети обрабатывает пакет ARP и записываетсодержащийся в нем IP-адрес. Если компьютер обнаруживает в пакете ARPсвой собственный IP-адрес, то он отвечает отправителю, указывая адрес устройства,соответствующий его сетевому адаптеру. ARP передает этот адрес протоколуканального уровня, который использует его при разбиении пакета на фреймы и затемпередает его через сеть.ARP также поддерживает кэш IP-адресов и соответствующие адреса устройств,чтобы снизить количество избыточных широковещательных сообщений, передаваемыхчерез сеть. Кэш стирается при каждом выключении или перезагрузке компьютера,что препятствует неверной передаче, которая может быть вызвана изменениямив сетевом оборудовании.

Глава 10. Работа в сети с использованием TCP/IP 343Примечание. Широковещательные сообщения ARP ограничиваются локальным сетевымсегментом. Протокол канального уровня отвечает только за передачу фреймаследующему компьютеру в линии. Во многих случаях это может быть шлюз вдругой сетевой сегмент, а не компьютер, IP-адрес которого указан как точка назначенияданного сообщения.ARP - это лишь один из многих протоколов уровня сетевого доступа, предназначенныхдля поддержки чрезвычайно обширного и разнообразного множестваплатформ, которые могут использовать TCP/IP.Сетевой уровень (Network Layer)Протокол IP (Internet Protocol), который действует на сетевом уровне стека протоколовTCP/IP, является центральным протоколом всего комплекта и ядром функционированияTCP/IP. Все протоколы более высоких уровней этого комплекта упаковываютсяв дейтаграммы IP, прежде чем происходит передача в интерфейс NDIS.IP выполняет многие ключевые функции, которые позволяют функционироватькомплекту TCP/IP, включая следующее.• Упаковка трафика более высоких уровней в дейтаграммы, которые являютсябазовыми единицами передачи TCP/IP.• Реализация система адресации TCP/IP.• Маршрутизация дейтаграмм между сетями.• Фрагментация и дефрагментация дейтаграмм в соответствии с ограничениямитипов сетей между исходной и конечной точками.• Передача данных между транспортным уровнем и уровнем сетевого доступа (вобоих направлениях).IP - это протокол без установления соединения (connectionless) и поддержкисредств надежности. Слова «без установления соединения» означают, что он передаетпакеты без проверки того, что целевой компьютер работает и готов к приему данных.Отсутствие средств надежности означает, что не существует внутренних механизмов,которые обеспечивают обнаружение и коррекцию ошибок. Эти очевидныенедостатки на самом деле не представляют какой-либо проблемы, поскольку IPможно всегда использовать в сочетании с другими протоколами, которые могут обеспечиватьэти функции. Основой протокола IP является обеспечение только обычныхфункций, которые требуются для всех видов передачи данных, чтобы можнобыло выбрать подходящий транспортный протокол, отвечающий конкретным требованиямпередаваемых данных.Маршрутизация IPIP также отвечает за маршрутизацию дейтаграмм в смежные сегменты сети. Каждыйкомпьютер, работающий с TCP/IP в интерсети, имеет доступ к одному или несколькимшлюзам, которые он использует для передачи данных компьютерам других сетей.Шлюз в терминологии TCP/IP - это устройство, которое передает пакеты междудвумя и более сетями. Этот термин не обязательно подразумевает существование трансляциипротоколов (в отличие от обычной сетевой терминологии). Систему с TCP/IP,которая используется как шлюз между источником и целью передачи, называют такжепромежуточной системой (источник и цель называют конечными системами).Трафик TCP/IP в промежуточной системе доходит до сетевого уровня, но невыше. Протоколу IP известно только о компьютерах в его локальном сетевом сег-

344 Windows Server 2003. Полное руководствоменте и о смежных сегментах, доступ к которым осуществляется через локальныешлюзы. Когда протокол IP получает пакет, предназначенный для компьютера в другомсегменте, он отправляет его локальным шлюзам, чтобы они продолжили передачуэтого пакета. Этот конкретный шлюз выбирается по следующим причинам.• Он обеспечивает непосредственный доступ к сети, в которой находится целевойкомпьютер.• Он зарегистрирован в таблице маршрутизации данного компьютера как наиболееподходящий маршрут к целевой сети.• Это шлюз по умолчанию данного компьютера.Заголовок IPКак и любой сетевой протокол, IP помещает свой собственный заголовок в каждыйпакет, который он получает от вышележащих уровней, инкапсулируя его для передачии вставляя информацию, которая требуется для выполнения всех функцийпротокола. Заголовок IP содержит 20 или 24 байта в зависимости от включения определенныхвозможностей. Байты в терминологии TCP/IP называются октетами, изаголовок разбивается на 5 или 6 32-битных слов. После включения заголовка пакетназывают дейтаграммой, и он передается вниз на уровень сетевого доступа (NetworkLayer). Дейтаграмма инкапсулируется снова канальным уровнем (Data Link), преждечем начинается ее передача через сеть.Заголовок IP состоит из шести полей.• Первое слово• Версия (Version, 4 бита). Указывает версию заголовка IP.• Длина заголовка (Internet Header Length, 4 бита). Общая длина заголовка IP(количество 32-битных слов), указывая тем самым, имеется ли необязательноешестое слово.• Тип обслуживания (Type of Service [TOS], 8 битов). Указывает нужный приоритетсетевого обслуживания для данной дейтаграммы.• Общая длина (Total Length, 16 битов). Указывает общую длину дейтаграммыв октетах (байтах); может использоваться, чтобы определять, нужна ли фрагментациядейтаграммы для выполнения передачи.• Второе слово• Идентификация (Identification, 16 битов). Если дейтаграмма фрагментируетсяили дефрагментируется, то данное поле указывает дейтаграмму, которойпринадлежит определенный фрагмент.• Флаги (Flags, 3 бита). Указывает, может ли данная дейтаграмма быть фрагментированнойи получены ли все фрагменты, образующие исходную дейтаграмму.• Смещение фрагментации (Fragmentation Offset, 13 битов). Используется длясборки фрагментов в нужном порядке; это поле указывает начальную точку(измеряется 64-битными блоками) данного фрагмента дейтаграммы.• Третье слово• Время действия (Time to Live, 8 битов). Указывает, как долго (в секундах)данная дейтаграмма может оставаться активной в интерсети. Это позволяетудалять дейтаграммы, которые невозможно доставить, после заданного периодавремени. Каждая система, которая обрабатывает дейтаграмму, уменьшаетэто значение как минимум на секунду.• Протокол (Protocol, 8 битов). Указывает протокол на транспортном уровнецелевого компьютера, которому должна быть доставлена дейтаграмма.

Глава 10. Работа в сети с использованием TCP/IP 345• Контрольная сумма заголовка (Header Checksum, 16 битов). Используется дляпроверки того, что заголовок IP (но не данные) переданы правильно. Этаконтрольная сумма проверяется каждой промежуточной системой и пересчитывается,прежде выполнить отправку в следующий узел.• Четвертое слово• Исходный адрес (Source Address, 32 бита). IP-адрес передающего компьютера.• Пятое слово• Целевой адрес (Destination Address, 32 бита). IP-адрес конечной системы,которой отправлена дейтаграмма.• Шестое слово (необязательное)• Параметры (Options, переменной длины). Задает параметры для обслуживаниямаршрутизации, безопасности и временных меток в передачах IP. Этополе тоже не является обязательным, но должно поддерживаться всеми реализациямиIP.• Заполнитель (Padding, переменной длины). Нули, используемые для заполненияостатка шестого слова до 32 битов.Хотя протокол IP наиболее активно используется протоколами TCP/IP, сам IPне может справляться с некоторыми ситуациями, встречающимися во время передачидейтаграмм. В этих случаях требуется «вспомогательный» протокол, выполняющийдополнительные функции управления передачей.ICMP (Internet Control Message Protocol). ICMP действует на сетевом уровне. Он используетсядля выполнения ряда диагностических и административных функций,которые помогают в передаче пакетов IP. Например, утилита ping использует пакетыICMP для проверки существования определенных IP-адресов в данной сети.Аналогичные пакеты ICMP используются также для предоставления компьютеру-отправителюотчетов о состоянии передачи, например:• сообщения, что целевой адрес дейтаграмм недоступен, указывая далее, какойэлемент целевой доставки недоступен, - сеть, хост, протокол или порт;• сообщения ICMP типа Source Quench («Замедление источника»), указывающие,что промежуточная или конечная система переполнена поступающими пакетами.Это позволяет отправившему сообщение узлу инициировать процедуры управленияпотоком, снижающие скорость передачи, пока не исчезнут сообщенияэтого типа;• отчеты о том, что пакеты были исключены промежуточной или конечной системойиз-за повреждения заголовка пакета;• предупреждения, что дейтаграммы должны быть фрагментированы, чтобы онимогли успешно дойти до целевого узла.Сообщения ICMP типа Redirect (Перенаправление) являются рекомендациямипо маршрутизации, информирующими узел-отправитель об условиях вне смежныхсегментов сети. Если передающий компьютер находится в сегменте, где имеетсяболее одного применимого шлюза, то эти пакеты позволяют отправителю выбиратьшлюз, который обеспечивает более эффективный маршрут к целевому узлу.Эти функции не следует путать с функциями действительно ориентированнойна соединения службы и средств обнаружения ошибок. ICMP помогает в доставкедейтаграмм IP на целевой компьютер, но не гарантирует надежности обслуживания.

346 Windows Server 2003. Полное руководствоТранспортный уровень (Transport Layer)Как и в эталонной модели OSI, транспортный уровень TCP/IP находится поверхсетевого уровня. Транспортные протоколы инкапсулируются внутри дейтаграмм IPдля передачи через сеть и предоставляют различные уровни обслуживания в зависимостиот требований соответствующего приложения. Два основных протокола,которые действуют на транспортном уровне, это TCP (Transport Control Protocol) иUDP (User Datagram Protocol). Они подробно описываются в следующих двух разделах.TCP/IP применяется в тех случаях, когда требуется более надежное обслуживание,и UDP - в тех случаях, когда гарантированная доставка не является критическиважным требованием. В поле Protocol заголовка IP указывается, какойтранспортный протокол передается в дейтаграмме, чтобы принимающая рабочаястанция знала, как обрабатывать данный пакет.TCP (Transport Control Protocol)TCP - это основной ориентированный на соединения надежный протокол, используемыйв передаче данных TCP/IP. Приложения используют его в ситуациях, требующихпередачи данных, которые можно проверить на полную точность, например, приftp-пересылке файлов. В отличие от IP передача данных TCP никогда не начинается,пока не будет выполнено трехстороннее квитирование (three-way handshake) с целевымкомпьютером. В результате создается виртуальное соединение между двумя компьютерами,то есть заранее созданное «соглашение» между этими двумя машинамидля обмена пакетами. После установления соединения все дейтаграммы, передаваемыев течение данного сеанса, считаются сегментами этой передачи. Весь набор дейтаграмм,передаваемых в течение всего сеанса, называется последовательностью.Надежность TCP-передачи обеспечивается системой обнаружения и коррекцииошибок, которая называется системой позитивного подтверждения с повторной передачей.Это означает, что принимающий компьютер проверяет контрольную сумму,включаемую в каждый пакет, и отправляет запросы повторной передачи, еслипакет содержит ошибки (это новая возможность, появившаяся в Windows Server 2003;в предыдущих версиях отправителю направлялись периодические подтверждения,указывающие, что входящие пакеты вплоть до определенного места получены безповреждений).TCP также обеспечивает управление потоком и переупорядочивание пакетов длякаждой передачи. Несмотря на то, что между двумя конечными системами существуетвиртуальное соединение, отдельные пакеты IP могут передаваться в одноместо назначения по различным маршрутизаторам, иногда поступая не в том порядке,как они были отправлены.Заголовок TCPЗаголовок TCP достаточно сложен ввиду большого числа функций, хотя он имееттот же размер, что и заголовок IP. Заголовок TCP передается внутри заголовка IP ичитается только конечной системой, получившей пакет. Поскольку целевая системадолжна подтвердить получение отправленных данных, TCP является двунаправленнымпротоколом. Один и тот же заголовок используется для отправки пакетовданных в одном направлении и передачи подтверждений в обратном направлении.Заголовок TCP форматируется следующим образом.• Первое слово• Исходный порт (Source Port, 16 битов). Указывает номер порта прикладногопроцесса на исходном компьютере, отправившего данные.

Глава 10. Работа в сети с использованием TCP/IP 347• Целевой адрес (Destination Port, 16 битов). Указывает номер порта прикладногопроцесса на целевом компьютере, который получит данные.Второе слово• Порядковый номер (Sequence Number, 32 бита). Гарантирует, что сегментыбудут обработаны в должном порядке на целевом компьютере за счет указанияномера первого октета данных сегмента во всей последовательности.Третье слово• Порядковый номер подтверждения (Acknowledgement Number, 32 бита). Указываетпорядковый номер для следующего сегмента, который будет полученцелевым компьютером; является признаком того, что все предыдущие сегментыбыли правильно получены и подтверждены.Четвертое слово• Смещение данных (Data Offset, 4 бита). Задает длину заголовка TCP (количество32-битных слов), указывая тем самым начало поля данных и наличиешестого слова, если оно присутствует в заголовке.• Зарезервированное поле (Reserved, 6 битов). В настоящее время не используется;это значение должно быть равно нулю.• Управляющие биты (Control Bits, 6 битов). Двоичные флаги, которые можноустанавливать, чтобы указывать функцию или назначение сегмента:URG: Имеют смысл данные поля Urgent PointerАСК: Имеют смысл данные поля Acknowledgement NumberPSH: Функция PushRST: Повторно установить соединениеSYN: Синхронизировать номера в последовательностиFIN: Нет больше данных от отправителя• Окно (Window, 16 битов). Обеспечивает управление потоком, указывая количествооктетов (начиная с номера, указанного в поле AcknowledgementNumber), которые должны быть получены целевым компьютером от исходногокомпьютера.Пятое слово• Контрольная сумма (Checksum, 16 битов). Обеспечивает коррекцию ошибокпутем проверки заголовка TCP и полей данных, а также псевдозаголовка,содержащего адрес исходного компьютера, адрес целевого компьютера и названиепротокола из заголовка IP, а также суммарную длину пакета TCP. Псевдозаголовокпозволяет транспортному уровню повторно проверить то, чтодейтаграммы отправлялись соответствующему целевому компьютеру.• Указатель срочных данных (Urgent Pointer, 16 битов). Если установлен управляющийбит URG, то в этом поле указывается местоположение срочных данных(относительно значения Sequence Number данного сегмента).Шестое слово (необязательное)• Параметры (Options, переменной длины). Необязательное поле, которое используетсядля указания максимальной длины сегмента, разрешенной компьютером-отправителемво время квитирования TCP (когда установлен управляющийбит SYN).• Заполнитель (Padding, переменной длины). Нули, используемые для заполненияостатка шестого слова до 32 битов.

348 Windows Server 2003. Полное руководствоАнатомия сеанса TCPЧтобы начать сеанс TCP, одна система-отправитель передает пакет, в котором установленуправляющий бит синхронизации (SYN) и содержится выбранный случайнымобразом порядковый номер. Система-получатель отвечает отправителю пакетом,в котором установлен управляющий бит АСК и указан ее собственныйначальный порядковый номер, и затем возвращает бит синхронизации. Каждая издвух систем поддерживает свою собственную систему нумерации байтов в последовательности,зная также порядковые номера второй системы.Нумерация начинается с первого пакета и непрерывно наращивается обеимисистемами в течение всего соединения TCP. Когда передающий компьютер начинаетпередачу реальных данных, он указывает в каждом пакете порядковый номерпервого байта, содержащего в этом пакете поля данных. Если пакеты поступают кполучателю в неверном порядке, то система-получатель использует эти порядковыеномера для перестановки пакетов в нужном порядке.Во время передачи данных передающая система вычисляет контрольную суммукаждого пакета и помещает результат в соответствующее поле заголовка TCP. Компьютер-получательпересчитывает контрольную сумму для каждого полученногопакета и сравнивает результат со значением поля контрольной суммы. Если значениясовпадают, пакет верифицируется как переданный без ошибок. Закончив отправкуданных, передающий компьютер отправляет пакет с установленным битомFIN, прекращая соединение и заканчивая последовательность.Протокол UDP (User Datagram Protocol)UDP является дешевой альтернативой TCP (с меньшим объемом служебной информации)и применяется в тех случаях, когда гарантированная доставка данныхне является критически важным требованием. Это протокол без установления соединенияс отправкой и обработкой каждого пакета независимо от других пакетов,и для него требуется заголовок, содержащий только два слова. Во время UDP-nepeдачине происходит никакого явного подтверждения полученных пакетов (например,при широковещательной передаче NetBIOS). Ответы на UDP-запросы можновозвращать отправителю, но они обрабатываются на уровне приложений.UDP обычно не используется для передачи больших двоичных файлов данных,когда один неверный бит означает потерю файла. UDP чаще используется для передачикороткого запроса другому компьютеру. Если отправитель не получает никакогоответа, то запрос можно передать еще раз с использованием меньшего суммарногообъема трафика, чем при установлении соединения TCP.Примечание. Некоторые приложения начали использовать UDP для потоковой передачиаудио и видео через Internet, поскольку объем управляющей информации здесьнамного меньше, а также потому, что поток аудио или видео намного проще восстановитьпри случайной потере одного из пакетов, чем для большинства двоичных файлов.Заголовок UDP намного проще и короче, чем заголовок TCP. Он содержит следующуюинформацию.• Первое слово• Исходный порт (Source Port, 16 битов). Указывает номер порта прикладногопроцесса, инициировавшего UDP-передачу (необязательный параметр; заполняетсянулями, если опущен).

Глава 10. Работа в сети с использованием TCP/IP 349• Целевой адрес (Destination Port, 16 битов). Указывает номер порта прикладногопроцесса на целевом компьютере, которому направлена UDP-передача.• Второе слово• Длина (Length, 16 битов). Указывает общую длину пакета UDP в октетах, включаяданные, но исключая заголовок IP и любые фреймы канального уровня.• Контрольная сумма (Checksum, 16 битов). Указывает результат расчета контрольнойсуммы для заголовка UDP и данных плюс псевдозаголовок, содержащийполя IP Source Address, Destination Address и Protocol.Прикладной уровень (Application Layer)В комплект TCP/IP включено много различных протоколов, которые действуютповерх интерфейса Transport Device Interface (TDI). Некоторые из них, такие как ftpи Telnet, сами являются как приложениями, так и протоколами, и включаются вомногие реализации комплекта TCP/IP для предоставления пользователям любойплатформы базовых служб пересылки файлов и эмуляции терминалов со стандартизованныминтерфейсом.Общедоступные уровни. Другие протоколы прикладного уровня используется дляпредоставления определенных услуг TCP/IP программам. Например, протоколSMTP (Simple Mail Transfer Protocol) используется многими программами для отправкиэлектронной почты через сети TCP/IP. Другие протоколы, такие как DNS(Domain Name System), предоставляют более «обобщенные» услуги. DNS используетсямногими приложениями для разрешения (преобразования) хост-имен интернетав IP-адреса.Скрытые уровни. Хотя приводившиеся до сих пор примеры достаточно хорошо известны,некоторые прикладные протоколы действуют почти невидимо для пользователя.Например, протокол RIP (Routing Information Protocol) рассылает другим компьютерамв сети информацию, которая помогает им принимать более обоснованныерешения по маршрутизации.Как действует прикладной уровень. Прикладные протоколы логически ближе всего кпользовательскому интерфейсу, и они часто используются непосредственно с процессом,который генерирует запросы сетевых ресурсов. При обработке такого запросаон передается вниз по уровням сетевого стека и инкапсулируется с помощьюразличных протоколов, которые описаны в предыдущих разделах.Так, если вы подсоединяетесь к серверу ftp в интернете, чтобы загрузить с негофайл, этот сервер ftp в удаленном сайте выполняет доступ к данному файлу и создаетпакет, добавляя к нему заголовок прикладного протокола FTP. Весь пакет затемпередается вниз транспортному уровню, где он становится полем данных в пакетеTCP. На сетевом уровне пакет делится на блоки нужного размера для передачи черезсеть. К каждому из них добавляется заголовок IP, после чего эти пакеты можноназвать набором дейтаграмм.За исключением небольших изменений в заголовках IP во время передачи этихдейтаграмм они не открываются, пока не поступят в место назначения. Пока онинаходятся в сети, самый внешний уровень пакетов данных, фрейм канального уровня,может изменяться несколько раз во время перемещения пакетов от сервера ftp квашей рабочей станции. Дейтаграммы могут поступить на ваш компьютер в оболочкепакетов Ethernet, и они могут даже уйти в таком виде с сервера ftp, а «по дороге»между исходной и конечной системами может быть 20 или больше шлюзов, гдеработает огромное количество различных протоколов канального уровня.

350 Windows Server 2003. Полное руководствоПосле того как пакеты прибыли на ваш компьютер, процесс начинается в обратномпорядке. IP передает дейтаграммы вверх протоколу TCP (который указан взаголовке IP), где они собираются в нужном порядке и направляются протоколуFTP (который определен номером его порта в заголовке TCP), который записываетполученный файл на ваш жесткий диск.Все описанные в предыдущих разделах протоколы TCP/IP действуют совместнодля передачи данных через сеть. По умолчанию Windows Server 2003 устанавливаетих как часть стека сетевого обмена данными. В Windows Server 2003 часто ссылаютсяна TCP/IP как на один протокол, хотя на самом деле применяется целое семействопротоколов.Установка и конфигурирование TCP/IPTCP/IP стал предпочтительным протоколом со времен Windows NT 4, и он устанавливаетсяво время установки самой операционной системы. Однако в Windows Server2003 TCP/IP является необходимым условием вашего входа, использования ActiveDirectory (AD), DNS (Domain Name System) и многого другого. Стек TCP/IP вWindows Server 2003 содержит поддержку всех протоколов, описанных в предыдущихразделах, а также большой набор служб и утилит, которые позволяют вам использоватьTCP/IP, управлять им и устранять проблемы TCP/IP. Windows Server 2003поставляется вместе с многими службами TCP/IP, которые помогают администрироватьбольшое число пользователей TCP/IP в сети.Кроме того, TCP/IP можно устанавливать и после установки операционной системы,для чего нужно щелкнуть на кнопке Add на странице Local Area ConnectionsProperties. Если вы использовали для взаимодействия с другими Windows-компьютерамивашей локальной сети другие протоколы, такие как NetBEUI, то я настоятельнорекомендую удалить их после того, как вы сконфигурируете все ваши машиныдля использования TCP/IP. Практика показывает, что число используемыхпротоколов должно быть сведено к минимуму.После установки TCP/IP (в процессе установки операционной системы или спомощью страницы Local Area Connections Properties) вы должны задать информацию,необходимую для идентификации вашей машины и ее подготовки к взаимодействиюс остальными машинами сети TCP/IP. В Windows Server 2003 включаетсяDHCP (Dynamic Host Configuration Protocol), позволяющий использовать какойлибокомпьютер Windows Server 2003 для автоматического предоставления вашимкомпьютерам всех настроек конфигурации TCP/IP, которые им требуются. Использованиесервера DHCP, который описывается в гл. 11, означает, что вы можете незнакомиться с настройками конфигурации, которые описываются в следующих разделах.Но чтобы вы полностью знали возможности TCP/IP, я опишу настройки,необходимые для эффективного обмена данных с помощью TCP/IP, а также использованиеэтих настроек компьютерами для взаимодействия с сетью.Настройки, необходимые для использования TCP/IP в Windows Server 2003, конфигурируютсяна странице Internet Protocol (TCP/IP) Properties каждого сетевогоустройства:• IP-адрес• Маска подсети• Шлюз по умолчанию• Предпочтительные и альтернативные серверы DNS

Глава 10. Работа в сети с использованием TCP/IP 351IP-адресIP-адрес - это средство, с помощью которого компьютеры идентифицируются всети TCP/IP. Он идентифицирует сам хост, а также сеть, где находится этот хост.Каждому компьютеру должен быть назначен адрес, который является уникальнымдля данной сети, чтобы дейтаграммы доставлялись однозначным образом.Примечание. В сети TCP/IP термин «хост» не обязательно является синонимом компьютера.Хост - это сетевой интерфейс, и на одном компьютере может быть несколькосетевых интерфейсов. В таком случае каждый хост должен иметь свой собственныйIP-адрес.IP-адреса содержат 32 бита и представляются в виде четырех разделенных точкамидесятичных значений от 0 до 255 (по 8 бит каждое). Например, IP-адрес192.168.1.146 эквивалентен следующему двоичному представлению11000000.10101000.00000001.10010010Если ваша сеть не подсоединена к интернету, то сетевые адреса могут назначатьсяотдельным хостам сетевыми администраторами. Это могут быть любые допустимыекомбинации чисел, и каждый назначенный адрес должен быть уникальнымдля данной сети. Такая сеть называется незарегистрированной, поскольку онаорганизована только в пределах вашего предприятия.Но если ваша сеть подсоединена к интернету, то вы должны иметь одну илинесколько машин с зарегистрированными IP-адресами. Чтобы избежать дублированияадресов, вы должны регистрировать хосты интернета с помощью какой-либоуполномоченной организации интернет. В частной сети могут быть зарегистрированныеадреса у всех хостов или может поддерживаться незарегистрированная сетьдля внутренних пользователей и регистрироваться те машины, которые доступнынепосредственно из интернета, например, серверы World Wide Web и ftp. В такомслучае пользователи с незарегистрированными IP-адресами обычно выполняютдоступ в интернет через брандмауэр или прокси-сервер, который препятствует несанкционированномудоступу к локальной сети из внешних машин.Конфигурируя компьютер для использования TCP/IP, вы должны использовать дляэтого запланированную группу адресов или использовать сервер DHCP Windows Server2003, который назначает адреса автоматически из заданного вами пула адресов.Внимание. Ни в коем случае нельзя выбрать произвольный IP-адрес, чтобы простопосмотреть, как он действует. Конфликты IP-адресов - это наиболее распространеннаяпроблема в сетях TCP/IP, и ее труднее всего устранить. Помните, что IPадрес,который вы просто «заимствуете», может принадлежать другому компьютеру,и стек IP-адресов отключается в случае появления дубликатов.Маска подсетиМаска подсети — это, может быть, наиболее сложный для понимания параметр конфигурированияTCP/IP. Люди видят значения, назначенные маске подсети, например,255.255.255.0, и путают их с реальными IP-адресами.На самом деле маска подсети основывается на очень простом принципе. В предыдущемразделе говорилось, что IP-адрес идентифицирует как сеть, так и конк-

352 Windows Server 2003. Полное руководстворетный хост в этой сети. Единственное назначение маски подсети - это обозначить,какая часть IP-адреса идентифицирует сеть, в которой находится данный хост,и какая часть идентифицирует сам хост.Это проще понять, если рассматривать маску подсети в двоичном виде. Все IPадреса- это 32-битные двоичные значения. Они записываются в десятичной форметолько из соображений удобства. Маска подсети 255.255.255.0 выглядит следующимобразом в двоичном виде:11111111.11111111.11111111.00000000Это означает для IP-адреса, связанного с этой маской, что все цифры со значением1 идентифицируют сеть, а все нули идентифицируют хост в этой сети (единицымаскируют идентификатор сети). Таким образом, если IP-адрес машины -123.45.67.89, то 123.45.67 идентифицирует сеть, и 89 идентифицирует хост.Типы IP-адресовЕсли вы поняли, для чего используется маска подсети, то дальше логично спросить,почему для идентификации различных сетей требуется различное количество цифр.Ответ на этот вопрос, как и на большинство вопросов по TCP/IP, нужно искать винтернете. Протоколы TCP/IP разрабатывались для структуры, которая теперь называетсяинтернет. Хотя никто не ожидал столь стремительного роста интернета,эту структуру разрабатывали как сеть с высокой степенью масштабируемости, длякоторой требуется минимум централизованного администрирования.Разработчики TCP/IP понимали даже в то время, что идея регистрации уникальногоадреса для каждого хоста в сети с помощью некоторого административногооргана непрактична. Это потребовало бы слишком больших затрат. Поэтому онирешили, что будут регистрироваться только сети и что администраторы сетей будутотвечать за поддержку назначений IP-адресов отдельным хостам.Для регистрации отдельных сетей было создано три различных класса сетей,определяющихся количеством хостов, подсоединенных к интернету. В таблице 10.2приводятся эти классы вместе с их маской подсети, максимальным количествомвозможных сетей для каждого класса и количеством уникальных адресов хостов водной сети, доступных для каждого класса.Примечание. Имеется два дополнительных класса - D и Е. Адреса класса D обычноиспользуются для групповых сообщений, адреса класса Е зарезервированы для экспериментальногоиспользования.На практическом уровне это означает, что если вы хотите зарегистрировать своюсеть для ее подсоединения к интернету, то можете получить, например, адрес классаС от какого-либо уполномоченного органа интернет. Он назначит вам сетевойадрес, который вы будете использовать для первых трех октетов своих IP-адресов,например, 199.45.67. После этого вы можете назначать произвольным образом 254возможных значения четвертого октета без дублирования. Маска подсети на всехваших машинах - 255.255.255.0, что означает использование только последнего октетадля идентификации хоста.Если в вашей сети больше 254 узлов, то вам потребуется получить еще один адрескласса С. Если у вас достаточно большая сеть, то вы можете получить адрескласса В, что позволит поддерживать до 65534 хостов. После этого вы сможете саминазначать адреса из последних двух октетов и использовать маску подсети 255.255.0.0.

Глава 10. Работа в сети с использованием TCP/IP 353Табл. 10.2. Характеристики классов адресовКлассадресаМаска подсетипо умолчаниюКоличество сетейКоличество хостовАВС255.0.0.0255.255.0.0255.255.255.01261638420971521677721465534254ПонятиеподсетиМаскирование подсети иногда сложнее, чем приведенные выше примеры. Разделениемежду сетью и хостом в IP-адресе не всегда происходит строго по октетам.Подсеть — это просто логическое разбиение, налагаемое на сетевой адрес в организационныхцелях. Например, в большой корпорации, имеющей зарегистрированныйсетевой адрес класса В, маловероятно, чтобы ее узлам присваивались адресапутем последовательной нумерации от 0.0 до 255.255.Более практичный сценарий - это разбиение сети на подсети, которое обычноосновывается на схеме кабельных соединений между помещениями. При созданииподсетей, соответствующих сетям, из которых состоит предприятие, задачу созданияи поддержки IP-адресов можно разделить между администраторами, ответственнымиза каждую сеть.Поэтому при таком сценарии адрес сети класса В определяет значения первыхдвух октетов в IP-адресе, а подсеть определяет значение третьего октета, позволяяиспользовать четвертый октет для идентификации хостов. Этой ситуации соответствуетмаска подсети 255.255.255.0, поскольку первые три октета определяют адрессети, и при этом не имеет значения, зарегистрирован он или не зарегистрирован.Предположим, однако, что у вас имеется адрес класса С и вы находитесь в тойже ситуации. Первые три октета ваших IP-адресов определяются зарегистрированнымадресом сети, но вы хотите создать подсети, поскольку ваши рабочие станциинаходятся в различных сегментах сети. Вы тоже можете сделать это, если представитесебе маску подсети в двоичном виде. Вместо использования маски подсетикласса С по умолчанию вы можете выделить несколько битов четвертого октета тожедля адреса сети, например:11111111.11111111.11111111.11110000Если преобразовать этот адрес в десятичную форму, то мы получим маску подсети255.255.255.240. Это позволяет определить до 14 адресов сетей (но не 16, поскольку значения0000 и 1111 не допускаются), содержащих до 14 хостов каждая. Вы можете изменятьмаску, чтобы иметь большее количество сетей или большее количество хостов.Чтобы назначать адреса сетей и хостов с помощью этого метода, имеет смысл записыватьподходящие значения в двоичной форме и затем преобразовывать их в десятичнуюформу во избежание ошибок. Поскольку немногие из нас могут считать в двоичнойсистеме, большинству для выполнения этой задачи требуется калькулятор.В большинстве случаев значение маски подсети для вашей рабочей станции предоставляетсявам вместе с IP-адресом — вручную или сервером DHCP, особенно присложной организации подсетей. Напомним, однако, что разбиение на подсети - этолокальная задача, то есть занятие для администратора. Приложения TCP/IP работаютс IP-адресами одинаковым образом - независимо от битов, которые используютсядля идентификации сети.12-3994

354 Windows Server 2003. Полное руководствоШлюз по умолчаниюШлюз по умолчанию на странице Internet Protocol (TCP/IP) Properties - это адрес шлюзав вашем локальном сегменте сети, который обеспечивает доступ к остальной части интерсети.Шлюзом может быть компьютер, коммутатор (switch) или маршрутизатор, соединяющийдва или более сегментов вашей сети. Вы можете иметь более одного шлюзав своем локальном сегменте, но когда один из ваших компьютеров пытается установитьсоединение с компьютером в другой сети (например, в интернете), он используетпо умолчанию именно тот шлюз, который задан как шлюз по умолчанию.Если получается, что вы подсоединяетесь к другим компьютерам в локальнойсети, но не в других сетях, то, скорее всего, вы задали неверное значение для шлюзапо умолчанию или этот шлюз неверно работает.Использование шлюза по умолчанию для доступа к определенному местоположениюможет быть автоматически переопределено на вашей рабочей станции в результатеполучения сообщения переадресации ICMP, содержащего адрес другогошлюза, обеспечивающего более эффективный маршрут к этому местоположению.Расширенная IP-адресацияКомпьютер может иметь более одного сетевого интерфейса, каждый из которыхдолжен иметь свои собственные настройки конфигурации TCP/IP. Страница InternetProtocol (TCP/IP) Properties окна Local Area Connection Properties содержит списоквыбора, где можно выбрать один из сетевых адаптеров, установленных на вашеймашине, чтобы вы могли задать различные настройки для каждого из них.Для компьютеров с системой из семейства Windows Server 2003 вы можете назначитьболее одного IP-адреса для одного сетевого адаптера. Если щелкнуть накнопке Advanced на странице Internet Protocol (TCP/IP) Properties, то появится диалоговоеокно Advanced TCP/IP Settings. Во вкладке IP Settings вы можете ввестидополнительные IP-адреса для каждого установленного сетевого адаптера.Наиболее распространенный сценарий, при котором одному адаптеру на компьютереWindows Server 2003 назначают несколько адресов, это машина, используемаякак сервер в интернете. Вы можете, например, запустить сервер World WideWeb (WWW), использующий IIS на машине Windows Server 2003, непосредственноподсоединенной к интернету, и держать на нем веб-сайты для различных заказчиков,снабдив каждый сайт его собственным IP-адресом. Пользователи интернетамогут выполнять доступ к различным сайтам, которые связаны с каждым из этихIP-адресов, не зная, что все эти сайты находятся на одной машине.Вкладка IP Settings диалогового окна Advanced TCP/IP Settings позволяет такжезадавать адреса дополнительных шлюзов для каждого адаптера. Но в отличие отдополнительных IP-адресов, которые остаются активными одновременно, дополнительныешлюзы используются (в заданном порядке) только в том случае, когдашлюз по умолчанию недоступен.Предпочтительные и альтернативные серверы DNSЕсли вы переходите к Windows Server 2003 из Windows NT, то увидите, что DNS используетсянамного больше, чем это было раньше. Вы, возможно, привыкли, чтоDNS в основном используется для разрешения внешних имен, а для взаимодействияс другими компьютерами в вашей сети используются NetBIOS и WINS, но неDNS.

Глава 10. Работа в сети с использованием TCP/IP 355Разрешение имён выполняется в Windows Server 2003 исключительно с помощьюDNS (фактически это началось с Windows 2000). Каждый раз, когда вы запрашиваетеконтакт с другим компьютеров в вашей сети или в интернете, именно службаDNS обеспечивает необходимое преобразование имени в IP-адрес.В результате зависимости Windows Server 2003 от DNS вы должны сконфигурироватьвсе компьютеры своей сети для использования предпочтительного сервераDNS. Рекомендуется также задать альтернативный сервер DNS, но это не обязательно.Вы можете ввести IP-адреса предпочтительного и вторичного серверов DNSвручную или разрешить серверу DHCP передавать эту информацию клиентам. Гл.12 содержит более подробное описание DNS в Windows Server 2003.Понятие о регистрации и разрешении именКогда речь идет о сетевом обмене информацией, протоколы TCP/IP полностью основываютсяна IP-адресах для идентификации других компьютеров. Кроме того,для идентификации сетевых компьютеров используются хост-имена и именаNetBIOS, чтобы компьютерам было проще устанавливать контакт друг с другом.Но невозможно запомнить IP-адрес каждого компьютера или каждого веб-сайта, скоторыми вы хотите устанавливать контакт.В операционных системах Microsoft до Windows 2000 сетевой обмен всегда основывалсяна именах NetBIOS. Система Windows Server 2003 продолжает поддерживатьимена NetBIOS для совместимости, но она разработана для использования впервую очередь хост-имен, а не имен NetBIOS. В любом случае требуется метод,позволяющий устанавливать соответствие между этими именами и IP-адресами.Для выполнения этих задач вы можете использовать различные методы с различнымиуровнями сложности, но все они могут быть сведены к базе данных, содержащейэти имена и эквивалентные IP-адреса. Отличия в этих механизмах определяютсяметодами, которые используются для внесения информации в эту базуданных (регистрация имен) и способами считывания информации (разрешениеимен).Если у вас действует сеть Windows Server 2003 с клиентами более ранних версийWindows (до Windows 2000), то вам нужно иметь как минимум два различных механизмаразрешения имен. Хост-имена и имена NetBIOS всегда обрабатываются отдельнов этом отношении, даже если на компьютере эти имена совпадают. Если ввашей сети нет клиентов более ранних версий Windows или приложений на основеNetBIOS, то вы можете не поддерживать имена NetBIOS.• Имеющиеся механизмы для хост-имен — это файл HOSTS и служба доменныхимена (DNS).• Имеющиеся механизмы для имен NetBIOS - это широковещательные сообщенияв сети (Network Broadcasts), средства WINS и файл LMHOSTS.Все Windows-компьютеры применяют по крайней мере один из этих механизмовво время любого обмена данных TCP/IP, где используются имена, а не IP-адреса.Понимание того, как они действуют, поможет вам максимально повысить эффективностьвашей сети, свести к минимуму сетевой трафик и справляться спроблемами передачи данных. Для более полного ознакомления с такими понятиями,как хост-имена, доменная иерархия, DNS и т.д. обратитесь к гл. 12.12*

356 Windows Server 2003. Полное руководствоИспользование файла HOSTSСамый простой способ разрешения хост-имен - это ведение таблицы этих имен исоответствующих им IP-адресов. Этой задаче отвечает файл HOSTS - ASCII-файл,который хранится на локальном жестком диске и в котором слева содержатся IPадресаи справа хост-имена. Если пользователь передает в какое-либо приложениехост-имя, это приложение ищет его в файле HOSTS. Если это имя найдено, то эквивалентныйему IP-адрес используется для создания сетевого соединения. Еслиимя не найдено, то соединение не может быть установлено.Хотя в это трудно поверить, но в свое время услуги разрешения имен для всегоинтернета предоставлялись с помощью одной таблицы HOSTS, содержащей тысячизаписей, которые должны были регулярно скачиваться пользователями интернетадля обновления их файла. Проблемы использования этого метода очевидны.Вставку имен и адресов в файл для их регистрации можно выполнять только вручную.Пользователи или администраторы должны по отдельности изменять или обновлятьфайл HOSTS на каждом сетевом компьютере, чтобы включить имя и адрескаждого хоста, к которому нужно обращаться по имени. Кроме того, число записейрастет, файл быстро увеличивается в размерах, что начинает влиять на скоростьразрешения имен. Вообразите, что вам приходится управлять файлом HOSTS с сотнямиили тысячами записей для отображения имен в IP-адреса. Каждое изменениеэтого файла потребовало бы обновления на всех компьютерах сети, то есть пересылкифайла HOSTS каждому из них.Использование системы доменных имен (DNS)Система доменных имен (DNS - Domain Name System) - это наиболее распространенныйметод разрешения хост-имен интернет, поскольку он позволяет пользователямподсоединяться к любому сайту в Internet по имени. Это может показатьсяневероятно трудным, особенно в свете роста интернета за последние несколько лет,но DNS использует доменную структуру хост-имен интернет и, конечно, являетсяосновной причиной ее использования.Система доменных имен состоит из тысяч серверов DNS, распределенных повсей сети интернет. Если вы регистрируете какое-либо доменное имя, то должныобязательно указать основной (primary) и резервный (backup) сервер DNS. Их называютдоверяемыми (authoritative) серверами для вашего домена. Сервер DNS — этодемон UNIX или служба Windows, отвечающая за поддержку и публикацию базыданных хост-имен и адресов в ее собственном домене.Серверы DNS какого-либо домена не обязательно должны находиться в его собственнойсети, и действительно, многие провайдеры услуг интернета (ISP) поддерживаютслужбы веб-хостинга, в которых они предоставляют использование их серверовDNS за плату. Здесь важно то, что уполномоченный орган интернет или другаяорганизация, зарегистрировавшая имя этого домена, имеет запись для серверов DNS,ответственных за хосты этого домена.Поскольку администраторы отдельных сетей отвечают за назначение хост-именв своих доменах, они также должны обеспечивать поддержку записей DNS для этихимен. Удивительно, но регистрация хост-имен домена на его серверах DNS - этотакая же ручная операция, как и для файла HOSTS. Например, если вы добавляетеновый сервер ftp к своей сети, то должны вручную добавить или изменить ресурснуюзапись DNS, указав имя и адрес новой машины.

Глава 10. Работа в сети с использованием TCP/IP 357Однако в Windows Server 2003 была принята новая технология - динамическаярегистрация компьютеров вместо утомительного ручного обновления ресурсныхзаписей. Клиенты могут сделать так, чтобы их ресурсные А-записи (адресные записидля хостов) и PTR-записи (указатели для обратного поиска) регистрировалисьавтоматически сервером DNS. Кроме того, DNS Windows Server 2003 может бытьинтегрирована с Active Directory (AD), что повышает уровень безопасности, улучшаетрепликацию базы данных DNS, администрирование и много другое. DNS исвязанные с ней темы подробно описываются в гл. 12.Имена NetBIOSХотя NetBIOS больше не является обязательным компонентом в сети Windows Server2003, она важна для обратной совместимости с предыдущими системами Windows,такими как Windows 9x и Windows NT, где для обмена данных используется NetBIOS,а также с приложениями, которые используют NetBIOS.NetBIOS — это программный интерфейс, который использовался на протяжениимногих лет для предоставления возможностей сетевого обмена приложениям.Некоторые возможности исходной архитектуры Windows NT, встроенные в WindowsServer 2003, полностью основывались на системе именования NetBIOS для именованиядругих компьютеров в сети.Имя NetBIOS содержит до 16 символов, последний из которых регистрируется вWindows для идентификации конкретных функций определенных компьютеров,например, контроллеров домена или браузеров. Если включена служба NetBIOS, токаждому компьютеру операционной системой присваивается имя NetBIOS. Это имяможет совпадать или не совпадать с именем входа пользователя или хост-именемкомпьютера. Вы используете имена NetBIOS, когда вводите UNC-имя пути, указывающеекакой-либо узел сети Windows.NetBIOS уже не является обязательным компонентом, если у вас нет клиентовболее ранних версий Windows или зависящих от NetBIOS приложений, но это всееще составная часть сетевых средств Windows. Службы Workstation и Server, которыезапускаются на всех компьютерах Windows Server 2003/2000, используют какNetBIOS, так и непосредственный хостинг (direct hosting) для предоставления базовыхуслуг разделяемого доступа к файлам, которые запрашиваются какой-либо операционнойсистемой. Непосредственный хостинг - это протокол, который используетдля разрешения имен DNS, а не NetBIOS. По умолчанию задана конфигурация,в которой включены как NetBIOS, так и непосредственный хостинг, которые используютсяодновременно при разрешении имен для новых соединений с другимимашинами.Поскольку NetBIOS запускается поверх интерфейса Transport Device Interface(TDI), она может теоретически использовать любые совместимые протоколы длясвоих нужд низкоуровневого взаимодействия. Первоначально операционные системы,предшествовавшие Windows 2000, использовали для трафика NetBIOS интерфейсNetBEUI (NetBIOS Extended Use Interface). Однако NetBEUI не является маршрутизируемым,поэтому, когда в качестве альтернативы был предложен TCP/IP,была начата разработка открытого стандарта (опубликованного в дальнейшем в видедокумента RFC), чтобы определить способ, посредством которого можно было быпредоставлять услуги NetBIOS, используя протоколы TCP/IP. Этот стандарт получилназвание NetBIOS over TCP/IP, или NetBT.Стандарт NetBT определяет два вида служб - службы сеансов и дейтаграмм.Службы сеансов используют TCP для обеспечения полностью надежной ориенти-

358 Windows Server 2003. Полное руководстворованной на соединения службы передачи сообщений, а службы дейтаграмм используютпротокол UDP, который требуют небольшого объема служебной информациии имеет не очень высокую надежность.В запросах к сетевым службам, которые генерируются интерфейсом NetBIOS,для обращения к другим системам используются NetBIOS-имена компьютеров. ЧтобыTCP/IP мог передавать запросы через сеть, имена NetBIOS (аналогично хостименам)должны быть сначала разрешены (преобразованы) в IP-адреса.Поскольку имена NetBIOS преобразуются в IP-адреса до передачи данных, товы можете использовать их вместо хост-имен во внутренних сетях. Например, чтобыподсоединиться к веб-серверу интранет, пользователь может задать NetBIOSимяэтого сервера вместо обычного хост-имени. Аналогичным образом, вы можетеиспользовать хост-имя в UNC-пути вместо NetBIOS-имени.Типы узловИмеется несколько различных методов, посредством которых компьютеры могутрегистрировать и разрешать свои имена NetBIOS в сети Windows Server 2003/2000.Эти методы варьируются по своим возможностям и эффективности. Для поискамашины с определенным NetBIOS-именем компьютер может использовать сетевыешироковещательные сообщения, может обращаться к серверу имен NetBIOS(NBNS) в своей сети (например, к серверу WINS) или использовать таблицу поискав локально хранящемся файле LMHOSTS).В стандарте NetBT определены несколько типов узлов, которые указывают, какиеметоды и в каком порядке должен использовать компьютер. Типы узлов присваиваютсяклиентам сервером DHCP или определяются параметрами TCP/IP, заданнымив конфигурации клиента. В стандарте NetBT определяются следующиетипы узлов.• В-узел. Клиент использует широковещательные сообщения в сети как для регистрации,так и для разрешения имен.• Р-узел. Клиент направляет отдельное сообщение для регистрации или разрешенияимени серверу имен NetBIOS.• М-узел. Клиент использует широковещательные сообщения для регистрацииимен; для разрешения имен клиент использует сначала широковещательные сообщения,и если это не дает результата, то он направляет запросы серверу именNetBIOS.• Н-узел. Клиент направляет отдельное сообщение регистрации или разрешенияимени серверу имен NetBIOS (NBNS); если NBNS недоступен, то клиент используетшироковещательные сообщения, пока не будет восстановлено соединениес NBNS.Сначала операционные системы, предшествовавшие Windows 2000, использовалидля регистрации и разрешения имен расширенную службу В-узла. Служба считаласьрасширенной, так как при невозможности разрешения имени с помощьюшироковещательных сообщений в качестве альтернативы использовался файлLMHOSTS данного компьютера. Это позволяло пользователям обращаться к компьютерамв других сегментах сети, если эти компьютеры были вручную внесены вфайл LMHOSTS.В Windows Server 2003 по-прежнему включена служба WINS как сервер именNetBIOS, в базе данных которого хранятся имена NetBIOS и IP-адреса для всейинтерсети, что позволяет предоставлять эту информацию пользователям всего пред-

Глава 10. Работа в сети с использованием TCP/IP 359приятия. Компьютеры с более ранними версиями Windows описываются как расширенныеН-узлы. Эти компьютеры сначала пытаются разрешать имена NetBIOS спомощью WINS, обращаясь к широковещательным сообщениям, если WINS не даетрезультата или недоступна, и затем обращаются к файлу LMHOSTS, если не удаетсяполучить разрешение имени с помощью широковещательных сообщений.Регистрация имен NetBIOSСтандарт NetBT требует, что когда машина с более ранней версией Windows выполняетвход в сеть, ее NetBIOS-имя должно быть зарегистрировано, чтобы никакойдругой компьютер не мог использовать дублированное имя и чтобы был правильнозадан IP-адрес. Если вы переводите рабочую станцию в другую подсеть и вручнуюизменяете ее IP-адрес, то процесс регистрации обеспечивает, что другие компьютерыи серверы WINS будут знать об этом изменении.Метод регистрации имени, используемый рабочей станцией, зависит от ее типаузла. Для регистрации имен В-узлов и М-узлов используются широковещательныесообщения, в то время как Н-узлы и Р-узлы направляют запросы регистрации непосредственносерверу WINS. Эти два метода описываются в следующих разделах.Один из этих двух методов используется любым компьютером с более ранней версиейWindows, который подсоединяется к сети.Регистрация имен с помощью широковещательных сообщенийВ-узлы и М-узлы, использующие широковещательные сообщения для регистрацииимен NetBIOS, не выполняют регистрацию в том смысле, как это делают узлы другихтипов. Это имя не вводится в какую-либо таблицу и не сохраняется на другихкомпьютерах сети. Вместо этого данный компьютер использует широковещательныесообщения, чтобы «объявить» свое имя NetBIOS и проверить, не используетсяли уже это имя каким-либо другим компьютером.Процесс регистрации начинается при входе данного компьютера в сеть. Он распространяетс помощью протокола UDP набор широковещательных сообщенийNAME REGISTRATION REQUEST (запрос регистрации имени), содержащих егопредлагаемое имя NetBIOS и его IP-адрес. Если это имя уже используется какойлибодругой машиной в данной сети, то эта машина передает отдельное сообщениеNEGATIVE NAME REGISTRATION RESPONSE (отрицательный ответ на запросрегистрации имени) по IP-адресу запрашивающего компьютера. Тем самым происходитотказ запроса регистрации. Запрашивающий компьютер должен выбрать другоеимя и выполнить новую попытку регистрации.Если компьютер не получает никакого ответа на повторяющиеся попытки рассылкипакетов NAME REGISTRATION REQUEST в течение заданного периодавремени, то он передает сообщение NAME OVERWRITE DEMAND (требованиеперезаписи имени), объявляя, что он успешно зарегистрировал свое имя. Этот компьютертеперь должен отвечать на любые запросы, направляемые другими компьютерамипо данному NetBIOS-имени.Как и все широковещательные сообщения, эти сообщения регистрации имениограничены локальным сегментом сети. Это означает, что компьютеры в других сетевыхсегментах могут использовать то же NetBIOS-имя. Это представляет очевиднуюпроблему. Только тщательная работа администраторов сети может воспрепятствоватьконфликтам имен и неверной адресации пакетов. Эта опасность, а также излишнийсетевой трафик, вызываемый отправкой широковещательных сообщений, являютсяпричинами для создания сервера WINS как средства регистрации имен.

360 Windows Server 2003. Полное руководствоРегистрация имен с помощью WINSКлиентский компьютер WINS начинает процедуру регистрации имени с генерациитого же пакета NAME REGISTRATION REQUEST, что и при широковещательнойпередаче. Но на этот раз пакет отправляется как отдельное сообщение непосредственносерверу WINS, указанному во вкладке WINS Configuration диалогового окнаTCP/IP Properties. Если никакой другой компьютер не использует это имя, то серверWINS возвращает отправителю POSITIVE NAME REGISTRATION RESPONSE(положительный ответ на запрос регистрации имени) и записывает данное имяNetBIOS и IP-адрес в свою базу данных.Если сервер WINS обнаруживает, что данное имя NetBIOS уже зарегистрированодругим компьютером, то сервер WINS отправляет этому компьютеру сообщениеNAME QUERY REQUEST (запрос имени), чтобы он «защитил» свое зарегистрированноеимя. Если этот обладатель имени не отвечает или отправляет ответNEGATIVE NAME QUERY RESPONSE (отрицательный ответ на запрос имени), тосервер WINS регистрирует это имя для нового компьютера и отправляет ему сообщениеPOSITIVE NAME REGISTRATION RESPONSE. Если запрашиваемый обладательимени отправляет ответ POSITIVE NAME QUERY RESPONSE (положительныйответ на запрос имени), это означает, что он успешно «защитил» свое имя.В этом случае сервер WINS отправляет новому компьютеру сообщение NEGATIVENAME REGISTRATION RESPONSE, информируя, что ему отказано в попытке регистрации.Когда сервер WINS успешно регистрирует определенное имя NetBIOS, он назначаетдату истечения срока регистрации в форме значения TTL (time-to-live).Каждый раз, когда компьютер выполняет вход в сеть, это значение обновляется.Пока не истечет этот период времени, любая попытка зарегистрировать данноеNetBIOS-имя будет отклоняться. Но если за этот период времени не будет выполненони одного входа, то данное NetBIOS-имя будет освобождено и может бытьназначено снова сервером WINS без запроса какого-либо компьютера. Если данноеимя остается неиспользованным в течение указанного периода времени, то объявляетсякак вышедшее из употребления и стирается из базы данных WINS.Отметим, что вся транзакция проводится с помощью отдельных сообщений,направляемых между компьютерами. Здесь нет потока широковещательных сообщений,переполняющих сеть, и это является одним из главных преимуществ WINS.Разрешение имен NetBIOSЕсли включена система NetBIOS, то на всех компьютерах Windows поддерживаетсякэш имен NetBIOS, разрешение которых они уже выполняли. Когда компьютерутребуется разрешение NetBIOS-имени, то сначала происходит обращение к кэшу.Если это имя не найдено в кэше, то далее используется метод, определяемый типомузла данного компьютера.• Клиент, не использующий WINS, отправляет широковещательные сообщениядля разрешения имени, и в случае неудачного результата обращается к локальномуфайлу LMHOSTS.• Клиент WINS может использовать для разрешения имен NetBIOS любой из имеющихсяметодов. Сначала он использует кэш имен NetBIOS, затем обращаетсяк серверу WINS. Если сервер WINS не дает результата, то происходит рассылкашироковещательных сообщений, и в случае неудачного результата происходитобращение к файлу LMHOSTS.

Глава 10. Работа в сети с использованием TCP/IP 361В следующих разделах дается описание возможных методов разрешения именNetBIOS в том порядке, как они использовались бы на компьютере, поддерживающемWINS.Кэш имен NetBIOS. Во время каждого сетевого сеанса клиентский компьютер сохраняетв кэше памяти все имена NetBIOS, для которых было успешно выполнено разрешение,чтобы их можно было использовать повторно. Поскольку кэш хранится впамяти, его использование является самым быстрым и эффективным способом разрешенияимен. Это первый ресурс, к которому обращаются узлы всех типов, когдаим требуется разрешение какого-либо имени. Вы можете увидеть текущее содержимоекэша имен NetBIOS вашего компьютера, набрав nbtstat -с в командной строке.Разрешение имен WINS. WINS - это средство на уровне сети предприятия для регистрациии разрешения имен NetBIOS. Это единственный механизм, доступный сетиWindows Server 2003/2000, который автоматически поддерживает базу данныхNetBIOS-имен сети и соответствующих им IP-адресов. В отличие от широковещательныхсообщений служба WINS использует только отдельные сетевые сообщения,что позволяет ей работать независимо от границ между сегментами сети. Использованиеотдельных сообщений WINS позволяет существенно сократить объемсетевого трафика, который возникает за счет операций разрешения имен NetBIOS.WINS поставляется вместе с Windows Server 2003, и она функционирует как служба.В ваш комплект администрирования включена оснастка WINS, которая позволяетвам управлять всеми серверами WINS в сети вашего предприятия из одной центральнойточки. Для повышения скорости (а также отказоустойчивости) вы можетезапускать в сети предприятия несколько серверов WINS. Базы данных WINS могутавтоматически реплицироваться через заранее заданные периоды времени или вуказанные моменты дня. Вы можете запланировать репликацию WINS через каналыглобальной сети (WAN) на периоды низкого уровня трафика, создавая тем самымунифицированную базу данных для распределенной по всему миру сети.WINS также позволяет своим клиентам выполнять навигацию среди машин другихсегментов сети, не запрашивая услуг главных браузеров в этих сетях. Это позволяетпользователям взаимодействовать с другими машинами в удаленных сайтах,не занимая канал глобальной сети трафиком браузера.Если клиенту WINS требуется разрешение имен NetBIOS, то он отправляет отдельноесообщение NAME QUERY REQUEST первому серверу WINS, указанномуна странице WINS Address диалогового окна TCP/IP Properties. Затем сервер WINSотвечает сообщением POSITIVE NAME QUERY RESPONSE, содержащим запрашиваемоеимя и соответствующий IP-адрес, или сообщением NEGATIVE NAMEQUERY RESPONSE, указывающим, что в базе данных нет записи с этим именем.Если имеется некоторая задержка с ответом на запрос, сервер WINS отправляетклиенту пакеты WACK (WAIT FOR ACKNOWLEDGEMENT RESPONSE - ожидатьподтверждающего ответа), чтобы клиент не перешел к использованию следующегометода разрешения имен.Если сервер WINS не может выполнить разрешение имени, отправив отрицательныйответ или не отправив никакого ответа, то клиент обращается к вторичному(резервному) серверу WINS и повторяет весь процесс. Если это не может сделатьи вторичный сервер, то компьютер, который является Н-узлом, переходит к использованиюшироковещательных сообщений для разрешения имени. Но если серверыWINS не могут ответить на любые запросы разрешения имен, то клиент продолжаетпопытки контакта с этими серверами, чтобы вернуться к разрешению имен WINS,как только появится такая возможность.

362 Windows Server 2003. Полное руководствоРазрешение имен с помощью широковещательных сообщенийЕсли разрешение имен NetBIOS происходит с помощью широковещательных сообщений,то все зарегистрированные компьютеры должны отвечать на запросы, вкоторых указаны их имена. Компьютер, который применяет широковещательныесообщения для разрешения имен, генерирует тот же пакет NAME QUERY REQUEST,что и клиент WINS, за исключением того, что запрос направляется в виде широковещательныхсообщений всем компьютерам данной локальной подсети. Каждыйкомпьютер, получивший этот пакет, должен проверить имя, для которого запрашиваетсяIP-адрес.Если пакет содержит нераспознаваемое имя, то он «молча» удаляется. Но есликомпьютер опознал свое собственное имя в этом запросе, то он должен ответитьотправителю пакетом POSITIVE NAME QUERY RESPONSE, содержащим его IPадрес.Этот пакет отправляется как отдельное (не широковещательное) сообщение.Метод разрешения имени с помощью широковещательных сообщений используетсявсеми старыми системами Windows, которые не являются клиентами WINS(после попытки получить имя из кэша имен). Если имя, которое должно быть разрешено,принадлежит компьютеру в другом сегменте сети, то широковещательныесообщения не могут попасть в этот сегмент, и этот метод даст неудачный результат(по истечении периода тайм-аута для широковещательных сообщений).Файл LMHOSTSЕсли не удается разрешить имя NetBIOS с помощью широковещательных сообщений,то следующая альтернатива - это файл LMHOSTS на локальном жестком диске.Клиенты, не поддерживающие WINS, делают это автоматически. Чтобы клиентWINS мог использовать файл LMHOSTS (после того, как поиск с помощью WINS ишироковещательных сообщений не дал результата), вы должны установить флажокEnable LMHOSTS Lookup (Разрешить поиск в LMHOSTS) на странице WINS Addressдиалогового окна TCP/IP Properties.Примечание. Использование файла LMHOSTS не включено в стандарт NetBT какчасть определений типов узлов. Поэтому клиентов, которые используют LMHOSTS,называют системами расширенного В-узла или Н-узла.Файл LMHOSTS аналогичен файлу HOSTS (который используется для разрешенияхост-имен) за исключением того, что он содержит список имен NetBIOS. Оннаходится в той же папке, что и HOSTS (%SystemRoot%\System32\drivers\...), иWindows предоставляет файл-образец с именем Lmhosts.sam, который вы можетеиспользовать как модель для своего собственного файла (это текстовый файл, которыйвы можете просматривать с помощью Notepad [Блокнот]).Для компьютера, который не являются клиентом WINS, файл LMHOSTS - этоединственное средство разрешения имен, доступное компьютерам в других сегментахсети. Чтобы регистрировать имена NetBIOS, нужно вручную отредактироватьфайл LMHOSTS и добавить запись для каждого компьютера, с которым вы будетевзаимодействовать. Каждая запись должна содержать IP-адрес компьютера, послекоторого в той же строке (через пробел) должно следовать соответствующее NetBIOSимя.В отличие от файла HOSTS файл LMHOSTS может содержать дополнительныесредства, которые помогают в процессе разрешения имен.

Глава 10. Работа в сети с использованием TCP/IP 363• #PRE. Если тег #PRE добавляется к какой-либо записи в файле LMHOSTS, тоэта запись заранее загружается в кэш имен NetBIOS при каждой загрузке данногокомпьютера. Добавление в файл LMHOSTS компьютеров, к которым чащевсего выполняется доступ, ускоряет разрешение имен даже для клиентов WINS.Тег #PRE следует добавлять в конец записи с одним или несколькими пробелами,отделяющими его от имени NetBIOS.• #Т>ОМ:имя_домена. Тег #D0M используется, чтобы связать запись файлаLMHOSTS с доменом Windows NT, который указывается переменной имя_домена.В результате компьютер, указанный в этой записи, будет получать списокдля навигации среди компьютеров домена от главного контроллера (PDC) указанногодомена. Это позволяет компьютерам, не использующим WINS, выполнятьнавигацию среди компьютеров домена, которые находятся в других сегментахсети. Тег #D0M вместе со своим параметром помещается в конец записипосле пробела.• #INCLUDE путь. Тег #INCLUDE позволяет вам получать доступ к файлуLMHOSTS, находящемуся в другом месте. Обычно это средство используетсядля доступа к файлу на каком-либо сетевом диске, где он может одновременноиспользоваться другими клиентами. Это означает, что вы можете редактироватьодин централизованный файл LMHOSTS вместо обновления по отдельностикопий на рабочих станциях. Этот тег, после которого следует полный UNC-путьк файлу, должен быть помещен в отдельную строку файла LMHOSTS, как этопоказано ниже:«INCLUDE \\сервер1\разделяемый_ресурс\...\1тпоз15Примечание. Проследите, чтобы NetBIOS-имя, используемое в UNC-пути, можнобыло разрешить с помощью тега #PRE, если эта машина находится в другом сегментесети.• #BEGIN_ALTERNATE/#END_ALTERNATE. Эти теги используются, чтобы обеспечитьотказоустойчивость для тега #INCLUDE. Если поместить несколько тегов#INCLUDE между тегами #BEGIN_ALTERNATE и #END_ALTERNATE,как это показано ниже, то теги #INCLUDE будут обрабатываться по порядку,пока не будет выполнен успешный доступ к соответствующему файлу LMHOSTS.После успешного чтения этого файла все следующие теги #INCLUDE игнорируютсяи происходит переход к следующей строке после тега#END_ALTERNATE.#BEGIN.ALTERNATE#INCLUDE\\cepBep1\pa3fleflfleMbift_pecypc\...\lmhosts#INCLUDE\\сервер 2\pa3flenqeMbiii_pecypc\...\lmhosts#END_ALTERNATE• \Oxhh. Этот тег используется для задания специальных символов в именахNetBIOS по их шестнадцатеричным значениям. Если приложению требуется специальныйсимвол в 16-й позиции имени NetBIOS, то вы можете задать его, заключивэто имя в кавычки и применив \Oxhh в соответствующей позиции (с заменойhh шестнадцатеричным значением этого символа). \Oxhh заменяет толькокакой-либо один символ в имени NetBIOS. Вы должны включить нужное числопробелов, чтобы в имени было 16 символов, например:139.41.129.18 "application \ox14"

364 Windows Server 2003. Полное руководствоКогда следует прекратить использование NetBIOSMicrosoft рекомендует переходить к более «чистой» реализации TCP/IP в сетевыхокружениях Windows. Теперь уже не обязательно использовать NetBIOS over TCP/IP для разрешения имен, поскольку эти функции взяла на себя DNS. Кроме того,NetBIOS поддерживается только для совместимости с унаследованными системамии приложениями.DNS просто лучше - это более масштабируемое и надежное решение для разрешенияимен. Она выдержала испытание временем, и интернет является наилучшимпримером ее успеха. Чтобы детальнее ознакомиться с DNS и ее влиянием на средуWindows, обратитесь к гл. 12.Как вы, вероятно, уже поняли, чем быстрее вы прекратите использовать NetBIOS,тем лучше станет ваша среда Windows. Первый шаг - это модернизировать клиентовпрежних версий Windows, перейдя к текущей версии Windows.К сожалению, модернизация не позволит полностью выполнить вашу задачу.Вам придется также проверить, работают ли у вас приложения, которые зависят отNetBIOS. Если у вас есть такие приложения и они все еще нужны вам, обратитесь кпоставщику, чтобы узнать, нет ли у него модернизированной версии, которая неиспользует NetBIOS (для начала проверьте свою версию Microsoft Office). Послетого как вы отключите NetBIOS, любые приложения, которые основываются на этойслужбе, перестанут правильно работать или не будут работать совсем. И последнийшаг - это фактическое отключение NetBIOS на всех машинах Windows Server 2003/ХР/2000. Для этого выполните следующие шаги.1. В меню Start\Settings выберите Network Connections.2. Щелкните правой кнопкой на значке Local Area Connection и выберите пунктProperties.3. Выберите Internet Protocol (TCP/IP) и щелкните на кнопке Properties.4. В диалоговом окне Properties щелкните на кнопке Advanced, чтобы появилосьдиалоговое окно Advanced TCP/IP Settings.5. Перейдите во вкладку WINS и выберите вариант Disable NetBIOS over TCP/IP(Отключить NetBIOS поверх TCP/IP).6. Два раза щелкните на кнопках ОК и затем щелкните на кнопке Close.Инструментальные средства TCP/IPВ реализацию протоколов TCP/IP для Windows Server 2003/2000 входит набор инструментальныхсредств и утилит, которые помогают осуществлять мониторинг и устранятьпроблемы работы TCP/IP.PingPing — это наиболее простая и наиболее известная утилита TCP/IP. Вы можете использоватьее, чтобы определить, работает ли стек TCP/IP на вашем компьютере,можно ли установить контакт с другим компьютером в сети и может ли сервер DNSвыполнить разрешение хост-имени в IP-адрес.Ping действует путем отправки пакетов Echo Request получателю, указанному вкомандной строке, используя протокол ICMP (Internet Control Message Protocol).Компьютер-получатель возвращает пакет Echo Response для каждого полученногозапроса, и ping выводит на экран размер каждого отправленного пакета (в байтах),

Глава 10. Работа в сети с использованием TCP/IP 365время прохождения до получателя и обратно (в миллисекундах) и срок действияпакета (TTL).Ping имеет следующий синтаксис.гдеping [-t] [-a] [-n Количество] [-I Размер] [-Ц [Л TTL] [-у TOS] [-г Количество] [sЧисло] [{-'} Список-хостов\-к Список-хостов}] [-w Тайм-аут] [Имя_получателя]-t указывает ping, что нужно продолжать отправку сообщений Echo Request получателю,пока вы не остановите этот процесс. Чтобы прервать процесс и вывести статистику,нажмите Ctrl-Break. Чтобы прервать процесс и выйти из ping, нажмите Ctrl-С.-а указывает обратный поиск имени по IP-адресу получателя.-п Количество указывает количество сообщений Echo Request, которое должно бытьотправлено утилитой ping (по умолчанию 4).-I Размер - это длина (в байтах) поля Data (Данные) в отправляемых сообщенияхEcho Request. По умолчанию 32. Максимальный Размер - 65527.-f — отправка сообщений Echo Request с установленным в 1 флагом Don't Fragment взаголовке IP. Это означает, что сообщение Echo Request не может фрагментироватьсямаршрутизаторами, которые находятся на пути к получателю. Используйте этот параметр,когда нужно устранить проблемы PMTU (Path Maximum Transmission Unit).-i TTL указывает значение поля TTL (срок действия пакета) в заголовке IP для отправляемыхсообщений Echo Request. Это значение равно по умолчанию значениюTTL для хоста. Для хостов Windows Server 2003 оно обычно равно 128. (Максимальноезначение TTL — 255.)-v 7О5указывает значение поля TOS (тип обслуживания) в заголовке IP для отправляемыхсообщений Echo Request. По умолчанию равно 0. (Значение TOS задаетсякак десятичное число от 0 до 255.)-г Количество указывает, что в заголовке IP используется опция Record Route (Записатьмаршрут) для записи пути, который требуется сообщению Echo Request исоответствующему сообщению Echo Reply. Для каждого сегмента этого пути используетсясвоя запись из опции Record Route. Этот параметр действует лучше всего,если вы указываете Количество, которое не меньше числа сегментов между отправителеми получателем. (Количество должно быть числом от 1 до 9.)-s Число указывает, что в заголовке IP используется опция Internet Timestamp (Меткавремени) для записи времени поступления сообщения Echo Request и соответствующегосообщения Echo Reply для каждого сегмента. (Число должно быть значением1 до 4.)-j Список-хостов указывает, что сообщения Echo Request используют в заголовке IPвариант Loose Source Route (Свободная маршрутизация через промежуточные узлы)с набором промежуточных пунктов, указанных в Списке-хостов. Средство LooseSource Route действует с несколькими промежуточными пунктами, которые разделеныодним или несколькими маршрутизаторами. Максимальное количество адресовили имен в списке хостов — 9. Список хостов — это набор IP-адресов, разделенныхпробелами.-к Список-хостов указывает, что сообщения Echo Request используют в заголовкеIP вариант Strict Source Route (Жесткая маршрутизация через промежуточные узлы)

366 Windows Server 2003. Полное руководствос набором промежуточных пунктов, указанных в Списке-хостов. При использованиисредства Strict Source Route каждый следующий узел должен быть достижимнепосредственным образом (то есть он должен быть «соседом» в интерфейсе маршрутизатора).Максимальное количество адресов или имен в списке хостов - 9. Списокхостов - это набор IP-адресов, разделенных пробелами.-w Тайм-аут указывает допустимое количество времени (в миллисекундах) для ожиданиясообщения Echo Reply, соответствующего данному сообщению Echo Request.Если сообщение Echo Reply не получено в течение времени тайм-аута, то на экранвыводится сообщение об ошибке «Request times out» (Время ожидания ответа назапрос истекло). По умолчанию время тайм-аута равно 4000 (4 секунды).Имя_получателя указывает целевой узел (его IP-адрес или хост-имя).TracertПрограмма tracert, известная также под названием traceroute в системах UNIX, идентифицируетмаршрутизатор, который должны проходить дейтаграммы к указанномуузлу. Кроме трассировки интернет-соединений, она полезна также для устраненияпроблем маршрутизации. Если у вас имеется Windows-компьютер с несколькимисетевыми адаптерами, то tracert - это надежное средство, позволяющее определить,какую сеть использует этот компьютер для достижения указанного узла.Используя такие же пакеты ICMP, как и ping, программа tracert отправляет последовательныесообщения Echo Request по целевому адресу с наращиваемыми значениямиTTL (time-to-live). Поскольку каждый промежуточный компьютер, черезкоторый проходит пакет, уменьшает значение TTL на единицу, срок действия каждогопоследующего запроса истекает на один сегмент дальше вдоль маршрута к целевомуузлу.Когда истекает срок действия очередного пакета, он возвращает отправителюсообщение, содержащее адрес шлюза, где значение TTL уменьшилось до нуля. Этиадреса разрешаются и выводятся на экран компьютера вместе с интервалом временидля каждого сегмента.При использовании с адресами интернет tracert позволяет увидеть структуру этоймеждународной телекоммуникационной сети. Поскольку Windows выполняет разрешениеадреса каждого шлюза, вы можете идентифицировать сайты, через которыепроходят пакеты на пути к целевому узлу. Выполните трассировку маршрута сосвоего компьютера на какой-нибудь веб-сервер в США, и вы увидите, исходя иззначений времени, тот момент, когда ваш сигнал пересек океан.Программа tracert имеет следующий синтаксис.tracert [-d] [-h Максимум-сегментов] [-) Список-хостов] [-w Тайм-аут] [Имя_получателя]где-d запрещает tracert выполнять попытки разрешения IP-адресов промежуточныхмаршрутизаторов, что часто ускоряет вывод результатов.-h Максимум-сегментов задает максимальное число сегментов пути поиска целевогоузла. (По умолчанию 30 сегментов).-j Список-хостов указывает, что сообщения Echo Request используют в заголовке IPвариант Loose Source Route (Свободная маршрутизация через промежуточные узлы)с набором промежуточных пунктов, указанных в Списке-хостов. (Описание того жепараметра см. в синтаксисе ping в предыдущем разделе.)

Глава 10. Работа в сети с использованием TCP/IP 367-w Тайм-аут указывает допустимое количество времени (в миллисекундах) для ожиданиясообщения Echo Reply, соответствующего данному сообщению Echo Request.Если сообщение Echo Reply не получено в течение времени тайм-аута, то на экранвыводится символ «звездочка» (*). По умолчанию время тайм-аута равно 4000 (4секунды).Имя_получателя указывает целевой узел (его IP-адрес или хост-имя).PathpingPathping - то же самое, что и tracert, но эта команда работает в пределах вашегопредприятия. Вы можете использовать эту команду для получения информации озадержках в сети и потерях в сети на промежуточных участках между исходным ицелевым узлами. Команда имеет следующий синтаксис.pathping [-n] [-h Максимум-сегментов] [-g Список-хостов] [-р Период] [-q Числозапросов][-w Тайм-аут] [-Т] [-R] [Имя_получателя]где-п запрещает pathping выполнять попытки разрешения IP-адресов промежуточныхмаршрутизаторов в их имена, что часто ускоряет вывод результатов.-h Максимум-сегментов задает максимальное число сегментов пути поиска целевогоузла. (По умолчанию 30 сегментов).-g Список-хостов указывает, что сообщения Echo Request используют в заголовкеIP вариант Loose Source Route (Свободная маршрутизация через промежуточныеузлы) с набором промежуточных пунктов, указанных в Списке-хостов. (Описаниетого же параметра см. в предыдущих разделах.)-р Период — количество миллисекунд ожидания между последовательными пакетами.По умолчанию 250 миллисекунд (1/4 секунды).-q Число-запросов задает количество сообщений Echo Request, отправляемых каждомумаршрутизатору указанного пути. По умолчанию 100 запросов.-w Тайм-аут - количество миллисекунд ожидания каждого ответа. По умолчанию3000 миллисекунд (3 секунды).-Т присоединяет тег приоритета уровня 2 (например, 802.1р) к сообщениям EchoRequest, которые отправляются каждому сетевому устройству вдоль маршрута. Этоспособ идентификации сетевых устройств, которые не имеют возможности приоритетауровня 2. В основном этот параметр используется для тестирования качестваобслуживания Quality of Service (QoS) соединений.-R указывает то, что каждое сетевое устройство вдоль маршрута поддерживает протоколRSVP (Resorce Reservation Protocol), который позволяет данному хост-компьютерурезервировать определенную долю пропускной способности для потокаданных. Этот параметр также используется для тестирования качества обслуживания(QoS) соединений.Имя_получателя указывает целевой узел (его IP-адрес или хост-имя).IpconfigIpconfig — это утилита командной строки, которая выводит на экран текущие настройкиконфигурации IP для вашего компьютера. При использовании ipconfig с ключом /all

368 Windows Server 2003. Полное руководствоона выводит текущие настройки конфигурации IP для каждого сетевого адаптера,установленного на вашем компьютере. Это особенно полезно для компьютеров клиентовDHCP, где нет другого способа определения этой информации без доступа кпрограмме DHCP Manager на сервере. Эта утилита имеет следующий синтаксис.гдеipconfig [/all] [/renew [Адаптер]] [/release [Адаптер]] [/flushdns] [displaydns] [/registerdns] [/showclassid Адаптер] [/setclassid Адаптер [Идентификатор-класса]]/all - вывод полной конфигурации TCP/IP для всех адаптеров. Если он опущен, тоipconfig выводит на экран только значения IP-адреса, маски подсети и шлюза поумолчанию для каждого адаптера. Адаптером может быть физический интерфейс(например, карта сетевого интерфейса, NIC) или логический интерфейс (например,коммутируемое [dial-up] соединение)./renew [Адаптер] — обновление конфигурации DHCP для всех адаптеров (если конкретныйадаптер не указан) или для указанного адаптера, если задан параметр Адаптер.Этот параметр можно использовать, только если вы сконфигурировали данныйкомпьютер для автоматического получения IP-адреса. (Используйте имяадаптера, которое выводится при запуске ipconfig без параметров.)/release [Адаптер] — отправка сообщения DHCPRELEASE серверу DHCP, чтобыосвободить текущую конфигурацию DHCP и отменить конфигурацию IP-адресовдля всех адаптеров (если конкретный адаптер не указан) или для указанного адаптера,если задан параметр Адаптер. Этот параметр отключает TCP/IP для адаптеров,которые сконфигурированы для автоматического получения IP-адресов./flushdns - сброс и установка в исходное состояние содержимого кэша разрешенияIP-адресов клиентов DNS. Это полезно для устранения проблем, связанных с DNS./displaydns - вывод на экран содержимого кэша разрешения IP-адресов клиентовDNS, в который включаются записи, заранее загружаемые из локального файлаHOSTS, а также все недавно полученные ресурсные записи для запросов имен, разрешенныхданным компьютером./registerdns — выполнение ручной динамической регистрации для имен DNS и IPадресов,сконфигурированных на данном компьютере. Этот параметр полезен дляустранения проблем регистрации имен DNS. Его также полезно использовать дляустранения проблем динамического обновления между клиентом и сервером DNSбез необходимости перезагрузки клиентского компьютера./showclassid Адаптер - вывод идентификатора класса DHCP для указанного адаптера(или всех адаптеров, если указать вместо Адаптера «звездочку», *)./setclassid Адаптер [Идентификатор-класса] - задает идентификатор-класса для указанногоадаптера (или всех адаптеров, если указать вместо Адаптера «звездочку», *).Более подробную информацию по использованию идентификатора класса см. вгл. 11.NetstatИспользуйте netstat для вывода на экран соединений TCP/IP, которые используютсяна данный момент компьютером, а также статистики обмена данных для данногосетевого интерфейса и для протоколов IP, TCP и UDP. Утилита netstat имеет следующийсинтаксис.

Глава 10. Работа в сети с использованием TCP/IP 369netstat [-а] [-е] [-п] [-о] [-р протокол] [-г] [-s] [интервал]где-а — вывод списка активных TCP-соединений вместе с портами TCP и UDP, по которымкомпьютер следит за соединениями.-е - вывод статистики Ethernet, например, количество отправленных и полученныхбайтов и пакетов (вы можете также объединять параметр -е с параметром -s).-п — вывод списка активных соединений TCP с адресами и номерами портов, показаннымив числовом порядке (не делается никаких попыток определения имен).-о - вывод списка активных соединений TCP с идентификатором процесса (PID)для каждого соединения. Вы можете найти приложение, соответствующее этому PID,во вкладке Processes Диспетчера задач (Task Manager). (Этот параметр можно объединятьс параметрами -а, -п и -р.)-р протокол - вывод соединений для указанного протокола (tcp или udp). Если выобъединяете этот параметр с параметром -s, то протоколом может быть tcp, udp,icmp или ip.-г — вывод содержимого таблицы 1Р-маршрутизации.-s — вывод статистики, упорядоченной по протоколам. По умолчанию статистикавыводится для протоколов tcp, udp, icmp и ip.интервал - повторяющийся вывод выбранной информации через указанный временнойинтервал (в секундах). Чтобы прекратить вывод, введите CTRL-C.Примечание. При вводе параметров нельзя заменять дефис (-) на слэш.ARPУтилита ARP выводит на экран текущее содержимое кэша ARP (Address ResolutionProtocol). Этот кэш содержит МАС-адреса и IP-адреса компьютеров вашей локальнойсети, которые недавно участвовали в обмене данных TCP/IP. ARP имеет следующийсинтаксис.apr [-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr[IfaceAddr]] [-s InetAddr EtherAddrjIfaceAddr]]где-a [InetAddr] [-N IfaceAddr] - вывод списка текущих таблиц кэша ARP для всех интерфейсов.Чтобы вывести запись кэша ARP для определенного IP-адреса, используйтеарг -а с параметром InetAddr (этот IP-адрес). Чтобы вывести таблицу кэшаARP для определенного интерфейса, используйте параметр -N IfaceAddr, где IfaceAddr- IP-адрес, назначенный для этого интерфейса.Внимание. Параметр -N указывается прописной буквой N.-g [InetAddr] [-N IfaceAddr] — то же самое, что и -а.-d InetAddr [IfaceAddr] - удаление записи с определенным IP-адресом, где InetAddrэтотIP-адрес. Чтобы удалить запись из таблицы для определенного интерфейса,используйте параметр IfaceAddr, где IfaceAddr - IP-адрес, назначенный для этого

370 Windows Server 2003. Полное руководствоинтерфейса. Чтобы удалить все записи, используйте символ «звездочка» (*) вместоInetAddr.-s InetAddr EtherAddr [IfaceAddr] — добавление в кэш ARP статической записи, котораяиспользуется для разрешения (преобразования) InetAddr в Ether Addr.Кэш содержит записи для компьютера, с которым устанавливала соединениеваша рабочая станция, а также другие рабочие станции, поскольку ответные пакеты,генерируемые компьютерами в ответ на ARP-запросы, передаются как широковещательныесообщения. Это позволяет всем компьютерам в сети использовать результатызапроса, направленного с одной машины.Кэш ARP периодически очищается, чтобы данные соответствовали текущимизменениям. Однако использование параметра -s для добавления записей в таблицуARP делает эти записи постоянными.RouteВаш компьютер Windows Server 2003 поддерживает таблицу, в которой записываютсясведения о маршрутизации, полученные от других компьютеров, в форме пакетовICMP Redirect. Вы можете использовать команду route для просмотра или изменениятаблиц маршрутизации. Например, вы можете указать, что для передачиданных в определенный узел должен использоваться какой-либо шлюз, отличныйот шлюза по умолчанию. Команда route имеет следующий синтаксис.route [-f] [-p] [Команда [Цель]\ [mask Сетевая маска] [Шлюз] [metric Метрика]][if Интерфейс]где-f— очистка таблицы маршрутизации для всех записей, которые не попадают в следующиекатегории• Маршруты к хостам (маршруты с сетевой маской 255.255.255.255).• Закольцованный (loopback) сетевой маршрут (маршруты с целевым адресом127.0.0.0 и сетевой маской 255.0.0.0).• Групповые (multicast) маршруты (маршруты с целевым адресом 224.0.0.0 и сетевоймаской 240.0.0.0).Примечание. Если вы используете параметр -f с одной из команд (например, add,change или delete), то таблица автоматически очищается перед выполнением команды.-р используется с параметром Команда следующим образом:• Используйте -р с командой add, чтобы добавить указанный маршрут в реестр.Эти записи реестра инициализируют таблицу IP-маршрутизации при запускепротокола TCP/IP. (По умолчанию добавляемые маршруты не являются постоянными.)• Используйте -р с командой print, чтобы вывести на экран список постоянныхмаршрутов.• Постоянные маршруты сохраняются в разделе реестраHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes.

Глава 10. Работа в сети с использованием TCP/IP 371Команда указывает одну из следующих команд.• add - добавление маршрута.• change - изменение существующего маршрута.• delete - удаление маршрута.• print - печать маршрута.Цель - указывает для данного маршрута цель в сети. Этот IP-адрес сети (где битыхоста в сетевом адресе равны нулю), IP-адрес для маршрута к хосту или 0.0.0.0 длямаршрута по умолчанию.mask Сетевая маска — указывает сетевую маску (маску подсети), связанную с указаннымцелевым адресом. Маска подсети может быть нужной сетевой маской дляIP-адреса сети, 255.255.255.255 для маршрута к хосту или 0.0.0.0 для маршрута поумолчанию.ШЛЮЗ указывает промежуточный IP-адрес, через который происходит доступ к наборуадресов, определенных адресом целевой сети и маской подсети (в следующемсегменте).Примечание. Для маршрутов локальной подсети адрес шлюза - это IP-адрес, назначенныйинтерфейсу, который подсоединен к этой подсети. Для удаленных маршрутов (спрохождением через один или несколько маршрутизаторов) адрес шлюза - это непосредственнодоступный IP-адрес, который назначается соседнему маршрутизатору.metric Метрика — целое значение «стоимости» данного маршрута (от 1 до 9999). Значенияметрики используются для выбора между несколькими маршрутами в таблицемаршрутизации (система выбирает маршрут с минимальной метрикой).Примечание. Значением метрики может быть количество промежуточных сегментов,скорость канала, показатель надежности канала, пропускная способность каналаили административные свойства.if Интерфейс указывает индекс интерфейса для интерфейса, через который можнопопасть к цели. Если этот параметр опущен, то интерфейс определяется из адресашлюза.Совет. Чтобы увидеть список интерфейсов и соответствующих индексов интерфейсов,введите route print.Внимание. Если вы используете Routing and Remote Access (RRAS), то для управлениямаршрутами вы должны использовать только оснастку RRAS.NbstatКоманда nbstat используется для вывода статистики работа NetBT (NetBIOS overTCP/IP) на каком-либо компьютере. С помощью nbstat вы можете выводить содержимоекэша имен NetBIOS, получать список текущих сеансов NetBT, выводить статистикупротоколов через определенные интервалы времени и даже перезагружатькэш путем обработки файла LMHOSTS (вы можете вносить в этот файл изменения,которые применяются сразу).

372 Windows Server 2003. Полное руководствогдеNbstat имеет следующий синтаксис.nbstat [-а Имя-удаленного-компьютера] [-А IP-адрес] [-с] [-п] [-г] [-R] [-RR] [-s][-S] [Интервал]-а Имя-удаленного-компьютера - вывод на экран таблицы имен NetBIOS удаленногокомпьютера (в качестве Имя-удаленного-компьютера указывается NetBIOS-имяэтого компьютера).-А IP-адрес — вывод на экран таблицы имен NetBIOS удаленного компьютера с использованиемIP-адреса этого удаленного компьютера.-с - вывод содержимого кэша имен NetBIOS, таблицы имен NetBIOS и соответствующихразрешенных IP-адресов.-п - вывод таблицы имен NetBIOS локального компьютера. Состояние Registered(Зарегистрировано) означает, что имя зарегистрировано с помощью широковещательногосообщения или с помощью сервера WINS.-г - вывод статистики разрешения имен NetBIOS. На компьютере Windows Server2003/ХР Professional, сконфигурированном для использования WINS, этот параметрдает количество имен, разрешенных и зарегистрированных с помощью широковещательныхсообщений и WINS.-R — удаление содержимого кэша имен NetBIOS и последующая перезагрузка записейс тегом #PRE из файла LMHOSTS.-RR— освобождение занятых имен NetBIOS и последующее обновление имен, которыебыли зарегистрированы локальным компьютером.-s — показ сеансов клиента и сервера NetBIOS и попытка преобразовать целевойIP-адрес в имя.-S — показ сеансов клиента и сервера NetBIOS с выводом сведений для этих удаленныхкомпьютеров только по целевому IP-адресу.Интервал — повторяющийся вывод выбранной статистики через указанный временнойИнтервал (в секундах). Чтобы прекратить вывод, введите CTRL-C.Значительная часть сведений, которые вы почерпнули в этой главе, бесполезна,если вы не знаете, каким образом могли бы использовать средства TCP/IP на своемпредприятии: DHCP и DNS. В следующих главах дается описание этих важныхсредств.

Глава 11DHCP и IP-адресацияВ главе 10 мы рассматривали концепции применения IP-адресации в среде вашейсети. В этой главе мы рассмотрим понятия открытых и частных IP-адресов. Мырассмотрим также установку и конфигурирование DHCP.Открытые IP-адресаЛюбому компьютеру, который непосредственно подключен к интернету, присваиваетсяоткрытый (public) IP-адрес. Открытый IP-адрес позволяет перемещаться винтернете с помощью различных классов адресов, которые образуют идентификатор(ID) сети и адрес узла (см. гл. 10). Открытые IP-адреса назначаются провайдерам услугинтернета (Internet Service Provider, ISP), такими организациями, как LIR (LocalInternet Registry - Локальный реестр интернет), NIR (National Internet Registry - Национальныйреестр интернет) и RIR (Regional Internet Registry — Региональный реестринтернет). Ниже приводится список доступных организаций RIR:• APNIC, www.apnic.net (Азия/Тихоокеанский регион);• ARIN, www.arin.net (Америка (северная) и «Черная» Африка);• 1ACNIC, www.lacnic.net (Латинская Америка и некоторые Карибские острова);• RIPE NCC, www.ripe.net (Европа, Ближний Восток, Центральная Азия и африканскиестраны севернее экватора).По мере роста интернета быстро снижается доступный запас открытых адресовIPv4. Чтобы несколько узлов одной сети, использующие частные адреса, могли использоватьодин открытый адрес интернет, были созданы прокси-серверы и несколькопротоколов для маршрутизаторов, такие как NAT (Network Address Translation —Трансляция [преобразование] сетевых адресов) и PAT (Port Address Translation — Трансляция[преобразование] адресов портов). NAT и PAT делают это, добавляя номер портак IP-адресу входящих и исходящих пакетов. Маршрутизаторы затем отслеживаютномера портов, назначенные получателям, а также рабочую станцию илиустройство, которое является получателем во внутренней сети. Эти протоколы позволяютсотням рабочих станций одной сети получать одновременный доступ кинтернету с помощью одного открытого IP-адреса.Из внешнего мира кажется, что каждый PC в вашей сети использует один IPадрес;это дает дополнительный уровень безопасности и анонимности при доступек серверам Internet, для которых требуется, чтобы определенные порты имели взаимнооднозначное соответствие с адресами. К примерам таких серверов можно отнестисервер SMTP (Simple Mail Transfer Protocol), сервер РОРЗ (Post Office Protocolверсии З) и серверы FTP, каждый из которых можно статически отображать с помощьюNAT или PAT, используя тот же адрес, что и другие узлы данной сети.Например, предположим, что у вас имеется два сервера во внутренней сети. Одиниз них - это Windows Server 2003, предоставляющий услуги FTP (порты 20 и 21); емуназначен частный IP-адрес 10.1.2.1. Еще одному серверу Windows 2003, на котором

374 Windows Server 2003. Полное руководствоработает Exchange 2003, предоставляющий почтовые услуги SMTP (порт 25) и РОРЗ(порт 110), назначен адрес 10.1.2.2. С помощью NAT и одного маршрутизируемогооткрытого адреса 207.212.78.108 все, что поступает для портов 20 и 21, отправляетсяна сервер FTP, и все, что поступает для портов 25 и 110, отправляется на сервер, гдеработает Exchange 2003. Любой другой узел в этой сети может применять другиеномера портов, для которых используется один IP-адрес. Посмотрите, сколько открытыхIP-адресов мы только что сэкономили - даже в сети с десятком PC и двумясерверами.Частные IP-адресаЧастные IP-адреса используются во внутренней сети и назначаются по вашему усмотрению.Эти адреса не могут маршрутизироваться в Интернет. В зависимости отколичества мест, рабочих станций и устройств, которым требуются IP-адреса в вашейсети, имеется три различных диапазона адресов, зарезервированных для частныхIP-адресов.• Класс А от 10.0.0.0 до 10.255.255.255 (Для крупных предприятий).• Класс В от 172.16.0.0 до 172.131.255.255 (Для средних предприятий).• Класс С от 192.168.0.0 до 192.168.255.255 (Для небольших предприятий).Ознакомление с DHCPИспользуя сервер DHCP (Dynamic Host Configuration Protocol - Протокол динамическогоконфигурирования хостов) для автоматического назначения настроек конфигурации,пользователи и администраторы TCP/IP могут избежать ручного конфигурированияIP-адресов, маски подсети, адресов сервера DNS, адресов сервераWINS и других задач адресации.Для разрешения проблемы назначения и администрирования IP-адресов в крупныхмасштабах Microsoft совместно с другими сетевыми специалистами разработалапротокол DHCP. DHCP - это открытый стандарт, определенный в документе RFC(requests for comments) 2132. Другие производители предлагают на рынке свои серверыDHCP, но Microsoft включает свой сервер DHCP в пакет Windows Server 2003.DHCP позволяет разрешать некоторые из наиболее серьезных проблем, характерныхдля TCP/IP (в его исходной версии). Он позволяет обойтись без отдельногоконфигурирования каждой рабочей станции и делает практически невозможнымназначение дублированных IP-адресов. DHCP рекомендуется для всех сетей Windows2003, но только при использовании на всех компьютерах сети.Вы можете столкнуться с проблемами перекрытия IP-адресации, когда один адресназначается нескольким устройствам в смешанной среде. Смешанная среда образуетсяв тех случаях, когда некоторые компьютеры используют DHCP, а другиеиспользуют назначенные вручную IP-адреса. Даже если у вас есть компьютеры, которымнужно назначать конкретный IP-адрес, назначайте его с помощью DHCPдля более эффективного ведения записей.Истоки DHCPDHCP происходит от ВООТР, который является унаследованным протоколом, разработаннымдля использования с бездисковыми рабочими станциями. СерверВООТР сохранял IP-адреса и другие настройки конфигурации для рабочих стан-

Глава 11. DHCP и IP-адресация 375ций, образованные в соответствии с МАС-адресом, жестко закодированным в адаптересетевого интерфейса каждой рабочей станции. При загрузке каждого компьютерасети его настройки TCP/IP доставлялись ему этим сервером. Когда стек TCP/IP начинал действовать, ВООТР передавал исполняемый файл загрузки операционнойсистемы на рабочую станцию с помощью протокола TFTP (Trivial File TransferProtocol - UDP-версия FTP); после этого рабочая станция готова к работе.ВООТР позволил разрешить одну из основных проблем TCP/IP, устранив необходимостьручного конфигурирования каждой рабочей станции администраторомили конечным пользователем. Но реально он не снял административную проблемуназначения IP-адресов, поскольку он обеспечил только централизованное место дляхранения настроек конфигурации. IP-настройки каждой отдельной рабочей станциипо-прежнему должен был задавать администратор, сохраняя их вручную на сервере.Если в конфигурации двух различных машин случайно вводились дублированныеIP-адреса, ВООТР не мог ничего сделать для обнаружения, предотвращенияили исправления такой ситуации.Выделение IP-адресовПротокол DHCP был разработан как расширение по сравнению с ВООТР. Он сохраниллучшие аспекты своего предшественника, то есть сохранение и автоматическуюдоставку данных конфигурации TCP/IP, и при этом был расширен для получениялучшего решения.DHCP может назначать IP-адреса своим клиентам, используя три различныхспособа.• Ручное выделение. Это фактически эквивалент службы ВООТР; IP-адреса и другиенастройки конфигурации вводятся по отдельности администратором, сохраняютсяна сервере и доставляются заранее определенным клиентам.• Автоматическое выделение. Это подход, который мы называем использованиемстатического пула. При первой загрузке рабочей станции клиента DHCP в сетисервер DHCP назначает ему IP-адрес и другие настройки конфигурации из пулаимеющихся адресов, которые были сконфигурированы администратором дляиспользования этим сервером; они становятся постоянными настройками дляданной машины. Этот метод называется отображением резервирования.• Динамическое выделение. Это тот же метод, что и автоматическое выделение, заисключением того, что настройки TCP/IP не назначаются как постоянные; онилишь предоставляются в аренду на заданный период времени. Эта аренда должнапериодически обновляться посредством (автоматического) согласования междуклиентом DHCP и сервером.Эти три метода можно использовать одновременно, обеспечивая все возможности,которые потребуются сетевым администраторам. Ручное выделение - необходимаячасть, унаследованная от ВООТР, так как часто определенным компьютерам всети требуется определенный постоянно назначенный IP-адрес, например, серверамWorld Wide Web и FTP. Преимуществом использования DHCP для таких компьютеров(вместо их ручного конфигурирования) является то, что всю информацию по IPадресамдля всей сети можно хранить в одном месте, и DHCP не позволит любомудругому клиенту DHCP использовать адреса, которые были назначены вручную.В сети, которая изменяется редко, можно использовать DHCP для автоматическоговыделения IP-адресов, создавая тем самым постоянную сетевую конфигурацию.Если какой-либо компьютер перемещается из одной подсети в другую, ему

376 Windows Server 2003. Полное руководствоавтоматически назначается новый IP-адрес для этой подсети; однако адрес, использовавшийсяв старой подсети, останется занятым, пока администратор не удалитвручную эти назначения из таблицы DHCP.Если компьютеру динамически выделяется IP-адрес, аренда этого адреса должнапериодически обновляться, иначе истечет срок ее действия, что вызовет возвратданного адрес в пул свободных IP-адресов. Процесс обновления аренды выполняетсяавтоматически и незаметен для пользователя (кроме случаев сбоя этого процесса).Если данный компьютер перемещается в другую подсеть, ему назначаетсяподходящий IP-адрес для его новой подсети. Старый адрес возвращается в пул, когдаистекает срок его аренды.Таким образом, динамическое выделение позволило разрешить проблему «блуждающегопользователя», работающего на мобильном компьютере, с которого можетвыполняться вход в сеть из других офисов, других зданий или даже других городов.Другие возможности DHCPЯсно, что управляемое выделение IP-адресов является наиболее важной функциейDHCP, но сам по себе IP-адрес является недостаточным для полного конфигурированиястека TCP/IP. DHCP может снабжать клиента настройками для более чем 50связанных с TCP/IP параметров, многие из которых предназначены для использованиятолько с компьютерами, которые не являются клиентами Microsoft.Для DHCP-клиента Windows Server 2003 или предыдущих версий Windows могутзадаваться некоторые или все следующие параметры конфигурации (это наиболееупотребительные параметры, передаваемые клиентам).• IP-адрес (IP address). 32-битный разбитый точками на 4 октета десятичный адрес,используемый для идентификации определенного хоста в сети IP.• Маска подсети (Subnet mask). 32-битное разбитое точками на 4 октета десятичноезначение, которое отделяет биты адреса сети в IP-адресе от битов адреса хоста.• Маршрутизатор (Router). IP-адреса шлюза по умолчанию, который будет использоватьсяклиентом для доступа к удаленным сетям (доступ к этим адресам выполняетсяв порядке их следования в списке).• Серверы DNS (DNS servers). IP-адреса серверов DNS, которые будут использоватьсяклиентом для разрешения (преобразования) имен хостов Интернет в IPадреса(в порядке их следования в списке).• Имя домена (Domain name). Имя домена данного клиента.• Адреса WINS/NBNS (Windows Internet Naming System / NetBIOS Name Server -Система именования для Интернет в Windows / Сервер имен NetBIOS). IP-адресасерверов WINS, которые будут использоваться клиентом для служб регистрациии разрешения имен NetBIOS.• Тип узла WINS/NBT (Windows Internet Naming System/NetBIOS over ТСР/1Р).Код,который используется, чтобы указать, какие методы разрешения имен и в какомпорядке будут использоваться клиентом.• Идентификатор области NetBIOS (NetBIOS scope ID). Символьная строка, используемаядля идентификации группы машин NetBIOS, которые могут взаимодействоватьтолько друг с другом. (Избегайте использования такой группы:она вызывает почти всегда слишком много проблем.)Имеются также несколько других параметров, которые используются реже, чемприведенные выше параметры. Тем не менее, они могут быть полезны клиентам взависимости от их окружения. Вот названия некоторых из них.

Cookie-серверыLPR-серверыImpress-серверыСерверы местоположения ресурсовХост-имя (Host name)Глава 11. DHCP и IP-адресация 377Новые возможности для DHCP в Windows Server 2003При модернизации из Windows NT Server 4.0 вы обнаружите следующие улучшения,внесенные в DHCP. (Все они были включены уже в Windows 2000.)Интеграция DHCP с DNS.Улучшенные мониторинг и отчетность.Поддержка опций поставщиков и опций пользовательского класса.Выделение групповых (multicast) адресов.Обнаружение и предотвращение работы неавторизованных серверов DHCP.Интеграция с Active Directory (AD).Поддержка службы кластеризации Windows 2000 Clustering Service.Автоматическое конфигурирование клиентов.Автоматическое конфигурирование клиентовЕще одно заметное улучшение в DHCP Windows Server 2003 — это работа клиентаDHCP. Клиенты Windows 2000 и Windows 98, сконфигурированные для использованияDHCP, могут автоматически задавать для себя IP-адрес и маску подсети, еслине удается установить контакт с сервером DHCP. Процедура, которую должна выполнитьслужба клиента DHCP, прежде чем реально назначить для себя эту информацию,зависит от предыдущих контактов с каким-либо сервером DHCP.После новой установки клиентская служба DHCP пытается найти какой-либосервер DHCP для получения всей информации TCP/IP, необходимой для функционированияв сети. Если это не удается сделать, то клиент автоматически задает длясебя IP-адрес класса В и маску подсети. Точнее говоря, он присваивает себе IPадресв диапазоне от 169.254.0.0 до 169.254.255.255 и маску подсети 255.255.0.0. Затемон объявляет этот адрес «окружающему миру», чтобы выяснить, не захвачен лиэтот адрес другим компьютером. Клиент периодически пытается установить контактс каким-либо сервером DHCP, пока эти попытки не увенчаются успехом (поумолчанию каждые пять минут).И последняя процедура относится к клиенту, который раньше устанавливал контакти получал информацию от какого-либо сервера DHCP. В таком случае клиентустанавливает контакт с этим сервером DHCP для обновления аренды адреса. Есликлиенту не удается установить контакт с этим сервером DHCP, он отправляет командуping своему назначенному шлюзу по умолчанию. Если ping выполняется успешно,то клиент интерпретирует неудачную попытку контакта с сервером DHCP как временноепрерывание связи и продолжает использовать свою аренду адреса. Например,сервер DHCP может быть отключен для технического обслуживания или можетиметь собственные проблемы связи. Клиент также продолжает попытки контакта ссервером DHCP для обновления аренды. И только при отказе команды ping клиентавтоматически конфигурирует себя, используя вышеупомянутый IP-адрес класса В.Отключение автоматического конфигурирования клиентаАвтоматическое конфигурирование клиента - это, несомненно, улучшение в службеDHCP; но здесь есть и свои недостатки. Например, сможет ли клиент устанавливатьконтакт с другими машинами, используя IP-адрес класса В? В большинстве

378 Windows Server 2003. Полное руководствослучаев - не сможет из-за различий в подсетях. Клиент сможет устанавливать контакттолько с компьютерами той же подсети. Кроме того, клиент не сможет автоматическиконфигурировать себя с помощью IP-адреса шлюза по умолчанию или сервераDNS, который помогает ему устанавливать связь. Поэтому данное средствополезно только в очень небольших окружениях.Если вы считаете, что данная возможность не дает преимуществ в вашей среде,то можете отключить ее. Для отключения автоматического конфигурирования клиентана компьютере Windows 2000/XP выполните следующие шаги.1. Выберите Start\Run (Пуск\Выполнить), введите regedit, чтобы запустить редакторреестра (Registry editor), см. рис. 11.1.Откройте раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\2. Добавьте параметр IPAutoconfigurationEnabled и задайте для него значение 0.Более подробную информацию см. по адресу http://www.microsoft.com/technet/treeview/ default. asp?url=/technet/prodtechnol/windowsserver2003/proddocs/datacenter/sag_TCPIP_pro_DisableAutoConfiguration.asp.{£' Registry EditwFie Edit Vte Fav.Ues Help3 В My Computer&-Q3 HKEY_CLASSES_ROOTUS) HKEYJXIRRENTJJSERS-Й HKEY_LOCAL_MACHINE! ЙИрЗ HARDWAREI фвЗSAMiШ-Ш SYSTEMi HKEYJJSERSfiSj HKEY_CURRENT_CONFIGNameЩ (Default) REG SZ (value not set)Рис. 11.1. Запуск редактора реестраОбнаружение и предотвращение работы неавторизованных серверовDHCPСлужба DHCP - это огромное улучшение по сравнению с ручным конфигурированиемIP-адресов и других настроек TCP/IP для каждого компьютера в сети. Однакосетевое администрирование может чрезвычайно осложниться, если у вас есть неавторизованныесерверы DHCP, которые «конкурируют» с авторизованными серверамиDHCP за право передавать информацию клиентам. Например, какой-либопользователь решил установить собственную службу DHCP Server на своем компьютередля передачи информации нескольким компьютерам в своей лаборатории.Оказывается, сервер DHCP, предназначавшийся, казалось бы, для локальных це-

Глава 11. DHCP и IP-адресация 379лей, реально обслуживает других клиентов данной сети. Такое изменение можетсделать клиентов непригодными.В большинстве случаев эти ситуации возникают случайно, но они, тем не менее,влияют на сеть. Предыдущие версии DHCP не могли справляться с такими проблемами.Администраторы должны были тщательно следить, чтобы в сети были разрешенытолько созданные ими серверы DHCP.Одним из многих улучшений в DHCP является способность обнаружения и предотвращенияработы неавторизованных серверов DHCP в данной сети. Каждая установкаDHCP Server должна проходить через шаг авторизации путем сверки с ActiveDirectory (AD) или выполняться кем-либо с административными привилегиями. Впротивном случае серверу DHCP не разрешается обслуживать клиентов.AD может хранить список авторизованных серверов DHCP, поэтому при запускенового сервера DHCP выясняется, является ли он авторизованным. Если он авторизован,то происходит отправка сообщений DHCPINFORM, чтобы выяснить,авторизован ли он также другими службами каталогов. Если данный сервер DHCPне авторизован, но требуется, чтобы он был авторизован, то вы должны выполнитьследующие шаги.1. В оснастке DHCP выберите данный неавторизованный сервер DHCP в левойпанели.2. В меню Action (Действие) выберите пункт Authorize (Авторизовать).3. Возможно, вам придется подождать несколько минут, прежде чем закончитсяпроцесс авторизации. Если вы нетерпеливы, то можете нажать клавишу F5 дляобновления окна оснастки DHCP, пока не закончится авторизация.Обмен информацией с DHCPКогда клиент Windows 2000/ХР или предыдущих версий Windows конфигурируетсядля использования DHCP, чтобы получить свои настройки конфигурации TCP/IP,он проходит через процесс согласования с сервером DHCP, который заканчиваетсяпредоставлением аренды. Обмен информацией с этим сервером выполняется с помощьюпротокола, определенного в документе DHCP Request for Comment, которыйопубликован группой IETF (Internet Engineering Task Force).Реальный протокол DHCP (Dynamic Host Configuration Protocol) состоит из пакетаодного типа, который используется для всех связей между клиентом и серверомDHCP. Передаваемый с помощью протокола UDP (User Datagram Protocol), заголовокпакета содержит поле DHCP Message Type (Тип сообщения DHCP), которое указываетназначение данного пакета среди вариантов, показанных в таблице 11.1.Табл. 11.1. DHCP (Dynamic Host Configuration Protocol)Значение Тип сообщения Назначение1 DHCPDISCOVER Используется клиентами для поиска серверовDHCP.2 DHCPOFFER Используется серверами, чтобы предлагать IPадресаклиентам.3 DHCPREQUEST Используется клиентами для запроса конкретногоIP-адреса.4 DHCPDECLINE Используется клиентами для отказа от предложенногоIP-адреса.

380 Windows Server 2003. Полное руководствоЗначение Тип сообщения Назначение567DHCPACKDHCPNACKDHCPRELEASEИспользуется серверами для подтверждения согласияклиента с IP-адресом.Используется серверами для отклонения согласияклиента с IP-адресом.Используется клиентами, чтобы прекратитьаренду IP-адреса.Как описано в следующих разделах, между серверами и клиентами DHCP передаютсяразличные типы сообщений, используемые для выделения IP-адресов и периодическогообновления этих адресов.Согласование арендыДо согласования аренды потенциальный клиент DHCP работает со стеком TCP/IPбез IP-адреса, что явно ограничивает его возможности обмена информацией. Однакоон может отправить широковещательное сообщение (broadcast)DHCPDISCOVER, чтобы попытаться обнаружить какой-либо сервер DHCP. Широковещательныесообщения обычно ограничены локальным сегментом сети, нопоскольку протокол DHCP является открытым стандартом, он поддерживаетсямногими маршрутизаторами на рынке, что позволяет им распространять широковещательныесообщения DHCP через границы сети. Тем самым один сервер DHCPможет поддерживать клиентов в нескольких сетевых сегментах.Пакет DHCPDISCOVER содержит МАС-адрес рабочей станции, что позволяетсерверам DHCP отвечать конкретно направленными, а не широковещательнымисообщениями. Все серверы DHCP, получившие это широковещательное сообщение,обязаны ответить данному клиенту пакетом DHCPOFFER, содержащим IPадреси другие настройки конфигурации на рассмотрение клиента. Если клиентполучил несколько пакетов DHCPOFFER, он выбирает один из них и отправляетшироковещательное сообщение DHCPREQUEST, содержащее IP-адрес и настройки,которые он намеревается принять. Это широковещательное сообщение используется,чтобы информировать выбранный сервер о согласии клиента, а также уведомитьостальные серверы, что их предложения отклонены.В течение этого периода IP-адрес, предложенный данным сервером, еще не окончательновыделен данному клиенту. При определенных обстоятельствах за этот периодтакие же самые настройки могут быть предложены и другому потенциальномуклиенту. Однако, получив сообщение DHCPREQUEST, сервер фиксирует предложенныенастройки за данным клиентом, записывая их в свою базу данных и устанавливаяклиента в состояние bound (привязка). Затем сервер отправляет данномуклиенту пакет DHCPACK, информируя его о своем подтверждении. Если по какойлибопричине процесс аренды адреса не может быть завершен, то сервер отправляетпакет DHCPNACK, и клиент начинает весь процесс заново, отправляя новыйпакет DHCPDISCOVER.Получив пакет DHCPACK, клиент выполняет окончательную проверку предложенногоIP-адреса, используя протокол Address Resolution Protocol (Протокол разрешенияадресов), чтобы выяснить, нет ли дублирования этого адреса в сети. Еслитакой адрес найден, то клиент отправляет серверу пакет DHCPDECLINE, отменяявсю транзакцию. Если нет, то эти настройки используются для конфигурированиястека TCP/IP, после чего можно начать вход в сеть.

Обновление арендыГлава 11. DHCP и IP-адресация 381После согласования аренды клиент DHCP имеет право использовать выделенныеему настройки на период, который задан на сервере. По умолчанию период арендысоставляет восемь дней. При каждом входе в сеть рабочая станция обновляет этуаренду, отправляя широковещательное сообщение DHCPREQUEST, содержащееcookie-файл с идентификацией аренды (комбинация из МАС-адреса и IP-адреса, котораяуникальным образом идентифицирует аренду для сервера).При обычных условиях сервер отвечает, как и раньше, сообщением DHCPACK.Но если сервер обнаруживает, что данный клиент находится не в той подсети, гдеон находился во время согласования аренды, то сервер отправляет сообщениеDHCPNACK, прекращая текущую аренду и вынуждая начать согласование новойаренды. Если клиент не получает никакого ответа после десяти попыток, то он отправляетшироковещательное сообщение DHCPDISCOVER, надеясь получить новуюаренду.Если прошло 50% времени от текущего периода аренды, то клиент переходит изсостояния bound (привязка) в состояние renewing (обновление). После этого сообщенияDHCPREQUEST отправляются уже как одиночные (не широковещательные)сообщения на сервер, предоставивший данную аренду. Если прошло 87,5% времениот периода аренды, то клиент переходит в состояние rebinding (повторение процессапривязки), снова начиная отправлять широковещательные сообщенияDHCPREQUEST, запрашивая ответ от любого сервера DHCP. По истечении всегопериода аренды без ответа от какого-либо сервера DHCP данный клиент переходитв состояние unbound (без привязки), после чего он происходит через процесс собственногоавтоматического конфигурирования для получения IP-адрес класса В имаски подсети.Запуск сервера Microsoft DHCPСервер Microsoft DHCP - это приложение, которое используется для управления,отслеживания и назначения настроек конфигурации TCP/IP, а также протокола дляпередачи этих настроек клиентам DHCP. Сервер DHCP, который поставляется вместес Windows 2000 Server, запускается как служба после его установки со страницыLocal Area Connections Properties (Свойства соединений локальной сети) или с помощьюаплета Add/Remove Programs (Установка и удаление программ) из панелиуправления (Control Panel). Кроме того, имеется оснастка DHCP, которая можетиспользоваться сетевыми администраторами для определения настроек конфигурации,предоставляемых клиентам DHCP.Как уже говорилось в предыдущих главах, администраторы Windows Server 2003получили новое средство - Manage Your Server Wizard (Мастер управления сервером).Мы расскажем, как устанавливать DHCP с помощью мастера Manage YourServer Wizard, а также с помощью окна Add/Remove Windows Components (Установкаи удаление компонентов Windows), вызываемого из панели управления.Чтобы установить DHCP Server с помощью мастера Manage Your Server Wizard,выполните следующие шаги.1. Откройте мастер Manage Your Server Wizard (который автоматически запускаетсяпри загрузке) из меню Administrative Tools (Администрирование).2. Выберите вариант Add or remove a role (Добавление или удаление роли). Мастерпроверит, что ваше сетевое соединение работает должным образом; щелкнитена кнопке Next (Далее).

382 Windows Server 2003. Полное руководство3. Выберите сервер DHCP в меню ролей серверов (Server Role Menu).После этого мастер запускает New Scope Wizard (Мастер новой области).Для установки сервера DHCP из панели управления выполните следующие шаги.1. Дважды щелкните на аплете Add/Remove Programs в панели управления (ControlPanel).2. Выберите Add/Remove Windows Components в окне Add/Remove Programs, см.рис. 11.2.WindowsComponents WizaidWindowsComponentsYoucanadd otremovecomponentsofWindows.Toaddorremove acomponent. ch-X thecheckbox Ashadedboxmeam that vtyosiof thecomponent *Abe mlaledTosec whei'smcbded in a c«nponeni. dickP» Indexing ServiceП §3 Management and Monitoring ToolsШ f 3 N «'"orking Services• another Network File and Print ServicesiDe»cripion IncludesWindows Act «ronesand unties layourvaleble on

Глава 11. DHCP и IP-адресацияпреобразования компьютеров из локальной конив DHCP не забывайте удалять жестко кодированные настройки TCP/IPlo * » remort а, ..»,»,,„.,,[.,J,fc the cte* Ьет. A shaded bos means thai onto pa!ofthe componert ,„« be installed Го we what', i „ re uded a„трем cfcl^Internel Authentication Service^RPCoverHTTPProxyГ. Д Simple TCP/IP ServicesiJ HJWindows Internet Name Service (WINS)ir>sc« requiredSp*-^ avilatJa от Mr.Seij up a C'HCP server thai «JofMticelly as:igreaddiettes to dent corrculeri on Ihe sРис. 11.3. Выбор DHCPInternet Protocol (TCP/IP) Propertiessignedautomaticaly ivournetworksupportsРИС. 11.4. КонфигурированиеDHCP на клиентском компьютере

384 Windows Server 2003. Полное руководствои задать маску подсети, которая будет предоставляться вместе с ними. При необходимостивы можете исключать некоторые адреса из этого диапазона. Вы можететакже изменять длительность аренды, которая будет согласовываться между клиентамии сервером.IP Address RangeYou define thescopeaddressrangeby identifying a sel ol consecutive IPaddresses.:::|njej.the lange o( addresses thai, the ьсоре distributes 1 .Start IP address; jEnd IP address ГA subnet rai:t tfetVej triv. rn»iy Hi ol an IP id-ie-.i to use In IIID: TIVI how r,«r,y b«: to uit lor the ho.' ID You c-ai specify the -ubne' mark byLengthSubnet maskCancelРис. 11.5. Конфигурирование новой области (scope)Примечание. Вы можете конфигурировать сервер DHCP, но он не будет обслуживатьклиентов, пока вы не авторизуете его.После создания области вы определяете дополнительные настройки (из списка,представленного выше в разделе «Другие возможности DHCP»), которые вы хотитепередавать вместе с областями, или указываете только те опции, которые будут передаватьсявместе с адресами из определенной области. Причиной задания этихопций является то, что изолированные области обычно должны определяться длякаждой подсети вашей сети, поскольку определенные настройки (такие как шлюзыпо умолчанию) будут обязательно отличаться.Например, типичная сеть среднего масштаба может состоять из нескольких подсетей,и для каждой из них вы будете создавать отдельную область. Такие настройки,как имя домена, серверы DNS и узел WINS/NBT, видимо, будут одинаковымидля всех клиентов во всем предприятии, поэтому их лучше всего определить какглобальные опции. Маршрутизаторы и серверы WINS/NBNS будут, скорее всего,определяться как опции на уровне области, поскольку они могут быть различнымидля различных областей. На рис. 11.6 показан пример опций, которые могут бытьопределены в рамках определенной области.Именно администратор должен задать подходящие значения для всех обязательныхпараметров конфигурации TCP/IP. Обычно целью является обеспечение клиентовполной конфигурацией TCP/IP, но любые параметры, которые пропущеныили неверно сконфигурированы, могут вызвать ошибки обмена TCP/IP на сторонеклиента без предупреждения.

• : • • : • •Глава 11. DHCP и IP-адресация 385GeneialРис. 11.6. Конфигурированиеопций на уровне областиЛ1D002Time OfsetD003Router• 004Time Seivei•005Name Setveis«7 : iUCT ofset irArayof i >ArayofhmeArray of nam ИЖ.Сервер DHCP не может сам использовать DHCP для получения своей собственнойконфигурации TCP/IP (даже от другого сервера DHCP). Его настройки должныбыть сконфигурированы вручную в диалоговом окне Internet Protocol (TCP/IP)Properties.DHCP и разрешение именКак вы узнаете из следующих разделов, еще одной важной задачей при использованииTCP/IP в интерсети предприятия является разрешение имен. Аналогично тому,как DHCP поддерживает список МАС-адресов своих клиентов и соответствующихIP-адресов, должны также существовать средства, позволяющие устанавливать соответствиемежду IP-адресами и хост-именами, которые назначаются всем компьютерамв сетевой среде Windows 2003. Столь же важно устанавливать соответствиемежду IP-адресами и именами NetBIOS для клиентов более ранних версий Windows.DHCP и DNSDHCP имеет довольно интересную связь с DNS, поскольку DHCP может отвечатьне только за передачу IP-адреса клиенту. DHCP может также использоваться длярегистрации клиентов, если активизированы динамическая DNS (Dynamic DNS -DDNS) и дополнительный код 81 DHCP. Дополнительный код 81 DHCP позволяетклиентам DHCP возвращать их полностью уточненное доменное имя (FQDN) серверуDHCP. В свою очередь, сервер DHCP может регистрировать клиентов с помощьюDDNS, или клиенты могут регистрироваться с помощью службы разрешенияимен. Этот дополнительный код дает серверу DHCP три варианта обработки информацииDDNS для клиента DHCP.• Он всегда регистрирует ресурсные А-запись и PTR-запись клиента DHCP с помощьюDDNS.• Он никогда не регистрирует ресурсную А-запись клиента DHCP.13-3994 *

386 Windows Server 2003. Полное руководство• Он регистрирует ресурсные А-запись и PTR-запись клиента DHCP с помощьюDDNS только по запросу клиента.DDNS позволяет серверам и клиентам DHCP динамически обновлять базу данныхDNS. В частности, им разрешается обновлять А-запись (отображение именина IP-адрес) и PTR-запись (отображение IP-адреса на имя). Когда клиент DHCPобращается при загрузке к серверу DHCP для получения параметров сетевой конфигурации,сервер DHCP регистрирует с помощью DDNS ресурсные А-запись иPTR-запись из FQDN этого клиента. Когда клиент DHCP пытается обновить аренду,используется (за одним исключением) тот же процесс. Он обращается к серверуDHCP, чтобы получить обновление, но затем клиентская служба DHCP может выполнитьобновление с помощью DDNS.Примечание. Вы должны в обязательном порядке тестировать взаимодействие междуDHCP и DDNS для клиентов более ранних Windows.Более подробную информацию по взаимодействию DHCP с DNS, а также другуюинформацию по DNS см. в гл. 12.DHCP и WINSРазрешая проблему администрирования IP-адресов, DHCP влияет также на проблемуразрешения имен NetBIOS. Если IP-адреса автоматически или динамическивыделяются сетевым клиентам, то сетевому администратору практически невозможноследить за этими постоянно изменяющимися назначениями. Поэтому службаWINS (Windows Internet Naming System) работает совместно с DHCP для поддержкиавтоматического сервера имен NetBIOS, который обновляется каждый раз, какDHCP назначает новый IP-адрес. В сети Windows 2003 с DHCP служба WINS необходиматолько в тех случаях, когда все еще используется NetBIOS (то есть присутствуютклиенты более ранних версий Windows).

Глава 12Ознакомление с DNSВведение в DNS (Domain Name System)Систему доменных имен DNS (Domain Name System) разработал Пол Мокапетрис(Paul Mokapetris), который на заре интернета (в начале 1980-х) задался вопросом,как работать в системе (она стала со временем называться DNS), которая преобразуетWeb-адрес в состоящий из четырех октетов IP-адрес, который используется сетевымимашинами для связи через TCP/IP (см. гл. 10). Мокапетрис разработал иерархическоепространство имен, которое позволяло присваивать машинам понятные(дружественные) пользователям имена и связывать эти имена с IP-адресами. Этигруппы машин разбивались на домены, и в каждом домене предусматривалось своесобственное управление.DNS можно также использовать для поиска элементов, хранящихся в базе данныхLDAP. DNS - это клиент/серверный процесс, который читает текстовый («плоский»)файл, аналогичный файлам HOSTS, которые вы можете иногда видеть и внастоящее время. В Windows DNS начали применять еще в версии NT4, и службаDNS стала составной частью операционной системы в Windows 2000. Это в основномпроизошло потому, что Microsoft перешла в используемом по умолчанию методеразрешения имен от имен NetBIOS и службы WINS (Windows Internet NamingService) к полностью уточненным доменным именам FQDN (Fully Qualified DomainNames) и службе DNS. С появлением Active Directory (AD) и DNS, согласующейся сдокументом RFC 2136 (динамическое обновление записей) все изменилось еще больше.Еще больше вещей изменилось (и еще больше изменится) с появлением предложенийпо таблице для расширений DNSSEC (RFC 2541). DNS по-прежнему являетсяслужбой с серверной и клиентской (resolver) частями. Взаимодействие междуDNS и Active Directory является взаимозависимым, то есть предлагается одна системавместо двух.Создается впечатление, что эта интеграция с AD является обязательной, но этоне так, если вы не планируете создавать домены и леса (более подробно об этом см.в гл. 19). И даже в этом случае она не является обязательной, но вам следует объединитьэти два компонента, если вы хотите свести к минимуму администрирование.Возможно, у вас есть UNIX-станции; можно использовать DNS на Microsoft-станцияхв стандартной (классической) конфигурации с первичным (primary) и вторичным(secondary) серверами DNS, если вам не нужен или вы не хотите использоватьдомен в своем окружении. Однако предпочтительно использовать конструкции леса/домены с контроллерами доменов через Active Directory.Цель этой главы — способствовать пониманию разрешения имен в целом, и, вчастности, DNS, с выделением отличий между Windows 2000 и 2003. Вы также узнаетео прежней форме разрешения имен, которая применялась фирмой Microsoft:разрешение имен NetBIOS, которое происходило с помощью службы WINS (WindowsInternet Naming Service).13*

388 Windows Server 2003. Полное руководствоКак это начиналосьВсе началось с файлов HOSTS. Это «плоские» текстовые файлы ASCII, содержащиепострочный набор записей. Эти записи только представляли связь IP-адреса с именеммашины, например, 192.168.1.1 Tracker.Truckstp.com. Идея состояла в том, чтоTracker - это легко запоминаемое имя машины, a resolver (клиентский компонент,состоящий из программной части и библиотек на клиентском компьютере) читаетэтот файл, находит имя машины, извлекает ее IP-адрес и выполняет поиск по этомуадресу.Вы можете все еще использовать файлы HOSTS; обычно они находятся в подпапке%SYSTEMROOT\ system32\drivers\... Вы можете редактировать такой файл спомощью Блокнота (Notepad) и добавлять в него любую машину, если у вас естьимя и IP-адрес этой машины, и вы знаете об изменениях в сети, которые могут повлиятьна эти записи. Использование файла HOSTS сопряжено с ошибками, например,возможно дублирование имен или адресов. Этот подход не позволяет поддерживатьмасштабирование; достаточно представить себе, сколько затрудненийможет вызвать поддержка этих файлов для крупного предприятия. На каждой машине!Без каких-либо средств безопасности!Разрешение имен в целомФайлы HOSTS - это опасное средство, а разрешение имен должно реализоватьсянадежным образом. Ответом на эту задачу стала DNS. Вместе со своей базой данныхи инструментами, а также благодаря своей распределенной природе подходящаяструктура DNS обеспечивает разрешение имен, избыточность, согласованностьи точность. В любой сети, содержащей более одного сегмента, существует некотораяформа разрешения имен. Если локальная сеть состоит только из одного сегментабез разрешения имен, то используются широковещательные сообщения. Широковещательныесообщения используются компьютерами в сети для поиска другихкомпьютеров. К сожалению, исходный компьютер не знает местоположения целевогокомпьютера, поэтому исходный компьютер должен отправлять для его поискашироковещательное сообщение (это похоже на поиск приятеля в заполненном людьмипомещении, когда нужно громко выкрикнуть его имя). Все люди в помещенииуслышат ваше сообщение; то же самое произойдет с компьютерами данного сегмента,но только целевой компьютер ответит на ваше широковещательное сообщение.После установления связи между исходным и целевым компьютерами последующийобмен информацией происходит посредством направленных дейтаграмм.Компьютеры делают это также в небольших немаршрутизируемых локальныхсетях. Но локальные сети разрастаются: широковещательные сообщения являютсяодной из причин, по которым они становятся маршрутизируемыми. Разрешениеимен почти всегда предусматривает связь между IP-адресом и именем машины снамерением поиска и подсоединения к некоторой службе, которая предоставляетсяэтой машиной. В среде TCP/IP соединение создается с машиной и, тем самым, спортом в стеке протоколов, которому направлено сообщение (например, с портом80 для посещения веб-сайта). Все это позволяет вам иметь легко запоминаемое имямашины, например, www.skillet.com. Рассмотрим процесс разрешения пути к машинеwww.skillet.com.Вам нужна новая сковородка (skillet). Вы подсоединены к сети, поэтому запускаетебраузер и вводите имя www.skillet.com, которое передается клиентскому компоненту(resolver), задачей которого является поиск сервера Skillet. Resolver - этонабор библиотек, которому передается имя www.skillet.com, после чего происходит

Глава 12. Ознакомление с DNS 389обращение к серверу DNS. Resolver выполняет операции в определенном порядке.Он всегда начинает с локального поиска (то есть с поиска на вашем компьютере), иесли у вас есть что-либо в файле HOSTS, он будет обработан (независимо от последствий).Затем resolver анализирует вашу конфигурацию TCP/IP, определяет, какая машинаявляется предпочтительным сервером DNS, и затем запрашивает этот сервер.Ваши клиенты более ранних версий Windows действуют иным образом; продуктына основе Windows 9x (DOS) сначала выполняют поиск среди имен NetBIOS. Ониобращаются к DNS, если не удается поиск NetBIOS, но в некоторых случаях ожидание,пока не истечет период тайм-аута для NetBIOS, может вызывать ощутимуюзадержку. Причина очевидна: эти системы были созданы для работы в первую очередьс разрешением имен NetBIOS, которое происходило с помощью службы WINS.Со временем появилась DNS, и порядок поиска этих операционных систем теперьустарел, поскольку не отражает разрешение хост-имен сетью TCP/IP.NT4 тоже выполняет разрешение имен таким способом, если имя NetBIOS непревышает 15 символов, и в нем нет точек. В противном случае NT4 обращаетсясначала к DNS. Но вернемся все же к Skillet.com.Напомним, что resolver запрашивает у первичного (primary) сервера DNS, можетли он преобразовать данное имя в IP-адрес. Этот сервер DNS проверяет своюзону и кэш, не находит соответствия и, тем самым, не может выполнить разрешениеимени. Затем этот сервер DNS ищет другой сервер DNS и обращается к нему.Сервер DNS обычно устанавливается на «границе» сети компании, и все, что онделает, это пересылка запросов какому-либо серверу DNS снаружи. Этот тип сервераDNS называется сервером перенаправления запросов (forwarder). Внутреннийсервер DNS запрашивает сервер перенаправления запросов, который сначала проверяет,может ли он сам выполнить разрешение имени. Если нет, то он передаетданный запрос другим серверам DNS в интернете, пока не будет найдено соответствиеили не произойдет отказ запроса. Успешно разрешенное имя возвращается вкэш локального сервера DNS, поэтому при повторных попытках посещения вебсайтаSkillet разрешение будет происходить быстрее.Итак, нам удалось заказать сковородку (skillet); благодаря DNS мы нашли путь кSkillet.com, а также увидели за это время, как выполняется процесс разрешенияимени. DNS — превосходная система, и она использует для поиска средства, которыеназываются запросами. Она использует следующие типы запросов.• Рекурсивный (Recursive). Resolver (клиентский компонент) направляет запрос серверуDNS и не предполагает никакого взаимодействия для попытки найти ответ.Все проведение поиска возлагается на сервер DNS, который начнет использоватьдругие серверы, будет направлять запросы и действовать как представительдля resolver. Эти дальнейшие запросы называются итеративными.• Итеративный (Iterative). Итеративный запрос является противоположностью рекурсивногозапроса (его также называют нерекурсивным); с его помощью у сервераDNS запрашивается наилучший ответ, и он должен отвечать без каких-либозапросов любым другим серверам DNS.• Обратный (Inverse). Этот тип запроса направляется машиной, которая ищет хостимяи отправляет IP-адрес, чтобы получить это хост-имя. Этот запрос необычен втом смысле, что сервер DNS выполняет просмотр только своей собственной зоны.Поиск ограничивается этой зоной при любом исходе - успешном или неудачном.Такой запрос используется редко, и он поддерживается только в Windows DNSдля обеспечения обратной совместимости с прежними версиями DNS.

390 Windows Server 2003. Полное руководство• Только дотирующийсервер (Caching-only server). Эта функция DNS не являетсяформально запросом, но она должна использоваться с запросами. Такой серверне авторизуется и не содержит никакой зоны. Он получает запрос от клиента ипередает этот запрос сети DNS для разрешения. Получив результат разрешения,он кэширует его на некоторый период времени на тот случай, если какой-либодругой клиент повторит тот же запрос. Это ускоряет разрешение имен.Используя эти методы, сервер DNS последовательно ищет IP-адрес, начиная сURL (Uniform Resource Locator) вашего браузера, передаваемого в resolver. В результатевы получаете один из двух ответов: то, что вы ищете, или сообщение обошибке.ДоменыЧтобы понять, как действует DNS, полезно ознакомиться с окружением, в которомвыполняет свою работу эта служба. Начнем с иерархии DNS. Корневой домен известенпросто как «.». Верхний домен находится на один уровень ниже, и на этомуровне находится целый ряд доменов DNS. Вы знаете все эти суффиксы: .СОМ (коммерческие),.GOV (правительственные), .EDU (образование), .INT (международные),.ORG (организация), .NET (Net-провайдеры, ISP [Провайдеры услуг Интернет]и т.д.) и .MIL (военные). Достаточно интересно, что ICANN (новаянекоммерческая организация по назначению адресов и имен в интернете) ссылаетсяна эти «обобщенные» домены верхнего уровня, и в период между 2000 и 2002 гг.она ввела еще семь: .BIZ, .INFO, .NAME, .PRO, .AERO, .COOP и .MUSEUM. Hoпока еще используются не все эти новые имена.На следующем уровне обычно находится домен, поддерживаемый частной фирмой;я буду использовать для своих примеров корпоративный домен .СОМ, но дляэтого можно было бы использовать любой из только что перечисленных доменов.Вы можете рассматривать домены DNS аналогично структуре папок на жесткомдиске в смысле разбиения пространства имен DNS. Домен «.» аналогичен корневойпапке; далее идет верхний уровень (.СОМ), и на следующем уровне находится «папка»,представляющая корпоративный объект некоторого рода (частный или общественный).Имя верхнего уровня (.СОМ) и корпоративная «папка», например,Microsoft, совместно образуют доменное имя. Пространство имен Microsoft можетразбиваться на меньшие домены («подпапки») Active Directory/DNS, представляющиев компании Microsoft различные подразделения или службы, например,accounting.microsoft.com (бухгалтерский учет). Такой домен обычно недоступен изInternet в отличие от microsoft.com; однако имеются исключения, например,http://support.microsofl.com/default.aspx?scid=fh;[ln];kbhowtoпредставляет службы поддержки Microsoft. Здесь находится Knowledge Base вместес различными рекомендациями от MS Support. Каждая субзона отвечает за правильностьсобственной работы.Это обычное пространство DNS, известное как зона прямого поиска (forwardlookup zone). Существует также зона обратного поиска (reverse lookup zone), известнаятакже как in-addr.arpa, что является ее техническим названием. При запросеобратного поиска вместо дружественного для пользователя имени (как это происходитпри поиске в зоне прямого поиска) выполняется поиск определенного IPадресамашины. Записи в зоне обратного поиска содержат IP-адрес и затем имямашины. Resolver может определить, соответствует ли в действительности опреде-

Глава 12. Ознакомление с DNS 391ленный IP-адрес дружественному имени, которое он указывает. Поскольку IP-адресарегистрируются вместе с доменными имена DNS, поиск по IP-адресу позволяетопределить, из какого домена происходит этот IP-адрес. Если он не соответствуеттому, что он должен представлять, то это может быть «самозванец».IP-адреса организованы таким образом, что их «старшинство» повышается слеванаправо, а в доменных именах «старшинство» снижается слева направо. Но IPадресав домене in-addr.arpa (зона обратного поиска) записываются в обратном порядке.В записях-указателях (ptr-записях), которые добавляются в зону обратногопоиска, сначала указывается IP-адрес и затем - хост-имя, - в отличие от зоны прямогопоиска, где сначала идет хост-имя и затем - IP-адрес. Для выполнения успешногообратного поискало заданному IP-адресу, например, 121.41.113.10, выполняющийпоиск сервер DNS ищет PTR-запись для 10.113.41.121.in-addr.arpa, котораясодержит определенное хост-имя и IP-адрес 121.41.113.10.FQDN (Полностью уточненное доменное имя)А теперь предположим, что нам известен хост внутри домена. Вернемся к примерусубдомена accounting в Microsoft. Домен внутри другого домена называется дочернимдоменом, а microsoft.com в данном случае является родительским доменом. Если имяхоста - Syscrusher, то полностью это выглядит как syscrusher.accounting.microsoft.com.Любое хост-имя, выраженное таким способом, называется полностью уточненнымдоменным именем (FQDN—fully qualified domain name).ЗоныТеперь пришло время поговорить о зонах. Каждый домен является объектом со своейсобственной политикой. Если посмотреть, как устроен один из серверов DNS внутриMicrosoft, мы увидим в оснастке DNS определенные зоны. Зона может содержатьдомен, часть домена или ряд доменов; каждый из них может иметь сервер илисерверы DNS, отвечающие за эти зоны. Должен существовать хотя бы один серверDNS, поддерживающий каждую зону. Каждая зона имеет набор записей. Они называютсяресурсными записями. Сервер DNS, который работает с определенной зоной,называют «руководящим» («authority») для этой зоны. Он отвечает на любыезапросы по этой зоны. Чтобы понять это, мы рассмотрим существующие виды зоны.Сюда относится их хранение, доступ и репликация, но не их содержимое (то естьзаписи — мы скоро увидим, как они устроены). Классические зоны DNS в Windowsхранились и продолжают храниться в текстовых файлах с расширением .dns.Первичная зонаПервая зона называется первичной (primary) зоной. Эта зона создается на первичном(основном) сервере и является только доступным для записи экземпляром базы данных.Эта зона должна содержать хотя бы две записи - запись SOA (Start of Authority)и NS (name server). В классической DNS файл этой зоны должен был редактироватьсявручную, но последующие версии DNS (в Windows 2000 и 2003) позволяютвыполнять защищенное и незащищенное динамическое обновление. Большинствозаписей - это «А»-записи, представляющие хосты, добавленные вручную или зарегистрированныеими самостоятельно; но существует также много других типов записей.Вскоре мы рассмотрим наиболее употребительные типы записей. КлассическаяDNS в Windows Server 2003 позволяет выбрать один из двух вариантов: запрет

392 Windows Server 2003. Полное руководстводинамических обновлений или разрешение защищенных и незащищенных обновлений.Вторичная зонаВторичная (secondary) зона извлекается из первичной и доступна только по чтению.Соответствующий сервер должен находиться в другой подсети и создается в небольшихокружениях для избыточности; в более крупных окружениях это позволяет распространятьвторичные серверы DNS в удаленные сайты для повышения производительности.Зона, интегрированная с Active DirectoryЭта версия зоны находится в Active Directory на каждом контроллере домена. Главнаякопия базы данных DNS реплицируется на каждый контроллер домена, и в нее можетвносить изменения каждый контроллер домена (конечно, при соответствующихполномочиях). Нужно следить, сколько записей/зон используется в Active Directory(AD); слишком большое количество может вызывать снижение производительности.Фиктивная (Stub) зонаЭто новый тип зоны, появившийся в Windows 2003. Это копия дочерней зоны с записями,идентифицирующими дочерний сервер имен, который является «руководящим»для этой дочерней зоны. Она содержит SOA-запись, NS-запись и связывающуюА-запись. Это известно как делегирование. Сервер родительской зоны можетполучать обновления от дочерней зоны, которые будут сохраняться в кэше серверародительской зоны. Записи в такой зоне не изменяются. Ее назначение - это «склеивание»двух пространств имен, чтобы обеспечивать правильность ссылок из родительскойзоны в дочернюю зону.Конечно, делегирование не является чем-то новым. Stub-зоны позволяют исправитьситуацию, которая возникала в связи с делегированием, я объясню это сейчас.У нас имеется родительский домен - microsoft.com. У нас имеется также дочернийдомен - accounting.microsoft.com. При первом делегировании этой дочернейзоны в зоне accounting был только один «руководящий» сервер DNS. Но посколькусо временем пространство имен accounting разрослось, администраторы решилиустановить два новых сервера для этого дочернего домена.Однако сервер DNS, содержащий родительскую зону (microsoft.com), остается«в неведении» об их существовании и продолжает «упорно» обращаться к исходному(руководящему) серверу DNS по поводу accounting.microsoft.com. Чтобы справитьсяс этой ситуацией балансирования нагрузки, родительский сервер конфигурируется,чтобы хранить stub-зону для дочернего домена, и при обновлении этойзоны он обращается к руководящему серверу этой зоны, что позволяет ему узнать одвух новых серверах DNS и выполнять рекурсивный опрос всех этих серверов.ДелегированиеПродолжим наш пример. Родительская зона (microsoft.com) имеет дочернюю зону(accounting.microsoft.com), и управление этой дочерней зоной называют делегированиемот родительской зоны. Делегирование, которое позволяет передавать управлениев разделенном пространстве имен, можно осуществлять по целому ряду при-

Глава 12. Ознакомление с DNS 393чин, например, необходимость для другого отдела управлять отдельной зоной илибалансирование нагрузки и отказоустойчивость. Дочерняя будет руководящей длясамой себя. Важно помнить, что можно создавать дочерние зоны без делегированиядля них. В этом случае управление остается за родительской зоной.ЗаписиВ DNS имеется много типов записей, но из-за недостатка места, времени, а такжеввиду несущественности в нашем случае некоторых записей мы рассмотрим тольконаиболее употребительные типы записей.• А-запись. Указывает адрес хоста. Она отображает хост-имя на адрес и может выглядетьследующим образом:Myhost.mycompany.com IN A 192.168.0.1• АААА-запись. Эта запись пока используется не слишком много, но ожидается,что она будет активно использоваться с появлением IP6. Считалось, что все доменныеимена и IP-адреса будут скоро исчерпаны из-за потребительского роста.Это не происходит, и пока повсеместно используется IPv4. Вот пример хостзаписииз зоны, которая хранится в среде IPv6.INAAAA1234:1:2:3:4:567:89cd• CNAME-запись. Это каноническая запись, обычно используемая для алиасов(псевдонимов). Она позволяет отображать несколько хост-имен на заданный IPадрес.Многие компании используют этот метод, чтобы убедиться, что их посетилпредполагаемый заказчик, даже если этот посетитель немного ошибся в URLили имеется несколько вариантов написания URL компании. В этом случае заказчикбудет уверен, что попал на нужный сайт.• SRV-запись (локатор служб). Эта запись особенно важна для Windows 2000 и 2003в конфигурации лес/домены. Она используется для регистрации контроллеровдомена (DC) в DNS и для объявления несколькими серверами информации отом, что они предоставляют определенную службу TCP/IP. Если вы пытаетесьсоздать новую запись, то имеете возможность задания для нее определеннойслужбы TCP/IP. После размещения такой записи клиент, направляющий SRVзапрос,может использовать определенную службу TCP/IP, которая предоставляетсяв данном домене несколькими серверами. Если вы не можете найти контроллердомена для присоединения к домену, то SRV-записи - это одно изсредств, которое вам следует использовать. Эта запись позволяет находить контроллерыдомена, которые используют службу LDAP (AD) через порт TCP 389.• NS-запись. Эта запись идентифицирует сервер(ы) имен для заданного доменаDNS. В NS-записях указываются первичные и вторичные серверы для пространстваимен плюс дочерние зоны, происходящие из него.• SOA-запись (Start of Authority), эта запись определяет зону, для которой данныйсервер является руководящим. Она имеет такие параметры конфигурированиядля сервера, как срок действия (time to live), кто несет ответственность за указанныйсервер, имена сервера имен (NS server), частоту обновления, последовательный(или «магический») номер, используемый для маркировки измененийзон, и запускаемая репликация (trigger replication).• PTR-запись. Эта запись позволяет быстро выполнять обратный поиск с помощьюзоны обратного поиска (inaddr.arpa). Она считается обратной А-записью,

394 Windows Server 2003. Полное руководствоно не похожа на нее ввиду использования inaddr.arpa в реальной записи. Такаязапись для хоста syscrusher.skillet.com с IP-адресом 100.200.252.1 имеет следующийвид: 1.252.200.100.in-addr.arpa IN PTRsyscrasher.skillet.com.• МХ-запись. Эта запись для почтового обмена. Вы можете иметь несколько записей,которые указывают несколько ближайших почтовых серверов, и можете располагатьих в нужном вам порядке.Microsoft имеет несколько особых записей для собственных целей; эти записииспользуются для связи с различными окружениями WINS. Это следующие записи:• WINS. Позволяет MS DNS использовать сервер WINS для разрешения хост-имени.Это полезно, если у вас имеются клиенты более ранних версий Windows, которыене получают регистрации в какой-либо зоне DNS. Нужно найти такуюзапись, после чего будет запрошен сервер WINS.• WINS-R. Эта запись позволяет осуществлять обратный поиск. Это только записиMicrosoft, и они могут быть ограничены при пересылке зон.Пересылка/Репликация зонСерверы DNS реплицируют свои зоны. Они делают это по целому ряду причин взависимости от структуры сети, но две наиболее важные причины - это отказоустойчивостьи производительность. В начале использования DNS существовали первичныйи вторичный серверы DNS. Оба содержали идентичные копии своих зон, ивторичный сервер обычно помещали в другую сеть, чтобы выход из строя первичнойсети или отказ соответствующего сервера не приводили к потере функции разрешенияимен. Они реплицировались по какому-либо событию, например, загрузкасерверов или обновление зон первичного сервера, поэтому в случае появления«магического номера» в записи Start of Authority (SOA-записи) вторичный серверобнаруживал это и извлекал базу данных, если были отличия.«Магический номер» относится к терминологии BIND DNS. Это последовательныйномер, который наращивается каждый раз, как вносятся изменения в какуюлибопервичную зону. За этим номером следят вторичные серверы, и если он изменяется,то происходит запуск репликации зон. Это называется пересылкой зон.Изменения могли вноситься только на первичном сервере; все вторичные системыбыли копиями первичной, что снижало риск повреждения базы данных. Этохарактерный тип конфигурации для среды UNIX, но ее можно создавать и с помощьюWindows 2003. Как я уже говорил выше, предпочтительный метод - это использованиелесов и доменов. Репликация происходит здесь в другом смысле; в домене,работа которого основывается на Active Directory (AD) и DNS, нет понятияпервичных и вторичных серверов. В AD имеются только зоны AD.В этой конфигурации, которая называется репликацией с несколькими основнымиконтроллерами (multimaster-репликацией), зоны DNS хранятся на контроллерахдоменов, и зоны реплицируются через Active Directory. Здесь действует определенный«симбиоз»: AD требуется служба DNS для поиска объектов, других контроллеровдоменов и сайтов в дереве; службе DNS требуется AD для репликации на остальныеконтроллеры каждого домена. Это происходит следующим образом: послесоздания зоны она сохраняется в интегрированном с AD хранилище зон. Они хранятсяв дереве Active Directory под доменом или разделом каталога приложений.Раздел приложений (application partition) - это новое понятие, введенное вWindows 2003; в нем хранятся данные приложений, которые могут выборочно реплицироватьсяна определенные контроллеры домена (более подробно об этом см. в

Глава 12. Ознакомление с DNS 395гл. 19, и мы рассмотрим соответствующее средство, DNSCMD, ниже в разделе «СредстваDNS»). В классической DNS зоны всегда реплицировались полностью. Начинаяс Windows 2000, репликацию зон можно конфигурировать для полной репликации(вся зона копируется с помощью запроса AXFR) или добавочной формыпересылки зон (с помощью запроса IXFR). Если вам нужно подробное описание,см. документ RFC 1995.Это дает вам селективную форму multimaster-репликации: все или некоторыеконтроллеры домена содержат копии зоны и могут выполнять разрешение имен,обеспечивая при этом безопасность зоны. Какой вид безопасности? Вы можете вноситьизменения в список контроля доступа (ACL) для защиты контейнера объектовdnsZone в дереве каталога. Это дает вам полный контроль над доступом к зоне илиЭто дает вам полный контроль над зоной или указанной ресурсной записью (RR -resource record) в этой зоне. С помощью списка ACL вы можете запрещать группами/или хостам динамическое обновление любой RR данной зоны.Если вы добавляете к домену контроллер домена, то зона реплицируется в негобез каких-либо дополнительных усилий. Вы можете также выбирать между репликациейвсей зоны и части зоны, что не было доступно в прежних DNS!ФайлыDNS состоит из набора файлов. Ниже приводится список этих файлов и описываетсяих назначение.• Cache.dns. Этот файл называют также файлом «корневых подсказок» (root hints).Он содержит корневые серверы для Интернет. Если вы подсоединены к Интернет,то все в порядке, но если нет, то требуются небольшие поправки. Простозамените серверы Интернет на SOA- и NS-записи для сервера DNS, которыйявляется руководящим для вашей зоны. Назначение этого файла - помогать впоиске корневых серверов для использования в инициализации кэша сервера.Если вы находитесь в Интернет, то, используя серверы, которые включаются вэтот файл, вам еще проще изменять его из вкладки Root Hints (Корневые подсказки),находящейся в окне свойств вашего сервера.• Root.dns. Этот файл используется в том случае, если ваш сервер DNS являетсякорневым сервером для вашей сети.• Your_Zone.dns. Вы увидите этот файл, только если используете стандартную первичнуюили вторичную зону. Этот файл отсутствует, если вы используете интегрированнуюс Active Directory DNS.• Boot. Возможно, вы знаете такой файл под именем named.boot, если использовалиBIND DNS. Он не присутствует по умолчанию, но если у вас есть BINDсистема,из которой требуется его импортировать, используйте вариант FromFile (Из файла) в окне свойств сервера оснастки DNS.Имеется также исполняемый файл DNS. EXE и клиентский компонент (resolver),который запускается на клиентской машине.DNS Windows Server 2003Теперь поговорим о новых возможностях. Имеется довольно много отличий, которыевы увидите в DNS 2003. Вот их список.

396 Windows Server 2003. Полное руководство• Круговая система обновлений (Round robin). В DNS обычно используется круговаясистема, когда у сервера запрашиваются ресурсные записи одинакового типадля одного и того же доменного имени. Если это вызывает проблемы, то вы можетеотключить использование круговой системы для определенных типов записей.Для этого нужно внести следующие изменения в реестр.• HKLM\System\CurrentControlSet\Services\DN S\Parameters\• DoNotRoundRobinTypes• Тип: REG_DWORD• Допустимый диапазон значений: любой тип RR (SRV, A, NS)• Разъединенное пространство имен. Если вы модернизируете сервер NT4 к Windows2003 и хотите использовать имя Active Directory, которое отличается от предыдущегопервичного суффикса NT4, то текущий первичный суффикс FQDN будетвсегда соответствовать доменному имени. Если вы еще не сталкивались с этим ихотите получить более подробные сведения, обратитесь к статье Knowledge BaseQ257623, «Domain Controller's DNS Suffix Does Not Match Domain Name» (СуффиксDNS контроллера домена не совпадает с доменным именем).• Корневая зона (Root zone). Начиная с NT4, MS DNS автоматически добавлялакорневые зоны к серверам DNS. В Windows 2003 это прекращено. В NT4 этоинициировалось, когда сервер DNS впервые подключался к сети и не мог ещевыдавать информацию серверам корневых подсказок в Интернет. Это вызывалопару проблем, в особенности невозможность задания пересылки запросов иливзаимодействия с этими серверами. Теперь, если вам нужна корневая зона «.»,вы можете сделать это вручную.• Выбор вариантов репликации зон. Теперь вы можете выбирать один из четырехспособов репликации. Вы можете выбирать их при создании вашей зоны иликогда хотите изменить метод хранения зоны. Вот эти варианты; читайте внимательно,поскольку отличия невелики. Кроме того, учитывайте влияние, котороеможет оказать ваш выбор на используемую долю пропускной способности сетии нагрузку сети.• Все серверы DNS в домене AD [Active Directory] (All DNS Servers in AD Domain).Это репликация всех данных вашей зоны на каждый контроллер домена вдомене AD. Это вариант по умолчанию, когда вы создаете интегрированныес AD зоны DNS в системе Windows Server 2003.• Все серверы DNS в лесу AD (All DNS Servers in AD Forest). Это максимальновозможный охват, при котором ваши зоны реплицируются на каждый контроллердомена в данном лесу. Такая репликация требует значительной части пропускнойспособности. Выбор вариантов позволяет администратору управлятьвозможностями репликации, чтобы можно было использовать не слишком большуюдолю пропускной способности или настраивать соединение с низкой пропускнойспособностью. В этом примере будет реплицироваться каждый серверDNS в заданном лесу, что вызовет максимальное увеличение трафика.• Все контроллеры домена (DC) в домене AD (All DCs in AD Domain). Информациязоны реплицируется на все контроллеры домена в домене AD. Это вариант,который вы должны выбрать, если хотите, чтобы серверы DNS Windows2000 загружали зону AD.• Все серверы DNS в указанном разделе каталога приложений (All DCs Serversin a Specified Application Directory Partition). Вы можете реплицировать информациюзоны согласно охвату репликации указанного раздела каталогаприложений. Если выбрать этот вариант, то сервер DNS, на котором хранитсяваша зона, должен быть зарегистрирован в выбранном вами каталоге

Глава 12.ОзнакомлениесРЫЗ 397приложений. Для этого вы можете использовать DNSCMD (более подробноо DNSCMD см. ниже в разделе «Средства DNS»):dnscmd Имя-вашего-сервера /CreateDirectoryPartition ваш-контроллер-домена.вашдомен.сотВы должны использовать здесь полностью уточненное доменное имя (FQDN).Регистрация вашего сервера DNS в новом разделе происходит почти так же:dnscmd Имя-вашего-сервера /EnlistDirectoryPartition ваш-контроллер-домена.ваш-домен.сошИ, наконец, если вы решили использовать разделы AD, то все объекты DNS удаляютсяиз Глобального каталога (Global Catalog). DNSCMD не устанавливается поумолчанию; это должны сделать вы:1. Перейдите на свой дистрибутивный CD.2. Войдите в папку support\tools.3. Щелкните на suptools.msi. Произойдет запуск программы установки, после чегобудут установлены средства поддержки (Support tools).• Автоматическое конфигурирование DNS в DCPromo. Это позволяет автоматическизадавать настройки ваших клиентов DNS, если выполняются следующиеусловия.• Имеется какое-либо одно сетевое соединение.• Предпочтительные и альтернативные настройки DNS совпадают.• Настройки DNS имеются только по одному соединению.В результате будут запрошены текущие серверы DNS, указанные в сетевых настройках,обновлены корневые подсказки, сконфигурированы серверы перенаправлениязапросов (forwarders) с помощью предпочтительных и альтернативных серверовDNS, заданы настройки DNS с адресом «обратной связи» 127.0.0.1 и затемсконфигурированы все предыдущие предпочтительные и альтернативные серверыDNS. Если все это проходит успешно, то в Event Viewer (Просмотр событий) записываетсясоответствующий журнал.• Фиктивные (Stub) зоны. Мы рассматривали stub-зоны выше; по сути это делегированныедочерние зоны, содержащие SOA-записи, NS-записи и А-записи хостов.Они «склеивают» пространства имен. Сервер DNS может запрашивать серверимен (NS) непосредственно вместо рекурсии. Изменения вносятся в зоны,когда происходит обновление или загрузка главной зоны. Локальный списокглавных зон определяет физически локальные серверы, из которых нужно выполнятьпересылку.• Серверы перенаправления запросов по условиям. Когда сервер DNS получает запросот клиента, этот сервер выполняет локальный поиск, то есть просматриваетинформацию своей зоны или информацию, содержащуюся в его кэше. Если онне получает ответа, то перенаправляет данный запрос (если это задано) серверамDNS, для которых он был сконфигурирован. Перенаправление по условиямявляется более детальным в том смысле, что вместо простого перенаправлениязапроса любому серверу перенаправление выполняется в соответствии с конкретнымидоменными именами, заданными в этих запросах. Во вкладкеConditional Forwarders (Серверы перенаправления по условиям), для вызова которойнужно щелкнуть правой кнопкой на сервере в оснастке DNS management,показано, что соответствующие условия можно задавать по конкретному доменномуимени или по IP-адресу сервера перенаправления данного домена.

398 Windows Server 2003. Полное руководство• Group policy (Групповая политика). Это средство конфигурирования клиентов. Всреде со многими клиентами DNS не существует средства, с помощью которогоможно было конфигурировать всех клиентов сразу, и это конфигурирование историческивыполнялось по отдельности для каждой системы. Такие вещи, какзадание доменных суффиксов и может или не может клиент динамически обновлятьсвои записи, указывались вручную. Средство Group Policy позволяетконфигурировать группу клиентов идентичным образом посредством определеннойгрупповой политики. В конкретные настройки включаются разрешение/отключение динамических обновлений, вывод списка серверов DNS для использованияклиентом, предоставление списков суффиксов DNS и передача суффиксапервичной DNS в процессе разрешения имен. Если вы разрешаете определеннуюпроблему и при этом используете какую-либо групповую политику,то вам следует помнить, что групповая политика замещает любые другие настройки,например, локальные настройки и/или настройки DHCP. Если вам нужно,то вы можете обойти это правило через реестр, хотя это относится только к динамическойрегистрации:• Имя. DoNotUseGroupPolicyForDisableDynamicUpdate• Раздел (Key). HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters• Тип данных. REG_DWORD• Допустимый диапазон. 0x0 (использовать групповую политику) и 0x1 (использоватьлокальные настройки)• По умолчанию (Default). 0x0Записи реестра клиентской стороныНиже приводится более подробный список записей реестра клиентской стороны.Динамическое обновление (Dynamic Update)Эта настройка политики определяет, включено ли динамическое обновление. Компьютеры,сконфигурированные для динамического обновления, автоматически регистрируюти обновляют свои ресурсные записи DNS с помощью сервера DNS.Имя: RegistrationEnabledРаздел: HKLM\Software\Polices\Microsoft\WindowsТип: REG_DWORDNT\DNSClientДопустимый диапазон: 0x0 (отключено) и 0x1 (включено)Список поиска суффиксов DNS (DNS Suffix Search List)Групповая политика для списка поиска суффиксов DNS важна для будущего переходак свободной от NetBIOS среде. Если вы включаете эту настройку, то пользовательнаправляет запрос поиска имени с одной меткой (например, «widgets»), а клиентлокальной DNS присоединяет суффикс (например, «microsoft.com»), что дает врезультате запрос поиска «widgets.microsoft.com», прежде чем отправить этот запроскакому-либо серверу DNS.Имя: SearchListРаздел: HKLM\Software\Polices\Microsoft\WindowsТип: REG_SZNT\DNSClientДопустимый диапазон: разделенные запятой строки суффиксов DNS

Передача первичного суффикса DNS(Primary DNS Suffix Devolution)Глава 12. Ознакомление с DNS 399Эта настройка политики определяет, будет ли клиент DNS выполнять передачу первичногосуффикса DNS в процессе разрешения имени. Если клиент направляет запросимени с одной меткой (например, «mybox»), то локальный клиент DNS присоединяетсуффикс (например, «skillet.com»), что дает в результате запрос«mybox.skillet.com», прежде чем отправить этот запрос серверу DNS.Первичный суффикс DNS передается до тех пор, пока не будет разрешен запросили суффикс DNS не будет иметь две метки (например, «skillet.com»). Первичныйсуффикс DNS не может быть передан менее чем двум меткам.Раздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClientТип: REG_DWORDДопустимый диапазон: 0x0 (отключено) и 0x1 (включено)Регистрация PTR-записи (Register PTR Record)Эта настройка политики разрешает или запрещает клиенту регистрировать PTRзаписи.В состоянии по умолчанию клиенты DNS, сконфигурированные для выполнениядинамической регистрации DNS, пытаются выполнить регистрацию ресурснойPTR-записи, только если они успешно зарегистрировали соответствующуюресурсную А-запись. Чтобы включить эту политику, выберите Enable (Включить) ивыберите одно из следующих значений.• Do not register (He регистрировать). Компьютеры никогда не будут пытаться регистрироватьресурсные PTR-записи.• Register (Регистрировать). Компьютеры пытаются регистрировать ресурсныеPTR-записи независимо от успешности регистрации А-записей.• Register only if A record registration succeeds (Регистрировать, только если успешнозарегистрирована А-запись). Компьютеры пытаются регистрировать ресурсныеPTR-записи, только если они успешно зарегистрировали соответствующиересурсные А-записи.Имя: RegisterReverseLookupРаздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClientТип: REG_DWORDДопустимый диапазон: 0x0 (отключено), 0x1 (включено)Интервал обновления регистрации (Registration Refresh Interval)Эта настройка политики определяет интервал обновления регистрации ресурсныхА- и PTR-записей для компьютеров. Эту настройку можно применять только к компьютерам,которые используют динамическое обновление. Если ресурсные записиDNS регистрируются в зонах с включенной очисткой, то значение этой настройкидолжно быть не больше, чем Refresh Interval (Интервал обновления), заданный дляэтих зон. Задание величины Registration Refresh Interval, превышающей RefreshInterval этих зон DNS может вызывать преждевременное удаление ресурсных А- иPTR-записей, что может вызвать определенную проблему.Имя: RegistrationRefreshlntervalРаздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClient

400 Windows Server 2003. Полное руководствоТип: REG_DWORDДопустимый диапазон: больше или равно 1800 (секунд)Замена адресов в конфликтах (Replace Addresses in Conflicts)Эта настройка политики определяет, будет ли клиент DNS, который пытается зарегистрироватьсвою ресурсную А-запись, замещать существующие ресурсные А-записи,содержащие конфликтные IP-адреса. Во время динамического обновления зоны,которая не использует Secure Dynamic Update (Защищенное динамическое обновление),клиент может обнаружить, что существующая ресурсная А-запись связываетDNS-имя хоста данного клиента с IP-адресом другого компьютера. Согласно конфигурациипо умолчанию этот клиент DNS попытается заместить эту существующую А-запись той А-записью, которая связывает DNS-имя с IP-адресом клиента.HMH:RegistrationOverwritesInConflictРаздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClientТип: REG_DWORDДопустимый диапазон: 0x0 (отключено) и 0x1 (включено)Регистрация записей DNS с помощью суффикса DNSдля конкретного соединения (Register DNS Records withConnection-Specific DNS Suffix)Эта настройка политики определяет, может ли компьютер, выполняющий динамическуюрегистрацию, регистрировать свои ресурсные А- и PTR-записи путем конкатенациисвоего имени (Computer Name) и суффикса DNS для конкретного соединения(в дополнение к регистрации этих записей путем конкатенации своегоимени и первичного (Primary) суффикса DNS.Имя: RegisterAdapterNameРаздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClientТип: REG_DWORDДопустимый диапазон: 0x0 (отключено), 0x1 (включено)Примечание. Если динамическая регистрация DNS отключена на компьютере (илиотключена для конкретного сетевого соединения, к которому применяется эта настройка),то компьютер не будет пытаться выполнять динамическую регистрациюDNS для его А- и PTR-записей независимо от настройки этой политики.Задание TTL (Срок действия) в А- и PTR-записях(TTL Set in the A and PTR Records)Эта настройка политики указывает значение для поля TTL (time-to-live) ресурсных А-и PTR-записей, регистрируемых в компьютерах, к которым относится эта настройка.Имя: RegistrationTTLРаздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClientТип: REG_DWORDДопустимый диапазон: 0-4294967200 (секунд)По умолчанию: 600

Глава 12. Ознакомление с DNS 401Уровень защиты обновлений (Update Security Level)Эта политика указывает, какой вид обновлений для регистрации DNS-записей будутиспользовать компьютеры, к которым применяется эта настройка, - защищенные динамическиеобновления или стандартные динамические обновления. Чтобы включитьэту настройку, выберите вариант Enable и выберите одно из следующих значений.• Unsecure Followed By Secure (Защищенные после незащищенных). Если выбранэтот вариант, то компьютеры отправляют защищенные динамические обновления,только если получают отказ в незащищенных динамических обновлениях.• Only Unsecure (Только незащищенные). Если выбран этот вариант, то компьютерыотправляют только незащищенные динамические обновления.• Only Secure (Только защищенные). Если выбран этот вариант, то компьютерыотправляют только защищенные динамические обновления.Имя: UpdateSecurityLevelРаздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClientТип: REG_DWORDДопустимый диапазон: 0 (UnsecureFollowedBySecure), 16 (OnlyUnsecure), 256(OnlySecure)Обновление зон доменов верхнего уровня(Update Top-Level Domain Zones)Эта настройка политики указывает, могут ли компьютеры, к которым применяетсяэта политика, отправлять динамические обновления зонам, имя которых содержитодну метку (т.е. зонам доменов верхнего уровня, например, «com»).По умолчанию клиент DNS, сконфигурированный для выполнения динамическихобновлений, будет отправлять динамические обновления зоне или зонам DNS,которые является руководящими для его ресурсных записей DNS, кроме руководящихзон верхнего уровня и корневой зоны.Если включить эту политику, то компьютеры, к которым применяется эта политика,будут отправлять динамические обновления любой зоне, которая являетсяруководящей для его ресурсных записей, за исключением корневой зоны.Имя: UpdateTopLevelDomainZonesРаздел: HKLM\Software\Polices\Microsoft\WindowsТип: REG_DW0RDЗначения: 0x0 (отключено) и 0x1 (включено)NT\DNSClientБазовая поддержка для DNSSEC (RFC 2535)Важно отметить, что Windows Server 2003 не полностью поддерживает стандартDNSSEC, но его назначение - использовать криптографию для обеспечения защитыданных, когда информация зоны передается по проводам (или иным способом,например, в случае беспроводных соединений). Это важно, поскольку злоумышленникможет перехватывать эту информацию, чтобы найти «стратегически» важныесерверы для последующей подделки или компрометации этих серверов. Имеютсяоткрытые (public) и личные (private) ключи, которые связываются с этимизонами, чтобы в случае компрометации сервера DNS клиентские компоненты(resolver) все же могли аутентифицировать ресурсные записи из этих зон (например,эти ключи применяются к зонам, а не к серверу).

402 Windows Server 2003. Полное руководствоЭта служба использует с помощью личных ключей шифрованные цифровыеподписи, которые отправляются как ресурсные записи от серверов DNS, где хранятсяподписанные зоны. Эти записи принимаются клиентским компонентом(resolver), который может аутентифицировать их с помощью открытого ключа. Цифровыеподписи и открытые ключи добавляются к подписанной зоне как ресурсныезаписи. Отметим, что если вы хотите использовать эту службу, то для этого нужнообратиться к реестру (ее нет в оснастке DNS).HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\ParametersДобавьте EnableDnsSec в поле DWORD.Этому полю передается одно из трех значений в зависимости от того, что выхотите сделать.• 0x0. Исключение ресурсных записей (RR) DNSSEC в ответах на запросы, еслиэто не запись типа NXT, SIG или KEY. В этом случае соответствующие RR будутотправляться только в ответ на записи типа NXT, SIG или KEY.• 0x2. Включение ресурсных записей (RR) DNSSEC во все ответы.• 0x1 (или пустое поле). Если вам нужно, чтобы записи DNSSEC включались вответы для тех случаев, когда запрос клиента содержит ОРТ-запись, то добавьте0x1 или оставьте это поле пустым.Возможны случаи, когда у вас имеется сервер DNS с несколькими адаптерами(multihomed), но вы хотите, чтобы этот сервер DNS выполнял прием и отвечал толькочерез один сетевой адаптер (NIC). Для такого компьютера (два сетевых адаптера,соединенных с различными сетями) существует еще одна задача безопасности: когдаодин из сетевых адаптеров соединен с Интернет, сконфигурировать DNS, чтобыона принимала запросы только из частной сети. Это можно сделать средствами GUI(графического интерфейса). Для этого используется консоль управления Microsoft.Загрузите оснастку DNS и перейдите в раскрывающееся меню Actions (Действия).Щелкните на кнопке Properties (Свойства). Щелкните на вкладке Interface (Интерфейс),выберите Only The Following IP Addresses (Только следующие IP-адреса) идобавьте свой IP-адрес. По окончании щелкните на кнопке Add.Записи расширения для DNS (EDNSO)Исходная спецификация для DNS ограничивала размер пакета 512 октетами. EDNS0(RFC 2671) позволяет передавать пакеты большего размера. Когда сервер DNS получаетзапрос (используется протокол UDP), он ищет ресурсную ОРТ-запись клиента иизменяет свой ответ, чтобы можно было передать столько ресурсных записей, сколькоуказано этим клиентом в ОРТ-записи (размер UDP указывается в ОРТ-записи).Ведение журналов DNSВозможности ведения журналов DNS не изменились после Windows 2000, но работатьс ними стало удобнее за счет использования графического интерфейса (GUI),который включен как часть оснастки Event Viewer. Вы можете задавать фильтрациюпо пользователям, по компьютерам, по идентификаторам событий, по категориямили источникам событий от первого до последнего события и в соответствии с типамисобытий (обычная информация, предупреждения или ошибки). Ведение журналаDNS (DNS logging) представлено в оснастке DNS или в оснастке Event Viewer,включенной в окно Administrative Tools (Администрирование). Для выбора опцийведения журнала событий и отладки щелкните правой кнопкой на сервере в оснас-

Глава 12. Ознакомление с DNS 403тке DNS и выберите пункт Properties. Появятся вкладки журнала отладки (Debuglogging) и журнала событий (Event logging), и вы сможете выбрать нужные варианты.Это следующие варианты: Query (Запрос), Notify (Уведомление), Update (Изменение),Questions (Вопросы), Answers (Ответы), Send (Отправка), Receive (Получение),UDP, TCP, Full Packets (Полные пакеты) и Write Through (Сквозная запись).Средства DNSWindows Server 2003 содержит много встроенных инструментальных средств, которыеможно использовать для мониторинга, управления и устранения проблем DNS.Эти средства описываются в следующих разделах.NSLOOKUPЭта утилита командной строки позволяет запрашивать пространство имен DNS ипозволяет вам устранять наиболее распространенные проблемы DNS. Она предусматриваетинтерактивный режим, что позволяет вам просматривать ресурсные записина заданном сервере. Она имеет следующий синтаксис:Nslookup -Команда хост-имя | -СерверСервер — это указанный вами сервер, но по умолчанию используется сервер DNS,указанный на вашей странице свойств TCP/IP Properties.IPCONFIGЭту утилиту можно применять только при условии, что ваш компьютер используеттакже DHCP. Она имеет три параметра, относящихся к DNS: /registerdns, /flushdnsи /displaydns.Параметр /registerdns обновляет аренду DNS и вынуждает клиента выполнитьперерегистрацию с помощью сервера DNS. Параметр /flushdns выполняет очисткукэша клиентского компонента (resolver), /displaydns показывает, что содержится вкэше resolver.PINGЭто утилита TCP/IP, и она должна использоваться в первую очередь, чтобы выяснить,действует ли соединение между клиентом и сервером. Если не действует, то нетсмысла в устранении проблемы DNS, поскольку это проблема более низкого уровня.Кроме того, для быстрой проверки PTR-разрешения вы можете направить ping поIP-адресу, что позволит вам удостовериться в наличии соединения и хост-имени.DNSCMDЭта утилита командной строки предоставляет много возможностей. Большинствовещей, которые вы можете делать с помощью оснастки DNS, можно делать и с помощьюDNSCMD, включая скрипты, создание разделов Active Directory (AD), выводсписка этих разделов, создание и конфигурирование серверов DNS, а такжеуправление. DNSCMD не устанавливается по умолчанию; это должны сделать вы:Перейдите на свой дистрибутивный CD, войдите в папку support\tools и щелкнитена suptools.msi. Произойдет запуск программы установки, после чего будут установленысредства поддержки (Support tools). Это очень мощное средство - вводDNSCMD в командной строке даст вам представление об этом, но если говорить ореальных возможностях, то почти все (а, может быть, и все) функции, которые выполучаете с помощью GUI, доступны также с помощью DNSCMD.

404 Windows Server 2003. Полное руководствоNETDIAGЭта утилита применяется не только к DNS, поскольку она имеет много других сетевыхфункций; однако она позволяет справиться с целым рядом «таинственных»проблем и дает вам отчет о состоянии для записей DNS, которые обнаружила в регистрациях.Чтобы увидеть, что сообщит NETDIAG по определенному вопросу,перейдите в окно командной строки и вводите netdiag /fix для всех сетевых функций,которые хотите проверить, или введите netdiag /DNS. Чтобы узнать, что можетделать эта утилита, перейдите в Microsoft Knowledge Base и найдите статью 321708.NETDIAG находится в папке Support Tools на вашем дистрибутивном CD.RENDOMЭта утилита позволяет переименовывать домены в Windows 2003. Она имеет такжеочень нужную «побочную» функцию, позволяя проверять целостность домена путемпоиска необходимых записей-локаторов контроллеров домена (DC LocatorSource) на руководящих серверах DNS. Это нужно, чтобы убедиться в том, что репликацияи аутентификация будут происходить должным образом после переименования.Ее легко использовать для переименования записей-локаторов контроллеровдомена на сервере DNS, который является руководящим для данной зоны, ипоследующей проверки целостности домена. Если определенная запись отсутствует,утилита может сообщить, какая это запись, что облегчает устранение проблем.DNSIintЭто утилита командной строки, которая охватывает большинство задач диагностикиDNS. Ее можно использовать для диагностирования наиболее распространенныхпроблем разрешения имен DNS. Она имеет три основные функции: dnslint /ql (проверкаопределенных пользователем записей на сервере DNS), dnslint /ad (проверказаписей, относящихся к активному домену [Active Domain]) и dnslint /d (проверка«неверного делегирования»). Вы можете загрузить это средство с веб-сайта Microsoft.Установка DNSУстановка DNS зависит от того, что вы планируете делать с пространством имен иActive Directory (AD). Предпочтительный метод - это их интеграция, которая требуетустановки AD и интегрированных с AD зон. Это существенно отличается от установкиклассической DNS на контроллере домена, работа которого основана на ActiveDirectory. Вам нужно выполнить необходимые шаги во время установки или с помощьюутилиты DCPROMO, вызванной из меню Start/Run (Пуск/Выполнить). Преждечем сделать это, проследите, чтобы данный компьютер был сконфигурирован со статическимIP-адресом, иначе у вас не будет SRV-записей. Они создаются в вашей зонеAD, а остальные контроллеры домена ищут их во время присоединения к домену.В Windows 2003 сначала появляется новое диалоговое окно, где говорится, чтовозможны проблемы операционной системы с этим контроллером домена, если увас есть машины, работающие под управлением Windows 95 либо NT4 версии SP3или более ранних версий. Причиной этого может быть подписание блоков SMB(Server Message Block - Блок серверных сообщений) и более защищенное соединение,относящееся к контроллеру домена и его клиентам. Блоки SMB обеспечиваютразделяемое использование принтеров и файлов, администрирование и аутентификациювхода для операционных систем Windows. SMB изменился в Windows 2003.Он стал несовместим с более ранними формами протокола Session Message BlockProtocol и не позволяет клиентам более ранних версий Windows аутентифицироватьсядля домена. Помните об этом предупреждении!

Глава 12. Ознакомление с DNS 405Было также изменено одно из диалоговых окон для DNS, встроенных в диалоговыйпроцесс DCPROMO. Оно используется, чтобы сообщить, что не может бытьустановлен контакт с сервером DNS для этого домена. Мастер спросит, хотите ливы установить и сконфигурировать DNS для этого сервера или сделаете это позжевручную. Теперь оно вызывается окном диагностики регистрации DNS. В нем описывается,какая запись не найдена (SRV), предлагаются действия для данной ситуациии предоставляются для выбора три следующих варианта:• I have corrected the problem, test again (Я устранил проблему, выполнить тестированиеснова).• Install and configure DNS server on this computer and set this computer to use its ownDNS service (Установить и сконфигурировать сервер DNS на этом компьютереи задать для этого компьютера использование его собственной службы DNS).• I'll correct this later by installing DNS manually (Я исправлю это позже, установивDNS вручную).DCPromo будет действовать как мастер, запрашивая у вас информацию, создаваядля вас зоны DNS и выполняя конфигурирование некоторых настроек. Мастерполучает от вас информацию, запускает процесс, и вскоре у вас появляется контроллердомена, работающий с AD DNS. Это позволяет осуществлять динамическиеобновления и дает вам также зоны прямого и обратного поиска.Установка DNS вручнуюЭто несложный процесс. Вот как он выполняется.1. Перейдите в Control Panel (Панель управления), Add or Remove Programs (Установкаи удаление программ).2. Щелкните на Add/Remove Windows Components (Добавление и удаление компонентовWindows), перейдите в Networking Services (Сетевые службы) и установитефлажок Domain Name System (DNS).3. Щелкните на кнопке ОК. Система начнет установку и может запросить у васCD. По окончании вы увидите, у вас установлена оснастка DNS manager, созданапапка DNS в %SYSTEMROOT%\System32 и в реестр добавлена служба DNS.Установка DNS с помощью мастераManage Your Server WizardНиже описывается, как установить DNS с помощью мастера Manage Your ServerWizard (Управление вашим сервером).1. После запуска мастера Manage Your Server Wizard вы увидите два варианта выбора:Adding Roles To Your Server (Добавление ролей к вашему серверу) и ManagingYour Server Roles (Управление ролями вашего сервера).2. Выберите Add Or Remove A Role (Добавление или удаление роли). Вы увидитеокно Preliminary Steps (Предварительные шаги).3. Мастер начнет сканирование ваших сетевых интерфейсов.4. После этого вам предоставляется два варианта выбора: Typical Configuration OfFirst Server (Типичная конфигурация первого сервера) и Custom Configuration(Нестандартная конфигурация). Типичная конфигурация - это установка DNS,DHCP и применение DCPROMO для настройки данного компьютера как контроллерадомена.

406 Windows Server 2003. Полное руководство5. Выберите вариант Custom Configuration.6. В списке Server Role (Роль сервера) выберите DNS Server (Сервер DNS). Появитсяокно Summary Selection (Сводка выбора).7. Будут установлены файлы. Держите под рукой свой CD, поскольку сервер будетискать его. Если данный компьютер не имеет статического IP-адреса, то вамбудет предложено изменить эту ситуацию. На странице свойств TCP/IP Propertiesвы можете оставить поле DNS address (Адрес DNS) пустым. В этом случае компьютерзаполнит его своим собственным адресом (указывая на самого себя) дляразрешения имен.8. Появится мастер Configure DNS Server Wizard (Мастер конфигурирования сервераDNS).9. Мастер выведет окно, где запрашивается, как вы хотите сконфигурировать DNS.Вы можете создать зону прямого поиска, создать зоны прямого и обратного поискаили сконфигурировать только «корневые подсказки» (root hints). ВыберитеForward Lookup Zone (Зона прямого поиска).10. В следующем окне запрашивается имя вашей зоны.11. Будет создан файл зоны, и его имя будет представлено для вашего подтверждения.12. Теперь вы должны выбрать, разрешать ли незащищенные и защищенные динамическиеобновления или не разрешать динамические обновления.13. Появится окно Reverse Lookup Zone (Зона обратного поиска); вы можете выбрать(или не выбрать) здесь создание зоны обратного поиска. Если да, то вамбудет представлено предлагаемое имя .dns-файла.14. В следующем окне вы можете выбрать, разрешать ли незащищенные и защищенныединамические обновления.15. Появится окно Forwarders (Серверы перенаправления запросов). Вы можете вообщене выбирать никакого перенаправления, но если выбрали его, то должнызадать IP-адреса сервера, на который планируете перенаправлять запросы. Послещелчка на кнопке Next (Далее) появится сводка выбранных вами вариантов ипоиск корневых подсказок. По окончании у вас появится сервер DNS.Задание зоны прямого поискаЧтобы сконфигурировать зону прямого поиска, выполните следующие шаги.1. Запустите оснастку DNS и щелкните правой кнопкой на Forward Lookup Zone.2. Выберите вариант New Zone (Создать зону) и добавьте имя новой зоны. Вы получаетездесь три или четыре варианта выбора (четыре в том случае, если данныйкомпьютер интегрирован с Active Directory [AD]). Первые три вы имеете влюбом случае: Primary Zone, Secondary Zone и Stub Zone. Четвертый вариант(если данный компьютер является контроллером домена) - Store Zone In ActiveDirectory (Хранить зону в Active Directory).3. Выберите вариант Primary Zone. После этого нужно выбрать схему репликации: навсе серверы DNS в лесу AD (например, myforest.com), на все серверы DNS в доменеAD (например, mydomain.com) или на все контроллеры домена в домене ActiveDirectory. Введите имя зоны, щелкните на кнопке ОК и у вас будут запрошены, которыедолжна разрешать ваша новая зона. Вы можете выбрать вариант Only SecureUpdates (Только незащищенные обновления), Allow Both Secure And NonsecureUpdates (Разрешать как защищенные, так и незащищенные обновления) или DoNot Allow Dynamic Updates (He разрешать динамические обновления).

Глава 12. Ознакомление с DNS 407После этого вы можете добавлять записи, но чтобы сделать это непосредственно,нужно сконфигурировать зону, чтобы она разрешала динамические обновления,и сконфигурировать клиентов, чтобы они могли регистрировать самих себя.Если вам нужно добавить запись вручную, щелкните правой кнопкой на только чтосозданной зоне, выберите пункт Add A Record (Добавить запись) и выполните прокруткусписка, пока не найдете нужную вам запись.Тестирование: давайте посмотрим, как это работаетЧтобы проверить правильность конфигурации зоны прямого поиска, выполнитеследующие шаги.1. Откройте оснастку DNS: в меню Start\Administrative Tools выберите DNS Snapin(Оснастка DNS).2. В левой панели выберите ваш первичный сервер DNS для проверки нужных вамзон и выберите в меню Action пункт Properties.3. Во вкладке Monitoring (Мониторинг) выберите тест, который хотите выполнить.Это вариант A Simple Query Against This DNS Server (Простой запрос к данномусерверу DNS) или A Recursive Query To Other DNS Servers (Рекурсивный запроск другим серверам DNS).4. Выберите Test Now (Тестировать) или Perform Automatic Testing The FollowingInterval (Выполнить автоматическое тестирование через следующий интервал)и выберите нужный вам интервал.Параметры безопасностиDNS позволяет делегировать полномочия администрирования и управления пользователями группам. Определите необходимые вам полномочия и выберите нужныйвам уровень безопасности. Чтобы вызвать страницу Security (Безопасность), щелкнитеправой кнопкой на данном сервере DNS в оснастке DNS и выберите Securityна странице свойств.Интеграция с DHCPDNS и DHCP могут использоваться совместно. В этой конфигурации клиентам исерверам разрешается обновлять А-записи (записи хостов) и PTR-записи (записиобратного поиска). DHCP будет предоставлять вам аренду и обновлять соответствующимобразом записи DNS.Документы RFCЧтобы получить более подробную информацию по спецификациям, обратитесь кдокументам RFC (Request for Comment). Ниже приводятся все документы RFC длясистемы Windows Server 2003 и ее клиентов.• 1034 Domain Names-Concepts and Facilities (Доменные имена — концепции и средства)• 1035 Domain Names-Implementation and Specification (Доменные имена — реализацияи спецификация)• 1123 Requirements for Internet Hosts-Application and Support (Требования к хостамИнтернет - применение и поддержка)• 1886 DNS Extensions to Support IP Version 6 (Расширения DNS для поддержкиIPv6)

408 Windows Server 2003. Полное руководство• 1995 Incremental Zone Transfer in DNS (Метод добавочной пересылки зон в DNS)• 1996 A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY) (Механизмуведомлений об изменениях зон)• 2136 Dynamic Updates in the Domain Name System (DNS UPDATE) (Динамическиеобновления в DNS) 2181 Clarifications to the DNS Specification (Уточнения кспецификации DNS)• 2308 Negative Caching of DNS Queries (DNS NCACHE) (Отрицательное кэшированиезапросов DNS)• 2535 Domain Name System Security Extensions (DNSSEC) (Расширения безопасностиDNS)• 2671 Extension Mechanisms for DNS (EDNSO) (Механизмы расширения для DNS)• 2782 A DNS RR for Specifying the Location of Services (DNS SRV) (Ресурсная запись[RR] DNS для указания местоположения служб)Draft-документы интернет для DNSСледующие draft-документы интернет содержат спецификации, используемые дляразработки и реализации сервера и клиентских служб DNS.• Draft-skwan-utf8-dns-02.txt. Using the UTF-8 Character Set in the Domain NameSystem (Использование набора символов UTF-8 в DNS)• Draft-ietf-dhc-dhcp-dns-08.txt. Interaction Between DHCP and DNS (Взаимодействиемежду DHCP и DNS)• Draft-ietf-dnsind-tsig-11 .txt. Secret Key Transaction Signatures for DNS (TSIG) (Подписитранзакций с секретными ключами для DNS)• Draft-ietf-dnsind-tkey-OO.txt. Secret Key Establishment for DNS (TKEY RR) (Использованиесекретных ключей для DNS)• Draft-skwan-gss-tsig-04.txt. GSS Algorithm for TSIG (GSS-TSIG)Другие спецификации для DNSСледующие дополнительные спецификации используются для разработки и реализациислужб сервера и клиента DNS.• af-saa-0069.000.doc. ATM Name System Specification version 1.0 (Спецификациясистемы имен ATM, версия 1.0). Эта спецификация опубликована ATM Forum.Для получения более подробной информации вы можете загрузить эту спецификациюс FTP-сайта ATM Forum. Его можно посетить по адресу http://www.gmd.de/ftp/mirrors3/atmforum/approved-specs/WINSWINS используется для имен NetBIOS таким же образом, как DNS для хост-имен;основное отличие заключается в структуре пространств имен. WINS - это распределеннаябаза данных или может быть такой базой данных. WINS отображает IP-адресана имена NetBIOS. WINS - это «плоское» пространство имен, в то время как DNS -это иерархическая структура; в WINS нет никакой явно или неявно выраженной иерархии.В то время как машина, находящаяся в accounting домена skillet.com будет представленав DNS как myhost.skillet.com, ее доменное имя NetBIOS будет SKILLET.WINS была предназначена для разрешения имен NetBIOS в немаршрутизируемойсети. Без WINS компьютеры просто отправляли бы широковещательные сооб-

Глава 12. Ознакомление с DNS 409щения через сеть. Это создает проблему использования NetBIOS, поскольку широковещательныесообщения переполняют большую сеть и «съедают» значительнуюдолю пропускной способности. NetBIOS нельзя маршрутизировать, и выполнениепроисходит поверх TCP/IP.NetBIOS - это уровень представления (см. модель OSI) интерфейса прикладногопрограммирования (API), разработанный IBM в 1983 г. Он позволяет программамзадавать инструкции нижележащим сетевым протоколам; несмотря на его «возраст»,именно поэтому он все еще используется. Унаследованные приложения имногочисленные средства сетевого администрирования все еще используют этот APIи не могут выполнять обмен информацией без разрешения имен NetBIOS. Напомним,что в примере разрешения имен DNS мы ссылались на браузер, который передаетзапрос имени клиентскому компоненту DNS (resolver) для разрешения имени.NetBIOS работает почти так же: приложение, которому требуется найти службу,работающую на другом компьютере (файловые службы и службы печати) отправляетзапрос для имени NetBIOS. Его нужно преобразовать в IP-адрес. Это приложение,возможно, не знает, как использовать DNS для той же задачи.Два непосредственных примера - это навигация, а также файловые службы ислужбы печати. Имена NetBIOS можно разрешать различными способами в зависимостиот того, как сконфигурирован данный клиент (см. следующий раздел).Как вы можете предполагать, для этого плоского пространства имен требуетсясервер WINS, который содержит соответствующие записи. Они существенно отличаютсяот записей DN S, в том числе форматом базы данных и методом хранения. ВWINS нет никакого ASCII-файла. Это база данных Microsoft, известная под названиемJet, которая используется также в Access. Она плохо защищена от поврежденийи чувствительна к большому числу факторов. По мере дальнейшего изложениямы увидим несколько параллелей с DNS.Имена NetBIOSИмена NetBIOS могут быть уникальными или являться частью группы. Это 16-байтовыеадреса, и они имеют одну позицию, зарезервированную для типа службы,которую они представляют. Если имя короче 16 символов, то остальные байты заполняютсядо 16-го символа. Это важно знать, если вы редактируете файл LMHOSTS(см. ниже раздел «LMHOSTS»). Запись для службы рабочей станции (Workstation)может выглядеть следующим образом:Machinename UNIQUEЭто представление записи компьютера в WINS для службы Workstation. Вы передаетеинформацию с помощью суффикса (), содержащего алфавитно-цифровыесимволы. Вы можете также встретить запись Machinename GROUP, иэто также допустимо. Уникальные имена (UNIQUE) используются для доступа кслужбам на отдельных компьютерах; группы (GROUP) используются для групп компьютеров.Существуют типы записей (их очень много), и этот список не являетсяполным. И нет способа его упорядочить, поскольку поставщики сторонних фирмимеют свои собственные суффиксы, которые регистрируются их собственнымиприложениями. Чтобы увидеть их, посмотрите две самые последние записи дляIrmalan и Lotus Notes. 00 U Workstation Service 01 U Messenger Service 01 G Master Browser

410 Windows Server 2003. Полное руководствоConnector)ToolWindows NTWindows NT 0303061F20212223243031434445464C4252876ABEBFU Messenger ServiceU RAS Server ServiceU NetDDE ServiceU File Server ServiceU RAS Client ServiceU Microsoft Exchange Interchange (MSMailU Microsoft Exchange StoreU Microsoft Exchange DirectoryU Modem Sharing Server ServiceU Modem Sharing Client ServiceU SMS Clients Remote ControlU SMS Administrators Remote ControlU SMS Clients Remote ChatU SMS Clients Remote TransferU DEC Pathworks TCPIP service onU mccaffee anti-virusU DEC Pathworks TCPIP service onU Microsoft Exchange MTAU Microsoft Exchange IMCU Network Monitor AgentU Network Monitor ApplicationU Messenger Service 00 G Domain Name 1B U Domain Master Browser 1С G Domain Controllers 1D U Master Browser 1E G Browser Service Elections 1С G IIS 00 U IIS [2B] U Lotus Notes Server ServiceIRISMULTICAST [2F] G Lotus NotesIRISNAMESERVER [33] GLotus NotesForte $ND800ZA [ 20 U DCA IrmaLan Gateway Server ServiceИменно эти виды записей вы можете встретить в базе данных WINS. (Другиеназываются «статическими записями».) Большинство регистрации WINS являютсядинамическими и ведут себя аналогично аренде DHCP. Статическая запись используетсядля таких систем, как UNIX (которые не поддерживают NetBIOS). Кромеслучаев поиска источника проблем никогда не используйте их для поддерживающихNetBIOS клиентов, поскольку они будут пытаться регистрировать себя и будутотклонены. Это обычно означает, что клиент не получит регистрации, а вы получитесообщение: Duplicate name on network! (Дублированное имя в сети). Статическиезаписи можно использовать для систем, которые не могут регистрировать имяNetBIOS, а записи, которые можно добавлять вручную, имеют такие же типы, как ите, что обычно вводятся динамически поддерживающим NetBIOS клиентом: Unique,Group, Domain Name, Internet Group и Multihomed.

Глава 12. Ознакомление с DNS 411LMHOSTSЕсли широковещательное сообщение NetBIOS не дает результата, то следующаяальтернатива - это обращение к файлу LMHOSTS на локальном компьютере. Примерэтого файла можно увидеть в папке %systemroot%\system32\drivers\... В отличиеот файлов HOSTS файлы LMHOSTS имеют дополнительные опции для разрешенияимен, включая, в частности, следующие средства.• #PRE. Запись, перед которой указывается это ключевое слово, будет заранее загружатьсяв кэш при загрузке компьютера.• #DOM [имя_домена]. Это ключевое слово требуется для проверки домена через маршрутизатор,а также для навигации в домене и синхронизации учетных записей.• #INCLUDE . Тег #INCLUDE позволяет вам получать доступ к файлуLMHOSTS, находящемуся в каком-либо месте, отличном от местоположенияпо умолчанию.Типы разрешенияНастройка клиента в разрешении имен WINS/NetBIOS будет определять его поведение.Имеются четыре метода разрешения, которые называются типами узлов. Онидействуют следующим образом.• В-узел. Напомним, что В означает Broadcast (широковещательное сообщение).Это обычно то, что вы использовали бы, если бы у вас был один сетевой сегмент,поскольку в нем распространяются широковещательные сообщения, которыетребуют ответа других клиентов, а большинство маршрутизаторов не пропускаютшироковещательные сообщения.• Р-узел. Этот тип вы использовали бы при наличии сервера WINS; он не передаетшироковещательных сообщений, но обращается непосредственно к серверуWINS для своего разрешения имен.• М-узел. Это смешанный режим, поскольку для него используется комбинацияВ- и Р-узлов. По умолчанию он действует как В-узел; если он не получает никакогоответа (нужный ему ресурс находится в другой подсети), то он переходит врежим Р-узла и запрашивает сервер WINS.• Н-узел. Его называют «гибридным» узлом. Фактически это обратная версия М-узла. Сначала он запрашивает сервер WINS и если не получает никакого ответа,то переходит в режим В-узла и передает широковещательное сообщение. Этоузел по умолчанию.Регистрация, обновление и освобождение именПри своем запуске клиенты WINS обращаются к серверу WINS и регистрируют своиимена и IP-адреса. Если соответствующее имя не используется (WINS не «заботится»об IP-адресах; вы можете дублировать их сколько угодно), то сервер разрешаетклиенту регистрировать его службы на сервере WINS. Клиент получит сообщениеPOSITIVE NAME REGISTRATION RESPONSE (положительный ответ на запросрегистрации имени). Минимально компьютер, который подключился, не имея ничего,кроме операционной системы, обычно регистрирует записи (службаWorkstation), (служба Server) и (служба Messenger). Если соответствующееимя уже используется, то сервер отправляет «вызов» последнему компьютеру,который зарегистрировал это имя (чтобы он «защитил» свое имя). Сервер делаетэто три раза через заранее определенные интервалы времени, и если получен ответ

412 Windows Server 2003. Полное руководствона вызов, то клиенту отправляется сообщение NEGATIVE NAME REGISTRATIONRESPONSE (отрицательный ответ на запрос имени).Пользователь увидит всплывающее окно с текстом «Duplicate name on network»(Дублированное имя в сети). Но если ответ на вызов не получен, то клиенту разрешаетсярегистрация. Эти регистрации ограничены по времени, то есть им присваиваетсязначение TTL (срок действия). Клиенты должны обновлять регистрациюимени. При обновлении имени, когда клиенту отправлен «вызов» (как только что былоописано) и он не ответил на этот вызов, считается, что этот клиент отказался отсвоего имени, передав его для использования другому компьютеру. По истечении50% времени его аренды, клиент отправляет запрос подтверждения имени (обновленияаренды). Этот запрос содержит IP-адрес и имя NetBIOS компьютера, которомутребуется подтверждение, и сервер WINS отправляет ему сообщение с новой арендойвремени. Это происходит в нормальной ситуации.Но если клиент не может обнаружить сервер, то сервер пытается подтвердитьимя каждые 10 минут в течение часа на первичном сервере WINS. Затем он пытаетсяперейти на вторичный сервер WINS и снова пытается получить подтверждение с10-минутными интервалами. Если обновление по-прежнему не получено, он возвращаетсяна первый сервер и повторяет свои попытки. Все это продолжается, покане закончится срок аренды; если за это время не было попыток обновления имени(другим клиентом), то имя освобождается. Еще один способ освобождения имени -это отключение компьютера; нельзя просто выключить компьютер, а должен бытьотправлен соответствующий запрос на сервер WINS. Сервер WINS просмотрит базуданных, и если обнаружена соответствующая запись, то сервер возвратит положительныйответ об освобождении имени со значением TTL, равным нулю. Если ненайдено соответствия для IP-адреса/имени, то отправляется отрицательный ответ.Процесс разрешения имениКогда клиенту требуется разрешение имени NetBIOS, он ищет его сначала локально.Он просматривает свой кэш в поисках соответствующего имени/адреса. Еслиимя не разрешено, то клиент запрашивает непосредственно сервер WINS. Он ищетэтот сервер, повторяя попытки три раза, и если не получает ответа, то обращается квторичному серверу и повторяет этот процесс. Если один из этих серверов разрешаетзапрос, то клиент получает сообщение об успешном результате и ему передаетсяIP-адрес для запрошенного имени NetBIOS. Если ни один из серверов не можетразрешить данное имя, то клиенту отправляется сообщение «requested name doesnot exist» (запрошенное имя не существует). После это клиент начинает применятьшироковещательные сообщения.Репликация базы данныхСерверы WINS реплицируют свои базы данных, и, как и в случае DNS, это определяетсявашими опциями конфигурации. Напомним, что WINS - это «плоское» пространствоимен, поэтому топология его репликации выглядит очень просто. Я встречалсясо многими пользователями, которые пытались использовать иерархию впространстве имен WINS. Для репликации базы данных обычно имеется одна схема,которая хорошо работает и требует небольших расходов на обслуживание. Реальнаясхема репликации называется push/pull («выталкивание/извлечение»), и мыознакомимся с ней чуть ниже. На рис. 12.1 показана рекомендуемая топология сети,в которой происходит репликация серверов WINS.

Глава 12. Ознакомление с DNS 413Home OfficeCorporate HQРис. 12.1. Репликациятипа «hub andspoke»\\//Remote Site 1 Remote Site 2 Remote Site 1 Remote Site 2Ее называют звездообразной схемой репликации (hub and spoke). Группа серверовWINS выполняет репликацию с центральным первичным сервером; та же схемаиспользуется со вторичным сервером, а первичный и вторичный реплицируютсядруг с другом. Они делают это с помощью метода push/pull. Рассмотрим этот процессподробнее.Pull-партнер — это сервер WINS, который запрашивает реплики от своих pushпартнеров.Push-партнеры знают, что реплицировать, поскольку номер версии долженбыть больше того, что получил pull-партнер в предыдущем сеансе репликации.Push-партнер — это сервер WINS, который отправляет запрос репликации своимpull-партнерам, сообщая им, что его база данных была обновлена. После этого ониизвлекают реплики. При репликации типа push/pull вам следует учитывать два основныхфактора: скорость вашего канала глобальной сети (WAN) и какие компьютерыдолжны соединяться с какими сайтами.Предположим, что ваш компьютер — это Remote Site 1 (Удаленный сайт 1, см.рис. 12.1), осуществляющий репликацию методом push/pull с сервером Home Office.При необходимости обмена данными с компьютером Remote Site 2, осуществляющимрепликацию с сервером Corporate Office, ваш компьютер никогда не получитнеобходимые для этого записи, если эти записи не являются частью реплики, котораяизвлекается из Remote Site 1 на сервер Corporate Office и затем реплицируетсяна сервер Home Office. Реплика - это копия записей WINS, которые реплицированыот партнера push/pull. Поскольку сервер Home Office реплицируется на свойRemote Site I, эти записи являются частью сервера WINS в службах Remote Site I.WINS не является сложной технологией (хотя она плохо масштабируется), и еслииспользовать здравый подход, то обычно WINS действует достаточно хорошо. Большинствопроблем возникает в тех случаях, когда разработчики пытаются делать сложныевещи с тем, что не представляет особых сложностей. При хорошей пропускнойспособности предпочтительно использовать между всеми серверами репликациютипа push/pull, поскольку все записи будут реплицироваться во все точки. Всегдаконфигурируйте сервер WINS, чтобы он указывал для разрешения на самого себя.Автоматическая репликацияWINS может обнаруживать и настраивать своих партнеров репликации автоматически,если ваш сеть поддерживает групповые сообщения (multicast). WINS рассылаетгрупповые сообщения приблизительно каждые полчаса по IP-адресу 224.0.1.24.Любой найденный сервер WINS конфигурирует сам себя как партнера push/pull.Мощность WINS планируется из расчета один сервер на 10000 клиентов. Этовполне достижимая цифра, но в большинстве случаев не учитываются определенныефакторы, например, WINS помещают на компьютер, который одновременно

414 Windows Server 2003. Полное руководствоявляется контроллером домена, сервером печати и сервером приложений. Это снижаетпроизводительность, а если WINS работает недостаточно хорошо, то возникаютпроблемы соединений. Если вы планируете использовать WINS в конфигурацииот 1 до 10000, не нагружайте данный компьютер другими процессами, убедитесь,что он имеет каналы с достаточной пропускной способностью, используйте высокоскоростныесоединения локальной сети (избегайте узких мест), не устанавливайтенесколько адаптеров на этот сервер и убедитесь, что этот сервер имеет высокопроизводительнуюдисковую подсистему. Это кажется странным, но самые сложныепроблемы в этих конфигурациях возникали из-за переполнения дисковой подсистемызапросами записи. В этих случаях Performance Monitor (Монитор производительности,см. гл. 25) показывал проблемы операций записи, а после замены дисковойподсистемы на SCSI RAID 0 производительность резко повышалась.Проблемы производительности возникают также в тех случаях, когда серверWINS перегружен за счет того, что он размещен на компьютере, выполняющем многодругих функций. Один из характерных случаев, с которыми я сталкивался, это программасканирования вирусов от сторонней компании в большой корпоративнойсети, которая очень часто опрашивает клиентов WINS, чтобы проверить, требуютсяли обновления. Такие программы обычно имеют консоль конфигурирования, ипользователь сконфигурировал ее для проверки клиентов каждые 20 минут. Причинойпроблемы было то, что этот сервер имел 5000 клиентов, поэтому программасканирования вирусов фактически связывала циклы разрешения имен WINS, тоесть опрашивала всех клиентов! Это настолько перегружало сервер, что нормальноеразрешение имен становилось невозможным и функционирование сети фактическипрекращалось. Здесь возникал эффект, эквивалентный атаке на отказ обслуживания.Автоматическое резервное копированиеWINS можно сконфигурировать для резервного копирования ее базы данных в выбранномвами месте. Выбор соответствующего каталога (Directory) происходит в оснасткеWINS, и после этого WINS выполняет резервное копирование баз данныхкаждые три часа. Это звучит убедительно, но на практике эксплуатируемая база данныхможет быть повреждена по какой-либо причине и проблема, возможно, не будетразрешена за три часа (до следующего цикла резервного копирования), то естьрезервная копия тоже будет поврежденной.Более подходящим, хотя и более трудным методом, может стать использованиеутилиты Jetpack, которая проверяет целостность базы данных, прежде чем выполнятьее копирование. Jetpack обладает возможностью придавать целостность базеданных или восстанавливать целостность, если файл базы данных не слишком поврежден.После этого выполните резервное копирование вручную. Вы можете задатьсявопросом, зачем нужно резервное копирование. В основном это нужно длябыстрого восстановления в случае ... повреждения базы данных! В случае поврежденияWINS остается две возможности, если Jetpack не может восстановить файл.1) Удалить этот файл, прекратить работу WINS и снова запустить WINS; в результатебудет создана новая база данных. Но в этом случае всем компьютерам потребуетсяперерегистрация. Это обычно означает перезагрузку.2) Перезагрузить резервную копию базы данных WINS, и восстановление потребуетсятолько для тех машин, которым требуется обновление, что лучше отключениявсей системы.Основные утилиты для поиска и устранения проблем - это NBTSTAT и JETPACK.

Глава 13Служба RRAS (Routing andRemote Access Service)RRAS (Routing and Remote Access Service - Служба маршрутизации и дистанционногодоступа) традиционно является интересной и, вместе с тем, сложной технологиейдля многих администраторов. RRAS позволяет удаленным клиентам проходитьфизические границы вашего сетевого окружения, чтобы подсоединяться квашей сети и использовать ее ресурсы. Она также позволяет подсоединяться к сетевымресурсам, таким образом, чтобы пользователи получали доступ к ресурсам сетей,которые недоступны иным способом.RRAS содержит много возможностей, включая поддержку разделяемого использованияинтернет-соединения, коммутируемое соединение с сервером, маршрутизациюинформации из одной сети в другую, защиту данных путем использованиявиртуальной частной сети (VPN) и многое другое. В этой главе дается обзор технологий,предоставляемых службой RRAS, и описывается, как конфигурировать настройкидля вашей сетевой среды Windows Server 2003 и управлять ими.Изменения в RRASдля Windows Server 2003Версия RRAS для Windows Server 2003 немного отличается от версии для Windows2000, и большинство отличий касаются интерфейса, а не функций. Для администраторов,работавших с Windows NT, новая версия RRAS дает больше возможностейи упрощает управление.Основные функциональные изменения в версии RRAS для Windows Server 2003относятся к поддержке протоколов.• Поддержка протокола NetBEUI прекращена в Windows Server 2003, и поэтомуон больше не поддерживается службой RRAS.• Хотя 32-битные версии Windows Server 2003 все еще поддерживают IPX/SPX вкачестве сетевого протокола, RRAS больше не маршрутизирует его.Добавлено несколько новых возможностей.• Поддержка предварительно согласованных ключей в аутентификации L2TP/IPSec.• Интеграция NAT (Network Address Translation - Трансляция сетевых адресов) состатической и динамической фильтрацией пакетов.• Поддержка соединений L2TP/IPSec через NAT.• Разрешение имен с помощью широковещательных сообщений для небольшихсетей без локального сервера WINS или DNS.

416 Windows Server 2003. Полное руководствоОбзор IP-маршрутизацииСетевая среда часто бывает сегментирована по различным причинам, включая следующиефакторы.и Количество доступных IP-адресов в сетевой среде TCP/IP.• Разделение функций администрирования и управления.• Соображения безопасности.• Владение сетью.Многие маршрутизаторы могут маршрутизировать TCP/IP, IPX и AppleTalk. Нопоскольку работа Windows Server 2003 и интернета основываются на TCP/IP, основноевнимание в этом разделе уделяется маршрутизации TCP/IP.При использовании TCP/IP адрес сети определяется IP-адресом в сочетании смаской подсети. Адрес сети идентифицирует сеть, где находится данное устройство(рис. 13.1). Подробнее о TCP/IP см. в гл. 10.0 31IP-адрес192 162 10 15Маска подсети 255 255 255 0Адрес сети192 168 10Рис. 13.1. Определение адреса сетиЭтим разъединенным сетям может требоваться обмен информацией, и тогда напомощь приходит маршрутизация. Маршрутизация — это процесс передачи информациичерез межсетевую границу. Точка отправки называется источником (отправителем),и точка приема называется пунктом назначения (получателем). Промежуточноеустройство (обычно маршрутизатор, иногда это несколько устройств)отвечает за передачу информации из одной сети в другую, пока эта информация недойдет до указанного получателя, как это показано на рис. 13.2. Например, когдакомпьютер одной сети отправляет информацию компьютеру, который находится вдругой сети, он направляет эту информацию маршрутизатору. Маршрутизатор рассматриваетэтот пакет и использует адрес получателя в заголовке пакета для передачиинформации в соответствующую сеть.Маршрутизация и мостыМаршрутизацию иногда путают с использованием мостов. Эти две технологии, посути, выполняют одну и ту же задачу, передавая информацию в интерсети от источникак месту назначения, но для этого используются совершенно разные механизмы.Маршрутизация происходит на сетевом уровне (Network Layer), в то время как

; • ; • •Глава 13. Служба RRAS (Routing and Remote Access Service) 417мосты используются на канальном уровне (Data Link Layer) в сетевой модели OSI.Работа различных уровней модели OSI определяет способ обработки и передачиинформации от источника к месту назначения.Сеть192.168.1.0Сеть192.168.15.0Маршрутизатор5ШГРис. 13.2. Две сети, связанные маршрутизаторомХотя обычно используют отдельный маршрутизатор, Windows Server 2003 позволяеттакже конфигурировать сервер как маршрутизирующее устройство. Функциеймаршрутизатора является направление пакетов из одной сети в следующуюсеть. Он делает это, определяя сначала оптимальный маршрут с помощью алгоритмовмаршрутизации. Алгоритмы маршрутизации определяют кратчайшее «расстояние»(путь с наименьшей «стоимостью») между отправителем и получателем пакета,а также поддерживают таблицы маршрутизации, которые содержат маршрутнуюинформацию, помогающую оптимизировать передачу информации. На рис. 13.3показан пример таблицы маршрутизации, которая информирует маршрутизатор отом, как он может пересылать пакеты информации.\*&у Command PiomptC:\>route printiIPu4 Route TableInterface Listi 0x1i 3x10003 ...00 50 da0x10004 ...00 аи 24•=>iActiue Routes:NetworkDestination8.0.0.0: 10.0.8.0i 10.0.8.2: 10.10.233.0I 10.10.233.212: 10.255.255.255: 10.255.255.255127.0.0.0224.0.0.0I 224.0.0.0255.255.255.255255.255.255.255Default Gateway:PersistentNoneRoutes:7Ь ее 73ba 17 5aNetmask0.0.0.0255.255.255.0255.255.255.255255.255.255.0255.255.255.255255.255.255.255255.255.255.255255.0.8.0240.0.0.0240.0.0.0255.255.255.255255.255.255.25510.10.233.254y:3Com 3C908TPO-based10.Gateway10. 10.233 25410.0 0.2127.0 0.110. 10.233.212127.810.010.233127.010.010. 10.23310.010. 10.2330.10.22120.10.22120.2212Ethernet AdapterInterface10 10.233 .21218.0 .0.2127.0 .0.110 10.233 .212127.0 .0.118.0 .0.210 10.233 .212127.8 .0.118.0 .0.210 10.233 .21210.0 .0.210 10.233 .212ШИЮ-ш! I3]

418 Windows Server 2003. Полное руководствоМаршрутизаторы могут также использовать сообщения об изменениях маршрутнойинформации для взаимодействия с другими маршрутизаторами, чтобы определятьоптимальные маршруты для информации, передаваемой из одной сети в другую.Использование сообщений об изменениях маршрутной информации позволяетмаршрутизаторам сравнивать и обновлять свои таблицы маршрутизации, вводя вних информацию о маршрутах в другие сети.Алгоритмы маршрутизацииМаршрутизаторы, а также компьютеры Windows 2000, сконфигурированные какмаршрутизаторы, обычно используют алгоритмы статической или динамическоймаршрутизации, но поддерживается также маршрутизация с коммутируемым соединениемпо требованию (demand-dial routing). Все эти алгоритмы маршрутизациив основном отвечают одной цели, хотя они имеют различные механизмы передачиинформации от источника к месту назначения.Статическая маршрутизацияСтатическая маршрутизация задает единственный путь, который должен использоватьсядля передачи информации между двумя точками. Администратор должен задаватьи конфигурировать статические маршруты в таблицах маршрутизации, и онине изменяются, пока это не сделает администратор. Сетевые среды со статическоймаршрутизацией организуются достаточно просто и особенно подходят для небольшихокружений, где возможны лишь небольшие изменения в топологии маршрутизации.Примечание. Конкретные маршруты не обязательно являются постоянными маршрутамив операционных системах Microsoft Windows. Иными словами, вы должныуказать, что маршрут является постоянным, с помощью ключа -р, чтобы в случаеперезагрузки сервера по какой-либо причине этот статический маршрут был привязанк таблице маршрутизации.Основным недостатком сетевых сред со статической маршрутизацией являетсято, что они не адаптируются к изменению состояния сети. Например, в случае отключениямаршрутизатора или канала статический маршрут не позволяет перенаправлятьпакеты на другие маршрутизаторы, чтобы передать их нужным получателям.Кроме того, при добавлении или удалении какой-либо сети в вашем окруженииадминистратор должен задавать возможные сценарии маршрутизации и конфигурироватьих соответствующим образом. Поэтому сетевые среды со статической маршрутизацией(в особенности те, что подвержены частым изменениям) не подходятдля более крупных сетей. Достаточно оценить расходы на администрирование, чтобыпонять, что статическая маршрутизация подходит только для небольших сетевыхокружений.В качестве эмпирического правила используйте статические маршруты толькопри следующих условиях.• Домашний офис или филиал.• Сетевые окружения с небольшим числом сетей.• Соединения, которые не предполагается изменять в ближайшем будущем (например,маршрутизатор, который используется как последнее средство, когдаинформацию нельзя маршрутизировать иным способом).

Глава 13. Служба RRAS (Routing and Remote /Ccess Service) 419Авто-статическая маршрутизация. Маршрутизаторы Windows Server 2003, которыеиспользуют статические маршруты, могут иметь собственные таблицы маршрутизации,обновляемые вручную или автоматически. Автоматические обновляемыестатические маршруты называют авто-статической маршрутизацией. Соответствующиеобновления можно конфигурировать с помощью интерфейса RRAS, см. рис.13.4, или с помощью утилиты NETSH. Это позволяет вам обновлять информациюмаршрутизаторов Windows Server 2003 только в определенные периоды времени, чтодает экономию затрат на соединения и/или использование меньшей доли пропускнойспособности каналов.RaAnaWomaUon Protocol (RIP)lr*«leceРис. 13.4. Авто-статическаямаршрутизация с помощьюинтерфейса RRASКогда вы указываете, что нужно обновить статические маршруты, маршрутизаторотправляет запрос через активное соединение, чтобы обновить все маршрутизаторыданного соединения. Получивший запрос маршрутизатор удаляет все существующиеавто-статические маршруты и затем вводит новые записиавто-статической маршрутизации в виде статических (постоянных) маршрутов.Примечание. Авто-статические обновления поддерживаются только в тех случаях,когда вы используете протокол RIP для IP.Динамическая маршрутизация• Происходит отключение маршрутизатора или канала, что требует изменениямаршрута для передаваемой информации.Как можно понять из этого названия, алгоритмы динамической маршрутизацииадаптируются к изменениям сетевой среды без ручного вмешательства. Вносимыеизменения почти мгновенно отражаются в информации маршрутизатора. Нижеприводится список условий, при которых выгодно использовать динамическую маршрутизацию.14-

420 Windows Server 2003. Полное руководство• В интерсети добавляется или удаляется маршрутизатор.• Большое сетевое окружение, где имеется много сценариев маршрутизации.• Большое сетевое окружение, в котором часто происходят изменения сетевойтопологии.Алгоритмы динамической маршрутизации могут адаптироваться в реальноммасштабе времени к изменению состояний путем взаимодействия с другими маршрутизаторами.Когда маршрутизатор получает уведомление, что в сети произошлокакое-либо изменение, он перерассчитывает маршруты и уведомляет другие маршрутизаторы.Это позволяет всем маршрутизаторам интерсети получать информациюо топологии всей сети даже в те моменты, когда она изменяется. В настоящеевремя большинство маршрутизаторов используют алгоритмы динамической маршрутизациии хорошо адаптируются к сети любого размера.Маршрутизация с коммутируемым соединением по требованию(demand-dial routing)Большинство протоколов маршрутизации (RIP, OSPF и т.д.), которые используютдля взаимодействия с другими маршрутизаторами, периодически отправляют маршрутнуюинформацию, чтобы адаптироваться к динамическим изменениям состояниясети. Это требуется для того, чтобы информация передавалась по маршрутам снаименьшей «стоимостью». Однако существуют ситуации, когда периодическиеобновления маршрутизаторов весьма нежелательны. Например, каждая активизацияканала может требовать дополнительной оплаты.Во избежание таких ситуаций вы можете использовать маршрутизацию с коммутируемымсоединением по требованию. При такой маршрутизации активизация каналапроисходит только при необходимости передачи информации другой сторонесоединения, что дает экономию затрат на соединения. Для поддержки обновлениймаршрутизаторов используется статическая или авто-статическая маршрутизация.Протоколы маршрутизацииПротоколы маршрутизации являются протоколами особого типа в том смысле, чтоони следят за топологией всей сети в маршрутизируемой сетевой среде. Они динамическиподдерживают информацию о других маршрутизаторах в данной сети ииспользуют эту информацию, чтобы определить наилучший маршрут для передаваемыхданных.Протоколы маршрутизации используют алгоритмы, которые влияют на маршрутизатор,а также на маршрутизацию информации из одной сети в следующую сеть.Каждый протокол маршрутизации имеет характеристики, которые отличают его отдругих протоколов маршрутизации, но все они должны обеспечивать такие качества,как простота, оптимальность, стабильность и гибкость.Маршрутизируемые протоколы и протоколы маршрутизацииВы, вероятно, встречались с терминами «маршрутизируемые протоколы» и «протоколымаршрутизации». Например, вам, видимо, известно, что TCP/IP, IPX/SPX ианалогичные протоколы являются маршрутизируемыми протоколами. Но когда выслышите о протоколах маршрутизации, то, вероятно, задаетесь вопросом, как отличаютсяэти два типа протоколов и как они используются. Довольно часто эти терминыиспользуют эквивалентным образом, но между ними имеется существенноеотличие.

Глава 13. Служба RRAS (Routing and Remote Access Service) 421На самом деле протоколы маршрутизации маршрутизируют маршрутизируемыепротоколы, такие как TCP/IP, IPX/SPX, AppleTalk и т.д. Они являются необходимымзвеном для передачи информации из одной сети в другую. В настоящее время используютсямногие протоколы маршрутизации, включая, в частности, следующий список.BGP (Border Gateway Protocol - Пограничный межсетевой протокол)EIGRP (Enhanced Interior Gateway Routing Protocol - Расширенный внутреннийшлюзовый протокол)EGP (Exterior Gateway Protocol - Внешний шлюзовый протокол)IGRP (Interior Gateway Routing Protocol - Внутренний шлюзовый протокол)OSPF (Open Shortest Path First - Открытие в первую очередь кратчайших маршрутов)• RIP (Routing Information Protocol - Протокол маршрутной информации)В маршрутизаторы RRAS под управлением Windows Server 2003 включена встроеннаяподдержка для OSPF и RIP. Кроме того, RRAS может поддерживать протоколымаршрутизации от сторонних компаний (такие как BGP, EIGRP, EGP и IGRP) спомощью своих интерфейсов прикладного программирования (API). Ниже приводитсяописание протоколов маршрутизации, которые поддерживаются системойWindows Server 2003.RIPRIP - это протокол дистанционно-векторной маршрутизации, который относительнопрост для использования и конфигурирования. Протоколы дистанционно-векторноймаршрутизации отправляют обновления информации маршрутизаторовтолько соседним маршрутизаторам. Протокол RIP широко распространен в компьютернойотрасли и используется в сетях TCP/IP почти двадцать лет. RIP описываетсяв нескольких документах RFC, которые приводятся в таблице 13.1.Как видно из таблицы 13.1, имеются две версии RIP. Для обновления информациимаршрутизаторов в версии 1 используются широковещательные (broadcast) сообщения,а версии 2 — групповые (multicast) сообщения. RIP динамически поддерживаетмаршрутную информацию путем отправки сообщений с обновлениеммаршрутной информации другим маршрутизаторам с помощью RIP в интерсетикаждые 30 секунд.Табл. 13.1. Связанные с RIP документы RFCRFCОписание1058 Routing Information Protocol (RIP).1721 RIP version 2 protocol analysis (Анализ протокола RIP версии 2).1722 RIP version 2 protocol applicability statement (Применимость RIP версии 2).1723 RIP version 2 carrying additional information (Перенос дополнительной информациис помощью RIP версии 2).В дополнение к сообщениям обновления информации маршрутизаторов RIPподдерживает несколько других механизмов, повышающих надежность и поддерживающихтаблицы маршрутизации на уровне текущих изменений, включая следующее.• Ограничение по количеству сегментов (транзитных участков). Путь между двумясоседними маршрутизаторами считается сегментом (транзитным участком). Это

422 Windows Server 2003. Полное руководствосредство ограничивает путь к точке назначения 15 сегментами. Точки назначения,для достижения которых требуется более 15 сегментов, считаются «недостижимыми».• Блокировки (Hold-down). Блокировки гарантируют, что старые, недоступные длямаршрутизации маршруты не будут использоваться в таблице маршрутизации.• Ограничение «горизонта» (Split horizons). Это средство препятствует избыточностисообщений с обновлением маршрутной информации (циклов маршрутизации),направляемых маршрутизатору, из которого было отправлено данное сообщение.• Подавление возвратных обновлений (Poison reverse updates). Это средство препятствуетзацикливанию маршрутов в интерсети.Несмотря на эти возможности RIP все же имеет свои ограничения. Он можетсоздавать сложности в сетях крупных предприятий, поскольку его сообщения с обновлениямимаршрутной информации «съедают» значительную долю пропускнойспособности сети. Кроме того, информация считается немаршрутизируемой после15 сегментов, что может вызывать проблемы в таких сетях.OSPFПротокол маршрутизации OSPF был разработан группой IETF (Internet EngineeringTask Force) специально для таких сред TCP/IP, как интернет. Это эффективный, нодовольно сложный протокол маршрутизации, поддерживающий как состояния связи,так и таблицы маршрутизации. Как протокол маршрутизации каналов, OSPFсохраняет информацию, получаемую от всех остальных маршрутизаторов в интерсети,и использует эту информацию для расчета кратчайшего пути до каждого маршрутизатора.Это отличается от протоколов дистанционно-векторной маршрутизации(см. выше), которые отправляют сообщения с информацией обновлениямаршрутизаторов только соседним маршрутизаторам.OSPF был разработан с целью выхода за ограничения других протоколов маршрутизации,таких как RIP. Он поддерживает масштабирование без существенногоувеличения объема служебной информации. В результате он отвечает требованиямк большим интерсетям предприятий. Протокол маршрутизации OSPF описан в документахRFC 1247 (для OSPF) и 2328 (для OSPF версии 2).Иерархия OSPF. Еще одним отличием протокола OSPF является то, что он можетдействовать иерархически, как это показано на следующем рисунке. Каждый маршрутизаторOSPF отправляет и получает маршрутную информацию от всех остальныхмаршрутизаторов в автономной системе (AS), где имеется набор маршрутизаторов(сетей), которые применяют общую стратегию маршрутизации. Каждая ASможет быть разбита на меньшие группы, которые называются областями и являются,по сути, непрерывными сетями в соответствии с их сетевыми интерфейсами.Некоторые маршрутизаторы могут иметь несколько интерфейсов, и такие маршрутизаторымогут быть связаны более чем с одной областью. Эти маршрутизаторысоответственно называются маршрутизаторами границ областей (ABR), и они занимаютсяпередачей маршрутной информации из одной области в другую, что позволяетснизить трафик маршрутизации в автономной области (AS).

Глава 13. Служба RRAS (Routing and Remote Axess Service) 423Маршрутизатор 1Область ОМаршрутизатор 3Маршрутизатор 2Для AS, содержащей несколько областей, требуется магистраль для структурнойи управляющей поддержки. Эта магистраль соединяет маршрутизаторы границобластей (ABR) и любые сети, которые не полностью содержатся в любой конкретнойобласти. На рисунке 13.5 показана AS, содержащая две области и магистраль.Эта магистраль находится в области 0.Маршрутизатор 1Область 1Область ОМаршрутизатор 2Маршрутизатор 7Автономная системаРис. 13.5. Иерархия OSPF с несколькими областями и магистральюОсновы работы службы RRAS(Routing and Remote Access Service)RRAS впервые появилась в Windows NT 4 Option Pack как дополнительное средство,которое позволяет операционной системе действовать как программный мар-

424 Windows Server 2003. Полное руководствошрутизатор. Она была предназначена для расширения текущей реализации службыRAS, которая была встроена в Windows NT. Реализация, включенная в Windows NT4, позволяла осуществлять маршрутизацию с несколькими протоколами и расширялавозможности сети предприятия. Она позволила осуществлять соединения судаленным сайтами (локальная сеть с локальной сетью, локальная сеть с пользователеми т.д.) через глобальную сеть (WAN) или посредством VPN-соединения черезобщедоступную сеть, такую как интернет.В Windows 2000 и Windows Server 2003 служба RRAS больше не является дополнительнойслужбой. Теперь это одна унифицированная служба, в которой объединеныфункциональные возможности службы RAS Windows NT и RRAS. Она такжеулучшена по сравнению с предыдущими реализациями за счет расширенной поддержкиотраслевых стандартов и более удобна в использовании, что позволяет снизитьзатраты на администрирование. Вы можете осуществлять конфигурирование иуправление сервером интернет-соединений (Internet Connection Server), серверомдистанционного доступа (Remote Access Server) или сервером VPN (VPN Server), ивсе это из одного интерфейса.Хотя RRAS - это одна служба, она действует как клиент/серверная служба. Клиентомявляется любой объект, который для доступа к ресурсам подсоединяется спомощью службы сервера RRAS, в то время как серверная сторона обеспечиваетэти соединения. Если вы работали с версиями RAS или RRAS для Windows NT, то,видимо, уже знакомы с понятиями клиентов, осуществляющих соединения из домаили в дороге и использующих свои модемы для коммутируемого доступа к серверуRRAS. Клиентские компьютеры Windows 9x конфигурируют соединение с серверомRAS или RRAS с помощью службы Dial-Up Networking (DUN), и делают это с помощьюсвоих средств. Другие клиенты, такие как Windows 3.1 и операционные системыне от компании Microsoft, имеют другое клиентское программное обеспечение(ПО), которое позволяет им подсоединяться удаленным образом к ресурсам спомощью RAS или RRAS.В Windows Server 2003 еще более изменено определение дистанционных соединенийза счет расширения определения клиента. Важно отметить, что наиболее распространенные(и поддерживаемые) методы доступа из предыдущих версий по-прежнемуостаются без изменений. Пользователи могут продолжать соединяться спомощью модемов (рис. 13.6), соединений Х.25, VPN-соединений и т.д. Однако вчисло клиентов RRAS теперь включаются подсоединенные к сети клиенты в домашнихофисах или на небольших предприятиях, когда вы конфигурируете разделяемыйдоступ к интернет-соединению в RRAS. Более того, в случае конфигурированиясервера RRAS как сервера VPN определение клиента расширяется длявключения удаленного офиса.Дистанционные соединения и дистанционноеуправлениеПрежде чем продолжить описание RRAS в Windows Server 2003, стоит рассказать,чем отличаются дистанционные соединения от дистанционного (удаленного) управления.RRAS обеспечивает именно дистанционные соединения. С помощьюRRAS создается сетевое соединение, чтобы пользователи могли осуществлять дистанционныйдоступ к ресурсам, таким как принтеры, сетевые разделяемые ресурсыи т.д. Можно также (но обычно не рекомендуется) запускать приложения через каналглобальной сети (WAN). Но этого следует избегать, поскольку каналы WAN обыч-

•Глава 13. Служба RRAS (Routing and Remote tecess Service) 425но дают низкоскоростные соединения. В зависимости от размера и типа приложения,которое вы пытаетесь запустить, может оказаться, что оно работает крайнемедленно.Рис. 13.6. Общераспространенный сценарий использования RRASС другой стороны, используя дистанционное (удаленное) управление, клиентывидят на своем экране то, что представлено на мониторе сервера. Каждая операция,которая выполняется во время сеанса дистанционного управления, на самом делевыполняется на самом сервере. Через сетевое соединение передается только экраннаяинформация. Дистанционное управление позволяет вам, клиенту, восприниматьвсе, как будто вы находитесь непосредственно перед экраном сервера.Иначе говоря, дистанционное соединение делает ваш компьютер частью удаленнойсети, в то время как дистанционное управление позволяет вам непосредственноработать с удаленным компьютером.Примечание. Windows Server 2003 обеспечивает операции дистанционного управления,но не через RRAS. Вместо этого вы используете Terminal Server (Терминальныйсервер), который поставляется в комплекте с этой операционной системой.Более подробные сведения по дистанционному управлению и возможностямTerminal Server в Windows Server 2003 см. в гл. 3.Сетевые протоколыЯзык, на котором мы разговариваем, интересен в силу его разнообразия. Даже когдавы разговариваете с кем-то на одном языке, возможны различные диалекты иакценты, которые вам нужно интерпретировать. Общение с другими людьми (разговор,выслушивание собеседника и т.д.) на вашем родном языке происходит естественнымобразом и обычно не требует от вас каких-либо дополнительных усилий.И лишь когда вы пытаетесь общаться с человеком, который не знает вашего языка,вам приходится прибегать к другим формам общения, например, к языку жестов,чтобы этот человек понял, какую информацию вы хотите ему передать.В наше время сетевые протоколы, такие как TCP/IP, IPX/SPX, NetBEUI иAppleTalk, являются основой «общения» для компьютеров независимо от способаих соединения - в локальной сети или дистанционным образом. Эти протоколы

426 Windows Server 2003. Полное руководствоявляются различными языками, которые используются компьютерами для «разговора»друг с другом. Ключевым отличием является то, что если компьютер не можетговорить на определенном языке (не установлен нужный протокол), то он не пытаетсяприбегнуть к иному способу общения («языку жестов») с другим компьютером.Поэтому, если один компьютер «говорит» только на TCP/IP, а другой - толькона IPX/SPX, то они не могут обмениваться информацией друг с другом.Два сетевых протокола, о которых уже говорилось раньше, - TCP/IP и AppleTalk -поддерживаются также службой RRAS. Она поддерживает эти сетевые протоколыдля использования с разнообразными клиентами. То, что вы решили использовать,нужно не только загрузить на клиентском компьютере и на сервере, но, что ещеважнее, соответствующий протокол или протоколы должны также соответствоватьтому, что вы используете в своей сетевой среде Windows Server 2003. Большинствослужб Windows Server 2003 зависят от TCP/IP, поэтому протокол TCP/IP долженбыть выбран в первую очередь и, возможно, будет единственным протоколом, которыйвы будете использовать вместе с RRAS. Если у вас есть клиенты Macintosh,то полезным дополнением будет протокол AppleTalk.TCP/IPСистема Windows Server 2003 стандартизована для использования популярного протоколаTCP/IP. Как вы уже видели в гл. 10, TCP/IP оказался наиболее подходящимпротоколом для сетевых окружений Windows Server 2003, и он используется всемикомпаниями в Интернет. Существует много причин, по которым TCP/IP стал стандартом«де факто» для работы в сети и для Windows Server 2003. К наиболее весомымпричинам относятся его возможности маршрутизации, гибкость и масштабируемость.При работе со службой RRAS, поддерживающей TCP/IP, вы должны предоставлятьклиентам IP-адреса. Для получения необходимой информации TCP/IP клиентымогут получать IP-адрес непосредственно из статического пула адресов сервераRRAS или могут использовать DHCP (см. гл. 10).RRAS можно конфигурировать для назначения IP-адреса из пула, содержащегоодин или несколько статических IP-адресов. Для каждого следующего клиента, подсоединяющегосяс помощью RRAS, назначается следующий доступный IP-адресиз этого пула, и этот адрес становится свободным, только когда происходит отсоединениеэтого клиента.Использование RRAS для назначения IP-адресов клиентам рекомендуется тольков небольших окружениях, которые не используют DHCP в сетевой среде WindowsServer 2003. Здесь имеются две причины. Во-первых, клиенту предоставляется ограниченноеколичество информации. Вы должны вручную сконфигурировать другиепараметры конфигурации TCP/IP на стороне клиента, чтобы он мог эффективновзаимодействовать с другими машинами и использовать ресурсы вашей сети.Кроме того, вы должны обеспечить, чтобы каждый клиент получал уникальный IPадрес,то есть не допускать, чтобы в сети были конфликты IP-адресов. По мере ростачисла клиентов, подсоединяющихся с помощью RRAS, возрастает и количествоработы, которую вам требуется выполнить для конфигурирования клиентских настроекTCP/IP. Второй причиной является то, что при изменении информации TCP/IP (например, добавление или изменение сервера WINS или сервера DNS) эта информацияне передается клиенту. Каждое изменение в вашем сетевом окруженииможет потенциально означать, что вы должны изменить конфигурацию на каждойклиентской машине, подсоединяющейся с помощью RRAS. Конечно, вы можетенаписать скрипт, который бы изменял настройки конфигурации TCP/IP при каж-

Глава 13. Служба RRAS (Routing and Remote A;cess Service) 427дом входе клиентов с помощью RRAS, но это намного труднее и отнимает намногобольше времени, чем использование DHCP.Чтобы избавится от ограничений, характерных для назначения IP-адреса клиентамс помощью RRAS, вы можете использовать DHCP для динамического назначенияIP-адреса, а также других настроек конфигурации TCP/IP. Вы получаете огромноечисло преимуществ, но главное - это повышение гибкости и управлениевашей средой без увеличения работы в вашем уже готовом плане. DHCP может передаватьклиенту RRAS при его подсоединении к серверу RRAS многие настройкиконфигурации TCP/IP - IP-адрес, маску подсети, шлюз по умолчанию, серверыDNS, серверы WINS и другие параметры Кроме того, если конфигурация сети изменяется(например, вы получаете новый шлюз по умолчанию, новый сервер DNSи т.д.), то это изменение должно быть внесено только в одном месте, то есть насервере DHCP.Разрешение имен. Клиентам, которые выполняют вход в сеть Windows Server 2003через службу RRAS, использующую TCP/IP, требуется также служба обработки имен,то есть метод разрешения имен. Точнее говоря, для использования ресурсов в сетитребуется разрешение (преобразование) имени в IP-адрес и обратное преобразование.Например, если клиент хочет использовать какой-либо разделяемый ресурс(например, принтер) на компьютере с именем DR-K, то для подсоединения к этомукомпьютеру он должен использовать службу, которая выполняет преобразованиеего имени в соответствующий IP-адрес.Существует пять механизмов разрешения имен, которые могут использоватьсяклиентами для поиска и использования ресурсов:DNSWINSФайл HOSTSФайл LMHOSTSШироковещательные сообщенияОни подробно описываются в гл. 11.IPX/SPXПротокол IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) былразработан компанией Novell для использования в сетях Novell NetWare, и он былсоздан на основе протокола XNS (Xerox Network Systems) компании Xerox. Хотяструктура этого протокола наиболее подходит для локальных сетей, IPX/SPX являетсямаршрутизируемым протоколом и поэтому может использоваться в сетях уровняпредприятия. Для передачи информации другим маршрутизаторам IPX/SPX можетиспользовать любой из двух протоколов маршрутизации - RIP или NLSP (NetWareLink Services Protocol).По сравнению с TCP/IP конфигурировать и использовать протокол IPX/SPXнамного проще. Он не основывается на сложных системах нумерации, которые вамтребуется конфигурировать для соединений, и ему не нужны другие службы дляразрешения имен. После установки этого протокола требуется лишь небольшоеконфигурирование. Установка IPX/SPX также не представляет сложностей.Но хотя служба RRAS в Windows NT 4 и Windows 2000 поддерживала маршрутизациюIPX, в Windows Server 2003 этой поддержки уже нет. Напомним, однако, чтовы уже используете TCP/IP в вашей сети Windows Server 2003, поэтому единственнойсущественной причиной использования IPX/SPX может стать поддержка со-

428 Windows Server 2003. Полное руководствоединений Novell NetWare. Важно также отметить, что широковещательные сообщенияпротокола IPX/SPX используют протокол SAP (Service Advertisement Protocol)для идентификации ресурсов в сети. Широковещательные сообщения (по определению)увеличивают объем трафика, создаваемого в сети. Отказ от использованияэтого протокола поможет вам свести к минимуму количество протоколов, используемыхв вашей сетевой среде, и, тем самым, снизить объем администрирования итрафика в вашей сети.NetBEUIПротокол NetBEUI (NetBIOS Extended User Interface) был разработан в конце 1980-х гг. как расширение NetBIOS. NetBEUI - относительно простой протокол, которыйнаиболее подходит только для небольших сетевых окружений. В таких окруженияхон позволяет быстро находить нужные службы, но по мере роста сети егопроизводительность падает из-за способа, который он использует для разрешенияимен. Поддержка NetBEUI удалена из Windows Server 2003.Во многих сетях NetBIOS является составной частью взаимодействия между компьютерамии другими устройствами сети. Каждое устройство, будь то компьютерили принтер, имеет связанное с ним имя NetBIOS. NetBEUI использует эти именаNetBIOS для поиска ресурсов в сети путем рассылки широковещательных сообщений.Поэтому, когда компьютеру нужно найти принтер, он отправляет широковещательноесообщение в сети, чтобы найти устройство с указанным именем NetBIOS.И чем больше устройств в сети используют NetBEUI, тем больше трафик, передаваемыйво всей сети. Большое число широковещательных сообщений может дажевызвать повреждение сети. Я сталкивался с ситуацией, когда избыток широковещательныхсообщений вызвал отключение сети с 10000 узлов (отмечу, что не я конфигурировалэту сеть).AppleTalkAppleTalk - это сетевой протокол для компьютеров Apple Macintosh, и он поддерживаетсяслужбой RRAS в Windows Server 2003. Этот сетевой протокол динамическиназначает всем устройствам сети (компьютерам, принтерам и т.д.) уникальныйномер узла, чтобы отличать их друг от друга. Он делает это с помощью широковещательныхсообщений.Обмен информацией между компьютерами и другими устройствами сети, использующимиAppleTalk, основывается на широковещательных сообщениях, аналогичныхмассовой рассьшке почты. Каждое устройство, поддерживающее AppleTalk,получает такое сообщение. Если успешное разрешение имени происходит послешироковещательного сообщения, то эта информация сохраняется в кэше компьютерадля протокола AARP (AppleTalk Address Resolution Protocol). В следующий раз,когда компьютеру требуется разрешение имени, он просматривает свой кэш AARP,прежде чем использовать широковещательное сообщение.Хотя ваша сеть может поддерживать клиентов Macintosh, вам следует конфигурироватьRRAS для поддержки AppleTalk только в тех случаях, когда некоторымклиентам AppleTalk требуется дистанционное подсоединение к сети Windows Server2003.Протоколы доступаПротоколы доступа, известные также как протоколы инкапсуляции, активизируюти управляют передачей информации через канал глобальной сети (WAN) между сер-

Глава 13. Служба RRAS (Routing and Remote Pccess Service) 429вером RRAS и клиентом. Эти протоколы не зависят от поставщика, а это означает,что они способствуют взаимодействию между различными технологиями поставщикови различными платформами операционных систем. В результате многие типыклиентов (Macintosh, UNIX и т.д.) могут осуществлять соединения с помощью RRAS.Протоколы доступа находятся и действуют на канальном уровне (Data Link layer)модели OSI, в то время как описанные выше сетевые протоколы действуют на сетевомуровне (Network layer) модели OSI. Уровень, на котором действуют протоколыдоступа, является основой их независимости от поставщика. Основной задачей этихпротоколов является поддержка сеанса дистанционного доступа путем сжатия, пакетизацииданных и контроля ошибок. Некоторые протоколы доступа могут такжеобеспечивать безопасность путем шифрования данных перед их отправкой черезканал глобальной сети (WAN).РРР (Point-to-Point Protocol)РРР (протокол двухточечного соединения) - это один из наиболее распространенныхв настоящее время протоколов, который используется по умолчанию в WindowsServer 2003. На самом деле это комплект стандартизованных протоколов, аналогичныхTCP/IP, которые действуют совместно для предоставления множества служб,используемых для создания и поддержки двухточечных соединений. РРР предоставляетмного возможностей, включая• инкапсуляцию (туннелирование) данных;• сжатие данных;и Мультиплексирование (многозвенное соединение) для объединения двух илиболее каналов WAN• обеспечение надежности путем использования протокола HDLC (High-Level DataLink Control), чтобы конфигурировать разбиение данных на фреймы;• согласование конфигурации сети.Для создания и поддержки двухточечных соединений РРР использует два другихпротокола - LCP (Link Control Protocol - протокол управления каналами) иNCP (Network Control Protocol - протокол управления сетью). LCP используется восновном для создания соединения и конфигурирования параметров канала, такихкак размер фрейма. С другой стороны, основной задачей NCP является согласованиепараметров конфигурации сети, таких как инкапсуляция и сжатие, для сетевыхпротоколов (AppleTalk, TCP/IP и NetBEUI) в канале глобальной cera(WAN). Каждыйсетевой протокол имеет свою собственную версию NCR Они представленывместе с соответствующим сетевым протоколом в таблице 13.2.Как вы можете предполагать, РРР определяется в наборе документов RFC. Втабл. 13.3 приводится список документов RFC, относящихся к РРР, и все эти документыможно найти на сайте www.rfc-editor.org.Примечание. РРР - это стандарт, на основе которого разработаны протоколы РРТРи L2TP. Эти протоколы описываются в следующих разделах.РРТР (Point-to-Point Tunneling Protocol)Популярной темой дистанционного доступа за последнюю пару лет стали виртуальныечастные сети (VPN), и все это началось с РРТР (Протокол двухточечноготуннелирования). Более подробную информацию по VPN см. ниже в этой главе.РРТР является расширением протокола РРР за счет улучшения его возможностей,

430 Windows Server 2003. Полное руководствотаких как безопасность и поддержка нескольких протоколов. РРТР может инкапсулироватьпротоколы TCP/IP и NetBEUI внутри дейтаграмм РРР. Дейтаграммы связаныс методами доставки без установления соединения, которые не обязательно позволяютдостичь нужного получателя. Кроме того, РРТР - это наборстандартизованных протоколов, которые действуют совместно для обеспечения удаленныхклиентов каналом защищенной передачи данных в частную сеть через сетьна основе TCP/IP, такую как интернет.Табл. 13.2. Версии протокола NCP и соответствующие сетевые протоколыNCPAppleTalk Control Protocol (ATCP)Internet Protocol Control Protocol (IPCP)Internet Packet Exchange Control Protocol (IPXCP)NetBEUI Control Protocol (NBCP)Сетевой протоколAppleTalkTCP/IPIPX/SPXNetBEUIТабл. 13.3. Документы RFC, связанные с РРРНомер RFCОписание1549 Информация, относящаяся к РРР в фреймах протокола HDLC1552 Информация, относящаяся к РРР IPXCP13 34 Информация, относящаяся к протоколам аутентификации РРР1332 Информация, относящаяся к РРР IPCP1661 Информация, относящаяся к LCP1990 Информация, относящаяся к протоколу РРР Multilink Protocol2125 Информация, относящаяся к протоколам РРР Bandwidth AllocationProtocol (ВАР) и РРР Bandwidth Allocation Control Protocol (BACP)2097 РРР NetBIOS Frames Control Protocol (NBFCP)1962 PPP Compression Control Protocol (CCP)1570 РРР - Расширения LCP2284 PPP Extensible Authentication Protocol (EAP)Примечание. Соединение РРТР обычно шифруется с помощью 40-битных схемшифрования RC4 или DES, но может быть также получена 128-битная версия шифрования,если она будет использоваться в США.Можно привести несколько примеров практического применения соединенийРРТР. Например, находясь в отъезде, клиенты могут устанавливать защищенноесоединение со своей компанией через Интернет. Это позволяет им использоватьсетевые ресурсы компании без затрат на телефонные соединения на больших расстояниях.Еще один пример - это использование соединений РРТР для защищеннойи недорогой связи различных сайтов компаний в конфигурации, показаннойна рисунке 13.7. Как можно видеть из этих примеров, РРТР можно использовать скоммутируемым (dial-up) соединением, но это не является обязательным требованием.Обязательным является только IP-соединение между двумя точками.

Глава 13. Служба RRAS (Routing and Remote /fccess Service) 431EAP (Extensible Authentication Protocol). При использовании ЕАР (Расширяемый протоколаутентификации) увеличивается защищенность соединений РРТР. Как следуетиз названия протокола, ЕАР - это протокол аутентификации, который добавляети улучшает механизмы аутентификации при соединении РРТР. В частности,ЕАР привносит в РРТР несколько механизмов аутентификации, включая• аутентификацию по опознавательной карте (token card);• аутентификацию с открытым ключом при использовании смарт-карт и сертификатов;• одноразовые пароли.В зависимости от реализации протокола ЕАР, которую вы используете, клиентможет оказаться единственной стороной, которая обязана доказывать свою идентичность.Но в системе Windows Server 2003 и сервер, и клиент обязаны доказыватьдруг другу, что они действительно соответствуют тому, что они указывают.Сайт 1 Сайт 2Туннель РРТРРис. 13.7. Соединение двух сайтов компании с помощью РРТРL2TP (Layer Two Tunneling Protocol)Предполагается, что протокол L2TP (Протокол туннелирования уровня 2) станетзаменой РРТР как предпочтительный протокол туннелирования. Он поддерживаетсятакими поставщиками, как Cisco, Microsoft, 3Com и др. L2TP основывается напротоколах РРТР и L2F (Layer Two Forwarding). L2F разработан компанией Cisco иявляется более надежным протоколом туннелирования, который поддерживает инкапсуляциюнамного большего числа протоколов, чем РРТР, включая AppleTalk иSNA. Это дает более широкий охват поддерживаемых платформ операционных систем.Как и РРТР, L2TP можно использовать для создания защищенного надежногоканала связи между двумя конечными точками, например, между удаленным клиентоми сервером или между двумя сайтами. В нем используется стандарт IPSec(Internet Protocol Security) для аутентификации и шифрования с целью защиты данных,проходящих через соединение. Более подробную информацию по IPSec см.ниже в этой главе. Для защиты соединения L2TP инкапсулирует пакеты РРР также, как и РРТР. Напомним, что пакеты РРР фактически являются инкапсуляцией(оболочкой) сетевых протоколов (TCP/IP и т.д.). На рис. 13.8 показано, как L2TPинкапсулирует пакеты. L2TP часто используется для коммутируемых (dial-up) соединений,поскольку его структура оптимизирована для коммутируемых соединений,а не для реализаций связи между сайтами. Более того, реализация L2TP вWindows Server 2003 предназначена в первую очередь для сетей IP и не поддерживаеттуннелирование в собственном режиме через сети Х.25, Frame Relay или ATM.

432 Windows Server 2003. Полное руководствоSLIP (Serial Line Internet Protocol)SLIP - это самый старый тип протокола доступа для двухточечных соединений. Онинкапсулирует сетевые протоколы, чтобы их можно было передавать через канал,но он не обладает многими свойствами своих протоколов, включая сжатие и контрольошибок. В результате SLIP почти ничего не делает для обеспечения качествапередаваемых данных, и поэтому его следует использовать только как последнеесредство.Windows Server 2003 больше не поддерживает SLIP для входящих соединений иподдерживает его для исходящих соединений только в целях обратной совместимостис прежними системами, не поддерживающими более надежные РРР-соединения.SLIP уже почти не используется как средство двухточечных соединений.ЗаголовокIP.......... А4iЗаголовокESPСодержит IP-адресаисточника и местаназначения дляконечных точек,образующих туннельЗаголовокUDPЗаголовокL2TPЗаголовокРРРЗаголовокIPДанныеКонцевикESPс: ТУШифруется-^/—ПодписываетсяАутенти- |фикацияESP ГРис. 13.8. Инкапсуляция L2TPМетоды доступаПосле обсуждения различных сетевых протоколов и протоколов доступа мы переходимтеперь к описанию методов, которые используются с протоколами физическогоуровня для обмена информацией.Аналоговые соединенияPSTN (Public Switched Telephone Network - Коммутируемая телефонная сеть общегопользования) - это стандартная телефонная служба, которой вы обычно пользуетесь,известная также под названием POTS (Plain Old Telephone System - Обычнаятелефонная сеть). Для POTS используются аналоговые линии, предназначенные впервую очередь для голосовой связи, но в настоящее время они также широко используютсядля передачи данных. Для передачи данных через аналоговую системуиспользуются модемы. Скорее всего, так, где есть телефон, вы можете использоватьмодем для создания удаленного соединения с вашей собственной сетью. ПосколькуPOTS была разработана для голосовой связи, передача данных ограничиваетсяопределенной скоростью.Модемы преобразуют цифровые (дискретные) сигналы в аналоговые для передачичерез соответствующий канал связи и затем преобразуют полученные аналоговыесигналы снова в цифровые сигналы, которые может воспринимать компьютер.Обычно модемы классифицируются по стандартам, которые они поддерживают

Глава 13. Служба RRAS (Routing and Remote Access Service) 433(например, V.32, V.32bis и V.90), и по скорости, с которой они отправляют и получаютданные. Модемы могут работать на скоростях до 56 Кбит/с при использованиистандарта модуляции V.90. Однако правила FCC (Federal CommunicationsCommission) ограничивают передачу отправляемых данных скоростью 33.6 Кбит/си прием данных скоростью 53 Кбит/с. Преобразование сигналов вместе с характернымидля POTS факторами, такими как шум, ограничивают количество данных,которые вы можете передавать через такое соединение.Существует множество компаний, поставляющих модемы, и Windows Server 2003поддерживает многие из них. Сюда относятся практически все известные маркимодемов, такие как 3Com/US Robotics и Hayes. Однако для надежности вы должныубедиться в совместимости своего модема. Для этого проверьте список Microsoft посовместимости оборудования (HCL - Hardware Compatibility List) по адресуwww.microsoft.com/HCL. После установки модема Windows Server 2003, скорее всего,определит его и установит соответствующие драйверы, поскольку эта операционнаясистема полностью поддерживает Plug and Play.ISDN (Integrated Services Digital Network)ISDN (цифровая сеть связи с комплексными услугами) - это цифровая версия POTS.Она может передавать данные с скоростями, которые намного превышают скоростианалоговой телефонной сети, поскольку обладает большей четкостью с меньшимуровнем шума. Обычно передача по телефонной линии происходит со скоростьюдо 53 Кбит/с (для модема 56 Кбит/с), в то время как в линии ISDN данныепередаются со скоростью от 64 до 128 Кбит/с в зависимости от количества используемыхканалов ISDN.ISDN использует для передачи данных два В-канала. Каждый канал работает соскоростью 64 Кбит/с. Поэтому работа с одним В-каналом позволяет передавать данныесо скоростью 64 Кбит/с, и использование двух каналов повышает скорость до128 Кбит/с за счет агрегации каналов. ISDN имеет также третий канал (D-канал),который используется не для передачи данных, а для слежения и управления двумяВ-каналами. D-канал создает соединение и управляет передачей таких данных, каксигнализация.С ISDN используются два протокола. Это BRI (Basic Rate Interface) и PRI (PrimaryRate Interface). Тип протокола, который вы используете, зависит от того, каким способомтелефонная компания предоставляет вам услуги ISDN. Наиболее употребительныйпротокол ISDN - это протокол BRI. По умолчанию в нем используютсядва В-канала и D-канал. Протокол PRI используется меньше, поскольку он частичноиспользует линию данных Т1. Линия Т1 - это агрегация 24 каналов, имеющихскорость 64 Кбит/с. Если вы используете протокол PRI, то он может забирать трииз этих каналов (два для В-каналов и один для D-канала).Еще несколько лет назад ISDN обычно использовали только предприятия из-завысокой стоимости таких линий. Однако в настоящее время ISDN становятся широкодоступным средством и для домашнего использования.Х.25Х.25 - это глобальный стандарт, разработанный в 1970-х гг. для передачи данныхчерез телефонную сеть или через сети с коммутацией пакетов (PSN). Хотя реализацииХ.25 постепенно заменяются более дешевыми альтернативами, он часто являетсянаиболее подходящим средством в менее развитых регионах по всему миру.Соединения Х.25 очень похожи на телефонные или коммутируемые соединения.Хост-компьютер вызывает другой компьютер с запросом соединения, и если

434 Windows Server 2003. Полное руководствоон принят, то затем можно передавать информацию. Более точно, в PSN происходитсоединение оконечного оборудования данных (DTE) с оконечным оборудованиемпередачи данных (DCE).В Windows Server 2003 сетевые и коммутируемые (dial-up) соединения поддерживаютХ.25 путем использования сборщиков/разборщиков пакетов (PAD - packetassembler/disassembler) и карт Х.25. Клиенты RRAS могут также использовать модемдля коммутируемого соединения с сервером Windows Server 2003 с помощьюХ.25, но для приема этого вызова на сервере должна использоваться карта Х.25.ADSL (Asymmetric Digital Subscriber Line)ADSL (асимметричная абонентская цифровая линия) - это новый метод доступа (онем сейчас много говорят), который нашел свое применение во многих небольшихфирмах и в жилых районах ввиду его низкой стоимости и высокой пропускной способности.ADSL обеспечивает высокоскоростной обмен данными с помощью техже телефонных линий, что используются в обычных телефонных сетях (POTS).Хотя ADSL предполагает высокую пропускную способность, «восходящий» поток(от клиента к службе) передается медленнее, чем «нисходящий» поток (от службык клиенту). Обычно восходящий поток передается со скоростью от 64 до 256Кбит/с, а нисходящий поток - до 1.544 Мбит/с для передачи данных. Скорость передачинисходящего потока эквивалентна линии Т1. Существуют также разновидностиADSL, такие как HDSL и VDSL, которые предполагают значительно болеевысокие скорости передачи восходящего и нисходящего потоков.Когда вы устанавливаете сетевой адаптер ADSL в Windows Server 2003, он представленкак интерфейс Ethernet или интерфейс коммутируемого (dial-up) соединения.Конфигурация соединения зависит от интерфейса, который оно использует.Например, если адаптер ADSL представлен как интерфейс Ethernet, то данное соединениедействует в точности так, как если бы это было соединение Ethernet, ноесли он представлен в виде интерфейса коммутируемого соединения, то ADSL используетATM.ATM (Asynchronous Transfer Mode)ATM (Асинхронный режим передачи) - это набор технологий, которые обеспечиваютнадежные высококачественные сетевые услуги для аудио, видео и данных. ВATM используется технология VLSI (интеграция сверхвысокого уровня) для сегментированияданных, передаваемых с высокой скоростью, в пакеты, которые называютсяячейками. Каждая ячейка имеет размер 53 байта и состоит из 5 байтовзаголовочной информации и 48 байтов данных.0 452ЗаголовокДанные (реальнаяинформация)Технология ATM ориентирована на соединения, а это означает, что путь от источникак месту назначения создается до того, как начинается передача данных черезсоединение. Этот путь обычно называют виртуальной линией (virtual circuit — VC)Кроме того, во время установления соединения происходит согласование параметровQoS (Quality of Service - Качество обеспечения), чтобы обеспечить наиболее

Глава 13. Служба RRAS (Routing and Remote ficcess Service) 435высокий уровень точности и гарантировать качество данного соединения независимоот сети, в которой оно создается, - LAN (Локальная сеть) или WAN (Глобальнаясеть).При сравнении ATM с сетью Ethernet или Token Ring вы увидите много отличиймежду этими технологиями, наиболее примечательными из которых являются следующиеотличия.• Ориентация на соединения. Технология ATM ориентирована на соединения, аEthernet и Token Ring ориентированы на обмен без установления соединения.Технологии без установления соединения не создают соединение до того, какначинается отправка данных через соединение, но они, конечно, имеют другиемеханизмы в рамках сетевых протоколов верхнего уровня, чтобы обеспечитьпрохождение данных к нужному получателю.• Пакеты. Пакеты ATM называются ячейками, причем каждая ячейка имеет фиксированнуюдлину 53 байта. В отличие от этого, пакеты Ethernet или Token Ringимеют структуру переменной длины. Поскольку ячейка ATM имеет фиксированнуюдлину, она является «предсказуемой». В сети не требуется никаких затрат,чтобы определить, где начинается или заканчивается определенная ячейка,что позволяет оптимизировать передачу данных в целом.ICS (Internet Connection Sharing)ICS (Internet Connection Sharing — Разделяемое использование интернет-соединения) -это неоценимая служба, предоставляемая в Windows Server 2003. Она позволяет вампредоставлять другим машинам разделяемый доступ к выделенному или коммутируемомусоединению в среде SOHO (small office/home office - небольшая сеть/домашняясеть). Она является также недорогой альтернативой для SOHO.Традиционно для выхода в Интернет требовалось, чтобы вы конфигурироваликаждую машину в SOHO, указывая зарегистрированный IP-адрес или отдельноекоммутируемое (dial-up) соединение. В этой ситуации обычно возникают две проблемы.Во-первых, регистрация IP-адресов и покупка дополнительного оборудования(маршрутизаторов, концентраторов и т.д.) для подсоединения SOHO к Интернетявляется дорогостоящим решением для этого типа оборудования. Этот можетиметь смысл только в более крупных окружениях. Кроме того, для создания отдельныхкоммутируемых соединений требуются дополнительные расходы (телефонныелинии, модемы и, возможно, несколько учетных записей интернет от вашего провайдерауслуг интернет [ISP]) и затраты вашего времени, но, что еще важнее, этолишь смягчает данную проблему, но не решает ее. Служба ICS снимает эти ограничения,предоставляя дешевый централизованный механизм для подсоединения вашегоокружения к интернету.Имеются два следующих метода, с помощью которых вы можете конфигурироватьICS.• Маршрутизируемое соединение. Конфигурирование ICS как маршрутизируемогосоединения позволяет серверу действовать как маршрутизатор, который пересылаетпакеты из одной сети SOHO в интернет. Этот метод реализуется с помощьюинтерфейса Network And Dial-Up Connections (Сетевые и коммутируемыесоединения).• Транслируемое соединение. Этот метод, реализуемый с помощью консоли управленияRRAS с использованием пути конфигурации NAT, тоже позволяет конфигурироватьсервер Windows Server 2003 как маршрутизатор, который Пересы-

436 Windows Server 2003. Полное руководстволает пакеты из сети в интернет. Отличие этого метода от предыдущего заключаетсяв том, что он дает вам намного больше гибкости при конфигурированииWindows Server 2003 в качестве маршрутизатора.Оба метода выполняют трансляцию сетевых адресов (NAT), но возможности NATтранслируемого соединения намного выше, поскольку оно может маршрутизироватьболее одного IP-адреса. NAT скрывает частный IP-адрес или адреса внутреннейсети за счет использования одного или нескольких открытых IP-адресов. Например,ваш компьютер во внутренней сети имеет IP-адрес 192.168.1.10 (частныйIP-адрес), но когда происходит выход в интернет, сервер транслирует (преобразует)его в открытый IP-адрес. Открытый IP-адрес необходим для того, чтобы использоватьресурсы интернета, такие как веб.Защита соединений RRASЗащита соединений дистанционного доступа является ключом к успешному развертываниюрасширений дистанционного доступа. При отсутствии должной защитыдистанционных соединений вы рискуете оставить свое сетевое окружениеWindows Server 2003 открытым для широкого доступа. RRAS Windows Server 2003предоставляет много средств безопасности, включая шифрование, аутентификацию,ответный вызов (callback) и идентификацию вызова (caller ID), что помогает усилитьзащиту ваших дистанционных соединений и, следовательно, вашей сети.Методы аутентификацииИмеется несколько методов аутентификации, которые вы можете использовать сдистанционными соединениями. По умолчанию RRAS использует аутентификациюMS-CHAP и MS-CHAPv2. Выбранные методы аутентификации применяются в следующемпорядке.1. ЕАР (Extensible Authentication Protocol - Расширяемый протокол аутентификации).2. MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2 -Протокол аутентификации с предварительным согласованием вызова версии 2компании Microsoft).3. MS-CHAP (Microsoft Challenge Handshake Authentication Protocol).4. CHAP (Challenge Handshake Authentication Protocol).5. SPAP (Shiva Password Authentication Protocol - Протокол аутентификации паролядля клиентов Shiva).6. PAP (Password Authentication Protocol).7. Неаутентифицированный доступ.Эти методы аутентификации, показанные на рисунке 13.9, можно найти в консолиуправления RRAS, выбрав соответствующий сервер в правой панели и выбравпункт Properties (Свойства). Затем во вкладке Security (Безопасность) щелкните накнопке Authentication Methods (Методы аутентификации). Чтобы использовать нужныеметоды аутентификации, установите флажки рядом с названиями соответствующихметодов.

Глава 13. Служба RRAS (Routing and Remote Axess Service) 437Authentication MethodsРис. 13.9. Методы аутентификациидистанционного доступаlbs :ttvnsuihentic Л»:temot* sytfmiby ":•••? *eselected mtibod; m1г • .p Mi • oil:I ,.,il,,-,,r,. ,t, I', I HAI'vC]|5 M,.;.Oi.:.lt wiypiM *JI»*:»IMS-CHAPII (, n..ivi.'. ••! • liГ SfyaPwwoK) Auhorictfion Protocol ISPAPIГ и Ш ЩPAlfcw remoi? ;y;i«.u

438 Windows Server 2003. Полное руководствоаутентификацию (аутентифицируются как клиент, так и сервер), шифрование,а также обмен секретными личными ключами.The E/i№:tU Authentic alion Protocol lE4Pl»it»tid; ihe «ihenlic alienmethod: bviJs№ loi Part-to Poini Protocol |PPP| ra«.:H

Глава 13. Служба RRAS (Routing and Remote Axess Service) 439Этот вариант аутентификации поддерживается системой Windows Server 2003 толькодля клиентов Shiva, которых вам, может быть, приходится обслуживать.РАРРАР (Протокол аутентификации пароля) не соответствует своему названию, посколькуэто наименее защищенный из доступных в настоящее время методов аутентификации.Имя пользователя и пароль передаются через канал связи в виде нешифрованноготекста. Любой злоумышленник, перехвативший данное соединение, можетизвлечь и использовать эту информацию для получения доступа к вашей сети. Поэтомуиспользование РАР для аутентификации не рекомендуется.Неаутентифицированный доступЭтот вариант совершенно очевиден, и поэтому он не требует обсуждения. Ясно, чтовам никогда не следует использовать этот вариант, если вы заинтересованы в защитевашей сети. Фактически этот вариант предоставляет открытый доступ любому,кто хочет подсоединиться дистанционным образом.Ответный вызов (Callback)Смысл этого термина следует из его названия. Удаленный клиент набирает номерсервера RRAS, после чего происходит проверка опознавательных данных этого клиента(пользовательское имя и пароль). После проверки опознавательных данныхсоединение прерывается, что позволяет серверу RRAS сделать ответный вызов удаленногоклиента. Номер, по которому делает ответный вызов сервер RRAS, можетбыть указан во время начального вызова, или может потребоваться, чтобы серверRRAS выполнил вызов по определенному номеру. Второй вариант является наиболеезащищенным способом, поскольку он позволяет ограничить возможные источникиудаленных соединений. Еще одним преимуществом обратного вызова являетсято, что он позволяет экономить затраты на соединение клиента.Идентификация вызова (Caller ID)Многие люди знакомы с идентификацией вызова, когда на дисплее телефона представленномер телефона, с которого вам звонят. Ту же функцию можно применятьк дистанционному доступу для повышения уровня безопасности.Идентификацию вызова можно использовать для проверки того, что удаленныйклиент, набравший номер сервера RRAS, звонит с определенного заданного номера.Если клиент звонит не с этого номера, то соединение запрещается и происходитразъединение. Иногда оказывается, что телефонная компания не может снабдитьвас номером вызывающей стороны, так как в некоторых местах POTS (обычная телефоннаясеть) не может получать номер вызывающей стороны или вызывающаясторона блокировала свой номер, чтобы он не выводился на дисплее телефона. Еслиномер не может быть выведен на дисплее по какой-либо причине, то соединениеотклоняется.Основы виртуальных частных сетей (VPN)О сетях VPN говорят очень много, но, что удивительно, они труднее всего для пониманиясреди понятий, касающихся Интернет и дистанционного доступа. СетиVPN известны уже много лет, но они не привлекали особого внимания до недавне-

440 Windows Server 2003. Полное руководствого времени. Они стали поддерживаться Microsoft, начиная с реализации RRAS вWindows NT 4, и продолжают поддерживаться в RRAS Windows Server 2003.Путаница возникает в особенности из-за смысла слова «частные». Например,компании давно используют для своих отделений (филиалов) соединения черезвыделенные арендуемые линии. Это фактически частная сеть, которая расширенадля связи с удаленными частями. Их также называют VPN через выделенную линиюсвязи. ISP (поставщики услуг интернет) или телефонные компании создают виртуальныеканалы между различными местами. В этом случае имеется два типа виртуальныхканалов: постоянные виртуальные каналы (PVC) и коммутируемые виртуальныеканалы (SVC), которые обеспечивают частные соединения. Наиболеераспространены PVC-каналы.Далее мы не будем рассматривать VPN через выделенные линии связи. RRASподдерживает VPN через интернет. VPN через интернет - это средство, посредствомкоторого два компьютера или две сети могут взаимодействовать частным (защищенным)образом через общую или открытую сеть, такую как интернет. Это такжерасширение вашей частной сети, но для него не требуется ISP или телефонная компания,чтобы получить для соединений отдельный дополнительный канал, и этопотенциально экономит вам много денег. Сети VPN не ограничиваются соединениямимежду сайтами. Они также позволяют удаленным клиентам, находящимся вразъездах или работающим на дому, подсоединяться защищенным образом к сетикомпании. Например, удаленный клиент набирает номер для соединения со своимлокальным ISP (экономя на телефонных расходах) и затем создает через интернетVPN-соединение с сетью своей компании.VPN придают безопасность и надежность соединению, которое иначе было бынезащищенным соединением через открытую сеть. VPN формируется на основе трехтехнологий, которые при совместном использовании образуют защищенное соединение.Это аутентификация, туннелирование и шифрование.АутентификацияОсновной причиной аутентификации для VPN является необходимость метода,позволяющего гарантировать до начала сеанса VPN, что клиент и сервер соответствуютданным, с помощью которых они себя идентифицируют. Это не обязательнопредусматривает обязательность взаимной аутентификации. Успешная аутентификациядолжна быть проведена до того, как будет создаваться туннель ипередаваться данные, но используемый тип аутентификации зависит от типов клиентовв вашем окружении и выбранных вами методов аутентификации.Можно использовать любой из методов аутентификации, описанных выше вразделе «Защита соединений RRAS». Единственным недостатком является то, чтоесли удаленные клиенты являются клиентами более ранних версий Windows, то они,возможно, не поддерживают протокол EAR И действительно, клиенты Windows NTи Windows 9x не поддерживают этот протокол. Принимая решение, какой протоколиспользовать, помните, что важно обеспечить максимально возможный уровеньаутентификации. Это означает, что нужно использовать такие протоколы аутентификации,как ЕАР, MS-CHAP или MS-CHAPv2.ТуннелированиеТуннелирование используется для инкапсуляции сетевых протоколов (TCP/IP,AppleTalk и NetBEUI) в пакете IP, который может перемещаться через интернет.

Глава 13. Служба RRAS (Routing and Remote Axess Service) 441TCP/IP может перемещаться через интернет и сам по себе, но тогда он не будетчастью туннеля или VPN. Туннель можно представить себе как путь, который прокладываетв земле крот для перемещения из одного места в другое.Прежде чем создать туннель, нужно убедиться, что две конечные точки соответствуютданным, с помощью которых они себя идентифицируют. После их аутентификациисоздается туннель и происходит пересылка информации между этими конечнымиточками, см. рис. 13.11. Создание туннелей VPN в Windows Server 2003происходит с помощью двух протоколов - РРТР и L2TP, которые описаны выше.L2TP является расширением относительно протокола туннелирования РРТР, и ониспользует аутентификацию и протокол шифрования IPSec.L2TP имеется только в версии RRAS для Windows 2000 и Windows Server 2003, иего могут использовать только клиенты Windows, начиная с Windows 2000. В таблице13.4 описывается, какие клиенты поддерживают различные протоколы туннелирования.Вы можете добавить поддержку L2TP/IPSec к Windows 98, Windows Me иWindows NT 4, загрузив и установив L2TP/IPSec VPN Client с веб-сайта Microsoft.ШифрованиеТретьим основным компонентом VPN является шифрование. Шифрование это дополнительноепревентивное средство, которое защищает данные, отправляемыечерез туннель. Данные шифруются перед инкапсуляцией, чтобы снизить риск ихподделки в случае перехвата туннеля.Сайт 1 Сайт 2- ,СерверVPN RRAS * mmСерверVPN RRAS1Удаленныйклиент Windows2000Рис. 13.11. Туннелирование VPNWindows Server 2003 поддерживает две технологии шифрования, Microsoft Pointto-PointEncryption (MPPE) и IPSec. В обеих моделях используется ключ шифрованиядля шифрования и дешифрования информации в точках отправки и получения.Вы можете потребовать, чтобы удаленные клиенты или сайты использовалилюбой из этих методов. Если они не используют указанный вами метод шифрования,то вы можете сконфигурировать RRAS, чтобы запретить данное соединение.

442 Windows Server 2003. Полное руководствоТабл. 13.4. Клиенты и протоколы туннелирования, которые они поддерживаютКлиент VPNПоддерживаемые протоколы туннелированияWindows Server 2003Windows XPWindows 2000Windows NT 4Windows 98РРТР, L2TPРРТР, L2TPРРТР, L2TPРРТРРРТРWindows 95 РРТР с Windows Dial-up Networking 1.3МРРЕМРРЕ позволяет шифровать данные в РРТР-соединениях VPN. Он поддерживаетследующие схемы шифрования.• Стандартное 40-битное шифрование.• Стандартное 56-битное шифрование.• Сильное 128-битное шифрование для использования только в США и Канаде.Чтобы применять МРРЕ, вы должны использовать протокол аутентификацииMS-CHAP или MS-CHAPv2.IPSecIPSec - это набор служб и протоколов, основанных на криптографии. Он обеспечиваетаутентификацию, а также шифрование для VPN-соединения, использующегоL2TP. Однако L2TP использует также описанные выше методы аутентификации,такие как ЕАР и MS-CHAP.В Windows Server 2003 для IPSec используется метод шифрования DES (DataEncryption Standard) или 3DES (Triple DES). Метод DES, в котором используется56-битный ключ шифрования, может использоваться всюду. 3DES, в котором используютсядва 56-битных ключа шифрования, не может экспортироваться за пределыСША. Используемый тип шифрования IPSec определяется так называемойассоциацией безопасности (SA). SA создается между двумя конечными точками соединенияVPN, и она задает для использования общепринятые меры безопасности.Вопросы реализации VPNТо, что сети VPN представляют наиболее передовые технологии для дистанционногодоступа, не обязательно означает, что VPN являются подходящим решением длявашей ситуации. Прежде чем реализовать такое решение в вашем сетевом окруженииWindows Server 2003, вы должны учесть следующие факторы.• Безопасность. Вопросы безопасности должны быть одним из наиболее важныхфакторов, влияющих на ваше решение использовать VPN. Вы должны задатьсядвумя вопросами. Во-первых, не будет ли VPN «излишеством» для типа информации,которую вы передаете? Например, вы можете просто отправлять неконфиденциальнуюэлектронную почту. Во-вторых, будет ли VPN удовлетворятьвашим требованиям безопасности. В качестве примера обычно приводят государственныеучреждения. Например, военные даже не будут рассматривать возможностьиспользования VPN через открытую сеть, несмотря на уровень безопасности,который предполагает эта технология.

Глава 13. Служба RRAS (Routing and Remote Access Service) 443• Финансовые вопросы. Начальные и текущие расходы на реализацию VPN в сетевомокружении Windows Server 2003 ничтожны по сравнению с арендуемыми линиями.VPN, несомненно, дает вам экономию средств, поскольку в настоящее время сайтыи удаленные клиенты могут подсоединяться к сети компании защищенным образомбез дополнительных расходов на оплату телефона и т.п. Ясно, что удаленныепользователи могли бы использовать номер 800 (код бесплатных звонков), но этоне решает проблему в целом и все же требует существенных затрат.• Пропускная способность, Поскольку для сетей VPN требуется аутентификация ишифрование, скорость передачи данных (по определению) будет ниже, чем безних. При использовании VPN можно наблюдать снижение производительностиот 30 до 50 процентов. Вам потребуется сравнить это снижение производительностис получаемым уровнем безопасности.Имеется довольно много факторов, которые требуется продумать, прежде чемреализовать VPN. Но если вы рассмотрели эти три вопроса, то будете более увереныв своем решении включать (или не включать) возможности VPN в свою сеть WindowsServer 2003.Выбор варианта реализации VPNИмеются два основных типа реализации VPN: коммутируемое VPN-соединение (dialupVPN) и соединение между сайтами (site to site). Сочетание этих двух типов можноопределить как третий тип.• Коммутируемое VPN-соединение. Обычно удаленные клиенты набирают номертелефона своего локального провайдера услуг Интернет (ISP) и затем «звонят»на сервер VPN Windows Server 2003, чтобы установить VPN-соединение междуэтим сервером VPN и удаленным клиентом. Это дает экономию расходов на междугородниетелефонные соединения для удаленного клиента, а также дает экономиюв том месте, где находится сервер VPN, так как во многих случаях этопозволяет избежать установки большого числа модемов и других устройств дистанционногодоступа, используемых для соединений.• Соединение между сайтами. Этот вариант является наиболее распространеннымвариантом реализации VPN. При этом сценарии вы используете два или болеесерверов VPN Windows Server 2003 для создания VPN между ними. Между этимидвумя сайтами определяется защищенный обмен информацией. Пользователилюбой из этих сетей могут взаимодействовать с другим удаленным сайтом.• Сочетание этих типов. В окружениях Windows Server 2003, где имеются как удаленныеклиенты, так и сайты, можно создавать реализации VPN, которые могутобслуживать оба типа соединений.Установка RRASУстановка RRAS является настолько простой и очевидной темой, что, казалось бы,о ней не стоит даже говорить. Когда вы устанавливаете сервер Windows Server 2003,RRAS автоматически устанавливается для вас, но в отключенном состоянии. Этоозначает, что она не использует конкретных ресурсов, если вы не используете этуслужбу.Чтобы начать использование RRAS, будь то дистанционный доступ, маршрутизацияили создание VPN между сайтами, вы должны сначала включить (активизировать)ее.

444 Windows Server 2003. Полное руководствоВключение RRASАктивизация RRAS происходит почти так же просто, как и ее установка. Посколькуона отключена по умолчанию после установки сервера Windows Server 2003, вам нужносначала активизировать эту службу. Чтобы сделать это, вы должны иметь административныепривилегии или быть членом групп безопасности серверов RAS и IASдля данного домена. Чтобы активизировать RRAS, выполните следующие шаги.1. В меню Start/Programs/Administrative Tools выберите Routing and Remote Access,чтобы запустить оснастку управления Routing and Remote Access, см. рис. 13.12.в Routing and Remote AccessFJe Action View HejpRouting and Remote AccessWelcome to Routing and Remote AccessRouting and Remote Access provides secure remote access toprivate networks.Use Routing and remote access to configure the following:• A secure connection between two private networks.• A Virtual Private Network (VPN) gateway.• A Dial-up remote access server.• Network address translation (NAT).• LAN routing.• A basic firewall.To add a Routing and Remote Access server, on the Action menu,click Add Server.For more information about setting up Routing and Remote Accessserver, deployment scenarios, and troubleshooting, see НеШ ЛrV.eРис. 13.12. Консоль управления RRAS2. В правой панели выберите сервер, который хотите активизировать, и выберитев меню Action (Действия) пункт Configure and Enable Routing and Remote Access(Конфигурировать и включить RRAS). Появится окно мастера Routing andRemote Access Server Setup Wizard (Мастер настройки сервера RRAS), после чеговы можете начать конфигурирование RRAS.Затем нужно задать функции, которые вы хотите использовать с помощью RRAS.Конфигурирование RRASМастер Routing and Remote Access Server Setup Wizard снимает многие проблемы, скоторыми вы могли столкнуться при работе с более ранними версиями RAS илиRRAS. Этот мастер направляет вас, будь то конфигурирование сервера соединенийс интернет, сервера дистанционного доступа или какой-либо реализации VPN. Здесьважно отметить, что в следующих разделах по конфигурированию сервера предполагается,что вы уже установили модем или другие устройства, используемые дляудаленных соединений. Принципы, лежащие в основе конфигурирования сервера

Глава 13. Служба RRAS (Routing and Remote Access Service) 445RAS для Windows NT или Windows 2000, не изменились по существу в Windows Server2003. Однако структура мастера RRAS Setup Wizard все же изменилась определеннымобразом. В окне мастера Routing and Remote Access Server Wizard (рис. 13.13)предлагается четыре варианта типичных конфигураций и пятый вариант, Customconfiguration (Нестандартная конфигурация). Этот мастер подходит только для первоначальногоконфигурирования службы RRAS на сервере. После того, как вы пойметесмысл каждого из вариантов начального конфигурирования мастера, выберитевариант, наиболее близкий к конфигурации, которую вы хотите получить. Мастерсоздаст конфигурацию по умолчанию, которую вы сможет затем модифицировать всоответствии с локальными требованиями.RoutingandRemoteAccess SeiverSetup WizardConfigurationYou canenableanyof the folowingcombinationsof services,or you cancustomize this server.^^Alow mterr.il citrt: "> corned to Ihs Interne! irang . V K f ilk. ,p ^.j,Alo« .-mo... cfert: юcomet | i 0 „,„ , e v a fhl ь l( ,come lo .,* Internet uang a nngle pi*; IF add.e t.Coved the neiwort i, ;. 3 remote network, sui* 3; э [.ranch o(l«•f" Ciatora configiiiiitbti| :, .;й;лSetecl any combmaw», ol the l«*ur« «.Ше in R M..j «1 Remote А

'; . . ' • • . • • • i •• • • • . • • •g446 Windows Server 2003. Полное руководство3. Выберите вариант Remote Access (Dial-up or VPN), см. рис. 13.13, и щелкните накнопке Next.4. В следующем окне, см. рис. 13.14, имеются две опции: VPN (Виртуальная частнаясеть) и Dial-up (Коммутируемый доступ). Установите один или оба этихфлажка в соответствии с тем, как ваши удаленные пользователи будут подсоединятьсяк вашей сети, и затем щелкните на кнопке Next.RoutingandRemote Access SeiveiSetup WizaidRemote AccessYoucansetup thisserver to receive both dial-upandVPN connections.Й i jlup гдас.'е «••v?:r wivecan receive .:onw.trans daeclytramРис. 13.14. Конфигурирование сервера для приема VPN-соединений и/иликоммутируемых соединений5. Если вы установили оба флажка, то далее появится окно VPN Connection (VPNсоединение),см. рис. 13.15. В этом окне показаны сетевые интерфейсы, установленныена данном сервере. Выберите интерфейс, к которому будут подсоединятьсяудаленные пользователи, то есть интерфейс с IP-адресом илиDNS-именем, по которому будет подсоединяться VPN-клиент. Если сетевойинтерфейс, который вы выбираете, выделен для VPN-доступа (то есть подсоединятьсяк данному серверу через этот интерфейс можно только с помощью VPNсоединения),то вы можете установить флажок Enable security on the selectedinterface by using static packet filters (Включить защиту по выбранному интерфейсуза счет использования фильтров статических пакетов). В случае установкиэтого флажка будут пропускаться только те пакеты, которые направлены в портыTCP и UDP, используемые в VPN-конфигурации сервера; все остальные пакетыбудут удаляться. После выбора ваших опций щелкните на кнопке Next.6. Выберите, каким образом будут назначаться IP-адреса удаленным клиентам. Еслидля назначения адресов клиентам в вашей сети используется сервер DHCP, торекомендуется выбрать именно этот вариант. Иначе определите диапазон IPадресов,которые может назначать сервер RRAS, выбрав вариант From a specifiedrange of addresses (Из указанного диапазона адресов). Если у вас выбран этотвариант, то щелкните на кнопке Next и выберите нужный диапазон в следующемокне. Затем щелкните на кнопке Next.

Глава 13. Служба RRAS (Routing and Remote Access Service) 447Routing and Remote Access Server Setup WizardVPN ConnectionTo enableVPN clients to connect to this server, at least one network interface:•:must be connected to the Internet: ...,., "•:;:• :Sslecf the network inls-tate >h* connect: tha :eiver lo the InlanelISlI IPAiiecsLocal Area Connection 3 3Com ХЭООТРО-based... 10.0.0.2£nable «сипу on 'be sdeclfd interface by «King up static packet ntert.•J I. r» ••" I'M' il' ' 'П I Г: I i>l ; :-:. • • . .•-,•....':•Fw теле mfomnstan about ntuwk «Jertaca» re? Rr» «'л >•.- -:tr-r

448 Windows Server 2003. Полное руководствоRouting and Remote Access Seivei Setup Wi/,jidRADIUS Seivei SelectionYou can specify theRADIUS servers that you want touse for authentication andaccounting.Enter lha primary and alternate RADIUS serves that вserver M use fa «molePrimary RADIUS serverjradrusi admin911.com^Innate RAt IUS :•.-..-.Jius2.admin911.comTypethe ;ha*d »cre-tIp-KJwordl 'hai is '.i:ed lo cortoit ihes« RililUS :erveis;:;< Back'-: Й^:Рис. 13.16. Задание серверов RADIUS для аутентификации дистанционногодоступаВторой вариант конфигурирования RRAS соответствует конфигурированиюWindows Server 2003 как маршрутизатора Internet Connection Server (Сервер соединенийс интернет) с NAT, который подсоединяется через сетевой адаптер (NIC).Этот вариант поддерживается следующие возможности:• несколько открытых IP-адресов;• несколько интерфейсов для среды SOHO (small office/home office);• конфигурируемый диапазон IP-адресов для сетевых клиентов.Примечание. Используйте этот вариант в существующей сети с другими контроллерамидомена (DC), серверами DNS или серверами DHCP.Вы можете конфигурировать сервер Windows Server 2003 как маршрутизатор сNAT, используя следующие шаги.1. Откройте оснастку Routing and Remote Access из меню Start/Programs/Administrative Tools.2. В меню Action выберите пункт Configure and Enable Routing and Remote Access.Когда появится окно мастера Routing and Remote Access Server Setup Wizard,щелкните на кнопке Next.3. Выберите вариант Network Address Translation (NAT), см. рис. 13.17, и щелкнитена кнопке Next.4. Выберите вариант Use this public interface to connect to the Internet (Использоватьэтот открытый интерфейс для подсоединения к Интернет) и затем щелкните нанужном интерфейсе, см. рис. 13.18. Для продолжения щелкните на кнопке Next.5. Если мастер не может обнаружить серверы DNS и/или DHCP в вашей сети, онвыводит окно, где предлагается задать их на данном сервере или сконфигурироватьих позже. Я рекомендую выбрать вариант I will set up name and address services

Г Q U S I O B IГлава 13. Служба RRAS (Routing and Remote Access Service) 449later (Я определю службы имен и адресов позже) и обеспечить возможность доступак DNS и DHCP в вашей сети после завершения работы с мастером RRASSetup Wizard. Щелкните на кнопке Next.6. На этом завершается настройка маршрутизатора с NAT. Щелкните на кнопкеFinish.Routing andRemote Access Seivei Setup WizardConfigurationYoucanenableanyof the folowingcombinationsof services, otyou cancustomize this server./Remote эсс-«Нз1..г or 1Alow remote clients to conrtecuie Virtual PrrvaM Nel**A l l o wГ Virtual::,;.:; Alow rCorrectS e l e c t aS S m o r e iРис. 13.17. Выбор варианта конфигурирования маршрутизатора с трансляциейсетевых адресов (NAT)Routing and Remote Access Seiver Setup WtzaidNAT Internet ConnectionYou can select an existing interfaceor create anewdemand-diat interface forcfientcomputers to connect to the Internet.HGXom 3C900TPO-base.IPAddre::10.10.23321210.0.0.2ГCttae i r>ew ^eroand-dtal Menace to 'he IniemetA demand dial inlafece a actuated when a ctenl utes !he Imeinet >te.-f tnrso p l r a i 4 t i n - : * i v ? r С О П Г Й С ! n i t , . s n v i d e m o r b j ' u t m g r h f P o i n M o - P o e i t P r . j t K o lo-/er Etherrva The C'emavJOijl Inlerl ьсеЧ'гглс! i-JI па' v the end ol thii wizardP £гиЫ* •емшгу on the Peered ir,i*ij:e by letting up Bane FiewaHErr.: FIICHSU prevent; unauthorized «m Ir.jn, .>a»«15 access to the swvei:: through the InternetF.;.r rnor- ^огглаЕкю ъЪгМ network м-ireilacer. see Г;,.|.:г Гл лг-^Ртчгг^д- -*•:. t-^lr.Рис. 13.18. Выбор сетевого интерфейса, с помощью которого маршрутизаторбудет подсоединяться к внешней сети15-3994

450 Windows Server 2003. Полное руководство7. В нашем случае используется второй вариант, при котором происходит запускмастера Demand-Dial Interface Wizard.Создание интерфейса с коммутируемым соединениемпо требованиюВы можете также использовать NAT при подсоединении к Интернет с помощьюсредств коммутируемого (dial-up) соединения. Windows Server 2003 поддерживаеткоммутируемые соединения по требованию (demand-dial connections) с помощьюмодемов, ISDN или других поддерживаемых физических устройств, VPN-соединенийи протокола РРРоЕ (Point-to-Point Protocol over Ethernet).Чтобы сконфигурировать интерфейс коммутируемого соединения по требованиюс NAT, начните процесс, как в предыдущем разделе. На шаге 4 выберите вариантCreate a new demand-dial interface to the Internet (Создать новый интерфейс коммутируемогосоединения по требованию с Интернет), см. рис. 13.19.Routing andRemote Access Seivei Setup WizardNAT Internet ConnectionYoucan selectan existing interfaceor create anewdemand-dial interface forclientcomputers toconnect lo the Internet.Гjjse

IГлава 13. Служба RRAS (Routing and Remote Access Service) 451Если у вас выбрано VPN-соединение, выберите тип VPN (Automatic selection[Автоматический выбор], РРТР или L2TP) и щелкните на кнопке Next. Затемвведите имя и адрес сервера VPN, затем щелкните на кнопке Next.Если у вас выбран вариант РРРоЕ (Подсоединяться с помощью РРР черезEthernet), то введите имя службы (или оставьте это поле пустым, чтобы системаWindows автоматически нашла и сконфигурировала эту службу при вашемподсоединении).Demand-Dial Interface WizaidConnection TypeSelect thetypeofdemand dial interfaceyouwant to create.

452 Windows Server 2003. Полное руководствоProtocols and SecuritySelect transports and security options lor this connection.. I ! : • . ... ..Л ...... iГ" Serid a etui text password if the* «UieonrjIvwsMo (ЖИВЯ.Г" Ц-е suiptrfpg to oomrjete i>te connection wrth ll«? temol* ro>Jet

Глава 13. Служба RRAS (Routing and Remote Access Service) 453Конфигурирование варианта Secure ConnectionBetween Two Private Networks (Защищенноесоединение между двумя частными сетями)Мастер RRAS Setup Wizard предоставляет вариант, позволяющий конфигурироватьсервер Windows Server 2003 для защищенного подсоединения к другому серверуWindows Server 2003 со службой RRAS, находящемуся в удаленной сети. Этот вариантмастера RRAS Setup Wizard поддерживает VPN-соединение с удаленной сетьючерез Интернет или через одно из поддерживаемых коммутируемых соединений потребованию. Часть процедуры настройки, охватываемая мастером RRAS SetupWizard, элементарна: это установка RRAS с поддержкой VPN и запуск мастераDemand-Dial Interface Wizard, если вы выбрали эту опцию. После завершения работыэтих мастеров вам требуется сконфигурировать другие свойства данного канала.Чтобы активизировать RRAS для защищенного канала между двумя частнымисетями, выполните следующее.1. Откройте оснастку Routing and Remote Access из меню Start/Programs/Administrative Tools.2. В меню Action выберите пункт Configure and Enable Routing and Remote Access.Когда появится окно мастера Routing and Remote Access Server Setup Wizard,щелкните на кнопке Next.3. Выберите вариант Secure connection between two private networks, см. рис. 13.23, ищелкните на кнопке Next.RoutingandRemoteAccess SeiverSetup wizardConfigurationYoucanenableanyofthefolowingcombinationsofservices,oryoucancustomizethisserver.; .С Remote accew IdahjAllow iwr-oJe client* tosecure Virtual Pitvate ?Г N£twoik adJre^ han$ABow ntemal dents toС tfrtual Private Nctworfconnect loiheInterne![Secure соппеОю» ЬеConnect th« netwotk tiiiiserverthroughefther a dial-upcorheInternetusingone public IPaddress.mserverthrough (heinternetandlocalcfientstoSetectanycowbnatioFc*nweinformation elРис. 13.23. Выбор конфигурирования для VPN-соединения между двумя частнымисетями4. Выберите, нужно ли вам использовать интерфейс коммутируемого соединенияпо требованию (demand-dial interface) для подсоединения к удаленной сети, изатем щелкните на кнопке Next.

454 Windows Server 2003. Полное руководство5. Если выбрать использование интерфейса коммутируемого соединения по требованию,то появится окно IP Address Assignment (Назначение IP-адреса), гдевам нужно выбрать между использованием для удаленного соединения автоматическиназначаемого IP-адреса (DHCP) или IP-адреса, выбираемого из заданногодиапазона адресов. Предпочтительным для выбора является DHCP (еслиимеется сервер DHCP). Сделав выбор, щелкните на кнопке Next. После щелчкана кнопке Finish мастер RRAS Setup Wizard завершает свою работу.6. Если у вас было выбрано использование интерфейса коммутируемого соединенияпо требованию, то появится окно мастера Demand-Dial Interface Wizard.Конфигурирование нестандартной конфигурации RRASПоследний вариант выбора (Custom configuration) в мастере RRAS Setup Wizard позволяетвам создавать нестандартную конфигурацию с помощью любого из имеющихсясредств RRAS. Если выбрать этот вариант настройки, то мастер устанавливаеткомпоненты RRAS, необходимые для поддержки типов соединений, которыевы запрашиваете, но не требует ввода какой-либо информации, относящейся к конкретнымсоединениям; эта задача остается на ваше усмотрение после завершенияработы мастера.Чтобы активизировать RRAS для работы с нестандартной конфигурацией, выполнитеследующее:1. Откройте оснастку Routing and Remote Access из меню Start/Programs/Administrative Tools.2. В меню Action выберите пункт Configure and Enable Routing and Remote Access.Когда появится окно мастера Routing and Remote Access Server Setup Wizard,щелкните на кнопке Next.3. Выберите вариант Custom configuration, см. рис. 13.24, и щелкните на кнопкеNext.Routing andRemote Access Seiver Setup WizaldConfigurationYou canenableany of the folowingcombinations of services,or youcancustomize thisserver::Alow lemae с lent: to connect to tint server though either a dial-up connection 01«:«uie Virtual Private Network fvPNI Irteinei connectionГ Network ЩШ It ansbtrcn (NAT)Alow internal cienU to connect to the Internet u;bjone outlc IP «detestСL'irtuai FWita 11 а«югк ГУ PN) access and NATAlow rer.vMe cl*r«; |o c:««ct to thr jervei through the Internet and local cJenli toconnect lo the Wen.* inng a lingle риЫк IP adieii< network !•: a .emote nehrerk. juch •>: * bunch ollrceSelect ы.у tombrwticfi ot tlvt featured avails* m RoUng and Remote $Рис. 13.24. Выбор варианта для создания нестандартной конфигурации

Глава 13. Служба RRAS (Routing and Remote Access Service) 4554. Появится окно Custom Configuration, см. рис. 13.25, где можно выбрать следующиеопции:• VPN access (VPN -доступ);• Dial-up access (Коммутируемый доступ);• Demand-dial connections (Коммутируемые соединения по требованию);• NAT and basic firewall (NAT и базовый брандмауэр);• LAN routing (Маршрутизация локальной сети).Routing andRemote Access SeivetSetup wizaidCustom ConfigurationWhen thiswizard closes, youcan configure the selected services intheRoutingandRemoteAccess console.Select Urt tetvK es ttv.t you wart Ю епаЫ* on "he ierv-даГ"ГP?mand-isl cк bt anch o№ce touting}ГMAT and basic lirewall(Back:Рис. 13.25. Выбор опций нестандартной конфигурации5. Выберите нужные вам опции и для продолжения щелкните на кнопке Next. Появитсязавершающее окно; после просмотра сводки действий щелкните на кнопкеFinish, чтобы завершить работу мастера.Конфигурирование ICS (Internet Connection Sharing)Вам нужен более простой способ конфигурирования подсоединенного к интернетукомпьютера как маршрутизатора с NAT, чтобы предоставлять разделяемый доступ?Как раз для этого вам может подойти служба ICS (Internet Connection Sharing - Разделяемоеиспользование Интернет-соединения). ICS - это простая альтернативаRRAS, предназначенная для среды SOHO (small office/home office). С помощью простогоодношагового процесса ICS выполняет следующее.1. Реконфигурирует IP-адрес адаптера локальной сети, который подсоединяется клокальной сети по адресу 192.168.0.1 с маской подсети 255.255.255.0 (или192.168.0.1/24 в нотации CIDR [Classless InterDomain Routing]).2. Добавляет в таблицу маршрутизации статический (но не постоянный) маршрутдоступа к Интернет, когда создается интернет-соединение.3. Запускает службу Internet Connection Sharing Service.4. Конфигурирует и запускает службы DHCP для выделения адресов в диапазонеот 192.168.0.2 до 192.168.0.254 клиентам локальной подсети.

456 Windows Server 2003. Полное руководство5. Активизирует службу DNS Proxy, пересылающую запросы разрешения имен DNSот клиентов локальной сети серверу DNS, который предоставляется службой ISP,когда создается интернет-соединение.Вы не можете изменять способ, которым ICS конфигурирует сеть. Если вам нужнанастройка, отличная от конфигурации ICS, то вы должны использовать RRAS.При реализации ICS помните, что ICS изменяет локальный IP-адрес компьютера, ион больше не может взаимодействовать с другими компьютерами этой локальнойсети, пока вы не обновите их конфигурацию в соответствии с конфигурацией ICS.Рекомендуется следующая процедура: задать на клиентских компьютерах получениеих IP-адресов через DHCP (или использовать вариант Automatically, которыйпредоставляется некоторыми панелями конфигурирования IP-адресов) и удалитьвсе существующие адреса серверов DNS из IP клиента. Вы можете конфигурироватьICS таким способом на компьютерах с системами Windows Server 2003 и WindowsХР. Любой компьютер, работающий с настольной или серверной версией Windowsиз Windows 98, можно конфигурировать как клиентский компьютер в сети ICS.Вам нужно конфигурировать ICS? В Windows 2000 Server мастер RRAS SetupWizard обеспечивал некоторое сопровождение в установке ICS в случае выбора определенноговарианта при установке сервера соединений с Интернет. Это сопровождениеудалено из мастера RRAS Setup Wizard в Windows Server 2003, но процедураконфигурирования выполняется очень просто. Выполните следующие шаги.1. Убедитесь, чтобы Интернет-соединение, которое вы хотите предоставлять дляразделяемого доступа, полностью сконфигурировано и работает, но в данныймомент не подключено.2. Откройте окно Network Connections (Сетевые соединения), см. рис. 13.26. ВыберитеStart/Control Panel (Пуск/Панель управления) и дважды щелкните наNetwork Connections или, в Windows Explorer, щелкните правой кнопкой на MyNetwork Places (Сетевое окружение) и выберите в меню Action пункт Properties.*•*,NetworkConnectionsИе Edit View Favorites look .Advanced Нфiemh F.JJer. . •••} •••"'-Address jstfi Network Connections "3Dial-upLAN or High-Speed Internet• •'". j—i Local Area ConnectionWizard•j^|p--[r_..Д..,Local Area Connection'.T "•;-««New Connection WizardPet data Fax Mo*mРис. 13.26. Конфигурирование ICS после конфигурирования в интерфейсе интернет-соединения

3.4.Глава 13. Служба RRAS (Routing and Remote Access Service) 457Щелкните правой кнопкой на сетевом интерфейсе, который подсоединен к интернету(часто это модем телефонной линии и соединение локальной сети сширокополосным модемом). В меню Action выберите пункт Properties. (ПользователиWindows 2000 увидят вкладку Sharing (Разделяемый доступ), в которойсодержатся опции, аналогичные тому, что описано на следующих шагах.)Щелкните на вкладке Advanced (Дополнительно), после чего появится окно, показанноена рисунке 13.27.ralUp Network PropertiesNtiw«ting A.1var.ced |Рис. 13.27. Internet ConnectionSharing - это секция в окнесвойств сетевого интерфейсаГ Protect my compuia snd ne»work by Smiting 01ereventm access to this computer (torn the Internetlean rnore about И r-..-,,i- • i, :».-,f.Internet С *r.r*clion SharingP Alow •:•(>» network шя: to от»-*:»through Пл• •i! I i . ••' • . • i . . i ... •Local Area Corw-ctiori 3Eilibtih « diel^ip «fineclion «hcnevti j coniputu onLean more jl. i

458 Windows Server 2003. Полное руководствотематически, или не устанавливайте его, если хотите, чтобы интернет-соединениевсегда инициировалось вручную.9. Щелкните на кнопке ОК. Появится панель, где напоминается, что IP-адрес локальногоинтерфейса изменится на 192.168.0.1, и рекомендуется сконфигурироватьдругие компьютеры той же сети таким образом, чтобы они получали IPадресавтоматически. Щелкните на кнопке Yes.Aie you шх» want ю

Глава 13. Служба RRAS (Routing and Remote /tecess Service) 459Network Connection WizaidNetwoik Connection Type '..'./..You canchoose the type of netwoik connection youwant to create,based onyour network configurationandyour networking needs. : :•'•' Dial up lo piivale networkConr*cr u-.cgmy tb:««Ir» irmfem wISDH]ГDial-up to the InternalConned 10 1Ы Inland u-.mg r, wспи» We unc-lem о ISC'MtC" Connect to n piivate netwoik through the Interne)Crwte aV.tusl Pnrite tltrvek |Vpfl! :«v«r,on •» 1unr,eT thwjf. 'ht IrtMnrtt~ Accept incoming connectiontLet огпи corrputerj correct to IT»-* ty uhone Ьте. rhe [nKirie" м *f.:i cableI Connect diectly to anothei computerConrecl usig my я-ri-al parslW « Htar»d portРис. 13.28. Выбор типа соединения на клиентском компьютере с системойWindows 20007. Введите имя этого соединения и затем щелкните на кнопке Finish. Для удобствадоступа вы можете дополнительно поместить соответствующий значок на рабочемстоле.Клиент Windows XP1. В меню Start/Settings (Пуск/Настройка) откройте папку Network Connections (Сетевыесоединения).2. Дважды щелкните на значке New Connection Wizard (Мастер нового соединения),чтобы запустить мастер New Connection Wizard. Когда появится окно этогомастера, щелкните на кнопке Next.3. На рисунке 13.29 показаны варианты выбора для создания соединения. Для подсоединенияк серверу RRAS подходит вариант Connect to the network at myworkplace (Подсоединение к сети на моем рабочем месте), который поддерживаетсоздание коммутируемых (dial-up) или VPN-соединений. Для продолжениящелкните на кнопке Next.4. В окне Network Connection (Сетевое соединение) вам нужно выбрать между коммутируемыми VPN-соединением. Сделав свой выбор, щелкните на кнопке Next.5. В следующем окне запрашивается ввод имени соединения. После заполненияэтого окна щелкните на кнопке Next.6. Если вы конфигурируете VPN-соединение, то может появиться окно PublicNetwork (Открытая сеть), где запрашивается, хотите ли вы «позвонить» в эту сеть,прежде чем пытаться создать виртуальное VPN-соединение. Если да, то вы можетевыбрать существующее коммутируемое соединение или выбрать набор номеравручную. Для продолжения щелкните на кнопке Next.7. В следующем окне у вас запрашивается ввод номера телефона или хост-имени (либоадреса) для VPN-соединения. При вводе номера телефона введите его, как если бызвонили с обычного телефона. Для продолжения щелкните на кнопке Next.8. Выберите, кто будет использовать это соединение, - любой пользователь илитолько вы. Для продолжения щелкните на кнопке Next.9. Появится завершающее окно. После его просмотра щелкните на кнопке Finish.

460 Windows Server 2003. Полное руководствоMew Connection WizardNetwork Connection TypeWhatdo youwant todo?oucanbrowse theWeband read smai" Gel up an advanced connection•Bad J Cancel |Рис. 13.29. Выбор типа соединения на клиентском компьютере с системойWindows XPЗадание настроек безопасности для соединенияНа данный момент у вас все закончено, если вы не хотите сконфигурировать настройкибезопасности для данного соединения. Это имеет смысл, так как по умолчаниюдля клиента задан параметр, разрешающий проверку по незащищенномупаролю.1. Вернитесь в папку Network Connections или Network and Dial-Up Connections,щелкните правой кнопкой на соединении, которое только что сконфигурировали,и выберите пункт Properties.2. Во вкладке Security вы можете выбрать свои настройки безопасности, см. рис.13.30.Наиболее подходящий вариант - это сконфигурировать клиента для использованиямеханизмов безопасности, которые применяются сервером. Например, клиентуследует указать, чтобы он должен использовать ЕАР, если сервер используетЕАР. В данном конкретном случае нужно щелкнуть на кнопке выбора Advanced(custom settings), щелкнуть на кнопке Settings и щелкнуть на кнопке выбора UseExtensible Authentication Protocol (ЕАР), см. рис. 13.31.Конфигурирование политик дистанционного доступаСоединениям дистанционного доступа предоставляется доступ, основанный на учетнойзаписи пользователя и политиках дистанционного доступа. Политика дистанционногодоступа определяет соединение путем применения набора условий. В таблице13.5 приводится список наиболее употребительных политик дистанционногодоступа и дается краткое описание каждой из них.Вы можете добавлять сколько угодно политик дистанционного доступа, но всеже лучше свести к минимуму количество используемых политик, чтобы сделать конфигурациюкак можно проще. Мастер New Remote Access Policy Wizard проводит

••Глава 13. Служба RRAS (Routing and Remote A;cess Service) 461вас через процесс конфигурирования политики для одного из нескольких распространенныхтипов соединений. Этот мастер также позволяет вам создавать нестандартнуюполитику, которая сравнивает параметры выполняемого соединения с любымиз имеющихся атрибутов политики и профиля. Сначала вы увидите, каксоздается нестандартная политика.•.MSN Denvci PiopuiliesOptions;.; SecuiyJHetwiking] Advance)|: v..n-- • 'Рис. 13.30. Кнопка выбораAdvanced (custom Settings) вовкладке Security для данногосоединения~lnieraciwe Ьэдоп and scГ" Show •> - • i windowAdvanced Security Settings|;jOptional encryption (connect even ifno encryption)Рис. 13.31. Выбор дополнительныхнастроек безопасностиLogon я-omiyS (v Use Erfenstle Auihenliciiiur. Proloccl lEAP);MD5OicГ vГО1 ОК | . :...С

. - . • • . . • • •. . :.462 Windows Server 2003. Полное руководствоТабл. 13.5. Наиболее употребительные политики дистанционного доступаИмя политикиCalled-Station-IDCalling-Station-IDDay-And-Time-RestrictionsFramed-ProtocolTunnel-TypeWindows-GroupsОписание политикиНомер телефона, набираемый пользователем.Номер телефона, с которого поступил вызов (callerID).Периоды времени и дни недели, в течение которыхразрешается подсоединение пользователя.Протокол, который будет использоваться во времясоединения.Протоколы туннелирования, которые будут использоватьсяво время соединения.Группы Windows 2000, в которые включен данныйпользователь.Конфигурирование нестандартной политики дистанционного доступаЧтобы добавить политику дистанционного доступа, выполните следующие шаги.1. Откройте оснастку Routing and Remote Access из меню Start/Programs/Administrative Tools.2. В левой панели окна консоли щелкните правой кнопкой на Remote Access Policies(Политики дистанционного доступа) и выберите пункт New Remote Access Policy(Новая политика дистанционного доступа). Будет запущен мастер New RemoteAccess Policy Wizard. Щелкните на кнопке Next, чтобы перейти к окну PolicyConfiguration Method (Метод конфигурирования политики), см. рис. 13.32.NewRemoteAccess Policy WizardPolicy ConfigurationMethodThewizardcan create a typical policy.Ofyoucan create acustom policy.17П -,e He witad 10 set up J typical poky lor э common кеглю

Глава 13. Служба RRAS (Routing and Remote Axess Service) 4634. Щелкните на кнопке Add, чтобы вызвать окно Select Attribute (Выбор атрибута),показанное на рисунке 13.33. После выбора атрибута щелкните на кнопке Add.• Select AttributeSelec! the 'yp»of atribute to add.and thencSd 'heAdd bulonAuthentication-Type:NameSpecifies the authenticationscheme that isusCaled-Station-ld Specifies thephonenumber dialedby theUSECafing-Station-ld Specifies thephonenumberfrom which the d:Client-Friendly-Name Specifies the friendlyname for theRADIUS c!Client-IP-Addres Specifies the IPaddress of theRADIUS dienClient-Vendor Specifies themanufacture!of theRADIUSpnDay-And-Time-Resbic. Specifies thetimeperiodsanddays ofweekc*Framed-Protocot Specifies the protocol that isused. iMS-RAS-Vendor Description not jiet defined |NAS-ldentrfia Specifies the string that identifiestheNAS thsNAS-IP-Addies . Specifies the IPaddress of theNASwhere thiNAS-Port-Type Specifies the typeof physical port that isusedService-Type Specifies the typeof service that theuserhas|§Tunnel-Type Specifies the tunneling protocolsused.Windows-Groups Specifies theWindowsqroups that theuser bjj

464 Windows Server 2003. Полное руководство1. Откройте оснастку Routing and Remote Access из меню Start/Programs/Administrative Tools.2. В левой панели окна консоли щелкните правой кнопкой на Remote Access Policiesи выберите пункт New Remote Access Policy. Будет запущен мастер New RemoteAccess Policy Wizard. Щелкните на кнопке Next, чтобы перейти к окну PolicyConfiguration Method, см. выше рис. 13.32. Выберите вариант Use the wizard to setup a typical policy for a common scenario (Использовать мастер, чтобы задать типичнуюполитику для общераспространенного сценария), введите имя этой политикии щелкните на кнопке Next.3. В окне User or Group Access (Доступ пользователя или группы), см. рис. 13.34,определяется, к кому будет применяться данная политика. Если выбрать вариантUser, то политика будет применяться к пользователям только в соответствиис полномочиями доступа, которые представлены во вкладке Dial-in окна свойствучетной записи данного пользователя. Если выбрать вариант Group, то политикабудет применяться к пользовательским учетным записям, которые являютсячленами одной из групп, включенных в список на этой странице, если для ихполномочий уровня учетных записей выбрано управление доступом с помощьюполитики Remote Access Policy. Полномочия Grant или Deny этой учетной записибудут переопределять полномочия политики. Выберите вариант User илиGroup (и введите группу или группы для управления доступом). Для продолжениящелкните на кнопке Next.New Remote Access Policy WizardUser or Gioup AccessYoucangrantaccess to individual users,or youcangrantaccess to selectedgroups.Grant sc:t.. ba:*donthe!olkwng:Г 11...;U:ei з

Глава 13. Служба RRAS (Routing and Remote A:cess Service)4656. Просмотрите сводку этой политики и щелкните на кнопке Finish.Редактирование политики дистанционного доступа2«.«ГтГсГ"" —^.«/Programs/'""2. В левой панели окна консоли щелкните на Remote Access Policies3. В правой панели щелкните правой кнопкой на политике, которую вы хотите просмотретьили модифицировать, и выберите в контекстном меню пункт Properties4. В диалоговом окне Policy Properties, см. рис. 13.35, имеется список PolicyConditions (Условия политики), который вы можете модифицировать с помощьюкнопок Add (Добавить), Edit (Редактировать) и Remove (Удалить) На этойстранице можно изменять параметр Grant/Deny.VPN Group-based Policy PropertiesSatthgs]Sp-cfy lhecw»*kns «MI соппеаюп «хцтв niun madiPolcy conditions;Рис. 13.35. Модифицированиеполитики дистанционногодоступа из окна ее свойств.:; : v^I1 Ветру, j?юк wll \x «.[fed ю it» conrectran'" C'erjMw01I n Р адакти Р° вать ДРУгае параметры политики, щелкните на кнопке EditProfile (Редактировать профиль). С помощью страницы Edit Dial-in Profile (Редактироватьпрофиль коммутируемого соединения), см. рис. 13 36 вы можетемодифицировать другие параметры данной политики.Возможность создания типичной политики для общераспространенных сценариевдистанционного доступа в сочетании с богатым интерфейсом редактированияполитик упрощает конфигурирование как базовых, так и нестандартных политик

466 Windows Server 2003. Полное руководствоEdit Dial in Piolile?Г A*Diahn CAdvanced•:•• ,•• . • ....-j | =]«dtS.mn-T.reout f 3Рис. 13.36. Модифицированиедругих параметровполитики с помощью окна EditDial-in ProfileГ" i otjy Ihiough 1Ье:г media 1ПД5 P«i|Df№: f ,..., , . . •вя • I" L3- T oken R B3!!!:—JУправление и устранение проблем RRASКак и для многих служб в Windows Server 2003, после установки и конфигурированияRRAS, может требоваться время от времени обслуживание и устранение проблемэтой службы. Например, может потребоваться изменение настроек RRAS, добавлениересурсов, отслеживание соединений и т.д. Управление службой RRASпозволяет вам настраивать ее работу в вашем окружении и быть в курсе ее текущейреализации.Управление несколькими серверами RRASУправление сетевой средой Windows Server 2003, содержащей более одного сервераRRAS, может оказаться утомительным делом, если вам приходится бегать с машинына машину для управления ими. По умолчанию в оснастке Routing and RemoteAccess представлен только один локальный компьютер в списке ее серверов. Однакодля простоты использования вы можете добавлять другие серверы RRAS в этуоснастку, чтобы управлять ими из одной точки.Чтобы добавить еще один сервер в оснастку Routing and Remote Access, выполнитеследующее.1. В правой панели оснастки Routing and Remote Access щелкните правой кнопкойна Server Status (Состояние сервера) и выберите пункт Add Server (Добавить сервер),см. рис. 13.37.2. В диалоговом окне Add Server выберите один из четырех вариантов для поиска идобавления другого сервера RRAS.• This computer (Этот компьютер). Этот вариант не требует пояснений.• The following computer (Следующий компьютер). При этом варианте вы можетеуказать имя компьютера, который хотите добавить.

Глава 13. Служба RRAS (Routing and Remote Access Service) 467flouting and Remote AccessFJe A,dran yiew Help•• • • " .>i a \ * t U m s ~ | S e r v e r t y p e••IPort@ ) R R A S 2 0 0 3Microsoft Windows .NET Server Started0?. R emote Ассеи PoliciesRemote Access LoggingРис. 13.37. Добавление сервера в консоли управления RRAS• All Routing and Remote Access computers (Все компьютеры RRAS). Вы должныуказать имя домена, из которого хотите добавить все серверы RRAS. Этотвариант полезно использовать, если у вас много серверов RRAS и вы хотитеуправлять всеми этими серверами из одной центральной точки. Он такжеполезен, если вы не знаете имя сервера RRAS.• Browse Active Directory (AD) [Поиск в Active Directory]. Используйте этот вариант,если вы хотите предпринять поиск в службе каталога, чтобы найтиодин или несколько серверов RRAS в домене или дереве.Мониторинг соединенийЧтобы начать практическую работу, вы можете периодически отслеживать соединенияRRAS. В консоли управления RRAS вы можете легко проверять состояниеэтой службы и любых активных соединений. Это позволяет вам получать точнуюкартину работы RRAS в реальном масштабе времени, и это также превосходныйспособ устранения любых проблем, с которыми вы можете столкнуться. Для проверкисостояния сервера нужно открыть консоль управления RRAS и щелкнуть наServer Status. В окне правой консоли, см. рис. 13.38, выводятся отчеты о состоянии.В частности, выводится следующая статистика:Routing andRemote AccessJi_RoutingandRemoteAccess ServeStatusI ',; JiNetwork Interfaces g)RRAS2003MiaosoftWindows.NETServer Started 0I-3LRemoteAccess Clients |0]'г-Ж. Рог' 5;a Ж IP RoutingI :;-^ General! !-JL StaticRoutes"~ DHCP Relay Agent•- • л use |.: Total ports |: Цр lime {Рис. 13.38. Окно Server Status в оснастке RRASi

468 Windows Server 2003. Полное руководствоимя сервера;состояние службы RRAS (запущена или остановлена);суммарное количество портов на данном сервере;количество используемых на данный момент портов;количество времени, в течение которого включен сервер, начиная с моментапоследнего запуска службы RRAS.Просмотр таблиц маршрутизацииКаждый компьютер Windows Server 2003 с установленным сетевым адаптером (картойсетевого интерфейса - NIC) имеет простую таблицу маршрутизации, созданнуюпо умолчанию. Вы можете видеть записи статической маршрутизации компьютерав таблице маршрутизации из командной строки или из интерфейса RRAS.Для просмотра таблицы маршрутизации из командной строки нужно ввести routeprint. Вы можете также просматривать таблицу маршрутизации с помощью интерфейсаRRAS, выполнив следующие шаги.1. Откройте оснастку Routing and Remote Access из меню Start/Programs/Administrative Tools.2. В левой панели окна консоли раскройте дерево консоли, чтобы открыть записьStatic Routes (Статические маршруты) под IP Routing (IP-маршрутизация).3. Щелкните правой кнопкой на Static Routes и выберите пункт Show IP RoutingTable (Показать таблицу IP-маршрутизации).RfiAS2003-IPRoufir« Table: -Destination Ne'woikmaskj 0.0.0.0 0.0.0.010.0.0.0 255.255.255.0| 10.0.0.2 255.255.255.25510.10.233.0 255.255.255,0;10.10.233.212\10.10.250.0i10.255.255.25510.255.255.255127.0.0.0! 127.0.0.1*224.0.0.0• 224.0:0.0i255.255.255.255I255.255.255.255255.255.255.255255.255.255.0255.255.255.255255.255.255.255255.0.0.0255.255.255.255240.0.0.0240.0.0.0255.255.255.255255.255.255.255|Gateway : j10.10.233.25410.0.0.2127.0.0.110.10.233.212127.0.0.10.0.0.010.10.233.21210.0.0.2127.0.0.1127.0.0.110.10.233.21210.0.0.210.10.233.21210.0.0.2EJ|Interface 1Metric I :Protocol •• Щш m ILocalArea C. 20 Networkmanagement \LocalArea C. 30 Local |Loopback 30 Local: ;iLocalArea C. 20 Local \Loopback. 20 Local iDialingOut 1 StaticLocal AteaC . 20 Local |LocalArea C. 30 Local : 5Loopback 1 Local ' ILoopbackLocal: • ; : ILocalArea C. 20 LocalLocalAreaC. 30LocalAreaC. 1 Local 1Local ILocalArea C.LocalПросмотр статических маршрутов в таблице маршрутизации может оказатьсячрезвычайно полезным средством для устранения возможных проблем маршрутизации.Просмотр таблицы маршрутизации помогает определить, правильно ли серверотправляет или получает маршрутизируемую информацию. Это особенно полезно,если ваша сетевая среда содержит в основном статические маршруты.Добавление статических маршрутовДля небольших сетевых окружений, таких как домашний офис или небольшое предприятие,вам может потребоваться ручное добавление статического маршрута в таблицумаршрутизации для соединения с другой сетью. Вы можете выполнить это двумяспособами: с помощью команды Route Add в командной строке (например, routeadd 192.168.1.0 192.168.3.0) или с помощью интерфейса RRAS. Проще и легче всегосконфигурировать статический маршрут через интерфейс RRAS. Использование

Глава 13. Служба RRAS (Routing and Remote Access Service) 469интерфейса RRAS является рекомендуемым способом, особенно если вы не знакомыс командой route. Кроме того, вы с меньшей вероятностью можете допуститьсинтаксическую ошибку или, что еще хуже, ошибку в конфигурации.Чтобы добавить статический маршрут с помощью оснастки RRAS, выполнитеследующее.1. Откройте оснастку Routing and Remote Access из меню Start/Programs/Administrative Tools.2. В левой панели окна консоли раскройте дерево консоли, чтобы открыть записьStatic Routes под IP Routing.3. Если вы добавляете статический маршрут для IP-маршрутизации, то выберитеNew Static Route (Новый статический маршрут), чтобы открыть окно Static Route(см. рис. 13.39).Рис. 13.39. Добавление новогостатического IP-маршрута4. Заполните информацию следующих полей (для статического маршрута IP).• Interface (Интерфейс). Сетевой интерфейс, используемый для конфигурированиястатического маршрута.• Destination (Место назначения). Компьютер или маршрутизатор, на которыймаршрутизируется информация.• Network Mask (Сетевая маска). Сетевой адрес, который будет использоватьданный маршрут.• Gateway (Шлюз). IP-адрес, по которому должны отправляться пакеты, чтобыони были маршрутизированы; это обычно шлюз по умолчанию.• Metric (Метрика). Количество сегментов (промежуточных участков) до местаназначения.5. Щелкните на кнопке ОК.Ведение журнала событийWindows Server 2003 документирует события, которые возникают в системе, включаясобытия, касающиеся службы RRAS. События - это ошибки, предупрежденияили чисто информационные сообщения. Эти сообщения можно видеть в журналесобытий Windows Server 2003.Просмотр событий в журнале системных событий является бесценным средством,чтобы следить за службой RRAS, и особенно полезен, когда требуется устранить какую-либопроблему. На рисунке 13.40 показаны различные конфигурации для веденияжурнала событий. По умолчанию RRAS записывает ошибки и предупреждения.

470 Windows Server 2003. Полное руководствоRRAS2003 (local) PiopeiliesGer«.sl| StcurtyllP |PPP Lcegng|Рис. 13.40. Управлениерегистрацией событий дляRRASС Log snore orJy• Lagate^rtj'" £o ч-л log ог.у event;ГLog adottonal RoutingsTo w** the eVcumatiЧтобы изменить принятые по умолчанию параметры ведения журнала, выполнитеследующие шаги.1. Откройте оснастку Routing and Remote Access из меню Start/Programs/Administrative Tools.2. В левой панели щелкните правой кнопкой на данном сервере RRAS и выберитепункт Properties.3. Во вкладке Logging (Ведение журнала) вы можете выбрать, как регистрироватьсобытия, и можете даже совсем отключить ведение журнала для RRAS (не рекомендуется).Вы можете также активизировать расширенную регистрацию событий в файлили в базу данных SQL Server. При расширенной регистрации событий вы можетезаписывать запросы учетных записей, запросы аутентификации и периодическуюинформацию о состоянии. Чтобы активизировать расширенную регистрацию событий,выполните следующее.1. Откройте оснастку Routing and Remote Access из меню Start/Programs/Administrative Tools.2. В левой панели щелкните правой кнопкой на строке Remote Access Logging (Регистрациясобытий дистанционного доступа). (Если ее нет, значит, не активизированаслужба Windows Accounting.)3. В правой панели щелкните правой кнопкой на типе файла журнала, который выхотите активизировать, и выберите в меню Action пункт Properties.4. Во вкладке Settings выберите типы информации, которые вы хотите записыватьв журнал событий.Во вкладке Log File (Файл журнала, только локальный файл), см. рис. 13.41,выберите местоположение файла журнала (по умолчанию это %windir%\system32\LogFiles), формат файла журнала и частоту, с которой нужно записывать информациюв новый файл.

:':Hague;,i%ymm.iogOne t :,

Глава 14Сетевые службы клиентовВо многих сетевых окружениях имеются системы Windows Server 2003, работающиекак с Windows-компьютерами, так и с компьютерами других операционных систем.В этой главе рассматриваются клиентские службы для клиентов Windows, а такжесетевые службы для компьютеров с другими операционными системами на вашемпредприятии.Многие администраторы могут привести целый ряд причин, по которым требуетсяподдержка гетерогенной (разнородной) сетевой среды, и если ваше предприятиеподходит под это описание, то у вас, возможно, имеются те же причины. Одиниз характерных сценариев - это необходимость поддержки клиентов Macintosh вопределенных подразделениях (в отделах графики, рекламы и т.п.). Кроме того, прислиянии или поглощении компаний администраторам Windows приходится изучатьработу с Novell NetWare или UNIX (и администраторам NetWare и UNIX изучатьработу с Windows).Какой бы ни была причина поддержки гетерогенной среды, вы увидите, что системаWindows Server 2003 готова к предоставлению служб, которые обеспечиваютее интеграцию с клиентскими компьютерами, не поддерживающими Windows.Сетевые службы для клиентов WindowsЧтобы конфигурировать клиентов Windows для подсоединения к Windows Server,требуются несколько шагов. Вы должны установить и сконфигурировать клиентскоепрограммное обеспечение (ПО), установить один или несколько протоколов наклиентском компьютере и создать учетные записи пользователя и компьютера дляработы в сети. В этом разделе описывается клиентское ПО, которое требуется длявзаимодействия в сети.Client for Microsoft NetworksClient for Microsoft Networks - это программный компонент, который позволяеткомпьютеру выполнять в сети Microsoft доступ к таким ресурсам, как файловые службыи службы печати. Когда вы устанавливаете сетевые компоненты (оборудованиеи драйверы для устройств сетевого интерфейса), этот клиентский компонент устанавливаетсяавтоматически. Client for Microsoft Networks не зависит от протокола,выбираемого вами для использования в сетевом взаимодействии (хотя Windows поумолчанию устанавливает также TCP/IP).Примечание. Client for Microsoft Networks - это фактически протокол CIFS (CommonInternet File System), который действует поверх TCP/IP (или любого другого протокола).Как новая версия протокола SMB (Server Message Block) CIFS является протоколомдля файловых служб и служб печати, который позволяет компьютерам выполнятьпрозрачный доступ к ресурсам, находящимся на удаленных компьютерах.

Глава 14. Сетевые службы клиентов 473Client for Microsoft Networks использует удаленный вызов процедур (RPC), чтобыобращаться к службам на других компьютерах сети. RPC - это просто средствопередачи сообщений, которое не выполняет никакого разрешения имен. По умолчаниюWindows Server 2003 использует Windows Locator RPC, но если у вас есть определенныепричины, то вы можете также использовать службу Distributed ComputingEnvironment (DCE) Cell Directory Service.Примечание. DCE (Среда распределенных вычислений) все реже и реже встречаетсяв наши дни, и она обычно используется для связи между территориально разбросаннымисистемами. Поскольку в среде DCE используется модель клиент/сервер,она часто развертывалась на предприятиях, где пользователям требовался доступ кприложениям и данным на серверах, которые находились в отдаленных точках. Когдая администрировал сети Windows NT (и писал о них), то описывал DCE более подробно.Теперь в ситуациях, когда пользователям требуется доступ к приложениям иданным на удаленных серверах, я использую Terminal Server.Примечание. Client for Microsoft Networks - это эквивалент службы Workstation, скоторой вы работали в Windows NT.File and Printer Sharing for Microsoft NetworksFile and Printer Sharing for Microsoft Networks (Разделяемый доступ к файлам и принтерамдля сетей Microsoft) - это служба, которая дополняет службу Client for MicrosoftNetworks. Она позволяет компьютерам сети выполнять доступ к файлам и принтерам,которые вы сконфигурировали для разделяемого доступа. Эта служба также устанавливаетсяи активизируется по умолчанию, когда вы устанавливаете сетевые службы.Примечание. File and Printer Sharing for Microsoft Networks - это эквивалент службыServer в Windows NT.Вы можете оптимизировать работу системы Windows Server 2003, когда она настраиваетсядля службы File and Printer Sharing. Это позволяет вам использоватьсервер в стиле, который наиболее подходит для служб, которые он предоставляетсетевым клиентам. Чтобы сконфигурировать параметры работы File and PrinterSharing, выполните следующие шаги.1. Выберите Start/Control Panel/Network Connections/Local Area Connection (Пуск/Панель управления/Сетевые соединения/Соединение локальной сети).2. Щелкните на кнопке Properties (Свойства).3. Выберите File And Printer Sharing For Microsoft Networks и щелкните на кнопкеProperties.4. Используйте следующие опции в диалоговом окне File And Printer Sharing ForMicrosoft Networks Properties (см. рис. 14.1), чтобы оптимизировать эту службу.• Выберите вариант Minimize Memory Used (Минимизировать используемуюпамять), чтобы оптимизировать сервер для небольшого числа клиентов.• Выберите вариант Balance (Сбалансировать), чтобы оптимизировать сервердля смешанного использования разделяемого доступа к файлам и принтерамв дополнение к другим службам.

474 Windows Server 2003. Полное руководствоFile and Printer Sharing tot Microsoft Networks Properties•Saw» Optimization |Г Мппкя memory used'.Рис. 14.1. Оптимизацияпроизводительности компьютерапутем выбора подходящеговарианта'• M iMrtee 'io'i Ih )ugb&u< !•:• He :С M jvff.icr:d-з» ь throughput tor network applicationsГMake Ьгокмг broadcast: toIAN manager 2 x dart;• , Cancel;Выберите вариант Maximize Data Throughput For File Sharing (Использоватьмаксимальную пропускную способность для разделяемого доступа к файлам),чтобы выделять максимально возможное количество ресурсов для служб доступак файлам и печати.Выберите вариант Maximize Data Throughput For Network Applications (Использоватьмаксимальную пропускную способность для сетевых приложений), чтобы оптимизировать использование памяти сервера для сетевых приложений,таких как Microsoft SQL Server.Установите флажок Make Browser Broadcasts To LAN Manager 2.x Clients (Создаватьшироковещательные сообщения для клиентов LAN Manager 2.x), чтобыклиенты LAN Manager 2.x (Windows NT и более ранние системы) могливыполнять поиск разделяемых ресурсов на данном компьютере.Служба BrowserКлиенты более ранних версий Windows используют службу Browser, чтобы объявлятьв сети о себе и своих разделяемых ресурсах. Если вы используете более ранниеверсии Windows (NT 4 и 9х), то при двойном щелчке на значке рабочего стола NetworkNeighborhood появится список компьютеров данного домена или рабочей группы.При выборе какого-либо компьютера на экран выводится список его разделяемыхресурсов. Эти возможности обеспечиваются службой Browser. Она использует широковещательныесообщения во время загрузки Windows, а также через определенныепромежутки времени, чтобы делать эти объявления.К сожалению, начальная версия службы Browser часто вызывала снижение производительностиза счет переполнения сети необязательными широковещательнымисообщениями. Чтобы сделать минимальным влияние службы Browser на производительностьсети, в Windows перешли к использованию главного браузера домена(DomMB - domain master browser) и главного браузера сегментов (SegMB - segment

Глава 14. Сетевые службы клиентов 475master browser). Главные браузеры заняты получением объявлений, что помогаетснизить нагрузку на сеть, а также вести точный листинг компьютеров и разделяемыхресурсов. По определению главный контроллер домена (PDC) Windows NT 4является браузером типа DomMB.Для сетей Windows NT с несколькими сегментами концепция браузера была несколькорасширена за счет добавления браузеров SegMB. В этом случае каждый сегментсодержит SegMB, который поддерживает список просмотра компьютеров данноголокального сегмента. Компьютеры в этом сегменте запрашивают и получаютсвой список просмотра от SegMB. SegMB также конфигурируется для пересылки спискапросмотра браузеру домена DomMB и для запроса списка просмотра домена. Послеэтого SegMB составляет полный список, доступный его локальным клиентам.Начиная с Windows 2000, служба Browser заменена службами Active Directory (AD).И хотя у вас может быть запущена служба Browser в Windows Server 2003, она используетсятолько для обратной совместимости с клиентами более ранних версийWindows. После того, как вы проведете модернизацию всех клиентов более раннихверсий Windows и удалите NetBIOS, вам уже не будет нужна служба Browser, посколькудля поиска и объявления ресурсов вы можете полагаться исключительно наAD. Это повысит производительность, поскольку Active Directory не требует такогоувеличения сетевого трафика, как в случае использования службы Browser.Службы для Novell NetWareВ свое время система Novell NetWare занимала наибольшую долю рынка для Intelкомпьютеров.Теперь она уже не доминирует, но все еще присутствует во многих сетевыхокружениях. Поэтому, начиная с Windows NT 3.5, Microsoft встраивала в операционнуюсистему службы, которые позволяли взаимодействовать этим двум средам.Windows Server 2003 и ее клиентская система, Windows XP, тоже содержат некоторыесредства взаимодействия для NetWare, а именно службу Client Service forNetWare (CSNW), которая встроена в эту операционную систему. Кроме того, имеетсянесколько дополнений (add-on) и продукты от сторонних компаний. В этомразделе дается обзор некоторых средств взаимодействия, которые позволяют выполнятьобмен информацией между этими различными сетевыми средами.Примечание. Связанные с NetWare протоколы и службы поддерживаются только в32-битных версиях Windows. 64-битные версии Windows не поддерживают протоколIPX/SPX и, следовательно, не могут поддерживать связанные с NetWare службы,работа которых основывается на этом протоколе.Взаимодействие компьютеров Windows в сравнениис компьютерами NetWareСпособы взаимодействия Novell NetWare и Windows Server 2003 с машинами в своихсобственных средах принципиально отличаются. Клиенты NetWare обычно используютIPX/SPX (хотя TCP/IP тоже широко используется, начиная с NetWare 5.x) ипротокол NCP (Network Core Protocol) для функционирования в рамках их собственнойсреды. Работа клиентов Windows основывается на протоколе CIFS. Поэтомудля взаимодействия между этими двумя системами требуются дополнительные службыи/или несколько стеков протоколов.

476 Windows Server 2003. Полное руководствоАрхитектуры NCP и CIFS несовместимы, хотя они используют одну и ту же функцию,разрешая клиентам запрашивать службы на сервере. Чтобы разрешить проблемуэтой несовместимости, вам нужно установить и сконфигурировать дополнительныеслужбы. Традиционно администраторы Windows преодолевали барьернесовместимости, конфигурируя клиентов с несколькими протоколами в сочетаниисо службой CSNW, а также конфигурируя серверы Windows как шлюзы (gateway)NetWare.Однако в Windows Server 2003 не включены службы Gateway Services for NetWare,и если вам требуется это средство, то нужно установить службу Services for NetWare,являющуюся отдельным продуктом, который вы можете получить от Microsoft. Болееподробную информацию см. ниже в разделе «Services for NetWare».NWLinkWindows Server 2003, как и более ранние версии Windows, содержит совместимый сIPX/SPX протокол NWLink, который является реализацией Microsoft протокола IPX/SPX. NWLink позволяет компьютерам, работающим под управлением Windows, взаимодействоватьс компьютерами, работающими под управлением NetWare. Он поддерживаетAPI-интерфейсы WinSock и NetBIOS over IPX.Примечание. Вы можете также использовать протокол NWLink, чтобы подсоединятькомпьютеры, работающие с Windows, к компьютерам, работающим со службойMS Client for DOS.Установка NWLinkПротокол NWLink требуется для взаимодействия со средами NetWare, и он долженбыть установлен, если вы хотите использовать Client Service for NetWare. Чтобы установитьNWLink, выполните следующие шаги.1. Выберите Start/Control Panel/Network Connections/Local Area Connection.2. Щелкните на кнопке Properties.3. Щелкните на кнопке Install (Установить).4. Выберите вариант Protocol и затем щелкните на кнопке Add, чтобы открыть диалоговоеокно Select Network Protocol (Выбор сетевого протокола).SelectNetwork Protocol.< W:l! >-NetworkProtocoltnatyouwartto ratal,thendickOK. Ifyou tiaveIn i M.I.MI • • Ь.ИЬ L'iltAppleTafcProtocolI Щ Microsoft ТСРЛР version Б9 ^Network Monitor Driver/Reliable Multicast Protocol. • li .1 il ' -,iun d\ '"-' I

Глава 14. Сетевые службы клиентов 4775. Выберите вариант NWLink IPX/SPX/NetBIOS Compatible Transport Protocol, ищелкните на кнопке ОК.В результате к каждому соединению локальной сети, установленному на данномкомпьютере, будут добавлены два следующих компонента:• NWLink NetBIOS;• NWLink IPX/SPX/NetBIOS Compatible Transport Protocol.Примечание. Если NWLink не установлен до установки Client Service for NetWare, тоWindows устанавливает его автоматически.Конфигурирование NWLinkПосле окончания установки задайте параметры для протокола NWLink IPX/SPX/NetBIOS Compatible Transport Protocol (рис. 14.2).NWLink IPX/SPX/WetBIOS Compatible Transport Plot..Gerwtal ISpecif,» ьп infernal nerv*crknutnbei it you pi sn lo lun File and PrimServices (a Neiv.'are i> : r.ut^ or any otha NetWare savtcathat rete* on the SAP Agent. Tl,. .. to ail connectionsI . 1Г„|,11Рис. 14.2. КонфигурированиеNWLinkMe mil nelwo* fwtaAdaptaAito tr ькл lyp» dal«clnn

478 Windows Server 2003. Полное руководство• Тип фреймов Ethemet_SN АР предпочтителен для использования с AppleTalk подуправлением NetWare.Если вам требуется доступ к нескольким серверам NetWare в вашей сети и онииспользуют различные типы фреймов с IPX/SPX, то вы должны сконфигурироватьNWLink вручную (Manual frame type detection), чтобы задать типы фреймов, используемыев вашей сети. Чтобы определить тип фреймов, который используется вашимимаршрутизаторами, введите ipxroute conflg в командной строке.Примечание. Если вы не используете автоматическое определение типа фреймов(Auto frame type detection), то все компьютеры-серверы в вашей сети, использующиеIPX/SPX, должны использовать один и тот же тип фреймов. В противном случаевы должны использовать автоматическое определение.NWLink Network Number (Сетевой номер). Сетевые номера связаны с типами фреймов.Сетевой номер используется для сегментирования различных типов фреймов,которые могут существовать в данной сети. Например, все машины, использующиеконкретный тип фреймов, используют также одинаковый сетевой номер. Этот параметравтоматически определяется системой Windows Server 2003.NWLink Internal Network Number (Внутренний сетевой номер). Внутренний сетевой номер- это шестнадцатеричный идентификатор, который является уникальным длякаждого компьютера, использующего NWLink. Если вы не знаете, каким долженбыть внутренний сетевой номер, возьмите значение по умолчанию 00000000. Чтобыопределить внутренний сетевой номер, используемый вашими маршрутизаторами,введите ipxroute conflg в командной строке.Client Service for NetWare (CSNW)В дополнение к NWLink клиентам требуется также служба CSNW для доступа к файловымресурсам и ресурсам печати на серверах NetWare. Служба CSNW, включаемаяво все версии Windows, предоставляет средства редиректора, которых нет вNWLink. Вы можете использовать CSNW, чтобы подсоединяться к серверам NetWare(версии от 2.x до 5.x) для использования файловых служб и служб печати, а такжедля доступа к информации служб каталога Novell Directory Services (NDS) или базыданных Bindery.Клиенты, взаимодействующие в сети Windows Server 2003 с помощью протоколаTCP/IP, должны использовать для доступа к файловым ресурсам на серверах NetWareпротокол NWLink и службу CSNW. Если компьютер сконфигурирован с обоиминаборами протоколов (TCP/IP и NWLink), а также со службой CSNW, то клиентымогут выполнять непосредственный доступ к ресурсам сервера NetWare. В результатетакого непосредственного доступа вашему компьютеру не грозит снижениепроизводительности из-за трансляции протоколов.Примечание. CSNW может также подсоединяться к серверам NetWare, которые используютпротокол IPX/SPX. CSNW не может подсоединяться к серверам NetWare,которые используют только протокол TCP/IP. Для доступа к серверам NetWare, поддерживающимтолько IP, используйте одну из служб Novell Clients for Windows.

Глава 14. Сетевые службы клиентов 479Установка Client Service for NetWare (CSNW)Сначала вы должны установить CSNW, выполнив следующие шаги.1. Выберите Start/Control Panel/Network Connections/Local Area Connection.2. Щелкните на кнопке Properties.3. Щелкните на кнопке Install (Установить), после чего появится диалоговое окноSelect Network Component Type (Выбор типа сетевого компонента).4. Выберите вариант Client и щелкните на кнопке Add.5. Выберите вариант Client Service for NetWare и щелкните на кнопке ОК.Вам потребуется перезагрузить Windows, чтобы завершить установку.Конфигурирование Client Service for NetWareХотя вы можете конфигурировать многие сетевые компоненты, представленные вдиалоговом окне Local Area Connection Properties с помощью диалогового окнаProperties соответствующего компонента, это не подходит для CSNW. Вместо этогонужно использовать аплет CSNW из панели управления (Control Panel).Для доступа к серверам NDS служба CSNW использует средство эмуляции режимаbindary сервера NetWare. Аплет CSNW в панели управления предоставляет вамдва способа указания сервера NetWare, к которому вы хотите выполнять доступ.• Для доступа к серверу NetWare 3.1х вы должны задать Preferred Server (Предпочтительныйсервер).• Для доступа в среде NDS вы должны задать Preferred Server или имя дерева NDS(NDS Tree) и контекст (Context), где определяется ваш пользовательский идентификаторNetWare, то есть имя контейнера NDS, где содержится ваш пользовательскийID.Для конфигурирования CSNW выполните следующие шаги.1. Откройте апплет CSNW в панели управления.2. Чтобы использовать опцию Preferred Server, введите имя вашего сервера NetWare.3. Чтобы использовать Default Tree (Дерево по умолчанию) и Context, введите имядерева NDS и контекст внутри этого дерева. Контекст может быть в формате сметкой или без метки.4. Выберите нужные опции печати.5. Выберите Run Login Script (Запускать сценарий входа), если вы хотите, чтобыслужба CSNW запускала сценарий входа, который был ассоциирован администраторомNetWare (NetWare Administrator) с вашим пользовательским ID NetWare.6. Щелкните на кнопке ОК, чтобы сохранить ваши опции, и закройте это окно.Services for NetWareMicrosoft Services for NetWare версии 5 (SFNW5) - это продукт-дополнение с компонентамидля Windows NT/2000/2003. В этот продукт включены три компонентадля серверов Windows 2000/2003:• Microsoft Directory Synchronization Services (MSDSS);• File Migration Utility (FMU);• File and Print Services for NetWare version 5 (FPNW5).Кроме того, в SFNW5 включены два компонента для использования с серверамиWindows NT 4:

480 Windows Server 2003. Полное руководство• File and Print Services for NetWare version 4;• Directory Service Manager for NetWare.Все эти компоненты описываются в данном разделе.Microsoft Directory Synchronization Services (MSDSS)MSDSS (Службы синхронизации каталогов) - это дополнительная служба, котораяобеспечивает поддержку миграции и двустороннюю синхронизацию информациикаталогов с Active Directory (AD) и другими службами каталогов. Наиболее важното, что она работает с NDS для управления каталогами предприятия. MSDSS поддерживаетвсе версии NDS, а также службы Bindery более ранних версий NetWare,позволяя вам использовать ваши средства NetWare (конечно, пока вы не выполнитемиграцию из NetWare в Windows).Как средство обслуживания нескольких служб каталогов MSDSS используетсятакже как утилита для метакаталогов. Метакаталоги связывают различные службыкаталогов в единую управляемую службу, допуская при этом отдельное управлениеслужбами каталогов. Службой MSDSS можно управлять с помощью ее оснасткиММС. Это позволяет вам легко управлять из одного интерфейса разделяемой информацией,такой как пользовательские учетные записи.File Migration Utility (FMU)FMU (Утилита миграции файлов) используется в сочетании с MSDSS для миграциифайлов с сервера NetWare в режиме bindary или с сервера NDS на том NTFS,сохраняя при этом все права доступа исходного файла. Поскольку права доступазависят от учетных записей User и Group, вы должны сначала использовать MSDSS,чтобы выполнить миграцию каталога NDS или объектов Bindary в Active Directory,выбрав опцию Migrate Files (Миграция файлов) при синхронизации этих каталогов.Если выбрана опция Migrate Files, то MSDSS создает журнал миграции, которыйбудет использоваться утилитой FMU при миграции файлов и прав доступа вразделяемый ресурс тома NTFS.Примечание. FMU может также выполнять миграцию файлов на том FAT, но безсоответствующих прав доступа, которые не поддерживаются файловой системой FAT.Однако практически не существует обоснованных причин, по которым имело бысмысл использование тома FAT в сети.File and Print Services for NetWare (FPNW)Компонент FPNW (Файловые службы и службы печати для NetWare) в основномпредназначен для взаимодействия с клиентами NetWare, выполняющими доступ ксети Windows Server 2003/Windows 2000. FPNW позволяет клиенту NetWare выполнятьдоступ к файловым службам и службам печати на сервере Windows. На клиентскомкомпьютере не требуется никакого конфигурирования, поскольку клиентвоспринимает сервер Windows как сервер NetWare. Однако в FPNW не включенывозможности управления полномочиями доступа, которые связаны с клиентамиNetWare в сети Windows.При использовании FPNW сервер Windows представлен как сервер NetWare, которыепредоставляет файловые службы и службы печати клиентам NetWare. FPNWподдерживает только эмуляцию режима bindary, чтобы позволяет представлять серверWindows клиентам NetWare как сервер NetWare 3.12. При использовании серве-

Глава 14. Сетевые службы клиентов 481pa FPNW не будут выполняться написанные для NetWare клиентские приложения,которым требуется поддержка NDS.Services for Macintosh(SFM)Windows Server 2003 продолжает поддерживать взаимодействие между ПК на основепроцессора Intel и платформой Macintosh, используя для этого средства Services forMacintosh (SFM), которые иногда называют службами интеграции с сетью AppleTalk.SFM - это набор служб, которые могут устанавливаться по отдельности или всевместе. В SFM включены три следующих компонента.• AppleTalk Protocol, состоящий из набора сетевых протоколов, на которых базируетсясетевая архитектура AppleTalk.• Служба File Services for Macintosh (иногда ее называют MacFile), позволяющаяклиентам Macintosh выполнять доступ к файлам на серверах Windows, где работаетSFM.• Служба Print Services for Macintosh (известная также под названием MacPrint),позволяющая клиентам Macintosh выполнять отправку и спулинг документовна принтеры, которые подсоединены к серверу Windows (а также на любой принтерв сети AppleTalk).В данном разделе дается описание этих компонентов, а также рассматриваютсядругие вопросы, связанные с обслуживанием клиентов Macintosh.Сетевые протоколы MacintoshИнтеграция компьютеров Macintosh и компьютеров на основе Intel - это не толькозагрузка SFM на компьютер Windows Server 2003 и последующее взаимодействиеэтих двух операционных систем друг с другом. Вы должны также учесть используемыесетевые топологии, чтобы избежать каких-либо проблем, возникающих из-заотличий в сетевом оборудовании.Для Windows Server 2003 наиболее распространена топология Ethernet, но этаОС поддерживает также топологии Token Ring, LocalTalk, FDDI и ATM. КомпьютерMacintosh тоже можно оборудовать для использования Ethernet, но многие компьютерывсе еще используют LocalTalk (в сетевом окружении AppleTalk), посколькусетевое оборудование LocalTalk встроено в каждый компьютер Macintosh.Если все используют одинаковую сетевую среду, такую как Ethernet, то все впорядке. В противном случае вам нужно учесть количество имеющихся клиентовMacintosh. Наиболее распространены два следующих сценария.• Администраторы устанавливают адаптеры Ethernet на всех компьютерахMacintosh.• Администраторы устанавливают адаптер LocalTalk в системе Windows Server2003,где работает SFM.Возможны и другие сценарии (иногда встречаются компьютеры Macintosh, использующиеToken Ring), но главное - это иметь общую основу для всего используемогооборудования.AppleTalk и Apple File Protocol over TCP/IPВ течение долгого времени AppleTalk был сетевым протоколом, с помощью которогокомпьютеры Macintosh взаимодействовали друг с другом. Хотя он используется и16-3994

482 Windows Server 2003. Полное руководствосейчас для многих сетей LocalTalk Macintosh, но в основном это старые системыMacintosh. Как и для многих других платформ и Интернет, предпочтительным протоколомдля новых систем Macintosh является TCP/IP.Компьютеры Macintosh, которые используют TCP/IP, поддерживают разделяемыйдоступ к файлам с помощью протокола Apple File Protocol (AFP) over TCP/IP.AFP over TCP/IP не является полной реализацией протокола AFP. Серверы AFP/IPWindows не представлены в Macintosh Clients Chooser, так как AFP/IP не выполняетшироковещательную рассылку объявлений сетевых служб (что делает AppleTalk).Однако клиенты все же могут подсоединяться к тому SFM с помощью IP-адресаэтого сервера.Windows Server 2003 поддерживает как AppleTalk, так и AFP over TCP/IP, обеспечиваясовместимость со всеми системами Macintosh. Поскольку Windows Server 2003основывается на TCP/IP, вам следует по возможности стандартизовать системыMacintosh на основе протокола TCP/IP. Снижение числа протоколов, поддерживаемыхв сетевой среде, способствует также снижению суммарного объема администрирования.Если протоколы AppleTalk и/или AFP over TCP/IP не установлены до установкифайловых служб или служб печати для Macintosh, то Windows Server 2003 устанавливаетих автоматически. Но если вы просто хотите установить эти протоколы, то можетесделать это вручную, используя следующие шаги.1. Выберите Start/Control Panel/Network Connections/Local Area Connection.2. Щелкните на кнопке Properties.3. Во вкладке General (Общие) щелкните на кнопке Install.4. В окне Select Network Component Type щелкните на Protocol (Протокол) и затемщелкните на кнопке Add.5. В окне Select Network Protocol выберите AppleTalk Protocol и затем щелкните накнопке ОК.Маршрутизация AppleTalkПосле установки AppleTalk на компьютере Windows Server 2003 вы можете активизироватьмаршрутизацию AppleTalk и создать зону (набор компьютеров, аналогичныйрабочей группе), чтобы данный сервер мог действовать как маршрутизаторAppleTalk.При маршрутизации AppleTalk для определения сегмента используются диапазонысетевых номеров (физически связанная сеть). Это аналогично сетевой частиIP-адреса. Два номера, разделенных дефисом (например, 10-11), могут представлятьсетевые диапазоны на маршрутизаторе AppleTalk. Диапазон номеров указываетмаршрутизатору, какие сетевые адреса объявлять в данном сегменте. (Сетевыеномера могут изменяться от 1 до 65279.)Каждый сетевой номер может представлять до 253 номеров узлов. Номер узласоответствует хост-части IP-адреса. Компьютерам Macintosh в сегменте AppleTalkпри их загрузке динамически присваиваются номера узлов.Диапазон сетевых номеров плюс конкретный номер узла идентифицируют устройствоAppleTalk в сети.Активизируя маршрутизацию AppleTalk на вашем компьютере Windows Server2003, вы определяете сеть, как и в случае использования TCP/IP. Каждая сеть определяетсядиапазоном сетевых адресов, где количество номеров в диапазоне адресов,умноженное на 253 возможных узла, приходящихся на один сетевой адрес(ях253), определяет максимальное количество устройств, которые могут быть включеныв данный сегмент.

Исходные маршрутизаторыГлава 14. Сетевые службы клиентов 483Исходный (инициирующий) маршрутизатор (seed router) выполняет широковещательнуюрассылку маршрутной информации, такой как сетевые адреса в сегменте (этотпроцесс называют «засеванием» сети). Активизация маршрутизации AppleTalk накомпьютере с Windows Server 2003 превращает этот компьютер в исходный маршрутизатордля клиентов Macintosh. Если на вашем компьютере больше одного сетевогоадаптера, то вы можете «засеять» более одной сети AppleTalk.Окружение AppleTalk может включать различные виды маршрутизаторов, и всеони могут пересылать данные из одной физической сети в другую (что и являетсязадачей маршрутизаторов). Но исходные маршрутизаторы могут также заниматьсяинициализацией и широковещательной рассылкой информации о физических сетях.Эта информация позволяет любым другим маршрутизаторам в сети знать, кудадолжен отправляться каждый пакет данных.Каждая физическая сеть должна иметь хотя бы один исходный маршрутизатор.Исходный маршрутизатор должен загружаться первым, чтобы все другие маршрутизаторы(включая маршрутизаторы интернет) инициировались, имея достовернуюинформацию о сети.Вы можете иметь более одного исходного маршрутизатора, и это удобно, есливаши клиенты Macintosh разбросаны по глобальной сети (WAN). Каждая сеть WANможет иметь исходный маршрутизатор, поэтому пользователям одной области неприходится ждать, пока загрузятся и выполнят «засевание» сети исходные маршрутизаторыв удаленных точках.Однако важно понимать, что при нескольких исходных маршрутизаторах все онидолжны содержать одинаковую информацию. Если имеются отличия в информациимежду исходными маршрутизаторами, то первый загружаемый маршрутизаторстановится единственным исходным маршрутизатором, а следующий загружаемыймаршрутизатор «видит» эти отличия и отключает свои службы инициализации. Еслипервым загружается не тот маршрутизатор, который содержит верную информацию,то это вызывает нарушения в работе соединений сети.ЗоныЗона - это непрерывная область сетей. Зона определяет, где в окружении Windowsклиенты Macintosh будут искать доступные для Macintosh тома и принтеры. Этоаналогично принципам, лежащим в основе зон DNS (см. гл. 12), где зона сегментируетсеть, разбивая ее на управляемые части. У вас может быть одна или несколькозон, определенных на один сегмент.Конфигурирование маршрутизации и зонЧтобы конфигурировать сетевой адаптер на компьютере Windows Server 2003 с зонойMacintosh, и задать, чтобы этот компьютер действовал как исходный маршрутизатор,выполните следующие шаги.1. В меню Administrative Tools откройте консоль Routing And Remote AccessManagement.2. Раскройте сервер RRAS, щелкните правой кнопкой на AppleTalk Routing (МаршрутизацияAppleTalk) и выберите Enable AppleTalk Routing (Включить маршрутизациюAppleTalk).3. Выберите в левой панели AppleTalk Routing, чтобы представить в правой панелисоединения, которые относятся к AppleTalk Routing.is-

484 Windows Server 2003. Полное руководство5. Установите флажок Enable Seed Routing On This Network (Включить инициируе: Z Z Z P £ ^ Z I TLocal Area Connection Ptopeilicsс е т и )' к о т о р ы й р а з р е ш а е т K O H * ° - -р уZc-wtl-iani,j |.-,v u]Г

Дистанционный доступГлава 14. Сетевые службы клиентов 485Кроме поддержки клиентов Macintosh в локальной сети служба RRAS Windows Server2003 позволяет клиентам Macintosh подсоединяться из удаленных точек с помощьюпротокола AppleTalk Control Protocol (ATCP). ATCP динамически конфигурируетудаленного клиента Macintosh с помощью канала РРР путем согласования различныхпараметров для AppleTalk, таких как сетевой адрес AppleTalk.После подсоединения пользователи Macintosh могут выполнять доступ к ресурсамWindows с помощью учетной записи Guest или путем аутентификации с помощьюUAM (Модуль аутентификации пользователя).Для начала сконфигурируйте RRAS на сервере, выполнив следующие шаги.1. В меню Administrative Tools откройте консоль Routing And Remote AccessManagement Console.2. В левой панели щелкните правой кнопкой на объекте-сервере RRAS и выберитепункт Configure and Enable Routing and Remote Access (Конфигурировать и активизироватьRRAS). Будет запущен мастер установки сервера RRAS Routingand Remote Access Server Setup Wizard.3. Щелкните на кнопке Next, чтобы перейти к следующему окну из окна Welcome.4. В окне Configurations выберите Remote Access Server (Сервер дистанционногодоступа) и щелкните на кнопке Next.5. В окне Remote Access выберите вариант dial-up (коммутируемый доступ) и щелкнитена кнопке Next.6. В окне IP Address Assignment (Назначение IP-адреса) щелкните на кнопке Next,чтобы использовать настройку RRAS по умолчанию. Для RRAS требуется, чтобыкаждому удаленному клиенту, подсоединяющемуся с помощью RRAS, былназначен IP-адрес локальной сети. Служба RRAS будет использовать адреса,предоставляемые сервером DHCP данной сети, или будет генерировать своисобственные адреса, если она не находит сервер DHCP в этой сети.7. В следующем окне, Managing Multiple Remote Access Servers (Управление несколькимисерверами дистанционного доступа), вы можете выбрать сервер RADIUSдля аутентификации доступа к нескольким серверам RRAS. Если у вас нет конфигурации,для которой требуется сервер RADIUS, то вам следует принять вариантпо умолчанию, чтобы пропустить этот шаг.8. Щелкните на кнопке Finish в следующем окне, чтобы завершить процесс установки.Затем для конфигурирования RRAS, чтобы клиенты Macintosh могли выполнятьдистанционный доступ, выполните следующие шаги.1. В меню Administrative Tools откройте консоль Routing And Remote AccessManagement Console.2. В панели этой консоли щелкните правой кнопкой на сервере RRAS и выберитев контекстном меню пункт Properties.3. Во вкладке AppleTalk выберите вариант Allow AppleTalk-based remote clients toconnect to this server (Разрешить клиентам дистанционного доступа на основеAppleTalk подсоединяться к этому серверу).Аутентификация клиентов MacintoshКлиенты Macintosh должны выполнить вход в сеть Windows Server 2003, прежде чемони смогут использовать такие ресурсы, как файловые службы и службы печати.

486 Windows Server 2003. Полное руководствоМеханизм входа действует чуть по иному, чем для клиентов Windows. КлиентыMacintosh используют их встроенный модуль аутентификации (UAM), которыйможно конфигурировать из их окна Chooser для входа на сервер AppleShare Server.Однако они имеют дополнительные опции, когда выполняют вход в систему WindowsServer 2003, которая поддерживает следующие методы аутентификации UAM.• Guest (Гость). Это позволяет выполнять вход клиентам Macintosh, не имеющимпользовательской учетной записи и пароля.• Аутентификация AppleShare клиента. При этом методе у клиентов Macintosh запрашиваютсяпользовательское имя и пароль (который передается в виде нешифрованноготекста). Важно отметить, что встроенный метод безопасности AppleRandom Number Exchange не поддерживается системой Windows Server 2003, котораяхранит информацию учетных записей в стиле, несовместимом с этим методом.• Microsoft UAM (MS UAM). При входе клиентов Macintosh в среду Windows Server2003 они могут выбрать использование модуля UAM от Microsoft, который предоставляетболее высокий уровень безопасности, чем механизмы, встроенные вUAM Chooser Macintosh. Имеются две версии UAM Microsoft, версия 1 и версия5. Версия 5 доступна только в Windows Server 2003.Примечание. Для UAM 5 требуется, чтобы клиент имел AppleShare Client, начиная сверсии 3.8, или Mac OS, начиная с версии 8.5. В противном случае используется MSUAM версии 1.Примечание. Когда вы устанавливаете File Services for Macintosh, система WindowsServer 2003 автоматически создает папку (том) с именем Microsoft UAM Volume. Онапредоставляет эту папку для совместного доступа как доступный только по чтениютом Macintosh, и позволяет гостям выполнять доступ к этой папке. КлиентыMacintosh подсоединяются к этому разделяемому ресурсу для получения MS UAMи устанавливают его на своем компьютере, после чего они могут выполнять входзащищенным образом с помощью MS UAM.Если вы повышаете уровень безопасности, используя MS UAM, то вам такжетребуется сконфигурировать клиентов Macintosh для установки MS UAM. Чтобысконфигурировать клиентов Macintosh для доступа к файлам аутентификации, которыенаходятся в папке Microsoft UAM Volume, выполните следующие шаги.1. В меню Macintosh Apple дважды щелкните на Chooser.2. Дважды щелкните на значке AppleShare и затем щелкните на зоне AppleTalk, которуювы сконфигурировали в Windows Server 2003.3. Выберите сервер и щелкните на кнопке ОК.4. Щелкните на Guest и щелкните на кнопке ОК.5. Щелкните на Microsoft UAM Volume и щелкните на кнопке ОК.6. Закройте диалоговое окно Chooser.7. Подсоединитесь и выберите Microsoft UAM "Volume.8. На рабочем столе (Desktop) Macintosh дважды щелкните на Microsoft UAMVolume, чтобы открыть эту папку.9. Дважды щелкните на MS UAM Installer.

File Services for MacintoshГлава 14. Сетевые службы клиентов 487Служба File Services for Macintosh (иногда ее называют Mac File), позволяет вам назначатьпапку (том), которая доступна как для пользователей Macintosh, так и дляпользователей Windows. По причинам совместимости для тома, который доступениз Macintosh, требуется файловая система NTFS, что обеспечивает правильностьимен файлов для обеих сред, а также вызываемых полномочий безопасности.Примечание. Файловая система CDFS (для приводов CD-ROM) тоже поддерживаетсядля совместного доступа с обеих платформ. Для дисков CDFS всегда используютсяполномочия «read-only».Чтобы установить File Services for Macintosh, выполните следующие шаги.1. В панели управления (Control Panel) откройте Add or Remove Programs (Добавлениеили удаление программ).2. Выберите Add/Remove Windows Components (Добавление/Удаление компонентовWindows).3. Выделите Other Network File and Print Services (Другие сетевые службы доступа кфайлам и печати), но не устанавливайте соответствующий флажок, и щелкнитена кнопке Details (Подробно).4. Установите флажок File Services For Macintosh.5. Щелкните на кнопке OK и затем на кнопке Next.6. Щелкните на кнопке Finish, чтобы завершить установку.Процесс установки не представляет сложностей, поскольку Windows Server 2003выполняет для вас почти всю работу. Имеются следующие важные части установки,которые выполняет для вас эта ОС.• Во время установки File Services for Macintosh и TCP/IP протокол Apple FileProtocol (AFP) over TCP/IP активизируется автоматически.• Если протокол AppleTalk не был установлен до установки File Services forMacintosh, то он устанавливается автоматически.• Каталог (том) Microsoft User Authentication Module (UAM) Volume создается автоматически.В Windows Server 2003 предоставляется новый способ конфигурирования и управленияFile Services for Macintosh. Вместо использования File Manager, как этобыло в Windows NT, вы используете оснастку Shared Folders (Разделяемые папки) вконсоли Computer Management Console (Управление компьютером). Чтобы открытьComputer Management Console, щелкните правой кнопкой на My Computer и выберитев контекстном меню пункт Manage (Управление).Создание других томов для Macintosh. Кроме тома Microsoft UAM Volume можно создаватьи другие тома доступа для Macintosh, чтобы осуществлять разделяемый доступк соответствующим файлам с компьютеров Macintosh и Windows Server 2003.Чтобы создать доступный для Macintosh том, выполните следующие шаги.1. Откройте Computer Management из меню Start/Programs/Administrative Tools ираскройте контейнер Shared Folders (дважды щелкните на Shared Folders илищелкните на знаке «+»).

488 Windows Server 2003. Полное руководство2. Щелкните правой кнопкой на Shares (Разделяемые ресурсы) и выберите NewFile Share (Создать разделяемый файловый ресурс), чтобы запустить мастер Sharea Folder Wizard (Мастер создания разделяемого доступа к папке).3. Щелкните на кнопке Next, чтобы пропустить начальное окно мастера Share aFolder Wizard.4. В окне Folder Path (Путь к папке) введите диск и путь к папке, которую вы хотитесделать доступной для Macintosh в диалоговом окне Folder to share. Вы можететакже использовать кнопку Browse, чтобы найти эту папку.FolderPathSpecifythepath to the folderyouwant to share.DC1Fype 'he path to the foldai youwant to .haie. tfcbekBiowse to nek '(•? >i:Jder .jiadd anewWe. • ' '. . '•«|C:\MacVolC1'• ' ••••.. ^../v"••••/]Exampleг Cancel'::5. В окне Name, Description, and Settings (Имя, описание и настройки) введите имяразделяемого ресурса в поле Share Name, и при необходимости введите описаниев поле Description.6. Установите флажок Apple Macintosh Users (Пользователи Apple Macintosh), чтобызадать разделяемое имя для диалогового окна Macintosh Share Name.Name. Desciption, and SettingsSpecifyhowpeopleseeanduse thisshareover the network.Type ^formation ib: n * the 'Ьые t-:« u.eisTomodifyhwvpeople u;e il-« •rT-.iJtr*whde oHItf*?.Shsre.ijrr*Slwejalh:Oeseription:ПОЦп» settingJMacVolCI|vDCr.Micv.:dLlJM acintosh-accessible shared folderSelectpd tile: flnd pi, •• Chwje" "W iCTteM»:...'(•• hu.4isShaie name

Глава 14. Сетевые службы клиентов 4897. Мастер попросит вас задать полномочия для разделяемой папки, предложив следующиеварианты.one t'l п& loflov.ir.g Ь.з:к share t-eirnisscm oi с г••"' £dw«:ii#«: have nil o:cv-. oilier imr; h

490 Windows Server 2003. Полное руководствоДля установки Print Services for Macintosh выполните следующие шаги.2. Выделите Other Network File and Print Services (но не устанавливайте соответствующийфлажок) и щелкните на кнопке Details.3. Установите флажок рядом с Print Services For Macintosh4. Щелкните на кнопке OK, щелкните на кнопке Next и затем на кнопке Finish.Создание доступного для Macintosh принтераПрежде чем клиенты Macintosh смогут использовать принтеры, которые определенына компьютере Windows Server 2003, вы должны добавить соответствующий принтери сконфигурировать его для AppleTalk. Используйте для этого следующие шаги.1. Откройте папку Printers and Faxes.2 A d d ? W ° 6aBHTb п Р инте Р)> чтоб ы запустить мастер Add Printerр4. Выберите вариант Local Printer (Локальный принтер). Если принтер подсоединеннепосредственно к компьютеру, то проследите, чтобы был установлен флажокAutomatically Detect And Install My Plug And Play Printer (Автоматически^об-ТГ'ГГГ" Й( ДmН ° ВЫЙ ПОрт > и в ы б е Р и т е AppleTalkevices (Печатающие устройства AppleTalk). Щелкните на кнопке Next.Select a PrinterPortComputerscommunicate with printersthrough ports." "* С>3 " B K> l:1 * d *' Jc *> cnMl « •I

Глава 14. Сетевые службы клиентов 491Службы интеграции с UNIXUNIX используется уже несколько десятилетий (намного дольше, чем какие-либоверсии Windows) и применяется во многих сетевых средах. В результате компанияMicrosoft поняла, насколько важно взаимодействие с UNIX, чтобы клиенты могливыполнять обмен данных с обеими платформами.Windows Server 2003 содержит набор встроенных компонентов, которые способствуютвзаимодействию между этими двумя средами, включая связь с файлами,принтерами и сетями. Эти компоненты описываются в данном разделе.Примечание. Microsoft также предлагает комплект Services for UNIX версии 2, которыйявляется дополнительным продуктом с улучшенными компонентами для взаимодействияс UNIX и миграции.POSIXПодсистема POSIX (Portable Operating System Interface for UNIX) позволяет запускатьв Windows Server 2003 приложения, написанные в стандарте POSIX. POSIX -это стандарт IEEE (Institute of Electrical and Electronics Engineers), который определяетнабор служб операционной системы, упрощающих перенос служб из однойсистемы в другую. Этот набор стандартов переносимости приложений прошел путьот POSIX. 1 до POSIX.2. В Windows Server 2003 используется POSIX. 1-совместимаяподсистема, то есть она согласуется с базовыми стандартами POSIX. Эти стандартывключают различия между прописными и строчными буквами в именах файлов иподдержку нескольких имен файлов. Приложения, согласующиеся с этим стандартом,могут выполняться в подсистеме POSIX в собственной защищенной областипамяти.Print Services for UNIXСлужба Print Services for UNIX позволяет Windows Server 2003 отправлять заданияпечати клиентам и серверам UNIX и получать от них задания печати. Для отправкизаданий печати используется служба LPR (line printer remote), и для получения заданийиспользуется служба LPD (line printer daemon).Еще одна полезная служба, которая предоставляется в Windows Server 2003 вместес Print Services for UNIX, это служба LPQ (line printer query). Эта служба эмулируетвозможности, которые вы получаете при двойном щелчке на значке принтерав папке Printers and Faxes, чтобы считывать информацию о состоянии принтера.Примечание. Подробнее о печати и соответствующих службах см. в гл. 9.Установка Print Services for UNIXДля службы Print Services for UNIX (PS-UNIX) требуется TCP/IP, который, конечноже, установлен в вашей сети. Если нет, то вы не можете установить Print Servicesfor UNIX. Чтобы установить эту службу, выполните следующие шаги.1. В панели управления откройте Add or Remove Programs и выберите Add/RemoveWindows Components.

492 Windows Server 2003. Полное руководство2. Выделите Other Network File and Print Services (но не устанавливайте соответствующийфлажок) и щелкните на кнопке Details.3. Установите флажок рядом с Print Services For UNIX и щелкните на кнопке ОК.4. Щелкните на кнопке Next, чтобы установить файлы, и затем щелкните на кнопкеFinish.Создание доступного для UNIX принтераПосле установки Print Services for UNIX вы можете сконфигурировать принтерыдля приема заданий печати LPR. Конфигурирование доступного для UNIX принтерав основном происходит так же, как и конфигурирование локального принтера,за исключением того, что вы создаете порт LPR с помощью следующих шагов.1. Откройте папку Printers and Faxes.2. Дважды щелкните на Add Printer, чтобы запустить мастер Add Printer Wizard.3. Щелкните на кнопке Next, чтобы начать конфигурирование доступного дляUNIX принтера.4. Выберите вариант Local Printer. Если принтер подсоединен непосредственно ккомпьютеру, то проследите, чтобы был установлен флажок Automatically DetectAnd Install My Plug And Play Printer. Для продолжения щелкните на кнопке Next.5. Выберите вариант Create A New Port, выберите LPR Port и затем щелкните накнопке Next.6. В окне Add LPR Compatible Printer (Добавление LPR-совместимого принтера)введите хост-имя или IP-адрес компьютера, на котором установлен данный принтер.Затем введите имя принтера в том виде, как оно определяется на UNIXмашине(скорее всего, вам придется его найти). Альтернативно, если принтернепосредственно подсоединен к сети, введите его IP-адрес.,г of server plotting jpd: •; : ,;, ]10.10.233.20Эi prirJ^ or fHtri O'J'J'J* •:•" (|7. Щелкните на кнопке OK, чтобы система Windows Server 2003 попыталась связатьсяс принтером. Следуйте указаниям мастера и по окончании щелкните накнопке Next.8. Выберите подходящее имя для этого принтера и щелкните на кнопке Next.9. Укажите, нужно ли предоставлять этот принтер для разделяемого доступа (поумолчанию в случае серверов Windows принтеры предоставляются для разделяемогоиспользования), и щелкните на кнопке Next.10. При необходимости введите информацию о местоположении этого принтера вполе Location, а также описательную фразу в поле Comments (Комментарии).Затем щелкните на кнопке Next.11. Щелкните на кнопке Yes, чтобы напечатать тестовую страницу.12. Щелкните на кнопке Finish, чтобы завершить установку.Теперь, после установки и конфигурирования принтера, он готов к приему заданийпечати. Клиенты Windows Server 2003 и более ранних версий Windows могутподсоединяться к этому принтеру с помощью Active Directory.

Глава 14. Сетевые службы клиентов 493Кроме того, клиенты могут выполнять печать с помощью команд LPR таким жеобразом, как и клиенты UNIX. Команды LPR имеют следующий синтаксис:lpr -s сервер -р принтерНапример, чтобы напечатать документ с именем resume.txt на принтере с именемsharedprinter, введите следующую команду:lpr -s unix.mydomain.com -р sharedprinter c:\resume.txtИспользование Print Services for UNIX с принтерами WindowsПосле установки службы Print Services for UNIX (PS-UNIX) на компьютерах WindowsServer 2003/2000, она представляет все локальные принтеры как LPR-совместимыепринтеры. Вы можете использовать эту возможность для доступа к разделяемымпринтерам Windows в некоторых маршрутизируемых сетях, где разрешение именNetBIOS не позволяет найти сервер, на котором установлен принтер, или где запрещентрафик NetBIOS через маршрутизатор.После установки службы PS-UNIX на компьютере, где установлен данный принтер,вы можете использовать эту службу в удаленной сети, чтобы создать доступныйдля UNIX принтер, как это описано в предыдущем разделе. В результате создаетсяразделяемый ресурс-принтер для пользователей удаленной сети, которая маршрутизируетзадания печати на принтер в локальной сети. Поскольку PS-UNIX создаетUNIX-совместимые принтеры, средства безопасности Windows не действуют, илюбая совместимая с LPR программа может направлять задания печати на такойпринтер. Прежде чем устанавливать PS-UNIX, учтите, что это сопряжено с недостаточнымуровнем безопасности в вашей среде.Соединения с сетью UNIXК счастью, сторонники платформ Windows и UNIX согласуются в своем выборе TCP/IP как наиболее подходящего базового протокола для связи сетей.Все, что передается поверх TCP/IP, остается принципиально отличным для различныхплатформ, что требует использования служб взаимодействия от разработчиковоперационных систем и от сторонних поставщиков. Для объявления служб всети Windows Server 2003 использует протокол CIFS, а различные варианты UNIXстандартизованы для использования NFS (Network File System).Чтобы обеспечить доступ к файловым и другим службам для клиентов обеих сторон,вам следует прибегнуть к дополнениям (add-on) и/или средствам от сторонних компаний.Microsoft имеет дополнение с именем Services for UNIX \fersion2, которое позволяетвам предоставлять доступ к разделяемым ресурсам, администрировать машины удаленнымобразом, синхронизировать пароли Windows Server 2003 и UNIX и т.д.Имеется множество вариантов выбора для интеграции этих двух платформ, и ямог бы, пожалуй, написать целую книгу только об этих вариантах. Ниже приводятсянекоторые распространенные варианты выбора, а также некоторые поставщики,к которым, возможно, вам придется обратиться.Чтобы установить клиентское ПО NFS на компьютерах Windows Server 2003 иклиентских компьютерах с предыдущими версиями Windows, вы можете обратитьсяк следующим поставщикам:Microsoft (www.microsoft.com)HummingBird Communications (www.hummingbird.com)FTP Software (www.netmanage.com)

494 Windows Server 2003. Полное руководство«Войны» платформ по поводу DNSСторонники Windows и UNIX согласны, что DNS является одним из наиболее эффективныхмеханизмов для разрешения имен. Однако конкретные решения по DNSобычно не согласуются между сторонниками различных платформ. Рассматриваявопросы интеграции DNS, учтите, что вы можете быть втянуты в серьезные спорыпо этому поводу. Я не собираюсь здесь вдаваться во все детали и доводы относительноDNS для различных платформ, но советую вам серьезно подготовиться, преждечем принимать свои решения. И, конечно, решение по DNS, которое вы принимаете,зависит от возможностей, которые наиболее отвечают вашей инфраструктуре.Чтобы установить клиентское ПО SMB на клиентских компьютерах и серверахUNIX, обратитесь к SAMBA (http://samba.anu.edu.au/samba).Чтобы использовать серверы приложений для предоставления разделяемого доступак приложениям среди обеих платформ, вы можете обратиться к следующимпоставщикам:• Microsoft (www.microsoft.com)• NetManage (www.netmanage.com)• Citrix Systems (www.citrix.com)TelnetTelnet (Сетевой теледоступ) - это клиент/серверная служба, которая позволяет клиентуtelnet подсоединяться и выполнять вход на сервер, где запущен telnet daemon.Из окна telnet вы можете осуществлять управление и конфигурирование почти всехобъектов, для которых вы имеете соответствующие полномочия.Служба Telnet используется для доступа к серверам UNIX, а также для того, чтобыкомпьютеры UNIX могли взаимодействовать с компьютерами Windows Server2003, которые работают как серверы telnet.Внимание. Серьезным недостатком службы telnet является то, что она отправляетпароли через сеть в виде нешифрованного текста, в результате чего любой злоумышленник,проникший в сеть, может перехватывать пароль и использовать его в своихцелях. По этой причине администраторы UNIX обычно реализуют определенныемеры безопасности, такие как Secure Shell (SSH), когда осуществляют задачи дистанционногоуправления и конфигурирования.Windows Server 2003 может быть сервером telnet и клиентом telnet. Версия telnet,которая привязана к Windows Server 2003, принципиально отличается от версий telnet,которые вы, может быть, использовали в более ранних версиях Windows. В следующихразделах будет дан обзор реализации telnet для Windows Server 2003.Сервер TelnetВ Windows Server 2003 входит сервер telnet, чтобы он мог принимать входящие запросысоединений telnet. В более ранних версиях Windows служба telnet не давалатакой возможности, поэтому приходилось использовать серверы telnet от стороннихкомпаний.Сервер telnet Windows Server 2003 можно сконфигурировать для использованиястандартных методов аутентификации (пользовательское имя и пароль) или информациидоменной пользовательской учетной записи, чтобы предоставлять клиентам

Глава 14. Сетевые службы клиентов 495доступ к этому серверу. Каждый сервер telnet конфигурируется не более чем длядвух одновременных соединений, но вы можете изменить эту настройку по умолчаниюс помощью средства администрирования telnet tlntadmn.exe (см. ниже раздел«Tlntadmn.exe»),Служба telnet server не запускается автоматически; ее состояние по умолчанию -«отключена». Чтобы изменить эту службу для автоматического (или ручного) запуска,откройте оснастку Services из меню Administrative Tools и дважды щелкнитена строке telnet. Во вкладке General выберите в раскрывающемся списке Startup Type(Тип запуска) вариант Automatic (Автоматически).Примечание. Если для этой службы задан ручной запуск, то вы можете запускатьслужбу telnet из командной строки путем ввода start telnet.HyperTerminal взамен графического клиента TelnetГрафический (GUI) клиент telnet, который, возможно, использовался у вас в WindowsNT, не включен в Windows Server 2003 (и не включен в Windows 2000). Вместо этоговы получаете улучшенную версию HyperTerminal, которую можете использовать дляподсоединения к серверу с помощью TCP/IP (Winsock) в дополнение к знакомымСОМ-портам.Примечание. Текстовый клиент telnet по-прежнему включается в Windows Server 2003,и его можно запускать путем ввода команды telnet в командной строке. Не забывайте,что «exit» (выход) не работает; вы должны ввести quit, чтобы закончить сеанс, изатем ввести exit, чтобы закрыть окно командной строки.HyperTerminal не устанавливается по умолчанию, когда вы устанавливаетеWindows Server 2003. Чтобы добавить эту службу, вам нужен CD Windows Server 2003или доступ к разделяемой папке, которую вы использовали как точку дистрибуции.Затем выполните следующие шаги.1. Откройте Add or Remove Programs в панели управления и щелкните на Add/Remove Windows Components.2. Выберите Accessories (Стандартные) и Utilities (Утилиты) и щелкните на кнопкеDetails.3. Выберите Communications и щелкните на кнопке Details.4. Выберите HyperTerminal и щелкните на кнопке ОК.5. Щелкните на кнопке ОК два раза, чтобы вернуться в окно Add/Remove WindowsComponents, и затем щелкните на кнопке Next, чтобы установить это ПО.6. После того, как скопированы файлы, щелкните на кнопке Finish и закройте окноAdd or Remove Programs.Ссылка на программу HyperTerminal устанавливается в подменю Communications(Связь) меню Accessories. Когда вы запускаете HyperTerminal, происходят следующиесобытия.1. У вас запрашивается, хотите ли вы сделать HyperTerminal вашей программойtelnet по умолчанию. Если у вас нет более предпочтительной программы telnet,щелкните на кнопке Yes и установите флажок Don't ask me this question again (??He задавать больше этот вопрос).

496 Windows Server 2003. Полное руковолстяпDefault Telnet Program?Л W. recommend ihn ;••-., пчкв НуриТетом! ус v,,* | й к 1;\ pi.jgiiini DojouwanHujoihisJ . ..; ... ' ...ГDoMasI me this аиеякэт again2. Появится стандартное окно Windows Server 2003 Location Information (Инфор-Location InformationBetas you г an mil e *iy phon» a modem сотшесйошA-nujwi ,»redi »»ic*«nig rtc«mo(Hr,about you cim'ert'• !j United Slates••• • • • ' •!!.... ir.r,u,lII you ..HI ) number to эссеэт an св i?I he phcre syjlan at this location uses:

Глава 14. Сетевые службы клиентов 4975. Появится диалоговое окно Connect To (Подсоединяться к), и опции будут изменятьсяв зависимости спецификации, которую вы выбираете в раскрывающемсясписке Connect Using (Подсоединяться с помощью):• если вы выбрали СОМ-порт, то нужно ввести междугородний код и номертелефона;• если вы выбрали TCP/IP (Winsock), то введите IP-адрес сервера и номер порта(порт 23 предлагается по умолчанию).^unixsevewEnier deioili roi »* hosl п.*узи w«il lo с illHoJ address [Cancel6. Наконец, появится окно HyperTerminal, и вы подсоединяетесь к серверу.Закончив свои задачи и закрыв окно HyperTerminal, вы можете сохранить информациюэтого соединения, чтобы его можно было использовать в следующий раз,когда вы будет подсоединяться к этому серверу.Примечание. Для получения более подробной информации по использованиюHyperTerminal выберите Help в окне HyperTerminal.Безопасность TelnetПо умолчанию только члены локальной группы Administrators могут подсоединятьсяк серверу telnet Windows Server 2003. При подсоединении клиента удаленныйпользователь должен ввести пользовательское имя и пароль, которые допустимы наэтом сервере и имеют административные полномочия. Появится окно команднойстроки, и пользователь клиента сможет выполнять задачи, но не сможет использоватьприложения, которые взаимодействуют с рабочим столом.Если создать локальную группу с именем TelnetClients, то любому члену этойгруппы тоже разрешается подсоединение к серверу telnet. Вы должны вручную добавитьпользователей или группы в группу TelnetClients. Вы можете затем использоватьсредства безопасности NTFS, чтобы задать полномочия на данном компьютередля группы TelnetClients.Тип аутентификации, который будет допускаться сервером telnet (аутентификацияNTLM и/или аутентификация с нешифрованным текстом), задается в разделереестра HKLM/Software/Microsoft/TelnetServer/1.0/SecurityMechanism.

498 Windows Server 2003. Полное руководство• Значение 2 разрешает аутентификацию NTLM.• Значение 4 разрешает аутентификацию с нешифрованным текстом.• Значение 6 разрешает оба вида.Tlntadmn.exeTlntadmn.exe - это запускаемая из командной строки программа, которую вы можетеиспользовать для управления службами сервера telnet. После ввода командывы должны завершить программу и перезагрузить службу telnet, чтобы ваши измененияначали действовать. В большинстве случаев сервер telnet администрируетсялокально, но вы можете использовать tlntadmn.exe с удаленного компьютера, еслиимеете административные полномочия на соответствующем сервере telnet. (На удаленномкомпьютере должна быть доступна программа tlntadmn.exe, а это означает,что на нем работает Windows NT или более поздняя версия Windows.)Полную документацию по tlntadmn.exe можно получить с помощью Help andSupport Center Windows Server 2003, но я все же опишу здесь несколько распространенныхзадач.Повышение допустимого числа одновременных соединений. Синтаксис: tlntadmn configmaxconn=«, где п - максимальное допустимое число одновременных соединений, пможет быть любым числом, но на самом деле число одновременных соединенийдолжно соответствовать ресурсам компьютера (особенно RAM) и не должно превышатьпредела, указанного в лицензионном соглашении Microsoft. Если вы работаетес удаленного компьютера, то используется следующий синтаксис:tlntadmn [\\Удаленный_сервер] config [maxconn=/i] [-u Пользовательское имя -р Пароль)где: \\Удаленный_сервер - это имя компьютера Windows Server 2003, действующегокак сервер telnet.-и Пользовательское имя -р Пароль соответствуют учетной записи, имеющей административныепривилегии на этом удаленном сервере.Используйте эти дополнительные параметры для всех команд tlntadmn.exe, есливы работаете удаленным образом.Задание максимального количества неудачных попыток входа, после которого происходитотсоединение пользователя. Синтаксис: tlntadmn config maxfail=/t. Максимальноезначение п = 100.Задание порта Telnet. Синтаксис: tlntadmn config port=n. Значение п — это номер портана данном компьютере.Задание периода тайм-аута для простаивающих сеансов. Синтаксис: tlntadmn configtimeout= чч:мм:сс.Примечание. Программа Tlntadmn.exe имеется также в Windows XP, что позволяетвам управлять серверами telnet с вашей рабочей станции ХР.

Глава 15Файловые системыи функцииВы можете выбирать между тремя файловыми системами для дисковых разделов накомпьютере, работающем под управлением Windows Server 2003: FAT, FAT32 и NTFS.В данной главе рассматриваются эти файловые системы, а также некоторые возможности,доступные в NTFS.FAT and FAT32FAT (File Allocation Table) - это таблица ссылок, которые содержат информацию облоках данных, образующих файл. Первая файловая система FAT (где использовались12-битные записи) появилась в DOS. Первая версия DOS (1.0) не поддерживалаподдиректории, но по мере расширения возможностей DOS изменялась соответствующимобразом и файловая система FAT. Например, в DOS 4.0 записи FAT былиувеличены до 16 битов, чтобы можно было работать с разделами, превышающими32 Мб.Таблица FAT находится на диске вместе с дубликатом FAT, что является попыткойподдержки отказоустойчивости (однако поврежденную FAT редко удается восстановить).Система содержит также секцию корневой директории, имеющую фиксированныйразмер, что ограничивает количество файлов, которые можноразместить в корневой директории.FAT содержит записи для имен файлов и атрибутов файлов, таких как размер,байт атрибутов (8-битная запись для такой информации, как hidden, read-only и т.д.),время/дату последнего изменения (16-битные записи) и начальный блок размещения,который является указателем на запись файла в FAT. Если файл не являетсянепрерывным (фрагментирован), то имеются записи FAT, указывающие на каждыйблок размещения для этого файла. Эту последовательность называют цепочкой.Последняя запись (запись для «конца файла») содержит шестнадцатеричный кодFFFF, указывающий, что это конец цепочки. При загрузке или сохранении файлаоперационная система использует цепочку для отслеживания местоположения фрагментовфайла. По мере роста длины цепочек (диск сильно фрагментирован) производительностьдиска падает.Сами файлы хранятся в виде кластеров, размер которых зависит от размера диска.Размер самой таблицы FAT фиксирован, поэтому для работы с большими дискамиразмер кластеров увеличивается. Кластер может иметь размер 2048, 4096 или8192 байтов. 16-битная длина записей FAT ограничила размер жестких дисков пределом128 Мб (при размере кластеров 2048 байтов). Теоретически FAT мог бы поддерживатьдиск 512 Мб, но при размере кластеров 8192 байта, что крайне неэффективно.Начиная с DOS 5.0, была введена поддержка разделов до 2 Гб за счет созданиятаблиц FAT для каждого дискового раздела (до четырех разделов).

500 Windows Server 2003. Полное руководствоFAT32, то есть таблица, содержащая 32-битные записи, была введена в Windows95 OSR2. Это позволило добавить ряд возможностей к файловой системе FAT.• Было снято ограничение на размер раздела в 32 Гб.• Корневая директория размещается не в фиксированной позиции и может бытьперемещена.• Нет ограничения на количество записей, которые могут быть помещены в корневуюдиректорию.• Резервные копии FAT позволяет реально восстанавливаться после аварий.• FAT32 позволяет иметь намного больше кластеров при размере кластера 4096байтов даже для больших дисков.ЕАТ32 также позволила работать с именами файлов, длина которых больше предыдущегопредела 8.3. Поддержка длинных имен файлов стала, пожалуй, наиболеезаметной и наиболее ценной функцией. Microsoft применила для работы с длиннымиименами файлов в Windows 95 виртуальную таблицу распределения файлов VFAT(Virtual File Allocation Table) - 32-битную утилиту, которая работала в защищенномрежиме. На самом деле Microsoft называет расширение VFAT драйвером, посколькуон устанавливается и предполагается, что его можно установить в любой операционнойсистеме.NTFSВ Windows Server 2003 используется система NTFS, которая впервые появилась вWindows 2000 (иногда ее называют NTFS 5). Эта файловая система содержит встроеннуюподдержку множества средств, которые помогают управлять доменами,пользовательскими учетными записями и средствами безопасности. Данная системаNTFS отличается от NTFS, используемой в Windows NT 4. Средства, которыеподдерживает NTFS 5, являются частью структуры Windows Server 2003 (и Windows2000), включая (но не ограничиваясь) следующим.• Active Directory. Содержит все объекты операционной системы, разрешая илизапрещая доступ с помощью полномочий. Описание Active Directory см. в гл. 19.• Дисковые квоты. Ограничивают использование дискового пространства на уровнепользователя или группы. Подробнее о дисковых квотах см. в гл. 16.• Шифрование. Обеспечивает автоматическое шифрование и дешифрование данныхфайла при записи или чтении файла. Информацию по использованию шифрующейфайловой системы EFS (Encrypting File System) см. в гл. 17.• DFS (Distributed File System — Распределенная файловая система). Позволяетвам использовать одно дерево папок, охватывающее несколько серверов и разделяемыхресурсов. Подробнее о настройке и поддержке DFS см. в гл. 16.Кроме мощных средств и возможностей, упрощающих для администраторовуправление предприятием, NTFS имеет важную и удобную для пользователей возможность- внесение изменений в значок документа при изменении его местоположения.Эта функция, о которой даже не знают некоторые администраторы, оченьудобна для пользователей, которые поддерживают значки для часто используемыхдокументов. Например, я держу в моей панели Quick Launch (Быстрый запуск) значкидокументов, над которыми работаю длительное время (например, главы книг).Эти значки создаются и удаляются по мере необходимости. Кроме того, я держузначок для любого документа, которому требуется постоянное обновление, например,документ, где я держу пароли для доступа к веб-сайтам.

Глава 15. Файловые системы и функции 501В диалоговом окне Properties (Свойства) для значка документа представлен путь кэтому документу. Если переместить документ в другую папку и затем щелкнуть на егозначке, то откроется именно этот документ. При следующем входе в диалоговое окноProperties вы увидите, что путь к этому документу изменен соответствующим образом.Главная таблица файлов (Master File Table) NTFSВместо таблицы FAT (File Allocation Table) NTFS использует специальный файл,который называется Master File Table (MFT), позволяющий отслеживать все файлыи папки на томе. MFT имеет переменный размер, и она автоматически расширяетсяпо мере необходимости. Фактически MFT является массивом записей, которыйвы можете рассматривать как базу данных по всем файлам системы.Каждая запись MFT обычно имеет фиксированный размер 1 Кб, и первые 16записей содержат информацию о данном томе. Эти относящиеся к тому записи называютсяфайлами метаданных (эта терминология используется для структур служебнойинформации в файловой системе).Обычно одна запись в MFT соответствует одному файлу или папке в этой файловойсистеме. Запись содержит атрибуты файла, включая такие элементы, как readonly(доступ только по чтению) и флаги архивации, даты создания и последнегодоступа, имя файла и дескриптор безопасности.Примечание. Обычно в запись включаются два имени файла: длинное имя и совместимоес DOS имя в формате 8.3.Более существенным отличием от FAT является то, что сами данные файла являютсяпросто еще одним атрибутом NTFS. Имеется ограничение на количестводанных, которые можно поместить в запись MFT, и все, что превышает этот предел,заменяется в записи указателями на местоположение данных этого файла на диске.Запись MFT может содержать примерно 750 байтов данных файла (точное количествозависит от количества атрибутов, хранящихся в записи MFT). Небольшие файлыданных (меньше 750 байтов) могут умещаться целиком в своих записях MFT, чтобыдает невероятно высокую производительность без какого-либо риска фрагментацииэтих файлов.Хотя бы одна запись таблицы MFT имеется для каждого файла на томе NTFS,включая файл самой MFT и другие файлы метаданных, такие как файл журнала,карта сбойных кластеров и корневая папка.Конечно, большинство файлов не могут уместиться непосредственно в своихзаписях MFT, поэтому MFT сохраняет их данные на диске. Единицей размещенияфайлов в NTFS являются кластеры, которые указываются двумя способами:• VCN (Virtual Cluster Numbers — Виртуальные номера кластеров) от 0 до п-1, где п- количество кластеров в файле;• LCN (Logical Cluster Numbers - Логические номера кластеров), соответствующиеномерам кластеров на томе.VCN аналогичен смещению в файле, которое запрашивается приложением. Приложениеиспользует в файле определенный формат данных, и оно рассчитывает спомощью этого формата смещение в байтах относительно логического формата этогофайла. Когда приложению требуется чтение или запись по определенному адресу вфайле, NTFS делит это число на размер кластера, чтобы определить VCN для чтенияили записи.

502 Windows Server 2003. Полное руководствоLCN - это индекс (указатель) кластеров на томе, и когда требуется чтение илизапись, NTFS использует LCN для расчета адреса на диске. При этом расчете LCNумножается на количество секторов в кластере, после чего происходит чтение илизапись секторов, начиная с этого адреса на диске. Связывая номера VCN с их LCN,система NTFS связывает логическую адресацию файла с физическим местоположениемна диске.Если какой-либо атрибут не умещается в записи MFT, то NTFS сохраняет его вновом, отдельном наборе кластеров на диске, который называется непрерывной областью,или экстентом. Обычно атрибут, представляющий данные файла, слишкомвелик, чтобы уместиться в записи MFT. Однако и другие атрибуты могут оказатьсядостаточно большими, чтобы образовать новые экстенты. Например, длинныеимена файлов могут содержать до 255 символов, каждый из которых занимает 2 байта(поскольку имена файлов хранятся в кодировке Unicode).Атрибут, который хранится в самой записи MFT, называется резидентным атрибутом.Если атрибут вытесняется в экстент, то он называется нерезидентным атрибутом.Это означает, что если пользователи не создают все время очень короткиефайлы с короткими именами, то большинство файлов на томе имеют данные, которыесоответствуют нерезидентному атрибуту.Если экстент требуется увеличить (обычно потому, что пользователь добавляетданные к файлу, который уже имеет большие размеры), то NTFS пытается выделитьфизически смежные кластеры для того же экстента. Если не удается выделитьнепрерывное пространство достаточного размера, то NTFS создает новый экстентгде-либо на диске, разделяя файл на два фрагмента. Если новый экстент тоже неможет обеспечить достаточный размер непрерывного пространства, то добавляетсяеще один экстент. Заголовок атрибутов данных (который хранится в записи MFT)содержит эту информацию в форме номеров LCN и длин экстентов, a NTFS используетэту информацию для поиска экстентов.В некоторых случаях (обычно при крайне большом количестве атрибутов) системаNTFS вынуждена выделить дополнительную запись MFT для данного файла.В этом случае NTFS создает атрибут, который называется списком атрибутов и действуеткак индекс (указатель) для всех атрибутов данного файла. Хотя это необычнаяситуация, присутствие дополнительных записей MFT может существенно снизитьпроизводительность работы с соответствующими файлами.Папки (директории) обрабатываются в NTFS почти так же, как файлы. Еслипапка достаточно мала, то индекс для файлов, на которые указывает эта папка, можетуместиться в записи MFT. Эта информация является атрибутом, который называетсяIndex Root (Корень индекса).Если в папке (индексе) имеется больше элементов, чем может уместиться в записиMFT, то NTFS создает новый экстент с нерезидентным атрибутом, которыйназывается буфером индекса. Для таких папок буферы индексов содержат то, называетсядеревом Ь+, которое является структурой данных, предназначенной для минимизацииколичества сравнений, необходимых для поиска определенного файла.В дереве Ь+ хранится информация (или указатели на информацию) в отсортированномпорядке. Запрос отсортированного списка элементов папки выполняетсябыстро, поскольку это порядок хранения в буфере индекса. Поиск определенногоэлемента тоже выполняется быстро, поскольку эти деревья больше разрастаются«вширь», чем «вглубь», что сводит к минимуму количество попыток доступа, необходимыхдля достижения определенной точки дерева.

Фрагментация NTFSГлава 15. Файловые системы и функции 503Все разговоры о том, что NTFS препятствует фрагментации, неверны. Сами системыWindows Server 2003, Windows 2000 и Windows NT намного лучше в выделениидискового пространства для файлов, чем более ранние версии Windows (и DOS), и,в результате, эти системы менее подвержены фрагментации файлов.Однако NTFS не защищена от источников, вызывающих фрагментацию отдельныхфайлов, и со временем файлы на томе NTFS становятся фрагментированными.Кроме того, побочным эффектом того, что операционная система пытается воспрепятствоватьфрагментации файлов, становится фрагментация свободногопространства на диске.Форматируя том с помощью NTFS, вы можете выбрать размер кластеров. ВWindows NT предлагается размер кластеров по умолчанию, основанный на размереданного тома, но если вы знаете, каким образом будет использоваться данный том,то можете выбрать наиболее подходящий для этого использования размер кластеров.Но вы должны быть очень осторожны, выбирая размер, отличный от размерапо умолчанию. При выборе меньшего размера кластеров будут меньше потери пространствана диске, но это вызовет, скорее всего, фрагментацию файлов. При большемразмере кластеров вероятность фрагментации будет меньше, но будут большепотери пространства на диске.Внимание. Выбор 512-байтовых кластеров может вызвать проблемы, поскольку таблицаMFT состоит из записей, имеющих длину 1024 байта. В случае кластеров размером512 байтов отдельные записи MFT могут оказаться фрагментированными.Это невозможно при более высоких размерах кластеров, которые могут содержатьболее одной записи MFT без каких-либо потерь.Если файл или папка занимает непрерывную область, то размер кластера не имеетзначения (если вас не волнует потеря небольшой доли пространства на диске). Есливы знаете, что том будет содержать очень большое число небольших файлов, илипредполагаете, что почти все файлы будут очень большими, то вы обладаете информацией,которую можете использовать для выбора наиболее подходящего размеракластеров. Кроме того, при очень большом общем числе файлов (порядка100000) фрагментация MFT становится более вероятной. В этом случае большийразмер кластеров ограничит фрагментацию в таблице MFT, поскольку она увеличивается,чтобы вместить все файлы.Примечание. Можно создать том NTFS с размером кластеров больше 4К, но дефрагментироватьтом с помощью встроенной программы дефрагментации будет невозможно.Вы не сможете также использовать сжатие NTFS.Важно отметить, что существуют отличия в фрагментации на различных уровняххранения данных. Отдельные приложения, такие как Microsoft Office, и серверыбаз данных, такие как Oracle, имеют проблемы фрагментации в рамках их собственногохранилища данных. Эти проблемы возникают независимо от файловойсистемы или операционной системы.NTFS не имеет сведений о логической организации пользовательских данных.Независимо от местоположения файла на диске и его фрагментированности файловаясистема представляет его приложениям как одну непрерывную область хра-

504 Windows Server 2003. Полное руководствонения. Но приложение интерпретирует данные файла как логическую структуру.Для программы почтовой рассылки файл — это группа фамилий, имен, адресов ит.д. Для NTFS это просто группа кластеров данных.Приложения, имея собственную организацию данных, могут создавать неиспользуемыепромежутки в данных, что фактически фрагментирует эти данные. Как и вфайловой системе, удаление данных в приложении не обязательно является их фактическимудалением; эти данные только маркируются как удаленные. Появлениепромежутков в логическом хранилище данных называют внутренней фрагментацией.Чтобы избежать внутренней фрагментации данных, в некоторые приложения,такие как Microsoft Access, включаются утилиты сжатия данных в файле, то естьфактически происходит дефрагментация внутреннего файла. К сожалению, эти утилитысжатия часто увеличивают степень фрагментированности на уровне файловойсистемы, поскольку они обычно создают совершенно новую копию этого файла,используя большие объемы пространства на диске в этом процессе. Такимобразом, частая дефрагментация ваших файлов данных может увеличить степеньдефрагментированности вашей файловой системы.Приложения часто создают временные файлы, которые занимают определенноепространство, когда пользователь работает с этим ПО, открывая и сохраняяфайлы. При закрытии приложения временные файлы удаляются, оставляя послесебя пустое выделявшееся пространство. Файлы данных могут также иметь занятое,но неиспользуемое пространство, поскольку программы занимают такое пространстводля своих организационных целей или для повышения производительности.Кроме того, отдельные файлы, связанные с каким-либо приложением, современем могут оказаться физически разбросанными по всему диску. Этот тип фрагментации,известной также под названием фрагментации использования, представляетособенно сложную проблему для программы дефрагментации, поскольку обычныеметоды анализа фрагментации могут не выявить ее.Фрагментация и дефрагментация папок (директорий) происходит аналогичнофайлам. Дело в том, что для NTFS папка - это еще один файл, хотя папки имеютособые типы атрибутов в своих записях MFT. В то время как приложения управляютсодержимым файлов данных, NTFS управляет содержимым папок, то есть деревьямиЬ+, которые обеспечивают индексированный доступ к файлам, содержащимсяв папках.Папки, содержащие программные файлы, мало увеличиваются или уменьшаютсяв течение периода их использования. Но папки пользовательских документови системная папка TEMP изменяют свои размеры весьма существенно. По мерероста числа файлов в папке NTFS может реагировать на этот рост путем увеличенияпространства хранения папки. Если содержимое папки становится меньше, то NTFSможет также освобождать неиспользуемое пространство в папке, но это происходитне всегда, поскольку является достаточно сложной операцией. Папки, которые,скорее всего, будут расти или сжиматься, создаются обычно на стадии конфигурированиясистемы (например, папки My Documents и TEMP). Эти папки разрастаются,занимая, скорее всего, область, которая не является непрерывной. Посколькутакие папки интенсивно используются, их фрагментация оказывает реальноевлияние на производительность компьютера.Что касается производительности, то вам следует знать, что большая вложенностьпапок может быть удобной с организационной точки зрения, но за это выплатите снижением производительности. Когда NTFS выполняет поиск данных всвоих деревьях Ь+, то она проходит с самого начала через все уровни поддерева даннойпапки. Поэтому производительность для деревьев с меньшей вложенностью,

Глава 15. Файловые системы и функции 505имеющих большее число файлов, будет выше, чем для деревьев с большей вложенностьюи меньшим числом файлов. Поддеревья с очень большими уровнями вложенностимогут также представлять проблемы для приложений, которые имеют ограничениена общее число символов в полном пути к файлу (обычно это предел в255 символов).Примечание. Информацию по использованию программы дефрагментации Windows2000 см. в гл. 8.Сжатие NTFSСжатие файлов NTFS - встроенная функция этой файловой системы. Вы можетесжимать данные на всем томе в отдельной папке или в конкретном файле. Чтобывключить сжатие, откройте диалоговое окно Properties (Свойства) для тома, папкиили файла и используйте следующим образом вкладку General (Общие).• Для тома выберите вариант Compress Drive To Save Disk Space (Сжимать дискдля экономии места на диске). Появится вопрос, хотите ли вы применять сжатиетолько к корню или ко всем папкам.• Для папки щелкните на кнопке Advanced (Дополнительно) и затем выберитеопцию Compress Contents To Save Disk Space (Сжимать содержимое для экономииместа на диске). Появится вопрос, хотите ли вы применять сжатие к подпапкам.• Для файла щелкните на кнопке Advanced и затем выберите опцию CompressContents To Save Disk Space.Если вы смотрите свойства какого-либо сжатого объекта в окне My Computerили Windows Explorer, то видите оба размера (рис. 15.1).QBtnteiprise Properties.JTypeLocationSiraIttvn di:lContains: :;:jQ В EnterpriseЩ 04 Щ (109,8ЖЙ5 bytes)63 3 MB 166 401.553 bytes)2.016 F**. 104 F.jfcte>?|xjjРис. 15.1. Размер файла надиске (Size on disk) показывает,что выполнено сжатиеDe »cdAttributes;Monday Ар.Л 2Э 2WI' ЗЯЛА».1P" Де i Ajjvanced?|. 0K. :i : v j: : ::i; CancelJ' | ;-:

506 Windows Server 2003. Полное руководствоВ схеме сжатия NTFS используются как виртуальные номера кластеров (VCN),таки логические номера кластеров (LCN). Для файла, у которого есть данные, хранящиесяв нерезидентных атрибутах или экстентах, атрибут данных содержит отображениядля начального VCN и начального LCN в экстенте, а также количествокластеров. NTFS работает с этими номерами кластеров для получения сжатия, используяодин из двух способов: разреженное хранение (sparse storage) или секционированныеданные (divided data).Разреженное хранение - это способ экономии дискового пространства, когдануль-блоки данных не сохраняются на диске. Иногда в больших файлах имеютсябольшие нуль-блоки (байты со значением 0). В NTFS такие файлы называются разреженнымифайлами, в которых хранятся только ненулевые данные. Например, увас может быть 100-кластерный файл, содержащий реальные данные только в первых5 и последних 5 кластерах (90 кластеров содержат только нули). NTFS можетхранить для этого файла два экстента, каждый из которых содержит 5 кластеров.Первый кластер будет иметь номера VCN от 0 до 4, и второй кластер будет иметьномера VCN от 95 до 99. NTFS подразумевает, что VCN с номерами 5-94 содержатнуль-блоки и для них не требуется физического пространства на диске. Если какой-либопрограмме требуются данные из этой части, NTFS просто заполняет буферзапрашивающей программы нуль-блоками. Когда (или если) это приложениеразмещает в этом пространстве реальные (ненулевые) данные, NTFS создает новыйэкстент с соответствующими номерами VCN.Если файл содержит мало нуль-данных, то NTFS не пытается записать данныефайла внутри одного экстента; вместо этого NTFS разбивает данные на экстентыпо 16 кластеров каждый. В любом конкретном экстенте, где сжатие данных экономитхотя бы один кластер, NTFS сохраняет данные в сжатом виде, что дает 15 илименьше кластеров. Если данные нельзя сжать в достаточной степени (например,случайные данные в общем случае сжать невозможно), то NTFS просто сохраняетвесь экстент без какого-либо сжатия. Из записи MFT для сжатого файла NTFS определяет,что в экстенте имеются пропущенные номера VCN, а это означает, чтофайл сжат.Если данные хранятся в сжатой форме, то какой-либо конкретный байт нельзяопределить путем расчета номера кластера, в котором он находится. Вместо этогоNTFS рассчитывает, в каком 16-кластерном экстенте находится соответствующийадрес, выполняет распаковку этого экстента в виде 16 несжатых кластеров и затемрассчитывает смещение в файле с помощью допустимых виртуальных номеров кластеров(VCN). Чтобы реально использовать эту схему адресации, NTFS делает так,чтобы все эти экстенты начинались с виртуального номера кластера, который делитсяна 16.NTFS старается записывать эти экстенты в одной непрерывной области, посколькусистема ввода-вывода уже испытывает достаточную дополнительную нагрузкупо обработке и управлению сжатыми файлами без необходимости фрагментированияотдельных экстентов. NTFS старается также поддерживать непрерывность отдельныхэкстентов файла, но это уже более сложная задача. В результате сжатыефайлы оказываются фрагментированными с большей вероятностью, чем несжатыефайлы.Примечание. NTFS сжимает только атрибут, соответствующий данным файла, ноне метаданные.

Глава 15. Файловые системы и функции 507Модернизация в файловую систему NTFSЕсли вы устанавливаете Windows Server 2003 поверх существующего тома NTFSWindows NT 4, этот том автоматически модернизируется в новую файловую системуNTFS. Эта модернизация является обязательной, и вы не можете управлять этимпроцессом. Модернизация файловой системы не является процессом, который порождаетсяпрограммой установки Windows Server 2003; он запускается драйверомNTFS по завершении установки. Все локально подключенные тома NTFS модернизируютсяк новой версии файловой системы NTFS, включая съемные носители.Тома NTFS Windows NT 4, которые удалены или отключены во время установки,модернизируются автоматически при следующем монтировании соответствующихдисков. Любые тома NTFS Windows NT 4, которые не были модернизированы, небудут монтироваться в Windows Server 2003.Внимание. Если вам нужна двойственная загрузка между Windows NT 4 и WindowsServer 2003, то система NT 4 должна быть установлена с Service Pack версии 4 илипоследующих версий и работать с NTFS. Новые средства, поддерживаемые NTFS,изменяют структуру данных на дисках, и файл ntfs.sys в SP4 (и последующих версиях)позволяет работать с этими изменениями.При модернизации поверх любой операционной системы Windows, которая неработает с NTFS, вам предлагается вариант, позволяющий преобразовать жесткийдиск из FAT или FAT32 в NTFS во время текстовой фазы программы установкиWindows 2000. На экран выводится следующее сообщение:Upgrading to the Windows NT File System (Модернизация в файловую систему NTFS) Do youwant Setup to upgrade your drive to NTFS? (Хотите ли вы, чтобы программа установкимодернизировала ваш диск в NTFS?)Yes, Upgrade my drive (Да, модернизировать мой диск)No, Do not upgrade my drive (Нет, не модернизировать мой диск)По умолчанию выбран вариант Yes.Вы можете также выполнить преобразование из FAT/FAT32 после установкиWindows Server 2003. См. ниже раздел «Преобразование в NTFS».Выбор нужной файловой системыКроме контроллеров домена, которые должны работать с NTFS, вы можете выбиратьфайловую систему вместо автоматической установки NTFS. Это обычно требуется,если вам нужна двойственная загрузка. В этом разделе даются некоторыерекомендации по принятию таких решений.Несколько лет назад в моих публикациях по Windows NT я обычно рекомендовалчитателям форматировать системный раздел с помощью FAT. Если система незагружалась, и причиной этого был поврежденный или отсутствующий системныйфайл, вы могли бы легко заменить этот файл, загрузившись в DOS и скопировавэтот файл.Но теперь я считаю, что все компьютеры Windows Server 2003, а также компьютерыс Windows XP и Windows 2000 должны быть обязательно отформатированы спомощью NTFS. Я изменил свое мнение по двум следующим причинам.

508 Windows Server 2003. Полное руководство• Размер устанавливаемой ОС столь велик, что тома FAT/FAT32 с их неэкономнымиспользованием пространства стали просто неэффективны.• Консоль восстановления (Recovery Console) - совместимое с NTFS приложение,запускаемое из командной строки, которое появилось в Windows Server 2000,обеспечивает доступ к поврежденному системному разделу.Существуют ситуации, когда вам может потребоваться выбор файловой системыFAT или FAT32, и в большинстве случаев (если не во всех) это решение относитсяк рабочим станциям, на которых вы устанавливаете Windows XP Professional (илиWindows 2000 Professional):• Если выбрать FAT, то доступ к этому компьютеру и его файлам можно выполнятьиз любой операционной системы: MS-DOS, любая версия Windows, WindowsNT, Windows 2000 и OS/2.• Если выбрать FAT32, то доступ к этому компьютеру и его файлам можно выполнятьчерез Windows 95 OSR2, Windows 98 и Windows 2000.Двойственная загрузка обычно используется в тех случаях, когда компьютерутребуется поддержка приложений, которые не могут выполняться в обеих операционныхсистемах, установленных на данной машине. Чтобы запустить такое приложение,вы можете перезагрузить компьютер и выбрать подходящую для этого операционнуюсистему. На рабочих станциях я встречался с двойственной загрузкой,которая использовалась, чтобы несколько пользователей могли получать доступ коперационной системе и приложениям, которые были нужны каждому конкретномупользователю. Но прежде чем принять решение об использовании двойственнойзагрузки, вы должны ознакомиться с вопросами совместимости между NTFS и другимифайловыми системами.Во-первых, запомните, что в отличие от Windows NT система Windows Server 2003(и Windows 2000) должна быть установлена в ее собственном разделе; у вас уже нетварианта выбора, позволявшего выбрать для установки новую папку в разделе, которыйуже содержит другую операционную систему. Это означает, что если на вашемдиске нет двух томов, то вы должны сначала разбить его на разделы и отформатироватьего, а после этого устанавливать операционные системы.Если вы используете двойственную загрузку между Windows NT 4 и Windows Server2003 (или Windows 2000) и хотите использовать файловую систему NTFS, то Microsoftрекомендует модернизировать Windows NT 4 к SP4 (или последующей версии). Однакоя встречался с ситуациями, когда это не решало потенциальные проблемы доступак файлам. Оказывалось, что лучше было использовать двойственную загрузкумежду этими операционными системами с разделами FAT. Конечно, это не совсемтак, так как на самом деле я прекратил использование двойственной загрузки междуWindows NT и последующими версиями Windows, когда перешел к Windows 2000и перевел свой домен в систему Windows 2000.Преобразование в NTFSЕсли у вас есть том, отформатированный с помощью FAT/FAT32, то вы можете преобразоватьего в NTFS без необходимости резервного копирования файлов, переформатированиядиска и запуска всех компонентов с самого начала для NTFS. ВWindows включена утилита командной строки convert.exe, которая преобразует файловуюсистему. Convert.exe имеет следующий основной синтаксис:

convert буква-диска: /fs:ntfsГлава 15. Файловые системы и функции 509Параметр /fsmtfs является обязательным, хотя не существует других вариантовпреобразования - convert.exe выполняет преобразование только NTFS. Convert.exeне работает в противоположном направлении - вы не можете преобразовать дискNTFS в FAT/FAT32.Для выполнения своих задач convert.exe должна блокировать доступ к диску,поэтому вы не можете преобразовать текущий том (том, на котором вы находитесьпри запуске этой команды) сразу, поскольку он используется на этот момент. Convertне может также блокировать системный том, поскольку он всегда находится в использовании.(Во многих случаях системный том - это также текущий том.) В этомслучае процесс преобразования запускается при следующей загрузке. Имейте в виду,что эта следующая перезагрузка будет намного дольше, чем обычно, поскольку преобразованиене является быстрым процессом.Если вы преобразовываете другой том на данном компьютере и этот том не являетсясистемным диском, то преобразование происходит сразу. Например, послеввода команды d: /fsmtfs выводится набор экранных сообщений:The type of the file system is FAT32 (Тип файловой системы - FAT32)Determining disk space required for filesystem conversion (Определение пространства надиске, необходимого для преобразования файловой системы)Total disk space: (size of drive in KB) [Всего объем пространства на диске в Кб)]Free space on volume: (free space in KB) [Объем свободного пространства на диске в Кб)]Space required for conversion: (required space in KB) [Объем пространства, котороетребуется для преобразования, в Кб)]Converting file system (Преобразование файловой системы)Conversion complete. (Преобразование завершено)Время между появлением сообщения «converting file system» и «conversioncomplete» варьируется в зависимости от размера тома.Для преобразования требуется определенный объем пространства на диске (изсвободной части тома), и если объем свободного пространства недостаточен,convert.exe не выполняет преобразование данного тома. Прежде чем сделать новуюпопытку, удалите ненужные файлы.Совет. Перед преобразованием тома имеет смысл дефрагментировать его, посколькуэто дает больший объем непрерывных областей свободного пространства на дискеи, к тому же, процесс преобразования выполняется несколько быстрее.Convert.exe имеет два дополнительных параметра, которые иногда используются.• /v указывает режим вывода подробной информации, то есть во время преобразованиявыводятся все сообщения (в основном это отчеты о ходе процесса); этопараметр для особо любопытных пользователей.• /nosecurity указывает, что настройки безопасности преобразованных файлов ипапок задаются таким образом, что каждый пользователь получает доступ ко всейинформации (ясно, что это никак не подходит для преобразования сервера).Когда вы запускаете convert.exe для установки NTFS, том уже имеет файлы изагрузочные записи, поэтому таблица MFT создается не там, где она оказывается,когда вы форматируете том с помощью NTFS. Это может вызвать снижение произ-

510 Windows Server 2003. Полное руководствоводительности - особенно для большого тома, содержащего много файлов. Есливы собираетесь использовать данный компьютер как файл-сервер, к которому будутобращаться очень много пользователей (а каждый пользователь будет создаватьмного файлов), то снижение производительности будет довольно заметным. В этомслучае я советую выполнить резервное копирование существующих данных и отформатироватьтом с помощью NTFS вместо использования convert.exe.Форматирование тома дляNTFSВы можете отформатировать том FAT/FAT32 для NTFS, если это не системный и незагрузочный том. Это означает, что вы можете отформатировать такой том на компьютерах,которые имеют несколько томов (в противном случае вы должны использоватьутилиту convert.exe или переустановить операционную систему). Чтобы сделатьэто, вы можете использовать оснастку Disk Management (Управление дисками)или утилиту командной строки format.com.Форматирование тома с помощью оснастки Disk ManagementЧтобы открыть оснастку Disk Management, щелкните правой кнопкой на MyComputer и выберите в контекстном меню пункт Manage, после чего откроется консольММС Computer Management (Local). Раскройте объект Storage в левой панели(если он еще не открыт) и выберите Disk Management, чтобы увидеть информациюо томах на данном компьютере.Щелкните правой кнопкой на томе FAT/FAT32, который не является загрузочнымили системным томом, и выберите в контекстном меню пункт Format, послечего появится диалоговое окно Format. Отформатируйте данный диск, используяследующие указания.• Введите метку тома (Volume Label), если вы хотите задать метку тома (обычно яиспользую букву диска).• Выберите файловую систему NTFS.• Выберите вариант Default (По умолчанию) для поля Allocation Unit Size (Размерединичного блока).Это диалоговое окно содержит также опцию для выполнения быстрого форматирования(quick format), а это означает, что диск не проверяется на ошибки. Посколькувы стираете диск, глупо отказываться от проверки ошибок, которая выполняетсяна физическом диске при полном форматировании.Вы можете также включить сжатие папок и файлов во время форматирования,но это редко имеет смысл. Лучше задать сжатие папок, когда на этом диске будетработать NTFS.Форматирование тома с помощью Format.comЕсли вы приверженец командной строки (как и я), то можете использовать утилитуformat.com для форматирования тома, который не является системным или загрузочнымтомом. Для форматирования тома с помощью NTFS используется следующийсинтаксис:format буква-диска:[/fs:NTFS] [/у.метка] [/q] [/п:Размер-единичного-блока] [/с]где:буква-диска - буква для данного диска (не забудьте ввести двоеточие).

Глава 15. Файловые системы и функции 511/fs:NTFS указывает файловую систему NTFS./у.метка указывает том. Если опустить этот параметр, то метка тома запрашиваетсяу вас по окончании форматирования (чтобы не указывать метку тома, нажмите вэтот момент клавишу ENTER),/q указывает режим быстрого форматирования./а:Размер-единичного-блока указывает размер единичных блоков. Если опустить этотпараметр, то система использует для задания размера единичного блока значенияпо умолчанию, которые определяются на основании размера тома,/с включает сжатие папок и файлов для всего тома.После набора команды и нажатия клавиши Enter выводится следующее предупреждение:WARNING, ALL DATA ON nonremovable DISK (Предупреждение, ВСЕ ДАННЫЕ на несъемномДИСКЕ)DRIVE x: WILL BE LOST! (ДИСК х: БУДУТ ПОТЕРЯНЫ!)Proceed with Format (Y/N)? [Продолжить работу утилиты Format (Да/Нет)?]Введите Y, чтобы начать форматирование. По окончании этого процесса системавыводит сообщения, указывающие общий объем пространства на диске, любыеобласти, маркированные как сбойные, а также общий объем пространства, доступногодля файлов.Полномочия NTFSПри повседневной работе администраторы (да и пользователи) не особенно задумываютсяо функциях и средствах, встроенных в NTFS, за исключением безопасностипапок и файлов, которую обеспечивает NTFS. Чтобы ваши пользователи могливыполнять то, что им требуется, и чтобы не позволять им делать то, что может нанестивред вашим системам, вы должны понимать принципы безопасности NTFS, aтакже их влияние на действия пользователей.Форматируя диск с помощью NTFS, вы можете сконфигурировать полномочияпользователей для ресурсов на данном компьютере. Из этих полномочий определяется,например, могут ли пользователи получать доступ к файлу или папке, просматриватьили открывать файлы, изменять файлы или создавать файлы.Кстати, чтобы внести ясность в терминологию, рассмотрим отличия междуполномочиями и правами. Проще всего объяснить их следующим образом. Полномочия- это задачи, которые разрешается выполнять пользователям при работе собъектами на диске NTFS. Права - это задачи, которые разрешается выполнятьпользователям при работе с настройками компьютера или домена.„Полномочия NTFS и полномочия для разделяемыхресурсовЕсли вы предоставляете какой-либо ресурс (например, папку) для разделяемогодоступа, то можете задать полномочия для этого ресурса, даже если том, на которомнаходится данный разделяемый ресурс, отформатирован с помощью FAT или FAT32.Полномочия для разделяемого ресурса относятся к любому пользователю, которыйвыполняет доступ к этому ресурсу с удаленного компьютера; они игнорируются длялокальных пользователей. С другой стороны, полномочия NTFS влияют на возможностилюбого пользователя - локального или удаленного.

512 Windows Server 2003. Полное руководствоЧтобы задать полномочия доступа к разделяемому ресурсу, щелкните на кнопкеPermissions (Полномочия) во вкладке Sharing (Разделяемый доступ) диалогового окнаProperties этого ресурса. По умолчанию в диалоговом окне Permissions (рис. 15.2),представлена только группа Everyone (Все).s1S H IШШШРис. 15.2. Полномочия разделяемогодоступа автоматическиконфигурируются как полномочияRead для группы Everyone:Re TȮv, |Р-.тоэтюп» к» EveiyeFu» ControlChangeR e a dn0ППП•••';•....''':^:У-••'•К'••'••'•[~ 5 || Cancel^JJВ Windows Server 2003 по умолчанию задаются полномочия Read (Чтение), чтоотличается от Windows 2000, где при создании разделяемого ресурса автоматическизадаются полномочия Full Control (Полный доступ) для группы Everyone. Я предлагаювам изменять полномочия по разделяемым ресурсам на Full Control для группыEveryone на ваших компьютерах Windows Server 2003. Дело в том, что для удаленныхпользователей реальные полномочия определяются сочетанием полномочий доступак разделяемым ресурсам и полномочий NTFS, и в результате применяются болееограничивающие из этих полномочий. Это означает, что вы можете предоставитьпользователям полномочия разделяемого доступа Full Control для группы Everyone,которые позволят им выполнять их работу, и затем уточнить их с помощью полномочийNTFS. Доступ локальных пользователей определяется только полномочиямиNTFS, а полномочия разделяемого доступа не учитываются.Полномочия по умолчаниюКогда вы работаете с полномочиями для папок, их названия кажутся вам простымии очевидными. Конфигурируя для пользователей и групп полномочия доступа кфайлам или папкам, вы можете разрешать (Allow) или запрещать (Deny) следующиеполномочия.• Full Control (Полный доступ)• Modify (Изменение)• Read & Execute (Чтение и выполнение)• List Folder Contents (Список содержимого папки)

Глава 15. Файловые системы и функции 513• Read (Чтение)• Write (Запись)Однако эти полномочия на самом деле представляют наборы из нескольких болееконкретных, более точных полномочий. В таблице 15.1 показано, из чего насамом деле состоят полномочия, которые вы разрешаете или запрещаете.Табл. 15.1. Составные части полномочий, которые вы задаетеFull Modify Read & ListControl Execute FolderContentsReadWriteTraverse Folder/ExecuteFile (Прохождениепапок/выполнениефайлов)List Folder/Read Data(Содержимое папок/Чтение данных)Read Attributes(Чтение атрибутов)Read Extended Attributes(Чтение дополнительныхатрибутов)Create Files/Write Data(Создание файлов/Запись данных)Create Folders/AppendData (Создание папок/Добавление данных)Write Attributes(Запись атрибутов)Write Extended Attributes(Запись дополнительныхатрибутов)Delete Subfolders andFiles (Удалениеподпапок и файлов)Delete (Удаление)Read Permissions(Чтение полномочий)Change Permissions(Изменение полномочий)Take Ownership (Получениеправа владельца)Synchronize(Синхронизация)ДаДаДаДаДаДаДаДаДаДаДаДаДаДаДа Да ДаДа Да Да ДаДа Да Да ДаДа Да Да ДаДаДаДаДаДаДаДаДаДаДа Да Да Да ДаДа Да Да Да Да17-3994

514 Windows Server 2003. Полное руководствоНекоторые из этих детальных полномочий требуют пояснений, поэтому нижеприводится обзор действий, которые может выполнять обладатель соответствующихполномочий.• Traverse Folder. Прохождение через промежуточные папки на пути к определеннымпапкам или файлам, даже если данный пользователь не имеет полномочийдля работы с этими промежуточными папками.• Execute File. Запуск программного файла.• List Folder. Просмотр имен файлов и имен подпапок внутри папки.• Read Data. Просмотр данных в файлах (и, тем самым, открытие файлов данных).• Read Attributes. Просмотр атрибутов операционной системы, относящихся кфайлу или папке.• Read Extended Attributes. Просмотр дополнительных атрибутов, заданных приложениями,для файла или папки.• Create Files. Создание файлов внутри папки.• Write Data. Внесение изменений в файл с перезаписью существующего содержимого.• Create Folders. Создание подпапки внутри папки.• Append Data. Внесение изменений в конец файла (но без права изменения, удаленияили перезаписи существующих данных).• Write Attributes. Изменение атрибутов операционной системы для файла илипапки.• Write Extended Attributes. Изменение дополнительных атрибутов, заданных приложением,для файла или папки.ш Delete Subfolders and Files. Удаление подпапок и файлов, даже если для текущейпапки не заданы полномочия Delete.• Delete. Удаление папки или файла.• Read Permissions. Просмотр полномочий для папки или файла.• Change Permissions. Изменение полномочий, заданных для папки или файла.• Take Ownership. Указание самого себя как владельца папки или файла.• Synchronize. Ожидание другими потоками описателя файла или папки и синхронизацияс другим потоком, который может сигнализировать это. Эти полномочияиспользуются только программами с несколькими потоками и несколькимипроцессами.Наследуемые полномочияЕсли вы задаете полномочия для родительской папки, то все файлы и папки, созданныев данной папке, наследуют эти полномочия. Имеется три способа, позволяющихпрервать это наследование.т Удаление наследования на уровне родительской папки, то есть запрет наследованияполномочий дочерними объектами.• Удаление наследования на уровне дочернего объекта.• В дочернем объекте явное разрешение (allow) или запрет (deny) для определенныхполномочий из родительского объекта.В общем случае вполне подходят наследуемые полномочия, поскольку их легкозадавать и поддерживать и так как с ними надежнее работать, чем с полномочиями,управление которыми происходит по отдельности. Если вам приходится изменять и

Глава 15. Файловые системы и функциикорректировать наследуемые значения, то, возможно, вам нужно пересмотреть организациюпапок на сервере. Работая с папкой, создавайте подпапки, которые логическидолжны содержать те же полномочия, что и родительская папка.Явно определяемые полномочия и наследуемые полномочияЯвно определяемые полномочия задаются автоматически операционной системойили вручную администратором. Наследуемые полномочия ав^о^ичесГберТсяиз родительской папки как результат наследования. Я даю эти очевидные определениядля того, чтобы вы знали, что имеются два типа полномочий и что явно за^ан-Вы Ко°нТ ИЯ ИМСЮТ П Р Ж ? И Т С Т П ° С Р а в н е н и ю с наследуемыми полномочиями. 'П0Нимаетеп< или Д° лжн ы понять), что не обязаны прерывать цепочкунаследования, чтобы задать необходимые полномочия по дочернему объекту;вам нужно только задать явные полномочия, чтобы запретить/разрешить наследуемые полномочия. Это намного удобнее (и безопаснее^ отказопросто иРнадежного принципа наследуемых полномочий.Удаление наследования из родительского объектаДля изменения настройки по умолчанию родительского объекта, чтобы дочерниелительсГ Н Т С Д 0 В а Л И аВтоматическиполномочия, откройте вкладку Security ро-SecuX Seuin^m " ЩеЛКНИТе"* КН ° ПКС AdVanCed - B *>BOM окне Advancedмент об(Д ° П ° лнительные настройки безопасности) выберите нужный элемент(обычно группу) и щелкните на кнопке Edit. Установите флажок Apply ThesePensions To Objects And/Or Containers Within This Container Only (Применять этиполномочия к объектам и/или контейнерам только внутри этого контейнера) Есливам нужно, то вы можете изменить полномочия, прежде чем запретить наследова-Изменение наследуемых полномочий для дочернего объектаS I Z ^ ^ " Родительскому объекту, наследующемус. 15.3).alocslAS20021 \Administratois]Й5 CREATOR OWNER©SYSTEMРис. 15.3. Для этого дочернегообъекта я не могу удалить полномочияExecute для пользователей17-

516 Windows Server 2003. Полное руководствоВы не можете изменять полномочия с затененным флажком, но все же можетевносить изменения в наследуемые полномочия. Вы могли бы, конечно, вноситьизменения в полномочия родительского объекта и затем дочерний объект наследовалбы эти полномочия. Но в большинстве случаев это неразумно и даже опасно.Вы можете выбирать противоположные полномочия (Allow или Deny) для дочернегообъекта. В результате создаются явные полномочия, которые замещаютнаследуемые полномочия. Например, на рисунке 15.3, я мог бы явно запретить(Deny) полномочия Read & Execute.Еще один способ - это щелкнуть на кнопке Advanced (Дополнительно) и выбратьэлемент (пользователь или группа), уровни полномочий которого вы хотитеудалить из наследования (рис. 15.4). Сбросьте флажок, который указывает наследование.Advanced SecuHty Selings forTSTo view more Womvsion about :ресю1 [«moom. ;etect apemwswientiy. and then diet EdaTypeAllowAllowAllowAllowAllowJ NineAdministrators (AS200...SYSTEMCREATOR OWNERUsers lAS2'JO2l4.kerr)Users (AS2C021\USHS)F u l lF u l lF u l l•C o n t r o lC o n l r o lC o n t r o lR e a d H E s e e u t eS p e c i a l| I n h e r e d F r o mD AD AD AD : SI A p r t - T oT h i s f o l d e r , s u b f o l d e r s . . . IT h i s f o l d e t , s u b f o l d e r s . . .S u b f o l d e r s a n d f i b o n l yT h i s f . • • : : • : . >T h i s ( d r a n d s u b f lo l e o: . : E d » : . ; •'-' b"d -эй ^IHI-J otir-'.'. ltr:l.j.J*Г R . ? £ l * : * [ « m - . i - v i * - . i i r « . J O l l c W d c t * H r > r w i f h e n l n i ? ; * o v » l h e r * ' h a " « J t J v t o c M d ' r t i K l s~Рис. 15.4. Вы можете прервать наследование для любого элемента, которыйимеет полномочия в этом дочернем объектеWindows выводит диалоговое окно Security, где описывается, что означает прерываниенаследования и предлагаются следующие три опции.ЛИg « ослоп me ом U131 He c-sera perrniiBjn enine: iha apply roobject; ••-•« r,o IO.TJ« be appbsd to thU t-tieii•T 0 copy ifie jjemisston entries that were ргемоиф appfed («m theTo remove t-*- рятг-мп turns thai >•.?!• p?.K-j:ly applwd ficm tlwparent and keep only those peimbsions explicitly defined here, click•To с эг.ст! tin bc'i.r.ii ckl- L ancel

Глава 15. Файловые системы и функции 517• Сору (Копировать). Дублирование наследуемых полномочий, но теперь это явнозаданные полномочия вместо наследуемых полномочий, поэтому все флажкистановятся доступны и вы можете изменять любые полномочия.• Remove. Удаление всех наследуемых полномочий, и вы должны создать явныеполномочия.• Cancel. Отмена вашего решения.Коррекция полномочийВы можете задавать более детальные настройки безопасности NTFS путем созданиягрупп безопасности и последующего добавления конкретных полномочий дляэтих групп к дискам, папкам и файлам. Пользователи, которым требуется созданныйвами настроенный набор полномочий, могут получать его путем их добавленияв соответствующую группу. Например, вам может потребоваться добавлениегрупп для определенных отделов (бухучет, исследования, ИТ и т.д.) и последующеезадание более сильных полномочий по папкам, которые требуются сотрудникам этихотделов). Это лучше, чем перемещение пользователей в группы административногоуровня, которые дали бы им повышенные полномочия по всем объектам.Создание группы безопасности для настраиваемых полномочийВы можете создать новую группу безопасности для домена и затем включить в этугруппу членов, которым требуются полномочия, назначаемые вами этой группе вопределенных папках. В оснастке Active Directory Users and Computers перейдите куровню, на котором вы хотите создать эту группу. Вы можете создать группу в домене,в организационной единице или в папке домена (например, в папке Users). Выможете даже создать группу в папке Built-in для домена, но обычно я избегаю этого(просто чтобы поддерживать стандартный подход) и создаю мои новые группы впапке Users. Щелкните правой кнопкой на этом контейнере и выберите в контекстномменю пункт New/Group, после чего появится диалоговое окно New Object-Group.Gioupngmt[AccnlgGrant, r,am ipt«

518 Windows Server 2003. Полное руководствователей, это всегда группы безопасности (Security), в том время как группы, которыевы создаете для обмена информацией (например, для вашей программы электроннойпочты), это группы рассылки (Distribution). Область действия групп варьируетсяв зависимости от того, как вы хотите использовать группу, и от текущейконфигурации вашего предприятия.Глобальные группы (Global). В глобальные группы можно включать пользователей издомена. Допускается вложенность глобальных групп, если все эти глобальные группынаходятся в одном домене. Вы можете поместить глобальную группу в локальнуюгруппу на любом сервере. Вы можете также поместить глобальную группу внутрилокальной группы доверяемого домена (а это на самом деле означает, что вы можетепоместить глобальную группу почти всюду в лесу).Локальные в домене группы (Domain local). Локальные в домене группы - это глобальныегруппы, которые нельзя поместить в локальные группы доверяемых доменов.Иначе внутри их собственного домена вы можете создавать их в группах другихтипов.Если вы создаете группу на компьютере, который не является контроллером домена,то можете также выбрать тип группы «local». Эта группа существует только наданном компьютере, и в нее можно включать только локальных пользователей..Универсальные группы. Универсальные группы (Universal) имеют намного большевозможностей, поскольку они обладают намного большей гибкостью относительнообъектов, внутри которых они могут находиться и которые они могут содержать.• Вы можете поместить в любую универсальную группу любую глобальную группуиз любого домена.• Вы можете поместить любую универсальную группу в любую другую универсальнуюгруппу.• Вы можете поместить любую универсальную группу в любую локальную илилокальную в домене группу.Опция создания универсальной группы недоступна, пока ваш домен не станетработать в собственном режиме (native mode), когда все контроллеры домена работаютпод управлением Windows 2000 или Windows Server 2003. Более подробную информациюпо созданию, использованию и управлению группами см. в гл. 20.Добавление группы к объекту и задание полномочийПосле того, как вы создали и заполнили группу, для которой хотите задать специализированныеполномочия, вы можете добавить эту группу к списку элементов,которые имеют набор полномочий для определенного объекта, используя следующиешаги.1. Во вкладке Security щелкните на кнопке Add, чтобы открыть диалоговое окноSelect Users, Computers, or Groups.2. Введите имя группы, для которой хотите задать полномочия.3. Щелкните на кнопке ОК, чтобы добавить эту группу в список Group или в списокимен пользователей.После добавления группы в список вкладки Security вы можете задать полномочия.Щелкните на флажке Allow или Deny рядом с полномочиями, которые вы хотитеразрешить или запретить. Затем щелкните на кнопке ОК.

Глава 15. Файловые системы и функции 519Действующие полномочия (Effective Permissions)В Windows Server 2003 введена удобная возможность: во вкладке Security диалоговогоокна свойств объекта выводятся действующие полномочия для пользователей игрупп, которые определены для этого объекта. Это не является чем-то новым, ивсегда являлось важным фактором в определении доступа для заданного пользователя,но теперь вы можете видеть эту информацию вместо ее определения собственнымисредствами. Действующие полномочия - это «реальные» полномочия, которыеполучает пользователь в соответствии с его членством в группах,Щелкните на кнопке Advanced диалогового окна Security и перейдите во вкладкуEffective Permissions. Щелкните на кнопке Select, введите имя пользователя илигруппы и щелкните на кнопке ОК. Соответствующие флажки будут указывать действующиеполномочия пользователя или группы по этому объекту.Эти полномочия рассчитываются с учетом членства в группах и наследуемыхполномочий. Система также просматривает все доменные и локальные группы, вкоторые включен данный пользователь или группа. Полномочия разделяемого доступав этом расчете не учитываются.Учет значения Deny для полномочийЕсли вы просматриваете действующие полномочия для определенного пользователя,и результаты вас не устраивают или если пользователь жалуется на недостаточныеправа, проверьте все полномочия по данному объекту, чтобы увидеть, не выбраноли значение Deny для определенных полномочий для какой-либо группы.Большинство администраторов используют значение Deny, чтобы переопределитьполномочия, которые они считают слишком широкими для определенной группы.Однако эти действия могут оказаться опасными, если вы не понимаете, что полномочиясо значением «deny» учитываются в первую очередь, когда Windows определяет,может ли определенный пользователь выполнять конкретную задачу. Есливстречается значение Deny, это может означать, что другие назначенные права, возможно,не учитываются.Избегайте использования явных полномочий Deny кроме тех случаев, когда увас нет иного способа получить конкретный уровень полномочий, которые требуютсядля определенной группы. Затем тщательно проверьте наследуемые полномочияи убедитесь, что ваши полномочия «deny» не подавляют базовые полномочия,такие как Read.

Глава 16Управление файламии дискамиWindows Server 2003 содержит много возможностей и средств, обеспечивающих выполнениедвух функций: упростить доступ пользователей к тому, что требуется длявыполнения их работы, и упростить администраторам защиту и управление ресурсами,которые используют пользователи. В этой главе рассматриваются средствауправления дисками и файлами, встроенные в Windows Server 2003.Распределенная файловаясистема DFS(Distributed File System)DFS — это на самом деле не файловая система, но она действует аналогично файловойсистеме. DFS - это способ представления для пользователей логической иерархическойструктуры в виде файловой системы, даже если компоненты этой файловойсистемы разбросаны по сети предприятия. DFS устанавливается автоматически вместес Windows Server 2003, и запуск службы DFS тоже происходит автоматически.В каких случаях использовать DFS?Лучше всего показать необходимость в DFS на реальном примере, поэтому я привожуздесь сценарий, который существовал, когда я устанавливал мою первую системуDFS. У моего заказчика был отдел кадров, который был разбит на несколько отделов,разбросанных по нескольким точкам. Каждый отдел сохранял документы на различныхфайл-серверах в различных папках (директориях), которые содержали конкретныетипы документов. Некоторые папки не были доступны пользователям (например,записи платежных ведомостей), но большинство папок были доступны.Например, пользователи имели доступ к документам, где описывался пенсионныйплан компании, пакет льгот, правила и инструкции для служащих, формы подачизаявлений на работу (доступные также посетителям из интернета) и т.д.Сотрудник, который хотел просмотреть какой-либо документ, должен был отправитьсообщение электронной почты в отдел кадров, который отвечал соответствующимвложением. Документы открывались в виде форм, заполнялись и возвращалисьэлектронной почтой, после чего они пересылались соответствующемуспециалисту отдела кадров. Работники отдела кадров жаловались, что им приходитсятратить слишком много времени на поиск нужных документов и работу с электроннойпочтой. Администратор Exchange Server был недоволен размерами почтовыхящиков, которые приходилось выделять для всех вложений.Отдел информационных технологий (ИТ) разослал всем сотрудникам по электроннойпочте список доступных для них документов, а также UNC-пути к этим до-

Глава 16. Управление файлами и дисками 521кументам, и некоторые сотрудники действительно стали это использовать. Этотсписок был включен во все ответы, которые направлялись сотрудникам, продолжавшимобращаться в отдел кадров, и в конце концов каждый сотрудник, которомутребовался определенный документ или было нужно заполнить online-форму, сталобращаться к соответствующим папкам. Некоторые сотрудники даже создали отображаемыенакопители для часто используемых документов (например, для новойзаполняемой формы, где вводилось количество отработанных часов).Однако эта система начала «разваливаться» из-за добавления новых серверов,замены серверов компьютерами, которые имели другие имена, перемещения папокмежду серверами и увеличения типов документов, которые часто распространялисьна предприятии по мере роста компании.DFS позволила разрешить все эти проблемы, поскольку при использовании DFSдоступ уже не зависит от указания точного UNC-пути, а это означает, что администраторымогут заменять серверы и перемещать документы прозрачным образом, а сотрудникивидят только одну иерархическую структуру для всех папок и документов.Папки и документы, доступ к которым осуществляли тысячи пользователей, сталидублироваться на несколько серверов, репликация DFS позволила поддерживать всюинформацию на уровне текущего состояния, и пользователи стали видеть одну общуюиерархию (представляющую несколько географически разнесенных точек).В случае вашего предприятия вместо документов отдела кадров может потребоватьсядоступ к информации бюджета, ежегодного отчета, к документации для запросовк справочной системе или к множеству документов, находящихся в различныхместах.Терминология DFSЧтобы планировать реализацию DFS, вы должны ознакомиться со следующими компонентамиDFS.• Корень (Root). Имя (на языке DFS - пространство имен), которое видят пользователи.Это начальная точка иерархии DFS. Корень может иметь подпапки (однуили несколько так называемых корневых целей [root target]), каждая из которыхсоответствует разделяемой папке на каком-либо сервере. Вы можете иметь несколькокорней в рамках вашего предприятия при соблюдении следующих правил.• Версия Windows Server 2003 Standard Edition позволяет размещать на каждомсервере только один корень.• Версии Windows Server 2003 Enterprise Edition и Datacenter Edition позволяютразмещать несколько корней на каждом сервере.• Ссылка (Link). Элемент, который находится под корнем и представляет отображениена цели, каждая из которых является либо разделяемой папкой на какомлибосервере, либо другим корнем DFS.• Цель (Target). Место, которое указывается ссылкой (папка, которая была предоставленадля разделяемого использования на каком-либо сервере).• Список ссылок (Referral). Список целей, который получает клиент от DFS, когдасоответствующий пользователь выполняет доступ к корню или ссылке в пространствеимен DFS. Этот список не виден клиенту, и он кэшируется на клиентскомкомпьютере на период времени, указанный в конфигурации DFS.• Реплика (Replica). Идентичный разделяемый ресурс на другом сервере. Эти дваразделяемых ресурса группируются в виде одной ссылки (и называются члена-

522 Windows Server 2003. Полное руководствоми-репликами DFS). Реплика может быть корнем или ссылкой. Если вы конфигурируетереплики, синхронизацию их содержимого обеспечивает служба FRS(File Replication Service - Служба репликации файлов). Реплики обеспечиваютбалансирование нагрузки и отказоустойчивость для вашей системы DFS.Автономная DFS и доменная DFSWindows Server 2003 позволяет реализовать два типа DFS: автономную (stand-alone)и доменную (domain-based) DFS. Доменная DFS размещается в Active Directory,поэтому, если вы используете компьютеры Windows Server 2003 в сети без ActiveDirectory, то можете реализовать только автономную DFS. Даже если у вас работаетActive Directory, вы можете использовать автономный корень DFS, но для оченькрупных предприятий более разумно (с получением больших возможностей) использоватьдоменную DFS.Автономная DFSВ автономной системе корень хранится на хост-сервере, и путь доступа к корню(или ссылка) начинается с имени этого хост-сервера. Автономный корень имееттолько одну корневую цель, и не может быть ни одной репликации. Если корневаяцель недоступна, то недоступно все пространство имен DFS.ДоменнаяDFSВ случае доменной DFS данные конфигурации хранятся в Active Directory, и путьдоступа к корню (или ссылка) начинается с имени этого домена. Корень доменнойDFS может иметь реплики, и вы можете задавать расписание репликации. Репликациявыполняется службой FRS (File Replication Service), которая используется каксредство репликации для Active Directory и DFS.В доменной DFS отказоустойчивость обеспечивается службой FRS, которая автоматическиперемещает пользователей к данным реплики. Балансирование нагрузкиобеспечивает DFS, и для этого не требуется использование службы WindowsNetwork Load Balancing. В случае доменной DFS пользователи не знают, какие серверысодержат разделяемые папки, и они не знают, какие серверы содержат системуDFS. Все происходит прозрачным образом.Создание корня DFSПрежде чем предоставить разделяемые ресурсы DFS для разделяемого доступапользователей, вы должны создать корневой объект DFS. Это объект-контейнер:он содержит ссылки на разделяемые ресурсы и файлы, к которым выполняют доступпользователи. Для создания корня у вас запрашивается ввод имени разделяемойпапки на данном сервере, в которой будет содержаться корень, и эта папка должнабыть пустой: она существует только для предоставления корня, но недокументов. (Если разделяемой папки не было до создания корня, то вы можетесоздать эту папку и предоставить ее для разделяемого использования непосредственнопри создании корня.)Компьютер, который будет содержать создаваемый корень, должен отвечать следующимкритериям.• Этот компьютер должен быть сервером (рядовым сервером или контроллеромдомена).• На этом компьютере должна действовать файловая система NTFS.

Глава 16. Управление файлами и дисками 523Чтобы создать корневой объект, выберите Distributed File System в менюAdministrative Tools (Администрирование), после чего появится оснастка DFS. Щелкнитеправой кнопкой на объекте Distributed File System в дереве консоли и выберитепункт New Root (Создать корень), чтобы запустить мастер New Root Wizard.Щелкните на кнопке Next, чтобы пройти через начальное окно, и затем выберитевариант Stand-alone root (Автономный корень) или Domain root (Доменный корень).Создание автономного корня DFSЕсли вы создаете автономный корень DFS, то в следующем окне мастера нужноуказать хост-сервер. Введите имя компьютера для сервера, который будет содержатькорень, или щелкните на кнопке Browse (Обзор), чтобы выбрать этот сервер изсписка компьютеров. Щелкните на кнопке Next, затем введите имя корня (поле Rootname) и (при необходимости) описание (поле Comments), см. рис. 16.1.Отметим, что мастер автоматически показывает полный путь, начиная с именисервера и используя введенное вами имя корня как имя папки в конце пути. Мастерне проверяет, существует ли разделяемый ресурс с этим именем, пока вы не щелкнетена кнопке Next. Если имя вашего корня - это имя разделяемого ресурса длякакой-либо папки на целевом компьютере, то этого вполне достаточно на данныймомент. Щелкните на кнопке Next и затем щелкните на кнопке Finish, чтобы создатькорень автономной DFS.Если имя вашего корня не совпадает с именем какого-либо разделяемого ресурсана целевом компьютере, то после щелчка на кнопке Next вам будет предложеносоздать разделяемый ресурс, соответствующий имени корня.New ftoot WizardRootShaieThe specifiedsharedoes not exist.Create anewshare at the folowing location...

524 Windows Server 2003. Полное руководствоRootNameYoumust provide a uniquename foi eachDFS root.Type a uraif jename faThis ractIIРис. 16.1. Введите имя корня; это имя будут видеть пользователи вверху иерархииDFS• Введите полный путь, используя имя новой (еще не существующей) папки наданном компьютере. Имя этой новой папки не обязательно должно совпадать сименем корня, поскольку с корнем связывается только имя разделяемого ресурса.Мастер выведет сообщение, где говорится, что данная папка не существует,и спросит, хотите ли вы создать ее. Щелкните на кнопке Yes, чтобы мастер создалэту папку и сделал ее разделяемым ресурсом, используя имя корня для имениэтого разделяемого ресурса.• Щелкните на кнопке Browse и раскройте иерархию целевого компьютера. Выберитепапку, чтобы мастер сделал ее разделяемым ресурсом, используя имя корнядля имени этого разделяемого ресурса.• Щелкните на кнопке Browse, выберите родительскую папку для новой папки,которую вы хотите создать (это может быть сам диск или существующая папка)и щелкните на кнопке Make New Folder (Создать папку). Задайте имя папки, имастер сделает ее разделяемым ресурсом, используя имя корня для имени этогоразделяемого ресурса. (Вы не обязаны использовать имя корня/разделяемогоресурса для имени этой новой папки, поскольку с корнем связывается толькоимя разделяемого ресурса.)В следующем окне мастера щелкните на кнопке Finish, чтобы создать автономныйкорень и поместить его запись в дереве консоли оснастки Distributed File System.Поскольку вы создали автономный корень, это единственная цель, которую выможете создать для своего корня (но доменные корни могут содержать несколькоцелей).Создание доменного корня DFSЕсли вы выбрали создание доменного корня, то мастер попросит вас выбрать домен(список доступных доменов выводится в диалоговом окне Trusting Domains [Доверяемыедомены]). В следующем окне мастера введите имя компьютера, содержащегопапку для вашего корня, или щелкните на кнопке Browse и выберите нужный

l v e n s C o r p - 1n a m e h t s h e t o o tP r e v i e w c l i J H C p a t h M l l w r o C .; . : , , • . • . - • . !Глава 16. Управление файлами и дисками 525сервер из списка компьютеров. При непосредственном вводе имени вы можете ввестиимя NetBIOS или FQDN (полностью уточненное доменное имя); мастер автоматическирасширит имя NetBIOS до FQDN.Щелкните на кнопке Next, задайте имя корня и (при необходимости) описание.Как видно из рисунка 16.2, мастер автоматически выводит путь, используя формат\\Имя_Домена\Корень. Имя сервера не включается, поскольку это доменный, а неавтономный корень.Hew Root WizardRootNameYoumust provide auniquename foteachDFS root.Рис. 16.2. В путь к доменному корню не включается имя сервера, содержащегосейчас эту разделяемую папку, поскольку вы можете в любой момент сменитьсерверИменно в этом заключаются дополнительные возможности доменных корней:то, что корень не связывается с сервером, означает, что вы можете перемещать разделяемуюпапку данного корня на другой сервер или даже дублировать ее на несколькосерверов. Пользователи увидят корень, который вы создаете, а также путьк нему в домене, a DFS будет отслеживать ваши изменения, чтобы обеспечиватьподсоединение пользователей.Мастер не проверяет, существует ли разделяемый ресурс с этим именем, покавы не щелкнете на кнопке Next. Если имя вашего корня - это имя разделяемогоресурса для какой-либо папки на целевом компьютере, то этого вполне достаточнона данный момент. Щелкните на кнопке Next и затем щелкните на кнопке Finish,чтобы создать корень доменной DFS.Если имя вашего корня не совпадает с именем какого-либо существующего разделяемогоресурса на целевом компьютере, то после щелчка на кнопке Next вамбудет предложено создать разделяемый ресурс, соответствующий имени корня. Выможете создать имя разделяемого ресурса, которое соответствует имени корня, однимиз следующих способов.• Введите полный путь к существующей папке на данном компьютере. Мастерсделает эту папку разделяемым ресурсом, используя имя корня для имени этогоразделяемого ресурса.

526 Windows Server 2003. Полное руководство• Введите полный путь, используя имя новой (еще не существующей) папки наданном компьютере. Имя этой новой папки не обязательно должно совпадать сименем корня, поскольку с корнем связывается только имя разделяемого ресурса.Мастер выведет сообщение, где говорится, что данная папка не существует,и спросит, хотите ли вы создать ее. Щелкните на кнопке Yes, чтобы мастер создалэту папку и сделал ее разделяемым ресурсом, используя имя корня для имениэтого разделяемого ресурса.• Щелкните на кнопке Browse и раскройте иерархию целевого компьютера. Выберитепапку, чтобы мастер сделал ее разделяемым ресурсом, используя имя корнядля имени этого разделяемого ресурса.• Щелкните на кнопке Browse, выберите родительскую папку для новой папки,которую вы хотите создать (это может быть сам диск или существующая папка)и щелкните на кнопке Make New Folder. Задайте имя папки, и мастер сделает ееразделяемым ресурсом, используя имя корня для имени этого разделяемого ресурса.(Вы не обязаны использовать имя корня/разделяемого ресурса для имениэтой новой папки, поскольку с корнем связывается только имя разделяемогоресурса.)Щелкните на кнопке Next, чтобы увидеть сводку настроек для корня DFS. Щелкнитена кнопке Finish (или вернитесь назад для внесения любых необходимых поправок),чтобы создать корень и поместить его как объект в дерево консоли оснасткиDistributed File System.Добавление ссылки к корнюНа данный момент у вас есть пустой корень DFS, а это означает, что вы имеетенекоторое пространство имен DFS. Далее будут описываться остальные шаги, впредположении, что вы формируете доменный корень DFS. (Для автономного корнявыполняются аналогичные шаги, но объем работы намного меньше.)Чтобы использовать этот разделяемый ресурс, вы должны наполнить его содержимым.Это означает, что нужно создать одну или несколько ссылок для данногокорня. Ссылка - это указатель на цель, которой обычно является папка, содержащаядокументы, которые вы хотите сделать доступными через DFS. Это аналогичноссылке на веб-страницу: вы щелкаете на ней, чтобы перейти в другое место (вместоввода пути к этому месту).Ваша ссылка должна иметь имя, которое описывает содержимое ее цели. Например,если вы создаете ссылку на цель, содержащую документы, которые требуютсявашему отделу бухучета для формирования бюджета компании, то вы можетеназвать эту ссылку Budget.Щелкните правой кнопкой на корне DFS, который вы создали, и выберите вконтекстном меню пункт New Link (Создать ссылку), после чего появится диалоговоеокно New Link (рис. 16.3). Затем выполните следующие шаги.1. В поле Link Name (Имя ссылки) укажите разделяемый ресурс, который используетэто имя ссылки. Разделяемым ресурсом может быть любой сервер в сети.Если вы не создали и не сделали разделяемой эту папку заранее, то сможете создатьее в ходе процесса. Однако в большинстве случаев ссылки указывают нацели, которые являются разделяемыми ресурсами, содержащими файлы.2. В поле Path to Target (Путь к цели) введите UNC-путь к разделяемому ресурсудля этой ссылки (\\Имя_сервера\Имя_разделяемого_ресурса).

Глава 16. Управление файлами и дисками ;27Рис. 16.3. Сконфигурируйтессылку на сетевые разделяемыересурсы, доступ к которым хотитепредоставить пользователям[\\TSSERV\Humanfies-«c-Hn"pubfeal,ons an:I—I"•^•^^^^^^•^•Иi8Do 4!Если вы создали этот разделяемый ресурс заранее, то введите UNC-nvrb или* ~ е Browse > -обы открыть окно с иерархией сетевогоТр^ илиния (My Network Places) и выбрать разделяемый ресурсТ В ГмоГС О З Д Мможете создать разделяемый ресурс.3. Введите описание ссылки (это не обязательное поле)ВТГ В Р е М Я т а Й Мня Рразделяемый ресурс. По истечении этого времениклиент должен снова выбрать этот разделяемый ресурс из корня DFS. Сличениевремени кэширования ссылки означает, что клиент не увидит старойаГ1 0 Г Д а ВеРНеТСЯ КЭТ0МУ раздел рхГ1иУ Р-УРСУ- Д ссылок, указывающих на цели, содержимое которых изменяется достаточно Д часто, используйте 'небольшие значения тайм-аута кэширования, чтобы клиенты всегда ввдели тос!леднее состояние содержимого, когда они осуществляют доступ к этой целиOislributpd File SystemЩелкните на кнопке Yes, чтобы создать соответствующую папку на целевом севвере и автоматически сделать ее разделяемым ресурсом^, которой Z^вводите'становится одновременно именем папки и именем разделяемого ресурса.)—ателей (включая обычно

528 Windows Server 2003. Полное руководствоОтображение букв накопителей на кореньдля пользователейПользователи не могут переходить к папкам в вашем доменном корне DFS обычнымобразом, например, используя Windows Explorer (Проводник) или UNC-путь,который указывает любую конкретную папку. Ведь папка может оказаться в средуне в том месте, где она была в понедельник. Кроме того, если вы создаете репликивашей иерархии DFS, то система DFS может справляться с задачами балансированиянагрузки, чтобы ссылки пользователей не перегружали определенный сервер.Не зная в точности, где находится папка и ее данные, пользователи должны выполнятьдоступ к корню DFS, что осуществляется путем отображения букв накопителей.Вы можете предоставить инструкции пользователям или можете отображатьбукву накопителя на корень в сценарии входа. Это можно сделать с помощью следующейкоманды: net use буква_накопителя: \\Имя_домена\Имя_корня_ОЕ8.Управление DFSПодробное описание всех возможностей DFS выходит за рамки изложения этойкниги (этой информацией можно заполнить целую книгу), но стоит, видимо, упомянутьнекоторые другие функции, который вы можете добавить в свою структуруDFS. Все команды, которые вам требуются, можно использовать в оснасткеDistributed File System.РепликиDFSВы можете создавать реплики ваших корней и целей DFS на других серверах. Приотказе одного из серверов пользователи по-прежнему будут получать доступ к ихфайлам (функции перехода по отказу выполняются службами DFS и FRS). Крометого, DFS управляет балансированием нагрузки для дублированных наборов папок.Щелкните правой кнопкой на ссылке, которую хотите дублировать, и выберитепункт New Replica (Создать реплику). В появившемся диалоговом окне укажитеместоположение разделяемой папки, которая является репликой исходной ссылки,и выберите метод репликации. Вы можете задавать расписание и управлять репликациейFRS непосредственно из оснастки DFS.Используйте окно консоли Distributed File System, чтобы управлять объектами ввашем дереве DFS. Вы можете использовать панель инструментов, чтобы удалитьссылку, перевести ссылку в автономное состояние, проверить состояние репликации,удалить ссылку из пространства имен, добавить реплики или задать политикурепликации.Следите за изменением содержимого и корректируйте ссылки, чтобы поддерживатьэффективность. Если ссылка часто используется и содержимое часто изменяется,уменьшите интервал времени тайм-аута кэширования, чтобы пользователиполучали самую последнюю версию файла, к которому выполняют доступ. Еслисодержимое меняется нечасто (например, папка, содержащая эталонные документы),увеличьте тайм-аут кэширования, чтобы снизить сетевой трафик.Использование DFS в вашей сети может иметь любой уровень сложности и охвата.Я рекомендую создать DFS в тестовых условиях (наиболее подходящий набор -два сервера и один клиент). Чем больше вы экспериментируете с DFS, тем лучшепонимаете ее возможности. Вы обнаружите новые способы, позволяющие активноиспользовать возможности этой мощной системы.

Глава 16. Управление файлами и дисками 529Теневые копии разделяемых папокИспользование теневых копий (новое средство, появившееся в Windows Server 2003)позволяет вам конфигурировать систему для перемещения копий содержимого разделяемыхпапок в другую (теневую папку), чтобы хранить копию каждого документав его текущем состоянии. Процесс копирования запускается в определенныемоменты времени (расписание может задаваться администратором), и он извлекаетсодержимое папок на этот момент времени.Пользователи продолжают работать с текущей версией существующих документовв исходной папке, но могут выполнять доступ к теневой папке для просмотрапредыдущих версий документов. Это означает (кроме получения информации предыдущихверсий), что предыдущие версии измененных документов можно восстанавливать,если они были перезаписаны по ошибке.Чтобы использовать теневые копии, у вас должно быть не менее 100 Мб свободногоместа на томе. Вы начинаете с включения этого средства, создаете расписаниекопирования файлов из разделяемой папки в теневую папку и предоставляете пользователямпрограммное обеспечение (ПО) для просмотра теневых копий. Все эти задачиописываются в данном разделе.Активизация теневых копийВы можете активизировать это средство только для всего тома, но не для отдельныхразделяемых папок. При создании теневых копий включаются все разделяемые папкиданного тома. Чтобы активизировать том Windows Server 2003 для создания теневыхкопий, выполните следующие шаги.1. Щелкните правой кнопкой на объекте-томе в окне My Computer или WindowsExplorer и выберите в контекстном меню пункт Properties (Свойства).2. Перейдите во вкладку Shadow Copies (Теневые копии).Hardware I Shanng.:t Г.^ QuotaShadow copies alow users to view the contents of shared folders; as the contents existed at previous points in time. For information onrequired client software, click here.Select avolume:Volume Next R u n Time 1 ! Shares U s e djEnabte ]Settings. r.Shadow; copies of s

530 Windows Server 2003. Полное руководство3. Щелкните на кнопке Enable (Включить).4. Windows выведет сообщение, где вы должны подтвердить ваши действия, а такжеуказывается, что система будет использовать расписание по умолчанию дляподдержки теневых копий. Вы сможете изменить расписание позже, поэтомущелкните на кнопке Yes.fn«ble Shadow CopiesIIyou enatle rtadcw coc«;. Vmoo-r ltd u-.r *« «»Jscheduleand :K*VJS. srejcieaie »ilvsdowcopy d th«be you nvi io tnsble itodow сорт?th ,н ,э»ga rj5. Для создания теневых копий требуется всего лишь несколько секунд, после чегов диалоговом окне выводится текущая (по умолчанию) статистика:• следующий момент времени, запланированный для копирования (в данномслучае это будут первые создаваемые копии);• количество разделяемых папок на томе;• размер пространства, выделенного для теневых копий.На этот момент у вас будет активизировано создание теневых копий и вы сможетесконфигурировать настройки и распространять соответствующее клиентское ПО.Вы можете запланировать изменение времени копирования теневых копий, ноесли вы не хотите ждать следующего автоматического копирования, то щелкнитена кнопке Create Now (Создать сейчас). Система выполнит копирование содержимогоразделяемых папок. И не имеет значения, работают ли пользователи с документами,поскольку это не стандартный процесс копирования и на экране не появитсясообщение, что какой-либо файл в данный момент используется.Конфигурирование теневых копийЧтобы задать размер пространства для теневых копий и частоту копирования, щелкнитена кнопке Settings, чтобы открыть диалоговое окно Settings, см. рис. 16.4.Конфигурирование области храненияПо умолчанию Windows Server 2003 задает размер области хранения (Storage area)для теневых копий, составляющий приблизительно 10% от размера тома, где находятсяразделяемые папки, с минимальным размером 100 Мб. Чтобы увидеть объемпространства, занимаемого текущим набором теневых папок, щелкните на кнопкеDetails (Подробно).Если на сервере имеется два тома и только один можно использовать для хранениятеневых копий, то вы можете выбрать для этого другой том. Просто выберитеэтот том из раскрывающегося списка вверху диалогового окна (если на сервере имеетсятолько один том, то раскрывающийся список затенен, то есть недоступен).Вы можете изменить максимальный размер области хранения или вообще отказатьсяот ограничений. Используйте следующие сведения для конфигурированияобласти хранения.

.. ' • ' — - • - . . .t i S s h e d u t e . . . J i |Глава 16. Управление файлами и дисками S41шшш1шшш 1 .;• • i !IМ»»г,«г, JMГ. NO МMole You need ai leM 1 «MP tree iw> „• 1.«- л3515 ;MB:Рис. 16.4. Настройка средствасоздания теневых копий всоответствии с требованиямипользователя!: .S.ch«Ue •.,'.,.,. Г . ;: ":У 'Л- -/\V •Nole Tte default schediJe ciwJe» I-» screAfeig »n*oow cope^i rnofe (т«э*п1Ь i bedow соте^ pe ds^ A-. ?d:' ::....:,111 1ЖЙ:•- : - if Cancel 1:• Для каждой теневой копии используется размер в байтах, равный суммарномуобъему в байтах скопированных документов.• Каждый раз, когда создается теневая копия, она сохраняется в виде отдельнойединицы хранения. Это означает, что несколько копий могут иметь одинаковоесодержимое в зависимости от частоты расписания копирования• Если достигнут максимальный размер области хранения, самая старая теневаякопия удаляется, чтобы освободить место для текущей копии. При необходимостиудаляются сразу несколько старых теневых копий.Конфигурирование расписанияПо умолчанию Windows Server 2ОЛЗ планирует копирование на 7 утра и на полденькаждый рабочий день. Вы можете изменять это расписание на любые дни недели имоменты в течение дня. Для этого щелкните на кнопке Settings и затем на кнопкеbcnedule (Расписание), чтобы открыть диалоговое окно, показанное на рис 16 5Текущие запланированные процессы копирования включены в раскрывающийсясписок вверху этого диалогового окна. Чтобы удалить какое-либо запланированноекопирование, выберите его в этом списке и щелкните на кнопке Delete (Удалить)Чтобы добавить в расписание новые моменты копирования, используйте поляэтого диалогового окна. Щелкните на кнопке Advanced (Дополнительно) чтобызапланировать особое копирование или несколько особых копирований на периодс начальной даты до конечной даты. Ваше расписание будет записано в Планировщикзадании (Task Scheduler) Windows Server 2003.Совет. Не задавайте слишком частое копирование, так как это может вызывать заполнениеобласти хранения теневых копий быстрее, чем будут вноситься измененияв соответствующие документы, что может лишить смысла использование этогосредства.

532 Windows Server 2003. Полное руководствоI. A( ?:00AM even) Mon, Tue. Wed; Thu Fri of even week, staidРис. 16.5. Внесение измененийв расписание созданиятеневых копийSchedule Task: Start time:jWeekly v I 7:00AM:• Schedule Jc$k V/eekl-.Every 1 Щ\week(s) on: jgj Mon П SatElTue ED SunS:i#\:ffi|:.V:Ei WedElThuОтключение средства создания теневых копийЕсли вы больше не хотите использовать пространство на диске для хранения теневыхкопий, вернитесь во вкладку Shadow Copies диалогового окна Properties данноготома, выберите соответствующий том и щелкните на кнопке Disable (Отключить).Все текущие наборы теневых копий будут удалены, и будут отменены все настройки.Запись задания для создания теневых копий будет удалена из Task Scheduler.Если вы хотите удалить том, изменив разбиение на разделы соответствующегодиска (обычно это делается, чтобы объединить этот том с другим томом на том жедиске), то вы должны сначала удалить задание из Task Scheduler или отключить созданиетеневых копий. В противном случае журнал событий будет заполнен сообщениямио невозможности запуска этого задания.Установка клиентского ПО для создания теневых копийВ отсутствие установленного экземпляра Previous Versions Client (Клиент предыдущихверсий - имя клиентского ПО для работы с теневыми копиями) никто (включаяадминистратора) не может просматривать теневые копии документов в обычныхсистемных окнах (My Computer, Windows Explorer или в диалоговом окне Openкакого-либо приложения). Это ПО предустанавливается в Windows Server 2003, нодолжно быть установлено на других компьютерах сети.В Windows Server 2003 включено клиентское ПО только для Windows XP. Для версийWindows 98 SE и последующих версий вы можете загрузить это ПО с веб-сайтаMicrosoft.Клиентское ПО для Windows XP, twcli.msi, находится в папке %SystemRoot%\System32\clients\twclient\x86 на вашем компьютере Windows Server 2003.Вы можете переместить это клиентское ПО в какую-либо сетевую точку разделяемогодоступа и уведомить пользователей о возможности его считывания, разос-

Глава 16. Управление файлами и дисками 533лать это ПО электронной почтой всем пользователям, которым оно требуется, выполнитьего развертывание с помощью SMS или использовать групповые политикидля его распространения. Обязательно объясните пользователям, для чего устанавливаетсяэто средство и как его использовать.Установка этого ПО на клиентских компьютерах занимает всего лишь несколькосекунд и не требует вмешательства пользователя кроме щелчка на кнопке Finishпо окончании установки. В меню Programs не появляется никаких записей (хотя ваплете Add or Remove Programs Панели управления [Control Panel] появляется строкадля Previous Versions Client). Это ПО не содержит какой-либо исполняемой программы:вместо этого после установки появляется дополнительная вкладка PreviousVersions (Предыдущие версии) в диалоговом окне Properties для любой разделяемойпапки на томе, который активизирован для теневых копий.Доступ к предыдущим версиям файловНа клиентском компьютере вы можете получать доступ к предыдущим версиямфайлов, работая с полной теневой копией для конкретной даты и времени, котораяназывается версией, или с отдельным файлом внутри версии.Работа с версиямиДля работы с какой-либо версией (с теневой копией вместо отдельного файла) выдолжны выбрать эту версию во вкладке Previous Versions диалогового окна Propertiesнужной папки. Отображаемый накопитель (при щелчке на котором происходит автоматическоеоткрытие папки для просмотра ее содержимого) в данном случае неподходит; вы должны открыть объект-папку, чтобы появилось диалоговое окноProperties. Это выполняется в окне сетевого окружения My Network Places илиNetwork Neighborhood. Поскольку это разделяемая папка, ее объект появляется, когдаклиент открывает компьютер Windows Server 2003.Чтобы выбрать версию, щелкните правой кнопкой на объекте-папке и выберитев контекстном меню пункт Properties. Перейдите во вкладку Previous Versions, гдевы увидите список версий, см. рис. 16.6.Просмотр файлов в версии. Щелкните на кнопке View (Просмотр), чтобы увидетьсписок файлов в выбранной версии. В список включены все файлы из исходнойпапки, но нет никакого способа, чтобы определить, какие файлы были изменены.? BudgclHlrsun А*ЛШ1 (bd.iy. fchru.ity О». Л)03. 6:29 AM) |_ ||С |Х|File Edit View Favortes Tools HelpI A:!t ••.-. \j \\Asaw:i\eudgetFte(Toifay. Febru*y 0VM03, 6:29AM) " fcj vio; l,i.doc Ш 4a,doc:: Ш lb.doc l~) 5a.doc' И 3a.doc §| I2A.doОткройте файл, чтобы увидеть его содержимое; вы увидите содержимое на моментсоздания этой теневой копии. Если вы хотите узнать, отличается ли от этойверсии текущая версия файла, то должны открыть соответствующую разделяемуюпапку и сравнить содержимое. (Имеется более простой способ, см. ниже раздел «Работас отдельными файлами».)

" g l D e s k t o pl o « M a r . v s u b t ' o k t e r s . . : ! » : ! З p l u s s . g n j b o v f .M a k e N e w F o l d e r l i l l l C o p y534 Windows Server 2003. Полное руководствоРис. 16.6. Выберите версию, гдесодержится нужный вам файлi General^ Security; PieviousVersions [Customize;:'--'.-': \.Toview aprevious version of a folder, select theШ versionfrom the folowing listandthen click View.Youcan alsosave a folder to a diferent locationor restore;-: a previous version Ы a folder.Folder versions::• :BudgeiFilesг£ BudgeiFilesT in 1Today. Febiuaiy 09,2003.6:29AMYesterday. Februaiy 08.2003,3:20PMFriday. Febuary 07.2003.4:48PMFriday. Febuary 07.2003.12:00PMFriday. Febiuaiy 07. 2003.10:50AMView j [ Copy.I Restore IВы не можете внести изменения в эту копию, поскольку она доступна только почтению. Но вы можете использовать функцию Save As (Сохранить как), чтобы скопироватьфайл в другое место (по умолчанию в папку My Documents на локальномкомпьютере).Копирование версии в другое место. Если вы хотите работать со всеми файлами вопределенной версии, то выберите эту версию и щелкните на кнопке Сору (Копировать),чтобы открыть диалоговое окно Сору и выбрать место для копирования.Все файлы будут скопированы в выбранную вами папку, поэтому вам может потребоватьсясоздание новой папки для этой специальной группы файлов.S»lf.t thf fljtf «her? youwant tocopy Trij

Глава 16. Управление файлами и дисками 535чрезвычайно опасная операция, если у вас нет серьезной причины к отмене всейработы, выполненной с этими файлами с момента создания выбранной версии. Помоему мнению, единственной причиной может стать исчезновение всех файлов этойразделяемой папки (обычно в результате их случайного удаления).Работа с отдельными файламиВ большинстве случаев вам потребуется работа с отдельными файлами определеннойверсии, а не со всей версией. Возможно, вам требуется возврат к предыдущейверсии содержимого файла или, может быть, вы хотите увидеть отличия в содержимоммежду текущим файлом и его версией, которая была сохранена раньше. Доступк предыдущей версии определенного файла выполняется следующим образом.1. Откройте разделяемую папку (используя отображаемый накопитель, UNC-путьили просмотр из окна My Network Places/Network Neighborhood).2. Щелкните правой кнопкой на строке данного файла и выберите в контекстномменю пункт Properties.3. Перейдите во вкладку Previous Versions..•.:-.:.:.. •; ,. : :-щлш • ••.:.-~.>~к*

536 Windows Server 2003. Полное руководствоВы можете просматривать, копировать или восстанавливать файл, как это описанов предыдущем разделе «Работа с версиями».Дисковые квотыДисковые квоты - это способ задания объема дискового пространства, которое могутзаполнять пользователи. Вы можете ограничить объем дискового пространства,доступного каждому пользователю, но это «палка о двух концах». С одной стороны,это превосходное средство, препятствующее излишнему использованию пространствана диске. С другой стороны, вы должны тратить больше времени на жалобыпользователей, которые требуют особых льгот.Ваша философия подхода к дисковым квотам может принимать одну из двухформ.• Жесткие квоты. Пользователи не могут превышать допустимый объем пространствана диске.• Свободные квоты. Пользователям разрешается превышать их квоты, но при этомотслеживается использование пространства на диске, чтобы вы могли решить,каким пользователям следует снизить объем используемого пространства.Свободные квоты позволяют применять еще один подход, который я называюпринципом сбора информации для включения/отключения квот. Это не так сложно,как могло бы показаться, поэтому я дам пояснения. Если вы налагаете квоты, томожете легко получать отчеты о квотах. Если использование пространства на дискене создает проблем, требующих срочного вмешательства, то вы можете использоватьэти отчеты, чтобы указать некоторым пользователям («пожирателям» дисковогопространства) на недопустимое использование диска. Затем отключите квоты.В следующий раз, когда вы захотите отследить использование диска, снова включитеквоты, чтобы быстро получить отчеты и повторить объяснения (возможно, стеми же пользователями). Преимущество состоит в том, что вы не обязаны все времяработать с применением квот (квоты требуют передачи некоторой дополнительнойслужебной информации).Требования по дисковым квотамЕсли вы хотите применять дисковые квоты на определенном томе, то должны выполнятьсяследующие условия.• Том должен быть отформатирован с помощью NTFS.• Для администрирования квот вы должны быть членом группы Administrators налокальном компьютере, где находится этот том (дисковые квоты можно администрироватькак для локальных, так и удаленных томов).Сжатие файлов и дисковые квотыСжатие файлов не учитывается при использовании квот. Если пользователь имеетквоту в 5 Мб, то он ограничен суммой размеров файлов, равной 5 Мб, без учетасжатия файлов. Если включено сжатие файлов и файлы, имеющие суммарный размер5 Мб, занимают на диске 3 Мб, все равно считается, что пользователь достигограничения в 5 Мб. Если вы используете сжатие файлов, то должны объяснитьпользователям этот факт, чтобы они не требовали определять их ограничение в мегабайтахфизического пространства на диске.

Метаданные и дисковые квотыГлава 16. Управление файлами и дисками 537На томе, отформатированном с помощью NTFS, система отслеживает метаданныедля каждого файла на томе. Байты, занятые метаданными (не более 64К на одинфайл), не учитываются при сравнении с квотами пользователей.Структуры томов и дисковые квотыКвоты применяются к определенному тому независимо от его типа (например, томможет являться частью диска, содержащего несколько томов, или может охватыватьнесколько физических дисков). Структура папок на томе не играет никакойроли в квотах. Пользователи могут выполнять запись в любое количество папок, адля сравнения с квотой рассчитывается суммарный объем пространства, используемогона томе.Если пользователи перемещают файлы из одной папки в другую на одном томе,это не изменяет объема используемого ими пространства. Но если они копируютфайлы в другую папку на одном томе, это удваивает объем используемого ими пространства.Вопросы модернизацииПоскольку в квотах отслеживается владелец файлов, у вас могут возникать некоторыепроблемы с существующими файлами, если вы переходите к NTFS. При модернизациииз Windows 2000/NT 4 с установленной системой NTFS в Windows Server2003 происходит также модернизация сведений о владельцах файлов.Но в случае модернизации для тома FAT или FAT32 нет никакой информации овладении файлами. После преобразования тома в NTFS владельцем всех файловстановится локальный администратор. Это не представляет никаких проблем дляадминистратора, поскольку дисковые квоты не применяются к локальным администраторам.Однако пользовательские файлы, которые были на томе к моменту преобразования,не учитываются при сравнении с квотами. Если пользователь выполняетдоступ к существующему файлу или изменяет его, то владение не изменяется. Еслиу вас немного пользователей или много свободного времени, то вы могли бы изменятьвладение каждым файлом, чтобы отразить его пользователя, но это, видимо,излишняя мера. Новые файлы, которые создаются пользователями, конечно же,учитываются при сравнении с квотами.Планирование квот по умолчаниюЗадавая квоты, начните с квоты по умолчанию для каждого тома и затем изменяйтепо мере необходимости квоты отдельных пользователей. Задание жестких (низких)квот по умолчанию с последующим увеличением квот для отдельных пользователейявляется намного более эффективным способом, чем иные способы. Вы можететакже изменять при необходимости квоту по умолчанию.Некоторым пользователям требуется больший объем пространства, чем другим.Например, отдел графики создает файлы, размер которых намного больше, чем уотдела текстовой обработки. Идеальный вариант — это назначение томов по типампользователей (если у вас достаточное количество дисков и томов). Для тома отделаграфики требуется намного больший размер квоты по умолчанию, чем для томаконторских служащих.После применения квот следите, чтобы все программное обеспечение (ПО) натоме устанавливалось с помощью учетной записи локального администратора (ко-

538 Windows Server 2003. Полное руководствоторый работает без учета квот). Если ПО устанавливает какой-либо пользователь,то владельцем соответствующих программных файлов становится этот пользователь,то есть эти файлы учитываются при сравнении с его квотой. Большинствоприложений намного больше, чем любая квота.Возможно, вы решите задавать квоты небольшого размера, если не будете использоватьжесткие квоты; тем самым пользователи не будут прекращать запись натом, когда превысят свои квоты (хотя вы можете устанавливать контакт с пользователями,которые превышают свои квоты). В этом случае вы на самом деле используетеквоты для отслеживания используемого пространства на диске в качестве превентивноймеры (используя квоту как психологический фактор воздействия).Активизация и применение квотЧтобы начать работу с квотами на томе, щелкните правой кнопкой на этом томе вокне My Computer и выберите в контекстном меню пункт Properties. В диалоговомокне Properties перейдите во вкладку Quota (Квота).Активизация дисковых квотЧтобы активизировать квоты, установите флажок Enable Quota Management (Активизироватьуправление квотами). После этого становятся доступны и другие опциив этой вкладке, см. рис. 16.7.Tools Hardware•• ShadowCopiesРис. 16.7. Первый шаг - этоактивизация управления квотамиСStatus: Disk quotas are disabledible quota management; : '....-•O^eny disk space to users exceeding quota limftSelect the default quota limit for new users on this volume:{«) Do not limit disk usage .О Limit disk space to NoUni j ЯЕ'ШИ ;Set»*nb;fcvelto .Hoi--» ! ;'.\i?i- v 4 \Select the quota logging options for this volume:P] Log event when a user exceeds the* quota limitQ Log event when a user exceeds their warning levelQuota Entries...Запрещение доступа, если достигнут предел квотыУстановите флажок Deny Disk Space To Users Exceeding Quota Limit (He вьщелятьдля пользователей дисковое пространство, превышающее квоту), если вы хотитезапретить пользователям выполнение записи на том, когда заполнено выделенноедля них пространство на диске. Пользователям придется удалить некоторые фай-

Глава 16. Управление файлами и дисками 539лы, чтобы появилось место для новых файлов. Сообщение об ошибке, которое увидитпользователь, зависит от используемого ПО, но большинство программ сообщает,что диск переполнен (disk is full).Если вы просто хотите только предупреждать пользователей, которые приближаются(или приблизились) к их пределам квоты, не устанавливайте этот флажок.Задание квот по умолчаниюВы можете задать два значения для квот.• Предел дисковой квоты. Объем пространства на диске, который разрешаетсяиспользовать пользователю.• Уровень предупреждения по дисковой квоте. Точка, которую вы считаете достаточноблизкой к пределу дисковой квоты, чтобы пользователи получали предупреждение.Чтобы задать квоты, выберите вариант Limit Disk Space To (Выделять дисковоепространство не более) и выберите нужное значение. Затем выберите единицы измеренияиз находящегося рядом раскрывающегося списка. Содержащиеся в раскрывающемсясписке единицы измерения создаются динамически, и они зависятот размера тома, для которого вы активизируете квоты. Если размер тома меньше 1Гб, то в раскрывающийся список включаются только KB и MB. Если размер томабольше 1 Гб, то в раскрывающийся список включаются все доступные единицы измерения.Могут быть единицы измерения, которые незнакомы вам:• ТВ - терабайт, то есть 1000 Гб.• РВ — петабайт, то есть приблизительно 1000 терабайт (2 в 50-й степени байт).• ЕВ - эксабайт, то есть 1 миллиард гигабайт (2 в 60-й степени байт).Некоторые называют эксабайт квинтиллионом байт (1152921504606846976 байт).Задание опций для журнала событийВы можете задать запись события в службу Event Viewer (Просмотр событий), когдапользователь превышает уровень квоты и/или уровень предупреждения. Событиязаписываются в системный журнал (System Log) службы Event Viewer. Это информационныесобытия (Information), и тип событий - это Disk Event (Событие диска).Просмотр такого события не приносит особой пользы. В информацию включаетсяидентификатор безопасности (SID) пользователя, а не имя входа, и описаниеможет состоять из текста «A user hit their quota limit on Volume X» (Пользовательдостиг предела квоты на томе X) или «A user hit their quota threshold on Volume X»(Пользователь достиг порогового значения квоты на томе X). Включение этой возможностине дает особых преимуществ; это просто заполнение журнала Event Viewer.Если вы конфигурируете эти опции, щелкните на кнопке ОК, чтобы активизироватьквоты. Система выведет сообщение, что ей требуется сканирование томадля сбора информации о владельцах файлов и расчета текущего использованиядиска каждым пользователем (кроме локального администратора). Щелкните накнопке ОК.Задание индивидуальных квотУ вас могут быть пользователи, для которых следует задавать квоты, отличающиесяот заданного вами предела по умолчанию. И могут быть пользователи, которые дол-

540 Windows Server 2003. Полное руководствожны работать без каких-либо ограничений. Чтобы настроить записи квот для отдельныхпользователей, щелкните на кнопке Quota Entries (Записи квот), чтобыоткрыть диалоговое окно Quota Entries.По умолчанию в списке представлена группа Administrators, не имеющая ограничений.Чтобы добавить конкретные записи квот, выберите Quota/New Quota Entry(Квота/Новая запись квоты), выберите пользователей в диалоговом окне Select Users(Выбор пользователей) и затем щелкните на кнопке ОК. Вы можете выбрать сразунесколько пользователей, если все они получат одинаковые пределы квот. По окончаниивыбора щелкните на кнопке ОК, чтобы применять квоты. Задайте квоту, котораяотличается от значения по умолчанию, или отключите квоты для выбранныхпользователей.Вы можете также следить за пользователями и квотами в этом диалоговом окне.• Щелкните на заголовке какой-либо колонки, чтобы отсортировать список посодержимому этой колонки (щелкните еще раз, чтобы изменить порядок сортировки).• Дважды щелкните на определенной записи, чтобы изменить пределы квот.• Выделите определенную запись и нажмите клавишу Delete, чтобы удалить этузапись (см. следующий раздел «Удаление записей квот пользователей»).Примечание. Конечно, вы можете выбирать группы и пользователей при назначениизаписей квот. Однако их трудно удалять, и такое удаление обычно не делают(пользователи увольняются или переходят в другие отделы или подразделения).Удаление записей квот пользователейВы не можете удалить запись отслеживания квот для пользовательской учетной записи,пока все файлы, владельцем которых является этот пользователь, не удаленыс тома, не перемещены на другой том и не сменили своего владельца. Вы можетевыполнять эти задачи в процессе удаления записей квот пользователя, поэтому данноетребование нельзя назвать слишком обременительным.Чтобы удалить пользователя из записей квот, откройте диалоговое окно Propertiesдля тома и перейдите во вкладку Quotas. Затем щелкните на кнопке Quota Entries,после чего появится окно Quota Entries. Выберите пользователя, которого хотитеудалить из списка, и нажмите клавишу Delete. Систем попросит вас подтвердить,что вы хотите удалить запись этого пользователя; щелкните на кнопке Yes.Появится диалоговое окно Disk Quota, где показаны все файлы данного тома,которые принадлежат этому пользователю. Выберите один файл, несколько файловили все файлы и затем выполните одно из следующих действий.• Удалите эти файлы (нужно будет подтвердить удаление).• Возьмите на себя владение этими файлами (файлы сразу исчезнут из списка, ине появится никакого диалогового окна для подтверждения).• Переместите файлы на другой том (он может быть и на другом компьютере всети).Вы не удаляете этого пользователя; вы просто удаляете учетную запись этогопользователя из списка отслеживаемых квот.

Отчеты о квотахГлава 16. Управление файлами и дисками 541После сканирования тома системой, а также в любое время после задания квот выможете проверить состояние дисковых квот пользователей, открыв диалоговое окноProperties для данного тома и перейдя во вкладку Quota. Щелкните на кнопке QuotaEntries, чтобы увидеть состояние пространства на диске для пользователей, выполняющихдоступ к данному тому. Значок колонки состояния - это индикатор уровняквоты пользователя.• Направленная вверх стрелка внутри белой окружности указывает, что пользовательнаходится ниже уровня предупреждения.• Восклицательный знак в желтом треугольнике указывает, что пользователь превысилуровень предупреждения, но находится ниже предела квоты.• Восклицательный знак в красном треугольнике указывает, что пользователь достигпредела квоты.Когда вы в первый раз открываете окно Quota Entries для просмотра информацииоб использовании пространства на диске, система выполняет поиск каждогопользователя, преобразуя его идентификатор безопасности (SID) в пользовательскоеимя. Этот процесс требует некоторого времени. Список разрешенных имен сохраняетсяв файле, чтобы загружать в дальнейшем этот файл без задержки выводапользовательских имен и статистики. Однако этот файл становится устаревшим,если вы добавляете пользователей, поэтому вы должны нажать клавишу F5, чтобыобновить список.Вы можете создавать отчеты в целом ряде приложений, используя несколькометодов. Начните с выбора пользователей, которых вы хотите включить в свой отчет.В ваш отчет включаются не только выбранные записи; в него автоматическивходит заголовок этого окна и заголовки колонок.Используйте буфер обмена (clipboard), чтобы копировать выбранные записи внужное приложение. При вставке из буфера обмена в текстовый процессор или вэлектронную таблицу записи и заголовки колонок размещаются соответствующимобразом (с использованием таблицы в текстовом процессоре).Откройте соответствующее приложение и перетащите выбранные записи в окноэтого приложения. И в этом случае все записи будут скомпонованы должным образом.Перемещение записей квот на другой томПредположим, что пользователь переходит в другое подразделение компании илипо какой-либо причине собирается использовать для работы с файлами другой том.Вы можете переместить его записи квот на новый том. Это сопровождается следующимидеталями.• Файлы с исходного тома не перемещаются.• Уровни квоты на исходном томе не удаляются (теперь пользователь будет иметьуровни квоты на двух томах).Имеется три метода перемещения записей квот пользователя между двумя томами.• Откройте окно Quota Entries для обоих томов и перетащите эту информациюмежду томами.• Выполните экспорт информации с исходного тома на целевой том.

542 Windows Server 2003. Полное руководство• Выполните экспорт информации с исходного тома в файл; затем выполнитеимпорт этого файла на целевой том.Команды Export и Import находятся в меню Quota. Файл импорта/экспорта неимеет расширения имени (и не добавляйте его), а формат этого файла соответствуетсредству Quota. Microsoft указывает, что расширение будет скрыто, даже если вызададите вывод папок со скрытыми расширениями имен, но я исследовал этот файлс помощью различных утилит и считаю, что никакого расширения нет.Служба Remote Storage(Внешнее хранилище)Служба Remote Storage Service (RSS) - это способ расширения дискового пространствана сервере без добавления жестких дисков. RSS следит за объемом свободногопространства, доступного на каком-либо томе сервера и автоматически перемещаетнечасто используемые файлы (критерии для термина «нечасто» задаются администратором)на ленту или оптический диск, когда процент использования дискадоходит до уровня, определенного администратором. Если пользователю требуетсяодин из перемещенных файлов, он считывается с носителя внешнего хранилища.На сервере остается метка-заменитель (placeholder), которая указывает на соответствующийвнешний файл. RSS запускается как служба и использует службу RSM(Removable Storage Management) для доступа к лентам [RSM рассматривается нижев разделе discussed «Служба Removable Storage Management (Управление съемнымиЗУ)»]. Администрирование RSS выполняется с помощью оснастки ММС.Хранилище данных Remote Storage имеет двухуровневую структуру. Верхний уровень,который называется локальным хранилищем, содержит тома NTFS на сервере,где запущена служба RSS. Нижний уровень, который называется внешним хранилищем(remote storage), представлен ленточным носителем, автоматической библиотекойленточных носителей или оптическим диском, которые подсоединяются к компьютеру-серверу.Краткий обзор RSSПрежде чем начать конфигурирование и использование RSS, нужно ознакомитьсяс особенностями и ограничениями.• RSS запускается только на томах, отформатированных с помощью NTFS.• Не используйте RSS на сервере, который является частью кластера (RSS не переходитпо отказу на другие узлы).• Использование RSS не влияет на дисковые квоты. Несмотря на то, что пространствона диске фактически не используется, если файл перемещен во внешнеехранилище, атрибуты логического размера и даты/времени (создания, последнегоизменения, последнего доступа) для этого файла остаются без изменений.• RSS поддерживает все оптические диски класса SCSI, а также ленточные устройства4 mm, 8 mm и DLT.• Ленточные устройства типа QIC (четверть-дюймовые картриджи) не поддерживаются.Ленты Exabyte 8200 не работают должным образом и не рекомендуются.• Тип носителя, который вы указываете при установке, нельзя изменить в дальнейшем.

Глава 16. Управление файлами и дисками 543• Вы можете реконфигурировать свои настройки для RSS, но не сможете начатьвсе заново, если хотите изменить базовую конфигурацию. (Вы не сможете запуститьзаново мастер RSS после того, как первоначально установили эту службуна диске.)• Управление файлами на томе под управлением RSS следует выполнять с осторожностью.Переименование и удаление файлов или перемещение файлов надругие тома, управляемые службой RSS, может вызвать несогласованность свнешним носителем.• Для конфигурирования настроек RSS требуются административные полномочия,но для работы с файлами подходят обычные пользовательские полномочия.• RSS имеет свой собственный пул носителей для лент, и вы должны следить, чтоу вас было достаточное количество лент в этом пуле. Вы не можете использоватьдля RSS ленты из пула носителей другой службы. (Вопросы работы с пуламиносителей см. ниже в этой главе.)Установка службы RSSУстановка RSS - это двухшаговый процесс:1. Установка соответствующего компонента2. Установка этой службыУстановка компонента RSSRSS не устанавливается по умолчанию во время установки операционной системы,и если вы не выбрали этот компонент во время установки, то должны установитьего вручную с помощью следующих шагов.1. Установите CD Windows Server 2003 или убедитесь, что вы имеете доступ к исходнымфайлам установки в какой-либо точке разделяемого доступа в сети.2. Откройте апплет Add or Remove Programs в Панели управления (Control Panel).3. Щелкните на Add/Remove Windows Components.4. Установите флажок Remote Storage (Внешнее хранилище) и щелкните на кнопкеNext.5. После копирования файлов щелкните на кнопке Finish.6. Перезагрузите компьютер.Установка службы RSSПосле установки файлов RSS на компьютере установите службу RSS, открыв оснасткуRemote Storage из меню Administrative Tools. Поскольку вы открываете оснасткуRemote Storage в первый раз, происходит автоматический запуск мастера RemoteStorage Setup Wizard для установки и конфигурирования RSS.Щелкните на кнопке Next в начальном окне мастера, чтобы запустить поисквашей ленточной системы. Затем продолжите работу с мастером для конфигурированиявозможностей RSS, включая следующие задачи.Выбор томов, которыми вы хотите управлять.Задание уровня свободного пространства для управляемых томов.Задание критериев для копирования файлов на ленту.Выбор типа ленты для использования.Задание расписания автоматического копирования файлов.Задание количества копий носителей.

544 Windows Server 2003. Полное руководствоКорректировка настроек RSSНастройки, которые вы задаете в мастере во время установки службы RSS, относятсяко всем управляемым томам на данном компьютере. Если у вас несколькоуправляемых томов, то вам могут потребоваться различные настройки для каждоготома. Даже в случае только одного управляемого тома вы можете решить, что нужныизменения, когда приобретете опыт работы с RSS. В этом разделе даются некоторыерекомендации.Чтобы изменить настройки, откройте оснастку Remote Storage, выбрав RemoteStorage в меню Administrative Tools. Когда появится консоль Remote Storage, раскройтедерево консоли, чтобы найти объект, который вы хотите модифицировать.Расписание копирования файловВ оснастке Remote Storage вы можете изменять расписание копирования файлов.Щелкните правой кнопкой на нужном объекте Remote Storage и выберите в контекстномменю пункт Change Schedule (Изменить расписание). В диалоговом окне FileCopy Schedule (Расписание копирования файлов) внесите нужные вам изменения.(Помните, что вы можете создать несколько расписаний.) Расписания, которые высоздаете, перемещаются в вашу папку Scheduled Tasks (Назначенные задания).Копирование файлов вручнуюУ вас могут быть ситуации, когда нужно копировать файлы во внешнее хранилищедо наступления момента следующего запланированного автоматического копирования.Чтобы сделать это, откройте оснастку Remote Storage и выберите в деревеконсоли объект Managed \folumes (Управляемые тома). В правой панели щелкнитеправой кнопкой на данном томе и выберите All Tasks/Copy Files to Remote Storage(Все задачи/Копировать файлы во внешнее хранилище).Настройки для свободного пространстваЧтобы изменить настройки для свободного пространства на управляемом томе,выберите в дереве консоли объект Managed Volumes. В правой панели щелкнитеправой кнопкой на данном томе и выберите в контекстном меню пункт Settings.Во вкладке Settings используйте стрелки в секции Desired Free Space (Желательныйобъем свободного пространства), чтобы изменить соответствующее значение.Если объем свободного пространства на томе становится меньше этого значения,то RSS удаляет с тома кэшированные данные файлов, которые былископированы на ленту.Освобождение пространства на томе вручнуюЕсли вам нужно немедленно освободить пространство на томе, выберите в деревеконсоли объект Managed \blumes и затем щелкните правой кнопкой на соответствующемтоме в правой панели. Выберите в контекстном меню пункт All Tasks/CreateFree Space (Все задачи/Освободить пространство на томе). Будут удалены кэшированныеданные файлов, которые были скопированы на носитель RSS. (Если кэшированныеданные локальных файлов уже были удалены с помощью обычных процедурRSS, то вы не получите дополнительного пространства.)Помните, что с увеличением объема кэшированных данных, которые вы удалилитома, увеличивается также время ожидания пользователей при необходимостиизвлечения этих файлов.

Критерии выбора файловГлава 16. Управление файлами и дисками 545Используя оснастку RSS, вы можете в любой момент изменить критерии выборафайлов, которые задали в мастере RSS. Здесь возможны две причины.• Ваши текущие критерии не дают достаточного объема свободного пространствана томе.• Ваши текущие критерии слишком «активны», и ваши пользователи жалуютсяна то, что приходится извлекать слишком много файлов с ленты.Выберите в дереве консоли объект Managed \blumes. Щелкните правой кнопкойна данном томе в правой панели и выберите в контекстном меню пункт Settings. Выможете изменить значение размера файлов (file size) или значение времени последнегодоступа (last accessed). Кроме того, вы можете задать правила исключения ивключения, щелкнув правой кнопкой на данном томе в дереве консоли и выбравпункт Include/Exclude Rules (Правила включения/исключения).В RSS заранее определены некоторые правила включения и исключения, и некоторыеиз них нельзя изменить (то есть нельзя изменить ни правило, ни его приоритет).Но вы можете создать новое правило, щелкнув на кнопке Add. Любое правило,которое вы создаете, можно редактировать.Порядок применения правил (он называется приоритетом правил) является важнымфактором, поскольку применяется первое по очереди правило, которое соответствуетфайлу, даже если следующие по очереди правила тоже соответствуют этомуфайлу. Чтобы изменить приоритет правила, выделите его и используйте стрелкидля его перемещения вверх или вниз в списке (соответственно повышая или понижаяприоритет).Копии носителейВнешний носитель, который получает файлы из локального хранилища, называетсяосновным набором носителей (media master set). Если у вас есть дополнительныеприводы для съемных носителей, то RSS может создавать копии основного набораносителей, которые называются набором носителей для копирования (media copyset). Вы можете автоматически создавать до трех наборов для копирования. Для этогонужно щелкнуть правой кнопкой на объекте Remote Storage в оснастке RSS и выбратьв контекстном меню пункт Properties. Перейдите во вкладку Media Copies (Копииносителей) и измените соответствующее значение.Чтобы синхронизировать набор носителей для копирования, щелкните правойкнопкой на объекте Media (Носители) и выберите в контекстном меню пунктSynchronize Media Copies (Синхронизировать копии носителей). В этом процессевас будет сопровождать мастер. Единовременно вы можете синхронизировать толькоодин набор носителей для копирования. Во время синхронизации извлечениеили управление файлами невозможно.Вы должны подготовить достаточное количество лент для ваших копий носителейв пуле носителей Remote Storage. Но после использования всех доступных носителейиз пула носителей Remote Storage RSS будет использовать носители из пуланосителей Free (Свободные носители).Когда вы снижаете количество копий носителей, носители не освобождаются.Чтобы освободить носители, вы должны удалить сначала копии носителей. Для этоговыберите объект Media в дереве консоли. Затем щелкните правой кнопкой на одномиз носителей, представленных в правой панели, и выберите пункт Media Copies. Вовкладке Media Copies щелкните на Delete Сору X (Удалить копию X), где Сору X - этоКопия 1, Копия 2 или Копия 3.18-3994

546 Windows Server 2003. Полное руководствоВ случае повреждения (или потери) основного набора носителей вы можете воссоздатьего с помощью копии носителей. Для этого выберите в дереве консоли объектMedia, затем щелкните правой кнопкой на каком-либо носителе и выберите пунктProperties. Перейдите во вкладку Recovery (Восстановление) и щелкните на кнопкеRe-Create Master (Воссоздать основной носитель). Выполните инструкции по выполнениюэтой задачи.Проверка хранящихся файловВажно время от времени проверять, что файлы на управляемом томе соответствуютданным на внешнем носителе. При этом происходит проверка соответствующихссылок и происходит обновление статистики для тома. Чтобы сконфигурироватьпроверку, выберите в дереве консоли Managed Volumes. В правой панели щелкнитеправой кнопкой на данном томе и выберите в контекстном меню пункт All Tasks/Validate Files (Все задачи/Проверка файлов).Использование файлов, управляемых службой RSSRSS работает в соответствии с двумя различными настройками: критерии выборафайлов для копирования на ленту и объем свободного пространства, который выназначаете для управляемого тома.Если файл отвечает критериям, то он копируется во внешнее хранилище. Исходныеданные пока остаются на управляемом томе, и эти данные называются кэшированнымиданными. Котированные данные отличаются от стандартных данныхфайла лишь формально, поскольку они означают, что файл скопирован на внешнийноситель. Файл продолжает занимать такой же объем пространства на диске. Еслипользователю требуется этот файл, он открывается непосредственно с тома, и пользовательне знает, что эти данные считаются кэшированными. Со временем и другиефайлы начинают отвечать критериям старения, после чего они копируются на внешнююленту и кэшируются локально.Когда объем свободного пространства становится меньше размера, заданноговами в настройках конфигурации, RSS удаляет кэшированные данные для достаточногочисла файлов, чтобы увеличить объем свободного пространства на дискедо указанного вами размера. Данный файл как объект остается на томе, но этотфайл не занимает пространство на диске.Если пользователю нужно использовать файл, который не имеет кэшированныхданных на томе, то применяется процесс, который называется извлечением файла(file recall). Чтобы открыть файл, нужно выделить его обычным путем в списке натоме (из любого приложения, из окна My Computer или Windows Explorer). Но чтобыпользователь мог увидеть данные, этот файл должен быть извлечен с внешнейленты. Для этого требуется намного больше времени, чем при открытии этого файлынепосредственно с тома. Для открытия файла может потребоваться до пяти минут.В случае просмотра тома на компьютере Windows Server 2003/2000 из окна MyComputer или Windows Explorer значок автономного файла изменяется на значокархивированного файла. В прежних системах Windows, включая NT 4, этот значокне виден.Если пользователь или приложение на компьютере Windows XP/2000 открываетархивированный файл, то на экране появляется сообщение, что файл извлекаетсяиз автономного хранилища. Клиенты предыдущих версий Windows не получаютникакого сообщения и поэтому не знают, что им придется достаточно долго ждать

Глава 16. Управление файлами и дисками 547открытия этого файла (что может вызвать некоторые проблемы, если вы не объясняете,что происходит).Если пользователь или приложение извлекает второй файл в течение десяти секундпосле первого файла, это называется «неконтролируемым» извлечением. Выможете ограничить количество «неконтролируемых» извлечений, которые могутвыполняться пользователем или приложением. Чтобы задать этот предел, щелкнитеправой кнопкой на Remote Storage в дереве консоли оснастки RSS и выберите вконтекстном меню пункт Properties. Перейдите во вкладку Recall Limit (Предел извлечений)и задайте максимальное количество последовательных извлечений.Если вы запускаете программу проверки на вирусы или программу индексирования,эти приложения читают файлы и операции чтения учитываются в количествеизвлечений. Классическим примером является средство быстрого поискаFindfast, которое устанавливается по умолчанию вместе с Microsoft Office. Прекратитеиспользовать эти средства (вам стоит отказаться от Findfast, даже если вы неиспользуете RSS) или повысьте предел по количеству извлечений.Совет. Вы можете использовать флажок Exempt (Исключение), чтобы исключитьадминистраторов из ограничения по количеству извлечений.Не удаляйте, не перемещайте и не модифицируйте файлы, которые включены впроцесс копирования RSS. Это вызовет потерю таких файлов в базе данных RSS.Использование таких файлов следует ограничить просмотром и печатью. Если требуетсявнести изменения в информацию файла, сохраните этот файл под новымименем.Резервные копии RSSВаше ПО резервного копирования будет копировать следующие файлы RSS.• Файлы, кэшированные на управляемых томах.• Базу данных Remote Storage и другие файлы данных программы RSS, находящиесяв папке %SystemRoot%\System32\RemoteStorage.Резервное копирование базы данных RSS происходит в случае включения опцииSystem State (Состояние системы) в ПО резервного копирования, если это ПОработает в контексте группы Administrators. Если ваше ПО резервного копированияработает в контексте группы Backup Operators (что обычно и происходит), то базаданных RSS не включается как компонент состояния системы.Если вы создаете наборы носителей для копирования, они фактически являютсяполной резервной копией для файлов, управляемых службой RSS. Приняв регулярныйподход (то есть фактически ежедневно), перемещайте набор носителей длякопирования из пула носителей Remote Storage в пул носителей Backup. При каждомтаком перемещении перемещайте ленту предыдущего дня обратно - в пул носителейRemote Storage. Тем самым вы гарантируете, что операция восстановленияобязательно восстановит вашу среду RSS.Удаление RSSЕсли вы решили прекратить управление томами с помощью RSS, то должны выполнитьнесколько предварительных шагов, прежде чем удалить это средство. Вопервых,убедитесь, что на вашем томе имеется достаточный объем свободного про-18'

548 Windows Server 2003. Полное руководствостранства, чтобы можно было извлечь все данные, которые хранятся на автономныхносителях. Если на этом шаге требуется переместить файлы на другой том, изменитеваши настройки, чтобы избежать создания дополнительных копий, и выполнитеручное копирование автономной ленты с помощью следующих шагов.Откройте оснастку Remote Storage и выберите в дереве консоли объект Managed"Volumes. Затем щелкните правой кнопкой на данном томе в правой панели и выберитев контекстном меню пункт Remove (Удалить). Выполните процесс удаления спомощью мастера Remove Volume Management Wizard. Во время этого процесса вамбудет предложена опция извлечения всех скопированных данных из хранилища, ивам следует ее использовать.Служба Removable Storage Management(Управление съемными ЗУ)Служба Removable Storage Management (RSM) используется для отслеживания иуправления съемными ЗУ (лентами и дисками), а также соответствующими устройствами(приводами и устройствами с автоматической сменой носителей [типа changerи jukebox]). Для управления носителями RSM помечает и каталогизирует ленты идиски. В управление устройствами включается управлением слотами и дверцамидля доступа и удаления носителей.RSM не работает отдельно; это вспомогательная служба управления носителямидля приложений и утилит, которые взаимодействуют со съемными носителями,например, программа Backup и служба Remote Storage Service (RSS). RSM можетподдерживать не более одного соединения между компьютером и съемными носителями.Все приложения, использующие съемные носители, должны работать натом компьютере, который подсоединен к библиотеке съемных носителей. В контекстеRSM слово «библиотека» означает систему хранения данных, которая состоитиз съемных носителей и оборудования, которое выполняет чтение и запись наэтих носителях. Существуют два типа библиотек:• автоматизированные (robotic) библиотеки, представленные устройствами с несколькимиприводами;• автономные (stand-alone) библиотеки, представленные устройствами с однимприводом и ручной установкой носителей.В Windows Server 2003 (и Windows 2000) устройству автоматической смены дисковATAPI CD-ROM присваивается только одна буква накопителя. Removable StorageManagement монтирует, демонтирует и управляет всеми съемными носителями этогоустройства.Конфигурирование Removable StorageRemovable Storage (Съемные ЗУ) - это часть оснастки Computer Management (Управлениекомпьютером), для входа в которую нужно щелкнуть правой кнопкой наMy Computer и выбрать пункт Manage. В дереве консоли раскройте объект Storage изатем раскройте объект Removable Storage. Кроме того, существует предварительносконфигурированная консоль для RSM под именем ntmsmgr.msc в папке%SystemRoot%\System32. Эта оснастка содержит те же объекты, что и секцияRemovable Storage оснастки Computer Management. Выберите Start/Run (Пуск/Вы-

Глава 16. Управление файлами и дисками 549полнить), введите ntmsmgr.msc и щелкните на кнопке ОК, чтобы использовать этуотдельную оснастку.i Removable Storageuction тк» £ndo~ a*:...1.г.||..д.. VT77i-lir.>. и• ф MediaMedia PoolsLibrariesWork QueueOperator RequestsNameIglMedialIj, LibrariesЩ. Work Queue2 Operator RequestsВы можете просматривать или задавать свойства для компонентов RSM, выбравсоответствующий объект в дереве консоли. В основном вы будете работать с носителями(перемещение носителей в пулы и из пулов носителей или получение информациио состоянии носителей) или управлять библиотеками. В следующих разделахдается определение и описание библиотек и носителей RSM.БиблиотекиБиблиотека - это набор, состоящий из носителей и устройства, которое используетсядля чтения и записи на этих носителях. Имеются два типа библиотек: автоматизированнаяи автономная. Формально существует также третий тип библиотеки - «отключенная»(offline) библиотека. RSM следит за отключенными носителями, когдаэти носители не содержатся в какой-либо библиотеке. Эти носители могут находитьсягде угодно - в вашем столе, на полке или в вашей сумке. Поскольку RSM следит заотключенными носителями, мы можем сказать, что все отключенные на данный моментносители являются частью отключенной (offline) библиотеки.Автоматизированные библиотекиАвтоматизированные библиотеки - это автоматизированные устройства, которыемогут содержать несколько физических носителей (лент или дисков). Иногда этиустройства называют устройствами автоматической смены носителей (changer илиjukebox). Это обычно автоматизированная подсистема, в которой происходит перемещениеносителей в слоты (гнезда) и из слотов. Это могут быть слоты хранения(носители «паркуются», когда они не используются) или слоты привода (носителиявляются активной «целью»). Некоторые автоматизированные библиотеки имеютдополнительные компоненты оборудования, такие как дверцы, чистящие картриджи,устройства чтения штрих-кода и порты вставки/извлечения. Управление этимидополнительными компонентами тоже осуществляет RSM.Автономные библиотекиАвтономные (stand-alone) библиотеки — это неавтоматизированные устройства с однимприводом. На приводе находится одна лента или один диск, и носитель долженустанавливаться вручную.Получение описи автоматизированной библиотекиВам нужно, чтобы служба RSM вела опись, или инвентаризацию (inventory) автоматизированныхбиблиотек. Это двухшаговый процесс: сначала нужно задать типописи по умолчанию и затем выполнить опись.

550 Windows Server 2003. Полное руководствоЗадание типа описи по умолчанию. Чтобы задать тип описи по умолчанию для вашейавтоматизированной библиотеки, выполните следующие шаги.1. Откройте оснастку RSM и раскройте объект Libraries (Библиотеки) в дереве консоли.2. Щелкните правой кнопкой на библиотеке, для которой вы хотите задать методописи, и выберите в контекстном меню пункт Properties.3. Во вкладке General (Общие) выберите метод описи, который хотите использоватьпо умолчанию: None (без описи), Fast (Быстрая опись) или Full (Полнаяопись).• При быстрой описи происходит проверка изменений в состоянии слотов хранения(заполненные [occupied] и пустые [unoccupied]).• При полной описи носителей с штрих-кодами происходит считывание информацииштрих-кода. Для носителей без штрих-кода происходит монтированиеносителей и RSM считывает записанный на носитель идентификатор(on-media identifier).Выбранный способ описи автоматически запускается каждый раз, когда происходитдоступ к дверце библиотеки. Полная опись всегда выполняется при отказеоперации монтирования независимо от выбранного вами типа описи. (При необходимостивы можете отключить эту возможность, сбросив флажок Perform FullInventory on Mount Failure [Выполнять полную опись при отказе монтирования].)Получение описи библиотеки. Чтобы получить с помощью RSM опись автоматизированнойбиблиотеки, раскройте объект Libraries в дереве консоли оснастки RSM.Щелкните правой кнопкой на соответствующей библиотеке и выберите в контекстномменю пункт Inventory (Опись).Пулы носителейВсе носители включаются в один из пулов носителей, то есть в набор носителей сопределенными атрибутами, включая тип носителей и политики управления. Пулыносителей имеют иерархическую структуру, которая начинается с класса пулов носителей.Имеется два класса.• Пулы носителей приложений (Application). Создаются программными приложениямив целях группирования и отслеживания носителей. В Windows Server 2003для Backup и Remote Storage поддерживаются свои пулы носителей.• Системные пулы носителей (System). Создаются и управляются с помощью RSMи включают следующие пулы носителей: Неопознанные (Unrecognized), Свободные(Free) и Импортированные (Import).Носители можно перемещать из одного пула носителей в другой, и это всегдаосуществляется с помощью RSM. Пул носителей может содержать носители илидругие пулы носителей, но не может одновременно содержать носители и другиепулы; это либо одноуровневая структура, либо иерархическая структура. Например,пул типа Free может содержать пулы носителей для каждого типа носителей,но не может содержать иерархическую структуру пулов носителей типа Free.Библиотека может содержать носители из различных пулов носителей, и одинпул носителей может использоваться с несколькими библиотеками.

Пулы неопознанных носителейГлава 16. Управление файлами и дисками 551Пулы неопознанных носителей (Unrecognized) содержат носители, которые не можетраспознать RSM. Обычно это совершенно пустой носитель, который еще неполучил свой идентификатор от RSM (это происходит при вставке носителя в библиотеку).Но если носитель содержит идентификатор, который не может прочитатьили «понять» RSM, то он тоже включается в пул Unrecognized. Носители, находящиесяв пуле Unrecognized, не включаются в список базы данных RSM и поэтомунедоступны для приложений.Пулы свободных носителейПулы свободных носителей (Free) содержат носители, которые на данный моментне используются приложениями. Такой носитель доступен для использования любымприложением, которому он требуется. Предполагается, что любые данные натаком носителе не нужны, поскольку это, например, старая резервная копия, котораяуже не подходит для процедуры восстановления.Вы можете сконфигурировать RSM таким образом, чтобы приложения извлекалиносители из пула Free автоматически, когда приложению не хватает носителей вего собственном пуле. Если не сконфигурировать автоматическое извлечение носителейиз пула Free, то вы должны перемещать носители в пул приложения(Application) вручную, когда это требуется.Пулы импортированных носителейПулы импортированных носителей (Import) содержат носители, которые опознаныкак носители допустимого типа, но не используются службой RSM. Обычно носительоказываются в пуле Import, когда он переносится из одной системы RSM вдругую систему RSM той же организации. Вы можете перемещать носители из пулаImport в пул Free или в пул Application.Идентификация носителейЧтобы отслеживать носители и поддерживать данные их описи, RSM идентифицируеткаждую единицу носителей. Имеется два способа идентификации: записываемыйна носитель идентификатор (on-media identifier) и штрих-код (barcode).Идентификация на носителяхИдентификаторы на носителях записываются электронным способом при первойустановке носителя в библиотеку. Этот идентификатор имеет две части.• Тип метки. Идентифицирует формат, используемый для записи данных. Этотформат зависит от типа носителя.• Идентификатор метки. Уникальный идентификатор для конкретного диска илиленты.Идентификация с помощью штрих-кодаЕсли ваша библиотека поддерживает штрих-коды, то RSM может идентифицироватьносители по штрих-кодам, которые задают пользователи. Носители, для которыхиспользуются штрих-коды, тоже получают записываемый на носитель идентификатор,и RSM может использовать любой из этих методов для идентификацииленты или диска. Штрих-коды проще использовать, поскольку вы не обязаны монтироватьноситель в устройстве, чтобы его можно было идентифицировать.

552 Windows Server 2003. Полное руководствоФорматы носителейЧтобы работать с записываемыми на носитель идентификаторами, RSM используетMLL (Media Label Library — библиотека меток носителей). Библиотека MLL — этоDLL, которая используется для интерпретации формата метки носителя, записаннойкаким-либо приложением. RSM поддерживает форматы FAT, NTFS и CDFSдля дисковых носителей и MTF (Microsoft Tape Format) для ленточных носителей.RSM может различать, какое приложение записало метку носителя, путем проверкив зарегистрированных библиотеках MLL. Разработчики приложений, в которыхиспользуются другие форматы носителей, должны предоставлять соответствующиеMLL.Состояния носителейСостояние носителя - это текущее рабочее состояние ленты или диска. RSM используетдля оценки текущего состояния записываемый идентификатор или штрихкод.Состояния носителей определяются на двух уровнях: физическое состояние(Physical state) и состояние «сторон» (Side state).Физическое состояние определяет текущее состояние в зависимости от местонахожденияносителя и его физического использования. Имеются пять возможныхфизических состояний, описанных в таблице 16.1.Табл. 16.1. Описание физических состояний носителейФизическое состояниеОписаниеIdle (Простаивает)In Use (Используется)Loaded (Загружен)Mounted (Смонтирован)Unloaded (Выгружен)Носитель отсоединен (находится в слоте хранения [автоматизированногоустройства] или физически находитсявне устройства, то есть на хранении).RSM в данный момент перемещает носитель.Носитель смонтирован на приводе и доступен для чтенияили записи данных.Носитель находится на приводе, но еще не доступен длячтения или записи данных.Носитель был демонтирован, и находится в состоянииожидания, пока кто-либо не удалит его физически изустройства.Состояние сторон - это состояние стороны (сторон), где сохраняются данные.Каждый тип носителя имеет одну или две стороны. Например, магнитооптическиедиски имеют две стороны, а ленты имеют одну сторону. RSM отслеживает стороныносителей, как это описано в таблице 16.2.Администратор может задавать максимум количества «захватов» сторон, чтобыограничить количество захватов и освобождений носителя приложением. RSM проверяеткаждый раз этот счетчик при освобождении какой-либо стороны, и когдадостигается максимум, сторона выводится из эксплуатации. Это средство позволяетадминистраторам запрещать использование носителей сверх нормального срокаслужбы (что особенно важно для лент).

Глава 16. Управление файлами и дисками 553Табл. 16.2. Отслеживание сторон службой RSMСостояние стороныОписаниеAllocated (Занята)Available (Доступна)Completed (Заполнена)Decommissioned(Выведена из использования)Imported (Импортирована)Incompatible (Несовместима)Reserved (Зарезервирована)Unprepared (He подготовлена)Unrecognized (He опознана)Управление пулами носителейДанная сторона зарезервирована каким-либоприложением и недоступна для любого другогоприложения.Данная сторона доступна для использования любымприложением.Данная сторона заполнена до конца.Сторона стала недоступна для использования,поскольку достигла своего максимума по количеству«захватов» (см. выше описание этого максимума).Тип метки данной стороны опознан. Идентификаторметки не опознан.Тип носителя несовместим с данной библиотекой,и его следует удалить.Данная сторона доступна только определенномуприложению. Это состояние относится к двустороннимносителям, когда одна сторона уже захваченаэтим приложением.Сторона помещена в пул свободных носителей(типа Free), но еще не получила метку свободногоносителя.RSM не может опознать тип и идентификаторметки данной стороны.Для управления пулами носителей используется оснастка Removable Storage. Выможете создать пул, удалить пул и перемещать носители между пулами.Создание и конфигурирование пула носителейВы можете создать пул носителей для определенного приложения как новый пулверхнего уровня или как пул внутри существующего пула приложений (но не внутрисистемных пулов типа Free [Свободные], Import [Импортированные] илиUnrecognized [Неопознанные]).Для создания пула носителей верхнего уровня щелкните правой кнопкой наобъекте Media Pools (Пулы носителей) в дереве консоли и выберите в контекстномменю пункт Create Media Pool (Создать пул носителей). Для создания пула носителейвнутри существующего пула приложения щелкните правой кнопкой на этомпуле и выберите в контекстном меню пункт Create Media Pool.Сконфигурируйте новый пул носителей в диалоговом окне Create a New MediaPool Properties, см. рис. 16.8.Сконфигурируйте вкладку General диалогового окна свойств пула носителейследующим образом.

554 Windows Server 2003. Полное руководство(ii.Mtr .iNew Mudirt PIHII PropertiesName: jInscription: IType: Application-specific•Media information •! О Contains other media pools.I ф Contains media of type:Рис. 16.8. Конфигурированиенастроек для нового пуланосителей: Alocation / Deaflocation policyi Г] Де*шп media to Free media poolit reaibcations Ш = r*• Введите имя нового пула носителей.• Введите описание (дополнительно).• В секции Media Information (Информация о носителях) укажите, что этот пулдолжен содержать либо другие пулы носителей (вариант Contains other mediapools), либо реальные носители (вариант Contains media of type).• Введите тип носителей в случае второго варианта.• Задайте следующие опции захвата, возврата и перераспределения носителей всекции Allocation/Deallocation policy.• Установите флажок Draw media from Free media pool, чтобы данный пул автоматическиполучал носители из пула свободных носителей (Free), когда внем не остается незанятых носителей. Не устанавливайте этот флажок, есливы хотите перемещать носители из пула Free в этот пул вручную (используяоснастку RSM).• Установите флажок Return media to Free media pool, чтобы данный пул автоматическивозвращал носитель в пул свободных носителей, если этот носительуже не нужен приложению. Не устанавливайте этот флажок, если выхотите перемещать носители в пул Free вручную.• Установите флажок Limit Reallocations (Ограничить количество перераспределений)и введите значение, ограничивающее количество захватов носителейдругими пулами носителей.Используйте вкладку Security, чтобы предоставлять пользователям и группамполномочия работы с данным пулом носителей.Удаление пула носителейВы можете удалить пул носителей типа Application только из оснастки RemovableStorage. Раскройте дерево консоли, чтобы представить пулы носителей, щелкнитеправой кнопкой на пуле носителей типа Application, который хотите удалить, и вы-I

Глава 16. Управление файлами и дисками 555берите в контекстном меню пункт Delete. Вы должны будете подтвердить это удаление.Управление носителямиВам нужно будет перемещать носители между пулами носителей, захватывать и освобождатьносители, а также выполнять другие задачи, чтобы служба RSM всегдаподдерживалась достаточным количеством носителей.Перемещение носителя в другой пул носителейВ оснастке Removable Storage вы можете перетаскивать носитель из одного пуланосителей в другой. Если исходный или адресуемый пул носителей является подчиненным,то раскройте сначала в дереве консоли его родительский пул носителей.Выберите в дереве консоли исходный пул носителей и перетащите соответствующийноситель из исходного пула носителей (в правой панели) в целевой пул носителей(в дереве консоли).Если при создании и конфигурировании пула носителей вы не установили флажкиавтоматического перемещения носителей Draw media from Free media pool и Returnmedia to the Free media pool (см. выше), то должны использовать этот ручной методдля перемещения носителей.Очистка библиотекRSM ведет учет процедур очистки устройств, поэтому для выполнения операции очисткивам следует использовать консоль RSM. Шаги, которые вы используете в консоли,зависят оттого, какая это библиотека — автономная или автоматизированная.Чтобы выполнить очистку устройства для автономной библиотеки, установитевручную чистящий картридж. RSM не участвует в самом процессе очистки, но следит,была ли выполнена очистка (и когда была выполнена). После очистки устройствауведомите RSM с помощью следующих шагов.1. Откройте оснастку RSM.2. В дереве консоли раскройте объект Libraries до уровня Соответствующаябиблиотека \Drives.3. В правой панели щелкните правой кнопкой на соответствующем устройстве ивыберите в контекстном меню пункт Mark As Clean (Пометить как чистое).Чтобы выполнить очистку в автоматизированной библиотеке, щелкните правойкнопкой на соответствующей библиотеке и выберите в контекстном меню пунктCleaner Management (Управление очисткой). Мастер Cleaner Management Wizardпроведет вас через соответствующие шаги (включая инструкции по вставке чистящегокартриджа).Управление рабочей очередью (Work Queue)RSM не является многозадачной программой, то есть она работает последовательно,выполняя одну задачу за другой. Если ваше ленточное устройство имеет несколькоприводов, и вы хотите, чтобы RSM подготовила две ленты, то она закончит работыс первой лентой, прежде чем перейти ко второй, даже если обе ленты доступныв равной степени.В рабочей очереди выводятся все запросы, отправленные в библиотеку из какого-либоприложения или из Removable Storage.

556 Windows Server 2003. Полное руководствоПросмотр рабочей очередиВы можете следить за ходом выполнения заданий, наблюдая за рабочей очередью(Work Queue). Для этого нужно выбрать в дереве консоли объект Work Queue. В правойпанели будут выводиться задания и их состояния.Г* Removable Sшм! ;-у& Import \\ I -^ Unrecognized :i ;-^) Remote Storagej i-i^ BACKUP iiЩ Libraries I[ Operator Requests©Completed(^Completed@Completed(^CompletedOp-rabonInventoryIdentify MediaInventoryIdentify MediaВ таблице 16.3 приводятся возможные состояния заданий в рабочей очереди.Табл. 16.3. Состояния заданий в рабочей очередиРабочее состояниеCompletedFailedIn ProcessQueuedWaitingCancelledОписаниеЗадание успешно выполнено.Служба RSM не смогла выполнить это задание.RSM выполняет это задание.Задание поставлено в очередь для выполнения, но RSM еще неначала работать с ним.Ожидание. Один или несколько ресурсов, необходимых для выполненияэтого задания, в настоящий момент используются(заняты).Пользователь снял это задание.Отмена или удаление заданий из рабочей очередиЧтобы отменить какое-либо задание рабочей очереди, щелкните правой кнопкойна этом объекте-задании в правой панели и выберите пункт Cancel Request (Отменитьзапрос). Чтобы удалить какое-либо задание, щелкните правой кнопкой на соответствующемобъекте и выберите пункт Delete. Вы не можете удалить задание,находящееся в процессе выполнения, за исключением открытия дверцы.Управление запросами для оператораЗапросы для оператора - это сообщения, в которых вас просят выполнить определенноезадание. Эти запросы могут поступать от RSM или от программы, котораяподдерживает RSM (например, ПО резервного копирования, включенное в WindowsServer 2003). RSM выдает запросы оператору, когда возникает одно из следующихсобытий.• Какое-либо приложение инициирует запрос монтирования ленты или диска,находящихся в режиме offline.

вввГлава 16. Управление файлами и дисками 557Нет носителей, доступных в режиме online. Обычно это происходит, когда приложениютребуется носитель, но в соответствующем пуле приложения нет ниодного носителя (или в пуле носителей типа Free, если вы сконфигурировалиRSM для автоматического перемещения носителей из пула носителей Free в пулApplication).Произошел сбой в библиотеке, и требуется ее обслуживание.Требуется очистка устройства, но в библиотеке нет чистящих картриджей.Вы можете выполнить или отказаться от выполнения запроса оператору. В случаевашего отказа RSM уведомляет приложение, которое генерировало этот запрос.По умолчанию RSM хранит запрос оператора в рабочей очереди 72 часа после вашегоответа на запрос.Для просмотра текущих запросов щелкните на объекте Operator Requests (Запросыоператору) в дереве консоли. Как и в случае рабочей очереди (Work Queue), выможете щелкнуть правой кнопкой на любом запросе в правой панели и отменитьили удалить запрос.Приемы и советы по работе с RSMRSM - это мощное средство, но вы должны следить за ним, иначе оно не будетработать должным образом. Если вы используете устройство резервного копированияна лентах, то RSM станет важной частью в вашей профессиональной деятельности.Запомните, что любые операции со съемными носителями вы должны выполнятьиз консоли RSM. Не выполняйте перемещение ленты, очистку ленты, списаниеленты или ввод новых лент без уведомления об этом RSM.Если вы должны восстановить файлы с резервной копии на лентах, то можетестолкнуться с проблемой для этой ленты, и это не физическая проблема, а проблемамонтирования ленты, чтобы можно было прочитать ее содержимое или каталог.Иногда программа резервного копирования может «зациклиться», выполняя сноваи снова монтирование, каталогизацию и демонтирование ленты. Это почти всегдавызывается тем, что записанный на ленте идентификатор (метка) не соответствуетинформации базы данных RSM для монтируемой ленты. Возможно, что носитель вбиблиотеке лент был заменен другой лентой или помещен в неверный слот. Всегдаработайте с мастерами RSM Eject Media (Извлечение носителя) и Inject Media (Установканосителя) вместо ручного удаления и замены носителей. Это позволяет RSMследить за носителями.Если вы опоздали, чтобы воспользоваться моим советом, и лента, которая вамтребуется для восстановления, попала в бесконечный цикл, используйте следующийприем: отмените восстановление и выполните полную опись данной библиотеки.После описи RSM сможет найти нужную ленту и правильно смонтирует ее.Если все это заставляет вас вспоминать от тех днях, когда для создания резервнойкопии вам нужно было вручную установить нужную ленту, и программа резервногокопирования только проверяла, установлена ли лента (без проверки идентификаторас меткой дня недели и прочей «персональной информации» о ленте), товы можете вернуться к старому способу.

Глава 17Безопасность WindowsServer 2003Существует довольно распространенный миф, что платформа Windows является незащищеннойпо своей природе. Это принципиально неверно. Windows Server 2003 -одна из наиболее защищенных операционных систем. Она основывается на системебезопасности Windows 2000 и расширяет ее. Windows Server 2003 можно сделатьзащищенной на любом требуемом уровне (если администратор знает, как это сделать).В этой главе описываются некоторые средства и процессы, используемые длязащиты вашего сервера.Аутентификация Windows Server 2003Аутентификация - это проверка того, что данное лицо соответствует опознавательнымданным, которые он предъявляет; тем самым, аутентификация является основнымкомпонентом системы безопасности Windows Server 2003. Она подтверждаетопознавательные данные («личность») пользователя, который хочет выполнитьвход на компьютер, в сеть или в домен. Используя Active Directory, Windows Server2003 поддерживает единый вход для доступа ко всем сетевым ресурсам. Это позволяетпользователю выполнять вход в домен с помощью единственного пароля илисмарт-карты и аутентифицироваться для любого ресурса в домене.Windows Server 2003 поддерживает два основных протокола для аутентификации.• Kerberos V5. Используемый по умолчанию протокол аутентификации для серверовWindows 2000, Windows XP и Windows Server 2003, если они являются членамидомена Active Directory. Его можно использовать для интерактивного входапо паролю или смарт-карте.• NTLM. Поддерживается для совместимости с Windows 95, Windows 98, WindowsMe и Windows NT 4, которые используют NTLM для подсоединения к сети. Компьютеры,работающие с Windows Server 2003, используют NTLM при подсоединенииили доступе к ресурсам в домене Windows NT 4.Аутентификация NTLMОперационные системы Microsoft Windows 9x и Windows NT не могут использоватьKerberos, поэтому они используют NTLM для аутентификации в домене WindowsServer 2003. В защите NTLM имеются «слабые места», которые позволяют специалистампо взлому паролей дешифровать NTLM-аутентификацию. Чтобы воспрепятствоватьэтому, Microsoft разработала NTLM версии 2. Клиенты и серверыWindows 2000, а также Windows XP будут продолжать аутентифицироваться на контроллерахдоменов Windows Server 2003 с помощью Kerberos независимо от того, чтоиспользуется, - NTLM или NTLMv2.

Глава 17. Безопасность Windows Server 2003 559Примечание. Подробнее об активизации NTLMv2 в более ранних версиях Windowsсм. в статье 239869 Microsoft Knowledge Base «How to Enable NTLM 2 Authenticationfor Windows 95/98/2000/NT» по адресу http://support.microsoft.com.Аутентификация NTLM для telnetДля клиента telnet (сетевого теледоступа) в Windows 2000 добавлена поддержка аутентификацииNTLM. Это позволяет клиенту telnet в Windows 2000 или Windows Server2003 выполнять вход на сервер telnet Windows Server 2003 с помощью аутентификацииNTLM. Для доступа к серверу telnet пользователи могут использовать свое локальноепользовательское имя и пароль Windows 2000 или информацию доменнойучетной записи. Если аутентификация NTLM не используется, то пользовательскоеимя и пароль передаются на сервер telnet в виде нешифрованного текста. В результатеэти данные могут быть перехвачены злоумышленником в сети. При аутентификацииNTLM клиент использует для аутентификации средства безопасностиWindows Server 2003, и у пользователя не запрашиваются пользовательское имя ипароль. Пользовательское имя и пароль передаются на сервер в шифрованном виде.После аутентификации все команды передаются в виде нешифрованного текста.Примечание. Microsoft Terminal Server является более защищенной по сравнению сtelnet. Terminal Server можно блокировать, используя в основном те же процессы,что используются для усиления защиты серверов Windows.Обзор KerberosПротокол аутентификации Kerberos обеспечивает взаимную защиту между клиентамии серверами, а также между серверами. Когда пользователь выполняет вход,используя пользовательское имя/пароль или смарт-карту, компьютер находит серверActive Directory и службу аутентификации Kerberos. Затем Kerberos выдает такназываемые билеты (ticket), чтобы разрешить доступ к сетевым службам. Эти билетысодержат шифрованные данные, включая шифрованный пароль, подтверждающийопознавательные данные пользователя для этой службы.Главным компонентом Kerberos является Центр распространения ключей (KDC -Key Distribution Center). KDC запускается на каждом контроллере домена как частьActive Directory и используется для хранения паролей и информации учетных записейклиентов. Windows Server 2003 реализует KDC как доменную службу и используетActive Directory домена как ее базу данных с информацией учетных записей. Впроцесс аутентификации Kerberos входят следующие шаги.1. Пользователь на клиентском компьютере аутентифицируется для KDC с помощьюпароля или смарт-карты.2. KDC выдает клиенту специальный билет, позволяющий получить билет (TGT —Ticket-granting ticket), чтобы разрешить ему доступ к предоставляющей билетыслужбе (TGS - Ticket-granting service) на контроллере домена.3. TGS выдает клиенту билет на обслуживание.4. Этот билет подтверждает опознавательные данные пользователя для службы иопознавательные данные службы для пользователя.

560 Windows Server 2003. Полное руководствоРеализация Kerberos в Windows Server 2003По умолчанию Kerberos обладает свойствами прозрачности и защищенности вWindows Server 2003. Это освобождает вас от необходимости знать, каким образомреализован Kerberos.Примечание. Администраторам домена или предприятия не следует вносить измененияв реализацию Kerberos по умолчанию без ясного понимания цели этих изменений,а также их влияния на домен. После внесения изменений на одном контроллередомена настройки реплицируются на все остальные контроллеры домена.Любые изменения политики Kerberos окажут влияние на все компьютеры домена.Если вам необходимо внести изменения в политику Kerberos, выполните следующиешаги.1. Откройте оснастку Active Directory Users and Computers.2. В дереве консоли щелкните правой кнопкой на данном домене.3. Выберите пункт Properties (Свойства) и затем щелкните на вкладке Group Policy(Групповая политика).4. Щелкните на кнопке Edit.5. В дереве консоли щелкните на Kerberos Policy (в последовательности ComputerConfiguration/ Windows Settings/Security Settings/Account Policies/Kerberos Policy).6. Дважды щелкните на политике Kerberos, которую хотите модифицировать.7. Внесите изменения в эту политику и затем щелкните на кнопке ОК.Имеется несколько относящихся к Kerberos политик, которые можно модифицировать,если это крайне необходимо.• Enforce User Login Restrictions. Указывает, что KDC должен проверять наличие упользователя права «Log on locally» (Локальный вход) или «Access this computerfrom the Network» (Доступ к данному компьютеру из сети). Если пользователь неимеет одного из этих прав, то билет на обслуживание не выдается. Эта политикавключена по умолчанию.• Maximum Lifetime That a User Ticket Can Be Renewed. Задает максимальный срокдействия билета TGT или сеансового библиотека. По умолчанию 7 дней.• Maximum Service Ticket Lifetime. Задает количество минут, в течение которыхдействителен билет на обслуживание. Это должно быть значение от 10 минут довремени, заданного в политике «Maximum User Ticket Lifetime». По умолчанию600 минут.• Maximum Tolerance for Synchronization of Computer Clocks. Задает максимальнодопустимое отличие в минутах между таймерами компьютера-сервера KDC иклиентского компьютера. Таймеры этих машин должны быть синхронизированыс максимально возможной точностью. По умолчанию 5 минут.• Maximum User Ticket Lifetime. Задает количество часов, в течение которых действителенбилет Kerberos TGT. По истечении этого времени должен быть полученновый билет или обновлен старый. По умолчанию 10 минут.Имеется также небольшое число других опций Kerberos. Для доступа к этим опциямнужно выбрать пользователя в окне Active Directory Users and Computers ищелкнуть на Properties.• Smart Card Is Required for Interactive Logon. Требует, чтобы пользователь выполнялвход с помощью смарт-карты. По умолчанию эта политика отключена.

Глава 17. Безопасность Windows Server 2003 561• Use DES Encryption for This Account. Требует использования 56-битного DESшифрованиявместо 128-битного RC4, используемого в Microsoft Kerberos. Посколькуметод DES защищен намного меньше, чем RC4, использование DES нерекомендуется. По умолчанию эта политика отключена.Хотя Kerberos существенно повышает защищенность по сравнению с прежнимипротоколами аутентификации, его безопасность в целом все еще основывается напароле пользователя. В результате слабая политика паролей может обесценить всепреимущества Kerberos. Один из способов разрешения данной проблемы - это использованиесмарт-карт.Реализация смарт-картWindows Server 2003, как и Windows 2000, поддерживает использование смарт-картдля входа. На смарт-карте могут храниться сертификат пользователя и личный ключ,поэтому он может выполнять вход, установив эту карту в устройство чтения смарткарт.После этого компьютер запрашивает у пользователя его личный идентификационныйномер (PIN-код), чтобы разрешить этому пользователю вход в систему.Смарт-карты дают следующие преимущества по сравнению с паролями.• Отпадает вопрос слабости использования пароля в Kerberos. Смарт-карты обеспечиваютболее сильную аутентификацию, чем пароли, поскольку для них используютсяшифрованные идентификационные данные.• Требуется, чтобы пользователь лично установил смарт-карту для аутентификациив домене.• Смарт-карта может быть блокирована после определенного числа неудачныхпопыток ввода PIN-кода. Это может воспрепятствовать словарным и «лобовым»атакам на смарт-карту.Windows Server 2003 использует несколько политик, чтобы определить вход всистему с помощью смарт-карт. Политика Smart Card Is Required for Interactive Logonтребует использования смарт-карты для интерактивного входа в систему. Если заданаэта политика, то пользователь не может использовать пароль для входа по учетнойзаписи. Эта политика касается только интерактивных и сетевых входов, но невходов удаленного доступа, для которых используется другая политика. Смарт-картыособенно рекомендуются для наиболее важных учетных записей, например, учетныхзаписей Administrator. Политику Smart Card Is Required for Interactive Logon неследует использовать, если пользователь должен указать пользовательское имя, парольи имя домена для доступа к сетевым ресурсам.Инфраструктура открытых ключей и аутентификацияWindows Server 2003Windows Server 2003 использует сертификаты для разнообразных функций, такихкак аутентификация по смарт-карте, аутентификация на веб-сервере, защищеннаяэлектронная почта, безопасность IP (Internet Protocol) и подписание кода (codesigning). Сертификат - это цифровой документ, выданный каким-либо ответственныморганом для подтверждения идентификационных данных обладателя сертификата.Он связывает открытый ключ (public key) с пользователем, компьютеромили службой, которые владеют соответствующим личным ключом (private key). Всертификат обычно включается информация о пользователе или компьютере, которомувыдан этот сертификат, информация о самом сертификате и (обычно) о так

562 Windows Server 2003. Полное руководствоназываемом Центре сертификации (ЦС) (Certificate authority [CA]), который выдалсертификат. Сертификаты обычно содержат следующую информацию.Открытый ключ пользователя.Часть идентифицирующей информации о пользователе, например, его имя иадрес электронной почты.Срок действия этого сертификата.Информация о поставщике этого сертификата.Цифровая подпись поставщика, которая связывает открытый ключ пользователяи его уникальную идентифицирующую информацию.Примечание. Хотя сертификаты использовались и в предыдущих операционных системахWindows, они не были широко распространены как средство системы безопасности.Эта ситуация изменяется с ростом числа организаций, развертывающихActive Directory.Обычно сертификаты действуют только в течение указанного периода времени,который тоже включается в сертификат. По истечении периода действия сертификатапользователи должны запрашивать новый сертификат. При использованиисертификатов Windows Server 2003 доверяет тому, что поставщик сертификата удостоверилидентификационные данные пользователя сертификата. Сервер обозначаетпоставщика сертификатов как доверяемый корневой ЦС, помещая сертификатэтого поставщика, подписанный его собственной подписью, в хранилищесертификатов доверяемых корневых ЦС на хост-компьютере. Для управления этимиЦС в Windows Server 2003 используется служба Certificate Services. Таким образом,ЦС несет ответственность за создание и удостоверение идентификационныхданных обладателей сертификатов. Вы можете управлять службой Certificate Servicesс помощью консоли ММС Certification Authority (Центр сертификации).тшштштт^Й) Certification Authority (Local)| i-Ш Issued Certfkatesi •• ^ Pendhg Requests!-g| Fated Requests•••-.••:.•1 Revocation BateTherearenoitems toshow in thisview.J J ,_ -:1si£i тшш,: 1 ; : siiiiiШаблоны сертификатовШаблон сертификата - это набор правил и настроек, которые применяются к запросамсертификатов. Для каждого типа сертификатов должен быть сконфигурированшаблон сертификата. Шаблоны сертификатов можно настраивать в центрахсертификации (ЦС) предприятий Windows Server 2003, и они хранятся в ActiveDirectory для использования всеми ЦС в домене. Это позволяет вам выбрать шаблонпо умолчанию или модифицировать существующие шаблоны, чтобы создаватьнастраиваемые шаблоны. В Windows Server 2003 имеется несколько типов шаблоновсертификатов.

Глава 17. Безопасность Windows Server 2003 563• Server Authentication Certificates (Сертификаты для аутентификации серверов).Используются для аутентификации серверов перед клиентами.• Client Authentication Certificates (Сертификаты для аутентификации клиентов).Используются для аутентификации клиентов перед серверами.• Code Signing Certificates (Сертификаты для подписания кода). Используются дляподписания активного содержимого и приложений, чтобы гарантировать их поступлениеот доверяемого источника.• Secure Email Certificates (Сертификаты для защищенной почты). Используютсядля подписания сообщений электронной почты.• Encrypting File System Certificates (Сертификаты для шифрующей файловой системы).Применяются для шифрования и дешифрования симметричного ключа,используемого файловой системой Encrypting File System (EFS) Windows Server2003.• File Recovery Certificates (Сертификаты для восстановления файлов). Используютсядля шифрования и дешифрования симметричного ключа, используемогодля восстановления данных, шифрованных с помощью файловой системы EFSWindows Server 2003.Защита данных с помощью EFS (EncryptingFile System) Windows Server 2003Аналогично Windows 2000 и Windows ХР система Windows Server 2003 может защищатьданные на дисках формата NTFS с помощью EFS. EFS не работает на дисках,отформатированных с помощью FAT32. При шифровании файла ему присваиваетсяуникальный ключ шифрования, с помощью которого можно дешифровать егоданные. Этот ключ шифрования затем шифруется с помощью открытого ключа данногопользователя. Ключ шифрования файла защищается также открытым ключомдругих пользователей, которым были предоставлены полномочия на дешифрованиеэтого файла, а также назначенного агента восстановления. Важно также понять,что когда шифрованные с помощью EFS файлы передаются через сеть, они незащищены, если не реализован IPSec (Internet Protocol Security).Внимание. Хотя алгоритм шифрования EFS считается очень защищенным, шифрованныеданные могут быть прочитаны хакером/если он «разгадает» пароль пользователяили администратора. Для защиты шифрованных данных критически важноиметь сильные пароли.Существуют два метода шифрования файлов и папок с помощью EFS. Основнойспособ - это шифрование папки или файла с помощью Windows Explorer (Проводник).1. Щелкните правой кнопкой на файле или папке.2. Выберите Properties/General/Advanced (Свойства/Общие/Дополнительно).3. Установите флажок Encrypt Contents To Secure Data (Шифровать содержимоедля защиты данных).Данные шифруются автоматически и совершенно прозрачным образом дляпользователя.

564 Windows Server 2003. Полное руководствоAdvanced Attributes• !. • • !.. ..:•., .....•.: I •• ' : ,— When you хф Леи tlvarciM you ratbe «k*d i you w r* the,! ... I i;l,;,;l ; • • foM. • • *•>. • •. "AnHvs and Inde> «Inbut-sQf Scter в ready for archivingFor fast seacNng, *« Irde or.) 5««e to ind

Глава 17. Безопасность Windows Server 2003 565низационных единиц (OU). Центр сертификации (ЦС) может выдавать сертификатывосстановления с помощью оснастки ММС Certificates. При работе в доменеWindows Server 2003 реализует политику восстановления по умолчанию для домена,когда создается первый контроллер домена. Администратор домена назначается какагент восстановления.Чтобы изменить политику восстановления для локального компьютера.Щелкните на кнопке Start и затем на кнопке Run.Введите mmc и затем щелкните на кнопке ОК, чтобы запустить консоль управленияMicrosoft (MMC).В меню Console щелкните на Add/Remove Snap-ins (Добавление/удаление оснасток)и затем щелкните на кнопке Add.Добавьте Group Policy Object Editor (Редактор объектов Group Policy).В Group Policy Object проследите, чтобы был представлен текст «Local Computer»и щелкните на кнопке Finish. Щелкните на кнопке Close и затем щелкните накнопке ОК.В последовательности Local Computer Policy\Computer Configuration\WindowsSettings\Security Settings\Public Key Policies щелкните правой кнопкой наEncrypting File System и затем выполните одно из следующих действий.Console! * {Console Rnot\Loc*ilComputerPoticy\CoroputeiConhquiation\WmdawsSetinqsXSecunty Set..fit ficiion View FwoHm Windr» Н*•> •••• В . ! 0 02, Й2s) Console RootB-1? Local Computei Policy$"3 Computer ConfiguationЙ1Й1 Software Settingsф И Windows Settingsj \-Щ Scripts (Startup/Shutdown)j 3-pl Security SettingsI lip ^ Account PoliciesI ф-Щ LocalPoliciesObject r^t«ffilEnaypting File SystemJAutoenrcflment SettingsI '•-13 Encrypting File Systemф Si Software Restriction Policiesi ;ti-'3i IP Security Policies on Local ComputerSi-^J Administrative Templatesdi-i^J User ConfiguationJ^JЧтобы назначить пользователя как дополнительного агента восстановления спомощью мастера Add Recovery Agent Wizard, щелкните на кнопке Add DataRecovery Agent (Добавить агента восстановления данных). Агентами восстановленияможно назначать только пользователей, имеющих сертификат агента восстановления.Чтобы разрешить системе EFS работать без агентов восстановления, щелкнитена All Tasks (Все задачи) и затем щелкните на Do Not Require Data Recovery Agents(He требовать агентов восстановления данных).Чтобы удалить эту политику EFS и всех агентов восстановления, щелкните наAll Tasks и затем щелкните на Delete Policy (Удалить политику). После выбора

566 Windows Server 2003. Полное руководствоэтого варианта пользователи по-прежнему смогут шифровать файлы на данномкомпьютере.Использование системного ключа (SYSKEY)SYSKEY (system key) выполняет сильное шифрование файлов паролей и устанавливаетсяпо умолчанию на машинах с Windows 2000, Windows XP и Windows Server 2003.SYSKEY может также защищать следующую важную информацию.• Главные ключи, которые защищают личные ключи.• Ключи для паролей пользовательских учетных записей, которые хранятся в ActiveDirectory.• Ключи для паролей, которые хранятся в реестре в локальном разделе SecurityAccounts Manager (SAM).• Ключи защиты для секретов LSA.• Ключ для пароля учетной записи Administrator, используемый для загрузки системыв режиме восстановления Safe Mode (Безопасный режим).Примечание. У вас могут быть трудности с использованием какого-либо средствабезопасности, выполняющего аудит паролей на компьютерах с установленнымSYSKEY, поскольку шифрованные с помощью SYSKEY файлы паролей могут выглядетьодинаково с нешифрованными файлами, но на самом деле они считаютсянедоступными для взлома.Системный ключ может сохраняться одним из трех способов.• В нормальном режиме (Mode 1) системный ключ сохраняется в реестре с помощью«сложной скрывающей функции». При этом варианте пользователи могутперезагружать компьютер без необходимости ввода системного ключа. Это конфигурацияпо умолчанию для системного ключа.• В режиме 2 (Mode 2) этот ключ также сохраняется в реестре, но чтобы снятьблокировку компьютера во время его загрузки требуется ввод пароля. Системныйключ генерируется с помощью технологии хеширования MD5 из пароля,который может содержать до 128 символов. Этот пароль вводится во время загрузкикомпьютера.• В режиме 3 (Mode 3) системный ключ сохраняется на дискете, которую нужновставить в дисковод во время загрузки Windows, иначе Windows не загрузится.Дискета должна быть установлена, когда Windows Server 2003 начинает выполнятьпоследовательность загрузки, но до того момента, как пользователи смогутосуществлять вход в систему.Примечание. Если вы забыли пароль для системного ключа или потеряна дискета,содержащая системный ключ, то загрузить систему невозможно. Единственныйспособ восстановить систему, когда утрачен SYSKEY, это использование диска аварийноговосстановления Emergency Repair Disk (ERD) для восстановления реестрав состояние, предшествовавшее защите системы с помощью системного ключа. Нотогда будут потеряны все изменения, внесенные в систему после этого.Для защиты по системному ключу выполните следующее.

Глава 17. Безопасность Windows Server 20035671. Введите syskey в командной строке.2. Выберите вариант Encryption Enabled (Включено шифрование),дХ^атьТ Х^Т ЩеЛКНИТС^К° К В Ы п^ите шпомин^ГчхоГслё!дует создать обновленный диск аварийного восстановления (ERD) и в окне будутпредставлены варианты выбора режима для базы данных учетных записей(Account Database). По умолчанию выбран режим Mode 1SecuringtheWindowsAcountDatabasectwbled -Cancel[jpdal e |3. Щелкните на кнопке Update (Обновить)4' BIS 01 ° KHe ACC ° Unt ° atabaSe Кеу (КЛЮЧ базы данны х учетных записей)выверите вариант ключа или измените пароль, затем ина «е ОК3. Выберите нужный вариант использования системногона кнопке ОК.ключа и затем щелкнитешВНЕ6. Перезагрузите компьютер.Примечание. Если выбран вариант Password Startup (Загрузка с паролем) то SYSKFYне требует какой-либо минимальной длины пароля.па ?ш), то SYSKEYПри загрузке системы у пользователей может быть запрошен ввод системного еат В пеГо СИМ ° СТИ ° ТуСТаН0 го ьариантаключа^ш^ W2oTor apy-живаетпервоеиспользованиесистемногоключаигенерируетновый случайный ключКлюч шифрования паролей защищен системным ключом, чтоание всей информации по паролям учетных записей.

568 Windows Server 2003. Полное руководствоЕсли установлен SYSKEY, то реализуется следующая последовательность загрузкиWindows.1. Windows Server 2003 получает системный ключ из хранящегося в реестре ключа,из введенного пароля или с дискеты.2. Windows Server 2003 использует системный ключ для дешифрования главногозащитного ключа.3. Windows Server 2003 использует главный защитный ключ для получения ключашифрования паролей пользовательских учетных записей, который затем используетсядля дешифрования информации паролей в Active Directory или в локальномразделе реестра SAM.Использование SYSKEY в доменеДля компьютеров, которые включены в домен, только члены группы Domain Adminмогут запускать SYSKEY. В случае автономных компьютеров SYSKEY могут запускатьлокальные администраторы.Примечание. Генерируемый компьютером SYSKEY, хранящиеся локально на основномконтроллере домена (Primary Domain Controller), не реплицируется на другиеконтроллеры домена.SYSKEY можно конфигурировать независимо на каждом компьютере в домене.Каждый компьютер может иметь свой собственный ключ шифрования паролей иуникальный системный ключ. Например, один контроллер домена может иметьрежим Mode 3, а другой контроллер домена может использовать Mode 2.Примечание. Если имеется только один контроллер домена, то администраторы должныобеспечить использование второго (резервного) контроллера домена как, покане будут внесены и проверены изменения на первом контроллере домена. Рекомендуетсятакже иметь свежую копию аварийной дискеты (ERD) для этого компьютера.Защищенные паролем заставкиЗащищенная паролем заставка (screensaver) позволяет Windows Server 2003 автоматическиблокировать экран после заданного периода «неактивности». Это можетбыть резервное копирование, когда пользователь или администратор забыл блокироватьдоступ к рабочей станции. После блокировки экрана компьютера его можетразблокировать только пользователь, выполнивший текущий вход на компьютер,или уполномоченный администратор.Чтобы задать автоматическую блокировку экрана на отдельном компьютере,выполните следующее.1. Щелкните правой кнопкой на рабочем столе пользователя и выберите пунктProperties. Появится окно Display Properties (Свойства: Экран).2. Щелкните на вкладке Screen Saver (Заставка).3. Выберите заставку из раскрывающегося списка Screen Saver.4. В поле Wait (Интервал ожидания) введите количество минут периода неактивногосостояния, после которого будет инициирована заставка (рекомендуетсязначение по умолчанию, равное 15 минутам).

Глава 17. Безопасность Windows Server 2003 5695. Установите флажок On Resume, Password Protect (При возобновлении защита попаролю).6. Щелкните на кнопке ОК, чтобы задать эту защищенную паролем заставку.Display Properties1i-«ir*s] Desktop ScieenSavei | Арктике | Sr 1>г.~ЛлTo sdru;! men** powu setting* and save energy.CorxelIЧлены группы Domain Administrators могут активизировать групповую политикуActive Directory, чтобы задать, будут ли пользователи использовать заставки исмогут ли они изменять свойства заставки.Ниже приводятся настройки групповой политики, которые могут влиять на работузаставки.• Hide Screen Saver Tab (Скрывать вкладку «Заставка»), Удаление вкладки ScreenSaver из окна Display в панели управления (Control Panel).• Screen Saver (Заставка). Может запрещать запуск заставок.• Screen Saver Executable Name (Имя исполняемого модуля заставки). Указываетзаставку для рабочего стола пользователя и препятствует изменениям.• Password Protect the Screen Saver (Защита заставки паролем). Разрешает использоватьпароли для всех заставок. Отключите, если не хотите использовать паролидля всех заставок.Чтобы сделать блокировку заставки паролем недоступной для пользователей спомощью групповой политики, выполните следующие шаги.1. Щелкните на кнопке Start и затем на кнопке Run.2. Введите mmc и затем щелкните на кнопке ОК, чтобы запустить консоль управленияMicrosoft (MMC).3. В меню Console щелкните на Add/Remove Snap-ins и затем щелкните на кнопкеAdd.4. Щелкните на Group Policy (Групповая политика) или Local Policy (Локальнаяполитика). Если это будет политика Active Directory, щелкните на кнопке Add,затем на кнопке Browse и выберите сайт, домен или организационную единицу(OU), к которой будут применяться эта политика.

570 Windows Server 2003. Полное руководство5. Щелкните на кнопке Close.6. Раскройте последовательность User Configuration\Administrative Templates\ControlPanel\Display.7. В правой панели дважды щелкните на Password protect the screen saver.„8 Console! - [Console RoolVLocal Compute! PolicyUJsei ConligurationSAdmmistiative TemplatesSConl . f»»« FavoritesWindowС 1•.Щ Console RootJJ Desktop ThemesЙ # Local Computer PolicyRemove Display in Control PanelФ Щ Computer Configuration3 jjjP User Configuration4 Hide Desktop tabPrevent changing wallpaperфЁЭ Software SettingsHide Appearance and Themes tabЩ-Ш Windows SettingsIf Hide Settings tabЙ Й Administrative TemplatesЩ Hide Screen Saver tab$• i3 Windows ComponentsScreen Saver| g«j Start Menu and Taskbarj Screen Saver executable namei-S Desktop5 -23 Control PanelIЦд Addor RemoveProd£jf Screen Saver timeoutI < -Ш Desktop Theme:j Ш Peters> '£% Regional and l_angu

Глава 17. Безопасность Windows Server 2003 571• Препятствует воспроизводящим атакам, гарантируя, что допустимые пакетыданных не используются повторно для получения доступа к сети в будущем.Примечание. Два из наиболее распространенных применений IPSec - брандмауэрна основе хоста и соединение двух серверов, разделенных брандмауэром. Например,IPSec можно использовать для защищенной передачи данных между веб-сервером,находящимся перед брандмауэром, с сервером базы данных, находящимсяза брандмауэром в корпоративной сети интранет.Конфигурация политик IPSec Windows Server 2003 преобразует деловые потребностиIPSec в политики IPSec, которые можно назначать на уровне домена, сайта,организационной единицы (OU) или локальных машин. Ее можно реализовать,поместив серверы в OU и назначив политику IPSec этой OU с правилом, котороетребует защищенного трафика между серверами и всеми другими компьютерами. ВWindows Server 2003 оснастка IP Security Monitor в консоли ММС позволяет администраторамуправлять политиками IPSec, включая следующее.• Создание и модифицирование политики IPSec.• Слежение за информацией IPSec о локальном компьютере и удаленных компьютерах.• Просмотр деталей политик IPSec.• Просмотр фильтров, статистики и ассоциаций безопасности (security associations)IPSec.Из оснастки IP Security Policies можно централизованно управлять политикойIPSec для членов Active Directory или для локальных компьютеров. Политика IPSecсостоит из набора фильтров, действий фильтров и правил. Фильтр содержит следующиеданные.• Один исходный IP-адрес или диапазон адресов.• Один целевой IP-адрес или диапазон адресов.• Протокол IP, такой как TCP, UDP или «any» (любой).• Исходный и целевой порты.Действие фильтра (filter action) указывает, что происходит, когда вызываетсяфильтр. Например, это может быть разрешение отправки и приема трафика IP безблокирования, блокирование трафика и согласование протокола безопасности дляего использования между компьютерами.Правило связывает фильтр с действием фильтра. Отраженная политика применяетправила ко всем пакетам, где меняются местами указанные исходный и целевойIP-адреса.Внимание. Windows Server 2003 содержит списки заранее определенных файлов, действийфильтров и политик по умолчанию IPSec. Они предназначены для использованиятолько как пример политик IPSec. Их не следует использовать без модификации.Эти политики по умолчанию определены для компьютеров в сетях интранет, посколькуони разрешают членам домена Active Directory получать незащищенный трафик.Для добавления, редактирования или удаления политик IPSec используйте ММС,чтобы открыть консоль, содержащую IP Security Policy Management (Управлениеполитиками IPSec), и затем выполните одну из следующих процедур.

572 Windows Server 2003. Полное руководство• Добавление новой политики. Выберите Action/Create IP Security Policy. Выполняйтеинструкции мастера IP Security Policy Wizard, пока не появится диалоговоеокно Properties для этой новой политики.• Модифицирование существующей политики. Дважды щелкните на политике, которуювы хотите модифицировать, и внесите необходимые изменения.• Удаление политики. Щелкните на политике, которую вы хотите удалить, и в менюAction щелкните на пункте Delete.Если вы добавляете или модифицируете политику, щелкните на вкладке General,введите уникальное имя в поле Name и введите описание этой политики безопасностив поле Description.Чтобы задать частоту проверки обновлений агентом политик IPSec Policy Agent,введите в поле Check (Проверка) количество минут для интервала проверки измененийполитик.Если у вас имеются особые требования к безопасности обмена ключами, щелкнитена кнопке Settings, щелкните на вкладке Rules (Правила) и создайте или изменитевсе необходимые правила для данной политики. Активизируйте или отключитеправила, как это вам нужно.ПдСог solel • [Console RootMP Security Policies on Local Compute»!,. Aclta V»w Favates Wiidwj Helpe r a • й- в п л ± з. •

'Й £ te d?Глава 17. Безопасность Windows Server 2003 5736. В диалоговом окне IP Filter List выполните одну из следующих процедур.• Чтобы использовать мастер IP Filter Wizard для создания фильтра, проследите,чтобы был установлен флажок Use Add Wizard (Использовать мастер добавления),и затем щелкните на кнопке Add.• Чтобы создать фильтр вручную, сбросьте флажок Use Add Wizard и затемщелкните на кнопке Add.• Чтобы модифицировать существующий фильтр, выберите этот фильтр и затемщелкните на кнопке Edit.Во вкладке Addresses (Адреса) выберите исходный адрес (Source Address).Щелкните на Destination Address (Адрес назначения) и повторите шаг 7 для адресаназначения.В секции Mirrored (Зеркальный) выберите нужную настройку.• Чтобы автоматически создать два фильтра с одинаковыми настройками, одиндля трафика в точку назначения и второй — из точки назначения, установитефлажок Mirrored.• Чтобы создать один фильтр, сбросьте флажок Mirrored.10. В поле Description вкладки Description введите описание этого фильтра.Оснастка IPSec MonitorВ Windows 2000 была автономная исполняемая программа IP Security Monitor, котораяназывалась IPSecmon.exe. В Windows Server 2003 реализована оснастка ММС IPSecurity Monitor, с помощью которой вы можете делать следующее.Следить за информацией IPSec для локальных и удаленных компьютеров.Просматривать детали активных политик IPSec, включая имя, описание, датупоследнего изменения, хранилище, путь, OU и имя объекта Group Policy.Просматривать информацию фильтров IP.Просматривать статистику IPSec.Просматривать ассоциации безопасности в основном и быстром режимах.Выполнять поиск фильтров по исходному IP-адресу или IP-адресу назначения.Т» Consolei - (Console RoolMP Serawilji Monitm\RICHBETESTSRV\Aclive PolffijpJЩ Console RootЩ IP Security MonitorВ @) RICHBETESTSRVф

574 Windows Server 2003. Полное руководствоЛокальные политики безопасностиПолитики безопасности критически важны для реализации защищенных серверовWindows Server 2003 и защиты доменов. Администраторы могут управлять политикойбезопасности на локальных и удаленных компьютерах, включая политики паролей,политики блокировки учетных записей, политики Kerberos, политики аудита,права пользователей и другие политики. Управлять политиками безопасностиможно путем редактирования политик на локальном компьютере, в OU или в домене,а также путем применения файлов с шаблонами безопасности (файлы с расширениемимени .inf). Настройки Local Security Policy можно задавать на автономныхкомпьютерах или применять к членам домена. В домене Active Directory настройкиDomain Security Policy имеют приоритет по сравнению настройками Local SecurityPolicy.Примечание. Как Microsoft, так и агентство NSA (National Security Agency) предлагаютфайлы шаблонов безопасности, которые можно использовать для защитыWindows, серверов, рабочих станций и приложений. Их следует использовать с большойосторожностью и только после обширного тестирования. После их установкиможет нарушиться работа многих конфигураций приложений и серверов.Чтобы модифицировать Local Security Policy, сделайте следующее.1. Выполните вход на данный компьютер с административными правами.2. Выберите Start/Programs/Administrative Tools/Local Security Policy. Появится консольLocal Security Settings.MLocalSecuritySetingslit•> ИЗ И. ГУpSecuritySetings* Я Account PoiciesS-jBS Account Lockout PolicyS-Ш Local Policiesфй| Public Key Policies2j Software Restriction Policies| IP Security Policies on Local Computer»Enforcepasswordhistory 24passwordsr

Глава 17. Безопасность Windows Server 2003 575• Enforce Password History (Журнал паролей). Должно быть задано запоминание12 паролей.• Maximum Password Age (Максимальный срок действия паролей). Промежутоквремени, после которого пользователям требуется изменить свой пароль. Должнобыть задано значение от 45 до 90 дней.• Minimum Password Age (Минимальный срок действия паролей). Минимальныйпромежуток времени, в течение которого пользователи не могут изменять пароль.Должно быть задано значение 1 день.• Minimum Password Length (Минимальная длина паролей). Минимальное количествосимволов, которое должно быть в пользовательских паролях. Должно бытьзадано значение не менее 8 символов. Каждый дополнительный символ в паролесущественно повышает трудность взлома пароля.• Password Must Meet Complexity Requirements (Пароль должен отвечать требованиямсложности). Требует использования сильных паролей и поэтому должнабыть включена (Enabled). Это требует задания пароля, содержащего не менеетрех символов из следующих четырех наборов символов: прописные буквы,строчные буквы, числа и неалфавитные символы.Примечание. Слабые пароли пользователей и администраторов являются одной изосновных причин проникновения хакеров на серверы. Если хакер может «разгадать»пароль Domain Administrators, то он фактически «владеет» всем доменом.Политики блокировки учетных записейСуществует несколько подходов к реализации политик блокировки учетных записей.В одной из рекомендаций говорится, что блокировку учетных записей реализоватьне следует: если политики паролей сконфигурированы должным образом, тоникакой злоумышленник не сможет разгадать пароль за приемлемый период времени.Кроме того, активизация политик блокировки учетных записей значительноповышает возможность отказа в обслуживании, если делаются попытки компрометациисервера с помощью автоматизированных атакующих программ. Эти программычасто осуществляют перебор небольшого числа типичных паролей, что можетпривести к блокировке некоторых или всех учетных записей на сервере (за исключениемучетной записи Administrator, которая не может быть блокирована).Внимание. Существует ряд «червей», которые пытаются выполнить вход для открытияразделяемых сетевых ресурсов путем перебора небольшого числа паролей дляучетной записи Administrator. Если им удается выполнить вход, это открывает брешидля проникновения хакеров в систему.Ниже приводятся некоторые рекомендованные настройки на тот случай, есливы решили реализовать политику блокировки учетных записей.• Account Lockout Duration (Длительность блокировки учетной записи). Должна бытьзадана равной 0, что требует помощи администратора для разблокирования учетнойзаписи. Эта политика блокирует учетную запись на указанный период временипосле неудачных попыток ввода пароля.

576 Windows Server 2003. Полное руководствоAccount Lockout Threshold (Предельное число попыток перед блокировкой учетнойзаписи). Учетные записи следует блокировать после пяти неверных попытоквхода.Reset Account Lockout Counter After (Сброс счетчика попыток через). Должно бытьзадано значение 30 минут. Эта политика задает, как долго должно оставаться всчетчике предельное число попыток, прежде чем выполнить его сброс.Та Local Secutity SellingsFieAction V«w Hdp|iр Security SettingsS-iS Account Policies| &

ifi Local Security SettingsVie* H-i[.Глава 17. Безопасность Windows Server 2003 577|JJSecurity Setingsffi

578 Windows Server 2003. Полное руководствоAdministrator. Администраторы могут задавать новое имя для учетной записиAdministrator.• Rename Guest Account (Переименование учетной записи гостя). Снижает вероятностьуспешных атак за счет того, что потенциальному хакеру придется угадыватьпароль и пользовательский идентификатор учетной записи Guest. Администраторымогут задавать новое имя для учетной записи Guest.Реализация аудитаАудит - это основное средство для администраторов, позволяющее выявлять и отслеживатьпотенциальные проблемы безопасности, обеспечивать учет пользователейи обнаруживать признаки проникновения в систему безопасности. Для реализацииполитики аудита требуется, чтобы вы определили, какие события и объекты нужновключить в аудит. Наиболее часто в аудит включаются следующие типы событий.• Вход и выход пользователей из системы.• Изменения в пользовательских учетных записях и группах.• Доступ пользователей к важным объектам, таким как файлы и папки.• Изменения политик.Примечание. Аудит журнала событий - это один из наиболее действенных способов,позволяющих выявить несанкционированное проникновение на сервер.Для эффективного аудита Windows Server 2003 вы должны выработать стратегиюаудита, которая определяет следующее.• События безопасности сервера, которые следует включить в аудит.• Максимальный размер и срок хранения записей для журнала Windows Security.Эти значения можно задать в Event Viewer (выберите Start/Settings/Control Panel/Administrative Tools/Event Viewer, щелкните правой кнопкой на конкретном журналеи выберите пункт Properties).• Объекты, такие как файлы и папки, которые должны быть включены в мониторинг.Администраторам следует включать в аудит только необходимые объекты,иначе это вызовет очень быстрое заполнение журналов аудита.• Развертывание политики аудита (Auditing Policy) с помощью средства LocalSecurity Policy (Start/Settings/Control Panel/Administrative Tools/Local SecurityPolicy) на автономной машине или (с помощью Group Policy) в домене.• Регулярный просмотр журналов безопасности. Ценность аудита заключаетсяименно в том, что вы можете просматривать журналы безопасности для выявленияпроникновений в систему безопасности. Ниже приводится местоположениежурналов Windows Server 2003.• %SYSTEMROOT%\system32\config\SysEvent.Evt• %SYSTEMROOT%\system32\config\SecEvent.Evt• %SYSTEMROOT%\system32\config\AppEvent.Evt• Обновление политики аудита по мере необходимости. После просмотра журналовза определенный период времени может потребоваться сбор большего илименьшего объема информации.Чтобы активизировать локальный аудит безопасности Windows с помощью LocalSecurity Policy, выполните следующие шаги.

Глава 17. Безопасность Windows Server 2003 5791. Выполните вход в качестве администратора в Windows Server 2003.2. Выберите Start/Settings/Control Panel.3. Дважды щелкните на Administrative Tools.4. Дважды щелкните на Local Security Policy, чтобы запустить оснастку ММС LocalSecurity Settings.5. Дважды щелкните на Local Policies, чтобы раскрыть этот контейнер, и затем дваждыщелкните на Audit Policy (Политика аудита).6. В правой панели дважды щелкните на политике, которую хотите активизироватьили отключить.7. Установите флажки Success (Успешные) и Fail (Неуспешные).tie Acbcn У»«_ Security Sellings% Ц Account Policie»fr£i Local Policies! j-emnee| Usei flights Assignment] Ш£J? Security Optionsф£Ц Public Key Policies•Si-£j Software Restriction Policiesifl -Ш IP Security Policies on Local Computer^ Audit account logon events1Audit account managementAudit directory service accessAudit logon eventsAudit object access'Audit policy changeAudit privilege useAudit process trackingAudit system events1JЧтобы активизировать аудит безопасности с помощью консоли ММС, выполнитеследующие шаги.1. Выполните вход в качестве администратора в Windows Server 2003.2. Выберите Start/Run, введите mmc и затем щелкните на кнопке ОК.3. Добавьте оснастку Group Policy.4. В поле Select Group Policy Object щелкните на Local Computer, щелкните на кнопкеFinish, щелкните на кнопке Close и затем щелкните на кнопке ОК.5. Раскройте Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies и затем щелкните на Audit Policy.6. В правой панели дважды щелкните на политике, которую хотите активизироватьили отключить.7. Установите флажки Success и Fail.Тй Consolei • (Console Hoot4Loc.ilComputer PoIicyVCompuler ConfiguiattorAWindom Settings45 ecurity Set.FavfifHesiJDConsoleRootВ -Щ Local Computer PolicyВ (3| Computer Configuration! Щ-Ш Software SettingsiВ fa fWindows SettingsScripts(Startup-'Shutdown]Security SettingsЩ-Ш Account PoliciesЙ

580 Windows Server 2003. Полное руководствоИмеется несколько политик аудита, которые можно реализовать для повышениябезопасности Windows Server 2003.• Audit Account Logon Events (Аудит событий входа по учетным записям). Аудитсобытий входа, связанных с аутентификацией пользователя. Рекомендуется аудитуспешных и неудачных попыток входа (SUCCESS и FAILURE).• Audit Account Management (Аудит управления учетными записями). Аудит такихсобытий, как создание учетной записи, блокировка учетной записи и удалениеучетной записи. Рекомендуется аудит событий типа SUCCESS и FAILURE.• Audit Directory Service Access (Аудит доступа к службе каталога). Активизируетаудит доступа к объектам Active Directory. Рекомендуется аудит событий типаSUCCESS и FAILURE.• Audit Logon Events (Аудит событий входа). Аудит событий входа в систему, к которойприменяется данная политика. Рекомендуется аудит событий типаSUCCESS и FAILURE.• Audit Object Access (Аудит доступа к объектам). Активизирует аудит доступа ковсем объектам, которые можно включать в аудит, например, объекты файловойсистемы и реестра. Рекомендуется аудит событий типа SUCCESS и FAILURE.• Audit Policy Change (Изменение изменений политик). Определяет, нужен ли аудитизменений, вносимых в политики назначения прав пользователей, в политикиаудита или в политики доверия. Рекомендуется аудит событий типа SUCCESS.• Audit System Events (Аудит системных событий). Аудит таких событий, как завершениеработы системы и загрузка системы, или событий, влияющих на системныйжурнал и/или журнал безопасности, например, очистка этих журналов. Рекомендуетсяаудит событий типа SUCCESS.Примечание. Наиболее важными событиями, для которых требуется мониторинг,являются события Audit Logon Events (из них можно определить, кто пытался выполнитьвход), Audit Policy Change (из них можно определить, вносились ли измененияв какую-либо политику) и Audit System Events (они позволяют выявить необычныедействия на данном компьютере). Эти события аудита часто используютсядля выявления проникновений в систему.После задания аудита, направленного на обнаружение и запись доступа черезсистему безопасности к файлам или папкам, вы можете отслеживать пользователей,которые выполняют доступ к определенным объектам, и анализировать проникновенияв систему безопасности. Анализ аудита может показать, кто выполнилдействия и кто пытался выполнить действия, которые не разрешены.Чтобы задать аудит по файлу или папке, выполните следующие шаги.1. Запустите Windows Explorer и затем найдите файл или папку, для которой хотитезадать аудит.2. Щелкните правой кнопкой на этом файле или папке, выберите пункт Propertiesи затем щелкните на вкладке Security.3. Щелкните на кнопке Advanced и затем щелкните на вкладке Auditing.4. Определите тип изменений в аудите, которые нужно выполнить.• Чтобы задать аудит для новой группы или нового пользователя, щелкните накнопке Add. В поле Name введите имя пользователя или используйте кнопкуAdvanced, чтобы найти конкретного пользователя.и Для просмотра или изменения аудита для существующей группы или пользователящелкните на имени и затем щелкните на кнопке View/Edit.

'•'•i i p p l y a r t o - j T h i s f - . l i e r . s u b f o l d e r s a n d f i l e sF u l l C o n t r o lT r a v e r s e F o l d e r / E x e c u t e F i l eL i s t F o l d e r / R e a d D a t aB e a d A t t r i b u t e sR e a d E x t e n d e d A t t r i b u t e sC r e a t e F i l e s / W r i t e D a t aC r e a t e F o l d e r s / A p p e n d D a t aW r i t e A t t r i b u t e sW r i t e E x t e n d e d A t t r i b u t e sD e l e t e S u b f o l d e r s a n d F i l e sD e l e t eR e a d P e r m i s s i o n s. . . . C h a n c e P e r m i s s i o n s1Глава 17. Безопасность Windows Server 2003 581• Чтобы отменить аудит для существующей группы или пользователя, щелкнитена имени и затем щелкните на кнопке Remove.5. В панели Access (Доступ) щелкните на флажках Successful (Успешные) и/илиFailed (Безуспешные) в зависимости от типа доступа, аудит которого вам нужен.6. Если вы хотите, чтобы файлы и подпапки в данной папке не наследовали настройкиаудита, сбросьте флажок Apply these auditing entries.[Auditing entry rottemp01• • • Access:.5 u c c 6 * * h JИ D•••DD•DD••ПFatedHnnnnПDППaD•ПC*wd I:r-ApplyJheseaudbng entnet to objects••'•'•• j i ' i ' «, if," и , с _. 1 ^ ^dOK- 1Примечание. Вы можете просматривать события IPSec Policy Agent в журнале аудитаи события драйвера IPSec в системном журнале. Чтобы активизировать регистрациюсобытий драйвера IPSec, задайте в реестре для HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\DiagnosticMode значение 1 и перезагрузитекомпьютер. Драйвер IPSec записывает события в системный журнал только раз вчас.Выявление проникновений в систему безопасностипутем аудита журналовПопытки несанкционированного доступа, записанные в журнале Windows Security,можно видеть как записи предупреждений или ошибок. Чтобы выявить возможныепроблемы безопасности, просмотрите журнал Windows Security.1. Выберите Start/Settings/Control Panel.2. Дважды щелкните на Administrative Tools и затем дважды щелкните на ComputerManagement.3. Раскройте System Tools и затем раскройте Event Viewer.4. Щелкните на Security.

582 Windows Server 2003. Полное руководство5. Просмотрите, нет ли в журналах «подозрительных» событий безопасности, включаяследующие события.Неверные попытки входа.Безуспешное использование привилегий.Безуспешные попытки доступа и изменения файлов .bat или .cmd.Попытки изменить привилегии безопасности или журнал аудита.Попытки завершить работу сервера.|,г„ ,.,, i ..-,Q :T Й' U 1Щ>Саj i| F vent Viewei (Local) Secunty ; 67 219 «nЫ Apffcaton •Type- .l-'J J ' cuW >'^Success Audit• • |j|| System j/Success Audit^Success Audit5/ Success Audit$f Success Audit^/ Success Auditi/Success Auditii'Success Audit^Success Audittf Success Audit^Success Audit©'Success Audit$f Success Audit•if Success Auditrj/Success Auditif Success Audit•^/ Success AuditYSuccesi Auditm m —| Dal? •3/11/20033/11/20033/11/20033/11/20033/11/20033/11/20033/11/2O033/11/20033/11/20033/11/20033/11/20033/11/2003ЗЛ1/20033/11/20033/11/20033/11/20033/11/20033/11/2003| Time4:15:43 PM4:57:48 PM4:57:48 PM4:57:48 PM5:15:41 PM5:15:41PM5:15:42 PM5:15:43 PM5:15:43 PM5:18:51 PM6:15:34 PM6:15:36 PM6:15:37 PM6:15:37 PM6:15:37 PM7:15:31 PM7:15:32 PM..."|.. Source T" I CategfxySecuritySecuritySecuritySecuritySecuritySecuritySecuritySecuritySecuritySecuritySecuritySecuritySecuritySecuritySecuritySecuritySecuritySecurityLogon/LogoffLogon/LogoffLogon/LogoffAccount LogonLogon/LogoffLogon/LogoffLogon/LogoffPolicy ChangeLogon/LogoffLogon/LogoffLogon/LogoffLogon/LogoffPolicy ChangeLogon/LogoffLogon/LogoffLogon/LogoffLogon/Logoff....Loqon/LoQQEf..ШВ• jEvert528540552680 528540528615538538 540528615538528540 528523Я-|а|х|[у ж1.•:::. •••;:5f ::i _JNETWORKSERVICEIUSR_RICHBETESTSRVNETWORKSERVICEIUSR.R1CHBETESTSRVNETWORKSERVICESYSTEMNETWORKSERVICENETWORKSERVICESYSTEMIUSR.RICHBETESTSRVSYSTEMNETWORKSERVICENETWORKSERVICESYSTEMNETWORKSERVICESYSTEMNETWORKSERVICENETWORI SERVICE nЗащита журналов событийВажно ограничить доступ к журналам событий, чтобы защитить их от изменения.Злоумышленник может попытаться изменить журналы безопасности, отключитьаудит во время атаки или очистить журнал безопасности, чтобы воспрепятствоватьобнаружению.Внимание. Совершенно пустой журнал безопасности, когда включен аудит безопасности,может означать, что было проникновение на сервер, и хакер пытался скрытьсвои следы.Журналам безопасности можно назначить права доступа, чтобы ограничить кругпользователей, которые могут читать эти файлы. По умолчанию эти файлы могутчитать члены группы Everyone. Для обеспечения защиты записей журналов событий,вы должны предпринять соответствующие шаги.• Отмените права доступа группы Everyone и ограничьте доступ группамиAdministrators и System. Определите политику для хранения, перезаписи и обслуживаниявсех журналов событий. Эта политика должна определять все требуемыенастройки журналов событий и поддерживаться Group Policy.• Проследите, чтобы в политике указывалось, что делать в случае заполнения всегожурнала событий, особенно журнала безопасности. В этом случае рекомендуетсятребовать, чтобы по возможности была завершена работа сервера.

Глава 17. Безопасность Windows Server 2003 583• Задайте настройки политики безопасности, чтобы локальные учетные записиGuest не могли получать доступ к системному журналу и к журналам приложенийи безопасности.• Проследите, чтобы для системных событий выполнялся аудит как успешных,так и безуспешных попыток, чтобы выявить возможные попытки стирания содержимогожурнала безопасности.• Все администраторы, которые имеют возможность просматривать или модифицироватьнастройки аудита, должны использовать сложные пароли или двухфакторныеметоды аутентификации, например, вход по смарт-карте, чтобы предотвратитьатаки на эти учетные записи для получения доступа к информацииаудита.Доверительные отношения междудоменамиДоверие домену - это отношения между доменами, которые позволяют пользователямодного домена быть аутентифицированными контроллером домена в другомдомене. При использовании Windows Server 2003 аутентификация по учетным записяммежду доменами активизируется двусторонними транзитивными доверительнымиотношениями на базе Kerberos. Это позволяет пользователям и компьютерамаутентифицироваться между любым доменом в дереве доменов или в лесу. Эти доверительныеотношения автоматически создаются между родительским и дочернимдоменами, когда в дереве доменов создается новый домен. В лесу доверительныеотношения автоматически создаются между корневым доменом леса и корневымдоменом каждого дерева доменов, добавляемого к лесу.Внимание. Доверительные отношения доменов могут представлять серьезную угрозубезопасности. Обычно угроза безопасности ограничена в каждый момент какимлибоодним конкретным доменом. Компрометация безопасности в домене с доверительнымиотношениями может подвергать риску все домены, которые являются«партнерами» этого домена. Например, если учетная запись верхнего уровня компрометированав одном домене, ее могут использовать для проникновения в другиедоверяемые домены.Прежде чем учетной записи может быть предоставлен доступ к ресурсам контроллеромдругого домена, система Windows Server 2003 должна проверить, имеетли этот домен доверительные отношения с первым доменом. Для этого WindowsServer 2003 определяет «последовательность доверия» между контроллерами этихдвух доменов. Последовательность доверия - это набор доверительных отношений,который должен быть пройден средствами безопасности Windows Server 2003 дляпередачи запросов аутентификации между любыми двумя доменами.Примечание. Если пользователь аутентифицируется контроллером доверяющегодомена, это не позволяет пользователю автоматически получать доступ к ресурсамв этом домене. Доступ пользователя по-прежнему определяется правами и полномочиями,предоставленными учетной записи этого пользователя для доверяющегодомена администратором домена.

584 Windows Server 2003. Полное руководствоЯвные доверительные отношения между доменами создаются администраторами- в отличие от доверительных отношений, создаваемых во время установки контроллерадомена. Администраторы создают явные доверительные отношения и управляютими с помощью оснастки ММС Active Directory Domains and Trusts (ДоменыActive Directory и доверительные отношения).Имеется два вида явных доверительных отношений доменов: внешние доверительныеотношения (external trust) и сокращенные доверительные отношения(shortcut trust). Внешние доверительные отношения разрешают аутентификациюпользователя в домене, находящемся вне определенного леса, в то время как сокращенныедоверительные отношения сокращают последовательность доверия в сложномлесу.Внешние доверительные отношения создают отношения доверия между доменамив различных лесах. Внешние доверительные отношения разрешают аутентификациюпользователя в домене, который не входит в последовательность доверияопределенного леса. Хотя все внешние доверительные отношения являются односторонниминетранзитивными доверительными отношениями, два внешних доверительныхотношения можно объединить для создания двусторонних доверительныхотношений.Примечание. В Windows NT использовались только доверительные отношения междудвумя доменами и эти отношения всегда были односторонними. При модернизациидомена Windows NT в Windows Server 2003 сохраняются существующие односторонниедоверительные отношения между этим доменом и любыми другимидоменами. Если вы устанавливаете новый домен Windows Server 2003 и хотите установитьдоверительные отношения с доменами Windows NT, то должны создать внешниедоверительные отношения с этими доменами.Сокращенные доверительные отношения - это двусторонние транзитивные доверительныеотношения, которые сокращают путь между доменами в лесу для аутентификации.Например, сокращенные доверительные отношения часто используютсямежду двумя деревьями доменов в лесу.Примечание. Для создания явных доверительных отношений администратор должениметь пользовательскую учетную запись с полномочиями создания доверительныхотношений в каждом домене. Для каждого доверительного отношения назначаетсяпароль, который должен быть известен администраторам обоих доменов.Для создания явного доверительного отношения между двумя доменами выполнитеследующие шаги.1. Выберите Start/Programs/Administrative Tools/Active Directory Domains and Trusts.2. В дереве консоли щелкните правой кнопкой на узле домена, который вы хотитеадминистрировать, и затем выберите пункт Properties.3. Щелкните на вкладке Trusts (Доверительные отношения).4. В зависимости от ваших требований щелкните на Domains trusted by this domain(Домены, которым доверяет этот домен) или на Domains that trust this domain(Домены, которые доверяют этому домену) и затем щелкните на кнопке Add.5. Если добавляемый домен - это домен Windows Server 2003, то введите полноеDNS-имя этого домена. Или, если это домен NT, введите имя этого домена.6. Введите пароль для этого доверительного отношения и подтвердите этот пароль.

Глава 17. Безопасность Windows Server 2003 5857. Повторите эту процедуру во втором домене этого явного доверительного отношения.Управление корректировками ПОПоддержка корректировок для Windows Server 2003 с помощью последних выпусковПО является критически важной для защиты системы. Если в систему не вносятсяэти поправки, все остальные попытки защиты Windows Server 2003 не дают никакогоэффекта.Компании по разработке ПО выпускают поправки (заплаты) для исправленийкода или устранения проблем конфигурации. Иногда эти проблемы связаны с вопросамибезопасности, когда злоумышленники используют бреши (уязвимые точки)в системе безопасности. Как только становится известно о такой точке, злоумышленникичасто пытаются использовать ее для компрометации систем. Обычно компаниипо разработке ПО стараются как можно быстрее выпустить такие заплатыбезопасности, чтобы защитить своих пользователей.Обычно термины «заплата» (patch), пакет обновлений (service pack) и оперативноеисправление (hotfix) используют в равной степени, подразумевая обновления ПО,но каждый из них имеет свое конкретное определение.• Пакеты обновлений (service pack). Используются для поддержки соответствующегопродукта на уровне текущих изменений, а также исправления проблем,появившихся после выпуска этого продукта. Для каждого продукта имеется несколькопакетов обновлений, но один пакет обновлений обычно подходит дляразличных версий одного продукта. Пакеты обновлений являются накопительными,то есть каждый новый пакет обновлений содержит предыдущие пакетыобновлений, а также новые исправления, появившиеся с момента выпуска предыдущегопакета обновлений.• Оперативные исправления (hotfix). Это «заплаты» для продуктов, поставляемые отдельнымзаказчикам, имеющим существенные проблемы без каких-либо способових обхода. Оперативные исправления не проходят исчерпывающего регрессивноготестирования и выпускаются только для разрешения конкретной проблемы. Группыоперативных исправлений часто объединяются в пакеты обновлений.• Заплаты безопасности (security patch). Специальные выпуски для устранениябрешей в системе безопасности. Они аналогичны оперативным исправлениям,но в основном выпускаются для защиты систем. Без применения текущих заплатбезопасности система Windows Server 2003 может быть уязвима в высокойстепени для проникновения вирусов и атак хакеров.Для всех этих обновлений вам следует взвесить риски и преимущества их развертывания.Следует также тестировать каждое обновление, прежде чем развертыватьего в эксплуатируемой среде. Microsoft разработала бесплатные средства, позволяющиеопределить, была ли обновлена система.Microsoft Network Security Hotfix Checker (HFNETCHK)HFNETCHK (Проверка оперативных исправлений системы безопасности сети) -это утилита командной строки, позволяющая проверить, установлены ли все заплатыбезопасности на рабочей станции или сервере. Утилита MBSA VI. 1, выпущеннаяа декабре 2002 г., заменила автономное средство HFNETCHK эквивалентнойпрограммой Mbsacli.exe.

586 Windows Server 2003. Полное руководствоПримечание. Администраторы, которые используют в настоящее время HFNETCHK,могут получать ту же информацию, используя следующую команду из папки, гдебыла установлена MBSA 1.1: Mbsacli.exe /hf.Программу Mbsacli.exe, заменившую HFNETCHK, можно использовать для проверкисостояния обновлений Windows Server 2003, Windows NT 4, Windows 2000 иWindows XP, а также оперативных исправлений для Internet Information Server (IIS)4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Microsoft Data Engine (MSDE), ExchangeServer 5.5, Exchange Server 2000, Windows Media Player и Internet Explorer, начиная сверсии 5.01.D\WINOOWS\sjpstem32\cmd exeInfornationThere are no entries for this product in the XML file.•INTERNETINFORMATIONSERUICES 6.0GOLDInformationThere are no entries for this product in the XML file.« INTERNETEXPLORER 6 SP1Warning HS03-004 810847•WINDOWSMEDIAPLAYERFORUINDOUSXP GOLDPatch NOT Found №82-03232092ЙJ:Stenp>nbsacli/hf_M i c r o s o f t B a s e l i n e S e c u r i t y A n a l y z e r ( M B S A )MBSA - это бесплатное графическое средство проверки безопасности, которое ищетна Windows-компьютерах типичные нарушения конфигураций безопасности и генерируетотчет о состоянии безопасности для каждого сканируемого компьютера.MBSA работает на компьютерах Windows Server 2003, Windows 2000 и Windows XP.Оно выполняет только сканирование нарушений в безопасности на компьютерахWindows Server 2003, Windows NT 4, Windows 2000 и Windows XP. MBSA сканируетхарактерные нарушения безопасности в Microsoft Windows, Microsoft IIS, MicrosoftSQL Server, Microsoft Internet Explorer (IE) и Microsoft Office. MBSA также выполняетсканирование для выявления недостающих обновлений системы безопасности вMicrosoft Windows, IIS, SQL Server, IE, Windows Media Player (WMP), Exchange Serverи Exchange 2000 Server. Для проверки безопасности на определенной машине с помощьюэтого средства требуются административные привилегии.Для MBSA, Mbsacli.exe и для старой утилиты HFNETCHK требуется XML-файл,непосредственно загружаемый с веб-сайта Microsoft и содержащий список самыхпоследних оперативных исправлений, которые следует установить на данном компьютере.Если нет соединения с Интернет, то они используют локальный XMLфайл,но он может оказаться устаревшим и оставить систему незащищенной. Призапуске MBSA или Mbsacli.exe они всегда пытаются получить самую последнююкопию этого XML-файла.Этот XML-файл (MSSECURE.XML) содержит имя и заголовок соответствующегобюллетеня безопасности, а также подробную информацию об оперативныхисправлениях безопасности для данного продукта, включая следующие данные.

Глава 17. Безопасность Windows Server 2003 587• Имена файлов в каждом пакете оперативных исправлений вместе с версиямиэтих файлов и контрольными суммами.• Разделы реестра, к которым относятся эти оперативные исправления.• Информация, указывающая, какие заплаты заменяют другие заплаты.• Номер соответствующей статьи в Microsoft Knowledge Base.Возможности сканирования MBSAMBSA можно использовать как бесплатное очень ограниченное средство оценкиуязвимости системы со следующими возможностями.• Сканирование одного или нескольких компьютеров Windows Server 2003, WindowsNT 4, Windows 2000 и Windows XP.• Проверка на точки уязвимости операционной системы Windows.• Проверка на точки уязвимости IIS.• Проверка на точки уязвимости SQL Server. Проверка выполняется для каждогоэкземпляра SQL Server, найденного на проверяемом компьютере.• Проверка на слабость паролей и типичные элементы уязвимости паролей. Проверяяпароли, MBSA может добавлять записи в журнал Security, если активизированаудит. MBSA выполняет сброс любых обнаруженных политик блокировкиучетных записей, чтобы не блокировать никаких пользовательских учетныхзаписей во время проверки паролей, но эта проверка не выполняется на контроллерахдомена.• Проверка на отсутствующие обновления системы безопасности.fr Mic.ojoltBaselineSecutityAnalyse.у AnalyzerMicrosoftМ« rmi.ll Bawl.nt Security Analyzer• Pick a co=T>pute! Ь starsОЬ& г- -с'-; .;•;•;_.Q Ркг. -а беоДг ;*рс4 ie vPick multiple computers tocomputersarelocatedorentertheIPadresrange.Specifythecomputersyouwanttoscan.YoucanentereitherthedomainnameQomainname:IPadresrange:I—Ц—И—\C3»l—И—И—i-ГSecurityreportname:^domain* • %canputaNwM% [XdateX) IOptions:Ш Check foi Windows vulneiabitiesW Check for weak passwordsW Check for IIS yulnerabiliesШ Check lot SflL vulnerabilitiesЩ Check loi security updatesDUseSUSSeiva{Leain mcxe about ScannrVsg OptionsПри сканировании системы безопасности MBSA сохраняет для каждого компьютеравыходные отчеты в отдельных XML-файлах в папке %userprofile%\SecurityScans. Их можно просматривать с помощью средства MBSA Scan reports (Отчетыо сканировании).Внимание. Известной проблемой MBSA является то, что в случае применения оперативногоисправления (hotfix), не относящегося к системе безопасности, после

. . • • . - : • - ; • •:\I•:588 Windows Server 2003. Полное руководствоhotfix по системе безопасности MBSA, возможно, сообщит, что hotfix по безопасностиотсутствует. Данный компьютер будет все же защищен, даже если MBSA сообщает,что это не так. Это будет устранено в следующем выпуске MBSA.Еще один способ проверить наличие оперативных исправлений - это использованиеRegedit32 для просмотра раздела реестра HKLM\Software\Microsoft\WindowsNT\Currentversion\hotfix. Для каждого установленного hotfix должен быть раздел,соответствующий статье из Microsoft Knowledge Base для этого hotfix. Но здесь, возможно,не будут представлены старые оперативные исправления и оперативныеисправления для некоторых приложений..•рзуогЩ^НнрI|!ft :_] Classesf-Sl Cluster Serverf-Sl CompatibilityI- g»l Compatibility32ft Gil ConsoleI-ШЗ Drivers:• {23 drrveisdescШ SI Drrvers321-Й EFS1-ЁЗ Embedding;•

Глава 17. Безопасность Windows Server 2003 589Контрольный списокНиже приводится контрольный список для поддержания системы безопасностиWindows Server 2003.• Поддерживайте антивирусное ПО на уровне последних изменений. Существуюттысячи вирусов, причем каждый день появляется в среднем по пять новыхвирусов. Вирусы не только повреждают компьютер, но также могут сделать егоуязвимым для атак хакеров.• Подпишитесь на службу Microsoft Security Notification Service, чтобы получатьуведомления о последних заплатах безопасности Microsoft: www.microsoft.com/technet/security/bulletin/notify.asp.• Разработайте систему управления заплатами. В организациях должен быть определенпроцесс тестирования и развертывания новых заплат безопасности вскорепосле их выпуска.• Регулярно просматривайте журналы. Ищите признаки проникновения.• Просматривайте журналы Application, System, Security и IIS (если установленаIIS).• Объясните администраторам, как выглядит атака.• Реализуйте регулярный мониторинг сети, чтобы выявлять проникновение в сетьи действия хакеров.• Регулярно запускайте сканирование с помощью MBSA на всех клиентских компьютерахи серверах Windows Server 2003, Windows NT 4, Windows 2000 и Windows XP.• Блокируйте свои веб-серверы с помощью таких средств, как HSlockdown/URLSCAN. Вы можете найти их по адресам http://www.microsoft.com/windows2000/downloads/recommended/iislockdown/ default.asp и http://www.microsoft.com/windows2000/downloads/recommended/urlscan/default.asp.• Просматривайте рекомендации Microsoft для реализации защищенных конфигурацийв вашей среде: www.microsoft.com/technet/security/tools/tools. Эти рекомендациимогут оказаться очень полезны, даже если они не относятся непосредственнок Windows Server 2003.• Просматривайте руководства по безопасности агентства NSA, где можно найтидополнительные идеи по защите вашей среды Windows: http://nsa2.www.conxion.com/win2k/index.html. Имейте в виду, что установка .inf-файловNSA может нарушить работу ваших приложений.• Используйте услуги сторонних организаций для регулярного аудита и оценокбезопасности вашей сети и серверного окружения.

Глава 18Контроллеры доменовЕсли вы переходите к Windows Server 2003 из Windows NT, то вам понравится то, какустанавливаются контроллеры домена и то, как они выполняют свою работу.Microsoft отделила процесс создания доменов и контроллеров домена от процессаустановки операционной системы. В Windows NT вам приходилось решать во времяустановки ОС, будет ли компьютер контроллером домена, и затем вы не могли создатьдополнительные (резервные) контроллеры домена (ВВС), пока не заработалглавный контроллер домена (PDC), чтобы новые компьютеры могли взаимодействоватьс ним через сеть.Теперь вы можете выполнять несложные установки Windows Server 2003 и затем,убедившись в том, что эти серверы загружаются должным образом и не имеют проблем,вы можете приступать к задачам создания контроллеров домена (DC) и другихсистемных серверов. Более того, если вы модернизируете свое оборудованиеодновременно с модернизацией операционной системы, то можете заказать, чтобываш привычный поставщик оборудования заранее устанавливал Windows Server 2003без необходимости именования и конфигурирования контроллеров домена.В сети Windows Server 2003 уже нет главных и резервных контроллеров домена(PDC и BDC); теперь у вас есть просто контроллеры домена, и все они в определенномсмысле равны (вы можете задавать для них роли, но, вообще говоря, контроллердомена - это просто контроллер домена). Это означает, что если вы отключаетекакой-либо DC для обслуживания или DC просто выходит из строя, вам уже ненужно возиться со сложной задачей понижения и повышения статуса контроллеровPDC и BDC, чтобы ваша сеть продолжала работать.В этой главе описывается несколько типичных способов перевода контроллеровдомена Windows Server 2003 в вашу сеть. Я не могу охватить все сценарии из-за слишкомбольшого числа возможных комбинаций (новые домены, модернизация существующихдоменов из Windows 2000 или Windows NT, домены в смешанном режиме,добавление доменов в существующие леса, добавление контроллеров домена в существующиедомены и т.д.). Однако обзор, который приводится в этой главе, всетакидает достаточную информацию, чтобы вы могли планировать и реализоватьваше развертывание Windows Server 2003.Создание нового доменаЕсли вы устанавливаете первый контроллер домена в своей организации, то можететакже установить первый экземпляр иерархии своего предприятия.• Первый домен. Домен - это набор объектов (компьютеров, пользователей игрупп), определенных администратором. Для всех этих объектов используетсяобщая база данных службы каталога (Active Directory) и общие политики безопасности.Кроме того, домен может иметь отношения безопасности с другимидоменами.

Глава 18. Контроллеры доменов 591• Первый лес. Лес - это один или несколько доменов, совместно использующихобщую схему (определения классов и атрибутов), информацию о сайтах и репликациии доступные для поиска компоненты (глобальный каталог). Доменыодного леса могут быть связаны доверительными отношениями.• Первый сайт. Сайт - это фактически подсеть TCP/IP. Вы можете задавать и другиесайты, доступ к которым может происходить локально или дистанционнымобразом (например, через глобальную сеть [WAN]).В гл. 19 даются подробные пояснения и инструкции по работе с этими компонентамив иерархии вашего предприятия.Планирование развертыванияконтроллеров домена (DC)Количество контроллеров домена, которые вы создаете, зависит от размера вашегопредприятия и ваших собственных представлений о скорости и переходах в случаеотказа (failover). Конечно, в случае одной локальной сети (LAN) с одной подсетьюваша компания может работать с одним DC. Но это рискованно. Установка второгоDC означает, что в случае отказа одного из DC аутентификация, доступ к сетевымресурсам и другие услуги для пользователей не будут прерваны. Кроме того, если увас очень много пользователей, то использование нескольких DC снижает нагрузкуаутентификации, приходящуюся на один DC, особенно в ситуации, когда все пользователизавершают работу своих компьютеров вечером и затем загружают их и выполняютвход в сеть в 9 часов утра.Если ваше предприятие охватывает несколько сайтов, то вам следует создать хотябы один DC в каждом сайте (и еще лучше — второй DC на случай отказа). Для выполнениявхода компьютерам и пользователям требуется какой-либо DC, и еслиэтот DC находится в другом сайте, процесс входа может потребовать слишком многовремени.Поддерживайте физическую защиту своих контроллеров домена, по возможностидержите их в запертых помещениях. Это не только защита от злоумышленников;это также мера защиты вашего предприятия от случайного повреждения вашимисобственными пользователями.Установка Active DirectoryКонтроллер домена отличается от других системных серверов тем, что он содержитActive Directory. Чтобы преобразовать любой компьютер Windows 2000 в контроллердомена, установите Active Directory. (На этом сервере должна действовать файловаясистема NTFS; если это не так, то прежде чем установить Active Directory, вы должнызапустить convert.exe, чтобы заменить файловую систему FAT на NTFS.)Все это выполняется с помощью мастеров, но подсказки и действия отличаютсяв зависимости от конкретной ситуации: это первый DC или один из добавляемыхDC для данного домена и доступны ли службы DNS на момент установки этого DC.В следующих разделах дается описание типичных комбинаций.Active Directory и DNSУстанавливая первый DC в новом домене, вы сталкиваетесь с вечным вопросом:«Что первично - курица или яйцо?». Вы не можете установить Active Directory, если

592 Windows Server 2003. Полное руководствоу вас не запущена служба DNS, и вы не можете установить DNS, если у вас нетдомена. Забавно, не правда ли?Мастер установки Active Directory Installation Wizard автоматически пытаетсянайти в своем списке сконфигурированных серверов DNS полномочный серверDNS, который допускает обновление служебной (SRV) ресурсной записи. Если такойсервер найден, записи для этого DC будут автоматически регистрироваться этимсервером DNS после перезагрузки DC.Но для первого сервера DC в новом домене, возможно, не найдется подходящегосервера DNS. В результате мастер автоматически добавит DNS в список ролей,устанавливаемых на этом компьютере. Предпочтительной настройкой DNS для этогосервера является конфигурирование самого себя в этой роли. Это вполне подходящеерешение, так как после установки других серверов DNS вы можете удалить рольDNS с этого DC.В качестве альтернативного решения вы можете создать сначала сервер DNS,но поскольку он не будет интегрирован с Active Directory (так как вы еще не установилиActive Directory), данные для зоны DNS будут просто неструктурированным(плоским) файлом. Это не означает, что новый DC не сможет определить тот факт,что служба DNS установлена, но это повлияет на безопасность DNS. Зона DNS наоснове «плоского» файла не задает никаких вопросов и не налагает никаких ограничений.Любому устройству, которое пытается зарегистрировать имя, разрешаетсясделать это, даже если оно заменяет такое же имя, зарегистрированное раньше.Никакие полномочия не проверяются и не налагаются на базу данных DNS, поэтомулюбой человек может не обращать на это никакого внимания. Но после того каквы создали свой домен и контроллеры домена, вы можете преобразовать зону наоснове плоского файла в зону, интегрированную с Active Directory (информацию поустановке и конфигурированию DNS см. в гл. 12).Установка первого контроллера домена (DC)в новом доменеЧтобы установить Active Directory (AD), откройте Manage Your Server (Управлениевашим сервером) из меню Start (Пуск) и щелкните на Add or Remove a Role (Добавлениеили удаление роли), чтобы запустить мастер Configure Your Server Wizard (Конфигурированиевашего сервера). В окне Server Role (Роль сервера) выберите DomainController (Active Directory), чтобы запустить мастер Active Directory InstallationWizard. Щелкните на кнопке Next, чтобы продолжить работу с мастером, используяследующие инструкции для установки вашего первого DC.1. В окне Domain Controller Type (Тип контроллера домена) выберите DomainController For A New Domain (Контроллер домена для нового домена).2. В окне Create New Domain (Создание нового домена) щелкните на Domain in anew forest (Домен в новом лесу).3. На странице New Domain Name (Имя нового домена) введите полностью уточненноедоменное имя (FQDN) для этого нового домена. (То есть введитеcompanyname.com, но не сотрапупате.)4. В окне NetBIOS Domain Name (NetBIOS-имя домена) проверьте это NetBIOSимя(но не FQDN).5. В окне Database and Log Folders (Папки для базы данных и журнала) согласитесьс местоположением для папок базы данных и журнала или щелкните на кнопке

Глава 18. Контроллеры доменов 593Browse (Обзор), чтобы выбрать другое место, если у вас есть причина для использованиядругой папки.6. В окне Shared System Volume (Разделяемый системный том) согласитесь с местоположениемпапки Sysvol или щелкните на кнопке Browse, чтобы выбрать другоеместо.7. В окне DNS Registration Diagnostics (Диагностика регистрации DNS), проверьте,будет ли существующий сервер DNS подходящим для этого леса, или, еслинет никакого сервера DNS, выберите опцию установки и конфигурирования DNSна этом сервере.8. В окне Permissions (Полномочия) выберите один из следующих вариантов полномочий(в зависимости от версий Windows на клиентских компьютерах, которыебудут выполнять доступ к этому DC).• Полномочия, совместимые с операционными системами до Windows 2000.• Полномочия, совместимые только с операционными системами Windows 2000или Windows Server 2003.9. Просмотрите информацию окна Summary (Сводка), и если вам нужно что-тоизменить, щелкните на кнопке Back (Назад), чтобы изменить свои опции. Есливсе в порядке, щелкните на кнопке Next, чтобы начать установку.После копирования всех файлов на ваш жесткий диск перезагрузите компьютер.Установка других контроллеров домена (DC)в новом доменеВы можете добавить любое число других DC в своем домене. В случае преобразованиясуществующего рядового сервера в DC помните, что многие опции конфигурацииисчезнут. Например, в этом случае будут удалены локальные пользовательскиеучетные записи и криптографические ключи. Если на этом рядовом сервере хранениефайлов происходило с помощью EFS, то вы должны отменить шифрование. Насамом деле после отмены шифрования вам следует переместить эти файлы на другойкомпьютер.Чтобы создать и сконфигурировать другие DC в вашем новом домене, запуститемастер Active Directory Installation Wizard, как это описано в предыдущем разделе.Затем выполните шаги этого мастера, используя следующие указания.1. В окне Domain Controller Type выберите Additional Domain Controller For An ExistingDomain (Дополнительный контроллер домена для существующего домена).2. В окне Network Credentials (Сетевые опознавательные данные) введите пользовательскоеимя, пароль и домен, указывающие пользовательскую учетную запись,которую вы хотите использовать для этой работы.3. В окне Additional Domain Controller введите полное DNS-имя существующегодомена, где данный сервер станет контроллером домена.4. В окне Database and Log Folders согласитесь с местоположением для папок базыданных и журнала или щелкните на кнопке Browse (Обзор), чтобы выбрать место,отличное от установки по умолчанию.5. В окне Shared System Volume согласитесь с местоположением папки Sysvol илищелкните на кнопке Browse, чтобы выбрать другое место.6. В окне Directory Services Restore Mode Administrator Password (Пароль администраторадля режима восстановления служб каталога) введите и подтвердите па-

594 Windows Server 2003. Полное руководствороль, который вы хотите назначить учетной записи администратора этого сервера.(Эта учетная запись используется в случае загрузки компьютера в режимеDirectory Services Restore Mode.)7. Просмотрите информацию окна Summary, и если все в порядке, щелкните накнопке Next, чтобы начать установку. Щелкните на кнопке Back, если вы хотитеизменить какие-либо настройки.Конфигурация системы адаптируется к требованиям для контроллера домена,после чего инициируется первая репликация. После копирования данных (это можетзанять определенное время, и если ваш компьютер находится в защищенномместе, то вы можете сделать для себя перерыв) щелкните на кнопке Finish в последнемокне мастера и перезагрузите компьютер. После перезагрузки появится окномастера Configure Your Server Wizard, где объявляется, что теперь ваш компьютерстал контроллером домена. Щелкните на кнопке Finish, чтобы завершить работумастера, или щелкните на одной из ссылок в этом окне, чтобы получить дополнительныесведения о поддержке контроллеров домена.Создание дополнительных контроллеров домена (DC)путем восстановления из резервной копииВы можете быстро создавать дополнительные DC Windows Server 2003 в том же домене,что и какой-либо существующий DC, путем восстановления из резервнойкопии работающего DC Windows Server 2003. Для этого требуются только три шага(которые подробно описываются в следующих разделах).1. Резервное копирование состояния системы существующего DC Windows Server2003 (назовем его ServerOne) в том же домене.2. Восстановление состояния системы в другом месте, т.е. на компьютере WindowsServer 2003, который вы хотите сделать контроллером домена (назовем егоServerTwo).3. Повышение статуса целевого сервера (в данном случае ServerTwo) до уровня DCс помощью команды DCPROMO /adv, введенной из командной строки.Эту последовательность можно применять во всех сценариях: установка новогодомена Windows Server 2003, модернизация домена Windows 2000 и модернизациядомена Windows NT. После установки Windows Server 2003 на каком-либо компьютере,вы можете сделать этот компьютер контроллером домена (DC) с помощьюданного способа.Это особенно полезно, если ваш домен содержит несколько сайтов и ваши DCреплицируются через глобальную сеть (WAN), что намного медленнее, чем передачаданных через кабель Ethernet. Когда происходит установка нового DC в удаленномсайте, первая репликация тянется очень долго. При данном способе отпадаетнеобходимость в этой первой репликации, а в последующих репликациях копируютсятолько изменения (что занимает намного меньше времени).В следующих разделах приводятся инструкции по созданию DC этим способом.Резервное копирование состояния системыЗапустите Ntbackup.exe (из меню Administrative Tools или из диалогового окна Run)и выберите следующие опции в окнах мастера.1. Выберите Back Up Files and Settings (Резервное копирование файлов и настроек).

Глава 18. Контроллеры доменов 5952. Выберите Let Me Choose What To Back Up (Я выберу сам то, что нужно копировать).3. Установите флажок System State (Состояние системы).4. Выберите местоположение и имя для файла резервной копии. Я использовалразделяемую точку в сети и назвал файл DCmodel.bkf (файлы резервных копийимеют расширение имени .bkf)-5. Щелкните на кнопке Finish.Ntbackup выполнит резервное копирование состояния системы в указанном вамиместе. Вам потребуется доступ к этой резервной копии с целевых компьютеров, поэтомупроще всего использовать разделяемый ресурс сети или записать файл резервнойкопии на диск CD-R.Восстановление состояния системы на целевом компьютереЧтобы восстановить состояние системы на компьютере Windows Server 2003, которыйвы хотите сделать контроллером домена, перейдите на этот компьютер (он должениметь доступ к файлу резервной копии, который вы создали на исходном компьютере).Запустите на этом компьютере Ntbackup.exe и выберите следующие опциив окнах мастера.1. Выберите Restore Files and Settings (Восстановление файлов и настроек).2. Укажите местоположение файла резервной копии.3. Установите флажок System State.4. Щелкните на кнопке Advanced (Дополнительно).5. Выберите в раскрывающемся списке вариант Alternate Location (Другое место)и введите местоположение на локальном жестком диске (например, вы можетесоздать папку с именем ADRestore на диске С).6. Выберите вариант Replace Existing Files (Заменить существующие файлы).7. Установите флажки Restore Security Settings (Восстановить настройки безопасности)и Preserve Existing Volume Mount Points (Сохранить существующие точкимонтирования томов).8. Щелкните на кнопке Finish.Ntbackup восстанавливает состояние системы в пяти подпапках в том месте, котороевы указали в мастере. Имена этих папок соответствуют следующим именамкомпонентов состояния системы:Active Directory (база данных и файлы журналов)Sysvol (политики и скрипты)Boot Files (Файлы загрузки)Registry (Реестр)СОМ+ Class Registration Database (База данных регистрации классов СОМ+)Если вы запускаете программу DCPROMO с новым ключом /adv, то она ищетэти подпапки.Запуск DC PromoВ диалоговом окне Run (Выполнить) введите dcpromo /adv, чтобы запустить мастерActive Directory Installation Wizard. Используйте следующие инструкции, чтобы сделатьсвой выбор в каждом окне этого мастера.1. Выберите вариант Additional Domain Controller for Exiting Domain.

596 Windows Server 2003. Полное руководство2. Выберите вариант From These Restored Backup Files (Из следующих восстановленныхфайлов резервной копии) и укажите местоположение на локальном диске,где вы хотите восстановить резервную копию. Это должно быть место, гденаходятся приведенные выше пять подпапок.3. Если исходный DC содержит глобальный каталог, то появится окно мастера, гдеспрашивается, хотите ли вы поместить глобальный каталог на этот DC. Выберитеответ Yes или No в зависимости от ваших планов конфигурирования. Процесс созданияDC будет проходить несколько быстрее, если выбрать ответ Yes, но вы можетерешить, что глобальный каталог нужно держать только на одном DC.4. Введите опознавательные данные, позволяющие выполнить эту работу (имя ипароль администратора).5. Введите имя домена, в котором будет действовать этот DC. Это должен бытьдомен, членом которого является исходный DC.6. Введите местоположения для базы данных Active Directory и журналов (лучшевсего использовать местоположения, заданные по умолчанию).7. Введите местоположение для SYSVOL (и здесь лучше всего использовать местоположениепо умолчанию).8. Введите пароль администратора, чтобы использовать его на тот случай, если придетсязагружать этот компьютер в режиме Directory Services Restore Mode.9. Щелкните на кнопке Finish.Dcpromo повысит статус этого сервера до контроллера домена, используя данные,содержащиеся в восстановленных файлах, а это означает, что вам не придетсяждать, пока будет выполнена репликация каждого объекта Active Directory с существующегоDC на этот новый DC. Если какие-либо объекты будут изменены, добавленыили удалены после того, как вы начнете этот процесс, то при следующейрепликации это будет вопросом нескольких секунд для нового DC.По окончании этого процесса перезагрузите компьютер. После этого вы можетеудалить папки, содержащие восстановленную резервную копию.Модернизация доменов Windows 2000Если вы модернизируете контроллеры домена (DC) Windows 2000 до Windows Server2003 или добавляете контроллеры домена Windows Server 2003 в домен Windows 2000,то должны сначала подготовить домен (и лес, в котором он находится) из-за отличийв схеме между Active Directory Windows 2000 и Windows Server 2003. После этогоустановка и конфигурирование Active Directory Windows Server 2003 выполняетсядостаточно просто.Внимание. Все ваши контроллеры домена Windows 2000 должны работать с ServicePack версии 2 или более поздней версии.Примечание. Прежде чем начать модернизацию DC Windows 2000, вы должны проверитьсовместимость для этой модернизации и скопировать обновленные файлыустановки (Setup), запустив winnt32 /checkupgradeonly с компакт-диска WindowsServer 2003 или из разделяемой точки в сети.

Подготовка леса и доменаГлава 18. Контроллеры доменов 597Чтобы подготовиться к модернизации Windows 2000 в Windows Server 2003, вы должнысначала подготовить Active Directory с помощью утилиты командной строкиadprep.exe, которая находится в папке i386 CD Windows Server 2003. Для выполненияэтой задачи вы должны установить CD Windows Server 2003 на контроллерахдомена Windows Server 2003 или скопировать папку i386 в какую-либо разделяемуюточку сети. Сначала нужно модернизировать лес, затем - домен(ы).• Модернизация леса выполняется на контроллере, который является хозяиномсхемы (schema master).• Модернизация домена выполняется на контроллере, который является хозяиноминфраструктуры (infrastructure master).В большинстве систем хозяин схемы и хозяин инфраструктуры - это один и тотже компьютер. (См. ниже раздел «Описание ролей контроллера домена (DC)».)Модернизация лесаПоскольку модернизация Active Directory - это нисходящий процесс, начните с леса.Для этого выполните следующие шаги на компьютере, который является хозяиномсхемы.1. Выполните резервное копирование компьютера, который является хозяином схемы,включая состояние системы.2. Отсоедините этот компьютер от сети.3. Откройте окно командной строки и перейдите в то место, где находится папка1386 Windows Server 2003 (это CD или разделяемая точка сети).4. Введите adprep /forestprep.По окончании adprep.exe выполните следующую проверку на ошибки.Запишите ошибки, которые выводились во время выполнения adprep.exe. Этоконкретные ошибки, и по ним легко определить, что нужно исправить. Часто в сообщенииоб ошибке указываются шаги, которые требуются для устранения даннойпроблемы. Выполните все необходимые шаги, прежде чем перейти к модернизациидомена.Проверьте журнал System в Event Viewer, чтобы увидеть, не появились ли ошибки,связанные с модернизацией, или запустите диагностическое средство, такоеDcdiag. (Если вы увидите сообщения об ошибках репликации, когда этот DC отсоединенот сети, это нормальная ситуация, которая не связана с adprep.exe.) Еслисообщения об ошибках указывают на существенную проблему, восстановите этоткомпьютер (хозяин схемы) из резервной копии и исправьте конфигурацию этогоDC, чтобы можно было успешно выполнить adprep /forestprep.Если не возникло никаких ошибок, снова подсоедините этот компьютер (хозяинсхемы) к сети. Если компьютер с хозяином схемы отличается от компьютера схозяином инфраструктуры, то вам нужно подождать, пока изменения, внесенныепрограммой adprep.exe, реплицируются с хозяина схемы на другой компьютер. Еслиэти два компьютера находятся в одной локальной сети, подождите примерно полчаса.Вам придется подожлать больше (полдня или день), если эти компьютеры находятсяв разных сайтах.

598 Windows Server 2003. Полное руководствоВнимание. Если попытаться выполнить модернизацию домена на компьютере, которыйявляется хозяином инфраструктуры, до того, как будут реплицированы изменения,являющиеся результатом модернизации, то adprep.exe выведет сообщениеоб ошибке, что прошло недостаточно времени, чтобы можно было выполнитьмодернизацию домена.Модернизация доменаПосле репликации изменений хозяина схемы на другие контроллеры домена выможете модернизировать этот домен: откройте окно командной строки на компьютере,который является хозяином инфраструктуры, и введите adprep /domainprep.Проведите проверку на ошибки, как это описано в предыдущем разделе по модернизациилеса, и выполните все необходимые шаги для их устранения.Подождите, пока будет выполнена репликация этого DC на данном предприятии,что может занять несколько часов или даже целый день в зависимости от географическойконфигурации вашей инфраструктуры.Модернизация контроллеров домена (DC)Windows 2000После подготовки домена и леса вам нужно выполнить две простые задачи для модернизациикаждого DC Windows 2000 к Windows Server 2003.1. Запустите Setup.exe с CD Windows Server 2003 или из сетевой разделяемой точки,чтобы модернизировать эту операционную систему в Windows Server 2003.2. После установки операционной системы выполните вход на этот компьютер изапустите мастер Active Directory Installation Wizard (который появляется автоматически).Если вам требуются другие DC после установки первого DC в данном домене,то вы можете использовать альтернативный метод - восстановление состояния системысуществующего DC на другом компьютере Windows Server 2003. См. вышераздел «Создание дополнительных контроллеров домена (DC) путем восстановленияиз резервной копии».Модернизация доменов Windows NT 4Прежде чем приступить к преобразованию ваших DC Windows NT 4 в DC WindowsServer 2003, вы должны запомнить некоторые базовые правила.• Требуется DNS (см. следующий раздел «Решения по установке DNS»).• Функциональный уровень вашего Active Directory (как для леса, так и для домена)можно изменять до тех пор, пока не будет выполнена полная модернизациявсего предприятия. (См. ниже раздел «Функциональные уровни домена и леса».)Кроме того, вы должны, конечно, продумать и спланировать свою иерархиюActive Directory, которая принципиально отличается от того, с чем вы работали всети Windows NT.

Решения по установке DNSГлава 18. Контроллеры доменов 599DNS является обязательным компонентом для Active Directory, и если в ваших сетяхWindows NT 4 не было DNS, то у вас есть два способа установки этого недостающегокомпонента.• Сконфигурировать серверы DNS и установить службы DNS для вашей сетиWindows NT 4 до модернизации.• Установить DNS на первом контроллере домена Windows Server 2003, которыйвы устанавливаете во время модернизации, и затем перераспределить службыDNS, как это описано выше в этой главе.Примечание. Если вы устанавливаете (или установили раньше) DNS в своей сетиWindows NT, то вам следует знать, что DNS Windows NT не поддерживает динамическиеобновления (но их поддерживает DNS Windows 2003/2000).Функциональные уровни домена и лесаФункциональные уровни домена и леса соответствуют уровням охвата средств ActiveDirectory, доступных на вашем предприятии. Они зависят от версий Windows, используемыхвашими DC. В случае крупных предприятий нереально думать, что заодну ночь (или даже за выходные дни) можно выполнить модернизацию сразу всехDC в систему Windows Server 2003, что эквивалентно новому предприятию для вашихадминистраторов и пользователей, когда они вернутся к работе.Профессионалы ИТ называют также функциональные уровни «режимами», посколькуэтот термин часто использовался, когда была выпущена версия Windows2000. В то время использовали термин «смешанный режим» (mixed mode) для сетейс контроллерами домена, работающими под управлением Windows 2000, и резервнымиконтроллерами домена (BDC) Windows NT 4, продолжающими работать в сети.Для сети, где все DC работают под управлением Windows 2000, использовался термин«собственный режим» (native mode). Предприятия, работающие в смешанномрежиме, не могли использовать некоторые средства Active Directory, доступные тольков собственном режиме. Например, использование универсальных групп, вложениегрупп и возможность перемещения субъектов безопасности (идентификаторовбезопасности - SID) между доменами были только в собственном режиме.Функциональные уровни, доступные при использовании Windows Server 2003,имеют более сложный характер, причем имеется разделение между функциональнымиуровнями домена и функциональными уровнями леса (что не имело смысладля режимов Windows 2000).Примечание. Текущие уровни вашего домена Windows 2000 вы можете увидеть в оснасткеActive Directory Domains and Trusts (Домены и доверительные отношенияActive Directory). Щелкните правой кнопкой на объекте-лесе или на объекте-доменев дереве консоли и выберите пункт Properties (Свойства). Текущий уровень представленво вкладке General (Общие).

600 Windows Server 2003. Полное руководствоФункциональные уровни доменаФункциональные уровни домена позволяют использовать определенные средства вконкретном домене. В зависимости от версий Windows ваших DC в домене могутиспользоваться четыре функциональных уровня домена.Функциональный уровень доменаВерсии Windows на контроллерах доменаWindows 2000 mixed Windows NT 4(Смешанный Windows 2000) Windows 2000Windows Server 2003Windows 2000 native Windows 2000(Собственный Windows 2000) Windows Server 2003Windows Server 2003 interim Windows NT 4(Промежуточный Windows Server 2003) Windows Server 2003Windows Server 2003 Windows Server 2003(Собственный Windows Server 2003)Важно понять, что функциональный уровень домена не является пассивнымпараметром, который задается самой операционной системой в зависимости оттого,что она обнаруживает. Этот уровень задают администраторы (и изменяют его помере модернизации контроллеров домена). Во время модернизации в системуWindows Server 2003 первого DC в вашем домене Windows NT 4 у вас запрашиваетсяфункциональный уровень домена (по умолчанию - Windows 2000 mixed).Если вы изменяете (повышаете) функциональный уровень домена, то контроллерыдомена, работающие с более ранними версиями Windows, уже не могут бытьприсоединены к этому домену. Например, если вы повышаете функциональныйуровень домена до Windows 2000 native, то контроллеры домена, работающие подуправлением Windows NT 4, уже не могут быть членами этого домена.Функциональные уровни лесаФункциональные уровни леса позволяют использовать возможности Active Directoryдля всех доменов внутри этого леса. Имеются три следующих функциональных уровнялеса.Функциональный уровень лесаВерсии Windows на контроллерах доменаэтого лесаWindows 2000 Windows 2000Windows Server 2003Windows Server 2003 interim Windows NT 4(Промежуточный Windows Server 2003) Windows Server 2003Windows Server 2003 Windows Server 2003(Собственный Windows Server 2003)Во время модернизации вашего первого домена Windows NT 4 в новый лесWindows Server 2003 для этого домена устанавливается функциональный уровеньWindows Server 2003 interim. После повышения функционального уровня леса контроллерыдомена, работающие под управлением Windows NT 4, уже не могут включатьсяв этот лес.

Глава 18. Контроллеры доменов 601Модернизация контроллеров домена (DC)По моему опыту и опыту других известных мне администраторов модернизация изWindows NT 4 в Windows Server 2003 обычно проходит без проблем. Но прежде чемначать модернизацию, вы должны выполнить некоторые предварительные шаги.• Проследите, чтобы на всех DC домена был установлен SP5.• Выполните резервное копирование всех DC.• После репликации базы данных учетных записей на ваши резервные контроллерыдомена (BDC) удалите один из этих BDC из локальной сети.Первые два шага являются обязательными, тогда как третий шаг - это мой собственныйспособ для возврата к прежнему состоянию в случае какой-либо проблемы(в данном случае лучше быть пессимистом). Вам будет нетрудно повысить статусэтого BDC до уровня PDC (главного контроллера домена), отключить отлокальной сети прежний (теперь уже модернизированный) PDC и снова подключитькабель отключенного ранее BDC (теперь это PDC) к концентратору. Пользователисмогут выполнять вход и работать.Модернизация основного контроллера домена (PDC)Начните с модернизации PDC. Это просто модернизация самой операционной системы,а установка Active Directory (в результате которой компьютер станет контроллеромдомена) происходит после этого. Используйте CD Windows Server 2003или запустите Setup.exe из разделяемой точки сети. После установки операционнойсистемы и последующей перезагрузки Windows Server 2003 запускается мастер установкиActive Directory Installation Wizard, который сопровождает вас в процессе преобразованиякомпьютера в контроллер домена.Мастер требует, чтобы вы присоединились к существующему дереву доменовили лесу либо создали новое дерево доменов или новый лес. Если вы решили присоединитьсяк существующему дереву доменов, то ссылаетесь на нужный родительскийдомен во время процесса модернизации. Если вы создаете новый дочернийдомен, то устанавливаются транзитивные доверительные отношения с этим родительскимдоменом. В конечном итоге контроллер родительского домена реплицируетвсю информацию схемы и конфигурации на контроллер этого нового дочернегодомена.Существующий объект SAM (Security Accounts Manager) копируется из реестрав новое хранилище данных.Во время процесса модернизации мастер создает необходимые объекты-контейнерыдля учетных записей и групп из домена Windows NT. (Эти объекты-контейнерыполучают имена Users, Computers и Builtin, и вы можете видеть их в оснасткеActive Directory Users and Computers.)Существующие группы Windows NT 4 находятся в других контейнерах в зависимостиот вида группы. Встроенные (built-in) локальные группы Windows NT 4 (такиекак Administrators и Server Operators) помещаются в контейнер Builtin. Глобальныегруппы Windows NT 4 (такие как Domain Admins) и любые созданныепользователями группы (как локальные, так и глобальные) помещаются в контейнерUsers.Модернизация резервных контроллеров домена (BDC)После модернизации главного контроллера домена (PDC) вы можете перейти кмодернизации всех BDC (за исключением BDC, который вы удалили из сети для

602 Windows Server 2003. Полное руководствовозврата в случае возникновения проблем). Выполнив модернизацию всех BDC иубедившись, что система работает должным образом, подсоедините к сети последний(ранее отключенный BDC) и выполните его модернизацию.Описание ролей контроллера домена (DC)Когда была выпущена версия Windows 2000, основное внимание было уделено томуфакту, что принцип NT 4 «главные/резервные контроллеры домена (PDC/BDC)»остался в прошлом. Ввиду сложностей правил использования PDC/BDC и затруднений,возникавших при отключении или необходимости обслуживания PDC, этобыло приятной новостью. Кроме того, часто повторялось, что теперь «все контроллерыдомена равны». Это не совсем верно, поскольку все контроллеры домена необязательно должны быть «равны». На самом деле существует вполне логичныйнабор ролей, позволяющий упростить и сделать более эффективным управлениевашим предприятием за счет использования Active Directory. Следующие пять различныхролей обязательно используются для поддержки леса и домена (доменов), ивы можете назначать различные роли различным DC, а также назначать сразу несколькоролей одному DC.• Хозяин схемы (Schema master) - роль на уровне леса.• Хозяин именования доменов (Domain naming master) - роль на уровне леса.• Хозяин относительных идентификаторов [Relative ID (RID) master] - роль науровне домена.• Хозяин эмулятора главного контроллера домена [Primary Domain Controller(PDC) emulator master] - роль на уровне домена.• Хозяин инфраструктуры (Infrastructure master) - роль на уровне домена.Примечание. Все это называют ролями хозяев операций (operations master), но администраторы,которые выполняли развертывание Windows 2000 еще в период бетатестирования,продолжают их называть ролями FSMO (flexible single masteroperations), что соответствует первоначальной терминологии Microsoft. Видимо,имеет смысл говорить просто «роли», и мы все будем знать, о чем идет речь.Репликация как повод для ролейСистема Windows NT работала в рамках модели репликации с одним основным контроллером,когда модифицируемая копия каталога сохранялась только на одном DC(роль главного контроллера домена - PDC), а все остальные контроллеры домена(BDC) хранили резервные копии, которые получали посредством репликации. PDCбыл единственным компьютером, где можно было модифицировать базу данныхSAM (Security Accounts Manager - диспетчер учетных записей системы безопасности).После репликации SAM на BDC пользователи могли выполнять вход и аутентифицироватьсяна любом BDC, но изменения в настройках следовало отправлятьнепосредственно на PDC. Если доступ к PDC выполнялся через глобальную сеть(WAN), то внесение изменений в объекты домена было длительным процессом. Привыходе из строя глобальной сети внесение изменений становилось невозможным.Это могло вызывать проблемы, поскольку в домене обычно происходит множествоизменений. В домене время от времени добавляются пользователи, компьютеры игруппы, а также происходят частые изменения паролей.

Глава 18. Контроллеры доменов 603Windows Server 2003 (и Windows 2000) поддерживает модель репликации с несколькимиосновными контроллерами (multimaster replication), когда на любом DCразрешается вносить изменения в структуру и объекты домена (что делает каждыйDC основным контроллером). Эти изменения реплицируются на все остальные DC вдомене.Этот подход, подразумевающий сбор информации и ее репликацию на любыхDC, создал впечатление, что, начиная с Windows 2000, все DC «равны». Но еслинемного подумать, то становится ясно, что иметь домен с совершенно равноправнымиконтроллерами совсем неэффективно. Возникает явная избыточность операций,если реплицировать все, что имеется в домене, на весь домен. А иногда этоможет быть даже опасным. Например, если два сотрудника отдела ИТ, работающиена различных DC, создают объекты с одинаковым именем, но с различными настройкамиконфигурации, то возникнет конфликт этих изменений в базе данныхActive Directory.Чтобы сделать этот подход более эффективным, вы можете назначать роли. Назначениероли контроллеру домена означает, что в смысле этой конкретной ролиданный DC превышает остальные DC (хотя все DC считаются равными).Назначение ролейКогда вы устанавливаете первый DC Windows Server 2003 и создаете первый лес ипервый домен, этот DC имеет все роли для этого леса и домена. По мере добавленияконтроллеров домена к данному домену эта ситуация не изменяется. При добавлениидоменов к лесу первый DC в домене имеет все роли для этого домена, и добавлениедругих DC не изменяет этой ситуации.Windows не проявляет никакой самостоятельности или каких-либо попыток автоматическогоконфигурирования, чтобы распределять роли между контроллерамидомена. Вы должны назначать роли контроллерам домена вручную и можете распределятьих между любым числом DC. Выполняйте эти задачи, исходя из конфигурациивашего предприятия. В следующих разделах при описании каждой ролиговорится также, как назначать эту роль конкретному DC.Не изменяйте роли автоматически - здесь не подходит никакой принцип «сбалансированности».Эта одна из тех задач, которые выполняются только по мере необходимости,и ваши основные принципы — это «простота» и «если это не ломается,то не стоит это исправлять». Изменяйте роли, только когда в этом есть смысл.Например, если DC с несколькими ролями стал работать явно медленнее, то передайтероли другому DC. Или, если большинство администраторов, управляющихпредприятием, находятся в одном сайте, но роли уровня леса содержатся на DC вдругом сайте, переместите роли уровня леса на контроллеры домена, находящиесяближе к этим администраторам, чтобы не приходилось выполнять работу через глобальнуюсеть.Хозяин схемыХозяин схемы (schema master) - это роль уровня леса, и на этом DC выполняютсявсе обновления и изменения, вносимые в схему. (Поскольку Active Directory - этобаза данных, вы можете рассматривать схему как описания полей этой базы данных.)В лесу может быть только один хозяин схемы.Вы можете просматривать и модифицировать схему, хотя обычно администраторыне вносят изменения. Обычно схема модифицируется путем добавления объек-

. .. ••: " : ::604 Windows Server 2003. Полное руководствотов для программных приложений, и подробную информацию по работе со схемойможно получить от Microsoft с помощью программы MSDN.Установка оснастки Schema (Схема)Чтобы можно было видеть схему и определять, какой DC в лесу имеет роль хозяинасхемы, у вас должна быть установлена оснастка Active Directory Schema.Для установки этой оснастки таким образом, чтобы она появлялась в консолиММС, откройте окно командной строки и введите regsvr32 sclimmgmt.dll, что будетрегистрацией этой оснастки. Система выведет сообщение об успешном выполнении.Щелкните на кнопке ОК, чтобы убрать это сообщение, и затем выйдите изокна командной строки.Загрузка оснастки Schema в консоли ММСЧтобы просмотреть схему для вашего леса, вы должны загрузить эту оснастку в консолиММС, используя следующие шаги.1. Выберите Start/Run, введите mmc /а и щелкните на кнопке ОК, чтобы открытьконсоль ММС в авторском режиме.2. В консоли ММС выберите File/Add/Remove Snap-in (Файл/Добавление/Удалениеоснастки), чтобы открыть диалоговое окно Add/Remove Snap-in.3. Щелкните на кнопке Add, чтобы открыть диалоговое окно Add Standalone Snapin(Открытие автономной оснастки).4. Выберите Active Directory Schema, щелкните на кнопке Add и затем щелкните накнопке Close (или дважды щелкните Active Directory Schema и щелкните на кнопкеClose), чтобы вернуться в диалоговое окно Add/Remove Snap-in.5. Щелкните на кнопке ОК, чтобы загрузить эту оснастку в дерево консоли.Имеет смысл сохранить эту консоль (чтобы вам не пришлось снова выполнятьвсе шаги по добавлению этой консоли), что можно сделать, выбрав File/Save. Введитеподходящее имя файла (например, schema). Система автоматически добавитрасширение имени .msc. После этого сохраненная консоль будет доступна в подменюAdministrative Tools меню All Programs, поэтому вам не придется открывать окноRun для ее использования.После загрузки этой оснастки имя ее объекта в дереве консоли будет содержатьимя DC, содержащего схему.i9 schema - [Console Rcmt\Aetive DirectorySchema [server-11 Jvenseast.c... [FJe- Action VMI *v,nd-w•> v \ • '23ConsoleRootClasses ::S3 Atributes

Глава 18. Контроллеры доменовМяпп° ЖеТе раСКрыТЬ о бъек Т-схем Удля просмотра классов и атрибутов, которые схемы выходит Д о°я В иза ЛЬНО рамки СЛ0ЖНЬШИ изложения ОбЪеКтами этой " книги,O n i и модифицирование объектовоста60!Передача роли хозяина схемы другому контроллеру домена (DC)Если вы являетесь членом группы Schema Admins, то можете перемещать роль хозяинасхемымеждуконтроллерамидомена.Выможетевьтолнитьэтузадач^сл^гокомпьютера Windows Server 2003; это не обязательно должен бьггькш«р доменаНачните с открытия консоли ММС, которую вы сохранили (см. предыдущие разделы).Затем выполните следующие шаги для перемещения этой роли на другой DC.1. В дереве консоли щелкните правой кнопкой на объекте Active Directory SchemantrOller (СГ О Г КСТНОММ£НЮПУНКТChange D ° main C °2. Щелкните на Specify Name (Задать имя) и введите имя DC, которому хотите передатьроль хозяина схемы. Вы можете ввести NetBIOS-имя (Windows автоматическиприменит полностью уточненное имя ГCuiren*.., Й^У ^С3. Щелкните на кнопке ОК, чтобы вернуться в консоль, где в имя объекта ActiveDirectory Schema будет включено имя нового сервера4. В дереве консоли снова щелкните правой кнопкой на объекте Active DirectorySchema и выберите Operations Master (Хозяин операций), чтобы открыть диалоговоеокно Change Schema Master (Замена хозяина схемы)eotetolhconiioJei Wow. сkk l>.ar,g,I

606 Windows Server 2003. Полное руководство5. Щелкните на кнопке Change. Если кнопка Change недоступна, это означает, чтовы не имеете достаточных полномочий, чтобы сделать это изменение. Добавьтесебя в группу Schema Admins, выполните выход и снова выполните вход, затемвернитесь в это диалоговое окно.6. Подтвердите это изменение, щелкните на кнопке ОК, чтобы убрать сообщениеоб успешном окончании, и щелкните на кнопке Close.После этого произойдет передача роли хозяина схемы.Хозяин именования доменовХозяин именования доменов - это роль на уровне леса, и она используется для добавленияили удаления доменов в лесу. У вас может быть только один хозяин именованиядоменов в лесу. Вы можете создавать и удалять домены с любого DC, но«хранителем данных» является DC, исполняющий роль хозяина именования доменов,и он разрешает или отклоняет ваши действия. Это препятствует тому, чтобыадминистраторы, работающие на различных DC, могли создать новый домен с темже именем, но с другими настройками конфигурации. Остается только первый издоменов.Примечание. Мастер именования доменов в лесу, находящемся на собственном функциональномуровне Windows Server 2003, не обязательно должен быть задан какглобальный каталог. Это отличается от Windows 2000.Способ передачи роли хозяина именования доменов другому DC зависит от того,где вы работаете: на текущем хозяине именования доменов или на DC, который выхотите сделать хозяином именования доменов. Но в любом случае вы должны бытьчленом группы Domain Admins (если у вас имеется только один домен в лесу) илигруппы Enterprise Admins (если у вас несколько доменов в лесу).Передача роли хозяина именования доменов с помощью текущегообладателя этой ролиЕсли вы работаете на контроллере домена, который исполняет на данный моментроль хозяина именования доменов, то выполните следующие шаги.1. Откройте оснастку Active Directory Domains and Trusts из меню AdministrativeTools.2. В дереве консоли щелкните правой кнопкой на Active Directory Domains and Trustsи выберите Connect to Domain Controller (Подсоединиться к контроллеру домена),чтобы открыть диалоговое окно Connect to Domain Controller (рис. 18.1).3. Чтобы выбрать другой домен для этой задачи, щелкните на кнопке Browse и выберитеэтот домен.4. Введите имя нужного DC или выберите это имя из списка контроллеров домена.5. Щелкните на кнопке ОК.6. В дереве консоли снова щелкните правой кнопкой на Active Directory Domainsand Trusts и выберите Operations Master, чтобы открыть диалоговое окно ChangeOperations Master (Сменить хозяина операций).

•Глава 18. Контроллеры доменов607Th* domain r>amng otmafons ma;i«r «пме: thatur«*« QrJy or*s ctefnan nnhcfci nIo »«n,r f, ihe ttanun

608 Windows Server 2003. Полное руководство2. Щелкните правой кнопкой на Active Directory Domains and Trusts и выберитеOperations Master.3. В диалоговом окне Change Operations Manager (Изменение хозяина операций)будет представлено имя текущего хозяина именования доменов, и система будетпредполагать, что вы хотите передать эту роль текущему DC.Change Operations MasterТ!вdom*r nifi«4Сфиавоглrn«Jta ensi«« !bai *уг,алп*т.е:аиunique ОЫу one domain coraiotei In the e«tapn:e pertains >Ьа folaC-.ni.ein naming cfXtl/Kim rm-.leiTo nan:)* tfw domain narnmg m.j:t« i.:t? io ihetdlamis Muppuiw. ;lck СгллдеI: tKoiv.ivsnw; :»v ivenwad.com4. Щелкните на кнопке Change.5. Подтвердите изменение, щелкните на кнопке ОК, чтобы убрать сообщение обуспешном окончании, и щелкните на кнопке Close.После этого произойдет передача роли хозяина именования доменов этому локальномукомпьютеру.Хозяин относительных идентификаторов (RID)Это роль на уровне домена, и в каждом домене может быть только по одному хозяинуотносительных идентификаторов (relative ID - RID). Хозяин RID - это «хранитель»пула уникальных идентификаторов безопасности (SID). Как уже говорилосьвыше в этой главе, администраторы могут создавать новые объекты(пользователи и компьютеры) на любом DC. При создании этих новых объектовкаждому из них присваивается свой идентификатор SID, который создается из несколькихчастей.• Набор идентификаторов, привязанный к домену (все объекты в этом доменеимеют одинаковые доменные идентификаторы).• Набор идентификаторов, привязанный к новому объекту, который называетсяотносительным идентификатором (RID) и генерируется случайным образом.Чтобы все объекты имели идентификаторы SID с уникальными RID, нужно,чтобы у вас был один источник для идентификаторов RID, и эту роль исполняетхозяин RID.Обращение к хозяину RID происходит не при каждом создании нового объекта;вместо этого он предоставляет пул идентификаторов RID (500 RID за один раз) каждомуDC. Непосредственно перед тем, как DC исчерпает свой запас идентификаторовRID, он запрашивает у хозяина RID еще 500 RID. Поскольку хозяин RID незапрашивается все время, его работа не влияет на пропускную способность сети. И,конечно, из этого следует, что передача роли хозяина RID другому, более занятомуDC, маловероятна. Но если у вас все же есть причина передать эту роль другому DC

Глава 18. Контроллеры доменов 609в том же домене, то вы можете выполнить эту задачу с текущего хозяина RID и сDC, которому хотите передать эту роль.Передача роли хозяина RID с помощью текущего обладателяэтой ролиЧтобы передать роль хозяина RID, когда вы работаете на компьютере, который являетсятекущим обладателем этой роли, выполните следующие шаги.1. Откройте оснастку Active Directory Users and Computers.2. В дереве консоли щелкните правой кнопкой на Active Directory Users andComputers и выберите Connect to Domain Controller.3. Введите имя нужного DC или выберите его из списка имеющихся контроллеровдомена.4. Щелкните на кнопке ОК.5. В дереве консоли снова щелкните правой кнопкой на Active Directory Users andComputers и выберите All Tasks/Operations Masters (Хозяева операций).6. В диалоговом окне Operations Masters щелкните на вкладке RID.7. Щелкните на кнопке Change.8. Подтвердите изменение, щелкните на кнопке ОК, чтобы убрать сообщение обуспешном окончании, и щелкните на кнопке Close.После этого произойдет передача роли хозяина RID указанному компьютеру.Передача роли хозяина RID с помощью нового обладателя этой ролиЕсли вы работаете на DC, которому хотите передать эту роль, то выполните следующиешаги для передачи этой роли от текущего обладателя роли.1. Откройте Active Directory Users and Computers.2. В дереве консоли щелкните правой кнопкой на Active Directory Users andComputers и выберите All Tasks/Operations Masters.3. В диалоговом окне Operations Masters щелкните на вкладке RID.4. Щелкните на кнопке Change.5. Подтвердите изменение, щелкните на кнопке ОК, чтобы убрать сообщение обуспешном окончании, и щелкните на кнопке Close.После этого произойдет передача роли хозяина RID локальному компьютеру.Хозяин эмулятора главного контроллера домена (РОС)Это роль на уровне домена, и в каждом домене леса может быть только один хозяинэтой роли. Чтобы управлять хозяином эмулятора PDC, вы должны быть членом группыDomain Admins. Это довольно интересная роль, поскольку она предусматриваетнесколько различные функции в зависимости от функционального уровня домена,в котором она действует.Эмулятор PDC в сети с несколькими версиями WindowsПока в вашей сети не останется компьютеров с версиями Windows, которым не требуетсяPDC, роль PDC будет исполнять DC, который назначен как хозяин эмулятораPDC, и он будет использоваться для части сети, где еще остались резервные контроллерыдомена. Если вы модернизировали не все DC NT 4 в своей сети, тооставшиеся DC NT 4 (то есть BDC) не будут допускать изменений учетных записейи будут искать PDC для внесения этих изменений. Кроме того, BDC будет выпол-20 - 3994

610 Windows Server 2003. Полное руководствонять доступ к этому эмулируемому PDC, когда ему требуются изменения в SAM.Если вам потребуется установить доверительное отношение с сетью NT 4, то этасеть NT 4 не будет «контактировать» с любым компьютером, который не являетсяглавным контроллером домена (PDC). NT 4 действует только таким образом, и выне можете «научить» ее действовать по-новому.Но роль эмулятора PDC требуется также для других функций, и она остаетсявостребованной даже после того, как вы удалили все DC NT 4 из своей системы.Услуги PDC могут требоваться клиентским компьютерам. Например, NetworkNeighborhood и My Network используют функции «обзора» и требуют выбора «главногообозревателя» (компьютер, который отслеживает имена всех компьютеров даннойсети, чтобы представить их в сетевых папках). Поскольку таким главным обозревателемявляется по умолчанию PDC, то поддерживать эмулятор PDC впредположении этой задачи намного проще, чем выполнять все шаги, которые требуются,чтобы изменить способ выбора этого главного обозревателя.Хозяин эмулятора PDC в сети Windows Server 2003/Windows 2000Даже если ваша сеть состоит исключительно из компьютеров, работающих под управлениемWindows 2000/XP/2003 Server, эмулятор PDC продолжает использоватьсядля одной полезной функции. Кроме услуг главного обозревателя он также обеспечиваетважную функцию «срочной репликации». Хотя большинство измененийActive Directory реплицируются по всему предприятию через регулярные запланированныепромежутки времени, одно изменение, внесенное вами в Active Directory,помечается как «срочная доставка» (urgent delivery) и реплицируется сразу. Это изменениепароля пользователя. Как только произошло изменение любого пароля накаком-либо DC предприятия, этот DC обращается к хозяину эмулятора PDC и записываетэто изменение. Следующая запланированная репликация для этого неиспользуется.Когда пользователь пытается выполнить вход по этому новому паролю на другойDC (то есть не на тот DC, где первоначально было сделано это изменение), этотDC, возможно, еще не прошел через процесс репликации. Если соответствие этомупаролю не найдено, то прежде чем отказать пользователю в праве входа, этот DCобращается к эмулятору PDC, запрашивая, есть ли какие-то изменения по данномупользователю. Эмулятор PDC отвечает, что имеется новый пароль, и если он совпадаетс введенным паролем, то пользователю разрешается ввод.Преимущества эмулятора PDC могут по-настоящему оценить администраторы,которые поддерживают пользователей в нескольких сайтах. Например, предположим,что у вас имеется пользователь, которого нет на работе, когда истек срок действия егопароля, а домен сконфигурирован таким образом, что пользователь должен выполнятьвход для изменения паролей. Или, предположим, что у вас есть забывчивыйпользователь, который несколько раз ввел неверный пароль, что вызвало блокировкуего учетной записи. Этот пользователь находится в филиале East Overcoat, (штат Айова),а администраторы находятся в офисе Denver, штат Колорадо. Если бы не былоэмулятора PDC, то после ввода нового пароля для этого пользователя (с помощьюоснастки Active Directory Users and Computers) в офисе Denver вам пришлось бы ждатьследующей репликации, чтобы новый пароль был передан аутентифицирующему DCв East Overcoat. Даже если прибегнуть к ручной репликации, ее выполнение черезглобальную сеть может оказаться долгим процессом и ваш пользователь не сможетвыполнять свою работу некоторое время. Кроме того, если имеются перемещающиеся(блуждающие) пользователи в системе, где требуется регулярная смена пароля, вылегко увидите преимущества использования эмулятора PDC.

Глава 18. Контроллеры доменов 611Синхронизация времени на уровне лесаВозможно, наиболее важной (и наименее оцененной) ролью эмулятора PDC являетсясинхронизация времени на уровне леса. Компьютеры Windows 2000/XP/2003Server конфигурируются для периодической сверки с сервером времени, чтобы ихвремя соответствовало времени на этом сервере. Хозяин эмулятора PDC являетсяуполномоченным сервером времени для леса.Хотя очевидно, что синхронизация таймеров нужна для поддержания точностиметок времени документов и записей баз данных, имеется намного более важнаяпричина для синхронизации времени в сети Windows Server 2003 или Windows 2000,поскольку это связано с безопасностью вашего предприятия. Kerberos используетсинхронизированное время как одну из контрольных точек, прежде чем разрешитьпользователям доступ к сетевым ресурсам. Kerberos действует, исходя из принципа,что если время на вашем компьютере отличается от времени сетевого компьютера,к которому выполняется доступ, значит, вы «злоумышленник».Информацию по временным службам, которые требуются на вашем предприятии,см. ниже в разделе «W32Time». Если вы осознали важность временных служб,то после передачи роли эмулятора PDC другому DC, вы сконфигурируете такжеэтот новый DC для синхронизации времени с каким-либо внешним уполномоченнымисточником времени.Передача роли эмулятора PDC с помощью текущего обладателяэтой ролиЧтобы передать роль эмулятора PDC, когда вы работаете на компьютере, которыйявляется текущим обладателем этой роли, выполните следующие шаги.1. Откройте оснастку Active Directory Users and Computers.2. В дереве консоли щелкните правой кнопкой на Active Directory Users andComputers и выберите Connect to Domain Controller.3. Введите имя нужного DC или выберите его из списка имеющихся контроллеровдомена.4. Щелкните на кнопке ОК.5. В дереве консоли снова щелкните правой кнопкой на Active Directory Users andComputers и выберите All Tasks/Operations Masters.6. В диалоговом окне Operations Masters щелкните на вкладке PDC.7. Щелкните на кнопке Change.8. Подтвердите изменение, щелкните на кнопке ОК, чтобы убрать сообщение обуспешном окончании, и щелкните на кнопке Close.После этого произойдет передача роли эмулятора PDC указанному компьютеру.Передача роли эмулятора PDC с помощью нового обладателяэтой ролиЕсли вы работаете на DC, которому хотите передать эту роль, то выполните следующиешаги для передачи этой роли от текущего обладателя роли.1. Откройте Active Directory Users and Computers.2. В дереве консоли щелкните правой кнопкой на Active Directory Users andComputers и выберите All Tasks/Operations Masters.3. В диалоговом окне Operations Masters щелкните на вкладке PDC.4. Щелкните на кнопке Change.20'

612 Windows Server 2003. Полное руководство5. Подтвердите изменение, щелкните на кнопке ОК, чтобы убрать сообщение обуспешном окончании, и щелкните на кнопке Close.После этого произойдет передача роли эмулятора PDC локальному компьютеру.Хозяин инфраструктурыХозяин инфраструктуры - это роль на уровне домена, и в каждом домене можетбыть только по одному хозяину инфраструктуры. Для работы с этими настройкамивы должны быть членом группы Domain Admins. Хозяин инфраструктуры отслеживаетобъекты в своем домене и предоставляет эту информацию всем DC в этом домене.Для этого он сравнивает свои данные с глобальным каталогом, и если имеютсяотличия, то он запрашивает обновление с глобального каталога. (Глобальныйкаталог получает регулярные обновления объектов во всех доменах посредствомрепликации, поэтому данные глобального каталога всегда соответствуют текущемусостоянию.)По сути, данные, которые хранятся на этом DC, - это каталог домена. И здесьимеется источник потенциальной проблемы, поскольку приоритет получает глобальныйкаталог, и если он находится на DC, который действует как хозяин инфраструктуры,то данные домена никогда не реплицируются на другие DC в этом домене.У вас не будет подобной проблемы, если у вас только один домен и только одинDC в этом домене (поскольку глобальный каталог совпадает с каталогом домена).Кроме того, если все контроллеры домена содержат глобальный каталог, то все этиконтроллеры имеют данные на уровне текущего состояния и тогда не имеет значения,какой контроллер домена исполняет роль хозяина инфраструктуры. Информациюпо глобальному каталогу см. ниже в разделе «Глобальный каталог».Передача роли хозяина инфраструктуры с помощью текущегообладателя этой ролиЧтобы передать роль хозяина инфраструктуры, когда вы работаете на компьютере,который является текущим обладателем этой роли, выполните следующие шаги.1. Откройте оснастку Active Directory Users and Computers.2. В дереве консоли щелкните правой кнопкой на Active Directory Users andComputers и выберите Connect to Domain Controller.3. Введите имя нужного DC или выберите его из списка имеющихся контроллеровдомена.4. Щелкните на кнопке ОК.5. В дереве консоли снова щелкните правой кнопкой на Active Directory Users andComputers и выберите All Tasks/Operations Masters.6. В диалоговом окне Operations Masters щелкните на вкладке Infrastructure (Инфраструктура).7. Щелкните на кнопке Change.8. Подтвердите изменение, щелкните на кнопке ОК, чтобы убрать сообщение обуспешном окончании, и щелкните на кнопке Close.После этого произойдет передача роли хозяина инфраструктуры указанномукомпьютеру.

Глава 18. Контроллеры доменов 613Передача роли хозяина инфраструктуры с помощью новогообладателя этой ролиЕсли вы работаете на DC, которому хотите передать эту роль, то выполните следующиешаги для передачи этой роли от текущего обладателя роли.1. Откройте Active Directory Users and Computers.2. В дереве консоли щелкните правой кнопкой на Active Directory Users andComputers и выберите All Tasks/Operations Masters.3. В диалоговом окне Operations Masters щелкните на вкладке Infrastructure.4. Щелкните на кнопке Change.5. Подтвердите изменение, щелкните на кнопке ОК, чтобы убрать сообщение обуспешном окончании, и щелкните на кнопке Close.После этого произойдет передача роли хозяина инфраструктуры локальномукомпьютеру.W32TimeВ Windows Server 2003 включена служба времени Windows (W32Time), которая обеспечиваетсинхронизацию таймеров всех компьютеров Windows 2000/XP/2003 в вашейсети. Ее нельзя назвать простым средством, поскольку с этой службой связаныбезопасность Kerberos и другие средства сетевого уровня.Аутентификация Kerberos не выполняется, если показания времени на клиентскомкомпьютере и на аутентифицирующем DC отличаются более чем на пять минут.Этот интервал называется Maximum Tolerance for Synchronization of ComputerClocks (Максимальный допуск для синхронизации таймеров компьютеров). Вы можетеиспользовать групповую политику, чтобы изменить (увеличить) это значение,но это ослабляет безопасность сети. (Политики Kerberos находятся в Default DomainPolicy внутри Computer Configuration\Windows Settings\Security Settings\AccountPolicies\Kerberos Policy.)Репликация зависит также от точности меток времени, поскольку в процессерепликации используется метка «последнего изменения», чтобы определить необходимостьрепликации данных. Но еще важнее то, что если отличие в значенияхвремени между двумя DC больше величины Kerberos Maximum Tolerance forSynchronization of Computer Clocks, то аутентификация между этими DC не проводится,а это означает, что не запускаются процессы репликации.Не менее важно то, что компьютеры с различными значениями времени могутвызвать повреждения при записи в файлы данных. Неточность меток времени можетнарушить работу таких функций, как синхронизация автономных файлов и работанад совместными документами.Ознакомление с иерархией синхронизации времениВ рамках вашего предприятия синхронизация времени конфигурируется на иерархическойоснове, чтобы каждому компьютеру в сети не приходилось сверять свойтаймер с одним компьютером. Вверху этой иерархии находится руководящий сервервремени, выбираемый следующим образом.

614 Windows Server 2003. Полное руководство• Для домена этим сервером является хозяин эмулятора PDC.• Если у вас несколько доменов, то хозяин эмулятора PDC в первом домене, которыйвы создали в лесу, является руководящим сервером времени для этого леса.Все контроллеры доменов Windows Server 2003 и Windows 2000 находятся на второмуровне этой иерархии, и они синхронизируют свои таймеры по этому руководящемусерверу времени. Все рядовые серверы и рабочие станции, работающие подуправлением Windows 2000 или последующих версий Windows, автоматически синхронизируютсвои таймеры по контроллеру домена, который аутентифицирует их.В Windows Server 2003 (и Windows 2000) предлагается возможность поместитьдругой сервер времени поверх этой иерархии - как внешний таймер, который считаетсяочень точным. Вы можете сделать так, чтобы ваш руководящий сервер временисинхронизировал свой таймер с этим таймером. См. ниже раздел «Использованиевнешнего таймера времени», где описывается, как найти и подсоединиться квнешнему таймеру.Ознакомление с процессом синхронизацииПри входе в домен компьютеров, работающих под управлением Windows 2000 илипоследующих версий, служба времени Windows проверяет время на подходящемкомпьютере, чтобы определить искомое время, которое должно использоваться какзначение времени на этом компьютере. Для контроллеров домена искомое время -это время на руководящем сервере времени. Для всех остальных компьютеров искомоевремя - это время на аутентифицирующем DC.Если искомое время не совпадает с временем локального таймера, то выполняющийвход компьютер выполняет следующие шаги, чтобы скорректировать свойтаймер.• Если искомое время больше локального времени, то W32Time автоматическиустанавливает локальное время равным искомому времени.• Если искомое время отстает от локального времени на три минуты или меньше,то W32Time «замедляет» локальный таймер, пока не совпадут показания времени.• Если искомое время отстает от локального времени более чем на три минуты, тоW32Time автоматически приравнивает локальное время к искомому времени.Синхронизация времени происходит не только в процессе входа - компьютерыпериодически продолжают синхронизировать время. Компьютеры один раз за каждыйпериод подсоединяются к компьютерам, которые являются их источникамивремени, и каждый компьютер определяет свой период следующим образом.• Начальный период составляет 45 минут.• Если синхронизация времени успешно проходит три раза подряд с использованиемпериода 45 минут, то задается новый период, равный восьми часам.• Если время не удается синхронизировать три раза подряд, то период остаетсяравным 45 минутам и процесс определения периода продолжается, пока не будутуспешно выполнены три последовательные попытки синхронизации.• Если после изменения периода на восемь часов время не синхронизируется трираза подряд, то период изменяется на 45 минут и весь процесс начинается заново.Прежде чем приступить к синхронизации времени, компьютер, на котором устанавливаетсявремя, обменивается пакетом данных с компьютером, который зада-

Глава 18. Контроллеры доменов 615ет время. Целью обмена этим пакетом данных является измерение задержки в передачеданных между этими двумя компьютерами. Эта задержка учитывается в расчетепри сравнении значений таймеров. Это означает, что услуги времени, предоставляемыечерез глобальную сеть, столь же эффективны, как и услуги, предоставляемыечерез локальную сеть.Синхронизация компьютеров со старыми версиями WindowsНа компьютерах со старыми версиями Windows нет службы W32Time, поэтому несуществует автоматических проверок для синхронизации времени. Это не являетсяпрепятствием для аутентификации или соединений, поскольку Kerberos не аутентифицируетэти компьютеры. Однако для поддержания точности меток времени вдокументах или в записях баз данных имеет смысл стараться держать таймеры этихкомпьютеров как можно ближе к остальным таймерам сети.Компьютеры со старыми версиями Windows позволяют вручную синхронизироватьих таймеры с уже синхронизированным таймером с помощью следующей команды:net time \\ /set /yesгде: - это имя компьютера в домене, на котором, как вы считаете,работает точный таймер./set - указывает компьютеру, что нужно синхронизировать время (а не только проверитьвремя на удаленном компьютере)./yes - подтверждает, что время на удаленном компьютере следует записать на локальномкомпьютере.Вы можете ввести эту команду в пакетном файле и поместить ссылку (значок)на этот пакетный файл в папке Startup меню Programs, чтобы синхронизироватьвремя при каждой загрузке данного компьютера, или можете поместить ссылку наэту команду в значке на рабочем столе и позволить пользователям синхронизироватьвремя по мере надобности.Кроме того, если ваша сеть охватывает сайты в различных временных зонах (часовыхпоясах), не беспокойтесь - Windows автоматически вносит поправку на часовыепояса (если вы правильно сконфигурировали ваши компьютеры для их локальныхчасовых поясов).Использование сервера внешнего времениДля служб вашей сети (таких как Kerberos) не имеет значения точность таймеровотносительно внешнего мира; главное, чтобы они были синхронизированы междусобой в пределах заданного допуска. Но если таймеры всех компьютеров вашей сетисинхронизированы между собой, то, конечно, удобнее, если они будут соответствоватьостальному миру.Для этого нужно, чтобы ваш руководящий сервер времени синхронизировал свойтаймер с внешним таймером, точность которого гарантирована. А поскольку компьютерывашего предприятия синхронизируют свое время в соответствии с иерархией,каждый таймер в вашей системе будет показывать точное время.Имеется два способа, позволяющих вашему руководящему серверу времени синхронизироватьсвой таймер с внешним миром: приобрести устройство, получаю-

616 Windows Server 2003. Полное руководствощее сигналы со спутников, и подсоединить его к руководящему серверу времени;или использовать Интернет для доступа к внешнему таймеру, показывающему точноевремя. Я предполагаю, что вы решите выбрать Интернет-вариант, поэтому воставшейся части этого раздела дам его описание.Поиск сервера внешнего времениСерверы времени доступны по всему миру, и они поддерживаются в виде иерархии.Первичные серверы (уровень 1) наиболее точны, но вторичные серверы (уровень 2)обычно синхронизируются точно с серверами уровня 1 или отличаются всего лишьна несколько тактов от серверов уровня 1. Отличия между серверами уровней 1 и 2никогда не превышают нескольких наносекунд, и этой величиной, несомненно,можно пренебречь.• Список серверов уровня 1 (stratum 1) находится в www.eecis.udel.edu/~mills/ntp/clockla.html.• Список серверов уровня 2 (stratum 2) находится в www.eecis.udel.edu/~mills/ntp/clock2a.htm.Совет. Серверы уровня 1 часто бывают очень заняты, что может вызывать выход потайм-ауту, прежде чем удастся синхронизировать ваш руководящий сервер времени,поэтому всегда имеет смысл выбрать в качестве внешнего источника временисервер уровня 2.Каждый список содержит серверы времени NTP (Network Time Protocol - синхронизирующийсетевой протокол), предоставляемые для открытого доступа, включаялюбые ограничения на их использование (например, некоторые сайты сервероввремени требуют, чтобы вы уведомляли их, что используете их таймер). Списки отсортированыпо кодам стран. Вы можете выбирать только те серверы времени, которыеиспользуют протокол Simple Network Time Protocol (это протокол, используемыйслужбами времени Windows), и эти серверы помечены как «NTP Servers.»Если вы не хотите выполнять поиск, то можете использовать предлагаемыеMicrosoft серверы внешнего времени (все это серверы открытого доступа, то есть увас не будут запрашиваться полномочия).• time.windows.com• time.nist.gov• ntp2.usno.navy.mil• tock.usno.navy.milКонфигурирование синхронизации с помощью сервера внешнеговремениЕдинственный компьютер на вашем предприятии, который может выполнять доступк серверу внешнего времени, - это ваш руководящий сервер времени (хозяинэмулятора PDC). Чтобы задать синхронизацию времени с внешним NTP-таймером,введите следующую команду в командной строке:net time /setsntpг.список-серверовгде список-серверов — это один или несколько адресов серверов времени NTP.Список из нескольких внешних серверов вводится для того, чтобы в случае отсутствиядоступа к одному из серверов руководящий сервер времени обращался к

Глава 18. Контроллеры доменов 617следующему серверу в списке. Адреса отделяются друг от друга пробелами, и весьсписок заключается в кавычки (например, net time /setsntp:»time.windows.comtime.nist.gov»).Примечание. Вы можете вводить для внешних серверов IP-адреса вместо URL-адресов,но если сайт сменил IP-адрес, то вам придется вносить изменения.Вам достаточно ввести эту команду только один раз, поскольку система записываетсписок серверов времени NTP в реестр, чтобы ваш руководящий сервер временисинхронизировал свой таймер с внешним источником автоматически. Адреса,которые вы указываете в команде, сохраняются в виде блока, который полностьюзаменяется, если вы вводите команду снова. Это означает, что если вы добавляетедругой адрес, то должны ввести команду с полным списком, включая первоначальныеи новые адреса. С другой стороны, если вы не боитесь работать с реестром, томожете добавить новый адрес непосредственно в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Tirne\Parameters.Чтобы увидеть текущий список серверов NTP, введите в командной строке навашем руководящем сервере времени net time /querysntp. Система возвратит адрес(а)серверов внешнего времени.Внимание. Следите за правильностью даты на вашем руководящем сервере времени,поскольку некоторые таймеры в интернете не предоставляют информацию компьютеру,имеющему неверную дату.Записи журнала событий W32TimeОдной из досадных проблем службы времени Windows является отсутствие предупрежденийв явном виде. Если вашему руководящему серверу времени не удаетсяполучить синхронизацию времени от какого-либо таймера в интернете, на экран невыводится никакого предупреждающего сообщения. Предупреждения не выводятсятакже, когда ваш контроллер домена (DC) не может получить синхронизациювремени от руководящего сервера времени или ваши сетевые компьютеры не могутполучить синхронизацию времени от их аутентифицирующих DC.Однако с помощью Event Viewer можно получить информацию о проблемах службывремени, хотя многие предупреждения и сообщения об ошибках не совсем ясны,поэтому не всегда удается легко понять, что происходит. Сообщения об ошибкахW32Time записываются в журнал System вместе с источником W32Time (щелкнитена колонке Source, чтобы отсортировать журнал по источникам).Если руководящий сервер времени недоступен, и вы сталкиваетесь с проблемамирепликации DC, то, возможно, вы не понимаете, что на самом деле проблемасвязана со службой времени. Если вы видите событие с текстом «The RPC server isunavailable» (Сервер RPC недоступен), то, скорее всего, источником проблемы являетсяневыполнение синхронизации времени.Если в Windows 2000 или последующих версиях клиент не может найти DC дляаутентификации, то он может выполнить вход иным способом, поскольку системакэширует опознавательные данные для аутентификации по умолчанию. Но в данномслучае не выполняется процесс синхронизации времени, что заставляет W32Timeвыдать сообщение «Event ID 11, The NTP Server didn't respond» (Событие 11, СерверNTP не ответил) в журнале System.

618 Windows Server 2003. Полное руководствоЕсли на руководящем сервере времени вы видите событие-предупреждение«Event ID 11, The NTP server didn't respond», то, видимо, имеется одна из следующихпроблем.• Сервер времени интернет теперь недоступен.• Ваш прокси-сервер, возможно, мешает доступу к серверу времени интернет.Если данный сервер времени интернет недоступен, найдите другой сервер и используйтекоманду net time /setsntp, чтобы задать его адрес.Если у вас работает прокси-сервер Windows, то, возможно, руководящему серверувремени запрещен доступ к серверу времени интернет. Служба времени Windowsзапускается с помощью локальной системной учетной записи на внутреннем сервере,а средство Access Control (Управление доступом) на прокси-сервере не дает этойучетной записи доступ к обмену данных через Интернет. Используйте одно и следующихсредств устранения этой проблемы.• Отключите средство Access Control для прокси-сервера Winsock, сбросив флажокEnable Access Control во вкладке Permissions диалогового окна Properties службыWinsock Proxy в IIS Manager.• Создайте руководящий сервер времени для доступа к прокси-серверу для егосервера NTP и сконфигурируйте этот прокси-сервер, чтобы он указывал на внешнийсервер.Глобальный каталогПоскольку в этой главе при рассмотрении ролей и функций контроллеров доменаупоминается глобальный каталог, здесь приводится обзор этого средства. Даетсякраткое описание того, что делает глобальный каталог, а также его активизация иотключение на контроллере домена (DC). Здесь не описывается, как добавлятьобъекты и атрибуты в глобальный каталог, поскольку это выходит за рамки изложенияэтой книги. Но если вы уже работали с Windows 2000 и знакомы с этим процессом,то будете довольны нововведением в Windows Server 2003: после добавленияновых объектов в глобальный каталог реплицируются только соответствующие изменения,но не весь глобальный каталог.Глобальный каталог - это база данных каталога для объектов Active Directory влесу. Для крупных предприятий глобальный каталог имеет огромные размеры, идаже для компаний меньшего масштаба он тоже может занимать много места.На любом контроллере домена, содержащем экземпляр глобального каталога,он содержит полную копию всех объектов каталога для домена этого контроллера, атакже частичную копию всех объектов всех остальных доменов данного леса. В этичастичные копии включаются объекты, которые наиболее часто используются воперациях поиска для пользователя, что дает высокую эффективность поиска вовсем лесу без перегрузки сети постоянными запросами ко всем контроллерам доменаданного леса.Поиск в глобальном каталогеЕсли пользователь запускает поиск определенного пользователя, принтера или любогодругого ресурса в лесу, то этот поиск выполняется в глобальном каталоге. Запроспоиска направляется в порт 3268 (порт по умолчанию для глобального каталога)и затем передается в глобальный каталог для разрешения. Если контроллер домена

Глава 18. Контроллеры доменов 619(DC), где содержится глобальный каталог, дает результат, то он возвращает его. Еслицелью поиска является другой домен, и данного объекта нет в частичном каталогеэтого DC, то этот DC запрашивает DC, содержащий глобальный каталог другогодомена, и возвращает результаты пользователю.Решение задач аутентификации с помощьюглобального каталогаЕсли пользователь выполняет вход в одном домене, используя пользовательское имяиз другого домена, то аутентифицирующий DC не имеет сведений об этой учетнойзаписи и поэтому обращается к глобальному каталогу. Глобальный каталог выполняетразрешение этого имени в виде имени UPN (user principal name), представляющегоучетную запись пользователя в форме UserName@domain.company (например,billg@executives.microsoft.com). Поскольку в UPN включается домен, гденаходится учетная запись данного пользователя, аутентифицирующий DC можетразрешить пользователю выполнить вход.Глобальные каталоги поддерживают универсальныегруппыВ многодоменной среде сведения о членстве в глобальных группах хранятся в каждомдомене, но в случае универсальных групп эти сведения хранятся только в глобальномкаталоге. (Напомним, что универсальные группы доступы только в томслучае, если домены находятся на собственном функциональном уровне доменовWindows 2000 или выше.)Когда пользователь, являющийся членом универсальной группы, выполняет входв любой домен, глобальный каталог предоставляет информацию о членстве в универсальныхгруппах этой пользовательской учетной записи. Эту информацию нельзяполучить из любой базы данных на уровне объектов домена.Кэширование членства в универсальных группахВ Windows Server 2003 улучшен способ использования членства в универсальныхгруппах при аутентификации пользователей. При первом входе члена универсальнойгруппы кэшируется информация об этом члене в универсальной группе, полученнаяиз глобального каталога. При последующих входах аутентифицирующий DCWindows Server 2003 получает информацию о членстве в универсальной группе изсвоего локального кэша. Для пользователей удаленных сайтов, где сайт не содержитглобального каталога, это экономит много времени и значительную долю пропускнойспособности сети. И, конечно, это означает, что члены универсальных группмогут выполнять вход, даже если глобальный каталог недоступен.Контроллеры домена Windows Server 2003 проверяют глобальный каталог каждыевосемь часов для обновления своей кэшированной информации, и они могутобновлять до 500 членств в универсальных группах с помощью одного запроса обновления.Это часто оказывается быстрее и эффективнее, чем размещение глобальногокаталога на сайте, поскольку репликация глобального каталога требует большихзатрат времени. (Сведения по репликации Active Directory, включая глобальныйкаталог, см. в гл. 19.)

620 Windows Server 2003. Полное руководствоЛокальное кэширование не включено по умолчанию, и если вы хотите активизироватьэто средство на контроллерах домена Windows Server 2003, имеющих медленноесоединение с глобальным каталогом, используйте следующие шаги.1. Откройте Active Directory Sites and Services из меню Administrative Tools.2. В дереве консоли выберите нужный объект Site.3. В правой панели щелкните правой кнопкой на объекте NTDS Settings и выберитепункт Properties.4. Установите флажок Enable Universal Group Membership Caching (Включить кэшированиесведений о членстве в универсальных группах).NTOS Site Settings PropertiesSie S№mg: otiecl SecurityNTDS Site Settings[Change Schedule.!:• inler-SteTopologyGenerator;S_erver:Ske: iDefauH-F.st-SiteUniversal Group Membership Caching^En^.U№Hsalfiefresh cache from:5. В поле Refresh Cache From (Обновлять кэш из) выберите сайт из раскрывающегосясписка или выберите вариант , чтобы обновлять кэш из ближайшегосайта, имеющего глобальный каталог.Активизация/отключение глобального каталога наконтроллере доменаВы можете активизировать или отключать глобальный каталог на DC, и это означает,что нужно указать, должен ли определенный DC содержать копию глобальногокаталога. По умолчанию первый DC в первом домене леса содержит глобальныйкаталог, но вы можете при необходимости переместить его на другой DC (которыйменее загружен или содержит больший объем пространства на диске). Кроме того,вам может потребоваться копия глобального каталога на DC удаленного сайта, чтобыэтому DC не нужно было аутентифицировать или разрешать глобальные объектычерез медленное соединение глобальной сети. Используйте следующие шаги,чтобы активизировать или отключить глобальный каталог на контроллере домена.

Глава 18. Контроллеры доменов 6211. Откройте Active Directory Sites and Services из меню Administrative Tools.2. Раскройте объекты в дереве консоли до уровня \Sites\l(eAeeou-caum\§ъты£т£\Целевой-контроллер-домена.3. В правой панели щелкните правой кнопкой на объекте NTDS Settings и выберитепункт Properties.4. Установите флажок Global Catalog, чтобы активизировать глобальный каталог,или сбросьте этот флажок, чтобы отключить его (активизировав глобальныйкаталог на другом DC и подождав, пока он будет установлен).eneral jConnections II Object ;: Seiurn*NTDS SelingsDNS Alias:|F«64A84-24DC4538-959B-AE7C4A5314A8._msdcs.iTheamountoftime it wil take to publish the G lobalCatalog variesdependingonyour replication topology.

•Глава 19Описание Active DirectoryActive Directory (AD) - это база данных платформы Windows Server 2003. ActiveDirectory содержит информацию о таких объектах, как сетевые учетные записи, группы,серверы и принтеры, а также другую информацию о домене. Active Directoryподдерживается в Windows Server 2003 Enterprise Edition и Datacenter Edition. ActiveDirectory нельзя установить на серверах Windows 2003 \\feb Edition.Active Directory содержит иерархическую структуру для администратора, позволяющуюорганизовывать объекты в его домене. Должное планирование структурыэтого каталога позволяет администратору упростить делегирование администрированияи облегчить управление настольными системами.Поскольку AD - это база данных LDAP (Lightweight Directory Access Protocol),вы можете реализовать запросы по объектам, содержащимся в этом каталоге. Имеютсясредства, с помощью которых вы можете применять фильтры к своим запросам,позволяющие сузить область поиска нужной вам информации.В этой главе рассматривается структура Active Directory, а также дается описаниенекоторых стратегий по структуризации вашей собственной базы данных ActiveDirectory. Описывается также, как создавать запросы и использовать средства оснасткиActive Directory Users and Computers для поиска информации.Структура Active DirectoryActive Directory позволяет вам использовать иерархическую структуру для организацииобъектов, содержащихся в вашем домене. Объектами могут быть, например,пользователи, принтеры и группы. В главе 18 описывается, как использоватьDCPROMO для повышения статуса вашего рядового сервера Windows Server 2003до уровня контроллера домена. После выполнения DCPROMO ваш сервер будетсодержать установку по умолчанию Active Directory.Оснастка Active Directory Users andComputersActive Directory Users and Computers - это ваш интерфейс для управления объектамиActive Directory, такими как пользователи, компьютеры и группы. Для просмотравашей установки Active Directory выберите Start/Programs/Administrative Tools/Active Directory Users and Computers (см. рис. 19.1).Оснастка Active Directory Users and Computers выглядит аналогично WindowsExplorer (Проводник). Она содержит значки папок и объектов, содержащихся в этихпапках. Эти папки называются организационными единицами (OU) и контейнерами.Организационные единицы - это папки со значком книги в середине. AD поставляетсяс OU по умолчанию Domain Controllers (Контроллеры домена). Контейнеры- это папки, не содержащие какого-либо значка.

Глава 19. Описание Active Directory 623т Active Directory Useis and Computers11Й||];11§Д11,)ActiveDirectoryUsersandComputers-Ш Saved Queriesi+i- G!iJ Buifcinф-Ш ComputersШ {j^3 Domain ControltersШ -ШЗ ForeignSecutityPiincipalsЁЙ-&Э Usersfl2 ; Й!"7 '.-3builthDomain£J Computers ContainerM Domain Conti... Organizational U...(ElForeignSecurit... Contamersers ContainerI DescriptionI IDefault container for upgra...Delault container for domai...Default container for securi...Default container for upgra...Рис. 19.1. Средство управления Active Directory Users and ComputersОрганизационные единицыOU - это объекты в Active Directory, которые могут определяться пользователем и ккоторым может применяться групповая политика. По умолчанию AD содержит OUDomain Controllers, куда включаются все контроллеры данного домена. Каждый раз,как вы запускаете DCPROMO на рядовом сервере домена, компьютерная учетнаязапись этого компьютера перемещается в OU Domain Controllers.Администратор может также создавать организационные единицы (OU). ОбычноOU создаются для упрощения административного управления доменом. Для созданияOU выполните следующие шаги.1. Щелкните правой кнопкой на узле, для которого хотите создать OU (например,на узле домена) и выберите New/Organizational Unit (Создать/Организационнаяединица).2. В диалоговом окне New Object - Organizational Unit введите имя вашей OU. Вданном примере используется OU Sales.3. Щелкните на кнопке ОК.4. Диалоговое окно закроется, и вы увидите новую созданную OU под узлом домена.Вы можете создавать вложенные OU, помещая их внутри этой OU, но обычнопри создании структуры OU не рекомендуется создавать более 5 уровней вложенности.КонтейнерыКонтейнеры создаются системой Windows Server 2003 по различным причинам. Поумолчанию создаются следующие контейнеры.• Builtin. Содержит несколько локальных в домене групп по умолчанию (подробнеесм. в гл. 20).• Computers. По умолчанию при добавлении какого-либо компьютера в ваш доменучетная запись этого компьютера помещается в контейнер Computers. Выможете в дальнейшем перемещать эти компьютерные учетные записи в созданнуювами OU.

624 Windows Server 2003. Полное руководство• ForeignSecurityPrincipals. Содержит прокси-объекты для вашего домена, чтобывзаимодействовать с доменом NT 4 и нижележащими доменами как со стороннимидоменами вне вашего леса.м Users. Контейнер по умолчанию для учетных записей Windows; в случае миграциииз домена NT 4 здесь будут находиться ваши пользовательские учетные записи.При желании вы можете перемещать эти пользовательские учетные записив другие OU.Если выбрать View/Advanced Features (Вид/Дополнительно) в Active DirectoryUsers and Computers, то вы увидите следующие дополнительные контейнеры.• LostAndFound. Содержит объекты, которые были удалены в данном домене, еслиобъект был перемещен в OU или контейнер, удаленный до того, как была выполненарепликация каталога.• NTDS Quotas. В Windows Server 2003 добавлено несколько новых технологий,позволяющих задавать квоты на объекты Active Directory. В этом контейнерехранится информация о квотах служб каталога.• Program Data. Новый контейнер, введенный в Windows Server 2003, чтобы хранитьполитики управления авторизацией для приложений.• System. Содержит несколько дочерних контейнеров.• AdminSDHolder. Используется для управления полномочиями пользовательскихучетных записей, которые являются членами встроенных группAdministrators или Domain Admins.• ComPartitionSets. Используется в разработке приложений; содержит информациюдля наборов разделов СОМ+, что позволяет пользователям в этомдомене выполнять доступ к службам приложения, которые предоставляютсяприложением СОМ+.• Default Domain Policy. Содержит группы безопасности и полномочия по умолчаниюдля вашего домена.• Dfs-Configuration. Содержит информацию по отказоустойчивой файловойсистеме Distributed File System (DFS). Сведения по DFS см. в гл. 16.• DomainUpdates. Здесь создаются контейнеры, если у вас выполнена модернизацияиз Windows NT или Windows 2000 в Windows Server 2003.• File Replication Service. Содержит информацию по планированию репликацииSystem "Volume (SYSVOL) для вашего домена.• FileLinks. Используется службой Distributed Link Tracking для отслеживанияинформации по файлам, которые были перемещены на другие тома NTFS.• IP Security. Содержит политики IPSec для вашего домена, которые обеспечиваютзащищенный сетевой обмен информацией между компьютерами.• Meetings. Используется для хранения информации, относящейся к собраниямMicrosoft NetMeeting.• MicrosoftDNS. В этом контейнере хранятся интегрированные с ActiveDirectory зоны DNS. Здесь сохраняются записи всех зон, которые затем реплицируютсяна другие серверы DNS для той же зоны DNS в данном домене.Подробнее об интегрированных с Active Directory зонах DNS см. в гл. 12.• Policies. Содержит объекты Group Policy (GPO) для вашего домена. Подробнееоб объектах GPO см. в гл. 22.• RAS and IAS Servers Access Check. Содержит информацию по службам RemoteAccess Services (RAS) и Internet Authentication Services (IAS) для вашего домена.

Глава 19. Описание Active Directory 625• RpcServices. Служба Remote Procedure Call Name Service для поиска в доменахдля систем, предшествовавших Windows 2000.• Winsock Services. В этом контейнере публикуются основанные на применениисокетов службы, которые используют протокол Registration and ResolutionProtocol.• WMIPolicy. Содержит объекты GPO Windows Management Instrumentation(WMI) для вашего домена. Фильтры WMI применяются только к WindowsХР и последующим версиям.Объекты Active DirectoryЕще одним элементом, содержащимся в Active Directory, являются объекты. Объектыразмещаются внутри организационных единиц и контейнеров Active Directory.Вы можете помещать объекты в определенной OU и определять групповую политикупо этой OU, чтобы упрощать задачи администрирования или управлять компьютернойсредой. К примерам объектов можно отнести принтеры, пользовательскиеучетные записи, компьютерные учетные записи и группы безопасности.LDAP и Active DirectoryActive Directory можно запрашивать с помощью протокола LDAP (LightweightDirectory Access Protocol), который поддерживается несколькими платформами.LDAP указывает путь именования, определяющий любой объект Active Directory,OU или контейнер. В этом разделе описываются пути именования, используемыедля доступа к Active Directory.Отличительные именаКаждый объект в Active Directory имеет свое отличительное имя (DN - distinguishedname). DN определяет полный путь LDAP для доступа к определенному объектуActive Directory. Любое DN содержит следующие атрибуты пути.• Доменный компонент (DC — Domain Component). Используется для определениякомпонента DNS-имени объекта Active Directory.• Организационная единица (OU). Организационная единица.• Общее имя (CN — Common Name). Объект, отличный от DC или OU; например,CN можно использовать для определения компьютерной или пользовательскойучетной записи.Ниже приводится пример того, как выглядит DN для организационной единицыDomain Controllers в Active Directory для вымышленного домена company.dom:OU=Domain Controllers, DC=company,DC=domТак что же описывает это DN? Глядя на него, вы можете сказать, что организационнаяединица Domain Controllers находится в домене company.dom.В качестве еще одно примера предположим, чтобы у вас имеется структура OUSales в домене company.dom. Внутри OU Sales находится еще одна OU с именем West.Внутри OU West у вас имеется учетная запись с именем Mary Smith. Для доступа кэтой учетной записи используется следующее DN:CN=Mary Smith,OU=West,OU=Sales, DC=company,DC=dom

626 Windows Server 2003. Полное руководствоКак видно из этих примеров, описание DN дается снизу вверх по пути в ActiveDirectory, начиная с объекта и вплоть до корня домена.Относительные отличительные именаОтносительное отличительное имя (relative distinguished name) в пути LDAP содержитинформацию об объекте Active Directory в контексте текущего рассматриваемогопути. Если взять предыдущий пример получения объекта с помощью отличительногоимени (DN) для пользовательской учетной записи Mary Smith, то DNописывалось какCN=Mary Smith,OU=West,OU=Sales, DC=company,DC=domОтносительное отличительное имя для этого объектаCN=Mary SmithПланирование вашей структурыActive DirectoryВы должны отнестись очень серьезно к планированию вашей структуры ActiveDirectory (AD). Хорошо структурированный каталог упрощает задачи администрированияи позволяет вам делегировать управление объектами. В этом разделе описываютсянекоторые вещи, которые вам следует учесть при создании вашей структурыAD.Централизованное или децентрализованноеадминистративное управлениеКак конфигурировать поддержку информационных служб для вашей организации?Некоторые организации имеют большие централизованные группы ИТ, которыеадминистрируют Active Directory. Другие организации географически разбросаны иимеют некоторую техническую поддержку на местах. В условиях децентрализованногоадминистрирования вам может потребоваться сконфигурировать структурукаталога таким образом, чтобы было проще делегировать административные задачилокальным администраторам.Мастер делегирования управления (Delegation of Control Wizard)С помощью мастера Delegation of Control Wizard вы можете выбрать определеннуюOU и делегировать административное управление этой OU. Это позволяет вам предоставлятьадминистративные права тем, кто знает свою область ответственности.Предположим, что у вас имеется подразделение, где используют временных работников.Подразделение может иметь несколько ресурсов, доступ к которым нужноограничить с помощью членства в группах и разрешать доступ этим людям. Можетбыть также несколько ресурсов, доступ к которым нужно запретить этимвременным работникам с помощью групповой политики или путем реализациисредств безопасности.Используйте следующую процедуру, чтобы делегировать административное управлениедля определенной организационной единицы.

Глава 19. Описание Astive Directory 6271. Щелкните правой кнопкой на этой OU и выберите в контекстном меню пунктDelegation of Control Wizard.2. Щелкните правой кнопкой на Next, и вы увидите другое диалоговое окно, позволяющеевам добавлять группы и/или пользователей, которым вы хотите делегироватьуправление. Щелкните на кнопке Add, чтобы добавить группы илипользователей в этом мастере. Щелкните на кнопке Next, чтобы перейти к следующемудиалоговому окну.3. В диалоговом окне Task to Delegate (Делегируемая задача) вы можете выбратьтипичные задачи, которые хотите делегировать выбранным пользовательским игрупповым учетным записям.• Create, delete, and manage user accounts (Создание, удаление и управлениепользовательскими учетными записями).• Reset user passwords and force password change at next logon (Сброс паролейпользователей и вынужденная смена паролей при следующем входе).Read all user information (Чтение всей пользовательской информации).Create, delete, and manage groups (Создание, удаление и управление группами).Modify the membership of a group (Изменение членства в группах).Manage Group Policy links (Управление связями Group Policy).Generate Resultant Set of Policy (Planning) [Формирование результирующегонабора политики (Планирование)].• Generate Resultant Set of Policy (Logging) [Формирование результирующегонабора политики (Регистрация в журнале)].• Create, delete, and manage inetOrgPerson accounts (Создание, удаление и управлениеучетными записями inetOrgPerson).• Reset inetOrgPerson passwords and force password change at next logon (Сброспаролей inetOrgPerson и вынужденная смена паролей при следующем входе).• Read all inetOrgPerson information (Чтение всей информации inetOrgPerson).4. В дополнение к типичным задачам вы можете также определять специализированныезадачи для делегирования. Выбрав вариант Custom (Специализированнаязадача) и щелкнув на кнопке Next, вы получаете список с большим числомобъектов Active Directory и возможность выбора типа задачи, чтобы ее могливыполнять с этими объектами выбранные вами делегаты.5. Если выбрать вариант Custom, то вы можете затем применять соответствующиеполномочия к выбранным объектам.Создание специализированных консолей ММСПосле того как вы закончили работу с мастером Delegation of Control Wizard, выбранныевами группы смогут выполнять административные задачи. Вы можете создаватьспециализированные консоли ММС (Microsoft Management Console) и затемраспространять их среди тех, кому делегировали права управления. Создаваяспециализированные консоли ММС, вы можете настраивать интерфейс администрированиясоответствующих объектов, чтобы делегированные администраторы виделина экране только то, что им разрешено администрировать.В следующей процедуре создается специализированная консоль ММС, где можновыводить определенную OU в Active Directory и получать к ней доступ.1. Для создания специализированной ММС выберите Start/Run (Пуск/Выполнить)и введите mmc в диалоговом окне Run.2. Появится консоль ММС с заголовком по умолчанию Console 1. Чтобы создатьконсоль для управления определенной OU, выберите File/Add/Remove Snap-In(Файл/Добавить/Удалить оснастку).

628 Windows Server 2003. Полное руководство3. В диалоговом окне Add/Remove Snap-In щелкните на кнопке Add.4. В диалоговом окне Add Standalone Snap-in (Добавление автономной оснастки)выберите Active Directory Users and Computers и щелкните на кнопке Add.5. Щелкните на кнопке Close (Закрыть) в диалоговом окне Add Standalone Snap-in,чтобы вернуться в диалоговое окно Add/Remove Snap-in.6. Вы увидите эту оснастку в диалоговом окне Add/Remove Snap-in. Щелкните накнопке ОК, чтобы вернуться в ММС.7. Раскройте оснастку Active Directory Users and Computers и спуститесь до уровняOU, для которой хотите создать эту консоль ММС.8. Щелкните правой кнопкой на этой OU и выберите пункт New Window From Here(Создать окно с этого места). Появится окно новой консоли, где центром являетсятолько что выбранная вами OU. Закройте исходное окно, находящееся позадивашего нового окна, чтобы осталось только окно выбранной OU.9. Выберите File/Options, чтобы открыть диалоговое окно Options.10. В диалоговом окне Options введите дружественное (понятное) имя для вашейММС и выберите режим в раскрывающемся списке Console Mode (Режим консоли).В данном примере выберите вариант User mode-limited access, single window(Пользовательский режим - ограниченный доступ, одно окно).11. Щелкните на кнопке ОК, закройте консоль и сохраните свои изменения.Ваша новая консоль будет представлена в программной группе AdministrativeTools. Если открыть эту консоль, то вы будете в пользовательском режиме и увидитето, что будет видеть ваш делегированный администратор. Вы можете переслать консольэтому администратору электронной почтой, и он будет видеть только то, чтоему нужно для администрирования своей OU.Примечание. Если вы создаете и распространяете специализированные консоли, тодолжны сначала убедиться, что на машине пользователя, которому вы отправляетеконсоль, установлены соответствующие оснастки.Создание панелей задач ММССпециализированные консоли очень удобны для выполнения административныхзадач, но для их использования все же требуются некоторые знания по таким приложениям,как Active Directory Users and Computers. Возможны ситуации, когда потребуетсяделегировать управление каким-либо объектом Active Directory неподготовленномупользователю. В Windows Server 2003 можно создавать панели задач(taskpad) для выполнения административных заданий. Специализированные панелизадач позволяют создавать и выводить для использования именно ту функциюадминистрирования, которая требуется делегированному администратору. Интерфейспанели задач понятен по смыслу и аналогичен использованию веб-страницы.В следующем примере описывается, как создать специализированную панель задачдля сброса пароля пользовательской учетной записи в OU с именем Sales.1. Для создания специализированной ММС выберите Start/Run и введите mmc вдиалоговом окне Run.2. Появится консоль ММС с заголовком по умолчанию Console 1. Чтобы создатьконсоль для управления определенной OU, выберите File/Add/Remove Snap-In.3. В диалоговом окне Add/Remove Snap-In щелкните на кнопке Add.4. В диалоговом окне Add Standalone Snap-in выберите Active Directory Users andComputers и щелкните на кнопке Add.

Глава 19. Описание Active Directory 6295. Щелкните на кнопке Close в диалоговом окне Add Standalone Snap-in, чтобы вернутьсяв диалоговое окно Add/Remove Snap-in.6. Вы увидите эту оснастку в диалоговом окне Add/Remove Snap-in. Щелкните накнопке ОК, чтобы вернуться в ММС.7. Раскройте оснастку Active Directory Users and Computers и спуститесь до уровняOU, для которой хотите создать эту консоль ММС.8. Щелкните правой кнопкой на этой OU и выберите пункт New Window From Here.Появится окно новой консоли, где центром является только что выбранная вамиOU. Закройте исходное окно, находящееся позади вашего нового окна, чтобыосталось только окно выбранной OU.9. Щелкните правой кнопкой на этой OU и выберите пункт New Taskpad View (Создатьпредставление в виде панели задач). Появится мастер New Taskpad ViewWizard. Щелкните на кнопке Next, чтобы начать работу с этим мастером.10. В этом диалоговом окне нужно выбрать внешний вид вашей панели задач. Выможете выбрать следующие варианты.• \fertical List (Вертикальный список). Создание вертикального списка объектовActive Directory с центром в этой OU.• Horizontal List (Горизонтальный список). Создание горизонтального спискаобъектов Active Directory, содержащихся в выбранной OU.• No List (Без списка). Без списка объектов, а только значки для выполненияопределенных задач.11. В данном примере выберите вариант Vertical List и щелкните на кнопке Next.12. Выберите область действия задачи. Вы можете выбрать вариант, где берутся всеэлементы дерева, имеющие такой же тип, как выделенные элементы дерева, иливариант, где берутся только выделенные элементы дерева. Щелкните на кнопкевыбора Selected tree item (Выбранный элемент дерева) и щелкните на кнопке Next.13. Введите имя и описание вашей панели задач и щелкните на кнопке Next. Щелкнитена кнопке Finish, чтобы завершить этот шаг работы мастера.14. Когда появится диалоговое окно New Task Wizard (Мастер новой задачи), щелкнитена кнопке Next, чтобы начать работу этого мастера.15. Выберите тип команды; в данном примере выберите вариант «menu command»(команда меню), чтобы можно было выполнять сброс паролей учетных записей.16. В диалоговом окне Shortcut Menu Command (Команда контекстного меню) проследите,чтобы в левой панели была выбрана какая-либо пользовательская учетнаязапись; в правой панели будут команды, которые влияют на текущий выделенныйобъект. В правой панели выберите All Tasks/Reset Password (Все задачи/Сброс пароля) и щелкните на кнопке Next.17. Введите имя и описание для этой только что созданной задачи. Щелкните накнопке Next.18. В диалоговом окне Task Icon (Значок задачи) выберите значок, которым хотитепредставлять эту задачу, и затем щелкните на кнопке Next.19. В диалоговом окне Completing Task Wizard (Завершение задачи) щелкните накнопке Finish, чтобы завершить работу мастера и вернуться в консоль ММС.После окончания работы с этими мастерами вы увидите вертикальный списокобъектов в выбранной организационной единице (OU). Щелкните на этом объекте,и вы увидите новый значок, представляющий команду сброса пароля. Настройтевнешний вид этой панели задач и затем сохраните консоль, как это делали в предыдущемпримере. Теперь вы можете распространять эту панель задач, как это делаетедля специализированной консоли.

630 Windows Server 2003. Полное руководствоГеографическое местоположениеЕсли администрирование вашей организации осуществляется по географическомуместоположению, то, возможно, вы будете структурировать Active Directory (AD)по такому же принципу. Предположим, что у вас несколько зданий в Европе, гдеодин ИТ-сотрудник является администратором всего этого места. Вы можете структурироватьAD, чтобы у вас была OU с именем Europe, и затем делегировать управлениеэтой OU IT-сотруднику в этом месте.Организационная структураУ вас может быть организация, которая разбита на подразделения или отделы, имеющиесобственный персонал поддержки, который хочет управлять своими объектамиAD. Предположим, что в финансовом отделе имеется отдельный сотрудник,ответственный за администрирование всех финансовых операций в организациинезависимо от местоположения отделов. Вы можете создать структуру OU, в которойимеется OU с именем Finance и затем делегировать управление этой OU.Вам может также потребоваться развертывание определенного приложения спомощью групповой политики, чтобы все пользователи в OU Finance имели определенныйпакет бухгалтерских расчетов; этому может способствовать создание структурыOU, основывающейся на функциях, а не местоположении.Смешанная организационная структураВ некоторых случаях вам может потребовать структура Active Directory, где используетсясочетание двух принципов разбиения - по местоположению и по функциям.Например, вы можете создать структуру, где в одной функциональной OU имеетсявложенность по функции и затем по местоположению. Просто при создании организационныхединиц помните, что из соображений простоты администрированиявам не стоит иметь более пяти уровней вложенности.Поиск в Active DirectoryТеперь, когда вы определили структуру OU, создали свои объекты и поместилиобъекты в соответствующие OU, можно выполнять поиск информации, содержащейсяв Active Directory. В Windows Server 2003 имеются превосходные средства поиска,позволяющие формировать запросы для поиска информации, содержащейсяв этом каталоге.Active Directory Users and ComputersОснастка Active Directory Users and Computers в Windows XP и последующих операционныхсистемах содержит узел, используемый для создания сохраняемых запросов.Вы можете создавать запросы, сохранять их и экспортировать результаты вашегопоиска. Для создания запроса выполните следующие шаги.1. Откройте Active Directory Users and Computers из меню Administrative Tools вWindows Server 2003.2. Вверху левой панели щелкните правой кнопкой на Saved Queries (Сохраненныезапросы) и выберите New/Query (Создать/Запрос).

Глава 19. Описание PcWve Directory 6313. В диалоговом окне New Query введите имя и описание вашего запроса.4. В середине диалогового окна New Query вы можете выбрать корень запроса длявашего поиска; по умолчанию это будет корень домена. Вы можете щелкнуть накнопке Browse, чтобы выбрать другой корень для своего поиска; например, выможете выбрать какую-либо OU, с которой начнется ваш поиск. Чем более ограничивающимбудет ваш выбор конкретного корня для поиска, тем быстреебудет выполняться этот поиск.5. Щелкните на кнопке Define Query (Определить запрос).6. В диалоговом окне Find Common Queries (Поиск типичных запросов), рис. 19.2,вы можете создавать фильтры по объектам, чтобы искать свою информацию.Fin

632 Windows Server 2003. Полное руководствоNTDSUtilNTDSUtil - это утилита командной строки, позволяющая изменять и управлятьвашей структурой Active Directory. Это средство в основном используется для управлениябазой данных Active Directory, для удаления метаданных информации, содержащейсяв Active Directory, и управления работой хозяев операций. NTDSUtil.exeнаходится в папке %SystemRoot%\System32.Для запуска NTDSUtil откройте окно командной строки и введите следующуюкоманду:ntdsutilДля просмотра имеющихся опций вы можете ввести help в командной строке:ntdsutil: help? - Show this help informationAuthoritative restore- Authoritatively restore the DIT databaseConfigurable Settings- Manage configurable settingsDomain management- Prepare for new domain creationFiles- Manage NTDS database filesHelp- Show this help informationLDAP policies- Manage LDAP protocol policiesMetadata cleanup- Clean up objects of decommissioned serversPopups %s- (en/dis)able popups with «on» or «off»Quit- Quit the utilityRoles- Manage NTDS role owner tokensSecurity account management - Manage Security Account Database - Duplicate SIDCleanupSemantic database analysis - Semantic CheckerSet DSRM Password- Reset directory service restore mode administratoraccount passwordntdsutil:Каждая из этих опций направляет вас по соответствующему пути администрирования.Некоторые опции недоступны, если вы выполнили нормальный вход воперационную систему. Например, опция Authoritative restore («Авторитарное» восстановление)доступна, только если у вас выполнен вход в систему с помощью режимаDirectory Services Restore Mode (Режим восстановления служб каталога).Описание каждого аспекта NTDSUtil выходит за рамки изложения этой главы.Для получения более подробной информации по NTDSUtil выполните поиск вMicrosoft Knowledge Base.Примечание. Будьте осторожны при использовании NTDSUtil. Эта утилита предназначенадля модифицирования Active Directory. Вы должны в точности знать, как выполняетсяоперация, иначе вы можете внести изменения, которые повредят Active Directory.DCDiagDCDiag - это утилита командной строки для мониторинга Active Directory. Вы можетеустановить DCDiag, выполнив установку Support Tools с установочного CDWindows Server 2003 из папки \Support\Tools. После установки Support Tools

Глава 19. Описание Active Directory 633вы можете затем запустить DCDiag. Запустив DCDiag, вы получите несколько диагностическихзаписей по Active Directory:C:\Documents and Settings\Administrator>dcdiagDomain Controller DiagnosisPerforming initial setup:Done gathering initial info.Doing initial required testsTesting server: Default-First-Site-Name\SERVER2003Starting test: ConnectivitySERVER2003 passed test ConnectivityDoing primary testsTesting server: Default-First-Site-Name\SERVER2003Starting test: ReplicationsSERVER2003 passed test ReplicationsStarting test: NCSecDescSERVER2003 passed test NCSecDescStarting test: NetLogonsSERVER2O03 passed test NetLogonsStarting test: AdvertisingSERVER2003 passed test AdvertisingStarting test: KnowsOfRoleHoldersSERVER2003 passed test KnowsOfRoleHoldersStarting test: RidManagerSERVER2003 passed test RidManagerStarting test: MachineAccountSERVER2003 passed test MachineAccountStarting test: ServicesSERVER2003 passed test ServicesStarting test: ObjectsReplicatedSERVER2003 passed test ObjectsReplicatedStarting test: frssysvolSERVER2003 passed test frssysvolStarting test: frseventSERVER2003 passed test frseventStarting test: kcceventSERVER2003 passed test kcceventStarting test: systemlogSERVER2003 passed test systemlogStarting test: VerifyReferences. SERVER2003 passed test VerifyReferencesRunning partition tests on : ForestDnsZonesStarting test: CrossRefVahdationForestDnsZones passed test CrossRefValidationStarting test: CheckSDRefDomForestDnsZones passed test CheckSDRefDom

634 Windows Server 2003. Полное руководствоRunning partition tests on : DomainDnsZonesStarting test: CrossRefValidationDomainDnsZones passed test CrossRefValidationStarting test: CheckSDRefDomDomainDnsZones passed test CheckSDRefDomRunning partition tests on : SchemaStarting test: CrossRefValidationSchema passed test CrossRefValidationSchema passed test CheckSDRefDomStarting test: CheckSDRefDomRunning partition tests on : ConfigurationStarting test: CrossRefValidationConfiguration passed test CrossRefValidationStarting test: CheckSDRefDomConfiguration passed test CheckSDRefDomRunning partition tests on : companyStarting test: CrossRefValidationcompany passed test CrossRefValidationStarting test: CheckSDRefDomcompany passed test CheckSDRefDomRunning enterprise tests on : company.domStarting test: Intersitecompany.dom passed test IntersiteStarting test: FsmoCheckcompany.dom passed test FsmoCheckКак можно видеть из этих результатов выполнения DCDiag, все элементы доменаработают должным образом. Если возникнет какая-либо проблема с ActiveDirectory, DCDiag выведет сообщение об ошибке. Если вызвать состояние ошибки,отключив DNS на данном сервере, то DCDiag возвратит следующую ошибку.Doing initial required testsTesting server: Default-First-Site-Name\SERVER2003Starting test: ConnectivityThe host 65fc42b7-0020-4c4e-9ba5-d241450ee25c._msdcs.company.dom could not beresolved to an IP address. Check the DNS server, DHCP, server name, etc Although the GuidDNS name 65fc42b7-0020-4c4e-9ba5-d241450ee25c._msdcs.company.dom) couldn't beresolved, the server name (server2003.company.dom) resolved to the IP address (192.168.65.129)and was pingable. Check that the IP address is registered correctly with the DNS server.SERVER2003 failed test ConnectivityDoing primary testsTesting server: Default-First-Site-Name\SERVER2003Skipping all tests, because server SERVER2003 is not responding to directory servicerequests

Глава 19. Описание A:tive Directory 635Как видите, DCDiag - это превосходное средство, с которого нужно начинатьпри поиске и устранении ошибок, связанных с Active Directory.Оснастка Active Directory Sites andServicesПосле того, как создана структура Active Directory и определены серверы глобальногокаталога, вы должны сконфигурировать ваши сайты и службы, чтобы реплицироватьэту информацию в пределах данного леса. Используя оснастку ActiveDirectory Users and Computers, вы можете определять логическую структуру своегодомена. Оснастка Active Directory Sites and Services предназначена для работы с физическойструктурой вашей сети и определения того, как должна происходить репликацияActive Directory.Создание структуры сайтовКогда вы устанавливаете первый контроллер домена в лесу, этот лес конфигурируетсятолько с одним сайтом. Откройте Active Directory Sites and Services и раскройтеузел Sites: вы увидите сайт Default-First-Site-Name (Имя-первого-сайта-по умолчанию),см. рис. 19.3.j&S? Active Diectory Sites and Servicesw»idwHelpЙ Active Directory Sites and Services [sВ EJ SitesЩЩ DelauK-Frrst-Site-Name| B-SJ Serversi-pNTDS SettingsЙ-Sj Inter-Site Transportsi i a IP| ffl-•£] SMTP'• •• £j Subnets^"'\o f$9NTDS Setings Domain Control.•Рис. 19.3. Консоль управления Active Directory Sites and ServicesНовый созданный сервер будет представлен в этом сайте. Сайт - это сеть с высокимуровнем готовности и высокой пропускной способностью, например, локальнаясеть (LAN). По мере добавления других серверов в вашем лесу, которые распределеныпо каналам глобальной сети (WAN), вам потребуется внести изменения спомощью Active Directory Sites and Services в соответствии с этой структурой WAN.Создавая эту структуру, вы можете оптимизировать свою репликацию. Чтобы создатьсайт для нового местоположения, используйте следующую процедуру.1. В Active Directory Sites and Services раскройте узел Sites, щелкните правой кнопкойна соответствующем узле и выберите New Site (Создать сайт).2. В диалоговом окне New Object - Site (Новый объект - сайт) введите имя вашегосайта, например, «NewYork» (отметим, что пробелы не допускаются). Затем выберитеDEFAULTIPSITELINK (канал связи для сайта по умолчанию; мы рассмотримканалы связи между сайтами в следующем разделе, «Транспорт междусайтами»). Щелкните на кнопке ОК.

636 Windows Server 2003. Полное руководство3. Если вы хотите, то можете переименовать Default-First-Site-Name на что-либодругое, щелкнув правой кнопкой на этом имени и выбрав пункт Rename (Переименовать).Например, переименуйте его в Chicago. Поскольку у вас был выбранканал DEFAULTIPSITELINK, то вы можете переименовать его, например,в NewYork-Chicago, чтобы сделать более понятным для просмотра.4. Раскройте узел Inter-Site Transports (Транспорт между сайтами), раскройте узелIP, щелкните правой кнопкой на DEFAULTIPSITELINK, выберите пункт Renameи переименуйте его в NewYork-Chicago.Транспорт между сайтамиУзел Inter-Site Transports используется, чтобы определять путь для репликации вActive Directory. В предыдущем примере вы создали транспорт между сайтами NewYork и Chicago; это непосредственно относится к каналу глобальной сети между этимидвумя точками. Узел Inter-Site Transports содержит два компонента - IP и SMTP.Каждый из этих видов транспорта будет использоваться в соответствии с каналомсвязи, соединяющим два сайта.• Надежная арендуемая линия. В этом случае, когда вы знаете, что линия будетдоступна практически все время, рекомендуется транспортный механизм IP. IPрекомендуется использовать для всех случаев репликации Active Directory (когдаэто возможно).• Ненадежный канал. Если вы знаете, что линия ненадежна и периодически можетотключаться, то вы можете выбрать в качестве транспортного механизма SMTP.Чтобы использовать SMTP, вам нужно установить Certificate Services (Службы сертификации)для шифрования и проверки репликации Active Directory.Раскройте узел Inter-Site Transports, раскройте узел IP и затем щелкните правойкнопкой на канале связи сайта. Выберите пункт Properties, чтобы открыть диалоговогоокно свойств для этого канала. Во вкладке General (Общие) можно задаватьследующие параметры.• Description (Описание). Вы можете ввести краткое описание, которое будет выводитьсяна экран.• Sites in the link и Sites not in the link (Сайты на этом канале и Сайты не на этомканале). В этих двух панелях вы можете выбирать или удалять сайты, которыехотите реплицировать с помощью этого канала.• Cost (Стоимость). Начинает использоваться, когда между сайтами имеется болееодного канала. Например, предположим, что у вас имеется канал Т1, соединяющийдва сайта, New York и Chicago, и канал ISDN, соединяющий Chicago иSeattle. Вы можете задать стоимость канала ISDN выше, чем стоимость каналаТ1, чтобы репликация происходила с помощью Т1, а не ISDN.• Replication Schedule (Расписание репликации). Вы можете задать интервал междурепликациями и момент времени, когда должна запускаться репликация. Например,вы можете задать, чтобы в рабочее время репликация происходила реже,что позволит снизить трафик в период высокой нагрузки.Как уже говорилось, при задании стоимостей вам могут потребоваться избыточныеканалы между сайтами. Например, некоторые топологии имеют централизованнуюструктуру глобальной сети (hub-and-spoke), где имеется один центр данныхи каждый сайт имеет канал с этим центром данных. У вас может быть «ячеистая»сеть, содержащая каналы между несколькими сайтами. У вас может быть так, что

Глава 19. Описание Active Directory 637New York соединен с Chicago, Chicago соединен с Seattle и Seattle соединен с NewYork. При этом типе сети имеется несколько путей для репликации Active Directory.ПодсетиПодсети (Subnets) определяют физические сегменты вашей сети. Поэтому вы связываетеподсети с определенным сайтом. Сайт может иметь несколько подсетей. Когдавы устанавливаете первый контроллер домена в вашем лесу, то никакие сайты еще несконфигурированы. Вы должны войти в Active Directory Sites and Services и определитьсегменты своей сети. Чтобы определить подсеть, выполните следующее.1. Щелкните правой кнопкой на узле Subnets и выберите в контекстном меню пунктNew Subnet (Создать подсеть).2. В диалоговом окне New Object - Subnet (Новый объект - подсеть) введите IPадреси маску подсети для вашей локальной сети. В этом диалоговом окне допускаютсямаски подсети переменной длины; запишите нотацию CIDR, котораяпоявляется, когда вы вводите маску подсети.3. Определив свою сеть, щелкните на сайте, чтобы связать с ним эту сеть. Щелкнитена кнопке ОК, чтобы завершить конфигурирование.Определение сайтов, подсетей и транспортных механизмов жизненно важно дляобеспечения правильности репликации и аутентификации в вашем домене. Например,когда пользователь входит в сеть и получает IP-адрес, компьютер запрашиваетслужбу DNS, чтобы она определила, в каком сайте находится компьютер, и затемаутентифицирует его на контроллере домена в сайте, связанном с подсетью, в которойнаходится этот клиент. Поиск в глобальном каталоге сначала выполняется внутрисайта, в котором находится данный клиент. Много других средств Active Directoryзависят от того, как сконфигурирована оснастка Active Directory Sites and Services,поэтому найдите время, чтобы сконфигурировать ее должным образом.Службы (Services)В этом разделе мы рассмотрим компонент Services оснастки Sites and Services. Щелкнитеправой кнопкой на узле верхнего уровня в Active Directory Sites and Services ивыберите View/Services Node (Вид/Узел Services). По умолчанию узел Services невыводится на экран (администрирование объектов, содержащихся в этом узле, требуетсяочень редко).Если раскрыть узел Services, то вы увидите дополнительные узлы, содержащиеинформацию о службах, которые работают в вашей сети.• MsmqServices. Содержит информацию, относящуюся к службам MicrosoftMessaging Queue.• NetSenices. Содержитинформациюпоразличньшсетевьгмслужбам.такимкакОНСР.• Public Key Services. Управляет службами сертификации.• RRAS. Содержит информацию, относящуюся к службе Routing and Remote AccessServices.• Windows NT. Содержит информацию для служб уровня домена.Могут быть представлены и другие узлы служб в зависимости от установленныхвами приложений, которые поддерживают информацию о сайтах и могут использоватьинформацию о топологии глобальной сети, например, Exchange Server. Вы можететакже запускать для них мастер Delegation of Control Wizard, что позволяет вамделегировать администрирование различных служб.

1^ •• ; ••••. . • „ ,638 Windows Server 2003. Полное руководствоСредства поддержки и устранения проблемдля Sites and ServicesВозможны ситуации, когда что-то в вашем домене работает неверно. Много проблемможет возникать из-за того, что Active Directory реплицирует информацию непо всем сайтам. В этом разделе описываются некоторые средства, которые можноиспользовать для диагностирования проблем, возникающих в вашем домене.ReplmonReplmon - это графическое средство для мониторинга репликации между сайтами.Replmon устанавливается во время установки Support Tools, как это описано выше вразделе «DCDiag». При запуске replmon из командной строки появляется окно ActiveDirectory Replication Monitor (Монитор репликации Active Directory), см. рис. 19.4.ре E* Atw !М>i Monitored Server*•Щ Chicago& Щ> SERVER2003Ф DC-company.DC-domCN-Con(igufation,DC-cofnpany,DC-(tomCN-SchemeXN-ConfiguiatioaOC-cornperv^C-:i DC4JWMtnO ntZonei,DC-cofnpviy,DC-clornУРис. 19.4. Окно Active Directory Replication MonitorЩелкнув правой кнопкой мыши на корневом узле, вы можете выбрать сервердля мониторинга. Появится диалоговое окно, где можно определить этот сервер.Выполнив соединение, вы можете выполнять разнообразные задачи.• Update the Status (Обновление состояния). Вывод любых ошибок в правой панелии вывод текущего состояния выбранного сервера.• Check Replication Topology (Проверка топологии репликации). Вывод в графическойформе непосредственных партнеров репликации выбранного контроллера.• Synchronize Each Directory Partition with All Servers (Синхронизация каждого разделакаталога со всеми серверами). Отправка сообщения серверу, чтобы инициироватьрепликацию во всем домене.• Generate Status Report (Создание отчета о состоянии). Позволяет вам экспортироватьотчет о состоянии в файл журнала на данном компьютере.• Show Domain Controllers in the Domain (Представление контроллеров данного домена).Вывод всех контроллеров домена в текущем домене.• Show Replication Topologies (Представление топологий репликации). Представлениевсех путей репликации на различные сайты вашего леса.• Show Group Policy Object Status (Представление состояния объектов Group Policy).Состояние объектов GPO в лесу.• Show Current Performance Status (Вывод информации о текущей производительности).Представление информации о производительности для репликации вашеголеса.

Глава 19. Описание Active Directory 639• Show Global Catalog Servers in the Enterprise (Представление серверов глобальногокаталога на предприятии). Представление любых серверов в лесу, которые сконфигурированыкак серверы глобального каталога.• Show Bridgehead Servers (Представление серверов-плацдармов). Представлениесерверов, которые используются как серверы-плацдармы; сервер-плацдарм — этопредпочтительный сервер репликации для определенного сайта.• Show Trust Relationships (Представление доверительных отношений). Вывод доверительныхотношений для леса. Описание доверительных отношений см. нижев этой главе.• Show Attribute Meta-Data for Active Directory Object (Представление метаданных атрибутовдля объекта Active Directory). Вывод любых метаданных для объектов леса.В меню Action (Действия) вы можете также запускать поиск контроллеров доменовс ошибками репликации во всем лесу.Как можно видеть из этого описания, утилита replmon должна быть включена винструментарий любого администратора, поскольку она предоставляет целый рядсредств для мониторинга Active Directory.NetdiagNetdiag - это еще одна утилита, включенная в Support Tools на установочном CD.Вы можете использовать для поиска ошибок утилиты dcdiag и replmon, описанныевыше в этой главе, но вам следует также знать об утилите netdiag. Netdiag (Networkdiagnostics) выполняет несколько сетевых тестов и сообщает о любых найденныхошибках. Просто откройте окно командной строки и введите:C:\Documents and Settings\Administrator>netdiagComputer Name: SERVER2003DNS Host Name: server2003.company.domSystem info : Windows 2000 Server (Build 3718)Processor: x86 Family 6 Model 11 Stepping 1, GenuinelntelList of installed hotfixes :QU7222Netcard queries test : PassedPer interface results:Adapter: Local Area ConnectionNetcard queries test...: PassedHost Name : server2003IP Address : 192.168.65.129Subnet Mask : 255.255.255.0Default Gateway : 192.168.65.2Dns Servers : 192.168.65.129AutoConfiguration results : PassedDefault gateway test...: PassedNetBT name test : Passed[WARNING] At least one of the 'Workstation Service", 'Messenger Service", 'WINS' names is missing.No remote names have been found.WINS service test : SkippedThere are no WINS servers configured for this interface.Global results:

640 Windows Server 2003. Полное руководствоDomain membership test : PassedNetBT transports test : PassedList of NetBt transports currently configured:NetBT_Tcpip_{C19E851C-C540-4E6C-A9C2-5AD7AB351712}1 NetBt transport currently configured.Autonet address test : PassedIP loopback ping test : PassedDefault gateway test : PassedNetBT name test: Passed[WARNING] You don't have a single interface with the 'Workstation Service', 'Messenger Service 1 , 'WINS' names defined.Winsock test: PassedDNS test: PassedPASS - All the DNS entries for DC are registered on DNS server "192.168.65.129".Redir and Browser test : PassedList of NetBt transports currently bound to the RedirNetBT_Tcpip_{C19E851C-C540-4E6C-A9C2-5AD7AB351712}The redir is bound to 1 NetBt transport.List of NetBt transports currently bound to the browserNetBTJcpip_{C19E851C-C540-4E6C-A9C2-5AD7AB351712}The browser is bound to 1 NetBt transport.DC discovery test: PassedDC list test: PassedTrust relationship test : SkippedKerberos test: PassedLDAP test: PassedBindings test: PassedWAN configuration test : SkippedNo active remote access connections.Modem diagnostics test : PassedIP Security test: SkippedNote: run "netsh ipsec dynamic show /?" for more detailed informationThe command completed successfullyКак видите, netdiag выводит обширный список сетевой диагностики на вашеймашине. Если в этом списке встретилась ошибка, вам следует обратиться к базезнаний Microsoft ICnowledge Base для получения информации по этому конкретномусообщению об ошибке.Оснастка Active Directory Domains and TrustsВ оснастке Active Directory Domains and Trusts (Домены и доверительные отношенияActive Directory) вы можете просматривать, создавать, модифицировать и проверятьдоверительные отношения для вашего леса. Доверительные отношения позволяютпользователям одного домена аутентифицироваться в доверяющем домене.Если пользовательская учетная запись может быть аутентифицирована, то вы можетепредоставлять доступ к ресурсам этого доверяющего домена.Ниже приводится список различных типов доверительных отношений в WindowsServer 2003.

Глава 19. Описание Active Directory 641Domain root trust (Доверительные отношения между корнями доменов). Доверительныеотношения между корнями двух различных доменов одного леса. Нарисунке 19.5 показан этот тип доверительных отношений между двумя деревьями:company.dom и domain2.dom.Parent-child trust (Доверительные отношения между родительским и дочерним доменами).Отношения в рамках одного пространства доменных имен. На рисунке19.5 имеется домен sales под корнем company.dom. Их доверительные отношения- это отношения между родительским и дочерним доменами. В лесу ActiveDirectory доверительные отношения являются двусторонними и транзитивными.Транзитивность на рисунке 19.5 означает, что для доступа к ресурсам доменаfinance.company.dom из домена sales.company.dom не требуется специальноконфигурировать соответствующие доверительные отношения, поскольку обаэтих домена являются дочерними доменами родительского домена company.com.Доверительные отношения между finance.company.dom и sales.company.dom определяютсякак путь доверия через все домены в одном дереве доменов.Корень лесаДоверительныеотношения междулесамиДочерниедоверительныеотношенияSales.company.comSales.External.domДерево доменовЛесРис. 19.5. Различные типы доверительных отношений, поддерживаемых в WindowsServer 2003• Shortcut trust (Сокращенные доверительные отношения). Для транзитивностидоверительных отношений в домене и лесу соответствующее доверительное отношениедолжно проверяться через все дерево доменов. Вы можете создаватьдоверительное отношение, которое позволяет снизить количество времени, требующеесядля проверки пути доверия. Создавая вручную доверительное отношениев оснастке Active Directory Domains and Trusts, вы действительно сокращаетевремя, которое требуется для аутентификации доступа к ресурсам.• Forest trust (Доверительные отношения между лесами). Новый вид доверительныхотношений, появившийся в Windows Server 2003; это позволяет одному лесу транзитивнодоверять всем доменам другого леса. Например, предположим, у нас имеетсядомен company.dom из предыдущего примера и внутри этого домена имеетсядочерний домен sales.company.dom. Если сконфигурировать доверительные отно-21 - 3994

642 Windows Server 2003. Полное руководствошения на уровне лесов с другим лесом, external.dom, то sales.company.dom получаеттранзитивные доверительные отношения через корень своего леса с другимдоверяемым лесом. Вы можете конфигурировать эти доверительные отношениякак транзитивные двусторонние или односторонние отношения.• Realm trust (Доверительные отношения с областью действия). Добавляя доверительныеотношения с областью действия Kerberos, вы можете устанавливать такиедоверительные отношения с областями, отличными от Windows Kerberos version5. Как и в случае других внешних доверительных отношений, это могут быть транзитивныеили нетранзитивные двусторонние или односторонние отношения.В следующем примере происходит добавление доверительного отношения к существующемудомену.1. Выберите Start/Programs/Administrative Tools/Active Directory Domains and Trusts.2. Раскройте верхний узел Active Directory Domains and Trusts, чтобы увидеть вседомены в вашем лесу. Щелкните правой кнопкой на домене, к которому вы хотитедобавить это доверительное отношение, и выберите пункт Properties.3. В диалоговом окне Domain Properties (Свойства домена) щелкните на вкладкеTrusts (Доверительные отношения), чтобы увидеть доверительные отношениядля вашего домена.4. Щелкните на кнопке New Trust (Создать доверительное отношение), чтобы запуститьмастер New Trust Wizard, и щелкните на кнопке Next.5. В диалоговом окне Trust Name (Имя доверительного отношения) введитеNetBIOS-имя или DNS-имя домена, с которым вы хотите создать доверительноеотношение. Для продолжения щелкните на кнопке Next.6. Выберите тип доверительного отношения.• Two-way (Двустороннее). Пользователи из вашего домена смогут аутентифицироватьсяв доверяемом домене и использовать его ресурсы; пользователидоверяемого домена смогут аутентифицироваться в вашем домене и использоватьего ресурсы• One-way Incoming (Одностороннее входящее). Пользователи вашего домена смогутаутентифицироваться в другом домене и получать доступ к его ресурсам.• One-way Outgoing (Одностороннее исходящее). Пользователи другого доменасмогут аутентифицироваться в вашем домене и получать доступ к его ресурсам.7. Щелкните на кнопке Next, чтобы открыть диалоговое окно Sides of Trust (Стороныдоверительного отношения). Укажите, где вы хотите создать доверительноеотношение - в вашем домене или в обоих доменах (при условии, что выимеете соответствующие полномочия). Для продолжения щелкните на кнопкеNext.8. В диалоговом окне Outgoing Trust Authentication Level (Уровень аутентификацииисходящего доверительного отношения) задайте область действия этого доверительногоотношения; вы можете выбрать Domain-wide authentication (Аутентификацияв рамках домена), что позволяет всем пользователям из второго доменавыполнять доступ к ресурсам вашего домена, или Selective Authentication(Выборочная аутентификация), что требует от вас задания доступа пользователейпосле создания этого доверительного отношения. Для продолжения щелкнитена кнопке Next.9. В диалоговом окне Trust Password (Пароль доверительного отношения) введитепароль для проверки этого нового доверительного отношения; этот пароль следуетввести в обоих доменах. Для продолжения щелкните на кнопке Next. Просмотритеотчет о выполненной вами задаче.

Глава 20Управление группамии организационнымиединицамиИспользование групп и организационных единиц (OU) - это логичный и простойспособ управления вашим доменом и, в частности, безопасностью ваших сетевыхресурсов. Если вы переходите к Windows Server 2003 из Windows NT, то вам известноопределение группы, но при работе с Windows Server 2003 вы увидите существенныеотличия в использовании групп.OU — это совершенно новое понятие для администраторов Windows NT, но OU -это достаточно простое для понимания и использования средство, и вы сможетеоценить, насколько удобно использовать организационные единицы для управлениявашими доменами.В этой главе описывается действие групп и организационных единиц, а такжеих использование для администрирования и защиты вашего предприятия.Группы Windows Server 2003Группа - это набор таких объектов, как пользователи, компьютеры, контакты и дажедругие группы. В Windows Server 2003 существует иерархия типов групп, начиная сверхнего уровня, содержащего следующие два типа.• Группы рассылки (Distribution), которые используются только для рассылки электроннойпочты.• Группы безопасности (Security), которые используются для предоставления полномочийдоступа к ресурсам (и могут также использоваться как списки рассылкиэлектронной почты).Группы безопасности для доменов можно классифицировать по типу и областидействия, например, domain local (локальные в домене), global (глобальные) иuniversal (универсальные), и в данной главе будут описаны эти отличия.Локальные группыПри настройке компьютера Windows Server 2003 как рядового сервера (а не контроллерадомена) автоматически создается целый ряд локальных групп. Если выназначаете определенные роли для этого компьютера, то создаются дополнительныегруппы, чтобы пользователи могли выполнять задачи, связанные с этими ролями.Например, если вы делаете компьютер сервером DHCP, то создаются локальныегруппы для администрирования и использования служб DHCP.2V

644 Windows Server 2003. Полное руководствоГруппы рассылкиКроме этой вставки, я не буду тратить время на описание групп рассылки в этойглаве (и в этой книге). Группа рассылки используется исключительно для рассылкиэлектронной почты, и только такими приложениями электронной почты, какMicrosoft Exchange Server. Группа рассылки не имеет никакого отношения к безопасности,и на нее не может быть никаких ссылок в дискреционных списках управлениядоступом (DACL), когда вы задаете полномочия по ресурсам.Вы можете включать членов в используемые по умолчанию группы безопасности.Вы можете также создавать новые локальные группы для данного компьютера,если хотите предоставить определенной группе пользователей определенные правана выполнение задач, которые не охватываются группой по умолчанию.Помните, что локальные группы используются, чтобы предоставлять их членамправа на выполнение действий на локальном компьютере. В большинстве случаевваш компьютер Windows Server 2003 исполняет определенную роль в домене, и обычнона таком компьютере не задают сложный набор пользователей и групп для работыс данным компьютером.Помните также, что группы предназначены для того, чтобы ограничивать действияпользователей на сервере, а не предоставлять право на выполнение операций.Большинство локальных групп не содержит членов, но это не означает, чтоникто не сможет выполнять задачи, разрешаемые членством в этих группах, а простозначит, что нет пользователей, права которых ограничены этой группой. Членыгрупп с более широкими правами (например, Administrators) уже имеют право навыполнение таких задач.Локальные группы по умолчаниюВы можете видеть группы по умолчанию в папке Groups в оснастке ММС LocalUsers and Groups (Локальные пользователи и группы), см. рис. 20.1. Чтобы открытьэту оснастку, щелкните правой кнопкой на My Computer (Мой компьютер) и выберитев контекстном меню пункт Manage (Управление). Затем раскройте в деревеконсоли объект Local Users and Groups и выберите объект Groups.Я| Computer Management (Local):•fjjj System ToolsЙ'|Щ| Event Viewerffi Q Shared FoldersФ "ЗЗ* l - 0Ca ' 1 " tserS аГи^ Group5\ }~Ш Users§Adminf5trators3 Backup Operators§ Network Configuration Operators^Performance Log Users^g Performance Monitor UsersШ ^ Performance Logs and Alerts:Power Users•"J*k Device Manager;| Ujrage •Ц Print OperatorsJ*j iijp Removable Storage ;; .Remote Desktop Users;—fp Disk DeFragmenter i: ReplicatorL|p Disk Management = UsersJ jfi Services ar-d Applications• >HelpServicesGroupTelnetCBents:Administrators have complete and unrestrkte...Backup Operators can override security restri...Guests have the same access as members of t..Members in this group can have some administ..Members of this group have remote access to,.Members of this group have remote access to..Power Users possess most administrative pow..,Members can administer domain printersMembers in this group are granted the right to..Supports f3e replication in a domainUsers are prevented from making accidental o..Group for the Help and Support CenterMembers of this group have access to Telnet...Рис. 20.1. Выберите объект Groups, чтобы увидеть локальные группы на вашемкомпьютере Windows Server 2003

Глава 20. Управление группами и организационными единицами 645Следующие локальные группы имеются на рядовом сервере, работающем подуправлением Windows Server 2003.• Administrators (Администраторы). Члены этой группы имеют неограниченныеправа управления данным компьютером локально или удаленным образом. Поумолчанию локальная учетная запись Administrator и любой член группы DomainAdmins (Администраторы домена) являются членами этой группы.• Backup Operators (Операторы резервного копирования). Члены этой группы могутвыполнять вход на данный компьютер локально или удаленным образом,выполнять резервное копирование и восстановление файлов и папок на этомкомпьютере, а также завершать работу этого компьютера. Отметим, что членыэтой группы могут выполнять резервное копирование и восстановление файлови папок, для которых они не имеют обычных полномочий доступа, но членыгруппы backup/restore имеют приоритет по сравнению с этими правами. По умолчаниюэта группа не содержит членов.• Guests (Гости). Только учетная запись Guest является членом этой группы, но учетнаязапись Guest отключена по умолчанию в Windows Server 2003. Члены этой группыне имеют никаких прав или полномочий по умолчанию. Если активизироватьучетную запись Guest и какой-либо гость выполняет вход на данный компьютер,то при входе создается временный профиль, который удаляется при выходе.• HelpSenicesGroup (Группа для служб поддержки). Эта группа используется, чтобызадавать полномочия для приложений поддержки, и единственным членомявляется учетная запись, связанная с установленными приложениями поддержки,такими как Remote Assistance. He включайте пользователей в эту группу.• Network Configuration Operators (Операторы сетевой конфигурации). Члены группымогут вносить изменения в настройки сети (TCP/IP), а также обновлять и освобождатьадреса TCP/IP, если данный компьютер является сервером DHCP. Поумолчанию эта группа не содержит членов.• Performance Monitor Users (Пользователи монитора производительности). Членыэтой группы могут отслеживать (просматривать) счетчики производительностина этом сервере локально или удаленным образом. По умолчанию эта группа несодержит членов.• Performance Log Users (Пользователи журнала производительности). Члены этойгруппы могут управлять счетчиками, журналами и оповещениями производительностина данном сервере локально или удаленным образом. По умолчаниюединственным членом этой группы является NT Authority\Network Service (интерактивныйсистемный пользователь, но не реальный пользователь).• Power Users (Привилегированные пользователи). Члены этой группы могут создаватьи модифицировать пользовательские учетные записи. Они могут такжесоздавать новые локальные группы и включать членов в эти группы. Они могутдобавлять и удалять пользователей в группах Power Users, Users и Guests. По умолчаниюэта группа не содержит членов.• Print Operators (Операторы печати). Члены этой группы могут управлять принтерамии очередями печати. По умолчанию эта группа не содержит членов.• Remote Desktop Users (Пользователи удаленного рабочего стола). Членам этойгруппы разрешается выполнять вход на данный сервер удаленным образом. Овозможностях удаленного рабочего стола и добавлении пользователей в эту группусм. в гл. 3.

646 Windows Server 2003. Полное руководство• Replicator (Репликатор). Группа Replicator поддерживает функции репликации.Единственным членом этой группы является доменная пользовательская учетнаязапись, которая требуется для служб Replicator на контроллере домена. Невключайте в эту группу учетные записи реальных пользователей.• Users (Пользователи). Члены этой группы могут выполнять базовые задачи, такиекак запуск приложений и использование принтеров. Они не могут создаватьразделяемые ресурсы или принтеры (но могут подсоединяться к сетевым принтерамдля их локальной установки). Любая пользовательская учетная запись,созданная в домене, является членом этой группы.• TelnetClients (Клиенты Telnet). Члены этой группы могут использовать службуTelnet Server на данном компьютере (если она запущена). По умолчанию службаTelnet Server отключена.Добавление членов в локальные группыВы можете добавлять объекты в любую группу. Этими объектами могут быть локальныепользователи, доменные пользователи или даже другие локальные или доменныегруппы. Для добавления членов в группу выполните следующие шаги.1. Щелкните правой кнопкой на My Computer и выберите пункт Manage, чтобыоткрыть локальную оснастку Computer Management (Управление компьютером).2. Раскройте в дереве консоли объект Local Users and Groups.3. Выберите объект Groups, чтобы представить локальные группы в правой панели.4. Дважды щелкните на записи группы, в которую вы хотите добавить членов, послечего появится диалоговое окно Properties этой группы.Backup Operators Prnpertie'General i.Members:BackupOperators' |Г - |П * to * 'hesolepupose olbock ingupor lestoirig lik-:5. Щелкните на кнопке Add, чтобы открыть диалоговое окно Select Users, Computers,or Groups (Выбор пользователей, компьютеров или групп).

Глава 20. Управление группами и организационными единицами 647Select Useit IIЩU;eituGroup?Fitm Им be ebon:i б*"" 0 «d... (НИ i .. : Cancel 16. Найдите нужные объекты, используя следующие инструкции.• Щелкните на кнопке Object Types (Типы объектов), чтобы выбрать один илинесколько типов членов для добавления в группу. Имеются следующие вариантывыбора: Computer, User и Group.• Щелкните на кнопке Locations (Место), чтобы выбрать локальный компьютерили домен, как место, из которого нужно выбрать новых членов.• В поле Enter the object name(s) введите имена объектов, разделенные точкойс запятой, или щелкните на кнопке Advanced (Дополнительно), чтобы инициироватьпоиск.При непосредственном вводе имен щелкните на кнопке Check Names (Проверкаимен), чтобы убедиться в правильности их ввода. Вы можете вводить имена входапользователей, и система преобразует их в полностью уточненные доменныеимена (FQDN).По окончании добавления членов щелкните на кнопке ОК. Появится списокчленов группы в ее собственном диалоговом окне Properties (см. рис. 20.2).Создание локальных группЕсли вы используете свой компьютер Windows Server 2003 для какой-то специальнойфункции или приложения, то вам может потребоваться активизация специальныхполномочий для выполнения соответствующих задач. Обычно имеет смыслсоздать группу для этих задач и включите в нее соответствующих членов. Для большинстваролей, которые вы можете назначить компьютеру, система автоматическисоздает группу для администрирования соответствующей роли. Например, если вы

648 Windows Server 2003. Полное руководстводелаете компьютер сервером DHCP, то на компьютере добавляются соответствующиегруппы.Backup Operators PropertiesGenwalBackupOperatorsРис. 20.2. В списке членоввыводится местоположение(локальное или в домене) иFQDN-имя каждого членаDescription:tions for thesolepurposeofbackingupor restoring files iMembers:WENSEASTVkathy (kathy@venseast.com)Чтобы создать новую группу, откройте оснастку Computer Management, используяшаги, описанные в предыдущем разделе. Щелкните правой кнопкой на контейнереGroups и выберите в контекстном меню пункт New Group. В диалоговом окнеNew Group введите имя и описание и затем щелкните на кнопке Add, чтобы включитьчленов в эту группу.WENSEAST\amyl (amyr@ivenseast.com)C2lVENSEAST\DomainAdminsIVENSEAST\kathy (kathy@ivenseast.com) f

Глава 20. Управление группами и организационными единицами 649Щелкните на кнопке Create (Создать), чтобы добавить эту группу на данномкомпьютере. Появится новое пустое диалоговое окно New Group, чтобы вы моглисоздать еще одну группу. Закончив создание локальных групп, щелкните на кнопкеClose (Закрыть).Доменные группыДоменные группы являются частью Active Directory и могут находиться в корневомдомене леса, в любом домене леса или в организационной единице (OU). КомпьютерWindows Server 2003, который является контроллером домена (DC), автоматическисоздает группы по умолчанию для домена. Вы администрируете доменныегруппы в оснастке Active Directory Users and Computers, которая вызывается из менюAdministrative Tools данного DC.ПКЧИНf—IST] soil1- iPliXJHelpч" "Мш "ш й? 0 Ц \S ''с й i 7iActiveDirectoryUsersandComputers [server-11 .jvenseast.com]!; transeaftccm5 obtects1гаШЗ Saved QueriesName 1 Type : : •• f»TO 1lEl BJtin builtinDomain 1ffi О BuiltinФ О Computers[^Computers Container Default container for 1Ш ! i£l Domain Controllers'j&lDomain Contr ... Organizational Unit Default container for.4--C-3 ForeignSecurityPrinctpalsCjForeignSecur... Container Default container forF, U UsersGjusers Container Default container for>

650 Windows Server 2003. Полное руководствоных членов и затем поместите эту группу в локальную группу на компьютере данногодомена или доверяемого домена, чтобы члены этой группы могли администрироватьрядовые серверы (или, аналогичным образом, рабочие станции).Локальные в домене группыЛокальные в домене группы были введены в Windows 2000. В них можно включатьпользовательские учетные записи, а также другие локальные в домене группы изтого же домена. Вы можете использовать эти группы для назначения полномочийвнутри домена.Поскольку эта область действия основывается полностью на одном домене, онаявляется менее гибкой, чем у глобальных групп. На самом деле, я не уверен, что ихвообще стоит использовать.Универсальные группыС помощью универсальной группы вы можете делать почти все, что хотите.• Включать в нее глобальные группы из любого домена леса.• Включать ее в любую локальную (компьютерную) группу.• Включать в нее другие универсальные группы.Это означает, что после включения нужных членов в ваши универсальные группывы можете управлять всеми частями своего предприятия, давая универсальнымгруппам права на выполнение задач и представляя членам этих групп соответствующиеполномочия доступа к ресурсам.Осознав настоящие возможности универсальных групп, вы можете решить, чтоиспользование универсальных групп - это наиболее эффективный способ управлениявашим предприятием и что нет смысла использовать другие типы групп. Нобудьте осторожны, поскольку здесь имеются два важных фактора.Во-первых, у вас не может быть универсальных групп, пока ваше предприятиеработает в смешанном режиме. Смешанный режим означает, что на вашем предприятииеще остались контроллеры домена Windows NT, а в Windows NT нет средствдля работы с этой областью действия. Я считаю, что наиболее веским доводом впользу модернизации ваших DC Windows NT является необходимость использованияуниверсальных групп. Имеется два режима, уровень которых выше смешанногорежима.м Собственный режим (Native mode). DC вашего предприятия работают под управлениемWindows 2000 и/или Windows Server 2003.• Windows Server 2003. DC вашего предприятия работают под управлением толькоWindows Server 2003.Во-вторых, способ, посредством которого универсальные группы реплицируютсяна контроллеры домена вашего предприятия, может создавать определенныепроблемы. Если вы реплицируете универсальную группу на контроллеры домена,которые содержат глобальный каталог (обычно один в каждом сайте), то реплицируютсякак имена групп, так и имена всех членов каждой группы. Если у вас имеютсявложенные универсальные группы, то репликация может занимать очень многовремени (если репликация происходит через медленные соединения). Поэтому используйтеуниверсальные группы разумным образом, чтобы получать наилучшиерезультаты.В отличие от универсальных групп репликация глобальных групп включает всебя только имя группы, и она ограничена только собственным доменом этой груп-

Глава 20. Управление группами и организационными единицами 651пы. Локальные в домене группы не реплицируются вообще (по моему мнению, этоеще одна причина, по которой стоит воздерживаться от их использования).Изменение областей действияЕсли вы создаете группу, то это по умолчанию глобальная группа. Если ваше предприятиеработает не в смешанном режиме, то вы можете изменить область действиясоздаваемой группы следующим образом.• Глобальная в универсальную. Глобальную группу нельзя вложить в другую глобальнуюгруппу; она должна существовать как группа верхнего уровня.• Локальная в домене в универсальную. Локальная в домене группа может иметь вкачестве своих членов только пользователей, но не другие локальные в доменегруппы.• Универсальные в глобальные. Универсальная группа не может иметь в качествесвоего члена другую универсальную группу.• Универсальные в локальные в домене. Для этого изменения нет никаких ограничений.Доменные группы по умолчаниюЕсли вы устанавливаете Active Directory на компьютере Windows Server 2003 (создаетеDC), то система автоматически устанавливает ряд групп. Используйте оснасткуActive Directory Users and Computers для просмотра и управления доменными группами.Некоторые группы находятся в контейнере Builtin (он содержит только группы)и некоторые группы - в контейнере Users (он содержит как пользовательские, так игрупповые учетные записи).Группы, находящиеся в контейнере BuiltinВ этом разделе дается краткий обзор групп, находящихся в контейнере Builtin. Вашсобственный домен может содержать и другие группы в зависимости от конфигурациидомена или контроллера домена.Account Operators (Операторы учетных записей). Члены этой группы могут создавать,удалять и управлять учетными записями для пользователей, групп и компьютеров,находящихся в контейнере Users, в контейнере Computers и в организационных единицах(OU), но не во встроенной OU Domain Controllers. Однако члены этой группыне могут вносить изменения в группы Administrators и Domain Admins, а такжене могут изменять учетные записи любых членов этих групп. Члены этой группымогут выполнять локальный вход на все DC данного домена, а также могут завершатьработу этих DC.Administrators (Администраторы). Члены этой группы имеют полный доступ (fullcontrol) ко всем DC в домене. По умолчанию учетная запись Administrator, группаEnterprise Admins (Администраторы предприятия) и группа Domain Admins являютсячленами этой группы.Backup Operators (Операторы резервного копирования). Члены этой группы могутвыполнять резервное копирование и восстановление файлов на всех DC домена -независимо от их полномочий доступа к этим файлам. Члены этой группы могутвыполнять вход на все DC и завершать их работу.

652 Windows Server 2003. Полное руководствоGuests (Гости). Члены этой группы не имеют никаких прав по умолчанию. Учетнаязапись Guest (она отключена по умолчанию) и группа Domain Guests (в контейнереUsers) являются членами этой группы.Incoming Forest Trust Builders (Создатели входящих доверительных отношений леса).Эта группа появляется только в корневом домене леса. Члены этой группы могутсоздавать односторонние входящие доверительные отношения леса с корневым доменомлеса.Network Configuration Operators (Операторы сетевой конфигурации). Члены этой группымогут вносить изменения в настройки сети (TCP/IP), а также обновлять и освобождатьIP-адреса на контроллерах домена.Performance Monitor Users (Пользователи монитора производительности). Члены этойгруппы могут отслеживать (просматривать) счетчики производительности на контроллерахдомена интерактивно или удаленным образом.Performance Log Users (Пользователи журнала производительности). Члены этой группымогут управлять счетчиками, журналами и оповещениями производительностина контроллерах домена интерактивно или удаленным образом.Pre-Windows 2000 Compatible Access (Доступ, совместимый с системами до Windows2000). Члены этой группы могут выполнять доступ ко всем пользователям и группамданного домена. Она используется, чтобы обеспечивать обратную совместимостьдля компьютеров, работающих под управлением Windows NT версии 4 и болееранних версий. По умолчанию членом этой группы является специальная группа(special identity) Everyone. (Более подробную информацию по специальным группамсм. ниже в разделе «Специальные группы».) Добавляйте в эту группу пользователей,только если они работают с Windows NT версии 4 или более ранних версий.Print Operators (Операторы печати). Члены этой группы могут управлять доменнымипринтерами.Remote Desktop Users (Пользователи удаленного рабочего стола). Членам этой группыразрешается удаленный вход на контроллеры данного домена с помощью клиентскогоПО Remote Desktop. О возможностях Remote Desktop см. гл. 3.Replicator (Репликатор). Эта группа используется службой репликации File Replicationна контроллерах домена. Не включайте пользователей в эту группу.Server Operators (Операторы сервера). Члены этой группы имеют следующие возможностина контроллерах домена:• создание и удаление разделяемых ресурсов;• запуск и прекращение работы некоторых служб;• резервное копирование и восстановление файлов;• форматирование дисков;• завершение работы компьютера.Добавляйте в нее только тех пользователей, которые понимают, что они делают.Users (Пользователи). Члены этой группы могут выполнять большинство типичныхзадач (запускать приложения, использовать локальные и сетевые принтеры). Поумолчанию группы Domain Users и Authenticated Users являются членами этой группы(а это означает, что любая пользовательская учетная запись, которую вы создаете вдомене, автоматически становится членом группы Users).

Глава 20. Управление группами и организационными единицами 653Группы в контейнере UsersГруппы, которые описываются в этом разделе, находятся в контейнере Users оснасткиActive Directory Users and Computers. В дополнение к этим группам у вас могутбыть и другие группы в вашем контейнере Users. Например, если ваш DC являетсясервером DNS, то у вас будет несколько групп, сконфигурированных для управленияDNS.Cert Publishers (Издатели сертификатов). Члены этой группы могут публиковать сертификатыдля пользователей и компьютеров.Domain Admins (Администраторы доменов). Члены этой группы имеют полный доступ(full control) к домену. По умолчанию эта группа является членом группыAdministrators на всех контроллерах домена, на всех рабочих станциях и на всех рядовыхсерверах в этом домене. Учетная запись Administrator автоматически являетсячленом этой группы, и вам не следует добавлять неопытных и некомпетентныхпользователей.Domain Computers (Компьютеры домена). Эта группа содержит все рабочие станции ирядовые серверы домена.Domain Controllers (Контроллеры домена). Эта группа содержит все контроллеры данногодомена.Domain Guests (Гости домена). Эта группа содержит всех гостей домена.Domain Users (Пользователи домена). Эта группа содержит всех пользователей домена,а это означает, что любая пользовательская учетная запись, созданная в домене,являются членом этой группы.Enterprise Admins (Администраторы предприятия). Эта группа представлена только вкорневом домене леса. Члены группы имеют полный доступ ко всем доменам леса,и эта группа является членом группы Administrators на всех контроллерах домена вданном лесу. По умолчанию учетная запись Administrator является членом этой группы,и вам не следует добавлять пользователей, не имеющих опыта и компетенции ввопросах управления сетью предприятия.Group Policy Creator Owners (Владельцы-создатели групповых политик). Члены этойгруппы могут изменять групповые политики в домене. По умолчанию учетная записьAdministrator является членом этой группы, и вам следует добавлять только техпользователей, которые понимают возможности и последствия применения групповыхполитик.Schema Admins (Администраторы схемы). Эта группа представлена только в корневомдомене леса. Члены группы могут вносить изменения в схему Active Directory в пределахлеса. По умолчанию учетная запись Administrator является членом этой группы,и вам следует добавлять только тех пользователей, которые знают структуру ActiveDirectory. Описание схемы см. в гл. 19.Специальные группыВ вашем домене имеются также группы, с которыми вы не можете работать. Вы неможете видеть или изменять членство в этих группах и не можете видеть такую группу воснастке Active Directory Users and Computers; эти группы не имеют области действия.Вы можете видеть эти группы, только когда задаете полномочия по сетевым ресурсам.

654 Windows Server 2003. Полное руководствоЭти группы называются специальными группами (special identities), и Windows используетих для представления различных пользователей в различных случаях в зависимостиот обстоятельств. Членство в этих группах является временным и недолгим.Например, группа Everyone представляет всех текущих пользователей,выполнивших вход в сеть, включая гостей и пользователей из других доменов.Имеются следующие специальные группы.• Anonymous Logon (Анонимный вход). Пользователи и службы, которые выполняютдоступ к какому-либо компьютеру и его ресурсам через сеть, не используяимени учетной записи, пароля или доменного имени. На компьютерах, работающихпод управлением Windows NT или более ранних версий, группа AnonymousLogon является по умолчанию членом группы Everyone. Но в Windows Server 2003(и Windows 2000) группа Anonymous Logon не является членом группы Everyone.• Everyone (Все). Все текущие сетевые пользователи, включая гостей и пользователейиз других доменов. Любой пользователь, выполняющий вход в сеть, автоматическиявляется членом группы Everyone.• Network (Сеть). Текущие пользователи, выполняющие доступ к заданному ресурсучерез сеть (а не локально на компьютере, содержащем этот ресурс). Любойпользователь, выполняющий доступ к какому-либо ресурсу через сеть, автоматическиявляется членом группы Network.• Interactive (Интерактивный). Любой пользователь, выполнивший вход на определенномкомпьютере и выполняющий доступ к заданному ресурсу на этом компьютере(в отличие от группы Network). Любой локально работающий пользователь,который выполняет доступ к какому-либо ресурсу на этом компьютере,автоматически является членом группы Interactive.Использование групп для полномочийГруппы по своей природе предоставляют права на выполнение задач, но вы можететакже задавать с помощью групп полномочия по ресурсам. Полномочия по ресурсамможно также предоставлять отдельным пользователям, но в большинстве случаевэффективнее использовать группу. После этого достаточно включить в даннуюгруппу пользователей, которым требуются эти полномочия, были.Папки, принтеры и другие разделяемые ресурсы на томах NTFS имеют полномочияпо умолчанию для пользователей и групп. В большинстве случаев полномочияпо системным папкам (то есть директориям, созданным во время установки) нетребуют изменений. Однако папки, которые вы создаете для установки ПО на вашихкомпьютерах Windows Server 2003, требуется конфигурировать для пользователей,которые выполняют доступ к этому ПО, а также для администраторов, которымтребуется управление этими папками.Полномочия по папкамЕсли вы создаете папку на компьютере Windows Server 2003, то по умолчанию полномочияпредоставляются локальным пользователям. Вы можете видеть эти полномочияпо умолчанию во вкладке Security (Безопасность) диалогового окнаProperties для этой папки. Например, на рисунке 20.3 показаны полномочия по умолчаниюдля папки с именем Regmon на компьютере с именем AS20021.Выберите каждую группу или пользователя, чтобы увидеть полномочия Allow/Deny (Разрешить/Запретить) для этого пользователя. Если вам нужно добавить вэтот список пользователей или группы, щелкните на кнопке Add. Если вам нужно

; • ' ;D e n yaa -Глава 20. Управление группами и организационными единицами 655внести изменения в полномочия пользователей или групп этого списка, щелкнитена кнопке Advanced (Дополнительно).fiegmon propertie!Security |Customize£rouporusernames:Administrators [AS2OT21 \Adminisrjalors)ISCREATOROWNER$SYSTEMfl2Users (AS20021\Users)Рис. 20.3. Различные права попапке NTFS предоставляютсялокальным пользователям игруппамpermissionsforAdministratorsFulControlModify .;Read &ExecuteListFolderContentsReadWriteAlowШ• ЖШМ&ElFor specialpermissionsorforadvanced selings,clickAdvanced.r~^Пользователи и группы с полномочиями по данной папке являются локальнымидля этого компьютера. В большинстве случаев системные серверы, такие каккомпьютер Windows Server 2003, не используются интерактивным пользователем,за исключением задач обслуживания серверов. Серверы на предприятии обычноиспользуются для обслуживания сетевых пользователей, которые выполняют доступсо своих собственных рабочих станций.Но если пользователи работают с какой-либо программой непосредственно наданном компьютере, то вполне достаточно существующих полномочий. По умолчаниюдля локальной группы Users заданы полномочия Read & Execute (Чтение ивыполнение), List Folder Contents (Вывод списка содержимого папок) и Read. Длятипичных приложений, таких как текстовые процессоры и электронные таблицы,где пользователи записывают документы в свои собственные папки документов (впапку Ноте на сервере или локально), достаточно использовать эти полномочия.Если это приложение, работающее с базой данных, и файлы находятся в той жепапке, что и ПО, то вам следует внести изменения в полномочия группы Users, разрешивиспользовать права Write (Запись) и Modify (Изменение).Полномочия по разделяемым ресурсамЕсли ваш компьютер Windows Server 2003 исполняет роль предоставления службпользователям в сети, то предоставление папки для разделяемого использованияавтоматически создает полномочия, которые нужны этим пользователям. Разделяемаяпапка имеет свой собственный набор полномочий, которые вы можете увидеть,щелкнув на кнопке Permissions (Полномочия) во вкладке Sharing (Разделяемыйдоступ) диалогового окна Properties для этой папки.Если вы предоставляете разделяемый доступ к папке, то по умолчанию для группыEveryone назначаются полномочия Read по этой папке. Для папок, содержащих

656 Windows Server 2003. Полное руководствоПО, этого обычно достаточно. Если пользователям требуются дополнительные полномочия,то вы можете использовать один из следующих способов.• Расширить права для группы Everyone.• Добавить доменные группы, которые вы создаете именно для этой цели, и включитьв них пользователей и группы, которым требуются эти дополнительныеполномочия.Организационные единицыОрганизационная единица (OU) играет особую роль в Active Directory: это границы,которые вы создаете, когда не подходят обычные границы. OU организует определенныеобъекты домена в виде логической административной группы, а не группыбезопасности или группы, представляющей географический объект, такой каксайт. OU - это минимальная единица, которую вы можете использовать для применениягрупповых политик и делегирования ответственности.Этот подход интересен и логичен - переместить объекты в OU и использоватьтот факт, что Windows позволяет вам создавать иерархии организационных единиц.Родительские элементы, несколько дочерних элементов и несколько «внуков» - этопростой способ использования «нисходящего» принципа администрирования.Не стремитесь сразу применять это на практике. Я встречал слишком много администраторов,которые не могли уследить, кто и где находится в их структурахOU. Административные задачи и групповые политики отказывали или применялисьнесколько раз к одним и тем же объектам, поскольку объекты с большой глубинойвложенности в последовательности из нескольких доменов фактически теряютсяи часто создаются повторно и дублируются.Когда речь идет об организационных единицах, я даю некоторые советы, основанныена ошибках и путанице, возникающих у других администраторов.Двигайтесь постепенно. Добавляйте организационные единицы, когда они абсолютнонеобходимы, а не когда вы считаете, что «неплохо было бы создать OU»для некоторой группы объектов.Не торопитесь создавать иерархию. Не начинайте с иерархических OU. Если выбудете создавать иерархии позже, по мере необходимости, то будете лучше пониматьсвязи и использовать их должным образом.Кроме того, запомните, чем отличаются организационные единицы и группы:реальное отличие касается безопасности - групповые политики или полномочия.Если у вас есть группа пользователей или компьютеров, для которых требуются ограничения,применяемые к задачам, и определенная групповая политика отвечаетэтим требованиям, то создайте OU. Если у вас имеется группа пользователей иликомпьютеров, которым требуются особые полномочия по папкам, чтобы запускатьприложения или управлять данными, то создайте группу.Создание 0UЧтобы создать OU, откройте оснастку Active Directory Users and Computers и выполнитеследующие шаги.1. Щелкните правой кнопкой на родительском объекте для этой OU в дереве консоли.Если это первая OU, то родительским объектом является домен. Послеэтого вы можете использовать в качестве родительского объекта домен или какую-либосуществующую OU.

Глава 20. Управление группами и организационными единицами 6572. Выберите в контекстном меню New\Organizational Unit (Создать\Организационнаяединица), чтобы открыть диалоговое окно New Object-Organizational Unit.3. Введите имя новой OU.4. Щелкните на кнопке ОК.Новая OU появится в правой панели, если в дереве консоли будет выбран ееродительский объект. Если вы хотите, чтобы в оснастке Active Directory Users andComputers выводилось описание для этой OU, щелкните правой кнопкой на ее значкев дереве консоли или в правой панели и выберите пункт Properties. Во вкладке General(Общие) введите информацию с описанием этой OU (на рисунке 20.4 показана информацияоб OU с именем Lab).LabPropertteiGenenl Msn-sgedBji COM. Г.ючр PolicyРис. 20.4. Введите описание идругую нужную информацию обэтой 0ULab:•Размещение объектов в 0UВы можете включать в OU пользователей, компьютеры или другие OU. Однако добротноепланирование требует продуманного подхода, и вы можете использовать как«кальку» организацию своей компании. Например, если ваша компания организованав виде отделов (департаментов), то, видимо, вы захотите использовать главныйобъект, связанный с отделами. Обычно, если отдел соответствует физическомуподразделению (этаж или здание) и каждый отдел работает в одной локальной сетиили подсети, то, видимо, включение компьютеров отдела в OU будет наиболее подходящимрешением.С другой стороны, если вы хотите управлять групповыми политиками для руководителейне так, как для обычных сотрудников, то, видимо, нужно включить в OUгруппы или пользователей. В этом случае будет наиболее эффективным созданиеновой группы в этой OU для пользователей, которыми вы хотите управлять. Этопозволит вам совместно управлять полномочиями доступа к ресурсам и групповымиполитиками, а также делегировать администрирование этой OU.

658 Windows Server 2003. Полное руководствоЧтобы переместить в OU существующий объект, такой как компьютер, щелкнитеправой кнопкой на этом объекте (или на нескольких объектах, выделенныхпри нажатой клавише CTRL) и выберите в контекстном меню пункт Move (Переместить).В диалоговом окне Move выберите нужную OU.В Щ} ivenseastЙ Г_| BuHlinШ ComputersDomain ControllersForeignSecurityPtincipalsUsersДелегирование администрирования OUЛишь немногие администраторы говорили мне, что они создают организационныеединицы исключительно в целях делегирования работы по администрированиюпредприятия. Они организуют свои OU в соответствии с организацией их компаниии делегируют административные задачи членам отдела ИТ. Например, есликомпания организована по этажам здания, то делегированный администратор занимаетсвое место на соответствующем этаже.Чтобы делегировать управление организационной единицей, щелкните правойкнопкой на объекте-OU в дереве консоли и выберите в контекстном меню пунктDelegate Control (Делегировать управление). В результате будет запущен мастерDelegation of Control Wizard. В появившемся окне щелкните на кнопке Next.В следующем окне щелкните на кнопке Add, чтобы открыть диалоговое окноSelect Users, Computers, or Groups. Используйте опции выбора в этом диалоговомокне, чтобы выбрать тип объекта (обычно это пользователь, но если вы создали группупользователей с административными правами, то можете выбрать группу). Крометого, выберите местоположение (обычно домен), в котором нужно выбрать делегата.Чтобы выполнить поиск нужного имени с помощью фильтров, щелкните накнопке Advanced. Если вы знаете имя пользователя или группы для этой OU, томожете ввести имя без его поиска. Заполнив список делегатов, щелкните на кнопкеNext.Примечание. Вы не ограничены каким-либо одним делегированным администратором;для одной OU можно назначить несколько администраторов.В следующем окне выберите задачи, которые хотите назначить этому делегату(рис. 20.5). Чем больше задач вы назначаете, тем более эффективной будет вашасхема делегирования, если ваш делегат имеет достаточные знания и опыт для правильноговыполнения этих задач. По окончании щелкните на кнопке Next.

Глава 20. Управление группами и организационными единицами 659Tasks to DelegateYou can selectcommon tasksor customize your own.НЗ Create, delete, and manage user accountsOEJ Beset user passwords and force password change at next logon(El Read all user informationCreate, delete and manage groupsHO Modify the membership of a groupPI Manage Group Policy linksGenerate Resultant Set of Policy (Planning}.acutloml^todefcvIII §13 i l l !Рис. 20.5. Выберите одну или несколько задач, которые хотите делегироватьдругому администраторуПримечание. Мастер также предлагает вариант создания нестандартной задачи(Create a custom task), но предлагаемые задачи не совсем подходят для администрированияOU.В следующем окне мастер выводит сводку вашего выбора. Щелкните на кнопкеBack (Назад), если вы хотите что-то изменить, иначе щелкните на кнопке Finish.Управление делегированиемВы можете следить за делегированными функциями или управлять ими. В WindowsServer 2003 нет встроенного средства, которое бы показывало, что определенная OUпередана делегированному администратору. Поэтому вы должны следить за своимиделегированными задачами извне Active Directory. Создайте электронную таблицу,базу данных или просто используйте блокнот для пояснительных записей.Неприятности на этом не кончаются - у вас нет также средства, чтобы модифицироватьделегированные задачи (если вы изменили свое решение относительно областидействия этих задач).Управление делегированием - это один из существенных недостающих компонентовв Active Directory, но я нашел обходной способ, который иногда позволяетрешать эту загадку: «Делегировал ли я администрирование этой OU, и если делегировал,то кому?»Этот способ нельзя назвать идеальным, поскольку он позволяет только делатьобоснованные предположения, а это, конечно, хуже, чем поиск надежного практическогосвидетельства. Но это лучшее, что мне удалось придумать.Однако мой способ не дает результата, если вы делегировали OU не отдельномупользователю или созданной вами группе. Если вы использовали существующуюадминистративную группу, то никогда не найдете ответ на ваш вопрос по этой информации.Чтобы понять, почему, читайте дальше.

660 Windows Server 2003. Полное руководствоДело в том, что искать пользователя или группу нужно в списке Permissions вкладкиSecurity диалогового окна Properties для соответствующей OU. Если вы простощелкнете правой кнопкой мыши на OU и выберете пункт Properties, то вкладкаSecurity, видимо, не появится. Но она все же есть и лишь скрыта от вас по умолчанию.Чтобы вывести вкладку Security для объектов в оснастке Active Directory Usersand Computers, выберите View/Advanced Features (Вид/Дополнительные возможности)в линейке меню консоли ММС.Включив Advanced Features, щелкните правой кнопкой на OU, выберите пунктProperties, и вы увидите вкладку Security. На рисунке 20.6 показана вкладка Securityдля OU с именем Lab. Вы увидите имя нужного пользователя или группы в спискепользователей и групп, имеющих полномочия по этой OU. Это ключ к разгадке! Поумолчанию система предоставляет полномочия группам, которые используются поумолчанию. (Откройте OU, для которой вы не делегировали администрирование,или откройте новую OU, чтобы использовать ее как «стандарт», и вы увидите толькоимена обычных системных групп.)GeneralManagedBy rjbieclДгоир or user names:j fJJ Administrators (IVENSEASTVWministiatots)Amy Lewiteeast com!2 Authenticated Users ' "2 Domain Admins OVENSEASTSDomain Admins)2 Enterprise Admins OVENSEASTSEnterprise Admins)Рис. 20.6. По умолчаниюимена отдельных пользователейне добавляются в списокполномочий по организационнойединицеpermissions forAmy Lewites : • AlowWrite0CieateAI Child ObjectsDelete AI Child ObjectsGenerate Resultant Set of Pcfcy(logging)Generate Resultant Set of Potcy(Planning)Special PermrssiortiForspecialpermisionsorforadvancedseting:clickAdvanced.Deny| D Si]•0El •ИЩИ' :п :LJH'iВо вкладке Security вы можете также удалить делегированного администратораили внести изменения в задачи, которые разрешено выполнять делегированномуадминистратору.ш Чтобы удалить делегирование, выберите имя делегата и щелкните на кнопкеRemove.• Чтобы внести изменения в список делегированных задач, выберите имя делегатаи щелкните на кнопке Advanced. В диалоговом окне Advanced Security Settingsвыберите любую запись, содержащую имя этого делегата, и щелкните на кнопкеEdit. Затем внесите нужные вам изменения.

Глава 21Управлениепользователямии данными входаВ любой защищенной среде вам нужен способ идентификации и аутентификациипользователей. Чтобы защитить локальные компьютеры и сетевые серверы от несанкционированногодоступа, операционная система должна требовать, чтобыпользователь имел заранее созданный набор опознавательных данных, прежде чемему будет разрешен доступ к локальным и сетевым ресурсам. В Windows Server 2003этой цели отвечают пользовательские учетные записи.Пользовательские учетные записиПользовательская учетная запись содержит пользовательское имя и пароль, которыеиспользуются человеком для входа на локальный компьютер или в домен. Крометого, пользовательская учетная запись, в частности, в Active Directory, используетсядля идентификации пользователя с помощью таких данных, как полное имя,адрес электронной почты, номер телефона, отдел, адрес и другие поля данных, которыеможно использовать по выбору. Пользовательские учетные записи используютсятакже как средство предоставления полномочий пользователю, примененияскриптов (сценариев) входа, назначения профилей и домашних папок, а также привязкидругих свойств рабочей среды для данного пользователя.Локальные учетные записиЛокальные учетные записи создаются и сохраняются в базе данных безопасностикомпьютера. Локальные учетные записи используются чаще всего в среде рабочейгруппы, чтобы обеспечивать возможность входа для пользователей локального компьютера.Однако локальные учетные записи можно также использовать для защитылокальных ресурсов, доступ к которым хотят получать другие пользователи рабочейгруппы. Эти пользователи подсоединяются к ресурсу через локальную сеть, используяпользовательское имя и пароль, которые хранятся на компьютере, где находитсяэтот ресурс (учетной записи должны быть предоставлены полномочия доступа кэтому ресурсу). Но по мере роста числа рабочих станций локальные учетные записии рабочие группы становятся непрактичны для управления доступом к локальнымресурсам. Решение заключаются в том, чтобы перейти к доменной среде и доменнымучетным записям.В некоторых случаях ваш сервер Windows Server 2003 может использоваться дляособой цели, а не как централизованная точка для клиентских служб. Например,вы можете поддерживать базу данных, предназначенную только для локального до-

662 Windows Server 2003. Полное руководствоступа, или можете держать на этом сервере важную информацию. В таких ситуацияхвам нужно создавать пользовательские учетные записи для сотрудников, которымразрешается доступ.Доменные учетные записиИнформация доменных учетных записей хранится на контроллерах соответствующегодомена. Они дают привилегии доступа во всем домене (то есть не локализуютсядля какого-либо конкретного компьютера). Пользователь может выполнять входс любой рабочей станции в домене (если его доменная учетная запись не запрещаетэтого). После того, как пользователь выполнил вход, доменная учетная запись можетпредоставлять этому пользователю полномочия как по локальным, так и разделяемымсетевым ресурсам (в зависимости от конкретных полномочий, предоставляемыхпо каждому ресурсу). В Windows Server 2003 хранение и управлениедоменными учетными записями происходит в Active Directory. Главным преимуществомдоменных учетных записей является то, что они позволяют осуществлять централизованноеадминистрирование и применение средств безопасности.ГруппыХотя вы можете предоставлять полномочия на уровне отдельных пользователей, этоможно реализовать только при очень небольшом числе пользователей. Вообразите,что вы пытаетесь предоставить полномочия доступа к сетевой папке по отдельности3000 пользователей.Группа, как следует из ее названия, это группа пользователей. Вы не помещаетефизически пользовательские учетные записи в группы; вместо этого пользовательскиеучетные записи получают членство в группах, то есть физически группы несодержат ничего. Вам может показаться, что об этом отличии не стоит говорить, ноэто единственный способ, позволяющий объяснить, что пользователь может принадлежатьнескольким группам.Группы могут быть вложены в другие группы, то есть группа может содержатьне только пользователей, но и другие группы. Имеются четыре вида групп в зависимостиот типа логической структуры сети, которую вы используете. Подробнее огруппах см. в гл. 20.Управление доменными учетнымизаписямиВ домене учетные записи представляют какой-либо физический объект, такой каккомпьютер или человек, и пользовательские учетные записи могут также использоватьсякак выделенные служебные учетные записи для приложений, которым требуетсяэто средство. Пользовательские учетные записи, компьютерные учетные записии группы - все это так называемые принципалы (principal) безопасности.Принципалы безопасности - это объекты каталога, которым автоматически назначаютсяидентификаторы безопасности (security ID - SID), используемые для доступак ресурсам в домене.Два наиболее важных применения учетной записи - это аутентификация опознавательныхданных («личности») пользователя и авторизация (санкционирование) илизапрет доступа к ресурсам в домене. Аутентификация позволяет пользователям вы-

Глава 21. Управление пользователями и данными входа 663полнять вход на компьютеры и в домены с помощью опознавательных данных, которыебыли аутентифицированы доменом. Доступ к доменным ресурсам санкционируется(или запрещается) в зависимости от полномочий, предоставленных данномупользователю (обычно на основании членства в одной или нескольких группах).Встроенные доменные учетные записиВ Active Directory имеется контейнер Users, содержащий три встроенные пользовательскиеучетные записи: Administrator, Guest и HelpAssistant. Эти учетные записисоздаются автоматически, когда вы создаете домен. Каждая из этих встроенных учетныхзаписей имеет свой набор полномочий.Учетная запись AdministratorУчетная запись Administrator имеет полномочия Full Control (Полный доступ) повсем ресурсам в домене и она позволяет назначать полномочия доменным пользователям.По умолчанию учетная запись Administrator является членом следующихгрупп:• Administrators• Domain Admins• Enterprise Admins• Group Policy Creator Owners• Schema AdminsВы не можете удалить учетную запись Administrator и не можете исключить ее изгруппы Administrators. Но вы можете переименовывать или отключать эту учетнуюзапись, что делают некоторые администраторы, чтобы затруднить злоумышленникампопытки получения доступа к контроллеру домена (DC) с помощью этой учетнойзаписи. После этого такие администраторы выполняют вход с помощью пользовательскихучетных записей, являющихся членами перечисленных выше групп,чтобы выполнять администрирование домена.Отключив учетную запись Administrator, вы можете все же использовать ее принеобходимости для доступа к DC, загрузив этот DC в режиме Safe Mode (Безопасныйрежим; учетная запись Administrator всегда доступна в режиме Safe Mode). Болееподробную информацию по этим функциям см. ниже в разделах «Переименованиеучетных записей» и «Отключение и включение учетных записей».Учетная запись GuestУчетная запись Guest используется для того, чтобы люди, не имеющие учетной записив домене, могли выполнять вход в этот домен. Кроме того, пользователь, учетнаязапись которого отключена (но не удалена), может выполнять вход с помощьюучетной запись Guest. Учетная запись Guest не обязательно должна иметь пароль, ивы можете задавать полномочия для учетной запись Guest, как для любой другойпользовательской учетной записи. Учетная запись Guest является членом группGuests и Domain Guests.Рассказывая о том, как и когда можно использовать учетную запись Guest, ядолжен указать, что в Windows Server 2003 учетная запись Guest отключена по умолчанию.Если у вас нет какой-либо особой причины для использования этой учетнойзапись, имеет смысл оставить ее в этом состоянии.

664 Windows Server 2003. Полное руководствоУчетная запись HelpAssistantЭта учетная запись, используемая во время сеанса Remote Assistance (Удаленнаяподдержка), автоматически создается, когда вы запрашиваете Remote Assistance.Управление этой учетной записью осуществляет служба Remote Desktop Help SessionManager; эта учетная запись имеет ограниченные полномочия на данном компьютере.Доменные пользовательские учетные записиДоменные учетные записи создаются в Active Directory, который работает на контроллередомена (DC). Откройте оснастку Active Directory Users and Computers ираскройте нужный домен (если у вас более одного домена). В отличие от WindowsNT, система Windows Server 2003 разделяет процессы, которые участвуют в созданиипользователей. Сначала вы создаете пользователя и соответствующий пароль, азатем, в виде отдельного шага, конфигурируете детали для этого пользователя, включаяего членство в группах.Создание доменной пользовательской учетной записиЧтобы создать нового доменного пользователя, щелкните правой кнопкой на контейнереUsers и выберите New/User (Создать/Пользователь), чтобы открыть диалоговоеокно New Object-User (Новый объект - пользователь), см. рис. 21.1. (При вводеимени [first name], инициала [initial] и фамилии [last name] Windows Server 2003 автоматическизаполняет поле Full name [Полное имя].)Hew-Object - Useri i f i i iшЦа;1 name:Ferinarr-e.Allenii Ivens(» i ii|AHenL IvensUUllenlM @ivenseajt.comUw logon name [pre:JIVENSEAST4,. .. 1—= 212—1 I E'""' JvРис. 21.1. Создание пользователя начинается с ввода базовой информацииВведите имя входа пользователя (User logon name). У вас должна быть разработанасхема именования, которая обеспечивает единообразие во всей организации.Например, вы можете использовать первую букву имени плюс фамилию, полноеимя плюс первые несколько букв фамилии пользователя, форму имя.фамилия иликакой-то другой принцип, который можно соблюдать на всем предприятии.

Глава 21. Управление пользователями и данными входа 665Добавьте к имени входа суффикс основного имени пользователя (UPN - userprincipal name). В раскрывающемся списке выводятся доступные суффиксы UPN.Пока вы не создадите дополнительные UPN, в раскрывающемся списке будет представлентекущий суффикс домена. Более подробную информацию см. ниже в разделе«Управление основными именами пользователей (UPN)».Вы можете также ввести пользовательское имя для входа в домен с компьютеров,работающих под управлением Windows 9x/NT (pre-Windows 2000). Windows Server2003 предлагает то же самое имя, что обычно подходит для вас, но вы можете прижелании задать другое имя входа.Щелкните на кнопке Next, чтобы задать пароль этого пользователя (рис. 21.2).По умолчанию Windows Server 2003 вынуждает пользователя сменить пароль приего следующем входе. Это означает, что вы можете использовать стандартный паролькомпании для каждого нового пользователя и затем позволить этому пользователюсоздать собственный пароль при его первом входе. Выберите вариант измененияпароля, который хотите задать для этого пользователя.[3 Un mil*change [~Рис. 21.2. Создайте пароль и выберите вариант изменения пароля для этогопользователяЩелкните на кнопке Next, чтобы увидеть сводку выбранных параметров, и затемщелкните на кнопке Finish, чтобы создать этого пользователя в Active Directory.(Более подробную информацию по паролям см. ниже в разделе «Пароли».)Конфигурирование свойств для пользовательской учетной записиЧтобы задать или изменить свойства для доменного пользователя, выберите контейнерUsers в дереве консоли, чтобы вывести в правой панели список пользователей.Затем дважды щелкните на записи пользователя, которого хотите конфигурировать.Как видно из рисунка 21.3, у вас имеется обширный набор категорийконфигурирования.Мы не будем рассматривать каждую вкладку диалогового окна Properties, посколькумногие из них самоочевидны. Несколько вкладок описываются в этой идругих главах, когда приводится описание параметров пользователя для различныхсредств. Например, информация о домашних папках, профилях, скриптах входа и

666 Windows Server 2003. Полное руководствоопциях паролей приводится ниже в этой главе. Вкладка Member Of (Член групп), вкоторой задается участие пользователя в группах, рассматривается в гл. 20.Alter) L. Ivcns PropcrUePublished Сенсам HentoOl C'I ь! ^. Objecl SecuJyEnvionmert S«:jion: Remote cwtfid TtiminilStivicesPiclile COM.'' ' i Г I I it r ,Рис. 21.3. В диалоговом окнеProperties вы можете вводитьподробную информацию окаждом пользователеКопирование пользовательской учетной записиЗаполнив поля конфигурирования для какого-либо пользователя, вы можете скопироватьпараметры этого пользователя в другое, новое пользовательское имя, чтобыизбежать конфигурирования с самого начала. В правой панели для контейнераUsers щелкните правой кнопкой на пользовательском имени, которое хотите использоватькак источник, и выберите пункт Сору (Копировать). Появится диалоговоеокно Copy Object-User (Копирование объекта - Пользователь), которое будетпустым окном для нового пользователя. Введите информацию для этого новогопользователя и опции пароля, как это описано в предыдущих разделах.Чтобы лучше всего использовать средство копирования, создайте набор шаблонныхпользовательских учетных записей, охватывающих все варианты применительнок новым пользователям. Например, вы можете создать пользователя с именемPower (Привилегированный), который является членом группы Power Users слюбым временем входа и другими атрибутами. Затем создайте другого пользователяс именем Regular (Обычный) с настройками более низкого уровня. Для вашей компании,возможно, подойдет пользователь с именем Dialln (Коммутируемое соединение)с заданными настройками во вкладке Dial In. Затем по мере создания новыхпользователей просто выбирайте подходящего шаблонного пользователя, чтобыскопировать его учетную запись.По умолчанию копируются наиболее используемые атрибуты (часы входа, ограниченияпо рабочей станции, домашняя папка, ограничения по сроку действия учетнойзаписи и т.д.). Но вы можете добавить и другие атрибуты для автоматическогокопирования или запретить копирование определенных атрибутов, внеся измененияв схему Active Directory.

Глава 21. Управление пользователями и данными входа 667Модифицирование схемы для копирования свойств пользователейСхема - это база данных на уровне леса, содержащая классы объектов и атрибутыдля всех объектов, содержащихся в Active Directory. (Подробнее о схеме и контроллередомена, который исполняет роль Хозяина схемы, см. в гл. 18.) Вы можете использоватьсхему, чтобы модифицировать атрибуты пользователей, которые помечаютсядля автоматического копирования при копировании пользовательскихучетных записей.В отличие от Windows 2000 система Windows Server 2003 не устанавливает заранееоснастку для работы со схемой, поэтому вы должны сначала установить ее. Чтобыустановить оснастку для схемы, откройте окно командной строки и введитеregsvr32 schmmgrntdll, чтобы зарегистрировать эту оснастку. Система выведет сообщениеоб успешном завершении. Щелкните на кнопке ОК, чтобы убрать это сообщение,затем выйдите из окна командной строки. Затем загрузите эту оснастку вконсоль ММС, используя следующие шаги.1. Выберите Start/Run (Пуск/Выполнить), введите mine и щелкните на кнопке ОК,чтобы открыть консоль ММС в авторском режиме.2. В консоли ММС выберите File/Add/Remove Snap-In (Файл/Добавить/Удалитьоснастку), чтобы открыть диалоговое окно Add/Remove Snap-In.3. Щелкните на кнопке Add, чтобы открыть диалоговое окно Add Standalone Snapin(Добавление автономной оснастки).4. Выберите Active Directory Schema, щелкните на кнопке Add и затем щелкните накнопке Close (или дважды щелкните на Active Directory Schema и щелкните накнопке Close), чтобы вернуться в диалоговое окно Add/Remove Snap-in.5. Щелкните на кнопке ОК, чтобы загрузить эту оснастку в дерево консоли.Имеет смысл сохранить эту консоль (чтобы вам не пришлось повторно выполнятьвсе эти шаги для добавления оснастки), для чего нужно выбрать File/Save (Файл/Сохранить). Выберите подходящее имя файла (например, schema). Система автоматическидобавит расширение .msc. Сохраненная консоль появится после этого вподменю Administrative Tools меню All Programs, поэтому вам не придется открыватьокно Run для ее использования.После загрузки этой оснастки в окне консоли будут представлены две папки:Classes (Классы) и Attributes (Атрибуты). Выберите объект Attributes, чтобы представитьатрибуты для ваших объектов Active Directory. He все из них являются атрибутамипользователя и, к сожалению, нет такой колонки, где указывалось бы, чтоэто атрибут пользовательского класса. Однако имена многих атрибутов дают ответна этот вопрос.Щелкните правой кнопкой на нужном атрибуте и выберите в контекстном менюпункт Properties, после чего появится диалоговое окно свойств этого атрибута. ФлажокAttribute is copied when duplicating a user (Атрибут копируется при дублированиипользователя) определяет, будет ли данный атрибут автоматически копироватьсяпри создании новых пользователей. Например, на рисунке 21.4 показаны свойствадля атрибута LogonHours (Часы входа), который копируется по умолчанию. Есливы хотите задавать ограничения по времени входа на уровне отдельных пользователей,то отключите эту опцию (сбросьте флажок). С другой стороны, если вы видитеатрибут, который еще не помечен для копирования, и хотите сделать его глобальныматрибутом для всех новых пользователей, то установите этот флажок.

U s e r *U s e r v ;fл"!1668 Windows Server 2003. Полное руководствоlogonHotirr. PropertiesGeneralfogonHoursDescription: Logon-HoursCommonName: Logon-HoursX.500 DID: 1 2840113556 1 4 f,4£.' r rt3-.auJH-at geSyntax: : Octet StringMinimum:Maximum:This atribute is single-valued3 Alow this atribute tobeshown in advancedvtewQ Index this atribute in the Active Directory. . . . \ -- . .'1 ' .П Replicate this attribute tothe Global Catalog[^Attribute is copied when duplicating a user^ iln: attribute (« contjmeiiied searches r. theAcbve DeectwyЙШтШтШ:Рис. 21.4. Вы можете указать, нужно или не нужно автоматически копироватьпользовательский атрибут для новых пользователей, установив или сбросив этотфлажокПереименование учетных записейВы можете переименовать пользовательскую учетную запись, выбрав ее в списке инажав клавишу F2 (или щелкнув правой кнопкой мыши на этой записи и выбрав вконтекстном меню пункт Rename). Эта учетная запись будет выделена, поэтому выможете ввести новое имя.ЯЙНЯНИНИИT^J Fie Acbon ¥

z z zz z zc o m., C a n c e l. . .'j.т.1:1:1:1:1« S iГлава 21. Управление пользователями и данными входа 669Rename Us«r2E3Fist патаLa:! nansOettay name:AllenIvensAHen 1_ Ivens5Allen! : | @ivens€astn 2O0G):1 ~~\ !AlertПримечание. Переименование учетной записи не требует одновременного изменениякаких-либо других настроек. Переименованная учетная запись сохраняет свойидентификатор безопасности (SID), поэтому сохраняются и все остальные данныеэтой учетной записи, такие как пароль, членство в группах, настройки профиля,полномочия и т.д.Многие администраторы переименовывают учетную запись Administrator, что являетсяхорошей мере безопасности. Хотя опытные талантливые хакеры, возможно,могут справиться с этим «ухищрением», оно очень полезно для защиты от менееподготовленных злоумышленников, включая людей из вашей собственной пользовательскойгруппы.Чтобы еще больше повысить уровень защиты, после переименования этой учетнойзаписи создайте другую учетную запись с именем Administrator. Сделайте еечленом группы Guests и отключите ее (см. ниже).Отключение и включение учетных записейЧтобы запретить учетной записи вход в домен, вы можете отключить ее, что полезнотакже для шаблонов учетных записей, которые вы создаете только в целях копированияпри создании нового пользователя. Но вы можете также отключить учетнуюзапись, если считаете, что она была каким-либо образом компрометирована.После устранения проблемы снова включите (активизируйте) эту учетную записьдля выполнения входа.Чтобы отключить или включить учетную запись, щелкните правой кнопкой наэтой учетной записи в правой панели оснастки Active Directory Users and Computersи выберите пункт Disable Account (Отключить учетную запись). Рядом со строкойэтой учетной записи появится красный знак X. Чтобы включить учетную запись,щелкните правой кнопкой на этой учетной записи и выберите пункт Enable Account(Включить учетную запись).

670 Windows Server 2003. Полное руководствоУправление основными именамипользователей (UPN)Создавая доменную пользовательскую учетную запись, вы задаете основное имяпользователя (UPN - user principal name). UPN состоит из префикса и суффикса,разделенных знаком @. Префикс - это имя входа, и суффикс определяет домен длявхода пользователя. Если имя пользователя - kathy и домен - ivenseast.com, то мыполучаем UPN kathy@ivenseast.com.Хотя суффикс UPN предназначен для определения домена входа, это не обязательнодолжен быть допустимый домен DN S. Вместо него вы можете создать любойсуффикс для упрощения входа или администрирования. Например, предположим,что ваш отдел ИТ располагается на определенном этаже здания. Вы создали организационнуюединицу (OU) для этого отдела, что позволяет вам применять соответствующиегрупповые политики. Вы можете создать суффикс UPN для пользователей,которые являются сотрудниками этого отдела. Вы можете сделать это длялюбой OU или для любого отдела/подразделения компании.Чтобы создать суффикс UPN, выполните следующие шаги.1. Откройте оснастку Active Directory Domains and Trusts (Домены и доверительныеотношения Active Directory) из меню Administrative Tools.2. В дереве консоли щелкните правой кнопкой на Active Directory Domains and Trustsвверху левой панели и выберите в контекстном меню пункт Properties. Появитсядиалоговое окно Properties (рис. 21.5), которое содержит одну вкладку: UPNSuffixes (Суффиксы UPN).Thenames of the cuientdomain and the tootdomain are the defaultuserprincipalname (UPN) suffixes. Addrig alternativedomainnames providesaddkional logon security and simplifiesuser logonnames.If you want alternativeUPN sufixes toappear duringuser creation, addthem to the folowing listAlternativeUPN suffixes:Рис. 21.5. Вы можетесоздавать альтернативныесуффиксы UPN для именвхода пользователей3. Введите имя нового суффикса UPN, щелкните на кнопке Add и затем щелкнитена кнопке ОК.

Глава 21. Управление пользователями и данными входа 671Новый суффикс UPN появится в раскрывающемся списке UPN, когда вы будетесоздавать нового пользователя, а также во вкладке Accounts (Учетные записи)диалогового окна Properties для существующего пользователя (что позволяет вамредактировать UPN).Управление локальнымипользовательскими учетными записямиАдминистрирование локальных пользовательских учетных записей выполняется изоснастки Computer Management (Управление компьютером), для открытия которойнужно щелкнуть правой кнопкой на My Computer (Мой компьютер) и выбрать вконтекстном меню пункт Manage (Управление). В дереве консоли раскройте объектLocal Users and Groups (Локальные пользователи и группы) и выберите Users, чтобывывести в правой панели локальные пользовательские учетные записи.IComputerManagement (Local)"MsSystemToolsЩЩ EventWewer • '•'••-••ф-Й shared Folders .. : '•..:: S:У Щ Local Users and Groupsi£| Groups''Щ-Щ Performance Logs and Alerts ', Device Manager2AdministratorSGuestI36... CN»Mkrosoft Corporation.Built-inaccount foradministering the comput.Built-ю account for guest access to the comp,..This is a vendor's account for the Help and S...Только на рядовых серверах имеются локальные пользователи; вы не можетеуправлять локальными пользователями на компьютере Windows Server 2003, которыйдействует как контроллер домена. И действительно, объект Local Users andGroups не появляется в оснастке Computer Management на контроллере домена.Как и домены, локальные компьютеры имеют встроенные учетные записи, и выможете добавлять новые локальные учетные записи и делать их членами локальныхгрупп. Информацию по управлению локальными группами см. в гл. 20.Создание локальных пользовательских учетных записейЧтобы создать новую локальную учетную запись, щелкните правой кнопкой наобъекте Users в дереве консоли и выберите пункт New User (Создать пользователя).В диалоговом окне New User (рис. 21.6) выберите имя входа этого пользователя,полное имя, необязательное описание и пароль.Если вы хотите изменить опции для пароля, то должны сначала сбросить флажокUser must change password at next logon (Пользователь должен изменить парольпри следующем входе). После этого будут доступны и другие опции пароля. Длязавершения щелкните на кнопке Create (Создать). Затем создайте другого пользователяили щелкните на кнопке Close, если вы закончили создание локальныхпользователей.

672 Windows Server 2003. Полное руководствоSMichaelB; Michael BemadiРис. 21.6. Диалоговое окно длянового локального пользователясодержит намного меньшеполей, чем диалоговое окно длядоменного пользователя,HUtaffluS change c~*tКонфигурирование локальных учетных записейДважды щелкните на записи нужного пользователя, чтобы открыть диалоговое окноProperties, где вы можете сконфигурировать настройки этого пользователя Какможно видеть из рисунка 21.7, по сравнению с опциями доменных пользовательскихучетных записей опции для локального пользователя содержат намного мень-Шс ВКЛЭДОК.Dial-inM«*e' 01 Piolfe j Егмоптеп! SessionsMichadBFul name:Eesciiption:| Michael Banatd"DAccourU is disabledРис. 21.7. Задание опций пользователя в диалоговом окне Properties

Глава 21. Управление пользователями и данными входа 673Членство в локальных группахЧтобы сделать локального пользователя членом группы, щелкните на вкладкеMember Of (Член групп) диалогового окна Properties этого пользователя. По умолчаниювсе локальные пользователи являются членами группы Users. Щелкните накнопке Add, если вы хотите включить этого пользователя в дополнительные группы.Введите имя группы, если вы знаете его, или щелкните на кнопке Advanced ищелкните на кнопке Find Now (Найти), чтобы выполнить поиск в списке групп (см.рис. 21.8).OJBackup Qper. AS2002162Guests AS20021fi3HelpS ervices AS20021 .fijNetwork Confi., AS20021^Performance... AS2002163 Performance. AS20021fijPowerUsers AS2002163 PrintOperatorsAS20021ЛОЛПК1Рис. 21.8. Членство в группах ограничивается локальными группамиНапомним, что при работе с локальными пользователями ваши настройки ограниченылокальным компьютером; например, если вы хотите сделать локальногопользователя членом группы, то в списке групп будут присутствовать только локальныегруппы.Локальные профилиЛокальный пользователь имеет профиль, и вы можете конфигурировать этот профильво вкладке Profile диалогового окна Properties для этого пользователя. Как и вслучае доменных пользователей, профиль содержит домашнюю папку и скрипт входа.(Профили для доменных пользователей рассматриваются ниже в разделе «Профилипользователей»; см. также раздел этой главы «Домашние папки».)22 - 3994

674 Windows Server 2003. Полное руководствоКаждый пользователь', который выполняет вход на компьютер Windows Server 2003,имеет папку My Documents (Мои документы), и она также действует обычно как домашняяпапка, если этот пользователь работает локально. Но вы можете использоватьопции вкладки Profile, чтобы задать другую локальную домашнюю папку.Внимание. Вкладка Profile содержит опцию для отображения буквы накопителя насетевой разделяемый ресурс, но она не действует, когда пользователь выполняетвход на локальный компьютер, поскольку это опция только для доменного профиляпользователя.Вы можете также назначать скрипт входа, но это нетипично для локального входа,поскольку вы можете создать пакетный (batch) файл и загрузить его в папку Startup(Автозагрузка) меню All Programs.Обзор процесса входаWindows Server 2003 запрашивает во время входа Username (Пользовательское имя)и Password (Пароль), и пользователь выбирает между локальным компьютером идоменом в раскрывающемся списке Log On To (Вход в).Локальный входЕсли пользователь указывает имя локального компьютера в раскрывающемся спискеLog On To, то Windows Server 2003 проверяет наличие допустимой соответствующейучетной записи в локальной базе данных безопасности. Вход выполняется успешно,если указанная учетная запись найдена и введенный пользователем пароль соответствуетпаролю этой учетной записи.Вход в доменЕсли пользователь выбирает в раскрывающемся списке какой-либо домен, тоWindows Server 2003 использует Active Directory для обработки запроса входа. СлужбаNet Logon отправляет запрос DNS-имени серверам DNS для поиска ближайшегоконтроллера домена (DC). Конкретный запрос DNS содержит следующие характеристики:• тип запроса: SRV (служебная ресурсная запись);• имя запроса: _Иар._1ср.имя_домена.Примечание. В данном случае предполагается, что вход инициируется на компьютере,работающем под управлением Windows Server 2003, Windows XP/2000 или болееранней версии Windows с установленным клиентом Active Directory. Если входинициируется на компьютере, работающем под управлением более ранней версииWindows без установленного клиента Active Directory, то DC не может выполнитьпроверку в Active Directory и процесс аутентификации проходит по-другому.Например, если пользователь пытается выполнить вход в домен ivenseast.com,то Windows Server 2003 отправляет запрос DNS-имени типа SRV, чтобы найти имя_ldap._tcp .ivenseast.com. Сервер DNS отправляет в ответ DNS-имена ближайшихконтроллеров домена ivenseast.com вместе с их IP-адресами.

Глава 21. Управление пользователями и данными входа 675Используя эти IP-адреса, Windows Server 2003 пытается установить контакт скаждым из DC, которые считаются достаточно близкими, чтобы определить, функционируетли этот DC. Первый ответивший DC используется для процесса входа.Служба Net Logon кэширует затем информацию этого DC, чтобы не повторять тотже процесс поиска при будущих запросах с этого компьютера.DC ищет в Active Directory информацию о пользовательской учетной записи, спомощью которой пользователь хочет выполнить вход. Если эта учетная запись ипароль указаны верно и настройки безопасности позволяют выполнять вход с данногокомпьютера с помощью этой учетной записи, то DC санкционирует вход.Вход в доверяемые доменыПри наличии доверительного отношения доверяющий домен доверяет пользователями группам из доверяемого домена. Это позволяет пользователям выполнять входв доверяющем домене. Если пользователь выполняет вход в доверяющий домен, тоон указывает домен, где находится его пользовательская учетная запись. WindowsServer 2003 санкционирует вход, если учетная запись и доверительные отношениямежду доменами позволяют это сделать.Удаленный входСлужба дистанционного доступа RAS (Remote Access Service) позволяет пользователювыполнять вход в домен с помощью дистанционного соединения по учетнойзаписи коммутируемого (dial-up) доступа или с помощью выделенного соединенияглобальной сети (WAN). Удаленный вход осуществляется почти так же, как и локальныйвход или вход в локальном домене. Запрос входа передается через серверRAS контроллеру указанного в учетной записи домена, который аутентифицируетзапрос и передает серверу RAS информацию, разрешающую или запрещающую вход.Подробнее о службе RAS см. в гл. 13.АутентификацияАутентификация является основой безопасности систем, подтверждая опознавательныеданные пользователей, которые хотят выполнить вход в домен и получить доступк сетевым ресурсам. Windows Server 2003 позволяет выполнять один вход для доступако всем сетевым ресурсам, и это означает, что пользователь может выполнить вход вдомен и затем аутентифицироваться на любом компьютере в этом домене.Windows Server 2003 поддерживает ряд протоколов аутентификации, включаяпротоколы, предназначенные для входа на защищенные веб-сайты или через коммутируемые(dial-up) соединения. В этом разделе описываются стандартные процессысетевой интерактивной аутентификации пользователей: Kerberos V5 и NTLM.KerberosКак уже говорилось в гл. 17, в Windows Server 2003 используется по умолчанию протоколаутентификации Kerberos V5. Для входов пользователей Kerberos работает спаролями и смарт-картами, и это основной протокол безопасности для аутентификациив домене. Kerberos используется также для проверки сетевых служб, и этаспособность выполнения двойной верификации называется взаимной аутентификацией.22'

676 Windows Server 2003. Полное руководствоKerberos выдает так называемые билеты для доступа к сетевым службам, и этибилеты содержат шифрованные данные (включая шифрованный пароль), которыеаутентифицируют опознавательные данные пользователя для любой сетевой службы.После того, как пользователь ввел пароль или использовал смарт-карту, остальнаячасть процесса аутентификации скрыта от пользователя. В гл. 17 приводятсясведения по конфигурированию, управлению и устранению проблем аутентификацииKerberos.NTLMNTLM - это протокол аутентификации для таких транзакций, в которых хотя быодин компьютер работает под управлением Windows NT 4. Windows Server 2003, каки Windows 2000, поддерживает аутентификацию NTLM. Это не только означает, чтокомпьютеры Windows NT 4 могут аутентифицироваться при доступе к компьютеруWindows Server 2003. Система Windows Server 2003 поддерживает аутентификациюNTLM в обоих направлениях, и поэтому будет использовать NTLM при доступе ккакому-либо ресурсу на компьютере, работающем под управлением Windows NT 4.Ниже приводятся некоторые сценарии в вашей сети, требующие поддержки NTLM.• Компьютер Windows Server 2003/Windows 2000/Windows XP аутентифицируетсяна контроллере домена Windows NT 4.• Клиент Workstation Windows NT 4 аутентифицируется на контроллере доменаWindows Server 2003/Windows 2000.• Пользователи домена Windows NT 4 аутентифицируются в домене Windows Server2003/Windows 2000.• Клиент Workstation Windows NT 4 аутентифицируется на контроллере доменаWindows NT 4.Протокол NTLM появился в Windows NT, и его называли аутентификациейWindows NT «challenge/response» (вызов-ответ). В дополнение к аутентификациипользователей и паролей NTLM поддерживает шифрование и электронную подпись.Windows NT поддерживает также аутентификацию LAN Manager (LM) дляклиентов предыдущих версий Windows (Windows 9x).Для защиты от частых атак хакеров, пытающихся получить доступ к паролям,Microsoft повысила уровень безопасности NTLM, выпустив NTLM версии 2 (обычноее называют NTLM 2) в Service Pack 4 для Windows NT 4.Windows Server 2003 автоматически поддерживает NTLM 2 для компьютеровWindows NT, находящихся в сети. Если у вас еще есть клиенты Windows 9x, установитеклиентское ПО Active Directory на этих компьютерах, чтобы они могли аутентифицироватьсяс помощью NTLM 2.Клиент Active Directory Dsclient.msi (directory service client - клиент службы каталога)не включен в CD Windows Server 2003. Вы можете загрузить его с веб-сайтаMicrosoft. Если вы переходите к Windows Server 2003 из Windows 2000, то Dsclient.msiнаходится на CD Windows 2000 Server в папке \Clients\Win9x.ПаролиАдминистраторы и специалисты служб поддержки тратят много времени на разрешениепроблем, связанных с паролями. Пользователи забывают пароли, процедурысмены пароля не работают должным образом, и пользователи недовольны слишкомвысоким уровнем сложности, который вы требуете для паролей. В конце концов,

Глава 21. Управление пользователями и данными входа 677проблемы паролей и жалобы становятся повседневным фактом работы администраторов.Большинство администраторов позволяют пользователям создавать их собственныепароли, поэтому имеет смысл распространить инструкции по выполнению этойзадачи. Вы можете дать ваше собственное определение хорошего пароля вместе снекоторыми предлагаемыми правилами (вы могли бы назвать их «абсолютными»правилами, но некоторые из них трудно осуществлять).Наиболее подходит пароль, который никак не ассоциируется с данным пользователем,иначе злоумышленник, который знает этого пользователя, может взломатьего пароль. Например, пользователь, на столе которого находится фото его собаки,может использовать ее имя для пароля.С другой стороны, пароль, никак не ассоциируемый с данным пользователем,может оказаться очень трудным для запоминания. Пользователи решают эту проблемудовольно «занятно», приклеивая листочек с паролем к своему монитору илиоставляя запись в незапертом столе.Новые требования к паролямВ Windows Server 2003 включено новое средство, которое проверяет сложность паролядля учетной записи Administrator во время установки операционной системы.Если поле для пароля оставлено пустым или пароль не отвечает требованиям сложности,то появляется диалоговое окно, которое предупреждает, насколько опасноиспользовать пустой или слабый пароль для учетной записи Administrator.Что касается паролей, то Windows Server 2003 запрещает доступ к определеннымвозможностям, если у пользователя нет пароля.• Если оставить пустым поле пароля учетной записи Administrator {нуль-пароль),то вы не имеете доступа к этой учетной записи через сеть.• Любому пользователю с пустым паролем запрещается доступ к средствам администрированияremote control (дистанционный доступ). Это означает, что вашсобственный пользовательский вход, который дает вам административные полномочия(если вы, конечно, не используете учетную запись Administrator), непозволяет вам выполнять административные задачи через сеть, если соответствующаяучетная запись имеет пустой пароль.Сильные паролиСильный пароль должен содержать буквы, числа и специальные символы (,.;:*%&!) или хотя бы две из этих трех категорий. Но многим пользователям трудно запоминатьтакие пароли, и я уверен, что ваши службы поддержки могут подтвердитьэтот факт. Одно из предложений - это слияние прилагательных и существительныхв одно слово, например, sillyrug или smartsink. Еще эффективнее использовать этусхему, если вы помещаете число или специальный символ между прилагательным исуществительным.Программы взлома паролей все более усложняются, и слабые пароли становятся«жертвами» этих программ за доли секунд. Конечно, при достаточном количествевремени автоматизированные методы, используемые программами взлома паролей,могут взломать любой пароль. Однако сильные пароли обеспечивают болеемощную защиту от злоумышленников.Вы можете обеспечить использование сильных паролей с помощью групповойполитики (см. следующий раздел).

678 Windows Server 2003. Полное руководствоВнимание. Пароли Windows Server 2003 могут содержать до 127 символов, но компьютерыWindows 9x, не могут работать с паролями, длина которых больше 14 символов.Не назначайте длинные пароли пользователям этих компьютеров или перемещающимсяпользователям, которые могут, в частности, выполнять вход скомпьютеров Windows 9x.Политики доменных паролейВы можете не только вырабатывать для своих пользователей правила и предложения,повышающие уровень безопасности, но также можете использовать дополнительныеправила в форме политик Windows Server 2003, которые описываются в этомразделе.Вам следует тщательно проверить и обдумать имеющиеся политики паролей вWindows Server 2003, поскольку ваши пользователи (и, тем самым, ваш отдел ИТ)будут постоянно подчиняться этим правилам.Политики паролей доступны только для домена, а не для OU. Конфигурируйтеполитики паролей для домена в редакторе групповых политик Group Policy Editorна уровне Computer Configuration\Windows Settings\Security Settings\AccountPolicies\Password Policy.t* Group Policy Object Editor£"•• '" Г'Д? Default Domain Policy [server-U.ivens*- • i лй- jjjjj Computer Configuration :ff|:; ф-El Software Settings :^:! В Ц Windows Settingsf:i^MHmum password ageScripts (Startup/Shutdown) j iSecurjty Settingsi! ! В f?j£ Account Policies \I i \ [•• iVl^ ШШ ::: МШZ3SS:^Enforcepassword history:Л*] Maximum password age^цММгпит password length^Password must meet complexity requirementsi^Jstore passwords using reversible encryption::a l l i e sr-roiFxi3 passwords remembered42days . :Odays0 charactersDisabled \Disabled1 W.ПОЛИТИКИ паролей и настройки паролей пользователейНезависимо от доменных политик, которые вы вводите в действие, настройки паролей,которые вы задаете для отдельных пользователей во вкладке Account диалоговогоокна Properties пользователя, переопределяют действие доменных политик.Это упрощает создание новых пользователей, поскольку вы можете при этом ввестилюбой пароль - независимо от правил, налагаемых вашими политиками. Затем,когда пользователь изменяет свой пароль, начинают действовать политики. Конечно,это означает, вы должны при этом всегда устанавливать флажок User must changepassword at next logon, чтобы устанавливалось соответствие с вашими настройкамибезопасности.Это также означает, что вы можете исключать определенных пользователей изполитик паролей, вводя пароль, который не соответствует настройкам вашей политикии устанавливая флажок Password never expires (Срок действия пароля не ограничен).

Глава 21. Управление пользователями и данными входа 679Политика Enforce Password History (Ведение журнала паролей)Эта политика позволяет вам задавать количество уникальных новых паролей, которыедолжен задать пользователь, прежде чем он сможет повторно применить использовавшийсяранее пароль. По умолчанию эта политика определена и требуетввода трех новых паролей, прежде чем повторно использовать старый пароль. Допускаетсязначение от 0 до 24 уникальных паролей. Эта политика позволяет администраторамповышать уровень безопасности за счет того, что старые пароли небудут использоваться непрерывно. Если пароль должен изменяться, то некоторыепользователи все время чередуют пароль А и пароль В. Если один из этих паролейраспознан (или украден), то при следующем переходе пользователя на этот парользлоумышленник сможет выполнить вход. Требование ввода нескольких уникальныхпаролей, прежде можно будет повторить ранее использовавшийся пароль, снижаетвероятность того, что злоумышленник сможет выполнить вход под именем этогопользователя.Политика Maximum Password Age (Максимальный срок действияпаролей)Эта политика определяет количество дней использования пароля, после которыхпользователь должен будет изменить его. Допускаются значения от 1 до 999. Значениепо умолчанию - 0, и оно означает, что срок действия паролей не ограничен.Если вы задаете любое значение, отличное от 0, то оно должно быть больше, чемзначение минимального срока действия паролей (см. следующий раздел). Но есливы оставили максимальный срок действия равным 0, то минимальный срок действиядолжен быть значением от 0 до 998 дней.Политика Minimum Password Age (Минимальный срок действияпаролей)Эта политика определяет количество дней, в течение которых должен использоватьсяпароль, прежде чем пользователь сможет изменить его. Вы можете задать любоезначение от 1 до 998 или оставить значение по умолчанию 0, если хотите разрешитьизменения по желанию пользователя. Проследите, чтобы это значение было меньшемаксимального срока действия паролей (если значение максимального срока незадано равным 0).Совет. Обязательно задайте минимальный срок действия паролей отличным от 0,если вы включаете политику Enforce password history. Без минимального срока действияпаролей пользователи могут прокручивать пароли каждый день, стремясь вернутьсяк своим излюбленным старым паролям, что лишает смысла то, чего вы пытаетесьдобиться с помощью политики журнала паролей.Политика Minimum Password Length (Минимальная длина паролей)Эта политика определяет минимальное количество символов, которое может иметьпароль. Вы можете задать значение от 1 до 14 символов. Если оставить значение поумолчанию, равное 0, то вы фактически сообщаете пользователям, что можно неуказывать пароли, поскольку без минимальной длины разрешается пустой пароль(их также часто называют нуль-паролями).

680 Windows Server 2003. Полное руководствоПолитика Password Must Meet Complexity Requirements(Пароль должен отвечать требованиям сложности)Именно здесь вы повышаете уровень безопасности паролей. Включение этой политикиозначает, что вы налагаете требование сильных паролей. Все пароли должныотвечать следующим требованиям.• Он не может содержать частично (или полностью) имя из учетной записи пользователя.• Он должен содержать не менее шести символов.• Он должен содержать символы, по крайней мере, из трех категорий среди следующихчетырех категорий:• английские прописные буквы (от А до Z);• английские строчные буквы (от а до z);• цифры от 0 до 9;• неалфавитные символы (например,!, $, #, %).Блокировки по неверным паролямВключение какой-либо политики блокировки означает, что пользовательская учетнаязапись блокируется от сети, если неверный пароль введен определенное числораз за определенный период. Это, возможно, поможет вам воспрепятствовать доступук вашей сети хакеров, которые пытаются «угадать» какой-либо пользовательскийпароль.Но прежде чем прибегнуть к этому средству безопасности, учтите, какую ценувы платите, когда блокированный пользователь оказывается сотрудником, которыйзабыл свой пароль или плохо работает с клавиатурой. Этот сценарий наиболеечасто вызывает блокировку. Если активизирована политика блокировки, то у васесть два способа на тот случай, когда блокирован допустимый пользователь.• Пусть этот пользователь подождет, пока не пройдет заданный промежуток времени,после чего блокировка будет снята. Это нежелательно, поскольку за этовремя пользователь ничего не сделает для компании. Кроме того, если пользовательне может вспомнить пароль, то последующие попытки, видимо, тоже недадут результата.• Прекратить то, что вы делаете, и выполнить шаги, необходимые для снятия блокировкивручную. Это нелегкая задача.Вы можете активизировать и конфигурировать блокировки для домена, OU илилокального компьютера.Конфигурирование блокировок для домена или 0UЧтобы активизировать и сконфигурировать блокировки для домена или организационнойединицы (OU), откройте редактор групповых политик (GPE) и раскройтедерево консоли до уровня Computer Configuration\Windows Settings\SecuritySettings\Account Policies\Account Lockout Policy. В правой панели сконфигурируйтеполитики, которые описаны в этом разделе. Вы можете конфигурировать эти политикив любом порядке, и как только вы сконфигурировали одну политику, системаавтоматически задает две другие политики, используя подходящие для этого опции.Вы можете изменить автоматические настройки, открыв нужную политику и задавсвои собственные значения.

Глава 21. Управление пользователями и данными входа 681Account Lockout Duration (Длительность блокировки учетной записи). Количество минут,в течение которых учетная запись остается блокированной, прежде чем произойдетее автоматическое разблокирование. Допустимый диапазон автоматическогоразблокирования - от 1 минуты до 99999 минут. Включите эту политику изадайте длительность, равную 0, чтобы указать, что учетная запись должна разблокироватьсявручную администратором.Account Lockout Threshold (Предельное число попыток перед блокировкой учетной записи).Это количество неудачных попыток входа, после которых происходит блокировкаучетной записи. Допустимые значения - от 1 до 999. Если задать значение О,то учетная запись никогда не будет блокироваться. Ввод неверного пароля на рабочихстанциях или рядовых серверах, который был сброшен с помощью комбинацииCTRL-ALT-DELETE или путем запуска защищенной паролем заставки (screen saver),тоже засчитывается как неудачная попытка входа.Reset Account Lockout Counter After (Сброс счетчика попыток через). Это длительностьинтервала в минутах, который должен пройти после неудачной попытки входа, чтобыпроизошел сброс (установка в 0) счетчика неудачных попыток входа. Задайтезначение от 1 минуты до 99999 минут. Максимальное значение счетчика должнобыть не больше значения для Account lockout threshold.Конфигурирование блокировок для компьютераЧтобы активизировать и сконфигурировать блокировки для компьютера (рабочейстанции или рядового сервера), откройте оснастку Local Security Policy (Локальнаяполитика безопасности) из меню Administrative Tools. В дереве консоли раскройтеобъекты до уровня Account Policies\Account Lockout Policy. В правой панели сконфигурируйтенастройки, как это описано в предыдущем разделе.Разблокирование блокированной учетной записиЕсли пользовательская учетная запись блокирована, то Windows Server 2003 выводитследующее сообщение: «Unable to log you on because your account has been lockedout, please contact your administrator» (Вы не можете выполнить вход, потому чтоваша учетная запись была блокирована, пожалуйста, обратитесь к своему администратору).После обращения этого пользователя (который может быть смущен или зол взависимости от его характера) вам нужно разблокировать его учетную запись. Ноесли пользователь забыл свой пароль и собирается продолжить его «угадывание»,что вызовет снова блокировку учетной записи, то ее разблокирование не поможет.Поэтому вы должны сбросить этот пароль и предоставить пользователю новый пароль.Обновление пользовательского пароля. Чтобы выполнить обновление пользовательскогопароля, щелкните правой кнопкой на записи этого пользователя в оснасткеActive Directory Users and Computers и выберите пункт Reset Password (Обновить пароль).(Для локальной учетной записи используйте оснастку Computer Management(Local).) Введите новый пароль, подтвердите его и щелкните на кнопке ОК. Вы можететакже установить флажок User must change password at next logon.Обновление пользовательского пароля имеет некоторые негативные побочныеэффекты. Теряется следующая информация пользователя.• Все файлы, которые шифровал этот пользователь.• Пароли интернет, которые сохраняются на локальном компьютере.

682 Windows Server 2003. Полное руководство• Сообщения электронной почты, которые шифруются открытым ключом этогопользователя.Для учетных записей локального компьютера вы можете создать и использоватьдиск обновления пароля, который позволяет не терять информацию пользователя.См. следующий раздел «Диск обновления пароля».Разблокирование блокированной учетной записи. Чтобы разблокировать блокированнуюучетную запись, дважды щелкните на записи этого пользователя в оснасткеActive Directory Users and Computers и перейдите во вкладку Account. (Для локальнойучетной записи используйте оснастку Computer Management (Local).) Рядом снадписью The account is locked out (Учетная запись блокирована) будет установленфлажок. Щелкните на этом флажке, чтобы сбросить его, и щелкните на кнопке ОК.Диск обновления пароляДля.учетной записи локального компьютера (для пользователя, который выполняетвход на локальный компьютер, а не в домен) Windows Server 2003 содержит средство,которое называется диском обновления пароля (password reset disk). Вы можетеиспользовать такой диск для обновления забытого пароля.Создание диска обновления пароляВы можете создать диск обновления пароля для любой существующей учетной записилокального компьютера, используя следующие шаги.1. Поместите пустую дискету в дисковод.2. Нажмите CTRL-ALT-DEL и щелкните на Change Password (Сменить пароль).3. Введите пользовательское имя учетной записи, для которой вы хотите создатьдиск обновления пароля.4. В раскрывающемся списке Log on to выберите этот локальный компьютер.5. Не изменяйте пароль.6. Щелкните на кнопке Backup (Резервное копирование), чтобы запустить мастерзабытых паролей Forgotten Password Wizard.7. Введите текущий пароль для этого пользователя.8. Когда диск обновления будет готов, щелкните на кнопке Next и затем на кнопкеFinish.9. Сделайте соответствующую надпись на этой дискете и поместите ее в надежноеместо.На этой дискете будет создан один файл с именем userkey.psw. Вам не обязательносоздавать новый диск обновления, когда пароль этого пользователя изменится.Обновление пароля с помощью диска обновленияЕсли пользователь забыл свой пароль, то диск обновления пароля может обновитьпароль, чтобы пользователь мог выполнить вход на данный компьютер. Выполнитеследующие шаги, чтобы использовать диск обновления.1. В диалоговом окне Welcome to Windows нажмите CTRL-ALT-DELETE, чтобыоткрыть диалоговое окно Log On to Windows (Начало сеанса работы с Windows).2. Введите пользовательское имя и выберите этот локальный компьютер в раскрывающемсясписке Log on to.3. Щелкните на кнопке ОК без ввода пароля (или введите какой-нибудь пароль,чтобы сделать последнюю попытку).

Глава 21. Управление пользователями и данными входа 6834. Появится диалоговое окно Logon Failed (Неверный вход), которое содержит предложениеиспользовать диск обновления пароля, если он существует.5. Щелкните на кнопке Reset (Обновить) и установите в дисковод диск обновленияпароля.6. Следуйте указаниям мастера обновления пароля Password Reset Wizard, чтобысоздать новый пароль (а также заполнить подсказку для пароля, которая поможетвам вспомнить его).7. Выполните вход на компьютер с помощью нового пароля.Храните диск обновления пароля в надежном месте на тот случай, если вам сновапотребуется обновить свой пароль.Профили пользователейПрофиль пользователя - это группа настроек, которые определяют рабочее окружениепользователя. Windows Server 2003 использует профиль для создания рабочегоокружения пользователя при входе. Типичные настройки профиля пользователявключают конфигурацию рабочего стола, содержимое меню, настройки панели управления(Control Panel), соединения с сетевым принтером и т.д.Имеются несколько типов профилей, и вы можете использовать любое сочетаниепрофилей на всем предприятии, отвечающее потребностям ваших пользователей.В этом разделе дается обзор следующих типов профилей:• локальные (Local);• перемещаемые, или ши «блуждающие» (Roaming);• обязательные (Mandatory).Как действуют диски обновлений паролейМастер Forgotten Password Wizard создает пару ключей безопасности: открытый ключи личный ключ. Личный ключ записывается на диск обновления пароля. Открытыйключ шифрует пароль локального пользователя на данном компьютере. Если пользовательдолжен использовать этот диск (из-за того, что он забыл свой пароль дляучетной записи локального компьютера), то личный ключ, записанный на дискету,используется для дешифрования текущего пароля. Пользователю предлагается созданиенового пароля, который шифруется с помощью открытого ключа. Не теряетсяникаких пользовательских данных, поскольку пользователь фактически изменяеттолько свой пароль.Локальные профилиWindows Server 2003 создает локальный профиль при первом входе каждого пользователяна компьютер. Каждый пользовательский профиль хранится в папке\Documents and Settings\User, где User - это имя входа этого пользователя (см. рис.21.9). Часть файла реестра в пользовательском профиле - это кэшированная копиячасти реестра HKEY_CURRENT_USER, хранящаяся под именем Ntuser.dat. Остальнуючасть профиля образует структура папок конкретного пользователя.Ntuser.dat определяет оборудование данного компьютера, установленное ПО и настройкирабочей среды. Структура папок и находящиеся в них значки (ссылки) определяютрабочий стол пользователя и окружения для приложений.

684 Windows Server 2003. Полное руководствоFjle Edit View FavoritesTools^ Bark * ',' K 3r,hAd*«s |^J kathyFolders- ... "fep^Ш й ApplicationD< >£% Cookies \£Э Desktop . I. Ш Й Favorites IB* _J Loial Setting)Ш Q My Document|i§[^ My Recent Dc \£j NetHood : ]£^ PrintHood !£3 SendTo : |S Q Start Menu :& Templates v< >15 obtecte (Disk free юи: 10.9 '3B;Help' Folders • X *9N-nrce ••О Application Data„JCookiesgJDesktop'^FavoritesLocal Settings^3My DocumentsMy Recent Documents...; :NetHoodKSPrintHoodSendTo„JStart Menu:.;;.;; TemplatesgjNTUSER.DATi My Computer.. • 1£§GoРис. 21.9. Структура папок пользователя содержит элементы профиляВ таблице 21.1 описывается конкретное содержимое структуры папок, включаемойв профиль пользователя.Табл. 21.1. Местоположение компонентов профиляПапкаСодержимое>SiIIApplication Data (Данные приложений)CookiesDesktop (Рабочий стол)Favorites (Избранное)Local Settings (Локальные настройки)My Documents (Мои документы)My Recent Documents(Недавние документы)NetHoodPrintHoodSendToStart Menu (Меню Пуск)Templates (Шаблоны)Данные, сохраняемые приложениями.Информация и предпочтения пользователейс интернет-сайтов.Объекты рабочего стола.Ссылки на избранные места в интернете.Данные приложений, журналы и временныефайлы.Документы пользователя.Ссылки на недавно использовавшиеся документы.Ссылки на объекты сетевого окружения(My Network Places).Ссылки на объекты папки принтеров.Ссылки на цели «Send To» (Отправить).Ссылки на списки программ.Шаблоны пользователя.

Глава 21. Управление пользователями и данными входа 685Конфигурирование профиля пользователяпо умолчаниюВ первый раз, когда пользователь выполняет вход на компьютер Windows Server 2003,система создает иерархию папок для этого пользователя. Чтобы заполнить эти папкии создать профиль, Windows копирует содержимое папки Default User (Пользовательпо умолчанию) в папки профиля пользователя, где происходит административноеуправление начальным профилем пользователя.Настройка локального профиля пользователя по умолчаниюВы можете вносить изменения в профиль пользователя по умолчанию, чтобы создатьпрофиль, предоставляемый каждому пользователю, выполняющему вход наданный компьютер. Выполните вход на этот компьютер (не используйте учетнуюзапись Administrator) и установите ПО, создайте значки (ярлыки) рабочего стола,установите принтер, сконфигурируйте цель Send To и т.д. Включая эти компонентыв профиль Default User, вы можете помещать любые или все эти компоненты профиляв профили пользователей, которые в конце концов выполнят вход на этот компьютер.Используйте для этого следующие шаги.1. Выполните вход как Administrator.2. Щелкните правой кнопкой на My Computer и выберите в контекстном менюпункт Properties, чтобы открыть диалоговое окно System Properties.3. Перейдите во вкладку Advanced.4. В секции User Profiles (Профили пользователей) этого диалогового окна щелкнитена кнопке Settings.5. Выберите пользователя, который установил ПО и выполнил другие описанныездесь задачи.6. Щелкните на кнопке Copy to и введите \Documents and Settings\Default User какцелевую папку (или щелкните на кнопке Browse и выберите эту папку).7. В секции Permitted to use (Разрешено использовать) щелкните на кнопке Change.8. Введите Everyone в поле Enter the object name.9. Щелкните на кнопке OK, чтобы увидеть сводку вашего выбора.C:\Docijments aridSetags'lCefauK Ustr10. Щелкните на кнопке ОК и подтвердите процедуру копирования.Примечание. Кнопка Copy to недоступна для профиля текущего выполнившего входпользователя, и поэтому вам приходится создавать профиль под учетной записьюодного пользователя и копировать его как другой пользователь.

686 Windows Server 2003. Полное руководствоПеремещаемые профилиПеремещаемый (блуждающий) профиль хранится на сервере. Этот профиль загружаетсяна локальный компьютер с сервера, когда пользователь входит в сеть, - независимоот компьютера, с которого выполняет вход этот пользователь. Любые изменения,которые вносит этот пользователь в настройки конфигурации, сохраняютсяв данном профиле на сервере.Чтобы иметь перемещаемые профили, нужно создать разделяемый ресурс дляэтих профилей на сервере, используя следующие указания.• Вы не обязаны использовать контроллер домена; подойдет любой сервер, доступныйдля пользователей. Я задаю для своей папки имя Profiles (Профили) ииспользую для разделяемого ресурса тоже имя Profiles (при активизации перемещаемыхпрофилей для пользователей вы используете имя разделяемого ресурса,а не имя соответствующей папки).• Задайте полномочия Full Control для группы Everyone по этому разделяемомуресурсу.• Разделяемая папка не может быть сконфигурирована для EFS.• Том с разделяемой папкой не следует конфигурировать для дисковых квот, ноесли это уже сделано, то убедитесь, что это большой том и все пользователи имеютбольшие квоты.Конфигурирование перемещаемых профилей для пользователейЧтобы сообщить системе, что пользователь, выполняющий вход в домен, имеет перемещаемыйпрофиль, нужно сконфигурировать учетную запись этого пользователяв оснастке Active Directory Users and Computers. Для этого используются следующиешаги.1. Дважды щелкните на записи этого пользователя, чтобы открыть диалоговое окноProperties.2. Перейдите во вкладку Profile (Профиль).3. Введите UNC-путь к папке Profiles, используя имя разделяемого ресурса, а неимя папки, и указав в конце пользовательское имя. Вы не обязаны создаватьподпапку с этим именем; она создается автоматически, когда происходит созданиеперемещаемого профиля на сервере.Как происходит создание перемещаемых профилей на сервереСпособ создания профиля перемещающегося пользователя на сервере зависит отобстоятельств, при которых этот пользователь выполняет вход в домен. Когда этотпользователь выполняет вход, Windows проверяет учетную запись пользователя, чтобыпрочитать путь к профилям пользователей. Если этот путь существует (посколькувы ввели его во вкладке Profile, как это описано в предыдущем разделе), то системаищет подпапку с профилем этого пользователя в указанной папке профилей.• Если эта подпапка не существует и компьютер, с которого пользователь выполняетвход, содержит его локальный профиль, то подпапка профиля создается насервере и локальный профиль становится профилем, записанным на сервере.• Если эта подпапка не существует и компьютер, с которого пользователь выполняетвход, не содержит его локального профиля, то подпапка профиля создаетсяна сервере и пользовательский профиль по умолчанию на локальном компьютерестановится профилем, записанным на сервере.

Глава 21. Управление пользователями и данными входа 687• Если эта подпапка существует, то возможен один из двух сценариев: это уже непервый вход после того, как вы активизировали перемещаемые профили дляэтого пользователя, или вы уже предварительно заполнили подпапку профиляэтого пользователя (см. следующий раздел).Предварительное размещение перемещаемого профиляРанее в этой главе уже говорилось, что вы можете копировать какой-либо локальныйпрофиль в используемый по умолчанию локальный профиль пользователя, чтобыпрофиль пользователя по умолчанию соответствовал нужным вам опциям конфигурирования.Вы можете также скопировать локальный профиль в папку Profilesна сервере, которая содержит профили пользователей.• Если перемещающийся пользователь имеет локальный профиль на какой-либорабочей станции, скопируйте этот профиль на сервер. Затем, когда вы активизируетеперемещаемые профили для этого пользователя и он выполняет вход слюбого другого компьютера, его профиль становится перемещаемым профилем.(Вам не обязательно выполнять эту задачу, если вы знаете, что после того, каквы активизируете перемещаемые профили для этого пользователя, он выполнитвход с того компьютера, где содержится его локальный профиль; в этом случаепрофиль копируется автоматически).• Если перемещающийся пользователь не имеет локального профиля на рабочейстанции, скопируйте на сервер другой профиль, подходящий для этого перемещающегосяпользователя.Выполните эти задачи до активизации перемещаемых профилей для пользователя.Иначе, если этот пользователь выполнит вход в домен раньше, чем вы разместитепрофиль на сервере, локальный компьютер автоматически создаст профильна сервере, как это описано выше.Внимание. «Подходящий» профиль означает, что ПО и утилиты, представленные вразличных меню, имеются на всех компьютерах, с которых перемещающийсяпользователь может выполнять вход в домен.Чтобы выполнить одну из этих задач, используйте следующие шаги.1. Выполните вход как Administrator.2. Щелкните правой кнопкой на My Computer и выберите пункт Properties, чтобыоткрыть диалоговое окно System Properties.3. Перейдите во вкладку Advanced.4. В секции User Profiles этого диалогового окна щелкните на кнопке Settings.5. Выберите пользовательский профиль, который хотите использовать для перемещающегосяпользователя (используйте локальный профиль этого перемещающегосяпользователя, если он существует, или выберите другой профиль).6. Щелкните на кнопке Copy to, введите UNC-путь к папке Profiles на сервере ивключите имя входа данного пользователя как последнюю подпапку в этом пути.7. В секции Permitted to use этого диалогового окна щелкните на кнопке Change.8. Введите имя входа этого пользователя в поле Enter the object name.9. Щелкните на кнопке OK, чтобы увидеть сводку вашего выбора.10. Щелкните на кнопке ОК.

688 Windows Server 2003. Полное руководствоАктивизируя перемещаемые профили для этого пользователя на контроллередомена, обязательно используйте тот же путь, чтобы подпапка с именем пользователясоответствовала целевой подпапке вашего копирования.Новые групповые политики для перемещаемых профилейВ Windows Server 2003 добавлены новые политики для перемещаемых профилей вредакторе Group Policy Editor. Кроме того, групповые политики для профилей теперьнаходятся в их собственных контейнерах (в Windows 2000 групповые политикидля профилей находились в контейнере Logon):• Computer Configuration\Administrative Templates\System\User Profiles;• User Configuration\Administrative Templates\System\User Profiles.Эти политики, которые понятны без пояснений, повышают возможности управленияпри администрировании перемещаемых профилей.Перемещаемые профили для клиентов более ранних версий WindowsВсе, что говорилось выше, относится к серверам и рабочим станциям, которые работаютпод управлением Windows 2000 и более поздних версий Windows. Вы можететакже задавать перемещаемые профили для пользователей, которые входят в доменс компьютеров Windows 9x, но конфигурирование и выполнение происходят иначе.Создайте на сервере отдельную папку для перемещаемых профилей клиентовWindows 9x и используйте этот UNC-путь при конфигурировании пользователейдля перемещаемых профилей в Active Directory.На клиентских компьютерах откройте апплет Passwords (Пароли) в панели управления(Control Panel) и перейдите во вкладку User Profiles. Выберите вариантUsers can customize their preferences and desktop settings (Каждый пользователь выбираетличные настройки). Затем установите один или оба флажка для перемещаемыхпрофилей.• Include desktop icons and Network Neighborhood (Включить в профиль значки срабочего стола и сетевое окружение).• Include Start menu and Program groups (Включить в профиль структуру меню«Пуск» и программные группы).Помните, что вы должны перезагрузить компьютер Windows 9x после этих изменений(на самом деле вы должны перезагружать компьютеры Windows 9x после внесенияпочти любых изменений, поэтому нам так нравится работать с Windows XP).Обязательные профилиОбязательный профиль - это перемещаемый профиль, который нельзя изменять.Хотя пользователи могут изменять некоторые настройки во время сеанса, эти измененияне сохраняются в профиле на сервере и недоступны при следующем входеэтого пользователя в сеть. Однако администраторы могут вносить изменения в обязательныепрофили пользователей. Поскольку обязательные профили нельзя изменятьв соответствии с личными настройками пользователя, их можно применять кгруппам пользователей.Хотя это может показаться удобным на первый взгляд, лично я советую администраторамизбегать использования обязательных профилей, поскольку это порождаетмножество проблем. Я редко встречал обстоятельства, при которых стоило использоватьобязательные профили. У вас есть сотни политик, чтобы запрещать

Глава 21. Управление пользователями и данными входа 689пользователям вносить изменения в их среду, и это намного более надежный подход,чем использование обязательных профилей. Но на тот случай, когда у вас имеетсяубедительная причина для реализации обязательных профилей, которую я непредусмотрел, ниже описывается это средство.Обязательные профили очень похожи на перемещаемые профили; фактическиэто перемещаемые профили, однако этот профиль должен существовать в подпапкепрофилей пользователя на сервере, прежде чем этот пользователь выполнит вход,поскольку обязательный профиль не может быть записан на сервер клиентской рабочейстанцией.Создавая подпапку профилей для пользователя, вы должны реально создать этуподпапку на сервере, поскольку рабочая станция не может этого делать автоматически,как в случае перемещаемых профилей. Задайте полномочия Read and Execute(Чтение и выполнение).Кроме того, вы должны добавить расширение .man к последнему компонентуUNC-пути. Например, если бы вы создавали обычный перемещаемый профиль, тозадали бы UNC-путь в диалоговом окне Properties для пользователя как\\Server\ProfileFolder\#.M#_rta/7b3o

690 Windows Server 2003. Полное руководствосерверов происходит регулярно, в то время как резервное копирование локальныхрабочих станций не происходит почти никогда, даже если вы «запугиваете» своихпользователей. Вы можете также создавать домашние папки для пользователей наих локальных рабочих станциях, но обычно эту роль выполняет папка My Documents.Домашние папки на сервере создаются для отдельных пользователей внутри заранеесозданного разделяемого ресурса. Например, создайте папку с именем Usersи с именем разделяемого ресурса Users и задайте для группы Everyone полномочияFull Control. После этого вы можете добавлять подпапки для пользователей(\\Server\Users\#;w?_/jДобавление домашних папок к профилямЧтобы создать домашнюю папку для пользователя, откройте диалоговое окноProperties для этого пользователя в оснастке Active Directory Users and Computers.Перейдите во вкладку Profiles (рис. 21.10), выберите вариант Connect (Присоединить),что фактически является автоматическим отображением буквы накопителя,укажите букву накопителя и затем введите UNC-путь.Amy Lewites PropertiesPublished Ctn.fr.aie-. Oirfm ObjectEnvmnmemSessionsRemcJecontrol Teminal Service! Pro* f CTJM*jlGeneral Address _Account : Pro* Telephones OrganizationUserprofileProfile pain:Logon script• Ноте lokfefО Local path:K\sMver-11\profJes\amylРис. 21.10. Привязка буквынакопителя к домашней папкена сервере©Connect;pl Io: K\seivH-11\useis\amy| itПримечание. По умолчанию Windows Server 2003 указывает для домашних папок буквунакопителя Z:, но некоторые давно работающие администраторы (включая меня)следуют старой традиции, назначая букву накопителя Н:.Если последняя часть этого пути (имя_пользователя) не существует, она немедленносоздается. Это отличается от создания данной части пути для перемещаемыхпрофилей, которая не создается на сервере, пока данный пользователь не выполнитвход в домен.

Глава 21. Управление пользователями и данными входа 691Вам следует продумать концепцию домашних папок и принять решения по использованиюэтого средства для некоторых или всех пользователей. Большим преимуществомдомашних папок является хранение документов пользователей на сервере,что гарантирует резервное копирование документов вашей компании.В случае перемещающихся пользователей вы автоматически получаете преимуществахранения документов на сервере, поскольку профиль, который загружаетсяна локальный компьютер во время входа пользователя, содержит папку этого пользователяMy Documents. Когда пользователь завершает сеанс, профиль снова записываетсяна сервер, включая папку My Documents и ее содержимое. Но если вы используетедомашние папки, то при входе перемещающихся пользователей в доменим не приходится ждать, пока папка My Documents (и все ее содержимое) будетскопирована на локальный компьютер. Вместо этого используется указатель на сервернуюдомашнюю папку, который является частью профиля, что намного ускоряетпроцессы входа и завершения сеанса (и снимает опасения относительно дисковогопространства на локальном компьютере).Перенаправление документов в домашнюю папкуЕсли у пользователя без перемещаемого профиля имеется домашняя папка на сервере,то в окне My Computer появляется отображаемая буква накопителя, и приглашениев командной строке тоже содержит эту букву накопителя. Однако программыпродолжают сохранять документы в папке My Documents, являющейся домашнейпапкой. Вам нужно перенаправить папку My Documents в домашнюю папку, и этоможно делать разнообразными способами.Ручное перенаправление папки My DocumentsЕсли у вас совсем немного пользователей, если они не являются перемещающимисяпользователями и если у них есть домашние папки, то вы можете дать им указания,чтобы они перенаправили свои папки My Documents. Инструкции очень простые: нужнощелкнуть правой кнопкой мыши на папке My Documents, выбрать пункт Properties изатем изменить местоположение в поле Target (Место назначения) на домашнюю папку(соответствующая буква накопителя). Windows спросит вас, нужно ли переместитьсуществующие документы в это новое место. Щелкните на кнопке Yes.Использование групповых политик для перенаправления папкиMy DocumentsЧтобы пользователи не перенаправляли свои папки My Document вручную, вы можетеиспользовать групповую политику, управляющую этим перенаправлением.Откройте редактор групповых политик (GPE) для данного домена или для организационнойединицы (OU), содержащей нужных пользователей, и перейдите на уровеньUser Configuration\Windows Settings\Folder Redirection\My Documents. Щелкнитеправой кнопкой на объекте My Documents в дереве консоли, чтобы открытьдиалоговое окно его свойств с выбранной вкладкой Target (рис. 21.11).Поле Setting содержит раскрывающийся список со следующими вариантамивыбора.• Basic (Базовое местоположение). Перенаправление папок всех пользователей водно и то же место.• Advanced (Несколько мест). Указываются несколько мест для различных групппользователей.

692 Windows Server 2003. Полное руководствоMy Documents Properties3et|; SelingsiY°" can specify the location of theMyDocuments folder.Se"' 4: [ Not configured ~~:pi,ThisGroup Policy Object, mil have no effect on the tocafan of this folderAny existing rediection wil continue to apply even when thisGroup Pofcy• obiect is removed To ensure that the folder is rediected back to the defaultlocation, select the "Redirect lo Ihe local userpiofile location" option.Рис. 21.11. Вы можетеперенаправлять папки MyDocuments каждого пользователяс помощью групповойполитикиПеренаправление типа Basic. При выборе варианта Basic папка My Documents каждогопользователя перенаправляется в один и тот же разделяемый ресурс Затемвнутри этого ресурса система автоматически создает подпапку для каждого пользователя.Поскольку перенаправление данного типа выполняется на один сервер этонаиболее подходит для небольшой сети или для OU, содержащей пользователей изодного мсстэ.В поле Target folder location (Местоположение целевой папки) выберите один измследующих вариантов.• Redirect to the user's home directory (Перенаправлять в домашнюю папку пользователя).Выберите этот вариант, если вы уже создали домашние папки для своихпользователей.• Create a folder for each user under the root path (Создавать папку для каждогопользователя внутри корневого пути). Используйте этот вариант после того каквы создали разделяемый ресурс на сервере для хранения документов польз'ова-Тс Л СИ,• Redirect to the following location (Перенаправлять в следующее место). Используйтеэтот вариант, если у вас уже есть подпапки для каждого пользователя Вконце U NC-пути введите переменную %username%• Redirect to the local userprofile location (Перенаправлять в локальное местоположениепрофиля пользователя). Является обратным вариантом для всех остальныхвариантов и копирует данные назад в локальный профиль пользователя.5 1 М'РИ°- 21Л2 ' «««Фигурируйте целевую папку, выбрав сле-Grant the user exclusive rights to My Documents (Предоставить данному пользователюисключительные права доступа к папке Мои документы). Этот флажок которыйустановлен по умолчанию, создает полномочия только для пользователя%username7o, не давая доступа всем остальным (включая администраторов) Если

Глава 21. Управление пользователями и данными входа 693вы как администратор хотите получить доступ в эту папку, то должны получитьвладение этой папкой. Если сбросить этот флажок, то задаются полномочия,определяемые наследованием (которые зависят от полномочий, заданных вамипри создании родительской папки).Move the contents of My Documents to the new location (Переместить содержимоепапки Мои документы в новое место). Этот флажок, устанавливаемый по умолчанию,полностью соответствует своему названию. При следующем входе пользователяв домен его документы автоматически перемещаются (а не копируются)в целевую папку. Это выполняется как для локального, так и перемещающегосяпользователя.Policy Removal (При удалении политики). В этой секции можно задать, что происходит,если данная политика не применяется. Здесь на самом деле не предполагается,что вы возвращаетесь в редактор GPE, чтобы удалить свои политикипо перенаправлению; эта секция используется в предположении, что вы применяетеданную политику к определенной OU. Выбранный здесь вариант определяет,что должно быть выполнено для пользователя, который удаляется из этойOU.My Pictures Preferences (Для папки Мои рисунки). Используйте эту секцию, чтобыопределить, влияет ли эта политика на папку My Pictures.My Iшиш'. PropertiesTarget) Settings p|@: :Рис. 21.12. Настройте вашуполитику перенаправления вовкладке Settings] Select the redirection settings for My Documents.Sjb'anl 'ne u;er ewkj-.rv»- r

694 Windows Server 2003. Полное руководство% Documents PropertiesYoucanspecifythe locationoftheMyDocuments folderSeting; jAdvanced-Specify locations for varioususergroups ^This folder wiltbe redirected to diferent locationsbasedon the security.groupmembership of the users.Рис. 21.13. Выбор перенаправлениятипа Advanced позволяетвам задавать разделяемые точкина серверах на уровне отдельныхгруппSecurity£imup Menbershipuroup Path• pЩелкните на кнопке Add, чтобы выбрать группу и указать целевую разделяемуюточку. Повторите эти шаги для каждой группы и разделяемой точки, которыевы хотите использовать для этой политики.Specify Group aIYoucan cU-j:-5Dm I ygelkWeibxbtswi for a1 'TNSEASTVjiccounttngTjr;.T > LOear-ai.*!* l« each utevdaihercMc^h v" : - .'" .•ЯОксЗйяуеЛLisetsV 1Скрипты входаСкрипты входа - это дополнительные программы (пакетный файл, командный файлили vbs-скрипт), которые вы можете использовать, чтобы сконфигурировать рабочуюсреду для пользователей. Эти скрипты запускаются автоматически во времявхода. Для использования этого средства вы должны задать путь к скрипту входа в

Глава 21. Управление пользователями и данными входа 695диалоговом окне Properties пользователя (во вкладке Profile) или применить групповуюполитику (Group Policy) для скриптов входа.Активизация скриптов входа в диалоговом окнесвойств пользователяИспользуйте вкладку Profile в диалоговом окне Properties данного пользователя,чтобы назначить созданные вами скрипты входа. В поле Logon script (Скрипт входа)введите имя соответствующего файла (например, accntg.bat). Затем при входеаутентифицирующий контроллер домена (DC) находит этот скрипт входа и запускаетего.По умолчанию DC ищет файл в папке %SystemRoot%\SYSVOL\sysvol\Имя_домена\%спр\%, поскольку здесь вы сохраняете файлы скриптов. Но если выхотите помещать свои скрипты в другом месте DC, то должны ввести относительныйпуть перед именем файла (например, \Accnt\accntg.bat), чтобы указать DC, гденужно искать ваш скрипт.Примечание. Не имеет значения, какой DC аутентифицирует пользователя, посколькуWindows Server 2003 использует службу FRS (File Replication Service) для репликациискриптов входа на каждый DC в домене.Активизация скриптов входа с помощью групповойполитикиПосле создания скрипта и его сохранения в разделяемом ресурсе NETLOGON(%SystemRoot%\SYSVOL\sysvol\#*w_doMeHa\scripts) вы можете использовать групповуюполитику, чтобы активизировать скрипты входа, применяя эту политику кдоменам или организационным единицам. В редакторе GPE раскройте дерево консолидо уровня User Configuration\Windows Settings\Scripts (Logon/Logoff). ВыберитеLogon (Вход) в правой панели, чтобы открыть диалоговое окно Logon Properties,затем щелкните на кнопке Add.В диалоговом окне Add a Script (Добавление скрипта) введите путь к этому скриптув поле Script Name (Имя скрипта) или щелкните на кнопке Browse, чтобы выполнитьпоиск файла скрипта. В поле Script Parameters введите параметры, которые выхотите добавить к скрипту.Add в Script :— ..лЖ:шш]j[ OKПримечание. Вы можете также написать и назначить скрипты завершения сеанса(logoff), используя тот же способ.

Глава 22Использование GroupPolicy для управленияклиентскими исерверными машинамиЕсли вы знакомы с Group Policy Windows 2000, то обнаружите лишь несколько существенныхизменений в Group Policy Windows Server 2003. Кроме того, вас должно обрадоватьто, что вскоре после выпуска Windows Server 2003 компания Microsoft выпустилановое средство, которое реально упрощает использование Group Policy, - GroupPolicy Management Console (GPMC) в виде оснастки ММС и утилиты команднойстроки. Если вы переходите к Windows Server 2003 из Windows NT 4.0, то увидите,что Group Policy очень отличается от системной политики - в лучшую сторону.В этой главе дается обзор того, как использовать Group Policy Windows Server2003, чтобы помочь вам в управлении и защите ваших клиентских машин и серверов,а также описывается, как использовать GPMC для централизованного управленияразвертыванием, операциями и устранением проблем Group Policy. Мы предполагаем,что вы переходите из Windows NT 4.0 или пока не знакомы сиспользованием GPMC, и представляем большинство операций Group Policy с помощьюGPMC.Если вы решили использовать Group Policy, то приобретите одно из полных руководствпо развертыванию и администрированию Group Policy Windows Server 2003,где подробно описываются все средства и операции, представленные в этой главе, атакже даются основы написания скриптов для операций GPMC. Кроме того, обязательнопрочитайте справочную online-информацию по Group Policy Windows Server2003 для получения полных сведений по настройкам управления и безопасности,доступным с помощью Group Policy.Основы Group PolicyGroup Policy - это поддерживающее Active Directory средство для централизованногоуправления пользователями и конфигурирования компьютеров, работающихпод управлением Microsoft Windows Server 2003, Microsoft Windows 2000 или MicrosoftWindows XP Professional. Данное средство встроено в эти операционные системы,чтобы его можно было сразу использовать во всей организации (если вы установилиActive Directory). Вы используете Group Policy, чтобы определять автоматизированныеконфигурации для групп пользователей и компьютеров, включая многиенастройки, связанные с реестром, опции установки программного обеспечения,скрипты входа и завершения работы, перенаправление папок, службу RIS (Remote

Глава 22. Использование Group Policy 697Installation Services), Internet Explorer Maintenance и широкий охват настроек безопасности.Используйте Group Policy, чтобы облегчить управление серверными иклиентскими компьютерами с применением многих настроек, заданных специальнодля серверов.В таблице 22.1 показано, как использовать различные возможности Group Policy,приведенные в порядке их представления в оснастке ММС GPOE (Group PolicyObject Editor). Ниже в этой главе будет дан обзор каждого из расширений GroupPolicy.Group Policy действует путем применения настроек конфигурации, сохраненныхв объекте Group Policy (GPO), который связывается с выбранным вами объектомActive Directory. GPO - это сохраненный набор настроек Group Policy, которыене только задают конфигурацию клиентских и серверных компьютеров, но такжеуказывают для пользователей программное обеспечение, перенаправленные папки,файлы и папки для автономного использования, профили пользователей (когдаони перемещаются) - в общей сложности несколько сотен опций. Объекты GPOпозволяют вам централизованно управлять компьютерами и пользователями в соответствиис их местоположением в структуре Active Directory, например, в доменеили организационной единице (OU), а также с местом привязки объектов GPO вэтой структуре.Табл. 22.1. Средства Group Policy, используемые для управленияСредство Group PolicyОписаниеSoftware Installation (Установка ПО)Remote Installation Services(Служба удаленной установки)Scripts (Startup/Shutdown)Security Settings(Настройки безопасности)Folder Redirection(Перенаправление папок)Internet Explorer MaintenanceOffline Files and Folders(Автономные файлы и папки)Roaming User Profiles(Профили перемещающихсяпользователей)Administrative Templates(Шаблоны администрирования)Централизованная установка, обновление иудаление программного обеспечения.Управление Remote Installation Services(RIS).Применение скриптов во время входа и завершениясеанса пользователя, а также загрузкии завершения работы компьютера.Управление средствами безопасности.Создание перенаправленных папок на сервередля управления файлами и папкамипользователей.Управление Internet Explorer.Позволяет пользователям работать с сетевымифайлами, даже когда они не подсоединенык сети.Управление профилями пользователей.Управление компьютерами и пользователямис помощью настроек из реестра.Чтобы приступить к созданию объектов GPO, вы должны хорошо знать своюструктуру Active Directory, включая местоположение в этой структуре пользователейи компьютеров, которыми вы хотите управлять.

698 Windows Server 2003. Полное руководствоGroup Policy действует следующим образом: при каждой перезагрузке, входепользователя или ручном принудительном обновлении с помощью Group Policy ксоответствующему пользователю или компьютеру применяются настройки всехобъектов GPO. Каждая настройка в объекте GPO оценивается целевыми компьютерамис учетом иерархической структуры Active Directory, как это описано ниже вразделе «Обработка и наследование при использовании Group Policy».Таким образом, вы задаете конфигурацию пользователя или компьютера толькоодин раз, и затем система Windows XP, Windows 2000 или Windows Server 2003 реализуетвашу конфигурацию на всех клиентских компьютерах, пока вы не измените ее.С этого момента настройки Group Policy продолжают реализоваться автоматически,они имеют приоритет по сравнению настройками из реестра или из пользовательскогоинтерфейса и изменяются без вашего вмешательства. При возникновениикакого-либо конфликта, например, вы задали определенную конфигурациюInternet Explorer, а локальный пользователь задает другие настройки, Group Policyпереопределяет эти локальные настройки при входе, загрузке, во время нормальнозапланированных обновлений или когда вы запускаете принудительное обновлениес помощью Group Policy.Все настройки Group Policy в расширении Administrative Templates Group Policyреально записываются в специальные разделы реестра для Group Policy. Для настроек,которые конфигурируются где-либо еще с помощью оснастки GPOE (например,Software Installation, Security Settings или Scripts), используются различные методыих применения. Используя GPOE, вы можете задавать реестр машины,указывать путь в сети к разделяемым ресурсам на сервере или к автоматическойзагрузке ПО, и т.д. - все это из одного интерфейса управления, который автоматическиприменяет эти настройки в соответствии с регулярным расписанием. Используябесплатную консоль управления Group Policy Management Console (GPMC), выможете централизованно управлять всеми аспектами Group Policy, включая созданиеобъектов GPO, привязку объектов GPO, делегирование управления Group Policyи добавление включаемых с помощью Group Policy скриптов, за исключением конкретногоконфигурирования объектов GPO. Но вы можете даже запускать GPOEиз GPMC, выделив какой-либо объект GPO и выбрав затем команду Edit.Несколько объектов GPO можно присоединять к одному сайту, домену или OU,и один объект GPO можно присоединять к любому числу сайтов, доменов или OU.Присоединяя объекты GPO к сайтам, доменам или OU Active Directory, вы можетезадавать настройки Group Policy для любой нужной части организации. Иными словами,вы можете создать один объект GPO, который управляет каждым компьютероми каждым пользователем вашей компании, или создать по одному GPO длякаждой OU, чтобы задать различные конфигурации для каждой из этих OU. Крометого, вы можете сделать и то, и другое, а применение будет происходить в зависимостиот иерархии Active Directory. Использование этих возможностей Group Policyдля переопределения настроек см. ниже в разделе «Обработка и наследование прииспользовании Group Policy».Детали каждой настройки Group Policy можно видеть в оснастке GPOE в режимерасширенного представления (Extended view), который используется по умолчанию;если он не включен, щелкните на вкладке Extended. Этот текст можно такжеувидеть в панели Properties вкладки Explain (Описание) для соответствующей настройкиGroup Policy. Если вы хотите видеть все описания в одном месте, то можетенепосредственно открыть соответствующий файл оперативной справки Windows изкомандной строки, набрав hh и имя этого help-файла. В таблице 22.2 приводитсясписок связанных с Group Policy help-файлов, имеющихся в Windows Server 2003.

Глава 22. Использование Group Policy 699На компьютере с Windows XP Professional вы увидите настройки только дляWindows 2000 и Windows XP Professional. На компьютере с Windows Server 2003 выувидите настройки для Windows 2000, Windows XP Professional и Windows Server 2003.Эти help-файлы часто содержат ссылки на другие help-файлы, содержащиеся в этомсписке, поэтому вам не обязательно возвращаться в командную строку после того,как вы запустили один из них.Поскольку многие настройки (и некоторые help-файлы [xhm-файлы]) недоступныпо умолчанию в Windows XP, установите Windows Help с установочного CDWindows Server 2003 на любых административных компьютерах, работающих подуправлением Windows XP Professional.Табл. 22.2. Help-файлы, связанные с Group Policy Windows Server 2003Настройки, описанные в help-файлеИмя или имена help-файловБольшинство административных шаблоновНастройки безопасностиШаблоны безопасностиКонсоль управления Group Policy (GPMC)Политики ограничения ПОНастройки NetMeetingНастройки для Internet ExplorerПолитики беспроводной сети (IEEE 802.11)Автономные файлы и папкиАвтоматические обновленияНастройки Windows Media Playersystem.chmsecsetconcepts.chm,spolsconcepts.chm, secsettings.chmsceconcepts.chmspconcepts.chm, gpmc.chmsafer.chm, saferconcepts.chmconfl.chminetres.chminfrared, chmofflinefolders.chmwuau.chmwmplayer.chmТребования к использованию Group PolicyКогда использовалась система Windows NT, управление Windows-компьютерамиосуществлялось с помощью системной политики или путем постоянных измененийв реестре ваших клиентов. Системная политика основывается на настройках реестра,задаваемых с помощью System Policy Editor, Poledit.exe. С появлением Group Policyв Windows 2000 управление стало намного более гибким, и, кроме того, стало намногопроще выполнять «очистку» путем отсоединения объектов GPO от контейнеровActive Directory, удаления старых GPO и создания новых, применение которыхпроисходит позже на этапе обработки (путем переопределения более раннихнастроек).Во-первых, если вы собираетесь использовать Group Policy, то запомните, чтосоответствующие клиентские компьютеры и серверы должны работать под управлениемWindows 2000 (Professional или Server), Windows XP Professional или WindowsServer 2003. Если в вашей сети есть более ранние системы, то на них не влияет GroupPolicy.Поскольку Group Policy работает с полностью уточненными доменными именами(FQDN), то для соответствующей обработки Group Policy в вашем лесу должнадействовать DNS, а не только NetBIOS. Кроме того, поскольку клиентские или целевыекомпьютеры должны отправлять сигнал ping контроллерам домена в вашей

700 Windows Server 2003. Полное руководствосети, не отключайте протокол ICMP. Если целевые компьютеры не могут делатьэто, то обработка Group Policy не выполняется.Для применения Group Policy вам нужно использовать Active Directory. Вы можетеиспользовать Group Policy для управления серверами и клиентскими компьютерами;на самом деле Group Policy содержит много настроек, относящихся к компьютерам-серверам.Если у вас не создана структура Active Directory, то вы не можетеиспользовать большинство средств, связанных с Group Policy (хотя вы можете конфигурироватьлокальные объекты Group Policy по отдельности для каждой машины),и совсем не можете использовать Group Policy для централизованного управлениякомпьютерами и пользователями.Ваше развертывание Group Policy обязательно должно основываться на структуревашего каталога Active Directory, особенно на географическом местоположениисайтов и физическом размещении контроллеров домена. В частности, следуетучитывать скорость репликации, поскольку сложные объекты GPO могут иметьочень большие размеры. Иначе говоря, не пытайтесь использовать один GPO длягеографически разбросанных сетей. Планируйте Group Policy соответствующимобразом, то есть создавайте новые GPO для каждой организационной единицы (OU)в домене, который охватывает несколько сайтов, или копируйте эти GPO в удаленныесайты, домены и OU с помощью консоли управления Group Policy (GPMC).Только администраторы домена или предприятия могут создавать и присоединятьобъекты GPO, хотя вы можете делегировать эту задачу другим пользователям.Более подробную информацию по делегированию задач Group Policy см. ниже вразделе «Делегирование управления Group Policy».Новые пользовательские и компьютерные учетные записи создаются по умолчаниюв контейнерах CN=Users и CN=Computers. К этим контейнерам нельзя непосредственноприменить Group Policy. Однако в Windows Server 2003 включены двановых средства, выполняющие эту задачу: Redirusr.exe (для пользовательских учетныхзаписей) и Redircomp.exe (для компьютерных учетных записей). Они применяютGroup Policy к новым пользовательским и компьютерным учетным записям. Выможете увидеть их в \system32. Запускайте Redirusr.exe и Redircomp.exe поодному разу для каждого домена, указывая, в каких OU нужно создать новые пользовательскиеи компьютерные учетные записи. Вы можете затем управлять этими учетнымизаписями с помощью Group Policy. Microsoft рекомендует присоединять объектыGPO с высоким уровнем безопасности к организационным единицам, которыевы используете для новых учетных записей. В статье Q324949 Microsoft KnowledgeBase, «Redirecting the Users and Computers Containers in Windows Server 2003 Domains»дается более подробная информация по использованию этих средств и перенаправлениюновых учетных записей.Возможно, вы считаете (или слышали), что управлять Group Policy трудно, чтостранно для средства, которое является инструментом управления! Хотя Group Policyможет сэкономить вам массу времени и усилий, позволяя одновременно конфигурироватьмного компьютеров, особенно по мере накопления практики, сам по себеэтот инструмент не настолько прост, чтобы его можно было использовать с первойсекунды. Компания Microsoft прислушалась к нашим сетованиям и создала консольуправления GPMC (в виде оснастки ММС и средства командной строки), котораянамного упрощает использование Group Policy. Прежде чем приступить к дальнейшейработе, обязательно загрузите GPMC с веб-сайта Microsoft:http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.

Глава 22. Использование Group Policy 701Взаимодействие с более ранними операционнымисистемамиВам не стоит отказываться от самых новых настроек Group Policy, которые поставляютсявместе с административными шаблонами Windows Server 2003 (.adm-файлами),поскольку они не только поддерживают новые операционные системы, но такжесодержат поддержку для операционных систем Windows 2000. Если вы применяетеобъект GPO Windows Server 2003, например, к машине Windows 2000, где определеннаянастройка не поддерживается, то буквально ничего не происходит. МашинаWindows 2000 просто игнорирует эту настройку. Чтобы увидеть, какие настройкиподдерживаются в каких системах, нужно выбрать настройку в GPOE и затем посмотреть,что говорится в секции Requirements (Требования).Если в вашей организации используются все виды систем Windows, то вам нужноучесть несколько вопросов, прежде чем использовать Group Policy.Во-первых, машины, работающие под управлением Windows NT, Windows 95,Windows 98 или Windows XP Home Edition, не могут обрабатывать объекты GPO.Если какой-либо из этих компьютеров содержится в одном из контейнеров ActiveDirectory, то на него не влияют обычные настройки административных шаблоновGroup Policy Administrative Templates, а также большинство настроек, связанных сGroup Policy. Для управления этими компьютерами используйте системную политику- даже в современных доменах Active Directory и даже в тех случаях, когда присоединилиобъекты GPO к этим доменам.Все машины, работающие под управлением Windows 2000, Windows XPProfessional или Windows Server 2003, поддерживают Group Policy. Для управленияэтими машинами вы можете использовать объекты GPO Windows 2000 или WindowsServer 2003, но использование последних дает больше возможностей. Просто следите,какие настройки поддерживаются в каких системах, чтобы для вас не было неожиданностью,если конфигурация, действующая в Windows XP Professional, не срабатываетв Windows 2000.Чтобы использовать в полной мере возможности Group Policy, и компьютерные,и пользовательские учетные записи должны быть включены в домены Windows 2000или Windows Server 2003 (предпочтительно, если вы хотите использовать самые новыесредства Group Policy из Windows Server 2003). Если компьютерная учетная записьнаходится в домене Windows NT, а пользовательская учетная запись - в доменеWindows 2000 или Windows Server 2003, то при входе соответствующего пользователяобрабатывается только компьютерная системная политика. После входа пользователяприменяется только пользовательская часть конфигурации Group Policy. Еслипользовательская учетная запись находится в домене Windows NT, то системная политикаявляется единственным набором политик, обрабатываемым для этой учетнойзаписи.И наоборот, если компьютерная учетная запись находится в домене Windows 2000или Windows Server 2003, а пользовательская учетная запись - в домене Windows NT,то во время загрузки обрабатывается только компьютерная часть Group Policy. Привходе пользователя применяется пользовательская системная политика.И, наконец, когда и компьютерная, и пользовательская учетные записи являютсячастью домена Windows NT, применяется только системная политика, даже еслисоответствующие машины работают под управлением Windows 2000, Windows XPили Windows Server 2003.

702 Windows Server 2003. Полное руководствоОбработка и наследование при использованииGroup PolicyПрежде чем объединять объекты GPO и связывать их со структурой Active Directory,вам нужно понять, как происходит обработка с помощью Group Policy и каким образомнаследование в этой иерархической структуре влияет на выбор настроек, которыеприменяются к пользователям и компьютерам. На самом деле пониманиеобработки и наследования дает вам намного больше возможностей в управлении иделает Group Policy еще более гибким и целенаправленным средством.Объекты GPO можно привязывать (по уровням) к сайтам, доменам или организационнымединицам (OU); вы можете, например, используя GPMC, связать одинGPO со всеми этими тремя уровнями или просто сохранить его и затем связыватьего по отдельности с каждым из них в форме уникальных экземпляров GPO. Выможете также связать в целях управления любое количество объектов GPO с однимсайтом, доменом или OU.Объекты GPO обладают свойствами наследования в Active Directory и накопления.Они также влияют на все компьютеры и на всех пользователей в соответствующемконтейнере Active Directory. На клиентских компьютерах Windows 2000, WindowsХР Professional или Windows Server 2003 объекты GPO обрабатываются в следующемпорядке.1. Локальный объект Group Policy (LGPO), конфигурируемый на уровне отдельноймашины.2. GPO, присоединенные к сайтам.3. GPO, присоединенные к доменам.4. GPO, присоединенные к организационным единицам (OU).a) GPO, присоединенные к родительским OU.b) GPO, присоединенные к дочерним OU.c) GPO, присоединенные к дочерним OU внутри этих дочерних OU, и т.д. домаксимального уровня вложенности (в Active Directory допускается до 64уровней).Таким образом, первые настройки, применяемые при загрузке или входе, берутсяиз локального объекта (LGPO), который вы конфигурируете на уровне отдельноймашины. Но зачем это нужно, если вы используете Group Policy? Это можетпотребоваться разве что для применения каких-то особых настроек к машинеконкретного пользователя, например, начальника, которому требуется что-то, недоступноеникому другому (и при этом нужно проследить, чтобы эта настройка непереопределялась следующими по порядку объектами GPO). После LGPO обрабатываютсяGPO, привязанные к сайтам, затем - к доменам, затем - к родительскимOU и, наконец, к дочерним OU различных уровней внутри этих родительских OU.Например, предположим, что вы присоединяете три объекта GPO - один к сайту(GPO1), один к домену в этом сайте (GPO2) и один к OU в этом домене (GPO3),- а также конфигурируете определенную машину с помощью LGPO. Чтобы сделатьэтот пример более интересным, предположим, что некоторые настройки конфигурируюткомпьютеры противоречивым образом (например, дают различные настройкирабочего стола или безопасности). При загрузке на клиентской машине сначалаобрабатывается LGPO, затем- GPO1,затем- СРО2изатем- GPO3. Все,что имеетсяв GPO3, получает приоритет по сравнению с тем, что обработано в GPO2, изатем по цепочке в GPO1 и в LGPO, поэтому вы должны внимательно следить за

Глава 22. Использование Group Policy 703тем, что используется объектами GPO вашей организации, какие настройки могутоказаться конфликтными (т.е. переопределять ранее определенные настройки), атакже должны тестировать новые GPO, прежде чем направлять их в эксплуатируемуюсреду. Если вы присоединяете несколько GPO к одной OU, то можете задатьпорядок обработки этих GP0, добавляя еще один уровень проверки.Используйте средства Group Policy Modeling и Group Policy Results, описанныениже в этой главе, чтобы определить, имеются ли какие-то конфликты, когда выполняетсяпривязка нового GPO.Как вы можете ожидать, объекты GPO, присоединенные к определенному уровнюиерархии Active Directory, не влияют на компьютерные и пользовательские учетныезаписи, которые находятся выше в этой иерархии. Например, если OU NYHRнаходится ниже OU New York Users и вы присоединяете какой-либо GPO к OUNYHR, то этот GPO не влияет на компьютерные и пользовательские объекты в OUNew York Users.Настройки GPO, присоединенного к сайту, распространяются на все домены(леса) в пределах этого сайта и наследуются всеми доменами и OU внутри этогосайта согласно иерархии Active Directory. Таким образом, репликация нового присоединенногоGPO на каждый контроллер домена выполняется в соответствии собычным расписанием репликации, поэтому вы можете наблюдать некоторую задержку,прежде чем будут полностью реализованы настройки GPO, присоединенногок сайту.Настройки GPO, присоединенного к домену, распространяются на всех пользователейи все компьютеры в этом домене и наследуются всеми OU внутри этогодомена. Если этот домен охватывает несколько сайтов, то репликация данного GPOна удаленные контроллеры домена происходит по расписанию межсайтовой репликации;по возможности старайтесь избегать этой ситуации. Очевидно, что присоединенныек домену объекты GPO не наследуются между доменами; но вы можетеприсоединять один GPO к нескольким доменам. Такие GPO применяются из исходногодомена GPO к клиентским компьютерам в присоединенном домене привходе пользователя или при загрузке. В такой ситуации тоже старайтесь просто дублироватьGPO в каждом домене и затем присоединяйте эти дубликаты внутри ихлокальных доменов.Имеются два специальных объекта GPO, которые присоединяются к каждомудомену, когда происходит установка первого контроллера домена и когда администраторвыполняет первый вход. Это GPO Default Domain Policy (Политика доменапо умолчанию) и GPO Default Domain Controller Policy (Политика контроллера доменапо умолчанию). Эти GPO содержат политики Account Policy (Политика учетныхзаписей), Password Policy (Политика паролей), Account Lockout Policy (Политикаблокировки паролей) и Kerberos Policy, которые реализуются контроллерамидомена. Не изменяйте и не удаляйте эти GPO.Настройки объекта GPO, присоединяемого к OU, применяются ко всем пользователями компьютерам в этой OU и наследуются всеми пользователями и компьютерамив любых дочерних OU этой OU. Присоединение объектов GPO к организационнымединицам действительно помогает применять настройки к конкретнымгруппам, отделам организации или наборам пользователей, включаемых в контейнерынижнего уровня Active Directory. Например, вы можете сгруппировать всехпользователей New York Human Resources в одну OU с именем NYHR (как в нашемпредыдущем примере), которая подчинена родительской OU с именем New YorkUsers. Присоединяя GPO с настройками, подходящими для группы, которая определяетсяэтой OU, вы можете снабдить этих пользователей программным обеспече-

704 Windows Server 2003. Полное руководствонием, настройками безопасности и настройками рабочего стола, необходимыми дляих работы, в то время как остальные пользователи домена получают присоединенныйк этому домену объект GPO, в котором нет этого ПО или настроек рабочегостола.Когда происходит обработка объектов GPOРасширения Group Policy вызываются программой Winlogon при следующих событиях.Загрузка компьютера. Это происходит, когда обрабатывается часть ComputerConfiguration из GPO.Вход пользователя. Это происходит, когда обрабатывается часть UserConfiguration из GPO.Во время фонового обновления Group Policy. В это время обрабатываются обечасти - Computer Configuration и User Configuration. Период между обновлениямисоставляет по умолчанию 90 минут с дополнительным (случайным) смещением0-30 минут в обоих направлениях, чтобы противостоять тем, кто пытаетсянарушать налагаемые вами конфигурации, и чтобы не было одновременной загрузкиобъектов GPO многими компьютерами (вызывающей слишком большойобъем трафика). Вы можете задавать фоновое обновление с интервалом от 0 (семьсекунд) до 45 дней. Не задавайте слишком короткие интервалы обновления (кроме,может быть, тестирования в экспериментальных условиях), поскольку этовызывает слишком большой трафик. Не задавайте также слишком длинные интервалыобновления, поскольку пользователи могут изменить конфигурациюсвоих машин за это время, что лишает смысла ваше централизованное конфигурирование.По очевидным причинам расширения Folder Redirection (Перенаправлениепапок) и Software Installation (Установка ПО) не обрабатываютсяво время фонового обновления, а только при загрузке и входе.При запуске утилиты Gpudpate.exe. Это ручное обновление обеих частей GPO(Computer Configuration и User Configuration), например, при устранении проблемGroup Policy или необходимости реализации новых настроек, не ожидая,когда будет выполнено фоновое обновление. Вы можете задавать дляGpupdate.exe ряд параметров, указывая, какие настройки нужно обновить и каких нужно обновить. Чтобы увидеть полный список параметров Gpupdate.exe,используйте ключ gpupdate /?. Если какие-либо расширения GPO содержат настройки,которые действуют только при загрузке компьютера (например, FolderRedirection и Software Installation), то происходит перезагрузка компьютеров,поэтому будьте аккуратны, задавая, когда и как использовать эту утилиту.Фильтрация вGroup PolicyВы можете использовать фильтрацию в объекте GPO, чтобы он применялся толькок членам определенных групп или чтобы управлять тем, как применяются объектыGPO. Используя иерархию обработки Active Directory и используя возможностиSecurity Filtering и WMI Filtering, вы можете целенаправленно применять настройкиGPO и управлять их поведением без необходимости создания и управления большимчислом объектов GPO.Security Filtering (Фильтрация субъектов безопасности)Security Filtering используется, чтобы указывать, какие субъекты безопасности вприсоединенном контейнере Active Directory получат настройки объекта GPO. Вы

Глава 22. Использование Group Policy 705не можете применить Security Filtering к какой-либо одной настройке Group Policy,а только ко всему объекту GPO.Для фильтрации GPO по группе безопасности добавьте группу в секции SecurityFiltering вкладки Scope (Область действия) в консоли GPMC. В поле Enter The ObjectName To Select (Для выбора введите имя объекта) введите имя группы безопасности,пользователя или компьютера, которых хотите добавить к фильтру безопасности(Security Filter).Подробнее об использовании Security Filtering см. в оперативной справке поGPMC.WMI FilteringWMI (Windows Management Instrumentation) Filtering используется для управлениятем, где применяются объекты GPO. Вы можете присоединить GPO к одному фильтруWMI (WMI Filter), который оценивается на клиентском компьютере во времяобработки GPO. Если фильтр WMI дает значение true, то применяется этот GPO.Фильтры WMI игнорируются машинами с Windows 2000 и более ранними операционнымисистемами, поэтому объекты GPO всегда применяются к ним независимоот WMI Filtering. WMI может предоставлять вам такие данные о компьютере, какконфигурация оборудования, объем свободного пространства на диске, установленноеПО, пользовательские настройки, информация реестра и многое другое.Вы можете использовать WMI Filtering только при наличии хотя бы одного контроллерадомена Windows Server 2003. В противном случае вы не увидите секциюWMI Filtering во вкладке Scope для объектов GPO и элемента WMI Filtering поддоменом в консоли GPMC.Подробнее об использовании WMI Filtering см. в оперативной справке по GPMC.Объекты Group PolicyНастройки Group Policy, которые вы создаете, содержатся в объекте Group Policy(GPO), который передает затем эти настройки пользователям и компьютерам в присоединенныхконтейнерах Active Directory. Объекты GPO хранятся на уровне домена.Информация, содержащаяся в GPO, хранится в контейнере Group Policy в ActiveDirectory и в шаблоне Group Policy на томе Sysvol каждого контроллера домена. Каждоеиз этих хранилищ имеет свое расписание и метод репликации. Обязательно прочитайтеоперативную справочную информацию по Group Policy, чтобы получитьподробные сведения по устранению проблем, включая вопросы репликации.Второй тип GPO - это LGPO (локальный GPO), который имеется на каждом компьютере,даже если вы не конфигурировали этот GPO. Объекты LGPO не присоединяютсяк каким-либо контейнерам Active Directory. Если у вас нет необходимости к какой-тоособой конфигурации на конкретных компьютерах, то вы можете не затрагиватьобъекты LGPO. К тому же они дают намного меньше возможностей, чем объекты GPO.По мере роста числа настроек и скриптов, которые содержат объекты GPO, ониувеличиваются в размерах и используют более весомую долю пропускной способностисети. С ростом числа присоединяемых GPO доля используемой пропускнойспособности тоже увеличивается, хотя это менее существенно, чем увеличение количестванастроек и скриптов, передаваемых каждым GPO. Объекты LGPO не влияютна пропускную способность сети.Чтобы создать GPO с помощью бесплатной консоли GPMC, щелкните правойкнопкой на Group Policy Objects в домене, где вы хотите создать этот GPO, и затемвыберите пункт New (Создать).23-3994

706 Windows Server 2003. Полное руководствоРедактирование объектов Group PolicyВы можете легко создать или редактировать GPO, но не так-то просто определить,как конфигурировать все эти сотни опций. Открыв только что созданный GPO, вамнужно выбрать одну из этих настроек; если она находится в секции AdministrativeTemplates (Административные шаблоны) данного GPO, то вы увидите описание этойнастройки непосредственно в режиме расширенного представления GPOE ExtendedView. На рисунке 22.1 показана оснастка GPOE, открытая так, чтобы можно былоувидеть многие из имеющихся расширений. В данном случае пользователь щелкнулна System в Administrative Templates секции User Configuration и затем щелкнулправой кнопкой мыши на настройке Specify Windows installation file location (Задатьместоположение файлов установки Windows), после чего можно выбрать пунктProperties.«и Gmup Policy Object Edit at-ViewHelp'3'JSl Computer Configuration! Щ-Щ Software Settings; '• g Software installation! Й-SSJ fWindows SettingsScripts (Startup/Shutdown)Security Settings; ЕЬ£Ш Administrative Templates! Wr-Ш Windows ComponentsЙ S3 Network• 63 Printers3 User ConfigurationI-Rp Software SettingsL g£j Software installation)~{ll Windows Settings1-cjB Remote Installation Services!• -ЭЭ Scripts (Logon/Logoff)Й-jp Security Settingsj Folder Redirectionj Internet Explorer MaintenanceI Administrative Templates£-fi| Windows Componentsi-ia Start Menu and TaskbarЩ-Ш DesktopSi El Control Paneli И Shared FoldersФ И NetworkIB-Si SystemSpecify Windows installation filelocationDisplayRequirements:At least Microsoft Windows XPProfessional or Windows Server 2003familyDescription:Specifies an alternate location forWindows installation files.To enable this setting, and enter the fullyqualified path to the new location inthe 'Windows Setup file path" box.If you disable this setting or do notconfigure it. the W'ndows Setup sourcepath will be the location used dung thelast time Windows Setup was run on thesystem.ElUsei ProfilesEJScriptsШ LogonSjDisk QuotasШ Net LogonSiGroup PolicyШЗ Remote AssistanceSjSystem Restore(13 Error ReportingBjWindows File ProtectionЙ Remote Procedure Cal^Windows Time Service|§ Restrict potentially unsafe HTML Help functiojЩ Do not display Manage You Server page M ItДУ Display Shutdown Event Tracker$1 Activate Shutdown Event Tracker System Si$ Enable Persistent Time StampSpecify Windows ServiiJRemove Bool/Shutdo"Verbose vs normal stdti_tt*/ft Restrict these programs from being launched I . :.Г I И^Рис. 22.1. Редактор объектов Group Policy (GPOE)Чтобы внести изменения в новый GPO, щелкните правой кнопкой на этом GPOв консоли GPMC, щелкните на кнопке Edit и затем используйте оснастку GPOE.Если вы не установили GPMC, то можете также запускать оснастку GPOE непосредственноиз командной строки, набрав Gpedit.msc (после того, как вы добавилиэту оснастку в Microsoft Management Console [MMC] с помощью средства Add/Remove Snap-In [Добавление/Удаление оснастки]). После редактирования GPOваши изменения применяются ко всем присоединенным контейнерам.

Глава 22. Использование Group Policy 707Чтобы редактировать GPO, у вас должны быть полномочия Edit (Редактирование)по этому GPO. Чтобы редактировать передаваемые в GPO настройки IPSec,вы должны быть администратором домена (Domain Administrator).Чтобы задать какую-либо настройку в GPO, откройте окно Properties (дваждыщелкните на этой настройке, щелкните на ссылке Properties в описании или щелкнитеправой кнопкой на этой настройке и выберите пункт Properties). Появится окноконфигурирования для этой настройки. В большинстве настроек предлагаются вариантывыбора Not Configured (He сконфигурирована), Enabled (Включена) иDisabled (Отключена), хотя некоторые настройки требуют ввода информации в текстовомполе или задания других деталей. Окно конфигурирования настройки содержиттакже текст Explain (Описание) для этой настройки, включая операционныесистемы или компоненты Windows, которые поддерживают эту настройку, тоесть наиболее раннюю ОС или компонент Windows (например, версия Windows MediaPlayer или Internet Explorer), которые поддерживают эту настройку. Напомню, чтовы можете использовать объекты GPO, которые не поддерживаются на некоторыхмашинах, содержащихся в присоединенном сайте, домене или OU; они просто нераспознают их и на них не влияют эти настройки.Настройки GroupPolicyМы не будем обсуждать подряд каждую из имеющихся настроек Group Policy, посколькудля этого потребовалась бы отдельная книга, и вы можете видеть подробнуюинформацию обо всех конфигурируемых настройках, открыв любой из helpфайловWindows, представленных в таблице 22.2. Однако мы рассмотрим всерасширения в обеих категориях - Computer Configuration и User Configuration. Этирасширения представляют встроенные механизмы, которые применяют измененияконфигурации. Вы также увидите, как загружать другие шаблоны, и ознакомитесь стем, как создавать ваши собственные шаблоны.Несколько расширений для клиентских машин заранее устанавливаются на целевыхмашинах, поэтому вам не нужно загружать их. Расширения для клиентскихмашин устанавливаются и регистрируются как .dll-файлы во время установкиWindows на этих машинах. Чтобы запустить обработку с помощью Group Policy нацелевой машине, программа Winlogon обращается к этим .dll-файлам с помощьюнастроек для клиентских расширений, содержащихся в подразделе реестра Winlogon.В таблице 22.3 приводится список этих расширений и связанных с ними файлов.Табл. 22.3. Файлы расширений Group PolicyРасширение Group Policy для клиентской машиныSoftware Installation (Установка ПО)Scripts (Startup/Shutdown) [Скрипты(Загрузка/Завершение работы)]Security Settings (Настройки безопасности)IPSecFolder Redirection (Перенаправление папок)Disk Quotas (Дисковые квоты)EFS Recovery (Восстановление EFS)Имя файлаAppmgmts.dllGptext.dllScecli.dllScecli.dllFdeploy.dllDskquota.dllGptext.dll23'

708 Windows Server 2003. Полное руководствоРасширение Group Policy для клиентской машиныInternet Explorer Maintenance(Обслуживание Internet Explorer)Administrative Templates(Шаблоны администрирования)Имя файлаIedkcs32.dllUserenv.dllв Group Policy Object EditorFte »». b*>m Group Policy ОЬтЛ EditorFie АЯгап We HelpComputerConfigurationЩ Software Settings„| Software installation:-: Gj Windows Settings• ;-Q Scripts (Startup/Shutdown)В Р Security SettingsЭ Эр* Account Policies•Ё Щ? Password Policy$•• ® Account Lockout PolicyCt! Ф Kerberos Poky0 Local Policiesiti-jil Audit Policy!M~M User Rights Assignmentl*i-^ Security Options^ Event log£j§ Restricted GroupsШ System Services£3 Registryi i - T Wretess Network (IEEE 802.11) Policiesфф Pubfc Key Pofciesj i j • Щ1 Encrypting File Systemj »-(^AutomaticCertficate Request Settings; | • Ш Trusted Root Certification Authorities• | 42] Enterprise Trusti i- Ш Software Restriction Policies*'^|i IP Security Policies on Active Directory3-SS Administrative TemplatesВ В Wndows Components! ; (iii NetMeetingj \- Щ& Internet ExplorerCj Appfcation CompatWtydй •••^3 Windows Componentsi h -Й NetMeeting; |S! Internet Explorer; Ш Application Compatfo^y| \~Ш Internet Information Services; i -!&i TaskScheduteri Ж Ш Termiwl Services] :-£a Wreiows Instaler; ;-i£J Windows Messenger| !- -ЦЗ Wrejows Media Digital Rights Management! j-Й Windows Media Playeri; "£jWHdows UpdateВ- Ш Systemi-Ш Scripts!-И Logonj (ft] Disk QuotasS Щ Net Logon: ;•-Щ1 Remote Assistance: i £v} System Restore: iS Ш Error ReportingI ;• £j Windows Ne Protection! \-Ш Remote Procedure CalI 35-Sl Windows Time ServiceВ Ш Network; 1-EiDNSCIent| i- -Й Cfflne fifesi i • i3 Network Connections! 3}-|»lQoS Packet Scheduler!•Ш Pr*Рис. 22.2. Секция Computer Configuration в Group PolicyВсе это упаковывается в каждый объект GPO с помощью механизма под названиемGroup Policy. Теперь вы получите обзор этих возможностей.Секция Computer ConfigurationЭта часть GPO содержит настройки конфигурирования компьютеров, содержащихсяв контейнере Active Directory, который присоединен к данному GPO. Эти настройкивлияют на всех пользователей такого компьютера. На рисунке 22.2 показана раскрытаясекция Computer Configuration, где показаны все ваши опции конфигурированиядля этого узла. Отмечу, что я разделил снимок экрана на две части и поставилэти части рядом, чтобы вы могли видеть все опции на одной печатной странице.Теперь рассмотрим группы настроек, содержащихся в секции ComputerConfiguration.Настройки ПО (Software Settings)В этом узле содержится расширение Software Installation. Здесь также содержатсянастройки ПО, которые применяются к компьютерам независимо от того, кто вы-

Глава 22. Использование Group Policy 709полнил на них вход. Эта папка может также содержать другие настройки, помещаемыесюда пакетами ПО, которые вы развертываете с помощью Group Policy.Software Installation. Вы используете расширение Software Installation (Установка ПО)для централизованного развертывания, обновления, модернизации и удаления программныхприложений без необходимости посещать каждую машину или полагатьсяна то, что ваши пользователи сами загрузят, обновят или модернизируют нужноеим ПО. Вы назначаете приложения компьютеру, чтобы пользователи компьютераполучили надежный доступ к нужным приложениям. Эти приложения показанытакже в окне Add Or Remove Programs (Установка и удаление программ).Если вы назначаете пакет ПО компьютерам в сайте, домене или OU, это ПОстановится доступно для пользователей при следующей перезагрузке или при следующемвходе. Соответствующее приложение может быть также полностью установленопользователем из меню Start (Пуск), из окна Add Or Remove Programs, спомощью ярлыка рабочего стола или путем открытия документа (по требованию),имеющего расширение имени файла, ассоциированное с этим приложением.Это ПО может удалить только локальный или сетевой администратор, хотяпользователь может вносить исправления в это ПО. Пользователь может временноудалить это ПО и затем при необходимости снова выполнить его установку. Однако,используя Group Policy, вы гарантируете, что назначенные приложения будутдоступны по требованию, даже если их удаляют пользователи, и эти приложениябудут доступны снова при следующем входе пользователя или перезагрузке компьютера.Расширение Software Installation использует пакеты ПО, поддерживающиеWindows Installer (.msi-файлы). Если вам нужно развертывать пакеты ПО, не поддерживающиеWindows Installer, то вы будете использовать специальные программы«пакетирования», чтобы создать необходимые .msi-файлы, или создадите простыетекстовые .zap-файлы. Файлы Windows Installer (.msi-файлы) дают многопреимуществ по сравнению с .zap-файлами, поэтому используйте по возможноститакие файлы.После того как вы назначили ПО компьютерам в сайте, домене или OU, это ПОавтоматически устанавливается при следующей перезагрузке компьютера или входепользователя. После установки вы можете не беспокоиться, что пользователиудалят (деинсталлируют) его (это может сделать только локальный или сетевой администратор),хотя пользователь может внести в него исправления с помощью средстваRepair в окне Add Or Remove Programs.Настройки Windows (Windows Settings)Секция Windows Settings имеется в узлах Computer Configuration и User Configurationоснастки GPOE. Настройки Windows Settings в узле Computer Configuration применяютсяко всем пользователям целевого компьютера. В эту секцию включены дварасширения Security Settings (Настройки безопасности) и Scripts (Скрипты).Scripts. Вы можете использовать передаваемые с помощью Group Policy скриптыдля автоматизации загрузки и завершения работы с помощью расширения Scripts.Эти скрипты выполняются с использованием полномочий Local System.Для объектов GPO Windows Server 2003 и Windows 2000 вы можете ограничиватьэти скрипты с помощью наследования, а также средств WMI Filtering и SecurityFiltering, как это описано выше в этой главе.В Windows Server 2003 включена поддержка WSH (Windows Script Host) - независимогоот языков сервера скриптов Windows для 32-битных платформ, включая фай-

710 Windows Server 2003. Полное руководстволы Visual Basic Scripting Edition (.vbs-файлы) и JScript (js-файлы), а также файлыWSH (.swf-файлы). WSH включен в Windows Server 2003 и Windows 2000. Вы можетеиспользовать WSH для запуска скриптов .wsf, .vbs и js непосредственно на клиентскомкомпьютере или в командной консоли с помощью двойного щелчка на файлескрипта или путем ввода скрипта в командной строке.Вы можете использовать для создания скриптов любой язык, поддерживаемыйWSH. Существует много источников поддержки WSH от поставщиков ПО для языковсценариев, таких как Perl и JavaScript, а также для пакетных файлов (с расширением.bat и xmd).Конфигурируя расширение Group Policy Scripts, вы создаете новые скрипты,которые сохраняются в соответствующей подпапке папки \System32\GroupPolicy\Machine\Scripts\. Чтобы сконфигурировать скрипт в объекте GPO, откройтеокно Properties, дважды щелкнув на этой настройке, щелкнув на ссылкеProperties в описании или щелкнув правой кнопкой на этой настройке и выбравзатем пункт Properties. Появится окно конфигурирования для этой настройки.Security Settings (Настройки безопасности). Вы используете секцию Security Settings,чтобы конфигурировать защиту компьютеров и вашей сети в целом. Вы можете задаватьнастройки безопасности для своего сайта, домена или OU любого уровня. Втаблице 22.4 показаны типы настроек, которые можно задавать с помощью расширенияGroup Policy Security Settings в узле Computer Configuration.Табл. 22.4. Типы настроек Security Settings в узле Computer Configuration, доступныес помощью Group PolicyТип настроек безопасностиAccount Policies (Политикиучетных записей)Local Policies (Локальныеполитики)Public Key Policies (Политикиоткрытых ключей)Event Log (Журнал событий)ОписаниеУправляют политиками Password policy, AccountLockout и Kerberos policy. Применяются только науровне домена. Если они конфигурируются на уровнесайта или OU, то они не обрабатываются и не применяются.Управляют политиками Auditing policy (Политикааудита), User Rights assignment (Назначение правпользователей) и Security options (Параметры безопасности).Управляют настройками Encrypting File System(Шифрующая файловая система), AutomaticCertificate Request settings (Настройки запросов автоматическогополучения сертификатов), Trusted RootCertification Authorities (Доверяемые корневые центрысертификации) и Enterprise Trust settings (Настройкидоверительных отношений предприятия). Активизируюттакже политику Enterprise Trust дляавтоматической регистрации пользователей в программахсертификации.Содержит настройки для журналов событий System иSecurity. Управляет такими настройками, как размери хранилище для журналов событий Application,Security и System.

Глава 22. Использование Group Policy 711Тип настроек безопасностиRestricted Groups (Группы сограниченным доступом)System Services (Системныеслужбы)Registry (Реестр)File System (Файловаясистема)Software Restriction Policies(Политики ограниченияПО)Wireless Network (IEEE802.11) PoliciesIPSec PoliciesОписаниеУправление и реализация членства для связанных сбезопасностью групп, а также определение дополнительныхгрупп, которым принадлежит такая группа.Управление режимом загрузки и полномочиями доступадля системных служб.Конфигурирование полномочий безопасности дляразделов реестра, включая управление доступом,аудит и владение.Конфигурирование полномочий безопасности дляпапок и файлов, включая управление доступом, аудити владение.Указание программ, запускаемых на компьютерах, атакже управление возможностью их запуска. По умолчаниюSoftware Restriction Policies разрешают запускатьлюбые программы с полномочиями User. Выможете конфигурировать эти полномочия, запрещая,например, запускать любые программы независимоот прав пользователя.Конфигурирование настроек для службы WirelessConfiguration Service, которая управляет установленнымиадаптерами беспроводной сети IEEE 802.11.Конфигурирование политик Client Policy, SecureServer Policy и Server Policy, а также распространениеконфигураций IPSec на компьютерные учетные записи,управляемые данным объектом GPO. В одномGPO может быть назначена только одна политикаIPSec. Отметим, что IPSec имеет также в собственнуюоснастку ММС.Как можно видеть из этой таблицы, вы можете использовать расширение GroupPolicy Security Settings для передачи и реализации разнообразных конфигурацийбезопасности на машинах Windows XP Professional, Windows 2000 и Windows Server2003. Эти политики безопасности применяются к компьютерам при каждой обработкеGPO, который присоединен к контейнеру Active Directory, содержащему этимашины. Некоторые настройки начинают действовать только после перезагрузки.Чтобы определить, какие объекты GPO, содержащие настройки безопасности, былиприменены при последнем обновлении политик, посмотрите локальный кэш в файлах\security\templates\policies\gpt*.*. Каждый файл представляет шаблонбезопасности в одном GPO, и в этом файле хранится GUID (глобально уникальныйидентификатор) для данного GPO.Настройки Security Settings повышают возможности существующих средств безопасностидля остальной части Group Policy, а также вкладок Security окон Propertiesдля файлов, папок, объектов Active Directory и т.д. Отметим, что настройки SecuritySettings могут отражаться и в реестре, даже если определенная настройка больше незадана в GPO, который применил ее, или сам GPO удален или отсоединен.

712 Windows Server 2003. Полное руководствоAdministrative TemplatesБольшинство людей, когда слышат термин «Group Policy», ассоциируют его с административнымишаблонами, которые централизованно конфигурируют реестрклиентских компьютеров. Это расширение применяется в том месте Group Policy,где находятся связанные с реестром административные шаблоны (.adm-файлы).Примерно 700 уникальных настроек доступны за счет использования .adm-файлов.Windows Components (Компоненты Windows). Конфигурирование настроек для такихкомпонентов операционной системы, как NetMeeting, Internet Explorer и TerminalServices.System (Система). Конфигурирование различных системных компонентов для управлениятакими средствами, как дисковые квоты, скрипты и вход, а также отчетамиоб ошибках. Дисковые квоты ограничивают объем пространства на диске, котороеможет заполняться специальными папками пользователей.Network (Сеть). Эти настройки позволяют вам конфигурировать компоненты операционнойсистемы, которые связывают клиентскую машину с сетью. Здесь можноуказывать первичный суффикс DNS и запрещать пользователям его изменение. Выможете также конфигурировать в этой секции автономные файлы (Offline Files) ислужбу SNMP (Simple Network Management Protocol).Printers (Принтеры). Эта секция содержит много настроек для управления конфигурациямисетевых принтеров и опциями публикования.User ConfigurationЭта часть GPO содержит настройки для конфигурирования пользователей в контейнереActive Directory, который присоединен к этому GPO. На рисунке 22.3 показанараскрытая секция User Configuration, где показаны все ваши опции конфигурированиядля этого узла. Отмечу, что я разделил снимок экрана на две части ипоставил эти части рядом, что вы могли видеть все опции на одной странице.Теперь рассмотрим группы настроек, содержащихся в секции User Configuration.Настройки ПО (Software Settings)В этом узле содержится расширение Software Installation. Здесь также содержатсянастройки ПО, которые применяются к пользователям независимо от компьютера,который они используют. Эта папка может также содержать другие настройки, помещаемыесюда пакетами ПО, которые вы развертываете с помощью Group Policy.Software Installation. Вы используете расширение Software Installation (Установка ПО)для централизованного развертывания, обновления, модернизации и удаления программныхприложений без необходимости посещать каждую машину или полагатьсяна то, что ваши пользователи сами загрузят, обновят или модернизируют нужноеим ПО. Вы назначаете или публикуете приложения для пользователей, чтобы ониполучили надежный доступ к нужным приложениям. Эти приложения показанытакже в окне Add Or Remove Programs для инициируемого пользователем обновления,удаления (в случае публикации) или повторной установки.ПО, опубликованное для пользователей в сайте, домене или OU, можно устанавливатьпутем открытия документа с ассоциированным расширением имени (еслиу вас выбран вариант автоматической установки - Auto-Install) или с помощью окнаAdd Or Remove Programs. Если вы присоединили GPO для развертывания ПО и хо-

Глава 22. Использование Group Policy 713тите, чтобы это ПО было доступно сразу, то обновите этот GPO, прежде чем соответствующееприложение появится в окне Add Or Remove Programs. Пользовательможет удалить это ПО и в дальнейшем снова установить его, используя Add OrRemove Programs.•51 Group Policy Object EditorЯе Action View Help,# Group Policy Object EditorFdc Action View HelpВ $ User Configurationф-Й Software Settingsj • £| Software installationф~£| Windows Settingsi | -'Щ' Remote Installation Servicesj r |£| Scrpts (Logon/Logoff)! ф-§$ Security Settings! | a-31 Public Key PoliciesI i S-S3 Software Restriction Policies| ф ф Folder Redirectioni I ;••• ill Application DataI I i-a DesktopI ! | - (^ My Documents! | i--Ha Start Menui Й J i3 Internet Explorer Maintenancej i-Ш Browser User Interfacei I-jjjj Connection1 i SuRllI Ь &J Security=• -^j] ProgramsB-i Administrative Templates&Щ Windows ComponentsI $~i3NetMeeting! В-в! Internet Explorer\~Ш Internet Control Paneli -Ш Of fine Pagesi- wA Browser menus! -Ш ToolbarsI- Ш1 Persistence Behavior'•~Й1 Administrator Approved Controls-Ш Application Compatibility•p| Help and Support Center..^]11Ш]1 _ тМ(|~ Ш Appfcation Compatibility| -Ш Help and Support Center! ф- Щ Windows Explorerj !! — [£j Common Open File Dialogi |Э- Щ Microsoft Management Consolei &-ffi3 Restricted/Permitted snap-ins! [-©Task Scheduleri ф-Sl Terminal Servicesi =••-^U Sessions! I--Si Windows Installeri I- 13 Windows Messengeri-Si Windows Updatej Ш-Ш Windows Media Player!•• si Start Menu and Taskbarф-

714 Windows Server 2003. Полное руководствоWindows SettingsСекция Windows Settings имеется в узлах Computer Configuration и User Configurationоснастки GPOE. Настройки Windows Settings в узле User Configuration применяются ковсем пользователям независимо от компьютера, который они используют. Эта секциясодержит также пять расширений: Remote Installation Services, Scripts (startup, shutdown,logon и logoff), Security Settings, Folder Redirection и Internet Explorer Maintenance.Remote Installation Services. Вы можете использовать Group Policy, чтобы задавать,должен ли пользователь машины, конфигурируемой с помощью Remote InstallationServices (RIS), указывать имя компьютера во время установки, нужно ли повторятьпопытку удаленной установки, если ее не удалось выполнить, и получают ли пользователидоступ к служебным средствам до установки операционной системы. GPOможет поддерживать варианты выбора, которые выводятся мастером ClientInstallation Wizard при использовании RIS для установки операционной системы.Scripts. Вы можете использовать передаваемые с помощью Group Policy скриптыдля автоматизации загрузки и завершения работы с помощью расширения Scripts.Эти скрипты выполняются с использованием полномочий User. Для объектов GPOWindows Server 2003 и Windows 2000 вы можете ограничивать эти скрипты с помощьюнаследования, а также средств WMI Filtering и Security Filtering, как это описановыше в этой главе.В Windows Server 2003 включена поддержка WSH (Windows Script Host) - независимогоот языков сервера скриптов Windows для 32-битных платформ, включая файлыVisual Basic Scripting Edition (.vbs-файлы) и JScript (js-файлы), а также файлыWSH (.swf-файлы). WSH включен в Windows Server 2003 и Windows 2000. Вы можетеиспользовать WSH для запуска скриптов .wsf, .vbs и .js непосредственно на клиентскомкомпьютере или в командной консоли с помощью двойного щелчка на файлескрипта или путем ввода скрипта в командной строке.Вы можете использовать для создания скриптов любой язык, поддерживаемыйWSH. Существует много источников поддержки WSH от поставщиков ПО для языковсценариев, таких как Perl и JavaScript, а также для пакетных файлов (с расширением.bat и xmd).Конфигурируя расширение Group Policy Scripts, вы создаете новые скрипты,которые сохраняются в соответствующей подпапке папки \System32\GroupPolicy\Machine\Scripts\. Чтобы сконфигурировать скрипт в объекте GPO, откройтеокно Properties, дважды щелкнув на этой настройке, щелкнув на ссылкеProperties в описании или щелкнув правой кнопкой на этой настройке и выбравзатем пункт Properties. Появится окно конфигурирования для этой настройки.Security Settings (Настройки безопасности). Вы используете секцию Security Settings,чтобы конфигурировать защиту компьютеров и вашей сети в целом. Вы можете задаватьнастройки безопасности для своего сайта, домена или OU любого уровня. Втаблице 22.5 показаны типы настроек, которые можно задавать с помощью расширенияGroup Policy Security Settings в узле User Configuration.Вы можете использовать Public Key Policies (Политики открытых ключей) дляследующего.• Сделать так, чтобы компьютеры подавали запрос сертификата в центры сертификациипредприятия и устанавливали выданный сертификат. Этим управляетнастройка GPO Automatic Certificate Request Settings (Настройки запросов автоматическогополучения сертификатов).

Глава 22. Использование Group Policy 715• Создавать и распространять список доверия сертификатам. Этим управляет настройкаGPO Enterprise Trust (Доверительные отношения предприятия).• Создавать общие доверяемые корневые центры сертификации. Этим управляетнастройка GPO Trusted Root Certification Authorities (Доверяемые корневые центрысертификации). Возможно, вам не нужно использовать эту настройку длякорневых центров сертификации Microsoft в домене, если все пользователи икомпьютеры в лесу доверяют им по умолчанию, установив какой-либо центрсертификации Microsoft. Используйте эту настройку для создания доверительногоотношения к корневому центру сертификации, который не является частьювашей организации или не является доверяемым корневым центром сертификации.• При необходимости сконфигурируйте политики доверия NTAUTH для доменана странице Properties узла Public Key Policies.• Добавьте агентов восстановления шифрованных данных и внесите изменения вспособ восстановления шифрованных данных. Этим управляет GPO EncryptedFile System.Обычно вам не требуется использование Public Key Policies для развертыванияинфраструктуры открытых ключей, но эти настройки дают больше возможностей вуправлении созданием доверительных отношений, выдачей сертификатов и развертываниемEFS (Encrypted File System).•Software Restriction Policies (Политики ограничения ПО) содержат правила, определяющиепрограммы, которые разрешается запускать, а также исключения изэтих правил. Вы можете конфигурировать Security Levels (Уровни безопасности),задавать Additional Rules (Дополнительные правила), задавать Enforcement (Применениеполитик), указывать свойства для Designated File Types Properties (Назначенныетипы файлов) и определять свойства для Trusted Publishers (Доверяемые издатели).Эти правила определяют программные приложения и указывают,разрешается ли запускать определенное приложение, сопровождая каждое правилоописательным текстом, помогающим понять, зачем создано правило. Чтобы определятьпрограммное обеспечение, политика ограничения ПО поддерживает четыреправила, представленных в таблице 22.6.Табл. 22.5. Типы настроек, которые можно задавать с помощью расширения GroupPolicy Security Settings в узле User ConfigurationТип настроек безопасностиОписаниеPublic Key Policies(Политики открытых ключей)Управляют настройками Encrypting File System(Шифрующая файловая система), AutomaticCertificate Request settings (Настройки запросовавтоматического получения сертификатов),Trusted Root Certification Authorities (Доверяемыекорневые центры сертификации) и EnterpriseTrust settings (Настройки доверительных отношенийпредприятия). Активизируют также политикуEnterprise Trust для автоматической регистрациипользователей в программах сертификации.

716 Windows Server 2003. Полное руководствоТип настроек безопасностиОписаниеSoftware Restriction Policies(Политики ограничения ПО)Табл. 22.6. Правила Software Restriction PoliciesПравилоCertificate RuleОписаниеУказание программ, запускаемых на компьютеpax,а также управление возможностями их запуска.По умолчанию Software RestrictionPolicies разрешают запускать любые программыс полномочиями User. Вы можете конфигурировать эти полномочия, запрещая, например,запускать любые программы независимо отправ пользователя.Указывает набор скриптов, которые можно запускатьгде-либо.Hash RuleРазрешает или запрещает определенную версию программы.Internet Zone Rule Разрешает установку ПО с доверяемых сайтов зоны интернет.Path RuleУказывает программу, которая всегда устанавливается(с переменными среды) в одном и том же месте.Path Rule (реестр) Указывает антивирусную программу, которую можно установитьгде-либо на клиентском компьютере.Path Rule (сервер) Указывает набор скриптов на сервере.Указывает набор скриптов на группе серверов, не раз-решая запускать файлы с определенными расширениямиимен, или не разрешая запускать определенные программы.Path Rule (с символамиподстановки)Используя расширение Security Settings в обоих узлах - Computer Configuration иUser Configuration, - вы можете использовать Group Policy, чтобы передавать и реализовыватьразнообразные конфигурации безопасности для машин Windows XPProfessional, Windows 2000 и Windows Server 2003. Эти политики безопасности применяютсяк компьютерам при каждой обработке объекта GPO, присоединенного кконтейнеру Active Directory, в котором содержится данный пользователь. Некоторыенастройки начинают действовать только после перезагрузки или входа пользователя.Чтобы определить, какие объекты GPO, содержащие настройки безопасности,были применены при последнем обновлении политик, посмотрите локальныйкэш политик в файлах \security\templates\policies\gpt*.*. Каждый файл представляетшаблон безопасности в одном GPO, и в этом файле хранится GUID (глобальноуникальный идентификатор) для данного GPO.Настройки Security Settings повышают возможности существующих средств безопасностидля остальной части Group Policy, а также вкладок Security окон Propertiesдля файлов, папок, объектов Active Directory и т.д. Отметим, что настройки SecuritySettings могут отражаться и в реестре, даже если определенная настройка больше незадана в GPO, который применил ее, или сам GPO удален или отсоединен.

Глава 22. Использование Group Policy 717Folder Redirection (Перенаправление папок). Перенаправляя файлы с локальных машинв сетевой разделяемый ресурс, вы можете поддерживать их резервное копированиекак часть своей повседневной работы, не полагаясь но то, что пользователибудут что-то делать для сохранения своих данных. В Group Policy имеется настройкаFolder Redirection для перенаправления специальных папок в сетевые разделяемыересурсы. Каждая опция Folder Redirection позволяет вызывать дополнительныеопции, которые учитывают членство в группах безопасности (Security Group).Вы можете перенаправлять следующие специальные папки:• My Documents;• My Documents\My Pictures (даже если папка My Documents не перенаправлена,или можете перенаправлять ее по умолчанию вместе с папкой My Documents);• Desktop;• Application Data (если вы также активизировали настройку Group Policy, котораяуправляет поведением Application Data с помощью кэширования на клиентскоймашине);• Start Menu (в случае ее перенаправления перенаправляются также ее подпапки).Если вы активизировали Roaming User Profiles (Профили перемещающихсяпользователей), то в профиль перемещающегося пользователя включается толькопуть к папке My Documents, но не сама папка. Это освобождает вашу сеть от необходимостикопирования файлов между клиентской машиной и сервером во времявхода и завершения сеанса пользователя. Даже если пользователь выполняет вход сразличных компьютеров сети, его документы будут всегда доступны.Если вы активизируете Offline Files (Автономные файлы), то пользователи могутосуществлять доступ к перенаправленным папкам, даже если они не подсоединенык сети. Это удобно, если у вас много лэптопов, перемещающихся пользователейили часто случаются отключения сети. Средство Offline Files работает с любымлокальным или удаленным диском, который доступен пользователю в режиме offline.Средство Offline Files не зависит от Folder Redirection, хотя они хорошо работаютсовместно. Если пользователь отключается от сети, то в области уведомлений (внизусправа в панели задач) появляется значок Offline Files, а пользователи уведомляетсяс помощью всплывающего сообщения.Если какой-либо удаленный пользователь и пользователь в сети вносят измененияв один и тот же файл, то новый подсоединившийся пользователь может выбиратьмежду сохранением автономной версии этого файла в сети, поддержкой другойверсии или сохранением обеих версий.Internet Explorer Maintenance. Group Policy поддерживает администрирование и настройкуMicrosoft Internet Explorer для клиентских компьютеров, работающих подуправлением Windows 2000, Windows XP Professional и Windows Server 2003. РасширениеInternet Explorer Maintenance содержит настройки для конфигурированияInternet Explorer. Используйте эти настройки для управления такими элементами,как зоны безопасности, прокси-настройки, поиск и временные файлы интернета.Administrative TemplatesБольшинство людей, когда слышат термин «Group Policy», ассоциируют его с административнымишаблонами, которые централизованно конфигурируют реестрклиентских компьютеров. Это расширение применяется в том месте Group Policy,где находятся связанные с реестром административные шаблоны (.adm-файлы).Примерно 700 уникальных настроек доступны за счет использования .adm-файлов.

718 Windows Server 2003. Полное руководствоWindows Components (Компоненты Windows). Используйте эти настройки, чтобы конфигурироватьследующие компоненты операционной системы Windows:NetMeetingInternet ExplorerWindows ExplorerMicrosoft Management ConsoleTask SchedulerTerminal ServicesWindows InstallerWindows MessengerWindows UpdateWindows Media PlayerStart Menu and Taskbar (Меню «Пуск» и Панель задач). Используйте эти настройки,чтобы конфигурировать, добавлять, удалять и отключать части меню Start, панелизадач и области уведомлений. Около 50 настроек доступны здесь для вашего выбора.Desktop (Рабочий стол). Используйте эти настройки, чтобы управлять рабочими столамина клиентских компьютерах, включая настройки Active Desktop, значки MyDocuments и My Computer и многие другие опции. Вы можете также использоватьпредставленные здесь настройки, чтобы определять, каким образом пользователибудут взаимодействовать с Active Directory.Control Panel (Панель управления). Используйте эти настройки, чтобы панель управленияпользователей, включая представление и поведение окна Add/RemovePrograms, заставки (screen saver) и соответствующие заставки, защищенные паролем,опции языков и доступ пользователя к Control Panel.Shared Folder (Разделяемая папка). Используйте эти настройки, чтобы разрешатьпубликацию разделяемых папок или корней DFS.Network (Сеть). Используйте эти настройки, чтобы конфигурировать компонентыоперационной системы, которые связывают клиентскую машину с сетью. Здесьможно указывать первичный суффикс DNS и запрещать пользователям его изменение.Вы можете также конфигурировать в этой секции автономные файлы (OfflineFiles). Здесь также доступны многие настройки сетевых соединений (NetworkConnections).System (Система). Используйте эти настройки, чтобы управлять поведением такихсредств, как User Profiles (Профили пользователей), Scripts (Скрипты),CTRL+ALT+DEL Options, Logon, Group Policy, Power Management (Управление электропитанием)и многими другими элементами, включая автоматические обновленияWindows Automatic Updates.Нестандартные шаблоныПо умолчанию вы имеете доступ к более чем 700 настройкам Group Policy. И все жевам может потребоваться создание дополнительных настроек политик для поддержкинового ПО, приобретенного вашей организацией, или для управления настройкамиреестра, которые не конфигурируются с помощью существующих настроекGroup Policy. Вы можете выполнять эти задачи, используя три способа.

Глава 22. Использование Group Policy 719• Добавление административных шаблонов, которые уже имеются в Windows. Доступк некоторым .adm-файлам можно получать только путем их добавления воснастке GPOE.• Создание новых расширений Group Policy. Прежде чем делать это, прочитайтедополнительную литературу по Group Policy.• Создание расширений на клиентских машинах. Это также стратегия не для новичков,но она доступна для создания сложных объектов GPO.Некоторые приложения записывают и устанавливают свои собственные дополнительныерасширения (как расширения Group Policy, так и расширения для клиентскихмашин), чтобы расширить возможности управления с помощью объектовGPO.Обычно вам не требуется создание новых расширений ввиду большого разнообразияи полноты существующих возможностей. Но если какое-либо приложениеили средство ищет настройки политик в реестре, то вам может потребоваться созданиенового .adm-файла и последующий импорт этого нового .adm-шаблона в расширениеAdministrative Templates. Это по существу текстовые файлы, которые высоздаете с помощью простого текстового редактора, такого как Notepad (Блокнот),и сохраняете с расширением имени файла .adm. Подробности создания нестандартных.adm-файлов можно найти в какой-либо книге по Group Policy, но как тольковы поймете основы, вам будет совсем нетрудно создавать и настраивать эти файлы.Сведения по загрузке других .adm-шаблонов (находятся в папке \Inf,которая не загружается в Administrative Templates) реально существуют только дляподдержки системной политики, и они затрагивают реестр. По возможности не используйтеэти .adm-файлы.Использование консоли GPMCдля управления Group PolicyКонсоль GPMC - это новое бесплатное средство управления Group Policy даже вслучае нескольких лесов. Используйте GPMC для управления всеми объектами GPO,фильтрами WMI, делегированием и связанными с Group Policy полномочиями.GPMC состоит из набора сценарных интерфейсов для управления Group Policy иоснасткой ММС, включающей такие средства Group Policy, как GPOE, RSoP и ActiveDirectory Users and Computers, а также многие другие средства. GPMC работает всистеме Windows Server 2003 или Windows XP Professional Service Pack, начиная сверсии 1. С помощью консоли GPMC можно управлять доменами Active DirectoryWindows Server 2003 и Windows 2000, но она не запускается с машины Windows 2000.Вы можете использовать в GPMC метод drag-and-drop, что еще больше упрощаетиспользование этой консоли для управления объектами GPO.На рисунке 22.4 показан интерфейс пользователя GPMC.Прочитайте help-информацию GPMC для получения пошаговой информациипо использованию GPMC для развертывания и управления Group Policy, котораядоступна только путем загрузки GPMC.Чтобы открыть GPMC, выберите Start/Programs/Administrative Tools/Group PolicyManagement (Пуск/Программы/Администрирование/Управление Group Policy).Чтобы загрузить бесплатную GPMC, перейдите на веб-сайт Microsoft: http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.

720 Windows Server 2003. Полное руководство*;- Qtoup Policy ManagementJi 0e fi«ei ViewWindowera ч^| Group Poky Management^ Forest: foo.comй£§р Domainsi Ё/ §P test.foo.com! - Й? Default Domain Policy| Щ:Щ Domain ControllersФ"% Group Policy Objects• v ESflMHTflT! I i Ж Default Domain Policy! '—$£ test Group Policy Object&Щ WMI FiltersSitesGroup Policy Modelingroup Policy ResultsDefault Domain Controllers Policy' •• ' j : ' ! •• : ' • ' ' •

Глава 22. Использование Group Policy 721те присоединить этот GPO, и затем щелкните на Link An Existing GPO Here (Присоединитьздесь существующий GPO). Перетащите GPO из узла Group Policy Objectsв соответствующую организационную единицу (OU). Этот метод «drag-and-drop»действует только в пределах одного домена.Чтобы отсоединить GPO, щелкните правой кнопкой на этом GPO. В правойпанели щелкните на вкладке Scope (Область действия). В секции Links (Связи) щелкнитеправой кнопкой на объекте Active Directory, от которого вы хотите отсоединитьданный GPO. Выберите пункт Delete Link (Удалить связь). При удалении GPOвам предлагается удалить этот GPO и все связи с этим GPO в данном домене. Это невызовет удаления связей с этим GPO из других доменов. Кроме того, прежде чемудалить GPO, обязательно удалите все связи с этим GPO из других доменов.Делегирование управления Group PolicyВы можете делегировать следующие задачи Group Policy:создание объектов GPO;Управление объектами GPO;доступ только по чтению к объектам GPO;управление связями Group Policy на уровне отдельного контейнера ActiveDirectory;выполнение моделирования Group Policy;чтение информации о результатах Group Policy;создание, управление и редактирование фильтров WMI для объектов GPO.Чтобы делегировать полномочия по присоединению объектов GPO к контейнерамActive Directory, щелкните на соответствующем узле в дереве консоли GPMC изатем щелкните на вкладке Delegation (Делегирование) в правой панели GPMC. Здесьимеется несколько элементов, поэтому щелкните правой кнопкой на элементе, полномочиякоторого хотите изменить, и выберите пункт Link GPOs (Присоединениеобъектов GPO), Perform Group Policy Modeling Analyses (Выполнение анализа моделированияGroup Policy) или Read Group Policy Results Data (Чтение информации орезультатах Group Policy). Вы можете также сконфигурировать нестандартные полномочия,щелкнув на кнопке Advanced (Дополнительно) и выбрав объект, полномочиякоторого хотите изменить.Чтобы редактировать GPO, вам нужно, чтобы по этому GPO были разрешены(Allow) следующие полномочия: Read (Чтение), Write (Запись), Create All Child Objects(Создание всех дочерних объектов) и Delete All Child Objects (Удаление всех дочернихобъектов). GPMC задает все эти полномочия, когда вы предоставляете полномочияEdit. Обязательно прочитайте более подробные сведения по делегированию с помощьюGPMC и управлению с помощью GPOE в оперативной help-информации GPMC.Моделирование Group PolicyGPMC использует возможности RSoP (Resultant Set of Policy - Результирующийнабор политики), хотя они немного отличаются в GPMC. Мастер моделированияGroup Policy Modeling Wizard имитирует действие объектов GPO и создает данныеRSoP до того, как вы присоединяете эти GPO к сети. Вы можете просматриватьэтот отчет с данными RSoP, чтобы увидеть взаимодействие GPO и устранить потенциальныепроблемы, прежде чем они возникнут. Отчет можно увидеть во вкладкеSettings правой панели GPMC после выделения нужного GPO.

722 Windows Server 2003. Полное руководствоЧтобы запустить моделирование Group Policy, вам нужен хотя бы один контроллердомена Windows Server 2003 и вам должны быть предоставлены полномочияPerform Group Policy Modeling analyses в контейнере Active Directory, где вы хотитезапустить анализ. Чтобы запустить мастер, щелкните правой кнопкой на Group PolicyModeling (или на контейнере Active Directory) и затем выберите Group Policy ModelingWizard. Если вы запускаете моделирование Group Policy из контейнера ActiveDirectory, то мастер заполняет поля Container для пользователя и компьютера; в противномслучае вам нужно заполнить поля, запрашиваемые мастером.Результаты сохраняются в виде запроса в секции Group Policy Modeling. Чтобыокончательно сохранить результаты, щелкните правой кнопкой на этом запросе изатем выберите пункт Save Report (Сохранить отчет).Вы можете увидеть, какой GPO передает каждую настройку, в секции WinningGPO (Приоритетный GPO). Чтобы увидеть, какие настройки GPO не сработали,щелкните правой кнопкой на элементе Group Policy Modeling и затем выберитеAdvanced View (Расширенное представление). Для каждой настройки имеется вкладкаPrecedence (Приоритет), позволяющая выполнять дальнейший поиск проблем.Поскольку моделирование Group Policy не дает оценку локальных GPO (LGPO),вы увидите отличия между моделированием и реальными результатами, если сконфигурировалиобъекты LGPO.Результаты Group PolicyМастер результатов Group Policy Results Wizard сообщает, какие настройки GroupPolicy применяются к пользователю или компьютеру, путем сбора информации RSoPс целевой машины. На целевой машине должна быть установлена система WindowsХР Professional или Windows Server 2003. Вы можете просматривать этот отчет RSoPдля устранения проблем существующих GPO. Отчет можно видеть во вкладкахSettings и Summary (Сводка результатов) правой панели GPMC после того, как вывыделили какой-либо GPO.Вы можете получать удаленный доступ к результатам Group Policy вместо посещениякаждой задействованной машины, но сначала вы должны получить полномочияRemotely Access Group Policy Results Data по контейнеру Active Directory, гдесодержится данный пользователь или компьютер, или должны быть локальным администратором(Local Administrator) и иметь сетевое соединение с целевой машиной.Чтобы делегировать результаты Group Policy, в Active Directory должна существоватьсхема Windows Server 2003, то есть вам не обязательно нужен контроллердомена Windows Server 2003. Чтобы установить эту схему, запустите ADPrep /forestprepна любом контроллере домена Windows 2000 или Windows Server 2003.После запуска этого мастера результаты сохраняются в виде запроса в секцииGroup Policy Results, и они показывают, каким образом Group Policy применяется кцелевому элементу. Чтобы окончательно сохранить результаты, щелкните правойкнопкой на этом запросе и затем выберите пункт Save Report. Вы можете увидеть,какой GPO передает каждую настройку, в секции Winning GPO.Резервное копирование объектов Group PolicyGPMC упрощает резервное копирование всех ваших GPO. Вы можете создать резервнуюкопию объектов GPO на любом локальном компьютере или в сетевой папке,где вы имеете доступ типа Write. Для работы с этой папкой резервной копиивсегда используйте GPMC (с помощью оснастки ММС GPMC или с помощью

Глава 22. Использование Group Policy 723скрипта). Вы можете взаимодействовать с объектами GPO в резервной копии посредствомопераций GPMC Import (Импорт) и Restore (Восстановление). Для резервногокопирования объектов GPO используйте следующую процедуру.1. В консоли GPMC щелкните правой кнопкой на GPO, который хотите включитьв резервную копию, и затем выберите пункт Back Up (Резервное копирование).2. В поле Backup Group Policy Object введите путь к папке для резервной копии. Выможете также щелкнуть на кнопке Browse и затем найти нужную папку.3. Задайте информацию для этого GPO и затем щелкните на кнопке Backup. Поокончании щелкните на кнопке ОК.Импорт настроек GPO.л .» • noirv:• • : г < , \-Очень полезное средство GPMC - это импорт настроек из существующих GPO вновый GPO. Для импорта настроек GPO щелкните правой кнопкой на GPO, в которыйхотите импортировать настройки, и затем выберите пункт Import Settings(Импортировать настройки). Пройдите через страницы мастера Import SettingsWizard, работая с имеющим резервную копию GPO, настройки которого хотитеимпортировать, и затем щелкните на кнопке Finish.Восстановление объектов Group Policy из резервнойкопииИспользуя GPMC, вы восстанавливать GPO из его резервной копии в том же домене,где была создана его резервная копия. Вы не можете восстановить GPO в домене,отличном от исходного домена этого GPO; используйте для этого другие операцииGPMC, которые описаны выше. Для восстановления GPO из его резервнойкопии щелкните правой кнопкой на этом GPO и затем выберите пункт Restore FromBackup (Восстановить из резервной копии). Пройдите через страницы мастераRestore Group Policy Object Wizard, работая с имеющим резервную копию GPO, которыйхотите восстановить, и затем щелкните на кнопке Finish.Копирование объектов Group PolicyВы можете использовать GPMC для копирования объектов GPO из того же доменаили даже из других доменов. При копировании какого-либо GPO консоль GPMCсоздает новый GPO. Это действительно простая операция: выполнить копированиеи вставку или перетащить методом drag and drop GPO, который вы хотите копировать,и это все! Правда, копирование между доменами выполняется сложнее, посколькувам, видимо, потребуется скопировать списки DACL по этому GPO, чтобыновый GPO содержал такие же настройки Security Filtering и конфигурацию делегирования,как исходный GPO. При копировании между организационными единицами(OU) в одном домене щелкните на Use The Default DACL For New GPOs(Использовать DACL по умолчанию для новых GPO) или Preserve The Existing DACL(Сохранить существующий список DACL) и затем щелкните на кнопке ОК. Крометого, поскольку настройки GPO часто относятся к конкретному домену (например,сетевые пути), то вам, видимо, потребуются таблицы миграции, которые описаныниже.

724 Windows Server 2003. Полное руководствоМиграция настроек GPOGPMC упрощает миграцию стандартного GPO между доменами. Настройки GPOчасто относятся к конкретному домену, поэтому в GPMC используются таблицымиграции. Таблицы миграции - это XML-файлы с расширением имени .migtable.Создание и использование таблиц миграции относится к расширенным операциямGroup Policy, поэтому прочитайте раздел «Migrating GPOs Across Domains by UsingGPMC» (Миграция объектов GPO между доменами с помощью GPMC) на веб-сайтеMicrosoft GPMC: http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.Создание скриптов операций GPMCGPMC содержит обширный набор СОМ-интерфейсов для создания скриптов (сценариев)всех операций GPMC (кроме редактирования объектов GPO). После установкиGPMC вы можете увидеть в папке \Program Files\GPMC\Scripts\ примерыскриптов, которые используют эти интерфейсы. Все эти скрипты запускаются изкомандной строки. При запуске скрипта с ключом /? выводится описание примененияэтого скрипта.В этих примерах скриптов выводится эхо-отображение в окне командной строки,и они должны запускаться с помощью cscript.exe. Если cscript.exe нет на вашемсервере скриптов по умолчанию, то вам нужно явно указывать cscript.exe в команднойстроке. Например, введите d: \Program Files\GPMC\Scripts>cscriptListAllGPOs.wsf. Введите cscript //:cscript в командной строке, чтобы сделатьcscript сервером скриптов по умолчанию.Многие из этих примеров скриптов основываются на библиотеке типичных helpфункций,содержащихся в файле Lib_CommonGPMCFunctions.js. Если вы копируетеэти скрипты в другое место, то должны также скопировать в это место файлданной библиотеки, чтобы можно было работать с этими примерами скриптов.

Глава 23Сетевая установкапрограммногообеспечения• •В Windows Server 2003 еще более расширен мощный набор средств, доступных вWindows 2000 для установки программного обеспечения (ПО) через сеть и управленияэтими процессами. Эти средства экономят много времени и обеспечивают стандартизациюв определении окружений Windows Server 2003, обладающих свойствамизащищенности и высокой готовности. Некоторые сайты и компании не хотятреализовать Microsoft SMS (System Management Server) и могут использовать имеющиесяв Windows Server 2003 технологии установки и публикации приложенийIntellimirror и службу RIS (Remote Installation Services) для развертывания операционныхсистем и доставки образов.Эти средства и технологии предназначены для сетевой установки ПО. Крометого, имеются некоторые новые средства, предназначенные для перемещения данныхпользователя на новый компьютер. Это новое средство User State Migration(Миграция данных состояния пользователя), впервые появившееся в семействеWindows Server 2003.Однако имеется много других новых средств и технологий Windows Server 2003,которые связаны с сетевой установкой ПО, хотя и не относятся формально к этойкатегории. Имеются замечательные новые средства, которые не обязательно устанавливаютПО, но ограничивают его установку! Они охватываются совершенноновой политикой ограничения ПО, содержащей политики, которые будут запрещатьустановку и использование ПО в вашем окружении, включая запрет использованиясайтов интернета.Средство Windows Update существенно расширено вплоть до использования возможностидоступа к сайтам обновления Windows во время установки. Это еще одинспособ развертывания ПО, но в защищенных и замкнутых средах доступ к интернетуне используется, поэтому компания Microsoft выпустила важное средство под названиемSoftware Update Services, которое позволяет использовать возможности автоматическогообновления (Automatic Update) Windows Server 2003. Это средство не включенов Windows Server 2003, но это, несомненно, серверный продукт, позволяющий использоватьвозможности Automatic Update Windows Server 2003 в защищенных сетях.Windows Web Server 2003 не может использоваться как сервер RIS, если этой операционнойсистеме назначена роль, ограничивающая ее операциями Web Server иWeb Services. Средства и технологии, описанные в этой главе, относятся к WindowsServer 2003, Windows 2003 Enterprise Server и Windows 2003 Data Center Server.В таблице 23.1 описаны новые возможности платформы Windows Server 2003 вэтой области (отсутствовавшие в Windows 2000). Все эти возможности, конечно, отсутствовалии на платформах Windows NT 4.0 Server.

726 Windows Server 2003. Полное руководствоRIS является наиболее важным средством в Windows 2003 для сетевого развертыванияоперационных систем. Поэтому в первую очередь мы даем обзор RIS, изатем это средство подробно рассматривается при описании других вариантов развертыванияи управления ПО через сеть Windows 2003:• распространение ПО с помощью Intellimirror/групповых политик при использованииActive Directory;• политика ограничения ПО;• средство User State Migration.Дается подробное описание роли каждой из этих технологий; затем описываетсяих сочетание для представления расширений методов управления Windows 2000на уровне пользователей, компьютеров и окружения Windows Server 2003.Табл. 23.1. Новые возможности, появившиеся в Windows Server 2003Служба сетевой установки ПОRemote Installation ServicesНовые возможностиПоддерживает следующих целевых клиентов:Windows XP Professional/Home;Windows Server 2003 (все версии);Расширенное управление с помощью файлов ответов,используемых для установки;Доступ к сетевым файлам в режиме восстановления(recovery mode).Распространение ПОРасширенные возможности развертывания, посиспользованием групповой зволяющие включать и отключать доступ к 32-политикибитным и 64-битным компьютерам.IntellimirrorВключение или отключение публикации по умолчаниюинформации классов OLE о пакете ПО.Теперь позволяет реализовать назначенные приложенияна момент развертывания.Публикация приложений в момент использованияили при первом входе в сеть на основеWindows 2003 Active Directory.RIS (Remote InstallationServices)Служба RIS предназначена для развертывания операционных систем и образов операционныхсистем. Возможности RIS расширены в Windows 2003, позволяя развертыватьвсе виды Windows 2003/Windows 2000 Server и Windows XP. Служба RIS вWindows 2000 не позволяла создавать образы и не поддерживала развертывание пакетовWindows 2000 Server без существенного вмешательства. Поддержка основныхсерверных сетевых операционных систем Microsoft Server является огромным улучшениемдля RIS, позволяя быстро устанавливать базовые образы или «плоские»образы для критически важных серверных звеньев операционных систем. К сожалению,если вы используете Windows NT 4.0 в качестве основной серверной сетевойоперационной системы, то у вас нет возможности использовать поддержку Microsoftс помощью набора технологий RIS.

Глава 23. Сетевая установка программного обеспечения 727RIS использует особую техническую архитектуру, состоящую из следующих звеньев.1. Сетевая инфраструктура. Минимальные требования - это использование ActiveDirectory, DNS и DHCP. DHCP дополнена для поддержки назначения адресовTCP/IP, которая требуется для клиентов РХЕ-загрузки на основе RIS, использующихпротокол TFTP.2. Технология дистанционной загрузки. Сетевые адаптеры (карты сетевого интерфейса)на клиентских машинах должны быть совместимы с РХЕ (Pre-BootExecution Environment), чтобы можно было выполнять загрузку с сервера RISдля последующей загрузки операционной системы. РХЕ - это отраслевой стандарт,и эта технология реализована в большинстве сетевых адаптеров, выпущенныхс 1999 г. В Microsoft RIS включено также приложение, с помощью которогосоздаются загрузочные диски для RIS.3. Установочные образы RIS. RIS поддерживает создание и развертывание двух типовобразов.• «Плоский» (flat) образ. Образ, создаваемый непосредственно из компактдискаоперационной системы и использующий файл ответов.• Образ RIPrep. Образ, создаваемый непосредственно из установленной системы,где используются все необходимые программные компоненты и настройки(аналогично образу Norton Ghost).В таблице 23.2 описываются операционные системы, поддерживаемые своимитипами образов.Табл. 23.2. Операционные системы с образами RISОперационная система Плоский образ Образ RIPrepWindows XP Professional X XWindows Server 2003, Standard Edition X XWindows Server 2003, Web Edition X XWindows Server 2003, Enterprise Edition X X64-битная версия Windows Server 2003,XEnterprise EditionWindows 2000 Professional X XWindows 2000 Server (только без IIS) X XWindows 2000 Advanced Server (только без IIS) X XЭто замечательное новое средство дает больше гибкости в современных «требовательных»ИТ-средах, где создание и развертывание серверов являются повседневнымизадачами в некоторых деловых окружениях. Перейдем теперь к обзору установкиRIS и развертывания некоторых операционных систем через сеть.Установка Remote Installation ServicesУстановка RIS выполняется из секции Add/Remove Windows Components (Установкаи удаление компонентов Windows) аплета панели управления Add/RemovePrograms (Установка и удаление программ), см. рис. 23.1. Установка RIS должнабыть выполнена до начала планирования образа и процесса развертывания. Приустановке RIS помните, что прежде чем начать операции с RIS, должны быть выполненыследующие требования.

728 Windows Server 2003. Полное руководствоWindows Components WizardWindows ComponentsYou can add orremovecomponents ofWindows•:» ^*^n: that :^-h• . . - , . • • . - , :p$rt :Mne csn;pone

Глава 23. Сетевая установка программного обеспечения 729Апплет RIS Services Setup гарантирует, что вы сможете подготовить RIS к работе сРХЕ-совместимыми клиентскими компьютерами для установки образов и конфигурированияоперационной системы. После щелчка на значке RIS в программной группеAdministrative Tools начинается работа с основными частями установки RIS.Первым ключевым компонентом конфигурации является папка Structure илиместо для образов (рис. 23.2). Вы должны использовать том NTFS 5.0, отличающийсяот тома с операционной системой. Иначе говоря, вы не можете использоватьдля хранения файлов образов RIS том, на котором установлена операционная система.Эта важный момент поддержки, который обеспечивает гибкость для следующихвозможностей.Remote insfaflation Services Setup WizardInstalation Source Files LocationSpecify thelocaBonof theWindowsircsiafeiKm files.£~. r-:ir -» • : „ , , , . ,: '•|E:\Conxrate.R!SJmas«sBroРис. 23.2. Местоположение файлов образов в окне мастера RIS Setup Wizard1. Хранилище образов становится перемещаемым, особенно при использованииSAN (storage area network - сетей хранения данных).2. Серверы RIS можно заменять при необходимости внутри домена путем подсоединенияк новому серверу томов NTFS, содержащих образы RIS. В случае авариипервичного сервера RIS том NTFS, содержащий образы RIS, можно перенестина другой компьютер.3. Сетевые разделяемые диски не поддерживаются, что нужно в данной ситуации,чтобы задержка в сети не оказывала влияния на скорость развертывания образов.4. Серверы RIS с несколькими сетевыми адаптерами не смогут обслуживать клиентовс РХЕ версии 2.0 или выше, и, тем самым, для гарантии обслуживаниявсех клиентов должен быть установлен только один сетевой адаптер.Эталонные образы можно устанавливать на указанный сервер RIS двумя способами.Первый способ - это использование «плоского» образа, то есть обусловленнаянесопровождаемая установка операционной системы. Второй способ — это использованиеобраза RIPrep, то есть отображение всей системы. На рисунке 23.2показано диалоговое окно для размещения образов RIS.

730 Windows Server 2003. Полное руководствоИспользование плоского образаАпплет RIS Wizard предназначен для включения плоского (flat) образа. Этот мастерсодержит очень простые диалоговые окна, где нужно указывать местоположениеисходных файлов и нужное местоположение папки в разделе данных RIS. Он такжеактивизирует сервер RIS для реагирования на запросы клиентов RIS, направляемыес сервера DHCP. Этот способ аналогичен несопровождаемой установке, и внем вызывается winnt.exe с добавляемым несопровождаемым файлом установки.Эта установка действительно автоматизирует несопровождаемый процесс, резкоснижая время подготовки к развертыванию операционных систем. Этот способ особенноэффективен при включении нового оборудования, для которого потребоваласьбы, например, новая загрузка Windows XP, чтобы обеспечить нужные наборыдрайверов и правильность конфигурации оборудования.При использовании метода RIPrep вы создаете также сначала образ эталонногокомпьютера с помощью метода Flat Image (плоский образ), чтобы при загрузке инастройке приложений это было исходное установленное приложение RIS. На рисунке23.3 показан ход установки.i,- vi, 1 •••• ••••:».- •••.••-^-:'л..--".'.я—Ю1——^Please wart wtnte Ihe loflowmg tasks complete> Copying Windows instalation filesUp*» - »-«i i"- t-p/Mr; j-r-.'TJrrSetup ens»-rH«St*l»i; the «quired renioleinsrfati m seiv :мSuS-xsnang DHC?' LCancel " JРис. 23.3. Установка плоского образа RISПо окончании процесса сборки плоского образа клиент может подсоединитьсяк серверу RIS во время РХЕ-загрузки, после чего он получит меню, где описываютсядоступные установки операционной системы. Описание, заданное в апплете FlatImage, будет представлено в соответствующем тексте.Установка с помощью метода RIPrepМетод RIPrep позволяет создавать фактические образы серверов, настольных компьютерови переносных компьютеров. Этот образ хранится сервером RIS в той жеструктуре папок, что и файлы Flat Image. К образу RIPrep тоже добавляется описание,чтобы его можно было выбрать в клиентском меню RIS. Эталонный образRIPrep может содержать несколько уже загруженных и сконфигурированных программныхи серверных приложений и гораздо больше подходит для развертывания,чем метод Flat Image.

Глава 23. Сетевая установка программного обеспечения 731Сбор данных RIPrep происходит с помощью исполняемого файла Riprep.exe,находящегося в папке %windir%\system32\reminstl. Это приложение выводит диалоговыеокна для создания образа RIPrep, который затем используется на сервереRIS. Это приложение аналогично SYSPREP/RIPrep в Windows 2000 в том, что оновыполняется на эталонном компьютере Windows. RIPrep Windows Server 2003 поддерживаетWindows XP и семейство операционных систем Windows Server 2003.Для выполнения RIPrep Windows 2003 загрузите Windows 2003 на сервере и затемзапустите RIPrep с этого сервера, используя UNC-путь к этой команде на сервереRIS, например, \\london\risshare$\riprep. Файловый разделяемый ресурс на этомсервере RIS содержит приложение riprep.exe, которое запускает диалогов, позволяющийсоздать образ уже настроенного компьютера. Затем этот образ сохраняетсяна сервере RIS для использования в развертывании предварительно подготовленныхили отображаемых операционных систем Microsoft.Процедуры для клиентов RISКлиент RIS является ключевым компонентом для загрузки операционных систем.Первый достаточно простой шаг, о котором иногда забывают, - это изменение порядказагрузки для соответствующего персонального компьютера или сервера, чтобыпервым загрузочным устройством был сетевой адаптер. После перезагрузки клиентскийкомпьютер подсоединится к серверу RIS, чтобы запросить загрузку спомощью сетевой службы. Затем появится меню RIS (после нажатия клавиши F12),где предлагаются варианты установки новой операционной системы или доступа ксредствам RIS для обслуживания. При нажатии клавиши F12 произойдет запускмастера установки операционной системы. Этот метод также подходит для использованиязагрузочного диска клиента RIS в случае компьютеров, у которых нет РХЕсовместимыхсетевых адаптеров для работы с DHCP.В учетной записи Active Directory должны быть заданы полномочия безопасности,позволяющие включать новые компьютеры в домен. Эти права должна иметьучетная запись, по которой выполнен вход в меню установки RIS. Рекомендуемыйметод - это сконфигурировать организационную единицу (OU) для новых компьютеровв установке RIS и затем делегировать права указанной служебной учетнойзаписи RIS, чтобы можно было выполнять включение новых компьютеров в соответствующуюOU.Управление RISПосле установки RIS вы можете управлять этой службой с помощью оснастки ММСActive Directory Users and Computers. Имеется несколько функций управления, позволяющихпроверять состояние работоспособности серверов RIS, добавлять образы,просматривать текущих клиентов в сеансе, включать и отключать службы RIS ипринимать решения по правилам именования новых компьютеров и выбору местоположенияучетных записей компьютеров. RIS позволяет также выбирать OU илиместо в зоне Active Directory для созданных компьютерных учетных записей из операцийсоздания образа RIS или загрузки плоского образа.Имеется замечательное новое средство RIS, позволяющее выполнять проверкуи получать быстрый отчет о состоянии службы RIS: следит ли она за поступлениемзапросов от клиентов и готова ли она обслуживать клиентов. Кроме того, при этойпроверке запрашиваются используемые службы DHCP, чтобы убедиться в поддержкеклиентов.В RIS используется технология хранения элементов в одном экземпляре, в результатечего идентичные файлы не дублируются в хранилищах в папках RIS и по-

732 Windows Server 2003. Полное руководствоэтому при обнаружении одного и того же файла в нескольких местах создается точкас указателем на реальный файл. Это позволяет сократить объем пространства надиске, необходимого для нескольких образов одной операционной системы илиисходных файлов. В Windows 2000 процесс SIS (точнее, SIS Groveler), выполнявшийпоиск раздела для нескольких экземпляров файла, применялся ко всему разделу,в котором находились файлы RIS. В Windows 2003, а также в Windows 2000, начинаяс SP3, SIS Groveler влияет только на папку, в которой находятся файлы RIS.Некоторые опции управления RIS показаны на рисунках 23.4 и 23.5.LONBOH-Ftereote-ircitaJMion-Swvices PropertiesJ v-.ai-i ] T»cb | 3bj«* | Securt) |Itt-v. з :•!• .->.!"•••• ;?>:>•

Глава 23. Сетевая установка программного обеспечения 733Использование RIS для управления вашей средойWindows 2003Технология RIS теперь проста и удобна для использования. В этом разделе даютсяпрактические основы по корпоративному использованию RIS и методов привязкив других технологиях, которые мы рассмотрим в рамках установки сетевого ПО.Поддержка стандартов и хорошо организованной вычислительной среды являетсяглавной целью для предприятия. Необходимо обеспечить такие качества, какбезопасность, управляемость и, конечно, готовность, за счет создания систем с одинаковымиустановочными конфигурациями, а также способность создания такихустановок по мере необходимости. Сервер Windows 2003 или Windows 2000 являетсяпервичным элементом большинства вычислительных сред, и, возможно, вашей среды,если вы читаете эту книгу или используете ее как справочник.Большинство средств атак на систему безопасности используют не только отсутствие«заплат» безопасности, то также несогласованность со стандартами длясерверов, особенно в DMZ-средах (в средах с демилитаризованной зоной) интернет.В следующем разделе предлагается простое решение, позволяющее справитьсяс этой проблемой. Если для серверов Microsoft SQL Server, работающих под управлениемWindows 2000 в демилитаризованной зоне веб-служб, обращенной к Интернет,требуется минимальное ПО для обслуживания безопасности, то RIS являетсясредством, которое обеспечивает согласованность нагрузки этих серверов. Многимадминистраторам приходилось организовывать службу с несколькими серверами наслучай аварийных ситуаций, и они загружали их вручную. RIS может снять эту проблему,позволяя внедрять согласованность и стандарты в процесс загрузки Windows2003/2000.Структура решений RISСледующие задачи показаны как пример планирования и создания/развертывания,где RIS является ключевой технологией; вы увидите, как развертывать образы длясерверов и настольных компьютеров.Создайте эталонный сервер RIS и рабочую станцию; они будут чем-то вроде «золотогостандарта» предприятия или компании. Любые необходимые существенныеизменения, такие как изменение операционной системы или новые стандарты безопасности,которые могут потребовать обширных изменений, можно вносить наэтой «золотой» платформе после тестирования. Технология «plug-and-play» Windows2003/Windows 2000 допускает определенную гибкость в том смысле, что эти «золотые»сервер и рабочая станция могут оказаться не одинаковыми в развертываемомоборудовании. Например, стандарт корпоративного сервера для веб-серверов - этосдвоенный процессор Pentium III 1.4 ГГц с RAM 2 Гб, двумя дисками 72 Гб с аппаратнымзеркалированием и сетевым адаптером Gigabit Ethernet; если для последнихмоделей серверов используются процессоры 1.8 Ггц, то в большинстве случаев подойдеттот же образ RISprep. В случае обширных изменений в оборудовании дляизолированных «золотых» эталонных рабочей станции и сервера потребуется модернизация,чтобы соответствовать новым серверам, которые включаются в данноеокружение.Новые серверные установки с Windows 2003/Windows 2000 будут получать образRISprep из вашей среды RIS на основе вашего «золотого стандарта» предприятия,который поддерживается на только что описанных изолированных сервере и рабочейстанции.

734 Windows Server 2003. Полное руководствоЭкземпляр RIS в вашей среде Active Directory поможет вам также в повышенииэффективности. Если вам требуются десять дополнительных веб-серверов в соответствиис определенными требованиями загрузки или изменением размеров окружения,то решение заключается в использовании службы RIS; она позволяет одновременнозагружать десять веб-серверов, а не по одному серверу за раз.RIS-окружения дают хорошую поддержку в обучении и приобретении опытаперсоналом ИТ. Руководители групп часто могут задавать стандарты и обеспечиватьих реализацию с помощью RIS, в то время как рядовые члены групп могут видетьи осваивать эти стандарты без необходимости их разработки.Другие технологии Windows 2003, обеспечивающие сетевую установку ПО, действуютв сочетании с RIS. Доставка ПО и публикация ПО через Active Directoryмогут явиться окончательным дополнением для любой RIS-установки.Установка и обслуживание ПО с помощьюIntellimirror и Active DirectoryIntellimirror и применение групповых политик Active Directory для распространенияПО - это ключевые методы управления Windows Server 2003, и они превосходноподходят как технологии модернизации или обновления при использовании RIS всреде Windows Server 2003. Необходимые настройки содержатся в групповых политикахActive Directory, и они могут влиять на объекты лесов, доменов или сайтов.Название этой технологии имеет описательный характер, поскольку это средствоActive Directory предназначено для отражения (mirror) настроек пользователя с одногокомпьютера на другой.Intellimirror позволяет формировать настройки для компьютера или пользователяв соответствии с принятой групповой политикой. Дело в том, что это превосходныймеханизм распространения ПО, который автоматически обеспечивает соответствиестандартам и требованиям к ПО. Intellimirror также берет на себяпостоянные административные затраты, связанные с управлением данными заказчикови настройками конкретных пользователей, особенно в неустойчивых условиях,например, в центре обработки заказов, где заказчики могут использовать любойиз доступных компьютеров. Имеются следующие ключевые компонентыуправления в Intellimirror:• User Data Management (Управление данными пользователей);• User Settings Management (Управление настройками пользователей);• Software Installation and Maintenance (Установка и обслуживание ПО).Для поддержки Intellimirror и распространения ПО используется поддерживающаятехнология управления, основанная на средствах управления групповыми политикамив Active Directory. Поскольку это элемент, который очень важен, чтобыпроисходило распространение ПО с помощью Intellimirror или объекта GPO (GroupPolicy Object), Microsoft включила в состав Windows Server 2003 новую оснастку ММСпод именем GPMC (Group Policy Management Console - Консоль управления групповымиполитиками). Эта консоль предусматривает новую возможность - резервноекопирование и восстановление объектов GPO, что оказывается крайне важнымдля переноса тестовых GPO из автономной установки Active Directory в эксплуатируемуюсреду. Кроме того, эта новая оснастка ММС позволяет управлять объектамиGPO между лесами в случае доверительных отношений, то есть использовать

Глава 23. Сетевая установка программного обеспечения 735новую возможность, включенную в Windows Server 2003, - транзитивные доверительныеотношения между лесами. Это позволяет пользователям выполнять входна компьютер в доверяющем лесу и получать политики из их собственного леса.Сложности, которые возникают при задании нескольких GPO и последующейоценке их влияния на производительность пользователей, потребовали включениянового средства - RSOP (Resultant Set of Policy - Результирующий набор политики).Это позволяет моделировать несколько RSOP для реального просмотра политик,которые может «наследовать» клиент в виде нескольких GPO, действующих науровне сайта, домена или организационной единицы (OU).IntellimirrorIntellimirror реализуется с помощью групповой политики, позволяя управлятьпользователями и компьютерами с конкретными настройками, доступными дляшаблонов GPO, которые поставляются вместе с Windows 2003. Intellimirror реализуетсячерез разделы Computer/Software/User групповых политик Active Directory, которыеприменяются в различных местах зон Active Directory. В эти зоны входят организационныеединицы, сайты, домены и леса. Управление объектами GPO и другиеэлементы, из которых состоит Active Directory, подробно описываются в этой книге,и мы не будем рассматривать их снова в этой главе, а займемся описанием того,как приступить к работе с Intellimirror.Intellimirror реализуется с помощью компонентов Windows Scripting или (обычно)с помощью задания шаблона политики в Active Directory или в оснастке GPMC(Group Policy Management Console). Настройки Intellimirror обычно отражают типичныеделовые условия или потребности, такие как пользователи переносных компьютеровили мобильные пользователи, пользователи, которые часто меняют компьютерыи должны иметь при себе перемещаемые настройки, и развертывание новыхпакетов ПО или ссылок (значков) для конкретных корпоративных приложений.Каждый формируемый объект GPO позволяет создавать настройки, которыеприменяются к компьютеру или пользователю. Большинство настроек, относящихсяк Intellimirror, обычно задаются в секции User оснастки Group Policy Object Editor изатем связываются с нужной организационной единицей.Редакторы GPO (рис. 23.6) позволяют формировать групповые политики с настройкамидля Intellimirror с «нуля», или можно использовать заранее определенныешаблоны.Управление данными пользователей (User Data Management)К Intellimirror относятся разнообразные настройки, используемые для управлениярабочими столами пользователей. Одной из ключевых функций является перенаправлениепользовательских данных и других конкретных настроек рабочего стола.Уникальные свойства системы Windows XP определяются в настройках пользователейвнутри папки Documents and Settings, которая обычно находится на корневомтоме системы Windows XP. Intellimirror в сочетании с Active Directory и перемещаемымипрофилями (Roaming Profiles) может перенаправлять любую часть определенийпользователя, содержащихся в пользовательском профиле Documents andSettings, на любой другой компьютер. Это особенно важно для пользователей переносныхкомпьютеров или мобильных пользователей, поскольку такой пользовательможет, например, переходить с настольного компьютера на переносной, но ему будутнужны одинаковые данные на каждом компьютере.

736 Windows Server 2003. Полное руководствоJ Ц»егС«*2У*:с«2- ?*incte hatalafel Sa\i ЙММ «|Л fc-W»:*тгии Ц-* 9*t Me*uи1 1111• Renwrs Oocww*i nwnitte^i Suet №wt Re^sv* program «i S*&ng* тлело1i Rucro-rt Sesch гяепи «ож Statt H*rwi Raincvc Rл menu ffwn й»1 f-'^x;1a Renwvs % Pcf-Jw i=w Ьия им Мач:I1ij Pw-sv* My tf-uvc xx" *пхп Slal M*r>j1 I1iilI1a teJ "Rx: ir. Separate Мвв«у S»:s|411•j Tail rff я«*:гйсл к*а desxsS1 ii Remove Sris s« scene to Vtadew* I^KS(Reir-eve кte-wif RiMr-eve »-d pwenl eccets t^ S^e Sv* Down eainmend>i Pivvent Ae"ifl*s ts Tsskbsf ar.d S;ai Usm ;«>ir^ijt Fetrov* акв5»!з the C3rt»>i я-епл tot 3^e UAbart Do rtri ke:j hiswv of ••«btrt'f op*i* i г'.-г-"» 1 ".!ij Caw hwery rf mcentfy c-oened dccufr*rss on «t

установка программного обеспечения 737ментами из того, что может разрешается делать или не делать пользователю в сеансеWindows на платформе Windows 2000 или Windows XP либо на серверной платформеWindows 2003. Эти настройки применяются к пользователю или к компьютеру и могутохватывать широкий диапазон от цвета рабочего стола операционной системы донабора аплетов панели управления, доступных для изменений пользователем.На рисунке 23.6 показаны некоторые из доступных настроек. В главе 22 даетсяподробное описание этих настроек и описываются существующие комбинации,используемые для создания нестандартных шаблонов групповых политик.Установка и обслуживание ПО (Software Installation and Maintenance)Software Installation and Maintenance - это основной компонент Intellimirror, которомууделяется внимание в этой главе. Конфигурирование и управление установкойПО происходит из окна Group Policy Editor в оснастке ММС Active Directory Usersand Computers. Установки ПО могут применяться к компьютеру или сопровождатьперемещающегося пользователя на нескольких компьютерах. В некоторых случаяхглавные корпоративные приложения, необходимые каждому пользователю даннойкомпании, могут применяться в виде объекта GPO к компьютерам, и затем нестандартноеПО может применяться к любым OU, содержащим функциональные группы,или к конкретным пользователям, если это нестандартное ПО используется небольшимчислом пользователей. Главное, как и во всех случаях развертыванияобъектов GPO, — это не перегружать пользователя применением слишком большогочисла программ или объектов GPO, что делает вход медленным и проблематичным.Новое средство RSOP (Resultant Set of Policies) Windows 2003 позволяет администратораммоделировать возможные объекты GPO до начала их использования вэксплуатируемой среде. Это средство охватывает включающие политики GPOпользователя и помогает в оценке работы объектов GPO (см. рис. 23.7). Это средствоможет стать вашим инструментом проверки по умолчанию до использованияобъектов GPO, чтобы гарантировать работу групповых политик на момент входа иполучать ожидаемый результат их применения.User aid Computer SelectionYou can vtav smiiated рз6с>' зеШпзз for з selected ijser (of 3 cc-rriainer w*b userinfCRTisticn) and canpiief (or a cont3tner with compytef fnfctmattc-n).Рис. 23.7. Управлениенастройкамипользователей вIntellimirror:. fJI» ; с i: v:«-,.;s•;,!r e• -J V., rjl~~щ:j '••-. • ' ••• C-rrtjnw1CcrputwГ S-wtethefe-alKwo'th • ».hajt «*с!лв «tac.24 - 3994

738 Windows Server 2003. Полное руководствоИмеется несколько вопросов, касающихся установки ПО. При включении ПО дляраспространения с помощью объектов GPO нужно учесть следующие рекомендации.• Источник ПО. (Это должен быть указываемый с помощью UNC-пути разделяемыйфайловый ресурс, который не изменяется. Очевидно, что в случае измененияUNC-пути, содержащегося в установке GPO, происходит нарушение распространяемогопакета.) Кроме того, для некоторых приложений в зависимостиот структуры их MSI-пакетов требуется сначала установка в административномили сетевом разделяемом ресурсе. Примером является Office ХР или Office 11.м Точка, в которой устанавливается ПО. Это ключевой момент, если важна производительность.Использование GPO после установки с помощью RIS - это превосходныйспособ доставки ПО, поскольку в системе, возможно, еще нет никакихпользователей.• Варианты распространения приложений. Устанавливаемые приложения доступныв двух вариантах: назначенные (assigned) или опубликованные (published). Отличиесостоит в том, что опубликованные приложения доступны для установкипользователями, и эта настройка GPO может применяться только к пользователям,а назначенные приложения устанавливаются независимо от надобности.Распространение ПО выполняется с помощью секции Software Installation (УстановкаПО) внутри секции User или Computer окна Group Policy Editor. ПакетыПО должны быть представлены в виде MSI-пакета (пакета для Microsoft Installer) вмастере Software Installation Wizard. Пакет MSI или приложение (если требуется)должен уже существовать в установленном виде в сетевой разделяемой точке, и долженбыть доступен в диалоговом окне с помощью UNC-пути. При доступе к MSIпакетудолжен появляться список опций, позволяющий принимать решения по настройкамGPO для этого пакета ПО, а также выбирать компьютеры илипользователей, которые получат этот пакет, согласно организационной единице(OU), в которой назначается этот GPO.После привязки к нужному MSI-пакету выбираются варианты установки: публикация(published), назначение (assigned) или обращение к дополнительной секции длявыбора других опций, таких как безопасность (вкладка Security), модернизация относительноуже установленного пакета (Upgrades), необходимые модификации с помощьюнекоторых файлов-трансформов из MSI-пакетов (Modifications) и опции развертывания(Deployment). На рисунке 23.8 показаны некоторые опции, доступные изсекции Advanced Options (Дополнительные опции) окна свойств пакета ПО.Установки ПО, измененные с варианта published на вариант assigned, могут устанавливатьсяпри входе.В журнал событий Application клиентов, получающих установки ПО, записываютсясведения об успешном или неудачном завершении установки распространяемыхпакетов ПО. Распространение ПО - это не самая простая из операцийIntellimirror, но она окупается, особенно в случае приложений, которые не требуюттакого сложного уровня установки, как, например, Microsoft Office XP.Набор технологий, образующих Intellimirror, предоставляет разнообразные возможностинесопровождаемого управления для окружений, использующих службыи групповые политики Active Directory. В случае сетевой установки ПО компонентIntellimirror Software Installation and Maintenance позволяет распространять ПО несопровождаемымспособом, предоставлять ПО пользователям выборочным образоми обеспечивать соответствие лицензионным требования путем примененияобъектов в организационных единицах, чтобы использовать счетчики установленныхлицензий по компьютерам или пользователям.

Глава 23. Сетевая установка программного обеспечения 739Р»р1о;пт,«ч| Upgrades | Cdtguietj МоЛсЛюто I SecurityРис. 23.8. Диалоговое окноRSOPt Мотмвог,• п I QПОЛИТИКИ ограничения ПОСовершенно новый способ управления ПО в сетевой среде с помощью Windows 2003 -это использование возможности ограничения ПО. Ограничения ПО используютсяне для установки ПО, а для наложения ограничений (запрещений) на код или ПО,которое вы не поддерживаете в своем окружении. Хотите ли вы, чтобы ваши клиентыиграли в Solitaire? Это средство поддерживает безопасность и может запрещатьиспользование определенного ПО. Его нет в Windows 2000, и оно лежит в основеобязательства Microsoft по защите вычислительных сред.Политика ограничения ПО основывается на предыдущих методах защиты потипу зоны, которые действуют в Internet Explorer. Следующие типы зон поддерживаютсяи реализуются с помощью объекта GPO (Group Policy Object):• хеш-правила;• правила для сертификатов;• правила для пути;• правила зоны интернет.Многим компаниям приходится сталкиваться с ситуацией, когда для ряда работтребуется доступ к Интернет, чтобы персонал мог загружать программы и приложения,причем порт 80 обычно является допустимым портом для поддержки трафикаHTTP в World Wide Web. Политика ограничения ПО может предусматривать брандмауэр,прокси-серверы и другие меры защиты в случае недоверяемого Интернеттрафика,как это показано на рисунке 23.9. Правило зоны Интернет разрешает отключатьдоступ ко всем сайтам в Интернет, которые не содержатся в спискеконкретных доверяемых зон или веб-сайтов. Это эквивалентно отключению всехсайтов Интернет. Это новое мощное средство безопасности, реализуемое черезобъекты GPO, но не обеспечивающее защиту от недоверяемого программного обеспечения.24-

740 Windows Server 2003. Полное руководствоJTlUsted cites PiupeHiesРис. 23.9. Диалоговое окноSoftware Installation для вариантаAdvanced OptionsНастройки ограничения ПО содержатся в стандартном редакторе Group PolicyEditor и включены в настройки безопасности для пользователей или компьютеров.Элемент ограничения ПО, используемый для определения политик для путей, являетсясовершенно новым аспектом безопасности в том смысле, что можно реальноограничивать доступ к путям. В случае исполнителей рутинных работ, выполняемыхв среде Windows 2003 Terminal Server, становятся очень важными политики дляпутей. На рисунке 23.10 показан пример создания политики путей, помещаемыхдля блокирования исполнителей рутинных работ в среде терминальных серверов.Ограничения ПО были первоначально выпущены вместе с Windows XP для локальногоприменения, а с выпуском Windows Server 2003 они теперь применимы к сайтам,доменам и организационным единицам Active Directory. Это мощное новое средствоадминистратора, используемое для защиты вычислительной среды Windows 2003.Рис. 23.10. Зона интернет вполитике ограничения ПОUie **•-: 'о owiide »«ЫлАseojwy ЪМ1 C:\WIND0WSI Disallowed(Ж

Глава 24КластеризацияНачиная с Wolfpack Project компании Microsoft, кластеризация прошла большой путь,став важной частью любой реализации предприятия под управлением Windows. Вэтой главе рассматриваются современные кластерные решения Microsoft и описываетсяих использование для масштабирования и расширения вашей сети WindowsServer 2003.Кластер проще всего определить как группу отдельных серверов, совместно работающихкак одна система. Программы и клиенты «видят» кластер как один объект,и кластер управляется как единое целое. Кластеризация используется, чтобы обеспечитьвысокий уровень готовности для критически важных приложений, управляемостиреализаций, работающих круглые сутки, и масштабируемости для крупныхпредприятий. В Microsoft Windows Server 2003 имеются две кластерные технологии.• Служба Network Load Balancing (NLB). В основном, предназначена для балансированиявходящего трафика TCP/IP. NLB обычно используется для веб-серверов.• Кластеры серверов. Реализуются для обеспечения переходов по отказу (failover)среди кластеризованных компьютеров. Служба Cluster обычно используется дляприложений, работающих с базами данных.Вы не можете применить обе технологии к одному серверу, но можете использоватьэти два кластерных решения совместно для реализации дополняющих другдруга функций, например, сделать базу данных доступной для посетителей веб-сайта.Примечание. Microsoft также предлагает третью кластерную технологию - кластерыComponent Load Balancing (CLB). Эта технология входит в состав MicrosoftApplication Center 2000 и не включается ни в одну из версий Windows Server 2003.CLB-кластеры позволяют распространять приложения СОМ+ среди несколькихсерверов, что гарантирует масштабируемость и высокую готовность приложений.Кластеры Network Load BalancingNetwork Load Balancing (NLB) - это программная разработка, используемая в кластеризацииMicrosoft Windows для масштабирования работы IP-программ путем распределенияклиентских запросов среди нескольких серверов в кластере. NLB используетсячаще всего для повышения производительности и уровня готовностивеб-приложений, но может также использоваться для повышения производительностимножества IP-приложений внутри вашего предприятия.Примечание. Служба Network Load Balancing в ее текущей форме появилась как переработаннаязамена службы Windows Load Balancing Service (WLBS), используе-

742 Windows Server 2003. Полное руководствомой в Windows NT 4. Однако вы увидите, что до сих пор имеются компоненты исходнойWLBS, например, запускаемая из командной строки программа управления,wlbs.exe, все еще используется для обратной совместимости.NLB входит в следующие версии Windows Server 2003:• Standard Edition;• Enterprise Edition;• Datacenter Edition;• Web Edition.Преимущества Network Load BalancingС помощью Network Load Balancing можно создавать кластеры, содержащие до 32хостов, среди которых могут распределяться запросы клиентов. Служба NLB расширенав Windows Server 2003, позволяя вам создавать несколько виртуальных NLBкластеровна одном сервере путем задания NLB для нескольких сетевых адаптерови путем задания нескольких IP-адресов кластера со сбалансированной нагрузкойдля одного сетевого адаптера. Два главных достоинства NLB для приложений - этоготовность и масштабируемость.ГотовностьОдно из главных преимуществ службы NLB - это высокая готовность, которая обеспечиваетсяэтой службой для приложений предприятия. Кластерное ПО может автоматическиизменять распределение клиентских запросов в случае отказа сервера.Для этого кластер и отдельные серверы следят за состоянием друг друга. Между серверами,а также между каждым сервером и кластером происходит обмен групповымиили широковещательными сообщениями.Если состояние сервера (или нескольких серверов) внутри кластера изменяется,то активные серверы запускают процесс, который называется «слиянием»(convergence), чтобы определить, какие серверы остались активными и как перераспределитьнагрузку между ними. По умолчанию NLB определяет потерю члена кластерав течение пяти секунд и выполняет процесс слияния в течение следующихпяти секунд. Пока происходит слияние, каждый узел кластера продолжает обрабатыватьпакеты приложений согласно правилам, существовавшим до начала процессаслияния.Если слияние инициируется в результате потери одного из серверов, то запросыприложения, которые должны были обрабатываться отказавшим сервером, возвращаютсяневыполненными, пока не будет выполнено переназначение запросов (поокончании слияния). Это состояние ошибки должно учитываться в переходном состояниипользователем или приложением, но не самой службой NLB.Если к кластеру добавляется еще один хост-сервер, тот же самый процесс слиянияпозволяет новому хосту получать его долю трафика. В результате расширениекластера происходит совершенно прозрачным образом как для клиентов, так и дляприложений.МасштабируемостьNLB обеспечивает два уровня масштабируемости.• Масштабируемость действий. Повышение числа пользователей и увеличениетрафика происходит беспрепятственно за счет постоянного распределения зап-

Глава 24. Кластеризация 743росов, позволяющего предоставлять равный доступ всех клиентам к приложениюили службе.• Масштабируемость системы. В кластер можно включать дополнительные компоненты(серверы или процессоры).УправляемостьАдминистрирование Network Load Balancing происходит эффективно, посколькукластер управляется как единое целое из одной точки управления (которая можетбыть удаленной). Администраторы управляют кластером, используя команды оболочкии скрипты для запуска, прекращения работы и управления кластером. Крометого, возможность перевода отдельных серверов в автономный режим без сниженияпроизводительности кластера упрощает обслуживание и модернизацию операционныхсистем.Архитектура NLBNetwork Load Balancing запускается как драйвер сетевого обмена Windows, и операцииэтого драйвера прозрачны для стека TCP/IP. Все компьютеры в кластере можноуказывать с помощью IP-адреса данного кластера. Однако каждый компьютер поддерживаеттакже свой собственный уникальный выделенный IP-адрес. КомпанияMicrosoft реализовала NLB как драйвер сетевого обмена, который действует междудрайвером сетевого адаптера (сетевой карты) и стеком IP. Все члены NLB-кластерадолжны находиться в одной подсети IP, чтобы запросы клиентов, направляемые поIP-адресу кластера, могли обрабатываться всеми членами кластера.Алгоритм, определенный во время процесса слияния кластера, позволяет каждомуузлу кластера решать, нужно или не нужно обрабатывать очередной клиентскийзапрос. Обрабатывающий узел отправляет пакет в стек протоколов IP, а все остальныеузлы отбрасывают этот пакет. Для каждого хоста можно задать его процентнагрузки или распределять нагрузку равномерно среди всех хостов.NLB перехватывает только пакеты TCP и UDP. Пакеты других протоколов IPпередаются в стек протоколов и обрабатываются всеми узлами NLB-кластера.Оборудование и протоколыСлужба NLB разработана таким образом, чтобы обеспечивать кластерную поддержкудля серверных программ на основе TCP/IP. Для этого, конечно, требуется, чтобыTCP/IP был протоколом по умолчанию для системы. Версия NLB в WindowsServer 2003 действует в локальных сетях на основе FDDI или Ethernet внутри кластера.Вы можете повысить производительность NLB, установив два сетевых адаптерана каждом хосте. NLB использует один сетевой адаптер для трафика клиент-кластери еще один - для всего остального сетевого трафика (включая обмен информациейв кластере). Дополнительные IP-адреса, назначаемые этим сетевым адаптерам,определяются автоматически.Поступающие клиентские запросы отображаются в хосты кластера посредствомраспределяющего алгоритма. При поступлении пакета все хосты выполняют отображениеодновременно. Это позволяет быстро определить, какой хост должен обрабатыватьданный пакет. Этот алгоритм одновременной фильтрации является болееэффективным для обработки пакетов, чем программы, использующиецентрализованные алгоритмы балансирования нагрузки. Централизованная фильтрацияпредусматривает модификацию и повторную передачу пакетов, что может

744 Windows Server 2003. Полное руководствоувеличивать время задержки. С другой стороны, одновременная фильтрация обеспечиваетвысокую общую пропускную способность.NLB управляет распределением по соединениям для TCP и по дейтаграммамдля UDP, применяя фильтрацию входного трафика, прежде чем происходит обращениек программам протокола TCP/IP. В TCP/IP обрабатываются только протоколыTCP и UDP, и все управление применяется на уровне портов.Примечание. Некоторые программы двухточечных соединений TCP/IP, в особенностиping, будут давать дублированные ответы при указании IP-адреса кластера.Чтобы избежать этого, используйте выделенный IP-адрес хоста, которому вы передаетеping.NLB можно сконфигурировать для обработки трафика кластера более детальнопутем использования таких средств, как правила для портов или родственность(affinity). Более подробную информацию см. ниже в разделе «Установка и конфигурированиеNetwork Load Balancing».Виртуальные кластерыСлужба Network Load Balancing в Windows Server 2003 расширена за счет поддержкивиртуальных кластеров со сбалансированной нагрузкой. Для создания виртуальногокластера нужно активизировать NLB для нескольких сетевых адаптеров на одномсервере или назначить несколько IP-адресов одному сетевому адаптеру, длякоторого активизирована NLB. Поскольку различные IP-адреса могут соответствоватьразличным веб-сайтам или приложениям, разумное использование виртуальныхкластеров и соответствующих правил для портов позволяет вам управлять тем,как различные веб-приложения распределяются между физическими серверами сосбалансированной нагрузкой.Виртуальные серверы обладают следующими свойствами.• Каждый IP-адрес определяет отдельный виртуальный кластер, и физическийсервер может содержать только один экземпляр виртуального кластера. (Физическийсервер не может иметь один IP-адрес, назначенный более чем одномусетевому адаптеру.)• Каждый виртуальный сервер может быть представлен своей комбинацией физическихсерверов.• Правило для портов может действовать для всех виртуальных кластеров, определенныхдля одного сетевого адаптера, или может быть назначено для одноговиртуального кластера.Конфигурирование приложенийИмеется несколько способов конфигурирования приложений в NLB-кластере. Кластерможно сконфигурировать таким образом, чтобы копия серверной программывыполнялась на каждом хосте; или приложение может выполняться на одном хосте,когда все запросы отправляются на этот хост вместо равномерного распределениянагрузки по всему кластеру. Принимаемое решение зависит от типа приложения.Например, приложения, которым требуется централизация, такие как MicrosoftExchange Server, принадлежат какому-либо одному хосту. Кроме того, запросы записив базу данных могут отправляться на выделенный сервер базы данных в системе.Если нагрузка по базе данных сбалансирована в кластере, то каждый узел кластераможет иметь свою собственную копию этих данных. Обновления в содержимом

Глава 24. Кластеризация 745таблиц базы данных должны синхронизироваться путем регулярного слияния в режимеoffline. Однако в большинстве случаев критически важные базы данных развертываютсяв среде кластера серверов, позволяющего выполнять переходы по отказам(failover), а не в среде NLB (см. ниже раздел «Кластеры серверов»).NLB в чистом виде наиболее подходит для нецентрализованного хранения данныхили для приложений, которые не принимают данных от клиентов, выполняющихдоступ к серверу (то есть для доступных только по чтению приложений на основепротокола TCP или UDP). Веб-сайты являются идеальными «кандидатами»для использования с NLB, поскольку это позволяет легко снабжать каждый хосттекущей копией страниц (которые обычно являются статическими), обеспечиваяпростоту и скорость обработки больших объемов трафика. Для веб-клиентов, которымтребуется доступ к базе данных, веб-серверы могут направлять запросы на сервербазы данных. Имеются также следующие кандидаты, для которых подходит NLB:HTTP, HTTPS, FTP, TFTP и SMTP поверх TCP/IPHTTP через SSL - порт 443FTP — порт 21, порт 20, порты 1024.65 и порт 535SMTP - порт 25Terminal Services - порт 3389Веб-серверы (такие как Microsoft Internet Information Services) - порт 80Веб-серверы, использующие круговую DNSСерверы виртуальных частных сетей (VPN)Серверы потокового медиа.Приложение можно развертывать в NLB-кластере, если несколько экземпляровэтого приложения можно выполнять одновременно без ошибок или какого-либоущерба.Серверы приложений и соединения с изменяемым состояниемИмеется два вида соединений между клиентами и хостами для серверов приложений,и они обычно описываются термином stateful-соединение (соединение с изменяемымсостоянием).• Interclient-состояние (состояние с учетом всех клиентов). Обновления синхронизируютсяс транзакциями, выполняемыми для других клиентов. Примеромявляется обновление базы данных запасов на сайте e-commerce после продажитоваров через соединение с клиентом.• Intraclient-состояние (состояние на уровне одного клиента). Состояние, поддерживаемоедля конкретного клиента в течение одного сеанса, включающего, например,продажу продуктов (обычно с помощью процесса обработки «торговойтележки») на сайте e-commerce. На самом деле для большинства сайтов е-commerce процесс обработки «торговой тележки» может охватывать несколькоотдельных соединений с одним клиентом.Служба NLB действует лучше всего, если она используется, чтобы обеспечиватьмасштабируемость для интерфейсных служб, не изменяющих своего состояния (например,для стандартного веб-приложения HTTP), даже если эти службы выполняютдоступ к разделяемому прикладному серверу баз данных.NLB никогда не следует использовать с interclient-соединениями. Приложения,которые используют этот тип stateful-соединения, не разрешают несколько экземпляровсоединений, с помощью которых выполняется доступ к разделяемой базе данныхи происходит одновременная синхронизация обновлений.

746 Windows Server 2003. Полное руководствоNLB можно использовать для масштабируемости приложений с intraclient-coстояниями,даже в рамках сеанса, охватывающего несколько соединений. При включенииодной из опций родственности (affinity) для клиентов NLB направляет всеTCP-соединения на один и тот же хост кластера, что позволяет поддерживать состояниесеанса в памяти этого хоста. (Для клиент/серверных приложений, которыевстраивают состояние в cookie-файлы или отправляют его в прикладную базу данных,не требуется родственность для клиентов.)Установка и конфигурирование Network Load BalancingNLB - это служба, которая привязывается к сетевому адаптеру и устанавливаетсяавтоматически (но не активизируется), когда вы устанавливаете сетевой адаптер влюбой версии Windows Server, включающей в себя NLB. Параметры конфигурациизадаются в диалоговом окне свойств Network Load Balancing Properties, и соответствующиезначения записываются в реестр.В Windows Server 2003 появилось улучшенное средство конфигурирования и управленияNLB - nlbmgr.exe. Поскольку диалоговое окно NLB Properties используетсяв Windows Server 2003 и в более ранних версиях, сначала дается его описание.Nlbmgr.exe рассматривается ниже в разделе «Использование Nlbmgr.exe для конфигурированиякластеров и узлов».Установка службы NLB с помощью диалогового окна NLB PropertiesЩелкните правой кнопкой на значке Local Area Connection (Соединение локальнойсети), где вы хотите запустить NLB, и выберите пункт Properties (Свойства).Если на данном компьютере установлено несколько сетевых адаптеров, то каждыйсетевой адаптер имеет свой собственный значок Local Area Connection.В диалоговом окне Properties служба Network Load Balancing представлена каккомпонент. Чтобы активизировать эту службу, установите соответствующий флажок(см. рис. 24.1).XomElh«L»*>

Глава 24. Кластеризация 747Если служба Network Load Balancing не представлена в диалоговом окне Properties(это обычно означает, что она была специально деинсталлирована), щелкните накнопке Install (Установить) и выберите тип сетевого компонента Service (Служба).Затем щелкните на кнопке Add и установите службу Network Load Balancing. Microsoftне рекомендует деинсталлировать Network Load Balancing, даже если вы решили неактивизировать ее, поскольку ее удаление может иметь негативные последствия.Оставив выделенной строку Network Load Balancing, выберите пункт Properties,чтобы открыть диалоговое окно Network Load Balancing Properties, содержащее тривкладки: Cluster Parameters (Параметры кластера), Host Parameters (Параметры хостов)и Port Rules (Правила для портов).Задание параметров кластера для службы Network Load BalancingВкладка Cluster Parameters (рис. 24.2) содержит опции, применяемые ко всему кластеру.Чтобы сконфигурировать параметры кластера для каждого хоста в кластереиспользуйте указания этого раздела.Network Load Balancing PropertiesOtf«Parameters |Host Pasmer»! |Port Rule: |Ouster IP cenfiguulw)Subnetmask:Eulnteinanen»:ll •10 .233.220:255 .255 .255. 0i|nlbcluslet.admin911 .соCki;i« operation modeL|roca:trMu»iЩ|р remole cohRemote eaiiiwrdpjntlirrt password:CanedРис. 24.2. Параметры NLB-кластера одинаковы для всех узлов кластераОсновной IP-адрес (IP address). Введите основной IP-адрес кластера, используя стандартнуюформу записи с точками для Интернет. Это виртуальный IP-адрес, посколькуон используется для кластера в целом. Вы должны использовать этот адрес длявсех хостов в кластере.Маска подсети (Subnet mask). Введите маску подсети, связанную с только что введеннымIP-адресом (например, 255.255.255.0).Полное интернет-имя кластера (Full Internet name). Введите полное интернет-имя этогокластера, например, nlbcluster.admin911 .com. Это имя применяется к кластеру в целоми должно быть одинаковым для всех хостов в кластере. Это имя должно разрешаться(преобразовываться) в заданный основной IP-адрес кластера с помощьюсервера DNS или файла HOSTS.

748 Windows Server 2003. Полное руководствоСетевой адрес кластера (Network address). NLB автоматически генерирует сетевойадрес (МАС-адрес) для сетевого адаптера, через который будет происходить трафикклиент-кластер, исходя из основного IP-адреса кластера. Если включена поддержкагрупповой (multicast) передачи, то NLB использует локально администрируемыйадрес, который тоже является групповым МАС-адресом.Режим работы кластера (Cluster Operation Mode). Задайте режим Multicast (Групповой)или Unicast (Однонаправленный). В обоих режимах NLB будет использоватьIP-адрес кластера, чтобы генерировать локально администрируемый МАС-адрес. Врежиме unicast служба NLB генерирует МАС-адрес, который она использует вместоаппаратного МАС-адреса сетевого адаптера. Этот адрес используется для пакетов,отправляемых с IP-адреса кластера, а также для пакетов, отправляемых с других IPадресов,заданных для сетевого адаптера, к которому привязана NLB. Сетевой стекникогда не отправит пакет по сетевому кабелю, если пакет направлен по МАС-адресуего собственного компьютера, поэтому узлы одного NLB-кластера не могутвзаимодействовать друг с другом, используя сетевой адаптер с NLB, если они находятсяв однонаправленном (unicast) режиме. В режиме unicast требуется, чтобы каждыйузел кластера имел второй сетевой адаптер, если узлам требуется доступ друг кдругу по причинам, отличным от использования службы NLB.Если выбран групповой (multicast) режим, то служба NLB продолжает использоватьаппаратный МАС-адрес сетевого адаптера с помощью выделенного (уникального)IP-адреса узла, поэтому узлы кластера могут выполнять доступ друг к другу,используя сетевой адаптер с NLB. Однако NLB генерирует для кластерных операцийгрупповой МАС-адрес. Это означает, что основной IP-адрес кластера будет разрешаться(преобразовываться) в этот групповой МАС-адрес в составе протоколаARP.Учтите это, прежде чем активизировать режим multicast. Многие брандмауэры имаршрутизаторы, включая маршрутизаторы Cisco, не могут добавлять эту запись всвой кэш ARP, что не позволяет клиентам подсоединяться к кластеру, если вы нереализовали обходной способ (см. ниже). По это причине unicast является режимомработы NLB по умолчанию, хотя режим multicast является предпочтительным режимомработы.Если клиенты выполняют доступ к работающему в режиме multicast кластеручерез маршрутизатор, то этот маршрутизатор должен принимать ARP-ответ, содержащийодин МАС-адрес в полезной информации структуры ARP, но этот ответ будетпредставлен как поступивший со станции, имеющей другой МАС-адрес (в заголовкеEthernet). Кроме того, маршрутизатор обязан принимать ARP-ответ,содержащий групповой МАС-адрес в полезной информации структуры ARP. Еслимаршрутизатор не отвечает этим требованиям, то у вас должна быть возможностьдобавления статической ARP-записи к потоку через маршрутизатор или брандмауэриз кластера, чтобы поддерживать разрешение однонаправленных IP-адресов вгрупповые МАС-адреса.Примечание. Если данный сетевой адаптер не позволяет вносить изменения в МАСадрес,то вы должны заменить его на сетевой адаптер, который позволяет это делать.Это требование к оборудованию в режиме unicast.В режиме Unicast лучше использовать два сетевых адаптера, выделив один изних для трафика клиент-кластер и еще один для конкретного трафика этого узла. Впротивном случае будет наблюдаться низкая производительность кластера.

Глава 24. Кластеризация 749Внимание. В одном NLB-кластере нельзя одновременно использовать режимыmulticast и unicast.Новый режим IGMP Multicast. IGMP Multicast - это новое средство для режимаmulticast, появившееся в Windows Server 2003. Это новое средство используется, чтобыизбегать лавинной маршрутизации через переключатель (switch flooding), вызываемойгрупповым трафиком. Это явление возникает, когда переключателю не известно,какой порт переключателя обслуживает определенный MAC-адрес, и поэтомутребуется отправка пакета во все порты переключателя. Это, конечно, означает, чтовы теряете все преимущества переключения через хаб (концентратор).Протокол IGMP (Internet Group Management Protocol) позволяет хостам IP сообщатьоб их членстве в multicast-группах соседним маршрутизаторам и переключателям.Переключателю уровня 3 известны сетевые протоколы и адреса более высокихуровней (такие как IP) в дополнение к протоколам аппаратного уровня 2 исоответствующим МАС-адресам. Если узлы NLB-кластера подсоединяются к сетичерез переключатель уровня 3, то IGMP снижает трафик через этот переключательза счет, что информирует переключатель, какие порты подсоединены к хостам, входящимв multicast-группу. Чтобы можно было эффективно использовать средствоIGMP Multicast, узлы кластера должны быть подсоединены к сети через переключатель,который поддерживает IGMP Monitoring. Периодически (по умолчанию разв минуту) каждый узел NLB-кластера отправляет сообщение IGMP Join, информируявосходящий поток через сетевое оборудование, что он является членом IGMPгруппыданного кластера.Если вы активизировали поддержку IGMP Multicast, то соответствующий групповойIP-адрес должен быть допустимым IP-адресом класса D, то есть адресом вдиапазоне от 224.0.0.0 до 239.255.255.255.Пароль для удаленного доступа (Remote Password). Вы можете задать пароль для доступав кластер с удаленного компьютера Windows Server 2003. Этот пароль используетсядля аутентификации программой управления кластером nlb.exe (она не используетсяпри управлении операциями кластера с хоста кластера). Для выполненияопераций удаленного управления из программы nlb.exe требуется указывать параметр/passw в командной строке вместе с конкретным паролем.Совет. Чтобы отказаться от использования пароля, очистите оба поля — RemotePassword и Confirm Password (Подтверждение пароля).Если у вас используется удаленное управление, то важно защитить кластер, посколькузлоумышленники могут проникнуть в окружение через порты удаленногоуправления. Используйте брандмауэр для управления доступом к UDP-портам управленияNetwork Load Balancing (порты, которые получают команды удаленногоуправления). По умолчанию это порты 1717 и 2504 по IP-адресу кластера. А ещелучше используйте nlbmgr.exe или какое-либо средство управления на основе WMIвместо nlb.exe в режиме удаленного управления.Внимание. Команды удаленного управления Nlb.exe работают неверно, если IPSecшифрует пакеты.

750 Windows Server 2003. Полное руководствоВкладка Host Parameters (Параметры хостов)Вкладка Host Parameters диалогового окна свойств Network Load Balancing Propertiesсодержит опции, которые применяются к рассматриваемому хосту. В этом разделеприводятся указания по конфигурированию этого хост-компьютера (и всех остальных)в кластере. На рисунке 24.3 показаны имеющиеся опции конфигурированиявкладки Host Parameters.Network Load Balancing Propertiesaamefas Hosl РааотЯеи j p alRJ,, |Pnonty lunioue hod iden>u,«]. |: ^Dedfc«Sed IP configurationJi.*ntt ma*IJJj*w* star.-j Started: 0K :>Рис. 24.3. Каждый узел NLB-кластера должен иметь уникальный приоритет(Priority), но не обязательно должен иметь выделенный IP-адрес (Dedicated IPAddress)Priority (Unique Host Identifier) [Приоритет (Уникальный идентификатор хоста)]. Это приоритетданного хоста для обработки сетевого трафика по умолчанию для портов TCPи UDP, которые не заданы конкретно во вкладке Port Rules (см. следующий раздел).Приоритет — это уникальное значение, которое используется для слияния в кластере.Это значение может изменяться в диапазоне от 1 до 32, где 32 - максимальноеколичество хостов, допустимое для NLB-кластера. Наиболее высокому приоритетусоответствует значение 1, и чем больше значение, тем ниже приоритет. Каждыйхост в кластере должен иметь уникальный приоритет (идентификатор).При отказе какого-либо хоста в кластере процесс слияния должен получать информацию,какие из оставшихся хостов могут обрабатывать трафик отключившегосяхоста. Выбирается хост с наиболее высоким приоритетом, и если происходитотказ этого хоста, то выбирается хост с наиболее высоким приоритетом среди оставшихсяхостов. Такая система обеспечивает определенную отказоустойчивость дляNLB-кластера.Ведите записи о приоритетах, назначаемых каждому хосту. Если в кластере добавляетсяновый хост и для этого хоста задан дублированный приоритет, то новыйхост не сможет присоединяться к этому кластеру (в журнале событий появится сообщениеоб этой проблеме).

Глава 24. Кластеризация 751Dedicated IP Address (Выделенный IP-адрес). Выделенный IP-адрес - это уникальныйIP-адрес хоста, который используется для сетевого кластера, не связанного ссамим кластером. Введите этот адрес в стандартной форме записи с точками дляИнтернет. Этот IP-адрес используется для индивидуальной адресации каждого хоста,поэтому он должен быть уникальным. В большинстве случаев проще всего использоватьисходный IP-адрес, поскольку он является уникальным для данного хоста.Вводите выделенный IP-адрес и маску подсети в виде статического IP-адреса.При работе с NLB в режиме unicast со вторым сетевым адаптером для некластерноготрафика обычно оставляют это поле пустым, что означает использованиесетевого адаптера со сбалансированной нагрузкой для кластерного трафика. Не забудьтеобновить свойства в окне TCP/IP Properties этого сетевого адаптера, чтобывключить только те адреса, которые вы задали в окне NLB Properties этого сетевогоадаптера.Внимание. Выделенный IP-адрес не может быть адресом, полученным от сервераDHCP.Initial Host State (Начальное состояние хоста). Параметр Default State (Состояние поумолчанию) определяет, следует ли запускать NLB, когда происходит загрузка операционнойсистемы на данном хосте (вариант Started). Иначе хосты могут присоединятьсяк кластеру и выходить из него с помощью команд управления NLB,запускаемых из командной строки. Это полезно использовать, если имеются другиеслужбы, которые требуется загружать на данном хосте (обычно вручную), преждечем присоединять хост к кластеру.Retain Suspended State after Computer Starts (Оставаться в состоянии задержки послезагрузки компьютера). В состоянии задержки хост или кластер не выполняет никакойобработки приложений и отвечает только на команды Resume (Возобновить) иQuery (Запрос). По умолчанию перезагрузка сервера, где находится задержанныйчлен кластера, вызывает его присоединение к кластеру и возобновление обработки.Если установить этот флажок, то задержанные кластеры остаются в состоянии задержкипри перезагрузке сервера.Правила для портов (Port Rules)Правила для портов помогают определить, каким образом трафик кластера будетобрабатываться для каждого порта, что упрощает конфигурирование и управлениекластерами. Метод, посредством которого порт обрабатывает сетевой трафик, называютего режимом фильтрации. Во вкладке Port Rules (рис. 24.4) представленытекущие правила для портов.Если щелкнуть на кнопке Add (Добавить) или Edit (Правка), то появится диалоговоеокно, показанное на рисунке 24.5, где вы можете создавать или изменять правиладля портов.Чтобы создать правило для портов, нужно задать набор параметров конфигурирования,которые определяют режим фильтрации. Каждое правило содержит следующиепараметры.• Диапазон портов (секция Port range) TCP или UDP, к которым применяется данноеправило.• Протокол (секция Protocols), для которого применяется данное правило (TCP,UDP или оба протокола).

• • • . • , .752 Windows Server 2003. Полное руководствоNetwmk Load Balancing PropertiesCluster Puu.eli | Hovl Рдап-гз Hut Rules |Oust* IP a&tas Start I End Ptot Mods j Front» I Load65535 Both Multinis..| №.. RemoveTCP •ifvj U&P ua№c .JIKIKJ M any clujei IF- iddie:: lhal anvet en pens 0 ttroigb&5535bld>3inlly*:io::allri,*rT,b»f oflhedusW Cl IP i•[ ,•

Глава 24. Кластеризация 753Количество и тип правил, которые создаются на одном хосте, должны повторятьсяна всех остальных хостах данного кластера. Если какой-либо хост пытаетсяприсоединиться к кластеру, используя неодинаковые правила для портов, то этотхост не будет принят как член кластера.После установки служба NLB задает по умолчанию правило для портов, указываяNLB на необходимость обработки портов 0-65535 как для TCP, так и для UDP,равномерно распределяя нагрузку между всеми узлами NLB-кластера и указываявариант Single (Один) для родственности (affinity), чтобы все пакеты, поступившиес одного и того же IP-адреса, обрабатывались одним узлом NLB-кластера.NLB выполняет фильтрацию пакетов для всех портов TCP и UDP. Узел NLBкластераи с минимальным номером идентификатора хоста (host ID) становитсяузлом по умолчанию и обрабатывает все пакеты, к которым не применяется никакогоправила для портов.В следующих разделах даются указания по использованию вкладки Port Rulesдля создания правила для портов.Port Range (Диапазон портов). В этой секции задается диапазон портов, который будетохватываться данным правилом для портов. Можно указывать любые номера вдиапазоне от 0 до 65535 (и это также диапазон по умолчанию). Чтобы задать одинпорт, введите одинаковые значения для начального и конечного номеров.Protocols (Протоколы). Выберите конкретный протокол TCP/IP, который будет охватыватьсяданным правилом для портов (вариант TCP, UDP или Both [Оба]). Этоправило будет влиять на сетевой трафик только указанного здесь протокола. Весьостальной трафик будет обрабатываться с использованием режима фильтрации поумолчанию.Filtering Mode (Режим фильтрации). Чтобы задать, что сетевой трафик для этого правилабудет обрабатываться несколькими хостами данного кластера, выберите вариантMultiple Hosts (Несколько хостов). Распределяя нагрузку между несколькимихостами, вы получаете свойства отказоустойчивости и масштабирования производительности.Режим фильтрации позволяет также выбрать равномерную нагрузкумежду хостами или задать определенный процент нагрузки для конкретного хоста.Выберите вариант Single Host (Один хост), чтобы задать, что сетевой трафик дляданного правила должен обрабатываться каким-либо одним хостом в кластере согласнозаданному для него приоритету обработки (поле Handling priority). Этот приоритетиспользуется вместо приоритета (идентификатора хоста) для трафика черезданный порт.Выберите вариант Disabled (Отключен), чтобы задать, что сетевой трафик дляэтого правила должен быть блокирован. Это удобный способ создания брандмауэра,препятствующего сетевому доступу к заданному диапазону портов.Примечание. Изменение состояния правила для портов на Disabled для активногохоста или для кластера в целом немедленно блокирует весь трафик для диапазонапортов этого правила. Использование nlb.exe для отключения правила (с помощьюкоманды drain) блокирует новые соединения, но позволяет продолжать существующиесеансы.Affinity (Родственность). Вариант «родственности» с клиентами определяет, какимобразом NLB будет назначать входящий трафик узлам кластера. Основное назначениеэтого параметра - поддержка приложений, для которых требуется, чтобы все

754 Windows Server 2003. Полное руководствозапросы с одного и того же клиентского компьютера обрабатывались одним серверомNLB (то есть приложений, которые поддерживают определенный вид информациио состоянии клиента на этом сервере). Для алгоритма распределения используютсячасти исходного IP-адреса в пакете, чтобы определить, какой сервер вкластере будет обрабатывать этот пакет.Если у вас небольшое число пользователей приложений или пользователи вашегоприложения работают позади брандмауэра, который реализует трансляциюсетевых адресов (NAT - Network Address Translation), то выбор варианта родственностиSingle (Один) или Class С (Класса С) может вызвать неравномерное распределениезапросов по узлам кластера.Выберите вариант None (Нет), чтобы задать, что служба NLB не обязательнодолжна направлять несколько запросов с одного клиентского компьютера на одинхост кластера. В результате алгоритм хеширования NLB будет использовать все 4байта IP-адреса отправителя в сочетании с исходным портом TCP или UDP привыборе узла NLB для обработки пакета. TCP/UDP изменяет исходный порт почти скаждым запросом, поэтому выбор варианта None дает всем узлам кластера возможностьобработки пакетов от любого заданного клиентского компьютера.Выберите варианта Single (вариант по умолчанию), чтобы задать, что несколькозапросов с одного исходного IP-адреса должны направляться на один хост кластера.При выборе варианта родственности Single алгоритм хеширования NLB игнорируетисходный порт TCP или UDP. Родственность оказывает негативное влияниена производительность, но в определенных обстоятельствах это перевешиваетсяэффективностью для клиента, направляющего несколько запросов. Например, есликаждый запрос от клиента связывается с cookie-файлом, то более эффективно подсоединятьэтого клиента к одному хосту (на самом деле это необходимо). Для защищенныхприложений HTTP (HTTPS через TCP Port 443) требуется вариант родственностиSingle.Вариант родственности Class С используется для группы, а не для одного клиентскогоIP-адреса. При выборе этого варианта несколько запросов из одного диапазонаадресов класса С TCP/IP направляются на один хост. При этой конфигурацииклиенты, использующие несколько прокси-серверов, интерпретируются аналогичноотдельным клиентским IP-адресам в варианте родственности Single. Если клиент,выполняющий доступ к кластеру через несколько прокси-серверов, направляетнесколько запросов, эти запрос поступают как будто с различных компьютеров.Если все эти прокси-серверы находятся в одном диапазоне адресов класса С (обычноэто разумное предположение), то выбор варианта Class С означает, что сеансыэтого клиента будут обрабатываться аналогично варианту родственности Single.Load Weight (Процент нагрузки). В режиме фильтрации Multiple Hosts вы можете использоватьпараметр Load Weight, чтобы задать процент трафика, который долженобрабатываться хостом по соответствующему правилу для портов. Чтобы наданный хост не поступал сетевой трафик, задайте значение 0. Чтобы задать какойлибопроцент, используйте значение от 1 до 100.При конфигурировании каждого хоста сумма отдельных значений параметраLoad Wfeight не обязательно должна составлять 100 процентов. Реальная часть трафикарассчитывается динамически как частное от деления процента, заданного дляхоста, на суммарный процент для всего кластера. Требование суммы в 100 процентовне имеет смысла, поскольку хосты время от времени включаются в кластер иливыбывают из него.

Глава 24. Кластеризация 755Вариант Equal (Равномерное распределение нагрузки). Используйте вариант Equal,чтобы задать, что хост участвует в равномерно сбалансированном трафике в режимефильтрации с несколькими хостами (Multiple hosts) по соответствующему правилудля портов.Handling Priority (Приоритет обработки). Поле Handling priority используется в режимефильтрации Single, и оно указывает уровень приоритета хоста для трафика по данномуправилу. Хост с наиболее высоким приоритетом обработки для определенногоправила будет обрабатывать весь трафик для этого правила. Введите значение от 1 доX, где X — это количество хостов. Каждый хост должен иметь уникальное значениеэтого параметра. Значение 1 соответствует наиболее высокому приоритету.Конфигурирование TCP/IP для службы Network Load BalancingВо время установки NLB должны быть также сконфигурированы свойства TCP/IPдля сетевого адаптера, который используется для NLB. Определение IP-адреса кластераили выделенного IP-адреса на страницах NLB Properties не дает автоматическогоопределения адреса для стека протоколов TCP/IP. Следующие элементы должныбыть заданы одинаково в конфигурации NLB и в конфигурации TCP/IP.• Выделенный IP-адрес (Dedicated IP address); он должен быть статическим, а неназначенным с помощью DHCP. He вводите ничего, если вы задали только нулидля выделенного IP-адреса на странице NLB Host Parameters.• IP-адрес кластера.Использование Nlbmgr.exe для конфигурированиякластеров и узловКонфигурирование NLB на странице свойств Network Load Balancing Properties длякаждого узла кластера может занять много времени. Согласование правил для портовпо всем узлам кластера может представлять определенную проблему. Оба этихвопроса можно разрешить с помощью Network Load Balancing Manager (nlbmgr.exe).NLB Manager позволяет вам создавать новые кластеры на основе Windows Server2003 и добавлять узлы к существующим кластерам. Эта программа позволяет такжесоздавать правила для портов и одновременно развертывать правила по всем узламкластера.NLB Manager можно запускать в системе Windows XP Professional или WindowsServer 2003 для создания NLB-кластеров и управления ими в системах Windows Server2003. NLB Manager находится в пакете Administrative Tools (\i386\adminpak.msi) наустановочном CD Windows Server 2003.Хотя узлы на основе Windows 2000 могут взаимодействовать с узлами на основеWindows Server 2003, NLB Manager работает с NLB-кластерами только на основеWindows Server 2003.Хотя при использовании NLB Manager или конфигурировании каждого серверас помощью диалогового окна Network Load Balancing Properties используются сходныеконцепции установки и конфигурирования NLB-кластера, реализуемая процедураотличается в одном ключевом аспекте. При конфигурировании серверов поотдельности с помощью диалогового окна NLB Properties вы должны повторять вводпараметров по каждому серверу. Используя NLB Manager, вы определяете сначаласвойства кластера и затем конфигурируете отдельные серверы, добавляя их к кластеру.В процессе добавления сервера к кластеру NLB Manager конфигурирует сер-

756 Windows Server 2003. Полное руководствовер, используя заранее определенные настройки. Это позволяет исключить возможностьзадания серверов, которые не будут согласовываться с кластером из-за отличийв одном или нескольких параметрах.Примечание. Если ваш NLB-кластер используется в режиме unicast и один или несколькосерверов-членов кластера имеют только один сетевой адаптер, то вы должнызапускать NLB Manager с компьютера, который не являются членом этого кластера.В режиме unicast серверы-члены NLB-кластера, сконфигурированные с однимсетевым адаптером, не могут взаимодействовать друг с другом обычным образом,поскольку для всех этих серверов используется один МАС-адрес.Решив использовать NLB Manager для конфигурирования и управления NLBкластером,вы должны использовать NLB Manager постоянно. Не поддавайтесь искушениювнести небольшие изменения с помощью диалогового окна NLB Properties,поскольку это может дать в результате конфигурацию одного или нескольких серверов,которая препятствует их слиянию с кластером.Создание кластера с помощью NLB ManagerИспользуя NLB Manager для создания кластера, вы должны сначала определитьпараметры кластера и правила для портов, а затем добавлять узлы в кластер. Длясоздания кластера выполните следующие шаги.1. Запустите NLB Manager путем запуска nlbmgr.exe из командной строки или изменю Start/Run (Пуск/Выполнить).2. Откройте меню Cluster (Кластер) и выберите пункт New (Создать), см. рис. 24.6.Й Network Load Balancing ManageiРис. 24.6. Используйте NLB Manager для создания, модифицирования и управленияконфигурациями NLB-кластеров3. Заполните панели Cluster Parameters и Port Rules, как если бы вы последовательноработали в диалоговых окнах Properties. Отметим, что вы не можете вводитьна этой стадии информацию по конкретным хостам.4. Щелкните на кнопке ОК, чтобы завершить определение параметров уровня кластера.

Глава 24. Кластеризация 757Добавление узлов к кластеру с помощью NLB ManagerПосле задания элементов кластера, общих для всех узлов, NLB Manager проводит васчерез остальные процессы, начиная с назначения первого сервера, который вы хотитевключить в кластер. Для выполнения этого процесса выполните следующие шаги.1. Выберите имя этого сервера и щелкните на кнопке Connect (Подсоединиться).NLB Manager запросит ваши опознавательные данные. Введите пользовательскоеимя в полностью уточненном формате (домен\имя_пользоеателя или имя_-сервера\имя_пользователя, а не только имя_пользователя).2. NLB Manager представит сетевые адаптеры, которые он обнаружит на этом сервере,и попросит вас выбрать один из них (см. рис. 24.7).C«r«i to ore hojt 4v с to be p *i Ы ihe new cW« and .-«tel the «*«!«•* or, whichHost.|*»ЫJnlela.:*-. «vaiyfe It* configuring э new ckr.teiInfttl ace nameLocal Area ConnectionLocal Area Connection 210.10.233.213lС-«ЯРис. 24.7. Выберите сетевой интерфейс для этого члена NLB-кластера3. На странице Host Parameters (аналогичной диалоговому окну конфигурированиясвойств хоста NLB) введите запрашиваемую информацию и щелкните накнопке Next.NLB Manager обновит как свойства NLB, так и свойства TCP/IP этого сервера ипереведет кластер в состояние online. По завершении процесса NLB Manager выведетрезультаты и состояние кластера в отдельном окне управления кластерами (см.рис. 24.8).Для добавления других хостов к кластеру щелкните правой кнопкой на имениэтого кластера и выберите пункт Add Host To Cluster (Добавить хост к кластеру).Альтернативный способ - это выделить имя кластера и затем выбрать в линейкеменю пункт Cluster/Add Host To Cluster. После этого NLB Manager будет сопровождатьвас, используя описанные выше шаги.

758 Windows Server 2003. Полное руководствоi-gjlNetw«kLoadBalanceCluter»: Щ WEB1(Local Area Connection) I'-' !*!-• •"'• _1Converged iaiO.233.213 stated persist suspend0001 09Л0/02 14:51:900002 ОЗЛО/02 14:5}24 HMO.ZBZ.. WEBI«юз оалоте »5а25 10.10.23a2... WEBI0004 09Л0/02 14:54:00 10.10.233.2.. WEE10005 09Л0Л12 1454 CO 10.102332.. WEBINLB Manage, tmionttattedBegin configuatkm changeWaiting In pending operation 3Update 3 succeeded [double dick lot details. 1End configuration changeРис. 24.8. NLB Manager выводит текущее состояние всех отслеживаемых кластеров,а также ведет журнал записей об успешном или неудачном завершении задачуправления NLB-кластеромИзменение параметров кластера и хостов с помощью NLB ManagerNLB Manager позволяет вам изменять конфигурацию кластера в целом или отдельныххостов кластера.Для изменения параметров кластера откройте диалоговое окно свойств ClusterProperties (щелкните правой кнопкой на имени этого кластера и выберите пунктProperties или выделите имя кластера и затем выберите Cluster/Properties). Чтобыизменить свойства кластера, внесите соответствующие изменения и щелкните накнопке ОК. NLB Manager прекратит выполнение кластерных операций, внесет измененияв отдельные узлы кластера и затем перезапустит узлы в их начальном состояниипо умолчанию.Чтобы внести изменения в параметры хоста кластера, откройте диалоговое окноHost Properties из контекстного меню этого хоста или из меню Host, выделив передэтим данный хост. Окно Host Properties содержит четыре вкладки (см. рис. 24.9).NLB Manager позволяет вам изменять параметры во вкладке Host Parameters а такжеизменять приоритет обработки (handling priority) для любых правил, относящихсяк одному хосту. Вся остальная информация выводится только для сведения и неможет быть изменена в диалоговом окне Host Properties.Администрирование Network Load BalancingПосле завершения всех процедур установки управление NLB-кластерами на повседневнойоснове не представляет особых сложностей. Вы можете проверять состояниекластера и его хостов, чтобы избежать серьезных проблем, или выполнять задачиобслуживания, чтобы разрешать проблемы.У вас имеется два средства администрирования ваших NLB-кластеров: NLBManager и nlb.exe, которые рассматриваются в следующих разделах.Администрирование NLB с помощью NLB ManagerИспользуя NLB Manager, вы можете полностью управлять операциями кластера иотдельных хостов кластера. Щелкнув правой кнопкой мыши на имени кластера илина отдельном хосте кластера, вы можете выбрать вариант Control Host(s) [Управлениехостом(ами)] или Control Ports (Управление портами).Как показано на рисунке 24.10, в меню Control Hosts можно выбрать для хостаили для всех хостов кластера команду Start, Stop, Drainstop, Suspend или Resume.

Host PropertiesOutlet Pvamifi | Oust* IP Addiwe: Hoil Paramelwi | p. ;,nRides |Priority [uniquehos* denser):Pedic*fri IP conlignitHr,Глава 24. Кластеризация 759-:. ... ' .: .Л5 J55: (Startedgetdnsuspended tlats altercomputerQKРис. 24.9. Вы можете задавать настройки конфигурации в диалоговом окне HostProperties•а»аг-Cluii* &•!»''"JWEBI (Local Area Connectionl Converged|wEB2(L°cal Area Connection) Converged10.10.233.21310.10.233 214I D»

760 Windows Server 2003. Полное руководствоили глобальную сеть. Nlb.exe - это программа, которая позволяет администраторамписать и выполнять скрипты командной строки для упрощения администрирования.l rite»Cluster IP *H«a | Si,4t IEnd 1 IW. [Mode I Pi.».ly| load I Afinity 110.10.233.220 110 110 Both Single10.10.233.220 235 237 Both Multiple -10.10.233.220 443 443 Both Multiple -NoneSingleОрмвбоп StateРис. 24.11. Окно Control Ports позволяет вам управлять правилами для хоста иликластераВнимание. Nlb.exe нельзя использовать для изменения параметров хоста с удаленногокомпьютера, хотя вы можете просматривать информацию об удаленном компьютере.Nlb.exe имеет следующий синтаксис.nib [[:] [/passw []] [/port \\где:команда - одна из поддерживаемых команд (см. ниже); при доступе к кластеру судаленного компьютера используются следующие параметры.• кластер - основной IP-адрес кластера.• хост - IP-адрес хоста в этом кластере (если не указан, то все хосты).• /passw - пароль для удаленного доступа.• /port - порт UDP для удаленного доступа к кластеру.Имеются следующие команды.• ip2mac . Преобразует IP-адрес кластера в МАС-адрес кластера.• reload. Перезагружает параметры из реестра; действует только на локальной машине.• query. Запрос, позволяющий увидеть, какие хосты входят на данный момент вкластер.• display. Выводит параметры конфигурации, текущее состояние и недавние сообщенияжурнала событий.• suspend. Задерживает управление операциями кластера; прекращает выполнениеопераций хостов кластера. Задержанные хосты кластера будут игнорироватьвсе команды управления кластером, кроме Resume (и Query).

Глава 24. Кластеризация 761resume. Возобновляет управление операциями кластера; не перезапускает работузадержанного кластера, а только разрешает ему принимать другие командыуправления.start. Запускает операции кластера.stop. Прекращает выполнение операций кластера.drainstop. Разъединяет все существующие соединения и прекращает выполнениеопераций кластера.enable /all. Активизирует трафик для правила или для всех портов.disable /ай. Отключает трафик для правила или для всех портов.drain /я\1. Отключает новый трафик для правила или для всехпортов.igmp

762 Windows Server 2003. Полное руководствоКластеры серверов позволяют централизованно управлять системами. Посколькукластеры серверов работают как единое целое, то ПО управления может работатьтак, как будто оно управляет одной системой. Это упрощает процесс доступа к кластерамсерверов и управление ими, что позволяет вам работать более рациональнои эффективно.Переход по отказу (failover) и возврат после восстановления(tailback)Кластеры серверов поддерживают высокий уровень готовности за счет обеспеченияпостоянного доступа к приложениям и узлам. Если узел или приложение должныперейти в состояние offline (в результате запланированного или не запланированногопростоя), то другой узел этого кластера серверов должен немедленно взятьна себя все задачи. Этот процесс называют переходом по отказу (failover).Переход по отказу. Переход по отказу - это одна из многих возможностей кластерасерверов, которые отличают его от NLB-кластера. Переход по отказу возникает приотказе какого-либо приложения или узла. Например, когда какой-либо аппаратныйресурс в узле приводит к аварии системы, другой узел в кластере серверов немедленноберет на себя управление (и становится узлом восстановления).Узел восстановления сначала берет на себя владение ресурсами отказавшего узла.Зависимые ресурсы переводятся в режим offline раньше, чем ресурсы, от которыхони зависят. Служба Cluster делает это путем использования Resource Monitor (Монитораресурсов) для соединения с DLL, которая управляет этим ресурсом (см. нижераздел «Монитор ресурсов»). Если не удается установить контакт с ресурсом илиотключить его нормальным образом, то он немедленно отключается. После отключенияресурсов узел восстановления начинает брать на себя управление этими ресурсами,получает IP-адрес отказавшего узла и, наконец, автоматически запускается,предоставляя клиентам услуги отказавшего узла путем возврата ресурсов и службв режим online.При отказе приложения выполняется аналогичный процесс, который все женесколько отличается от случая отказа узла. После обнаружения отказа приложенияузел может сначала попытаться перезапустить это приложение. Если это не удается,то узел инициирует переход по отказу, чтобы это приложение было запущенодругим узлом кластера серверов.Следует помнить две вещи, относящиеся к переходу по отказу.• Переход по отказу по-настоящему полезен только в том случае, когда узел, восстанавливающийприложение, может адекватно обслуживать дополнительнуюрабочую нагрузку. Поскольку незапланированные отказы трудно или невозможнопредсказать, то вам следует оборудовать все узлы таким образом, чтобы онимогли легко брать на себя рабочую нагрузку в случае отказов.• Процесс перехода по отказу является полностью настраиваемым. Вы можетеиспользовать Cluster Administrator (Администратор кластера), чтобы определятьполитики и процедуры для перехода по отказу. Например, вы можете определятьзависимости приложения (должен ли отказ приложения вызывать перезапускприложения в том же узле) и политики возврата после восстановления(fallback).Возврат после восстановления. После перехода по отказу узел (или узлы) восстановленияберет на себя службы из отключившегося узла или приложения. Вы должнывсегда рассматривать переход по отказу как временное решение, поскольку это обыч-

•Глава 24. Кластеризация 763но вызывает перегрузку ресурсов. В результате вам следует постараться как можнобыстрее вернуть приложение или узел в состояние online.Механизм восстановления исходной конфигурации называется возвратом послевосстановления (fallback). По сути это процесс перехода по отказу в обратномнаправлении. Он автоматически выравнивает нагрузку, когда снова становится доступнымданное приложение или узел.Режимы работы кластера серверовИмеется два основных режима работы для кластеров Windows Server 2003 в вашейсетевой среде. Эти режимы не следует путать со сценариями кластеризации, которыемогут быть реализованы в вашей среде. Это внутренние механизмы, обеспечивающиегибкость кластеров серверов в вашей среде. Два следующих режима работыподдерживаются кластерами Windows Server 2003.• Кластеризация типа active/active. Это наиболее продуктивный и эффективныйрежим работы, который вы можете использовать. В этом режиме все узлы действуютпод нагрузкой (они обслуживают клиентов), и они могут обеспечиватьвосстановление для любого отказавшего приложения или узла. Преимуществаэтого режима заключаются в более эффективном использовании ресурсов оборудования.Иначе говоря, ресурсы не простаивают, ожидая, когда приложениеили узел выйдет из строя.• Кластеризация типа active/passive. Используется для обеспечения максимальногоуровня готовности, стабильности и производительности. В этом режиме одинузел активно предоставляет услуги, в то время как другой простаивает, ожидаявыхода из строя активного приложения или узла. Хотя этот режим обеспечиваетнаиболее высокий уровень безопасности для вашего кластера Windows Server 2003,его недостатком является то, что простаивают полезные ресурсы.Компоненты оборудования кластера серверовКомпоненты оборудования, необходимые для кластера серверов, являются еще однимфактором, отличающим кластеры серверов от NLB-кластеров. Иными словами,к кластерам серверов предъявляются более высокие тря по ресурсам (переходпо отказу, возврат после восстановления и кластеризация типа active/active). В следующихразделах подробно описываются основные компоненты оборудования, необходимыедля создания и поддержки кластера серверов.Узлы. Как уже говорилось выше, кластер серверов состоит из двух и более отдельныхкомпьютерных систем (узлов), которые действуют как единое целое. Клиентскиекомпьютеры «видят» и используют кластеры серверов как один ресурс. Чтобысервер мог стать узлом в кластере серверов, он должен отвечать следующим необходимымусловиям.• На сервере должна работать система Windows Server 2003 Enterprise Edition илиDatacenter Edition.• Сервер должен быть членом домена, но не рабочей группы.• На сервере должна быть установлена и запущена служба Cluster.• Сервер должен быть подсоединен к одному или нескольким разделяемым ЗУ.Более подробные сведения см. ниже в разделе «Разделяемые ЗУ».

764 Windows Server 2003. Полное руководствоСовет. Поместите все серверы, которые будут узлами кластера серверов, в их собственнуюорганизационную единицу (OU) Active Directory, чтобы изолировать ихот групповых политик, которые могут действовать для других серверов.При выполнении этих условий сервер может активно участвовать совместно сдругими серверами в кластере серверов. Узлы, по определению, обладают следующимисвойствами.• Поскольку каждый узел кластера серверов подсоединен к одному или несколькимразделяемым ЗУ, каждый из них совместно использует данные, хранящиесяна этих устройствах.• Каждый узел обнаруживает присутствие других узлов в кластере серверов посредствоммежсоединения. Межсоединение - это обычно высокоскоростноесоединение, которое подключено к каждому узлу. Узлы не обязательно должныиметь отдельное межсоединение, отличное от их сетевого адаптера, которыйсвязывает их с остальной частью сетевого окружения Windows Server 2003. Однакоочень рекомендуется иметь отдельное межсоединение.Примечание. Узлы кластера серверов могут также обнаруживать присоединение ккластеру серверов других узлов или их выход из кластера серверов. Эта способностьобнаружения используется для выявления отказов компьютеров и приложений.Узел может иметь различные состояния его участия в кластере серверов. В таблице24.1 приводит список из пяти возможных состояний узла. Узел может находитьсяодновременно только в одном из этих состояний.Табл. 24.1. Рабочие состояния узлаСостояниеDown (Отключен)Joining (Присоединение)Paused (Приостановлен)Up (Включен)Unknown (Неизвестно)ОписаниеУзел не работает в кластере серверов из-за отказа компьютераили приложения либо запланированного обслуживания.Узел становится членом кластера серверов.Разделяемые ресурсы захвачены, поэтому узел находитсяв состоянии ожидания, пока не будут освобожденыресурсы.Узел находится в активном состоянии и работает в кластересерверов.Рабочее состояние узла невозможно определить.Разделяемые ЗУ. Все узлы, участвующие в работе кластера серверов, совместно используютодно или несколько запоминающих устройств (ЗУ), как это показано насхеме рисунка 24.12. Эти ЗУ используют разделяемую шину SCSI для подключенияк двум узлам кластера серверов.Если вы хотите поддерживать более двух узлов (до восьми узлов), то должныустановить устройство с волоконно-оптическим каналом. Windows Server 2003Enterprise Edition и Datacenter Edition поддерживают широкий диапазон устройствSCSI от различных изготовителей, но я настоятельно рекомендую обратиться к спискусовместимости оборудования (Hardware Compatibility List - HCL), прежде чем

Глава 24. Кластеризация 765приступить к созданию кластера серверов. Microsoft официально поддерживает толькосертифицированные для кластеров комбинации серверов и ЗУ. См.www.microsoft.com/hcl со списком поддерживаемых систем.Совет. Вы сэкономите кучу времени, если проверите работу устройств SCSI, преждечем приступить к созданию кластера серверов.•Кластер серверов.NET Server 2003Enterprise Edition.NET Server 2003Enterprise Edition\Сеть Windows .NETServer 2003Рис. 24.12. Кластеры серверов с двумя узлами могут использовать разделяемуюшину SCSI для совместного использования ЗУНа самих ЗУ хранятся любые данные, которые требуются узлам для совместногоиспользования, а также хранится вся информация о конфигурации и ресурсах кластерасерверов. Только один узел может иметь временное владение данными, которыенаходятся на разделяемом(ых) ЗУ, что устраняет возможность конфликтов ресурсов.Примечание. Для повышения отказоустойчивости вам следует использовать матрицыдисков RAID (Redundant Array of Independent Disks) 5. RAID 5 выполняет записьданных с чередованием между тремя и более дисками, организованными в виде массива,и поддерживает информацию по четности для повышения производительностии снижения риска потери данных из-за отказов дисковой подсистемы.

766 Windows Server 2003. Полное руководствоМежсоединения. Межсоединение - это физический носитель, используемый дляобмена информацией в кластере серверов. Межсоединением может быть сетевойадаптер, используемый для связи с остальной частью сети (он принимает входящиеклиентские запросы) или другой сетевой адаптер, который выделен для обслуживанияобмена информацией в кластере серверов. Для повышения производительностии поддержки избыточности используйте выделенный сетевой адаптер для обменаинформацией кластера и второй сетевой адаптер для связи с остальной частьюсети.Наличие двух сетевых адаптеров в каждом узле не является обязательным, но,несомненно, рекомендуемым требованием. Причина этого очевидна. Во-первых,на сетевой трафик, генерируемый между двумя узлами, не оказывает влияния остальнойтрафик сети. Но важнее всего то, что вы снижаете количество единственныхточек отказа в кластере серверов. Ведь это и есть основная причина того, чтовы хотите использовать кластеры серверов.Clusnet.sys, сетевой драйвер кластера, запускается в каждом узле и управляетобменом данных кластера серверов.Программные компонентыНесколько программных компонентов образуют кластеры серверов; они разделяютсяна две категории.• ПО кластеризации. Компоненты ПО, которые требуются для работы кластерасерверов. Это ПО инициирует взаимодействие между узлами, определяет рабочеесостояние приложения или узла, передает операции с ресурсами и выполняетмного других функций. Два основных компонента ПО кластеризации - этоResource Monitor (Монитор ресурсов) и служба Cluster.• Административное ПО. Предоставляет вам контроль и управление кластеромсерверов, чтобы вы могли конфигурировать этот кластер и следить за ним. Имеетсядва основных компонента в категории административного ПО: ClusterAdministrator (Администратор кластеров) и утилита командной строки cluster.exe.Cluster Administrator не обязательно запускать непосредственно в каком-либоузле кластера; его можно запускать удаленным образом с любого компьютераWindows Server 2003 или Windows 2000, а также с компьютера Windows NT 4 сService Pack, начиная с версии 3.Служба Cluster. Служба Cluster запускается в каждом узле кластера серверов. Этоцентр кластера серверов, управляющий всеми операциями кластера серверов. СлужбаCluster управляет следующими действиями.• Управляет всеми объектами кластера серверов, включая узлы (например, узлом,в котором она установлена), разделяемые ЗУ и информацию о конфигурации(например, IP-адрес узла или имя компьютера).• Осуществляет взаимодействие и координацию с другими службами Cluster в кластересерверов, включая включение или удаление узла в кластере серверов.• Обнаруживает отказы приложений и узлов и инициирует операции перехода поотказу (failover). Это может быть попытка перезапуска приложения, а также распределениенагрузки на другой узел кластера серверов.• Управляет уведомлениями о событиях.Монитор ресурсов (Resource Monitor). Любой физический или логический компонентв кластере серверов (большинство из них уже описано выше) рассматривается какресурс службой Cluster. Чтобы повысить управляемость компонентов кластера сер-

Глава 24. Кластеризация 767веров, используется Монитор ресурсов, помогающий осуществлять взаимодействиемежду службой Cluster и ресурсами кластера.Мониторы ресурсов - это различные программные компоненты, которые используютсякак «посредники» между службой Cluster и ресурсами кластера серверов.Монитор ресурсов позволяет работать этим ресурсам отдельно друг от друга, атакже от службы Cluster. Это разделение ресурсов повышает уровень надежности,готовности и масштабируемости для кластера серверов. Например, отказ ресурсане влияет на работоспособность службы Cluster. Кроме того, Монитор ресурсов используетсядля слежения за службой Cluster, чтобы при ее отказе Монитор ресурсовмог реагировать, переводя в режим offline все ресурсы этого узла.Монитор ресурсов не вызывает никаких операций кластера серверов, за двумяисключениями: сбор отчетов о состоянии от службы Cluster или от ресурсов и переводв режим offline всех ресурсов узла в случае отказа службы Cluster. Когда Мониторресурсов связывается с ресурсом, он фактически связывается с ресурсной DLLэтого ресурса. Ресурсную DLL можно видеть как интерфейс с этим ресурсом.Возьмем, например, ресурс, где возникло какое-либо событие. Ресурсная DLL должнасообщить об этом событии службе Cluster. И здесь вступает в дело Мониторресурсов; он фактически принимает сообщение и обеспечивает уведомление службыCluster.Cluster Administrator (Администратор кластеров). Cluster Administrator - это основноесредство администрирования и конфигурирования объектов кластера серверов, такихкак узлы, группы и другие ресурсы. Он устанавливается по умолчанию в каждомузле кластера, но его можно также установить на любом компьютере с WindowsServer 2003, Windows 2000 или Windows NT 4 с Service Pack, начиная с версии 3. Этопозволяет вам управлять кластером серверов без необходимости физического присутствияв одном из узлов.Программа Cluster Administrator вызывается из меню Administrative Tools версийWindows Server 2003 Standard Edition, Enterprise Edition и Datacenter Edition (но неWeb Edition).Примечание. Cluster Administrator устанавливается в системах Windows XPProfessional, когда вы устанавливаете \i386\adminpak.msi с установочного CD Server2003.Утилита командной строки Cluster. Cluster.exe позволяет вам управлять кластером изкомандной строки или из скрипта, который вызывает cluster.exe. Эту утилиту можнозапускать на компьютере с Windows Server 2003, Windows 2000 или Windows NT 4с Service Pack, начиная с версии 3.Прежде чем использовать cluster.exe, вам нужно изучить следующие важные синтаксическиеправила.• Заключайте в кавычки все имена, содержащие пробелы и специальные символы.• Для булевых значений (True и False) указывайте 1 для True и 0 для False.• Если вы не указываете имя кластера серверов или используете точку (.), то предполагается,что вы работаете в локальном кластере серверов и указываете этоткластер.• Cluster.exe обрабатывает опции слева направо, и если какая-либо опция неверна,то команда прекращает свое выполнение на этой опции.

768 Windows Server 2003. Полное руководство• Используйте две кавычки вместо одной в строке, где имеются две кавычки подряд(«»):Синтаксис cluster.exe зависит от объектов, которыми вы управляете. В табл. 24.2описываются различные объекты, которыми вы можете управлять, с описаниемсоответствующего синтаксиса.Совет. Чтобы вывести опции для любого из определений синтаксиса таблицы 24.2,введите cluster.exe /? или cluster.exe /help в командной строке.Логические и физические компоненты кластеровСлужба Cluster работает с приложениями, управляя логическими и физическимикомпонентами кластера.Логические компоненты. Служба Cluster управляет множеством логических компонентов,включая следующие компоненты.• Виртуальный сервер. Это имя сервера вместе группами ресурсов, необходимыхдля выполнения кластеризованного приложения. Виртуальный сервер - это представлениедля клиентов кластеризованного сервера, поскольку клиенты не знают,какой узел кластера содержит виртуальный сервер.Табл. 24.2. Базовый синтаксис для Cluster.exeОбъектКластерУзел кластераКластерная группаКластерная сетьСетевой интерфейс кластераКластерный ресурсБазовый синтаксисcluster [[/cluster:]имя_кластера\ /опцияcluster [[/cluster:]имя_кластера] node имя_узла /опцияcluster [[/cluster:] имя_кластера] group имя_группы[/поАе:имя_узла] /опцияcluster [[/cluster:]имя_кластера] network имя_сети/опцияcluster [[/cluster:] имя_кластера] netinterface /node:имя_узла /network:имя_сети/опцияcluster [[/cluster:]имя_кластера] resource имя_ресурса/опцияТип кластерного ресурса cluster [[/c\uster:]uMx_iaiacmepa] resourcetype omoбражаемое-имя-типа-ресурса/опцияи Ресурсы. Основные элементы, управляемые службой Cluster. Определение любогозаданного ресурса может соответствовать физическому устройству (например,дисковый накопитель) или логическому объекту (например, IP-адрес, службаили имя). Ресурсы имеют атрибуты, которые (среди прочих вещей) указывают,каким узлам разрешается переводить ресурсы в режим online (вместе с условием,что узел кластера должен находиться в режиме online, чтобы он мог перевестизаданный ресурс в режим online).• Группы. Набор ресурсов, причем любой конкретный ресурс может одновременнопринадлежать только одной группе. При переходе по отказу (failover) и возвратепосле восстановления (fallback) служба Cluster перемещает группу из одногоузла кластера в другой, обеспечивая перевод всех ресурсов группы в режим

Глава 24. Кластеризация 769offline для старого узла кластера, прежде чем ресурсы будут переведены в режимonline в новом узле кластера. Операция, выполняемая на уровне группы, влияетна все ресурсы в этой группе.Физические компоненты. Имеются следующие физические компоненты, поддерживающиелогические компоненты кластера.• Узлы. Сервер, который является членом кластера. Узел находится в режиме online,если работает сам сервер, на нем работает служба Cluster и этот узел взаимодействуетс другими узлами, находящимися в режиме online.• Диски кластера. Логические диски (отдельные физические диски или тома RAID),которые подключены к разделяемой шине, доступной для всех узлов кластера.На дисках кластера содержатся данные приложений. Подготавливая диски длякластера, обязательно сконфигурируйте их как базовые диски, но не динамическиедиски.• Кворум-ресурс. Дисковый накопитель на разделяемой шине, который не являетсячленом какой-либо группы перехода по отказу, (failover). Служба Clusterпомещает данные управления и журнал восстановления на кворум-ресурс и используетего для арбитража управления кластером. Кворум-ресурс на диске сразделяемой шиной должен быть сконфигурирован как базовый (Basic) диск, ане как динамический (Dynamic) диск.• Периодические контрольные пакеты (heartbeat). IP-пакеты, которыми регулярнообмениваются узлы кластера. Если узел не может получить такой пакет от другогоузла, то он предполагает, что произошел отказ узла, не передающего пакеты.После этого активный узел инициирует процесс перехода по отказу.Использование кластеров серверов в вашемокруженииКритически важным шагом является планирование способа включения кластеровсерверов в ваше сетевое окружение Windows Server 2003. Не упустите ни одного аспектапланирования, прежде чем приступить к реализации. К сожалению, многиеадминистраторы уделяют слишком мало времени планированию, и в результатеполучается неудачное решение, которое не приносит реальных выгод предприятиюили даже вызывает серьезные аварии.Имеется несколько заранее подготовленных реализаций, и вы можете выбиратьсреди них, задавшись следующими вопросами.• Что вы собираетесь поддерживать? Файловые службы и службы печати, вебслужбыи приложения - это лишь небольшая часть того, что вы можете поддерживатьс помощью кластеров серверов. Ваше решение окажет огромное влияниена модель, которой вы будете следовать.• Какой уровень готовности, масштабируемости, надежности и производительностивам нужен?Модели, которые предоставляет Microsoft (см. следующий раздел),варьируются в зависимости от предлагаемых служб. Иначе говоря, однамодель может предлагать высокий уровень готовности, но не слишком большойуровень масштабируемости.• Каковы ваши финансовые ограничения ?В следующем разделе описываются модели конфигураций, которые предлагаетвам рассмотреть вам Microsoft. Для простоты изложения эти модели описываются25 - 3994

770 Windows Server 2003. Полное руководстводля кластера с двумя узлами. Помня об изложенных выше вопросах, оцените каждуюмодель, чтобы решить, какая из них больше подходит для вашего сетевого окруженияWindows Server 2003.Модель кластера с горячим резервированиемМодель кластера с горячим резервированием (hot-spare cluster), показанная на рисунке24.13, называется также моделью типа active/passive, поскольку одновременноиспользуются не все ресурсы оборудования. В результате эта модель обеспечиваетнаиболее высокий уровень готовности.Кластер серверов типаactive/passive.NET Server 2003Enterprise Edition(активный узел).NET Server 2003Enterprise Edition(пассивный узел)Рис. 24.13. В модели кластера типа active/passive второй узел используетсятолько при отказе первого узлаВ модели с горячим резервированием один узел кластера серверов обслуживаетвсе запросы ресурсов. Второй узел простаивает, пока не возникает отказ активногоузла. Вы можете интерпретировать это как выделенный резерв.Обычно для пассивного узла используется та же конфигурация оборудования,что и для активного узла. В случае аварии это позволяет пассивному узлу быстрозанять место активного узла и обеспечивать те же услуги.Главным преимуществом этой модели является то, что она обеспечивает наиболеевысокий уровень готовности без снижения уровней производительности. Выможете предусмотреть использование этой модели для ваших наиболее критичныхприложений и служб. Конечно, если говорить о финансовой стороне, то вам при-

Глава 24. Кластеризация 771дется потратить дополнительные деньги на узел, который будет простаивать почтивесь срок его службы.Модель кластера типа active/activeМодель кластера типа active/active представляет два узла в кластере серверов, которыеработают одновременно (рис. 24.14). Каждый узел отвечает за свои собственныересурсы кластера серверов, пока не возникнет необходимость в переходе поотказу. При отказе одного узла работающий узел берет на себя ресурсы отказавшегоузла.•Кластер серверовтипа active/active'Мощности для i! ресурса А !Рис. 24.14. В модели кластера типа active/active оба узла содержат различныевиртуальные серверы и используют дополнительные мощности, чтобы брать насебя роль второго узла в случае его отказаЭта модель обеспечивает такой же уровень высокой готовности, как и моделькластера с горячим резервированием. Однако после отказа производительностьможет снизиться, если работающий узел не имеет адекватных возможностей, чтобысправиться с дополнительной рабочей нагрузкой. По этой причине важно обеспечитьтакую мощность каждого узла, чтобы он мог справляться с двойной рабочейнагрузкой (здесь тоже имеются финансовые соображения).25*

772 Windows Server 2003. Полное руководствоГибридная конфигурацияМодель с гибридной конфигурацией представляет конфигурацию, где одно или несколькоприложений работают в узлах кластера вне управления службой Cluster, aодно или несколько приложений работают под управлением службы Cluster. Например,служба Cluster может управлять экземпляром SQL Server, в то время какDNS может работать вне контекста службы Cluster. В случае отказа узла SQL Serverперейдет по отказу на другой работающий узел, a DNS не сможет это сделать.Конфигурация с одним узломВ конфигурации с одним узлом вы устанавливаете службу Cluster на одном компьютереи определяете один или несколько виртуальных серверов в этом кластере.Эта конфигурация не дает обычных преимуществ кластеров серверов, касающихсявысокой готовности, но имеет некоторые административные достоинства. Например,вы можете определить в кластере с одним узлом два виртуальных сервера, обслуживающихдва различных отдела. Если вам потребуется более высокий уровеньготовности или дополнительные ресурсы серверов, то вы добавите второй узел кэтому кластеру. При этом с клиентской точки зрения ресурсы сервера не изменятся.Вы можете установить конфигурацию с одним узлом на сервере, где нет шиныразделяемого ЗУ, но вы должны сразу сконфигурировать этот сервер с шиной SCSIили Fibre Channel, чтобы можно было впоследствии добавить еще один узел.Установка службы ClusterУстановка является реализацией ваших усилий по планированию и разработке. Выдолжны устанавливать службу Cluster по отдельности в каждом узле. Если запуститьоперационную систему в нескольких узлах, прежде чем начнет работать в первомузле служба Cluster, то могут быть запорчены диски, используемые в кластере.После завершения и проверки физической установки вашего кластера, включаяшину разделяемого ЗУ, кворум-ресурс, разделяемые диски, сетевой адаптер дляобмена контрольными пакетами (heartbeat) и адаптер клиентского доступа, выключитевсе несконфигурированные узлы кластера за исключением узла, который выустанавливаете.Поскольку большинство приложений, которые работают под управлением службыCluster, поддерживают работу в кластере, не устанавливайте такое приложение вузлах кластера, пока не установите службу Cluster во всех узлах.Создание нового кластераВсе узлы кластера должны быть членами одного домена. Чтобы создать новый кластер,запустите Windows Server 2003 Enterprise Edition или Datacenter Edition в первомузле и проследите, чтобы были отключены все остальные компьютеры, подсоединенныек шине разделяемого ЗУ. Затем установите первый узел кластера,используя следующие шаги.1. Откройте программу Cluster Administrator из меню Administrative Tools. В спискеAction (Действие) выберите команду Create New Cluster (Создать новый кластер).

Глава 24. Кластеризация 773Qpert Connection to ClusterCreatenew clusterAddnodes to clusterOpen connection to clusterCancel j2. В первом окне мастера New Server Cluster Wizard щелкните на кнопке Next.3. В следующем окне мастера введите имя кластера и проверьте имя домена (см.рис. 24.15). Затем щелкните на кнопке Next.New Servei uustei WizatdCluster Name and DomainSpecify the name of the new server cluster and the domain in which it will becreatedDomatrlype the name of the do№«n n wbch the rKj:'« wfl be treated Onlyит this domain олп be members Ы the ckiiler.Type a cb:

• :a n c e l774 Windows Server 2003. Полное руководствоMew Setvei Cluster WizaidAnalyzing ConfigurationPlease wail while the wizard determines Ihe cluster configuration.Checking in enisling :b:i?rEnbli d t !g• •/ Checking node (««ЭДt •/ Fn*4 гмптип if -.our» -. on node-H? V Checking cluster lea: btayTasks completedViewlog.'.l.'fctfcN,-, • Illl t'l l».l ..;.,•: Ihl ' .fle-aralyaeРис. 24.16. Мастер New Server Cluster Wizard проверяет сервер, чтобы убедиться,что он содержит все, что необходимо для узла кластераNew Server Cluster WizardCluster Service AccountEnter login information for thedomain accountunder which the duster service wilbe run..;. This account Ml be given local *&,,»«siraiive ngln on all nc-iti of 1Ы du«t« to afcw-•

Глава 24. Кластеризация 775DiskE:LocalQuorumDisk F:Disk G:MajorityNode Set10. Мастер завершит конфигурирование узла и выведет отчет с результатами. Убедитесь,что установка прошла успешно (см. следующий раздел, «Исправлениеошибок конфигурирования») и щелкните на кнопке Next.11. Щелкните на кнопке Finish в конечном окне, чтобы завершить работу мастераNew Server Cluster Wizard.New Seivei Cluster WizaidProposed Cluster ConfigurationVerify that youwant to create a cluster with the folowing configuration.LocalAreaConnection - Private entfPubte3Com EthtrLnkXL 10/100 PC! TX NIC [ХЖВ-ТХ1Pimay Address 1010233 2114255.2552550Ouster setvice accourt credentate.N-sme 5A.0To create aduawMth thr» conliguraicn. click NexlCancelРис. 24.18. Проверьте список конфигурирования, прежде чем продолжить работуИсправление ошибок конфигурированияКогда мастер New Server Cluster Wizard завершает конфигурирование узлов, он выводиткрасный знак «плюс» для опции, имеющей серьезную проблему, и желтыйтреугольник предупреждения, если возникла некритичная ошибка. Если вы видитекакой-либо значок ошибки, раскройте журнал хода установки, щелкнув слева нанебольшом черном знаке «плюс». Вы увидите, что некоторые ошибки можно исправитьпосле того, как мастер закончит создание кластера. Другие, более серьезныеошибки должны быть исправлены, прежде чем вы завершите работу с мастером;используйте кнопку Back (Назад), чтобы вернуться к шагам конфигурирования.На рисунке 24.19 показана ошибка, которую можно исправить после установки.Эта ошибка относится к имени кластера. Первоначально было выбрано имя, котороесовпадало с NetBIOS-именем для другого домена в сети, что недопустимо. Чтобыисправить эту ошибку, я использовал cluster.exe в данном узле для переименованиякластера, перезапустил снова New Server Cluster Wizard, ввел новое, допустимоеимя и затем перезапустил службу Cluster.

; , • • . . . . . . . . .I776 Windows Server 2003. Полное руководствоNew Servei Cluster WizardCreating the ClusterPlease wait while the cluster is configured.i •/• .•;•.№•• ii . . / . ::Рис. 24.19. Мастер выводит результаты конфигурированияИспользование Cluster AdministratorCluster Administrator подсоединится к новому кластеру и выведет его состояние.f?| Vj/bJ xjcS'l ED] £ n[>|^p;! %NEREUSCLi-Э'ШЭ Groups! \"$Ш Cluster Groupi | •••Ш Group 0ф-£|£ Cluster Configuration! 1 ИЗ Resource Types1 & Ш Networks1 i !--^| Local Area Connection j\ •- ^ Local Area Connection 21i< -{jiij Network Interfaces&m ш !i -Ш Active Groupsj-i^l Active Resources> ••£] Network InterfacesNameIfflDbkE:U3 Cluster JP'Address(Й Cluster Name1Ц DiskF:|Ц Disk G:••Slate OnlineOnin'eOnline'CL1OwneШ,CL1CL1OnlineCL1Online1 Resource Type 1 De- cilptiort 1Cluster Gioup Physical DiskCluster Group IPAddressCluster Group Network NamelljGroup 0Group 1Physical DiskPhysical Diskj1ЙСЖ,:,:,,;:,:' •' - t . . . LiiifijiIj11*******ЯШМВо время установки все сетевые адаптеры активизированы как для частного обменаинформацией кластера, так и для открытого обмена информацией с кластером.Если вы установили сетевой адаптер в частной сети, который хотите выделитьдля частного обмена информацией кластера, то используйте Cluster Administrator,чтобы открыть диалоговое окно Properties данного адаптера. Затем измените конфигурациюадаптера, чтобы разрешить только частный обмен информацией кластера.Убедитесь, что служба работает без ошибок в этом узле, прежде начать процессустановки в следующем узле. Если вам требуется более подробная информация для

Глава 24. Кластеризация 777диагностирования какой-либо проблемы установки, то вы можете использовать файлжурнала, который создается мастером установки в файле %SystemRoot%\system32\logfiles\cluster\ClCfgSrv.log.Добавление узлов к существующему кластеруДля добавления других узлов к вашему кластеру нужно использовать аналогичнуюпроцедуру. Начните с проверки того, что первый узел кластера включен и работаетнормально. Затем включите сервер, который хотите сделать следующим узлом кластера,и откройте Cluster Administrator. Щелкните правой кнопкой на имени вашегокластера и выберите в контекстном меню пункт New/Node (Создать/Узел), чтобызапустить мастер добавления компьютеров кластера (Add Cluster Computers Wizard).Следуйте указаниям этого мастера, чтобы выполнить конфигурирование других узлов,добавляя каждый раз по одному узлу. В каждом случае убедитесь, что соответствующийкомпьютер и служба Cluster работают без ошибок, прежде чем приступитьк добавлению следующего узла.Тестирование кластераЕсли у вас установлено хотя бы два узла, вы можете тестировать кластер путем перемещениягруппы. При перемещении группы происходит передача управления этойгруппой (и выполнения любых приложений, которые являются частью этой группы)другому узлу кластера. Откройте Cluster Administrator, щелкните правой кнопкойна имени этой группы и выберите в контекстном меню пункт Move Group (Переместитьгруппу). Cluster Administrator выполнит следующие действия.1. Заставит службу Cluster перевести в режим offline ресурсы, представляемые этойгруппой.2. Заставит службу Cluster в другом узле перевести в режим online эти ресурсы.На рисунке 24.20 показаны результаты после перемещения группы из узла CL1 вузел CL2.Щ( Ctustei Administiatoi - [NEREUSCL (nereuscl)]• • ,., «HelpЩ NEREUSCLЭ

778 Windows Server 2003. Полное руководствоУстановка приложенийПроцедуры установки приложений в кластере варьируются от приложения к приложению,поэтому подробные инструкции выходят за рамки изложения этой книги.В общем случае, когда вы устанавливаете приложение, поддерживающее кластеры,на сервере, где запущена служба Cluster, программы установки приложенияпредлагают вам опции установки, связанные с кластером. Изучите требования кприложению для работы в кластеризованной среде, прежде чем приступить к установкеэтого приложения.

Глава 25liНастройка и оптимизацияпроизводительностиНастройка и оптимизация производительности часто недооцениваются, поэтому администраторыобычно уделяют недостаточно внимания вопросам оптимизации.Поддержка среды Windows Server 2003 будет затруднена, если не учитывать аспектыпроизводительности. Оптимизацию или настройку производительности обычновыполняют, когда возникает какая-либо проблема, связанная, например, с замедленнымвходом пользователей или с другим снижением производительности.Кстати, оптимизация производительности может существенно снизить нагрузкуадминистраторов, позволяя экономить время в их повседневной работе. В сочетаниис планированием вычислительной мощности оборудования оптимизациюпроизводительности можно использовать для избавления от проблем до того, какони становятся существенным фактором. Она помогает администраторам устанавливатьбазовые (эталонные) показатели, на основе которых можно определять, насколькоэффективно работает сеть или компьютер. Текущие измерения производительностиможно сравнивать с этими базовыми показателями, чтобы определить,каким образом можно повысить производительность. Оптимизацию производительностиможно также использовать, чтобы справляться с такими задачами, как определениемасштаба системы, определение времени модернизации и момента, когданужно сегментировать рабочую нагрузку.Независимо от конкретных обстоятельств вы можете увидеть, каким образомоптимизация производительности и планирование мощности влияют на вас, вашусреду и восприятие пользователей. Но как вы можете изменить восприятие пользователей?Как создать или поддерживать надежную эффективную среду Windows Server2003 и свести к минимуму или устранить экстремальные ситуации? Эти и многиедругие вопросы рассматриваются в этой главе. Конечно, эта глава не позволит вамразрешить все компьютерные проблемы, но вы сможете четко понять, почему вамнужны процедуры оптимизации производительности и планирования вычислительноймощности. Эти процедуры можно применять к небольшим средам, а также масштабироватьдля систем уровня предприятия.Описание оптимизациипроизводительностиОптимизация производительности существенно улучшилась за последние годы дляWindows-сред, чтобы системы работали быстрее, могли справляться с более высокойнагрузкой и обеспечивали надежность, готовность и обслуживаемость компьютерныхресурсов. Обслуживающий персонал и администраторы, ответственные заработу компьютеров, могут убедиться в необходимости предупреждающего мони-

780 Windows Server 2003. Полное руководствоторинга для обеспечения соответствующей поддержки конечных пользователей иструктуры предприятия.С ростом популярности системы Windows в деловой среде ответственность, возлагаемаяна Windows Server 2003, оказалась намного больше, чем у предшествующихсистем, Windows NT и Windows 2000. В результате оптимизация производительностистала критически важна для успешного управления вашим окружением.Оптимизация производительности в сочетании с планированием мощности являетсяодной из наиболее важных и трудных обязанностей, которые приходитсявыполнять как для небольших, так и крупных окружений Windows Server 2003. Этотребует различных знаний и может всегда улучшаться, поскольку навыки работы иокружения постоянно изменяются. Оптимизация производительности охватываетмного аспектов управления системами, управления производительностью, дедуктивныхрассуждений и прогнозирования. Однако оптимизация производительностиэто не только использование формул или статистической информации. Вы должныиспользовать свои личные творческие и интуитивные способности вдополнение к чисто аналитическим решениям.При рассмотрении аспектов оптимизации производительности важно использоватьсочетание деловых и технических принципов, чтобы получить выгоды дляорганизации в целом. Если компьютер выполняет работу с превосходными показателями,это не обязательно означает, что организация обслуживается на соответствующемуровне или ресурсы используются должным образом. Имеется ряд вопросов,о которых следует помнить при настройке и оптимизацияпроизводительности.• Насколько быстро можно выполнить определенную задачу?• Сколько работы можно выполнить?• Какие затраты связаны с определенными деловыми стратегиями?• Насколько эффективно и рационально используется система?Оптимизация производительности в сочетании с планированием мощности позволяетвам сделать опережающий шаг для вашей системы и предсказать будущиетребования к ресурсам путем оценки поведения существующей системы. Это такжепозволяет вам определить систему в целом путем расчета базовых показателей производительностии последующего анализа трендов и характеристик, что дает полезныйвзгляд на тенденции развития системы. Это бесценное средство для выявлениятекущих и потенциальных узких мест. Правильная реализация процедур оптимизациипроизводительности помогают раскрыть влияние конкретных действий по управлениюсистемой на производительность (модернизация ПО и оборудования,изменения в топологии сети и т.д.), будущие требования к ресурсам и стратегиифинансирования. Оптимизация производительности позволяет вам разрешать вопросыпроизводительности заранее, а не по текущим результатам.Определение уровней и целей обслуживанияОптимизация производительности - это поиск баланса ресурсов и рабочей нагрузки.Определение вычислительной мощности, соответствующей задачам, которыебудут выполняться, является чрезвычайно трудной задачей. Если имеется мощная,но недостаточно используемая система, это означает, что имеются лишние ресурсыи вложено слишком много денег. С другой стороны, если система не может справлятьсяс рабочей нагрузкой, то задерживается выполнение задач или транзакций,происходит потеря деловых возможностей, возрастают затраты, и пользователь (или

Глава 25. Настройка и оптимизация производительности 781клиент) испытывает проблемы. Таким образом, главной целью оптимизации производительностиявляется достижение баланса.Оптимизация производительности включает в себя работу с неизвестными и неизмеримымиаспектами системы, такими как число транзакций, которые потребуетсявыполнять системе в следующие несколько месяцев или лет. К другим вопросамможет относиться административная нагрузка, например, количество системныхадминистраторов, которое потребуется для поддержки работы сервера базы данныхкомпании. Все эти вопросы касаются методов оптимизации производительности ипланирования мощности, и соответствующие ответы нельзя предсказать с абсолютнойточностью. Оценка будущих требований к ресурсам является непростой задачей.Однако оптимизация производительности является процессом, в котором выможете задать контрольные характеристики и выполнить анализ характеристик текущегоиспользования системных ресурсов, используя результаты для прогнозированиябудущих потребностей. Ваш уровень знаний и контроля системы ограничен;чтобы достичь баланса между мощностью системы и рабочей нагрузкой вы должныполучить как можно больше сведений о среде и как можно лучше контролироватьее. Контроль доступных вам аспектов сильно повышает ваши возможности успешнойподдержки надежности, обслуживаемости и готовности вашей системы.Чтобы заранее подготовиться к управлению вашей системой, важно создать политикии процедуры на уровне этой системы. Политики и процедуры помогают определитьуровни обслуживания и сформировать ожидания пользователей. После ихопределения вы можете легко начать определение характеристик рабочей нагрузки,что, в свою очередь, поможет вам определить базовые значения показателей производительности,необходимые для оценки состояния вашей системы. Например, выможете определить соглашение по уровням обслуживания, которое гласит, что времяотклика для определенного компьютера должно составлять не более трех секунд.Задание политик и процедурПолитики и процедуры, которые вы решаете реализовать, целиком зависят от вашегосетевого окружения. Процесс определения уровней обслуживания и целей длявашей системы дает вам определенный уровень контроля над ресурсами системы.Без этого уровня контроля трудно понять тонкости системы и еще труднее управлятьпроизводительностью и оптимизировать ее. Политики и процедуры помогаюттакже отбирать эмпирические данные и преобразовывать их в информацию, которуювы можете использовать для определения как текущих, так и будущих требованийк мощности. По сути политики и процедуры определяют, как предполагаетсяиспользовать систему, давая указания, которые помогают пользователям понять,что они не всегда могут свободно распоряжаться системными ресурсами так, каким кажется. В системе, где успешно действуют политики и процедуры, при внезапномснижении пропускной способности вы можете предположить, что причинойне может быть, например, игра некоторых сотрудников в многопользовательскуюсетевую игру или отправка отдельными пользователями огромных вложений всемсотрудникам компании.Предусмотрите создание двух наборов политик и процедур: один набор для передачипользователям и еще один набор для внутреннего использования отделоминформационных систем и персоналом поддержки систем. Например, политики ипроцедуры для пользователей могут включать ограничение в размере вложений электроннойпочты и запрещение использования в вашей сети бета-продуктов (то есть

782 Windows Server 2003. Полное руководстворазработанных вне организации). Внутренние политики и процедуры могут включатьправила, указывающие, что все резервное копирование должно быть выполненок 5 утра каждый рабочий день и что текущее обслуживание системы (обновлениесерверов, модернизация драйверов и т.д.) должно выполняться утром в субботу с 6до 9 утра. В следующем списке приводятся другие примеры политик и процедур,которые могут быть применены к вашему окружению.• Укажите, что ваши вычислительные ресурсы предназначены только для деловогоиспользования, то есть не разрешается игровое или личное использованиекомпьютеров.• Укажите, что только определенные приложения поддерживаются и разрешаютсядля использования в сети.• Задайтсквоты дискового пространства по личным домашним папкам, реализуяэти политики с помощью ПО управления квотами, включенного в Windows Server2003.• Задайте интервалы репликации для определенных баз данных.• Укажите, что пользователи должны выполнить определенный набор шагов, чтобыполучить техническую поддержку.Примечание. Важно понять, что хотят получить от системы пользователи. Это можноопределить с помощью интервью, вопросников и т.п.Задание базовых значенийТеперь вы можете задаться вопросом: «Что мне сделать, чтобы начать мониторингпроизводительности?» или «Как мне определить размер новой сети или сервераWindows Server 2003?» На самом деле вы уже начали этот процесс, определив политикии процедуры, снижающие количество эмпирических данных, которые вы получаете.Следующий подготовительный шаг к оптимизации производительности -это определение базовых значений, чтобы вы могли проводить мониторинг производительности.Вам нужна контрольная точка, с которой вы можете сравнивать результаты.При определении базовых значений вы работаете с множеством фактическихданных (статистическое представление производительности системы), ноимеется лишь несколько переменных, которые требуют вашей оценки и интуитивныхсуждений. Это характеристика рабочей нагрузки, эталонные значения, предоставляемаяпоставщиком информация и, конечно, результаты сбора ваших данных.Позже вы сможете сравнивать текущие показатели с этими базовыми значениями,выполнять анализ трендов и др.Определение характеристик рабочей нагрузкиОпределение рабочих нагрузок системы может оказаться крайне трудной задачей, вчастности, из-за включения ресурсов в несколько рабочих нагрузок и разброса времениобработки, а также количества обрабатываемых данных. Рабочие нагрузкигруппируются, или характеризуются в соответствии с типом выполняемой работы ииспользуемыми ресурсами. В следующем списке показано, для каких рабочих нагрузокможно определять характеристики.• В зависимости от отдела (исследования и разработки, производство и т.д.).

Глава 25. Настройка и оптимизация производительности 783• Объем выполняемой работы.• Пакетная обработка.• Обработка в реальном масштабе времени.• Запросы обслуживания, требующие внимания в течение указанного времени.• Транзакции в режиме online.Определив рабочие нагрузки вашей системы, вы можете определить требованияк ресурсам для каждой из них и выполнить соответствующее планирование. Этотпроцесс помогает также определить уровни производительности для соответствующихрабочих нагрузок и требования от системы. Например, некоторые рабочие нагрузкимогут в большей степени использовать память и в меньшей степени процессор.Эталонные значения и предоставляемая поставщикоминформацияЭталонные значения (benchmark) -это значения, которые используются для измеренияпроизводительности таких продуктов, как процессоры, видеокарты, накопителина жестких дисках, приложения и системы в целом. Они находятся среди наиболееважных показателей в компьютерной отрасли. Почти каждая компания вкомпьютерной отрасли использует эти значения, чтобы сравнить себя с конкурентами.Как вы можете ожидать, эталонные значения активно используются в продажеи маркетинге, но их истинное назначение - указывать уровни производительности,которые вы можете ожидать при использовании данного продукта.Большинство эталонных показателей предоставляются самими поставщиками,но они могут поступать также из других источников, таких как журналы, организации,проводящие эталонные испытания, и местные лаборатории по тестированию.В таблице 25.1 приводится список организаций, предоставляющих статистику поэталонным показателям и средства для оценки производительности продуктов. Эталонныезначения могут играть очень большую роль в процессе принятия вашегорешения, но они не должны быть единственным источником для оценки и измеренияпроизводительности. При использовании результатов эталонных испытаний впланировании вычислительной мощности используйте эти результаты только какориентир и будьте осторожны в их интерпретации.Табл. 25.1. Организации, которые предоставляют эталонные показателиИмя организацииВеб-адресTransaction Processing Performance CouncilComputer Measurement Groupwww.tpc.orgwww.cmg.orgСбор данных: что включается в мониторингКаждый компьютер с Windows Server 2003 содержит компоненты, мониторинг которыхможно выполнять с помощью оснастки Performance (Производительность).Это могут быть аппаратные или программные компоненты, которые выполняютзадачи или поддерживают рабочую нагрузку. Многие из этих компонентов имеютпоказатели, отражающие определенные аспекты их функционирования, которыеможно точно измерить как скорость выполнения задач. Например, счетчик Network

784 Windows Server 2003. Полное руководствоSegment: Total bytes received/second (Сетевой сегмент: Количество полученных байтов/сек.)показывает количество байтов, поступивших в компьютер Windows Server2003 из сетевой подсистемы. Все собранные данные поступают из счетчиков, мониторингкоторых осуществляет оснастка Performance.ОбъектыВ системах Windows Server 2003 многие компоненты, представляющие компьютер вцелом, сгруппированы в объекты на основании их характеристик. Например, все,что относится к процессору, находится в объекте Processor, и все, что относится кпамяти, находится в объекте Memory. Объекты группируются в соответствии ихфункциями или связью с системой. Они представляют логические механизмы, такиекак процессы, или физические элементы, такие как жесткие диски.Объекты не ограничиваются только тем, что содержится в Windows Server 2003.Все продукты Microsoft BackOffice имеют объекты, которые могут оцениваться иотслеживаться оснасткой Performance или аналогичными средствами мониторингапроизводительности. Объекты могут также создаваться сторонними поставщиками,что позволяет вам как ИТ-специалисту использовать такую оснастку, какPerformance, для мониторинга ваших компонентов. Microsoft сознательно позволяетвнешним поставщикам создавать относящиеся к их собственным приложениямили устройствам объекты и счетчики, которые могут читаться этими средствами.Количество объектов, представленных в системе, зависит от конфигурации системы.Например, счетчики Internet Information Server не представлены в системе,если в ней не запущено это приложение. Но имеется несколько объектов, которыесодержатся в каждой системе.Cache (Кэш)Logical disk (Логический диск)Memory (Память)Paging file (Файл подкачки)Physical disk (Физический диск)Process (Процесс)Processor (Процессор)Server (Сервер)System (Система)Thread (Поток)СчетчикиКаждый объект содержит счетчики. Счетчики обычно дают информацию об использовании,пропускной способности, длине очереди и т.п. для определенногообъекта. Например, все счетчики, относящиеся к файлу подкачки, содержатся вобъекте Paging File. Средства оптимизации производительности используют счетчикив определенном объекте для сбора данных. Информация, собранная из этихсчетчиков, выводится затем в окне соответствующего средства или накапливается вфайле данных.ЭкземплярыЕсли на вашем компьютере имеется несколько сходных компонентов (два жесткихдиска, четыре процессора и т.д.), то каждый из них считается экземпляром (instance)этого компонента. Каждый экземпляр имеет свой счетчик, который измеряет егособственную производительность. Счетчики с несколькими экземплярами содержаттакже экземпляр, объединяющий все экземпляры.

Глава 25. Настройка и оптимизация производительности 785Средства мониторингапроизводительностиВсе больше средств на платформе Windows Server 2003 доступно для сбора и анализаданных системы и прогнозирования вычислительной мощности системы. Microsoftпредоставляет некоторые полезные утилиты, встроенные в Windows Server 2003 илипродаваемые как отдельные продукты, которые можно использовать для сбора ианализа данных. Сюда входят Task Manager (Диспетчер задач), Network Monitor (Сетевоймонитор) и оснастка Performance (известная также под названием PerformanceMonitor), встроенные в эту операционную систему, а также Microsoft OperationsManager (MOM) и Systems Management Server (SMS), которые являются автономнымипродуктами. Данные, собранные из этих приложений, можно экспортироватьдля хранения и анализа в другие приложения, такие как Microsoft Excel илиAccess.Task ManagerWindows Server 2003 Task Manager - многофункциональное средство. Оно позволяетвам следить за работой системы в реальном масштабе времени и видеть информациюо процессоре, памяти, приложениях и состоянии процессов. Вы можете переключатьсяна другие выполняемые приложения или процессы и можете легко прекращатьработу задачи или процесса.Чтобы приступить к использованию Task Manager, вы можете применить одиниз следующих трех способов.• Щелкните правой кнопкой на панели задач и выберите Task Manager.• Нажмите CTRL-SHIFT-ESC.• Нажмите CTRL-ALT-DELETE и затем щелкните на Task Manager.При работе Task Manager появляется окно, показанное на рисунке 25.1.|~| Windows TaskManagerHdp] Perk.iMrM |Ne>«.vfcjr,g ] UstisРис. 25.1. Окно Task Managerпосле начального запуска§FulShot 7.01Enterprise - TrialVersionffPerformanceLJRunningRunningRunningJ_J.Comti* Chaw1t754SKV i • t"' I

JU a f w S k A J . R o y d j o »• . .••IJi1••n e E l a p s e d . - • ' < Ш Ш Ш *:I , I .« F , j « » s : e» B y » r O• ••e l sS I P- •. . . . . . . .•.•1 IA786 Windows Server 2003. Полное руководствоЭто окно содержит пять вкладок - Applications (Приложения), Processes (Процессы),Performance (Производительность), Networking (Сетевой обмен) и Users(Пользователи). Кроме того, внизу этого окна в панели состояния выводится количествовыполняемых процессов и процент использования ЦП (CPU) и памяти.Task Manager предоставляет полезную информацию о производительности в реальноммасштабе времени, которая помогает вам определить, какие процессы илиприложения являются проблематичными, а также дает вам общую картину состояниявашей системы. К сожалению, его ограничения, например, неспособность сохранениясобранной информации о производительности, а также излишний охватвозможностей мониторинга не позволяют использовать его как первое основноесредство для оптимизации производительности. Более того, он может дать вам информацию,относящуюся только к локальной машине. Вы должны физически находитьсяза машиной, чтобы измерять ее производительность с помощью TaskManager.NetworkMonitorИмеются две версии Network Monitor, которые можно использовать для проверкипроизводительности сети. Одна из них поставляется вместе с Windows Server 2003, иеще одна является компонентом SMS. Обе версии имеют одинаковый интерфейс,показанный на рисунке 25.2, и содержат много функциональных компонентов, носуществует несколько отличий в элементах, за которыми они следят.Microsoft Nitwotfc Monitor - [Local Aiea ConnectionCaptureWindow (Station Stats)!*LJFfbe5Qj|j"iJ JJ12JBytMP-r9 ,-rv:. . 1»I , r. iIlislli1]' Ii ] 1 ,•: :; •'. -• : . ' ' •1. 1•'• чФ 'Г ГоОЮТ "У п;.' i. .—^. . .-'••.•. ^'"'•'•"Я F«n*j Ic.'l whan Ы1

Глава 25. Настройка и оптимизация производительности 787ти вы не можете захватывать трафик на удаленных машинах. Network Monitor может,однако, захватывать все типы фреймов, входящие и исходящие на локальноймашине.Чтобы установить Network Monitor, выполните следующие шаги.1. Выберите Start/All Programs/Control Panel/Add or Remove Programs (Пуск/Всепрограммы/Панель управления/Установка и удаление программ).2. Выберите Add or Remove Windows Components (Установка/Удаление компонентовWindows).3. Выделите Management and Monitoring Tools (Средства управления и мониторинга)и затем щелкните на кнопке Details (Подробно).4. Выберите Network Monitor Tools и затем щелкните на кнопке ОК.5. Щелкните на кнопке Next и затем щелкните на кнопке Finish по окончании установки.Чтобы использовать Network Monitor, просто выберите его в меню Start/Administrative Tools.SMS-версия Network Monitor по существу является улучшенной версией по сравнениюсо встроенной версией Windows Server 2003. Основным отличием являетсято, что SMS-версию можно запускать из любого места сети и использовать ее длямониторинга удаленных машин. В дополнение к мониторингу удаленных машинэта версия позволяет находить маршрутизаторы, представленные в сети, следить затрафиком, проходящим через сеть и выполнять разрешение (преобразование) адресовиз имен.Внимание. SMS-версия Network Monitor сопряжена с различными рисками безопасностииз-за используемых методов мониторинга и привилегий. Она может следитьза сетевым трафиком, входящим и исходящим на удаленных машинах. Любыеконфиденциальные данные, которые перехватывает Network Monitor, могут бытьпотенциально раскрыты. Поэтому вы должны в обязательном порядке ограничитьколичество администраторов или сотрудников группы информационных систем,которые могут использовать эту версию Network Monitor.SMS-версия Network Monitor больше соответствует целям оптимизации производительности,поскольку она позволяет следить одновременно за несколькимимашинами из какой-либо центральной точки. Использование версии, встроеннойв Windows Server 2003, ограничивает охват вашего мониторинга и сбора данных. Онатакже вынуждает устанавливать средства управления и мониторинга на каждой машине,где требуется мониторинг. Это предъявляет дополнительные требования кпамяти и процессору каждой машины. Для оптимизации производительности ипланирования мощности SMS-версия является превосходным средством для обеспеченияанализа сети в реальном масштабе времени и ведения статистических журналовпроизводительности сети, которые можно использовать для исследованиясостояния вашей сети.Оснастка PerformanceОснастка консоли ММС (Microsoft Management Console) Performance - это наиболееупотребительное средство мониторинга производительности, поскольку оносвязано с операционной системой и позволяет вам следить за каждым объектомсистемы, который можно измерять, используя связанные с ним счетчики. Оснастка

788 Windows Server 2003. Полное руководствоЙ Г V W ДВЗ средства:!!!S y stem Monitor (Системный монитор) иPerformance Logs and Alerts (Журналы производительности и оповещения). Оснастка Performance находится в группе Administrative Tools меню Start. На рисунке 25 3показано начальное окно System Monitor.рисунке я>.лf> feciion V*», F.avr.,1»;,JConsoleRoot& PerformanceLogsand Alerts Bool200UaSeate'-100.000 Avg.Disk Qu. _Tolal"1.000 X Processor. _Total• A >шiП.Лв M

Глава 25. Настройка и оптимизация производительности 7892. Если вам нужен мониторинг удаленной машины, введите UNC-имя этого компьютерав окне Add Counters (Добавление счетчиков).£j Ete Acton 'tfeЁ1 Console Root I;± Syilem Monk»Ш Performance Logii;f~ Us* local comber counter'• Select coumeii кот сотри'»j\\remote|Penwmance joiect;j ProcessorI All •, •P SetecJcowteuhomktt]!• Select /r.:ly.c»: horn k-l(turttfanCcmputet0.000140ysica... \SKWIN2K33. Выберите объект, за которым хотите следить.4. Выберите нужные счетчики в этом объекте; вы можете также использовать вариантAll Counters (Все счетчики), чтобы выбрать все счетчики для данного объекта.Примечание. Если вы не уверены, что нужно добавить определенный счетчик, щелкнитена кнопке Explain (Пояснения), чтобы получить описание этого счетчика.5. Щелкните на кнопке Add, чтобы добавить счетчик к своей схеме мониторинга.6. Добавьте другие счетчики, если это нужно.7. По окончании щелкните на кнопке Close.Примечание. Вы можете выделить отдельный счетчик, выбрав этот счетчик и нажавCTRL-H. Теперь в System Monitor имеется более простой способ: просто выберитенужный вам счетчик и щелкните на кнопке выделения в правой панели. Это поможетвам отличать данный счетчик от остальных счетчиков.Переключение между видами представления. По умолчанию для System Monitor используетсяграфический формат (Graph view). Но вы можете легко переходить кпросмотру в виде гистограммы (Histogram view) или в виде отчета (Report view).Используя панель кнопок, вы можете выбирать между этими форматами. Например,вы можете щелкнуть на кнопке View Report (Просмотр отчета) для просмотраданных в реальном масштабе времени (см. рис. 25.4).

790 Windows Server 2003. Полное руководство*3Console RootPetfotmance Logs and AlertsWKWIN2K3Mim. ivAvg DiskQueue lengthPioce»«oiZ PlocetsoiTime0.000_0 053lolal"5CCOРис. 25.4. Просмотр данных в реальном масштабе времени в формате отчетаPerformance Logs and AlertsСлужба Performance Logs and Alerts используется в сочетании с System Monitor. Онасохраняет собираемые данные в файле данных (файле журнала). Эти данные не предназначеныдля просмотра в реальном масштабе времени, поэтому вы получаете представлениепроизводительности в течение определенного периода времени. Это предпочтительныйметод для оптимизации производительности, поскольку он упрощаетинтерпретацию трендов или характеристик в производительности системы. Он даеттакже механизм для сохранения данных в подходящем формате для будущего исследования.Вы можете использовать System Monitor для представления сохраненныхданных производительности или можете легко экспортировать данные в другиеприложения.Примечание. Поскольку Performance Logs and Alerts запускается как служба, вам необязательно выполнять вход, чтобы происходил сбор статистики для данной системы.Performance Logs and Alerts выполняет три функции: мониторинг счетчиков, сборданных трассировки событий и обеспечение механизма оповещений. Чтобы увидетьэти три функции, раскройте Performance Logs and Alerts в оснастке Performance.Работа с журналами счетчиковЖурналы счетчиков позволяют вам записывать статистику работы или использованиясистемы для локальных и удаленных систем. Вы можете не только запускать ипрекращать работу службы Performance Logs and Alerts вручную, но также конфигурироватьэту службу для ее автоматического запуска и прекращения работы или длянепрерывной записи данных в журналы.

Примечание. Вы можете вклю Щлобъекты) в зависимости от ^гоза ч е м Ты^Г И > ИЛИ^ °В ок Add Obхотите слеть.bJCCtS Wo6aBMTbClose, чтобы вернХяГоГо'Г" "**"*" " СЧеТЧИК0В 'Хи!^^^лов журналов или имя Файла^Га ^ ^ ^рировать). Кроме того, вы мХеФормат файла журнала и любыеБолеепбМ е С Т О П О—„ие фай-" 01 C ° nfigUre ( Кон Фигу-ФЭЙЛ° В 'Ф а Й Л 0 № й

792 Windows Server 2003. Полное руководствоfQ»fi| Log Пег | Schedule]Рис. 25.5. Добавление объектовили счетчиков к файлужурналаТЫ; log begun «jrm»di*dy ifi« you »ply cbsnge:|. .' JRunAsJ J-' "*':m •8. Во вкладке Schedule (Расписание) вы можете задавать другие опции для запускаи прекращения работы файла журнала. Вы можете также задать действие, котороедолжно быть выполнено при закрытии файла журнала. Более подробнуюинформацию см. ниже в разделе «Вкладка Schedule».Вкладка Log Files. Как уже говорилось на шаге 7, вкладка Log Files (рис. 25.6) содержитмного опций. Это важные опции, поскольку они не только влияют на методологиюмониторинга, но также влияют (некоторые из них) на производительностьсистемы.ISchedule ILc^lfcijpeandrMineLoote'wРис. 25.6. Вкладка Log Files17 Ei*J He i«me: «у* | •'•••'•'•'•3Slat nunbwre-siJCSP«(LI.^,',I« .v I 3_U0U0Q1 bigloft lie,.

Глава 25. Настройка и оптимизация производительности 793Местоположение файлов журналов. По умолчанию служба Performance Logs and Alertsсохраняет все файлы журналов в папке %Systemroot%\PerfLogs. Эту папку следуетсразу заменить на папку другого диска. Windows Server 2003 и процессы мониторинга«конкурируют» друг с другом, претендуя на ресурсы, которые находятся на одномдиске. Перенос операций ввода-вывода, связанных с записью в журналы счетчиков,на другой диск, освобождает полезные ресурсы и позволяет вашей системефункционировать более эффективно.Окончания имен файлов (End File Names). Чтобы следить за файлами журналов, удобнозаканчивать имена их файлов номером или датой. Это средство активизированов конфигурации по умолчанию, и мы настоятельно рекомендуем использовать этотмеханизм именования, особенно если вы планируете создавать файлы последовательныхжурналов.Тип файлов (Log File Type). Файлы журналов можно теперь сохранять в двух типахтекстового формата, двух типах двоичного формата, а также в базе данных SQL. Втаблице 25.2 приводится список этих форматов и дается краткое описание каждогоиз них.Табл. 25.2. Форматы файлов журналовФормат файла журналаText File — CSVText File — TSVBinary File (Двоичный файл)Binary Circular File(Двоичный циклический файл)ОписаниеТекстовый файл с разделителями-запятыми. Этотфайловый формат легко читается электроннымитаблицами, такими как Microsoft Excel.Текстовый файл с разделителями - символамиTab. Этот формат подходит для просмотра с помощьюпрограмм, работающих с электроннымитаблицами и базами данных.Это формат последовательного двоичного файлажурнала с расширением имени .big. Используйтеэтот файловый формат при создании несколькихпоследовательных журналов.Это двоичный циклический формат с расширениемимени .big. После достижения предельногоразмера этого файла происходит перезапись поверхстарых данных с самого начала файла.SQL Database (База данных SQL). Сохранение данных о производительности в базеданных SQL может оказаться очень полезным длясчитывания нужной вам информации. Крометого, этот формат следует использовать при мониторингенескольких компьютеров и сборебольших объемов данных.Размер файлов журналов (Log File Size). Настройка размеров файлов журналов позволяетвам контролировать рост файлов журналов. Вот некоторые выгоды использованияэтого средства.• Контроль размера файлов журналов упрощает управление этими файлами.• Вы снижаете вероятность нехватки пространства на диске.• Ограниченное количество данных проще анализировать.

794 Windows Server 2003. Полное руководствоПримечание. Windows Server 2003 поддерживает размеры файлов журналов свыше 1Гб. Вы можете также увеличивать эти файлы журналов, чтобы поддерживать непрерывностьданных о производительности.Вкладка Schedule (Расписание). Как уже говорилось выше, вкладка Schedule (рис.25.7) содержит различные опции, которые управляют запуском и прекращениемработы файлов журналов, а также опциями, которые начинают действовать, когдапрекращается работа файла журнала.Gens, Л | LogF,l« Schedule |Рис. 25.7. Вкладка ScheduleС M««j

Глава 25. Настройка и оптимизация производительности 795• Используйте поле и флажок End file names вкладки Log Files и выберите числовойформат (Numbers), если вы не уверены, что будет достигнут максимальныйразмер, который вы указали.• Используйте двоичный формат.• Внизу секции Stop log вкладки Schedule установите флажок Start a new log file.Работа с журналами трассировкиЖурналы трассировки (Trace logs) записывают данные, когда возникает событие,вырабатываемое операционной системой или приложением. События разделяютсяна события от системного провайдера и события от несистемного провайдера. Следующиепримеры можно отнести к событиям от системного провайдера.Ввод-вывод на жестком диске.Создание и удаление процессов.Создание и удаление потоков.Ошибки TCP/IP.Ошибка страницы.Журналы трассировки отличаются от журналов счетчиков типом собираемыхданных, а также частотой сбора этих данных. Журналы трассировки следят за событияминепрерывно, а не через определенные интервалы времени.Процесс создания журнала трассировки очень похож на процесс создания журналасчетчиков, см. выше раздел «Работа с журналами счетчиков». Чтобы создатьжурнал трассировки, щелкните на Trace Log (Журнал трассировки) под строкойPerformance Logs and Alerts в левой панели окна Performance и затем щелкните правойкнопкой на правой панели и выберите пункт New Log Settings. Задайте имя этогофайла журнала; появится окно свойств этого журнала трассировки.В окне свойств журнала трассировки (см. рис. 25.8) отметим его сходство с окномсвойств журнала счетчиков. Немного отличается вкладка General, и имеетсяновая вкладка, Advanced (Дополнительно). Вкладки Log Files и Schedule совпадаютс одноименными вкладками для журнала счетчиков.Рис. 25.8. Окно свойств журналатрассировкиEven! • ' • ••.ГГГГГГRunAjr j

796 Windows Server 2003. Полное руководствоВкладка General. Вверху вкладки General можно видеть, что имена файлов заканчиваютсярасширением .etl. Далее приводятся имеющиеся системные и несистемныепровайдеры, мониторинг которых вы можете осуществлять. Выбрав вариант Eventslogged by system provider (События, регистрируемые системным провайдером), выможете выбрать события, установив находящиеся рядом с ними флажки. Флажкисобытий Page faults (Отсутствие страницы) и File details (Подробности файлов) неустановлены по умолчанию, поскольку это может вызвать создание огромных объемовданных. Если вы планируете мониторинг этих событий, то Microsoft рекомендуетих мониторинг не более двух часов в день.Щелкните на кнопке Provider Status (Состояние провайдеров), чтобы вывестисписок текущих провайдеров, а также их состояние (enabled and running или stopped).M Console Root Цg(|| System MLЩ Performance Lc:• Ш Counter LojAlertsWindowsKernelTrace ACPIDriverTraceProviderГ ActiveDirectory LocalSecurit :Kerberosг ProcesorTraceInformatio NTLMSecurityAuthorit y n(LSA)Spole rTraceControl yProtocolГRunAj; |CancelLeflfileName vВкладка Advanced. Во вкладке Advanced (рис. 25.9) вы можете конфигурировать настройкибуферов. Регистрируемые данные сначала передаются в буферы памяти итолько затем записываются в журнал трассировки. По умолчанию эти буферы заполняютсядо конца, после чего данные записываются в файл журнала. В большинствесценариев рекомендуется придерживаться настроек по умолчанию.Просмотр файлов журналов с помощью System MonitorЕсли у вас имеется файл журнала, содержащего необработанные данные по производительностисистемы, то вы можете считывать и анализировать эти собранныеданные. Для просмотра файла журнала выполните следующие шаги.1. В левой панели окна оснастки Performance выберите System Monitor.2. В правой панели щелкните правой кнопкой и выберите пункт Properties.3. Во вкладке Source (Источник) щелкните на Log files и затем щелкните на кнопкеAdd, чтобы найти файл журнала, который хотите просматривать, или щелкнитена Database, чтобы указать базу данных SQL. После выбора файла журнала щелкнитена кнопке ОК.

Глава 25. Настройка и оптимизация производительности 797General | LogFJei | Schedule Advanced |IKc log :»rv»:t ifrinpcHзн|у :avei 4i:e bg djis 'o гиепау butfe» «id thenhansfersiРис. 25.9. Вкладка Advancedжурнала трассировки. • в •: :, '•• fli I ••,•' f llv ; •' '' №i I !l . ini)I i. i ., . . puit» nl i ; I -HiBjdel^.eMa в liwdMediothe loo Ifewhenlhe butter; *e lul Го» inilei da's m«« hequenty :e> the nurnbet ol seconds between uansfers.Г" Transtai dm 1гая, luife/s Id togIda al tejri every.4.5.ок. C«oc«J -UK*'-Вы можете щелкнуть на кнопке ОК для просмотра всего файла журнала или щелкнутьна кнопке Time Range (Временной диапазон), чтобы задать диапазон времени,который вы хотите просматривать.Здесь вы можете также перейти во вкладку Data (Данные) и выбрать счетчики,которые хотите просматривать.Работа с оповещениямиОповещения можно задавать для любого из имеющихся счетчиков, чтобы извещатьадминистратора о возникновении указанного состояния, например, что использованиепроцессора превышает 90%. Если значение счетчика превышает указанноевами значение или оказывается ниже указанного значения, то служба PerformanceLogs and Alerts вырабатывает сигнал регистрации события, а также может вырабатыватьдругое событие, например, отправку уведомляющего сообщения, запускжурнала данных производительности или запуск программы.Примечание. Прежде чем конфигурировать журнал оповещений, убедитесь, что запущенаслужба Alerter. Кроме того, если вы планируете отправлять уведомления призапуске оповещений, то проследите, чтобы была запущена служба Messenger.Чтобы создать оповещение, выполните следующие шаги.1. В левой панели окна оснастки Performance щелкните на Alerts под строкойPerformance Logs and Alerts.2. Щелкните правой кнопкой на правой панели и выберите New Alert Settings (Настройкинового оповещения).3. Введите имя этого оповещения и щелкните на кнопке ОК.4. На вкладке General вы можете дополнительно включить комментарий, чтобыидентифицировать это оповещение.

. • • |^ _ . ^ ^ 1 1U P * |798 Windows Server 2003. Полное руководство5. Щелкните на кнопке Add, чтобы появилось окно Add Counters (Добавление счетчиков),и добавьте счетчики, которые хотите включить в мониторинг. По окончаниищелкните на кнопке Close.6. Для каждого счетчика, включенного в мониторинг, задайте условие, по которомубудет запускаться оповещение (см. рис. 25.10).Genad|AcWn| Schedule]Thi'. at?fl :.Comment:Counter:aH« you epply change».Рис. 25.10. Задание условийзапуска оповещенийAM .vt»n IIя VJIIK n[0ve7Add.Sample dil» every:Iruer-.al piastjnus |second»7. Задайте интервал получения выборки (по умолчанию 5 секунд).8. Перейдите во вкладку Action и выберите события, которые будут возникать призапуске оповещения (см. рис. 25.11). Отметим, что любое указанное здесь событиебудет применяться ко всем счетчикам, мониторинг которых осуществляетсяв этом журнале оповещений. Если вам нужны различные действия для различныхсчетчиков, то нужно создать отдельные журналы оповещений.Перейдите во вкладку Schedule, чтобы задать время начала и конца регистрацииоповещений.Утилиты от сторонних поставщиковВ дополнение к набору средств Microsoft имеется ряд утилит планирования вычислительноймощности от сторонних поставщиков для Windows Server 2003. Некоторыеиз этих средств приведены в таблице 25.3.Эти продукты обычно содержат средства для сбора, анализа, хранения и созданияотчетов по статистической информации о системе аналогично оснасткеPerformance в Windows Server 2003. Большинство продуктов включают также такиеулучшения, как расписание или графическое представление данных. В некоторыеутилиты даже включены такие нововведения, как автоматизация многих аспектовоптимизации производительности. Например, в некоторых наиболее продвинутыхпрограммах, таких как PATROL, выполняется анализ временных трендов и включенымодели поддержки решений, помогающие вам прогнозировать будущее использованиесистемы.

Глава 25. Настройка и оптимизация производительности 799Рис. 25.11. Задание действия,которое будет происходитьпри запуске оповещенияТабл. 25.3. Средства мониторинга от сторонних поставщиковИмя утилитыHP OpenViewUnicenterTNGPerfManPATROLКомпанияHewlett PackardВеб-сайт: www.openview.hp.com/Computer AssociatesВеб-сайт: www.cai.com/unicenter/Information SystemsВеб-сайт: www.infosysman.com/BMC SoftwareВеб-сайт: www.bmc.com/products/Большинство улучшений в этих продуктах от сторонних поставщиков (будь торасширенные возможности хранения или улучшения в графическом интерфейсе)превосходят по своим функциям оснастку Performance системы Windows Server 2003.Однако имеются как преимущества (например, анализ трендов, простота использованияи отчетность), так и недостатки (стоимость и сложность) в использованииэтих утилит вместо бесплатной встроенной утилиты Performance.Мониторинг и оптимизация системныхресурсовВы можете осуществлять мониторинг многочисленных системных ресурсов в целяхоптимизации производительности. На самом деле существует так много объектов исчетчиков, за которыми можно следить, что вы можете быстро собрать такой объемданных, с которым невозможно справиться. Если не применить тщательный подходк выбору объектов и счетчиков мониторинга, то вы можете собрать столько ин-

800 Windows Server 2003. Полное руководствоформации, что эти данные будут бесполезны. С большими объемами данных трудноработать, поэтому вы будете тратить почти все время на организацию данныхвместо их анализа. Помните, что одной из ключевых концепций, лежащих в основепланирования вычислительной мощности, является рациональный подход. Формируйтемониторинг конфигурации сервера как можно аккуратнее.Имеется небольшое число важных ресурсов, мониторинг которых обязателендля каждого сервера: память, процессор, дисковая подсистема и сетевая подсистема.Эти ресурсы составляют четверку наиболее распространенных источников узкихмест в системе. Узкое место (bottleneck) - это наиболее медленный компонентвашей системы, и это может быть компонент оборудования или ПО. Узкие местаограничивают производительность системы, поскольку ваша система работает соскоростью самого медленного ресурса. Например, файловый сервер может бытьоборудован гигабитным сетевым адаптером (картой сетевого интерфейса), но еслидисковая подсистема устарела, то данный компьютер не сможет в полной мере использоватьпропускную способность сети, которая предоставляется этим сетевымадаптером. Имеются также остаточные эффекты узких мест, такие как недостаточноеиспользование ресурсов оборудования. Ресурсы могут недоиспользоваться иззатого, что система пытается компенсировать узкое место.Кроме того, то, как сконфигурирован сервер Windows Server 2003, функциональновлияет на ресурсы или службы, которые вам следует включать в мониторинг. Например,в наиболее распространенные конфигурации Windows Server 2003 включаютсябаза данных, разделяемый доступ к файлам и принтерам, разделяемое использованиеприложений, функции контроллера домена и целый ряд других функций.Вам может потребоваться мониторинг влияния репликации и синхронизации наконтроллеры домена, но не для файловых серверов и серверов печати. Важно следитьза наиболее распространенными источниками узких мест системы, а также заисточниками, которые относятся к определенной конфигурации сервера.В этом разделе рассматриваются конкретные счетчики, за которыми вы должныследить для каждого из распространенных источников узких мест. Отметим, однако,что существует много других счетчиков, которые следует включать в мониторингв дополнение к этим счетчикам. В этом разделе приводится базовый минимальныйнабор счетчиков, чтобы вы могли начать процесс мониторинга.Мониторинг памятиИз четырех наиболее распространенных источников узких мест память обычно являетсяпервым ресурсом, вызывающим снижение производительности. Дело в том,что Windows Server 2003 является настоящим «пожирателем» памяти. К счастью,добавление блоков памяти является также наиболее простым и экономичным способомувеличения производительности. На рисунке 25.12 показано окно SystemMonitor для мониторинга счетчиков памяти в реальном масштабе времени.Имеется много важных счетчиков, связанных с памятью. Однако имеется двасчетчика, обязательных для мониторинга. Это Page Faults/sec (Отсутствие страниц/сек) и Pages/sec (Страниц/сек). Они показывают, достаточно ли для данной системыустановленного количества RAM-памяти.Ситуация page fault (ошибка страницы) возникает, когда процессу требуется кодили данные, которых нет в его рабочем наборе (working set). Рабочий набор - это количествовыделенной памяти для процесса или приложения. В счетчик Page Faults/secвключаются как аппаратные ошибки (требующие дискового доступа), так и программныеошибки (когда отсутствующая страница находится где-либо в памяти). Больший-

:Глава 25. Настройка и оптимизация производительности 801ство систем могут справляться с большим числом программных ошибок без влиянияна производительность. Однако аппаратные ошибки могут вызывать существенныезадержки из-за времени доступа к жесткому диску. Скорости поиска и передачи данныхдаже самого быстрого диска намного меньше, чем скорость доступа к памяти. Огромнаязадержка, связанная с аппаратными ошибками страниц, вынуждает вас немедленносконфигурировать систему, как можно больше увеличив объем RAM-памяти.fj Ffe AcupnView Families wrskn* Help•:-••••••ИConsoleRootS p t a n MPerformance Logs and AlertsРис. 25.12. Мониторинг счетчиков памяти в окне System Monitor в реальноммасштабе времениСчетчик Pages/sec определяет количество страниц, прочитанных или записанныхна диске для разрешения аппаратных ошибок страниц. Ситуация hard page fault(ошибка страницы на диске) возникает, когда процессу требуется код или данные,которых нет в его рабочем наборе или где-либо в памяти. Тогда этот код или данныедолжны быть считаны с диска. Этот счетчик является главным индикатором такназываемой пробуксовки (thrashing), то есть слишком большого числа обращений кжесткому диску для использования виртуальной памяти, а также излишнего обменастраниц. Microsoft утверждает, что если значение счетчика Pages/sec постоянно выше5, это может означать, у вашей системы недостаточно памяти. Если это значениепостоянно превышает 20, то вы начнете ощущать снижение производительностииз-за недостаточной памяти.Мониторинг процессораПроцессор часто является первым анализируемым ресурсом, когда наблюдаетсяощутимое снижение производительности. Имеется два важных счетчика по процессору,используемых для оптимизации производительности: % Processor Time(Процент использования процессора) и Interrupts/sec (Прерываний/сек). Счетчик% Processor Time показывает процент использования процессора в целом по системе.Если на компьютере больше одного процессора, то имеются отдельные экземп-26 - 3994

802 Windows Server 2003. Полное руководстволяры для каждого из них, а также счетчик суммарного значения. Если значение счетчика% Processor Time превышает 50 процентов в течение длительных периодов времени,то вам следует предусмотреть модернизацию. Если среднее значение постояннопревышает 65 процентов, то пользователи могут ощущать неприемлемоеснижение производительности.Счетчик Interrupts/sec также является хорошим индикатором использованияпроцессора. Он указывает количество прерываний устройств в секунду, обрабатываемыхпроцессором. Прерывание устройств может вызываться оборудованием илипрограммным обеспечением, и это значение может достигать нескольких тысяч. Дляповышения производительности перекладывают нагрузку некоторых служб на другой,менее загруженный сервер, добавляют еще один процессор, модернизируютимеющийся процессор, прибегает к кластеризации и распределению нагрузки насовершенно новую машину.Мониторинг дисковой подсистемыДисковая подсистема состоит из двух основных типов ресурсов: накопители на жесткихдисках и контроллеры жестких дисков. Оснастка Performance не имеет объекта,непосредственно связанного с контроллером жесткого диска, поскольку значенияобъектов Physical Disk и Logical Disk точно представляют производительностьдисковой подсистемы.Примечание. Объекты Physical Disk и Logical Disk активизируются по умолчанию.В настоящее время любой компонент компьютера превосходит то, что было раньше,и это также относится к компонентам дисковой подсистемы. В результате влияниеобъектов производительности дисковой подсистемы становится все более несущественными, в зависимости от конфигурации вашей системы, даже незаметным.Windows Server 2003 позволяет вам гибко запускать и прекращать работу объектовдисковой подсистемы. Вы можете использовать diskperf -у, чтобы запускать дисковыесчетчики, diskperf -у \\mycomputer, чтобы запускать их на удаленных машинах,или diskperf -n, чтобы отключать их, как это делали до Windows Server 2003.Гибкость проявляется в том, что вы можете активизировать объекты Logical Disk иPhysical Disk по отдельности. Чтобы задать объект, который вы хотите активизироватьили деактивизировать, включите букву d в параметры для объекта Physical Diskили букву v для объекта Logical Disk. Например, чтобы начать просмотр статистикипо счетчику Logical Disk, вы должны повторно активизировать объект производительностиLogical Disk с помощью команды diskperf -yv.Самыми лучшими, но, конечно не единственными счетчиками производительностидисков в целях оптимизации производительности являются % Disk Time (Процентвремени активности диска) и Avg. Disk Queue Length (Среднее значение длиныочереди). Счетчик % Disk Time следит за количеством времени, которое тратитсявыбранным физическим или логическим диском на запросы чтения и записи. СчетчикAvg. Disk Queue Length указывает количество ожидающих (еще не обслуженных)запросов на физическом или логическом диске. Это мгновенное значение, ане среднее значение за определенный период, но оно все же точно представляетколичество задержек на данном диске. Задержки запросов на диске можно рассчитатьпутем вычитания количества шпинделей дисковода из результата измеренияAvg. Disk Queue Length. Если величина задержки часто превышает 2, значит, дискивызывают снижение производительности.

Глава 25. Настройка и оптимизация производительности 803Мониторинг сетевой производительностиИз-за большого числа компонентов сетевая подсистема наиболее сложна для мониторингаузких мест. Протоколы, сетевые адаптеры, сетевые приложения и физическиетопологии - все это оказывает существенное влияние на вашу сеть. Ситуацияеще больше осложняется тем, что в вашем окружении могут быть реализованынесколько стеков протоколов. Поэтому набор счетчиков сетевой производительности,за которыми вы должны следить, варьируется в зависимости от конфигурациивашей системы.Важной информацией, собираемой от компонентов мониторинга сетевой подсистемы,является уровень сетевой активности и пропускная способность. При мониторингекомпонентов сетевой подсистемы вам следует использовать и другие средствамониторинга сети в дополнение к оснастке Performance. Например, можноиспользовать Network Monitor (встроенную версию или SMS-версию) или приложениеуправления системами, такое как MOM. Совместное использование этихсредств расширяет охват мониторинга и дает более точное представление того, чтопроисходит в вашей сетевой инфраструктуре.Вопросы оптимизации производительности для сетевой подсистемы фокусируютсяна TCP/IP. Нельзя просто говорить о том, что работа Windows Server 2003 существеннозависит от этого протокола. После установки этого протокола добавляютсясчетчики для TCP/IP, включая счетчики для Internet Protocol version 6 (IPv6).Имеется много важных счетчиков в объектах, относящихся к TCP/IP, которыевам следует включать в мониторинг. Два важных счетчика, используемых для мониторингаTCP/IP, относятся к объекту NIC (Сетевой адаптер). Это счетчики BytesTotal/sec (Всего байтов/сек) и Output Queue Length (Длина выходной очереди). СчетчикBytes Total/sec указывает объем входящего и исходящего трафика TCP/IP навашем сервере. Счетчик Output Queue Length указывает, имеются ли проблемы перегрузкиили конфликтной ситуации на вашем сетевом адаптере. Если значениеOutput Queue Length постоянно превышает 2, то проверьте значение счетчика BytesTotal/sec. Высокие значения обоих счетчиков могут означать, что в вашей сетевойподсистеме имеется узкое место и, может быть, пришло время, когда требуется модернизациякомпонентов вашей сетевой подсистемы.Имеется много других счетчиков, за которыми требуется следить, чтобы точноопределить причину слишком высоких значений этих счетчиков или снижения производительностисети. Например, чем вызваны слишком высокие значения счетчиковBytes Total/sec and Output Queue Length - временным всплеском сетевой активностиили слишком большой частотой конфликтов (collision rate)? Если collisionrate больше 10 процентов, то проблемой может быть производительность сети в целом,а не только рассматриваемый сервер Windows Server 2003.Контроль над системными ресурсамиНа протяжении этой главы мы анализировали различные способы мониторинга ииспользования данных производительности системы. Хотя мониторинг или анализданных производительности необходим для более точной настройки производительностисистемы, он не дает непосредственного контроля над ресурсами, за которымивы следите. Компания Microsoft разработала оснастку ММС Windows SystemResource Monitor (WSRM), чтобы обеспечивать определенный уровень контроля всовременных системах.26*

804 Windows Server 2003. Полное руководствоWindows System Resource MonitorОснастка WSRM (см. рис. 25.13) - это утилита, которую можно использовать с версиямиWindows Server 2003 Enterprise Edition или Datacenter Edition. Она дает вам дополнительныйконтроль над системными ресурсами и процессами. Вы можете использоватьWSRM для контроля приложений, служб и использования ресурсов процессов(например, использования процессора, памяти и родственности процессоров).•£,**,&-*jfResourceAtocationPoliciesProcessMatchingCriteria.t; Щ Calendai [Enabled]x Resource MonitorAccounting [Enabled]WindowsSystemResourceManagerCurentWSRMStatusWSRMmanagementiscurentlyRUNNING.Clicktheshortrutsbelow tochangethepropertiesthatwilbeappliedwhenWSrunning.Forcontext-sensitivehelphelpthroughoutWSRM,pres Fl.Ш-зCalendar - Enabled Ntanagement Type -ManageCurrent Policy -WSRMDefaultI -INotification - DisabledAccounting - EnabledWSRM HelpРис. 25.13. Интерфейс WSRMЧтобы контролировать или защищать системные ресурсы и использование, задаютсяпредельные значения для приложений, служб или процессов с помощью политик.Эти политики можно настраивать, чтобы вы могли применять различныестандарты к различным системам. Кроме ограничений по использованию, вы можететакже учитывать факторы расписания. Например, вы можете ограничить определенноеприложение использованием только 25% времени процессора в часыпиковой нагрузки рабочего дня. WSRM управляет своим собственным расписаниемс помощью встроенной календарной функции.Оснастка WSRM особенно полезна для систем, исполняющих несколько функциональныхролей (когда-то вы могли устанавливать и конфигурировать на одном компьютеретолько один тип рабочей нагрузки или роли). Различные функции могут конкурироватьза получение системных ресурсов, необходимых для выполнения текущихзадач. Если приложение, служба или процесс, связанные с определенной ролью сервера,чувствительны к потреблению системных ресурсов, то здесь может вмешаться WSRM,чтобы не допускать превышения границ, которые заданы в политиках.

Глава 26Планирование катастрофи восстановлениеПортятся диски, разрушаются материнские платы, пользователи портят файлы, анаводнения, пожары и все виды других катастроф происходят с пугающей регулярностью.Вы не сможете вернуть свое предприятие к жизни, если у вас не будет эффективногореализуемого плана восстановления после аварий.В этой главе я описываю некоторые средства Windows Server 2003, о которых выдолжны знать, чтобы быть уверенным в том, что сможете восстановить компьютерили всю систему вашей компании после катастрофы.Резервное копированиеРезервное копирование - это не только защита от катастроф; это также защита длявосстановления от ошибок. Резервные копии используются для восстановленияслучайно удаленных файлов не менее часто, чем для восстановления после аварий.Новые возможности резервного копированияЕсли вы переходите к Windows Server 2003 из Windows NT, то обнаружите, что в резервномкопировании появились новые функции (большинство из них были добавленыв Windows 2000). В данном разделе дается обзор этих функций.Теневая копия тома (volume shadow copy)Совершенно новым средством в Windows Server 2003 является теневая копия тома,то есть «моментальная» копия тома, для которого выполняется резервное копирование,что полезно в ситуации, когда у приложений открыты файлы. В теневую копиювключаются открытые файлы и файлы, которые используются в данный моментсистемой. Это означает, что пользователи могут продолжать доступ к системево время работы утилиты резервного копирования без риска потери данных.Это средство реализуется службой Volume Shadow Copy (VSS). Эта служба предоставляетновые функциональные возможности резервного копирования, включаяновые интерфейсы прикладного программирования (API), которые могут использоватькомпании по разработке ПО, если они хотят использовать эту службу.Служба Volume Shadow Copy уведомляет программы и службы, чтобы должно начатьсярезервное копирование, и приложения, поддерживающие VSS, подготавливаютсяк резервному копированию, очищая кэш и файлы журналов. Проверьте вдокументации приложений, выполняемых на вашем компьютере Windows Server2003, поддерживают ли они службу VSS. Если нет, то используйте рекомендацииэтого ПО для резервного копирования данных.В Windows Server 2003 входит средство командной строки, vssadmin.exe, котороевы можете использовать для управления этой службой. Подробную документацию

806 Windows Server 2003. Полное руководствопо этому средству см. в Windows Server 2003 Help and Support Center (Центр справкии поддержки), но здесь все же приводятся некоторые сведения по синтаксису.• Введите vssadmin list providers, чтобы вывести на экран имя, тип, идентификаторпровайдера и версию для всех установленных провайдеров теневых копий.• Введите vssadmin list shadows, чтобы получить список всех существующих теневыхкопий тома.• Введите vssadmin list volumes, чтобы получить список томов, допустимых для созданиятеневых копий.Несколько типов целевых носителейНаконец-то вы можете создавать резервные копии файлов на запоминающих устройствах(ЗУ) в дополнение к ленточным накопителям. Эта давно ожидавшаясявозможность означает, что вы можете использовать любой из следующих типов целевыхносителей:• лента;• сменный диск;• жесткий диск (логический диск, другой физический жесткий диск и т.д.);• записываемый CD-ROM.Примечание. Чтобы узнать, какие съемные диски работают с Windows Backup, посетитесайты следующих изготовителей: Iomega (www.iomega.com) для Zip-дисков идля NAS-дисков (Network Attached Storage - ЗУ, подключаемое к сети); Linksys(www.linksys.com) для NAS-дисков.Внимание. Поддержка QIC (четверть-дюймовых картриджей) и других ленточныхустройств подобного типа исключена.Резервное копирование/Восстановление состояния системыВ средство Backup включена возможность резервного копирования и восстановлениясостояния системы Windows (Windows System State). Компоненты, представляющиесостояние системы, различаются в зависимости от роли сервера на предприятии.Состояние системы на всех серверах. Следующие компоненты представляют состояниесистемы на всех компьютерах Windows Server 2003:реестр;база данных для классов регистрации СОМ+;загрузочные файлы, включая системные файлы;метакаталог IIS (если установлена IIS);системные файлы, которые находятся под защитой службы Windows FileProtection.Состояние системы для серверов со специальными ролями. В дополнение к компонентам,которые входят в состояние системы на всех серверах, следующие серверысо специальными ролями имеют дополнительные компоненты в их состоянии системы.

Глава 26. Планирование катастроф и восстановление 807Роль сервераCertificate Server (Сервер сертификатов)Domain Controller (Контроллер домена)Cluster Server (Сервер кластера)КомпонентыБаза данных Certificate ServicesActive Directory; папка SYSVOLКонтрольные точки реестра ресурсов;журнал восстановления кворум-ресурса(содержит информацию базы данныхкластера)Если на контроллере домена запущена служба DNS, то в части Active Directoryсостояния системы содержатся данные зоны DNS, интегрированной с ActiveDirectory. Данные зоны DNS, не интегрированной с Active Directory, которые сохраняютсяв виде .dns-файлов в папке %SystemRoot%\System32\DNS, являются частьюзагрузочного тома, поэтому они включаются в вашу резервную копию, есливы запускаете обычное резервное копирование (типа Normal).Резервное копирование защищенных системных файловВ Windows Server 2003 и последующих операционных системах содержится службаWindows File Protection, которая используется, чтобы избежать потери важных системныхфайлов за счет их перезаписи или удаления. Служба Windows File Protectionдействует путем поддержки файлов каталога, находящихся в папке %SystemRoot%\System32\catroot\{F750E6C3-38EE-llDl-85E5-00C04FC295EE}.В Windows NT 4 и более ранних версиях Windows NT вы могли выполнять выборочноерезервное копирование и восстановление файлов операционной системы втом же стиле, как файлы данных. Это означает, что вы могли задать операции добавочногорезервного копирования (типа incremental) и восстановления для файловоперационной системы.Начиная с Windows 2000, вы не можете выполнять добавочное резервное копированиефайлов операционной системы. Вместо этого системные файлы отображаютсяв резервную копию и восстанавливаются как единое целое. Если вы задаете в своейbackup-программе резервное копирование состояния системы (System State), это означает,что защищенные системные файлы будут копироваться автоматически.Интеграция со службой Remote StorageRemote Storage (Внешнее хранилище) - это средство Windows Server 2003, котороепозволяет вам сохранять данные на ленте или магнитооптических дисках в библиотекеи предоставлять пользователям доступ к этим данным. Это означает, что выможете освобождать пространство на диске от данных, которые давно записаны иредко используются, и предоставлять доступ к этим данным через библиотеку архивированныхфайлов.Интеграция с Task SchedulerКогда вы конфигурируете приложение backup для автоматизированной обработки,доступ к расписанию может осуществляться через Task Scheduler (Планировщикзадач).Управляемый отдельно носитель резервной копииЦелевой носитель обрабатывается службой RSM (Removable Storage Manager), котораявходит в состав Windows Server 2003. Эта служба создает библиотеки съемныхносителей и организует все для удобного доступа.

808 Windows Server 2003. Полное руководствоКонфигурация отказоустойчивых дисков не включаетсяв резервную копиюСистема Windows NT сохраняла информацию о настройках отказоустойчивых дисковв реестре. Поэтому в случае резервного копирования реестра вы получали возможностьвосстановления этих настроек. Однако, начиная с Windows 2000 Server,состояние Fault Tolerant Disk (Отказоустойчивый диск) сохраняется в скрытых секторахнепосредственно на диске, и его невозможно включить в резервную копию.Поэтому ведите аккуратные записи по конфигурации ваших отказоустойчивых дисков(включая наборы с чередованием, зеркальные диски и наборы томов), посколькувам придется реконфигурировать эти настройки, прежде чем начать операциювосстановления.Вопросы полномочий резервного копированияЧтобы выполнять резервное копирование всех папок и файлов на компьютере, выдолжны быть членом группы Administrators или группы Backup Operators. Если выне являетесь членом любой из этих групп, то можете выполнять резервное копированиетолько тех файлов и папок, которые отвечают следующим критериям.• Вы являетесь владельцем файлов и папок, для которых будете создавать резервнуюкопию.• Вы имеете хотя бы один из следующих уровней полномочий доступа к файлам ипапкам, для которых хотите создать резервную копию.• Read & Execute (Чтение и Выполнение).• Modify (Изменение).• Full Control (Полный доступ).Дисковые квоты и файлы резервных копийЕсли вы ограничены дисковой квотой и выполняете резервное копирование на жесткийдиск, то должны убедиться, что ваша дисковая квота не ограничивает вашивозможности сохранения файла резервной копии. Чтобы проверить, имеются ли увас ограничения в виде дисковых квот, щелкните правой кнопкой на диске, где выхотите сохранять данные, выберите пункт Properties и затем щелкните на вкладкеQuota (Квота).Примечание. Более подробную информацию по дисковым квотам см. в гл. 16.Типы резервного копированияWindows Backup позволяет выполнять пять следующих типов резервного копирования.• Normal (Обычное). Резервное копирование всех выбранных файлов и сброс атрибута«архивный» (Archive), который указывает, что для соответствующих файловбыла создана резервная копия.• Сору (Копирование). Резервное копирование всех выбранных файлов, но безсброса атрибута «архивный».

Глава 26. Планирование катастроф и восстановление 809• Incremental (Добавочное). Просмотр выбранных файлов и резервное копированиетолько тех файлов, которые изменились с момента последнего резервногокопирования. У файлов, для которых создается резервная копия, атрибут «архивный»сбрасывается.• Differential (Разностное). Резервное копирование тех файлов, которые изменилисьс момента последнего резервного копирования, но без сброса атрибута «архивный».• Daily (Ежедневное). Резервное копирование тех файлов, которые были добавленыили изменены в этот день. Атрибут «архивный» не сбрасывается.Единственное применение типа Daily - это резервное копирование файлов, надкоторыми вы работали сегодня, чтобы можно было взять их домой для продолжениявашей работы.Резервное копированиеЧтобы запустить приложение резервного копирования, откройте подменю SystemTools (Служебные) меню Accessories (Стандартные) и выберите Backup (Резервноекопирование). Появится окно мастера резервного копирования или восстановленияBackup or Restore Wizard, см. рис. 26.1.Welcome to the Backup orRestore WizardThiswizardhelpsyoubackuporrestore the filesandsetingsonyourcomputer.Ifyou prefer,youcan switch toAdvancedMode tochange thesetingsused forbackupor restore. This option isrecommendedforadvancedusers only.Ш Always start in wizard modelTo continue, сБск Next.Рис. 26.1. При вызове программы Backup открывается окно мастера, но вы можетеизбежать прохождения через окна мастераВы можете пройти через окна этого мастера, чтобы ответить на вопросы и задатьопции для задания резервного копирования. Альтернативно вы можете заходитьнепосредственно в окна этой программы, чтобы делать то же самое. Последнийспособ быстрее, и чтобы использовать его, щелкните на ссылке Advanced Mode(Расширенный режим), чтобы открыть окно программы Backup Utility (см. рис. 26.2).Совет. Если вы хотите всегда использовать режим Advanced Mode, то в начальномокне мастера сбросьте флажок Always Start in Wizard Mode (Всегда запускать в режимемастера), когда запустите в следующий раз эту программу.

810 Windows Server 2003. Полное руководствоS^Backup UMity - (UntitledlEdJ View loci: H*IStheduteJot» |WelcometotheBackupUtilityAdvancedModeII vou merer, you«an switch i» as-;,;! M,,d rto u.t sn^ifad «игда for back,*.o> resiae.Backup Wizaid lAdvancedlГ he P*-.kup „cud hete yc.j crcjie j ЬкКо cf yc«.« p^ann and |*иRes.Auloraaled Sy:ti»i. Recove.y WiiaidТЬз ASF) Plepaiahon №«d help» VCJ cieaiуиж :y:l«m i-ttmjs. !i*J.).(« r.wda И.х с.Рис 26.2. В окне программы Backup Utility имеются различные вкладки дляконфигурирования и запуска задач*"-дки дляКонфигурирование ПО резервного копированияПрежде чем запустить первое резервное копирование, имеет смысл сконфигурироватьбудущую работу этого ПО при резервном копировании или восстановиРИТС?кно OmioT ° 0lS/0ptionS(Сервис/Параметры), чтобы открыть диГошвоению этого ПО' К ° Т0Р0М М0ЖН ° СК ° НфИГурИр0Ватьиведение по умолча-Настройки вкладки GeneralВо вкладке General (Общие) выберите или отключите следующие возможности.• Compute selection information before backup and restore operations (Рассчитыватьинформацию о выборе, „ревде чем выполнять операции резервного копированнойвосстановления). Система рассчитает количество папок и файлов в выбра"вами множестве резервного копирования, а также пространство на диске котоПРеЖДеЧШНаЧэто^Тоб^димот ^Т^^ ^ ВТВ СЛУЧЭе Ре3ерВН0Г0 -опировТнияэто необходимо только в том случае, если емкость диска или дисков, которые выкопируете, намного больше емкости ваших целевых носителей и вы хотите знаГГГ 6 1 " ИЛИ ДИСК ° В ММ П0Треб У ется - В сл^ае восстановления 2 „еобх^'— выполняется „а диск, которыйPeed UP bu" ding restore catal °8 s on ^sk (Использокаталогина носителях, чтобы ускорить создание каталогов восстановленияна диске). При восстановлении из резервной копии система создает каталог на

Глава 26. Планирование катастроф и восстановление 811целевом диске, прежде чем восстанавливать файлы с носителя резервной копии.Если каталог носителей поврежден или у вас резервная копия на несколькихлентах и отсутствует лента, содержащая каталог, то вы не сможете использоватьэту опцию. Вместо этого программа будет сканировать ваши носителирезервной копии, чтобы создать каталог на диске с «нуля».• Verify data after the backup completes (Проверять данные после завершения резервногокопирования). В случае выбора этой опции после завершения резервногокопирования запускается процесс верификации между целевыми носителями ижестким диском. Однако этот процесс фактически заключается в проверке того,что ПО резервного копирования может читать файл на целевом носителе. Этосущественно отличается от сравнения по файлам, при котором гарантируетсясовпадение скопированного файла с исходным файлом. Правда, если ПО резервногокопирования не может прочитать файл, это часто является признаком,что имеется проблема носителя или даже типа носителя. Хотя это важная проверка,более надежным тестом является создание небольшой резервной копии ивосстановление из этой копии, после чего нужно проверить, что все файлы надиске остались такими же, как до восстановления.• Back up the contents of mounted drives (Резервное копирование смонтированныхдисков). Если вы используете монтированные диски, это гарантирует, что будетвыполнено резервное копирование данных смонтированного диска. Если отключитьэту опцию, то в резервное копирование будет включена только информацияо пути к смонтированному диску.• Show alert message when I start the Backup Utility and Removable Storage is notrunning (Выводить предупреждающее сообщение, если я запускаю Backup Utility,а служба Removable Storage [Съемные ЗУ] не работает). Выберите эту опцию,чтобы получать предупреждение, когда не запущена служба Removable Storage.Это необходимо только в том случае, если ваш целевой носитель управляетсяслужбой Removable Storage, то есть это лента или оптический диск.• Show alert message when I start the Backup Utility and there is recognizable mediaavailable (Выводить предупреждающее сообщение, если я запускаю Backup Utilityи имеется допустимый носитель). Выберите эту опцию, если вы используете носитель,который управляется службой Removable Storage, и вы хотите знать, имеетсяли и когда будет доступен новый носитель в пуле носителей.• Show alert message when new media is inserted (Выводить предупреждающее сообщение,когда происходит вставка нового носителя). Выберите эту опцию, если выиспользуете носитель, который управляется службой Removable Storage, и хотитезнать, что новый носитель был установлен в целевое устройство.• Always allow use of recognizable media without prompting (Всегда разрешать использованиедопустимого носителя без запроса пользователя). Выберите эту опцию,если вы используете носитель, который управляется службой Removable Storage,и хотите автоматически перемещать новый носитель, который не обнаружен этойслужбой, из доступного пула носителей в пул, который используется программойBackup.Настройки вкладки RestoreПараметры конфигурирования вкладки Restore (Восстановление) применяются дляслучаев частичного восстановления, но не для полного восстановления после авариидиска, когда вы снова создаете систему на новом диске. Выберите поведение поумолчанию для восстановления файлов, которые уже имеются на диске, среди следующихвариантов.

812 Windows Server 2003. Полное руководство• Don't replace existing files (He заменять существующие файлы).м Replace existing files when the files on the disk are older than the files on the restoremedia (Заменять существующие файлы, если файлы на диске изменялись раньше,чем файлы на носителе резервной копии).• Always replace the file on my computer (Всегда заменять файлы на моем компьютере).Конечно, безопаснее всего использовать первый вариант. Однако напомним,что вы задаете только конфигурацию по умолчанию, а при реальном восстановлениивы имеете возможность изменения настроек по умолчанию.Настройки вкладки Backup Type (Тип резервного копирования)Используйте раскрывающийся список в этой вкладке, чтобы выбрать тип резервногокопирования по умолчанию (все пять типов описаны выше в разделе «Типырезервного копирования»). Эта настройка по умолчанию для вашего сеанса резервногокопирования, и вы можете изменить тип, когда будет выполнять резервноекопирование.Настройки вкладки Backup Log (Журнал резервного копирования)Выберите вариант журнала для операции резервного копирования. У вас имеютсяследующие варианты.• Detailed (Подробно). В журнал включаются имена всех копируемых файлов ипапок.• Summary (Сводка). В журнал записываются главные процессы, включая времяначала резервного копирования и список всех файлов, которые не удается копировать.• None (Нет). Означает, что не поддерживается никакого журнала.Журналы резервного копирования имеют имена backupXX.log (где XX начинаетсяс 01) и содержатся в папке \Documents and 8еШ^5\\Ьоса1Settings\Application Data\Microsoft\Windows NT\NTBackup\data.В отличие от Windows Backup в Windows NT вы не можете изменить этот местоположение.Настройки вкладки Exclude FilesВо вкладке Exclude Files (Исключаемые файлы) выводится список файлов, которыеисключаются из резервного копирования (см. рис. 26.3). Вы можете добавлять файлык этому списку и применять эти новые исключения к данному компьютеру (независимоот пользователя, выполнившего вход) или к резервному копированию,которое происходит после того, как вы выполнен ваш вход.• Чтобы исключить определенные файлы для всех пользователей, щелкните накнопке Add New (Добавить новые файлы) под секцией Files Excluded For All Users(Файлы, исключенные для всех пользователей).• Чтобы исключить файлы в резервном копировании, которое выполняется вами,щелкните на кнопке Add New под секцией Files Excluded for Имя_пользователя(Файлы, исключенные для Имя_пользователя).Примечание. Если другие пользователи выполняют резервное копирование на вашемкомпьютере и хотят создать собственные наборы исключаемых файлов, то онидолжны выполнить вход для создания своего набора таких файлов.

Глава 26. Планирование катастроф и восстановление 813Omul | R.sicae ] Backup Type | Backup Log E«du* Fife |Ft-, «eluded for a» use»FfeiumeApple «к?п_Microsoft Writer (Boota.PowerManagementMemoryPage FileРис. 26.3. Исключите типыфайлов, которые не хотитевключать в резервное копированиеFt- «duded lor iser ixatxFfenareAppktfion0».JCancelСписок исключенных файлов записывается в раздел реестраHKEY_LOCAL_MACHINE\ System\CurrentControlSet\Control\BackupRestore\FilesNotToBackup. Поэтому такие файлы исключаются независимо от программырезервного копирования, которую вы используете, - Windows Backup или программаот стороннего поставщика.Создание задания резервного копированияНачните свое резервное копирование с запуска мастера Backup Wizard или с вкладкиBackup, чтобы вручную задать настройки для резервного копирования.Совет. Если вы используете мастер, то сначала используйте вкладку Backup для проверки(или изменения) носителя в поле Backup Media or Filename (Носитель илиимя файла резервной копии).Мастер предлагает три варианта выбора.• Полная резервная копия (full backup), то есть все, что есть на данном компьютере.• Выбранные файлы (Selected files), то есть вам нужно выбрать для резервногокопирования диски, папки и файлы в дереве иерархии системы.• Только состояние системы (System State).Если вы не используете мастер, предпочитая использовать режим Advanced Modeдля конфигурирования резервного копирования вручную, то перейдите во вкладкуBackup и выберите папки и файлы, которые хотите включить в резервную копию.Во вкладке Backup представлено дерево иерархии системы, и вы можете раскрыватьего для включения определенных объектов в резервную копию (см. рис. 26.4). Вашуказатель превращается в «галочку», что вызывает установку флажка при каждомщелчке. При повторном щелчке происходит сброс этого флажка. Чтобы выбратьобъект, установите флажок рядом с ним. Щелкните на диске или папке, чтобы вывестисодержимое в правой панели.

814 Windows Server 2003. Полное руководствоijBackup Utility - lUnliUed]l-Ь |d» эе~ 1«*И фw йЩ-ШШ Documents and SettingsI" ОЙЭ msdownldlmpФО© Program FilesФ O S RECYCLERj-QjgjSmtainVolimli maф D i a WINDOWSNam»„t My ComputerВ Ш My Documents, "»j My Network Placesф ф iive(E:)i S-OS NET Server CR on 'Admiri ft) ё-ПШ NETcompiefFigs on Admin' |I '' Ив! System Stale* ЕЗСЗ My DocumentsВ * J My Network Places, Backup ф-Лтеаюп| JBackup options:Sumr.oiylog•:< ite r.«t«.a\\West\WestD\AS 20021 Вас |Рис. 26.4. Выберите элементы для включения в резервное копированиеСовет. Не забудьте выбрать System State для локального компьютера (вы не можетевыполнить резервное копирование состояния системы на удаленном компьютере).Если вы используете службу Removable Storage (Съемные ЗУ) для управленияносителями или используете службу Remote Storage (Внешнее хранилище) для храненияданных, то включайте в резервную копию следующие папки, чтобы гарантироватьвосстановление данных Remote Storage и Removable Storage:• 5y5/e/n/ioo/\Systeni32\Ntmsdata• 6'>ttfe/«/Too;\System32\RemotestorageИмеются два варианта, доступных для выбора носителя (поле Backup Media orFile Name внизу окна вкладки Backup).• Back up to a file on a drive (Резервное копирование в файл на диске). Дискомможет быть жесткий диск или любой другой тип съемного или несъемного носителя.Если вы используете диск, то введите путь и имя файла (можно использоватьUNC-путь) или щелкните на кнопке Browse, чтобы выбрать целевой диск.• Back up to a tape device (Резервное копирование на ленточное устройство). Этотвариант доступен, только если система обнаруживает ленточное устройство наданном компьютере. Если выбран этот вариант, то носителем управляет системаRemovable Storage.Примечание. Вариант использования файла доступен всегда, даже если на компьютереесть ленточное устройство.

•• :rihtet.exJnwUMchlfcejbad-riup; • : ! . • : ; ; : - : ; . • ; • , • ; : • - ; . ; : • ; : • . • : • _ : : • : : . : • . ; = : ; : . ; . ; : ; • : . • • ;JГлава 26. Планирование катастроф и восстановление 815Если вы хотите сохранить эти опции конфигурирования, выберите Job/SaveSelections (Задание/Сохранить выбор), чтобы сохранить выбранное множество иопции в виде файла выбора для резервного копирования. Задайте имя этого файла(система автоматически добавит расширение имени .bks). Вы можете загрузить этозадание в любой момент для его использования (выберите Job/Load Selections), иможете также создавать и сохранять другие задания резервного копирования с другиммножеством выбранных файлов и папок. Но вы не обязаны сохранять ваш выбор,чтобы выполнить резервное копирование выбранного множества.Совет. Вы можете использовать файл с заданием резервного копирования для указанияфайлов и папок, если хотите запускать резервное копирование из команднойстроки. См. ниже раздел «Использование пакетных файлов для резервного копирования».Закончив выбор, щелкните на кнопке Start Backup (Запустить резервное копирование).Появится диалоговое окно Backup Job Information (Информация заданиярезервного копирования), где у вас запрашивается дополнительная информация обэтом задании.! m«j»a already соЫак backupiAocend ihh backup to

816 Windows Server 2003. Полное руководствоСредство Volume Shadow Copy (Теневая копия тома) активизируется по умолчаниюдля встроенной программы резервного копирования. При резервном копированиикомпьютера, которому не требуется это средство, отключите эту опцию, чтобысэкономить место и снять нагрузку, налагаемую этим средством. Но если средикомпонентов резервного копирования выбран элемент System State, то опция DisableVolume Shadow Copy (Отключить теневую копию тома) недоступна. Закончив конфигурированиедополнительных опций резервного копирования, щелкните на кнопкеОК, чтобы вернуться в диалоговое окно Backup Job Information. Чтобы начатьрезервное копирование, щелкните на кнопке Start Backup.Расписание резервного копированияЕсли вы хотите запланировать резервное копирование для запуска в другое время(задание автоматически добавляется в список Scheduled Tasks [Назначенные задания]),щелкните на кнопке Schedule (Расписание) в диалоговом окне Backup JobInformation. Если вы не сохранили файл выбора, то появится сообщение, что выдолжны сохранить свой выбор, прежде чем запустить резервное копирование. Щелкнитена кнопке Yes, чтобы выполнить эту задачу, и введите имя этого набора опцийв диалоговом окне Save Selections.Система запросит у вас информацию учетной записи, и по умолчанию будетпредставлен текущий пользователь. Вместо этого вы можете ввести имя и парольдля пользовательского имени, под которым должно запускаться это резервное копирование.Но если вы вводите другое пользовательское имя и пароль, то должнызнать о следующих правилах.• Пользователь, которого вы указываете, должен иметь подходящие права длявыполнения резервного копирования.• Этот пользователь становиться владельцем заданного набора резервного копирования.В диалоговом окне Schedule Job Options (Опции назначенного задания) введитеимя задания для этого резервного копирования (это имя будет появляться в окнеScheduled Tasks) и щелкните на кнопке ОК. Затем щелкните на кнопке Properties исконфигурируйте диалоговое окно Schedule Job (рис. 26.5).Вы можете оставить конфигурацию по умолчанию, чтобы запустить это заданиеоднократно, но обратите внимание, что указано текущее время, то есть фактическиуже прошедший момент. Введите нужное время или измените расписание, чтобырегулярно запускать это задание. После щелчка на кнопке ОК это задание перемещаетсяв папку Scheduled Tasks. (Подробнее об использовании Планировщика заданий[Task Scheduler] для назначенных заданий см. в гл. 8.)Использование пакетных файлов для резервногокопированияЕсли вы умеете работать с командной строкой, то можете запускать свои процедурырезервного копирования с помощью пакетного файла (batch-файла), используякоманду ntbackup. Прежде чем использовать командную строку, откройте программурезервного копирования в графическом интерфейсе и создайте список файлов ипапок, которые хотите включить в резервную копию, после чего сохраните эти настройкив .bks-файле. Кроме того, используйте диалоговое окно Options, чтобы задатьглобальные опции конфигурирования.

Глава 26. Планирование катастроф и восстановление 817Schedule JobSchedule | Seling» |И ЕПРис. 26.5. По умолчаниюзадание резервного копированияпланируется дляоднократного запускаSchedule b«kJlsrlims•S ";^- Ady*ced| Ihusdjr .Novembei07.2002"11 OK |CancetЕсли вы используете команду ntbackup, то по умолчанию для следующих ключейзаданы настройки, которые вы сконфигурировали в графическом интерфейсе(если вы не изменяете их непосредственно в командной строке): /V /R /L /M /RS /НС. Если вы создали несколько конфигураций в графическом интерфейсе, то можетесоздать несколько пакетных файлов резервного копирования. Используйте TaskScheduler, чтобы автоматизировать запуск ваших пакетных файлов резервного копирования.Ntbackup имеет следующий синтаксис.ntbackup backup [systemstate] «@bks имя файла» /J {«имя задания») [/Р {«имя пула*}][/G {«guid-имя»}] [/Т { «имя ленты»}] [/N {«имя носителя»}] [/F {«имя файла»}] [/D{«описание»}] [/DS {«имя сервера»}] [/IS {«имя сервера»}} [/A] [/V:{yes|no}][/R:{yes|no}] [/L:{f|s|n}] [/M {типрезервного копирования}} [/RS:{yes|no}] [/HC:{on|off}][/SNAP:{on|off}]где:systemstate указывает, что вы хотите включить в резервную копию System State (будетпринудительно задан тип резервного копирования Normal или Сору).@bks имя файла — имя файла выбора (.bks-файла), который вы хотите использоватьдля этого резервного копирования (символ @ должен быть указан перед именемфайла выбора). Вы должны создать этот файл с помощью графической версии программыBackup./J {«имя задания»} - имя задания для файла журнала./Р {«имя пула») - имя пула носителей, из которого вы хотите брать носители. (Использованиеэтого ключа запрещает использование следующих ключей: /A /G /F /Т.)/G {«guid-имя»} — использование ленты с указанным глобально уникальным идентификатором(GUID). (При использовании этого ключа вы не можете использоватьключ /Р.)/Т {«имя ленты»} - использование ленты с указанным именем ленты. (При использованииэтого ключа вы не можете использовать ключ /Р.)

818 Windows Server 2003. Полное руководство/N {«имя носителя»} - указание имени новой ленты. (При использовании этого ключавы не можете использовать ключ /А.)/F {«имя файла») - путь и имя файла для файла резервной копии. (При использованииэтого ключа вы не можете использовать следующие ключи: /Р /G Д.)/D {«описание») - метка для каждого набора резервного копирования./DS {«имя сервера»} - резервное копирование службы каталога для указанногоMicrosoft Exchange Server./IS {«имя сервера») - резервное копирование файла Information Store для указанногоMicrosoft Exchange Server./А - резервное копирование с использованием операции дополнения. (В сочетаниис этим ключом должен использоваться ключ /G или Д. Вы не можете использоватьэтот ключ в сочетании с ключом /Р.)/V:{yes|no} - указывает, проверять ли данные по завершении резервного копирования./R:{yes|no} - разрешает доступ к этой ленте только владельцу или членам группыAdministrators./L:{f|s|n} - тип файла журнала (f=full [подробно], s=summary [сводка], n=none [нет])./М {тип резервного копирования) - тип резервного копирования: Normal, Copy,Differential, Incremental или Daily./RS:{yes|no} - резервное копирование «мигрирующих» файлов данных, находящихсяв хранилище Remote Storage. Ключ /RS не обязателен для резервного копированиялокальной базы данных Removable Storage (содержит файлы-заменители RemoteStorage). Если вы включаете в резервную копию папку %SystemRoot%, то ntbackupавтоматически копирует также базу данных Removable Storage./HC:{on|off) - указывает, нужно ли использовать аппаратное сжатие на ленте (еслионо доступно)./SNAP:{on|off} - указывает, является ли данная резервная копия снимком тома.Работа с Removable Storage ManagerВы обнаружите несколько усложнений, свойственных утилите Backup Windows Server2003 при резервном копировании на ленточные устройства. Необходимость управленияленточными носителями с помощью Removable Storage Manager (RSM) и пуланосителей усложнила резервное копирование на ленту. Если вы переходите изWindows NT 4 и к тому же использовали пакетные файлы для резервного копирования,то, вероятно, будете недовольны этими новыми особенностями утилиты Backup.Во многих организациях ленты использовались просто как еще один вид носителей,и резервные копии записывались на любую ленту, которая находилась в ленточномнакопителе. Любой сотрудник мог монтировать ленту, менять ленту и удалятьленту из устройства. Например, если в среду кто-то устанавливал ленту с меткой«Среда», то отдел ИТ был уверен, что автоматическое резервное копирование, запускаемоеночью, будет выполнено на нужной ленте. Для успешной работы существовалолишь два требования.• Сотрудник, который устанавливал ленту, должен уметь читать (хотя бы дни недели).• В автоматические команды резервного копирования должны были включатьсоответствующие инструкции, касающиеся режима перезаписи или дополнения.Теперь это не так. Ваши пакетные файлы резервного копирования из WindowsNT 4 не работают с Windows Server 2003, поскольку они не содержат ключей дляуправления целевыми носителями.

Глава 26. Планирование катастроф и восстановление 819RSM обеспечивает надежность для организаций, которым требуется отслеживаниеи управление съемными носителями. Но использование RSM означает, что лентыуже нельзя произвольно помещать в ленточный накопитель. Ленты должны бытьподготовлены, проименованы, назначены для пулов носителей, и любое управлениелентами должно осуществляться через RSM.Учитывая все это, ниже приводятся некоторые указания, позволяющие избежатьпроблем при резервном копировании на ленту.• Следите, чтобы было подготовлено достаточное количество лент для операцийрезервного копирования, прежде чем начать эти операции (вы не можете простовзять еще одну ленту, если это потребуется). Используйте функции оснасткиComputer Management, чтобы перемещать их в пул Backup или в пул Import (еслиутилита Backup обнаруживает ленту в пуле Import, она спрашивает, хотите ли выимпортировать ее).• Используйте физические метки на лентах, чтобы дублировать информацию RSMо соответствующей ленте.• Ведите ручной журнал лент, записывая, когда они использовались в последнийраз, чтобы гарантировать успешное восстановление в случае аварии диска. Альтернативно(или дополнительно) вы можете задать в Backup запись в журналподробной информации (вариант detailed) и затем распечатывать эти журналы исохранять их.Подробнее об использовании Removable Storage Manager см. в гл. 16.ВосстановлениеДля восстановления файлов вы должны использовать графическую версию утилитыBackup независимо от того, как создавали резервную копию, - с помощью графическойверсии backup или из командной строки. Операции восстановления недоступныиз командной строки.Использовавшийся тип резервного копирования влияет на способ восстановления,поэтому при необходимости восстановления вы должны определить, какиефайлы резервной копии вам требуются.• Если вы всегда выполняете резервное копирование типа Normal, то вам требуетсятолько последняя резервная копия.• Если вы применяете резервное копирование типа Differential, то вам потребуетсяпоследняя резервная копия типа Normal и последняя резервная копия типаDifferential.• Если вы применяете резервное копирование типа Incremental, то вам потребуетсяпоследняя резервная копия типа Normal и все резервные копии типаIncremental, созданные с момента последнего резервного копирования типаNormal. Восстановление из резервных копий типа Incremental следует выполнятьв таком же порядке, как они создавались.Восстановление файлов и папокДля восстановления файлов и папок откройте программу Backup и решите, что хотитеиспользовать: мастер восстановления Restore Wizard или ручное конфигурированиеоперации восстановления. Если вы решили использовать возможности мастера,щелкните на кнопке Next и выберите вариант Restore Files and Settings

820 Windows Server 2003. Полное руководство(Восстановление файлов и настроек). Затем следуйте инструкциям для выполненияэтой операции (вы увидите те же опции, которые описываются в этом разделе дляпроцедуры ручного восстановления).Примечание. В этом разделе охватываются обычные файлы и папки, а не файлыSystem State, которые восстанавливаются с помощью специальных процедур (см.ниже в этой главе).Для ручного восстановления перейдите во вкладку Restore and Manage Media (Восстановлениеи управление носителями). В левой панели приводится древовидноепредставление ваших наборов резервного копирования, и вы можете раскрыватьлюбой набор для выбора отдельных папок и файлов или выбора самого набора длявосстановления целиком его содержимого (см. рис. 26.6).зк Backup Utility - (Restore and Manage Media]Job Ejit Vie 1 .*. 1 lo-U HelpWelcome | 8a:kup Reiloie end Manage Me*a | Schedule Jobt |гСД E»p-»>j!h

Глава 26. Планирование катастроф и восстановление 821Опции местоположения файловВо вкладке Restore and Manage Media используйте текстовое поле Restore Files To(Восстанавливать файлы в) в нижнем левом углу этой вкладки, чтобы задать целевоеместоположение для файлов, которые нужно восстановить. В раскрывающемсясписке предлагаются три варианта.• Original location (Исходное местоположение). Восстановление в первоначальнойпапке (папках). Используйте этот вариант при восстановлении папок или файлов,которые были повреждены или случайно удалены.• Alternate location (Другое местоположение). Восстановление в указанной вамипапке. Используйте этот вариант при восстановлении файлов, которые могутвам потребоваться, но вы хотите быть уверены, что не перезапишете существующиефайлы. Структура исходной папки сохраняется в альтернативной папке.• Single folder (Одна папка). Восстановление всех файлов в одной папке. Единственнаяситуация для использования этого варианта - это случай, когда вы знаете,что потерян файл на диске, но вы не можете найти его в папке резервнойкопии, хотя предполагаете, что он там есть (или у вас нет времени искать его).При этом варианте не происходит перепись папок, то есть исходная структурапапок утрачивается. Все файлы копируются подряд в целевую папку.Опции замены файловВ меню Tools выберите пункт Options и перейдите во вкладку Restore, чтобы задатьусловия восстановления файлов.GeneralRestore jBacfc.i4>Type-j BackupUg|Exclude Fies |When letiorng а tile 1Ьы с akeady on my compulei("• Jjt. ntf гёгДме ihelile опту

822 Windows Server 2003. Полное руководствоОпции для исключаемых файловОпределенные файлы, содержащиеся в наборе резервного копирования, восстанавливатьне нужно, и вы можете добавить их к списку вкладки Exclude Files (Исключитьфайлы) диалогового окна Options. По умолчанию имена исключенных файловзаписываются в раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ BackupRestore\KeysNotToRestore, и эти файлы не восстанавливаютсянезависимо от того, что вы используете, - утилиту Windows Backupили программу от стороннего поставщика.Дополнительные опции восстановленияПосле того, как вы задали свои параметры, щелкните на кнопке Start Restore (Начатьвосстановление). Появится сообщение Confirm Restore (Подтверждение восстановления),где предоставляется возможность задать дополнительные настройкиконфигурации, прежде чем начать перемещение файлов. Щелкните на кнопкеAdvanced, чтобы увидеть дополнительные опции.Advanced Restoie Options! Pjn-Дюп рог*; and кяот lie and lcW*< Mi und-

Глава 26. Планирование катастроф и восстановление 823Помечать реплицируемые данные как главные. Если вы восстанавливаете реплицируемыеданные, то флажок When Restoring Replicated Data Sets, Mark The Restored DataAs The Primary Data For All Replicas (При восстановлении наборов реплицируемыхданных помечать восстанавливаемые данные как главные данные для всех реплик)важен в том случае, если вы восстанавливаете данные (Active Directory), включенныев службу репликации файлов (FRS, File Replication Service). См. следующийраздел «Восстановление контроллеров доменов».Если этот флажок сброшен, то данные FRS, которые вы восстанавливаете, будутперезаписаны в результате репликации, поскольку они «старше» соответствующих данныхна других участвующих в репликации серверах. При установке данного флажкаWindows Server 2003 помечает эти данные более поздней датой, чем на других серверах.Restore the Cluster Register to the Quorum Disk and All Other Nodes (Восстанавливать регистркластера на кворум-диске и в других узлах). Восстановление базы данных кворум-ресурсакластера на сервере и его последующая репликация в другие узлы.Preserve Existing Volume Mount Points (Сохранить существующие точки монтированиятомов). Используйте этот флажок, когда восстанавливаете существующий (ранееотформатированный и использовавшийся диск), чтобы указать Windows Server 2003на необходимость восстановления точек монтирования томов, которые были включеныв резервное копирование. Не устанавливайте этот флажок, если вы восстанавливаетеданные в совершенно новой конфигурации, где вы применили новуюконфигурацию (даже если она напоминает старую) из-за установки нового диска.Восстановление контроллеров доменаДля восстановления контроллеров домена требуются особые шаги. Эту задачу нельзявыполнить дистанционно; это нужно делать на самом контроллере домена (DC).Имеется три типа операций восстановления, которые можно использовать для контроллеровдомена:• Primary restore (Первичное восстановление);• Normal (nonauthoritative) restore [Обычное (Неавторитарное) восстановление];• Authoritative restore (Авторитарное восстановление).Восстановление системных службВосстанавливая DC, вы восстанавливаете системные службы (SYSVOL и ActiveDirectory) в папке System State этого DC. Это можно делать только в режиме восстановленияслужб каталога (Directory Services Restore Mode), который является формойБезопасного режима (Safe Mode). Для этого перезагрузите компьютер и нажмитекнопку F8, чтобы вызвать появление меню выбора операционной системы. В спискевариантов загрузки выберите Directory Services Restore Mode. Далее происходятследующие действия.• Появится сообщение: «The system is booting in safemode - Directory Services Repair»(Система загружается в безопасном режиме - восстановление служб каталога).• Выберите загрузку операционной системы Windows Server 2003.• В четырех углах экрана появятся слова «safe mode».• Будут появляться сообщения (Preparing Network Connections, Applying Security).• Появится стандартное диалоговое окно приветствия Welcome to Windows, с указанием«Press CTRL-ALT-DELETE to begin» (Нажмите клавиши CTRL-ALT-DELETE).

824 Windows Server 2003. Полное руководство• Вы нажимаете CTRL-ALT-DEL и выполняете вход как локальный Administrator.• Появится окно сообщения с пояснениями, что Windows работает в режиме SafeMode, и с деталями разнообразных действий, которые вы можете попытатьсявыполнить, чтобы ваш компьютер загружался нормально. Щелкните на кнопкеОК.• Появится рабочий стол с четырьмя текстами Safe Mode по углам. Используйтеменю Start, чтобы открыть Backup и выполнить процедуру восстановления спомощью мастера или вручную.Выбор типа восстановления для контроллера доменаТип восстановления, которое вы можете выполнить для контроллера домена (DC),зависит от состояния данных, которые вы сохранили в резервной копии, относительноданных на других DC в этом домене. Чтобы принять решение, вы должнызнать, каким образом контроллеры домена реплицируют данные.При репликации данных Active Directory операционная система использует порядковыеномера обновления, чтобы определить, какой набор данных является самымпоследним. Это гарантирует, что более ранние данные никогда не будут записаныповерх более поздних данных. В конце процесса репликации ОС назначаетновые порядковые номера обновления, чтобы следить за новыми/старыми данными.При резервном копировании состояния системы (System State) на DC текущиепорядковые номера обновления (update sequence number - USN) включаются в резервнуюкопию вместе с данными.Восстановление типа PrimaryВыберите вариант восстановления типа Primary, если вы восстанавливаете изолированныйDC или восстанавливаете первый набор репликации (и позже восстановитевсе DC в домене). Вы не можете выполнять восстановление типа Primary, еслиодин или несколько наборов репликации уже восстановлены на других DC.Восстановление типа Normal (Nonauthoritative)Это просто обычный тип восстановления. Используйте его, если вы восстанавливаетеDC для объединения с другими, работающими DC. Active Directory восстанавливаетсяс его исходным порядковым номером обновления. Поскольку это устаревшийпорядковый номер (меньше, чем текущие порядковые номера обновленияна других DC), то база данных Active Directory будет перезаписана при следующемсобытии репликации, и DC, который вы восстанавливаете, будет синхронизированс данными домена. Это «неавторитарное» восстановление, и оно подходит, когдавы восстанавливаете данные, который должны быть заменены реплицированнымиданными Active Directory с другого DC. Неавторитарное восстановление - это способработы, когда вы заменяете DC после аварии или модернизации оборудованияи хотите, чтобы этот компьютер был синхронизирован при следующей репликации.Восстановление типа AuthoritativeПредположим, что ваша база данных Active Directory была повреждена и поврежденныеданные были реплицированы на другие DC. После восстановления SystemState с неповрежденными данными порядковые номера обновления будут намногоменьше, чем порядковые номера обновления на других DC. При следующей репликацииваши незапорченные данные будут перезаписаны поврежденными даннымис других DC.

Глава 26. Планирование катастроф и восстановление 825Чтобы избежать этого, вам нужно запустить авторитарное восстановление, прикотором восстановленные данные реплицируются на другие DC. Во время процессаавторитарного восстановления система устанавливает другие порядковые номераобновления, чтобы восстановленные данные считались «самыми последним»набором данных.Примечание. Термин «поврежденные» часто сопровождается (и часто вызывается)ошибочным удалением одного или нескольких важных объектов в Active Directory.Чтобы подготовить авторитарное восстановление, вы должны запустить утилитуntdsutil (находится в папке %SystemRoot%\System32) после восстановления данныхSystem State и до перезагрузки сервера. Ntdsutil позволяет вам помечать объектыActive Directory для авторитарного восстановления. Фактически это означает,что порядковый номер обновления для такого объекта изменяется, чтобы он былбольше любого другого порядкового номера обновления в системе репликации ActiveDirectory.Данные с наиболее высоким порядковым номером обновления реплицируютсяпо всей организации. Ntdsutil добавляет 100000 к порядковому номеру обновления,который она находит в восстановленных данных.Ntdsutil применяется следующим образом.1. Находясь в режиме Directory Services Restore Safe Mode (после восстановления),откройте окно командной строки.2. Введите ntdsutil.3. Система выведет в строке ntdsutil:4. Введите authoritative restore.Ntdsutil изменит порядковый номер обновления. После этого вы можете перезапуститьсервер и выполнить обычную загрузку. Восстановленные данные SystemState будут источником для следующей процедуры репликации.Восстановление состояния системы в другом местеВ зависимости от причины, по которой требуется восстановить данные, вам можетпотребоваться восстановление System State в другом месте во время процесса восстановления.Например, у вас может быть проблема, которая требует восстановлениятолько локального компьютера (локальных файлов и настроек, не связанных сролью этого компьютера как контроллера домена).При восстановлении данных System State в другом месте там восстанавливаютсятолько файлы реестра, файлы каталога SYSVOL и загрузочные файлы системы.Windows Server 2003 не восстанавливает Active Directory, базу данных служб каталога,базу данных Certificate Services или другие базы данных уровня домена, если выуказываете другое место. Поэтому, если проблема, требующая восстановления, связанатолько с локальным компьютером, то укажите другое место во время процедурывосстановления и затем скопируйте эти файлы в папку System State. Системныеслужбы (Active Directory и т.д.) в папке System State не будут заменены более раннимиданными из резервной копии.Примечание. Даже если вы решили восстановить System State в другом месте, всеравно вы должны выполнить описанные выше шаги для восстановления в режимеDirectory Services Restore Mode.

826 Windows Server 2003. Полное руководствоКонсоль восстановления(Recovery Console)Самым лучшим в Recovery Console, которая появилась в Windows 2000, является то,что она действительно работает. Кроме того, она проста и логична в использовании.Microsoft наконец-то предоставила нам средство восстановления после катастроф,на которое мы можем полагаться! Это программа, запускаемая из команднойстроки, которая позволяет исправлять ОС и которая работает как в файловой системеFAT, так и в NTFS.Работая в Recovery Console, вы можете запускать и прекращать работу служб,исправлять главную загрузочную запись (MBR - Master Boot Record), читать и записыватьданные на локальный жесткий диск, копировать данные (такие как поврежденныеили отсутствующие системные файлы) с гибкого диска или CD-ROMи выполнять другие задачи из командной строки.Вы можете войти в Recovery Console, когда захотите, запустив ее с CD WindowsServer 2003, или можете заранее установить ее на случай какой-либо аварии.Имеет смысл заранее установить Recovery Console на важных серверах, а такжена рабочих станциях персонала ИТ. Это компьютеры, которые вам требуется быстровосстановить, когда на них возникают серьезные проблемы, и установка консоливосстановления означает, что вам не придется тратить время на поиск CD WindowsServer 2003 или выполнять процессы, через которые приходится проходить для доступак Recovery Console с этого CD.Доступ к Recovery Console с CDЕсли вы не установили заранее Recovery Console, используйте CD Windows Server2003 как спасительное средство, если операционная система не загружается совсемили загружается с таким количеством ошибок, что становится ясным наличие проблемы.Запустите загрузку вашего компьютера с этого CD (для этого вам, видимо, потребуетсяизменить настройки BIOS во время запуска) и позвольте запуститься программеустановки (Setup). Когда появится вопрос, хотите ли вы продолжить установкуоперационной системы, нажмите для продолжения клавишу ENTER. Setupзагрузит файлы, как при стандартной установке. По окончании этой функции навашем экране появится сообщение Welcome to Setup (Приглашение к установке). Всообщении содержится три опции.• То set up Windows, press ENTER (Для установки Windows нажмите клавишуENTER).• То repair Windows, press R (Для исправления Windows нажмите клавишу R).• To quit Setup, press F3 (Для прекращения установки нажмите клавишу F3).Для запуска Recovery Console нажмите клавишу R. Recovery Console работает втекстовом режиме, и на экране появляется нумерованный список папок операционныхсистем. Если у вас не действует двойственная загрузка, то будет присутствоватьтолько одна запись (обычно C:\Windows).Введите номер установки Windows Server 2003, в которую вы хотите войти, чтобывнести исправления, и нажмите клавишу ENTER. Вы должны ввести номер донажатия клавиши ENTER, даже если представлена только одна запись. Если на-

Глава 26. Планирование катастроф и восстановление 827жать ENTER без ввода номера, то компьютер перезагрузится и вам придется начатьвсе заново.Примечание. Зеркальные тома представлены дважды в списке установок Windows вRecovery Console, но в каждой записи указана одна и та же буква диска, то есть этоодна и та же установка. Любые изменения, которые вы вносите в окне RecoveryConsole, будут «зеркалироваться».Recovery Console автоматически осуществляет вход администратора, поэтомувведите пароль локального администратора и нажмите клавишу ENTER. (Вы входитепод учетной записью локального администратора, а не администратора домена.)Примечание. Поскольку вам нужно выполнить вход, чтобы войти в Recovery Console,это средство не работает, если поврежден или отсутствует улей SAM (Security AccountsManager). В этом случае вам придется переустановить операционную систему.Вы оказываетесь в папке %SystemRoot% и можете вводить команды RecoveryConsole для выполнения задач восстановления (см. ниже в этом разделе).Установка Recovery Console на компьютереВы можете заранее установить Recovery Console, чтобы эта консоль была доступна влюбой момент, когда вам это потребуется. Вам следует выполнить эту задачу на всехкомпьютерах вашего предприятия, которые считаются критически важными. Высами должны решить, какие компьютеры являются для вас «критически важными»,но обычно это компьютеры, проблемы которых нужно быстро устранить во избежание«хаоса», то есть контроллеры домена, серверы, которые предоставляют услугипользователям клиентских компьютеров, ваша собственная рабочая станция ирабочие станции членов персонала ИТ.Чтобы заранее установить Recovery Console, поместите CD Windows Server 2003в накопитель CD-ROM. Выберите Start/Run (Пуск/Выполнить) и введитеd:\i386\winnt32.exe /cmdcons (где d - это буква диска для накопителя CD-ROM). Выможете также использовать UNC-путь для установки Recovery Console из разделяемойточки сети.Система попросит вас подтвердить установку. Щелкните на кнопке Yes, чтобызапустить процедуру установки (Setup). Setup скопирует соответствующие файлына ваш жесткий диск и затем выведет сообщение, что Recovery Console успешноустановлена. Вы должны перезагрузить компьютер, чтобы закончить этот процесс.Внимание. Вы не можете заранее установить Recovery Console на зеркальном томе.Если компьютер, на котором вы хотите заранее установить Recovery Console, имеетзеркальный том, то вы должны сначала разделить (Break) это зеркало. УстановитеRecovery Console и затем снова создайте зеркальный том. Вы не сможете заранееустановить Recovery Console на компьютере с процессором Itanium. В этом случаевы должны использовать CD.Затем во время загрузки вы будете видеть в меню пункт для Recovery Console.Используйте клавишу «стрелка вниз», чтобы выбрать пункт меню Recovery Console,что требует входа по учетной записи Administrator.

828 Windows Server 2003. Полное руководствоИспользование Recovery ConsoleИспользуя Recovery Console, вы работаете в специальной командной строке, котораяотличается от обычной командной строки Windows Server 2003. Recovery Consoleимеет собственный интерпретатор команд.Правила для использования Recovery ConsoleКогда вы работаете в окне Recovery Console, по умолчанию действуют несколькоправил, наиболее важными из которых являются следующие правила.• Вы имеете доступ только в папку %SystemRoot% и ее подпапки той ОС, в которуювыполнили вход в Recovery Console.• Вы не имеете доступа к корню диска и к другим папкам, таким как Program Files,Documents and Settings, а также к папке %SystemRoot% других установленных увас ОС Windows.• Вы не можете копировать файл с жесткого диска на съемный носитель.• Вы можете изменять эти пара, - см. ниже раздел «Изменение правил для RecoveryConsole».Команды Recovery ConsoleПри работе с Recovery Console вам доступен определенный ограниченный наборкоманд. Многие из этих команд доступны также в стандартной командной консолиWindows, но в большинстве случаев эти команды имеют другие параметры или параметрыимеют иной смысл в Recovery Console. Поэтому имеет смысл ознакомитьсяс этими командами и с действием этих параметров в Recovery Console.Attrib. Используйте команду attrib для изменения атрибутов одного файла или подпапки.Синтаксис:attrib имя_файла\имя_папкиBatch. Используйте команду batch для выполнения команд, заданных в текстовомфайле. Используйте следующий синтаксис:batch входной_файл [выходной_файл]где:входной_файл - это текстовый файл, содержащий команды,выходной_файл содержит выходные результаты команд (если он опущен, то результатывыводятся на экран).CD (Chdir). В Recovery Console команда CD работает только с системными папкамитекущей установки Windows, со съемными носителями, с корневой папкой любогораздела жесткого диска или с локальными источниками установки.Chkdsk. Вы можете использовать chkdsk в Recovery Console для проверки и исправлениясбойных секторов на диске. Для chkdsk используется следующий синтаксис:chkdsk [/р]/[/г]где:/р указывает проверку диска, даже если диск не помечен как проблемный,/г указывается для обнаружения сбойных секторов и восстановления любой читаемойинформации (подразумевается использование /р).

Глава 26. Планирование катастроф и восстановление 829Chkdsk требует autochk.exe и автоматически ищет эту программу в загрузочнойпапке. Если она не найдена, то chkdsk ищет ее на установочном CD Windows Server2003. Если установочный CD не найден, то chkdsk запрашивает у пользователя местоположениеautochk.exe (обычно это %SystemRoot%\System32).CIs. Введите els для очистки экрана.Сору. Используйте команду сору для копирования одного файла в указанное местосо следующими ограничениями.• Это не должен быть съемный носитель.• Вы не можете использовать символы подстановки.При копировании сжатого файла с установочного CD Windows Server 2003 налокальный диск происходит автоматическая распаковка этого файла.Del (Delete). В Recovery Console вы можете использовать команду del только с однимфайлом; в данном случае она не поддерживает символы подстановки. Команда работаетс системными папками ОС Windows, выбранной вами при входе в RecoveryConsole, со съемными носителями и с корневой папкой любого раздела жесткогодиска.Dir. Используйте команду dir, чтобы вывести список всех файлов в текущей папке.Система автоматически включает в этот список скрытые и системные файлы.Disable. Используйте команду disable, чтобы отключать какую-либо системную службуили драйвер Windows. Эта команда имеет следующий синтаксис:Disable имя_службыКогда вы вводите эту команду, система выводит сначала первоначальный типзапуска данной службы, прежде чем изменить его на SERVICE_DISABLED. Вамследует записать первоначальный тип запуска, чтобы можно было снова активизироватьэту службу (см. ниже описание команды enable).Diskpart. Используйте команду diskpart для управления разделами на томах жесткихдисков, применяя следующий синтаксис.Diskpart [/add//delete] [имя-устройства/имя-диска/имя-раздела] [размер] где:/add указывает добавление нового раздела./delete указывает удаление существующего раздела.имя-устройства - это имя устройства для нового раздела (например, \Device\HardDiskl).имя-диска - это буква диска для раздела, который вы удаляете (например, D:).имя-раздела - это имя уровня раздела для раздела, который вы удаляете (можно использоватьвместо параметра имя-диска, например, \Device\HardDiskO\Partitionl).размер - это размер нового раздела в мегабайтах.Enable. Используйте команду enable, чтобы активизировать первоначально или повторнокакую-либо системную службу или драйвер Windows. Эта команда имеет следующийсинтаксис:enable имя_службы [тип-запуска]где:имя_службы - это имя службы или драйвера, который вы хотите активизировать.

830 Windows Server 2003. Полное руководствотип-запуска — это один из следующих типов запуска уникальной службы:• SERVICE_BOOT_START• SERVICE_SYSTEM_START• SERVICE_AUTO_STARTм SERVICE_DEMAND_STARTExit. Используйте команду exit для выхода из Recovery Console. Компьютер автоматическивыполнит перезагрузку.Expand. Используйте команду expand для распаковки сжатого файла или .cab-файла.Эта команда обычно применяется для извлечения драйверов с использованиемследующего синтаксиса.Expand источник [/{'.файлы] [целевая-папка] [/у]Expand источник [/{-.файлы] /йгде:источник - файл, который вы хотите распаковать, если этим источником являетсяодин файл. Символы подстановки не допускаются.целевая-папка - папка для извлекаемого файла Если этот параметр опущен, то используетсятекущая папка. Целевой папкой не может быть съемный носитель,/у указывает автоматическое подтверждение перезаписи существующего файла./{-.файлы используется, если источник содержит более одного файла. Обычно этонесколько файлов из одного .cab-файла. Разрешается использовать символы подстановки./А - вывод на экран списка файлов, содержащихся в .cab-файле источника. Файлыне распаковываются и не копируются.Fixboot. Используйте команду fixboot для записи нового загрузочного сектора в системномразделе. Используется следующий синтаксис.fixboot [диск:]Fixmbr. Используйте команду fixmbr для исправления кода MBR в загрузочном разделе.Используется следующий синтаксис.fixmbr [имя-устройства]где:имя-устройства указывает устройство, которому требуется новая MBR.Вы можете получить имя-устройства с помощью команды тар (см. ниже). ЕслиЭТОТ параметр опущен, то происходит запись новой MBR на загрузочное устройство(диск, который содержит системные файлы для ОС Windows, с которой вы работаете).Если система «сомневается» в состоянии указанного устройства, то вы получаетепредупреждение и у вас запрашивается, хотите ли вы продолжить работу команды.Сомнения возникают, если сигнатура таблицы разделов выглядит как ошибочнаяили нестандартная. Если причиной вашего использования Recovery Consoleявляется проблема доступа к дискам, не продолжайте. Запись новой MBR можетвызвать повреждение таблицы разделов, что сделает раздел недоступным.Format. Используйте команду format для форматирования диска, используя следующийсинтаксис.

Глава 26. Планирование катастроф и восстановление 831format [диск:] [/q] [/^файловая-система]где:диск: - это диск, который вы хотите форматировать. Вы не можете указать гибкийдиск./q указывает быстрое форматирование, при котором диск не проверяется на сбойныеучастки./\&:файловая-система указывает один из следующих вариантов файловой системы:• FAT• FAT32Help. Используйте команду help для получения информации о командах RecoveryConsole. Используйте следующий синтаксис.help [команда]Если не указано никакой команды, то система выводит все команды, поддерживаемыев Recovery Console.Примечание. Для получения справки по конкретной команде вы можете также ввестикоманда /?Listsvc. Используйте команду listsvc для вывода списка всех доступных служб и драйверовна данном компьютере.Logon. Используйте команду logon для входа в другую установленную ОС Windowsпосле того, как вошли в Recovery Console для первоначально выбранной ОС Windows.При вводе этой команды на экран выводится список всех ОС, установленных наданном компьютере. После выбора конкретной ОС у вас запрашивается пароль локальногоадминистратора для этой ОС.Внимание. Если вы вводите неверный пароль три раза, то Recovery Console автоматическивыполняет команду exit и перезагружает компьютер.Map. Используйте команду тар, чтобы вывести список отображений устройств, типфайловой системы и размер дисков на данном компьютере. Эта информация требуетсявам, чтобы вы могли использовать команды fixboot и fixmbr.Синтаксис:map [arc]где:arc указывает использование имен Advanced RISC Computing (ARC) вместо стандартныхимен устройств.Примечание. ARC-формат используется для задания путей к устройствам в файлеboot.ini. Информацию по файлу boot.ini и ARC-формату см. в гл. 5.MD (Mkdir). Используйте команду MD для создания новой папки или подпапки. ВRecovery Console эта команда работает только со следующими областями.

832 Windows Server 2003. Полное руководство• Системные папки текущей установки Windows (то есть установленной ОС, вкоторую вы выполнили вход).• Съемные носители.• Корневая папка любого раздела жесткого диска.More. Используйте команду more, чтобы вывести на экран текстовый файл.Синтаксис:тоге [имя-файла]где:имя-файла — это полный путь к этому файлу (если файл находится вне локальнойпапки).net use. Используйте эту команду, чтобы указывать (отображать) букву накопителядля сетевого разделяемого ресурса. Команда net use имеет следующий синтаксис.net use [\\Имя-компьютера\Имя-разделяемого-ресурса [/м$а:[Имя-домена\\Имяпользователя] пароль] \[буква-накопителя:] [/А]где:\\Имя-компьютера\Имя-разделяемого-ресурса - имя сервера и разделяемого ресурса./user: используется для пользовательского имени, которое вы хотите использоватьдля подсоединения к разделяемому ресурсу.Имя-домена — имя домена, который может опознать пользователя.Имя-пользователя — пользовательское имя, под которым выполняется вход.Пароль - это пароль, необходимый для доступа к этому разделяемому ресурсу (еслион опущен и если для доступа к разделяемому ресурсу требуется пароль, то системазапрашивает пароль)./d указывает отсоединение отображаемого накопителя.Примечание. Если имя-компьютера содержит пробелы, заключите в кавычки всеимя компьютера (от двух обратных слэшей до конца имени компьютера).RD (Rmdir). Используйте команду RD для удаления пустой папки. Вы не можете использоватьсимволы подстановки. Эта команда работает только со следующимиобластями.• Системные папки установки Windows, в которую вы выполнили вход в окнеRecovery Console.• Съемные носители.• Корневая папка любого раздела жесткого диска или локальные источники установки.Ren (Rename). Используйте команду геп для изменения имени файла, применяя следующийсинтаксис.геп [диск:] [путь] имя-файла-1имя-файла-2Вы можете использовать эту команду только с одним файлом и не можете использоватьсимволы подстановки. Вы не можете указать другой путь для параметраимя-файла-2.

Глава 26. Планирование катастроф и восстановление 833Set. Используйте команду set, чтобы выводить на экран и задавать переменные средыRecovery Console. Вы должны разрешить использование команды set в RecoveryConsole, используя шаблоны безопасности Group Policy Security Templates. См. следующийраздел, «Изменение правил для Recovery Console».Systemroot. Используйте команду systemroot, чтобы задать текущую папку для папки%SystemRoot% ОС Windows, в которую вы выполнили вход, когда начали работатьс Recovery Console.Туре. Используйте команду type, чтобы выводить на экран текстовый файл. Синтаксис:type имя-файлаИзменение правил для Recovery ConsoleВы чувствуете, что вас «ущемляют» правила и ограничения, налагаемые RecoveryConsole? Хорошо, давайте изменим их. Microsoft предусмотрела такую возможность,если вы готовы выйти за рамки, налагаемые средой по умолчанию Recovery Console.Однако напомним, что вы используете некоторые очень мощные команды, а полевашей деятельности — это часть компьютера, содержащая «сердце» операционнойсистемы. Расширяя свои возможности, вы увеличиваете вероятность повреждений.Задание политик, разрешающих изменения среды Recovery ConsoleВы можете расширить возможности Recovery Console за счет отмены структур, встроенныхв эту среду. Отмена выполняется с помощью команды set, которую вы можетеиспользовать для изменения правил. Вы должны подумать, прежде чем предоставлятьсамому себе дополнительные возможности управления любым компьютером,где заранее установили Recovery Console.Вы можете использовать команду set для изменения среды в Recovery Console(вместо простого использования этой команды для просмотра правил), но сначалавы должны разрешить эту возможность. Это осуществляется путем изменения политикбезопасности данного компьютера (а это означает, что вы должны разрешитьэту возможность на работающем компьютере, то есть до того, как вам потребуетсяRecovery Console). Используйте следующие шаги, чтобы изменить политики компьютера.1. Введите mmc в диалоговом окне Run, чтобы открыть консоль ММС.2. Выберите File/Add/Remove Snap-in (Файл/Добавить/Удалить оснастку), чтобыоткрыть окно Add/Remove Snap-in.3. Щелкните на кнопке Add, чтобы открыть диалоговое окно Add Standalone Snapin(Добавление автономной оснастки).4. Выберите Group Policy Object Editor (Редактор объектов Group Policy) и щелкнитена кнопке Add, чтобы открыть окно Select Group Policy Object (Выбор объектаGroup Policy), которое действует как мастер.5. Выберите Local Computer (если эта строка еще не выбрана) и щелкните на кнопкеFinish, чтобы вернуться в окно Add Standalone Snap-in.6. Щелкните на кнопке Close, чтобы вернуться в окно Add/Remove Snap-in, и щелкнитена кнопке ОК, чтобы вернуться в консоль ММС.7. Раскройте объект Local Computer Policy до уровня Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.27 - 3994

834 Windows Server 2003. Полное руководство7*i ConsoleiFit Action View FavjritejWindow•> • Уte Console RoolNLocal Compute! F'oliuvVCumpulei Conliiiui.iliurAWindows Setlings\Secuiily SellmgsVLoca... И(11133? LocalComputer PolicyB'^ ComputerConfigurationE S3Software Setingse-SlWindows SetingsScripts (Startup/Shutdown)Security Setingsiflii-Ш Account Policiesф IS Local Policiesi ф-dj Audit PolicyI B -ii User Rights AssignmentJ Security Opfion,И Pubic Key Policiesf Network security: Force logoff when logon hour... Disabled•] Network security: LAN Manager authentication I... Send NTLM respons...(jNetwork security: LDAP client signing requireme... Negotiate signing0 Network security: Minimum session security for... No minimum3 Network security: Minimum session security for... No minimumЩ Shutdown: Allow system to be shut down withou... Disabled_ .Shutdown: Clear virtual memory pagefile Disabled•&itj System cryptography: Force strong key protectio... Not Defined'" System cryptography: Use FIPS compliant algori... Disabled8. В правой панели дважды щелкните на политике с именем Recovery Console: AllowFloppy Copy And Access To All Drives And Folders (Разрешить копирование нагибкий диск и доступ ко всем дискам и папкам).9. Выберите вариант Enabled (Разрешена) и щелкните на кнопке ОК.Вам следует сохранить эту консоль, чтобы не пришлось загружать ее снова с самогоначала, если вы захотите внести изменения. Чтобы сделать это, выберите File/Save и задайте подходящее имя для этой консоли (я использую RecConsole). WindowsServer 2003 автоматически добавит расширение .msc и по умолчанию сохранит консольв папке \Documents and Settings\ Имя-вашего-сервера\%1аЛ Menu\Programs\Administrative Tools.Если вы захотите загрузить эту консоль снова, используйте одно из следующихдействий.• Введите mmc\path\iMw_0a^a.msc в диалоговом окне Run меню Start (подставиввместо имя-файла имя, которое вы присвоили этой консоли).• Введите mmc, чтобы открыть пустую консоль. Затем выберите File/Open и выберитесвою сохраненную консоль.В правой панели оснастки Group Policy можно использовать другую политику,Allow Automatic Administrative Logon (Разрешить автоматический административныйвход), что позволяет обходиться без ввода пароля локального администраторадля входа в Recovery Console. Будьте осторожны с активизацией этой консоли, посколькув этом случае можно было бы назвать эту консоль «a disaster waiting to happen»(в ожидании наступления катастрофы). Найдется пользователь (один из тех, ктознает достаточно много, чтобы представлять опасность), который может войти вRecovery Console и начать действовать. Безопаснее требовать ввод пароля в RecoveryConsole.Кстати, если сконфигурировать эту политику для домена, то она будет замещатьлюбую политику, которую вы задали для локального компьютера. Администраторыобычно не задают доменную политику для Recovery Console, и я упомянул это навсякий случай.Теперь, изменив политику безопасности для Recovery Console, вы можете изменитьправила для работы в Recovery Console.

Глава 26. Планирование катастроф и восстановление 835Изменение среды Recovery ConsoleПрежде чем начать изменение правил, вам следует ознакомиться с ними и понятьих. При вводе команды set в командной строке Recovery Console выводятся текущиенастройки среды. До их изменения среда имеет следующие настройки.• AllowWildCards = FALSE (запрещает использование символов подстановки длятаких команд, как сору и del).• AllowAllPaths = FALSE (запрещает доступ к папкам и подпапкам вне папок установкиоперационной системы, выбранной вами при входе в Recovery Console).• AllowRemovableMedia = FALSE (запрещает доступ к съемным носителям как целикопирования файлов).• NoCopyPrompt = FALSE (принудительный запрос подтверждения в случае перезаписисуществующего файла).Чтобы изменить любое из этих правил, используйте команду set со следующимсинтаксисом.set переменная=строкагде:переменная — это правило,строка - это значение для правила (TRUE или FALSE); чтобы расширить ваши возможности,измените значение на TRUE.Например, чтобы разрешить доступ ко всем папкам на компьютере (вместо того,чтобы ограничиться папками в %SystemRoot%), введите AllowAllPaths=TRUE.Удаление Recovery ConsoleЕсли вы заранее установили Recovery Console, то можете легко удалить ее. УдалениеRecovery Console имеет смысл, если вы передаете компьютер другому пользователюили разрешаете доступ к этому компьютеру нескольким пользователям. Главное -это не позволять вход в Recovery Console пользователю, который «знает достаточномного, чтобы представлять опасность».Чтобы удалить с компьютера Recovery Console, выполните следующие шаги.1. Удалите папку \Cmdcons из корня загрузочного раздела.2. Удалите файл с именем cmldr из корневой папки загрузочного раздела.3. Внесите изменения в файл Boot.ini, удалив строку Recovery Console.Автоматизированное восстановлениесистемы (ASR - Automated System Recovery)Процедуры восстановления с помощью гибких дисков становиться все труднее итруднее реализовать в Windows. Последним «работающим» (и «свободным») процессомвосстановления с помощью гибких дисков был диск аварийного восстановления(ERD, emergency repair disk) в Windows NT 4. В Windows 2000 тоже включенавозможность использования ERD, но размер файлов данных делает этот диск существенноменее полезным, чем в Windows NT 4. (Я бы даже сказал «бесполезным».)В период бета-тестирования Windows 2000 имелось средство Automated SystemRecovery (Автоматизированное восстановление системы), но те, кто пытались использоватьего, сталкивались с повторяющимися ошибками (и сообщали об этом в27'

836 Windows Server 2003. Полное руководствоMicrosoft). В продаваемой версии Windows 2000 это средство было исключено. Теперьоно появилось снова, и оно работает (свободно).ASR - это процедура из разряда «последних средств», которую полезно применить,если у вас не загружается Windows Server 2003 (даже в режимах Safe Mode, LastKnown Good Configuration [Последняя удачная конфигурация] или Recovery Console).Это функция, о которой вам стоит подумать, если создается впечатление, что вамнужно переформатировать диск и повторно установить Windows, но вы не хотитепока это делать. (Но иногда такое решение лучше, чем использование ASR, посколькуASR восстанавливает реестр, который становится неточным.)Как и в случае ERD, вы создаете дискету ASR с помощью программы WindowsBackup. В отличие от ERD средство ASR требует, чтобы вы создали соответствующуюрезервную копию файлов, необходимых для запуска Windows. Вы можете сохранитьэту резервную копию на локальном ленточном устройстве или локальноподключенном съемном диске.Внимание. Локально подключенное ленточное устройство или съемный диск можетработать во время ASR-восстановления, только если для него используются собственныедрайверы Windows. Если вы использовали при установке соответствующегоустройства опцию Have Disk (Установить с диска), то система, возможно, неполучит доступа к вашим данным резервной копии во время ASR-восстановления.Создание системы восстановления ASRЧтобы создать систему восстановления ASR, откройте программу Backup и щелкнитена Advanced Mode, чтобы перейти в окно программы Backup Utility. Щелкнитена кнопке Automated System Recovery Wizard, чтобы запустить мастер ASR.В этом мастере нужно указать место для резервной копии системных файлов.После этого щелкните на кнопке Finish. Появится диалоговое окно хода процессарезервного копирования (Backup Progress), где будет показано выполнение следующихзадач.• Создание теневой копии файлов, которые требуются для использования средстваASR, включая System State, системные службы и все диски, связанные скомпонентами операционной системы.• Запись информации о конфигурации жестких дисков (сигнатуры дисков, информациятаблиц разделов и данные о томах) на гибкий диск.При записи этих файлов вы можете увидеть отчет о резервной копии, щелкнувна кнопке Report в диалоговом окне Backup Progress. Чтобы увидеть содержимоедискеты ASR, выберите гибкий диск в окне My Computer или Windows Explorer (Проводник).Все файлы на гибком диске можно увидеть с помощью Notepad.Резервную копию ASR называют набором, поскольку гибкий диск и файл резервнойкопии связаны друг с другом. Вы не можете использовать этот гибкий дискдля восстановления системы с другим файлом резервной копии. Аккуратно надпишитеэту дискету, не забыв указать имя файла резервной копии, с которым она связана.Примечание. Папка %SystemRoot%\Repair содержит копии двух .sif-файлов, которыепомещаются на эту дискету. Файла журнала (log-файл) имеется только на дискете.

Глава 26. Планирование катастроф и восстановление 837Восстановление системы с помощью ASRЕсли все ваши попытки загрузить компьютер оказались безуспешны, и вы решилииспользовать для восстановления средство ASR, то вам требуются следующие компоненты.• Ваш гибкий диск ASR• Созданная вами резервная копия для ASR, содержащая информацию System State• Ваш CD Windows Server 2003Загрузитесь с CD Windows Server 2003. Почти сразу же внизу экрана появитсясообщение, где говорится, что нужно нажать клавишу F6 для установки ваших собственныхдрайверов SCSI. Затем появится сообщение, что для использования ASRнужно нажать клавишу F2. Если нажать F2, то появится сообщение, требующее установитьвашу дискету ASR и нажать любую клавишу. Setup будет продолжать загрузкуустановочных файлов, поэтому процесс в течение нескольких минут будетвыглядеть, как стандартная установка. После загрузки файлов Setup выводит следующеесообщение:То restore the configuration of your system, Setup must delete and recreate allthe partitions on the disks listed below.CAUTION: All data present on these disks will be lost.Do you want to continue recreating the partitions?To continue, press С Partitions on all the disks listed below will be deleted.To quit Setup, Press F3. No changes will be made to any of the disks on the system.(Для восстановления конфигурации вашей системы программа установки должна удалить иснова создать всеразделы на перечисленных ниже дисках.ВНИМАНИЕ: Все данные, содержащиеся на этих дисках, будут потеряны.Хотите ли вы продолжить повторное создание разделов?Для продолжения нажмите клавишу С. Разделы на всех перечисленных ниже дисках будутудалены.Для прекращения работы программы установки нажмите клавишу F3. Никаких измененийне будет сделано на дисках этой системы.)Если нажать клавишу С, то начнется попытка восстановления вашей системы.Следуйте указаниям и надейтесь на лучшее. Если источником проблемы являетсяжесткий диск или его контроллер, это не поможет (как и любой другой метод восстановления).Помните, что это не установка системы, то есть вы не можете внестиизменения в разделы, размеры разделов или другие базовые компоненты.ASR прочитает значения конфигурации дисков с дискеты и восстановит все сигнатурыдисков, тома и разделы, которые требуются для загрузки. ASR пытается восстановитьвсю информацию конфигурации дисков, но это не всегда удается.Затем ASR использует CD Windows Server 2003 для минимальной установки операционнойсистемы, после чего ASR автоматически восстанавливает вашу системуиз резервной копии, созданной мастером ASR.Создание загрузочных дискетЕсли ваш компьютер Windows Server 2003 не загружается, и вы предполагаете, чтопричиной является повреждение некоторых загрузочных файлов, то вы можете по-

838 Windows Server 2003. Полное руководствопытаться загрузить компьютер с гибкого диска, сконфигурированного для этой цели.Затем вы можете исправить свои поврежденные файлы, которые могут быть причинойневыполнения загрузки. Загрузочный диск работает независимо от файловойсистемы (FAT, FAT32 или NTFS).Для создания загрузочного гибкого диска нужно отформатировать этот диск с помощьюкоманды format а:, введенной в командной строке на компьютере, работающемпод управлением Windows Server 2003, Windows XP, Windows 2000 или Windows NT.Скопируйте на эту дискету ntldr и ntdetect.com. Эти файлы можно найти на CDWindows Server 2003 в папке i386.Для этого гибкого диска также требуется файл boot.ini, который вы можете создатьзаново или скопировать с любого компьютера Windows Server2003, имеющеготакую же конфигурацию оборудования и операционной системы. Конфигурация«оборудования и операционной системы» означает, что компьютеры должны иметьследующие общие характеристики.• Должен использоваться одинаковый тип контроллеров жестких дисков: SCSI илиIDE.• Файлы Windows (%SystemRoot%) должны быть на том же диске или в том жеразделе (диск/раздел 0 или диск/раздел 1).• Файлы Windows должны содержаться в папке с тем же именем (имя системнойпапки по умолчанию - Windows).Если для загрузочного диска используется SCSI, то для этой дискеты тоже требуетсядрайвер для контроллера SCSI, который вы должны переименовать вntbootdd.sys.Подробнее о процессе загрузки (и устранении проблем этого процесса) см. в гл. 5Ошибки STOP: Blue Screen of DeathSTOP! Когда вы видите это слово на экране компьютера (синий экран с белым текстом),это означает, что вы столкнулись с так называемой ошибкой Blue Screen ofDeath (BSOD), с «ужасной» неисправимой ошибкой (Fatal Error). Компьютер, конечно,останавливается; никакие нажатия клавиши или мыши не дают результата,и действует только кнопка включения компьютера (если вы не сконфигурироваликомпьютер для автоматической загрузки в таких случаях).Примечание. Еще один термин для ошибок STOP - это «bugcheck» («контроль дефектов»),и он считается «официальным» термином. Но системные администраторыназывают их BSOD.Ошибки BSOD каждый раз оказываются уникальными для администраторовWindows, и в старых версиях Windows аналогичным сообщением было GeneralProtection Fault (Общее нарушение защиты). Во времена, когда я был консультантомпо Novell NetWare, меня «бросало в дрожь» при появлении ошибок ABEND (аварийноепрекращение), а во время моей работы с UNIX я хотел сбежать, когда виделошибки Kernel Panic. Независимо от платформы ошибки, останавливающие компьютер,являются фактом жизни всех системных администраторов.В этом разделе дается общий обзор методов устранения BSOD, чтобы дать вамобщее представление о процессе устранения таких аварий, с которыми вы можетесталкиваться в связи со своей профессией системного администратора.

Глава 26. Планирование катастроф и восстановление 839Что может вызывать ошибки BSOD?Отказ компьютера - это на самом деле защитный «маневр», позволяющий остановитьневерно функционирующий процесс, чтобы он не нанес более серьезных поврежденийпосле того, как начал неверно действовать. Обычно это происходит, когдапроцесс делает что-то (ошибка типа illegal action), не предусмотренное его функциями.К примерам такого рода можно отнести попытку записи данных на страницупамяти, доступную только по чтению, или попытку чтения данных из неотображаемогоадреса памяти.В большинстве случаев опасный код является частью драйвера какого-либо устройства.Именно поэтому компания Microsoft перешла к принципу сертификациии защиты драйверов устройств. Но иногда это не является ошибкой программиста;например, код обращается к памяти должным и допустимым образом, но поврежденасама память.Независимо от причины существует вероятность, что работа системы нарушенапо «принципу домино», когда одни проблемы вызывают другие проблемы, приводящиек повреждению частей системы, которые непосредственно не затрагивалисьисходной проблемой. Чтобы эта возможность не становилась реальностью, операционнаясистема останавливается, выводя сообщение STOP.Примечание. Этот останов вызывается функцией KeBugCheckEx(). Описание этойфункции трудно найти в обычных источниках, где вы ищете объяснения (help-файлы,Microsoft Knowledge Base), но все же я знаю один источник - Windows DDK(комплект средств для разработки драйверов).Подготовка к ошибкам BSODВы ничего не можете сделать при появлении BSOD (только выключить и снова включитькомпьютер, если он не сконфигурирован для автоматической загрузки послеошибки STOP), но можете подготовить свою систему к выдаче информации об ошибкахBSOD, чтобы вы могли разрешить данную проблему (может быть, с помощьюперсонала службы поддержки Microsoft).Конфигурирование опций восстановления системыЧтобы сконфигурировать поведение вашего компьютера при возникновении BSOD,откройте диалоговое окно System Properties (Свойства системы; щелкните правойкнопкой на My Computer и выберите пункт Properties). Перейдите во вкладкуAdvanced и щелкните на кнопке Settings в секции Startup and Recovery (Загрузка ивосстановление), чтобы появилось диалоговое окно Startup and Recovery. В секцииSystem Failure (Отказ системы) содержатся нужные вам настройки. По умолчанию вэтой секции выбраны все опции (см. рис. 26.7).• Write an event to the system log (Записать событие в системный журнал). Указывает,должна ли система Windows записывать информацию события в журнал Systemслужбы Event Viewer, если компьютер сталкивается с ошибкой STOP. Этот флажокзатенен (недоступен) для всех версий Windows Server 2003 (и Windows 2000Server), поскольку вы не можете сбросить его. Для клиентских компьютеров(Windows XP Professional/2000 Professional) вы можете сбросить данный флажок,

S y s t e m s t s t u p • -' D e f a u l t o p e r a t i n g j y s t e m ;| " M i c r o s o f t W i n d o w s . N E T E n t e r p r i s e S e r v e r " / f a s t d e t e c tW l i m a > • : • c t o p l l y l e t o f o p e " * r w j s y s t e m s : [ " » ^• • • ' . . . . > . • • . '840 Windows Server 2003. Полное руководствоно это не стоит делать, поскольку соответствующая информация может оказатьсяполезной. На самом деле Microsoft принудительно задала запись события, видимо,потому, что персонал службы поддержки слишком часто сталкивался во времясеансов поддержки с ситуацией, когда при необходимости использования этойинформации для диагностирования ошибки они слышали от пользователя, чтоон «отключил эту опцию».Send an administrative alert (Отправить административное оповещение). Указывает,хотите ли вы, чтобы администраторам отправлялось сообщение, если компьютерсталкивается с ошибкой STOP. См. ниже раздел «Конфигурирование административныхоповещений».Automatically restart (Выполнить автоматическую перезагрузку). Конфигурированиекомпьютера для выполнения перезагрузки при возникновении ошибкиBSOD. Конечно, в случае серьезной проблемы, вызвавшей BSOD, компьютер,возможно, не перезагрузится, но довольно часто загрузка проходит успешно. Этаопция достаточно важна для серверов: если компьютер может перезагрузитьсябез ошибок, то клиенты быстрее восстанавливают свой доступ к ресурсам сервера.Startupand RecoveiyРис. 26.7. В секции SystemFailure этого диалогового окнаможно задавать опции восстановления:Г~ Tune tG g/spb/ recovery opbons wr^n neede-J. [ jjjТо«й the MJrtup options rfctrwmdly ;dckEfiS,E.W, System failure —P 1•P !>nd an fldrrine» stive slertIlllComplete memory dump• | %5ystemRoot%\MEMOR¥.pMPЗадание типа файла дампаОдним из важных решений является выбор типа дампа памяти, который нужновьщавать при ошибке BSOD. Ядро выводит дамп содержимого системной памяти вфайл, указанный в диалоговом окне Startup and Recovery (по умолчанию файл%SystemRoot%\memory.dmp), и вы можете выбрать тип и количество информации,которая будет записана. Это новый подход к выбору по сравнению с Windows NT,где для дампов памяти использовался подход «все или ничего». См. ниже разделыдля следующих вариантов выбора.

Глава 26. Планирование катастроф и восстановление 841• Complete Memory Dump (Полный дамп памяти - как в Windows NT).• Kernel Memory Dump (Дамп памяти ядра).• Small Memory Dump (Малый дамп памяти).Если вы изменяете тип дампа, то должны перезагрузить компьютер, чтобы началдействовать новый тип, так как операционная система читает реестр при загрузке,чтобы определить тип дампа.Примечание. В раскрывающийся список типов включен также вариант None (Нет),чтобы не выводить никакого дампа.Внимание. Чтобы вы могли использовать файл дампа, ваш файл подкачки долженбыть на загрузочном томе. Если вы переместили файл подкачки на другой том, вернитеего назад.Кроме задания типа файла дампа, вы должны также указать, будет ли файл следующегодампа перезаписываться поверх предыдущего файла. Имеет смысл установитьэтот флажок (Overwrite any existing file), если вы используете вариант CompleteMemory Dump, чтобы не использовать слишком много пространства на диске.Complete Memory Dump (Полный дамп памяти)При полном дампе памяти происходит запись всего содержимого системной памятина момент остановки системы.Примечание. На самом деле размер файла дампа ограничен 2 Гб, но этого вполнедостаточно.Чтобы использовать полный дамп памяти, ваш файл подкачки должен иметьразмер не меньше, чем количество физической RAM-памяти плюс 1 Мб. Дополнительныймегабайт требуется потому, что система записывает заголовок в дополнениек выводу дампа памяти. Заголовок содержит сигнатуру аварийного дампа, а такжеуказывает значения нескольких переменных ядра. Реально для информации заголовкане требуется целый мегабайт, но система наращивает файл подкачки с шагомне менее мегабайта.Независимо от момента возникновения еще одной ошибки BSOD происходитперезапись предыдущего файла. Поэтому переименуйте файл дампа после перезагрузкиили сделайте это в Recovery Console (если из-за этой проблемы необходимовойти в Recovery Console).Kernel Memory Dump (Дамп памяти ядра)При дампе памяти ядра происходит запись только содержимого памяти ядра. Это память,выделенная для ядра, для HAL (уровень абстрагирования оборудования), для драйвероврежима ядра и любых других программ режима ядра. Этот файл меньше, чем приполном дампе, поэтому процесс записи этой информации выполняется быстрее.Обычно информация памяти ядра раскрывает достаточно данных, чтобы определитьпричину отказа. Ошибки BSOD возникают из-за проблем во время выполненияв режиме ядра, поэтому данные приложений, выполняемых в пользовательскомрежиме (эти данные входят в полный дамп памяти), обычно не требуются, когдавы пытаетесь диагностировать причину отказа.

842 Windows Server 2003. Полное руководствоДля этого типа файла дампа требуется, чтобы файл подкачки составлял треть отразмера физической памяти, но не меньше 50 Мб. При возникновении еще однойошибки BSOD происходит перезапись предыдущего файла. Поэтому переименуйтеэтот файл как можно быстрее.Small Memory Dump (Малый дамп памяти)Малый дамп памяти (его называют также мини-дампом) ограничивается размером64 Кб, то есть в него записывается намного меньше информации, чем при двух другихвариантах дампа. Однако данные, записываемые в этот файл дампа, могут с большойвероятностью раскрыть причину проблемы (это по сути та же информации,которая выводится системой на экран). В информацию этого дампа включается коди ошибка BSOD, список текущих загруженных драйверов и информация о процессеи потоке, которые исполнялись на момент отказа, а также информация о недавноиспользовавшихся функциях. Для этого варианта требуется файл подкачки неменее 2 Мб.Файлы малых дампов памяти не перезаписываются поверх предыдущих файловдампа. Эти файлы находятся в папке %SystemRoot%\minidump и имеют именаminimm-dd-yy-nn.dmp (nn - номер дампа при повторении даты, если у вас возниклобольше одной ошибки BSOD за день).Конфигурирование административных оповещенийПроцесс задания административных оповещений для ошибок BSOD - это Microsoftверсияклассической игры в кошку и мышь, в которой после каждой реальной поимкимыши становится все труднее и труднее схватить ее, поэтому вам удается завершитьигру все реже и реже. С каждой новой версией Windows становится все труднеенайти способ административного оповещения, когда происходит отказ сервера.Если вы устанавливаете в диалоговом окне Startup and Recovery флажок, указывающийотправку оповещения, то сталкиваетесь с «небольшой» проблемой: нет средствадля выполнения этой задачи. В этом диалоговом окне следовало бы добавитькнопку Configure Alert (Конфигурировать оповещение), щелчок на которой позволялбы вам выполнить задачи, необходимые для отправки оповещений. Но тогда бывы лишили программистов Microsoft удовольствия все более усложнять игру в кошкуи мышь.В Windows NT можно легко задавать эти оповещения: откройте аплет Server вControl Panel, щелкните на Alerts и добавьте имена получателей оповещений.В Windows 2000 нет подходящих апплетов, нет средства администрирования наоснове консоли ММС и нет никакого диалогового окна для этой функции. Однаков качестве дружеской помощи в игре «конфигурирование оповещений» Microsoftпоместила в папку %SystemRoot%\System32 обновленную версию средства WindowsNT - Server Manager (имя файла srvmgr.exe). Фактически это новая версия WindowsNT Server Manager. Вы можете использовать ее в версиях Windows 2000 Server, чтобызадавать административные оповещения для случаев отказа. Кроме того, в версияхWindows 2000 Server во время загрузки автоматически запускаются службы Messengerи Alerter (необходимые для отправки оповещений).В Windows Server 2003 отсутствуют те же компоненты, что и в Windows 2000, нона этот раз программисты еще больше усложнили условия игры - srvmgr.exe не включенав эту ОС. Кроме того, службы Messenger и Alerter отключены по умолчанию.Я разобрался, как отправлять административные оповещения в Windows Server2003 при ошибках BSOD, и поэтому объявляю себя победителем игры в кота и мышь.

' : • • 'Глава 26. Планирование катастроф и восстановление 843Я не знаю, является ли мое решение настоящим победителем этой игры (еслиMicrosoft выдает соответствующие призы), но оно действует, и поэтому я празднуюпобеду!Активизация служб Messenger и Alerter на сервереЧтобы активизировать службы Messenger и Alerter на сервере, вы должны изменитьсначала значения для служб Messenger и Alerter, используемые при загрузке, чтобыэти службы запускались автоматически при загрузке операционной системы. Дляэтого откройте оснастку Services из меню Administrative Tools и дважды щелкните настроке каждой службы. На рисунке 26.8 показано диалоговое окно Properties дляслужбы Alerter.Alerter Properties [Local Computer!G«w«l |LogOn | ReeoveyjDependencies |jwvKtnameDUplaynan*••.talei . . . .N:J

844 Windows Server 2003. Полное руководствоHKEY_LOCAL_MACHINE\System\CurTentControlSet\Services\Alerter\Parameters. Вправой панели дважды щелкните на элементе AJertNames и добавьте имена всех компьютерови пользователей в сети, которые должны увидеть всплывающее сообщение,когда сервер обнаружит ошибку BSOD. Поместите имя каждого компьютераили пользователя в отдельную строку.Edit Multi-SlinqValued**Каждое имя должно быть уникальным в сети, а это означает, что если вы создаетесписок всех имен компьютеров и всех имен пользователей, то у вас не будетдубликатов. Вероятно, вы знаете, что имена компьютеров должны быть уникальнымии имена пользователей должны быть уникальными, но, возможно, не знаете,что имена пользователей и компьютеров тоже не должны быть одинаковыми. Еслиу вас есть пользователь с именем ivens, то вы не можете иметь компьютер с именемivens.Лучше всего включить в список всех пользователей вашего отдела ИТ и/или всекомпьютеры, которые обычно используются членами вашего отдела ИТ (включая,конечно, и вас).После конфигурирования первого компьютера Windows Server 2003 вы можетеиспользовать значок (ссылку), чтобы добавлять имена получателей на других компьютерах,работающих под управлением Windows Server 2003 (или Windows 2000).Значок - это .reg-файл, который автоматически добавляет имена получателей навсех компьютерах, которые будут следить за аварийными отказами. Вот как это сделать.1. Откройте regedit.exe на компьютере, где вы только что задали имена получателей,и экспортируйте подраздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Alerter\Parameters, выделив этот объект в левой панелии выбрав File/Export в линейке меню Regedit.2. Задайте имя файла (я назвал свой файл Recipients) и сохраните его. Windows сохранитэтот файл как файл реестра (с расширением .reg) и по умолчанию поместитего в папку My Documents текущего выполнившего вход пользователя.3. Вы можете распространять этот .reg-файл с помощью электронной почты илипоместить его в разделяемую точку сети. Для слияния этих настроек с реестромцелевого компьютера достаточно дважды щелкнуть на .reg-файле, после чегопоявится сообщение, где запрашивается подтверждение того, что вы хотите выполнитьслияние этих данных с реестром.

Registry Edit 01Глава 26. Планирование катастроф и восстановление 845Are vou -шеупи ward to add rb? irrfoirralioninC:\DOCUME-1\AC'MIN|-1 IVEWrTOCinSRECIPM REG to the ies»?>rv?4. Щелкните на кнопке Yes. Windows выведет сообщение об успешном завершении.Щелкните на кнопке ОК, чтобы убрать это сообщение.Активизация службы Messenger на компьютерах-получателяхЧтобы на экране компьютера, который получит оповещение, появилось соответствующеевсплывающее сообщение, на этом компьютере должна быть запущенаслужба Messenger. (Служба Alerter должна быть запущена только на компьютерах,которые отправляют оповещения, а служба Messenger необходима как для отправки,так и для приема.) В Windows 2000 (Professional или Server) и в Windows XP дляслужбы Messenger задан по умолчанию тип запуска Automatic, поэтому вам ничегоне нужно делать (в предположении, что все сотрудники отдела ИТ работают на компьютерахпод управлением Windows 2000 или Windows XP).Примечание. Не существует способа включать оповещения конкретно для ошибокBSOD. Оповещения имеют тип Boolean, поэтому если вы (ваш компьютер) являетесьполучателем, то должны быть готовы к получению всплывающих сообщений извуковых сигналов при каждом незапланированном событии на машине, для которойвы сконфигурировали оповещения.Тестирование конфигурации с помощьюпринудительной ошибки BSODИмеет смысл проверить, что все сделанное вами для подготовки к разрешению проблем,вызывающих ошибки BSOD, будет действительно работать. Microsoft предоставляетспособ принудительного вызова ошибки BSOD без причинения какоголибоущерба вашему компьютеру. Вы можете выполнить этот тест, чтобы проверить,что оповещения, файлы дампов и журналы Event Viewer срабатывают должным образом.Что происходит во время аварийных отказовПрежде чем вызвать принудительную ошибку BSOD на своем компьютере, вы должныознакомиться с тем, что происходит в этом случае, чтобы вы могли понять,охватывает ли ваша подготовка все необходимые области. В этом разделе краткоописывается, как выполняется процесс выдачи дампа.Когда вы конфигурируете опции, описанные в предыдущих разделах, системаWindows Server 2003 записывает эти настройки в реестр. Кроме элемента реестра,содержащего имена получателей оповещений (см. предыдущий раздел), реестр такжесодержит настройки для выбранных вами опций восстановления. Эти данныенаходятся в подразделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl.

846 Windows Server 2003. Полное руководствоr, 1 .' Registry Edit»£* V*vv Fivwl» Helpi I Control|" Ш AGPЙ-ШЗ ArbitersIS Qj BackupRestorei (gl Biosinlo!•• Ш BootVerificationFф€И Class!• Ш CoDevicelnstallersJI-Ш COM Name Arbiterф Ш ComputerName iф-ii Contentlndex || • Q

Глава 26. Планирование катастроф и восстановление 847памяти существует, то savedump.exe копирует содержимое файла подкачки в файлдля аварийного дампа, имя которого вы задали в диалоговом окне Startup and RecoveryOptions. Во время процесса копирования операционная система не может использоватьчасть файла подкачки, которая содержит аварийный дамп, поэтому вы теряетенекоторую часть виртуальной памяти. (Если вы видите всплывающее сообщениеоб ошибке, где говорится, что системе не хватает виртуальной памяти, необращайте на это внимания.) После копирования содержимого файла подкачки вфайл дампа диспетчер памяти (memory manager) операционной системы освобождаетчасть файла подкачки, содержащую данные дампа. Кроме того, после копированияданных в файл дампа программа savedump.exe выполняет любые другие опции,указанные в диалоговом окне Startup and Recovery Options, такие как отправкаадминистративных оповещений или запись события в журнал System.Важным замечанием ко всем этим сведениям является то, что все опции восстановления,которые вы задали, выполняются при следующей загрузке, а не во времяаварийного отказа компьютера. Именно поэтому важно сконфигурировать компьютердля автоматической перезагрузки после отказа. В противном случае вы не получитеникакого оповещения на своей рабочей станции и сможете узнать об аварийномотказе сервера, только если будете проходить мимо этого компьютера иувидите синий экран.Принудительный вызов ошибки BSODMicrosoft включила в Windows Server 2003 (в Windows 2000) средство, которое вызываетпринудительный отказ компьютера и возникновение ошибки BSOD. Это средство легкоустанавливать и использовать, и оно очень удобно для тестирования ваших настроекконфигурации восстановления. Чтобы принудительно вызвать ошибку BSOD, вам нужновнести изменение в реестр и затем применить комбинацию клавиш, которая (в сочетаниис новой настройкой реестра) вызывает аварийный отказ компьютера.Конфигурирование принудительной ошибки BSODДля настройки компьютера, чтобы он реагировал на принудительную ошибку BSOD,откройте Regedit и перейдите в подраздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\ Parameters. (Раздел i8042prt управляет портамиклавиатуры и мыши, а подраздел Parameters содержит их базовые настройки.) Добавьтек этому подразделу новый элемент типа REG_DWORD с именемCrashOnCtrlScroll и задайте для него значение 1. Перезагрузите компьютер, чтобыначали действовать эти новые настройки (операционная система читает этот подразделтолько при загрузке).Принудительный вызов отказа компьютераПосле перезагрузки компьютера не загружайте какое-либо ПО (формально вы можетеэто делать, но нет никакого смысла вызывать отказ вашего компьютера с открытымПО, поскольку вы можете повредить это приложение). Удерживая правуюклавишу CTRL, нажмите два раза клавишу SCROLL LOCK (это не сработает, есливы нажмете левую клавишу CTRL). Вы увидите синий экран со следующим сообщениемSTOP:*** STOP: 0x000000E2 (0x00000000,0x00000000,0x00000000,0x00000000)A problem has been detected and Windows has been shut down toprevent damage to your computer.The end-user manually generated the crashdump.

: . . • • • :D a l e n / 1 9 / 2 0 0 2 B 4 f l A r t848 Windows Server 2003. Полное руководство(Обнаружена проблема, и система Windows была отключена,чтобы воспрепятствовать повреждениям на вашем компьютере.Конечный пользователь вручную вызвал crashdump.)В данном сообщении есть и другой текст, но это наиболее важная часть, и онавыглядит, как вполне реальный отказ.Вы можете также увидеть сообщение, указывающее, что содержимое памяти записываетсяна диск, а также возрастающее число, представляющее запись на диск.Если вы сконфигурировали компьютер для перезагрузки после сообщения STOP,он сделает это (в противном случае перезагрузите компьютер вручную). Если высконфигурировали оповещения, то во время перезагрузки данного компьютера (призагрузке ОС) компьютеры и/или пользователи, которые заданы как получатели оповещения,получат соответствующее сообщение (непосредственно перед запускомпроцесса входа пользователя).goSEHVER-11. i лташ !Г he computed toe rebooted horn i biigcheck The bugched vs?ОкЯЮСИЫКШШММ. СШЮООЯЮ.ОкОООООООО ШОТСВДЮ)A dump was saved n.|Исследование ошибки BSODЧтобы устранить причину ошибки BSOD, вы должны выяснить, что вызвало ее.Множество данных, которые вы собрали, является результатом задания опций, выбранныхвами для функций восстановления. Тестирование компонентов восстановленияпосле принудительной ошибки BSOD - это хороший способ, чтобы увидеть,нужно ли вам изменить эти опции (например, потому, что вам не нужен полныйдамп памяти или мини-дамп не дает достаточной информации).Совет. После тестирования ваших опций восстановления имеет смысл удалить элементреестра, который вы добавили для принудительного вызова ошибки BSOD,или изменить его значение на 0 (что отключит эту функцию).Обратите внимание непосредственно на ошибку STOPИногда содержимое ошибки STOP, которое появляется на экране (то есть непосредственноошибка BSOD), дает достаточную информацию, чтобы определить причинуаварийного отказа. В первой строке сообщения STOP используется следующийформат.STOP идентификатор кода остановки (параметр-1 параметр-2 параметр-3 параметр-4)Идентификатор кода остановки - это шестнадцатеричное значение, указывающееобщую причину аварийного отказа. Каждый из четырех параметров имеет свойсобственный смысл, давая дополнительную информацию, которая помогает вам

Глава 26. Планирование катастроф и восстановление 849сузить специфику идентификатора кода остановки. Например, многие ошибки STOPсодержат следующие параметры.• Первый параметр - это адрес памяти, к которому обращался проблемный модуль/драйвер.• Второй параметр - это IRQL (линия прерывания), которая используется системойдля доступа к адресу памяти, указанному первым параметром.• Третий параметр - это тип выполненного доступа к памяти, и последняя цифраинтерпретируется следующим образом: 1=3апись; 0=Чтение.• Четвертый параметр - это адрес команды, которая пыталась выполнить доступк указанному адресу памяти.Вторая строка сообщения STOP содержит описательный текст, который связанс идентификатором кода остановки. Если вызван принудительной аварийный отказ,описанный выше в этой главе, то вы увидите текст «The end-user manuallygenerated the crashdump».Конечно, при реальном отказе системы вы увидите другой идентификатор кодаостановки и текст. Обычно это такой текст, как, например, UNEXPECTED_KERNEL_MODE_TRAP или IRQL_NOT_LESS_OR_EQUAL.Часто вы можете найти соответствующую информацию путем поиска в MicrosoftKnowledge Base идентификатора кода остановки или текста, связанного с этим идентификатором.Или вы можете обратиться к персоналу службы поддержки Microsoft,надеясь, что эти данные будут достаточны для анализа проблемы.Просмотр журнала событийПросмотрите журнал System в Event Viewer, чтобы увидеть код ошибки bugcheck, aтакже информацию о файле дампа.— " • • • —Eve* |Im» fi4tt29AM Слвдог pO2)Type: Era Evamp 1003Ц« N/ACflmpuler AS20021£я« code 0OffiDOe2.pjiameleiI 00000000 pai«neiei2 (X0MOQO.pa »тл-1«Э СЮОХЮГО. p««netf i4 0For mve «ilaraifnle* H* ar.d Suopai Се^н aiData:JOOOO: 5Э 7S 7Э 74 b5 5tl CO 4£ Syst*» S J[ооов: 7г ?: 6» 7: :o zo is ?z t t Mtr0010: 71 S£ 72 :0 (3 в( «4 iS tor cod« .1

850 Windows Server 2003. Полное руководствоПросмотр файла дампаПросмотрите содержимое %SystemRoot%, чтобы убедиться в существовании файладампа memory.dmp. Переименуйте этот файл, используя расширение имени .dmp,чтобы в случае еще одного отказа вы не потеряли эту информацию в результате перезаписи.Если вы задали малый дамп памяти (small dump file), то найдите в подпапке%SystemRoot%\Minidump файл, имя которого содержит дату дампа.Иногда система не сохраняет файл дампа, хотя вы уверены, что сконфигурировалиопции восстановления правильно. Наиболее вероятная причина состоит в том,что том, который вы указали для дампа памяти, содержит недостаточный объем свободногопространства, или файл подкачки оказался слишком мал для дампа. В любомслучае запись события журнала System Log в Event Viewer указывает, что файлдампа не был сохранен.Неаккуратно написанный драйвер диска может не вызывать процедуры вводавыводадля дампа, которые требуются системе для выполнения дампа. Удивительно,но такие драйверы дисков были не столь уж редки в предыдущих версиях Windows.Средство «цифровая подпись драйверов» в Windows Server 2003 гарантирует, чтоMicrosoft проверила код, и одним из стандартов Microsoft является то, что в драйвервключается поддержка дампа аварийных отказов.Отправка файла в службу поддержки MicrosoftЕсли вы обращаетесь в службу поддержки Microsoft и они не могут дать решение,интерпретируя код сообщения STOP, то у вас могут попросить отправить файл дампачерез электронную почту или загрузить его на ftp-сайт. Но перед этим выполнитесжатие файла. (Файл дампа содержит много «пустот», поэтому он сжимается до размера,который намного меньше размера исходного файла.)Распространенные ошибки STOPВ этом разделе приводится список наиболее распространенных ошибок STOP, включающийкраткое описание их причин и, где это возможно, некоторые предлагаемыерешения. Эти ошибки названы «распространенными», поскольку я встречалих несколько раз в дискуссионных списках или кто-либо в Microsoft говорил мне,что эти ошибки часто указывались при обращениях в службу поддержки.ОхОООООООАОписательный текст: IRQL_NOT_LESS_OR_EQUAL. Эта ошибка возникает, еслидрайвер использовал неверный адрес памяти.Обычно эта ошибка появляется после того, как вы установили драйвер. Перезагрузитекомпьютер и нажмите кнопку F8, чтобы вызвать меню Advanced Options(Дополнительные варианты загрузки). Выберите вариант Last Known GoodConfiguration. Если это сработало, обратитесь к изготовителю для получения исправногодрайвера.Если ошибка возникла после модернизации в Windows Server 2003 из другой операционнойсистемы, проверьте, работает ли на компьютере антивирусное ПО. Еслида, то отключите его и проверьте, устранило ли это проблему.Если ошибка возникла во время новой установки Windows Server 2003, то у вас,возможно, проблема несовместимости оборудования. Убедитесь, что компьютер ивсе периферийные устройства, которые обнаруживаются процессом установки,включены в список совместимости оборудования (HCL - Hardware CompatibilityList).

0x0000001ЕГлава 26. Планирование катастроф и восстановление 851Описательный текст: KMODE_EXGEPTION_NOT_HANDLED. Эта ошибка возникает,если программа, работающая в режиме ядра, генерирует неверный процесс,с которым не может работать обработчик ошибок.Это очень распространенная ошибка, и ее нелегко диагностировать без дополнительнойинформации. Персонал службы поддержки Microsoft обычно может указатьисточник проблемы, используя параметры сообщения STOP. Первый параметр- это код исключительного условия, и он обычно полезен для получения информацииоб ошибочном процессе; остальные параметры помогают определить местопроблемы (например, адрес памяти).Совет. Просмотрите Event Viewer; возможно, в записи этого события указано имядрайвера.Если вы установили оборудование и/или драйверы непосредственно перед тем,как столкнулись с этой ошибкой, перезагрузите компьютер в режиме Last KnownGood Configuration. Затем, конечно, устраните проблему, получив исправный драйверили удалив несовместимый компонент оборудования.Если вы столкнулись с этой ошибкой во время установки, то, возможно, у васпроблема совместимости, поэтому сверьте компьютер и его компоненты со спискомHCL.0x00000024Описательный текст: NTFS_FILE_SYSTEM. Эта ошибка указывает, что возниклапроблема с драйвером для файловой системы NTFS (ntfs.sys), когда он разрешалчтение или запись.Совет. Первый параметр содержит имя исходного файла и номер строки внутри этогофайла, которая вызвала ошибку STOP. Первые 16 битов (первые четыре шестнадцатеричныецифры после Ох) указывают исходный файл. Младшие 16 битов (последниечетыре шестнадцатеричные цифры) указывают исходную строку в файле, гдевозникла ошибка STOP.Имеются следующие наиболее распространенные причины этой ошибки STOP.• Сбойные участки на диске. Запустите chkdsk /f (о выполнении chkdsk.exe см. в гл. 11).• Проблема, связанная с антивирусным ПО. Отключите это ПО и перезагрузитекомпьютер, чтобы выяснить, исчезла ли проблема.• Недостаточность пула нестраничной памяти. Увеличьте RAM-память на компьютере.0х0000002ЕОписательный текст: DATA_BUS_ERROR. Это почти всегда аппаратная ошибка,и, чаще всего, ошибка четности в памяти.Если вы видите эту ошибку после увеличения RAM-памяти на машине, удалитеновые блоки RAM. Возможно также, что существующая RAM запортилась, и тогдавам нужно запустить диагностическую программу для проверки RAM.Причинами этой ошибки могут быть также проблемы жесткого диска (запуститеchkdsk /f) или ошибки в драйверах (загрузитесь в режиме Last Known GoodConfiguration).

852 Windows Server 2003. Полное руководство0x00000050Описательный текст: PAGE_FAULT_IN_NONPAGED_AREA. Это почти всегдапризнак аппаратной ошибки, и наиболее распространенная причина - это сбои RAMна системной плате, в кэше L2 RAM или на видеоконтроллере.Если вы добавили какое-либо оборудование непосредственно перед появлениемэтой ошибки (даже если это не была RAM-память), удалите это оборудование, ипроверьте, осталась ли эта ошибка. Если нет, используйте диагностическую программудля проверки RAM. Другими, менее распространенными причинами этойошибки можгу быть антивирусное ПО (отключите его) и проблемы жесткого диска(запустите chkdsk /Г).0x00000058Описательный текст: FTDISK_INTERNAL_ERROR. Эта ошибка возникает, есливы загружаете зеркальную систему из неверного раздела.Если вы разделите (Break) это зеркало, восстановите первичный раздел и затемвозникнет эта ошибка STOP, значит, первичный раздел содержит ошибку. К сожалению,почти все, кто сталкивается с этой ошибкой, сообщают, что все выглядитправильно, первичный раздел явно является загружаемым и, тем не менее, возникаетэтот аварийный отказ системы.Загрузитесь с гибкого диска, где ARC-путь в файле boot.ini указывает на теневуюкопию. (См. в гл. 5 о создании загрузочного диска с настроенным файломboot.ini.) Разделите зеркало, сконфигурируйте новый загрузочный и системный раздели создайте новое зеркало.0х0000007АОписательный текст: KERNEL_DATA_INPAGE_ERROR. Эта ошибка возникает,если запрошенная страница данных ядра в файле подкачки не передается в память.Эту ошибку может вызывать целый ряд сценариев, и наиболее распространены следующиепричины.• Сбойные блоки на диске (запустите chkdsk /f).• Ошибки в RAM (используйте диагностическую программу для проверки RAM).• Неверное подключение кабелей/оконечной нагрузки SCSI (если файл подкачкинаходится на диске SCSI).ОхОООООО7ВОписательный текст: INACCESSIBLE_BOOT_DEVICE. Эта ошибка означает, чтосистемный раздел недоступен процессу загрузки.Вы не можете запустить отладку для этой ошибки, и любые опции конфигурирования,которые вы задали для восстановления (например, файлы дампа) не касаютсяэтой ошибки, поскольку никакие драйверы и процессы, которые выполняютэти задачи, не загружены, когда возникает эта ошибка.Этот аварийный отказ обычно возникает во время установки ОС либо после установкинового диска или нового драйвера диска. Однако вирус в загрузочном секторетоже может вызвать эту ошибку STOP.Первым делом я всегда применяю самое простое средство, поэтому попытайтесьзапустить DOS-программу обнаружения вирусов с загрузочной дискеты. Еслиэто не помогло, то вам нужна повторная установка операционной системы. И, конечно,убедитесь, что установленное вами оборудование или драйвер имеется в спискесовместимости (HCL).

0x0000007FГлава 26. Планирование катастроф и восстановление 853Описательный текст: UNEXPECTED_KERNEL_MODE_TRAP. Наиболее распространеннаяпричина этой ошибки STOP - отказ оборудования.Эта ошибка обычно возникает, когда вы устанавливаете новое оборудование,включая RAM-память. Вы должны удалить это оборудование и перезагрузиться,чтобы проверить это предположение. Если вы не установили только что новое оборудование,то, возможно, отказал существующий компонент оборудования.Эта ошибка может также возникнуть, если вы установили новый драйвер длясуществующего оборудования. Если это так, используйте одну из опций восстановлениядля замены драйвера или загрузитесь в режиме Last Known Good Configuration.0x00000076Описательный текст: PROCESS_HAS_LOCKED_PAGES. Эта ошибка означает, чтодрайвер блокировал страницы памяти во время операции ввода-вывода и затем несмог разблокировать (освободить) их (грубая ошибка в программировании).Хотя параметры, представленные в сообщении с этой ошибкой, могут оказатьпомощь персоналу службы поддержки в определении страниц, которые были блокированы,они не позволяют определить драйвер, вызвавший эту проблему. Выможете отследить источник проблемы, сконфигурировав свою систему для сохраненияследов стека. В следующий раз, когда драйвер вызовет эту ошибку, вы увидитеошибку STOP OxOOOOOOCB, которая дает больше информации. Чтобы сконфигурироватьсохранение следов стека, используйте редактор реестра, чтобы перейти вподраздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management. Создайте новый элемент данных типа REG_DWORDс именем TrackLockedPages и задайте для него значение 1. Вы должны перезагрузитькомпьютер, чтобы начала действовать эта настройка.0x00000077Описательный текст: KERNEL_STACK_INPAGE_ERROR. Эта ошибка возникает,если запрошенная страница данных ядра не может быть вызвана в память.Наиболее распространенная причина этой ошибки — сбойный блок на жесткомдиске (запустите chkdsk /f). Другие распространенные причины - это вирус и сбойнаяRAM-память.0x00000079Описательный текст: MISMATCHED_HAL. Эта ошибка означает несоответствиемежду уровнем абстрагирования оборудования (Hardware Abstraction Layer - hal.dll)или ntoskrnle.exe и ядром установленной ОС или конфигурацией оборудования машины.Хотя, казалось бы, эта ошибка не может возникнуть вне процесса установки,это все же бывает, и обычно это происходит потому, что кто-то решил обновитьntoskrnl.exe или HAL-файл.Ntoskrnl.exe создает определенные сложности, поскольку на CD (или при загрузкеобновлений) имеются две копии этого файла:• ntoskrnl.exe, предназначенный для однопроцессорных систем• ntkrnlmp.exe, предназначенный для многопроцессорных системВо время установки программа установки использует подходящий файл, но,независимо от используемой копии файла, ему присваивается имя ntoskrnl.exe всистемном разделе вашей локальной системы (он находится в %SystemRoot%\

854 Windows Server 2003. Полное руководствоSystem32). Если программа установки обнаруживает несколько процессоров, онаиспользует ntkrnlmp.exe и переименовывает этот файл в ntoskrnl.exe после его копированияна локальный компьютер.Аналогичная ситуация имеется с HAL. На установочном CD имеется несколькоHAL-файлов, и программа установки определяет, какой из них является подходящимфайлом. Это файл копируется на жесткий диск и переименовывается в hal.ddl.Зная это, нетрудно представить себе, какой хаос возникает, если кто-то решил«обновить» файл или устранить «проблему», переписав один из файлов с CD нажесткий диск. Это происходит чаще, чем вы могли бы предположить. Решение состоитв том, чтобы определить правильный файл и переписать его, переименовавсоответствующим образом. Если вы не можете сделать это (не так-то просто определить,какой HAL-файл нужно записать как hal.dll), запустите setup.exe и выберитевариант Repair.0хС000021АОписательный текст: STATUS_SYSTEM_PROCESS_TERMINATED. Эта ошибкавозникает, когда происходит отказ какой-либо подсистемы пользовательского режима,и система должна перейти в режим ядра. Поскольку операционная системане может выполнить монтирование или запуск без подсистем пользовательскогорежима (например, без winlogon), то происходит аварийный отказ компьютера.Примечание. Тот факт, что эта ошибка относится к подсистемам пользовательскогорежима, означает, что вы не можете исследовать эту проблему с помощью средствотладки ядра.Этот аварийный отказ почти всегда возникает в результате проблем, связанныхс ПО от сторонних компаний, и обычно это проблемы драйверов.• Если вы только что установили драйвер какого-либо устройства, перезагрузитесьв режиме Last Known Good Configuration.• Если проблема касается какого-либо программного приложения, попытайтесьзагрузиться в режиме Safe Mode и затем удалите это ПО с компьютера.Примечание. Если ПО - это утилита, которая запускается при загрузке, то, возможно,вы сможете использовать Recovery Console (Консоль восстановления), чтобыудалить файлы этого ПО.0x00000221Описательный текст: STATUS_IMAGE_CHECKSUM_MISMATCH. Эта ошибкавозникает, если запорчен какой-либо системный драйвер или .dll-файл.Если в сообщении об ошибке выводится имя поврежденного файла, попытайтесьзагрузиться в режиме Safe Mode with Command Prompt (Безопасный режим скомандной строкой) и затем скопируйте этот файл с CD Windows Server 2003. Еслиэто сжатый файл, то вы можете использовать команду expand, чтобы распаковатьего при копировании. Лично я предпочитаю использовать Recovery Console для выполненияэтой задачи, поскольку команда сору в Recovery Console автоматическираспаковывает сжатые файлы (и, конечно, было бы хорошо, если «обычная» командасору делала это, когда исходный файл является сжатым установочным файлом).

Глава 26. Планирование катастроф и восстановление 855Если в сообщении об этой ошибке не выводится имя поврежденного файла, запуститепрограмму установки (Setup) и выберите вариант Repair, чтобы заменитьвсе поврежденные системные файлы.Windows ErrorReportingСредство Windows Error Reporting (Отчет от ошибках) позволяет вам собирать информациюо серьезных ошибках и просматривать отчеты, информация которыхможет привести вас к причине ошибки. Это позволяет определять, имеются ли элементыкомпьютеров, которые приводят к аварийному отказу или «зависанию», чтополезно для устранения проблем и создания плана предупреждения аварий.В это средство включена возможность отправки отчетов в Microsoft для анализаи помощи. Вы можете также отправлять отчеты в точку разделяемого доступа вашейсети, чтобы можно было отслеживать ошибки операционных систем и пытатьсяраскрыть их причин.Windows Error Reporting - это часть средства Event Tracker (см. гл. 18). Вы можетеконфигурировать создание отчетов об ошибках как для ошибок операционнойсистемы, так и для ошибок приложений. В Error Reporting используются следующиеопределения «ошибки».• Ошибка операционной системы возникает, когда вы генерируете ошибку типаBSOD или когда происходит незапланированное прекращение работы компьютера(вынужденное прекращение).• Ошибка приложения возникает, когда какая-либо программа перестает отвечатьи закрывается автоматически или пользователем (обычно с помощью диспетчерзадача - Task Manager).Если операционная система сталкивается с ошибкой BSOD или незапланированнымзавершением работы компьютера, то при использовании средства ErrorReporting информация об ошибке записывается в файл журнала. При следующемвходе пользователя с административными правами появляется диалоговое окно отчетовоб ошибках. Это диалоговое окно содержит три поля.• Choose a Reason (Выбор причины). Выбор из раскрывающегося списка одного изследующих вариантов.• Other (unplanned) [Другая (незапланированная)]• Other Failure: System Unresponsive (Другой отказ: Система не отвечает)• System Failure: Stop error (Отказ системы: ошибка STOP)• Security issue (Проблема системы безопасности)• Power Failure: Cord Unplugged (Отказ источника питания: не подключен шнур)• Power Failure: Environment (Отказ источника питания: окружение)• Problem ID (Идентификатор проблемы). Введите текст, чтобы идентифицироватьэто событие.• Comment (Комментарий). Введите текст, чтобы описать, что произошло непосредственноперед событием (если вы это знаете).После возникновения ошибки операционной системы журнал System в EventViewer содержит записанную вами информацию в следующем диалоговом окне.

856 Windows Server 2003. Полное руководствоEvent PropertiesEvenliouce:USER32Time 7.3255AM Cafegoy Ног.?Tyfff Waning Event|D 1076IVHThe teaion suppted by use IVENSEASTVAdmnirtator • •» I nsiunexpected shutdown nf *»« compute a Oihei (Unpkmn».Reason Coda;UxafiQOOOBug ID; User Ея?Jpimprove luРис. 26.9. Включение или отключениеопций Error ReportingВы можете отключить средство Error Reporting, если имеете обоснованную причинудля этого решения, но это не стоит делать для сетевых серверов. Если вы решилиотключить это средство, то можете выбрать вариант But Notify Me When Critical

Глава 26. Планирование катастроф и восстановление 857Errors Occur (Но уведомлять о критических ошибках), чтобы система Windows извещалавас в случае ошибок операционной системы. Но это не дает возможности отслеживанияобстоятельств, которые могли вызвать соответствующую ошибку, тоесть не позволит воспрепятствовать таким ошибкам в будущем.Если активизировать средство Error Reporting, то вы можете выбрать типы ошибок,которые хотите отслеживать, включая или исключая ошибки операционнойсистемы и ошибки приложений. Следующие флажки можно устанавливать для ошибокоперационной системы.• Windows operating system (Для операционной системы Windows). Этот флажок указываетотслеживание ошибок при возникновении отказа BSOD.• Unplanned machine shutdowns (При незапланированном отключении машины). Отслеживаниеошибок при отключении питания машины с помощью кнопки powerили кнопки reset без использования команды Shut Down (Выключить компьютер).Для отслеживания ошибок приложений установите флажок Programs. Если выхотите отслеживать только определенные приложения, щелкните на кнопке ChoosePrograms (Выбрать программы) и внесите изменения в список отслеживаемых приложенийв диалоговом окне Choose Programs.*i«: k» toewprcpamt [uric:: speakajyf Al pogiw» in Ihr1st0 Program»homMcwJofi0Window»component»Oorft r««l aias I* rhti? вор sueЧтобы изменить список приложений, включаемых в отчеты об ошибках, выберитевариант All Programs In This List (Все программы из этого списка). Затем выполнитеодин из следующих шагов, чтобы сконфигурировать вывод ошибок дляприложений.• Сбросьте флажок Programs From Microsoft (Программы от Microsoft), чтобы исключитьотслеживание ошибок этих программ.• Сбросьте флажок Windows Components, чтобы исключить отслеживание ошибоккомпонентов операционной системы.

858 Windows Server 2003. Полное руководство• Щелкните на кнопке Add и затем введите путь к исполняемому файлу для приложения,которое вы хотите включить в этот список (или используйте кнопкуBrowse для поиска этого приложения).Если вы хотите конкретно исключить из отслеживания ошибок одно или несколькоприложений, щелкните на кнопке Add внизу этого диалогового окна и затемвведите путь к исполняемому файлу или щелкните на кнопке Browse для поискаэтого приложения.Флажок Force Queue Mode For Program Errors (Инициировать режим очередидля программных ошибок) относится к тому, как выводятся ошибки. В режиме Queuemode выводятся десять последних ошибок, причем каждая из них в своем собственномокне. Это позволяет вам считывать отслеживаемые ошибки или отправлять ихв Microsoft.Активизация средства Error Reporting в групповыхполитикахВы можете также задавать отслеживание ошибок, применяя групповые политики,где можно использовать дополнительные возможности, если вы хотите отправлятьотчеты в Microsoft или в разделяемую точку сети. Чтобы открыть консоль для групповыхполитик, выберите Start/Run, введите gpedit.mmc и щелкните на кнопке ОК.Раскройте дерево консоли до уровня Local Computer Policy\Computer Configuration\Administrative Templates\System\Error Reporting (см. рис. 26.10).,я Group Policy Object EditoiFte Favauiti Wrefcw HelpLocalComputer PolicyЩ Computer ConfigurationЩ-Ш Software Settingsф-§а Windows SettingsЙЧЙ Administrative Templatesф-Ш Windows Componentsф-Й System| I Й User ProfilesI r-§a Scriptsj MS Logon! ;-. gj Disk Quotasi ф-jpi Net Logoni • ga Group Policyj |H|! Remote Assistance! г- Ш System Restore-J Advanced Error Reporting 1е»гч "illJAdvanced Error Reporting settingsЩ Display Enor Notificationi|( Report ErrorsI Stale |Not configuredNot configuredРис. 26.10. Используйте групповые политики, чтобы активизировать средстваотчетов об ошибкахВсе политики находятся в состоянии «not configured» (не сконфигурирована), иэто означает, что в качестве текущих настроек используются опции, заданные в диалоговомокне System Properties. При использовании групповых политик для заданияопций Error reporting их настройки замещают настройки, заданные в диалоговомокне System Properties.

Глава 26. Планирование катастроф и восстановление 859В следующих разделах описываются имеющиеся групповые политики для Errorreporting.Вывод уведомлений об ошибках (Display Error Notification)Эта настройка указывает, имеют ли пользователи возможность вывода отчета обошибке. В отличие от опций конфигурирования в диалоговом окне System Properties,где средство Error reporting доступно только пользователям, имеющим административныеполномочия, эта политика применяется ко всем пользователям. После того,как произошла ошибка, следующий выполнивший вход пользователь извещается отом, что возникла ошибка, и получает доступ к деталям этой ошибки. Если активизированатакже настройка Report Errors (см. ниже), то пользователь может определить,нужен ли вывод отчета об ошибке. Вы можете отключить эту настройку насерверах, не имеющих интерактивных пользователей.Report Errors (Отправлять отчеты об ошибках)Эта политика указывает, нужно ли отправлять отчеты об ошибках в Microsoft или вразделяемый файловый ресурс предприятия.Report Etrars PropertiesI" NulConfigmedГГDo rrJ drday Wis to any Maosolt provided 'гаме WomvMion' «rt> riOor >3io:*fcia.*itioMillJ«Г* Fara queue mode fa «pptealmn «i«sCo.po.aie upload Me p*h |n«plac««Har>c*: oHhe«ad ТИстжЛ 1 *>*LJJSupponcdon AlfeeslM«:i

860 Windows Server 2003. Полное руководствоDo not collect additional machine data (He собирать дополнительные данные о машине).Запрещает системе сбор информации о данной машине для включения вотчеты об ошибках.Force queue mode for application errors (Инициировать режим очереди для ошибокприложений). Означает, что пользователь не получает возможности создать отчет,когда возникает ошибка приложения. Эта ошибка помещается в каталог очереди,и следующему пользователю, выполнившему вход с административными полномочиями,предоставляется возможность вывода отчета об этой ошибке.Corporate upload file path (Путь выгрузки в сетевую разделяемую точку предприятия).UNC-путь к сетевой разделяемой точке, где происходит сбор отчетов обошибках.Replace instances of the word "Microsoft" with (Заменять экземпляры слова"Microsoft" текстом). Использование функции поиска-замены для содержимогодиалоговых окон уведомления об ошибках. Вы можете ввести свой собственныйтекст (обычно название вашей компании) для настройки текста в диалоговыхокнах отчетов об ошибках.Примечание. Когда вы создаете сетевой разделяемый ресурс для сбора отчетов, незабудьте щелкнуть на кнопке Permissions (Полномочия) вкладки Sharing (Разделяемыйдоступ) и проследите, чтобы группа Everyone имела полномочия Full Control(Полный доступ), что позволит пользователям выполнять запись в этот разделяемыйресурс.Advanced Error Reporting Settings (Дополнительные настройки)Выберите объект Advanced Error Reporting settings в дереве консоли, чтобы представитьв правой панели следующие доступные политики (рис. 26.11).SrGroup Policy Object Edilo.£> Е^ V*«В Щ Computer ConfigurationФг'СА Software SellingsIJUS Wndows Settingsiri-Qj Administrative TemplatesEl - [lij Windows Components'- _] System! ! Ш User Profiles! | -Ш Scripts! i d3 Logon[ [•• Ш Disk Quotas' 13 Net LogonT , -Ш Group Pofcyl-£*1 Remote Assistance= i ij^j System Restorei Й ®J Error Reporting* МДИВНгтНЯЯЯЯЯSwire::i$i Default application reporting settings Not configuredjjjif List of applications to always report er... Not configured>$i List of applications to never report err... Not configured~ф Report operating system errors Not configured|j$f Report unplanned shutdown events Not configured— — !Рис. 26.11. Задание дополнительных политик для Error reporting• Default application reporting settings (Настройки по умолчанию для отчетов по приложениям).Позволяет выбрать вариант вывода отчетов об ошибках приложений.Вы можете выбрать варианты Microsoft applications (Приложения Microsoft)и/или Windows components (Компоненты Windows).

Ш of applications to always report errors (Список приложений, по которым всегдаложеТиГ Г я Т " ° ТЫ° б ° ШИбКаХ) - ВКЛЮЧеНИ6 В СПИС - -«кратных прТложении для которых вы хотите активизировать отчеты об ошибкахL.st of appl.cat.ons to never report errors (Список приложений, по которым никогдаже„Г°дл В яГтГ ° ° б ° ШИбКаХ) - ВКЛЮЧ6НИе В С~ ^нкретных приложении, для которых вы не хотите активизировать отчеты об ошибкахReport operating system errors (Сообщать об ошибках операционной системы)Активизация Error reporting для ошибок STOP (BSOD)системы).Shutd0WSEH?Г'' L events (Соовщда. об событиях незапланированного отr3aiIJia ГГ0Г rePOftinS B C J W » еК^е° -вершения а- РОтправка отчетовотпГвГГ^отправки отчетов в сетевую разделяемую точку. После просмотра отчета администраторможет решить, нужно ли направить этот отчет в Microsoft, чтобьГпол^итьтехническую поддержку для разрешения проблемы.получитьПри входе пользователя после аварийного отказа компьютера появится диалоговоеокно сообщения, аналогичное рисунку 26.12. Чтобы отправить отчет об ошибке,щелкните на кнопке Send Error Report (Отправить отчет об ошибке).A log а Чл еPlease tell Ivens.lnc about this problem.We have outed an erro. iwl !h* you „; , nd , 01>dp „,I Р;«ч|Сбор и просмотр отчетовРис. 26.12. В этом сообщенииговорится, чтопользователю нужноуведомить данную компаниювместо компанииMicrosoft. Это результатприменения групповойполитики, которая подставляетдругое названиевместо «Microsoft» вдиалоговых окна ErrorreportingЕсли вы использовали групповые политики для отправки отчетов об ошибках в разделяемуюточку сети, то каждая ошибка будет содержать набор подпапок.

862 Windows Server 2003. Полное руководство• Cabs. Файлы, содержащие информацию о данной ошибке. Это cab-файлы, которыетребуются извлекать, чтобы прочитать их содержимое.• Counts. Содержит количество файлов, переданных в папку cabs.После ошибки BSOD вы можете просматривать эти файлы, выбрав cab-файлдля вывода его содержимого в правой панели.Чтобы открыть cab-файл, укажите место, которое следует использовать для раскрытияданного файла. Вы можете перемещаться в папках верхнего уровня, чтобывыбрать конкретную папку для извлеченных файлов, или можете создать новуюпапку для этих файлов.Sele-Л the place where you war*, to exti scl the selected;>. Then dick the Extract bum*.ЕВ Щ Щ ComputerMB Щ Mj. Network PlacesTo view any ijtfoWeii. Л* а р1'л sign above.Male Ne?< Folder IЕсли вы сконфигурировали групповую политику, где не задана отправка системныхфайлов с отчетом об ошибках, то в эту разделяемую точку отправляется файлдампа памяти (см. выше раздел «Задание типа файла дампа»). Чтобы читать файлдампа, вы должны загрузить соответствующее приложение с веб-сайта службы поддержкиMicrosoft.ChkdskNTFS - это восстанавливаемая файловая система, которая использует журналы транзакцийи методы восстановления, чтобы обеспечить согласованность метаданныхтома. В формате NTFS создается набор файлов, содержащих данные, используе-

Глава 26. Планирование катастроф и восстановление 863мые для реализации структуры файловой системы. NTFS резервирует первые 16записей таблицы MFT (Master File Table) для хранения информации об этих файлах,и эта информация называется метаданными. Метаданные - это данные, которыехранятся на томе для поддержки и управления форматом этой файловой системы,включая данные, которые определяют размещение файлов и папок на данномтоме.NTFS использует журналы транзакций для записи транзакций ввода-вывода вкэш и затем записывает выполненные транзакции из кэша на диск. Если вы используетеExchange Server или другие приложения, основанные на журнале транзакций,то, видимо, знакомы с этим подходом. (Microsoft имеет ряд информативныхофициальных документов по этой технологии, которые вы можете найти насайте Microsoft TechNet.) В запись включаются пользовательские данные - в дополнениек местоположению и другой информации метафайлов, содержащейся вMFT.Если возникает отказ системы до завершения процесса постоянной записи (записина диск), что обычно происходит при некорректном отключении из-за отказаисточника питания или ошибки пользователя, то NTFS использует средства восстановления,в частности, утилиту chkdsk.exe, чтобы исправить метаданные в MFT.Эти средства восстановления не исправляют и не изменяют пользовательские данные,а только исправляют таблицу MFT.ChkdskОдним из наиболее важных средств внесения исправлений на томе NTFS являетсяутилита chkdsk.exe, запускаемая из командной строки. Она выполняет задачи анализадиска и восстановления диска. (Chkdsk.exe запускается также в файловых системахFAT, но я предполагаю, что вы используете NTFS на всех своих серверах.)Кроме операций восстановления в файлах операционной системы chkdsk разрешаеттакже физические проблемы на диске, выявляя сбойные секторы, чтобы операционнаясистема не пыталась записывать данные в эти секторы.Если вы запускаете chkdsk из командной строки или из графического интерфейса(например, из диалогового окна Properties диска), эта программа вызывает .dllфайлы(untfs.dll для томов NTFS и ufat.dll для томов FAT). Но если вы запланировализапуск chkdsk при следующей загрузке или ее автоматический запуск при загрузкепосле некорректного отключения компьютера, то она использует autochk.exe, то естьдвоичный модуль, содержащий код верификации для chkdsk. Независимо от вспомогательныхфайлов («helper files»), которые она использует, chkdsk выполняет однии те же задачи.Запуск Chkdsk вручнуюВы можете запускать chkdsk из графического интерфейса Windows Server 2003 илииз командной строки. Чтобы использовать графический интерфейс, щелкните правойкнопкой на значке диска в окне My Computer или Windows Explorer и выберитепункт Properties. Перейдите во вкладку Tools (Сервис) и щелкните на кнопке CheckNow (Выполнить проверку) в секции Error-checking (Проверка тома на наличиеошибок) этого диалогового окна. Затем выберите, что проверить, - только файловуюсистемы или выполнить также проверку на сбойные секторы.

864 Windows Server 2003. Полное руководство• ., i ...,,,• •• •Г Scan fc« aid «tempi, recover* of bid itaatЕсли вызвать chkdsk для системного тома, то Windows не сможет выполнить этуработу, поскольку этот том все время используется. Появится диалоговое окно, гдезапрашивается проверка этого тома при следующей загрузке (см. ниже секцию«Autochk.exe»).windowDoyou wart la itbedule Ihi! tfafc ;r«l lo -r.cui the wnl in*you ie«l*t theВ случае проверки несистемного тома вам предоставляется возможность демонтироватьэтот том (что закроет все открытые объекты на томе). Если вы не хотитедемонтировать том, то появится такое же диалоговое окно, как в случае проверкисистемного тома, поэтому вы сможете выбрать вариант запуска chkdsk по этому томупри следующей загрузке.Чтобы запустить chkdsk из командной строки, используйте следующий синтаксис.chkdsk [Том:][[Луть] Имя_файла] [Д] [/v] [/r] [/x] [/i] [/с] [Д[:Размер]]где:/f- исправление ошибок на диске, для чего требуется, чтобы диск был блокирован.Если chkdsk не может блокировать данный диск, то появится сообщение, где у васзапрашивается проверка диска при следующей загрузке компьютера./у запускает chkdsk в режиме подробного вывода (verbose), когда выводится имякаждого файла во время проверки диска./г блокирует сбойные секторы и восстанавливает читаемую информацию, что требуетблокирования диска./х — вызывает сначала принудительное демонтирование тома (если это необходимо).Все открытые ссылки на этот том закрываются, и автоматически вызываетсяключ Д./i используется только с NTFS. Этот ключ выполняет только индексную проверкуна томах NTFS. Это занимает меньше времени, чем полная проверка chkdsk, и можетвыполняться в интерактивном режиме./с используется только с NTFS. Этот ключ указывает пропуск проверки циклов вструктуре папок, что снижает количество времени, которое требуется для выполненияchkdsk. Это ключ не позволяет устранить проблемы, возникающие из-за цикловв структуре папок, но эти проблемы встречаются редко.

Глава 26. Планирование катастроф и восстановление 865Д[:Размер] используется только с NTFS. Этот ключ изменяет размер файла журналана указанный вами размер. Если не указать параметр Размер, то /1 выводит наэкран текущий размер.Примечание. Ключи /с, /х и /i впервые появились в Windows 2000, поэтому они являютсяновыми для вас в случае модернизации из Windows NT.Autochk.exeAutochk.exe управляет поведением chkdsk, если chkdsk запускается при загрузке компьютера(запуск этой утилиты при следующей загрузке был запланирован вручную,или был задан ее автоматический запуск при следующей загрузке из-за присутствия«бита некорректного завершения» [dirty bit] на данном томе).По умолчанию для autochk задан ключ «звездочка» (autochk *), означающий, чтонужно проверить наличие «бита некорректного завершения» и запустить chkdsk, еслион найден. Если у вас произошло некорректное завершение работы компьютера, тосистема записывает этот факт как определенный бит в системных файлах, где ядроищет его при следующей загрузке. В этом случае autochk автоматически запускаетchkdsk/f.Если вы пытаетесь запустить chkdsk на блокированном диске и даете ответ \fes,когда у вас запрашивается запуск chckdsk при следующей загрузке, то значениеautocheck autochk /p\??\C: добавляется в элемент реестра BootExecute в подразделеHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.Edit Multi-SuingValue г.*»JBrcitExecuteyak» dataautocheck autochk /p \7ЛС:autocheck autochk";Cancel [Чтобы принудительно запустить chkdsk, система не устанавливает «бит некорректногозавершения» на данном томе; вместо этого она добавляет это значение вэлемент реестра, который читается ядром ОС во время загрузки.Если вы изменили свое решение после того, как указали системе на запуск chkdskпри следующей загрузке, то откройте Regedit, перейдите в указанный выше подраздели измените значение элемента реестра BootExecute, чтобы удалить значениеautocheck autochk/p\??\C:. He затрагивайте значение autochk *.28 - 3994

866 Windows Server 2003. Полное руководствоChkntfs.exeПри каждой загрузке операционной системы ядро вызывает autochk.exe для сканированиявсех томов, чтобы определить, не установлен ли «бит некорректного завершения».Если да, то autochk немедленно запускает chkdsk /f на этом томе. Однакоавтоматически подразумевается, что некорректное завершение работы компьютеравызывает ошибки файловой системы, которые требуется исправить с помощьюchkdsk. На очень больших томах требуется несколько часов, чтобы утилита chkdskмогла выполнить свои задачи, поэтому на практике часто запускают chkdsk вручную,когда компьютер не нужен пользователям.Для управления chkdsk вы можете использовать утилиту командной строкиchkntfs.exe, применяя следующий синтаксис.chkntfs том: [/й] [Д[:в/>емя]] [/х том:] [/с том:]где:том: указывает букву диска (после которой следует двоеточие), точку монтированияили имя тома. С помощью этого ключа выводится сообщение, которое идентифицируетфайловую систему на указанном томе, а также выводится сообщение,указывающее, содержит ли этот том «бит некорректного завершения».C:\>chkntfs с:[he type of the file system is NTFS.Z' is not dirty.I/d восстанавливает все настройки по умолчанию chkntfs, включая проверку все томовна «бит некорректного завершения» во время загрузки системы./К\:время] изменяет время инициирующего обратного отсчета на указанное вамивремя. Если вы не задали параметр :время, то ключ /t выводит текущее значениевремени обратного отсчета./х том: исключает указанный том из проверки во время загрузки компьютера, дажеесли этот том маркирован «битом некорректного завершения». Этот ключ перезаписываетпредыдущую запись при каждом его использовании, поэтому, когда вамнужно исключить несколько томов, вы должны указать все эти тома в одной команде.Например, чтобы исключить одновременно С: и D:, введите chkntfs /х с: d:./с том: планирует проверку указанного тома при следующей загрузке компьютера.Чтобы использовать этот ключ, вы должны обновить настройки по умолчанию, чтобысбросить все предыдущие команды chkntfs, исключить проверку всех томов изатем запланировать автоматическую проверку файлов на указанном томе. Например,чтобы запланировать автоматическую проверку файлов на Е:, введите следующиекоманды:chkntfs /d (восстановление настроек по умолчанию)chkntfs /x с: d: e: (исключение автоматической проверки на всех томах)chkntfs /с е: (планирование автоматической проверки на е:)

ПриложениеInternet InformationServices 6 (IIS 6)Если вы планируете использовать Windows Server 2003 для хостинга веб-сайтов идинамических веб-приложений, то обнаружите, что внесены некоторые существенныеизменения в Internet Information Services (IIS) на этой новой платформе. Версия6 IIS улучшена в компонентах, касающихся безопасности, надежности, масштабируемости,управляемости и производительности. Важно, чтобы вы знали об этихизменениях, если хотите по-настоящему использовать возможности новой версии.Описание IIS дается в приложении, поскольку IIS в Windows Server 2003 являетсяобычно дополнительным компонентом, который не устанавливается по умолчанию.Исключением является версия Web Edition, в которой IIS и многие зависимыекомпоненты этой службы устанавливаются по умолчанию. Web Edition - это специализированныйпродукт, который доступен только путем предустановки через каналыOEM (от изготовителей комплексного оборудования), поэтому мы рассмотримздесь версии Standard Edition и Enterprise Edition Windows Server 2003.Новые возможности IIS 6Мы начнем с краткого описания новых возможностей IIS 6, уделив основное вниманиеулучшениям в архитектуре, безопасности и управляемости. После этого будетописано выполнение таких базовых задач, как создание и конфигурированиевеб-сайтов и приложений, включая реализацию различных новых средств, поддерживаемыхплатформой Windows Server 2003.Улучшения в архитектуреПожалуй, наиболее радикальные изменения в этой версии IIS относятся к архитектуре.В предыдущей версии (IIS 5 на платформе Windows 2000 Server) веб-приложенияможно было запускать на одном из трех уровней защиты приложений (низкий,средний и высокий).• Low (IIS Process) [Низкий (Процесс IIS)]. Приложение запускается в процессе,то есть вместе с самим процессом IIS Admin (inetinfo.exe).• Medium (Pooled) [Средний (Включение в пул)]. Приложение запускается вместе сдругими приложениями в виде включенного в пул процесса внутри хост-процессаСОМ+ svchost.exe.• High (Isolated) [Высокий (Изолированный)]. Приложение запускается отдельно(вне процесса) внутри своего собственного хост-процесса dllhost.exe.Модель IIS 5 имела следующие ограничения.28*

868 Windows Server 2003. Полное руководство• Сбой приложения с низкой защитой мог вызвать «зависание» inetinfo.exe, чтомогло приводить к отказу веб-сервера в целом.• Приложения с высокой защитой требовали большого объема дополнительнойинформации и имели низкую производительность по сравнению с приложениями,включенными в пул.• Поддерживался только один пул приложений, ограничивая масштабируемостьсервера для хостинга веб-приложений.Ввиду этих ограничений архитектура в IIS 6 была переработана, чтобы все приложениявыполнялись в виде пула процессов с поддержкой нескольких пулов вместоодного. Это означает, что разработанный пользователем код не выполняется ввиде отдельного процесса, поэтому сбойные приложения больше не вызывают отказавсего сервера. Давайте рассмотрим, как это происходит.Режимы изоляцииIIS 6 имеет двойственную архитектуру, которая может действовать в одном из двухрежимов.• Режим изоляции IIS 5. Этот режим эмулирует IIS 5, чтобы приложения, разработанныедля прежней платформы (Windows 2000 Server) можно было выполнятьбез проблем в Windows Server 2003.• Режим изоляции рабочих процессов (worker process isolation mode). Этот режимподдерживает все улучшения в архитектуре IIS 6, включая пулы приложений,веб-сады (web garden), мониторинг состояния (health monitoring), повторяемыйзапуск рабочего процесса (worker process recycling) и родственность процессоров(processor affinity).Если выполнить установку Windows Server 2003 «с нуля» и затем установить компонентыIIS 6, то ваш сервер будет работать в режиме изоляции рабочих процессов.В случае модернизации машины Windows Server 2003, где работала IIS 5, ваш сервербудет работать в режиме изоляции IIS 5. Если вы решили выполнить модернизацию,проверьте свои приложения после этой модернизации; если они работают должнымобразом, перейдите на режим изоляции рабочих процессов, чтобы можно былоиспользовать новые средства, доступные в этом режиме.Пулы приложенийВIIS 5 приложения запускались по умолчанию на среднем уровне защиты [Medium(Pooled)] внутри хост-процесса с именем svchost.exe. В режиме изоляции рабочихпроцессов IIS 6 приложения группируются в несколько пулов, которые называютсяпулами приложений, причем каждый пул приложений обслуживается одним илинесколькими рабочими процессами (worker processes) — экземплярами w3wp.exe.Каждый пул приложений можно конфигурировать отдельно, и приложения можноперемещать из одного пула в другой. Это дает повышение надежности, посколькуотказавшее приложение может влиять только на приложения своего пула, но неприложения других пулов.Очереди запросов в режиме ядраЧтобы повысить производительность IIS, обработка запросов HTTP перенесена вновый компонент режима ядра, HTTP Listener (http.sys), который находится в стекеTCP/IP данного сервера. Поступающие запросы помещаются в очередь для обработки,причем каждый пул приложений имеет свою собственную отдельную оче-

Приложение. Internet Information Services 6 (IIS 6) 869редь. Это повышает надежность IIS, поскольку поступающие запросы остаются вочереди даже в случае отказа одного из приложений. После возврата этого приложенияв работу запросы продолжают извлекаться из очереди, и ничего не теряется.Примечание. Ведение журналов IIS теперь выполняется на уровне ядра, с использованиемhttp.sys для повышения производительности.Веб-садыЕще одним нововведением в IIS 6 является поддержка так называемых веб-садов(web garden). Веб-сад - это пул приложений, обслуживаемый несколькими рабочимипроцессами, между которыми распределяется нагрузка, и которые обеспечиваютотказоустойчивость в случае непредусмотренного прекращения одного процесса.Веб-сады повышают также степень масштабируемости IIS 6, позволяя одномусерверу одновременно содержать тысячи приложений и делая IIS 6 превосходнойплатформой для сред поставщиков услуг.Повторяемый запуск рабочего процессаПриложения иногда содержат сбойный код, который вызывают утечки памяти идругие состояния ошибок. Чтобы продолжать выполнение приложений, для болееранних версий IIS приходилось периодически выполнять перезагрузку; в IIS 6 удалосьустранить это требование с помощью нового средства - повторяемого запускарабочего процесса (worker process recycling). Администраторы могут задать, чтобырабочий процесс, обслуживающий неисправное приложение, периодически перезапускалсядля снятия утечек памяти, чтобы они не доходили до критического уровня,приводящего к прекращению работы этого приложения. Средство повторяемогозапуска можно также сконфигурировать для запуска нового рабочего процесса,прежде чем будет прекращен старый процесс; это средство называют перекрывающимсяповторяемым запуском (overlapped recycling), что гарантирует непрерывностьобслуживания с точки зрения клиента.Запуск по требованию и тайм-аут простояДля экономии полезных ресурсов процессора и памяти в IIS 6 реализован запуск потребованию. С помощью этого средства рабочий процесс, связанный с определеннымпулом приложений, не запускается, пока приложение не получит первый запросHTTP. В IIS 6 поддерживается также тайм-аут простоя (idle time out), то естьсредство, которое закрывает простаивающие рабочие процессы после заданноговременного интервала (тайм-аута), освобождая неиспользуемые ресурсы для использованиядругими процессами.Мониторинг состояния, работа с неотвечающим процессом и защитаот частых сбоевРабочие процессы управляются службой веб-администрирования WAS (WebAdministration Service) - новым средством IIS 6, которое реализуется как компонентслужбы WWW Service. В дополнение к повторяемому запуску рабочих процессовслужба WAS периодически опрашивает (с помощью команды ping) рабочие процессыдля мониторинга их состояния. Если рабочий процесс блокирован и не можетответить, служба WAS прекращает этот процесс и запускает новый процесс для егозамены. Альтернативно службу WAS можно сконфигурировать таким образом, чтобыоставлять работающим неотвечающий процесс, пока WAS запускает его замену.

870 Windows Server 2003. Полное руководствоЭто полезно в сценариях разработки, когда к неотвечающему процессу может бытьподсоединен отладчик, чтобы определить источник неисправности. Если приложениенастолько неисправно, что рабочий процесс неоднократно зависает, то можноиспользовать средство, которое называется защитой от частых сбоев (rapid failprotection), чтобы вывести соответствующий пул приложений из эксплуатации, покане будет разрешена проблема.Родственность процессоровДополнительной возможностью в IIS 6 является расширенная поддержка платформоборудования симметричной мультипроцессорной обработки (SMP). Используяродственность процессоров (processor affinity), отдельные рабочие процессы могутназначаться конкретным центральным процессорам (ЦП) для повышения производительностибольших критически важных приложений.Метабаза XMLФормат метабазы, то есть файла, содержащего информацию о конфигурации IIS,можно изменять в IIS 6 с двоичного формата, который использовался в более раннихверсиях, на текстовый XML-файл. Это делает метабазу более удобной для редактирования(можно использовать простой текстовый редактор, например,Notepad) и позволяет быстрее перезапускать IIS. В метабазу также включены следующиеновые возможности.• Редактирование во время работы. Возможность прямого редактирования метабазыво время работы IIS.• Журнал изменений метабазы. Средство, которое отслеживает все изменения,внесенные в метабазу, и упрощает восстановление IIS, если вы допустили ошибкив конфигурации.• Независимая от сервера резервная копия. Создавая защищенную паролем резервнуюкопию метабазы, вы можете копировать всю конфигурацию IIS на другуюмашину, что позволяет вам легко клонировать конфигурации IIS для более быстрогоразвертывания.Более высокий уровень безопасностиБолее высокий уровень безопасности - это второе по значимости улучшение в IIS 6по сравнению с предыдущими версиями. IIS теперь не устанавливается по умолчаниюпри установке «с нуля» операционной системы; когда вы устанавливаете IIS,она конфигурируется в блокированном состоянии, позволяющем обслуживать толькостатическое содержимое. Прежде чем приступить к обслуживанию динамическогосодержимого клиентов, вы должны активизировать такие средства, как ASP,ASP.NET, CGI и ISAPI, позволяющие запускать веб-приложения. Это означает, чтовы можете активизировать именно те компоненты, которые вам требуются, и оставитьотключенными остальные компоненты, что является огромным улучшением вбезопасности для данной платформы. Возможности для динамического содержимогоактивизируются и отключаются с помощью нового узла Vfeb Service Extensions(WSE) в оснастке IIS Manager, которую мы вскоре рассмотрим.Другие улучшения в безопасностиНовая платформа содержит также другие улучшения в безопасности.

Приложение. Internet Information Services 6 (IIS 6) 871Имя NetworkService с низкими привилегиями используется как контекст безопасностипо умолчанию, в котором запускаются рабочие процессы, - в отличиеот учетной записи LocalSystem с высокими привилегиями, используемой процессомsvchost.exe в IIS 5.Учетную запись, под которой выполняются рабочие процессы, можно конфигурироватьвручную, что позволяет администраторам использовать отдельные контекстыбезопасности для различных пулов приложений, чтобы обеспечиватьболее высокие уровни безопасности и надежности.Включена поддержка для двух новых методов аутентификации: расширеннаяdigest-аутентификация, которая действует через брандмауэры и прокси-серверы,и аутентификация .NET Passport, которая позволяет пользователям использоватьслужбу Passport как единственную службу входа для веб-услуг, выполняемыхв IIS.Запросы файлов с неизвестными расширениями имен теперь отклоняются поумолчанию, хотя для работы с такими расширениями можно использовать символыподстановки.Анонимные пользователи теперь не могут запускать исполняемые файлы, находящиесяв системной папке, такие как cmd.exe.По умолчанию анонимным пользователям запрещается доступ по записи к вебсодержимому(для учетной записи ШБ^имя-компьютера заданы полномочияDeny Write).Можно использовать Group Policy, чтобы запрещать пользователям установкуIIS на машинах, к которым они имеют доступ.Повышение управляемостиВ дополнение к консоли IIS Manager в меню Administrative Tools имеется также ряддругих способов эффективного управления машинами IIS 6.• Remote Desktop (Удаленный рабочий стол). Известное раньше на платформеWindows 2000 Server под названием Terminal Services в режиме RemoteAdministration Mode, это средство устанавливается по умолчанию в Windows Server2003 и его можно активизировать с помощью одного флажка во вкладке Remoteутилиты System, вызываемой из панели управления (Control Panel). RemoteDesktop рассматривается в гл. 3 этой книги.• WISA (Web Interface for Server Administration — Веб-интерфейс для администрированиясервера). Установив компонент IIS 6 Remote Administration (HTML), выможете использовать веб-браузер, например, Internet Explorer, для администрированиямногих аспектов IIS (и некоторых общих аспектов Windows Server 2003)из удаленных точек. WISA реализован как ASP-приложение и устанавливаетсяпо умолчанию в версии Web Edition.• WMI (Windows Management Instrumentation). В IIS 6 включен встроенный провайдерWMI, который позволяет вам писать скрипты для управления большинствомаспектов IIS из командной строки. Ряд таких скриптов включен вместе сIIS 6 в папку \system32 и может быть использован для создания веб-сайтов иFTP-сайтов, создания виртуальных папок, включения и отключения расширенийвеб-служб, создания резервных копий метабазы и т.д. Вы можете запускатьэти скрипты в сеансе командной строки на машине с IIS, с удаленной машины спомощью Remote Desktop или с помощью службы Telnet.

872 Windows Server 2003. Полное руководствоНаиболее распространенныеадминистративные задачиРассмотрим выполнение некоторых базовых административных задач в IIS 6 и реализациюмногих новых средств, поддерживаемых этой платформой.Установка IISСамый простой способ установки IIS - это использование страницы Manage YourServer (Управление вашим сервером), которая автоматически открывается, когдавы загружаете свой компьютер. Если эта страница не открыта, то вы можете открытьее и установить IIS, добавив роль сервера приложений (Application Server).Чтобы добавить роль Application Server, выполните следующие шаги.1. Установите CD с продуктом Windows Server 2003 в накопитель CD-ROM, чтобыполучить доступ к файлам программы установки (Setup).2. Щелкните на кнопке Start (Пуск) и выберите пункт Manage Your Server вверхуменю Start.3. Щелкните на ссылке Add or Remove a Role (Добавить иди удалить роль), чтобыоткрыть мастер конфигурирования вашего сервера Configure Your Server Wizard.4. Щелкните на кнопке Next, чтобы проверить сетевое соединение.5. Выберите в списке доступных ролей Application Server (IIS, ASP.NET) и щелкнитена кнопке Next.6. Выберите необязательные компоненты IIS (например, ASP.NET или FrontPageServer Extensions), которые тоже хотите установить.7. Щелкните на кнопке Next, чтобы увидеть сводку компонентов, которые вы готовыустановить.8. Щелкните на кнопке Next, чтобы установить и сконфигурировать IIS на вашеймашине.Управление113После установки IIS вы можете управлять этой службой, используя один из следующихспособов.• Щелкните на ссылке Manage This Application Server (Управление этим серверомприложений) в окне Manage Your Server, после чего появится консоль ApplicationServer, содержащая оснастки для .NET Framework 1.1 Configuration, InternetInformation Services (IIS) Manager и Component Services.• Выберите Internet Information Services (IIS) Manager из меню Administrative Tools,чтобы сразу открыть консоль IIS Manager.Для выполнения остальных задач, рассматриваемых в этом приложении, мыбудем использовать второй способ и будем также предполагать, что оснастка IISManager (см. рис. АЛ) уже открыта.

Приложение. Internet Information Services 6 (IIS 6)873N Fife Action View window tjelp*• ш i, e gSK i •В-Щ ESRYZMD (local computer)Ш S3 Application PoolsWeb Service ExtensionsComputerfpESRV230D (local computer) Yes IISV6.0\Jal>Рис. А.1. Консоль Internet Information Services (IIS) ManagerАктивизация расширений веб-службПо умолчанию, когда вы устанавливаете IIS, она может обслуживать только статическоесодержимое клиентов. Если вы планируете хостинг динамического содержимого,такого как приложения Active Server Pages (ASP-приложения), то должныактивизировать соответствующие DLL для поддержки этого содержимого Например,чтобы активизировать ASP-расширение, позволяющее вам размещать и запускатьASP-приложения на вашем сервере, выполните следующие шаги.1. Выберите узел Web Service Extensions (Расширения веб-служб) под узлом сервераIIS (см. рис. А.2).t Internet Information Services (IIS)MaFfe Action Vte*. WindowHefcв; ни; Э щ с? > m w%InternetInformationServicesE-PESRV230D (localcomputer)», JJApplicationPools• JWebSites'•mrAlowЛШ WebSetviee ExtemfomProperties :TasksSIAd anewWet, (mfcaextendon.S Allow an Web swviro в*ь.« F „specific annlirfltinn13 Prohibit alWfth» rvice extemifim'# Open Helpч ¥ М IMnownCa Extensions ProhibitedW All Unknown ISAPI Extensions ProhibitedЩ Active Server PagesProhibitedjV| Internet Data Connector ProhfcitedQ Server Side Includes Prohibited153 WebDAV ProhbtedРис. А.2. Активизация расширений веб-служб для динамического содержимого

874 Windows Server 2003. Полное руководство2. Во вкладке Extended выберите в списке расширение Active Server Pages.3. Щелкните на Allow (Разрешить).Создание веб-сайтаВы можете использовать Default Web Site для хостинга приложений ASP или ASP.NET,но обычно лучше создавать для этих приложений новые веб-сайты. (ЗарезервируйтеDefault Web Site, который следит за все обращениями с неназначенных IP-адресов,для хостинга страницы типа sample under construction [пример разрабатываемойстраницы], в которой выводится логотип компании и контактная информация.)Прежде чем создавать новые сайты, убедитесь, что вы назначили все необходимыедополнительные IP-адреса вашему серверу (если вы не планируете использоватьимена заголовка хоста, чтобы идентифицировать ваши веб-сайты для клиентов).Чтобы создать новый веб-сайт с помощью IIS Manager, выполните следующиешаги.1. Щелкните правой кнопкой на узле Web Sites и выберите New/Web Site (Создать/Веб-сайт).2. Щелкните на кнопке Next в открывшемся окне мастера создания веб-сайта WebSite Creation Wizard.3. В поле Description (Описание) выберите описательное имя, например, SampleWeb Site, и щелкните на кнопке Next.4. Выберите уникальный IP-адрес для этого сайта или укажите имя для заголовкахоста и щелкните на кнопке Next.5. Выберите папку содержимого для этого сайта или создайте новую папку. Есливы не хотите, чтобы анонимные пользователи имели доступ к вашему сайту,сбросьте соответствующий флажок. Затем щелкните на кнопке Next.6. Задайте веб-полномочия для этого сайта. По умолчанию разрешены полномочияRead (Чтение) и Run Scripts (Запуск скриптов) и запрещены все остальныеполномочия. Отметим, что веб-полномочия отличаются от полномочий NTFS иприменяются в равной степени ко всем клиентам, которые выполняют доступ кданному сайту (не забудьте сконфигурировать затем нужные полномочия NTFSпо папке содержимого, чтобы защитить содержимое вашего сайта).7. Щелкните на кнопке Next и затем на кнопке Finish.Новый созданный сайт будет теперь представлен в IIS Manager (см. рис. А.З).Ниже мы добавим содержимое к вашему сайту.Internet information Services (IIS) ManagerCj Fte fiction Л» Wjndow Help а пз : x ES" El oi. rf . *•|$ Internet InformationServicesВ-Щ ESRV230D (local computer)ffi§3 Application Pools6-S Web SitesDefault Web SiteWeb Service ExtensionsI PathThere are no items to show in this view.Рис. А.З. Новый веб-сайт с именем Sample Web Site (Пример веб-сайта)

Приложение. Internet Information Services 6 (IIS 6) 875Примечание. Вы можете также создать новый сайт с помощью скрипта iisweb.vbs,который находится в папке \system32.Конфигурирование веб-сайтаПосле создания вашего сайта вы можете сконфигурировать его, открыв страницуего свойств. Щелкните правой кнопкой на узле для этого сайта и выберите пунктProperties (рис. А.4). Затем используйте следующие вкладки этой страницы, чтобызадать учетную запись (identity) для этого сайта, пределы соединений, ведение журнала,регулирование пропускной способности, домашнюю папку, веб-полномочия,настройки приложения, документы по умолчанию, методы аутентификации, ограниченияпо IP-адресам, нестандартные сообщения об ошибках и т.д. Более подробноеописание различных опций конфигурирования веб-сайтов см. в книге «US 6Администрирование», М.: ЭКОМ, 2004.Sample Website propertiesJ^ocumenUWeb Sitei Directory. Security.: HTTPHeaders[ :Performance: |. • ISAPI FiltersWeb site identificationDescription: j SajripieWebsiteIP address: 1172.16.11.231TCP port: I80SSL port:-ConnectionsConnection timeout: j 120 j@EnableHTTPKeep-Alives^ Custom ErrorsHome Directory I[Advanced.Г El Enable logging •! Active log Format:j W3C Extended Log Fie FormatРис. А.4. Конфигурирование веб-сайтаСоздание приложенияСоздадим простое ASP-приложение, выполняющее действия, которые мы можемпроверить, например, вывод текущего времени на сервере. Это делает следующийскрипт.Sample ASP Application

876 Windows Server 2003. Полное руководствоВведите этот сценарий в Notepad и сохраните его под именем default.asp в домашнейпапке, которую вы задали для своего нового веб-сайта. Обновите его представлениев IIS Manager, нажав клавишу F5, щелкните правой кнопкой на узле SampleWeb и затем выберите пункт Browse, чтобы проверить, работает ли это приложение(см. рис. А.5).С Intense! Information Services (IIS) Manager•«•» №

Приложение. Internet Information Services 6 (IIS 6) 877Sampte Wetisite PropertiesDocur-entsWebSiteDirectory Security HTTP HeadersPerformance 1 I5API FiltersThe content for tNs resource should come from:Custom Error sHome DirectoryФ A share located on another computer©A redirection to a IJRLLocal path:ff] Script source accessSEead :Sprite• Directory browingApplication settings| C:\stuffE] Log visitsjv] Index this resourceBrowse...Application name:Starthg point:Execute permissions:AppficatioQpool:j Sample Application[Scripts only;vrjI DefaultAppPool v-RemoveConfiguration... jРис. А.6. Настройки приложения для Sample Web Sitef Interne» Information Services (IIS) ManagerЯТЙВД„-JaliJЦ| Internet Information Services 3 DMcriptonPath5 §J ESRV230D (local computer) Ф Default Application 3-S Appfcstion Pools | ф Sample Application -;й:.:::::;|5Й=::::й-Ш W e b Sites! I-Ш Default Web Site j! - §# Sample Website J'• •'$!& Web Service ExtensionsjРис. А.7. Приложения, запускаемые в пуле приложений по умолчанию• Default Application, точкой запуска которого является корневая папка сайтаDefault Web Site.• Новое приложение Sample Application, точкой запуска которого является корневаяпапка сайта Sample Web Site.Чтобы создать новый пул приложений с именем Second Pool (Второй пул), выполнитеследующие шаги.1. Щелкните правой кнопкой на узле Application Pools (Пулы приложений) и выберитеNew/Application Pool (Создать/Пул приложений).2. Введите Second Pool как идентификатор для нового пула. По умолчанию для пуланазначаются обобщенные настройки, которые вы можете сконфигурировать

878 Windows Server 2003. Полное руководствопозже (или можете выбрать вместо этого наследование настроек существующегопула, например, DefaultAppPool).3. Щелкните на кнопке ОК. Будет создан новый пул, который появится под узломApplication Pools в оснастке IIS Manager.Теперь переместим приложение Sample Application в пул Second Pool.1. Щелкните правой кнопкой на узле Sample Web Site и выберите пункт Properties.2. Перейдите во вкладку Home Directory.3. В поле Application pool измените DefaultAppPool на Second Pool.4. Щелкните на кнопке ОК.Теперь в IIS Manager приложение Sample Application будет показано в пуле SecondPool (см. рис. А.8).Internet Information Services (IIS) Manager•': E* Action v*w Window H•> •• в ПЗ У й 1 В Щ.|| Internet Information Services Description.В Щ& ESRV230D (local computer)3-Щ Application Pools! Sl-ifj DefaultAppPool" Default ApplicationФ Sample AppkatioPath) Sample ApplicationБ !p WebsitesJ (VCU• ff Default t Web Site| Sample Website-0 Web Service ExtensionsРис. А.8. Приложения теперь запускаются в различных пулахПереместив приложение в отдельный пул, сконфигурируем повторяемый запуск,мониторинг состояния, защиту от частых сбоев, тайм-аут простоя и другие средстваэтого пула приложений. Эти процедуры описываются в следующих разделах.Конфигурирование повторяемого запуска рабочихпроцессовЧтобы сконфигурировать повторяемый запуск рабочих процессов (recycling) для всехрабочих процессов, обслуживающих приложения в пуле Second Pool, выполнитеследующие шаги.1. Щелкните правой кнопкой на узле Second Pool под узлом Application Pools и выберитепункт Properties.2. Перейдите во вкладку Recycling (см. рис. А.9).3. Задайте нужные вам настройки повторяемого запуска рабочих процессов.Отметим, что вы можете инициировать повторяемый запуск рабочих процессовв зависимости от следующих параметров:• Временной интервал с момента последнего события повторяемого запуска• Количество обслуженных запросов

Second Pool PropertiesПриложение. Internet Information Services 6 (IIS 6) 879Recycling [PerforaiaiT«| Health | Identity iВ Uecyde worker process (number of requests):E] Recycle worker processes at the following times:Г< j:Memory recycling -Recycleworkerprocess afterconsuming toomuchmemory:I QMaximum virtualmemory (inmegabytes):I fH Maximum used memory (in megabytes):-)--.щщ^:%Рис. А.9. Конфигурирование повторяемого запуска рабочих процессов• Указанные моменты времени• При использовании слишком большого количества памяти (утечка памяти)Вы можете также принудительно инициировать повторяемый запуск в любоймомент, щелкнув правой кнопкой на пуле приложений и выбрав пункт Recycle.Конфигурирование тайм-аута простоя (Idle Timeout)Чтобы задать прекращение рабочих процессов после их простоя в течение определенногопериода времени, выполните следующие шаги.1. Щелкните правой кнопкой на узле Second Pool под узлом Application Pools и выберитепункт Properties.2. Перейдите во вкладку Performance (Производительность), см. рис. АЛО.3. Задайте нужное значение тайм-аута.По умолчанию рабочие процессы закрываются после простоя в 20 секунд, чтобыосвобождать ресурсы памяти и процессора данной машины для других приложений.Создание веб-сада (Web Garden)По умолчанию IIS создает один рабочий процесс для обслуживания приложенийодного пула приложений. Если ваше приложение активно использует ресурсы иливы хотите обеспечить отказоустойчивость для его работы, то можете создать такназываемый веб-сад, то есть пул приложений, обслуживаемый несколькими рабочимипроцессами. Чтобы создать веб-сад, выполните следующие шаги.

880 Windows Server 2003. Полное руководствоSecond Pool Propertiesi| Recycling j Performance ! Health I Identity ;::;rRequestqueueSmir.I {EjLimit the kernel requestqueue (number of requests):rHEnableCPU monitoring! MaximumCPU use (percentage): , .iRefreshCPUusagenumbers (in minutes):Щюга I[ Action performed whenCPU usageexceedsmaximumCPU use:: •Web garden; Maximumnumber of worker processes:1Рис. А. 10. Конфигурирование тайм-аута простоя и других настроек производительности1. Щелкните правой кнопкой на узле Second Pool под узлом Application Pools и выберитепункт Properties.2. Перейдите во вкладку Performance (Производительность), см. снова рис. А. 10.3. В секции Wfeb Garden измените количество рабочих процессов, обслуживающихданный пул.Конфигурирование мониторинга состояния(Health Monitoring)По умолчанию мониторинг состояния активизирован для всех пулов приложений изаключается в опросе (pinging) рабочих процессов службой IIS, чтобы проверить,что они работают. Вы можете включить или отключить это средство, выполнив следующиешаги.1. Щелкните правой кнопкой на узле Second Pool под узлом Application Pools и выберитепункт Properties.2. Перейдите во вкладку Health (см. рис. АЛ 1).3. Установите или сбросьте флажок Enable pinging, чтобы включить или отключитьмониторинг состояния для данного пула.Вы можете также использовать вкладку Health, чтобы задать защиту от частыхсбоев (rapid fail protection).

Приложение. Internet Information Services 6 (IIS 6) 881Second Pool Propertiesi Recycling si Performance : Health Identity !IPingworkerprocess every (frequency in seconds):•S Enable rapid-fail protectionI Disable the application pool if there are a certainnumber of worker processfailures within a specified time period.Failures:lime period (time in minutes):с Startup time Srofc:Worker process must startup within (time in seconds):90г Shutdown time EmitWorker process must shutdown within (time in seconds):Рис. А.11. Конфигурирование мониторинга состояния и защиты от частых сбоевЗадание учетной записи для пула приложений(вкладка Identity)По умолчанию все пулы приложений запускаются в контексте безопасности имениNetworkService, которое имеет очень ограниченные системные права. Вы можетеизменить эту настройку для определенного пула, чтобы, например, изолировать этотпул от других пулов из соображений безопасности. Чтобы изменить учетную записьпула приложений для пула Second Pool, выполните следующие шаги.1. Щелкните правой кнопкой на узле Second Pool под узлом Application Pools и выберитепункт Properties.2. Перейдите во вкладку Identity (см. рис. А.12).3. Выберите вариант Configurable (Задаваемые).4. Задайте опознавательные данные для учетной записи или выберите учетную записьиз Active Directory (для домена) или базы данных SAM локальной машины(в условиях рабочей группы).Конфигурирование настроек приложенияВы можете конфигурировать множество настроек для приложений ASP или ASP.NET,включая отображение приложений, использование символов подстановки, кэшированиерасширений ISAPI, состояние сеанса, буферизацию, родительские путидоступа, а также отладку и настройки ошибок скриптов. Описание этих настроеквыходит за рамки изложения этой книги, но для доступа к этим настройкам используйтеследующие шаги.

882 Windows Server 2003. Полное руководствоSecond Pool PropertiesRecycling j Performance 1 Health : Identity jr Application pool identity —' Select a security account for this application pool:Рис. А. 12. Конфигурированиеучетной записидля пула приложенийi ©Й«*!|г«! | Network Service vI ©ConfigurableUser name:I tWAMjCSVSaOD: Password: i »*»**»**«*# I1. Щелкните правой кнопкой на узле Web Sites или на узле определенного веб-сайтав IIS Manager (чтобы конфигурировать эти настройки для всех приложенийили только для одного приложения, связанного с определенным веб-сайтом).2. Выберите пункт Properties и перейдите во вкладку Home Directory (см. выше рис.А.6).3. Щелкните на кнопке Configuration, чтобы открыть страницу ApplicationConfiguration (Конфигурация приложений), см. рис. А. 13.Application ConfigurationMappings lOptions ! ;Debugging :Рис. А. 13. Конфигурированиенастроек приложенийHfcachelSAPl extendedVerbs лan O\WNX)W5\system3J\re

Приложение. Internet Information Services 6 (IIS 6) 8834. Измените настройки в трех вкладках, как это вам требуется.В остальной части этого приложения будет описано несколько задач, относящихсяк метабазе.Активизация непосредственного редактированияметабазыХотя наиболее безопасный способ внесения изменений в метабазу - это использованиеинтерфейса IIS Manager, иногда вам может потребоваться непосредственноередактирование метабазы. IIS 6 позволяет вам делать это в на вашем сервере в реальноммасштабе времени во время работы IIS (его также называют редактированием-при-выполнении).Чтобы разрешить непосредственное редактирование метабазы,выполните следующие шаги.1. Щелкните правой кнопкой на узле IIS Manager, представляющем сам сервер.2. Выберите пункт Properties, чтобы открыть страницу свойств для этого сервера.3. Установите флажок Enable Direct Metabase Edit (Разрешить непосредственноередактирование метабазы), см. рис. А. 14.£SRV?3OD (local computer) PropertiesГ)Рис. А. 14. Активизацияредактирования-привыполненииAlowsyou to edit the ISmetabase configuration fiewMe IS isrunning.|rUTF-e logging :|Alows IS to write log entries usingUTF-8encoding instead of local;code page.I •Encode Seblcgs inUTF-8•MIME typesr^V IS serves only files with extensionsl%*51 registered in theMIM£ types list.ToMIME Types.MdfiJ configure additional fie extensions,clickMIME Types.4. Щелкните на кнопке ОК.flp:*-Вы можете также сделать это из командной строки путем редактирования самойметабазы, но должны использовать при этом команду iisreset для краткой остановкии запуска IIS, что вызовет прерывание обслуживания. Чтобы активизироватьредактирование-при-выполнении из командной строки, выполните следующиешаги.1. Откройте окно командной строки и используйте команду iisreset, чтобы остановитьвсе службы IIS:

884 Windows Server 2003. Полное руководствоC:\ >iisreset /stopAttempting stop...Internet services successfully stopped2. Используйте Windows Explorer, чтобы найти файл конфигурации метабазыMetabase.xml в папке \system32\Inetsrv.3. Щелкните правой кнопкой на файле Metabase.xml и выберите Open With/Notepad(Открыть с помощью/Блокнот).4. Найдите строку EnableEditWhileRunning="O" и измените ее наEnable EditWhileRunning=" I".5. Сохраните изменения, внесенные в файл Metabase.xml.6. Вернитесь в командную строку и используйте команду iisreset, чтобы снова запуститьIIS:С:\ >iisreset /startAttempting start...Internet services successfully startedОтметим, что команду iisreset можно также использовать для перезагрузки удаленныхмашин с IIS из командной строки. Для получения полного синтаксиса этойкоманды введите iisreset /?.Внимание. Только опытным администраторам следует разрешать непосредственноередактирование метабазы, поскольку одна ошибка в XML может воспрепятствоватьзапуску служб IIS.Резервное копирование метабазыIIS 6 автоматически создает резервные копии метабазы в форме журнальных файлов(history-файлов), но вам следует также периодически выполнять резервное копированиеметабазы вручную, чтобы обеспечить восстановление на случай отказасистемы. Отметим, что при резервном копировании метабазы копируется толькоинформация о конфигурации IIS, но не конкретное содержимое веб-сайта. Добротныйплан восстановления от аварий должен включать в себя резервные копиивсех данных вашего сервера, включая его информацию о состоянии системы. Чтобыделать это, используйте утилиту Windows Backup или средство от сторонней компании,например, Backup Exec от компании Veritas.При первой установке IIS она автоматически создает резервную копию начальнойконфигурации и сохраняет ее в папке \system32\Inetsrv\MetaBack (см. рис. А. 15).При необходимости вы сможете использовать эту резервную копию позже для восстановлениясостояния IIS, в котором она находилась непосредственно после установки.Отметим, что в резервное копирование включаются два файла.• Файл конфигурации метабазы (Metabase.xml) включается в резервную копиюкак файл *.MD1.• Файл схемы метабазы (Mbschema.xml) включается в резервную копию как файл*.SC1.Чтобы выполнить резервное копирование метабазы вручную с помощью IISManager, выполните следующие шаги.

Приложение. Internet Information Services 6 (IIS 6)«C:\WINDOWS\system32WnfitsrvWeiaBaekFife Edit View Favorites Tools Це1р885-^Back . t , Search Folder,X «О Щ-Name -=Type37KBMDlFJe 3/19/20031:07 PM A*^ ^ = ^ ^ ^ s ^ r z z * s s i » :ype:MDl FileDate Modified:3/19/20031:07PM 5i2e: 36.7KB136.7KBРис. А. 15. Файлы резервной копии начальной конфигурации метабазыI'6 IIS Manager ' представляющем сам сервер3-!охсаТК ПИИ Начальной° конфигурации, которые автоматически создаются,когда вы устанавливаете IIS, и сохраняются в папке \Inctsrv\MetaBack-^ s s ^ s s s s r * в а м и в р у ч н у ю ' к о т о р ы еФайлы журналов метабазы, которые создаются автоматически службой IIS исохраняются в папке \Inetsrv\History«иной6 С Г С £ К р е з е р в н ы х копий ' представленный в диалоговом окнеки Р/Ке 51оге,явля етсЯобъединение МпапокН1 51огуиМе 1аВаск.Configuration Backup/RestoreРг( тои: t a :li I -.Backups:Location:In»ial Backup - created autom...Automatic BackupAutomatic BackupAutomatic BackupAutomatic BackupAutomatic BackupAutomatic BackupVet... : Date/Time1 3/19/2003 1:07:20 PM3/30/2003 12:11:44 PM3/30/2003 12:19:40 PM3/30/2003 1:03:05 PM3/31/2003 4:56:56 PM3/31/2003 5:03:13 PM3/31/2003 5:09:17 PMметабазы В " ^ C° nfiguration Backup/Rertow выводится список резервных копий4. Щелкните на кнопке Create Backup (Создать резервную копию) и задайте имявашего набора резервной копии. Вы можете также задать при необходимостипароль, который является обязательным, если вы планируете восстанавливатьметабазу из вашей резервной копии на другой машинестанавливать

886 Windows Server 2003. Полное руководство5. Щелкните на кнопке ОК, чтобы создать новую резервную копию. В результатебудут созданы файлы *.MD0 и *.SCO в папке MetaBack.Отметим, что начальная резервная копия конфигурации, которая создается автоматическипри установке IIS, не шифруется; поэтому она бесполезна в случаефатального отказа вашего сервера, когда вы должны переустановить на нем операционнуюсистему. Непосредственно после установки компонентов IIS вам следуетсоздать вторую, шифрованную резервную копию конфигурации. Создание шифрованныхрезервных копий занимает больше времени, чем для нешифрованных резервныхкопий, и метабаза блокируется во время процесса резервного копирования,чтобы избежать модификаций в течение этого времени.Вы можете также выполнить резервное копирование метабазы с помощью скриптаnsback.vbs, который находится в папке \system32:C:\>iisback /backup /b mybackupi 90303 /e mypasswordConnecting to server ...Done.Backup mybackupi90303 version NEXT_VERSION has been CREATED.You can also use iisback.vbs to list the backups you've created' \C:\>iisback/listConnecting to server ...Done.Backup Name Version # Date/TimeInitial Backup - created automatically by IIS setup 1 3/19/2003 1-07-20 PMmybackupi90303 0 3/19/2003 4:30:23 PMВосстановление метабазыВы можете легко восстановить метабазу из резервной копии. Чтобы проверить восстановлениенам нужно внести изменение, поэтому удалите созданный ранее сайтSample Web Site, щелкнув правой кнопкой мыши на его узле в IIS Manager и выбравпункт Delete. Теперь выполните следующие шаги.1. Щелкните правой кнопкой на узле IIS Manager, представляющем сам сервер.2. Выберите All Tasks/Backup/Restore Configuration.3. Выберите ранее созданную резервную копию (см. рис. А. 17).Configuration Backup/RestorePrevious frd' UpcAutomaticBackupiijAutomaticBackupijgjAutomaticBackup|jEAutomaticBackupjjB AutomaticBackup-f pastors3/30/200312:11:44PM3/30/200312:19:40PM3/30/20031:03:05PM I3/31/20034:56:56PM 13/31/20035:03:13PM 1Рис. А. 17. Выбор резервной копии для восстановления

Приложение. Internet Information Services 6 (IIS 6) 8874. Щелкните на кнопке Restore (Восстановить).5. Появится сообщение, указывающее, что требуется остановить IIS и что для восстановленияможет потребоваться некоторое время. Щелкните на кнопке ОК.6. Если вы задали пароль при резервном копировании метабазы, то во время восстановленияу вас будет затребован ввод этого пароля.7. Когда вы получите уведомление, что операция выполнена успешно, щелкнитена кнопке ОК и затем на кнопке Close.Ваш сайт Sample Web Site снова появится в IIS Manager, указывая на то, что восстановлениебыло успешным.Совет. Вы можете также использовать эту процедуру для восстановления из журнальногофайла (history-файла).Экспорт метабазыВы можете экспортировать и импортировать выбранные части метабазы, например,информацию о конфигурации для конкретного веб-сайта, или виртуальнойпапки, или даже конфигурации всех веб-сайтов на вашей машине. Экспортированныйфайл будет XML-файлом, который можно в дальнейшем импортировать на вашумашину или другую машину с установленной IIS 6. Вы можете также использоватьсредство export для создания шаблона метабазы, чтобы копировать или «клонировать»конфигурации веб-сайтов на несколько машин с IIS, чтобы они имели одинаковуюконфигурацию.Отметим, однако, что экспорт метабазы не предназначен как замена обычныхрезервных копий этой метабазы. Дело в том, что экспорт метабазы можно использоватьдля создания резервной копии только файла конфигурации метабазы, но нефайла схемы метабазы. Кроме того, в файлы экспорта метабазы не включаются свойствашифрования, которые содержатся в файлах резервной копии метабазы.Чтобы использовать IIS Manager для экспорта конфигурации вашего сайта SampleWfeb Site, выполните следующие шаги.1. Щелкните правой кнопкой на Sample Web Site и выберите All Tasks/SaveConfiguration to a File (Все задачи/Сохранить конфигурацию в файле).2. Задайте имя файла экспорта и выберите опцию шифрования, чтобы вы моглипозже импортировать этот файл на другую машину IIS 6.3. Щелкните на кнопке ОК.Вы можете также экспортировать части метабазы из командной строки с помощьюскрипта iiscnfg.vbs:C:\>iiscnfg /export /f test.xml /sp /Im/w3svc/1226210006 /inherited /childrenConnecting to server ...Done.Configuration exported from /Im/w3svc/1 to file export_test_2.xml.Эта команда имеет следующий синтаксис.• /f назначает имя text.xml для файла экспорта, который сохраняется по умолчаниюв корне диска С:, если не указан другой путь.• /sp указывает имя экспортируемого узла метабазы /Im/w3svc/1226210006, где1226210006 - это идентификатор, используемый внутренним образом для идеи-

•888 Windows Server 2003. Полное руководствотификации сайта Sample Wfeb Site (он генерируется случайным образом службойIIS, чтобы ваша машина отличалась от других машин). Вы можете увидеть идентификаторыдля ваших веб-сайтов, выбрав узел Web Sites в IIS Manager.• /inherited указывает, что свойства, наследуемые этим узлом от его родительскогоузла, следует явно включить в файл экспорта.• /children указывает, что к файлу экспорта должны рекурсивно добавляться подключи.Импорт метабазыЧтобы импортировать ранее созданный файл экспорта метабазы на ту же машину,удалите сначала Sample Web Site в целях тестирования и затем выполните следующиешаги.1. Щелкните правой кнопкой на узле Web Sites и выберите New/Web Site From File(Создать/Веб-сайт из файла).2. Щелкните на кнопке Browse в диалоговом окне Import Configuration (Импортконфигурации) и выберите файл экспорта, который вы создали раньше.3. Щелкните на кнопке Read File (Читать файл). Sample Web Site появится в спискеLocation.4. Выберите Sample Web Site и щелкните на кнопке ОК.5. Введите пароль, который вы использовали для шифрования файла экспорта, ищелкните на кнопке ОК.6. Sample Web Site появится в IIS Manager в остановленном состоянии (stopped).Чтобы запустить его, щелкните правой кнопкой на узле этого сайта и выберитепункт Start (Запустить).Импорт файла экспорта на другую машину происходит несколько сложнее, посколькувы должны сначала выполнить следующие задачи.• Измените или удалите из файла экспорта всю информацию, относящуюся к конкретноймашине.• Создайте все необходимые папки на целевой машине, например, домашние папкидля каждого импортируемого веб-сайта.• Измените все пути файловой системы в свойствах метабазы, если они отличаютсяна целевой машине.• Удалите все свойства, относящиеся к учетным записям IUSR и IWAM (они будутдругими на целевой машине).• Удалите все свойства AdminACL (они относятся к конкретной машине и не могутбыть изменены вручную).• Удалите все свойства, относящиеся к паролям (они относятся к конкретной машинеи не могут быть изменены вручную).Примечание. Вы можете также использовать iiscnfg.vbs для импорта файла экспортаметабазы.

Алфавитный указательадминистративное управление 626администратор кластеров 767активация 115по телефону 116через интернет 116активизация RIS 83альтернативная конфигурация 332архитектуракластеров серверов 761аудитжурнала событий 578отказов 259принтера 303успеха 259аутентификация 440виртуальные кластеры 744восстановлениедополнительные опции 822задание опций 820контроллеров домена 823системных служб 823системы с помощью ASR 837состояния системы 595состояния системы в другом месте825файлов и папок 819восстановление системыавтоматизированное 43конфигурирование опций 839с помощью ASR 841выбор файловой системы 507вызовы интерфейса 282базовые значения показателейпроизводительности 781базовые полномочия 148балансированиезагрузки компонентов 48сетевой нагрузки 48безопасный режим 182библиотеки 270, 549автоматизированные 270, 551автономные 271,551меток носителей 552опись 271очистка 275, 555получение описи 550блокировказаставки 569экрана 568буфер индекса 502буфер экранаразмер 213Ввеб-сад 879веб-сайтконфигурирование 875создание 874графическое представлениепроизводительности 788группирование кнопок 197группы 643, 662рассылки 644группыглобальные 649локальные 643локальные в домене 650локальные по умолчанию 644специальные 653универсальные 650дампзадание типа файла 840памяти 841памяти ядра 841просмотр файла 850действующие полномочия 519делегирование 392дефрагментациясистемного файла подкачки 233устранение проблем 233дисканализ 229

890 Windows Server 2003. Полное руководстводефрагментация 231очистка 250Диспетчер устройств 267дистрибутивная папка 66добавление узлов к существующемукластеру 777доверительные отношениямежду корнями доменов 641между лесами 641между родительским и дочернимдоменом 641с областью действия 642сокращенные 641документированиеоборудования 50программного обеспечения 51сети 51унаследованных компонентов 51доменверхний 390дочерний 391корневой 390корпоративный 390родительский 391драйверыграфические 285интерфейса принтера 285Жжурнал безопасности 259журнал событийпросмотр 849журналы трассировки 795загрузка 161драйверов и служб 167оборудования 161операционной системы 168служб входа 173заданиезапуск и остановка 242изменение иди удаление 242остановить 240отправка и получение 245передача на удаленные компьютеры 245получателей оповещений 843просмотр на удаленном компьютере245просмотр состояния 242создание 247удаление 240, 249управление 249заплаты безопасности 585запоминание команд 211запроситеративный 389обратный 389рекурсивный 389защитажурналов событий 582по системному ключу 566звуковые файлы 133зонавторичная 392интегрированная с Active Directory392обратного поиска 390первичная 391прямого поиска 390, 406фиктивная 392Иимяобновление 412разрешения 414интерфейспользовательского режима 340искомое время 614исполняемый код 165Ккаталог приложенийраздел 41клавиатурные сокращения 208кластеризация 741кластерыдобавление узлов 757создание 756,772тестирование 777кластеры серверов 47архитектура 761использование 769режимы работы 763клонирование диска 68командная строка 207быстрый доступ 207вид окна 212

Алфавитный указатель 891конфигурированиемониторинга состояния 880настроек приложения 881области хранения 530приложений 744расписания 531критерии поиска 312локальные группыдобавление членов 266, 646по умолчанию 644создание 266, 647управление 266локальные пользователидобавление 265конфигурирование 265управление 264локальные профили 683настройка 685локальные учетные записиконфигурирование 672создание 671локальный аудит безопасности 578м«Магический номер» 394маршрутизаторыграниц областей 422исходные 483маршрутизацияAppleTalk 482алгоритмы 417динамическая 419протоколы 420статическая 418маска подсети 351менюStart 192дополнительных вариантов загрузки181загрузки 178метабазавосстановление 886импорт 888резервное копирование 884экспорт 887модернизациядомена 598контроллеров домена 601леса 597основного контроллера домена 601резервных контроллеров домена 601серверов 55мониторингдисковой подсистемы 802памяти 800процессора 801сетевой производительности 803мониторыпечати 288ннабор политикирезультирующий 45настройкабезопасности 710видео 190ПО 712оборудования 162паролей 169политик безопасности 169совместимости 120справочной системы 205функции Search 206номерсетевой 478областьнепрерывная 502уведомлений 196оборудованиекластеризация 47окноположение 213размер 213оперативные исправления 585определение рабочих нагрузок 782оптимизация системных ресурсов 799опции безопасности 576отдельные полномочия 148отчетыот ошибках 855отправка 861

892 Windows Server 2003. Полное руководствосбор и просмотр 861ОшибкиSCSI 164диска 163памяти 163ппакеты обновлений 585панель задач 195закрепление 198панели инструментов 198папка My Documentsручное перенаправление 691параметры хостов 750пароливедение журнала 679максимальный срок действия 679минимальная длина 679минимальный срок действия 679обновление 681политики 678создание диска обновления 682первый домен 590первый лес 591первый сайт 591перенаправление папок 717печать, дополнительные возможности325план развертывания 49повторение процесса привязки 381поддержка печати Macintosh 293подсеть 353поискв глобальном каталоге 618разделов 204политикивосстановления 565для контроллера домена 172для рядовых компьютеров 171паролей 678полномочия доступа 119пользовательский интерфейс 188последовательность доверия 583правило для портов, создать 751прикладные протоколы 349принтер виртуальный 329принудительный вызов отказакомпьютера 847принципалы безопасности 662приоритет обработки 755провайдердистанционной печати 296локальной печати 295проверка несистемного тома 864программные группы 132пространство имен 521протоколыаутентификации пароля 438доступа 428маршрутизации 420маршрутизируемые 420сетевые 425профилилокальные 673, 683обязательные 688перемещаемые 686пользователей 131процент нагрузки 754пулыимпортированных носителей 551неопознанных носителей 551принтеров 314свободных носителей 551пулы носителей 271создание и конфигурирование 553удаление 554Рабочий стол 190оаздел приложений 394оазм ер курсора 211оазмер окнаОтображение 211оазрешение имен 385,388,427расширение командотключение 215регистрация классов 128реестр 122аудит 152добавление элементов 144изменение значений элементов 144поиск в 141редактор 134,138структура 125удаление элементов 144файлы ульев 125элементы данных 126резервное копирование 809

Алфавитный указатель 893автоматическое 414использование пакетных файлов 816метабазы 884расписание 816создание задания 813типы 808репликацияавтоматическая 413базы данных 414ресурсные записи 391роли серверов 97серверTelnet 494дистанционного доступа 95перенаправления запросов 389печати 94почтовый 95приложений 94файловый 92сетевой номервнутренний 478сетевой теледоступ 494Сильные пароли 677символы подстановки 218система доменных имен 356системная политикакомпьютерная 701пользовательская 701системные средствазапуск 254системный файл подкачки страниц 233скрипты входаактивизация 695службыEmergency Management Services 43дейтаграмм 358кластеризации Microsoft 48печати 480сеансов 360синхронизации каталогов 480теневой копии тома 44файловые 480совместимость оборудованиясписок 46совместимость программ 43соединениеаналоговые 432маршрутизируемое 435между сайтами 443транслируемое 435СозданиеOU 623веб-сада 879доверительного отношения 584запроса 630кластера 756локальных групп 647нового кластера 772областей 383оповещение 797панелей задач ММС 628«плоских» образов RIS 88приложения 875пула приложений 876скриптов операций GPMC 724специализированных консолей ММС627структуры сайтов 635томов для Macintosh 487учетные записи 664состояние сторон 552состояния узла 764сохранение с помощью журналовсчетчиков 791сохраняемые запросы 40специальные полномочия 150списокатрибутов 502файлов приложений 237справочная система 202справочные страницы 205спулер 283спулингфайлы 284средствазавершения имен папок и файлов 216мониторинга производительности787обслуживания 228совместимости 117Страницы-разделители 321темы 191изменение 191удаление 192

894 Windows Server 2003. Полное руководствотеневая копия тома 805служба 44тестированиекластера 777настроек совместимости 120совместимости 118тип данных 126типы резервного копирования 808трафик репликации 42туннелирование 440удаленный вход 675удаленный помощник 35удаленный рабочий стол 35,99управлениеNLB-кластером 759автономными серверами 39буквами накопителей 276данными пользователей 735дисками 276настройками пользователей 736серверами RIS 84управляющий символвыбор 217установканесопровождаемая 62,65образов RIS на клиентскихкомпьютерах 90плоского образа RIS 730ПО 737сервера RIS 82службы NLB 746удаленных принтеров 310установка DNSвручную 405с помощью мастера 405установка принтероввручную 297с инфракрасной связью 298учетные записивстроенные 663длительность блокировки 681доменные 662компьютерная 701копирование 666локальные 661отключение и включение 669переименование 668разблокирование 681создание 664создание локальных 671управление 662файл регистрации 143файловые системы 499файлы .ini 124файлы журналовместоположение 793просмотр 796форматы 793файлы загрузкиисполняемые 166форматы носителей 272фрагментациявнутренняя 504использования 504хранениеразреженное 506хранилище образов 729шшаблонынестандартные 718сертификатов 562широковещательное сообщение380шифрование 441шрифтTrueType 212растровый 212экспорт разделов 142эталонное изображениеклонирование в файл 80эталонные значения 783эталонный образ 69

Иностранные терминыDatacenter Edition 34Emergency Management Services 43Enterprise Edition 34Group PolicyВосстановление объектов 723Делегирование управления 721Копирование объектов 723Моделирование 722Настройки 707Объекты 705Расширение 707Резервное копирование объектов 722Результаты 722Требования к использованию 699IP-адресВыделенный 751RISИспользование 733Структура решений 733Управление 731Установка плоского образа 730Standard Edition 33VPN-соединениеКоммутируемое 443Web Edition 34, 113Алфавитный указатель 895-

Кэти АйвенсMicrosoft Windows Server 2003Полное руководствоПеревод М.Х. РозовскийРедактор В.И. ГрушецкийВерстка М.В. АлексееваДиректор издательства В.Н. ГоворухинГлавный редактор Н.В. ГригорьеваТехнический директор Е.В. НовиковГлавный художник О.В. БудкоП О Л Ь З О В А Т Е Л ЬIN L E G A L USEwww.ecom.ruПодписано в печать 5.07.2004. Формат 70x100 Vie.Гарнитура Ньютон. Печать офсетная. 56 печ. л.Тираж 3000 экз. Заказ № 3994Издательство «СП ЭКОМ»117342 Россия, Москва, ул. Бутлерова, д.17, оф. 105Телефон для оптовых покупателей (095) 330-68-65E-mail: zakaz@ecom.ruОтпечатано в ОАО «Можайский полиграфический комбинат»143200, г. Можайск, ул. Мира, 93