Active Directory Service Interfaces (ADSI)

Два программных продукта, выпускаемых компанией Microsoft, а именно Active Directory Service Interfaces (ADSI) и Windows Script Host (WSH — сервер сценариев Windows), позволяют реализовать единый подход к управлению различными платформами и программными продуктами. Для администраторов интерфейсы ADSI являются весьма ценным инструментальным средством, поскольку они достаточно просты в изучении и использовании и могут значительно облегчить выполнение объемных или типовых (часто повторяемых) операций. Например, с помощью ADSI вы можете создать программу экспорта/импорта, максимально соответствующую требованиям вашей доменной конфигурации, или специализированную утилиту миграции данных между различными каталогами.

С точки зрения администратора, интерфейсы ADSI имеют два важных достоинства:

ADSI взаимодействуют со множеством платформ и продуктов, включая следующие: LDAP-совместимые серверы, такие как серверы Active Directory (на базе Windows 2000 Server и Windows Server 2003) и Exchange 5.r,

основные и вспомогательные контроллеры доменов Windows NT 4.0 (PDC и BDC);

службы Интернета (Internet Information Services, IIS);

серверы Novell Directory Services (NDS) (версий 4.x и выше);

серверы Novell NetWare (версий 3.x);

ADSI позволяют использовать многие языки, поддерживающие автоматизацию (automation), такие как Visual Basic, VBScript, JScript и Perl; также можно применять такие "полноценные" языки, как C/C++, используя при этом ту же самую объектную модель компонентов (СОМ). Языки сценариев не требуют много времени на изучение; вы можете объединять и/или модифицировать существующие сценарии и быстро создавать работоспособные инструменты для выполнения конкретных задач.

Интерфейсы ADSI являются стандартным компонентом систем Windows 2000/ХР и Windows Server 2003 и могут также устанавливаться на системах Windows 9х/МЕ и Windows NT 4.0.

При работе с ADSI очень полезно (даже необходимо) иметь под рукой некоторые административные утилиты, такие как Ldp.exe и AdsVw.exe, а также оснастки ADSI Edit и Active Directory Schema. Эти инструменты позволят вам проверять результаты выполнения создаваемых сценариев или приложений, следить за состоянием Active Directory и значениями атрибутов объектов каталога, а также выполнять еще множество операций, нужных для эффективного программирования.

На веб-сайте Microsoft имеется множество примеров административных сценариев, которые легко можно адаптировать к своим условиям и задачам. Эти примеры могут быть основой для "быстрого старта" при изучении интерфейсов ADSI и способов их применения. При этом на начальных этапах не требуется предварительное изучение программистской документации и обширных спецификаций интерфейсов и классов ADSI.

Архитектура службы удаленной установки

Функционирование службы удаленной установки напрямую связано с работой ряда других служб Windows Server 2003.

 Служба каталога Active Directory. Служба каталога играет важнейшую роль в функционировании службы удаленной установки. Прежде всего, каталог используется для размещения информации о серверах службы удаленной установки (или, как их еще называют, RIS-серверах). Кроме того, в каталоге же размещается информация об учетных записях клиентов службы удаленной установки. Возможна ситуация, когда процедура удаленной установки инициируется только для тех клиентов, для которых предварительно в каталоге были созданы соответствующие объекты.

 Служба доменных имен (Domain Name Service, DNS). Служба доменных имен используется клиентами для обнаружения ближайшего контроллера домена. Контроллеры домена используются впоследствии для взаимодействия со службой каталога.

 Служба DHCP-сервера. Протокол DHCP используется в качестве средства организации взаимодействия между RIS-сервером и клиентами. Чтобы иметь возможность взаимодействия с сетевыми устройствами, клиент должен иметь действительный IP-адрес. Выделение клиенту этого адреса осуществляется DHCP-сервером. Наличие IP-адреса является обязательным условием инициации процедуры удаленной установки операционной системы.

Для функционирования службы удаленной установки совершенно необязательно использование DNS- и DHCP-серверов, реализованных на базе Windows Server 2003. Может быть использована любая реализация этих серверов, удовлетворяющих требованиям службы Active Directory.

Инсталляция и сопровождение программ

Средства Инсталляции и сопровождения программ обеспечивают надежную, быструю установку программных продуктов и их автоматическое восстановление для групп пользователей и компьютеров. С помощью этих средств администраторы могут обновлять развернутые приложения, удалять устаревшие программы и устанавливать сервисные пакеты и обновления операционной системы.

Для этих целей используются групповые политики, которые могут описываться в Active Directory для сайтов, доменов и подразделений (организационных единиц). При каждом включении компьютера запрашивается соответствующая политика инсталляции программ, с помощью которой конфигурируется компьютер. Для каждого зарегистрированного в системе клиента запрашивается пользовательская политика инсталляции программ, и система обновляется, делая доступными нужные приложения.

Ключевым инструментом для оперативной инсталляции программ является служба Windows Installer. Для того чтобы программный продукт смог воспользоваться средствами Windows Installer, он должен быть авторизован и записан в дистрибутивный пакет (файл с расширением msi). Служба Windows Installer полностью автоматизирует процесс инсталляции и конфигурирования программ.

Используя групповую политику и средства Инсталляции и сопровождения программ, администраторы могут публиковать (publish) или назначать (assign) приложения для групп пользователей и компьютеров.

Опубликованные приложения становятся доступными для пользователей по запросу (по мере необходимости). Администраторы могут определить, какие приложения нужны пользователям, учитывая практические, технические и географические требования каждой группы. Пользователи могут при желании инсталлировать опубликованные для них приложения с помощью значка Add or Remove Programs (Установка и удаление программ) на панели управления, выбирая приложения из списка. Пользователи могут также открыть файл или документ, требующий опубликованного приложения, после чего требуемое приложение автоматически инсталлируется и запустится, а файл будет открыт в нем.

Когда администраторы назначают приложения пользователям и компьютерам, они явно указывают, какие программы должны быть установлены. Программы, назначенные компьютеру, обычно инсталлируются при следующей перезагрузке компьютера. Такая возможность полезна для развертывания сервисных пакетов, обновлений драйверов и т. п. Когда администратор назначает некоторое приложение конечному пользователю, соответствующий значок появляется на рабочем столе этого пользователя (например, в меню Start (Пуск), в виде ярлыка рабочего стола и т. д.; при этом значок "следует" за пользователем, даже если тот перемещается на другой компьютер в сети) при его следующей регистрации в системе. Инсталлируется это приложение при первом обращении к нему со стороны пользователя или при попытке открытия документа, связанного с назначенным приложением.

Приложения, инсталлированные с помощью Windows Installer, защищены от случайного удаления файлов приложения или необходимых для него ресурсов. При каждом запуске такого приложения служба Windows Installer проверяет наличие необходимых файлов и компонентов. При их отсутствии служба копирует и инсталлирует недостающие компоненты из указанного узла дистрибуции на локальный компьютер, либо на сетевой ресурс, например в каталог распределенной файловой системы DFS.

Инструментальные средства управления Windows (WMI)

Начиная с Windows NT, в системах этой линейки — Windows 2000, Windows ХР и Windows Server 2003 — широко используется технология Windows Management Instrumentation (WMI, Инструментальные средства управления Windows), которая обеспечивает унификацию средств администрирования аппаратных и программных средств. Компания Microsoft разработала WMI на основе требований, входящих в спецификацию Web-based Enterprise Management (WBEM).

Web-based Enterprise Management (WBEM) (можно перевести как веб-ориентированное управление предприятием) — это инициатива, поддержанная многими ведущими производителями программного и аппаратного обеспечения (Microsoft, Compaq, BMC, Cisco и Intel) и направленная на решение проблемы сбора и использования диагностической и управляющей информации в корпоративных сетях, включающих оборудование от различных поставщиков и использующих многочисленные разнообразные протоколы, операционные системы и распределенные прикладные системы.

Традиционно в управлении сложными сетями используются различные протоколы и интерфейсы: например, протокол Simple Network Management Protocol (SNMP) применяется для управления сетевыми ресурсами (концентраторами, маршрутизаторами и т. д.), а для управления настольными системами может использоваться Desktop Management Interface (DMI). Технология WBEM предполагает создание открытой среды для средств администрирования, позволяющей им свободно взаимодействовать друг с другом и со всеми объектами управления, а также максимальное использование уже существующих технологий и стандартов. Поставленная цель сравнима с задачей, решаемой сетью World Wide Web: связать воедино поставщиков и потребителей информации, ничего не "знающих" о том, как работают конкретные системы на другом конце цепочки передачи этой информации. Перспектива использования веб-технологий для более традиционных инструментов администрирования и определила появление в названии новой инициативы слов Web-based.

Компания Microsoft разрабатывает технологии Windows Management Instrumentation (WMI), начиная с 1996 г. WMI — это ключевой компонент для административных служб Windows, к числу которых относятся, например, службы поиска и политик Active Directory, службы визуализации, входящие в Microsoft Management Console (MMC), и средства автоматизации (automation) сервера сценариев Microsoft Script Host (WSH).

Можно перечислить следующие особенности и возможности WMI:

  функционально полная модель для конфигурирования операционной системы и отображения ее состояния;

 интерфейс программирования COM API, обеспечивающий единый доступ ко всей информации, касающейся администрирования;

 возможность взаимодействия с административными службами операционной системы, что позволяет разработчикам создавать интегрированные приложения для управления системами;

 гибкая информационная модель, которую можно расширять для поддержки новых устройств и приложений, создавать соответствующие программные модули (WMI-провайдеры);

 развитая событийная архитектура, обеспечивающая распознавание и обработку изменений в состоянии объектов управления и передачу этой информации локальным или удаленным административным программам;

 сложный язык запросов для получения данных из информационной модели;

 API сценариев, позволяющий разработчикам управляющих приложений использовать Visual Basic или Windows Script Host (WSH).

Методы WMI можно использовать в сценариях и приложениях (поскольку, помимо интерфейсов COM, WMI поддерживает автоматизацию, automation). Имеется поддержка для следующих языков:

 Visual Basic

 Visual Basic for Applications

 Visual Basic, Scripting Edition

 Microsoft JScript

 Perl

Использование WMI в LDAP-запросах

Windows Management Instrumentation (WMI) содержит специальный, интерфейс — WMIExtension, который позволяет использовать методы WMI для управления компьютерами, имена которых получаются из каталога Active Directory при помощи LDAP-запросов. Администратор получает возможность сочетать в своих сценариях гибкие и развитые возможности поиска в каталоге (с использованием интерфейсов ADSI) и методы WMI, которые позволяют обращаться ко многим системным параметрам и компонентам (например, выполняющимся сервисам, файловой системе, журналам событий, характеристикам операционной системы и т. д.).

Чтобы проиллюстрировать богатые возможности сценариев, использующих WMI и, в частности, интерфейс WMI ADSI Extension, расширяющий базовые функции ADSI, давайте, следуя хорошей поговорке "Лучше один раз увидеть, чем сто раз услышать.", рассмотрим демонстрационную программу на Basic, которая состоит из отдельных фрагментов кода, позволяющих получить ту или иную информацию о компьютерах домена. Эта программа также иллюстрирует использование интерфейсов ADSI для обращения к объектам Active Directory.

Листинг 11.1. Использование программного интерфейса WMI ADSI Extension

Option Explicit

Sub Main ()

Dim objAD As lADsContainer

Dim obj As IADs

Dim ADSObject As WMIExtension

Dim WMIServices As SWbemServices

Dim WMIObject As SWbemObject

Dim recSet As SWbemObjectSet

Dim LogFile As SWbemObject

Dim i As Integer

'Получить список компьютеров и опросить каждый:

Set objAD = GetObject("LDAP://CN=Computers,DC=net,DC=dom")

objAD.Filter = Array("computer")

i = 1

For Each obj In objAD

Debug.Print "#"; i;obj.Name; " ("; obj.ADsPath;")"

'Получение ссылки на объект типа computer из пространства имен LDAP:

Set ADSObject = GetObject(obj.ADsPath)

Debug.Print "WMI Object Path: " + ADSObject.WMIObjectPath

Set WMIObject = ADSObject.GetWMIQbject

Debug.Print vbCrLf

'Теперь можно использовать любые свойства или методы объекта WMI.

'Перечень свойств содержится в описании WMI-класса

'Win32_ComputerSystem.

'Вывод некоторой информации о выбранном компьютере:

Debug.Print "Состояние = " + WMIObject.Status

Debug.Print "Статус загрузки = " + WMIObject.BootUpState

Debug.Print "Имя компьютера = " + WMIObj ect.Caption

Debug.Print "Роль в домене = " + CStr(WMIObject.DomainRole)

Debug.Print "Всего памяти (байт) = " + WMIObject.TotalPhysicalMemory

Debug.Print "Зарегистрированный пользователь = " + WMIObject.UserNaroe

Debug.Print vbCrLf

' Получить объект служб WMI из пространства имен "root\cimv2":

Set WMIServices = ADSObject.GetWMIServices

'Определение установленной системы:

Set recSet = WMIServices.ExecQuery_

("select * from Win32_OperatingSystem")

'Использование интерфейса GetWMIObject для выбора WMI-объекта:

For Each WMIObject In recSet

Debug.Print WMIObject.Name

Next

Debug.Print vbCrLf

'Список всех работающих служб:

Set recSet = WMIServices.ExecQuery _

("select * from Win32_Service where Stateo'Stopped'")

' Следующий оператор перечисляет службы, которые не смогли

' запуститься на выбранном компьютере:

' Set recSet = WMIServices.ExecQuery("select * from Win32_Service

' -> where State='Stopped1 and StartMode='Auto'")

Debug.Print "Службы (ВСЕГО)"; recSet.Count

For Each WMIObject In recSet

Debug.Print WMIObject.Name

Next

Debug.Print vbCrLf

' Список всех процессов, выполняющихся на целевом компьютере:

Set recSet = WMIServices.ExecQuery("select*from Win32_Process")

Debug.Print "Процессы (ВСЕГО)"; recSet.Count

For Each WMIObject In recSet

Debug.Print WMIObject.Name

Next

Debug.Print vbCrLf

'Список журналов системных событий:

Set recSet = WMIServices.ExecQuery_

("select * from Win32_NTEventLogFile")

Debug.Print "Журналов событий (ВСЕГО)";

recSet.Count For Each LogFile In recSet

Debug.Print LogFile.Name

'Следующий оператор сохраняет журнал в файле



'на целевом компьютере;

' необходимо лишь сформировать уникальное имя файла:

'LogFile.BackupEventlog ("C:\net.evt")

Next

Debug.Print vbCrLf

' Отображение всех событий в указанном журнале (Application, ' Security, System и т. д.): Set recSet =• WMIServices.ExecQuery_ ("select * from Win32_NTLogEvent WHERE LogFile='Security'") Debug.Print "Событий (ВСЕГО)"; recSet.Count For Each LogFile In recSet ' Последнее по времени событие выводится первым. ' Список свойств содержится в описании WMI-класса Win32_NTEventlog ' Эту информацию можно направить в файл, расположенный на локальном ' компьютере (где выполняется программа): Debug.Print LogFile.Category-String, LogFile.SourceName, _ LogFile.EventCode, LogFile.LogFile, LogFile.TimeGenerated Next Debug.Print vbCrLf ' Go to the next computer i = i + 1 Next Set objAD = Nothing Set obj = Nothing Set ADSObject = Nothing Set WMIServices = Nothing Set WMIObject = Nothing Set recSet = Nothing Set LogFile = Nothing End Sub

Для формирования запросов с целью получения сведений о WMI-объектах используется язык WMI Query Language (WQL). WMI-фильтры, написанные на WQL, применяются также для фильтрации объектов групповых политик (Group Policy Objects, GPO). Для получения дополнительной информации в окне Help and Support Center выполните поиск строки "WQL".

Конфигурирование RIS-сервера

По окончании процесса перезагрузки администратору необходимо выполнить конфигурирование RIS-сервера. Для этого в режиме командной строки следует выполнить команду Risetup.exe. Это приведет к запуску мастера Remote Installation Services Setup Wizard.

Администратор должен определить местоположение папки, которая будет использоваться хранилищем образов инсталляции. Затем нужно указать, должен ли сервер обрабатывать запросы клиентов сразу по окончании работы мастера или администратор должен будет разрешить обработку запросов клиентов позднее. Если установить флажок Respond to client computers requesting service, RIS-сервер будет отвечать на запросы клиентов сразу по окончании работы мастера. Если требуется, чтобы RIS-сервер отвечал на запросы только тех клиентов, для которых предварительно в каталоге были созданы объекты, ассоциированные с учетными записями компьютеров, необходимо установить флажок Do not respond to unknown client computers (He отвечать на запросы неизвестных клиентов).

На следующем этапе следует указать место расположения дистрибутивных файлов операционной системы, которые будут использованы для создания образа инсталляции. Перейдя к следующему окну, администратору необходимо определить имя папки, в которой будет размещен созданный мастером образ инсталляции.

На заключительном этапе в поле Friendly Descriptions (Дружественное описание) надо дать описание создаваемому образу инсталляции. Это описание будет предлагаться пользователям мастером Client Installation Wizard в процессе инициации удаленной установки операционной системы. Кроме того, администратор может указать в поле Help text (Текст справки) дополнительную справочную информацию, позволяющую клиенту получить более подробные сведения о конкретном образе инсталляции.

Конфигурирование служб RIS

Установленный RIS-сервер зачастую нуждается в дополнительном конфигурировании. Если на этапе развертывания служб удаленной установки не была определена схема обработки пользовательских запросов, администратор должен решить: будет ли RIS-сервер отвечать на запросы всех клиентов или только на запросы тех клиентов, с которыми в каталоге ассоциированы соответствующие объекты. Кроме того, используя механизм групповой политики, администратор должен определить для различных групп пользователей параметры удаленной установки. Фактически речь идет о том, чтобы разрешить пользователям выполнять процедуру удаленной установки и определить ее параметры.

с пакетом обновлений Service Pack

Microsoft Systems Management Server (текущая версия 2.0 с пакетом обновлений Service Pack 5) представляет собой интегрированный набор инструментов, позволяющих выполнять инвентаризацию аппаратных и программных средств, инсталлировать и распространять приложения, профилировать приложения, диагностировать и находить неисправности. SMS 2.0 можно использовать как дополнение и расширение встроенных средств систем Windows 2000 Server и Windows Server 2003. Он позволяет работать и с предыдущими версиями Windows: всеми 16- и 32-разрядными настольными системами, начиная с Windows 3.1 и заканчивая Windows 2000. При этом SMS 2.0 может функционировать в сетях Windows NT, NetWare 3.1 или NetWare NDS.

Основные возможности Systems Management Server 2.0 перечислены ниже.

 Инвентаризация аппаратных и программных средств. SMS использует спецификацию Windows Management Instrumentation (WMI) и новые программные сканеры ресурсов, с помощью которых подробная информация об аппаратных и программных средствах загружается в хранилище на базе SQL Server. Администраторы получают оперативную и исчерпывающую информацию обо всех приложениях и обо всех компьютерах. Кроме того, имеется средство для анализа собранных данных.

 Инсталляция и распространение приложений. С помощью- SMS 2.0 можно размещать приложения для указанных компьютеров, пользователей и групп. Теперь при распространении приложений можно задавать критерии, по которым автоматически оценивается получатель приложений. Сервер сначала обращается к каталогу программных продуктов, к получателям приложений, а затем "раздает" приложения получателям в соответствии с установленными администратором правилами.

Например, если в группе появляется новый пользователь, в соответствии с групповой политикой ему автоматически пересылается программное обеспечение. С помощью SMS 2.0 администраторы могут распространить приложение сразу же, как только возникла необходимость в нем, и "забрать" его назад, т. е. автоматически удалить приложение, когда пользователь перешел в другую группу.



  Профилирование приложений. Зачастую администраторам нужны средства, позволяющие оценить использование программных продуктов пользователями, группами и клиентскими компьютерами, задать квоты времени или установить лицензии. SMS 2.0 может отображать, анализировать и, при необходимости, контролировать процесс использования приложений на серверах и рабочих станциях. Администраторы могут задавать различные реакции в критических ситуациях — от простых предупредительных сообщений до блокировки приложений.

 Диагностика и поиск неисправностей. Помимо мониторинга рабочих станций и серверов и удаленного управления, SMS 2.0 имеет многочисленные средства диагностики: например, сетевой монитор с возможностью работы в реальном времени и анализа перехваченных данных для оценки работоспособности и производительности сети, или серверное средство HealthMon, позволяющее определять критические моменты (узкие места) в работе серверных системах Windows и приложений семейства BackOffice.

Определение параметров групповой политики

Механизм групповой политики позволяет администратору определять для различных категорий пользователей возможности участия в процедуре удаленной установки операционной системы.

Для этого, открыв в оснастке Group Policy Object Editor для редактирования нужный объект групповой политики (например, привязанный к домену или к некоторому подразделению), администратор должен выбрать узел User Configuration | Windows Settings | Remote Installation Services. В панели результатов для данного узла будет находиться объект Choice options (Выбор параметров). Откройте окно свойств этого объекта, выбрав в его контекстном меню пункт Properties (Свойства). В окне Choice Options Properties необходимо определить доступные определенным категориям пользователей режимы установки.

 Automatic Setup (Автоматическая установка). В данном режиме выполнение установки операционной системы выполняется в полностью автоматическом режиме. От пользователя требуется минимальное участие. В ситуации, когда удаленная установка должна выполняться неквалифицированными пользователями, использование данного режима установки является самым оптимальным вариантом.

 Custom Setup (Пользовательская установка). Данный режим предоставляет пользователю возможность определять некоторые параметры установки (прежде всего имя учетной записи компьютера). Благодаря этому один пользователь может выполнить установку операционной системы на нескольких компьютерах. Возможность работы с данным режимом можно предоставить опытным пользователям (например, администраторам организационных единиц).

 Restart Setup (Возобновление предыдущей неудачной установки). Данный режим позволяет продолжить операцию удаленной установки операционной системы в ситуации, когда предыдущая попытка закончилась неудачно еще на начальном этапе. В случае выбора рассматриваемого режима система будет использовать информацию, собранную ранее, в ходе первой попытки установки.

 Tools (Инструментарий). В данном режиме пользователю разрешается использовать специализированный инструментарий, позволяющий выполнить диагностику проблем, связанных с установкой операционной системы.

Каждый из перечисленных параметров может быть установлен администратором в одно из трех значений:

 Enabled (Активизировать). Выбор данного значения активизирует выбранный параметр групповой политики. Применительно к рассматриваемому параметру значение явно разрешает использование выбранного режима установки пользователям, подпадающим под действие конфигурируемого объекта групповой политики;

 Disabled (Отключить), Выбор данного значения отключает указанный параметр групповой политики. Применительно к рассматриваемому параметру значение явно запрещает использование выбранного режима установки пользователям, подпадающим под действие конфигурируемого объекта групповой политики;

 Not Configured (He определено). Данное значение оставляет неопределенным возможность использования пользователем выбранного режима в рамках рассматриваемого объекта групповой политики. Фактически доступность выбранного режима удаленной установки ставится в зависимость от значения аналогичного параметра групповой политики, определенного на вышестоящем уровне.

Определение схемы обработки запросов клиентов

Если на этапе установки не было определено, какие категории клиентов будут обслуживаться RIS-сервером, администратор может это сделать позже, используя оснастку Active Directory Users and Computers. Открыв окно свойств объекта, ассоциированного с учетной записью компьютера, на котором установлен RIS-сервер, необходимо перейти на вкладку Remote Install (Удаленная установка). Установите флажки Respond to client computers requesting service (Сервер отвечает на все поступающие запросы) и Do not respond unknown client computers (He отвечать на запросы неизвестных компьютеров) в соответствии с имеющимися требованиями.

Применение мастера Remote Installation Preparation Wizard для создания образов инсталляции

Другой способ создания образов инсталляции заключается в применении мастера Remote Installation Preparation Wizard (RIPrep.exe). Этот мастер позволяет создать образ инсталляции, используя который, администратор может установить на рабочей станции не только операционную систему, но и весь необходимый набор стандартных приложений. Особенность архитектуры службы установки позволяет установить на рабочих станциях включенные в образ инсталляции приложения непосредственно в ходе установки операционной системы.

Мастер Remote Installation Preparation Wizard (RIPrep.exe) располагается в подкаталоге \Admin\i386 общей папки REMINST на любом RIS-сервере.

Мастер Remote Installation Preparation Wizard создает образ инсталляции на основе уже существующей инсталляции. При этом администратор выбирает некоторую рабочую станцию в качестве эталона для создания образа. На этой рабочей станции операционная система должна быть сконфигурирована в соответствии с предъявляемыми требованиями. При необходимости на рабочую станцию администратор может также установить интересующий набор приложений.

После этого на эталонной рабочей станции администратор запускает мастер Remote Installation Preparation Wizard, который, в свою очередь, создает образ инсталляции и помещает его в хранилище образов на RIS-сервере. По окончании работа мастера созданный образ инсталляции готов для использования клиентами.

Образ инсталляции может быть создан только для загрузочного раздела эталонной рабочей станции. Необходимо учитывать этот факт в процессе установки приложений (на этапе подготовки эталонной станции). При этом рабочие станции, на которые будет устанавливаться операционная система с использованием создаваемого образа инсталляции, должны обладать дисковым разделом аналогичного или большего объема, нежели загрузочный раздел жесткого диска эталонной рабочей станции.

Принцип функционирования

Идея службы удаленной установки сводится к следующему. Приступая к развертыванию службы удаленной установки, администратор создает несколько образов инсталляции (installation image). Образ инсталляции включает в себя всю необходимую для установки операционной системы информацию: дистрибутивные файлы операционной системы, сведения о ее конфигурации, а также дистрибутивные файлы устанавливаемых приложений. Более подробно образы инсталляции, а также методика их создания будут рассмотрены позднее в этой главе. Пока же заметим, что все созданные образы инсталляции размещаются в специальном хранилище службы удаленной установки.

Перед выполнением установки в каталоге должен быть создан объект, ассоциированный с учетной записью компьютера.

Когда необходимо, пользователь может запустить процедуру удаленной установки операционной системы, используя доступные образы инсталляции. При этом от пользователя и администратора требуется минимальное участие. От пользователя требуется инициировать процесс установки, а от администратора — сконфигурировать сервер удаленной установки и создать образы инсталляции.

Развертывание службы удаленной установки

Приступая к развертыванию службы удаленной установки, администратор должен убедиться в том, что в сети уже установлены и сконфигурированы службы DHCP- и DNS-серверов. Служба DHCP-сервера рассматривается клиентами как средство получения IP-адреса, необходимого для активизации сетевых компонентов, а также как точка подключения к RIS-серверу. При этом все используемые DHCP-серверы должны быть авторизованы администратором.

Получение IP-адреса и подключение к RIS-серверу осуществляются клиентом в рамках одной операции. Однако подключение к RIS-серверу и инициация процедуры удаленной установки, происходит только после того, как клиент получил IP-адрес.

К серверу, на котором планируется развертывание службы удаленной установки, предъявляются следующие требования:

 на сервере должна быть установлена операционная система Windows Server 2003 (Соответственно, аппаратная конфигурация сервера должна удовлетворять минимальным требованиям для установки данной операционной системы.);

 сервер должен иметь минимум 4 Гбайт свободного дискового пространства, которое будет использоваться для создания хранилища образов инсталляции. Запрещается размещать хранилище образов инсталляции в системном или загрузочном разделах. Рекомендуется использовать для этих целей, отдельный диск. Диск, предназначенный для размещения хранилища образов инсталляции, должен быть отформатирован с использованием файловой системы NTFS. При этом выбранный диск не должен являться частью распределенной файловой системы (Distributed File System, DPS) либо быть защищен при помощи шифрующей файловой системы (Encrypted File System, EPS).

Операция развертывания сервера удаленной установки выполняется администратором в два этапа:

 установка RIS-сервера;

 конфигурирование RIS-сервера.

Установка RIS-сервера подразумевает копирование необходимых системных файлов. Для этого, запустив на панели управления утилиту Add or Remove Programs, администратор должен нажать кнопку Add/Remove Windows Components. В списке предлагаемых для установки компонентов необходимо выбрать пункт Remote Installation Services. По окончании процесса установки требуется перезагрузить компьютер.

Службы удаленной установки (RIS)

Службы удаленной установки (Remote Installation Service, RIS) представляют собой механизм централизованного управления процессом установки операционной системы на клиентах. Автоматизация процесса установки предполагает сведение к минимуму участие пользователя и администратора. Службы RIS в сочетании с механизмом групповых политик предоставляют администратору возможность создания стандартного окружения пользователей на всех вновь подключаемых к сети рабочих станциях. На каждой подключаемой рабочей станции будет устанавливаться стандартный набор компонентов и приложений.

Службы RIS на базе Windows Server 2003 позволяют выполнять установку следующих операционных систем:

 Windows 2000 (Professional, Server и Advanced Server);

 Windows XP;

 Windows Server 2003 (Standard Edition и Enterprise Edition).

Создание CD-образа инсталляции

Процесс создания CD-образа фактически представляет собой создание копии дистрибутива компакт-диска в хранилище образов инсталляции. При этом для создания образа инсталляции не требуется наличия эталонной рабочей станции. При этом автоматизация процесса установки операционной системы достигается за счет использования специальных настроечных файлов (answer file). В настроечном файле содержатся значения параметров, необходимых для выполнения установки и конфигурирования операционной системы. Процедура установки операционной системы автоматически использует эти значения, что избавляет от необходимости участия пользователя. Для одного CD-образа администратор может определить несколько настроечных файлов, каждый из которых будет использоваться в соответствующей ситуации.

В качестве недостатка архитектуры CD-образов можно отметить невозможность развертывания необходимого набора приложений непосредственно в процессе установки операционной системы.

Структура службы удаленной установки

В структуре службы удаленной установки выделяются компоненты, перечисленные ниже.

 Уровень обмена загрузочной информацией (Boot Information Negotiation Layer, BINL) — механизм, функционирующий на RIS-сервере, выполняющий обработку запросов от РХЕ-клиентов. Получив от клиента запрос, механизм выполняет аутентификацию пользователя, в контексте которого выполняется установка. В случае отсутствия у пользователя полномочий, необходимых для выполнения удаленной установки операционной системы, запрос отклоняется. В случае успешной авторизации механизм санкционирует процесс передачи клиенту необходимых для удаленной установки системы файлов.

 Демон протокола тривиальной передачи файлов (Trivial File Transfer Protocol Daemon, TFTPD). Протокол тривиальной передаии файлов используется службой RIS как транспортный механизм, посредством которого клиенту передаются необходимые для инициации процесса удаленной установки файлы. В рассматриваемом случае демон TFTP активизируется на RIS-сервере.

 Хранилище файлов в единственном экземпляре (Single Instance Store, SIS) — механизм хранения образов инсталляции. Образ инсталляции представляет собой дистрибутивные файлы, необходимые для установки операционной системы. Вследствие этого образы инсталляции отличаются друг от друга незначительно (как правило, различия сводятся к составу устанавливаемых приложений и конфигурации системы). Предотвращение дублирования файлов в различных образах инсталляции позволяет уменьшить объем дискового пространства, необходимого для размещения образов инсталляции.

 Мастер установки клиента (Client Installation Wizard — OSChooser) — программа, скачиваемая РХЕ-клиентом с RIS-сервера на этапе инициализации процесса удаленной установки. Данный мастер позволяет пользователю на стороне клиента выбрать требуемый образ инсталляции.

Отдельно следует сказать о мастере Remote Installation Preparation Wizard. Этот мастер используется для создания образов инсталляции, которые впоследствии могут быть задействованы в процедуре удаленной установки.

Технологии IntelliMirror

Компания Microsoft объединяет все технологии управления, появившиеся в системах Windows 2000 и нашедшие свое развитие в Windows XP и Windows Server 2003, под общим маркетинговым названием — IntelliMirror. В табл. 11.1 перечислены стандартные средства систем Windows 2000/XP и Windows Server 2003, обеспечивающие централизованное решение задач по управлению распределенной вычислительной средой. В зависимости от конкретных условий и потребностей администраторы могут использовать все указанные средства или некоторые из них. Далее решаемые задачи будут рассмотрены подробнее.

Таблица 11.1. Технологии управления ресурсами, реализованные в серверных версиях систем Windows 2000 и Windows Server 2003

Решаемая задача		Краткое описание возможностей		Используемые технологии (средства)
Управление пользовательскими данными		Зеркальное дублирование по сети пользовательских данных и локальное кэширование выбранных данных из сети. Лозунг— "Мои данные следуют за мной!"		Active Directory; групповые политики (Group Policy); автономные папки (Offline Folders); Диспетчер синхронизации (Synchronization Manager); дисковые квоты и перемещаемые профили пользователей (Roaming Profiles)
Инсталляция и сопровождение программ		Централизованная, надежная и оперативная инсталляция программных средств (приложений, сервисных пакетов и обновлений операционной системы), восстановление, обновление и удаление. Лозунг — "Мои приложения следуют за мной!"		Active Directory; групповые политики; Windows Installer
Управление установками пользователей и компьютеров		Централизованное управление установками рабочей среды для пользователей и компьютеров. Зеркальное отображение пользовательских настроек в сети. Лозунг — "Мои настройки следуют за мной!"		Active Directory; групповые политики; перемещаемые профили пользователей
Удаленная инсталляция систем		Инсталляция операционной системы с сетевых серверов, конфигурирование новых или замененных компьютеров		Active Directory; групповые политики; службы удаленной установки (Remote Installation Services)

<
/p> Технологии IntelliMirror позволяют администраторам настольных систем снизить общую стоимость владения (Total Costs of Ownership, TCO) при решении следующих типовых задач.

 Управление настольной (клиентской) системой. Можно описать стандартную рабочую среду для каждой из групп пользователей и обеспечивать ее автоматическое сопровождение при помощи политик безопасности.

 Развертывание приложений. Технология позволяет избежать конфликта версий (например, несовместимости DLL-библиотек) при обновлении программных продуктов.

 Поддержка мобильных пользователей. Пользователям, перемещающимся с одного компьютера на другой или из одной географической точки в другую, обеспечивается доступ к их данным, приложениям и привычной конфигурации рабочего стола независимо от местоположения пользователя.

 Замена компьютеров. Для уменьшения времени простоя компьютеров (в случае отказа или замены) администраторы могут быстро восстановить его конфигурацию, включая инсталлированные приложения и пользовательские данные.

Технологии, лежащие в основе службы удаленной установки

Служба удаленной установки базируется на использовании ряда технологий. Одной из таких технологий является технология Remote OS Installation (Удаленная установка операционной системы), представляющая собой технологию массового развертывания в корпоративной среде операционных систем Windows 2000/XP Professional, а также представителей семейства Windows Server 2003. Данная технология позволяет выполнять на рабочих станциях удаленную установку операционной системы.

Технология Remote OS Installation напрямую связана с технологией Preboot Execution Environment (РХЕ). Благодаря указанной технологии в процессе включения компьютера начальный загрузчик будет передавать управление программе, размещенной в специальной микросхеме памяти (ПЗУ). Подобная микросхема может входить в состав различных аппаратных компонентов: сетевого адаптера или непосредственно материнской платы. Основное назначение программы, зашитой в микросхеме, заключается в инициализации сетевого соединения с DHCP-сервером (например, с целью получения IP-адреса). Дальнейшее развитие событий зависит от конфигурации DHCP-сервера. Для решения обсуждаемой задачи DHCP-сервер снабжает РХЕ-клиента адресом ближайшего RIS-сервера. При этом клиент запрашивает у RIS-сервера некоторый образ установки. Начинается процесс установки операционной системы. Другим допустимым вариантом может быть загрузка операционной системы через сеть. Этот вариант особенно распространен для бездисковых рабочих станций.

Любое взаимодействие РХЕ-клиента с различными серверами является открытым (не защищенным посредством каких-либо механизмов шифрования или контроля целостности). Учитывая, что в ходе взаимодействия по сети передаются преимущественно файлы, необходимые для установки операционной системы (т. е. не являющиеся конфиденциальными), опасность их перехвата не представляется существенной. Более важным является тот факт, что организация взаимодействия не предусматривает каких-либо механизмов, гарантирующих подлинность и целостность данных, получаемых клиентом от сервера.

В случае, если рабочая станция не имеет поддержки РХЕ-технологии, удаленная установка операционной системы все равно может быть выполнена. Для инициации процедуры удаленной установки используются специальные загрузочные дискеты. Загрузочная дискета эмулирует РХЕ-клиента. При этом требуется, чтобы на рабочей станции был установлен сетевой адаптер с PCI-интерфейсом, поддерживаемый службой удаленной установки.

Для создания дискеты необходимо использовать утилиту Microsoft -Windows Remote Boot Disk Generator (Rbfg.exe). Утилита Rbfg.exe располагается на каждом RIS-сервере в общей папке REMINST в подкаталоге \Admin\i386. Эта утилита входит в состав пакета утилит администрирования Windows Server 2003 Administrative Pack.

Запустив утилиту Rbfg и щелкнув по кнопке Adapter List (Список адаптеров), можно получить информацию о сетевых адаптерах, поддерживаемых службой удаленной установки.

Управление образами инсталляции

В заключение разговора о службе удаленной установки надо рассказать о методике создания образов инсталляции. Образ инсталляции (installation image) представляет собой набор файлов, необходимых для выполнения удаленной установки операционной системы. В образ инсталляции включается также информация, нужная для конфигурирования устанавливаемой системы. Кроме того, в определенных ситуациях образ инсталляции может также содержать дистрибутивные и конфигурационные файлы для установки приложений.

Образ инсталляции, размещенный в хранилище, может быть использован для установки операционной системы на неограниченном количестве рабочих станций. Единственным ограничивающим фактором в данной ситуации является наличие у предприятия соответствующего числа лицензий на устанавливаемую операционную систему. При необходимости можно создать множество образов инсталляций с различными настройками и предустановленными приложениями.

Служба удаленной установки на базе Windows Server 2003 позволяет создавать образы инсталляции двух типов:

 образы инсталляции, представляющие собой слепки с компакт-диска (CD-образ);

 образы инсталляции, подготовленные при помощи мастера Remote Installation Preparation Wizard.

Управление пользовательскими данными

Средства Управления пользовательскими данными гарантируют доступность пользовательских данных (личных файлов и документов) и их защиту — независимо от режима (автономного или online) и компьютера сети, на котором работает клиент. Это обеспечивается путем отображения личных данных в сети (на надежных серверах, где выполняется резервное копирование) и локального кэширования выбранных сетевых данных. Например, пользователи могут переопределять путь к некоторой папке и задавать ее новое местоположение на локальном компьютере или на общем сетевом ресурсе. Таким образом, пользователи могут работать с общими документами, хранящимися на защищенном сервере, с сохранением видимости того, что эти документы находятся на локальном диске.

В случае отказа сети работу пользователей с общими документами обеспечивают автономные папки (offline folders). Если пользователь разрешает автономную работу с некоторым файлом или папкой, то копия этого общего файла или папки хранится на локальном компьютере. Если этот компьютер не может обращаться к сети, пользователь может редактировать локальную версию кэшированного документа. После восстановления доступа к сети модифицированный документ копируется обратно на общий сетевой ресурс.

Нужно отметить, что данные "следуют" за пользователем только тогда, когда они расположены в соответствующей папке (например, My Documents), настроенной для такого режима работы.

Управление системами Windows в корпоративной среде

Эффективное управление рабочей средой настольных систем — главная и наиболее трудоемкая задача администратора сети или специалиста по информационным технологиям. Средства администрирования призваны помочь техническому персоналу планировать, размещать, эффективно поддерживать и централизованно управлять распределенной вычислительной средой.

В этой главе рассматриваются некоторые общие соображения, без понимания которых не всегда можно разобраться в механизмах функционирования и взаимодействия модулей, утилит, служб и т. п., имеющихся в Windows Server 2003, а также рационально использовать средства управления и конфигурирования систем и сетевой среды. При решении тех или иных административных задач (таких как настройка рабочего стола пользовательского компьютера, ограничение доступа к файлам и папкам, обеспечение отказоустойчивости и т. п.) важно знать, какие инструменты и приемы нужно использовать — т. е. понимать общую стратегию управления системой (сетевой средой); при этом недостаточно формального знакомства с интерфейсом административных оснасток и умения выполнять с их помощью элементарные задачи (например, создать учетную запись пользователя или инсталлировать приложение на сервере).

Мы рассмотрим в целом технологии и программные решения, применяемые для управления корпоративными сетями, а также возможности спецификации Windows Management Instrumentation (WMI) и программных интерфейсов Active Directory Service Interfaces (ADSI), которые администраторы систем могут использовать для создания административных сценариев и приложений, максимально адаптированных к конкретным конфигурациям и выполняемым задачам.

Управление установками пользователей и компьютеров

Достоинством средств Управления установками пользователей и компьютеров является то, что администраторы могут централизованно управлять рабочей средой для групп пользователей и компьютеров, и эти пользователи и компьютеры автоматически получат правильно сконфигурированную среду. Администраторы могут добавлять новых пользователей и компьютеры, описывать установки для различных групп и распространять изменения конфигураций. Более того, с помощью средств IntelliMirror можно восстановить установки пользователя при отказе его компьютера и гарантировать, что установки рабочей среды будут "следовать" за пользователем при его перемещении на другой компьютер.

Установки пользователей могут, к примеру, храниться в "перемещаемых" профилях (roaming profile), которые позволяют им перемещаться в пределах корпоративной сети и работать на различных компьютерах. При наличии такого профиля пользователь может поработать на одном компьютере — войти в систему, запускать приложения, редактировать документы и выйти из системы. После этого профиль пользователя будет скопирован на сервер.

Если пользователь захочет поработать на другом компьютере, то вся информация о профиле, включая настройки меню Start и содержимое папки My Documents, будет скопирована на второй компьютер.

При описании установок для групп пользователей и компьютеров используется групповая политика. Эти установки включают: значения ключей реестра клиентского компьютера (для компонентов операционной системы и приложений), сценарии (выполняемые при включении/выключении компьютера или при регистрации пользователя), опции инсталлированных приложений (доступных для пользователей и тех, которые появляются на рабочем столе) и установки безопасности (локальной, доменной или сетевой).

В настоящее время любая операционная

- В настоящее время любая операционная система, ориентированная на корпоративный рынок, должна включать в себя компоненты, обеспечивающие возможность ее функционирования в рамках вычислительной сети. Не является исключением и Windows Server 2003. Более того, данная операционная система позиционируется разработчиками, как основа для реализации основных сетевых сервисов в корпоративной вычислительной сети.

В данной главе мы рассмотрим способы подключения Windows Server 2003 к сети, поддерживаемые операционной системой сетевые протоколы, а также некоторые средства, обеспечивающие работу системы в корпоративных и домашних сетях.

Брандмауэр подключения к Интернету (Internet Connection Firewall)

С целью обеспечения безопасной работы при работе в открытых сетях (такими, например, как Интернет) непосредственно в составе Windows Server 2003 реализован встроенный брандмауэр подключения к Интернету (Internet Connection Firewall, ICF). Брандмауэр представляет собой службу, осуществляющую фильтрацию пакетов, поступающих через сетевые подключения. Служба пропускает только разрешенные TCP/IP-пакеты и отбрасывает все остальные. Это позволяет оградить компьютер от несанкционированного доступа или различного рода атак из открытых сетей, сохраняя при этом для пользователей возможность работы с требуемой информацией.

Как правило, целесообразно активизировать встроенный брандмауэр для подключения к некоторой открытой сети. Например, его можно активизировать на компьютере, реализующем общий доступ к подключению Интернета (Internet Connection Sharing, ICS). Если корпоративная сеть соединена с открытой сетью через корпоративный брандмауэр, активизация встроенного брандмауэра Windows Server 2003 может оказаться излишней.

Для активизации встроенного брандмауэра необходимо вызвать окно свойств интересующего сетевого подключения. Перейдя на вкладку Advanced (Дополнительно), требуется установить флажок Protect my computer and network by limiting or preventing access to this computer from the Internet (Защитить мой компьютер и сеть, ограничив или предотвратив доступ к этому компьютеру из Интернета) (рис. 12.33).

Нажав кнопку Settings (Параметры), администратор может выполнить настройку встроенного брандмауэра. На вкладке Services (Службы) необходимо определить службы локальной сети, доступ к которым будет разрешен для внешних пользователей (рис. 12.34). По умолчанию администратору предлагается список из 12 служб, описание которых приводится в табл. 12.6. При желании администратор может добавить к списку другие службы, используемые в сети. Чтобы разрешить некоторую службу, необходимо установить флажок перед ее названием. Например, если в локальной сети имеется FTP- или WWW-сервер, доступ к которым необходимо предоставить внешним пользователям, администратор должен установить флажки напротив этих служб. По умолчанию доступ ко всем перечисленным службам запрещен.

Рис. 12.33. Активизация встроенного брандмауэра

Таблица 12.6. Сетевые службы, работающие через встроенный брандмауэр

Название службы	Описание параметра
FTP Server	Используется для разрешения доступа внешних пользователей к корпоративному FTP-серверу, (протокол FTP позволяет в среде TCP/IP осуществлять обмен файлами)
Incoming Connection VPN (L2TP)	Используется для разрешения входящих подключений, защищенных посредством протокола туннелирования L2TP
Incoming Connection VPN (PPTP)	Используется для разрешения входящих подключений, защищенных посредством протокола туннелирования РРТР
Internet Mail Access Protocol Version 3 ' (IMAP3)	Разрешает внешним пользователям доступ к корпоративному почтовому серверу посредством протокола IMAP3 (протокол IMAP3 используется для манипулирования почтовыми сообщениями на стороне сервера)
Internet Mail Access Protocol Version 4 (IMAP4)	Разрешает внешним пользователям доступ к корпоративному почтовому серверу посредством протокола IMAP4 (протокол IMAP4 используется для манипулирования почтовыми сообщениями на стороне сервера)
Internet Mail Server (SMTP)	Разрешает доступ к корпоративному почтовому серверу посредством протокола SMTP (протокол SMTP используется как транспортный механизм для обмена сообщениями)
IP Security (IKE)	Разрешает защищенный сетевой трафик, шифрованный посредством протокола IP Security
Post-Office Protocol Version 3 (POPS)	Разрешает внешним пользователям доступ к корпоративному почтовому серверу посредством протокола РОРЗ (протокол РОРЗ используется для манипулирования почтовыми сообщениями)
Remote Desktop	Разрешает внешним пользователям доступ к службе Remote Desktop, которая используется для удаленного управления системой
Secure Web Server (HTTPS)	Разрешает доступ к корпоративному веб-серверу по протоколу HTTPS, который обеспечивает защищенный доступ к данным
Telnet Server	Разрешает внешним пользователям доступ к службе Telnet, которая используется для удаленного управления системой
Web Server (HTTP)	Разрешает доступ к корпоративному веб-серверу по протоколу HTTP

<


/p>

Рис. 12.34. Разрешение служб, доступных через встроенный брандмауэр

Выбрав некоторую службу и нажав кнопку Edit (Изменить), администратор может выполнить настройку параметров службы. В открывшемся окне (рис. 12.35) администратор может указать адрес компьютера, на котором данная служба развернута, а также номера портов TCP/IP, используемых этой службой.



Рис. 12.35. Определение параметров сетевой службы

Не рекомендуется активизировать брандмауэр на локальных и VPN-подключениях, поскольку подобный шаг может привести к нарушению процесса доступа к общим ресурсам.

Вкладка Security Logging (Ведение журнала безопасности) используется для задания параметров ведения журналов, в которых будут регистрироваться события, связанные с процессом доступа внешних пользователей к службам локальной сети.

Особого внимания заслуживает трафик, передающийся по протоколу Internet Control Message Protocol (ICMP). Напомним, что ICMP-пакеты используются для передачи управляющей информации в сети TCP/IP. В частности, именно через протокол ICMP работает такая диагностическая утилита, как ping. По умолчанию весь ICMP-трафик блокируется встроенным брандмауэром. Это означает, что, например, ping-запросы к вашему компьютеру будут безрезультатными. Иногда блокировка ICMP может привести к разрыву связи с интернет-провайдером. При необходимости на вкладке ICMP (рис. 12.36) можно разрешить некоторые виды ICMP-сообщений. Необходимую информацию об используемых запросах следует получить у провайдера. В крайнем случае можно разрешить все запросы и посмотреть, повлияло ли это на устойчивость связи.



Рис. 12.36. Управление ICMP-трафиком через брандмауэр

Фильтры сбора данных

Функции фильтра сбора данных подобны функциям запросов к базе данных. Их можно использовать для определения типа отслеживаемой информации о сети. Например, чтобы видеть только заданное подмножество компьютеров или протоколов, можно создать базу данных адресов, добавить адреса из базы данных в фильтр, а затем сохранить фильтр в файле. Фильтрация кадров экономит ресурсы буфера сбора данных и время. Позже, при необходимости, можно загрузить файл фильтра сбора данных и использовать фильтр снова.

 Проектирование фильтров сбора данных. Для разработки фильтра сбора данных нужно определить инструкции принятия решения в диалоговом окне Capture Filter (Фильтр записи) (рис. 12.39). В диалоговом окне Capture Filter (Фильтр записи) отображается дерево принятия решения фильтра, графически представляющее логику фильтра. При включении или исключении информации из определения фильтра сбора данных дерево принятия решения отражает такого рода изменения.

Рис. 12.39. Диалоговое окно фильтра записи

 Фильтрация в соответствии с протоколом. Чтобы перехватывать кадры, посланные с использованием специфического протокола, надо задать этот протокол в фильтре SAP/ETYPE = "хххх". Например, чтобы собирать только IP-пакеты, нужно запретить все протоколы и затем разрешить перехват IP ETYPE 0x800 и SAP IP 0x6. По умолчанию разрешены все протоколы, поддерживаемые сетевым монитором.

 Фильтрация по адресу. Чтобы сохранять кадры, переданные между заданными компьютерами сети, нужно определить одну или более пар адресов в фильтре сбора данных, при этом можно задать до четырех пар адресов одновременно.

 Фильтрация по образцу данных. Когда выполняется фильтрация трафика в соответствии с образцом, необходимо задать положение образца в кадре (количество байтов с начала или с конца). Задавая соответствие образцу в фильтре сбора данных, можно:

 ограничить сбор данных только теми кадрами, которые содержат образец данных, заданный кодом ASCII или в шестнадцатеричном виде;

 задать число байтов в кадре (смещение), которые должны быть просмотрены на соответствие образцу.

 Триггер сбора данных. Под триггером понимается набор условий, при выполнении которых инициируется некоторое действие. Например, перед использованием сетевого монитора при сборе данных в сети можно установить триггер, который остановит процесс сбора данных или запустит некоторую программу, или выполнит командный файл.

Формирование базы данных адресов

Иногда нужно перехватывать только кадры, приходящие с определенных компьютеров. Для этого нужно знать сетевой адрес компьютера. Сетевой монитор может сопоставить шестнадцатеричный адрес компьютера более привычному имени. После того как это соответствие установлено, можно сохранить имя в базе данных адресов (файл *.adr), которую потом использовать для разработки фильтров сбора данных и фильтров отображения.

В дополнение к выбору достаточного размера буфера и созданию фильтра сбора данных можно перевести сетевой монитор в специализированный режим сбора данных, в котором окно сбора данных с динамически изменяющейся статистикой сетевого монитора заменено сокращенным диалоговым окном.

Если на компьютере функционирует несколько сетевых адаптеров, то можно при помощи сетевого монитора получать данные со всех сетевых адаптеров, переключаясь между адаптерами или запустив несколько экземпляров сетевого монитора.

Интеграция с сетями Novell NetWare

В Windows Server 2003 реализованы службы, позволяющие компьютерам под управлением Windows сосуществовать и функционировать совместно с сетями и серверами на базе Novell NetWare. Для этого в состав Windows Server 2003 включены следующие средства:

 NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол (NWLink IPX/SPX/NetBIOS Compatible Transport Protocol), являющийся реализацией протокола IPX/SPX в Windows. NWLink поддерживает взаимодействие компьютеров под управлением Windows и компьютеров под управлением NetWare, а также других совместимых систем. NWLink может использоваться и как протокол, объединяющий несколько компьютеров под управлением различных версий Windows;

 Служба клиента для NetWare (Client Service for NetWare, CSNW) включена в состав Windows Server 2003 и позволяет клиентским компьютерам устанавливать непосредственные соединения с файловыми ресурсами и принтерами на серверах под управлением NetWare версий 2.x и выше. CSNW поддерживает серверы NetWare 4.x или выше, на которых функционирует или Bindery, или NDS. Также в CSNW включена поддержка сценария входа в сеть.

В отличие от Windows 2000, в состав Windows Server 2003 не включена Служба шлюза для сетей NetWare (Gateway Service for NetWare). Кроме того, компьютеры под управлением Windows Server 2003 не могут осуществлять маршрутизацию IPX-трафика.

Использование диспетчера подключений

Использование мастера New Connection Wizard является стандартным способом, создания сетевых подключений в среде Windows Server 2003. В других версиях Windows имеются аналогичные утилиты, позволяющие пользователю создать сетевое подключение в соответствии со стоящими перед ним задачами. Тем не менее, процесс создания сетевых подключений требует от пользователя определенных знаний и четкого понимания определяемых параметров.

В составе Windows Server 2003 поставляется специальный мастер Connection Manager Administration Kit Wizard, позволяющий администратору создавать предварительно определенные конфигурации клиентов удаленного доступа, которые могут впоследствии использоваться совместно с утилитой Connection Manager. При этом реализуется следующая схема. Администратор при помощи мастера создает специальные инсталляционные пакеты, в которых определяется конфигурация доступных сетевых соединений для клиента. Эти пакеты получили название служебного профиля (service profile) клиента удаленного доступа. Профиль содержит всю информацию, требуемую для создания и настройки на клиенте удаленного доступа всех необходимых сетевых подключений. Клиент использует служебный профиль для того, чтобы сконфигурировать собственные сетевые компоненты и установить подключение с корпоративной сетью.

Использование служебных профилей

Профиль создается мастером в папке %SystemRoot%\Pmgram Files\CMAK\ Profiles. По окончании процедуры создания профиля администратор должен принять решение о том, каким образом профили будут доставляться пользователям. Пользователи могут скачивать профили с корпоративного веб-сайта или с сетевого ресурса. Кроме того, администратор может распространять профили на компакт-дисках или дискетах. Критичным в данном случае является размер профиля.

Краткий обзор возможностей сетевого монитора

Сетевой монитор контролирует сетевой поток данных, т. е. всю информацию, передаваемую по сети в любой заданный момент времени. До передачи эта информация разделяется сетевым программным обеспечением на меньшие части (пакеты, кадры или фреймы). Каждый кадр содержит следующую информацию:

 адрес компьютера, пославшего кадр;

 адрес компьютера, получившего кадр;

 заголовки каждого протокола, используемого для пересылки данного кадра;

 данные или их часть.

Чтобы гарантировать безопасность сети, сетевой монитор показывает только те кадры, которые посланы на(с) компьютер(а) пользователя, широковещательные кадры и кадры группового (multicast) вещания.

Сетевой монитор может перехватить и запомнить только тот объем информации, который сможет поместиться в доступной памяти компьютера. Обычно не требуется фиксировать большой объем информации, нужно только записать небольшое подмножество кадров, передаваемых в сети. Чтобы выделить подмножество кадров, можно разработать фильтр сбора данных, функционирующий подобно запросу базы данных. Возможна фильтрация на основе адресов источника и адресата, протоколов, свойств протокола или по образцу смещения.

Для того чтобы способ сбора данных отвечал событиям, происходящим в сети, как только они будут обнаружены, разрабатывают триггер сбора данных, который выполняет определенное действие (например, запускает исполняемый файл), когда сетевой монитор обнаруживает в сети набор условий, соответствующий триггеру. Сетевой монитор поддерживает множество популярных протоколов, включая IPX, SPX и большую часть протоколов из набора TCP/IP.

После того как данные зафиксированы (и факультативно сохранены в файле сбора данных), их можно просмотреть. Сетевой монитор проделает большую часть работы по анализу данных, формируя из необработанных собранных данных кадр согласно его логической структуре.

Основные функциональные возможности сетевого монитора, описанные в этой главе, поддерживаются службами поддержки продуктов Microsoft (Microsoft Product Support Services, MPSS). Службы поддержки не решают задачи, зависящие от конкретной сети, такие как интерпретация данных, которые перехватываются и сохраняются в сети.

Методы удаленного доступа

Системы Windows Server 2003 поддерживают четыре метода удаленного доступа.

 Подключение по телефонной линии. Данный метод подключения предполагает использование обычных телефонных линий в качестве передающей среды. Этот способ подключения называется также коммутируемым.

 Подключение к ISDN-линиям. Данный тип подключения позволяет использовать цифровые линии ISDN для соединения клиентов с корпоративной сетью.

 Подключение к сети Х.25. Компании могут использовать существующую инфраструктуру Х.25-сетей для организации удаленного доступа пользователей.

 Прямое подключение. Этот метод является самым простым способом соединения двух компьютеров.

Далее мы рассмотрим каждый из этих методов более подробно.

Настройка клиентов для работы с компьютером, имеющим общее интернет-подключение

Механизм общего доступа к интернет-подключению (ICS) обеспечивает работу клиентов следующих типов:

 Windows Server 2003, Standard Edition и Windows Server 2003 Enterprise Server. Чтобы использовать общее подключение, клиент должен входить в ту же рабочую группу, что и компьютер, на котором оно активизировано;

 Windows XP. Для подключения к общему подключению на этом типе клиента необходимо запустить специальный мастер Windows XP Network Setup Wizard;

 Windows 98, Windows 98 Second Edition и Windows Millennium Edition. Данный тип клиентов требует дополнительного конфигурирования. В составе дистрибутивного диска Windows Server 2003 (папка \SUPPORT\TOOLS) поставляется специальная утилита Netsetup.exe. Эта утилита должна быть запущена на каждом сетевом клиенте данного типа.

Настройка механизма ICS

При разрешении совместного использования подключения некоторые протоколы, службы, интерфейсы и маршруты будут сконфигурированы автоматически (табл. 12.5). Эти настройки изменить нельзя. Если такая конфигурация вас не устраивает, используйте для доступа к Интернету механизм трансляции сетевых адресов (Network Address Translation, NAT), более подробно рассмотренный в главе 14 "Коммуникационные службы".

Таблица 12.5. Настройки совместного использования интернет-подключения

Сконфигурированные элементы		Состояние
IP-адрес =192. 168.0.1		Настроен с маской подсети 255.255.255.0 на адаптере ЛВС, который связан с домашней сетью или сетью малого офиса
Возможность автоматического вызова (AutoDial)		Разрешена
Статический IP-маршрут по умолчанию		Создается, когда производится телефонное подключение
Служба совместного использования		Запущена
Служба распределения DHCP (DHCP allocator)		Разрешена с заданным по умолчанию диапазоном адресов 192.168.0.0 и маской подсети 255.255.255.0. Клиентам частной локальной сети назначаются адреса в диапазоне от 192.168.0.2 до 192.168.0.254
Посредник DNS (DNS proxy)		Разрешен

По умолчанию механизм ICS отключен. Чтобы его активизировать, необходимо в окне свойств коммутируемого сетевого подключения перейти на вкладку Advanced (Дополнительно) (рис. 12.28). Для конфигурирования механизма общего доступа к подключению Интернета используется группа параметров Internet Connection Sharing. Для активизации указанного механизма администратор должен установить флажок Allow other network users to connect through this computer's Internet connection (Разрешить другим сетевым пользователям подключаться через интернет-подключение данного компьютера).

Рис. 12.28. Активизация разделяемого интернет-подключения

Чтобы настраивать совместное использование интернет-подключения, необходимо иметь полномочия администратора.

Если имя учетной записи и сопоставленный ей пароль, необходимые для установки интернет-подключения, не были сохранены при последнем подключении, то система не сможет автоматически установить данное соединение (рис. 12.29). Как следствие, общее подключение Интернета будет доступно для сетевых пользователей только в том случае, если оно было предварительно установлено администратором шлюза вручную. В случае, когда эта информация сохранена, интернет-подключение может автоматически устанавливаться сетевыми пользователями. Чтобы активизировать эту функциональную возможность, необходимо установить флажок Establish a dial-up connection whenever a computer on my network attempts to access the Internet (Устанавливать коммутируемое подключение, когда сетевые компьютеры запрашивают доступ к Интернету).

Рис. 12.29. Для активизации режима автоматической установки интернет-подключения необходимо сохранить информацию об имени пользователя и сопоставленном ему пароле

Механизм общего доступа к подключению Интернета (ICS) доступен только в Windows Server 2003, Standard Edition и Windows Server 2003, Enterprise Edition. Этот механизм недоступен в Windows Server 2003, Web Edition и Windows Server 2003, Datacenter Edition, а также в 64-разрядных редакциях Windows Server 2003.

Настройка параметров буфера сбора данных

Перехваченные кадры сохраняются в буфере сбора данных. Когда происходит переполнение буфера сбора данных, каждый новый кадр заменяет самый старый кадр в буфере. На быстроту заполнения буфера, кроме интенсивности сетевого трафика и сложности используемых фильтров, влияют следующие факторы:

 размер буфера сбора данных. Буфер сбора данных хранится в памяти, а не на диске. Хотя сетевой монитор может использовать виртуальную память, чтобы сохранить буфер сбора данных, лучше использовать достаточно большой буфер для гарантии того, что критические кадры не будут потеряны. Однако он должен быть не слишком большим, чтобы предотвратить подкачку части буфера сбора данных с диска и на диск;

 размер кадра. Хотя изменять размер кадра нельзя, можно сохранять только часть кадра для экономии места в буфере сбора данных. Например, если нужны только данные из заголовка кадра, надо установить размер сохраняемого кадра (в байтах) равным размеру заголовка кадра.

Настройка стека протоколов TCP/IP для входящих подключений

Для настройки протокола откройте окно свойств входящего подключения и перейдите на вкладку Networking (Сеть). Затем, выбрав в списке компонент Internet Protocol (Протокол Интернета), нажмите кнопку Properties (Свойства). Если требуется, чтобы пользователи, работающие в рамках входящего подключения, могли обращаться к ресурсам локальной сети, к которой относится конфигурируемый компьютер, в окне Incoming IP Properties (Свойства IP входящих подключений) (рис. 12.27) необходимо установить флажок Allow callers to access my local area network (Разрешить звонящим доступ к локальной сети).

Рис. 12.27. Настройка стека протоколов TCP/IP для входящих подключений

Требуется определить, каким способом клиенты, подключающиеся в рамках входящего подключения, будут получать IP-адрес, необходимый клиенту для работы в сети. Имеются три возможности:

 адрес может быть выдан клиенту DHCP-сервером. Этот режим задается выбором переключателя Assign IP addresses automatically using DHCP (Назначать IP-адреса автоматически по DHCP);

 клиенту может быть назначен IP-адрес из определенного администратором диапазона адресов. Этот режим задается выбором переключателя Specify IP addresses (Указать IP-адреса явным образом). При этом поля From (с) и То (по) определяют соответственно начало и коней диапазона IP-адресов;

 клиент может использовать собственные настройки стека протоколов TCP/IP. Для этого необходимо установить флажок Allow calling computer to specify its own IP address (Разрешить звонящему клиенту использовать свой IP-адрес).

Общий доступ к подключению Интернета (Internet Connection Sharing)

Механизм общего доступа к подключению Интернета (Internet Connection Sharing, ICS) позволяет компьютерам, подключенным к локальной сети, совместно использовать имеющиеся сетевые интернет-соединения. Строго говоря, этот механизм может использоваться для организации простого взаимодействия небольшой сети (Small Office/Home Office, SOHO) с некоторой внешней сетью, а не только для организации доступа в Интернет. В крупных корпоративных сетях эта задача решается при помощи специального серверного программного обеспечения (прокси-сервера или шлюза приложений). Однако в небольшой сети приобретение специализированного программного обеспечения может быть экономически нецелесообразно. Механизм ICS позволяет организовать простейший интернет-шлюз непосредственно средствами операционной системы, без необходимости приобретения дорогостоящих специализированных приложений. Однако необходимо понимать, что механизм ICS не должен восприниматься как полнофункциональная альтернатива корпоративным прокси-серверам.

Согласно концепции Microsoft механизм ICS работает с двумя подключениями: одним открытым (public) и одним закрытым (private). Под открытым подключением в данном случае понимается подключением к Интернету, которое собственно и предлагается для совместного доступа. В этом качестве, как правило, выступают различные модемные соединения. Закрытое подключение (как правило, это подключение к локальной сети) соединяет шлюз с вычислительной сетью, в которой находятся компьютеры, нуждающиеся в доступе через открытое подключение.

Компьютер, на котором активизировано общее интернет-подключение, берет на себя обязанности по распределению IP-адресов среди локальных сетевых клиентов. Кроме того, он выполняет функции DNS-прокси, осуществляя разрешение внешних доменных имен в IP-адреса. Считается, что в этой сети данный компьютер — единственное подключение к Интернету, единственный шлюз в Интернет, и что только он назначает все сетевые адреса. Если же в сети имеются внутренние DNS- и DHCP-серверы или развернута служба каталогов (т. е. установлены контроллеры домена), то вместо механизма общего доступа к интернет-подключению необходимо воспользоваться механизмом трансляции сетевых адресов (NAT).

Можно указать, какие приложения и службы локальной сети будут доступны через Интернет. Например, если пользователи домашней сети хотят получить доступ к ресурсам SQL Server корпоративной сети, можно настроить приложение SQL Server для подключения, которому разрешено совместное использование. Услуги, предоставляемые домашней сетью, можно настроить так, чтобы к ним могли получить доступ пользователи Интернета. Например, если в домашней сети есть веб-сервер, то, чтобы пользователи Интернета могли соединяться с ним, нужно на совместно используемом подключении настроить службу WWW.

Когда разрешается совместное использование подключения, сетевой адаптер, связанный с домашней или малой офисной сетью, получает новый статический IP-адрес. Существующие подключения, использующие TCP/IP на компьютере с ICS, будут потеряны и должны быть восстановлены вручную.

Обзор доступных транспортных стеков протоколов

В рамках Windows Server 2003 реализована поддержка следующих стеков протоколов:

 TCP/IP;

 NWLink (IPX/SPX-совместимый стек протоколов);

 AppleTalk.

Эти стеки протоколов могут быть использованы для организации взаимодействия Windows Server 2003 с другими компьютерами в сети.

Следует заметить, что в Windows Server 2003 отсутствует протокол NetBEUI. Поддержка этого протокола присутствует во всех ранних версиях Windows. В системе Windows XP протокол NetBEUI не устанавливается на диск по умолчанию, но его можно установить с дистрибутивного компакт-диска. В дистрибутиве Windows Server 2003 протокол NetBEUI отсутствует совсем. Поэтому, если в вашей сети используется NetBEUI, при переходе на Windows Server 2003 администратору необходимо будет выполнить переход на другой транспортный протокол.

Обзор протоколов удаленного доступа

Для установки соединения с сервером удаленного доступа клиент должен использовать специальный протокол. Эти протоколы получили название протоколов удаленного доступа. Windows Server 2003 поддерживает два протокола удаленного доступа:

 Протокол РРР

 Протокол SLIP

Необходимо понимать, что протокол удаленного доступа регламентирует исключительно порядок взаимодействия с сервером удаленного доступа. Он функционирует на уровне канала данных OSI-модели, осуществляя упаковку пакетов протоколов верхних уровней (таких, например, как протоколы стека TCP/IP) в соответствующие фреймы.

Перехват кадров из сети

Как уже упоминалось, фиксация происходит тогда, когда сетевая плата передает подмножество кадров в сеть, и они одновременно поступают в сетевой монитор. Сетевой монитор сохраняет эти кадры в буфере сбора данных — специально выделяемой области памяти. Если происходит переполнение буфера сбора данных, самый новый кадр, добавленный в буфер, заменяет самый старый кадр. Для предотвращения переполнения буфера сбора данных и для того, чтобы сделать анализ кадров проще, используют фильтры сбора данных, применяемые для фиксирования только кадров, соответствующих определенным критериям. Чтобы собирать данные в соответствии с событиями, происходящими в сети, разрабатывают триггер сбора данных.

 Окно сбора данных сетевого монитора. Поскольку кадры собираются из сети, статистика о кадрах отображается в окне сбора данных сетевого монитора (рис. 12.38).

Рис. 12.38. Окно сбора данных сетевого монитора

 Перехват и просмотр кадров. Кадры, перехваченные в сети, копируются в буфер сбора данных (зарезервированную область памяти). Информация об этих кадрах появляется по мере их получения в окне Capture Window (окно сбора данных сетевого монитора). Для управления состоянием сбора данных выберите команду Start (Запустить), Stop (Остановить), Stop and capture (Остановить и просмотреть), Pause (Приостановить) или Resume (Продолжить) меню Capture (Запись).

Сетевой монитор отображает статистику сеанса по первым 100 уникальным сетевым сеансам, которые он обнаруживает. Для сброса статистики и просмотра информации по следующим 100 обнаруженным сетевым сеансам используйте команду Clear Statistics (Очистить статистику) из меню Capture (Запись).

Первое знакомство с сетевыми подключениями

Под сетевым подключением (network connection) в Windows Server 2003 понимается точка соединения компьютера с сетью (независимо от способа — подключение к локальной сети, серверу удаленного доступа или соединение двух компьютеров посредством нуль-модемного кабеля). Если говорить о том, какая сторона из участников обмена данными инициирует связь, сетевые подключения можно разделить на два вида: исходящие (outgoing connections) и входящие (incoming connections). Исходящие подключения используются для соединения компьютера с вычислительной сетью или сервером удаленного доступа. Входящие подключения используются для поддержки подключений, инициализируемых другими компьютерами. В этом случае компьютер, на котором созданы входящие подключения, рассматривается в качестве сервера удаленного доступа (remote access server).

Каждое сетевое подключение рассматривается самостоятельно и независимо от других подключений. Это означает, что каждое сетевое подключение имеет индивидуальную конфигурацию. Перечень параметров, подлежащих настройке, зависит от того, к какому типу относится сетевое подключение.

Поддерживаемые парсеры протоколов

Так называемый парсер, т. е. синтаксический анализатор протокола, представляет собой динамическую библиотеку (DLL), которая идентифицирует протоколы передачи кадров по сети. Информацию об этих протоколах можно увидеть, просматривая перехваченные кадры в окне просмотра кадров. Для каждого протокола, который поддерживается сетевым монитором, имеется соответствующий парсер. Их список достаточно велик (несколько десятков протоколов) и проводится в справке по сетевому монитору.

Подключение к Интернету

Отдельно рассмотрим ситуацию с использованием коммутируемого (телефонного) подключение для соединения компьютера с глобальной сетью Интернет. Перед созданием подключения требуется узнать у провайдера (поставщика) услуг Интернета необходимость настройки параметров подключения (таких, как выделенный IP-адрес компьютера, адрес DNS-сервера и др.). Запустив мастер создания подключений, на странице Network Connection Туре (см. рис. 12.9) необходимо выбрать переключатель Connect to the Internet (Подключить к Интернету). В следующем окне мастер предложит определить способ подключения к сети Интернет (рис. 12.13). Необходимо выбрать переключатель Connect using a dial-up modem (Через обычный модем).

Рис. 12.13. Выбор способа подключения к Интернету

В последующих окнах мастер предложит указать имя компании-провайдера (фактически в этом окне вы определяете имя создаваемого подключения) и телефон интернет-провайдера. Кроме того, потребуется указать, будет ли создаваемое подключение доступно всем пользователям компьютера или только текущему пользователю.

В следующем окне (рис. 12.14) нужно ввести имя пользователя и пароль, полученные от интернет-провайдера, а также указать, как именно будет использоваться данное подключение. По умолчанию указанные сведения о пользователе будут задействованы для всех подключений данного компьютера к интернет-провайдерам. Если этого не требуется, необходимо снять флажок Use this account name and password when anyone connects to the Internet from this computer (Использовать следующие имя пользователя и пароль при подключении любого пользователя).

Рис. 12.14. Определение информации, необходимой для подключения к интернет-провайдеру

Обратите также внимание на то, что по умолчанию система не включает брандмауэр на новом подключении. Более подробно внутренний брандмауэр будет рассмотрен позднее в этой главе.

В последнем окне мастера проверьте введенную информацию и нажмите кнопку Finish (Готово). На этом создание подключения завершено, можно его проверить. Обычно для подключения к Интернету больше ничего не требуется, т. к. остальные параметры либо установлены по умолчанию, либо поступают от провайдера.

Тем не менее, нередко бывает необходимо произвести дополнительную настройку модема, для использования его с созданным подключением, либо сконфигурировать непосредственно само подключение. Рассмотрим этот процесс подробнее. Выберите интересующее подключение из списка и в контекстном меню щелкните на кнопке Properties (Свойства).

Окно свойств коммутируемого подключения содержит пять вкладок. На вкладке Genera] (Общие) указывается используемый выбранным подключением модем, а также телефонный номер, через который осуществляется подключение к удаленной сети (рис. 12.15).



Рис. 12.15. Вкладка General окна свойств модемного подключения

Щелкнув по кнопке Configure (Настроить), администратор может выполнить настройку выбранного модема. Все необходимые для этого параметры перечислены в открывшемся окне (рис. 12.16). В поле Maximum speed (Наибольшая скорость) указывается максимально допустимая скорость передачи данных между выбранным портом и модемом.

Группа параметров Hardware features (Протокол модема) позволяет активизировать некоторые из аппаратных функций модема (аппаратное управление потоком, обработка ошибок модемом или сжатие данных модемом). Для этого достаточно установить флажок напротив соответствующего параметра.

Чтобы гарантировать совместимость, желательно использовать тот же тип модема, что и на сервере удаленного доступа, выбрать ту же начальную скорость и разрешить те же функциональные возможности оборудования. Если используется другая модель модема, то, по крайней мере, необходимо выбрать модем с поддержкой тех же стандартов ITU-T, что поддерживаются модемом на сервере.



Рис.12.16. Окно настройки модема

Разрешение функциональных возможностей, не поддерживаемых модемом, не влияет на его работу.

Перейдя к вкладке Options (Параметры) (рис. 12.17), администратор может выполнить более точную настройку процесса установки коммутируемого подключения. В этом окне имеется две группы параметров. Группа параметров Dialing options (Параметры дозвона) определяет характеристики дозвона. Установленный флажок Prompt for name and password, certificate, etc (Подсказка для имени и пароля, сертификата и т. п.) означает, что перед установкой соединения пользователю будет предложено ввести информацию об имени учетной записи и соответствующем ей пароле. Если перед установкой соединения также необходимо изменить номер телефона, установите флажок Prompt for phone number (Запрашивать номер телефона).



Группа параметров Redialing options ( Параметры повторного дозвона) позволяет задать количество повторных попыток установить подключение (параметр Redial attempts), а также временные интервалы между этими попытками (параметр Time between redial attempts). Если необходимо, чтобы система предпринимала повторные попытки дозвона в ситуации, когда происходит сбой в линии, необходимо установить флажок Redial if line is dropped (Повторно дозваниваться в ситуации, когда линия сбрасывается).



Рис. 12.17. Настройка параметров дозвона

На вкладке Security (Безопасность) можно также установить флажок Show terminal window (Отображать окно терминала) для отображения окна терминала. Если администратор хочет, чтобы при установке соединения выполнялся некоторый сценарий, необходимо установить флажок Run Script (Запускать сценарий) и указать путь к файлу, содержащему необходимый сценарий.

Подключение к ISDN-линии

Технология ISDN (Integrated Services Digital Network) пришла на смену коммутируемым телефонным подключениям. В отличие от коммутируемых подключений, в ISDN для передачи данных используется не аналоговый, а цифровой сигнал. По одной и той же цифровой линии могут передаваться данные различных типов (видеоизображение, голосовая информация, факсимильные сообщения, цифровые данные). Использование ISDN-линий позволяет существенно повысить быстродействие подключения в рамках удаленного доступа. Стандартные телефонные линии обычно позволяют осуществлять обмен со скоростями до 56 Кбит/с, по линии ISDN можно достичь скоростей 64 и даже 128 Кбит/с.

Для подключения компьютера к сети ISDN необходимо использовать специальные адаптеры, преобразующие сигнал, поступающий от компьютера, в необходимый для передачи по сети ISDN формат. Затраты на оборудование и линии ISDN могут быть выше, чем на установку стандартных модемов и прокладку телефонных линий. Однако быстродействие связи уменьшает время подключения, что сокращает денежные затраты.

Линия ISDN состоит из двух так называемых В-каналов, передающих данные со скоростью 64 Кбит/с, и одного D-канала для передачи управляющих сигналов со скоростью 16 Кбит/с. Можно конфигурировать каждый В-канал, чтобы он работал как отдельный порт. При помощи некоторых драйверов ISDN-устройств можно объединять эти каналы для передачи одного потока данных. Это означает, что можно получить большую ширину полосы пропускания, настроив работу обоих В-каналов в качестве единственного порта. При конфигурации такого рода скорость линии увеличивается до 128 Кбит/с.

Функция многоканальной связи (multilink) в Windows Server 2003 логически объединяет части канала ISDN. Многоканальная связь объединяет несколько физических линий в логическую совокупность с увеличенной шириной полосы пропускания. Кроме того, можно распределять многоканальную связь динамически, используя линии только тогда, когда они реально требуются. Эта функция устраняет избыточность ширины полосы пропускания, представляя существенное преимущество для пользователей.

Настройка параметров соединения по ISDN- линии во многом аналогична рассмотренному выше коммутируемому подключению. Различие заключается в процессе конфигурирования ISDN-адаптера. Открыв свойства подключения, необходимо щелкнуть на кнопке Configure (Настроить). В открывшемся диалоговом окне ISDN Configure (Настройка ISDN) следует выполнить одно или оба действия:

 в списке Line type (Тип линии) необходимо выбрать используемый тип линии. Линии более высокого качества указаны ближе к началу списка;

 если требуется установить подключение с выбранным типом линии, а затем повторно установить подключение с более низким качеством в зависимости от состояния линии, необходимо установить флажок Negotiate line type (Согласование типа линии).

В зависимости от типа используемого ISDN-адаптера дополнительно может появиться окно настройки параметров модема.

Подключение к локальной вычислительной сети

Подключение компьютера к локальной вычислительной сети является стандартным способом организации доступа к ресурсам корпоративной сети для большинства компаний. При этом могут быть использованы различные типы сетевых адаптеров (например, предполагающие беспроводной доступ или специальные кабельные модемы), предполагающие работу в сетях различной архитектуры — Ethernet, Token Ring, кабельные модемы, xDSL, FDDI, IP no ATM, IrDA (инфракрасная связь), радио- и эмулированные ЛВС на базе ATM. Эмулированные локальные сети используют драйверы виртуальных адаптеров, например, драйверы, поддерживающие протокол LANE (LAN Emulation, эмуляция ЛВС).

Как было замечено ранее, в процессе загрузки операционная система автоматически обнаруживает все установленные сетевые адаптеры и создает для них соответствующие подключения в папке Network Connections (Сетевые подключения). По умолчанию подключение к локальной сети всегда активно. Подключение к локальной сети — единственный тип подключения, которое автоматически становится активным после загрузки системы. Операционная система может "прослушивать" среды передачи и автоматически изменять состояние подключения в случае нарушения связи. Например, если пользователь извлекает соединительный кабель из сетевого адаптера (или из коммутатора), система автоматически определяет исчезновение среды передачи и переводит подключение в разъединенное состояние (disconnected). При появлении среды передачи система автоматически переведет подключение в активное состояние.

Для настройки устройства, с которым ассоциировано подключение, а также связанных с ним клиентов, служб и протоколов используется пункт Properties (Свойства) контекстного меню выбранного подключения. На вкладке General (Общие) окна свойств подключения локальной вычислительной сети (рис. 12.8) перечисляются сетевые компоненты, установленные для данного подключения. Флажок, установленный напротив компонента, указывает на то, что этот компонент в данный момент активизирован. Чтобы перейти непосредственно к настройке отдельного компонента, необходимо выбрать его из списка и нажать кнопку Properties (Свойства).

представляет собой протокол коммутации

Протокол Х. 25 представляет собой протокол коммутации пакетов, функционирующий на сетевом уровне OSI-модели. Все коммуникации между двумя участниками взаимодействия согласно спецификации Х.25 представляются в виде соединенных друг с другом узлов пересылки пакетов. Протокол Х.25 регламентирует процесс передачи пакетов от одного узла к другому. Существующие коммуникации различаются по качеству и надежности, поэтому в структуру протокола встроены механизмы, обеспечивающие контроль ошибок. Протокол Х.25 реализует постоянные или коммутируемые виртуальные каналы, подразумевающие надежное обслуживание и сквозное управление потоком.

Механизм удаленного доступа к сети поддерживают сетевые подключения через протокол Х.25, используя сборщик/разборщик пакетов (Packet Assembler/Disassembler, PAD) и смарт-карты Х.25. Можно также использовать модем и специальный коммутируемый доступ к Х.25 (например, SprintNet или InfoNet) вместо PAD или смарт-карты Х.25.

Для установки подключения клиент удаленного доступа Windows Server 2003 может использовать смарт-карту Х.25 или производить телефонное подключение к Х.25 PAD. Чтобы принимать входящие подключения с использованием Х.25 на компьютере под управлением Windows Server 2003, необходимо использовать смарт-карту Х.25.



Рис. 12.18. Настройка подключения по Х.25

Создание коммутируемого подключения с использованием протокола Х.25 выполняется тем же способом, что и обычное коммутируемое подключение. Открыв окно свойств созданного подключения, необходимо перейти на вкладку Options (Параметры) и нажать кнопку Х.25.

Из раскрывающегося списка Network (Сеть) (рис. 12.18) необходимо выбрать своего провайдера услуг Х.25. В поле Х.121 address (Адрес Х.121) требуется указать Х.121-адрес, выступающий в рамках протокола Х.25 в качестве эквивалента телефонного номера, используемого для подключения к удаленному серверу. В поле User data (Данные пользователя) можно указать дополнительную информацию о подключении. В поле Facilities (Услуги) необходимо ввести информацию о дополнительных параметрах услуг, которые будут запрашиваться у провайдера сети Х.25.

Подключение к виртуальной частной сети

Для создания сетевого подключения к частной (private) сети пользователи могут использовать общедоступную (public) сеть. Совокупность подобных подключений принято называть виртуальной частной сетью (Virtual Private Network, VPN). Технология виртуальных частных сетей ориентирована на создание защищенного туннеля для передачи данных через открытые сети. Все данные, передаваемые в рамках VPN-подключения, шифруются. Виртуальная частная сеть предполагает организацию защищенного точечного взаимодействия между двумя хостами сети. Для организации защищенного канала передачи данных (туннеля) используются специальные протоколы туннелирования. В рамках Windows Server 2003 реализована поддержка двух протоколов туннелирования: РРТР (Point-to-Point Tunneling Protocol) и L2TP (Layer Two Tunneling Protocol). Эти протоколы устанавливаются в Windows Server 2003 по умолчанию и могут быть использованы для организации виртуальной частной сети как через Интернет, так и через корпоративную сеть. Рассмотрим процесс создания сетевого подключения к виртуальной частной сети.

Имеется два способа организации подключения к виртуальной частной сети (далее VPN-подключение).

 Клиентский компьютер сначала устанавливает соединение с хостом-посредником по протоколу РРР (в качестве хоста-посредника, например, может выступать РРР-сервер интернет-провайдера) (рис. 12.19, а). В свою очередь, сервер-посредник использует некоторый протокол туннелирования (протокол L2TP или РРТР) для установки соединения с требуемым сервером удаленного доступа. При этом после установки подключения между хостом-посредником и сервером удаленного доступа создается защищенный канал передачи данных. Данный способ организации VPN-подключения позволяет перенести все обязанности по реализации виртуальной частной сети на сервер удаленного доступа.

 Клиент использует протоколы туннелирования, чтобы напрямую установить VPN-подключение с сервером удаленного доступа (рис. 12.19, б).

Все операции по организации защищенного туннеля выполняются непосредственно клиентским компьютером.

Рис. 12.19. Организация VPN-подключения через сервер-посредник (а) и напрямую (б)

Клиент, находящийся под управлением Windows Server 2003, может использоваться для организации VPN-подключения любым из указанных способов. Для создания подключений к виртуальной частной сети используется мастер новых подключений (New Connection Wizard). На соответствующих страницах мастера необходимо последовательно выбрать опции Connect to the network at my workplace (Подключить к сети на рабочем месте) и Virtual Private Network connection (Подключение к виртуальной частной сети) (см. рис. 12.9 и 12.10). После этого потребуется определить имя для создаваемого подключения. В следующем окне необходимо определить, нужно ли предварительно устанавливать коммутируемое подключение (рис. 12.20) и при необходимости выбрать его из списка.

Перейдя к следующему окну мастера, необходимо указать IP-адрес компьютера, который будет выступать в качестве конечной точки создаваемого защищенного канала (туннеля). Фактически это адрес сервера VPN (рис. 12.21).

Если для реализации VPN-подключения используется коммутируемое подключение, необходимо помнить о том, что для подключения к виртуальной частной сети необходимо сначала установить это коммутируемое подключение.



Рис. 12.20. Выбор способа подключения к виртуальной частной сети



Рис. 12.21. Определение адреса VPN-сервера

Подключение по телефонной линии

Поскольку телефонные линии доступны практически повсеместно, данный способ подключения клиентов к корпоративной вычислительной сети считается одним из наиболее простых и дешевых. Основным недостатком данного способа соединения является крайне низкая пропускная способность коммутируемого телефонного подключения (максимум 56 Кбит/с). Для преобразования сигнала из цифрового формата в аналоговый и обратно используют модемы. По этой причине данный тип подключения часто называют модемным подключением.

На каждом компьютере можно создать несколько модемных подключений (их количество ограничивается исключительно производительностью компьютера и, в первую очередь, наличием свободных коммуникационных портов для подключения модемов). В большинстве ситуаций пользователю достаточно иметь одно или два модемных подключения (например, с Интернетом и с корпоративной сетью).

Архитектура Windows Server 2003 позволяет автоматически обнаруживать модемы и определять их модель. Это особенно удобно в ситуации, когда пользователь не располагает информацией о модеме (например, если это внутренний модем'). В большинстве случаев для работы с модемом можно использовать драйверы к стандартным моделям модемов.

С системой Windows Server 2003 совместимы сотни разнообразных моделей модемов, соответствующих промышленным стандартам. Администратор может столкнуться с проблемами в процессе обнаружения и идентификации модемов с помощью стандартных средств Windows. Проверить совместимость устанавливаемого модема можно по списку аппаратной совместимости (Hardware Compatibility List) на сайте Microsoft (http://www.microsoft.com/hcl).

Рассмотрим процесс создания подключения к корпоративной сети по телефонной линии. При этом предполагается, что модем уже установлен и проверен.

1. В папке Network Connections (Сетевые подключения) запустите мастер новых подключений, выбрав задачу Create a new connection (Создание нового подключения) или выполнив команду File | New Connection (Файл | Новое подключение). На странице Network Connection Type (Тип сетевого подключения) мастера выберите переключатель Connect to the network at my workplace (Подключиться к сети на рабочем месте) (рис. 12.9).

2. В следующем окне (рис. 12.10) выберите тип подключения: Dial-up connection ( Подключение удаленного доступа) или Virtual Private Network connection (Подключение к виртуальной частной сети). В рассматриваемом случае необходимо выбрать коммутируемое подключение.

3. В случае если к компьютеру подключено несколько модемов, мастер предложит выбрать конкретный модем, который будет использоваться для данного подключения. Если к компьютеру подключен только один модем, мастер пропустит этот шаг. В последующих окнах необходимо дать имя создаваемому подключению и определить номер телефона, по которому будет производиться подключение к серверу удаленного доступа (рис. 12.11 и 12.12).



Рис. 12.9. Данное окно позволяет начать создание подключения любого типа



Рис. 12.10. Выбор способа подключения к сети



Рис. 12.11. Определение имени создаваемого сетевого подключения



Рис. 12.12. Определение номера телефона,  который необходимо использовать для подключения  к серверу удаленного доступа

Далее необходимо определить, будет ли создаваемое подключение использоваться всеми пользователями данного компьютера или только текущим пользователем. В последнем окне необходимо щелкнуть на Finish (Готово), чтобы подключение было создано.

Подключения удаленного доступа

Концепция удаленного доступа предоставляет удаленным или мобильным пользователям возможность подключения к корпоративной вычислительной сети с целью получения доступа к ее ресурсам. Удаленный доступ используется всегда, когда отсутствует возможность соединения двух или более компьютеров через локальную сеть.

Порядок привязки протоколов

Как уже говорилось ранее, интерфейс сетевых драйверов NDIS позволяет использовать несколько сетевых протоколов поверх разнообразных типов сред и сетевых адаптеров. Это становится возможным благодаря механизму "привязки" (binding) протоколов к имеющимся сетевым адаптерам. Привязка протокола к сетевому адаптеру фактически означает то, что данный протокол будет прослушиваться системой на указанном сетевом адаптере. В ситуации, когда к одному сетевому адаптеру привязано несколько протоколов, значимым является порядок их привязки. Так, для достижения наилучшей производительности первым в списке должен идти наиболее часто используемый протокол. Windows Server 2003 позволяет администратору управлять порядком привязки протоколов на уровне сетевых соединений.

Поскольку на прослушивание каждого стека протоколов затрачивается некоторая часть системных ресурсов, рекомендуется устанавливать на компьютер только те сетевые протоколы, что действительно необходимы для работы.

Для изменения порядка привязки протоколов необходимо в меню Advanced (Дополнительно) выбрать пункт Advanced Settings (Дополнительные параметры). На вкладке Adapters and Bindings (Адаптеры и привязки) (рис. 12.6) необходимо выбрать конфигурируемое подключение и в окне Binding for... (Привязка для...) указать протокол, который требуется переместить в списке выше или ниже, и щелкнуть на кнопке со стрелкой вверх или вниз.

Дополнительно администратор может определить порядок, в соответствии с которым сетевые службы будут получать доступ к сети. Для этого необходимо перейти на вкладку Provider Order (Порядок поставщиков) (рис. 12.7). Службы будут использоваться в порядке их перечисления в поле Network provider (Сетевые поставщики). Выбрав поставщика, которого требуется переместить в списке выше или ниже, необходимо щелкнуть на кнопке со стрелкой вверх или вниз.

Рис. 12.6. Управление порядком привязки протоколов

Рис. 12.7. Управление порядком использования поставщиков

Для изменения порядка привязки протоколов необходимы полномочия локального администратора.

Для примера рассмотрим следующую ситуацию. Допустим, для некоторого сетевого подключения установлены служба клиента сети Novell NetWare и служба клиента сети Microsoft Windows, использующих соответственно стеки протоколов IPX/SPX и TCP/IP. Допустим также, что рассматриваемое соединение наиболее часто используется для взаимодействия с сетью Microsoft Windows посредством стека протоколов TCP/IP. В этом случае службу клиента сети Microsoft (Microsoft Windows Network) необходимо поместить в начало списка служб. Необходимо также переместить в начало списка и привязку стека протоколов TCP/IP для компонента File and Printer Sharing for Microsoft Networks (Служба доступа к файлам и принтерам сетей Microsoft).

Прямое подключение

При наличии физического соединения с другим компьютером через последовательный кабель или кабель прямого параллельного подключения (DirectParallel) можно создать так называемое прямое подключение (direct connection). Используя механизм прямых подключений, можно, например, объединить две (или более) физически не связанные сети, находящиеся в одном здании.

Самый простой способ соединения двух компьютеров заключается в использовании подключений по нуль-модемному кабелю RS-232C (кабель длиной до 15 м) через последовательный порт. Подключив кабель RS-232C к СОМ-портам сервера удаленного доступа и клиентского компьютера, можно предоставить последнему доступ к сети. Подобный сценарий вполне оправдан в ситуации, когда клиентский компьютер не имеет сетевого адаптера или встроенного модема.

Драйвер прямого параллельного порта также поддерживает соединения "компьютер-компьютер", используя стандартные и расширенные параллельные порты, соединенные параллельными кабелями разного типа.

Прямые подключения могут обходиться без аутентификации (для этого нужно настроить входящее подключение на ведомом компьютере). Это полезно для устройств, подобных palmtop-компьютерам.

Если пользователь имеет в системе полномочия администратора, то при создании прямого подключения ему будет предоставлен список устройств для выбора, включая параллельные порты данного компьютера, установленные и разрешенные порты инфракрасной связи и последовательные порты. Если пользователь вошел в систему как обычный пользователь, то при создании прямого подключения список устройств будет включать параллельные порты, установленные и разрешенные порты инфракрасной связи и только те последовательные порты, которые администратор сконфигурировал для использования с нуль-модемом. Если для прямого подключения требуется СОМ-порт, попросите администратора настроить один из коммуникационных портов на этом компьютере на работу с нуль-модемом, используя значок Phone and Modem Options (Телефон и модем) на панели управления (для этого нужно выбрать опцию ручного определения модема и указать тип кабеля, соединяющего компьютеры).

Чтобы создать прямое сетевое подключение, делающее компьютер ведомым (host), нужно иметь полномочия администратора. Ведущее (guest) прямое сетевое подключение не требует полномочий администратора.

Просмотр собранных данных

Сетевой монитор упрощает анализ данных, интерпретируя исходные данные, собранные в течение сеанса сбора данных, и отображая их в окне просмотра кадров (рис. 12.40).

Рис. 12.40. Окно просмотра кадров

 Использование фильтра отображения. Как и фильтр сбора данных, фильтр отображения работает подобно запросу к базе данных, позволяя выделять информацию заданного типа. Поскольку фильтр отображения использует уже собранные данные, он не воздействует на содержимое буфера сбора данных сетевого монитора.

 Фильтрация в соответствии с протоколом. При отображении собранных данных вся доступная информация о перехваченных кадрах появляется в окне просмотра кадров (Frame Viewer). Для отображения только кадров, представляющих какой-то специфический протокол, надо отредактировать строчку, задающую протокол, в диалоговом окне Display Filter (Фильтр отображения) (команда Display | Filter (Просмотр | Фильтр)).

 Фильтрация по свойствам протокола. Свойства протокола — информационные элементы, которые определяют цель протокола. Поскольку цели протоколов различны, свойства меняются от одного протокола к другому.

 Фильтрация по адресам компьютеров. При отображении сохраненных данных все адреса, информация от которых была перехвачена, появляются в окне просмотра кадров. Чтобы отобразить только кадры, отправленные с конкретного компьютера, надо отредактировать строчку Аnу<-->Аnу в диалоговом окне фильтра отображения.

Протокол РРР

Протокол РРР (Point-to-Point Protocol) рассматривается как стандартный способ организации взаимодействия клиентов с сервером удаленного доступа в среде Windows Server 2003. Реализация протокола РРР в Windows Server 2003 характеризуется следующими особенностями:

 протокол РРР в среде Windows Server 2003 поддерживается как на стороне клиента, так и на стороне сервера. Фактически РРР является единственным протоколом удаленного доступа, поддерживаемым сервером удаленного доступа под управлением Windows Server 2003;

 структура протокола РРР позволяет осуществлять настройку параметров транспортного протокола. Например, после установки соединения сервер удаленного доступа может выдать клиенту IP-адрес;

 протокол РРР поддерживает несколько методов аутентификации (РАР, SPAP, CHAP, MS-CHAP, MS-CHAP v2 и ЕАР), а также сжатие и шифрование данных. Большинство реализаций РРР позволяет полностью автоматизировать последовательность входа в систему.

Поскольку протокол РРР является открытым стандартом, он может служить основой для организации удаленного доступа к корпоративной сети любых клиентов, использующих этот протокол.

Протокол РРР применяется в Windows Server 2003 по умолчанию. Сервер удаленного доступа Windows Server'2003, сконфигурированный на обслуживание входящих подключений, не требует каких-либо специальных настроек для поддержки входящих подключений с использованием протокола РРР. Если подключение сконфигурировано должным образом, запрос на подключение по протоколу РРР будет автоматически обработан сервером удаленного доступа. При использовании протокола РРР для подключения Windows Server 2003 к некоторому серверу удаленного доступа в большинстве случаев достаточно настроек по умолчанию и дополнительное конфигурирование не требуется. При необходимости администратор может по своему усмотрению настроить параметры протокола РРР как для исходящего, так и для входящего подключения.

Реализация протокола РРР, предложенная Microsoft, придерживается стандарта, определенного в RFC 1661. Рассмотрим последовательность установки соединения РРР. После начального соединения с удаленным сервером РРР производится следующий обмен информацией, необходимой для установки РРР-соединения:

  Установка параметров соединения. На этой стадии стороны определяют конфигурацию устанавливаемого соединения (максимальный размер окна передачи, параметры компрессии передаваемых данных). Также стороны договариваются о выборе протокола, который будет использоваться позднее для аутентификации удаленного пользователя. Эта стадия осуществляется посредством специальных протоколов управления связью (Link Control Protocols, LCP). Протоколы управления связью (Link Control Protocols, LCP) устанавливают и настраивают кадрирование (framing) РРР. Кадрирование РРР определяет, как формируются данные перед передачей по глобальной сети. Стандарт кадрирования РРР гарантирует, что программное обеспечение удаленного доступа любых производителей может передавать и распознавать пакеты данных от любого программного обеспечения удаленного доступа, которое твердо придерживается стандартов РРР. Протокол РРР в Windows Server 2003 использует модификацию кадрирования HDLC (Высокоуровневое управление каналом передачи данных, High-level Data Link Control) для последовательного доступа или ISDN;

 Аутентификация пользователя. Процесс аутентификации является одним из неотъемлемых этапов в процессе установки сетевого соединения, обусловленный требованиями безопасности. В случае удаленного доступа к сети требования к безопасности являются более жесткими, нежели в случае локального доступа. В Windows Server 2003 реализована поддержка целого ряда протоколов аутентификации, от передачи пароля пользователя в незашифрованном виде до аутентификации посредством специальных смарт-карт;

 Обратный звонок (callback). Обратный звонок является необязательным этапом в процессе установки соединения посредством протокола РРР. Этот этап позволяет гарантировать подлинность клиента, устанавливающего подключение к серверу удаленного доступа, и может быть обусловлен требованиями безопасности. Сущность этого этапа заключается в следующем. Клиент обрывает соединение и ожидает звонка сервера удаленного доступа. Сервер удаленного доступа самостоятельно дозванивается до клиента и процесс установки соединения продолжается. Следует заметить, что для удаленного пользователя должен быть разрешен этап обратного звонка;



  Установка параметров сетевых протоколов. Эта стадия реализуется посредством специальных протоколов управления сетью (Network Control Protocols, NCP). Протоколы NCP (табл. 12.3) служат для установления и настройки различных параметров сетевых протоколов (IP, IPX и AppleTalk) (параметры сжатия заголовков протокола и протоколы управления сжатием).

Таблица 12.3. Протоколы NCP

Протоколы	Описание
IP Control Protocol (Протокол управления IP, IPC)	Служит для конфигурирования, разрешения и запрещения модулей IP на обоих концах соединения
IPX Control Protocol (Протокол управления IPX, IPXCP)	Служит для конфигурирования, разрешения и запрещения модулей IPX на обоих концах соединения
AppleTalk Control Protocol (Протокол управления AppleTalk, ATCP)	Служит для конфигурирования, разрешения и запрещения модулей AppleTalk на обоих концах соединения

Установленное в результате соединение будет оставаться активным до его разрыва по одной из следующих причин:

 для соединения истек период простоя;

 соединение было принудительно разорвано администратором;

 произошла неустранимая ошибка связи.

Протокол SLIP

Межсетевой протокол для последовательного канала (Serial Line Internet Protocol, SLIP) представляет собой один из первых стандартов для удаленного доступа к сети, разработанный для подключения к серверам UNIX. Протокол SLIP может использоваться только клиентами удаленного доступа на базе Windows Server 2003 для подключения к UNIX-серверам. Сервер удаленного доступа под управлением Windows Server 2003 не поддерживает входящих подключений по протоколу SLIP. Фактически протокол SLIP в Windows Server 2003 реализован исключительно как средство обеспечения совместимости со старыми версиями UNIX-серверов.

Использование протокола SLIP связано с одним существенным ограничением. Данный протокол поддерживает работу только со стеком протоколов TCP/IP. Другими словами, клиенты, использующие стек протоколов NWLink (IPX/SPX) или AppleTalk, не могут использовать протокол SLIP для подключения к серверу удаленного доступа.

Работа с мастером Connection Manager Administration Kit Wizard

После запуска мастер Connection Manager Administration Kit Wizard предлагает администратору создать новый служебный профиль или отредактировать уже существующий. В случае создания нового профиля администратору потребуется ответить на ряд вопросов, определяющих конфигурацию клиента удаленного доступа. Не все параметры должны быть обязательно определены в служебном профиле. Администратор может задать только необходимые параметры, оставив для остальных значения по умолчанию или неопределенные значения.

В табл. 12.7 перечислены группы параметров, определяемые в процессе работы мастера.

Таблица 12.7. Параметры, определяемые с помощью мастера Connection Manager Administration Kit Wizard

Параметры		Описание
Поддержка VPN		Администратор может разрешить на стороне клиента поддержку VPN-подключений. При этом требуется определить способ выбора VPN-сервера - будет ли осуществляться подключение всегда к одному серверу или пользователю будет разрешено выбирать сервер по своему усмотрению. Кроме того, администратор может определить настройки VPN-подключения
Телефонная книга		Администратор определяет местоположение файла телефонной книги. Телефонная книга должна содержать записи о серверах удаленного доступа, которые клиент может использовать для подключения к корпоративной сети. Администратор может настроить автоматическое получение обновлений телефонной книги. В этом случае потребуется указать адрес, по которому клиент сможет получать эти обновления
Настройки коммутируемого подключения		Администратор может определить настройки коммутируемого подключения
Обновление таблицы маршрутизации		При необходимости администратор может внести изменения в таблицу маршрутизации клиента удаленного доступа
Автоматическое конфигурирование настроек прокси-сервера		Если в корпоративной сети для доступа к Интернету используется прокси-сервер, администратор может включить в профиль файл автоматического конфигурирования прокси-сервера
Обработчики событий		Администратор может включить обработку определенных событий, возникающих в процессе удаленного подключения. В качестве обработчиков событий могут быть использованы любые исполняемые файлы
Корпоративная'симво-лика		Администратор может заменить стандартные заставки и значки утилиты Connection Manager фирменными логотипами
Файл справки		Администратор может включить в состав профиля специально подготовленный файл справки
Дополнительные файлы		В состав профиля могут быть включены дополнительные файлы (например, необходимые для работы обработчиков событий)
Инсталляционные файлы Connection Manager		Если на клиенте отсутствует программное обеспечение Connection Manager, имеет смысл включить в состав профиля его инсталляционные файлы. При этом администратор может включить в состав профиля файл, содержащий специальное лицензионное соглашение

При необходимости администратор может выполнить расширенную настройку профиля, отредактировав содержимое файла <Имя_профиля>.cms при помощи любого текстового редактора. Следует заметить, что выполнение этой операции требует от администратора определенной квалификации.

Развертывание профиля

После получения профиля пользователь должен выполнить его развертывание, запустив исполняемый файл, содержащийся в профиле. Вся процедура развертывания требует минимального участия пользователя. По ее окончании в список доступных сетевых подключений пользователя будет добавлен новый элемент. При двойном щелчке на этом объекте будет запущена утилита Connection Manager. Точный вид окна определяется настройками профиля.

Рис. 12.37. Подключение, создаваемое с помощью утилиты Connection Manager

Если администратор включил в содержимое профиля информацию о полномочиях пользователя, последнему потребуется только нажать кнопку Connect для того, чтобы установить соединение с сервером (рис. 12.37). В противном случае пользователь должен предварительно указать имя своей учетной записи и сопоставленный ей пароль.

Сетевой монитор

Сетевые администраторы могут использовать утилиту Network Monitor (Сетевой монитор) для перехвата и отображения кадров (также называемых пакетами или фреймами) при обнаружении и решении проблем в локальных сетях. Например, с помощью сетевого монитора можно диагностировать аппаратные и программные проблемы в случае, если два (или более) компьютера не могут связаться друг с другом. Можно также зафиксировать (перехватить) сетевой трафик, а затем файл с полученными данными послать специалистам по сетям или организации, занимающейся поддержкой сети. Разработчики сетевых приложений могут использовать сетевой монитор для того, чтобы контролировать и отлаживать сетевые приложения во время разработки.

В Windows Server 2003 возможности сетевого монитора не изменились по сравнению с Windows 2000. Для установки монитора используются процедуры, описанные выше в разд. "Установка дополнительных сетевых компонентов". Для запуска монитора служит команда Network Monitor в меню Administrative Tools (Администрирование).

Сетевой монитор и безопасность

Из соображений безопасности сетевой монитор в Windows Server 2003 перехватывает только те кадры (включая широковещательные кадры и кадры группового вещания), которые посланы с локального компьютера или адресованы ему. Сетевой монитор также отображает полную сетевую статистику сегмента для широковещательных кадров, кадров многоадресного вещания, коэффициент использования сети, общее число байтов, полученных за секунду, и общее число кадров, полученных за секунду.

Утилита Network Monitor использует функциональные возможности спецификации NDIS для копирования всех обнаруженных кадров в буфер сбора данных (область памяти переменной длины, предназначенная для хранения данных). Процесс, в ходе которого сетевой монитор копирует кадры, называется фиксацией (перехватом).

Чтобы защитить сеть от несанкционированного использования инсталлированного сетевого монитора, сетевой монитор обеспечивает:

 защиту с использованием пароля;

 возможность обнаружить другие инсталляции сетевого монитора в локальном сегменте сети.

В некоторых случаях архитектура сети может подавить обнаружение одной установленной копии сетевого монитора другой. Например, если установленная копия сетевого монитора отделяется от второй копии маршрутизатором, который не пропускает многоадресные посылки, то вторая копия сетевого монитора не сможет обнаружить первую.

Сетевой мост (Network Bridge)

В Windows Server 2003 непосредственно на уровне операционной системы реализован механизм сетевого моста (network bridge). Наличие этого механизма устраняет необходимость в использовании специального аппаратного обеспечения. Сетевой мост позволяет рассматривать несколько физических сетевых сегментов как одну логическую IP-подсеть. Он позволяет объединить в единую логическую подсеть даже сетевые сегменты, использующие различные сетевые архитектуры (например, Ethernet и FDDI). В предыдущих версиях Windows единственной возможностью связать воедино несколько сетевых сегментов, и реализовать их взаимодействие была организация маршрутизации между ними. Однако маршрутизация предполагает помещение каждого сетевого сегмента в отдельную логическую IP-подсеть, что может быть нежелательно. В качестве другого варианта администратор может использовать для соединения сетевых сегментов специальный аппаратный мост.

Сетевой мост Windows Server 2003 упрощает процесс объединения отдельных сегментов сети. В приведенном на рис. 12.30 примере, сетевой мост объединяет два физических сегмента — сегмент "А" и "В".

Рис. 12.30. Использование сетевого моста

Следует понимать, что механизм сетевого моста реализован в Windows Sewer 2003 на программном уровне. Как следствие, он проигрывает в производительности специализированным аппаратным реализациям. Сетевой мост Windows Server 2003 может рассматриваться как альтернатива аппаратным мостам и маршрутизаторам в небольших сетях, насчитывающих несколько хостов. В крупных сетях с большим количеством хостов и подсетей, интенсивно взаимодействующих между собой, целесообразнее использовать аппаратный мост (или маршрутизатор).

Существует одно важное ограничение, связанное с механизмом сетевого моста. На одном компьютере может быть активизирован только один сетевой мост. При этом данный мост может связывать воедино любое количество сетевых подключений, активизированных на данном компьютере. Невозможно создать на одном компьютере два разных моста, работающих независимо друг от друга.

Сетевой мост, активизированный для беспроводных подключений или IEEE-1394 соединений, допускает использование только протокола IPv4.

В случае, когда на компьютере активизирован механизм общего доступа к подключению Интернет (ICS), следует соблюдать осторожность в использовании сетевого моста. Допускается активизация сетевого моста для закрытой (private) части общего подключения. Если мост активизировать для открытой (public) части общего подключения, корпоративная сеть окажется абсолютно незащищенной от любых вторжений извне.

Для активизации сетевого моста в окне Network Connections необходимо выбрать интересующие подключения и, вызвав контекстное меню, выбрать пункт Bridge Connections (Связать подключения). Совершенно очевидно, что для создания моста должны быть выбраны как минимум два сетевых подключения. По окончании процесса создания моста в списке сетевых подключений появится значок, обозначающий мост (рис. 12.31).



Рис. 12.31. Сетевой мост

Интерфейсы, для которых необходимо создать сетевой мост, не должны быть задействованы в работе механизмов Internet Connection Sharing и Internet Connection Firewall. Кроме того, запрещается использовать для создания сетевого моста интерфейсы, задействованные в работе механизма NAT.

После того как мост создан, настройки всех входящих в него подключений сбрасываются. При этом все сетевые подключения, образующие мост, рассматриваются как принадлежащие к одной подсети. Большинство свойств подключения конфигурируется однообразно через свойства моста. Задать эти свойства администратор может, открыв окно свойств моста. Список подключений, связываемых мостом, перечисляется в поле Adapters (Адаптеры) на вкладке General (Общие) окна свойств (рис. 12.32).



Рис. 12.32. Окно свойств моста

При необходимости администратор может отключить мост. Для этого нужно в контекстном меню моста выбрать пункт Disable (Отключить). Чтобы снова активизировать мост, необходимо в контекстном меню выбрать значение Enable (Включить).

Механизм сетевого моста доступен только в Windows Server 2003, Standard Edition и Windows Server 2003, Enterprise Edition. Этот механизм недоступен в Windows Server 2003, Web Edition и Windows Server 2003, Datacenter Edition, a также в 64-разрядных редакциях Windows Server 2003.

Сетевые протоколы

Набор соглашений и правил, регламентирующих порядок взаимодействия отдельных компонентов сети, называется протоколом. Протокол представляет собой согласованный способ обмена информацией между хостами. При этом под хостом понимается любое сетевое устройство (не только компьютер), способное выступать источником или получателем данных. Выделяют протоколы аппаратные и программные. Аппаратные протоколы регламентируют правила функционирования сетевых устройств. Программные протоколы регламентируют порядок взаимодействия компонентов сетевого программного обеспечения.

Работая совместно, протоколы реализуют уровень или уровни модели OSI. Каждый протокол обрабатывает свою часть процесса сетевого взаимодействия, имеет собственные правила и требования. В этом случае набор протоколов, функционирующих как единое целое на всех уровнях модели OSI, называется стеками протоколов.

В зависимости от задач, на решение которых ориентирован тот или иной протокол, он может быть отнесен к одной из множества категорий. Перечислим некоторые категории протоколов.

 Транспортные протоколы. Протоколы, регламентирующие порядок передачи данных между сетевыми устройствами. Эти протоколы образуют "каркас" сети, реализуя транспортный механизм. К данной категории можно отнести протоколы: IP, TCP, IPX, SPX, X.25.

 Протоколы аутентификации. Протоколы этой категории позволяют организовать процесс аутентификации пользователей и устройств, участвующих в сетевом взаимодействии. К этой категории относятся протоколы Kerberos, RADIUS.

 Протоколы маршрутизации. Для реализации межсетевого взаимодействия используются устройства, получившие название маршрутизаторов. Для принятия решения о доставке пакета, маршрутизатор использует специальные таблицы маршрутизации. Протоколы маршрутизации используются маршрутизаторами для построения подобных таблиц (протоколы RIP, OSPF, IS-IS, ВОР).

 Протоколы обеспечения безопасности передачи данных. К этой группе относятся протоколы туннелирования и протоколы шифрования данных: например, SSL, PPTP, L2TP.

 Вспомогательные протоколы. Эта группа протоколов реализует вспомогательные сетевые сервисы — DHCP, HTTP, FTP.

Соответственно, проводить обзор сетевых протоколов имеет смысл только в рамках определенной задачи. В данной главе мы в первую очередь рассмотрим транспортные протоколы и протоколы удаленного доступа.

Служебные профили

Преимущество использования служебных профилей, созданных при помощи мастера Connection Manager Administration Kit Wizard, заключается в том, что от пользователя требуется минимальное участие в процессе подключения к корпоративной сети. Весь процесс создания и настройки подключения выполняется диспетчером автоматически. При этом администратор может конфигурировать диспетчер по своему усмотрению, предоставлять или запрещать пользователям определенные функциональные возможности. Администратор может обязать пользователя использовать определенные механизмы обеспечения безопасности, а также автоматизировать некоторые процессы, связанные с ее обеспечением (в первую очередь это касается централизованного изменения разделяемых ключей).

Механизм служебных профилей представляет собой мощное средство централизованного управления настройками клиентов удаленного пользователя. Особенно этот механизм эффективен в ситуации, когда администратору необходимо иметь дело с большим количеством пользователей, не обладающих квалификацией достаточной для того, чтобы выполнить настройку сетевых подключений самостоятельно. Используя механизм служебных профилей, администратор может быть уверен в том, что клиент удаленного доступа у таких пользователей будет настроен корректно и в точном соответствии с корпоративной политикой безопасности.

Сохранение записанных данных

Перехваченные данные из буфера сбора данных записываются для сохранения в файл перехвата данных (с расширением cap). Необходимо сохранять собранные данные в следующих случаях:

 перед запуском другого процесса сбора данных (чтобы предотвратить потерю собранных данных);

 когда данные будут проанализированы позже;

 когда требуется задокументировать использование сети или возникшей проблемы.

Создание сетевых подключений

После того как нами были рассмотрены основные поддерживаемые протоколы, мы можем перейти к более подробному разговору о процессе создания различных типов сетевых подключений.

Создание служебных профилей

Для создания служебного профиля используется специальный мастер Connection Manager Administration Kit Wizard. Этот мастер не устанавливается по умолчанию. Если администратор планирует использовать в сети утилиту Connection Manager, он должен самостоятельно установить этот компонент на одном из серверов. Мастер Connection Manager Administration Kit Wizard следует рассматривать как инструмент для создания служебных профилей. Поэтому не имеет значения, на каком конкретно сервере этот мастер будет установлен.

Стек протоколов AppleTalk

Специально для поддержки клиентов Apple Macintosh в Windows Server 2003 реализован стек протоколов AppleTalk. Используя стек протоколов AppleTalk, приложения и процессы могут передавать данные и обмениваться информацией, а также совместно использовать ресурсы, например принтеры и файловые серверы. Удаленный доступ к Windows Server 2003 по протоколу AppleTalk реализуется посредством протоколов ARAP (AppleTalk Remote Access Protocol) и АТСР (AppleTalk Control Protocol).

Протокол AppleTalk устанавливается автоматически вместе со службами File Services for Macintosh и Print Services for Macintosh.

Протокол ARAP представляет собой протокол коммутируемого соединения для компьютеров Apple Macintosh. Пользователи Macintosh с помощью ARAP могут удаленно подключаться к компьютеру с поддержкой AppleTalk под управлением Windows Server 2003 и получать доступ к файловым томам Macintosh и принтерам AppleTalk. Поддерживаются клиенты удаленного доступа AppleTalk (AppleTalk Remote Access client) версий 1.0, 2.x и 3.x.

При помощи АТСР клиенты Macintosh могут работать с сетевым протоколом AppleTalk поверх РРР, а удаленный пользователь может получить доступ к веб-серверам поверх TCP/IP, печатать документы на принтерах AppleTalk, а также соединяться с файловым сервером Macintosh (по TCP/IP или AppleTalk) по коммутируемому РРР-соединению.

Стек протоколов NWLink

Стек протоколов IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) представляет собой фирменный стек протоколов, разработанный корпорацией Novell специально для операционной системы NetWare. Поскольку данный стек протоколов является патентованным, корпорация Microsoft разработала собственный стек протоколов, совместимый с IPX/SPX. Созданный Microsoft стек протоколов получил название NWLink (на него часто также ссылаются как на IPX/SPX-совместимый стек протоколов).

Хотя NWLink является IPX/SPX-совместимым протоколом, он построен в соответствии с архитектурой Windows. Оригинальный стек протоколов IPX/SPX базируется на продвигаемом компанией Novell открытом сетевом интерфейсе, обеспечивающем возможность привязывать к сетевой карте более одного протокола, — Open Data-Link Interface (ODI). В семействе операционных систем Windows Microsoft реализовала собственный стандарт интерфейса сетевых драйверов (Network Driver Interface Specifications, NDIS). Архитектура стека протоколов NWLink предполагает взаимодействие с интерфейсом NDIS.

В отличие от Windows 2000 Server, системы Windows Server 2003 не поддерживают маршрутизацию протокола IPX (т. е. пересылку трафика IPX, использование Routing Information Protocol (RIP) for IPX, поддержку Service Advertising Protocol (SAP) в качестве агента маршрутизации и рассылку широковещательных пакетов "NetBIOS over IPX") и его использование для входящих подключений; в Windows Server 2003 также отсутствует служба Gateway Service for NetWare. Протокол IPX можно выбирать только для исходящих подключений в папке Network Connections.

Использование стека протоколов NWLink в среде Windows Server 2003 имеет свои особенности. Прежде всего, следует заметить, что для доступа к ресурсам операционной системы Novell NetWare одного стека протоколов NWLink. На компьютере, находящемся под управлением Windows Server 2003, должен быть также установлен редиректор (redirector) для сетей NetWare — Служба клиента для сетей NetWare (Client Service for NetWare, CSNW).

Если администратору необходимо организовать доступ к ресурсам NetWare без установки протокола NWLink, необходимо использовать специальную Службу шлюза для сетей NetWare (Gateway Service for NetWare, GSNW), поставляемую в составе Windows 2000 Server; в Windows Server 2003 эта служба отсутствует.

Стек протоколов TCP/IP

Стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol) является основой глобальной сети Интернет, что обеспечило ему широкую популярность. Его гибкость и возможности маршрутизации трафика позволяют использовать его в сетях различного масштаба (начиная небольшой локальной сетью и заканчивая глобальной корпоративной сетью).

Стек протоколов TCP/IP представляет собой набор сетевых протоколов, регламентирующих все стороны процесса взаимодействия сетевых устройств. Этот стек протоколов основан на открытых спецификациях. Благодаря этому реализации данного стека протокола различными производителями совместимы между собой. В частности, реализация TCP/IP, предложенная Microsoft в рамках семейства операционных систем Windows, позволяет осуществлять взаимодействие с системами, находящимися под управлением ОС, созданных не фирмой Microsoft (например, UNIX).

Можно выделить следующие достоинства стека протоколов TCP/IP:

 в рамках стека реализована стандартизованная схема маршрутизации, являющаяся наиболее полным и доступным общепринятым механизмом маршрутизации сетевого трафика. Практически все современные операционные системы поддерживают TCP/IP (даже Novell признала первенство стека протоколов TCP/IP и реализовала его поддержку в своем семействе операционных систем NetWare). Практически все корпоративные сети строятся с использованием стека TCP/IP;

технология объединения разнородных систем. В рамках стека TCP/IP доступно множество стандартных утилит для организации взаимодействия и передачи данных между разнородными системами, включая протокол передачи файлов FTP и протокол эмуляции терминала (Telnet). Некоторые стандартные утилиты поставляются непосредственно с Windows Server 2003;

 технология, позволяющая подключать сеть или одиночный компьютер к глобальной сети Интернет. Поскольку Интернет функционирует на базе стека протоколов TCP/IP, поддержка компьютером этого стека является одним из обязательных требований при подключении его к этой сети. Реализованный в рамках стека протокол РРР, протокол туннелирования РРТР и архитектура Windows Sockets обеспечивают необходимую основу для организации подключения к Интернету и использования всех его служб;

  основа для организации устойчивого, масштабируемого, межплатформенного, клиент-серверного взаимодействия. В TCP/IP поддерживается интерфейс Windows Sockets, который является реализацией в среде Windows широко распространенного интерфейса Berkeley Sockets, используемого для создания сетевых приложений.

Реализация стека протоколов TCP/IP в Windows Server 2003

В Windows Server 2003 реализована поддержка основных протоколов стека TCP/IP, включая протокол управления передачей (TCP), протокол Интернета (IP), протокол пользовательских датаграмм (UDP), протокол разрешения адресов (ARP), протокол управляющих сообщений Интернета (1СМР), а также протокол управлениями группами Интернет (IGMP). Реализация стека протоколов TCP/IP включает в себя базовые утилиты TCP/IP, в том числе Finger, Ftp, Lpr, Rep, Rexec, Rsh, Telnet и Tftp. Эти утилиты позволяют пользователям, работающим в Windows Server 2003, использовать ресурсы и взаимодействовать с компьютерами под управлением операционных систем сторонних производителей (например, операционные системы семейства UNIX). В распоряжении администратора имеется также целый ряд диагностических утилит TCP/IP, включая Arp, Hostname, Ipconfig, Lpq, Nbtstat, Netstat, Ping, Route и Tracert. Системные администраторы могут использовать эти утилиты, чтобы обнаружить и решить проблемы работы с сетями TCP/IP.

В Windows Server 2003 протокол TCP/IP устанавливается по умолчанию и не может быть удален или переустановлен. Если возникает необходимость сбросить установки TCP/IP, то следует использовать утилиту командной строки Netsh.exe.

Следует заметить, что разработанные в ходе развития стека TCP/IP спецификации охватывают различные стороны сетевого взаимодействия. Не все они реализованы в рамках стека протоколов TCP/IP, предложенного Microsoft в Windows Server 2003. Реализация стека протоколов TCP/IP в Windows Server 2003 имеет следующие характерные особенности:

 поддержка окна передачи большого размера. Эта возможность улучшает производительность TCP/IP в случае, когда передается большое количество данных или не требуется передача подтверждения при связи между двумя компьютерами в течение длительного периода времени. В случае взаимодействия на базе протокола TCP окно (максимальное число пакетов, переданных в виде непрерывного потока до первого пакета подтверждения) обычно имеет фиксированный размер и устанавливается в начале сеанса связи между принимающим и передающим компьютерами. С поддержкой больших окон фактический размер окна может быть динамически вычислен повторно и соответственно увеличен в течение более длинных сеансов. Это позволяет передать большее количество пакетов данных за один раз и увеличивает эффективную полосу пропускания;



  размер окна передачи устанавливается локальным сетевым адаптером. Данная возможность позволяет устанавливать размер окна передачи сетевым адаптером в соответствии с имеющейся пропускной способностью сети. Например, в ситуации, когда компьютер подключен к Интернету посредством модемного соединения, размер окна передачи будет значительно меньше, чем в случае соединения с локальной вычислительной сетью. Применительно к серверу удаленного доступа описываемая возможность позволяет уменьшить размер очереди пакетов и, как следствие, увеличить эффективность устанавливаемых соединений;

 выборочные подтверждения. Эта возможность позволяет сетям быстро восстанавливать свою работоспособность после возникновения сетевых конфликтов или временного сбоя в физической среде. Получатель может выборочно подтверждать или требовать повторную передачу у отправителя только для тех пакетов, которые были опущены или повреждены во время передачи данных. В предыдущих реализациях TCP/IP, если компьютер-получатель не смог получить одиночный TCP-пакет, отправитель был вынужден повторно передавать не только поврежденный или отсутствующий пакет, но и всю последовательность пакетов, идущую после неподтвержденного пакета. С новой возможностью будут повторно посланы только действительно поврежденные или пропущенные пакеты. Это приводит к передаче меньшего количества пакетов, т. е. к лучшему использованию сети;

 лучшая оценка времени кругового пути (Round Trip Time, RTF). Эта возможность повышает эффективность стека протоколов TCP/IP, позволяя точно оценивать время, затрачиваемое на путешествие пакета туда и обратно (RTT) между двумя хостами сети. (RTT — количество времени, которое требуется для кругового прохождения пакета между отправителем и получателем по установленному TCP-соединению.) Повышение точности оценки RTT позволяет установить более точное значение тайм-аута, до истечения которого компьютеры не будут перезапрашивать пакет. Лучшая синхронизация приводит к повышению эффективности работы в сетях с большими значениями RTT (например, в глобальных сетях), покрывающих большие расстояния (нередко целые континенты), или при использовании TCP/IP в беспроводных или спутниковых каналах;



  поддержка протокола IPv6. Протокол IPv6 представляет собой новую версию протокола IP (старая версия протокола получила название IPv4). Новая версия протокола позволяет преодолеть ограничения и недостатки, характерные для протокола IPv4;

 поддержка механизмов маршрутизации. Реализация стека протоколов TCP/IP в Windows Server 2003 включает в себя механизмы маршрутизации. Благодаря этому компьютер под управлением Windows Server 2003 может выступать в качестве маршрутизатора, соединяя между собой две или более подсетей;

 возможность назначения одного IP-адреса нескольким сетевым адаптерам (создание так называемого подключения типа "сетевой мост", network media bridge). Например, компьютер может иметь два сетевых подключения (одно посредством модема с телефонной линией, а второе посредством сетевого адаптера к беспроводной сети). При этом другие компьютеры, подключаясь по телефонной линии к данному компьютеру, могут через мост осуществлять взаимодействие с компьютерами, подключенными к беспроводной сети;

 встроенный брандмауэр. Непосредственно на уровне операционной системы реализован простейший брандмауэр подключений к Интернету (Internet Connection Firewall, ICF). Встроенный брандмауэр представляет собой службу, осуществляющую фильтрацию информации, поступающей

из глобальной сети Интернет. Служба пропускает только разрешенные администратором типы пакетов и отбрасывает все остальные;

 поддержка служб просмотра сети (browser service), позволяющая осуществлять поиск ресурсов в сложных IP-сетях.

Помимо транспортных протоколов, задача которых сводится исключительно к организации сетевого взаимодействия, в Windows Sewer 2003 реализован целый ряд служб, без которых на сегодняшний день трудно представить сетевую инфраструктуру современного предприятия:

 службы Интернета (Internet Information Services, IIS);

 служба DHCP для автоматического конфигурирования TCP/IP;

 служба WINS (Windows Internet Name Service) для разрешения NetBIOS-имен в IP-адреса;



 служба доменных имен ( Domain Name Service, DNS) для разрешения доменных имен в IP-адреса;

 службы печати для доступа через TCP/IP к принтерам, подключенным к UNIX-системам, или к принтерам, подключенным непосредственно к сети;

 агент простого протокола управления сетью (Simple Network Management Protocol, SNMP). Протокол SNMP был разработан как средство реализации централизованного управления разнообразными сетевыми устройствами посредством специализированного программного обеспечения (например, Sun Net Manager или HP Open View);

 серверное программное обеспечение для простых сетевых протоколов, включая генератор символов (Chargen), Daytime, Discard, Echo и Quote of The Day. Эти протоколы позволяют компьютеру под управлением Windows Server 2003 отвечать на запросы других систем, поддерживающих эти протоколы.

Реализация стека протоколов TCP/IP в Windows Server 2003 не включает полный набор утилит TCP/IP или серверных служб (которые традиционно называются демонами, daemons). Тем не менее, существует множество прикладных программ и утилит такого рода, совместимых с реализацией TCP/IP производства Microsoft из состава Windows Server 2003, — как свободно распространяемых, так и сторонних производителей.

Архитектура стека протоколов TCP/IP в Windows Server 2003

Рис. 12.5 позволяет получить представление об архитектуре стека протоколов. TCP/IP, реализованного в рамках операционной системы Windows Server 2003. Условно можно выделить четыре уровня данной реализации.

 Уровень приложений. На этом уровне функционируют приложения, нуждающиеся в доступе к сети. При этом приложения для обращений к сети могут использовать любой из поддерживаемых системой прикладных интерфейсов.



Рис. 12.5. Архитектура стека протоколов TCP/IP в Windows Server 2003

 Уровень прикладных интерфейсов. Прикладные интерфейсы представляют собой стандартизированные точки доступа к сетевым компонентам операционной системы. Операционной системой Windows Sewer 2003 поддерживается целый ряд разнообразных прикладных интерфейсов (NetBIOS, WNET/WinNET, Windows Socket, RFC). Прикладные интерфейсы взаимодействуют с транспортными протоколами через интерфейс транспортного драйвера (Transport Driver Interface, TDI).



  Реализация транспортных механизмов. На этом уровне функционируют транспортные протоколы, отвечающие за упаковку сетевых запросов к приложениям в соответствующие форматы и отправку этих запросов на соответствующий сетевой адаптер посредством интерфейса сетевых драйверов (Network Driver Interface Specifications, NDIS).

 Интерфейс сетевых драйверов. Интерфейс сетевых драйверов позволяет использовать несколько сетевых протоколов поверх разнообразных типов сред и сетевых адаптеров. Благодаря этому интерфейсу множество протоколов могут совместно использовать один сетевой адаптер.

В Windows Server 2003 реализована спецификация NDIS 5.1. Ниже перечислены характерные особенности данной версии этого интерфейса.

 Поддержка данных, передаваемых вне полосы пропускания (используется в широкополосной передаче).

 Расширение для средств Wireless WAN.

Высокоскоростные передача и прием пакетов (что приводит к значительному повышению производительности).

 Расширение для средств высокоскоростных портов инфракрасной передачи IrDA.

 Автоматическое определение среды (это требуется для получения эмблемы "Разработано для Windows" в соответствии с руководством по построению аппаратных средств спецификации РС'98).

 Фильтрация пакетов (предотвращает монопольный захват процессора утилитой Сетевой монитор (Network Monitor)).

 Многочисленные новые системные функции интерфейса NDIS (требуются для двоичной совместимости мини-порта Windows 95 и Windows NT).

 Управление питанием NDIS (требуется для сетевого управления питанием и включения компьютера через сеть).

 Поддержка технологии Plug and Play.

 Поддержка инструментария управления Windows (Windows Management Instrumentation, WMI), что обеспечивает создание совместимых с WBEM (Управление предприятием на основе технологии Web) средств управления аппаратурой мини-портов ND1S и связанных с ними адаптеров.

 Поддержка единого формата INF для всех операционных систем Windows. Новый формат INF основан на формате 1NF, принятом в Windows 95.



  Механизмы разгрузки процессора для служебных процессов типа расчета контрольной суммы пакетов протоколов TCP и UDP, а также для быстрой пересылки пакетов.

 Расширение для средств широковещания (необходимо для широковещательных служб в Windows).

 Поддержка механизмов установления логического соединения (требуется для сетей ATM и ADSL, а также для работы WDM-CSA (Windows Driver Model-Connection Streaming Architecture) — модели драйвера потоковой архитектуры соединения для Windows поверх всех сред с установлением логического соединения).

 Поддержка для реализации служб качества обслуживания (Quality of Service, QoS).

 Поддержка промежуточных драйверов (требуется для широковещания PC, виртуальных ЛВС, планирования пакетов для QoS и для поддержки сетевых устройств IEEE-1394).

Интерфейс Windows Socket 2

Интерфейс Windows Socket 2 (достаточно часто можно встретить другое название — WinSock 2) представляет собой реализованный в Windows интерфейс сокетов, разработанный в Университете Беркли. Данный интерфейс выступает в качестве связующего звена между приложениями и транспортным механизмом. Формат сокета зависит от протокола. Применительно к TCP/IP сокет представляет собой комбинацию информации об адресе хоста и номере порта. Для каждого сокета эта комбинация является уникальной.

Обеспечивая полную совместимость с предыдущей версией, Windows Socket 2 расширяет первоначальную реализацию интерфейса. Его характеризуют:

 улучшенная эффективность работы;

 дополнительная поддержка разрешения имен;

 параллельный доступ к нескольким сетевым транспортам;

 поддержка процедур управления качеством обслуживания (QoS);

 поддержка многоточечного и многоадресного вещания.

 В дополнение к поддержке доступа к нескольким сетевым транспортам и механизмам разрешения имен, по сравнению со спецификацией WinSock 1.1, изменилась и архитектура Windows Sockets 2, которая теперь включает два основных уровня: уровень динамических библиотек (DLL), обеспечивающих интерфейс Windows Sockets API, и уровень поставщиков услуг, располагающихся ниже библиотек API и взаимодействующих с ними через интерфейс поставщика услуг (Service Provider Interface, SPI). Описание Windows Sockets 2 включает три отдельных спецификации: описание Windows Sockets 2 API, описание Windows Sockets 2 SPI и приложение (Appendix), определяющие особенности протокола транспортного уровня.



DLL-библиотека Windows Sockets 2 (WS2-32.DLL) включает все API, используемые разработчиками приложений. Она включает существующий Windows Sockets 1.1 API, а также новый API для расширенных средств обмена данными и API обобщенной службы имен. Многие поставщики теперь предлагают параллельный доступ к их собственным транспортам, создавая DLL-библиотеку поставщика услуг, соответствующую спецификации Windows Sockets 2 SPI. Это означает, что можно разработать приложение, обращающееся через новый прикладной интерфейс, например, к TCP/IP и IPX/SPX одновременно.

Интерфейс поставщика услуг позволяет обращаться к нескольким службам разрешения имен (Name Resolution Services) через единый API. Поскольку производители поставляют программные модули уровня поставщика услуг для DNS, для службы каталогов NetWare (NDS) и Х.500 все их функции разрешения имен будут доступны через API пространства имен Windows Sockets 2.

Протокол IPv6

Начальная версия протокола IP (ее принято называть IPv4) разрабатывалась несколько десятилетий назад. Хотя при разработке этого протокола исходили из возможного развития сетевой инфраструктуры в будущем, протоколу IPv4 свойственен ряд ограничений.

 Ограниченное адресное пространство. Стремительный рост Интернета выявил одно из самых ощутимых ограничений — нехватку IP-адресов. По оценкам специалистов, заложенное в рамках архитектуры протокола IPv4 количество IP-адресов приблизительно равно количеству хостов Интернета. Уже в ближайшем будущем все доступные IP-адреса будут задействованы. Для дальнейшего развития Интернета необходимо предложить и задействовать новый способ адресации хостов.

 Сложность конфигурации. Версия протокола IPv4 предусматривает только два способа определения конфигурации протокола: ручная настройка либо использование службы автоматической конфигурации хостов DHCP. В случае большого количества хостов возникает потребность в механизме конфигурации хостов, требующем минимального участия со стороны администратора.

 Недостаточная защищенность. При взаимодействии хостов через открытые сети (какой является, например, Интернет) данные передаются в открытом виде. Существуют различные механизмы защиты сетевого трафика на разных уровнях OSI модели. Специалистами был разработан протокол шифрования данных на сетевом уровне, получивший название протокола IP Security (IPSec). Однако использование этого протокола носит опциональный характер.



  Отсутствие механизмов управления качеством обслуживания (Quality of Service, QoS). Развитие информационных технологий предъявляет жесткие требования к сетевому транспорту (особенно при передаче потоковых данных — таких, например, как голос и изображение). Хотя имеются механизмы, позволяющие управлять качеством обслуживания и в рамках протокола IPv4, существующий формат заголовка IP-пакета имеет ограниченную функциональность.

Указанные ограничения удалось преодолеть в новой версии протокола IP, получившего название IPv6. Для этого протокола сетевого уровня можно выделить характерные особенности, перечисленные ниже.

 Новый формат заголовка IP-пакета. В новой версии протокола IP существенным образом был переработан формат заголовка пакета с целью повышения эффективности его обработки сетевыми устройствами. Следует заметить, что заголовок 1Ру6-пакета не совместим обратно с заголовком IРv4-пакета. Поэтому в случае использования в сети обеих версий протоколов сетевое устройство (такое, например, как маршрутизатор) должно поддерживать обе версии протокола.

 Увеличенное адресное пространство. Протокол IPv4 использует 32-битные адреса. В протоколе IPv6 используются 128-битные IP-адреса (что составляет 2128 возможных адресов). Имеющееся количество IP-адресов достаточно как для построения открытых сетей, так и для реализации корпоративных сетей. Благодаря этому, в частности, отпадает необходимость в механизмах трансляции адресов (NAT).

 Иерархическая инфраструктура адресации и маршрутизации. Схема адресации, используемая в IPv6, позволяет упростить процесс построения таблиц маршрутиазции, используемых маршрутизаторами для определения пути доставки пакета.

 Новый механизм конфигурации хостов. Протокол IPv6 поддерживает как традиционные способы конфигурации хостов (ручной и с использованием DHCP), так и новые способы конфигурации, не требующие участия DHCP-сервера. В последнем случае хост может определить собственную конфигурацию, основываясь на информации о настройках ближайшего маршрутизатора, либо использовать конфигурацию по умолчанию.



  Встроенный механизм обеспечения безопасности. Поддержка протокола IPSec является одним из обязательных условий функционирования протокола IPv6.

 Улучшенная поддержка механизмов управления качеством сервиса. Новый формат заголовка изначально ориентирован на работу механизмов управления качеством обслуживания (QoS).

 Новый протокол взаимодействия с соседними хостами. Протокол обнаружения соседних хостов (Neighbor Discovery Protocol) представляет собой набор ICMP-сообщений, который регламентирует процесс взаимодействия хоста с его соседями. Этот протокол соответственно заменяет протоколы ARP, ICMPv4 Router Protocol и ICMPv4 Redirect.

Применительно к реализации IPv6 в Windows Server 2003 следует заметить, что данная версия протокола поддерживается разнообразными службами TCP/IP. В частности, служба DNS может быть использована для регистрации хостами своих доменных имен и, в последующем, для разрешения этих имен в соответствующие 1Ру6-адреса.

Протокол IP Security

Протокол IP Security (или как его еще называют — IPSec) разработан с целью реализации защищенного обмена данными по протоколу IP. При этом протокол IPSec позволяет администратору решить следующие задачи обеспечения безопасности:

 обеспечение конфиденциальности передаваемых данных;

 контроль доступа;

 обеспечение целостности передаваемых данных;

 защита от повторения;

 подтверждение подлинности данных.

Протокол IPSec функционирует на сетевом уровне модели OSI. Принцип работы протокола сводится к созданию защищенного туннеля между двумя хостами, осуществляющими обмен данными через открытые сети. Поскольку процесс шифрования требует привлечения значительных вычислительных ресурсов, в структуре протокола IPSec выделяют два уровня обеспечения безопасности передаваемых данных.

 Создание защищенного заголовка IP-пакета (Authentication Header, АН). Данный уровень предполагает защиту заголовка передаваемого пакета. В случае использования только этого уровня собственно данные пакета передаются в открытом, незащищенном виде. Тем не менее, данный уровень наиболее оптимален в ситуации, когда конфиденциальность передаваемых данных не является критически важной. Уровень обеспечения безопасности АН позволяет гарантировать целостность данных, подтверждение подлинности их происхождения, а также защиту от повторений.



 Инкапсуляция содержимого пакета (Encapsulated Security Payload, ESP). На этом уровне реализуется защита содержимого пакета путем его шифрования. На уровне обеспечения безопасности ESP гарантируется конфиденциальность передаваемых данных, их целостность, подлинность их происхождения, а также защита от повторения.

В основе работы этого протокола лежит сразу несколько криптографических алгоритмов:

 системы шифрования с симметричным ключом шифрования (алгоритм DES);

 системы шифрования с открытым ключом;

 алгоритм открытого распределения ключей;

 алгоритмы хэширования (MD5).

Рекомендации по настройке стека протоколов TCP/IP

Дадим несколько общих рекомендаций касательно настройки хоста, работающего в сетях на базе стека протоколов TCP/IP. Настройка хоста сводится к определению следующих параметров.

 IP-адрес хоста. Каждый хост в среде TCP/IP должен иметь уникальный IP-адрес. Если хост имеет несколько сетевых соединений, для каждого из них (в том числе и использующих телефонные линии и подключенных к серверу удаленного доступа) должен быть выделен свой IP-адрес. Этот адрес может быть статически назначен администратором или выделен динамически службой DHCP.

 Определение метода разрешения символических имен. Windows Server 2003 поддерживает четыре способа разрешения символических имен в IP-адреса: службу доменных имен (Domain Name System, DNS), службу интернет-имен Windows (Windows Internet Name System, WINS), широковещательное разрешение имен и разрешение имен с помощью файлов HOSTS и LMHOSTS.

Отдельно следует рассмотреть методы разрешения имен в. ситуации, когда клиент подключается к серверу удаленного доступа. В этом случае клиент может использовать для разрешения имен те же серверы имен WINS и DNS, что назначены серверу удаленного доступа. Разумеется, параметры стека протоколов TCP/IP и телефонного подключения хоста могут отменить эти настройки по умолчанию.

В небольших сетях, где IP-адреса изменяются крайне редко или не изменяются вообще, сетевые подключения могут использовать файлы HOSTS или LMHOSTS для разрешения имен. Поскольку эти файлы размещены на локальном диске, не требуется передавать запрос на разрешение имен серверу WINS или серверу DNS и ждать ответ на этот запрос через телефонное подключение. Как следствие, сокращается время, необходимое для подключения к требуемому ресурсу.

Типы сетевых подключений

Типы сетевых подключений, поддерживаемых Windows Server 2003, перечислены в табл. 12.1.

Таблица 12.1. Типы сетевых подключений

Тип подключения	Технология связи	Пример
Подключение к локальной сети (Local area connection)		Ethernet, xDSL, FDDI, IP no ATM, системы беспроводной связи, Е1/Т1 и т. п.		Типичный корпоративный пользователь
Телефонное, или коммутируемое, подключение (Dial-up connection)		Модем, ISDN, X.25		Соединение с корпоративной сетью или Интернетом с использованием модемного подключения
Подключение в рамках виртуальной частной сети (Virtual Private Network connection)		Виртуальные частные сети по протоколам РРТР или L2TP, объединяющие или Подключающие к корпоративным сетям через Интернет или другую сеть общего пользования (public network)		Защищенное соединение удаленных филиалов корпорации через Интернет
Прямое подключение (Direct Connection)		Соединение нуль-модемным кабелем через последовательный порт (СОМ-порт), инфракрасная связь, параллельный кабель (DirectParallel)		Соединение двух ноутбуков через интерфейсы инфракрасной связи
Входящее подключение (Incoming connection)		Коммутируемая связь, VPN или прямое подключение		Подключение к удаленному компьютеру или корпоративному серверу удаленного доступа

Следует заметить, что из всех перечисленных в таблице типов только подключение к локальной сети создается системой автоматически. В процессе загрузки Windows Server 2003 автоматически обнаруживает установленные сетевые адаптеры и для каждого сетевого адаптера создает соответствующее сетевое подключение. В случае если на компьютере установлено более одного сетевого адаптера, администратор может устранить возможный беспорядок в именах подключений, переименовав каждое локальное подключение в соответствии с функциональным назначением или расположением сети, с которой это соединение связывает компьютер.

Требования, предъявляемые к клиентам удаленного доступа

Созданные служебные профили могут использоваться для конфигурирования клиентов удаленного доступа, находящихся под управлением любых операционных систем семейства Windows. На клиенте должен быть установлен браузер Internet Explorer версии не ниже 4.01. Утилита использует для своей работы стек протоколов TCP/IP, а также протоколы туннелирования. В операционных системах Windows 2000/XP и Windows Server 2003 все необходимое программное обеспечение будет установлено автоматически, в процессе развертывания утилиты Connection Manager. Однако для более ранних версий Windows работы по установке необходимого программного обеспечения должны быть проделаны пользователем (или администратором) вручную. Так, для Windows NT-клиентов вручную должен быть установлен протокол туннелирования РРТР. Для операционных систем Windows 9x/NT/ME необходимо также установить специальный клиент Microsoft L2TP/ IPSec VPN Client, который можно скачать с веб-сайта Microsoft (http://www.microsoft.com/windows2000/ server/evaluation/news/bulletins/12tpclie nt.asp). Наконец, для Windows 9x/МЕ-клиентов необходимо установить самую свежую версию утилиты Dial-Up Networking, которую также можно получить с веб-сайта Microsoft.

Управление сетевыми подключениями

Все операции по конфигурированию сетевых средств осуществляются в папке Network Connections (Сетевые подключения) (рис. 12.1). В этой папке создаются все поддерживаемые операционной системой подключения. Папка располагается на панели управления или может быть выведена непосредственно в меню Start (Пуск).

Рис. 12.1. Окно Network Connections

Вне зависимости от того, является ли связь локальной (ЛВС) или удаленной (телефонная линия, ISDN и т. п.), подключения можно настроить так, чтобы они могли полноценно выполнять все требуемые функции. Например, используя сетевое подключение любого типа, пользователь может распечатывать документы на сетевых принтерах, получать доступ к сетевым дискам и файлам, просматривать другие сети или получать доступ к Интернету (разумеется, если в рамках подключения используются соответствующие протоколы).

Примечание

Для обозначения состояния и типа сетевого подключения используются различные значки (icons). В частности, если подключение находится в отключенном состоянии (disabled), ассоциированный с ним значок становится полупрозрачным.

Все службы и методы связи настраиваются непосредственно в окне свойств сетевого подключения. Поэтому для конфигурирования параметров подключения не требуется обращаться к внешним инструментам управления. Например, параметры телефонного подключения при помощи модема включают те, которые нужно использовать до, в течение и после создания подключения: тип модема для связи, используемая при соединении схема аутентификации, а также используемые для передачи данных протоколы.

Для получения информации о состоянии интересующего подключения (продолжительность и эффективность использования) необходимо дважды щелкнуть на соответствующем подключении или в его контекстном меню выбрать пункт Status (Состояние). Информация о состоянии подключения приводится на вкладке General (Общие) открывшегося окна (рис. 12.2). Чтобы перейти к настройке выбранного подключения, достаточно щелкнуть на кнопке Properties (Свойства) (процесс настройки будет рассматриваться позднее в этой главе).

Рис. 12.2. Получение информации о состоянии подключения

Для получения дополнительной информации о подключении необходимо перейти на вкладку Support (Поддержка) (рис. 12.3). На этой вкладке приводится информация о настройке стека протоколов TCP/IP для данного подключения: IP-адрес и способ его назначения, а также маска подсети и шлюз по умолчанию. Нажав кнопку Details (Подробности), можно также получить информацию о физическом адресе (МАС-адресе), используемом подключением, DNS- и WINS-серверах.



Рис. 12.3. Получение вспомогательной информации о соединении

Установка дополнительных сетевых компонентов

В процессе развертывания операционной системы администратор может установить базовый набор сетевых компонентов, предоставляющих возможность создания сетевых подключений. В составе Windows Server 2003 поставляется значительное число дополнительных сетевых компонентов, расширяющих функциональность операционной системы (табл. 12.2). Эти компоненты организованы в три группы:

 Management and Monitoring Tools. В этой группе представлены компоненты, ориентированные на решение задач мониторинга сети и управления ею;

 Networking Services. Данная группа объединяет компоненты, осуществляющие установку основных сетевых служб, реализованных в рамках стека протоколов TCP/IP;

 Other Network File and Print Services. Компоненты этой группы позволяют предоставить возможность доступа к файлам и принтерам пользователям, работающим в других средах (Macintosh и UNIX).

Эти компоненты не устанавливаются автоматически непосредственно в ходе развертывания операционной системы. В случае необходимости администратор должен установить нужные сетевые компоненты вручную.

Таблица 12.2. Сетевые компоненты Windows Server 2003

Компонент	Группа компонентов	Описание компонента
Connection Manager Administration Kit		Management and Monitoring Tools		Компонент позволяет установить на сервере мастер Connection Manager Administration Kit Wizard
Connection Point Services		Management and Monitoring Tools		Данный компонент используется в процессе развертывания диспетчера соединений (Connection Manager) для публикации телефонных книг (phone book)
Network Monitor Tools		Management and Monitoring Tools		Компонент, позволяющий осуществлять анализ сетевого трафика
Simple Network Management Protocol		Management and Monitoring Tools		Компонент, обеспечивающий функционирование на сервере протокола SNMP
WMI SNMP Provider		Management and Monitoring Tools		Компонент, позволяющий приложениям осуществлять доступ к информации SNMP посредством технологии WMI (Windows Management Information)
Domain Name System (DNS)		Networking Services		Компонент устанавливает службу разрешения доменных имен в IP-адреса (DNS)
Dynamic Host Configuration Protocol (DHCP)		Networking Services		Компонент устанавливает службу, осуществляющую динамическое выделение IP-адресов (DHCP)
Internet Authentication Service		Networking Services		Служба аутентификации через Интернет. Включает в себя поддержку протокола аутентификации удаленных пользователей RADIUS
RPC over HTTP Proxy		Networking Services		Компонент, позволяющий осуществлять вызовы RPC/DCOM поверх протокола HTTP, используя службы Internet Information Services (IIS)
Simple TCP/IP Services .'		Networking Services		Устанавливаются дополнительные службы TCP/IP
Windows Internet Name Service (WINS)		Networking Services		Устанавливает службу разрешения NetBIOS-имен в IP-адреса (WINS)
File Services for Macintosh		Other Network File and Print Services		Служба, позволяющая пользователям Macintosh получить доступ к ресурсам на Windows-сервере
Print Services for Macintosh		Other Network File and Print Services		Служба, позволяющая пользователям Macintosh отправлять задания на печать на принтеры, подключенные к Windows-серверу
Print Services for Unix		Other Network File and Print Services		Служба, позволяющая пользователям UNIX отправлять задания на печать на принтеры, подключенные к Windows-серверу

<

Установка мастера Connection Manager Administration Kit Wizard

Для установки мастера следуйте процедурам, описанным выше в разд. "Установка дополнительных сетевых компонентов". После установки администратор может вызвать мастер из меню Administrative Tools (Администрирование).

Входящие подключения

Компьютер, под управлением Windows Server 2003, может выступать в качестве сервера удаленного доступа. В этом случае все подключения клиентов к серверу удаленного доступа рассматриваются как входящие подключения (incoming connections). Более подробно процесс организации и настройки сервера удаленного доступа будет рассматриваться в главе 14, "Коммуникационные службы".

Для настройки нескольких модемов или адаптеров ISDN на работу со входящими телефонными подключениями можно использовать возможности многоканальной связи (multilink).

При создании подключения определяются пользователи, которые могут соединяться с данным входящим подключением, и сетевые протоколы, по которым они могут работать. Для каждого пользователя, работающего по входящему подключению, должна существовать локальная учетная запись.

Клиенты, поддерживаемые сервером удаленного доступа Windows Server 2003, перечислены в табл. 12.4.

Таблица 12.4. Клиенты удаленного доступа, поддерживаемые Windows Server 2003

Клиент		Описание
Windows 2000/Windows XP/Windows Server 2003		Данный тип клиентов предоставляет пользователю максимальную функциональность при работе с сервером удаленного доступа Windows Server 2003. Поддерживаются все функциональные возможности
Windows NT 4.0 (SP 4 и выше)		Клиенты этого типа используют все возможности входящего подключения, кроме динамического распределения многоканального соединения (ВАР) и расширяемого протокола аутентификации (ЕАР)
Windows NT 3.5x		Этот тип клиентов позволяет использовать те же возможности входящего подключения, что и клиенты Windows NT 4.0, кроме возможностей организации многоканального соединения и поддержки MS-CHAP v2
Windows Millennium Edition, Windows 98		Клиенты этого типа используют все возможности входящего подключения, кроме динамического распределения многоканального соединения (ВАР) и расширяемого протокола аутентификации (ЕАР)
Windows 95		Для данных клиентов доступны все возможности входящего подключения, кроме многоканального соединения, динамического распределения многоканального соединения (ВАР), протокола MS-CHAP v2 и расширяемого протокола аутентификации (ЕАР)
Macintosh		Этот тип клиентов может обращаться к файловым томам и принтерам Macintosh и AppleTalk, используя протокол удаленного доступа AppleTalk (ARAP). Поддерживаются клиенты удаленного доступа AppleTalk 1.0, 2.x и 3.x
РРР-клиенты		Клиенты РРР под управлением ОС сторонних производителей, использующие стеки протоколов TCP/IP или AppleTalk, могут устанавливать входящее соединение с сервером удаленного доступа Windows Server 2003. Входящее подключение автоматически аутентифициру-ет клиентов РРР; специальные настройки РРР для таких клиентов не требуются

<
/p> Создание входящего подключения, так же как и другие типы подключений, осуществляется посредством мастера новых подключений. На странице Network Connection Type (Тип сетевого соединения) мастера необходимо выбрать значение Set up an advanced connection (Другие подключения) (см. рис. 12.9). Перейдя к следующему окну, установите переключатель Accept incoming connections (Принимать входящие подключения) (рис. 12.22).



Рис. 12.22. Разрешение входящих подключений

В следующем окне нужно выбрать модем или порт, который будет использоваться входящими подключениями (рис. 12.23). Если ни одно из указанных устройств не отмечено, все входящие подключения будут приниматься по локальной сети.



Рис. 12.23. Назначение устройств, используемых для входящих подключений

Далее необходимо указать, будут ли разрешены входящие VPN-подключения (рис. 12.24). Если администратор планирует обслуживать входящие VPN-подключения, необходимо выбрать опцию Allow virtual private connections (Разрешить виртуальные частные подключения). В противном случае следует выбрать опцию Do not allow virtual private connections (He разрешать виртуальные частные подключения).

В последующих окнах мастера необходимо определить, каким пользователям разрешается устанавливать входящие подключения, а также указать перечень сетевых компонентов, доступных в рамках этого подключения (протоколы, службы и клиенты).

Если при создании входящего сетевого подключения мастер новых подключений используется повторно, то изменяются настройки уже существующего входящего сетевого подключения. Таким образом, если используется мастер, то входящее подключение удаленного доступа (Incoming Connections) всегда одно. Если же нужно создать несколько входящих подключений, то следует использовать мастер Routing and Remote Access Server Setup Wizard (см. главу 14 "Коммуникационные службы").



Рис. 12.24. Разрешение входящих VPN-подключений

Если входящее подключение и служба Microsoft Fax некорректно работают совместно, например звонки не принимаются через модем, разрешенный для приема факсов, может оказаться, что модем не поддерживает адаптивный ответ. Изучите документацию модема, чтобы проверить возможность адаптивного ответа. Возможно, для корректной работы со входящим соединением придется запретить работу с факсом.



После того как входящее подключение создано, администратор может выполнить его настройку. Для этого необходимо открыть окно свойств входящего подключения, выбрав в его контекстном меню пункт Properties (Свойства). Вкладка General (Общие) позволяет администратору определить устройства, которые могут быть задействованы для создания входящих подключений (рис. 12.25). Если выбрано несколько устройств и требуется разрешить многоканальную связь, необходимо установить флажок Enable mulitlink (Многоканальное подключение). Установите флажок Allow others to make private connections to my computer by tunneling through the Internet or other network (Разрешить другим пользователям устанавливать частные подключения к моему компьютеру с помощью туннеля через Интернет или другую сеть) в ситуации, если входящие подключения могут быть реализованы в рамках виртуальной частной сети.



Рис. 12.25. Вкладка General окна свойств входящего подключения

Вкладка Users (Пользователи) позволяет администратору управлять разрешениями на использование входящих подключений (рис. 12.26). Чтобы запретить некоторому пользователю подключение к конфигурируемому компьютеру, необходимо снять флажок напротив его имени. Чтобы изменить имя пользователя, пароль и разрешение ответного вызова сервера, нажмите кнопку Properties (Свойства). В открывшемся окне можно также активизировать режим обратного звонка (callback).

Если входящее подключение осуществляется через прямое подключение, аутентификация как правило не требуется. В этом случае можно установить флажок Always allow directly connected devices such as palmtop computers to connect without providing a password (Всегда разрешать подключение без пароля устройствам с прямым соединением, таким как карманные компьютеры).

Если на вкладке Users (Пользователи) доступ к входящему подключению разрешен, то теоретически не дать пользователю установить входящее подключение могут другие факторы: учетная запись пользователя может быть запрещена или заблокирована, попытка подключения произведена вне дозволенного времени и т. п.



Рис. 12.26. Вкладка Users окна свойств входящего подключения

Вкладка Networking (Сеть) позволяет сконфигурировать сетевые компоненты (клиенты, службы и протоколы), доступные для входящих подключений. Процесс настройки этих компонентов для входящих подключений выполняется во многом так же как и для остальных сетевых подключений. Отличие имеется только в случае настройки стеков протоколов TCP/IP и NWLink.

---

---