Миф №7. На базе Windows NT нельзя строить большие сети: нет средств дистанционного администрирования и службы каталогов

На самом деле оба этих утверждения неверны. Для централизованного управления сетями Microsoft предлагает мощный набор инструментов Systems Management Server (SMS), а служба каталогов появилась в Windows NT еще в 1993 году.

Microsoft Systems Management Server, входящий в семейство продуктов Microsoft BackOffice, представляет из себя клиент-серверный пакет, позволяющий существенно сократить стоимость обслуживания распределенной сети персональных компьютеров за счет автоматизации большого числа рутинных операций.

Например, он способен автоматически собирать и накапливать в БД под управлением SQL Server результаты мониторинга и диагностики аппаратной и программной частей рабочих станций, доставлять на эти станции рабочие файлы по заданной программе (скажем, шаблоны каких-либо документов), запускать на них любые задачи, в том числе производить установку, обновление и удаление приложений. В случае, если на рабочей станции установлена операционная система Windows NT Server или Windows NT Workstation, для которых агент инвентаризации выполнен в виде системной службы, то процесс сбора информации может работать в фоновом режиме, независимо от того, зарегистрировался пользователь в сети или нет.

Такая автоматизация существенно снижает затраты компаний, связанные с простоями оборудования и непроизводительным расходованием времени сотрудников. Скажем, сформировав пакет задания на установку ПО, администратор может запустить его на тысячах рабочих компьютеров, следя за ходом установки с управляющей консоли SMS на своем ПК.

Кроме того, SMS позволяет подключиться к любому компьютеру в сети в режиме "удаленной консоли". За этой формулой скрывается возможность дистанционно работать на данном компьютере: запускать приложения на нем, удалять файлы, перезагружать его и т.д. В распоряжении администратора оказываются все ресурсы этого ПК, включая клавиатуру и мышь.

В новой версии Systems Management Server 2.0 реализована еще одна функция: контроль за использованием программного обеспечения на рабочих станциях, скажем, за соответствием числа запущенных в сети приложений числу купленных лицензий. При превышении одного над другим, SMS блокирует запуск очередной копии приложения, информируя об этом пользователя. Имеются также средства для блокирования запуска определенных приложений (к примеру, игр) какими-либо пользователями или группами.

Помимо SMS в Windows NT Server имеется встроенное средство для эффективного удаленного администрирования - ПО администрирования через браузер (Web Administration). С его помощью управлять сервером NT можно с компьютера, работающего под любой ОС. Web Administration не предназначен для замены существующих средств управления. Наоборот, он позволяет выполнять лишь ограниченный набор административных операций в том случае, когда у администратора нет возможности напрямую использовать обычные инструменты.

В качестве второй причины невозможности создания сетей Windows NT часто называют проблему быстрого роста числа доверительных отношений между доменами с ростом числа узлов. Напомним, что доменом называется совокупность компьютеров, имеющих общую базу учетных записей пользователей и единую политику обеспечения защиты. Эта структура централизованно управляется через службу каталогов Windows NT Directory Service (NTDS), что кстати опровергает досужий домысел о том, что службы каталога в Windows NT нет вовсе. Благодаря доменной структуре пользователи могут однократно зарегистрироваться в сети и иметь после этого доступ ко всем ее серверам и ресурсам, больше не вводя свое имя и пароль.

Чтобы пользователи могли обращаться не только к ресурсам своего домена, но и к ресурсам других доменов, между доменами устанавливаются доверительные отношения. Казалось бы, для N доменов потребуется установить N*(N-1) доверительных отношений. Даже при умеренном N (скажем 10) число таких отношений может быть большим. На этот "недостаток" зачастую напирают некоторые компании, рекламируя свои службы каталогов.

Однако, здесь упускается из виду (сознательно или нет - судите сами), что сеть на базе компьютеров Windows NT Server 4.0 можно строить не только из равноправных доменов, но и в виде иерархической структуры, где домены связаны отношениями "мастер-подчиненный". Мастер-домен хранит основную базу данных учетных записей, а подчиненные домены - ее реплику. Подчиненные домены называют еще ресурсными, т.к. с ними связано управление конкретными ресурсами локальных сетей: принтеров, дисковых массивов, баз данных и т.п. У подчиненных доменов могут быть свои подчиненные и т.д. Локальные пользователи работают со своей репликой каталога NTDS и обращаются к головному серверу только, если локальный сервер не функционирует. За счет этого обеспечивается надежное резервирование и балансировка загрузки распределенной сети. По этому принципу строятся сети больших компаний и организаций, например, корпоративная сеть Ericsson или сеть системы ЦИК Казахстана.

Заметим, что у всех контроллеров (как мастер, так и подчиненных) могут быть дублеры - резервные (backup) контроллеры доменов. Backup-контроллеры, также как и подчиненные контроллеры, хранят реплики учетных записей, но являются дополнением основных контроллеров и начинают обслуживать пользователей только при отказе последних. В противоположность им контроллеры подчиненных доменов являются элементом основной структуры.

Иначе говоря, список учетных записей хранится только на головном домене и тиражируется сверху-вниз. В больших корпорациях домены обычно строятся по территориальному или структурному признаку.

Служба каталогов NTDS может хранить только 40 тыс. учетных записей, что казалось бы ограничивает масштабируемость сети в целом. Однако, это не так. В организациях, где более 40 тыс. пользователей, можно применять смешанную модель сети, в вершине которой стоят несколько связанных взаимными доверительными отношениями равноправных мастер-доменов, к каждому из которых присоединена иерархическая структура подчиненных доменов. Таким образом, сеть может масштабироваться бесконечно.

В следующей версии NT Server - Windows 2000 Server будет предложена более гибкая служба каталогов Active Directory. В одном каталоге можно будет хранить до 10 млн. учетных записей, и необходимость в смешанной модели сети отпадет. Более того, в рамках этого каталога домены можно будет дробить на более мелкие логические части - "организационные единицы", каждая из которых представляет собой контейнер для хранения учетных записей пользователей и сетевых ресурсов (компьютеров, принтеров, сетевые тома, и т.д.). Эти контейнеры, могут соответствовать, например, структуре подразделений в рамках одной компании. Пользователям можно присваивать права доступа ко всем ресурсам определенной организационной единицы или к какому-либо конкретному ресурсу.

В Active Directory встроен новый принцип тиражирования изменений, допускающий наличие множественных мастер-записей (мультимастер-тиражирование), т.е. основной, резервный, и подчиненный контроллеры будут равноправны с точки зрения внесения изменений в базу учетных записей компании. В Windows Server 4.0 в резервный контроллер домена нельзя было вносить исправления - он лишь отражал БД учетных записей основного контроллера.

В качестве протокола клиентского доступа к Active Directory используется протокол LDAP версий 2 и 3, что обеспечивает межсистемное взаимодействие с целым рядом операционных систем. Кроме того, при помощи интерфейса ADSI (Active Directory Services Interface) любые приложения смогут хранить в каталоге информацию о своей конфигурации.

В начало страницы

Содержание