Серверная операционная система

 

 

 

Бета-версия 3 системы Windows 2000 Server

 

Руководство по системе Microsoft Windows 2000 Server — бета-версия 3

 

 



Резюме

В настоящем руководстве содержится обзорная информация о бета-версии 3 системы Microsoft® Windows® 2000 Server — ознакомительной версии следующего выпуска операционной системы Windows NT® Server, в которой пользователям будут предложены существенные усовершенствования в области управляемости, обеспечения надежности, масштабируемости, служб приложений, распределенных служб и сетевых возможностей.

Самые последние сведения об операционной системе Microsoft Windows 2000 Server можно найти на веб-узле по адресу http://www.microsoft.com/windows/server/

 

 

 

 

 

 

© Корпорация Майкрософт (Microsoft Corporation), 1999. Все права защищены.

Информация, содержащаяся в настоящем документе, представляет текущую точку зрения корпорации Майкрософт по обсуждаемым вопросам на момент публикации. В условиях меняющейся рыночной конъюнктуры, требующей соответствующей корректировки ведущихся разработок, данную информацию не следует рассматривать в качестве какого бы то ни было обязательства со стороны Майкрософт; корпорация не может гарантировать точность информации, представленной после даты публикации.

Данный документ имеет чисто информативный характер. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, НИ ЯВНО ВЫРАЖЕННЫХ, НИ ПОДРАЗУМЕВАЕМЫХ В СВЯЗИ С ДАННЫМ ДОКУМЕНТОМ.

 

Microsoft, Active Directory, ActiveX, BackOffice, эмблема BackOffice, Frontpage, IntelliMirror, JScript, NetMeeting, Outlook, Powerpoint, Visual C++, Visual J++, Visual Studio, Win32, Windows, эмблема Windows и Windows NT являются охраняемыми товарными знаками корпорации Майкрософт в США и других странах.

Названия других продуктов или предприятий, указанные здесь, могут быть товарными знаками соответствующих владельцев.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA


содержание


РАЗдел 1 — Цели и новшества бета-версии 3

Введение                                                                                          2

Операционная система Windows 2000 Server                                          2

Требования пользователей                                                                    2

Повышение общей надежности и масштабируемости системы          3

Комплексная поддержка служб Интернета и приложений                  3

Мощное сквозное управление, уменьшающее совокупную
стоимость владения
                                                                          
3

Возможности поэтапного развертывания системы                             4

Сценарии использования операционной системы
Windows 2000 Server
                                                                             
4

Операционные системы Windows 2000 Advanced Server
и DataCenter Server
                                                                            
6

Совместное развертывание операционных систем
Windows 2000 Server и Windows 2000 Professional
                            
7

Ознакомление с операционной системой Windows 2000 Server          7

новые возможности бета-версии 3 системы Windows 2000 Server      8

раздел 2 — установка

как установить систему Windows 2000 Server           23

Памятка                                                                                                23

Что нужно почитать                                                                          23

Минимальные требования к оборудованию                                     23

Совместимость системы Windows 2000                                            24

Сведения о работе в сети                                                                25

Варианты установки                                                                         26

Варианты расширенной установки                                                   26

Практические советы                                                                        26

Использование мастера установки Windows 2000                                27

Настройка компонентов системы Windows 2000 Server                        28

Установка контроллера домена                                                       28

Обновление до уровня системы Windows 2000 Server                          29

РАЗДЕЛ 3 — РЕШЕНИЕ ПРОБЛЕМ И удовлетворение потребностей ПОЛЬЗОВАТЕЛЕЙ

УПРАВЛЯЕМОСТЬ                                                                           32

Тенденции и проблемы                                                                         32

Потребности                                                                                        33

Решения в области средств управления сервера
Windows 2000 Server
                                                                            
35

Инфраструктура управления Windows 2000 Server                           35

Службы презентаций                                                                        36

Инструментальные службы                                                              37

Службы сценариев                                                                           39

Службы каталогов                                                                            40

Службы безопасности                                                                      41

Служба групповой политики                                                             43

Службы терминалов                                                                         49

Средства управления для изменения и настройки                            52

Средства управления безопасностью                                              57

Средства мониторинга                                                                     58

Дополнительные средства управления                                            62

НАДЕЖНОСТЬ                                                                                 63

Тенденции и проблемы                                                                         63

Требования                                                                                          64

Решения в области надежности для Windows 2000 Server                    65

Основные службы операционной системы                                       65

Отказоустойчивость                                                                         66

Восстановление после аварии                                                         66

Восстановление и обновление системы                                           67

Надежное хранение                                                                          68

Создание надежных распределенных приложений                           69

Устранение простоев и ненужных перезагрузок                               71

Практические советы                                                                        74

ДОсТУПНОСТЬ                                                                                76

Тенденции и проблемы                                                                         76

Требования                                                                                          76

Решения, обеспечивающие высокую доступность Windows 2000         78

Более простая установка и настройка                                             79

Гибкое управление                                                                           80

Высокая доступность                                                                       80

Расширения интерфейса API                                                            81

Совместимость с оборудованием                                                    81

обеспечение взаимодействия                                           82

Тенденции и проблемы                                                                         82

Требования                                                                                          83

Решения в области обеспечения взаимодействия
для Windows 2000 Server
                                                                     
84

Взаимодействие сетей                                                                      85

Взаимодействие данных                                                                   87

Взаимодействие приложений и транзакции данных                          89

Взаимодействие при управлении                                                      92

МАСШТАБИРУЕМОСТЬ                                                                  97

Тенденции и проблемы                                                                         97

Требования                                                                                          97

Решения по масштабируемости Windows 2000 Server                          98

Расширение                                                                                      98

Распределение                                                                               102

Сужение                                                                                          105

БЕЗОПАСНОСТЬ                                                                           106

Тенденции и проблемы                                                                       106

Требования                                                                                         106

Распределенные службы безопасности Windows 2000 Server            108

Защита данных                                                                               108

Безопасный обмен данными между компаниями                             110

Безопасная единая регистрация в сети предприятия
и в Интернете
                                                                                
111

Простое управление безопасностью                                              113

Масштабируемая безопасность                                                      114

раздел 4 — Сценарии использования операционной системы Windows 2000 Server

серверы инфраструктуры                                                    119

Тенденции и проблемы использования служб каталогов                    119

Требования                                                                                         119

Служба каталогов системы Windows 2000 Server                               121

Поддержка стандартов                                                                   121

Служба каталогов, соответствующая потребностям предприятия 122

Управление пользователями и ресурсами                                      125

Защита существующих вложений                                                   127

Приложения, работающие на базе каталога                                   128

Взаимодействие каталогов                                                             129

Сеть, работающая на базе каталога                                               130

фйловые серверы, серверы печати
и веб-серверы
                                                                           
136

Тенденции и проблемы совместного доступа к данным                      136

Требования                                                                                         136

Службы файлов системы Windows 2000 Server                                  138

Управление службой файлов                                                         138

Файловая система Windows 2000 Server (версия NTFS)                  138

Распределенная файловая система Windows 2000 Server                  140

Безопасность                                                                                 141

Реплики                                                                                          142

Использование системы DFS                                                         142

Доступ к ресурсам                                                                         143

Отказоустойчивость                                                                       143

Службы печати системы Windows 2000 Server                                    144

Интегрированные службы публикации в Вебе системы
Windows 2000 Server
                                                                          
145

Простота публикации и организации общего доступа к данным     145

Размешение нескольких узлов на одном сервере                          147

Интеграция стандартных протоколов безопасности                       149

Службы мультимедиа Windows                                                          150

Службы индексирования содержимого и поиска системы
Windows 2000 Server
                                                                          
151

Службы индексирования                                                                152

Тенденции и проблемы управления хранением информации              153

Требования                                                                                         154

Службы управления хранилищами системы Windows 2000 Server      155

Более простое управление хранилищами                                      155

Снижение стоимости хранилищ                                                      156

«Расшивка» узких мест хранилищ                                                  158

сетевые службы и серверы связи                                  159

Тенденции и проблемы                                                                       159

Требования                                                                                         159

Сетевые службы и службы связи системы Windows 2000 Server         160

Настройка и управление сетями различного масштаба                  160

Подключение удаленных пользователей к корпоративным сетям  163

Подключение филиалов и подсетей к корпоративным сетям         167

Подключение к Интернету и сетям партнеров                                169

Улучшения быстродействия сети                                                    174

серверы приложений                                                            176

Тенденции и проблемы                                                                       176

Требования                                                                                         177

Службы приложений системы Windows 2000 Server                            178

Устойчивые и масштабируемые службы инфраструктуры              178

Службы распределенных приложений системы
Windows 2000 Server
                                                                      
180

Веб-приложения на основе модели COM                                       183

Надежная интеграция приложений с очередями сообщений           185

Поддержка широкого диапазона клиентских систем — от «интеллектуалных» до «тонких»            186

Высокопродуктивная среда разработки                                         187

Раздел 5 — Операционная система Windows 2000 Server. таблицы возможностей

возможности серверов инфраструктуры                   190

Возможности файлового сервера
и сервера печати
                                                                    
197

Возможности файлового сервера                                                      197

Возможности сервера печати                                                             197

Возможности веб-публикаций                                                             198

Возможности служб мультимедиа Windows                                       200

Возможности файловой системы и хранения данных                         201

Возможности Сетевых служб
и серверов связи
                                                                    
203

возможности сервера приложений                              210

раздел 6 — интеграция с продуктами корпорации Майкрософт и независимых производителей программного обеспечения

ИНТЕГРАЦИЯ с другими продуктами
корпорации Майкрософт
                                                   
216

Microsoft BackOffice                                                                           216

Основные элементы и особенности интеграции                              216

Microsoft Office 2000                                                                          224

Преимущества использования пакета Office 2000 с системой Windows 2000 Server            226

раздел 7 — приложение. официальные учебные курсы Microsoft (Microsoft Official Curriculum) по системе Windows 2000 И СПИСОК ИНФОРМАЦИОННЫХ ДОКУМЕНТОВ ПО СИСТЕМЕ WINDOWS 2000

официальные учебные курсы MICROSOFT (MICROSOFT OFFICIAL CURRICULUM) ПО СИСТЕМЕ Windows 2000                                                                             230

Введение                                                                                            230

График обучения для специалистов, незнакомых
с бета-версией 3 системы Microsoft Windows 2000
                        
231

Описание обновленных официальных курсов обучения                 232

Официальные курсы обучения для специалистов, имеющих
опыт эксплуатации системы Windows NT
                                       
234

Описание новых официальных курсов обучения Microsoft             236

Дополнительные сведения об официальных курсах
обучения Microsoft по системе Windows 2000
                               
237

Список информационных документов
по системе Windows 2000
                                                   
239


РАЗдел 1

 

Цели и новшества бета-версии 3

Введение


Операционная система Windows 2000 Server

Семейство продуктов Microsoft® Windows® 2000 Server является следующим поколением продуктов для операционной системы Windows NT® Server. Данная версия основывается на достоинствах и эффективности операционной системы Windows NT Server версии 4.0 и является пятой основной версией этой операционной системы после ее первого появления в 1993 г.

 

Корпорация Майкрософт распространяет несколько вариантов операционной системы Windows 2000 Server. В их число входят система Windows 2000 Server для серверов рабочих групп и подразделений, система Windows 2000 Advanced Server для приложений и более мощных серверов подразделений и система Windows 2000 DataCenter Server, предназначенная для наиболее важных серверных систем организаций.

 

Все это семейство операционных систем предназначено для обеспечения наилучшего сочетания сетевых возможностей, возможностей работы с приложениями, средствами связи и веб-службами с повышенной надежностью, масштабируемостью и управляемостью сетевой среды. Сочетание этих возможностей существенно снижает затраты на информационные технологии и обеспечивает условия для создания и эффективного использования нового поколения программного обеспечения для бизнеса, помогающее организациям реализовать свои конкурентные преимущества.

 

Настоящий документ является справочным руководством, содержащим обзор тех преимуществ, которые пользователи смогут получить от системы Windows 2000 Server в различных сценариях ее использования, а также обзор новых возможностей и технологических усовершенствований, имеющихся в данном продукте.

 

Опрос пользователей

«Два важнейших критерия выбора сетевой операционной системы.

 

Обычно фирмы заявляют (без под­сказ­ки), что двумя важнейшими крите­риями выбора сетевой операционной системы являются:

·          доступность и надежность;

·          управляемость и администрирование.»

 

Опрос по отслеживанию опера­ци­онных систем корпорации Майкрософт, октябрь 1998 г., выполненный компанией SOFRES Intersearch

 

 
Требования пользователей

Корпорация Майкрософт тесно сотрудничает с пользователями своего программного обеспечения в области разработки и поставки продуктов, удовлетворяющих их требованиям. При разработке системы Windows 2000 Server был учтен опыт и пожелания, содержащиеся в откликах пользователей системы Windows NT Server 4.0, полученных более чем за последние два года, причем особое внимание уделялось решению таких ключевых проблем, как:

·         повышение общей надежности и масштабируемости системы;

·         комплексная поддержка служб Интернета и приложений;

·         мощное сквозное управление, уменьшающее совокупную стоимость владения.

Повышение общей надежности и масштабируемости системы

Операционная система Windows 2000 Server обеспечивает более высокие показатели быстродействия и общего доступного времени работы системы в сравнении с операционной системой Windows NT Server 4.0. В дополнение к усовершенствованию ядра операционной системы, что, само по себе, делает ее более надежной и масштабируемой, версии Advanced Server и DataCenter Server системы Windows 2000 содержат системные службы кластеров и балансировки нагрузки, предлагающие еще более высокие уровни доступности приложений и данных, а также возможность поддержки большего числа групп пользователей либо на отдельных серверах, обладающих SMP-архитектурой (Symmetric Multiprocessing — симметричная многопроцессорная обработка), либо на распределенных кластерных серверах. Семейство операционных систем Windows 2000 Server предлагает лучшее соотношение цены и быстродействия, а развертывание и поддержка этих операционных систем существенно дешевле, чем сравнимых по цене систем на базе мини-ЭВМ и больших ЭВМ.

 

Комплексная поддержка служб Интернета и приложений

Система Windows 2000 Server обеспечивает наилучшую исходную платформу для организации сети, создания и развертывания больших распределенных приложений, поддержки средств связи и веб-служб. Это делает данную систему наилучшей платформой для самых больших и наиболее важных приложений, включая хранение данных, оперативную обработку транзакций, передачу сообщений и электронную торговлю. Система Windows 2000 обеспечивает согласованную среду разработки между клиентом и сервером, позволяя пользователям легко создавать приложения для одного уровня, а затем гибко развертывать их на нескольких уровнях. Кроме того, система Windows 2000 Server предлагает интегрированные службы терминалов, распространяющие возможности системы Windows 2000 на устаревшие настольные компьютеры и выделенные терминалы.

 

Мощное сквозное управление, уменьшающее совокупную стоимость владения

Система Windows 2000 Server помогает администраторам с большей легкостью управлять сетями и обеспечивать их защиту из одного центрального пункта сети, что способствует значительному снижению совокупной стоимости владения. Эта система предлагает новые и усовершенствованные службы, включая службу каталогов Active Directory, распределенные службы защиты данных для всего предприятия и набор технологий IntelliMirror, обеспечивающий основу для упрощенного управления серверами, сетями и рабочими станциями, работающими под управлением Windows. Система Windows 2000 Server снижает стоимость владения, облегчая управление с помощью усовершенствованных средств управления, централизованного управления, основанного на использовании политик, и гибких возможностей администрирования, включая возможность настройки, обеспечения безопасности и гарантированного предоставления служб по всей сети.

Возможности поэтапного развертывания системы

В настоящее время организации сталкиваются с существенными проблемами при подготовке инфраструктуры к наступлению 2000 года и снижению совокупной стоимости владения. Одновременно организации рассчитывают, что серверные операционные системы помогут решить долгосрочные важные деловые потребности и отказаться от использования старых серверов. Система Windows 2000 Server позволяет организациям получить более высокие преимущества для бизнеса как в краткосрочном, так и в долгосрочном плане, облегчая модернизацию индивидуальных серверов с учетом имеющихся потребностей.

 

Архитектура системы Windows 2000 Server рассчитана на модульное развертывание, что позволит пользователям осваивать преимущества этой новой технологии в подходящем для них темпе. Устанавливают ли пользователи новый сервер, модернизируют ли существующий сервер или производят переход с конкурирующей платформы, система Windows 2000 Server будет являться лучшим выбором для ряда сценариев:

·         файловые серверы;

·         серверы печати;

·         веб-серверы;

·         серверы приложений;

·         сетевые службы и серверы связи;

·         серверы инфраструктуры.

 

Сценарии использования операционной системы Windows 2000 Server

При использовании в описанных ниже сценариях система Windows 2000 Server обеспечивает расширенные функциональные возможности.

 

Файловые серверы

·         Служба каталогов Active Directoryä облегчает поиск общих ресурсов.

·         Индексированную файловую систему можно настроить на автоматическое индексирование содержания общих ресурсов, что облегчает пользователям выполнение поиска документа на основе его содержания.

·         Распределенная файловая система облегчает развертывание высоконадежных файловых серверов, которые охватывают несколько файловых систем.

·         Средство управления динамическими томами управляет хранением данных на сервере, не допуская простоев.

·         Средство управления иерархическими хранилищами автоматически сохраняет менее используемые файлы на менее дорогом носителе.

·         Дисковые квоты позволяют управлять дисковыми хранилищами.

 

Серверы печати

·         При помощи службы каталогов Active Directory может осуществляться запрос принтеров по местонахождению, а также предоставляться ряд других возможностей.

·         Поддержка широкого ряда принтеров и протоколов обеспечивает большие возможности выбора.

·         Улучшенные интерфейс пользователя (UI) и администрирование снижают совокупную стоимость владения.

·         Поддержка протокола Internet Printing Protocol позволяет пользователям производить печать при помощи общих ресурсов печати через Интернет.

 

Веб-серверы

·         Регулировка центрального процессора позволяет организациям распределять его ресурсы между узлами.

·         Стандарт WebDAV (Distributed authoring and versioning — распределенное авторское создание версий) позволяет пользователям легко публиковать информацию, управлять и обмениваться ей через Веб.

·         Дополнительные мастера облегчают администраторам выполнение настройки и управление проверкой безопасности, а также облегчают управление безопасностью на базе протокола SSL.

 

Серверы приложений

·         Улучшенное быстродействие путем адресации до 64 ГБ памяти[1] и оптимизации для SMP-масштабирования.

·         Более высокая доступность, обеспечиваемая кластеризацией[2] и автоматическим перезапуском служб, в работе которых случился сбой.

·         Интегрированные, комплексные службы приложений включают компоненты, составление сценариев, службы транзакций и очередей для разработки более масштабируемых и надежных приложений за меньшее время.

·         Расширенные службы Интернета облегчают создание приложений, охватывающих Веб.

 

Сетевые службы и серверы связи

·         Использование шифрования и проверки подлинности обеспечивает больше возможностей для защиты сетевого трафика.

·         Новый интерфейс пользователя и диспетчер подключений обеспечивают более легкий удаленный доступ для конечных пользователей.

·         Улучшенные характеристики TCP/IP повышают быстродействие и пропускную способность сети.

·         Динамическая служба DNS обеспечивает более легкое управление сетью.

·         Имеющийся в Windows компонент качества службы и многоадресной пересылки позволяет управлять пропускной способностью сети и обеспечивает сквозную и быструю доставку информации.

·         Инфраструктура мультимедиа позволяет объединять сети, передающие звуковую, видео и цифровую информацию.

Серверы инфраструктуры

·         Служба каталогов Active Directory позволяет осуществлять глобальное управление и интеграцию с бизнес-приложениями.

·         Распределенные службы безопасности обеспечивают более высокий уровень безопасности в сети предприятия, Интернете и экстрасети.

·         Службы управления Windows обеспечивают основу решений по управлению при помощи использования централизованной консоли управления, усовершенствованных инструментальных средств и создания сценариев.

·         Технологии управления IntelliMirrorä обеспечивают централизованное управление данными пользователей, приложениями, настройками рабочих мест и установкой операционной системы.

 

Операционные системы Windows 2000 Advanced Server и DataCenter Server

Системы Windows 2000 Server Advanced Server and DataCenter Server содержат все компоненты и функциональные возможности стандартной версии системы Windows 2000 Server (перечисленные выше), плюс компоненты, предназначенные для более крупных, выполняющих более ответственные функции серверов.

 

Более высокая доступность и большая масштабируемость

В состав системы Windows 2000 Advanced Server включены перечисленные ниже дополнительные компоненты.

·         Службы кластеров обеспечивают поддержку двухузловых, высокодоступных кластеров на стандартных аппаратных персональных компьютеров, используемых в качестве серверов.

·         Поддержка большего физического объема памяти обеспечивает вплоть до 16-кратного увеличения объема памяти, доступного для приложений, что улучшает быстродействие.

·         Лицензия на четырехпроцессорный SMP-сервер обеспечивает возможность запуска системы Windows 2000 Advanced Server на машинах, имеющих до четырех центральных процессоров.

 

В состав системы Windows 2000 DataCenter Server включены все компоненты системы Windows 2000 Advanced Server, а также перечисленные ниже дополнительные компоненты.

·         Лицензия на шестнадцатипроцессорный SMP-сервер обеспечивает возможность запуска системы Windows 2000 DataCenter Server на машинах, имеющих до шестнадцати центральных процессоров.

·         Дополнительная оптимизация OLTP (Online Transaction Processing — сетевая обработка транзакций), хранения данных, технических вычислений и моделирования.

 

Взятые вместе, эти компоненты делают системы Windows 2000 Advanced Server и Windows 2000 DataCenter Server наиболее надежными, масштабируемыми и управляемыми версиями операционной системы Windows 2000 Server.

Совместное развертывание операционных систем Windows 2000 Server и Windows 2000 Professional

В случае сочетания систем Windows 2000 Professional и Windows 2000 Server, новые возможности управления, имеющиеся в системе Windows 2000 Server, предназначены для уменьшения сложностей и стоимости администрирования. Ниже перечисляются новые функциональные возможности управления.

 

Службы управления Windows

·         Служба общего местоположения и политики (Active Directory).

·         Унифицированный доступ к инструментарию (CIM).

·         Развитая поддержка сценариев (WSH).

·         Общий пользовательский интерфейс консоли управления (MMC).

 

Изменение и настройка управления

·         Управление автономным компьютером.

·         Технология IntelliMirror: централизованное управление данными и настройками пользователя и установкой приложений, а также удаленная установка операционной системы.

 

Ознакомление с операционной системой Windows 2000 Server

Назначением бета-версии 3 системы Windows 2000 Server является передача законченного по своему составу и возможностям продукта бета-тестерам и пользователям для того, чтобы они могли начать лабораторные испытания и опытное развертывание системы Windows 2000 Server, о результатах которых будет сообщаться группам разработки и тестирования корпорация Майкрософт. Работа над настоящим продуктом еще не закончена, поэтому некоторые области будут подвергаться дальнейшей доработке, отладке и тестированию. К примеру, в бета-версии 3 еще не закончена настройка и тестирование быстродействия системы.

 

Цель настоящего руководства состоит в том, чтобы помочь пользователям ознакомиться с новыми функциональными возможностями, включенными в систему Windows 2000 Server. В нижеследующих разделах приводится подробное описание новых компонентов данного продукта, их преимуществ, а также реализуемых с их помощью возможностей. На веб-узле, расположенном по адресу: http://www.microsoft.com/windows/server/Deploy/default.asp, имеется комплект технических документов, которые также могут быть полезными при ознакомлении с системой Windows 2000 Server.

Корпорация Майкрософт рекомендует использовать эти документы в качестве пособий по установке и использованию некоторых из этих существенных новых возможностей и компонентов.

 

Пользователи смогут ознакомиться с бета-версией 3 системы Windows 2000, приняв участие в программе Windows 2000 Corporate Preview Program  (CPP — корпоративного предварительного ознакомления с системой Windows 2000) и заказав комплект компакт-дисков по адресу http://www.microsoft.com/windows/preview/order.asp.

новые возможности бета-версии 3 системы Windows 2000 Server


 

 

 

 

Новая возможность

Описание

 

Установка

 

 

Настройка сервера

Вводится впервые

Теперь систему Windows 2000 Server можно автоматически настраивать в соответствии с рядом сценариев использования – сервер Active Directory; сетевой сервер; файловый сервер; сервер печати; веб-сервер и сервер кластеров. Программа установки устанавливает для каждого сценария только соответствующие службы, например, сценарий сервера Active Directory настраивает данный сервер в качестве контроллера доменов и устанавливает службы AD и DNS.

 

Установка служб DNS и AD

Вводится впервые

Если служба имен доменов DNS еще не установлена в сети и пользователь решает установить DNS, она будет установлена и настроена автоматически.

 

Автоматическая установка

Автоматическая установка является средством, с помощью которого производители вычислительной техники, администраторы в корпорациях, компании, занимающиеся доработкой компьютеров или программного обеспечения, выпускаемого основными производителями и другие пользователи могут устанавливать систему Windows 2000 Server и дополнительные компоненты, например службы Windows Media, службы кластеров, службу Active Directory и т. д., без какого-либо вмешательства пользователя в работу программы. Это позволяет быстрее выполнять нестандартные установки операционной системы.

 

Консоль команд восстановления

Вводится впервые

Служебная программа Repair Command Console (консоль команд восстановления) позволяет полномочному пользователю, используя загрузочные дискеты системы Windows 2000 Server, производить чтение и запись томов файловой системы NTFS и, следовательно, копировать файлы, запускать и останавливать службы и восстанавливать систему. Она также позволяет восстанавливать основную загрузочную запись и загрузочный сектор и производить форматирование и создание разделов томов.

В предыдущей бета-версии 2 отсутствовал санкционированный корпорацией Майкрософт способ обращения к тому NTFS, если не была запущена система Windows 2000 Server. Однако в некоторых случаях это было невозможно проделать, если был поврежден или отсутствовал важный системный файл. В подобном случае единственным решением было либо выполнение параллельной установки системы Windows 2000 Server, либо запуск процесса восстановления, причем и то, и другое требовало много времени. Поэтому администраторы часто устанавливали систему Windows 2000 на диск с файловой системой FAT, поскольку в этом случае они всегда могли обратиться к тому, используя дискету DOS.

 

Загрузка в безопасном режиме

Теперь система Windows 2000 поддерживает экран вариантов безопасного режима, вызов которого производится из загрузчика программы начальной загрузки нажатием клавиши F8. Безопасный режим позволяет справиться с невозможностью загрузки операционной системы, возникшей в результате, установки «плохого» драйвера независимого производителя или приложения, использующего драйверы уровня ядра (в особенности, фильтры файловой системы).

 

Присоединение пакета обновления

Вводится впервые

Теперь администраторы системы Windows 2000 Server могут легко присоединять средства пакета обновления к базовой операционной системе. Это означает, что пользователям не требуется переустанавливать пакет обновления после установки новых компонентов. С помощью пакетов обновления производится обновление (исправление ошибок и, редко, добавление компонентов) базовой операционной системы. В системе Windows NT Server 4.0 это создавало проблему для пользователей и обслуживающего персонала, поскольку иногда после изменения состояния системы (например после установки служб удаленного доступа) требовалось повторно применять пакет обновления.

В системе Windows 2000 Server администраторы могут применить пакет обновления к общим ресурсам установки, поэтому когда выполняется программа установки в текстовом режиме, из пакета обновления используются надлежащие разделы реестра и файлы (т. е. обновленные файлы и INF-файлы), а когда выполняется программа установки в режиме графического интерфейса пользователя, вызываются соответствующие библиотеки DLL пакета обновления, выполняющие все дополнительные операции. В результате, когда пользователю требуется установить новый компонент (например службы удаленного доступа), используются правильные версии файлов и записи реестра (из пакета обновления или базовой операционной системы). Это означает, что пакеты обновления никогда не требуется применять повторно.

 

Поддержка динамического диска

Вводится впервые

Позволяет производить обновления и новые установки на тома динамического диска (т. е. тома, не требующие перезагрузки для того, чтобы изменения настройки вступили в силу). Это значит, что пользователи могут устанавливать операционную систему на томах большего размера. Том динамического диска – это любой диск, разбитый на разделы с помощью диспетчера логических дисков (содержащий системный раздел величиной 4 МБ в конце физического диска) ; это позволяет расширять такой том и настраивать его для достижения повышенной отказоустойчивости.


 

сценарий – серверы инфраструктуры

 

Службы каталогов

 

 

Active Directory

Улучшено

Служба Active Directory – это служба каталогов масштаба предприятия, являющаяся в высшей степени масштабируемой, построенной с использованием технологий, соответствующих стандартам Интернета, и полностью интегрированной на уровне операционной системы. Служба Active Directory не только предоставляет комплексную службу каталогов для приложений Windows, но и является объединенным центром, из которого выполняется выделение, миграция, управление и уменьшение числа каталогов, имеющихся у компаний.

Служба Active Directory обеспечивает единый центр администрирования для всех опубликованных ресурсов, в число которых могут входить файлы, периферийные устройства, подключения к узлам, базы данных, доступ в Веб, пользователи, а также иные произвольные объекты, службы и т. д. Она использует DNS в качестве своей службы поиска, организует объекты в доменах в иерархические подразделения и позволяет связывать несколько доменов в древовидную структуру.

В бета-версии 3 упрощены или расширены указанные ниже задачи управления пользователями и ресурсами.

·          Обновление доменов. Теперь можно использовать универсальные группы для перемещения учетных записей перед свертыванием домена.

·          Операции отсечения и сращивания. Теперь можно использовать служебную программу, запускаемую из командной строки, MOVETREE для перемещения поддерева объектов (подразделений, оконечных листовых объектов) из одного домена дерева или леса в другой домен. Затем объекты на компьютерах снова объединяются в новый домен с использованием средства NETDOM.

·          Создание учетных записей компьютера. Теперь учетные записи создаются внутри контейнера компьютеров, и центральные администраторы не должны их создавать. Перед тем как заново установленная система будет готова выполнить первый вход пользователя в сеть, вызывается новый мастер действий после установки. Этот мастер проведет пользователя, производящего установку, через ряд простых шагов, позволяющих присоединить компьютер к домену. По соображениям безопасности такой домен по умолчанию позволяет администраторам доменов создавать только объекты-компьютеры.

·          Создание домена. Теперь создавать новый домен может администратор подразделения (а не центральный администратор). Администратор, являющийся членом группы администраторов предприятия, может добавлять к контейнеру настройки новое имя домена (т. е. объект-перекрестную ссылку), используя служебную программу, запускаемую из командной строки, NTDSUTIL. Затем администраторы подразделений, не входящие в группу администраторов предприятия, могут создавать контроллер домена (поскольку имя существует), однако не могут создавать новое имя для этого домена (т. к. у них нет соответствующих прав).

·          Настройка репликации. Объявляя транспорт «транзитивным», администраторы избегают необходимости производить настройку мостов связей сайтов (т. е. каждая связь сайтов автоматически добавляется к единственному мосту связей сайтов).

·          Настройка связей сайтов. Если для оптимизации топологии репликации используется атрибут «цена», то теперь можно использовать дополнительный атрибут связи сайтов, определяющий желаемый промежуток времени между репликациями по этой связи (если используется несколько связей, применяется максимальная величина).

·          Ограничения обновления схемы. Теперь схему службы Active Directory можно обновлять динамически, т. е. приложение может расширять схему новыми атрибутами и классами и немедленно использовать их. Были реализованы обновления схемы для того, чтобы сделать менее вероятной ситуацию, когда обновления одного приложения приводят к возникновению проблем для другого приложения, например, набор атрибутов «must-contain» класса не может быть изменен после проведения определения класса.

·          Комплексная поддержка NTBACKUP. Архивирование интегрировано с ядром распределенных служб системы Windows 2000 Server, службами Active Directory, репликации файлов и сервером сертификации. Это означает, что при запуске программы NTBACKUP на контроллере домена эта программа будет архивировать указанные службы без какого-либо дополнительного вмешательства пользователя.

·          Принудительное восстановление. Позволяет избежать потенциальных несоответствий между контроллерами доменов, а также снижает генерацию излишнего сетевого трафика. Контроллеры доменов или реплики контроллеров доменов приводятся в соответствие с последней по отношению друг к другу версией при помощи репликации. Когда выполняется принудительное восстановление, реплицированные данные с восстановленного контроллера домена имеют преимущество перед другими контроллерами домена, в то время как при непринудительном восстановлении восстановленный контроллер домена вводится в сеть и приводится в соответствие с данными его партнеров по репликации.

·          Внешние перекрестные ссылки. Позволяют LDAP-клиентам выполнять операции в определенных участках глобального пространства имен LDAP (обычно, это LDAP-сервер в Интернете).

Служба Active Directory упрощает администрирование и облегчает выполнение пользователями поиска ресурсов по всей сети предприятия. Кроме того, в бета-версии 3 улучшен клиентский доступ к этой службе каталогов.

·          Выполнение поиска людей теперь автоматически настроено на использование службы глобального каталога дерева или леса данного пользователя.

·          Поддержка кодировки Юникод.

·          Более гибкое сопоставление, использующее атрибуты разрешения неоднозначного имени (ANR), что позволяет администраторам указывать, с какими атрибутами производится сопоставление.

 

 

Синхронизация каталогов и средства импорта-экспорта

Улучшено

Подключатель Active Directory Connector (ADC). Это средство позволяет администраторам реплицировать иерархию объектов каталога между каталогом Microsoft Exchange Server 5.5 и службой Active Directory.

В бета-версии 3 используется усовершенствованное средство ADC.

·          Более гибкие правила сопоставления объектов. Это уменьшает число конфликтов и позволяет пользователям гибче управлять пополнением Active Directory информацией из Exchange.

·          Возможность выбора типа создаваемого объекта. Теперь администраторы могут, к примеру, создавать вместо почтовых ящиков новые объекты-пользователи.

·          Улучшенное отображение прав Exchange. Теперь перед распространением этих прав в Exchange можно выполнить их администрирование в Active Directory.

·          Повышение быстродействия. Достигается благодаря репликации прочих классов объектов перед объектами, принадлежащими DL, возобновлению репликации объектов, в процессе репликации которых произошел сбой, и пакетированию асинхронного поиска для нахождения членства DL.

·          Импорт-экспорт с поддержкой синхронизации каталогов, пакетный импорт-экспорт через LDIF. Это позволяет пользователям осуществлять операции импорта и экспорта из службы Active Directory, используя текстовый формат файла (LDIF).

 

 

Средства управления каталогами Directory Management Resource Kit

Вводится впервые

В бета-версии 3 в состав комплекта Windows 2000 Server Resource Kit (ресурсы Windows 2000 Server) включены следующие средства.

·          Диспетчер объектов Active Directory (MOVETREE.EXE). Используется для перемещения подразделения из одного домена в другой. Например, если в домене имеется следующая иерархическая структура: ou=Mktg,dc=foobar,dc=com и ou=PR,ou=Mktg,dc=foobar,dc=com, программу MOVETREE можно использовать для перемещения всего подразделения Mktg (включая все дочерние объекты, такие как ou=PR) из одного домена в другой. Это позволяет администраторам устранять «исходный» домен смешанного или собственного типа, перемещая все его объекты в подразделения, расположенные в «целевом» домене Windows 2000 Server и перемещая его рабочие станции и серверы в целевой домен. В этом сценарии также возможно частичное объединение, при котором перемещаются подмножество объектов и компьютеры, но исходный домен продолжает существовать.

·          ADSI EDIT. Заменяет ADSVW в качестве общего средства просмотра пространства имен Active Directory. Это оснастка MMC, позволяющая администраторам просматривать атрибуты любого объекта в Active Directory (включая настройку домена и контексты имен схемы).

·          Монитор репликации Active Directory Monitor (REPLMON .EXE). Графическое средство наблюдения за репликацией, отображающее состояние репликации, топологию репликации и позволяющее администраторам инициировать события репликации при проведении ее отладки.

·          Диспетчер доменов Active Directory Domain Manager (NETDOM.EXE). Данная служебная программа позволяет администраторам управлять доменами из командной строки, например:

·          присоединять домен;

·          управлять учетными записями компьютеров для членов (например, выполнять добавление, удаление, перечисление и опрос членов);

·          управлять учетными записями компьютеров для резервных контроллеров домена (BDC) (например, выполнять добавление, удаление, перечисление и опрос BDC);

·          сбрасывать безопасные каналы резервных контроллеров домена;

·          устанавливать доверительные отношения;

·          управлять учетными записями компьютеров ресурсов домена (например, выполнять добавление, удаление, перечисление или опрос ресурсов домена).

·          Диспетчер таблицы управления доступом Active Directory Access Control List Manager (DSACLS.EXE). Средство командной строки для управления таблицей управления доступом Active Directory (ACL).

·          AD SCRIPTS. Набор средств работы со сценариями на языке программирования Visual Basic®, предназначенный для выполнения определенных задач администрирования с использованием интерфейсов службы Microsoft Active Directory для Windows 2000, например, SEARCH.VBS выполняет стандартный LDAP-поиск.

 

 

Интерфейсы службы Active Directory (ADSI)

Улучшено

Интерфейсы службы каталогов Active Directory (ADSI) абстрагируют возможности служб каталогов различных поставщиков сетевых услуг, представляя единый набор интерфейсов службы каталогов для управления сетевыми ресурсами. ADSI является набором расширяемых, простых в использовании интерфейсов программирования, которые можно использовать для написания приложений, позволяющих осуществлять доступ и управлять:

·          службой Active Directory;

·          любым LDAP-каталогом;

·          прочими службами каталогов в имеющейся сети, включая NDS.

В бета-версии 3 произведено усовершенствование интерфейсов ADSI, позволяющее поддерживать использование запятых внутри различающегося имени (например, CN=Кузнецов, Александр, OU=…). Кроме того, теперь ADSI позволяет разработчикам добавлять функциональные возможности для привязки непосредственно к строкам кодов GUID и SID, а не кодировать такую строку и производить ее поиск вручную (в этом случае проще создать и поддерживать код, который можно безопасно переименовывать).

 

 

Средство миграции службы каталогов

Средство миграции службы каталогов Microsoft Directory Service Migration Tool обеспечивает архитектуру для обнаружения ресурсов NetWare, их моделирования в автономном режиме и переноса их в Active Directory.

 

Безопасность

 

 

Диспетчер настройки безопасности

Улучшено

Диспетчер настройки безопасности является универсальным средством настройки и анализа безопасности для Windows 2000 Server. Это средство позволяет настраивать различные конфиденциальные параметры реестра, управление доступом к файлам и записям реестра и производить настройку безопасности системных служб.

В бета-версии 3 произведено усовершенствование пользовательского интерфейса в отношении групповых политик для правил безопасности, таких как учетная запись, права пользователя и т. д. Эти параметры действуют на рабочей станции, а не в домене, что позволяет легче разграничивать параметры политики домена и тех параметров, которые пользователь может установить на своем компьютере.

 

 

Проверка подлинности Kerberos

Улучшено

Полная поддержка протокола Kerberos версии 5 обеспечивает быстрый, единый вход во все ресурсы предприятия, работающие под управлением системы Windows 2000 Server, а также в другие среды, поддерживающие этот протокол.

В бета-версии 3 новые параметры политики безопасности позволяют настраивать параметры протокола Kerberos, включая максимальный срок действия билета и параметры возобновления билета.

 

 

Сервер сертификации открытых ключей

Улучшено

Сервер сертификации открытых ключей, встроенный в систему Windows 2000 Server, предназначен для организаций, желающих выдавать сертификаты открытых ключей своим пользователям, не прибегая к услугам коммерческих центров сертификации.

В бета-версии 3 управление сертификатами было усовершенствовано по следующим направлениям.

·          Центры сертификации могут размещаться в любом месте леса (т. е. обеспечивается поддержка нескольких доменов и нескольких узлов).

·          Информация центра сертификации (например сертификат центра сертификации, списки отзыва сертификатов (CRL) и шаблоны сертификатов) в целях поддержки ее межсайтового использования публикуется в службе Active Directory.

·          Подача заявок в Вебе (автоматическое управление «заявкой от имени» и веб-страницы).

·          Новая политика для входа в сеть по смарт-картам, гарантирующая, что выданные сертификаты поставлены центрами сертификации, являющимися частью дерева или леса.

·          Возможность использования смарт-карт для перемещающихся пользователей (сертификация по картам может использоваться приложениями Microsoft Internet Explorer и Outlook® Express даже на компьютерах, на которых не выполнялась первоначальная подача заявки).

 

 

Инфраструктура смарт-карт

Смарт-карты являются ключевым компонентом инфраструктуры открытых ключей, которую корпорация Майкрософт интегрировала в платформу Windows, поскольку смарт-карты расширяют возможности решений исключительно программного типа, с помощью которых выполняются такие задачи, как проверка подлинности клиента, единая регистрация, обеспечение безопасности хранения данных и администрирование системы.

 

 

Протокол IP-безопасности

Протокол IP-безопасности (IPSec) является стандартом группы IETF для шифрования трафика TCP/IP. Система Windows 2000 Server надежно интегрирует протокол IPSec с управлением системной политикой для того, чтобы выполнять шифрование между системами прозрачно для конечного пользователя. Протокол IPSec можно использовать для обеспечения защиты связи по интрасети и для создания виртуальных частных сетей в Интернете.

 

 

Шифрование файловой системы

Улучшено

Шифрование файловой системы Windows 2000 Server (NTFS) обеспечивает защиту секретных данных. Такое шифрование можно задействовать для файлов или для каталогов. Использованная технология шифрования основана на открытых ключах и выполняется как интегрированная системная служба, что облегчает управление, затрудняет «взлом» и делает ее прозрачной для пользователя.

В бета-версии 3 модуль CryptoAPI 1.0 был усовершенствован добавлением программы установки шифрования Encryption Installer, которая распаковывает экспортируемые криптографические модули, основываясь на наличии ранее установленного усовершенствованного поставщика службы криптографии (CSP – Cryptographic Service Provider). Это позволяет пользователям, уже имеющим возможности надежного шифрования, не переходить на менее надежное шифрование только потому, что они проводят обновление до Windows 2000.

 

Службы управления Windows

 

 

Консоль управления MMC

Улучшено

Консоль управления MMC (Microsoft Management Console) предназначена для централизации и унификации операций по настройке и наблюдению за работой компьютеров и приложений как на отдельных рабочих станциях, так и во всей компьютерной сети.

В бета-версию 3 включена новая версия консоли MMC – версия 1.2, обладающая описанными ниже возможностями.

·          Панели задач консоли. Позволяют отображать все оснастки в форме, удобной для их использования недостаточно опытными администраторам. Панели задач принимают результирующие представления от имеющихся оснасток и отображают их в виде HTML-страниц. Администраторы могут определять, какие задачи должны отображаться на панели задач (выбирая задачи из контекстных меню и при помощи командных строк), и представлять задачи с помощью кнопок и простых текстовых описаний.

·          Постоянство и настраиваемость столбцов. Теперь все оснастки могут скрывать или отображать индивидуально настраиваемые столбцы и сохранять ширину столбцов от сеанса к сеансу.

·          Экспорт в списки просмотра. Теперь все стандартные списки просмотра можно экспортировать в текстовые файлы (включая просмотр событий, оснастку системных служб, службу каталогов и ряд других оснасток).

·          Интеграция со службой каталогов. Теперь службу каталогов можно настроить так, чтобы оснастки загружались тогда, когда они требуются. При создании сохраненного файла консоли виден список оснасток, доступных для загрузки.

·          Интеграция политики. Шаблон в оснастке «Групповая политика» позволяет администратору не допускать использования определенными группами пользователей консоли управления MMC в «авторском режиме». Это означает, что такие группы пользователей смогут использовать только созданные для них файлы консоли. Это также позволит разрешать или запрещать использование индивидуальных оснасток отдельным пользователям или группам пользователей.

 

 

Инструментарий управления Windows (WMI)

Система Windows 2000 Server поддерживает инструментарий, опирающийся на стандарт WBEM группы DMTF (Desktop Management Task Force), известный как «инструментарий управления Windows». Это упрощает реализацию драйверов и приложений, содержащих больше средств администрирования, обеспечивает потенциальные возможности для снижения стоимости владения благодаря предоставлению более управляемой среды и обеспечивает подробную и расширяемую информацию, согласованную для продуктов различных производителей.

 

 

Сервер обработки сценариев Windows (WSH)

Сервер обработки сценариев Windows (WSH – Windows Scripting Host) позволяет администраторам и пользователям экономить время, автоматизируя многие операции пользовательского интерфейса, например создание ярлыка, подключение к сетевому серверу, отключение от сетевого сервера и т. д.

 

 

Планировщик заданий

Планировщик заданий позволяет вызывать любой сценарий, программу или документ в любое время или через любой промежуток времени, от одного раза в день до одного раза в год, а также в случае таких событий, как загрузка системы, вход пользователя в сеть или простой системы.

 

 

Групповая политика

Улучшено

Администраторы могут использовать групповые политики для создания управляемых сред рабочих мест, соответствующих служебным обязанностям пользователей и навыкам работы на компьютере. Для определения параметров групповой политики управляемой настройки рабочих мест для компьютеров и пользователей используются оснастка «Групповая политика» и ее расширения. Используя оснастку «Групповая политика», можно определить приведенные ниже параметры.

·          Параметры политики, управляемой реестром. Администрирование производится при помощи узла «Административные шаблоны» оснастки «Групповая политика».

·          Параметры безопасности. Определяются для локальных компьютеров, доменов и сети.

·          Установка программного обеспечения. Позволяет либо назначать (принудительная установка), либо публиковать (делать доступными с помощью значка «Установка и удаление программ» либо вызовом документа) приложения.

·          Сценарии. Включают сценарии запуска и завершения работы компьютера и сценарии входа в систему и выхода из системы.

·          Перенаправление папок. Позволяет перенаправлять специальные папки в сети.

 

 

Групповая политика (продолжение)

Улучшено

В бета-версии 3 в групповую политику были внесены перечисленные ниже улучшения.

·          Множество усовершенствований пользовательского интерфейса, включая усовершенствованное пространство имен в оснастке «Групповая политика».

·          Действие объектов групповой политики (GPO – Group Policy Objects) можно фильтровать, используя группы безопасности и списки управления доступом ACL.

·          Объекты групповой политики (GPO) можно делегировать, используя группы безопасности и списки ACL.

·          Полная поддержка всех настроек службы Active Directory (сайтов, доменов, подразделений).

·          Обработка групповой политики теперь по умолчанию является синхронной.

·          Добавлено большое количество политик на основе реестра.

·          Политики административного шаблона. Содержат исчерпывающие пояснения относительно выполнения общих задач администрирования.

Кроме того, в групповую политику внесен ряд усовершенствований, улучшающих быстродействие системы.

·          В объектах групповой политики определяется, какие расширения CSE (Client Side Extensions – расширения, запускаемые на компьютере-клиенте) требуется загружать ; если соответствующие данные отсутствуют, они не загружается.

·          Каждое расширение CSE передается всему списку объектов групповой политики (GetGPOList), имеющих данные, а не полному списку объектов поочередно.

·          Два номера версии позволяют оптимизировать объекты групповой политики для настроек пользователя или компьютера ; если номер версии для любого из вариантов равен нулю, этот вариант пропускается. Значение этого параметра можно также задавать на странице свойств данного объекта групповой политики.

·          Оптимизация протокола LDAP ускоряет обработку объекта групповой политики.

 

 

Служба Windows Installer

Является полной и надежной службой установки и настройки программного обеспечения, уменьшающей конфликты библиотек DLL и позволяющей улучшить управление приложениями. Играет ключевую роль в проекте Zero Administration для Windows, обеспечивая следующие ключевые компоненты и возможности.

·          Служба форматирования и установки стандартного пакета.

·          Эластичность, позволяющая восстанавливать продукты.

·          Установки типа JIT (Just in Time – выполняется только в нужный момент).

·          Поддержка блокировки.

 

сценарий – серверы инфраструктуры

 

 

технология iNTELLIMIRROR

 

 

 

Управление данными пользователя

Пользователи могут перемещаться на любой персональный компьютер в корпоративной сети, работающий под управлением системы Windows 2000 Professional, и получать доступ к своим данным, приложениям и личным настройкам. Пользователи могут также использовать локальные и основные сетевые ресурсы для автономной работы, причем после восстановления подключения к сети происходит автоматическая синхронизация.

 

 

Установка и настройка программного обеспечения

Улучшено

Администраторы могут определять набор приложений, которые всегда будут доступны пользователю или группе пользователей. Если затребованное приложение в момент запроса недоступно, оно будет автоматически установлено. Кроме того, поддерживаются операции автовосстановления, обновления и удаления приложений.

В бета-версии 3 файлы setup.exe теперь можно публиковать в разделе «Установка и удалении программ». Это значит, что не все приложения должны представляться в виде отдельного пакета для того, чтобы воспользоваться преимуществами публикации программного обеспечения с помощью технологии Intellimirror.

 

 

Управление параметрами пользователя

Централизованное администрирование и управление компьютерами на рабочих местах позволяют осуществлять блокировку настроек рабочих мест.

 

 

Удаленная установка операционной системы

Улучшено

Используя стандартизированную технологию удаленной загрузки (PXE), персональный компьютер можно автоматически подключать к системе Windows 2000 Server и устанавливать на нем систему Windows 2000. Службу удаленной установки операционной системы можно использовать для упрощения настройки нового компьютера, обновления компьютера до уровня системы Windows 2000 Server или выполнения операции переформатирования и переустановки операционной системы на существующем компьютере.

В бета-версии 3 введены описанные ниже усовершенствования, облегчающие выполнение удаленной установки.

·          Поддержка создания и установки образа подготовки системы позволяет клонировать жесткие диски серверов на другие серверы организации, а также позволяет администраторам сети очень быстро заменять серверы в случае отказа одного из них в средах, для которых фактор времени имеет критически важное значение.

·          Улучшена поддержка загрузочных дискет.

·          Обнаружение незаконного сервера удаленной установки.

·          Возможность ограничения параметров клиентской установки и выбора альтернатив образа операционной системы для конкретных пользователей.

·          Предварительная группировки клиентских компьютеров.

·          Интеграция предлагаемых разными производителями вычислительной техники и независимыми производителями программного обеспечения средств обслуживания и устранения неполадок.

 

сценарий – файловые серверы и серверы печати

 

 

Управление службой файлов

Оснастка управления службы файлов консоли MMC позволяет пользователям создавать общие ресурсы и управлять сеансами и подключениями на локальных или удаленных компьютерах.

 

 

Службы публикации в Вебе

Используя интегрированные службы Веба, имеющиеся в системе Windows 2000 Server, организации могут использовать преимущества последних стандартов Интернета, таких как Dynamic HTML, XML, DAV, HTTP 1.1 и т.д. для публикации и распространения информации в Вебе.

 

 

Поддержка веб-папок

Вводится впервые

Поддержка веб-папок позволяет пользователям осуществлять перемещение на DAV-совместимый (Distributed Authoring and Versioning – распределенное авторское создание версий) сервер и просматривать содержание (при наличии надлежащих прав) так, как если бы этот сервер являлся частью того же пространства имен, что и локальная система. Пользователи могут осуществлять перетаскивание файлов, извлекать и изменять информацию о свойствах файлов и выполнять прочие операции, относящиеся к файловой системе. Например, использование веб-папки и протокола DAV позволяет выполнять эквивалент команды DIR на HTTP-ресурсе и извлекать всю информацию, необходимую для работы с проводником Windows.

Протокол DAV является набором расширений протокола HTTP и определяет, как с помощью протокола HTTP выполняются основные операции работы с файлами, такие как копирование, перемещение, удаление и создание папок. Протокол DAV позволяет представлению веб-папки сохранять согласованный вид и свойства при перемещении по локальной файловой системе, сетевым дискам и веб-узлам Интернета.

 

 

Службы индексирования

Улучшено

Используя интегрированные службы индексирования, организации могут безопасно предоставлять пользователям быстрый и легкий способ поиска информации в сети. Независимо от того, хранится ли требуемая информация на общем веб-узле или в общей папке, эти службы помогут произвести полнотекстовый поиск в файлах различных форматов и на различных языках.

В бета-версии 3 индексирование было улучшено следующим образом.

·          Благодаря улучшенному отслеживанию действий пользователей и операций ввода-вывода, получено более быстрое индексирование и вывод результатов запроса.

·          Обновленный пользовательский интерфейс. Например, добавлена страница запроса, позволяющая пользователю протестировать запрос, не выходя из консоли управления MMC.

·          Улучшенная работа в фоновом режиме. Например, фоновое индексирование не производится, когда администратор выполняет задачу управления сервером.

·          Отслеживание операций подключения и отключения. Позволяет при поведении процедуры индексирования осуществлять незаметное для пользователя взаимодействие с операциями chkdsk и format.

 

 

Службы мультимедиа Windows

Службы мультимедиа Windows через Интернет и интрасети доставляют пользователю высококачественное потоковое мультимедиа. Эти службы состоят из сервера и инструментальных компонентов для передачи аудио, видео, иллюстрированного аудио и иных типов мультимедиа по сетям.

 

поддержка файловой системы и управление хранилищем

 

 

Управление службой файлов

Оснастка управления службы файлов консоли MMC позволяет пользователям создавать общие ресурсы и управлять сеансами и подключениями на локальных и удаленных компьютерах.

 

 

NTFS

В состав системы Windows 2000 Server входит расширенная версия файловой системы NTFS, которая осуществляет поддержку шифрования файлов, способна добавлять дисковое пространство к NTFS-тому без перезагрузки, может осуществлять отслеживание распределенных связей (что помогает разрешать ярлыки и связи OLE для NTFS-резидентных файлов, у которых были изменены имена или пути доступа). Эта система позволяет назначать индивидуальным пользователям дисковые квоты с целью контроля и ограничения использования дискового пространства, а также содержит много усовершенствований, повышающих быстродействие системы.

 

 

Служебная программа дефрагментации диска

Системы Windows 2000 Server и Windows 2000 Professional поддерживают возможность дефрагментации дисковых томов, отформатированных в формате FAT, FAT32 и NTFS.

 

 

Службы удаленного хранилища (RSS)

Служба RSS является средством управления иерархическим хранилищем. Она автоматически контролирует величину свободного места на локальном жестком диске; в случае когда его величина на основном жестком диске становится меньше требуемой, служба RSS автоматически удаляет локальные данные, копируя их удаленное хранилище и тем самым создавая необходимое свободное дисковое пространство.

 

 

Диспетчер съемных носителей (RSM)

Диспетчер RSM является общим интерфейсом для роботизированных сменщиков носителей и библиотек носителей, позволяющим множеству приложений совместно использовать локальные библиотеки и накопители на магнитной ленте или диски, и управляющий съемными носителями в односерверной системе.

 

 

Улучшенная служебная программа архивации

Служебная программа архивации системы Windows 2000 Server позволяет защитить данные от случайных потерь в результате отказа оборудования или носителя хранилища. Эта служебная программа системы Windows 2000 Server может архивировать данные на широкий спектр носителей, таких как ленточные устройства, внешние диски, Zip-накопители, записываемые компакт-диски и логические диски.

 

 

Поддержка архитектуры I20

Архитектура I2O освобождает главный компьютер от выполнения задач, для которых характерным является большое количество прерываний, обусловленных операциями ввода-вывода, благодаря чему существенно увеличивается скорость выполнения этих операций в приложениях, требующих высокой пропускной способности, например, при сетевом обмене видеоинформацией, групповой и клиент-серверной обработке данных.

 

 

Рассеивание/сбор ввода-вывода

Рассеивание/сбор ввода-вывода – это специальный тип операций ввода-вывода с высоким быстродействием, осуществляемый с помощью функций Win32® API ReadFileScatter и WriteFileScatter. Его применение позволяет повысить эффективность операций ввода-вывода в тех случаях, когда данные приложения находятся в несмежных ячейках памяти (что обычно и бывает), а информацию требуется записать в непрерывный файл.

 

распределенная файловая система

 

 

Поддержка распределенной файловой системы (DFS)

Улучшено

Распределенная файловая система (DFS) для Windows 2000 Server – это сетевая служба, обладающая следующими возможностями.

·          Облегчает администраторам выполнение операций по управлению файловыми серверами.

·          Обеспечивает организациям более высокую доступность файловых серверов.

·          Дает пользователям единое представление всех сетевых файловых серверов.

В бета-версии 3 имеются следующие новшества.

·          Поддержка удаленной установки и удаления. В сценарии, где корень размещается на двух серверах, теперь можно просто «удалить» один из них без какого-либо ущерба для пользователей.

·          После создания и «удаления» корня перезагрузку производить не требуется .

 

службы печати

 

 

Облегченный поиск сетевых принтеров

Улучшено

Используя интеграцию со службой Active Directory, система Windows 2000 Server делает все общие принтеры домена доступными в этом каталоге. Публикация принтеров в Active Directory позволяют пользователям быстро находить наиболее подходящие ресурсы печати.

В бета-версии 3 имеются следующие новшества.

·          Отсечение принтера. Автоматическое удаление принтеров из Active Directory в случае удаления принтера с сервера или из сети.

·          Упрощенный мастер установки принтера. Облегчает установку и настройку общих принтеров.

·          Безопасная операция «указать и печатать», подписывание двоичных файлов драйверов позволяет устанавливать драйверы из указанного места.

·          Поддержка Windows 9x для печати через Интернет.

·          Поддержка размещения принтеров в Active Directory.

·          Поддержка обновления Windows.

 

 

Поддержка широкого спектра устройств

Система Windows 2000 Server обеспечивает поддержку более чем 2 500 различных принтеров, облегчая организациям использование обширных возможностей служб печати системы Windows 2000 Server с существующими и новыми принтерами.

 

 

Протокол печати Internet Printing Protocol (IPP)

Протокол печати IPP позволяет пользователям производить печать через Интернет или интрасеть непосредственно на URL-адрес. Кроме того, система Windows 2000 Server автоматически создает информацию, относящуюся к принтеру и заданию, в формате HTML, что позволяет ее просматривать с помощью любого обозревателя.

 

сценарий – сетевые службы и серверы связи

 

 

Усовершенствованный протокол TCP/IP

В системе Windows 2000 Server корпорация Майкрософт использовала обновленный протокол TCP/IP, включающий несколько усовершенствований, повышающих быстродействие при работе в локальных и глобальных сетевых средах с высокой пропускной способностью.

 

 

Динамическая DNS

Улучшено

Динамическая DNS снижает стоимость администрирования сети, уменьшая необходимость ручного изменения и реплицирования базы данных DNS при каждом изменении настройки клиента DNS.

В бета-версии 3 использован ряд улучшений, еще больше облегчающих управление зонами DNS.

·          Новый пользовательский интерфейс в оснастке диспетчера DNS позволяет улучшить управление получением уведомлений, извещающих серверы об изменении зоны, и ограничить передачи зоны.

·          Теперь сервер DNS автоматически загружает зоны, хранящиеся в Active Directory. Это означает, что пользователю не требуется вручную добавлять зоны на каждом сервере, включенном в службу каталогов.

·          В набор ресурсов Resource Kit добавлено исправленное средство командной строки DNSCMD.EXE. Эта служебная программа командной строки позволяет производить администрирование и получать статистику с локальных и удаленных серверов DNS, например, создавать и удалять зоны на сервере или создавать и удалять записи в зоне. Средство DNSCMD.EX обладает улучшенными функциональными возможностями и заменяет средство DNSSTAT.EXE, входившее в состав предыдущих наборов Resource Kit. Новое средство позволяет администраторам производить полное администрирование DNS «на лету», не используя для этого графический интерфейс пользователя.

 

 

Качество службы Windows Quality of Service (QoS)

Качество службы Windows (QoS) – это набор требований к службе, который должны выполняться сетью во время передачи потока данных. Службы и протоколы, соответствующие требованиям QoS, обеспечивают надежную, сквозную (от узла к узлу) систему срочной доставки для IP-трафика. Например, дифференцированная QoS (diff-serve) позволяет наиболее важным приложениям, таким как SAP или электронная почта, получать в сети лучшее обслуживание или больше ресурсов, чем выделяется менее важным приложениям.

 

 

Режим асинхронной передачи (ATM)

Система Windows 2000 теперь поддерживает режим ATM, новую высокоскоростную сетевую технологию, которая используется как в локальных, так и в глобальных сетях. Сеть ATM одновременно передает широкий спектр сетевого трафика: речь, данные, изображение и видео.

 

 

Технология Fibre Channel

Windows 2000 теперь поддерживает технологию Fibre Channel – технологию передачи данных со скоростью 1 Гбит/c, поддерживающую взаимодействие с обычными транспортными протоколами, такими как SCSI и IP, и объединяющую передачу данных по сети и высокопроизводительные устройства ввода-вывода в единую технологию связи. Технология Fibre Channel решает проблему ограничений по дальности и адресному пространству, существующие для технологий, использующих обычные каналы.

 

 

Транслятор сетевых адресов (NAT)

Транслятор сетевых адресов (NAT) скрывает внутренне управляемые IP-адреса от внешних сетей, преобразуя закрытый внутренний адрес в открытый внешний адрес. Это уменьшает стоимость регистрации IP-адреса, позволяя использовать незарегистрированные IP-адреса внутри организации, с преобразованием их в небольшое число зарегистрированных внешних IP-адресов. Использование NAT также скрывает структуру внутренней сети, уменьшая риск нарушения защиты внутренних систем из-за отказов в обслуживании.

 

 

Службы телефонии

TAPI 3.0 объединяет протокол IP и традиционную телефонию, позволяя разработчикам создавать новое поколение мощных приложений для компьютерной телефонии, приложений, работающих в Интернете или интрасети так же эффективно, как в традиционной телефонной сети. TAPI 3.0 поддерживает стандарт телеконференций H.323 и стандарт многоадресных IP-телеконференций. TAPI 3.0 использует службу Active Directory операционной системы Windows 2000 для упрощения развертывания внутри организации и включает поддержку качества службы (QoS) для улучшения качества обслуживания конференции и управляемости сети.

 

 

Службы для Макинтоша

Теперь клиентские рабочие станции Макинтош могут использовать протокол TCP/IP для доступа к общим ресурсам в системе Windows 2000 Server, на которой выполняется служба работы с файлами для Макинтоша (AFP поверх IP). Сделано несколько конкретных усовершенствований.

·          Поддержка протокола Appletalk Remote Access Protocol (ARAP), что позволяет клиентским рабочим станциям Макинтош осуществлять входящие подключения привычным образом через протокол Appletalk

·          Для упрощения администрирования функции администрирования сервера объединены в «управлении службами файлов» консоли MMC.

·          Возможность настройки Appletalk/Services (протокол Appletalk/службы) для Макинтоша без перезагрузки.

·          Поддержка дисковых квот системы Windows 2000 Server.

·          Поддержка собственных (Apple) модулей проверки подлинности пользователя (UAM). Это означает, что на клиентской рабочей станции Макинтош больше не требуется осуществлять входящие подключения с помощью модулей проверки подлинности пользователя (Microsof).

 

 

Сеть и удаленный доступ к сети

Вводится впервые

Компонент, представленный значком «Сеть и удаленный доступ к сети», обеспечивает подключение компьютера пользователя к Интернету, сети или другому компьютеру. Новый мастер сети и удаленного доступа к сети позволяет легко получить доступ к сетевым ресурсам и функциональным возможностям независимо от того, где физически находится пользователь – в данной сети или же его местоположение является удаленным. Создание, настройка, сохранение и контроль подключений производятся из папки «Сеть и удаленный доступ к сети».

 

сценарий – серверы приложений

 

Улучшенная масштабируемость и доступность для имеющихся приложений

 

 

Архитектура памяти масштаба предприятия (EMA)

Улучшено

Позволяет приложениям, выполняющим обработку транзакций или поддержку принятия решений на больших массивах данных, держать в памяти больше информации, что существенно повышает быстродействие. Операционные системы Windows 2000 Advanced Server и DataCenter Server будут поддерживать более 4 ГБ физической памяти на платформах Compaq Alpha и Intel 32 bit (IA-32), поддерживающих расширения PAE (Physical Address Extensions – расширения физической адресации). В зависимости от платформы объем поддерживаемой физической основной памяти может доходить до 64 ГБ.

В бета-версии 3 на платформах Compaq Alpha, использующих VLM (Very Large Memory – очень большая память), теперь поддерживается язык программирования Visual FORTRAN. Это позволяет научным и инженерно-техническим приложениям использовать преимущества больших объемов памяти, улучшая быстродействие. На платформе Intel (IA 32) системы, сконфигурированные с использованием программ кэширования, такими как EEC Systems SuperCache, могут теперь использовать преимущества большой памяти в электронном диске для дополнительного повышения быстродействия операций ввода-вывода. Если программа SuperCache не используется, пользователи могут применять электронный диск для временного хранения данных. Электронный диск – это временное запоминающее устройство, которое эмулируется в памяти и которое можно отформатировать как под файловую систему FAT, так и под систему NTFS. Такой диск полезно использовать для приложений, например для Microsoft Exchange, создающих большие временные файлы или много временных файлов, поскольку обращение к такому диску осуществляется значительно быстрее.

 

 

Усовершенствованная масштабируемость SMP

Улучшено

Операционные системы Windows 2000 Server, Advanced Server и DataCenter Server оптимизированы для использования на все более возрастающем числе доступных по своей цене двух-, четырех-, восьми- и шестнацатипроцессорных SMP-серверах, в которых используются обеспечивающие максимальную скорость процессоры архитектуры RISC и Intel.

В бета-версии 3 дальнейшее увеличение быстродействия было достигнуто благодаря применению следующих усовершенствований.

·          Уменьшено количество конфликтов по блокировкам.

·          Уменьшено количество последовательных процессов.

·          Сокращены длины кода пути

·          Улучшено управление приоритетностью потоков и памяти.

·          Увеличены размеры пула ресурсов ядра.

·          Сокращено число выполняемых операций копирования.

·          Улучшена поддержка оптоволоконных каналов.

 

 

Балансировка сетевой нагрузки

Вводится впервые

Служба балансировки сетевой нагрузки осуществляет балансировку и распределяет клиентские подключения (подключения TCP/IP) по нескольким серверам, выравнивая быстродействие служб TCP/IP, таких как веб-, прокси- или FTP-серверы, а также обеспечивая их высокую доступность. Ниже описываются основные возможности этой службы.

·          Поддержка до 32 компьютеров на одном кластере и дополнительно балансировка нагрузки запросов к нескольким серверам с одного клиента.

·          Автоматическое обнаружение и восстановление компьютера, в работе которого случился сбой, или он отключился от сети.

·          Простое выполнение настройки рабочей нагрузки для каждого компьютера с использованием правил управления портом и блокировки нежелательных сетевых обращений к определенным IP-портам.

·          Возможность удаленного запуска, останова и управления работой службы балансировки нагрузки с любого подключенного к сети Windows 2000 компьютера с использованием команд консоли или сценариев.

·          Устанавливается как стандартный компонент сетевого драйвера системы Windows 2000 и не требует каких-либо изменений в аппаратных средствах для установки и выполнения.

·          Серверные приложения не требуется изменять для запуска на NLB-кластере, а все операции не требуют человеческого вмешательства.

 

 

Объект-задание

Улучшено

Система Windows 2000 Server содержит расширение модели процесса, называемое заданием. Объекты-задания – это объекты, которым можно присваивать имена, назначать уровни защиты и использовать в качестве общих ресурсов. Эти объекты используются для управления атрибутами процессов, связанных с ними. Основная функция объекта-задания – позволить осуществлять управление и изменение группы процессов как единым целым.

В бета-версии 3 интерфейс API объекта-задания имеет дополнительные компоненты, используемые входящим в Resource Kit средством[3] диспетчером процессов Process Manager, позволяющим выполнять следующие действия:

·          использовать графический интерфейс пользователя и командную строку для определения, отображения и изменения;

·          идентифицировать выполняющиеся процессы, которыми требуется управлять;

·          создавать объекты-задания и помещать в них выбранные процессы;

·          просматривать и изменять характеристики процессов.

 

 

Службы кластеров

Улучшено

Кластеризация в системе Windows 2000 Advanced Server позволяет объединить два сервера в «кластер» для достижения более высокой доступности и облегчения управления сетевыми ресурсами. Службы кластеров (Microsoft) контролируют состояние стандартных приложений и серверов и могут автоматически восстанавливать, обычно менее чем за минуту, важные данные и приложения после многих типов часто встречающихся сбоев.

Новые усовершенствования в системах Windows 2000 Advanced Server и DataCenter Server включают поддержку службы Active Directory, поддержку высокодоступных входящих сетевых подключений и дополнительных системных служб, совместимых с кластерами (DHCP, WINS, DFS), а также поддержку поочередных обновлений. С помощью служб кластеров организации могут предоставлять пользователям более высокие уровни обслуживания и доступности, одновременно приобретая большие возможности контроля над управлением важными серверными ресурсами.

В бета-версии 3 поочередное обновление полностью поддерживается для следующих служб:

·          ресурсов ядра;

·          печати;

·          служб Веба (Internet Information Services (IIS) 5.0);

·          служб транзакций (Distributed Transaction Co-ordinator);

·          служб очередей сообщений (Microsoft Message Queue Server).

Кроме того, добавлены следующие интерфейсы API.

·          Интерфейсы API архивации. Позволяют администраторам создавать архивные копии базы данных кластера (информации настройки кластера) как снимка состояния текущей настройки кластера и восстанавливать снимок состояния базы данных кластера, полученный из программы архивации.

·          Интерфейсы API репликации. Позволяют разработчикам создавать приложения (или другие кластерные ресурсы) репликации криптографических ключей или вообще работать с криптографическими ключами.

 

 

Службы терминалов

Вводится впервые

Службы терминалов позволяют клиентским устройствам, работающим как под управлением Windows, так и более старым системам, осуществлять доступ к рабочему столу системы Windows 2000 и новейшим приложениям для Windows, полностью выполняющимся с сервера. Такой сервер управляет всеми вычислительными ресурсами каждого клиента, подключенного к серверу, и предоставляет каждому вошедшему в систему пользователю соответствующую рабочую среду, определяемую профилем пользователя. Службы терминалов являются не только вариантом развертывания приложений; их также можно использовать для удаленного администрирования системой Windows 2000 Server.

В бета-версии 3 имеются следующие новшества.

·          Настраиваемость службы. Службы терминала можно включить во время установки, а также включать и выключать после установки для того, чтобы использовать их в качестве компонента удаленного администрирования.

·          Повышение быстродействия. Включает постоянное кэширование, использование пакетов, определение размера пакета. Все это позволит иметь больше сеансов служб терминала на каждый сервер.

·          Балансировка сетевой нагрузки. Возможность подключения клиентов служб терминала к наименее загруженному члену пула серверов служб терминалов.

·          Прямой доступ к рабочим местам. Автоматизированная настройка принтеров, подключенных к клиентским устройствам; перенаправление буфера обмена для выполнения операций типа вырезать-вставить между локальными приложениям и сеансами служб терминалов.

·          Наблюдение за сеансом и удаленное управление. Позволяет администраторам наблюдать за сеансами клиентов служб терминалов и управлять ими.

·          Многоязыковый пользовательский интерфейс (MUI). Позволяет клиентам переведенных на другие языки служб терминалов подключаться и правильно отображать приложения, выполняющиеся под управлением одной системы Windows 2000 Server.

·          Интеграция с компонентами управления и инфраструктуры системы Windows 2000 Server, такими как служба AD и консоль MMC.

·          Новые компоненты системных политик, позволяющие дополнительно осуществлять блокировку рабочих мест, управляемых службами терминалов, например, такими возможностями как отключение, выход из системы и назначение уровней безопасности Windows NT.

·          Поддержка виртуального канала. Позволяет независимым разработчикам расширять и улучшать протокол RDP.

 

 

Уменьшение числа перезагрузок сервера

Улучшено

Для улучшения обслуживания и настройки и аппаратных средств и программного обеспечения в системе Windows 2000 Server исключены 45 из 50 основных функций, выполнение которых в системе Windows NT Server 4.0 требовало перезагрузки. В их число входят:

·          настройка самонастраивающихся устройств, например добавление новых дисков;

·          увеличение максимального размера файла подкачки;

·          добавление нового файла подкачки;

·          установка служб файлов и служб печати для Netware;

·          добавление или удаление сетевых протоколов;

·          изменение IP-адреса для устранения конфликтов IP-адресов;

·          установка сервера удаленного доступа в системе с установленным клиентом удаленного доступа и уже запущенной службой удаленного доступа (RAS);

·          изменение атрибутов отображения видео: цветовое разрешение;

·          замена мыши;

·          изменение имени сервера для рабочих станций AppleTalk;

·          переключение сетевых плат клиентских рабочих станций Макинтош и просмотр общих томов;

·          удаление служб транзакций (Microsoft);

·          установка сервера SQL Serverä(7.0);

·          установка сервера Exchange («Platinum»);

·          добавление места на диске к тому NTFS.

Меньшее количество перезагрузок для выполнения обычных задач обслуживания означает увеличение доли полезного времени в рабочем сеансе пользователя.

 

 

Защита системных файлов (SFP)

Вводится впервые

Защита системных файлов (SFP) предотвращает замену обязательных системных файлов, что позволяет избежать несоответствия версий файлов. SFP обеспечивает защиту системных файлов с помощью фонового механизма, который выполняется внутри программы WINLOGON.EXE на системе Windows 2000. В конце графического этапа установки (GUI-mode) SFP просматривает все защищенные файлы, чтобы исключить возможность того, что они были изменены приложениями, установленными в режиме автоматической установки. После проведения успешного запуска служба защиты системных файлов проверяет все файлы каталога (cat-файлов), использованные для отслеживания правильных версий файлов. Если какой-либо из файлов каталога отсутствует или поврежден, служба защиты системных файлов переименует поврежденный файл каталога и восстановит требуемый файл по буферной версии из каталога dllcache. Если в каталоге dllcache отсутствует требуемый файл, SFP затребует соответствующий носитель (т. е. Windows 2000 Service Pack, Windows 2000 Hotfix и т. д.) для восстановления исходной копии файла каталога.

 

 

Более быстрое выполнение аварийного копирования памяти и CHKDSK

Копирование только ядра позволяет быстрее перезапускать системы с большими объемами физической памяти. Краткое копирование инициируется после критической ошибки , что требует меньшего времени и дискового пространства, т. к. сохраняются только правильные страницы памяти ядра и, необязательно, правильные пользовательские страницы текущего процесса. В зависимости от использования системы это может уменьшить размер копии на 80% и сокращает время копирования на 80%, тем самым улучшая способность системы к восстановлению и ее доступность.

 

 

Уменьшение числа сбоев типа «синий экрана»

Вводится впервые

Система Windows 2000 содержит ряд компонентов, позволяющих разработчикам более эффективно предотвращать возникновение сбоев на узлах пользователей.

·          Защита от записи на уровне ядра. Использует диспетчер памяти Windows 2000, чтобы защитить от записи код и предназначенные только для чтения подразделы драйверов ядра и устройств.

·          Технология Code Signing (подписывание кода). Дополняет защиту системных файлов путем использования существующей технологии шифрования цифровой подписи для проверки источника системного файла перед установкой этого файла.

·          Технология Pool Tagging (маркировка пула). Позволяет разработчикам драйверов уровня ядра создавать лучшие драйверы и более простые программы, производя все выделения памяти для выбранных драйверов устройств из специального пула, а не из общего системного пула.

 

 

Проверка драйверов

Вводится впервые

Средство проверки драйверов Driver Verifier является мощным настраиваемым механизмом администрирования, позволяющим системе Windows 2000 обнаруживать ошибки в драйверах уровня ядра и применять защитные меры при взаимодействии с нестабильными драйверами. Эти защитные меры могут включать принудительное выделение памяти для ненадежного драйвера только из специального пула или проверку правильности параметра, когда такой драйвер обращается к ядру для повышения уровней прерываний.

 

 

Подписывание драйверов

Вводится впервые

Чтобы гарантировать пользователям, что драйверы устройств, загруженные на их системах, являются сертифицированными промышленными продуктами, или предупредить их об обратном, корпорация Майкрософт обеспечивает надежное шифрованное подписывание двоичного кода драйвера и приступила к цифровому подписыванию драйверов, прошедших тестирование в лаборатории по проверке соответствия оборудования требованиям системы Windows (WHQL – Windows Hardware Quality Labs).

 

 

Куча страниц

Вводится впервые

Чтобы помочь разработчикам быстрее и надежнее обнаруживать проблемы повреждения «кучи», в диспетчер кучи Windows 2000 встроен компонент PageHeap. Когда компонент PageHeap задействован для приложения, все выделения кучи в этом приложении (включая выделения кучи из всех библиотек DLL в этом процессе) размещаются в памяти таким образом, что конец выделенной области кучи выравнивается по концу виртуальной страницы памяти. Страница виртуальной памяти, следующая за выделением, переводится в режим NO_ACCESS. Любая попытка чтения или записи в память за пределами выделенной области приведет к немедленному нарушению прав доступа в приложении, которое может быть перехвачено отладчиком. Разработчик увидит, какая конкретная строка программы вызвала повреждение кучи.

 

 

Дерево удаления процесса

Вводится впервые

Дерево удаления процесса позволяет диспетчеру задач удалять не только индивидуальный процесс, но также и все процессы, созданные этим исходным процессом, не прибегая к перезапуску. Дерево удаления процесса особенно полезно в тех случаях, когда система работает очень медленно из-за большого количества выполняющихся в ней процессов.

 

сценарий – сервер приложений

 

интегрированные службы для распределенных приложений

 

 

Модель COM+

Вводится впервые

Объектная модель компонентов системы Windows 2000 Server (COM+) значительно облегчает создание и использование компонентов программного обеспечения. Модель COM+ содержит исполняемый блок и службы, которые можно сразу использовать из любого языка или средства программирования, и позволяет достигать полного взаимодействия между компонентами независимо от того, как реализованы эти компоненты. Средства модели COM+ определяют стандартный набор типов и делают все компоненты полностью самоописывающимися. Это гарантирует, что все совместимые с моделью COM+ системные службы и компоненты будут доступны для всех поддерживающих модель COM+ языков и средств, а также упрощает развертывание использующих их компонентов и приложений.

·          Служба публикации событий и подписки на события является общим механизмом обработки события, позволяющим множеству клиентов «подписываться» на различные «публикуемые» события. Когда издатель инициирует событие, система событий модели COM+ просматривает базу данных подписки и уведомляет всех подписчиков.

·          База IMDB (In-memory database – база данных в памяти) с поддержкой транзакций обеспечивает быстрый доступ приложения к данным, не вызывая непроизводительных затрат ресурсов, связанных с хранением и обращением к данным на физических дисках.

·          Компоненты организации очередей позволяют клиентам активировать методы в COM-компонентах с использованием асинхронной модели. Подобная модель особенно полезна в ненадежных сетях и в сценариях использования в отключенном режиме.

·          Динамическая балансировка нагрузки автоматически распределяет клиентские запросы по равноценным COM-компонентам на нескольких машинах.

·          Полная интеграция служб транзакций (Microsoft) в модели COM включает более широкую поддержку программирования на основе атрибутов, улучшения в существующих службах, таких как транзакции, безопасность и администрирование, а также улучшенное взаимодействие с прочими транзакционными средами путем поддержки протокола TIP (Transaction Internet Protocol).

Использование модели COM+ позволяет получить следующие преимущества.

·          Улучшенение масштабируемости приложений. Такие технологии как динамическая балансировка нагрузки и база данных в памяти позволяют быстрее выполнять и лучше наращивать возможности приложений.

·          Повышенная гибкость. Такие технологии, как компоненты организации очередей и служба публикации и подписки на события, облегчают разработчикам интеграцию их программ с системами различных независимых разработчиков.

·          Упрощение программирования. Интеграция моделей программирования COM и MTS упрощает разработку и расширяет возможности поддержки управляемого атрибутами программирования.

 

 

Службы очереди сообщений

Интегрированные службы очереди сообщений в системе Windows 2000 Server предоставляют разработчикам возможности создания и развертывания приложений, которые более надежно выполняются в ненадежных сетях и взаимодействуют с другими приложениями, выполняющимися на различных платформах, таких как большие ЭВМ и системы, работающие под управлением операционной системы UNIX.

 

 

Службы веб-приложений

Улучшено

Страницы ASP (Active Server Pages) – это прикладная структура, позволяющая организациям легко создавать приложения для Веба. ASP в системе Windows 2000 Server включает следующие новые компоненты.

·          Усовершенствованное управление потоком. Теперь вместо того, чтобы перенаправлять запросы, требующие полного обхода с возвращением к клиенту, снижающего быстродействие системы, разработчики могут использовать два новых метода для передачи запросов непосредственно в файл с расширением asp без ухода с сервера.

·          Обработка ошибок. Теперь ASP содержит новые возможности обработки ошибок, позволяющие разработчикам перехватывать ошибки в специальный файл сообщений об ошибках, имеющий расширение asp. Используя новый метод Server.GetLastError, разработчики могут отображать в asp-файле полезную информацию, например описание ошибки или номер строки, на которой она произошла.

·          Технология Server Scriptlets. ASP поддерживает новую мощную технологию составления сценариев, разработанную корпорацией Майкрософт, технологию Server Scriptlets. Используя технологию Server Scriptlets, разработчики могут преобразовывать процедуры сценариев бизнес-логики в многократно используемые компоненты COM, которые можно использовать в других веб-приложениях, а также в других COM-совместимых программах.

·          Объекты повышения быстродействия. Теперь ASP содержит повышающие быстродействие версии уже известных устанавливаемых компонентов. Эти объекты будут надежно вписываться в широкий диапазон сред веб-приложений.

В бета-версии 3 внесены следующие усовершенствования в сервер IIS 5.0.

·          Расширения ADSI. Администраторы и разработчики приложений имеют возможность добавлять настраиваемые объекты, свойства и методы к существующему поставщику ADSI, что позволяет администраторам настраивать узлы еще гибче.

·          Надежный перезапуск. Возможность останова и перезапуска всех служб Интернета из оснастки IIS, что устраняет необходимость перезапуска компьютера в том случае, когда приложения становятся недоступными.

·          Мастер Certificate Wizard (мастер сертификатов). Упрощает выполнение таких задач администрирования сертификатов, как создание запросов сертификатов и управление сроком действия сертификата.

·          Технология Server-Gated Cryptography (SGC) (сервер-вентильная криптография). Расширение SSL, позволяющее финансовым организациям с экспортными версиями IIS использовать надежное 128-битовое шифрование. Хотя возможности SGC встроены в IIS 5.0, для использования SGC требуется специальный сертификат SGC.

 

 


раздел 2

 

установка

как установить систему Windows 2000 Server


Установка системы Windows 2000 Server предполагает либо обновление имеющейся системы Windows NT Server до уровня системы Windows 2000 Server, либо новую установку системы Windows 2000 Server. В ходе процесса установки программа установки помогает пользователю собрать информацию о компьютере, установить сетевые компоненты и завершить процесс установки. Затем пользователь выходит из программы установки и настаивает систему и ее компоненты, используя интерфейс настройки сервера.

 

Памятка

Учебные курсы Windows 2000 Server

Перечисленные ниже учебные курсы основаны на предвари­тельной версии Windows 2000 и будут преподаваться с июня 1999 г. в сертифицированных центрах технической подготовки Microsoft (Microsoft CTEC – Microsoft Certified Technical Education Center):

·          1264: Windows 2000 First Look («Первое знакомство с Windows 2000»);

·          1689: «Администрирование Windows 2000»;

·          1697: «Установка и настройка Microsoft Windows 2000»;

·          2105: «Расширенное администри­ро­вание Microsoft Windows 2000»;

·          1651: «Переподготовка специа­листов по обслужи­ванию Microsoft Windows NT 4.0 на обслуживание Microsoft Windows 2000»);

·          1667: «Планирование инфраструк­туры служб каталогов Microsoft Windows 2000»;

·          1675: «Планирование инфраструктуры сетевых служб Microsoft Windows 2000»;

 

 
Чтобы правильно выполнить установку, перед установкой системы Windows 2000 Server необходимо сделать следующее:

·         прочитать файлы readme, находящиеся в корневом каталоге компакт-диска с системой Windows 2000 Server;

·         проверить соответствие компонентов аппаратных средств минимальным требованиям;

·         получить программное обеспечение, совместимое с системой Windows 2000, например, пакеты обновления, новые драйверы и т. д.;

·         получить сведения о сети;

·         определить, требуется ли произвести обновление или выполнить новую установку;

·         определить и запланировать все, что требуется для расширенной установки — разделы жесткого диска, файловые системы, возможность двойную загрузку и т. д.

 

Что нужно почитать

·         Файл Read1st.txt (предустановочная информация).

·         Файл Setup.txt (основная информация о запуске программы установки Windows 2000 Server).

·         Файл AdvSetup.txt (информация, относящаяся к расширенной установке).

·         Файл Relnotes.htm (содержит замечания, с которыми следует ознакомиться после установки системы).

 

Эти файлы находятся в корневом каталоге компакт-диска Windows 2000 Server.

 

Минимальные требования к оборудованию

 

Аппаратные средства

·         Микропроцессор Pentium 166 МГц или более мощный;

·         монитор VGA или с более высоким разрешением и клавиатура;

·         жесткий диск объемом 2 ГБ, имеющий минимум 850 МБ свободного места.

 

Установка только с компакт-диска

·         El Torito—совместимый дисковод для компакт-дисков, который требуется для запуска программы установки без использования дисковода для гибких дисков.

·          1563: Deploying Windows 2000 Professional with IntelliMirror («Развертывание Windows 2000 Professional с IntelliMirror»).

 

Дополнительные сведения об офици­альных учебных курсах Microsoft (Microsoft Official Curriculum) по Windows 2000 см. на веб-узле Microsoft Training and Certification (Обучение и серти­фика­ция специалистов Microsoft) по адресу: http://www.microsoft.com/train_cert/

 

 
Установка с гибкого диска и компакт-диска

·         Дисковод 3,5для дискет высокой плотности как дисковод А и дисковод для компакт-дисков.

 

Сетевая установка

·         На компьютере должны быть установлены одна или несколько сетевых плат.

·         Доступ к сетевому ресурсу, содержащему файлы программы установки.

 

Память

·         Компьютеры с процессорами x86 : ОЗУ: минимально требуется 64 МБ (рекомендуется 128 МБ), максимально — 4 ГБ (с возможностью расширения до 64 ГБ на платформах на базе процессора Intel PAE для запуска систем Windows 2000 Advanced Server или DataCenter Server).

·         Компьютеры Alpha: ОЗУ: минимально требуется 64 МБ (рекомендуется 128 МБ или больше), максимально — 4 ГБ (с возможностью расширения до 32 ГБ на платформах Compaq Alpha для запуска систем Windows 2000 Advanced Server или DataCenter Server).

 

Дополнительный компонент

·         Мышь или иное указывающее устройство.

 

Совместимость системы Windows 2000

Программа установки Windows 2000 автоматически проверит имеющиеся аппаратные и программные средства и сообщит о любых потенциальных конфликтах. Однако, чтобы обеспечить правильность установки, необходимо определить совместимость аппаратных средств компьютера с системой Windows 2000 до запуска программы установки.

 

Список совместимого оборудования

Список совместимого оборудования (HCL) можно просмотреть, открыв файл Hcl.txt в папке Support на компакт-диске Windows 2000 Server. Если имеющееся оборудование отсутствует в этом списке, топровести установку, возможно, не удастся. При наличии доступа в Интернет новейшую версию HCL можно просмотреть на веб-узле по адресу: http://www.microsoft.com/hwtest/hcl

 

Система Windows 2000 Server поддерживает только устройства, перечисленные в списке совместимого оборудования. Если имеющееся оборудование отсутствует в этом списке, следует обратиться к изготовителю оборудования и выяснить, имеется ли для данного компонента драйвер Windows 2000. Если имеющаяся программа использует 16-разрядные драйверы, для обеспечения правильного функционирования программы после обновления системы следует получить у производителя программного обеспечения 32-разрядные драйверы.

 

Сведения о работе в сети

Если компьютер уже подключен к сети, перед началом установки необходимо получить у администратора сети следующую информацию.

·         DNS-имя этого компьютера (при работе в сети). Имена компьютеров могут иметь длину до 63 символов и содержать цифры от 0 до 9, прописные и строчные буквы и символ «дефис» (-).

·         Имя домена или рабочей группы, к которой нужно присоединиться (при работе в сети). Примером DNS-совместимого имени домена является мое_подразделение.моя_фирма.com.

·         I/P-адрес (если не используется DHCP-сервер). Если DHCP-сервер не используется, IP-адрес для этого компьютера можно присвоить вручную. Если в сети не используется DHCP-сервер и IP-адрес не присвоен, программа установки присвоит IP-адрес с ограниченным доступом.

·         Режим лицензирования. Система Windows 2000 Server поддерживает два режима лицензирования: «на рабочее место» и «на сервер». Если выбран режим «на рабочее место», для каждого компьютера, осуществляющего доступ к Windows 2000 Server, нужна отдельная клиентская лицензия (CAL). По одной клиентской лицензии отдельный клиентский компьютер может подключаться к любому количеству серверов, работающих под управлением системы Windows 2000. Этот режим лицензирования используется компаниями, имеющими несколько управляемых системой Windows 2000 серверов, наиболее часто. Режим лицензирования «на сервер» означает, что для каждого параллельного подключения к этому серверу требуется отдельная клиентская лицензия. Это значит, что в любое данное время такой сервер системы Windows 2000 Server может поддерживать фиксированное число подключений. Например, если был выбран режим лицензирования «на сервер» с пятью параллельными подключениями, в любое время к такому серверу системы Windows 2000 Server может быть подключено пять компьютеров (клиентов). Для этих компьютеров не будет требоваться никаких дополнительных лицензий. Небольшие компании, имеющие только один сервер системы Windows 2000 Server, часто предпочитают использовать режим лицензирования «на сервер». Этот режим полезен также для серверов Интернета или серверов удаленного доступа, когда клиентские компьютеры могут не иметь клиентских лицензий сети Windows 2000. Можно указать максимальное количество одновременных параллельных подключений к серверу и отклонять любые дополнительные попытки входа. Если сразу нельзя определить, какой режим использовать, лучше выбрать режим лицензирования «на сервер», т. к. один раз можно бесплатно изменить этот режим на режим «на рабочее место».

·         Какие необязательные компоненты системы Windows 2000 Server требуется установить.

Дополнительные сведения

Чтобы помочь пользователям спланировать и развернуть систему Microsoft Windows 2000 Server и связанные с ней продукты, на этом веб-узле собраны лучшие рекомен­дации, полученные от членов группы разработки и персонала службы консультаций (MCS) корпорации Майкрософт, других специалистов по развертыванию, а также сведения, основанные на опыте пользователей. Здесь можно узнать о возможностях и планиро­вании миграции с других версий, разных вариантах настройки и соответствующих ресурсах обучения.

http://www.microsoft.com/windows/server/deploy/default.asp

 

 
Варианты установки

Сначала необходимо определить, будет ли этот сервер присоединяться к домену или к рабочей группе. Если неизвестно, какой вариант выбрать или если этот компьютер не будет подключен к сети, следует выбрать вариант «рабочая группа». Если этот компьютер будет присоединяться к домену, администратор сети должен создать новую учетную запись компьютера в этом домене или сбросить существующую учетную запись.

 

Мастер установки Windows 2000 Server установит систему Windows 2000 Server как автономный сервер, если выбрано подключение к рабочей группе, и как сервер домена, если выбрано подключение к домену. Кроме того, если планируется сделать этот сервер контроллером домена, потребуется NTFS-диск для размещения службы Active Directory.

 

Варианты расширенной установки

Во время выполнения установки можно выбирать для нее некоторые дополнительные параметры. Если необходимо изменить способ установки системы Windows 2000, щелкните «Дополнительные параметры», затем выберите из экрана «Дополнительные параметры» один или несколько следующих дополнительных параметров установки.

·         Изменение принимаемого по умолчанию местонахождения файлов установки.

·         Имя папки для системных файлов, отличающееся от принимаемого по умолчанию (C:\Winnt).

·         Указание альтернативного информационного файла (inf-файл) установки.

·         Копирование всех файлов установки с компакт-диска на жесткий диск.

·         Выбор другого раздела жесткого диска для установки Windows 2000.

·         Создание гибких дисков запуска программы установки.

 

Дополнительная информация о процессе планирования развертывания и автоматизированных средствах установки содержится в руководстве Windows 2000 Server Deployment Guide («Руководство по развертыванию системы Windows 2000 Server»), входящему в состав набора ресурсов Windows 2000 Resource Kit.

 

Практические советы

·         Произведите архивацию существующих файлов на диск, ленточное устройство или другой сетевой компьютер. Способ выполнения архивации зависит от используемой операционной системы. По умолчанию программа Windows Backup установлена в операционных системах Windows NT 3.51 и Windows NT 4.0.

·         Отключите зеркальное отображение диска. Зеркальное отображение диска можно включить после завершения установки.

·         Отключите источник бесперебойного питания (ИБП). Программа установки Windows 2000 пытается автоматически обнаружить устройства, подключенные к последовательным портам; подключенные устройства ИБП могут привести к ошибкам процесса обнаружения.

·         Удалите все программы поиска вирусов, а также сетевые службы и клиентское программное обеспечение независимых производителей.

·         Перед началом обновления остановите все службы DHCP и WINS. Приведите базу данных (WINS или DHCP) каждого сервера в согласованное состояние, остановив соответствующую серверную службу. Это можно сделать с помощью служебной программы служб панели управления или путем ввода команды останова службы net stop <service> в окне командной строки.

 

Использование мастера установки Windows 2000

Мастер установки Windows 2000 поможет выполнить установку. Он собирает информацию о пользователе и компьютере, включающую язык и стандарты, имена, пароли и т. д. В процессе сбора информации потребуется ввести переменные параметры. Затем программа установки произведет копирование соответствующих файлов на жесткий диск, проверит оборудование и настроит параметры установки. После завершения установки можно входить в систему Windows 2000. (Примечание: в процессе установки компьютер будет несколько раз перезапускаться.)

 

Мастер установки Windows 2000 установит Windows 2000 Server как автономный сервер, если выбрано подключение к рабочей группе, и как сервер домена, если выбрано подключение к домену.

·         Введите DNS-имя домена или рабочей группы, к которым производится подключение. Примером DNS-имени домена имя.моя_компания.com.

·         Если данная сеть не использует сервер DHCP (Dynamic Host Control Protocol), IP-адрес для этого компьютера можно присвоить вручную.

 

Если вы хотите установить систему Windows 2000 без удаления существующей операционной системы, это можно сделать из экрана «Дополнительные параметры» программы установки. Дополнительные сведения об этом см. в разделе Dual Boot Configuration («Настройка двойной загрузки») файла AdvSetup.txt.

 


Настройка компонентов системы Windows 2000 Server

После завершения установки системы 2000 Server необходимо произвести настройку системы. Если пользователь вошел в систему с правами администратора, после входа в систему будет выведен интерфейс настройки сервера.

 

Подпись:

Рис. 1. Мастер Windows 2000 Server Configuration Wizard

 

Интерфейс настройки сервера содержит наиболее часто выполняемые задачи настройки. Он также поможет выполнить настройку первого сервера сети. Используя интерфейс настройки сервера, можно выбрать один компонент, например службы файлов, или несколько компонентов, например службы файлов и службы печати. Эти компоненты можно также выбрать позже, используя значок «Установка и удаление программ» панели управления.

 

Установка контроллера домена

1.     Нажмите кнопку Пуск, затем выберите команду Выполнить.

2.     Чтобы запустить мастер установки службы Active Directory, введите dcpromo и нажмите кнопку ОК.

3.     Следуйте указаниям мастера установки службы Active Directory.

 

 


Обновление до уровня системы Windows 2000 Server

Системы Windows NT Server 4.0, Windows NT Server 3.51 или Windows NT Server 4.0 Terminal Server можно обновить до уровня системы Windows 2000 Server. Кроме того, можно произвести обновление системы Windows NT Server 4.0 Enterprise Edition до уровня системы Windows 2000 Advanced Server.

 

Программа обновления автоматически устанавливает систему Windows 2000 Server в ту же самую папку, где находится текущая операционная система, сохраняя существующих пользователей, настройки, группы, права и разрешения. Кроме того, она сохраняет существующие приложения, если они совместимы с системой Windows 2000. Однако нельзя произвести непосредственное обновление версий системы Windows NT Server, более ранних, чем версия 3.51, до уровня системы Windows 2000. Если желательно произвести обновление более ранней версии, такую версию требуется сначала обновить до уровня версии 3.51 или 4.0.

 

Дополнительные сведения

Информационный документ. Migrating from Microsoft Windows NT Server 4.0 to Windows 2000 Server («Миграция с Microsoft Windows NT Server 4.0 на Windows 2000 Server)

Настоящий документ предназначен для ознакомления читателя с основ­ными концепциями, использованными для проведения миграции или новой реализации службы каталогов Active Directory системы Windows 2000 Server.

http://www.microsoft.com/ntserver/nts/deployment/migration/nt4tont5.asp

 

 
Обновление контроллеров домена систем Windows NT 4.0/3.51

При обновлении системы Windows NT Server до уровня системы Windows 2000 Server, можно выбрать как использовать новые возможности службы Active Directory системы Windows 2000 Server. Система Windows 2000 Server позволяет динамически изменять роль любого сервера — от контроллера домена до рядового или автономного сервера и наоборот любое число раз. Это позволяет легко и гибко удалять домены службы Active Directory.

 

В системе Windows 2000 существуют 3 основные роли сервера: автономный, рядовой сервер домена и контроллер домена. Программа установки производит автоматическое обновление системы следующим образом.

·         Основной контроллер домена (PDC) системы Windows NT становится контроллером домена.

·         Резервный контроллер домена (BDC) системы Windows NT может стать, в зависимости от выбора пользователя, контроллером домена или рядовым сервером.

·         Автономный или рядовой сервер системы Windows NT становится рядовым или автономным сервером системы Windows 2000.

 

При выполнении обновления можно сохранить целостность существующей сети следующим образом.

·         Удалите контроллер BDC из существующей сети системы Windows NT 4.0. При обновлении имеющегося контроллера PDC до Windows 2000 все еще будет иметься резервная система, которую, при необходимости, можно повысить до роли PDC.

·         Удалите тот контроллер PDC, который будет обновляться, из сети Windows NT 4.0. Затем произведите обновление. Заметьте, что для реализации этого варианта в существующей сети должно иметься несколько контроллеров BDC.

Если в существующей установке имеется несколько серверов и вам требуется установить контроллеры PDC и BDC, первым следует обновить контроллер PDC. После обновления контроллера PDC системы Windows NT 4.0 до контроллера домена службы Active Directory, сервер будет обладать полной обратной совместимостью. Тогда в многосерверной среде ваш домен будет функционировать в «смешанном режиме». Это означает, что для других серверов и клиентов, работающих под управлением системы Windows 2000, этот контроллер домена представляется контроллером домена системы Windows 2000, а для серверов и клиентов, несовместимых со службой Active Directory, он эмулирует контроллер PDC системы Windows NT. После выполнения обновления контроллера PDC следует обновить все контроллеры BDC. Корпорация Майкрософт рекомендует обновить все имеющиеся резервные контроллеры как реплики контроллера домена. Если в сети имеются дополнительные резервные контроллеры, следует сделать их архивные копии и поочередно обновить.

 

После завершения обновления всех серверов до уровня контроллеров домена системы Windows 2000 можно переключить сеть, чтобы она начала функционировать в «собственном режиме» (т. е. все контроллеры домена в домене обновлены до системы Windows 2000 Server). В такой домен нельзя установить Windows NT 4.0 или предыдущую систему.

 

Сам процесс обновления почти не требует усилий. Мастер установки обнаруживает и устанавливает соответствующие драйверы или создает отчет по устройствам, которые нельзя обновить, поэтому вы можете быть уверены в совместимости всех аппаратных и программных средств с системой Windows 2000.


РАЗДЕЛ 3

 

РЕШЕНИЕ ПРОБЛЕМ И удовлетворение потребностей ПОЛЬЗОВАТЕЛЕЙ

УПРАВЛЯЕМОСТЬ


Тенденции и проблемы

Сегодня администраторы сталкиваются не только с задачами распространения соответствующей среды для бизнес-вычислений на компьютеры пользователей, но и с проблемами поддержки этой среды и расходами, связанными с простоями. Они должны рассылать пользователям именно те приложения, которые необходимы им для выполнения работы, а также обеспечивать административное управление таким образом, чтобы поддерживать на должном уровне качество обслуживания и время безотказной работы оборудования для всего предприятия в целом.

 

Для снижения расходов на управление и поддержку большинство организаций создают три различные группы администраторов, каждая из которых отвечает за определенные задачи управления и удовлетворение определенных потребностей пользователей, но все они одинаково нуждаются в удаленных средствах управления и службах.

 

Управление рабочими местами

Цель:

·          обеспечить служащим необходимые им вычислительные ресурсы.

Проблемы:

·          множество конфигураций;

·          различные требования к управлению.

 

Управление сетями

Цель:

·          обеспечить нормальную работу сети.

Проблемы:

·          меняющиеся требования к пропускной способности;

·          множество возможных источников неисправности.

 

Управление центром обработки данных

Цель:

·          обеспечить доступность данных и служб.

Проблемы:

·          гарантия соответствующего уровня обслуживания;

·          сохранность ключевых данных;

·          соглашения об уровне обслуживания.

 

Управление рабочими местами

Управление рабочими местами, как правило, включает в себя однообразную работу — установку и обновление приложений, перемещение пользователей и т.д. Соответственно, диспетчеры поддержки рабочих мест часто работают на переднем крае, где выявляются диагностируются и устраняются проблемы. Из-за того что пользователи могут находиться на значительном расстоянии, специалисты, выполняющие поддержку рабочих мест, пытаются решить максимальное количество проблем, не подходя к каждому рабочему месту в отдельности. Это создает потребность в средствах администрирования, которые хорошо работают в удаленном режиме. Если все же посещения рабочего места избежать не удается, то перед ним специалист должен обладать точными данными о конфигурации данного рабочего места. Средства управления рабочим местом должны поддерживать широкий диапазон настроек и служб рассылки, включая рассылку приложений, средства измерения, профиль пользователя и средства управления политикой.

 

Управление сетью

Управление сетью включает в себя две, зачастую противоречащие друг другу, цели. Первая заключается в передаче как можно большего объема данных при отличной работоспособности, доступности и безопасности. Вторая — израсходовать как можно меньшие средства на оборудование, обслуживание и поддержку. Управление сетью зависит от одновременного контроля за состоянием сотен, тысяч или даже десятков тысяч сетевых устройств еще в большей степени, чем центр обработки данных или управление рабочими местами. В идеальном случае средства управления будут предупреждать о возникновении проблем, автоматически отмечая их по мере появления и выдавая при необходимости предупреждения.

 

Управление центром обработки данных

Диспетчеры центра обработки данных обычно предоставляют службы работы с приложениями большим группам пользователей и, следовательно, в наибольшей степени связаны с обеспечением наибольшего совокупного периода работоспособности разосланных пользователям приложений. В связи с концентрацией усилий на обеспечении большого числа пользователей надежными службами для работы с приложениями, а также из-за того, что эти службы обычно запускаются с небольшого числа серверов, диспетчеры центра обработки данных, как правило, в большей степени отвечают за целостность, безопасность и учет данных, чем диспетчеры поддержки рабочих мест. Кроме того, диспетчеры центра обработки данных обычно тратят больше времени (в расчете на один сервер) на обслуживание и обновление, чем диспетчеры рабочих мест. В связи с этим инструментальные центры обработки данных должны быть гибкими.

 

Потребности

 

Проблемы

«Цель управления инфраструктурой, приложениями и службами сместилась от контроля и управления свойствами управляемого объекта к обеспечению уровня услуг, получаемых конечным пользователем… Ставшая причиной этого неспособность создания моделей корпоративной информаци­онной архитектуры как статического стека семантически автономных уровней привела к необходимости интеграции управления сетями и распределенными системами. Как минимум, понадобится предоставить единую гибкую модель, связывающую друг с другом сети, системы, вспомо­гательное программное обеспечение, приложения и службы конечных поль­зователей.»

 

Giga Information GroupIntegrating Network & Systems Management, 19 ноября 1998 г.

 

 
Инфраструктура для создания пользовательских административных решений

Службы управления, поставляемые в стандартном составе операционной системы, работают как инфраструктура управления, обеспечивая фундамент с высоким уровнем масштабирования, на основе которого помимо базового уровня общих функций управления можно создавать современные средства управления. Таким образом, организации получают доступ к полному пакету административных решений, реализуя каждую из административных функций с помощью наиболее подходящей технологии. Наличие в операционных системах указанных служб обеспечивает условия, при которых разработчикам административных решений не придется заново создавать эти службы. При этом также обеспечивается стандартный и совместимый формат служб.

 

Гибкие, простые в эксплуатации и мощные средства управления

Средства управления должны допускать использование предоставляемых операционной системой служб управления для обеспечения следующих основных административных функций.

·            Управление изменениями и конфигурацией — эта функция с помощью политик предоставляет пользователям все необходимые доступные данные, приложения и настройки с целью обеспечения полной работоспособности системы и ее оптимальной конфигурации для выполнения соответствующих рабочих заданий.

·            Управление безопасностью — эта функция позволяет администраторам защитить информационные ресурсы своей организации.

·            Мониторинг быстродействия и уведомление о событиях — оценка ожидаемой потребности в ресурсах и быстродействии, а также наблюдение за работоспособностью и состоянием систем предприятия.

 

Для предприятий малого и среднего размеров эти стандартные средства могут обеспечить все потребности по управлению компьютерными системами и снижению совокупной стоимости владения. Однако более крупным организациям могут понадобиться дополнить базовые средства путем разработки или приобретения более усовершенствованных, полнофункциональных дополнительных административных решений по управлению компьютерными системами на уровне предприятия.

 

Поддержка широкого диапазона дополнительных решений

Ни один поставщик не может предоставить все необходимые крупной организации средства для управления предприятием. Следовательно, операционная система должна предоставить административные службы, позволяющие осуществлять интеграцию с популярными административными платформами независимых производителей для создания действенных решений по управлению предприятием. Как правило, независимые производители вынуждены тратить много времени на разработку низкоуровневых систем, необходимых для поддержки своих средств управления. Это не только отнимает время, которое могло быть потрачено на создание дополнительных возможностей самих средств управления, но и ограничивает возможности интеграции решений даже в том случае, когда используются решения по управлению зонтичного типа. Разработчики и поставщики решений должны иметь возможность концентрировать усилия на построении функций управления, а не на создании низкоуровневых систем. Они должны знать, что необходимая им инфраструктура легко доступна и заключена в самой операционной системе.


Решения в области средств управления сервера Windows 2000 Server

Дополнительные сведения

Информационный документ. Introduction to Windows Management Services (Введение в службы управления Windows)

В настоящем документе представлен обзор служб управления Windows, которые будут обеспечивать основ­ные функциии управления в этой операционной системе.

http://www.microsoft.com/ntserver/windowsnt5/techdetails/overview/ManagIntro.asp

 

Информационный документ. Using the MMC Console (Использование консоли управления MMC)

В настоящем документе представлен обзор пользовательского интерфейса и архитектуры консоли управления MMC (включая несколько примеров изображения экрана).

http://www.microsoft.com/ntserver/management/Techdetails/ProdArchitect/mmc.asp

 

Информационный документ. WMI Overview (Обзор инструментария управления Windows)

В настоящем документе описано, каким образом инструментарий WMI и модель COM работают совместно друг с дру­гом и упрощают управление системами.

http://www.microsoft.com/ntserver/management/Techdetails/TechSpecs/WMIOverview.asp

 

Информационный документ. Windows 2000 Server Task Scheduler (Планировщик заданий Windows 2000 Server)

В настоящем документе описывается планировщик заданий.

http://www.microsoft.com/windows/server/Technical/management/task_scheduler.asp

 

 
Чтобы обеспечить перечисленные потребности и быстро и надежно распространять средства, необходимые администраторам рабочих мест, администраторам центров обработки данных и сетевым администраторам, в операционной системе Windows 2000 Server была создана превосходная инфраструктура управления и набор простых в эксплуатации интегрированных средств.

 

Инфраструктура управления обеспечивает набор различных услуг, которые в совокупности делают операционную систему Windows 2000 Server наилучшей средой для создания средств управления и выполнения операций управления. Операционная система Windows 2000 Server рассылает набор средств, поставляемых в комплекте с самой операционной системой. Эти службы также используются как основные составляющие дополнительных решений по управлению, таких как Microsoft Systems Management Server и продукты для управления независимых производителей.

 

Инфраструктура управления Windows 2000 Server

В частности инфраструктура управления Windows 2000 Server содержит следующие службы.

·         Службы презентации — пакет средств, предоставляющих внутренне согласованный интерфейс для всех операций управления.

·         Инструментальные службы — набор основанных на стандартах средств низкого уровня для сбора данных, отбирающих необходимую для администратора управляющую информацию.

·         Службы сценариев — поддержка исполнения сценариев, встроенная в операционную систему. Позволяет администратору упростить автоматизацию процессов с использованием предпочтительных для него языков программирования.

·         Службы каталогов — основанный на стандартах набор сведений о ресурсах, позволяющий централизовать управление пользователями и ресурсами.

·         Службы безопасности — присвоение прав управления доступом, аудит и управление ресурсами.

·         Службы групповой политики — наследуемые возможности для службы Active Directory, позволяющие рассылать ряд служб, что даст администраторам возможность связать конкретные конфигурации с конкретными группами пользователей.

·         Службы терминалов — эмуляция рабочих мест с операционной системы Windows 2000 и работающими в системе Windows приложениями, реализующаяся путем запуска их с сервера.

 


Службы презентаций

Преимущества

·          Внутренне согласованный способ просмотра и управления инфор­мацией.

·          Простое делегирование заданий управления другим пользо­вателям.

·          Подход к управлению на основе заданий.

 

 
Администраторы должны иметь возможность быстро и надежно находить информацию, работая в среде Windows 2000 Server. Это позволит им своевременно выявлять и устранять проблемы, что соответственно снижает затраты. Основную технологию инфраструктуры управления, разработанную для обеспечения внутренне согласованного представления управляющей информации, называют консолью управления MMC.

 

Консоль управления MMC представляет собой фундамент общей консоли с расширяемой базой ISV (Independent Software Vendor — независимый производитель программного обеспечения) для приложений управления. Сама по себе консоль является интерфейсом MDI (Windows-based multiple document interface — многодокументным интерфейсом ОС Windows), интенсивно использующим технологии Интернета. Интерфейс MMC не определяет какой-либо режим администрирования, однако, он предоставляет общую среду для работы надстроек, написанных как корпорацией Майкрософт, так и независимыми производителями программного обеспечения. Фактический режим администрирования определяют оснастки.

Подпись:

Программируемые интерфейсы MMC позволяют интегрировать оснастки с консолью. Эти интерфейсы работают только с расширениями пользовательских интерфейсов. Способ выполнения каждой оснасткой своей задачи всецело определяется самой оснасткой. Взаимосвязь надстроек с консолью осуществляется через совместно используемую общую установленную среду, а также благодаря интеграции между приложениями. Сама по себе консоль не задает режим управления.

Рис. 2. Консоль управления (Microsoft) с различными надстройками службы Active Directory

 
 


И корпорация Майкрософт, и независимые производители программного обеспечения могут разрабатывать средства управления для работы в среде консоли управления MMC; и корпорация Майкрософт, и независимые производители программного обеспечения могут также писать приложения, управляемые административными средствами консоли управления MMC. Консоль управления MMC является частью пакета SDK (Windows Software Developers Kit - набор для разработчиков программного обеспечения) и поставляется для общего пользования.

 

Администраторы создают свои средства на основе различных оснасток и приобретают их у различных поставщиков. Администраторы могут сохранять созданные ими средства для последующего использования или совместного использования с другими администраторами. Эта модель предоставляет администраторам эффективное средство для настройки, а также позволяет создавать различные средства разного уровня сложности для делегирования задач. Администраторы просто принимают решение о настройке оснасток, которые они хотят использовать для решения конкретной проблемы, затем они могут сохранить эту настройку в виде составного файла и послать этот файл другим администраторам как среду администрирования для использования в конкретной ситуации.

Консоль управления MMC является результатом усилий корпорации Майкрософт, направленных на создание более эффективных средств для администрирования операционной системы Windows и поддержки более простого администрирования благодаря интеграции, делегированию, ориентации на задания и общему упрощению интерфейса, то есть решению всех основных проблем пользователя.

 

Инструментальные службы

Преимущества

·          Более подробная, внутренне со­гласованная управляющая ин­формация для администратора.

·          Единый интерфейс данных для всех средств сбора управляющей информации.

·          Поддержка промышленного стан­дарта управления.

 

 
Сегодня администраторы обращаются к устройствам и процессам администрирования с использованием множества различных инструментальных процессов. Операционная система Windows 2000 Server поддерживает инициативу группы DMTF (Desktop Management Task Force) по стандартам WBEM (Web-Based Enterprise Management — управление предприятием через Веб), используя встроенную технологию, известную под названием WMI (Windows Management Instrumentation — инструментарий управления Windows). Эта технология предоставляет механизм унификации для доступа к данным и объединения информации, поступающей из многих источников управления.

 

В операционной системе Windows 2000 Server для инструментария WMI предусмотрены компоненты для работы как в привилегированном, так и в пользовательском режимах. WMI объединяет средства управления из множества различных источников в единую модель и выражает ее с помощью совместимой со стандартами WBEM схемой данных, известной как CIM (Common Information Model — общая информационная модель). Посредством CIM инструментарий WMI предоставляет управляющим приложениям, используемым администратором, единый внутренне согласованный метод доступа ко всем управляемым устройствам, драйверам, службам и приложениям. При работе на привилегированном уровне операционной системы Windows 2000 Server средства WMI используются для управления драйверами, работающими в рамках WDM (Windows Driver Model — модели драйверов Windows). Также имеются службы для сбора данных из 32-х разрядной среды операционной системы Windows, данных из реестра, с системного монитора, а также данных, поступающих по протоколам SNMP и DMI. С помощью инструментария WMI все эти данные сводятся воедино, а затем предоставляются через модель CIM.

Это означает, что средства управления, которыми пользуется администратор, легко позволяют собирать данные от модели CIM вместо того, чтобы направлять различные самостоятельно разработанные запросы в среду операционной системы. Кроме того, поскольку CIM является стандартной моделью для предоставления управляющих данных, администраторы могут проще объединять данные, полученные из операционной системы Windows, с данными, собранными от других сетевых устройств таких, как маршрутиризаторы.

 

С помощью средств WMI управляющее приложение, работающее в среде с установленной операционной системой Windows, может использовать приложения на основе моделей DCOM/COM для доступа, мониторинга и управления устройствами и приложениями либо в качестве отдельных элементов, либо как взаимозависимых в рамках предприятия компонентов. Эти интерфейсы доступны для программ и сценариев либо непосредственно через собственные пакеты интерфейсов API, либо через ODBC, OLE DB и ADSI. Из сред, в которых операционная система Windows не установлена, доступ к схеме также возможен. Он осуществляется с помощью веб-технологий таких, как XML, HTML и ASP.

 

В настоящее время многие средства управления пишутся в расчете на использование интерфейса CIM. Например, Systems Management Server 2.0 собирает таким образом подробную информацию. Компании BMC Software Inc., Compuware Corp., Computer Associates International Inc., Hewlett-Packard Co. и Tivoli Systems Inc. объявили о том, что они представят средства управления для операционной системы Windows 2000 Server с использованием интерфейса CIM, собирая информацию, предоставленную непосредственно инструментарием WMI.

 


Службы сценариев

Преимущества

·          Простая автоматизация общих задач управления.

·          Поддержка большинства обще­применимых языков для написа­ния сценариев.

·          Внутренне непротиворечивая система откликов на события управления.

 

 
Администраторы должны иметь возможность автоматизировать задания администрирования как для того, чтобы снизить перегрузку, возникающую при многократном выполнении задания, так и для обеспечения стабильности управляющих операций. Например, для обеспечения корректирующих действий в отсутствии администратора может потребоваться выдача автоматического отклика. Чтобы обеспечить возможность такой автоматизации операционная система Windows 2000 Server предоставляет ряд служб сценариев, основным из которых является WSH (Windows Scripting Host — сервер сценариев Windows).

 

Дополнительные сведения

Информационный документ. Windows Scripting Host (WSH) (Сервер сценариев Windows)

В настоящем документе представлено краткое описание сервера WSH, неза­висимого от языка сервера сценариев для 32-хразрядных платформ Windows.

http://www.microsoft.com/windows/server/Technical/management/winscrwp.asp

 

 
WSH представляет собой независимый от языка сервер сценариев для модулей сценариев ActiveX® на 32-х разрядных платформах Windows. WSH позволяет запускать сценарии непосредственно с рабочего стола или из командной строки. WSH поддерживает сценарии, написанные на алгоритмических языках Microsoft Visual Basic Scripting Edition (VBScript) и Microsoft JScript™. При этом предполагается, что прочие компании, разрабатывающие программное обеспечение, предоставят модули сценариев ActiveX для таких языков, как Perl, TCL, REXX, Python и др.

 

WSH предоставляет два интерфейса ActiveX. Администраторы могут использовать объектные интерфейсы, предоставленные сервером WSH, а также любые элементы управления ActiveX, которые предоставляют интерфейсы для автоматизации ActiveX для выполнения различных административных задач на платформе Windows.

 

Автоматизация может осуществляться заданием в сценарии действий, являющихся откликами на одно или более событий. При этом сценарий управляет приложениями либо непосредственно, используя технологию ActiveX Automation, либо косвенно, через модель CIM. В более сложных случаях действие может выполняться в результате событий, произошедших в течение определенного времени в определенной последовательности.

 

Администраторы могут также использовать объектные интерфейсы, предоставленные сервером WSH и любыми элементами управления ActiveX, которые могут пользоваться интерфейсами Automation для выполнения различных административных заданий в операционной системе Windows.

 


Службы каталогов

Преимущества

·          Единые пункт администрирова­ния для всех сетевых ресурсов.

·          Создает пользовательские пред­ставления каталога через иерар­хию доменов или подразделений.

·          Простое делегирование админи­стративных заданий.

·          Простое создание сценариев для автоматизации административ­ных заданий.

 

 
Служба каталогов Active Directory операционной системы Windows 20000 Server позволяет создать единый пункт администрирования для всех публикуемых ресурсов, которые могут включать в себя файлы, периферийные устройства, подключения серверов, базы данных, право доступа в Веб, пользователей и пр. Для обеспечения более простого и гибкого администрирования служба Active Directory построена на расширяемом модуле хранения данных, что позволяет расширять каталог для поддержки миллионов объектов и одновременно с этим организовать каталог как иерархию доменов и подразделений. Такая простая система хранения данных позволяет преодолеть ограничения основанной на реестре базы данных SAM, используемой в операционной системе Windows NT Server 4.0, и развить существующую модель доменов в новую модель «дерева деревьев». Благодаря организации пространства имен в виде иерархической структуры не нужно больше просматривать простые списки, состоящие из десятков тысяч пользователей.

 

Возможность административного деления службы Active Directory также позволяет создавать небольшие домены и подразделения, которыми легко управлять, что позволяет организациям и поддерживающим их сетям разрастаться до значительных размеров. Таким образом, принцип управления крупными предприятиями не отличается от принципа управления небольшими — просто на более крупных предприятиях работает большее количество администраторов.

 

Администрирование еще более упрощается, поскольку в этой структуре отсутствует понятие о PDC (primary domain controller — основной контроллер домена) или о BDC (backup domain controller — резервный контроллер домена). Служба Active Directory использует только DC (domain controllers — контроллеры доменов), и все контроллеры являются равноправными. Администратор может внести изменения в любой DC, и обновления будут реплицированы на все прочие контроллеры доменов.

 

Служба Active Directory также предоставляет интуитивные и мощные средства администрирования и поддерживает автоматизацию и сценарии OLE, что позволяет администраторам писать командные процедуры для автоматизации административных заданий. Это сделало возможным добавлять, изменять, перемещать, копировать и выполнять прочие административные функции с помощью сценариев, как использующих средства Active Directory, так и написанных на таких языках программирования, как Visual Basic, Java и пр.

 

В заключение приведем несколько основных новых возможностей службы Active Directory, упрощающих управление пользователями и ресурсами.

·         Масштабируемость с эффективной и простой в администрировании возможностью хранения, размещения и управления большого количества объектов.

·         Иерархическая структура, позволяющая делегировать административные задачи.

·         Архитектура каталога, позволяющая быстро и эффективно осуществлять запрос большого количества объектов.

·         Оптимизированное реплицирование для снижения трафика по каналам глобальной сети с низкой пропускной способностью.

·         Возможность написания сценариев для автоматизации общих административных задач.

 

Более подробное описание службы Active Directory и ее возможностей по управлению будет включено в раздел «Сценарий использования сервера инфраструктуры».

 

Преимущества

·          Простая в управлении функция предоставления разрешений и прав большому числу пользо­вателей.

·          Простая в настройке политика безопасности.

·          Автоматическое установление отношений доверия между до­менами.

·          Возможность задания степени разделения прав доступа.

 

 
Службы безопасности

Механизмы безопасности, которыми сложно управлять или которые сложно поддерживать, часто приводят к ослаблению безопасности системы независимо от реально используемого в них принципа. Связанные с безопасностью инциденты чаще всего происходят не тогда, когда отсутствуют какие-либо элементы управления безопасностью, а когда они неправильно настроены, что приводит к ошибочному выбору степени доверия к ненадежным системам.

 

Для обеспечения простоты настройки безопасности в операционной системе Windows 2000 Server службы безопасности тесно интегрированы со службой Active Directory. В службе Active Directory хранится информация о политиках безопасности доменов такая, как ограничения на пароль в пределах данного домена и привилегии доступа в систему, то есть информация, которая имеет прямое отношение к использованию системы. Во избежание несанкционированных изменений, которые могут повлиять на общую безопасность системы, необходимо иметь возможность управлять объектами каталога, связанными с безопасностью. Операционная система Windows 2000 Server включает в себя объектно-ориентированную концепцию безопасности и управление доступом для всех объектов службы Active Directory. Каждый объект в службе Active Directory получает уникальный дескриптор, определяющий разрешения на доступ, необходимые для чтения или обновления свойств объекта.

Подпись:  Компоненты службы безопасности операционной системы Windows 2000 Server могут доверять связанной с безопасностью информации, хранящейся в каталоге. Например, служба проверки подлинности операционной системы Windows 2000 Server хранит зашифрованную информацию о паролях в защищенной части объектов-пользователей каталога. Операционная система полагается на безопасное хранение информации политики безопасности и считает, что ограничения по учетным записям или членство в группе не могут быть изменены кем-либо, не имеющим права доступа. Кроме того, в данном каталоге хранится информация политики безопасности для всего домена.

 

Эта фундаментальная взаимосвязь между службой безопасности и службой Active Directory достигается только благодаря полной интеграции каталога с операционной системой Windows 2000 Server и не доступна иными способами.

Рис. 3. Стандартные политики безопасности для домена службы Active Directory

 
 


В заключение приведем несколько основных новых возможностей, упрощающие управление безопасностью.

·         Служба Active Directory обеспечивает хранение всей информации политики безопасности доменов и учетных записей.

·         Права администратора по созданию учетных записей пользователей или групп и управлению этими записями могут быть делегированы на уровень подразделений, которым могут быть предоставлены права доступа к отдельным свойствам объектов-пользователей.

·         Репликация службы Active Directory позволяет вносить обновления в учетные записи пользователей с любого контроллера домена, а не только с PDC (Primary Domain Controller — основной контроллер домена).

·         Управление доверительными отношениями между доменами упрощается благодаря распространению доверия на все дерево доменов в целом.

 

Более подробно описание службы безопасности распределенной системы будут включены в раздел «Требования к пользователям в отношении безопасности».


Служба групповой политики

Преимущества

·          Простота назначения пользова­телям приложений, конфигураций и данных.

·          Поддержка перемещения конфи­гураций рабочего места.

·          Обеспечение правильной уста­новки приложений.

·          Автоматическое исправление неправильно установленных приложений.

 

 
Для рассылки пользователям непротиворечивой и надежной информации в операционной системе Windows 2000 Server усилен и дополнен ряд средств управления политикой и ряд возможностей, предназначенных для обеспечения условий, при которых приложения, данные и конфигурации рабочего места могли бы перемещаться вслед за пользователями. Для поддержки этих средств и возможностей, описанных ниже в настоящем документе, в операционную систему Windows 2000 Server добавлен ряд служб групповой политики.

В операционной системе Windows 2000 Server групповые политики определяют связанные с пользователем и с компьютером настройки для групп пользователей и компьютеров. Администраторы могут создавать специальные конфигурации для отдельных групп пользователей и компьютеров с помощью оснастки консоли управления групповой политикой. Созданные администраторами настройки групповой политики хранятся в GPO (Group Policy Object — объекте групповой политики), который, в свою очередь, связан с выбранными объектами службы Active Directory, такими как сайты, домены или подразделения.

С помощью групповой политики и ее расширений администраторы определяют параметры групповой политики для задания конфигураций рабочих мест для компьютеров и пользователей. С помощью редактора групповой политики администраторы могут задать следующие параметры.

·         Политики программного обеспечения — для задания обязательных параметров реестра на рабочем месте, включая компоненты операционной системы и приложения.

·         Сценарии — такие как запуск и отключение компьютера, вход в систему и выход из нее.

·         Параметры установки программного обеспечения — например приложения, доступные для пользователей, и приложения, которые появляются на их рабочем столе.

·         Пользовательские данные и настройки — для развертывания файлов и переназначения специальных папок.

·         Настройки безопасности — например, для задания настроек безопасности локальных компьютеров, доменов и сети.

 

Дополнительные сведения

Информационный документ Windows 2000 Group Policy (Политика групп Windows 2000)

В настоящем документе описывается политика групп операционной системы Windows 2000. Здесь приводятся сведения об инфраструктуре и механизме действия политики групп, административных средствах и их возможностях, о расширении функциональных возможностей политики групп и использовании политики групп на автономных компьютерах.

http://www.microsoft.com/windows/server/Technical/management/grouppolicy.asp

 

 
Объект групповой политики

Когда администраторы используют групповую политику, они формируют ее настройки, содержащиеся в объекте групповой политики. Эти объекты групповой политики, в свою очередь, связаны с объектами выбранного каталога (сайтами, доменами или подразделениями).

 

Инфраструктура групповой политики

Администраторы создают групповую политику, используя оснастку консоли управления MMC групповой политикой либо как независимое средство, либо как расширение диспетчера Active Directory и диспетчера сайта и служб Active Directory путем управления групповой политикой. Все настройки групповой политики содержатся в объектах групповой политики, связанных с контейнерами службы Active Directory (сайтами, доменами или подразделениями), что позволяет использовать и расширять службу Active Directory.

 

Администраторы могут фильтровать воздействие групповой политики на компьютеры и пользователей, используя с помощью членства в группах безопасности и задания расширений в списках управления доступом ACL. Такой подход приводит к более быстрой обработке объектов групповой политики и позволяет применить групповую политику к группам безопасности. Более того, администраторы могут ограничить сферу действия объектов GPO с помощью групп безопасности и списков ACL.

В групповой политике используется подход, основанный на документах. Объекты GPO относятся к групповой политике так же, как DOC файлы относятся к Microsoft Word.

 

Административные шаблоны

Групповая политика требует от источника создать такие настройки пользовательского интерфейса, которые может задать администратор. С этой целью в групповой политике может использоваться либо оснастка расширения консоли управления MMC к оснастке групповой политики, либо файл ASCII, который называют файлом административного шаблона (ADM-файлом). ADM-файл задает параметры реестра, которые могут быть изменены с помощью расширения политик программного обеспечения, относящегося к групповой политике. ADM-файл состоит из иерархии категорий и подкатегорий, совместно определяющих, каким образом на пользовательском интерфейсе групповой политики отображаются те или иные параметры. В этом файле также указаны места в реестре, в которые должны быть внесены изменения при выборе определенных элементов, указаны все параметры и ограничения (численные), связанные с данным выбором, а в некоторых случаях также указаны принятые по умолчанию значения, используемые при активизации выбранного элемента.

 

Групповая политика

Групповая политика представляет собой оснастку консоли управления MMC включающую в себя встроенные средства групповой политики. Групповая политика задает различные компоненты среды пользователя, которой должен управлять системный администратор, и включает в себя настройки программного обеспечения, параметры развертывания приложений, сценарии, пользовательские данные и параметры настройки, а также настройки, относящиеся к безопасности.

 

Редактор развертывания приложений

Редактор развертывания приложений представляет собой относящееся к групповой политике расширение оснастки консоли управления MMC, которое администраторы используют для централизованного управления рассылкой программного обеспечения в своих организациях. С помощью редактора развертывания приложений администраторы могут устанавливать, назначать, публиковать, обновлять, восстанавливать и удалять программное обеспечение для групп пользователей и компьютеров.

 

Служба Windows Installer

Служба Windows Installer отвечает за установку, изменение, восстановление и удаление приложений для управления. Служба Windows Installer включает в себя службу установки, резидентно загруженную в операционную систему, стандартный формат для управления компонентами, а также интерфейс управления API для приложений и программных средств.

 

Резидентная служба установки

Служба Windows Installer представляет собой компонент операционной системы Windows 2000 Server. Она также будет поставляться в составе дистрибутивного пакета для платформ Windows 9x и Windows NT Server 4.0. Пакет обновления для этих платформ, содержащий службу Windows Installer, будет доступен разработчикам, и они смогут распространять его вместе со своими продуктами. Однажды установленная в операционную систему служба Windows Installer может обрабатывать запросы на установку, поступающие от приложений, устанавливаемых с помощью службы Windows Installer.

 

С помощью службы Windows Installer корпорация Майкрософт реализовала свои усилия по внедрению правил правильной установки в саму операционную систему. Приложения должны описать себя в стандартном формате Windows Installer, и служба Windows Installer выполнит установку этих программ «от их имени». В последующих версиях программ с эмблемой «Для Microsoft Windows» будет предусмотрено использование для установки службы Windows Installer.

 

Формат управления компонентами

Служба Windows Installer рассматривает все приложения как три логических строительных блока — продукты, компоненты и элементы.

·         Продукт — соответствует одному пакету.

·         Компонент — обозначает часть продукта с точки зрения пользователя.

·         Элемент — обозначает часть продукта с точки зрения разработчика.

 

Термин «ресурс» обозначает часть продукта, которая должна быть установлена на компьютере, например файл.

 

Продукт с позиций службы Windows Installer обычно представляет собой один программный продукт, например Microsoft Word; он может также соответствовать целому набору приложений, например Microsoft Office. Продукт состоит из одного или более компонентов. Каждый продукт описывается для службы Windows Installer в форме одного файла-пакета (MSI-файла). Продукт не обладает напрямую какими-либо ресурсами, но у него есть глобальный уникальный код, называемый кодом продукта. Этот код продукта позволяет службе Windows Installer однозначно идентифицировать приложения, являющиеся клиентами заданных элементов (Windows Installer хранит список клиентских продуктов для каждого элемента) и быстро определить, установлен ли уже данный продукт на том или ином компьютере.

 

Каждый продукт Windows Installer описывается в форме одного файла-пакета Windows Installer. Файл-пакет (MSI) записан в формате базы данных, оптимизированном для быстрой установки и описывает, помимо прочего, взаимозависимости между компонентами, элементами и ресурсами для данного продукта. При установке служба Windows Installer открывает файл-пакет для данного продукта и использует содержащуюся в нем информацию для определения операций, которые должны быть выполнены для установки данного продукта.

 

Компоненты являются частями приложений, которые пользователь может выбрать для установки, и обычно соответствуют функциональным возможностям самого приложения. Когда пользователь выбирает вариант установки в программе установки, то части приложения, выбранные для установки, приблизительно соответствуют компонентам. Примером компонента является функция «Правописание» в текстовом процессоре Microsoft Word.

 


Элемент представляет собой пакет файлов, разделов реестра и прочих ресурсов, которые устанавливаются или удаляются как единое целое. Если один из элементов выделен для установки или удаления, это означает, что установлены или удалены будут и все остальные ресурсы данного элемента. Элементы представляют собой строительные блоки, скрытые от пользователя. Только разработчику нужны сведения о том, какие элементы входят в данное приложение. Каждому элементу присваивается код GUID (globally unique identifier — глобальный уникальный код). Код GUID не допускает конфликта между элементами, указывая, какие из них отличаются друг от друга. Примерами элементов приложения Microsoft Word являются «Правописание» и «Словари».

 

Интерфейс управления

Windows Installer предоставляет интерфейс управления (API), который позволяет задействовать программные средства и приложения для выполнения следующих задач:

·         составление описи содержимого компьютера;

·         установка и настройка продуктов;

·         установка и настройка компонентов;

·         определение пути к конкретным элементам установленным на компьютере.

 

Важной функцией интерфейса управления является то, что этот интерфейс позволяет службе Windows Installer управлять всеми частями файла «от имени самого приложения». Во время работы приложение, устанавливаемое службой Windows Installer, может запросить у этой службы путь к определенному элементу. Такой уровень косвенного управления освобождает приложение от жесткой связи с фиксированными путями к файлам, которые часто различаются на разных компьютерах (например, в среде с перемещающимися пользователями) и иногда могут указывать на отсутствующие файлы. Таким образом, приложения, рассчитанные на использование службы Windows Installer, получают дополнительные возможности поддержки перемещающихся пользователей, установки по требованию и восстановления ресурсов во время работы.

 

Установка продуктов по требованию

Служба Windows Installer поддерживает объявления на уровне продукта. В операционной системе Windows 2000 Server и оболочка, и OLE используют интерфейс управления (API) службы Windows Installer. Следовательно, весь продукт может быть объявлен в операционной системе Windows 2000 Server. При объявлении продукта устанавливаются только ссылки на продукт, например ярлыки на рабочем столе и в меню «Пуск», сопоставления с расширением имени файла и регистрация OLE. Когда пользователь активизирует данное приложение из одной из точек вызова, операционная система вызывает службу Windows Installer для установки необходимых компонентов объявленного продукта. После завершения установки служба Windows Installer возвращает путь к вновь установленному приложению назад в операционную систему, которая затем запускает приложение.

 

Установка по требованию из приложения

Возможность установки по требованию обеспечивает условия, при которых пользователям доступны все компоненты приложений, включая те, которые не были установлены прежде. Чтобы добавить эти компоненты, пользователям не нужно снова запускать программу установки.

Чтобы добавить компонент, приложение при первом запросе пользователем данного компонента просто вызывает службу Windows Installer, устанавливающую компонент. Это возможно, поскольку компонент был объявлен. Например, во время установки пакета Microsoft Office пользователь может выбрать, объявлять ли какой-либо конвертер файлов (конвертер файлов представлен одним компонентом). Если для работы приложения Microsoft Word когда-либо потребуется данный конвертер файлов, он может быть установлен «от имени пользователя», при этом пользователю не нужно будет выполнять стандартный процесс установки.

 

Восстановление ресурсов во время работы

Интерфейс управления (API) службы Windows Installer позволяет в динамическом режиме восстанавливать приложения. Это осуществляется почти таким же образом, как и установка по требованию. Когда приложение обращается к службе Windows Installer для разрешения пути, Windows Installer выполняет две проверки.

Во-первых, проверяется, установлен ли запрашиваемый элемент. В случае, если компонент или продукт объявлены, а элемент не установлен, можно произвести установку по требованию. Во-вторых, проверяется правильность установки элемента. Windows Installer проверяет существование «основного пути» и определяет, не испорчен ли данный элемент. (Основным путем называют заданный пользователем ресурс элемента, обычно в качестве основного пути выбирают файл, но можно выбрать и параметр реестра.) В случае отсутствия основного пути, можно выполнить восстановление по требованию. Эта операция осуществляется так же, как и установка по требованию. Таким образом, приложение может быть восстановлено во время обычной работы.

 


Службы терминалов

Службы терминалов предоставляют возможности операционной системы Microsoft Windows 2000 рабочим местам, на которых в данный момент нельзя запустить операционную систему Windows 2000 Professional. Службы терминалов обеспечивают доступ клиентов к приложениям, полностью работающим на сервере с установленной операционной системой Windows. Это достигается благодаря поддержке на сервере нескольких сеансов клиентов с эмуляцией терминала. Сервер управляет всеми вычислительными ресурсами для каждого подключенного к серверу клиента и обеспечивает собственной средой всех вошедших в систему пользователей.

 

Сценарии использования

Преимущества

·          Доступ к новейшим бизнес-прило­жениям.

·          Согласованность приложений в рамках всей организации.

·          Удаленное управление рабо­чими местами пользователей.

·          Простота развертывания прило­жений на различающихся рабо­чих местах.

 

 
Пользователи могут применять службы терминалов в трех основных областях.

 

Мостик к Windows 2000 для устаревших рабочих мест

Организации, использующие операционную систему на различном оборудовании, включая терминалы, ПК более старых моделей или устаревшие устройства такие, как рабочие станции UNIX или компьютеры Макинтош (для клиентских устройств, на которых не установлена операционная система Windows, необходимо дополнительно установить продукт Citrix MetaFrame), могут использовать службы терминалов в качестве мостика во время своих технических миграций. Создав рабочее место Windows 2000 путем эмуляции этой операционной системы, можно сразу перейти в новую инфраструктуру Windows 2000, предоставив пользователям доступ к новейшим приложениям и ко всем возможностям Windows 2000, а затем в рамках стратегии постепенной миграции перейти и к рабочему месту с возможностями Windows 2000 Professional.

 

Развертывание бизнес-приложений

Службы терминалов можно использовать как средство развертывания бизнес-приложений для клиентов любого типа, большинства терминалов или для «тонких» клиентов. Традиционные текстовые решения для терминалов или мэйнфреймов (3270, 5250, ASCII и др.) выиграют в результате применения более современной среды графического пользовательского интерфейса для операционной системы Windows благодаря снижению расходов на разработку и обучение конечных пользователей. Удаленные пользователи могут также выиграть благодаря использованию двух- или трехуровневых приложений клиент-сервер на клиенте служб терминалов для того, чтобы либо повысить быстродействие приложений, либо сохранить централизованное управление клиентским программным обеспечением.

 

Удаленное администрирование

Службы терминалов можно включать и отключать в динамическом режиме. Поэтому эту службу можно использовать для удаленного администрирования любого сервера с установленной на нем операционной системой Windows 2000 через удаленный доступ с любого клиентского устройства (даже с устройств, на которых не установлена операционная система Windows 2000 Professional).

 

Основные возможности

Ниже перечислены некоторые основные возможности служб терминалов.

·        

Дополнительные сведения

Информационный документ. Terminal Server Architectural Overview (Обзор архитектуры службы терминалов)

В настоящем документе описывается прин­цип работы службы терминалов при созда­нии интерактивной среды, включающей в себя несколько 32-х разрядных рабочих мест.

http://www.microsoft.com/ntserver/terminalserver/techdetails/prodarch/tsarchitecture.asp

 

Информационный документ. Using and Understanding APIs for Terminal Server (Использование и понимание интерфейсов API для службы терминалов)

В настоящем документе дается введение в интерфейсы API службы терминалов и приводятся справочные материалы.

http://www.microsoft.com/ntserver/terminalserver/techdetails/prodarch/api.asp

 

Using DCOM with Terminal Services in Windows 2000 (Использование модели DCOM со службами терминалов в операционной системе Windows 2000)

В настоящем документе описывается, каким образом будут вести себя приложения, использующие функциональные возмож­ности модели DCOM.

http://www.microsoft.com/ntserver/terminalserver/techdetails/prodarch/Dcom.asp

 

 
Поддержка нескольких клиентов — передает функции и приложения операционной системы Windows 2000 пользователям терминалов с установленной операционной системой Windows, ПК с 16-ти разрядной системой Windows, или ПК с установленной системой Windows 95 или более ранними версиями операционной системы Windows NT (3.51 или 4.0). Эта возможность также позволяет пользователям компьютеров Макинтош и устройств UNIX получать доступ к операционной системе Windows 2000 и приложениям (требуются надстройки, разработанные независимым производителем, компанией Citrix).

·         Единая платформа для разработки — позволяет разработчикам создавать единообразные клиентские приложения на основе операционной системы Windows 2000, написанные на основе стандартных интерфейсов API системы Windows, которые затем смогут работать на самых различных клиентских платформах, где не установлена операционная система Windows 2000.

·         Протокол RDP — протокол RDP (Remote Desktop Protocol) обеспечивает подключение между клиентом и сервером. Этот протокол является расширением протокола T.120 международного телекоммуникационного общества International Telecommunications Union, который представляет собой протокол проведения многоканальных конференций и относится к международным стандартам.

·         Административная утилита службы терминалов — эта утилита запрашивает и управляет сеансами служб терминалов, пользователями и процессами на одном или нескольких серверах службы терминалов в рамках организации. Помимо прочих выполняемых функций, эта утилита может отключить сеанс от сеанса службы терминалов, послать сообщение на сеанс службы терминалов или пользователю, сбросить сеанс службы терминалов, отобразить состояние подключения сеанса службы терминалов, отобразить информацию о клиенте сеанса службы терминалов, отобразить пользовательские и системные процессы, прервать какой-либо процесс, отобразить информацию о службе терминалов.

·         Диспетчер клиентских подключений — позволяет администраторам и конечным пользователям устанавливать подключения к одному или нескольким различным серверам с предварительно заданными параметрами для доступа к одному приложению или ко всему рабочему месту. Это средство создает значок, которые можно поместить на клиентский рабочий стол и подключаться к одному или нескольким серверам службы терминалов с помощью одного щелчка мыши. Таким образом администратор, который хочет ввести одно и то же бизнес-приложение во всю вычислительную среду, может создать подключение, сохранить значок и разослать это подключение на все рабочие места организации с помощью клиентской программы службы терминалов.

·         Диспетчер лицензий — помогает системным администраторам и сотрудникам отдела материально-технического снабжения лучше регистрировать и более точно отслеживать подключения клиентов к службам терминалов и лицензии, приобретенные ими для осуществления таких подключений.

·         Совместимость приложений — служба терминалов представляет собой одну из функций операционной системы Windows 2000, поэтому все приложения, совместимые с операционными системами Windows 2000 Server или Professional, должны работать в службах терминалов без изменений. После выхода продукта Terminal Server 4.0 были разработаны дополнительные сценарии обеспечения совместимости приложений и эти сценарии включены в операционную систему Windows 2000 Server.

·         Безопасность и профили пользователей — служба терминалов предоставляет любому рабочему месту стандартные функции безопасности операционной системы Windows 2000 для входа в сеть, независимо от того, какая именно операционная система фактически установлена на данном рабочем месте. Протокол RDP обеспечивает три уровня защиты как в среде локальных, так и глобальных сетей: низкий, средний и высокий.


Средства управления в Windows 2000 Server

Обилие служб управления, включенных в операционную систему Windows 2000 Server делает возможным предоставить ряд средств, использующих перечисленные службы каталогов, презентаций, инструментариев, сценариев и групповой политики. Все это позволяет администратору создать идеальную среду для управления пользователями, которая гарантирует им высокое качество обслуживания при низкой общей стоимости владения.

 

Средства управления для изменения и настройки

Операционная система Windows 2000 Server предоставляет ряд средств для изменения и настройки, включающий набор технологий, известных как технологии управления IntelliMirror. Дополнительные средства изменения и настройки поставляются с сервером Microsoft Systems Management Server.

 

Преимущества

·          Простая рассылка и установка программного обеспечения.

·          Централизованная блокировка пользовательских рабочих станций.

·          Стандартизация конфигурации пользовательских рабочих мест.

·          Быстрое восстановление данных пользователей при утрате, краже или выходе из строя компьютеров.

·          Простая процедура восстановле­ния и обновления пользователь­ских приложений.

 

 
Возможности технологий IntelliMirror

IntelliMirror представляет собой пакет технологий операционной системы Windows 2000 Server, предназначенных для снижения общей стоимости владения. Технологии IntelliMirror сочетают в себе преимущества централизованных компьютерных систем с быстродействием и гибкостью распределенных компьютерных систем. С помощью функций интеллектуального кэширования и централизованной синхронизации технология IntelliMirror отражают пользовательские данные, приложения и настройки операционной системы на сервер с установленной операционной системой Windows 2000 Server. Это означает, что пользователи получают доступ ко всем своим данным и приложениям, независимо от того, подключены ли они к сети. Пользователям также гарантируется безопасное хранение их данных на сервере. Технология IntelliMirror предоставляет следующие возможности:

·         управление данными пользователей;

·         установка и обслуживание программного обеспечения;

·         управление пользовательскими настройками.

 

Управление данными пользователей

Дополнительные сведения

Информационный документ. Introduction to IntelliMirror (Введение в технологию IntelliMirror)

В настоящем документе описывается технология IntelliMirror и ее возможности, а также приводятся примеры практичес­кого использования технологии IntelliMirror с целью демонстрации общих преимуществ, полученных в результате объединения этих возможностей. http://www.microsoft.com/windows/server/Technical/management/intellimirror.asp

 

 

 
Функция управления данными пользователей поддерживает зеркальное отображение пользовательских данных в сеть и локальное кэширование выбранных сетевых данных. При этом поддерживаются следующие возможности:

·         данные хранятся локально, что позволяет использовать их в автономном режиме;

·         данные хранятся на сервере, что обеспечивает их защиту;

·         данные зеркально отображаются таким образом, что они хранятся и на локальном компьютере, и на сервере;

·         при переходе пользователя на другой компьютер данные могут следовать за пользователем.

 

Возможности по управлению данными пользователей предоставляет следующие преимущества.

·         Повышенную защиту данных путем использования резервного копирования под управлением информационной технологии.

·         Повышенную доступность данных. Доступ к данным можно получить с любого компьютера в сети.

·         Повышенную доступность, означающую, что функция кэширования поддерживает данные на локальном компьютере даже, когда он отключен от сети.

 

Установка и обслуживание программного обеспечения

Технологии установки программного обеспечения, заложенные в операционную систему Windows 2000 Server, предназначены для упрощения процедур установки, восстановления и обновления, а также удаления программного обеспечения в управляемых средах.

 

Системные администраторы могут использовать функцию установки и обслуживания программного обеспечения для назначения пользователям приложений таким образом, чтобы все пользователи, которым необходимы данные приложения, автоматически получали эти приложения на свои рабочие места, при этом администратору или персоналу службы технической поддержки не требуется подходить к каждому из компьютеров для установки на рабочее место нужного приложения.

 

Администраторы могут также публиковать приложения, полезные для пользователей. Это позволяет пользователям самим решать, устанавливать приложения или нет. При выходе новых версий приложений администраторы могут автоматически обновлять приложения у пользователей, независимо от того, было ли приложение назначено или опубликовано. При этом персоналу службы технической поддержки не требуется выполнять обновления непосредственно на компьютерах пользователей.

 

Чтобы назначить, опубликовать или обновить приложения для пользователей корпоративных сред, администраторы пользуются редактором развертывания приложений (Application Deployment Editor), MMC-расширением редактора групповой политики.

 

Объявленные приложения

Когда администратор назначает какое-либо приложение пользователям, это приложение объявляется для пользователей во время их входа сети с рабочей станции. Когда приложение объявляется, в соответствующие места (включая меню «Пуск» и рабочий стол) добавляются ярлыки для данного приложения, кроме того соответствующая запись добавляется и в реестр локального компьютера. Приложения, назначенные администраторами компьютерам, устанавливаются автоматически. Когда администраторы публикуют какое-либо приложение, это приложение считается объявленным в службе каталогов Active Directory. В этом случае для данного приложения отсутствуют ярлыки в меню «Пуск» или на рабочем столе пользователя, в реестре локального компьютера также не производится никаких изменений. Опубликованные приложения пользователь может установить с помощью средства «Установка и удаление программ» панели управления или, открыв файл, сопоставленный данному приложению (например, открыв DOT-файл для текстового процессора Microsoft Word).

 

Назначенные приложения

Администраторы могут назначать пользователям определенные приложения, необходимые этим пользователям для выполнения их работы. Например, если всем пользователям в организации необходим определенный текстовый процессор, администраторы могут назначить это приложение всем пользователям. В этом случае приложение объявляется и становится доступным для каждого рабочего места. Администраторы также могут назначить приложения компьютерам, в этом случае при перезагрузке компьютера приложение устанавливается автоматически.

 

Когда администраторы назначают какое-либо приложение пользователям, они фактически объявляют это приложение на рабочих столах пользователей. Когда пользователь в следующий раз войдет в систему под управлением сервера Microsoft Windows 2000 Server, это приложение будет объявлено. Это означает, что ярлык приложения появится в меню «Пуск», а в реестр будет внесена дополнительная информация о приложении, включая местонахождение пакета приложения и местонахождение исходных файлов для его установки. На основе этой объявленной на компьютере пользователя информации приложение будет установлено после того, как пользователь в первый раз активирует это приложение.

 

Существует два способа установки назначенных приложений.

·         Пользователи могут выбрать назначенное приложение из меню «Пуск». Приложение будет установлено, а затем открыто. Благодаря тому, что администратор во время назначения приложения уже настроил его, это приложение будет установлено без вмешательства пользователя за относительно короткий период времени.

·         Пользователи могут открыть документ, сопоставленный назначенному приложению (например, открыть XLS-файл для установки приложения Microsoft Excel).

Если администратор назначает более новую версию приложения (обновление), то обновленная версия будет объявлена при следующем входе пользователя в сеть, а установлена она будет, когда пользователь в следующий раз откроет это приложение. Как упоминалось выше, администраторы назначают и публикуют приложения для пользователей и компьютеров с помощью оснастки — редактора развертывания приложений (Application Deployment Editor). Когда администраторы назначают приложение компьютеру, объявление и установка приложения осуществляются одновременно.

 

Назначенные приложения обладают способностью к восстановлению. Если пользователь удалит назначенное приложение, оно будет снова объявлено при последующем входе в сеть и вновь установлено при следующей активизации этого приложения пользователем.

 

Опубликованные приложения

Администраторы могут опубликовать приложения в объектах групповой политики, связанных с пользователями в этих контейнерах службы Active Directory: сайтах, доменах или подразделениях. Опубликованные приложения не устанавливаются на локальных компьютерах, то есть на рабочих столах пользователей не появляются ярлыки таких приложений и в реестры локальных компьютеров не вносятся никакие изменения. Опубликованные приложения объявляются в службе Active Directory, а не в реестре локального компьютера.

Опубликованные приложения могут быть установлены двумя способами.

·         Пользователи могут открыть файл документа, сопоставленный опубликованному приложению. Предположим, что пользователь получает какой-либо документ приложения Visio Corp (например VSD-файл) и, что приложение Visio опубликовано для данного пользователя. Когда пользователь попытается открыть документ приложения Visio, операционная система определит в реестре приложение, сопоставленное VSD-файлу. Поскольку операционная система не найдет на локальном компьютере такого сопоставления, она проверит сопоставления в службе Active Directory. В службе Active Directory операционная система найдет всю необходимую для установки этого приложения информацию, а затем откроет приложение и документ для пользователя.

·         Пользователи могут запустить средство «Установка и удаление программ» на панели управления своих компьютеров. Пользователи могут получить список опубликованных приложений, которыми они могут пользоваться. Применительно к приведенному выше примеру, пользователь может выбрать из списка приложение Visio, и это приложение будет установлено.

 

После установки опубликованного приложения оно ведет себя как назначенное приложение за исключением того, что опубликованное приложение пользователь может удалить.

 

Управление пользовательскими настройками

Технология IntelliMirror включает в себя функциональные возможности, позволяющие администратору централизованно управлять пользовательскими настройками и настройками компьютеров. С помощью технологии IntelliMirror пользовательские настройки зеркально отображаются в сеть, и администраторы могут задавать специальные вычислительные среды для пользователей и компьютеров. Администраторы обладают следующими возможностями.

·         Удаленное добавление новых пользователей и компьютеров.

·         Задание настроек для групп пользователей и компьютеров.

·         Применение изменений к группе пользователей.

·         Восстановление пользовательских настроек при сбое компьютера пользователя.

·         Возможность перемещения настроек рабочего места пользователя вслед за пользователем при переходе пользователя на другой компьютер.

 

Удаленная установка операционной системы

Эта функция позволяет клиентам, имеющим возможность удаленной установки (Net PC и компьютерам, оснащенным загрузочными дисководами гибких дисков, совместимыми с Net PC) автоматически устанавливать файлы операционной системы с сервера удаленной установки операционной системы Windows 2000.

 

Процедура удаленной установки устанавливает операционную систему на жесткий диск локального компьютера с удаленного источника (образа компакт диска на сервере). Как правило, рабочая станция, используемая в модели удаленной установки, настраивается на загрузку с локального диска. Однако для установки операционной системы на локальный жесткий диск рабочая станция предварительно загружается из сети (удаленно). Загрузка из сети инициируется либо системой BIOS (Basic Input Output System — базовая система ввода-вывода) или специальным загрузочным гибким диском. Во всех случаях загрузка из сети происходит под управлением загрузчика, который работает в соответствии со спецификацией Net PC. Для данной среды предпочтительной является модель загрузки, при которой BIOS предоставляет пользователю небольшую паузу перед загрузкой с диска, во время которой нажатием специальной клавиши можно вызвать «служебную» загрузку из сети.

 

При совместимой с Net PC загрузке из сети загрузчик с помощью протокола DHCP (Dynamic Host Configuration Protocol) и уровня BINL (Boot Information Negotiation Layer) получает адрес IP рабочей станции и находит сервер загрузки. Затем загрузчик с помощью протокола TFTP (Trivial File Transfer Protocol) загружает программу загрузки с сервера загрузки. После этого загрузчик передает управление программе загрузки.


Средства управления безопасностью

Операционная система Windows 2000 Server включает в себя средства, поддерживающие возможность задавать стандартную конфигурацию безопасности в рамках всего предприятия, а также быстро проверять соответствие операционной системы корпоративным стандартам.

 

Диспетчер конфигурации безопасности

С помощью расширения настройки безопасности в MMC-оснастке групповой политики администраторы могут задавать конфигурацию безопасности на компьютерах, входящих в объект групповой политики. Конфигурация безопасности включает в себя применение настроек безопасности к каждой зоне безопасности, поддерживаемой операционной системой Windows 2000 Server Workstation или Windows 2000 Server.

Подпись:  Эта конфигурация безопасности включается в состав объекта групповой политики, а затем применяется к компьютерам в рамках осуществления групповой политики. Расширение настройки безопасности разработано как дополнение существующих средств безопасности, таких как редактор ACL (Access Control List — список управления доступом), диспетчер локальных пользователей и диспетчер серверов. Расширение настройки безопасности представляет собой модуль, который может интерпретировать стандартную конфигурацию безопасности и автоматически выполнять необходимые операции в фоновом режиме. Для изменения конкретных настроек безопасности администраторы, если необходимо, могут продолжать пользоваться существующими средствами.

Для компьютеров можно настроить следующие зоны безопасности.

·        

Рис. 4. Диспетчер конфигурации безопасности, отображающий шаблон безопасности для контроллера доменов

 
Политики учетных записей — параметры безопасности компьютера для политики пароля, политики блокировки и политики Kerberos на доменах Windows 2000 Server.

·         Локальные политики включают в себя настройки безопасности для политики аудита, назначения прав пользователям и параметры безопасности. Локальная политика позволяет администраторам определять, кто имеет право локального или сетевого доступа, и каким образом происходит аудит локальных событий.

·         Журнал событий управляет настройкой безопасности для журналов событий приложений, событий безопасности и системных событий. Администраторы могут обратиться к этим журналам с помощью функции «Просмотр событий».

·         Группы с ограниченным доступом — параметры безопасности компьютера для включенных групп, обладающих определенными, предварительно заданными возможностями. Политики для групп с ограниченным доступом влияют на членов этих групп. Примерами групп с ограниченным доступом являются локальные и глобальные группы.

·         Системные службы управляют настройками и параметрами безопасности таких системных служб, как сетевые службы, службы файлов и принтеров, службы телефонии и факсов, службы Интернета и интрасети и т.д.

·         Реестр используется для настройки и анализа параметров дескрипторов безопасности (включая владение объектом), списка ACL (Access Control List — список управления доступом) и сведений об аудите для каждого раздела реестра.

·         Файловая система используется для настройки и анализа параметров дескрипторов безопасности (включая владение объектом), списка ACL (Access Control List — списка управления доступом) и сведений об аудите по каждому из объектов (тому, каталогу или файлу) в локальной файловой системе.

 

Средства мониторинга

 

Управление быстродействием

Управление быстродействием, как правило, начинается со сбора базовых данных, характеризующих нормальное быстродействие системы. После определения базовой линии ее можно использовать для определения необходимого быстродействия в будущем и оценки будущих потребностях в ресурсах.

Подпись:  Операционная система Windows 2000 предоставляет большой объем информации о быстродействии. Ядро и службы операционной системы Windows 2000 экспортируют подробные сведения о процессоре, памяти, диске и использовании сети. Дополнительные службы, включая SNMP и семейство компонентов BackOffice® могут добавить собственные данные, специфичные для конкретного приложения. Эти данные могут собираться с помощью элемента управления системного монитора — оснастки консоли управления MMC, которая собирает данные о быстродействии, а затем отображает их в виде графика, форматирует в виде табличного отчета или вносит в журнал для последующего анализа. Поскольку поддержка системного монитора интегрирована во все элементы операционной системы Windows 2000, администраторы могут собирать разнообразные данные о быстродействии со многих компьютеров одновременно и использовать собранные данные для краткосрочного и долгосрочного мониторинга.

Рис. 5. Элемент управления системного монитора, отображающий график быстродействия

 
 


Управление событиями

Управление событиями включает в себя наблюдение за работоспособностью и состоянием систем предприятия, как правило, в режиме реального времени, предупреждение администраторов о проблемах, а также объединение данных мониторинга в одном месте, что упрощает администрирование. Может осуществляться мониторинг как отдельных серверов или компонентов сети, так и мониторинг служб приложений, например электронной почты, обработки транзакций или веб-службы.

Подпись:  Управление событиями предусматривает выполнение двух различных подзадач. Мониторинг исключений, то есть отслеживание условий, не укладывающихся в предварительно заданный диапазон. Например, вывод стандартного предупреждения операционной системы Windows 2000 о том, что на диске недостаточно места, в условиях, когда объем свободного пространства на диске становится меньше заданного пользователем значения, является функцией мониторинга исключений. Уведомлением называется процесс, с помощью которого администраторы или иные автоматизированные системы предупреждают о том, что некие условия вышли за граничные значения. Это может быть, например, отправка электронной почты в службу технической поддержки, вызов администратора или ввод дополнительной записи в журнал системных событий.

 

Рис. 6. Функция «Просмотр событий», отображающий журнал системы

 
Важной задачей служб операционной системы Windows 2000 по управлению событиями является их прогнозирования, а не получение реакции на отказы. Эти службы стараются сообщить о возможных ошибках и отказах до того, как они произойдут, чтобы можно было заранее принять меры к их устранению. Например, мониторинг исключений, работающий по принципу прогнозирования, может уведомить о повышении частоты ошибок записи на конкретный диск и уведомить системного администратора о том, что диск в ближайшем будущем может выйти из строя. Специфика прогноза, несомненно, будет различной для различных сайтов. Служба WMI предоставляет общий механизм, позволяющий любому приложению или службе поставлять исходные данные, необходимые для составления прогнозирования.

 

Мониторинг исключений

Администраторы хотят знать обо всех необычных событиях, и чем раньше, тем лучше. Исключения обычно создаются, когда значения системных ресурсов, таких как свободное пространство на диске, выходят за заданное пороговое значение или когда контролируемое устройство сообщает об отказе или аномалии. Исключения могут иметь информационный характер (свободное пространство на диске менее 25 процентов) или быть критическими (дисковод SCSI с ID 3 только что отключился); отклик на любое исключение зависит от степени его опасности.

 

Существует несколько источников информации для создания исключений. В журнале событий операционной системы Windows 2000 регистрируются уведомления от приложений, драйверов и системных служб, поэтому журнал событий может быть использован как основа для создания исключений. Диспетчеры SNMP могут создавать исключения при срабатывании ловушек на управляемых ими устройствах, а такие компоненты BackOffice, как Microsoft Exchange и SQL Server, могут вызывать исключения при специфичных для данной службы событиях (например, удаленный почтовый сервер не отвечает на сообщения в течение предварительно заданного временного интервала). Элемент управления мониторингом операционной системы Windows 2000 поддерживает просмотр предупреждений. В ходе этого просмотра происходит постоянный мониторинг назначенных параметров, и при выходе какого-либо параметра за установленные границы выдаются сообщения об исключениях. Администраторы могут также пользоваться службой WSH или любым другим механизмом, поддерживающим написание сценариев, и писать гибкие сценарии, позволяющие следить за системой и при необходимости посылать сообщения об исключениях.

 

Уведомление

Уведомление — это процесс направления сообщений об исключениях по указанным адресам. Сообщения могут передаваться по различным путям. Наиболее часто используются следующие три варианта: на буквенно-цифровые пейджеры, по электронной почте и экранные оповещения. Пакет Windows 2000 Resource Kit включает в себя средства для отправки оповещений об исключениях по электронной почте из командной строки или сценария; эти средства можно применять, используя встроенные в журнал событий и системный монитор возможности обработки исключений. Сообщения на буквенно-цифровые пейджеры можно посылать с помощью свободно распространяемых или коммерческих средств независимых разработчиков, которые позволяют дозвониться в пейджинговую службу и загрузить туда сообщение. Кроме того, компоненты BackOffice и многих приложений независимых разработчиков включают собственные механизмы уведомлений. Например, сервер Microsoft Exchange Server может отправлять электронную почту, выводить предупреждения на экран или направлять исключения на внешние приложения. Эти возможности не исключают, а дополняют стандартные пути, по которым направляются уведомления.

 

Управление неполадками

Управление неполадками представляет собой процесс, обеспечивающий локализацию ошибок, работу службы диагностики и объединенной системы справки. Локализация ошибок может осуществляться с помощью различных средств операционной системы Windows 2000. С помощью оснастки «Элемент управления монитора» можно локализовать неполадки, связанные с быстродействием системы и использованием ресурсов, либо используя просмотр оповещений этой оснастки для получения предупреждений о том, что контролируемые параметры вышли за заданные границы, либо следя за графиком или просматривая таблицу в режиме реального времени. Журналы оснастки «Просмотр события» могут быть дополнены средствами автоматизации (их можно легко написать на языке Visual Basic), которые проводят поиск конкретных типов событий или кодов событий (например, незапланированная перезагрузка сервера или ошибка ввода-вывода в приложении) и при необходимости посылают уведомление. С помощью сетевого монитора операционной системы Windows 2000 можно отслеживать и анализировать сетевой трафик, что часто важно, когда нужно выяснить, с чем связана проблема: с протоколом или с маршрутеризацией.

 

Подпись:  Диагностика аппаратуры и программного обеспечения может выполняться как локально, так и с удаленного устройства. Операционная система Windows 2000 включает в себя оснастку «Сведения о системе», которую можно использовать для точного выявления причин конфликтов ресурсов. Пакет MicrosoftSystems Management Server 2.0 предоставляет полный набор средств для удаленной диагностики, которые можно запускать на любой рабочей станции или любом сервере с центральной консоли управления. Иногда не используется такая возможность, как справка, хотя и администраторы, и пользователи часто в ней нуждаются. Хорошая справочная система ответит на вопросы пользователей еще до того, как они обратятся в службу технической поддержки или воспользуются другими аналогичными ресурсами. Операционная система Windows 2000 включает в себя полный набор файлов справки для всех своих системных программ и компонентов, в том числе, полнотекстовый указатель, позволяющий задавать вопросы на естественном языке.

Рис. 7. Оснастка управления компьютером, отображающая сведения о системе

 
 



Дополнительные средства управления

Многие компании (включая корпорацию Майкрософт) уже объявили о создании решений и средств управления, которые будут использовать инфраструктуру администрирования и стандартные средства операционной системы Windows 2000. К этим компаниям относятся Hewlett Packard, Computer Associates, Tivoli Systems, BMC Software, NetIQ, CompuWare, Seagate и InstallShield. Другие компании, такие как Cisco Systems, поддерживающие службу WBEM и сети DEN (Directory Enabled Networks), базирующиеся на службе Active Directory, создают решения, которые дополняют службы управления операционной системы Windows, предоставляя общий пакет служб управления для всей гетерогенной сети предприятия.

 

Сервер Microsoft Systems Management Server

Сервер Microsoft Systems Management Server 2.0 использует службы управления, встроенные в операционную систему Windows 2000 Server, например консоль управления MMС и совместимый со стандартом WBEM группы DMTF инструментарий WMI . Этот продукт в сочетании с функциями технологии IntelliMirror идеально позволяет администраторам, работающим в среде предприятия, вносить изменения и управлять конфигурацией.

 

Microsoft Systems Management Server добавляет подробную опись аппаратуры и программного обеспечения, средства измерения и диагностики программного обеспечения для операционной системы Windows, а также предоставляет решение по рассылке корпоративного программного обеспечения. Дополнительные сведения о Microsoft Systems Management Server см. по адресу http://www.microsoft.com/smsmgmt/. Этот продукт также идеален для работы в среде Windows 2000 Server и Windows 2000 Professional.

 

Службы для UNIX

Службы операционной системы Windows 2000 для UNIX (отдельные оснастки) будут включать в себя оболочки в стиле UNIX в соответствии с клиентскими и серверными стандартами telnet, в том числе оболочки ksh, csh, tcsh, bash и zsh. Сервер сценариев WSH (Windows Scripting Host) также позволяет администраторам писать и исполнять сценарии управления на языках Visual Basic Scripting Edition (VBScript), JavaScript, REXX, Perl, Python и TCL (а также на многих других языках). Во многих случаях эти сценарии могут быть использованы в своей исходной UNIX-форме без изменения. Комбинация гибкой архитектуры написания сценариев и доступа через telnet означает, что для компьютеров с установленной операционной системой Windows 2000 администрирование может осуществляться с удаленного устройства, при этом использование командной строки будет во многом таким же, как при управлении большинством серверов с системой UNIX, когда не используются средства более высокого уровня.

 

 

Проблемы

Исследования, проведенные фирмой Contingency Planning Research, Inc. в более, чем 400 компаниях, под назва­нием «Исследование ежегодного вли­яния аварий» показали, что типичный выход из строя критичного для работы предприятия приложения может стоить 10 000 долларов США в час или более. Для компаний, работающих в финан­совом секторе, таких как банки и брокерские фирмы, убытки могут составлять миллионы долларов в час.

 

 
НАДЕЖНОСТЬ


Тенденции и проблемы

Группа Standish Group определяет надежность как меру стабильности выполнения компьютером предназначенным для него приложений и служб. Файловая, дисковая система или система баз данных, в которой происходят даже незначительные искажения, может нанести серьезный урон работе предприятия. А система, в которой такие искажения возникают периодически, в любой корпорации быстро станет ненужной.

 

Подсчитано, что годовые потери американских предприятий из-за простоев систем составляют 4 млрд. долларов. Простейшая модель убытков из-за простоев основана на предположении, что при отказах аппаратуры, сети, сервера или приложения сотрудники полностью выключаются из рабочего процесса. В такой модели ущерб от устранения аварии определяется как сумма заработной платы неработающих сотрудников и расчетных убытков предприятия, связанных с неоказанием услуг.

 

Отказы систем обусловлены несколькими факторами. Группа Cahners Instat Group недавно провела исследования среди менеджеров и исполнителей службы Information System, которые назвали следующие основные причины простоев: сбои программного обеспечения, отказ аппаратуры, ошибка оператора или методики и проблемы, связанные с окружающей средой. Эти исследования показали, что хотя отказы аппаратуры вызывали 30% простоев, сбои операционной системы и приложений стали причиной немногим менее 35% незапланированных простоев.

 

Однако можно усложнить алгоритм определения основной причины простоев. Например, внутреннее исследование обращений в службу технической поддержки корпорации Майкрософт показало, что большинство таких обращений связано с очевидными отказами операционной системы, вызванными неправильной настройкой системы, дефектами в драйверах устройств или системных программах разработанных независимыми производителями. И действительно, многих отказов системы, приписываемых проблемам с программным обеспечением, можно избежать за счет улучшения методов работы, например, путем тщательного выбора программного обеспечения, которое будет использоваться на серверах.

 

И, наконец, имея дело с распределенными системами, важно понять, что надежность используемой сети также вносит значительный вклад в надежность всей системы в целом. Изменения в топологии и структуре любого уровня стека протоколов, могут повлиять на всю систему в целом.

 


Требования

Надежность является основной характеристикой современной сети. Ею должен обладать каждый компонент операционной системы, чтобы обеспечить отказоустойчивость системы и предоставить пользователям максимально доступную информацию и услуги.

 

Надежность ядра операционной системы

Согласно данным группы Standish Group, «надежность операционной системы характеризуется двумя факторами: поддержкой целостности информации и возможностью восстанавления поврежденных данных». Другими словами, система должна обеспечивать надежность многими способами, включая:

·         непрерывную обработку отказов аппаратуры и программного обеспечения;

·         защиту программ пользователей друг от друга, а также защиту системы;

·         наличие механизмов восстановления данных и системы.

 

Отказоустойчивость

Понятие отказоустойчивости относится к технологиям, дублирующим ключевые системы компьютеров и позволяющим автоматически переключаться с отказавшей системы на работоспособную. К этим технологиям относятся зеркальное отображение дисков, наборы с чередованием и дублирование.

 

Поддержка решений по восстановлению после аварии

Произошла авария. Действительно, в любой организации случались события, в результате которых ее системы становились недоступными. Существует много средств, позволяющих сократить время восстановления. Наиболее распространенные — резервное копирование и использование источников бесперебойного питания.

 

Безболезненное восстановление и обновление системы и установка пакета обновления

Администраторам необходимо регулярно проводить обновление приложений и системного программного обеспечения. Обновление имеющихся систем имеет свои преимущества и свои риски, поэтому администраторы должны проводить его в контролируемых условиях. Однако изменение состояния системы не обязательно влечет за собой необходимость повторной установки пакетов обновлений.

 

Управление централизованным хранением

Без централизованного управления распределенными системами установка приложений может приводить к чрезмерным простоям, которые в большинстве случаев связаны со сбоями на носителях. Выход из строя сервера и нестабильный доступ к данным напрямую оказывает влияние на производительность и проводит к убыткам на предприятии.

 

Службы приложений для создания надежных распределенных приложений

Благодаря широкому и быстрому развитию приложений для Интернета организации стараются разрабатывать и применять приложения, которые могли бы работать в ненадежных, но эффективных по стоимости сетях.

 

Предупреждение простоев и отключения ресурсов

Незапланированные простои из-за выхода из строя аппаратуры или программного обеспечения или запланированная настройка аппаратуры или программного обеспечения, при которой необходимо перезагружать систему и отключать ресурсы даже на непродолжительный промежуток времени, может нанести ущерб и привести к убыткам.

 

Решения в области надежности для Windows 2000 Server

Серверные операционные системы характеризуются большим количеством управляющих переменных, связанных с аппаратурой, программным обеспечением и системой, которые влияют на ее надежность. Операционная система Windows 2000 Server обладает следующими возможностями обеспечения надежности и отказоустойчивости.

 

Основные службы операционной системы

 

Обработка ошибок и защищенные подсистемы

Операционная система Windows 2000 Server предназначена для управления ошибками и исключениями, вызванными работой приложений и системы, без перезагрузки самой системы. Кроме того, защищенные подсистемы помещают программы в предназначенные только для них области памяти. Это гарантирует, что сбой в работе одной из программ не повлияет на работу остальных программ или системы в целом.

 

Восстанавливаемая файловая система

Файловая система Windows 2000 Server (NTFS) обладает высокой устойчивостью к отказам дисков, поскольку она регистрирует все дисковые операции ввода-вывода как уникальные транзакции. В случае отказа диска файловая система может быстро отменить или вернуть соответствующие транзакции после восстановления системы. Это позволяет существенно снизить время, в течение которого система недоступна, поскольку файловая система может быстро возвращаться к известному рабочему состоянию.

 

Автоматический перезапуск

Подсистема обработки ошибок и защищенные подсистемы операционной системы Windows 2000 Server делают отказ системы крайне редким. Однако, если сбой все-таки происходит, система может быть настроена таким образом, что она автоматически перезапустится. Эта функция обеспечивает максимальное время нахождения в работоспособном состоянии при работе в автоматическом режиме. Помимо этого, чтобы администратору было легче определить причину отказа, перед перезапуском содержимое памяти может быть записано на диск.

Отказоустойчивость

 

Зеркальное отображение дисков, дублирование дисков и чередование дисков с контролем четности (RAID 5)

Операционная система Windows 2000 Server поддерживает каждый из перечисленных методов так, чтобы пользователи могли выбрать то соотношение цены и отказоустойчивости, которое лучше всего подойдет для их целей.

 

DFS (Distributed File System — распределенная файловая система) улучшает доступность данных и балансировку нагрузки

Система DFS упрощает поиск и управление данными в сети. Несколько копий общих ресурсов, предназначенных только для чтения, можно подключить как том под одним логическим DFS-именем, чтобы предоставить альтернативные адреса для доступа к данным. В том случае, если одна из копий станет недоступной, система автоматически выберет другую. Такой подход обеспечивает условия, при которых важные бизнес-данные остаются доступными, даже если происходит сбой при доступе к серверу, дисководу диска или файлу. Еще одним преимуществом использования DFS является балансировка нагрузки.

 

Например, когда пользователи запрашивают файл из тома DFS, они прозрачно ссылаются на один из общих сетевых ресурсов, включающих данный том DFS. Это уменьшает время отклика в периоды пиковых нагрузок.

 

Восстановление после аварии

 

Поддержка создания резервной копии на ленте

Операционная система Windows 2000 Server включает в себя мощную функцию создания резервной копии на магнитной ленте, обеспечивающую доступность данных.

 

Поддержка ИБП (ИБП — источник бесперебойного питания)

Служба ИБП для операционной системы Windows 2000 Server обнаруживает сбой электропитания, предупреждает об этом пользователя и управляет безопасным отключением системы до того, как разрядится батарея резервного источника питания.

 

Восстановление и обновление системы

 

Командная консоль восстановления

Данная утилита позволяет полномочному пользователю считывать или записывать тома NTFS с помощью загрузочных дискет системы Windows 2000 Server и, следовательно, копировать файлы, службы пуска или останова, а также восстанавливать систему. Возможно также восстановить основную загрузочную запись и загрузочный сектор, а также форматировать и размечать тома. В предыдущей бета-версии 2 не существовало предусмотренного корпорацией Майкрософт способа доступа к тому NTFS отличного от запуска операционной системы Windows 2000 Server. Однако в некоторых случаях, при повреждении или отсутствии ключевого системного файла эта операция была невозможной. Единственным решением, приемлемым в данном случае, было либо параллельная установка операционной системы Windows 2000 Server, либо запуск процесса восстановления. И то, и другое отнимает много времени. Часто в связи с этим администраторы устанавливали операционную систему Windows 2000 с использованием файловой системы FAT, поскольку они всегда могли получить доступ туда с помощью дискеты с системой DOS.

 

Загрузка в безопасном режиме

Если компьютер не запускается, например, из-за неработающего драйвера, то операционную систему Windows 2000 можно в загрузить в безопасном режиме с минимальным набором служб (мышь, монитор, клавиатура, запоминающие устройства, основной видеорежим, стандартные системные службы и без подключения к сети). Это позволит изменить принятые по умолчанию параметры или удалить вновь установленный драйвер, который стал причиной неполадки.

 

Присоединение пакета обновления

Пользователям не нужно больше переустанавливать пакеты Service Packs после установки новых компонентов, теперь они могут создавать свои собственные пакеты Windows 2000 для своей организации с использованием соответствующих пакетов обновления и встроенных средств автоисправления.

 

Аварийная копия памяти — только для ядра

Операционная система Windows 2000 Server поддерживает аварийное копирование памяти только для ядра (помимо создания аварийной копии для всей памяти). Чтобы аварийное копирование производилось только для ядра, выберите Пуск / Настройки / Панель управления / Система / Дополнительно / Загрузка и восстановление… / и выберите вариант «записать только информацию ядра» в группе «записать отладочную информацию в файл».

 


Аварийная копия памяти только для ядра содержит, главным образом, информацию о ядре. Это позволяет быстрее перезагружать систему с большим объемом физической памяти. Краткое копирование инициируется после критической ошибки. Это позволяет осуществить диагностику большинства связанных с ядром критических ошибок, но занимает меньше времени и места. В зависимости от использования системы это может уменьшить размер копии на 80% и сокращает время копирования на 80%, тем самым улучшая способность системы к восстановлению и ее доступность.

 

Защита системных файлов (SFP)

Защита системных файлов (SFP) предотвращает замену обязательных системных файлов, что позволяет избежать несоответствия версий файлов. SFP обеспечивает защиту системных файлов с помощью фонового механизма, который выполняется внутри программы WINLOGON.EXE на системе Windows 2000. В конце графического этапа установки (GUI-mode) SFP производит просмотр всех защищенных файлов, чтобы исключить возможность того, что они могли быть изменены приложениями, установленными в режиме автоматической установки. После проведения успешного запуска служба защиты системных файлов произведет проверку всех файлов каталога (cat-файлов), использованных для отслеживания правильных версий файлов. Если какой-либо из файлов каталога отсутствует или поврежден, служба защиты системных файлов переименует поврежденный файл каталога и восстановит требуемый файл по буферной версии из каталога dllcache. Если в каталоге dllcache отсутствует требуемый файл, SFP затребует соответствующий носитель (т. е. Windows 2000 Service Pack, Windows 2000 Hotfix и т. д.) для восстановления исходной копии файла каталога.

 

Надежное хранение

Операционная система Windows 2000 Server предоставляет несколько дополнительных функций хранения, помогающих системным администраторам поддерживать достаточный объем свободного пространства на диске с минимальными усилиями.

 

Подпись:  Сервер удаленного хранилища (RSS)

RSS автоматически следит за свободным пространством на локальном жестком диске. Когда объем свободного пространство на основном жестком диске снижается ниже требуемого уровня, служба RSS автоматически удаляет скопированные ранее в удаленное хранилище данные с локального диска, предоставляя необходимое для работы свободное пространство.

 

Управление динамическими томами

Позволяет выполнять административные задачи через сеть без отключения системы или прерывания работы пользователей.

 

Дисковые квоты

Используются для мониторинга и ограничения места на NTFS-томах.

Рис. 8. Управление дисковыми квотами

 
 


Создание надежных распределенных приложений

 

Модель COM+

Модель COM+ представляет собой устойчивую рабочую среду для высокопроизводительных приложений, использующих сетевую обработку транзакций. Через обозреватели Интернета и клиентские приложения интрасети пользователи могут получить доступ к стандартным и нестандартным бизнес-приложениям и бизнес-данным. Модель COM+ поддерживает разработку компонентов, которые обеспечивают неоднократное использование бизнес-служб предприятия и позволяют создавать работающие в серверном процессе компоненты, а также получать к ним доступ. Это улучшает локализацию процесса — отказ одного из компонентов не прерывает процесса вызова. Кроме того, компоненты могут размещаться на нескольких компьютерах. При выходе из строя одного из компьютеров компоненты, размещенные на остальных компьютерах, остаются доступными и могут поддерживать запросы клиентов.

 

Модель COM+ позволяет также автоматически перезапускать серверные процессы при сбоях таким образом, что работающие через сеть приложения окажутся без поддержки всего несколько секунд. Обновления, которые охватывают компоненты, базы данных и сети, применяются с использованием протокола двухфазной фиксации. На первой фазе осуществляется подготовка обновлений — в базы данных вносятся новые записи, но обновления не осуществляются. На второй фазе производятся обновления, и удаляются старые данные. И, наконец, при работе в среде Windows 2000 Advanced или DataCenter Server модель COM+ можно настроить под кластерные серверы. Если в такой ситуации происходит сбой в выполняемых сервером транзакциях или, если этот сервер недоступен, то запросы на обработку данных, направленные на этот сервер, могут быть перенаправлены на другой сервер.

Службы очереди сообщений

Передачей данных между приложениями путем помещения сообщений в очереди и чтением сообщений из очередей управляют диспетчеры очереди. Сообщение может быть направлено в очередь даже тогда, когда приложение-получатель недоступно. Сообщение будет находиться в очереди до тех пор, пока получатель не будет готов его обработать. Службы очереди сообщений системы Windows 2000 Server поддерживают срочные, восстанавливаемые сообщения и сообщения транзакций. Срочные сообщения обеспечивают чрезвычайно быстрый обмен данными — за одну секунду могут посылаться тысячи и десятки тысяч сообщений. Однако эти сообщения хранятся в оперативной памяти и при отключении системы будут утрачены. Восстанавливаемые сообщения записываются на диск и устойчивы к отключению системы. Сообщения транзакций являются восстанавливаемыми и могут посылаться или приниматься в режиме транзакции.

 

Успешное выполнение операций по обмену сообщениями транзакций может быть скоординировано с обновлениями базы данных и компонента службы транзакций COM+. Все эти операции относятся к одному и тому же контексту транзакции, поэтому на них распространяется преимущество принципа «все или ничего». Службы очереди сообщений при работе в среде Windows 2000 Advanced или DataCenter Server можно настроить под кластерные серверы. Если на сервере кластера, на котором работает служба очереди сообщений (Microsoft), происходит сбой в выполняемых сервером транзакциях или если этот сервер недоступен, то запросы на обработку данных, направленные на этот сервер, могут быть перенаправлены на другой сервер.

 

Служба NLB (Network Load Balancing — балансировка нагрузки в сети)

Служба NLB управляет трафиком по протоколу TCP/IP, обеспечивая высокую степень доступности IP-служб. При отказе вызываемого узла или его недоступности служба NLB автоматически перенастраивает кластер таким образом, чтобы клиентские запросы направлялись на оставшиеся компьютеры. Кроме того, для портов, между которыми производится балансировка нагрузки, нагрузка автоматически перераспределяется между еще работающими компьютерами, и трафик портов с одним сервером перенаправляются на указанный узел. Такое перераспределение рабочей нагрузки обычно осуществляется менее чем за 10 секунд. Хотя подключение к неисправному или недоступному серверу теряется, после может прозрачно подключиться к кластеру и взять на себя свою долю рабочей нагрузки. Кроме того служба NLB автоматически осуществляет выделение подсети и подключение к сети кластера. Такая надежная отказоустойчивость достигается благодаря уникальной распределенной архитектуре, в которой отказы отдельных узлов или недостаточное быстродействие обходятся с помощью решений балансировки нагрузки.

 

Устранение простоев и ненужных перезагрузок

 

Перезагрузки и повторные установки

Преимущества

·          Меньшее число перезагрузок.

·          Меньшее число повторных установок.

·          Меньшее число случаев исчерпа­ния памяти и появления «синих экранов».

·          Улучшенное тестирование драйверов.

·          Улучшенные средства диагности­ки и устранения неисправностей.

 

 
С целью упрощения настройки и обслуживания программного обеспечения и аппаратуры в системе Windows 2000 Server многие функции, для которых в операционной системе Windows NT Server 4.0 требовалась перезагрузка, больше в ней не нуждаются.

·         Настройка устройств в режиме Plug&Play, например добавление новых дисков.

·         Увеличение максимального размера файла подкачки.

·         Добавление нового файла подкачки.

·         Установка служб файлов и принтеров для Netware.

·         Добавление/удаление сетевых протоколов.

·         Изменение IP-адреса для устранения конфликтов IP-адресов.

·         Установка сервера удаленного доступа в системе с установленным клиентом удаленного доступа и уже запущенной службой удаленного доступа (RAS).

·         Изменение атрибутов отображения видео: цветовое разрешение.

·         Замена мыши.

·         Изменение имени сервера для рабочих станций AppleTalk.

·         Переключение сетевых плат клиентских рабочих станций Макинтош и просмотр общих томов.

·         Удаление службы транзакций (Microsoft).

·         Установка сервера Microsoft SQL Server (7.0).

·         Установка приложения Microsoft Exchange («Platinum»).

·         Добавление места на диске к тому NTFS.

 

Меньшее количество перезагрузок для выполнения обычных задач обслуживания означает увеличение доли полезного времени в рабочем сеансе пользователя. Кроме того, в операционной системе Windows 2000 Server простым запуском исполняемых файлов могут легко осуществляться такие функции, как перевод сервера в контроллер домена (для чего в операционной системе Windows NT Server 4.0 требовалась полная переустановка). Однако в ряде случаев, таких как изменение имени компьютера и элементов домена, изменение шрифтов и установка пакета обновления, перезагрузка все еще необходима, но эта операция неизбежна и не является свойством исключительно операционной системы Windows 2000 Server.

 

Исчерпание ресурсов и памяти

Исчерпание ресурсов и памяти может привести к зависанию систем и появлению «синего экрана». Иногда пользователи просто прибегают к «профилактическим перезагрузкам», поскольку приводящие к таким неполадкам процессы в ряде случаев бывает сложно прервать или остановить. Операционная система Windows 2000 Server включает в себя ряд усовершенствованных средств для регистрации причин аварий в системе, что упрощает устранение неполадок, приводящих к исчерпанию ресурсов и памяти, и предотвращает их повторное возникновение.

Уменьшение числа появлений «синего экрана»

«Синие экраны», появляющиеся, когда программа, работающая в режиме ядра, выявляет серьезные ошибки, с большим трудом подвергаются диагностике. Файлы аварийной копии памяти в системах с большим объемом памяти обычно слишком велики, чтобы можно было с их помощью своевременно устранить неполадки. Операционная система Windows 2000 Server включает в себя ряд усовершенствованных средств для идентификации и устранения неполадок. Работа с аварийными копиями памяти теперь происходит значительно быстрее, что ускоряет анализ «синих экранов». В частности, в операционную систему включены следующие средства.

·         Защита от записи на уровне ядра. Использует диспетчер памяти Windows 2000, чтобы защитить от записи код и предназначенные только для чтения подразделы драйверов ядра и устройств.

·         Технология Code Signing (подписывание кода). Дополняет защиту системных файлов путем использования существующей технологии шифрования цифровой подписи для проверки источника системного файла перед установкой этого файла.

·         Технология Pool Tagging (маркировка пула). Позволяет разработчикам драйверов уровня ядра создавать лучшие драйверы и более простые программы, производя все выделения памяти для выбранных драйверов устройств из специального пула, а не из общего системного пула.

 

Подпись:  Исключение ненадежных драйверов устройств

Одной из наиболее часто встречающихся категорий жалоб, с которыми приходится иметь дело службе поддержки продуктов Майкрософт, является зависание системы, вызванное драйверами устройств. Как правило, такие аварии с трудом подвергаются диагностике, однако, благодаря использованию улучшенного пакета разработки драйверов (DDK), содержащего образцов драйверов и документацию, расширенных средств тестированию драйверов (включая тестирование пула на повреждения), подписывание драйверов и поддержки модели драйверов WDM удается выбирать высококачественные драйверы независимых производителей.

 

Проверка драйверов

Рис. 9. Мастер обновления Windows (Microsoft)

 
Средство проверки драйверов Driver Verifier является мощным настраиваемым механизмом администрирования, который позволяет системе Windows 2000 обнаруживать ошибки в драйверах уровня ядра и применять защитные меры при взаимодействии с нестабильными драйверами. Эти защитные меры могут включать принудительное выделение памяти для ненадежного драйвера только из специального пула или проверку правильности параметра, когда такой драйвер обращается к ядру для повышения уровней прерываний.

Подписывание драйверов

Чтобы гарантировать пользователям, что драйверы устройств, загруженные на их системах, являются сертифицированными промышленными продуктами, или предупредить их об обратном, корпорация Майкрософт обеспечила надежное шифрованное подписывание двоичного кода драйвера и приступила к цифровому подписыванию драйверов, прошедших тестирование в лаборатории по проверке соответствия оборудования требованиям системы Windows (WHQL — Windows Hardware Quality Labs).

 

Компонент PageHeap

Чтобы помочь разработчикам быстрее и надежнее обнаруживать проблемы повреждения «кучи», в диспетчер кучи Windows 2000 встроен компонент PageHeap. Когда компонент PageHeap задействован для приложения, все выделения кучи в этом приложении (включая выделения кучи из всех библиотек DLL в этом процессе) размещаются в памяти таким образом, что конец выделенной области кучи выравнивается по концу виртуальной страницы памяти. Страница виртуальной памяти, следующая за выделением, переводится в режим NO_ACCESS. Любая попытка чтения или записи в память за пределами выделенной области приведет к немедленному нарушению прав доступа в приложении, которое может быть перехвачено отладчиком. Разработчик увидит, какая конкретная строка программы вызвала повреждение кучи.

 

Дерево удаления процесса

Дерево удаления процесса позволяет диспетчеру задач удалять не только индивидуальный процесс, но также и все процессы, созданные этим исходным процессом, не прибегая к перезапуску. Дерево удаления процесса особенно полезно в тех случаях, когда система работает очень медленно из-за большого количества выполняющихся в ней процессов.

 

И, наконец, корпорация Майкрософт при разработке операционной системы Windows 2000 Server прилагает все усилия для улучшения системы сообщений об ошибках, а также регулярного тестирования основных антивирусных программ независимых разработчиков — еще одной часто встречающейся причины аварии системы.

 

Бета-версия 3 операционной системы Windows 2000 Server прошла следующее расширенное тестирование.

·         Тест на длительную работу серверов в условиях высокой нагрузки в течение более месяца без отключения

·         Широкий набор тестов по работе в условиях повышенной нагрузки, включая работу с семейством Microsoft BackOffice и технологией сервера ISS

·         Использование сценариев автоматизации и расширенное тестирование на приложениях независимых разработчиков таких, как Oracle, SAP R/3 и Lotus Notes

 


Практические советы

Надежность системы определяется не только надежностью операционной системы. Надежная работа системы может быть достигнута только в том случае, когда используются оптимальные методики и надежные рабочие процедуры, обеспечивается строгая совместимость аппаратуры, приложения перед применением проходят жесткое тестирование и пр. Приведенный ниже краткий список практических советов при тщательном их выполнении поможет повысить общую надежность системы.

·            Придерживайтесь списка HCL (Hardware Compatibility List — список совместимого оборудования). Администраторам следует развертывать только тщательным образом проверенные драйверы устройств и системные драйверы. Список HCL для операционной системы Windows 2000 представляет собой обширный документ, показывающий, насколько значительны усилия, прилагаемые корпорацией Майкрософт по обеспечению качества программ для платформ операционной системы Microsoft Windows. http://www.microsoft.com/hwtest/hcl/Текущую информацию о совместимости оборудования можно найти по адресу: http://www.microsoft.com/hwtest/hcl/.

·            Контролируйте доступ к серверам. Администраторам следует установить и поддерживать формальные правила по управлению доступом к критичным для работы системы серверам и изменению их конфигурации. Сюда относится как физический, так и логический доступ. Администраторам также следует свести к минимуму число пользователей, наделенных административными полномочиями, а также, где уместно, использовать ограниченные административные права доступа.

·            Анализируйте отказы и поддерживайте средства мониторинга системы. Многие проблемы, которые, на первый взгляд, возникали из-за ошибок операционной системы, были вызваны дефектами драйверов или приложений независимых разработчиков или ошибками настройки.

·            Разрабатывайте методики применения архивации. Программы архивации различаются по своей специфике и методам использования. Поэтому важно тщательным образом выяснить, кто именно должен выполнять те или иные задачи, что конкретно необходимо подвергнуть архивации, каким образом определить правильность выполнения архивации и как часто следует производить архивацию.

·            Остерегайтесь сбоев в единых пунктах администрирования точечных отказов. В сложных системах часто возможно использование резервных приложений из одних и тех же компонентов. В иных случаях администраторы предусматривают в своей инфраструктуре некоторую избыточность (например, путем установки источников бесперебойного питания), однако, при этом некоторые другие критичные для системы компоненты могут остаться без внимания.

·            Используйте отдельные сетевые платы (NIC) для различных сегментов сети. Благодаря установке отдельных плат NIC для различных сегментов сети администраторы могут значительно снизить время простоя, связанное с выходом из строя какого-либо одного сегмента сети.

·            Используйте реплицирование для повышения избыточности на информационном уровне. Реплицирование представляет собой процесс поддержки синхронизации нескольких баз данных. Для правильного функционирования сети крайне важны базы данных контроллеров доменов и серверов имен доменов. Реплицирование в службе Active Directory осуществляется в пределах групп через заданные временные интервалы или в заданное время таким образом, чтобы обеспечивалось более эффективное управление синхронизацией баз данных.

·            Производите постоянный мониторинг быстродействия и его настройку. После выполнения развертывания администраторы должны продолжать оценивать потребности своей инфраструктуры и применимость их решений к стоящим перед ними задачам. Для большинства ключевых бизнес-приложений планирование и развертывание надежных систем приносит хорошую экономическую выгоду. Тем не менее, эти работы неизбежно влекут за собой определенные затраты.

ДОсТУПНОСТЬ


Тенденции и проблемы

Проблемы

«Для систем с высокой доступностью, достигающей 99%, 1% простоев может считаться приемлемым. Однако на практике этот 1% соответствует при­мерно 90 часам или примерно трем суткам. Хотя такой уровень неплано­вых (а иногда и плановых) простоев часто является приемлемым для некритичных данных, для таких орга­низаций, как центры оказания неот­ложной помощи, системы перевода платежей и авиа диспетчерские служ­бы требуется обеспечить работоспо­собность в течение 99,999% времени; в этом случае время простоя соответ­ствует пяти минутам в год.»

 

Giga Information Group. Trends in Cluster Architectures, 30 декабря 1998 г.

 

 
Кластеризация призвана минимизировать время простоя и снизить расходы благодаря архитектуре, которая поддерживает систему в рабочем состоянии в случае выхода из строя какого-либо одного узла. Кроме того, кластеризация позволяет организациям объединить отдельные серверы в единую компьютерную систему, что придает гибкость информационной структуре организации благодаря установке программного обеспечения более чем на один компьютер.

 

Время простоя или нерабочего состояния системы можно подразделить на плановое и неплановое. Плановые простои могут иметь место, когда администратор отключает систему для ее обслуживания, например, для резервного копирования данных, обновлений программного обеспечения и обслуживания оборудования. Незапланированные простои возникают в результате выхода из строя системы или ее компонентов.

 

Доступностью системы называют часть времени, в течение которого система продуктивно работает, при этом простои не подразделяются на плановые или неплановые. Если доступность системы составляет 99%, это означает, что простои отнимают 3 дня в году (1%). Во многих организациях такой показатель приемлем для некритичных данных, однако, он недопустим для решений, критичных для выполнения задач предприятия. В соответствии со спецификациями фирмы Dataquest, простой для кластера с высокой доступностью не должен превышать 8,3 часа в год. В спецификациях фирмы Dataquest степень доступности системы классифицируется следующим образом:

 

Классификация доступности

Доступность, %

Простои за год

Постоянная

100,0%

0

Отказоустойчивая

99,999%

5 мин

Способная к восстановлению при отказе кластеров

99,99%

53 мин

Высокая доступность

99,9%

8,3 ч

Доступность при использовании в промышленных условиях

99,5%

43,8 ч

 

Требования

Многие крупные пользователи используют кластерную технологию, чтобы обеспечить более высокую доступность и масштабируемость своих высокопроизводительных приложений, критичных для выполнения задачи. Однако, как правило, такие кластерные решения являются сложными, трудными в настройке и встраиваются с помощью дорогостоящего патентованного оборудования.

 

Простота установки и настройки

Кластеры должны легко настраиваться и обслуживаться без привлечения специального технического персонала. Управление всеми кластерными ресурсами должно производиться с графической консоли, которую можно запускать с любого компьютера в сети. Эта консоль обеспечивает единое представление кластера и позволяет оператору наблюдать за рабочей нагрузкой кластера и перераспределять ее с помощью мыши. Новые ресурсы и приложения должны легко настраиваться для мониторинга, управления и предупреждения сбоев с помощью простого заполнения пустых полей в мастерах.

 

Гибкое управление

Та же процедура, с помощью которой осуществляется автоматическая передача рабочей нагрузки с вышедших из строя серверов, должна вызываться вручную для каждого приложения в отдельности для балансировки нагрузки кластера или для остановки сервера на плановое обслуживание. Благодаря кластерам приложения и данные, критичные для выполнения задачи, никогда не будут недоступными более, чем одну минуту или около того, даже при выполнении различных стандартных операций по обслуживанию сервера.

 

Высокая доступность

Кластерные службы должны позволять немедленно выявлять сбои сервера или приложений. При обнаружении сбоев должны запускаться процессы восстановления и перезапуска приложений или же вся рабочая нагрузка сервера должна переводиться на компьютер из данного кластера, оставшийся в рабочем состоянии. Весь процесс, от определения неисправности до ее восстановления, обычно занимает около одной минуты.

 

Стандартные для отрасли интерфейсы API

Интерфейсы прикладного программирования для работы с кластерами должны предоставлять разработчикам специальные возможности для разработки приложений с высокой доступностью.

 

Поддержка отраслевого стандарта аппаратуры

Кластеры должны обеспечивать использование современных отраслевых стандартов платформ ПК и существующих сетевых технологий, а также поддерживать высокопроизводительные кластерные технологии специального назначения (например соединения с низким временем запаздывания) по мере того, как поставщики оборудования выставляют на рынок специализированные кластерные решения.

 


Решения, обеспечивающие высокую доступность Windows 2000

Преимущества

·          Более простая установка кластеров.

·          Более простая настройка совмес­тимых с кластерами приложений.

·          Улучшенная диагностика системы и проверка правильности работы драйверов устройств.

·          Улучшенное оснащение сред­ствами контроля и управления кластерами.

·          Автоматизация задач управления кластерами.

·          Улучшенное поочередное обнов­ление при проведении планового обслуживания.

·          Улучшенные определение сбоя в сети и восстановление работо­способности.

 

 
Система Windows 2000 Advanced Server вместе с DataCenter Server содержит службу кластеров как стандартную часть продукта. Назначением службы кластеров является обеспечение очень высокой доступности приложений и данных. Кластеризация охватывает как источники плановых (например, обновление программного обеспечения и аппаратуры), так и неплановых, вызванных сбоями, простоев. В системе Windows 2000 Advanced Server вместе с DataCenter Server предложена новая служба — поддержка поочередного обновления обоих выпусков операционных систем (версии, пакеты обновлений, оперативные коррекции) и многоуровневых продуктов. В системе Windows 2000 Advanced Server вместе с DataCenter Server предусмотрены и иные способы улучшения кластеризации, включая улучшенную установку, интеграцию с архитектурой администрирования и расширенный список совместимых с кластерами служб системы.

 

Такой подход корпорации Майкрософт к кластеризации минимизирует время простоя и снижает расходы благодаря архитектуре, которая поддерживает систему в рабочем состоянии в случае выхода из строя какого-либо одного узла. Кластеры размещаются на недорогом оборудовании с выполненными на основе стандартов соединениями и системами хранения данных. Кластеризация может обеспечить некоторую масштабируемость (например, благодаря поддержке каких-либо служб доступа к файлами или к принтерам на каждом из двух узлов), но, в основном, ценность этого подхода заключается в высокой доступности. Существует много способов организации работы сегментов в кластере, состоящем из двух узлов. Ниже приводятся два наиболее популярных способа.

·         Производственные системы расположены на одном узле, а разработка и тестирование осуществляются на другом узле.

·         Бизнес-приложения размещены на одном узле, а службы базы данных — на втором узле.

Дополнительные сведения

Информационный документ. Cluster Strategy: High Availability and Scalability with Industry-Standard Hardware (Кластерная стратегия: высокая доступность и масштаби­руемость при использовании аппаратуры соответствующей промышленным стандартам)

В настоящем документе представлена точка зрения корпорации Майкрософт на усиление операционной системы Microsoft 2000 Server и семейства Microsoft BackOffice благодаря клас­теризации, позволяющей повысить доступность, масштабируемость и управляемость.

http://www.microsoft.com/ntserver/ntserverenterprise/exec/prodstrat/cluster2.asphttp://www.microsoft.com/ntserver/ntserverenterprise/exec/prodstrat/cluster2.asp

 

 
 


Встроенные в систему Windows 2000 Advanced Server вместе с DataCenter Server службы кластеров позволяют подключить к кластеру два сервера, содержащих до 64 процессоров, что повышает доступность и упрощает управление ресурсами сервера. Эта два сервера не обязательно должны иметь одинаковый размер или конфигурацию. В приведенном выше примере, когда в один кластер входят компьютеры для производственных целей и тестирования, компьютер для тестирования обычно бывает несколько меньше, чем компьютер для производственных целей. Так, четырехпроцессорная система для тестирования может быть объединена в кластер с восьмипроцессорной производственной системой.

 

Службы кластеризации корпорации Майкрософт контролируют состояние стандартных приложений и серверов и могут автоматически восстанавливать критичные для выполнения задания данные и приложения при большинстве общих типов отказов; обычно такое восстановление осуществляется в пределах одной минуты. В предыдущем предложении подразумевается, что система, отвечающая за слежение и восстановление после отказа, «хорошо структурирована» то есть представляет собой службу или приложение. Кроме того, можно использовать консоль управления кластером для перераспределения рабочих нагрузок в пределах кластера с целью балансировки этих нагрузок или разгрузки серверов для проведения планового обслуживания или тестирования, не делая важные данные и приложения недоступными в течение какого-либо значительного временного промежутка.

 

В системе Windows 2000 Advanced Server вместе с DataCenter Server кластеры обладают преимуществом специально протестированных и проверенных серверных платформ и сетевых соединений. К новым возможностям, которые делают систему более мощной и упрощают ее использование, относятся следующие.

 

Более простая установка и настройка

В самой последней версии службы кластеров содержатся изменения в пользовательском интерфейсе, упрощающие установку кластера и его администрирование. Администратор кластеров содержит новый мастер кластерного приложения, позволяющий снять многие сложности, возникающие при настройке нового приложения для работы в кластере. Мастер установки приложений проведет пользователя через все необходимые этапы, включая создание виртуального сервера для вызова приложения, создание типов ресурсов для всех сопоставленных ресурсов, создание зависимостей между ресурсами, настройка политик восстановления после сбоев и пр. Кроме того, в администраторе кластеров теперь используются стандартные диалоговые окна безопасности операционной системы Windows 2000, предназначенные для управления настройками безопасности для кластера и для ресурсов совместного доступа к файлам.

 

Гибкое управление

 

Поддержка поочередного обновления

Администратор может легко перевести сервер в автономный режим для обслуживания, что позволяет осуществлять «поочередное обновление» системы и прикладных программ. Поочередное обновление имеет два основных преимущества. Во-первых, отключения служб на время обновления очень коротки. Во-вторых, не требуется заново создавать конфигурацию кластера — эта конфигурация будет оставаться без изменений в течение всего процесса обновления. Поочередные обновления полностью поддерживаются следующими службами:

·         основными ресурсами и службой печати.;

·         веб-службами (IIS 5.0);

·         службами транзакций (Distributed Transaction Co-ordinator);

·         службой очередей сообщений (Microsoft Message Queue Server).

 

Поддержка службы Active Directory и интеграции с консолью управления MMC

Службы кластеров операционной системы Windows 2000 Server для публикации сведений о кластерах используют службу Active Directory. Интеграция с консолью MMC упрощает установку и позволяет администраторам визуально контролировать состояние всех ресурсов в кластере.

 

Высокая доступность

 

Восстановление после сбоев в сети

В службе кластеров операционной системы Windows 2000 Server использован сложный алгоритм, позволяющий выявлять и локализовывать сбои в сети, а также улучшить восстановление после аварии. Этот алгоритм может определять ряд различных состояний сбоев в сети, а затем использовать подходящую политику восстановления после отказа для определения группы ресурсов, подлежащих восстановлению.

 

Поддержка технологии Plug and Play для сетей и дисков

С помощью встроенной в операционную систему Windows 2000 Server технологии Plug and Play службы кластеров определяют необходимость добавления или удаления сетевых адапторов, стеков протокола TCP/IP и общих физических дисков.

 

Поддержка служб WINS, DFS и DHCP

Служба кластеров теперь поддерживает службы WINS (Windows Internet Name), DHCP (Dynamic Host Configuration Protocol) и DFS (Distributed File Services системы) как совместимые с кластерами ресурсы, которые поддерживают устранение причин отказа и автоматическое восстановление. Общая папка теперь может рассматриваться как корень системы DFS и подкаталоги общей папки могут совместно использоваться для эффективного управления большим количеством связанных общих папок.

Дополнительные сведения

Информационный документ. Writing Microsoft Clustering Services Resource Dynamic-Link Libraries (DLLs) (Написание динамически подключаемых библиотек ресурсов служб кластеров (Microsoft))

В настоящем документе представлен подробный обзор методов, исполь­зуемых при написании правильно работающих кластерных приложений для служб кластеров.

http://www.microsoft.com/ntserver/ntserverenterprise/techdetails/moreinfo/ClustAwareApps.asphttp://www.microsoft.com/ntserver/ntserverenterprise/techdetails/moreinfo/ClustAwareApps.asp

 

 
Расширения интерфейса API

 

Поддержка модели COM в кластерном интерфейсе API

Службы кластеров операционной системы Windows 2000 Server включают в себя стандартный межплатформенный интерфейс API для разработки и поддержки совместимых с кластерами приложений. Этот интерфейс API может быть использован для создания масштабируемых совместимых с кластерами приложений, позволяющих осуществлять автоматическую балансировку нагрузки в системе из нескольких серверов в пределах одного кластера. Доступ к этому интерфейсу с целью управления режимом работы кластера и автоматизации ряда заданий по администрированию кластеров осуществляется с помощью сервера WSH (Windows Scripting Host — сервер сценариев Windows).

 

Интерфейсы API архивации

Позволяют администраторам создавать архивные копии базы данных кластера (информации настройки кластера) как снимка состояния текущей настройки кластера и восстанавливать снимок состояния базы данных кластера, полученный из программы архивации.

 

Интерфейсы API репликации

Позволяют разработчикам создавать приложения (или другие кластерные ресурсы) репликации криптографических ключей или вообще работать с криптографическими ключами.

 

Совместимость с оборудованием

Кластеры системы Windows 2000 Advanced Server обладают преимуществами современных отраслевых стандартов платформ ПК и существующих сетевых технологий. С помощью многоуровневой модели драйвера операционной системы Windows 2000 Server корпорация Майкрософт может быстро добавлять поддержку специальных технологий, высокопроизводительных кластерных технологий (например соединения с низким временем запаздывания) по мере того, как поставщики оборудования выставляют на рынок новые решения. Список HCL для операционной системы Windows 2000 представляет собой обширный документ, показывающий, насколько значительны усилия, прилагаемые корпорацией Майкрософт по обеспечению качества программ для платформ операционной системы Microsoft Windows. http://www.microsoft.com/hwtest/hcl/Текущую информацию о совместимости аппаратуры можно получить по адресу http://www.microsoft.com/hwtest/hcl/.

 

обеспечение взаимодействия


Тенденции и проблемы

Современные корпоративные компьютерные среды часто бывают неоднородными. То есть, в их списке стандартов имеется несколько сетевых операционных систем, которым приходится взаимодействовать как с более новыми средами интрасети клиент/сервер, так и с устаревшими моделями компьютеров и приложениями.

Проблемы

«Проблема взаимодействия стала критичной для всех сегментов управ­ления, поскольку быстродействие сетевых компьютерных систем растет. Обеспечение взаимодействия на низком уровне уменьшают ценность ресурсов, замедляют работу прило­жений и препятствуют обмену данны­ми, увеличивая расходы. Значение обеспечения взаимодействия заклю­чается в снижении издержек предпри­ятия путем повышения эффектив­ности и производительности сетей.»

 

Aberdeen Group. Interoperability: Interoperability: possibility of elusive dream? (Обеспечение взаимодейст­вия: возможность или иллюзорная мечта?) Март 1998 г.

 

 
По мере того, как сетевые администраторы пытаются заставить эти системы работать совместно, они обнаруживают, что различные сетевые операционные системы не «общаются» между собой по одним и тем же стандартным протоколам, и что в различных модулях их сетей могут использоваться нестандартные или патентованные протоколы. Администраторы нуждаются в способах, позволяющих объединить эти сети, дать им возможность взаимодействовать и дополнять друг друга. В общем случае, существует не менее трех основных причин для обеспечения взаимодействия.

 

Снижение эксплуатационных расходов и сложности — возможность гетерогенных систем работать друг с другом снижает стоимость создания и поддержки гетерогенной инфраструктуры.

 

Возможность использования лучших программ  пользователи могут выдвигать требования, реализация которых возможна с помощью только специальных приложений или платформ.

 

Использование существующих вложений — в средах пользователей уже установлены большие и разнообразные системы. Переход на новые платформы должен происходить постепенно и эволюционно. Помимо этого, еще одним основным направлением является требования по веб-доступности существующих приложений. Это позволяет осуществлять доступ к основным системам таких серверных сред, как мэйнфрейм IBM, через интрасеть или Интернет. Возможность доступа к Вебу расширяет функциональные возможности существующих приложений и защищает сделанные организациями вложения.

 

Требования

 

Взаимодействие должно быть обеспечено на четырех различных уровнях: сеть, данные, приложения и управление. Обеспечение взаимодействия начинается с сетевых протоколов и безопасности каталогов и распространяется на гетерогенные распределенные приложения предприятий, а также на управление сетями и системами. Промежуточные уровни включают в себя доступ к данным и их совместное использование, переносимость приложений и межплатформенный доступ к приложениям.

Подпись:

 

Взаимодействие сетей и службы

Для обеспечения взаимодействия систем, необходимо, прежде всего, добиться стыкуемости сетей. Взаимодействие сетей можно рассматривать как способность систем разных производителей обмениваться данными друг с другом по общим протоколам. Взаимодействие сетей включает в себя следующие аспекты: протоколы, терминальный доступ и службы печати.

 

Взаимодействие данных

Следующим уровнем взаимодействия является обеспечение доступа к данным в гетерогенной среде. Это позволяет пользователям работать с папками общего и принтерами независимо от установленной на сервере среде. Взаимодействие данных также означает возможность для пользователей и приложений получать доступ и запрашивать информацию как в структурированных, так и в неструктурированных модулях хранения данных.

 

Взаимодействие приложений и транзакции данных

Основной проблемой, с которой сталкиваются разработчики приложений, является выбор оптимального способа интеграции созданных ими приложений с многообразием имеющихся источников данных. Проблема заключается не только в многообразии источников информации, но также в постоянном изменении этих источников по мере внедрения новых средств и использования различных вычислительных платформ. Это приводит к сбоям в работе приложений или к тому, что эти приложения быстро устаревают и их приходится переписывать заново.

Взаимодействие при управлении

Взаимодействие при управлении фокусируется на снижение затрат, связанных с администрированием нескольких систем. В качестве примеров можно привести управление проблемами администрирования учетных записей пользователей и безопасности в нескольких системах одновременно. Кроме того, такие функции управления системами, как администрирование событий и мониторинг быстродействия в нескольких системах, могут быть реализованы с помощью таких технологий, как SNMP и WMI.

 

Стандарты

Стандарты играют ключевую роль в обеспечении взаимодействия между системами. Существует множество примеров того, как стандарты, используемые сегодня в качестве базы для обеспечения взаимодействия, к которым относятся отраслевые стандарты, выработанные группами совместно работающих над какими-либо проектами компаний (такие как SMTP или HTML), и технологии, разработанные отдельными компаниями, получили настолько широкое распространение, что они стали «стандартами де-факто» (например IPX/SPX или SNA). Операционная система Windows 2000 поддерживает широкий диапазон стандартов.

 

Решения в области обеспечения взаимодействия для Windows 2000 Server

Операционная система Windows 2000 поддерживает взаимодействие с компьютерами, использующими в работе широкий спектр операционных систем и сетевых протоколов. Такая поддержка упрощает внедрение компьютеров с установленной операционной системой Windows 2000 в существующие сети таким образом, что пользователи могут пользоваться дополнительными возможностями операционной системы, не нарушая работу предприятия.

 

Архитектура операционной системы Windows 2000 не зависит от протоколов и предоставляет для приложений драйверы устройств и стандартные интерфейсы такие, как Windows Sockets, RPC (Remote Procedure Calls) и NetBIOS. Это упрощает внедрение определенного стека протоколов для операционной системы Windows 2000 и одновременный обмен данными с рядом различных сетевых систем.

 

Преимущества

·          Простой доступ к файлам и прин­терам из нескольких операцион­ных систем.

·          Легко осуществляемая синхрони­зация, миграция и управление данными каталога.

·          Простой и безопасный вход в различные системы и приложения.

·          Простое объединение данных, полученных из различных источ­ников.

·          Поддержка широкого спектра источников данных.

·          Простота интеграции нескольких источников данных.

 

 
Взаимодействие сетей

Для достижения наибольшего базового уровня интеграции между Windows 2000 и прочими операционными системами необходимо надежное сетевое подключение между этими средами. Операционная система Windows 2000 формирует такой фундамент благодаря встроенной поддержке протокола TCP/IP, стандартного набора сетевых транспортных протоколов, используемых в большинстве сред. Благодаря поддержке протокола TCP/IP сервер с установленной на нем операционной системой Windows 2000 может свободно обмениваться данными с системами UNIX и NetWare как через сеть предприятия, так и через Интернет. Благодаря встроенной поддержке таких служб, как DNS (Domain Name System), DHCP (Dynamic Host Configuration Protocol), BOOTP и RPC (Remote Procedure Call) — основных элементов корпоративных сетей, работающих на основе протокола TCP/IP, сервер с установленной на нем операционной системой Windows 2000 может предоставить необходимую инфраструктуру для развертывания этих сетей и управления ими.

 

Еще одним преимуществом общей инфраструктуры TCP/IP является поддержка таких служб, как FTP, HTTP, DAV и Telnet. С помощью служб FTP и HTTP пользователи могут копировать файлы из сетей гетерогенных систем, а затем работать с ними локально как с текстовыми файлами или даже как с документами Microsoft Word. Например, благодаря поддержке операционной системы Windows 2000 удаленного входа в сеть, помимо копирования файлов из системы UNIX пользователи ПК могут получить доступ к приложениям, ориентированным на неграфический интерфейс UNIX. Запустив программу эмуляции терминала, встроенную в операционную систему Windows 2000, пользователь ПК с установленной операционной системой Windows может войти на сервер UNIX, работающий в режиме разделенного времени таким же образом, как и установить удаленное соединение. После ввода имени полномочного пользователя и пароля, пользователи ПК смогут работать с неграфическими приложениями, находящимися на удаленной рабочей станции UNIX, таким же образом, как, если бы они входили непосредственно в эту систему.

 

Интеграция DNS и WINS

Служба DNS используется в большинстве операционных систем и в Интернете для преобразования имен в адреса в Интернете. По сути служба DNS представляет собой набор протоколов и служб для сети с протоколом TCP/IP, который позволяет пользователям сети при поиске других компьютеров применять иерархические удобные для пользователя имена вместо того, чтобы запоминать IP-адреса.

 


В операционной системе Windows 2000 Server имеется встроенная служба DNS, основанная на стандартах (RFC 2052 и RFC 2136) и прошедшая проверку способности к взаимодействию с помощью программы BIND версия 8.1.2., которая позволяет администраторам легко переходить из существующей у них службы DNS в службу операционной системы Windows 2000 Server или сосуществовать со службой DNS независимых разработчиков.

Подпись:

Рис. 10. Диспетчер службы DNS: создание новой зоны.

 
Операционная система Windows 2000 Server предоставляет также службу поиска WINS (Windows Internet Naming Service — служба межсетевой адресации в среде Windows). Служба WINS динамически управляет соответствием между удобными именами и адресами IP сетевых ресурсов. Например, если имя подчиненного клиента операционной системы Windows NT 4.0 не удается разрешить с помощью службы DNS, запрос на это имя направляется для разрешения в службу WINS.

 

Терминальный доступ

Очевидно, что поддержка терминальных протоколов представляет собой очень важный этап в предоставлении доступа к существующим системам. И действительно, в прошлом поддержка терминального доступа часто являлась основным требованием для обеспечения работы и взаимодействия многих пользователей. Корпорация Майкрософт разработала поддержку терминального доступа с помощью сервера Microsoft SNA Server по протоколам 3270 и 5250, а также TN3270 и TN5250. Однако ясно, что многим пользователям требуются более широкие возможности взаимодействия, чем простой терминальный доступ, и эти требования, по-видимому, можно классифицировать, как взаимодействие данных и приложений.

 

Службы печати

Способность приложений или пользователей использовать преимущества ресурсов печати в нескольких системах может являться очень важным требованием. Благодаря поддержке различных протоколов, включающих новые протоколы такие, как Internet Printing Protocol, корпорация Майкрософт продолжает поддерживать эти требования.

 

 


Взаимодействие данных

Следующий уровень взаимодействия заключается в предоставлении доступа к данным в гетерогенной среде. Это означает, что пользователи могут получать доступ к общим папкам и принтерам независимо от установленной на сервере среды.

 

Взаимодействие с системой NetWare

В операционной системе Windows 2000 Server имеется несколько служб, которые позволяют компьютерам с установленной операционной системой Windows 2000 сосуществовать и взаимодействовать с сетями и серверами NetWare (Novell). Некоторые из этих служб включены в операционную систему Windows 2000 Server, а другие поставляются в виде отдельных продуктов.

 

IPX/SPX/NetBIOS-совместимый транспортный протокол (NWLink) — включен в операционные системы Windows 2000 Server и Windows 2000 Professional. Протокол NWLink поддерживает взаимодействие между компьютерами с установленной операционной системой Windows 2000 и компьютерами с установленной операционной системой NetWare и совместимыми с ней системами.

 

Служба GSNW (Gateway Service for NetWare — служба шлюза для NetWare) — включена в операционную систему Windows 2000 Server и позволяет компьютерам с установленной операционной системой Windows 2000 подключаться к компьютерам с установленным программным обеспечением сервера NetWare 3.x или 4.x. Также включена поддержка сценария входа в сеть. Кроме того, с помощью службы GSNW можно создавать шлюзы для ресурсов NetWare. Создание шлюза позволяет компьютерам, на которых установлены только клиентские программы корпорации Майкрософт, получать через шлюз доступ к ресурсам NetWare.

 

Средство миграции службы каталогов — включено в операционную систему Windows 2000 Server и позволяет пользователю переносить учетные записи пользователей, группы, файлы и права доступа с сервера NetWare в службу Active Directory операционной системы Windows 2000. На сервере NetWare, с которого переносятся ресурсы, может работать либо служба NDS, либо служба безопасности bindery. Эта утилита позволяет также интерпретировать информацию из учетной записи прежде, чем передавать ее в службу Active Directory.

 

Служба FPNW (File and Print Services for NetWare — служба доступа к файлам и принтерам NetWare) — продукт, поставляемый отдельно. Служба FPNW предоставляет службам файлов и принтеров компьютеров с установленной операционной системой Windows 2000 непосредственный доступ к компьютерам с установленными системами NetWare и совместимыми клиентскими приложениями. Сервер ведет себя практически так же, как и любой другой сервер с установленной системой NetWare по отношению к клиентам NetWare, а клиенты могут получить доступ к находящимся на сервере томам, файлам и принтерам. Не требуется никаких добавлений или изменений в клиентском программном обеспечении NetWare.

 

Совместимость с системой Unix

Пользователи, которым часто требуется доступ к общим папкам из сред UNIX и Microsoft, считают стандартный протокол FTP слишком громоздким. Для таких пользователей выработаны альтернативные подходы: блок SMB (Server Message Block — блок сообщений сервера) и система NFS (Network File System — сетевая файловая система). Все основные операционные системы UNIX обладают встроенными возможностями доступа к общим папкам NFS.

 

Службы для UNIX. Корпорация Майкрософт в пакет надстроек для операционной системы Windows 2000, содержащий службы для системы UNIX, включила программное обеспечение для систем NFS Server и NFS Client. Служба NFS Client предоставляет клиентам доступ к службам файлов и принтеров, существующим на серверах UNIX, а служба NFS Server предоставляет рабочим станциям и серверам UNIX доступ к службам файлов и принтеров в системах с установленной операционной системой Windows 2000. Пакет надстроек имеет и другие полезные возможности, включая однонаправленную синхронизацию по паролю более 25 команд сценария UNIX и оболочку UNIX Korn. Однонаправленная синхронизация по паролю позволяет пользователям сохранять общий пароль на компьютерах с установленными операционными системами Windows 2000 и UNIX. Команды сценария UNIX и оболочка Korn предоставляют пользователям возможность автоматизировать общие процессы и административные задачи для операционных систем Windows 2000 и UNIX.

 

Решения независимых разработчиков. С помощью протокола SMB, установленного на серверах и рабочих станциях UNIX, системы UNIX могут получить доступ к файлам, управляемым из операционной системы Windows 2000 Server. Однако более распространенным решением является использование клиентов, работающих в операционной системе Windows, для предоставления доступа к файлам, хранящимся на серверах UNIX. Ориентированные на работу с операционными системами Windows сети UNIX охватывают диапазон от бесплатно распространяемого порта, известного как «Samba», до лицензированного корпорацией Майкрософт продукта Advanced Server для UNIX и таких продуктов независимых производителей, как TotalNET Advanced Server (Syntax Corporation) и VisionFS (SCO).

Взаимодействие с AppleTalk

Службы операционной системы Windows 2000 Server для Макинтоша предоставляют клиентам компьютеров на базе Intel и Apple Macintosh возможность совместного доступа к файлам и принтерам, а также удаленного подключения к сетям Майкрософт.

·            Файловый сервер для Макинтоша (также называемый MacFile) позволяет обозначить каталог как том, доступный для систем Макинтош, обеспечивает условия, при которых имена файлов в системе Макинтош являются допустимыми именами NTFS, а также предоставляет права доступа.

·            Сервер печати для Макинтоша (также называемый MacPrint) позволяет всем пользователям сети посылать задания диспетчеру печати операционной системы Windows 2000 Server и продолжать свою работу; им не нужно ждать завершения выполнения своих заданий печати.

·            Протокол AppleTalk представляет собой уровень протоколов AppleTalk Phase 2, который направляет данные по месту назначения в сети.

 

Взаимодействие приложений и транзакции данных

Взаимодействие приложений с точки зрения основных требований к инфраструктуре означает, что новое приложение, встроенное в n-уровневую модель клиент-сервер, может взаимодействовать с существующими приложениями, бизнес-логикой и данными.

 

Универсальный доступ к данным

Основной проблемой, с которой сталкиваются разработчики приложений, является выбор оптимального способа интеграции созданных ими приложений с многообразием имеющихся источников данных. Проблема заключается не только в многообразии источников информации, но также в постоянном изменении этих источников по мере внедрения новых средств и использования различных вычислительных платформ. Эти изменения среды приводят к сбоям в работе приложений или к тому, что эти приложения быстро устаревают и их приходится переписывать заново.

 

Для удовлетворения этим требованиям в отрасли программного обеспечения был разработан ряд технологий, предназначенный для отделения доступа к данным и информации от конкретного формата и источников данных. Одним из наиболее популярных подходов является использование программного обеспечения ODBC (Open Database Connectivity — открытый интерфейс подключения к базам данных). С помощью средств ODBC разработчик может теперь создавать приложения, обладающие возможностью доступа к источникам данных на различных платформах и базам данных независимо от базы данных операционной среды, в которой работает это приложение.

 

В прошлом году корпорация Майкрософт вкладывала средства в разработку программного обеспечения доступа к данным нового поколения. Новая программная технология получила название OLE-DB и ADO (Active Data Object). ADO представляет собой новый интерфейс программирования, используемый для получения доступа к источникам данных. Интерфейс ADO предоставляет разработчикам более простой интерфейс программирования для работы с более широким диапазоном источников данных. OLE-DB представляет собой новую технологию подключения пользователей данными к источникам данных. Технология OLE-DB позволяет пользователям поддерживать более широкий спектр источников данных и поддерживает более простую интеграцию нескольких источников данных в приложении.

 

Компоненты

По мере того как организации изменяют архитектуру и разрабатывают приложения в n-уровневой модели клиент-сервер, возможность создавать многоразовые компоненты, которые могут быть использованы во многих приложениях, приобретает все большее значение. Такое использование компонентов осуществляется на всех уровнях приложений и возможность пользоваться одной и той же моделью программирования приносит много преимуществ. Модель программирования COM предоставляет возможность переносить существующую бизнес-логику систем, не работающих в среде операционной системы Windows, в COM объект, который может быть использован в приложениях этой среды. Кроме того, программы независимых разработчиков обеспечивают взаимодействие между различными моделями компонентов такими, как COM и CORBA.

 

Модель COM+

COM+, объектная модель компонентов для операционной системы Windows 2000 Server, представляет собой спецификацию для разработки распределенных приложений на основе транзакций и определения способа взаимодействия объектов через открытый интерфейс. Язык MIDL (Microsoft Interface Definition Language — язык определения интерфейса) представляет собой язык для обозначения интерфейсов, позволяющих независимо разработанным на различных языках прикладным программам или компонентам взаимодействовать друг с другом. Корпорация Майкрософт продолжает тесно работать с партнерами, приобретая технический, интеграционный и маркетинговый опыт для продвижения модели COM на предприятия. В этой связи корпорация Майкрософт тесно работает со многими партнерами, чтобы перенести модель COM на платформы, отличные от платформ корпорации Майкрософт. Программисты, которые занимаются разработками только в средах Windows, обнаружат такой же интерфейс API модели COM и такое же поведение в гетерогенных средах.

 

Например, применяя модель COM в системе UNIX, пользователи получают следующие возможности.

·            Переносить серверное приложение модели COM из операционной среды Windows 2000 в операционные среды UNIX.

·            Создавать интерфейсные оболочки (wrappers) для существующих приложений UNIX, обеспечив доступ на основе модели COM клиентам, работающим в системе Windows.

·            Разрабатывать новые распределенные приложения UNIX, которые получают все преимущества механизма распределения модели COM. Эти приложения могут содержать в себе большую часть возможностей модели в отношении многократного использования, независимости от версии и независимости от языка.

 

Транзакции

Способность приложений участвовать в транзакциях между несколькими системами является основным требованием, которое вытекает из необходимости простого доступа к данным из одной системы в другую. Эта способность обновления данных в различных базах данных и системах может быть достигнута различными способами, от патентованных механизмов, например по протоколам IBM CICS и APPC, до основных стандартных протоколов, таких как XA и TIP.

 

Сообщения

Служба очередей сообщений операционной системы Windows 2000 Server позволяет приложениям обмениваться данными с другими прикладными программами путем отправки и приема сообщений. Для расширения функциональных возможностей службы очередей сообщений благодаря непосредсвенному, использующему транзакции подключению к платформам IBM MQSeries версии 2 и версии 5, корпорация Майкрософт приобрела у своего партнера, компании Level 8 Systems, продукт FalconMQ Bridge. Этот продукт был переименован и получил название MSMQ-MQSeries Bridge. Продукт MSMQ-MQSeries Bridge поставляется с продуктом Microsoft SNA Server версии 4.0, пакет обновления 2 или более поздний. Компания Level 8 Systems также предлагает продукт FalconMQ Client, который представляет собой пакет клиентских интерфейсов API, расширяющий возможности MSMQ до работы с другими, отличными от Windows платформами, включая следующие платформы операционных систем: UNIX, AS/400, Tandem, Digital VMS, CICS/MVS и Unisys ClearPath HMP. Чтобы обрабатывать запросы службы очередей сообщений от этих клиентов, компания Level 8 Systems также предоставляет продукт FalconMQ Server, работающий в операционной системе Windows 2000 Server.

Взаимодействие при управлении

 

Администрирование системой на основе службы SNMP обеспечивает основную поддержку для управления гетерогенными системами

 

Служба SNMP операционной системы Windows 2000 Server поддерживает компьютеры, работающие по протоколам TCP/IP и IPX. Эта служба представляет собой дополнительную возможность, которая может быть установлена после успешной настройки протокола TCP/IP. Служба SNMP предоставляет агент SNMP, который позволяет осуществлять удаленное централизованное управление компьютерами, на которых работают следующие системы:

·            Windows 2000 Server и Windows 2000 Professional;

·            WINS и DHCP на компьютере с установленной операционной системой Windows 2000;

·            служба IIS на компьютере с установленной операционной системой Windows 2000;

·            диспетчер ЛВС.

 

Например, администраторы сетей систем UNIX могут с помощью программы администрирования SNMP, такой как HP OpenView и IBM NetView, управлять компьютерами с установленной операционной системой Windows 2000.

 

Операционная система Windows 2000 Server включает в себя полную поддержку файлов MIB (Management Information Base) службы SNMP, что позволяет управлять ими с консолей управления MMC.

Операционная система Windows 2000 Server также предлагает полный диапазон встроенных возможностей управления с помощью командной строки и сценариев, предоставляя истинную возможность управления компьютерами с установленной операционной системой Windows 2000 «в режиме маскировки».

 

Службы каталогов

Одной из проблем, возникающей при работе в крупных распределенных компьютерных средах, является идентификация и поиск таких ресурсов, как пользователи, группы и документы. Служба каталогов предоставляет способ поиска и идентификации пользователей и ресурсов, доступных в системе. В большинстве предприятий уже имеется большое количество каталогов. Например, сетевые операционные системы, системы электронной почты и продукты со средствами коллективной работы имеют свои каталоги. Таким образом, каждая из этих служб имеет свой набор интерфейсов API для доступа к каталогу и администрирования ей. Когда на одном предприятии используется большое количество каталогов, возникает множество вопросов, включая практичность использования, целостность данных, стоимость разработки и стоимость поддержки.

 

Служба Active Directory

Active Directory представляет собой службу каталогов, которая полностью интегрирована с операционной системой Windows 2000 Server. Эта служба предлагает такие необходимые для всех пользователей предприятия возможности, как иерархическое отображение данных, расширяемость, масштабируемость и распределенные службы безопасности. Служба Active Directory интегрирует интернетовскую концепцию пространства имен со службами каталогов операционной системы. Она использует протокол LDAP (Lightweight Directory Access Protocol) в качестве основного протокола и может работать с несколькими операционными системами, интегрируя пространства имен.

 

В качестве протокола клиентского доступа служба Active Directory использует протокол LDAP (для программированного доступа используется протокол ADSI). Эта служба поддерживает модель данных X.500; при этом не возникает дополнительная нагрузка на систему, как при полной реализации модели X.500. Служба Active Directory может свободно взаимодействовать, например, с другими каталогами UNIX, использующими протокол LDAP. Это позволяет предприятиям объединять и управлять несколькими пространствами имен, которые в настоящее время существуют в корпоративных сетях. В результате достигается высокий уровень взаимодействия, необходимый для администрирования гетерогенных сред программного обеспечения и аппаратуры.

 

Безопасность

В службе Active Directory хранятся основные объекты, участвующие в системе безопасности операционной системы Windows 2000, включая учетные записи пользователя, группы и домены. Служба Active Directory допускает клиентов, использующих протокол LDAP, к службе каталогов как с проверкой подлинности, так и без такой проверки.

 

При доступе к каталогу Active Directory по протоколу LDAP с проверкой подлинности поддерживается проверка подлинности как с помощью открытого ключа, так и с помощью закрытого ключа. Протокол проверки подлинности MIT Kerberos версия 5 поддерживается расширениями для проверки подлинности с помощью открытого ключа и проверки подлинности с помощью пароля. Проверка подлинности клиентов Интернета может быть также осуществлена с помощью сертификатов открытого ключа X.509 v3. После проверки подлинности клиента служба Active Directory поддерживает его олицетворение с помощью соответствующей схемы проверки подлинности. Это позволяет обеспечить тесную интеграцию с остальной частью системы безопасности операционной системы Windows 2000.

 

Протокол проверки подлинности Kerberos

Протокол проверки подлинности Kerberos определяет взаимодействие между клиентом и сетевой службой проверки подлинности, известной под названием KDC (Key Distribution Center — центр распределения ключей). Служба KDC входит в операционную систему Windows 2000 как служба проверки подлинности на каждом контроллере DC (Domain Controller — контроллер домена). Домен Windows 2000 эквивалентен области действия протокола Kerberos и реализация протокола Kerberos операционной системы Windows 2000 основана на спецификации Internet RFC 1510 протокола Kerberos. Клиентское программное обеспечение, поддерживающее протокол Kerberos, реализовано как поставщик безопасности, основанный на интерфейсе SSPI. Первичная проверка подлинности по протоколу Kerberos интегрируется с архитектурой единой регистрации WinLogon. Сервер Kerberos (KDC), интегрированный с существующими службами безопасности, работающими на контроллере доменов, использует службу Active Directory как базу данных учетных записей пользователей (основных объектов) и групп.

 

Протокол проверки подлинности Kerberos усиливает присущие операционной системе Windows 2000 возможности по обеспечению безопасности и предоставляет следующие функции.

·            Повышенное быстродействие при проверке подлинности на сервере во время начального этапа подключения. Для проверки подлинности клиента серверу приложения не нужно подключаться к контроллеру доменов. Это упрощает серверам приложений масштабирование при работе с большим количеством клиентских запросов на подключение.

·            Делегирование проверки подлинности в многоуровневых архитектурах приложений клиент/сервер. При подключении клиента к серверу сервер олицетворяет клиента в данной системе. Но если серверу нужно установить сетевое подключение к другому сервером сети для завершения транзакции клиента, протокол Kerberos позволяет делегировать проверку подлинности первого сервера для подключения к другому серверу от имени клиента. Функция делегирования позволяет и второму серверу олицетворять клиента.

·            Транзитивные доверительные отношения для внутридоменной проверки подлинности. Проверка подлинности пользователей на доменах может производиться в любой точке дерева доменов, поскольку центры KDC каждого домена доверяют билетам, выданным другими центрами KDC данного дерева. Транзитивные доверительные отношения упрощают управление доменами в больших сетях, включающих в себя множество доменов.

 

Протокол проверки подлинности Kerberos версии 5, определенный в RFC 1510, прошел глубокий анализ на отраслевом уровне и хорошо известен в группах, занимающихся безопасностью.

 

Проверка подлинности с помощью открытого ключа

С помощью форматов сертификата отраслевого стандарта и открытых интерфейсов службы сертификации операционной системы Windows 2000 Server взаимодействуют со многими продуктами и технологиями, которые поддерживают использование цифровых сертификатов.

 

Веб-серверы

В корпоративных интрасетях или в Интернете такие службы, как IIS (Internet Information Services — информационные службы Интернета), могут осуществлять проверку подлинности клиента для безопасного обмена данными с помощью сертификатов, выданных службами сертификации (Microsoft). Службы сертификации также могут выдавать сертификаты серверов, используемые службой IIS и прочими веб-серверами для проверки подлинности серверов. Такая проверка гарантирует, что клиенты обмениваются данными с нужным объектом.

 

Веб-обозреватели

С помощью служб сертификации (Microsoft) можно выдавать сертификаты обозревателям, которые поддерживают проверку подлинности клиентов. К таким обозревателям относятся Microsoft Internet Explorer версии 3.0 или более поздние версии или Netscape Navigator 3.0 или более поздние версии. Обозреватель Internet Explorer может устанавливать сертификаты серверов для служб IIS и прочих веб-серверов, используемых для проверки подлинности серверов, например NetscapeEnterprise Server. Обозреватель Internet Explorer также использует сертификаты пользователей для проверки подлинности клиентов на серверах, на которые пользователи хотят попасть. Можно просматривать и проверять сведения, указанные в сертификатах, установленных в обозревателе Internet Explorer.

 

Каталоги LDAP

Возможность программирования служб сертификации (Microsoft) позволяет выдавать сертификаты любому каталогу, совместимому с протоколом LDAP (Lightweight Directory Access). Протокол LDAP представляет собой легко внедряемое подмножество стандарта X.500 DAP для службы каталогов. Протокол LDAP имеет мощную поддержку в отрасли и, как ожидается, станет отраслевым стандартом для служб каталогов. Совместимость службы сертификации с протоколом LDAP подразумевает возможность взаимодействия этой службы со средствами использования политик и прочими приложениями независимых разработчиков, поддерживающих службы каталогов LDAP.

 

Сервер Microsoft Exchange Server

Сервер Microsoft Exchange Server 4.0 и 5.0 включает в себя сервер управления ключами Key Management Server, комбинированный сервер для выдачи сертификатов и восстановления ключей. Сервер Key Management Server позволяет пользователям Microsoft Exchange отправлять зашифрованную почту с цифровой подписью прочим пользователям службы Microsoft Exchange. В будущем выпуске сервера Microsoft Exchange Server все функции по выдаче сертификатов сервером Key Management Server будут заменены службами сертификации операционной системы Windows 2000 Server.

Это позволит службе Microsoft Exchange воспользоваться преимуществами гибких, основанных на стандартах служб сертификации (Microsoft). Сервер Key Management Server будет по-прежнему предоставлять службы восстановления закрытых ключей. Это позволит пользователям и администраторам восстанавливать зашифрованную информацию, посланную по электронной почте, в случае утраты закрытых ключей пользователей или в случае ухода этих пользователей из компании.

 

Интерфейс SSPI

Интерфейс SSPI (Microsoft Security Support Provider Interface) представляет собой строго определенный общий интерфейс API, предназначенный для пользования интегрированными службами безопасности для проверки подлинности, обеспечения целостности сообщения, закрытости сообщения и качества защиты для любого протокола распределенных приложений. Разработчики протоколов приложений могут воспользоваться преимуществами этого интерфейса для получения доступа к различным службам безопасности без изменения самого протокола.

Операционная система Windows 2000 Server самостоятельно поддерживает проверку подлинности по протоколу Kerberos, криптографию открытого ключа, поддержку цифрового сертификата, собственную службу шифрования файлов и поддержку смарт-карт.

 

Интерфейсы службы Active Directory (ADSI)

Интерфейсы ADSI упрощает разработчикам написание приложений, запускаемых из каталога, с помощью таких средств высокого уровня, как среда программирования MicrosoftVisual Basic, язык Java, C или система разработки Visual C++®. Это освобождает разработчиков от проблем, связанных с отличиями, характерными для различных пространств имен. Например, с помощью интерфейса ADSI разработчики, работающие в системе UNIX, могут создавать приложения для перечисления в каталогах и управления ими на компьютерах с установленными системами LDAP, X.500, NDS, Notes и Windows 2000 с помощью единого интерфейса в той мере, в какой это позволят поставщики соответствующих служб.

МАСШТАБИРУЕМОСТЬ


Тенденции и проблемы

Процессоры с более высоким быстродействием, расширенные шины с повышенной пропускной способностью и модели с очень большими объемами памяти в совокупности существенно расширяют масштаб проблем, к которым могут быть применены серверные операционные системы, установленные на ПК. За следующие 18 месяцев существующие в настоящее время быстродействие вычислений и пропускная способность значительно (по прогнозам, в пять раз) увеличатся.

Проблемы

«Масштабируемость, возможность поддер­­жи­вать очень малые и очень большие нагрузки по обработке данных, количест­ва пользователей и транзакций, а также объемы данных, не является ни в коей мере интегральной, легко измеряемой характеристикой. Наоборот, существует много разновидностей масштабируемос­ти, на которые влияют многообразные характеристики аппаратуры и програм­много обеспечения. Любые комбинации этих характеристик могут иметь большое значение для конкретного применения.

 

Если жестко ограничиться возможностью изменения быстродействия, то масштаби­руемость можно связать со следующими факторами:

·          более быстродействующие, более мощные процессоры;

·          большее число процессоров;

·          более быстродействующие шины;

·          большее число шин;

·          расширенные адресные ресурсы, поддерживающие большие объемы памяти.»

 

Patricia Seybold Group, апрель 1998 г.

 

 
 


Если высокопроизводительные коммерческие платформы такие, как Windows 2000 Server, смогут обеспечить такое повышение быстродействия, они будут соответствовать уровню систем на основе малых и больших ЭВМ, и в ряде случаев расходы на их развертывание и поддержку могут возрасти на несколько порядков. Принимая во внимание, что временной промежуток между началом реализации решения и окончательным выходом приложения, критичного для выполнения задачи, может составить до 18 месяцев, можно ожидать, что общая ситуация в отрасли за указанный промежуток времени изменится принципиальным образом.

 

Требования

Масштабируемостью называют способность компьютерной системы изменять свое быстродействие в зависимости от изменения конфигурации, например, от изменения объема памяти или числа процессоров.

Однако этот показатель часто сложно определить ввиду взаимодействия нескольких переменных таких, как системные компоненты базовой аппаратуры, характеристики сети, структура приложений, а также архитектура и возможности операционной системы. Учитывая все эти показатели, очевидно, что организации должны обладать гибкостью, позволяющей расширять, сужать или распределять серверные системы без ущерба для многофункциональности и соотношения цена/быстродействие для платформы операционной системы.

 

Расширение

«Расширение» достигается путем добавления в систему дополнительных ресурсов таких, как память, процессоры и диски. Однако масштабируемость означает не только применение грубой силы. Также материальный эффект приносят разработка приложений, настройка баз данных, конфигурирование сети и правильно разработанный центр обработки данных.

 

Распределение

«Распределение» обеспечивает высокое быстродействие в случае, когда требования приложения по производительности превышают возможности индивидуальной системы. Благодаря распределению ресурсов по нескольким системам можно уменьшить конкуренцию за эти ресурсы и повысить их доступность. Распределить приложения таким образом можно с помощью кластерных и системных служб таких, как надежные службы очередей сообщений с использованием транзакций.

 

Сужение

«Сужение» также может принести предприятию прямую выгоду. Например, от компании может отделиться какое-либо подразделение, или ранее централизованно выполняемая задача может быть передана в филиал или отдел информационных технологий, или рабочая нагрузка может быть разделена на составляющие части с целью повышения общего быстродействия и улучшения управления работой серверных систем. Во всех случаях должна иметься возможность выполнения такой задачи без принципиального изменения системы или перепрограммирования приложений.

 

Решения по масштабируемости Windows 2000 Server

Быстрое увеличение пропускной способности сетей и производительности обработки данных открыли двери новому поколению богатых возможностями как деловых, так и развлекательных приложений. Поскольку Windows 2000 Server является действительно многофункциональной операционной системой, она предоставляет необычайные возможности во всех четырех категориях: службы общего доступа к файлам и принтерам; бизнес-приложения; веб-службы и службы потоковой передачи мультимедиа; а также сетевые и коммуникационные службы.

 

Расширение

 

Преимущества

·          Использует вложения в новую аппаратуру.

·          Позволяет получать доступ к большему объему памяти.

·          Лучшее управление ресурсами.

·          Эффективна с точки зрения затрат при масштабировании.

·         Масштабируется вместе с развитием рынка аппаратуры.

 

 
Симметричная мультипроцессорная обработка данных

Система Windows 2000 Advanced Server поддерживает до 4 процессоров при использовании комплекта, распространяемом в розницу, и до 32 процессоров в условиях продаж OEM. Этот уровень поддержки центрального процессора остается неизменным с версии 4.0, однако, усовершенствованное внедрение кода SMP обеспечивает еще лучшую «линейность» масштабирования при высоком быстродействии. Заданные уровни соотношения цена/быстродействие достигаются программными средствами с помощью операционной системы Windows NT Server Enterprise Edition 4.0, и ожидается, что эта тенденция сохранится с усовершенствованием масштабирования SMP в системе Windows 2000 Advanced Server совместно с DataCenter Server. Ожидается, что повышение быстродействия в наибольшей степени скажется на системах с восемью и более процессорами.

 

Оптимизация быстродействия

Указанные усилия по настройке центрального процессора, памяти и устройств ввода-вывода включают следующие нововведения.

·            Новый драйвер Winsock (AFD), предоставляющий возможность завершать масштабные операции TransmitFile в APC передаваемого потока, а не помещать их в отложенный системный рабочий поток команд.

·            Улучшенное распределение памяти — список предыстории каждого из процессоров снижает необходимость коллективного доступа к хранящимся в памяти заголовкам глобального списка предыстории, что приводит к повышению производительности для дисковых операций ввода-вывода на 5 процентов.

·            Дополнительные списки разбитых и не разбитых на страницы пулов, что снижает фрагментацию пулов.

·            Уменьшенное время задержки отправлений из-за рабочих нагрузок, например, TPC-C. (Например, сервер Microsoft SQL Server 7.0 с нитями снижает конкуренцию между основными системными ресурсами на величину до 30 процентов).

·            Использование нитей в сервере Microsoft SQL Server 7.0 снижает подкачку содержимого и повышает производительность по сравнению с потоками на величину до 18 процентов.

·            Максимальный рабочий комплект для кэширования файловых систем был увеличен с 512 МБ в операционной системе Windows 2000 Server 4.0 до 960 МБ в операционной системе Windows 2000 Server. Это снижает конкуренцию за системные ресурсы, что, в свою очередь, снижает необходимость переключения контекста. При рабочей нагрузке SpecWeb ‘96 это повышает производительность на величину до 5 процентов.

·            Использование портов расширения для каждого процессора снижает миграцию потоков центрального процессора, что дает повышение производительности по протоколу TPC-C на сервере Microsoft SQL Server 6.5 на величину от 5 до 7 процентов.

·            Усовершенствования службы NTFS снижают число операций, помещенных в рабочие потоки системы, что снижает число переключений контекста и миграции потоков центрального процессора на 46 процентов, увеличивая производительность 2-процессорной системы по NetBench на величину до 3 процентов.

·            Широкое применение совместно используемых блокировок для ресурсов операционной системы таблицы транзакций службы NTFS снижает конкуренцию за эти ресурсы при использовании многопроцессорного файлового сервера на величину до 14 процентов.

·            Конкуренция за использование контроллера минипорта SCSI в операционной системе Windows 2000 Server при рабочей нагрузке по протоколу TPC-C на сервере Microsoft SQL Server 7.0 снижается в величину до семи раз по сравнению с операционной системой Windows 2000 Server 4.0.

·            Использования приоритетов прерываний дают улучшение на величину до 7 процентов при рабочей нагрузке SpecWeb ‘96 в 4-процессорной системе с использованием четырех плат NIC.

·            Ожидается, что снижение конкуренции по протоколу TCP/IP улучшит масштабирование 4-процессорной системы по SpecWeb ‘96 на величину до 20 процентов.

 

Архитектура EMA

Назначение EMA (Enterprise Memory Architecture — архитектуры памяти масштаба предприятия) заключается в предоставлении возможности системе Windows 2000 Advanced Server совместно с DataCenter Server использовать преимущества работы с физической памятью, объем которой превышает 4 ГБ. Приложения, совместимые с большими объемами памяти, могут для кэширования данных в памяти использовать адреса, превышающие 4 ГБ, что увеличивает быстродействие. Примером такого приложения является сервер Microsoft SQL Server Enterprise Edition.

Хотя между внедрением технологий Intel Pentium Xeon и Compaq Alpha существуют различия на микропроцессорном уровне, обе технологии предназначены для решения одной и той же ориентированной на пользователя задачи: создание технической базы для настройки серверов со сверхвысоким быстродействием, в которых используются преимущества больших объемов физической памяти. К таким серверам относятся: системы поддержки серверов Windows 2000 Advanced Server совместно с DataCenter, в которых используются модули VLM (Very Large Memory — сверхбольшие модули памяти) Compaq Alpha и 32-х разрядные платформы (IA-32) PAE (IntelPhysical Address Extensions — расширения физических адресов). В зависимости от технических особенностей системы она может поддерживать до 64 ГБ физической памяти.

 

Поддержка архитектуры EMA в системах на основе Compaq Alpha осуществляется для разработчиков благодаря специализированным интерфейсам API Win32. Эти интерфейсы API являются расширениями к существующим API, которые работают с виртуальной памятью. Например, приложения VirtualAllocVlm и VirtualFreeVlm функционируют аналогично своим 32-х разрядным аналогам, но используют 64-х разрядные адреса и параметры размеров.

 

Корпорация Майкрософт предоставляет поддержку архитектуру Intel PAE двумя эффективными способами.

·         Автоматическая поддержка архитектуры PAE в ядре операционной системы Windows 2000 — внедрение архитектуры Intel PAE позволяет ядру операционной системы в полной мере использовать преимущества доступа ко всей имеющейся физической памяти, включая память, превышающую 4 ГБ (до 64 ГБ), для всех существующих приложений. Это приведет к существенному уменьшению операций страничного обмена и повысит быстродействие ряда приложений, установленных на консолидированной платформе операционной системы Windows 2000. Для того чтобы воспользоваться этими преимуществами, не требуется переписывать приложения.

·         Новые интерфейсы API расширений AWE — корпорация Майкрософт внедрила новые интерфейсы API под названием AWE (Advanced Windowing Extensions — улучшенные многооконные расширения), с помощью которых разработчики программного обеспечения смогут воспользоваться в более полном объеме преимуществами архитектуры Intel PAE. С помощью этих интерфейсов API приложения смогут получить доступ к памяти объемом до 64 ГБ через окно памяти в их процессе, использующем 4 ГБ памяти. Для описания окна AWE и для отображения дополнительной физической памяти внутри этого окна используются только четыре обращения к системе.

 

В систему Windows 2000 DataCenter Server Beta 3 войдут как новые интерфейса API, так и усиления ядра.

Объект-задание

Объект-задание представляет собой новый объект ядра, которому можно присвоить имя и который можно защитить. Он используется для организации группы связанных процессов, что позволяет управлять группой процессов и следить за ней.

 

Объект-задание операционной системы Windows 2000 Server расширяет возможности квот заданий и контекста безопасности. Это позволяет управлять следующими параметрами и контролировать их:

·            время, затрачиваемое центральным процессором на каждый процесс;

·            время, затрачиваемое центральным процессором на каждое задание;

·            минимальный и максимальный рабочий пакет (используемая память);

·            учет активных процессов;

·            приоритет процессоров (какие из процессоров в многопроцессорной системе могут запускать те или иные процессы);

·            класс приоритета.

 

Архитектура I2O

Операционная система Windows 2000 Server поддерживает аппаратуру с архитектурой I2O. Архитектура I2O представляет собой отраслевую инициативу, которая стимулирует взаимодействие, быстродействие и простоту использования подсистем ввода-вывода. Более 100 компаний входят в группу I2O Special Interest Group. Смысл этой архитектуры заключается в предоставлении открытого подхода на основе стандартов, который дополняет текущие драйверы и поддерживает разработку нового поколения портативных интеллектуальных устройств ввода-вывода.

 

Значительными достоинствами интеллектуальных устройств ввода-вывода являются следующие.

·            Разгрузка некоторых операций ввода-вывода, что позволяет направить часть мощности на комплексные вычисления и обуславливает уменьшенное время использования центрального процессора.

·            Стандартизация драйверов.

·            Упрощенное внедрение новых технологий таких, как RAID и Fibre Channel.

·            Предоставление возможности написания драйверов устройств, переносимых на другие операционные системы.

·            Гибкость при изменении транспортных протоколов.

 


Рассеивание/сбор ввода-вывода

Применение операций рассеивания/сбора позволяет повысить эффективность операций ввода-вывода в тех случаях, когда данные приложения находятся в несмежных ячейках памяти (что обычно и бывает), а информацию требуется записать в непрерывный файл. Операции рассеивания/сбора также доступны с использованием памяти VLM на платформе Alpha в операционной системе Windows 2000 Server.

 

Функция WriteFileGather собирает вместе указатели на одну или более страниц и записывает их в файл, расположенный на одном участке памяти. Функция ReadFileScatter считывает из файловой системы одну или более страниц и распределяет их по предварительно заданным буферам. Преимущество технологии рассеивания/сбора заключается в том, что программе не приходится работать с промежуточными буферами, в которых данные содержатся в виде единого логического участка памяти.

 

Счетчик ожидания

Ядро операционной системы Windows 2000 Server предоставляет разработчикам несколько преимуществ в отношении исполнения потока. Проблема, возникающая в операционной системе Windows 2000 Server в связи с новыми интерфейсами API, заключается в том, что постоянно происходят запросы и освобождения блоков памяти или ресурсов, специфичных для конкретного процесса (например связанный список, элементы которого постоянно добавляются и удаляются). Если установлен счетчик ожидания, то поток, который в обычном случае прервался бы, ожидая освобождения критичного участка, вместо этого попадет в контур, в котором он постоянно проверяет, можно ли запросить критичный сектор. Если контур осуществляет «подсчет ожиданий», то есть количество раз, когда поток получил отказ и вернулся назад в прежнее положение, то он в результате быстрее сможет запросить критичный сектор.

 

Сортировка данных в высокопроизводительных системах

Система Windows 2000 Advanced Server совместно с DataCenter Server оптимизируют быстродействие сортировки больших блоков данных в коммерческих системах. Такая сортировка обычно используется для подготовки данных к загрузке в приложения, хранящие большие объемы данных, а также для подготовки объемных чувствительных к сортировке данных операций печати и пакетной обработки.

 

Распределение

Чтобы предоставить сетям предприятия возможность распределения нагрузки, а также расширения, корпорация Майкрософт предлагает три типа кластерных служб — служба кластеров (Microsoft), NLB (Network Load Balancing — балансировка сетевой нагрузки) и служба балансировки динамической нагрузки COM+. Каждая из этих служб может использоваться как по отдельности, так и в комбинации с другими службами, образуя мощное решение в рамках всего предприятия.

 

·         Служба NLB предназначена, в первую очередь, для балансировки нагрузки входящего трафика по протоколу TCP/IP.

·         Служба COM+ предоставляет возможности динамической балансировки нагрузки для приложений путем распределения объектов приложения COM+ по узлам кластера, имеющим наименьшую нагрузку по обработке данных.

·         Служба кластеров (Microsoft), ранее известная под названием «Wolfpack», обеспечивает восстановление системы после отказа оборудования или сбоя в программном обеспечении.

 

Трехуровневая кластеризация

Эти три типа кластеризации представляют собой идеальную поддержку для приложений трехуровневой архитектуры. Взяв в качестве примера предприятие, занимающееся розничной продажей через Интернет, можно выполнить разбиение на кластеры следующим образом.

·         На первом уровне можно использовать службу NLB, сбалансировав нагрузку доступа к службе путем распределения веб-серверов по кластерам.

·         Службу COM+ можно использовать на втором уровне, сбалансировав нагрузку логики «корзины с покупками» в кластере серверов прикладных программ.

·         Служба кластеров (Microsoft) может быть использована на третьем уровне для обеспечения высокой доступности к базам данных счетов и заказов.

 

Служба NLB используется для обеспечения масштабируемости и доступности на первом уровне представления интерфейса пользователя путем балансировки и распределения клиентских подключений по протоколу TCP/IP к различным серверам. Балансировка нагрузки на промежуточном (логическом) уровне значительно упрощается благодаря использованию службы Microsoft COM+ с маршрутеризатором COM+, через который проходит вся информация во время обмена данными с кластером приложений. Маршрутеризатор COM+ осуществляет балансировку нагрузки, определяя на основе параметров сервера таких, как время отклика центрального процессора, где, например, должен быть создан объект COM, и создавая образец необходимого объекта на требуемом сервере. При разработке приложений необходимо предусмотреть взаимодействие объектов COM+ с помощью стандартных приемов управления последовательностью событий.

 

Служба сластеров может предоставить двухузловую службу восстановления после отказов для серверного приложения и уровней служб данных приложения трехуровневой архитектуры. С этой целью эта служба создает надежную платформу для базы данных, обмена сообщениями и аналогичных служб приложений. Когда общая нагрузка превышает возможности системы в каком-либо кластере, можно легко добавить дополнительные системы. С помощью службы кластеров пользователи могут постепенно по мере необходимости добавлять меньшие стандартные системы, позволяющие обеспечить требования по общей производительности обработки данных.

Балансировка сетевой нагрузки

Служба NLB работает в полностью прозрачном режиме как для приложений сервера, так и для клиентов TCP/IP. Служба NLB позволяет пользователям использовать готовые компоненты программного обеспечения, такие как существующие веб-серверы, FTP-серверы, проксисерверы и иные популярные приложения для работы в Интернете. Служба NLB прозрачно переносит уровень быстродействия на протокол TCP/IP, на серверные приложения и на клиентов. Служба NLB предоставляет пользователям гибкий структурированный контроль за их действиями. Это позволяет системному администратору настроить параметры сетевого трафика под индивидуальные порты TCP/UDP со сбалансированной нагрузкой, а также под последовательные группы портов.

 

Подпись:
Рис. 11. Четырехузловой кластер работает как единый виртуальный сервер, обрабатывая сетевой трафик. На каждом узле работает отдельная копия сервера. Служба NLB осуществляет балансировку нагрузки между четырьмя узлами.

Для масштабирования быстродействия служба NLB обеспечивает балансировку нагрузки по входящему трафику по протоколу TCP/IP для всех узлов кластера. Запуск копий серверных программ на каждом из узлов позволяет распределить нагрузку между этими узлами так, как выберет администратор. Служба NLB прозрачно распределяет запросы клиентов по узлам и предоставляет клиенту доступ к кластеру с помощью одного или более виртуальных адресов IP. В каждом кластере может работать до 32 узлов. Чтобы справиться с повышенной нагрузкой, в кластер можно прозрачным образом добавлять узлы. Служба NLB также может направить весь трафик на выделенный для этого один узел, а может дополнительно сбалансировать нагрузку нескольких запросов, поступивших от одного клиента.

 

Устойчивая, полностью основанная на использовании конвейеров реализация службы NLB благодаря использованию эффективной технологии синхронизации обеспечивает высокое быстродействие и низкие перегрузки. Каждый сервер службы NLB примерно один раз в секунду рассылает пакет данных, сообщающий другим серверам его состояние. Это делает ненужным использование центральной диспетчерской службы и оставляет практически всю пропускную способность сети доступной для обмена данными клиент/сервер.

 

Сужение

Операционная система Windows 2000 Server рассчитана на организации всех уровней: сети малого размера (до 100 пользователей) для предприятий, которые не могут выдержать большие расходы на поддержку информационных технологий, а также глобальные сети (10 000 пользователей и более), которые требуют устойчивых служб связи и данных. Эта операционная система обеспечивает малые предприятия и офисы филиалов важными средствами, позволяющими сделать информацию открытой для совместного доступа и облегчающими соединения с деловыми партнерами и пользователями. Эти средства включают в себя службу общего доступа к файлам и принтерам, запуск критичных для предприятия приложений и поддержку Интернета и средств связи.

БЕЗОПАСНОСТЬ


Тенденции и проблемы

Хотя брандмауэры, шифровальные устройства и прочие отдельные компоненты играют важную роль в защите инфраструктуры предприятия, одним из наиболее критичных моментов является выбор серверной операционной системы. Чтобы оставаться конкурентоспособным, предприятие должно взвесить не только предоставляемые возможности по обеспечению безопасности, но и стоимость поддержания необходимого уровня защиты и его влияние на коммерческую деятельность предприятия.

 

Проблемы

«Сетевые операционные системы и, главное, безопасность сетей совер­шат гигантский рывок вперед по мере того, как в каталогах NOS для провер­ки подлинности и авторизации будут интегрироваться сертификаты X.509.

 

В конечном итоге, объединение инфраструктура открытого ключа с каталогами NOS снизит сложность проблемы обеспечения безопасности сети благодаря предоставлению безо­пасной инфраструктуры для интрасе­тей и Интернета.»

 

GIGA Information Group, De-mystifying the hype around next generation NOS security (Развенчание мифов о следующем поколении служб безопасности NOS), апрель 1998 г.

 

 
Сегодня предприятия открывают двери в Интернет. Предприятиям нужно общаться с партнерами, поставщиками и пользователями с помощью технологий Интернета. Безопасность имеет большое значение для предоставления контролируемого доступа к ресурсам в сети предприятия, интрасети и серверов на основе Интернета.

 

Технологии безопасности изменяются очень быстро. Две быстро развивающиеся технологические области — сертификаты открытого ключа и динамические пароли — приближаются к соответствию повышенным требованиям, необходимым в современной среде. Удаленный доступ в открытые сети и доступ в Интернет для обмена данными между предприятиями являются движущей силой эволюции технологий безопасности.

 

Требования

 

Защита данных

Доступ к защищаемым файлам обычно контролируется правами и полномочиями, однако, данные сами по себе все еще могут оставаться уязвимыми. Можно защищать как непосредственно сами данные (например важный файл), так и защищать данные от каких-либо факторов (например от неизвестных компонентов программы).

 

Безопасный обмен информацией между компаниями

Сети предприятия могут включать в себя интрасети, сайты Интернета и экстрасети, а также все, что не относится непосредственно к сетям, но могут стать причиной следующих проблем с точки зрения доступа к данным.

·         Через сеть проводится большое число транзакций предприятия.

·         Работающие в компаниях люди часто не являются их постоянными сотрудниками.

·         Компании могут работать с партнерами над проектами, ограниченными по масштабам и продолжительности. При этом приходится иметь дело с людьми, о которых ничего не известно.

 

Единая регистрация в сети предприятия и в Интернете

Любое предприятие, имеющее вычислительную сеть, может воспользоваться преимуществами единой регистрации. Пользователи работают более продуктивно, когда между ними и ресурсами, к которым они имеют право доступа, не существует никаких барьеров. В связи с объединением управляющей информации для управления сетями потребуется меньшее число администраторов. Безопасность сетей повысится благодаря использованию надежных протоколов проверки подлинности и устранению наиболее общей угрозы для безопасности сети: запись пользователями своих паролей.

 

Простое управление безопасностью

Для простоты использования и управления пользователи могут захотеть тесно интегрировать безопасность с операционной системой.

·            Управлять учетными записями пользователя и правами доступа из центрального места.

·            Детально управлять доступом, предоставляя доступ или запрещая его.

·            Делегировать безопасность администрирования.

·            Применять к большим группам пользователей простые в создании профили безопасности.

 

Масштабируемая безопасность

Чтобы достичь успеха, предприятия должны расти. Должны расти также и их информационные системы. Средства безопасности, работающие в среде из 50 или 500 пользователей, приходится масштабировать таким образом, чтобы они могли поддерживать 5000 или 50 000 пользователей. Масштабируемость включает в себя не только способность обеспечить те же средства безопасности для большего числа пользователей, но и применять эти средства в распределенной среде без существенного увеличения сетевых и компьютерных ресурсов или штата. Масштабируемость также подразумевает поддержку стандартов и строго определенных интерфейсов, поскольку функционирование очень большой системы неизбежно выходит за рамки сети и требует взаимодействия с брандмауэрами, виртуальными частными сетями и прочими внешними элементами безопасности.


Распределенные службы безопасности Windows 2000 Server

Распределенные службы безопасности операционной системы Windows 2000 Server включают в себя совершенные стандарты Интернета для проверки подлинности и в то же время использует новые технологии безопасности на основе открытого ключа. Архитектура службы безопасности операционной системы Windows 2000 специально рассчитана на внедрение новой технологии в форме протоколов, поставщиков службы криптографии и независимо разработанных технологий проверки подлинности. Пользователи, использующие операционную систему Windows 2000, могут выбрать для себя технологию безопасности, способ интеграции безопасности в свои прикладные среды с минимальными изменениями, а также время миграции новой технологии, когда она появится на рынке.

 

Дополнительные сведения

Информационный документ. Windows 2000 Distributed Security Services (Распределенные службы безопасности Windows 2000)

В настоящем документе рассматри­ваются компоненты распределенных служб безопасности операционной системы Windows 2000 и приводятся подробные сведения о внедрении этих служб.

http://www.microsoft.com/windows/server/Technical/security/DistSecServices.asphttp://www.microsoft.com/windows/server/Technical/security/DistSecServices.asp

 

Информационный документ. Microsoft Windows 2000 Public Key Infrastructure (Инфраструктура открытого ключа операционной системы Microsoft Windows 2000)

В настоящем документе описывается набор служб и административных средств для создания, развертывания и управления приложениями на базе открытого ключа.

http://www.microsoft.com/windows/server/Technical/security/PKI.asphttp://www.microsoft.com/windows/server/Technical/security/PKI.asp

 

 
Защита данных

Операционная система Windows 2000 предоставляет средства для обеспечения конфиденциальности и целостности данных на следующих уровнях:

·         при входе в сеть;

·         в локальных сетях и при переходе между сетями;

·         при локальном хранении данных.

 

Безопасный вход в систему

Обеспечение конфиденциальности и целостность данных начинается со входа в сеть. Операционная система Windows 2000 предлагает надежно защищенную паролями единую регистрацию в сети с помощью либо протокола Kerberos v5, либо протокола проверки подлинности на основе открытого ключа.

 

Сетевые данные

Сетевые данные, хранящиеся на сайте (локальном, сетевом или сайте подсети) защищены протоколом проверки подлинности. Для обеспечения дополнительного уровня защиты, сетевые данные следует зашифровать на самом сайте. С помощью средств IP-безопасности можно зашифровать всю передачу данных через сеть либо для конкретных клиентов, либо для всех клиентов домена.

 

Сетевые данные, поступающие на сайт или выходящие с него (по интрасетям, экстрасетям или через шлюз Интернета) можно защитить следующими служебными программами.

·         Средство IP-безопасности — шифрует все обмены данными по протоколу для TCP/IP для какого-либо клиента.

·         Службы RRAS (Routing and Remote Access — маршрутеризация и удаленный доступ) — настраивает протоколы удаленного доступа и маршрутеризацию.

·         Проксисервер — предоставляет брандмауэр и проксисервер для сайта.

·         Кроме того, такие программы, как Microsoft Exchange, Outlook и Internet Explorer позволяют шифровать сообщения и транзакции с помощью открытого ключа как в пределах сайта, так и в сетях.

Хранящиеся данные

Хранящиеся данные (как при работе в сети, так и в автономном режимах) можно защитить с помощью следующих средств.

·         Подписывание цифровой подписью компонентов программного обеспечения, гарантирующей их подлинность.

·         Шифрования файловой системы — для шифрования локальных данных службы NTFS используется шифрование с помощью открытого ключа.

 

Система EFS (Encrypting File System — шифрованная файловая система) основана на шифровании с помощью открытого ключа. При этом она использует преимущества архитектуры CryptoAPI операционной системы Windows 2000. Каждый файл шифруется с помощью случайным образом генерируемого ключа, независимого от закрытого или открытого ключа пользователя. Этим способом удается защититься от многих форм атак, основанных на криптоанализе.

 

Ниже перечислены основные возможности системы шифрования файлов.

·         Возможность шифровать отдельные файлы в системе NTFS, а также целые каталоги с помощью мощного шифровального алгоритма на основе открытого ключа.

·         Поддержка шифрования удаленных файлов, доступных при использовании общих папок.

·         Предоставление предприятиям возможности устанавливать политики восстановления данных таким образом, чтобы эти зашифрованные с помощью службы EFS файлы можно было при необходимости восстановить.

·         Интеграция политики восстановления с общей политикой безопасности операционной системы Windows 2000. Возможность делегирования управления этой политикой лицам, имеющим права на восстановление.

·         Операция восстановления данных включена в службу EFS. Эта операция раскрывает только восстановленные данные, но не ключ индивидуального пользователя, с помощью которого был зашифрован этот файл.

·         При шифровании файлов с помощью службы EFS пользователю не требуется явно расшифровывать и снова зашифровывать нужный файл при каждом использовании. Расшифровка и шифрование осуществляются прозрачно при считывании файла с диска и записи его на диск.

·         Служба EFS поддерживает функции экспорта и импорта. Это позволяет осуществлять архивацию, восстановление и передачу зашифрованных файлов без их расшифровки.

·         Служба EFS интегрирована с операционной системой таким образом, что она предотвращает утечку ключевой информации в файлы подкачки и обеспечивает условия, при которых все временные копии зашифрованных файлов также были зашифрованы.

·         В Североамериканской версии службы EFS в качестве алгоритма шифрования будет использован алгоритм DES с полной 56-разрядной энтропией ключа. В международной версии службы EFS в качестве алгоритма шифрования также будет использоваться алгоритм DES, однако ключ для шифрования файла будет упрощенным до 40-разрядной энтропии.

Безопасный обмен данными между компаниями

Операционная система Windows 2000 Server обладает встроенной поддержкой различных протоколов безопасности и моделей пользователей, которые подходят к различным приложениям или задачам предприятий по обмену данными между организациями:

 

Управление специальными учетными записями пользователей

Один из широко используемых на сегодняшний день подходов заключается в простом создании учетных записей пользователей для деловых партнеров, с помощью которых им можно получить доступ к корпоративным информационным службам. Интеграция службы безопасности операционной системы Windows 2000 со службой каталога Active Directory значительно упрощает управление этими учетными записями.

·         Для объединения связанных учетных записей в группы по партнерам, поставщикам или прочим деловым связям можно использовать подразделения в каталоге.

·         Управление этими учетными записями может быть делегировано определенным лицам из организации, которые занимаются данными видами отношений между партнерами.

·         Для шифрования сетевого трафика, проходящего между открытыми сетями, между организациями устанавливаются виртуальные частные сети. Благодаря такому подходу деловые партнеры для получения корпоративной информации могут пользоваться службами удаленного доступа таким же образом, как и любой другой удаленный сотрудник.

·         Доступ к хранилищам информации или к базами данных может контролироваться службами управления доступом операционной системы Windows 2000.

 

Транзитивные доверительные отношения доменов

Еще одним средством для установления связей между предприятиями являются доверительные отношения доменов. Служба Active Directory операционной системы Windows 2000 предоставляет намного более высокую гибкость управления деревом иерархической структуры доменов. С помощью системы имен доменов операционной системы Windows 2000, интегрированной со службой именования DNS, упрощается маршрутизация информации в Интернете от одного домена к другому. При необходимости в качестве одного из способов настройки приложений клиент-сервер можно использовать доверие между доменами. Эта служба также обладает функциями обеспечения конфиденциальности и целостности, необходимыми при обмене данными через Интернет. Для доступа к общим ресурсам, размещенным на удаленном домене, пользователи могут также применять протоколы проверки подлинности Kerberos или открытыми ключами безопасности.

 

Безопасность на основе открытого ключа

Вместо создания учетных записей пользователя или определения доверительных отношений доменов в качестве средства идентификации и авторизации пользователя можно использовать сертификаты. Сертификаты открытого ключа и инфраструктура, необходимая для поддержки выдачи и отзыва сертификатов, считаются наиболее эффективным способом поддержки взаимосвязи между предприятиями через Интернет.

Операционная система Windows 2000 Server поддерживает сертификаты X.509 версии 3, выданные службой выдачи сертификатов. Системные администраторы операционной системы Windows 2000 определяют, какие центры сертификации являются доверенными. Они также могут связать внешних пользователей, проверка подлинности которых производится по сертификатам открытого ключа, с учетными записями пользователей операционной системы Windows 2000 и на этой основе определять права доступа, которыми обладают данные пользователи.

 

Дополнительные сведения

Информационный документ. Accessing Network Resources with Single Sign-On (Доступ к сетевым ресурсам с использованием единой регистрации)

В настоящем информационном доку­менте описываются преимущества использования единой регистрации, а также способ ее реализации в рамках операционной системы Windows 2000 как только в среде Windows, так и в гетерогенных сетях.

http://www.microsoft.com/ntserver/windowsnt5/techdetails/prodarch/sso.asphttp://www.microsoft.com/ntserver/windowsnt5/techdetails/prodarch/sso.asp

 

 
Безопасная единая регистрация в сети предприятия и в Интернете

После успешного единого входа в систему операционная система Windows 2000 прозрачно управляет учетными данными пользователей сети. Пользователям нужно войти в систему, после чего они получают доступ к широкому спектру сетевых служб.

 

В рамках предприятия доступ к ресурсам определяется правами, выданными учетным записям пользователей или членством в какой-либо группе. Доступ пользователя в Интернет основан на его идентификации, подтверждаемой подписью закрытого ключа и соответствующим сертификатом открытого ключа. Все эти протоколы безопасности полагаются на некую форму учетных данных пользователя, которые предоставляются на сервер в момент подключения. Операционная система Windows 2000 управляет этими учетными данными пользователей и автоматически использует соответствующий набор учетных данных на основе применяемого протокола безопасности.

 

Служба Active Directory операционной системы Windows 2000 Server поддерживает различные учетные данные безопасности как элемент раздела безопасности информации, содержащейся в учетной записи пользователя. Эти учетные данные применяются для служб проверки подлинности предприятия, которые используют контроллер доменов для проверки подлинности пользователя в сети. Дополнительные серверы приложений могут поддерживать интегрированные службы проверки подлинности операционной системы Windows 2000 с помощью интерфейса поставщика службы безопасности для проверки подлинности в сети.

 

Учетные данные службы NTLM

Протокол проверки подлинности NTLM используется клиентами при подключении к серверам, на которых установлены более ранние версии операционной системы Windows NT. Например, протокол проверки подлинности NTLM используется для подключения к службе удаленного общего доступа к файлам на сервере с установленной операционной системой Windows NT 4.0 или для подключения клиентов, использующих систему Windows NT 4.0, к общим папкам на сервере с установленной операционной системой Windows 2000. Учетные данные службы NTLM включают в себя имя домена, имя пользователя и зашифрованный пароль, введенный один раз во время первого входа в сеть.

Учетные данные службы Kerberos

Основным протоколом проверки подлинности доменов в операционной системе 2000 является протокол Kerberos. Учетные данные службы Kerberos включают в себя имя домена и имя пользователя (которые могут вводиться в форме, удобной для работы в Интернете, например BobbyB@Microsoft.com), а также пароль, зашифрованный по протоколу Kerberos. При входе пользователя в систему операционная система Windows 2000 получает один или более билетов Kerberos для подключения к службам сети. Билеты Kerberos представляют собой сетевые учетные данные пользователя для проверки подлинности по протоколу Kerberos.

 

Операционная система Windows 2000 автоматически управляет кэшированием билетов Kerberos для подключения ко всем сетевым службам. Билеты обладают сроком действия и их время от времени следует обновлять. Прекращение действие билета и его обновление осуществляется поставщиком безопасности Kerberos и связанными службами приложений. Большинство служб такие, как служба переадресации файловой системы, автоматически поддерживают действительность билетов для сеанса. Периодическое обновление билетов придает дополнительную безопасность сеансу подключения благодаря регулярному изменению ключей сеанса.

 

Пары и сертификаты закрытых и открытых ключей

Учетные данные Интернета в форме пар и сертификатов закрытых и открытых ключей управляются самим пользователем. Служба Active Directory операционной системы Windows 2000 Server используется для публикации сертификатов открытых ключей для пользователей, а для их поиска используются стандартные протоколы DAP. Закрытые ключи и сертификаты, выданные конечным пользователям, хранятся в защищенном месте в локальной системе, либо на смарт-карте. Безопасность хранения обеспечивается технологиями безопасности Интернета и известна как «Защищенное хранение».

Внедрение службы защищенного хранения основано на архитектуре Microsoft CryptoAPI для операционной системы Windows 2000. Архитектура CryptoAPI предоставляет основные функциональные возможности управления и прочие криптографические функциональные возможности для создания защищенного хранилища, сертификаты которого содержатся в хранилище сертификатов.

 

Внедрение в операционную систему Windows 2000 службы безопасности на основе открытого ключа позволит использовать ключи и сертификаты, полученные из службы защищенного хранения и хранилища сертификатов, как учетные данные пользователя для доступа к серверам через Интернет. Во многих случаях заданные пользователем свойства сертификатов из хранилища сертификатов позволяет протоколам безопасности автоматически выбирать и использовать правильный сертификат и ключ подписи. Усовершенствования протоколов безопасности Интернета (SSL3/TLS) позволяют серверу запросить в хранилище сертификатов (если они доступны) определенные учетные данные о клиенте, которые автоматически будут использоваться в дальнейшем.

Информация, хранящаяся в службе защищенного хранения и хранилище сертификатов, будет доступна перемещающимся пользователям, поскольку эти данные будут безопасно включены как часть профиля пользователя. При первом входе пользователя в операционную систему Windows 2000 Professional информация профиля пользователя будет скопирована на его компьютер. А если пользователь во время этого сеанса получит новые ключи и сертификаты, то при выходе пользователя из системы на центральном сервере будет обновлен профиль этих ключей и сертификатов.

 

Плавный переход

Переход от проверки подлинности по протоколу NTLM, используемого в операционной системе Windows NT 3.5x/4.0, к проверке подлинности домена по протоколу Kerberos будет осуществляться очень плавно. Службы операционной системы Windows NT могут поддерживать клиентские или серверные соединения с помощью любого протокола безопасности. Согласование безопасности либо на уровне службы SSPI, либо по протоколу приложения предоставляет еще одну возможность выбора оптимального варианта из имеющихся протоколов безопасности.

 

Переход от служб предприятия, основанных на проверке подлинности по протоколу Kerberos, к службам проверки подлинности в Интернете с помощью открытого ключа осуществляется полностью прозрачно для пользователя. Поддержка операционной системой Windows 2000 нескольких учетных данных пользователя позволяет использовать для служб приложений предприятий очень быстродействующую технологию проверки подлинности секретного ключа, а для подключения к серверам через Интернет — технологию безопасности открытого ключа. Не полагаясь на одну технологию проверки подлинности и один протокол проверки подлинности, операционная система Windows 2000 будет использовать несколько протоколов, выбирая наиболее подходящий в соответствии с требованиями приложений и пользователей и обеспечивая безопасную работу сетей.

 

Простое управление безопасностью

Поведение системы с точки зрения безопасности определяется параметрами безопасности. Благодаря использованию в каталоге Active Directory объектов групповой политики, администраторы могут централизованно применять уровни безопасности, необходимые для защиты систем предприятия. При определении параметров какого-либо объекта групповой политики, включающего в себя несколько компьютеров, необходимо принимать во внимание организационный и функциональный характер данного сайта, домена или подразделения. Например, уровни защиты, необходимые подразделению, содержащему компьютеры отдела сбыта, могут очень сильно отличаться от уровней защиты подразделения, содержащего компьютеры финансового отдела.

 

Конфигурация безопасности физически задается файлом, в котором могут храниться параметры группы или параметры безопасности. Операционная система Windows 2000 включает в себя набор шаблонов безопасности, каждый из который основан на предназначении компьютера: от параметров безопасности для клиентов домена с низким уровнем защиты до параметров безопасности для контроллеров доменов с высоким уровнем защиты. Эти шаблоны можно использовать в исходном виде, модифицировать их, а также брать в качестве основы для создания пользовательских шаблонов безопасности.

 

Средства настройки безопасности

·         Чтобы определить и использовать шаблоны безопасности, администраторы пользуются оснасткой шаблонов безопасности.

·         Для настройки и анализа локальной безопасности, администраторы пользуются оснасткой настройки и анализа безопасности.

·         Для централизованной настройки безопасности в службе Active Directory, администраторы пользуются оснасткой групповой политики.

 

Масштабируемая безопасность

Служба Active Directory может быть расширена до уровня, включающего миллионы пользователей на одном домене или еще большее число пользователей на дереве доменов. Поскольку каждый домен обладает своими границами безопасности, возможно установление нескольких границ безопасности. В такой структуре администраторы одного домена не обязательно являются администраторами другого домена. При этом важна иерархия контейнера, поскольку на сегодняшний день областью действия администратора является домен, а администратор домена имеет права доступа к каждому объекту и службе данного домена. Служба Active Directory дает пользователям привилегии на основе выполняемых ими специальных функций в определенной области. Область действия администратора может включать в себя весь домен целиком, поддерево подразделений в каком-либо домене или одно подразделение.

 

С помощью службы Active Directory можно создавать очень крупные структуры пользователей, в которых каждый пользователь, в принципе, может получить доступ ко всей хранящейся в каталоге информации, но при этом границы безопасности остаются четко определенными. Границы безопасности могут также быть значительно меньше, чем домены. Например, при создании учетной записи пользователя она связывается с конкретным доменом, но также может быть помещена в какое-либо организационное подразделение. Права доступа по созданию учетных записей пользователей в подразделении могут быть делегированы кому-либо, кто получит права создавать пользователей или прочие объекты каталога только в одном месте, в данном подразделении. Кроме того, может быть задана иерархия подразделений. Каталог Active Directory вводит много специальных прав доступа, каждое из которых может быть делегированы или ограничено своей областью действия.


Ниже приводится краткий перечень новых средств безопасности операционной системы Windows 2000 Server.

·            Служба Active Directory операционной системы Windows 2000 Server обеспечивает хранение всей информации политики безопасности доменов и учетных записей. Служба каталогов Active Directory, позволяющая реплицировать информацию учетных записей на несколько контроллеров доменов и предоставляющая доступ к этой информации, доступна для удаленного администрирования.

·            Служба Active Directory операционной системы Windows 2000 Server поддерживает иерархическое пространство имен для учетных записей пользователей, групп и компьютеров. Учетные записи могут группироваться по подразделениям, а не только по простым пространствам имен учетных записей доменов, как это было в более ранних версиях операционной системы Windows 2000 Server.

·            Права администратора по созданию и управлению учетными записями пользователей или групп могут быть делегированы на уровень подразделений. Права доступа могут выдаваться по отдельным свойствам объектов пользователей, что позволяет, например, перезаписать пароли определенных лиц или групп, не изменяя прочей информации учетной записи.

·            Репликация службы Active Directory системы Windows 2000 Server позволяет вносить обновления в учетные записи пользователей с любого контроллера домена, а не только с PDC (Primary Domain Controller — основной контроллер домена). Обновление и синхронизация ряда основных реплик службы Active Directory на прочие контроллеры доменов, которые называют BDC (Backup Domain Controllers — резервные контроллеры доменов), осуществляются автоматически.

·            Модель доменов операционной системы Windows 2000 Server автоматически изменяется с помощью службы Active Directory, благодаря чему поддерживается многоуровневое иерархическое дерево доменов. Управление доверительными отношениями между доменами упрощается благодаря использованию транзитивных отношений доверия по всему дереву.

·            Служба безопасности операционной системы Windows 2000 Server включает в себя новые службы проверки подлинности на основе стандартных протоколов безопасности Интернета, включая протокол Kerberos версии 5 и TLS (Transport Layer Security) для протоколов распределенной системы безопасности. Кроме того, в целях совместимости поддерживаются протоколы проверки подлинности с использованием диспетчера ЛВС операционной системы Windows 2000 Server.

·            Внедрение протоколов защиты безопасного канала (SSL 3.0/TLS) поддерживает мощную службу проверки подлинности клиента путем отображения учетных данных пользователей в форме сертификатов открытого ключа на существующие учетные записи операционной системы Windows 2000 Server. Для управления информацией учетных записей и доступом как с помощью общей проверки подлинности с использованием секретного ключа, так и с помощью технологии открытого ключа, используются общие средства администрирования.

·            Помимо паролей операционная система Windows 2000 Server поддерживает дополнительное использование смарт-карт для интерактивного входа в сеть. Смарт-карты поддерживают криптографию и безопасное хранение с использованием технологий закрытых ключей и сертификатов и обеспечивают надежную проверку подлинности домена операционной системы Windows 2000 Server с рабочего места.

·            Операционная система Windows 2000 Server предоставляет организациям сервер сертификатов (Microsoft) для выдачи их сертификатов X.509 версия 3 сотрудникам или деловым партнерам. В операционную систему Windows 2000 Server также включены интерфейсы API для управления сертификатами CryptoAPI и модули для работы с сертификатами открытого ключа, в том числе и сертификаты стандартных форматов, выданные либо коммерческим ЦС (центром сертификации), либо ЦС третьей фирмы, либо сервером сертификатов корпорации Майкрософт. Системные администраторы определяют доверенные ЦС для своей среды и, следовательно, выбирают, какие сертификаты принимаются службой проверки подлинности клиентов и получают доступ к ресурсам.

·            Проверка подлинности внешних пользователей, у которых не имеется учетных записей операционной системы Windows 2000 Server, может осуществляться с помощью сертификатов открытого ключа и отображаться на существующую учетную запись среды Windows 2000 Server. Права доступа, определенные для учетной записи операционной системы Windows 2000 Server, определяют ресурсы, к которым внешние пользователи могут иметь доступ в данной системе. Проверка подлинности клиентов с помощью сертификатов открытого ключа операционной системы Windows 2000 Server позволяет определять подлинность внешних клиентов на основе сертификатов, выданных доверенными центрами сертификации.

·            Пользователи операционной системы Windows 2000 Server получают простые в применении средства и стандартные диалоговые интерфейсы для управления парами закрытых и открытых ключей и сертификатами, с помощью которых они получают доступ к ресурсам через Интернет. Хранение персональных учетных данных безопасности, которыми пользователь защищает хранящиеся на диске данные, легко трансформируется в предложенный корпорацией Майкрософт промышленный стандартный протокол обмена личной информацией. В операционной системе также интегрирована поддержка устройств со смарт-картами.

·            Технология шифрования заложена в операционную систему во многих вариантах. Таким образом, можно воспользоваться преимуществами цифровых подписей для предоставления потоков данных, проверенных на подлинность. Помимо подписанных элементов управления ActiveX Controls и классов Java для обозревателя Internet Explorer (Microsoft), в операционной системе Windows 2000 Server будут использоваться цифровые подписи, гарантирующие целостность отображения различных компонентов программного обеспечения. Местные разработчики могут также создавать подписанное программное обеспечение для распространения и защиты от вирусов.


раздел 4

 

Сценарии использования операционной системы Windows 2000 Server

серверы инфраструктуры


Тенденции и проблемы использования служб каталогов

Необходимость в более мощных, прозрачных и тесно интегрированных службах каталогов вызвана к жизни лавинообразным ростом использования сетевых технологий. По мере роста распространения и усложнения локальных и глобальных вычислительных сетей, подключения сетей к Интернету, увеличения использования приложений в сетевой среде и усиления их взаимосвязей с другими системами по интрасетям корпораций, к службам каталогов предъявляются все более высокие требования.

 

Задачи

«В настоящее время почти все компании списка «Форчун»-1000 имеют от 1 до 15 различных каталогов в операцион­ных системах, системах сообщений, приложениях планирования ресурсов предприятия (ERP) и приложениях баз даных. Отрицательный экономический эффект от ведения нескольких собст­венных каталогов огромен.»

 

Информационная группа Giga. «Корпоративная служба каталогов», 5 ноября 1998 г.

 

 
Служба каталогов — один из наиболее важных компонентов распределенной компьютерной системы. Она решает следующие задачи.

·         Обеспечивает заданную администраторами безопасность для защиты данных от потенциальных нарушителей.

·         Распределяет содержимое каталога по многим компьютерам сети.

·         Реплицирует каталог, чтобы сделать его доступным для большего числа пользователей, а также повысить его отказоустойчивость.

·         Разбивает каталог на разделы по нескольким хранилищам, создавая возможность хранения очень большого числа объектов.

 

Служба каталогов является как средством управления, так и средством, применяемым конечным пользователем. По мере роста числа объектов сети растет и значимость службы каталогов. Служба каталогов — это та центральная ось, вокруг которой «вертится» большая распределенная система.

 

Тем не менее, как утверждает информационная группа Giga Information Group[4], путь к «нирване каталога» захламлен прямолинейными решениями в виде патентованных, но нестабильных сетевых операционных систем, каталогами, у которых отсутствуют возможности для взаимодействия с другими системам, неповоротливыми каталогами стандарта X.500. Кроме того, болезненно ощущается отсутствие тесно связанных между собой приложений, работающих на базе использования каталога.

 

Требования

 

Поддержка стандартов

Стандарты, протоколы и форматы объектов, которые поддерживаются службой каталогов, являются мерой ее открытости — то есть степенью, в которой каталог доступен для пользователей, не входящих в число тех, на кого он явным образом рассчитывался в процессе своей разработки.

 

Соответствие потребностям предприятия: масштабируемая и надежная служба каталогов

Архитектура службы каталогов должна допускать масштабирование от уровня малых предприятий до предприятий, представляющих собой транснациональные корпорации и целые министерства и правительственные службы. Однако такая большая распределенная база данных, как служба каталогов, должна также включать в себя некоторое подмножество баз данных, называемых репликами. Благодаря созданию многих реплик каталога и поддержания их согласованности увеличивается число запросов, которые можно обработать без снижения быстродействия системы.

 

Централизованное управление

Дополнительные сведения

Информационный документ. Microsoft Windows 2000 Active Directory. Введение в службу каталогов следующего поколения

В данном документе исследуются ключевые возможности и компоненты службы каталогов Active Directory и в некоторых деталях объясняются воздействие этой службы на вычисли­тельную среду предпритяия.

http://www.microsoft.com/windows/server/Technical/directory/adstrategy.asp

 

Информационный документ. Active Directory – техническое описание

В данном документе содержится тех­нический обзор службы Active Directory, в котором излагаются ее наиболее важные понятия и возможности; вве­дение в архитектуру службы Active Directory, сведения о переходе с операционной системы Microsoft® Windows NT версии 4.0 на операцион­ную систему Windows 2000, а также часто задаваемые вопросы (FAQ).

http://www.microsoft.com/windows/server/Technical/directory/ad_techsummary.asp

 

 
Администраторам желательно иметь возможность централизованно управлять всеми ресурсами организации. Им не надо, чтобы приходилось повторять одни и те же действия во многих каталогах для выполнения обычных управленческих задач — например, чтобы добавить или удалить учетные записи пользователей.

 

Защита существующих вложений

Для пользователей, у которых установлены серверы Windows NT Server версий 3.5x или 4.0, наличие обратной совместимости имеет критически важное значение.

 

Приложения, работающие на базе каталога

Поскольку пока что имеющиеся каталоги не удовлетворяют потребности пользователей в единой интегрированной службе каталогов для управления всей сетью, в отрасли существует серьезная потребность в среде разработки, «умеющей работать с каталогами», которая дает разработчикам приложений возможность в бизнес-решениях использовать технологию каталогов. Интеграция приложений, возможно, является определяющим критерием при определении качества службы каталогов. Без интеграции приложений служба каталогов представляет собой не более чем разрекламированный, но не очень полезный информационный документ. Служба каталогов с интеграцией приложений, в свою очередь, дает возможность единого сетевого доступа ко всем службам: файловой, службе печати, приложений, интрасети и другим.

 

Взаимодействие

В настоящее время информация о людях, приложениях и ресурсах в большинстве предприятий, работающих в сфере информационных технологий является распределенной, и процесс ее распространения продолжается. Это вынуждает организации осуществлять управление данными из различных пунктов — даже в случаях, когда в таких пунктах содержатся дублирующие и взаимосвязанные данные. Организациям для уменьшения затрат и увеличения способности реагировать на текущие изменения требуется служба каталогов класса предприятия, которая обеспечила бы единый центр для хранения корпоративной информации, осуществления доступа к ней и управления ею; причем такая служба не должна снижать функциональные возможности приложений и операционных систем.

Сеть, работающая на базе каталогов

Сеть, работающая на базе каталогов — это такая сеть, в которой пользователи и приложения контролируемым образом могут взаимодействовать с сетевыми элементами и службами, гарантированно получая предсказуемый уровень обслуживания, повышенную безопасность и упрощенные доступ и управление сетевыми ресурсами. Сети, работающие на базе каталога, используют службы каталогов для хранения важной информации об элементах и для упрощения выполнения операций доступа, управления и поиска.

 

Интегрированная безопасность

Руководству организации желательно защитить ресурсы организации от возможности несанкционированного доступа — будь то со стороны сотрудников самой организации, внешних хакеров, заказчиков, партнеров по бизнесу или поставщиков, компьютерная связь с которыми по общедоступной сети Интернет является теперь реальностью. Но в наши дни мало какие компьютеры работают изолированно, и потому связи между компаниями и обмен информацией по сети между предприятиями не могут быть построены на базе единой архитектуры; индивидуальные и корпоративные пользователи уже не могут ограничить себя единственным способом доступа к информации.

 

Служба каталогов системы Windows 2000 Server

Преимущества

·          основывается на открытом стан­дарте;

·          масштабируется до миллионов объектов;

·          эффективная репликация изме­нений;

·          дифференцированная модель делегирования полномочий;

·          программируемая для приложе­ний, работающих с каталогом;

·          сеть, работающая с каталогом;

·          простое, интуитивно ясное адми­нистрирование;

·          обратная совместимость с пре­дыдущими версиями;

·          взаимодействие с NetWare.

 

 
Служба Active Directory — это первая служба каталогов масштаба предприятия, являющаяся в высшей степени масштабируемой, построеной с использованием технологий, соответствующих стандартам Интернета, и полностью интегрированой на уровне операционной системы. Помимо предоставления комплексной службы каталогов для приложений Windows, служба Active Directory является объединенным центром, из которого выполняется выделение, миграция, управление и уменьшение числа каталогов, имеющихся у компаний. Это превращает службу Active Directory в идеальную и долгосрочную основу, на которой может осуществляться совместное использование и управление общими сетевыми ресурсами, включая приложения, сетевые операционные системы и устройства, работающие на базе с каталогов.

 

Поддержка стандартов

Первоочередная цель службы каталогов Active Directory — обеспечить единое представление сети, которое приведет к значительному снижению числа каталогов и пространств имен, с которыми должны иметь дело сетевые администраторы (и пользователи тоже). Служба Active Directory изначально задумана так, чтобы опознавать другие службы каталогов и управлять ими, независимо от их местоположения и операционной системы, под управлением которой они работают.

 

С этой целью служба каталогов Active Directory обеспечивает широкую поддержку существующих стандартов и протоколов, иерархических доменов, увеличивающих возможности масштабирования системы, оптимизированных репликаций, повышающих доступность ресурсов, и, наконец, — единого пункта управления для всех опубликованных ресурсов и интерфейсы прикладного программирования (API), которые реализуют связь с другими службами каталогов.

Служба каталогов Active Directory тесно интегрирована с системой DNS (Domain Name System — система имен доменов). Система DNS есть распределенное пространство имен, используемое в Интернете для разрешения имен компьютеров и служб относительно адресов TCP/IP. Большинство предприятий, имеющих интрасети, используют DNS в качестве службы разрешения имен. Служба каталогов Active Directory использует систему DNS как службу поиска местоположения.

Имена доменов в системе Windows 2000 Server являются именами доменов DNS, например «Microsoft.com». Интеграция с системой DNS означает, что служба каталогов Active Directory естественным образом встраивается в среды Интернета и интрасетей. Клиенты находят серверы каталогов легко и быстро. Предприятие может подключить службу Active Directory непосредственно к Интернету, чтобы обеспечить себе поддержку безопасной связи и электронной коммерции со своими клиентами и партнерами. После установки службы каталогов Active Directory она публикует себя через динамическую DNS. Динамическая DNS определяет протокол для динамического обновления сервера DNS новыми или измененными значениями. До появления динамической DNS администраторам приходилось вручную настраивать записи, хранящиеся на серверах DNS.

 

Служба каталогов Active Directory включает в себя стандарты Интернета благодаря прямой поддержке протоколов LDAP ( Lightweight Directory Access Protocol) и HTTP (Hypertext Transfer Protocol). Протокол LDAP является стандартом Интернета (RFC1777) для доступа к службам каталогов и был разработан как упрощенная альтернатива протокола X.500 DAP. Корпорация Майкрософт принимает активное участие в развитии стандартов протокола LDAP и обеспечивает поддержку LDAP версии 2 и версии 3 (пока в предварительном варианте) в службе каталогов Active Directory.

 

Служба каталогов, соответствующая потребностям предприятия

 

Масштабируемые иерархические домены

Служба каталогов Active Directory масштабируется путем создания одной копии хранилища данных каталогов для каждого домена. Эта копия содержит объекты, применимые только к данному домену. Если несколько доменов взаимосвязаны друг с другом, они могут быть встроены в дерево. В пределах дерева у каждого домена есть собственная копия хранилища данных, содержащая его собственные объекты; кроме того, имеется возможность поиска всех остальных копий в дереве хранилища данных каталогов.

 

Вместо создания одной копии каталога, которая постоянно растет, служба каталогов Active Directory создает дерево, состоящее из небольших фрагментов каталога, и каждый такой фрагмент содержит данные, позволяющие ему найти все остальные фрагменты. Служба каталогов Active Directory разбивает каталог на фрагменты таким образом, что часть каталога, к которой обращается пользователь наиболее часто, находится к нему ближе всего. Другим пользователям в других местах тоже может понадобиться эта часть каталога, и в их распоряжении будут иметься копии, расположенные поблизости от них. Все реплики этой части каталога синхронизированы. Если запись в какой-либо копии будет изменена, это изменение распространится на прочие копии. Это позволяет масштабировать службу каталогов Active Directory до многих миллионов пользователей в дереве.

 

Деревья доменов

Ключевым моментом в масштабируемости службы каталогов Active Directory является дерево доменов. В отличие от служб каталогов, состоящих из единственной древовидной структуры и требующих сложного процесса разбиения на разделы «сверху вниз», служба каталогов Active Directory дает простой и интуитивно ясный метод построения большого дерева «снизу вверх». В службе каталогов Active Directory отдельный домен является полным разделом каталога. Домены подразделяются на организационные подразделения (OU), используемые для административных целей. На приведенной ниже схеме показано, что служба каталогов Active Directory использует деревья доменов и подразделения для построения структур деревьев по принципу «снизу вверх».

 

Подпись:
Рис. 12. Иерархия дерева доменов и подразделений службы Active Directory

 

Отдельный домен при его создании может быть очень небольшим, но потом его содержимое может превысить 1 миллион объектов. Если требуется более сложная организационная структура или необходимо хранение очень большого числа объектов, несколько доменов системы Windows 2000 Server могут быть с легкостью объединены в дерево.

Использование иерархии контейнеров как модели организации

Способность иерархии контейнеров службы каталогов Active Directory допускать вложение организационных подразделений в домены (а также в другие OU) создает иерархическое пространство имен, которое администраторы могут использовать для отражения делегирования административных полномочий. Контейнер содержит список его элементов; в данном примере — основных подразделений компании. В этом примере можно выделить подразделение в подразделении более высокого уровня и открыть его, и так далее.

Переход к иерархии контейнеров с более детализированной моделью администрирования, подобной использованной в этом примере, помогает в решении множества проблем. Несмотря на то, что по-прежнему можно использовать большие домены, поиск элементов становится проще. Все, что существует в дереве доменов, будет показано в глобальном каталоге — службе, дающей пользователям возможность легко найти объект независимо от его местоположения в дереве.

 

Репликация с созданием нескольких основных реплик в целях обеспечения высокой доступности

Служба каталогов Active Directory корпорации Майкрософт имеет только один тип реплики — контроллер домена, являющийся полной репликой раздела каталога. Все контроллеры доменов могут быть использованы для обеспечения взаимодействия между каталогом и клиентом. Каталог абсолютно не связан каким-либо специализированным сервером, используемым в качестве основного сервера, здесь применяется технология репликации с несколькими основными репликами.

Механизмы репликации службы каталогов Active Directory основаны на номерах USN (Update Sequence Number — номера последовательных обновлений). Каждый раз при создании или изменении объекта в службе каталогов Active Directory сервер, на котором производится изменение, увеличивает некоторый 64-разрядный последовательный номер. Обновление последовательного номера выполняется автоматически, и это означает, что если не будут записаны и номер USN, и измененное свойство, транзакция отменяется. Таким образом удается обойти много вопросов согласованности реплик в каталоге большого масштаба.

 

Все серверы отслеживают последний номер USN, полученный их партнерами по репликации. Когда серверы выполняют репликацию, они сравнивают номер USN последнего реплицированного изменения с текущим номером USN и реплицируют новые изменения, помеченные более поздним номером USN.

 


Управление пользователями и ресурсами

Служба Active Directory обеспечивает единый центр администрирования для всех опубликованных ресурсов, в число которых могут входить файлы, периферийные устройства, подключения к узлам, базы данных, доступ в Веб, пользователи, а также иные произвольные объекты, службы и т. д. Она использует DNS в качестве своей службы поиска, организует объекты в доменах в иерархические подразделения и позволяет связывать несколько доменов в древовидную структуру. Администрирование еще более упрощается, поскольку в этой структуре отсутствует понятие о PDC (primary domain controller — основной контроллер домена) или о BDC (backup domain controller — резервный контроллер домена). Служба Active Directory использует только DC (domain controllers — контроллеры доменов) и все контроллеры являются равноправными. Администратор может внести изменения в любой DC, и обновления будут реплицированы на все прочие контроллеры доменов.

Подпись:

Возможность более детального администрирования

Устойчивые деревья доменов, предоставляемые службой каталогов Active Directory, обеспечивают куда большую гибкость управления, чем организационные структуры с одним деревом, предлагаемые другими службами каталогов. Хотя с помощью службы каталогов Active Directory можно строить единое дерево доменов, намного лучше, с точки зрения администрирования, строить дерево доменов, каждый из которых имеет свои границы безопасности. Иерархия доменов позволяет детализировать уровень управления, не ослабляя безопасность. Права могут распространяться вниз по дереву (при этом помимо пользователей, уже имеющих соответствующие разрешения, эти права получают и все другие пользователи) на базе организационного принципа. Эта структура легко адаптируется к организационным изменениям при помощи операций отсечения, сращивания и слияния.

 

Рис.13. Мастер делегирования администрирования службы каталогов

 
Каждый домен в дереве доменов имеет копию службы каталогов, содержащую все объекты данного домена и метаданные о дереве домена, такие как схема, список всех доменов дереве, местоположение серверов глобального каталога и так далее. Поскольку нет необходимости хранить все объекты для всех доменов в единой службе каталогов, можно строить очень большие деревья без снижения быстродействия системы.

 

Чтобы дать администраторам возможность создавать собственные типы объектов каталога, служба каталогов Active Directory обладает возможностью расширения при помощи механизма схемы. Если у пользователя есть важные данные, которые следует опубликовать в каталоге, он может создать полностью новый тип объекта и опубликовать его. Например, оптовый дистрибьютор может создать объект-склад и поместить его в свой каталог, включив в него данные, специфичные для вида деятельности, которым этот коммерсант занимается. Можно создавать новые классы объектов и добавлять их экземпляры.

 

Сами по себе службы каталогов определяют широкое разнообразие классов. Например, служба каталогов Active Directory обеспечивает стандартные объекты для домена, подразделения, пользователя, группы, компьютера, тома и очереди на печать, а также богатый набор объектов «точек подключения», используемых службами Winsock, RPC и DCOM для публикации данных о привязке.

 

Подпись:  Глобальный каталог для быстрого поиска

Все объекты в службе каталогов Active Directory имеют записи в глобальном каталоге (GC) — службе, которая содержит данные каталога для всех доменов-источников в дереве. Предназначенный для повышения быстродействия, каталог GC позволяет пользователям легко найти объект, где бы он в дереве ни находился, ведя поиск по выбранным атрибутам. Эти атрибуты содержатся в сокращенном каталоге. Такая техника, известная как частичная репликация, позволяет многие запросы разрешать из каталога GC без необходимости поиска в домене-источнике. Это глобальное представление может содержать объекты любых типов, например пользователей, службы или компьютеры. Типичный пример использования глобального представления — предоставление глобальной адресной книги для использования системой почты или любым приложением, использующим в своей работе электронную почту.

Рис. 14. Поиск людей в службе каталогов Active Directory

 
 


Минимизация трафика по медленным связям с использованием сайтов

Сайт — это местоположение в сети, где есть серверы службы каталогов Active Directory. Сайт определяется как одна или несколько подсетей TCP/IP. Определение сайта как набора подсетей позволяет администраторам быстро и легко настраивать доступ и топологию репликаций службы каталогов Active Directory так, чтобы использовать преимущества физической сети. Когда пользователь входит в систему, клиент, работающий со службой Active Directory, находит серверы Active Directory на том же сайте, на котором находится пользователь. Это легко сделать, поскольку рабочей станции пользователя уже известно, в какой подсети TCP/IP она находится, а подсети прямо соотносятся с сайтами службы каталогов Active Directory.

Создание сценариев и технология ActiveX automation

Все, что может быть сделано при помощи интерфейса пользователя, должно быть возможно сделать и программным образом или из сценария.

 Чтобы дать администратору возможность писать командные процедуры, служба каталогов Active Directory обеспечивает полную поддержку технологии ActiveX и написание сценариев. Это позволяет добавлять, изменять, перемещать, копировать и выполнять другие функции администрирования, регистрируя в виде сценария соответствующие действия при помощи службы Active Directory и используя язык сценариев, такой как система разработки Visual Basic Scripting Edition (VBScript), Java или другие.

 

Дополнительные сведения

Информационный документ. Планирование глобальной службы каталогов

В данном информационном документе описывается, как компании могут минимизировать затраты, улучшить функциональность и усилить свои возможности реагировать на измене­ния путем консолидации каталогов.

http://www.microsoft.com/ntserver/windowsnt5/techdetails/prodarch/globalwp.asp

 

Информационный документ. Интеграция каталогов с помощью Windows 2000 Active Directory

В данном информационном документе описывается интеграция приложеня Exchange со службой каталогов Active Directory.

http://www.microsoft.com/exchange/55/whpprs/ActiveDir.htm

 

 

 
Защита существующих вложений

Для пользователей, у которых установлены серверы Windows NT Server версий 3.5x или 4.0, наличие обратной совместимости имеет критически важное значение. Служба каталогов Active Directory с самого начала проектировалась со встроенной обратной совместимостью. Служба каталогов Active Directory обеспечивает полную эмуляцию служб каталогов сервера Windows NT Server версий 3.5x и 4.0; средства администрирования и приложения, написанные для интерфейса Win32 API, будут без изменений работать в среде Active Directory. Контроллер домена следующего поколения для системы Windows 2000 Server, установленный в домене сервера Windows NT Server версий 3.5x или 4.0, выглядит и действует в точности так же, как контроллер домена сервера Windows NT Server 4.0. Это означает, что вложения в инфраструктуру и приложения существующей сети на базе сервера Windows NT Server являются защищенными. И сегодня пользователи могут разворачивать сервер Windows NT Server 4.0 в полной уверенности, что эти вложения будут поддерживать гладкий переход к службе каталогов Active Directory.

 

Простота перехода от серверов Windows NT Server версий 3.5x и 4.0

Чтобы обеспечить гладкий и беспроблемный переход, служба каталогов Active Directory рассчитана на работу в смешанной среде. Смешанный домен, имеющий контроллеры домена как следующего поколения, так и «более низкого уровня» — контроллеры домена сервера Windows NT Server версий 3.5x или 4.0, работает в точности так же, как домен сервера Windows NT Server 4.0. Процесс миграции от серверов предыдущих версий к службе Active Directory может происходить по одному контроллеру домена за один раз. После того как будет обновлен контроллер домена в домене сервера Windows NT Server 4.x, этот домен можно будет присоединить к дереву.

 

Дополнительные сведения

Информационный документ. Снижение совокупной стоимости владения с помощью приложений, работающих с Active Directory

Данный документ описывает разные способы интеграции с Active Directory и дает примеры интеграции.

http://www.microsoft.com/ntserver/windowsnt5/deployment/planguide/deavision.asp

 

 
Приложения, работающие на базе каталога

Система Windows 2000 Server вместе со службой каталогов Active Directory предназначается для того, чтобы предоставлять приложениям те возможности, снижающие совокупную стоимость владения.

 

Интеграция групповой политики

Возможности групповой политики позволяют администраторам задавать наборы приложений, включая специфические настройки, которые должны быть доступны пользователям в зависимости от роли пользователя в компании, домена, членом которого он является, и группы безопасности системы Windows 2000 Server, к которой он принадлежит. Когда пользователь перемещается в организацию или добавляется к группе безопасности системы Windows 2000 Server, его приложения могут быть установлены и настроены автоматически, что резко снижает стоимость установки и настройки.

 

Публикация службы

Служба каталогов Active Directory позволяет приложениям публиковать имена и местоположения предоставляемых ими служб, так что клиенты могут находить и использовать службы динамически. Это позволяет администраторам перенастраивать серверы для оптимизации времени ответа и более высокой доступности без необходимости обновления клиентов.

 

Расширение объектов каталога

Служба каталогов Active Directory дает администраторам возможность добавлять новые типы объектов и расширять существующие объекты добавлением новых свойств. Таким образом служба каталогов Active Directory становится пунктом консолидации, уменьшающим число имеющихся в компании каталогов. Среди следующих из этого преимуществ — улучшение общего доступа к данным и общее управление пользователями, компьютерами, приложениями и устройствами, имеющими возможность работы с каталогом.

 

Модель расширения ADSI

Интерфейс служб Active Directory (ADSI — Active Directory Services Interface) предоставляет возможность, называемую моделью расширения ADSI, которая позволяет разработчикам приложений связывать бизнес-правила, основанные на модели COM с объектами, хранимыми в службе каталогов Active Directory. Это предоставляет разработчикам и администраторам согласованный и простой способ обеспечения взаимодействия между приложением и его объектами. Модель расширения также облегчает вызов методов для групп объектов, таких как «Все пользователи из бухгалтерии» для упрощения администрирования.

 

Хранилище классов службы каталогов Active Directory

Служба каталогов Active Directory содержит раздел дерева каталогов, который называется хранилищем классов и используется для хранения имен (например идентификаторов класса или идентификаторов программы) и местоположения COM-объектов в сети. Модель COM использует хранилище классов для определения местоположения и установки COM-объектов, которые пользователям автоматически разрешается использовать на своих компьютерах. Это может снизить совокупную стоимость владения приложениями, работающими на основе модели COM, благодаря упрощению настройки и администрирования клиента.

 

Служба каталогов Active Directory предоставляет мощные, гибкие и простые в использовании интерфейсы программирования. Доступность богатого набора интерфейсов API для этой службы каталогов поощряет разработчиков приложений и средств, которые пользуются ее службами. Служба каталогов Active Directory включает три главных набора интерфейсов API.

·         ADSI. Интерфейсы службы каталогов Active Directory, набор интерфейсов объектной модели компонентов для управления и построения запросов к нескольким службам каталогов.

·         MAPI. Интерфейс API сообщений для архитектуры Windows Open Services Architecture.

·         LDAP C API (RFC1823). Информационный стандарт RFC, являющийся фактическим стандартом программирования на языке C для приложений LDAP.

 

Взаимодействие каталогов

Дополнительные сведения

Информационный документ. Открытый интерфейс служб каталогов (Microsoft)

В этом документе подробно описыва­ется точка зрения корпорации Майкрософт на интеграцию нескольких служб каталогов посредством хорошо определенного открытого набора интерфейсов – Active Directory.

http://www.microsoft.com/ntserver/windowsnt5/techdetails/prodarch/adsi.asp

 

ADSI SDK http://www.microsoft.com/msdownload/platformsdk/bldenv.htm

 

Компоненты ADSI для этапа выполнения http://backoffice.microsoft.com/downtrial/moreinfo/adsi2.asp

 

 
Для облегчения написания приложений, работающих на базе каталога и обращающихся к службе каталогов Active Directory и другим LDAP-каталогам, корпорация Майкрософт разработала интерфейс Active Directory Service Interfaces (ADSI) — набор расширяемых и простых в использовании интерфейсов программирования для доступа и управления такими службами каталогов:

·         службой Active Directory;

·         любым LDAP-каталогом;

·         прочими службами каталогов в имеющейся сети, включая NDS

 

Интерфейс ADSI является частью открытого интерфейса служб каталогов (ODSI — Open Directory Services Interface), открытой архитектуры служб Windows (WOSA — Windows Open Services Architecture) для управления различными службами каталогов и построения к ним запросов. Объекты ADSI доступны для сервера Windows NT Server 4.x, системы Novell NetWare версий 3.x и 4.x и службы каталогов Active Directory, а также для любой другой службы каталогов, поддерживающей протокол LDAP.

 

Интерфейсы службы каталогов Active Directory (ADSI) абстрагируют возможности служб каталогов различных поставщиков сетевых услуг, предоставляя единый набор интерфейсов службы каталогов для управления сетевыми ресурсами. Это существенно упрощает разработку распределенных приложений, а также администрирование распределенных систем. Разработчики и администраторы с помощью единого набора интерфейсов служб каталогов учитывают ресурсы в службе каталогов и управляют ими, в какой бы сетевой среде эти ресурсы ни содержались. Таким образом, интерфейс ADSI облегчает выполнение обычных задач администрирования, таких как добавление новых пользователей, управление принтерами и поиск ресурсов в распределенной вычислительной среде, а также облегчает разработчикам интегрировать в их приложения возможность работы с каталогом.

 

Интерфейс ADSI рассчитан на удовлетворение нужд традиционных программистов, работающих на языках C и C++, системных администраторов и опытных пользователей. С помощью интерфейса ADSI разработка приложений, работающих на базе каталога, выполняется легко и быстро. Интерфейс ADSI представляет службу каталогов как набор COM-объектов, при помощи которые помимо данных, определяется и поведение.

 

Дополнительные сведения

Спецификации DEN http://www.microsoft.com/windows/downloads/bin/nts/directory_enabled.exe

 

 
Сеть, работающая на базе каталога

Сеть DEN (Directory-Enabled Networking — сеть, работающая на базе каталога) — это продукт работы, проводимой корпорацией Майкрософт и фирмой Cisco Systems Inc. с целью определить и реализовать сетевые возможности, тесно интегрированные с функциями службы каталогов. DEN-совместимые продукты корпорации Майкрософт и фирмы Cisco позволят администраторам сопоставлять соответствующий набор сетевых служб с полномочными пользователями и приложениями с помощью сочетания профилей и политик (хранимых в службе каталогов Active Directory) и средств управления. Это даст возможность компаниям, использующим службу каталогов Active Directory в качестве центрального пункта для настройки ресурсов, управления и безопасности, возможность динамически настраивать свои сети для поддержки потребностей каждого пользователя.

 

Сеть, работающая на базе каталогов — это такая сеть, в которой пользователи и приложения контролируемым образом могут взаимодействовать с сетевыми элементами и службами, гарантированно получая предсказуемый уровень обслуживания, повышенную безопасность и упрощенные доступ и управление сетевыми ресурсами. Сети, работающие на базе каталога, используют службы каталогов для хранения важной информации об элементах и для упрощения выполнения операций доступа, управления и поиска.

 

В сети, работающей на базе каталога, пользователи, приложения и службы описываются с помощью наборов атрибутов свойств и поведения, называемых профилями. Профиль может описывать как одиночный объект, так и группу объектов. Профили предоставляют администраторам простой способ управлять ресурсами как объединениями высокого уровня пользователей, служб и сетей, обеспечивая при необходимости возможность управлять отдельными ресурсами, такими как люди, компьютеры и устройства.

Политики определяют желательное поведение при взаимодействии двух или более объектов каталога. Политики могут быть реализованы на уровне пользователя или группы, что позволяет администраторам персонализировать сеть (в том смысле, какие службы кому доступны) для отдельных пользователей, для групп пользователей и для устройств. Например, пользователь или приложение может запросить дополнительную пропускную способность, и запрос будет удовлетворен или отклонен в зависимости от роли сотрудника в компании. Элементы и приложения сети, работающей на базе каталога, могут также обнаружить и активизировать политику в пункте, где потребляются ресурсы, в целях улучшения уровня обслуживания, безопасности и функциональности приложения.

 

Полная реализация сети DEN — такая, какую намеревается предоставить для системы Windows 2000 Server корпорация Майкрософт — дает администраторам возможность управлять широким диапазоном сетевых элементов и связывать сетевые службы с полномочными пользователями и приложениями, используя сочетания профилей, политик и средств управления. Среди выгод от этого для компаний — потенциальное снижение совокупной стоимости владения и улучшение обслуживания, на которое могут рассчитывать конечные пользователи вне зависимости от места их входа в сеть.

 

Между службой Active Directory и службой безопасности, интегрированными в систему Windows 2000 Server, существует фундаментальная связь. В службе каталогов Active Directory хранится политика безопасности домена — в которой, например, определяются действующие в домене ограничения на пароль, права доступа в систему — которые непосредственно сказываются на порядке использования системы. Связанные с безопасностью объекты в каталоге требуют безопасного управления во избежание неавторизованных изменений, которые могут сказаться на общей безопасности системы. В системе Windows 2000 Server реализована основанная на объектах модель безопасности и контроль доступа для всех объектов службы каталогов Active Directory. Каждый объект в службе каталогов Active Directory имеет уникальный описатель безопасности, определяющий права доступа, необходимые для чтения или обновления свойств этого объекта.

Службы Active Directory используют олицетворение и проверку доступа системы Windows 2000 Server для определения, имеет ли право запрос от клиента Active Directory читать или обновлять запрошенный объект. Это означает, что запросы клиента LDAP к каталогу требуют от операционной системы выполнения контроля доступа, сама же служба каталогов Active Directory решения по контролю доступа не принимает.

 

Модель безопасности системы Windows 2000 Server обеспечивает единообразную и адекватную реализацию контроля доступа ко всем ресурсам доменов на базе членства в группах. Компоненты безопасности системы Windows 2000 Server могут доверять данным по безопасности, которые хранятся в каталоге. Например, служба проверки подлинности системы Windows 2000 Server хранит зашифрованные данные пароля в защищенной части объектов пользователя в каталоге. Операционная система верит, что данные политики безопасности хранятся безопасно и что ограничения на учетные записи или членство в группах не может быть изменено никем, не имеющим на то прав. Кроме того, в каталоге хранятся данные о политике безопасности для управления всем доменом.

Такая фундаментальная связь службы безопасности и службы каталогов Active Directory достигается только полной интеграцией каталога с операционной системой Windows 2000 Server и никаким другим способом.

 

Доверительные отношения доменов

Домены системы Windows 2000 Server могут быть организованы в виде иерархического дерева доменов. Доверительные отношения доменов позволяют серверам ресурса из одного домена проверять подлинность пользователей с учетными записями, определенными в другом домене. В сервере Windows NT Server 4.0 и более ранних версиях междоменные доверительные отношения определяются однонаправленными учетными записями доверенных доменов между контроллерами доменов. Управление доверительными отношениями между доменами учетных записей и доменами ресурсов в большой сети — задача сложная.

 

Службы Active Directory поддерживают два вида доверительных отношений.

·         явно заданные однонаправленные доверительные отношения по отношению к доменам сервера Windows NT Server 4.0;

·         вдвунаправленные транзитивные доверительные отношения между доменами, являющимися частью дерева доменов системы Windows 2000 Server.

Транзитивные доверительные отношения между доменами упрощает управление доверительными учетными записями между доменами. Домены, являющиеся членами дерева доменов, определяют двунаправленные доверительные отношения с родительским доменом в дереве. Как следствие, все домены дерева имеют неявные доверительные отношения друг с другом. Если есть особые домены, которым не нужно двунаправленные доверительные отношения, можно явно определить однонаправленные доверительные учетные записи. Для организаций с многими доменами значительно уменьшается число явно заданных однонаправленных доверительных отношений.

 

Делегирование прав администратора

Делегирование прав администратора — важное средство, чтобы ограничить администрирование безопасностью посредством управления лишь определенными поднаборами всех доменов организации. Важным требованием является предоставление прав на управление небольшой частью пользователей и групп в пределах зоны ответственности, не давая при этом прав на управление учетными записями в других подразделениях организации.

 

Делегирование прав администратора для создания новых пользователей или групп определяется на уровне организационного подразделения или контейнера, где создаются учетные записи. Администраторы групп для одного организационного подразделения не обязательно имеют возможность создавать учетные записи и управлять ими в других организационных подразделениях в пределах домена. Однако во всем дереве могут использоваться определенные для всего домена параметры политики и права доступа благодаря тому, что права доступа наследуются.

 

Есть три способа определить делегирование прав администратора.

·         Делегировать права на изменения свойств в конкретном контейнере, например, LocalDomainPolicies для самого объекта домена.

·         Делегировать права на создание и удаление дочерних объектов конкретного типа внутри подразделения, таких как пользователи, группы или принтеры.

·         Делегировать права на обновление конкретных свойств дочерних объектов внутри подразделения — например, право установления пароля для объекта-пользователя.

 

Интерфейс пользователя для администратора службы каталогов облегчает просмотр данных по делегированию прав администрирования, определенному для контейнеров. Также легко добавить новое делегирование прав администрирования, выбрав, кому требуется делегировать права и затем выбрав, какие права следует делегировать.

 

Интеграция базы данных учетных записей безопасности со службой каталогов Active Directory системы Windows 2000 Server дает реальные выгоды в управлении предприятием. Быстродействие, простота в управлении и масштабируемость для больших организаций — непосредственный результат такой интеграции. Предприятия, работающие с Интернетом, могут использовать деревья доменов и иерархические подразделения для организации учетных записей для партнеров по бизнесу, постоянных клиентов или поставщиков, и давать им специальные права в своей системе.

 

Детализация прав доступа

В больших организациях при защите инфраструктуры учетных записей сети и управления ею требуется учитывать огромное число отдельных лиц и групп. Необходимо иметь возможность предоставлять права доступа для конкретных операций — например, переопределения паролей пользователей или объявления учетных записей недействительными — конкретным группам, не предоставляя при этом прав создания новых учетных записей или изменения других свойств учетных записей пользователей.

 

В архитектуре безопасности для объектов службы каталогов Active Directory для контроля прав объекта используются дескрипторы безопасности системы Windows 2000 Server. Каждый объект в каталоге имеет уникальный дескриптор безопасности. Список ACL (Access Control List — список контроля доступа) в этом дескрипторе безопасности есть список записей, которые предоставляют конкретные права доступа или отказывают в них отдельным пользователям или группам. Права доступа могут быть предоставлены или в них может быть отказано на различных уровнях области действия объекта. Права доступа могут быть определены на любом из следующих уровней.

·         Права относятся к объекту в целом, что применимо к каждому свойству объекта.

·         Права относятся к группе свойств, определенной заданием свойств в пределах объекта.

·         Права относятся к отдельному свойству объекта.

 

Единообразные права на чтение и запись всех свойств объекта по умолчанию предоставляются создателю объекта. Предоставление прав доступа или отказ в них по отношению к набору свойств — удобный способ определить права для группы связанных между собой свойств. Группировка свойств определяется атрибутом установки свойства для данного свойства в схеме. Соотношения в наборе свойств могут быть изменены путем изменения схемы. И наконец, определение прав доступа на уровне отдельного свойства дает наивысший уровень детализации прав. Определение прав доступа на уровне отдельного свойства доступно для всех объектов службы каталогов Active Directory системы Windows 2000 Server.

 

Объекты-контейнеры в каталоге также поддерживают дифференцированный доступ по отношению к тому, кто имеет право создавать дочерние объекты и какого типа. Например, управление доступом, определенное для какого-то подразделения, может определять, кто имеет право создавать объекты-пользователи (учетные записи) в этом контейнере. Другая запись в управлении доступом для того же подразделения может определять, кто имеет право создавать объекты-принтеры. Дифференцированный контроль доступа на уровне контейнеров каталога — эффективный способ управления организацией пространства имен.

 

Новая реализация редактора списков доступа ACL, предоставляющего общее управляющее диалоговое окно для просмотра или изменений прав безопасности объекта, дает простой в работе интерфейс для определения прав доступа к объектам службы каталогов Active Directory по наборам свойств или отдельным свойствам. Редактор списков доступа ACL также поддерживает определение унаследованных прав доступа на объекты-контейнеры, распространяющиеся на все подобъекты в этой части дерева каталога.

 

Наследование прав доступа

Наследование прав доступа определяет, как данные по контролю доступа, определенные на уровне вышестоящих контейнеров, распространяются на подчиненные контейнеры и оконечные листовые объекты. Вообще говоря, модели реализации наследования прав доступа бывают двух видов: динамическое и статическое наследование. При динамическом наследовании действующие права доступа для объекта определяются вычислением прав, заданных явно и тех, которые определены для всех родительских объектов каталога. Это обеспечивает гибкость в изменении прав доступа на части дерева каталогов путем внесения в нужный контейнер изменений, которые автоматически будут относиться ко всем его подконтейнерам и оконечным листовым объектам. Издержки такой гибкости выражаются в снижении быстродействия из-за необходимости вычислять фактические права в момент запроса на чтения-запись в конкретный объект каталога со стороны клиента.

 

Система Windows 2000 Server реализует статическую форму наследования прав доступа, называемую «наследованием на момент создания» (Create Time inheritance). Данные контроля доступа могут быть определены на уровне контейнера и распространены на дочерние объекты контейнера. Когда создается дочерний объект, унаследованные от контейнера права доступа объединяются с правами доступа, присваиваемыми новому объекту по умолчанию. Все изменения, в дальнейшем выполняемые над наследуемыми правами доступа на более высоком уровне, должны быть распространены на все дочерние объекты, к которым они относятся. Новые наследуемые права доступа будут распространены службой каталогов Active Directory на объекты, к которым они относятся, в зависимости от того, как определены эти новые права.

 

Быстродействие при проверке прав доступа является очень высоким, если используется статическая модель наследования прав доступа. Проверки доступа — часто выполняемые и необходимые операции, которые операционная система должна оптимизировать не только при доступе к объектам каталогов, но и к файловой системе и всем объектам системы Windows 2000 Server.

 

 

фйловые серверы, серверы печати и веб-серверы


Тенденции и проблемы совместного доступа к данным

Задачи

«В погоне за развертыванием Интернета, интрасетей и экстрасетей многие организации мало уделяют внимания оборудованию и программному обес­печению, используемому для осу­ществления и поддержки различных корпоративных инициатив.

 

Организации должны рассматривать платформы веб-серверов как объеди­нение программного обеспечения веб-сервра с функциями обычного сервера для достижения приемлемого уровня производительности, масштабируе­мости и доступности с сохранением уровня переносимости на имеющиеся в организации платформы.»

 

Gartner Group, Выбор платформы веб-сервера, октябрь 1997 г.

 

 
В наши дни пользователи компьютеров могут быстро загружать данные из Интернета, использовать мультимедийное содержание для сообщения большого объема информации еще большему числу пользователей и иметь общий доступ к деловой информации совместно с клиентами, поставщиками и партнерами по всему миру. Деловая информация, представленная в цифровой форме, может творчески анализироваться, ее можно быстрее отыскать, легче обновлять, она доступна большему числу пользователей. Это позволяет каждому, кто имеет к ней доступ, действовать быстрее, принимать более взвешенные решения, реагировать на нештатные ситуации и быть ближе к своим клиентам.

 

Чтобы организация могла создать корпоративную интеллектуальную среду такого рода, ей нужна возможность дать пользователям безопасный доступ к общим данным. В наше время общие данные представлены документами различных форматов, но тенденция состоит в быстром смещении в сторону представления этих данных в формате HTML, который доступен стандартным обозревателям Интернета. Кроме того, многие организации поняли преимущества хранения данных для общего доступа в мультимедийном формате, таком как видео или иллюстрированные аудио записи, и снижении расходов на информационные технологии благодаря архивации данных на дисках и ленточных устройствах.

Поэтому серверная платформа должна отвечать следующим ключевым требованиям относительно обеспечения общего доступа, публикации и хранения данных:

·         наличие полных служб файлов и служб печати;

·         наличие интегрированных служб индексирования Интернета и содержимого документов;

·         наличие достаточного набора служб потокового мультимедиа.

 

Требования

Важно осознавать, что сейчас организации для публикации данных и обеспечения общего доступа к ним используют различные механизмы в одной и той же компании. Например, отдел кадров может с помощью веб-узла обнародовать политику корпорации в формате HTML и вести корпоративные семинары и обучение в форматах потокового видео. С другой стороны, отдел продаж может решить, что для обнародования цифр продаж за месяц по организации наиболее удобны электронные таблицы.

 

Обеспечение единой инфраструктуры для общего доступа к данным, их публикации и хранения облегчает организациям подачу содержания в наиболее подходящем формате, в то же время донося его до широких масс пользователей. Однако службы, необходимые для удовлетворения потребностей организации, на большинстве платформ предоставляются в виде отдельных не интегрированных приложений, поставляемых разными производителями, что заставляет профессионалов из отделов информационных технологий выполнять работу системных интеграторов.

А значит, платформа должна быть единой, интегрированной, полной и простой в работе, удовлетворяя следующим требованиям по вопросам публикации данных и общего доступа к ним.

 

Быстрый и легкий доступ к данным и к сетевым ресурсам

Одна из главных причин для осуществления капиталовложений предприятия в вычислительную сеть — стремление улучшить доступ к данным и дать возможность легко и быстро управлять принтерами.

 

Легкость публикации данных на веб-узлах

Операционная система должна обладать встроенными функциями работы с Интернетом, чтобы компании могли с помощью своих вычислительных систем использовать преимущества технологий Интернета без необходимости начинать работу с нуля. Это означает, что компании могут организовать общий доступ не только к традиционным файловым и сетевым ресурсам, но и к содержимому Интернета в таких стандартных форматах, как HTML и XLM, что фундаментальным образом меняет способы общего доступа к данным как в пределах компании, так и для ее клиентов и партнеров.

 

Доставка насыщенного мультимедийного содержимого многим пользователям

Организации соревнуются в создании внешних веб-узлов, которые привлекают и удерживают внимание посетителей последними достижениями графики и анимации, и внутренних веб-узлов, облегчающих общий доступ к данным и их публикацию для большего числа пользователей. Следующая волна — это веб-узлы с видео и аудио возможностями. Интеграция потокового мультимедийного содержимого в такие сферы деятельности, как интерактивное обучение, корпоративная связь, поддержка службы продаж и взаимоотношений с заказчиками, службы новостей и развлечений, реклама продуктов открывают корпоративным и индивидуальным пользователям новые и захватывающие способы связи и организации общего доступа к данным.

 

Быстрый поиск данных

Когда данные находятся в разных местах, имеют самый разный формат представления и даже записаны на разных языках, пользователям необходим быстрый и простой способ поиска данных в сети.

 

Снижение стоимости хранения

Без централизованного управления распределенными системами установка приложений может приводить к чрезмерным простоям, которые в большинстве случаев связаны со сбоями на носителях. Выход из строя сервера и нестабильный доступ к данным напрямую оказывает влияние на производительность и проводит к убыткам на предприятии.

 

 


Службы файлов системы Windows 2000 Server

 

Преимущества

·          Легкий и быстрый поиск.

·          Прозрачный доступ к сетевым ресурсам.

·          Простой доступ к данным на других сетевых платформах.

·          Более простое управление боль­шим числом файлов общего доступа.

 

 

 
Управление службой файлов

Оснастка управления службой файлов консоли управления MMC позволяет создавать общие папки и управляет сеансами и подключениями на локальных или удаленных компьютерах. Функционально она заменяет приложение, ранее имевшееся в панели управления системы. Помимо возможностей удаленной работы, она позволяет пользователю создавать общие ресурсы для любой устанавливаемой службы файлов, предлагаемой корпорацией Майкрософт: службы файлов и службы печати для Макинтоша и службы файлов и службы печати для NetWare.

 

При использовании в соединении с распределенной файловой системой, это средство можно использовать для объединения всех общих ресурсов по всему предприятию в единое логическое пространство имен (т.е. пользователи подключаются к одному ресурсу и получают доступ ко всем ресурсам, опубликованным в любом томе системы DFS). Это средство можно также использовать как средство управления каталогами, чтобы публиковать общий ресурс как объект тома в службе Active Directory, у которого пользователи могут быстро и легко запрашивать доступные и общие ресурсы.

 

Файловая система Windows 2000 Server (версия NTFS)

Преимущества

·          Лучшее быстродействие.

·          Большая доступность.

·          Усиленная безопасность.

·          Лучшее управление памятью.

 

 
Система Windows 2000 Server включает в себя несколько дополнений для файловой системы NTFS, улучшающих быстродействие, доступность, безопасность и управляемость для общих данных и ресурсов.

 

Собственные наборы свойств

В настоящее время файловая система NTFS поддерживает собственные наборы свойств любого файла или каталога. Север индексирования автоматически индексирует свойства, обеспечивая быстрый поиск по свойствам, например поиск документа по его автору. Среди возможных применений наборов свойств назовем примечания к обычным файлам, кэширование метаданных (например эскизы страниц) и управление содержимым.

 

Поддержка разреженных файлов

Поддержка разреженных файлов позволяет приложению создавать огромные файлы, фактически не отводя место на диске для каждого байта. Например, пользователям может быть нужен файл объемом в 42 ГБ, а данные фактически будут записываться только в первые и последние 64 КБ. Используя разреженные файлы, система NTFS отведет физическое дисковое пространство только для тех частей файла, куда пользователи будут записывать данные. В этом случае разреженный файл будет использовать только 128 КБ дискового пространства, но во всех остальных отношениях он будет вести себя как файл объемом в 42 ГБ. Среди интересных применений этой методики — разреженные массивы и циклические очереди.

Поиск файлов по владельцу, пакетная проверка списков ACL

Система NTFS дает возможность искать файлы в томе по их владельцу (с помощью идентификатора безопасности владельца — SID). Это делает возможными следующие операции:

·         поиск всех файлов, принадлежащих пользователю X;

·         очистка файлов пользователя (например, при использовании квот).

 

Связанной с этим возможностью является пакетная проверка списков ACL, позволяющая выяснить доступность многих файлов одновременно при помощи задания произвольной маски доступа. Это делает возможными следующие операции:

·         определение того, что может делать пользователь X с файлами N;

·         проверка возможности одновременного доступа к файлу для нескольких списков ACL.

 

Журнал изменений тома

Система NTFS имеет журнал регистрации изменений тома, который отслеживает все изменения файлов и каталогов, произведенных в течение продолжительных периодов времени, включая перезагрузки системы. Изменения отслеживаются по каждому файлу. Журнал изменений можно использовать для анализа операций ввода вывода и надежного отслеживая разнообразных изменений данных в файловой системе, включая создание, переименование и удаление файлов; записи данных и свойств, изменения безопасности, сжатия и шифрования. Среди других возможных применений — анализ операций ввода-вывода и восстановление состояния приложения.

 

Точки соединения

Точки соединения системы NTFS по своей природе подобны точкам соединения в системе DFS: и те, и другие являются средствами сращивания пространств имен. Точки соединения NTFS прозрачны для приложений, если только приложение не имеет явных инструкций их замечать. Это означает, что пользователи могут с помощью точек соединения перенаправлять к любому другому каталогу приложения или пользователей, обращающихся к локальному каталогу NTFS.

 

К локальным томам файловой системы, «смонтированным» над точками соединения NTFS, можно получить доступ через точки соединения, даже если им не присвоены буквенные имена дисков. Это означает, что пользователь может связать в локальное пространство имен много томов — ограничения в 26 букв больше нет. Возможности использования самонастраивающихся устройств (Plug and Play) и новые возможности управления томами гарантируют устойчивость точки соединения при поиске новых устройств хранения.

 

Отслеживание изменившихся связей

Система Windows 2000 Server предоставляет службу отслеживания изменившихся связей, которые позволяют приложениям клиента отслеживать источники связей, которые были перемещены. Источник связи — это объект, на который ссылается клиент связи. Например, если документ Microsoft Word содержит связь OLE с электронной таблицей Microsoft Excel, документ Word есть клиент связи, а электронная таблица Excel есть источник связи. Другой пример — ярлык оболочки. Ярлык есть клиент связи, а указываемый им файл — источник связи.

 

Служба отслеживания изменившихся связей позволяет клиентам находить файл — источник связи, подвергшийся любому из следующих изменений.

·         Изменилось имя файла — источника связи.

·         Файл — источник связи был перемещен в пределах одного и того же тома.

·         Файл — источник связи был перемещен из одного тома в другой на том же компьютере.

·         Файл — источник связи был перемещен с одного компьютера на другой в том же домене.

·         Том был физически перемещен с компьютера, работающего под управлением системы Windows 2000 Server, на другой компьютер, также работающий под управлением системы Windows 2000 Server, в том же домене.

·         Компьютер, работающий под управлением системы Windows 2000 Server, был переименован в том же домене.

·         Имя сетевого ресурса, в рамках которого создан общий доступ к источнику связи, изменилось.

·         Имела место любая комбинация вышеперечисленных изменений.

 

Распределенная файловая система Windows 2000 Server

Benefits

Информационный документ Dfs – A logical view of physical storage («Логическое представление физических хранилищ»)

В этом документе содержится обзор системы Dfs и описывается, как построить единое иеархическое представление нескольких файловых серверов общего доступа в сети.

http://www.microsoft.com/windows/server/Technical/fileprint/dfsnew.asp

 

 
Распределенная файловая система (Microsoft) для разнородных ресурсов файловой системы предприятия реализует единое пространство имен. Система DFS организована в виде логической структуры дерева независимой от физических ресурсов. Топология этого дерева DFS автоматически публикуется в службах Active Directory, что создает отказоустойчивость корня DFS.

 

Тома, которые добавляют к корню DFS пользователи, являются листьями или узлами ветвей, представляющими сетевые каталоги с общим доступом. Сетевые ресурсы могут быть распределены с помощью единого дерева или нескольких деревьев DFS. Используя стандартные средства безопасности системы Windows 2000 Server, такие как права доступа для группы, можно ограничить доступ к томам DFS.

 

Дерево DFS является единым пространством имен DNS: имена DNS для томов DFS разрешаются относительно хост-серверов для дерева DFS. Служба каталогов Active Directory является посредником для ссылок на тома различных хост-серверов в дереве DFS.

Для пользователей дерево DFS обеспечивает единообразный и прозрачный доступ к соответствующим сетевым ресурсам. Все существующие в указанном ресурсе подкаталоги публикуются в системе DFS с указанием родительского каталога, как подкаталоги C++ и Java в предыдущем примере. Модуль клиента DFS встроен в протокол SMB (Server Message Block), автоматически устанавливающийся в системах Windows 2000 Server и Windows 2000 Server Professional.

 

Как работает система DFS

Структура, или топология дерева DFS публикуется в службе каталогов Active Directory, которая служит главным арбитром топологий для всех деревьев DFS. Кроме того, служба каталогов Active Directory реплицирует топологии DFS для всех деревьев DFS на каждом сервере корня DFS. Таким образом распределяется нагрузка между серверами-участниками и реализуется отказоустойчивость для корня DFS. Распределение данных по топологии DFS оптимизирует доступ пользователя к томам DFS. В случае отказа сервера-участника топология DFS восстанавливается и синхронизируется службой каталогов Active Directory при возвращении сервера в сеть.

 

В других отношениях службы каталогов работают для DFS точно так же, как и для стандартной файловой системы Windows 2000 Server. Например, после создания корня DFS он может быть опубликован в службе каталогов Active Directory как объект тома. Для доступа к тому может быть использовано любое средство-обозреватель службы каталогов.

 

Публикация в дереве DFS

Дерево DFS может быть расширено добавлением логических томов к корню DFS или к любому узлу ветвей DFS в дереве. Новый добавленный том DFS может указывать на одиночный каталог, не имеющий дочерних, на родительский каталог, на том или на целое дерево DFS (образуя поддерево). Пользователь с достаточными правами доступа может также обратиться к любым локальным дочерним каталогам, существующим в указываемом ресурсе или добавленным к нему.

Чтобы добавить том DFS не как лист, а как узел ветвей, который может иметь дочерние тома DFS, указываемый том или каталог должны находиться на сервере, работающем под управлением Windows 2000, на котором в настоящий момент работает служба DFS. Это необходимо для поддержки ссылок DFS на дочерние тома.

 

Безопасность

Помимо создания необходимых прав администратора, служба DFS никаких дополнительных мер безопасности не реализует. Кто именно может добавлять новый том DFS — определяется стандартными правами доступа, назначенными корню DFS или тому, к которому добавляется новый том.

Права доступа не соотносятся со структурой дерева DFS. Например, если пользователи имеют соответствующие права доступа к ресурсу, к которому они обращаются, они могут обратиться к нему в дочернем томе DFS, даже если не имеют прав доступа к родительскому тому. Однако в этом случае они не будут иметь права доступа ни каким файлам в этом дочернем томе DFS.

Реплики

Корни или тома DFS могут ссылаться на реплицированный набор общих ресурсов. Путем назначения альтернативных, реплицированных ресурсов корню или тому DFS можно обеспечить пользователям непрерываемый доступ к необходимым им файлам. Когда пользователь запрашивает подключение к DFS, используя имя DNS, служба DFS передает все реплики соответствующему клиенту DFS. Этот клиент DFS выбирает ближайшую реплику на основе топологии узлов, полученной от службы Active Directory.

 

Таким образом, если какая-либо реплика оказывается недоступной, клиент не должен запрашивать у сервера DFS другую. Если пользователь запрашивает подключение к DFS, используя имя в формате UNC, служба Active Directory не работает в этом подключении как посредник, и запрос передается непосредственно указанному серверу.

 

Назначение какой-либо реплики корню DFS обновляет топологию DFS на сервере Active Directory ссылками на новое дерево. Когда пользователь указывает имя DNS для запроса связи с корнем DFS, служба DFS передает клиенту все реплики для данного корня DFS. Этот клиент DFS выбирает ближайшую реплику на основе топологии узлов, полученной от службы Active Directory. Реплики для корней DFS могут использоваться для распределения больших объемов общих ресурсов в обширных контекстах, например между доменами, узлами или предприятиями.

 

Для обеспечения синхронизации реплик указанный ресурс для реплики должен располагаться в разделе NTFS системы Windows 2000. Реплики могут быть назначены только корням или узлам ветвей DFS (ресурс DFS Windows 2000 Server).

 

Совместимость

Ссылка на ресурсы на нижеследующих платформах поддерживается, только когда ресурс является оконечным листовым томом. К любым локальным дочерним каталогам, которые могут существовать в указанном ресурсе, доступ также возможен (при достаточных правах доступа).

 

Использование системы DFS

Система DFS особенно полезна, когда сайт удовлетворяет большинству нижеследующих характеристик.

·         Пользовательская база для сетевых ресурсов распределена по сайту или нескольким сайтам.

·         Большинству пользователей нужен доступ ко многим общим сетевым ресурсам.

·         Благодаря перераспределению общих сетевых ресурсов можно улучшить балансировку нагрузки в сети.

·         Пользователям нужен непрерываемый доступ к общим сетевым ресурсам.

 

Доступ к ресурсам

Дерево DFS является абстрактным представлением путей доступа и соглашений об именах, наиболее удобных для пользователей. Поскольку архитектуры сети и файловой системы для пользователей прозрачны, они не влияют на иерархию каталогов или на соглашения для пользовательского доступа. Это дает возможность централизованного и оптимизированного доступа к ресурсам на основе единого иерархического пространства имен. Пользователи могут просматривать дерево DFS, не зная физического местоположения ресурсов.

 

Более того, соответствующие томам DFS ресурсы могут быть изменены, и это не повлияет на структуру дерева DFS или на доступ пользователей. Плановое обслуживание файлового сервера, обновление программного обеспечения и другие работы, которые обычно требуют перевода сервера в автономный режим, могут быть выполнены без прерывания доступа пользователей. Например, если выбрать корень веб-узла в качестве корня DFS, можно перемещать ресурсы в пределах дерева DFS, не меняя HTML-связей.

 

Отказоустойчивость

Корень DFS отказоустойчив по своей конструкции. Топология каждого дерева DFS хранится в службе Active Directory и реплицируется на каждый участвующий в работе сервер корня DFS. Изменения дерева DFS автоматически синхронизируются службой Active Directory. Это гарантирует, что топологию DFS можно будет всегда восстановить в случае отключения корня DFS от сети по какой-либо причине. Отказоустойчивость может быть также реализована на уровне файла и содержимого назначением альтернативных ресурсов тому DFS.

Любой узел ветвей дерева DFS может быть обслужен в случае необходимости набором реплицированных ресурсов.

Если подключение клиента к одному из альтернативных ресурсов по какой-либо причине не удается, клиент DFS пытается установить связь с другим ресурсом. Клиент DFS просматривает имеющиеся альтернативы, пока не найдет доступный ресурс.

 

Балансировка нагрузки системы DFS

Несколько деревьев DFS могут быть размещены на сайте где угодно. Том DFS может представлять любой сетевой том или каталог на сайте, поэтому сетевые ресурсы можно распределять из соображений оптимальной работы сети, не принимая во внимание расположение связанных с ними пользователей. Поскольку ресурс, назначенный тому DFS, может легко быть изменен, балансировка нагрузки может быть динамическим процессом. Можно перемещать или добавлять ресурсы по мере надобности, и это никак не скажется на дереве DFS и не приведет к нарушению пользовательского доступа. Для назначения реплик корням или томам DFS следует при расчете балансировки нагрузки учесть трафик репликаций. Клиентские подключения оптимизированы с точки зрения запросов подключений на основе DNS. Клиент DFS автоматически выберет ближайшую реплику, основываясь на данных топологии сайта, но элементы набора реплик должны по-прежнему быть синхронизированы.

Службы печати системы Windows 2000 Server

С появлением системы Windows 2000 Server печать становится легче и гибче, чем была раньше. Среди ее новых возможностей есть следующие.

·         Печать по адресу URL через интрасеть или Интернет. Пользователи могут просто печатать документ на принтере в интрасети. Среди направлений применения можно назвать профессиональную печать, коммерческие службы гостиниц и передачу факсов по Интернету.

·         Просмотр очереди печати любым обозревателем. HTML-представления принтера и заданий печати генерируются системой Windows 2000 Server автоматически.

·         Загрузка и установка драйверов печати через Интернет. Если пользователь хочет напечатать что-то на чужом принтере через Интернет, драйвер может быть загружен и автоматически установлен на компьютере пользователя.

 

Поддержка самонастраивающихся устройств

Технология поддержки самонастраивающихся устройств (Plug and Play) серьезно упрощает процесс установки и настройки принтеров для рабочей станции и сервера. Пользователям больше нет необходимости знать что-либо о моделях драйверов, языках или портах принтера.

 

Кластеризация сервера печати

Организации могут воспользоваться службами кластеров систем Windows 2000 Advanced Server и DataCenter Server для обеспечения прозрачного восстановления после отказа для своих серверов печати, что дает наивысший уровень доступности.

 

Упрощенный интерфейс пользователя

Включает новые веб-представления папки принтеров и очередей для каждого принтера.

 

Интерфейс API управления цветом изображения — Image Color Management 2.0

Обеспечивает пользователям возможность передавать высококачественные цветные документы на принтер или на другой компьютер быстрее, проще и с большей степенью совместимости.

 

Поддержка UniDrive5

UniDrive5 обеспечивает улучшенную цветную печать, поддержку OEM-настройки (позволяющей разработчикам без дополнительных усилий использовать возможности печати) и общее увеличение быстродействия.

 

Подпись:  Интеграция со службой каталогов Active Directory

Используя стандартный объект-принтер, хранимый в службе каталогов Active Directory, пользователи легко могут получать общий доступ к принтерам и искать принтеры на сети. Искать принтеры в сети можно по таким атрибутам, как местоположение и возможности (см. рис. рядом). Система Windows 2000 Server также предлагает улучшенные средства установки для общих параметров сети, чтобы администраторам было легче устанавливать для принтеров умолчания, используемые во всей системе.

 

Интегрированные службы публикации в Вебе системы Windows 2000 Server

Система Windows 2000 Server со встроенными веб-службами обеспечивает интегрированную среду для публикации и организации общего доступа к данным через Интернет. Новые возможности публикации в Вебе системы Windows 2000 Server предназначены для поддержки различных сценариев поддержки веб-серверов — от простых веб-узлов корпоративной интрасети до больших веб-узлов поставщиков услуг Интернета. Возможности публикации в Вебе системы Windows 2000 Server состоят в следующем.

·         Упрощение публикации и организации общего доступа к данным по инфраструктуре на основе Интернета.

·         Предоставление полной платформы для размещения нескольких веб-узлов на одном сервере.

·         Интеграция последних стандартов Интернета для повышения уровня безопасности, быстродействия и поддержки стандартных протоколов публикаций.

 

Преимущества

·          Простота публикации и организа­ции общего доступа к данным.

·          Лучшая масштабируемость.

·          Более высокие уровни безопас­ности.

·          Большая доступность для вирту­альных веб-серверов.

 

 

 
Простота публикации и организации общего доступа к данным

Сегодня для организаций гораздо проще выполнять стандартные операции с файлами в общих папках, нежели на удаленном веб-узле. Например, если пользователь хочет сделать документ общедоступным во внутренней сети, он просто сохраняет этот документ в общей папке на сервере сети. Но если тому же пользователю необходимо опубликовать документ или создать новый каталог на общем сетевом ресурсе в Интернете, ему придется преодолеть некоторые сложности.

·         Управление файлами. Как пользователи выполняют стандартные операции с файлами при работе с общим ресурсом в Вебе?

·         Автономное редактирование. Как пользователи вносят изменения в автономном режиме, а потом синхронизируют их с сервером?

·         Управление содержимым. Каким образом несколько пользователей могут вносить изменения в общий документ одновременно, не уничтожая изменений, внесенных другими?

·         Клиенты на различных платформах. Каким образом различные клиенты публикуют информацию на веб-узле?

·         Безопасность. Каким образом администраторы гарантируют, что пользователи получат соответствующие права для выполнения конкретных операций с файлами, таких как чтение и запись?

 

Система Windows 2000 Server обеспечивает следующие возможности, позволяющие упростить организациям общий доступ к ресурсам и публикацию сведений в инфраструктре, основанную на веб-технологиях.

 

Распределенное авторское создание версий

Рабочая группа IETF (Internet Engineering Task Force), известная под именем WebDAV, предложила набор расширений к протоколу HTTP 1.1, которые делают возможной распределенное авторское создание версий. Новый протокол расширяет набор команд существующего протокола HTTP 1.1, включая в него команды для:

·         ресурса;

·         изменения свойств;

·         управления;

·         простой блокировки.

В настоящее время спецификации протокола не поддерживают создание версий, но вскоре ожидается дополнение к этим спецификациям. Рабочая группа находится в финальной стадии получения спецификаций протокола, принятых как предлагаемый стандарт. К моменту распространения данного документа проект для Интернета будет, вероятно, принят в качестве предлагаемого стандарта.

Корпорация Майкрософт (наряду с другими лидерами отрасли такими, как Netscape Communications Corp. и Novell Inc) играла ведущую роль в доработке этих спецификаций до их окончательного вида. Эта инициатива получила широкую поддержку как в отрасли, так и в академических институтах, например в Калифорнийском университете.

Система Microsoft Windows 2000 Server обеспечивает поддержку протокола DAV в рамках своей технологии информационных служб Интернета (IIS — Internet Information Services). Реализация протокола DAV основана на итоговом варианте проекта спецификации протокола (версия 8), которую группа IESG рассматривает как предлагаемый стандарт

 

Интегрированная поддержка серверным расшрениям FrontPage

Поскольку серверные расширения FrontPage® интегрированы с системой Windows 2000 Server, создание веб-узлов с помощью средства создания и управления веб-узлами FrontPage Web является таким же простым, как установка флажка на странице свойств веб-узла. Это позволяет организациям использовать серверные расширения FrontPage для развертывания и управления веб-узлами, работающих на сервере системы Windows 2000 Server.

 

Интегрированная служба FTP

Поддержка FTP интегрирована в систему Windows 2000 Server как часть сетевых служб. Этот простой протокол некоторое время был в ходу для публикаций данных на веб-сервере с помощью стандартного клиента FTP. В зависимости от используемого клиента интерфейс может быть интерфейсом командной строки или графическим интерфейсом пользователя.

 

Размешение нескольких узлов на одном сервере

Многие веб-узлы не требуют выделенного сервера для хранения их содержимого. Например, для веб-узлов отдела кадров, службы маркетинга и отдела сбыта могут требоваться ресурсы только одного сервера. Поэтому отделы информационных технологий не должны тратить дополнительное время и деньги на организацию и поддержку нескольких серверов.

 

Кроме того, поставщики услуг Интернета, осуществляющие размещение веб-узлов (от небольших до таких, которым требуется несколько серверов), нуждаются в платформе, которая может масштабироваться, чтобы обеспечивать возможность размещения как тысяч небольших узлов на одном сервере, так и одного узла на нескольких серверах. Система Windows 2000 Server построена основе многоузловой концепции, которая обеспечивается пакетом Windows NT Server 4.0 Option Pack, предоставляя более полную платформу для размещения нескольких веб-узлов. Организации, размещающие несколько веб-узлов на одном сервере, получат выгоду от следующих новых возможностей.

 

Несколько доменов пользователей

Благодаря интеграции между веб-серверами и службами каталогов в системе Windows 2000 Server организации получают возможность размещать несколько веб-узлов с независимыми доменами пользователей. Это значит, что любой веб-узел, например www.foo.com и www.foo2.com, на одном и том же сервере имеет собственную базу данных пользователей. Если, например, на обоих узлах может быть пользователь с именем Иван, каждый из них может иметь пользователя с этим именем в своей базе данных пользователей (mike@foo.com и mike@foo2.com). Более того, поскольку база данных пользователей интегрирована с системой Windows 2000 Server, каждый узел может воспользоваться преимуществами интегрированных служб каталогов и безопасности, что облегчает управление и поиск ресурсов и укрепляет безопасность.

 

Делегирование управления пользователями

Когда администраторы отделов информационных технологий или поставщики услуг Интернета принимают решение разместить несколько веб-узлов на одном сервере Windows 2000 Server, ежедневное управление этими узлами не всегда входит в круг их обязанностей. Если владелец узла хочет обеспечить безопасный доступ к каким-нибудь сведениям на этом узле, нужен кто-то, кто создаст пользователя или группу пользователей, которые будут иметь доступ к соответствующему защищенному содержимому узла. На большинстве платформ это требует следующего:

·         администратор должен предоставить полные права администрирования, распространяющиеся на весь сервер;

·         надо создать и поддерживать отдельную базу данных для хранения информации по учетным данным пользователя для каждого узла.

 

Поскольку безопасность системы Windows 2000 Server построена на базе службы каталогов Active Directory, администраторы сервера могут делегировать права администрирования, такие как создание учетных записей пользователей и назначение прав, независимо для каждого узла.

 

Учет процессов

Учет процессов сообщает данные о том, как независимые веб-узлы на одном сервере Windows 2000 Server используют ресурсы центрального процессора. Поставщики услуг Интернета могут использовать эту возможность, чтобы определить, какие узлы требуют выделения непропорционально больших ресурсов центрального процессора или, быть может, имеют неверно функционирующие сценарии или процессы CGI. Администраторы отделов информационных технологий могут использовать эти данные и для взыскания стоимости содержания веб-узла или приложения с соответствующего подразделения компании.

 

Регулировка центрального процессора

Используя регулировку центрального процессора, администраторы могут ограничивать процессорного времени, которое веб-приложение или веб-узел может использовать в течение определенного периода. Это гарантирует, что процессорное время достанется и другим веб-узлам и веб-приложениям.

 

Регулировка пропускной способности на веб-узлах

Администраторы сервера могут регулировать размер величины пропускной способности сервера, которую может использовать каждый веб-узел. С помощью этой функции поставщики услуг Интернета могут гарантировать заранее определенную величину пропускной способности каждому узлу. Это не позволит какому-либо узлу использовать всю доступную пропускную способность сервера.

Интеграция стандартных протоколов безопасности

Веб-службы полностью интегрированы в инфраструктуру безопасности Kerberos системы Windows 2000 Server. Пользователи могут безопасно удостоверять свою подлинность веб-узлу системы Windows 2000 Server, и их учетные данные могут передаваться для проверки подлинности другим ресурсам, например, базам данных. Помимо поддержки основной проверки подлинности на сервере Windows 2000 Server и проверки подлинности сертификации клиента система Windows 2000 Server поддерживает новые стандартные протоколы проверки подлинности.

 

Проверка подлинности по методу Digest

Проверка подлинности по методу Digest является последней версией стандарта проверки подлинности W3C. Она имеет явное преимущество над базовым стандартом проверки подлинности, в котором пароль может быть перехвачен и использован лицом, не имеющим на то права. Проверка подлинности по методу Digest предлагает те же возможности, что и базовая проверка подлинности, но использует другой способ передачи учетных данных для проверки подлинности. Учетные данные для проверки подлинности проходят через однонаправленный процесс, известный как хеширование. Результат процесса называется хэшем, или выборкой (digest) сообщения. Он не может быть расшифрован и не передает пароль по линиям связи. Проверка подлинности по методу Digest структурирована так, что ее можно использовать на прокси-серверах и других приложениях-брандмауэрах, и она доступна системе DAV (Distributed Authoring and Versioning — распределенное авторское создание версий). С помощью проверки подлинности по методу Digest организации могут предложить стандартным клиентам более безопасный и быстрый способ проверки подлинности на своих веб-узлах.

 

Криптография на серверах-шлюзах

Протокол SGC (Server-Gated Cryptography — криптография на серверах-шлюзах) является расширением протокола SSL, который позволяет финансовым институтам с экспортными версиями IIS использовать мощное 128-разрядное шифрование. Хотя возможности протокола SGC встроены в систему Windows 2000 Server, для его использования требуется специальный сертификат SGC.

 

Стандарт Fortezza

Система Windows 2000 Server поддерживает стандарт безопасности правительства США, обычно называемый Fortezza. Этот стандарт удовлетворяет архитектуре безопасности Defense Messaging System с механизмом шифрования, обеспечивающим секретность сообщений, их целостность, проверку подлинности и контроль доступа к сообщениям, компонентам и системам.

 


Службы мультимедиа Windows

Преимущества

·          Подчинение содержания мульти­медиа.

·          Поддержка различных скоростей передачи данных.

·          Лучшая масштабируемость.

·          Богатый набор средств создания содержания.

 

 
Службы мультимедиа Windows доставляют высококачественное потоковое мультимедиа пользователям Интернета и интрасетей и образуют фундамент для построения многообразных интерактивных приложений для коммерции, дистанционного обучения, доставки новостей и развлекательных программ и корпоративных связей. Эти службы состоят из сервера и инструментальных компонентов для передачи аудио, видео, иллюстрированного аудио и иных типов мультимедиа по сетям.

 

Службы мультимедиа Windows обеспечивают поддержку широкого диапазона пропускной способности для потокового мультимедиа — от 3 Кбит/сек до 3 Мбит/сек для передачи аудио и полноэкранного видео и до 16 Мбит/сек для сервера театра мультимедиа (Media Theater Server). Новый кодек MS Audio обеспечивает высококачественную передачу стерео и аудио по модемным подключениям с качеством звука, эквивалентным MP3-файлам, которые имеют в два раза больший объем.

Дополнительные сведения

Информационный документ. Обзор технологий мультимедиа под Windows

Данный документ дает технический обзор служб мультимедиа сервера Windows 2000 Server.

http://www.microsoft.com/ntserver/mediaserv/exec/prodstrat/nswp.asp

 

Информационный документ. Windows Media Services Planning and Deployment Guide

Этот документ сообщает администра­торам сервера и провайдерам сведе­ния, необходимые для планирования развертывания сервера Windows Media в том числе сведения о планировании емкости и масштабируемости.

http://www.microsoft.com/ntserver/mediaserv/deployment/planning/DeployGuides.asp

 

 
 


С помощью только команд сценария создатели можно осуществлять синхронизацию любых элементов мультимедиа с потоковым аудио и видео. Мигающие анимации, VRML, Javascript, VBscript, изображения, текст, элементы управления ActiveX или любое Java-приложение можно использовать в полностью синхронизированной мультимедийной презентации, которая будет работать как в обозревателе Microsoft Internet Explorer так и в обозревателе Netscape Navigator.

 

Службы мультимедиа Windows представляют собой масштабируемое решение поточного мультимедиа, которое может обрабатывать тысячи одновременных потоков с одного сервера с одним центральным процессором. Эти службы поддерживают многоадресность без подключения, давая поставщикам содержимого возможность направить единый поток информации сотням и тысячам получателей одновременно, требуя при этом куда меньшего использования пропускной способности, чем направление одноадресных потоков. Они также включают в себя службу разветвления, позволяющую администраторам экономически эффективно и легко распределять потоки по удаленным серверы мультимедиа, снижая сетевой трафик в глобальной сети.

 

Цифровое управление правами (Digital Rights Management) защищает аудио и видео содержимое от пиратства, требуя ключа лицензии для воспроизведения содержимого. Эта лицензия приобретается с узла владельца содержимого или может быть предоставлена через клиринговую организацию, например Reciprocal. Ключи лицензий не могут быть переданы и могут иметь срок действия, после которого воспроизведение содержимого становится невозможным. Проверка подлинности и авторизация содержимого выполняются легко благодаря тесной интеграции с системой Windows 2000 Server. Распределенные службы безопасности и дальнейшая интеграция с такими продуктами, как Microsoft Site Server, обеспечивают коммерческие службы с оплатой по просмотру и с повременной оплатой, а также персонализированную вставку рекламы в зависимости от предпочтений или местонахождения конечного пользователя.

Поддержка стандарта ASF (Advanced Streaming Format — усовершенствованный формат потоков) позволяет разработчикам содержимого и независимым разработчикам программного обеспечения использовать службы мультимедиа Windows в своих приложениях, создавая широкое разнообразие решений.

·         Сочетание живого и хранимого мультимедийного содержимого (например, новостей и развлекательных программ).

·         Электронная коммерция и интерактивная реклама с интегрированными видео и аудио материалами.

·         Службы с оплатой по просмотру и с повременной оплатой: коммерция, расчеты, управление и анализ.

·         Живое и по требованию обучение на базе Интернета.

·         Поддержка корпоративной связи (включая синхронизацию потока живого аудио или видео со слайдами графических презентаций программы PowerPoint 2000).

 

Службы мультимедиа Windows обеспечивают высочайшее качество для конечного пользователя, наилучшие средства авторизации для создателей содержимого и наиболее масштабируемую серверную платформу для выхода на самую широкую аудиторию.

 

Службы индексирования содержимого и поиска системы Windows 2000 Server

Преимущества

·          Более быстрый и легкий поиск с лучшим качеством.

·          Доступ к данным на локальном компьютере, на сети или в Интернете.

·          Доступ к файлам на смеси серверных платформ.

·          Сохранение соответствия вида средств поиска.

 

 
Системы Windows 2000 Server и Windows 2000 Professional включает набор унифицированных средств, позволяющих пользователям находить и использовать информацию и обмениваться ей обычным способом. Например, можно легко перейти от поиска файла или документа в сети к навигации по Интернету или к поиску адреса и телефона коллеги в службе каталогов Active Directory. Чем более сходным образом выполняются эти три вида деятельности, тем меньше времени придется тратить компаниям на обучение и поддержку сотрудников.

·         Искать быстрее, лучше и проще. Благодаря встроенной поддержки индексирования поиск файлов и папок стал быстрее и мощнее.

·         Поиск людей. Поиск адресов лиц в локальной адресной книге Windows и службах каталогов Веба.

·         Поиск содержимого в Интернете. Кнопка «Поиск» в обозревателе Microsoft Internet Explorer позволяет пользователям видеть одновременно и модуль поиска, и результаты поиска.

·         Поиск ресурсов в локальной сети. Система Windows 2000 Professional облегчает поиск файловых ресурсов и ресурсов печати в сети в том случае, когда пользователь подключен к домену системы Windows 2000 Server, где работает служба каталогов Active Directory.

 

Службы индексирования

Службы индексирования переносят мощь поиска в Интернете на корпоративные интрасети и узлы Интернета путем автоматического построения индекса веб-сервера пользователя, на котором легко может быть выполнен поиск при помощи любого веб-обозревателем с помощью шаблонов форм запроса. В системе Windows 2000 Server службы индексирования индексируют также и файловую систему, облегчая поиск файлов по их текстовому содержанию. Выполнять поиск по содержанию файлов пользователи могут, нажав кнопку «Пуск», щелкнув затем «Найти» и выбрав «Файлы и папки».

 

Службы индексирования позволяют конечному пользователю запрашивать индексы, целые документы, а также все, что хранится на каком-либо сервере IIS. Механизм поиска может находить документы почти любого формата, в том числе текст в документе Microsoft Word, статистику электронной таблицы Microsoft Excel или содержимое HTML-страниц. Службы индексирования можно применять в среде, где сервер должен работать круглые сутки без выходных. После первичной настройки все операции выполняются автоматически — в том числе автоматические обновления, создание и оптимизация индексов и восстановление после отказа в случае отключения питания.

 

Новые возможности индексирования для системы Windows 2000 Server включают в себя следующее.

·         Улучшенное управление индексами. У администраторов могут в большей степени управлять тем, какое содержимое должно индексироваться, что облегчает индексирование и поиск содержимого. Простая установка флажка для свойства на странице свойств файла может задать пофайловое индексирование для этого свойства.

·         Использование дополнений файловых систем NTFS. Благодаря NTFS индексирование становится более надежным и улучшается его быстродействие.

·         Интеграция со службой RSS. Содержимое, хранимое удаленным образом при помощи технологии управления иерархическими хранилищами (Hierarchical Storage Management), индексируется и может легко быть найдено с помощью интегрированных служб индексирования.


Тенденции и проблемы управления хранением информации

Перевод систем, играющих важную роль, в распределенные среды, увеличение числа приложений, работающих с интрасетью и Интернетом, и общий рост числа конечных пользователей предприятия — все это вносит свой вклад в быстрый рост объема хранимых в распределенных системах данных. По мере роста числа клиент-серверных систем в организации растет и число подсистем хранилищ информации. К сожалению, средства для удаленного управления и стандарты управления лишь недавно стали главным направлением на рынке распределенных систем.

 

Задачи

«Количество данных, хранимых в распределенных системах, за послед­ние десять лет выросло экспоненци­ально. С 1996 по1998 год количество данных на серверах Windows NT во всем мире выросло с 11 до 39 пета­байт. И этот взрывной рост не прояв­ляет тенденций к замедлению; не за горами время, когда на обычном сер­вере будет храниться более 100 гига­байт. Предполагается, что к 2002-му году количество данных на серверах Windows 2000 Server во всем мире превысит 260 петабайт.»

 

Strategic Research Corp. 1998 г.

 

 
Также меняется тип данных, хранимых в клиент-серверных системах. Основной вклад в эти изменения вносят расширение пространства Интернета и интрасетей и 32/64-разрядная архитектура. Прежде всего, рост популярности приложений, выполненных в стиле Интернета и интрасети, привел к росту объемов данных типа мультимедиа, требующих значительных объемов хранилищ информации. Далее, легкость в использовании и низкая стоимость владения приложениями такого рода породили тенденцию публикации данных, ориентированных на содержание, а не на приложение, как это было раньше. Данные с ориентацией на содержание варьируются от статических (например публикация в сети классической книги) до динамических (например публикация ежедневной газеты). И, наконец, поддержка 32/64-разрядной памяти приводит к появлению более мощных приложений, которые поддерживают приложения большего размера и более интенсивно использующие графику, что ускоряет процесс создания больших объемов данных и приводит к росту требований к объему хранилищ информации.

 

По мере роста популярности вычислительных клиент-серверных архитектур цена и сложность управления распределенными хранилищами также растут. В средах локальных сетей персональных компьютеров наблюдался годовой прирост расходов на управление хранением информации в 60% с 1993 г. Сегодня корпорации тратят более 120 миллиардов долларов на хранение и поддержку данных в распределенных системах.

 

В секторе отрасли, занимающимся проблемами хранения информации, наблюдается развитие как в области оборудования, так и в программном обеспечении, необходимом для удовлетворения растущих потребностей клиент-серверных вычислительных сред. Среди новаций есть новые устройства хранения информации, типы носителей, протоколы передачи данных и стандарты управления. Такие концепции хранения данных, как управление иерархическими хранилищами (HSM — hierarchical storage management), сменщики и библиотеки блочных носителей, диспетчеры хранилищ данных и отказоустойчивые подсистемы памяти вводятся многими различными поставщиками.

 

Требования к объему хранилищ будут возрастать и дальше, поскольку описанные выше тенденции — только начало новой волны в развитии средств хранения и управления хранением информации. По мере роста сложности хранилищ данных предприятия менеджерам отдела информационных технологий становится существенной задача эффективного управления этими хранилищами для успешного достижения краткосрочных и долгосрочных целей, связанных с использование компьютерных систем.

 

Требования

 

Облегчение управления хранением информации

При отсутствии централизованного контроля и управления распределенными системами приложения испытывают значительные простои, многие из которых вызваны отказами элементов, связанных с хранением информации. Отказы серверов и несогласованность доступа к данным прямо влияют на продуктивность работы и приводят к убыткам в бизнесе.

 

Проведя интервью с сотнями менеджеров информационных технологий, группа стратегических исследований (Strategic Research) определила, что централизованные сайты (сайты, использующие централизованные средства контроля и управления распределенными и централизованными хранилищами) обычно испытывают простоев более чем наполовину меньше, чем сайты, не имеющие таких средств. Среднестатистический централизованный сайт испытывает 26 часов простоя в год по сравнению с 54 часами простоя в год на децентрализованном сайте. По консервативным оценкам час простоя обходится в $80 000, а из этого следует, что централизованный сайт экономит в год более $2,2 миллиона долларов, связанных с простоями. (См. документы организации Strategic Research Corporation: Network Demographics, 1997; Database Operating Practices, 1998; Mission Critical Application Architecture; 1998 и Backup and Archive Profile, 1998 по адресу: http://www.sresearch.com.)

 

Снижение стоимости хранилищ

Стоимость управления мегабайтом памяти в распределенных системах снизилась с $8 за мегабайт в 1994 году до $3 за мегабайт в 1998 году, в большой степени в результате применения новых средств управления хранилищами, поддерживающими централизованное управление хранилищами в распределенных системах.

 

«Расшивка» хранилищ являющихся узкими местами

Управление хранилищами и их восстановлением — от этих понятий у многих менеджеров информационных технологий мороз по коже. Не менее 25 процентов обычного бюджета на вычислительные нужды предназначаются на создание хранилищ информации и управление ими, а также на другую деятельность, связанную с ними. Ограничения на объем хранилища также могут снизить полезность вычислительных средств предприятия, например, окончательная масштабируемость реализации приложений часто ограничена эффективностью имеющихся хранилищ информации и механизмов их восстановления.

Службы управления хранилищами системы Windows 2000 Server

Преимущества

·          Возможность добавления дисков без отключения памяти от сети.

·          Увеличение объема памяти без добавления дисков.

·          Проще организация общего доступа к устройствам памяти.

·          Резервные копии данных на разных устройствах памяти.

·          Легкость восстановления после отказа и ремонта системы.

·          Поддержка новаций в области оборудования.

 

 
Система Windows 2000 содержит коренные улучшения архитектуры памяти системы Windows NT и возможностей хранилищ, обеспечиваемых предыдущими версиями. Эти улучшения направлены на решения проблем предприятия, связанных с ростом расходов на хранение информации в больших средах и требованиями масштабируемости наиболее важных приложений, и одновременно поддерживают нововведения на рынке хранилищ информации. Система Windows 2000 Server предлагает улучшенную архитектуру подсистемы хранения информации, усовершенствованную файловую систему NTFS и широкий список новых устройств и приложений хранения информации.

 

Более простое управление хранилищами

 

Динамическое управление томом

Корпорация VERITAS Software предлагает технологию динамического управления томами (Dynamic Volume Management), реализованную как удаленное средство управления на базе консоли управления MMC, которое обеспечивает следующие возможности.

·         Оперативное управление дисками. Оперативные задачи управления могут выполняться без отключения системы или прерывания работы пользователей. Том может быть создан, расширен или отображен зеркально без перезагрузки системы. Можно также добавлять диски без перезагрузки.

·        

Дополнительная информация

Информационный документ. Память класса предприятия в системе Windows 2000

В данном документе дается обзор ключевых усовершенствований архитектуры памяти Windows NT.

http://www.microsoft.com/windows/server/Technical/fileprint/storage.asp

 

 
Самоописывающиеся диски. Метаданные, описывающие конфигурацию диска, хранятся на каждом диске и реплицируются. Самоидентификация дисков с VM-управлением гарантирует, что перенастройка контроллера диска и других дисков или передача владения кластеризованным диском выполняются без ошибок.

·         Упрощение работ и интуитивный интерфейс пользователя. Оснастка управления дисками проста в работе. Она предлагает контекстные меню, показывающие, какие работы можно выполнить с выбранным объектом. Мастера руководят созданием разделов и томов и инициализацией или обновлением дисков.

 

Служебная программа дефрагментации

Служебная программа дефрагментации дисков реорганизует кластеры на дисковом томе таким образом, что файлы, каталоги и свободное место становятся более непрерывными. В зависимости от степени фрагментации это может значительно улучшить общее быстродействие системы, связанное с операциями ввода-вывода на диске.

 

Подпись:  Служебная программа дефрагментации (см. рис. слева) будет работать с дисковыми томами, форматированными для файловых систем FAT, FAT32 или NTFS. В данном выпуске служебная программа дефрагментации запускается из командной строки. В следующем выпуске служебная программа дефрагментации будет полностью интегрирована с консолью управления MMC в качестве оснастки. Эта служебная программа выполняет две независимых фазы работы: анализ и дефрагментацию. При выполнении только анализа на дисковом томе не производится никаких изменений. В каждый момент может выполняться только один экземпляр служебной программы дефрагментации. В частности, не может одновременно выполняться дефрагментация двух дисковых томов.

 

Снижение стоимости хранилищ

 

Управление иерархическими хранилищами

Службы удаленного хранилища (RSS — Remote Storage Services) облегчают наращивание дискового пространства на компьютере сервера без добавления дополнительных жестких дисков. Службы RSS, предлагаемые фирмой Seagate Technology Inc., автоматически отслеживают объем свободного места на локальном жестком диске. Когда объем свободного места на управляемом первичном жестком диске становится меньше допустимого уровня, службы RSM автоматически удаляют данные, скопированные на удаленные носители памяти, освобождая место на диске, при этом сохраняя активными данные о каталогах и свойствах. Поскольку мегабайт память на съемных оптических дисках и лентах стоит дешевле, чем мегабайт на жестких дисках, это может оказаться экономичным способом обеспечить как максимум памяти, так и оптимальное локальное быстродействие.

 

Службы RSS используют заданный администратором набор правил для перемещения редко используемых файлов на долговременные устройства памяти — такие, как ленты или компакт-диски. Управление иерархическими хранилищами HSM использует точки повторной обработки для хранения данных о файле в файловой системе. Эти данные хранятся в файле-заглушке, содержащем точку повторной обработки, данные которой указывают на устройство, где находится истинный файл. Фильтр файловой системы может с помощью этой информации найти файл. На томе системы NTFS файл или каталог могут содержать точку повторной обработки, которая является набором пользовательских данных. Формат этих данных понятен приложению, которое хранит эти данные, и фильтру файловой системы, который установлен, чтобы интерпретировать эта данные и обрабатывать файл. Например, точки повторной обработки используются для реализации связей NTFS и сервера Microsoft Hierarchical Storage Management (HSM) Server.

 

Дисковые квоты

Системы Windows 2000 Professional и Server поддерживает дисковые квоты для томов, отформатированных с помощью NTFS. Пользователи с помощью дисковых квоты могут отслеживать и ограничивать использование дискового пространства. Когда пользователь превышает пороги предупреждения и пределы квот, автоматически регистрируются соответствующие события. Для широкомасштабного удаленного управления дисковыми квотами могут также быть определены политики. Отслеживание квот происходит для каждого пользователя и каждого тома, и пользователь отвечает только за те файлы, владельцем которых он является. Например, каждому пользователю может быть отведен лимит в 5 МБ места на диске C. Квота на диске C не влияет на квоту на диске D.

 

По соображениям безопасности, когда член группы администраторов локального компьютера создает новый файл, владельцем файла будет являться группа этого администратора. Например, если пользователь, являющийся членом группы администраторов, создаст новый файл, владельцем файла будет вся группа администраторов, а не этот конкретный пользователь. Поэтому для слежения за дисковыми квотами на индивидуальной основе такие пользователи должны входить в систему под отдельными именами учетных записей пользователей, которые не входят в группу администраторов.

 

Данные по квотам могут быть сохранены вместе с прочими данными по тому в процессе создания архивной копии. При восстановлении файла с архивной копии установленные квотой пределы не принимаются во внимание, если выполняющий восстановление пользователь имеет права на создание архивных копий.

 

I2O

В системе Windows 2000 Server имеется базовая поддержка для I20, поддержка специализированной платы для плат носителей и плат дисковых массивов RAID.

 

Технология Fibre Channel

Система Windows 2000 Server поддерживает Fibre Channel — технологию для передач данных со скоростью 1 гигабит в секунду, отображающую такие общепринятые транспортные протоколы, как SCSI и IP. Это открытый стандарт, определенный ANSI и OSI, который работает по проводным и волоконно-оптическим кабелям на расстоянии до 10 км. Поддержка хранилищ на базе технологии Fibre Channel реализована в системе Windows 2000 Server выделения слоев в стеке SCSI.

 

1394

Система Windows 2000 Server поддерживает IEEE 1394, стандарт для подключения быстродействующих периферийных устройств. Наиболее привлекательными атрибутами стандарта 1394 является простота подключения в сочетании с широкой пропускной способностью для мультимедиа. Среди преимуществ — единое подключение для аудиовизуальных данных и для управления.

«Расшивка» узких мест хранилищ

 

Диспетчер съемных носителей (RSM)

Такие задачи управления, как функции установки и съема носителя или дисковода сейчас выполняются служебной программой, называемой диспетчером съемных носителей (RSM — Removable Storage Manager), поставляемой фирмой HighGround Systems Inc. Диспетчер съемных носителей представляет собой общий интерфейс к роботизированным сменщикам носителей и библиотек носителей. Он позволяет нескольким приложениям иметь общий доступ к локальным библиотекам или магнитным лентам или дискам и управляет съемными носителями в рамках односерверной системы.

 

Архивирование в системе Windows 2000 Server

Фирма Seagate Software предлагает обновленную программу Windows 2000 Server Backup со следующими новыми возможностями.

·            Подпись:  Ориентация на носители вместо ориентации на ленточные устройства. Пользователи могут создавать архивные копии данных на различных магнитных и оптических устройствах хранения, также как и на лентах.

·            Задачи по управлению, такие как установка и съем носителя или диска, выполняются с помощью служебной программы RSM.

·            Служебная программа RSM предоставляет общий интерфейс к роботизированным сменщикам носителей и библиотек носителей.

·            Он позволяет нескольким приложениям иметь общий доступ к локальным библиотекам или магнитным лентам или дискам и управляет съемными носителями в рамках односерверной системы.

·            Служебная программа RSM дает администраторам возможность вставлять и извлекать носители, вести их учет, устанавливать и снимать носители и проверять информацию о состоянии.

Рис. 15. Служебная программа резервного копирования

Сервера Windows 2000 Server

 

 
 


Прочие усовершенствования системы архивирования включают новый интерфейс пользователя к мастерам архивирования и восстановления и доступ к сетевому окружению. Предыдущая версия программы Windows 2000 Server Backup была ориентирована на ленточные устройства. Пользователь выбирал ленточное устройство для работы. Далее программа Windows 2000 Server Backup выполняла запрошенные операции. После введения RSM система архивирования Windows 2000 Server Backup стала ориентированной на разные носители. Пользователь выбирает, какую магнитную ленту следует использовать, и программа RSM сама выбирает наилучшее ленточное устройство. Программа Backup определит, что работает программа RSM, и покажет имеющийся пул носителей. Если программа RSM не запущена, будут показаны ленточные устройства.

 

сетевые службы и серверы связи


Тенденции и проблемы

Задачи

«Администраторы сетей должны во-первых и в-главных сосредоточиться на связях сервера. Серверы образуют опорные пункты интрасети, экстрасети и/или среды электронной коммерции. Потраченные здесь деньги можно немедленно обратить в выигрыш в быстродействии, и каждый доллар будет потрачен самым эффективным образом с точки зрения освоения бюджета.»

 

IDC, Новая опорная среда локальных сетей. Технологический путеводитель, апрель 1998 г.

 

 
Для удовлетворения потребностей современных предприятий в обеспечении связи сети должны иметь меньшую стоимость, позволять компаниям осуществлять больший объем работ и обеспечивать такие решения, совместимые с уже имеющимися у компаний ресурсами. Чтобы этого достигнуть, сеть должна быть намного проще в установке, эксплуатации и управлении; она должна иметь полные возможности поддержки существующих и возникающих стандартов и должна быть недорогой.

 

Подстегнутые Интернетом, сетевые связи стали основной передающей средой для торговли, деловых отношений и общего доступа к данным. Сетевая связь открывают предпринимателям новые возможности для глобальной деятельности и расширения своих рынков. Чтобы реагировать на быстро меняющиеся условия, компании постоянно нужна внутренняя связь и связь с деловыми партнерами.

 

Требования

Чтобы создать бизнес без границ, пользователям требуются сетевые решения, допускающие широкий диапазон различных сценариев, соединяющие удаленных пользователей с сетями корпорации, Интернетом и партнерами и интегрированные с телефонными сетями

 

Создание гибких и простых в эксплуатации корпоративных сетей

Компаниям требуются сетевые решения для широкого набора сценариев — от небольших филиалов до опорных сетей корпорации, от мобильных пользователей с переносными компьютерами до сотрудников офиса на рабочих станциях старших моделей. Это включает поддержку для уже имеющихся испытанных сетевых технологий и поддержку для возникающих высокоскоростных гигабитных сетей.

 

Подключение удаленных пользователей к корпоративной сети

Глобальное партнерство предприятий и нехватка специалистов порождают необходимость в мобильности, географической гибкости и простоте. Людям нужны средства, расширяющие их сети и офисы таким образом, чтобы время переездов можно было сделать более продуктивным.

 

Подключение филиалов к корпоративной сети

Предприятия переходят к использованию удаленных офисов для тех, кто работает вне основного офиса компании; для этого нужно держать соответствующие сайты подключенными к сети корпорации, чтобы сеть географически покрывала более обширный рынок.

 

Подключение сетей корпорации к Интернету и сетям партнеров (экстрасетям)

Предприятиям необходимо делиться информацией с партнерами и клиентами, чтобы иметь конкурентные преимущества и улучшить обслуживание клиентов.

Интеграция сетей данных с голосовыми службами и сетями

Все больше данных о клиентах, продуктах и торговле передаются автоматически по голосовым системам. Эта служба требует более интеллектуальной обработки вызовов, и предприятия ищут способы сотрудничества с помощью голосовых и видео служб по корпоративным сетям. Сетевое решение может помочь в консолидации связей и устранении расходов на содержание отдельных инфраструктур для голосовой связи и связи для передачи обычных данных.

Преимущества

·          Поключение ко всем ключевым сетям.

·          Снижение трафика репликаций.

·          Централизованное обеспечение устойчивой безопасности

·          Простота контроля распределения полосы пропускания.

 

 
 


Сетевые службы и службы связи системы Windows 2000 Server

Система Windows 2000 Server предоставляет решения, используемые для поддержки службы связи в ключевых сценариях эксплуатации сети, обеспечивающие бесперебойную работу организаций без ограничений по времени и местоположению.

 

Настройка и управление сетями различного масштаба

Система Windows 2000 Server обеспечивает основу для осуществления полномасштабной поддержки сетевых служб в частных и общедоступных сетях.

 

Дополнительные сведения

Информационный документ. Обзор WINS

В данном документе дается обзор новых возможностей и усовершенствований сервера WINS, клиента WINS и диспет­чера WINS.

http://www.microsoft.com/windows/server/Technical/networking/wins.asp

 

Информационный документ. Обзор DHCP

В данном документе дается обзор DHCP, включая интеграцию с DNS, улучшенное слежение и интеграцию с Active Directory.

http://www.microsoft.com/windows/server/Technical/networking/dhcpnt5.asp

 

Информационный документ. Cеть «Plug and Play» с автоматической адресацией IP частной сети (APIPA — Automatic Private IP Addressing)

Данный документ предлагает обзор адресации APIPA , обеспечивающей для сети возможность «plug-and-play» за счет назначения уникальных резер­вированных адресов IP хост-машинам частной локальной сети.

http://www.microsoft.com/ntserver/windowsnt5/techdetails/techspecs/APIPA10.asp

 

 
Гибкое, полномасштабное управление протоколом IP, интегрированное с сетевой операционной системой

Службы имен и адресации системы Windows 2000 Server обеспечивают гибкость и простоту в управлении сетями и могут взаимодействовать с другими системами именования и адресации.

·         Аналогично серверу Windows NT Server 4.0, система Windows 2000 Server поддерживает службы DHCP, DNS и WINS в целях упрощения назначения адресов и разрешения имен. Новым в системе Windows 2000 Server является поддержка динамической DNS, интеграция службы каталогов Active Directory с DHCP и DNS и агентом ретрансляции для DHCP.

·         Управление адресами и именами по протоколу IP упрощается благодаря интеграции со службой каталогов Active Directory. Пользователи могут применить службу каталогов Active Directory для репликации и синхронизации имен DNS по всей корпоративной сети. Это устраняет необходимость поддерживать для DNS отдельную службу репликации. Интегрированные службы DHCP и динамической DNS будут использовать зарегистрированные в каталоге данные для служб назначения адресов и имен. Когда служба DHCP назначает адрес, система DNS и служба каталогов Active Directory динамически обновляются. Это позволяет администраторам с легкостью переназначать IP-адреса для конечных систем, и разрешение имен обновляется автоматически, так что имена могут быть найдены без вмешательства, осуществляемого вручную.

·         Взаимодействие между службами DHCP и DNS помогает защитить вложения в существующие службы. Пользователи имеют возможность использовать унаследованные системы IP-адресации и системы управления именами с современными службами DHCP, агентом ретрансляции для DHCP и DNS-системами Windows 2000 Server. Стандартный перенос зоны и поддержка ссылок гарантируют, что служба DNS системы Windows 2000 Server взаимодействует с другими DNS для разрешения адресов предприятия и Интернета. Это дает пользователям возможность использовать у себя в сети интегрированные службы Active Directory, в то же время сохраняя возможность взаимодействия с Интернетом и другими системами DNS корпорации. Например, компания может развернуть службу каталогов Active Directory, интегрированную с системой DNS и протоколом DHCP в центральной части своей сети, взаимодействуя при этом с унаследованными серверами DNS. С течением времени инфраструктура IP-управления на базе службы каталогов Active Directory может расширяться, а взаимодействие с внешними службами DNS при этом сохраняется.

 

Гибкость подключения

Компании могут гибко подходить к выбору типа сетей, необходимых для поддержки существующих вложений и дальнейшего развития с помощью высокоскоростных инфраструктур.

 

Имея в своем распоряжении систему Windows 2000 Server, пользователи теперь могут выбрать для подключения к высокоскоростным опорным сетям стандарты ATM или Gigabit Ethernet. Подключения с использованием вариантов технологии xDSL (Digital Line Subscriber), таких как адаптеры ADSL (Asymmetric Digital Subscriber Line), также могут быть использованы для подключения удаленных пользователей — для убыстрения связи по обычным телефонным линиям.

 

Поддержка уже использующихся протоколов

Как и в случае сервера Windows NT Server 4.0, пользователи могут защитить вложения в существующие системы благодаря поддержке протоколов IPX и AppleTalk.

 

Управление шифрованием на основе политики

Система Windows 2000 Server включает в себя мощную, основанную на политике систему управления сетью по открытым стандартам IETF.

 

Благодаря тесной интеграции предложенного группой IETF стандарта для безопасного протокола IP (IPSec) в систему Windows 2000 Server, администраторы могут централизованно управлять политикой подключений между системами и осуществлять ее с сохранением полной прозрачности для существующих приложений. Например, централизованный набор политик позволяет осуществлять на практике следующие требования.

 

·         Допускать незашифрованную связь между клиентами и серверами для пересылки несекретных данных.

·         Требовать зашифрованной связи между клиентами и серверами для пересылки секретных данных

·         Требовать безопасных туннельных подключений для всех VPN-подключений к Интернету

 

Эти дополнительные возможности в базовых конфигурациях для администраторов прозрачны, но могут быть использованы и в средах, где центральное управление политикой подключений является важным. Для конечных пользователей эта возможность полностью прозрачна, поскольку система Windows 2000 Server автоматически адаптирует шифрование к указанной политике.

 

Управление качеством и классом службы на основе политики

Администраторы могут управлять приоритетами трафика и уровнями службы, пользуясь преимуществом, предоставляемым возможностями управления качеством и классом службы системы Windows 2000 Server. Система Windows 2000 Server поддерживает предложенный группой IETF стандарт RSVP для качества службы (QoS) и стандарт IETF для управления различными классами служб (CoS).

 

Служба RSVP является службой, работающий на основе принципа «запрос-разрешение», когда запрошенное клиентом резервирование ресурсов предоставляется или не предоставляется на основе централизованной политики и в зависимости от доступности сетевого ресурса. Политика для служб RSVP может быть установлена администратором для пользователей и приложений. Эти политики хранятся в службе каталогов Active Directory и используются сетью для удовлетворения или отказа в запросах рабочих станций на резервирование QoS.

Дополнительные сведения

Информационный документ. Технология качества службы Windows

Вданном документе описано, каким образом QoS позволяет администра­торам сети развертывать приложения QoS по сетям IP и другим сетям.

http://www.microsoft.com/ntserver/windowsnt5/techdetails/prodarch/winquality.asp

 

 

 
 


Службы RSVP помогают повысить уровни служб для приложений, требующих соответствующей пропускной способности или времени отклика — например, голосовая связь по протоколу IP может пользоваться резервированной пропускной способностью и временем отклика для обеспечения хорошего качества звука. Это особенно существенно для глобальных сетей с небольшой пропускной способностью. Для таких приложений система Windows 2000 Server будет маркировать пакеты и договариваться об обмене сигналами с маршрутизаторами, поддерживающими RSVP. Это позволяет администраторам выделять пропускную способность и время отклика для обеспечения высокого качества звучания. Для существующих приложений, которые не интегрированы в запросы на резервирование QoS, в пакете ресурсов предлагается средство, которое будет выполнять заказы на пропускную способность и время отклика от имени приложения. Это позволит администраторам реализовать QoS без необходимости изменения приложения.

 

Для приложений, выполняющих важные задачи, где резервирование не имеет смысла из-за скачкообразной природы потребностей приложения в установлении связи, дифференцированное обслуживание позволяет устанавливать приоритеты связей для соответствующей их обработки в сетевых очередях. Сетевые администраторы устанавливают политику, которая может быть настроена на хост-компьютерах, работающих под управлением системы Windows 2000 Server, которые в дальнейшем маркируют пакеты приложений для определения приоритетов обслуживания. Сетевые коммутаторы и маршрутизаторы могут предоставить соответствующим пакетам преимущество в обслуживании. Например, можно установить политику, определяющую для электронной почты более высокий приоритет, чем для всего остального сетевого трафика.

 

Подключение удаленных пользователей к корпоративным сетям

Преимущества

·          Упрощенное подключение для мобильных пользователей.

·          Адекватный доступ.

·          Снижение затрат на поддержку.

·          Улучшенная безопасность.

 

 
Система Windows 2000 Server облегчает конечным пользователям удаленный доступ и существенно снижает затраты на поддержку.

 

Возможность поддержки мобильных пользователей приобретает в наши дни критическое значение; в свою очередь, конечным пользователям требуется простота. Люди не хотят и не должны знать, какая технология используется для их подключения к сети, они хотят быстро подключаться, чтобы получать нужные им данные. Кроме того, такие пользователи не должны быть озабочены проблемой проведения ручной настройки в целях соблюдения требований корпоративной политики безопасности и шифрования. Кроме обеспечения этих возможностей и преимуществ для сетей различного масштаба, система Windows 2000 Server обеспечивает следующие важные возможности для подключения удаленных пользователей к корпоративным сетям.

 

Согласованный доступ независимо от вида подключения

Система Windows 2000 Server позволяет пользователям быстро и легко подключаться к корпоративной сети из дома или находясь в поездке. Пользователи могут подключаться по коммутируемым удаленным связям, по связям ISDN или ADSL или через Интернет посредством VPN-подключений. Компаниям это позволяет снизить расходы, держа у себя оптимальное число модемов для прямых подключений, а дополнительные коммутируемые удаленные связи осуществлять через внешних поставщиков услуг Интернета.

 

Подпись:  Подключения управляются единым интерфейсом, который дает пользователям возможность адекватно подключаться, не делая различий между прямым подключением и VPN-подключением. В момент подключения рабочая станция динамически адаптируется к корпоративной политике безопасности и проверки подлинности, определенным в службе каталогов Active Directory.

 

Пользователи могут устанавливать не только коммутируемые удаленные VPN-подключения, обеспечиваемые их поставщиками услуг Интернета, но также подключаться через виртуальные частные сети (VPN), используя подключение к другой сети, например, пользователь может находиться в помещении фирмы-партнера и подключиться к сети этой фирмы при помощи контролируемой учетной записи гостя. Если это допускается политикой компании и партнера, этот пользователь может установить VPN-подключение по Интернету к сети своей корпорации и получить доступ к нужным ресурсам без необходимости поиска линии коммутируемой удаленной связи.

Рис. 16. Мастер подключения к сети

 

 
 


Снижение стоимости поддержки

Система Windows 2000 Server включает в себя средства администрирования, позволяющие компаниям настроить управление интерфейсом пользовательских подключений в целях уменьшения стоимости поддержки и упрощения доступа.

 

Телефонный справочник, средство служб точек подключения, автоматически распространяет телефонные номера коммутируемых удаленных подключений и поставщиков услуг Интернета всем пользователям при каждом подключении (прямом или через сеть VPN). В результате этого, когда пользователь подключается с помощью диспетчера подключений, у него есть нужные номера телефонов, и поэтому число звонков во вспомогательные службы организации с просьбами поддержки удаленного доступа снижается примерно на 25 процентов. С помощью средств администрирования можно также настроить диспетчер подключений на выполнение следующих действий.

·         Использование определенных пользователем заставочных экранов, поддержка определенных телефонных номеров и экранов с информацией о лицензии или инструкциями по эксплуатации сети.

·         Автоматический запуск других приложений на определенных этапах подключения (например, запуск электронной почты при установке подключения и прекращение ее действие после отключения).

·         Интегрирование номеров коммутируемых удаленных подключений и номеров поставщиков услуг Интернета в единый экран с выделением специальных номеров для междугородной (платной) телефонной связи.

Выбор протоколов VPN

Система Windows 2000 Server дает компаниям возможность гибкого выбора между тремя главными протоколами виртуальных частных сетей VPN: PPTP, L2TP, IPSec, а также возможность использовать их в нужных компании сочетаниях.

 

IPSec является предлагаемым стандартом группы IETF, использование которого становится все более популярным при шифровании и осуществлении доступа посредством VPN. Применяя инфраструктуру шифрования открытым ключом, протокол IPSec можно использовать для шифрования всего трафика протокола IP для поддержки безопасных связей через VPN. Если в подключении через VPN используются существующие сейчас протоколы (такие, как IPX), пользователи могут выбрать протокол L2TP с возможностью шифрования IPSec. Если пользователи хотят при работе с VPN использовать более простую инфраструктуру шифрования, чем та, которая обеспечивается открытым ключом, или желают защитить существующие вложения, они могут использовать протокол PPTP. Например, если компания не может оправдать затраты на инфраструктуру открытого ключа, она может использовать протокол PPTP для обеспечения простой, надежной и безопасной связи через сеть VPN благодаря использованию принципа шифрования на основе «общего секрета». Для компаний, сделавших вложения в инфраструктуру открытого ключа, комбинация протоколов IPSec и L2TP может обеспечить VPN-подключения стандарта IETF.

 

Безопасность и шифрование, управляемые политикой

Система Windows 2000 Server позволяет администратору задать групповую политику службы каталогов Active Directory для полного контроля над протоколами удаленного доступа, временем использования, видом использования, шифрованием и проверкой подлинности. Эта возможность предназначена для решения одной из самых трудных задач администрирования удаленного подключения, обеспечивая при этом снижение затрат и повышение безопасности.

 

Например, администратор может установить подробные политики типа «Для пользователей из отдела продаж, которые подключаются через сеть VPN, использовать только протокол PPTP со 128-разрядным шифрованием по стандарту RC4 и проверкой подлинности с использованием процедуры MS-CHAP и разрешать подключения только между 8:00 и 21:00, когда работает персонал, обслуживающий линии поддержки» или «Предоставлять всем руководителям круглосуточный коммутируемый удаленный доступ, а для всех остальных доступ ограничить подключениями через VPN для снижения числа модемных подключений». Поскольку такие политики являются частью службы каталогов Active Directory, они будут применяться должным образом во всей компании.

 

Возможность передачи полномочий на проверку подлинности при VPN-подключениях

Система Windows 2000 Server обеспечивает гибкость выбора методов проверки подлинности.

 

Пользователям может понадобиться войти в сеть по учетной записи своего поставщика услуг Интернета перед установкой VPN-подключения к корпоративной сети. Здесь у пользователя будет идентификатор и пароль, отличный от того, который определяется учетной записью в корпоративной сети. При таком способе пользователь должен выполнить два входа в систему при одном вызове для подключения к корпоративной сети. Такое решение обеспечивает наилучшую безопасность для VPN с незначительным снижением прозрачности для пользователя.

 

Компания может в качестве варианта установить соглашение с поставщиком услуг Интернета о том, что для проверки подлинности ISP-подключения будет применяться протокол RADIUS, использующий службу каталогов Active Directory компании. Это означает, что пользователь при коммутируемом удаленном подключении к поставщику услуг Интернета указывает свой индентификатор и пароль в компании, причем только один раз, и устанавливает VPN-подключение к корпоративной сети. Таким образом, VPN-подключение становится проще для пользователя. Кроме того, при этом не надо заводить отдельную учетную запись у поставщика на каждого пользователя, который будет подключаться через VPN. В этом случае при добавлении пользователей в службу каталогов Active Directory или удалении из нее, они автоматически будут приобретать или терять возможность подключаться через поставщика услуг Интернета. Такой вид подключения также может принести клиенту экономические выгоды — в зависимости от методов расчетов и обслуживания у поставщика услуг Интернета.

 

Это своего рода компромисс между безопасностью и удобством, поскольку передача полномочий на проверку подлинности протоколу RADIUS более уязвима по отношению к попыткам взлома, чем отдельное ведение учетных записей пользователя у поставщика услуг Интернета и в корпорации. Рассматривая такой вариант, администраторы должны тщательно оценить необходимый уровень безопасности.

 


Подключение филиалов и подсетей к корпоративным сетям

Система Windows 2000 Server предлагает полнофункциональные и простые в работе средства для поддержания недорогих подключений между филиалами, подсетями и корпоративными сетями. Установка внешнего почтового отделения с несколькими узлами или подключение отдела к маршрутизированной корпоративной сети выполняется с помощью системы Windows 2000 Server одинаково просто и экономично.

Система Windows 2000 Server, интегрированная с программируемой инфраструктурой сети, включает в себя богатый набор служб маршрутизации и шлюзования, удовлетворяющих различные потребности.

 

Гибкое подключение

Преимущества

·          Централизованное управление сетями филиалов.

·          Выбор вариантов подключения.

·          Снижение стоимости подключений.

·          Исключение необходимости покупать негибкое оборудование.

 

 
Администраторы могут выбирать любой из поддерживаемых вариантов подключения, чтобы определить систему Windows 2000 Server как маршрутизатор с доступом к различным сетям. Помимо подключений с физической коммутацией, ретрансляцией кадров, с использованием стандартов ISDN или X.25, может существовать подключение в виде прямого подключения к корпоративной сети или VPN-подключения филиала по протоколу PPP через Интернет. Это значит, что компании могут подключать филиал через более дешевые ISP-подключения и получать доступ к сети компании через подключение к поставщикам услуг Интернета или поддерживать максимальный контроль безопасности и быстродействие через прямые подключения. Разумеется, те же преимущества VPN-подключений для филиалов распространяются и на индивидуальных удаленных пользователей.

 

Динамическое выделение пропускной способности

Стоимость связи можно контролировать с помощью динамического контроля выделения пропускной способности системы Windows 2000 Server.

 

Вот пример: когда нагрузка на сеть возрастает в результате обращения нескольких пользователей к мультимедийной презентации в Интернете, система Windows 2000 Server может открыть дополнительный канал для соответствующего увеличения пропускной способности. Когда пользователи заканчивают сеанс и трафик падает до обычного уровня, лишний канал динамически закрывается для снижения расходов на подключение.

 

Службы маршрутизации и шлюзования

Система Windows 2000 Server включает в себя полный набор служб маршрутизации и шлюзования для гибкого подключения филиалов или периферийных сетей к корпоративной сети.

 

Стандартные протоколы, такие как OSPF, RIP и RIP для IPX позволяют системе Windows 2000 Server маршрутизировать пакеты IP и IPX, взаимодействуя со специализированными маршрутизаторами. Маршрутизаторы могут быть настроены на использование протоколов PPTP, L2TP или IPSec, что позволяет администраторам безопасно направлять трафик на внешние глобальные сети через Интернет. На сервере филиала можно установить гибкую настройку служб DNS и DHCP для централизации контроля или увеличения независимости в управлении адресами. Служба DCHP может быть полной службой DHCP для автономной работы или же использоваться в качестве «распределителя», назначающего клиентам филиалов адреса из конкретной определенной на уровне корпорации области. Это означает, что компании могут выделять в управление филиалам собственные пространства IP-адресов или доверять центральным администраторам управления адресами посредством службы каталогов Active Directory.

Альтернативный способ: агент ретрансляции DHCP допускает назначение адресов центральным сервером, расположенным в произвольном месте сети (при условии, что установлено подключение к корпоративной сети). Можно также настраивать сервер филиала как полный сервер DNS, прокси-сервер DNS, или перенаправлять запросы DNS на сервер DNS в другой сети.

 

Многоадресные службы

Филиалы могут принимать участие в работе многоадресных сетевых приложений корпорации посредством служб IGMP системы Windows 2000 Server.

 

При этом не только система Windows 2000 Server зарегистрирует себя как клиента многоадресного сеанса, но и ее службы маршрутизации будут транслировать многоадресный трафик клиентам филиалов. Например, рабочие станции филиала могут участвовать в сеансах Windows Media, используя одно общее подключение к корпоративной сети через систему Windows 2000 Server. Многоадресный трафик передается единовременно на этот сервер, откуда рассылается как многоадресный на рабочие станции филиалов. В сочетании с использованием динамического выделения пропускной способности филиалы могут эффективно участвовать в мультимедийных совещаниях корпорации при минимизации расходов на подключение.

 


Подключение к Интернету и сетям партнеров

Преимущества

·          Легкость подключения к Интернету.

·          Снижение затрат на подключение к интернету.

·          Более безопасное подключение к Интернету и экстрасетям.

 

 
Система Windows 2000 Server обеспечивает безопасные сетевые службы для общедоступных и частных сетей. Все больше растет значение организации общего доступа к данным с партнерами по торговле. Такой доступ может осуществляться в различных формах — от простого доступа через Интернет и безопасного доступа к файлам и до прямого доступа к базам данных. При подключении предприятий к другим сетям ключевыми вопросами являются простота и безопасность доступа. Система Windows 2000 Server облегчает подключение к другим сетям и включает в себя множество ключевых возможностей безопасности. Эти возможности могут быть расширены на поставляемые независимыми производителями дополнительные службы брандмауэров, надстроенные над программируемой инфраструктурой.

Подпись:

 

Рис. 18. Подключение сети небольшого офиса к Интернету

 

Простота подключения

Мастера подключения быстро проводят пользователя по всем этапам, необходимым для установки подключения. К подключениям легко можно обратиться или добавить новые с помощью средств управления подключениями, доступных в при выборе команды «Свойства» в окне «Сетевого окружение». Эти средства помогают быстро определить коммутируемое или VPN-подключение клиента, создать подключение, которое позволяет другому компьютеру вас вызвать, а также создать прямое подключение компьютера к другому компьютеру по последовательной линии связи.

 

Кроме того, общий доступ к подключению Интернета, обеспечиваемый системой Windows 2000 Server, предоставляет необходимые функции для простого создания частных сетей, включающих несколько компьютеров, и позволяет объединенным в сеть компьютерам пользоваться одним и тем же подключением к Интернету. Общий доступ к подключению Интернета состоит из функции трансляции сетевых адресов (NAT — Network Address Translation), DHCP-распределителя адресов и прокси-сервера DNS. Функция NAT скрывает от внешних сетей внутренние IP-адреса, транслируя личный внутренний адрес в общий внешний адрес.

 

Это снижает стоимость регистрации IP-адресов, поскольку клиенты могут использовать незарегистрированные IP-адреса внутри организации, транслируя их в небольшое число зарегистрированных IP-адресов при выходе во внешние сети. При этом также скрывается структура внутренней сети, что снижает риск, связанный с несанкционированным проникновением во внутреннюю систему организации. DHCP-распределитель адресов обеспечивает автоматическую настройку адресов для всех компьютеров и принтеров сети. Прокси-сервер DNS передает запросы на трансляцию имени и адреса от компьютеров сети серверу DNS в Интернете. Возможности общего доступа к подключению Интернета обеспечивают простой способ определения пула компьютеров с IP-подключением и снижает затраты на приобретение IP-адресов, поскольку IP-адреса компьютеров группы являются личными и используются только внутри организации.

 

Безопасность сети

Дополнительные сведения

Информационный документ. Безопасность IP для сервера Windows 2000 Server

Этот документ описывает реализацию протокола IETF IP Security для сервера Microsoft Windows 2000 Server.

http://premium.microsoft.com/msdn/library/backgrnd/html/msdn_ip_security.htm

 

 
Система Windows 2000 Server включает множество ключевых функций безопасности для подключения сети корпорации к Интернету и к сетям партнеров. Эти возможности безопасности характеризуются в терминах проверки подлинности, шифрования, фильтрации и скрытия. Для проверки подлинности партнеров при доступе к сети корпорации можно установить учетные записи партнеров и управлять ими на основе строго определенной политики. Проверка подлинности таких пользователей может выполняться непосредственно с помощью протоколов проверки подлинности Windows 2000 Server или косвенно с помощью протокола RADIUS. Для усиления мер безопасности при работе с партнерами можно применять смарт-карты.

 

Чтобы защитить информационное содержимое от просмотра в промежуточных сетях, пользователи могут шифровать все данные, передаваемые через Интернет или конкретным пользователям в сетях партнеров. Подключения к сетям компаний могут выполняться посредством маршрутизированных подключений к Интернету или прямых подключений. Групповые политики, установленные для служб IPSec системы Windows 2000 Server могут гарантировать, что безопасные VPN-подключения для партнеров устанавливаются точно так же, как и для пользователей и филиалов корпорации. Также важно защитить сеть от попыток взлома, ограничив трафик с помощью фильтров. Система Windows 2000 Server предлагает фильтры пакетов IP и IPX как часть служб маршрутизации для филиалов и периферийных сетей. Это позволяет администратору ограничить виды разрешенного доступа в сеть и из сети в зависимости от сетевых адресов и портов, а также помогает ограничить трафик к конкретным системам.

Другой вид фильтрации — это скрытие того, как выглядит сеть, от Интернета и сетей партнеров. Система Windows 2000 Server включает в себя функцию трансляции сетевых адресов (NAT — Network Address Translator) и прокси-сервер DNS. Служба NAT транслирует личные внутренние адреса и порты в общедоступные адреса и порты. Таким образом, внутренние IP-адреса остаются скрытыми от внешних сетей, что сужает возможности тех видов атак, которые основаны на знании IP-адресов. Прокси-сервер DNS передает запросы DNS внешнему серверу DNS от имени систем-клиентов и перенаправляет ответ этим клиентским системам. Таким образом, запрашивающая система-клиент скрыта от сервера DNS. И, наконец, если требуется непрерывный контроль за подключениями, при которой необходимо проведение проверки веб-приложений на заражение вирусами «на лету» или необходимо использование служб кэширования для доступа в Веб, пользователи могут добавить службы брандмауэра, подобные прокси-серверу (Microsoft).

Компании все шире проводят интеграцию телефонных сетей и систем обработки и передачи информации, чтобы улучшить поддержку пользователей, предоставить доступ к данным при помощи голосовых систем, консолидировать сетевую инфраструктуру. Система Windows 2000 Server помогает пользователям достичь этого несколькими способами.

 

Возможности телефонии системы Windows 2000 Server в сочетании с преимуществами удаленного доступа и решениями для филиалов дают предприятиям новые способы поддержки центров удаленного вызова и агентов удаленного доступа. Компаниям требуется все больше специалистов для работы в центрах удаленного вызова, возрастают также потребности больших компаний в разнообразных средствах связи. Поэтому в системе Windows 2000 Server предусмотрены возможности телефонии, предоставляющие новые способы поддержки агентов при сохранении обеспечения голосовой связи и доступа к данным.

 

Система Windows 2000 Server как платформа для голосовой связи и обработки вызовов

Дополнительные сведения

Информационный документ. Телефония IP с интерфейсом TAPI 3.0

Этот документ описывает интерфейс TAPI 3.0 – революционный интерфейс API, обеспечивающий конвергенцию традиционной телефонии PSTN и телефонии IP.

http://www.microsoft.com/windows/server/Technical/networking/iptelephony.asp

 

 
Система Windows 2000 Server предлагает богатую среду разработки для создания безопасных приложений с полным набором возможностей для голосовой связи и обработки вызовов.

 

Открытая программируемая сетевая инфраструктура содержит службы интерфейса телефонии API (TAPI), интегрирующие службы потокового мультимедиа и обработки вызовов, создавая такие возможности, как IVR (Interactive Voice Response — интерактивный голосовой ответ), интеллектуальный ACD (Automatic Call Distributor — автоматический распространитель вызовов), упреждающий набор номера, маршрутизация c учетом навыков и другие. Подключение системы Windows 2000 Server к телефонной системе PBX при обеспечении поддержки этих служб облегчает заказчикам и сотрудникам доступ к информации посредством телефона.

Система Windows 2000 Server как платформа для открытых PBX

Службы телефонии системы Windows 2000 Server также обеспечивают полнофункциональную платформу для строительства открытых телефонных систем PBX.

 

Решения такого вида позволяют пользователям объединять голосовые службы и телефонные коммутаторы в единую платформу, обеспечивающую снижение затрат на интеграцию телефонов с сетями данных. Добавив плату телефонного коммутатора к платформе персонального компьютера открытого стандарта с сервером Windows 2000 Server, пользователи могут получить прямую выгоду от наличия экономичной и интегрированной в сеть телефонной системы PBX.

 

Сеть на базе системы Windows 2000 Server, позволяющая работать с обычными системами PBX

Система Windows 2000 Server является отличной платформой для придания полных сетевых возможностей традиционным телефонным системам PBX.

 

Интеграция систем PBX с сетями означает интеграцию проверки подлинности, безопасности, политик пользователя, каталогов и т.д. Некоторые производители традиционных коммутаторов теперь стали включать в них в качестве одной из плат плату персонального компьютера открытого стандарта. При установке на этих платах системы Windows 2000 Server телефонные коммутаторы лучше интегрируются с сетями данных благодаря использованию преимущества открытой программируемой инфраструктуры сети системы Windows 2000 Server. Например, телефонные коммутаторы могут интегрировать сетевые возможности обработки вызовов без усложнения системы, используя внешний сервер обработки вызовов. Политики пользователей для телефонного доступа могут быть интегрированы со службой каталогов Active Directory для унификации управления службами телефонии и службами обработки данных. Кроме того, коммутаторы могут использовать интегрированные службы потокового мультимедиа системы Windows 2000 Server для упрощения использования масштабируемых голосовых служб.

 

Поддержка передачи голоса по сетям данных в системе Windows 2000 Server

Программируемые сетевые службы системы Windows 2000 Server обеспечивают средства качественной и надежной передачи голоса по сетям данных. Интегрирация стандарта H.323, протокола RSVP и diff-serve составляют основу для передачи голоса по протоколу IP с возможностью резервирования пропускной способности и приоритетного выделения трафика для гарантирования высокого качества звука. Эти средства используются в программном обеспечении конференций Windows Media Services и NetMeeting, а также в решениях для голосовой связи, предлагаемых независимыми производителями.

 

Настольная система удаленной голосовой и видео связи Windows 2000 Server

Интегрированный в систему Windows 2000 Server номеронабиратель можно использовать для простой связи с кем-нибудь по сети. В решении такого типа, которое может быть построено на программируемой сетевой инфраструктуре системы Windows 2000 Server, номеронабиратель может использовать интерфейс TAPI, стандарт H.323 службы поиска информации, что создает уникальное настольное решение для набора номера. Номеронабиратель создает на базе Windows телефонную трубку и осуществляет обработку вызовов при наборе номера, поддерживает функцию ответа, переадресации и ряд других функций, когда он используется вместе с телефонами или коммутаторами, интегрированными с интерфейсом TAPI.

 

Номеронабиратель можно также использовать для размещения голосовых вызовов по протоколу IP в любой системе с номеронабирателем в сети, используя простой микрофон и мультимедийные громкоговорители, подключенные к персональному компьютеру. Это значит, что можно размещать вызовы, которые будут переданы другому сотруднику компании, как только он войдет в сеть, даже через VPN-подключение для удаленного доступа.

·         Добавив к компьютеру недорогую видеокамеру, можно осуществлять по сети и видеотелефонную связь.

·         С помощью номеронабирателя легко также выполнять вызовы конференции — благодаря интеграции со службой ILS системы Windows 2000 Server.

·         Номеронабиратель также может взаимодействовать с такими приложениями, как Microsoft NetMeeting и другими приложениями стандарта H.323, поскольку он основан на программируемой структуре открытых стандартов системы Windows 2000 Server.

 

Наконец, номеронабиратель можно использовать для глобального размещения вызовов через телефонные сети PSTN, добавив к шлюзу PSTN голосовую связь по протоколу IP. Простой в работе номеронабиратель иллюстрирует грядущую мощь конвергенции телефонных сетей и сетей данных.


Улучшения быстродействия сети

Протокол TCP/IP был обновлен для системы Windows 2000 Server, и в него включены некоторые улучшения быстродействия для работы в средах локальных и глобальных сетей с широкой пропускной способностью. Среди этих улучшений можно отметить следующие.

 

Поддержка больших окон передачи

Дополнительные сведения

Информационный документ. Подробности реализации TCP/IP в Windows 2000. Стек и службы протокола TCP/IP

В документе рассматривается протокол Microsoft TCP/IP снизу вверх. В доку­менте используются результаты отслеживания сети для иллюстрации ключевых понятий.

http://www.microsoft.com/windows/server/Technical/networking/tcpip_implement.asp

 

 
Эта возможность улучшает быстродействие TCP/IP в тех случаях, когда большой объем данных находится «в полете» или в неподтвержденном состоянии между двумя соединенными узлами в течение достаточно долгого времени. В связях по протоколу TCP размер окна передачи (то есть максимальное число пакетов, которые могут быть переданы непрерывным потоком до момента, пока первый пакет должен будет быть подтвержден) обычно фиксируется и согласовывается при установке сеанса связи между передающим и принимающим узлами. При наличии поддержки больших окон передачи фактический размер окна может быть пересчитан динамически и увеличен по необходимости в продолжительных сеансах, когда идет обмен большим количеством пакетов. Это позволяет передавать по сети больше пакетов данных за один раз и увеличивает эффективную пропускную способность.

 

Выборочные подтверждения

Эта возможность позволяет быстрее восстанавливать сеть после возникновения перегрузки каналов связи или случайных помех в сетевом кабеле. Выборочные подтверждения — это возможность протокола TCP, позволяющая получателю избирательно извещать отправителя или запрашивать только те пакеты, которые отсутствуют или были искажены при первоначальной передаче. В предыдущих реализациях протокола TCP/IP, если принимающая сторона не могла принять один пакет TCP, передающая сторона была вынуждена передать не только отсутствующий или испорченный пакет, но и все те, которые следовали за пакетом, на который получено отрицательное подтверждение. При выборочных подтверждениях повторно передаются только те пакеты, которые были повреждены или не были доставлены, что приводит к снижению общего числа передаваемых пакетов и более эффективному использованию сети.

 

Улучшенная оценка величины цикла передачи

При использовании этой возможности быстродействие протокола TCP/IP улучшается благодаря использованию точной оценки RTT (round-trip time — величина цикла передачи) между узлами в сети. (RTT — это время, которое занимает прохождение сигнала связи в обе стороны между отправителем и получателем при подключении по протоколу TCP.) Поскольку быстродействие зависит от величины времени ожидания отсутствующего пакета, повышение точности оценки RTT может улучшить значения показателя времени ожидания ответа, установленного на каждом узле, поскольку получатель не может запросить повторную посылку пакета до истечения указанного интервала времени. Более точный расчет времени особенно улучшает быстродействие в сетях с большим временем прохождения, таких как глобальные сети, протянувшиеся на большие расстояния (от континента до континента) или для тех, которые используют беспроводную или спутниковую связь.



серверы приложений


Тенденции и проблемы

Задачи

«Сервер приложений – фундамен­тальная технология для трехуровне­вых приложений. Она обеспечивает управление бизнес-логикой в среднем уровне, доступ к среднему уровню с уровня интерфейса пользователя и доступ к третьему уровню – обычно системе управления базой данных или к старой системе.

Выбор сервера приложений опреде­ляет место для стля и масштаба бизнес-приложений на предприятии.»

 

Dataquest, «Вновь возникающий рынок серверов приложений», ноябрь 1998 г.

 

 
Благодаря широкому и быстрому развитию приложений для Интернета организации стараются разрабатывать и применять приложения, которые могли бы работать в ненадежных, но эффективных по стоимости сетях. Веб-приложения по сути своей являются n-уровневыми или распределенными приложениями. N-уровневое приложение разделяется на три различных компонента.

·         Представление. Та часть приложения, с которой взаимодействует пользователь.

·         Логика приложения. Этот компонент содержит все бизнес-правила и логику, связанную с приложением.

·         Данные. Это механизм хранения и управления данными, связанными с приложением. Обычно это реляционная база данных, но может включать и другие контейнеры хранилищ, например, файловую систему.

Подпись:

 

Рис. 19. Архитектура 3-уровневого приложения

 

Довод в пользу n-уровневых систем обманчиво прост. Выделяя в приложении конкретные разделы — представление, логику и данные — в результате получаем улучшенные возможности масштабирования и надежность, более простую модель программирования, допускающую повторное использование компонентов, лучшую безопасность и управляемость. Кроме того, n-уровневый подход можно применять во многих важных задачах разработки приложений.

 

Требования

 

Устойчивая и масштабируемая операционная система для управления работой критически важных приложений

По мере перехода делового мира с централизованных вычислительных систем на распределенные растет потребность в устойчивой операционной системе, в которой должны работать приложения, имеющие играющие критически важную роль. Инфраструктура ядра операционной системы должна обеспечить устойчивую платформу с высокой надежностью и доступностью служб, а также способность к масштабированию, чтобы можно было воспользоваться последними разработками в области аппаратно