Математическое обеспечение и администрирование информационных систем

4.2.4. Управление объектами

Установка AD на сервер добавляет на вкладку «Administrative Tools» инструменты: «Active Directory Domains and Trusts», «Active Directory Sites and Services» и «Active Directory Users and Computers». Последний используется для управления пользователями, компьютерами, группами безопасности и другими объектами в AD. На левой панели этого приложения вы увидите структуру AD, созданный домен organization.local и находящиеся в нем встроенные контейнеры (рис. 6). Перейдем к созданию запланированной структуры домена. Поскольку приемы создания и управления любыми объектами с помощью «Active Directory Users and Computers» довольно схожи, рассмотрим их на примере работы с ОП и пользователями. Щелкнем правой кнопкой мыши узел домена organization.local в дереве каталога и выберем из появившегося меню опцию «New», а затем «Organizational Unit» (рис. 7). Назовем это ОП Sales, и после нажатия кнопки «ОК» оно появится в дереве каталога ниже узла домена. Аналогично создадим ОП Marketing.

Пока эти контейнеры пусты. Поместим в них пользователей. Для этого щелкнем правой кнопкой мыши нужное подразделение и выберем из контекстного меню сначала «New», а затем «User» (рис. 8). Заполним появившееся окно свойств пользователя (рис. 9), установим для него пароль (рис. 10) и, проверив эти сведения, нажмем кнопку «Finish». Проделав эту операцию несколько раз, мы разместим всех пользователей в соответствующие подразделения.

Теперь, щелкнув правой кнопкой мыши одного из пользователей и выбрав вкладку «All Tasks», ознакомимся с теми задачами, которые может выполнять с ней администратор (рис. 11).

Контейнеры AD допускают добавление дочерних контейнеров, поэтому не составит большого труда создать ОП Printers, вложенное в подразделение Marketing, и разместить в нем сетевые принтеры (рис. 12).

4.2.5. Заключение

Active Directory является централизованным  хранилищем информации об объектах  сетевой среды и обеспечивает  удобные и надежные средства для поиска и использования этих сведений. Средства безопасности интегрированы в AD посредством единой системы аутентификации пользователей и их авторизации, а также централизованного контроля доступа к объектам каталога. Администраторы получают возможность управлять всей сетью с любого компьютера, а авторизованные пользователи — доступ ко всем разрешенным сетевым ресурсам. Инструменты управления позволяют просто и эффективно решать задачи по созданию и управлению объектами AD.

4.3. Доступ к сетевым ресурсам

Одной из основных задач при создании любой сети является предоставление доступа к различным программным  и аппаратным ресурсам сети. Выделение  ресурса для совместного использования  принято называть термином «sharing».

Для работы в сети Windows-машины всегда использовали протокол NetBIOS. Он сам по себе является прикладным, а не транспортным, и доставка пакетов в нем изначально происходила следующим образом: компьютер-отправитель посылает пакет всем обитателям сети (широковещательное сообщение), и все, кроме компьютера-получателя, его игнорируют. Основой для NetBIOS служил транспортный протокол NetBEUI — немаршрутизируемый протокол (за счет отсутствия основы сетевого уровня), использующий только широковещательные сообщения. А NetBIOS — это система исключительно ввода-вывода информации (что отражено и в названии), а не доставки или ее контроля. Логично было бы предположить, что для успешной доставки информации необходимо знать адрес получателя. С другой стороны, для нормального функционирования такого элемента компьютерной системы, как пользователь, необходимо, чтобы компьютеры имели human-readable-идентификаторы — имена. Для сопоставления имен компьютеров сети их адресам (разрешение имен) в старых сетях также использовалось широковещание — компьютер «спамил» сеть, пытаясь выяснить, какому адресу принадлежит имя.

Такая схема создает минимум  две проблемы: большая нагрузка на сеть и возможность «прослушивания»  всех сообщений в сети. Кроме того, широковещательный метод позволяет  компьютерам общаться только в рамках одной подсети вследствие своей немаршрутизируемости. Появление в качестве транспортных протоколов TCP/UDP решило проблему связи между различными сетями.

4.3.1. Сервис WINS

WINS (Windows Internet Name Service) — пережиток прошлого, наследие старых протоколов сетей Microsoft, в отличие от DNS, которая является современной системой преобразования имен компьютеров в IP- адреса. Все нынешние операционные системы используют именно ее. Система WINS (она же NetBIOS Name Service) — это по сути особенный DNS, «заточенный» под NetBIOS. Необходимость использовать сервер WINS имеется только при наличии в сети старых систем Windows 95/98/Me.

Служба WINS является, вероятно, простейшим из сервисов в нынешних сетях. Процесс работы службы заключается в следующем: при подключении к сети клиент соединяется с сервером и запрашивает регистрацию. Соответствующее клиенту имя и его адрес заносятся в базу данных сервера. По завершении работы клиент также сообщает серверу о необходимости удаления своей записи из базы. Каждый клиент при необходимости соединения с другим участником сети запрашивает у сервера адрес этого участника по его имени.

Если ваша сеть состоит из нескольких подсетей, то в каждой из них необходимо устанавливать  свой WINS-сервер, а иначе в связи  с немаршрутизируемостью широковещательных запросов некоторые старые клиенты не смогут правильно функционировать. Между серверами, естественно, должна быть создана система репликации. В новой инкарнации WINS появилась возможность постоянного соединения партнеров репликации. Благодаря экономии времени и ресурсов на открытии и закрытии сессий, базы данных различных WINS-серверов находятся в более актуальном состоянии. Кроме того, новая система идентификаторов версии записи позволяет точно определять достоверную информацию о соответствии имени адресу участника сети.

Репликация  базы данных между партнерами WINS происходит в трех режимах: push, pull и push/pull — прием, передача и прием/передача соответственно. В первом случае сервер сообщает о  необходимости репликации и изменении своей базы партнерам. Во втором случае сервер периодически запрашивает изменения у партнеров. Третий тип комбинирует первые два.

Установка сервера WINS, как и других сервисов на Windows Server 2003, представляет собой добавление соответствующей роли через консоль, и этот процесс не представляет никакой сложности (рис.1). После инсталляции сервер WINS полностью готов к работе в стандартных условиях и не требует дополнительных настроек.

4.3.2. Сетевые ресурсы

Файловый сервер.

Файловый сервер, как следует из названия, служит для хранения или обмена информации. Это могут быть файлы совершенно разных типов, но так или иначе все это хозяйство занимает гигабайты памяти. В использовании дисковых ресурсов клиентов просто необходимо ограничивать (словесные уговоры, как правило, не помогают).

В первом же диалоге при добавлении роли «File Server» нам очень кстати предлагают установить квоты на дисковое пространство для пользователей. Определяя предел, можно установить уровень использования, при котором клиент будет оповещен о необходимости навести порядок в своих файлах. К сожалению, нельзя установить квоты на различные директории. Ограничение выставляется на пользование всеми ресурсами в целом.

Далее можно установить службу индексации. Этот сервис каталогизирует содержимое файлов в «расшаренных» папках и  позволяет быстрее находить нужную информацию. Данная служба сильно нагружает  сервер и полезна только в том  случае, если ваши клиенты очень  часто пользуются поиском. В противном случае обязательно отключите ее на вашем сервере.

На последнем этапе система  предложит сделать какую-нибудь папку общей. Это действие можно  оставить на потом, но консоль управления будет считать роль файлсервера  неактивированной, пока не появится хотя бы одна «расшаренная» папка. Впрочем, это не имеет особого значения.

Оснастка управления файловым сервером включает в себя весь необходимый  набор инструментов для манипуляций  с общими ресурсами, сеансами и томами диска (рис.2). Первым делом заглянем в свойства общей папки. С первого взгляда особых изменений не заметно. Перейдем на закладку «Security» и войдем в расширенные параметры (кнопка «Advanced»). Здесь мы видим долгожданную закладку «Effective Permissions». С помощью этого инструмента теперь мы можем просмотреть реальные права пользователя или группы на доступ к папке или файлу с учетом всех «наследственностей» (рис. 3).

В разделе оснастки «Shares» мы видим  еще одно новшество — сервис теневого копирования («Shadow Copies»). Эта система унаследована, если можно так выразиться, из Windows XP и расширена в возможностях. Теневое копирование — это прозрачная для пользователя система архивирования данных. В соответствии с расписанием сохраняются «моментальные снимки» объекта (незаметно для пользователя), а пользователь продолжает работать уже с новой версией. В Windows Server 2003 эта система позволяет создавать точки возврата в предыдущие версии ресурсов. Для понимания работы системы стоит привести пример.

Создадим на диске общую папку FILES, а в ней простой текстовый файл. Откроем панель «Configure Shadow Copies», выберем этот диск и активируем систему («Enable»). Сразу после активации сделаем теневую копию диска (кнопка «Create Now»). После этого сделаем любое изменение в нашем тестовом файле и снова создадим теневую копию. Для получения более наглядной картины повторим процедуру изменения файла и создания тени еще пару раз (рис. 4). После проведения этих манипуляций откроем свойства тестового файла через «Network Neighbourhood». На панели свойств можно наблюдать новую закладку «Previous Versions». Пользователь теперь способен просмотреть, скопировать или вернуться к предыдущим версиям файла, если потребуется (рис. 5). При теневом копировании диска процедуре подвергаются все данные в общих папках.

Некоторые тонкости. Теневое копирование  производится только на всем томе (диске). Установка копирования для отдельной  папки невозможна. Использовать «Previous Versions» могут только пользователи с операционной системой Windows XP и  выше. На Windows XP при этом необходимо установить дополнительное ПО, находящееся в директории %SystemRoot\System32\ clients\twclient сервера Windows 2003.

Настройка службы теневого копирования  заключается в следующем: для  каждого тома необходимо установить максимальный размер дискового пространства под копии файлов (минимум 100 Мбайт) и задать планировщику частоту копирования.

Следует еще заметить, что файловый сервер Microsoft Windows 2003 унаследовал от своего предшественника Windows 2000 все  основные возможности. Вы можете создавать программные RAID-массивы (динамические и зеркальные тома), пользоваться системой автономных файлов, строить распределенные файловые системы DFS и т. д.

Службы печати.

Службы печати Windows Server 2003 не многим отличаются от служб Windows 2000. В числе основных изменений отсутствие поддержки протокола DLC (Data Link Control), который использовался старыми версиями принт-серверов компании Hewlett-Packard; возможность совместного использования не только принтеров, но и факсов (объединение служб); возможность устанавливать драйверы устройств в режиме ядра с помощью групповых политик (для администраторов). Кроме того, произошли некоторые изменения в сторону производительности и различных интерфейсных украшений. Особенно важным событием в этом отношении стала тесная интеграция служб печати и службы IIS. Благодаря этому печать (отправка факсов) и управление ею стали полностью доступны через веб-интерфейс. Возможность Point and Print — «кликни и напечатай» — позволяет пользователям устанавливать принтеры одним кликом. Драйверы для принтеров тоже можно инсталлировать с веб-сервера. Системные администраторы могут обозревать состояние принтеров и факсов и управлять очередями печати также из веб-интерфейса.

4.3.2. Установка принт-сервера

А теперь перейдем непосредственно к установке принт-сервера (добавляем роль «Print Server»). На первом этапе определяется необходимость устанавливать драйверы для всех операционных систем семейства Windows или только для Windows 2000/XP. А далее предлагается установить первый принтер, что мы и сделаем (рис. 6). После этого в консоли «Manage Your Server» появляется новый пункт «Print Server» со ссылкой на добавление драйверов. Добавим дополнительные драйверы для других ОС (рис.7). Теперь пользователю не нужно будет искать драйверы в Интернете или лишний раз терроризировать службу технической поддержки. Драйверы автоматически установятся с сервера. В комплект Windows Server 2003 входит огромное количество драйверов для большинства существующих на данный момент моделей устройств печати. Если вы не используете принтеров-новинок, то о проблемах поиска драйверов и хранения «на всякий случай» можно не беспокоиться.

Основным моментом в конфигурировании принт-сервера является настройка spooler (очереди). Приложения генерируют и посылают данные на принтер быстрее, чем он печатает. Для того чтобы разгрузить пользовательское программное обеспечение, данные записываются на принт-сервере и помещаются в очередь для последующей печати. За счет этого увеличивается время вывода на печать. Если отказаться от создания очереди («Print directly to the printer»), то скорость печати увеличится, но при этом замедлится работа пользовательского приложения (рис. 8). Стандартным вариантом настройки spooler для общего принтера является очередь с немедленным началом печати документов («Start printing immediately»).

Для оптимизации работы сетевых  принтеров можно использовать системы  приоритетов, а также пулы принтеров. Физическое устройство печати может  проявляться в системе более  чем в одном экземпляре. Установим один и тот же принтер дважды под разными именами. В свойствах одного экземпляра выставим приоритет «1», а во втором «2». Теперь разрешим одной группе пользователей доступ к первому принтеру, а другой — ко второму. При одновременной печати пользователей этих двух групп в первую очередь будут обрабатываться документы из второй группы, так как приоритет их принтера выше. Комбинируя уровни приоритета, различные группы пользователей и время доступности принтеров можно добиться приближения к оптимальному распределению ресурсов печати. Кроме того, физические устройства можно объединять в пулы печати (в противоположность первому способу).

Установка пула печати производится с помощью мастера Add Printer Wizard (мастер установки принтеров), в котором  создается новый принтер и затем в окне его свойств (пункт «Properties» контекстного меню) на вкладке «Ports» назначается количество портов вывода, равное количеству сетевых принтеров, которые необходимо объединить в пул. После этого необходимо отметить флажком опцию «Enable printer pooling» (рис. 9). Причем системой не ограничивается количество принтеров в пуле, и порты принтера могут быть одного или разных типов (сетевые, последовательные, параллельные). Стоит отметить, что возможно объединение в пул только идентичных устройств печати.

При использовании пула печати все  объединенные в него принтеры отображаются системой как одно сетевое устройство, и при печати на него документ отправляется на тот принтер, который в данный момент свободен. Это позволяет уменьшить время ожидания пользователем очереди печати своего документа.

Невозможно узнать заранее, какой  именно принтер пула получит тот  или иной документ. Если в сети активирована служба сообщений Messenger Service, то пользователь, отправивший документ на печать, автоматически получит сообщение, в котором будет указано, что печать документа выполнена и отобразится порт вывода принтера. Если же Messenger Service не установлена в вашей сети, рекомендуется разместить все устройства печати в одном физическом месте, что облегчит пользователям «ручной» поиск своих распечатанных документов.