«Локальные сети. Полное руководство. Перевод с английского Криста Андэрсон с Марком Минаси Локальные сети. Полное руководство: Пер. - К.: ВЕК+, М.: ЭНТРОП, с англ.-СПб.: КОРОНА принт, 1999.— 624 с., ил. ISBN ...»

Выводы Как видите, клиентные компьютеры не обязательно имеют такие же мощные средства, которыми снабжен сервер. Требования к ним проще, а рабочие нагрузки - полегче, так что даже самые загруженные клиентные компьютеры выполняют меньшую работу, чем серверы, обеспечивающие ресурсами множество клиентов сети.

Когда потребности клиента совсем невелики, даже персональные компьютеры с традиционной конфигурацией могут оказаться избыточными. Для многих практических применений пригодны упрощенные вычислительные устройства вроде PDA либо другие специализированные компьютеры. Чтобы ощутимо снизить требования к аппаратному обеспечению клиентов, можно заменить клиентные компьютеры тонкими клиентными устройствами: сетевыми компьютерами или терминалами Windows, которые могут отображать графику, создаваемую исполняемым на сервере приложением. Тем не менее, в большинстве случаев все еще применяют традиционные персональные компьютеры.

В трех предыдущих главах обсуждались требования к оборудованию серверных и клиентных компьютеров. В гл. 10 "Сетевые операционные системы" рассматриваются операционные системы, используемые на этом оборудовании, а также поддерживаемые ими приложения.

Упражнение 1. Какие клиентные операционные системы на базе Windows поддерживают работу с процессорами на микросхемах RISC?

2. Так же, как и WDRAM-память, память SGRAM является двухпортовой? Ответьте, "да" 3. В тонких клиентных машинах обычно предъявляются меньшие требования к памяти и процессору, чем в обычных клиентных машинах. Однако в устройствах для тонких клиентов по определению всегда предусмотрена_поддержка. Почему?

4. Какой тип контроллера жесткого диска предпочтительно использовать в большинстве клиентных сетевых компьютеров?

5. Первый 64-битовый процессор семейства х86 фирмы Intel имеет кодовое обозначение 6. Ваш клиентный компьютер предназначен для загрузки приложений Java с сервера, но исполняет их локально. Такой компьютер называется:

B. Персональный цифровой ассистент (PDA).

C. Специализированная рабочая станция.

7. Как правило, требования к оборудованию клиентного компьютера ниже, чем к серверу, кроме случая, когда оно предназначено для.

Глава Сетевые операционные системы Итак, у нас есть сеть, состоящая из компьютеров, соединенных проводами между собой.

Теперь нам необходима сетевая операционная система (NOS — network operational system), которая обеспечит функционирование сетевого оборудования, поддержку сетевых протоколов, совместное использование файлов и принтеров и т.п. В этой главе рассматриваются некоторые NOS. Рассказывается о том, чего можно ожидать от сетевой операционной системы и чем они различаются. Мы не будем подробно обсуждать все представленные на рынке сетевые операционные системы, а просто приведем некоторые основные сведения о них.

Как уже упоминалось в предыдущих главах, с точки зрения предоставляемых услуг большинство сетевых операционных систем во многом похожи. Чтобы быть достойным своего имени, любая NOS должна обеспечивать некоторый стандартный набор сетевых функциональных средств, позволяющих клиентным компьютерам совместно использовать сетевые ресурсы. Благодаря конкуренции, как только в одной из NOS появляется какое-либо новое средство, прочие сетевые операционные системы тут же "обзаводятся" аналогичным. Диапазоны возможностей этих функциональных средств могут быть различными. В одних NOS они более мощные, в других — менее (в зависимости от способов их реализации на компьютерном уровне). Так, производительность конкретной операции, например при обработке видеоинформации, в значительной степени зависит от принципов организации этой NOS.

Одно из основных различий между сетевыми операционными системами заключается в типе сетей, для которых они спроектированы: клиент/сервер или одноранговая. NOS сетей клиент/сервер спроектированы для обслуживания только сетевых запросов. С другой стороны, NOS одноранговых сетей спроектированы для обслуживания как сетевых, так и локальных запросов. Другими словами, NOS одноранговых сетей спроектированы для поддержки работы сетевых компьютеров путем предоставления сетевых ресурсов, a NOS сетей клиент/сервер — по-другому. Конечно, в некоторых случаях можно запускать пользовательские приложения на компьютере, работающем под управлением NOS клиент/сервер, однако операционные системы создаются для других целей. При прочих равных условиях приложения будут выполняться лучше, если операционная система создана именно для этой цели. Точно так же, отклики на сетевые запросы ускоряются, если использовать NOS клиент/сервер. Различие в типах сетей не обязательно связано с конструкцией сети или с выделением серверных компьютеров с тем, чтобы компьютеры не пытались выполнять двойную работу, исполняя два набора запросов. Скорее, это относится к факторам, определяющим конструкцию NOS, а также ее назначение. Различие главным образом заключается в назначении приоритетов исполнения сетевых запросов по сравнению с теми запросами, которые генерируются локально. Как известно, современные операционные системы разделяют время, которое затрачивает процессор на выполнение работы, на потоки, а каждому потоку назначают приоритет. Приоритет потока определяет, насколько быстро ему будет выделено процессорное время на обработку потока. Чем выше приоритет, тем скорее будет предоставлено процессорное время. (Это не означает, что потоки с низкими приоритетами должны всегда ожидать, пока процессор завершит работу с более высоким приоритетом, а только то, что потоки с низшими приоритетами должны ожидать большее время.) Сказанное важно потому, что структура операционной системы и метод ее конфигурирования определяют метод назначения приоритетов потокам, сгенерированным сетью и потокам сгенерированным локально. NOS клиент/сервер спроектированы так, что назначают более высокий приоритет потокам, инициированным сетью. В то же время одноранговые NOS спроектированы так, что более высокие приоритеты назначаются локальным потокам.

Разница между планировщиками (scheduler) серверной и клиентной операционных систем приводит к интересной дилемме в случае, когда они применяются для терминальных серверов, которые выполняют пользовательские приложения. Таким образом, к их преимуществам можно отнести метод постановки задач в очередь, который свойственен рабочей станции, но не серверу. По этой причине в Windows 2000 можно переключать планировщик в зависимости от того, работает NOS как терминальный сервер либо как сервер иного типа. Это не единственное различие между операционными системами сетей клиент/сервер и одноранговыми. Первые, помимо всего, оптимизированы для работы в сети, поскольку обеспечивают:

более эффективную организацию данных (для ускорения поиска);

более совершенные методы хранения файлов;

лучшую поддержку совместного использования оборудования.

В целом, операционные системы типа клиент/сервер мощнее одноранговых, которые пригодны для эффективной реализации совместного использования ресурсов только небольших сетей.

Операционные системы одноранговых сетей Если ваша сеть невелика, а потребности пользователей скромны, одноранговая сеть может оказаться самым подходящим решением. Соответствующие операционные системы не предоставляют таких широких возможностей, как операционные системы клиент/сервер, но имеют два преимущества.

Они дешевле, чем NOS клиент/сервер.

Не требуют для управления постоянного вмешательства сетевого администратора.

Вы можете рассчитывать, что одноранговая сеть будет поддерживать совместное использование файлов и принтеров и, возможно, некоторые (хотя и ограниченные) инструменты удаленного администрирования. Как правило, одноранговые сети не содержат развитых средств защиты и удаленного администрирования. Однако, если вас устраивают их скромные средства защиты и организации совместного использования ресурсов, эти операционные системы прекрасно подойдут для небольших и непритязательных сетей.

Примечание Здесь мы остановимся на операционных системах Windows, поскольку они в наибольшей степени пригодны для создания одноранговых сетей. Фирма Novell прекратила поддерживать свой сервер одноранговой сети (peer network server product), a Warp фактически умирает (так же, как умерла OS/2). В настоящее время одноранговые сети поддерживаются только в Windows.

История древнего мира Операционные системы Windows уже давно были способны работать в сетях, и вплоть до начала 90-х г. для этого использовалась надстройка DOS, называемая MS-NET. (Кроме того, эта же надстройка использовалась для выхода в сеть клиентов MS-DOS. Однако мы и так достаточно углубились в операционные системы Microsoft.) В конце 1992 г. фирма Microsoft выпустила первую одноранговую NOS, называемую Windows for Workgroup (WfWg). Она не слишком отличалась от Windows 3.x, за исключением наличия диспетчера файлов (File Manager), который поддерживал отображения буквенных обозначений дисков общих каталогов и совместное их использование в сети. К тому же, сетевая поддержка предусматривалась и для диспетчера печати (Print Manager) — старинного инструмента Windows для управления печатью и конфигурирования принтеров.

По мере развития сетевых операционных систем, Windows for Workgroup перестала соответствовать современным стандартам. С самою начала в ней поддерживался только протокол NetBEUI, поэтому она позволяла устанавливать связь только с другими сетями Microsoft, состоящими из компьютеров Windows for Workgroup и DOS (с сетевыми надстройками).

(Поддержка протокола TCP/IP была доступна только как надстройка, поэтому компьютеры не имели встроенной поддержки Internet.) Тем не менее, эта NOS допускала совместное использование файлов и принтеров, поддерживала функции голосовой связи и офисной электронной почты. Буфер обмена (Clipboard) работал с сетевыми данными и позволял с помощью операций вырезки и вставки переносить данные между локальными и сетевыми приложениями. При этом использовался графический интерфейс, который значительно облегчал администрирование сетью но сравнению с интерфейсом командной строки. Это соответствовало требованиям, предъявляемым ктогдашним NOS. Тем не менее, Windows for Workgroup не получила широкого признания на рынке NOS, хотя для своего времени была неплохой операционной системой небольших сетей.

Windows Операционная система Windows for Workgroup была достаточно хорошей, однако не содержала обширного набора функциональных средств и большинство пользователей Windows стремились обновлять текущую версию операционной системы. Работу в сети допускала и Windows 3.x — просто для этого требовалась соответствующая надстройка от Microsoft или Novell. Переход же на сетевую версию обычной операционной системы не был популярным у пользователей.

Первое серьезное достижение в сетях Windows появилось три года спустя, в конце г., когда фирма Microsoft выпустила операционную систему Windows 95. Возможно, вы припомните шумную рекламу, которая сопровождала ее появление. И хотя реклама все несколько преувеличивала, новая NOS действительно отличалась от предыдущей.

Она была действительно операционной системой, а не графической средой для DOS.

Кроме того, в Windows 95, кроме 16-битовых, входили и 32-битовые компоненты. В большинстве случаев они работали в защищенном режиме, вместо использования обычной памяти в реальном режиме. Поэтому управление памятью намного упростилось. Новая 32-битовая файловая система VFAT (Virtual File Allocation Table - виртуальная таблица размещения файлов) допускала использование длинных имен файлов — разумеется, если ваши приложения тоже были 32-битовыми и допускали использование длинных имен.

Примечание По существу, файловая система VFAT - это система FAT, дополненная средствами работы с длинными именами файлов.

В Windows 95 была встроена поддержка протокола TCP/IP и IPX/SPX-сов-мсстимого протокола. Поэтому она могла связываться с сетями NetWare или Internet без отслеживания текущих и установки новых сетевых протоколов. Кроме того, она продавалась в комплекте со средствами создания 32-битовых клиентных сетей как NetWare, так и Microsoft.

Как можно оценить эффективность применения Windows 95 в качестве NOS? Для одноранговых сетей — весьма положительно. Например, интерфейсы для совместного использования файлов и принтеров весьма просты. Однако Windows 95 недоставало того же, чего и всем одноранговым NOS - средств защиты и эффективного совместного использования аппаратных средств (за исключением дисков и устройств CD-ROM). Тем не менее, эта операционная система получила широчайшее признание на рынке, в связи с чем стало возможным создавать сети, работающие под управлением Windows 95. Эта операционная система более пригодна для операционной системы клиентной машины, а не сервера сети, однако для небольших сетей, которым не требуется особое распределение функций, она была и остается вполне пригодной.

Windows В конце 1998 г. Windows 98 еще не успела вытеснить Windows 95. Эта операционная система не так глубоко отличается от Windows 95, как Windows 95 от WfWg, однако в ней предусмотрены дополнительные средства, благодаря которым она лучше приспособлена к работе в сети, чем Windows 95.

В Windows 98 предусмотрено большее число средств для взаимодействия с сетью. В этом отношении Windows 95 имела недостатки: она поддерживала только устаревшие сети NetWare. Клиенты Microsoft Windows не могли получить доступ к службам каталогов новейших версий NetWare. Кроме того, не поддерживался протокол IP сетей NetWare. В качестве транспортного протокола для связи с сетями NetWare можно было использовать только протокол IPX/SPX (и совместимые с ним). В Windows 98 включено большее число средств NetWare, в том числе функция, позволяющая компьютеру, оснащенному Windows 98, связываться с серверами NetWare с помощью системы NDS (NetWare Directory Services — служба каталога NetWare). Компьютер, работающий под управлением Windows 95, вынужден использовать базу регистрационных данных (bindery), которая входила в состав NetWare 3.x и старших версий и уже несколько лет не применяется.

Несмотря на то, что система Windows 98 проектировалась, в основном, для работы в качестве клиентной (а не серверной) операционной системы, она может работать также и в качестве серверной системы. Надстройка Peer Web Server (одноранговый Web-сервер) позволяет создавать Web-узлы в офисах только с одноранговыми сетями. Более того, компонент Remote Access Dial-Up Server (удаленный сервер с коммутируемым доступом) позволяет пользователям входить в сеть или в сервер с удаленным доступом Windows 98, поскольку сервер предоставляет только локальный доступ, а не доступ ко всей сети. Очень полезна и поддержка FAT32 — файловой системы, способной работать с жесткими дисками емкостью до 2 Тбайт. Именно благодаря поддержке жестких дисков емкостью более 2 Гбайт Windows предпочтительнее Windows 95 при хранении большого числа файлов малых размеров.

Возможности Windows 98 ограничены и даже более того — несопоставимы со средствами NOS клиент/сервер, таких как Windows NT. Тем не менее, Windows 98 - вполне приемлемая серверная платформа для небольших и непритязательных сетей.

Windows 98 - конец эпохи Windows 98 — последняя персональная операционная система Microsoft. По псех дальнейших версиях будет использоваться технология Windows NT, т.е. создаваться унифицированное семейство операционных систем. Эта линия получила название Windows 2000. В неё включены версии Windows, разработанные как для клиентных компьютеров, так и для серверов. Последние, как предполагает Microsoft, должны конкурировать с мэйнфреймами.

Хорошо ли это? Если рассматривать Windows как одноранговую NOS, это, пожалуй, неплохо. В Windows 98 все еще сохранились некоторые нежелательные остатки DOS, а операционные системы, разработанные на основе Windows NT, свободны от них и стабильнее в работе как по сравнению с Windows 98, так и с любой другой персональной операционной системой Windows. Клиентная версия Windows, основанная на Windows NT, выпуск которой ожидается в 1999г., спроектирована для поддержки множества средств, уже несколько лет составляющих основу персональных операционных систем Windows. Окончание разработки исключительно персональных операционных систем Windows отнюдь не ограничивает возможности функциональных средств всех вновь разрабатываемых операционных систем.

С точки же зрения клиентных или автономных операционных систем, эта новость не слишком приятна. Несмотря на то, что персональные операционные системы предъявляют все большие требования к оборудованию, Windows 98 кажется ягненком по сравнению с теми требованиями к оборудованию, которые предъявляют системы, построенные на базе Windows NT. Кроме того, Windows NT весьма "придирчиво" относится к установленному оборудованию, что значительно усложнит жизнь тем, кому достаточно просто приобрести операционную систему, которую они в состоянии поддерживать в более-менее работоспособном состоянии, а там будь что будет. (На основании личного опыта работы с Windows 98 автор сомневается в ее полной пригодности для одновременной работы с одной сетевой интерфейсной платой и CD-ROM на своем компьютере. Однако большая часть оборудования все еще работает с Windows 98.) Вероятно, фирме Microsoft придется выслушать множество разгневанных потребителей, когда их новые купленные компьютеры после Рождества 1999 г. перестанут работать со старыми сканерами или другим оборудованием.

Еще одна проблема, возникающая у тех, кто присматривает себе новую операционную систему для сервера, заключается в изменениях ядра Windows 2000, сделанных для того, чтобы она стала удобнее для пользователей персональных компьютеров и сетевых клиентов. Windows NT всегда предоставляла средства защиты, которые и не снились Windows 9x. Найти же компромисс между средствами защиты Windows NT и относительной простотой и открытостью Windows 9x не так-то легко.

Все эти проблемы того же порядка, что и недостаток новых 16-битовых приложений Windows — их вполне можно разрешить. Однако вы должны знать, об этом. Отныне и впредь потребителям продукции Microsoft предстоит жить, фактически в "мире NT".

Windows NT Workstation Опреционная система Windows NT не поддерживает режим Plug-and-Play ("включил-и-работай"). Поддержка сю приложений DOS неравноправна - одни приложения работают, другие - нет. Она пожирает массу оборудования, да еще и с "перебором". Список можно продолжить. Почему же такая NOS лучше, чем Windows 98? По трем причинам.

Она поддерживает файловую систему NTFS.

В ней предусмотрена превосходная система защиты.

Она устойчиво работает.

Если вам нужна внешняя мишура, пользуйтесь Windows 98, но если вам необходим устойчивый и надежный одноранговый файловый и печатный сервер, переходите на Windows NT Workstation 4. Ее интерфейс подобен интерфейсу Windows 95, однако внутреннее содержание иное, как с точки зрения архитектуры, так и средств управления общими ресурсами.

Файловая система NTFS Как и Windows NT Server, версия Windows NT Workstation поддерживает работу с файловой системой новой технологии (NTFS — New Technology File System). Это — первая файловая система, спроектированная Microsoft, поддерживающая длинные имена файлов, имеющая встроенные средства сжатия (уплотнения) (native compression) и работающая с жесткими дисками большой емкости. Файловая система FAT32 имеет аналогичные возможности, но не имеет таких средств защиты как NTFS — регистрации транзакций (transaction logging), предотвращающих повреждение томов; защиты на уровне файлов и более согласованной их организации.

Несмотря на то, что файловая система NTFS поддерживается только в Windows NT, зователям всех операционных систем. До появления FAT32 в составе Windows 95 OSR2 система NTFS была единственной файловой системой Microsoft, которая поддерживала тома (устройства) размером свыше 2 Гбайт. И до сих пор это единственная файловая система Microsoft, которая предоставляет защиту на уровне файлов и обеспечивает ведение протокола защиты (security logging).

Средства защиты Одноранговые сети, средства защиты входа в систему (logon security), предусмотренные в Windows 9x, оставляют желать лучшего. Если вы пытаетесь войти в систему под правильным именем пользователя, но вводите неверный пароль, процедура входа прерывается. Стоит, однако, ввести новое имя пользователя — и вы в системе. Если вас не беспокоит сетевая поддержка, вы можете нажать на при появлении входной заставки "Добро пожаловать в сеть" (Microsoft Welcome to Microsoft Networking) и тоже войти в систему. Конечно, вы не получите доступ к зафиксированным общим сетевым ресурсам (persistent network shares) другого пользователя Чтобы создать какие-нибудь новые ресурсы, вы должны присвоить им соответствующие пароли. Однако если вам нужно только получить доступ к компьютеру, это можно сделать одним щелчком.

В одноранговых NOS такое положение имеет неприятные последствия Во-первых, лицо, использующее компьютер, может просматривать всю информацию, которая хранится в нем. В одноранговой сети это будут все рабочие данные штатного оператора, включая и файлы с конфиденциальной информацией. Во-вторых, это лицо может изменять сетевые ресурсы, назначая им новые пароли, удаляя или создавая новые ресурсы, что весьма нежелательно.

В Windows NT Workstation такой проблемы нет: в ней требуется явный вход в систему (explicit login). Если у вас нет учетной записи на данном компьютере, вы не сможете использовать его ни локально, ни удаленно. Предусмотрена, правда, гостевая учетная запись (guest account), однако ее можно блокировать, либо изменять ее пароль, либо установить настолько ограниченные параметры разрешения входа, что лицо, вошедшее по этой учетной записи, не будет представлять никакой угрозы целостности однорангового сервера.

Windows NT может обеспечить все это потому, что в ней предусмотрен инструмент, отсутствующий в Windows 98 и его предшественницах: Диспетчер пользователей (User Manager). Он не столь могущественен, как диспетчер пользователей домена (User Manager for Domains), входящий в состав Windows NT Server. И, тем не менее, диспетчер пользователей можно использовать для создания базы данных учетных записей, устанавливающей не только список лиц, имеющих доступ к компьютеру, но и тип доступа.

В NT суть доступа скрыта в правах и разрешениях. Учетным записям пользователей и групп назначают права, которые определяют, что они могут делать, работая на компьютере или в сети, а файлам и сетевым ресурсам — разрешения. В одноранговой сети вы не можете получить доступ к общему ресурсу компьютера Windows NT Workstation, если у вас нет на нем учетной записи, даже если вы уже вошли в сеть.

В Windows NT Workstation имеется несколько встроенных групп с предопределенными правами. Названия групп отражают их функциональное назначение (табл. 10.1).

Таблица 10.1. Встроенные группы Windows NT Workstation и их функции Administrators Мошут администрировать локальный компьютер. Это наиболее моАдминистраторы) гущественная группа Backup Operators Могут обходить защиту файлов с целью архивирования файлов так, (Операторы резервного что даже не имея доступа к файлам, могут выполнять архивирования копирования) для сохранения файлов Guests (Гости) Гости рабочей группы или домена Power Users (Квалифицированные Могут открывать общи йдоступ к файлам и принтерам пользователи) Users (Пользователи) Обратите внимание: обычные пользователи не могут устанавливать общий доступ к файлам Windows NT Workstation. Это могут сделать только члены группы Power Users. Каждая учетная запись входит в одну из групп: однако вы не обязаны пользоваться только перечисленными группами. Вы можете делать следующее.

Создавать собственные группы с особыми наборами прав.

Изменять права, предоставленные каждой группе.

Добавлять или удалять права отдельных пользователей.

Сделать учетную запись члена сразу нескольких групп. В таком случае права представляют собой сочетание прав объединенных групп.

Примечание В Windows NT права пользователя "кумулятивные" (накопительные). Иными словами, при анализе учетной записи используются только наименее ограничивающие наборы прав, за одним исключением: право, абсолютно запрещающее доступ, всегда отменяет остальные права, с которыми оно конфликтует.

Если разделы данных сформатированы в NTFS, то в систему можно включить дополнительный уровень защиты. В то время как FAT и FAT32 поддерживают разрешения только на совместно используемые тома (shared volumes) и только на уровне папок, NTFS поддерживает разрешения M.I уровне файлов, как для сетевых, так и локальных ресурсов.

Примечание По умолчанию каждый, кто получает доступ к компьютеру, имеет полный контроль над файлами. Поэтому если вы используете Windows NT Workstation как одно-ранговую NOS, рекомендуем установить разрешения на использование файлов.

Повышенная устойчивость Если вам приходилось достаточно долго работать с любой персональной ОС Microsoft Windows, вам нередко приходилось перезагружать ПК после того, как какое-либо приложение или иная программа сбивалась и разрушала операционную систему. Разумеется, сбой Windows NT тоже возможен, однако это происходит значительно реже, чем в персональных операционных системах Windows. Для сетевых операционных систем это очень важно Разрушение ресурсов сервера вам совершенно ни к чему.

Будущее Windows NT Workstation Если вас интересует будущее, то у Windows NT Workstation его нет • в конце 1998 г.

Microsoft переименовала пятую версию этого продукта в Windows 2000 Professional. (Такое, достойное порицания, решение вызвано маркетинговыми соображениями. Оно необходимо, чтобы присвоить торговую марку, которая в настоящее время отождествляется со стабильностью и надежностью, продукту, ассоциирующемуся с показным блеском и ненадежностью.) Это объясняется тем, что Microsoft опасается потери доверия к торговой марке Windows.

Каковы же новые средства Windows 2000? Эта книга не посвящена целиком Windows NT, но с точки зрения NOS, в Windows 2000 будет обеспечена лучшая защита с помощью системы Kerberos (подробнее см. гл. 14) и внесены некоторые изменения в файловую систему NTFS, повышающие ее гибкость. Windows 2000 поддерживает режим Plug-and-Play, который был в системах Windows 9x. Кроме того, предусмотрено большее число инструментальных средств управления системой, новая версия броузера Microsoft и пр. Большинство изменений, в основном, применимы к версии клиент/сервер. Поэтому они подробнее рассматриваются далее, в разделе "Microsoft Windows NT".

Сетевые операционные системы клиент/сервер С точки зрения пользователя, важнейшей частью сети, безусловно, являются клиенты, а не серверы. Как следует из самого слова "сервер" (обслуживающее устройство), сам смысл существования сервера заключается в обслуживании клиентов. Ну, а раз так, что же необходимо клиенту?

Быстрый и простой доступ к данным и пространству для их хранения.

Гарантия целостности данных.

Надежная защита данных.

Чтобы добиться выполнения этих требований, в сетевых операционных системах используют разные подходы. Но между различными NOS есть и значительное сходство, поскольку производители видят, чем занимаются конкуренты и стараются перенять их достижения. В этой главе рассматриваются три широко известные операционные системы клиент/сервер: NetWare, Windows NT и UNIX.

Прежде всего, мы обсудим общие черты операционных систем, затем перейдем к некоторым различиям в характеристиках каждой системы. Конечно, это не будет исчерпывающим руководством по всем трем NOS, однако, прочитав эту главу, вы ознакомитесь с их основными средствами и получите представление о работе с ними.

Общие средства Чем больше изменений, тем больше и сходства. По мере развития сетевых операционных систем, между ними появляется все больше сходств. В самом деле, производители смотрят друг на друга и думают: "Черт побери! Это хорошая идея. Наверно, она понравится людям. Следует использовать ее и в нашей NOS". Из-за таких решений получили широкое распространение графический пользовательский интерфейс (GUI — graphical user interface), заменивший интерфейс командной строки (command-line interface); поддержка средств работы с каталогами; улучшенная система защиты (защита паролями, шифрованием данных); службы архивирования и т.п. Конечно, не все перечисленные средства входят в любую операционную систему, однако они либо разрабатываются, либо доступны как часть пакетов надстроек (add-on pack), таких как Microsoft BackOffice.

Совет Многие средства NOS нередко предоставляются и независимыми поставщиками, предлагающими средства, отсутствующие в NOS. Так, в качестве программных средств независимых разработчиков поставляются программы архивирования, поддержка RAID и средств работы с каталогами.

Быстрый и простой доступ Если вы спросите кого-нибудь, чья работа зависит от сети, что бы он хотел от NOS в первую очередь, чаще всего вам ответят: "Что-нибудь с хорошим откликом и надежное". Ниже перечислены средства NOS, которые спроектированы с учетом этого пожелания.

Унифицированный вход в систему. Основная цель разработки сети заключается в том, чтобы проблема доступа к общим ресурсам стала для сетевых клиентов настолько незаметной, насколько это возможно. Это означает, что совместное использование ресурсов должно осуществляться на базе сети (или части сети), а не на базе отдельных серверов. Что же это значит?

Как показано на рис. 10.1, если доступ к общим ресурсам предоставляется на базе сети, клиенту достаточно один раз войти в сеть, чтобы получить доступ ко всем сетевым ресурсам. Если же доступ можно получить только на базе отдельных серверов, клиенты вынуждены связываться отдельно с каждым сервером, начиная с сетевого сервера входной регистрации (network login server), а затем переходить от него к ресурсам, разбросанным по всей сети.

Рис. 10.1. В идеальном случае ресурсы совместно используются группой Совместный доступ на базе сети не всегда означает, что вход в сеть сразу же предоставит немедленный доступ ко всем общим ресурсам. Для большинства пользователей это скорее будет источником лишних хлопот, чем подспорьем, по мере того как они будут сортировать ненужные ресурсы. Но в то же время это позволяет, войдя в сеть один раз, получить доступ сразу ко всем ее ресурсам.

Средства обслуживания каталогов. Ключ к облегчению использования ресурсов — оптимальная структурная организация объектов и хорошие инструменты поиска. Три сетевые операционные системы, описываемые в этом разделе, поддерживают средства обслуживания каталога как современных (NetWare и UNIX), так и грядущих версий операционных систем. В последнем случае имеется в виду Windows NT. В настоящее время в ней отсутствуют соответствующие средства обслуживания каталогов, однако это предусмотрено в ее новой версии, выпуск которой ожидается в 1999 г.

Примечание Первой из средств обслуживания каталогов (StreetTalk) была система VINES фирмы Banyan.

Средства обслуживания каталогов - это средства для построения в иерархической структуре объектов сети, причем одни из них могут включать в себя подчиненные объекты, а другие — нет. Иерархическая структура каталога выглядит примерно так, как показано на рис.

10.2.

На рис. 10.2 в качестве примера построения иерархической структуры объектов (не обязательно каталогов) использованы адреса улиц городов штата Вирджиния. Корнем служит название штата "Вирджиния". Ниже расположены названия городов, под ними — названия улиц, а еще ниже — номера домов.

Если применить схему присвоения имен, используемую средствами обслуживания каталогов, то каждому дому будет присвоен примерно такой идентификатор.

751.Main Street.Centervilie.Virginia Если пользователь применит средства обслуживания каталогов и запросит доступ к данному объекту, то он (объект) будет найден мгновенно. Во-первых, инструмент поиска (использующий такой протокол как LDAP (Light Data Access Protocol) — упрощенный протокол доступа к каталогам) локализует Virginia как корень, находящийся в конце имени.

Обратите внимание: в данной иерархической структуре каталогов, разные объекты могут иметь одинаковое "первое" имя. Весьма вероятно, что дом № 751 по Main Street (Главная улица) в г. Чесапик (Chesapeake) существует и в г. Сентервилле (Centerville), причем на той же улице. Однако это не приведет к путанице, поскольку два дома с одинаковым номером расположены на разных ветвях структуры (рис. 10.3).

Рис. 10.3. Объекты могут иметь одинаковое "первое" имя, но в то же время Безусловно, это зависит от иерархической структуры. Если бы в средствах обслуживания каталога использовались неструктурированные группы (flat groups), объекты идентифицировались бы только по своим "первым" именам — в таком случае использование общих имен стало бы невозможным.

Обнаружить объекты в иерархической структуре несложно, однако организовать их иногда бывает весьма непросто, поскольку место объекта в структуре каталогов определяет, кто сможет получить к нему доступ. Планирование структуры сетевых ресурсов — сложная задача, поскольку вам необходимо определить места их расположения, гарантирующие доступ тем людям, кому они нужны. Для систем обслуживания каталогов сложность усугубляется ее размерностью.

Расширенная поддержка аппаратных средств. Быстрый и легкий доступ означает не только совместное использование в сети дискового пространства, но также требует от NOS поддержки большого ОЗУ и мощного процессора. Пять лет назад компьютер с процессором 486DX представлял собой вполне приемлемый сервер для (некоторых) приложений. Однако по мере роста требований к серверу, возрастали и требования к поддержке соответствующего оборудования. Сегодня это означает поддержку многопроцессорных систем и процессоров с улучшенной архитектурой. Все три NOS, упомянутые в начале главы, поддерживают (по крайней мере, теоретически) работу системы, содержащей до 32 процессоров. Это, так сказать, теория, далекая от практики. Например, текущая версия Windows NT Server поддерживает работу только четырех внешних процессоров. Для большего числа процессоров можно использовать иную версию HAL (hardware accessibility layer — уровень доступности аппаратных средств) — ту часть NOS, которая обеспечивает ее связь с оборудованием, но реально может работать не более чем с восемью процессорами.

Одна из характеристик расширенной поддержки оборудования — типы поддерживаемых процессоров. В гл. 9 рассмотрены предполагаемые варианты схем процессоров серии х86 в течение 1999 — 2003 гг. Одно из ожидаемых улучшений заключается в применении 64-битовых схем, в отличие от 32-битовых, используемых в настоящее время. В частности, 64-битовые процессоры, начиная от Merced и вплоть до McKinley, будут работать быстрее 32-битовых процессоров вследствие отсутствия в них блоков, ответственных за выполнение некоторых логических функций. Однако поскольку эти логические функции все же необходимы, они будут выполняться операционной системой. В Windows 2000, как и во все новейшие операционные системы, будут встроены средства, поддерживающие 64-битовую архитектуру процессоров.

Поддержка Web-серверов. Поскольку Web жизненно важна для многих фирм (причем как для внутреннего, так и внешнего применения), рассматриваемые NOS могут работать в качестве Web-серверов. С этой точки зрения особую популярность приобрели Windows NT и UNIX. Операционная система Linux (бесплатно распространяемая версия UNIX) также стала популярным продуктом для Web-серверов.

Терминальные серверы. Многопользовательские серверы издавна используются в UNIX, однако для двух других NOS, рассматриваемых нами, это нечто совершенно новое. Как вы узнаете в гл. 12, многопользовательские операционные системы позволяют запускать приложения на сервере с помощью весьма упрощенного сетевого компьютера. Клиентный компьютер отвечает только за вывод изображений, сгенерированных приложением, а не за выполнение сколько-нибудь существенной обработки. Это влечет за собой следующее.

Во-первых, клиентные компьютеры могут быть (хотя и не обязательно) крайне упрощенными и, следовательно, дешевыми. Во-вторых, их можно соединить с сервером по медленной линии связи, поскольку между клиентом и сервером передается относительно небольшой объем данных. Кроме того, такой подход повышает эффективность использования ресурсов сетевого оборудования. Это происходит потому, что каждый сетевой клиент, использующий, например, только процессор, загружает его работой лишь в течение небольшого промежутка времени.

Многопользовательские системы могут распределять ресурсы процессора в соответствии с потребностями сети, с тем чтобы одно и то же оборудование могло выполнить больший объем работы.

Операционная система UNIX с самого начала проектировалась как многопользовательская. Первоначальную технологию многопользовательских систем Windows NT и NetWare разработала фирма Citrix Corporation, а затем лицензировала ее и для других разработчиков. В настоящее время Microsoft предлагает надстройку для Windows NT, называемую Windows ставной (но необязательной) частью в ядро следующей версии операционной системы Windows NT.

Инструментальные отладки и оптимизации. Эти инструменты не предназначены для пользователей. Они только помогают улучшить обслуживание сетью нужд пользователей.

Утилита управления печатью.

Утилита управления файлами, предназначенная для сжатия, установки разрешений Инструментальные средства удаленного администрирования для конфигурирования клиентных компьютеров и автоматизации установки на них программного обеспечения.

Инструментальные средства мониторинга сети для отслеживания сетевого трафика и обнаружения "узких" мест.

Инструментальные средства мониторинга производительности сервера для отслеживания системы показателей, например, процента загрузки процессора, памяти, свободного дискового пространства, пакетов, отсылаемых по сети с помощью какого-нибудь протокола и т.п.

Ведение журнала регистрации событий (event logging) с записями ошибок, доступа к объектам, входов пользователей, запуска средств обслуживания и т.д.

Использование этих инструментов облегчает управление ресурсами и устранение сбоев.

Средства обслуживания протокола TCP/IP Благодаря широкому распространению Internet сегодня протокол TCP/IP принят в качестве стандартного сетевого протокола. Однако его использование несколько усложняет сетевое администрирование.

Выделение IP-адресов. Как уже было указано в гл. 4, для идентификации каждого узла в сети TCP/IP необходимо выделить IP-адрес. Как правило, размеры сетей TCP/IP огромны.

Этот протокол и его конфигурирование слишком сложны, чтобы поддерживать в небольших сетях (за исключением интрасетей), если они не имеют прямого выхода в Internet. Соответственно процесс назначения индивидуальных IP-адресов каждому сетевому компьютеру вручную слишком трудоемкий. Поэтому в NOS используется средство обслуживания DHCP (Dynamic Host Configuration Protocol — протокол динамического конфигурирования компьютера).

Оно поддерживает пул достоверных IP-адресов и выделяет их сетевым компьютерам на заданный период времени. Статический адрес нужен всего нескольким компьютерам (например, основному шлюзу или серверу DHCP), поэтому администрирование сети значительно упрощается.

Определение имен. Хотя компьютерам сети TCP/IP нужны IP-адреса, большинству людей удобнее называть компьютер, скажем, SERPENT (змея), нежели 24.48.12.161. Поэтому, кроме IP-адреса каждому компьютеру следует назначить имя в соответствии с системой NetBIOS, содержащее до 16 символов, либо полностью определенное доменное имя (fully qualified domain name) в формате ftpserver.mycompany.com, а иногда — и оба имени сразу.

Такие имена могут использовать люди, но не сети. Поэтому следует предусмотреть какой-либо метод преобразования имен, удобочитаемых для человека, в имена, с которыми может работать сеть. Вначале наиболее широкое распространение получил метод преобразования имен в IP-адреса с помощью статического списка, называемого файлом HOSTS (если в IP-адреса преобразуются полностью определенные доменные имена), либо LMHOSTS (если преобразуются имена NetBIOS). В принципе, метод работает, однако преобразование занимает слишком много времени, а поддержка файлов становится нелегкой задачей. Действительно, в каждом компьютере необходимо сохранять собственный файл HOSTS или LMHOSTS, но изменение любого имени или IP-адреса необходимо зафиксировать во всех компьютерах сети.

Нечего и думать о поддержке таких файлов одновременно с применением сервера DHCP, если IP-адреса компьютеров могут полностью изменяться каждые несколько дней.

Решить эту задачу можно только созданием сервера определения имен, и именно это было сделано. Имена NetBIOS, используемые в Windows NT 4 и последующих версиях, преобразуются в IP-адреса с помощью сервера WINS (Windows Internet Naming Service — Система присвоения имен Internet для Windows). Полностью определенные доменные имена, используемые в сетях UNIX и NetWare, поддерживаются сервером DNS (Domain Name Service — служба имен домена).

В компьютере Windows NT проще использовать сервер WINS, поскольку он может динамически обновлять информацию, а отображение имен, выполняемое сервером DNS, статично. Однако последующие версии Windows NT будут поддерживать динамическую систему DNS в сетях, состоящих из серверов W2K и клиентов. WINS будет использоваться для связи с устаревшими сетями (и клиентами) в сети Microsoft.

Доступность и целостность данных Безусловно, доступ к серверу очень важен, однако если на сервере нет нужных данных или они недоступны, доступность собственно жесткого диска не имеет никакого значения.

Поэтому очень важно гарантировать пользователям доступность и сохранность данных.

Архивирование. Архивирование — важнейшая функция любой NOS. Архивированию подлежат не только пользовательские данные, но также информация о системной конфигурации. Таким образом, если понадобится переустановить систему, вам не придется заново вручную конфигурировать компьютер. Кроме того, архивируется структура каталогов, созданная средствами обслуживания (если они используются в системе).

Единственным элементом, который невозможно включить в утилиту архивирования данных на внешнее устройство (но который, тем не менее, нужен), — способность архивирования открытых файлов. Например, утилита Backup, входящая в Windows NT, в процессе работы пропускает открытые файлы, в том числе файлы HOSTS. Эту проблему можно решить остановом программы, использующей открытые файлы, и повторным ее запуском по завершении архивирования. Однако практически это не всегда выполнимо. Немаловажна также возможность установить расписание архивирования, с тем чтобы для начала процедуры архивирования сервера не требовалось вашего физического присутствия. Кроме того, при сохранении больших объемов данных важна поддержка архивирования на нескольких магнитных носителях (кассетах).

Средства, входящие сегодня в состав NetWare и предусмотренные в последующих версиях Windows, позволяют архивировать редко используемые данные и в то же время размещать их на относительно недорогих устройствах хранения большого объема. Если в течение некоторого времени к этим файлам никто не обращался, они перемещаются на архивный носитель (backup media). При этом в главном каталоге поддерживается соответствующий указатель связи (link). Если пользователь вводит команду DIR, нужный файл отображается так, будто он находится здесь постоянно, хотя связь может указывать на ленточный накопитель, оптический диск либо другой носитель. Такая система имеет два недостатка. Первый: получение данных с ленточного накопителя или оптического диска занимает большее время, чем с жесткого диска. В конечном счете, это означает, что пользователь сети (клиент) почувствует разницу в отклике системы, если он щелкнет на указателе связи с файлом, которого в действительности нет на жестком диске, даже если он отображается так, как будто он там есть.

Второй: если носитель архива (ленточный накопитель, оптический диск и т.п.) находится не там, где он был в прошлый раз (а указатель связи не был обновлен), может показаться, что операционная система зависла, хотя в это время она безуспешно ищет нужный файл. Данный метод рекомендуется использовать только в том случае, если ваша система (не только система архивирования, но и конфигурация компьютера) очень статична.

Репликация данных. Один из методов обеспечения постоянного прямого доступа к жизненно важным данным заключается в их репликации на другой сетевой сервер. Если на первом сервере происходит сбой, в работу включается второй — автоматически или вручную.

Не следует реплицировать в сети все пользовательские данные, поскольку это требует значительных временных затрат, однако вполне допустимо для данных, которые редко изменяются и необходимы для нормальной работы самой сети. Сюда относятся, например, профили пользователей или сценарии входа в систему. Кроме того, избранные файлы данных, которые нужны многим узлам, можно реплицировать ночью или в период слабой загрузки сети.

Поддержка RAID. RAID (Redundant Array of Inexpensive Disks - избыточный массив недорогих дисков) — общее название нескольких методов использования множества жестких дисков, гарантирующих целостность данных даже при аварии одного из них. RAID-поддержка может обеспечиваться аппаратно (с помощью внешнего массива дисков) либо программно, включением в массив RAID жестких дисков самого сервера. Программная поддержка чаще всего предлагается как дополнительное средство, однако аппаратная поддержка включена в качестве надстройки во все три NOS.

Существует пять видов RAID-поддержки, однако программным путем обычно поддерживают только три.

0 (чередование дисков без контроля четности).

1 (зеркальное отображение дисков).

5 (чередование дисков с контролем четности).

В целях восстановления сбоев рекомендуется использовать RAID видов 1 и 5. При зеркальном отображении дисков используют два отдельных физических диска, на которые записаны все данные. Поэтому если один из них прекращает работу, второй — по-прежнему остается доступным. Чередование дисков организовать сложнее, поскольку требуется совместно использовать несколько различных физических дисков (от 3 до 32 в чередующемся наборе с контролем четности). В данном случае вместо записи данных на единственный диск они (вместе с информацией о четности, которая может использоваться для восстановления утраченных данных) записываются в блоки на каждый физический диск чередующегося набора.

При отказе одного из дисков массива, для восстановления данных с этого диска используется информация о четности с других дисков. Неисправный диск необязательно заменять немедленно, однако это следует сделать при первой же возможности, поскольку диск необходим для обеспечения полной защиты массива.

Роль кластеризации. Кластеризация намного эффективнее RAID, поскольку гарантирует доступ к данным даже при полном разрушении сервера. Кластер представляет собой группу из нескольких серверов, соединенных наподобие сиамских близнецов высокоскоростной сетью или линиями связи SCSI.

Как указано в гл. 16, кластеризацию можно использовать не только для обеспечения отказоустойчивости, но и для повышения производительности сервера. Точно так же, как использование множества дисков может сократить время на считывание данных тома (поскольку данные можно одновременно считывать с нескольких дисков), множество серверов, связанных друг с другом в кластер, могут выполнить эту же задачу.

Надежность защиты данных Сетевым клиентам необходима возможность доступа к своим данным, и в тоже время им необходимо, чтобы никто другой не смог их получить. Операционные системы клиент/сервер спроектированы с учетом требований систем защиты, которые содержат следующие элементы:

парольную защиту и возможность установки разрешений на доступ к файлам;

предоставление прав на доступ и идентификацию системных привилегий (system систему шифрования.

В сетях используются два типа разрешений: что вам разрешено делать, и к каким объектам предоставлен доступ. В данном случае, используя принятый в Windows NT жаргон, назовем их соответственно "правами" (rights) и "разрешениями" (permissions). В операционных системах клиент/ сервер права и разрешения определяются не паролями, а установками системы защиты, которые назначены сетевым клиентам. Сетевой сервер, спроектированный для этих целей, хранит базу данных всех пользователей, имеющих доступ в сеть. После того как пользователю будет разрешен доступ в сеть, его доступ к общим объектам сети (принтерам, каталогам и т.п.) будет определяться в соответствии с разрешениями, установленными для данного объекта.

Защита доступа определяется методами организации сетевых объектов. Например, в Windows NT 4 права и разрешения распределяются на основе идентифицирующего кода (ID) пользователя или группы, а в NetWare разрешения можно предоставить на основе защитных кодов (SID) или по их месту в организации.

Много шума вокруг С Многие люди буквально сходят с ума, размышляя о том, имеет ли NOS сертификат С2.

Они думают, что его наличие означает официальное тестирование и сертификацию системы на соответствие требованиям, указанным в Оранжевой книге Агентства национальной безопасности США (Сертификат С2 получили операционные системы Windows NT 3.5 и NetWare 4.11, однако Windows NT Server 4 его не имеет). Поэтому в глазах скептиков Windows NT Server официально защищен хуже Windows NT 3.5 или NetWare 4.11.

Это, однако, не так. Обратите внимание на слова "официальное тестирование". Тестирование любого продукта федеральным правительством требует времени (фактически, нескольких лет). NetWare 4.11 выпущена значительно раньше Windows NT 4, поэтому она стоит в очереди впереди (Windows NT 4 все еще находится в процессе тестирования). NetWare 5 вообще не имеет сертификата С2, поскольку выпущена в сентябре 1998 г., но это не означает, что она не получит сертификат.

Что же представляет собою сертификат С2? Вот цитата с Web-узла www.radium.ncsc.mil: "Система, которая оценена как система уровня С2, обеспечивает ТСВ (Trusted Computing Base — доверительная база вычислений), в которой применяется подход DAC (Discretionary Access Control — Независимое управление доступом) для защиты информации и разрешения пользователям совместно использовать информацию под ее управлением и вместе с другими, точно указанными пользователями, идентификацию и удостоверение подлинности пользователей с целью управления доступом к системе и обязательной подотчетности, защиту доступа к информации, оставшейся от действий предыдущего пользователя и обеспечение аудита защиты связанных событий".

Другими словами, это означает, что системы, имеющие сертификат С2, позволяют пользователям управлять доступом к своим файлам на уровне пользователя (per-user base), предотвращать повторное использование объекта и к тому же способны выполнять аудит доступа. И это все. Некоторые правительственные агентства требуют сертификат С2, прежде чем они смогут начать использовать продукт. Однако при этом не обязательны какие-либо средства защиты системы сверх упомянутых пределов.

Microsoft Windows NT В современном виде Windows NT появилась в 1993 г. и первоначально разрабатывалась как версия LAN Manager (диспетчер LAN) фирмы Microsoft с отчетливыми признаками операционной системы VMS. (Это не удивительно, поскольку ведущие разработчики Windows NT прежде занимались операционной системой VMS для фирмы Digital, пока Microsoft не переманила их к себе.) Некоторое время в новой NOS использовался интерфейс OS/2, однако растущая популярность Microsoft Windows вынудила принять решение о замене графического пользовательского интерфейса (GUI) OS/2 на интерфейс Windows.

После выпуска Windows NT, средства ее защиты произвели потрясающее впечатление.

Но именно сходство с Windows сделало ее популярной (во всяком случае, на первых порах).

Это была NOS, которая не требовала больших трудов для изучения. Конечно, вы не станете экспертом по NOS за 1—2 дня, но за это время сможете установить и запустить сеть на основе Windows NT. Это одна из причин ее популярности, и в то же время — тревог по поводу возможного усложнения следующего поколения Windows NT.

За годы своего существования Windows NT прошла долгий путь. Поскольку эта NOS целиком основана на системах, созданных Microsoft, ей понадобилась совместимость с NetWare.

Кроме того, Windows NT работает с UNIX. С этой целью в последней бета-версии, выпушенной за время создания этой книги, используется Services for UNIX (Службы для UNIX). И хотя Windows NT не отличается такой же зрелостью, как NetWare или UNIX, за шесть лет существования она значительно выросла.

Домены - основа структуры Windows NT С точки зрения администрирования, система Windows NT Server основана на доменной структуре.

Домен — это набор, содержащий до 10 000 объектов, представляющих компьютеры, пользователей, группы пользователей, файловые объекты (каталоги и файлы), а также принтеры. Каждый объект имеет собственный защитный код (SID), идентифицирующий объект в домене. Домен можно представить как рабочую группу с централизованной базой данных системы защиты. Сеть может состоять из одного или нескольких доменов.

Домен, в свою очередь, может состоять из одной или нескольких частей LAN. Как и рабочие группы, домены — административные единицы (рис. 10.4).

Примечание Домены также имеют защитные SID-коды. Вообще-то вы не можете присвоить двум доменам одинаковое имя, однако в данном случае имена предназначены для идентификации домена пользователем, а не NOS. На этапе просмотра сети схема именования NetBIOS, используемая в Windows NT, не позволяет различить два домена с одинаковыми именами (имя домена отлично от SID). Это означает, что если вы прекращаете использовать один домен, а затем создаете другой домен с тем же именем, вы должны вновь создать защитную структуру домена "с нуля", т.е. он не будет интерпретироваться как старый домен. Точно так же можно переименовать домен, не изменяя его SID.

В домене используется плоская (flat) структура защиты. Иными словами, объекты рассматриваются индивидуально, а не как члены иерархической структуры. Например, не существует группы принтеров, в которую входят все принтеры домена. Наоборот, существуют Принтер1, Принтер2 и т.д., причем каждым придется управлять отдельно.

Система защиты основана на членстве в группе: все учетные записи пользователей относятся к той или иной группе. Каждая группа использует предварительно заданный (но редактируемый) набор прав, ассоциированный с ней. Разрешения на доступ к объектам основаны на разрешениях, предоставленных группам или отдельным пользователям, и определяются как набор свойств в списке управления доступом (ACL — Access Control List). Когда пользователь пытается получить доступ к объекту, скажем, принтеру, операционная система просматривает ACL этого принтера и на основе полученной информации предоставляет доступ на соответствующем уровне. Каждый объект имеет свой собственный ACL.

Защитой же управляют серверы Windows NT особого типа, которые называются контроллерами домена (domain controllers). В них хранится база данных системы защиты домена, идентифицирующая входы пользователей и доступ к объектам. Для идентификации доступа, в домене обязательно должен быть предусмотрен контроллер домена. В Windows NT Server используется двухуровневая система контроллеров. Защиту домена обеспечивает единственный первичный контроллер домена (PDC — Primary Domain Controller). По желанию базу данных системы защиты можно реплицировать на один или несколько резервных контроллеров домена (BDC — Backup Domain Controller), с тем, чтобы они помогали работе PDC по идентификации процесса доступа пользователей. В принципе, домену достаточно единственного PDC, однако в домене желательно использовать хотя бы один BDC. Это необходимо как для равномерного распределения рабочей загрузки, так и для повышения статуса BDC до PDC при отказе первоначально используемого PDC. В то же время излишние BDC нежелательны, поскольку трафик при репликации базы данных системы защиты на BDC может занять немалую долю ресурсов сети.

Доверительные отношения. Хотя управлять однодоменными сетями проще, возможно вам придется разделить сеть на домены по нескольким причинам. Первая: в домен можно включить не более 10 000 объектов, поэтому в очень крупных сетях с множеством объектов вы можете столкнуться с этим ограничением. Вторая причина: PDC должен реплицировать базу данных системы защиты на BDC. Если же доменные контроллеры соединены медленной или перегруженной линией связи, репликация приведет к задержкам трафика.

Если вы логически разделите сеть на множество доменов, то уменьшите трафик примерно так же, как и при использовании маршрутизаторов, физически разделяющих сеть (их применение снижает трафик, фиксируя его в том сегменте, к которому он относится). Кроме того, точно так же, как сетевые маршрутизаторы вызывают задержки, разделение сети на домены затрудняет администрирование. Например, как быть, если вы находитесь в группе домена А, но хотите получить доступ к общей папке домена В? Конечно, это возможно, однако для этого между доменами необходимо установить доверительные отношения (trust relationship).

Доверительные отношения представляют собой обоюдное соглашение между доменами, по которому один домен может использовать ресурсы другого, доверяющего ему. Эти отношения необязательно двусторонние. Фактически, по умолчанию это и не так. Кроме того, они не транзитивны. Иными словами, если домен А доверяет домену В, а домен В доверяет С, то А не доверяет С. Доверительные отношения между доменами А и С следует установить отдельно.

Структура доверительных отношений — одна из причин, по которым Windows NT Server — лучший сервер небольших сетей, состоящих из нескольких доменов. Установка двусторонних доверительных отношений между доменами А и С — настоящая пытка. Для этого необходимо следующее.

1. В PDC домена А вы должны позволить С доверять А.

2. В PDC домена С вы должны добавить А в список доверительных доменов.

3. В PDC домена С вы должны позволить А доверять С.

4. В РDС домена А вы должны добавить С в список доверительных доменов.

Примечание Вы не можете просто начать "доверять" другому домену: прежде всего, следует получить от него разрешение. И только после этого, вы сможете доверять домену.

Эти действия должны быть выполнены для двух РDС в приведенном выше порядке. Если же РDС находятся на значительном удалении друг от друга, вам придется немало побегать между компьютерами либо воспользоваться телефоном, чтобы давать указания по ходу процесса. Кроме того, поскольку доверительные отношения не транзитивны, придется повторить эту работу в каждом домене, с которым хотите совместно использовать ресурсы. Далее, вы не сможете просто объединить два домена. Чтобы переместить пользователей из одного домена в другой, необходимо вручную добавить их в этот домен, а чтобы переместить серверы Windows NT их необходимо переустановить и включить в существующий домен. Изменение имени домена не поможет — домены идентифицируются операционной системой не по именам NetBIOS, а по защитным кодам (SID), а отредактировать SID средствами пользовательского интерфейса невозможно.

Обеспечение доступа к ресурсам всем доменам. Предположим, что ваша сеть достаточно проста (для создания доверительных отношений), а работа по предоставлению доступа к ресурсам каждого домена членам других доменов еще не выполнена. В операционной системе Windows NT 4 (и ранних версиях) различают два класса групп пользователей: локальные и глобальные. Локальными группами называют такие, которые определены только внутри данного домена, в то время как глобальные — в нескольких доменах. Глобальные группы можно включать в локальные, но никогда — наоборот.

Примечание Существуют только три глобальные группы: Domain Administrators (администраторы), Domain Users (пользователи) и Domain Guests (гости).

До сих пор все шло гладко. Однако члены одного домена не могут получить доступ к ресурсам другого, если они не входят в глобальную группу. В этом случае вы можете сделать следующее.

Вручную добавить каждого члена домена А в базу данных учетных записей домена С. Это возможно, хотя и очень трудоемко, а, кроме того, приводит к увеличению размера базы данных системы защиты за счет дублирования записей.

Предоставить разрешения глобальной группе Domain Users и убедиться, что в нее входят все члены домена А. Однако это означает, что вы должны переустановить разрешения в домене С, чтобы гарантировать необходимый доступ группе Domain Вы можете включить в группу Domain Users домена А всех пользователей, которым необходим доступ к общим ресурсам, а затем включить ее в группу Local Users домена С. Это — простейший путь, поскольку всем членам глобальной группы Domain Users домена А предоставляются такие же права и разрешения, как и членам Итак, если вы собираетесь установить между доменами доверительные отношения, рекомендуем включать пользователей в глобальные, а не локальные группы.

Будущее Windows NT Server С технической точки зрения у версии Server операционной системы Windows NT, как и у версии Workstation, будущего нет. Этот продукт переименован в Windows 2000 Server, а версия Windows NT Server Enterprise Edition получила название Windows 2000 Advanced Server.

Через шесть месяцев после выпуска остальных версий Windows 2000 ожидается выпуск версии Windows 2000 DataCenter — дополнительного продукта, предназначенного для конкурентной борьбы на рынке мэйнфреймов. Но поскольку они все еще будут построены на базе Windows NT, замена имени не означает исчезновение самого продукта.

Улучшенная защита. Windows NT позиционируется на рынке как защищенная NOS, однако некоторые стандартные средства ее системы защиты не обеспечивали должной безопасности из-за требований по обратной совместимости. В следующей версии Windows NT предусмотрена поддержка четырех протоколов защиты.

Протокол NTLM (NT LAN Manager). Предназначен для сетевых клиентов, использующих сквозную аутентификацию (pass-through authentication) и для старших версий Windows NT.

Kerberos. Долгие годы используется в сетях UNIX и обеспечивает в каждом сеансе связи двустороннюю аутентификацию (two-way authentication) клиента и сервера.

Протокол TLS (Transport Layer Security protocol — Протокол защиты на транспортном уровне). Следующая версия протокола SSL (Secure Sockets Layer — уровень защищенных гнезд).

Распределенная идентификация паролей (DPA — Distributed Password Authentication). Используется в оперативных службах, таких как Microsoft Network и CompuServe.

Предупреждение В гл. 14 эти средства защиты рассматриваются более подробно. Сейчас же только укажем, что их необязательно использовать во всех сетях. В целях обратной совместимости с операционными системами, в которых не поддерживаются более совершенные протоколы, в W2K предусмотрена поддержка протокола NTLM (который весьма уязвим). Другими словами, если в вашей сети есть персональные компьютеры, работающие под управлением Windows или старших версий Windows NT, вам придется использовать NTLM.

Более гибкая файловая система. Windows 2000 будет поддерживать новую версию NTFS, в которую включены дополнительные средства.

Дисковые квоты для мониторинга или ограничения использования диска на уровне пользователя (per-user base).

Дополнительные атрибуты, позволяющие увеличить гибкость средств поиска файлов.

Журнал изменений (change log), позволяющий записывать время изменения файлов, а не только их временные ярлыки (timestamps).

Предупреждение В новой версии NTFS не предусмотрена обратная совместимость с прежними версиями, а выполняемое при ее установке обновление файловой системы необратимо.

С помощью новой версии NTFS можно назначать файлам дополнительные атрибуты и использовать их для сортировки и поиска. Кроме того, в нее включена поддержка архивирования редко используемых файлов на оптические диски и магнитные ленты, предусматривающая сохранение связи с основным каталогом.

Средства обслуживания каталогов. Одно из наиболее широко рекламируемых средств Windows 2000 - средство обслуживания каталогов, называемое Active Directory (Активный каталог). По существу, Active Directory — система организации пользователей, групп, общих ресурсов и установок системы защиты, которые операционная система отыскивает при аутентификации пользователей. Она спроектирована для улучшения управляемости доменной структуры крупных сетей. С этой целью домены логически группируются в "деревья" и "рощи".

"Деревья" — это семейства доменов, совместно использующих единое пространство имен, а "рощи" — группы деревьев.

Предполагается, что между доменами, входящими в дерево, устанавливаются транзитивные доверительные отношения (transitive trust relationships), облегчающие связи между ними. Если же в каком-либо конкретном случае полные транзитивные отношения не нужны, их можно заменить односторонними доверительными. (Если же доверительные отношения вообще нежелательны, домен не должен находиться в исходной позиции дерева.) Примечание В настоящее время фирма Cisco разрабатывает версию Active Directory для UNIX.

Novell NetWare С точки зрения предоставляемых средств операционные системы NetWare 5 и Windows NT весьма схожи. С помощью как собственных, так и разработанных независимыми производителями надстроек, они могут выполнять все функции серверной операционной системы. Чем же они различаются? Одно из различий заключается в структуре каталогов NetWare (рис. 10.5), которая радикально отличается от доменной структуры, используемой в современных версиях Windows NT. Как показано далее, в разделе "Структура каталога", она также отлична и от Active Directory.

Источники NOS Подобно Windows NT, современные версии системы NetWare в своей работе опираются не на индивидуальные компьютеры, предоставляющие общий доступ к своим ресурсам, а на групповую деятельность, обеспечивая прозрачный доступ ко всем сетевым ресурсам, независимо от компьютера, на котором они хранятся. Как показано на рис. 10.5, фактически это означает отказ от подхода, применяемого в системе NetWare 3.x, в основном опирающейся на использование серверов. В этих сетях для получения доступа к своим ресурсам пользователи должны были входить в конкретный сервер. NetWare 4.x более напоминает Windows NT, потому что в ней используется унифицированная система входа (unified logon system). Это в еще большей мере относится к современной версии NetWare 5, выпущенной в сентябре 1998 г.

Причина такого изменения вполне очевидна. Разумеется, можно организовать вход в индивидуальный сервер сети на 100 пользователей, но это трудоемкая и сложная задача. Выполнить же ее для сети на 1000 пользователей, разбросанных по разным местам, не только трудно, но практически невозможно. Для того чтобы стать расширяемыми, сетям NetWare пришлось превратиться из "набора серверов" в "набор ресурсов".

Структура каталога Унифицированный вход в сеть NetWare основывается не на доменной структуре, а на системе службы каталогов NetWare (NetWare Directory Services — NDS), которая впервые появилась в 1993 г. в NetWare 4. Если NDS не используется, то каждый сервер NetWare поддерживает собственный плоский файл базы данных (flat-file database) системных объектов, называемый базой регистрационных данных (bindery). С другой стороны, NDS служит глобальной базой данных всех сетевых ресурсов, организованных в многоуровневую иерархию.

Эта база данных логически разбита на разделы и распределяется (и реплицируется) по сетевым серверам. Это позволяет решить две задачи. Первая: если один из серверов откажет, структура каталога не теряется и ресурсы по-прежнему остаются доступными. Вторая: пользователь всегда сможет получить доступ к подходящему серверу, вместо того чтобы пытаться войти в сервер по медленной линии связи глобальной сети, или на перегруженный сервер. Возможно, точно также пришлось бы поступить и в домене Windows NT, в котором установлен единственный РDС и отсутствуют BDC, что позволяет распределить рабочую нагрузку.

В NDS могут существовать объекты двух типов: контейнеры и листья (leaf objects).

Объекты-контейнеры, как ясно из названия, могут состоять из других объектов, а также организаций (О - Organization) и организационных единиц (OU — Organization Unit). В свою очередь, организационные единицы могут содержать другие организации, или объекты-листья, которые, в основном, представляют собой отдельные ресурсы, а не их категории.

Серверы, пользователи, принтеры и другие объекты-листья могут входить в организации или организационные единицы и идентифицироваться по полностью определенному доменному имени (fully qualified domain name), которое определяется по месту объекта в иерархии. Поскольку в NetWare используют иерархическую систему, ее объекты могут иметь общие "первые" имена и в то же время находиться на разных ветвях дерева.

Совет Чтобы не слишком усложнять имена, фирма Novell рекомендует создавать деревья каталогов глубиной не более четырех уровней.

Деревья каталогов часто строят соответственно производственным функциям или географическому положению, но в принципе конструкция зависит от вас. Фактически, при использовании NDS конструирование дерева каталогов составляет труднейшую задачу, поскольку от нее зависит доступ клиентов к сетевым ресурсам. В целом, при конструировании дерева основное внимание следует уделять ресурсам, необходимым клиентам, а не их должности или зданиям, где они работают.

Чем различаются NDS и Active Directory Хотя обе системы называют "системами обслуживания каталога", они различны. ВажГлава 10. Сетевые операционные системы нейшее различие между ними — метод назначения и хранения разрешений.

Организация разрешений на доступ к объектам. В NDS разрешения на доступ к объектам организованы не в соответствии с кодами групп и пользователей, а в соответствии с организациями (О) или организационными единицами (OU). Если вы перемещаете учетную запись пользователя из организационной единицы (OU) с названием ENGINEERING в единицу, называемую MARKETING, она теряет все разрешения от ENGINEERING, но приобретает все разрешения от MARKETING.

С другой стороны, Active Directory организует разрешения на доступ в соответствии с кодом пользователей и групп, как и доменная система, используемая в Windows NT. Перемещение пользователей из одной организационной единицы в другую совершенно не затрагивает их разрешения. Чтобы изменить набор разрешений пользователя, необходимо удалить его из группы ENGINEERING и включить в MARKETING. Если же вы просто включите пользователя в группу MARKETING и не удалите из ENGINEERING, пользователь сохранит оба набора разрешений.

Какой подход лучше? Это зависит от того, как вы привыкли работать. Если вам проще запомнить набор разрешений, ассоциированный с организационной единицей, то предпочтительнее использовать подход, предлагаемый NetWare, но если вам проще запомнить членство в группе, то, вероятно, вам больше понравится подход Windows NT.

Хранение разрешений на доступ к объектам. В NDS разрешения сохраняются по возможности на самом верхнем уровне дерева каталогов, а затем распространяются на все нижележащие объекты данного дерева. В Active Directory, наоборот, все разрешения на доступ к объекту сохраняются в самом объекте. Поэтому размер объектов Active Directory (и, соответственно, баз данных Active Directory) намного больше, чем в NDS, поскольку они должны сохранять собственные права (rights). Но в то же время такой метод хранения разрешений несколько ускоряет работу операционной системы, поскольку ей нет нужды "подниматься" по дереву, чтобы установить, какие разрешения определены на вершине организационной единицы.

И опять-таки, все зависит от выбора. Тем, кто предпочитает иметь базы данных разумного размера, вероятно, понравится подход Novell. Те же, кому необходим быстрый доступ, оценят метод Microsoft.

Еще одно различие заключается не в организации разрешений, а в организации самого дерева, когда оно охватывает несколько физических местоположений. В Active Directory наименьшей организационной единицей является домен. В NDS же это - раздел, который может иметь меньшие размеры, чем домен. Каждая фирма уверяет в превосходстве своего метода — Microsoft указывает на то, что доменная структура стимулирует концентрацию сетевых ресурсов в одном месте, a Novell обращает внимание на то, что разделение на разделы (partitions) позволяет сегментировать запросы ресурсов и снизить трафик.

Версии операционной системы UNIX На заре появления сетей, операционные системы и оборудование, как правило, взаимно зависели друг от друга: чтобы запустить компьютер данной модели, требовалось установить на нем операционную систему, спроектированную именно для данного компьютера. Первоначально UNIX была спроектирована фирмой Bell Labs как опытный образец операционной системы со следующими характеристиками.

Независимость от платформы.

Совместимость с другими платформами и приложениями, которые придерживались Способность к взаимодействию (в том отношении, что UNIX могла работать в сетях различных поставщиков);

Благодаря антимонопольному законодательству фирма AT&T не могла продавать новую NOS (UNIX изначально разрабатывалась как сетевая операционная система), но программа быстро распространилась по исследовательским организациям и учебным заведениям. В последующие годы эти организации создали на основе данной NOS множество взаимно несовместимых и неупорядоченных операционных систем, в которых, тем не менее, сохранилось ядро UNIX. Фактически, существует около 20 версий этой OS. Наибольшую популярность приобрели HP/UX фирмы Hewlett-Packard, SunOS/Solaris фирмы Sun Microsystems, AIX фирмы IBM и другие.

Упрощенная версия UNIX – Linux В конце 1998 г. широкую популярность начала приобретать одна из версий UNIX, называемая Linux. Co времен ее зарождения в 1991 г. и начала бесплатного распространения в 1993 г. Linux дорабатывалась сотнями программистов всего мира. Причину понять несложно — исходный код Linux распространялся бесплатно, и людям нравилось дорабатывать его, каждому на свой лад. В то же время все внесенные исправления и улучшения становятся всеобщим достоянием. Все стоящие изменения операционной системы санкционируются ее создателем — Линусом Торвальдсом (Linus Torvalds), и отнюдь не всякое изменение вносится в "официальную" версию.

Как можно понять из документов Halloween, упомянутых в гл. 1 при обсуждении модели OSI, фирма Microsoft озабочена угрозой Windows NT со стороны Linux. И на то есть основательные причины. Linux опирается на группу преданных своему делу разработчиков (и многим из них ничего не нужно, кроме доказательства превосходства Linux). Эта сетевая операционная система работает с компьютерами х86, станциями Digital Alphas и Sun SPARC, поэтому она действительно более гибкая, чем Windows NT, которая в настоящее время может работать только на х86 и Alpha. Многих пользователей Linux привлекает относительно скромными требованиями к оборудованию. Так, вы можете использовать ее для спокойного запуска Web-сервера на 486 компьютере. Требования же Windows 2000 намного серьезнее.

Кроме того, Linux поддерживается ведущими производителями оборудования и программного обеспечения.

Тем не менее, в настоящее время Linux пока не в состоянии одержать верх над Windows NT. Во всяком случае, это произойдет не скоро. Пользователи пока еще недостаточно заинтересованы в загрузке операционной системы с ftp-узла фирмы RedHat (доступного по адресу www.redhat.com), а те, кто специально ее заказывают, не собираются ее использовать в коммерческих целях. До сих пор большинство установок системы Linux — единичные или любительские по сравнению с установками Windows NT в деловой сфере. Другой аспект, ограничивающий распространение Linux как серверной операционной системы, связан с характером распределения процессорного времени. Windows NT и другие основные коммерческие операционные системы распределяют время процессора для операций ядра (kernel operations) по потокам, a Linux — по процессам, благодаря чему распределение ресурсов процессора намного менее детализировано. Кроме того, потоки, как и приложения, исполняются в пользовательском режиме, а метод постановки последних в очередь ухудшает отклик приложений Linux по сравнению с теми, что созданы для Windows NT и Windows 9x. Фактически, Linux более напоминает систему Windows 3.x, использующую коллективную многозадачность (cooperative multitasking) и требующую, чтобы приложения освобождали процессор по завершении работы, а не многозадачный режим с приоритетами (preemptive multitasking), используемый в 32-битовых версиях Windows, который заставляет приложения освобождать процессор через регулярные интервалы. Наконец, Linux не может эффективно поддерживать многопроцессорное оборудование, поскольку его программный код спроектирован для одновременной работы с единственным процессором. Таким образом, эта NOS не способна работать со многими производственными серверными приложениями.

В настоящее время Linux в основном применяется в качестве исследовательской платформы и платформы для Web-серверов. Однако после некоторых изменений его архитектуры, а также из-за большой доступности для пользователей, он может стать конкурентом Windows NT, по крайней мере, в каком-то сегменте рынка.

Примечание До сих пор усилия разных производителей UNIX не привели к созданию единой унифицированной версии этой операционной системы, однако работа продолжается.

Что же делает UNIX уникальным? Во-первых, его сетевая файловая система (NFS — network file system), разработанная фирмой Sun Microsystems в конце 80-х гг. NFS позволяет совместно использовать файлы и ресурсы нескольких серверов так, как будто они находятся на одном компьютере. Причем NFS позволяет делать это, даже если ресурсы расположены не просто на разных компьютерах, но и на компьютерах, использующих разные платформы. Так, мэйнфреймы и серверы Windows NT отображаются NFS как совершенно одинаковые ресурсы.

NFS экспортирует их, а затем сетевые клиенты монтируют (mount), или подсоединяют ресурсы, когда они им нужны, в соответствии с предоставленными разрешениями, что и составляет основу сетевой технологии клиент/сервер.

Другое нововведение UNIX — сетевая информационная система (NIS — Network Information System), которая необходима всем NOS. NIS представляет собой часть операционной системы, унифицирующей вход в сеть. По существу, это средство обслуживания каталогов для сети, содержащее такую информацию, как пароли, списки групп пользователей, физические адреса, IP-адреса и т.д. Если вам необходимо найти в сети какой-либо компьютер, он должен отображаться где-нибудь в NIS.

Windows NT имеет многие достоинства UNIX, именно поэтому их структура и средства во многом схожи, как было указано ранее, в разделе "Общие средства". Подобно Windows NT, в UNIX встроена поддержка обязательных средств обслуживания файлов и печати, интранет, защиты на уровне объектов, программной RAID-поддержки и т.д. А вот что есть в UNIX, и чего пока нет в Windows NT — отличные возможности расширения. В настоящее время Internet в основном является сетью UNIX с небольшой добавкой Windows NT. И в своем нынешнем состоянии, в другой ситуации, Windows NT не могла бы работать. Просто доменная структура Windows NT не может масштабироваться, а если ее заставить обрабатывать слишком много процессов сразу, то Windows NT разрушится.

Что ждет UNIX в будущем? Это — зрелая операционная система, и хотя, вероятно, UNIX будет в какой-то мере адаптироваться к современным требованиям, ей не требуется какой-либо особой доработки, как Windows NT и NetWare. Действительно, развитие Windows NT и NetWare в основном заключается в добавлении средств, которые уже есть в UNIX. Более существен вопрос выпуска унифицированной версии UNIX, с тем чтобы предоставить пользователям единую платформу, решив тем самым некоторые проблемы совместимости. Однако в настоящее время это представляется маловероятным. Слишком многие понесут крупные убытки, если перейдут на единый стандарт. Более того, политическая обстановка в мире UNIX не поощряет возникновение унифицированного подхода, который возможен, если продукт выпускает единственная фирма, как, например, фирма Microsoft выпускает Windows NT Server или фирма Novell — NetWare. Скорее, нововведения станут более корректными, и Линус Торвальдс (Linus Torvalds) сумеет их оценить. Таким образом, хотя UNIX никуда не уходит и все еще сохраняет популярность в крупных сетях, маловероятно, что она сумеет вытеснить Windows NT и NetWare.

Выводы В соответствии с отчетом Международной корпорации обработки данных (International Data Corporation — IDC), выпущенном в конце 1998 г., большую часть рынка все еще удерживает UNIX, занимая 45,8% всех серверных операционных систем, проданных в 1997 г.

Второе место занимает Windows NT (34,2%), далее следует NetWare (19%). Возможно, доля продаж UNIX возрастет, и это будет сюрпризом для тех, кто предсказывал ее неизбежное вытеснение системой Windows NT.

Примечание Между прочим, в отчете не указано, как используется каждая сетевая операционная система.

Так, UNIX в испытательной среде (test environment) рассматривалась наравне с Windows NT Какая же NOS лучше всех? Это зависит от того, что вы собираетесь делать с ее помощью. UNIX — превосходная гибкая, стабильная и защищенная операционная система для крупномасштабных сетей. Так и должно быть — она работает и развивается уже 30 лет, так что вы можете надеяться, что имевшиеся ошибки уже исправлены. Однако в ней по-прежнему остается узким местом проблема межсетевого взаимодействия с широко распространенными клиентами Microsoft. Кроме того, до сих пор не создана единая версия этой NOS.

Windows NT все еще борется за то, чтобы ее приняли всерьез в крупномасштабных сетях. Это - хорошая операционная система для сетей средних размеров, где ее простота и совместимость имеют большое значение при работе с множеством установленных клиентов Microsoft. Однако в ней все еще не решены проблемы расширяемости, возникающие из особенностей организации ее системы защиты, основанной на доменной структуре. Поэтому на рынке крупных сетей господствуют UNIX и, в меньшей степени, NetWare. Проблему расширяемости частично должно решить включение в следующее поколение Windows NT средств обслуживания каталогов. Однако несмотря на большие надежды, во время создания этой книги Windows 2000 существовала только как вторая бета-версия, поэтому пока еще рано говорить, как проявят себя при испытаниях заложенные в нее хорошие идеи. Кроме того, по-прежнему остаются нерешенными вопросы защиты, хотя это относится, скорее, к следующей версии, в которой предусмотрена поддержка Kerberos — протокола защиты, первоначально разработанного для UNIX. (Интересно, насколько Windows NT станет похожа на UNIX после внесения всех исправлений?) A NetWare? NetWare постепенно уступает рынок Windows NT, но те, кто ее используют, работают с хорошо обустроенной NOS, имеющей множество средств, которые еще только появляются в Windows NT (средства обслуживания каталогов, реальная поддержка связи с UNIX и т.д.). Кроме того, в настоящее время работает огромное число серверов NetWare, так что эта NOS не скоро уйдет со сцены.

Итак, на чем бы вы ни остановили свой выбор, в этой главе перечислены все основные, пользующиеся наибольшей популярностью операционные системы, как одноранговые, так и системы типа клиент/сервер. В гл. 11 мы рассмотрим основные типы приложений, которые можно исполнять с помощью этих операционных систем.

Упражнение 1. Вы добавили нового пользователя в свою одноранговую сеть, состоящую из компьютеров Windows 95 и Windows NT Workstation. Он пытается получить доступ к общей папке на компьютере Windows NT, однако не может сделать это — система требует ввести пароль для общего ресурса IPC. В то же время, пользователь может получить доступ к любому ресурсу компьютера Windows 95. В чем тут дело?

2. При прочих равных условиях, в какой службе каталога больше размер базы данных:

NDS фирмы Novell или Active Directory фирмы Microsoft? Почему?

3. Насколько существенно то обстоятельство, что NetWare 4.11 имеет сертификат С2, a 4. В каких случаях UNIX предпочтительнее Windows NT? В каких случаях Windows NT предпочтительнее UNIX?

5. Характеристики Linux более сходны с Windows NT, чем Windows 3.x в том, что относится к распределению рабочих циклов процессора между исполняемыми потоками?

Ответьте "да" или "нет".

6. Linux конкурирует со следующими операционными системами.

Глава Приложения локальных сетей и их лицензирование Сетевая операционная система — всего лишь средство поддержки важнейших инструментов локальной сети. В этой главе рассматриваются приложения, которые могут понадобиться вашим сетевым клиентам, и их взаимодействие с сетью. Прочитав главу, вы будете лучше знать возможности, которые может предоставить сеть после установки прикладного программного обеспечения, а также требования к лицензированию программ.

Взаимодействие приложений с сетями В некоторых случаях приложения выполняются на сетевых компьютерах не так, как на автономных. Одни приложения работают в сети точно так же, как и на автономном компьютере, другие же, наоборот, требуют наличия соединения с сетью, а некоторые при подключении к сети предоставляют дополнительные средства.

Неосведомленные о сети приложения (LAN-unaware applications) не слишком "беспокоятся", подключен компьютер к сети или нет. Единственное дополнительное функциональное средство, которое они могут "заметить" — большее число дисков, где они могут сохранять данные. Однако такое приложение не ощущает разницы между дисками с сетевым и локальным доступом. Примером такого приложения может быть Microsoft Word 97, позволяющий просматривать содержимое Web-узлов.

Осведомленные о сети приложения (LAN-aware application) могут работать и на автономном компьютере, однако при подключении к сети предоставляют дополнительные функциональные средства, которые позволяют им взаимодействовать с другими сетевыми компьютерами. Например, приложению, работающему с базой данных, установленному на автономном компьютере, нет надобности блокировать доступ к записям и файлам, поскольку одновременно его может получить только один пользователь. После того как это приложение начинает работать в сети, ему понадобится такая возможность. Конкретным примером приложения, "распознающего" сеть, может служить операционная система Windows, поскольку ее интерфейс и функционирование средств изменяются при подключении к сети ранее автономной машины.

Зависимые от сети приложения (LAN-dependent application) выполняют работу, которая обязательно требует подключения к локальной сети. Утилиты одноранговой речевой связи (peer chat utilities), офисная электронная почта, групповое планирование и подобные приложения полностью зависят от подключения к сети.

Как работает хорошее сетевое приложение В большинстве случаев хорошее автономное приложение (stand-alone application) прекрасно работает и в качестве сетевого приложения, поскольку и к тому, и к другому предъявляются в принципе одинаковые требования: оно должно быть простым в использовании, обеспечивать, необходимые пользователю средства, а также устойчиво работать. К приложениям, предназначенным для работы в тонких клиентных сетях, предъявляются более специфические требования (они рассматриваются в гл. 12). В то же время мобильным пользователям необходимы такие приложения, которые могут повсюду "следовать" за ними.

Независимо от того, какие именно клиентные машины подключены к сети (тонкие или обычные сетевые), сети с мобильными пользователями предъявляют особое требование к пользовательским приложениям: возможность получать доступ к его установкам (user preferences), откуда бы он ни вошел в сеть. В сетях некоторых типов, например Windows, поддерживаются профили пользователя, сохраняются наборы установок — цвета, экранная заставка, содержимое меню Пуск (Start) и т.д. Когда задействованы профили пользователя, установки сохраняются в папке, зарезервированной для данного сетевого клиента. В этом случае, независимо от того, с какого компьютера пользователь Джон войдет в сеть, его рабочий стол будет выглядеть совершенно одинаково.

В профилях пользователя могут также сохраняться установки приложений (application settings), так что Джон увидит не только свою любимую заставку, но также свои пользовательские словари, а также файлы и закладки, сделанные в броузерах документов (browser bookmarks). Единственная тонкость заключается в том, что приложение должно быть спроектировано таким образом, чтобы эти пользовательские установки сохранялись вместе с другой информацией, относящейся именно к конкретному пользователю, но не конкретному компьютеру. В противном случае словари Джона должны храниться на единственном компьютере, но без его персональных установок глобальных параметров, следующих за ним, откуда бы он ни вошел в сеть.

Поясним сказанное выше примером. Предположим, что в понедельник Джон входит в компьютер FROGGIE, работающий под управлением Windows, и использует Microsoft Word 97, а также Netscape Communicator 4.5. Microsoft Word 97 сохраняет пользовательские установки текстового процессора в том разделе системного реестра (Registry) (базе данных системной конфигурации Windows), который относится к пользователю, в данный момент вошедшему в систему. Netscape Communicator, наоборот, сохраняет пользовательские установки части системного реестра, относящейся к компьютеру. Следовательно, когда в четверг Джон войдет в компьютер EGRET и запустит Word и Netscape Communicator, он сможет получить доступ к личным словарям, но не к закладкам. Гарри же войдет в компьютер FROGGIE и получит в свое распоряжение стандартные словари Microsoft Word с закладками Джона.

Конечно, это не самое страшное, что может случиться, однако это достаточно неудобно, поскольку Джон должен всегда использовать один и тот же компьютер либо отказаться от сохранения закладок (несомненное неудобство). В худшем случае это нарушает конфиденциальность его данных и даже представляет потенциальную угрозу системе защиты, что зависит от установок, которые он использовал при настройке Communicator. Таким образом, если вы поддерживаете мобильных пользователей, желательно применять для работы такие приложения, которые сохраняли бы информацию, полученную от конкретного пользователя, вместе с остальными его установками.

Типы приложений Какие типы приложения чаще всего можно встретить в сети? Фактически — любые, однако их можно разделить на две основные категории.

Допускающие работу независимых пользователей.

Допускающие работу пользователя как члена группы.

В следующем разделе описываются приложения обоих типов.

Деловые приложения Деловые приложения предназначены для персонального использования. Разумеется, проект, над которым работает пользователь, может быть групповым, но с приложением должен работать единственный пользователь. Понятие "деловые приложения" — это почти все, что можно сделать с помощью компьютера.

Текстовые процессоры.

Настольные издательские системы.

Бухгалтерские пакеты.

Электронные таблицы.

Клиентные приложения баз данных.

Программное обеспечение для управления проектами.

Графические приложения.

Хотя деловые приложения могут использоваться индивидуально, имеет смысл применять какой-нибудь общий формат файлов, с тем чтобы при необходимости разные пользователи могли совместно применять эти файлы. Например, всем клиентам сети желательно пользоваться одинаковыми текстовыми процессорами — это значительно упрощает совместное использование файлов, даже если для их конвертирования из одного формата в другой не приходится прилагать значительных усилий.

Средства координирования Программное обеспечение для организации связи (communications software) зачастую зависит от сети. Оно используется для таких приложений, как электронная почта, отправление факсов, управление звонками (call management) и во многих других ситуациях, когда пользователям сети необходима связь друг с другом и внешним миром.

Использование электронной почты. Электронная почта прошла путь от занятной игрушки для недоумков (geeks) до обязательного компонента офисной связи. Она не просто "еще один циркуль для вычерчивания окружностей". Скорее, это инструмент обеспечения оперативной и сравнительно конфиденциальной офисной связи. Ее преимущества таковы.

Для переписки не используется бумага.

Нет нужды знать местоположение лица, с которым вам необходимо связаться.

Возможность прилагать к сообщению файлы, необходимые получателю.

При использовании электронной почты следует учитывать, что она обеспечивает только относительную, но не полную конфиденциальность. Даже если удалить сообщение электронной почты, оно не исчезнет полностью. Как правило, копии отброшенных сообщений сохраняются в архиве или другом месте. Как довелось убедиться фирме Microsoft (и не только ей) по ходу изучения ее деловой практики Министерством юстиции США, сообщение электронной почты может использоваться как улика. "Благодаря" сообщениям электронной почты многие фирмы были привлечены к ответственности, поэтому некоторые из них прекратили ее использовать для передачи важной информации.

Использование факсимильных услуг. Возможно, вам уже доводилось использовать программное обеспечение для факсимильной связи. В автономном компьютере оно работает подобно принтеру, перенаправляя печатные задания с параллельного порта на модем, соединенный с последовательным портом.