Чем больше изменений, тем больше и сходства. По мере развития сетевых операционных систем, между ними появляется все больше сходств. В самом деле, производители смотрят друг на друга и думают: "Черт побери! Это хорошая идея. Наверно, она понравится людям. Следует использовать ее и в нашей NOS". Из-за таких решений получили широкое распространение графический пользовательский интерфейс (GUI — graphical user interface), заменивший интерфейс командной строки (command-line interface); поддержка средств работы с каталогами; улучшенная система защиты (защита паролями, шифрованием данных); службы архивирования и т.п. Конечно, не все перечисленные средства входят в любую операционную систему, однако они либо разрабатываются, либо доступны как часть пакетов надстроек (add-on pack), таких как Microsoft BackOffice.
Совет:
Многие средства NOS нередко предоставляются и независимыми поставщиками,
предлагающими средства, отсутствующие в NOS. Так, в качестве программных
средств независимых разработчиков поставляются программы архивирования,
поддержка RAID и средств работы с каталогами.
Быстрый и простой доступ
Если вы спросите кого-нибудь, чья работа зависит от сети, что бы он хотел от NOS в первую очередь, чаще всего вам ответят: "Что-нибудь с хорошим откликом и надежное". Ниже перечислены средства NOS, которые спроектированы с учетом этого пожелания.
Унифицированный вход в систему. Основная цель разработки сети заключается в
том, чтобы проблема доступа к общим ресурсам стала для сетевых клиентов
настолько незаметной, насколько это возможно. Это означает, что совместное
использование ресурсов должно осуществляться на базе сети (или части сети), а
не на базе отдельных серверов. Что же это значит?
Как показано на рис. 10.1, если доступ к общим ресурсам предоставляется на базе
сети, клиенту достаточно один раз войти в сеть, чтобы получить доступ ко всем
сетевым ресурсам. Если же доступ можно получить только на базе отдельных
серверов, клиенты вынуждены связываться отдельно с каждым сервером, начиная с
сетевого сервера входной регистрации (network login server), а затем переходить
от него к ресурсам, разбросанным по всей сети.
Совместный доступ на базе сети не всегда означает, что вход в сеть сразу же предоставит немедленный доступ ко всем общим ресурсам. Для большинства пользователей это скорее будет источником лишних хлопот, чем подспорьем, по мере того как они будут сортировать ненужные ресурсы. Но в то же время это позволяет, войдя в сеть один раз, получить доступ сразу ко всем ее ресурсам.
Средства обслуживания каталогов. Ключ к облегчению использования ресурсов — оптимальная структурная организация объектов и хорошие инструменты поиска. Три сетевые операционные системы, описываемые в этом разделе, поддерживают средства обслуживания каталога как современных (NetWare и UNIX), так и грядущих версий операционных систем. В последнем случае имеется в виду Windows NT. В настоящее время в ней отсутствуют соответствующие средства обслуживания каталогов, однако это предусмотрено в ее новой версии, выпуск которой ожидается в 1999 г.
Примечание:
Первой из средств обслуживания каталогов (StreetTalk) была система VINES фирмы
Banyan.
Средства обслуживания каталогов - это средства для построения в
иерархической структуре объектов сети, причем одни из них могут включать в себя
подчиненные объекты, а другие — нет. Иерархическая структура каталога выглядит
примерно так, как показано на рис.
10.2.
На рис. 10.2 в качестве примера построения иерархической структуры объектов
(не обязательно каталогов) использованы адреса улиц городов штата Вирджиния.
Корнем служит название штата "Вирджиния". Ниже расположены названия
городов, под ними — названия улиц, а еще ниже — номера домов.
Если применить схему присвоения имен, используемую средствами обслуживания
каталогов, то каждому дому будет присвоен примерно такой идентификатор.
751.Main Street.Centervilie.Virginia
Если пользователь применит средства обслуживания каталогов и запросит доступ
к данному объекту, то он (объект) будет найден мгновенно. Во-первых, инструмент
поиска (использующий такой протокол как LDAP (Light Data Access Protocol) —
упрощенный протокол доступа к каталогам) локализует Virginia как корень,
находящийся в конце имени.
Обратите внимание: в данной иерархической структуре каталогов, разные объекты
могут иметь одинаковое "первое" имя. Весьма вероятно, что дом № 751
по Main Street (Главная улица) в г. Чесапик (Chesapeake) существует и в г.
Сентервилле (Centerville), причем на той же улице. Однако это не приведет к
путанице, поскольку два дома с одинаковым номером расположены на разных ветвях
структуры (рис. 10.3).
Безусловно, это зависит от иерархической структуры. Если бы в средствах
обслуживания каталога использовались неструктурированные группы (flat groups),
объекты идентифицировались бы только по своим "первым" именам — в
таком случае использование общих имен стало бы невозможным.
Обнаружить объекты в иерархической структуре несложно, однако организовать их
иногда бывает весьма непросто, поскольку место объекта в структуре каталогов
определяет, кто сможет получить к нему доступ. Планирование структуры сетевых
ресурсов — сложная задача, поскольку вам необходимо определить места их
расположения, гарантирующие доступ тем людям, кому они нужны. Для систем
обслуживания каталогов сложность усугубляется ее размерностью.
Расширенная поддержка аппаратных средств. Быстрый и легкий доступ означает
не только совместное использование в сети дискового пространства, но также
требует от NOS поддержки большого ОЗУ и мощного процессора. Пять лет назад
компьютер с процессором 486DX представлял собой вполне приемлемый сервер для
(некоторых) приложений. Однако по мере роста требований к серверу, возрастали и
требования к поддержке соответствующего оборудования. Сегодня это означает
поддержку многопроцессорных систем и процессоров с улучшенной архитектурой. Все
три NOS, упомянутые в начале главы, поддерживают (по крайней мере,
теоретически) работу системы, содержащей до 32 процессоров. Это, так сказать,
теория, далекая от практики. Например, текущая версия Windows NT Server
поддерживает работу только четырех внешних процессоров. Для большего числа
процессоров можно использовать иную версию HAL (hardware accessibility layer —
уровень доступности аппаратных средств) — ту часть NOS, которая обеспечивает ее
связь с оборудованием, но реально может работать не более чем с восемью
процессорами.
Одна из характеристик расширенной поддержки оборудования — типы поддерживаемых
процессоров. В гл. 9 рассмотрены предполагаемые варианты схем процессоров серии
х86 в течение 1999 — 2003 гг. Одно из ожидаемых улучшений заключается в
применении 64-битовых схем, в отличие от 32-битовых, используемых в настоящее
время. В частности, 64-битовые процессоры, начиная от Merced и вплоть до
McKinley, будут работать быстрее 32-битовых процессоров вследствие отсутствия в
них блоков, ответственных за выполнение некоторых логических функций. Однако
поскольку эти логические функции все же необходимы, они будут выполняться
операционной системой. В Windows 2000, как и во все новейшие операционные
системы, будут встроены средства, поддерживающие 64-битовую архитектуру
процессоров.
Поддержка Web-серверов. Поскольку Web жизненно важна для многих фирм (причем как для внутреннего, так и внешнего применения), рассматриваемые NOS могут работать в качестве Web-серверов. С этой точки зрения особую популярность приобрели Windows NT и UNIX. Операционная система Linux (бесплатно распространяемая версия UNIX) также стала популярным продуктом для Web-серверов.
Терминальные серверы. Многопользовательские серверы издавна используются в
UNIX, однако для двух других NOS, рассматриваемых нами, это нечто совершенно
новое. Как вы узнаете в гл. 12, многопользовательские операционные системы
позволяют запускать приложения на сервере с помощью весьма упрощенного сетевого
компьютера. Клиентный компьютер отвечает только за вывод изображений,
сгенерированных приложением, а не за выполнение сколько-нибудь существенной
обработки. Это влечет за собой следующее.
Во-первых, клиентные компьютеры могут быть (хотя и не обязательно) крайне
упрощенными и, следовательно, дешевыми. Во-вторых, их можно соединить с
сервером по медленной линии связи, поскольку между клиентом и сервером
передается относительно небольшой объем данных. Кроме того, такой подход
повышает эффективность использования ресурсов сетевого оборудования. Это
происходит потому, что каждый сетевой клиент, использующий, например, только
процессор, загружает его работой лишь в течение небольшого промежутка времени.
Многопользовательские системы могут распределять ресурсы процессора в
соответствии с потребностями сети, с тем чтобы одно и то же оборудование могло
выполнить больший объем работы.
Операционная система UNIX с самого начала проектировалась как
многопользовательская. Первоначальную технологию многопользовательских систем
Windows NT и NetWare разработала фирма Citrix Corporation, а затем
лицензировала ее и для других разработчиков. В настоящее время Microsoft
предлагает надстройку для Windows NT, называемую Windows Terminal Server (Терминальный
сервер Windows — WTS), однако эта надстройка войдет составной (но
необязательной) частью в ядро следующей версии операционной системы Windows NT.
Инструментальные отладки и оптимизации. Эти инструменты не предназначены для пользователей. Они только помогают улучшить обслуживание сетью нужд пользователей.
● Утилита управления печатью.
● Утилита управления файлами, предназначенная для сжатия, установки разрешений
на доступ к файлам и т.п.
● Инструментальные средства удаленного администрирования для конфигурирования
клиентных компьютеров и автоматизации установки на них программного
обеспечения.
● Инструментальные средства мониторинга сети для отслеживания сетевого трафика
и обнаружения "узких" мест.
● Инструментальные средства мониторинга производительности сервера для
отслеживания системы показателей, например, процента загрузки процессора,
памяти, свободного дискового пространства, пакетов, отсылаемых по сети с
помощью какого-нибудь протокола и т.п.
● Ведение журнала регистрации событий (event logging) с записями ошибок,
доступа к объектам, входов пользователей, запуска средств обслуживания и т.д.
Использование этих инструментов облегчает управление ресурсами и устранение сбоев.
Средства обслуживания протокола TCP/IP
Благодаря широкому распространению Internet сегодня протокол TCP/IP принят в качестве стандартного сетевого протокола. Однако его использование несколько усложняет сетевое администрирование.
Выделение IP-адресов. Как уже было указано в гл. 4, для идентификации
каждого узла в сети TCP/IP необходимо выделить IP-адрес. Как правило, размеры
сетей TCP/IP огромны.
Этот протокол и его конфигурирование слишком сложны, чтобы поддерживать в
небольших сетях (за исключением интрасетей), если они не имеют прямого выхода в
Internet. Соответственно процесс назначения индивидуальных IP-адресов каждому
сетевому компьютеру вручную слишком трудоемкий. Поэтому в NOS используется
средство обслуживания DHCP (Dynamic Host Configuration Protocol — протокол
динамического конфигурирования компьютера).
Оно поддерживает пул достоверных IP-адресов и выделяет их сетевым компьютерам
на заданный период времени. Статический адрес нужен всего нескольким
компьютерам (например, основному шлюзу или серверу DHCP), поэтому
администрирование сети значительно упрощается.
Определение имен. Хотя компьютерам сети TCP/IP нужны IP-адреса, большинству
людей удобнее называть компьютер, скажем, SERPENT (змея), нежели 24.48.12.161.
Поэтому, кроме IP-адреса каждому компьютеру следует назначить имя в
соответствии с системой NetBIOS, содержащее до 16 символов, либо полностью
определенное доменное имя (fully qualified domain name) в формате
ftpserver.mycompany.com, а иногда — и оба имени сразу.
Такие имена могут использовать люди, но не сети. Поэтому следует предусмотреть
какой-либо метод преобразования имен, удобочитаемых для человека, в имена, с
которыми может работать сеть. Вначале наиболее широкое распространение получил
метод преобразования имен в IP-адреса с помощью статического списка,
называемого файлом HOSTS (если в IP-адреса преобразуются полностью определенные
доменные имена), либо LMHOSTS (если преобразуются имена NetBIOS). В принципе,
метод работает, однако преобразование занимает слишком много времени, а
поддержка файлов становится нелегкой задачей. Действительно, в каждом компьютере
необходимо сохранять собственный файл HOSTS или LMHOSTS, но изменение любого
имени или IP-адреса необходимо зафиксировать во всех компьютерах сети.
Нечего и думать о поддержке таких файлов одновременно с применением сервера
DHCP, если IP-адреса компьютеров могут полностью изменяться каждые несколько
дней.
Решить эту задачу можно только созданием сервера определения имен, и именно это
было сделано. Имена NetBIOS, используемые в Windows NT 4 и последующих версиях,
преобразуются в IP-адреса с помощью сервера WINS (Windows Internet Naming
Service — Система присвоения имен Internet для Windows). Полностью определенные
доменные имена, используемые в сетях UNIX и NetWare, поддерживаются сервером
DNS (Domain Name Service — служба имен домена).
В компьютере Windows NT проще использовать сервер WINS, поскольку он может
динамически обновлять информацию, а отображение имен, выполняемое сервером DNS,
статично. Однако последующие версии Windows NT будут поддерживать динамическую
систему DNS в сетях, состоящих из серверов W2K и клиентов. WINS будет
использоваться для связи с устаревшими сетями (и клиентами) в сети Microsoft.
Доступность и целостность данных
Безусловно, доступ к серверу очень важен, однако если на сервере нет нужных
данных или они недоступны, доступность собственно жесткого диска не имеет
никакого значения.
Поэтому очень важно гарантировать пользователям доступность и сохранность
данных.
Архивирование. Архивирование — важнейшая функция любой NOS. Архивированию
подлежат не только пользовательские данные, но также информация о системной
конфигурации. Таким образом, если понадобится переустановить систему, вам не
придется заново вручную конфигурировать компьютер. Кроме того, архивируется структура
каталогов, созданная средствами обслуживания (если они используются в системе).
Единственным элементом, который невозможно включить в утилиту архивирования
данных на внешнее устройство (но который, тем не менее, нужен), — способность
архивирования открытых файлов. Например, утилита Backup, входящая в Windows NT,
в процессе работы пропускает открытые файлы, в том числе файлы HOSTS. Эту
проблему можно решить остановом программы, использующей открытые файлы, и
повторным ее запуском по завершении архивирования. Однако практически это не
всегда выполнимо. Немаловажна также возможность установить расписание
архивирования, с тем чтобы для начала процедуры архивирования сервера не
требовалось вашего физического присутствия. Кроме того, при сохранении больших объемов
данных важна поддержка архивирования на нескольких магнитных носителях
(кассетах).
Средства, входящие сегодня в состав NetWare и предусмотренные в последующих
версиях Windows, позволяют архивировать редко используемые данные и в то же
время размещать их на относительно недорогих устройствах хранения большого
объема. Если в течение некоторого времени к этим файлам никто не обращался, они
перемещаются на архивный носитель (backup media). При этом в главном каталоге
поддерживается соответствующий указатель связи (link). Если пользователь вводит
команду DIR, нужный файл отображается так, будто он находится здесь постоянно,
хотя связь может указывать на ленточный накопитель, оптический диск либо другой
носитель. Такая система имеет два недостатка. Первый: получение данных с
ленточного накопителя или оптического диска занимает большее время, чем с
жесткого диска. В конечном счете, это означает, что пользователь сети (клиент)
почувствует разницу в отклике системы, если он щелкнет на указателе связи с
файлом, которого в действительности нет на жестком диске, даже если он
отображается так, как будто он там есть.
Второй: если носитель архива (ленточный накопитель, оптический диск и т.п.)
находится не там, где он был в прошлый раз (а указатель связи не был обновлен),
может показаться, что операционная система зависла, хотя в это время она
безуспешно ищет нужный файл. Данный метод рекомендуется использовать только в
том случае, если ваша система (не только система архивирования, но и
конфигурация компьютера) очень статична.
Репликация данных. Один из методов обеспечения постоянного прямого доступа к
жизненно важным данным заключается в их репликации на другой сетевой сервер.
Если на первом сервере происходит сбой, в работу включается второй —
автоматически или вручную.
Не следует реплицировать в сети все пользовательские данные, поскольку это
требует значительных временных затрат, однако вполне допустимо для данных,
которые редко изменяются и необходимы для нормальной работы самой сети. Сюда
относятся, например, профили пользователей или сценарии входа в систему. Кроме
того, избранные файлы данных, которые нужны многим узлам, можно реплицировать
ночью или в период слабой загрузки сети.
Поддержка RAID. RAID (Redundant Array of Inexpensive Disks - избыточный
массив недорогих дисков) — общее название нескольких методов использования
множества жестких дисков, гарантирующих целостность данных даже при аварии
одного из них. RAID-поддержка может обеспечиваться аппаратно (с помощью
внешнего массива дисков) либо программно, включением в массив RAID жестких
дисков самого сервера. Программная поддержка чаще всего предлагается как
дополнительное средство, однако аппаратная поддержка включена в качестве
надстройки во все три NOS.
Существует пять видов RAID-поддержки, однако программным путем обычно
поддерживают только три.
● 0 (чередование дисков без контроля четности).
● 1 (зеркальное отображение дисков).
● 5 (чередование дисков с контролем четности).
В целях восстановления сбоев рекомендуется использовать RAID видов 1 и 5.
При зеркальном отображении дисков используют два отдельных физических диска, на
которые записаны все данные. Поэтому если один из них прекращает работу, второй
— по-прежнему остается доступным. Чередование дисков организовать сложнее,
поскольку требуется совместно использовать несколько различных физических
дисков (от 3 до 32 в чередующемся наборе с контролем четности). В данном случае
вместо записи данных на единственный диск они (вместе с информацией о четности,
которая может использоваться для восстановления утраченных данных) записываются
в блоки на каждый физический диск чередующегося набора.
При отказе одного из дисков массива, для восстановления данных с этого диска
используется информация о четности с других дисков. Неисправный диск
необязательно заменять немедленно, однако это следует сделать при первой же
возможности, поскольку диск необходим для обеспечения полной защиты массива.
Роль кластеризации. Кластеризация намного эффективнее RAID, поскольку
гарантирует доступ к данным даже при полном разрушении сервера. Кластер
представляет собой группу из нескольких серверов, соединенных наподобие
сиамских близнецов высокоскоростной сетью или линиями связи SCSI.
Как указано в гл. 16, кластеризацию можно использовать не только для
обеспечения отказоустойчивости, но и для повышения производительности сервера.
Точно так же, как использование множества дисков может сократить время на
считывание данных тома (поскольку данные можно одновременно считывать с
нескольких дисков), множество серверов, связанных друг с другом в кластер,
могут выполнить эту же задачу.
Надежность защиты данных
Сетевым клиентам необходима возможность доступа к своим данным, и в тоже время им необходимо, чтобы никто другой не смог их получить. Операционные системы клиент/сервер спроектированы с учетом требований систем защиты, которые содержат следующие элементы:
● парольную защиту и возможность установки разрешений на доступ к файлам;
● предоставление прав на доступ и идентификацию системных привилегий (system
privileges);
● систему шифрования.
В сетях используются два типа разрешений: что вам разрешено делать, и к каким объектам предоставлен доступ. В данном случае, используя принятый в Windows NT жаргон, назовем их соответственно "правами" (rights) и "разрешениями" (permissions). В операционных системах клиент/ сервер права и разрешения определяются не паролями, а установками системы защиты, которые назначены сетевым клиентам. Сетевой сервер, спроектированный для этих целей, хранит базу данных всех пользователей, имеющих доступ в сеть. После того как пользователю будет разрешен доступ в сеть, его доступ к общим объектам сети (принтерам, каталогам и т.п.) будет определяться в соответствии с разрешениями, установленными для данного объекта.
Защита доступа определяется методами организации сетевых объектов. Например, в Windows NT 4 права и разрешения распределяются на основе идентифицирующего кода (ID) пользователя или группы, а в NetWare разрешения можно предоставить на основе защитных кодов (SID) или по их месту в организации.
Много шума вокруг С2
Многие люди буквально сходят с ума, размышляя о том, имеет ли NOS
сертификат С2.
Они думают, что его наличие означает официальное тестирование и сертификацию
системы на соответствие требованиям, указанным в Оранжевой книге Агентства
национальной безопасности США (Сертификат С2 получили операционные системы
Windows NT 3.5 и NetWare 4.11, однако Windows NT Server 4 его не имеет).
Поэтому в глазах скептиков Windows NT Server официально защищен хуже Windows NT
3.5 или NetWare 4.11.
Это, однако, не так. Обратите внимание на слова "официальное
тестирование". Тестирование любого продукта федеральным правительством
требует времени (фактически, нескольких лет). NetWare 4.11 выпущена значительно
раньше Windows NT 4, поэтому она стоит в очереди впереди (Windows NT 4 все еще
находится в процессе тестирования). NetWare 5 вообще не имеет сертификата С2,
поскольку выпущена в сентябре 1998 г., но это не означает, что она не получит
сертификат.
Что же представляет собою сертификат С2? Вот цитата с Web-узла
www.radium.ncsc.mil: "Система, которая оценена как система уровня С2,
обеспечивает ТСВ (Trusted Computing Base — доверительная база вычислений), в
которой применяется подход DAC (Discretionary Access Control — Независимое
управление доступом) для защиты информации и разрешения пользователям совместно
использовать информацию под ее управлением и вместе с другими, точно указанными
пользователями, идентификацию и удостоверение подлинности пользователей с целью
управления доступом к системе и обязательной подотчетности, защиту доступа к
информации, оставшейся от действий предыдущего пользователя и обеспечение
аудита защиты связанных событий".
Другими словами, это означает, что системы, имеющие сертификат С2, позволяют
пользователям управлять доступом к своим файлам на уровне пользователя
(per-user base), предотвращать повторное использование объекта и к тому же
способны выполнять аудит доступа. И это все. Некоторые правительственные
агентства требуют сертификат С2, прежде чем они смогут начать использовать
продукт. Однако при этом не обязательны какие-либо средства защиты системы
сверх упомянутых пределов.
Оборудование
Настало время побеседовать об оборудовании, используемом при построении локальных сетей. В этой главе мы обсудим технические особенности современных сетевых адаптеров, концентраторов, характеристики к ...
Стеки протоколов
Как уже упоминалось ранее, в локальных сетях могут совместно работать компьютеры разных производителей, оснащенные различным набором устройств и обладающие несхожими техническими характеристиками. На ...
Создание плана восстановления после аварии
Архивирование — важный, но не единственный аспект подготовки к
восстановлению после аварии. Оно составляет только часть общего плана.
План восстановления после аварии представляет собой подробн ...