NETSGUIDES

КОМПЬЮТЕРНЫЕ СЕТИ

Поиск:

 

Microsoft Windows NT

Статьи / Локальные сети / Глава 10. Сетевые операционные системы / Сетевые операционные системы клиент/сервер / Microsoft Windows NT

В современном виде Windows NT появилась в 1993 г. и первоначально разрабатывалась как версия LAN Manager (диспетчер LAN) фирмы Microsoft с отчетливыми признаками операционной системы VMS. (Это не удивительно, поскольку ведущие разработчики Windows NT прежде занимались операционной системой VMS для фирмы Digital, пока Microsoft не переманила их к себе.) Некоторое время в новой NOS использовался интерфейс OS/2, однако растущая популярность Microsoft Windows вынудила принять решение о замене графического пользовательского интерфейса (GUI) OS/2 на интерфейс Windows.
После выпуска Windows NT, средства ее защиты произвели потрясающее впечатление.
Но именно сходство с Windows сделало ее популярной (во всяком случае, на первых порах).
Это была NOS, которая не требовала больших трудов для изучения. Конечно, вы не станете экспертом по NOS за 1—2 дня, но за это время сможете установить и запустить сеть на основе Windows NT. Это одна из причин ее популярности, и в то же время — тревог по поводу возможного усложнения следующего поколения Windows NT.
За годы своего существования Windows NT прошла долгий путь. Поскольку эта NOS целиком основана на системах, созданных Microsoft, ей понадобилась совместимость с NetWare.
Кроме того, Windows NT работает с UNIX. С этой целью в последней бета-версии, выпушенной за время создания этой книги, используется Services for UNIX (Службы для UNIX). И хотя Windows NT не отличается такой же зрелостью, как NetWare или UNIX, за шесть лет существования она значительно выросла.

Домены - основа структуры Windows NT

С точки зрения администрирования, система Windows NT Server основана на доменной структуре.
Домен — это набор, содержащий до 10 000 объектов, представляющих компьютеры, пользователей, группы пользователей, файловые объекты (каталоги и файлы), а также принтеры. Каждый объект имеет собственный защитный код (SID), идентифицирующий объект в домене. Домен можно представить как рабочую группу с централизованной базой данных системы защиты. Сеть может состоять из одного или нескольких доменов.
Домен, в свою очередь, может состоять из одной или нескольких частей LAN. Как и рабочие группы, домены — административные единицы (рис. 10.4).

Примечание:
Домены также имеют защитные SID-коды. Вообще-то вы не можете присвоить двум доменам одинаковое имя, однако в данном случае имена предназначены для идентификации домена пользователем, а не NOS. На этапе просмотра сети схема именования NetBIOS, используемая в Windows NT, не позволяет различить два домена с одинаковыми именами (имя домена отлично от SID). Это означает, что если вы прекращаете использовать один домен, а затем создаете другой домен с тем же именем, вы должны вновь создать защитную структуру домена "с нуля", т.е. он не будет интерпретироваться как старый домен. Точно так же можно переименовать домен, не изменяя его SID.

В домене используется плоская (flat) структура защиты. Иными словами, объекты рассматриваются индивидуально, а не как члены иерархической структуры. Например, не существует группы принтеров, в которую входят все принтеры домена. Наоборот, существуют Принтер1, Принтер2 и т.д., причем каждым придется управлять отдельно.
Система защиты основана на членстве в группе: все учетные записи пользователей относятся к той или иной группе. Каждая группа использует предварительно заданный (но редактируемый) набор прав, ассоциированный с ней. Разрешения на доступ к объектам основаны на разрешениях, предоставленных группам или отдельным пользователям, и определяются как набор свойств в списке управления доступом (ACL — Access Control List). Когда пользователь пытается получить доступ к объекту, скажем, принтеру, операционная система просматривает ACL этого принтера и на основе полученной информации предоставляет доступ на соответствующем уровне. Каждый объект имеет свой собственный ACL.
Защитой же управляют серверы Windows NT особого типа, которые называются контроллерами домена (domain controllers). В них хранится база данных системы защиты домена, идентифицирующая входы пользователей и доступ к объектам. Для идентификации доступа, в домене обязательно должен быть предусмотрен контроллер домена. В Windows NT Server используется двухуровневая система контроллеров. Защиту домена обеспечивает единственный первичный контроллер домена (PDC — Primary Domain Controller). По желанию базу данных системы защиты можно реплицировать на один или несколько резервных контроллеров домена (BDC — Backup Domain Controller), с тем, чтобы они помогали работе PDC по идентификации процесса доступа пользователей. В принципе, домену достаточно единственного PDC, однако в домене желательно использовать хотя бы один BDC. Это необходимо как для равномерного распределения рабочей загрузки, так и для повышения статуса BDC до PDC при отказе первоначально используемого PDC. В то же время излишние BDC нежелательны, поскольку трафик при репликации базы данных системы защиты на BDC может занять немалую долю ресурсов сети.

Доверительные отношения. Хотя управлять однодоменными сетями проще, возможно вам придется разделить сеть на домены по нескольким причинам. Первая: в домен можно включить не более 10 000 объектов, поэтому в очень крупных сетях с множеством объектов вы можете столкнуться с этим ограничением. Вторая причина: PDC должен реплицировать базу данных системы защиты на BDC. Если же доменные контроллеры соединены медленной или перегруженной линией связи, репликация приведет к задержкам трафика.
Если вы логически разделите сеть на множество доменов, то уменьшите трафик примерно так же, как и при использовании маршрутизаторов, физически разделяющих сеть (их применение снижает трафик, фиксируя его в том сегменте, к которому он относится). Кроме того, точно так же, как сетевые маршрутизаторы вызывают задержки, разделение сети на домены затрудняет администрирование. Например, как быть, если вы находитесь в группе домена А, но хотите получить доступ к общей папке домена В? Конечно, это возможно, однако для этого между доменами необходимо установить доверительные отношения (trust relationship).
Доверительные отношения представляют собой обоюдное соглашение между доменами, по которому один домен может использовать ресурсы другого, доверяющего ему. Эти отношения необязательно двусторонние. Фактически, по умолчанию это и не так. Кроме того, они не транзитивны. Иными словами, если домен А доверяет домену В, а домен В доверяет С, то А не доверяет С. Доверительные отношения между доменами А и С следует установить отдельно.
Структура доверительных отношений — одна из причин, по которым Windows NT Server — лучший сервер небольших сетей, состоящих из нескольких доменов. Установка двусторонних доверительных отношений между доменами А и С — настоящая пытка. Для этого необходимо следующее.

1. В PDC домена А вы должны позволить С доверять А.
2. В PDC домена С вы должны добавить А в список доверительных доменов.
3. В PDC домена С вы должны позволить А доверять С.
4. В РDС домена А вы должны добавить С в список доверительных доменов.

Примечание:
Вы не можете просто начать "доверять" другому домену: прежде всего, следует получить от него разрешение. И только после этого, вы сможете доверять домену.

Эти действия должны быть выполнены для двух РDС в приведенном выше порядке. Если же РDС находятся на значительном удалении друг от друга, вам придется немало побегать между компьютерами либо воспользоваться телефоном, чтобы давать указания по ходу процесса. Кроме того, поскольку доверительные отношения не транзитивны, придется повторить эту работу в каждом домене, с которым хотите совместно использовать ресурсы. Далее, вы не сможете просто объединить два домена. Чтобы переместить пользователей из одного домена в другой, необходимо вручную добавить их в этот домен, а чтобы переместить серверы Windows NT их необходимо переустановить и включить в существующий домен. Изменение имени домена не поможет — домены идентифицируются операционной системой не по именам NetBIOS, а по защитным кодам (SID), а отредактировать SID средствами пользовательского интерфейса невозможно.
Обеспечение доступа к ресурсам всем доменам. Предположим, что ваша сеть достаточно проста (для создания доверительных отношений), а работа по предоставлению доступа к ресурсам каждого домена членам других доменов еще не выполнена. В операционной системе Windows NT 4 (и ранних версиях) различают два класса групп пользователей: локальные и глобальные. Локальными группами называют такие, которые определены только внутри данного домена, в то время как глобальные — в нескольких доменах. Глобальные группы можно включать в локальные, но никогда — наоборот.

Примечание:
Существуют только три глобальные группы: Domain Administrators (администраторы), Domain Users (пользователи) и Domain Guests (гости).

До сих пор все шло гладко. Однако члены одного домена не могут получить доступ к ресурсам другого, если они не входят в глобальную группу. В этом случае вы можете сделать следующее.
● Вручную добавить каждого члена домена А в базу данных учетных записей домена С. Это возможно, хотя и очень трудоемко, а, кроме того, приводит к увеличению размера базы данных системы защиты за счет дублирования записей.
● Предоставить разрешения глобальной группе Domain Users и убедиться, что в нее входят все члены домена А. Однако это означает, что вы должны переустановить разрешения в домене С, чтобы гарантировать необходимый доступ группе Domain Users домена А.
● Вы можете включить в группу Domain Users домена А всех пользователей, которым необходим доступ к общим ресурсам, а затем включить ее в группу Local Users домена С. Это — простейший путь, поскольку всем членам глобальной группы Domain Users домена А предоставляются такие же права и разрешения, как и членам Local Group домена С.

Итак, если вы собираетесь установить между доменами доверительные отношения, рекомендуем включать пользователей в глобальные, а не локальные группы.

Будущее Windows NT Server

С технической точки зрения у версии Server операционной системы Windows NT, как и у версии Workstation, будущего нет. Этот продукт переименован в Windows 2000 Server, а версия Windows NT Server Enterprise Edition получила название Windows 2000 Advanced Server.
Через шесть месяцев после выпуска остальных версий Windows 2000 ожидается выпуск версии Windows 2000 DataCenter — дополнительного продукта, предназначенного для конкурентной борьбы на рынке мэйнфреймов. Но поскольку они все еще будут построены на базе Windows NT, замена имени не означает исчезновение самого продукта.

Улучшенная защита. Windows NT позиционируется на рынке как защищенная NOS, однако некоторые стандартные средства ее системы защиты не обеспечивали должной безопасности из-за требований по обратной совместимости. В следующей версии Windows NT предусмотрена поддержка четырех протоколов защиты.

Протокол NTLM (NT LAN Manager). Предназначен для сетевых клиентов, использующих сквозную аутентификацию (pass-through authentication) и для старших версий Windows NT.

Kerberos. Долгие годы используется в сетях UNIX и обеспечивает в каждом сеансе связи двустороннюю аутентификацию (two-way authentication) клиента и сервера.

Протокол TLS (Transport Layer Security protocol — Протокол защиты на транспортном уровне). Следующая версия протокола SSL (Secure Sockets Layer — уровень защищенных гнезд).

Распределенная идентификация паролей (DPA — Distributed Password Authentication).
Используется в оперативных службах, таких как Microsoft Network и CompuServe.

Предупреждение:
В гл. 14 эти средства защиты рассматриваются более подробно. Сейчас же только укажем, что их необязательно использовать во всех сетях. В целях обратной совместимости с операционными системами, в которых не поддерживаются более совершенные протоколы, в W2K предусмотрена поддержка протокола NTLM (который весьма уязвим). Другими словами, если в вашей сети есть персональные компьютеры, работающие под управлением Windows или старших версий Windows NT, вам придется использовать NTLM.

Более гибкая файловая система. Windows 2000 будет поддерживать новую версию NTFS, в которую включены дополнительные средства.
● Дисковые квоты для мониторинга или ограничения использования диска на уровне пользователя (per-user base).
● Дополнительные атрибуты, позволяющие увеличить гибкость средств поиска файлов.
● Журнал изменений (change log), позволяющий записывать время изменения файлов, а не только их временные ярлыки (timestamps).

Предупреждение:
В новой версии NTFS не предусмотрена обратная совместимость с прежними версиями, а выполняемое при ее установке обновление файловой системы необратимо.

С помощью новой версии NTFS можно назначать файлам дополнительные атрибуты и использовать их для сортировки и поиска. Кроме того, в нее включена поддержка архивирования редко используемых файлов на оптические диски и магнитные ленты, предусматривающая сохранение связи с основным каталогом.

Средства обслуживания каталогов. Одно из наиболее широко рекламируемых средств Windows 2000 - средство обслуживания каталогов, называемое Active Directory (Активный каталог). По существу, Active Directory — система организации пользователей, групп, общих ресурсов и установок системы защиты, которые операционная система отыскивает при аутентификации пользователей. Она спроектирована для улучшения управляемости доменной структуры крупных сетей. С этой целью домены логически группируются в "деревья" и "рощи".
"Деревья" — это семейства доменов, совместно использующих единое пространство имен, а "рощи" — группы деревьев.
Предполагается, что между доменами, входящими в дерево, устанавливаются транзитивные доверительные отношения (transitive trust relationships), облегчающие связи между ними. Если же в каком-либо конкретном случае полные транзитивные отношения не нужны, их можно заменить односторонними доверительными. (Если же доверительные отношения вообще нежелательны, домен не должен находиться в исходной позиции дерева.)

Примечание:
В настоящее время фирма Cisco разрабатывает версию Active Directory для UNIX.