62187 (Анализ и комплекс мероприятий по обслуживанию локальной сети службы по делам детей Северодонецкого городского совета), страница 4

Наилучшей стратегией для большинства сетей Windows представляется установка операционной системы и всех прочих приложений на локальные диски рабочих станций в сочетании с хранением всех рабочих файлов на серверах сети. Наиболее распространенная практика заключается в создании на сервере индивидуального каталога для каждого пользователя, при чем пользователю предоставляется полный контроль над собственным каталогом. Затем следует сконфигурировать все приложения для хранения рабочих файлов в этом каталоге по умолчанию, чтобы никакой ценной информации не оставалось на локальном диске.

В организации возможность сформировать стабильную и жизнеспособную конфигурацию рабочих станций предоставлена администратору.

Одним из моментов конфигурирования рабочих станций заключается в обозначении диска сервера одной и той же буквой для всех рабочих станций. Если в сети есть серверы приложений, предоставляющие свои ресурсы всем пользователям сети (например, сервер базы данных компании), тогда каждая система сети должна обозначать диск этого сервера одной и той же буквой.

Для реализации стабильного набора букв, соответствующим дискам пользователей, можно применить скрипты входа. Они содержат команды NET USE, отображающие диски определенных серверов при каждом подключении пользователя к сети. Правильное структурирование этих команд позволит создать единый скрипт входа в сеть для многочисленных пользователей.

Для разрешения каждому пользователю возвращать свои собственные конфигурационные установки при регистрации в системе существуют отдельные профили.

Создание профилей пользователей представляет собой метод хранения ярлыков и установок конфигурации рабочего стола индивидуальных пользователей в каталогах, к которым возможно получение доступа в процессе запуска систем. Если профили пользователей хранятся на рабочей станции, то становится возможным её совместная эксплуатация несколькими пользователями, причем без необходимости перезаписывать конфигурационные установки при регистрации в системе. Если же профили хранятся на сервере сети, пользователи смогут получать к ним доступ с любой рабочей станции. Это называется перемещаемым профилем. Кроме того, можно заставить пользователей загружать определенный профиль при каждом входе в систему и запретить им изменять его – это обязательный профиль.

Если в вопросах обеспечения конфигурации рабочих станций предполагается опираться на размещение профилей пользователей на сервере, то следует обязательно предпринять ряд мер для того, чтобы эти профили всегда оставались доступными пользователям, когда бы они не подключались к сети.

Администратор может контролировать реестр рабочей станции. Системный реестр является центральным хранилищем данных о конфигурации в операционных системах Windows, и осуществление контроля над ним есть одна из наиболее важных частей работы системного администратора. Возможность получения доступа к реестру рабочей станции, как удаленно, так и автоматизированном режиме, позволит контролировать практически любой аспект функциональности системы, а также защищать сам реестр от повреждения из-за неавторизованных изменений.

Все 32-битные операционные системы Windows включают возможность проведения системной политики, варианты которой позволяют осуществлять значительный объем контроля над конфигурацией рабочей станции. Определив набор правил системной политики и внедрив его, можно контролировать, к каким именно компонентам операционной системы будет разрушен доступ пользователей, какие приложения эти пользователи смогут запускать, а также какой вид будет иметь их рабочий стол. Правила системной политики представляют собой не более чем набор установок системного реестра, которые упакованы в файл системной политики и хранятся на диске сервера. Когда пользователь подключается к сети, рабочая станция загружает файл системной политики с сервера и применяет зафиксированные там установки к своему системному реестру.

Редактор системной политики представляет собой просто инструмент для создания файлов системной политики, он совершенно не контролирует конкретные варианты политики, которые создает. Сами правила системной политики берут начало из шаблонов системной политики, которые представляют собой файлы формата ASCII, содержащие ключи реестра, возможные значения, пояснительный текст. Все это формирует правила политики.

С помощью системной политики можно ограничить доступ к файловой системе, что представляет собой еще один способ защиты рабочих станций от вмешательств со стороны пользователей. Блокирование этого доступа не допустит перемещение, удаление или изменения файлов, необходимых для функционирования операционной системы рабочей станции.

2.3.2 Средства выявления неисправностей

Существует 7 уровней сетевого стека, определенных в эталонной модели OSI.

7.Прикладной (напр. HTTP, SMTP, SNMP, FTP, Telnet, scp, NFS, RTSP, BGP)

6.Представительный (напр. XML, XDR, ASN.1, SMB, AFP)

5.Сеансовый (напр. TLS, SSL, ISO 8327 / CCITT X.225, RPC, NetBIOS, ASP)

4.Транспортный (напр. TCP, UDP, RTP, SCTP, SPX, ATP, DCCP, GRE)

3.Сетевой (напр. IP, ICMP, IGMP, CLNP, OSPF, RIP, IPX, DDP)

2.Канальный (напр. Ethernet, Token ring, PPP, HDLC, X.25, Frame relay, ISDN, ATM, MPLS, Wi-Fi, ARP, RARP)

1.Физический (напр. электричество, радио, оптоволокно)

Нарушения могут возникнуть фактически на любом уровне, и средства, используемые для диагностики проблем на различных уровнях, совершенно различны. Знание доступных средств является существенным моментом в борьбе с неисправностями.

Некоторые возможности по выявлению неисправностей встроены в стандартные операционные системы. Далее рассмотрены некоторые из средств выявления проблем сети, предоставляемые операционными системами, наиболее широко используемыми в современных сетях.

Операционные системы Windows включают различные средства, которые можно применять для управления сетевыми соединениями и выявления связанных с ними проблем. Далее рассмотрены некоторые из них:

1) Команда NET является основным средством управления из командной строки для сетевого клиента Windows. Эту команду можно использовать для выполнения многих сетевых функций, схожих с теми, что позволяют осуществлять графические утилиты, такие как Windows Explorer (проводник Windows). Поскольку NET – утилита командной строки, то существует возможность включать ее в скрипты регистрации и командные файлы. Например, NET можно использовать для входа и выхода из сети, подключения сетевых ресурсов совместного использования, запуска и остановки сервисов, размещения в сети разделяемых ресурсов.

Команда NET реализована как файл с именем NET.exe, который помещается в системный каталог в процессе инсталяции операционной системы. Чтобы использовать эту программу, нужно запустить файл из командной строки, указав подкоманду, которая может иметь дополнительные параметры.

2) NET Watcher (Инспектор сети) – это утилита, включенная в Windows 95/98 и Windows NT Server 4.0 Resourse Kit. которая позволяет отслеживать пользователей сети, подключенных к компьютеру, ресурсы совместного использования, к которым они в данный момент осуществляют доступ, и файлы, открытые удаленными пользователями. Также можно отключать пользователей от ресурсов совместного использования, принудительно закрывать файлы, которые эти пользователи открыли, и создавать или удалять разделяемые ресурсы. NET Watcher обычно применяется для определения, кто из пользователей в данный момент осуществляет доступ к ресурсам совместного использования и файлам данного компьютера. Однако с точки зрения администрирования лучшая возможность этого приложения заключается в том, что оно позволяет соединиться с другими компьютерами в сети и выполнить на них эти действия удаленно.

3) Web Administrator – это дополнение к серверу Интернета (IIS) от Microsoft, которое позволяет управлять многими элементами системы Windows NT 4.0 Server при помощи любого Web-браузера, совместимого с языком Java.

Задачи, которые позволяет решать Web Administrator:

• управления локальными и доменными учетными записями пользователей, групп и компьютеров;

• управление драйверами устройств, установленными в системе;

• просмотр журнала регистрации событий событий NT;

• управление разрешениями общих ресурсов и файлов системы;

• отправление сообщений пользователям, зарегистрировавшимся на сервере;

• удаленная перезагрузка сервера;

• управление очередями печати и их содержимым;

• запуск, остановка и приостановка работы сервисов;

• мониторинг сеансов и отключение пользователей;

• просмотр информации о состоянии сервера и статистики производительности.

4) Microsoft NetMeeting – вообще, это программное средство для содания конференций и коллективной работы, предназначенное для работы через Интернет, но оно также может оказать большую услугу администратору сети. NetMeeting является частью полной установки Internet Explorer 4 и 5, но и помимо этого программа также доступна в отдельно в виде версий для Windows 95/98 и NT/2000. Одна из возможностей NetMeeting называется «общий доступ к рабочему столу», она позволяет удаленному пользователю получить полный контроль над компьютером. Администраторы могут прибегнуть к этой возможности для удаленного конфигурирования системы, установки программного обеспечения и даже для запуска приложений, и все без какого-либо прямого взаимодействия с удаленного компьютера.

Также широко используются утилиты TCP/IP. В следствии того, что TCP/IP стал наиболее распространенным стеком протоколов в сетевой индустрии, поэтому многие задачи администрирования сети и выявления неисправностей включают в себя работу с различными элементами этих протоколов. Так как практически все компьютерные платформы поддерживают TCP/IP, его основные служебные средства были перенесены на множество различных операционных систем, а некоторые из них адаптированы к специальным нуждам. Далее рассматриваются некоторые из этих средств, но в большей степени с точки зрения полезности для администратора сети, нежели чем с позиции составляющих элементов и специфики реализации.

Утилита Ping, несомненно, является наиболее распространенным средством диагностики TCP/IP и включена практически в каждую реализацию протоколов TCP/IP. В большинстве случаев это – утилита командной строки, хотя существует несколько графических версий, а также версии на базе меню. Все они выполняют одни и те же задачи. Основная функция Ping заключается в отправке сообщения другой TCP/IP-системе сети, чтобы определить, правильно ли работает стек протоколов вплоть до Сетевого уровня. Так как стек протоколов TCP/IP функционирует одинаково во всех системах, то можно использовать программу для проверки соединения между двумя любыми компьютерами вне зависимости от процессорной платформы или операционной системы.

Traceroute – утилита, которая обычно реализована как программа командной строки и включена в большинству стеков TCP/IP, хотя иногда она носит другое имя. В системах Unix команда называется traceroute, а реализация для Windows с такими же функциональными возможностями называется Tracert.exe. Назначением этого программного средства являются отображения маршрута, который преодолевают пакеты IP, чтобы достигнуть определенной системы назначения.

Таблица маршрутизации является жизненно важной частью сетевого стека любой системы TCP/IP, даже той, что не выполняет функции маршрутизатора. Система использует таблицу маршрутизации, чтобы определить, каким образом следует передавать каждый пакет. Пакет Route.exe в Windows и команда route, включенная в большинство версий UNIX, позволяет просматривать таблицу маршрутизации и добавлять или удалять записи в ней.

Netstat является утилитой командной строки, которая отображает статистику сетевого трафика для различных протоколов TCP/IP и, в зависимости от платформы, может также выводить на экран другую информацию. Большинство вариантов UNIX поддерживают команду netstat, а операционные системы Windows включают программу Netstat.exe, которая по умолчанию устанавливается вместе со стеком TCP/IP. Параметры командной строки для netstat в разных реализациях могут варьироваться, но одним из основных является параметр –s, который отображает статистику для каждого из основных протоколов TCP/IP.

Не считая общего числа пакетов, принятых и переданных каждым протоколом, netstat предоставляет различную информацию о сбойных ситуациях и других процессах, которая может помочь выявить проблемы сетевого взаимодействия на различных уровнях модели OSI.

Nslookup является утилитой, которая позволяет отправлять запросы непосредственно определенному DNS-серверу, чтобы разрешить имена в IP-адреса или запросить иную информацию. В отличии от других методов разрешения имен, таких как использование Ping, Nslookup позволяет указать, какой из серверов получит команды, что дает возможность определить, правильно ли работает DNS-сервер и содержит ли он верные данные.

Программа Ipconfig является простой утилитой для отображения конфигурационных параметров TCP/IP системы. Это особенно полезно, когда для автоматической конфигурации клиентов TCP/IP в сети используется серверы DHCP, так как для пользователей не существует другого простого способа увидеть, какие установки были назначены их рабочими станциями.

Анализатор сети является мощным инструментом, который может быть легко использован в целях выявления проблем в сети и ее поддержки. Когда программа декодирует пакет, она отображает все его содержимое, включая информацию, которая может быть секретной. Протокол FTP, например, передает пароли пользователя в текстовом виде, и они могут быть легко прочитаны при захвате пакетов анализаторов сети.