46732 (Адміністрування комп’ютерних мереж), страница 2

У наш час існує безліч засобів для віддаленого управління і адміністрування комп'ютерів мережі. Засіб управління комп'ютером може бути підключене і до віддалених машин для виконання досить широкого кола задач, але далеко не всіх. Велика кількість проблем пов’язані з обслуговуванням, адмініструванням та управлінням робочими станціями розв'язується тільки при безпосередньому доступі до файлової системи. Проте, якщо комп'ютер працює, підключений до мережі, а задача полягає в зміні яких-небудь параметрів системи, або виконанні обслуговуючих операцій, то присутність адміністратора біля робочої станції не обов'язкова.

Найдоступніша для віддаленого управління робочими станціям мережі - програма Telnet. Telnet-клієнт існує у всіх операційних системах Windows. Сервер Telnet вбудований тільки в системи, починаючи з Windows 2000 і старше. Для запуску цього серверу на робочих станціях мережі можна скористатися засобом Управление комп’ютером, або Службы (Services) з папки Администрирование.

Якщо на кожній робочій станції запущений сервер Telnet, ви можете на них виконувати практично всі операції, доступні з командного рядка: підключати і відключати мережеві диски, копіювати файли, запускати на виконання програми і командні файли. На жаль, цим способом неможливо встановити складні пакети програм, подібні Microsoft Office, але для установки простих програм, що не вимагають складних процедур реєстрації, а також для проведення операцій з файлами і папками цей засіб цілком підходить. Можливо, що для нормальної роботи з Telnet-сервером на робочих станціях, що працюють під управлінням Windows 2000/XP Professional, первинну настройку доведеться виконувати безпосередньо на робочих місцях. Щоб запустити цю службу, скористайтеся наступною командою з командного рядка:

net start telnet

Якщо потрібно, щоб сервер стартував автоматично при запуску системи, слід змінити режим запуску з ручного на автоматичний.

За умовчанням сервер намагається аутентифікувати клієнта по схемі NT LAN Manager (NTLM), що дозволяє реєструватися автоматично, якщо підключення відбувається з комп'ютера, де ви вже зареєстровані як адміністратор домена. Для віддаленого доступу за межами локальної мережі це незручно; щоб змінити режим аутентифікації, спочатку потрібно запустити з командного рядка утиліту адміністрування сервера Telnet командою:

Tlntadmn config sec = -NTLM + passwd

Рис. 3.1. Служба Telnet на віддаленому комп'ютері

Після встановлення параметрів аутентифікації ви зможете управляти робочими станціями з будь-якої точки мережі і навіть через Інтернет, авторизувавши себе як адміністратор цієї робочої станції. Якщо доступ до робочих станцій здійснюється тільки з локальної мережі, то режим аутентифікації слідує встановити наступною командою:

Tlntadmn config sec = +NTLM +passwd

Діставши доступ до робочої станції, ви можете виконати на ній всі програми, які не використовують графічний інтерфейс.

3.1.2. Задачі, доступні через Telnet

Defrag - кожна робоча станція мережі вимагає періодичного обслуговування. Одна з періодично виконуваних операцій - дефрагментація дисків. Через Telnet доступна команда Defrag. Програма, що викликається цією командою, не має графічного інтерфейсу, всі звіти виводяться в текстовому вигляді на екран, або у файл. Команда може виконуватися у фоновому режимі. Це означає, що користувач продовжуватиме роботу, не підозрюючи, що в цей час проводиться обслуговування його робочого місця. Наприклад, Defrag С: \ /а — виводить звіт про аналіз тому С:\ на необхідність проведення дефрагментації.

Schtasks - команда дозволяє створити “завдання” подібно тому, як це робиться в планувальнику завдань Windows. Більш відомий аналог цієї команди - команда At.

Ipconfig - як і при роботі на локальній машині, дана команда дозволяє переглянути і відновити конфігурацію IP-протоколу. У режимі віддаленого доступу команда буде доступна, якщо комп'ютер працездатний і IP-протокол функціонує правильно. Тому застосування цієї команди на віддалених робочих станціях в основному обмежене - дозволяє тільки отримати відомості про конфігурацію шляхом введення команди:

ipconfig /all

Ping - для перевірки зв'язку між двома вузлами служить утиліта Ping. Ця утиліта посилає на вказаний вузол пакети луна-запиту протоколу ICMP і рахує отримані від нього пакети луна-відповіді, щоб перевірити, чи доступний цей вузол взагалі і чи надійний зв'язок (яка частка пакетів, що загубилися по дорозі). Послідовно тестуючи з'єднання з кожним вузлом, можна знайти місце, в якому зв'язок обірвався.

Chcp - у ряді випадків, ми можемо зустрітися з ситуаціями, коли на екран сеансу Telnet, або просто командного рядка виводяться різні символи. Для узгодження кодової сторінки, в якій здійснюється вивід інформації, з кодовою сторінкою самого вікна сеансу роботи, і може бути використана ця команда з наступними параметрами:

• chcp 866 - включає вивід в кодуванні DOS;

• chcp 1251- вивід в кодуванні Windows;

• Chcp (без параметрів) - показати поточну кодову сторінку).

Цікаво, що навіть вбудовані в Windows програми командного рядка не завжди коректно виводять свої повідомлення, особливо при віддаленому доступі до комп'ютера. Іноді є необхідність виконати цілу серію команд, результат яких виводиться в різних кодуваннях. Для прискорення роботи в подібних випадках краще виконувати команди з перенаправленням виводу в текстовий файл. Потім слід скопіювати цей файл на свій комп'ютер і читати його за допомогою файлового менеджера FAR. У цьому файловому менеджері перемикання кодування при читанні файлу виконується натисненням кнопки .

Оpenfiles - команда дозволяє побачити перелік відкритих мережевими користувачами загальних файлів. Використовувані параметри:

• openfiles.exe /query - основний варіант виконання команди;

• openfiles.exe /query /fo table /nh - вивід інформації у вигляді таблиці без заголовка;

• openfiles.exe /query /s srvmain /u maindom\hiropln /p p@ssW23 -вивід інформації про відкриті файли на іншому комп'ютері мережі.

При використовуванні Telnet для зв'язку з мережею з Інтернету паролі і імена користувачів передаються у відкритому вигляді. Тому застосовувати цей протокол краще вже усередині мережі, а з Інтернету використовувати даний варіант зв'язку з мережею тільки у виняткових випадках і обмежено.

3.2.1 Remote Administrator 2.2

Як альтернативний варіант підключення до серверу мережі з Інтернету, можна застосувати і програму віддаленого адміністрування Remote Administrator. Radmin – одна з кращих програм віддаленого адміністрування для платформи Windows, яка дозволяє повноцінно працювати відразу на декількох віддалених комп’ютерах за допомогою звичайного графічного інтерфейсу. Програма може бути локалізована на будь-якій мові. Ця програма дозволяє вам працювати на віддаленому комп’ютері, при цьому ви бачимете екран віддаленого комп’ютера на своєму робочому столі у вікні, а ваша миша і клавіатура замінюють мишу і клавіатуру на віддаленому комп’ютері. На відміну від програми дистанційного керування робочим столом, Radmin не дозволяє працювати з відеопрогравачами, одержувати з їх допомогою звуки. Ця програма призначена тільки для адміністрування віддалених робочих станцій.

Radmin складається з двох частин:

• Сервер (Radmin Server) на віддаленому комп’ютері перехоплює зображення з екрану і посилає його клієнту.

• Клієнт (Radmin Viewer) відображає екран віддаленого комп’ютера на моніторі локального комп’ютера.

На рис. 2 зображено вікно програми під час роботи.

Рис. 3.2. Вікно Radmin під час роботи

Для установки з’єднання потрібно запустити Radmin Server на віддаленому комп’ютері, після чого – запустити Radmin Viewer на своєму власному (локальному) комп’ютері і вказати IP-адресу, або DNS-ім’я віддаленого ПК. Необхідною умовою для роботи Radmin є наявність TCP/IP-з’єднання між серверною і клієнтської частинами.

Програма має декілька режимів роботи:

• Режим повного контролю

• Режим перегляду

• Режим командного рядка (Telnet)

• Режим обміну файлами

Крім того, в останній версії Radmin Viewer передбачені режими, підтримка яких повинна з’явитися найближчим часом і в серверній частині програми, яка установлена на комп’ютері, з яким здійснюється зв’язок. Це режими текстового і голосового чату, а також відправка коротких текстових повідомлень. Вони призначені для віддаленої роботи з користувачем, або помічником адміністратора.

3.2.2 Можливості програми

Підтримка декількох підключень - Radmin Server може одночасно приймати декілька підключень від різних клієнтів.

Технологія відео-перехоплення - у середовищі Windows NT 4.0 Radmin Server використовує драйвер відео-перехоплення, що підвищує його продуктивність в десятки разів. Це дозволяє працювати на віддаленому комп'ютері з більшою швидкістю (сотні оновлень екрану в секунду).

Обмін файлами - дозволяє копіювати файли з одного комп'ютера на іншій. Інтерфейс режиму обміну файлами аналогічний інтерфейсу Провідника Windows, знайомому всім користувачам, що істотно спрощує освоєння програми. Реалізована «докачка» файлів: у випадку збою мережі можна продовжити передачу файлу з моменту збою, а не із самого початку.

Віддалене виключення комп'ютера - дозволяє перезавантажити, або вимкнути комп'ютер всього двома клацаннями миші.

Режим Телнет - надає доступ в режимі командного рядка, аналогічному Тенет - підключення до віддалених комп'ютерів з ОС Windows NT/2000/XP/2003. Ключі командного рядка Radmin Viewer та Radmin Server наведені в додатках (відповідно Додаток 1 і Додаток 2). Для більшості користувачів немає потреби працювати з інтерфейсом командного рядка. Ці ключі призначені для використовування системними адміністраторами. За допомогою цих ключів можна вручну встановлювати, або видаляти модулі Radmin (службу і драйвер), міняти номер порту і т.д.

Підтримка системи безпеки NT - можна дати дозвіл на підключення в будь-якому з режимів - Повний контроль, Перегляд, Телнет, Обмін файлами і Переадресація - будь-якому користувачу, або групі користувачів з NT-домена, або активного каталога (Active Directory). Якщо авторизований в NT-домені користувач спробує підключитися до Radmin Server, для перевірки прав будуть використані його поточні дані. Безпосередній запит імені користувача, пароля і домена відбувається тільки тоді, коли поточний користувач не має прав на підключення.

Захист паролем - якщо система безпеки NT вимкнена, то доступ до Radmin Server контролюється паролем. У основі парольної аутентифікації лежить класичний дуже простий і надійний challenge-response authorization алгоритм вигляду.

ІР -фільтрація - можливість дозволити доступ до Radmin Server тільки з IP-адрес і з підмереж, вказаних у складеному користувачем списку. Якщо IP-адреса і маска під мережі, що підключається співпадають з одним з рядків фільтру, то буде встановлене з'єднання, інакше клієнт отримає повідомлення «Помилка введення/виведення з’єднання. Підключення перервано. Вірогідна причина - настройки IP-фільтрації на віддаленому комп'ютері» (Connection I/O error, connection may be closed due to IP Filter on the remote side).

3.2.3 Безпека Radmin

Дуже велика увага при розробці Radmin була надана системі безпеки. І це цілком зрозуміло, адже для програми такого класу захищеність - найважливіша властивість. Програмісти постаралися зробити Radmin стабільною і безпечною програмою віддаленого адміністрування.

• Radmin 2.2 підтримує систему безпеки Windows NT/2000/XP/2003. З підтримкою можливості надавати права для віддаленого доступу конкретному користувачу, або групі користувачів. У версії 2.2 використаний новий модуль авторизації, повністю сумісний з NTLMv2 і інтегрований з ОС. Права на доступ до Radmin Server можуть надаватися користувачам з доменів, з якими встановлені довірчі відносини (trusted domains) і активних каталогів (active directories). Інтерфейс вікна настройки прав уніфікований із стандартом Windows.

• Якщо підтримка системи безпеки Windows NT відключена, то доступ до комп'ютеру контролюється паролем. Radmin використовує аутентифікацію із запитом і підтвердженням. Цей метод аналогічний тому, що застосовується в Windows NT, але використовує секретний ключ більшої довжини.

• Radmin контролює коректність і безпеку настройки серверної частини програми. Radmin Server 2.2 не дозволяє задати порожній пароль.

• Захист пароля серверної частини. Radmin Server 2.2 активно захищає свої настройки, що зберігаються в системному реєстрі. Доступ до відповідної вітки реєстру дозволений тільки користувачам з правами адміністратора.

• Підтримка протоколювання, при якому вся робота Radmin Server докладно відображається в лог-файлі.

• Radmin Server має власну таблицю IP-фільтрації, використовуючи яку можна обмежити доступ до Radmin Server рядом спеціально заданих в ньому хостів або підмереж.

• У Radmin включені процедури самотестування, що захищає програмний код від змін.

• Інтелектуальний захист від підбору пароля. У версії 2.2 додані такі заходи захисту, як затримки при підозрі на перебір пароля, блокування підозрілих ІР-адресів і т.д.

• В середовищі Windows NT/2000/XP/2003 встановити Radmin Server 2.2 можна тільки як системну службу. В цілях підвищення безпеки можливість запускати Radmin як стандартний додаток заблокована.

Для перегляду, або зміни настройок безпеки Radmin необхідно відкрити діалогове вікно Настройки Remote Administrator Server (Settings for Remote Administrator server) і натиснути кнопку Авторизація… (Set password…). Потім включити прапорець Включить NT security (Enable NT ) і натиснути кнопку Права (Permissions).

Стандартне вікно призначення прав (Permission for Radmin Server) дозволяє адміністратору надавати право з'єднання різних типів (рис. 3.1).