Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Лекция 13. Сетевые операционные системы.
Итак, у нас есть сеть, состоящая из компьютеров, соединенных проводами
между собой. Теперь нам необходима сетевая операционная система (NOS —
network operational system), которая обеспечит функционирование сетевого
оборудования, поддержку сетевых протоколов, совместное использование
файлов и принтеров и т.п. В этой лекции рассматриваются некоторые NOS.
Рассказывается о том, чего можно ожидать от сетевой операционной системы
и чем они различаются. Мы не будем подробно обсуждать все пред-
ставленные на рынке сетевые операционные системы, а просто приведем
некоторые основные сведения о них.
Как уже упоминалось в предыдущих лекциях, с точки зрения предос-
тавляемых услуг большинство сетевых операционных систем во многом
похожи. Чтобы быть достойным своего имени, любая NOS должна обес-
печивать некоторый стандартный набор сетевых функциональных средств,
позволяющих клиентным компьютерам совместно использовать сетевые
ресурсы. Благодаря конкуренции, как только в одной из NOS появляется
какое-либо новое средство, прочие сетевые операционные системы тут же
"обзаводятся" аналогичным. Диапазоны возможностей этих функциональных
средств могут быть различными. В одних NOS они более мощные, в
других — менее (в зависимости от способов их реализации на компьютерном
уровне). Так, производительность конкретной операции, например при
обработке видеоинформации, в значительной степени зависит от принципов
организации этой NOS.
Одно из основных различий между сетевыми операционными системами
заключается в типе сетей, для которых они спроектированы: клиент/сервер
или одноранговая. NOS сетей клиент/сервер спроектированы для обслу-
живания только сетевых запросов. С другой стороны, NOS одноранговых
сетей спроектированы для обслуживания как сетевых, так и локальных
запросов. Другими словами, NOS одноранговых сетей спроектированы для
поддержки работы сетевых компьютеров путем предоставления сетевых
ресурсов, а NOS сетей клиент/сервер — по-другому. Конечно, в некоторых
случаях можно запускать пользовательские приложения на компьютере,
работающем под управлением NOS клиент/сервер, однако операционные
системы создаются для других целей. При прочих равных условиях прило-
жения будут выполняться лучше, если операционная система создана
именно для этой цели. Точно так же, отклики на сетевые запросы ускоря-
ются, если использовать NOS клиент/сервер. Различие в типах сетей не
обязательно связано с конструкцией сети или с выделением серверных
компьютеров с тем, чтобы компьютеры не пытались выполнять двойную работу, исполняя два набора запросов. Скорее, это относится к факторам,
определяющим конструкцию NOS, а также ее назначение. Различие глав-
ным образом заключается в назначении приоритетов исполнения сетевых
запросов по сравнению с теми запросами, которые генерируются локально.
Как известно, современные операционные системы разделяют время,
которое затрачивает процессор на выполнение работы, на потоки, а каждому
потоку назначают приоритет. Приоритет потока определяет, насколько
быстро ему будет выделено процессорное время на обработку потока. Чем
выше приоритет, тем скорее будет предоставлено процессорное время.
(Это не означает, что потоки с низкими приоритетами должны всегда
ожидать, пока процессор завершит работу с более высоким приоритетом, а
только то, что потоки с низшими приоритетами должны ожидать большее
время.) Сказанное важно потому, что структура операционной системы и
метод ее конфигурирования определяют метод назначения приоритетов
потокам, сгенерированным сетью и потокам сгенерированным локально
NOS клиент/сервер спроектированы так, что назначают более высокий
приоритет потокам, инициированным сетью. В то же время одноранговые
NOS спроектированы так, что более высокие приоритеты назначаются
локальным потокам.
Разница между планировщиками (scheduler) серверной и клиентной
операционных систем приводит к интересной дилемме в случае, когда они
применяются для терминальных серверов, которые выполняют пользова-
тельские приложения. Таким образом, к их преимуществам можно отнести
метод постановки задач в очередь, который свойственен рабочей станции,
но не серверу. По этой причине в Windows 2000 можно переключать пла-
нировщик в зависимости от того, работает NOS как терминальный сервер
либо как сервер иного типа. Это не единственное различие между опера-
ционными системами сетей клиент/сервер и одноранговыми. Первые, помимо
всего, оптимизированы для работы в сети, поскольку обеспечивают:
• лучшую защиту;
• более эффективную организацию данных (для ускорения поиска);
• более совершенные методы хранения файлов;
• лучшую поддержку совместного использования оборудования.
В целом, операционные системы типа клиент/сервер мощнее одно-
ранговых, которые пригодны для эффективной реализации совместного
использования ресурсов только небольших сетей.
Операционные системы одноранговых сетей
Если ваша сеть невелика, а потребности пользователей скромны, одно-
ранговая сеть может оказаться самым подходящим решением. Соответствующие
операционные системы не предоставляют таких широких возможностей, как
операционные системы клиент/сервер, но имеют два преимущества.
• Они дешевле, чем NOS клиент/сервер.
• Не требуют для управления постоянного вмешательства сетевого администратора.
Вы можете рассчитывать, что одноранговая сеть будет поддерживать
совместное использование файлов и принтеров и, возможно, некоторые
(хотя и ограниченные) инструменты удаленного администрирования. Как
правило, одноранговые сети не содержат развитых средств защиты и уда-
ленного администрирования. Однако, если вас устраивают их скромные
средства защиты и организации совместного использования ресурсов, эти
операционные системы прекрасно подойдут для небольших и непритяза-
тельных сетей.
Примечание
Здесь мы остановимся на операционных системах Windows, поскольку они в
наибольшей степени пригодны для создания одноранговых сетей. Фирма Novell
прекратила поддерживать свой сервер одноранговой сети (peer network server
product), a Warp фактически умирает (так же, как умерла OS/2). В настоящее
время одноранговые сети поддерживаются только в Windows.
История древнего мира
Операционные системы Windows уже давно были способны работать в
сетях, и вплоть до начала 90-х г. для этого использовалась надстройка
DOS, называемая MS-NET. (Кроме того, эта же надстройка использовалась
для выхода в сеть клиентов MS-DOS. Однако мы и так достаточно углубились
в операционные системы Microsoft.) В конце 1992 г. фирма Microsoft
выпустила первую одноранговую NOS, называемую Windows for Workgroup
(WfWg). Она не слишком отличалась от Windows З.х, за исключением наличия
диспетчера файлов (File Manager), который поддерживал отображения
буквенных обозначений дисков общих каталогов и совместное их исполь-
зование в сети. К тому же, сетевая поддержка предусматривалась и для
диспетчера печати (Print Manager) — старинного инструмента Windows для
управления печатью и конфигурирования принтеров.
По мере развития сетевых операционных систем, Windows for
Workgroup перестала соответствовать современным стандартам. С самого
начала в ней поддерживался только протокол NetBEUI, поэтому она позво-
ляла устанавливать связь только с другими сетями Microsoft, состоящими
из компьютеров Windows for Workgroup и DOS (с сетевыми надстройками).
(Поддержка протокола TCP/IP была доступна только как надстройка, поэтому
компьютеры не имели встроенной поддержки Internet.) Тем не менее, эта
NOS допускала совместное использование файлов и принтеров, поддерживала
функции голосовой связи и офисной электронной почты. Буфер обмена
(Clipboard) работал с сетевыми данными и позволял с помощью операций
вырезки и вставки переносить данные между локальными и сетевыми
приложениями. При этом использовался графический интерфейс, который
значительно облегчал администрирование сетью по сравнению с интерфейсом
командной строки. Это соответствовало требованиям, предъявляемым к тогдашним NOS. Тем не менее, Windows for Workgroup не получила широ-
кого признания на рынке NOS, хотя для своего времени была неплохой
операционной системой небольших сетей.
Windows 95
Операционная система Windows for Workgroup была достаточно хорошей,
однако не содержала обширного набора функциональных средств и боль-
шинство пользователей Windows стремились обновлять текущую версию
операционной системы. Работу в сети допускала и Windows 3-х — просто
для этого требовалась соответствующая надстройка от Microsoft или Novell.
Переход же на сетевую версию обычной операционной системы не был
популярным у пользователей.
Первое серьезное достижение в сетях Windows появилось в конце 1995 г, когда фирма Microsoft выпустила операционную
систему Windows 95. Возможно, вы припомните шумную рекламу, которая
сопровождала ее появление. И, хотя реклама все несколько преувеличивала,
новая NOS действительно отличалась от предыдущей.
Она была действительно операционной системой, а не графической
средой для DOS. Кроме того, в Windows 95, кроме 16-битовых, входили и
32-битовые компоненты. В большинстве случаев они работали в защищен-
ном режиме, вместо использования обычной памяти в реальном режиме.
Поэтому управление памятью намного упростилось. Новая 32-битовая
файловая система VFAT (Virtual File Allocation Table — виртуальная таблица
размещения файлов) допускала использование длинных имен файлов —
разумеется, если ваши приложения тоже были 32-битовыми и допускали
использование длинных имен.
Примечание
По существу, файловая система VFAT - это система FAT, дополненная средствами работы с длинными именами файлов
В Windows 95 была встроена поддержка протокола TCP/IP и ipx/spx -
совместимого протокола. Поэтому она могла связываться с сетями NetWare или
Internet без отслеживания текущих и установки новых сетевых протоколов-
Кроме того, она продавалась в комплекте со средствами создания 32-битовых
клиентных сетей как NetWare, так и Microsoft
Как можно оценить эффективность применения Windows 95 в качестве NOS? Для одноранговых сетей — весьма положительно. Например, интерфейсы для совместного использования файлов и принтеров весьма просты. Однако Windows 95 недоставало того же, чего и всем одноранговым NOS — средств защиты и эффективного совместного использования аппаратных средств (за исключением дисков и устройств CD-ROM). Тем не
менее, эта операционная система получила широчайшее признание на рынке, в связи с чем стало возможным создавать сети, работающие под управлением Windows 95. Эта операционная система более пригодна для операционной системы клиентной машины, а не сервера сети, однако для небольших сетей, которым не требуется особое распределение функций, она была и остается вполне пригодной.
Windows 98
В конце 1998 г. Windows 98 еще не успела вытеснить Windows 95.
Эта операционная система не так глубоко отличается от Windows 95,
как Windows 95 от WfWg, однако в ней предусмотрены дополнительные
средства, благодаря которым она лучше приспособлена к работе в сети,
чем Windows 95.
В Windows 98 предусмотрено большее число средств для взаимодействия
с сетью. В этом отношении Windows 95 имела недостатки: она поддерживала
только устаревшие сети NetWare. Клиенты Microsoft Windows не могли по-
лучить доступ к службам каталогов новейших версий NetWare. Кроме того,
не поддерживался протокол IP сетей NetWare. В качестве транспортного
протокола для связи с сетями NetWare можно было использовать только
протокол IPX/SPX (и совместимые с ним). В Windows 98 включено большее
число средств NetWare, в том числе функция, позволяющая компьютеру,
оснащенному Windows 98, связываться с серверами NetWare с помощью
системы NDS (NetWare Directory Services — служба каталога NetWare). -
Компьютер, работающий под управлением Windows 95, вынужден исполь-
зовать базу регистрационных данных (bindery), которая входила в состав
NetWare З.х и старших версий и уже несколько лет не применяется.
Несмотря на то, что система Windows 98 проектировалась, в основном,
для работы в качестве клиентной (а не серверной) операционной системы,
она может работать также и в качестве серверной системы. Надстройка
Peer Web Server (одноранговый Web-сервер) позволяет создавать Web-узлы
в офисах только с одноранговыми сетями. Более того, компонент Remote
Access Dial-Up Server (удаленный сервер с коммутируемым доступом) по-
зволяет пользователям входить в сеть или в сервер с удаленным доступом
Windows 98, поскольку сервер предоставляет только локальный доступ, а
не доступ ко всей сети. Очень полезна и поддержка FAT32 — файловой
системы, способной работать с жесткими дисками емкостью до 2 Тбайт.
Именно благодаря поддержке жестких дисков емкостью более 2 Гбайт
Windows 98 предпочтительнее Windows 95 при хранении большого числа
файлов малых размеров.
Возможности Windows 98 ограничены и даже более того — несопоставимы
со средствами NOS клиент/сервер, таких как Windows NT. Тем не менее,
Windows 98 — вполне приемлемая серверная платформа для небольших и
непритязательных сетей.
Windows 98 - конец эпохи
Windows 98 — последняя персональная операционная система Microsoft.
Во всех дальнейших версиях будет использоваться технология Windows NT,
т.е. создаваться унифицированное семейство операционных систем. Это семейство разработывается как для клиентных компьютеров, так и для серверов. Послед-
ние, как предполагает Microsoft, должны конкурировать с мэйнфреймами.
Хорошо ли это? Если рассматривать Windows как одноранговую NOS,
это, пожалуй, неплохо. В Windows 98 все еще сохранились некоторые
нежелательные остатки DOS, а операционные системы, разработанные на
основе Windows NT, свободны от них и стабильнее в работе как по срав-
нению с Windows 98, так и с любой другой персональной операционной
системой Windows. Клиентная версия Windows, основанная на
Windows NT, выпуск которой ожидается в 1999 г., спроектирована для
поддержки множества средств, уже несколько лет составляющих основу
персональных операционных систем Windows. Окончание разработки
исключительно персональных операционных систем Windows отнюдь не
ограничивает возможности функциональных средств всех вновь разраба-
тываемых операционных систем.
С точки же зрения клиентных или автономных операционных систем, эта новость не слишком приятна. Несмотря на то, что персональные операционные системы предъявляют все большие требования к оборудованию, Windows 98 кажется ягненком по сравнению с теми требованиями к оборудованию, которые предъявляют системы, построенные на базе Windows NT. Кроме того, Windows NT весьма "придирчиво" относится к установленному оборудованию, что значительно усложнит жизнь тем, кому достаточно просто приобрести операционную систему, которую они в состоянии поддерживать в более-менее работоспособном состоянии, а там будь что будет.
Еще одна проблема, возникающая у тех, кто присматривает себе новую
операционную систему для сервера, заключается в изменениях ядра
Windows 2000, сделанных для того, чтобы она стала удобнее для пользова-
телей персональных компьютеров и сетевых клиентов. Windows NT всегда
предоставляла средства защиты, которые и не снились Windows 9x. Найти
же компромисс между средствами защиты Windows NT и относительной
простотой и открытостью Windows 9x не так-то легко.
Все эти проблемы того же порядка, что и недостаток новых 16-битовых
приложений Windows — их вполне можно разрешить. Однако вы должны
знать об этом. Отныне и впредь потребителям продукции Microsoft предстоит
жить фактически в. "мире NT".
Windows NT Workstation
Операционная система Windows NT не поддерживает режим Plug-and-Play
("включил-и-работай"). Поддержка ею приложений DOS неравноправна —
одни приложения работают, другие — нет. Она пожирает массу оборудования, да еще и с "перебором". Список можно продолжить. Почему же такая
NOS лучше, чем Windows 98? По трем причинам.
• Она поддерживает файловую систему NTFS.
• В ней предусмотрена превосходная система защиты.
• Она устойчиво работает.
Если вам нужна внешняя мишура, пользуйтесь Windows 98, но если
вам необходим устойчивый и надежный одноранговый файловый и печатный
сервер, переходите на Windows NT Workstation 4. Ее интерфейс подобен
интерфейсу Windows 95, однако внутреннее содержание иное, как с точки
зрения архитектуры, так и средств управления общими ресурсами.
Файловая система NTFS
Как и Windows NT Server, версия Windows NT Workstation поддерживает
работу с файловой системой новой технологии (NTFS — New Technology
File System). Это — первая файловая система, спроектированная Microsoft,
поддерживающая длинные имена файлов, имеющая встроенные средства
сжатия (уплотнения) (native compression) и работающая с жесткими дисками
большой емкости. Файловая система FAT32 имеет аналогичные возможности,
но не имеет таких средств защиты как NTFS — регистрации транзакций •
(transaction logging), предотвращающих повреждение томов; защиты на уровне
файлов и более согласованной их организации.
Несмотря на то, что файловая система NTFS поддерживается только в
Windows NT, доступ к ней может получить любой клиент сети. Поэтому ее
преимущества доступны пользователям всех операционных систем. До
появления FAT32 в составе Windows 95 OSR2 система NTFS была единст-
венной файловой системой Microsoft, которая поддерживала тома (устройства)
размером свыше 2 Гбайт. И до сих пор это единственная файловая система
Microsoft, которая предоставляет защиту на уровне файлов и обеспечивает
ведение протокола защиты (security logging).
Средства защиты
Одноранговые сети, средства защиты входа в систему (logon security),
предусмотренные в Windows 9x, оставляют желать лучшего. Если вы пы-
таетесь войти в систему под правильным именем пользователя, но вводите
неверный пароль, процедура входа прерывается. Стоит, однако, ввести новое
имя пользователя — и вы в системе. Если вас не беспокоит сетевая под-
держка, вы можете нажать на <Escape> при появлении входной заставки
"Добро пожаловать в сеть" (Microsoft Welcome to Microsoft Networking) и
тоже войти в систему. Конечно, вы не получите доступ к зафиксированным
общим сетевым ресурсам (persistent network shares) другого пользователя.
Чтобы создать какие-нибудь новые ресурсы, вы должны присвоить им
соответствующие пароли. Однако если вам нужно только получить доступ
к компьютеру, это можно сделать одним щелчком.
В одноранговых NOS такое положение имеет неприятные последствия.
Во-первых, лицо, использующее компьютер, может просматривать всю информацию, которая хранится в нем. В одноранговой сети это будут все
рабочие данные штатного оператора, включая и файлы с конфиденциальной
информацией. Во-вторых, это лицо может изменять сетевые ресурсы,
назначая им новые пароли, удаляя или создавая новые ресурсы, что весьма
нежелательно.
В Windows NT Workstation такой проблемы нет: в ней требуется явный
вход в систему (explicit login). Если у вас нет учетной записи на данном
компьютере, вы не сможете использовать его ни локально, ни удаленно.
Предусмотрена, правда, гостевая учетная запись (guest account), однако ее
можно блокировать, либо изменять ее пароль, либо установить настолько
ограниченные параметры разрешения входа, что лицо, вошедшее по этой
учетной записи, не будет представлять никакой угрозы целостности одно-
рангового сервера.
Windows NT может обеспечить все это потому, что в ней предусмотрен
инструмент, отсутствующий в Windows 98 и его предшественницах: Диспетчер
пользователей (User Manager). Он не столь могущественен, как диспетчер
пользователей домена (User Manager for Domains), входящий в состав
Windows NT Server. И, тем не менее, диспетчер пользователей можно
использовать для создания базы данных учетных записей, устанавливающей
не только список лиц, имеющих доступ к компьютеру, но и тип доступа.
В NT суть доступа скрыта в правах и разрешениях. Учетным записям
пользователей и групп назначают права, которые определяют, что они
могут делать, работая на компьютере или в сети, а файлам и сетевым
ресурсам — разрешения. В одноранговой сети вы не можете получить дос-
туп к общему ресурсу компьютера Windows NT Workstation, если у вас нет
на нем учетной записи, даже если вы уже вошли в сеть.
В Windows NT Workstation имеется несколько встроенных групп с пре-
допределенными правами. Названия групп отражают их функциональное
назначение (табл. 13.1).
Таблица 13.1.
Встроенные группы Windows NT Workstation и их функции
|
Группа |
Описание |
|
Administrators Backup Operators (Операторы резер- |
Могут администрировать локальный компьютер. Могут обходить защиту файлов с целью архиви- файлам, могут выполнять архивирование для сохранения файлов |
|
Guests (Гости) |
Гости рабочей группы или домена |
|
Power Users (Квалифицирован- |
Могут открывать общий доступ к файлам и Принтерам |
|
Users (Пользователи) |
Обычные пользователи, без каких-либо особых прав |
Обратите внимание обычные пользователи не могут устанавливать
общий доступ к файлам Windows NT Workstation. Это могут сделать только
члены группы Power Users. Каждая учетная запись входит в одну из групп,
однако, вы не обязаны пользоваться только перечисленными группами Вы
можете делать следующее:
• Создавать собственные группы с особыми наборами прав.
• Изменять права, предоставленные каждой группе.
• Добавлять или удалять права отдельных пользователей.
• Сделать учетную запись члена сразу нескольких групп. В таком случае права представляют собой сочетание прав объединенных групп.
Примечание
В Windows NT права пользователя "кумулятивные' (накопительные) Иными словами при анализе учетной записи используются только наименее ограничивающие наборы прав за одним исключением право, абсолютно запрещающее доступ, всегда отменяет остальные права с которыми оно конфликтует
Если разделы данных сформатированы в NTFS, то в систему можно
включить дополнительный уровень защиты. В то время как FAT и FAT32
поддерживают разрешения только на совместно используемые тома (shaied
volumes) и только на уровне папок, NTFS поддерживает разрешения на
уровне файлов, как для сетевых, так и локальных ресурсов
Примечание
По умолчанию каждый, кто получает доступ к компьютеру, имеет полный контроль над файлами Поэтому если вы используете Windows NT Workstation как одноранговую NOS, рекомендуем установить разрешения на использование файлов
Повышенная устойчивость
Если вам приходилось достаточно долго работать с любой персональной
ОС Microsoft Windows, вам нередко приходилось перезагружать ПК после
того, как какое-либо приложение или иная программа сбивалась и разрушала
операционную систему. Разумеется, сбой Windows NT тоже возможен, однако
это происходит значительно реже, чем в персональных операционных
системах Windows Для сетевых операционных систем это очень важно.
Разрушение ресурсов сервера вам совершенно ни к чему
Будущее Windows NT Workstation
Если вас интересует будущее, то у Windows NT Workstation его нет —
в конце 1998 г Microsoft переименовала пятую версию этого продукта в
Windows 2000 Professional (Такое, достойное порицания, решение вызвано
маркетинговыми соображениями Оно необходимо, чтобы присвоить
торговую марку, которая в настоящее время отождествляется со стабиль-
ностью и надежностью, продукту, ассоциирующемуся с показным блеском и ненадежностью.) Это объясняется тем, что Microsoft опасается потери
доверия к торговой марке Windows.
Каковы же новые средства Windows 2000?
с точки зрения NOS, в Windows 2000 будет обеспечена
лучшая защита с помощью системы Keiberos и внесены
некоторые изменения в файловую систему NTFS, повышающие ее гибкость.
Windows 2000 поддерживает режим Plug-and-Play, который был в системах
Windows 9x. Кроме того, предусмотрено большее число инструментальных
средств управления системой, новая версия броузера Microsoft и пр. Боль-
шинство изменений, в основном, применимы к версии клиент/сервер.
Поэтому они подробнее рассматриваются далее, в разделе "Microsoft
Windows NT".
Сетевые операционные системы клиент/сервер
С точки зрения пользователя, важнейшей частью сети, безусловно, яв-
ляются клиенты, а не серверы. Как следует из самого слова "сервер"
(обслуживающее устройство), сам смысл существования сервера заключается
в обслуживании клиентов. Ну, а раз так, что же необходимо клиенту?
• Быстрый и простой доступ к данным и пространству для их хранения.
• Гарантия целостности данных.
• Надежная защита данных.
Чтобы добиться выполнения этих требований, в сетевых операционных
системах используют разные подходы. Но между различными NOS есть и
значительное сходство, поскольку производители видят, чем занимаются
конкуренты и стараются перенять их достижения. В этой лекции рассматри-
ваются три широко известные операционные системы клиент/сервер:
NetWare, Windows NT и UNIX.
Прежде всего, мы обсудим общие черты операционных систем, затем
перейдем к некоторым различиям в характеристиках каждой системы.
Конечно, это не будет исчерпывающим руководством по всем трем NOS,
однако, прочитав эту главу, вы ознакомитесь с их основными средствами и
получите представление о работе с ними.
Общие средства
Чем больше изменений, тем больше и сходства. По мере развития
сетевых операционных систем, между ними появляется все больше
сходств. В самом деле, производители смотрят друг на друга и думают:
"Черт побери"! Это хорошая идея. Наверно, она понравится людям. Следует
использовать ее и в нашей NOS". Из-за таких решений получили широкое
распространение графический пользовательский интерфейс (GUI — graphical user interface), заменивший интерфейс командной строки (command-line
interface); поддержка средств работы с каталогами; улучшенная система
защиты (защита паролями, шифрованием данных); службы архивирования и
т.п. Конечно, не все перечисленные средства входят в любую операционную
систему, однако они либо разрабатываются, либо доступны как часть пакетов
надстроек (add-on pack), таких как Microsoft BackOffice.
Совет
Многие средства NOS нередко предоставляются и независимыми поставщиками, предлагающими средства, отсутствующие в NOS Так, в качестве программных средств независимых разработчиков поставляются программы архивирования, поддержка RAID и средств работы с каталогами.
Быстрый и простой доступ
Если вы спросите кого-нибудь, чья работа зависит от сети, что бы он
хотел от NOS в первую очередь, чаще всего вам ответят: "Что-нибудь с
хорошим откликом и надежное". Ниже перечислены средства NOS, которые
спроектированы с учетом этого пожелания.
Унифицированный вход в систему. Основная цель разработки сети
заключается в том, чтобы проблема доступа к общим ресурсам стала для
сетевых клиентов настолько незаметной, насколько это возможно. Это
означает, что совместное использование ресурсов должно осуществляться .
на базе сети (или части сети), а не на базе отдельных серверов. Что же это
значит? Как показано на рис. 13.1, если доступ к общим ресурсам предос-
тавляется на базе сети, клиенту достаточно один раз войти в сеть, чтобы
получить доступ ко всем сетевым ресурсам. Если же доступ можно получить
только на базе отдельных серверов, клиенты вынуждены связываться
отдельно с каждым сервером, начиная с сетевого сервера входной регистрации
(network login server), а затем переходить от него к ресурсам, разбросанным по
Рис. 13.1. В идеальном случае ресурсы совместно используются группой
пользователей, а не отдельным компьютером.
Совместный доступ на базе сети не всегда означает, что вход в сеть
сразу же предоставит немедленный доступ ко всем общим ресурсам. Для
большинства пользователей это скорее будет источником лишних хлопот,
чем подспорьем, по мере того как они будут сортировать ненужные ресурсы.
Но в то же время это позволяет, войдя в сеть один раз, получить доступ
сразу ко всем ее ресурсам.
Средства обслуживания каталогов. Ключ к облегчению использования
ресурсов — оптимальная структурная организация объектов и хорошие
инструменты поиска. Три сетевые операционные системы, описываемые в
этом разделе, поддерживают средства обслуживания каталога как совре-
менных (NetWare и UNIX), так и грядущих версий операционных систем.
В последнем случае имеется в виду Windows NT. В настоящее время в ней
отсутствуют соответствующие средства обслуживания каталогов, однако
это предусмотрено в ее новой версии, выпуск которой ожидается в 1999 г.
Примечание
Первой из средств обслуживания каталогов (StreetTalk) была система VINES фирмы Banyan.
Средства обслуживания каталогов — это средства для построения в
иерархической структуре объектов сети, причем одни из них могут
включать в себя подчиненные объекты, а другие — нет. Иерархическая
структура каталога выглядит примерно так, как показано на рис. 14 2.
Рис. 13.2. Структура каталога
На рис. 13.2 в качестве примера построения иерархической структуры
объектов (не обязательно каталогов) использованы адреса улиц городов
штата Вирджиния. Корнем служит название штата "Вирджиния". Ниже
расположены названия городов, под ними — названия улиц, а еще ниже —
номера домов.
Если применить схему присвоения имен, используемую средствами
обслуживания каталогов, то каждому дому будет присвоен примерно такой
идентификатор: 751.Main Street.Centerville.Virginia.
Если пользователь применит средства обслуживания каталогов и за-
просит доступ к данному объекту, то он (объект) будет найден мгновенно.
Во-первых, инструмент поиска (использующий такой протокол как
LDAP (Light Data Access Protokol). — упрощенный протокол доступа к
каталогам) локализует Virginia как корень, находящийся в конце имени.
Обратите внимание: в данной иерархической структуре каталогов, разные
объекты могут иметь одинаковое "первое" имя. Весьма вероятно, что дом
№ 751 по Main Street (Главная улица) в г. Чесапик (Chesapeake) существует
и в г. Сентервилле (Centerville), причем на той же улице. Однако это не
приведет к путанице, поскольку два дома с одинаковым номером распо-
ложены на разных ветвях структуры (рис. 13.3).
Рис. 13.3. Объекты могут иметь одинаковое "первое" имя, но в то же время
находиться на разных ветвях структуры
Безусловно, это зависит от иерархической структуры. Если бы в средствах
обслуживания каталога использовались неструктурированные группы (flat
groups), объекты идентифицировались бы только по своим "первым"
именам — в таком случае использование общих имен стало бы невозможным.
Обнаружить объекты в иерархической структуре несложно, однако
организовать их иногда бывает весьма непросто, поскольку место объекта
в структуре каталогов определяет, кто сможет получить к нему доступ.
Планирование структуры сетевых ресурсов — сложная задача, поскольку
вам необходимо определить места их расположения, гарантирующие доступ
тем людям, кому они нужны. Для систем обслуживания каталогов сложность
усугубляется ее размерностью.
Расширенная поддержка аппаратных средств. Быстрый и легкий доступ
означает не только совместное использование в сети дискового пространства,
но также требует от NOS поддержки большого ОЗУ и мощного процессора.
Пять лет назад компьютер с процессором 486DX представлял собой вполне
приемлемый сервер для (некоторых) приложений. Однако по мере роста
требований к серверу, возрастали и требования к поддержке соответствующего
оборудования. Сегодня это означает поддержку многопроцессорных систем и
процессоров с улучшенной архитектурой. Все три NOS, упомянутые в начале
лекции, поддерживают (по крайней мере, теоретически) работу системы,
содержащей до 32 процессоров. Это, так сказать, теория, далекая от практики.
Например, текущая версия Windows NT Server поддерживает работу только
четырех внешних процессоров. Для большего числа процессоров можно
использовать иную версию HAL (hardware accessibility layer — уровень доступности аппаратных средств) — ту часть NOS, которая обеспечивает
ее связь с оборудованием, но реально может работать не более чем с восе-
мью процессорами
Одна из характеристик расширенной поддержки оборудования — типы
поддерживаемых процессоров. В предыдущей лекции рассмотрены предполагаемые варианты схем процессоров серии х86 в течение 1999 — 2003 гг. Одно из ожидаемых
улучшений заключается в применении 64-битовых схем, в отличие от
32-битовых, используемых в настоящее время. В частности, 64-битовые
процессоры, начиная от Merced и вплоть до McKinley, будут работать быстрее
32-битовых процессоров вследствие отсутствия в них блоков, ответственных
за выполнение некоторых логических функций. Однако поскольку эти
логические функции все же необходимы, они будут выполняться операци-
онной системой. В Windows 2000, как и во все новейшие операционные
системы, будут встроены средства, поддерживающие 64-битовую архитектуру
процессоров
Поддержка Web-серверов. Поскольку Web жизненно важна для многих
фирм (причем как для внутреннего, так и внешнего применения), рас-
сматриваемые NOS могут работать в качестве Web-серверов. С этой точки
зрения особую популярность приобрели Windows NT и UNIX. Операционная
система Linux (бесплатно распространяемая версия UNIX) также стала
популярным продуктом для Web-серверов.
Применение многопользовательских (терминальных) серверов издавна
практикуется в UNIX, однако для двух других NOS, рассматриваемых нами, это нечто совершенно новое. Многопользовательские операционные системы позволяют запускать приложения на сервере с помощью весьма упрощенного сетевого компьютера. Клиентный компьютер отвечает только за вывод изображений, сгенерированных приложением, а
не за выполнение сколько-нибудь существенной обработки. Это влечет за
собой следующее. Во-первых, клиентные компьютеры могут быть (хотя и не
обязательно) крайне упрощенными и, следовательно, дешевыми. Во-вторых,
их можно соединить с сервером по медленной линии связи, поскольку
между клиентом и сервером передается относительно небольшой объем
данных. Кроме того, такой подход повышает эффективность использования
ресурсов сетевого оборудования. Это происходит потому, что каждый сетевой
клиент, использующий, например, только процессор, загружает его работой
лишь в течение небольшого промежутка времени. Многопользовательские
системы могут распределять ресурсы процессора в соответствии с потреб-
ностями сети, с тем чтобы одно и то же оборудование могло выполнить
больший объем работы.
Операционная система UNIX с самого начала проектировалась как многопользовательская. Первоначальную технологию многопользовательских систем Windows NT и NetWare разработала фирма Citnx Corporation, а затем лицензировала ее и для других разработчиков. В настоящее время Microsoft предлагает надстройку для Windows NT, называемую Windows Terminal Server (Терминальный сервер Windows — WTS), однако эта надстройка войдет составной (но необязательной) частью в ядро следующей версии
операционной системы Windows NT.
Инструментальные отладки и оптимизации. Эти инструменты не пред-
назначены для пользователей. Они только помогают улучшить обслуживание
сетью нужд пользователей.
• Утилита управления печатью.
• Утилита управления файлами, предназначенная для сжатия, установки разрешений на доступ к файлам и т.п.
• Инструментальные средства удаленного администрирования для кон-
фигурирования клиентных компьютеров и автоматизации установки на
них программного обеспечения.
• Инструментальные средства мониторинга сети для отслеживания сетевого графика и обнаружения "узких" мест.
• Инструментальные средства мониторинга производительности сервера
для отслеживания системы показателей, например, процента загрузки
процессора, памяти, свободного дискового пространства, пакетов, от-
сылаемых по сети с помощью какого-нибудь протокола и т.п.
• Ведение журнала регистрации событий (event logging) с записями ошибок, доступа к объектам, входов пользователей, запуска средств обслуживания и т.д.
Использование этих инструментов облегчает управление ресурсами и
устранение сбоев.
Средства обслуживания протокола TCP/IP
Благодаря широкому распространению Internet сегодня протокол
TCP/IP принят в качестве стандартного сетевого протокола. Однако
его использование несколько усложняет сетевое администрирование.
Выделение IP-адресов. Как уже было указано ранее, для идентификации
каждого узла в сети TCP/IP необходимо выделить IP-адрес. Как правило,
размеры сетей TCP/IP огромны. Этот протокол и его конфигурирование
слишком сложны, чтобы поддерживать в небольших сетях (за исключением
интрасетей), если они не имеют прямого выхода в Internet. Соответственно
процесс назначения индивидуальных IP-адресов каждому сетевому компью-
теру вручную слишком трудоемкий. Поэтому в NOS используется средство
обслуживания DHCP (Dynamic Host Configuration Protocol — протокол
динамического конфигурирования компьютера). Оно поддерживает пул
достоверных IP-адресов и выделяет их сетевым компьютерам на заданный
период времени. Статический адрес нужен всего нескольким компьютерам
(например, основному шлюзу или серверу DHCP), поэтому администри-
рование сети значительно упрощается.
Определение имен. Хотя компьютерам сети TCP/IP нужны IP-адреса,
большинству людей удобнее называть компьютер, скажем, SERPENT
(змея), нежели 24.48.12.161. Поэтому, кроме IP-адреса каждому компьютеру следует назначить имя в соответствии с системой NetBIOS, содержащее до
16 символов, либо полностью определенное доменное имя (fully qualified
domain name) в формате ftpserver.mycompany.com, а иногда— и оба
имени сразу.
Такие имена могут использовать люди, но не сети. Поэтому следует
предусмотреть какой-либо метод преобразования имен, удобочитаемых для
человека, в имена, с которыми может работать сеть. Вначале наиболее ши-
рокое распространение получил метод преобразования имен в IP-адреса с
помощью статического списка, называемого файлом HOSTS (если в
IP-адреса преобразуются полностью определенные доменные имена), либо
LMHOSTS (если преобразуются имена NetBIOS). В принципе, метод
работает, однако преобразование занимает слишком много времени, а
поддержка файлов становится нелегкой задачей. Действительно, в каждом
компьютере необходимо сохранять собственный файл HOSTS или
LMHOSTS, но изменение любого имени или IP-адреса необходимо зафик-
сировать во всех компьютерах сети. Нечего и думать о поддержке таких
файлов одновременно с применением сервера DHCP, если IP-адреса ком-
пьютеров могут полностью изменяться каждые несколько дней.
Решить эту задачу можно только созданием сервера определения
имен, и именно это было сделано. Имена NetBIOS, используемые в
Windows NT 4 и последующих версиях, преобразуются в IP-адреса с
помощью сервера WINS (Windows Internet Naming Service — Система при-
своения имен Internet для Windows). Полностью определенные доменные
имена, используемые в сетях UNIX и NetWare, поддерживаются сервером
DNS (Domain Name Service — служба имен домена).
В компьютере Windows NT проще использовать сервер WINS, поскольку
он может динамически обновлять информацию, а отображение имен,
выполняемое сервером DNS, статично. Однако последующие версии
Windows NT будут поддерживать динамическую систему DNS в сетях,
состоящих из серверов W2K и клиентов. WINS будет использоваться для
связи с устаревшими сетями (и клиентами) в сети Microsoft.
Доступность и целостность данных
Безусловно, доступ к серверу очень важен, однако если на сервере нет
нужных данных или они недоступны, доступность собственно жесткого
диска не имеет никакого значения. Поэтому очень важно гарантировать
пользователям доступность и сохранность данных.
Архивирование. Архивирование — важнейшая функция любой NOS.
Архивированию подлежат не только пользовательские данные, но также
информация о системной конфигурации. Таким образом, если понадобится
переустановить систему, вам не придется заново вручную конфигурировать
компьютер. Кроме того, архивируется структура каталогов, созданная
средствами обслуживания (если они используются в системе).
Единственным элементом, который невозможно включить в утилиту
архивирования данных на внешнее устройство (но который, тем не менее,
нужен), - способность архивирования открытых файлов. Например, утилита Backup, входящая в Windows NT, в процессе работы пропускает открытые
файлы, в том числе файлы HOSTS. Эту проблему можно решить остановом
программы, использующей открытые файлы, и повторным ее запуском по
завершении архивирования. Однако, практически это не всегда выполнимо.
Немаловажна также возможность установить расписание архивирования, с
тем чтобы для начала процедуры архивирования сервера не требовалось
вашего физического присутствия. Кроме того, при сохранении больших
объемов данных важна поддержка архивирования на нескольких магнитных
носителях (кассетах).
Средства, входящие сегодня в состав NetWare и предусмотренные в
последующих версиях Windows, позволяют архивировать редко исполь-
зуемые данные и в то же время размещать их на относительно недорогих
устройствах хранения большого объема Если в течение некоторого времени
к этим файлам никто не обращался, они перемещаются на архивный
носитель (backup media). При этом в главном каталоге поддерживается
соответствующий указатель связи (link). Если пользователь вводит команду
DIR, нужный файл отображается так, будто он находится здесь постоянно,
хотя связь может указывать на ленточный накопитель, оптический диск
либо другой носитель. Такая система имеет два недостатка Первый:
получение данных с ленточного накопителя или оптического диска занимает
большее время, чем с жесткого диска. В конечном счете, это означает, что
пользователь сети (клиент) почувствует разницу в отклике системы, если '
он щелкнет на указателе связи с файлом, которого в действительности нет
на жестком диске, даже если он отображается так, как будто он там есть.
Второй" если носитель архива (ленточный накопитель, оптический диск и
т.п.) находится не там, где он был в прошлый раз (а указатель связи не
был обновлен), может показаться, что операционная система зависла, хотя
в это время она безуспешно ищет нужный файл. Данный метод рекомен-
дуется использовать только в том случае, если ваша система (не только
система архивирования, но и конфигурация компьютера) очень статична.
Репликация данных. Один из методов обеспечения постоянного прямого
доступа к жизненно важным данным заключается в их репликации на
другой сетевой сервер. Если на первом сервере происходит сбой, в работу
включается второй — автоматически или вручную. Не следует реплицировать
в сети все пользовательские данные, поскольку это требует значительных
временных затрат, однако вполне допустимо для данных, которые редко
изменяются и необходимы для нормальной работы самой сети. Сюда
относятся, например, профили пользователей или сценарии входа в систему.
Кроме того, избранные файлы данных, которые нужны многим узлам,
можно реплицировать ночью или в период слабой загрузки сети.
Поддержка RAID. RAID (Redundant Array of Inexpensive Disks — избы-
точный массив недорогих дисков) — общее название нескольких методов
использования множества жестких дисков, гарантирующих целостность
данных даже при аварии одного из них RAID-поддержка может обеспечи-
ваться аппаратно (с помощью внешнего массива дисков) либо программно,
включением в массив RAID жестких дисков самого сервера. Программная поддержка чаще всего предлагается как дополнительное средство, однако
аппаратная поддержка включена в качестве надстройки во все три NOS.
Существует пять видов RAID-поддержки, однако программным путем
обычно поддерживают только три:
• 0 (чередование дисков без контроля четности).
• 1 (зеркальное отображение дисков).
• 5 (чередование дисков с контролем четности).
В целях восстановления сбоев рекомендуется использовать RAID видов
1 и 5. При зеркальном отображении дисков используют два отдельных
физических диска, на которые записаны все данные. Поэтому если один
из них прекращает работу, второй — по-прежнему остается доступным
Чередование дисков организовать сложнее, поскольку требуется совместно
использовать несколько различных физических дисков (от 3 до 32 в чере-
дующемся наборе с контролем четности). В данном случае вместо записи
данных на единственный диск они (вместе с информацией о четности,
которая может использоваться для восстановления утраченных данных)
записываются в блоки на каждый физический диск чередующегося набора.
При отказе одного из дисков массива, для восстановления данных с этого
диска используется информация о четности с других дисков Неисправный
диск необязательно заменять немедленно, однако это следует сделать при
первой же возможности, поскольку диск необходим для обеспечения полной
защиты массива.
Роль кластеризации. Кластеризация намного эффективнее RAID,
поскольку гарантирует доступ к данным даже при полном разрушении
сервера. Кластер представляет собой группу из нескольких серверов,
соединенных наподобие сиамских близнецов высокоскоростной сетью
или линиями связи SCSI.
Кластеризацию можно использовать не только для
обеспечения отказоустойчивости, но и для повышения производительности
сервера. Точно так же, как использование множества дисков может сократить
время на считывание данных тома (поскольку данные можно одновременно
считывать с нескольких дисков), множество серверов, связанных друг с
другом в кластер, могут выполнить эту же задачу.
Надежность защиты данных
Сетевым клиентам необходима возможность доступа к своим данным,
и в тоже время им необходимо, чтобы никто другой не смог их получить.
Операционные системы клиент/сервер спроектированы с учетом требований
систем защиты, которые содержат следующие элементы:
• парольную защиту и возможность установки разрешений на доступ к
файлам;
• предоставление прав на доступ и идентификацию системных привилегий
(system privileges);
• систему шифрования.
В сетях используются два типа разрешений: что вам разрешено делать,
и к каким объектам предоставлен доступ. В данном случае, используя
принятый в Windows NT жаргон, назовем их соответственно "правами"
(rights) и "разрешениями" (permissions). В операционных системах клиент/
сервер права и разрешения определяются не паролями, а установками сис-
темы защиты, которые назначены сетевым клиентам. Сетевой сервер,
спроектированный для этих целей, хранит базу данных всех пользователей,
имеющих доступ в сеть. После того как пользователю будет разрешен доступ
в сеть, его доступ к общим объектам сети (принтерам, каталогам и т.п.)
будет определяться в соответствии с разрешениями, установленными для
данного объекта.
Защита доступа определяется методами организации сетевых объектов.
Например, в Windows NT 4 права и разрешения распределяются на основе
идентифицирующего кода (ID) пользователя или группы, а в NetWare раз-
решения можно предоставить на основе защитных кодов (SID) или по их
месту в организации.
Много шума вокруг С2
Многие люди буквально сходят с ума, размышляя о том, имеет ли NOS
сертификат С2. Они думают, что его наличие означает официальное тести-
рование и сертификацию системы на соответствие требованиям, указанным
в Оранжевой книге Агентства национальной безопасности США (Сертификат
С2 получили операционные системы Windows NT 3.5 и NetWare 4.11, однако
Windows NT Server 4 его не имеет). Поэтому в глазах скептиков
Windows NT Server официально защищен хуже Windows NT 3.5 или
NetWare 4.11.
Это, однако, не так. Обратите внимание на слова "официальное тести-
рование". Тестирование любого продукта федеральным правительством
требует времени (фактически, нескольких лет). NetWare 4.11 выпущена
значительно раньше Windows NT 4, поэтому она стоит в очереди впереди
(Windows NT 4 все еще находится в процессе тестирования). NetWare 5 (вообще не имеет сертификата С2, поскольку выпущена в сентябре 1998 г. Но это не означает, что она не получит сертификат.
Что же представляет собою сертификат С2? Вот цитата с Web-узла
www.radium.ncsc.mil: "Система, которая оценена как система уровне
С2, обеспечивает ТСВ (Trusted Computing Base — доверительная база вы-
числений), в которой применяется подход DAC (Discretionary Access
Control — Независимое управление доступом) для защиты информации и"
разрешения пользователям совместно использовать информацию под ее!
управлением и вместе с другими, точно указанными пользователями,
идентификацию и удостоверение подлинности пользователей с целью
управления доступом к системе и обязательной подотчетности, защиту
доступа к информации, оставшейся от действий предыдущего пользова-
теля и обеспечение аудита защиты связанных событий".
Другими словами, это означает, что системы, имеющие сертификат С2,
позволяют пользователям управлять доступом к своим файлам на уровне
пользователя (per-user base), .предотвращать повторное использование объекта
и к тому же способны выполнять аудит доступа. И это все. Некоторые
правительственные агентства требуют сертификат С2, прежде чем они
смогут начать использовать продукт. Однако при этом не обязательны
какие-либо средства защиты системы сверх упомянутых пределов.
Microsoft Windows NT
В современном виде Windows NT появилась в 1993 г. и первоначально
разрабатывалась как версия LAN Manager (диспетчер LAN) фирмы
Microsoft с отчетливыми признаками операционной системы VMS. (Это не
удивительно, поскольку ведущие разработчики Windows NT прежде зани-
мались операционной системой VMS для фирмы Digital, пока Microsoft не
переманила их к себе.) Некоторое время в новой NOS использовался
интерфейс OS/2, однако растущая популярность Microsoft Windows вынудила
принять решение о замене графического пользовательского интерфейса
(GUI) OS/2 на интерфейс Windows.
После выпуска Windows NT, средства ее защиты произвели потрясающее
впечатление. Но именно сходство с Windows сделало ее популярной (во
всяком случае, на первых порах). Это была NOS, которая не требовала
больших трудов для изучения. Конечно, вы не станете экспертом по NOS
за 1—2 дня, но за это время сможете установить и запустить сеть на основе
Windows NT. Это одна из причин ее популярности, и в то же время —
тревог по поводу возможного усложнения следующего поколения
Windows NT.
За годы своего существования Windows NT прошла долгий путь.
Поскольку эта NOS целиком основана на системах, созданных Microsoft,
ей понадобилась совместимость с NetWare. Кроме того, Windows NT работает
с UNIX. С этой целью в последней бета-версии используется Services for UNIX
(Службы для UNIX).
И хотя Windows NT не отличается такой же зрелостью, как NetWare или UNIX, за шесть лет существования она значительно выросла.
Домены - основа структуры Windows NT
С точки зрения администрирования, система Windows NT Server основана
на доменной структуре. Домен — это набор, содержащий до 10 000 объектов,
представляющих компьютеры, пользователей, группы пользователей,
файловые объекты (каталоги и файлы), а также принтеры. Каждый объект
имеет собственный защитный код (SID), идентифицирующий объект в
домене. Домен можно представить как рабочую группу с централизован-
ной базой данных системы защиты. Сеть может состоять из одного или
нескольких доменов. Домен, в свою очередь, может состоять из одной или
нескольких частей LAN. Как и рабочие группы, домены — административные
единицы (рис. 13.4).
Рис. 13.4. Структура доменов отделена от структуры сети
Примечание
Домены также имеют защитные SID-коды. Вообще-то вы не можете присвоить
двум доменам одинаковое имя, однако в данном случае имена предназначены
для идентификации домена пользователем, а не NOS На этапе просмотра сети
схема именования NetBIOS, используемая в Windows NT, не позволяет различить
два домена с одинаковыми именами (имя домена отлично от SID) Это означает,
что если вы прекращаете использовать один домен, а затем создаете другой домен
с тем же именем, вы должны вновь создать защитную структуру домена "с нуля",
те он не будет интерпретироваться как старый домен Точно так же можно пере-
именовать домен, не изменяя его SID
В домене используется плоская (flat) структура защиты. Иными словами,
объекты рассматриваются индивидуально, а не как члены иерархической
структуры. Например, не существует группы принтеров, в которую входят
все принтеры домена. Наоборот, существуют Принтер1, Принтер2 и т.д.,
причем каждым придется управлять отдельно.
Система защиты основана на членстве в группе- все учетные записи
пользователей относятся к той или иной группе. Каждая группа использует
предварительно заданный (но редактируемый) набор прав, ассоциированный
с ней. Разрешения на доступ к объектам основаны на разрешениях,
предоставленных группам или отдельным пользователям, и определяются
как набор свойств в списке управления доступом (ACL — Access Control
List) Когда пользователь пытается получить доступ к объекту, скажем,
принтеру, операционная система просматривает ACL этого принтера и на
основе полученной информации предоставляет доступ на соответствующем
уровне Каждый объект имеет свой собственный ACL.
Защитой же управляют серверы Windows NT особого типа, которые на-
зываются контроллерами домена (domain controllers). В них хранится база данных системы защиты домена, идентифицирующая входы пользователей
и доступ к объектам. Для идентификации доступа, в домене обязательно
должен быть предусмотрен контроллер домена. В Windows NT Server ис-
пользуется двухуровневая система контроллеров. Защиту домена обеспечивает
единственный первичный контроллер домена (PDC — Primary Domain
Controller). По желанию базу данных системы защиты можно реплицировать
на один или несколько резервных контроллеров домена (BDC — Backup
Domain Controller), с тем, чтобы они помогали работе PDC по идентифи-
кации процесса доступа пользователей. В принципе, домену достаточно
единственного PDC, однако в домене желательно использовать хотя бы
один BDC. Это необходимо как для равномерного распределения рабочей
загрузки, так и для повышения статуса BDC до PDC при отказе первона-
чально используемого PDC. В то же время излишние BDC нежелательны,
поскольку график при репликации базы данных системы защиты на BDC
может занять немалую долю ресурсов сети.
Доверительные отношения. Хотя управлять однодоменными сетями
проще, возможно вам придется разделить сеть на домены по нескольким
причинам. Первая: в домен можно включить не более 10 000 объектов, по-
этому в очень крупных сетях с множеством объектов вы можете столкнуться
с этим ограничением. Вторая причина: PDC должен реплицировать базу
данных системы защиты на BDC. Если же доменные контроллеры соеди-
нены медленной или перегруженной линией связи, репликация приведет к
задержкам графика.
Если вы логически разделите сеть на множество доменов, то уменьшите
трафик примерно так же, как и при использовании маршрутизаторов, фи-
зически разделяющих сеть (их применение снижает трафик, фиксируя его
в том сегменте, к которому он относится). Кроме того, точно так же, как
сетевые маршрутизаторы вызывают задержки, разделение сети на домены
затрудняет администрирование. Например, как быть, если вы находитесь в
группе домена А, но хотите получить доступ к общей папке домена В?
Конечно, это возможно, однако для этого между доменами необходимо
установить доверительные отношения (trust relationship).
Доверительные отношения представляют собой обоюдное соглашение
между доменами, по которому один домен может использовать ресурсы
другого, доверяющего ему. Эти отношения необязательно двусторонние.
Фактически, по умолчанию это и не так. Кроме того, они не транзитивны.
Иными словами, если домен А доверяет домену В, а домен В доверяет С,
то А не доверяет С. Доверительные отношения между доменами А и С
следует установить отдельно.
Структура доверительных отношений — одна из причин, по которым
Windows NT Server — лучший сервер небольших сетей, состоящих из не-
скольких доменов. Установка двусторонних доверительных отношений между
доменами А и С — настоящая пытка. Для этого необходимо следующее.
1. В PDC домена А вы должны позволить С доверять А.
2. В PDC домена С вы должны добавить А в список доверительных доменов.
3. В PDC домена С вы должны позволить А доверять С.
4. В PDC домена А вы должны добавить С в список доверительных доменов.
Примечание
Вы не можете просто начать "доверять" другому домену: прежде всего, следует
получить от него разрешение И только после этого, вы сможете доверять домену.
Эти действия должны быть выполнены для двух PDC в приведенном
выше порядке. Если же PDC находятся на значительном удалении друг от
друга, вам придется немало побегать между компьютерами либо восполь-
зоваться телефоном, чтобы давать указания по ходу процесса. Кроме того,
поскольку доверительные отношения не транзитивны, придется повторить
эту работу в каждом домене, с которым хотите совместно использовать
ресурсы. Далее, вы не сможете просто объединить два домена. Чтобы пе-
реместить пользователей из одного домена в другой, необходимо вручную
добавить их в этот домен, а чтобы переместить серверы Windows NT их
необходимо переустановить и включить в существующий домен. Изменение
имени домена не поможет — домены идентифицируются операционной
системой не по именам NetBIOS, а по защитным кодам (SID), а отредак-
тировать SID средствами пользовательского интерфейса невозможно.
Обеспечение доступа к ресурсам всем доменам. Предположим, что ваша сеть достаточно проста (для создания доверительных отношений), а работа, по предоставлению доступа к ресурсам каждого домена членам других доменов еще не выполнена. В операционной системе Windows NT 4 (и ранних версиях) различают два класса групп пользователей: локальные и глобальные. Локальными группами называют такие, которые определены только внутри данного домена, в то время как глобальные — в нескольких
доменах. Глобальные группы можно включать в локальные, но никогда — наоборот.
Примечание
Существуют только три глобальные группы: Domain Administrators (администраторы), Domain Users (пользователи) и Domain Guests (гости).
До сих пор все шло гладко. Однако члены одного домена не могут
получить доступ к ресурсам другого, если они не входят в глобальную
группу. В этом случае вы можете сделать следующее.
• Вручную добавить каждого члена домена А в базу данных учетных
записей домена С. Это возможно, хотя и очень трудоемко, а, кроме
того, приводит к увеличению размера базы данных системы защиты за
счет дублирования записей.
• Предоставить разрешения глобальной группе Domain Users и убедиться,
что в нее входят все члены домена А. Однако, это означает, что вы
должны переустановить разрешения в домене С, чтобы гарантировать
необходимый доступ группе Domain Users домена А.
• Вы можете включить в группу Domain Users домена А всех пользователей,
которым необходим доступ к общим ресурсам, а затем включить ее в группу Local Users домена С. Это — простейший путь, поскольку всем членам глобальной группы Domain Users домена А предоставляются такие же права и разрешения, как и членам Local Group домена С.
Итак, если вы собираетесь установить между доменами доверительные
отношения, рекомендуем включать пользователей в глобальные, а не
локальные группы.
Будущее Windows NT Server
С технической точки зрения у версии Server операционной системы
Windows NT, как и у версии Workstation, будущего нет. Этот продукт
переименован в Windows 2000 Server, а версия Windows NT Server
Enterpise Edition получила название Windows 2000 Advanced Server. Через
шесть месяцев после выпуска остальных версий Windows 2000 ожидается
выпуск версии Windows 2000 DataCenter — дополнительного продукта,
предназначенного для конкурентной борьбы на рынке мэйнфреймов. Но
поскольку они все еще будут построены на базе Windows NT, замена имени
не означает исчезновение самого продукта.
Улучшенная защита. Windows NT позиционируется на рынке как
защищенная NOS, однако некоторые стандартные средства ее системы
защиты не обеспечивали должной безопасности из-за требований по
обратной совместимости. В следующей версии Windows NT предусмотрена
поддержка четырех протоколов защиты.
Протокол NTLM (NT LAN Manager). Предназначен для сетевых клиентов,
использующих сквозную аутентификацию (pass-through authentication) и
для старших версий Windows NT.
Kerberos. Долгие годы используется в сетях UNIX и обеспечивает в каж-
дом сеансе связи двустороннюю аутентификацию (two-way authentication)
клиента и сервера.
Протокол TLS (Transport Layer Security protocol — Протокол защиты на
транспортном уровне). Следующая версия протокола SSL (Secure Sockets
Layer — уровень защищенных гнезд).
Распределенная идентификация паролей (DPA — Distributed Password
Authentication). Используется в оперативных службах, таких как Microsoft
Network и CompuServe.
Предупреждение
Далее эти средства защиты рассматриваются более подробно Сейчас же только укажем, что их необязательно использовать во всех сетях В целях обратной
совместимости с операционными системами, в которых не поддерживаются более
совершенные протоколы, в W2K предусмотрена поддержка протокола NTLM
(который весьма уязвим) Другими словами, если в вашей сети есть персональные
компьютеры, работающие под управлением Windows или старших версий
Windows NT, вам придется использовать NTLM
Более гибкая файловая система. Windows 2000 будет поддерживать новую
версию NTFS, в которую включены дополнительные средства.
• Дисковые квоты для мониторинга или ограничения использования диска на уровне пользователя (per-user base).
• Дополнительные атрибуты, позволяющие увеличить гибкость средств поиска файлов.
• Журнал изменений (change log), позволяющий записывать время изменения файлов, а не только их временные ярлыки (timestamps).
Предупреждение
В новой версии NTFS не предусмотрена обратная совместимость с прежними версиями, а выполняемое при ее установке обновление файловой системы необратимо.
С помощью новой версии NTFS можно назначать файлам дополни-
тельные атрибуты и использовать их для сортировки и поиска. Кроме того,
в нее включена поддержка архивирования редко используемых файлов на
оптические диски и магнитные ленты, предусматривающая сохранение
связи с основным каталогом.
Средства обслуживания каталогов. Одно из наиболее широко рекламируе-
мых средств Windows 2000 - средство обслуживания каталогов, называемое
Active Directory (Активный каталог). По существу, Active Directory — система'
организации пользователей, групп, общих ресурсов и установок системы
защиты, которые операционная система отыскивает при аутентификации
пользователей. Она спроектирована для улучшения управляемости доменной
структуры крупных сетей. С этой целью домены логически группируются в
"деревья" и "рощи". "Деревья" — это семейства доменов, совместно исполь-
зующих единое пространство имен, а "рощи" — группы деревьев.
Предполагается, что между доменами, входящими в дерево, устанавли-
ваются транзитивные доверительные отношения (transitive trust relationships),
облегчающие связи между ними. Если же в каком-либо конкретном случае
полные транзитивные отношения не нужны, их можно заменить односто-
ронними доверительными. (Если же доверительные отношения вообще
нежелательны, домен не должен находиться в исходной позиции дерева.)
Примечание
В настоящее время фирма Cisco разрабатывает версию Active Directory для UNIX.
Novell NetWare
С точки зрения предоставляемых средств операционные системы
NetWare 5 и Windows NT весьма схожи. С помощью как собственных, так
и разработанных независимыми производителями надстроек, они могут
выполнять все функции серверной операционной системы. Чем же они
различаются? Одно из различий заключается в структуре каталогов
NetWare (рис. 13.5), которая радикально отличается от доменной структуры,
используемой в современных версиях Windows NT. Как показано далее, в
разделе "Структура каталога", она также отлична и от Active Directory.
Рис. 13.5. Организация ресурсов в NetWare 3 х и 4 х
Источники NDS
Подобно Windows NT, современные версии системы NetWare в своей
работе опираются не на индивидуальные компьютеры, предоставляющие
общий доступ к своим ресурсам, а на групповую деятельность, обеспечивая прозрачный доступ ко всем сетевым ресурсам, независимо от компьютера,
на котором они хранятся Как показано на рис 13.5, фактически это означает
отказ от подхода, применяемого в системе NetWare 3 х, в основном опи-
рающейся на использование серверов В этих сетях для получения доступа
к своим ресурсам пользователи должны были входить в конкретный сервер.
NetWare 4 х более напоминает Windows NT, потому что в ней используется
унифицированная система входа (unified logon system) Это в еще большей
мере относится к современной версии NetWare 5, выпущенной в сентябре
1998 г.
Причина такого изменения вполне очевидна Разумеется, можно орга-
низовать вход в индивидуальный сервер сети на 100 пользователей, но это
трудоемкая и сложная задача Выполнить же ее для сети на 1000 пользова-
телей, разбросанных по разным местам, не только трудно, но практически
невозможно Для того чтобы стать расширяемыми, сетям NetWare при-
шлось превратиться из "набора серверов" в "набор ресурсов"
Структура каталога
Унифицированный вход в сеть NetWare основывается не на доменной
структуре, а на системе службы каталогов NetWare (NetWare Directory
Services — NDS), которая впервые появилась в 1993 г в NetWare 4 Если
NDS не используется, то каждый сервер NetWare поддерживает собст-'
венный плоский файл базы данных (flat-file database) системных объектов,
называемый базой регистрационных данных (bindery) С другой стороны,
NDS служит глобальной базой данных всех сетевых ресурсов, организо-
ванных в многоуровневую иерархию. Эта база данных логически разбита
на разделы и распределяется (и реплицируется) по сетевым серверам.
Это позволяет решить две задачи. Первая" если один из серверов откажет,
структура каталога не теряется и ресурсы по-прежнему остаются доступными.
Вторая пользователь всегда сможет получить доступ к подходящему серверу,
вместо того чтобы пытаться войти в сервер по медленной линии связи
глобальной сети, или на перегруженный сервер Возможно, точно также
пришлось бы поступить и в домене Windows NT, в котором установлен
единственный PDC и отсутствуют BDC, что позволяет распределить рабочую
нагрузку
В NDS могут существовать объекты двух типов: контейнеры и листья
(leaf objects). Объекты-контейнеры, как ясно из названия, могут состоять из
других объектов, а также организаций (О — Organization) и организационных
единиц (OU — Organization Unit) В свою очередь, организационные единицы
могут содержать другие организации, или объекты-листья, которые, в
основном, представляют собой отдельные ресурсы, а не их категории
Серверы, пользователи, принтеры и другие объекты-листья могут входить
в организации или организационные единицы и идентифицироваться по
полностью определенному доменному имени (fully qualified domain name),
которое определяется по месту объекта в иерархии. Поскольку в NetWare
используют иерархическую систему, ее объекты могут иметь общие
"первые" имена и в то же время находиться на разных ветвях дерева.
Совет
Чтобы не слишком усложнять имена, фирма Novell рекомендует создавать деревья каталогов глубиной не более четырех уровней
Деревья каталогов часто строят соответственно производственным
функциям или географическому положению, но в принципе конструкция
зависит от вас. Фактически, при использовании NDS конструирование
дерева каталогов составляет труднейшую задачу, поскольку от нее зависит
доступ клиентов к сетевым ресурсам. В целом, при конструировании дерева
основное внимание следует уделять ресурсам, необходимым клиентам, а
не их должности или зданиям, где они работают.
Чем различаются NDS и Active Directory
Хотя обе системы называют "системами обслуживания каталога", они
различны. Важнейшее различие между ними — метод назначения и хранения
разрешений.
Организация разрешений на доступ к объектам. В NDS разрешения на
доступ к объектам организованы не в соответствии с кодами групп и поль-
зователей, а в соответствии с организациями (О) или организационными
единицами (OU). Если вы перемещаете учетную запись пользователя из
организационной единицы (OU) с названием ENGINEERING в единицу,
называемую MARKETING, она теряет все разрешения от ENGINEERING,
но приобретает все разрешения от MARKETING.
С другой стороны. Active Directory организует разрешения на доступ
в соответствии с кодом пользователей и групп, как и доменная система,
используемая в Windows NT. Перемещение пользователей из одной организа-
ционной единицы в другую совершенно не затрагивает их разрешения. Чтобы
изменить набор разрешений пользователя, необходимо удалить его из группы
ENGINEERING и включить в MARKETING. Если же вы просто включите
пользователя в группу MARKETING и не удалите из ENGINEERING,
пользователь сохранит оба набора разрешений.
Какой подход лучше? Это зависит от того, как вы привыкли работать.
Если вам проще запомнить набор разрешений, ассоциированный с ор-
ганизационной единицей, то предпочтительнее использовать подход,
предлагаемый NetWare, но если вам проще запомнить членство в группе,
то, вероятно, вам больше понравится подход Windows NT.
Хранение разрешений на доступ к объектам. В NDS разрешения сохра-
няются по возможности на самом верхнем уровне дерева каталогов, а затем
распространяются на все нижележащие объекты данного дерева. В Active
Directory, наоборот, все разрешения на доступ к объекту сохраняются в
самом объекте. Поэтому размер объектов Active Directory (и, соответственно,
баз данных Active Directory) намного больше, чем в NDS, поскольку они
должны сохранять собственные права (rights). Но в то же время такой метод
хранения разрешений несколько ускоряет работу операционной системы,
поскольку ей нет нужды "подниматься" по дереву, чтобы установить,
какие разрешения определены на вершине организационной единицы.
И опять-таки, все зависит от выбора. Тем, кто предпочитает иметь базы
данных разумного размера, вероятно, понравится подход Novell. Те же,
кому необходим быстрый доступ, оценят метод Microsoft.
Еще одно различие заключается не в организации разрешений, а в
организации самого дерева, когда оно охватывает несколько физических
местоположений. В Active Directory наименьшей организационной единицей
является домен. В NDS же это — раздел, который может иметь меньшие
размеры, чем домен. Каждая фирма уверяет в превосходстве своего метода -
Microsoft указывает на то, что доменная структура стимулирует концентрацию
сетевых ресурсов в одном месте, a Novell обращает внимание на то, что
разделение на разделы (partitions) позволяет сегментировать запросы ресурсов
и снизить трафик.
Версии операционной системы UNIX
На заре появления сетей, операционные системы и оборудование, как
правило, взаимно зависели друг от друга: чтобы запустить компьютер данной
модели, требовалось установить на нем Операционную систему, спроекти-
рованную именно для данного компьютера. Первоначально UNIX была
спроектирована фирмой Bell Labs как опытный образец операционной
системы со следующими характеристиками.
• Независимость от платформы.
• Совместимость с другими платформами и приложениями, которые придерживались тех же правил.
• Способность к взаимодействию (в том отношении, что UNIX могла работать в сетях различных поставщиков);
Благодаря антимонопольному законодательству фирма AT&T не могла
продавать новую NOS (UNIX изначально разрабатывалась как сетевая
операционная система), но программа быстро распространилась по
исследовательским организациям и учебным заведениям. В последующие
годы эти организации создали на основе данной NOS множество взаимно
несовместимых и неупорядоченных операционных систем, в которых, тем
не менее, сохранилось ядро UNIX. Фактически, существует около 20 версий
этой OS. Наибольшую популярность приобрели HP/UX фирмы Hewlett-
Packard, SunOS/Solaris фирмы Sun Microsystems, AIX фирмы IBM и другие.
Упрощенная версия UNIX - Linux
В конце 1998 г. широкую популярность начала приобретать одна из
версий UNIX, называемая Linux. Со времен ее зарождения в 1991 г. и начала
бесплатного распространения в 1993 г. Linux дорабатывалась сотнями
программистов всего мира. Причину понять несложно — исходный код
Linux распространялся бесплатно, и людям нравилось дорабатывать его,
каждому на свой лад. В то же время все внесенные исправления и улучшения
становятся всеобщим досуоящием. Все стоящие изменения операционной системы санкционируются ее создателем — Линусом Торвальдсом (Linus
Torvalds), и отнюдь не всякое изменение вносится в "официальную" версию.
Как можно понять из документов Halloween, упомянутых при
обсуждении модели OSI, фирма Microsoft озабочена угрозой Windows NT
со стороны Linux. И на то есть основательные причины. Linux опирается
иа группу преданных своему делу разработчиков (и многим из них ничего
не нужно, кроме доказательства превосходства Linux). Эта сетевая операционная система работает с компьютерами х86, станциями Digital Alphas и
Sun SPARC, поэтому она действительно более гибкая, чем Windows NT,
которая в настоящее время может работать только на х86 и Alpha. Многих
пользователей Linux привлекает относительно скромными требованиями к
оборудованию. Так, вы можете использовать ее для спокойного запуска
'Web-сервера на 486 компьютере Требования же Windows 2000 намного
серьезнее. Кроме того, Linux поддерживается ведущими производителями
Оборудования и программного обеспечения.
Тем не менее, в настоящее время Linux пока не в состоянии одержать
Церх над Windows NT. Во всяком случае, это произойдет не скоро. Пользо-
ватели пока еще недостаточно заинтересованы в загрузке операционной
системы с ftp-узла фирмы RedHat (доступного по адресу www.redhat.com),
а те, кто специально ее заказывают, не собираются ее использовать в ком-
мерческих целях. До сих пор большинство установок системы Linux —
единичные или любительские по сравнению с установками Windows NT в
деловой сфере. Другой аспект, ограничивающий распространение Linux
как серверной операционной системы, связан с характером распределения
Процессорного времени. Windows NT и другие основные коммерческие
операционные системы распределяют время процессора для операций ядра
(kernel operations) по потокам, а Linux — по процессам, благодаря чему
распределение ресурсов процессора намного менее детализировано Кроме
того, потоки, как и приложения, исполняются в пользовательском режи-
ем, а метод постановки последних в очередь ухудшает отклик приложений
Linux по сравнению с теми, что созданы для Windows NT и Windows 9x.
фактически, Linux более напоминает систему Windows З.х, использующую
Коллективную многозадачность (cooperative multitasking) и требующую,
чтобы приложения освобождали процессор по завершении работы, а не
Многозадачный режим с приоритетами (preemptive multitasking), исполь-
зуемый в 32-битовых версиях Windows, который заставляет приложения
освобождать процессор через регулярные интервалы. Наконец, Linux ни.
Может эффективно поддерживать многопроцессорное оборудование, по-
скольку его программный код спроектирован для одновременной работы с
единственным процессором Таким образом, эта NOS не способна работать
со многими производственными серверными приложениями.
В настоящее время Linux в основном применяется в качестве исследовательской платформы и платформы для Web-серверов. Однако, после некоторых изменений его архитектуры, а также из-за большой доступности для пользователей, он может стать конкурентом Windows NT, по крайней мере, в каком-то сегменте рынка.
Примечание
До сих пор усилия разных производителей UNIX не привели к созданию единой унифицированной версии этой операционной системы, однако работа продолжается.
Что же делает UNIX уникальным? Во-первых, его сетевая файловая
система (NFS — network file system), разработанная фирмой Sun
Microsystems в конце 80-х гг. NFS позволяет совместно использовать файлы
и ресурсы нескольких серверов так, как будто они находятся на одном
компьютере. Причем NFS позволяет делать это, даже если ресурсы располо-
жены не просто на разных компьютерах, но и на компьютерах, использующих
разные платформы. Так, мэйнфреймы и серверы Windows NT отображаются
NFS как совершенно одинаковые ресурсы. NFS экспортирует их, а затем
сетевые клиенты монтируют (mount), или подсоединяют ресурсы, когда
они им нужны, в соответствии с предоставленными разрешениями, что и
составляет основу сетевой технологии клиент/сервер.
Другое нововведение UNIX — сетевая информационная система (NIS —
Network Information System), которая необходима всем NOS. NIS представляет
собой часть операционной системы, унифицирующей вход в сеть. По
существу, это средство обслуживания каталогов для сети, содержащее такую
информацию, как пароли, списки групп пользователей, физические адреса,
IP-адреса и т.д. Если вам необходимо найти в сети какой-либо компьютер,
он должен отображаться где-нибудь в NIS.
Windows NT имеет многие достоинства UNIX, именно поэтому их
структура и средства во многом схожи, как было указано ранее, в разделе
"Общие средства". Подобно Windows NT, в UNIX встроена поддержка
обязательных средств обслуживания файлов и печати, интранет, защиты
на уровне объектов, программной RAID-поддержки и т.д. А вот что есть в
UNIX, и чего пока нет в Windows NT — отличные возможности расширения.
В настоящее время Internet в основном является сетью UNIX с небольшой
добавкой Windows NT. И в своем нынешнем состоянии, в другой ситуации,
Windows NT не могла бы работать. Просто доменная структура Windows NT
не может масштабироваться, а если ее заставить обрабатывать слишком
много процессов сразу, то Windows NT разрушится.
Что ждет UNIX в будущем? Это — зрелая операционная система, и хотя,
вероятно, UNIX будет в какой-то мере адаптироваться к современным
требованиям, ей не требуется какой-либо особой доработки, как Windows NT
и NetWare. Действительно, развитие Windows NT и NetWare в основном
заключается в добавлении средств, которые уже есть в UNIX. Более
существен вопрос выпуска унифицированной версии UNIX, с тем чтобы
предоставить пользователям единую платформу, решив тем самым некоторые
проблемы совместимости. Однако в настоящее время это представляется
маловероятным. Слишком многие понесут крупные убытки, если перейдут
на единый стандарт. Более того, политическая обстановка в мире UNIX не
поощряет возникновение унифицированного подхода, который возможен,
если продукт выпускает единственная фирма, как, например, фирма
Microsoft выпускает Windows NT Server или фирма Novell — NetWare. Скорее,
нововведения станут более корректными, и Линус Торвальдс (Linus
Torvalds) сумеет их оценить. Таким образом, хотя UNIX никуда не уходит и все еще сохраняет популярность в крупных сетях, маловероятно, что она
сумеет вытеснить Windows NT и NetWare.
Выводы
В соответствии с отчетом Международной корпорации обработки
данных (International Data Corporation — IDC), выпущенном в конце
1998 г., большую часть рынка все еще удерживает UNIX, занимая
45,8% всех серверных операционных систем, проданных в 1997 г. Второе
место занимает Windows NT (34,2%), далее следует NetWare (19%). Возможно,
доля продаж UNIX возрастет, и это будет сюрпризом для тех, кто предска-
зывал ее неизбежное вытеснение системой Windows NT.
Примечание
Между прочим, в отчете не указано, как используется каждая сетевая операционная система Так, UNIX в испытательной среде (test environment) рассматривалась наравне с Windows NT в деловом окружении.
Какая же NOS лучше всех? Это зависит от того, что вы собираетесь делать
с ее помощью. UNIX — превосходная гибкая, стабильная и защищенная
операционная система для крупномасштабных сетей. Так и должно быть;-
она работает и развивается уже 30 лет, так что вы можете надеяться, что
имевшиеся ошибки уже исправлены. Однако в ней по-прежнему остается
узким местом проблема межсетевого взаимодействия с широко распро-
страненными клиентами Microsoft. Кроме того, до сих пор не создана
единая версия этой NOS.
Windows NT все еще борется за то, чтобы ее приняли всерьез в круп-
номасштабных сетях. Это — хорошая операционная система для сетей
средних размеров, где ее простота и совместимость имеют большое значение
при работе с множеством установленных клиентов Microsoft. Однако в ней
все еще не решены проблемы расширяемости, возникающие из особенностей
организации ее системы защиты, основанной на доменной структуре.
Поэтому на рынке крупных сетей господствуют UNIX и, в меньшей степени,
NetWare. Проблему расширяемости частично должно решить включение в
следующее поколение Windows NT средств обслуживания каталогов. Однако
несмотря на большие надежды, во время создания этой книги Windows 2000
существовала только как вторая бета-версия, поэтому пока еще рано говорить,
как проявят себя при испытаниях заложенные в нее хорошие идеи. Кроме
того, по-прежнему остаются нерешенными вопросы защиты, хотя это
относится, скорее, к следующей версии, в которой предусмотрена под-
держка Kerberos — протокола защиты, первоначально разработанного для
UNIX. (Интересно, насколько Windows NT станет похожа на UNIX после
внесения всех исправлений?)
A NetWare? NetWare постепенно уступает рынок Windows NT, но те,
кто ее используют, работают с хорошо обустроенной NOS, имеющей мно-
жество средств, которые еще только появляются в Windows NT (средства
обслуживания каталогов, реальная поддержка связи с UNIX и т.д.). Кроме того, в настоящее время работает огромное число серверов NetWare, так что эта NOS не скоро уйдет со сцены.
Итак, на чем бы вы ни остановили свой выбор, в этой лекции перечислены все основные, пользующиеся наибольшей популярностью операционные системы, как одноранговые, так и системы типа клиент/сервер.
Упражнение к лекции 13.
1. Вы добавили нового пользователя в свою одноранговую сеть, состоящую
из компьютеров Windows 95 и Windows NT Workstation. Он пытается
получить доступ к общей папке на компьютере Windows NT, однако не
может сделать это — система требует ввести пароль для общего ресурса
IPC. В то же время, пользователь может получить доступ к любому
ресурсу компьютера Windows 95. В чем тут дело?
2. При прочих равных условиях, в какой службе каталога больше размер
базы данных: NDS фирмы Novell или Active Directory фирмы Microsoft?
Почему?
3. Насколько существенно то обстоятельство, что NetWare 4.11 имеет
сертификат С2, a NetWare 5 — нет?
4. В каких случаях UNIX предпочтительнее Windows NT? В каких случаях
Windows NT предпочтительнее UNIX?
5. Характеристики Linux более сходны с Windows NT, чем Windows 3-х в
том, что относится к распределению рабочих циклов процессора между
исполняемыми потоками? Ответьте "да" или "нет".
6. Linux конкурирует со следующими операционными системами.
A. Windows NT.
В. Windows 9x.
С. NetWare.
D. Ни с одной из перечисленных.