Rozdział 20
Remote Access Services (RAS)
Remote Access Services (Usługi zdalnego dostępu) - określane
częściej jako usługi (lub zbiorczo: usługa) RAS - należy z pewnością
do ciekawszych elementów systemu Windows NT . Dzięki RAS
możemy, w sposób bardzo wygodny, nawiązać - poprzez łącze
modemowe - zdalne połączenie z zarządzaną siecią. Ponieważ
obecnie system operacyjny Windows 95 dominuje na rynku, usługi
RAS można wprowadzić w prosty i niedrogi sposób nawet do
najmniejszych sieci komputerowych. Skoro Windows 95 ma
wbudowane narzędzie, Network dialer - do zestawiania połączeń
z sieciami odległymi (przez łącza modemowe) nie potrzeba żadnego
dodatkowego oprogramowania. Kombinację Network dialer
i serwera NT , oferującego możliwość zestawiania połączeń
przychodzących, cechuje wysoka wydajność i elastyczność.
Przegląd usług RAS
Istota Usług zdalnego dostępu (RAS) nie zawsze jest w pełni dla
wszystkich zrozumiała. W
skrócie (i dużym uproszczeniu)
zapewniają one połączenia sieciowe przez modem z odległym
systemem. Połączenia sieciowe oparte na RAS mają nieliczne
ograniczenia. Wspominaliśmy już, że zarówno Windows 95, jak
i NT oferowane są z wbudowanymi elementami RAS, i doskonale
z sobą w tym zakresie współpracują. W pierwszym z nich do
zestawiania połączeń klienckich (client-side connection) ze
zdalnym serwerem RAS zastosowanie znajduje program Dial-Up
Networking. Narzędzie to nie jest instalowane domyślnie.
W Windows NT 3.51 Usługi zdalnego dostępu zarówno dla serwera,
jak i klienta stanowią jeden składnik (zwany Remote Access
Services), zawarty w folderze
Remote Access Serv ices
. Składnik
strony klienta dla usług RAS w NT 4 nazywa się teraz Dial-Up
Networking. Aplikacja sterująca składnikiem strony serwera dla
usług RAS w
systemie NT 4 znajduje się teraz w
folderze
780
Rozdział 20
Administrativ e
Tools
i nosi nazwę
Remote Access Admin
(Administrator zdalnego dostępu). Interfejs Dial-Up Networking
w
Windows NT 4 bardzo się różni od swego odpowiednika
z Windows 95.
Spróbujemy wyjaśnić teraz wszelkie ewentualne nieporozumienia
dotyczące pojęć klient i serwer. Aplikacja strony serwera (lub po
prostu aplikacja serwera), to każda aplikacja lub usługa, którą
wykonuje serwer sieciowy przy odbiorze ruchu sieciowego (danych
sieciowych) ze zdalnej stacji roboczej. Aplikacja strony klienta (lub
aplikacja klienta) to każda aplikacja, uruchamiana na stacji roboczej
w celu połączenia się z
aplikacją towarzyszącą na serwerze.
W niniejszym rozdziale omawiamy usługę RAS dla Windows NT ,
zarówno jako aplikację strony serwera, jak i strony klienta,
ponieważ może ona pełnić obie funkcje.
W absolutnej większości przypadków wykorzystania RAS,
połączenie sieciowe nawiązywane jest poprzez modem.
Zapamiętajmy jednak, że Windows NT obsługuje również kilka
innych, poza standardowymi liniami telefonicznymi i modemami,
form połączeń RAS. Przez system NT obsługiwane są również
połączenia X.25 (typ przesyłania danych z komutacją pakietów) -
połączenia ISDN i połączenia w pełni cyfrowe (takie jak DDS,
dzielone pod-kanały T 1 i kanały T 1 bez podziału itd.; są to,
porównawczo rzecz ujmując, cyfrowe linie komunikacyjne
o wielkich szybkościach transmisji).
Składnik RAS systemu NT może obsługiwać do 256 współbieżnych
sesji, zarówno wejściowych (inbound), jak i
wyjściowych
(outbound). Usługa RAS NT nie zapewnia zbiorczej obsługi
modemów dla stacji roboczych, to znaczy nie umożliwia stacjom
roboczym używania modemów przyłączonych do serwera RAS NT
jako modemów lokalnych, z których stacje mogłyby zestawiać
(dial-out) połączenia wychodzące. Usługa RAS pozwala jedynie na
nawiązywanie połączeń przychodzących do samego serwera RAS
NT , lub z niego wychodzących.
Praca z RAS wymaga znajomości podstaw sieci komputerowych.
Powinniśmy wiedzieć, czym jest protokół sieciowy i jaka jest jego
główna funkcja. Usługa RAS obsługuje wszystkie trzy najważniejsze
protokoły sieciowe: IPX, T CP/IP i NetBEUI. W połączeniach RAS
wszystkie te protokoły mogą być obsługiwane równolegle -
Remote Access Services (RAS)
781
w jednym połączeniu lub w dowolnych kombinacjach. Chociaż są to
protokoły sieciowe, pośredniczące w rzeczywistej komunikacji
między aplikacjami, RAS - do ich przenoszenia poprzez
asynchroniczne połączenia modemowe - używa dwóch protokołów
transportowych PPP (Point-to-Point Protocol) i SLIP (Serial Line
Interface Protocol). Przez asynchroniczne połączenia modemowe
należy rozumieć takie połączenia, które nie są w sztywny sposób
kontrolowane przez synchroniczną transmisję pakietową.
W przeciwieństwie do protokołów sieciowych obsługiwanych przez
RAS, dla danego połączenia może być zastosowany tylko jeden
protokół transportowy.
Serwer RAS NT nie musi być osobnym serwerem w sieci. Kontroler
PDC (pierwotny kontroler domeny) sieci może również służyć jako
serwer RAS - jeśli posiada wystarczającą moc obliczeniową.
Połączenie nie musi być zestawiane z użyciem modemów. Linie
ISDN, X.25 i całkowicie cyfrowe można również wykorzystać do
łączenia się z serwerami RAS - jednak pod warunkiem, że strona
klienta zapewnia sprzęg (interface) z takimi liniami.
Usługa RAS a zdalne sterowanie systemem
Wiele osób błędnie pojmuje istotę RAS, identyfikując ją ze zdalnym
sterowaniem systemem (Remote Control). Usługa RAS i zdalne
S tac ja roboc za
z s ystem em Wi ndo ws 95
używ a jąc a narzę dzia
N et D e ale r
Mode my
P DC
Mode m
S erw e r RA S N T
K once ntrator
sie ci owy
K ontrol er dome ny NT
S tac je roboc ze
Łąc
ze R
A S
Rys. 20.1 Prosty
przykład
realizacji
zestawiania
połączeń
sieciowych.
782
Rozdział 20
sterowanie są podobne w tym tylko, że umożliwiają zdalny dostęp
do systemu poprzez pewien nie dedykowany kanał (taki jak linia
telefoniczna). RAS zapewnia dostęp do zasobów zdalnych
komputerów w sposób standardowy, typowy dla pracy w sieci
komputerowej. Oznacza to, że komputer-klient ma dostęp do
sterowników sieciowych, drukarek, faksów itd. - tak, jakby zasoby
te były lokalne (z literowymi oznaczeniami napędów, portami
drukarek, połączeniami faksowymi). Komputer-klient ,,nie widzi’’
w rzeczywistości ekranu serwera (tak jak w programach do zdalnego
sterowania, np. Carbon Copy czy PC Anywhere).
W takich aplikacjach klient widzi poddane redyrekcji dane
wyjściowe, wygenerowane przez serwer (wyświetlane są one w taki
sam sposób, jak po stronie serwera). T o trochę tak, jakby klient
patrzył przez ,,okno’’ na komputer zdalny. Wszystkie operacje
realizowane w sesji zdalnego sterowania systemem, w rzeczywistości
wykonywane są w komputerze zdalnym; klientowi po prostu
pokazuje się, co dzieje się po drugiej stronie połączenia. Oznacza
to, że jedynymi danymi przesyłanymi przez łącze modemowe (lub
łącze innego rodzaju) są te, które dotyczą wyglądu ekranu systemu
zdalnego. T aka forma zdalnego sterowania jest wygodna, jeżeli
chcemy, żeby to system zdalny (a nie nasz komputer lokalny)
wykonał jakieś działanie.
Usługa RAS udostępnia natomiast prawdziwe połączenia sieciowe.
Kiedy połączymy się z serwerem RAS, możemy usuwać i kopiować
pliki, uruchamiać programy, ładować dokumenty itd., używając
komputera lokalnego. Dane zostaną przesłane z
serwera do
określonego komputera lokalnego. Połączenia RAS - ze względu na
ich stanowczo za małą przepustowość - nie są idealne do zdalnego
uruchamiania programów. Dobrą tego ilustracją jest poniższy
przykład.
Jesteśmy połączeni za pomocą RAS z komputerem zdalnym.
W typowy dla takich sytuacji sposób przypisujemy zdalnemu
napędowi C: nasze lokalne oznaczenie J:. Chcemy teraz poddać
kompresji cały katalog plików w napędzie J:, używając popularnego
programu shareware’ owego PKZIP. Uruchamiamy więc DOS-a,
wchodzimy do żądanego katalogu w napędzie J: i uruchamiamy
program PKZIP:
pkzip *.* mojkat.zip
Remote Access Services (RAS)
783
Większość z nas zna program PKZIP i wie, na czym polega
kompresja plików. Jeżeli więc przeprowadzilibyśmy kompresję
w wyżej opisany sposób, to cała zawartość katalogu zostałaby
wysłana przez łącze RAS do naszego komputera lokalnego, poddana
kompresji przez PKZIP, a następnie wysłana z powrotem - przez
łącze RAS - do komputera zdalnego, w celu zapisania w zdalnym
napędzie C: jako plik docelowy: mojkat.zip. O
wiele
oszczędniej byłoby zwyczajnie skopiować przez łącze RAS pliki do
lokalnego napędu C: i poddać je kompresji, dzięki czemu dane
byłyby przesyłane przez łącze tylko raz.
M etody pracy z usługą RAS
Usługa RAS systemu NT umożliwia więcej niż tylko dostęp do
zasobów sieci przez zestawiane (dial-in) połączenie modemowe.
Ponieważ umożliwia ona użytkownikom zdalnym łączenie się
z protokołem T CP/IP, możemy (dzięki niej) oferować również
połączenia typu internetowego. Wszystkie aplikacje
wykorzystujące protokół T CP/IP (takie jak serwery WWW,
serwery FT P, serwery T elnet itd.) można uruchamiać w serwerze
RAS NT . Użytkownicy zdalni mogą wtedy połączyć się ze
składnikiem RAS i pracować z tymi aplikacjami tak, jakby byli
podłączeni do samego Internetu.
Co więcej - Windows NT umożliwia pełne połączenia typu ISP
(Internet Service Provider) ze zdalnymi użytkownikami. Serwer NT
można połączyć z Internetem przez kanał dedykowany, podczas
gdy zdalni użytkownicy RAS mogą łączyć się z serwerem RAS
i uzyskiwać przejście (pass-through access) do Internetu (rysunek
20.2).
784
Rozdział 20
Istnieje oczywiście wiele form ochrony, gwarantujących, że nie
zostanie ona pogorszona w systemach o powyższej strukturze. Jak
widać system NT może zarządzać serwerem ISP tak samo dobrze,
jak UNIX.
Usługa RAS zapewnia również dostęp sieciowy klientom
pracującym w innych, niż Windows, systemach. Klienci NetWare
mogą uzyskać dostęp do sieci Microsoft Windows za
pośrednictwem RAS - pod warunkiem, że w
Windows NT
poprawnie zainstalowano bramę NetWare. Jeżeli brama NetWare
jest zainstalowana poprawnie, wtedy serwery NT mogą być
wykorzystane do udostępniania stacjom roboczym Windows (w
których zainstalowano tylko oprogramowanie klienta Microsoft
Windows Network) zasobów NetWare i
odwrotnie. Funkcją
oprogramowania bramowego jest umożliwienie wzajemnej
komunikacji między różnymi platformami systemowymi, bez
konieczności instalacji dodatkowego oprogramowania po stronie
klienta.
Mode my
Mode my RA S
P rze jśc ie do Inte rnetu
Rute r interne tow y CSU /D SU
Mag istral a głów na Inte rne tu
S erw e r RA S N T
Zdal ne sta cj e robocz e
K once ntrator
sie ci owy
S tac je roboc ze
Rys. 20.2.
Struktura sieci
z zestawianiem
połączeń,
realizująca
zarówno
połączenia LAN,
jak i internetowe.
Remote Access Services (RAS)
785
Wydajność w kontekście RAS
Chociaż istnieje wiele innych rodzajów zdalnego dostępu, naszą
uwagę zajmować będzie przede wszystkim dostęp z zastosowaniem
modemów (gdyż jest on najpopularniejszy). Wybierając typy
modemów do obsługi zdalnego dostępu, powinniśmy się ograniczać
jedynie do tych lepszych (tj. o większych możliwościach). Łącza
RAS będą funkcjonować wydajniej przy większych szybkościach
(modemy 28.8 KB/s to obecnie standard).
T akie właściwości, jak kompresja danych i korekcja błędów zawsze
polepszają działanie łącza RAS. Zarówno programowa kompresja
danych (wykonywana przez oprogramowanie serwera i klienta dla
zmniejszenia ilości przesyłanych danych), jak i ich sprzętowa
kompresja (realizowana na strumieniu danych przez same modemy)
zwiększa szybkość transmisji danych. Wykrywaniem błędów może
się zająć protokół transportowy i/lub modem. Protokół
transportowy PPP ma wbudowane procedury wykrywania błędów,
mające na celu usprawnienie transmisji danych, ale protokół
SLIP ich nie posiada. Stąd też należy go wykorzystywać jedynie
w połączeniu z modemami wykrywającymi błędy i/lub łączami
telefonicznymi wysokiej jakości.
Konfigurując modemy do pracy z usługami RAS należy pamiętać, że
szybkość urządzenia DT E (Data Terminal Equipment to
w terminologii telekomunikacyjnej terminal, czyli, po prostu,
komputer) powinna być - w odniesieniu do sprzętu - jak największa.
Oznacza ona szybkość, z jaką dane przechodzą między lokalnym:
komputerem i modemem.
Komunikacja modemu z komputerem realizowana jest z szybkością
urządzenia DT E lub portu, z
którym współpracuje modem.
Szybkość portu powinna wynosić co najmniej 57.6 Kb/s - dla
modemów 28.8 Kb/s (w naszych rozważaniach „pracować”
będziemy z modemem 28.8 Kb/s). Szybkość urządzenia DCE (Data
Carrier Equipment, czyli modemu) to szybkość transmisji między
dwoma połączonymi modemami.
Strumień danych przesyłanych między modemami poddawany jest
zwykle kompresji (współczynnik 2:1 jest zupełnie zadowalający).
Ponieważ usługi RAS pracują najczęściej z danymi nie poddanymi
kompresji, współczynnik kompresji 2:1 jest realistyczny. Gdy dane
786
Rozdział 20
pojawiają się na drugim końcu łącza, „rozpakowywane” są najpierw
przez modem (w przypadku kompresji sprzętowej), a następnie
przez oprogramowanie (przy kompresji programowej). Kiedy
poddawany jest dekompresji pełny strumień danych
przychodzących, otrzymujemy w rezultacie ich większą ilość (niż
rzeczywiście przechodzi przez łącze przy danej szybkości
połączenia). T ak więc, aby modemy nie musiały czekać na
,,rozładunek’’ przybywających danych, komputer musi odbierać je
z szybkością większą niż ta, z jaką modem odbiera dane z łącza.
T ym wyjaśnić możemy wyższą - w stosunku do połączenia -
prędkość portu.
Zasada ta ma zastosowanie także w sytuacji odwrotnej. Żeby
modem wysyłający osiągał swoją maksymalną wydajność, dane
powinny być do niego przesyłane z
szybkością większą od
połączenia, ponieważ - zanim prześle on dane dalej - poddaje je
kompresji.
Typy połączeń
Jak już wspominaliśmy, Usługa RAS NT umożliwia zestawienie
kilku typów połączeń. Najtańsze i najłatwiejsze są połączenia
modemowe. Linie X.25 są wiązkami mniejszych linii analogowych
o statycznej szybkości transmisji 9600 b/s na linię. Były one
częściej używane w latach osiemdziesiątych, a wypadły z głównego
nurtu zastosowań w telekomunikacji po pojawieniu się technologii
ISDN i linii całkowicie cyfrowych.
Praca z modemami
Pewne typy modemów wyprodukowanych w
latach
osiemdziesiątych, przed powstaniem standardów dla szybkiej
komunikacji asynchronicznej, nie mogą być stosowane do usług
RAS NT . W niektórych urządzeniach Multi-T ech i oryginalnych
modemach firmy Hayes używano zastrzeżonych protokołów
transmisyjnych do szybkich połączeń (nie będą one współpracowały
z modemami współczesnymi).
Modemy komunikują się między sobą za pośrednictwem
protokołów transmisyjnych. T ermin ,,protokół’’ pojawia się często
w wielu miejscach tego rozdziału; stąd może on nam się wydawać
Remote Access Services (RAS)
787
niejednoznaczny. W
kontekście omawianej tu problematyki
oznacza on sposób, w jaki komunikują się między sobą dwa
urządzenia, aplikacje lub para klient/serwer. Ponadto jeden protokół
może być transportowany przez inny - przykładem są tutaj
protokoły sieciowe, transportowane przez protokół PPP lub SLIP.
Kiedy mówimy o protokołach modemowych, mamy na myśli
sposób, w jaki ustalają one (protokoły) takie parametry, jak
prędkość transmisji w bodach (baud rate), wstępne procedury
synchronizujące (initial handshaking), metody korekcji błędów itd.
T abela 20.1 przedstawia protokoły związane ze standardowymi
szybkościami współczesnych modemów.
Tabela 20.1. Standardowe protokoły modemowe i ich szybkości.
Szybkość połączenia modemowego Używany protokół
1200 bitów na sekundę
V.22
2400 bitów na sekundę
V.22bis
9600 bitów na sekundę
V.32
14 400 bitów na sekundę
V.32bis
19 200 bitów na sekundę*
V.32terbo
28 800 bitów na sekundę
V.34
28 800 bitów na sekundę*
V.FC
* Dla połączeń z szybkością 19 200 bps nie opracowano dotąd żadnej normy;
jedynym używanym na dużą skalę standardem jest V.32terbo.
** Przed uzgodnieniem standardu V.34 dla szybkości 28 800 b/s często
używano standardu V.FC. Modemy V.FC mogą komunikować się z modemami
V.34 przy szybkości 28 800 b/s.
Wieloportowe płyty wejścia/wyjścia
Jak wspominaliśmy, RAS może obsłużyć do 256 połączeń.
Niektórzy czytelnicy ze zdziwieniem przyjmą fakt, iż w jednym
komputerze można zainstalować 256 modemów/portów. Wielu
wytwórców produkuje wieloportowe płyty wejścia/wyjścia (multi-
port I/O board), umożliwiające bezkonfliktowe dołączenie do
jednego komputera wielu modemów zewnętrznych. Regałowe
podstawy modemowe (rack-mount modem chassis) wyznaczają
788
Rozdział 20
inną metodę wykorzystania wielu modemów w jednym komputerze
(ich produkcją zajmują się takie firmy, jak: np. Hayes
i U.S.Robotics).
Przed wyborem płyty wejścia/wyjścia (płyty I/O) lub podstawy
regałowej, należy zapoznać się listą zgodności sprzętowej - HCL
(Hardware Compatibilty List). Sam system NT obsługuje tylko
niektóre z tych urządzeń. Jeżeli chcemy zakupić płytę I/O lub
podstawę spoza listy zgodności sprzętowej, musimy koniecznie
dowiedzieć się u producenta urządzenia, czy dysponuje on
odpowiednimi, wymaganymi przez NT , sterownikami.
Wieloportowe urządzenia wejścia/wyjścia czasami współdzielą
(share) jedno przerwanie (IRQ) dla jednego banku modemów,
przyłączonych do karty zainstalowanej w komputerze (chociaż
niektóre współcześnie produkowane wieloportowe karty
wejścia/wyjścia - multi-port I/O cards - w ogóle nie używają
przerwań). Przerwania nie można zwykle współdzielić na magistrali
ISA. Regułę tę można naruszyć, kiedy przerwanie jest współdzielone
przez bank urządzeń połączonych w łańcuch na karcie umieszczonej
w jednym gnieździe rozszerzeń. Dwie różne karty zainstalowane
w komputerze z magistralą ISA nigdy nie mogą współdzielić tego
samego przerwania i jednocześnie działać.
Instalując dużą liczbę modemów w serwerze RAS NT , powinniśmy
korzystać z
wieloportowego urządzenia wejścia/wyjścia
o największej możliwej szybkości przesyłania danych przez porty.
Im większa prędkość portu dla wszystkich modemów
przyłączonych do serwera RAS, tym wydajniejsze będzie działanie
całego zestawu. (Odpowiednie karty i urządzenia produkują tacy
wytwórcy, jak Digiboard i Equinox).
Konfigurowanie linii telefonicznych dla serwera RAS
Operator sieci telefonicznej w naszym regionie może udostępnić -
jako linie dedykowane dla serwera RAS - ,,rotacyjne’’ (rotary
group) lub ,,wyszukujące’’ grupy linii (hunting group). Są to grupy
linii telefonicznych, połączonych w łańcuch. Jeżeli jakaś linia grupy
jest zajęta, wtedy pojawiające się w niej zgłoszenie (call) będzie
przekazywane z jednej linii w łańcuchu do następnej - aż do
wyczerpania łańcucha albo odnalezienia linii wolnej (firma
telefoniczna czasem żąda opłaty za tę usługę).
Remote Access Services (RAS)
789
Jeżeli dysponujemy wieloma różnymi modemami dedykowanymi
dla serwera RAS, najlepiej jest przyłączyć najszybszy z nich do
końcowej linii w grupie rotacyjnej. Dzięki temu użytkownicy zdalni
(caller), dysponujący szybkimi połączeniami, będą mogli pojawiać
się w
pewnej chwili w
środku łańcucha i
być łączeni tylko
z szybkimi modemami. Jeżeli szybkie modemy umieścilibyśmy na
początku grupy rotacyjnej, wtedy - gdyby szybkie modemy były
zajęte - szybcy użytkownicy zdalni byliby łączeni z wolnymi
modemami z jej końca. Jeżeli użytkownicy zechcą połączyć się
przez szybkie modemy, powinni - w sytuacji, gdy wszystkie szybkie
modemy są właśnie wykorzystywane - otrzymać sygnał zajętości.
Linie X.25
Linie X.25 są anachronizmem z czasów powolnej i zawodnej
komunikacji modemowej. Dzisiaj powinno się ich w
miarę
możliwości unikać. Były jednak popularne w
latach
osiemdziesiątych, dlatego wciąż są w wielu miejscach dostępne.
Linia X.25, w podstawowym założeniu, łączy wzajemnie dwa
punkty. W każdym punkcie znajdują się tzw. jednostki PAD
(Packet Assembler /Dissambler). PAD „rozbija” dane z komputera,
do którego jest przyłączona, na ,,pakiety’’ i wysyła je linią X.25.
Kiedy dane osiągają miejsce przeznaczenia, zostają złożone
z powrotem do poprzedniej postaci.
Komunikacja X.25 może być realizowna z
wykorzystaniem
połączeń periodycznych (jak w
przypadku normalnych,
zestawianych (dial-up) sesji modemowych) lub połączeń
dedykowanych (takich jak linie cyfrowe). Wykorzystując
połączenia dedykowane powinniśmy dysponować inteligentną kartą
X.25. Dzięki nim system NT ,,zakłada’’, że jest zawsze połączony
z siecią X.25.
Zapamiętajmy, że opłaty za usługi linii X.25 ustala się na podstawie
ilości transmitowanych za ich pośrednictwem danych, ponieważ na
każdym etapie sprawdza się ich bezbłędność, w związku z czym
koncentratory X.25 poświęcają część swojej mocy na obsługiwanie
danych. W porównaniu z opłatami za korzystanie z linii X.25, linie
cyfrowe prezentują się znacznie korzystniej.
790
Rozdział 20
Połączenia ISDN
Standard ISDN nie jest nowością. Nie przyjął się tak, jak tego
oczekiwano. Wyróżniamy dwie postaci cyfrowych połączeń ISDN:
interfejsów BRI (Basic Rate Interface) i PRI (Primary Rate
Interface). W połączeniach BRI ISDN występują trzy kanały
cyfrowe
dwa dla danych, jeden sterujący. Dwa kanały danych
(kanały B) mogą przesyłać dane z maksymalną prędkością 64 Kb/s.
T rzeciego kanału, określanego jako kanał D, używa urządzenie
obsługujące standard ISDN do komunikowania się z
drugim,
połączonym z nim urządzeniem ISDN.
W połączeniach PRI ISDN występują linie T 1 (wiązki 24 linii
o prędkości 64 Kb/s). Pełne linie T 1 mogą przesyłać dane
z prędkością maksymalną 1 544 Mb/s. Jedna linia przeznaczona jest
na sygnały sterujące, przesyłane między urządzeniami ISDN.
Połączenia BRI ISDN są popularniejsze (w USA ich zainstalowanie
kosztuje ok. 130 dolarów, a opłaty miesięczne wynoszą od 95 do
120 dolarów. W chwili pisania tego rozdziału książki opłaty za
usługi ISDN nie zależały od ilości transmitowanych tą drogą
danych).
Dwa kanały danych linii BRI ISDN mogą być wykorzystywane do
obsługi ruchu wychodzącego i przychodzącego. Można je - w celu
zwiększenia przepływu danych - rozdzielać lub łączyć. Co więcej,
jeden z tych kanałów może być przeznaczony na komunikację
głosową, podczas gdy drugi - na transmisję danych. Po
udostępnieniu usługi ISDN firma telefoniczna przydziela linii ISDN
numer telefoniczny. T ym samym inny punkt ISDN może nawiązać
połączenie z
naszym systemem w
tradycyjny sposób, (przez
wybranie tego numeru). Oczywiście, ten inny punkt musi mieć
dostęp do usług ISDN. Sprawia to, że połączenia ISDN są mało
atrakcyjne dla usługi RAS, gdyż większość użytkowników,
korzystających z klientów RAS, współpracuje ze sobą, często się
przemieszcza i
musi łączyć się z
siecią biura za pomocą
komputerów przenośnych (laptopów).
Koszty linii i sprzętu do obsługi standardu PRI ISDN są znacznie
większe, niż ich odpowiedników dla standardu BRI ISDN. Jeżeli
potrzeba nam tak wydajnych połączeń RAS, to lepiej od razu
zdecydujmy się na całkowicie cyfrową linię T 1, która jest bardziej
Remote Access Services (RAS)
791
elastyczna i
zapewnia wyższy stopień zgodności z
typowym
sprzętem.
Jeżeli zaś rozważamy możliwości wykorzystania - do połączeń
z Internetem - usługi RAS NT ze standardem ISDN, pamiętajmy, że
większość dostawców ISP nie oferuje obecnie (i nie będzie oferować
w przyszłości) połączeń ISDN.
Linie całkowicie cyfrowe
System NT udostępnia szerokie spektrum połączeń cyfrowych,
z czego możemy wnioskować, że firmie Microsoft bardzo zależy na
tym, by Windows NT zakorzenił się w świecie Internetu.
Wielu dostawców usług internetowych wydzierżawia dostęp do
połączeń T 1 na rozsądnych cenowo warunkach. Zapamiętajmy,
linia T 1 powinna obsłużyć 75-100 osób w biurze, wymagających
periodycznego dostępu do Internetu z własnych komputerów. Nie
będziemy tutaj opisywać łączenia serwera NT z Internetem przez
linię dedykowaną, bo nie ma to wiele wspólnego z usługami RAS.
Krótko omówimy natomiast koszty dostępu sieci lokalnej do
Internetu.
Po pierwsze, konieczne są jednostki CSU/DSU i router. Jednostka
CSU (Channel Service Unit) jest urządzeniem końcowym dla
,,gołej’’ linii cyfrowej, doprowadzonej do biura przez usługodawcę
(lub firmę telefoniczną). Jednostka jednostka usług cyfrowych -
DSU (Digital Channel Service) łączy się z
jednostką CSU
i przekształca sygnały operatora sieci telefonicznej, przenoszone
przez linię, na postać użyteczną i zrozumiałą dla komputera
pracującego w systemie Windows NT lub ewentualnie systemie
UNIX. Między CSU/DSU a komputerem znajduje się router.
Odpowiada on za kierowanie pakietów T CP/IP do odpowiednich
miejsc.
Bezpośrednie połączenia szeregowe
Usługa RAS może także współpracować z łączem szeregowym.
Szeregowe łącza RAS są znacznie wolniejsze, za to można ich
używać prawie bez ponoszenia dodatkowych kosztów.
Do połączenia szeregowego RAS wymagany jest jedynie kabel
pseudomodemowy (null modem cable), czasem nazywany też
792
Rozdział 20
kablem bezmodemowym (tj. odpowiednio przerobiony kabel
szeregowy).
Standardowe połączenia szeregowe mają przepustowość rzędu 115
Kb/s. Stanowi ona około 1/100 teoretycznej przepustowości
połączeń sieciowych 10BaseT .
Połączenia strony klienta
Usługa RAS NT może być wykorzystana do łączenia klientów
różnych typów, nie tylko klientów sieci Microsoft Windows. Może
służyć do prostych połączeń T CP/IP, a nie pełnych, sieciowych.
Jeżeli rozważamy wykorzystanie RAS NT do udostępniania
użytkownikom zdalnym usług Internetu, bądźmy świadomi, iż RAS
będzie znośnie działać dla prawie każdego klienckiego programu do
zestawiania połączeń (client-side dialer), który jest zgodny ze
standardowymi protokołami transportowymi, tzn. PPP lub SLIP.
RAS w NT obsługuje też autoryzację otwartego tekstu (clear text
authorization) poprzez weryfikację PAP (PAP authentication).
PAP - skrót od Password Authentication Protokol (protokół
weryfikacji haseł) określa najprostszą postać weryfikacji
użytkowników. Klient wysyła do hosta (w celu dokonania
rejestracji) niezaszyfrowane łańcuchy znaków dla nazwy
użytkownika i hasła. T a forma weryfikacji obowiązuje w prawie
wszystkich sieciowych aplikacjach z zestawianiem połączeń.
Nawet jeżeli klient nie może nawiązać połączenia sieciowego
z systemem NT poprzez RAS, to może je nawiązać poprzez
połączenie protokołowe (T CP/IP lub IPX).
Instalowanie usługi RAS
Rozważając kwestię instalacji RAS - tj. czy ma ona być objęta
instalacją NT - nie możemy zapominać o
portach
komunikacyjnych. Jeżeli używamy szeregowych kart rozszerzeń,
w których ustawiono niestandardowe adresy i przerwania, NT (przy
pierwszej instalacji) nie będzie o takich portach nic wiedział
i dlatego nie skonfiguruje usługi RAS tak, by mogła z
nich
natychmiast korzystać. Praca z portami niestandardowymi (tzn.
takimi, które nie odpowiadają ustawieniom portów
Remote Access Services (RAS)
793
komunikacyjnych od 1 do 4) możliwa będzie dopiero po ich
skonfigurowaniu (gdy NT jest gotowy i uruchomiony). Usługa RAS
bazuje na wielu różnych elementach systemu NT (takie jak
protokoły sieciowe, usługi DHCP, porty niestandardowe, usługi
WINS). Stąd najlepiej instalować ją na końcu - tj. po zainstalowaniu
wszystkich innych usług i upewnieniu się, że działają prawidłowo.
Poniższa lista obejmuje te składniki systemu, które powinny być
instalowane przed usługą RAS:
!
Wszystkie potrzebne protokoły sieciowe. Im więcej
zainstalujemy protokołów, tym większe będą wymagania
względem pamięci. Najwięcej pamięci pochłania protokół
T CP/IP. Powinniśmy więc wybrać i zainstalować jedynie te,
regularnie wykorzystywane.
!
Serwer DHCP. Serwer DHCP (Dynamic Host Configuration
Protocol) skonfiguruje automatycznie tych klientów T CP/IP,
którzy żądają informacji o
konfiguracji po nawiązaniu
połączenia RAS. Dzięki temu klienci T CP/IP nie muszą być
w posiadaniu informacji dotyczących naszej podsieci T CP/IP
oraz wstępnej konfiguracji przed połączeniem. Serwer DHCP
z kolei - nie musi działać w komputerze z serwerem RAS. Dla
dowolnego segmentu sieci wymagany jest tylko jeden serwer
DHCP. Jeśli serwer DHCP funkcjonuje już w jakimś segmencie
sieci, wykorzystany zostanie przez usługę RAS (jeżeli mu tak
zlecimy) - w
celu udzielenia klientom informacji
konfiguracyjnych T CP/IP.
!
Serwer WINS. W sieciach Microsoft Windows serwer ten służy
do przypisywania nazw (name resolution), a
używają go
wszystkie aplikacje sieciowe Microsoftu. Przypisywanie nazw to
proces ustalania rzeczywistego adresu IP, związanego z nazwą
hosta. WINS nie jest obsługiwany poza kanałami Microsoftu.
Podobnie jak wyżej, serwer WINS nie musi działać w tym samym
komputerze, w którym działa serwer RAS; może funkcjonować
w dowolnym komputerze w tym segmencie sieci, z którego ma
korzystać RAS.
!
Serwer DNS. Jest to nowy składnik systemu NT 4, zbliżony
funkcjonalnie do WINS: oba odpowiadają za przypisywanie nazw
dla hostów. Serwer DNS jest jednak faktycznie standardem przy
794
Rozdział 20
przypisywaniu nazw. Pracując z klientem innego producenta,
wymagającym przypisywania nazw do współpracy z
RAS,
musimy - przed zainstalowaniem RAS - dysponować aktywnym
i prawidłowo skonfigurowanym serwerem DNS. I, tak jak
poprzednio - serwer DNS nie musi działać w serwerze RAS, żeby
być dostępnym dla usług RAS.
!
Wszystkie modemy i/lub porty w systemie. Modemy
można zainstalować poprzez ikonę
Modems
w Panelu
sterowania. Jeżeli w systemie istnieją nierozpoznane porty
szeregowe, z których miałaby korzystać usługa RAS, wtedy
modemy powinniśmy zainstalować przed nią (umożliwia to
ikona
Ports
w Panelu sterowania). Aby prawidłowo
zainstalować port w NT powinniśmy znać jego adres bazowy
i przerwanie. Nie ma tutaj bowiem procedur realizujących
automatyczną instalację nowych portów szeregowych. Jeżeli
modemy przyłączono do portów nierozpoznawanych przez
system NT , program instalacyjny ich nie znajdzie. Wszystkie
porty szeregowe muszą więc zostać skonfigurowane przed
uruchomieniem programu instalującego nowe modemy.
Uruchomienie instalacji
Aby zainstalować usługę RAS, należy:
Wejść do obszaru konfiguracji sieci systemu NT . Mamy tutaj dwie
możliwości:
!
Klikamy prawym przyciskiem myszy ikonę
Netw ork
Neighborhood
,
a następnie wybieramy
Properties
(
Właści-
wości).
!
W Panelu Sterowania podwójnie klikamy ikonę
Netw ork
.
Niezależnie od zastosowanej metody, pojawi się teraz okno
dialogowe z rysunku 20.3. W oknie tym wybieramy kartę
Serv ices
(Usługi), zgodnie z rysunkiem 20.4. Zobaczymy tutaj wszystkie
zainstalowane usługi, mając także możliwość wprowadzenia
nowych.
Remote Access Services (RAS)
795
Klikamy przycisk
Add
(
Dodanie) - w celu zainstalowania nowej
usługi.
Pojawi się lista usług do zainstalowania. Przewijamy listę, aż pojawi
się na niej pozycja
Remote Access Serv ices
. Podświetlamy ją
i klikamy
OK
(zgodnie z rysunkiem 20.5).
Rys. 20.3. Karta
identyfikacyjna
okna
dialogowego
Network.
Rys. 20.4. Opcja
Services
okna
dialogowego
Network.
796
Rozdział 20
Zostaniemy teraz poproszeni o włożenie dysku optycznego NT 4
do napędu CD (albo o podanie katalogu z plikami instalacyjnymi).
Wpisujemy odpowiednią ścieżkę i klikamy
OK
. (Rysunek 20.6
ilustruje stan zaawansowania instalacji). Prawidłowy katalog na
dysku optycznym Windows NT (dla wersji procesora Intel i do
konfigurowania nowych usług) jest następujący:
\i386
Po zainstalowaniu przez NT wszystkich niezbędnych składników
usługi RAS, pojawi się prośba o podanie urządzeń do obsługi
połączeń. Jeżeli w systemie NT już skonfigurowano jakiś modem
(lub modemy), będziemy go mogli dodać do RAS jako dial-in/out
ports (porty do zestawiania połączeń - rysunek 20.7). Jeżeli
żadnych modemów nie zainstalowano, RAS może je teraz wykryć
i/lub skonfigurować.
Rys. 20.5.
W ybrana do
zainstalowania
usługa RAS.
Rys. 20.6.
Instalacja usługi
RAS w toku.
Remote Access Services (RAS)
797
Lista rozwijana zawiera wszystkie aktualnie skonfigurowane
modemy. Możemy teraz dowolny z nich - po podświetleniu
i kliknięciu OK - wprowadzić do RAS. Jeżeli system poprawnie
skonfigurowano dla innych urządzeń, w rodzaju jednostek PAD dla
X.25 lub urządzeń ISDN, pojawią się one również na liście.
W oknie dialogowym konfiguracji połączeń dostępne są przyciski
następujących funkcji:
!
OK
-
jeśli klikniemy teraz
OK
, do usługi RAS zostanie dodane
aktualnie wybrane urządzenie komunikacyjne.
!
Install Modem
(instalacja modemu) - wybranie tego przycisku
uruchomi program instalacyjny (Wizard) dla modemu (który
można też uruchomić za pomocą ikony
Modems
w
Panelu
sterowania). Jeżeli nie zdefiniowano żadnych modemów, albo też
do serwera przyłączone są modemy, których jeszcze nie
skonfigurowano, funkcja ta umożliwi teraz ich instalację.
!
Install X.25 Pad
(instalacja jednostki PAD dla połączenia
X.25) - opcja umożliwiająca dodanie do usługi RAS dowolnej
jednostki PAD X.25, przyłączonej do serwera. Jednostka PAD
X.25 musi być poprawnie zainstalowana i skonfigurowana przed
dodaniem do RAS.
Rys. 20.7.
Dodanie
urządzenia RAS
do usługi RAS.
798
Rozdział 20
Po wybraniu urządzenia komunikacyjnego przechodzimy do
następnego etapu konfigurowania usługi RAS. Nie mamy powodów
do obaw - inne urządzenia komunikacyjne będziemy mogli jeszcze
dodać do RAS przed zakończeniem instalacji.
Rys. 20.8 przedstawia główne okno dialogowe do konfiguracji RAS.
Zawiera ono aktualne urządzenia, z których będzie korzystać RAS,
udostępniając także inne opcje konfiguracji tej usługi. Są to:
!
Add
- ponowne uruchomienie procedury dodawania urządzeń do
usługi RAS i wybranie następnego urządzenia.
!
Remov e
- usunięcie z listy połączeń.wskazanego urządzenia do
obsługi połączeń.
!
Configure - ponowna konfiguracja aktualnie wybranego
portu i konfiguracja nowego modemu dla wybranego portu.
!
Clone
(Klonowanie) - utworzenie duplikatu dla połączenia
wskazanego na liście - dla następnego dostępnego portu.
Użyteczny przycisk, zwłaszcza w
sytuacji równoczesnego
konfigurowania wielu modemów tego samego typu.
!
Netw ork
(Sieć) - konfiguracja opcji sieci do współpracy z usługą
RAS.
Po skonfigurowaniu wszystkich portów dla połączeń podświetlamy
urządzenie do obsługi połączeń i klikamy
Configure
. Każde urządze-
nie można skonfigurować jako
Dial out only
(tylko nadawcze),
Receiv e calls only
(tylko odbiorcze) lub
Dial out and Receiv e
calls
(nadawczo-odbiorcze). Urządzenia dodawane do usługi RAS
konfigurowane są domyślnie jako tylko odbiorcze. Jeżeli nie istnieją
jakieś specjalne względy ochrony, to lokalnym użytkownikom
naszej sieci (i sobie, jako administratorowi sieci) należy zezwolić na
Rys. 20.8. Główne
okno dialogowe
Remote Access
Setup
.
Remote Access Services (RAS)
799
nawiązywanie połączeń również wychodzących z
serwera,
konfigurując w tym celu wszystkie porty jako nadawczo-odbiorcze.
W powyższy sposób należy skonfigurować wszystkie potrzebne
urządzenia RAS. Następnie konfigurujemy opcje sieci dla usługi
RAS. W głównym oknie dialogowym
Remote Access Setup
(Konfiguracja zdalnego dostępu) naciskamy
Netw ork
(Sieć)
Pojawi się okno dialogowe
Netw ork Configuration
(
Konfiguracja
sieci). Jeżeli górny obszar kontrolny (Dial out Protocols) jest
niedostępny (szary), oznacza to, że nie wybrano żadnych portów
dla połączeń wychodzących. W górnym obszarze tego okna można
wybrać protokoły, jakie będą mogły być używane podczas sesji RAS
- zarówno dla połączeń wychodzących (outbound), jak
i przychodzących (inbound). Domyślnie wybierane są wszystkie
wcześniej zainstalowane protokoły.
Rys. 20.9.
Urządzenie
obsługi połączeń
RAS można
konfigurować
jako Receive calls
only ( odbiorcze),
Dial out only
( nadawcze) lub
Dial out and
Receive calls
( nadawczo-
odbiorcze).
Rys. 20.10. Okno
dialogowe
konfiguracji sieci
dla usługi RAS.
800
Rozdział 20
!
Najpierw, za pomocą
Encryption Settings
(Ustawień
szyfrowania), ustalamy sposób, w
jaki system NT będzie
akceptował żądania weryfikacji od użytkowników zdalnych. RAS
domyślnie zaakceptuje tylko klientów zdolnych do
przeprowadzenia weryfikacyjnych procedur Microsoft
Authentication. Najprawdopodobniej tylko ci użytkownicy
zdalni, którzy pracują z RAS NT , Windows for Workgroups lub
Windows 95, będą mogli przeprowadzić te procedury
weryfikacji. T ę formę dostępu można ograniczyć jeszcze
bardziej - przez narzucenie szyfrowania (encryption) danych.
!
Jeśli z naszym serwerem RAS będą łączyli się klienci z innego
środowiska (niż Windows) wybieramy dodatkowo opcję
Allow
any authentication including clear text
,
umożliwiającą
stosowanie przez klienta dowolnej formy weryfikacji (np. takiej,
jak PAP). Ogranicza to poziom ochrony zapewnianej przez
weryfikację, ale daje większą elastyczność.
!
Jeśli chcemy, aby usługa RAS akceptowała każdą (inną niż PAP)
metodę weryfikacji, wybieramy
Require encrypted
authentication.
!
Jeśli chcemy zwiększyć przepustowość danych (z pominięciem
inwestowania w
szybkie linie) zaznaczamy opcję
Enable
Multilink
- dzięki czemu umożliwimy usłudze RAS
wykorzystanie wielu swoich portów do jednoczesnych połączeń
z tym samym serwerem.
Klientom używającym tylko protokołu NetBEUI z usługą RAS,
można tylko ograniczyć dostęp do sieci. Będą oni wtedy mogli- dla
połączeń przychodzących - łączyć się jedynie z lokalnym
komputerem. Mogą oni też mieć dostęp do całej sieci, zależy to od
ustawienia przełączników (radio button) w obszarze
konfiguracyjnym dla NetBEUI.
Dla klientów IPX (rysunek 20.11) możemy - podobnie jak
w przypadku klientów pracujących jedynie z NetBEUI - ograniczyć
dostęp tylko do komputera obsługi połączeń przychodzących lub
też zezwolić im na dostęp do całej naszej sieci.
Remote Access Services (RAS)
801
Po wybraniu opcji
Allocate netw ork numbers automatically
(automatyczna alokacja numerów sieciowych) RAS będzie
przypisywać klientowi RAS dowolny, dostępny numer sieciowy
IPX. Wybranie alternatywnej opcji:
Allocate netw ork numbers
pozwala wpisać (w związanym z nią polu), w jakim zakresie adresów
usługa RAS ma szukać dostępnych numerów sieciowych IPX. RAS,
na podstawie wpisanej wartości początkowej, obliczy ilość
dostępnych numerów (numery sieciowe IPX są ośmiopozycyjnymi
liczbami szesnastkowymi).
Opcja
Assign same netw ork number to all IPX
clients
(Przypisanie tego samego numeru sieciowego wszystkim klientom
IPX) sprawia, że usługa RAS będzie stosować - dla wszystkich
swoich klientów - ten sam numer sieciowy IPX. Ogranicza to
wielkość danych tablicy rutingu w systemie NT . RAS umieści tylko
jeden numer sieciowy IPX w tablicy rutingu dla wszystkich klientów
IPX RAS.
Dzięki opcji
Allow remote clients to request IPX
node number
(zezwolenie klientom zdalnym na żądanie numeru sieciowego IPX)
klienci IPX mogą zażądać jakiegoś numeru IPX, jeśli jest on
dostępny. Wiąże się to z pewnym ryzykiem naruszenia ochrony,
gdyż jest możliwe (ale nie przez przypadek), że klient IPX RAS
zażąda aktualnie wykorzystywanego numeru sieciowego IPX.
W
takiej sytuacji klientowi (nowemu) IPX mógłby zostać
przydzielony dostęp w ten sam sposób, jak już istniejącemu
właścicielowi tego numeru sieciowego IPX.
Rys. 20.11.
Konfiguracja
protokołu IPX dla
usługi RAS.
802
Rozdział 20
Konfiguracja sieci do pracy z usługą RAS na bazie TCP/IP
Niewątpliwie najelastyczniejszym protokołem sieciowym dla usługi
RAS jest T CP/IP. Umożliwia on routing pakietów sieciowych,
znajdując zastosowanie na wielu różnych platformach. Rysunek
20.12 przedstawia okno dialogowe do konfigurowania sieci (do
współpracy z RAS), z wykorzystaniem protokołu T CP/IP.
Podobnie jak w przypadku protokołów NetBEUI i IPX, klientom
używającym T CP/IP można ograniczyć dostęp - tak, by łączyli się
jedynie z lokalnym komputerem dla połączeń przychodzących (lub
też umożliwić im dostęp do całej sieci).
W wyniku działania funkcji
Use DHCP to assign remote TCP/IP
client addresses
RAS
, podczas przydzielania adresów IP klientom
RAS, będzie konsultować się z
serwerem sieciowym DHCP.
Sieciowy serwer DHCP może przekazać użytkownikom zdalnym
RAS wszystkie potrzebne im ustawienia T CP/IP, jeżeli konfiguracja
ich urządzeń końcowych umożliwia akceptację instrukcji
konfiguracyjnych z serwera, z którym usiłują zestawić połączenie.
Jest to najprostszy sposób obsługi klientów RAS T CP/IP. Zapewnia
on im prawidłowy adres IP, ustawienia oraz komunikację z siecią,
z którą chcą zestawić połączenie.
Jeżeli nie chcemy, by sieciowy serwer DHCP przydzielał adresy IP,
możemy „ręcznie” podać zakres adresów, które sama usługa RAS
przydzieli klientom RAS. W tym celu wybieramy przełącznik
Use
static address pool
(Statyczna pula adresów). Można wówczas
zadać przedział adresów, których ma używać RAS, jak również
Rys. 20.12.
Konfiguracja
protokołu TCP/IP
dla usługi RAS.
Remote Access Services (RAS)
803
wyjątki - aby, że adresy z puli nie kolidowały z innymi klientami
T CP/IP.
Opcja
Allow remote clients to request a predetermined IP
address
(Zezwolenie klientom zdalnym na żądanie konkretnego
adresu IP) umożliwia klientom RAS T CP/IP żądanie z góry
ustalonego adresu IP. Wówczas usługa RAS przydzieli ten adres (pod
warunkiem, że jest dostępny, i należy do puli RAS oraz zakresu
DHCP). Dzięki temu klienci RAS uzyskują statyczny i niezawodny
adres IP. Adresy statyczne są bardzo wygodne, zwłaszcza przy
zarządzaniu małą siecią z wystarczającą ilością adresów IP.
Jeżeli jednak jakieś formy usług ISP mają być udostępnione w NT ,
będziemy musieli najprawdopodobniej korzystać z
adresów
dynamicznych, gdyż użytkowników RAS będzie więcej, niż
dostępnych adresów IP.
Po skonfigurowaniu wszystkich portów dla prawidłowych urządzeń
klikamy
Continue
(
co kończy proces instalacji usług RAS).
Zostaniemy poinformowani, że powinniśmy uruchomić aplikację
Remote Access Admin - aby przyznać użytkownikom naszej
sieci zezwolenia na zestawianie połączeń zdalnych (dial-in
permssion).
Być może system zada nam kilka mniej ważnych pytań (w
zależności od wcześniej zainstalowanych usług w NT ). Należy
odpowiedzieć na pytania dotyczące RIP dla IPX lub RIP dla
T CP/IP, definiując tym samym sposób obsługi (przez NT ) pakietów
rozgłoszeniowych (broadcast packet) ,,przechodzących’’ przez te
protokoły. System NT może przesyłać (propagate) pakiety
rozgłoszeniowe - co oznacza, że będzie on je rozsyłać (forward) po
liniach z
wykorzystaniem wspomnianych protokołów, do
wszystkich tych segmentów sieci, do których NT ma dostęp.
Zwykle serwery nie przesyłają ponownie (rebroadcast) tych
pakietów, aby ograniczyć redundancyjny przepływ informacji
w sieci; RIP dla IPX oraz RIP dla T CP/IP umożliwiają ponowną
transmisję tych pakietów. Stąd np. jeżeli klient RAS wysyła pakiety
rozgłoszeniowe za pośrednictwem protokołu T CP/IP, NT nie
przekaże (rebroadcast) ich ponownie do reszty sieci (chyba że
zainstalowano i uaktywniono RIP dla T CP/IP). Oznacza to, że inni,
fizycznie połączeni klienci sieci, nie będą odbierali pakietów
rozgłoszeniowych klientów RAS. Większość jednak pakietów
804
Rozdział 20
sieciowych IPX i T CP/IP to pakiety dedykowane (directed) (a nie
rozgłoszeniowe), kierowane przez NT do odpowiednich klientów.
RIP dla IPX i RIP dla T CP/IP - przez dodatkowe działania, jakie
musi wykonać NT w sieci - stanowią istotne jego obciążenie.
Instalacja usługi RAS zostaje zakończona (rysunek 20.13) po
odczytaniu przez system dalszych danych z dysku instalacyjnego.
Odtąd wszystkie czynności, związane ze sterowaniem usługami RAS
NT , przeprowadzać będziemy za pomocą Remote Access Admin
(Administrator zdalnego dostępu) z folderu
Administrativ e
Tools
(
chyba, że zdecydujemy się na zainstalowanie nowego protokołu
sieciowego). Jest to główna aplikacja do sterowania i kontrolowania
usługami RAS; w szczególności umożliwia ona administratorowi
sprawdzenie, kto jest aktualnie połączony z serwerem poprzez RAS.
Składnik RAS zostanie automatycznie uruchomiony po restarcie
systemu operacyjnego.
Aspekt sieciowy
Podczas konfigurowania serwera RAS NT powinniśmy rozważyć
kilka zagadnień. Poniższy podrozdział omawia niektóre z nich.
Różnice między protokołami PPP i SLIP
Oba protokoły transportowe wykorzystywane przez usługę RAS -
PPP i SLIP - mają to samo zadanie: hermetyzację (encapsulation)
protokołów sieciowych - by można je było przesyłać przez
asynchroniczne łącze komunikacyjne. Windows NT obsługuje oba
protokoły bez potrzeby specjalnego konfigurowania strony serwera.
Jeśli więc przychodzi połączenie SLIP, usługa RAS ustanawia
połączenie SLIP. Jeżeli natomiast w tym samym kanale pojawi się
później połączenie PPP, NT ustanowi połączenie PPP. Usługę RAS
Rys. 20.13.
Instalacja RAS
została właśnie
zakończona.
Remote Access Services (RAS)
805
można konfigurować jako klienta używającego protokołu SLIP albo
PPP - dla każdej pozycji dodawanej do książki telefonicznej RAS.
Ustawienie protokołu transportowego nie jest ogólne dla całej usługi
RAS. Protokół transportowy można (pracując z
RAS jako
klientem) wybrać oddzielnie dla każdej pozycji książki
telefonicznej.
PPP jest nowszym i najczęściej dziś stosowanym protokołem.
Narzędzie do zestawiania połączeń (Network dialer) w Windows 95
domyślnie wykorzystuje protokół PPP. W podstawowej wersji
instalacyjnej Windows 95 SLIP w ogóle nie jest obsługiwany (aby
Network dialer mógł z niego korzystać wymagany jest pakiet
Plus).
W porównaniu z protokołem SLIP, PPP ma kilka zalet. Przede
wszystkim dysponuje wbudowaną kontrolą błędów, co polepsza
jakość transmisji danych przez połączenie PPP (wspomnieć też
należy o synchronizacji przepływu danych - flow control). Do
wykrywania błędów wykorzystywana jest tutaj tzw. metoda sumy
kontrolnej. Nie jest to może technologia bardzo zaawansowana,
jednak z pewnością lepsza niż żadna - zwłaszcza przy dużych
zakłóceniach na liniach telefonicznych. Polega ona na
wykonywaniu operacji dodawania bitów pakietu danych, z zapisem
jej rezultatu na końcu pakietu. Urządzenie odbiorcze wykonuje tę
samą operację na bitach odebranego pakietu i - jeśli wynik jest
identyczny z odebranym - zakłada, że pakiet nie zawiera błędów.
Jeśli wyniki nie są identyczne, urządzenie nie potwierdza odebrania
pakietu i strona nadawcza, nie odebrawszy w ustalonym przedziale
(,,ramce’’) czasu sygnału ACK (tzn. sygnału potwierdzenia), wysyła
pakiet ponownie. W
odniesieniu do innych metoda sumy
kontrolnej jest najwolniejsza, gdyż pociąga za sobą konieczność
dodawania ciągów tysięcy bitów. Kontrola CRC (stosowana
w takich terminalowych
protokołach transmisyjnych, jak
Zmodem) jest natomiast szybsza i mniej zawodna, ponieważ
wykonuje pewne operacje na bitach wybranych sekcji pakietu,
zamiast po prostu je sumować. Kontrola CRC nie jest jednak
stosowana ani przez usługę RAS, ani inne standardowe połączenia
internetowych.
Protokół transportowy SLIP jawi się na tym tle dość prymitywnie.
Może on wprawdzie funkcjonować szybciej niż PPP, ponieważ
806
Rozdział 20
w ogóle nie wykrywa błędów. T ransmisja danych przez linie
telefoniczne przy użyciu tak dziś popularnych modemów
z korekcją błędów może być zupełnie stabilna. Jeżeli ponadto usługa
RAS pełni rolę klienta przy połączeniu z
dostawcą usług
internetowych (z zainstalowanymi po obu stronach modemami
z korekcją błędów), SLIP może okazać się lepszy.
Routing przez łącze RAS
Zasada działania połączenia RAS przypomina połączenie
routingowe. W
standardowym ustawieniu RAS nie rozsyła
rozgłoszeniowych pakietów danych z jednej sieci lokalnej LAN do
innej. Oznacza to, że usługa RAS nie może zostać wykorzystana do
połączenia dwóch sieci LAN w sieć rozległą (WAN). T ak więc
dwóch serwerów RAS NT w różnych sieciach LAN nie można
połączyć tak, by stacje robocze w jednej sieci miały dostęp do
zasobów drugiej. Dostęp do zasobów sieci zdalnej możliwy jest tylko
z serwerów RAS, połączonych bezpośrednio łączem RAS.
Można jednak za pomocą oprogramowania niezależnych
producentów (np. Shiva), wykonać routing LAN-LAN
z wykorzystaniem
protokołu T CP/IP (NetBEUI jest
rozgłoszeniowy, a IPX nie jest podstawowym protokołem w NT ).
Łatwiej zrealizować routing pomiędzy siecią LAN a Internetem.
Sieć musi w tym celu spełniać poniższe warunki:
1. Wszystkie systemy w sieci LAN, wymagające dostępu do
Internetu z komputerów osobistych, muszą mieć poprawne
adresy IP. Nie musimy mieć pełnych adresów klasy C dla
podsieci (z kompletnym zakresem 255 poprawnych adresów
IP). Jednak dla uniknięcia problemów z późniejszą rozbudową
sieci, zestaw pełnych adresów byłby przydatny.
2. Musimy mieć zapewniony dostęp do Internetu za pośrednictwem
dostawcy usług internetowych.
3. Kontakt z dostawcą usług internetowych powinien mieć formę
statycznego połączenia IP. Może być to dedykowane połączenie
modemowe lub szybka linia dedykowana, np. T 1.
Remote Access Services (RAS)
807
4. Należy zmienić pewne ustawienia Rejestru systemu NT tego
komputera, który ma pełnić rolę bramy (gateway) dla całej sieci
LAN.
5. Wszyscy klienci LAN, wymagający przejścia (pass-through
access) do Internetu, muszą wiedzieć, który komputer w sieci
LAN pełni rolę bramy (gateway).
Adresy klasy C dla podsieci nadaje organizacja Internic (rodzaj
zarządu Internetu). Niemniej jednak powinien nam w tym pomóc
lokalny dostawca Internetu.
Kiedy już wszystkie fizyczne składniki będą na swoich miejscach,
w Rejestrze powinniśmy wprowadzić dwie zmiany:
1. Zmienić 1 (wartość domyślna) na 0 wartość DisableOther
SrcPackets
w
gałęzi:
\Systems\CurrentControlSet\
Services\RasArp\Parameters
poddrzewa
HKEY_
LOCAL_MACHINE
. Umożliwi to komputerowi-bramie
rozsyłanie pakietów IP, które nie mają tego samego adresu IP,
co adres adaptera sieciowego bramy lokalnej. Od czynności tej
zależy prawidłowy routing IP.
2. Zmienić 0 (wartość domyślna) na 1 w
pozycji
IpEnableRouter
, w gałęzi:
\Systems\CurrentControlSet\TcpIp\Parameter
s
poddrzewa HKEY_LOCAL_ MACHINE. Umożliwimy w ten
sposób komputerowi-bramie rozsyłanie pakietów IP z Internetu
do odpowiednich komputerów w sieci LAN.
Jak zwykle po modyfikacji jakichkolwiek parametrów
Rejestru,
serwer należy uruchomić ponownie. Niektóre ze zmian zostaną
uaktywnione natychmiast po ich wprowadzeniu do Rejestru, a inne
- dopiero po przeładowaniu systemu operacyjnego, i trudno jest
powiedzieć, które kiedy się uaktywnią. Edycję Rejestru należy
przeprowadzać z dużą ostrożnością. Nieprawidłowe modyfikacje
mogą unieruchomić serwer i zmusić nas do ponownej instalacji NT .
(Rejestr omawia dokładnie rozdział 18).
Dostępne są jeszcze inne aplikacje, umożliwiające dostęp do
Internetu za pośrednictwem zastępców (proxy). Dzięki nim stacje
robocze sieci lokalnej mogą uzyskać dostęp do Internetu poprzez
komputer, który dysponuje prawidłowym łączem internetowym
808
Rozdział 20
(może być to nawet osobiste konto dla połączeń zestawianych) -
nawet, jeśli nie mają prawidłowych adresów IP. T akie
oprogramowanie, jak WinGate pełni rolę zastępcy (proxy) dla ruchu
internetowego w sieci LAN i zapewnia, że dane Internetu trafiają do
odpowiednich stacji roboczych. Rolę proxy w tym kontekście pełni
aplikacja działająca w imieniu innej aplikacji - wtedy, gdy ona (ta
druga aplikacja) nie może sama czegoś dla siebie zrobić. Mówimy
o czymś w rodzaju programu Netscape, który sam nie może dostać
się do Internetu, ponieważ nie ma z nim poprawnego połączenia.
Może on jednak komunikować się z zastępcą, który z kolei - łącząc
się z Internetem - przekazuje do niego (Netscape’a) dane.
WinGate znajdziemy pod adresem:
http://nz.com/NZ/commerce/
creativecgi/special/qbik/wingate.htm
; (można go też ścią-
gnąć ze strony www.windows95.com).
Relacje upoważnienia w połączeniu RAS
Opiszemy teraz jedno z ciekawszych, godnych naszej uwagi,
doświadczeń autora. Relacje upoważnienia (trust relationship) mają
na celu umożliwić użytkownikom z jednej domeny dostęp do
zasobów innej, z pominięciem kont w obu domenach. Relacje te
mogą stanowić prawdziwy problem w pracy z usługą RAS.
Jak wiemy, routing LAN-LAN nie może być realizowany bez
dodatkowego oprogramowania dla serwera RAS i zmian w Rejestrze.
Jeżeli więc pierwotne kontrolery (PDC) obu domen są połączone za
pośrednictwem RAS, końcowe stacje robocze nie mają dostępu do
tego łącza RAS (i do zasobów domeny zdalnej). Załóżmy, że
w czasie połączenia między obydwoma pierwotnymi kontrolerami
administratorzy w obydwu domenach ustanawiają wzajemne relacje
upoważnienia (two-way trust relationships) między tymi domenami.
Oznacza to, że pierwotny kontroler domeny A
odwoła się
(reference) do pierwotnego kontrolera domeny B, kiedy
użytkownik w domenie B podejmie próbę uzyskania dostępu do
zasobów domeny A, i odwrotnie. Przypuśćmy teraz, że łącze RAS
między obydwoma pierwotnymi kontrolerami domen zostaje
odcięte.
Remote Access Services (RAS)
809
Załóżmy więc, że stacja robocza A1 (np. pracująca w Windows 95)
próbuje zestawić, za pomocą aplikacji Network dialer, bezpośrednie
połączenie z pierwotnym kontrolerem domeny B. T eoretycznie
stacja A1 powinna mieć dostęp do zasobów sieciowych domeny B.
W rzeczywistości dzieje się jednak inaczej - z
powodu
ustanowionych relacji upoważnienia między domenami A
i
B.
Upoważnienie powinno uprościć działania w sieci, ale w tym
przypadku jest wręcz przeciwnie. Ponieważ stacja A1 jest
członkiem domeny A, pierwotny kontroler domeny B od
pierwotnego kontrolera domeny A
chce uzyskać informację
weryfikującą dla stacji A1. Nie może on jednak znaleźć kontrolera
domeny A dla przeprowadzenia walidacji stacji A1 (bo nie może
skorzystać z łącza RAS pomiędzy A1 i kontrolerem domeny B;
ponadto Windows 95 nie realizuje routingu połączeń sieciowych
przez łącza RAS). W rezultacie stacji A1 nie zostanie przyznany
dostęp do zasobów chronionych przez system NT .
Często w takich sytuacjach pojawia się mnóstwo komunikatów
o błędach (np. Cannot find Logon Server). W ten sposób
zdalny kontroler domeny B informuje nas, że nie może odnaleźć
lokalnego kontrolera domeny, aby zweryfikować nasze konto.
Problem rozwiążemy rezygnując z
ustanawiania relacji
upoważnienia między dwiema, połączonymi z wykorzystaniem
RAS, domenami. Korzystać powinniśmy natomiast z równoległych,
dokładnie sobie odpowiadających w każdej domenie z osobna, kont
użytkowników.
Wiązania - zwiększenie ochrony w sieci
Jednen z najskuteczniejszych sposobów odcięcia zewnętrznych
klientów RAS od fragmentu naszej sieci polega na stosowaniu w nim
takiego protokołu, którego nie używają usługi RAS, lub który
przynajmniej nie jest związany (bound) z kartą adaptera sieciowego
w serwerze RAS.
Załóżmy, że chcemy np. zablokować zdalnym użytkownikom RAS
dostęp do pewnych stacji roboczych Windows 95 w naszej sieci
LAN. Przyjmijmy ponadto, iż zrezygnowaliśmy przy tym
z tworzenia haseł lub list użytkowników dla wszystkich zasobów
tych stacji roboczych. Stacje robocze Windows 95 charakteryzują
810
Rozdział 20
się fatalną ochroną swoich zasobów. Pozwalają jedynie przypisywać
ich własnym zasobom sieciowym hasła lub listy uprawnionych
użytkowników. Stacje te nie sprawdzają (reference) w pierwotnym
kontrolerze NT domeny, czy zewnętrzny użytkownik może
otrzymać dostęp do ich zasobów.
Wspomniane stacje robocze, funkcjonujące pod kontrolą Windows
95, mogłyby mieć zainstalowany tylko protokół NetBEUI,
a sieciowy serwer RAS mógłby obsługiwać tylko połączenia T CP/IP.
Wówczas zostałyby one odcięte od zdalnych użytkowników (caller)
RAS. Cóż jednak zrobić, jeżeli chcemy, by zdalni użytkownicy RAS
mieli (poprzez NetBEUI) dostęp zarówno do lokalnego komputera
RAS, jak i (poprzez T CP/IP) do całej sieci?
Można to uzyskać przez odwiązanie (unbinding) protokołu
NetBEUI serwera RAS NT od adaptera sieciowego w komputerze
NT . W ten sposób zapewnilibyśmy zdalnym użytkownikom RAS
dostęp (poprzez NetBEUI) do zasobów RAS, jak i (poprzez
T CP/IP) do całego systemu, wykluczając równocześnie dostęp
poprzez NetBEUI do innych rejonów sieci. T rzeba bardzo uważać,
aby - przez zmianę wiązań serwera NT - nie odciąć części swojej
sieci LAN.
Wiązania można zmienić za pomocą karty
Bindings
(Wiązania)
z obszaru
Netw ork
w Panelu sterowania. Interfejs NetBIOS steruje
podstawowymi operacjami In/Out adapterów sieciowych/osprzętu
sieciowego. Pod tym nagłówkiem wyświetlane są pozycje dla
każdego, zainstalowanego w systemie NT , protokołu sieciowego.
Wiązanie protokołu z adapterem można wyłączyć, odcinając w ten
sposób kanał sieciowy. Rysunek 20.14 ilustruje podświetloną kartę
adaptera sieciowego dla protokołu NetBEUI. Jeżeli klikniemy
Disable
(Wyłączenie), odcięty zostanie dostęp poprzez NetBEUI
- z naszego serwera NT do reszty naszej sieci. Wciąż jednak
zachowany zostaje dostęp do całej sieci poprzez T CP/IP.
Zachowajmy ostrożność odcinając wiązania. Co prawda nie
spowodujemy załamania systemu, ale możemy wstrzymać pracę
niektórych składników, jeśli nie będą one dysponowały
odpowiednimi wiązaniami. Jeżeli np. wyłączylibyśmy wiązanie
T CP/IP z lokalnym adapterem sieciowym, serwer WINS mógłby
nie uruchomić się w prawidłowy sposób.
Remote Access Services (RAS)
811
Przypisywanie nazw przez łącza RAS
Ogólnie rzecz biorąc, w sieci NT jest potrzebny tylko jeden serwer
WINS. Gdyby zarówno domena A, jak i domena B miały swoje
własny serwery WINS, a
stacja A1 zestawiłaby połączenie
z
pierwotnym kontrolerem domeny B, to i
tak stacja A1
„poprosiłaby” własny serwer WINS o przypisywanie nazw (name
resolution) dla hostów w
sieci zdalnej. T akie działanie jest
przyczyną problemów w czasie przeglądania zasobów zdalnych.
Aplikacja Network dialer (do zestawiania połączeń), funkcjonująca
na stacjach roboczych Windows 95, pozwala na uzgodnienie, który
serwer WINS będzie główny (primary), a
który dodatkowy
(secondary). Nie ma tej możliwości wtedy, gdy stacja robocza już
korzysta z
ustanowionego połączenia z
działającym serwerem
WINS. Wskazanie w konfiguracji sieci, który serwer WINS będzie
główny, a który dodatkowy, nie jest równoznaczne z utworzeniem
łańcucha serwerów WINS - do wykorzystania w
procesie
przypisywania nazw. Jest jedynie wskazaniem dla jakich adresów
trzeba wyszukać jeden działający serwer WINS.
Cóż więc robimy w sytuacji, kiedy chcemy przypisywania nazw
w zdalnych stacjach roboczych, a nasz lokalny serwer WINS nic
o nich nie wie? Administrator sieci mógłby wpisać „ręcznie” zdalne
nazwy/adresy IP do lokalnej bazy danych serwera WINS, jak dla
systemów statycznych. Mógłby też skonfigurować plik LMHOSTS.
Rys. 20.14.
W yłączenie
wiązania
( binding) ze
stroną serwera
z klientami RAS.
812
Rozdział 20
dla sieciowych stacji roboczych, korzystających z połączeń RAS
z systemami zdalnymi.
LMHOSTS.
(LAN Manager Hosts) jest plikiem tekstowym,
zamieszczonym w katalogu \Windows każdej stacji roboczej
Windows 95 oraz w katalogu: \%systemroot%\system32\
drivers\etc
serwera lub stacji roboczej NT . Kiedy żadnemu
zwykłemu kanałowi przypisywania nazw nie uda się utworzyć adresu
IP dla nazwy hosta, system lokalny (podczas próby przypisania
nazwy) odwoła się do pliku LMHOSTS. Poniżej prezentujemy
przykład wiersza z pliku LMHOSTS. :
220.200.200.1
PANDY.COM
#PRE
Pierwszą pozycją w wierszu jest adres IP hosta; drugą jego nazwa ;
trzecia, #PRE, każe systemowi NT załadować (preload) nazwę do
podręcznej pamięci nazw (name resolution cache) przy starcie
systemu. Zwykle zawartość pliku LMHOSTS. odczytywana jest
z dysku. Jeżeli jednak do pewnych systemów będziemy się często
odwoływali, wtedy (przy starcie systemu NT ) ich nazwy/adresy IP
powinny zostać załadowane do podręcznej pamięci nazw - w celu
przyspieszenia procesu ich przypisywania. Pozycje w wierszu pliku
powinny być oddzielone przynajmniej jednym znakiem odstępu
(spacją), a adres IP musi zaczynać się od pierwszego znaku wiersza.
W celu lepszego zapoznania się z plikami LMHOSTS. (które mają
jeszcze inne funkcje) możemy obejrzeć przykład pliku w katalogu
\Windows
w Windows 95, albo w katalogu: \%systemroot%\
system32\drivers\etc
w NT .
Inny sposób zapewnienia prawidłowego przypisania wszystkich
nazw polega na wykorzystaniu (zamiast WINS) serwera DNS.
W przeciwieństwie do serwerów WINS, serwery DNS mogą być
kolejno przeszukiwane (np. wtedy, gdy jeden z nich nie przypisze
nazwy hosta adresowi). Pozycja DNS sieci zostanie sprawdzona
nawet wówczas, gdy działa lokalny serwer DNS.
Praca z Remote Access Admin
Remote Access Admin (Administrator zdalnego dostępu) to
główna aplikacja sterująca aktywnymi połączeniami RAS. Rysunek
20.15 ilustruje główne okno jej interfejsu.
Remote Access Services (RAS)
813
Po uruchomieniu Administratora zdalnego dostępu pojawi się lista
wszystkich serwerów RAS, działających w
aktualnej domenie,
z obciążeniami połączeń dla każdego z nich. W sieci zarządzanej
przez autora znajduje się tylko jeden serwer RAS w serwerze NT -
o
nazwie CONT ROLLER (który w
pełni również funkcję
pierwotnego kontrolera domeny ). Są tam dwa porty RAS,
z których jeden wykorzystywany jest przez kolegę autora. Po
wybraniu serwera z listy wyświetlony zostanie szczegółowy raport
o jego połączeniach.
Rysunek 20.16 przedstawia listę wszystkich portów wybranego
serwera RAS. Poniżej zamieściliśmy krótką charakterystykę
zawartych w nim opcji:
!
Port Status
(status portu) - służy do wyświetlania statystyki dla
danych, które przeszły przez port w czasie bieżącego połączenia,
oraz aktywnych dla tego portu protokołów.
Rys. 20.15 Okno
dialogowe
aplikacji Remote
Accessd Admin
( Administrator
zdalnego
dostępu).
Rys. 20.16. Okno
dialogowe RAS
Communication
Ports
( Porty
komunikacyjne
RAS).
814
Rozdział 20
Jak widać na rysunku, w tym oknie dialogowym zawarto bardzo
dużo danych o bieżącym połączeniu. Przycisk
Reset
służy do
wyzerowania wszystkich wyświetlanych tu liczb. Widać, że
użytkownik tego komputera korzysta z
dwóch aktywnych
protokołów, NetBEUI i T CP/IP.
!
Disconnect User
(rozłączenie użytkownika) -
służy do
natychmiastowego (bez ostrzeżenia) rozłączania zdalnego
użytkownika.
!
Send Message
(wysłanie komunikatu) - powoduje wysłanie
komunikatu do wskazanego użytkownika RAS. Użytkownik ten
musi (w danym momencie) korzystać z aplikacji umożliwiającej
wyświetlanie komunikatów sieciowych (w systemach Windows
95 i Windows for Workgroups stosowany jest w tym celu
NetPopup). W przeciwnym razie wysyłane komunikaty nie będą
wyświetlane. Serwery i stacje robocze NT mogą automatycznie
wyświetlać komunikaty - bez pomocy programu zewnętrznego.
!
Send Message to All
(komunikat dla wszystkich) - umożliwia
ogłoszenie ogólnego komunikatu dla wszystkich użytkowników
połączonych z wybranym w poprzednim oknie serwerem RAS.
Menu rozwijane
Serv er
zawiera następujące komendy:
!
Communication Port
(port komunikacyjny) - szczegółowa lista
portów dla wskazanego (podświetlonego) serwera (efekt
równoważny wybraniu serwera RAS na liście serwerów).
Rys. 20.17. Okno
dialogowe RAS
Port Status.
Remote Access Services (RAS)
815
!
Start Remote Access Serv ice
(uruchomienie usługi zdalnego
dostępu) - uruchomienie usługi RAS we wskazanym serwerze
(jeżeli z jakiegoś powodu została przedtem zatrzymana).
!
Stop Remote Access Serv ice
(zatrzymanie usługi zdalnego
dostępu) - zatrzymanie składnika RAS we wskazanym serwerze.
Spowoduje rozłączenie wszystkich aktualnie połączonych
użytkowników. Przed wykonaniem komendy pojawi się
ostrzeżenie z prośbą o potwierdzenie.
!
Pause Remote Access Serv ice
(wstrzymanie usługi zdalnego
dostępu) - wstrzymanie składnika RAS w zaznaczonym serwerze,
ale bez rozłączania połączonych użytkowników ani dezaktywacji
ich połączeń sieciowych. Powoduje jednak odrzucanie
wszystkich nowych zgłoszeń.
!
Continue Remote Access Serv ice
(wznowienie usługi
zdalnego dostępu) - umożliwia ponowne przyjmowanie nowych
zgłoszeń po wstrzymaniu (pause).
!
Select Domain or Serv er
(wybór domeny lub serwera) -
umożliwia przeglądanie serwerów RAS każdej innej domeny, do
której mamy prawa administratora (zgodnie z rysunkiem 20.18).
Na rysunku widzimy domenę autora - WOLFE, wraz z dwiema
innymi: GAME_SYS i D2. Są to upoważnione (trusted) domeny
w
jego biurze. Wybierając jedną z
nich możemy odczytać
informacje o aktywności jej serwerów RAS. Znacznik
Low Speed
Connection
(połączenie o małej prędkości) sprawia, że po otwarciu
RAS nie wykona w tych domenach żadnych usług związanych
z przeglądaniem. Przeglądanie może być czasem bardzo
Rys. 20.18.
W ybieranie
serwerów
w innych
domenach.
816
Rozdział 20
czasochłonne - stąd też wydajność wolnych połączeń sieciowych
możemy, wybierając ten znacznik, istotnie zwiększyć.
Do badania serwerów RAS, działających w innych domenach, należy
mieć przywileje Administratora oraz być uznawanym
(acknowledged) w
tych domenach jako ważny (valid)
administrator.
Menu rozwijane
Users
(Użytkownicy) zawiera następujące
komendy:
!
Permissions
(zezwolenia) -
umożliwia przydzielenie lub
odbieranie zezwoleń RAS dowolnemu użytkownikowi systemu
NT (zgodnie z rysunkiem 20.19). Jest to ważna komenda, bo
żaden użytkownik nie posiada, w standardowym ustawieniu,
dostępu RAS. Lista w przedstawionym na rysunku oknie zawiera
wszystkich użytkowników NT w bazie danych użytkowników
systemu NT , dla aktualnie wybranej domeny. Jeżeli mamy prawa
administratora w innych domenach, możemy również zmieniać
zezwolenia RAS użytkowników z tych domen do ich serwerów
RAS. Wybranie użytkownika na liście i zaznaczenie opcji
Grant
dialin permission to user
umożliwi temu użytkownikowi
nawiązanie połączenia RAS z dowolnym portem RAS. Kliknięcie
Grant All
pozwoli wszystkim użytkownikom, wymienionym
w bazie danych systemu NT , na korzystanie z dostępu RAS;
dzięki
Rev oke All
możemy pozbawić dostępu RAS wszystkich
użytkowników NT .
!
Call Back
(zgłoszenie zwrotne albo ,,odtelefonowanie’’) - za jej
pomocą możemy określić metodę obsługi przez RAS zgłoszeń
zwrotnych do wskazanego (podświetlonego) użytkownika. Jest
to zarówno forma ochrony, jak i sposób na obniżenie kosztów.
Ustawienie RAS na odtelefonowanie do użytkownika na ustalony
(z góry) numer zmusi go dzwonienia z konkretnego miejsca
(bardzo dobra forma ochrony). Opcja ta pozwala również
zredukować koszty ponoszone przez pracownika na połączenia
dalekiego zasięgu. Domyślnym ustawieniem jest
No Call Back
(Brak zgłoszeń zwrotnych) - NT pozwala wtedy użytkownikowi
na kontynuację połączenia po pierwszym zgłoszeniu. Opcja
Set
By Caller
(Decyzja zgłaszającego) umożliwia zdalnemu
użytkownikowi decyzję - czy chce, żeby system odtelefonował.
Po nawiązaniu połączenia użytkownik zostanie poproszony
Remote Access Services (RAS)
817
o podanie numeru, z którym system ma zestawić połączenie.
Następnie połączenie zostanie przerwane, a RAS wybierze
podany numer. Dzięki opcji
Preset To
(ustalony numer)
wybrany zostanie podany z góry numer telefoniczny (w polu
obok przełącznika). W
przypadku edycji rekordów
użytkowników poprzez User Manager for Domains (Menedżer
użytkowników dla domen) zezwolenia RAS można również
ustawiać za pomocą przycisku
User
Record Editor.
Menu rozwijane
View
służy do odświeżania listy serwerów RAS
w aktualnej domenie (co może być czasochłonne). Opcja
Refresh
(Odświeżenie) umożliwia „ręczne” odświeżenie ekranu.
Menu
Options
zawiera dwie komendy. Pierwszą jest przełącznik dla
połączeń o małej przepustowości -
Low Speed
, dzięki któremu
wskazany serwer zostanie uznany za obsługujący powolne
połączenia. W
efekcie możliwości przeglądania ograniczone
zostaną dla użytkowników RAS logujących się do sieci poprzez ten
serwer. Druga komenda -
Sav e Settings
-
umożliwia zachowanie
ustawień po zakończeniu pracy z
Administratorem zdalnego
dostępu.
Ikona RAS w oknie systemowym
Okienko systemowe wprowadzone zostało dopiero w systemach NT
4 oraz Windows 95. T utaj - tj. w małym obszarze w prawym
dolnym rogu pulpitu - wyświetlane są ikony aktywnych aplikacji,
związanych z systemem operacyjnym. Kiedy w systemie NT usługi
RAS są aktywne i
jeśli zostało nawiązane połączenie
Rys. 20.19.
Przydzielanie
zezwoleń na
zestawianie
połączeń RAS
użytkownikom
naszej domeny.
818
Rozdział 20
z użytkownikiem zdalnym, w okienku systemowym pojawi się mała
ikona (zgodnie z rysunkiem 20.20).
Podwójnie kliknięcie tej ikony spowoduje wywołanie programu
Dial-Up Networking Monitor (Monitor zdalnego dostępu).
Pierwsza karta monitora przedstawia statystykę aktywności portów
RAS (rysunek 20.21).
Rys. 20.20.
Okienko
systemowe
( system tray)
z ikoną RAS.
Rys. 20.21. Karta
statusu w oknie
dialogowym
programu Dial-
Up Networking
Monitor.
Remote Access Services (RAS)
819
Okno to służy do przeglądania wszystkich lokalnych portów RAS
oraz informacji o aktualnym połączeniu (lub ostatnim nawiązanym,
jeśli port nie jest aktualnie wykorzystywany).
Karta
Summary
(Podsumowanie) zawiera informacje o sesjach
(multilink) (rysunek 20.22). Usługa RAS w
systemie NT 4
umożliwia połączenie kilku portów RAS z
jednym hostem.
Zwiększa to prędkości transmisji danych wtedy, gdy do obsługi
jednego połączenia wykorzystać można wiele portów.
Dzięki karcie
Preferences
(Ustawienia) możemy skonfigurować
niektóre podstawowe opcje RAS, zgodnie z rysunkiem 20.23.
Można tutaj włączyć/wyłączyć sygnalizację dźwiękową dla
następujących zdarzeń RAS: nawiązanie połączenia, rozłączenie,
rozpoczęcie transmisji, błąd na linii. Zwykle na liście zadań nie
widnieje monitor RAS (listę zadań uzyskamy po naciśnięciu
klawiszy CT RL+ALT +DEL i wybraniu
Task List
). Monitor zadań
można umieścić na liście zadań lub go z niej usunąć.
Rys. 20.22. Karta
Summary w oknie
dialogowym
programu Dial-
Up Networking
Monitor.
820
Rozdział 20
Za pomocą przełączników
As an icon next to the
taskbar
(Ikona
obok paska zadań) oraz
As a w indow on the desktop
(Okno na
pulpicie) można ustalić sposób wyświetlania monitora RAS. Gdy
wybierzemy drugą metodę, będziemy mogli zadecydować - opcją
Lights
(Lampki kontrolne) - które urządzenia obsługi RAS
reprezentowane będą przez kontrolki w oknie.
RAS jako klient
Jeżeli, zgodnie z ustawieniami konfiguracji, do zestawiania połączeń
wychodzących (dial-out port) będziemy mogli korzystać
przynajmniej z jednego portu RAS, wtedy - do nawiązywania
połączeń ze stroną klienta - służyć będzie Dial-Up Networking
(Zdalny dostęp).
Nowy zapis w książce telefonicznej RAS
Po pierwszym uruchomieniu programu Dial-Up Networking pojawi
się okno dialogowe, w którego polach należy wpisać pierwszą
pozycję książki telefonicznej RAS (rysunek. 20.24).
Utworzenie nowej pozycji nie jest kłopotliwe. Jak w przypadku
większości innych okien dialogowych w Windows 95 i Windows NT
4, na kartach tego okna musimy wpisać odpowiednie informacje.
Przyjrzyjmy się im więc bliżej:
Rys. 20.23. Karta
Preferences
w oknie
dialogowym
programu Dial-
Up Networking
Monitor.
Remote Access Services (RAS)
821
Karta Basic
Karta
Basic
(podstawowa) zawiera informacje związane
z serwerem, z którym będzie nawiązywane połączenie. Znaczenie
większości pól jest oczywiste i nie wymaga dodatkowych wyjaśnień.
Alternatywne numery telefoniczne dla jednej pozycji podajemy
tutaj po kliknięciu przycisku
Alternates
. Dla takich numerów
przypisano znacznik
Mov e successful numbers to the top of the
list on connection
(Przesuń aktualne numery na górę listy po
udanym połączeniu). Po jego wybraniu usługa RAS będzie nadawała
najwyższy priorytet (na liście numerów alternatywnych) temu
numerowi, dla którego ostatnie połączenie zostało pomyślnie
nawiązane. Numer ten zostanie ponadto wykorzystany przy
następnej próbie nawiązania połączenia.
Za pomocą pola
Dial using
wybieramy to urządzenie RAS,
z którego trzeba skorzystać dla aktualnie redagowanej pozycji
książki telefonicznej. Można ustawić wszystkie porty lub jeden
konkretny. Przycisk
Configure
umożliwia ustawienie parametrów
sprzętowych wybranego urządzenia, takich jak hardware flow
control (synchronizacja sprzętowa), szybkość portu itd. Jeżeli ma
być wykorzystany dowolny dostępny port, opcja
Configure
nie
będzie dostępna.
Po wybraniu znacznika
Use Telephony dialing properties
(Wbudowane parametry wybierania numerów) usługa RAS użyje
wbudowanych ustawień parametrów telefonicznych, określających
sposób wybierania numerów. Zarówno Windows 95, jak i NT 4
Rys. 20.24.
W prowadzanie
nowej pozycji do
książki
telefonicznej RAS.
822
Rozdział 20
może bazować (przy wybieraniu numerów telefonicznych) na
wewnętrznych informacjach o telefonowaniu poza strefę lokalną,
karcie telefonicznej, numerach strefowych itd. Znacznik
Use
Telephony dialing properties
udostępnia nam dwa nowe pola
(patrz rys. 20.25).
W polach
Country Code
(numer międzynarodowy) i
Area Code
(numer strefowy) wskazujemy systemowi NT położenie
geograficzne (a raczej ,,telefoniczne’’) dla aktualnie redagowanej
pozycji książki telefonicznej. Jeżeli któryś (lub oba) z tych
parametrów różni się od miejscowych (a przynajmniej od tych,
które system NT uważa za miejscowe), RAS spróbuje nawiązać
połączenie międzynarodowe lub międzymiastowe w oparciu o tę
pozycję książki.
Karta Server
Karta
Serv er
(rysunek 20.26) służy do konfigurowania parametrów
sieciowych serwera, z którym będzie się łączyć numer z aktualnie
redagowanej pozycji książki telefonicznej. Przy wpisywaniu danych
- z uwagi na ich znaczenie - powinniśmy zachować wyjątkową
ostrożność.
Rys. 20.25 Karta
Basic
z ustawieniami
parametrów
telefonicznych.
Remote Access Services (RAS)
823
W ustawieniu standardowym, dla nowych pozycji przypisywany jest
protokół transportowy PPP. Standard ten zyskuje coraz większą
popularność w komunikacji sieciowej z wykorzystaniem połączeń
zestawianych i przy dostępie do Internetu. RAS obsługuje też dwa
inne standardy komunikacji z serwerami - SLIP oraz Windows for
Workgroups/Windows 3.11. Gdy nie mamy pewności, jaki protokół
stosuje serwer, z którym zamierzamy się łączyć, parametru tego
(tzn. PPP) nie powinniśmy zmieniać.
Pracując z połączeniami RAS możemy korzystać ze wszystkich
(trzech) protokołów sieciowych (możemy je pozostawić na karcie
jako wybrane - przy połączeniu wykorzystane zostaną tylko te, dla
których negocjacja przebiegła prawidłowo). Próba połączenia może
się powieść nawet wtedy, gdy serwer nie obsługuje któregoś
z wybranych tu protokołów.
Wszystkie dane przesyłane między serwerem a klientem mogą
zostać poddane - dla przyspieszenia transmisji - kompresji przez
RAS. Opcję
Enable softw are compression
(Kompresja
programowa) należy zostawić włączoną (chyba że istnieją jakieś
specjalne względy uzasadniające jej wyłączenie). Przy włączonej
opcji
Enable PPP
LCP
extensions
(Rozszerzenia LCP dla PPP)
usługa RAS spróbuje wykorzystać rozszerzoną formę protokołu
PPP. Jeżeli rozszerzeń LCP nie uda się zastosować, RAS przejdzie
automatycznie do standardowego protokołu PPP.
Funkcja
TCP/IP Settings
(Parametry T CP/IP) umożliwia ustawienie
parametrów T CP/IP, niezbędnych dla prawidłowej komunikacji
z niektórymi serwerami oraz z Internetem
Rys. 20.26. Karta
Server.
824
Rozdział 20
W trakcie negocjacji przez RAS połączenia T CP/IP, może ona
(usługa RAS) automatycznie otrzymać z
hosta informacje
o
konfiguracji. W
systemie Windows NT informacje te
przekazywane są z serwera DHCP (hosty UNIX-a również je
przesyłają). Przełącznik należy zostawić w
pozycji
Serv er
assigned IP address
(adres IP przypisany przez serwer), chyba że
adres IP naszego komputera w połączeniu RAS trzeba wprowadzać
„ręcznie”. W
takiej sytuacji wpisujemy go po zaznaczeniu
przełącznika
Specify an IP address
.
Aktywny przełącznik
Serv er assigned name serv er addresses
(adresy nazw serwera przypisane przez serwer) informuje usługę
RAS, że host wyśle jej informację o lokalizacji serwera, który może
przypisać nazwy internetowe do adresów IP. Host przeważnie nie
wyśle takiej informacji po nawiązaniu połączenia i to my musimy
ustawić („ręcznie”) parametry dla serwerów DNS i
WINS.
Pozyskanie tych danych może wymagać konsultacji
z administratorem sieciowym hosta, z którym chcemy nawiązywać
połączenia.
Pozostałe dwie opcje
Use IP header compression
(kompresja
nagłówków IP) i
Use default gatew ay on remote
netw ork
(zastosowanie bramy domyślnej w sieci zdalnej) możemy - w 95%
przypadków - pozostawić jako aktywne (zaznaczone). Ich wpływ
na pracę systemu jest bowiem niewielki.
Rys. 20.27.
Parametry
TCP/IP dla usługi
RAS.
Remote Access Services (RAS)
825
Karta skryptu
Za pomocą karty
Script
(skrypt) (rysunek 20.28) ustala się sposób
logowania usługi RAS do hosta. RAS potrafi się poprawnie logować
do większości hostów - zarówno w środowiskach systemu UNIX, jak
i Microsoftu. Stąd też jest mało prawdopodobne, że będziemy
musieli utworzyć skrypt logowania - NT jednak taką możliwość
nam oferuje.
W domyślnym ustawieniu RAS nie stosuje żadnych skryptów,
próbując negocjować login samodzielnie. Można jednak zlecić
wyświetlenie okna terminalowego po wybraniu numeru
telefonicznego - aby „ręcznie” sterować procedurą logowania.
Zamknięcie okna terminalowego pozwoli usłudze RAS zakończyć
sesję sieciową.
Usłudze RAS możemy zlecić uruchomienie skryptu dla aktualnie
redagowanej pozycji książki telefonicznej. Skrypty,
z rozszerzeniem INF., mają postać zwykłych plików tekstowych,
obejmujących sekwencje ”wait for this text” („czekaj na ten tekst”)
a po nich ”send this response” („wyślij tę odpowiedź”). Dobry
przykład stanowi tutaj SWITCH.INF.
Skrypt może być realizowany również przed wybraniem numeru,
z interaktywnym (ręcznym) skonfigurowaniem modemu, co NT nie
zawsze jest w stanie wykonać. Skrypty takie rzadko są jednak
wykonywane, a interaktywną pracą z modemem umożliwia też
okno terminalowe. Po jego zamknięciu usługa RAS będzie mogła
kontynuować procedurę wybierania numeru.
Rys. 20.28. Karta
Script.
826
Rozdział 20
Karta ochrony
Karta
Security
(Ochrona) (rysunek 20.29) pozwala zdefiniować
metodę szyfrowania, stosowaną przez RAS podczas próby
zalogowania się do hosta.
Po ustawieniu przełącznika
Accept
any authentication including
clear
text
(Dowolna weryfikacja, także otwarty tekst) RAS nie
będzie szyfrował, wysyłanych do hosta, nazw: użytkownika i hasła.
T akie ustawienie wymagane jest z reguły przy zestawianiu połączeń
z hostami pracującymi w systemie UNIX, gdyż większość z nich nie
akceptuje szyfrowania nazw użytkowników i haseł.
Aktywny przełącznik
Accept only encrypted authentication
(T ylko weryfikacja z szyfrowaniem) zmusza RAS do szyfrowania
informacji o użytkowniku, zgodnie ze standardami negocjowania
połączeń.
Przełącznik
Accept only Microsoft encrypted authentication
(Weryfikacja tylko z szyfrowaniem wg Microsoftu) ogranicza
stosowane przez RAS procedury szyfrowania jedynie do znanych,
należących do Microsoftu, metod weryfikacji przy negocjowaniu
połączenia z hostem. Zaznaczenie tej pozycji udostępnia dwie
dalsze:
Require data encryption
(Szyfrowanie wymagane) - dla
szyfrowania przez RAS wszystkich danych przesyłanych między
klientem a hostem oraz
Use current username and passw ord
(Zastosuj aktualną nazwę użytkownika i hasła). T a ostatnia zmusza
RAS do stosowania nazwy loginu i hasła (wykorzystywanych przez
nią przy logowaniu do systemu NT ) - w celu przeprowadzenia
negocjacji połączenia z hostem. W przeciwnym razie - tj. by
Rys. 20.29. karta
Security.
Remote Access Services (RAS)
827
zabronić RAS stosowania bieżącej nazwy użytkownika i hasła dla
aktualnie redagowanej pozycji książki telefonicznej, powinniśmy
wybrać opcję
Unsav e passw ord
.
Karta X.25
Jeżeli używamy jednostki PAD w linii X.25, jako linii dla
wychodzących połączeń zestawianych, na karcie X.25 możemy
ustawić takie parametry, jak sieć - do której przyłączona jest nasza
linia X.25, adres - który nam przyznano, oraz dane użytkownika
i inne udogodnienia (więcej informacji na ten temat udostępnia
pomoc online).
Główne okno dialogowe Dial-Up Networking
Po wypełnieniu wszystkich pól redagowana pozycja książki
telefonicznej jest gotowa. Pojawia się teraz główne okno dialogowe
Dial-Up Networking, zgodnie z
rysunkiem 20.30. T o okno
dialogowe będzie pojawiało się także później, w trakcie zestawiania
połączeń.
Numer, z którego będziemy chcieli skorzystać, wybieramy z listy
rozwijanej. Przycisk
New
dodaje nowe pozycje:
More
(Więcej) -
służy do konfiguracji innych obszarów kontrolnych aplikacji.
Dzięki funkcji
Location
(Lokalizacja) możemy ustawiać parametry
różnych miejsc, co może być potrzebne w pracy na komputerze
przenośnym (notebook-u).
Rys. 20.30.
Główne okno
dialogowe Dial-
Up Networking.
828
Rozdział 20
Opcja
Location
pozwala nam zdefiniować przedrostki (prefix) dla
numerów telefonicznych oraz końcówki (suffix) - dla lokalizacji,
z których wybieramy numer. Rysunek 20.31 przedstawia okno
dialogowe
Location Settings
(Parametry lokalizacji).
Nową lokalizację możemy utworzyć po wybraniu
Location
.
Przyciski
Prefix
i
Suffix
pozwalają dodać nowe przedrostki
i końcówki. Mogą one być później stosowane dla każdej pozycji
książki telefonicznej.
Opcja
More
(Więcej) udostępnia kilka opcji RAS (rysunek 20.33):
!
Edit entry and modem properties
(Redakcja pozycji
i właściwości modemu) - umożliwia zredagowanie wskazanej
pozycji RAS.
!
Clone entry and modem properties
(Klonowanie pozycji
i właściwości modemu)
- tworzy kopię aktualnej pozycji,
przechodząc następnie w tryb jej redagowania.
!
Delete entry
(Usunięcie pozycji) - usunięcie wskazanej pozycji.
Rys. 20.31.Okno
dialogowe
Location Settings.
Rys. 20.32.
Dodatkowe opcje
okna
dialogowego
Dial-Up
Networking.
Remote Access Services (RAS)
829
!
Create shortcut to entry
(Utworzenie skrótu dla pozycji) -
utworzenie skrótu dostępnego z pulpitu, Otoczenia sieciowego
(Network Neighborhood) lub Mojej aktówki (My Briefcase).
!
Monitor status
(uruchomienie monitora)
- uruchomienie
monitora RAS (opisanego wcześniej w tym rozdziale).
!
Operator assisted or manual dialing
(wybieranie ręczne lub
z kontrolą operatora) - opcja umożliwiająca „ręczne” wybranie
numeru do nawiązania połączenia z hostem. Kiedy sygnał
zgłoszenia wystąpi („zadzwoni telefon”) po stronie hosta, pojawi
się okno z prośbą o kliknięcie
OK
. Dalszą obsługą połączenia
zajmie się już NT .
!
User preferences
(Ustawienia własne użytkownika) - umożliwia
wpisanie, związanych z użytkownikami, ustawień parametrów
RAS.
!
Logon preferences
(Ustawienia własne loginu) - dostępna tylko
dla osób z
prawami Administratora. Służy do ustawiania
parametrów po wybraniu przez użytkownika (po starcie systemu
i kombinacji CT RL+ALT +DEL) pozycji
Login Using Dial-Up
Netw orking
.
Ustawienia własne użytkownika
Opcja
User preferences
umożliwia użytkownikom ustawienie
parametrów wybierania, zgłoszeń zwrotnych (callback), wyglądu
oraz książki telefonicznej (rysunek 30.33).
Rys. 20.33. Okno
dialogowe User
preferences.
830
Rozdział 20
Karta
Dialing
(Wybieranie) umożliwia podanie pozycji
automatycznego wybierania numerów. System NT kojarzy zasoby
z odpowiednimi pozycjami książki, a usługa RAS, po zażądaniu tych
zasobów, wybiera numer samodzielnie. Funkcją tej karty jest też
ustawianie innych parametrów (liczba prób przy automatycznym
wybieraniu, przedział czasu między próbami, czas przed
odwieszeniem).
Karta
Callback
(Zgłoszenie zwrotne) (rys. 20.34) pozwala nam
zadecydować, w jaki sposób Dial-Up Networking ma obsługiwać
żądania hosta o zgłoszenia zwrotne. Zgłoszenia zwrotne zwiększają
ochronę - usłudze RAS można zlecić wywołanie zwrotne
użytkownika pod z góry ustalonym numerem telefonicznym, po
pomyślnej próbie połączenia. Zgłoszenia zwrotne są też mniej
kosztowne - przy połączeniach międzymiastowych
i międzynarodowych.
Opcję
No, skip call back
(Nie, pomiń zgłoszenie zwrotne)
możemy wybrać wtedy, gdy serwer - ze względu na ochronę - nie
wymaga zgłoszeń zwrotnych. W przeciwnym razie (tj. jeżeli ją
wybierzemy gdy serwer wymagać będzie zgłoszeń zwrotnych) klient
zostanie rozłączony.
Funkcja
Maybe, ask me during dial w hen serv er
offers
(Być
może, spytaj podczas wybierania, jeśli serwer pozwoli) pozwala
zapytać użytkownika, czy jego host żąda zgłoszeń zwrotnych; jeśli
odpowie on przecząco, może zostać (z tych samych przyczyn, jak
wyżej) rozłączony.
Rys. 20.34. Karta
Callback
( Zgłoszenie
zwrotne).
Remote Access Services (RAS)
831
Opcja
Yes, call me back at the number(s) below
(T ak, użyj
poniższych numerów umożliwia użytkownikowi wybór urządzeń
RAS do usługi zgłoszeń zwrotnych; z kolei
Edit
- wybór urządzenia
RAS i przypisanie mu numeru telefonu. Wszystkie pozycje na liście
uważa się za ważne linie zgłoszeń zwrotnych. Wybraniem
Delete
usuwamy urządzenia RAS z listy takich zgłoszeń.
Karta
Appearance
(Wygląd) umożliwia ustawienie wielu
szczegółowych parametrów programu Dial-Up Networking
(rysunek 20.35). Większość z nich nie wymaga wyjaśnień (w razie
problemów możemy skorzystać z systemu pomocy).
Karta
Phonebook
(Książka telefoniczna) umożliwia nam wybór
książki telefonicznej: systemowej (domyślnie), osobistej lub innej.
Rys. 20.35. Karta
Appearance.
Rys. 20.36. Karta
Phonebook.
832
Rozdział 20
Ustawienia własne loginu
Dostęp do ustawień własnych loginu (Logon preferences) mają
tylko użytkownicy z przywilejami administracyjnymi. Ustawienia
te definiują metodę łączenia się użytkownika z serwerem w czasie
logowania do sieci poprzez Dial-Up Networking. Okno dialogowe
ustawień własnych loginu jest niemal identyczne z oknem ustawień
własnych użytkownika (z wyjątkiem kart
Appearance
i
Phonebook
, choć i tutaj różnice nie są wielkie).
Dla ustawień własnych loginu na karcie
Phonebook
nie można
korzystać z osobistej książki telefonicznej (bo przy logowaniu
poprzez Dial-Up Networking system NT nie zdążył zweryfikować
logującego się użytkownika). Oznacza to, że każdy serwer,
z którym użytkownik chciałby się połączyć poprzez Dial-Up
Networking, musi być zapisany w systemowej książce telefonicznej
(System Phonebook).
Praca z Dial-Up Networking
Obsługa aplikacji Dial-Up Networking nie powinna być kłopotliwa.
Dla każdej pozycji utworzonej w książce telefonicznej można
wybrać numer i zestawić dla niego połączenie. Po nawiązaniu
połączenia z
serwerem i
przeprowadzeniu weryfikacji, lokalny
użytkownik może - za pośrednictwem RAS - uzyskać dostęp do
zasobów sieci zdalnej tak, jakby był bezpośrednio z nią połączony.
Narzędzie Network Neighborhood prezentuje zdalne serwery i stacje
robocze (czasem dopiero w kilka minut po nawiązaniu połączenia),
a komenda NET.EXE (uruchamiana w linii komend) może pomóc
przy ustanowieniu połączeń z tymi (zdalnymi) zasobami sieci,
których ono nie pokazuje.
Logowanie do sieci poprzez Dial-Up Networking
W oknie logowania NT możemy skorzystać z opcji logowania się
do sieci poprzez Dial-UP Networking. Windows NT ma o wiele
bardziej rozbudowany system ochrony niż Windows 95.
W Windows 95 nie wymaga się żadnych procedur autoryzacji przed
udostępnieniem systemu. W NT natomiast użytkownik nic nie
może zrobić, zanim pierwotny (PDC) lub pomocniczy (BDC)
Remote Access Services (RAS)
833
kontroler domeny nie zweryfikuje go (wolnostojąca stacja robocza
NT sprawdza uprawnienia używając lokalnych informacji
o użytkownikach).
Okno logowania NT (NT login prompt) posiada znacznik do
logowania użytkowników w
sieci z
wykorzystaniem Dial-UP
Networking (jeżeli na komputerze NT zainstalowano usługi RAS).
Po wybraniu tego znacznika, system NT uruchomi Dial-UP
Networking i zezwoli użytkownikowi na wybór serwera, z którego
ma zostać nawiązane połączenie na podstawie danych z systemowej
książki telefonicznej (System phonebook). W dalszym etapie NT
wywołuje serwer, próbując sprawdzić informacje związane
z użytkownikiem. Jeśli wynik jest pomyślny, proces logowania jest
kontynuowany i w efekcie użytkownik otrzymuje dostęp do
systemu. Sesja RAS utrzymywana jest do chwili jej przerwania
(„ręcznego”) przez użytkownika.
Dostęp do Internetu z małej sieci LAN
z wykorzystaniem usług RAS
Istnieje kilka tanich rozwiązań dostępu małych sieci LAN do
Internetu. W pierwszej części tego rozdziału omówiono proces
konfigurowania serwera RAS NT do pracy w
roli bramy
internetowej dla małych sieci LAN. T eraz przyjrzymy się
przykładowej konfiguracji, stosowanej przez autora.
T ani dedykowany dostęp do Internetu jest bardzo atrakcyjny. Jest
to jednak jeszcze wciąż dość kosztowna inwestycja. Z drugiej strony
wiele osób dysponuje kontami PPP u lokalnych dostawców ISP. Na
czas zestawionego połączenia z dostawcą usług internetowych
otrzymują oni tymczasowy (za każdym razem nieco inny) adres IP.
Gdyby tylko mogli dysponować statycznym adresem IP u dostawcy
ISP, uzyskaliby - chociaż przerywany i powolny - dedykowany
dostęp do Internetu.
Statyczny adres IP u dostawcy to nie wszystko - jeszcze lepiej
byłoby mieć internetową nazwę domenową, np.
microsoft.com
. Obie rzeczy można pozyskać za kwotę nie
wiele większą, niż zwykłe, dynamiczne konto PPP, bazujące na
adresach IP.
834
Rozdział 20
Poniższy opis odnosi się wyłącznie do Stanów Zjednoczonych.
Jednym z większych dostawców usług internetowych (czyli ISP)
w USA jest spółka IQuest, oferująca standardowe konta PPP dla
połączeń zestawianych za 20 dolarów miesięcznie. Obecnie jest to
przeciętny koszt takich usług w całych Stanach Zjednoczonych.
Mało osób wie jednak, że IQuest i wiele innych firm oferuje konta
PPP dla połączeń zestawianych, ze związanymi z nimi statycznymi
adresami IP, za niewiele wyższą cenę. IQuest żąda dodatkowej
opłaty miesięcznej za statyczny adres IP w wysokości 5 dolarów.
Mnóstwo ludzi natychmiast skorzystałoby z
szansy ciągłej
(,,statycznej’’) obecności w Internecie za taką sumę, gdyby o niej
wiedziało. Spytajmy naszego miejscowego dostawcy ISP, czy
oferuje taką usługę. Każdy może też otrzymać nazwę domenową.
Potrzeba tylko kilku tygodni i niewielkiej gotówki. Kilka lat temu
można było otrzymać domenę za niewielką opłatą jednorazową od
dostawcy i małą - od InterNIC. Wprawdzie ceny te są teraz trochę
wyższe, ale wciąż leżą w
możliwościach wielu osób. Dzisiaj
w przypisaniu domeny do swojej nazwy pośredniczy dostawca ISP,
a przydziela ją InterNIC. Opłata wnoszona dla InterNIC wynosi
100 dolarów, a większość dostawców żąda 50 dolarów za pomoc
w przygotowaniu zgłoszenia (o domenę u InterNIC nie można
bowiem występować osobiście; zgłoszenia takie mogą składać
jedynie dostawcy ISP).
Dysponując statycznym adresem IP i domeną, możemy udostępnić
własną stronę w
Internecie. Statyczny adres IP z
domeną
otrzymaną od InterNIC powinien zestawić dostawca usług
internetowych. Od tej pory, po każdym zalogowaniu się przez nas
w Internecie z takim kontem, dowolny użytkownik Internetu może
uzyskać dostęp do naszej domeny (pod warunkiem, że na serwerze
działa odpowiednie oprogramowanie, np. dla serwera Web lub FT P).
System NT bardzo dobrze obsługuje ten rodzaj dostępu do Internetu.
Firma IQuest oferuje 120 godzin miesięcznie za standardową opłatą
20 dolarów. Stąd też autor może aktywnie pracować ze swoją stroną
przez 120 godzin, bez ponoszenia dodatkowych kosztów. IQest
i
wielu innych dostawców ISP oferuje też niedrogie formy
dedykowanego dostępu poprzez modemy. IQuest, na przykład,
udostępnia łącze dedykowane (tzn. 24 godziny na dobę, 7 dni
w tygodniu) o przepustowości 28.8 Kb/s za 100 dolarów
Remote Access Services (RAS)
835
miesięcznie. Za tę cenę otrzymujemy również, do użytku we
własnej sieci, sześć dodatkowych adresów IP.
Jeżeli zależy nam na tanim sposobie założenia skromnego serwera
internetowego, proponowane w wyżej opisanej formie rozwiązania
mogą być tym, czego nam trzeba.
Ustawienia Rejestru a RAS
Wiele parametrów Rejestru (Registry) można zmienić tylko za
pomocą Edytora Rejestru (Registry Editor). Pamiętajmy, że praca
z Rejestrem wiąże się z
dużym ryzykiem. Nieprawidłowe
modyfikacje mogą poważnie zakłócić pracę systemu operacyjnego
w taki sposób, że tylko ponowna jego instalacja umożliwi normalną
pracę. Jednak większość parametrów Rejestru, związanych
z usługami RAS, nie grozi załamaniem systemu - nawet w przypadku
wprowadzenia nieprawidłowych zapisów. (Rozdział 18 omawia
dokładnie temat ustawień Rejestru).
Artykuł nr Q97599 z Microsoft Knowledge Base (Bazy wiedzy
Micrososftu) jest doskonałym źródłem informacji o związanych
z usługami RAS ustawieniach Rejestru (zawiera ich znacznie więcej,
niż można by tu powtórzyć). Artykuł ten możemy ściągnąć ze
strony WWW o adresie: www.microsoft.com. W naszych
rozważaniach ograniczymy się jedynie do dwóch najważniejszych
ustawień Rejestru.
Registry Editor można uruchomić zapisem: RegEdt32. Wszystkie
zmiany zostaną automatycznie zachowane w
Rejestrze po
kliknięciu
OK
. Po edycji Rejestru należy przeładować system
operacyjny.
AutoDisconnect
w gałęzi:
\System\CurrentControlSet\
Services\RemoteAccess\Parameters
poddrzewa HKEY_
LOCAL_MACHINE
, określa czas, przez jaki usługa RAS wyczekuje
na wznowienie aktywności klienta, zanim zostanie on rozłączony.
Wartością domyślną jest tutaj 20 minut (14 szesnastkowo).
Nadanie temu parametrowi wartości 0 wyłączy opcję
automatycznego rozłączania, zezwalając zdalnym użytkownikom
RAS na nielimitowany czas połączenia.
836
Rozdział 20
CallBackTime
, w gałęzi:
\System\CurrentControlSet\
Services\RemoteAccess\Parameters
poddrzewa HKEY_
LOCAL_MACHINE
, określa czas oczekiwania przez usługę RAS na
wywołanie zwrotne klienta RAS z ustawioną opcją zgłoszenia
zwrotnego (callback). Wartość domyślna wynosi 2 sekundy. Jeżeli
modem wymaga po rozłączeniu więcej czasu na wyzerowanie,
wartość tą powinniśmy zmienić (wydłużyć).
Wykrywanie usterek w usługach RAS
Usługi RAS są bardzo odporne na błędy i rzadko ulegają awariom.
W przypadku problemów z połączeniami RAS, trzeba po pierwsze
ustalić, czy mają one związek ze sprzętem, ochroną czy też
konfiguracją.
Problemy ze sprzętem
Chociaż system NT dysponuje rozbudowanymi procedurami do
konfigurowania modemów, to jednak czasem może się mylić.
Ponadto sam modem może być źródłem problemów. Najczęstszym
zakłóceniem jest zawsze aktywny (ON) sygnał Carrier
Detect
. Do niedawna standardem był stały sygnał nośnej po
włączeniu zasilania, niezależnie od stanu połączenia. System NT
powinien tak zainicjować modem, żeby sygnał Carrier
Detect
(CD) był aktywny tylko wtedy, gdy ktoś jest
rzeczywiście podłączony do modemu. W odniesieniu do modemu
zewnętrznego rozwiązanie tego problemu jest proste. Należy
obserwować kontrolkę CD i upewnić się, że nie świeci się, gdy nikt
nie jest podłączony. Jeżeli pozostaje zapalona po utracie połączenia
(a jesteśmy pewni, że zostało przerwane), należy sprawdzić
w dokumentacji modemu prawidłowe ustawienia przełączników DIP.
Być może wymagane są też jakieś specjalne komendy do jego
odpowiedniego ustawienia. Jeśli tak, należy je dodać - za pomocą
ikony
Modem
w Panelu sterowania. Jakość linii należy także
rozpatrywać w kontekście problemów sprzętowych. Jeżeli modem
nieoczekiwanie kończy połączenia lub nie przesyła poprawnie
danych, to należy podłączyć do linii telefon i
do kogoś
zatelefonować - by sprawdzić, czy słychać jakieś wyładowania
elektrostatyczne albo przesłuchy z innych kanałów?
Remote Access Services (RAS)
837
Jeżeli tak, możemy z dużym prawdopodobieństwem założyć, iż
przyczyną problemów są zakłócenia na linii telefonicznej. Być
może operator sieci, po zawiadomieniu o zakłóceniach, sprawdzi
linię. Nie wspominajmy mu jednak o problemach z modemem, bo
otrzymamy odpowiedź, że na zwykłych liniach telefonicznych nie
można zagwarantować jakości wymaganej dla transmisji danych.
Jeżeli wydajność jest za niska na jednych portach RAS, a na innych
dobra - wówczas w niektórych portach możemy mieć przestarzałe
układy UART . Są to bowiem układy scalone, zawierające kontrolery
asynchroniczne do obsługi transmisji danych szeregowych. Nasze
porty powinny posiadać układy typu 16550AFN (ostatnia wersja
układu 16550) lub lepsze - dla serwerów RAS.
Problemy związane z ochroną
Wiele osób, nie mogąc zobaczyć zasobów zdalnych lub przeglądać
list, winą obciąża połączenie RAS. Jest jednak bardziej
prawdopodobne, że nie mają one wystarczających uprawnień
w systemie, żeby żądane zasoby odczytywać lub z nich korzystać.
Zawsze w
takich sytuacjach powinniśmy wybrać rekord
wyznaczonego użytkownika - by upewnić się, że jest on członkiem
grupy mającej dostęp do żądanych zasobów. T rzeba przy tym
pamiętać, że jego dostęp (mimo przynależności do odpowiedniej
grupy) mógł zostać w pewnych porach dnia ograniczony.
Problemy wynikające z konfiguracji
Jeżeli usługa RAS nie działa, ale poza tym wszystko wydaje się
poprawnie skonfigurowane, powinniśmy spróbować zdeinstalować
(uninstall) RAS, przeładować system operacyjny i ponownie usługę
tę zainstalować. Być może system NT źle coś odczytał za
pierwszym razem i nie powiązał usługi RAS z zainstalowanymi
protokołami sieciowymi.
Jeśli klienci T CP/IP nie „widzą” zasobów T CP/IP, oznaczać to
może, że próbują oni posłużyć się serwerem DHCP do uzyskania
danych o ich konfiguracji T CP/IP? Być może ich ustawienia
T CP/IP zostały skonfigurowane bez konsultacji z administratorem
sieci.
838
Rozdział 20
A może klienci RAS próbują zestawić połączenie na bazie protokołu
sieciowego, który nie jest obsługiwany w całej sieci?. Należy
upewnić się, czy wszyscy użytkownicy zdalni wiedzą, że z łączenia
się z aktywnym protokołem sieciowym nie wynika jeszcze, że
protokołu ten stosowany jest w całej sieci. (W biurze autora tylko
jedna piąta komputerów stosuje protokół T CP/IP, pozostałe
komunikują się poprzez NetBEUI. Dlatego też klienci RAS
T CP/IP, po nawiązaniu połączenia, „widzą” tylko część sieci).
Lokalizacja problemu
Istnieje kilka wbudowanych aplikacji, wspomagających lokalizację
problemów, związanych z usługami RAS. Najczęściej używaną
i najbardziej przydatną jest Przeglądarka zdarzeń (Event Viewer),
która protokołuje wszystkie działania systemu, zarówno pomyślne,
jak i awaryjne - i to nawet dla najmniejszych składników.
Czerwone znaki stop oznaczają problem, a niebieskie I - pozycje
z informacjami systemowymi. Żółte wykrzykniki sygnalizują mniej
istotne problemy. Aby uzyskać więcej szczegółów możemy
uaktywnić listing Przeglądarki. Niestety, często interpretacja
komunikatów o błędach dla zdarzeń nie jest łatwa. Pomocna może
się okazać tutaj najnowsza wersja pakietu Resource Kit,
z wyjaśnieniami znaczeń wszystkich, generowanych w systemie
NT , komunikatów o błędach.
Za pomocą ikony
Modems
w Panelu sterowania można zlecić NT ,
żeby utworzył plik protokołu dla modemów - jeżeli podejrzewamy,
że system nieprawidłowo je inicjuje. System zapisze plik protokołu
Rys. 20.37. Event
Viewer systemu
NT.
Remote Access Services (RAS)
839
o nazwie modem.log w katalogu %systemroot%. Możemy go
przejrzeć w dowolnym edytorze znakowym ASCII i sprawdzić, czy
modem akceptuje wszystkie komendy, które NT próbuje do niego
wysłać.
Kiedy serwer obsługuje połączenie zdalnego dostępu, w prawym
dolnym rogu pulpitu zauważymy symulowane kontrolki modemu.
Jeżeli przypuszczamy, że problem ma swoje źródło w modemie
wewnętrznym, spróbujmy z nich skorzystać. Górna lampka oznacza
Receive (Odbiór), a dolna Send (Nadawanie). Jeżeli kontrolki nie
potwierdzają odbioru jakichkolwiek danych, przyczyna zakłóceń
może leżeć gdzie indziej.