Rozdział 15
Zarządzanie systemem
Windows NT Server
Najważniejszym zadaniem administratora sieci jest dodawanie
nowych komputerów i użytkowników lub modyfikowanie
istniejących kont użytkowników, konfigurowanie zarówno serwera,
jak i stacji robo-czych-klientów oraz wykrywanie i rozwiązywanie
wszystkich proble-mów, jakie mogą zaistnieć w systemie.
W rozdziale tym zajmiemy się możliwościami zarządzania
lokalnym serwerem, jakie stwarza system NT Server. Najważniejszy
jest oczywiście sam program Server Manger. Zobaczymy też, w jaki
sposób należy używać tej aplikacji do wykonywania funkcji związa-
nych z zarządzaniem systemem, takich jak tworzenie kont
komputero-wych (computer domain accounts) i synchronizowanie
kontrolerów domen. W dalszej kolejności przedyskutujemy
zarządzanie usługami i zasobami współdzielonymi (shares) serwera.
Następnie przejdziemy do opisu sposobów i przyczyn stosowania
usługi Directory Replication Utility oraz do konfigurowania
serwera. Przyjrzymy się także, jak do wykrywania i rozwiązywania
problemów można wykorzystać program Event Viewer, oraz
zapoznamy z metodą bieżącego monitorowania pracy serwera.
Podrozdział poświęcony wersji usługi Microsoft Mail dla grup
roboczych wyjaśnia, w jaki sposób NT Server może pełnić rolę
podstawowego serwera poczty elektronicznej dla małych grup
użytkowników w grupach roboczych. Na końcu omówimy usługę
Remote Boot Service, umożliwiającą ładowanie z sieci systemów
stacji roboczych Windows 3.x oraz Windows 95.
Uwaga: W całym rozdziale wprowadzono zapis komend dla tych
administratorów, którzy w codziennym zarządzaniu siecią wolą
korzystać z interfejsu linii komend.
596 Rozdział 15
Server Manager
Server Manager to naprawdę doskonałe narzędzie do zarządzania
systemem. Obejmuje on w jednym programie wszystkie operacje,
niezbędne do zarządzania zasobami komputerów zdalnych. Dzięki
niemu można zarządzać dzielonymi zasobami komputera będącego
klientem sieci, a nawet dowiadywać się, jakie zasoby są właśnie
używane przez innych klientów. Może być ponadto
wykorzystywany do tworzenia kont użytkowników
i synchronizowania bazy danych kontrolera zapasowego
z kontrolerem głównym. A wszystkie te operacje możemy
wykonywać z własnego serwera lub własnej stacji roboczej.
Uwaga: W celu umożliwienia realizacji powyższych operacji
klientowi działającemu w systemie NT, Windows 95 lub 3.x, trzeba
najpierw zainstalować niezbędne oprogramowanie. Znajduje się
ono w katalogu \CLIENTS\SRVTOOLS\ na dysku CD z systemem
Windows NT Server. Można też je zainstalować z zasobu
współdzielonego sieci. Zasób taki można utworzyć (a następnie
skopiować oprogramowanie instalacyjne) - za pomocą programu
Network Client Administrator, według opisu zawartego w rozdziale
21.
Uwaga: Zakładamy tutaj, że do zarządzania systemem używamy
domeny lokalnej. Jeśli chcemy administrować inną domeną, należy
wybrać pozycję Select Domain (Wybór domeny) z menu Computer,
a następnie - w oknie dialogowym Select Domain (Wybór domeny)
- domenę, którą chcemy administrować.
Server Manager instalowany jest domyślnie w grupie programów
Administrative Tools. Jego główne okno (rysunek 15.1) zawiera
wszystkie konta komputerów, utworzone w ramach domeny.
Zarządzanie systemem Windows NT Server 597
Rys. 15.1
W szystkie konta
komputerów,
utworzone
w ramach
domeny, w oknie
Server Manager a
Z każdą pozycją, wyświetloną w oknie Server Manager, skojarzona
jest ikona, która umożliwia szybkie rozpoznanie roli, jaką odgrywa
dany komputer w strukturze domeny. Trzy ikony przedstawione na
rysunku odpowiadają głównemu kontrolerowi domeny - PDC
(Primary Domain Controller), rezerwowemu kontrolerowi domeny
- BDC (Backup Domain Controller) oraz stacji roboczej.
Tworzenie kont komputerów
W strukturze domen systemu NT jednym z najważniejszych zadań
zarządzania serwerami jest tworzenie kont komputerów. Konto
komputera musi być takie samo, jak nazwa komputera-klienta.
Klientem może być np. rezerwowy kontroler domeny (BDC)
pracujący w systemie Windows NT Server, komputer funkcjonujący
w NT Server jako serwer typu member lub stacja robocza pracująca
pod nadzorem Windows NT Workstation.
Uwaga: Wprowadzenie kont zarówno dla użytkowników, jak i dla
komputerów jest zupełnie nowym rozwiązaniem w świecie
produktów sieciowych firmy Microsoft. Przed wprowadzeniem
Windows NT konto użytkownika było jedynym prawdziwym
środkiem weryfikacji. Obecnie również tożsamość stacji roboczej
lub serwera może być jej poddana. Dzięki takiej weryfikacji
możemy ustalić, z których komputerów może korzystać użytkownik
do zarejestrowania się w sieci. Większe znaczenie ma jednak fakt, iż
sieć NT (w szczególności kontrolery domen) może zaufać
tożsamości danego komputera.
598 Rozdział 15
Uwaga: Konieczność tworzenia kont komputerów dotyczy tylko
serwerów NT i stacji roboczych domeny. Nie należy tworzyć kont
komputerów dla innych systemów w sieci (takich jak Windows 95,
Windows 3.x oraz Macintosh). Klienci pracujący pod nadzorem
tych systemów nie będą mieli z takich kont żadnych korzyści. Poza
tym i ktoś mógłby, wykorzystując istniejące konto, skonfigurować -
jako kontroler domeny - jakąś inną stację roboczą NT lub serwer
NT.
Aby do istniejącej domeny dołączyć komputer pracujący jako stacja
robocza lub serwer w Windows NT, trzeba koniecznie utworzyć dla
niego konto komputera. (Pamiętajmy, że do utworzenie takiego
konta niezbędne jest zezwolenie na administrowanie domeną).
Uniemożliwi to zwykłemu użytkownikowi uruchomienie nowego
systemu NT w domenie bez zezwolenia.
Są dwa sposoby tworzenia kont komputerów: z poziomu programu
Server Manager lub w trakcie instalowania Windows NT Server lub
NT Workstation.
Główna korzyść z utworzenia konta komputera za pomocą
programu Server Manager wynika z faktu, iż dzięki wstępnemu
utworzeniu takiego konta podać można również nazwę komputera-
klienta. Pozwala to na ujednolicenie - zgodnie z naszymi
wymaganiami - konwencji nazewnictwa dla stacji roboczych-
klientów w naszej sieci. Zamiast więc takich określeń, jak: FRODO,
SUPERMAN można pracować ze znaczącymi i rzeczywiście
opisowymi nazwami, jak: JEDN_FREDA, KSIEGOWOSC czy
MARKETING. Server Manager ma jeszcze jedną zaletę:
użytkownikowi nie trzeba ujawniać hasła administratora (które
potem należałoby przecież zmienić), ani też nie trzeba fizycznie
udawać się do miejsca, w którym znajduje się komputer-klient
i wpisywać hasła i konta administratora w oknie dialogowym
Domain/Workgroup Settings (Ustawienia Domeny/Grupy) apletu
Control Panel Netw ork.
Kiedy dołączamy do domeny stację roboczą NT lub serwer NT,
skonfigurowaną jako serwer typu member, to do lokalnej grupy
Administrators (Administratorzy) komputera-klienta zostaje
dodana globalna grupa użytkowników o nazwie Domain Admins.
Zarządzanie systemem Windows NT Server 599
Pozwala to administratorowi domeny zarządzać klientem lokalnie
lub zdalnie. Ponadto, do lokalnej grupy Users (Użytkownicy)
klienta zostaje dodana globalna grupa Domain Users (Użytkownicy
Domeny).
Ostrzeżenie: Jeśli w sieci, w której występują wzajemne związki
zaufania (trust relationships) nie mamy konta komputera - oznacza
to, iż nie jesteśmy członkiem-dysponentem domeny i nie mamy
dostępu do kontrolera domeny. Tym samym, nawet jeśli mamy
konto użytkownika w kontrolerze domeny, ale bez konta komputera,
to nie otrzymamy autoryzacji na poziomie użytkownika. Jeśli zaś
nie można otrzymać autoryzacji, nie ma się dostępu do zasobów
sieciowych. W sieci bez wzajemnych związków zaufania konto
użytkownika można przyporządkować kontu użytkownika
w odległym komputerze. Takie przyporządkowanie lokalnego konta
odległemu umożliwia ograniczony dostęp do zasobów sieciowych.
Za pomocą kont komputerów można też ograniczyć
użytkownikowi dostęp jedynie do pewnego zbioru stacji roboczych
(temat ten omawia podrozdział ,,Menedżer Użytkownika dla
domen'', a tworzenie kont użytkowników - rozdział 16,
,,Zarządzanie kontami użytkowników'').
Aby utworzyć konto komputera, należy wykonać następujące
czynności:
1. Otworzyć program Server Manager, znajdujący się w grupie
programów Administrativ e Tools (Narzędzia do administrowa-
nia).
2. Z menu Computer wybrać pozycję Add to Domain (Dodaj do
domeny). Pojawi się okno dialogowe Add Computer to Domain
(Dodaj komputer do domeny), zgodnie z rysunkiem 15.2.
Rys. 15.2.
Podawanie nazwy
tworzonego konta
komputera.
600 Rozdział 15
3. Wybrać typ komputera. Istnieją następujące możliwości: stacja
robocza NT lub serwer NT skonfigurowany jako serwer typu
member, lub rezerwowy kontroler domeny NT. Następnie -
w polu Computer - wpisać nazwę komputera.
4. Kliknąć przycisk Add (Dodaj).
5. Dla każdego (następnego) tworzonego konta komputera należy
powtórzyć czynności od 2 do 4 włącznie. Na koniec należy
kliknąć Close.
Aby usunąć konto komputera wystarczy je zaznaczyć i nacisnąć
klawisz Delete. Zamiast tego, można też wykonać komendę
Remov e from Domain (Usuń z Domeny), znajdującą się w menu
Computer. Przed usunięciem konta komputera zostaniemy
poproszeni o potwierdzenie zamiaru jego usunięcia (rys. 15.3).
Rys. 15.3.
Usunięcie konta
komputera
powoduje
skasowanie
skojarzonych
z nim informacji
dotyczących
ochrony.
Ostrzeżenie: Konta komputerów mają unikalne identyfikatory
ochrony - SID (Security Identifier). Jeśli konto zostanie usunięte,
a następnie utworzone ponownie, to komputer będący klientem
trzeba będzie ponownie dodać do domeny. Nie powiedzie się żadna
próba ponownego dodania komputera do pierwotnej domeny przy
użyciu pierwotnego konta komputera, po przeniesieniu komputera
do innej domeny. Nie powiedzie się też próba ponownego dodania
komputera do pierwotnej domeny przy użyciu pierwotnego konta
komputera, po zmianie konfiguracji komputera-klienta z domeny
na grupę roboczą. Próba taka nie przyniesie efektu również po
zmianie nazwy komputera, bez utworzenia konta dla tej nowej
nazwy. Wynika stąd, iż zawsze, gdy zmieniamy domenę lub nazwę
komputera, musimy też utworzyć dla niego nowe konto.
Wskazówka: Konta komputerów łatwo dodaje się lub usuwa
korzystając z linii komend (tak jak w przypadku większości innych
operacji związanych z siecią, należy zacząć od komendy NET).
Zarządzanie systemem Windows NT Server 601
Poniższa wersja komendy NET jest dostępna tylko w komputerach
pracujących pod kontrolą NT Server:
NET COMPUTER \\ ComputerName /ADD /DEL
A oto objaśnienia dotyczące składni:
\\ComputerName: Nazwa konta komputera, które chcemy
utworzyć
/ADD: Przełącznik określający, że chcemy utworzyć konto
komputera i dodać komputer do domeny.
/DEL: Przełącznik określający, że chcemy usunąć konto
komputera, a komputer usunąć z domeny
Synchronizacja bazy danych domeny
Główna baza danych domeny, zawierająca informacje o naszym
komputerze oraz konta użytkowników, rezyduje fizycznie
w głównym kontrolerze domeny (PDC). Zmiany dokonywane w tej
bazie danych przenoszą się okresowo do rezerwowego kontrolera
domeny (BDC), zgodnie z ustawieniem w spisie Registry.
Czasem proces aktualizacji danych kończy się niepowodzeniem (na
przykład z powodu złej jakości połączeń w sieci). Programu Server
Manager można użyć do wymuszenia natychmiastowej aktualizacji
bazy danych - bądz
we wszystkich rezerwowych kontrolerach
domeny (BDC), bądz
też tylko w wybranym, rezerwowym
kontrolerze.
W celu synchronizacji wszystkich rezerwowych kontrolerów
domeny (BDC) należy wykonać następujące czynności:
1. Otworzyć program Server Manager, znajdujący się w grupie
programów Administrativ e Tools (Narzędzia do administrowa-
nia).
2. W głównym oknie programu Server Manager wybrać pozycję
PDC.
3. W menu Computer wybrać pozycję Synchronize Entire Domain
(Sychronizacja całej domeny). W odpowiedzi pojawi się
komunikat informujący, że proces synchronizacji może potrwać
602 Rozdział 15
kilka minut (rysunek 15.4). W celu kontynuowania procesu
należy kliknąć Yes.
Rys. 15.4
Komunikat
informujący
o czasie trwania
synchronizacji.
Komunikat ten pojawia się, ponieważ synchronizacja bazy
danych z kontami może istotnie zaangażować zasoby sieci
i wpłynąć na jej wydajność. Tak więc, w czasie szczytowego
obciążenia sieci komendy tej nie powinniśmy używać. Wyjątek
stanowi absolutna konieczność, zwłaszcza gdy jej zastosowanie
wymusiłoby przesłanie do BDC dużej liczby informacji
o kontach i użytkownikach.
4. Kliknąć OK - by proces kontynuować.
5. Pojawia się komunikat o konieczności sprawdzenia protokołu
zdarzeń głównego (PDC) i rezerwowego (BDC) kontrolera
domeny - aby się upewnić, że proces aktualizacji miał pomyślny
przebieg. W tym celu porównujemy liczbę kont wysłanych przez
PDC - z liczbą kont odebranych przez BDC. Informację o liczbie
kont zawiera systemowy protokół zdarzeń Net Logon.
W przypadku dysponowania wieloma rezerwowymi kontrolerami
domeny może zaistnieć potrzeba synchronizacji tylko jednego
z nich. Dzieje się tak najczęściej wówczas, gdy główne (PDC)
i rezerwowe (BDC) kontrolery domeny znajdują się geograficznie
w różnych miejscach, połączone wzajemnie za pomocą rozległej
(WAN) sieci. W celu synchronizacji danego BDC z PDC należy:
1. W głównym oknie programu Server Manager wybrać pozycję
BDC.
2. W menu Computer wybrać Synchronize w ith Primary Domain
Controller (Sychronizacja z głównym kontrolerem domeny).
W odpowiedzi pojawi się komunikat informujący, że proces
synchronizacji może potrwać kilka minut (rys. 15.4). Będzie on
kontynuowany po kliknięciu przycisku Yes.
3. Pojawia się komunikat o konieczności sprawdzenia protokołu
zdarzeń głównego (PDC) i rezerwowego (BDC) kontrolera
Zarządzanie systemem Windows NT Server 603
domeny - by upewnić się, że proces aktualizacji miał pomyślny
przebieg.
Ponieważ wszystkie konta komputerów i konta użytkowników
muszą być tworzone w bazie danych głównego kontrolera domeny
(PDC), w przypadku awarii PDC i zerwania jego połączenia z siecią
żadna modyfikacja kont nie będzie możliwa. W takiej sytuacji rolę
głównego kontrolera domeny (PDC) można czasowo przydzielić
kontrolerowi rezerwowemu (aby dokonać modyfikacji kont). Po
usunięciu awarii PDC można go ponownie podłączyć do sieci.
Przyłączając kontroler główny z powrotem do sieci lub
przydzielając jego rolę kontrolerowi rezerwowemu musimy być
świadomi, iż:
Przydzielając kontrolerowi rezerwowemu (BDC) rolę kontrolera
głównego (PDC), wszystkie połączenia klientów w obu
domenach zostaną zakończone. Ponieważ może to spowodować
utratę danych przez użytkowników, przed przydzieleniem BDC
roli PDC należy ich poprosić o zamknięcie sesji w sieci.
Domeny nie można zsynchronizować, jeśli jesteśmy przyłączeni
do sieci przez serwer NT RAS, pracujący jako kontroler domeny
(którą zamierzamy zsynchronizować). Wynika to z faktu, iż
podczas synchronizacji domeny połączenia RAS zostaną
zakończone przed zamianą roli. Po utracie połączenia z siecią,
system NT kończy obsługę żądania synchronizacji, wskutek
czego rola kontrolera głównego nie zostanie przydzielona
kontrolerowi rezerwowemu.
Po przydzieleniu kontrolerowi BDC roli PDC oraz po usunięciu
awarii PDC i ponownym podłączeniu go do sieci, będziemy mieli
w domenie dwa główne kontrolery. Uniemożliwia to
dokonywanie jakichkolwiek zmian bazy danych. Sytuacja wróci
do normy po ,,zdegradowaniu'' jednego z dwóch PDC do roli
rezerwowego kontrolera domeny.
Przed ponownym podłączeniem PDC musimy pamiętać, iż jako
z
ródła synchronizacji nie wolno nigdy używać kontrolera z nie-
aktualnymi danymi. Skuteczną metodą zapobieżenia tej sytuacji
jest ,,zdegradowanie'' naprawionego PDC do roli BDC,
a następnie wymuszenie synchronizacji kontrolera BDC
z aktualnym kontro-lerem PDC. Kolejnym krokiem jest
604 Rozdział 15
ponowne przydzielenie kontrolerowi BDC (czyli oryginalnemu
kontrolerowi - temu, który przed awarią pełnił rolę kontrolera
PDC) roli kontrolera PDC. Synchronizowanie bazy danych
w pierwszej kolejności zapewnia, że jej uaktualnienie zostanie
przeprowadzone pomyślnie (ponieważ można to sprawdzić
w protokole zdarzeń) i że wszystkie zmiany poczynione podczas
awarii oryginalnego kontrolera głównego zostaną zapamiętane.
Jeśli nie zsynchronizujemy bazy danych przed
,,zdegradowaniem'' aktualnego PDC, to można nawet
doprowadzić do zapisania starymi (nieaktualnymi, czyli tymi,
które zawiera  uszkodzony PDC) danymi bazy danych
użytkowników, która znajduje się w kontrolerze rezerwowym, i -
w konsekwencji - do utraty wszystkich zmian kont,
poczynionych w czasie awarii oryginalnego kontrolera PDC.
Przydzielenie roli kontrolera głównego kontrolerowi rezerwowemu
przebiega w następujących etapach:
1. Wybranie BDC w głównym oknie programu Server Manager
2. Wybranie - z menu Computer - opcji Promote to Primary
Domain Controller (Przydzielenie roli kontrolera głównego).
W odpowiedzi pojawi się komunikat informujący, że proces
synchronizacji może potrwać kilka minut oraz ostrzeżenie, że
zamknięte zostaną wszystkie połączenia z obecnym PDC
i ,,promowanym'' BDC (rysunek 15.5). Klikamy OK.
3. Po zakończeniu procesu synchronizacji kont, główne okno
wyświetla kontroler BDC jako PDC, a stary PDC - jako BDC
(zgodnie z rysunkiem 15.6, na którym zauważyć możemy
zmianę ikony i opisu starego kontrolera PDC, noszącego nazwę
TESTPDC oraz nowego PDC - o nazwie PDC1).
Rys. 15.5. Zostaną
zamknięte
wszystkie
połączenia
z istniejącym
PDC oraz
komputerem,
któremu
przydziela się
rolę PDC.
Zarządzanie systemem Windows NT Server 605
Rys. 15.6.
Przydzielanie
kontrolerowi
BDC roli PDC
powoduje
,,degradację''
dotychczasowego
PDC
Wskazówka: Bazę danych z kontami całej domeny można
zsynchronizować za pomocą następującej komendy wpisywanej
w linii komend:
NET ACCOUNTS /SYNC /DOMAIN
A oto objaśnienia składni:
/SYNC: synchronizacja całej domeny, jeśli komendę wykonamy
w kontrolerze PDC, lub tylko kontrolera BDC z kontrolerem
PDC - jeśli uruchomimy ją w kontrolerze BDC
/DOMAIN: synchronizacja całej domeny - niezależnie od tego,
gdzie uruchomimy program realizujący komendę. Zwykle
przełącznika tego używa się tylko wówczas, gdy komenda
wykonywana jest na stacji roboczej NT lub na serwerze NT,
funkcjonującym jako serwer typu member.
Zarządzanie zdalnymi zasobami komputerowymi
Server Manager wykorzystywany jest do zarządzania lokalnymi lub
zdalnymi zasobami komputerowymi. Autor książki uważa
możliwość zarządzania zdalnymi zasobami komputerowymi za
bardzo użyteczną w swoich działaniach (związanych
z administrowaniem), gdyż może je wykonywać zza własnego
biurka. Za pomocą programu Server Manager można zatrzymać,
uruchomić, wstrzymać lub wznowić realizację usługi systemowej
606 Rozdział 15
w zdalnym komputerze pracującym pod kontrolą systemu Windows
NT, bądz
też taką usługę skonfigurować. Server Manager umożliwia
również tworzenie nowych zasobów współdzielonych oraz
modyfikację i usuwanie już istniejących zasobów współdzielonych.
Dzięki temu programowi możemy sprawdzić, kto jest połączony
z komputerem zdalnym, a nawet - które zasoby współdzielone są na
nim dostępne.
Zarządzanie usługami
Aplet lokalnego komputera, zatytułowany Control Panel Serv ices
(Usługi Panelu sterowania) oferuje jedną z metod sterowania
usługami na komputerze pracującym pod nadzorem Windows NT.
Dzięki niemu możemy zatrzymać, uruchomić, wstrzymać lub
wznowić realizację usługi oraz określić, czy ma być ona
automatycznie uruchamiana w trakcie ładowania systemu. Mamy
też możliwość przeprowadzenia konfiguracji definiującej, jakich
przywilejów konta użytkownika usługa wymaga do realizacji
swojego zadania.
Do wykonania tych samych czynności można się posłużyć
programem Server Manager, wybierając komputer w jego głównym
oknie, a następnie Serv ices (Usługi) - z menu Computer. Pojawia
się pozycja Serv ices, w oknie dialogowym PRIMUS (rysunek
15.7).
Rys. 15.7. Server
Manager może
być wykorzystany
do sterowania
usługami
w systemie NT
Zarządzanie systemem Windows NT Server 607
Wskazówka: Przed zakończeniem usługi, której może właśnie
używać klient, należy ją najpierw wstrzymać. Uniemożliwia to
połączenie się z nią nowemu klientowi. Następnie można wysłać
komunikat - wybierając pozycję Send Message (Wysłanie
komunikatu) - do podłączonych użytkowników, w celu
poinformowania ich o zamiarze zamknięcia usługi.
A oto funkcje, których możemy użyć, aby wykonać wybrane
zadania:
Start: Uruchomienie usługi, która nie jest (jak dotąd)
realizowana. Wszystkie parametry linii komend, wpisane w polu
Startup Parameters (Parametry startowe), zostają przekazane
usłudze przed jej uruchomieniem.
Stop: Zatrzymanie aktualnie realizowanej usługi.
Pause: Zablokowanie nowych połączeń z usługą (jeśli jest to
usługa mająca związek z siecią, np. usługa Server) przy
utrzymaniu obsługi aktualnie połączonych użytkowników.
Continue: Wznowienie realizacji wstrzymanej usługi
Startup: Zmiana profilu autostartu dla usługi. Opcje dostępne
w oknie dialogowym Serv ices (Usługi) określone są przez pola
Startup Type (Typ startu) i Log On As (Zarejestrowanie jako).
Możliwe są następujące typy autostartu: Automatic (Automa-
tyczny), Manual (ręczny) lub Disabled (Nieaktywny). Pole Log
On As określa, czy usługa ma korzystać z domyślnego konta
systemowego, czy konta użytkownika, utworzonego przez nas
za pomocą programu User Manager for Domains (Menedżer
użytkownika dla domen). Jeśli ma być użyte konto użytkownika,
należy również podać hasło użytkownika.
Zarządzanie zasobami współdzielonymi
Dzięki programowi Server Manager mamy możliwość ingerowania
zarówno w bazie danych Menedżera usług w komputerze zdalnym,
jak również w sieciowych zasobach współdzielonych komputera
zdalnego.
W tym celu wybieramy najpierw komputer - w głównym oknie
programu Server Manager (podświetlamy go) - oraz pozycję
608 Rozdział 15
Shared Directories (Katalogi współdzielone) z menu Computer.
Pojawi się okno dialogowe Shared Directories (Katalogi
współdzielone), zgodnie z rysunkiem 15.8.
Rys. 15.8. Server
Manager
umożliwia
przeglądanie
aktualnych
zasobów
współdzielonych
w systemie NT.
Nowy sieciowy zasób współdzielony można utworzyć klikając
pozycję New Share (Nowy zasób współdzielony). Pojawi się okno
dialogowe New Share, z prośbą o podanie nazwy zasobu, ścieżki,
komentarza i liczby użytkowników, którzy mogą z niego (z zasobu)
korzystać. Po wybraniu Permissions (Zezwolenia) możemy podać
zezwolenia dotyczące poziomu udostępnienia zasobu.
Istniejący zasób współdzielony możemy modyfikować,
podświetlając współdzielony katalog i klikając Properties
(Właściwości). Pojawi się okno dialogowe Shared Directory
(Współdzielony katalog), podobne do okna dialogowego New
Share.
Aby usunąć sieciowy zasób współdzielony podświetlamy współdzie-
lony katalog i klikamy Stop Sharing (Zakończenie
współdzielenia).
Ostrzeżenie: Kliknięcie przycisku Stop Sharing w oknie dialogowym
Shared Directories powoduje natychmiastowe zakończenie współ-
dzielenia katalogu (nie pojawia się żaden komunikat z prośbą
o potwierdzenie). Przed zakończeniem współdzielenia należy więc
sprawdzić, kto w danej chwili używa zasobu współdzielonego.
(Zagadnienie to omówiono w następnym podrozdziale pt.
,,Rozliczenia zasobów'').
Rozliczenia Zasobów
Aby sprawdzić, którzy użytkownicy są połączeni z danym
komputerem, jakie sieciowe zasoby współdzielone są tam dostępne,
Zarządzanie systemem Windows NT Server 609
bądz
też jakie zasoby współdzielone są właśnie używane na
komputerze zdalnym, powinniśmy wybrać konkretny komputer na
liście wyświetlanej w głównym oknie programu Server Manager.
Innym rozwiązaniem będzie wybranie komputera w głównym oknie,
a następnie funkcji Properties (Właściwości) z menu Computer.
Pojawi się okno dialogowe Properties (rysunek 15.9) - to samo,
które pojawia się w aplecie Control Panel Server.
Rys. 15.9. Server
Manager
umożliwia
wreyfikację liczby
użytkowników
zarejestrowanych
aktualnie
w systemie oraz
używanych
właśnie zasobów.
Z okna dialogowego Properties (Właściwości) możemy uzyskać
dostęp do następujących funkcji:
Usage Summary (Obciążenie systemu): Wyświetlenie liczby
sesji, blokad plików, otwartych plików i nazwanych potoków
(named pipes), używanych w danym komputerze. Liczba sesji
naprawdę odpowiada liczbie użytkowników połączonych
z komputerem, gdyż każdy, połączony aktualnie z siecią
komputer, używa jednej sesji.
Users (Użytkownicy): Wyświetlenie okna dialogowego User
Sessions (Sesje użytkowników) (rysunek 15.10) - w celu
określenia, którzy użytkownicy są połączeni z komputerem
zdalnym i jakich używają aktualnie zasobów. Górne okno
zawiera listę połączonych użytkowników, nazwę komputera,
z którego się łączą, liczbę otwartych plików, całkowity czas
połączenia, całkowity czas nieaktywności (idle time) oraz
informacji o tym, czy nawiązali oni połączenie korzystając
z przywilejów gości (guest privileges). Dolne okno zawiera listę
zasobów, do których ma dostęp wybrany użytkownik, liczbę
plików w zasobie przez niego otwartym oraz całkowity czas
połączenia. Możemy go także rozłączyć podświet-lając jego
nazwę i klikając przycisk Disconnect (Rozłączenie). Dzięki
610 Rozdział 15
opcji Disconnect All (Rozłączenie wszystkich) możemy
rozłączyć wszystkich użytkowników od wszystkich zasobów.
Shares (Zasoby współdzielone): Działanie podobne do
uzyskiwanego po kliknięciu przycisku Users. Po wybraniu
Shares pojawi się okno dialogowe Shared Resources (Zasoby
współ-dzielone), zgodnie z rysunkiem 15.11. Nacisk kładzie się
tutaj na zasoby współdzielone. Górne okno zawiera listę zasobów
współdzielonych według nazwy, liczby połączeń oraz fizycznej
ścieżki współdzielonego katalogu. Dolne - listę połączonych
użytkowników, całkowity czas połączenia oraz informację
o tym, czy połączenie jest aktualnie aktywne. Aby rozłączyć
wszystkich użytkowników od danego zasobu współdzielonego
musimy zasób ten zaznaczyć (podświetlić) i kliknąć Disconnect
(Rozłączenie). Aby ich rozłączyć od wszystkich zasobów
klikamy Disconnect All.
Rys. 15.10. Server
Manager
umożliwia
sprawdzenie,
z jakimi zasobami
użytkownik jest
połączony.
Rys. 15.11 Server
Manager
umożliwia
sprawdzenie,
którzy
użytkownicy są
połączeni
z konkretnym
zasobem
Zarządzanie systemem Windows NT Server 611
In Use (Aktualnie używane): Kliknięcie pozycji In Use
powoduje wyświetlenie okna dialogowego Open Resources
(Otwarte zasoby), zgodnie z rysunkiem 15.12. Zawiera ono listę
aktualnie otwartych zasobów - takich jak pliki, połączenia
potoków nazwanych, zadania drukowania i połączenia (links)
z urządzeniami komunikacyjnymi LAN Manager. Zostaje
również wyświetlona informacja o użytkowniku, który otworzył
zasób, zezwolenie udzielone podczas otwierania zasobu, wszelkie
blokady i pełna ścieżka otwartego zasobu. Aby odłączyć
wszystkich użytkowników od danego zasobu wystarczy go
podświetlić i kliknąć Close Resource (Zamknięcie zasobu).
Z kolei, aby ich odłączyć od wszystkich zasobów - wybieramy
Close All Resources (Zamknięcie wszystkich zasobów).
Rys. 15.12 Server
Manager
umożliwia
wyświetlenie
wszystkich,
aktualnie
otwartych
zasobów.
Ostrzeżenie: Jeśli rozłączymy użytkownika, żaden z otwartych przez
niego plików nie zostanie poprawnie zamknięty, co może
spowodować utratę jego danych. Pamiętajmy też, że takie
rozłączenie nie oznacza, iż nie będzie się mógł połączyć ponownie.
Jeśli użytkownik lub jego aplikacja spróbuje ponownie połączyć się
z siecią, to połączenie zostanie przyznane (chyba że wstrzymamy
usługę Server, zgodnie z opisem, w podrozdziale ,,Zarządzanie
usługami'').
Uwaga: Replikacje (replications) i alarmy omówiono
w podrozdziałach  Konfigurowanie usługi Directory Replicator
oraz  Konfigurowanie alarmów .
612 Rozdział 15
Konfigurowanie usługi Directory Replicator
Za pomocą usługi Directory Replicator kopiujemy katalogi i pliki
z serwera Windows NT do innego serwera lub stacji roboczej. Usługa
zawiera składnik eksportowy, określający katalog główny (root
directory) do wyeksportowania oraz składnik importowy,
wykorzystywany do wyznaczania katalogów i plików do
skopiowania z serwera eksportowego. Serwer eksportowy jest
ograniczony do pojedynczego drzewa katalogów, składającego się
z katalogu głównego (root) oraz do maksymalnie 32
zagnieżdżonych podkatalogów.
Aby skonfigurować usługę replikacji, należy wykonać następujące
operacje:
Utworzyć konto rejestracji (logon account) dla usługi.
Konto takie można utworzyć za pomocą programu User
Manager for Domains (Menedżer użytkownika dla domen).
Powinno ono spełniać następujące warunki:
f& Musi być członkiem grupy Backup Operators
f& Musi mieć włączoną opcję Password Nev er Expires
(Ważność hasła nigdy nie wygasa).
f& Nie może mieć żadnych ograniczeń dotyczących czasu
trwania rejestracji.
f& (Dokładne informacje o tych parametrach i o dodawaniu
kont użytkowników do grup zawiera rozdział 16).
Skonfigurować parametry startowe (start-up values) dla
usługi replikacji. Parametry startowe usługi Directory
Replicator należy zmienić tak, aby uruchomienie następowało
automatycznie i z wykorzystaniem opcji This Account (To
konto) pola Log On As (Zarejestrowanie jako). Podane konto
musi być tym, które zostało przez nas utworzone w poprzednim
kroku.
Ustawić ścieżkę skryptu logowania (logon script). Usługa
replikacji jest naprawdę przeznaczona do kopiowania naszych
zapisów rejestracji - z jednego kontrolera do innych kontrolerów
domeny. Najczęściej jest to katalog, który wskazuje ścieżka
%SystemRoot%\System32\REPL\Import\Scripts,
Zarządzanie systemem Windows NT Server 613
i w którym znajdują się skrypty logowania. %SystemRoot%
określa tutaj katalog główny (root), w którym zainstalowano
system NT (przeważnie jest nim C:\WINNT). W celu zmiany
katalogu, do którego importowane są skrypty, wystarczy wpisać
- w polu Logon Script Path (Scieżka dla skryptów logowania)
okna dialogowego Directory Replication - ścieżkę nowego
katalogu (rysunek 15.13). Kontroler domeny używa tego
katalogu do lokalizacji skryptów logowania w trakcie weryfikacji
użytkownika. W polu Logon Script Path należy koniecznie
wpisać sensowną wartość, gdyż w przeciwnym razie skrypty
logowania nie będą znajdowane przy rejestrowaniu się klientów
w sieci.
Rys. 15.13. Okna
Directory
Replication
można również
użyć do
określenia
położenia
skryptów
logowania.
Uwaga: Po startowym skonfigurowaniu usługi replikacji tworzy ona
specjalny zasób współdzielony o nazwie REPLS$, w oparciu
o katalog dla skryptów logowania. Przeważnie jest to:
%SystemRoot%\ system32\REPL\Export.
Tak skonfigurować serwer, aby drzewo katalogów zostało
z niego wyeksportowane. Proces ten jest dość złożony
i został omówiony w kolejnym podrozdziale ,,Konfigurowanie
serwera eksportowego''.
Tak skonfigurować klienta, żeby drzewo katalogów
zostało do niego zaimportowane. Procedura ta jest podobna
do konfiguro-wania serwera eksportowego (została dokładnie
omówiona w jednym z dalszych podrozdziałów, zatytułowanym
,,Konfigurowanie serwera importowego'').
614 Rozdział 15
Konfigurowanie serwera eksportowego
Do skonfigurowania usługi Directory Replicator (w celu
wyeksportowania za jej pomocą drzewa katalogów) należy użyć
programu Server Manager. Najpierw powinniśmy podwójnie kliknąć
nazwę serwera - aby wyświetlić okno dialogowe Właściwości,
a następnie przycisk Replication (Replikacja) - aby wyświetlić
okno dialogowe Directory Replication (Replikacja katalogów).
Teraz wystarczy wykonać podane niżej operacje.
Uwaga: Serwery NT można konfigurować zarówno jako serwery
importowe, jak i eksportowe. Stacje robocze NT można
konfigurować tylko jako serwery importowe. Ponadto stacja
robocza NT nie może zmienić domyślnej ścieżki replikacji na inną
niż: %System
Root%System32\Repl\Import\Scripts.
1. Uaktywnić usługę replikacji, wybierając Export Directories
(Eksport katalogów)
2. W oknie To List dodać komputery, które mają zostać poddane
replikacji, klikając przycisk Add (Dodaj), znajdujący się
w dolnym lewym rogu ekranu. Pojawi się okno dialogowe Select
Domain (Wybór domeny).
3. Wybrać konkretne domeny i komputery, do których eksport
ma zostać skierowany, a następnie kliknąć OK. Następuje
powrót do okna dialogowego Directory Replication. Jeśli
chcemy dodać więcej komputerów, należy powtórzyć czynności
opisane w punktach 2 i 3.
Uwaga: Lokalna domena jest domyślnie zawsze dołączana jako
partner eksportowy, chyba że w oknie dialogowym To List doda się
jeszcze jedną pozycję. Jeśli doda się taką pozycję, to lokalna
domena nie będzie już automatycznie dołączana jako partner
eksportowy. Jeśli eksport ma odbywać się do domeny lokalnej,
należy dodać jej nazwę w oknie To List.
4.Podać ścieżkę eksportową, jeśli domyślna jest niewłaściwa (z
reguły tej pozycji nie trzeba zmieniać) - w polu From Path.
Zarządzanie systemem Windows NT Server 615
Przeważnie jest to katalog:
%SystemRoot%System32\Repl\Export.
5. Dodać podkatalogi z głównego katalogu eksportowego. Należy
kliknąć przycisk From Path Manage, wyświetlający okno
dialogowe Manage Exported Directories (Zarządzanie
katalogami eksportowanymi) (rysunek 15.14).
Rys. 15.14. Okno
Manage Exported
Directories
pozwala na
podanie
podkatalogów do
wyeksportowania
oraz na
monitorowanie
blokad replikacji
(replication
locks).
6. Wskazać podkatalogi do wyeksportowania, klikając Add
(Dodaj). Pojawia się okno dialogowe Add Subdirectory
(Dodanie podkatalogu), w którym podajemy podkatalogi
głównego katalogu eksportowego, które zostaną
wyeksportowane. Dla każdego wybranego podkatalogu należy
podać informację określającą, czy chcemy czekać na
ustabilizowanie plików w tym podkatalogu (tzn. że w ciągu
ostatnich dwóch minut żaden z tych plików nie uległ zmianie) -
uaktywniając/dezaktywując znacznik (checkbox) Wait Until
Stabilized (Oczekiwanie na stabilizację). Musimy też
zdecydować, czy chcemy, żeby którekolwiek podkatalogi
zostały skopiowane - uaktywniając/dezaktywując znacznik
Entire Subtree (Pełne poddrzewo). Pamiętajmy, że czynności
opisane w tym punkcie należy powtórzyć dla każdego
podkatalogu do wyeksportowania.
Poniżej przedstawiliśmy nazwy i zawartości kolumn, w których
występuje informacja statusowa dotycząca każdej pozycji
podkatalogu:
Locks (Blokady): Liczba aktywnych blokad w podkatalogu.
Stabilize (Stabilizacja): Pozycja określająca, czy pliki mają być
nieaktywne przez co najmniej dwie minuty przed
przeprowadzeniem replikacji (dzięki czemu można uniknąć
616 Rozdział 15
częściowej replikacji, możliwej w przypadku bardzo aktywnie
modyfikowanych plików).
Subtree (Poddrzewo): Pozwala zdecydować, czy wszystkie pod-
katalogi zostaną poddane replikacji.
Locked Since (Blokada od): Definiuje, czy drzewo jest zabloko-
wane od konkretnej daty/godziny.
Wskazówka: Jeśli planujemy dużo zmian w podkatalogu
zaznaczonym do eksportu, powinniśmy skorzystać z funkcji Add
Lock (Dodanie blokady) - w celu zablokowania tego katalogu.
Uniemożliwimy w ten sposób replikację katalogu przed
zakończeniem zmian i usunięciem wszystkich blokad.
Konfigurowanie serwera importowego
Proces konfigurowania serwera importowego ma przebieg podobny
do eksportowania drzewa katalogów. Mając już otwarte okno
dialogowe Directory Replication (Replikacja katalogów) należy
wykonać następujące czynności:
1. Uaktywnić usługę replikacji, wybierając Import Directories (Im-
port katalogów).
2. W oknie From List dodać komputery, które mają zostać
poddane replikacji, klikając przycisk Add (Dodaj), znajdujący się
w dolnym lewym rogu ekranu. Pojawi się okno dialogowe Select
Domain (Wybór domeny).
Uwaga: Lokalna domena jest domyślnie zawsze dołączana jako
partner importowy, chyba że w oknie dialogowym From List
dodamy jeszcze jedną pozycję. Wówczas lokalna domena nie będzie
już automatycznie dołączana jako partner importowy. Jeśli eksport
ma odbywać się do domeny lokalnej, należy dodać jej nazwę
w polu From List.
3. Wybrać konkretne domeny i komputery, do których import ma
zostać skierowany, a następnie kliknąć OK. Następuje powrót do
okna dialogowego Directory Replication. Jeśli chcemy dodać
Zarządzanie systemem Windows NT Server 617
więcej komputerów, powinniśmy powtórzyć czynności
z punktów 2 i 3.
4. Dodać podkatalogi z głównego katalogu importowego. Należy
kliknąć przycisk To Path Manage, wyświetlający okno
dialogowe Manage Imported Directories (Zarządzanie
katalogami importo-wymi) (rysunek 15.14).
Rys.15.15. Okno
Manage Imported
Directories
pozwala na
podanie
podkatalogów do
zaimportowania
oraz na
monitorowanie
blokad replikacji
(replication
locks).
Okno dialogowe Manage Imported Directories różni się tylko
tym, że informacja statusowa dla każdej pozycji zawiera liczbę
blokowanych plików w katalogu, status (OK - katalog jest właśnie
uaktualniany; No Master - katalog nie jest uaktualniany; No Sync -
katalog został już uaktualniony, ale dane są przedawnione; puste
miejsce - replikacja nie wystąpiła), datę/czas ostatniej aktualizacji
i datę/czas założenia najstarszej blokady w katalogu.
Wskazówka: Aby uniemożliwić uaktualnienie katalogu
importowego, należy go wybrać i kliknąć Add Lock (Dodanie
blokady). Katalog importowy z blokadą nie zostanie uaktualniony.
Ostrzeżenie: Jeśli katalogi importujemy z domeny lub serwera
znajdującego się po drugiej stronie połączenia w sieci rozległej
(WAN), to import może się nie powieść w domenie lokalnej. Aby tej
ewentualności uniknąć, należy - w polu From, okna dialogowego
Manage Imported Directories - wprowadzić  ręcznie domenę lub
nazwę komputera.
618 Rozdział 15
Konfigurowanie alarmów
Alarmy stosowane są do zawiadamiania administratora
o wystąpieniu poważnego problemu w komputerze pracującym
w systemie NT . Alarm możemy wysłać do danego użytkownika
domeny lub konkret-nego komputera monitorowanego przez kilku
administratorów lub serwis.
A jeśli chcemy mieć pewność, iż alarm został wysłany, konfigurację
systemu należy tak zmodyfikować, by zaraz po jego starcie
uruchamiane były usługi Alert i Messenger. Zapewni to
funkcjonowanie tych usług i ich dostępność przy wysyłaniu
alarmów administracyjnych. Jeśli usługi te będą ustawione jako
Manual (Ręczne) (co jest ustawieniem domyślnym), wtedy będą
zawsze podejmowały próby wysyłania alarmów, które - ze względu
na nieprzewidziane okoliczności - mogą się nie powieść. W efekcie
alarm może nie zostać wysłany. Komputer pracujący jako serwer
NT ma domyślne ustawienie startowe Automatic, którego nie
trzeba zmieniać. Jeśli alarmy administracyjne mają być odbierane,
musi zostać wcześniej uruchomiona usługa Messenger.
Usługę Alert (Alarm) konfigurujemy za pomocą programu Server
Manager. W tym celu wystarczy podwójnie kliknąć nazwę serwera,
co spowoduje wyświetlenie okna dialogowego Properties
(Właściwości), a następnie:
1. Kliknąć przycisk Alerts (Alarmy) w oknie dialogowym Serv er.
Pojawi się okno dialogowe Alerts (rysunek 15.16).
Rys. 15.16. Sekcja
Alerts programu
Server Manager
służy do
informowania
administratorów,
kto ma być
zawiadamiany
o ewentualnych
problemach.
2. Aby dodać nowy komputer lub użytkownika do powiadamiania
wpisujemy nazwę komputera lub użytkownika w polu New
Computer (Nowy komputer) lub Username (Nazwa
użytkownika) i klikamy przycisk Add (Dodaj). Komputer lub
nazwa użytkownika zostanie wtedy przesunięta do okna Send
Zarządzanie systemem Windows NT Server 619
Administrativ e Alerts To (Miejsce docelowe dla alarmów
administracyjnych).
3. By usunąć komputer lub użytkownika wybieramy nazwę
użytkow-nika lub komputera w oknie Send Administrativ e
Alerts To i klikamy przycisk Remov e. Czynność ta spowoduje
przesunięcie nazwy użytkownika lub komputera do pola New
Computer lub Username (Nazwa użytkownika).
Uwaga: W nazwie komputera nie trzeba umieszczać dwóch
ukośników odwrotnych (\\), tak jak czyni się to w prawie wszystkich
innych przypadkach, w których ona występuje. W przeciwnym razie
(tj. jeśli je umieścimy) zostaną one usunięte.
4. Jeśli chcemy dodać więcej komputerów lub użytkowników,
powinniśmy powtórzyć czynności opisane w punktach 2 lub 3.
5. Po zakończeniu wpisywania lub usuwania nazw użytkowników
i komputerów klikamy OK - aby powrócić do głównego okna
programu Server Manager.
Praca z Przeglądarką zdarzeń
Przeglądarka zdarzeń (Event Viewer) wykorzystywana jest do
wyświetlania zdarzeń zachodzących w systemie. Zdarzenia takie
podzielono na trzy kategorie; do każdej z nich odnosi się oddzielny
protokół. Protokół systemowy zawiera zdarzenia związane
z działaniem systemu operacyjnego, protokół aplikacji zawiera
zdarzenia związane z aplikacją a protokół ochrony - związane
z kontrolą. Zdarzenia te są z kolei podzielone na typy, z którymi
są powiązane konkretne ikony.
Uwaga: Przeglądarki zdarzeń należy używać codziennie dla
serwerów plików i przynajmniej co tydzień - dla stacji roboczych.
Jedynie tak regularne przeglądanie protokołów pomoże wykryć
błędy systemowe, których następstwem może być awaria systemu,
a także ewentualne próby naruszenia ochrony sieci.
620 Rozdział 15
Przeglądanie zdarzeń
Pierwszą czynnością, jaką musimy wykonać, jeśli chcemy
przeglądać zdarzenia w systemie, jest wybranie protokołu do
przeglądania. Dostęp do tej informacji zapewnia menu Log
(Protokół). Można z niego wybrać protokół aplikacji, ochrony lub
systemowy. Opis każdego zdarzenia w protokole składa się z kilku
elementów. Tabela 15.1 zawiera ich podsumowanie. Szczegóły
zdarzenia zostaną wyświetlone po dwukrotnym kliknięciu danego
elementu - pojawia się wówczas okno dialogowe Ev ent Detail
(Szczegóły zdarzenia), zgodnie z rysunkiem. 15.17. Trzeba w tym
miejscu zauważyć, że opis zawiera komunikat tekstowy w oknie
Description (Opis), definiującym warunek błędu, a jeśli ze
zdarzeniem są powiązane jakieś dane, pojawią się one w oknie Data.
Dane te mogą być bardzo pomocne przy lokalizowaniu
i rozwiązywaniu błędów.
Rys.. 15.17. Opis
każdego
zdarzenia składa
się z kilku
elementów
Zarządzanie systemem Windows NT Server 621
Tabela 15.1. Elementy opisu zdarzenia
Element Opis
Ikona Skrótowy odnośnik do typu zdarzenia
Data Data wystąpienia zdarzenia
Godzina Godzina wystąpienia zdarzenia
y
ródło Nazwa aplikacji, usługi systemowej lub
sterownika urządzenia, przez który zdarzenia
zostało zgłoszone
Kategoria Ogólna klasyfikacja typu zdarzenia. Kategorie
występują przeważnie jedynie w protokole
ochrony
ID zdarzenia Numer zdarzenia charakterystyczny dla z
ródła
zdarzenia i powiązany z komunikatem o błędzie
Użytkownik Zdarzenie może być związane z konkretnym
użytkownikiem, który je spowodował.
Przeważnie element ten występuje jedynie
w protokole ochrony.
Komputer Zdarzenie może być związane z konkretnym
komputerem, który je spowodował. Przeważnie
element ten jest zgodny z nazwą komputera
głównego (hosta), czyli tego, w którym znajduje
się protokół.
Filtrowanie Zdarzeń
Z czasem zaczniemy odczuwać trudności wynikające z nadmiaru
zdarzeń występujących w systemie. Ich liczba jest często tak duża,
że odnalezienie zdarzeń oznaczających jakiś istotny problem może
być bardzo czasochłonne. A jeśli ich wyszukiwanie angażuje zbyt
wiele czasu, to najczęściej kończy się je bez znalezienia przyczyny
problemu, który może w końcu spowodować awarię systemu.
Najłatwiejszym sposobem minimalizacji tego zjawiska jest
skorzystanie z opcji filtrowania Przeglądarki zdarzeń.
Należy więc:
622 Rozdział 15
1. Wybrać Filter Ev ents (Filtrowanie zdarzeń) z menu View
(Przeglądanie) - w celu wyświetlenia okna dialogowego Filter
(Filtracja), pokazanego na rysunku 15.18.
2. W sekcji View From (Przeglądanie od) wybrać przycisk Ev ents
On (Zdarzenia (od) dnia), a następnie podać datę i godzinę.
3. W sekcji View Through (Przeglądanie do) wybrać Ev ents On
(Zdarzenia (do) dnia), a następnie podać datę i godzinę.
4. W sekcji Types (Typy) wybrać typ zdarzenia, którego ma
dotyczyć raport. Jeśli interesuje nas szybki przegląd, najlepsze
będą tylko warunki ostrzeżeń i błędów (rysunek 15.18). Filtracja
zdarzeń przyspiesza wyszukiwanie istotnych informacji.
Rys. 15.18 Okno
dialogowe Filtr
1. Na liście rozwijanej Source (y
ródło) wybrać z
ródło zdarzeń.
Przy ustalaniu częstotliwości występowania błędu pozwala to
ograniczyć wielkość raportu - do konkretnej aplikacji, usługi
systemowej lub sterownika urządzenia.
2. Na liście rozwijanej Category (Kategoria) wybrać kategorie
zdarzeń. Z reguły do wyboru będą tylko kategorie związane
z systemem lub (ewentualnie) nie będzie żadnych podkategorii.
Jeśli są jakieś kategorie, to można jeszcze bardziej ograniczyć
wielkość raportu - przez wybranie jej z listy - tylko do jednej
kategorii.
3. W polu User (Użytkownik) wpisać konto użytkownika, za
pomocą którego chcemy jeszcze bardziej ograniczyć wielkość
raportu. W ten sposób możemy sobie ułatwić weryfikację
Zarządzanie systemem Windows NT Server 623
zdarzeń w protokole ochrony (jeśli zauważyliśmy potencjalne jej
naruszenie). Ograniczając raport do jednego, wybranego
użytkownika można ustalić, jak często próbował on naruszyć
ochronę systemu.
4. Wpisać nazwę komputera w polu Computer, w celu dalszego
ograniczenia liczby zdarzeń w raporcie - do tych, które
wystąpiły tylko w danym komputerze.
5. Jeśli szukamy konkretnego zdarzenia, powinniśmy wpisać jego
numer w polu Ev ent ID (Identyfikator zdarzenia). Ułatwia to
sprawdzenie, ile razy zdarzenie to wystąpiło w przeszłości.
Uwaga: Zabieg ten będzie najwygodniejszy wtedy, gdy znać
będziemy już ID zdarzenia, którego szukamy - np. gdy chcemy
odnalez
ć poprzednie wystąpienia zdarzenia, które właśnie
znalez
liśmy używając przeglądarki zdarzeń.
10.Po wprowadzeniu całej charakterystyki filtrowania, kliknąć OK
- w celu uaktywnienia filtracji. W pasku tytułu przeglądarki
zdarzeń pojawi się teraz słowo Filtered.
Uwaga: Filtr o określonej właśnie charakterystyce pozostaje
aktywny do chwili jego zmiany. Jeśli uaktywniono opcję Save
Settings on Exit (Zachowanie ustawień przed wyjściem), to przy
następnym wywołaniu przeglądarki zdarzeń, będzie on dalej
aktywny.
Utworzony wg przedstawionej metody filtr możemy usunąć,
wybierając opcję menu View\All Ev ents (Przeglądanie\Wszystkie
zdarzenia), przywracając tym samym wyświetlanie wszystkich
zdarzeń w protokole.
Archiwizowanie zdarzeń
Zamiast pozbywać się odszukanych zdarzeń z protokołów należy je
poddać archiwizacji. Dzięki temu będzie można je póz
niej ponownie
załadować do Przeglądarki i porównać z aktualnymi protokołami -
w celu identyfikacji potencjalnych problemów. Protokołów tych
można użyć np. w Excelu lub w bazie danych, akceptującej pliki
624 Rozdział 15
ASCII lub tekstowe CSV. Zaimportowane pliki można następnie
przeanalizować pod względem trendów, które mogłyby wskazywać
na potencjalny problem w sieci lub możliwość awarii sprzętu.
Wskazówka: Maksymalną wielkość protokołu można ustawić
wybierając opcje menu Log\Log Settings (Protokół\Ustawnienia
protokołu) - w celu wyświetlenia okna dialogowego Log Settings
(Ustawnienia protokołu). W tym samym oknie możemy również
ustawić automatyczne zawijanie i kasowanie zdarzeń - przez
zapisanie nowymi według potrzeb, kasowanie zdarzeń - przez
zapisanie nowymi po określonej liczbie dni lub  ręczne
wyczyszczenie protokołu - w celu zwolnienia pamięci dla nowych
zdarzeń.
W celu archiwizacji protokołu należy wykonać poniższe czynności:
1. Wybrać Log Type (Typ protokołu) z menu Log, gdzie typem
może być Application (protokół aplikacji), Security (protokół
ochrony) lub System (protokół systemowy).
2. Wybrać Sav e As (Zachowaj jako) z menu Log - w celu
wyświetlenia okna dialogowego Sav e As. W polu Sav e File As
Type (Zachowaj plik jako typ) wybrać opcję Ev ent Log Files
(Pliki protokołów zdarzeń) (*.evt), aby zachować plik
protokołu jako plik binarny - w celu jego póz
niejszego
załadowania do przeglądarki zdarzeń. Alternatywnie można
wybrać opcję Text Files (Pliki tekstowe) (*.txt), odpowiadającą
standardowemu plikowi ASCII lub Comma Delim Text (*.txt),
odpowiadającą plikowi w standardzie CSV (tzn. plikowi bazy
danych, w którym poszczególne rekordy są zawarte w kolejnych
wierszach, a pola w rekordzie są od siebie oddzielone
przecinkami).
3. Wpisać nazwę pliku w polu File Name (Nazwa pliku) i kliknąć
przycisk OK. (Jeśli aktualny napęd lub katalog różni się od
żądanego, to przed kliknięciem OK należy go zmienić).
Program Repair Disk Utility
Program Repair Disk Utility (Naprawa dysku) (RDISK.EXE)
znajduje zastosowanie przy tworzeniu i uaktualnianiu awaryjnego
Zarządzanie systemem Windows NT Server 625
dysku naprawczego - ERD (Emergency Repair Disk). Dla tego
programu nie jest tworzona ikona podczas instalacji Windows NT.
Niemniej (z uwagi na jego użyteczność) autor książki tworzy dla
niego ikonę natychmiast po zainstalowaniu systemu NT
(Workstation lub Server), i radzi Czytelnikowi zrobić to samo. Na
dysku ERD znajduje się zawartość podkatalogu
%SystemRoot%\Repair\ oraz kopie plików systemowych
NTLDR, NTDETECT.COM oraz BOOT.INI. Jeżeli w trakcie
instalacji nie udało się utworzyć dysku naprawczego, wtedy RDISK
powinien być wykorzystany do utworzenia dysku ERD. Niezależnie
od tego, należy z tego programu korzystać przy uaktualnianiu
dysku ERD. Zapewnia on bowiem najefektywniejszą z możliwych
metod odtworzenia systemu po awarii.
Uwaga: Systemu operacyjnego nie można załadować z dysku ERD;
dysk ten jest przeznaczony do użytku łącznie z trzema dyskami
instalacyjnymi, otrzymanymi wraz z całym systemem NT.
Dysk ERD można również wykorzystać do odtworzenia spisu
Registry (bo to właśnie jest zawarte w danych naprawczych) - jeśli
popełniliśmy błąd edytując spis Registry (Registry Editor) lub
zainstalowaliśmy oprogramowanie, które uniemożliwiło poprawne
funkcjonowanie systemu. Dysponując aktualną kopią dysku
naprawczego, możemy przywrócić konfigurację systemu sprzed
awarii, uruchamiając jedynie proces naprawczy. W ciągu niewielu
minut system stanie się znów w pełni funkcjonalny.
Wskazówka: Aby utworzyć trzy instalacyjne dyski systemowe
uruchamiamy program WINNT32.EXE /OX, zapisany na dysku CD
w katalogu \I386. /OX określa, że mają zostać utworzone trzy dyski
instalacyjne na bazie dysków elastycznych lub CD. Przy tworzeniu
trzech dysków instalacyjnych możemy użyć przełącznika /O (zamiast
/OX), wykorzystując w ten sposób tymczasową kopię katalogu
instalacyjnego (SWIN_NTS.-LS), który został skopiowany na dysk
twardy podczas instalacji WINNT.EXE (opartej na systemie MS-
DOS). Ścieżka /S:SourcePath powinna być utworzona zgodnie ze
standardem UNC (np. \\SRV\CD-ROM\I386) lub być nazwą
urządzenia lokalnego (np. E:\I386) dla nośnika instalacyjnego.
626 Rozdział 15
Ostrzeżenie: Przed dokonaniem jakichkolwiek zmian w systemie
powinniśmy - w celu wykonania kopii bezpieczeństwa spisu Registry
- skorzystać z programu Repair Disk Utility. Należy przynajmniej
uaktualnić lokalne informacje naprawcze, aczkolwiek autor
sugeruje dodatkowo utworzenie nowego dysku naprawczego.
W zasadzie powinno się mieć przynajmniej trzy dyski naprawcze, tak
by zawsze mieć jeden gotowy do odtworzenia konfiguracji.
Dysponując wieloma zbiorami bezpieczeństwa, jeśli ma się wiele
dysków naprawczych, można przywrócić pożądany stan systemu.
Przynajmniej jeden z trzech dysków naprawczych powinien
zawierać ważny spis Registry (na wypadek konieczności jego
odtworzenia).
Instalowanie programu Repair Disk Utility
W celu zainstalowania programu Repair Disk Utility, należy
wykonać następujące czynności:
1. Kliknąć prawym klawiszem myszy Start i wybrać opcję Open
All Users. Pojawi się okno Explorer.
2. Dwukrotnie kliknąć w nim ikonę Programs (pokazaną na rys.
15.19). Pojawi się następne okno Explorer-a.
Rys. 15.19. Profil
All Users zawiera
ikonę Programs,
która z kolei
obejmuje często
wykorzystywane
pozycje menu
Start dla
wszystkich
użytkowników
w systemie.
3. Dwukrotnie kliknąć ikonę Admiminstrativ e Tools (Narzędzia
do administrowania). Pojawi się okno Explorer, ze skrótami do
wielu z istniejących w systemie NT narzędzi do administrowania
(rys. 15.20).
Zarządzanie systemem Windows NT Server 627
Rys. 15.20. Folder
Administrative
Tools zawiera
skróty do wielu
narzędzi do
administrowania
systemem NT.
4. Z menu File wybrać New, a następnie Shortcut. Pojawi się okno
Create Shortcut (Utworzenie skrótu).
5. Wpisać RDISK w oknie Command Line (Linia komend),
a następ-nie kliknąć Next oraz Finish.
6. Zamknąć wszystkie okna Explorera.
RDISK pojawi się teraz na ekranie ze wszystkimi innymi
narzędziami do administrowania w menu Start (zgodnie z rysunkiem
15.21).
Rys. 15.21 Skrót
do programu
RDISK występuje
teraz z resztą
skrótów w menu
Start.
628 Rozdział 15
Praca z programem Repair Disk Utility
Po utworzeniu obiektu Repair Disk Utility warto go uruchomić
i wykonać kopię bezpieczeństwa konfiguracji systemu. Po
uruchomie-niu aplikacji pojawi się okno dialogowe Repair Disk
Utility (zgodnie z rysunkiem 15.22).
Rys. 15.22.
Narzędzia RDISK
używamy do
tworzenia
i uaktualniania
dysku ERD.
Okno dialogowe Repair Disk Utility zawiera przyciski czterech
funkcji:
Updated Repair Info: (Uaktualnienie danych naprawczych):
uaktualnienie informacji o spisie Registry, zawartych w katalogu
%SystemRoot%\Repair. Po jego wybraniu pojawia się
pytanie, czy utworzyć nowy dysk naprawczy.
Create Repair Disk: (Utworzenie dysku naprawczego):
sformatowanie dyskietki o wysokiej gęstości i skopiowanie na
nią tych samych danych naprawczych, które omawialiśmy
w kontekście Update Repair Info. Ten dysk naprawaczy
wykorzystywany jest przez proces naprawczy do odtworzenia (w
razie potrzeby) spisu Registry.
Exit: Koniec pracy z aplikacją
Help: Krótki opis działań związanych z funkcjami Repair Disk
Utility.
Informacje zawarte w katalogu %SystemRoot%\Repair składają się
z kopii plików nieskompresowanych (uncompressed)
AUTOEXEC.NT i CONFIG.NT oraz spakowanych (compressed),
podanych w tabeli 15.2.
Zarządzanie systemem Windows NT Server 629
Wskazówka: Jeśli dysponujemy programem COMPRESS.EXE
(dostarczanym wraz z kilkoma zestawami SDK firmy Microsoft oraz
platformami do tworzenia oprogramowania), to możemy nasze
pliki spakować w formacie zgodnym z programem
rozpakowującym Microsoftu - EXPAND.EXE, z Windows NT.
Identyczny format jest pożądany, gdyż EXPAND.EXE znajduje się
w każdym systemie NT.
Tabela 15.2. Podstawowe elementy spisu Registry.
Nazwa Pozycja Rejestru O pis
pliku
default._ HKEY_USERS\DEFAULT
Predefiniowany profil sys-
temu
sam._ HKEY_LOCAL_MACHINE\SAM
Security Account Manager
danego komputera
security._ HKEY_LOCAL_MACHINE\Security
Baza danych ochrony
software._ HKEY_LOCAL_MACHINE\Software
Zapis konfiguracji
oprogramowania
system._ HKEY_LOCAL_MACHINE\System
Ustawienia systemu dla da-
nego komputera
Po uaktywnieniu opcji Show Hidden/System Files w NT Explorer
zostanie wyświetlony dodatkowy plik, nie wymieniony w katalogu
%SystemRoot%\Repair. Jest to plik setup.log, którego
nigdy nie wolno usunąć. Jest on wykorzystywany przez Setup przy
dokonywaniu uzupełnień (upgrade). Jeśli w trakcie tej operacji Setup
nie może znalez
ć dostatecznie dużo wolnego miejsca na dysku,
 prosi o usunięcie niektórych plików z systemu w bieżącej wersji.
Pliki o nazwach umieszczonych w setup.log zostaną usunięte -
w celu zapewnienia miejsca na uzupełnienie. Jeśli brakuje pliku
setup.log, a na dysku jest za mało wolnego miejsca, wtedy Setup
może kontynuować działanie dopiero po ponownym sformatowaniu
twardego dysku. Rzadko takie rozwiązanie problemu jest do
przyjęcia. Ponadto mogłoby ono okazać się niebezpieczne dla
sprawnego działania sieci w sytuacji, gdy uzupełniany system jest
jedynym kontrolerem domeny (obejmującym wszystkie informacje
630 Rozdział 15
o kontach), zawiera pliki danych o kluczowym znaczeniu lub inne
składniki systemu nie do odtworzenia. Tak więc, jeśli setup.log nie
istnieje, lub z innych powodów nie można zapewnić wystarczającej
przestrzeni na instalację, należy zakończyć proces uzupełniania
systemu, ręcznie usunąć odpowiednią ilość plików i pomownie
uruchomić program uzupełniający.
Praca z grupą roboczą Post Office
Systemy NT Server i Workstation mogą realizować funkcje
elektronicznej poczty grupy roboczej. Po uruchomieniu takiej
usługi pocztowej, każda stacja robocza pracująca w systemie
Windows 3.x, Windows NT 3.x lub DOS, w której uruchomiono
klienta Microsoft Mail może połączyć się z tą usługą. Dodatkowo
systemy Windows 95 i NT 4 wyposażono w oprogramowanie
klienckie Exchange, dostarczane z konektorem Microsoft Mail. Za
jego pomocą możemy łączyć się z pocztą w systemie NT 4.
Oferowane nam tutaj możliwości - w odniesieniu do Microsoft Mail
3.5 lub Exchange 4.0 - są niewielkie. Narzędzie to traktować należy
jako przepustkę do poczty elektronicznej.
Utworzenie grupy roboczej Post Office
Utworzenie poczty nie jest kłopotliwe, powinniśmy jednak
pamiętać, iż:
Jedynie tworzący pocztę może nią administrować
Poczta grupy roboczej może wyświetlać jednocześnie albo folder
osobisty, albo współdzielony (nigdy oba naraz).
Gdy liczba użytkowników poczty jest większa niż dziesięć, wtedy
nie należy jej instalować na stacji roboczej NT, ponieważ ilość
jednoczesnych połączeń jest w tym systemie ograniczona do
dziesięciu.
Aby utworzyć pocztę dla grupy roboczej, powinniśmy:
1. Z Panelu sterowania (Control Panel) otworzyć aplet Microsoft
Mail Postoffice. Pojawi się okno Microsoft Workgroup
Postoffice Admin.
Zarządzanie systemem Windows NT Server 631
2. Wybrać opcję do utworzenia (Create) nowej poczty Workgroup
Postoffice (zgodnie z rysunkiem 15.23). W grupie
roboczej/domenie powinna znajdować się tylko jedna poczta
grupy roboczej. Jeśli utworzymy więcej niż jedną pocztę, wtedy
nie będą one mogły wymieniać między sobą informacji. Do
obsługi wielu poczt potrzeba bowiem pełnego pakietu Microsoft
Mail lub Exchange.
Rys. 15.23. Pocztę
grupy roboczej
tworzy się za
pomocą apletu
Microsoft Mail
Postoffice
Control Panel
3. W następnym oknie dialogowym należy podać lokalizację
katalogu poczty grupy roboczej - WGPO (Work Group Post
Office).
Uwaga: WGPO można zainstalować tylko w już wcześniej
istniejącym katalogu. Stąd konieczne może się okazać, iż będziemy
musieli utworzyć - w NT Explorer - katalog poczty.
Jeśli plik MMF (Microsoft Mail File) znajduje się na serwerze,
pocztę należy zainstalować w partycji z odpowiednią ilością
wolnego miejsca na obsługę wszystkich danych pocztowych klienta.
Np. - dla 10 klientów o maksymalnym zaangażowaniu pamięci
dyskowej 10 MB na użytkownika - minimalna partycja powinna
mieć wielkość 100 MB.
Ostrzeżenie: Jeśli pocztę instalujemy na skompresowanym dysku
NTFS, to niewielki zysk na pamięci dyskowej zostanie okupiony
zmniejszoną wydajnością serwera pocztowego. Wynika to z faktu, że
pliki MMF (Microsoft Mail Files) są już spakowane. Próba
poddania kompresji plików już spakowanych, lub rozpakowywania
ich w czasie używania, z reguły nie znajduje uzasadnienia.
632 Rozdział 15
4. Po utworzeniu katalogu WPGO pojawia się okno dialogowe
z prośbą o wpisanie szczegółowych informacji dotyczących
konta Administratora (rysunek 15.24). W tym oknie
dialogowym należy wpisać nazwę (taką jak Administrator
Poczty), nazwę skrzynki pocztowej o maksymalnej długości 10
znaków (np. Admin), hasło o maksymalnej długości 8 znaków
i różne informacje dodatkowe (takie jak numery telefoniczne,
biuro, wydział i uwagi). Aby utworzyć konto klikamy OK .
Rys. 15.24.
Użytkownik-
administrator
tworzony jest
domyślnie po
sformułowaniu
nowej poczty.
Uwaga: Jeśli podczas tworzenia konta nie podamy hasła, wtedy
hasłem domyślnym będzie PASSWORD.
Pojawi się okno potwierdzające utworzenie konta, zawierające
informacje o położeniu nowo utworzonej poczty i przypominające
o konieczności współdzielenia utworzonego katalogu.
Zarządzanie grupą roboczą poczty
Zarządzając pocztą nie korzystamy z wielu opcji. Ta, stosowana
najczęściej, służy do tworzenia skrzynek pocztowych dla klientów
poczty. Realizuje się to przez otwarcie ikony Microsoft Mail
Postoffice Control Panel i wybór opcji Administer
(Administrowanie) - dla istniejącej grupy roboczej poczty. Pojawi
się okno dialogowe Postoffice Manager (Menedżer poczty),
umożliwiające wyświetlenie szczegółowych informacjami
dotyczących skrzynki pocztowej - po kliknięciu przycisku Details,
utworzenie nowych skrzynek - przez wybranie Add User (Dodanie
użytkownika), usunięcie skrzynki - dzięki funkcji Remov e User
(Usunięcie użytkownika). Wreszcie mamy tutaj możliwość
Zarządzanie systemem Windows NT Server 633
wyświetlenia raportu wykorzystania współdzielonych folderów -
dzięki funkcji Shared Folders (Foldery współdzielone).
Za każdym razem, gdy dodajemy użytkownika, powinniśmy podać
nazwę skrzynki pocztowej (składającą się z maksymalnie 10
znaków), maksymalnie 8-znakowe hasło oraz różne informacje
dodatkowe (takie jak numery telefoniczne, biuro, dział i uwagi).
Procedura ta przypomina tworzenie własnego konta (co opisano
wcześniej). Jeśli nie utworzymy kont, to poszczególni użytkownicy
będą mogli założyć własne konta, zaraz po pierwszym uruchomieniu
32-bitowego klienta poczty Microsoft.
Wyróżnić możemy kilka metod zwiększenia bezpieczeństwa
poczty:
Podać lokalną - w komputerze użytkownika, lub zdalną -
w serwerze, lokalizację pliku MMF użytkownika. W celu
umieszczenia w/w pliku w serwerze, każdy użytkownik musi
wybrać pozycję Options (Opcje) z menu Mail (Poczta). Pojawi
się okno dialogowe Options. Należy teraz kliknąć przycisk
Serv er, w wyniku czego wyświetlone zostanie okno
dialogowe Serv er. W nim będziemy mogli podać grupę,
w poczcie której należy umieścić plik MMF, lub też zapisać go
lokalnie w naszym komputerze. Wykonywanie kopii
bezpieczeństwa (backing up) będzie względnie proste, jeśli
wszystkie pliki przechowywane będą na serwerze.
Wskazówka: W oknie dialogowym Options możemy też zamieścić
informację, że zawartość skrzynki poczty przychodzącej (inbox) ma
być kopiowana do lokalnego pliku MMF użytkownika - wtedy, gdy
łączy się on z pocztą zdalnie.
Jeśli plik MMF przechowywany jest lokalnie, indywidualni
użytkownicy muszą wykonywać kopie bezpieczeństwa ich
własnych plików MMF, wybierając pozycję Backup (Kopia
bezpieczeństwa) z menu Mail.
Kopię bezpieczeństwa jednego folderu do pliku możemy
wykonać poprzez funkcję Export z menu File. Z opcji Import
korzystać będziemy przy odtwarzaniu folderu z pliku.
634 Rozdział 15
Folder współdzielony (umożliwiający użytkownikom poczty
współdzielenie jednego folderu) tworzymy wybierając New Folder
(Nowy folder) z menu Folder. Przywileje w folderach
współdzielonych dla połączonych użytkowników możemy
ograniczyć do Read (Odczyt), Write (Zapis) i Delete (Usuwanie).
Folder współdzielony pozwala zaoszczędzić pamięć dla poczty
grupy roboczej.
Usługa zdalnego ładowania systemów operacyjnych
(Remoteboot Service)
Usługa zdalnego ładowania systemów operacyjnych - Remoteboot
(w skrócie: zdalne ładowanie) wykorzystywana jest do obsługi tych
klientów sieci, którzy ładują system operacyjny z serwera, zamiast
ze swojego lokalnego napędu dyskowego. W procesie tym
wykorzystywana jest pamięć ROM (chodzi tutaj o tzw. zdalne
ładowanie programów - RPL (Remote Program Load)),
umieszczona w adapterze sieciowym, w celu zapewnienia obsługi
wczytania programu ładującego system operacyjny i inicjującego
jego pracę. Po uruchomieniu programu, do komputera zostają
załadowane pozostałe elementy systemu. (Klientów sieciowych
przeważnie nie wyposaża się w napędy dysków twardych ani
elastycznych - tzw. diskless workstations).
Uwaga: Skorzystanie z usługi zdalnego ładowania w systemie
Windows NT Server będzie możliwe wtedy, gdy klienci wyposażeni
będą w karty Ethernet, obsługujące zdalne ładowanie,
z zainstalowanymi układami pamięci RPL. Pamięć tą trzeba zwykle
nabyć oddzielnie (pamiętajmy jednak, że nie wszystkie karty
Ethernet z nią współpracują).
Wykorzystanie stacji roboczych bez napędów dyskowych ma swoje,
godne odnotowania, zalety:
Zabezpieczenie przez wirusami komputerowymi (brak
jakiegokolwiek mechanizmu umożliwiającego ich wprowadzenie
do systemu). y
ródłem większości wirusów są bowiem systemowe
(bootable) dyskietki elastyczne, wkładane do lokalnego napędu
komputera użytkownika.
Zarządzanie systemem Windows NT Server 635
Kontrola dystrybucji informacji i oprogramowania w sieci (brak
możliwości przeprowadzenia zmian konfiguracji klienta sieci).
Zachowanie jakichkolwiek ustawień i parametrów
współdzielonego oprogramowania nie jest wykonalne. Klient
może jedynie uruchomić oprogramowanie, zgodnie z nadanymi
przez nas uprawnieniami i zachować swoją konfigurację
w przydzielonym mu przez nas katalogu.
A
atwiejsze uaktualniania oprogramowania - operacje takie
odnoszą się jedynie do głównej (centralnej) konfiguracji.
Niższy koszt komputerów bez dysków twardych i elastycznych.
Są oczywiście również pewne niedogodności, wynikające ze
stosowania takich stacji roboczych (bez napędów dyskowych). Nie
bez znaczenia jest tutaj wzrost intensywności wymiany danych
(traffic) w sieci, ponieważ każdy użytkownik używa tych samych
plików. Obsługa interfejsu okienkowego jest mniej wydajna, gdyż
wymiana stron (paging) musi być realizowana z wykorzystaniem
napędu sieciowego (networked drive), a biblioteki DLL muszą być
ładowane z instalacji współdzielonej. Niektóre z tych niedogodności
można usunąć, wprowadzając lokalny dysk twardy. Dysku takiego
można użyć do utworzenia pliku wymiany stron (paging file),
przechowywania plików z danymi wraz z (w razie potrzeby)
aplikacjami użytkownika, przy zachowaniu zalet łatwego
uaktualniania systemu operacyjnego i ochrony przed infekcjami
wirusowymi.
Uwaga: Do klientów można zdalnie ładować tylko systemy DOS,
Windows 3.1 i Windows 95. Nie jest to możliwe w odniesieniu do
Windows for Workgroups 3.11 oraz Windows NT.
Uwaga: Fakt braku możliwości zdalnego ładowania NT wynika
z kilku powodów, z których najważniejszy związany jest z zapewnie-
niem odpowiedniej ochrony w tym systemie.
Przy każdym uruchomieniu programu instalacyjnego systemu NT,
tworzony jest unikalny identyfikator ochrony - SID (Security
Identifier). Przyjmuje się, że identyfikator SID ochrony jest
unikalny w czasie i przestrzeni, i wykorzystywany do ustanawiania
636 Rozdział 15
relacji upoważnienia (trust relationships) z innymi komputerami
i domenami. Tworzy się go podczas procesu instalacji i konfiguracji
systemu NT; zostaje dołączony do kodu wielu usług, zwłaszcza
związanych z obsługą sieci. Jeśli mielibyśmy możliwość skopiowania
obrazu konfiguracji systemu NT - plik po pliku - do innego
komputera, to w efekcie otrzymalibyśmy dwa różne komputery
z tym samym identyfikatorem SID. Fakt ten mógłby mieć wręcz
nieobliczalne konsekwencje.
Instalowanie usługi zdalnego ładowania systemów operacyjnych
Proces instalacji usługi zdalnego ładowania systemów operacyjnych
(w skrócie: zdalnego ładowania) - Remotboot Service - składa się
z wielu etapów. Po pierwsze, należy zainstalować samą usługę.
Następnie trzeba skopiować odpowiednie systemy operacyjne do
głównych katalogów RPL (Remote Program Load). Wreszcie
należy ustawić parametry ochrony odpowiednich plików i sprawdzić
konfigurację, stosując do tego celu program Remoteboot Manager.
Wszystkie powyższe czynności należy wykonać przed utworzeniem
profilu lub profili (profil zawiera konfigurację użytkownika). Profil
możemy np. utworzyć dla systemu MS-DOS 5.0 lub MS-DOS 6.x -
tak, aby każdy z nich mógł uruchomić Windows 3.x z instalacji
współdzielonej.
Uwaga: Przed instalacją usługi zdalnego ładowania musimy
uświadomić sobie, iż: po pierwsze - w nazwie serwera nie mogą
występować znaki odstępu (spacje), bo inaczej klienci pracujący
w MS-DOS z takim serwerem nie będą mogli się z nim połączyć. Po
drugie - pliki zdalnego ładowania należy zainstalować w katalogu
NTFS, ponieważ system FAT nie może obsłużyć więcej, niż 100
 zdalnie ładowanych klientów, uniemożliwiając określenie prawi-
dłowych zezwoleń dla plików współdzielonych.
Uwaga: Przed instalacją usługi zdalnego ładowania należy
zainstalować (jeśli jeszcze ich nie zainstalowano) protokoły
NetBEUI oraz DLC.
Zarządzanie systemem Windows NT Server 637
Istalację protokołów DLC i NetBEUI przeprowadza się
następująco:
Uwaga: Aby móc zainstalować protokoły DLC i NetBEUI musimy
zarejestrować się w systemie jako członek grupy Administrators.
1. Otworzyć aplet Control Panel Netw ork (Sieć panelu
kontrolnego). Pojawi się okno dialogowe Network (Sieć).
2. Kliknąć belkę Protocols.
3. Kliknąć przycisk Add (Dodaj) - w celu wyświetlenia listy
protokołów, które można zainstalować.
4. Wybrać pozycję DLC Protocol i kliknąć OK.
5. Podać ścieżkę do plików dystrybucyjnych systemu NT, np.
F:\i386. Po zakończeniu kopiowania niezbędnych plików,
system wraca do apletu Control Panel Netw ork. Na liście
zainstalowanych protokołów powinien znajdować się protokół
DLC.
W razie konieczności należy - aby zainstalować NetBEUI -
powtórzyć etapy od 3 do 5.
Uwaga: Po wprowadzeniu protokołów DLC oraz NetBEUI nie
musimy ponownie ładować systemu operacyjnego przed
zainstalowaniem usługi zdalnego ładowania.
Uwaga: Aby móc zainstalować usługę zdalnego ładowania,
musimy zarejestrować się w systemie jako członek grupy
Administrators.
Aby zainstalować usługę zdalnego ładowania systemów
operacyjnych (Remoteboot) powinniśmy:
1. Otworzyć aplet Control Panel Netw ork (Sieć panelu
kontrolnego). Pojawi się okno dialogowe Network (Sieć).
2. Kliknąć belkę Serv ices (Usługi), a następnie przycisk Add
(Dodaj) - w celu wyświetlenia listy usług do zainstalowania.
638 Rozdział 15
3. Kliknąć pozycję Remoteboot Serv ice (Usługę zdalnego
ładowania systemów operacyjnych), a następnie przycisk
Continue (Kontynuacja).
4. Po pojawieniu się znaku zachęty wpisać ścieżkę, wyznaczającą
lokalizację plików zdalnego ładowania (musi się ona znajdować
w partycji NTFS).
5. Po pojawieniu się zachęty wpisać ścieżkę określającą położenie
plików klienta zdalnie ładowanego systemem operacyjnym. Pliki
te znajdują się w katalogu \CLIENTS\RPL dysku CD.
6. Kliknąć OK - aby wyjść z okna Network Control Panel.
7. Kliknąć Close (Zamknij), aby wyjść z panelu Network Control
Panel.
8. Przeprowadzić restart systemu operacyjnego po pojawieniu się
odpowiedniego polecenia.
Następnym krokiem jest skopiowanie plików klienta do katalogu
zdalnego ładowania, który utworzono w czwartym kroku instalacji
usługi zdalnego ładowania - w celu utworzenia profilu klienta.
Można na przykład skopiować pliki systemowe dla systemów MS-
DOS oraz Windows - aby zapewnić obsługę klienta MS-DOS
i umożliwić mu uruchamianie współdzielonej kopii systemu
Windows 3.x.
Konfiguracja klienta ma przebieg następujący:
1. Odszukujemy kopię tej wersji systemu MS-DOS, którą chcemy
zainstalować. Rejestrujemy się w sieci na stacji roboczej -
kliencie, a następnie połączymy się ze współdzielonym
katalogiem zdalnego ładowania - NET USE X: \RPLFILES,
gdzie ServerName jest nazwą serwera, a X - oznaczeniem
napędu, wybranym jako napęd przypisany.
2. Usuwamy atrybuty plików systemowych MS-DOS: IO.SYS
oraz MS-DOS.SYS. Stosujemy poniższe komendy:
ATTRIB -h -s IO.SYS
ATTRIB -h -s MS DOS.SYS
3. Kopiujemy te pliki do odpowiedniego katalogu. W przypadku
instalowania systemu MS-DOS 5.0, pliki poniższe powinniśmy
skopiować do podkatalogu BINFILES\DOS500, np.:
Zarządzanie systemem Windows NT Server 639
COPY IO.SYS X:\BINFILES\DOS500
COPY MS-DOS.SYS X:\BINFILES\DOS500
COPY COMMAND.COM X:\BINFILES\DOS500
Uwaga: Nie wolno nam tworzyć żadnych dodatkowych
podkatalogów w głównym katalogu BINFILES. Jeśli np.
instalujemy dowolną wersję systemu MS-DOS 6.2x, musi on znalez
ć
się w podkatalogu BINFILES\622. Oznacza to, że w jednym
katalogu można obsługiwać tylko jedną wersję systemu MS-DOS.
4. Jeśli pliki kopiujemy z wersji PC-DOS autorstwa firmy IBM,
należy zmienić ich nazwy - z IBMDOS.COM na MSDOS.SYS
oraz - z IBMIO.COM na IO.SYS. Przywracamy atrybuty
plików systemowych MS-DOS. Są nimi: IO.SYS oraz MS-
DOS.SYS. Stosujemy poniższe komendy:
ATTRIB +h +s IO.SYS
ATTRIB +h +s MS-DOS.SYS.
5. Powtarzamy czynności opisane dla etapów od 1 do 4, dla każdej
wersji systemu MS-DOS, którą chcemy obsługiwać.
Teraz powinniśmy wybrać opcje Configure\Fix Security oraz
Configure\Check Configurations - aby nadać odpowiednie
zezwolenia dla plików i sprawdzić obecności wszystkich
niezbędnych plików systemowych (m.in. BOOTSECT.COM,
IO.SYS, MS-DOS.SYS oraz COMMAND.COM). W razie
braku któregokolwiek z nich, profilu nie będzie można utworzyć.
Chcąc utworzyć profil musimy:
1. Wybrać pozycję New Profile (Nowy profil) z menu
Remoteboot (Zdalne ładowanie systemów operacyjnych).
Pojawi się okno dialogowe New Profile.
2. W polu Profile Name (Nazwa profilu) wpisać unikalną nazwę,
nie dłuższą niż 16 znaków (bez spacji ani odwrotnych ukośników
(\)).
3.W polu Configuration wybrać system operacyjny i adapter
sieciowy. (Np. w celu zapewnienia obsługi klientów z adapterami
sieciowymi Etherlink III, pracujących w systemie operacyjnym
640 Rozdział 15
DOS 6.22, powinniśmy wybrać pozycję DOS 6.22 3Com
Etherlink III).
4. W polu Description opisać profil, jeśli opis domyślny jest
niewłaściwy.
Uwaga: Jeśli opis wprowadzimy przed wybraniem konfiguracji,
zostanie on zamieniony przez opis domyślny (identyczny z wybraną
konfiguracją).
5. Kliknąć OK - w polu Profile Name pojawi się nowo utworzony
profil.
6. Powtórzyć powyższe czynności dla każdego nowego profilu.
Zarządzanie klientami ze zdalnie ładowanymi systemami
operacyjnymi
Kiedy już utworzyliśmy profile, czas na uzupełnienie usługi zdalnego
ładowania o stacje robocze. Zadanie to realizuje Menedżer zdalnego
ładowania (Remoteboot Manager). Wyróżniamy dwie metody
tworzenia rekordu nowej stacji roboczej: ręczną i automatyczną.
Uwaga: Klient sieciowy, dla którego tworzy się rekord stacji
roboczej, musi być włączony i dostępny dla zapytań programu
Remoteboot Manager. W przeciwnym razie proces tworzenia
rekordu nie powiedzie się.
Aby utworzyć  ręcznie rekord nowej stacji roboczej należy:
1. Wybrać opcję New Workstation (Nowa stacja robocza). Pojawi
się okno dialogowe New Remoteboot Workstation (Nowa
zdalnie ładowana stacja robocza), zgodnie z rysunkiem 15.25.
2. W polu Adapter ID (Identyfikator adaptera) wpisać
dwunastocyfrowy, szesnastkowy numer identyfikacyjny adaptera
sieciowego. Jeśli go nie znamy, powinniśmy skorzystać z auto-
matycznej procedury instalacyjnej.
Zarządzanie systemem Windows NT Server 641
Rys. 15.25. Należy
wpisać
informacje
dotyczące każdej,
zdalnie
ładowanej stacji
roboczej.
3. W polu Wksta Name (Nazwa st. rob.) wpisać nazwę komputera,
pełniącego rolę stacji roboczej.
4. W polu Description (Opis) wpisać komentarz dotyczący stacji
roboczej.
5. W polu Password (Hasło) wpisać hasło.
Uwaga: Hasłem nie jest tutaj hasło konta użytkownika, które
utworzono za pomocą programu Menedżera użytkowników dla
domen. Jest to hasło używane przez usługę zdalnego ładowania
systemów operacyjnych (Remoteboot) - do weryfikacji
(authenticate) stacji roboczej. Dopuszcza ono także ustawianie
przez użytkowników zezwoleń do konfiguracji użytkownika, będącej
własnością usługi zdalnego ładowania. W rzeczywistości konto
użytkownika tworzone jest na podstawie podanej przez nas nazwy
stacji roboczej, a hasło dla tego konta zostało ujawnione w polu
Password (Hasło), okna dialogowego New Remoteboot
Workstation.
6. Wybrać Configuration type (Typ konfiguracji). Konfiguracja
może być typu Shared (Współdzielonego) lub Personal
(Osobistego). Do konfiguracji współdzielonej dostęp może mieć
wielu użytkowników, chociaż bez możliwości dokonywania
w niej jakichkolwiek zmian. Konfiguracja osobista jest zależna
od użytkownika i może mieć ustawienia przez niego
definiowane.
642 Rozdział 15
7. Z listy rozwijanej Wksta In Profile (St. rob. w profilu) wybrać
profil dla konta (będzie to jeden z profili utworzonych
w punktach od 1 do 6).
8. Jeśli wykorzystywany jest protokół TCP/IP, należy wybrać
TCP/IP DHCP - jako serwer DHCP, dostarczający adresów IP
(lepszy sposób). Można też wpisać adres IP, maskę podsieci
i adres bramy oraz uaktywnić opcję TCP/IP Settings (Parametry
TCP/IP).
9. Kliknąć przycisk Add (Dodaj) - aby dodać rekord stacji roboczej.
10.Powyższe czynności powtórzyć dla każdego rekordu nowej stacji
roboczej.
Jeśli chcemy, by rekord nowej stacji roboczej został utworzony
automatycznie, należy:
1. Załadować system operacyjny do stacji roboczej klienta. Po
uruchomieniu, stacja robocza próbuje znalez
ć serwer RPL
(zdalnego ładowania), który utworzy rekord adaptera.
Uwaga: Rekord adaptera wyświetlany jest tak, jak rekord stacji
roboczej - w głównym oknie programu Remoteboot Manager, ale
nie istnieje żadna powiązana z nim nazwa stacji roboczej. Zamiast
takiej nazwy na liście pojawia się dwunastocyfrowy, szesnastkowy
numer identyfikacyjny adaptera.
2. Wybrać rekord adaptera, a następnie - z menu Remoteboot -
opcję Conv ert Adatpters (Konwersja adapterów). Pojawi się
okno dialogowe New Remoteboot Workstation.
3. Powtórzyć czynności opisane w punktach 3 - 10, opisujących
 ręczne tworzenie rekordu nowej stacji roboczej.
Wskazówka: Aby przeprowadzić sekwencyjną (jeden po drugim)
konwersję wielu rekordów adapterów, wybieramy każdy rekord
adaptera, przytrzymując klawisz CTRL. Następnie wybieramy opcję
Remoteboot\Convert Adapters. Jednoczesną konwersję wszystkich
rekordów adapterów przeprowadzamy klikając opcję Remoteboot |
Convert Adapters.
Zarządzanie systemem Windows NT Server 643
Kiedy już utworzyliśmy programy konfiguracyjne, zechcemy
prawdopodobnie zainstalować jakieś oprogramowanie użytkowe -
np. Windows 3.x lub Microsoft Office.
Trzeba w tym celu zainstalować najpierw pliki danej aplikacji na
serwerze. W naszym przykładzie będą to pliki systemu Windows
3.x. Powinniśmy zatem:
1. Załadować system do stacji roboczej klienta i zarejestrować się
z kontem Administrator (Administratora).
2. Włożyć do napędu dyskietkę instalacyjną systemu Windows (lub
dyskietkę jakiejś innej instalowanej właśnie aplikacji)
i uruchomić sieciową wersję programu instalacyjnego. Np.
sieciowy program instalacyjny dla Windows uruchamia się
wpisując: setup /a.
3. Na żądanie wpisać katalog instalacyjny (w naszym przykładzie
C:\WIN). W efekcie pliki rozpakowane (expanded)
skopiowane zostaną do katalogu:
RPLFILES\BINFILES\WIN. Dla aplikacji należy wpisać
C:\WIN\AppName, gdzie AppName jest nazwą unikalną.
Wskazówka: Jeśli instalujemy aplikację, która została już
rozpakowana i nie wymaga podawania żadnych parametrów
konfigurowanych w zależności od konkretnej sieci, wtedy wystarczy
skopiować pliki z pominięciem całego procesu instalacji.
Teraz powinniśmy zainstalować pliki w konfiguracji profilu klienta.
Może to być współdzielony profil konfiguracyjny (wówczas skorzy-
stają wszyscy użytkownicy profilu konfiguracyjnego) lub też
osobisty profil konfiguracyjny, unikalny dla danego użytkownika.
Należy wykonać następujące operacje:
1. Załadować system do stacji roboczej klienta i zarejestrować się
z kontem Administrator (Administratora).
2. Zmienić katalog bieżący na katalog systemu Windows (wpisać:
CD C:\WIN).
3. Wpisać setup /n i nacisnąć klawisz ENTER - aby uruchomić
instalację klienta sieci. Nie należy uaktualniać (upgrade)
instalacji, tylko wybrać jej wersję ekspresową (Express).
644 Rozdział 15
4. Zainstalować Windows w katalogu C:\WINDOWS.
5. Skopiować - za pomocą komendy: XCOPY C:\WINDOWS
C:\WKSTA.PRO\WIN/E - wszystkie pliki z katalogu
C:\WINDOWS do katalogu C:\WKSTA.PRO\WIN.
W rezultacie pliki zostaną skopiowane do profilu konfiguracyjnego,
a z zainstalowaną aplikacją będą mogli pracować wszyscy użytkow-
nicy tego profilu .
Wskazówka: Procedura instalacji innych aplikacji jest analogiczna
- tym razem będzie to podkatalog katalogu C:\WINDOWS.
Przeprowadzając np. konfigurację sieciową dla Microsoft Office
w katalogu C:\WIN\OFFICE, uruchamiając program
instalacyjny (Setup), będziemy musieli - jako katalog docelowy -
zapisać: C:\WINDOWS\OFFICE. Pozostanie nam już tylko
skopiowanie plików z podkatalogu OFFICE do
C:\WKSTA.PRO\WIN\OFFICE.