Rozdział 23
Zabezpieczenie Zasobów Serwera
Windows NT Server zaprojektowano dla maszyn będących
najważniejszymi elementami sieci komputerowej przedsiębiorstwa.
W poprzednich rozdziałach mówiliśmy wiele o funkcjonalności
rozwiązań, dzięki którym NT znakomicie wywiązuje się ze swojej
roli. Niezależnie jednak od stopnia doskonałości rozwiązań
systemu, jego niezawodność równa się niezawodności sprzętu, na
którym został zainstalowany. Chociaż jakość i bezawaryjność
dzisiejszych komputerów osobistych jest znacznie lepsza niż 10 lat
temu i będzie się w przyszłości stale poprawiać, awarii nigdy nie
można wykluczyć.
Aby zapewnić bezawaryjność systemu (najlepiej jak to jest
możliwe), Windows NT wyposażony został w środki, które
właściwie wykorzystane, mogą pomóc uczynić system
niezawodnym i zagwarantować jego integralność:
Sterownik twardego dysku odporny na błędy
Wbudowane oprogramowanie wspomagające archiwizację
Zintegrowany system wspomagający zasilacze awaryjne (UPS)
Systemy dyskowe odporne na błędy
W ciągu ostatnich lat szybko rozwijały się technologie używane
w produkcji twardych dysków. Czas bezawaryjnej pracy (MTBF)
większości dzisiejszych urządzeń wynosi ponad 180 000 godzin.
Wskaznik MTBF daje statystyczną wskazówkę do oceny
prawdopodobieństwa wystąpienia błędu powodującego utratę
danych. W rzeczywistości 28 lat bezawaryjnej pracy to szacunek
niewiele mający wspólnego z rzeczywistością. MTBF wyznaczany
w oparciu o pracę napędu w idealnych warunkach. Jeśli
uwzględnimy, że parametry zasilania sieciowego często odbiegają od
zakładanych norm, a zasilanie elementów wewnętrznych
900 Rozdział 23
komputera powoduje różne zakłócenia, żywotność dysku
dramatycznie się zmniejszy.
Odporność systemu dyskowego na błędy polega na wprowadzeniu
mechanizmów redukujących prawdopodobieństwo utraty danych
nawet w czasie awarii. Windows NT używa trzech technik
podnoszenia odporności na błędy systemów dyskowych: macierzy
dyskowych (RAID), NTFS - systemu plików, umożliwiającego
odzyskiwanie danych i zamienność sektorów (sector sparing).
Każda z nich została w tym rozdziale omówiona - zarówno pod
kątem implementacji w Windows NT, jak i zasad jej wykorzystania.
Pojęcie macierzy dyskowej RAID (Redundant Array of
Inexpensive Disk)
RAID jest technologią znaną od kilku lat i tradycyjnie
implementowaną sprzętowo. Koncepcja, na której się opiera, jest
raczej prosta. Dyski są przykładem wąskiego gardła
współczesnych komputerów. Prędkość odczytu danych z pamięci
masowych nie jest zachwycająca. Skrócenie czasu dostępu jest
jednym z założeń technologii RAID. Pomysł polega na zapisie
informacji i rozkładaniu ich równomiernie na kilku dyskach, co
przyśpiesza działanie układu. Dodatkowo macierze dyskowe
pozwalają zapisywać dane nadmiarowe przy zastosowaniu
mirroringu lub informacji o parzystości.
Kluczowym elementem technologii jest striping. Gdy system
wysyła do zapisu blok informacji, to kontroler (w tym przypadku
NT) dzieli go na mniejsze części, o z góry założonym rozmiarze
i zapisuje te fragmenty równolegle na wszystkich napędach
macierzy.
Znanych jest sześć podstawowych poziomów RAID (choć mogą
być zdefiniowane lub sugerowane również inne):
RAID 0: Striping: Niektórzy nie uważają go za rzeczywisty
poziom RAID, gdyż nie zawiera redundancji. Oznacza to, że
wystąpienie błędu w macierzy powoduje całkowitą utratę
zapisanej tam informacji. Zaletą tego rozwiązania jest duża
prędkość, spowodowana równoległym zapisem danych na
wszystkich napędach. Nie trzeba liczyć sum kontrolnych, gdyż
Zabezpieczenie Zasobów Serwera 901
nie stosuje się kontroli parzystości. Nie trzeba ich również
zapisywać, więc zapis zajmuje mniej miejsca. Jeden bajt
fizycznych danych zajmuje logicznie jeden bajt pamięci.
RAID 1: Mirroring i Dupleksing: Mirroring polega na
zapisie wszystkich danych na dwóch oddzielonych fizycznie
dyskach. Jeśli informacje zawarte na jednym z nich ulegną
zniszczeniu, to system automatycznie przełączy się i będzie
używał danych zapisanych na drugim. Dodatkowo zwiększa to
szybkość systemu, gdyż oferuje do obsługi transferu informacji
pierwszy wolny dysk. Z punktu widzenia standardu RAID nie ma
różnicy między mirroringiem a dupleksingiem. W tym drugim,
każdy napęd ma własny kontroler, co zwiększa niezawodność
systemu i oferuje większą nadmiarowość. RAID 1 zapewnia dużą
redundancję, ale wymaga podwójnej liczby dysków.
RAID 2: RAID 2 jest architekturą niezbyt udaną. Wymaga wielu
dysków zsynchronizowanych z dyskami przechowującymi
informacje o parzystości. Polega na rozkładzie danych bit po
bicie , równolegle na wszystkich napędach i zapisie informacji
o parzystości na specjalnych dyskach kontrolnych. Zachowując
niezbędną nadmiarowość, nie wymaga podwójnej liczby pamięci
(jak RAID 1). Jest najlepszym rozwiązaniem dla aplikacji
generujących duże, ciągłe bloki danych - np. programów
graficznych lub filmowych. Nie sprawdza się w pracy z małymi
plikami. Windows NT nie oferuje programowej implementacji
tej technologii.
RAID 3: Jest to metoda podobna do RAID 2, ale wymaga tylko
jednego dysku dla kontroli parzystości. Ponadto dane są
rozkładane na dyskach macierzy, ale nie bit po bicie lecz bajt
po bajcie . Tylko jeden dysk przeznaczony na informacje
o parzystości może stwarzać wąskie gardło przy zapisie, gdyż
dane te muszą być zapisywane przed innymi. Również ta
technologia sprawdza się najlepiej w przypadku aplikacji
generujących duże, ciągłe bloki informacji, ale jest dużo mniej
efektywna dla innych (np. dla wielu systemów baz danych
realizujących małe transakcje). Windows NT nie zapewnia
programowej implementacji tej technologii.
RAID 4: Technologia podobna do RAID 3, gdyż wymaga
również jednego dysku przeznaczonego dla informacji
902 Rozdział 23
o parzystości. Nie jest on jednak synchronizowany, a dane
rozkładane są blokami (zamiast bajtami). Jest lepszym
rozwiązaniem przy transferze małych plików, ale nie rozwiązuje
problemu oczekiwania na dostęp do dysku parzystości .
RAID 5: Striping z kontrolą parzystości: RAID 5 rozwiązuje
problem dostępu do dysku parzystości - zapisuje informacje
kontrolne, rozkładając je równomiernie na dyskach macierzy.
W razie awarii dysku, brakujące dane odtwarzane są
z pozostałych - na podstawie informacji o parzystości całego
bloku. Zapewnia ten sam stopień redundancji co RAID 1, bez
ponoszenia kosztów pełnego dublowania danych.
Windows NT zawiera oprogramowanie RAID poziomu 0, 1 i 5
(najbardziej rozpowszechnione implementacje tej technologii).
Ponieważ RAID 0 nie dostarcza żadnego mechanizmu redundancji,
nie będziemy go tutaj omawiać. (Więcej informacji na temat
stripingu zawiera rozdział 6, Windows NT Zarządzanie Systemem
Plików ).
Jedną z największych zalet RAID w systemie NT Server jest
uniezależnienie użytkownika od uciążliwości, wynikających
z trwałego związania się z konkretnymi rozwiązaniami
sprzętowymi.
Windows NT a odporność dysków na błędy
Windows NT Server zawiera sterownik FTDISK.SYS,
odpowiedzialny za odporność dysku na błędy. Sterownik ten spełnia
wiele funkcji, ale przede wszystkim wspiera zamienność sektorów
oraz RAID 1 i 5, zwanych również odpowiednio: mirroringiem
i stripingiem dyskowym (sterownik istnieje jedynie w Windows NT
Serwer).
NT Serwer zapewnia integralność zbiorów, dzięki trzem
podstawowym metodom:
Zastosowanie NTFS - systemu plików, umożliwiającego odzyski-
wanie danych
Zamienność sektorów
RAID 1 i 5
Zabezpieczenie Zasobów Serwera 903
NTFS - odzyskiwanie danych
W tradycyjnych systemach plików (takich jak FAT dla systemu
DOS, a nawet HPFS dla OS/2) wyższy priorytet (niż niezawodność)
miała szybkość transferu danych.
NTFS został tak skonstruowany, by zapewnić integralność danych,
niezbędną w sieci klient-serwer na poziomie przedsiębiorstwa.
W systemie FAT dla DOS-u i Windows awaria może spowodować
uszkodzenie systemu plików i w konsekwencji - uniemożliwić
korzystanie z danych.
Aby uniknąć tego problemu, NTFS został stworzony na bazie
protokołu, w którym zapisywane są wszystkie transakcje związane
z obsługą dysku. Chronologicznie notowane są informacje
niezbędne do odtworzenia transakcji. Jeśli jest ona kompletna, NT
zapisuje właściwe dane. Wszystkie pliki, otwarte w czasie awarii,
mogą być odtworzone - dzięki informacji, które operacje zostały
zakończone, a które nie. W razie stwierdzenia transakcji nie
zakończonych, plikom zostaje przywrócona poprzednia postać.
Opisana metoda, bazująca na pomyśle transakcji, gwarantuje - i to
bez względu na okoliczności - nienaruszalność systemu plików.
Ostrzeżenie: NTFS nie gwarantuje bezpieczeństwa danych,
zapisywanych w czasie awarii układu, a jedynie stabilność systemu
plików. Oznacza to np. możliwość utraty informacji zapisywanych
do zbiorów bazy danych, mimo zachowania integralności systemu
plików. Choć strata może być zródłem poważnych problemów dla
niektórych użytkowników, jednak spójność systemu jest
najważniejsza. Zniszczenie jej może być równoznaczne utracie
wszystkich informacji na dysku.
Zamienność sektorów
Zamienność sektorów polega na dynamicznym przeadresowywaniu
tych sektorów, które podczas operacji odczytu lub zapisu okażą się
uszkodzone. Windows NT realizuje zamienność sektorów na dwóch
różnych poziomach: pierwszym - dzięki systemowi plików,
a drugim - poprzez sterownik FTDISK.SYS .
904 Rozdział 23
Zamienność sektorów omówiliśmy szczegółowo w rozdziale 6.
Zasadniczo polega ona na tym, że jeśli nie używamy konfiguracji
odpornej na błędy, a NTFS wykryje błąd zapisu lub odczytu, to
oznaczy sektor jako uszkodzony i przeadresuje go do dobrego.
W zasadzie dane z uszkodzonego sektora będą stracone, ale
uchroniona zostanie integralność systemu plików. Jeśli błąd wystąpi
na twardym dysku SCSI, to NTFS zleci kontrolerowi
przeadresowanie sektora, eliminując konieczność zmian w systemie
plików. W przypadku IDE, ESDI lub innego kontrolera, nie
umiejącego przeadresowywać sektorów, NTFS oznacza - jako
uszkodzony - blok wadliwy i wyznacza w jego miejsce dobrą, wolną
jednostkę na poziomie systemu plików.
Jeżeli używamy sterownika FTDISK.SYS, odpowiedzialnego za
odporność systemu na błędy, NT może odzyskać dane. Sposób
przeadresowywania złych sektorów zależy od konfiguracji serwera.
Jeśli korzystamy z dysku SCSI i jest on elementem macierzy
dyskowej odpornej na błędy, wtedy FTDISK może odzyskać zbiory.
W tej sytuacji nie ma znaczenia, jakiego systemu plików używamy.
NT odzyskuje dane dzięki lustrzanej kopii (w przypadku stosowania
RAID 1) lub dzięki stripingowi oraz informacji o parzystości (RAID
5). FTDISK.SYS zleca kontrolerowi SCSI przeadresowanie
uszkodzonego sektora i zapisuje odzyskane informacje do nowego
(w takiej sytuacji system całkowicie rozwiązuje problem).
Jeżeli nie posiadamy kontrolera SCSI, musimy używać zamienności
sektorów na poziomie NTFS. Windows NT nie dysponuje żadnym
mechanizmem zamienności sektorów na poziomie systemów
plików HPFS ani FAT.
Uwaga: Jeżeli używamy FAT lub HPFS z kontrolerem dysku, innym
niż SCSI, wtedy uszkodzony sektor powoduje naruszenie systemu
plików. Windows NT nie zawiera żadnego narzędzia mogącego
problem ten rozwiązać.
Gdy używamy systemu plików NTFS oraz dysku różnego od SCSI,
to w przypadku wystąpienia błędu zapisu lub odczytu, realizowane
będą (alternatywnie) dwa warianty:
Jeśli system odporny na błędy zawiera sterownik FTDISK.SYS,
wówczas zrekonstruuje on dane dzięki informacjom z innych
Zabezpieczenie Zasobów Serwera 905
dysków macierzy. NTFS zaznaczy uszkodzony sektor,
przeadresuje go na poziomie systemu plików, po czym
FTDISK.SYS przeniesie odzyskane dane do nowej jednostki
alokacji plików.
Jeśli uszkodzenie wystąpi na dysku, który nie jest częścią
macierzy dyskowej, NTFS - po wykryciu błędu - przeadresuje zły
sektor na poziomie plików. Dane zostaną stracone, ale
integralność systemu zbiorów będzie zachowana.
Wskazówka: Chcąc osiągnąć najwyższy stopień ochrony danych,
należy używać dysków SCSI, sformatowanych w systemie NTFS,
oraz stosować konfiguracje RAID 1 lub RAID 5.
Implementacje RAID w Windows NT Server
Jak już mówiliśmy, sterownik FTDISK.SYS jest narzędziem NT,
służącym między innymi do implementacji RAID 0, 1, i 5 oraz
zbiorów wolumenowych (volume sets). Ponieważ RAID 0 i zbiory
wolumenowe nie są systemami odpornymi na błędy, używanie
sterownika FTDISK.SYS systemu NT jest bezcelowe. (Więcej
informacji o stripingu (RAID 0) i zbiorach wolumenowych
znajdziemy w rozdziale 6).
Jedną z najważniejszych cech technologii RAID w Windows NT jest
możliwość mirroringu i stripingu partycji - w przeciwieństwie do
rozwiązań sprzętowych, w których najniższym poziomem jest
dysk.
Uwaga: Przy pomocy Monitora Wydajności (Perfomance Monitor)
można uzyskać statystykę działania podsystemów RAID. Jeśli
uruchomimy monitoring z funkcją diskperf i opcją -Y, otrzymamy
pełny raport o wszystkich elementach RAID; jeśli natomiast
używamy funkcji diskperf z opcją -YE uzyskamy dane statystyczne
pracy poszczególnych fizycznych dysków podsystemu RAID.
Mirroring i Dupleksing dysków
Windows NT Server umożliwia tworzenie lustrzanych kopii
dowolnych partycji, z partycją systemową i bootpartycją włącznie.
906 Rozdział 23
Mirroring może być realizowany dla wszystkich trzech,
obsługiwanych przez NT, systemów plików (FAT, HPFS i NTFS)
oraz dla wszystkich (obsługiwanych przez NT) dysków - tj SCSI
i IDE. Polega on na tworzeniu całkowitej kopii zawartości partycji
głównej na partycji lustrzanej.
Dodatkową korzyścią, oprócz pełnej redundancji danych, jest
przyspieszenie działania systemu. Sterownik FTDISK.SYS zgłasza
zlecenie odczytu danych do obu połówek macierzy i realizuje
transakcję na tej, która pierwsza odpowiada. Dobrym przykładem
jest sytuacja, gdy na głównej partycji odbywa się zapis, a system
zgłasza konieczność czytania danych - wtedy lustrzana partycja
odpowiada szybciej, zwiększając efektywność układu.
Uwaga: Zgodnie z teorią można - w systemie RAID 1 - używać
więcej niż dwóch dysków. Nie daje to jednak zysku ani w prędkości,
ani w niezawodności. Z tego powodu mirroring, tak jak w NT, jest
zazwyczaj ograniczany do dwóch dysków.
Ponieważ mirroring realizowany jest przez NT Serwer na poziomie
partycji, to od dysków macierzy nie wymaga się identycznej
geometrii. Partycje lustrzane nie muszą należeć do odpowiednio
tych samych części współpracujących dysków. Na przykład:
partycja główna może zajmować pierwsze 250 MB jednego dysku
o pojemności 1 GB, a jej lustrzana kopia - ostatnie 250 MB
drugiego dysku o pojemności 2 GB. FTDISK.SYS zajmuje się
wszystkimi detalami, niezbędnymi do prawidłowej pracy układu.
Uwaga: Jeśli tworzymy macierz lustrzaną, używając dwóch dysków
różnych marek lub modeli, to rozmiar partycji lustrzanej może być
różny - od wielkości partycji głównej - o 1 MB. Różnica jest
potrzebna NT dla kompensacji odmiennych geometrii dysków.
Uwaga: Jeśli na jednej z lustrzanych partycji wystąpi błąd, wtedy
FTDISK.SYS sygnalizuje go, ale system jest gotowy do normalnej
pracy. Gdy jedna z partycji zupełnie nie nadaje się do pracy, nawet
jeśli jest to partycja główna, działanie systemu (w stopniu godnym
uwagi) nie ulega pogorszeniu.
Zabezpieczenie Zasobów Serwera 907
Możliwość korzystania z dysków różnych modeli i marek stanowi
istotną zaletę, gdy zachodzi konieczność wymiany uszkodzonych
napędów. W rozwiązaniach sprzętowych technologii RAID
geometrie lustrzanych dysków muszą być identyczne, co często jest
poważnym problemem. Implementacja programowa RAID 1
w Windows NT jest wolna od tej uciążliwości.
Windows NT oferuje także dupleksing, czyli rozwiązanie polegające
na stosowaniu lustrzanych dysków z różnymi kontrolerami. NT
wysyła wtedy dane równolegle do obu kontrolerów.
Striping dyskowy z kontrolą parzystości
Striping dyskowy z kontrolą parzystości wymaga co najmniej
trzech i nie więcej niż trzydziestu dwóch dysków. NT nie stawia
warunku, by napędy miały identyczną geometrię, natomiast
wszystkie partycje muszą mieć dokładnie taki sam rozmiar.
Uwaga: Chociaż partycja systemowa i startowa NT Server może być
elementem zbiorów lustrzanych (mirroring), to nie mogą być one
składowymi żadnej macierzy ze stripingiem (z kontrolą parzystości,
czy też bez niej).
Dzięki stripingowi z kontrolą parzystości:
Uzyskujemy większą szybkość operacji wejścia-wyjścia. Im
więcej elementów macierzy, tym szybkość transferu danych jest
większa.
Mamy pełną redundancję danych, osiągając ją mniejszą ilością
przestrzeni dyskowej, niż przy mirroringu. Na składowanie
danych nadmiarowych potrzebujemy 1/3 pojemności macierzy
trzyelementowej, 1/4 macierzy czteroelementowej itd.
W macierzy trzydziestodwuelementowej dane nadmiarowe
zajmują 1/32 przestrzeni macierzy.
Chociaż omówiony wyżej sposób organizacji danych ma wiele zalet,
ma również swoje wady. Główny problem związany jest
z obliczaniem informacji o parzystości. Im więcej dysków składa się
na macierz, tym więcej operacji XOR musi być skalkulowanych
przed zapisem informacji. Nie jest to zazwyczaj istotnym
ograniczeniem, czasami jednak bywa czynnikiem zmniejszającym
908 Rozdział 23
sprawność systemu, zwłaszcza gdy jest on przeciążony i gdy
macierz składa się z wielu dysków.
Striping z kontrolą parzystości jest mniej wydajny przy zapisie
małych porcji danych. Jeżeli system służy przede wszystkim do
obsługi dużej liczby niewielkich transakcji, lepiej posłużyć się
mirroringiem. Z drugiej strony transfer dużych bloków informacji,
np. dużych plików graficznych lub audio, jest szybszy.
Uszkodzenie jednej partycji częściowo ogranicza działanie systemu.
Aby umożliwić kontynuowanie pracy, FTDISK.SYS musi odtworzyć
w locie brakujące dane. Oznacza to - w stosunku do normy -
nawet trzykrotne zwolnienie operacji odczytu.
Instalacja mirroringu i stripingu z kontrolą parzystości
w Windows NT
Do instalacji obu metod organizacji dysków służy program
Administator Dysku (Disk Administrator).
Tworzenie Mirroringu
Uwaga: Aby utworzyć lustrzane partycje, należy zalogować się w NT
z uprawnieniami administratora.
Aby przeprowadzić konfigurację mirroringu dysków należy:
1. Uruchomić program Disk Administrator (Administrator Dysku -
WINDISK.EXE) z grupy Administrativ e Tools (Narzędzia
Administratora)
2. Jeżeli Administrator Dysku nie był nigdy używany, lub od
ostatniej sesji do systemu został dołączony nowy dysk, wtedy
program zażąda zapisania etykiety identyfikacyjnej twardego
dysku. Operację należy zatwierdzić, wybierając OK.
Przykładowe okno Administratora Dysku przedstawia rysunek
23.1.
Zabezpieczenie Zasobów Serwera 909
Rys. 23. 1.
Administrator
Dysku pokazuje
alokację
w systemie
twardych dysków
i napędów CD.
3. Wybrać partycję, której lustrzaną kopię chcemy stworzyć.
W naszym przykładzie będziemy symulować instalację lustrzanej
kopii partycji systemowej o pojemności 599 MB (napęd E),
znajdującej się na dysku 1.
4. Trzymając wciśnięty klawisz CTRL należy wybrać pole wolnej
przestrzeni na innym napędzie. Rozmiar wolnej pamięci nie
może być mniejszy od rozmiaru partycji wybranej w punkcie 3.
W naszym przykładzie wybieramy wolną przestrzeń o rozmiarze
754 MB na końcu dysku 0, gdyż spełnia niezbędne warunki.
5. Z menu Fault Tolerance (Odporność na błędy) wybrać opcję
Establish Mirror (Założenie lustrzanej partycji).
6. NT wyświetli okienko dialogowe z prośbą o potwierdzenie
decyzji. Czytamy komunikat i wybieramy OK.
7. Lustrzane partycje będą miały tę samą etykietę (w naszym
przykładzie E) i purpurową krawędz. Ten kolor jest domyślnie
używany przez Disk Administrator w NT do zaznaczania
zbiorów lustrzanych.
Rysunek 23.2 pokazuje partycję systemową 599 MB na dysku 1
i jej lustrzaną kopię - na dysku 0.
910 Rozdział 23
Rys. 23. 2
Administrator
Dysku został
wykorzystany do
utworzenia na
dysku 0 lustrzanej
partycji
o rozmiarze
599 MB,
odpowiadającej
partycji z dysku 1.
10. Zakończyć sesję Administratora Dysku.
11. Disk Administrator poinformuje nas teraz o konieczności
zrestartowania systemu NT po dokonaniu zmian. Klikamy
Yes.
Uwaga: Po dokonaniu powyższych zmian, jak pokazuje rysunek
23.3, NT wymusi restart systemu po zamknięciu Administratora
dysku (sytuacja ta różni się od możliwości wyboru pomiędzy
restartem a kontynuowaniem pracy).
10. Disk Administrator wyświetli jeszcze jeden komunikat -
z żądaniem potwierdzenia dokonanych zmian. Klikamy OK.
11. Aby kontynuować, wybieramy OK. NT zamknie wszystkie
realizowane aplikacje i ponownie zainicjuje system.
Zabezpieczenie Zasobów Serwera 911
Rys. 23. 3. Disk
Administrator
wymusza restart
systemu po
utworzeniu
partycji
lustrzanej.
Wskazówka: Jeśli tworzona jest lustrzana kopia partycji
systemowej, należy również utworzyć dyskietkę startową (temat ten
omawiamy w następnej części rozdziału).
Po uruchomieniu komputera NT rozpocznie tworzenie partycji
lustrzanej. Można się o tym przekonać po aktywności dysku. Jeśli
uruchomimy Disk Administrator, zanim proces się zakończy
i wybierzemy dowolną część zbiorów lustrzanych, wtedy na dole
ekranu zostanie wyświetlony status: INITIALIZING. Po zakończeniu
pracy wyświetlony zostanie status: HEALTHY.
Ostrzeżenie: Korzystając z RDISK.EXE należy zaktualizować
naprawczą dyskietkę ratunkową (program RDISK.EXE opisany
został w rozdziale 6). Jeśli nie zaktualizujemy dyskietki ratunkowej -
w razie konieczności odtworzenia systemu z archiwum, utracimy
lustrzaną kopię dysku.
Przygotowanie dyskietki startowej, zwiększającej odporność na
błędy
Zadaniem dyskietki startowej jest umożliwienie uruchomienia
systemu, nawet w przypadku uszkodzenia głównej partycji dysku
startowego. Normalnie, system ładuje się z pierwszej partycji
głównej, zaznaczonej w BIOS-ie. NT instaluje automatycznie część
uruchomieniową i rozpoczyna wczytywanie systemu z partycji
określonej w pliku BOOT.INI. Problem polega na tym, że jeśli
912 Rozdział 23
uszkodzeniu ulegnie główna partycja startowa, wtedy - wskutek
zapisu w pliku BOOT.INI - system będzie usiłował uruchomić się
z wadliwego napędu. Najlepszą metodą pokonania trudności jest
zmuszenie systemu do załadowania z partycji lustrzanej. Właściwym
do tego narzędziem jest dyskietka z kodem startowym NT, ze
wskazaniem na partycję lustrzaną, jako zródłem systemu.
Uwaga: Do oznaczania partycji w pliku BOOT.INI stosuje się
konwencję ARC (Advanced RISC Computer). Została ona
zaprojektowana dla systemów RISC. Microsoft adaptował ją
z powodzeniem dla komputerów z procesorami Intela.
Aby przygotować dyskietkę startową należy:
1. Sformatować dyskietkę w systemie NT . Można to zrobić np.
wprowadzając komendę format a: - w linii komend lub
wybierając prawym klawiszem myszy - w oknie My Computer -
ikonę dyskietki, a następnie opcję Format.
Uwaga: Sformatowanie dyskietki w systemie NT jest niezbędne, gdyż
kod uruchomieniowy generowany przez DOS nie daje możliwości
załadowania się NTLDR (NT loader).
2. Skopiować na dyskietkę trzy pliki z partycji startowej NT
(zazwyczaj napęd c:). Te trzy pliki mają domyślnie ustawiony
atrybut hidden (ukryty). Oznacza to, że w zależności od
ustawienia konfiguracji programu Explorer mogą być (lub nie)
widoczne. Najprostszą metodą ich skopiowania jest wpisanie -
z poziomu linii komend - instrukcji XCOPY /H. Po otwarciu okna
należy wprowadzić następujące polecenia:
XCOPY /H C:\NTLDR A:\
XCOPY /H C:\NTDETECT.COM A:\
XCOPY /H C:\BOOT.INI A:\
Uwaga: Jeśli system uruchamiany jest z dysku SCSI, nie
obsługiwanego przez BIOS, należy również skopiować na dyskietkę
plik ntbootdd.sys. Nie musimy tego robić, gdy pliku tego nie ma na
twardym dysku.
Zabezpieczenie Zasobów Serwera 913
3. Aby umożliwić edycję pliku BOOT.INI, należy wydać
komendę: attrib -s -r -h a:\boot.ini.
4. W pliku BOOT.INI, w punkcie wskazującym na zródło
systemu, zamienić adres głównej partycji na ścieżkę do jej
lustrzanej kopii. Należy oczywiście znać nazwę zbioru w kodzie
ARC. Jeśli np. posiadamy kontroler SCSI i dwa twarde dyski,
pierwszy z nich (SCSI ID=0) zawiera tylko jedną partycję, która
jest partycją systemową. Drugi (SCSI ID=1) - jedynie lustrzaną
kopię pierwszego. Jeśli Windows NT został zainstalowany
w katalogu \WINNT, odpowiedni fragment pliku BOOT.INI na
dyskietce startowej powinien mieć postać:
[boot loader]
timeout=30
default=scsi(0)disk(1)rdisk(0)partition(1)\WINNT
[operating systems]
scsi(0)disk(1)rdisk(0)partition(1)\WINNT= Windows
NT Server Version 4.0
Uwaga techniczna: Aby móc właściwie identyfikować napęd
startowy, musimy zrozumieć zasadę tworzenia ścieżki zawierającej
nazwę partycji w konwencji ARC. Ma ona następującą postać:
type(x)disk(y)rdisk(z)partition(a)path, gdzie:
type Identyfikator kontrolera dysku. Dla dysku SCSI ma
wartość scsi, dla innych typów kontrolerów ( np. IDE
i ESDI) ma wartość multi. Niektóre typy SCSI również
wymagają użycia identyfikatora multi.
x Numer adaptera w kolejności ładowania przez Windows
NT. Dla komputerów z jednym adapterem x jest równe 0.
Należy podkreślić, że wszystkie magistrale adaptera
wieloszynowego mają ten sam numer x. Na przykład
kontroler firmy Adaptec 274AT posiada dwie magistrale.
Obie są wskazywane przez tę samą wartość x, gdyż są
częścią tej samej karty kontrolera.
y Suma iloczynu liczby 32 i numeru magistrali (w kartach
wieloszynowych) oraz identyfikatora napędu ID. Dla
kontrolerów typu multi wynosi zawsze 0.
914 Rozdział 23
z Numer jednostki logicznej urządzenia (LUN). Przy
kontrolerach typu multi, z jest równe 0 - dla napędu
głównego i 1- dla podrzędnego. W systemach SCSI ma
zawsze wartość 0.
a Numer partycji na dysku. Aby właściwie określić tę liczbę,
należy pamiętać, że w obliczeniach nie uwzględniamy
partycji rozszerzonych MS-DOS (typ 5) oraz partycji nie
używanych (typ 0). Zaczynając od 1 liczymy najpierw
partycje główne, a następnie napędy logiczne. Gdy na
dysku jest jedna partycja, a jest zawsze równe 1.
path Katalog, w którym zainstalowany jest Windows NT Server-
np. \winnt, \windows, \winnt40 lub
\wint35.
5. Zabezpieczyć dyskietkę przed zapisem, aby uniemożliwić
omyłkową modyfikację lub zainfekowanie wirusem.
Należy na koniec sprawdzić poprawność działania dyskietki,
uruchamiając przy jej pomocy system.
Ostrzeżenie: Należy pamiętać, że w NT jedynym sposobem
zainfekowania wirusem bootsektora jest uruchomienie systemu
z zarażonej dyskietki startowej. Wirusy bootsektora mogą zupełnie
zniszczyć instalację NT. Stąd - dla uniknięcia problemów - przed
startem systemu z dyskietki powinniśmy ją sprawdzić programem
antywirusowym.
Można oczekiwać jednej z trzech sytuacji:
Dyskietka startowa została utworzona prawidłowo. Wtedy
system rozpocznie inicjalizację, po czym na monitorze
wyświetli niebieski ekran z komunikatem:
PROCESS1_INITIALIZATION_FAILED lub podobnym. Mimo
wszystko jest to oznaką, że wszystko działa prawidłowo.
Jak zauważyliśmy, NT załadował kod startowy i skierował się
prawidłowo na partycję lustrzaną. System rozpoczął działanie.
W następnym etapie inicjalizacji odnotował, że jest
uruchomiony z kopii i sprawdził dostęp do partycji głównej.
Kiedy (tak jak to miało miejsce w naszym przykładzie) system
Zabezpieczenie Zasobów Serwera 915
stwierdzi, że dostęp do partycji głównej jest prawidłowy,
wyświetli znany nam komunikat. Jest to działanie mające na celu
ochronę integralności zbiorów lustrzanych. Gdyby NT wykrył
brak partycji głównej, uznałby, że coś jest definitywnie
uszkodzone i kontynuowałby proces ładowania. Jeśli
chcielibyśmy przekonać się o tym osobiście, możemy odłączyć
dysk z partycją główną i spróbować uruchomić system
z dyskietki.
Wprowadziliśmy niedokładną ścieżkę ARC. Otrzymamy wtedy
komunikat:
Windows NT could not start because of the
following boot configuration problem: Did not
properly generate ARC name for HAL and system
paths. Please check the Windows NT dokumentation
about ARC configuration option and your hardware
reference manuals for additional information.
Boot Failed. (NT nie mógł wystartować z powodu
następującego problemu z konfiguracją startową: Błędnie została
wygenerowana nazwa ARC dla HAL i ścieżek systemowych.
Proszę przejrzeć dokumentację NT na temat składni nazw ARC
oraz - dla uzyskania dodatkowych informacji - podręcznik
obsługi używanego sprzętu. Inicjalizacja zakończona
niepomyślnie.)
Aby spróbować rozwiązać tę sytuację, należy uważnie przejrzeć
instrukcje zamieszczone wcześniej w tym rozdziale i prawidłowo
zapisać ścieżkę ARC.
Nie zostanie znaleziony właściwy sterownik SCSI. Wówczas
pojawi się komunikat:
Windows NT could not start because of a computer
disk hardware configuration problem. Could not
read from selected boot disk. Check boot path and
disk hardware. Please check the Windows NT
documentation about hardware configuration and
your hardware reference manuals for additional
information. Boot Failed. (NT nie mógł się uruchomić
z powodu problemu z konfiguracją sprzętu. Nie można czytać
danych ze wskazanego dysku startowego. Należy sprawdzić
ścieżkę startową oraz prawidłowość działania urządzeń
dyskowych. Proszę przejrzeć dokumentację NT na temat
konfiguracji sprzętu oraz - dla uzyskania dodatkowych
916 Rozdział 23
informacji - podręcznik obsługi używanych urządzeń.
Inicjalizacja zakończona niepomyślnie.)
W tym przypadku musimy się upewnić, czy na dyskietkę został
skopiowany sterownik właściwy dla używanego kontrolera SCSI.
Po dodatkową pomoc można się zwrócić do wytwórcy karty
SCSI.
Rozdzielanie Zbiorów Lustrzanych (Mirror Sets)
Potrzeba rozdzielenia zbiorów lustrzanych może wyniknąć z dwóch
zasadniczych powodów. Po pierwsze - gdy rezygnujemy
z mirroringu lub chcemy utworzyć lustrzaną kopię na innym dysku.
Po drugie - gdy jeden z lustrzanych dysków pracuje wadliwie. W obu
przypadkach proces rozdzielania zbiorów jest w zasadzie
identyczny. Gdy jeden z dysków został uszkodzony, należy
przeczytać również (opisany w dalszej części rozdziału) sposób
odzyskiwania uszkodzonych zbiorów lustrzanych.
Procedura rozdzielania zbiorów lustrzanych wymaga:
Uwaga: Aby rozdzielić lustrzane partycje, należy zarejestrować się
w NT z uprawnieniami administratora.
1. Uruchomienia programu Disk Administrator (WINDISK.EXE)
z grupy Administrativ e Tools.
2. Wybrania jednej z partycji rozdzielanego zbioru.
3. Wybrania opcji Break Mirror (rozdziel zbiory lustrzane) z menu
Fault Tolerance.
4. Zatwierdzenia decyzji kliknięciem Yes - w okienku dialogowym,
wyświetlającym pytanie o potwierdzenie opcji.
5. Wybrania Commit Changes Now (Dokonaj zmian
natychmiast) z menu Partition.
6. Zatwierdzenia decyzji, kliknięciem Yes, w okienku dialogowym
wyświetlającym pytanie o potwierdzenie opcji.
7. Oznaczenia partycji lustrzanej kolejną wolną literą
(identyfikatorem napędu).
8. Zamknięcia programu Administrator Dysku.
Zabezpieczenie Zasobów Serwera 917
Uwaga: Jeśli rozdzielamy zbiór zawierający partycję systemową, to
- dla realizacji zmiany - NT musi zostać uruchomiony ponownie.
Przy rozdzielaniu zbiorów NT nie kasuje danych - dzieli jedynie
zbiór na dwa identyczne wolumeny. Główna część zbioru zachowuje
poprzedni identyfikator, a kopii zostaje przydzielona kolejna wolna
litera. Odtworzenie zbiorów lustrzanych wymaga wykasowania
starej partycji lustrzanej. Proste złączenie rozdzielonych
elementów jest już niemożliwe.
Tworzenie zbiorów rozłożonych z kontrolą parzystości
(Striped Set with Parity)
Uwaga: Jeśli tworzymy zbiór rozłożony z kontrolą parzystości, wtedy
- dla realizacji zmiany - konieczny jest restart NT.
Uwaga: Aby utworzyć zbiór rozłożony z kontrolą parzystości, należy
zarejestrować się w NT z uprawnieniami administratora.
Aby utworzyć zbiór rozłożony z kontrolą parzystości, należy
wykonać następujące czynności:
1. Uruchomić program Disk Administrator (Administrator Dysku
- WINDISK.EXE) z grupy Administrativ e Tools (Narzędzia
Administratora)
2. Jeżeli Administrator Dysku nie był nigdy używany lub od
ostatniej sesji do systemu został dołączony nowy dysk,
program zażąda zapisania etykiety identyfikacyjnej twardego
dysku. Operację należy zatwierdzić przyciskiem OK.
3. Kolejny krok wymaga zaplanowania. Każda składowa zbioru
rozłożonego musi mieć dokładnie tę samą wielkość. Rozmiar
całego zbioru będzie mógł wynosić jedynie n (m - 1), gdzie
n jest równe wielkości najmniejszej wolnej przestrzeni
składowej, a m to liczba dysków zakładanej macierzy. Jeśli
mamy np. trzy dyski, na których jest kolejno 50, 60 i 90 MB
wolnej, ciągłej przestrzeni, rozmiar zbioru może być równy
jedynie 100 MB = 50 (3 - 1). Podobnie, jeśli dysponujemy
sześcioma dyskami, mającymi kolejno 90, 100, 100, 110, 190
918 Rozdział 23
i 300 MB wolnej, spójnej przestrzeni, to maksymalny rozmiar
macierzy będzie równy 450 MB = 90 (6 - 1).
4. Trzymając wciśnięty klawisz SHIFT, wybrać obszar każdego
dysku, który chcemy umieścić w zbiorze.
5. Wybrać opcję Create Striped Set with Parity (Tworzenie
zbioru rozłożonego z kontrolą parzystości) z menu Fault
Tolerance (odporność na błędy).
6. NT spyta o wielkość dysku, który ma utworzyć. Domyślnie
będzie to rozmiar obliczony według reguły z punktu 3. Możemy
zdecydować się na mniejszy zbiór. NT przyłączy z każdego
dysku wolny obszar wielkości x / (m - 1), gdzie x jest
całkowitym rozmiarem zbioru, a m - liczbą składowych. Jeśli
zlecimy np. utworzenie zbioru 400 MB, składającego się
z pięciu elementów, to na każdym dysku zostanie
wykorzystana partycja 100 MB = 400 / (5 - 1).
Po wprowadzeniu rozmiaru macierzy, klikamy OK.
7. Składowe zbioru rozłożonego będą teraz oznaczone tą samą
literą, a krawędzie ich okienek przyjmą kolor jasnoniebieski.
Jasnoniebieska krawędz oznacza, że partycja jest elementem
zbioru rozłożonego z kontrolą parzystości.
8. Zamknąć Disk Administrator.
9. Okienko, przypominające o konieczności zaktualizowania
naprawczej dyskietki ratunkowej, zamykamy przyciskiem OK.
10. Zrestartować komputer.
11. Ponownie zalogować się z uprawnieniami administratora
i wrócić do Administratora Dysku.
12. Wybrać oznaczenie dowolnej partycji składowej utworzonego
zbioru. Wszystkie pozostałe elementy powinny się uaktywnić
automatycznie. Wybrać opcję Format z menu Tools.
Sformatować zbiór w systemie FAT, HPFS lub NTFS.
13. Zamknąć program Administrator Dysku.
Zbiór rozłożony z kontrolą parzystości jest gotowy do
wykorzystania.
Zabezpieczenie Zasobów Serwera 919
Ostrzeżenie: Przy pomocy programu RDISK.EXE należy zaktualizo-
wać naprawczą dyskietkę ratunkową. W przeciwnym razie możemy
mieć problemy z systemem, a nawet utracić dane.
Odzyskiwanie uszkodzonych zbiorów
Jeśli jeden z dysków zbioru lustrzanego lub rozłożonego z kontrolą
parzystości ulegnie awarii, wtedy FTDISK.SYS odnotuje to zdarzenie
w protokole systemowym (system log). W obu przypadkach system
kontynuuje pracę (zgodnie z ideą systemów odpornych na błędy).
Wpływ awarii na jego działanie oraz sposób jej usunięcia zależy od
stosowanego układu odporności na błędy.
Odzyskiwanie uszkodzonego zbioru lustrzanego (mirror set)
Kiedy jeden z dysków zbioru lustrzanego ulegnie awarii, użytkownik
zazwyczaj nie odczuwa istotnej różnicy. Jest to jeszcze jeden
z powodów, dla których należy systematycznie przeglądać
protokoły systemowe (logs), przy użyciu programu Event Viewer
(Przeglądarka zdarzeń).
Gdy jeden z dysków ulegnie awarii, FTDISK.SYS automatycznie
przystępuje do kompensacji uszkodzenia. Jeśli dysk nie zawiera
głównej partycji startowej, to jedyne poważne niebezpieczeństwo
polega na grozbie utraty danych w razie awarii dysku lustrzanego.
Dlatego należy usunąć awarię tak szybko, jak to jest możliwe.
Uszkodzenie dysku z główną partycją startową rodzi większe
kłopoty. Nie można zainicjować systemu z twardego dysku, gdyż
dane zawarte w pliku BOOT.INI wskazują zródło systemu na
zepsutym napędzie.
Po stwierdzeniu, że uszkodzeniu uległ dysk, który zawiera element
zbioru lustrzanego, nie będący główną partycją systemową,
usuwamy awarię przeprowadzając poniższe operacje:
1. W programie Disk Administrator rozdzielamy zbiór lustrzany.
2. Zamykamy system i wymieniamy uszkodzony napęd.
3. Inicjujemy system i - korzystając z Administratora dysku -
ponownie zakładamy partycję lustrzaną.
920 Rozdział 23
4. Aktualizujemy naprawczą dyskietkę ratunkową.
Jeśli uszkodzeniu ulegnie dysk zawierający składową zbioru
lustrzanego, będącą główną partycją systemową, procedura
naprawcza będzie bardziej skomplikowana. Dla ułatwienia objaśnień
przyjmujemy nazwę Dysk 1 - dla uszkodzonego dysku i Dysk 2 - dla
dysku lustrzanego.
1. Uruchamiamy system przy pomocy dyskietki startowej.
2. W Administratorze dysku rozdzielamy zbiór lustrzany. W tym
celu wybieramy Dysk 2, a następnie opcję Break Mirror z menu
Fault Tolerance.
3. Zamykamy sesję Administratora dysku, uwzględniając wszystkie
ostrzeżenia.
4. Wyłączamy system.
5. Gdy jest to niezbędne, wymieniamy uszkodzony napęd
(będziemy go nazywać Dysk 1).
6. Uruchamiamy system przy pomocy dyskietki startowej.
7. Otwieramy Administratora dysku. Jeśli wymieniliśmy twardy
dysk, system zasygnalizuje, że widzi dysk pierwszy raz
i zaproponuje mu etykietę. Zgadzamy się na nią.
8. Gdy nie wymienialiśmy twardego dysku, wtedy musimy skasować
uszkodzoną partycję systemową z Dysku 1 i zapisać zmiany.
9. Tworzymy nowy zbiór lustrzany, wybierając Dysk 2, a następnie
- trzymając wciśnięty klawisz CTRL - wybieramy wolny obszar
na Dysku 1. Klikamy przycisk opcji Establish Mirror z menu
Fault Tolerance.
10. Zamykamy sesję Administratora dysku, uwzględniając wszystkie
ostrzeżenia.
11. Jeszcze raz uruchamiamy system przy użyciu dyskietki
startowej
12. Uruchamiamy Administratora dysku i czekamy, aż system
zgłosi utworzenie kopii lustrzanej, wyświetlając status HEALTHY.
13. Ponownie rozdzielamy zbiór lustrzany (etap ten omówiliśmy
w dalszej części, w uwadze technicznej).
Zabezpieczenie Zasobów Serwera 921
14. Opuszczamy Administratora dysku, uwzględniając wszystkie
ostrzeżenia.
15. Restartujemy system, tym razem z twardego dysku.
16. Uruchamiamy Administratora dysku i kasujemy z Dysku 2
partycję zawierającą kopię zbiorów systemowych.
17.Tworzymy zbiór lustrzany według standardowego algorytmu.
Mogłoby się wydawać, że restartowanie systemu, rozdzielanie
świeżo odtworzonego zbioru, po czym ponowne składanie jest
rzeczą bezsensowną. Aby zrozumieć konieczność tego działania,
pamiętajmy, że zbiór lustrzany składa się z dwóch partycji: głównej
i jej kopii. Rozróżnienie jest istotne. W analizowanym przykładzie
główna partycja doznała uszkodzenia. Należało rozdzielić zbiory,
usunąć partycję główną a nawet, w razie potrzeby, zmienić dysk.
Następnie odtworzyliśmy zbiór lustrzany, korzystając z danych na
zachowanej partycji. Wydawać by się mogło, że awaria została
usunięta. Problem polega na tym, że w nowym zbiorze główną
partycją jest dotychczasowa kopia. Aby przywrócić poprzednią
konfigurację należało jeszcze raz rozdzielić zbiory i odtworzyć zbiór
lustrzany, bazując na właściwym dysku.
Odtwarzanie uszkodzonego zbioru rozłożonego z kontrolą
parzystości (striped set with parity)
Ponieważ dane w zbiorze rozłożone są równolegle na wszystkich
dyskach macierzy, nie utracimy ich w przypadku awarii
pojedynczego napędu. Tym niemniej konieczność rekonstrukcji
danych na podstawie zachowanych informacji nadmiarowych
spowalnia działanie systemu. Dodatkowo brak dysku powoduje
utratę odporności na błędy całej macierzy. Kolejna awaria może
spowodować utratę wszystkich danych. Dlatego, choć system -
mimo uszkodzenia - kontynuuje pracę, należy zepsuty dysk
wymienić, najszybciej jak to jest możliwe.
Poniższa procedura opisuje odzyskiwanie zbioru rozłożonego
z kontrolą parzystości:
1. Jeśli zachodzi konieczność zastąpienia uszkodzonego dysku,
należy wyłączyć system, wymienić dysk i uruchomić ponownie
komputer.
922 Rozdział 23
2. Zarejestrować się w systemie z uprawnieniami administratora.
3. Otworzyć Administratora dysku. Gdy wymieniliśmy twardy
dysk, system nas ostrzeże, że widzi dysk pierwszy raz
i zaproponuje mu etykietę, ktorą akceptujemy.
4. Wybrać zbiór rozłożony, który chcemy regenerować.
5. Trzymając wciśnięty klawisz CTRL, wybrać zastępczy dysk lub
jakikolwiek inny, nie będący częścią macierzy, mający co
najmniej tyle wolnej i ciągłej przestrzeni, ile posiadają składowe
regenerowanego zbioru.
6. Wybrać opcję Regenerate z menu Fault Tolerance.
7. Opuścić Administratora dysku i zrestartować komputer.
Po zainicjowaniu systemu, NT automatycznie zregeneruje macierz,
co zajmie trochę czasu. Możemy śledzić stan procesu odtwarzania,
wybierając myszą - w Administratorze dysku - naprawiany zbiór.
Archiwizacja zasobów serwera
Niezależnie od wybranej metody, zwiększającej odporność sytemu
na błędy, zawsze istnieje możliwość uszkodzenia danych w stopniu
uniemożliwiającym ich naprawę. Jeszcze częściej zdarza się
przypadkowe usunięcie informacji z dysku. Dlatego należy
utrzymywać aktualny zbiór zarchiwizowanych danych
systemowych - tym bardziej, że Windows NT nie udostępnia
żadnego narzędzia odzyskiwania skasowanych plików.
Prawidłowe zaplanowanie ochrony danych wymaga oceny ważności
poszczególnych zbiorów i skutków ich ewentualnej utraty. Trzeba
zdecydować co archiwizować, jak często oraz w jaki sposób
odtwarzać informacje utracone przez użytkowników.
Jasno określona przez administratora strategia archiwizacji zbiorów
pozwala uniknąć wielu problemów. Użytkownicy wiedzą, jakie
informacje są możliwe do odzyskania i znają priorytety, którymi
kieruje się administrator, ustalając kolejność odtwarzania danych
w razie awarii.
Zabezpieczenie Zasobów Serwera 923
Wybór napędu taśmowego
Rodzaj i jakość narzędzi do archiwizacji jest równie ważna, jak
pozostałych elementów systemu. Decyzja o stosowaniu
systemowych programów magazynujących wymaga zakupu
urządzeń znajdujących się na liście sprzętu kompatybilnego z NT -
tzw. HCL (Hardware Compatibility List).
Przy wyborze napędu taśmowego należy również wziąć pod uwagę:
Rodzaj taśmy: Przewidując używanie kilku jednostek
archiwizujących, powinniśmy się zdecydować na standaryzację
formatu taśmy. Najbardziej rozpowszechnione i uznawane
współcześnie standardy to taśmy 4 mm i 8 mm. Są to,
dostosowane do przechowywania informacji: 4 mm taśma audio
(DAT Digital Audio Tape) oraz 8 mm taśma video. Zyskały one
akceptację zarówno ze względu na cenę (ok. $10 pierwszej i $18
drugiej), jak i stale wzrastającą pojemność (29 GB dla taśmy
4mm i 425 GB dla taśmy 8mm). Wśród innych używanych
nośników należy wymienić typ DC-6 000 i format DC-2 000.
Taśmy tych typów, znane już od wielu lat, sporządzone są
z materiałów wytrzymujących ciągłą pracę. Kosztują zwykle
dużo więcej od taśm 4 mm i 8 mm i często są wolniejsze.
Wskazówka: Formatem szybko zyskującym akceptację - ze względu
na szybkość transferu, żywotność (długi czas magazynowania) oraz
dużą pojemność- jest DLT (Digital Linear Tape). Nośnik tego typu
pozwala w stosunku do taśmy 8 mm: przechowywać około trzy razy
więcej informacji (1040 GB w zależności od rodzaju kompresji
i odmiany DLT), zapisywać dane trzykrotnie szybciej (2,53,0
MB/sek. średniej prędkości transferu a szczytowo nawet 10MB/sek.)
oraz przeciętnie pięciokrotnie dłużej składować dane (okres
sprawności zmagazynowanej taśmy wynosi 30 lat, a żywotność
głowic - ok. 10 000 godzin).
924 Rozdział 23
Przewagę formatu DLT stanowi możliwość wykorzystania
wielościeżkowej, spiralnej metody zapisu taśmy. Polega ona na tym
(w uproszczeniu), że np. w napędach DLT-2 000 i DLT-4 000 dane
są zapisywane na 128 równoległych ścieżkach (lub 64 parach
ścieżek). Kiedy podczas odczytu (zapisu) z jednej ścieżki taśma
osiągnie dobiegnie końca, wtedy głowica rozpocznie czytanie
(zapis) z następnej ścieżki taśmy - przewijanej w odwrotnym
kierunku. Spiralna metoda zapisu zapewnia - w stosunku do
nośnika jednościeżkowego - szybszy dostęp do dowolnego punktu
taśmy.
DLT był propagowany przez Digital Equipment Corporation, ale
jest rozwiązaniem otwartym. Wraz ze wzrostem zapotrzebowania na
szybkie metody archiwizacji dużej ilości danych coraz więcej
sprzedawców oferuje tego typu nośniki i sprzęt.
Pojemność: Decydując się na format taśmy należy mieć na
uwadze nie tylko bieżące potrzeby, ale również możliwość
zabezpieczania systemu w miarę jego wzrostu. Trzeba ostrożnie
podchodzić do pojemności deklarowanych przez wytwórców
archiwów. Większość napędów taśmowych jest rutynowo
wyposażana w narzędzia kompresji danych, a reklamowana
pojemność mówi zwykle o możliwości składowania danych nie
spakowanych. Na przykład na urządzeniu o deklarowanej
pojemności 2 GB nie można czasem zarchiwizować nawet 1 GB
danych, które przed archiwizacją zostały spakowane.
Prędkość: Stosując taśmę 4mm można archiwizować dane
z szybkością transferu co najmniej 30MB/min. Dla nośnika
8mm prędkość jest zwykle znacznie wyższa. Powyższe
parametry kontrastują wyraznie z osiągami większości urządzeń
DC-2 000 i DC-6 000, które mogą magazynować od 1 do 5MB
danych na minutę. Warto sobie uzmysłowić, że dla
zarchiwizowania zbiorów o pojemności 8GB z prędkością
5MB/min. potrzeba prawie całej doby. Dlatego przy wyborze
urządzeń należy również wziąć pod uwagę czas sporządzania
backupu. W przypadku bardzo dużych zbiorów trzeba rozważyć
zakup urządzeń wielotaśmowych, zapisujących równolegle (co
wymaga dodatkowego programu archiwizującego).
Zabezpieczenie Zasobów Serwera 925
Koszty materiałów eksploatacyjnych: Planując zakup
urządzeń archiwizujących należy uwzględnić ceny materiałów.
Często popełnianym błędem analizy kosztów jest porównanie
ceny archiwizacji określonej ilości danych. Tymczasem duże
różnice w cenach nośników ($5$50 za jednostkę) powodują, że
rachunek narastający kosztów eksploatacji pozornie droższego
urządzenia dowodzi opłacalności jego zakupu.
Autoładowarka: Autoładowarka jest urządzeniem
magazynującym, obsługującym kilka taśm jednocześnie.
Odpowiednie oprogramowanie powoduje automatyczne
udostępnianie właściwego nośnika. Co najmniej dwie ważne
cechy urządzenia skłaniają do jego zakupu. Po pierwsze -
autoładowarka eliminuje konieczność ręcznej wymiany taśm,
a zatem zwalnia administratora z ciągłej kontroli archiwizacji.
Pozwala to sporządzać backup nawet nocą. Po drugie - można
mieć ciągły dostęp do archiwum z całego tygodnia i, w razie
potrzeby, uruchamiać natychmiast proces archiwizacji lub
odtwarzania zbiorów. Decyzja o stosowaniu autoładowarki
wymaga zakupu niezależnego pakietu oprogramowania
archiwizującego, gdyż NT nie zawiera programów obsługi tego
urządzenia.
Strategia archiwizacji
Każda sieć ma swoją unikalną specyfikę, dlatego trudno jest
sformułować jednoznaczne zasady tworzenia kopii zapasowych.
Określając strategię archiwizacji warto rozważyć następujące uwagi:
Co archiwizować?
Jest kilka poważnych pytań, na które należy sobie odpowiedzieć
przed decyzją, co archiwizować. Najogólniej problem sprowadza się
do wyboru: czy archiwizować jedynie zasoby serwera (serwerów),
czy również stacji roboczych?
Tylko serwery: Archiwizacja jedynie danych zapisanych na
serwerach sieciowych pozwala zaoszczędzić wiele czasu
i objętości taśmy. W takim przypadku użytkownicy powinni
wiedzieć, że informacje złożone na ich stacjach roboczych nie są
backupowane. Można skłaniać, a nawet żądać od użytkowników,
926 Rozdział 23
aby składowali zbiory na serwerach sieciowych. W razie awarii
ich dane będą bezpieczne.
Serwery i stacje robocze: W pewnych środowiskach uważa się
za ważne archiwizowanie zarówno serwerów, jak i stacji
roboczych. Duża ilość stacji lokalnych posiada dziś dyski
o pojemności 12 GB, co skłania do maksymalizacji ich
wykorzystania. Dodatkowo niektórzy uważają, że dane
składowane na stacjach lokalnych są bezpieczniejsze.
Wskazówka: Poddanie się pokusie maksymalizacji wykorzystania
dużej pojemności dysków lokalnych prowadzi, w większych sieciach,
do znacznego wydłużenia czasu pracy personelu informatycznego.
Jeżeli istotne dane składowane są wyłącznie na dyskach sieciowych,
to w razie awarii stacji roboczej można ją szybko wymienić lub
przeładować. Czas niezbędny do diagnostyki systemu radykalnie się
zmniejsza, a problem redukuje się do uszkodzonej stacji lokalnej.
Należy również pamiętać, że nie ma potrzeby archiwizacji
wszystkich zbiorów z chronionych dysków. Duże kolekcje danych
statycznych (np. galerie clipArtów) zajmują wiele pamięci, a są
łatwo odtwarzalne z płyt CD. Rozsądna taktyka wyboru informacji
do backupu pozwala zaoszczędzić wiele czasu i taśmy.
Gdzie podłączyć streamer?
Uwaga: Oprogramowanie archiwizujące Windows NT Server nie
daje możliwości sporządzania backupu na oddalonym napędzie
taśmowym. Aby zrealizować takie zamierzenie, trzeba zarejestrować
się z serwera na stacji roboczej i uruchomić lokalny program
archiwizujący (np. dostarczony z NT Workstation lub Windows 95).
Nie można w ten sposób zarchiwizować systemowych baz danych
serwera NT.
Tytułowe pytanie o umiejscowienia napędu lub napędów taśmowych
należy do gatunku ważnych, lecz trudnych do jednoznacznego
rozstrzygnięcia. Odpowiedz zależy od konfiguracji sieci, ilości
pieniędzy, które można wydać oraz od postawionych zadań.
Zabezpieczenie Zasobów Serwera 927
I znów problem sprowadza się w zasadzie do wyboru między
serwerem a stacją roboczą.
Rekomenduje się umiejscowienie urządzeń archiwizujących przy
serwerze NT, gdyż takie rozwiązanie gwarantuje ich dostępność.
W razie awarii łatwo jest odtworzyć zbiory serwera. Podłączenie
archiwizerów do stacji roboczej rodzi komplikacje - np. wtedy, gdy
stacja ze streamerem jest odłączona.
Podłączenie streamera do stacji roboczej ma swoją dobrą stronę
w przypadku jego awarii. Usunięcie uszkodzenia nie wymaga wtedy
wyłączenia serwera.
Godnym analizy jest wpływ użycia stacji roboczej do archiwizacji
serwera lub pojedynczego serwera do sporządzania backupu innych
serwerów - na działanie sieci. Przesyłanie siecią gigabajtów danych
gwałtownie redukuje jej przepustowość i sprawność działania innych
aplikacji. Weryfikacja backupu wstrząsa siecią po raz drugi.
Jak często archiwizować?
Gwarancją dobrego programu archiwizacji jest sporządzenie stałego
harmonogramu i ścisłe jego przestrzeganie. Grafik powinien
uwzględniać między innymi rotację taśm. Nie należy wykonywać
zapasowej kopii systemu na tej samej taśmie, na której zrobiliśmy
poprzednią wersję. W przeciwnym razie awaria systemu w czasie
archiwizacji uniemożliwi odtworzenie uszkodzonych zbiorów.
Wskazówka: Nie powinniśmy spać spokojnie, jeśli do codziennej,
pełnej archiwizacji 1 GB danych, stosujemy przez cały tydzień tej
samej taśmy o pojemności 8 GB. Rotacja taśm jest podstawowym
elementem dobrego harmonogramu archiwizacji.
Również poważne problemy związane z infekcją wirusami będą
mniej grozne, gdy przechowywać będziemy zarchiwizowane zbiory
sprzed zarażenia.
928 Rozdział 23
Wskazówka: Taśma się starzeje. Powinno się zapisywać datę
pierwszego użycia taśmy oraz liczbę wykonanych na niej
archiwizacji. Nośniki stare lub bardzo często wykorzystywane należy
wymieniać. Żywotność różnych typów taśm jest rozmaita.
W wyborze można kierować się rekomendacją producenta
streamera oraz informacją wytwórców nośnika ( choć ci ostatni
chcą nas przekonać, że ich taśma będzie nam służyć dożywotnio).
Decyzji wymaga też wyznaczenie odstępów między kolejnymi
backupami. Często stosowanym rozwiązaniem jest pełna
archiwizacja, sporządzana w nocy ostatniego dnia tygodnia,
połączona z codzienną archiwizacją różnicową. Backup różnicowy
polega na składowaniu jedynie tych zbiorów, które uległy zmianie
od ostatniej pełnej archiwizacji. Przy takim rozwiązaniu
odtworzenie wszystkich zbiorów wymaga taśmy z pełnym
backupem oraz jednej z taśm, zawierającej backup różnicowy. To
godne polecenia rozwiązanie jest możliwe, gdy używany streamer
nie musi magazynować wszystkich zasobów serwera na jednej
taśmie.
Wskazówka: Każda taśma powinna mieć etykietę. Przestrzeganie
tego nakazu zabezpiecza przed odtworzeniem systemu ze złej taśmy
oraz zwiększa wydajność pracy.
Idealnym rozszerzeniem strategii opartej o racjonalną rotację jest
sporządzanie, dla lepszego zabezpieczenia danych, dodatkowego
pełnego backupu, który będzie przechowywany w odległym miejscu.
Można go robić raz na dwa tygodnie lub raz w miesiącu. Wtedy
nawet prawdziwa katastrofa pozbawia przedsiębiorstwo danych co
najwyżej z dwóch lub czterech tygodni pracy. Oczywiście
częstotliwość takiego zabezpieczenia zależy od wartości
przechowywanych informacji.
Ostrzeżenie: NT nie koduje danych w czasie archiwizacji. Dlatego
wszystkie taśmy archiwalne, zarówno te przechowywane w instytucji,
jak poza nią, muszą być składowane w bezpiecznym miejscu.
Można z nich odtworzyć wszystkie dane z systemu komputerowego.
Zabezpieczenie Zasobów Serwera 929
Instalacja streamera
Pierwszą rzeczą, którą należy zrobić przed użyciem programu NT
Backup, jest zainstalowanie napędu taśmowego. Program archiwizu-
jący NT nie przewiduje magazynowania i odtwarzania zbiorów
z dyskietek lub twardych dysków, lecz jedynie z taśmy. Aby
zainstalować urządzenie archiwizujące, należy postępować zgodnie
z poniższą instrukcją:
Uwaga: Przed załadowaniem sterownika streamera należy się
zarejestrować w systemie z uprawnieniami administratora.
1. Otworzyć okno Control Panel i dwukrotnie kliknąć ikonę Tape
Dev ices (Urządzenia taśmowe). Otworzy się okno Tape
Dev ices.
2. Kliknąć przycisk Detect. System spróbuje rozpoznać
przyłączony streamer.
Jeśli próba się nie powiedzie, a napęd jest dołączony do układu
lub posiadamy dyskietkę z dostarczonym przez wytwórcę
sprzętu właściwym sterownikiem, należy wybrać kartę Driv ers,
a następnie przycisk opcji Add (dodaj). Umożliwi to dostęp do
okna, w którym możemy wybrać instalowany napęd.
3. Jeśli NT wykryje właściwy napęd lub zostanie on wybrany
z listy, wówczas może pojawić się pytanie o położenie plików ze
sterownikami dystrybucyjnymi. Należy wprowadzić odpowiednią
ścieżkę dostępu - NT skopiuje właściwe dla streamera zbiory.
4. Gdy NT będzie gotowy, poprosi o zatwierdzenie restartu
systemu. System musi być przeładowany, zanim będzie można
użyć nowo zainstalowanego sprzętu.
Program NT Backup
NT Backup stanowi proste ale dobre rozwiązaniem dla większości
niewielkich sieci lokalnych. Przy jego pomocy można wykonywać
selektywną archiwizację i odtwarzanie zbiorów, archiwizowanie baz
danych o konfiguracji systemu (local registry) oraz zarządzanie
taśmami, polegające między innymi na formatowaniu
930 Rozdział 23
wymagających tego taśm i usuwaniu nierównomiernego rozłożenia
nośnika.
Teraz przejdziemy do podstawowych procedur NT Backup.
Po uruchomieniu programu narzędziowego NT Backup z grupy
Administrativ e Tools (Narzędzia Administratora)
(NTBACKUP.EXE) na ekranie pojawi się okno, podobne do
przedstawionego na rysunku 23.4.
Przede wszystkim trzeba się przekonać, czy taśma jest gotowa do
pracy. Niektóre taśmy kasetowe systemów DC 2 000 i DC 6 000
wymagają sformatowania przed użyciem (w przeciwieństwie np. do
standardowych nośników 4mm i 8mm). Aby sprawdzić, czy
używana przez nas taśma wymaga sformatowania, wystarczy
założyć ją do streamera i - z poziomu Backup-u - obejrzeć stan
opcji Format Tape w ofercie Operations. Jeśli opcja jest
nieaktywna (oznaczona szarym kolorem), możemy być pewni, że
taśma nie wymaga formatowania.
Główne okno aplikacji (rysunek 23.4) pokazuje wszystkie lokalne
napędy, włącznie z CD oraz udostępnionymi napędami sieciowymi.
Aby wskazać napędy przeznaczone do archiwizacji, należy wypełnić
odpowiednie pola wyboru, znajdujące się z lewej strony ikony
symbolizującej dysk.
Poniższy przykład obrazuje archiwizację napędu E: (rysunek 23.5).
Rys. 23.4.
Program
narzędziowy NT
Backup zawiera
wszystkie,
niezbędne środki
do archiwizacji
i odtwarzania
danych
w systemie.
Zabezpieczenie Zasobów Serwera 931
Rys. 23.5.
Zaznaczenie pola
wyboru przy
symbolu napędu
E oznacza, że jest
on przeznaczony
do archiwizacji.
Po wyborze napędów do archiwizacji klikamy przycisk Backup.
Okno Backup Information
Okno umożliwia konfigurację procesu archiwizacji (por. rys. 23.6).
Poniżej omówione zostaną różnorodne, możliwe do ustawienia
elementy.
Current Tape (Bieżąca taśma): Pole może zawierać jedną
z trzech informacji. Jeśli w streamerze nie ma taśmy - możemy
oczekiwać napisu: There is no tape in the drive . Jeśli taśma
jest czysta, ujrzymy komunikat: The tape in the drive is
blank . W końcu, gdy taśma nie jest pusta, w polu ukaże się
aktualna nazwa taśmy np. Środowy backup serwera SAMSON .
Creation date (Data utworzenia): Pole informuje o dacie
pierwszej archiwizacji, sporządzonej na bieżącej taśmie.
W przypadku nie używanej taśmy pozostaje ono puste.
Owner (Właściciel): Gdy taśma zawiera już dane, w polu ow ner
widnieje nazwa użytkownika, który założył archiwum. Jeśli
taśma jest pusta, takie samo będzie pole edycji.
932 Rozdział 23
Rys. 23.6. Okno
Backup
Information.
Tape name (Nazwa taśmy): Jeśli wybierzemy typ działania
replace (zastąp), będziemy mogli zmodyfikować nazwę taśmy.
Domyślnie dostępna jest Tape created on (taśma utworzona
w dniu), zakończona aktualną datą. Wybór typu działania
append (dołącz) nie daje możliwości zmiany nazwy.
Operation (Działanie): Dostępny jest wybór między Replace
(zastąp) a Append (dołącz). Wybranie opcji Replace powoduje
usunięcie (w czasie archiwizacji) wszystkich poprzednio
zapisanych zbiorów. Funkcja Append - dopisanie bieżącego
backupu, począwszy od końca dotychczas zapisanych danych.
Wybór tego typu archiwizacji blokuje możliwość zmiany nazwy
wcześniej utworzonej.
Verify After Backup (Weryfikacja archiwizacji): Dzięki tej
opcji, po zarchiwizowaniu wybranych do składowania danych,
taśmy są odczytywane i porównywane z oryginałem. Backup
z weryfikacją trwa zazwyczaj dwukrotnie dłużej, a w przypadku
archiwizacji dysków odległych, dwukrotnie zwiększa ruch w sieci.
Backup Registry (Archiwizacja systemowych baz danych):
Opcja jest niedostępna, dopóki nie zostanie wybrany do
archiwizacji przynajmniej jeden plik z partycji systemowej. Jej
wybór powoduje zarchiwizowanie systemowych baz danych.
Dokładniej zostaną zmagazynowane wszystkie pliki, spełniające
kryterium: %system_ root%\system32\config\*.
Archiwizację konfiguracji każdorazowo przy sporządzaniu
Zabezpieczenie Zasobów Serwera 933
backupu partycji systemowej należy przyjąć jako zasadę
generalną.
Restrict Access to O wner or Administrator (Ograniczenie
dostępu - wyłącznie dla właściciela lub administratora): Wybór
tej opcji spowoduje, że NT sporządzi nagłówek taśmy
ograniczający dostęp do archiwum przy użyciu NT Backup.
Należy wyraznie podkreślić, że taśma nie jest kodowana, dlatego
możliwe jest jej odtworzenie przy użyciu innych narzędzi.
Omawiana metoda archiwizacji nie zmniejsza niebezpieczeństwa
nieuprawnionego dostępu do zbiorów. Jest użyteczna jedynie dla
ograniczenia możliwości przypadkowego zastąpienia
zarchiwizowanych zbiorów.
Hardware Compression (Kompresja sprzętowa): Jeśli
streamer nie umożliwia kompresji sprzętowej, to opcja jest
nieaktywna. Niektóre urządzenia nie akceptują mieszanej
kompresji danych. Jest to zazwyczaj przyczyną niedostępności
opcji przy archiwizacji niektórych zbiorów - mimo iż streamer
umożliwia kompresję sprzętową (np. gdy chcemy dołączyć
zbiory do nie spakowanego archiwum).
Backup Set Information (Opis archiwizowanego dysku): Gdy
do archiwizacji zostało wybranych kilka różnych wolumenów,
wtedy NT Backup traktuje je jako oddzielne zbiory i informuje
użytkownika, ile z nich będzie backupowanych. Jeżeli archiwizo-
wany jest napęd, będący zbiorem dwuwolumenowym, w opisie
ramki Backup Set Information pojawi się napis 1 of 2 sets
(pierwszy z dwóch zbiorów) oraz suwak, umożliwiający
przewinięcie okienka dla zapisu informacji o każdym ze zbiorów.
Drive Name (Nazwa napędu): W tej linii wyświetlona jest
nazwa napędu lokalnego oraz nazwa w konwencji UNC
(Universal Name Convention), aktualnie opisywanego do
archiwizacji zbioru.
Description (Opis): W okienku można wpisać indywidualny
opis każdego zbioru. W przypadku katalogowania taśm okienko
zawierać będzie właściwy opis katalogowy, umożliwiający
identyfikację danych.
934 Rozdział 23
Backup Type (Rodzaj archiwizacji): Dla każdego zbioru można
indywidualnie określić rodzaj archiwizacji. Dostępnych jest pięć
opcji:
Full (Normal) Backup (Archiwizacja pełna): Wszystkie
wybrane składowe są archiwizowane. Bitom archiwizacji
wszystkich backupowanych zbiorów zostaje nadana wartość 0.
Copy Backup (Archiwizacja kopiująca): Wszystkie wybrane
zbiory są archiwizowane bez zmiany bitu archiwizacji.
Incremental Backup (Archiwizacja przyrostowa):
Archiwizowane są wszystkie wybrane zbiory, których bit
archiwizacji jest równy 1. Po zakończeniu backupu bit
archiwizacji przyjmuje wartość 0.
Differential Backup (Archiwizacja różnicowa):
Archiwizowane są wszystkie wybrane zbiory, których bit
archiwizacji jest równy 1. Ten rodzaj backupu nie zmienia bitu
archiwizacji pliku.
Daily Backup (Archiwizacja dzienna): Archiwizowane są
wszystkie wybrane zbiory, które były modyfikowane w dniu
sporządzania backupu (bez względu na wartość bitu archiwizacji).
Również ten rodzaj archiwizacji nie zmienia bitu archiwizacji
plików.
Log Information (Protokół archiwizacji): W odpowiednim
oknie edycyjnym można wpisać ścieżkę dostępu do katalogu,
w którym powinien być zapisany plik BACKUP.LOG, zawierający
raport z procesu archiwizacji. Należy go umieścić w miejscu
o ograniczonym dostępie, gdyż zawiera informacje, które nie
powinny być własnością publiczną. Dostęp do domyślnego
katalogu: %system_root%\backup.log nie zawsze jest
ograniczony.
Można określić rodzaj informacji umieszczanych w protokole.
Domyślnie zapisywane są jedynie dane sumaryczne (opcja
Summary Only). Zawierają one wiadomości o liczbie
archiwizowanych plików, objętości zbiorów, dacie i czasie
rozpoczęcia oraz zakończenia pracy, długości trwania procesu,
nazwach wszystkich archiwizowanych katalogów, a także listę
zbiorów, których program nie mógł zarchiwizować. Wybranie
Zabezpieczenie Zasobów Serwera 935
opcji Full Detail (wszystkie szczegóły) powoduje zapisanie
w protokole nazw wszystkich backupowanych plików. Warto
zwrócić uwagę, że protokół zawierający wszystkie szczegóły
pęcznieje bardzo szybko i nie ma potrzeby angażować cennego
miejsca bez istotnych powodów. Można w końcu wybrać opcję
Don t Log (Bez protokołu). Wówczas zapis procesu archiwizacji
nie będzie tworzony.
Po zakończeniu konfiguracji programu można wreszcie przystąpić
do archiwizacji (klikając OK). NT rozpocznie pracę, a postęp
składowania danych wyświetlany będzie w oknie Backup Status.
Proces archiwizacji można przerwać w każdej chwili, wybierając
opcję Abort. Decyzja będzie wymagała potwierdzenia.
Jeśli w czasie archiwizacji NT napotka jakikolwiek otwarty plik,
poczeka 30 sekund na jego zamknięcie. Po tym czasie plik, który
będzie nadal otwarty, zostanie pominięty (co zostanie odnotowane
w dzienniku archiwizacji).
Kiedy NT zakończy backup wszystkich plików, okno statusu
pozostanie otwarte. Wciśnięcie przycisku OK spowoduje
zamknięcie okna i powrót do głównego ekranu programu (rysunek
23.7).
Rys. 23.7. Ekran
Backup Status.
Uwaga: NT Backup zapisuje w protokole aplikacji (Application
Log) informację kontrolną o czasie rozpoczęcia i zakończenia
archiwizacji. Oznacza to na przykład, że podczas magazynowania
dwóch wolumenów odnotowane będą cztery zdarzenia.
936 Rozdział 23
Odtwarzanie wybranych plików i katalogów z taśmy
archiwalnej
Aby odtworzyć pliki zmagazynowane programem NT Backup,
należy wykonać następujące czynności:
Uwaga: Przed przystąpieniem do odtwarzania zarchiwizowanych
zbiorów musimy zarejestrować się w NT z uprawnieniami dostępu
do taśmy, do katalogu przeznaczenia oraz z prawami do
odtwarzania plików - jeśli ich listy kontroli dostępu systemu NTFS -
ACLs(Access Control Lists) są puste.
1. Uruchomić NT Backup (NTBACKUP.EXE).
2. Włożyć do napędu odpowiednią taśmę.
3. Otworzyć okno Tapes (Taśmy) - przez dwukrotne kliknięcie
ikony Tapes lub wybranie pozycji Tapes z menu Window
(rysunek 23.8).
Rys. 23.8. Okno
Tapes programu
NT Backup.
1. Okno Tapes wyświetla listę wszystkich zbiorów, możliwych do
odtworzenia z bieżącej taśmy.
Gdy katalogi taśmy nie są widoczne, należy wybrać Catalog
z menu Operations.
2. Wybrać zbiory do odtworzenia. Chcąc odtworzyć całą taśmę,
należy zaznaczyć wszystkie pola wyboru przy nazwach
zarchiwizowanych wolumenów w oknie Tapes. Pragnąc
odtworzyć jedynie wybrane zbiory, należy zaznaczyć właściwe
Zabezpieczenie Zasobów Serwera 937
pola wyboru. Można w końcu wybrać do odtworzenia pojedyncze
pliki z jednego lub kilku wolumenów. W tym celu należy
przejrzeć i wybrać odpowiednie elementy (rysunek 23.9).
Po dokonaniu wyboru zbiorów do odtworzenia kliknąć przycisk
Restore lub wybrać pozycję Restore z menu Operations.
Rys. 23.9.
Przeglądanie
zarchiwizowanyc
h zbiorów
6. Wyświetlone zostanie okno Restore Information (rysunek
23.10).
Jeśli odtwarzanych jest kilka wolumenów, wtedy okno informuje
o jednym z nich. Dostęp do danych o właściwym zbiorze jest
możliwy dzięki suwakom.
Rys. 23.10. Okno
Restore
Information
(informacji
o procesie
odtwarzania).
W tym oknie możemy uzyskać oraz uzupełnić następujące
informacje:
Tape name: Nazwa bieżącej taśmy w streamerze.
938 Rozdział 23
Backup set: Liczba porządkowa wolumenu zarchiwizowanego
na taśmie. Na przykład gdy na taśmie składowane są dane
z pięciu wolumenów i odtwarzane są pliki z ostatniego, to
wartością pola będzie 5.
Creation Date: Data utworzenia bieżącego backup-u.
Owner: Nazwa użytkownika, który założył taśmę archiwalną.
Restore to Drive: Używając tej listy wyboru można wyznaczyć
napęd przeznaczony do składowania odtwarzanych plików.
Dostępne są napędy dołączone do serwera, na których można
zapisywać dane. Domyślnie odtwarzana będzie ta sama struktura,
która została zarchiwizowana.
Alternate Path: W tym polu można wyspecyfikować ścieżkę
do katalogu, w którym będą odtwarzane pliki, gdy zapadnie
decyzja o zmianie oryginalnej struktury zarchiwizowanych
zbiorów.
Verify After Restore: Wybór tej możliwości spowoduje
porównanie odtworzonych plików z ich kopią na taśmie. Daje
pewność prawidłowości odtwarzania, ale dwukrotnie przedłuża
proces.
Restore Local File Permissions: Opcja powoduje
odtworzenie praw dostępu do plików. Można jej użyć jedynie
wtedy, gdy zbiory były archiwizowane z oryginalnej partycji
NTFS i są odtwarzane na partycję NTFS.
Restore Local Registry: Zaznaczenie pola wyboru spowoduje
odtworzenia systemowych baz danych. Polecenie jest dostępne
tylko wtedy, gdy odtwarzamy archiwum partycji systemowej,
wykonane z opcją Backup Local Registry.
Ponadto, podobnie jak przy archiwizacji, możemy
wyspecyfikować katalog dla protokołu odtwarzania (restore log)
oraz określić poziom szczegółowości zapisywanych zdarzeń.
7. Wybrać opcję OK, aby rozpocząć odtwarzanie.
W trakcie odtwarzania wyświetlane jest okno informacyjne
o jego przebiegu (Restore Status). Odtwarzanie można przerwać
w każdej chwili, wybierając Abort (rysunek 23.11).
Zabezpieczenie Zasobów Serwera 939
Rys. 23.11. Okno
Restore Status.
Uwaga: NT Backup zapisuje w protokole aplikacji (Application
Log) informację kontrolną o czasie rozpoczęcia i zakończenia
odtwarzania. Podczas odtwarzania więcej niż jednego wolumenu
zarejestrowane będą dane o każdym z nich.
Odtwarzanie zawartości serwera z taśmy archiwalnej
Jeśli zachodzi konieczność odzyskania zasobów serwera z powodu
awarii systemu, należy postępować zgodnie z poniższą procedurą:
1. Jeśli awaria była spowodowana uszkodzeniem twardego dysku,
należy go wymienić lub uczynić wszystko, co jest niezbędne dla
jego prawidłowego funkcjonowania.
2. Zainicjować Windows NT z dyskietki instalacyjnej nr 1
i wykonać uproszczoną instalację systemu.
3. Ponownie uruchomić system z dyskietki instalacyjnej,
a następnie - używając naprawczej dyskietki ratunkowej -
dokonać naprawy systemu. Po tej czynności odtworzona będzie
część systemowych baz danych.
4. Po zrestartowaniu systemu uruchomić NT Backup i odtworzyć
zbiory z ostatniej pełnej archiwizacji.
5. Odzyskać pozostałe zbiory, wykorzystując właściwy backup
różnicowy lub przyrostowy.
940 Rozdział 23
Uruchamianie NT Backup z linii komend
Nie wszystkie czynności dostępne w systemie NT można wykonać
z linii komend. Backup należy do tych programów, który wraz
z odpowiednimi parametrami można uruchomić właściwym
poleceniem. Składnia komendy ma następującą postać:
NTBACKUP operacja ścieżka [/a] [/v] [/r]
[/d tekst ] [/b] [/hc:{on Ś off }]
[/t {opcja}] [/l nazwa_pliku ] [/e]
[/tape: {N}]
operacja Parametr określający rodzaj działania:
archiwizację lub odtwarzanie. Dopuszczalne
wartości to BACKUP lub RESTORE.
ścieżka Informacja o plikach przeznaczonych do
archiwizacji lub odtwarzania. Można użyć
więcej niż jednego adresu.
/a Opcja powodująca wykonanie archiwizacji
poprzez dopisanie nowych zbiorów do
wcześniej zapisanych. Brak parametru
spowoduje archiwizację od początku taśmy
i zastąpienie starego backupu nowym.
/v Parametr powodujący weryfikację procesu.
Należy pamiętać, że archiwizacja
i odtwarzanie z weryfikacją znacznie wydłuża
działanie programu. Przy archiwizacji dysków
odległych dodatkowo znacznie wzrasta ruch
w sieci.
/r Informacja powodująca oznaczenie taśmy,
jako nośnika o ograniczonym dostępie. Tak
utworzoną taśmę mogą odtwarzać programem
NT Backup jedynie członkowie grup
Administrators (administratorzy) oraz Backup
Operators (operatorzy archiwizacji).
/d tekst Tekst napisany w cudzysłowie będzie opisem
taśmy. Przykładem może być tutaj napis
Archiwizacja stacji roboczej FARINELLI
z dnia 1/01/97 .
Zabezpieczenie Zasobów Serwera 941
/b Program uruchomiony z tą opcją kopiuje
systemowe bazy danych z lokalnej stacji.
Należy podkreślić, że nie jest możliwa
archiwizacja konfiguracji systemu ze stacji
odległej.
/hc:{on Ś off } Przełącznik włączający (on) i wyłączający
(off) kompresję sprzętową. Użycie opcji
wymaga odpowiedniego streamera. Opcja nie
jest efektywna wraz z parametrem /a.
W takim przypadku urządzenie użyje tego
samego rodzaju kompresji, co do wcześniej
składowanych zbiorów.
/t {opcja} Parametr określający rodzaj archiwizacji.
Dostępne są opcje: NORMAL (pełna),
INCREMENTAL (przyrostowa), DIFFERENTIAL
(różnicowa), COPY (kopiująca), DAILY
(dzienna).
/l nazwa_pliku Użycie opcji spowoduje zapisanie protokołu
archiwizacji w pliku nazwa_pliku .
Domyślnie system zapisze raport w zbiorze
%SYSTEM_ ROOT%\BACKUP.LOG
/e Ten parametr spowoduje ograniczenie zapisu
w protokole archiwizacji do listy plików,
których nie można było zarchiwizować
(wyjątki). Brak opcji oznacza wybór pełnej
informacji o procesie (w konsekwencji
ekstremalnie duży zbiór raportu).
/tape:{N} NT może obsługiwać do 10 napędów
taśmowych. Zastosowanie opcji wymagane
jest w przypadku, gdy zainstalowano kilka
streamerów. Urządzeniom są
przyporządkowane numery od 0 do 9.
942 Rozdział 23
NT Scheduler Service do zorganizowania systematycznej
archiwizacji
NT Backup nie posiada wbudowanego mechanizmu, pozwalającego
na automatyczne zarządzanie terminami archiwizacji. Do
usprawnienia procesu można użyć terminarza systemowego.
Zastosowanie opisanej niżej metody wymaga, aby użytkownik
terminarza był zalogowany z właściwymi uprawnieniami - zarówno
do systemu lokalnego jak i stacji, których dyski będą obsługiwane.
Oczywiście Scheduler musi być aktywny. Przypuśćmy, że system
składa się z dwóch wolumenów C i D. Planujemy wykonywać pełną
archiwizację w każdy piątek o godz. 22.00, zaś archiwizacje
różnicowe - w pozostałe dni robocze.
Po pierwsze, należy napisać makrodefinicje:
BACKFULL.BAT:
ntbackup backup c: d: /v /d Pełna archiwizacja
systemu /b /t normal
/l c:\users\backup\backfull.log /e
BACKDIFF.BAT:
ntbackup backup c: d: /v /d Archiwizacja różnicowa
systemu /b /t differential
/l c:\users\backup\backdiff.log /e
Po drugie, utworzyć katalog dla powyższych skryptów. Dobrym
położeniem może być np. C:\USERS\BACKUP.
Teraz wystarczy określić zadania w terminarzu systemowym
(Scheduler), używając dwóch komend:
at 22:00 /interactive /every:friday
c:\user\backup\backfull.bat
at 22:00 /interactive
/every:monday,tuesday,wednesday,thursday
c:\user\backup\backdiff.bat
I to już wszystko. Każdego wieczoru pozostaje upewnić się, że
właściwa taśma znajduje się w napędzie, a rano wyjąć ją ze
streamera.
Zabezpieczenie Zasobów Serwera 943
Archiwizacja zdalnych wolumenów
Terminarz systemowy i NTBACKUP można wykorzystać do
archiwizacji zdalnych zasobów sieciowych. Wymaga to
przeprowadzenia dodatkowych operacji.
Domyślnie użytkownicy uruchamiają terminarz Scheduler, wraz
z wbudowanymi ustaleniami systemowymi. Standardowo Scheduler
nie może dokonać połączenia z innym komputerem w sieci, stąd
nie można prosto zarchiwizować zdalnych zasobów sieciowych.
Przyjmijmy założenia, że w każdy dzień roboczy o godzinie 22.00,
będziemy archiwizowany zbiór sieciowy CLIENTS, znajdujący się na
stacji lokalnej SAMSON.
Chcąc archiwizować zasoby stacji lokalnych, należy przede
wszystkim uruchomić terminarz wraz ze środowiskiem
użytkownika, mającego uprawnienia do archiwizacji i odtwarzania
oraz dostępu do plików na stacji roboczej. Następnie trzeba
utworzyć makrodefinicję podobną do następującej:
SAMSON.BAT:
net use k: \\SAMSON\CLIENTS
ntbackup backup k: /v /d Archiwizacja
\\SAMSON\CLIENTS /t normal
/l c:\users\backup\samson.log /e
net use k: /d
Uwaga: Należy pamiętać, że weryfikacja archiwizacji zwiększa
dwukrotnie obciążenie sieci związane z procesem.
i zapisać ją np. w katalogu C:\USER\BACKUP.
Teraz wystarczy zlecić terminarzowi wykonanie skryptu
poleceniem:
at 22:00 /interactive /every:monday,tuesday,
wednesday,thursday,friday
c:\user\backup\samson.bat .
944 Rozdział 23
Uwaga: Dołączenie opcji /b do makrodefinicji samson.bat
spowodowałoby skopiowanie parametrów systemu, z którego
uruchomiono ntbackup /a nie stacji SAMSON, jak można by
przypuszczać). Aktualnie ntbackup nie pozwala w żaden sposób
zarchiwizować systemowych baz danych z innego komputera.
Awaryjne zasilacze sieciowe (UPS) z Windows NT
Proszę pomyśleć o skoku z samolotu bez spadochronu. Podobne
wyczyny przypomina praca administratora, który uruchamia
serwery bez zasilaczy awaryjnych. UPS jest najważniejszą
inwestycją, służącą zabezpieczeniu danych składowanych w sieci.
Skoro wiadomo już, jak ważne są zasilacze awaryjne, pora
powiedzieć dlaczego. UPS przyłączany jest pomiędzy komputerem
a siecią energetyczną. Ochrania maszynę przed nagłym
wyłączeniem prądu. Większość zasilaczy zapewnia również właściwe
parametry prądu dostarczanego do urządzeń. Przekłada się to
bezpośrednio na żywotność wszystkich (zasilanych prądem)
elementów komputera. Ponadto systemy operacyjne zainstalowane
na serwerach, w tym Windows NT, korzystają zwykle z pamięci
podręcznej (cache). Dlatego nawet chwilowy zanik zasilania może
spowodować utratę zapisanych tam danych.
Uwaga: NTFS zabezpiecza przed zaburzeniem integralności
systemu plików w przypadku wyłączenia zasilania. Nie chroni
jednak przed utratą danych z pamięci podręcznej, nie zapisanych
na twardym dysku.
Zadaniem UPS nie jest stworzenie alternatywnej formy zasilania,
lecz umożliwienie łagodnego wygaszenia systemu bez utraty danych.
Uwaga: Oczywiście istnieją systemy, które muszą sprawnie
pracować mimo długotrwałego zaniku energii. Koszt takich
zasilaczy jest jednak wysoki.
Zabezpieczenie Zasobów Serwera 945
Wskazówka: Przy założeniu, że kupiono UPSy dla wszystkich
serwerów, co można powiedzieć o zabezpieczeniu reszty sieci?. Co
ze stacjami roboczymi? Co z routerami, hubami? Wydaje się, że
zabezpieczając zasilaczami serwery i stacje robocze eliminujemy
grozbę energrtycznrj katastrofy. Prąd gaśnie i okazuje się, że w sieci
nie ma łączności, gdyż nie są chronione huby. Trzeba jasno
określić swoje potrzeby. Czy wystarczy zabezpieczenie serwera, czy
musimy chronić również stacje robocze? Jeśli odpowiedz na drugie
pytanie jest twierdząca, to należy zabezpieczyć UPS-ami nie tylko
stacje robocze, ale również pozostałe komponenty sieci.
Co należy chronić?
Trudno odpowiedzieć na to pytanie bez znajomości specyfiki sieci.
Trzeba wiedzieć, jakie okoliczności są powodem zakupienia UPS-a.
Co powinno być szczególnie chronione? Poniżej przedstawiliśmy
kilka elementów, godnych rozważenia:
Serwer CPU: Jednostka centralna musi być podłączona do
zasilacza awaryjnego.
Zewnętrzne urządzenia pamięci masowych: Nie wolno
zapomnieć o podłączeniu do UPS-a niektórych urządzeń
zewnętrznych (takich jak napęd CD, zewnętrzny twardy dysk,
jednostka archiwizująca, a nawet skaner, jeśli jest podłączony
poprzez łącze SCSI). Przerwanie zasilania tych elementów może
spowodować kłopoty z systemem.
Monitor serwera: Generalnie im większy monitor, tym więcej
zużywa energii. Jeśli system jest skonfigurowany w sposób
zapewniający bezpieczne wyłączenie bez potrzeby interwencji
administratora, zabezpieczenie monitora nie jest konieczne.
W przeciwnym razie, jego ochrona jest niezbędna. Należy wtedy
ustalić właściwe relacje pomiędzy zapotrzebowaniem urządzenia
na energię a mocą UPSa.
Drukarki: Jako zasadę należy uznać nie zabezpieczanie
drukarek, zwłaszcza laserowych. Zużywają one bowiem
relatywnie zbyt dużo energii.
946 Rozdział 23
Sprzęt sieciowy: W sieciach, które wymagają kontynuacji
łączności dla koordynacji łagodnego wygaszania systemu, należy
bezwzględnie zabezpieczyć urządzenia sieciowe - w szczególności
mosty, routery i huby.
Stacje robocze: Jeśli chcemy zabezpieczyć użytkowników
przed utratą nawet chwilowych efektów pracy, stacje lokalne
powinny być podłączone do UPS-ów. W razie odłączenia
zasilania, serwer powinien wysłać do wszystkich pracujących
stanowisk komunikat o konieczności zachowania zbiorów
i zamknięcia aplikacji. W tym celu musimy zadbać
o zabezpieczenie urządzeń.
Wybór zasilacza awaryjnego
Wybór UPS-a wymaga od nas rozwagi. Cena jest oczywiście
czynnikiem niezwykle ważnym, ale trzeba również rozważyć inne
elementy - w tym m.in.:
Czas działania: Pojemność załadowanych baterii zasilaczy
powinna gwarantować bezpieczną pracę chronionych elementów
systemu przez co najmniej pięć minut. Należy się liczyć
z sytuacją, że faktyczny czas ochrony będzie nawet kilkakrotnie
krótszy. Okres między awariami zasilania może bowiem nie
wystarczyć na odtworzenie pełnej mocy układu. Dobrze jest
zapewnić sobie zasilacz umożliwiający rozbudowę. Dołączanie do
systemu pamięci, dysków i innych elementów zwiększa bowiem
zapotrzebowanie na energię.
Zabezpieczenie Zasobów Serwera 947
Wskazówka: Przed kupieniem zasilacza awaryjnego musimy ustalić
jego pojemność (w dużym przybliżeniu). W sugerowanej przez nas
metodzie możemy zsumować moc wszystkich urządzeń, które
planujemy podłączyć do UPS-a ( w jednostkach mocy
[W]).Większość zasilaczy ma określoną moc wyjściową
w równoważnych jednostkach [VA]. Stosunek mocy możliwych do
podłączenia urządzeń do mocy wyjściowej zasilacza określa
współczynnik zależny od typu i modelu urządzenia. Można
bezpiecznie założyć, że do zasilacza o mocy 1 000 VA wolno
przyłączyć odbiorniki o łącznej mocy nie przekraczającej 600700
W. Im mniejsza jest moc urządzeń podłączonych do urządzenia,
tym dłuższy będzie czas pracy awaryjnej UPS-a.
Niestety, nie ma prostej metody umożliwiającej porównanie
różnych zasilaczy. Często - dla określenia przewidywanego czasu
pracy awaryjnej UPS-a - trzeba się skontaktować z dystrybutorem
urządzeń.
Typ ochrony: Zasilacze awaryjne są zazwyczaj dzielone na trzy
kategorie, w zależności od trybu pracy:
On line UPS: Urządzenia pracujące w tym trybie, ze względu na
konstrukcję, nazywane są UPSami o podwójnej konwersji.
Komputer podłączony do zasilacza cały czas pobiera prąd z jego
akumulatorów. Z drugiej strony baterie są nieustannie doładowy-
wane z sieci. W razie zaniku energii, aparat kontynuuje zasilanie
podłączonych urządzeń bez najmniejszej przerwy. Jest to
najdroższy typ zasilacza awaryjnego i dlatego, niestety, nie dla
wszystkich dostępny.
Stand-by UPS: Ze względu na niską cenę są to urządzenia bardzo
rozpowszechnione. Ich działanie polega na nieustannym
monitorowaniu warunków zasilania. Gdy nastąpi spadek
napięcia, UPS podejmuje pracę (tj. zasilanie dołączonego
sprzętu).
948 Rozdział 23
Uwaga: Należy pamiętać, że akumulatory dają prąd stały (DC -
direct current), a prąd pobierany z sieci energetycznej jest prądem
zmiennym (AC - alternating current). UPS jest w zasadzie dużym
akumulatorem i musi dokonywać konwersji prądu stałego na prąd
zmienny, wymagany przez komputery. Proces zamiany prądu
stałego na zmienny nazywany jest inwersją (inversion). UPS
wykonuje tą konwersję w oparciu o wbudowany inwerter (inverter)
Czas potrzebny urządzeniu na przełączenie się - z trybu kontroli
na tryb zasilania - nazywany jest okresem transferu (transfer
time) i zależy od typu i modelu zasilacza. Zazwyczaj mieści się
w granicach 210 milisekund. Na ogół sprzęt komputerowy
potrafi skompensować brak dopływu energii przez co najmniej
1015 milisekund. Okres tolerancji systemu na brak zasilania
nazywany jest czasem podtrzymania (hold-up time). Według
najnowszych testów większość nowoczesnych systemów
kompensuje brak zasilania w zakresie 50100 milisekund.
Powinniśmy rozważać zakup zasilaczy UPS o możliwie
najkrótszym okresie transferu.
Line-interactive UPS: Urządzenia podobne do wcześniej
omówionych (typu stand-by). Dodatkowo wyposażone są
w środki poprawiające parametry zasilania. Odpowiednie
systemy regulacyjne korygują wahania napięcia, bez
konieczności przełączania układu na zasilanie awaryjne. Dzięki
realizowanemu trybowi ochrony, ten typ zasilaczy
charakteryzuje większa żywotność.
Inteligentna komunukacja poprzez port szeregowy lub
kartę sieciową: Zasilacz dla serwera NT powinien być
wyposażony w możliwość inteligentnej komunikacji
z systemem, realizowanej zazwyczaj poprzez złącze szeregowe.
Nie należy się zadowalać prostą sygnalizacją wyczerpania baterii
- wysokiej jakości UPS-y komunikują systemowi parametry
zasilania, stan załadowania akumulatorów oraz różne informacje
o środowisku pracy. Większość najtańszych modeli, szczególnie
tych, które są oferowane do użytku domowego, nie realizują
aktywnej komunikacji z NT. Minimalnym rozwiązaniem jest
inteligentny UPS z łączem szeregowym. Dla większych sieci,
w których praca urządzeń jest monitorowana poprzez protokół
Zabezpieczenie Zasobów Serwera 949
SNMP (Simple Network Managment Protocol), należy zapewnić
zasilacze awaryjne, wyposażone w karty sieciowe
i współpracujące z systemem kontroli na bazie SNMP.
O programowanie do współpracy z NT: Poniważ NT posiada
wbudowane mechanizmy, pozwalające na komunikację
z inteligentnymi zasilaczami, niektóre fabryki produkują
urządzenia o poszerzonej współpracy z systemem. Na przykład:
pewne modele przesyłają informacje o jakości zasilania. W razie
nadmiernych wahań napięcia raportują sytuację systemowi,
który odnotowuje odpowiedni komunikat w protokole zdarzeń
systemowych (event.log). Stanowi to użyteczną informację dla
obsługi sieci, ułatwiającą diagnostykę układu. Inne
oprogramowanie oferuje funkcje integrujące różne systemy
zarządzania instalacją, jak na przykład: Microsoft s System
Managment Server (SMS), czy oprogramowanie American
Power Conversion s (APC) - PowerChute Plus. Wyposażone są
one w narzędzia, zapisujące - w plikach SMS MIF - informacje
o zdarzeniach związanych z pracą zasilaczy awaryjnych oraz
właściwe raporty w bazach danych SMS.
Uwaga: Przed instalacją oprogramowania dostarczonego z UPS-
em, należy się upewnić, że może ono współpracować z posiadaną
przez nas wersją systemu NT. Nierzadko zdarza się, że
oprogramowanie dobrze współpracujące z jego starszą odmianą,
a nie potrafi się komunikować z nowszą.
Sygnalizacja dzwiękowa: Wiele urządzeń dysponuje
dzwiękową sygnalizacją zakłóceń zasilania. To bardzo użyteczne
rozwiązanie bywa jednak uciążliwe, zwłaszcza gdy parametry
prądu często odbiegają od normy.
Wizualny sygnalizator stanu załadowania baterii:
Urządzenia są często wyposażane w sygnalizację stopnia
załadowania akumulatorów. Kształt wskaznika jest najczęściej
wzorowany na termometrze lub wyświetlaczu cyfrowym.
Wskaznik czasu pracy akumulatorów: Sygnalizator
oferowany w lepszych typach zasilaczy, wyglądem i działaniem
przypomina on wskaznik omówiony poprzednio. Jest
950 Rozdział 23
urządzeniem użytecznym i wartym rozważenia przy zakupie
UPS-a.
Wskaznik stanu przyłącza prądu: Niektóre zasilacze
posiadają wizualne i (lub) dzwiękowe sygnalizatory, ostrzegające
przed niebezpieczeństwami, wynikającymi z wadliwości instalacji
dostarczającej prąd (np. złego uziemienia lub odwróconej
polaryzacji sieci). Jeśli UPS nie ma takich zabezpieczeń, należy
się upewnić, czy instalacja została sprawdzona przez elektryka
posiadającego właściwe uprawnienia (lub w ostateczności przez
osobę wystarczająco kompetentną).
Położenie wyłącznika prądu: Wiele zasilaczy ma główny
wyłącznik na przedniej ścianie urządzenia. Aatwość dostępu do
przycisku jest jego wadą (wbrew pozorom istotną). Nie korzysta
się z niego zbyt często, stoi zazwyczaj na podłodze, a jeszcze
częściej pod biurkiem. Przypadkowe potrącenie wyłącznika jest
bardzo częstym powodem wyłączenia systemu. Warto o tym
pamiętać.
Wymienność baterii: Niektóre UPS-y pozwalają na łatwą
wymianę akumulatorów przez użytkownika. Nie dotyczy to
zazwyczaj najtańszych urządzeń, których cena w znacznej części
zależy od wartości baterii. Żywotność akumulatorów ma swoje
granice (w zależności od typu: średnio 25 lat), dlatego
w urządzeniach droższych, w których elektronika kosztuje
znacznie więcej, łatwość wymiany akumulatorów nie jest bez
znaczenia.
Możliwość testowania: Sprawność zasilacza należy często
sprawdzać. Dobre urządzenia są wyposażone w łatwo dostępny
przycisk, umożliwiający szybką kontrolę.
Liczba gniazd wyjściowych: Z reguły liczba wyjść zależy
zazwyczaj od mocy urządzenia. Ponieważ jednak nie ma
powodów, aby zabezpieczane elementy sieci były podłączane
osobno, oferowane w tańszych rozwiązaniach dwa gniazda
powinny być wystarczające.
Zabezpieczenie Zasobów Serwera 951
Instalacja zasilacza awaryjnego (UPS)
Chociaż NT wyposażony jest w oprogramowanie, umożliwiające
inteligentną współpracę z zasilaczami, producenci niektórych
modeli zaopatrują je we własne oprogramowanie. Ponieważ
programy te pozwalają (z reguły) na pełniejszą obsługę urządzenia,
ich instalacja znajduje uzasadnienie. Warto jednak upewnić się
wcześniej, że mogą one współpracować z NT Server 4.
Brak własnego oprogramowania nie jest natomiast przeszkodą, gdyż
NT można skonfigurować do współpracy z większością
inteligentnych zasilaczy.
Wskazówka: Przed zakupem zasilacza awaryjnego należy się
upewnić, czy wybrany model znajduje się na aktualnej liście sprzętu
kompatybilnego z NT (NT Hardware Compatibility List- HCL).
Aby zainstalować UPS, należy postępować zgodnie z instrukcją
fabryczną. Po podłączeniu zasilacza i ustanowieniu komunikacji
poprzez złącze szeregowe można przystąpić do konfiguracji obsługi
urządzenia, wykonując następujące czynności:
Uwaga: Aby skonfigurować obsługę UPS-a, należy zarejestrować
się w sieci jako członek grupy administratorów.
1. W Control Panel wybrać ikonę UPS. Ukaże się okno dialogowe
(por. rysunek 23.12).
Rys. 23.12. Okno
UPS.
952 Rozdział 23
1. W tym momencie obsługa zasilaczy awaryjnych jest jeszcze
nieaktywna. Aby ją włączyć, należy zaznaczyć pole wyboru
obok etykiety Uninterruptable Pow er Supply is installed
(Zasilacz bezprzerwowy - UPS jest zainstalowany), a następnie
wybrać oznaczenie właściwego portu szeregowego (COM).
2. Obsługa UPS zapewnia monitorowanie trzech, najczęściej
sygnalizowanych przez większość inteligentnych zasilaczy,
komunikatów:
sygnał braku zasilania: Jeśli zasilacz jest zdolny do wysłania
sygnału o braku zasilania, to należy zaznaczyć pole wyboru przy
napisie Pow er failure signal, a następnie wybrać jedną z opcji
Negativ e lub Positiv e - odpowiednio do tego, czy UPS wysyła
sygnał poprzez obniżenie, czy podwyższenie napięcia
(informacja na ten temat powinna być zawarta w dokumentacji
urządzenia).
Sygnał o wyczerpywaniu się akumulatorów: Gdy UPS
potrafi sygnalizować wyczerpanie się baterii (zazwyczaj ok.
dwóch minut przed utratą możliwości awaryjnego zasilania),
należy zaznaczyć pole wyboru opcji Low battery signal at least
2 minutes before shutdow n. Również w tym przypadku należy
wybrać rodzaj sygnału.
Możliwość zdalnego odłączenia UPS: Jeżeli zasilacz
wyposażony jest w możliwość wyłączenia zasilania na sygnał
systemu operacyjnego, powinniśmy oznaczyć pole wyboru
Remote UPS Shutdow n. (Tak jak poprzednio konieczne jest
oznaczenie typu sygnału wyłączającego (Negative lub Positive)).
4. Aby system wykonał specjalną komendę lub makrodefinicję,
zanim obsługa UPS-a wygasi system, należy oznaczyć pole
wyboru Execute command File, a następnie wypełnić pole
edycyjne właściwą nazwą pliku (typu: .cmd, .com, .bat lub
.exe).
5. Przystępując do opisu charakterystyki zasilacza należy
dokładnie zapoznać się z jego dokumentacją techniczną.
W grupie opcji UPS Characteristic ustalamy:
Expected Battery Life (Oczekiwany czas zasilania
awaryjnego): Niektóre urządzenia zasilające posiadają
Zabezpieczenie Zasobów Serwera 953
wbudowany system analizujący i wyświetlający możliwy czas
awaryjnego zasilania aktualnej konfiguracji. W przeciwnym razie
należy tę wartość obliczyć. Potrzebna jest przy tym znajomość
mocy wszystkich urządzeń podłączonych do zasilacza oraz jego
charakterystyka (z dokumentacji UPS). Wartość domyślna (i
najmniejsza) to 2 minuty, największa - 720 minut.
Battery recharge time per minute of runtime (Czas
ładowania baterii niezbędny dla 1 minuty pracy awaryjnej):
Dokładne wypełnienie tego pola pozwala NT, w razie krótkich
przerw w zasilaniu, skalkulować aktualny stan baterii. Właściwą
informację można znalezć w dokumentacji zasilacza. Wartością
domyślną jest liczba 100, która oznacza, że jedna minuta pracy
baterii wymaga 100 minut ładowania. W pole można wpisać
liczby całkowite z przedziału od 1 do 250.
6. W obszarze UPS Serv ice ustawiamy częstotliwość sygnałów
alarmowych. Wybór wartości zależy od decyzji adminstratora
systemu.
Time between power failure and initial warning message
(Czas od awarii zasilania do komunikatu ostrzegawczego):
W razie zaniku zasilania podstawowego i przełączenia się na
awaryjne, NT wysyła alarm administracyjny. Wartość wpisana
w polu ustala czas oczekiwania systemu na wznowienie zasilania
bez ogłaszania alertu. Z reguły domyślna wartość 5 sekund jest
optymalna (chcąc ją zmienić, możemy wybrać liczbę od 0 do
120).
Delay between warning messages (Odstępy pomiędzy
sygnałami ostrzegawczymi): W razie braku zasilania sieciowego,
system będzie wznawiał alarmy w określonych wartością pola
odstępach. Domyślna wielkość 120 sekund może być zmieniona
w przedziale od 5300 sekund. Nie można wyłączyć alarmów
administracyjnych.
7. Po ustaleniu wszystkich parametrów klikamy OK. NT zapisze
konfigurację i uruchomi obsługę UPS-a. Od tej pory będzie ją
uruchamiał automatycznie, z chwilą włączenia systemu.
954 Rozdział 23
Testowanie zasilacza awaryjnego
Po skonfigurowaniu urządzenia należy sprawdzić jego działanie.
Najprostszym test polega na odłączeniu zasilacza od sieci. Za
pierwszym razem nie należy tego robić z serwerem NT
(podłączonym do zasilacza). Niektóre elementy UPS-a mogą być
niezdolne do pracy, zanim nie zostanie on załadowany
i uruchomiony. Dopóki nie przekonamy się, że zasilacz działa
w pełni prawidłowo, testy przeprowadzamy na monitorze.
Odłączając prąd od zasilacza, dowiemy się, czy i z jakim
opóznieniem zasygnalizuje on brak zasilania.
Ostrzeżenie: Nie należy, wzorem większości użytkowników,
uruchamiać zasilacza natychmiast po zakupie- oczekując, że będzie
w pełni spełniać swoje zadania. Najpierw musimy się upewnić, że
baterie urządzenia są w pełni załadowane (wymaga to zazwyczaj
podłączenia do sieci na całą noc). Windows NT zakłada bowiem
(do kalkulacji), że zainstalowany UPS ma w pełni załadowane
akumulatory.
Teraz możemy, według poniższej procedury, sprawdzić
współdziałanie zasilacza z Windows NT:
1. Zarejestrować się w systemie, jako użytkownik z grupy
administratorów.
2. Odłączyć zasilacz od prądu, odczekać jedną do dwóch minut
i włączyć go ponownie. W ten sposób sprawdzamy, czy system
zgłasza brak zasilania (zgodnie z ustawionymi parametrami).
3. Otworzyć okno Przeglądarki zdarzeń (Event Viewer) i sprawdzić
zapisy w protokole systemowym (system log). Powinniśmy
znalezć informację, że system został przełączony na zasilanie
awaryjne, a następnie powrócił do normalnego trybu pracy.
Podwójne kliknięcie w obszarze Przeglądarki zdarzeń spowoduje
wyświetlenie rozszerzonej informacji.
4. Można się w końcu przekonać, czy NT zadziała prawidłowo
w przypadku wyczerpania się baterii. Warto zrobić taki test, aby
mieć pewność, że żywotność baterii nie odbiega rażąco od
przyjętych założeń, oraz że system zostanie łagodnie wygaszony
na wypadek prawdziwej awarii. Należy pamiętać, że po takim
Zabezpieczenie Zasobów Serwera 955
teście system odzyska zdolność do pełnej ochrony, dopiero po
załadowaniu akumulatorów.
Zasilacz należy regularnie testować, choć niekoniecznie wykonując
wszystkie opisane wyżej sprawdziany. Większość urządzeń ma
wbudowany przycisk kontrolny, pozwalający zasymulować
chwilowy zanik zasilania.
Informacja o UPS w systemowych bazach danych
W czasie instalacji Windows NT nie są ustalane żadne domyślne
ustawienia zasilaczy awaryjnych. Dopiero w chwili pierwszego
uruchomienia programu obsługi UPS-a (z grupy Control Panel)
utworzy on odpowiedni zbiór informacyjny o adresie:
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\UPS
Aby zasilacz działał prawidłowo, zbiór musi istnieć i mieć
prawidłową zawartość. Po deinstalacji obsługi UPS-a baza nie będzie
usunięta automatycznie.
Do prawidłowej pracy zasilacza zbiór konfiguracyjny powinien
zawierać następujące sześć elementów:
Tabela 23.1. Wartości parametrów opisujących UPS.
nazwa zmiennej typ zmiennej zakres wart. uwagi
domyślna
BatteryLife REG_DWORD
2720 2 Czas, przez jaki baterie
min. podtrzymują system
po zaniku zasilania.
CommandFile REG_EXPAND_SZ
nazwa brak Program lub skrypt,
pliku który powinien zostać
wykonany przed
wygaszeniem systemu.
FirstMessageDelay REG_DWORD
0120 5 Czas oczekiwania na
sek. powrót zasilania przed
wysłaniem alarmu
systemowego.
MessageInterval REG_DWORD
5300 120 Interwał pomiędzy
sek kolejnymi alarmami
systemowymi o braku
zasilania.
956 Rozdział 23
Port REG_SZ
nazwa COM1 Nazwa portu
portu szeregowego serwera,
COM do którego podłączony
jest UPS.
RechargeRate REG_SZ
1250 100 Współczynnik
min. określający niezbędny
czas ładowania
akumulatorów, po
jednej minucie
zasilania awaryjnego
Wyszukiwarka
Podobne podstrony:
Bestia zachowuje sie źle Shelly Laurenston Rozdział 23Rozdział 23 (tł Kath)Rozdział 23 Wielki bal u szatanaPan Wolodyjowski Rozdzial 23Wings of the wicked rozdział 23PATOMORFOLOGIA, NOTATKI ROZDZIAŁ 23, 29 Część 5rozdział 23 Czwarty osobisty pobyt Belzebuba na planecie ZiemiaRozdział 23rozdzial 23rozdzial 23Rozdział 23fiszki 01 23 i 24Rozdział 24więcej podobnych podstron