Чтобы осуществлять эффективную поддержку сетей Windows 2000 и обеспечить хотя бы такой же коэффициент готовности сети, который был достигнут для сетей предыдущих версий Windows, администраторам предстоит реализовать более высокий уровень управления сетевой активностью. Естественно, прежний императив остается: независимо от рассматриваемой компьютерной сети - это мониторинг таких параметров, как загрузка процессора, использование физической памяти и дисковой подсистемы, уровень сетевого взаимодействия. Однако с появлением Windows 2000 возникает необходимость в регулярном мониторинге компонентов, служб, взаимозависимостей, о которых ранее никто не заботился, так как их просто не было.
К числу новых сущностей, которые в совокупности образуют инфраструктуру ядра Windows 2000, следует отнести базы данных и службы Active Directory (AD), сервера DNS, глобального каталога - Global Catalog (GC), а также ролевых серверов Operation Masters. Правильное функционирование в сети как самой операционной системы Windows 2000, так и приложений, ориентированных на нее, очень сильно зависит от состояния этих служб и компонентов. Таким образом, сетевые администраторы обязаны не только гарантировать доступность таких компонентов, но и обеспечить приемлемую производительность всего комплекса. Недоработки в этой области могут вызвать проблемы общесетевого масштаба, в том числе привести к недопустимо медленной сетевой авторизации или сбоям при ее проведении, несогласованности баз данных AD на различных серверах и отсутствию доступа к критически важным приложениям. Для грамотного технического обеспечения инфраструктуры сети Windows 2000 IT-специалисты должны знать, какие именно компоненты следует подвергнуть мониторингу, а также иметь ясное представление об инструментах, необходимых для проведения полномасштабного мониторинга сети Windows 2000.
AD - «спинной хребет» Windows 2000
Прежде чем рассматривать особенности AD, хочу познакомить читателей с основными терминами и концепциями, относящимися к сетям, которые классифицируются как directory-enabled. В иерархических структурах, где сама информация и доступ к ней организованы более-менее понятным образом, то, что называется каталогом (directory), или хранилищем данных, обеспечивает предоставление данных об объектах внутри известных конструкций или окружения (например, сети). Сами объекты содержат такую традиционную информацию о сетевых ресурсах, как, скажем, учетная запись пользователя или станции, описание сетевого приложения, различных служб, политики безопасности.
Directory Service (служба каталогов) - это составное понятие, означающее как собственно хранилище данных, так и службы, обеспечивающие доступ к хранимой информации со стороны пользователей и приложений. Существует несколько вариантов службы Directory Services и, соответственно, несколько ее «авторов». Directory Services от Microsoft и от Novell, AD и Novell Directory Services (NDS) - это пример реализации службы каталогов общего назначения, которую производители программного обеспечения включают в состав своих сетевых операционных систем. Они проектируются в соответствии с требованиями к многоцелевым каталогам, работать с которыми могут и пользователи операционной системы, и приложения, и драйверы устройств. При этом некоторые приложения имеют и свои собственные структуры для хранения данных. К ним относятся приложения типа Enterprise Resource Planning (ERP), Human Resources (HR), а также почтовые системы (например, Microsoft Exchange Server).
Почему понятию «каталог» (в данном контексте) уделяется так много внимания? Дело в том, что структуры каталога реализуют центральный репозитарий, хранилище для всех принципиально важных данных общесетевого масштаба, в том числе сведений об учетных записях пользователей; данных о сетевых станциях, принтерах, приложениях (например, HR-базе данных); данных о безопасности и политике конфигурации системы. Сведениями, содержащимися в центральном хранилище, скажем в AD, можно воспользоваться для консолидации наиболее важных данных в единый сетевой ресурс общего доступа. Такой подход существенно повышает эффективность работы организации, а также снижает стоимость владения и эксплуатации сетевых устройств.
Несмотря на то что централизация и консолидация данных - это ключевое преимущество при использовании Directory Services, подобная функциональность представляет собой и одно из наиболее слабых мест в самой концепции Directory Services. Централизация жизненно важной информации неизбежно снижает устойчивость сети к сбоям, а значит, увеличивает риск возможных потерь во время простоя. Таким образом, известная доля усилий, направленных на мониторинг сети, должна быть сосредоточена на AD и ее компонентах.
Как правило, преимущества развертывания службы AD и являются для крупных заказчиков достаточным аргументом для перехода на использование систем Windows 2000. С появлением AD наконец-то был решен вопрос о способах поддержки крупных и глобальных сетей. Несмотря на то что к моменту выпуска AD на рынке программного обеспечения уже существовали вполне работоспособные решения (скажем, StreetTalk от Banyan и NDS от Novell), многие организации, ориентированные в основном на продукцию Microsoft и, в частности, использование систем Windows NT, предпочли дождаться выхода именно AD как основы для дальнейшего развития своих сетей.
Хостинг AD реализуется на одном или нескольких контроллерах домена, представленных серверами Windows 2000. Эти контроллеры регулярно обмениваются информацией об изменениях в базе данных AD в режиме MultiMaster (режим нескольких основных контроллеров домена), гарантируя тем самым более высокую надежность как самого каталога, так и сети в целом. Сценарий репликации данных в указанном режиме подразумевает, что одновременно выполняется множество операций чтения и записи в базе данных и от разных контроллеров. Такой подход отличается от принятого в сети Windows NT режима SingleMaster, где топология репликации состоит из основного и вспомогательных контроллеров (PDC и BDC, соответственно), причем PDC хранит основную копию базы данных, в которую только он имеет право записывать информацию. Для обеспечения дополнительного уровня безопасности при обращении к сетевым объектам и службам, хранящимся в центральном репозитарии, в AD предусмотрен специальный механизм безопасного доступа в форме списков контроля доступа (DACL). Служба AD использует списки DACL применительно к объектам базы каталога для предотвращения несанкционированного доступа к ним.
С точки зрения физической реализации служба AD использует для хранения данных технологию Extensible Storage Engine (ESE), разработанную в компании Microsoft. Кстати, такой продукт, как Exchange Server, тоже использует технологию ESE. Подобно Exchange Server база данных AD «пользуется услугами» файлов транзакций для поддержания целостности базы данных в случае возникновения всевозможных нештатных ситуаций (например, при отключении питания), анализируя успешно завершенные транзакции. Так же, как и Exchange Server, служба AD способна обслуживать базу данных в оперативном режиме и выполнять дефрагментацию базы.
AD - это база данных, так что каждый контроллер доменаWindows 2000 фактически является сервером базы данных особой важности. Следовательно, администратору сети надлежит «обустроить» свои контроллеры домена Windows 2000 с точки зрения обеспечения отказоустойчивости с не меньшим усердием, чем при развертывании обычного сервера базы данных. Т. е. необходимо выполнить резервирование дисковой подсистемы, разработать схему общесистемного резервирования данных, обеспечить защиту питания, а также планировать режим загрузки сервера.
Несмотря на то что интерфейс управления AD и библиотеки API скрывают «строительные блоки», из которых сформирована служба каталогов, будущим администраторам Windows 2000 необходимо иметь представление о принципах построения AD. Например, все тома контроллеров домена, которые обеспечивают хостинг файлу базы данных AD и журналам транзакций, должны обеспечивать адекватный уровень свободного дискового пространства в каждый момент времени. Кроме того, администратор системы должен быть всегда уверен в отсутствии высокой степени фрагментации базы данных AD. Наконец, администратору требуются инструменты, которые позволяют постоянно отслеживать состояние служб и компонентов, формирующих AD, что равносильно наблюдению за работой сети Windows 2000.
DNS: ворота в AD
Протокол TCP/IP в сети Windows 2000 играет существенно большую роль, нежели в предыдущих версиях NT. Да, Windows 2000 продолжает поддерживать использование таких протоколов, как IPX и NetBEUI, но подавляющее большинство внутренних механизмов Windows 2000, включая AD, основано на транспорте TCP/IP. В сетях, где реализована служба AD, как и во всех прочих сетях, использующих протокол TCP/IP, важное место занимает служба разрешения имен. Та область имен, в границах которой соответствующая сетевая служба в состоянии решить указанную задачу, называется пространством имен (namespace). В сетях NT это была прежде всего область имен NetBIOS, а серверы WINS в основном решали задачу установления соответствия между сетевым именем и IP-адресом. Для сети Windows 2000 пространство имен NetBIOS уже не является основным, оно заменено на имена DNS. Как и в AD, в DNS применяется иерархический принцип построения имен и используется понятие домена, хотя в контексте DNS домены представляют собой нечто иное, нежели в AD.
В принципе, пространство имен DNS можно подключить для поиска соответствия имен адресам IP и в сетях NT, но это имеет смысл в основном в гетерогенных средах либо в сфере Internet-приложений. Применительно к AD функции DNS-сервера играют принципиально важную роль. Помимо замены пространства имен NetBIOS как основного пространства имен для Windows 2000, разработчики Microsoft спроектировали домены Windows 2000 с учетом стандартов именования, принятых в DNS. При этом имена доменов AD непосредственно отображаются в пространство имен DNS. Вместе с тем, компании, которые в соответствии с рекомендациями Microsoft используют раздельные конфигурации DNS для внутренней (LAN) и внешней (Internet) сети, могут столкнуться с дублированием имен. И наконец, для Windows 2000 служба DNS, помимо сказанного выше, выполняет роль службы обнаружения - locator service, - принятой по умолчанию. Именно эта служба используется операционной системой для конвертации имен доменов AD, узлов и названий всевозможных служб в соответствующие IP-адреса.
Хотя пространства имен AD и DNS в сети Windows 2000 абсолютно идентичны в том, что касается имен доменов, во всем остальном они уникальны, и Windows 2000 использует эти пространства для различных целей. Так, база данных DNS содержит сведения о доменах и специальные записи (например, IP-адреса хостов, А-записи, SRV-записи, MX-записи) зонных файлов DNS того или иного домена. Служба AD, с другой стороны, хранит сведения о различных объектах, включая домены, организационные единицы - organizational unit (OU), пользователей, компьютеры и групповые политики.
Далее. DNS и AD объединяет и то, что информация серверов DNS на базе Windows 2000, содержащаяся в зонных файлах, хранится непосредственно внутри AD, а не в текстовых файлах. И хотя DNS функционально не зависит от AD, та все же влияет на работу DNS.
В Windows 2000 реализована поддержка динамической DNS (DDNS, описание которой приводится в IETF RFC 2136). Это дает возможность клиентам, «понимающим» AD, успешно локализовать такие важные сетевые ресурсы, как, например, контроллеры доменов, с помощью специальных ресурсных записей, называемых SRV-записями. Это означает, что аккуратное ведение SRV-записей жизненно важно для правильного функционирования сети Windows 2000 и поддержания готовности систем и служб, на которые эти записи ссылаются. После того как AD-клиенты воспользуются SRV-записями DNS для локализации контроллера домена, клиент обращается по протоколу Lightweight Directory Access Protocol (LDAP) к контроллеру домена с запросом на предмет разрешения имен объектов службы каталогов по соответствующим им записям.
Глобальный каталог - GS
Служба AD является центральным компонентом сети Windows 2000, поэтому запросы к AD от сетевых клиентов и серверов направляются довольно часто. Для повышения готовности базы данных AD в масштабах всей сети и эффективности обслуживания клиентских запросов, адресованных к объектам AD, в составе Windows 2000 реализована служба, названная глобальным каталогом - Global Catalog (GC). Глобальный каталог представляет собой самостоятельную базу данных, отдельную от AD, в которой содержатся индексы часто запрашиваемых атрибутов основных объектов AD. Сервером GC может быть только контроллер домена на базе Windows 2000. В каждом лесу Windows 2000 должен быть по крайней мере один GC-сервер, и по умолчанию самый первый установленный в лесу Windows 2000 контроллер домена будет играть роль GC-сервера. Впоследствии можно переместить службу глобального каталога на другой контроллер домена. Как и AD, сервер GC применяет технику репликации для обновления содержимого различных GC-серверов в домене или лесу Windows 2000. В дополнение к названной функции - хранение основных объектов AD и соответствующих им атрибутов - GC-сервер обеспечивает сетевую регистрацию клиентов, а также поиск по дереву каталогов и обработку запросов.
Если при создании домена Windows 2000 установлен режим Native (т. е. все контроллеры домена являются серверами Windows 2000, и администратор явно указал этот режим), то сервер GC предоставляет AD-клиентам во время регистрации в сети определенные преимущества. Служба глобального каталога поддерживает работу с информацией о принадлежности той или иной учетной записи к так называемой универсальной группе - universal group - для обработки запросов клиентов на регистрацию. GC-сервер предоставляет эти услуги не только рядовым пользователям, но и вообще для любого типа объекта, которому требуется идентификация в AD. В сети со многими доменами по меньшей мере один контроллер, функционирующий как GC-сервер, должен быть доступен пользователям, чтобы регистрация в принципе была возможной. Другой пример ситуации, когда необходимо наличие сервера GC: пользователь попытался выполнить регистрацию, задав свое UPN-имя (User Principal Name), отличное от назначаемого системой по умолчанию. В том случае, когда GC-сервер недоступен, регистрация возможна только на локальной станции. Правда, есть одно исключение: если пользователь принадлежит к группе Domain Administrators, ему не нужен сервер GC для регистрации в сети.
Служба AD, обрабатывая поступившие обращения, будь то поиск в каталоге или запрос на обработку некоторой информации, в первую очередь обращает внимание на запросы, связанные с записью в базу данных, например обновление содержимого каталога. Основная доля сетевого трафика, связанного с работой AD в сети Windows 2000, относится к запросам пользователей, администраторов и приложений относительно поиска объектов AD. Следовательно, идея GC оказывается весьма полезной в инфраструктуре Windows 2000, поскольку сервер GC дает клиентам возможность быстро выполнять поиск в самых разных доменах леса.
Смешанная модель домена Windows 2000 - Mixed-mode - не требует сервера GC для осуществления процедуры идентификации при сетевой регистрации. Вместе с тем, GC по-прежнему играет важную роль в обработке запросов в каталоге и поиске информации в сети, поэтому неплохо было бы в пределах каждого узла сети установить по крайней мере один сервер GC.
Мастер операций - Operation Master
Центральное место в организации сетей Windows 2000 и развертывании AD занимают вопросы, связанные с репликацией информации в режиме MultiMaster. Вместе с тем, из-за потенциальных коллизий и конфликтов между несколькими серверами при проведении ряда сетевых операций равенство ролей всех участников процесса репликации - явление нежелательное. Для решения подобных проблем в Windows 2000 реализован принцип закрепления за тем или иным компьютером роли так называемого мастера операций (еще говорят о создании настраиваемого мастера единичной операции - Flexible Single Master Operation, FSMO). Каждый такой мастер несет ответственность за обработку изменений в определенной области AD. Всего имеется пять мастер-ролей: Schema Master, Domain Naming Master, PDC Emulator, Relative Identifier (RID) Master и Infrastructure Master. Первые две роли являются специфичными для работы на уровне леса, в то время как другие три предназначены для работы внутри домена. Сама операционная система Windows 2000 автоматически выбирает серверы для исполнения той или иной мастер-роли в процессе создания каждого нового леса AD и домена.
Schema master. Контроллер домена Windows 2000, за которым закреплена роль Schema Master, отвечает за все обновления и модификации схемы AD на уровне леса. Напомню, что схема описывает типы объектов, которые могут храниться в AD, и их атрибуты. Модифицировать схему леса могут лишь члены группы Administrators, причем только с консоли сервера Schema Master.
Domain naming master. Контроллер домена Windows 2000, на который возложено исполнение роли Domain Naming Master, отвечает за внесение изменений в пространство имен домена AD на уровне леса. Только с консоли данного сервера можно выполнять внесение домена в иерархию каталога (или удаление его), а также добавлять или удалять ссылки к доменам во внешних каталогах.
PDC Emulator. Если в составе домена Windows 2000 имеются клиенты, которые не «понимают» службу AD, или имеет место смешанная (Mixed-mode) модель домена, содержащая BDC - резервные контроллеры домена NT, то сервер PDC Emulator выступает для NT-клиентов как основной (PDC) контроллер домена. Помимо функции репликации части содержимого каталога, которая совместима с NT, на все резервные (BDC) контроллеры домена, эмулятор PDC выполняет синхронизацию времени в сети, блокировку учетных записей и изменение паролей клиентов.
RID master. Сервер в роли RID-мастера формирует идентификационную последовательность для контроллеров своего домена. Когда бы контроллер домена Windows 2000 ни создавал тот или иной объект, идентификатор безопасности (SID) последнего должен быть уникальным. Абсолютный SID объекта формируется из двух частей: идентификатора безопасности домена (неизменного в рамках домена) и относительного идентификатора безопасности объекта (RID). Когда контроллер домена полностью выбирает внутренний пул относительных идентификаторов RID, он выдает запрос в пул соседнего RID-мастера.
Infrastructure master. При обращении к объекту другого домена используются три идентификатора: глобальный уникальный идентификатор (GUID), знакомый нам SID и отличительное имя - Distinguished Name (DN) - того объекта, на который осуществляется ссылка. Задача обновления SID и DN объекта при междоменных обращениях возложена на контроллер домена, исполняющего роль Infrastructure Master. Кроме того, этот же контроллер занимается обновлением всех междоменных ссылок (иначе говоря, когда администратор переименовывает или меняет состав группы, именно сервер Infrastructure Master обновляет ссылки типа группа-пользователь). И, наконец, Infrastructure Master использует репликацию в режиме MultiMaster для распространения внесенных изменений.
Мастера операций играют ключевую роль в сети Windows 2000, поэтому очень важно, чтобы эти серверы всегда были доступны. Общесетевые проблемы могут стать причиной недоступности сетевых служб и нарушений целостности базы данных AD: например, сбой в работе RID-мастера сделает невозможным выделение относительного идентификатора безопасности RID вновь создаваемым объектам AD.
Мониторинг в Windows 2000
Сети Windows 2000 с поддержкой AD имеют ряд новых и весьма важных инфраструктурных компонентов, которые в прежних версиях NT отсутствовали. Как результат этого нововведения, для того чтобы убедиться в доступности эксплуатируемых систем на базе Windows 2000, администраторам сети придется учитывать новые компоненты в процессе ежедневного сетевого мониторинга. В Таблице 1 перечислены потенциальные проблемы, связанные с компонентами и сетевыми службами, которые нуждаются в регулярном мониторинге. Администратор может развернуть несколько программных комплексов сетевого управления и использовать набор различных технических приемов для обеспечения нормальной работы вверенной ему сети.
Основной объект мониторинга в среде Windows 2000 - это AD и все относящиеся к ней службы и компоненты. Этот процесс включает анализ реакции на запросы к DNS и LDAP, мониторинг репликации внутри узла и между различными узлами и анализ работы службы Knowledge Consistency Checker (KCC). Конечно, состояние и коэффициент готовности таких служб, как DNS, GC и DFS, также должны стать предметом заботы сетевого администратора.
Заметим, однако, что знание метрик, значение которых нужно отслеживать, - это лишь первый шаг. Наиболее важный и сложный аспект при проведении мониторинга состояния сети и ее характеристик производительности заключается не в том, чтобы выяснить - что контролировать, а в том, как использовать собранные данные о многочисленных характеристиках для осмысленного заключения о состоянии сети. Например, можно использовать программу Performance Monitor для сбора данных о процессе репликации базы AD, но просто обладание накопленной информацией вовсе не означает, что она будет автоматически адекватно интерпретирована или будут найдены границы допустимых значений параметров.
Помощь со стороны
Я настоятельно рекомендую администраторам, занятым превентивным мониторингом своей сети, сделать некоторые инвестиции в развертывание имеющихся систем сетевого мониторинга. Ценность таких систем состоит не только в накоплении информации, но и в том, что они располагают базой данных для идентификации сетевых проблем. Советую обратить внимание на программные комплексы с такими элементами, как возможность оповещения о тех или иных событиях и мониторинга изменений в базе данных AD. Лучшие из этих решений спроектированы таким образом, что не замедляют работу сети, содержат базу знаний технической поддержки, а также имеют расширенную функциональность за счет возможности заключить соглашение по проблемной тематике.
Решение проблем. Во многих продуктах независимых компаний автоматически поддерживаются механизмы принятия решений для выполнения корректирующих действий при идентификации той или иной проблемы. Скажем, можно настроить программное обеспечение на выполнение перезапуска службы, если выясняется, что та «зависла». Для решения этих задач во многих утилитах используется технология составления сценариев или же вызова внешних программ.
Сложные программные пакеты сетевого мониторинга основаны на системе правил, сформулированных во внутренней базе данных или же на сложном алгоритме обработки проблемных ситуаций, который должен смоделировать действия администратора сети. Например, можно сконфигурировать некоторые утилиты независимых производителей следующим образом: в самый первый раз при обнаружении зависания перезапустить проблемную службу; перезапустить компьютер, если перезапуск службы не помогает; наконец, если рестарт основной системы ничего не дает, запустить резервную систему. Выбирая утилиты, обладающие функциями принятия решения, нужно обращать внимание на те, которые предоставляют в распоряжение администратора сети удобные средства создания сценариев либо обладают возможностями дополнительной настройки и запуска мероприятий по принятию решений.
Режимы оповещения. Добротно сделанное программное обеспечение сетевого мониторинга предоставляет сетевому администратору возможность выбора режимов оповещения - вывода сообщений на консоль, привычных всплывающих сообщений, записей в системные журналы, рассылки сообщений по электронной почте или на пейджер, сообщений по SNMP. Можно даже отыскать системы мониторинга, имеющие общий интерфейс с некоторыми популярными пакетами сетевого менеджмента. Подробнее о таких программах мониторинга рассказано во врезке «Программные средства сетевого мониторинга Windows 2000».
Функция отслеживания изменений в базе данных AD. Помимо функций слежения и поиска неисправностей в сетевой инфраструктуре Windows 2000, система мониторинга предоставляет возможность отслеживать и проводить аудит внесенных изменений - в частности в AD. Существуют организации, в которых ежедневно десятки и даже сотни администраторов могут своими действиями вносить изменения в AD: добавлять объекты типа OU, создавать пользователей, группы, принтеры, описывать новые групповые политики. Чтобы удержать ситуацию под контролем, в таких организациях необходимо развернуть систему, способную идентифицировать самые последние из внесенных в объекты AD изменений, устанавливать список лиц, внесших эти изменения, и время их появления в базе данных AD. Например, при необходимости отследить историю изменений в схеме, OU-объектах, контактах, компьютерах, принтерах, а также проведенных мероприятиях по восстановлению каталога (т. е. фактам запуска процедуры Directory Services Restore Mode на каком-либо контроллере домена). Если выбранная система мониторинга позволяет это сделать, следует рассмотреть вопрос о ежедневном составлении отчета о подобной активности и взять за правило просмотр отчетов с частотой, достаточной для своевременного обнаружения потенциальных проблем.
Архитектура продукта. Важное значение при выборе системы сетевого мониторинга для организации имеет архитектура программного продукта. Нужно знать, как именно осуществляется сбор данных и как повлияет процесс сбора информации на работу сети и серверов. Устанавливаются ли локальные агенты для получения значений необходимых параметров работы или же имеет место запрос к удаленной системе? Достаточно ли собирается данных для контроля за полосой пропускания сети и использованием системных ресурсов? Учитываются ли в архитектуре продукта особенности иерархии сети по схеме станции/узел/домен, корректно ли при этом пересылаются данные в центральный репозитарий мониторинга? Поддерживает ли продукт Web-управление? Все это может оказать влияние на рабочие характеристики сетевой среды и степень соответствия выбранной системы мониторинга потребностям организации.
Поддержка базы знаний. Еще один критерий выбора той или иной системы мониторинга - обеспечивает ли программное обеспечение поддержку встроенной базы знаний при решении основных сетевых проблем и предлагаются ли при этом готовые решения. Владеть подобной информацией необходимо и с технической, и с финансовой точки зрения, поскольку это сокращает время подготовки технического персонала и экономит время администраторов. Некоторые утилиты дополняют уже имеющуюся базу новыми данными, поднимают качество мониторинга на более высокий уровень, создавая тем самым всеобъемлющие системы принятия решений.
Соглашение на получение сервисного обслуживания (SLA). Центры предоставления технических услуг, имеющие соглашение на получение сервисного обслуживания (SLA) с клиентами или же головными организациями, могут рассмотреть вопрос о развертывании программного комплекса сетевого мониторинга. В соответствии с SLA-статусом функциональность приобретенного продукта расширяется за счет возможности генерации оповещений и отчетов при обнаружении подозрительных событий, входящих в оговоренный в соглашении SLA список.
Инструменты мониторинга
Знание жизненно важных элементов сети Windows 2000, равно как и основных характеристик этой операционной системы, нуждающихся в регулярном мониторинге, позволяет выбрать подходящий программный комплекс. На рынке программного обеспечения имеется огромное количество программ, обеспечивающих возможность проведения сетевого мониторинга. Однако можно пересчитать по пальцам те из них, которые в состоянии осуществить обработку вышеперечисленных компонентов Windows 2000. Более подробная информация содержится во врезке «Программные средства сетевого мониторинга Windows 2000».
Если бюджет организации не позволяет приобрести инструмент для мониторинга производства независимых компаний, не надо отчаиваться. В самой операционной системе Windows 2000, в комплекте Windows 2000 Support Tools (пакет доступен для всех версий Windows 2000 или может быть загружен с сайта Microsoft), а также в Windows 2000 Resource Kit имеется набор утилит, которые можно задействовать для сборки скромной, но вполне пригодной для использования системы сетевого мониторинга (в Таблице 2 перечислены эти утилиты и указано, где их можно найти).
При готовности потратить некоторое время на создание собственных сценариев всегда можно написать административные процедуры для дополнения возможностей утилит Windows 2000 несложными средствами автоматизации (например, составлять расписание выполнения заданий, которые будут регулярно опрашивать состояние операционных служб и рабочих станций; выдавать запросы с разветвленной логикой, а также оценивать получаемые ответы). При желании можно даже попытаться воспроизвести некоторую функциональность, присутствующую в программных продуктах более высокого уровня.
Совершенствуйте свой опыт
С выходом в свет изощренно разработанной службы AD, операционная система Windows 2000 демонстрирует существенное продвижение вперед в эволюционном пути развития сетей NT. Очевидно также, что Windows 2000 открывает новую степень сложности сетевой инфраструктуры, которая требует от обслуживающего персонала новых знаний и инструментов для адекватного мониторинга. Чтобы как-то облегчить бремя обслуживания сети Windows 2000, есть смысл рассмотреть использование программного обеспечения для проведения сетевого мониторинга, которое бы обеспечило анализ аспектов работы, характерных для новой операционной системы Windows 2000. При использовании в повседневной работе должным образом подобранных утилит, администраторы сети получат в свое распоряжение систему раннего оповещения о возможных проблемах в сети. Это снизит риск потери информации из-за возможных простоев в сети и будет способствовать формированию базы знаний, которая преумножит и углубит знания обслуживающего технического персонала.
ОБ АВТОРЕ
Шон Дейли - редактор журнала Windows NT Magazine и президент компании iNTellinet Solutions, занимающейся консалтингом и сетевой интеграцией. Имеет звание MCSE. Последней из его книг была «Optimizing Windows NT», выпущенная издательством IDG Books. С ним можно связаться по адресу электронной почты: sean@ntsol.com.
Программные средства сетевого мониторинга Windows 2000.
AppManager Suite
OnePoint Operations Manager
NetIQ
http://www.netiq.com/
DirectoryAnalyzer
NetPro
http://www.netpro.com/
OpenView
OpenView Express
OpenView ManageX
Hewlett-Packard
http://www.openview.hp.com/
Unicenter TNG
NetworkIT
Computer Associates
http://www.cai.com/
Таблица 1. Потенциальные проблемы в работе служб и компонентов Windows 2000. | |
Компоненты и службы Windows 2000 | Потенциальные проблемы |
Контроллеры доменов (DC) и AD | Контроллеры доменов испытывают дефицит мощности процессора, объем установленной памяти недостаточен. Не хватает свободного дискового пространства тома, на котором размещен каталог SYSVOL, файл базы данных AD (ntds.dit) или файл транзакций AD. Наличие низкоскоростного соединения или разрыв связи между контроллерами домена (данного сайта или же между несколькими сайтами). Замедленная реакция или сбой при запросе аутентификации клиента в сети. Замедленная реакция или сбой при запросе LDAP. Замедленная реакция или сбой при запросе Key Distribution Center (KDC). Замедленная реакция или сбой при запросе синхронизации AD. Служба Netlogon функционирует неправильно. Служба агента Directory service agent (DSA) функционирует неправильно. KCC функционирует неправильно. Слишком большое число SMB-соединений. Неудачная отработка запроса на выделение памяти мастером RID для локального сервера. Трудности с установлением транзитивных или внешних доверительных отношений с доменами Windows 2000 или Windows NT. Низкий коэффициент эффективного поиска в кэше в процессе разрешения имен. |
Репликация | Сбой в процессе репликации. Замедленный процесс репликации. Реплицируемая топология неправильна или неполна (т. е. отсутствуют данные о транзитивной непротиворечивости). Репликация проходит на фоне высокого сетевого трафика. В процессе репликации было передано чрезмерно большое число свойств. Сбой при обновлении счетчика Update sequence number (USN). Критичные отказы, связанные с процессом репликации. |
GC | Замедленная реакция или сбой при запросе GC. Сбои во время репликации GC. |
DNS | Неверные данные или их отсутствие в записях SRV контроллеров домена. Замедленная реакция или сбой при обращении к DNS. Сбой при обновлении файла зоны сервера DNS. |
Серверы Operation Master | Недоступность одного или более серверов Operation Master. Несогласованность при выполнении ролей серверами Operation Master между контроллерами домена внутри домена или в лесу. Замедленная реакция или сбой при обращении к Operation Master. |
Дополнительные компоненты | Проблемы соединения на низком уровне. Проблемы маршрутизации трафика TCP/IP. Нехватка памяти под пул адресов DHCP IP. Сбой при репликации или обращении к серверу WINS (для наследуемых систем и приложений, поддерживающих NetBIOS). Сбой во время работы приложения или службы, проблемы производительности системы в целом. |
Утилита | Функция | Где искать |
Performance Monitor (Perfmon.exe) | Приложение мониторинга системы Windows 2000 и Windows NT. Проверяет параметры практически каждого компонента операционной системы Windows 2000, а также многих приложений. | Windows 2000 (все версии) |
Dcdiag.exe | Утилита командной строки. Тестирует статус контроллера домена Windows 2000. | Windows 2000 Support Tools* |
Dsastat.exe | Утилита командной строки. Сравнивает деревья двух каталогов - или в составе AD или в составе GC - и гарантирует корректность обновлений контроллеров домена Windows 2000 или серверов GC. | Windows 2000 Support Tools* |
Replmon.exe | Графическая утилита. Тестирует состояние процесса репликации AD на низком уровне, просматривает топологию репликации, инициирует синхронизацию каталога. | Windows 2000 Support Tools* |
Repadmin.exe | Утилита командной строки. Просматривает топологию репликации, инициирует процедуру репликации, предоставляет возможность ручной модификации топологии репликации. | Windows 2000 Support Tools* |
Nltest.exe | Утилита командной строки. Тестирует статус и исправляет ошибки при установке доверительных отношений в сетях Windows 2000 и Windows NT. | Windows 2000 Support Tools* |
Dnscmd.exe | Утилита командной строки. Выполняет мониторинг и обслуживание серверов Windows 2000 DNS. | Windows 2000 Support Tools* |
* Утилиты Windows 2000 Support Tools находятся в каталоге support ools на установочном компакт-диске Windows 2000 (для всех версий Windows 2000). |