letters@win2000mag.ru

«Недавно у нас появился выделенный канал в Internet. Так как локальная сеть довольно развитая, а реальных IP-адресов немного, мы воспользовались входящей в состав Windows 2000 службой маршрутизации и удаленного доступа. Для этого был запущен протокол NAT и настроена трансляция адресов из внутренней сети во внешнюю, с конкретным диапазоном реальных IP-адресов.

Кроме того, нам нужно было подключаться к своей сети, и соответственно к Internet, удаленно. Мы попытались настроить службу на совместную работу NAT и RAS, но оказалось, что это невозможно: то удаленный клиент не может подключиться к Internet, то локальный пользователь, хотя внутренняя сеть пользователю RAS доступна».

Макаров Евгений, em@power-it.ru

Читателям отвечает эксперт

Олег Погорелый

Ситуация, описанная в письме, знакома многим. В организации установлен сервер Windows 2000, имеется выделенный канал в Internet, число реальных IP-адресов ограничено (чаще всего он один), а хочется обеспечить выход в Internet как пользователям локальной сети, так и удаленным клиентам, которые подключаются по Dial-up. При этом затраты на реализацию должны быть минимальные. В этом случае использование службы RRAS с протоколом Network Address Trans-lation (NAT) для небольших частных сетей является оптимальным решением. Но надо помнить о том, что протокол NAT не поддерживает кэширование, поэтому при увеличении числа локальных пользователей в будущем может резко возрасти трафик и нужно будет решать, что дешевле: приобретать отдельный продукт Proxy или оплачивать лишние мегабайты трафика.

Как показывает практика, проблем с обеспечением доступа в Internet локальных пользователей через NAT не возникает. Вся сложность заключается в обеспечении доступа с удаленных машин. При этом подключение к серверу происходит нормально, удаленный пользователь видит внутреннюю сеть, все ресурсы, но внешняя сеть недоступна. Как быть?

Экран 1. Настройка областей адресов в DHCP.

Сначала нужно определиться с диапазоном внутренних IP-адресов. Лучше всего, если локальные и удаленные пользователи будут получать адреса одной подсети. Сделать это несложно, достаточно активизировать DHCP-сервер, настроить в нем область адресов, скажем с 10.10.10.11 до 10.10.10.254 (первые 10 адресов резервируем под различные нужды), в настройках созданной области DHCP устанавливаем адрес шлюза для клиентов 10.10.10.1 (параметр 003) и адрес DNS-сервера (параметр 006), как показано на Экране 1. В свойствах NAT на вкладке «назначение адресов» (Adress Assignment) отключаем автоматическое назначение IP-адресов (см. Экран 2), а сетевой карте, подключенной к внутренней сети, присваиваем адрес 10.10.10.1. Для того чтобы удаленные машины также получали IP-адрес от DHCP, нужно открыть оснастку Routing and Remote Access и в свойствах сервера перейти на вкладку IP, где указать, что адреса серверов DHCP, DNS и WINS нужно получать через адаптер, относящийся к внутренней сети.

Экран 2. Настройка назначения IP-адресов в NAT.

Теперь самое главное. В RRAS должно быть по крайней мере четыре интерфейса (Routing Interfaces). Это:

  1. Loopback;
  2. интерфейс внешней сети;
  3. интерфейс внутренней сети;
  4. Internal - внутренний интерфейс удаленного доступа. Казалось бы, чего проще? Нужно добавить в NAT интерфейс Inter-nal. Однако если попытаться это сделать (New Interface), система выдает сообщение: «Нет интерфейсов для добавления».

И все же его добавить можно - через утилиту netsh. В команд-ной строке нужно набрать:

netsh routing ip nat add
 interface internal private

После выполнения данной команды в NAT добавится интерфейс Internal и удаленные пользователи получат доступ в Internet.

«Мои вопросы связаны с настройкой NAT. Его применение вызвано необходимостью совместного использования Internet-подключения. Вопросы такие.

1. Можно ли настроить преобразование адресов с отключенным распределителем IP-адресов из-за наличия в локальной сети своего DHCP-сервера?

2. Нужно ли настраивать DHCP-сервер на диапазон адресов 192.168.0.0 c маской 255.255.0.0?»

Игорь Аверин, abccom@permonline.ru

В принципе, сама служба NAT не зависит от DHCP. Раздавать IP-адреса может и другой сервер, причем диапазон адресов может быть любой из разрешенных для внутреннего использования. В этом случае на сетевой карте, которая относится к внутренней сети, на сервере, где устанавливается NAT, необходимо присвоить статический IP-адрес из этого диапазона, а DHCP настроить так, чтобы он всем клиентам, которым раздает адреса, выдавал в качестве адреса шлюза адрес этой карты. Если в сети есть DNS-сервер, то его адрес DHCP также должен сообщать клиентам. Если DNS нет, то его надо настроить на том же сервере, где устанавливается NAT.

Отсюда же следует ответ на второй вопрос, о настройке DHCP-сервера на диапазон адресов 192.168.0.0 c маской 255.255.0.0. Как говорилось выше, диапазон адресов может быть любой из разрешенных для внутреннего использования. Чтобы не задействовать службу раздачи адресов из выбранного диапазона, нужно не ставить флажок в настройках NAT -> Properties -> Adress Assignment -> Automatically assign addresses by using DHCP (см. Экран 2).

«Существует ли утилита, с помощью которой можно заблокировать консоль NT в определенный момент? Мне нужно сделать так, чтобы на машине, использующей автоматическую регистрацию, сразу после (или во время) входа в систему консоль блокировалась. Установка хранителя экрана в данном случае не подходит, ибо, во-первых, у него минимальное время задержки - одна минута, во-вторых, даже после запуска хранителя в течение некоторого времени его еще можно отключить без ввода пароля. От использования авторегистрации отказаться тоже не получается, ибо ряд необходимых для работы программ запускается из «Автозагрузки».

Игорь Кочетов, IKochetov@Mercury.ru

Если авторегистрация используется только для запуска некоторых программ с использованием пункта меню «Автозагрузка», то от нее обязательно надо отказаться, а необходимые программы запускать с помощью стандартного планировщика заданий (Task Scheduler), встроенного в Windows 2000. В NT 4.0 он появляется после установки Internet Explorer версии 4.0 и выше (можно также настроить запуск программ через команду АТ). В планировщике при добавлении задания нужно указать соответствующую программу, в расписании выбрать вариант «Выполнять при включении компьютера» и ввести учетную запись, от имени которой это задание будет выполняться. Тогда указанная программа будет запускаться до регистрации. Для того чтобы запущенная таким образом программа работала неограниченное время, необходимо в свойствах созданного задания выбрать вкладку «Настройка» и отключить параметр «Выполнять не дольше чем 72 ч». Также не забудьте убрать программу из меню автозагрузки. Подробнее о настройке планировщика можно почитать на нашем сайте по адресу: http://www.osp.ru/win2000/worknt/2001/03/301.htm. Думаю, что необходимость в блокировке консоли отпадет.

«При загрузке Windows 2000 Server выдается сообщение: «Файл подкачки отсутствует или слишком мал». При попытке изменить объем файла подкачки появляется другое сообщение: «Файл отсутствует или поврежден, создан временный», и изменение объема тоже ничего не дает. Можно ли выйти из положения, не переустанавливая систему? Команда chkdsk никаких ошибок не находит».

Алексей Сивцов, alex_si1@hotmail.com

При использовании файловой системы NTFS появление при загрузке сообщения: «Отсутствует или слишком мал файл подкачки», скорее всего, указывает на то, что изменены стандартные права доступа к объектам файловой системы того раздела диска, где находится файл подкачки pegefile.sys (по умолчанию он располагается в корневом каталоге раздела диска, на котором установлена операционная система).

Дело в том, что за создание и управление файлом подкачки отвечает встроенная учетная запись SYSTEM, которая должна иметь необходимые разрешения на тот раздел, где этот файл находится. Скорее всего, при редактировании прав доступа к данному разделу, Вы удалили из списка SECURITY группу EVERYONE, имеющую по умолчанию права Full Controll и не добавили учетную запись SYSTEM с соответствующими правами. Поэтому при загрузке система не может воспользоваться файлом подкачки и выдает вышеупомянутое сообщение.

ОЛЕГ ПОГОРЕЛЫЙ - системный администратор издательства «Открытые системы». С ним можно связаться по адресу: opog@osp.ru.