Рекомендации и инструментарий для управления фундаментальными компонентами архитектуры Windows.
По умолчанию, Windows 2000 Server в стандартной редакции (без пакетов исправления) инсталлирует 65 служб (другие продукты семейства Windows 2000 Server и Windows 2000 Professional устанавливают иные службы). В первой части статьи я дал определение служб и рассказал об их назначении, инструментах и приемах управления ими. Этого достаточно, чтобы приступить к оценке служб, работающих на машине, и оптимизировать их конфигурацию.
Компоненты операционной системы и инсталлируемые ими службы
Чтобы выяснить, какие службы Windows 2000 Server устанавливаются по умолчанию, я начал с инсталляции Windows 2000 Server на «чистой» машине, приняв стандартные параметры (дополнительно были установлены лишь инструменты управления и мониторинга, которые не загружаются в обычном режиме). Затем я запустил мастер Active Directory Installation Wizard (dcpromo.exe) и принял все параметры по умолчанию. С помощью мастера я назначил сервер первым контроллером домена (DC) в новом домене homedomain.com и установил службу DNS локально. В процессе инсталляции Active Directory (AD) появилась лишь одна новая служба, DNS Server, которая отвечает на запросы имен DNS и запросы обновления.
Хотя в процессе инсталляции AD была добавлена лишь одна новая служба, статус некоторых устанавливаемых по умолчанию служб Windows 2000 Server изменился с ручного запуска на блокированный или автоматический. В Таблице 1 показаны службы, необходимые для AD, но не запускаемые в стандартной автономной конфигурации сервера, если не активизировать их вручную.
И, наконец, с помощью утилиты Add/Remove Programs панели управления, я установил все имеющиеся собственные службы Windows и принял все стандартные параметры конфигурации. Вряд ли я сделал бы это на рабочем сервере. Но в данном случае мне было нужно просто исследовать службы и их возможности. В результате в системе появилось еще 24 службы, а параметр Startup Type (тип запуска) уже установленных служб Win-dows 2000 Server Terminal Services изменился с Disabled на Automatic. В Таблице 2 перечислены и описаны 24 дополнительные службы, появившиеся в результате этой операции.
Допустимые потери
Сможет ли корректно функционировать система Windows 2000 Server, на которой установлено 90 служб? Это зависит от вычислительной мощности сервера. Большинство служб потребляет ресурсы системы лишь в том случае, если они активны. Например, если на сервере нет активного Web-узла, то инсталляция и запуск Microsoft IIS не окажут существенного влияния на производительность системы.
По умолчанию, многие службы блокированы или настроены на ручной запуск, но чем больше служб загружается автоматически, тем больше памяти и ресурсов процессора используется в процессе обычной работы. Поэтому чем меньше работает служб, тем больше свободных ресурсов остается в распоряжении системы и тем быстрее работает компьютер. Таким образом, чтобы повысить производительность, следует разрешить автоматическую загрузку лишь необходимых приложений и блокировать или удалить (или настроить на ручной запуск) другие службы на сервере.
Однако блокировать или удалять службу нужно очень осторожно. Не следует удалять и отключать службы, назначение которых неизвестно. Отключение необходимой или зависимой службы может привести к сбою приложения, порче файлов или отказу системы. Возможность безопасного удаления или отключения службы зависит от конфигурации сервера. В Таблице 3 показаны службы, которые можно отключить, чтобы повысить производительность (предварительно убедившись, что службы не используются системой или другими приложениями). Корректно удалить службу можно с помощью утилиты Add/Remove Programs. Для этого следует щелкнуть на закладке Add/Remove Windows Components и запустить мастер Windows Components Wizard, который выводит на экран список служб Windows 2000. Инсталлированные службы отмечены флажками. Чтобы удалить службу, достаточно сбросить соответствующий флажок; чтобы изменить службу, нужно выбрать флажок, щелкнуть на кнопке Next и пройти по этапам конфигурирования выбранных служб (часть служб состоит из нескольких компонентов). Необходимо убедиться, что сброшены флажки лишь тех служб, которые требовалось удалить.
Следует ли активизировать службы, не запускаемые по умолчанию? Ответ зависит от конкретных обстоятельств. Например, можно активизировать службу Indexing, но, когда она выполняет индексацию данных на сервере, производительность сервера снижается. Для доступа к RRAS или функциям обработки факсов необходимо запустить соответствующие службы. В Таблице 4 перечислены полезные службы, которые могут пригодиться администратору.
Прежде чем вносить изменения в конфигурацию сервера в процессе настройки системных служб, следует сделать полную резервную копию и проверить все изменения в журнале. Резервные копии и журналы служат основными инструментами диагностики в том случае, если изменения приведут к сбоям приложений или снижению производительности.
Меры безопасности
Отключение служб, обеспечивающих безопасность, на любом сервере - и особенно на DC - снижает уровень защиты системы и ставит под угрозу сетевую среду. Однако параметры служб можно настроить таким образом, чтобы упростить управление системой.
В первой части статьи я рассказал о том, как создать учетные записи для приложений и служб. Эти учетные записи создают контекст безопасности, в котором работают службы и приложения, помогают управлять правами доступа и взаимодействием различных связанных между собой служб, а также защищают важнейшие управляющие и прикладные функции системы.
Встроенная объектная модель безопасности Windows 2000 позволяет управлять индивидуальными свойствами и действиями сервера. Например, можно назначить службы, к которым имеет доступ персонал службы поддержки, разрешенные действия и даже указать информацию об управлении, открытую для просмотра. Задав ACL (список управления доступом) индивидуальным службам, можно делегировать права управления и доступа к этим службам. Альтернативный способ - использовать Microsoft BackOffice Server 2000, чтобы определить круг разрешенных действий, точно указав учетные данные и используя заранее созданные неизменямые файлы оснасток консоли управления Microsoft Management Console (MMC). Например, можно выводить в контекстном меню только пункт Start Service (но не Stop). Редактор Service ACL Editor комплекта ресурсов Microsoft Windows 2000 Resource Kit позволяет управлять службами на низком уровне (полный список соответствующих инструментов приведен в первой части статьи).
На закладке Log On окна Properties службы можно указать учетные данные, ввести пароль и задать порядок взаимодействия между службой и рабочим столом. С помощью регистрационной учетной записи можно определить права службы или приложения на сервере. Таким образом можно ограничить доступ к системным ресурсам со стороны служб, представляющих потенциальную угрозу для систем безопасности. Администратор может создать уникальную учетную запись пользователя и вручную назначить ее группам, располагающим полномочиями для работы со службой. При этом необходимо создать учетную запись пользователя в контейнере Local User and Groups. На DC следует создать не локальную или системную, а уникальную учетную запись домена. Функциональность учетной записи следует максимально ограничить (например, предоставить ограниченные права по регистрации и запретить общий доступ к серверу, за исключением тех случаев, когда это необходимо для работы службы). Сеть будет лучше защищена от взлома, если создать учетные записи для управления службами с различными именами и неочевидными паролями.
Однако создание множества учетных записей для служб может вызвать затруднения, когда придется менять пароли учетных записей (в соответствии с политикой компании). В таком случае можно, например, отменить все ограничения на время действия пароля. Это позволит избежать отказа сервера из-за невозможности зарегистрировать и запустить службу после истечения срока действия связанного с ней пароля. Но такой режим тоже связан с некоторым риском. Вместо того чтобы создавать множество учетных записей с «вечными» паролями, можно создать для служб несколько непривилегированных учетных записей и продумать процедуру упорядоченной замены паролей.
В процессе работы служба может вывести на рабочий стол свой интерфейс и принимать данные или команды от любого пользователя, зарегистрированного в системе. Если в окне службы Properties установлен флажок Allow service to interact with desktop, то пользователи могут изменять параметры службы через ее интерфейс. Если флажок не установлен, то зарегистрированные пользователи не смогут влиять на работу службы. Этот режим возможен лишь при работе службы с учетной записью Local System. Обычно параметры взаимодействия типовых компонентов Windows не меняются, так как это может отрицательно повлиять на работу сервера. Но в экспериментальной среде или при запуске приложения в качестве службы взаимодействие с рабочим столом может быть необходимо для управления службой и ввода входных параметров.
Что произойдет в случае путаницы? Если администратор ошибочно зарегистрирует службу Server с учетной записью пользователя и устаревшим паролем, он не сможет зарегистрироваться в собственной системе. Не нужно отчаиваться. Следует перезагрузить сервер в режиме Safe Mode с минимальным набором служб и драйверов. Выбрав один из нескольких вариантов запуска Safe Mode, можно вернуться в Windows и исправить ошибку.
Итак, мы познакомились с инструментами администратора и интерфейсами служб. Теперь читатели смогут применять свои знания на практике, активизировать и отключать службы и экспериментировать с параметрами безопасности служб. Данную статью можно использовать как начальное пособие по службам и управлению Windows 2000. Более подробную информацию о настройке системных служб можно получить из Windows Help и документации комплекта ресурсов.
Джордан Айала - автор Windows 2000 Magazine. Он имеет сертификат MCP и работает в качестве независимого консультанта и автора в Сиэттле. С ним можно связаться по адресу: jordanayala@hotmail.com.