СофтВелис.com

Распределенная файловая система (Distributed File System, DFS) существует со времени Windows NT. Существует несколько ее конфигураций и вариантов развертывания, и она может работать в автономном и доменном режиме. DFS — популярная и эффективная технология репликации файлов и папок с избыточностью между удаленными серверами. Они могут находиться в одном пространстве имен, чтобы пользователи могли к ним обращаться без помощи сервера имен, на котором располагается DFS.

К сожалению, никогда не существовало документа с рекомендациями по работе с DFS. Далее приводится сводка всех рекомендаций, которые использовались, выработаны практикой и рекомендовались на протяжении всех этих лет. Новая информация всегда публикуется на сайте Microsoft, поэтому следите за новостями.

Термины DFS и Distributed File System относятся к существовавшему в Windows 2000, Windows 2003 и Windows 2003 R2 продукту с унаследованными пространствами имен и унаследованном продукте в Windows 2008. В DFS использовался проблематичный механизм репликации, носящий название «служба репликации файлов» (File Replication Service, FRS).

В Windows 2003 R2 компания Microsoft представила новое пространство DFS-имен, а также намного улучшенный механизм репликации. Здесь термин «унаследованная DFS» относится к предыдущей версии DFS в Windows Server 2000, Windows Server 2003 и Windows Server 2008. Новое пространство DFS-имен называется DFS-N, а новый механизм репликации — DFS-R (DFS-Replication).

Предыдущая версия DFS и FRS в Windows Server 2003

В старой версии DFS в Windows 2000 и Windows 2003 использовались громоздкие и запутанные консоль администрирования и терминология. С FRS также были проблемы. В Windows 2003 была предпринята попытка решить эти проблемы, но полностью устранить их не удалось. Поэтому Microsoft представила совершенно новый механизм репликации, DFS-R, для Windows 2003 R2 и Windows 2008.

Ввиду прекращения поддержки Windows 2003 компанией Microsoft вам действительно надо перейти на новую DFS и DFS-R, которая имеется в Windows 2003 R2 и Windows 2008. Далее описываются некоторые возможные проблемы, связанные с унаследованными DFS и FRS, и рекомендации по их решению.

FRS обнаруживает изменения с помощью журнала NTFS, который меняется при изменениях файла или папки в файловой системе. К сожалению, FRS не умеет определять, т��ебуется ли репликация того или иного изменения.

Сканирующие файлы приложения, такие как антивирусы и средства дефрагментации, обычно меняют описатель безопасности файлов. При этом вносятся изменения в журнал NTFS, что, в свою очередь, заставляет FRS инициировать репликацию, хотя никаких изменений в файлы не вносилось. Изменения FRS в Windows 2003 снизили остроту проблем, но не устранили их полностью. Вот эти проблемы.

Подавление слишком активной репликации Обнаружив, что некоторые файлы реплицируются слишком часто, FRS регистрирует в журнале событие и отключает их репликацию. Это предотвращает переполнение промежуточной области и остановку FRS, но это также может вызывать удаление нужных файлов.Переполнение промежуточной области хранения FRS При заполнении промежуточной области хранения на 90 % начинается удаление старых файлов, пока заполнение не снизится до 60 %. Это предотвращает остановку FRS, но есть риск удаления нужных обновлений.Предотвращение заполнения данных:FRS может не позволять активно заполнять данные на многих серверах для предотвращения репликации большого объема данных по WAN-подключениям. Есть обходной путь:копировать данные небольшими «кусочками» до передачи всей информации.

Рекомендации

Рекомендации по управлению и использованию унаследованных DFS и FRS базируются на том принципе, что хранить динамически изменяющиеся данные в DFS плохо. FRS легко переполняется большим числом файлов. Также тяжело реплицировать часто изменяющиеся данные. В частности, не рекомендуется размещать в DFS папки My Documents (Мои документы) в пользовательских профилях.

Вот перечень рекомендаций по использованию DFS/FRS:

При начальном размещении данных в папках DFS на нескольких серверах разместите данные только на одном сервере — на остальные серверы они должны среплицироваться сами. Выполняйте эту операцию небольшими порциями. При одновременном добавлении большого числа файлов во многие общие папки FRS будет трудно справиться с нагрузкой. Если данные существуют на многих DFS-серверах, инициируйте репликацию путем добавления файлов на один сервер за раз. После начального заполнения FRS остается реплицировать только изменения.Обеспечьте, чтобы ваш антивирус, утилита дефрагментации и другие программы, сканирующие файлы и папки, были совместимы с FRS. Большинство известных программ умеют работать с FRS, что предотвращает ненужную репликацию файлов, вызванную сканированием.Создавайте несколько корневых папок на нескольких целевых серверах для избыточности. Конфигурационная информация располагается на корневых серверах.Обеспечьте избыточность данных, создав несколько целевых серверов для DFS-подключений. Это обеспечит непрерывную репликацию данных на многие серверы. Если один из серверов потерпит сбой, пользователь будет перенаправлен на другой. Для поиска ближайших к пользователю DFS-серверов в DFS используется функция обнаружения серверов клиентами в Active Directory.Репликация данных в DFS необязательна, но рекомендуется для избыточности данных. Без репликации DFS предоставляет только общее пространство имен для общих папок.Не размещайте папки DFS на контроллерах доменов. Так как для SYSVOL используется DFS, для целей устранения неполадок лучше изолировать эту папку, чтобы при диагностике на одном сервере не было одновременно папок SYSVOL и DFS. SYSVOL использует службу DFS, поэтому на контроллере домена ее отключить нельзя. Основная задача здесь — не размещать ссылки или корни DFS на контроллерах доменов.Сконфигурируйте одностороннюю FRS-репликацию по схеме «звезда», чтобы было легче контролировать и управлять данными. Данные на лучах не должны реплицировать в центр.Ограничения предыдущих версий FRS и DFS

FRS реплицирует файл целиком, даже если изменилась только пара байт. FRS и DFS способны эффективно реплицировать папки размером не больше 65 ГБ. Превышение этого размера чревато нарушением согласованности и снижением производительности. Есть и другие ограничения:

Версия Windows Server 2003 Standard поддерживает только один корень DFS, а в редакции Enterprise число корней DFS не ограничено. Время запуска службы DFS увеличивается с ростом числа корней DFS.Число ссылок в доменном пространстве имен DFS не может быть больше 5000. Большее число приводит к падению производительности при изменениях конфигурации DFS.Длина пути DFS ограничена 260 символами. Если превысить этот предел, приложения не смогут получить доступ к данным в DFS. Получить доступ к данным можно, явно задав букву диска.Доменную DFS нельзя создать на узлах кластера — в этом случае надо использовать только автономные DFS.

В многодоменных средах:

Папки корневой доменной DFS должны находиться в том же домене. Однако ссылки могут указывать и на другие домены.Клиенты могут получать доступ к DFS-серверам в доверенных доменах.При обращении по ссылкам в другие домены клиент должен использовать полное доменное имя, или FQDN (подробнее см. статью базы знаний Microsoft по адресу http://support.microsoft.com/kb/244380).Для репликации по DFS-ссылкам в другие (доверенные) домены можно использовать FRS. (Для этого нужны права администратора предприятия.)

Подробнее см. вопросы и ответы по DFS (http://www.microsoft.com/windowsserver2003/techinfo/overview/dfsfaq.mspx).

DFS-N и DFS-R в Windows Server 2003 R2 и Windows Server 2008

Новые версии распределенной файловой системы DFS-N и DFS-R в Windows 2003 R2, Windows Server 2008 и Windows Server 2008 R2 имеют значительные улучшения по сравнению с более старыми DFS и FRS. DFS-R выполняет репликацию поблочно, то есть реплицируется не весь файл, а только изменения в нем.

Например, если изменился только заголовок слайда PowerPoint в файле размером 3 МБ, в старой версии FRS выполнит репликацию всех трех мегабайт файла. DFS-R скопирует только несколько байт. Это оказывает огромное благоприятное влияние на производительность как сети, так и дисковой подсистемы. Пользователи также замечают, что изменения реплицируются быстрее. DFS-R может работать с большими объемами данных и эффективно динамически менять данные.

DFS-R присутствует только в Windows Server 2003 R2 и Windows Server 2008. Ее можно использовать только для репликации данных DFS в Windows Server 2003 R2, но можно реплицировать данные DFS и SYSVOL на Windows Server 2008 и Windows Server 2008 R2. Репликация DFS-R работает только на DFS-серверах под управлением Windows Server 2003 R2, Windows Server 2008 или Windows Server 2008 R2. Контроллеры доменов обновлять не нужно.

Рекомендации

Для установки новой DFS/DFS-R в домене Windows Server 2003 нужно обновить схему (см. страницу вопросов и ответов по DFS-R FAQs):

Изменение схемы для установки новой DFS/DFS-R в домене Windows Server 2003 скорее всего потребует одобрения, поэтому для этого надо заложить дополнительное время в плане.Можно использовать репликационные группы для репликации данных из филиалов на файловые серверы головного офиса, где их легко разместить в больших массивах SAN. В таком сценарии надо обеспечить, чтобы в филиалах данные только добавлялись. При изменении файла в головном офисе в процессе репликации он будет скопирован на серверы филиалов, перезаписывая копии, которые там хранятся.Воспользуйтесь возможностью в DFS-R реплицировать SYSVOL в Windows Server 2008 и Windows Server 2008 R2, особенно в крупных доменах, в которых развернуто много групповых политик. Это потребует полноценного процесса миграции, так как FRS является механизмом репликации по умолчанию в доменах Windows Server 2008.Подробнее см. блог команды Microsoft Directory Services (http://blogs.technet.com/b/askds/archive/2009/01/05/dfsr-sysvol-migration-faq-useful-trivia-that-may-save-your-follicles.aspx).

Перед миграцией SYSVOL в DFS-R примените исправления 972105, 969688, 978326, 959114 и 978994, а затем выполните следующие операции:

Выполните миграцию существующих папок DFS в DFS-N и DFS-R — после Windows Server 2008 R2 будет прекращена поддержка предыдущих версий DFS и FRS.Перед развертыванием спроектируйте топологию репликации репликационных групп. В DFS-R намного больше вариантов топологии, чем в DFS/FRS. Позаботьтесь о том, чтобы метод репликации соответствовал проекту развертывания файлов.Организуйте мониторинг репликации DFS-R. В System Center Operations Manager есть пакет управления для мониторинга репликации DFS. Есть также средства сторонних поставщиков. Утилиты Ultrasound и Sonar не поддерживают DFS-R.Об ограничениях

DFS-R обеспечивает более надежный и эффективный механизм репликации и хорошо справляется с динамическими данными, но при планировании инфраструктуры DFS важно понимать ограничения DFS-R в плане масштабируемости. Репликационные группы никак не связаны с конфигурацией пространства имен DFS, но есть определенные ограничения.

Каждый сервер может быть членом не более 256 репликационных групп.В каждой репликационной группе может быть не более 256 реплицируемых папок.У каждого сервера может быть не более 256 подключений (например, 128 входящих и столько же исходящих).На каждом сервере произведение числа репликационных групп на число реплицируемых папок и на количество одновременно активных подключений не может превышать 1024.В каждой репликационной группе может быть не более 256 членов.На томе может размещаться не более 8 млн реплицируемых файлов, а на сервере может храниться не более 1 ТБ таких файлов.Максимальный размер файла — 64 ГБ.DFS-R не поддерживает связь с FRS.

Подробнее по этой теме см. веб-страницу Microsoft TechCenter, а также замечательный список вопросов и ответов на странице.

Основная рекомендация проста: избавьтесь от FRS. Это устаревшая технология, которую Microsoft давно уже отправила в утиль. Смиритесь с неизбежным и выполните миграцию всех своих реплик папок DFS (в ОС Windows Server 2003 R2 и более новых) и SYSVOL (в Windows Server 2008 и более новых) на DFS-R.

Воспользуйтесь преимуществами улучшенной производительности и потратьте освободившееся время на выполнение более продуктивных вещей. Прекращая поддержку DFS и FRS в Windows Server 2008 R2, Microsoft дает четкий сигнал о необходимости перехода на лучшую технологию. И у этой технологии практически нет недостатков.

Возникает определенное непонимание того, как работает вход в систему Windows. Я понимаю эти проблемы, поскольку общие идеи немного запутанные. Хотя процесс, опции и компоненты входа в систему остаются практически неизменными на протяжении более 20 лет, по их поводу все же возникают вопросы. Итак, я собираюсь разъяснить некоторые наиболее общие способы входа в систему, их принцип работы, подробное описание, и то, где хранятся эти компоненты. Надеюсь, что после прочтения этой статьи у вас будет полное понимание того, как работает процесс входа и что нужно делать на странице входа.

Ctrl-Alt-Del

Когда вы подходите к компьютеру Windows, для входа нужно сначала нажать комбинацию клавиш Ctrl-Alt-Del. Это функция безопасности, которая позволяет защитить компьютер от определенных типов атак. Это действие необходимо выполнять на машинах под управлением Windows NT, 2000, XP, 2003, 2008, Vista и 7. Обратите внимание, что давным-давно, когда Windows 95/98 была еще популярна, не нужно было выполнять это действие!

Сочетание клавиш Ctrl-Alt-Del является компонентом безопасности, который опустошает буфер до определенной точки, удаляя любые трояны. Троян пытается пролезть при входе, чтобы получить доступ к вашей системе. Троян также может пытаться перехватить ваши учетные данные во время входа, а затем сохранить их, чтобы инфицированный компьютер смог отправить их обратно в центральное место злоумышленников.

В любом случае, использование Ctrl-Alt-Del является обязательным злом, которое защищает ваш компьютер. С точки зрения безопасности, на мой взгляд, важно задавать использование Ctrl-Alt-Del в принудительном порядке через групповую политику. Компонент Ctrl-Alt-Del можно найти в следующем разделе:

Конфигурация компьютера \Конфигурация Windows\Конфигурациям безопасности \Локальные политики \Параметры безопасности \Интерактивный вход в систему: не требовать CTRL-ALT-DEL, как показано на рисунке 1.

Рисунок 1: Чтобы принудить использование параметра групповой политики Ctrl-Alt-Del, необходимо отключить политику

Обратите внимание, что эта политика должна быть Отключена (Disabled), чтобы функция использования Ctrl-Alt-Del была форсирована. Это лишь один из многих параметров групповой политики, который должен отрицать отрицательное (двойное отрицание), чтобы включить политику.

Локальный вход

Каждый компьютер Windows имеет локальный диспетчер учетных записей безопасности (Security Accounts Manager – SAM). Диспетчер SAM отвечает за ряд функций. Во-первых, он отвечает за хранение локальных пользователей и групп компьютера. По умолчанию, единственной учетной записью пользователя, активируемой на компьютере, является локальная учетная запись администратора. Конечно, эта учётная запись предназначена для аварийного восстановления и задач администрирования. Дополнительные учетные записи пользователей необходимо создавать, и поэтому учетная запись администратора используется редко. Также есть множество групп, создаваемых по умолчанию, среди которых самыми примечательными являются Опытные пользователи (Power Users) и Администраторы (Administrators).

Во-вторых, локальный диспетчер SAM отвечает за проверку подлинности при входе. Здесь необходимо знать, когда локальный SAM выполняет проверку подлинности и когда используется другая база данных пользовательских учетных записей. Когда компьютер не подключен к домену, единственным вариантом является использование SAM для выполнения проверки подлинности. Это четко видно при входе в систему и просмотре опций в раскрывающемся списке на странице входа, как показано на рисунке 2.

Рисунок 2: Диалог входа в Windows.

Если кнопка опций недоступна или не отображается раскрывающийся список опций входа, компьютер не входит в состав домена. На рисунке 2 показан компьютер, который не показывает раскрывающийся список опций входа в систему, и показывает лишь единственный способ проверки подлинности – локальный диспетчер SAM.

Если кнопка опций отображает раскрывающийся список входа, как показано на рисунке 3, у пользователя будет еще два или более вариантов проверки подлинности в базе данных. Обратите внимание, что на рисунке 3 раскрывающийся список опций входа доступен, что говорит о том, что компьютер присоединен к домену.

Рисунок 3: Компьютер присоединен к домену, но пользователи входят в систему с использованием локального диспетчера SAM

Если бы пользователь входил на локальный компьютер, то возникло бы большое количество компонентов и функций, работающих некорректно при таком входе, по сравнению со входом в домен. Например, групповая политика для учетной записи пользователя домена не применилась бы к такому пользователю, сетевые ресурсы были бы недоступны, и профиль пользователя был бы другим, чем при входе пользователя в домен.

Входы в домен

Абсолютно другим типом входа является выбор пользователем доменного имени вместо локального имени компьютера во время входа. На рисунке 4 показано, как пользователь выбирает имя домена, а не локальное имя компьютера, как на рисунке 3.

Рисунок 4: Компьютер, присоединенный к домену, и пользователь, выбирающий домен для проверки подлинности

В этом примере, контроллер домена для домена BEYONDTRUST выполнит проверку подлинности пользователя. Контроллер домена содержит базу данных Active Directory, которая схожа с диспетчером SAM в том, что тоже хранит группы и пользователей, а также выполняет проверку подлинности при входе. Конечно, Active Directory также гораздо больше и может управлять большим количеством аспектов по сравнению с локальным диспетчером SAM.

Используя опцию входа в домен вместо опции локального компьютера, пользователь имеет доступ ко всему предприятию, а не только к локальную компьютеру. Это означает, что пользователь может получать доступ к ресурсам (файлам/папкам/принтерам/и т.д.) на любом сервере, присоединённом к домену, для доступа к которым у пользователя есть разрешения. Разрешения к ресурсам предприятия невозможно получить для учетной записи пользователя локального диспетчера SAM.

Пользователи домена также управляются централизованно, тогда как пользователи SAM управляются на каждом локальном компьютере индивидуально. Это делает процесс управления учетными записями пользователей и групп более эффективным, поскольку здесь имеется всего одна сущность учетной записи, а не 'X' количество учетных записей в зависимости от количества компьютеров в сети.

Опция домена также позволяет пользователям входить на любой компьютер в домене, а не только на тот компьютер, на котором его учетная запись хранится в локальном диспетчере SAM. Этот компонент обеспечивает простоту перемещения, гибкость для пользователей в использовании любого компьютера компании и т.д.

В корпоративных сетях не рекомендуется использовать локальные пользовательские учетные записи в диспетчере SAM компьютеров и серверов. Вместо этого пользователям по причине отсутствия локальной учетной записи на компьютере приходится выполнять вход в домен, что обеспечивает применение всех настроек с контроллера домена к пользовательской среде при входе.

Заключение

Процесс входа в Windows может показаться несколько запутанным, но если посмотреть на подробности окна входа, суть того, где выполняется эта операция, становится ясной. Использование Ctrl-Atl-Del может быть неприятным, но оно является необходимым компонентом безопасности процесса входа. Когда компьютер не присоединён к домену, единственным возможным вариантом входа в систему является использование локального диспетчера учетных записей безопасности SAM. Однако, когда компьютер присоединен к домену, пользователь может использовать и SAM, и домен посредством контроллера домена. Знание того, какие опции доступны и как ограничивать вход в систему с локального диспетчера, является ключевым моментом в обеспечении централизованного управления учетными записями пользователей, а также в обеспечении безопасности и других параметров посредством контроллера домена.

Думаю, это выдает мой возраст, но я помню дни бета версии Windows 2000. В те времена мы использовали Windows NT 4 сети, и наслаждались преимуществами первой настоящей сетевой операционной системы производственного уровня от компании Microsoft. В те времена нам было интересно, сможет ли когда-нибудь компания Microsoft обойти компанию Novell NetWare в области серверных ОС, а Windows NT тогда поддерживала протоколы сети Novell. Конечно, была и поддержка TCP/IP, но в середине 1990-ых мы тратили большую часть времени с сетями Novell в больших компаниях и использовали NetBEUI для своих простых односегментных сетей.

Windows 2000 была большим прорывом. Сетевые протоколы были значительно усовершенствованы. Но еще больше радости доставляло то, что безопасность была значительно улучшена наряду с добавлением множества новых компонентов и функций, связанных с безопасностью. Одним из долгожданных компонентов тогда еще новой ОС была технология IPsec. Как уже говорилось ранее, IPsec была тем, что мне действительно нравится, поскольку она позволила бы нам быть уверенным в защищенности наших данных при их передаче посредством шифрования. В качестве дополнительного бонуса Windows 2000 также представила шифрованную файловую систему (Encrypting File System – EFS) для шифрования данных на диске. Это означало, что IPsec позволяла нам защищать данные во время их передачи по сети, а при хранении этих данных на диске они были защищены посредством EFS. Это казалось сбывшейся мечтой.

Однако трудности скрываются в деталях. Когда мы установили свою бета версию Windows 2000, мы обнаружили, что IPsec была крайне сложной, гораздо более сложной, чем ожидали. Но мы покупали книги и узнавали все о принципе работы IPsec: мы узнали о Encapsulating Security Payload (ESP), Authentication Header (AH), Security Associations, Quick Mode, Main Mode, материалах ключей, алгоритмах хэша и т.д. К сожалению, для большинства установок мы не могли воспользоваться этими знаниями и перенести их на громоздкий интерфейс конфигурации IPsec, включенный в Windows 2000 и перенесенный в Windows Server 2003.

Отличная новость заключается в том, что все это изменилось с выходом Windows Server 2008 и появлением брандмауэра Windows в режиме повышенной безопасности (WFAS). Интерфейс брандмауэра WFAS предоставил новый способ настройки IPsec правил, в форме правил безопасности подключений (Connection Security Rules). Когда вы создаете правила безопасности подключений, вы на самом деле настраиваете политики IPsec, которые позволяют вам контролировать шифрование и проверку подлинности трафика, передаваемого между двумя узлами. Правила безопасности подключений гораздо более простые в настройке и для понимания по сравнению со старым способом создания IPsec правил с использованием интерфейса Windows 2000/2003.

Чтобы посмотреть, насколько просто создавать правила безопасности подключений, давайте рассмотрим пример. В этом примере мы рассмотрим еще одну функцию, включенную в Windows Server 2008 и перенесенную в Windows Server 2008 R2: это возможность настраивать правила безопасности подключений в групповой политике. Оснастка WFAS в групповой политике позволяет настраивать правила безопасности подключений и упрощает их развертывание в организации, а это обеспечивает гораздо большую масштабность по сравнению со старым способом, когда нужно было запускать IPsec мастер на каждой машине в организации, на которой вы хотели развернуть IPsec.

Чтобы посмотреть, как это работает, мы переходим на контроллер домена и открываем редактор управления групповой политикой (Group Policy Management). В этом редакторе нажимаем правой клавишей на Стандартной политике домена (Default Domain Policy) и выбираем Изменить (Edit), как показано на рисунке 1 ниже.

Рисунок 1

В левой панели консоли переходим в раздел Конфигурация компьютера (Computer Configuration)\Политики (Policies)\Параметры Windows (Windows Settings)\Параметры безопасности (Security Settings)\Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security)\ Брандмауэр Windows в режиме повышенной безопасности – LDAP (Windows Firewall with Advanced Security ' LDAP)\Правила безопасности подключений (Connection Security Rules). Это показано на рисунке 2.

Рисунок 2

Теперь нажимаем правой клавишей на Правилах безопасности подключений (Connection Security Rules) и выбираем Создать новое правило (New Rule). Это откроет страницу Тип правила (Rule Type) мастера создания нового правила безопасности подключений (New Connection Security Rule Wizard), рисунок 3. Как вы видите, здесь есть достаточно большое количество опций. В этом примере мы создадим правило безопасности подключений типа Server-to-Server. Это правило включит IPsec безопасность между двумя машинами в моей тестовой сети. Выбираем опцию Server-to-server и нажимаем Далее.

Рисунок 3

На странице Конечные точки (Endpoints), рисунок 4, мы указываем конечные точки, к которым будет применяться это правило. В данном примере у нас есть сервер с именем APP1, и мы хотим обеспечить защиту всех подключений к APP1 посредством IPsec. Для компьютера Endpoint 1 нажимаем кнопку Добавить (Add).

Увеличить

Рисунок 4

В диалоге IP адрес, рисунок 5, выбираем опцию Этот IP адрес или подсеть (This IP address or subnet) и вводим IP адрес компьютера APP1. Затем нажимаем OK.

Рисунок 5

Теперь настраиваем Endpoint 2, как любой компьютер. Выбираем Эти IP адреса (These IP addresses) для Endpoint 2 и нажимаем Добавить. В диалоге IP адреса, рисунок 6, выбираем опцию Этот IP адрес или подсеть и вводим 10.0.0.0/24, а затем нажимаем OK.

Увеличить

Рисунок 6

Теперь мы знаем, что на странице Endpoints, рисунок 7, можно указывать конечные точки для IPsec подключений. Это правило будет применяться ко всем конечным точкам, подключающимся к APP1. Нажимаем Далее.

Увеличить

Рисунок 7

Прежде чем перейти со страницы Endpoints, обратите внимание на кнопку Настроить (Customize). Если нажать на эту кнопку, вы увидите диалог настройки типов интерфейсов (Customize Interface Types), показанный на рисунке 8. По умолчанию это правило будет применяться ко всем интерфейсам, но если вы хотите ограничить типы интерфейсов, к которым это правило будет применяться, вы можете изменить опцию Все типы интерфейсов (All interface types) на опцию Эти типы интерфейсов (These interface types). Мы используем значение по умолчанию, поэтому здесь ничего не меняем.

Рисунок 8

На странице Требования (Requirements), рисунок 9, можно указать, какой тип проверки подлинности нужно использовать. В этом примере мы выберем опцию Требовать проверку подлинности для входящих подключений и запрашивать проверку подлинности для исходящих подключений (Require authentication for inbound connections and request authentication for outbound connections). Когда мы это делаем, при каждом взаимодействии узлов конченых точек 1 и 2 будет запрос проверки подлинности, когда компьютер отправляет исходящий запрос, и проверка подлинности будет требоваться при входящем запросе. Это означает, что всякий раз, когда компьютер пытается подключиться к APP1, проверка подлинности будет требоваться для входящих подключений к APP1. Это может быть немного сложным, но если подумать, то все становится понятно. Это также означает, что все другие компьютеры, при попытке подключения к APP1, будут запрашивать проверку подлинности от APP1, но в этих случаях она будет необязательной. Нас интересуют входящие подключения к APP1, и это правило может обязать APP1 требовать проверку подлинности при входящих подключениях.

Увеличить

Рисунок 9

На странице Способ проверки подлинности (Authentication Method), рисунок 10, нужно выбрать способ проверки подлинности. По умолчанию (которое мы используем) будет стоять значение Сертификат компьютера (Computer Certificate). Стандартным Алгоритмом подписи (Signing Algorithm) является RSA (по умолчанию) и стандартной опцией Тип хранилища сертификата (Certificate Store type) будет корневой ЦС (Root CA (default)). Нажмите кнопку Обзор (Browse), чтобы найти сертификат корневого ЦС, используемый в вашей организации.

Увеличить

Рисунок 10

В диалоге Windows Security, рисунок 11, вы увидите список сертификатов. Корневым ЦС в моей тестовой среде будет corp-DC1-CA, поэтому я выбираю его и нажимаю OK.

Увеличить

Рисунок 11

Теперь на странице Способ проверки подлинности, рисунок 12, видно, что мы используем сертификат компьютера для проверки подлинности и что мы доверяем сертификатам, выданным ЦС, который указан в CA name текстовом поле. Нажимаем Далее.

Увеличить

Рисунок 12

На странице Профиль (Profile), рисунок 13, выбираем профиль WFAS, который будет применен к этому правилу безопасности подключений. Поскольку он применяется только к машинам, которые подключены к домену, мы будем использовать профиль Domain, и уберем флажки с остальных профилей. Это избавит нас от проблем, если члены домена подключены к другим сетям, которые используют те же пространства частных имен и те же IP адреса.

Увеличить

Рисунок 13

На странице Имя (Name), рисунок 14, вводим имя правила и нажимаем Завершить.

Увеличить

Рисунок 14

Правило, показанное на рисунке 15, теперь создано в групповой политике, и будет автоматически развернуто на всех членах домена. Если дважды нажать на правиле в редакторе групповой политики, вы увидите диалог для этого правила, в котором можно вносить изменения. Просто перейдите в соответствующую закладку и внесите нужные изменения, после чего правило будет обновлено на всех машинах, к которым применяется данная групповая политика.

Рисунок 15

Вы, возможно, заметили, что не было опций настройки параметров IPsec в этом правиле. Причина заключается в том, что параметры IPsec настраиваются глобально, что не очень удобно, но в компании Microsoft решили сделать именно так. Если вы хотите посмотреть IPsec параметры, вам нужно нажать правой клавишей в разделе Брандмауэр Windows в режиме повышенной безопасности, как показано на рисунке 16 ниже, и выбрать Свойства.

Рисунок 16

Это вызовет диалог брандмауэра, как показано на рисунке 17. Если вы нажмете на закладке Параметры IP (IP Settings) в этом диалоге, вы увидите раздел умолчаний IPsec defaults. Также обратите внимание, что здесь есть разделы исключений (IPsec exemptions) и авторизации туннелей (IPsec tunnel authorization). Если нажать кнопку Настроить (Customize) в разделе IPsec defaults, вы увидите, что опции Key exchange (Main Mode), Data protection (Quick Mode) и Authentication method все установлены на значения по умолчанию (Default).

Рисунок 17

В таблице ниже показаны параметры по умолчанию для IPsec:

Обмен ключами (Key exchange)

Параметры (Settings)Значение (Value)Время жизни ключей (Key lifetimes)480 minutes/0 sessions*Алгоритм обмена ключами (Key exchange algorithm)Diffie-Hellman Group 2Способы безопасности (целостность) (Security methods (integrity))SHA1Способы безопасности (шифрование) (Security methods (encryption))AES-128 (основной)/3-DES (вспомогательный)

*Нулевое ограничение сеанса (0) заставляет выполнять повторное определение ключей только параметром времени жизни ключей (Key lifetime (minutes)).

Целостность данных (Data integrity)

Параметр (Setting)Значение (Value)Протокол (Protocol)ESP (основной)/AH (вспомогательный)Целостность данных (Data integrity)SHA1Время жизни ключей (Key lifetimes)60 минут /100,000 килобайт (KB)

Шифрование данных

ПараметрЗначениеПротоколESPЦелостность данныхSHA1Шифрование данныхAES-128 (основной)/3-DES (вспомогательный)Время жизни ключей60 минут/100,000 KBСпособ проверки подлинности

Проверка подлинности Computer Kerberos версии 5 является способом аутентификации по умолчанию.

Когда мы переходим на компьютер домена, который подключается к APP1, и открываем консоль WFAS, мы видим новое правило безопасности подключений в разделе Connection Security Rules, как показано на рисунке 18. Обратите внимание, что это просто список правил; он не говорит о том, что правило активно. Он просто указывает на то, что правило доступно для компьютера.

Увеличить

Рисунок 18

Если перейти в раздел Наблюдение \Правила безопасности подключений, вы увидите все активные правила безопасности подключений. В этом случае мы видим, что есть активное правило безопасности подключений, указывающее на то, что наше IPsec подключение работает! Если мы дважды нажмем на активном правиле, мы увидим детали подключения, как показано на рисунке 19 ниже.

Увеличить

Рисунок 19

Теперь переходим в раздел Наблюдение (Monitoring)\Сопоставления безопасности (Security Associations)\Основной режим (Main Mode) в левой панели консоли WFAS. Здесь мы видим информацию о подключении Main Mode, включая информацию о способе проверки подлинности, а также алгоритмах шифрования и целостности, как показано на рисунке 20. Если сравнить эту информацию с таблицей выше, вы увидите, что она совпадает со стандартными значениями, указанными в той таблице.

Рисунок 20

Вы также можете посмотреть подробную информацию о подключении Quick Mode, если нажмете на раздел Quick Mode в левой панели консоли, как показано на рисунке 21.

Увеличить

Рисунок 21

Заключение

В этой статье мы рассмотрели некоторые основы нового мастера правил безопасности подключений IPsec и увидели, насколько просто заставить работать эти правила. В следующей части этого цикла я покажу вам, как создавать правила IPsec туннеля и как настраивать машину Windows Server 2008 R2 в качестве IPsec шлюза ' то, что может вас заинтересовать, если вы задумываетесь о способе создания безопасных сегментов в своей сете или вас интересуют решения удаленного доступа.

В нашей команде авторов новостей открыта вакансия, что бывает нечасто. Мы ищем человека, желающего и способного регулярно публиковать новости на темы:

ITMicrosoftHardware

Примеры требуемых новостей вы можете увидеть по ссылкам. Гибкое расписание позволяет писать новости в свободное время. Мы предоставляем авторам полную свободу выбора из зарубежных источников тех новостей, которые интересны нашей аудитории. Однако нам не нужны «дубовые» переводы – автор должен уметь излагать материал грамотным, живым и понятным языком. Копирование новостей с других русскоязычных ресурсов даже не обсуждается.

Мы не обещаем златых гор, но труд наших авторов оплачивается. Кроме того, у них есть уникальная возможность освещать крупнейшие ИТ-события в качестве наших выездных корреспондентов (например, конференции «Платформа» в Москве и TechEd в Европе).

Если вас заинтересовала возможность работы в нашей команде, вот мой адрес vadsubscribe#gmail.com. Пришлите на него письмо с темой Новости и прикрепите файлы в формате DOC/DOCX с:

самой интересной новостью из этого списка в своем изложении (не забудьте указать источник новости)ответами на тест

Основываясь на ваших результатах, мы обсудим детали сотрудничества.

Прямой доступ к памяти (Direct Memory Access, DMA) – существеннейшая часть любой современной компьютерной архитектуры. DMA позволяет процессору делегировать другим компонентам задачи интенсивного доступа к памяти. Таким образом процессор освобождается от этих простых задач и может больше времени уделить сложным задачам, для которых он и предназначен.

Например, предположим, что вам понадобится сохранить эту статью на жестком диске. Если вы решили так поступить, и знаете место на диске, куда нужно записать статью, зачем вам нужен процессор? Вы ведь не производите никаких расчетов? Не считая индикации прогресса или одновременного обновления файловой системы, больше ведь ничего и не происходит. Данные забираются вашей сетевой картой, потом они направляются в требуемое место на вашем жестком диске. Все просто. Использование возможностей процессора для такого типа операций было бы излишеством.

Хотя основная идея и основная причина обращения к режиму прямого доступа к памяти довольна проста, операции прямого доступа к памяти могут оказаться довольно сложными. Можно себе представить, что будет происходить, если несколько периферийных устройств попытаются получить доступ к памяти одновременно. Поэтому есть необходимость в DMA-контроллере. DMA-контроллер – это устройство, контролирующее все операции по прямому доступу к памяти.

Чтобы контролировать операции прямого доступа к памяти, DMA-контроллер сначала нужно запрограммировать информацией о следующей операции. Эта информация включает в себя такие вещи как: адреса источника и приемника, режим работы и объем передаваемых данных. После этого у DMA-контроллера появляется знание о том, что передавать, куда передавать, как передавать и сколько передавать. Имея такую информацию, DMA-контроллер запрашивает контроль над памятью у ЦП. Когда ЦП готов передать контроль над шиной памяти, он отправляет оповещающий сигнал в ответ на запрос DMA-контроллера.

Рисунок 1: Взаимодействия при прямом доступе к памяти. С разрешения www.eetimes.com

Взрывной или однотактный

Что случается после получения DMA-контроллером контроля над шиной памяти, зависит от того, какой режим работы установлен для DMA-контроллера. Есть два основных режима для DMA-контроллеров. Первый из них называется «взрывным» (burst). Когда DMA-контроллер работает в этом режиме, он сохраняет контроль над шиной памяти на протяжении всего процесса передачи данных. Отрицательным аспектом работы в таком режиме является то, что ЦП не сможет работать с шиной памяти, пока DMA-контроллер не завершит передачу данных. То есть процессор сможет работать только со своими кэшами первого и второго уровней, но не с чем-либо другим в памяти; очевидно, это ограничвает возможности ЦП на время ожидания процессором завершения операции и возвращения контроля над шиной памяти DMA-контроллером.

Чтобы избежать такой невыгодной ситуации, когда ЦП приходится ожидать завершения передачи данных, DMA-контроллер может работать в другом режиме, который называется однотактным (single-cycle). При работе в однотактном режиме DMA-контроллер возвращает контроль над шиной памяти после передачи каждого отдельного блока данных. Размер этого блока обычно составляет 256 или 512 байт. Это дает возможность процессору использовать шину памяти для своих целей без необходимости долго ждать. К сожалению, есть недостатки и у однотактного режима работы. После возвращения контроля над шиной памяти DMA-контроллеру нужно снова посылать запрос процессору, опять ждать разрешения на контроль над шиной памяти, чтобы сделать передачу очередного блока данных. То есть необходимость повторять последовательность запросов может в разы увеличить время простоя в процессе передачи данных.

И все-таки однотактный режим работы используется чаще всего, хотя большинство DMA-контроллеров могут работать в обоих режимах. Оптимальный размер блока, который будет передаваться перед возвращением контроля над шиной памяти и повторением запроса, – вопрос довольно сложный. Одним из главных факторов тут является наблюдаемая частота ошибок. Когда обнаруживаются ошибки при передаче данных (часто это бывает при передаче через сеть), необходимо повторить передачу данных. Поэтому, если ошибки случаются часто, оптимальными являются блоки небольшой длины. Однако если ошибок мало, малый размер блоков приведет к увеличению количества циклов запросов и ответов между DMA-контроллером и ЦП, что будет увеличивать общее время передачи данных. Как именно реализуются эти решения, зависит от конкретного производителя DMA-контроллеров (а еще точнее, от инженера, проектировавшего их!); и об этом не сильно распространяются. Если вы захотите узнать, как размер блоков определяется для конкретного DMA-контроллера, вероятно, эту информацию можно отыскать в документации, или же вам придется обращаться к компании-производителю.

Когда DMA-контроллер завершает передачу блока и возвращает контроль над шиной памяти ЦП, процессор может использовать шину для своих целей. В вышеприведенном примере, да и во многих других примерах, это дает процессору возможность обновлять индикаторы прогресса и обновлять файловую систему информацией, относящейся к осуществляемым операциям прямого доступа к памяти (например, информацию о появлении нового файла).

Когерентность кэша

Другая проблема, возникающая при операциях прямого доступа к памяти, связана с когерентностью кэша. Когда процессор обращается к некоторому месту в памяти, содержимое этого места записывается в кэш процессора. Если производятся операции прямого доступа к памяти, содержимое кэша процессора может не перестать совпадать с истинным содержимым памяти. Более подробно о когерентности кэша см. мою предыдущую статью здесь.

У этой проблемы есть два возможных решения. Системы с полной когерентностью кэша реализуют аппаратное решение, в котором DMA-контроллер отправляет сигнал контроллеру кэша, сообщающий о месте в памяти, с которым он работает. Если при прямом доступе требуется произвести запись в это место, контроллер кэша аннулирует содержимое кэша процессора. Если производится чтение, контроллер кэша обновит содержимое кэша процессора, чтобы оно содержало текущее значение (которое и должно храниться в кэше ЦП). Такой метод работы требует некоторых накладных расходов, но при этом он гарантирует когерентность кэша процессора.

В системах с неполной когерентностью кэша работа по поддержке кэша отдается операционной системе. От операционной системы в таком случае требуется, чтобы она принимала решение, стоит ли обновлять значение кэша перед операцией прямого доступа к памяти или аннулировать после нее. Какой метод лучше? Я не уверен, что есть однозначный ответ на этот вопрос, ведь оба метода достаточно адекватны. Но лично я предпочитаю элегантность аппаратного решения, реализуемого в случае полностью когерентной системы.

Тайваньская компания HTC опубликовала отчет с финансовыми итогами первого квартала текущего года. Показатели дохода и прибыли не стали рекордными, но все же превзошли ожидания компании. За первый квартал 2011 года компания HTC отгрузила на рынок 9,7 миллиона мобильных устройств, что на 192 процента больше, чем в аналогичном периоде прошлого года и на 6 процентов больше в сравнении с предыдущим кварталом. Показатель валовой прибыли за первый квартал вырос на 29,3 процента. Средняя стоимость устройств HTC остановилась на отметке 359 долларов, что на 6 процентов больше в сравнении с предыдущим годом. Компания также заявила, что недавно поступившие в продажу смартфоны Thunderbolt, EVO Shift 4G, Inspire 4G, Incredible S и Desire S пользуются высоким спросом. К семейству смартфонов скоро также присоединятся анонсированные в этом году модели Flyer, EVO 3D, Wildfire S, ChaCha, Salsa и Sensation.

Показатель прибыли за первый квартал 2011 года поднялся к отметке в 519 миллионов долларов, что на 196,8 процента больше в сравнении с показателем прибыли за первый квартал 2010 года. Показатель дохода тайваньской компании составил 3,65 миллиарда долларов, что в относительном выражении на 174 процента больше в сравнении с аналогичным периодом 2010 года. В следующем квартале компания HTC планирует отгрузить на рынок от 11 до 11,5 миллиона мобильных устройств, что составит от 103 до 113 процентов роста в сравнении со вторым кварталом 2010 года. Показатель дохода во втором квартале 2011 года по прогнозам должен составить 4,2 миллиарда долларов.