div.main {margin-left: 20pt; margin-right: 20pt}
Советы администратору NT
|
Майкл Д. Рейли Редактор журнала Windows
NT Magazine, а также один из основателей и вице-президент
компании Mount Vernon Data Systems, специализирующейся на
консультационных услугах и разработке прикладных баз данных.
Рейли имеет сертификаты системного инженера Microsoft и
преподавателя Microsift по Windows NT, SMS и SQL Server. С ним
можно связаться по адресу: mdreilly@compuserve.com. | За
последние четыре года мною опубликован ряд статей, посвященных
вопросам системного администрирования. Хочется подвести некий итог
всего обсуждения темы и дать несколько рекомендаций по установке,
настройке, созданию сетей и решению проблем, связанных с NT.
Планируйте процесс инсталляции
Для успешного развертывания системы прежде всего следует
тщательно изучить процесс автоматической установки. Это позволит в
дальнейшем существенно сэкономить время.
При использовании таких средств, как GHOST, можно столкнуться с
проблемой разнородных видео- и сетевых плат. Такое происходит при
наличии множества «разнокалиберных» машин или даже компьютеров
нестандартной конфигурации. Если просто скопировать настроенную
установку NT, то неизбежно возникнут сложности с SID. Лучше
воспользоваться образом системы, полученным перед второй
перезагрузкой при установке, до того, как система начала сбор
информации о компьютере. Далее можно просто завершить процесс
установки, ответить на все вопросы и получить уникальный SID. Если
образ системы создается с помощью GHOST, можно воспользоваться
программами изменения SID. Не стоит оставлять на машине дубликаты
SID, это может усложнить переход на Windows 2000.
По возможности следует создать компакт-диск с набором драйверов
для всех имеющихся сетевых плат. Большая часть сетевых плат из
перечня, выводимого при установке NT 4.0 с оригинального
компакт-диска, была выпущена более трех лет назад. Система либо не
определяет новые сетевые карты, либо делает это неверно. Информацию
с этого диска нужно скопировать на жесткий диск, который будет
эталонным при работе GHOST. Вне зависимости от установленной на
компьютере сетевой платы, на диске всегда будут необходимые
драйверы. Позднее данный каталог можно удалить.
Во время установки или сразу после нее следует создать диск
аварийного восстановления ERD. В некоторых компаниях на него
записывается и пароль администратора, после чего диск запирают в
сейфе. Если администратор изменил пароль и ушел из компании, то
можно ли получить доступ к системе? Да, если имеется диск ERD
первоначальной установки. Можно восстановить первоначальную базу
SAM, пожертвовав текущей базой, которая потом восстанавливается с
последней резервной ленты.
Упрощайте установку программ
Применение Microsoft Systems Management Installer или программ
других производителей позволяет упростить процесс установки ПО
конечным пользователем. Осуществлять поддержку пользователей намного
проще, если все они имеют одну и ту же версию программ и одинаковые
параметры настройки.
Поддержка после установки
Информацию на дисках ERD необходимо содержать в актуальном
состоянии для каждого сервера. Если не хочется создавать диск
аварийного восстановления, нужно хотя бы иногда запускать утилиту
RDISK и записывать текущее состояние системы в каталог REPAIR на
жестком диске. Я «поднимал» систему, восстанавливая файлы из этого
каталога с резервной ленты вначале на другом компьютере, а затем
копировал их на диск, который становился ERD.
NTFS необходимо использовать на всех компьютерах. Раньше многие
администраторы создавали небольшой раздел FAT для файлов загрузки, а
файлы системы и данные хранили на разделах NTFS для обеспечения
безопасности и восстановления. Хорошо знакомые средства DOS отлично
справлялись с проблемами при загрузке. Но когда администратор
приобретает некоторый опыт работы, сохранять незащищенный раздел уже
не имеет смысла. Сейчас эта рекомендация еще более актуальна,
поскольку размеры нынешних дисков превышают 20 Гбайт и использование
устаревшей файловой системы FAT совершенно непрактично.
Для особо важных компьютеров стоит создать загрузочный диск. Если
располагать NT на разных машинах в одноименных каталогах, то один
такой диск подойдет для всех компьютеров. Для любого сервера с
системой зеркалирования необходимо иметь диск загрузки для
зеркального диска.
В наиболее ответственных ситуациях можно устанавливать вторую
копию NT. Нужна лишь минимальная, без изысков, вторая установка NT
Workstation или NT Server, предпочтительно на другом жестком диске.
При сбоях в работе основной системы можно загрузить резервную и
выполнить восстановление с ее помощью.
Упрощайте сеть
Число протоколов в сети должно быть минимальным. Иногда старые
протоколы не удаляются, и по сети «разгуливают» NetBEUI, Nwlink
(IPX/SPX) и TCP/IP. Каждый дополнительный протокол увеличивает
нагрузку на систему. В некоторых случаях, например при просмотре
ресурсов, она особенно возрастает. При просмотре каждый компьютер,
предоставляющий ресурсы, объявляет об этом по сети один раз в 12
минут по всем установленным протоколам. Приложения Microsoft требуют
применения не NetBEUI, как полагают многие, а NetBIOS, API-интерфейс
которого работает и поверх TCP/IP.
Для назначения IP-адресов следует использовать DHCP.
|
ЭКРАН 1. Настройка сервера
DHCP. | На Экране 1 показана
настройка сервера DHCP. Как правило, следить за назначенными
IP-адресами непросто. DHCP автоматизирует этот процесс и снижает
вероятность возникновения ошибок. Для подготовки к переходу на
Windows 2000 и динамический DNS (DDNS) имеет смысл предварительно
установить на одном NT сервере службы WINS и DNS. Службу DHCP также
можно настроить на использование WINS и DNS.
Берегите ноги
Системами NT можно управлять удаленно, со своего рабочего места,
обычно с NT Workstation. На компакт-диске NT Server в каталоге
winnt cdclientssrvtools имеются средства администрирования
основных служб типа DHCP и WINS, а также управления учетными
записями пользователей домена. Большинство программ из комплекта
BackOffice типа SQL Server и SMS имеют программы администрирования,
позволяющие контролировать систему с удаленного компьютера, а не
только на сервере.
Диагностика на расстоянии
Со своего рабочего места можно не только управлять серверами, но
и запускать такие диагностические утилиты, как NT Event Viewer,
Performance Monitor, Windows NT Diagnostics. Действуя таким образом,
администратор помогает гораздо большему числу пользователей, чем при
непосредственном контакте.
|
ЭКРАН 2. Наблюдение за передачей данных с
помощью Performance Monitor. | На
Экране 2 представлены результаты замеров Perfomance Monitor на
удаленном и локальном компьютерах при передаче данных.
Держитесь курса
Рекомендуется периодически запускать Perfomance Monitor на
ответственных системах для установления средних значений основных
счетчиков производительности при работе в нормальном режиме. Это
помогает определять причину обнаруженных ошибок, а также выявить
тенденции и, соответственно, своевременно проводить модернизацию
серверов.
Читайте журналы
Каждый догадается заглянуть в журнал событий, когда сбой уже
произошел. Лучше все-таки проверять журналы регулярно, тогда можно
выявить ошибку до того, как ее последствия заметят пользователи. Не
следует забывать про журнал безопасности, куда заносятся сведения о
нарушениях правил доступа.
Не забывайте о системных политиках
Системные политики NT позволяют централизованно управлять
компьютерами. Ограничив права пользователей на перенастройку
системы, администратор существенно облегчает свою задачу. Имеет
смысл перед регистрацией пользователей в системе предупреждать их о
применении системных политик. Например, о том, что компьютер
является собственностью компании, предназначен для использования
только уполномоченными сотрудниками и для определенных целей.
Возможно, это не остановит нарушителя, но поможет поддерживать
порядок в работе с компьютерами.
|
ЭКРАН 3. Установка системных
политик. | На Экране 3 показана
настройка заголовка при регистрации на закладке Policies в Default
Computer Properties.
Выбирайте подходящий редактор реестра
Внесение изменений в реестр сопряжено с некоторым риском, однако,
если следовать большинству рекомендаций Microsoft, делать это все
равно придется.
Нужно соблюдать некоторые предосторожности, чтобы не внести
нежелательных изменений. Во-первых, при работе с реестром в regedt32
следует включить режим только для чтения, тогда случайные изменения
в реестр не попадут. Во-вторых, если изменения в реестре все же
необходимы, нужно убедиться в наличии резервной копии реестра. Ее
можно создать стандартной процедурой резервного копирования NT, либо
воспользоваться пунктом меню regedt32, и сделать резервную копию
куста или раздела реестра в файл.
Для поиска по реестру больше подходит редактор regedit, но он не
имеет режима только для чтения.
|
ЭКРАН 4. Использование regedit для
внесения изменений в реестр. | На
Экране 4 иллюстрируется процесс редактирования удаленного и
локального реестров в regedit.
Применяйте разрешения
В документации Microsoft для предоставления доступа рекомендуется
создать глобальные группы пользователей домена, затем присвоить
разрешения локальным группам и, наконец, включить глобальные группы
(пользователей) в локальные группы (ресурсов, к которым необходим
доступ). И хотя это достаточно трудоемкий процесс, усилия не
пропадут даром, поскольку контролировать разрешения будет легче. Не
следует давать разрешения напрямую пользователям: время от времени
они друг друга подменяют, а это ведет к компрометации пароля и может
послужить лазейкой для взломщика.
Архивируйте все
Хотя все сознают необходимость создания резервных копий, многие
надеются на авось. И совершенно напрасно, ведь данный процесс легко
автоматизировать. Для начала можно запускать программу NTBackup по
расписанию с помощью либо команды AT, либо программы Winat для
создания резервных копий важных данных и системных каталогов. Важно
помнить, что RAID-массивы не отменяют процедуру резервирования. Они
могут только обеспечить защиту от сбоев и имеют ограничения, — если
в массиве RAID выйдут из строя два диска одновременно, все равно
придется восстанавливать данные с ленты или другого диска.
Возьмите на вооружение группы новостей
Существует несколько серверов Microsoft, обеспечивающих рассылку
новостей о продуктах компании. Некоторые из них имеют отношение к NT
и посвящены самым разным вопросам, от общих, типа доменов, до
специфичных, например dfs. Сервер Microsoft имеет адрес
msnews.microsoft.com. Но подписываться на новости этого или других
серверов необязательно. Просто заглядывая на сайт, можно получить
массу информации по теме группы. Официально такие серверы не
поддерживаются Microsoft, хотя на некоторые вопросы ее специалисты
отвечают. Многие желают поделиться своими знаниями и опытом. Прежде
чем отсылать вопрос, стоит просмотреть уже имеющиеся сообщения и
файл часто задаваемых вопросов — возможно, ответ найдется уже
здесь.
Оставайтесь гибкими
Каждый администратор NT, исходя из собственного опыта, определяет
для себя «что такое хорошо и что такое плохо». У всех есть свои
приемы и предпочтения. Однако при переходе на Windows 2000 нужно
быть готовым пересмотреть свой багаж, иначе рискуешь попросту
отстать от поезда.
|