Administriranje mreža Revizija konfiguracije Kada "prođete" kroz
server i ustanovite da je stanje zadovoljavaju će, važno je da proverite sva podešavanja prema dodatnim alatima, kako biste bili sigurni da niste ništa propustili. Takođe, veoma je važno znati da Vaša mreža odgovara standardima priznatih bezbednosnih entiteta kao što su NSA ili NIST. Prema zahtevima postavljenim u Health Insurance Insurance Portability and Accountability Accountability Actu (HIPAA) ili Graham Leach Bliley Actu (GLBA), od mnogih kompanija se sada zahteva da pokažu dokumentaciju koja dokazuje da su preduzele sve neophodne korake u obezbe đivanju osetljivih informacija u njihovim mrežama. Dodatni alati za analizu omogu ćavaju objektivnu i nepristrasnu procenu bezbednosti mreže. Mada su neke od tehnologija procenjivanja vrlo potpune, one ne mogu da zamene proveru koje vrše respektibilne kompanije specijalizovane za reviziju bezbednosti mreže. Proveravanje bezbednosti sistema Dnevnik zapisa događaja je odličan način praćenja aktivnosti na serveru. Pravila lokalne bezbednosti omogućavaju uključivanje ili isključivanje različitih kontrola događaja, a to će biti objašnjeno u slede ćoj listi: • Audit account logon events (kontrolno praćenje događaja prijavnog naloga). Ovaj parametar kontroliše svaku instancu prijavljivanja ili odjavljivanja korisnika na ili sa drugog računara, gde se taj računar koristi za proveravanje naloga. Doga đaji prijavnog naloga se generišu kada kontroler domena proverava identitet korisnika domena. Doga đaji se zapisuju u bezbednosni protokol kontrolera domena. Slično tome, prijavni događaji se generišu kada lokalni ra čunar proverava identitet lokalnog korisnika. U ovom slučaju, događaji se zapisuju u lokalni bezbednosni protokol. • Audit account management (kontrolno praćenje upravljanja nalogom). Ovaj parametar kontroliše svaku instancu na kojoj je korisni čki ili grupni nalog kreiran, promenjen ili izbrisan. Tako đe, generiše događaje kada se korisni čkom nalogu promeni ime i kada se nalog deaktivira ili aktivira. Podešavanje ili menjanje lozinke se, tako đe, kontroliše. • Audit directory service access (kontrolno praćenje pristupanja servisu direktorijuma). Ovaj parametar kontroliše svaki događaj pristupanja korisnika aktivnom direktorijumu koji ima sopstvenu kontrolnu listu pristupanja sistemu (System Acces Control List - SACL). • Audit object access (kontrolno praćenje objekta). Ovaj parametar kontroliše doga đaj pristupanja korisnika objektu, kao što su fajl, folder, Registry key ili štampa č, koji ima sopstvenu kontrolnu listu pristupanja sistemu (SACL). • Audit policy change (kontrolno praćenje promene pravila). Ovaj parametar kontroliše slu čajeve promene pravila u pravima koja su dodeljena korisniku, pravilima kontrole i pravilima pravilima poverenja. • Audit privilege use (kontrolno praćenje korišćenja privilegija). Ovaj parametar kontroliše svaku instancu primene korisni čkih prava. • Audit process tracking (kontrolisanje postupka praćenja). Ovaj parametar kontroliše detaljno praćenje informacija o doga đajima kao što su aktiviranje programa, napuštanje postupka, rukovanje kopijama i indirektno pristupanje objektima. • Audit system events (kontrolno praćenje sistemskih doga đaja). Ovaj parametar kontroliše događaj kada korisnik ponovo pokrene ili isklju či računar ili kada se pojavi neki doga đaj koji utiče na bezbednosni sistem sistem ili bezbednosni bezbednosni dnevnik zapisa. zapisa. Korišćenje Microsoft Baseline Security Analyzera Microsoft Baseline Security Analyzer je alat dizajniran tako da odre đuje koja su najnovija ažuriranja trenutno primenjena na sistem. MBSA izvršava ovaj zadatak pozivajući se na XML (Extensible Markup Language) fajl, pod nazivom mssecure.xml. MBSA i najnovija kopija mssecure.xml mssecure.xml fajla MBSA se spaja sa Microsoftovim web sajtom da bi "izvukao" najnoviju kopiju mssecure.xml fajla. Ako ra č unar unar na kojem je MBSA pokrenut nema pristup Internetu, možete da preuzmete XML fajl i smestite ga na rač unar unar gde je MBSA pokrenut. Setite se da redovno ažurirate ovaj fajl, kako biste stalno bili u toku sa najnovijim ažuriranjima sistema. Ovaj fajl se redovno ažurira od strane Microsofta, kako bi važio kao izveštaj za sve izvršene ispravke. Korišćenjem tehnologije HFNetChk, MBSA može da kontroliše odredišni sistem prema listi trenutnih ispravki. Ovaj XML fajl sadrži informacije o tome koja su bezbednosna ažuriranja na raspolaganju za određene Microsoftove prizvode, izvan operativnog sistema koji se u tom trenutku koristi. Fajl sadrži nazive i naslove biltena o bezbednosti, kao i detaljne informacije o specifi čnim bezbednosnim
Administriranje mreža ažuriranjima proizvoda, uključujući sledeće: . • Fajlove u svakom paketu ažuriranja . • Verzije i kontrolne sume . • Ključeve Registrya koje primenjuju aplikacije . • Informacije o ažuriranjima koja su zamenila neka druga ažuriranja . • Brojeve predmeta povezanih sa Microsoftovom bazom znanja Korišćenje skenera za otkrivanje ranjivosti (vulnerability scanners) Jedna od najdragocenijih metoda za proveravanje bezbednosti servera je koriš ćenje skenera za otkrivanje ranjivosti. Ovi skeneri se zasnivaju na konstantnom ažuriranju baze podataka o poznatim bezbednosnim pukotinama u operativnim sistemima i aplikacijama. Skener se spaja sa odredišnim sistemom na različitim portovima i šalje zahteve sistemu. Na osnovu odgovora, skener proverava bazu podataka da bi utvrdio da li postoje uslovi za neovlaš ćeno iskorišćavanje tog sistema. Svi potencijalni uslovi neovlašćenog korišćenja se sakupljaju u jedan izveštaj koji se prezentuje administratoru. Većina skenera ima opciju za nametljivo testiranje. Prilikom izvršavanja takvog testiranja je neophodna velika opreznost. Nametljivo testiranje je jedini na čin da zaista proverite rezultate testiranja ranjivosti. Na primer, u nekoj stavki izveštaja može stajati da je odre đeni skript preko web servisa označen kao izvršni i da se može iskoristiti tako da dovede do pada servera ukoliko prenese parametar koji sadrži nestandardni znak. Vi možete smatrati da to nije ta čno, zato što ste dodelili NTFS dozvole skriptu da dopusti samo jednom nalogu da mu pristupi; taj nalog je onaj koji Vi kontrolišete i on nikada ne može da pošalje nestandardni znak. Jedini na čin da budete sigurni u to je da skener pokuša da iskoristi tu pukotinu u bezbednosti. Najbolje je da to uradite u toku održavanja, u slu čaju da pokušaj skenera bude uspešan. Jedino nakon izvršavanja ovakve provere možete biti sigurni da ranjivost servera nije zaista prisutna. Neki od poznatih skenera za otkrivanje otkrivanje ranjivosti su: . • Microsoft Security Baseline Analyzer . • Internet Security Systems: RealSecure . • Nessus . • GFI LANguard Network Security Scanner . • Cerberus Internet Scanner (CIS) Kontrolno praćenje fajl sistema Windows 2003 poseduje ugrađene mehanizme za kontrolno pra ćenje pristupanja fajl sistemu. To Vam omogućava da vidite ko pristupa, ili pokušava da pristupi, odre đenim fajlovima i kada se to dešava. Ovu vrstu kontrolnog praćenja podržavaju samo diskovi sa NTFS-om. Da biste kontrolisali ovu vrstu pristupa, prvo morate da aktivirate Object Access Auditing. Ova osobina se aktivira preko Default Domain Security Settingsa, izabiranjem Local Policies/Audit Policy/Audit Object Access. Potvrdite kontrolisanje obe opcije, Success i Failure, da biste pratili obe vrste doga đaja. Da biste kontrolisali pristup određenom fajlu ili direktorijumu, uradite sledeće: Upravljanje kontrolnim praćenjem na serveru Uloga upravljanja kontrolnim pra ćenjem na serveru može biti dodeljena ne-administratorskom nalogu, garantovanjem garantovanjem Manage Auditing i Security Log prava preko Group Policy. Tako možete dodeliti ovu ulogu bez davanja punih administratorskih prava. To je posebno korisno za administratore udaljenih sajtova koji upravljaju samo podre đ enim enim skupovima servera i korisnika. 1. Preko Explorera prona đite fajl ili direktorijum. 2. Desnim tasterom miša kliknite fajl ili direktorijum koji će biti kontrolisani, kliknite Properties, a zatim Security. 3. Kliknite Advanced, a zatim kliknite dugme Auditing. Kliknite Add. Upišite naziv grupe ili korisnika čije akcije želite da pratite i kliknite OK. 4. U padajućem okviru Apply Onto izaberite lokaciju na kojoj želite da primenite kontrolno pra ćenje. 5. U okviru Access odredite koje uspešne i neuspešne doga đaje želite da kontrolišete, tako što ćete označiti odgovarajuća polja za potvrdu. 6. Kliknite OK, OK i OK da biste završili.
Administriranje mreža Obezbeđivanje web servisa
Web Servers su jedna od naj češćih implementacija Windowsa 2003 i zbog njihove funkcije da servisiraju korisnike izvan domena posebno su ranjivi i moraju biti dobro obezbe đeni. Nove zloupotrebe Weba se pojavljuju gotovo svakodnevno i da bi web serveri ostali bezbedni, moraju se ažurirati odgovarajućim zakrpama za operativni sistem, kao i za web servise. Korišćenje SSL-a Ono o čemu treba najviše da brinete kada su u pitanju web serveri je kako da obezbedite poverljivu komunikaciju od presretanja. Pošto je Internet jedan "zamagljen oblak" sa diskutabilnom bezbednošću, samo od Vas zavisi kako ćete obezbediti end-to-end komunikaciju sa krajnjim korisnicima. Iskoriš ćenost propusnog opsega i SSL Koriš ćenje SSL-a ne uti č e na iskoriš ćenost propusnog opsega. To, međ utim, utim, donosi dodatno opterećivanje CPU-a i klijenta i servera. Ako će postojeća web aplikacija biti prebač ena ena na SSL komunikacije, ukupni kapacitet sistema će biti smanjen. To optere ćivanje servera se može ublažiti upotrebom hardverskih SSL akceleratora. Najjednostavnije je da to uradite pomoću Secure Socket Layer komunikacija. SSL se izvršava iznad TCP/IP-a, a ispod HTTP-a. SSL izvršava tri osnovne funkcije: • SSL autentifikaciju servera. Ova funkcija omogućava klijentu da proveri identitet servera. Softver klijenta, sa aktivnim SSL-om, može da upotrebi kriptovanje javnim klju čem i proveri da li su sertifikat servera i javni ID valjani. Isto tako, može da proveri da li je sertifikat objavljen od strane CA-a koji se nalazi u klijentovoj listi autoriteta za sertifikate u koje ima poverenja. Na primer, ako korisnik preko Interneta šalje broj kreditne kartice da bi nešto kupio, on će verovatno hteti da proveri identitet prijemnog servera. • SSL autentifikacija klijenta. Ova funkcija omogućava serveru da proveri identitet klijenta. Koristeći sličnu tehniku kao za autentifikaciju servera, softver servera, sa aktivnim SSL-om, može da proveri valjanost klijentovog sertifikata i javnog ID-a. Takođe, može da proveri da li je sertifikat objavio CA-a u koji ima poverenja. Na primer, ako online trgovac želi da pošalje kupcu poverljive informacije, on će verovatno hteti da proveri identitet tog kupca. • Šifrovanje SSL konekcija. SSL zahteva da sve informacije koje se šalju izme đu servera i klijenta budu šifrovane od strane softvera koji ih šalje i dešifrovane od strane prijemnog softvera. To omogućava visok nivo poverljivosti i bezbednosti. SSL sadrži mehanizam za pronalaženje podataka koje je neko neovlašćeno promenio. Sve naredne zašti ćene transakcije se izvršavaju preko SSL konekcija. Skeniranja web servera radi otkrivanja ranjivosti Web serveri su posebno ranjivi na napade hakera. Često su web serveri otvoreni za anonimne pristupe, a pritom nalaze se u slabo obezbe đenim mrežama. Web serveri su veoma popularne mete i zato se na web servisima uvek mogu pronaći slabe tačke. Da biste eliminisali ranjivost sistema, morate da saznate njegove slabe ta čke. Najjednostavniji način da to uradite je da redovno skenirate web servere traže ći gde su ranjivi. Mnoge kompanije nude servise posebno dizajnirane za redovno skeniranje web servera, a svojim klijentima prosle đuju izveštaje o pronađenim slabostima. Ovo je odli čan izbor za kompanije kojima nedostaju resursi ili stru čnost za izvršavanje ovakvog unutrašnjeg skeniranja. Održavati korak sa zakrpama Neprekidno održavanje koraka sa zakrpama je apsolutno neophodno za bezbednost web servera. Ogromna većina najbitnijih ispravki proizvedenih za Windows se zasniva na bezbednosnim pukotinama otkrivenim na web serverima. To se ne dešava zbog toga što su web serveri nepopravljivo nebezbedni, već zato što na Internetu postoji ogroman broj web servera zasnovanih na Windowsu; oni "nisu krivi" što predstavljaju omiljenu metu hakera. Microsoft ima čitave timove inženjera i softverskih dizajnera koji rešavaju takve probleme čim se pojave. Njihov posao je da brzo dostave administratorima najnovije ispravke. Najjednostavniji način za upravljanje ovim zakrpama je upotreba Software Update Servicea. SUS server omogućava usmeravanje svih web servera na jedan server radi preuzimanja zakrpa. Sve što treba da uradite je da proverite dnevnike zapisa na SUS serveru da biste videli da li ima novih zakrpa. Zakrpe možete da testirate u laboratorijskim uslovima, a zatim da odobrite njihovo dalje distribuiranje. Nakon toga, web serveri koji su konfigurisani tako da budu usmereni na SUS server, automatski će
Administriranje mreža instalirati zakrpe i, opciono, ponovo pokrenuti sopstveni sistem. Zakrpe i automatsko restartovanje Ako su serveri konfigurisani tako da automatski ponovo pokre ću sistem nakon instaliranja zakrpa koje to zahtevaju, možete se na ći u situaciji da se svi web serveri restartuju u isto vreme. Rezultat toga će biti da sajt ne će raditi nekoliko minuta, u zavisnosti od toga koliko vremena je serverima potrebno da ponovo pokrenu sistem. Blokiranje IIS-a Windows 2003 IIS (verzija 6.0) je nadmašio svog prethodnika u integrisanju ve ćine osobina starog IIS Lockdown Toola. IIS Lockdown Tool radi tako što isklju čuje nepotrebne osobine unutar IIS-a, na osnovu planirane uloge servera. Tako se smanjuje broj potencijalnih ta čaka koje hakeri mogu da napadnu. Sve ovo je obloženo URLScanom, pomo ćnim programom koji presreće ulaz sa računara klijenta i vrši internu proveru da bi utvrdio da li ima pokušaja slanja "zlonamernih" podataka kao što su znaci ili skriptovi koji izlaze iz dozvoljenog opsega. Po standardnom podešavanju, IIS6 se instalira samo sa onim osobinama koje su neophodne za obavljanje njegove definisane funkcije. Mogu će je precizno odrediti koje ISAPI i CGI kodove je dozvoljeno pokrenuti na serveru, a postoje i standardno podešena ponašanja za upravljanje HTTP zaglavljima koja su dizajnirana za izvršavanje Web DAV-a. To zamenjuje neke od osobina URLScana. IIS6 sadrži i mehanizme za ograni čavanje dužine polja i zahteva. Na ovaj na čin su prevaziđene gotovo sve slabosti starije verzije IIS-a. Ako su ovakva podešavanja suviše restriktivna za određenu web aplikaciju, možete da izmenite parametre preko podešavanja Registry: •HKEY_LOCAL_MACHINE\System\CurrentCintrolSet\Service •HKEY_LOCAL_MACHINE \System\CurrentCintrolSet\Services\HTTP\Parameters\AllowRe s\HTTP\Parameters\AllowRestr str ictedChars • HKEY_LOCAL_MACHINE\System\CurrentCintrolSet\Services\HTTP\Parameters\MaxFieldL ength • HKEY_LOCAL_MACHINE\System\CurrentCintrolSet\Services\HTTP\Parameters\UrlSegme ntMaxLength • HKEY_LOCAL_MACHINE\System\CurrentCintrolSet\Services\HTTP\Parameters\UrlSegme ntMaxCount Mada se URLScan 2.5 može izvršavati na IIS-u 6, ve ćina administratora će zaključiti da to nije potrebno, zato što su osobine IIS-a 6, koje se ti ču bezbednosti, bolje od onih u URLScanu 2.5. Preporu čujemo da URLScan 2.5 koristite sa starijim IIS 5.0 serverima.
I Uvod Jedan od ogromnih problema problema u ra č unarskim unarskim mrežama može biti prestanak rada servera. Zamislite da je na Vašem serveru povezano dvesta ra č unara unara i da je radno vreme u jeku. Odjednom operativni sistem na serveru prestaje da radi i cela kompanije č eka eka da odreaguje sistem administrator. Ono što Vam ostaje da uradite jeste da rešite problem, ili da se oporavljate od njega. Ništa manje važne sa stabilnost i oporavak sistema jeste pravljenje i verifikovanje rezervnih kopija sistema, što je možda i jedan od najznač ajnijih ajnijih poslova sistem administratora. Cilj ovog seminarskog rada jeste uporediti odbrambene mehanizme koji poseduju dva operativna sistema Windows 2003 Server i Linux u sluč aju aju kraha sistema. Rad će obuhvatiti i neke od preventivnih mera kako ne bi došlo do ovog slu č aja. aja. U prvom delu rada obrati ćemo pažnju na Windows odbrambene mehanizme dok će u drugom delu biti obra đ eni eni Linux odbrambeni sistemi. U sledećim redovima teksta bavi ćemo se sledećim temama: Neke osnove spreč avanja avanja katastrofa koje je mogu će izbeći Nač in in koriš ćenja Windows i Linux Backup-a za ruč no no i automatsko kreiranje rezervnih kopija Nač in in koriš ćenja alata System Information za pronalaženje grešaka kod hardverskih problema Šta se događ a kada se podiže operativni sistem Koriš ćenje nekih od alata koji se nalaze u Windows i Linux operativnim sitemima
Administriranje mreža Zaštita mreže je proces koji se nikada na završava, za svaku meru zaštite postoji i protivmera. Ne postoji nač in in da se uvek sa č uva uva sistem od svakog problema i zato treba ostvariti ravnotežu izme đ u troškova opravka troškova zaštite od katastrofe. II Priprema za slučaj pada i oporavak Windows 2003 Servera Kada na sistemu nešto krene naopako ne treba odmah krenuti u napad. Prvi korak ne podrazumeva da ne treba odmah otvoriti kućište servera. Tri najdragocenija oruđa za rešavanje problema jesu: instalacioni CD za Windows 2003, Emergency Repair disk (disk za hitne popravke) koji se može koristiti za popravku Windows 2003 instalacije instalacije i sveska u kojoj treba beležiti rešenja za ranije probleme. Ponekad se u trenutku stresa mozak zna blokirati pa će sveska postati dragoceni dijagnosti čki alat u slučaju da se pomisli da smo ovaj ovaj problem već negde videli. Kako bi server stalno normalno radio i bio bezbedan potrebno je preduzeti slede će korake: Fizički je potrebno zaštiti mrežu. To prvenstveno podrazumeva upade od nepoželjnih tre ćih lica. Zaštititi korisnike svoje mreže i sitemske podatke dobrom strategijom pravljenja rezervne kopije. Treba se pripremiti za najgore pomoću plana za oporavak koji je razra đen po tačkama tako da bilo ko može da pristupi njemu. Oporavak sistema ne treba da zavisi samo od jedne osobe, koja jedina ume da povrati mrežu u radno stanje. Treba razumeti kako radi server, tako da se problemi mogu rešavati a i spre čavati u budućnosti.
Uvek treba koristiti UPS (Uninterruptible Power Supply)5 i stabilizator napona da bi zaštitili server, rutere i habove od promena u napajanju elektri čnom energijom. Ovim se okosnica mreže štiti od varijacija napona. Zaštita napajanja će doprineti i sprečavanju gubitka podataka i omogućiće zatvaranje servera na regularan na čin. Najveći broj osoba koje koriste mrežu nemaju valjan razlog da rade bilo šta na Windows 2003 serveru. Način da se ljudima ne dozvoli fizički pristup serverima je taj da oni budu zaključani u neku od posebnih prostorija. Oni Oni koji ne mogu da se približe serverima ne mogu da urade urade neke od slede slede ćih stvari : Ponovo podignu operativni sistem, ili ugase server Ukradu sa servera hard diskove koji sadrže podatke Ponovo instaliraju Windows Server i tako dobiju priliku da kreiraju novi nalog za administratora Korisničke dozvole, koje spre čavaju nekoga da ugasi server sa konzole, ne spre čavaju istu osobu da ugasi server na prekida č. Zbog ovoga ukoliko nema mogu ćnosti da se zaključa server, mogu će je fizički
Administriranje mreža onesposobiti dugme Reset tako da niko ne može lako da iklju či računar izuzev ako nema dozvolu da to uradi. Zaštita Windows server sistema izgra đena je na autentifikaciji. Kada se korisnik prijavi na domen, korisničko ime i lozinka upoređuju se sa informacijama koje su upisane u Security Accounts Manager-u na kontroleru domena. Kada se za njega na mreži izvrši provera, dodeljuje mu se oznaka zaštite koja sadrži listu prava i dozvola koje se zasnivaju na korisni čkom identitetu i članstvu u grupama. Uvek kada se pokuša da se uradi nešto, čitanje fajla, instaliranje aplikacije, Windows menadžer žaštite upore đuje prava i dozvole sa onim što hoćemo da uraditmo i na osnovu rezultata provere dozvoljava ili onemogu ćava pristup. Jedina stvar koja spre čava da se neko predstavi kao neko drugi je lozinka za nalog. Kada neko dođe do lozinke za odre đeni nalog, on može da koristi taj nalog i sva prava i dozvole koje su mu pridružene. Lozinke su ono preko čega se najčešće prodire u Windows mrežu. Danas postoji mnogo alata koji mogu da razotkriju lozinke. Svi od njih uglavnom koriste tri metode. Napad pomoću rečnika. U napadu pomo ću rečnika programi testiraju sve reči u rečniku, ili fajlu koji sadrži reči (to može biti i preko 25000 reči) , sve dok ne na đ je odgovarajuću reč. Hibridni napad. Ako napad pomo ću re čnika ne proizvede rezultat, slede ći korak je taj gde program proverava da li je korisnik uneo poznatu reč i dodao joj brojeve ili neke druge karaktere, dodaju ći tako snagu napadu pomoću rečnika. Napad brutalnom silom. Poslednja faza je napad brutalnom silom, u kome se šifrovana lozinka poredi sa svakom mogućom kombinacijom tastera. Napadi brutalnom silom mogu da traju danima i nedeljama u zavisnosti od brzine ra čunara, ali na kraju mogu da otkriju skoro svaku lozinku koja koristi karaktere koje se nalaze na standardnoj tastaturi. Skoro svaka lozinka je ranjiva pred napadom brutalne sile, ako napad dovoljno dugo traje. Jedini način za sprečavanje ovog napada je promena lozinke u toku procesa otkrivanje iste. I pored ovoga što je rečeno, daleko od toga da su lozinke beskorisne. Ukoliko je mreža povezana sa internetom, a velika verovatnoća da jeste, treba zatvoriti TCP/IP portove koji nisu potrebni i treba pratiti neuspele pokušaje za povezivanje sa gateway-om, koji dolaze sa Interneta. Za ljude iznutra, koji imaju pristup mreži treba uvesti politiku zabrane alata za otkrivanje lozinki, bilo kome ko nema valjan razlog da ih poseduje. 2.1 Programi za pravljenje rezervnih kopija
Rezervna kopija je prva linija odbrane u slu čaju pada servera i poslednja šansa da se nešto ispravi kada sve ostalo prestane da radi. Kada ve ć dođe do toga, ono što je važno to su podaci na serveru koje treba spasiti. Sam hardver uvek može da se zameni i operativni sistem se može ponovo instalirati, ukoliko je to potrebno. Ono što se ne može zameniti su podaci.
Windows 2003 se isporučuje sa alatom Windows Backup, koji ima više svojstava, podršku za brojni niz medijuma, i integrisani program ( sheduler ) za raspoređivanje tzv, job-ova koji prave rezervne kopije.
Administriranje mreža Backup aplikacija se nalazi u odeljku System Tools fascikle Accessories. Iz ovog alata se mogu praviti rezervne kopije podataka, mogu se restaurirati podaci ili se može kreirati disk za popravku. Na prvom mestu je proces za pravljenje rezervnih kopija. Klikom na dugme Backup Wizard startovaće se čarobnjak koji je tu da nam pomogne da kreiramo set rezervnih kopija. Treća opcija nam omogućava da napravimo rezervnu kopiju samo System State podataka. System State podaci su, Registry informacije, sistemski fajlovi za startovanje sistema i COM+ Class registration baza podataka, informacije o konfiguraciji sistema koje su potrebne da bi se server ponovo instalirao. Na Windows 2003 koji su kontroleri domena, ovi podaci, će ukjlučivati i kopiju Akrivnog Direktorijuma i kopiju Sysvol direktorijuma, što na tom serveru predstavlja kopiju javnih fajlova koje dele svi kontroleri domena u tom domenu.
Kada se pravi rezerva kopija svega što se nalazi na ra čunaru ( Back up everything on the computer), pravi se rezervna kopija svih lokalnih disk jedinica (ali ne i mrežnih disk jedinica). Kada se pravi rezervna kopija izabranih fajlova, disk jedinica, ili mrežnih podataka ( Backup selected files, driver, or network data) imamo mogućnost da izaberemo tačno ono što želimo da zaštitimo. Izaberemo opciju koju hoćemo i kliknemo na Next . Na primer, izaberimo opciju da želimo da napravimo rezervnu kopiju podataka o sistemu (System State Data) slika 2.3. Kao sledeće, Backup traži mesto na koje će staviti ove fajlove (slika2.4). On prvo traži izmenljiv medijum, pa ukoliko on nije dostupan ponudiće nam opciju da sami izaberemo neki ili mrežni disk ili čak i naš disk. Kada kažemo Windows Backup čarobnjaku gde treba da stavi fajl u kome će se nalaziti rezervna kopija, kliknemo na Next i pojavljuje se poslednji ekran koji prikazuje opcije pravljenja rezervne kopije. Ako kliknemo na dugme Finish, startovaće se pravljenje rezervne kopije.
Ovo je osnovni na čin pravljenja rezervne kopije, u kome se koristi podrazumevana postavka parametara. Ukoliko hoćemo da imamo veću kontorlu nad načinom na koji se izvršava program za pravljenje rezervne kopije (tj. opcije How i When) pre nego što kliknemo na Finish, da startujemo drugi deo čarobnjaka, kliknemo na dugme Advanced i biramo neku od ponuđenih opcija.
Administriranje mreža 2.2 Napredne opcije za pravljenje rezervnih kopija
Najčešće nije potrebno praviti rezervnu kopiju svih fajlova na serveru. Alat Backup uključuje jedan interfejs koji je nalik Explorer -u u kojem se mogu birati fajlovi, fascikle i disk jedinice čiju rezervnu kopiju želimo da napravimo (slika 2.5). Objekte čije kopije želimo da napravimo, biramo potvr đivanjem kvadrata koji se nalazi pored objekta. Nije moguće izabrati svaki objekat, ve ć samo onaj čiji se kvadrat za podvrdu vidi jasno. Posiveli kvadrati za potvrdu se ne mogu izabrati ali se može i ći u njihovu dubinu, do nivoa ve će detaljizacije kako bi se pronašao objekat koji može da se bira. Može se primetiti da se My Documents nalazi pri vrhu objekata koje je moguće birati, što olakšava pravljenje rezervne kopije svih dokumenata, ako su u toj fascikli smešteni neki privatni podaci. Krenimo sa objektima koji su smešteni na lokalnom serveru. Nemamo nameru da napravimo rezervnu kopiju svih sistemskih disk jedinica, jer ih možemo lako restaurirati ako imamo sa čuvane System State podatke, ali imamo drugi disk koji koristimo za čuvanje nekih podataka. Da bi došli do nje, kliknemo dva puta na My Computer kako bi se prikazale sve lokalne disk jedinice. Ovo su logi čke a ne fizičke disk jedinice. Da bi dalje videli sadržaj diska, ponovo dva puta kliknemo na disk jedinicu i prikazaće se sadržaj cele disk jedinice. Sada jednostavno izaberemo fajl ili folder koji želimo da sačuvamo klikom na gore pomenuti kvadrat. Možemo da poništimo izbor bilo kog objekta u ovoj fascikli i sprečimo da se napravi rezervna kopija, ponovno kliknuvši na kvadrat.
Broj fajlova i fascikli na različitim disk jedinicama nije ograni čen. Oni ne moraju biti poređani jedan pored drugog, ili biti poređani po bilo kom logičkom rasporedu ali će zadržati svoje lokacije na krajnjem medijumu na koji se smeštaju rezervne kopije. Prema tome, ako izabereme da napravimo rezervnu kopiju za E:NCD\\files\config i za C:My Documents \Myfile.doc, tada će Myfile.doc zadržati informacije o mestu na kome se nalazi, tako da će medijum na kome su rezervne kopije znati da taj fajl ide u fasciklu My Documents, a ne u fasciklu NCD. Iako izgleda da bi ovaj postupak spuštanja na nivo ve će detaljizacije trebalo da funkcioniše i za System State podatke, to nije slučaj. Kada se otvori My Computer da bi se videle sve lokalne disk jedinice, u listi elemenata videće se još jedan System State folder. Ako se dva puta klikne na ovaj objekat, kako bi se video njegov sadržaj, može se primetiti da kvadrati za potvrdu, koji se odnose na sve objekte, imaju sivu boju, tako da se ne mogu izabrati. Kada koristimo Windows Backup, može se napraviti kopija ili svih sistemskih podataka ili nijednog od njih, ali se ne mogu izabrati samo neki od njih. Moguće je napraviti rezervnu kopiju sadržaja bilo koje fascikle koja se deli na mreži i nalazi na bilo kom ra čunaru na mreži. Ovo je vrlo slično pravljenju rezervnih kopija lokalnih fajlova, izuzev toga što se prvo treba pronaći računar koji se traži i prema potrebi na njemu odabrati nivo detaljizacije.
Administriranje mreža U Windows Backup alatu postoji određen broj naprednih opcija koje se mogu podesiti. Treba izabrati Tools→Options na kartici Backup, ili kartici Restore, kako bi smo otišli na okvir za dijalog sa karticama, koji sadrži sve opcije pravljenja rezervnih kopija i povratka podataka. Podrazumevani tip pravljenja rezervnih kopija za Windows Backup je Normal , što nije dovoljno opisan način da se kaže da Windows Backup pravi potpunu rezervnu kopiju, ukoliko mu se ne kaže drugačije. Ako odemo na karticu Backup Type možemo da odaberemo jedu od opcija koje su prikazane u tabeli 2.1. Moguće je koristiti kombinaciju ovih tipova pravljenja rezervnih kopija, kako bi smo u potpunosti i efikasno napravili rezervne kopije fajlova.
Tabela 2.1: Tipovi pravljenja rezervnih kopija koje podržava Windows 2003
Tip pravljenja rezervnih kopija Normal (normalni) Incremental (inkrementalni) Differential (diferencijalni) Daily (dnevni) Copy (kopiranje)
Opis Kopira sve izabrane fajlove i potom resetuje bit za arhiviranje. Kopira sve izabrane fajlove za koje je postavljen bit za arhiviranje i resetuje taj bit. Kopira sve izabrane fajlove za koje je postavljen bit za arhiviranje ali ne resetuje taj bit. Kopira sve izabrane fajlove koji su bili editovani onog dana kada se izvršava program za pravljenje rezervnih kopija. Kopira sve izabrane fajlove, ali ne resetuje bit za arhiviranje.
Napomena
Bit za arhiviranje je atribut skrivenog fajla koji se primenjuje na fajlu kada se fajl kreira, ili edituje. On se koristi da bi rekao uslužnom programu za pravljenje rezervnih kopija, ili za kopiranje kako je ovaj fajl promenjen. Resetovanjem bita za arhiviranje on se uklanja iz fajla, setovanjem se bit za arhiviranje dodaje fajlu. Backup Logovi, su korisni alat rešavanje problema. Ako nešto krene naopako sa pravljenjem rezervne kopije, tada se može prou čiti log, čija je osnova tekst, kako bi se utvrdilo šta se odvijalo na pogrešan način.. Čak nije na odmet da se posle svakog pravljenja rezervne kopije pregleda log fajl kao bi se ustanovilo da li je procedura protekla prema o čekivanju. Windows Backup u Log upisuje samo značajne događaje i greške, ali ukoliko odemo na karticu Backup Log okvira za dijalog Options, moguće je izabrati da se pomenute informacije ne upisuju u log (što može da bude loša ideja), ili da se i log upisuje sve (što opet može da bude loša ideja zbog viška prikazanih informacija, pa samim tim i teškog snalaženja sa istim). Izuzev ukoliko nam je iz nekog razloga potrebna detaljna evidencija, opcija smeštanja kratkog pregleda ( summary) najvažnijih informacija je verovatno najbolje rešenje 2.3 Raspoređ ivanje automatskog pravljenja rezervnih kopija
Radi bezbednosti trebalo bi praviti rezervnu kopiju podataka barem jednom dnevno. Problem je u tome što je najprikladnije vreme da se to uradi, u toku no ći, kada nikoga nema na mreži. U Windows 2003 Serveru nam na raspologanju stoje dva postupka za raspore đivanje izvršavanja programa koji prave rezervne kopije. Jedan koriti GUI ( Graphical User Interface) a drugi koristi AT komandu za izvršavanje skript programa koji pravi rezervne kopije. Postoji nekoliko načina uz pomoć kojih se mogu rasporediti poslovi na izvršavanje u Windows Backup programu: U čarobnjaku Backup, jedna od Advanced opcija pita da li ho ćemo sada da pozovemo na izvršenje neki posao za pravljenje rezervnih kopija koji smo ranije kreirali, ili ho ćemo da to rasporedimo za neko kasnije vreme. Ako izabrememo da rasporedimo posao za kasnije, bićemo odvedeni u okvir Shedule Job.
Administriranje mreža U Windows Backup-u, kada na Backup kartici kreiramo posao za pravljenje rezervnih kopija i kliknemo na dugme Start Backup, videćemo okvir za dijalog, kao što je na slici 2.6, koji će od nas tražiti ime za rezervnu kopiju i koje će nam omogućiti da odmah startujemo pravljenje rezervne kopije, ili ćemo moći da ga rasporedimo za neko drugo vreme. Ukoliko kliknema na dugme Shedule, bićemo odvedeni u okvir za dijalog Shedule Jobs.
U Windows Backup-u, ako kreiramo novi posao za pravljenje rezervne kopije, možemo da odemo na karticu Shedule Jobs, gde ćemo videti mesečni kalendar kao što je prikazano na slici 2.7. Da bi kreirali posao za pravljenje rezervne kopije i rasporedili ga na izvršavanje sa kartice Shedule Jobs, kliknemo na dugme Add job, koje se nalazi u donjem desnom uglu ekrana čime se startuje čarobnjak Backup koji je već opisan. Jedna od opcija koja će nam biti predstavljena je mogućnost da se posao za pravljenje rezervne kopije izvrši odmah, ili kasnije, gde se za kasnije podrazumeva pono ć dana koji odredimo za njegovo izvršenje. Kako bi rasporedili posao na izvršavanje, biramo Later i kliknemo na dugme Set Shedule čime otvaramo program za raspore đivanje.
Pravljenje rezervne kopije na poziv za unos komande vrši se preko NTBACKUP alata. Kako bi iz komande linije zadali da se rezervne kopije automatski kreiraju, možemo koristiti uslušni program AT koji radi sa komandnom linijom i pomoću njega definišemo vreme i uslove pod kojim NTBACKUP treba da se izvrši.
Administriranje mreža U tabeli 2.2 dat je prikaz nekih od opcija programa NTBACKUP koje se zadaju sa komande linije. Tabela 2.2: Opcije uslužnog programa NTBACKUP Argument Funkcija backup Govori programu NTBACKUP da se izvodi operacija pravljenja rezervne kopije. Mora se uklju čiti ovaj argument Određuje da treba da bude napravljenja rezervna kopija svih System systemstate podataka i postavlja tip pravljenja rezervne kopije na normal ili copy Ovo je ime fajla sa informacijama o fajlovima koji su izabrani za bks ime fajla kopiranje, u kome će biti smeštena rezervna kopija. U jedan isti . bks fajl može se smestiti više od jedne rezerve kopije. Govori progamu NTBACKUP ime job-a koji pravi rezervnu kopiju /j „ime job-a“ /p „ime pul-a“ Govori programu NTBACKUP na koji pul medijuma treba da kopira fajlove /f „ime fajla“ Navodi put i ime fajla u koji će rezervna kopija biti kopirana Navodi da li procedura za pravljenje rezervne kopije treba, ili ne treba da /v: jes ili no bude verifikovana. Verifikacija podataka traje izvesno vreme ali se dobija potvrda da su podaci tačno upisani Govori programu NTBACKUP koju vrstu log fajla treba da kreira: /l: f ili s ili n potpuni, sumarni ili ni jedan
Da bismo napravili rezervnu kopiju svih fajlova koji se nalaze u E:VTS i smestili ga u fajl system1.bfk trebalo bi da kucamo: ntbackup backup E:\VTS\ /f d:\system1.bfk Da izvršimo diferencijalni tip pravljenja rezervne kopije iste fascikle, verifikujemo tu rezervnu kopiju i imenujemo job za pravljenje rezervne kopije kao Diferential backup of VTS folder (diferencijalni tip pravljenja rezervne kopije fascikle VTS), trebalo bi da kucamo ntbackup backup E:\VTS\ /m differential /f d:\system1.bfk /j Kada kreiramo job za pravljenje rezervne kopije , možemo da upotrebimo AT komandu sa komandne linije, kako bi smo odredili vreme ižvršavanja job-a za pravljenje kopije. AT komanda raspoređuje na računaru izvršavanje komandi i programa u navedeno vreme i navedeni datum. Sintaksa AT komande izgleda ovako: AT [\\computername] [ [id] [/DELETE] | /DELETE [YES]] AT [\\computername] TIME [/INTERACTIVE] [ /EVERY:date[,…..] | /NEXT:date[,…..]] “command” 2.4 Povratak podataka
Rezervna kopija nije od velike koristi, ukoliko ne možemo da je vratimo na server odakle i poti če. Da bi vratili podatke, potrebno je ponovo otvoriti Windows Backup. Možemo pozvati čarobnjaka Restore ili možemo da odemo na karticu Restore. Da bi povratili podatke iz čarobnjaka Restore, idemo na karticu Welcome koja se nalazi u Windows Backup i kliknemo na ikonu Restore Wizard . Videćemo uobičajeni ekran Welcome. Krećemo se daljim klikom i od nas će biti traženo da izaberemo medijum sa koga hoćemo da izvedemo operaciju povratka podataka što je prikazano na slici 2.8. Opcije koje će ovde biti prikazane zavise od vrste medijuma na kome se nalazi rezervna kopija. Ako je rezervna kopija smeštena u fajl, bi će potrebno da kliknemo na dugme Import File , kako bi uvezli .bkf fajl i kome se nalazi rezervna kopija. Kada završimo sa biranjem fajlova za povratak, čarobnjak će nam ponuditi završni ekran, koji pokazuje teku će opcije povratka podataka. Možemo da se vratimo nazad da editujemo bilo koji fajl, ili da kliknemo na dugme Advanced , da navedemo drugu lokaciju za povratak podataka.
Administriranje mreža Ukoliko programu Windows Backup ne kažemo drugačije , on će fajlove vratiti na njihove prvobitne lokacije. Ukoliko je hoćemo da podatke vratimo na neku disk jedinicu čije se slovo razlikuje od originalnog, ili ako sadržaj dnevno pravljene kopije ho ćemo da stavimo na DVD, na prvom ekranu (slika 2.8) odeljka naprednih opcija u čarobnjaku Backup nalaze se tri opcije za izbor lokacije. Original location – prvobitna lokacija Alternative location ( files and folders will be resored, folder structure intact, to the location you specify) – alternativna lokacija (fajlovi i fascikle če biti vraćeni, struktura fascikli će ostati nepromenjena, na lokaciju koju navedemo) Single folder (files will all be put within a single folder in the folder you specify and the original folder structure will be lost) – jedna fascikla (svi fajlovi će biti stavljeni u jedinu fasciklu koju navedemo, a prvobitna struktura fascikli će biti izgubljena).
Ukoliko kažemo Windows Backup programu da fajlove vrati na alternativnu lokaciju, ili u jednu fasciklu, tada će ovaj čarobnjak prikazati polje za tekst u kome kucamo (ili pronalazimo) put za povratak fajlova. Na alternativnoj lokaciji možemo da vratimo samo podatke, ali ne i informacije o konfiguraciji sistema, kao što je slu čaj sa bazom podataka Registry. Svi fajlovi konfiguracije sistema moraju da se vrate na njihove prvobitne lokacije. Šta de dešava ukoliko fajl sa takvim imenom ve ć postoji? Drugi ekran u odeljku naprednih opcija šarobnjaka govori Windows Backup programu šta treba da uradi ako na volumenu ve ć postoji fajl sa imenom koje je identično imenu fajla koji se treba vratiti. Normalno, Windows Backup neće zameniti fajl na postojećem medijumu, po principu da, ako ve ć imamo taj fajl, nema potreba da ga zamenjujemo. Ponekad ćemo želeti da imamo fajl koji imamo kao rezervnu kopiju, a ne onaj koji je na hard disku. Na primer, na disku može da se nalazi Word dokument koji sadrži virus, a mi prosto ne želimo da imamo inficirani fajl. Kako bi se izborili sa situacijama u kojima je potrebno da zamenimo postoje ći fajl na hard disku, Windows Backup podržava tri opcije zamene: Do not replace the file on the disk (the default ) – ne zamenjuje se fajl na disku (podrazumevana opcija) Replace the file on the disk if it’s older than the file on the backup – zamenjuje se fajl na disku, ako je stariji od fajla koji je rezervna kopija Always replace the file on the disk with the one on the backup – uvek se zamenjuje fajl na disku fajlom koji je rezervna kopija.
XII čas
Evidentiranje događaja u WINDOWS SERVER 2003
12.1 Oporavak od katastrofa
Oporavak servera koji je otkazao jedan je od najtežih poslova administratora. Suo čavate se s pritiscima zbog ponovnog instaliranja operativnog sistema, obnavljanja vrednih podataka s rezervnih kopija, a zatim i zbog ponovnog instaliranja svih uslužnih programa neophodnih za ispravan rad servera. Za planiranje oporavka od katastrofa nije dovoljno poznavanje softvera za oporavak. U ovom poglavlju pokazaćemo kako da pravilno primenite postupak za automatski oporavak Automated System Recovery (ASR), kako biste obnovili operativni sistem, te najbolje na čine izrade i dokumentovanja plana za oporavak od katastrofa ( Disaster Recovery Plan, DRP). 12.1.1 DR planiranje
Oporavak od katastrofa je jedna od najvažnijih stvari koje možete da nau čite o administriranju sistema. Administriranje servera ne znači ništa ako ne možete da ga oživite kada mu se nešto dogodi, na primer katastrofalni kvar diska ili oštećenje baze podataka aktivnog imenika. Veština oporavka od katastrofa se ne sastoji samo od u čitavanja rezervnih kopija datoteka, ve ć podrazumeva i lociranje potencijalnih problema koji mogu dovesti do pada servera, obnavljanje uslužnih programa posle ponovne instalacije operativnog sistema i mnoga druga zaduženja. Prvi korak u oporavku od katastrofa je definisanje strategije i protokola. Strategija valja da ustanovi šta treba uraditi i kojim redom da bi se stvari vratile u normalno stanje. Protokol treba da definiše uslove koji moraju biti ispunjeni da bi se preduzele odre đene aktivnosti. Na primer, pod kojim okolnostima treba ponovo instalirati operativni sistem, a pod kojim pokušati da popravite operativni sistem servera? Na ta pitanja mora se odgovoriti. Izlaganje gotove strategije za oporavak od katastrofa nema mnogo smisla, zato što je ona za svaku firmu druga čija. Treba da uzmete u obzir nekoliko stvari, na primer, da li vaša firma radi noću? Ako je odgovor potvrdan, smernice za oporavak od kata-strofa treba da budu mnogo strože nego u firmi sa osmo časovnim radnim vremenom. Treba da definišete vremena odgovora na hitne slučajeve i da procenite vreme za izradu rezervnih kopija i rad sistema. 12.1.2 Dokumentacija
Dokumentacija je temelj svakog plana oporavka od katastrofa. Bez dokumentacije, svi koji su uključeni u plan oporavka od katastrofa moraju se osloniti na svoje pam ćenje. S obzirom na broj koraka potrebnih za oživljavanje servera, obnavljanje svih podataka i proveru da li svi sistemi rade ispravno, pamćenje vam samo po sebi ne će naročito koristiti. Mnogi ljudi često propuštaju da pro čitaju dokumentaciju o tome kako da poprave sistem posle pada servera jer ona jednostavno i ne postoji, a i kada postoji ona je nerazumljiva i nejasna. Zato je jako važno da se pri normalnim uslovima, bez pritisaka, unapred pripremi plan oporavka sistema u slučaju njegovog pada i ostavi upotrebljiv dokumenat. Mnogi pisci tehničke literature i administratori preporučuju pisanje dokumenta podeljenog u nivoe. Skica dokumenta bi obuhvatala naslove nivoa 1, 2, 3, 4 i 5. Prvi odeljak bi, na primer, bio pregled DR plana. Odeljcima doku-menta mogu biti dodeljeni prioriteti koji odreduju redosled izvršavanja. Svi odeljci sa informacijama koje nisu suštinske (na primer, odeljak 1) mogli bi se odložiti za kraj projekta, za slučaj da treba ubrzati pisanje dokumentacije. Planirajte dodeljivanje prioriteta odeljcima dokumenta, na osnovu sledečih informacija (prioriteti su rastući): • manje važne informacije • važne informacije • potrebne informacije • suštinski značajne informacije Da biste mogli razviti upotrebljiv plan, morate znati kako će se taj dokument koristiti. U mnogim organizacijama, tim za prodaju vidi vrednost tog dokumenta u tome što firma može da obezbedi neprekidnu uslugu nekim klijentima. Menadžeri mogu iskoristiti taj dokument da bi obezbedili povečanje budžeta zbog dodatnog osoblja. Imajuči sve to na umu, svakako ne treba ni da pokušavate da sve obuhvatite dokumentom. Njegova namena je da bude pomo ćno sredstvo za oporavak firme u hitnom slučaju, a ne za pove čavanje prometa. Prodajno odeljenje i menadžeri će verovatno smatrati korisnim one delove dokumenta koji imaju manji prioritet. Podjednako je važno jasno definisati cilj dokumentacije i znati kome je ona namenjena. Svaka firma ima sopstvenu terminologiju koja je svojstvena njenim organizacijama. Nema svrhe koristiti tehničke izraze i fraze koji se ina če ne upotrebljavaju u vašoj firmi. Ako postanete savetnik firme čije poslovanje ne poznajete, bi će potrebno da upoznate terminologiju i da
Administriranje mreža pročitate drugu dokumentaciju te firme. Sledeći važan aspekt izrade dokumentacije je da se odredi ko joj može pristupati. Takvi dokumenti često sadrže veoma osetljive informacije, kao što su lozinke administratora, podaci o zaštitnim bedemima i skretnicama ili o korisničkim nalozima. Dokumenti se napišu, a zatim se obično smeste na mrežni disk, tako da ih mnogi čitaju, proveravaju i predlažu ispravke i dopune. Ta lokacija na mrežnom disku treba da bude dostupna samo korisnicima koji imaju dodeljeno pravo pristupa pa treba da definišete i ko može pristupati dokumentaciji koja se ne nalazi u tom imeniku. Na primer, verovatno se pravi rezervna kopija imenika u kome je dokumentacija. Morate znati ko ima pristup medijumu s rezervnom kopijom, tako da može do ći do informacija. Ako se rezervne kopije prave preko mreže, imajte na umu da neko može presresti te pakete. To bi bio sasvim jednostavan na čin za dolažanje do poverljivih informacija. Uzmite u obzir mogučnost da će se ovaj dokument nekada pokazivat osobama koje ne treba da pristupaju poverljivim informacijama. Sve osetljive informacije smestite u jedan odeljak koji možete lako ukloniti ako se ukaže potreba ( primer, u dodatak DR plana). Ako bi komercijalisti zatrebao taj dokument, mozete mu dati dokument bez odeljka sa poverljivim informacijama. Najvažnije je da dokumentacija bude jednostavna. Potrebno je da prenese veoma složene informacije tako da budu lako čitljive. Ako to postignete, praćenje dokumenta ne će predstavljati problem različitim čitaocima. Kad pravite DR plan, treba da odredite resurse koji će vam olakšati posao. Ako više osoba upravlja serverima, napravite raspored dolazaka po pozivu (On-Call schedule), kojim se određuje ko će nastupiti i sprovesti neophodne korake ako bi došlo do pada servera. Ukoliko imate desetak servera ili manje, može biti dovoljno da jedna osoba odgovori na poziv. Što više servera imate, treba da uklju čite veći broj ljudi. Da bi se stvari efikasno dovele u red, osim administratora može vam biti potreban i član tima za administriranje mreže i članovi drugih timova koji koriste servere. Pošto ste napravili ovaj raspored dolazaka po pozivu, treba da sastavite spisak proizvoda ča hardvera, koje možete pozvati ako vam zatreba dodatni hardver. Instaliranje hardvera nije uvek najja ča strana administratora servera, tako da vam može zatrebati savetnik ili tehni čka podrška proizvoda ča da bi se instalirao i konfigurisao hardver neophodan za oporavak servera. Iako je veoma naporno DR planiranje u firmi koja se nalazi na jednoj lokaciji, zamislite dodatne korake koji su neophodni ako otkaže udaljeni server. Ne samo da morate obezbediti da se odazove neko iz oblasti u kojoj se nalazi ra čunar, nego se morate i uveriti da ta osoba dobro poznaje druge servere u mreži šireg podru č ja, kako bi pravilno obavila sva podešavanja. Pogodno sredstvo u ovom slučaju je KVM (Keyboard, Video, Mouse) sklopka koja prihvata TCP/IP veze. KVM omogucava da uspostavite vezu sa udaljenim serverom, ponovo ga inicijalizujete, konfiginišete, i sve to uradite iz svoje fotelje. Pri odredivanju resursa, može vam poslužiti dijagram servera. Ovaj dijagram bi imao hijerarhijsku strukturu i na njemu bi bili prikazani svi serveri, usluge i aplikacije na svakom serveru. Ako server otkaže, uo čićete na prvi pogled koji sistemi su ugroženi. Koriste ći te informacije, možete doneti pouzdanu odluku od koga treba zatražiti dodatnu podršku, odnosno koga treba obavestiti da sistemi trenutno ne rade. 12.1.3 Izrada planova odgovora
Plan odgovora (response plan) ne možete napraviti preko no ći. Morate potpuno poznavati server, i sve aplikacije koje koriste te servere. Da biste došli do tih informacija, verovatno ćete morati da razgovarate s više desetina ljudi u vašoj orgizaciji. Pošto sastavite spisak celokupne opreme i svih ljudi koje treba uključiti u plan odgovora, napravite grubi nacrt plana. Imajte na umu da možete čitavih mesec dana pisati plan, ali on nikada ne če biti sasvim pouzdan. Neki delovi plana će svakako imati nedostatke, i sa žaljenjem kažemo da čete morati da se upustite u niz pokušaja i grešaka kako biste dobili ispravan plan. Postoji nekoliko softverskih paketa koji prave popis elemenata sistema, što je prvi korak u izradi plana odgovora. Ovi softverski paketi vam daju nacrt na osnovu koga mozete da zapo čnete planiranje. Kada pravite plan odgovora, budite velikodušni pri definisanju vremena odziva. i bolje je da pretpostavite najlošiju situaciju i date sebi više vremena nego da za 100 procenata premašite vreme planirano da se svi sistemi obnove i da prorade. Pošto napravite plan, testiranje je najbolji na čin da se utvrdi da li on odgovara vašim potrebama. Verovatno ste ve č čuli izreku: ,,Ako napravite propust pri planiranju, planirate propast". Ta misao zaista dobro opisuje postupak oporavka od katastrofa. Možete i razviti veoma robustan plan, ali otkud ćete znati kako funkcioniše ako ga nikada ne isprobate? Bez obzira na to koju ćete tehniku primeniti za testiranje plana odgovora, imajte na umu slede če tačke: • Ne postoji neuspeh: Šta god da radite tokom testiranja, svi rezultati koje dobijete imaju vrednost. Jedina greška bi bila da se plan uopšte ne testira. Svaki test daje rezultate koji pomažu administratorima da bolje upoznaju svoj sistem i sisteme s kojima je on povezan. • Postavite ciljeve: Pošto je većina administratora u vremenskom škripcu, jedan iscrpan plan s definisanim ciljevima može značajno skratiti testiranje sistema. Ovaj plan i njegovi ciljevi obi čno se
Administriranje mreža mogu podeliti na više koraka. Nije neophodno da sve korake izvršite odjednom, ali nekoliko koraka možete završiti danas a neke ostaviti za slede ću sedmicu. Verovatno možete testirati pojedine korake ne pridržavajući se njihovog redosleda, što može olakšati uklapanje u radni raspored administratora. Pri testiranju sistema treba da se uverite da su ciljevi dobro postavljeni. U testovima definišite vremenska ograničenja i uporedite ih s dobijenim rezultatima. Ovim postupkom obezbe đujete da buduće izmene testiranog plana pouzdano odražavaju vreme potrebno z oporavak vašeg sistema u postoje ćem okruženju. • Stavke aktivnosti: Svaki test treba da bude vremenski odre đen i dobro dokumentovan; svaki korak testa i konačni ishod takođe treba dobro dokumentovati. To vam omogućava da pregledate sve korake i da snabdete materijalom za trening druge radnike, koji bi mogli preuzeti odgovornost za delove sistema Dokumentovanje i testiranje sistema nikome ne donosi nikakvu korist ako sve rezultate zadržite za sebe. Učestalost: Ponavljajte testiranje! Jedno testiranje plana je dovoljno sve dok se neki aspekti sistema ne promene toliko da plan zastari. Osim redovnog testiranja plana na sistemu, treba da obavite i testiranje posle svake značajne izmene. Plan treba odmah testirati ako se dodaju nove skretnice ili novi serveri, ili se promeni topologija mreže. Plan verovatno treba menjati ako sistem i njegovo okruženje pretrpe više promena. • Savetnici: Neki savetnici su specijalizovani za testiranje sistema. Dobro je da iskoristite njihovo znanje i steknete uvid u svet testova. Postoje i mnogi softverski paketi koji vam mogu pomo ći pri testiranju. Medutim, ovi softverski paketi moraju biti izuzetno prilagodljivi da bi vam koristili, a trebalo bi da obuhvataju čak i neki jezik za pisanje skriptova. Ispitajte takve proizvode i potražite savetnika koji je usavršio njihovu primenu. Najbolji na čin da se uverite u adekvatnost svojih procedura za oporavak od katastrofe jeste da ih stavite na probu. Detaljno opišite nekoliko vrsta ,,katastrofa", a zatim ih odigrajte do kraja, prema svom DR planu. Za neke od tih doga đaja, posebno za one koji predstavljaju velike katastrofe, potrebno je nešto više vremena, pošto opravak zahteva odlazak na udaljenu lokaciju, instaliranje servera i u čitavanje rezervnih kopija podataka. Osim obaveznog testiranja postupaka za oporavak servera i podataka, treba da uzmete u obzir komunikacione linije i ostale elemente. Da biste simulirali jednostavnije probleme, kao što je otkazivanje čvrstog diska, dovoljno je da neko od saradnika ukloni SCSI kabl iz niza diskova. 12.1.4 Otpornost na greške
Pojam otpornosti na greške , u ra čunarskom sistemu se odnosi na koncept da ra čunar (ili server, u ovom slučaju) treba da ima mogućnost obrade hardverske ili softverske greške. Najjednostavniji problem je nestanak električnog napajanja. Taj problem možete jednostavno rešiti koriš čenjem izvora neprekidnog napajanja (engl. uninterrupted power supply, UPS). Ali, da li bi upotreba UPS-a zaista u činila računar neosetljivim na takvu grešku? UPS nema mogu ćnost neprekidnog rada, tako da neznatno odlažete ono što je neizbežno. Bolje rešenje su dva ili više izvora napajanja servera, koji su povezani sa izvorima neprekidnog napajanja. Sve dok nema elektri čnog napajanja, jedan UPS može napajati server, dok se drugi puni na drugom mestu. Dva izvora napajanja predstavljaju posebnu temu. Dvostruke komponente su neophodne ako server treba da bude izuzetno otporan na greške. Da biste dobili sistem koji je zaista neosetljiv na greške, potrebne su vam dve mrežne kartice, dva izvora napajanja, veči broj procesora i dve jedinice diska. Izgleda da je dobra ideja imati sve ove elemente, ali, šta rade dve jedinice diska? Pod pretpostavkom da se svi podaci kopiraju sa Diska 1 na Disk 2, u slu čaju i kvara treba da isključite računar i premestite Disk 2 na mesto Diska 1. Zato je važna i upotreba redundantnog niza nezavisnih diskova (engl. Redundant Array offndepen-dent Disks, RAID) \ jedinica diskova izmenljivih u radu. Možete koristiti nekoliko nivoa RAID sistema, ali se RAID nivoa 5 verovatno najviše upotrebljava. RAID 5 zahteva najmanje tri jedinice diska, a pruža segmentiranje podataka i podatke za ispravljanje grešaka. Nedostatak RAID 5 sistema je to što zahteva izuzetno složen hardver koji je dosta skup. Ako imate RAID 5 kontroler s jedinicama diskova izmenljivih u radu i jedan disk se pokvari, možete ga zameniti drugim diskom a da ne isključite računar i bez opasnosti od gubitka podataka. 12.1.5 Uočavanje slabih tačaka Uvereni smo da je ve ćini poznato
da je sistem jak koliko i njegova najslabija karika. Ako ne uočite najslabiju kariku u svom sistemu, to će skoro sigurno izazvati katastrofu. U slu čaju da nastanu problemi, takode može koristiti poznavanje najslabije tačke sistema - to vam može pomo či da otkrijete odakle treba početi ispitiva grešaka. Pri ispitivanju delova sistema koji su mogli prouzrokovati otkazivanje, treba da po čnete od očiglednih: • jedinice čvrstog diska
Administriranje mreža • napajanje električnom energijom • veze u mreži • kontroler jedinice čvrstog diska • procesor Prilično je jednostavno osigurati se od kvara navedenih komponenata – svaku od njih udvostručite. Pretpostavimo da imate dvoprocesorski sistem, s RAID-5 sistemom izmenljivih čvrstih diskova, dva izvora napajanja i dve mrežne kartice. Sve je dobro povezano i priklju čeno na UPS ili možda na generator. Zvuči skoro savršeno, zar ne? A šta ćete uraditi ako otkaže RAMBus RAM? Šta ako se pokvari grafička kartica? Problem s memorijom se lako rešava ako u sistemu imate više memorijskih modula. Možete da idete i dalje, ako koristite plo ču koja podržava memorijske module izmenljive u radu. Dva ili više memorijskih modula obezbeduju da sistem padne ako otkaže jedan modul. Verovatno će nastati neke greške, ali čete bar i mogućnost da isključite sistem i otklonite problem bez gubitka podataka. Sigurno biste imali ozbiljan problem ako bi vam otkazala grafi čka kartica. Kako da bezbedno isključite sistem da biste rešili problem? Na vašu sre ću, Windov Server 2003 podržava bezglavu konfiguraciju ( headless configuration). Možete instalirati operativni sistem, podesiti sve aplikacije i zatim ukloniti grafičku karticu, tastaturu i miša, a da sistem i dalje radi. Sva podešavanja možete obaviti preko udaljenog računara, pa čak i administriranjem preko Weba. Pošto ste razmotrili sve slabe ta čke sistema u kojima je mogao nastati kvar i preduzeli sve odgovaraju će postupke za otklanjanje problema, na činite jedan ko unazad i pogledajte ponovo. Vaš sistem može potpuno odgovarati definiciji i redudantnosti, ali, šta ako otkaže skretnica koja ga povezuje sa WAN-om? Kvar se ne nalazi na serveru, ali narušava rad celine sistema. Kada planirate konfiguraciju servera, treba da razmislite i o konfiguraciji mreže. Što je bolje upoznate i razmotrite, bolje ćete se snalaziti kada iskrsnu problemi. 12.1.6 Oporavak s rezervne kopije
Ako se dogodi najgore i server padne, jedna od najvažnijih stvari koje morate u činiti jeste učitavanje sistema sa rezervne kopije. Osim što je to dugotrajan postupak, verovatno ćete biti i pod pritiskom da ga što brže obavite. Većina preduzeća je bespomoćna bez računarskog sistema. Tada proizvodači ne mogu isporučivati robu, niti se ona može dostavljati kupcima. Vreme je novac. Postupak učitavanja sistema se obi čno odvija u dve faze: učitavanje osnovnog operativnog sistema i u čitavanje konfiguracionih datoteka, kao što su informacije iz aktivnog imenika. 1. Oporavak osnovnih operativnih sistema - Oporavak osnovnog operativnog sistema treba da bude drugi korak koji ćete preduzeti u slučaju pada servera. O čigledno je da prvo treba popraviti komponentu koja je izazvala kvar sistema - naravno, pod pretpostavkom da je kvar bio hardverski. Postupak u čitavanja operativnog sistema sastoji se od slede ća četiri koraka: 1. Inicijalizujte Windows Server 2003 sa CD-a. 2. Pritisnite taster F2 za vreme podizanja sistema sa CD-a, da biste pokrenuli proces automatskog oporavka sistema (engl. Automated System Recovery, ASR). 3. Umetnite ASR disketu. 4. Izaberite lokaciju kompletne rezervne kopije sistema. Pretpostavlja se da ste pre izvršavanja ovih koraka napravili skup rezervnih kopija pomo ću Microsoftove aplikacije Backup. Neposredno posle izrade potpune rezervne kopije, zatraženo je da umetnete praznu formatiranu disketu, na koju su upisanetri datoteke: asr.sif (sadrži ime servera, lpkaciju Windows imenika, MBR podatke, informacije o poarticijama i lokaciju medijuma za oporavak), asrpnp.sif (Sadrži spisak elemenata tipa ,,uključi i radi". Uključuje monitor, jedinice čvrstog diska, BIOS i ostale) i setup.log (sadrži spisak svih datoteka koje su kopirane pri izradi rezervne kopije sistema). Razmotrimo sada ovaj postupak. Što bolje razumete ASR funkcije, efikasnije ćete oporaviti sistem, ako takav postupak bude neophodan. Prvi korak na putu ka oporavku nije upotreba tastera F2. Pošto inicijalizujete sistem sa instalacionog CD-a Windows Servera 2003, na dnu ekrana če pet sekundi biti ispisana poruka da pritisnete F2 kako biste pokrenuli proces automatskog oporavka. Automatski oporavak sistema omogućava da se ne instalira ispo četka Windows Server 2003, nego se instalira rezervna kopija. Ovaj tip instalacije se odvija u 12 jednostavnih koraka: 1. Pritisnut je taster F2 za vreme inicijalizacije sa CD-a, da bi se pokrenuo ASK 2. Prikupljaju se podaci o particijama, tako da se disk može podeliti u particij i formatirati. 3. Ispituju se diskovi. 4. Formira se spisak datoteka koje treba kopirati.
Administriranje mreža 5. Kopiraju se datoteke. 6. Počinje konfigurisanje. 7. Sistem se automatski ponovo inicijalizuje. 8. Aktivira se grafički program Windows Setup. 9. Otvara se čarobnjak ASR. 10. ASR omogučava da izaberete skup rezervnih kopija koje se moraju u čitati. 11. Datoteke se učitavaju i sistem se ponovo inicijalizuje. 12. Posle ponovne inicijalizacije, sistem se nalazi u prvobitnom stanju. Tokom ASR procesa, učitavaju se svi podaci o konfiguraciji, kao što su: rezolucija ekrana, prikazi direktorijuma, informacije o deljenim resursima itd. Verovatno čete otkriti da su informacije iz aktivnog imenika zastarele. Izrada rezervnih kopija informacija iz aktivnog imenika nema mnogo smisla ako u mreži imate nekoliko servera. Ukoliko postoje dodatni serveri, sve informacije se ažuriraju posle preslikavanja. Ako imate samo jedan server, kao prvo i osnovno, treba da se stidite! Posle toga možete odahnuti, sigurni da su sve informacije iz aktivnog imenika kopirane prilikom izrade potpune rezervne kopije pomoću aplikacije Microsoft Backup. 12.2 Registar
Registar je centralno skladište konfiguracionih podataka Windows Servera 2003, u njemu se čuvaju informacije o operativnom sistemu, aplikacijama i korisničkom okruženju na samostalnim radnim stanicama i serverima članovima (serverima koji nisu upravljači domena). U starijim verzijama operativnih sistema iz Microsoft familije, na primer u Windowsu 3.., ve ćina konfiguracionih informacija čuvala se u inicijalizacionim datotekama ili .ini datotekama. Ove datoteke bile su tekstualne i imale su odeljke u kojima su se čuvale vrednosti raznih konfiguracionih parametara, na primer podaci o upravljačkim programima, podaci o vezi aplikacija i dokumenata, parametri korisni čkog okruženja i tako dalje. Windows aplikacije koriste .ini datoteke za čuvanje svojih konfiguracionih parametara. U Windows Serveru 2003 i aplikacijama, .ini datoteke su čak i danas mehanizam koji se ponekad upotrebljava za čuvanje podataka o korisniku, parametara aplikacija i konfiguracije operativnog sistema. Ako pregledate spisak .ini datoteka na svom disku, uveri čete se u ovu činjenicu. Iako omogučavaju jednostavno čuvanje i očitavanje podataka, .ini datoteke imaju i neke nedostatke, koji se naro čito ogledaju pri čuvanju važnih konfiguracionih parametara operativnog sistema, na primer, podataka o upravlja čkim programima, konfiguracionih podataka, parametara korisni čkog okruženja i tako dalje. Windows Serveru 2003 potreban je sistem za vodenje evidencije o konfiguracionim parametrima koji je otporan na greške kako bi se izbegla situacija kad sistem ne može da se inicijalizuje zbog toga što je .ini datoteka ošte ćena ili je nema. Ove informacije tako đe treba da budu zašti ćene, što .ini datoteke ne mogu da obezbede. Baratanje svim parametrima potrebnim za podizanje i rad sistema Windows Server 2003, konfiguracionim parametrima aplikacija i parametrima vezanim za korisnika bilo bi veoma otežano ako bi .ini datoteke bile jedino rešenje. Za te stvari, Registar je spas.U Windows Serveru 2003, u Registru se čuvaju informacije o hardveru i softveru sistema koje se odnose i na operativni sistem i na aplikacije. U Registru se čuvaju i podaci o korisnicima, u koje spadaju korisni čka prava pristupa, parametri bezbednosne strategije, parametri korisničkog okruženja (svojstva radne površine, direktorijum i tako dalje) i još mnogo štošta. Za razliku od Windowsa NT, Windows Server 2003 u Registru više ne čuva naloge korisnika i računara niti podatke koji se odnose na mrežne objekte. Ovaj posao sada pripada aktivnom imeniku. Važno je napomenuti da kada server promovišete u upravlja č domena, svi parametri koji pripadaju serveru upravljaču domena, na primer parametri radne površine, prenose se u aktivni imenik. Ali kada upravljač domena proglasite serverom članom, ne obnavljaju se originalni parametri iz Registra nego se vraćate na prazan Registar ( čarobnjak za «ražalovanje" upravljača domena će čak tražiti novu lozinku administratora jer je originalni nalog izgubljen). Imajte to na umu kada upravlja č domena «razrešavate dužnosti", zato što aktivni imenik može lako da preraste mati čni računar na kome je bio instaliran. Na sledečoj listi objašnjeni su na čini na koji pojedine komponente menjaju sadržaj Registara. • Inicijalizacija sistema (Setup): Kada instalirate Windows Server 2003, Setup puni Registar na osnovu onoga što ste izabrali (ili onoga što se automatski bira) tokom instaliranja. Setup menja sadržaj Registra kada se dodaje ili ukljanja hardver iz sistema. • Inicijalizacija aplikacija (Application setup): Program za inicijalizaciju i pokretanje aplikacija obi čno menja sadržaj Registra prilikom instaliranja aplikacije da bi zabeležio konfiguracione parametre aplikacije.Vrlo često se Registar i o čitava da bi se odredilo koje su komponente, ako ih ima, ve č instalirane.
Administriranje mreža Aplikacije koje čuvaju svoje parametre u Registru menjaju te parametre prilikom pokretanja, isključivanja ili pri normalnom radu, da bi se sačuvale izmene parametara koje su na činili korisnici ili same aplikacije. • Ntdetect: Program Ntdetect.com izvršava se tokom pokretanja sistema u cilju detekcije hardvera i priključenih periferijskih uredaja. Ovaj program upisuje u Registar podatke o hardveru i uredajima da bi ih koristio u narednim koracima pokretanja sistema za inicijalizaciju upravlja čkih programa za prepoznate uredaje. • Jezgro (Kemel): Jezgro operativnog sistema Windows Server 2003 o čitava Registar pri pokretanju sistema da bi odredilo koje upravlja čke programe treba da u čita i kojim redom, i učitava druge inicijalne parametre upravljačkih programa. • Upravljački programi: Većina upravljačkih programa čuva svoje konfiguracione i radne parametre u Registru. Upravljački programi, očitavaju Registar pri inicijalizaciji, a potom se u čitavaju i izvršavaju na osnovu tih parametara. • Sistem: Operativni sistem Windows Server 2003 kao celina u Registru čuva podatke o uslugama, instaliranim aplikacijama, vezama izmedu dokumenata i OLE (Object Linking and Embedding) vezama, mreži, parametrima korisnika i drugim svojstvima. • Alatke za administriranje: Jedna od glavnih funkcija uslužnih programa kakvi su Control Panel i razne MMC konzole i samostalnih uslužnih programa za administriranje, jeste izmena Registra. U ovom kontekstu, ti uslužni programi nude korisni čki interfejs za izmenu Registra. • Editor Registra: Windows Server 2003 ima uslužni program regedit.exe, pomo ću koga možete da pregledate i direktno menjate sadržaj Registra. Iako čete večinu izmena Registra uglavnom obavljati u drugim uslužnim programima, editor Registra je ipak potreban jer omogu ćava direktne izmene, selektivnu izradu rezervne kopije Registra i drugo. Registar je ,,mozak" mnogih funkcija operativnog sistema Windows Server 2003. Skoro sve aktivnosti operativnog sistema pod uticajem su Registra ili uti ču na Registar. Zato je važno ne samo da znate kako Registar funkcioniše i kako da ga promenite, nego i kako da ga zaštitite od katastrofa i neautorizovanog pristupa U narednim odeljcima objašnjena je struktura Registra i kako se njime upravlja. • Aplikacije:
12.2.1 Struktura Registra
Registar formira hijerarhijsku bazu podataka (stablo) s pet osnovnih grana koji s zovu ogranci. Ogranci mogu da sadrže odrednice (keys), koje imaju ulogu kontejnera pododrednica i stavki. Pododrednice su ogranci odrednica. Stavke su parametri odrednice ili pododrednice. Postoje dva fizi čka ogranka u Registru Windows Servera 2003: HKEY_LOCAL_MACHINE i HKEY_USERS. Prvi sadrži parametre sistema i hardvera, a drugi sadrži podatke o korisničkim parametrima. Ova dva fizička ogranka podeljena su na pet logičkih ogranaka koji se vide u editoru Registra. Organizacija Registra u pet logi čkih oznaka olakšava kretanje po Registru i razumevanje njegove logi čke strukture. • HKEY_LOCAL_MACHINE: U ovom ogranku, koji se često skraćeno označava sa HKLM, čuvaju se parametri specifični za lokalnu mašinu, kojima se definišu hardver i svojstva operativnog sistema. Ti parametri ne zavise od toga koji je korisnik prijavljen na sistem. Na primer, stavke u HKLM-u definišu upravljačke programe, memoriju, instalirani hardver i način pokretanja sistema. HKLM ima sledeče pododrednice: • HARDWARE: U ovoj odrednici čuva se fizička hardverska konfiguracija rcu nara. Windows Server 2003 formira ovu odrednicu posle svake uspešne ini cijalizacije i pokretanja sistema, čime se postiže ažurnost hardverske konfiguracije. • SAM: Odrednica Security Account Manager (SAM) čuva bezbednosne podatke o korisnicima i grupama lokalne mašine. • SECURITY: U ovoj odrednici čuvaju se podaci koji definišu lokalnu bezhed-nosnu strategiju. • SOFTWARE; U ovoj odrednici čuvaju se podaci o instaliranim programima. • SYSTEM: U ovoj odrednici čuvaju se podaci o parametrima za pokretanje sistema, upravlja čkim programima, uslugama i drugi parametri na nivou sistema. Kada se odredeni parametri pronadu u odrednici HKCU, njihove vrednosti preina- čavaju vrednosti iz odrednice HKLM za tekućeg korisnika (ali to ne važi za sve para-metre). Ako odgovaraju či parametri ne postoje u odrednici HKCU, koriste se oni iz odrednice HKLM. Za pojedine stavke, kao što su upravlja čki programi, uvek se koriste podaci iz odrednice HKLM, čak i ako se nalaze i u odrednici HKCU. • HKEY_CLASSES_ROOT: Ovaj ogranak (skraćeno HKCR) sadrži podatke o vezama datoteka - na primer definiše vezu tipa dokumenta s njegovom roditeljskom aplikacijom i definiše akcije koje se
Administriranje mreža izvršavaju nad datim tipom dokumenta da bi se obavili razni poslovi (otvori, izvrši, uredi i tako dalje). Ovaj ogranak se sastoji od podogranaka HKLM\SOFTWARE\Classes i HKEY_CURRENT_USER\SOFTWARE\Classes, pri čemu vrednosti iz HKCU-a imaju prednost. HKCR omogućava registraciju klasa specifičnih za svaki računar i svakog korisnika - svaki korisnik može imati svoju klasu. Ovakva registracija klasa po korisniku razlikuje se od prethodnih verzija Windowsa koje su omogućavale jedinstvenu registraciju podataka za sve korisnike. • HKEY_CURRENT_USER: U ovom ogranku (HKCU) čuvaju se parametri specifi čni za korisnika koji trenutno lokalno koristi sistem. Konfiguracioni podaci odnose se na parametre radne površine i direktorijuma, mrežnih veza i veza sa štampa čem, promenljive okruženja, meni Start, aplikacije i druge podatke kojima se definišu korisnikovo radno okruženje i korisnički interfejs. Ovaj ogranak zapravo je alijas (pseudonim) za HKEY_USERS\SID gde je SID bezbednosni ID datog korisnika. Drugim re čima, HKCU uka-zuje na odrednicu Registra u HKLJ gde se čuvaju registarski podaci o trenutno pri-javljenom korisniku. Ova odrednica sadrži slede če pododrednice: • AppEvents: Ova pododrednica sadrži podatke o vezi izmedu aplikacija i doga-daja, na primer zvučne signale pridružene pojedinim dogadajima. Za izmenu parametara ove odrednice koriste se objekti Sounds i Multimedia iz Control Panela. • Console: Ova pododrednica sadrži podatke koji definišu pojavljivanje i pona-šanje komandne konzole (komandnog odzivnika) operativnog sistema Win-dows Server 2003 i aplikacija koje rade u znakovnom režimu. Za definisanje parametara u ovoj odrednici koristi se aplikacija ili meni Control komandne konzole. • Control Panel: Ova odrednica sadrži podatke koji se obi čno podešavaju preko apleta Control Panela. • Environment: Ova odrednica sadrži promenljive okruženja dodeljene trenut-nom korisniku. • Identities: Ova odrednica sadrži podatke o identitetu pojedina čnih korisnika: ID broj poslednjeg korisnika, korisničko ime poslednjeg korisnika, podatke o identifikaciji koji se odnose na odredene aplikacije, na primer Outlook Express, adresar i tako dalje. • Keyboard Layout: Ova odrednica sadrži podatke o rasporedu na korisnikovoj tastaturi i preslikavanju tastera za medunarodne parametre. Za promenu poda-taka u ovoj odrednici koristi se objekat Regional Options u kontrolnom panelu. • Network: U ovoj odrednici čuvaju se podaci o mrežnim vezama korisnika • Printers: Ovde se čuvaju podaci o korisnikovim vezama sa štampa čima. • RemoteAccess: U ovoj odrednici čuvaju se podaci o korisnikovom InterrK profilu i parametrima veza koje se ostvaruju preko telefonskih linija. • Software: U ovoj odrednici čuvaju se podaci o aplikacijama koje je korisi ! instalirao. • UNICODE Program Groups: Ova odrednica sadrži podatke o korisnikovoj UNICODE programskoj grupi i obično je prazna. • Volatile Environment: Ova odrednica sadrži privremene podatke o radno okruženju, na primer korisnikov direktorijum za aplikacije (obično \Docu-ments i \Sett1ngs\t/5er\App11cation Data) i server za prijavljivanje. • HKEY_USERS: U ovom ogranku (HKU) čuvaju se podaci o profilu korisnika koji koriste ra čunar lokalno, i podaci o podrazumevanom korisniku za lokalni ra čunar. U odrednici HKU čuvaju se podaci o profilima korisnika koji se prijavljuju lokalno na računar i podaci o podrazumevanom korisniku lokalnog računara. Ova odrednica sadrži pododrednice za svakog korisnika čiji se profil čuva na računaru i odrednicu za podrazumevanog korisnika (.DEFAULT). Prakti čno je nemoguće identifikovati kori-snika pomoču njegovog SID broja, ali ionako ćete podatke u ovoj odrednici menjati samo pomo ču administrativnih alatki za modifikovanje Registra. Ako ipak morate da menjate ove parametre direktno, koristite odrednicu HKCU. • HKEY_CURRENT_CONFIG: U ogranku HKCC čuvaju se podaci o hardverskoj konfiguraciji lokalnog računara utvrdeni prilikom inicijalizacije i pokretanja sistema; tu spadaju podaci o dodeljivanju uređaja, upravljačkim programima i tako dalje. Ovaj ogranak je alijas za HKLM\SYSTEM\CurrentControlSet\HardwareProfiles\Current. Svaki navedeni ogranak naziva se grana Registra (hive). Microsoft definiše granu Registra kao telo sastavljeno od odrednica, pododrednica i vrednosti, ukorenjeno na vrhu hijerarhije Registra. Jedna grana Registra sadrži dve datoteke: • Datoteku Registra, koja se naj češće čuva u direktorijumu systemroot\System32\Config. Ova datoteka sadrži strukturu Registra i njegove parametre za datu granu. • Dnevnik koji se čuva u istom direktorijumu. Ova datoteka predstavlja dnevnik transakcija za sve modifikacije u datoteci grane Registra.
Administriranje mreža Windows Server 2003 koristi proces poznat pod imenom ispiranje ( flushing) da bi obezbedio pouzdanu, radnu kopiju Registra u bilo kom trenutku. Ispiranje predstavlja zaštitu od nedovršenih pokušaja izmene Registra. Pokušaji izmene Registra, po isteku zadatog broja sekundi ili kada aplikacija koja je pokušala izmenu eksplicitno zahteva, ne upisuju se u Registar nego se "ispiraju" ili snime na disk Sada ćemo objasniti ispiranje za sve grane osim za granu SYSTEM (HKLM\SYSTEM) 1. Izmenjeni podaci upisuju se u datoteku doga đaja grane Registra da bi se mogli rekonstruisati ako se sistem zaustavi ili otkaže pre nego što se podaci upišu u datoteku Registra. 2. Datoteka događaja se ispira posle uspešnog ažuriranja dnevnika. 3. Windows Server 2003 ozna čava prvi sektor u datoteci Registra da bi ukazao da je u toku izmena (da je Registar ,,prljav"). 4. Izmene se upisuju u datoteku Registra. 5. Ako se operacija upisivanja uspešno završi, prvi sektor se modifikuje tako da ukazuje na to da je izmena završena (da je Registar « čist"). Kada očitava datoteke grana da bi konstruisao Registar, Windows Server 2003 proverava status svake datoteke. Ako je sistem otkazao tokom prethodne akcije ažuriranja Registra. datoteka Registra ostaje označena kao ,,prljava". U takvim okolnostima, Windows Server 2003 pokušava da oporavi datoteku Registra koristeći dnevnik. Promene identifikovane u dnevniku primenjuju se na datoteku Registar i ako se to uspešno završi, datoteka se proglašava ,, čistom". Od toga da li imate rezervnu kopiju Registra zavisi da li ćete moči da oporavii sistem posle otkazivanja. Iako Windows Server 2003 obezbe đuje upravljanje datotekama grana Registra koje je otporno na greške, trebalo bi da uvedete i dodatin procedure kojima bi se obezbedile validne, radne kopije Registra. Vaš sistem može imati i druge odrednice, zavisno od konfiguracije servera. 12.2.2 Editor Registra
Windows Server 2003 ima jedan editor Registra, regedit. exe, pomo ću koga možete pregledati i menjati Registar. Windows 2000 i prethodne verzije Windowsa NT imale su dodatni editor Registra, regedt32.exe. On je imao neke mogu ćnosti koje su nedostajale editoru regedit.exe. Sve mogu čnosti su spojene (konačno!) u jedan editor. Editor omogučava da se povežete s Registrom na udaljenom ra čunaru i da ga pregledate i menjate. Pre nego što po čnete da vršljate po Registru, treba da znate dve stvari: pre izmena valja obezbediti ispravnu rezervnu kopiju Registra i treba da budete pažljivi, jer promene nekih vrednosti u Registru mogu onemogu ćiti pokretanje sistema. Zbog toga je rezervna kopija Registra toliko važna. I još nešto: pre nego što po čnete da se igrate sa editorima Registra, imajte na umu da ve ćinu izmena, bilo da se one odnose na sistem, korisnika, usluge, aplikacije ili druge objekte, treba da unosite primenom administrativnih alatki za dati objekat. Editore Registra bi trebalo koristiti samo za izmene koje se ne mogu izvršiti pomoću administrativnih alatki. 12.3 Evidentiranje događaja u Windows Serveru 2003 Evidencija događaja omogućava beleženje svih doga đaja u Windowsu 2003 u cilju kontrolisanja pristupa sistemu i osiguravanja bezbednosti sistema. To je značajna alatka za osiguravanje bezbednosti,
ali može da preoptereti server ako se nepravilno konfiguriše i koristi. U ovom poglavlju objašnjavamo kako i zašto treba da realizujete evidentiranje doga đaja i dajemo neke savete o tome kako da ga konfigurišete i koristite. Treba imati uvek u vidu da je evidentiranje doga đaja samo jedno oružje u vašem bezbednosnom arsenalu. Još je zna čajnije zaključavanje servera, primena zaštitnih barijera i druge alatke za upravljanje bezbednosnim sistemom. 12.3.1 Pregled evidencije događaja
U Windowsu 2003, evidencija doga đaja obezbeđuje pračenje događaja i važna je sa aspekta bezbednosti pojedinačnih računara i celog preduze ča. Microsoft definiše događaj kao značajnu pojavu u operativnom sistemu ili aplikaciji, o kojoj korisnici, posebno administratori, treba da budu obavešteni. Dogadaji se beleže u dnevnike doga đaja (event logs) kojima možete baratati pomoču modula konzole Event Viewer . Evidencija događaja omogućava da pratite određene događaje. Preciznije rečeno, evidencija događaja omogučava da beležite uspešne ili neuspešne pokušaje odigravanja određenih događaja. Na primer, možete da kontrolišete pokušaje prijavljivanja na sistem tako što čete beležiti ko se uspešno prijavio (i kada) i ko nije uspeo da se prijavi na sistem. Ili možete da pratite pristupanje objektu datog direktorijuma ili datoteke, tako što čete naložiti sistemu da evidentira ko ih je koristio i koje je poslove nad njima izvršavao. U Windowsu 2003 možete izabrati odgovarajuću opciju i pratiti nekoliko
Administriranje mreža kategorija događaja. U sledećoj listi navedene su te kategorije doga đaja i opisano je šta vam one omogućavaju da uradite: • Account logon events: Beleži se prijavljivanje i odjavljivanje korisnika preko korisničkih naloga. • Account management: Beleži se kada je otvoren korisni čki ili grupni nalog, kada je nalog promenjen ili izbrisan, kada mu je promenjen naziv, kada je dozvoljen ili zabranjen, kada je zadata ili promenjena lozinka. • Directory service access: Beleže se pristupi aktivnom imeniku. • Logon events: Beleže se prijave sa daljine na sistem, na primer koriš ćenje resursa preko mreže ili priključivanje udaljenih usluga preko lokalnog naloga System. • Object access: Beleži se kada se pristupilo odre đenom objektu i koji je tip pristupa primenjen. Na primer, prati se upotreba direktorijuma, datoteke, štampača i tako dalje. Evidentiranje određenih događaja konfiguriše se podešavanjem svojstava objekta (primer:preko kartice Security za direktorijum i datoteku). • Policy change: Prate se promene prava korisnika i strategija evidentiranja događaja. • Privilege use: Prati se kada je korisnik pokušavao da koristi prava koja mu nisu dodeljena prilikom prijavljivanja na sistem i odjavljivanja. • Process tracking: Prate se doga đaji koji se odnose na izvršavanje procesa, kao izvršavanje programa. • System events: Beleže se sistemski dogadaji: resetovanje sistema, pokretanje sistema, isklju čivanje sistema i događaji koji utiču na bezbednost sistema ili dnevnik bezbednosti. Unutar svake kategorije naći ćete nekoliko različitih tipova događaja - neki su opšti a neki specifični za objekat ili doga đaj koji se prati. Na primer, kada pratite pristup Registru, doga đaji su veoma specifični i odnose se samo na Registar. Zato u ovom poglavlju ne ćemo opisivati sve doga đaje koji se mogu pratiti, nego ćemo objasniti kako da omogu ćite i konfigurišete praćenje događaja, pogledaćemo specifične slučajeve i videti kako pra čenje poboljšava bezbednost i nadgledanje u tim slu čajevima. 12.3.2 Konfigurisanje evidencije događaja Evidentiranje događaja može da se konfiguriše
u jednom ili u dva koraka, što zavisi od tipa događaja koji se prate. Za sve kategorije, osim kategorije pristupa objektu, omogu ćavanje evidencije događaja podrazumeva samo definisanje strategije pra ćenja za datu kategoriju. Za praćenje pristupa objektu potreban je još jedan korak - konfigurisanje pra čenja događaja za konkretne objekte. Na primer, time što ćete omogućiti praćenje za strategiju, Audit object access, nečete postići da se prate doga đaji vezani za bilo koji direktorijum ili datoteku. Treba da konfigurišete pojedina čno svaki direktorijum i datoteku da biste pratili događaje koji su za njih vezani. Pre nego što po čnete da pratite određene događaje, treba da omogućite praćem kategorije kojoj dogadaji pripadaju. Praćenje događaja možete da konfigurišete preko lokalne bezbednosne strategije računara, preko grupne strategije ili na oba na čina. Ako je definisana strategija za evidenciju doga đaja na nivou domena, ona nadja čava lokalnu strategiju evidencije dogadaja. U ovom poglavlju podrazume se da se evidencija doga đaja konfiguriše preko bezbednosne strategije domena Ukoliko treba da konfigurišete evidenciju događaja preko lokalne strategije, koristite konzolu Local Security Policy. Da biste konfigurisali evidentiranje događaja preko sigurnosne strategije domena, treba uraditi slede će: 1. Izaberite Start/Administrative Tools/Domain Security Policy . 2. Otvorite granu Local Policies/Audit Policy. 3. Dvaput pritisnite strategiju da bi se prikazali njeni parametri. Možete da omogu ćite praćenje i uspešnih i neuspešnih akcija u odabranoj kategoriji. Možete, na primer, pratiti uspešno prijavljivanje na sistem da biste otkrili ko je koristio dati sistem i kada. Pratite neuspešno prijavljivanje na sistem da biste otkrili pokušaje neovlašćenog pristupa. 4. Izaberite Success, Failure ili obe opcije, pa pritisnite OK. Kada konfigurišete sve porebne kategorije, zatvorite konzolu Security Policy. Ako konfigurišete pristup objektu, pogledajte sledeći odeljak. U protivnom, događaji koji se prate počeće da se pojavljuju u dnevniku Security. Proverite da li ste veli činu ovog dnevnika i ponašanje pri prekora čenju veličine uskladili sa događajima koji se prate. Dnevnik doga đaja možete konfigurisati i pregledati pomoću konzole Event Viewer , koja se nalazi u direktorijumu Administrative Tools. Drugi korak u konfigurisanju praćenja pristupa objektu jeste omogućavanje praćenja pojedinačnih objekata koje treba nadgledati. Ti objekti mogu biti direktorijumi, datoteke, odrednice Registra i tako dalje. Objekte konfigurišete tamo gde ih nalazite u korisničkom interfejsu - direktorijume i datoteke u Exploreru, štampače u direktorijumu Printers a odrednice Registra u editoru Regedit.Tipovi događaja koje možete da pratite za dati objekat zavise od samog objekta. Na primer: doga đaji vezani za pristup datoteci
Administriranje mreža razlikuju se od događaja vezanih za pristup odrednicama Registra. Da biste konfigurisali evidenciju događaja za direktorijum ili datoteku, pratite sledeće korake: 1. Otvorite Windows Explorer i izaberite direktorijum ili datoteku. Pritisnite objekat desnim tasterom pa izaberite Properties da biste otvorili list za podešavanje parametara objekta. 2. Pntisnite dugme Security,a zatim Advanced da bi se otvorio okvir za dialog Advanced Security Settings. 3. Pritisnite jezičak Auditing okvira za dijalog Advanced Security Settings - prikazače se strana Auditing , a zatim pritisnite Add. Izaberite korisnika, računar ili grupu koje hočete da pratite pa pritisnite OK. Windows 2003 će prikazati okvir za dijalog objekta u kome se nalazi lista doga đaja koje možete pratiti za izabrani objekat. Više podataka o kontrolisanju i nadgledanju pristupa štampaču naći ćete u poglavlju 28. 4. Izaberite Successful ako želite da beležite uspešno završene dogadaje. Izaberite Failed da biste nadgledali neuspešne pokušaje. Opcijom Apply These Auditing Entries to Objects and/or Containers Within This Container Only postižete da praćenje događaja važi samo za sadržaje izabranih kontejnera (na primer, za datoteke u izabranom direktorijumu). Ako ne izaberete ovu opciju, bi če pračeni događaji i za objekte iz poddirektorijuma. Ukoliko ste zadovoljni izabranim dogadajima, pritisnite OK. Kada definišete strategiju evidentiranja doga đaja za izabrani objekat, imajte na umu da postoji mogućnost da se generiše veliki broj doga đaja u dnevniku Security. Ako nemate naročite razloge za beleženje uspešno završenih doga đaja, pratite samo neuspešne doga đaje da biste smanjili broj obra ćanja dnevniku i opterećenje računara. Praćenje događaja neuspelog pristupa obi čno je najkorisnije rešenje za detektovanje pokušaja neovlaš ćenog pristupa. Da biste u listi dodali druge korisnike, grupe ili računare, primenite isti postupak. U okviru za dijalog Advanced Security Settings (slika ) na ći čete dve opcij koje kontrolišu kako roditeljski objekat uti če na pračenje elementa i kako praćenje utiče na objekte potomke. • Allow Inheritable Auditing Entries from the Parent to Propagate to This Object and All Child Objects: Izaberite ovu opciju ako hoćete da objekat nasledi parametre za pra čenje od roditeljskog objekta. Da biste spre čili nasledivanje parametara,
poništite ovu opciju.
• Replace Auditing Entries on All Child Objects with Entries Shown Here That Apply to Child Objects: Izaberite ovu opciju
da biste poništili parame-tre evidencije dogadaja konfigurisane unutar objekata potomaka (na primer poddirektorijumi) i omogućili da parametri evidencije dogadaja za teku ći objekat budu preneseni do objekata potomaka. Kada završite definisanje strategije pračenja za dati objekat, zatvorite prozor za podešavanje svojstava objekta. Evidentiranje dogadaja počinje odmah. 12.3.3 Analiza izveštaja o evidenciji
Windows 2003 beleži dogadaje u dnevnik Security. Za pregledanje dnevnika koristite modul konzole Event Viewer . Pomoću ovog modula možete i snimiti dnevnike u datoteke koje čete kasnije pregledati, ili u datoteke formatirane pomoču tabulatora ili zareza. Pomo ću ove konzole pregledačete dnevnike Security, Application i System, te druge dnevnike koje formiraju usluge i aplikacije Windowsa 2003. U podrazumevanom stanju, Event Viewer prikazuje dnevnike dinamički, što znači da se nove aktivnosti dođaju u dnevnik i dok ga vi pregledate. Dnevnik možete da snimite na disk da biste ga koristili kao referencu ili da biste ga arhivirali pre nego što ga izbrišete. Na slici je prikazan dnevnik Security u Event Vieweru. Event Viewer omogučava konfigurisanje i pregledanje dnevnika doga đaja. Budući da dnevnik možete snimiti u tekstualnu datoteku, za pregledanje dnevnika možete koristiti i druge aplikacije. Na primer, snimite dnevnik u datoteku u kojoj se za razdvajanje koristi zarez. Datoteka takvog tipa može se uvesti u Microsoft Access ili u neku drugu aplikaciju za rad sa bazama podataka i od nje se može formirati baza i sortirati po ID broju događaja, izvoru događaja i tako dalje.Ili možete da izvezete podatke
Administriranje mreža u tekstualnu datoteku koju čete uvesti u program za obradu teksta da biste napravili izveštaj. Samo treba da pazite jeste li izabrali aplikaciju koja uvozi datoteke u kojima se za razdvajanje koriste tabulatori ili zarezi i izvozi datoteku dnevnika u odgovarajučem formatu. Postoje i brojni alati drugih proizvođača koje omogučavaju pregledanje dnevnika sistema. Alatka LogCaster firme RippleTech zaslužuje posebnu pažnju. Mehanizam baratanja dnevnikom doga đaja je samo mali deo onoga što LogCaster može. Ovaj program nudi uniforman interfejs za pregledanje dnevnika događ ja, ali služi i kao izvrstan sistem za upozoravanje administratora. LogCaster omogu ćava nadgledanje dnevnika doga đ ja, usluga, TCP/IP uređ ja, indikatora performansi i ASCII dnevnika u realnom vremenu. Omogućava automatsku dojavu alarma preko razli čitih mehanizama u koje spadaju pejdžer, elektronska pošta, ODBC, SNMP i drugi Kad god se desi određni događ j, LogCaster vas automatski obaveštava, bez obzira na to gde se nalazite. Bilo da treba pratiti performanse sistema, biti obavešten o pračenim događajima ili upozoren na upade u sistem, LogCaster je odli čno sredstvo Firma RippleTech nalazi se na Internetu, na adresi www. rippletech. com. 12.3.4 Strategije evidentiranja događaja Možete da evidentirate svaki doga đaj, ali to je nepraktično zato što time mnogo optere ćujete sistem. Na kraju čete imati enormno veliku datoteku dnevnika ili ćete gubiti silno vreme na arhiviranje dnevnika. U narednim odeljcima opisane su specifi čne situacije i primena evidencije dogadaja na njih. 1. Isključivanje evidencije događaja - Prva opcija je da uopšte ne uključujete evidenciju dogadaja, što u
nekim okolnostima i nije tako loše. Ako vas ne brine bezbednost sistema, nema mnogo razloga za evidentiranjem događaja. Isključivanjem evidencije dogadaja smanjuje se optere čenost sistema i pojednostavljuje rukovanje dnevnicima. Ipak, mnoga preduzeća vode (ili bi trebalo da vode) računa o bezbednosti, bar u izvesnoj meri, pa im ova opcija verovatno ne odgovara. 2. Uključivanje evidencije svih događaja- S druge strane skale nalazi se kompletna evidencija doga đaja. Ako vam je bezbednost veoma važna ili vam je cilj sertifikat o bezbednosti, primenite ovu opciju. Ipak, imajte na umu da će sistem verovatno generisati ogroman broj doga đaja koji zahtevaju veoma aktivno baratanje dnevnikom bezbednosti. Kao alternativu evidentiranju svih događaja, razmotrite mogućnost beleženja samo neuspešnih pokušaja. 3. Evidentiranje problematičnih korisnika - Neki korisnici, iz ovog ili onog razloga, postanu administratorova najgora noćna mora. U pojedinim slučajevima, krivica nije direktno korisnikova, već nastaje usled problematične definicije profila korisnika, naloga i tako dalje. U nekim slu čajevima, krivac je korisnik jer često upotrebljava pogrešne lozinke, neta čno otkucava ime naloga, pokušava da se prijavi na sistem u vreme kada mu to nije dozvoljeno ili čak pokušava da pristupi resursima za koje nema dozvolu (ili koje njegov posao ne zahteva). U takvim okolnostima, valja nadgledati akcije datog korisnika i možda čak treba zadržati podatke radi savetovanja ili ukidanja naloga. Tipovi doga đaja koje čete pratiti za konkretnog korisnika ili grupu zavise od vrste problema. Na primer, pratite prijavljivanje na sistem ako korisnik ima problema s prijavljivanjem ili pokušava da se prijavi u nedozvoljeno vreme. Pratite pristup objektima kada korisnik ili grupa pokušavaju da pristupe resursima kao što su direktorijumi i datoteke. Prilagodite ostala praćenja specifičnim poslovima i događajima koje korisnik ili grupa izvršavaju. 4. Praćenje administratora - Evidencija događaja vezanih za administratora je pametan potez, ne samo zato da bi se pratilo šta administratori rade, nego i da bi se otkrilo neovlaš ćeno korišćenje dozvola administratora. Imajte na umu da evidentiranje doga đaja utiče na performanse sistema. Razmotrite evidentiranje događaja kao što su prijavljivanja preko naloga, baratanje nalozima, promena strategije i korišćenje dozvola administratora samo ako sumnjate na neku osobu. Bolje je da administratore kontolišete primenom delegiranja i pametnom primenom grupa i organizacionih jedinica. 5. Evidentiranje događaja vezanih za važne datoteke i direktorijume - Jedna od čestih primena evidentiranja dogadaja jeste praćenje pristupa važnim datotekama i direktorijumima. Osim pra čenja najobičnijeg pristupa, verovatno ćete želeti da pratite kada korisnici pokušavaju da unesu odredene promene na objektu, na primer Change Permissions i Take Ownership. To pomaže nadgledanje izmena na direktorijumu ili datoteci koje mogu uticati na bezbednost.
Administriranje mreža 12.4 Nivo uslužnosti
Prva testiranja Windows Servera 2003 pokazuju da je to mo ćan operativni sistem za izvršavanje serverskih aplikacija. Mnogim korisnicima Windowsa NT i Windowsa 2000 dopašče se pove čanje brzine operativnog sistema koje se uo čava od trenutka uključivanja mašine i pokretanja operativnog sistema. Time su na pleća administratora Windowsa 2003 stavljeni veliko breme i odgovornost - oni moraju da obezbede maksimalnu raspoloživost sistema. U ovom poglavlju razmatramo nivo uslužnosti i uvodimo vas u pračenje performansi Windows 2003 Servera. Microsoft je imao cilj da Windows Server 2003 prilagodi svim nivoima poslovanja i firmama svih veličina. Svaki sistem, server ili OS ima svoju tačku topljenja, slabo mesto, otkaznu tačku ( single point offailure, SPOF), ,,granicu elastičnosti" i tako dalje. Znati, ili bar proceniti, koliko smo daleko ili blizu ta čke topljenja mnogo je složenije od pukog posedovanja sistema koji obečava visoku raspoloživost. Verujte nam, loše upravljanje može svaki sistem i uslugu da pretvori u no čnu moru zvanu nizak nivo uslužnosti. Windows Server 2003, bez ikakvih dodatnih ulaganja, ima više ugra đenih funkcija nego bilo koji drugi operativni sistem, što će u ovom poglavlju biti i pokazano. Po našim proračunima, Windows Server 2003 ima najbolji odnos izmedu cene i performansi (kada se bez dodataka podvrgne nadgledanju performansi). Zato će u budućnosti dosta da se govori o jednom novom pojmu mrežnih operativnih sistema a to je ugovorom o nivou uslužnosti ( service leuel agreement, SLA). Pre nego što nastavimo da govorimo o ugovoru SLA, trebalo bi da definišemo nivo uslužnosti i da vidimo kako se on ostvaruje u Windowsu 2003. Nivo uslužnosti ( service level, SL) jeste sposobnost da se upravlja informacionim tehnologijama i sistemima na način koji obezbeduje održavanje konsistentnog, maksimalnog nivoa raspoloživosti i minimalnog nivoa otkaza sistema. Mnoga preduzeča shvataju SL kao obezbe đenje i kontrolu kvaliteta (QA/QC). Iz primera koji slede sve će biti mnogo jasnije. Primer 1: Rukovodstvo dolazi kod direktora IT sektora s poslovnim planom za iznajmljivanje aplikacija (ASP). Oni kažu: ,,Ako kupci mogu da iznajme aplikaciju preko pouzdanih Internet veza, čija brzina neće biti manja od x, zaboraviće na nabavku aplikacija iz IT budžeta i opredeliti se za koriš ćenje resursa izvan svoje firme. Pomoću ASP-a, naš centar za mrežne operacije, koji je veoma razvijen, i naša farma servera mogu da se koriste za takve poslove. Ako dovoljno veliki broj kupaca bude iznajmljivao aplikacije, ASP će donositi profit." Da bi ovaj poslovni plan mogao da se realizuje, ASP serveri i aplikacije moraju biti na raspolaganju mušterijama od 7 ujutru do 9 uve če. Tokom jednog dana, prekid rada sistema može da traje samo 0,09 procenata vremena. Sve preko toga je neprihvatljivo, jer će mušterije izgubiti poverenje, odustati od iznajmljivanja i vratiti se na kupovinu aplikacija. Ovom poslovnom planu potrebna je podrška sektora za IT koji treba da obezbedi da sistem ne bude van upotrebe duže od 0,09 procenata radnog vremena. Osim raspoloživosti, i odziv sistema je važan faktor. I tim problemom se bavi QoS u SL-u. Primer 2: Rukovodstvo zahteva od sektora za informatiku da sistem za naru čivanje, koji inače funkcioniše tako što se narudžbine šalju putem faksa a činovnik ručno obraduje podatke, prebaci na ekstranet. Dosadašnja praksa podrazumeva da zastupnik odlazi do mušterije, uzima porudžbinu i potom je faksom šalje u firmu, gde se porudžbine ru čno unose u sistem. U novom sistemu, kupci bi bili opremljeni jeftinim terminalima i direktno naručivali preko svojih naloga na Web serveru. Sektor za informatiku mora obezbediti da Web serveri i sistemi za podršku - SQL Server 2000, Windows Server 2003, BizTalk 2002 Server, WAN itd. - budu dostupni sve vreme. Ako sistem ne bude na raspolaganju kada kupac naru čuje, kupac će se ponovo mašiti telefona i faksa, ili će naručiti kod konkurencije. Sistem mora biti pouzdan, informativan i mora zadovoljiti potrebe kupca tako što će ovaj postupak biti potpuno automatizovan (automatsko slanje elektronskih poruka za potvrdu narudžbine i sav ostali sjaj koji prati interaktivnu kupovinu). U prvom primeru, verovatno će biti potreban zvaničan ugovor o nivou uslužnosti Drugim re čima, taj ugovor če biti u vidu pisanog dokumenta koji potpisuju klijenti i dobavljači usluge. Kupac zahteva daASP obezbedi potpisane garancije da če sistem biti raspoloživ 99,9 procenata vremena. Kupac zahteva ovakav ugovor jer ne sme dozvoliti da usred aplikacije za naru čivanje, ili slanja poslovnog pisma, ASP odjednom nestane. Kupac možda može da toleriše izvestan nivo nedostupnosti, ali ako nivo uslužn sti padne ispod te granice tolerancije, kupac mora imati načina da dobije odštetu ( ASP-a. Ošte ćeni kupac može da stekne pravo da raskine ugovor ili se ASP može LIL^ vorom obavezati da će plaćati penale (u vidu nov čane kazne, obaveze da smanji c* ' usluga, obaveze da se odrekne mese čne pretplate i tako dalje). Ugovor o nivou usr žnosti može da sadrži razne opcije, a ako ASP ne može da ga ispuni, krivica pada sektor za informatiku.
Administriranje mreža U drugom primeru, vrlo verovatno neće biti potpisan zvanični ugovor između kupca i dobavljača. Ugovori o nivou uslužnosti verovatno če u ovom slučaju biti zapisnici o dogovoru izme đu sektora za informatiku i rukovodstva drugih sektora. IT sektor će se obavezati da omogu ći izvestan nivo raspoloživosti za određeni poslovni model ili plan. Pri sklapanju ovakvih ugovora, obi čno IT sektor insistira na pisanoj formi da bi se ugovor mogao staviti na teret budžeta i tražiti novac za sisteme i softver koji su potrebni da bi se ispunile ugovorene obaveze. Ugovor o nivou uslužnosti može da ide i na štetu IT sektora. Ako se obaveze i ugovora ne ispune, osoblje ili rukovodioci IT sektora mogu dobiti otkaz, biti raspređeni na manje značajna mesta ili premešteni u druge sektore. Može biti donet i odluka da se posao sektora za IT poveri specijalizovanoj firmi ili se ovaj sektor može obavezati da angažuje skupe konsultante (koji mogu i pomoči i odmoći). U IT prodavnicama koje sada podržavaju nivo uslužnosti za važne aplikacije margine za toleranciju grešaka uopšte ne postoje. Inženjeri koji ne mogu da pomognu IT sektoru da ispuni ugovor, ne zadržavaju se dugo. Sigurno će se od ljudi koji konkurišu na ovakva mesta zahtevati visoko obrazovanje i ogromno iskustvo. Razumevanje suštine upravljanja nivoom uslužnosti ( service leuel management, SLM) danas je osnovni zahtev u IT sektoru skoro svakog preduze ča. Navešćemo sada ključne činioce SLM-a o kojima se mora voditi ra čuna: Otkrivanje problema - Ovaj činilac zahteva od IT-a da stalno prati rad sistema kako bi unapred upozorh i i mogućnost otkazivanja sistema. Koristite sve alatke za nadgledanje rada sistem.t koje se mogu nabaviti i usmerite pažnju na sve mogu će tačke otkazivanja sistenia Na primer, obratite pažnju na potrošnju prostora na medijima za čuvanje podata1 rad mreže, memoriju, procesore, napajanja i tako dalje. Detektovanje problema slično je predvidanju zemljotresa. Sve vreme osluškujef tlo, a potres opet dode kada se najmanje nadate, na mestima gde ga najmanje o
Pri upravljanju nivoom uslužnosti kombinuju se razne alatke i analize da bi se ostvario zadovoljavajući nivo uslužnosti i ispunile obaveze ugovora. SLM je model poznast kao model tronošca jer predstavlja model sa tri tačke oslonca. Noga koja predstavlja raspoloživost podržava model tako što garantuje raspolo-živost važnih sistema. Noga koja predstavlja administriranje obezbeduje 24 x 7 ope-
Administriranje mreža racija i održavanje. Noga koja predstavlja performanse zaslužna je za sposobnost sistema da pruža usluge poslovnim procesima i za održavanje sistema na bezbednoj udaljenosti od nivoa uskog gria i otkazivanja. Ako jedna noga otkaže ili oslabi, stolica če se zaljuljati ili pasti, usled čega firma može biti izložena riziku. Preduzeća koja nastoje da raspoloživost sistema zadrže na odredenom nivou, uvek imaju resurse koji omogučavaju brz oporavak od katastrofa. To obi čno podra-zumeva zapošljavanje stru čnjaka čiji je jedini zadatak da što brže otklone problem. Često rukovodioci plačaju eksperta koji 95 procenata vremena ne radi ništa. što može da izgleda kao bacanje para. Medutim, ako je ta osoba u stanju da reši pro-blem u rekordnom roku, cena njegovog angažovanja zanemarljiva je u odnosu na dobit preduze ča. Često se dešava da stručnjak oporavi sistem, koji bi u slu čaju da ostane neakti van nekoliko dana, koštao kompaniju više nego stručnjakova plata. Ako se može do či do eksperta koji je nenadmašan u oporavljanju sistema a i kvalifikovan da prat performanse i predvida probleme, suvišno je i govoriti da preduze će treba svakako da ga angažuje. Pedeset posto ve ći troškovi za platu takvog čoveka sigurno će se isplatiti. Administriranje je napor koji ekipa stru čnjaka ulaže da bi sistem u svakom tre nutku imao rezervne kopije, da bi izvori napajanja uvek bili aktivni, da bi sve poruk» o greškama koje server prijavi bile uočene, da bi temperatura i cirkulacija vazduh. u serverskoj sobi uvek bile u dozvoljenim granicama i tako dalje. Administriranje obuhvata upravljanje SL budžetom, zapošljavanje i otpuštanje, vodenje evidencij. i izveštavanje o ostvarenom nivou usluga i podnošenje izveštaja nadležnima. Poboljšanjem performansi bave se analiti čari koji znaju šta da traže u sistemu Oni dobijaju velike pare da bi pomagali rukovodstvu pri donošenju odluka (kako do se podrže odredene poslovne inicijative, kako da se iskoriste ukazane prilike). Analitičari moraju da poznaju tehnologije i njihove mogućnosti. Na primer, treba da znaju koje baze podataka valja koristiti, kako funkcioniše RAID i koji nivo je potreban.Oni prikupljaju podatke,interpretiraju ih i da predvidaju potrebe. 12.4.2 SLM i Windows Server 2003 Ključ za ispunjavanje zahteva SLM-a jeste zadovoljavaju ći
arsenal SL alatki i tehnologija. Tu na scenu stupa Windows Server 2003. Grupisanje i uravnoteženje optere ćenja uključeni su u Advanced Server i Datacenter Server, a alatke za pra čenje performansi i sistema i alatke za oporavak od katastrofa postoje u svim verzijamci operativnog sistema. Ove alatke su suštinski zna čajne za SL. Ako ih nabavljate nezavisno od operativnog sistema, mogu da vas košaju čitavo bogatstvo, a možda ne čete moći da ih integrišete na istom nivou. Nedostatak takvih alatki bio je velika mana Windows NT 4.0 servera, ali u Windows Serveru 2003 te alatke nadmašuju sve ostale. Mnogi konkurentski proizvodi, nažalost, ne dolaze u obzir kada je u pitanju SLM. Cena alatki koje nude drugi proizvo đači i integrisanja u neke druge operativne sisteme takva je da se njihova primena za SLM i ne razmatra. Alatke za nadgledanje Windowsa 2003 su složene, ali rukovodioci više ne če tolerisati njihovo nepoznavanje jer sve više kupaca zahteva uskladenost sa SL-om i ugovore o nivou uslužnosti. U alatke za nadgledanje i pra čenje performansi u Windowsu 2003 spadaju: • System Monitor • Task Manager • Event Viewer • Quality of Service • Windows Management Interface • Simple Network Management Protocol (SNMP) Nećemo se upuštati u detaljno istraživanje SLM alatki koje se isporu čuju s Win-dowsom 2003, niti ćemo objašnjavati kako se one koriste. Takva analiza zauzela bi nekoliko stotina stranica, a to ne spada u okvir ove knjige. 1 nadgledanje perfor-mansi je jedna od usluga i infrastruktura za podršku koja se isporu čuje uz Windows 2003; ovom uslugom ne može se ovladati bez dosta truda, ali će podaci koji slede biti dovoljni za početak. Arhitektura sistema za nadgledanje u Windowsu 2003
Windows 2003 prati ili analizira potrošnju prostora za čuvanje podataka, memoriju, mreže i obradu podataka. Ne zvuči mnogo mudro, medutim, analiza podataka nije sama sebi svrha. Krajnji cilj nije da se sazna kako radi sama memorija, ili kako se odvija koriš ćenje diska, nego kako softverske komponente i funkcije koriste ove resurse. Ukratko, nije dovoljno re ći samo da je izmedu trenutkax i trenutka y kori-
Administriranje mreža šćeno 56 MB RAM-a. Vaša analiza treba da otkrije ko je koristio RAM u datom inter-valu i zašto je toliko korišćen. Ako sistem stalno ostaje bez memorije, postoji velika verovatno ča da neka apli-kacija ,,krade" RAM. Drugim rečima, aplikacija ili proces imaju grešku i nekontroli-sano troše memoriju. To znači da program ne vraća memoriju (memorija ostaje zauzeta) posle upotrebe. Tvorci programa mogu da prate svoje aplikacije na ser-veru kako bi proverili da li oslobadaju memoriju posle upotrebe. Šta ako gubite memoriju, a ne znate koja je aplikacija za to odgovorna? Ne tako davno, Windows NT serveri korišćeni na Internetu i u najmodernijim aplikacijama za rad sa elektronskom poštom (više od 100.000 elektronskih poruka na sat) jedno-stavno bi ostali bez memorije. Posle opsežnog pra ćenja sistema, mogli smo da kažemo da je uzrok ,,curenja" poslednja verzija biblioteke Winsock (koja je odgovorna za Internet komunikaciju na NT-u). Još jedna firma u Evropi otkrila je problem s memorijom otprilike u isto vreme. Microsoft je kasnije izdao ,,zakrpu". Ispostavilo se da Winsock funkcije odgovorne za oslobadanje memorije nisu mogle da se izbore s brzim zahtevima na uti čnicama. Utičnice su bile podešene za veće brzine od onih koje su Winsock biblioteke mogle da podrže. Softverske komponente, usluge i niti u Windowsu 2003 toliko su brojne da je bukvalno nemogu će kontrolisati desetine hiljada instanci koriš ćenja prostora za čuvanje podataka, memorije, mreže ili procesora. Da bi se postigla tako detaljna i raznovrsna analiza, Windows 2003 sadrži ugra-dene programske objekte, pridružene uslugama i aplikacijama, koji mogu da sku-pljaju podatke u tim kritičnim oblastima. Kada sakupljate podatke, fokus treba da bude usmeren na programske komponente raznih usluga operativnog sistema kojc su pridružene tim oblastima. Sistem prikuplja podatke sa upravlja ča ciljnih obje-kata u svakoj oblasti praćenja. Windows 2003 podržava dve metode sakupljanja podataka. Prva se zasniva na pristupu registarskim pokazivačima na funkcije u DLL-ovima indikatora performanss u operativnom sistemu. Drugi pristup podržava sakupljanje podataka pomoću Win-dows Management Infrastructure (WMI). WMI je objektno orijentisani okvir koji omogučava instanciranje objekata performansi koji sadrže funkcionalnost za pračenje performansi operativnog sistema. OS instalira novu tehnologiju za oporavak podataka preko WMI-a. Ona je poznato kao upravljive objektne datoteke (engl. managed object files, MOFs). Ove datoteke odgovaraju resursima u sistemu ili su im pridružene. Objekata koji su predmet kon-trolisanja performansi ima previše da bi se ovde navodili, ali se oni mogu naći u priručniku Windows 2003 Performance Counters Reference, koji se nalazi na Windows 2003 Resource Kit CD-u. Tu spadaju osnovne usluge operativnog sistema, one koje izveštavaju o RAM-u, o funkcionalnosti datoteke za strani čenje, o korišćenju fizičkog diska, i napredne usluge operativnog sistema, kao što je aktivni imenik, Active Server Pages, FTP usluge, DNS, WINS i tako dalje. Da biste shvatili doseg i korišćenje objekata, korisno je da prvo razjasnimo neke podatke o performansama i izraze koji se koriste u analizi. Tri osnovna koncepta sii ključna za razumevanje pračenja performansi: propusna moč , redoui \ ureme odziva Kada shvatite ove pojmove, lako ćete proširiti domet svoje analize i proračunati brzinu prenosa, vreme pristupa, kašnjenje, toleranciju, pragove, uska grla itd. Brzina i propusna moć Propusna moć je količina posla koja se izvrši u jedinici vremena. Ako vaše dete može da sastavi 100 lego kockica za sat, možete re ći da je njegova brzina sklapanjc, jednaka 100 kockica na sat, posmatrana u
intervalu od x sati, pod uslovom da je brzina konstantna. Medutim, ako je brzina sastavljanja promenljiva zbog umora, gladi, žedi i tako dalje, može se prora čunati propusna moć. Propusna moć raste s porastom broja komponenata, ili sa smanjenjem raspolo-živog vremena za završavanje posla. Protok zavisi od resursa, kao što su prostor i vreme. Protok sistema u celini jednakje protoku najsporije tačke u sistemu. Protok je pravi pokazatelj performansi. Memorija je resurs, prostor u kome se izvršavaju instrukcije. Nema mnogo smisla da brzinu sistema pove ćate na milione instrukcija u sekundi, ako nema dovoljno memorije za čuvanje informacija o instrukcijama. Red
Ako date detetu da sastavi mnogo lego kockica, ili smanjite vreme za koje mora da sve isplanira i sastavi, broj delova će početi da se gomila. Isto to se dešava i s progra mima i IS rokovima, kada niti po činju da se slažu, jedna za drugom, u red. Kada se reci uve ća, kažemo da se pojavilo usko grlo. Praćenje uskih grla u sistemu je ključ za praćenje performansi, otkrivanje i rešavanje problema. Ako nema uskih grla, sistem se može smatrati zdravim, ali usko grlo može svakog časa početi da se stvara.
Administriranje mreža Redovi se mogu formirati i ako zahtevi za resursima nisu ravnomerno rasporedeni u vremenu. Ako je detetu potreban jedan minut da bi sklopilo jedan deo, i ako to važi za svaki minut i svaki deo, ono će sklopiti 60 delova za sat. Ali, ako dete 45 minuta ne radi ništa, pa odjednom dobije inspiraciju, usko grlo će se pojaviti u poslednjih 15 minuta, jer preostale delove ne će moči da sklopi u tom intervalu. Kada u računar-skom sistemu počnu da se stvaraju redovi i pojavljuju uska grla, sistem prestaje da reaguje. Zahtevi za procesorom ili resursima diska su zako čeni. Kada se zahtev ne zadovolji, sistem po činje da se ruši. Sada ćemo govoriti o vremenu odziva sistema imajući sve ovo u vidu. Vreme odziva
Vreme odziva je mera koja govori koliko je vremena prošlo izme đu nastanka nekog dogadaja, na primer zahteva za čitanje i odziva sistema na dogadaj (zahtev). Ako je optere čenje veliko, i vreme odziva je veliko jer sistem odgovara na druge zahteve i nema dovoljno resursa da primi nove. Sistem koji nema dovoljno memorije i/ili obradne snage, sortiraće veliku bazu podataka mnogo sporije od bolje opremljenog sistema s bržim čvrstim diskom i bržim procesorima. Ako vreme odziva nije zadovoljavajuče, moračete da smanjite količinu podataka ili da povečate resurse. Vreme odziva čete izračunati kada dužinu reda podelite s protokom resursa. 0 vremenu odziva, redovima i protoku vode računa alatke za izveštavanje Wm-dowsa 2003. Kako objekti performansi rade Windows 2003 objekti za praćenje
performansi sadrže indikatore performansi. Ovi indikatori zapravo obavljaju pravu analizu. Na primer, objekat čvrstog diska može da izra čuna brzinu prenosa, dok objekat pridružen procesoru može da izračuna procesorsko vreme. Da bi se dobio pristup podacima, ili da bi se otpo čelo prikupljanje podataka, prvo treba stvoriti objekat i zadobiti pristup njegovim funkcijama. To se radi tako što se pozove funkcija create iz korisni čkog interfejsa ili nekog drugog procesa. Čim se objekat stvori i pozove njegova metoda za prikupljanje podataka, on započinje proces skupljanja podataka koje zatim čuva u svojim svojstvima. Podaci se mogu smestiti na disk, u datoteke, RAM ili druge komponente koje analiziraju podatke i prikazuju ih na razumljiv način. Zavisno od objekta, programi za analizu mogu da naprave bar jednu kopiju objekta performansi i da analiziraju podatke koje indikator generiše. Morate pro-u čiti Microsoftovu dokumentaciju da biste ustanovili da li objekat može biti stvoren više puta, odnosno da li istovremeno može da postoji više instanci istog objeka. Ako se objekat može pojaviti više puta, morate voditi ra čuna o pridruživanju podataka koje taj objekat prikuplja svojoj aplikaciji; to ćete uraditi tako što ćete je uputiti na odgovarajuču instancu indikatora. Windows 2003 omogu ćava instanciranje objekta za usluge lokalnog računara, ali se mogu stvarati i objekti koji skupljaju podatke sa udaljenog računara. Objekti performansi omogučavaju skupljanje podataka i izveštavanje na dva na čina. Objekat može da bira, odnosno da sakuplja uzorke podataka. To znači da podaci sakupljaju periodi čno, a ne kada se odredeni dogadaj desi. Svaki oblik pr kupljanja podataka optere ćuje resurse, što znači da i samo nadziranje dodatno opterećuje sistem. Prednost sakupljanja podataka metodom uzimanja uzoraka k u ravnomernoj raspodeli opterećenja u vremenu; nedostatak je to što vrednosti mogu biti neta čne ako se značajna aktivnost odigra u intervalu izmedu dva treni it odabiranja. Druga metoda skupljanja podataka je pamč enje događ aja (engl. euent tracing) \ čenje dogadaja, novost u Windowsu 2003, jeste sposobnost da se podaci prikuplja kada se desi odgovaraju či dogadaj. Budući da ne postoji odredeni vremenski int val za uzimanje uzoraka, može se podesiti da se dogadaj aktivira u trenutku kada odvija korišćenje resursa. Na primer, možete pratiti kako aplikacija koristi menp riju kada izvršava pojedine funkcije, te kako i da li oslobada memoriju posle za' šetka tih funkcija. Nedostatak praćenja dogadaja je to što troši više resursa nego metoda odabi ranja; zato ova metoda treba da se koristi u kratkim periodima kada je cilj prao dogadaja rešavanje konkretnog problema, a ne samo nadgledanje. Indikatori daju izveštaje na dva na čina: u apsolutnim ili prosečnim vrednostii Apsolutna vrednost prikazuje podatake u trenutku dešavanja; to je snimak, fotoi fija. Drugim rečima, indikator ne obraduje podatak koji prima nego ga samo bel Prikazivanje prosečnih vrednosti podrazumeva i odredena izračunavanja. Na p mer, izračunava se broj bita u sekundi, ili broj strana u sekundi i tako dalje. Postoje indikatori koji mogu da generišu procentualne izveštaje, diferencija izveštaje i tako dalje.
Administriranje mreža Alatke za nadgledanje sistema
Pre nego što odjurite da kupite alatku za razvoj programa da biste pristupali rn nama za pra ćenje performansi, treba da znate da Windows 2003 već ima dve pr marne alatke za pračenje, spremne za upotrebu: konzolu Performance i Task Manager. Task Manager obezbeduje trenutni uvid u aktivnosti sistema kao što koriš ćenje memorije, aktivnost procesora, aktivnost procesa i potrošnja resurs Task Manager je veoma koristan za otkrivanje problema u sistemu. Konzola Pei mance služi za analizu performansi i obezbeduje podatke koji se mogu upotrehi pri rešavanju problema i analizi uskih grla. Može se koristiti i za uspostavljanj regularnog režima praćenja, na primer za analizu ,,zdravlja" servera. Konzola Performance se isporu čuje s dve ugradene alatke: System Monitor i t formance Logs and Alerts, ali o tome ćemo kasnije. S obzirom na to da odmah da rezultate i da se koristi za otkrivanje uzroka problema, prva alatka je Task Mana Task Manager
Task Manager daje informacije o aplikacijama i uslugama koje se trenutno izvrs vaju na serveru. Te informacije su: koriščenje procesora u procentima, koriš će memorije, prioriteti poslova, odziv i neki statistički podaci o memoriji i perfor sama procesora. Task Manager je veoma koristan za brzu proveru ,,duševnog zdravlja" sister obi čno se upotrebljava kao alatka za rešavanje problema kada je odziv sistem spor, kada se javljaju blokade ili greške, ili kada poruke ukazuju na nedostatal sistemskih resursa. Task Manager (slika 24-2) može da se pokrene na nekoliko na čina: 1. Pritisnite desnim tasterom miša paletu poslova (donje desno podru č je gde se obi čno prikazuje vreme) i iz priručnog menija izaberite Task Manager. 2. Pritisnite Ctrl+Shift a zatim taster Esc. 3. Pritisnite Ctrl+Alt a zatim taster Del. Učitaće se okvir za dijalog Windows Security. Pritisnite Task Manager. Slika 24-2: Task Manager - V.aT\\ca Pe^oTmance.
Kada se Task Manager u čita, primetićete da okvir za dijalog ima tri kartice: Appli-cations, Processes i Performance. U Task Manageru postoji nekoliko korisnih trikova. • Kolone mogu da se sortiraju po rastu ćem ili opadajućem redosledu kada se pritisne zaglavlje kolone. Kolone mogu menjati veličinu. • Dok Task Manager radi, indikator aktivnosti procesora (engl. gauge^ koji pri-kazuje precizne informacije, nalazi se na sistemskoj paleti poslova u donjem desnom delu ekrana. Ako predete mišem preko ovog podru č ja, pojaviće se padajuči meni o trenutnom stepenu zauzetosti procesora. • Dugme Task Manager može da se skloni s palete sistemskih poslova, ako se mnogo ne koristi. To se radi tako što se izabere meni Options i potvrdi opcija Hide When Minimized. CPU ikona pored ikone za prikazivanje vremena ipak ostaje. • Brzina osvežavanja i ažuriranja može da se podešava iz menija View <> Update Speed. Možete i zaustaviti ažuriranje da biste zaštitili resurse; da bi se prikaz ažurirao u bilo kom trenutku, pritisnite Refresh Now. Kartica Processes je najkorisnija i daje listu procesa koji se trenutno izvršavaju u sistemu. Ona meri njihove performanse i prikazuje ih u jednostavnom obliku. U te performanse spadaju procenat zauzetosti procesora, procesorsko vreme dodeljeno resursima i koriš ćenje memorije. •39 Ima mnogo indikatora performansi i procesa koji se mogu dodati na listu (ili sl nuti s nje) na kartici Processes. Izaberite View 0 Select Columns. Pojavi će se okv za dijalog Select Columns koji omogu ćava da se indikatori procesa dodaju na list (ili uklanjaju s nje). Opis svakog indikatora procesa nalazi se u sistemu za pomo ć Windowsa 20(P> Proces možete i da prekinete tako što ćete ga izabrati s liste i pritisnuti dugm End Process. Neki procesi su zaštićeni, ali se mogu prekinuti korišćenjem uslužnit programa za «ubijanje" procesa ili ,,ubijanje"
Administriranje mreža udaljenih procesa koji su uključeni i operativni sistem. Za ,,ubijanje" procesa morate imati ovlaš ćenje, a pre nego što uradite, morali biste potpuno predvideti sve posledice prekidanja procesa. Kartica Performance (slika 24-2) omogućava da grafički prikažete procenat pro< sorskog vremena u režimu jezgra. Da biste to uradili, izaberite meni View i potvrdi opciju Show Kernel Times. Kernel Times je mera koja govori o vremenu koriščenj< usluga operativnog sistema od strane aplikacije. Preostalo vreme, koje se troši 11 režimu User, troši se na niti koje stvori aplikacija. Ako vaš server podržava više procesa, pritisnite CPU History u meniju View p če se dijagrami svih procesora pojaviti u jednom oknu ili svaki u svom. Kartica Application prikazuje listu tekučih aplikacija i omogućava vam da pret nete aplikaciju koja je prestala da se odaziva, ili za koju ste ustanovili da ima pr blema ili da prouzrokuje probleme na serveru. Konzola Performance
Konzola Performance sadrži System Monitor, o kome smo govorili, 1 Performano Logs and Alerts, o čemu če biti reči kasnije. System Monitor je nova verzija Perfo mance Monitora (koji je u Windowsu NT bio poznat pod imenom perfmon). Otvan ga kad izaberete Administrative Tools 0 Performance ^> System Monitor. Konzol Performance može se u čitati, kao i svi MMC moduli, iz konzole Run, iz Task Man gera ili s komandne linije (otkucajte perfmon.msc). Kada se pokrene, konzola Performance u čitava prazan dijagram System Moin tora u hijerarhijski prikaz konzole. System Monitor
System Monitor omogućava analiziranje podataka sistema i ispitivanje performan i uskih grla. Ovi uslužni programi omogućavaju izradu dijagrama, histograma (stubičastih dijagrama) i tekstualnih izveštaja o podacima koje poseduje indikator performansi. System Monitor je idealan za brzo pregledanje podataka i dijagnostikovanje. System Monitor je prikazan na slici 24-3. Sadrži slede če karakteristike: • Smešten je u MMC, što ga čini prenosivim. Ovaj modul može da «nacilja^ bi koji računar i da nadgleda udaljenu obradu podataka na njemu. • Ima paletu sa alatkama koja može da se koristi za kopiranje, umetanje, pni žnjenje, brisanje, dodavanje indikatora i tako dalje. • Nudi potpunu kontrolu načina prikazivanja vrednosti indikatora. Na primei možete menjati stil, debljinu i boju linija. Možete da menjate i boju dijagrar i da manipulišete prozorom u kome se nalaze. • Ima legendu koja objašnjava ozna čavanje - izabrane indikatore i njima pri-družene podatke (na primer, ime računara, objekte i instance objekta). • System Monitor je ActiveX kontrola koja se zove sysmon. ocx. Kontrolu OCX možete da u čitate u aplikaciju koja podržava OLE koncept, na primer u Microsoft Word ili Visio, pa čak i na HTML stranu Web prezentacije. Kontrola OCX je korisna i u aplikacijama koje se namenski prave za pra ćenje i analiziranje performansi. OCX je nastavak imena datoteka nekih ActiveX kontrola.
Slika 24-3: Konzola Performance.
Administriranje mreža Monitor se može konfigurisati pomoču palete alatki ili menija Shortcut. Meni Shortcut se učitava tako što se desnim tasterom pritisne prazna oblast dijagrama i izabere odgovaraju ća opcija. Ako ne navedete drugačije, paleta alatki je dostupna. Korišćenjem palete alatki možete konfigurisati način prikazivanja tako što ćete pritisnuti jedno od dugmadi: View Chart, View Histogram ili View Report. Drugim rečima, isti podaci se mogu prikazati pomoću dijagrama, histograma ili izveštaja. Treba naglasiti razlike izmedu dijagrama, histograma i izveštaja. Histogrami i dijagrami se koriste za prikazivanje više indikatora, ali svaki indikator ima samo jednu vrednost. Ovakvo prikazivanje se koristi za praćenje tekuće aktivnosti i pra-ćenje promena. Ukoliko treba da vidite više vrednosti jednog indikatora. koristite izveštaj. Izvor podataka ćete dobiti kad pritisnete dugme View Current Activity, koje daje vrednosti podataka u trenutku u kom se posmatraju (u realnom vremenu). Možete da pritisnete i dugme View Log File Data, što će vam omogućiti da dobijete podatke iz kompletiranih ili teku čih dnevnika. Naravno, prvo morate izabrati indikatore. Dugmad indikatora, Add, Delete i Ne\v Counter Set nalaze se u sredini palete sa alatkama. Dugme New Counter Set služi za dovodenje prikaza u po četno stanje i omogućava biranje novih indikatora. Kada pritisnete dugme Add Counters, pojavljuje se okvir za dijalog, prikazan na slici 24
Slika 24-4: Okvir za dijalog Add Counters. Ovaj okvir za dijalog omogu ćava da izaberete ra čunar koji hočete da pratite, objekte performansi i indikatore. Obratite pažnju na dugme Explain. Ako ga priti-snete, sazna čete više o indikatorima koje ste izabrali. Pomoću opcije Clear Display možete ažurirati prikaz. Prikaz se može ,,zamrznuti 1 pritiskanjem dugmeta Freeze Display - sakupljanje podataka bi če prekinuto. Da bi sc nastavilo, pritisnite dugme Update Data. Ako pritisnete dugme Highlight, podaci s dijagrama ili histograma biće istaknuti. Tako možete istaći liniju ili stubić izabranog indikatora na beloj ili crnoj pozadini. Sadržaj prikaza može i da se izveze tako sto če se, na primer, sačuvati na Clip-boardu. Isto tako, podaci sa Clipboarda mogu da se uvezu u teku ći prikaz. 1 na kraju, tu je dugme Properties koje omogu ćava da pristupite parametrima za podešavanje fontova, boja i tako dalje. Kada pritisnete ovo dugme, učitava se okvir za dijalog System Monitor Properties (slika 24-5). Podatke prikazane u System Monitoru možete sačuvati na više na čina. Jedan način je pomoču Clipboarda, što smo malopre pomenuli. Drugi na čin je dodavanje kontrole za pra ćenje u matičnu aplikaciju, o čemu smo ranije govorili. Najlakši način da sačuvate izgled i stil prikaza jeste da kontrolu snimite kao HTML datoteku. To ćete uraditi tako što čete pritisnuti desnim tasterom okno i snimiti prikaz kao HTMl datoteku, što je i podrazumevani format za Save As.
Administriranje mreža
Slika 24-5: Okvir za dijalog System Monitor Properties. Drugi način je da izvezete dnevnik formatiran tako da se za razdvajanje koriste zarezi (CSV format) ili tabulatori (.tsv format). Tako formatiran dnevnik može se potom uvesti u neki program za rad s tabelama i bazama podataka ili za generisanje izveštaja (na primer, u Crystal Reports). U okviru za dijalog Add Counters možete izabrati sve indikatore i instance s liste ili samo odredene indikatore i instance. Što više elemenata nadzirete, to više sistem-skih resursa trošite. Ako nadgledate mnogo monitora i indikatora, razmislite o tome da preusmerite podatke na dnevnike pa da zatim te dnevnike čitate u prikazu. Medu-tim, razumnije je da koristite manje indikatora i instanci. Možete da pokrenete i dve instance System Monitora (u dve konzole performansi). To je zgodno za poredenje podataka iz različitih izvora.
Na listi instanci, prva vrednost, _Total, služi za sabiranje vrednosti instance i prikazivanje zbira u prikazu. Redovi u prikazu mogu da se uparuju s pripadaju ćim indikatorima - treba da izaberete red. Dnevnid i alarmi vezani za performanse Uslužni programi Windowsa 2003 za pračenje performansi mogu da generišu dva tipa dnevnika vezanih za performanse: statističke dnevnike indikatora i dnevnike dogadaja. Ovi dnevnici su korisni za napredno
analiziranje performansi i vodenje evidencije, što se može obavljati tokom odredenog vremenskog perioda. Postoji i mehanizam za alarmiranje. Stablo Performance Logs and Alerts prikazano je na slici 246. Ova alatka pripada konzolnom modulu Performance pa se pokre će na način koji smo već opisali u ovom poglavlju. Slika 24-6: Stablo Performance Logs and Alerts. Dnevnici indikatora zapisuju uzorke podataka vezanih za hardverske resurse i usluge sistema na osnovu objekata performansi o kojima smo već govorili. DnevnK koriste indikatore na isti način kao i System Monitor. Skup usluga Performance L( ; and Alert dobija podatke od operativnog sistema na kraju intervala ažuriranja. Dneunici događ aja sakupljaju uočene dogadaje. Pomoću ovih dnevnika, mogu s meriti performanse dogadaja vezanih za memoriju, za U/I datoteke za čuvanje po
Administriranje mreža Usluge alarmiranja se mogu konfigurisati tako da vas obaveste kada pojedini resursi padnu ispod ili porastu preko odredene vrednosti, praga, ili granice kojn ;' vi zadali. 1 dnevnici indikatora se mogu pregledati u System Monitoru; podaci iz ovih dn nika mogu se sa čuvati u CSV i TSV datotekama i pregledati pomoću programa za i <• s tabelama ili programa za generisanje izveštaja. Dnevnike možete konfigurisati d budu kružni. To zna či da datoteka dnevnika ima unapred definisanu maksimalni veličinu, a kada se ta veli čina dostigne, novi podaci se upisuju preko najstarijih podataka (datoteka nikad ne raste preko maksimalne veli čine). Dnevnici mogu da budu i linearni; podatke možete da sakupljate u intervalu zadatog trajanja. Bele-ženje podataka u dnevnike možete da zaustavite ili nastavite pomoću parametara koje sami postavljate. Kao i kod System Monitora, možete da sa čuvate datoteke u razli čitim formatima, na primer u HTML formatu, ili da celu OCX kontrolu uvezete u OLE kontejner Korišćenje dnevnika i alarma Da biste aktivirali korišćenje dnevnika
i alarma, pritisnite desnim tasterom okno za detaljan prikaz pa izaberite opciju New Log Settings. Pre nego što definišete para-metre, morate da date imena dnevniku i datoteci za alarm. Da biste koristili dnevnike i alarme, treba da imate potpuni pristup pododrednici Registra HKEY_CURRENT_MACHINE\SYSTEM\CurrentContro1Set\Serv1ces\SysmonLog\Log Queri es. Ova pododrednica je u podrazumevanom stanju otvorena za administratore, ali se može odobriti pristup i preko menija Security u editoru Regedit32. Osim toga, i da biste izvršavali ili konfigurisali neku uslugu, treba da imate odgovarajuća prava. Administratori standardno imaju ta prava, ali se ona mogu preneti i drugima preko pripadnosti grupi i podešavanjem strategije grupe. Kada izaberete opciju Property, u čitaće se okviri za dijalog Counter Log Proper ties (slika 24-7) ili Trace Log Properties (slika 24-8). Zatim podesite svojstva dnev-nika i alarma, na na čin koji ćemo sada
prikazati.
Slika 24-7: Svojstva Counter Log. Da biste konfigurisali alarme, morate prvo konfigurisati njihove indikatore, period uzorkovanja i prag alarma. Zatim zadajte akciju koja će se izvršiti kada se dogadaj pojavi. Akcije mogu da budu izvršavanje programa, slanje poruke, inici-ranje upisa u statistički dnevnik ili iniciranje upisa u dnevnik dogadaja. Javljanje alarma se može podesiti pomo ću parametara Start i Stop.
Administriranje mreža
Slika 24-8: Svojstva. Da biste konfigurisali statističke dnevnike, treba da zadate indikatore i defini ^ period uzorkovanja. Upisivanje u dnevnike omogu ćavate tako što zadate tip i vi • činu datoteke, putanju do nje i ostale potrebne parametre za automatsko imen. vanje. Statistički dnevnici treba da budu definisani kao SCV ili TSV datoteke, tekstualne datoteke, ili binarne linearne ili kružne datoteke. Statistički dnevnici se mogu konfigurisati i tako da se automatski aktiviraju, al ne možete podesiti da se automatski pokrenu iz po četka ako su podešeni da sc ru čno zaustavljaju. Isto važi i za dnevnik dogadaja. Upoznavanje servera
Da biste održavali odredeni nivo uslužnosti i da bi aplikacije i serveri bili u zacLit meri raspoloživi, morate dobro poznavati sve svoje mašine, aplikacije koje se rsc njima izvršavaju i resurse koje koriste. Nije dovoljno da imate subjektivni osećai tome kako server treba da funkcioniše. Kriti čne aplikacije, napadi na servere i 01 zivanja sistema dešavaju se iznenada. Nadgledanje sistema je posao u kome tn i neprestano da učestvujete. Kada prvi put nadgledate sistem, nemate s čime da poredite rezultate. Poštc sakupite dovoljnu koli činu podataka, imačete skup podataka s kojima možete chs radite. Bi če vam potrebno nekoliko nedelja, a možda i meseci, da biste sakupili dovoljno podataka prema kojima se može definisati osnova budu ćih posmatrans Na nekim mašinama je intenzivna upotreba procesora normalna, dok je za dru^ uobi čajeno da veči deo vremena budu u neaktivnom stanju. Ako sistem ne može stabilno da sakuplja podatke, aktiviranje ogromnog broja alarma ce isl^^ samo pogoršati stvar. Prvo morate otkriti uzrok nestabilnosti a zatim podesiti praćenje i alarme da biste bliže definisali uzrok nestabilnosti.Ako je problem izazvao slab ili nikakav odziv sistema, prvo treba da pokrenete Task Manager i da isklju čite poslove,aplikacije procese koji izazivaju probleme. Kada imate definisanu osnovu, brzo ćete uočiti svako odstupanje performansi. Na primer, ako primetite da se odziv servera za elektronsku poštu no ću iznenada smanjuje, možda ćete otkriti da se na serveru
nedozvoljeno koriste relejne usluge, što je otprilike isto što i švercovanje u autobusu. 0 tome bi vas mogao obavestiti objekat indikatora memorije. Vaši podaci treba da odražavaju razli čite tačke u performansama sistema. Tre-balo bi da uo čite šta je za server normalno ponašanje. Na primer, primetili smo da klijentov server za elektronsku poštu ima malo RAM-a i da troši mnogo prostora na disku. Kada smo se o tome raspitali kod nadležnih u sektoru za informatiku, oni su nam odgovorili da je to «normalno" za to doba dana kada se odvija replikacija usluga. Važno je da imate evidentirane donje, prose čne i gornje granice za odredene resurse i dogadaje. Serveri koji obezbeduju komuniciranje u realnom vremenu dobri su primeri servera na kojima bi neprestano trebalo nadgledati ove granice.
Neka podaci koje ste proglasili osnovom stalno budu lako dostupni na serveru. Ti podaci mogu da se čuvaju na Clipboardu ili u dnevniku u koji lako možete umetati podatke. To će omogudti i da drugi operateri nadgledaju server i odrede šta se može smatrati normalnim. Ne očekujte da na početku dobijete bilo kakav zna čajan uvid u performanse sistema, jer će osnova koju ste formirali definisati samo tipične očekivane vrednosti i to u sistemu u kome nema problema.
Administriranje mreža Praćenje uskih grla Kao što smo već rekli u ovom poglavlju, kada performanse sistema odstupaju od uobi čajenih (definisanih
osnovom), pojavljuju se uska grla. Tada je korisno da imate smernice; tabela 24-1 sugeriše vrednosti pragova za minimalan skup si.stem-skih indikatora. Ove vrednosti se preporučuju za minimalni skup performansi koje je potrebno pratiti. Neke od ovih opcija mogu da odstupaju od navedenih a da i dalje budu zad voljavaju će za vaš server. Lista koja sledi sadrži dodatne napomene (numerisain prema tabeli 24-1): • Smernica 1: Prag od 15% za slobodan prostor može da bude previše nizak.
aplikacija. Terminalske usluge su mnogo zahtevnije - neop-hodno je stalno nadgledanje njihovih performansi. Najviše korišćeni resursi na ovim serverima su memorija i procesor. Objekti koji se nadgledaju su Cache, Memory, Processors i System.
Administriranje mreža Ovi serveri mogu da stvaraju uska grla na mreži i obi čno prekomerno koriste procesor. Mogu previše da opterete i udaljeni ra čunar na koji su povezani. Razmislite o nadgledanju sledećih objekata: System, Server, Processor i Network Segment. • Serveri baza podataka; Diskovi i procesori su najopterećeniji resursi na serve-rima baza podataka. Moglo bi se pomisliti da je raspoloživa memorija resurs koji je najviše optere ćen, ali nije tako jer najnaprednije tehnologije servera baza podataka, na primer SQL Server 2000, drže samo mali deo «vrućih" poda-taka u memoriji (keširanjem zapisa) za ve ćinu upita. Za servere baza podataka (SQL 2000 i Oracle) prvenstveno su vam potrebni brzi diskovi. U objekte koje treba nadgledati spadaju: PhysicalDisk, LogicalDisk, Processor i System. • Upravljači domena: Upravljači domena mogu da troše mnogo raznih resursa: procesore, diskove, memoriju i mrežu. Trebalo bi da pratite objekte Memory, CPU, System, Network Segment i Network Interface, te objekte koji su indika-tori protokola, kao što su TCP, UDP, IP, NBT, Connection, NetBEUI, NetBIOSi tako dalje. 1 objekti kao što su NTDS usluge aktivnog imenika i objekti usluge Site Server LDAP takode se mogu nadgledati. 1 WINS i DNS imaju korisne objekte koji se mogu posmatrati. • Serveri datoteka i štampača: Ovi serveri troše mnogo prostora na čvrstom disku i mnogo mrežnih resursa. Intenzivna upotreba boja i grafi čka vizueliza-cija (poglavlje 23) mogu da preopterete CPU. Nadgledajte objekte Processor, Memory, Network Segment, PhysicalDisk i LogicalDisk. Možete da pratite i objekat PrintQueue kako biste otkrili uzrok problema pri štampanju u dato-teku, na primer. • Serveri elektronske pošte: Serveri elektronske pošte, na primer Exchange, koriste CPU, diskove, a najviše memoriju. Možete da pratite kolekciju memo rije, Cache, Processor, System, PhysicalDisk i LogicalDisk. Server Exchange se isporu čuje sa specijalizovanim indikatorima. • Web/Intemet infonnacioni serveri: Ovi serveri mnogo troše disk, keš i mre-žne komponente. Razmislite o nadgledanju objekata Cache, Network Segment PhysicalDisk i LogicalDisk. • Serveri za rezervne kopije:
Opterećenje izazvano nadgledanjem performansi
Nadgledanje performansi zahteva resurse, a to nepovoljno uti če na podatke koje pokušavate da sakupite. Zbog toga treba nastojati da se smanji uticaj nadgledanja performansi. Postoji nekoliko tehnika koje možete primeniti da biste opterečenje izazvano nadgledanjem sveli na minimum: • Aplikacija System Monitor može da bude zahtevna u pogledu resursa. Možeh koristiti dnevnike umesto grafičkog prikazivanja, a potom da podatke uvezetc u programe za generisanje izveštaja i rad s bazama podataka. Čuvajte dnev-nike na medijima za čuvanje podataka koji nisu predmet nadgledanja, ili na čvrstom disku koji nije predmet analize. Pri tome pazite da dnevnici ne budi preveliki. Podesite kvote i držite korišćenje diska na oku. • Nemojte istovremeno koristiti veliki broj indikatora. Neki indikatori su zahtevni i mogu mnogo da povećaju opterećenje, što može da bude kontra produktivno. Osim toga, teško je nadgledati odjednom više stvari. Podatke o tome šta svaki indikator koristi na ći čete u Windows 2003 Resource Kitu. • Često sakupljanje podataka takode može mnogo da pove ča opterečenje. Microsoft za sakupljanje podataka preporučuje interval od 10 minuta. • lako treba da vodite ra čuna o razumnoj upotrebi resursa, morate i dalje da nadgledate vršne periode korišćenja da biste dobili najbolju procenu kori-šćenja resursa. Nema smisla nadgledati neaktivan sistem. • Razmotrite mogučnost daljinskog nadgledanja. Daljinsko nadgledanje omogu čava centralizovano sakupljanje podataka. Možete takode sakupljati podatke s nekoliko servera i sa čuvati podatke na lokalnoj mašini. Imajte na umu narodnu poslovicu ,,Ko ne plati na mostu, plati če na ćupriji". Zahtevi za propn sni opseg mreže su ve ći ukoliko je veći broj podataka koje sakupljate i u česta nost s kojom ih skupljate. Razmislite o tome da broj servera u nadgledanim grupama ne bude ve ći od 10 do 15. Da biste uve ćali mrežni propusni opseg, snimajte udaljene podatke u dnevnike na udaljenom serveru i potom ih ili kopirajte na lokalni računar ili ih daljinski nadgledajte.
Administriranje mreža XIII čas
Daljinsko povezivanje na mrežu (RAS servis)
13.1 Povezivanje klijenata na Windows 2003 Server
Pošto su kreirani korisnici i dodeljena prava, potrebno je povezati klijente na server. Ovde će se povezati radne stanice sa DOS, Windows 98 i Windows XP operativnim sistemom. 13.1.1 Povezivanje DOS radnih stanica
U ranijim verzijama Windows operativnih sistema, postojali su razni alati za podizanje mreže. Naravno, ovi alati su izostavljeni sa pojavom Windows 2000 sistema. Postavlja se pitanje zašto je to tako. Prvi razlog je taj da je Microsoft DOS proglasio za „nepodržani“ operativni sistem. To zna či da ukoliko korisnik traži tehničku pomoć za povezivanje DOS radne stanice na Windows 2000/2003 operativni sistem, ostaće uskraćen iste. Drugi razlog za nedostatak DOS alatki na Windows 2003 Server CD-u je što postoje poboljšane verzije metode za instalaciju. U DOS-u nije moguće otvoriti CD drajv, staviti CD i pokrenuti instalaciju. Umesto toga, potrebno je ubaciti disketu sa drajverima za CD drajv, instalirati ga, pa tek onda se povezati na izvor instalacije. Uglavnom za priklju čenje DOS radne stanice na Windows 2003 server, potreban je instaliran DOS operativni sistem sa najmanje tri komponente: config.sys koja učitava drajvere za mrežnu karticu autoxec.bat, ili config.sys koje učitavaju program za upravljanje mrežnim funkcijama alatke za rad u komandnoj liniji koje izvršavaju komande na mreži, kao što je NET.EXE Fokusiraćemo se na treću komponentu, program NET.EXE, tj, na tri glavne funkcije NET komande. Prva je LOGON koja klijenta prijavljuje na domen. Da bi se korisnik prijavio na domen sa korisni čkim akreditivom koji je već definisan, ukucava se NET LOGON STUDENTI/ DOMAIN:VTS . Ovo je, dakle, prijavljivanje sa korisničkim imenom STUDENTI , na domen VTS . Adresa domena je ime domena nižeg nivoa, a ne novo, puno ime domena vts.ni.edu.yu, jer DOS ne prepoznaje ovaj tip imena domena. Sledeća funkcija je VIEW . NET VIEW je naredba mnogo važnija za DOS klijente nego za bilo kog drugog. Ovo je zbog toga što DOS nema čitač koji bi mogao da prikaže jednostavnu listu resursa na mreži. Umesto toga, resursi se moraju pronaći pomoću naredbe NET VIEW . Postoje dva načina za fokusiranje VIEW naredbe. Prvi je domen. Na primer, ukucavanje NET VIEW /DOMAIN:VTS će obezbediti listu servera koji su registroani na VTS domen. Iz ove liste, može se usmeriti naredba VIEW na odreĎeni server sa listom zajedničkih resursa. Ukoliko bi želeli da vidimo sve zajedni čke resurse na serveru VTSSERVER trebalo bi da su ukuca NET VIEW \\VTSSERVER. Sada kada je prona Ď jen ciljni zajednički resurs, koji je, u stvari, APPS u domenu VTS , potrebno je povezati se sa njim. U stvari, može se uraditi dosta toga, koristeći programe i štampače putem NET interfejsa, tako da je potrebna i oznaka za drajv ili port na koji se treba povezati. Unosi se USE . Ukoliko je potrebno usmeriti se na drajv D: sa izlistanim serverom i zajedni čkim resursom, ukucava se NET USE D: \\VTSSERVER\APPS . Ova naredba mora da bude u UNC formatu: \\imeservera\zajednič kiresurs. Slično, ukoliko se želi da se usmeri na LTP1 port za štampač zajedničkog štampača iz domena VTS sa imenom CANON, trebalo bi ukucati NET USE LTP1: \\VTSSERVER\CANON . TakoĎe, postoje i druge NET funkcije vredne pomena. NET LOGOFF odjavljuje korisnika sa domena na koji je prijavljen. NET TIME \\VTSSERVER sinhronizuje sat na radnoj stanici sa onim na serveru. NET PASSWORD /DOMAIN: VTS STUDENT staralozinka novalozinka menja staru lozinku korisnika STUDENTI u novu. 13.1.2 Povezivanje Windows 98 radnih stanica
Povezivanje Windows 98 radnih stanica na mrežu se može vrlo lako obaviti. Pretpostavlja se da se ima Plug and Play kojim se eliminišu sve sumnje vezane za instaliranje mrežnih kartica, a umrežavanje se predstavlja kao bitna mogućnost radne stanice. Drugim re čima instaliranje i konfigurisanje svih mrežnih komponenti ne zahteva više rada i znanja nego što bi bilo potrebno klijentima da sami obave instaliranje. Teoretski, instaliranje komponenti za mrežu u Windows-u 98 i napraviti ih sposobnim za komunikaciju sa serverom je lako. Za po četak, pretpostavlja se da je radna stanica potpuno opremljena i da radi pod operativnim sistemom Windows 98 i da nema instalirane komponente. Po činje se u Network Control Panel -u (selektuje se Start SettingsControl Panel , a zatim se otvori Network aplet). Trebalo bi da se vidi jedan prazan okvir za dijalog za konfigurisanje, kao što je prikazano na slici 6.1.
Administriranje mreža
Potrebno je imati najmanje jedan tip klijenta za umrežavanje, najmanje jedan protokol i najmanje jedan mrežni adapter. Dodatno, mogu se dodati usluge, kao što su zajedni čki fajlovi i zajedničko štamanje. Pošto verovatno ništa od ovoga ne postoji pritisne se dugme Add . Sada će Windows pitati koja se vrsta komponente želi instalirati (slika 6.2).
Počinje se sa dodavanjem adaptera. Iz liste sa tipovima komponenti, selektuje se adapter , zatim se pritisne Add još jednom, kako bi se otvorio okvir za dijalog prikazan na slici 6.3.
U okviru za dijalog Select Network Adapters , videće se sa leve strane lista proizvo đača adaptera, a sa desne strane odgovaraju ći adapteri. Izabere se odgovarajući adapter i pritisne se OK . Ukoliko se adapter ne nalazi na listi, potrebno je kliknuti na dugme Have Disk i locirati odgovarajuće drajvere za adapter. Nakon brzog kopiranje jednog ili dva fajla, ponovo će se pojaviti aplet Network Control Panel . Adapter je beskoristan bez klijenta kome će biti dodeljen i protokola pomoću koga će komunicirati. Windows ovo zna i da bi olakšao, on sam instalira skup unapred odre Ďenih vrednosti. U Windows 98 kao što se može videti na slici 6.4, uzima se
Administriranje mreža Client for Microsoft Network , i jedino je dostupan protokol TCP/IP . Iz odgovarajućih razloga TCP/IP je automatski konfigurisan da koristi DHCP . Ukoliko je potrebno ovo promeniti, kako bi se konfiguracija prilagodila odgovarajućem okruženju, može se izabrati protokol iz Network Control Panel -a, a zatim da se selektuje Properties. Kao što je prikazano na slici 6.4, kao dodatak tabulatoru Configuration, naći će se dva dodatna tabulatora u Network Control Panel -u. Posebno treba obratit pažnju na tabulator Identification, koji je prikazan na slici 6.5.
Kao što se može videti ime novog ra čunara je Student1. Ime računara mora da bude jedinstveno, baš kao na Windows 2000/2003 računarima. Radna grupa je VTS . Za razliku od Windows NT-a, Windows 98 ra čunar ne mora da pripada domenu, da bi mogao da se prijavi na taj domen. Ovo omogućava da se bude u jednoj radnoj grupi, a da se bude prijavljen na bilo koji domen. Ide se na tabulator Configuration, Network Control Panel -a, gde se mogu ozna čiti svojstva Client for Microsof Network klijenta, ili duplim klikom miša, ili tako što će se selektovati, a zatim izabrati opciju Properties. Videće se okvir za dijalog na slici 6.6
Štiklirajući opciju Log on to Windows NT domain, saopštava se radnoj stanici da se verifikacija obavlja sa korisničim nalogom zvaničnog domena, pre nego što se u Ďe u operativni sistem. U okvir Windows NT Domain, unosi se domen gde se nalazi korisni čki nalog. Od ovog trenutka, dobiće se okvir za dijalog sa zahtevom za prijavljivanje na mrežu, uvek kada se podiže operativni sistem radne stanice. Promena lozinke je, takoĎe, jednostavna. Ukoliko lozinka nestane dobi će se poruka, zajedno sa posebnim okvirom za dijalog u kome će se izmeniti (slika 6.7). Sada, kada je radna stanica priklju čena na mrežu, potrebno je prona ći i povezati se sa resursima koji će dovesti do mreže. Resursi se pronalaze tako što se dva puta klikne na ikonicu Network Neighborhood na Desktop-u ( Network Neighborhood je prikazan na slici 6.8).
Administriranje mreža
Ono što se traži u Network Neighborhood -u je lista za pretraživanje radne grupe ili domena, ukoliko je ime isto. Duplim klikom server otkriva listu zajedničkih resursa na njemu. Zatim se može videti da je jedini zajednički resurs Windows (ukoliko postoji bilo koji zajedni čki štampač, on će takoće, biti vidljiv ovde). Može se pretraživati i dublje unutar fajlova i potfascikli zajedničke fascikle, ili usmeriti drajv direktno do zajedni čkih resursa, tako što se desnim tasterom klikne na zajednički resurs i izabere se Map Network Drive. Kako bi se priključili na štampač, treba izabrati Start Settings Printers; tamo izabrati Add Printer i selektuje se resurs. Postoji još jedna karakteristika za Windows 98 klijente. Na Windows 2003 CD-u pod direktorijumom Clients je direktorijum Win9X . U njemu će se naći samo jedan izvršni fajl, koji instalira Directory Service Clients za Windows. Ovaj Directory Service Clients omogućava Windows 9x klijentu da vidi novi Active Directory u Windows-u 2000/2003. Instalira se jednostavnim kliktanjem dugmeta Next , a nakon toga se restartuje računar. Nema konfigurisanja i nema nikakvog selektovanja. Sada postoji instaliran Aktivni direktorijum. On donosi nove alate ali nema novoinstaliranih programa. Najvažnije su nove opcije i mogu ćnosti u meniju Find u Windows Explorer -u. Predhodno u File Menu-ju nije bila dostupna mogućnost Printers. Druga nova opcija je integrisana sa novom verzijom Windows Adress Book -a; ona omogućava da se prona Ďu ljudi koji se nalaze u Aktivnom direktorijumu. ( Windows Adress Book se ažurira tokom instaliranja Aktivnog direktorijuma). Očigledno, ova kratka instalacija ne daje direktan pristup u središte Aktivnog direktorijuma, ali daje osnovne i obavezne funkcije, kako bi se Aktivni direktorijum napravio javnim resursom koji je dostupan Windows 98 klijentima. 13.1.3 Povezivanje Windows XP radnih stanica
Windows XP radne stanice su u odnosu na Windows 98 klijente, mnogo spremnije za umrežavanje. Sve osnovne komponente za umrežavanje su ve ć prisutne i uključene u osnovnu instalaciju Windows-a, tako da sada treba samo napraviti pregled kroz klju čne zahteve. Windows XP po unapred definisanom rasporedu, instalira sve potrebne komponente. Ipak ukoliko to nije slučaj, ili je iz bilo kog drugog razloga mrežna kartica ostala neistalirana, treba uraditi slede će. U Control Panel -u, treba duplim klikom odabrati ikonu sa nazivom System. Potom se pojavljue okvir System Properties gde treba izabrati karticu Hardware/Device Manager . Pojaviće se lista svih instaliranih komponenti u sistemu. Pored mrežnog adaptera (ukoliko nije instaliran kako treba), staja će uzvičnik. Duplim klikom na mrežni adapter se otvara Properties za taj adapter, gde se otvara Wizard za instalaciju adaptera. Potrebno je re ći Reinstall Drivers i korisnik će biti upitan da izabere neki od ponu Đenih adaptera ili da navede lokaciju gde se nalazi odgovaraju ći drajver klikom na opciju Have Disk (slika 6.9). Očigledno, osnove umrežavanja se nalaze u mrežnom adapteru, pa će se instalacijom adaptera instalirati i sve ostale potrebne komponente (slika 6.10).
Administriranje mreža
U stvarnom svetu server će u 99% slučajeva imati statičku IP adresu. Za radne stanice, ipak će skoro uvek preovladavati smenjeni administratorski zahtevi protokola DHCP . Dakle ukoliko se dva puta klikne na Internet Protocol (sa slike 6.10) dobi će se okvir gde se treba odlu čiti hoće li radna stanica imati stati čku IP adresu ili DHCP adresu (slika 6.11). U dnu ovog ovkira stoji mogućnost podešavanja i DNS servera koji će radna stanica koristiti. Dakle ovde treba uneti IP adresu. Sve promene treba potvrditi sa OK . Ostalo je još radnu stanicu pridružiti domenu. Opet se bira u Control Panel -u ikona System, ali ovoga puta se ide na karticu Computer Name. Za pridruživanje stanice domenu u dnu ovog okvira se bira opcija Change . Pojavljuje se okvir sa slike 6.12. U polje Computer Name se unosi ime računara koje će biti i ime u domenu, dok se u polje Member Of unosi ime domena kome će stanica pripadati, vts.ni.edu.yu. Vrši se potvrda sa OK . Potrebno je resetovati računar i pri sledećem logovanju stajaće Log On prozor koji će tražiti korisničko ime i lozinku za pristup domenu. Ukoliko se ne želi pristupiti domenu unosi se korisničko ime za lokal. Sada se mogu pretraživati resursi Servera kroz My Network Places, naravno ukoliko su dodeljene odgovaraju će dozvole.
13.2 Skup RAS usluga i usluga za povezivanje putem telefonskih linija u Windowsu 2003 U ovom poglavlju obuhva ćene su usluge daljinskog pristupa koje Windows 2003 - i
klijentima i serverima - nudi za uspostavljanje veze sa udaljenim partnerima preko telefonskih linija, uključujući i povezivanje sa Internetom. Opisane su i usluge Routing and Remote Access Services (RRAS), koje omogučavaju da Windows 2003 funkcioniše kao usmeriva č i kao zaštitna barijera. Skraćenica RAS potiče od Remote Access Services, što znači skup usluga za daljinski pristup. U Windowsu 2003, RAS omogu čava da se Windows 2003 klijenti povežu s drugim sistemima radi pristupa udaljenim mrežama, uključujuči i Internet; računarima sa Windowsom 2003 omogu ćava da
Administriranje mreža budu dial-up serveri za udaljene klijente. Skup usluga Routing and Remote Access Services (RRAS) omogučava da Windows 2003 radi i kao usmeriva č. U Windowsu 2003, skupovi usluga RAS i RRAS integrisani su u jedan skup usluga. U ovom poglavlju prou čićemo koje to funkcije umrežavanja u RRAS-u omogućavaju da Windows 2003 radi kao klijent i kao server za povezivanje posredstvom telefonskih linija. U narednim odeljcima dat je pregled tih RRAS funkcija a u odeljcima iza njih pozabavićemo se protokolima, bezbednoš ću i konfigurisanjem. Daljinski pristup omogu ćava da se računar klijenta poveže sa udaljenim ra čunarom ili mrežom i da pristupa resursima udaljenog računara ili mreže kao da su lokalni. Na primer, korisnici koji su često na putu mogu da pristupaju resursima u svojoj firmi (serverima datoteka, štampačima, sistemima za razmenu pošte i drugim) sa udaljenih lokacija. Klijenti mogu da koriste usluge pristupa i za povezivanje s javnim mrežama, na primer sa Internetom. Skup usluga Routing and Remote Access Service u Windowsu 2003 obezbeduje tri primarne funkcije: • Klijent za povezivanje preko telefonskih linija (engl. dial-up client): Pomoću RRAS-a možete formirati i uspostavljati veze sa udaljenim mrežama preko telefonskih linija, uklju čujući i Internet, preko raznih medija u koje spadaju modemi, ISDN priključci, uredaji sa infracrvenim zracima, paralelni priključci, serijske veze, X.25 i ATM 2003 klijenti uspostavljaju veze preko telefonskih linija. Windows 2003 dial-up klijenti podržavaju širok spektar protokola za Kientifikaciju i drugih opcija za povezivanje o kojima ćemo detaljno govoriti u ovom poglavlju. Podrška za protokole za tunelovanje omogu čava da klijenti uspostavljaju veze sa udaljenim mrežama preko javnih mreža kao što je Internet.
Slika 13.1: RRAS omogućava da se udaljeni korisnici priključe na lokalnu mrežu • Server za povezivanje preko telefonskih linija (dial-up server): Windows 2003 server može da funkcioniše kao server za povezivanje preko telefonskih linija, čime se udaljenim klijentima omogućava da se priključe na lokalni server i lokalnu mrežu preko istih medija preko kojih ostvaruju
izlazne veze . RRAS vam može poslužiti i kao podrška za terminalske sesije klijenata jer povezanim klijentima šalje IP adrese i spaja potrebne protokole s RAS vezom. Windows 2003 podržava nekoliko protokola za proveru identifikacionih podataka i može da uporedi akreditive korisnika s lokalnim ili domenskim korisničkim nalozima a može i da koristi standardni industrijski mehanizam za proveru identiteta korisnika - RADIUS( Remote Authentication Dial In User Service). Kada uspostavi vezu, udaljeni korisnik može da pretražuje, štampa, mapira jedinice za memorijske medije i obavlja sve ostale funkcije koje omogućava lokalni server ili lokalna mreža. • Usmeravanje: Komponente RRAS-a koje služe za usmeravanje omogu ćavaju da Windows 2003 server funkcioniše kao usmeriva č za baratanje običnim i grupnim adresama. Windows 2003 omogu ćava filtriranje paketa, deljenje veza, usmeravanje na zahtev i nekoliko drugih funkcija koje ga čine pogodnim za usmeravanje u LAN i WAN mrežama. Windows 2003 ima i neke osobine zaštitne barijere. Iako su u Windowsu 2003 povezivanje preko telefonskih linija i usmeravanje integrisani, oni su u ovoj knjizi tretirani kao zasebne teme zbog razli čitih osnovnih funkcija. Jedna od klju čnih prednosti
Administriranje mreža Windows 2003 RRAS-a, leži u tome što je on integrisan sa operativnim sistemom Windows 2003. Na klijentskoj strani to znači sledeće: kada se veza uspostavi, klijent može da pristupa resursima na serveru kao da su lokalni (kada uspostavi vezu, daljinski pristup je za korisnika transparentan jer operrativni sistem obavlja automatski sve što je potrebno). Klijent može udaljeni deljeni resurs da pridruži oznaci lokalne jedinice za upravljanje memorijskim medijem, da štampa na udaljenim štampa čima itd. Osim u veoma retkim okolonostima, aplikacije mogu da koriste udaljene resurse neprimetno, bez ikakvog dodatnog koda, odnosno nisu potrebne nikakve izmene zbog kojih bi postale svesne RAS-a ili mreže. Na serverskoj strani integracija sa aktivnim imenikom znači da Windows 20o3 može da koristi jedinstven mehanizam za proveru identiteta korisnika i lokalno i sa udaljenih lokacija. RRAS može da uporedi podatke o identitetu sa korisni čkim nalogom na lokalnom računaru ili nalogom u domenu, a može da koristi i eksterni mehanizam kakav je RADIUS. Zahvaljuju či tome što podržava RADIUS, Windows 2003 RRAS omogućava da Windows 2003 Server funkcioniše kao mrežni prolaz za sve vrste mreža, prebacujuči posao oko identifikacije na drugi server, koji može biti koja RADIUS platforma pa i Unix server. Remote Authentication Dial-ln User Service (RADIUS) je standardan, višeplatformski protokol koji se obično koristi za proveru identiteta. Windows 2003 RRAS obezbeduje i tesnu integraciju sa aktivnim imenikom(AI). Integracija sa AI omogučava replikaciju korisnikovih parametara za daljinski pristup u koje spadaju prava pristupa, opcije za povratno pozivanje, bezbednosna strategija i drugi. Integracija u AI podrazumeva i pojednostavljeno administriranje i sve drugo što je svojstveno aktivnom imeniku. Windows 2003 podržava širok spektar komunikacionih protokola, uklju čujući Point-to-Point Protocol (PPP), Serial Line Internet Protocol (SLIP) i Microsoft RAS Protocol. Windows 2003 podržava više metoda za identifikaciju korisnika u koje spadaju: Microsoft Challenge Handshake Authentication Protocol (MS-CHAP), Extensible Authentication Protocol (EAP), Challenge Handshake Authentication Protocol (CHAP), Shiva Password Authentication Protocol (SPAP) i Password Authentication Protocol (PAI). Od mrežnih protokola podržani su TCP/IP, IPX/SPX i AppleTalk koji omogu ćava umrežavanje Microsoft, Unix i Macintosh resursa i klijenata. 13.2.1 Nove mogućnosti Windows 2003 RRAS-a Sve mogućnosti RAS-a ili RRAS-a iz Windowsa NT naći čete i u Windows 2003 RRAS. Osim toga, otkričete i da su neke mogučnosti poboljšane i da je dodato mnogo novina o kojima ćemo govoriti u
narednim odeljcima.
- Kao što smo ve ć napomenuli, Windows 2003 RRAS se integriše sa aktivnim imenikom. Ova integracija omogućava da se parametri klijenata replikuju u celoj organizaciji, što dovodi do proširenog pristupa i lakšeg administriranja. Integrisanje u aktivni imenik pojednostavljuje administriranje i tako što vam omogućava da izaberemo nekoliko servera preko konzolne alatke za baratanje RRAS-om koja ima podršku za rad sa aktivnim imenikom; na taj način obezbeđeno je da se RRAS uslugama upravlja samo s jednog mesta. Integracija u AD
Protokol za raspodelu prenosnog opsega i protokol za kontrolu raspodele prenosnog opsega
Protokol za raspodelu prenosnog opsega (Bandividth Allocation Protocol-BAP) i protokol za kontrolu raspodele prenosnog opsega (Bandwidth Allocation Control Protocol-BACP) omogućavaju daWindows 2003 RAS dinamički dodaje linije u višelinijsku PPP vezu i uklanja ih iz nje u skladu sa opterečenjem prenosnog kanala. Kada prenosni kanal postane preoptere čen, RAS može da uvede novu liniju radi usklađenja sa velikim opterećenjem i poboljšanja performansi. Kada se optere ćenje smanji, RAS može da ukloni neke linije da bi se veza ekonomi čnije koristila. BAP strategiju pode-šavate preko strategije daljinskog pristupa koju možete da primenite na pojedine korisnike, grupe ili celu organizaciju. MS-CHAP, verzija 2
Prethodne verzije RAS-a su za identifikaciju udaljenih klijenata koristile Microsoft Challenge Handshake Authentication Protocol (MS-CHAP). MS-CHAP v2 obezbeđuje veću sigurnost i podržava virtuelne privatne veze (VPN), koje omogu čavaju da daljinski klijenti uspostave zašti ćenu vezu sa privatnom mrežom preko javne mreže kakavje Internet. MS-CHAP v2 nudi nekoliko mogućnosti koje doprinose većoj sigurnosti: • Kodiranje (sifrovanje) odgovora koje se primenjuje u LAN Manageru a kojim se nekada obezbeđivala kompatibilnost sa starijim verzijama klije-nata koji koriste daljinski pristup, nije više podržano. Na taj način je povećana sigurnost. MS-CHAP v2 ne podržava više ni šifrovanje promene
lozinke iz LAN Managera iz istih razloga.
Administriranje mreža • Podržana je obostrana provera podataka o identifikaciji, čime se obezbeđuje dvosmerna provera identiteta između udaljenog klijenta i RAS servera. U prethodnim verzijama, MS-CHAP je obezbedivao samo jednosmernu proveru podataka o identitetu i nije imao mehanizam pomo ću koga bi
udaljeni klijent utvrdio da li udaljeni server zaista ima pristup njegovoj identifikacionoj lozinki. Verzija 2 omogućava ne samo da server proveri klijentov zahtev nego i da klijent verifikuje sposobnost servera da proveri njegov nalog. • MS-CHAP v2 omogu čava i bolje šifrovanje. Četrdesetobitno šifrovanje koje se koristilo u prethodnim verzijama primenjivalo se na lozinke korisnika i davalo isti ključ u svakoj sesiji. U verziji 2, osim lozinke klijenta koristi se i proizvoljan niz pomoću koga se za svaku sesiju formira druga čiji kriptografski ključ, čak i kada je korisni čka lozinka u svakoj sesiji ista.
• Koriščenjem različitih kriptografskih ključeva za različite smerove prenošenja podataka obezbeđuje se veča zaštita pri prenosu podataka. Nadogradivi protokoli za proveru podataka o identitetu Protokol za proveru podataka o identitetu (EAP) omogu čava da se metode za proveru dodaju
RAS-u a da se pri tom ne mora menjati softverska osnova RAS-a isto kao što se u NTFS 5.0 može dodati nova funkcionalnost a da se sistem za rad s datotekama ne mora menjati. EAP omogu ćava da se klijent i server dogovore o mehanizmu koji če koristiti za proveru identiteta klijenta. Trenutno EAP u Windowsu 2003 podržava EAP-MD5 CHAP ( Challenge Handshake Authentication Protocol ) EAP-TLS (Transport Level Security) i preusmeravanje na RADIUS server. Sva tri mehanizma biće detaljno objašnjena u ovom poglavlju. Podrška za RADIUS
Windows 2003 RRAS može da funkcioniše i kao RADIUS klijent, tako što prijave na sistem usmerava na RADIUS server, koji može da sadrži skup usluga Windows Authentication Service (uključen i u Windows 2003) koji se izvršava na istom ili i drugom serveru. RADIUS server ne mora da bude Windows 2003 sistem, što omogu ćava da RRAS koristi Unix RADIUS server ili RADIUS drugih proizvodača koji možd već imate. RADIUS preporučujemo zbog njegove sposobnosti baratanja nalozima a i nekoliko proizvoda ča je razvilo uslužne programe koji omogu ćavaju integraciju sa podrškom za rad baza podataka kao što su SQL server i praćenje pristupa klijenata. Strategije daljinskog pristupa
Windows 2003 nudi administratorima znatno ve ču fleksibilnost upravljanja daljinskim pristupom korisnika i podešavanja parametara za pristup preko telefonskili linija. Windows NT RRAS je imao samo kontrolu opcija za povratne pozive a panrametri su podešavani za svakog korisnika posebno. U Windowsu 2003 i dalje možete da podešavate prava daljinskog pristupa preko korisni čkih naloga, kao i u Windows 2000 RRAS-u, ali možete da koristite i strategiju daljinskog pristupa pomo ću koje definišete parametre za jednog ili više korisnika. Strategija daljinskog pristupa omogućava da fino podešavate parametre korisnika i opcije kao što su dozvoljeno vreme pristupa, maksimalno trajanje sesije, identifikaciju, bezbednost, BAP strategiju itd. Podrška za Macintosh klijente Windows 2003 omogućava daljinski pristup Macintosh klijentima jer on podržava funkcionisanje AppleTalka preko PPP-a za Macintosh klijente. Time je omogu ćeno da se Macintosh klijenti povežu s Windows 2003 RAS serverom koriš ćenjem standardnih protokola PPP i AppleTalk. Nadziranje naloga Windows 2003 RAS doprinosi povećanju bezbednosti time što podržava nadziranje naloga, koje funkcioniše tako što se korisni čki nalog zaključava posle zadatog broja neuspelih pokušaja prijavljivanja na sistem. Ova mogu ćnost pomaže pri zaštiti od tzv. ,,napada pomoću rečnika lozinki" koje hakeri koriste za nedozvoljen pristup Ove napade izvode tako što formiraju re čnik lozinki i pokušavaju da pristupe nalogu koristeći jednu po jednu lozinku. Nadziranje podešavate preko dva parametra: broja neuspelih pokušaja pristupa pre zaključavanja naloga i koliko dugo nalog ostaje zaklju čan pre nego što se broja č
pokušaja vrati na nulu.
Konzola za baratanje skupom usluga Routing and Remote Acces Microsoft je većinu administrativnih i upravljačkih funkcija integrisao u module MMC konzole pa RRAS nije izuzetak. Konzola Routing and Remote Access omogućava da podesite RRAS server i da
ni upravljate njime. RRAS konzola služi za centralizovano upravljanje RRAS parametrima. Osim priključaka i interfejsa, mogu se podešavati i globalne opcije, parametri i RRAS strategija.
Administriranje mreža 13.2.2 Tipovi veza i protokoli u RAS-u
Windows 2003 podržava više tipova veza i mrežnih protokola za daljinski pristup i to: - Serial Line Internet Protocol - Serial Line Internet Protocol , ili SLIP, potiče iz sveta Unixa. SLIP ima ograničenu funkcionalnost jer ne podržava otkrivanje i ispravljanje grešaka. Windows 2003 serveri mogu da koriste SLIP protokol za povezivanje sa Unix serverima (i drugim serverima koji zahtevaju SLIP), ali Windows 2003 server ne podržava ostvarivanje veza posredstvom telefonskih linija preko SLIP-a. - Protokol Point-to-Point - Protokol Point-to-Point , ili PPP, standardizovana je alternativa protokolu SLIP. On nudi bolje performanse i veću pouzdanost. Za razliku od protokola SLIP, PPP je projektovan na osnovu industrijskih standarda i u suštini omogučava da se svaki klijent, kompatibilan sa PPP-om, priključi na PPP server. Windows 2003 podržava i ulazne i izlazne veze preko telefonskih linija. Na Windows 2003 RAS serveru, PPP omogučava da udaljeni klijenti koriste protokole IPX, TCP/IP, AppleTalk ili njihove kombinacije. Windows klijenti (Windows NT, Windows 9x i Windows 3.x), uključujući i Windows 2003, mogu da koriste bilo koju kombinaciju IPX-a ili TCP/IP-a, ali ne mogu koristiti AppleTalk. Macintosh klijenti mogu da koriste ili TCP/IP ili AppleTalk. PPP podržava i nekoliko protokola za identifikaciju, u koje spadaju MS-CHAP, EAP, CI SPAP i PAP. - Višelinijski protokol Point-to-Point i protokol BAP - Protokol Point-to-Point Multilink (PPMP) ili samo Multilink , omogućava kombinovanje više PPP linija tako da se dobije ve ći prenosni opseg. Na primer, možete koristiti Multilink da biste kombinovali dva analogna modema brzine 56 Kb/s i tako dobili zbirni prenosni opseg od približno 112 Kb/s. A možda čete kombinovati oba B kanala ISDN Basic Rate Interface (BRI) veze da biste dobili dvaput veći prenosni opseg. BAP poti če od engleskog naziva Bandwidth Allocation Protocol što označava protokol za raspodelu prenosnog opsega. Ovaj protokol radi u konjunkciji s Mutilink protokolom i obezbeđuje prilagodljiv prenosni opseg. Kada opterečenje prenosnog kanala postane veoma veliko, BAP omogu ćava da klijenti koriste dodatne linije čime se povećava prenosni opseg i poboljšavaju performanse. Kada se optere ćenje smanji, BAP omogućava da klijenti isključe linije zbog ekonomi čnosti (u slučaju da se linije posebno napla čuju). - Protokol Point-to-point Tunneling - Protokol TCP/IP sam po sebi ne obezbe đuje šifrovanje i zaštitu podataka, što je korisnicima koji žele da bezbedno razmenjuju podatke preko javne mreže kao što Internet, veoma značajno. Point-to-Point Tunneling Protocol (PPTP) obezbeđuje šifrovanje i kapsuliranje IP i IPX paketa u cilju bezbednog prenosa. PPTP je proširenje protokola PPP koje vam omogu čava da formirate VPN vezu (Virtual Private Network ) izmedu klijenta i servera. PPP paketi u PPTP sesiji šifruju se pomoću metode za šifrovanje Microsoft Point-to-Point Encryption (MPPE) u kojoj se kriptografski ključevi generišu primeni MS-CHAP ili EAP-TLS identifikacionog postupka. PPTP sam po sebi ne obezbe đuješifrovanje nego kapsulira ve ć šifrovane PPP pakete. Da bi se omogu čila bezbedna veza, klijent mora da koristi identifikacionu metodu MS-CHAP ili EAP-TLS. Inače PPP paketi se kapsuliraju nešifrovani (kao običan tekst). Na slici 18.2 prikazano kako PPTP kapsulira podatke. PPTP se automatski instalira kada se instalira i Windows 2003 RRAS, osim ako druga čije ne kažete.PPTP je dobar izbor za formiranje sigurne veze sa privatnom mrežom prekojavne mreže kao što je Internet, kada udaljena mreža nije konfigurisana da podržava IPSec.
Administriranje mreža
Slika 18.2: PPTP i L2TP koriste razli čite metode za kapsulaciju i šifrovanje. - Protokol Layer Two Tunneling - U protokolu Layer Two Tunneling (L2TP) sjedinjene su osobine
PPTP protokola i podrška za IP Security (IPSec) kako bi se dobila ve ća bezbednost. Za razliku PPTP-a, koji za šifrovanje koristi MPPE, protokol L2TP za šifrovanje koristi IPSec. Dakle, i izvorišni i odredišni usmeriva či moraju da podržavaju i L2TP i IPSec. Na slici 18.2 prikazano je kako L2TP kapsulira podatke. L2TP se automatski instalira prilikom instaliranja Windowsa 2003. L2TP osigurava ve ću bezbednost nego PPTP jer podržava IPSec. L2TP je bolji za formiranje VPN veza od PPTP-a kada je udaljena mreža konfigurisana da podržava IPSec. 13.2.3 Transportni protokoli Kao što smo već u ovom poglavlju
napomenuli, RRAS podržava tri mrežna protokola: TCP/IP, IPX i AppleTalk. Windows 2003 RRAS server podržava sva četiri protokola za ulazne veze. Windows 2003 klijenti podržavaju sve protokole osim AppleTalka. Kada instalirate RRAS, Windows 2003 omogučava funkcionisanje svih trenutno instaliranih protokola za ulazne i izlazne RRAS veze. Podržane protokole možete podesiti tako da klijenti mogu da pristupaju samo RAS serveru ili samo LAN-u. Pristup podešavate za svaki protokol posebno. TCP/IP : Kao protokol za uspostavljanje izlaznih veza preko telefonskih linija, TCP/IP omogućava da Windows 2003 klijente povezujete s gotovo svim TCP/IP mrežama uklju čujući Internet. IP adresu, masku podmreže, podrazumevani mrežni prolaz i ostale parametre za izlazne veze možete da dodelite statički ili da ih prepustite udaljenom serveru. Kao protokol za ulazne veze, TCP/IP omogu ćava da se svaki klijent koji podržava i TCP/IP i PPP poveže sa Windows 2003 RAS serverom. Adrese možete dodeljivati iz statičkog prostora adresa ili to, kao i podešavanje ostalih svojstava udaljenih klijenata, možete prepustiti DHCP-u. Osim toga, ostavljena je i mogu čnost da klijenti zahtevaju IP adresu koje su unapred definisane na klijentskoj strani. IPX : IPX protokol se primarno upotrebljava u okruženjima u kojima se koriste Novell NetWare klijenti ili serveri. IPX omogućava da Windows 2003 RAS serveri budu umreženi s NetWare serverima i da klijenti pristupaju NetWare resursima preko RAS veze. Windows 2003 RAS server na kome je istaliran IPX služi i kao IPX usmerivač koji upravlja RIP, SAP i NetBIOS saobračajem između lokalne mreže i udaljenih klijenata. Osim što moraju da koriste IPX protokol, udaljeni klijenti moraju da imaju i NetWare preusmerivač. Server mora da koristi protokol kompatibilan sa IPX-om, SPX-om ili NetBIOSom. Windows 2003 RAS server za povezivanje klijenata koristi IPX mrežne brojeve i brojeve čvorova. Server može automatski da generiše IPX mrežni broj, ili da ga uzme iz stati čkog adresnog prostora koji je definisao administrator (isto kao za TCP/IP). Ako se brojevi dodeljuju dinamički, server prvo mora proveriti da li se taj broj već koristi, pa tek onda dodeljuje broj svim klijentima koji ostvaruju daljinski pristup. Dodeljivanje istog mrežnog broja svim klijentima smanjuje učestanost RIP emitovanja s RAS servera.
Administriranje mreža AppleTalk : Protokol Apple Talk koriste
Macintosh klijenti. Windows 2003 RAS podržava Apple Talk da bi se udaljeni Macintosh klijenti mogli priklju čiti na server i pristupati njegovim deljenim resursima ili drugim AppleTalk klijentima u mreži. Da biste mogli da koristite AppleTalk za povezivanje preko telefonskih linija, morate da instalirate AppleTalk protokol na RAS server. 13.3 Omogućavanje pokretanja RRAS-a i njegovo podešavanje Iako će i RRAS biti automatski instaliran kada instalirate Windows
2003, morate omogu čiti njegovo funkcionisanje da biste mogli da ga konfigurišete i koristite. Da bi to uradili, izaberite Start>All Programs>Administrative Tools>Routing and Remote Access - otvoriće se RRAS konzola. Pritisnite desnim tasterom server u levom uglu i izaberite Configure and Enable Routing and Remote Access da biste pokrenuli čarobnjaka RRAS Setup. RRAS za određene primene možete podesiti automatski (pomoću čarobnjaka) ili ručno. Ako omogućite pokretanje RRAS-a i izaberete da ga podesite ru čno, a kasnije odlučite da ipak pokrenete čarobnjaka, izgubićete tekuće konfiguracione parametre. Da biste promenili parametre pomoću čarobnjaka, otvorite RRAS konzolu, pritisnite desnim tasterom server pa izaberite Disable Routing and Remote Access . Kada se RRAS zaustavi, pritisnite ponovo server desnim tasterom pa izaberite Configure and Enable Routing and Remote Access . Čarobnjak ima pet osnovnih opcija za podešavanje RRAS-a: • Remote access (dial-up or VPN): Omogučava povezivanje udaljenih klijenata sa serverom, putem telefonske linije ili virtuelne privatne veze. • Network address translation (NAT): Omogućava usluge prevodenja mrežnih adresa klijentima u privatnim mrežama, kojima je potrebno povezivanje sa Internetom. • Virtual private network (VPN) access and NAT: Omogućava podršku za povezivanje klijenata sa serverom preko virtuelnih privatnih veza putem Interneta i povezivanje sa Internetom klijenata u lokalnim mrežama, koji su zaštičeni mehanizmom NAT. • Secure connection between two private networks: Uspostavlja vezu preko telefonske linije na zahtev ili trajnu vezu, pri čemu server ima ulogu usmeriva ča. • Custom configuration: Omogućava vam da izaberete pojedina čne usluge RRAS-a, kao što su prevodenje mrežnih adresa, usmeravanje u LAN mrežama i pristup preko virtuelne privatne veze. 13.4 IP usmeravanje
Osim u posebnim privatnim mrežama, usmeravanje ima zna čajnu ulogu i u TCP/IP-u. Usmeravanje omogućava da paketi poslati ka spoljnim podmrežama stignu do odredišta i da mrežni saobraćaj sa udaljenih mreža stigne do vaše mreže. Windows 2003 sadrži uslugu Routing and Remote Access (RRAS), koja omogućava da server funkcioniše kao namenski usmerivač ili usmerivač koji radi na zahtev-veza se uspostavlja samo po potrebi. U ovom odeljku se razmatra IP usmeravanje i, posebno, RRAS-ovi elementi za usmeravanje. Usmerivač (router) radi zajedno s drugim delovima mrežnog hardvera, kako bi se mrežni saobraćaj usmerio ka odredištu. Na primer, kada u kancelariji otvorite čitač Weba i potražite novosti na stranici www.foxnews.com,vaš mrežni usmeriva č usmerava saobraćaj ka Internetu. U tom trenutku, drugi usmerivači vode računa o kretanju saobra ćaja ka toj stanici i vraćanju odgovora. Drugi primer je uspostavljanje veze sa ISP-om od ku će, preko telefonske linije. Jedan ili više usmeriva ča tog ISP-a povezuje svoju mrežu sa Internetom i upravlja mrežnim saobračajem ka računarima, odnosno od ra čunara povezanih korisnika. Usmeriva č se obično nalazi na granici izmedu dve ili više podmreža. Ta granica je poznata pod nazivom preskok (hop). Svaki put kada paket prođe kroz usmerivač, uvećava se broj preskoka. Usmerivači postoje na svim podmrežama sa kojima je preskok povezan, tako da je povezan sa svakom podmrežom. Kada saobra ćaj stigne u usmerivač iz određenog interfejsa, usmerivač ga usmerava ka odgovarajućem interfejsu. Ako usmerivač prepozna da je broj preskoka paketa, na putu do odredišta, preveliki - prenos paketa prekida, a pošiljaocu če biti poslata povratna poruka da je isteklo vreme prenosa paketa. Taj zaštitni mehanizam spre čava beskonačno prenošenje po Internetu podataka koji ne mogu biti usmereni ka jednom interfejsu. Na ve ćini usmerivača, broj preskoka je ograni čen na 30. Usmeriva č ispituje svaki paket koji u njega ulazi, kako bi utvrdio odredišnu mrežu paketa. To se postiže ispitivanjem odredišne adrese u zaglavlju paketa. Zatim usmeriva č odlučuje koji če od svojih interfejsa koristiti za usmeravanje saobraćaja i aktivira slanje. Pretpostavimo da jedan usmeriva č ima tri interfejsa: jedan za lokalnu mrežu, jedan za drugu lokalnu mrežu i tre ći za povezivanje sa Internetom. Neka je prva lokalna mreža (A) u podmreži na adresama od 208.141.235.33 do 208.141.235.62 a druga lokalna mreža (B) koristi adrese od 208.141.235.129 do 208.141.235.158. Paket stiže u usmeriva č iz podmreže A sa
Administriranje mreža odredišnom adresom 208.147.235.137. Usmeriva č usmerava paket kroz interfejs povezan s podmrežom B. Stiže drugi ulazni paket sa odredišnom adresom 205.135.201.130, tako da usmeriva č šalje taj paket kroz interfejs povezan sa Internetom, pošto adresa ne pripada nijednoj lokalnoj podmreži.Usmeriva či koriste tabele putanja-routing tables koje sadrže putanje-routes za određivanje destinacije paketa. Putanje omogućavaju usmerivaču da odredi relativne lokacije različitih mreža u odnosu na svoje interfejse, tako da može poslati pakete ka odgovaraju ćem interfejsu, kako bi stigli do pravog odredišta. Putanje u tabeli putanja pripadaju jednom od sledečih tipova: • Mrežna putanja (network route) daje putanju za odre đeni ID mreže i, na taj na čin, za sve adrese računara unutar te mreže. • Putanja ka računaru (host route) daje putanju do određenog računa definišući adresu mreže i adresu tog računara. • Podrazumevana putanja (default route) koristi se za usmeravanje saobra ćaja za koji ne postoji ni mrežna putanja, ni putanja ka ra čunaru. Na primer, usmerivač za povezivanje lokalne mreže sa Internetom imao bi podrazumevanu putanju koja usmerava saobra čaj ka interfejsu Interneta. Opšta svojstva svake putanje u tabeli putanja su: • ID mreže/adresa računara/maska podmreže: Ova svojstva identifikuju ID odredišne mreže ili adresu računara i odredišnu podmrežu. Usmeriva č upoređuje odredišne adrese u paketima s vrednostima ovih svojstava. Ako adresa paketa ispunjava kriterijum, za obra đivanje tog paketa usmerivač koristi adresu na koju se paket prosle đuje i podatke interfejsa, pridružene putanji. • Adresa za prosleđivanje: Usmerivač prosleđuje pakete koji ispunjavaju uslove na tu adresu. To može biti adresa drugog usmeriva ča ili mrežnog interfejsa lokalnog usmeriva ča (izlazni saobraćaj se usmerava na određeni priključak usmerivača). • Interfejs: Ovo je broj ili logički identifikator priključka, preko koga se saobra čaj usmerava na datu putanju. • Metrika: Određuje relativnu cenu putanje, na osnovu troškova, raspoloživog prenosnog opsega i tako dalje.Ako postoji više putanja za jednu mrežu ili ra čunar, koristi se ona sa najnižom metrikom. Kada paket stigne u usmeriva č, on traži odredišnu adresu iz zaglavlja paketa i prema tabeli putanja određuje putanju paketa. Ako usmeriva č pronađe putanju koja odgovara odredišnoj adresi, on šalje paket koristeči adresu za prosleđivanje pridruženu toj putanji. Ukoliko usmeriva č ne pronađe odgovarajuču putanju, paket se prosleđuje po podrazumevanoj putanji (ako je takva putanja definisana za usmeriva č). Podrazumevana putanja se koristi za obradu mrežnog saobra čaja kad god ne postoji posebno definisana putanja. Kako usmerivači pronalaze svoje putanje? Jedna metoda je dinami čko prepoznavanje putanja drugih usmerivača i prenošenje putanja drugim usmeriva čima. Usmerivači komuniciraju primenom protokola za usmeravanje, a dva najčešće korišćena u IP usmeravanju su Routing Information Protocol (RIP) i Open Shortest Path First (OSPF). Windows 2003 podržava oba navedena protokola (može podržati i dodatne protokole). Druga metoda je da usmerivači koriste statičke putanje. Pri podešavanju usmerivača napravite statičku putanju, čime se tabeli putanja dodaje odgovaraju ča stavka. Usmerivač može upravljati celokupnim saobračajem primenom statičkih putanja, što je uobičajeno u malim i srednjim organizacijama. Na primer, ako se povezujete samo s malim brojem podmreža na Internetu, statičke putanje se mogu koristiti za obradu celokupnog saobra ćaja, pri čemu podrazumevana putanja rešava problem saobraćaja ka Internetu. Protokol RIP Prednost RIP-a, jednog od dva protokola koji se u Windowsu 2003 koriste za usmeravanje IP saobračaja, jeste relativno jednostavno podešavanje. Protokol RIP je pogodan uglavnom za male i srednje poslove, pošto je 15 gornja granica broja preskoka. Svaku adresu udaljenu više od 15 preskoka RIP smatra nedostupnom. Kada se prvi put pokrene usmerivač koji koristi RIP, njegova tabela putanja sadrži putanje samo za fizički povezane mreže. RIP periodi čno emituje poruke stavkama tabele putanja, tako da susedni usmerivači mogu prema tome podesiti svoje putanje. Pošto se usmeriva č startuje, on koristi poruke RIP-a susednih usmeriva ča kako bi ponovo sklopila svoju tabelu putanja. Protokol RIP koristi i aktivirane izmene tabela putanja. One se dešavaju kad usmeriva č otkrije u mreži neku promenu, kao što je početak ili kraj rada interfejsa. Aktivirane izmene se odmah emituju. Po prijemu izmene, usmerivači menjaju s tabele putanja i prenose promene susednim usmeriva čima. Windows 2003 podržava verzije 1 i 2 protokola RIP. U verziji 2 postoje dodatne mogućnosti, kao što su bezbednost ravnopravnih članova i filtriranje putanja. Protokol OSPF Protokol OSPF daje efikasne na čine za rešavanje problema usmeravanja veoma velikim mrežama, kao što je Internet. OSPF koristi algoritam za izra čunavanje najkraćeg puta između
Administriranje mreža usmerivača i susednih mreža. Usmerivači s tim protokolom održavaju bazu podataka o vezama ( link state database) koja sadrži podatke o me đusobno povezanim mrežama. Ta baza podataka se menja kad god se promeni topologija mreže. Susedni OSPF usmerivači usaglašavaju svoje baze podataka i prema tome menjaju i tabele putanja. Zbog svoje mogu čnosti prilagođavanja, OSPF je posebno pogodan za velike mreže. Podešavanje ovog protokola je složenije. Ako imate veoma veliku mrežu OSPF može biti dobar izbor za potrebe usmeravanja. U slu čaju manjih mreža, razmotrite primenu RIP-a. Kad povezujete malo mreža, najbolje i najjednostavnije rešenje mogu biti statičke putanje. Usmeravanje pomoću RRAS-a - Osim pružanja usluga daljinskog pristupa koje omogučavaju da se Windows 2003 ponaša i kao server i kao klijent za povezivanje preko telefonske linije, RRAS omogućava Windowsu 2003 da funkcioniše kao usmeriva č i za neprekidne veze i za veze koje se uspostavljaju na zahtev klijenta. Na primer, neka kompanija ima dve cecine koje povremeno moraju da prenose podatke između mreža. S obzirom na cenu, izme đu te dve mreže nije pogodna ni iznajmljena telefonska linija, ni direktna Internet veza, tako da se može definisati usmeriva č koji se na zahtev povezuje s drugim usmeriva čem (na primer, preko telefonske linije) kad god treba usmeriti saobra ćaj ka drugoj mreži. Sve funkcije koje podržava RRAS Windowsa 2003 zahtevaju usmeravanje. Ako konfigurišete RRAS server pomoću čarobnjaka, na tom serveru će biti omogućeno i usmeravanje. 13.5 Prevođenje mrežnih adresa
RRAS Windows Servera 2003 servera nudi kompletnu uslugu prevodenja mrežnih adresa ( Network Address Translation , NAT). Prevođenje mrežnih adresa nije novo a nastalo je iz potrebe da se znaju IP adrese čvorova. S obzirom na brzinu rasta Interneta, prakti čno je nemoguce dobiti širok opseg IP adresa, pogotovu ako ste mala firma. Davalac Internet usluga dodeliće vam do šesnaest adresa opsega C posle čega čete trošiti mnogo novca na namenske Internet usluge da biste dobili onoliko adresa koliko vam treba. Mnoge male firme koriste ADSL linije (engl. Asymmetric Digital Subscnber Lnies) koje su jeftinije a često i brže od namenskih veza ka Internetu, na primer od veza Frame Relay ili ISDN-a. Me đutim, davalac Internet usluga će vam dodeliti mali opseg adresa (nekada i samo jednu IP adresu). Ako nameravate da instalirate odreden broj čvorova na svojoj internoj mreži, na primer DNS, mail, Active Directory Web, FTP i treba da usmeravate Internet saobra ćaj ka tim čvorovima, biće van potreban uredaj za prevodenje mrežnih adresa, NAT Server. Skup usluga NAT uklju čen u Windows Server 2003 namenjen je malim firmama ili za kucnu upotrebu. Veće firme će verovatno koristiti zaštitnu barijeru sa NAT uslugama ugrađenim u tehnologiju provere paketa. Usmeriva či, čak i za male firme, obi čno se isporučuju s podrškom za NAT. NAT ublažava potrebu za ve čim brojem IP adresa tako što preslikava spolja dodeljene IP adrese na interne ili privatno dodeljene adrese (pretvaraju ći jednu IP adresu u drugu). Ovo znači da jedna IP adresa može da se koristi za čitav opseg IP adresa na prikrivenoj mreži. Skupovi usluga Windows 2003 NAT i RRAS koriste prevo đenje mrežnih adresa i za druge stvari. NAT može da proverava dolazne pakete i imena čvorova i da iz internog DNS-a dobije IP adresu čvora. NAT zatim usmerava pakete pristigle na javnu adresu internim čvorovima i, prema pravoj usluzi, preko priključaka za koje je podešen. Podešavanje NAT-a
Kao što smo rekli na početku ovog poglavlja, obično se internoj mreži male firme dodeljuje mreža klase B koja počinje od adrese 192.168.0.0. Naoružani IP adresama internih čvorova i IP adresama koje vam je dodelio davalac Internet usluga, pokrenite čarobnjaka RRAS Setup, da biste podesili server za prevođenje mrežnih adresa (pritisnite desnim tasterom RRAS konzolu i Configure and Enable Routing and Remote Access ). Izaberite opciju Network Address Translation, pritisnite Next i unesite slede će: • Use this public interface to connect to the Intemet. Izaberite mrežni interfejs koji je povezan sa Internetom. Interfejs ne mora biti javni - zaštitna barijera ili privatni mrežni segment može se nalaziti izmedu tog interfejsa i javnog prisustva na Internetu. • Create a new demand-dial interface to the Intemet. Izaberite ovu opciju ako ho ćete da napravite nov interfejs za Internet, koji uspostavlja vezu na zahtev. j • Enable security on the selected interface by setting up a basic firevvall. Izaberite ovu opciju da biste omogućili zaštitnu barijeru intefejsa. Uslugu prevodenja mrežnih adresa možete dodati i ru čno, ako ste prethodno omogu ćili pokretanje RRAS-a za neku drugu namenu. Primenite slede će korake da biste ru čno dodali, odnosno podesili NAT: 1. Prvo dodajte novi protokol za usmeravanje, Network Address Translation. Pritisnite desnim tasterom opciju General i izaberite New Routing Protocol. Iz hijerarhijskog prikaza (engl. tree uiew)
