4.3. Планирование схемы управления организацией, поддержка
сетей NetWare
Построение по принципу доменов
Поскольку площадки SMS строятся на основе одного или более доменов, в организации должна применяться доменная система построения сетей. В случае Windows NT, LAN Manager и LAN Server, домены этих ОС в точности соответствуют доменам SMS. Для сетей NetWare доменная архитектура не поддерживается, однако SMS ее эмулирует.
Построение иерархической модели организации
На первом этапе планирования следует провести анализ текущей структуры сетей организации и выбрать способ построения иерархии - по функциональному или территориальному принципу. Во внимание следует принимать пропускную способность линий, объединяющих подразделения, количество и вычислительную мощность компьютеров, систему доверительных отношений между доменами и наличие квалифицированного персонала на местах.
Офисы, находящиеся на значительном удалении и имеющие низкоскоростные каналы доступа, являются первыми кандидатами на выделение их в отдельные площадки. Офисы, имеющие в своем штате административный персонал и располагающие достаточными вычислительными ресурсами, целесообразно сделать головными площадками, на роль вторичных подходят отделения с небольшим количеством персонала, располагающие сравнительно маломощной техникой и не имеющие тенденции к увеличению.
Если сеть офиса целиком базируется на NetWare, может потребоваться дополнительная закупка оборудования для site-сервера или перевод одного из существующих серверов под управление Windows NT. Альтернативным решением является приобретение продуктов сторонних поставщиков, позволяющих сократить количество дополнительных серверов NT (подробнее о таких продуктах будет рассказано позднее).
Наиболее ответственным моментом является выбор центральной площадки, так как здесь должна аккумулироваться и обрабатываться информация, поступающая ото всех подразделений предприятия и выполняться централизованное управление всей структурой организации, включая изменение настроек, выполнение заданий и дистрибуция программного обеспечения.
На завершающей стадии планирования выбирается схема условного именования площадок, им назначаются уникальные трёхбуквенные коды (Site Code). Согласно правилам именования, принятым в SMS, каждый объект управления имеет уникальный идентификатор, имеющий длину 10 символов, первые три из которых однозначно определяют площадку, к которой объект относится.
Планирование площадок
Следующим шагом после анализа текущей структуры организации является ревизия схемы доверительных отношений между доменами в рамках одной площадки. Поскольку все сервисы SMS должны исполняются в едином пользовательском контексте, данный доменный пользователь должен иметь административные привилегии во всех доменах, входящих в состав этой площадки. Если внесение изменений в схему доверительных отношений нежелательно, следует пересмотреть схему иерархии организации.
Поддержка сетей NetWare
Принципы объединения серверов NetWare в домены выбираются администратором площадки на своё усмотрение. Клиентские станции автоматически добавляются в тот же домен, куда входит сервер, выполняющий сценарии входа для этих станций. На рисунке 52 приведен пример такого объединения.
Рис. 52. Объединение серверов и клиентов NetWare в домены SMS
За проведение инвентаризации серверов NetWare и управление рабочими станциями, использующими эти сервера для входа в сеть, отвечает сервис Maintenance Manager. Поскольку для выполнения своих административных функций сервис должен вносить модификации в сценарии входа, пользователь, в контексте которого этот сервис исполняется, должен иметь полные административные права на томах NetWare.
Чтобы SMS смог управлять сетями на базе NetWare, необходимо выполнение ряда предварительных условий, как-то:
- сервера NetWare должны поддерживать протокол IPX, поддержка NetWare/IP не обеспечивается;
- на сервере Windows NT должен быть установлен шлюз Gateway Service for NetWare;
- на всех серверах NetWare должны быть созданы:
- группа NTGATEWAY, принадлежащая группе EVERYONE;
- пользователь с правами "эквивалент супервизора", принадлежащий группе NTGATEWAY и имеющий те же имя и пароль, что использует SMS для выполнения своих сервисов.
В общей структуре SMS серверы NetWare могут выполнять лишь ограниченные функции по управлению клиентами, они могут выступать в роли logon- и distribution- серверов, а также накапливать информацию о клиентах, собираемую в процессе исполнения процедуры регистрации. На рисунке 53 схематично показан процесс установки программного продукта на клиентские станции через logon-серверы NetWare на вспомогательной площадке SMS.
Рис. 53. Серверы NetWare выполняют функции logon- и distribution-серверов SMS
4.4. Административная консоль SMS
В состав SMS входит мощная графическая утилита, позволяющая администратору осуществлять централизованное управление всем предприятием из одной точки - SMS Administrator. Внешний вид её приведен на рисунке 54.
Административная консоль устанавливается только на первичных площадках, так как для её работы необходимо наличие доступа к SQL Server, на котором размещена база SMS. Следует отметить, что для выполнения своих функций, администратор должен иметь привилегии DBO на базу SMS. При запуске административной консоли всегда запрашивается ввод имени и пароля для регистрации в SQL Server. Зачастую на практике для доступа к SQL Server используют имя администратора - SA, однако, когда это неприемлемо по соображениям безопасности, следует создать пользователя с соответствующими полномочиями.
С административной консоли центральной площадки может осуществляться управление всей организацией, с консоли головной площадки - управление этой площадкой и всеми площадками, находящимися ниже текущей в иерархии организации.
Рис. 54. Внешний вид административной консоли SMS
Административная консоль использует идеологию двух панелей Explorer, при выборе объекта в левой панели, в правой отображаются его свойства или объекты, которые данный объект содержит. При выборе компьютера имеется возможность просмотра его конфигурации, удаленной диагностики, запуска сетевого анализатора и открытия режима удаленной консоли.
Рис. 55. Просмотр параметров рабочей станции
За счет использования MDI-интерфейса администратору предоставляется возможность открыть дополнительные окна, содержащие сведения об объектах, определенного типа, как-то: задания, пакеты, группы и т.д. Оператор может создавать, модифицировать и удалять любые объекты в дереве организации, за исключением первичных площадок.
При управлении организациями значительных размеров зачастую бывает необходимо разделение функций между несколькими администраторами. При этом только один из них должен иметь права выполнять любые административные операции, а остальные - только разрешенные главным администратором. Для этого в состав SMS входит утилита Security Manager. Внешний вид её приведен на рисунке 56. Как видно из рисунка, для каждого администратора можно выполнить весьма тонкую настройку прав управления системой SMS.
Рис. 56. Назначение прав доступа с помощью SMS Security Manager
4.5. Управление инвентаризацией
Результаты инвентаризации хранятся в базе SMS и могут быть проанализированы как с административной консоли, как и с помощью стандартных средств доступа к данным SQL Server, такими как Access, Visual Basic и/или Excel. В состав Resource Kit для BackOffice также входит утилита Crystal Reports для получения отчетов в печатном и/или электронном виде, имеющая несколько готовых шаблонов.
Администратор имеет возможность назначить политику проведения инвентаризации, как-то: регулярность сбора информации, разрешение или запрещение по выбору инвентаризации аппаратного или программного обеспечения. На рисунке 6.57 приведен пример панели настроек инвентаризации.
За счет наличия утилиты оценки скорости сетевого соединения, есть возможность отменить выполнение инвентаризации при подключении компьютера через медленные каналы связи. Это особенно полезно для мобильных пользователей, осуществляющих удаленный доступ и регистрацию в сети. Модифицируя файлы настроек, можно задавать скоростной рейтинг сети на основе её пропускной способности.
В распоряжении администратора имеется достаточно большой набор готовых правил определения наличия и конфигурации на рабочей станции конкретного программного продукта. Однако во многих случаях требуется собирать информацию о пакетах, не входящих в стандартный комплект. В этом случае администратор может модифицировать или создать собственный файл AUDIT.RUL, содержащий правила поиска программного обеспечения на клиентской станции. На базе этого файла правил генерируется затем специальный пакет, для которого, в свою очередь, создается задание. При выполнении этого задания может собираться информация о факте наличия определенных файлов, их контрольных суммах, CRC, наличии по определенному смещению байта, слова или строки. Кроме того, можно заказать сбор и передачу определенных файлов (например AUTOEXEC.BAT, CONFIG.SYS, BOOT.INI), которые вместе с прочей информацией будут помещены в базу SMS, и дальнейшего анализа или обработки.
Рис. 57. Настройка параметров инвентаризации
Еще один способ получить дополнительную информацию о конфигурации компьютера и пользователях, которые за ним работают - это создание несложных форм с помощью программы SMS MIF Form Generator. Эти формы будут отображаться на клиентских станциях во время регистрации. Информация из заполненных форм поступает на обработку наряду с прочей инвентаризационной информацией.
4.6. Дистрибуция программного обеспечения
Программное обеспечение устанавливается на клиентские станции в виде пакетов. Доставка же и установка пакетов выполняется при помощи заданий.
При создании пакета администратор определяет назначение оного, источник получения исходных файлов и типы поддерживаемых ОС. Различают три типа назначений:
- установка программного продукта на рабочую станцию;
- установка сетевого приложения;
- инвентаризация компьютера.
Установка программного продукта на рабочую станцию
После того, как пакет создан, описывается задание на его установку, где указывается:
- на какое множество компьютеров пакет будет установлен;
- будет ли пакет пересылаться площадке, если он уже был единожды послан;
- будет ли пакет помещен на все distribution-серверы, или только на выбранные;
- какая программа будет вызываться для установки пакета;
- время, когда пакет станет доступен для установки;
- время, когда пакет станет обязателен для установки;
- время, когда пакет станет недоступен.
На рисунке 58 приведен пример создания задания на посылку игры Solitaire на машину CRIS2 в домене WEBERDOMAIN площадки 23M.
Рис. 58. Создание задания для рассылки пакета
После того как задание создано, можно назначить ему желаемые атрибуты, например, приоритет выполнения, частоту повтора; посмотреть статус исполнения и детальную информацию.
Рис. 59. Настройка параметров задания для рассылки пакета
Установка сетевого приложения
При установке пакета в режиме разделяемого сетевого приложения сначала создается задание на установку приложения на distribution-серверы площадки.
Рис. 60. Настройка параметров задания для разделяемого приложения
После этого создается новая программная группа (Program Group) с которой ассоциируется разделяемый пакет и выбираются приложения, которые из этой группы будут доступны. Затем задается список пользователей и групп операционной системы, которым будет доступна программная группа. При следующем входе в систему пользователь сможет запустить программу на исполнение.
Инвентаризационные пакеты
Как было уже упомянуто, одним из составляющих инвентаризационного пакета является набор правил для определения присутствия программного продукта на данном компьютере. Правила задаются методом комбинации выражений, оперирующих файлами, входящими в состав пакета, т.е. именами, размером, контрольными суммами, CRC, сигнатурами и т.п. В примере, приведенном ниже, производится проверка наличия на компьютере программы WinWord, для этого проверяется наличие определенных файлов и их характеристик.
(
FILE winword.exe SIZE 3483136 BYTE 10000 114 CHECKSUM 5000 100 6851
AND
FILE winword.ini
)
OR
(
FILE winword.exe SIZE 1278240 BYTE 10000 16 CHECKSUM 5000 100 8256
AND
FILE winword.ini
AND
FILE dialog.fon SIZE 15684 DATE 11/18/82
)
По завершении определения пакета он может использоваться для обнаружения программы на клиентской машине в процессе выполнения инвентаризации. Для расчета контрольных сумм и CRC исходных файлов в состав SMS входит утилита командной строки.
4.7. Мониторинг сети средствами Network Monitor
В крупной многосегментной сети при достаточно долгой её эксплуатации с большой вероятностью возникают проблемы, связанные с неправильной настройкой маршрутизаторов, серверов разрешения имен, протоколов на рабочих станциях или просто некорректно функционирующим сетевым оборудованием. Поиск такого рода неисправностей зачастую требует от администратора значительных затрат времени и усилий.
В состав SMS входит весьма полезная утилита, называемая Network Monitor и призванная облегчить работу администратора при поиске причин возникающих в сети проблем. Network Monitor позволяет анализировать сетевой трафик, получать статистику по протоколам и фреймам, наблюдать за загрузкой сети с целью выявления потенциальных ошибок в её конфигурации и наличия узких мест.
Например, анализируя пакеты, принимаемые и рассылаемые маршрутизатором IP, можно выяснить какие из рабочих станций или серверов пытаются обращаться по адресам, недоступным из этой локальной сети, и соответственно изменить конфигурацию компьютеров.
Network Monitor позволяет выполнять следующие операции:
- производить перехват пакетов и сохранение их в буфере для последующего анализа и/или модификации;
- отображение и фильтрация перехваченных пакетов по заданному условию;
- редактирование и посылка исправленных пакетов в сеть с целью моделирования определенной ситуации;
- использовать для перехвата пакетов удаленную машину Windows NT, на которой установлен Network Monitor Agent, входящий в комплект поставки, с последующим отображением и обработкой на локальном компьютере.
Перехваченные пакеты могут быть сохранены на диске для их последующего анализа или использования при моделировании той или иной ситуации. Размер буфера для хранения перехваченных пакетов задаётся администратором, по заполнении буфера перехват прекращается. Существует возможность останова перехвата или выполнения внешней программы по наступлению события: либо при заполнении буфера на заданную величину, либо при перехвате пакета, содержащего заданную сигнатуру в заголовке или теле пакета.
Network Monitor распознаёт сигнатуры большинства сетевых протоколов и сервисов, их использующих. Система установки фильтров позволяет использовать в условии фильтрации практически любое сочетание операций И/ИЛИ/НЕ для сетевых адресов, протоколов и содержимого пакетов.
Ещё одним весьма полезным свойством Network Monitor является поддержка таблиц соответствия физических адресов сетевых карт и имен их фирм-производителей, а также возможность назначить в соответствие номеру карты имя компьютера, что позволяет значительно сократить время, необходимое для локализации источников проблем в сети.
Внешний вид окна Network Monitor приведен на рисунке 61.
Назад | Содержание | Вперед