Администрирование служб IIS
Администрирование служб IIS
Инструменты управления
Не всегда удобно администрировать службы IIS непосредственно на компьютере, где они установлены. Для решения проблем локального и удаленного администрирования есть два средства: если соединение с сервером устанавливается через Интернет или через прокси-сервер, можно использовать Диспетчер служб Интернета (HTML) (Internet Services Manager (HTML)), который доступен через веб-браузер и позволяет настраивать различные свойства узлов; если соединение с сервером устанавливается через интраееть, можно использовать или диспетчер служб Интернета (HTML), или оснастку Internet Information Services. Хотя диспетчер служб Интернета (HTML) и предоставляет большинство возможностей оснастки, однако изменение свойств, которое требует взаимодействия с утилитами Windows, не может быть выполнено с его помощью.
|
Внимание |
|
В предыдущей версии IIS оснастка для управления службами называлась Internet Services Manager. В Windows XP оснастка называется Internet Information Services, а ярлык в меню Пуск — Диспетчер служб Интернета (Internet Services Manager).
|
Также для удаленного администрирования доступна онлайновая версия документации. Чтобы обратиться к документации, запустите браузер и введите в поле адреса URL http://имя_cepвepa/iishelp, где имя_сервера — реальное доменное имя компьютера, на котором функционируют службы IIS.
Для удаленного управления IIS можно также использовать возможности служб терминалов (Terminal Services). Удаленное управление может производиться с компьютера под управлением любой ОС, для которой существует клиент служб терминалов Microsoft, при этом на удаленном компьютере не нужно устанавливать никакие средства администрирования IIS.
Оснастка Internet Information Services. Оснастка Internet Information Services (Рисунок 22.1) — средство администрирования IIS, доступна из меню Пуск | Программы | Администрирование | Диспетчер служб Интернета (Start | Programs | Administrative Tools | Internet Services Manager). Также она включена в состав оснастки Управление компьютером (Computer Management).
Для запуска оснастки Internet Information Services:
1. |
Запустите оснастку Управление компьютером. Один из способов — нажать кнопку Пуск (Start), а затем в меню выбрать команду Пуск | Программы | Администрирование | Управление компьютером (Programs | Administrative Tools | Computer Management).
|
2. |
В дереве в группе Службы и приложения (Services and Applications) найдите и разверните узел Internet Information Services. |
|
Примечание
|
|
Для удобства средство администрирования US (которое представляет собой оснастку Internet Information Services) будем также называть по имени ярлыка из меню Пуск (Start) — Диспетчер служб Интернета {Internet Services Manager). |
Диспетчер служб Интернета (HTML). Для управления свойствами IIS в диспетчере служб Интернета (HTML)4 (Рисунок 22.2) используется узел, который в списке узлов отображается как Администрирование веб-узла (Administration Web Site). При установке IIS автоматически случайно выбирается номер порта в диапазоне от XP до 9999, который назначается этому веб-узлу. Узел отвечает на запросы веб-браузеров, независимо от того, к какому доменному имени (из связанных с данным компьютером) происходит обращение, при совпадении номера порта, который добавляется в конце к имени узла. Если используется базовая (basic) аутентификация, то от администратора при подключении к административному узлу будут запрошены имя пользователя и пароль. Только члены группы Windows Администраторы (Administrators) могут использовать этот административный узел. Также управлять узлом дистанционно могут Операторы узла (Web Site Operators). Хотя HTML-версия диспетчера служб Интернета реализует большинство функциональных возможностей оснастки IIS, версия с использованием HTML предназначена для удаленного управления по медленным коммутируемым линиям. В ней не поддерживается, например, щелчок правой кнопкой мыши. Многие из знакомых кнопок на панели или заголовки вкладок отображаются в виде гиперссылок в левой панели окна браузера.
Администрирование служб веб и FTP
Администрирование служб веб и FTP
Веб-узлы и FTP-узлы. В интрасетях и Интернете можно создавать несколько веб- и FTP-узлов (сайтов) на одном компьютере, который работает под управлением Windows XP, одним из следующих способов:
|
При помощи разных номеров портов для одного адреса |
|
Используя несколько IP-адресов, назначенных одному адаптеру |
|
Используя несколько доменных имен для одного IP-адреса и одного сетевого адаптера |
Предположим, что в корпоративной интрасети системный администратор установил на сервере компании систему Windows XP Server со службами IIS и создал единственный узел по умолчанию, который имеет адрес http://Information. Системный администратор может создать два дополнительных информационных узла, по одному для каждого отдела, например, для отдела продаж (Sales) и для отдела закупок (Purchase).
Хотя оба узла расположены на одном компьютере (Information), они являются автономно функционирующими узлами (сайтами). Эти узлы имеют раздельные настройки защиты, как если бы они находились на разных компьютерах, поскольку каждый узел имеет собственные параметры доступа и настройки разрешений по администрированию. Кроме того, административные задачи могут быть распределены между членами каждого отдела.
Свойства и наследование свойств. Свойства— параметры, которые могут быть настроены для конкретного узла. Например, можно использовать оснастку Internet Information Services, чтобы изменить порт TCP по умолчанию (80) для сервера на другой номер порта. Свойства узла видны в окнах свойств и хранятся в базе данных, которая называется метабазой (metabase).
В процессе инсталляции IIS различным свойствам и параметрам присваиваются значения по умолчанию. Можно использовать настройки по умолчанию для IIS или настраивать эти параметры, чтобы адаптировать функциональность сервера к потребностям сети. Можно также обеспечить дополнительные функций, улучшить производительность, а также изменить настройки защиты, внося изменения в настройки по умолчанию.
Свойства могут быть установлены на уровне узлов, на уровне каталогов, или на уровне файлов. Параметры настройки на более высоких уровнях (например, на уровне узлов) автоматически используются (наследуются) более низкими уровнями (например, уровнем каталогов), но все могут редактироваться раздельно на более низком уровне. Если свойство было изменено для отдельного узла, каталога или файла, а затем будет произведен возврат к значению по умолчанию, то автоматическая настройка не отменит индивидуальную настройку. При выполнении такого рода действий администратор получит предупреждающее сообщение, и ему нужно будет ответить на вопрос, хочет ли он изменить настройку для отдельного узла, каталога или файла, чтобы она соответствовала новым значениям по умолчанию.
Некоторые свойства имеют значение, которое представляет собой список. , Например, значение свойства "Документ, используемый по умолчанию" (Default Document) — список документов, которые будут загружены, когда пользователь не задает файл в URL. Пользовательские сообщения об ошибках, управление доступом по TCP/IP, отображение MIME —- примеры свойств, которые хранятся в виде списка. Хотя эти списки состоят из нескольких записей, IIS рассматривает список целиком как единое целое. Если список редактируется для каталога, а затем производится глобальная замена на уровне узлов, список на уровне каталога полностью заменяется новым списком с уровня узла; списки не объединяются. Также свойства-списки отображаются в виде списка с составом только на верхнем уровне, управляющем, или на уровне узла или каталога, для которого значение по умолчанию было изменено. Значения-списки не отображаются, если они являются унаследованными значениями по умолчанию.
Фильтры отображаются в виде списка, но обрабатываются не как список. Если фильтры добавляются на уровне узлов, то новые фильтры объединяются со списком фильтров от управляющего уровня. Если два фильтра имеют одинаковые установки приоритетов, фильтр с управляющего уровня загружается перед фильтром с уровня узла.
Если создается несколько веб- или FTP-узлов, можно редактировать значения по умолчанию (Рисунок 22.7) таким образом, чтобы каждый узел, который создается, наследовал пользовательские значения узлов по умолчанию (Веб-узел по умолчанию и FTP-узел по умолчанию (Default Web Site и Default FTP Site)).
Примечание
Примечание
|
|
В IIS докачка по протоколу FTP невозможна в следующих случаях: при использовании запроса на получение файла по маске (МОЕТ), при передаче файлов на сервер (PUT) или при получении файлов размером более 4 Гбайт.
|
Сопоставление MIME. MIME (Multipurpose Internet Mail Extensions, Многоцелевые почтовые расширения Интернета) — стандарт сети Интернет, который предоставляет возможность программам просмотра (браузерам) определять формат файла и корректно его отображать. Зарегистрированные типы файлов, которые установлены по умолчанию в Windows XP, перечислены в окне Типы файла (File type), доступном на вкладке Internet Information Services в диалоговом окне свойств служб IIS данного компьютера (доступны для компьютера из контекстного меню корневого узла оснастки Internet Information Services).
Сопоставления (map) MIME могут быть настроены на уровне компьютера, на уровне узла, на уровне виртуального каталога, на уровне каталога или на уровне файлов. Чтобы настроить отображения MIME на уровне компьютера, необходимо перейти в диалоговое окно Свойства (Properties) служб IIS данного компьютера (в контекстном меню в оснастке IIS выбрать пункт меню Свойства). Чтобы настроить отображения MIME на других уровнях, нужно использовать вкладку Заголовки HTTP (HTTP Headers) диалогового окна свойств объекта соответствующего уровня.
Предупреждение
Отображения MIME, заданные на уровне компьютера, не отменяют автоматически установки на более низких уровнях.
Другие службы Интернета в Windows XP
Другие службы Интернета в Windows XP
Служба индексирования
Назначение и основные возможности. Служба индексирования (Indexing Service) — служба, входящая в поставку Windows XP всех модификаций (включая настольную версию Professional), которая индексирует файлы на локальном жестком диске и на общедоступных дисководах в сети. Выполнять поиск можно по индексу слова в содержании файлов или в свойствах файлов. Служба индексирования возвращает список всех документов, которые соответствуют критериям поиска.
Служба индексирования создана для непрерывной работы и не требует специального сопровождения. После того как она установлена, все действия осуществляются автоматически, включая создание индексов, обновление индексов и их восстановление в случае аварийного отказа, если произошел сбой питания. Служба индексирования безотказно работает в средах, критических по параметрам надежности и доступности, где сервер должен функционировать 24 часа в сутки и 7 дней в неделю.
Служба индексирования может индексировать:
|
Файлы HTML |
|
Текстовые файлы |
|
Файлы Microsoft Office |
|
Файлы почты Интернета |
|
Любые другие файлы, для которых имеется фильтр документа |
Основы работы. Служба индексирования создает реестр каталогов, чтобы определить, какие документы должны быть проиндексированы; этот процесс впервые запускается сразу же после установки службы. Служба индексирования автоматически выполняет либо полный просмотр, либо инкре-ментный просмотр по мере необходимости.
|
Полный просмотр При полном просмотре индексируются все документы в папках, которые перечислены в списке индексируемых документов. Служба индексирования делает полный просмотр всех жестких дисков на компьютере, когда служба запущена впервые после установки, когда папка добавляется к каталогу, или во время восстановления, если произошла серьезная ошибка. Можно также принудительно выполнить полный просмотр в любое время.
|
|
Инкрементный просмотр При инкрементном просмотре к списку документов, которые будут проиндексированы, добавляются только те документы, которые были изменены со времени последнего индексирования. Когда служба индексирования запускается (после первого раза), она производит инкрементный просмотр всех индексированных папок на дисках с файловой системой, отличной от NTFS, чтобы определить, какие файлы были изменены, когда служба не функционировала.
Инкрементный просмотр также выполняется, если система теряет уведомления об изменениях. Это может случиться, если изменилось большое количество документов, и буфер Windows XP, используемый для получения уведомлений об изменениях, переполняется. Инкрементный просмотр, так же как и полный просмотр, можно принудительно запустить в любое время.
|
Для каждого документа, который будет проиндексирован, служба индексирования выполняет следующие действия:
1. |
Используя соответствующий документу фильтр, считывает документ, извлекает из него значения свойств документа и выделяет содержание. Сохраняет значения свойств документа и путь к документу в индексе.
|
2. |
Разбивает поток предложений на отдельные слова. Для того чтобы разбить текст на слова, служба индексирования использует процедуры, соответствующие языку документа — английскому, немецкому, японскому и т. д.
|
3. |
Удаляет незначащие слова — предлоги, междометия, вспомогательные глаголы и т. д.
|
4. |
Сохраняет оставшиеся слова и путь к документу в индексе.
|
5. |
Сохраняет значения выбранных свойств документа в кэше свойств. |
Фильтры — программные компоненты, которые "понимают" структуру файла соответствующего типа, например, документа Microsoft Word или HTML. Фильтр извлекает содержание и значения свойств и посылает их ядру индексации.
Служба индексирования поставляется с фильтрами для отдельных популярных типов файлов, созданных, например, приложениями Microsoft Office. Фильтры для файлов, созданных в других приложениях, часто можно получить от поставщиков соответствующего программного обеспечения.
Требования к конфигурации компьютера. Минимальная аппаратная конфигурация для службы индексирования — та же, что и для самих систем Microsoft Windows XP. Однако индексация и работа механизмов поиска зависят от количества и размера документов, которые будут проиндексированы, интенсивности поступления поисковых запросов и сложности запросов. На работу службы также влияет мощность компьютера. Компьютер с минимальной, аппаратной конфигурацией для Windows XP Server хорошо обрабатывает запросы, если число одновременных запросов не слишком высоко. Для маленькой организации этого может оказаться достаточно, но для большой организации, обслуживающей много пользователей, рекомендуется более мощная конфигурация (табл. 22.2).
Функционирование службы NNTP
Функционирование службы NNTP
Служба Microsoft NNTP поддерживает протокол NNTP (Network News Transfer Protocol, Протокол передачи новостей Интернета), который является клиент-серверным протоколом. Служба Microsoft NNTP выступает в роли сервера, a Microsoft Outlook Express — пример типичного клиента.
Клиенты подключаются к службе Microsoft NNTP по протоколу TCP/IP. Обычно по умолчанию при нормальном подключении используется TCP-порт 119, для шифрованных SSL-подключений — TCP-порт 563.
Microsoft NNTP работает как служба на сервере Windows XP и стартует автоматически; ее имя в оснастке Службы (Services) — Протокол Network News Transport Protocol (NNTP) (в англоязычной версии — Network News Transfer Protocol (NNTP)).
Публикация статей. Для передачи статьи телеконференции через службу Microsoft NNTP следует использовать программу-клиент новостей, например Microsoft Outlook Express. Клиент подключается к NNTP и запрашивает публикацию переданной статьи в одной или более телеконференций. Служба NNTP устанавливает соединение, принимает запрос и проверяет права пользователя на публикацию статьи в указанных телеконференциях (Рисунок 22.10). Служба NNTP затем публикует статью в телеконференциях и модифицирует индекс телеконференции.
|
Рис 22.10. Публикация статей
|
Просмотр статей. Для просмотра статей в телеконференциях, опубликованных при помощи службы Microsoft NNTP, необходимо использовать программу-клиент чтения новостей, например Microsoft Outlook Express.
Первый шаг при просмотре статей в телеконференции — получение списка доступных телеконференций (Рисунок 22.11). Клиент подключается к службе Microsoft NNTP и запрашивает список доступных телеконференций. Служба Microsoft NNTP принимает запрос, аутентифицирует пользователя, обращающегося к телеконференциям, проверяет его права, а затем посылает клиенту список всех доступных телеконференций.
Второй шаг — выбор телеконференции, которую пользователь хочет просмотреть. Клиент запрашивает список статей в выбранной телеконференции. Служба Microsoft NNTP аутентифицирует пользователя, обращающегося к указанной телеконференции, проверяет его полномочия и посылает клиенту список всех статей в этой телеконференции. Затем пользователь выбирает статью, клиент запрашивает выбранную статью у службы Microsoft NNTP, а служба возвращает содержимое статьи.
|
Рис 22.11. Просмотр статей
|
Структуры данных службы Microsoft NNTP. Статьи телеконференций в службе Microsoft NNTP хранятся в одной или в нескольких группах иерархических каталогов. Каждая телеконференция имеет собственный каталог, а каждая статья хранится как файл в этом каталоге.
Основной каталог по умолчанию — C:\Inetpub\Nntpfile\root, его можно переназначить на вкладке свойств основного каталога виртуального сервера NNTP. Можно создавать дополнительные иерархии каталогов на других дисках или на других компьютерах, создавая виртуальные каталоги.
Каталог телеконференции имеет то же имя, что и сама телеконференция. Служба Microsoft NNTP автоматически создает требуемые каталоги, когда создается новая телеконференция. Например, телеконференция, названная sample.test хранится в подкаталоге \sample\test относительно корневого каталога, то есть в каталоге C:\Inetpub\Nntpfile\root\sample\test. Все файлы статей телеконференций имеют расширение nws.
Служба Microsoft NNTP также создает файлы, в которых хранятся темы размещенных в телеконференции статей; эти файлы имеют расширение xix. Служба Microsoft NNTP создает один файл для каждых 128 статей в телеконференции.
Служба Microsoft NNTP также поддерживает множество внутренних файлов структуры данных с расширениями hsh, hdr, 1st и txt. Заданное по умолчанию расположение этих файлов — C:\Inetpub\Nntpfile. Нельзя изменять или удалять эти файлы. Средства восстановления службы Microsoft NNTP исправляет эти файлы, если они были случайно удалены или повреждены.
Новая архитектура информационных систем
Новая архитектура информационных систем
Многоуровневые приложения. Современные приложения типа "клиент-сервер" настолько не похожи на своих предшественников, что им было дано новое имя — многоуровневые приложения. Такая архитектура называется также n-уровневой или многоуровневой. В этой модели обработка данных распределена между клиентом и сервером, и бизнес-логика располагается на среднем уровне. С функциональной точки зрения большинство систем реализует три следующих основных задачи:
|
Представление данных |
|
Бизнес-логика
|
|
Службы хранения данных |
Уровень представления данных включает всю работу с пользователем. На этом уровне пользователи могут не только взаимодействовать с приложением, вводить данные и просматривать результаты запросов, но и управлять манипулированием данными и их форматированием после того, как они попадают на клиентскую сторону. В веб-технологии задача уровня представления данных выполняет браузер.
Службы хранения данных обеспечиваются различными структурированными хранилищами информации (серверами БД, например, Microsoft SQL Server, Oracle) или неструктурированными хранилищами (Microsoft Exchange, Microsoft Message Queue Services), которые управляют и обеспечивают доступ к данным из приложения. Отдельный запрос может потребовать использования одного или более хранилищ данных.
Между этими двумя уровнями находится область для разработки распределенных приложений. Уровень бизнес-логики задает правила управления обработкой приложений, соединяет пользователя на одном конце с данными на другом.
Трехуровневая архитектура изолирует каждый сегмент функциональных возможностей. Представление не зависит от правил обработки и бизнес-логики, которая, в свою очередь, является отдельной от данных. Эта модель требует намного больше затрат на анализ и проектирование, но значительно уменьшает расходы на техническую поддержку и сопровождение и, в конечном счете, увеличивает функциональную гибкость. На Рисунок 22.3 представлена схема, которая описывает технологии Microsoft, обслуживающие различные уровни в системах с новой архитектурой.
|
Рис 22.3. Архитектура трехуровневых систем на базе служб Microsoft
|
Распределенная архитектура Интернет-приложений. Компания Microsoft разработала технологию Windows Distributed interNet Application Architecture (Windows DNA, Распределенная архитектура Интернет-приложений Windows), полностью интегрирующую многоуровневую модель разработки с веб-технологией. Windows DNA определяет каркас для создания решений, которые удовлетворяют требованиям корпоративных вычислений, Интернета, интрасетей и глобальной электронной торговли, уменьшая при этом издержки на общую разработку и развертывание системы.
В архитектуре Windows DNA стандартные службы на базе Windows выполняют определенные задачи на каждом уровне в многоуровневом решении, обеспечивая интерфейс пользователя и навигацию, бизнес-логику и хранение данных. Различные службы интегрированы при помощи Common Object Model (COM, Общая объектная модель). Службы, используемые в Windows DNA, включают; Dynamic HTML (Динамический HTML), Active Server Pages (Активные серверные страницы, ASP), компоненты COM, Microsoft Transaction Server,, службу Active Directory, службы безопасности Windows XP, Microsoft Message Queue Services (MSMQ, Службы очереди сообщений) и компоненты доступа к данным Microsoft.
Архитектура Windows DNA создана с применением открытых протоколов и общедоступных интерфейсов, что облегчает организациям задачу интеграции новых систем с продуктами третьих фирм. Обеспечивая промышленные стандарты Интернета, Windows DNA упрощает работы по внедрению новых технологий для разработчиков. На Рисунок 22.4 представлена схема, которая иллюстрирует технологии — составные части Windows DNA.
|
Рис 22.4. Технологии Windows DNA
|
Новые возможности
Новые возможности
У веб-сервера, входящего в число служб IIS в Windows XP, появилось много новых возможностей по сравнению с предыдущими версиями (Internet Information Server 4.0, входившим в состав Option Pack для Windows NT 4.0 и более ранними версиями IIS, поставлявшимися отдельно). Основные функциональные возможности, которые появились или были усовершенствованы в этой версии веб-сервера:
|
Публикация информации на сервере стала проще
Сжатие HTTP. Обеспечивает более компактную передачу страниц между веб-серверами и клиентами, которые поддерживают получение сжатой информации. Сжимает и кэширует статические файлы, и выполняет по требованию сжатие динамически сгенерированных файлов.
Распределенная поддержка авторских версий (Distributed Authoring and Versioning, DAV). Дает возможность авторам веб-страниц удаленно редактировать, перемещать или удалять файлы, изменять параметры файлов, каталоги и параметры каталогов на сервере при помощи административных утилит, работающих по протоколу HTTP.
Новые возможности ASP. В механизмах Active Server Pages (ASP, Активные серверные страницы) расширены старые возможности и появились новые которые повышают производительность и улучшают выполнение сценариев на стороне сервера (см. ниже).
Докачка по протоколу FTP. Теперь при получении файла по протоколу FTP можно производить повторную докачку с места, на котором был прерван предыдущий сеанс.
Мастер создания веб-узлов (New Web Site) и Мастер создания виртуальных каталогов (New Virtual Directory). Эти мастеры можно вызвать из оснастки управления IIS, они облегчают создание новых веб-узлов и виртуальных каталогов на сервере.
|
|
Улучшенная безопасность Новые механизмы аутентификации. Предоставляют возможности по надежной аутентификации пользователей, подключенных через серверы-посредники (proxy) и брандмауэры (firewall).
Новые мастера безопасности, которые упрощают задачи администрирования сервера: ,.
Мастер сертификатов (Certificate Wizard). Упрощает задачи администрирования сертификатов — создание запросов на получение сертификатов и управление циклом жизни сертификата. Мастер разрешений (Permissions wizard). Позволяет облегчить редактирование и конфигурирование доступа к веб-узлу — обеспечивает назначение политик доступа к виртуальным каталогам и файлам. Мастер разрешений может также отображать политику доступа к веб-узлу при помощи файловых разрешений NTFS. Мастер CTL (CTL Wizard). Можно использовать этот мастер для настройки списков доверия сертификатов (Certificate Trust List, CTL).
CTL — список центров авторизации или поставщиков сертификатов (Certificate Authorities, СА), получивших доверие, для заданного каталога. CTL особенно полезен для поставщиков услуг Интернета (ISP), которые держат на своем сервере много веб-узлов клиентов и должны хранить различные утвержденные списки центров авторизации для каждого узла.
Стандарт безопасности Fortezza- В службах IIS поддерживается американский правительственный стандарт безопасности, обычно называемый Fortezza. Этот стандарт удовлетворяет архитектуре безопасности Defence Messaging System (Система передачи сообщений Министерства обороны), поддерживая механизм шифрования, который обеспечивает конфиденциальность сообщений, целостность, аутентификацию и управление доступом к сообщениям, компонентам и системам. Эти возможности могут быть реализованы при помощи программного обеспечения сервера, браузера, либо при помощи аппаратных средств — платы PCMCIA
Шлюзовое серверное шифрование (Server-Gated Cryptography, SGC). Это расширение протокола SSL, которое позволяет финансовым учреждениям, использующим службы IIS в экспортном варианте, применять мощное 128-разрядное шифрование. Возможности SGC встроены в службы IIS, однако, чтобы использовать SGC, требуется специальный сертификат SGC.
Безопасность Kerberos. Службы IIS полностью интегрированы с моделью безопасности Kerberos, реализованной в Microsoft Windows XP.
|
|
Расширенные возможности администрирования
Учет процессов (process accounting). Предоставляет информацию о том, как веб-узлы расходуют ресурсы процессора сервера. Эта информация полезна для выявления узлов, непропорционально использующих ресурсы процессора (в том числе сценариев или процессов CGI, содержащих ошибки).
Ограничение процессов (process throttling). Ограничивается время, которое процессор тратит на обработку процессов ASP, приложений ISAPI или CGI для отдельных веб-узлов.
|
Возможности для разработчиков приложений доступа к данным. Автор сценария, проектировщик или разработчик приложений доступа к базам данных и файлам может использовать следующие функциональные возможности IIS:
|
Выполнение сценариев, включенных в веб-страницы. При помощи ASP-страниц можно внедрять сценарии в страницы HTML и применять серверные компоненты ActiveX, чтобы реализовывать динамическую бизнес-логику на базе веб. Сценарии могут быть написаны на языке Microsoft Visual Basic, Scripting Edition, или на Microsoft JScript, а также на любом другом языке создания сценариев ActiveX, для которого имеется соответствующая поддержка в US (engine).
|
|
Доступ к базам данных. Если создаются и исполняются программы для доступа к базам данных, можно сделать эти программы более дружественными и более эффективными при помощи Microsoft Data Access Components (MDAC, Компоненты доступа к данным Microsoft), набора методов баз данных, интегрированных с IIS. Компоненты MDAC включают Microsoft Remote Data Service (RDS, Служба удаленных данных, ранее называвшаяся ADC), Microsoft ActiveX Data Objects (ADO, Объекты данных ActiveX), OLE DB и Open Database Connectivity (ODBC, Интерфейс открытого взаимодействия с базами данных). Кроме того, при помощи службы СОМ+, которая теперь включает все функциональные возможности, ранее поддерживаемые MTS (Microsoft Transaction Server, сервер транзакций Microsoft), можно структурировать взаимодействие с базами данных при помощи транзакций. |
|
Примечание
Примечание
|
|
Транзакции — это действия, состоящие из нескольких шагов, которые выполняются как единое целое и могут либо успешно завершиться, либо "откатиться" к исходному состоянию.
|
|
Управление группами страниц. При помощи Microsoft FrontPage Server Extensions (Серверные расширения для FrontPage) можно легко управлять группами страниц веб-узла. Встроенный анализатор содержания позволяет просматривать карту сервера в удобном для понимания визуальном формате, который облегчает управление файлами и связями.
|
|
Предоставление возможностей поиска. При помощи Службы индексирования (Indexing Service) можно создавать настраиваемые формы, которые предоставляют возможность поиска информации на веб-страницах или в других файлах веб-узла. Служба индексирования индексирует текстовое содержимое документов, хранящихся на сервере, на котором работает IIS, а также их свойства. Пользователи могут посылать поисковые запросы из любого браузера, заполняя простую форму. |
Возможности для администраторов. Для администраторов информационных служб HS обеспечивает эффективное выполнение следующих действий:
|
Установка веб- и FTP-узлов. Можно устанавливать, конфигурировать и управлять веб- и FTP-узлами средствами оснастки Internet Information Services, графического интерфейса для администрирования служб IIS. Можно конфигурировать каждый узел и каталог по-своему, даже в случае использования нескольких узлов на одном сервере; имеются средства установки некоторых конфигурационных параметров (например, разрешения доступа), которые применяются даже на уровне конкретных файлов.
|
|
Автоматизация типовых задач администрирования. Можно создавать сценарии для выполнения всех задач администрирования IIS, разделив их на более простые процедуры. Эти задачи включают добавление или изменение веб-узлов, добавление групп, изменение разрешений доступа и управление регистрацией.
|
|
Защита узла. Службы IIS позволяют настраивать ряд параметров безопасности, используя встроенные в Windows XP механизмы безопасности, например учетные записи пользователей и средства безопасности файловой системы NTFS 5.0. Службы IIS имеют дополнительные возможности по обеспечению безопасности, включая блокирование доступа (блокирование попыток, сделанных с заданных IP-адресов) и безопасную связь между компьютерами с помощью SSL. В поставку 'Windows XP включен Сервер сертификатов (Microsoft Certificate Server), который может выдавать сертификаты серверу или клиенту.
|
|
Регистрация действий и настройка производительности сервера. Оснастки Системный монитор (System Monitor) и Просмотр событий (Event Viewer) .позволяют отслеживать работу сервера. Также в IIS используется собственное протоколирование, которое фиксирует все заданные действия. При помощи различных встроенных средств можно анализировать журналы и поведение сервера ” принимать решения. Можно настраивать производительность сервера при помощи административных инструментов и установок IIS. Также можно улучшать производительность сервера, используя возможности, перечисленные ниже в разделе "Возможности для разработчиков сценариев" данной главы.
|
|
Поддержка диалоговой обработки запросов. При помощи технологий СОМ+ можно группировать компоненты (дискретные модули кода) в пакеты, которые используют специальную среду для выполнения в виде транзакций. В новой версии IIS внутри транзакций можно выполнять не только приложения, но и сценарии. Те функции, что ранее поддерживались MTS, теперь полностью интегрированы с СОМ+.
|
|
Эффективный поиск (см. выше). |
Возможности для разработчиков сценариев. Службы IIS предоставляют разработчику сценариев (программисту) среду для разработки приложений, которая эффективно управляет потоками и процессами и обеспечивает высокую масштабируемость. Можно использовать следующие функциональные возможности IIS для того, чтобы обеспечить дополнительную поддержку сценариев, компонентов или распределенных приложений:
|
Возможность изолирования процессов. Можно настроить IIS таким образом, чтобы изолировать друг от друга приложения, выполняющиеся в контексте IIS, т. е. заставить их работать & отдельных областях памяти. Это означает, что если приложения функционируют неправильно, они не будут воздействовать на работу других приложений или сервера в целом.
|
|
Интеграция с технологиями доступа к данным. При создании и выполнении программ для доступа к базам данных можно использовать набор компонентов доступа к данным MDAC (см. выше).
|
|
Разработка надежных приложений с применением СОМ+. Можно выполнять сценарии или приложения внутри одной транзакции. Объекты активизируются по требованию и деактивизируются после использования. Это позволяет экономить ресурсы сервера и увеличить число пользователей, одновременно работающих с приложением. |
Новые возможности ASP
Новые возможности ASP
Active Server Pages — основной механизм создания веб-ориентированных приложений для HS. ASP были расширены возможностями, которые делают более легким применение ASP для разработчиков сценариев и веб-приложений.
Новые возможности по управлению Потоком данных. Объект ASP Server имеет два новых метода, которые можно использовать для управления потоком данных из программы (Server.Transfer и Server.Execute). Эти методы действуют более эффективно, чем переназначение запросов, которое требует высокой производительности:сети при передаче данных клиенту и обратно; эти методы обеспечивают передачу запросов непосредственно файлу *.asp, при этом поток управления не покидает сервер.
Обработка ошибок. ASP-страницы содержат новую возможность обработки ошибок, которая осуществляет перехват ошибок при помощи ловушек (traps) и дает пользовательское сообщение об ошибке. При помощи нового метода, Server.GetLastError, можно отображать полезную информацию, например, описание ошибки или номер строки в файле *.asp, где произошла ошибка.
ASP без сценариев (scriptless ASP). Поскольку статическое содержание обычно обрабатывается быстрее, чем содержание, сгенерированное сервером динамически, было бы лучше заранее присваивать расширение asp только файлам, которые реально содержат функциональные возможности ASP. Всякий раз, когда требовалось добавить функциональные возможности ASP статическим файлам HTML, нужно было вручную присвоить файлу расширение asp и обновить связанные с ним гаперссылки. В новой версии файлы *.asp, которые не используют функциональных серверных возможностей, будут обработаны быстрее, чем ранее. Так, при создании веб-приложения, в котором файлы могут, в конечном счёте, требовать использования функциональных возможностей ASP, теперь можно назначать этим файлам расширение asp независимо от того, содержат ли они статическую информацию или серверные расширения.
Улучшенная производительность компонентов. В состав IIS включены расширенные версии наиболее часто используемых объектов ASP, которые обеспечивают повышенную производительность.
Интеграция с XML. Язык extensible Markup Language (XML, Расширяемый язык разметки) позволяет легко описывать сложные структуры данных и совместно использовать информацию в клиентских и серверных приложениях. Новый синтаксический анализатор XML, включенный в Internet Explorer версии 4.0 и выше, сделал возможным создание ASP-приложений, позволяющих веб-серверу обмениваться форматированными данными XML с Internet Explorer и другими браузерами или с любыми другими серверами, имеющими поддержку XML.
Сервер скриптлетов. ASP поддерживает новую мощную технологию создания сценариев — сервер скриптлетов (от "scriptlet" — маленький сценарий). Теперь можно оформлять логические бизнес-правила сценариев в виде компонентов СОМ для многократного применения их в веб-приложениях, а также в других программах, поддерживающих СОМ.
Новый способ определять возможности браузера. ASP имеет новую возможность для определения точных возможностей браузера. Когда браузер посылает файл cookie с описанием своих возможностей (файл cookie может быть передан серверу при помощи простого сценария на стороне клиента), можно создать образец компонента возможностей браузера, который получает реквизиты браузера в том виде, в каком браузер вернул их в cookie. Так, прежде чем пользователь обратится к веб-приложению, мбжно выбрать этот путь, чтобы обнаружить возможности браузера и скорректировать поведение приложения.
Автоподстройка ASP. Механизм ASP теперь чувствителен при выполнении запросов к блокированию внешних ресурсов и автоматически создает большее количество потоков, чтобы выполнить дополнительные запросы и продолжать нормальную обработку. Когда процессор становится слишком загруженным, механизмы поддержки ASP сокращают число потоков, чтобы уменьшить время на переключение приложений, что происходит, когда одновременно выполняется слишком много неблокирующихся запросов.
Основные компоненты IIS
Основные компоненты IIS
Основные компоненты IIS, которые можно удалить или установить из панели управления (Рисунок 22.6):
|
Общие файлы (Common Files) |
|
Документация (Documentation) |
|
FTP-сервер (File Transfer Protocol) (File Transfer Protocol (FTP) Server) |
|
Серверные расширения для FrpntPage XP (FrontPage XP Server Extensions) |
|
Объект IIS для консоли ММС (Internet Information Services Snap-In) |
|
Диспетчер служб Интернета (HTML) (Internet Services Manager (HTML)) |
|
Служба NNTP (NNTP Service) П Служба SMTP (SMTP Service) |
|
Поддержка удаленного развертывания Visual InterDev RAD (Visual InterDev RAD Remote Deployment Support) |
|
Веб-сервер (World Wide Web Server) |
Примечание
Примечание
|
|
Если ОС Windows XP устанавливалась поверх предыдущей версии Windows, IIS устанавливаются по умолчанию, только если веб-сервер (IIS) был установлен в предыдущей версии Windows.
|
Примеры использования сервера NNTP
Примеры использования сервера NNTP
Виртуальный сервер новостей для внутренних корпоративных целей. Общение важно для любой группы людей, работающих вместе. Во многих организациях трудно заставить всех членов группы применять средства совместной работы на постоянной основе. Телеконференции могут решить проблемы общения и взаимодействия людей. Они дают возможность любому в группе читать или помещать свою информацию. Просто также найти нужную информацию по заданной тематике, поскольку статьи организованы в виде тематических потоков. В отличие от электронной почты, телеконференции обеспечивают механизм легкого архивирования информации для справочных целей.
Цель: Улучшить возможности взаимодействия между членами отдела, работающими над проектом и усовершенствовать организацию хранения и архивирования информации.
Состав программного обеспечения: Microsoft Windows XP Server, Microsoft Internet Information Services (US), Microsoft Internet Mail and News или Microsoft Outlook Express.
Среда: Сеть на базе Microsoft Windows.
Установка: Установить службу Microsoft NNTP — компонент US.
Прочие аспекты: Чтобы использовать телеконференции в качестве информационного архива, необходимо запретить удаление статей с истечением времени и производить периодическую архивацию информации.
Функционирование: Выполнение функций поддержки несколько телеконференций в пределах организации потребует не очень больших ресурсов со стороны сервера. Можно использовать любой компьютер, работающий под управлением Windows XP Server. Поскольку служба Microsoft NNTP использует стандартный протокол NNTP, сотрудники могут иметь доступ к
телеконференциям, используя любое клиентское программное обеспечение, поддерживающее NNTP, однако предпочтительно работать с Microsoft Internet Mail and News и Outlook Express — клиентами, которые обеспечивают дополнительные функции защиты, если есть потребность в таких функциях. Сервер и клиенты должны поддерживать TCP/IP.
URL для телеконференций будет иметь следующие форматы:
news://сервер/телеконференция
news://сервер/телеконференция/статья
где сервер — имя или IP-адрес сервера NNTP, телеконференция — имя телеконференции, а статья — необязательный идентификатор конкретной статьи.
В зависимости от того, насколько конфиденциальными будут статьи, можно настраивать параметры защиты для телеконференции. Если информация доступна любому в организации и сеть защищена брандмауэром, можно разрешить анонимный вход. Для большей защиты можно использовать штатные средства безопасности Windows XP, которые применяются к каждому пользователю телеконференции. Можно ограничить доступ к каталогам телеконференций для определенных учетных записей. Служба Microsoft NNTP управляет защитой, используя учетные записи Windows XP и соответствующие разрешения.
Результат: Работа членов отдела упростится. Сотрудники смогут читать и публиковать статьи, содержащие информацию по проекту, на сервере новостей. Для обсуждения деталей проекта не потребуются личные встречи, отнимающие время.
Общедоступный виртуальный сервер новостей. Может потребоваться несколько телеконференций с различной тематикой на общедоступном сервере новостей. Например, зарегистрированным пользователям некоторого продукта требуется одна конференция, а потенциальным покупателям, только собирающимся сделать свой выбор, — другая.
Цель: Уменьшить затраты на поддержку пользователей и улучшить клиентскую службу, предоставив клиентам быстрый свободный доступ к информации и технической поддержке.
Программные компоненты: Microsoft Windows XP Server, Microsoft Internet Information Services (US), Microsoft Internet Mail and News или Microsoft Outlook Express.
Среда: Интернет.
Установка: Разрешить анонимный доступ; использовать DNS или WINS для разрешения имени; обеспечить доступ через брандмауэр (при его наличии).
Прочие аспекты: Необходимо рассмотреть возможность организации моде-рируемых (редактируемых специальноч назначенным человеком, так называемым "модератором") конференций, чтобы предотвратить публикацию не-
корректных, технически неправильных статей. Это может ограничить возможность клиентов помочь друг другу, если персонал поддержки не доступен в настоящий момент.
Функционирование: Если службы IIS уже используются, то для обеспечения технической поддержки через публикацию технической информации на веб-сервере можно просто добавить поддержку телеконференций на том же компьютере. Если планируется активно использовать сервер телеконференций, можно расположить службу Microsoft NNTP на отдельном компьютере.
Можно создать отдельную телеконференцию для каждого продукта, для которого требуется техническая поддержка, или создать несколько телеконференций для каждого продукта, одну для каждой темы поддержки.
URL-адреса для телеконференций будут иметь стандартные форматы (см. выше).
Чтобы обеспечить наискорейшую отдачу от телеконференций, персонал поддержки клиентов должен достаточно часто читать статьи в телеконференциях и быстро отвечать на вопросы. Одним из удобных средств может оказаться публикация часто задаваемых вопросов (Frequently Asked Questions, FAQ) и ответов на них.
Результат: Клиенты получают более эффективную поддержку и, следовательно, в большей степени удовлетворены применяемыми продуктами, т. к. они имеют непосредственный доступ к самой свежей информации, касающейся этих продуктов. Производительность труда у персонала поддержки будет выше, т. к. теперь не нужно много раз отвечать на один и тот же вопрос.
Служба NNTP
Служба NNTP
Основные возможности
Служба Microsoft NNTP проста в управлении, поскольку содержит удобные инструменты и поддерживает тесную интеграцию с Microsoft Windows XP Server. Вот основные возможности службы Microsoft NNTP:
|
Поддержка стандартов Служба Microsoft NNTP поддерживает Network News Transport Protocol (NNTP, Протокол доставки сетевых новостей), который предназначен для связи клиента с сервером, а также для связи двух серверов. Служба Microsoft NNTP поддерживает популярные расширения NNTP и полностью совместима с другими клиентами и серверами NNTP.
Кроме того, служба Microsoft NNTP поддерживает многочисленные форматы, включая:
Multipurpose Internet Mail Extension (MIME) Язык разметки гипертекста HTML Формат изображений GIF Формат изображений JPEG
Поддержка этих стандартов позволяет включать изображения и гипертекстовые ссылки в статьи новостей. |
|
Простота администрирования Служба Microsoft NNTP предлагает на выбор два графических инструмента для выполнения всех задач администрирования:
Оснастка Internet Information Services. С помощью этой оснастки управление службой Microsoft NNTP осуществляется в пределах одной ЛВС. Этот инструмент может управлять всеми компонентами IIS, используя единый интерфейс (Рисунок 22.9). Диспетчер служб Интернета (HTML). При помощи веб-браузера, например Microsoft Internet Explorer, можно управлять службой Microsoft NNTP с любого компьютера локальной сети или из Интернета. Единственное требование для применения этого инструмента — наличие любого веб-браузера на компьютере администратора.
|
|
Рис 22.9. Оснастка Internet Information Services — управление службой Microsoft NNTP
|
|
Интеграция с Microsoft Windows XP Служба Microsoft NNTP полностью использует преимущества стандартных инструментов администрирования Windows XP для текущего контроля производительности и отслеживания событий. При инсталляции службы Microsoft NNTP устанавливается набор счетчиков для оснастки Системный монитор. Все состояния службы Microsoft NNTP и сообщения об ошибках записываются в журналы событий и могут просматриваться при помощи оснастки Просмотр событий. Служба Microsoft NNTP также включает поддержку SNMP.
Служба Microsoft NNTP управляет доступом к группам новостей, используя списки ACL Windows XP. Устанавливая разрешения на каталог, который содержит группу новостей, можно управлять доступом к этой группе новостей. Можно также разрешить анонимный доступ, при этом доступ к группе новостей будет предоставлен всем.
|
|
Интеграция со службой индексирования Служба Microsoft NNTP поддерживает полнотекстовое индексирование содержания и индексирование по свойствам групп новостей.
|
|
Улучшенная безопасность Служба Microsoft NNTP поддерживает несколько вариантов безопасности, которые аутентифицируют пользователей групп новостей и защищают частную информацию:
Анонимный доступ (anonymous access). Разрешает любому пользователю доступ к группе новостей, не требует указания имени пользователя или пароля. Стандартное расширение безопасности NNTP (Standard Secure NNTP extension). Требует, чтобы пользователь предоставил имя пользователя и пароль, которые посылаются по сети открытым текстом. Протокол вызова/ответа Windows (Windows Challenge/Answer Protocol). Требует, чтобы пользователь предоставил имя пользователя и пароль, которые передаются в шифрованном виде для безопасной передачи по сети. Этот протокол требует использования клиентского программного обеспечения Microsoft Internet Mail and News (или Outlook Express). Протокол SSL (Secure Sockets Layer). Чтобы защитить информацию, передаваемую через общую сеть, служба Microsoft NNTP поддерживает шифрование SSL, которое включает проверку подлинности клиентов и серверов.
|
Служба SMTP
Служба SMTP
Служба Microsoft SMTP имеет следующие особенности:
|
Поддержка стандартных протоколов Интернета. Служба Microsoft SMTP обеспечивает полную поддержку SMTP и совместима с почтовыми клиентами SMTP. |
|
Масштабируемость. Служба Microsoft SMTP поддерживает сотни одновременных клиентских соединений при конфигурации с одним сервером. Можно также настроить использование множества доменов для одного сервера. |
|
Простое администрирование и интеграция с Microsoft Windows XP. Служба Microsoft SMTP управляется как через консоль ММС (Рисунок 22.12), так и с помощью веб-интерфейса. |
|
Улучшенная безопасность. Служба Microsoft SMTP поддерживает протоколы безопасной передачи почты на транспортном уровне. |
|
Прямая доставка и извлечение почты. Служба Microsoft SMTP поддерживает размещение всех входящих сообщений непосредственно в каталоге \Drop. Это позволяет использовать службу Microsoft SMTP для приема почты других приложений. В дополнение к передаче сообщений через порт TCP приложения могут использовать каталог \Pickup. После форматирования сообщения служба Microsoft SMTP осуществляет его доставку. |
Службы Интернета в Windows XP
Службы Интернета в Windows XP
Internet Information Services (US) — набор базовых служб Интернета, в состав которых входят: веб-сервер, FTP-сервер, SMTP-сервер, NNTP-сервер и ряд дополнительных служб. Службы IIS предоставляют множество новых возможностей, которые могут превратить систему Windows XP в мощную платформу для распределенных сетевых приложений. Службы IIS объединены при помощи стандартного интерфейса администрирования и общих методов управления.
|
Примечание
Примечание
|
|
В системе Windows XP аббревиатура "IIS" расшифровывается несколько иначе, чем в системах Windows NT, где она означала Internet Information Server. Теперь это Internet Information Services (Информационные службы Интернета). В первую очередь — из-за того, что Интернет-службы стали стандартными компонентами операционной системы (хотя и не все службы обязательно инсталлировать), и их функциональные возможности были значительно расширены.
|
Службы компонентов
Службы компонентов
Службы компонентов (Component Services) обеспечивают разработку и развертывание распределенных клиент-серверных приложений типа онлайновых бизнес-приложений и приложений электронной коммерции, имеющих веб-интерфейс. Службы компонентов используют технологию СОМ+ и обеспечивают такие функциональные возможности, как автоматическая поддержка целостности данных на основе транзакций, защита информации, основанная на ролях, доступ к различным СУБД, службам очередей сообщений (например, MSMQ) и другим приложениям.
Службы компонентов полностью интегрированы с другими компонентами и службами Windows XP Server. Интеграция со службами Internet Information Services и Active Server Pages упрощает создание приложений в среде Интернет/интрасети. Интеграция с кластерными службами повышает отказоустойчивость. Интеграция со службой обработки очередей сообщений (MSMQ) обеспечивает надежную, постоянную связь между приложениями.
Возможности Microsoft Transaction Server (MTS) были объединены с "классической" технологией СОМ и образовали технологию СОМ+, которая интегрирована в операционную систему Windows XP. Оснастка ММС для управления СОМ+ — Службы компонентов (Component Services) доступна из меню Администрирование (Пуск | Программы | Администрирование | Службы компонентов).
В состав служб компонентов входит переработанный инструмент управления, реализованный в виде оснастки ММС, с помощью которого можно устанавливать пакеты MTS в СОМ+ (Рисунок 22.13). Ранее для этого применялись специальные инструменты MTS. Сразу после установки пакета можно использовать такие новые возможности СОМ+, как базы данных, хранящиеся в оперативной памяти (In-Memory DataBase, IMDB), или новая система поддержки событий.
|
Рис 22.13. Оснастка управления СОМ+ — Службы компонентов (Component Services)
|
Службы очереди сообщений
Службы очереди сообщений
Службы очереди сообщений (Microsoft Message Queuing Services, MSMQ) — сервис, входящий в стандартную поставку Microsoft Windows XP Server. С помощью MSMQ приложения, работающие в разное время, могут связываться через разнородные сети и системы, способные временно работать автономно. Приложения посылают сообщения MSMQ и используют очереди MSMQ — это позволяет быть уверенным, что сообщение рано или поздно достигнет адресата. MSMQ обеспечивает гарантированную доставку сообщений, интеллектуальную маршрутизацию, защиту и передачу сообщений, основанную на приоритетах.
При помощи MSMQ конечные пользователи могут связываться через автономные сети и системы, вне зависимости от текущего состояния поддерживающих связь приложений и систем. При помощи MSMQ разработчики могут сосредоточиться на программировании бизнес-логики, а не решать проблемы работы с сетями, поскольку MSMQ обеспечивает гарантированную доставку. Администраторы систем при помощи MSMQ могут эффективно управлять большими, сложными сетями очередей сообщений.
Программные продукты с такими возможностями часто называют программным обеспечением поддержки очередей сообщений, программным обеспечением с промежуточным накоплением или средствами среднего уровня, ориентированными на сообщения (MOM, Message-Oriented Middleware).
Особенности и возможности службы MSMQ: .
|
Интеграция с Windows XP Server. Поддерживается служба Active Directory, в которой хранятся отдельные объекты MSMQ. |
|
Работа в смешанном режиме. MSMQ может функционировать в смешанных сетевых средах, состоящих из серверов и клиентов на базе как Windows NT 4.0, так и Windows XP. |
|
Совместимость сверху вниз. Служба MSMQ полностью совместима с MSMQ версии 1.0. |
|
Передача сообщений без установления логического соединения. Поскольку MSMQ использует бессеансовую модель на прикладном уровне, отправитель и получатель не обязаны применять один и тот же протокол. MSMQ поддерживает протоколы IP и IPX. |
|
Поддержка приоритетов трафика. Приоритеты сообщений позволяют срочному или важному трафику вытеснять менее важный, что гарантирует адекватное время ответа критическим приложениям за счет менее важных приложений. |
|
Гарантированная доставка. Сообщения помещаются в хранящуюся на диске очередь, что обеспечивает гарантированную доставку сообщений. |
|
Транзакции. Имеется возможность использования транзакций MSMQ, т. е. можно объединить несколько действий MSMQ в транзакцию и обеспечить гарантированную доставку сообщений, а также то, что они будут доставлены не более одного раза или что доставленные сообщения будут успешно извлечены из очереди адресатом. |
|
Динамические очереди. Администраторы могут изменять свойства очередей без воздействия на приложения передачи сообщений. |
|
Маршрутизация. MSMQ поддерживает интеллектуальную маршрутизацию, которая основана на физической топологии сети, группировке сеансов и на обеспечении транспортной связности. Группировка сеансов облегчает эффективное использование медленных линий. |
|
Безопасность. MSMQ поддерживает механизмы безопасности: управление доступом, аудит, шифрование и аутентификацию. Управление доступом реализовано с применением системы безопасности Windows XP и цифровых подписей. Аудит реализован при помощи службы регистрации событий Windows XP. Шифрование и аутентификация (использование цифровых подписей) обеспечиваются при помощи механизмов открытых и закрытых ключей. |
|
Широкая интеграция систем. Приложения MSMQ могут выполняться на целом ряде аппаратных платформ, использующих продукты для обеспечения связи со службой MSMQ, поставляемые фирмой Level 8 Systems, партнером Microsoft, Исходно MSMQ поддерживает Windows NT, Windows 95 и Windows 98. Поддержка остальных систем поставляется фирмой Level 8 Systems. |
|
Среда программирования MSMQ.. Прикладной интерфейс MSMQ позволяет разрабатывать приложения MSMQ на языке С или C++. MSMQ также включает элементы управления СОМ, которые можно применять для создания приложений MSMQ в Microsoft Visual Java (VJ), Visual Basic (VB) или любых других приложений-контейнеров СОМ (например, Microsoft Access или Borland/Inprise Delphi). При помощи Microsoft ASP и Microsoft US можно интегрировать MSMQ-приложение с веб-страницами и формами, использующими элементы управления СОМ. При помощи MAPI Transport Provider и Exchange Connector можно интегрировать приложение MSMQ с формами Exchange и клиентами MAPI. Транспорт MSMQ RPC можно использовать для создания надежных приложений, использующих вызовы RPC. |
Установка MSMQ. Чтобы добавить или удалить службу:
1. |
В меню Пуск (Start) выберите команду Настройка (Settings) | Панель управления (Control panel) | Установка/удаление программ (Add/Remove Programs).
|
2. |
В левой панели диалогового окна Установка/удаление программ выберите вкладку Добавление/удаление компонентов Windows.
|
3. |
Откроется окно Мастер компонентов Windows (Windows Components Wizard). В списке Компоненты Windows (Windows Components) выберите опцию Службы очереди сообщений (Message Queuing Services) (Рисунок 22.18).
|
4. |
Нажмите кнопку Далее (Next) и следуйте командам мастера. |
Примечание
Примечание
|
|
Сначала нужно установить сервер MSMQ на контроллере домена Windows XP (в группе серверов, объединенных территориально), а затем можно устанавливать программное обеспечение MSMQ на других компьютерах. Сервер MSMQ не может быть установлен на компьютерах, работающих под управлением Windows XP Professional.
|
Служба MSMQ в Windows NT 4.0 и Windows XP. Перечислим общие задачи управления службой MSMQ. Интерфейс пользователя для выполнения этих задач отличается в Windows XP от интерфейса в Windows NT 4.0.
В табл. 22.6 перечислены отличия в терминологии и в архитектуре предыдущих версий от текущей версии MSMQ.
Службы Windows Media
Службы Windows Media
Службы Windows Media в составе Microsoft Windows XP — это группа служб, которые предназначены для передачи клиентам аудио- и видеоинформации при помощи одноадресного и группового вещания. Службы Windows Media используются также для передачи файлов клиентам. Поставляемое содержимое может быть создано, приобретено у поставщика или передаваться с телевизионных камер и микрофонов. В последнем случае его называют живым потоком (live stream).
Пользователи могут обращаться к поставляемому содержимому через Интернет, через корпоративную или образовательную интрасеть или через специализированные группы, которые получают содержимое в выделенной сети или в интрасети.
На Рисунок 22.20 будет представлена схема, которая иллюстрирует общую технологию доставки клиентам файлов типа Advanced Streaming File (ASF, Усовершенствованный потоковый файл).
Как показано на схеме, для создания содержимого файлов ASF применяются средства Media Services — Windows Media Author, VidToASF и WavToASF.
Для передачи живого потока можно использовать Кодировщик Windows Media (Windows Media Encoder) вместе с видеокамерой и микрофоном, чтобы кодировать содержимое в поток ASF, который службы Windows Media могут передавать пользователям. Кодировщик также может записывать поток ASF, который он кодирует в файл ASF для дальнейшего воспроизведения.
Службу можно применять для различных целей, например для распространения информации, для организации информационных, развлекательных и маркетинговых узлов, для обучения, управления и т. д.
Новые возможности. Потоковые мультимедийные службы в составе Microsoft Windows XP предоставляют многочисленные новые возможности для доставки потокового аудио- и видео-содержимого:
|
Улучшенное качество
|
|
Расширенный набор серверных компонентов
|
|
Программное обеспечение для кодирования информации
|
|
Большее количество инструментов
|
|
Поддержка в Проигрывателе Windows Media (Windows Media Player)
|
|
Большее количество сервисных возможностей
|
Состав служб Windows Media. Службы Windows Media собтоят из служб-компонентов и административной утилиты — Администратор Windows Media (Windows Media Administrator).
|
Службы Windows Media. Windows Media — набор служб, работающих под управлением Microsoft Windows XP Server. Эти службы предназначены для передачи звуковой и видеоинформации при помощи одноадресного и группового вещания клиентам.
|
|
Администратор Windows Media. Администратор Windows Media — набор веб-страниц, который функционирует в окне браузера Microsoft Internet Explorer версии 5.0 и управляет службами-компонентами Windows Media. При помощи администратора Windows Media можно управлять локальным сервером или одними или несколькими удаленными серверами Windows Media. Чтобы управлять несколькими серверами, нужно добавить серверы в список серверов, а затем соединиться с сервером, которым не обходимо управлять.
|
Администратор Windows Media (Рисунок 22.19) может функционировать (помимо Windows XP) на Microsoft Windows 98 или Microsoft Windows NT 4.0 с установленными Service Pack 4 (SP4) и Microsoft Internet Explorer 5.0. Администратор Windows Media также работает и с Internet Explorer 4.01 или под Microsoft Windows 95, но эти платформы официально не поддерживаются.
Вот основные процедуры, которые обычно выполняются при работе с Администратором Windows Media:
|
Чтобы запустить Администратор Windows Media:
Нажмите кнопку Пуск (Start) и выберите команду Программы | Администрирование | Windows Media (Programs | Administrative Tools | Windows Media). |
|
Чтобы соединиться с сервером Windows Media:
В окне Администратор Windows Media в списке выберите сервер, который необходимо администрировать. |
|
Примечание
Примечание
|
|
Если сервер, который нужно администрировать, не виден в списке серверов или список серверов вообще пуст, необходимо добавить сервер в список сервeров.
|
|
Чтобы добавить сервер к списку серверов:
В окне Администратор Windows Media нажмите кнопку Добавить сервер
(Add Server), а затем введите имя сервера в поле Сервер (Server).
|
|
Чтобы удалить сервер из списка серверов:
Выберите имя сервера в списке и нажмите кнопку Удалить сервер (Remove Server). Администратор Windows Media отключается от сервера, а имя сервера удаляется из списка серверов.
Примечание
Примечание
|
|
Право на внесение изменений в системном реестре при помощи редактора системного реестра зависит от разрешений доступа. Неправильное редактиррг вание системного реестра может нарушить работоспособность системы. Перед внесением изменений в системном реестре сделайте резервные копии всех ценных данных на этом компьютере.
|
Работа служб Windows Media и IIS на одном сервере. Компоненты сервера Windows Media и службы Microsoft Internet Information Services (IIS) могут сосуществовать на компьютере, когда используются значения по умолчанию по привязке к портам (одноадресная служба Windows Media связана с портом 1755, служба станции Windows Media — с портом 7007, a IIS — с портом 80).
Одноадресная служба Windows Media и служба станции Windows Media должны иметь доступные IP-адреса со свободным портом 80 для передачи потоковых данных ASF через протокол HTTP. Чтобы использовать потоковый HTTP, когда компоненты сервера Windows Media и IIS установлены на том же самом компьютере, требуются следующие условия:
|
По крайней мере два IP-адрееа, связанных с сетевой платой |
|
Уникальная ресурсная запись типа А на сервере DNS для IP-адреса сервера Windows Media и IP-адреса сервера IIS |
Чтобы разрешить потоковый протокол HTTP для компонентов сервера, которые работают на том же компьютере, что и IIS:
1. |
Назначьте IP-адрес веб-узлу в IIS:
|
2. |
Разрешите протокол потоковый HTTP для компонентов сервера Windows Media. Можете разрешить потоковый HTTP для одноадреснрй службы либо для службы группового вещания.
|
3. |
Отредактируйте системный реестр, чтобы службы компонентов Windows Media зависели от службы веб-публикации. |
Чтобы назначить IP-адрес веб-узлу в IIS:
1. |
В окне оснастки управления IIS выберите компьютер, на котором установлены службы Windows Media.
|
2. |
В контекстном меню узла Веб-узел по умолчанию (Default Web site) выберите пункт Свойства (Properties). Откроется диалоговое окно свойств.
|
3. |
Перейдите на вкладку Веб-сайт (Web site).
|
4. |
На вкладке в поле IP-адрес (IP address) введите значение IP-адреса, которое должен использовать IIS.
|
5. |
Повторите шаги 2 до 4 для любых дополнительных веб-узлов, которые установлены в IIS, включая административный узел. |
Чтобы отредактировать системный реестр так, чтобы одноадресная служба Windows Media или служба станции Windows Media зависели (запускались после другой службы) от веб-сервера:
1. |
Запустите редактор системного реестра.
|
2. |
Чтобы изменить настройки одноадресной службы Windows Media, в окне редактора реестра с помощью дерева реестра разверните ключ:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\nsunicast\
Или, чтобы изменить настройки службы станции Windows Media, в окне редактора реестра с помощью дерева реестра разверните ключ:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\nsstation\
|
3. |
Дважды щелкните на ключе DependOnService. Откроется окно многострочного редактора,
|
4. |
В конце списка служб введите vosvc. vbsvc — установка, которая делает компоненты сервера Windows Media зависящими от сервера IIS.
|
5. |
Перезапустите компьютер. |
Определение типа MIME для служб Windows Media в IIS. На веб-сервере должны быть заданы типы MIME (Multipurpose Internet Mail Extensions), чтобы сервер имел информацию о том, что делать в случае получения запроса на доступ к ресурсу с неизвестным расширением файла, например asf и asx. Без этой записи веб-сервер не сможет интерпретировать файл.
Чтобы создать новый тип MIME в IIS:
1. |
В окне оснастки Internet Information Services выберите нужный сервер.
|
2. |
Щелкните правой кнопкой мыши на узле Веб-узел по умолчанию (Default Web site), а затем в контекстном меню выберите пункт Свойства. Появится диалоговое окно свойств веб-узла по умолчанию.
|
3. |
Перейдите на вкладку Заголовки HTTP (HTTP Headers).
|
4. |
В окне Сопоставление MIME (MIME Map) нажмите кнопку Типы файлов (File type). Появится диалоговое окно Типы файлов.
|
5. |
Нажмите кнопку Создать (New type).
|
6. |
В диалоговом окне Тип файлов в поле Связанное расширение (Associated Extension) введите asf, а в поле Тин содержимого (MIME) (Content type (MIME)) введите video/x-ms-asf и нажмите кнопку ОК.
|
7. |
Повторите шаги 5-6 для расширения asx, задав тип содержимого video/x-ms-asf.
|
8. |
Перезапустите сервер. |
|
Примечание
Примечание
|
|
Эта процедура предполагает, что компоненты сервера Windows Media и службы IIS не используются совместно на сервере. Если компоненты сервера Windows Media установлены после того, как установлены MS. то типы MIME для US создаются автоматически. Создание типов MIME для веб-узла по умолчанию воздействует на все узлы. При помощи этой процедуры можно создавать типы MIME для любых узлов на сервере.
|
Средства администрирования
Средства администрирования
Для управления службой Microsoft NNTP можно использовать одно из двух средств администрирования. Выбор инструмента зависит от того, какие задачи нужно выполнять при администрировании, и от того, по какому каналу происходит соединение со службой. Можно управлять службой Microsoft NNTP как с компьютера, на котором служба работает, так и с удаленного компьютера:
|
Оснастка Internet Information Services может выполнять все задачи по администрированию, требует подключения через ЛВС. При ее использовании для управления службой NNTP нужно раскрыть узел Виртуальный NNTP-сервер по умолчанию. |
|
Примечание
Примечание
|
|
Оснастку Internet Information Services можно использовать для управления виртуальным сервером NNTP и с удаленного компьютера, если он находится в той же ЛВС, что и Microsoft NNTP Service. Однако этот компьютер должен работать под управлением Microsoft Windows XP, и на нем! должны быть установлены средства администрирования Windows XP.
Виртуальный сервер, который создается по умолчанию на сервере после инсталляции службы, — Виртуальный NNTP-сврвер по умолчанию (Default NNTP Virtual Server). Служба Microsoft NNTP может состоять из одного или большего количества виртуальных серверов NNTP.
|
Чтобы просмотреть или изменить свойства виртуального сервера NNTP:
1. |
Выберите в дереве нужный виртуальный сервер NNTP.
|
2. |
В меню Действие (Action) выберите команду Свойства (Properties).
|
3. |
Перейдите на нужную вкладку в диалоговом окне.
|
4. |
Измените любые опции по необходимости. |
|
Диспетчер NNTP Service Manager (HTML) позволяет решать большинство задач, выполняемых в оснастке ММС. Преимущество NNTP Service Manager (HTML) в том, что через веб-браузер можно администрировать службу при помощи любого соединения через любую сеть, включая Интернет. Браузер может находиться на компьютере, на котором функционирует служба, или на любом другом компьютере, который может установить соединение по протоколу TCP/IP со службой Microsoft NNTP. В качестве браузера используйте Microsoft Internet Explorer версии 4.0 и старше или Netscape Navigator версии 4.0 и старше. Для обращения к NNTP Service Manager (HTML) с компьютера, на котором функционирует служба Microsoft NNTP:
В строке адреса введите http://iocalhost/news/admin и перейдите к этому адресу
Для обращения к NNTP Service Manager (HTML) с удаленного компьютера:
В строке адреса введите http://имя_сервера/news/admin где имя_сервера — компьютер, на котором функционирует служба Microsoft NNTP.
|
Примечание
Примечание
|
|
Предварительно следует удостовериться, что удаленный компьютер имеет необходимые разрешения для доступа к NNTP Service Manager (HTML). |
При инсталляции службы Microsoft NNTP на компьютер устанавливаются оба средства администрирования. Для доступа к оснастке управления службой с удаленного компьютера нужен компьютер под управлением Microsoft Windows XP; на удаленном компьютере должны быть установлены средства администрирования Windows XP (Windows XP Administrative Tools).
Средства администрирования
Можно управлять службой с помощью одного из двух административных средств. Выбор инструмента зависит от того, какие задачи должны выполняться, и от того, как производится соединение со службой. Можно управлять службой Microsoft SMTP с того компьютера, на котором служба функционирует, или с удаленного компьютера.
Служба Microsoft SMTP имеет стандартные средства управления:
|
Оснастка Internet Information Services, которая может выполнять все задачи по администрированию службы и требует подключения через ЛВС. В дереве консоли нужно развернуть узел Виртуальный NNTP-cepeep no умолчанию (Рисунок 22.12). Виртуальный сервер, который создается при инсталляции службы, — Виртуальный NNTP-cepeep no умолчанию (Default SMTP Virtual Server).
|
Примечание
Примечание
|
|
Необходимо удостовериться, что удаленный компьютер имеет нужные разрешения для обращения к SMTP Service Manager (HTML).
|
Цвет значка виртуального сервера SMTP показывает состояние сервера: зеленый обозначает работающую службу, серый — приостановленную, красный — остановленную службу.
Оба административных средства установлены по умолчанию и функционируют на компьютере, на котором установлена служба SMTP фирмы Microsoft. Чтобы использовать управление через оснастку с удаленного компьютера, нужен компьютер под управлением Microsoft Windows XP; на удаленном компьютере должны быть установлены средства администрирования Windows XP (Windows XP Administrative Tools).
Примеры соответствия
Таблица 22.1. Примеры соответствия между физическим местоположением, псевдонимом и URL-адресом
Физическое местоположение |
Псевдоним |
Путь URL |
c:\wwwroot |
Домашний каталог (нет псевдонима) |
http:/flnfoserver |
\\Server2\info\Data |
Data |
http://Sales/Data |
c:\wwwroot\Schedule |
Нет |
httyj://infoserver/Schedule |
c:\wwwroot\Products |
Нет |
http://infoserver/Schedule |
d :\samples\documents |
Text |
http://infoserver/Schedule |
Как виртуальные, так и физические каталоги (каталоги без псевдонима) видны в оснастке Internet Information Services. Виртуальный каталог обозначается в виде значка папки с глобусом в углу.
Для простого веб-узла не требуется создание виртуальных каталогов. Можно просто разместить все файлы в основном каталоге узла. Если нужно построить сложный узел или задать различные URL для различных частей узла, можно добавлять виртуальные каталоги по необходимости.
Переадресация запросов. Когда браузер запрашивает страницу с узла, веб-сервер ищет страницу по заданному URJL и возвращает ее браузеру. Когда страница перемещается внутри узла, не всегда можно исправить все связи, которые ссылаются на старый URL страницы. Чтобы удостовериться в том, что браузеры смогут найти страницу по новому URL, можно заставить веб-сервер предоставлять браузеру новый URL. Браузер использует новый URL, чтобы запросить эту страницу снова. Этот процесс называется переадресацией запроса браузера или переадресацией на другой URL. Переадресация запроса о получении страницы подобна переадресации в почтовой службе. Переадресация гарантирует, что письма и пакеты, отправленные по предыдущему адресу вашего проживания, будут доставлены по новому адресу.
Переадресация URL полезна, когда узел подвергается переделкам и нужно сделать часть узла временно недоступной, или когда было изменено имя виртуального каталога и нужно заставить браузеры обращаться не к файлам в исходном виртуальном каталоге, а к тем же самым файлйм в новом виртуальном каталоге.
Другие средства. Часто может потребоваться динамически изменять содержание узла после того, как содержание было затребовано, но до передачи его браузеру. IIS включает две возможности, которые обеспечивают эту функциональность — серверные включения (Server-Side Includes, SSI) и Microsoft Active Server Pages (ASP) — для создания сценариев-посредников.
Используя SSI, можно выполнять ряд действий — от динамического отображения текущего времени на странице до выполнения заданных системных команд каждый раз, когда запрашивается данный ресурс (страница). SSI-команды, называемые директивами, включаются в страницы во времени разработки. Когда страница запрашивается, веб-сервер анализирует синтаксис всех директив на странице, а затем выполняет их. Наиболее часто используется директива включения, что позволяет включать содержимое файла внутрь страницы. Например, если требуется, чтобы в заголовок страницы вставлялась реклама, можно при помощи SSI включить исходный текст рекламы. Чтобы модифицировать рекламу, нужно изменить только файл, содержащий исходный текст рекламы. Для применения SSI не нужно знать язык создания сценариев — синтаксис директив очень прост.
ASP-страницы — серверная среда создания сценариев, позволяющая динамически изменять содержимое узла. Хотя технология ASP предназначена прежде всего для разработки веб-приложений, она предоставляет много возможностей для создания более простых в управлении узлов. Например, с помощью ASP можно отслеживать посещение узла пользователями (их атрибуты— IP-адрес, тип браузера, назначенные cookies и т. п.) или настраивать содержимое узла под возможности браузера. Однако, в отличие от SSI, ASP требует применения языка создания сценария, например VBScript или JScript.
Выбор инструмента для создания страниц. Феноменальный рост сети Интернет и развитие технологий интрасетей создали огромный спрос на специализированные средства создания узлов. Если пользователь плохо знаком с основами публикации в Интернете, выбрать надлежащий инструмент для создания узла может быть достаточно сложно. Мощного сервера, предназначенного для размещения готовых страниц, недостаточно для успешного пуска и эксплуатации информационного узла в Интернете. Вот инструменты создания и публикации узлов:
|
Microsoft FrontPage XP. Удобный, простой и мощный инструмент создания страниц и публикации их в сети. Обладает возможностями WYSIWYG (What You See Is What You Get, принцип "что видишь — то и получишь", т. е. визуальное создание с непосредственным отображением результата), тесно интегрирован с Microsoft Office XP и со службами IIS. |
|
Преобразование в HTML. Привлекательная альтернатива созданию страниц — преобразование существующих документов в документы HTML. Применяя к файлам текстового процессора и электронных таблиц конвертер, можно сразу помещать такого рода страницы в сети, на веб-сервере. Многие программы обработки текстов, например Microsoft Word XP, имеют встроенные возможности для преобразования документов в формат HTML. Однако большинство конвертеров только добавляет тэги форматирования HTML к тексту, плохо сохраняя первоначальный вид документов. Конвертеры — удобные средства, они особенно полезны, если планируется публиковать большую часть существующей документации, которая не нуждается в частом изменении. |
|
Текстовый редактор. Страницы можно создавать почти в любом стандартном текстовом редакторе, например, в Блокноте (Notepad), вводя тэги HTML и содержимое страниц, сохраняя в файле, а затем открывая их в браузере для предварительного просмотра. Некоторые опытные пользователи предпочитают этот метод, потому что он обеспечивает более тонкий контроль форматирования страниц и позволяет применять последние технологические новшества Интернета. |
Рекомендуемые конфигурации
Таблица 22.2. Рекомендуемые конфигурации компьютера, в зависимости от числа индексируемых документов
Если документов много, а памяти для работы службы не хватает, производительн
Число индексируемых документов |
Минимальный объем оперативной памяти (Мбайт) |
Рекомендуемый объем оперативной памяти; (Мбайт) |
Менее 100000 |
64 |
64 |
От 100 000 до 250 000 |
64 |
От 64 до 128 |
От 250 000 до 500 000 |
64 |
От 128 до 256 |
500 000 и более |
128 |
От 256 |
ость системы может серьезно понизиться. Если компьютер при функционировании службы работает медленно, можно попробовать настроить производительность службы (см. ниже). Можно улучшить производительность службы и компьютера в целом, увеличивая объем оперативной памяти и увеличивая объем памяти, выделенный для кэша свойств (property cache). Более быстрый процессор увеличивает скорость индексации и обработки запросов.
Полный объем документов, которые будут проиндексированы, и тип файловой системы также влияют на объем дискового пространства, требуемого для хранения данных службы индексирования. В файловой системе FAT пространство, необходимое для каталога, плюс временное рабочее пространство, приблизительно равно 30% объема индексируемого текста. В файловой системе NTFS требуется пространство, приблизительно равное 15% объема индексируемого текста,
Управление службой. В предыдущих версиях (входивших в состав Option Pack для Windows NT Server 4.0 иди поставлявшихся отдельно) управлять службой индексирования можно было как при помощи оснастки, так и с использованием HTML Интерфейса. В Windows XP оставлена только возможность управления службой индексирования с использованием оснастки (Рисунок 22.14).
Режим запроса в краткой форме
Таблица 22.3. Режим запроса в краткой форме
Символ |
Режим |
@ |
Запрос на поиск фразы (эквивалент {phrase}) |
# |
Запрос с регулярным выражением (эквивалент {regex}) |
$ |
Свободно текстовый запрос (эквивалент {freetext}) |
Правила составления запросов. Имеются пять видов запросов:
|
Свободные текстовые запросы |
|
Запросы-фразы |
|
Запросы сопоставления с образцом |
|
Относительные запросы |
|
Векторно-пространственные запросы |
Правила, относящиеся к запросам всех видов
В запросах не различаются строчные и прописные буквы. Можно искать любое слово, если оно не содержится в списке исключений (Рисунок 22.17). Для того чтобы использовать специальные символы в запросе (типа &, |, # и $), нужно заключить запрос в кавычки. Значения даты и времени имеют одну из двух форм: yyyy/mm/dd hh:mm:ss
yyyy-mm-dd hh:mm:ss.
Первые два символа года и полного времени могут быть опущены. Если опускаются первые два символа года, дата интерпретируется как находящаяся в интервале между 1930 и 2029 гг. Трехзначное число миллисекунд может быть задано после секунд. Все даты и времена задаются в UTC (Universal Coordinated Time[ME1], Скоординированное всемирное время). Пример задания времени: 1993/11/7 12:04:23:123.
Примечание
Примечание
|
|
Дата и время относительно текущей даты и времени могут быть выражены со знаком "минус" (-), за которым следует одна или более пар "целое число-единица". Единицы задаются так: у — число лет, q — число кварталов (три месяца), m — число месяцев, w — число недель, d — число дней, h — число часов, п — число минут и s — число секунд. Числовые значения могут быть заданы в десятичном или в шестнадцатеричном виде. Шестнадцатеричные значения предваряются символами "Ох".
|
Оператор contains. Для поиска слова или фразы в заданном свойстве можно использовать оператор contains. Если оператор не задан, по умолчанию считается заданным оператор contains. Следующие запросы эквивалентны:
@DocTitle "Что-то важное"
@DocTitle CONTAINS "Что-то важное"
Булевы операторы. Можно использовать булевы операторы and, or и мот как в запросах на вхождение в содержимое, так и в запросах по свойствам. Оператор near может применяться только в запросах по содержимому документов. Операторы в запросах могут быть записаны как в полной, так и в краткой форме (табл. 22.4).
Полная и краткая формы операторов
Таблица 22.4. Полная и краткая формы операторов
Оператор |
Длинная форма |
Краткая форма |
AND |
AND |
& |
OR |
OR |
I |
NOT |
AND NOT |
&! |
NEAR |
NEAR |
Near, ~ |
|
Примечание
Примечание
|
|
Булевы операторы доступны только в английском написании.
Булевы операторы рассматриваются в следующем порядке: not, and и NEAR, OR.
|
Текстовые запросы. Для свободных текстовых запросов можно указывать группу слов или законченное предложение. Служба индексирования находит документы, которые лучше всего соответствуют словам и фразам в свободно текстовом запросе. Булевы операторы и подстановочные символы в таком запросе игнорируются.
Запросы на поиск фразы. Чтобы искать фразу, ее нужно или заключить в кавычки, или предварить тэгом {phrase}. Слова в запросе на поиск фразы должны встретиться в документе в указанном порядке, без пропуска слов.
Запросы сопоставления с образцом. Для запросов сопоставления с образцом служба индексирования выбирает документы, соответствующие образцу, который задается пользователем.
В такого рода запросах используются маски (wildcards), запросы, задающие словоформы, регулярные выражения и операторы отношений.
Относительные запросы. В таких запросах для поиска документов, свойства которых лежат в некотором диапазоне, можно использовать операторы отношения: больше, меньше, равно, не равно и т. п.
Векторно-пространственные запросы. Векторно-пространственные запросы предназначены для поиска документов, которые соответствуют списку слов и фраз. Документы, которые возвращаются после выполнения векторно-пространственного запроса, не обязательно соответствуют каждому термину в запросе. Ранг каждого документа указывает, насколько хорошо документ соответствует запросу.
Можно задавать весовые коэффициенты, чтобы управлять относительной важностью терминов для получения результата. Допустимые значения весов находятся в диапазоне от 0,0 до 1,0.
Примеры запросов. В табл. 22.5 приведены примеры разнообразных запросов.
Примеры запросов
Таблица 22.5. Примеры запросов
Чтобы найти |
Полная форма |
Краткая форма |
Результат |
Заданное значение |
{prop name=DocAu.thor } = Иван Иванов {/prop} |
@DocAuthor = Иван Иванов |
Документы, созданные Иваном Ивановым |
Значение, начинающееся с заданного префикса |
{prop name=DocAuthor } {гедех}Иван *{/rедех} {/prop} |
IDocAuthor Иван* |
Документы, чье свойство "автор" начинается с "Иван" |
Файлы с расширением из числа заданных |
{prop name=f ilename } { regex } * . | (doc | , txt | , wri | ) { /regex } { /prop } |
#filename *. | (doc|, txt |, wri| ) |
Файлы с расширениями doc, txt или wri |
Документы, измененные после некоторой даты |
{prop name=write} > 99/7/18 11:05:00 {/prop} |
@write > 99/7/18 11:05:00 |
Документы, измененные после 18 июля 1999 года, в11:05ло1ЯС |
Документы, измененные после относительной даты |
{prop name=write} > -2d4h {/prop} |
@write > -2d4h |
Документы, измененные в пределах последних 52 часов |
Управление службой
Таблица 22.6. Управление службой MSMQ в Windows XP и в Windows NT 4.0
Необходимое действие |
Windows NT 4.0 |
Windows XP |
Управление доступом, установка аудита или изменение владельца для Message Queuing |
MSMQ Explorer |
Оснастка Active Directory- пользователи и компьютеры (Active Directory Users and Computers) |
Изменение учетной записи для службы MSMQ |
Значок Services на панели управления |
Оснастка Управление компьютером (Computer Management) |
Настройка параметров маршрутизации |
MSMQ Explorer |
Оснастка Active Directory - пользователи и компьютеры |
Создание внешних (foreign) узлов или добавление внешних компьютеров |
MSMQ Explorer |
Оснастка Active Directory-пользователи и компьютеры |
Добавление, удаление и настройка компьютеров MSMQ; установка квот для компьютеров или изменение свойств |
MSMQ Explorer |
Оснастка Active Directory - пользователи и компьютеры |
Установка параметров IPX/SPX для компьютеров MSMQ |
Значок Network на панели управления |
Значок Сеть и удаленный доступ к сети (Network arid Dialup Connections) на панели управления |
Создание, удаление и настройка очередей; установка квот очереди или изменение свойств |
MSMQ Explorer |
Оснастка Active Directory - пользователи и компьютеры |
Просмотр и удаление сообщений; просмотр свойств сообщений |
MSMQ Explorer |
Оснастка Active Directory - пользователи и компьютеры |
Управление службой MSMQ. Управление MSMQ на локальном компьютере осуществляется при помощи оснастки Управление компьютером — узел Службы и приложения | Очередь сообщений. Основное управление объектами MSMQ в организации осуществляется с применением оснастки Active Directory — пользователи и компьютеры. Для управления MSMQ в организации:
1. |
Запустите оснастку Active Directory — пользователи и компьютеры.
|
2. |
В дереве консоли разверните узел Active Directory — пользователи и компьютеры.
|
3. |
В меню Вид (View) выберите пункт Пользователи, группы и компьютеры как контейнеры (Users, Groups and Computers as Containers), а затем в том же меню выберите пункт Дополнительные функции (Advanced Features).
|
4. |
В дереве консоли найдите нужный домен, затем подразделение, наконец нужный компьютер, на котором установлена MSMQ, щелкните правой кнопкой мыши на узле msmq и в контекстном меню выберите пункт Свойства (Properties). |
Удаление IIS
Удаление IIS
Удаление служб IIS производится при помощи той же процедуры, что и установка. Для удаления IIS сбросьте флажок рядом с названием компонента Windows в списке компонентов.
Каталоги, содержащие пользовательские данные, остаются в системе после того, как IIS полностью удаляется:
|
\Inetpub |
|
%SystemRoot%\Help\iisHelp |
|
%SystemRoot%\system32\inetsrv |
Управление информационным наполнением
Управление информационным наполнением
Необходимость в корректном управлении содержимым (наполнением, content) очевидна. Предположим, что создан сложный информационный сервер преуспевающей компании. На каком-то этапе был спроектирован дизайн сервера — заголовки, подвалы и элементы оформления. Однако в самом конце выяснилось, что была допущена ошибка в логотипе компании, который расположен на всех многочисленных страницах узла. Возможны также неисправности в аппаратной части компьютера. При этом может понадобиться перенаправить всех пользователей узла на другой, резервный сервер, пока производится восстановление аппаратуры.
Такие проблемы ярко демонстрируют необходимость корректного управления веб-узлом. И хотя эффективное управление узлом, в конечном счете, зависит от навыка администратора, существует множество основных инструментов и процедур, применяемых для решения наиболее важных задач управления.
Начальные действия. Сначала нужно создать веб-узел и указать, в каких каталогах хранятся публикуемые документы. Веб-сервер не может опубликовать документы, которые находятся вне пределов указанных каталогов. Первым шагом в развертывании веб-узла является задание организационной структуры файлов. После этого, используя оснастку Internet Information Services, нужно задать, какие каталоги являются частью узла.
Если необходимо опубликовать информацию немедленно, не тратя время на создание структуры каталогов узла, и все файлы расположены на одном и том же жестком диске, можно просто скопировать публикуемые файлы в основной каталог по умолчанию, \InetPub\Wwwroot. (Для FTP-узла, нужно скопировать файлы в каталог \InetPub\Ftproot.) Пользователи сети смогут обращаться к этим файлам, вводя URL-адрес http://server/имя_файла
Задание домашних каталогов. Каждый веб-узел или FTP-узел должен иметь корневой (домашний) каталог. Домашний каталог — отправная точка для организации информационной структуры публикуемых страниц. Он содержит домашнюю страницу или индексный файл, который является стартовой страницей узла и содержит ссылки на другие страницы на узле. Домашний каталог привязывается к имени домена узла или к имени сервера.
Например, если имя домена узла — www.myfirm.com и корневой каталог — \Webserver\MyFirm, то браузер, обращаясь по URL http://www.myfirm.com, получит файлы из корневого каталога. В интрасети, если имя сервера — Infoserver, то браузер, обращаясь по URL http://Infoserver, получит доступ к файлам в корневом каталоге.
Корневой каталог по умолчанию создается при установке Internet Information Services, а также при создании нового веб-узла. Корневой каталог можно изменять (Рисунок 22.8).
Установка и удаление служб IIS
Установка и удаление служб IIS
Службы Internet Information Services устанавливаются на компьютере с Windows XP Server по умолчанию. Можно установить IIS, удалить или установить дополнительные компоненты, используя значок Установка и удаление программ (Add/Remove Programs) из панели управления.
Установка IIS
Установка IIS
Чтобы установить IIS, добавить или удалить компоненты:
1. |
Выберите команду Пуск (Start) | Настройка (Settings) | Панель управления (Control panel) и дважды щелкните на значке Установка и удаление программ (Add/Remove Programs).
|
2. |
В левом столбце диалогового окна Установка и удаление программ перейдите на вкладку Установка и удаление компонентов Windows (Add/Remove Windows Components).
|
3. |
Когда запустится Мастер компонентов Windows (Windows Components Wizard), нажмите кнопку Далее (Next).
|
4. |
В списке Компоненты (Windows Components) выберите Internet Information Services (IIS) (Рисунок 22.5).
|
5. |
Нажмите кнопку Далее и следуйте командам мастера. |
Active Directory и промышленные стандарты (RFC)
Active Directory и промышленные стандарты (RFC)
В табл. 23.2 перечислены некоторые основные стандарты, реализуемые в службе каталогов Active Directory и DNS-сервере, входящем в состав Windows XP Server.
Атрибуты и их типы
Атрибуты и их типы
Каждый элемент каталога имеет атрибуты различных типов, характеризующих информацию, содержащуюся в этих атрибутах. Например, атрибут типа commonName представляет собой имя, идентифицирующее некоторый объект. Каждый атрибут может иметь одно или несколько значении.
Помимо атрибутов стандартных типов можно создавать и использовать дополнительные типы атрибутов.
Домены и Контроллеры доменов
Домены и Контроллеры доменов
Основные компоненты любой службы каталога — база данных, содержащая нужную информацию, и один или несколько протоколов, обеспечивающих доставку данных пользователям.
Active Directory обеспечивает хранение любой общедоступной информации. Как и другие службы каталогов, Active Directory обеспечивает некоторый механизм хранения информации и протоколы для доступа к ней.
Для понимания структуры Active Directory рассмотрим сначала отличия Windows XP от предыдущих версий. Компьютеры на базе Windows XP по-прежнему объединяются в домены. Домены — это известное решение для администрирования групп, предоставляющее каждому пользователю учетную запись в конкретном домене. Однако, в отличие от Windows NT Server 4.0, где доменам давались простые строковые имена (имена NetBIOS), в среде Windows XP Server каждый домен должен иметь имя, отвечающее соглашениям именования доменов Domain Name System (DNS). Так, домен MainOffice при обновлении может получить новое имя типа mainqfflce.company.com. В каждом домене один или несколько компьютеров должны выполнять функции контроллеров домена. В среде Windows XP Server каждый контроллер домена содержит полную копию базы данных Active Directory этого домена. В Active Directory используются так называемое ядро Extended Storage Engine (ESE) и два различных протокола, обеспечивающих связь между клиентами и базой данных. Для поиска контроллера домена клиент обращается к протоколу, описанному в DNS, — "стандартной", службе каталогов, применяемой в настоящее время для сетей TCP/IP. Для доступа к данным в Active Directory клиент использует протокол Lightweight Directory Access Protocol (LDAP) (Рисунок 23.1).
|
Рис 23.1. Доступ к данным с использованием LDAP
|
Доверительные отношения
Доверительные отношения
Принципиальное отличие доменов Windows XP от доменов Windows NT 4.0 заключается в том, что все домены Windows XP связаны между собой транзитивными доверительными отношениями, созданными с использованием протокола Kerberos. Эти отношения устанавливаются по умолчанию, автоматически, и являются двунаправленными. Под транзитивностью подразумевается тот факт, что все домены в дереве доверяют друг другу: т. е. если домен А доверяет домену Б, а домен Б доверяет домену В, то домен А также доверяет домену В. Такой подход упрощает администрирование доменов при сохранении высокого уровня безопасности.
Информационное дерево каталога
Информационное дерево каталога
Элементы каталога организованы в виде иерархического дерева, называемого Directory Information Tree (DIT, Информационное дерево каталога или просто Дерево каталога). Элементы, находящиеся ближе к корню дерева, обычно представляют крупные объекты, например, организации или компании; элементы, располагающиеся на ветвях этого дерева, (листья) представляют более простые объекты — пользователей, устройства, компьютеры.
Интерфейсы API в Active Directory
Интерфейсы API в Active Directory
Имеется множество каталогов сетевых ресурсов, например, LDAP-каталоги, Active Directory, Banyan StreetTalk, Microsoft Windows NT Directory Service, Novell Directory Service, и каталогов конкретных приложений, таких как Lotus Notes, cc:Mail или Microsoft Exchange. Все эти службы каталогов имеют свои интерфейсы программирования, что усложняет как администрирование каталогов (поскольку управление каждым каталогом выполняется отдельно), так и создание корпоративных приложений, обращающихся к используемым в организации каталогам.
Решение проблемы компания Microsoft видит в применении Active Directory Service Interface (ADSI) — набора СОМ-интерфейсов программирования, при помощи которого пользователи и независимые поставщики программного обеспечения (ISV) могут применять единый хорошо проработанный интерфейс для регистрации в различных службах каталогов, доступа к ним и управления этими службами.
Одним из наиболее распространенных и открытых интерфейсов доступа к базам данных является Open Data Base Connectivity (ODBC). Этот интерфейс поддерживается практически всеми реляционными базами данных. ADSI можно рассматривать как "ODBC для служб каталогов". ADSI позволяет создавать механизмы (называемые поставщиками ADSI, ADSI-providers) доступа к информации конкретного типа каталога. Прикладные программы, написанные с использованием ADSI, будут работать с любыми службами каталогов, для которых имеется поставщик ADSI. Так обеспечивается открытое, универсальное решение проблемы использования различных каталогов (Рисунок 23.6). Windows NT Server 4.0 уже имеет несколько поставщиков
ADSI для различных служб каталогов, a Windows XP Server имеет поставщика ADSI для Active Directory.
Изменение местоположения глобального каталога
Изменение местоположения глобального каталога
Сервером глобального каталога можно назначить любой контроллер домена с учетом требований сетевой среды к операциям поиска и обслуживания запросов на регистрацию. Для этой цели используется оснастка Active Directory — сайты к службы (Active Directory Sites and Services): в ней нужно выбрать требуемый контроллер домена и открыть окно Свойства: NTDS Setting (NTDS Settings Properties), в котором установить флажок Глобальный каталог (Global Catalog). При этом уже имеющиеся в сети серверы глобального каталога сохраняют свой статус, и если таких серверов в сети становится несколько (два и больше), то между ними начинается репликация данных с применением обычных механизмов и расписаний репликации.
Каталоги и Windows XP
Каталоги и Windows XP
Служба каталогов нужна многим приложениям. Требуется она и операционным системам, которым удобно хранить в едином каталоге учетные записи пользователей, информацию о файлах и приложениях политики безопасности и многое другое.
Если в некоторой распределенной среде отсутствует главный, центральный каталог, то каждому приложению необходимо иметь собственный каталог, в результате чего появляются различные решения и механизмы хранения информации. К примеру, в среде Windows NT Server 4.0 пакет Microsoft Exchange использует одну службу каталога, еще одна база хранит пользовательские учетные записи, а в других распределенных компонентах, таких как Microsoft Message Queuing Server (MSMQ), все равно применяются дополнительные каталоги. Понятно, что наличие нескольких механизмов, реализующих одну и ту же задачу, — далеко не самое удачное решение. Гораздо лучше — единственная служба каталогов, доступная всем клиентам и имеющая одну базу данных, общие схему и соглашения об именовании информации, а также возможность централизованного администрирования. Active Directory используется в Windows XP Server по-разному. Операционная система хранит в каталоге информацию о пользовательских учетных записях, принтерах и компьютерах сети, а также многое другое. Большое значение Active Directory имеет для Windows Management Architecture (Архитектура управления Windows) — в частности, с помощью каталога ищутся серверы, на которых располагаются компоненты приложений. К службе Active Directory для хранения разнообразной информации (например, пользовательских адресных книг и сертификатов) обращается пакет Microsoft Exchange. Приложения, созданные на базе модели DCOM и Microsoft Transaction Server (MTS; в Windows XP называются Службами компонентов, Component Services), могут обращаться к службе каталогов для поиска удаленных объектов. Active Directory заменит службу каталога, существующую в настоящее время в MSMQ. Поскольку в Active Directory можно хранить информацию новых типов, то есть схему каталогов можно расширять, разработчики корпоративных и коммерческих приложений могут использовать существующие службы каталогов для создания своих продуктов.
Контейнер
Контейнер
Контейнер (container) — это специфический объект службы каталогов, который, в отличие от обычных объектов, не имеет какого-либо физического представления, а служит только структурной организации — группировки — других объектов каталога. Типичным примером контейнеров могут служить организационные единицы, или подразделения (см. ниже раздел "Листья и контейнеры LDAP"), используемые для упрощения администрирования отдельных групп ресурсов или пользователей в домене.
Листья и контейнеры LDAP
Листья и контейнеры LDAP
После того как с помощью DNS нужный контроллер домена обнаружен, для доступа к данным Active Directory используется протокол LDAP. Как и DNS, LDAP — это стандарт, разработанный консорциумом IETF и происходящий от сложной, но не используемой широко службы каталогов Х.500, созданной в середине 80-х годов. Active Directory поддерживает не только версию 2 протокола LDAP, описанную в RFC 1777, но и версию 3, рассматриваемую в RFC 2251. В настоящее время практически все фирмы-поставщики служб каталогов предлагают LDAP-совместимые продукты, поэтому клиенты LDAP сторонних поставщиков могут обращаться к LDAP-серверу Active Directory. Протокол LDAP работает поверх TCP/IP и — как следует из названия протокола — определяет способы доступа к каталогу со стороны клиентов. Помимо механизма доступа данный протокол реализует соглашения по именованию информации в каталоге, в явном виде описывая структуру этой информации. Для клиента все данные, хранящиеся в базе LDAP, представляются в виде иерархического дерева. Каждый узел дерева (объект или элемент) может быть либо контейнером (container), либо листом (leaf). Различие между ними вполне очевидно: контейнеры могут содержать другие элементы, а листья — нет.
Каждый элемент (контейнер или лист) представляет собой некоторый объектный класс, определяющий атрибуты (называемые также свойствами) данного элемента. Поскольку атрибуты есть и у контейнеров, и у листьев, информация, хранящаяся в дереве каталога, распределена по всем узлам. Тип информации (объектные классы и типы атрибутов), содержащейся в конкретной базе данных Active Directory, задается схемой, определенной для этого каталога. В Active Directory схема каждого каталога представлена элементами, хранящимися непосредственно в самом каталоге. Компания Microsoft определяет стандартную схему, однако пользователи и разработчики программных средств могут добавлять новые классы и типы атрибутов. Изменение схемы каталога — полезная возможность, которой нужно пользоваться очень осторожно, поскольку такие изменения могут иметь весьма значительные последствия.
Схема Active Directory достаточно сложна и содержит сотни и сотни объектных классов и типов атрибутов. Ниже для примера перечислены некоторые интересные классы:
|
user — описывает конкретного пользователя домена. Среди атрибутов этого класса: canonicalName (Каноническое имя), userPrincipalName (Полное имя пользователя), homePostalAddress (Домашний почтовый адрес), telephoneNumber (Номер телефона), thumbnailPhoto (Фотография).
|
|
printQueue — позволяет клиенту находить некоторый принтер. Среди атрибутов: location (Местоположение), printStatus (Состояние принтера) и printLanguage (Язык принтера).
|
|
compoter — идентифицирует некоторый компьютер домена. Среди множества атрибутов этого класса: operatingSystem (Операционная система), operatingSystemServicePack, dNSHostName (DNS-имя хоста) и machineRole (Назначение компьютера; этот атрибут указывает, является ли данный компьютер контроллером домена, рядовым сервером или рабочей станцией).
|
|
organizationalUnit — описывает подразделения конкретного домена. Самый важный.атрибут— ои (Имя организационной единицы). Организационные единицы играют очень важную роль при структурировании информации, внутри домена (это будет описано чуть позже). |
Каждый элемент Active Directory и каждый атрибут любого элемента имеют список управления доступом (ACL), который определяет права и возможности пользователей в отношении доступа к конкретным элементам и атрибутам. Например, список ACL может позволить одним пользователям читать атрибуты некоторого элемента, другим пользователям — читать и изменять некоторые из атрибутов, а остальным — запретить какой-либо доступ к элементу. Эффективное управление доступом невозможно без достоверной аутентификации клиентов, Active Directory использует для этой цели протокол Kerberos. (Kerberos — стандарт, созданный консорциумом IETF и поддерживаемый многими поставщиками; ключевая технология для обеспечения распределенной безопасности Windows XP.)
Механизмы именования в Active Directory
Механизмы именования в Active Directory
Каждый домен в Windows XP имеет DNS-имя, однако DNS-имена не применяются для именования отдельных элементов базы данных Active Directory. Вместо "этого следует использовать имена, принятые в LDAP. Согласно требованиям протокола LDAP один {или — очень редко — несколько) из атрибутов элемента каталога служит для именования этого элемента. Например, для идентификации экземпляра (элемента) объектного класса user может быть задействовано значение атрибута сn; а для объекта класса organizational Unit — значение атрибута оu.
На Рисунок 23.2 показана гипотетическая структура очень простого домена Windows XP для компании BHV. Предположим, что эта компания имеет два структурных подразделения (отдел продаж и редакционную группу) и доменное имя компании — bhv.com. По функциональным обязанностям члены редакционной группы делятся на администрацию и редакторов. Практически в любом домене для деления пространства имен используются подразделения или организационные единицы (OU), и демонстрационный домен — не исключение. Ниже корня домена располагаются два подразделения: sales (отдел продаж) и office (редакционная группа). Имя каждого подразделения определяется значением ее атрибута оu.
|
Рис 23.2 Структура каталога простого домена Windows XP
|
|
Примечание |
|
Объектам Active Directory (в частности, подразделениям) можно давать и русские имена (возможно, из нескольких слов). Однако, если локальная сеть подключается к Интернету, нужно учитывать, что в стандартных интернетовских DNS-именах разрешены только латинские буквы!
|
Ниже подразделения sales располагаются объекты класса user. Имя.каждого объекта определяется атрибутом en (Common-Name), и эти объекты хранят информацию о пользователях домена. Организационная единица office делится еще на два подразделения: Admins и Editors. Ниже располагаются элементы каталога для отдельных работников, имена которых также определяются атрибутами сп.
Для получения информации о некотором элементе, например, Director, клиент должен указать уникальное имя этого элемента, которое называется отличительным, или различающимся, именем (distinguished name). Отличительное имя — это набор имен, отражающих путь от корня дерева домена до интересующего элемента. Для элемента Director, например, отличительным именем будет cn=Director, ou=Admms, dc=bhv, dc=eom. В последних двух элементах имени dc означает domain component, эти элементы представляют DNS-имя домена в соответствии с соглашениями LDAP. Отличительные имена уникальным образом идентифицируют узлы в базе данных Active Directory, однако их нельзя назвать "дружественными". Можно не перечислять в имени все типы атрибутов явно (cn=, ou=, dc= и т. п.), а записать это имя как //bhv.com/Admins/Director. В передаваемых LDAP-пакетах всегда указывается отличительное имя, однако в пользовательском интерфейсе можно применять более удобную и простую форму имени. Помимо отличительного имени каждый объект каталога имеет относительное отличительное имя (relative distinguished name), которое является атрибутом самого этого объекта, а не образуется как цепочка имен до объекта от корня дерева. Таким образом, для элемента Director, например, относительным отличительным именем будет cn=Director. Для родительского объекта этого элемента относительное отличительное имя — ou=Admins. В Active Directory имеется несколько контекстов имен (naming contexts), или разделов (partitions), которые представляют собой законченные, непрерывные поддеревья каталога и являются объектами репликации. Каждый сервер с Active Directory имеет по меньшей мере три контекста имен:
|
Схема (Schema), описывающая классы объектов и их атрибуты, хранящиеся в Active Directory.
|
|
Конфигурация (Configuration) (топология репликации и связанные с ней метаданные, например, сведения о контроллерах домена).
|
|
Один (в нашем примере — bhv.com) или несколько пользовательских, или доменных, контекстов имен (т. е. контекстов, содержащих реальные, рабочие объекты каталога), при этом контроллеры домена хранят реальные объекты только своего домена. |
Объекты и объектные классы
Объекты и объектные классы
Каталог состоит из элементов (entries), представляющих собой информацию, или атрибуты, связанные с некоторым реальным объектом, например компьютером, человеком или организацией. Термины "элемент" и "объект" часто используют как взаимозаменяемые, хотя объект — это нечто относящееся к физическому миру, а элемент — его представление в каталоге.
Каждый объект принадлежит по крайней мере к одному объектному классу, представляющему собой некоторое семейство объектов с определенными общими характеристиками. Класс объектов определяет тип информации, содержащейся в Active Directory для экземпляров (объектов) данного класса. В качестве примера объектных классов можно привести два стандартных класса: person и domain. Среди множества атрибутов этих классов — cn (Common-Name), userPassword (User-Password) и dc (Domain-Component), url (WWW-Page-Other), соответственно. Атрибуты могут быть как обязательными (mandatory) для данного класса (например, сn и dc), так и дополнительными (optional) (userPassword и url).
Помимо стандартных объектных классов можно описывать дополнительные классы, относящиеся к различным уровням (national и local).
Организация доменов Лес и Деревья
Организация доменов: Лес и Деревья
База данных домена Windows XP может хранить значительно больше элементов, чем это было возможно в доменах Windows NT 4.0, поэтому организация, имеющая в своей сети множество доменов, теперь сможет объединить их в один домен. Однако в некоторых ситуациях даже одной организации полезно иметь несколько доменов. В подобных случаях Active Directory позволяет различным образом группировать домены (хотя такое решение не является обязательным).
Домены с непрерывными "смежными" DNS-именами могут быть объединены в дерево доменов (domain tree), или доменное дерево (Рисунок 23.3).
|
Рис 23.3. Несколько доменов можно объединить в один
|
Какие преимущества дает объединение доменов в подобную иерархию? Появляется возможность поиска в корневом домене, при котором также проверяются элементы в дочерних доменах. Кроме того, наличие автоматически созданных двусторонних доверительных отношений между всеми доменами, входящими в дерево, значительно упрощает администрирование всей сети. Также можно группировать домены, не имеющие "смежных" DNS-имен. В результате этого возникнет лес (forest), состоящий из нескольких доменов и/или деревьев доменов. Как и в дереве доменов, все домены, входящие в лес, связаны между собой двусторонними доверительными отношениями, используют общую схему, конфигурацию и глобальный каталог. Главное различие между деревом доменов и лесом заключается в том, что все домены, входящие в дерево, должны иметь "смежные" DNS-имена, а для доменов, образующих лес, это не обязательно.
Основные концепции службы Active Directory
Основные концепции службы Active Directory
В рамках этой книги невозможно подробно рассмотреть все аспекты использования службы каталогов Active Directory и доменов Windows XP, поэтому в данной и следующих двух главах изложены основные термины и принципы построения служб каталогов и, конкретно, Active Directory; без понимания этих принципов трудно воспринимать материал многих других глав и эффективно использовать системы Windows XP в сложной сетевой среде. Рассмотрены также некоторые вопросы развертывания доменов Windows XP и типовые операции администрирования Active Directory (создание объектов каталога, делегирование прав администрирования, управление доверительными отношениями и т. д.). Разобравшись с изложенными в упомянутых главах темами, читатель сможет правильно подойти к решению многочисленных вопросов, возникающих в процессе эксплуатации сетевой многодоменной среды Windows XP.
Основные контроллеры операций
Основные контроллеры операций
Как уже упоминалось, в Active Directory реализована репликация в режиме multi-master. Однако некоторые изменения в каталоге целесообразнее (эффективнее) выполнять в режиме с одним основным контроллером (single-master), называемым основным контроллером операций (operations master), который и управляет всеми подобными изменениями.
Основной контроллер операций отвечает за выполнение определенных функций, которые называют ролями контроллера операций. Поскольку эти роли могут назначаться разным контроллерам домена внутри домена или леса и передаваться от одного контроллера к другому, для них существует другое определение — гибкие операции с одним основным контроллером (Flexible Single Master Operations, FSMO).
Отказы основных контроллеров операций
Отказы основных контроллеров операций
Может возникнуть законный вопрос: что произойдет, если откажет какой-нибудь единственный (поскольку это заложено в концепции FSMO) в домене или лесе основной контроллер операций, выполняющий определенную роль? Как будет обеспечиваться отказоустойчивость сети? Некоторые роли контроллеров операций очень важны для поддержания сети в рабочем состоянии. Другие контроллеры операций могут без проблем отсутствовать в течение достаточно долгого времени: отказ будет замечен только при выполнении в сети определенных операций.
Мы не будем подробно описывать существующие сценарии восстановления полной работоспособности сети, достаточно сказать, что если по каким-то причинам некоторый основной контроллер операций становится недоступным, то его роль можно захватить (seize), т. е. принудительно передать другому контроллеру домена.
Передача ролей FSMO
Передача ролей FSMO
Для передачи ролей FSMO, уникальных для всего леса, используются оснастки Схема Active Directory (Active Directory Schema) (для назначения роли "хозяин схемы") и Active Directory- домены и доверие (Active Directory Domains and Trusts) (для назначения роли "хозяин именования доменов"). В окне соответствующей оснастки нужно вызвать контекстное меню для корня структуры, выбрать команду Подключение к контроллеру домена (Change Domain Controller) и соединиться с нужным контроллером домена. Затем в контекстном меню выбрать команду Хозяин операций (Operations Master) и в появившемся окне, нажав кнопку Изменить (Change), подтвердить передачу роли выбранному контроллеру домена.
Роли FSMO уникальные дм домена, назначаются контроллерам домена При помощи оснастки Active Directory - пользователи компьютеры (Active Directory Users and Computers), в окне которой на панели структуры следует выбрать домен, а в его контекстном меню - команду Хозяева операций открывающую одноименное окно. В этом окне на вкладках ИВ, PDC и Инфраструктура можно видеть существующих хозяев операций и выбрать контроллеры доменов, которые будут выполнять соответствующие роли.
Поиск информации Индексы и Глобальный каталог
Поиск информации:
Индексы и Глобальный каталог
При помощи протокола LDAP несложно получить доступ к некоторому объекту (элементу), если клиенту известно имя домена, к которому этот объект относится, и отличительное имя объекта. Что же делать, если клиент знает только имя домена, а отличительное имя объекта ему не известно? Предположим, что клиенту известны значения только некоторых атрибутов объекта. В Active Directory можно осуществлять поиск, зная только значение атрибута. Например, с помощью запроса к каталогу можно найти все объекты класса user со значением Director. Поскольку общее число элементов в каталоге бывает достаточно велико, такой поиск может выполняться медленно. Для ускорения поиска Active Directory позволяет индексировать атрибуты заданных типов.
Более сложный случай: предположим, что клиент знает, в каком лесе выполнять поиск, однако ему неизвестно, в каком домене данного леса находится искомый атрибут. Даже если для данного атрибута имеется индекс, поиск в каждом домене, входящем в лес, может отнять много времени. Для решения этой проблемы в Active Directory существует глобальный каталог (Global Catalog, GC). Все домены, входящие в некоторое дерево или лес доменов, используют общий, единый глббальный каталог, в котором имеется копия каждого элемента этих доменов. Однако в глобальный каталог входят только некоторые из атрибутов каждого элемента — те, которые могут представлять интерес в "масштабах" леса. В Active Directory имеется набор стандартных атрибутов для каждого объекта, которые всегда присутствуют в глобальном каталоге, но с помощью оснастки Схема Active Directory (Active Directory Schema) администраторы могут указывать и свои атрибуты для хранения в глобальном каталоге (нужно только помнить при этом, что при изменении схемы требуется полная синхронизация всех атрибутов объектов, хранящихся в глобальном каталоге, для всех доменов в лесе, и это может вызвать значительный трафик в сети). При необходимости можно также индексировать типы атрибутов в глобальном каталоге для ускорения поиска.
Кроме поиска, глобальный каталог реализует еще одну из основных возможностей Active Directory — единую регистрацию в сети. В доменах, работающих в основном (native) режиме, глобальный каталог хранит информацию об универсальных группах, в которую могут входить члены разных доменов.
Эта информация используется при регистрации в сети клиентов Active Directory. Фактически не только пользователи, но и все объекты (например, каждый компьютер), проходящие аутентификацию в Active Directory, должны обращаться к серверу глобального каталога. Если в момент регистрации пользователя глобальный каталог недоступен, то этот пользователь сможет зарегистрироваться только локально, а не в сети. Исключение составляют члены групп администраторов домена (Domain Admins).
По умолчанию глобальный каталог создается автоматически на первом контроллере домена в лесе. В нем хранятся полная копия всех объектов Active Directory для того домена, в который он входит, и частичная копия (т. е. в глобальном каталоге хранятся не все свойства, а только некоторые) объектов, относящихся ко всем другим доменам, образующим лес.
Пространство имен
Пространство имен
Любая служба каталога в первую очередь представляет собой некоторое пространство имен (namespace). Пространство имен — это любая ограниченная область, в которой можно по имени обратиться к атрибутам самого объекта или к информации, связанной с этим именем. Процесс преобразования имени в ссылку на объект называется разрешением имен. (Например, в телефонном справочнике по имени абонента ищется его телефон, адрес и т. п, Файловая система — это пространство имен, в котором по имени файла можно найти сам файл.)
Репликация
Репликация
Репликация (replication, дублирование) данных в каталоге (хранение копий каталога на различных компьютерах) повышает производительность и готовность, {надежность). Как и все другие службы каталога, Active Directory позволяет реплицировать данные. Как показано на Рисунок 23.4, когда клиент изменяет какой-нибудь элемент каталога, изменения реплицируются на все контроллеры данного домена. Поскольку протокол LDAP не поддерживает возможности репликации, в Active Directory для выполнения этой задачи используются различные протоколы, разработанные компанией Microsoft.
В Windows NT Server 4.0 также имеется механизм репликации каталога (который в этом продукте значительно проще), для реализации которого контроллер домена функционирует или, как главный контроллер домена (PDC), или как резервный контроллер домена (BDC). Такие различия в Windows XP Server отсутствуют: имеется единое понятие контроллер домена.
Причина таких изменений следующая. В Windows NT Server 4.0 изменять можно только ту копию данных, которая хранится на PDC. В отличие от этого в Active Directory используется так называемая multi-master replication (дословно — "репликация со многими основными контроллерами доменов"). Каждый контроллер домена имеет полную копию базы данных своего домена с возможностью чтения и записи. Клиент может изменить любую копию, после чего все изменения распространяются по всем другим копиям, хранящимся на других контроллерах данного домена (при этом копируются только измененные атрибуты элементов каталога). Если два клиента одновременно изменят один и тот же атрибут какого-нибудь элемента, то зафиксируется последнее изменение (хотя нужно отметить, что для определения окончательного варианта изменений обычно используются номера версий, version numbers, а не временные отметки, timestamps).
|
Рис 23.4. Изменение элемента в каталоге влечет за собой копирование этих изменений во все реплики, хранящиеся на контроллерах домена
|
Не следует думать, что репликация Active Directory создает очень большой трафик в сети. Во-первых, пересылаются не объекты целиком, а только измененные атрибуты; во-вторых, информация, передаваемая между сайтами (т. е. по медленным, как правило, каналам), автоматически сжимается.
Для понимания механизма репликации и способов управления ею необходимо отчетливо представлять себе роли основного контроллера операции (operations master), описываемые ниже в этой главе.
Роли контроллера операций (FSMO)
Роли контроллера операций (FSMO)
При создании нового домена (первого домена в лесе) контроллер домена после инсталляции службы Active Directory получает пять различных ролей FSMO, которые сохраняются за ним. В большой сети (со множеством контроллеров или доменов) можно (иногда и нужно) передать некоторые из этих ролей другим контроллерам домена. При этом некоторые роли назначаются для каждого леса, а другие должны присутствовать в каждом домене, входящем в лес.
Роли уникальные для домена
Роли, уникальные для домена
Следующие три роли можно назначать только одному контроллеру в рамках домена; они не являются глобальными для леса:
|
Хозяин RID (Relative ID Master, RID Master). Контроллер, выполняющий эту роль, генерирует последовательности относительных идентификаторов (RID) для всех контроллеров своего домена. Когда на некотором контроллере создается объект типа "пользователь", "группа" или "компьютер", этому объекту назначается уникальный идентификатор безопасности (SID), который образуется из доменного SID (единого для всех идентификаторов безопасности, создаваемых в этом домене) и относительного идентификатора (уникального для каждого идентификатора безопасности, создаваемого в домене). Когда диапазон (пул) относительных идентификаторов исчерпан, контроллер домена запрашивает новый диапазон у контроллера, являющегося хозяином RID.
|
|
Хозяин РDС (Primary Domain Controller (PDC) Emulator). Если в домен входят компьютеры, не имеющие клиента для Windows XP, или резервные контроллеры домена (BDC) Windows NT, то контроллер-эмулятор PDC выполняет функции основного контроллера домена (PDC) Windows NT. Он обрабатывает изменения клиентских паролей и обновляет информационные базы на BDC-контроллерах. Хозяин PDC первым получает изменения пароля, выполненные на любом другом контроллере своего домена. Если на некотором контроллере домена из-за неверного пароля не пройдет аутентификация пользователя, то перед тем как запрос на регистрацию будет отвергнут, он сначала передается контроллеру, выполняющему роль хозяина PDC.
|
|
Хозяин инфраструктуры (Infrastructure Master). Контроллер, управляющий инфраструктурой, обновляет все внутридоменные ссылки на объекты других доменов при изменениях этих объектов. Например, при изменении имени члена некоторой группы (причем этот член группы находится в другом домене относительно группы) или его удалении из группы контроллер, являющийся хозяином инфраструктуры, обновляет ссылки из группы на этого члена группы. Обновления ссылок реплицируются в режиме multi-master.
Если в домене несколько контроллеров домена, то не следует назначать роль хозяина инфраструктуры контроллеру домена, на котором находится глобальный каталог: в этом случае хозяин инфраструктуры функционировать не будет, поскольку при изменениях (перемещениях) объектов не будут обновляться междоменные ссылки на эти объекты. Когда серверами глобального каталога являются все контроллеры домена, не имеет значения, кто из них выполняет роль хозяина инфраструктуры.
|
Роли уникальные для леса
Роли, уникальные для леса
Две следующие роли можно назначать только одному контроллеру в пределах леса:
|
Хозяин схемы (Schema Master). Контроллер, выполняющий роль основного контроллера схемы, управляет всеми обновлениями и модификациями схемы.
|
|
Хозяин именования доменов (Domain Naming Master). Контроллер, управляющий доменными именами, следит за добавлением и удалением доменов в лесе. |
Сайты
Сайты
Репликация данных Active Directory на нескольких контроллерах домена вполне оправданна. Однако представим себе, что домен располагается на значительной территории, может быть, даже в разных странах. Такой домен может иметь множество контроллеров доменов, значительно удаленных друг от друга. Клиент, обращаясь к службе каталога, не должен работать с удаленным контроллером, если таковой имеется в непосредственной близости!
Для того чтобы "локализовать" доступ, Active Directory позволяет администраторам делить один домен на несколько сайтов (site), как показано на Рисунок 23.5. Сайт — это одна или несколько IP-подсетей, входящих в ту часть сети, где соединения между компьютерами выполняются быстро и надежно. По сути, сайты отображают физическую топологию коммуникационных каналов всей сети. Например, сайтом имеет смысл сделать несколько подсетей, связанных между собой с помощью Ethernet. Когда клиент через DNS находит некоторый контроллер домена, этот контроллер определяет, находится ли клиент в том же сайте, что и данный контроллер. Если нет, клиент "передается" другому контроллеру домена, располагающемуся в том же сайте, что и клиент.
Репликация Active Directory по сути выполняется между сайтами, а не между доменами. В стандартном случае репликация между компьютерами, входящими в сайт (intra-site replication), выполняется чаще, чем между компьютерами, относящимися к различным сайтам (inter-site replication). Администраторы могут управлять частотой выполнения репликаций, хотя из-за того, что полоса пропускания каналов между сайтами меньше, чем скорость передачи данных внутри сайта, практически всегда репликации между сайтами осуществляются реже. Для повышения производительности данные, передаваемые при репликации между сайтами, сжимаются, благодаря чему более эффективно используются низкоскоростные каналы, связывающие сайты.
|
Рис 23.5. Деление одного домена Active Directory на несколько сайтов
|
Схема каталога
Схема каталога
Схема каталога (Directory Schema) — это набор правил, описывающих структуру дерева каталога, объявления и синтаксис объектных классов и типы атрибутов, входящих в каталог.
Схема каталога гарантирует, что все добавления или изменения каталога соответствуют данным правилам, и препятствует появлению некорректных элементов, ошибочных типов атрибутов или классов.
В Active Directory схема реализована как набор экземпляров объектных классов, хранящийся в самом каталоге. Этим Active Directory отличается от многих каталогов, в которых схема хранится в текстовом файле, считываемом при запуске каталога. Когда схема хранится в каталоге, пользовательские приложения могут обращаться к ней и узнавать об имеющихся объектах и свойствах. Схему Active Directory можно динамически обновлять: модифицировать и расширять.
Служба каталогов Active Directory
Служба каталогов Active Directory
При инсталляции Windows XP Server и организации домена Windows XP (или смешанного с Windows NT 4.0 домена) необходимо иметь четкое представление о некоторых базовых понятиях служб каталога вообще и Active Directory — в частности. Без этого невозможно даже правильно сконфигурировать Windows XP Server, не говоря уж об эффективной организации доменов.
Службы DNS и Active Directory
Службы DNS и Active Directory
В большинстве современных сетей TCP/IP используется служба DNS, главное назначение которой — преобразовывать простые для запоминания имена типа company.com в IP-адреса. Для этого каждый компьютер-сервер DNS имеет набор записей с информацией о ресурсах. Каждая запись имеет некоторый тип, определяющий характер и назначение хранящейся информации. Например, запись типа А применяется для преобразования доменного имени компьютера в заданный IP-адрес, а запись типа MX — для поиска почтового сервера в определенном почтовом домене. Каждый DNS-сервер "знает" свое место в глобальном пространстве DNS-имен, что позволяет передавать неразрешенные запросы другим серверам. Поэтому — пусть и не сразу— почти каждый клиентский запрос находит нужный сервер, хранящий искомую информацию.
Интеграцию служб Active Directory и DNS можно рассматривать в трех аспектах:
|
Домены Active Directory и домены DNS имеют одинаковую иерархическую структуру и схожее пространство имен. |
|
Зоны (zone) DNS могут храниться в Active Directory. Если используется сервер DNS, входящий в состав Windows XP .Server, то первичные зоны (primary zone), занесенные в каталог, реплицируются на все контроллеры домена, что обеспечивает лучшую защищенность службы DNS. |
|
Использование клиентами службы DNS при поиске контроллеров домена. |
Active Directory может использовать любую стандартную, законченную реализацию службы DNS: не обязательно задействовать DNS-сервер, входящий в Windows XP Server (например; можно использовать BIND 8.1.x). Однако лучше остановить свой выбор на нем, поскольку модули Windows XP более согласованы друг с другом (хранение и репликация зон и т. п.), ведь необходимо, чтобы выбранный DNS-сервер соответствовал последним стандартам. Например, для Active Directory нужен DNS-сервер, поддерживающий записи типа SRV. Записи подобного типа (SRV records), в соответствии с RFC 2052, позволяют клиентам находить нужные сетевые службы. В Active Directory служба LDAP каждого домена Windows XP представлена некоторой SRV-записью службы DNS. Такая запись содержит DNS-имя контроллера этого домена, по которому клиенты Active Directory могут находить IP-адрес компьютера-контроллера домена. После того как нужный контроллер обнаружен, для доступа к данным Active Directory, хранящихся на нем, клиент может использовать протокол LDAP.
Windows XP Server поддерживает также службу динамического именования хостов, Dynamic DNS. В соответствии с RFC 2136 служба Dynamic DNS расширяет протокол DNS, позволяя модифицировать базу данных DNS со стороны удаленных систем. Например, при подключении некоторый контроллер домена может сам добавлять SRV-запись для себя, освобождая администратора от такой необходимости.
|
Примечание |
|
DNS-сервер, используемый вместе с Active Directory, должен лишь поддерживать SRV-записи и символы подчеркивания в именах, наличие Dynamic DNS не строго обязательно: такое требование только облегчает работу с сетью. Этот факт очень важен при развертывании Windows XP в гетерогенных сетях, где имеются DNS-серверы на других платформах.
|
Достоинства Active
Таблица 23.1. Достоинства Active Directory Service Interface (ADSI)
Характеристика
|
Преимущества
|
Открытость |
Любой поставщик службы каталога может создать ADSI-provider; пользователи могут выбирать любую удобную им службу каталога, сохраняя все возможности ее администрирования |
Независимость от службы каталогов |
Инструменты администрирования не привязаны к конкретной службе каталога, и одно приложение может работать с различными каталогами. Это уменьшает затраты на проектирование и сопровождение программ |
Поддержка Java |
С помощью Java COM объекты ADS! обеспечивают апплетам и приложениям Java простой доступ к службам каталогов |
Безопасность |
ADSI поддерживает программные модели аутентификации (Authentication model) и авторизации (Authorization model) |
Простая модель программирования |
Можно создавать административные и другие ориентированные на использование каталогов программы, не вдаваясь в детали API конкретного производителя службы каталога |
Сервер автоматизации OLE |
Для создания приложений, работающих с каталогами, можно использовать любые средства разработки контроллеров автоматизации OLE (Visual Basic, PERL, Rexx, C/C++ и другие). Администраторы и разработчики могут использовать любые знакомые им инструменты проектирования, что увеличивает эффективность их работы |
Большой набор функций |
Одни и те же модели ADSI можно использовать как для написания простых сценариев, так и для создания сложных приложений |
Расширяемость |
Поставщики служб каталогов, ISV и конечные пользователи могут добавлять в ADSI новые объекты и функции, расширяющие возможности интерфейсов или отвечающие частным требованиям |
Запросы на комментарии
Таблица 23.2. Запросы на комментарии (RFC), относящиеся к Active Directory и DNS
Номер RFC |
Описание |
1777 |
Протокол LDAP version 2 (DRAFT STANDARD) |
1823 |
LDAP Application Program Interface |
2052 |
Указание местоположения служб (DNS SRV records) |
2136 |
Динамическое обновление Domain Name System (DNS UPDATE, Dynamic DNS) (предлагается в качестве стандарта, PROPOSED STANDARD) |
2251 |
Протокол LDAP version 3 (предлагается в качестве стандарта, PROPOSED STANDARD) |
Терминология
Терминология
Сначала рассмотрим некоторые базовые термины, используемые в службах каталогов (с примерами из Active Directory), двигаясь в сторону более глобальных понятий. После знакомства с ними можно переходить к терминам и концепциям конкретной службы каталогов — Active Directory.
Можно сказать, что служба Active Directory "стоит на трех китах":
|
Стандарт Х.500
|
|
Служба DNS (Domain Name Service) |
|
Протокол LDAP (Lightweight Directory Access Protocol)
|
В Active Directory частично реализована модель данных, описываемая стандартом Х.500. Традиционная в сетях TCP/IP служба DNS используется, в частности, для поиска контроллеров Домена, а благодаря протоколу LDAP клиенты могут по имени находить в каталоге Active Directory нужные объекты и получать доступ к их атрибутам.
Все описываемые ниже термины и концепции так или иначе касаются этих трех "составных частей" службы каталогов (однако не следует считать, что для работы Active Directory необходимы только эти компоненты!).
| |