Способи здійснення віддаленого адміністрування. Віддалене адміністрування. Особливості та критерії планування систем

Адміністратори мереж на базі Windows краще за інших знайомі з недоліками вбудованих засобів віддаленого управління операційної системи. Незважаючи на певний прогрес в їхньому розвитку з точки зору удосконалення утиліт командного рядка і забезпечення віддаленого доступу до серверів через графічний інтерфейс (Windows 2000 Server Terminal Services), обмеженою функціональністю і ступінь безпеки, що надаються ними, залишають широкий простір для діяльності незалежних розробників.

У свою чергу, пакети віддаленого управління, такі, як Timbuktu компанії Netopia або pcAnywhere компанії Symantec, пред'являють порівняно високі вимоги до апаратного забезпечення, щоб підтримати необхідний рівень продуктивності. Відомо, що в процесі обміну інформацією з віддаленою машиною левова частка смуги пропускання каналу витрачається на передачу трафіку, пов'язаного з функціонуванням графічної оболонки Windows. До того ж подібні програми коштують досить дорого, а зі збільшенням кількості робочих місць ціна зростає. У цих умовах програма Remote Administrator (RAdmin) компанії Famatech представляється справжньою знахідкою.

Початок роботи

Програма на подив невимоглива до апаратного забезпечення - в якості мінімальної конфігурації заявлені комп'ютери на базі процесора Intel 386, оснащені оперативною пам'яттю об'ємом 8 Мбайт, з встановленою Windows 95. У мережі повинен функціонувати протокол TCP / IP. У разі використання Windows NT 4.0 слід встановити SP4 або пізніший пакет виправлень. Для установки користувачеві необхідно мати права адміністратора (Windows NT / 2000).

Програма складається з двох компонентів - серверної частини на кожному керованому комп'ютері і модуля управління на машині адміністратора. Передбачена робота програми в режимі служби Windows NT, Windows 2000 і Windows 9x. Для установки потрібно розпакувати архів, запустити файл Setup.exe і слідувати інструкції. Після закінчення установки в меню кнопки «Пуск» (Start) з'явиться група з елементами для запуску серверної і клієнтської частин, доступу до налаштувань і файлу допомоги.

Потрібно мати на увазі, що одночасне звернення до драйверу відеозахвату з декількох програм може призвести до руйнування системи в процесі завантаження. Тому користувачам Windows NT, які хочуть задіяти RAdmin-сервер з драйвером відеозахвату, слід відключити інші програми віддаленого доступу, що використовують цю технологію (NetMeeting 3.0 +, SMS, Timbuktu). Альтернативним рішенням може стати відключення драйвера з командного рядка за допомогою ключа, а саме: r_server.exe / uninstalldrv.

Дистанційна установка RAdmin

Адміністратору великий мережі, безумовно, необхідно мати можливість установки серверної частини програми по мережі. Цей процес легко автоматизувати за допомогою сценарію (приклад наведено в лістингу 1). Сценарій створює тимчасовий мережевий диск, копіює файли сервера RAdmin в системну папку Windows, встановлює RAdmin в якості служби, зберігає настройки в реєстрі і видаляє мережевий диск.

Лістинг 1. Сценарій для установки RAdmin по мережі.

net use z: serverd copy "z: install admin _server.exe" "c: winntsystem32 _server.exe" copy "z: install admin addrv.dll" "c: winntsystem32 addrv.dll" copy "z: install adminadmdll.dll" "c: winntsystem32admdll.dll" c: winntsystem32 _server.exe / install / silence regedit.exe /sz:installsettings.reg net use z: / delete

Для конкретного застосування досить підставити реальні значення шляхів до файлів. При запуску цього сценарію під Windows NT користувач повинен мати права адміністратора. Файл settings.reg містить необхідні настройки. Щоб сформувати такий файл, потрібно виконати наступне: встановити необхідні значення параметрів на одному з комп'ютерів (докладніше про налаштування буде розказано нижче), скориставшись пунктом «Налаштування RAdmin сервера» меню «Пуск», а потім експортувати їх за допомогою regedit.exe в файл settings .reg для подальшого використання. Налаштування розташовуються в розділі HKEY_LOCAL_MACHINESYSTEMRAdminv2.1Server, а їх точне призначення описано в документації до програми.

варіанти підключення

Якщо використовується протокол TCP / IP, то не має значення, чи пов'язані комп'ютери високошвидкісний локальною мережею, приєднані до локальної мережі по модему або через Internet. У другому випадку RAdmin працює не з модемом, а з TCP / IP-з'єднанням, яке налаштовується через модуль «Віддалений доступ». На серверній стороні встановлюється сервер віддаленого доступу, а на стороні клієнта - підключення до мережі через віддалене з'єднання, налаштоване на роботу по протоколу TCP / IP. Коли з'єднання встановлено, IP-адреса віддаленого сервера з властивостей підключення (або з «Монітор підключення» в «Панелі управління») використовується для RAdmin-клієнта. Щоб встановити з'єднання через Internet, досить знати IP-адресу віддаленого комп'ютера. Якщо провайдером виділений статичний адреса, можна використовувати його. Якщо адреса призначається динамічно, то є два варіанти: незручний - визначити адресу після підключення до Internet (слід використовувати ipcofig.exe або підказку піктограми RAdmin) і передати на комп'ютер-клієнт, і зручний - вдатися до допомоги динамічних служб DNS (наприклад, dns2go .com). Принцип дії цих служб полягає в прив'язці змінюється ip до його виділяє службою фіксованому імені dns.

встановлення з'єднання

Встановити з'єднання не складає труднощів. Потрібно запустити сервер RAdmin на віддаленому комп'ютері; в системній області панелі завдань з'явиться піктограма (якщо її хочеться приховати, слід вибрати в настройках відповідний режим, як показано на Екрані 1). Крім того, що піктограма дозволяє дізнатися, завантажений чи RAdmin, подвійне клацання по ній відкриває список поточних з'єднань, а підказка показує IP-адреса комп'ютера.

Нарешті настав той мить, заради якого була написана попередня частина статті: з локального комп'ютера можна керувати віддаленою машиною. Які можливості відкриваються перед нами?

Можна переглядати екран віддаленого комп'ютера у вікні (див. екран 3) Або розгорнути його на весь екран. Розміри вікна можна змінювати, що дозволяє розташувати на екрані кілька вікон так, щоб вони не перекривалися, і управляти декількома комп'ютерами практично одночасно. Зізнаюся, найбільше здивування у цей момент викликає швидкість роботи. Навіть без будь-яких хитрощів, з установками за замовчуванням, робота з програмою в повноекранному режимі здатна ввести в оману, оскільки виникає повне відчуття роботи за локальним комп'ютером (при використанні технології відеоперехвата під Windows NT частота оновлення екрану може досягати декількох сотень кадрів в секунду) . Висока швидкість роботи - звичайно, не самоціль, але вона, безперечно, підвищує продуктивність праці.

Певне зручність криється в можливості перемикати режим виведення між повноекранним і віконним режимами прямо по ходу роботи. Для прокрутити варіанти нормальним, масштабується і повноекранним режимами роботи використовується клавіша F12. Очевидно, що, коли екран віддаленого комп'ютера більше, ніж локального, режим нормального перегляду (в масштабі 1: 1) не підходить - слід використовувати висновок у вікно або на весь екран локального комп'ютера. У тому випадку, коли режими, встановлені в налаштуваннях екрану локальної та дистанційної машин, збігаються, зменшене зображення в вікні виглядає гірше, ніж повноекранна «картинка». До того ж відсутність необхідності масштабувати зображення позитивно позначається на швидкості роботи. Вплив інших факторів, від яких залежить швидкість, описано в урізанні «В полоні у швидкості».

RAdmin дозволяє обмінюватися файлами з віддаленим комп'ютером за допомогою інтерфейсу, аналогічного Windows Explorer (див. екран 4). Вікно передачі файлів підтримує прийоми «перетягування» і всі основні маніпуляції з файлами. Можна перейменувати або видалити файл, створити папку, переглянути властивості об'єкта. Користувачі, яким доводиться часто приймати і передавати файли, оцінять функцію автоматичного відновлення передачі (яка з'явилася у версії 2.1). Процес передачі великих обсягів даних зручно відстежувати по індикатору виконання. Передбачено вибір звичних режимів сортування і виду.

Якщо настроїти локальний принтер для загального використання в мережі Microsoft і встановити його на віддаленому комп'ютері, то можна посилати туди завдання на друк з віддаленого комп'ютера з додатків, запущених за допомогою RAdmin.

Передбачена дистанційна перезавантаження і виключення комп'ютера, завершення і початок нового сеансу роботи (два останні варіанти можливі, якщо сервер RAdmin запущений в якості служби).

Ще одна перевага клієнта RAdmin полягає в тому, що з його допомогою можна без проблем передавати на віддалений комп'ютер «гарячі» клавіші, включаючи системні. Наприклад, якщо потрібно передати віддаленого комп'ютера послідовність Ctrl-Alt-Del, слід скористатися пунктом меню вікна з'єднання «Послати Ctrl-Alt-Del». Тільки потрібно мати на увазі, що ця можливість буде працювати лише при підключенні в режимі повного контролю і при роботі RAdmin-сервера в режимі системної служби під Windows NT.

Крім операцій з файлами існує ще одна процедура, яка може стати в нагоді під час роботи з віддаленим комп'ютером, - це обмін даними між додатками локальної та віддаленої машини через буфер обміну. Щоб виконати подібну операцію, потрібно виділити потрібний фрагмент у вікні локального або віддаленого комп'ютера і скопіювати його вміст в буфер обміну звичайним способом (наприклад, натиснути Ctrl + C або скористатися відповідним пунктом меню редагування). Потім в залежності від того, в якому напрямку необхідно передати дані, слід вибрати команду «Встановити буфер» (передаємо дані на віддалений комп'ютер) або «Отримати буфер» (приймаємо дані від віддаленого комп'ютера). Вміст буфера обміну передано. Тепер можна використовувати його як зазвичай, т. Е. Перейти в потрібну програму і вставити (наприклад, за допомогою команди Ctrl + V).

У разі використання на сервері Windows NT або 2000 можливий доступ по telnet (на жаль, через обмеження самої системи неможливо отримати доступ по telnet до комп'ютера, який працює під Windows 95/98).

Інші випадки підключення

Якщо немає можливості безпосередньо з'єднатися з потрібним комп'ютером, можна вдатися до режиму «З'єднання через ...» в тому ж вікні підключення (див. Екран 2). Потрібно включити режим і вибрати зі списку адресу хоста, який має TCP / IP-з'єднання з потрібним комп'ютером. Звичайно, на проміжному комп'ютері повинен бути встановлений і запущений сервер RAdmin. Описаний прийом можна використовувати, якщо підключення до мережі здійснюється через один комп'ютер, а адмініструвати належить іншу машину. Ще один приклад - локальна мережа, в якій тільки один комп'ютер має прямий вихід в Internet. Досить встановити сервер RAdmin на цьому комп'ютері і можна підключитися через Internet і до інших комп'ютерів локальної мережі. У разі роботи через proxy-сервер або брандмауер слід відкрити порт для запитів RAdmin (за замовчуванням - порт 4899). Якщо з якої-небудь причини відкрити його не можна, потрібно спробувати вибрати для з'єднання інший номер порту, який відкритий на proxy-сервері. Адреси, номери портів і режими, які можна вказати в якості параметрів командного рядка, описані в урізанні «Деякі ключі командного рядка».

Безпека - тема дня

Найкраща програма віддаленого управління не зачепить серце досвідченого адміністратора, якщо її використання пробиває пролом в системі мережевої безпеки. Як йде справа у випадку з RAdmin? Розробники віддавали собі звіт в тому, що надає широкі можливості роботи з віддаленим комп'ютером програма автоматично може зробити систему більш вразливою. Ось чому RAdmin 2.1 підтримує систему безпеки Windows NT / 2000. Можна явно привласнити права віддаленого доступу тільки одному користувачеві або групі користувачів. Щоб активізувати систему безпеки Windows NT / 2000, необхідно включити режим «Використовувати безпеку NT» у вікні «Налаштування Remote Administrator server», а потім натиснути кнопку «Дозволи». У вікні «Дозволи користувачів» задаються права доступу

до RAdmin-з'єднанню. Ви можете дозволяти або забороняти з'єднання різних типів, грунтуючись на політиці безпеки NT. На вибір надається п'ять варіантів доступу: «Редірект», telnet, «Перепис файлів», «Повний контроль» і «Огляд» (дозволений тільки перегляд).

Якщо підтримка системи безпеки Windows NT вимкнена, то доступ до віддаленого комп'ютера захищається паролем. Аутентифікація виконується за схемою запиту з підтвердженням (аналогічний метод використовується і в Windows NT, але довжина ключа, що застосовується в RAdmin, більше). Всі дані, що передаються між комп'ютерами (картинки екранів, рух миші, натискання клавіші), шифруються випадково генеруються ключем. Завдяки високій швидкості роботи цього алгоритму зниження швидкості передачі практично непомітно (розробники оцінюють його в 5%). Якщо включити журнал, всі дії користувача будуть записані в файл журналу. Для обмеження доступу ззовні передбачено використання сервером RAdmin таблиці IP-адрес. У цій таблиці потрібно вказати тільки ті адреси хостів або підмереж, для яких потрібно дозволити доступ. І, нарешті, останній штрих - програмні модулі RAdmin забезпечені захистом від модифікації (зараження), заснованої на самотестуванні коду.

паралельним курсом

Коли ця стаття ще не була закінчена, на завершальну стадію розробки вийшла нова, вдосконалена версія Remote Administrator 3.0. За планами розробників, в неї буде включений драйвер відеозахвату для Windows 2000 / XP і інші новинки: наприклад, функція блокування клавіатури і відключення екрану, а також звуковий чат. Зареєстровані користувачі попередніх версій зможуть оновити свої копії програми безкоштовно.

Георгій Філягін - розробник програмного забезпечення, пише статті та огляди для комп'ютерних журналів. З ним можна зв'язатися за адресою: [Email protected].

У полоні у швидкості

Швидкість роботи програми віддаленого адміністрування - один з об'єктивних показників, що відображають зручність її повсякденного використання. Очевидно, що програма, яка робить мінімальну затримку між діями на локальній машині і їх реалізацією на віддаленому комп'ютері, сприймається як більш швидка. Саме тому використання утиліт командного рядка для адміністрування переважно в порівнянні зі звичними в інших областях інструментами з графічним інтерфейсом. Я хочу дати декілька порад на той випадок, якщо хто-то буде незадоволений швидкістю роботи RAdmin в конкретних умовах.

Найбільша швидкість досягається, якщо віддалений комп'ютер працює під управлінням Windows NT з встановленим драйвером відеозахвату. Як додаткова перевага в цьому випадку можна відзначити значне зниження завантаження процесора віддаленої машини. Якщо драйвер відеозахвату з якої-небудь причини не використовується, слід виконати оптимізацію. Для початку потрібно встановити значення оновлень в хвилину, скажімо 30-40 (для модемного з'єднання - 10). Потім слід прибрати шпалери з робочого столу віддаленої машини, встановити мінімальну кількість квітів - 16 для вікна, в якому відображається віддалений робочий стіл. Допоможе зниження дозволу, обраного на віддаленій машині. Слід переключитися (хоча б на час інтенсивної роботи) в знижений режим, скажімо 800х600х16. Потрібно мати на увазі, що багато сучасних відеоадаптери працюють швидше при 16-розрядної глибині кольору, ніж при 8-розрядної, т. Е. Режим 800х600х16, ймовірно, дасть кращий результат, ніж 800х600х8.

Деякі ключі командного рядка

/ copyphonebook - конвертація адресної книги старої версії

/ Connect: xxxxx: nnnn - підключитися до сервера xxxxx, порт nnnn

/ Through: xxxxx: nnnn - підключитися через проміжний сервер xxxxx, порт nnnn

За замовчуванням використовується режим з'єднання "Повний контроль" (бачити віддалений екран, управляти мишею і клавіатурою).

Щоб додати більше режимів з'єднання використовуються команди:

/ noinput - режим перегляду

/ shutdown - режим віддаленого вимкнення комп'ютера

/ file - режим пересилки файлів

/ telnet - режим telnet

В режимах "Повний контроль" і "Перегляд" мають значення ключі:

/ fullscreen - вибрати повноекранний режим перегляду;

/ hicolor - вибрати режим 16-розрядної кольору;

/ locolor - вибрати режим 4-розрядного кольору;

/ Updates: nn - встановити максимальну кількість оновлень в хвилину.

/ unregister - видалити всі раніше введені ключі RAdmin;

/? - показати вікно допомоги.

Крім перерахованих існують ключі для управління сервером RAdmin з командного рядка, які можна знайти в документації до програми.

Офіційна назва:

Remote Administrator

версія: 2.1

Компанія виробник: ТОВ "Фаматек".

Ціна: 750 руб. на два комп'ютери (для громадян СНД).

Використання всіляких технологій віддаленого адміністрування робочих станцій дозволяє істотно заощадити час і гроші. Нижче наводяться деякі поради, які допоможуть читачам повною мірою використовувати можливості інструментів і прийомів віддаленого адміністрування.

№1: Знати характеристики обладнання

Адміністратору може здаватися, що він досконало знайомий з усіма характеристиками пристроїв, встановлених на робочих станціях, - але чи так це насправді? Для віддаленого управління робочою станцією протягом усього терміну існування системи необхідно володіти повною інформацією по найбільш важливих пунктів. Перш за все, варто подумати ось про що:

Чи у всіх комп'ютерів є порти USB 2.0?
Чи у всіх комп'ютерів є приводи DVD або CD? Речі вони?
Який порядок завантаження заданий і як його змінити?
Як комп'ютери з'єднані з головним операційним відділом?
Знаючи відповіді на ці питання, в більшості випадків займатися віддаленим адмініструванням робочих станцій буде набагато легше.

№2: Розуміти, які брандмауери встановлені на комп'ютерах клієнтів і як вони налаштовані

Якщо на комп'ютерах клієнтів встановлені брандмауери, важливо знати, які завдання вони дозволяють виконувати, а які ні. Необхідно з'ясувати, які користувачі і в яких системах можуть виконувати будь-які завдання і як при необхідності скасувати існуючі правила. Хороший спосіб зрозуміти, як налаштований брандмауер, - спробувати отримати важливий файл або оновлення за допомогою механізму автоматичного поновлення або з іншого незвичайного джерела. Механізм «включення - відключення» може здаватися дуже простим, але чи всі системи отримають оновлення без проблем?

№3: Знати свою мережу

У багатьох великих підприємствах для віддалених комп'ютерів створюють правила, які керують усіма процесами - від обмеження обсягів трафіку для кожного сайту і визначення параметрів трафіку, який може бути отриманий від віддаленого сайту, до обмеження доступу до віддаленого сайту комп'ютерів з певними MAC-адресами. Оскільки віддалене управління робочими станціями пов'язано з виконанням цілого ряду завдань, необхідно вибудувати свою стратегію таким чином, щоб використовувати лише дозволені види трафіку. Важливо знати, як змінити параметри дозволеного трафіку, якщо це можливо.

№4: Пам'ятати ряд команд для командного рядка, що дозволяють заощадити час

Тим, хто має справу з мережами низької пропускної здатності, має сенс запам'ятати ряд команд для командного рядка, що дозволяють виконувати основні завдання адміністрування, - це дає можливість істотно заощадити час. Для систем Windows XP варто запам'ятати наступні команди:
Compmgmt.msc - інтегрувальне додаток Computer Management MMC, яке дозволяє отримати найрізноманітніші відомості, в тому числі, з Журналу подій, Диспетчера пристроїв і Служб.

Ipconfig - утиліта настройки TCP / IP. Серед найбільш поширених параметрів можна перерахувати / release, / renew, / flushdns і / registerdns.

Shutdown.exe - утиліта для віддаленої перезавантаження або відключення системи. При наявності відповідних дозволів систему можна запустити знову з віддаленого комп'ютера.

Net Use - ця команда може бути використана для підключення диска, простий аутентифікації або припинення підключення.
№5: Забезпечувати централізацію і стандартизацію

Має сенс об'єднати всі елементи інфраструктури робочих станцій в одному місці, якщо це можливо. У адміністратора мережі на великому підприємстві абсолютно немає часу розбиратися в скупченні дрібних файлових серверів, розкиданих по всій мережі. Необхідно, щоб віддалені користувачі використовували для зберігання файлів центральний ресурс. Таким чином, для віддалених і центральних користувачів всі резервні копії даних і послідовні політики безпечного доступу будуть єдині. Це дозволить скоротити витрати на управління інформаційними технологіями та гарантувати однакове управління адмініструванням і доступом незалежно від місцезнаходження користувачів.

Помітним винятком є \u200b\u200bвеликий віддалений сайт з великою кількістю користувачів, які в такому випадку можуть зайняти віддалений канал з'єднання між сайтами постійним трафіком. Якщо віддалений офіс компанії налічує, припустимо, 40 співробітників, має сенс створити локальний файловий сервер і здійснювати резервне копіювання даних по мережі, якщо дозволяють час і трафік. А ось в невеликій організації, наприклад, в магазині, може налічуватися менше 10 користувачів і лише кілька комп'ютерів - в такому випадку, необхідно зробити все можливе, щоб знизити витрати на інформаційні технології.

№6: Користуватися механізмами поширення даних через Інтернет

Віддалених комп'ютерів варто забезпечити безпосередній вихід в Інтернет без використання VPN або глобальної мережі. Припустимо, для операційної системи клієнта необхідно завантажити об'ємний пакет оновлень. Якщо відразу кілька клієнтів потребують завантаження файлу об'ємом, припустимо, 300 МБ, зробити це за допомогою віддаленого з'єднання неможливо. Деякі інструменти клієнтського адміністрування дозволяють передавати пакети для віддалених комп'ютерів і користувачів ноутбуків, які не мають в даний момент доступу до центральної мережі, через Інтернет. Наприклад, додаток iPass забезпечує найвищу швидкість завантаження через Інтернет пакетів від адміністраторів для віддалених робочих станцій (в тому числі, ноутбуків).

№7: Використовувати альтернативні способи з'єднання

У 95% випадків всі поставлені завдання дозволяє виконувати один і той же інструмент -для Windows XP, зокрема, це Remote Desktop. Але що ж робити в тих рідкісних ситуаціях, коли Remote Desktop для доступу до системи клієнта використовувати не можна? Для таких випадків необхідно підготувати ряд альтернативних інструментів, які при необхідності можуть забезпечити доступ до віддаленої системи. Ось кілька прикладів таких інструментів:
DameWare - забезпечує примусову установку і видалення після виконання завдання за допомогою мандата Windows по з'єднанню TCP / IP.

VNC - не нова, але хороший і надійний віддалений клієнт, орієнтований на управлінні службами. При необхідності може використовуватися для забезпечення альтернативного з'єднання та запуску служби VNC.

LogMeIn.com - чудове додаток для з'єднання через Інтернет з комп'ютером клієнта. Працює майже з усіма конфігураціями модулів доступу.
№8: Забезпечувати єдність платформи ОС

Щоб ефективно адмініструвати віддалені робочі станції, не витрачаючи на це величезні суми, абсолютно необхідно встановити на всіх комп'ютерах одну і ту ж платформу. Установка не найсучаснішою платформи (читай - НЕ Vista) того варто: це дозволить послідовно проводити віддалене адміністрування і здійснювати технічну підтримку. Якщо використовується ще одна платформа, умови роботи групи адміністраторів робочих станцій істотно змінюються - всі завдання доводиться виконувати для кожної платформи окремо. Тут же варто відзначити, що використання стандартного устаткування робочих станцій також сприяє підвищенню продуктивності роботи відділу інформаційних технологій.

№9: Контролювати коло виконуваних завдань

Ну гаразд, припустимо, це не зовсім техніка адміністрування, але при управлінні віддаленими робочими станціями необхідно визначити, які завдання адміністратор виконувати повинен, а які ні. Припустимо, організація налічує кілька віддалених офісів для невеликої кількості віддалених користувачів, яких компанія забезпечує стандартним обладнанням. У набір обладнання, що постачається входять комп'ютери або ноутбуки, лазерні принтери однієї моделі для всіх локальних систем і пристрої для підключення робочих станцій до мережі і роботи з даними, що зберігаються на центральних комп'ютерах. В такому випадку рано чи пізно віддалені користувачі неодмінно запитають системного адміністратора: «А чи не можна нам отримати інший принтер, який можна використовувати ще і як сканер і факс?».

Це дуже важливе питання, тому що віддалений користувач намагається, таким чином, вийти за рамки стандарту, а коло завдань служби технічної підтримки розширюється: адже адміністратор буде відповідати за драйвери для цього пристрою. До того ж, єдність комп'ютерної платформи в такому випадку буде порушено. Зрозуміло, мати принтер з можливостями сканера та факсу - непогана ідея, але люди мають розуміти, що забезпечення можливостей, що виходять за рамки стандартних, коштує грошей, причому витрати в кінцевому рахунку набагато перевищують вартість одного багатофункціонального пристрою.

№10: Чи не обділяти віддалених користувачів технічною підтримкою

Не можна допускати, щоб віддалені користувачі страждали від нестачі уваги з боку системного адміністратора. Динаміка користування віддаленої робочої станцією відрізняється від динаміки користування центральним офісним комп'ютером. У віддаленого користувача може не бути запасного комп'ютера на випадок неполадок, може не виявитися поруч того, хто готовий швидко вирішити його проблему, зате можуть бути клієнти або покупці, з нетерпінням очікують, коли ними займуться. Користувачі комп'ютерів в місцевих підрозділах, в яких немає власних ІТ-фахівців, багато в чому можуть покладатися тільки на самих себе, але системний адміністратор центрального відділу повинен піклуватися про те, щоб вони не відчували себе покинутими. Забезпечення якісного технічного обслуговування має велике значення в організації надійної системи інформаційних технологій.

Почну з визначення поняття «Системне адміністрування »- це, в двох словах, управління комп'ютерними системами. Так з розвитком технологій цей напрям набуло масу вузьких і широких профільних напрямків.

У першому наближенні інформаційні технології можна розділити на фізичне обладнання і програмне забезпечення. Адміністрування забезпечує управління взаємодією цих складових. Зазвичай процес зводився до роботи фахівця безпосередньо в місці розміщення комп'ютерної системи, яка потребує підтримки. Але проблема стала вирішуваною з появою віддалених методів адміністрування - виконання завдань підтримки функціонування комп'ютерних систем на відстані з використанням можливостей мережі Інтернет без прямого «фізичного» контакту з апаратним забезпеченням системи: тобто географічне розташування комп'ютерних ресурсів не має значення. Даний спосіб адміністрування дозволяє виконувати до 95% робіт віддаленим способом.

Можливість віддаленого адміністрування була закладена більше 10 років тому в зв'язку з появою нових мережевих можливостей першої версії операційної системи Windows NT, а також розвитком операційних систем Unix і Linux. Але як послуга, віддалене адміністрування стало використовуватися набагато пізніше, так як важливим фактором для неї є швидкість і стабільність Інтернет-з'єднання, що не скрізь в Росії в середині 90-х було на належному рівні. Зараз ця проблема цілком пішла в минуле: з масовим підключенням офісних комп'ютерних мереж до Інтернет з'явилася можливість віддаленого адміністрування комп'ютерів, серверів і комплексних ІТ-інфраструктур. Новітні технології шифрування трафіку і з'єднання комп'ютерів в розподілену «Віртуальну мережу», а також використання спеціальних протоколів віддаленого доступу зробили цю послугу надійної і безпечної не тільки для широкого кола операційних систем, але і для активного мережного обладнання, наприклад CISCO, SonicWALL.

Якщо уявити абстрактно процес віддаленого адміністрування, то це картина виглядає дуже просто: адміністратор за допомогою мережі Інтернет з використанням спеціальних програм підключається до віддаленого комп'ютера (сервера), який може бути розташований в будь-якій точці земної кулі. Спеціальне ПО, що використовується в роботі, дозволяє спостерігати копію робочого столу сервера на екрані власного монітора. При цьому, якщо виключити відстань між робочою станцією адміністратора і віддаленим сервером, то робота здійснюється точно так же, як ніби весь процес відбувається в одному приміщенні на одному комп'ютері.

На жаль, багато потенційних клієнтів і навіть ті, хто усвідомлює необхідність даного виду послуг, до сих пір не розуміють: як може бути забезпечена безперебійна робота їх обладнання віддаленими співробітниками і які переваги методів віддаленого адміністрування. Зіткнувшись з проблемою і наочно переконавшись у її наявності, я і кілька моїх партнерів вирішили провести аналіз потреб даної послуги в даний час і, як основна мета, донести цю інформацію в зрозумілому вигляді до кінцевих споживачів.

Послуги віддаленого адміністрування включають в себе:

1. Адміністрування веб-сервера: установка, налагодження та обслуговування програмного забезпечення веб-серверів хостингу компанії. Послуги такого виду використовуються в основному для клієнтів, які розміщують сайти своєї і дружніх компаній, інтернет системи на власних серверах або куплених віртуальних серверах хостингів. Це можуть бути держустанови, вузи, комерційні освітні установи, комерційні компанії з будь-яким напрямком діяльності.
2. Адміністрування баз даних: установка, налагодження та обслуговування баз даних. Дана послуга може бути корисна організаціям, автоматизація бізнес-процесів яких організована в рамках власного технопарку з наявністю 2-3 серверів.
3. Адміністрування мережі: розробка та обслуговування мереж із застосуванням знань в області мережевих протоколів і їх реалізації, маршрутизації, реалізації віртуальних приватних мереж, систем білінгу, активного мережевого обладнання (як правило, Cisco).
4. Адміністрування мережевої безпеки: широкий спектр аналізу проблем інформаційної безпеки із застосуванням знань в протоколах шифрування і аутентифікації і їх практичне застосування, плануванні інфраструктури відкритих ключів, систем контролю доступу (брандмауери, проксі-сервери, смарт-карти), інцидентні аналізі, резервне копіювання, завдання аудиту і організації політик безпеки. Дана послуга дуже актуально для широкого спектра клієнтської бази, тому що зачіпає щодня проводяться заходи, які потрібні і виконуються на будь-якому комп'ютері, сервері, системі.

Як показує досвід раніше, приблизно років 7-8 назад, послуги віддаленого адміністрування були затребувані, до них ще не дійшов прогрес. Лише невеликий відсоток великих компаній могли прийти до такої організації роботи IT відділів, що було викликано наявністю декількох філіальних фірм, серверні станції яких також потребували щоденної системної підтримки.

На даний момент на ринку Інформаційних технологій послуги віддаленого адміністрування, аутсорсингу є альтернативним, а в більшості випадків і більш вигідним рішенням підтримки серверів компаній. Особливо це економить гроші, час і місце для початківців організацій. Наприклад, досвідченим шляхом вдалося з'ясувати, що близько 65% серед клієнтів, що користуються послугами віддаленого адміністрування, складають стартап-організації. У таких ситуаціях доводиться дуже навантажено працювати не тільки з технічних аспектів, але і в питаннях організації робочих місць, серверних майданчиків. Клієнти, які мають у своєму розпорядженні певними ідеями і фінансовими засобами, бажаючі якомога швидше впровадити свій бізнес проект, щоб своєчасно і ефективно зайняти певну позицію на цільовому ринку, відносяться до невеликій частці осіб, які розуміють необхідність допомоги технічних фахівців і послуг віддалених сервісів. Більш того, не побоюся сказати, що така організація послуг стала останнім часом ще більш актуальною, коли стикаєшся з необхідністю розподілу офісів компаній в міжнародних масштабах: одна і та ж група фахівців може здійснювати 24-годинну підтримку 7 днів в тиждень в будь-якій точці світу.

Практика показує, що на ознайомлення з системою, а тим більше на вивчення її особливостей йде значна кількість часу, і стає очевидним, що використання однієї і тієї ж групи фахівців навіть в міжнародних масштабах є більш ефективним і правильним підходом для успішного і стрімкого розвитку бізнесу.

На початку своєї історії все комп'ютери були автономними і працювали окремо один від одного. Зі збільшенням кількості машин виникла необхідність у спільній їх роботі. Зокрема, це стосувалося роботи користувачів над одним документом. Рішенням подібної проблеми стало використання глобальних і локальних мереж. Спорудження мереж викликало необхідність управляти цим процесом, а також виконувати різні завдання. Адміністрування мереж взяло на себе ці функції.

Основні функції адміністрування мереж

Згідно з міжнародними стандартами адміністрування мережі має наступні функції:

• Управління відмовами. Сюди входить пошук, правильне визначення і усунення всіх неполадок і збоїв в роботі конкретної мережі.
• Управління конфігурацією. Йдеться про конфігурацію компонентів системи, включаючи їх локацію, мережеві адреси, мережевих операційних систем і ін.
• Облік роботи мережі. Адміністрування обчислювальної мережі включає в себе реєстрацію і подальший контроль над використовуваними ресурсами і пристроями мережі.
• Управління продуктивністю. Йдеться про надання статистичної інформації про роботу мережі за вказаний відрізок часу. Робиться це з метою мінімізації витрат ресурсів і енергії, а також з метою планування ресурсів на майбутні потреби.
• Управління безпекою. Функція відповідає за контроль доступу і збереження цілісності всіх даних.

Різні набори зазначених функцій втілюються в продуктах розробників засобів для мереж.

Обов'язки системного адміністратора

Адміністрування комп'ютерних мереж відбувається під контролем і керівництвом системного аднімістартора, перед яким стоять наступні завдання:

Перевірка працездатності баз даних.

• Контроль над безперебійною роботою локальних мереж.
• Захист даних і забезпечення їх цілісності.
• Захист мережі від незаконного доступу.
• Регулювання прав доступу користувачів локальної мережі до ресурсів мережі.
• інформації.
• Використання оптимальних методів програмування з метою повного використання доступних засобів і ресурсів мережі.
• Ведення спеціальних журналів по роботі мережі.
• Здійснення навчання користувачів локальної мережі.
• Контроль над використовуваним програмним забезпеченням.
• Контроль над вдосконаленням локальної комп'ютерної мережі.
• Розробка права доступу до мережі.
• Призупинення незаконної модифікації програмного забезпечення для мережі.

Системний адміністратор також відповідає за інформування працівників конкретного підприємства або організації про слабкі місця системи адміністрування мереж та можливі шляхи незаконного доступу до неї.

Особливості та критерії планування систем

Перед установкою комп'ютерної мережі потрібно знайти відповіді на наступні питання:

• Які завдання вирішуватиме і які функції виконуватиме система?
• Як буде побудована комп'ютерна мережа? (Її тип, маршрутизація і ін.)
• Скільки і які комп'ютери будуть присутні в мережі?
• Які програми для адміністрування мережі будуть використані?
• У чому полягає політика безпеки організації, де буде встановлена \u200b\u200bсистеми і т.д.

Відповіді на ці питання дозволять створити систему критеріїв для конкретної комп'ютерної мережі, куди будуть входити наступні пункти:

• Підготовка, контроль і тестування програм, які будуть щодня використовуватися в мережі.
• Контроль над продуктивністю і працездатністю використовуваних комп'ютерів.
• Попередня підготовка процедур відновлення системи в разі помилок або збоїв.
• Контроль над тим, що подальша установка нової системи не буде мати негативний вплив на мережу.

Для всіх цих цілей потрібно підготувати персонал і користувачів.

Програми для віддаленого адміністрування

У разі необхідності контролю над системою поза організації використовується віддалене адміністрування мереж. Для цих цілей застосовується спеціальне програмне забезпечення, що дозволяє здійснювати контроль над системою і віддалений доступ через інтернет в реальному часі. Подібні програми надають практично повний контроль над віддаленими елементами локальної мережі і кожним комп'ютером окремо. Це дає можливість дистанційно керувати робочим столом кожного комп'ютера в мережі, копіювати або видаляти різні файли, працювати з програмами і додатками і т.д.

Існує величезна кількість програм для здійснення віддаленого доступу. Всі програми відрізняються за своїм протоколу і інтерфейсу. Що стосується останнього, то інтерфейс може мати консольний або візуальний характер. Поширеними і популярними програмами виступають, наприклад, Windows Remote Desktop, UltraVNC, Apple Remote Desktop, Remote Office Manager і ін.

категорії мереж

Мережа є сукупністю різних апаратних, програмних, і комунікаційних засобів, які відповідають за ефективний розподіл інформаційних ресурсів. Всі мережі можна розділити на три категорії:

• Локальні.
• Глобальні.
• Міські.

Глобальні мережі забезпечують взаємодію та обмін даними між користувачами, які знаходяться на великих відстанях один від одного. При роботі подібних мереж можуть з'являтися невеликі затримки в передачі інформації, що викликано відносно низькою швидкістю передачі даних. Протяжність глобальних комп'ютерних мереж може досягати тисячі кілометрів.

Міські мережі функціонують на меншій території, тому надають інформацію на середніх і високих швидкостях. Вони не так уповільнюють дані, як глобальні, проте не можуть передавати інформацію на великі відстані. Протяжність подібних комп'ютерних мереж знаходиться в межах від декількох кілометрів до кількох сотень кілометрів.

Локальна мережа забезпечує найвищу швидкість Зазвичай локальна мережа розташовується всередині одного або декількох будівель, а її протяжність займає не більше одного кілометра. Найчастіше локальна мережа споруджується для однієї конкретної організації або підприємства.

Механізми передачі даних в різних мережах

Спосіб передачі інформації в глобальних і локальних мережах різний. Глобальні комп'ютерні мережі в першу чергу орієнтовані на з'єднання, тобто перед початком передачі даних між двома користувача потрібно попередньо встановити між ними з'єднання. У локальних комп'ютерних системах використовуються інші методи, які не вимагають попередньої установки зв'язку. У цьому випадку інформація відправляється користувачеві без отримання підтвердження про його готовності.

Крім різниці в швидкості, між зазначеними категоріями мереж існують і інші відмінності. Якщо мова йде про локальні мережі, то тут кожен комп'ютер має свій мережевий адаптер, який з'єднує його з іншими комп'ютерами. Для цих же цілей в міських мережах використовують спеціальні комутуючі пристрої, в той час як глобальні мережі використовують потужні маршрутизатори, які пов'язані між собою каналами зв'язку.

мережева інфраструктура

Комп'ютерна мережа складається з компонентів, які можна об'єднати в окремі групи:

• Активне мережеве обладнання.
• Кабельна система.
• Засоби комунікації.
• Мережеві додатки.
• Мережеві протоколи.
• Мережеві служби.

Кожен із зазначених рівнів має свої підрівні і додаткові компоненти. Всі пристрої, які підключаються до існуючої мережі, повинні передавати дані відповідно до алгоритму, який буде зрозумілий іншим пристроям в системі.

Завдання мережевого адміністрування

Адміністрування мережі передбачає роботу з конкретною системою на самих різних рівнях. При наявності складних корпоративних мереж перед адмініструванням стоять наступні завдання:

• Планування мережі. Незважаючи на те, що монтажем системи і встановленням усіх компонентів зазвичай займаються соотвествующее фахівці, адміністратора досить часто доводиться міняти систему, зокрема прибирати або додавати в неї окремі компоненти.
• Налаштування мережевих вузлів. Адміністрування локальних мереж в цьому випадку передбачає роботу з активним найчастіше з мережевим принтером.
• Налаштування мережевих служб. Складна мережа може мати великий набір мережевих служб, які включають в себе мережеву інфраструктуру, каталоги, файли у пресі, доступ до баз даних і ін.
• Пошук несправностей. Адміністрування мережі передбачає вміння пошуку всіх можливих несправностей, починаючи від проблем з маршрутизатором, і закінчуючи проблемами в налаштуваннях мережевих протоколів і служб.
• Установки мережевих протоколів. Сюди відносяться такі роботи, як планування і подальша настройка мережевих протоколів, їх тестування та визначення оптимальної конфігурації.
• Пошук шляхів підвищення ефективності роботи мережі. Зокрема, мова йде про пошук вузьких місць, які вимагають заміни відповідного обладнання.
• Моніторинг мережевих вузлів і мережевого трафіку.
• Забезпечення захисту інформації. Сюди входить резервне копіювання даних, розробка політики безпеки акаунтів користувачів, використання захищеної комунікації та ін.

Всі зазначені завдання повинні виконуватися паралельно і комплексно.

Адміністрування засобів безпеки

Адміністрування засобів безпеки передбачає роботу в декількох напрямках:

• Поширення актуальної інформації, необхідної для роботи засобів безпеки.
• Збір і аналіз даних про функціонування механізмів безпеки.

Адміністрування локальних мереж в цьому випадку включає роботу з інформаційною базою управління безпекою. В обов'язки аднімістартора в цьому питанні входять наступні завдання:

• Генерація і перерозподіл ключів.
• Налагодження та управління доступом до мережі.
• Управління шифруванням за допомогою відповідних кріптопараметров.
• Налагодження та управління трафіком і маршрутизацією.

Системний адміністратор також повинен поширювати інформацію серед користувачів, яка необхідна для успішної аутентифікації (паролі, ключі і т.д.).

Захист системи від шкідливих програм

У Microsoft Windows присутній спеціальний Центр забезпечення інформації, який відповідає за захист системи від шкідливого програмного забезпечення. Крім того, операційна система також має функції захисту від злому і автоматичним оновленням всіх даних. Незважаючи на це, від системного адміністратора слід дотримуватися додаткових завдань, націлених на захист комп'ютерної мережі:

• Доступ до комп'ютера з використанням різних ID пристроїв.
• Установка заборони на запис інформації на знімні диски.
• Шифрування знімних носіїв інформації і ін.

Адміністрування мережі являє собою дії, спрямовані на реалізацію забезпечення політики безпеки, надійності і доступності інформаційних ресурсів мережі. Для цих цілей використовуються відповідні програмні та а на системного адміністратора виголошується ряд обов'язків і завдань.

загальні положення

Віддалений доступ - дуже широке поняття, яке включає в себе різні типи і варіанти взаємодії комп'ютерів, мереж і додатків. Існує величезна кількість схем взаємодії, які можна назвати віддаленим доступом, але їх об'єднує використання глобальних каналів або глобальних мереж при взаємодії. Крім того, для віддаленого доступу, як правило, характерна несиметричність взаємодії, тобто з одного боку є центральна велика мережа або центральний комп'ютер, а з іншого - окремий віддалений термінал, комп'ютер або невелика мережа, які повинні отримати доступ до інформаційних ресурсів центральної мережі. За останні рік-два кількість підприємств, що мають територіально розподілені корпоративні мережі, значно зросла. Тому для сучасних засобів віддаленого доступу дуже важливі хороша масштабованість і підтримка великої кількості віддалених клієнтів.

Основні тенденції розвитку засобів віддаленого управління

Стандартизація. Ще зовсім недавно для віддаленого управління корпоративними мережами застосовувалися фірмові рішення, що відрізняються використанням власних протоколів передачі даних по телефонних мереж і власних методів аутентифікації віддалених користувачів, а також оригінальними способами надання ресурсів центральної мережі. Природно, це викликало певні проблеми і при необхідності «зрощування» двох мереж, що мали перш різну конфігурацію засобів управління мережею, і при підготовці фахівців, і в інших ситуаціях. Зараз в системах управління працює все більше стандартних компонентів: протокол передачі даних PPP; «Джентльменський набір» засобів аутентифікації - за допомогою систем Kerberos, Novell NDS або MicrosoftDirectoryServices; надання інформаційних ресурсів віддаленим користувачам за допомогою служби WWW або тих же сервісів, які працюють і в локальній мережі. Цей процес полегшує взаємодію серверів віддаленого доступу з клієнтами і мережевими операційними системами, що працюють в локальній мережі. Хоча до повної стандартизації ще далеко (вона, як завжди, є скоріше метою), за останні кілька років ситуація змінилася докорінно.

Підвищення швидкості доступу. Основні зусилля операторів телекомунікаційних сервісів сьогодні спрямовані на подолання для масових користувачів обмеження в 56,2 Кбіт / c, що накладається аналоговими модемами. Крім того, передача інформації через мережу Інтернет є, м'яко кажучи, небезпечною. Тому ідеальним варіантом було б створення віртуальної приватної мережі - VPN (про цю технологію можна прочитати в КомпьютерПресс № 5 "2001). Ми не будемо детально зупинятися на питаннях фізичного з'єднання користувачів або підмереж, розглянемо їх лише в мінімальному обсязі.

Підключення корпоративної мережі до Internet виправдано в тому випадку, якщо вам потрібен доступ до відповідних послуг. Використовувати Internet як середовище передачі даних варто тільки тоді, коли інші способи недоступні і коли фінансові міркування переважують вимоги надійності та безпеки.

Однією з найбільш широко обговорюваних проблем віддаленого адміністрування є саме безпека. Якщо допускається можливість віддаленого управління вашою мережею, то який би технологією ви не користувалися, з'явиться ряд проблем, пов'язаних із забезпеченням безпеки передається по мережі інформації.

У яких випадках це може бути небезпечно

Ми неодноразово писали про важливість забезпечення безпеки при передачі інформації по загальній мережі. Як показує практика, випадки злому мережі все ще досить часто зустрічаються. Повторимо ще раз, які небезпеки можуть загрожувати приватної мережі при використанні тієї чи іншої технології передачі даних. Перш за все це перехоплення інформації при передачі. Тут можуть допомогти засоби шифрування, які вирішують проблему лише частково, оскільки застосовні в основному до пошти і передачі файлів. Рішення ж, що дозволяють з прийнятною швидкістю шифрувати інформацію в реальному часі (наприклад, при безпосередній роботі з віддаленою базою даних або файл-сервером), поки малодоступні і дороги. Є, звичайно, засіб захисту від несанкціонованого доступу до мережі - Firewall (міжмережевий екран). Однак вважати це панацеєю не варто - згадайте про віруси і антивірусні програми. Будь-який захист можна зламати, особливо якщо отримана інформація окупає вартість злому. Таким чином, рекомендувати Internet як основу для систем, в яких потрібна надійність і закритість, можна лише в крайньому випадку і при використанні всіх заходів захисту, включаючи міжмережеві екрани, шифрування каналу і VPN. Крім того, не варто забувати і про людський фактор - про співробітників «всередині» і «зовні» корпоративної мережі. Але це вже тема окремої статті.

Відзначимо, що для організації віддаленого доступу можна використовувати технології X.25 і Frame Relay, які надають ряд вельми цікавих можливостей. Проблема несанкціонованого доступу також може досить ефективно вирішуватися засобами самої мережі. Сьогодні існують засоби шифрування, які створені спеціально для мереж X.25 і Frame Relay і дозволяють працювати на досить високих швидкостях. Таке обладнання виробляють компанії Racal, Cylink, Siemens. Є й вітчизняні розробки, створені під егідою ФАПСИ. Природно, існують розробки і для мереж на основі протоколу IP, про які ми неодноразово писали в статтях про безпеку.

Схеми віддаленого управління мережею

Тепер перейдемо до схем віддаленого управління мережею. На рис. 1 представлені основні схеми віддаленого доступу, що відрізняються типом взаємодіючих систем: 1 - «термінал-комп'ютер»; 2 - «комп'ютер-комп'ютер»; 3 - «комп'ютер-мережа»; 4 - «мережа-мережа».

Перші три види віддаленого доступу часто об'єднують поняттям індивідуального доступу, а схеми доступу «мережу-мережа» іноді ділять на два класи - ROBO (RegionalOffice / BranchOffice) і SOHO (SmallOffice / HomeOffice). Клас ROBO відповідає випадку підключення до центральної мережі мереж середніх розмірів - мереж регіональних підрозділів підприємства, а класу SOHO - нагоди віддаленого доступу мереж невеликих офісів і домашніх мереж.

Особливе місце серед всіх видів віддаленого доступу до комп'ютера займає спосіб, при якому користувач отримує можливість віддалено працювати з комп'ютером так само, як якби він керував ним за допомогою локально підключеного терміналу. У цьому режимі він може запускати програми на віддаленому комп'ютері і бачити результати їх виконання. При цьому такий спосіб доступу прийнято розділяти на термінальний доступ і на віддалене управління. Хоча це близькі режими роботи, але в описі продуктів віддаленого доступу їх не прийнято об'єднувати в один клас. Зазвичай під термінальним доступом розуміють символьний режим роботи користувача з віддаленими на багато користувачів ОС - UNIX, VAXVMS, ОС мейнфреймів IBM. В клас віддаленого управління включають програми емуляції графічного екрану ОС персональних комп'ютерів - в першу чергу різних версій Windows, а останнім часом до цього класу можна віднести Linux-системи, Solaris і ін.

Багато виробників операційних систем передбачили в своїх стеках протоколів кошти термінального доступу користувачів до комп'ютерів по мережі. Ці засоби дозволяють користувачеві, який працює за комп'ютером, підключеним до мережі, перетворити екран свого монітора в емулятор терміналу іншого комп'ютера, також підключеного до мережі. Найбільш популярним засобом такого типу є протокол telnet стека TCP / IP, що з'явився в рамках операційної системи UNIX і з тих пір нерозривно з нею пов'язаного.

На відміну від систем термінального доступу, що перетворюють комп'ютер користувача в емулятор екрану центрального комп'ютера, засоби підтримки режиму віддаленого вузла (remote node) роблять викликає машину повноправним ланкою локальної мережі. Це досягається за рахунок того, що на віддаленому комп'ютері працює той же стек протоколів, що і в комп'ютерах центральної локальної мережі, за винятком протоколів канального і фізичного рівня. На цьому рівні замість традиційних протоколів Ethernet або Token Ring працюють модемні протоколи (фізичний рівень) і канальні протоколи з'єднань «точка-точка», такі як SLIP, HDLC і PPP. Ці протоколи використовуються для передачі через телефонні мережі пакетів мережевого і інших протоколів верхніх рівнів. Таким чином, здійснюється повноцінна зв'язок віддаленого вузла з іншими вузлами мережі.

Сервіс віддаленого вузла забезпечує йому транспортне сполучення з локальною мережею, тому на віддаленому вузлі можуть використовуватися всі сервіси, які доступні локальним клієнтам мережі, наприклад файл-сервіс NetWare, сервіс telnet або X-Window ОС UNIX, адміністрування Windows NT.

Найбільші складнощі викликає віддалене управління популярними настільними операційними системами сімейства Windows, OS / 2 і т.п. Це пов'язано з тим, що для даних систем немає стандартного протоколу емуляції терміналу, подібного telnet або X-Window для UNIX або LAT для VAXVMS. Крім того, ці операційні системи найбільш знайомі кінцевому користувачеві, і йому було б дуже зручно використовувати звичний графічний інтерфейс Windows при управлінні віддаленим хостом. Тому саме засобам віддаленого управління, вбудованим в ОС сімейств UNIX, Windows і NetWare, а також створеним третіми фірмами-розробниками, буде присвячена решта цієї статті.

Засоби для віддаленого адміністрування, вбудовані в операційні системи

сімейство UNIX

UNIX можна назвати операційною системою, добре пристосованої для задач системного і мережевого адміністрування, але набагато гірше - для офісних додатків. Оскільки мова йде про систему віддаленого адміністрування, а не про настільній системі, можна сказати, що завдяки сервісів telnet будь який має на те право користувач може управляти мережею з будь-якої точки земної кулі, запустивши на своєму комп'ютері віддалений термінал. Єдиний серйозний недолік такого підходу - високі вимоги до кваліфікації адміністратора: він повинен добре володіти утилітами командного рядка. Природно, у недосвідчених адміністраторів виникають великі складнощі, а рядові користувачі просто панікують побачивши чорного екрану з миготливим курсором командного рядка.

Останнім часом ця ситуація змінюється в кращу сторону - з'являються клієнт-серверні додатки, що дозволяють віддалено адмініструвати UNIX / Linux-системи в графічному режимі. Прикладом може служити VNC Server для Suse Linux. Ці додатки заслуговують того, щоб стати темою окремої статті.

А зараз зупинимося на telnet. Він входить в число стандартів, яких налічується три десятка на півтори тисячі рекомендованих офіційних матеріалів мережі, які називаються RFC (Request For Comments).

Спочатку під telnet малася на увазі тріада, яка складається з: telnet-інтерфейсу користувача, telnet-процесу і telnet-протоколу.

Ця тріада забезпечує опис і реалізацію мережевого терміналу для доступу до ресурсів віддаленого комп'ютера.

Telnet будується як протокол додатки над транспортним протоколом TCP. При установці telnet-з'єднання програма, що працює з реальним термінальним пристроєм, і процес обслуговування цієї програми використовують для обміну інформацією мережевий віртуальний термінал (Network Virtual Terminal, NVT) - стандартне опис найбільш широко використовуваних можливостей реальних фізичних термінальних пристроїв. NVT дозволяє описати і перетворити в стандартну форму способи введення і виведення інформації. Термінальна програма (user) і процес (server), що працює з нею, перетворять характеристики фізичних пристроїв в специфікацію NVT, що дозволяє забезпечити принцип взаємодії між різними пристроями з різними можливостями. Характеристики діалогу диктуються пристроєм з меншими можливостями.

Принцип договірних опцій або команд дозволяє узгодити можливості виведення інформації на термінальних пристроях. NVT - це мінімально необхідний набір параметрів, який дозволяє працювати з telnet навіть самим допотопним пристроїв. Реально використовуються сучасні пристрої володіють набагато більшими можливостями виведення інформації, і принцип договірних команд дозволяє використовувати ці можливості.

Взаємодія за протоколом telnet симетрично, що дозволяє протягом однієї сесії програмі-user та програмою-server мінятися місцями. Це принципово відрізняє взаємодія в рамках telnet від традиційної схеми «клієнт-сервер». Якщо ж мова йде про обмін інформацією між двома термінальними програмами в режимі «термінал-термінал», то кожна зі сторін може виступати ініціатором зміни принципів подання інформації та при цьому тут проявляється ще одна особливість протоколу telnet. Протокол використовує не принцип «запит - підтвердження», а принцип «прямої дії». Це означає, що якщо термінальна програма хоче розширити можливості подання інформації, то вона робить це (наприклад, вставляє в інформаційний потік Esc-послідовності), а якщо у відповідь вона отримує інформацію в новій виставі, то це означає вдалу спробу, в іншому випадку відбувається повернення до стандарту NVT.

Однак у Telnet є досить серйозні мінуси - проблеми з безпекою. Якщо ви дозволяєте віддалені telnet-з'єднання з портами вашого сервера, то вам треба звернути особливу увагу на той факт, що людина, що підключається до машини, взаємодіє з однією з програм-демонів. Він не має ніяких прав на читання / запис інформації і не ідентифікується системою UNIX (ви не зможете його знайти командою who), але зате може давати команди цим демонам і, скориставшись помилками в програмах або конфігурації, отримати доступ до інформації, що зберігається на сервері.

сімейство Windows

Складність віддаленого адміністрування сервера Windows NT завжди пригнічувала системних адміністраторів, що стикалися з цим завданням. І хоча найбільш досвідчені освоїли такі трюки, як використання RCMD (Remote Command Service, RCMD.EXE) в поєднанні з програмами regini або regedit, все одно віддалене адміністрування Windows NT істотно відрізняється від свого локального аналога. В цьому випадку необхідно освоєння спеціального інструментарію, оскільки операційні системи персональних комп'ютерів завжди були тісно прив'язані до локальних клавіатурі і дисплею. Справді, до недавнього часу більшість персоналок не підключати до мережі і, отже, не потребувало у взаємодії з іншими клавіатурами або моніторами.

Цю прогалину заповнюється рядом продуктів третіх фірм-розробників, і мова про них піде нижче. Але існує також кілька пакетів для управління настільними системами на базі Windows, створених розробниками фірми Microsoft.

Один з них - Systems Management Server (SMS) 2.0 (рис. 2), який тісно інтегрований з СУБД Microsoft SQL Server і програмою Crystal Reports і має широкі можливості в плані управління інформацією. Крім того, дуже приваблива наявна в SMS можливість планування процесу супроводу бази даних. Як і слід було очікувати, область діагностики неполадок в роботі Windows чудова.

Серед недоліків, наявних в SMS на сьогодні, можна назвати наступні: немає підтримки інсталяції драйверів принтерів; функція блокування конфігурації ПО на клієнтських комп'ютерах не включена в консоль пакета; відсутні вбудовані засоби захисту від вірусів.

Якщо ж вам потрібно всього лише отримати термінальний доступ до віддаленого комп'ютера і ви знайомі з роботою telnet в UNIX-системах, то зручніше використовувати такий продукт, як telnet-сервер, вбудований в Windows 2000 Professional.

За замовчуванням запуск telnet-сервера відключений через очевидну загрозу безпеці. Щоб запустити цю службу, скористайтеся командою: net start telnet

Якщо у вас під рукою telnet-клієнт, а у сервера є постійний IP-адреса, ви можете відкрити вікно командного рядка на сервері звідки завгодно і з будь-якої точки земної кулі дистанційно керувати сервером за допомогою стандартних команд telnet.

сімейство NetWare

Для управління робочими станціями до складу операційної системи NetWare 5 входить пакет Z.E.N. works (Zero Effort Networking, - робота в мережі з нульовими зусиллями). Хоча досягти нульового рівня витрат при організації мережі не можна, пакет Z.E.N. works набагато полегшує віддалене управління безліччю клієнтських станцій. Порівнюючи Z.E.N. works 2.0 з попередньою версією, не можна не відзначити безліч додаткових можливостей останньої версії, наприклад: поширення додатків в залежності від виконання певних умов, інвентаризація ПО робочих станцій і контроль його використання, генерація звітів.

Для полегшення управління робочими столами Windows пакет Z.E.N. works тісно інтегрований зі службою довідника NDS. Цей пакет добре підходить також для територіально розподілених сервісних центрів, сервери яких можуть зберігати копії розділів NDS.

З установкою Z.E.N. works у вас з'являються такі можливості:

• Підтримка робочих станцій. Пакет Z.E.N. works містить агент реєстрації робочих станцій (Workstation Registration), який автоматично реєструє робочі станції в тому випадку, якщо робоча станція була оновлена \u200b\u200bв Novell Client з використанням Z.E.N. works або принаймні один раз реєструвалася в мережі. Після реєстрації робочих станцій в службі NDS можна встановити віддалене управління, розподіляючи відповідні агенти користувачів. Є дві можливості автоматичного розповсюдження агентів користувачів для робочих станцій Windows: за допомогою термінально-резидентних програм (TSR) і за допомогою NAL (Novell Application Launcher). Не важливо, яка схема буде вибрана, користувачі в будь-якому випадку отримають відповідну NDS і права в файлової системі, щоб прийняти інструкції віддаленого управління.
• Управління робочим столом. Системний адміністратор може налаштовувати робочий стіл користувача, використовуючи дві спеціальні політики Z.E.N. works: системну політику користувача (в пакеті політик користувача) і системну політику комп'ютера (в пакеті політик робочої станції). Відповідно системна політика користувача дозволяє настроїти функції робочого столу, які будуть доступні певному користувачеві, а політика комп'ютера - налаштувати параметри Windows кожної робочої станції. Великим плюсом Z.E.N. works є можливість конфігурувати призначену для користувача середу друку за допомогою NDS. Можна автоматично завантажувати необхідний драйвер друку для кожного користувача, коли він реєструється в мережі. Також існує можливість налаштовувати профілі користувачів, тобто такі настройки робочого столу, як шпалери, заставка і звуки, можуть бути стандартизовані і розіслані всім користувачам підприємства.
• Управління додатками. Пакет Z.E.N. works містить спеціальну версію кошти запуску додатків (NAL), що дозволяє поширювати мережеві додатки по робочих станцій користувачів та керувати ними як об'єктами дерева NDS. Реалізовані такі рішення, як відмовостійкість і вирівнювання навантаження, що гарантують доступ користувача до потрібного додатка. Більш того, якщо користувач видалить зі свого жорсткого диска бібліотеки необхідного додатку, а потім звернеться до нього, NAL автоматично виявить зниклі файли і відновить їх.

Однак, незважаючи на безліч переваг, у Z.E.N. works є і деякі недоліки, наприклад: немає можливості автоматичного створення процедури видалення встановлених додатків, а функція контролю використання програми не охоплює локальні додатки, що унеможливлює контроль запуску ігрових та інших небажаних програм на робочих станціях.

Програмні засоби третіх фірм

UNIX / Linux-системи спочатку пристосовані до дистанційного управління. Склалося так, що першими UNIX-машинами були дорогі міні-комп'ютери, до яких через послідовні порти підключався безліч терміналів. Навіть сьогодні, коли UNIX обзавелася графічним інтерфейсом, установка сеансу зв'язку залишається однаково простий на віддаленій і на локальній машині (за умови, що користувач має право на запуск сеансу з віддаленого хоста). Таким чином, якщо для управління розташованим в іншій країні комп'ютером з Linux потрібно лише підключитися до нього за допомогою програми telnet, то для вирішення тієї ж завдання з сервером NT доведеться в цю країну з'їздити. Оскільки це, як правило, неможливо, то системним адміністраторам Windows NT доводиться шукати програмні засоби для заповнення даного пробілу.

Коштів мережевого адміністрування, представлених в більшості Windows-систем, цілком достатньо на рівні користувача і робочої групи. Однак вони поступаються за різноманітністю підтримуваних функцій продуктам незалежних розробників. Так, наприклад, Windows NT Server хороший для адміністрування сервера і користувачів по відношенню до ресурсів, але ігнорує безліч інших завдань, таких, наприклад як контроль за ліцензіями. До складу Windows NT входить додаток мережевого моніторингу для контролю відповідності кількості користувачів або підключень в мережі числу придбаних ліцензій, але воно не в змозі робити те ж саме для інших додатків, що виконуються на сервері або робочих станціях.

Наступні три продукти для адміністрування мережі показові щодо розширення можливостей NT: Norton Network Series від компанії Symantec, LANDesk Management Suite від Intel і Desktop Management Suite (DMS) від фірми Veritas Software.

Пакет Norton Network Series від Symantec включає в себе цілий ряд продуктів, таких як Norton Administrator Suite (NAS) і Expose. Засіб NAS здійснює інвентаризацію програмних і апаратних ресурсів, поширення програмного забезпечення, контроль використання ліцензійного ПЗ, захист від вірусів і управління конфігурацією настільних комп'ютерів. NAS працює з цілим рядом платформ, в тому числі з Windows NT Server, NetWare, VINES компанії Banyan і іншими. Expose виконує моніторинг системи в реальному часі і видає попередження про неполадки на серверах NetWare, NT і VINES. Він підтримує адміністративну консоль NAS і, крім того, SNMP.

LANDesk від Intel багато в чому схожий на SMS від компанії Microsoft, про який вже говорилося в цій статті. На практиці LANDesk варто використовувати в мережі NetWare, що має кілька серверів Windows NT, в той час як SMS логічно застосовувати в мережі NT з декількома серверами NetWare. LANDesk забезпечує підтримку DMI (Desktop Management Interface), а також має безліч інших сервісів, в числі яких - інвентаризація програмних і апаратних ресурсів, контроль використання ліцензійного ПЗ і поширення програмного забезпечення. Крім цього LANDesk підтримує керування принтерами робочих станцій і антивірусне ПЗ Norton AntiVirus від фірми Symantec, яке встановлюється разом з агентом управління. І нарешті, цей продукт має інструментарій моніторингу мережі, що дозволяє контролювати характер використання мережі, виявляти збої, а також, посилати аварійні сигнали системам управління на серверах NetWare і Windows NT. Служба віддаленого управління робочою станцією використовується для організації довідкової системи (help desk).

LANDesk має вбудовану потужну систему сценаріїв для поширення програмного забезпечення, а також для створення загального середовища програмування під час налаштування мережі. Диспетчер настільних систем дозволяє адміністратору мережі конфігурувати з центрального вузла загальну для всіх робочих станцій середу.

Слід сказати, що реалізований в пакеті метод пошуку робочих станцій з агентами Common Base Agents має досить серйозний недолік. Справа в тому, що для виявлення робочих станцій в конкретній підмережі пакет LANDesk використовує спрямовані широкомовні повідомлення, і маршрутизатори, які не передають їх між підмережами, можуть зірвати процес виявлення робочих станцій. Зокрема, це може статися в результаті того, що адміністратор мережі відключив в маршрутизаторі функцію передачі спрямованих широкомовних повідомлень.

Фірма Veritas випускає один з найбільш повнофункціональних пакетів системного управління - DMS, який виконує абсолютно всі, починаючи від поширення ОС і закінчуючи контролем використання програм. Поширення додатків в залежності від виконання умов в пакеті DMS здійснюється за допомогою діалогового вікна, а не групи запитів. До складу засобів управління інформацією входить набір шаблонів звітів і запитів, за допомогою яких можна генерувати запити до всієї бази даних продукту. Крім того, дуже приємно, що DMS повідомляє адміністратора про події, пов'язані з інсталяцією програм, за допомогою протоколів SMTP і SNMP.

Крім режимів доступу до робочих станцій тільки з дозволу їх користувачів або без оного, можна налаштувати клієнти DMS таким чином, щоб вони запитували дозвіл у користувачів, а, якщо через якийсь час відповіді не буде, то самі дозволяли проведення сеансу віддаленого управління.

Основною проблемою при роботі з DMS є відсутність централізованого віддаленого управління. Контролювати велике число робочих станцій без функції віддаленого управління просто немислимо, а наявність індивідуальних паролів для робочих станцій істотно ускладнює цей процес.

КомпьютерПресс 7 "2001