Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Удаленное администрирование Windows NT

Тодд Танненбаум

Рынок решений удаленного доступа и администрирования насыщен мощными коммерческими продуктами, предназначенными для обеспечения удаленного доступа в среде Windows NT фирмы Microsoft. Среди самых известных продуктов этого рода можно назвать WinFrame фирмы Citrix Systems, Terminal Server фирмы Microsoft и pcAnywhere фирмы Symantec. Однако для некоторых организаций цены на эти продукты слишком высоки. Приобретение нескольких лицензий такого пакета для важных серверов может оказаться вполне оправданным, но что делать, если вам нужно решить задачу удаленного администрирования для каждой из нескольких сот имеющихся в вашей корпоративной сети настольных систем Windows NT? Каких успехов можно добиться в деле удаленного доступа в Windows NT, прежде чем придется готовить техническое задание на комплексную систему администрирования? Ответ на этот вопрос может вас сильно удивить.

В данной статье мы раскроем секреты средств и технологий удаленного администрирования, которые являются встроенными в ОС Windows NT, а также укажем адреса, по которым можно загрузить из Интернет некоторые из тех бесплатных “сокровищ”, которые способны обеспечить вас богатым набором средств удаленного доступа и администрирования. Все нижеописанное, за одним исключением, бесплатно и не потребует серьезных вмешательств в устройство вашей сети. Всего несколько минут на чтение этой статьи — и вы узнаете, как получить удаленный доступ к интерфейсу командной строки и как удаленно выполнить некоторые базовые функции системного администрирования, такие, как просмотр, запуск или уничтожение процессов или служб; перезагрузка машин; просмотр системных журналов; наблюдение за происходящим на дисплее и даже запуск на выполнение программ с графическим интерфейсом.

Хотим сразу предупредить: мы исходим из того, что у вас установлена ОС Windows NT и что вы работаете с правами доступа системного администратора; впрочем, некоторые из обсуждаемых средств и технологий применимы и в Windows 95/98.

Virtual Ne twork Computing фирмы AT&T Laboratories

Если вам необходимо удаленно запускать на выполнение графические приложения, то вам не помешает иметь копию программы Virtual Network Computing (VNC) фирмы AT&T Laboratories — ее можно бесплатно загрузить с узла AT&T Research по адресу www.uk.research.att.com/vnc.

Программа VNC состоит из серверной части и средства удаленного просмотра. После инсталляции серверной части на выбранную вами машину вы, запустив программу просмотра на другом компьютере в сети, сможете получить с нее удаленный доступ к дисплею первой машины, ее клавиатуре и мыши; аналогичным образом работает и пакет pcAnywhere.

Соединение устанавливается по протоколу TCP/IP, причем занимает всего одно гнездо (socket), так что доступ к Интернет не является проблемой, при условии, конечно, что параметры вашего межсетевого экрана его разрешают. Если же нет, сконфигурируйте используемый сервером VNC номер порта TCP/IP, для чего выберите один из известных и еще не используемых портов — это позволяет сделать большинство межсетевых экранов. Обычно машины с ОС Windows NT не сконфигурированы для работы с SMTP, поэтому с этой целью можно использовать 25-й порт. Однако выбор номера порта желательно сначала согласовать с ответственным за безопасность вашей сети, который определяет настройки межсетевого экрана.

Чтобы инсталлировать VNC, загрузите с сервера фирмы инсталляционный пакет для платформы Windows NT и выполните ряд простых инструкций. Мы советуем запускать сервер VNC как службу Windows NT. Для этого войдите в систему с полномочиями администратора и введите в командной строке сначала winvnc -install, а затем net start winvnc. Причем для инсталляции программы сетевого просмотра делать вообще ничего не придется — это большое преимущество VNC. Программа просмотра представляет собой обыкновенный ЕХЕ-файл, и для его работы не требуется никаких специальных разрешений или внесения изменений в реестр. Размер этого файла меньше 200 Кбайт, поэтому запустить его можно на любом ПК прямо с дискеты.

Как только вы запустите программу просмотра, перед вами возникнет окно, отображающее содержимое дисплея удаленной машины. В нем вы сможете выполнять любую функцию, как если бы сами сидели перед этой удаленной машиной, — вы можете на ней регистрироваться, запускать графические приложения кнопкой “Пуск” и т. п.

Удаленный дисплей VNC принципиально отличается от многопользовательской технологии, реализованной в продуктах Microsoft Terminal Server и Citrix. Так, Terminal Server позволяет множеству пользователей одновременно обращаться к одной и той же машине: для каждого из них он создает свой частный виртуальный дисплей, который, кстати, может не иметь ничего общего с тем, что отображается на настоящем мониторе этого сервера.

В случае с VNC все удаленные пользователи, равно как и тот, что находится перед самой машиной, видят перед собой одну и ту же картинку. Если вы устанавливаете соединение при помощи VNC с уже управляемого кем-то компьютера, то не только увидите, что на нем делается, но и сможете воспользоваться клавиатурой и мышью для управления им наряду с теми пользователями, которые уже с ним работают. Преимущество такого подхода состоит в том, что персонал службы поддержки может оказывать удаленному пользователю помощь так, будто он сидит рядом с ним. Другой плюс — вы можете уйти из своего офиса, не закончив написание документа, а затем, уже из дома, установить соединение и продолжить работу над ним с того места, где остановились.

При использовании служб удаленного доступа всегда встает проблема обеспечения безопасности, и VNC в этом отношении не является исключением. Прежде чем устанавливать соединение, сервер VNC требует ввести пароль. К счастью, последний никогда не передается по сети, так как VNC применяет метод аутентификации типа запрос—подтверждение. Однако после аутентификации трафик больше не шифруется. Если вас это не устраивает, то для организации защищенного канала установите протокол PPTP (Point-to-Point Tunneling Protocol) или SSH.

Доступ к командной строке

Пакет VNC работает довольно хорошо, причем реализует несколько различных методов минимизации сетевого трафика, но, поскольку он передает графическую информацию, процесс передачи может сильно замедлиться при коммутируемых соединениях или при работе по каналам глобальной сети. В связи с этим стоит отметить, что для решения большинства задач системного администрирования вовсе не требуется графический интерфейс: при помощи командной строки они могут быть выполнены значительно быстрее. Таким образом, возможность открывать окно командной строки для запуска консольных программ на удаленной машине оказывается очень полезной — это своего рода telnet, только из мира Windows.

Все привыкли к тому что многочисленные административные задачи Windows NT выполняются исключительно с помощью графического интерфейса. Ведь при необходимости снять какой-либо процесс первое, что приходит вам на ум, — это вызвать диспетчер задач Task Manager, не так ли? Однако в инструментальном наборе Windows NT Resource Kit предусмотрено большое число утилит командной строки, которые помогут вам справиться с обычными административными задачами. Например, входящая в Windows NT Resource Kit программа TLIST.EXE предоставит вам список всех работающих процессов, а программа KILL.EXE позволит снять тот или иной из них.

К сожалению, полный набор Windows NT Resource Kit придется покупать — в розничной торговле он обычно стоит около 60 долл., — но мы вам все же его настоятельно рекомендуем, если, конечно, у вас серьезные намерения в отношении удаленного администрирования. Этот набор можно также получить, подписавшись на услуги Microsoft TechNet, или же загрузить с сервера Microsoft, приобретя подписку на ResourceLink по адресу mspress.microsoft.com/reslink/nt40/toolbox/. В то же время пакет Resource Kit Support Tools, являющийся подмножеством средств полного пакета Resource Kit, можно получить бесплатно на узле www.microsoft.com/ntworkstation/downloads/ Recommended/Featured/NTKit.asp.

Первым вашим шагом должна стать инсталляция пакета Resource Kit Support Tools на той машине, к которой вы хотите получить доступ с помощью удаленной консоли. Затем загрузите с сайта и запустите на выполнение саморазворачивающийся архив, содержащий программу удаленной консоли Remote Console фирмы Microsoft; ее можно найти по адресу ftp://ftp.microsoft.com/bussys/winnt/winnt-p ublic/reskit/nt40/i386/rconsole.exe.

Запустите этот EXE-файл во вреўменном каталоге и скопируйте получившиеся файлы в подкаталог того каталога, в котором лежат файлы Resource Kit Support Tools (например, если они находятся в c:\rksupport, то поместите файлы Remote Console в каталог c:\rksupport\rconsole). После этого, войдя в систему с полномочиями администратора, выполните следующие действия: нажмите Пуск Х Настройка Х Панель управления Х Сеть Х Службы Х Добавить Х Установить с диска. В диалоговом окне “Установить с диска” введите путь к файлам удаленной консоли (c:\rksupport\rconsole). И наконец, выбрав опцию “Remote Console Server”, нажмите кнопку OK и перезагрузите машину.

Теперь вы можете запустить на выполнение RCLIENT.EXE, ввести имя машины, на которой работает сервер Remote Console Server, затем зарегистрироваться, указав имя и пароль, после чего у вас перед глазами появится командная строка удаленной машины. Из окна консоли выполняются практически любые программы или команды, включая полноэкранные программы, такие, как EDIT.EXE. При этом уровень обеспечения безопасности просто превосходный. Только входящие в группу администраторов и прописанные в защищенной записи реестра пользователи смогут устанавливать соединение с сервером. Аутентификация вполне надежно осуществляется посредством обычных механизмов Windows NT. В RCLIENT есть опция шифрования всех данных, пересылаемых на протяжении сеанса связи.

В отличие от VNC в данном случае сеансы связи с помощью удаленной консоли не дублируют реальный пользовательский интерфейс удаленной машины. Собственно говоря, одновременно может происходить сразу несколько сеансов сервера удаленной консоли. Программа RCONSTAT.EXE при этом ведет список всех текущих сеансов.

Удаленный запуск на выполнение одной-единственной команды

Чтобы выполнить какую-то одну команду на удаленной машине и сразу от нее отсоединиться, интерактивный сеанс нужен далеко не всегда. Такой процесс чаще всего запускается из пакетного файла или сценария. Предположим, например, что вы хотите выполнить одну и ту же команду сразу на 80 машинах. Для этого вы можете по очереди соединяться со всеми машинами с помощью удаленной консоли или VNC и т. д. Но это может оказаться очень утомительным и отнять массу времени. Предпочтительнее для вас было бы запустить командный файл или сценарий, выполняющий эту команду на всех удаленных машинах. Такая процедура является эквивалентом команды rsh (remote shell) ОС Unix. Хотя Windows NT поставляется вместе с клиентом rsh, она, к сожалению, не содержит сервера rsh.

Для решения этой проблемы подойдет команда at, служащая для разового запуска какой-либо программы (для получения более подробной информации о ней введите в командной строке help at). С нашей точки зрения, интересным является тот факт, что одна из опций команды at позволяет задавать имя удаленной машины. Предположим, вы хотите запустить программу c:\foo\bar.bat на всех своих машинах. Тогда при наличии файла machines.txt со списком имен всех удаленных компьютеров по одному на каждой строке вы можете ввести команду

C:\> FOR /F %i in (machines.txt) do at \\%i 9:15am cmd "/c
c:\foo\bar.bat".

Бытует несколько распространенных заблуждений, связанных с использованием команды at для планирования времени выполнения команд на удаленных машинах. Она исполняется службой Scheduler, обычно работающей с учетными записями локальной системы. Параметры этих учетных записей, такие, как path и другие переменные среды, скорее всего, будут отличаться от параметров вашей собственной учетной записи. Поэтому следует убедиться, что программа, которой вы собираетесь пользоваться, действительно будет работать так, как надо. Введите в командной строке что-нибудь вроде at 10:01 am/interactive cmd.exe (проставьте время на минуту позже текущего момента), и на мониторе вашей машины появится окно консоли, работающей с параметрами, заданными учетной записью локальной системы, и тогда вы сможете протестировать свою программу.

Еще одним поводом для недоразумений является представление о том, что вам обязательно нужно зарегистрироваться под тем же именем пользователя и с тем же доменом, под которыми вы проходите аутентификацию на удаленной машине. На самом же деле для аутентификации на удаленной машине вам, как и любому пользователю, нет необходимости задавать домен — достаточно знать имя и пароль пользователя. Просто выполните команду net use с опцией /user.

Предположим, вы зарегистрированы как пользователь joe на своей машине и хотите запланировать выполнение команды at на сервере Bigfoot, но на нем отсутствует учетная запись пользователя joe с тем же самым паролем. Значит, прежде чем вводить команду at, нужно пройти аутентификацию на Bigfoot, для чего необходимо ввести команду net use \\Bigfoot\IPC$/user:administrator, а затем — ваш пароль на сервере Bigfoot. Теперь можно вводить команду at. Впрочем, той же цели можно добиться, если назначить диск одним из разделяемых ресурсов сервера Bigfoot. При этом специальная ссылка IPC$ на этот разделяемый ресурс поможет вам избежать сложностей, связанных с несовпадением буквенных обозначений дисков, их отсутствием для части дисков и неправильными именами разделяемых ресурсов.

Клиент-серверные средства удаленного администрирования

Многие средства администрирования и диагностики, предоставляемые фирмой Microsoft, могут работать в режиме клиент—сервер на удаленной машине. Вы, возможно, видели опцию “Select Computer” (“Выберите компьютер”) в таких средствах, как Event Viewer, и если не смогли заставить ее работать, то подумали, что предназначена она для доменов. На самом же деле данные средства можно использовать на любой удаленной машине — разумеется, если вы знаете имя и пароль администратора. С этой целью присоединитесь к разделяемому IPC$ требуемой машины, точно так же как это делалось для выполнения команды at, а затем запустите данное средство и выберите удаленный объект.

Если в результате вы получили сообщение об ошибке, гласящее, что имя хоста не распознано, то причина, возможно, в том, что ваша машина ищет другой сервер WINS, а не удаленный компьютер. Есть способ преодолеть и это препятствие. На своей машине выполните Пуск Х Настройка Х Панель управления Х Сеть Х Протоколы Х Свойства протокола TCP/IP Х Конфигурация WINS. Затем выставьте опции “Включить DNS для определения адресов Windows” и “Включить поиск LMHOSTS”.

После этого можно повторить попытку выбрать объект, и если имя машины в NetBIOS совпадет с именем, введенным в службу DNS сервера, то все должно заработать, если же нет, обратитесь к каталогу C:\WINNT\SYSTEM32\DRIVERS\ETC и в файле LMHOSTS введите имя и IP-адрес удаленной машины. Если же у вас нет файла LMHOSTS, скопируйте LMHOSTS.SAM под именем LMHOSTS, затем отредактируйте получившийся файл LMHOSTS. И наконец, введите команду nbtstat -r, чтобы произвести перезагрузку параметров LMHOSTS, после чего повторите попытку.

Для многих может оказаться неожиданным то, как велико число средств удаленного доступа, включенных в ОС Windows NT. В таблице мы приводим более полную информацию об утилитах удаленного администрирования фирмы Microsoft, бесплатных или же поставляемых с другими продуктами. Если же вы готовы приобрести полный пакет Windows NT Resource Kit, то вы найдете в нем значительно больше всего, что сможет помочь вам в работе.

Кроссплатформенный доступ без клиентского ПО

Иногда требуется получить удаленный доступ к своей машине, а под рукой нет никакого клиентского ПО удаленного доступа. Или же вам необходим доступ к своему серверу Windows NT Server с машины Macintosh или Unix.

Если вы инсталлировали пакет VNC, то сможете получить доступ к настольной системе через любой Web-браузер, работающий с аплетами Java, указав ему на Port 5800 вашей удаленной машины. Для этого, если VNC работает на узле myserver.com, откройте URL http://myserver.com:5800 и введите ваш пароль доступа к VNC, после чего настольная система myserver.com появится как Java-аплет в окне вашего браузера. Если вы хотите с помощью Web-браузера выполнять задачи удаленного администрирования на Windows NT Server и на нем уже работает пакет IIS (Internet Information Server), то вас должно заинтересовать средство Web Administrator фирмы Microsoft. Его можно бесплатно загрузить с узла www.microsoft.com/ntserver/nts/downloads/management/NTSWebAdmin/default.asp.

Другой способ обеспечения кроссплатформенного удаленного доступа — инсталляция отвечающих стандарту RFC серверов telnet и/или ftp. Пакет UWIN от Global Technologies (www.research.att. com/sw/tools/uwin/) поставляется вместе с обоими серверами (telnet и ftp). Многим известно, что к Windows NT Server 4.0 прилагается бесплатный сервер ftp, но мало кто догадывается, что и NT Workstation 4.0 тоже включает этот сервер. Вы сами можете это проверить, если установите еще одну службу: Пуск Х Настройка Х Панель управления Х Сеть Х Службы Х Добавить Х Microsoft Peer Web Server. Она тоже занимается ftp-передачей.

И наконец, думаю, вас обрадует известие, что ОС Windows 2000 содержит сервер telnet и для его запуска достаточно ввести команду net start tlntsvr. Только здесь есть одна загвоздка: из-за используемого метода аутентификации (по протоколу NTLM) по умолчанию этот telnet-сервер совместим только с telnet-клиентом Windows 2000.

К счастью, этап аутентификации по протоколу NTLM можно отключить, воспользовавшись утилитой tlntadmn. После этого обращаться к серверу telnet вы сможете с помощью обычного клиента. Однако при этом следует учитывать снижение уровня защиты, так как пароли telnet передаются по сети открытым текстом.





  
9 '2000
СОДЕРЖАНИЕ

колонка редактора

• Пусть всегда будет сеть

локальные сети

• Анализаторы ЛВС второго поколения

• Проектируем сеть устройств памяти

• Характеристики кабельных систем UTP и проблемы совместимости кабельных компонентов

услуги сетей связи

• "Отпрыск" HTTP повышает масштабируемость IP-телефонии

• Выбрать поставщика Интернет-услуг? Не так это просто

• TDMoIP: эволюционный подход к передаче речи по IP-сетям

• Системы VSAT на выставке "Связь-Экспокомм-2000"

новые продукты

• Система ИКС от Samsung, Универсальная платформа FlexGain, ZENworks for Servers гарантирует администраторам душевное спокойствие, Cisco: с новыми силами за рынок продуктов среднего уровня

корпоративные сети

• Лучшие продукты 2000 года

• Удаленное администрирование Windows NT

• Почему ваша сеть стала работать медленно? Откройте ей "второе дыхание" Часть II

защита данных

• Обеспечение сетевой безопасности SOHO

• Как защитить сеть, не мешая пользователям

электронная коммерция

• Google предпочитает Linux

бизнес

• Информационные системы для муниципальных образований

• Корпоративный переполох

только на сервере

• К быстродействию сети через программное обеспечение

• Средства управления многоузловыми межсетевыми экранами еще не готовы для внедрения на предприятиях

• NetServer LH 6000: высокая производительность в корпоративных сетях


• КАЛЕЙДОСКОП



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх