Рассылка для системных администраторов

NET START  -  21 января 2005

в этом выпуске:

Учет и контроль Internet-трафика. Часть III
Клонирование Windows и проблемы аппаратной совместимости
Ссылки

Учет и контроль Internet-трафика. Часть III.

Продолжение перечня программ, позволяющих считать, а также ограничивать по объему и скорости трафик для группы компьютеров или пользователей, начатого в выпусках рассылки от 30 декабря 2004 и 7 января 2005 .

Internet Access Monitor
Анализатор лог-файлов от Red Line Software . Существует в версиях для MS ISA Server, MS Proxy Server, Proxy Plus, Eserv, Squid, WinRoute, WinGate, WinProxy. Развитая система отчетов, способы учета трафика - по пользователям или по компьютерам - зависят от содержимого анализируемых логов. В дополнение к IAM производитель предлагает Mail Access Monitor - анализатор логов почтового сервера, опять же существующий в ряде версий. Для закачки доступны бесплатная версия каждого из продуктов Red Line Software (отключена возможность формирования отчетов) и триал полнофункциональной версии (ограничение 40 дней, без регистрации не сохраняет результаты).

TrafficFilter
для MS ISA Server 2000/2004 - средство ограничения трафика для пользователей/групп пользователей. Учитывает только Web-трафик, для правильной работы Traffic Filter в настройках ISA Server необходимо задать принудительную аутентификацию пользователей на прокси ("Ask unauthenticated users for identification"). Бесплатная версия ограничена возможностью лимитирования трафика для 5 отдельных пользователей и одной группы.

TrafficQuota
для MS ISA Server 2000/2004 - средство ограничения трафика для пользователей. Учитывает весь трафик, для правильной работы Traffic Quota изготовитель рекомендует задать принудительную аутентификацию пользователей на прокси и установить на компьютеры ISA Server Firewall Client. Практика показывает, что если последнее условие выполнено, первое становится необязательным. Бесплатная версия ограничена 5 пользователями.

Webquota Light
для MS ISA Server 2004 - средство ограничения трафика для пользователей. Учитывает только Web-трафик, для правильной работы опять же необходима аутентификация пользователей на прокси. Бесплатная версия ограничена 5 пользователями, для просмотра статистики необходимо заходить на Web-сайт изготовителя (!).

Продолжение следует.

Клонирование Windows и проблемы аппаратной совместимости.

".. на самом деле клонов больше. А всякие сочуствуюшие, которые,
видно, и сами не прочь клонироваться, льют воду на их мельницу!"
С. Лукьяненко "Геном"

Клонирование Windows, то есть установка операционной системы и набора необходимых приложений на эталонный компьютер и последующее тиражирование системы на другие (конечные) компьютеры - мощный инструмент в руках системного администратора, позволяющий в несколько раз сократить время, необходимое для подготовки рабочей станции или сервера к работе. Наибольшим препятствием на пути использования этой технологии является то простое обстоятельство, что не всякий раз Windows, скопированный с одного компьютера, соглашается работать на другом. В этой статье будут рассмотрены причины, порождающие несовместимость и обозначены пути обхода этих проблем. Большая часть приведенных сведений распространяется на все версии ОС Windows 2000/XP/2003, за исключением особо оговоренных случаев.

Некоторая часть советов в данной статье не соответствует базовым рекомендациям Microsoft. Принимая их к использованию, вы делаете это под свою личную ответственность.

Причины несовместимости.

В большинстве статей Microsoft на эту тему (например, здесь : Клонирование системы Windows 2000 ), указывается на существование двух источников несовместимости - контроллера накопителей и HAL (Hardware Abstraction Layer). Однако в части документов упоминается также, что проблемы могут быть вызваны особенностями реализации BIOS. Практика подтверждает эти тезисы, а встречающиеся иногда в Сети мнения о необходимости учитывать совместимость по процессорам, видеоадаптерам и тому подобное должны быть признаны неверными.

Несовместимость по контроллеру накопителей обычно имеет следствием "выпадение" Windows в синий экран с сообщением "INACCESSIBLE_BOOT_DEVICE". Если ограничить рассмотрение только системами с ATA/SATA накопителями, то решение этой проблемы не составит труда. Достаточно перед созданием образа в Диспетчере устройств на эталонном компьютере заменить конкретный драйвер для контроллера накопителей, скажем "VIA Bus Master IDE Controller", на "Standart Dual Channel PCI IDE Controller" (в русском варианте - "Стандартный двухканальный котроллер PCI IDE"). Не надо даже перезагружать Windows, чтобы изменения вступили в силу - можно сразу переходить к копированию системы.

Несовместимость по HAL в типичном случае приводит к прерыванию загрузки Windows без каких-либо сообщений - только пустой экран, в левом верхнем углу которого одиноко мерцает курсор. Эта проблема не имеет столь простого решения.

Что такое HAL и как с ним бороться ?

Полный перечень версий HAL, поддерживаемых Windows, приведен во многих документах Microsoft. На русском языке его можно найти в статье Как указать вручную драйвер уровня аппаратных абстракций во время установки или обновления Microsoft Windows XP . Узнать текущую версию HAL на компьютере с уже установленным Windows проще всего, открыв Диспетчер устройств и проверив название драйвера устройства Компьютер.

Последнее обстоятельство наводит на мысль, что HAL - это просто один из системных драйверов и с ним можно обращаться так же, как с прочими драйверами. Скажем, перед созданием образа просто сменить на эталонной машине драйвер для устройства Компьютер на нужный. Увы, все не так просто. На самом деле HAL играет роль прослойки между компьютерным железом и драйверами, последние обращаются к оборудованию не напрямую, а через посредство HAL, что предопределяет его выделенную роль в системе. Выбор нужной версии HAL происходит на ранних стадиях установки Windows , заменить его впоследствии через Диспетчер устройств не всегда возможно - если Win 2000 ограничений на смену HAL не накладывает, XP/2003 предлагает существенно урезанный список вариантов замены. При большом желании можно, разобравшись с документацией, организовать принудительную смену HAL на уровне файлов. Однако, поэкспериментировав на эту тему, мы быстро убедимся, что, независимо от способа замены HAL, клонированный Windows в значительном числе случаев

• просто не загружается;
• грузится, но поддерживает не все устройства.

В силу этих обстоятельств есть смысл подробнее разобраться с различиями в версиях HAL. Вначале определимся с терминологией. Составим список, в котором будут присутствовать официальные названия версий HAL, обычно используемые в документации и соответствующие им названия драйвера устройства Компьютер для английской и русской версий Windows:

• Non-ACPI PIC HAL
  Standard PC
  Стандартный компьютер
• ACPI PIC HAL
  Advanced Configuration and Power Interface (ACPI) PC
  Компьютер с ACPI
• ACPI APIC UP HAL
  ACPI Uniprocessor PC
  Однопроцессорный компьютер с ACPI
• ACPI APIC MP HAL
  ACPI Multiprocessor PC
  Многопроцессорный компьютер с ACPI

Внимательные читатели должны были сразу заметить - приведенный список намного короче фигурирующего в документации Microsoft. Дело в том, что в него включены только те аппаратные платформы, которые реально имеют широкое распространение (или имели в недавнем прошлом). Все последующее изложение будет относится именно к этому усеченному списку.

Расположенная вверху списка платформа non-ACPI APIC на данный момент времени является безнадежно устаревшей. Типичными ее представителями были компьютеры на базе Pentium без поддержки ACPI, реально к этой же категории следует отнести самые первые системы, в которых ACPI была реализована (первые Celeron'ы), но сделано это было зачастую настолько криво, что функцию ACPI приходилось просто выключать. Компьютеры без поддержки ACPI обладали рядом существенных ограничений, наиболее видимым из которых была невозможность совместного использования одного прерывания несколькими устройствами, что при настройке "навороченных" конфигураций вызывало проблемы с обеспечением каждого устройства отдельным прерыванием.

Систем с ACPI PIC HAL в эксплуатации находится еще довольно много (большинство машин с Socket 370, часть компьютеров с Socket A), но на данный момент наиболее представленный вариант однопроцессорной системы - это ACPI APIC UniProcessor (UP). Подчеркиваю это обстоятельство специально, потому что в ряде документов Microsoft говорится, что ACPI APIC UP соответствует многопроцессорным машинам с одним вставленным процессором. Это действительно так, но сейчас под эту версию HAL выпускается большая часть обычных однопроцессорных плат. Ну и, наконец, ACPI APIC MP HAL соответствует многопроцессорным компьютерам, как "настоящим", так и системам с поддержкой Hyper-threading.

В заключение данной темы осталось только посетовать на то, что изготовители системных плат в документации почти никогда не указывают, под какую версию HAL плата сделана и единственный способ определить это точно - поставить на нее Windows. Теперь мы готовы к тому, чтобы перейти к главному вопросу :

Сколько образов нужно для полного счастья ?

Очевидная возможность минимизировать количество образов вытекает из того факта, что совсем не необязательно для каждой используемой версии Windows предусматривать возможность установки на все возможные аппаратные платформы. Однако вполне реально, что для некоторых версий такая необходимость все же возникнет, например для той же XP. Как правильнее поступить в таком случае ? Обратимся к первоисточникам.

Многочисленные указания Microsoft по данному вопросу, в целом имеющие сверхосторожный характер, все же несколько разнятся между собой и их можно разбить на три группы :

• в первом, наиболее распространенном случае, просто кратко сообщается, что для успешного копирования Windows версии HAL на исходном и конечном компьютере должны быть идентичны и для каждой версии HAL необходимо иметь отдельный образ;
• во втором случае, примером которого может быть статья HAL Options After Windows XP or Windows Server 2003 Setup , признается, что Windows, установленный в одной раскладке HAL, в некоторых случаях может работать на компьютере с другой раскладкой. Однако гарантированной является лишь взаимная совместимость между ACPI APIC UP и ACPI APIC MP , все остальные варианты не рекомендуются к использованию;
• и наконец, в третьем случае, например в статье Identifying Hardware That Impacts Image-based Installations; Windows Server 2003 Deployment Kit ,после обычных предупреждений о несовместимости различный версий HAL вдруг появляется таблица, в которой приведен целый ряд допустимых способов переноса Windows между компьютерами с несовпадающими HAL и вот это и есть то, что нам нужно.

Практический опыт установки Windows из образов на компьютеры с различной конфигурацией в целом подтверждает приведенные в таблице данные с одной оговоркой - в ней отсутствует указание на возможность использования Windows, установленного в раскладке ACPI APIC UP на компьютерах с ACPI APIC MP, что вроде бы вступает в противоречие как с практикой, так и с указаниями на эту тему других статей Microsoft. Вероятное объяснение здесь таково - Windows XP/2003 с раскладкой ACPI APIC UP, будучи скопирован на многопроцессорную машину, сам заменяет HAL на ACPI APIC MP, что, таким образом, должно исключить ситуацию, когда на многопроцессорной системе работает Windows с раскладкой ACPI APIC Uniprocessor .

Просуммировав все вышесказанное и исключив из рассмотрения заведомо экзотичные версии HAL, правило совместимости при копировании Windows можно записать в следующем виде :

non-ACPI PIC => ACPI PIC => ACPI APIC UP <=> ACPI APIC MP

В одной этой строке заключена почти вся информация, необходимая для эффективной организации клонирования Windows в аппаратно-разнородной среде. Весь остальной текст будет представлять из себя либо комментарии к сформулированному таким образом правилу совместимости, либо же необходимые оговорки. Обозначение "=>" заменяет слова "может быть использован для копирования на". Для вящей наукообразности добавим, что операция "=>" транзитивна, то есть из non-ACPI PIC => ACPI PIC и ACPI PIC => ACPI APIC UP следует что non-ACPI PIC=>ACPI APIC UP.

В действительности устаревшая раскладка не-ACPI PIC приведена здесь скорее для сведения и далее мы не будем ее учитывать. Windows с этой HAL действительно будет работать на всех остальных машинах, однако вряд ли стоит использовать такой образ для установки на новых компьютерах - не забывайте про ограничения, присущие модели без поддержки ACPI. Из правила совместимости вытекает следующая очевидная стратегия создания образов :

• если в вашем компьютерном хозяйстве достаточно много систем с раскладкой ACPI PIC ("Компьютер с ACPI", "ACPI PC") - используйте один из них для создания образа. Этот образ можно будет использовать для всех компьютеров, кроме многопроцессорных - на них установленный таким способом Windows работать будет, но только с одним процессором.
• если компьютеры с ACPI PIC уже не используются или планируется их замена в ближайшее время - то целесообразно (а при наличии потребности устанавливать Windows из образа на многопроцессорные системы - просто необходимо) создать образ в раскладке ACPI APIC UP ("Однопроцессорный компьютер с ACPI", "ACPI Uniprocessor PC"). Этот образ можно будет использовать для всех компьютеров, кроме устаревших - на машинах с ACPI PIC установленный таким способом Windows просто не запустится.

Возможные проблемы и их решение.

Естественно, вы должны быть морально готовы к тому, что приведенное правило совместимости не будет давать 100%-ого результата. На самом деле неудачи бывают даже при копировании Windows на системах с идентичным HAL. При возникновении на конечном компьютере проблем могут помочь следующие действия :

• обновите BIOS до последней версии;
• при наличии в настройках CMOS переключения PIC/APIC воспользуйтесь им для установки правильной раскладки;
• при наличии режима Hyper-threading - выключите его.

Тем не менее, даже после выполнения всех этих действий, какая-то часть ваших компьютеров (обычно - очень небольшая) может отказаться участвовать в процессе клонирования. Microsoft в своей документации склонен объяснять такие случаи особенностями реализации BIOS. Возможно, правильнее всего было бы просто избавиться от таких компьютеров (или их системных плат).

Если у вас после прочтения возникли вопросы, замечания, возражения - пишите
В одном из следующих выпусков рассылки тема клонирования Windows будет продолжена. Планируется осветить следующие моменты:

• как правильно подготовить Windows к тиражированию;
• для чего нужна утилита Sysprep и в каких случаях без нее можно обойтись.

Новости и обзоры

Изобретена анти-P2P программа
Первый звонок для пользователей пиринговых сетей ?

2005 Software Report. Топ-рейтинг- лучших антивирусов, файерволов, антитроянов
"Американский сайт TopTenREVIEWS в январе 2005 года составил по итогам 2004 года рейтинг лучших продуктов в сфере безопасности, так называемый 2005 Software Report. Все продукты тестировались по массе многочисленных параметров."

Утилиты и доки

Wi-Fi для начинающих или как установить простое соединение?
"Сегодня в сети можно найти немало обзоров посвященных различному беспроводному оборудованию, однако все они рассказывают именно о самом оборудовании, и не отвечают на главный, для многих из нас, вопрос, как же все подключить?"

Теория внешних Wi-Fi антенн на примере U.S. Robotics
"Одной из главных проблем, возникающих при использовании беспроводных сетей стандарта 802.11b/g/а, можно назвать недостаточно стабильную связь, связанную со слабым уровнем принимаемого сигнала, а таже сильную зависимость скорости передачи от расстояния между беспроводным сетевым адаптером и точкой доступа."

Мгновенное стирание информации.
".. при определенном воздействии существует большая вероятность, что ни служба безопасности, ни самая современная система управления доступом не смогут обезопасить носитель информации от его выемки, кражи или конфискации.
.. Сколько времени потребуется на то, чтобы гарантированно стереть все то, что не предназначено для глаз посторонних ? Зачастую на принятие решения и его выполнение отводится 2-3 секунды."

Теория и практика аудита и восстановления паролей Windows NT/2000/XP/2003
Статья о методах подбора паролей. Тому, кто устанет читать ее, можно посоветовать перейти сразу к загрузке утилит LCP и SID&User и поэкспериментировать с ними в своей сети. После этого наверняка появится желание вернуться к тексту статьи.

Лучшие программы для поиска и обмена файлами
Обзор клиентов пиринговых сетей.

Пока все.

Замечания, пожелания, вопросы - mailto:netstart@land.ru

Александр Лысенко.