Windows NT 4 с Service Pack 3 включает усовершенствованную версию протокола аутентификации SMB, известную также как протокол совместного использования файлов общей системы файлов Интернета (CIFS). Модернизированный протокол имеет два основных усовершенствования. Он поддерживает взаимную аутентификацию, которая препятствует использованию атаки "человек в середине", и поддерживает аутентификацию сообщений, что препятствует использованию атак активных сообщений. Механизм подписи SMB обеспечивает эту аутентификацию, помещая цифровую подпись безопасности в каждый SMB. Затем она проверяется клиентом и сервером.
Чтобы использовать механизм подписи SMB, имеется две возможности: сделать возможным или потребовать ее использование на клиенте и на сервере. Если подпись SMB сделана возможной на сервере, то имеющие возможность клиенты будут использовать CIFS во время всех последующих сеансов. Преимущество такого подхода состоит в том, что клиенты, не имеющие возможности подписи SMB, смогут использовать более старый протокол SMB. Если на сервере требуется подпись SMB, то клиент не сможет создать сеанс, не будучи был специально инициирован для подписи SMB. Подпись SMB отключена по умолчанию на серверной системе при установке служебного пакета (service pack). Она, однако, инициирована по умолчанию, когда служебный пакет устанавливается на системе рабочей станции.
Примечание. Подпись SMB не будет работать с прямым протоколом хоста IPX. Это связано с тем, что прямой протокол хоста IPX изменяет SMB способом, который несовместим с поддерживающим подпись SMB. Эта несовместимость наиболее очевидна, когда используются прямые клиенты хоста IPX, и на сервере требуется подпись SMB. Требование на сервере подписей SMB не позволит серверу связываться с прямым интерфейсом хоста IPX, что заставит подписать все соединения с сервером. Если отключить связывание NWLink с сервером, то можно будет использовать подпись SMB.
Кроме того, подпись SMB будет снижать производительность системы. Хотя она не потребляет дополнительную полосу пропускания, но использует центральный процессор на клиенте и на сервере.
Получив подходящий IP-адрес, клиентский компьютер должен зарегистрировать в сети свое имя NetBIOS. В большинстве ситуаций эта регистрация будет вовлекать WINS. Большинство ресурсов, доступных в сети, включает некоторый вид компьютерного имени. Компьютеры в сети должны регистрировать по крайней мере одно имя. Как правило они будут регистрировать более одного имени, чтобы обеспечить в сети коммуникацию по имени. В мире Windows NT имя хоста и имя NetBIOS обычно совпадают (они не являются одним и тем же по сути, но обозначаются одним и тем же словом или комбинацией символов). В мире Unix имя хоста и имя NetBIOS могут быть различаться.
В главе 1 говорилось, что NetBIOS (сетевая базовая система ввода-вывода) не то же самое, что NetBEUI. NetBIOS является протоколом, используемым различными приложениями. Он может переноситься через TCP/IP, IPX/SPX и, конечно, NetBEUI. Мы рассмотрим NetBIOS, потому что она используется через TCP/IP.
Чтобы приложения могли общаться, имя NetBIOS должно быть преобразовано в адрес IP. Способ, которым это обычно делается, состоит в испо льзовании либо широковещания b-узлов, либо сервера имен NetBIOS, например WINS. Есть несколько преимуществ использования сервера WINS, а не просто широковещания. Первое состоит в том, что широковещание является очень дорогим предложением, когда речь идет о сетевой производительности. Каждое одиночное устройство в сегменте должно остановить и проверить каждый одиночный кадр широковещания, чтобы определить, не может ли он обслужить запрос. В большой сети широковещание NetBIOS может буквально заполнить всю сеть. С этим надо как-то бороться. К счастью, компания Microsoft разработала для этой цели WINS. WINS полностью соответствует реализации сервера имен NetBIOS на основе RFC. С помощью WINS хосты могут отбрасывать кадр, как только они видят адрес MAC места назначения. Все функции службы имен NetBIOS через TCP/IP используют UDP порт 137. Рассмотрим регистрацию имен и процесс обновления.
Регистрация имен и обновление
Имена NetBIOS должны быть зарегистрированы для каждой службы или приложения, которые хотят использовать их коммуникационный механизм. Примерами таких регистрируемых служб являются служба рабочей станции и служба сервера. Другие имена указывают специальные роли, которые выполняются в сети, такие как основной, или первичный, контроллер домена (Primary Domain Controller, PDC) или резервный контроллер домена (Backup Domain Controller, BDC). Регистрируется само имя домена, а также имена пользователей, регистрирующихся в домене. Эти имена нужны для некоторых функций сообщений и коммуникации. Например, если необходимо послать сообщение, используя сетевую команду send (послать) некому Джейсону, он должен иметь зарегистрированное имя пользователя, иначе ничего не получится. Общее число зарегистрированных имен зависит, очевидно, от числа запущенных служб. Каждое зарегистрированное имя будет использовать всего 214 байтов — 110 байтов для запроса регистрации имени и 104 байта для ответа. Посмотрим теперь на такую транзакцию на листинге ниже:
При запуске Systems Management Server Network Monitor версии 2.0 (V5.00646) можно подумать, что встретился со старым другом. Это полная версия Windows 2000 Network Monitor. Интерфейс практически такой же, и большинство утилит работает так же. Однако некоторые вещи изменились и появились новые свойства.
Новые свойства
Программы-эксперты — шесть экспертов, поставляемых вместе с Network Monitor 2.0, перечислены ниже.
• Эксперт среднего времени ответа сервера вычисляет среднее время, которое требуется серверу для ответа на запрос пользователя данных. Он может использовать SMB, специальные порты TCP или специальные сокеты IPX для получения этих чисел, выраженных в секундах.
• Распределение свойств вычисляет статистики кадров для определенного свойства, найденного в кадрах перехваченных данных. Эти свойства могут быть весьма специальными, такими как прием HTTP.
• Утилита объединения протоколов рекомбинирует данные транзакции которые были посланы по сети в множестве кадров. Этот эксперт может собрать все фрагменты вместе на основе информации, которая содержится в кадрах.
• Эксперт распределения протоколов проверяет перехваченные данные и предоставляет статистики о пакетах почти таким же образом, как мастер распределения протоколов в продукте 1.2.
• Эксперт пересылки TCP находит кадры TCP, которые были переслан на один и тот же компьютер. Это полезно при выявлении проблемнь компьютеров.
• Эксперт верхних пользователей находит верхних отправителей и получателей данных в файле перехвата, проверяя адреса источника и места назначения, содержащиеся в кадрах.
SMS 2.0 Platform Software Development Kit (SDK) позволяет разработать своих собственных экспертов, их можно также купить у независимых поставщиков. Эксперты запускаются из меню tools expert при работе в режиме показа. Как можно видеть на рис., эксперт среднего времени ответа сервера может быстро выделить проблему со временем ответа сети. На рисунке сервер 11.0.0.206 имеет среднее время ответа 2.378751 секунд, в то время как все остальные места назначения имеют времена ответа в долях секунды. Чтобы еще больше ухудшить ситуацию, этот медленный сервер используют десять пользователей. Раньше этот процесс превращался в десяток телефонных вызовов (что затрудняло выявление и исправление проблемы). Но теперь, когда благодаря мониторингу и анализу наши действия носят профилактический характер, можно решить проблему без всяких телефонных звонков. Пользователь только после решения проблемы заметит, что сервер стал видимо работать быстрее.
Эксперт пересылки TCP на рис. сообщает, что на самом деле существует несколько пересылок, но ни одна из них не идет на машину или из машины с длинным временем ответа. Так как это происходит не на коммутируемой магистрали, то пересылки могут быть вызваны сетевой перегрузкой, указывающей на возможную причину некоторых задержек.
Утилита объединения протоколов сообщает нам, что в перехваченных данных не существует фрагментированных пакетов, поэтому эта возможная причина может быть отброшена.
Рассматривая эксперт верхних пользователей, мы видим, что пять из десяти верхних пользователей соединены с сервером 11.0.0.206, и наш эксперт протоколов также говорит, что существует большое число соединений RPC с одной и той же машиной. Мы исследуем этот вопрос и находим, что 11.0.0.206 является более старой машиной, находится на 10-мегабитном сегменте Ethernet и даже не имеет в себе платы PCI Ethernet. Очевидно, что мы обнаружили причину слабой производительности. Пользователи не жаловались на нее раньше, потому что "она всегда медленная" и они "научились с этим жить". Замена старой платы на 100-мегабитную плату PCI решает эту проблему достаточно просто.
Как можно видеть на рис, эксперты записывают свою работу в окне статуса экспертов. Мониторинг этого окна удержит вас от попытки выполнить две программы-эксперта в одно время (что породит сообщение об ошибке). Это важно помнить, так как выполнение эксперта на большом файле перехвата может потребовать много времени на медленной машине, а окно статуса эксперта является единственным местом, которое позволит узнать, что компьютер не заблокирован. В это время можно заметить, что использование центрального процессора доходит до 100%, поэтому не надо выполнять экспертов на производственных серверах, так как это вызовет жалобы сообщества пользователей.
Инструмент управления монитором непрерывно следит в сети за предопределенными событиями. Эти события перечислены ниже:
• Монитор перенаправления ICMP создает событие, когда маршрутизатор в сети перенаправляет кадры.
• Монитор маршрутизатора IP создает событие, когда маршрутизатор в сети отказывает.
• Монитор IPRange создает событие, когда кадр имеет адрес источника, который находится вне диапазона адресов, заданных администратором как допустимые для определенной сети.
• Монитор маршрутизатора IPX создает событие, когда в сети отказывает маршрутизатор IPX.
• Мониторы DHCP и WINS создают событие, когда в сети будет обнаружен работающий недопустимый или неавторизованный сервер DHCP или сервер WINS.
• Монитор SynAttack наблюдает за сигналами SynAttack в сети. Эта атака будет создавать большое число не отвечающих соединений на сетевом сервере, что в свою очередь поглощает большой объем ресурсов. Подобно пиявкам, synattack будут высасывать жизнь из сервера. Это атака отказа в обслуживании, и монитор SynAttack знает, как следить за характеристиками, которые указывают, что происходит атака этого типа.
• Монитор безопасности обнаруживает неавторизованные экземпляры сетевого монитора, выполняющиеся в сети.
Когда утилита управления монитором используется для конфигурирования и активации определенного монитора локально или удаленно, монитор проверяет кадры, проходящие мимо машины, так как он ищет определенное свойство, связанное с событием, которое он ищет. Когда маршрутизатор прекращает работу, он больше не объявляет себя в сети. Инструмент управления монитором может заметить отсутствие этих объявлений монитора в течение определенного периода времени. Тогда он создаст событие и откроет инструмент сетевого монитора в окне просмотра событий.
Чтобы использовать монитор, должна выполняться служба управления монитором. Она устанавливается при установке Network Monitor 2, но служба монитора по умолчанию задана для управления вручную. Помимо мониторов, которые поставляются вместе с Network Monitor 2, можно использовать заказные мониторы или мониторы независимых поставщиков, чтобы еще больше расширить функциональность продукта. Нельзя выполнить утилиту управления монитором на любой системе, которая не удовлетворяет требованиям выполнения приложения Network Monitor 2. Кроме того, он требует административных прав на компьютере, выполняющем утилиту управления монитором. Чтобы использовать службу событий, требуется WBEM (управление предприятием на основе Windows), и вы получите это приглашение, запустив утилиту управления монитором на компьютере, который не имеет установленной WBEM. Windows 2000 имеет WBEM по умолчанию, и на машине Windows NT 4.0 вы получаете WBEM, когда устанавливаете административные инструменты SMS 2.0. Можно запустить утилиту из ММС, щелкая правой кнопкой мыши по сетевому монитору и выбирая запуск утилиты управления сетевого монитора, или можно создать ссылку на mcsui.exe (что легче и быстрее). Кроме того, добавив
Нежелательно выполнять утилиту управления монитором на той же машине, которая выполняет первичный сайт SMS, лучше (в связи с требованиями ресурсов) настроить отдельную машину для выполнения мониторинга. Затем можно будет использовать эту машину для мониторинга нескольких удаленных компьютеров, а также для выполнения необслуживаемых трассировок сетевого монитора и триггеров. По сути он станет сетевым управляющим компьютером.
Посмотрим, как можно сконфигурировать монитор для сигнализации о том, что один из маршрутизаторов отключился. На рис. установленные мониторы перечислены в левой панели вывода. Включенные мониторы перечислены в правой панели вывода. Включите монитор, выбрав его из левого списка и нажимая кнопку Enable. Затем утилита управления сетевым монитором предложит сконфигурировать включенный монитор. Если вам не нужно конфигурировать монитор в это время, в ответ нажмите по (нет). Не сконфигурированный монитор будет показан как включенный в правой панели. Если двинуться дальше и сконфигурировать монитор, то появится экран, изображенный на рис. Чтобы проследить за определенным маршрутизатором, надо ввести IP-адрес в поле слева на экране и выбрать число секунд, после которых маршрутизатор считается отключенным, помещая это значение в поле внизу слева на экране. После этого нажмите кнопку Set monitor configuration (Задать конфигурацию монитора) в нижней правой стороне экрана
