Для сетевого монитора можно задать два пароля с помощью пиктограммы агента мониторинга в панели управления; это пароль вывода и пароль перехвата, показанные на рис. Пароль вывода разрешает доступ к сохраненному файлу перехвата (.cap). С помощью этого пароля разрешается только открыть сохраненный ранее файл перехвата. Он не разрешает перехватывать новые данные. Это применимо только к Microsoft Network Monitor, установленному на машине, на которой пароль был задан. Он также не защищает файл .cap от просмотра в сети с помощью другого Microsoft Network Monitor. Другими словами, это защита с помощью пароля установки программы и связанного с ней агента — а не данных.
Пароль перехвата разрешает неограниченный доступ к сетевому монитору. С помощью этого пароля можно открывать сохраненные файлы перехвата, а также создавать новые перехваты данных. Пароль запрашивается при каждом запуске Microsoft Network Monitor. Если ввести пароль перехвата, то имеется полный доступ ко всем свойствам; если ввести пароль вывода, то можно выводить только файлы .cap.
Важно задавать эти пароли на удаленных рабочих станциях и серверах, на которых установлен агент. Если служба выполняется без защиты паролем, то любой человек с версией SMS сетевого монитора может соединиться с вашим сервером и использовать его для перехвата данных из сети. Эти пароли должны быть защищены, поскольку не существует способа восстановить их иначе, как удалить и снова выполнить установку Microsoft Network Monitor и связанных с ним агентов. Удаление ключа защиты в службе ВН в реестре не работает для восстановления при потерянном пароле.
Возможно, наиболее мощным дополнительным свойством, предоставляемым полной версией сетевого монитора, является возможность соединяться с удаленными агентами, выполняющимися на других машинах. Делая это, можно увидеть сетевой трафик, обычно невидимый в сегментированной разделенной коммутаторами сети.
Используя свойство соединения с удаленной сетью, версия Netmon SMS может соединиться с другим сервером NT, рабочей станцией или машиной Windows 95 или 98, на которой установлен и выполняется агент сетевого монитора. Агент сетевого монитора устанавливается как служба Windows NT и при желании может быть настроен для автоматического запуска для облегчения использования удаленного поиска неисправностей. При желании служба может быть оставлена с ручным управлением и запускаться удаленно с помощью утилиты NETSVC из NT Resource Kit. Эта утилита позволяет запрашивать, перечислять, запускать и останавливать службы на удаленных машинах Windows NT.
Установка и конфигурирование агента сетевого монитора Windows 9.x Установка и работа агента сетевого монитора Windows 9.x не совсем прямолинейна. Агент находится на на сайте издательства "ЛОРИ" в каталоге \admin\nettools\Netmon и состоит из двух частей. Имеется драйвер протокола, который предоставляет показатели производительности системному монитору для адаптеров NDIS 3.1. Это позволяет системному монитору просматривать статистику сетевого трафика. Агент сетевого монитора использует некоторые функции, предоставляемые драйвером протокола для передачи информации назад в приложение Netmon. Вот шаги, необходимые для установки агента сетевого монитора Windows 9.x.
1. Откройте сетевой апплет в панели управления и щелкните по кнопке Add.
2. Выберите тип сетевого компонента и сделайте двойной щелчок по службе.
3. В диалоговом окне службы щелкните по кнопке Have disk.
4. Для установки из каталога используйте каталог на \admin\nettools\ Netmon на компакт-диске Windows 9.x.
5. В окне выбора сетевой службы щелкните по агенту Microsoft Network Monitor и подтвердите ОК.
Приведенные выше шаги установят драйвер протокола и агента. Чтобы сконфигурировать агент, вернитесь в сетевой апплет, выберите Microsoft Network Monitor Agent и щелкните по свойствам. Это приведет к появлению окна, аналогичного тому, которое мы видели ранее для машин Windows NT, где можно присвоить пароль перехвата и пароль вывода. Этот пароль должен задаваться, когда агент не выполняется и системный монитор не выводит данные производительности сети.
Когда агент будет установлен и сконфигурирован, наступает время для его запуска. Это делается из команды запуска (run) вводом nmagent. Агент может останавливаться из команды запуска (run) с помощью ввода nmagent -close. Агент можно также запустить как службу на машине Windows 9.x, делая следующие изменения в реестре.
Так как агент выполняется теперь как служба на машине Windows 9.x, он будет продолжать выполняться независимо от того, зарегистрирован на компьютере пользователь или нет. Чтобы остановить службу в любое время, используйте команду nmagent -close из окна запуска (run).
Соединение с удаленными агентами
Чтобы соединиться с удаленным агентом, выберите networks из меню capture. Появившееся окно выбора сети перехвата перечисляет все установленные на машине сетевые адаптеры и один дополнительный адаптер, называемый удаленным (remote). По умолчанию его состояние определяется как разъединенное и неизвестного типа. При успешном запросе сетевого агента можно просто сделать двойной щелчок по удаленной неизвестной сети, и появится окно, показанное на рис. Введите имя машины одного из агентов, который будут возвращен этим запросом, и должно будет установиться соединение. Если агент защищен паролем, то появится диалоговое окно, запрашивающее пароль. После соединения сеанс работает таким же образом, как и локальный перехват. Можно также настроить буфера перехвата и сконфигурировать фильтр перехвата, но различия в способе работы сеанса нет.
При запуске Systems Management Server Network Monitor версии 2.0 (V5.00646) можно подумать, что встретился со старым другом. Это полная версия Windows 2000 Network Monitor. Интерфейс практически такой же, и большинство утилит работает так же. Однако некоторые вещи изменились и появились новые свойства.
Новые свойства
Программы-эксперты — шесть экспертов, поставляемых вместе с Network Monitor 2.0, перечислены ниже.
• Эксперт среднего времени ответа сервера вычисляет среднее время, которое требуется серверу для ответа на запрос пользователя данных. Он может использовать SMB, специальные порты TCP или специальные сокеты IPX для получения этих чисел, выраженных в секундах.
• Распределение свойств вычисляет статистики кадров для определенного свойства, найденного в кадрах перехваченных данных. Эти свойства могут быть весьма специальными, такими как прием HTTP.
• Утилита объединения протоколов рекомбинирует данные транзакции которые были посланы по сети в множестве кадров. Этот эксперт может собрать все фрагменты вместе на основе информации, которая содержится в кадрах.
• Эксперт распределения протоколов проверяет перехваченные данные и предоставляет статистики о пакетах почти таким же образом, как мастер распределения протоколов в продукте 1.2.
• Эксперт пересылки TCP находит кадры TCP, которые были переслан на один и тот же компьютер. Это полезно при выявлении проблемнь компьютеров.
• Эксперт верхних пользователей находит верхних отправителей и получателей данных в файле перехвата, проверяя адреса источника и места назначения, содержащиеся в кадрах.
SMS 2.0 Platform Software Development Kit (SDK) позволяет разработать своих собственных экспертов, их можно также купить у независимых поставщиков. Эксперты запускаются из меню tools expert при работе в режиме показа. Как можно видеть на рис., эксперт среднего времени ответа сервера может быстро выделить проблему со временем ответа сети. На рисунке сервер 11.0.0.206 имеет среднее время ответа 2.378751 секунд, в то время как все остальные места назначения имеют времена ответа в долях секунды. Чтобы еще больше ухудшить ситуацию, этот медленный сервер используют десять пользователей. Раньше этот процесс превращался в десяток телефонных вызовов (что затрудняло выявление и исправление проблемы). Но теперь, когда благодаря мониторингу и анализу наши действия носят профилактический характер, можно решить проблему без всяких телефонных звонков. Пользователь только после решения проблемы заметит, что сервер стал видимо работать быстрее.
Эксперт пересылки TCP на рис. сообщает, что на самом деле существует несколько пересылок, но ни одна из них не идет на машину или из машины с длинным временем ответа. Так как это происходит не на коммутируемой магистрали, то пересылки могут быть вызваны сетевой перегрузкой, указывающей на возможную причину некоторых задержек.
Утилита объединения протоколов сообщает нам, что в перехваченных данных не существует фрагментированных пакетов, поэтому эта возможная причина может быть отброшена.
Рассматривая эксперт верхних пользователей, мы видим, что пять из десяти верхних пользователей соединены с сервером 11.0.0.206, и наш эксперт протоколов также говорит, что существует большое число соединений RPC с одной и той же машиной. Мы исследуем этот вопрос и находим, что 11.0.0.206 является более старой машиной, находится на 10-мегабитном сегменте Ethernet и даже не имеет в себе платы PCI Ethernet. Очевидно, что мы обнаружили причину слабой производительности. Пользователи не жаловались на нее раньше, потому что "она всегда медленная" и они "научились с этим жить". Замена старой платы на 100-мегабитную плату PCI решает эту проблему достаточно просто.
Как можно видеть на рис, эксперты записывают свою работу в окне статуса экспертов. Мониторинг этого окна удержит вас от попытки выполнить две программы-эксперта в одно время (что породит сообщение об ошибке). Это важно помнить, так как выполнение эксперта на большом файле перехвата может потребовать много времени на медленной машине, а окно статуса эксперта является единственным местом, которое позволит узнать, что компьютер не заблокирован. В это время можно заметить, что использование центрального процессора доходит до 100%, поэтому не надо выполнять экспертов на производственных серверах, так как это вызовет жалобы сообщества пользователей.
Невозможно соединиться с машиной Windows 95 или 98 и выполнить на ней удаленный сеанс сетевого монитора с помощью Network Monitor 2.0, так как для этого требуется драйвер Network Monitor версии 2, который требует Windows NT 4 с сервисным пакетом 4. Это также препятствует выполнению приложения сетевого монитора на машине Windows 9.x. Раньше можно было установить полную версию сетевого монитора на портативном компьютере Windows 95 или 98 и наслаждаться улучшенными свойствами портативности 9.x, такими как улучшенное управление энергопотреблением и plug-and-play, а также иметь портативный сетевой анализатор. Невозможно установить Network Monitor 2.0 на этой платформе. Однако Windows 2000 Professional прекрасно работает на переносных компьютерах, и можно выполнять Network Monitor 2.0 на этой платформе.
Тем не менее можно без проблем установить обе версии сетевого мони тора на одной машине. При необходимости можно выполнять обе версии на одной машине одновременно.
Невозможно открыть файл .cap, созданный Network Monitor 2.0 на машине Network Monitor 1.2. Если попробовать это сделать, будет получено сообщение об ошибке: "Файл перехваченной информации является недействительным". Так как не существует способа сообщить, в каком формате записан файл .cap, лучше создать отдельные каталоги, чтобы избежать путаницы при выполнении в сети обеих версий.
Несколько передач перехвата недопустимы в Network Monitor 2.0. Это несколько неудобно с точки зрения тестирования, однако в реальной жизни требуется редко. При переходе к утилитам перехвата передачи единственными вариантами являются передача всех кадров, передача выбранных кадров или применение текущего фильтра изображения. Это еще одна причина для сохранения утилит версии 1.2 — по крайней мере в лабораторной среде.
Инструмент управления монитором непрерывно следит в сети за предопределенными событиями. Эти события перечислены ниже:
• Монитор перенаправления ICMP создает событие, когда маршрутизатор в сети перенаправляет кадры.
• Монитор маршрутизатора IP создает событие, когда маршрутизатор в сети отказывает.
• Монитор IPRange создает событие, когда кадр имеет адрес источника, который находится вне диапазона адресов, заданных администратором как допустимые для определенной сети.
• Монитор маршрутизатора IPX создает событие, когда в сети отказывает маршрутизатор IPX.
• Мониторы DHCP и WINS создают событие, когда в сети будет обнаружен работающий недопустимый или неавторизованный сервер DHCP или сервер WINS.
• Монитор SynAttack наблюдает за сигналами SynAttack в сети. Эта атака будет создавать большое число не отвечающих соединений на сетевом сервере, что в свою очередь поглощает большой объем ресурсов. Подобно пиявкам, synattack будут высасывать жизнь из сервера. Это атака отказа в обслуживании, и монитор SynAttack знает, как следить за характеристиками, которые указывают, что происходит атака этого типа.
• Монитор безопасности обнаруживает неавторизованные экземпляры сетевого монитора, выполняющиеся в сети.
Когда утилита управления монитором используется для конфигурирования и активации определенного монитора локально или удаленно, монитор проверяет кадры, проходящие мимо машины, так как он ищет определенное свойство, связанное с событием, которое он ищет. Когда маршрутизатор прекращает работу, он больше не объявляет себя в сети. Инструмент управления монитором может заметить отсутствие этих объявлений монитора в течение определенного периода времени. Тогда он создаст событие и откроет инструмент сетевого монитора в окне просмотра событий.
Чтобы использовать монитор, должна выполняться служба управления монитором. Она устанавливается при установке Network Monitor 2, но служба монитора по умолчанию задана для управления вручную. Помимо мониторов, которые поставляются вместе с Network Monitor 2, можно использовать заказные мониторы или мониторы независимых поставщиков, чтобы еще больше расширить функциональность продукта. Нельзя выполнить утилиту управления монитором на любой системе, которая не удовлетворяет требованиям выполнения приложения Network Monitor 2. Кроме того, он требует административных прав на компьютере, выполняющем утилиту управления монитором. Чтобы использовать службу событий, требуется WBEM (управление предприятием на основе Windows), и вы получите это приглашение, запустив утилиту управления монитором на компьютере, который не имеет установленной WBEM. Windows 2000 имеет WBEM по умолчанию, и на машине Windows NT 4.0 вы получаете WBEM, когда устанавливаете административные инструменты SMS 2.0. Можно запустить утилиту из ММС, щелкая правой кнопкой мыши по сетевому монитору и выбирая запуск утилиты управления сетевого монитора, или можно создать ссылку на mcsui.exe (что легче и быстрее). Кроме того, добавив
Нежелательно выполнять утилиту управления монитором на той же машине, которая выполняет первичный сайт SMS, лучше (в связи с требованиями ресурсов) настроить отдельную машину для выполнения мониторинга. Затем можно будет использовать эту машину для мониторинга нескольких удаленных компьютеров, а также для выполнения необслуживаемых трассировок сетевого монитора и триггеров. По сути он станет сетевым управляющим компьютером.
Посмотрим, как можно сконфигурировать монитор для сигнализации о том, что один из маршрутизаторов отключился. На рис. установленные мониторы перечислены в левой панели вывода. Включенные мониторы перечислены в правой панели вывода. Включите монитор, выбрав его из левого списка и нажимая кнопку Enable. Затем утилита управления сетевым монитором предложит сконфигурировать включенный монитор. Если вам не нужно конфигурировать монитор в это время, в ответ нажмите по (нет). Не сконфигурированный монитор будет показан как включенный в правой панели. Если двинуться дальше и сконфигурировать монитор, то появится экран, изображенный на рис. Чтобы проследить за определенным маршрутизатором, надо ввести IP-адрес в поле слева на экране и выбрать число секунд, после которых маршрутизатор считается отключенным, помещая это значение в поле внизу слева на экране. После этого нажмите кнопку Set monitor configuration (Задать конфигурацию монитора) в нижней правой стороне экрана
