Хотя просмотр сети делает достаточно удобным для некоторых пользователей исследование ресурсов LAN/WAN, это обеспечивается за счет достаточно высокой цены в терминах использования трафика. Как мы видели в этом разделе, трафик броузера с необходимыми накладными расходами и сопровождением может потребовать много байтов из доступной полосы пропускания сети. Помня об этом, нам необходимо иметь возможность сохранить ресурсы и найти им лучшее применение. Рассмотрим некоторые идеи.
Отключение серверных служб на рабочих станциях Отключите на машинах Windows 9.x общий доступ к файлам и печати, если они в действительности не предоставляют службы файлов и печати. Это поможет убрать объявления и сократит объем списка просмотра. Даже не предоставляя никаких ресурсов, эти машины будут требовать записи в списке просмотра, которая занимает как минимум 27 байтов. Дополнительные серверные комментарии занимают лишнее место в списке просмотра и часто не представляют особой ценности. Например, сервер с именем exchange не нуждается в действительности в каком-либо дополнительном комментарии. На рабочей станции или сервере Windows NT для того, чтобы отключить серверную службу, достаточно обратиться к апплету служб в панели управления, выбрать серверную службу и задать ее как manual (ручное управление).
Ограничьте число потенциальных броузеров Чтобы контролировать число выборов броузеров, появление и удаление резервных броузеров и весь связанный с этим трафик, можно ограничить количество машин в иерархии броузеров. Это требует внесения изменений в каждую машину, которые перечислены ниже.
• На машине Windows NT существует настройка реестра, которую необходимо изменить: HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont-rolSet\Services\Browser\ Parameters\MaintainServerList должен задан как по (нет).
• На машине Windows 9.x в сетевом апплете в панели управления выберите службу общего использования файлов и печати. Выберите свойства (properties) и отключите параметр "browse master".
• На компьютере Windows for Workgroups необходимо отредактировать файл system.ini. В разделе network добавьте MaintainServerList = nо.
Удалите ненужные протоколы Просмотр выполняется для каждого протокола. Если компьютер имеет четыре установленных протокола, объявления броузера и выборы будут повторяться для каждого из них. Если исключить два из этих протоколов, то можно существенно сократить объем трафика броузера.
Используйте ярлыки для обращения к сетевым ресурсам Удобно использовать ярлыки для обращения к часто используемым сетевым ресурсам. Они значительно быстрее и существенно сокращают сетевой трафик. Использование редактора политик и отключения сетевого окружения для большинства пользователей поможет реально сократить сетевой трафик. Создайте папку с ярлыками для ресурсов, которые им нужны, и сделайте ее общей группой значков рабочего стола.
Система имен доменов (DNS) является относительно эффективным протоколом, созданным для помощи компьютерам в преобразовании имени хоста в IP-адрес. Это старший брат WINS, который, как мы знаем из предыдущей главы, преобразует имя NetBIOS в IP-адрес. В этом загадочном мире сетей различные приложения общаются по-разному. Например, когда вводится команда net use, используется команда, которая общается с NetBIOS. Когда вводится команда ping, используется команда с именем хоста. Другой способ: DNS является файлом hosts, a WINS является файлом lmhosts.
Так как DNS создан эффективным протоколом, большая часть трафика создается, когда клиентская машина запрашивает сервер DNS и получает его ответ. Определение того, как часто это происходит, поможет при оценке влияния DNS на сеть. Различаются все и все пользователи (хотя иногда они обладают раздражающе похожими характеристиками).
Одним из факторов, который имеет существенное влияние на сеть, является рекурсивный поиск DNS. Рекурсивный поиск происходит, когда сервер DNS не может самостоятельно разрешить имя и поэтому запрашивает другой сервер DNS или даже сервер WINS. Полученный ответ передается затем клиенту в ответ на запрос. Здесь есть потенциальная возможность удвоения объема трафика, связанного с DNS.
Разрешение адреса
Поиск DNS является простым разговором между клиентской машиной и сервером DNS. Запрос равен приблизительно 81 байту, а ответ — 97 байтам, в зависимости от количества перечисленных имен серверов. Отметим, что
DNS является направленным протоколом, и адрес MAC места назначения является реальным адресом сервера DNS, а не широковещательным адресом, как в других протоколах. Кроме того, мы видим в разделе IP, что место назначения является реальным IP-адресом сервера DNS в этой сети.
Можно сделать кое-что для оптимизации трафика синхронизации учетных записей пользователей в базах данных. Эта оптимизация включает редактирование реестра и настройку параметров, связанных со службой NetLogon. В обычном реестре эти ключи даже не присутствуют — они должны быть добавлены вручную. На рис. показан контроллер домена, в котором добавлены эти дополнительные параметры для ключа NetLogon. Как можно видеть внизу рисунка, эти параметры расположены в HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\parameters.
На сайте издательства "ЛОРИ" находятся эти записи, сохраненные как файл с расширением .REG. Делая по нему двойной щелчок мышью, можно внести их в реестр на используемой машине, однако, НЕ делайте это добавление на рабочей машине. Также убедитесь, что исходный реестр сохранен, прежде чем делать какие-либо изменения. По крайней мере, сохраните этот ключ, прежде чем делать изменение. Прежде чем реализовывать, необходимо рассмотреть каждое из этих значений с его достоинствами и недостатками. Кроме того, НЕОБХОДИМО знать, каким будет влияние каждого из них, прежде чем они будут добавлены. Когда они будут добавлены, нужно перезагрузить машину.
Служба NetLogon используется для синхронизации базы данных учетных записей пользователей между BDC и PDC. Помимо этой функции, NetLogon выполняет также и другие функции. Они перечислены ниже.
1. NetLogon обеспечивает для пользователей проверку регистрации.
2. NetLogon предоставляет поддержку для доверительных отношений между доменами.
3. NetLogon обеспечивает членство компьютеров в домене.
Очевидно, что если служба NetLogon отказывает, то ничего из вышеприведенного не произойдет. Давайте посмотрим на некоторые записи реестра, которые могут оптимизировать службу NetLogon и сократить часть трафика, рассмотренного в этой главе. Каждую из этих записей можно увидеть на рис. Они расположены в ключе \NetLogon\parameters.
ChangeLogSize используется для определения размера журнала изменений в байтах. Так как журнал изменений находится как в памяти, так и на жестком диске (\\winnt\netlogon.chg), то при увеличении размера будет использоваться больше памяти и дискового пространства. Но если ресурсы на PDC настолько ограничены, то модернизация требуется в любом случае. По умолчанию используется 64 Кбайта, что является также минимальным допустимым значением. Этого достаточно приблизительно для 2000 изменений (изменение требует примерно 32 байта), что может показаться достаточно большой величиной, если не рассматривать всех паролей, паролей учетных записей машины, прав, разрешений, членства в группах, новых членов и т.п. В большой организации это количество может быстро исчерпаться, приводя к тому, что новые записи станут перезаписывать еще не синхронизированные изменения. При этом запускается полная синхронизация, создавая ненужный трафик.
Это одно из самых безопасных изменений, которое можно сделать для службы NetLogon. Максимальное значение равно 4194304 (4 мегабайта), что будет поддерживать 131072 изменения в журнале. Это не ухудшит производительность контроллера домена. Увеличение размера сократит число полных синхронизации с BDC. Другая причина для увеличения этого числа возникнет в том случае, когда ожидается, что BDC не синхронизируется с PDC с помощью выделенных 2000 изменений.
DisablePasswordChange по умолчанию равно 0. Это означает, что пароль учетной записи машины должен изменяться каждые три дня и синхронизироваться с одним из PDC. Если машина Windows NT не получает доступа к PDC после изменения пароля, то PDC будет квитировать существующий пароль для следующих трех дней. Через шесть дней, когда компьютер Windows NT попытается аутентифицировать учетную запись машины, пароль не будет совпадать с паролем в базе данных системы безопасности. Это не должно меняться, если только не будут полностью оценены последствия такого изменения. Пароль учетной записи машины используется для защиты против подделки учетной записи компьютера и является поэтому составной частью системы безопасности NT.
Pulse используется для контроля частоты, с которой PDC будет просматривать изменения в базе данных служб каталогов и посылать сообщения "announce change to UAS or SAM" для BDC о том, что требуется обновление. По умолчанию используется значение pulse равное 300 секундам (5 минутам); оно может, однако, принимать максимальное значение 17200 секунд (48 часов). Служба NetLogon собирает изменения SAM и LSA, сделанные во время периода pulse, и посылает сообщение "announce change to UAS or SAM" тем BDC, которым необходимы изменения. Когда служба NetLogon запускается впервые, PDC посылает pulse каждому BDC с учетной записью машины. Кроме того, по достижении значения PulseMaximum PDC будет посылать pulse всем BDC, несмотря на то, нуждаются они в каких-либо изменениях или нет.
В среде, где сетевой трафик следует всемерно экономить, использование pulse каждые пять минут является лишним. Однако изменение этого значения на два дня будет чрезмерным, за исключением очень устойчивых сред. Если увеличить это значение до 172800 секунд, возникает риск истечения срока действия пароля учетной записи машины. Конечно, можно задать ключ DisablePasswordChange, но это риск для системы безопасности, с которым большинство людей не согласятся. Если задать это значение слишком большим, это может привести к полной синхронизации и возникновению трафика, которого пытались избежать. Задание pulse около значения 3600 (один час) или даже 7200 (два часа) приводит к соответствующему сокращению трафика относительно безопасным образом. BDC удаленного офиса можно даже увеличить до 86400 секунд (один день).
PulseConcurrency используется для управления количеством импульсов (pulses), которые будут одновременно посылаться BDC. То есть он управляет количеством BDC, контактирующих одновременно с PDC для проверки базы данных. Если PDC посылает одновременно 10 импульсов (значение по умолчанию для Windows NT 4.0), то одновременно могут соединиться 10 BDC для обновления своей базы данных каталогов. Проблема здесь с полосой пропускания сети и с возможностью PDC обработать множество одновременных RPC, не создавая чрезмерной нагрузки на машину.
Обычно это значение можно увеличивать, не создавая больших проблем. Конечно, если имеются только три или четыре BDC, то можно сократить это число и освободить некоторые ресурсы на сервере. Увеличение PulseConcurrency будет увеличивать нагрузку на PDC, но обычно современные серверы легко справляются с такой нагрузкой. Уменьшение PulseConcurrency увеличит время, которое потребуется домену для распространения всех изменений SAM и LSA на BDC. В большом домене можно сократить это до такой степени, что домен никогда не будет синхронизирован.
