Scribd Logo
Upload

Welcome to Scribd!

  • Admnistriranje Mreza Nova Predavanja 6

    Uploaded by

    Dejan Jovanovic
    267 views50 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    267 views50 pages

    Admnistriranje Mreza Nova Predavanja 6

    Uploaded by

    Dejan Jovanovic

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 50

    Administriranje mrea Revizija konfiguracije Kada "proete" kroz server i ustanovite da je stanje zadovoljavajue, vano je da proverite sva podeavanja

    prema dodatnim alatima, kako biste bili sigurni da niste nita propustili. Takoe, veoma je vano znati da Vaa mrea odgovara standardima priznatih bezbednosnih entiteta kao to su NSA ili NIST. Prema zahtevima postavljenim u Health Insurance Portability and Accountability Actu (HIPAA) ili Graham Leach Bliley Actu (GLBA), od mnogih kompanija se sada zahteva da pokau dokumentaciju koja dokazuje da su preduzele sve neophodne korake u obezbeivanju osetljivih informacija u njihovim mreama. Dodatni alati za analizu omoguavaju objektivnu i nepristrasnu procenu bezbednosti mree. Mada su neke od tehnologija procenjivanja vrlo potpune, one ne mogu da zamene proveru koje vre respektibilne kompanije specijalizovane za reviziju bezbednosti mree. Proveravanje bezbednosti sistema Dnevnik zapisa dogaaja je odlian nain praenja aktivnosti na serveru. Pravila lokalne bezbednosti omoguavaju ukljuivanje ili iskljuivanje razliitih kontrola dogaaja, a to e biti objanjeno u sledeoj listi: Audit account logon events (kontrolno praenje dogaaja prijavnog naloga). Ovaj parametar kontrolie svaku instancu prijavljivanja ili odjavljivanja korisnika na ili sa drugog raunara, gde se taj raunar koristi za proveravanje naloga. Dogaaji prijavnog naloga se generiu kada kontroler domena proverava identitet korisnika domena. Dogaaji se zapisuju u bezbednosni protokol kontrolera domena. Slino tome, prijavni dogaaji se generiu kada lokalni raunar proverava identitet lokalnog korisnika. U ovom sluaju, dogaaji se zapisuju u lokalni bezbednosni protokol. Audit account management (kontrolno praenje upravljanja nalogom). Ovaj parametar kontrolie svaku instancu na kojoj je korisniki ili grupni nalog kreiran, promenjen ili izbrisan. Takoe, generie dogaaje kada se korisnikom nalogu promeni ime i kada se nalog deaktivira ili aktivira. Podeavanje ili menjanje lozinke se, takoe, kontrolie. Audit directory service access (kontrolno praenje pristupanja servisu direktorijuma). Ovaj parametar kontrolie svaki dogaaj pristupanja korisnika aktivnom direktorijumu koji ima sopstvenu kontrolnu listu pristupanja sistemu (System Acces Control List - SACL). Audit object access (kontrolno praenje objekta). Ovaj parametar kontrolie dogaaj pristupanja korisnika objektu, kao to su fajl, folder, Registry key ili tampa, koji ima sopstvenu kontrolnu listu pristupanja sistemu (SACL). Audit policy change (kontrolno praenje promene pravila). Ovaj parametar kontrolie sluajeve promene pravila u pravima koja su dodeljena korisniku, pravilima kontrole i pravilima poverenja. Audit privilege use (kontrolno praenje korienja privilegija). Ovaj parametar kontrolie svaku instancu primene korisnikih prava. Audit process tracking (kontrolisanje postupka praenja). Ovaj parametar kontrolie detaljno praenje informacija o dogaajima kao to su aktiviranje programa, naputanje postupka, rukovanje kopijama i indirektno pristupanje objektima. Audit system events (kontrolno praenje sistemskih dogaaja). Ovaj parametar kontrolie dogaaj kada korisnik ponovo pokrene ili iskljui raunar ili kada se pojavi neki dogaaj koji utie na bezbednosni sistem ili bezbednosni dnevnik zapisa. Korienje Microsoft Baseline Security Analyzera Microsoft Baseline Security Analyzer je alat dizajniran tako da odreuje koja su najnovija auriranja trenutno primenjena na sistem. MBSA izvrava ovaj zadatak pozivajui se na XML (Extensible Markup Language) fajl, pod nazivom mssecure.xml. MBSA i najnovija kopija mssecure.xml fajla MBSA se spaja sa Microsoftovim web sajtom da bi "izvukao" najnoviju kopiju mssecure.xml fajla. Ako raunar na kojem je MBSA pokrenut nema pristup Internetu, moete da preuzmete XML fajl i smestite ga na raunar gde je MBSA pokrenut. Setite se da redovno aurirate ovaj fajl, kako biste stalno bili u toku sa najnovijim auriranjima sistema. Ovaj fajl se redovno aurira od strane Microsofta, kako bi vaio kao izvetaj za sve izvrene ispravke. Korienjem tehnologije HFNetChk, MBSA moe da kontrolie odredini sistem prema listi trenutnih ispravki. Ovaj XML fajl sadri informacije o tome koja su bezbednosna auriranja na raspolaganju za odreene Microsoftove prizvode, izvan operativnog sistema koji se u tom trenutku koristi. Fajl sadri nazive i naslove biltena o bezbednosti, kao i detaljne informacije o specifinim bezbednosnim

    Administriranje mrea auriranjima proizvoda, ukljuujui sledee: . Fajlove u svakom paketu auriranja . Verzije i kontrolne sume . Kljueve Registrya koje primenjuju aplikacije . Informacije o auriranjima koja su zamenila neka druga auriranja . Brojeve predmeta povezanih sa Microsoftovom bazom znanja Korienje skenera za otkrivanje ranjivosti (vulnerability scanners) Jedna od najdragocenijih metoda za proveravanje bezbednosti servera je korienje skenera za otkrivanje ranjivosti. Ovi skeneri se zasnivaju na konstantnom auriranju baze podataka o poznatim bezbednosnim pukotinama u operativnim sistemima i aplikacijama. Skener se spaja sa odredinim sistemom na razliitim portovima i alje zahteve sistemu. Na osnovu odgovora, skener proverava bazu podataka da bi utvrdio da li postoje uslovi za neovlaeno iskoriavanje tog sistema. Svi potencijalni uslovi neovlaenog korienja se sakupljaju u jedan izvetaj koji se prezentuje administratoru. Veina skenera ima opciju za nametljivo testiranje. Prilikom izvravanja takvog testiranja je neophodna velika opreznost. Nametljivo testiranje je jedini nain da zaista proverite rezultate testiranja ranjivosti. Na primer, u nekoj stavki izvetaja moe stajati da je odreeni skript preko web servisa oznaen kao izvrni i da se moe iskoristiti tako da dovede do pada servera ukoliko prenese parametar koji sadri nestandardni znak. Vi moete smatrati da to nije tano, zato to ste dodelili NTFS dozvole skriptu da dopusti samo jednom nalogu da mu pristupi; taj nalog je onaj koji Vi kontroliete i on nikada ne moe da poalje nestandardni znak. Jedini nain da budete sigurni u to je da skener pokua da iskoristi tu pukotinu u bezbednosti. Najbolje je da to uradite u toku odravanja, u sluaju da pokuaj skenera bude uspean. Jedino nakon izvravanja ovakve provere moete biti sigurni da ranjivost servera nije zaista prisutna. Neki od poznatih skenera za otkrivanje ranjivosti su: . Microsoft Security Baseline Analyzer . Internet Security Systems: RealSecure . Nessus . GFI LANguard Network Security Scanner . Cerberus Internet Scanner (CIS) Kontrolno praenje fajl sistema Windows 2003 poseduje ugraene mehanizme za kontrolno praenje pristupanja fajl sistemu. To Vam omoguava da vidite ko pristupa, ili pokuava da pristupi, odreenim fajlovima i kada se to deava. Ovu vrstu kontrolnog praenja podravaju samo diskovi sa NTFS-om. Da biste kontrolisali ovu vrstu pristupa, prvo morate da aktivirate Object Access Auditing. Ova osobina se aktivira preko Default Domain Security Settingsa, izabiranjem Local Policies/Audit Policy/Audit Object Access. Potvrdite kontrolisanje obe opcije, Success i Failure, da biste pratili obe vrste dogaaja. Da biste kontrolisali pristup odreenom fajlu ili direktorijumu, uradite sledee: Upravljanje kontrolnim praenjem na serveru Uloga upravljanja kontrolnim praenjem na serveru moe biti dodeljena ne-administratorskom nalogu, garantovanjem Manage Auditing i Security Log prava preko Group Policy. Tako moete dodeliti ovu ulogu bez davanja punih administratorskih prava. To je posebno korisno za administratore udaljenih sajtova koji upravljaju samo podreenim skupovima servera i korisnika. 1. Preko Explorera pronaite fajl ili direktorijum. 2. Desnim tasterom mia kliknite fajl ili direktorijum koji e biti kontrolisani, kliknite Properties, a zatim Security. 3. Kliknite Advanced, a zatim kliknite dugme Auditing. Kliknite Add. Upiite naziv grupe ili korisnika ije akcije elite da pratite i kliknite OK. 4. U padajuem okviru Apply Onto izaberite lokaciju na kojoj elite da primenite kontrolno praenje. 5. U okviru Access odredite koje uspene i neuspene dogaaje elite da kontroliete, tako to ete oznaiti odgovarajua polja za potvrdu. 6. Kliknite OK, OK i OK da biste zavrili.

    Administriranje mrea Obezbeivanje web servisa Web Servers su jedna od najeih implementacija Windowsa 2003 i zbog njihove funkcije da servisiraju korisnike izvan domena posebno su ranjivi i moraju biti dobro obezbeeni. Nove zloupotrebe Weba se pojavljuju gotovo svakodnevno i da bi web serveri ostali bezbedni, moraju se aurirati odgovarajuim zakrpama za operativni sistem, kao i za web servise. Korienje SSL-a Ono o emu treba najvie da brinete kada su u pitanju web serveri je kako da obezbedite poverljivu komunikaciju od presretanja. Poto je Internet jedan "zamagljen oblak" sa diskutabilnom bezbednou, samo od Vas zavisi kako ete obezbediti end-to-end komunikaciju sa krajnjim korisnicima. Iskorienost propusnog opsega i SSL Korienje SSL-a ne utie na iskorienost propusnog opsega. To, meutim, donosi dodatno optereivanje CPU-a i klijenta i servera. Ako e postojea web aplikacija biti prebaena na SSL komunikacije, ukupni kapacitet sistema e biti smanjen. To optereivanje servera se moe ublaiti upotrebom hardverskih SSL akceleratora. Najjednostavnije je da to uradite pomou Secure Socket Layer komunikacija. SSL se izvrava iznad TCP/IP-a, a ispod HTTP-a. SSL izvrava tri osnovne funkcije: SSL autentifikaciju servera. Ova funkcija omoguava klijentu da proveri identitet servera. Softver klijenta, sa aktivnim SSL-om, moe da upotrebi kriptovanje javnim kljuem i proveri da li su sertifikat servera i javni ID valjani. Isto tako, moe da proveri da li je sertifikat objavljen od strane CA-a koji se nalazi u klijentovoj listi autoriteta za sertifikate u koje ima poverenja. Na primer, ako korisnik preko Interneta alje broj kreditne kartice da bi neto kupio, on e verovatno hteti da proveri identitet prijemnog servera. SSL autentifikacija klijenta. Ova funkcija omoguava serveru da proveri identitet klijenta. Koristei slinu tehniku kao za autentifikaciju servera, softver servera, sa aktivnim SSL-om, moe da proveri valjanost klijentovog sertifikata i javnog ID-a. Takoe, moe da proveri da li je sertifikat objavio CA-a u koji ima poverenja. Na primer, ako online trgovac eli da poalje kupcu poverljive informacije, on e verovatno hteti da proveri identitet tog kupca. ifrovanje SSL konekcija. SSL zahteva da sve informacije koje se alju izmeu servera i klijenta budu ifrovane od strane softvera koji ih alje i deifrovane od strane prijemnog softvera. To omoguava visok nivo poverljivosti i bezbednosti. SSL sadri mehanizam za pronalaenje podataka koje je neko neovlaeno promenio. Sve naredne zatiene transakcije se izvravaju preko SSL konekcija. Skeniranja web servera radi otkrivanja ranjivosti Web serveri su posebno ranjivi na napade hakera. esto su web serveri otvoreni za anonimne pristupe, a pritom nalaze se u slabo obezbeenim mreama. Web serveri su veoma popularne mete i zato se na web servisima uvek mogu pronai slabe take. Da biste eliminisali ranjivost sistema, morate da saznate njegove slabe take. Najjednostavniji nain da to uradite je da redovno skenirate web servere traei gde su ranjivi. Mnoge kompanije nude servise posebno dizajnirane za redovno skeniranje web servera, a svojim klijentima prosleuju izvetaje o pronaenim slabostima. Ovo je odlian izbor za kompanije kojima nedostaju resursi ili strunost za izvravanje ovakvog unutranjeg skeniranja. Odravati korak sa zakrpama Neprekidno odravanje koraka sa zakrpama je apsolutno neophodno za bezbednost web servera. Ogromna veina najbitnijih ispravki proizvedenih za Windows se zasniva na bezbednosnim pukotinama otkrivenim na web serverima. To se ne deava zbog toga to su web serveri nepopravljivo nebezbedni, ve zato to na Internetu postoji ogroman broj web servera zasnovanih na Windowsu; oni "nisu krivi" to predstavljaju omiljenu metu hakera. Microsoft ima itave timove inenjera i softverskih dizajnera koji reavaju takve probleme im se pojave. Njihov posao je da brzo dostave administratorima najnovije ispravke. Najjednostavniji nain za upravljanje ovim zakrpama je upotreba Software Update Servicea. SUS server omoguava usmeravanje svih web servera na jedan server radi preuzimanja zakrpa. Sve to treba da uradite je da proverite dnevnike zapisa na SUS serveru da biste videli da li ima novih zakrpa. Zakrpe moete da testirate u laboratorijskim uslovima, a zatim da odobrite njihovo dalje distribuiranje. Nakon toga, web serveri koji su konfigurisani tako da budu usmereni na SUS server, automatski e

    Administriranje mrea instalirati zakrpe i, opciono, ponovo pokrenuti sopstveni sistem. Zakrpe i automatsko restartovanje Ako su serveri konfigurisani tako da automatski ponovo pokreu sistem nakon instaliranja zakrpa koje to zahtevaju, moete se nai u situaciji da se svi web serveri restartuju u isto vreme. Rezultat toga e biti da sajt nee raditi nekoliko minuta, u zavisnosti od toga koliko vremena je serverima potrebno da ponovo pokrenu sistem. Blokiranje IIS-a Windows 2003 IIS (verzija 6.0) je nadmaio svog prethodnika u integrisanju veine osobina starog IIS Lockdown Toola. IIS Lockdown Tool radi tako to iskljuuje nepotrebne osobine unutar IIS-a, na osnovu planirane uloge servera. Tako se smanjuje broj potencijalnih taaka koje hakeri mogu da napadnu. Sve ovo je obloeno URLScanom, pomonim programom koji presree ulaz sa raunara klijenta i vri internu proveru da bi utvrdio da li ima pokuaja slanja "zlonamernih" podataka kao to su znaci ili skriptovi koji izlaze iz dozvoljenog opsega. Po standardnom podeavanju, IIS6 se instalira samo sa onim osobinama koje su neophodne za obavljanje njegove definisane funkcije. Mogue je precizno odrediti koje ISAPI i CGI kodove je dozvoljeno pokrenuti na serveru, a postoje i standardno podeena ponaanja za upravljanje HTTP zaglavljima koja su dizajnirana za izvravanje Web DAV-a. To zamenjuje neke od osobina URLScana. IIS6 sadri i mehanizme za ograniavanje duine polja i zahteva. Na ovaj nain su prevaziene gotovo sve slabosti starije verzije IIS-a. Ako su ovakva podeavanja suvie restriktivna za odreenu web aplikaciju, moete da izmenite parametre preko podeavanja Registry: HKEY_LOCAL_MACHINE\System\CurrentCintrolSet\Services\HTTP\Parameters\AllowRestr ictedChars HKEY_LOCAL_MACHINE\System\CurrentCintrolSet\Services\HTTP\Parameters\MaxFieldL ength HKEY_LOCAL_MACHINE\System\CurrentCintrolSet\Services\HTTP\Parameters\UrlSegme ntMaxLength HKEY_LOCAL_MACHINE\System\CurrentCintrolSet\Services\HTTP\Parameters\UrlSegme ntMaxCount Mada se URLScan 2.5 moe izvravati na IIS-u 6, veina administratora e zakljuiti da to nije potrebno, zato to su osobine IIS-a 6, koje se tiu bezbednosti, bolje od onih u URLScanu 2.5. Preporuujemo da URLScan 2.5 koristite sa starijim IIS 5.0 serverima.

    I Uvod Jedan od ogromnih problema u raunarskim mreama moe biti prestanak rada servera. Zamislite da je na Vaem serveru povezano dvesta raunara i da je radno vreme u jeku. Odjednom operativni sistem na serveru prestaje da radi i cela kompanije eka da odreaguje sistem administrator. Ono to Vam ostaje da uradite jeste da reite problem, ili da se oporavljate od njega. Nita manje vane sa stabilnost i oporavak sistema jeste pravljenje i verifikovanje rezervnih kopija sistema, to je moda i jedan od najznaajnijih poslova sistem administratora. Cilj ovog seminarskog rada jeste uporediti odbrambene mehanizme koji poseduju dva operativna sistema Windows 2003 Server i Linux u sluaju kraha sistema. Rad e obuhvatiti i neke od preventivnih mera kako ne bi dolo do ovog sluaja. U prvom delu rada obratiemo panju na Windows odbrambene mehanizme dok e u drugom delu biti obraeni Linux odbrambeni sistemi. U sledeim redovima teksta baviemo se sledeim temama: Neke osnove spreavanja katastrofa koje je mogue izbei Nain korienja Windows i Linux Backup-a za runo i automatsko kreiranje rezervnih kopija Nain korienja alata System Information za pronalaenje greaka kod hardverskih problema ta se dogaa kada se podie operativni sistem Korienje nekih od alata koji se nalaze u Windows i Linux operativnim sitemima

    Administriranje mrea Zatita mree je proces koji se nikada na zavrava, za svaku meru zatite postoji i protivmera. Ne postoji nain da se uvek sauva sistem od svakog problema i zato treba ostvariti ravnoteu izmeu trokova opravka trokova zatite od katastrofe. II Priprema za sluaj pada i oporavak Windows 2003 Servera Kada na sistemu neto krene naopako ne treba odmah krenuti u napad. Prvi korak ne podrazumeva da ne treba odmah otvoriti kuite servera. Tri najdragocenija orua za reavanje problema jesu: instalacioni CD za Windows 2003, Emergency Repair disk (disk za hitne popravke) koji se moe koristiti za popravku Windows 2003 instalacije i sveska u kojoj treba beleiti reenja za ranije probleme. Ponekad se u trenutku stresa mozak zna blokirati pa e sveska postati dragoceni dijagnostiki alat u sluaju da se pomisli da smo ovaj problem ve negde videli. Kako bi server stalno normalno radio i bio bezbedan potrebno je preduzeti sledee korake: Fiziki je potrebno zatiti mreu. To prvenstveno podrazumeva upade od nepoeljnih treih lica. Zatititi korisnike svoje mree i sitemske podatke dobrom strategijom pravljenja rezervne kopije. Treba se pripremiti za najgore pomou plana za oporavak koji je razraen po takama tako da bilo ko moe da pristupi njemu. Oporavak sistema ne treba da zavisi samo od jedne osobe, koja jedina ume da povrati mreu u radno stanje. Treba razumeti kako radi server, tako da se problemi mogu reavati a i spreavati u budunosti.

    Uvek treba koristiti UPS (Uninterruptible Power Supply)5 i stabilizator napona da bi zatitili server, rutere i habove od promena u napajanju elektrinom energijom. Ovim se okosnica mree titi od varijacija napona. Zatita napajanja e doprineti i spreavanju gubitka podataka i omoguie zatvaranje servera na regularan nain. Najvei broj osoba koje koriste mreu nemaju valjan razlog da rade bilo ta na Windows 2003 serveru. Nain da se ljudima ne dozvoli fiziki pristup serverima je taj da oni budu zakljuani u neku od posebnih prostorija. Oni koji ne mogu da se priblie serverima ne mogu da urade neke od sledeih stvari : Ponovo podignu operativni sistem, ili ugase server Ukradu sa servera hard diskove koji sadre podatke Ponovo instaliraju Windows Server i tako dobiju priliku da kreiraju novi nalog za administratora Korisnike dozvole, koje spreavaju nekoga da ugasi server sa konzole, ne spreavaju istu osobu da ugasi server na prekida. Zbog ovoga ukoliko nema mogunosti da se zakljua server, mogue je fiziki

    Administriranje mrea onesposobiti dugme Reset tako da niko ne moe lako da ikljui raunar izuzev ako nema dozvolu da to uradi. Zatita Windows server sistema izgraena je na autentifikaciji. Kada se korisnik prijavi na domen, korisniko ime i lozinka uporeuju se sa informacijama koje su upisane u Security Accounts Manager-u na kontroleru domena. Kada se za njega na mrei izvri provera, dodeljuje mu se oznaka zatite koja sadri listu prava i dozvola koje se zasnivaju na korisnikom identitetu i lanstvu u grupama. Uvek kada se pokua da se uradi neto, itanje fajla, instaliranje aplikacije, Windows menader atite uporeuje prava i dozvole sa onim to hoemo da uraditmo i na osnovu rezultata provere dozvoljava ili onemoguava pristup. Jedina stvar koja spreava da se neko predstavi kao neko drugi je lozinka za nalog. Kada neko doe do lozinke za odreeni nalog, on moe da koristi taj nalog i sva prava i dozvole koje su mu pridruene. Lozinke su ono preko ega se najee prodire u Windows mreu. Danas postoji mnogo alata koji mogu da razotkriju lozinke. Svi od njih uglavnom koriste tri metode. Napad pomou renika. U napadu pomou renika programi testiraju sve rei u reniku, ili fajlu koji sadri rei (to moe biti i preko 25000 rei) , sve dok ne naje odgovarajuu re. Hibridni napad. Ako napad pomou renika ne proizvede rezultat, sledei korak je taj gde program proverava da li je korisnik uneo poznatu re i dodao joj brojeve ili neke druge karaktere, dodajui tako snagu napadu pomou renika. Napad brutalnom silom. Poslednja faza je napad brutalnom silom, u kome se ifrovana lozinka poredi sa svakom moguom kombinacijom tastera. Napadi brutalnom silom mogu da traju danima i nedeljama u zavisnosti od brzine raunara, ali na kraju mogu da otkriju skoro svaku lozinku koja koristi karaktere koje se nalaze na standardnoj tastaturi. Skoro svaka lozinka je ranjiva pred napadom brutalne sile, ako napad dovoljno dugo traje. Jedini nain za spreavanje ovog napada je promena lozinke u toku procesa otkrivanje iste. I pored ovoga to je reeno, daleko od toga da su lozinke beskorisne. Ukoliko je mrea povezana sa internetom, a velika verovatnoa da jeste, treba zatvoriti TCP/IP portove koji nisu potrebni i treba pratiti neuspele pokuaje za povezivanje sa gateway-om, koji dolaze sa Interneta. Za ljude iznutra, koji imaju pristup mrei treba uvesti politiku zabrane alata za otkrivanje lozinki, bilo kome ko nema valjan razlog da ih poseduje. 2.1 Programi za pravljenje rezervnih kopija Rezervna kopija je prva linija odbrane u sluaju pada servera i poslednja ansa da se neto ispravi kada sve ostalo prestane da radi. Kada ve doe do toga, ono to je vano to su podaci na serveru koje treba spasiti. Sam hardver uvek moe da se zameni i operativni sistem se moe ponovo instalirati, ukoliko je to potrebno. Ono to se ne moe zameniti su podaci.

    Windows 2003 se isporuuje sa alatom Windows Backup, koji ima vie svojstava, podrku za brojni niz medijuma, i integrisani program (sheduler) za rasporeivanje tzv, job-ova koji prave rezervne kopije.

    Administriranje mrea Backup aplikacija se nalazi u odeljku System Tools fascikle Accessories. Iz ovog alata se mogu praviti rezervne kopije podataka, mogu se restaurirati podaci ili se moe kreirati disk za popravku. Na prvom mestu je proces za pravljenje rezervnih kopija. Klikom na dugme Backup Wizard startovae se arobnjak koji je tu da nam pomogne da kreiramo set rezervnih kopija. Trea opcija nam omoguava da napravimo rezervnu kopiju samo System State podataka. System State podaci su, Registry informacije, sistemski fajlovi za startovanje sistema i COM+ Class registration baza podataka, informacije o konfiguraciji sistema koje su potrebne da bi se server ponovo instalirao. Na Windows 2003 koji su kontroleri domena, ovi podaci, e ukjluivati i kopiju Akrivnog Direktorijuma i kopiju Sysvol direktorijuma, to na tom serveru predstavlja kopiju javnih fajlova koje dele svi kontroleri domena u tom domenu.

    Kada se pravi rezerva kopija svega to se nalazi na raunaru (Back up everything on the computer), pravi se rezervna kopija svih lokalnih disk jedinica (ali ne i mrenih disk jedinica). Kada se pravi rezervna kopija izabranih fajlova, disk jedinica, ili mrenih podataka (Backup selected files, driver, or network data) imamo mogunost da izaberemo tano ono to elimo da zatitimo. Izaberemo opciju koju hoemo i kliknemo na Next. Na primer, izaberimo opciju da elimo da napravimo rezervnu kopiju podataka o sistemu (System State Data) slika 2.3. Kao sledee, Backup trai mesto na koje e staviti ove fajlove (slika2.4). On prvo trai izmenljiv medijum, pa ukoliko on nije dostupan ponudie nam opciju da sami izaberemo neki ili mreni disk ili ak i na disk. Kada kaemo Windows Backup arobnjaku gde treba da stavi fajl u kome e se nalaziti rezervna kopija, kliknemo na Next i pojavljuje se poslednji ekran koji prikazuje opcije pravljenja rezervne kopije. Ako kliknemo na dugme Finish, startovae se pravljenje rezervne kopije.

    Ovo je osnovni nain pravljenja rezervne kopije, u kome se koristi podrazumevana postavka parametara. Ukoliko hoemo da imamo veu kontorlu nad nainom na koji se izvrava program za pravljenje rezervne kopije (tj. opcije How i When) pre nego to kliknemo na Finish, da startujemo drugi deo arobnjaka, kliknemo na dugme Advanced i biramo neku od ponuenih opcija.

    Administriranje mrea 2.2 Napredne opcije za pravljenje rezervnih kopija Najee nije potrebno praviti rezervnu kopiju svih fajlova na serveru. Alat Backup ukljuuje jedan interfejs koji je nalik Explorer-u u kojem se mogu birati fajlovi, fascikle i disk jedinice iju rezervnu kopiju elimo da napravimo (slika 2.5). Objekte ije kopije elimo da napravimo, biramo potvrivanjem kvadrata koji se nalazi pored objekta. Nije mogue izabrati svaki objekat, ve samo onaj iji se kvadrat za podvrdu vidi jasno. Posiveli kvadrati za potvrdu se ne mogu izabrati ali se moe ii u njihovu dubinu, do nivoa vee detaljizacije kako bi se pronaao objekat koji moe da se bira. Moe se primetiti da se My Documents nalazi pri vrhu objekata koje je mogue birati, to olakava pravljenje rezervne kopije svih dokumenata, ako su u toj fascikli smeteni neki privatni podaci. Krenimo sa objektima koji su smeteni na lokalnom serveru. Nemamo nameru da napravimo rezervnu kopiju svih sistemskih disk jedinica, jer ih moemo lako restaurirati ako imamo sauvane System State podatke, ali imamo drugi disk koji koristimo za uvanje nekih podataka. Da bi doli do nje, kliknemo dva puta na My Computer kako bi se prikazale sve lokalne disk jedinice. Ovo su logike a ne fizike disk jedinice. Da bi dalje videli sadraj diska, ponovo dva puta kliknemo na disk jedinicu i prikazae se sadraj cele disk jedinice. Sada jednostavno izaberemo fajl ili folder koji elimo da sauvamo klikom na gore pomenuti kvadrat. Moemo da ponitimo izbor bilo kog objekta u ovoj fascikli i spreimo da se napravi rezervna kopija, ponovno kliknuvi na kvadrat.

    Broj fajlova i fascikli na razliitim disk jedinicama nije ogranien. Oni ne moraju biti poreani jedan pored drugog, ili biti poreani po bilo kom logikom rasporedu ali e zadrati svoje lokacije na krajnjem medijumu na koji se smetaju rezervne kopije. Prema tome, ako izabereme da napravimo rezervnu kopiju za E:NCD\\files\config i za C:My Documents \Myfile.doc, tada e Myfile.doc zadrati informacije o mestu na kome se nalazi, tako da e medijum na kome su rezervne kopije znati da taj fajl ide u fasciklu My Documents, a ne u fasciklu NCD. Iako izgleda da bi ovaj postupak sputanja na nivo vee detaljizacije trebalo da funkcionie i za System State podatke, to nije sluaj. Kada se otvori My Computer da bi se videle sve lokalne disk jedinice, u listi elemenata videe se jo jedan System State folder. Ako se dva puta klikne na ovaj objekat, kako bi se video njegov sadraj, moe se primetiti da kvadrati za potvrdu, koji se odnose na sve objekte, imaju sivu boju, tako da se ne mogu izabrati. Kada koristimo Windows Backup, moe se napraviti kopija ili svih sistemskih podataka ili nijednog od njih, ali se ne mogu izabrati samo neki od njih. Mogue je napraviti rezervnu kopiju sadraja bilo koje fascikle koja se deli na mrei i nalazi na bilo kom raunaru na mrei. Ovo je vrlo slino pravljenju rezervnih kopija lokalnih fajlova, izuzev toga to se prvo treba pronai raunar koji se trai i prema potrebi na njemu odabrati nivo detaljizacije.

    Administriranje mrea U Windows Backup alatu postoji odreen broj naprednih opcija koje se mogu podesiti. Treba izabrati ToolsOptions na kartici Backup, ili kartici Restore, kako bi smo otili na okvir za dijalog sa karticama, koji sadri sve opcije pravljenja rezervnih kopija i povratka podataka. Podrazumevani tip pravljenja rezervnih kopija za Windows Backup je Normal, to nije dovoljno opisan nain da se kae da Windows Backup pravi potpunu rezervnu kopiju, ukoliko mu se ne kae drugaije. Ako odemo na karticu Backup Type moemo da odaberemo jedu od opcija koje su prikazane u tabeli 2.1. Mogue je koristiti kombinaciju ovih tipova pravljenja rezervnih kopija, kako bi smo u potpunosti i efikasno napravili rezervne kopije fajlova.

    Tabela 2.1: Tipovi pravljenja rezervnih kopija koje podrava Windows 2003 Opis Tip pravljenja rezervnih kopija Normal (normalni) Kopira sve izabrane fajlove i potom resetuje bit za arhiviranje. Incremental (inkrementalni) Kopira sve izabrane fajlove za koje je postavljen bit za arhiviranje i resetuje taj bit. Differential (diferencijalni) Kopira sve izabrane fajlove za koje je postavljen bit za arhiviranje ali ne resetuje taj bit. Daily (dnevni) Kopira sve izabrane fajlove koji su bili editovani onog dana kada se izvrava program za pravljenje rezervnih kopija. Copy (kopiranje) Kopira sve izabrane fajlove, ali ne resetuje bit za arhiviranje. Napomena Bit za arhiviranje je atribut skrivenog fajla koji se primenjuje na fajlu kada se fajl kreira, ili edituje. On se koristi da bi rekao uslunom programu za pravljenje rezervnih kopija, ili za kopiranje kako je ovaj fajl promenjen. Resetovanjem bita za arhiviranje on se uklanja iz fajla, setovanjem se bit za arhiviranje dodaje fajlu. Backup Logovi, su korisni alat reavanje problema. Ako neto krene naopako sa pravljenjem rezervne kopije, tada se moe prouiti log, ija je osnova tekst, kako bi se utvrdilo ta se odvijalo na pogrean nain.. ak nije na odmet da se posle svakog pravljenja rezervne kopije pregleda log fajl kao bi se ustanovilo da li je procedura protekla prema oekivanju. Windows Backup u Log upisuje samo znaajne dogaaje i greke, ali ukoliko odemo na karticu Backup Log okvira za dijalog Options, mogue je izabrati da se pomenute informacije ne upisuju u log (to moe da bude loa ideja), ili da se i log upisuje sve (to opet moe da bude loa ideja zbog vika prikazanih informacija, pa samim tim i tekog snalaenja sa istim). Izuzev ukoliko nam je iz nekog razloga potrebna detaljna evidencija, opcija smetanja kratkog pregleda (summary) najvanijih informacija je verovatno najbolje reenje 2.3 Rasporeivanje automatskog pravljenja rezervnih kopija Radi bezbednosti trebalo bi praviti rezervnu kopiju podataka barem jednom dnevno. Problem je u tome to je najprikladnije vreme da se to uradi, u toku noi, kada nikoga nema na mrei. U Windows 2003 Serveru nam na raspologanju stoje dva postupka za rasporeivanje izvravanja programa koji prave rezervne kopije. Jedan koriti GUI (Graphical User Interface) a drugi koristi AT komandu za izvravanje skript programa koji pravi rezervne kopije. Postoji nekoliko naina uz pomo kojih se mogu rasporediti poslovi na izvravanje u Windows Backup programu: U arobnjaku Backup, jedna od Advanced opcija pita da li hoemo sada da pozovemo na izvrenje neki posao za pravljenje rezervnih kopija koji smo ranije kreirali, ili hoemo da to rasporedimo za neko kasnije vreme. Ako izabrememo da rasporedimo posao za kasnije, biemo odvedeni u okvir Shedule Job.

    Administriranje mrea U Windows Backup-u, kada na Backup kartici kreiramo posao za pravljenje rezervnih kopija i kliknemo na dugme Start Backup, videemo okvir za dijalog, kao to je na slici 2.6, koji e od nas traiti ime za rezervnu kopiju i koje e nam omoguiti da odmah startujemo pravljenje rezervne kopije, ili emo moi da ga rasporedimo za neko drugo vreme. Ukoliko kliknema na dugme Shedule, biemo odvedeni u okvir za dijalog Shedule Jobs.

    U Windows Backup-u, ako kreiramo novi posao za pravljenje rezervne kopije, moemo da odemo na karticu Shedule Jobs, gde emo videti meseni kalendar kao to je prikazano na slici 2.7. Da bi kreirali posao za pravljenje rezervne kopije i rasporedili ga na izvravanje sa kartice Shedule Jobs, kliknemo na dugme Add job, koje se nalazi u donjem desnom uglu ekrana ime se startuje arobnjak Backup koji je ve opisan. Jedna od opcija koja e nam biti predstavljena je mogunost da se posao za pravljenje rezervne kopije izvri odmah, ili kasnije, gde se za kasnije podrazumeva pono dana koji odredimo za njegovo izvrenje. Kako bi rasporedili posao na izvravanje, biramo Later i kliknemo na dugme Set Shedule ime otvaramo program za rasporeivanje.

    Pravljenje rezervne kopije na poziv za unos komande vri se preko NTBACKUP alata. Kako bi iz komande linije zadali da se rezervne kopije automatski kreiraju, moemo koristiti usluni program AT koji radi sa komandnom linijom i pomou njega definiemo vreme i uslove pod kojim NTBACKUP treba da se izvri.

    Administriranje mrea U tabeli 2.2 dat je prikaz nekih od opcija programa NTBACKUP koje se zadaju sa komande linije. Tabela 2.2: Opcije uslunog programa NTBACKUP Argument Funkcija Govori programu NTBACKUP da se izvodi operacija pravljenja backup rezervne kopije. Mora se ukljuiti ovaj argument Odreuje da treba da bude napravljenja rezervna kopija svih System systemstate podataka i postavlja tip pravljenja rezervne kopije na normal ili copy Ovo je ime fajla sa informacijama o fajlovima koji su izabrani za bks ime fajla kopiranje, u kome e biti smetena rezervna kopija. U jedan isti .bks fajl moe se smestiti vie od jedne rezerve kopije. Govori progamu NTBACKUP ime job-a koji pravi rezervnu kopiju /j ime job-a Govori programu NTBACKUP na koji pul medijuma treba da kopira /p ime pul-a fajlove Navodi put i ime fajla u koji e rezervna kopija biti kopirana /f ime fajla Navodi da li procedura za pravljenje rezervne kopije treba, ili ne treba da /v: jes ili no bude verifikovana. Verifikacija podataka traje izvesno vreme ali se dobija potvrda da su podaci tano upisani Govori programu NTBACKUP koju vrstu log fajla treba da kreira: /l: f ili s ili n potpuni, sumarni ili ni jedan

    Da bismo napravili rezervnu kopiju svih fajlova koji se nalaze u E:VTS i smestili ga u fajl system1.bfk trebalo bi da kucamo: ntbackup backup E:\VTS\ /f d:\system1.bfk Da izvrimo diferencijalni tip pravljenja rezervne kopije iste fascikle, verifikujemo tu rezervnu kopiju i imenujemo job za pravljenje rezervne kopije kao Diferential backup of VTS folder (diferencijalni tip pravljenja rezervne kopije fascikle VTS), trebalo bi da kucamo ntbackup backup E:\VTS\ /m differential /f d:\system1.bfk /j Kada kreiramo job za pravljenje rezervne kopije , moemo da upotrebimo AT komandu sa komandne linije, kako bi smo odredili vreme ivravanja job-a za pravljenje kopije. AT komanda rasporeuje na raunaru izvravanje komandi i programa u navedeno vreme i navedeni datum. Sintaksa AT komande izgleda ovako: AT [\\computername] [ [id] [/DELETE] | /DELETE [YES]] AT [\\computername] TIME [/INTERACTIVE] [ /EVERY:date[,..] | /NEXT:date[,..]] command 2.4 Povratak podataka Rezervna kopija nije od velike koristi, ukoliko ne moemo da je vratimo na server odakle i potie. Da bi vratili podatke, potrebno je ponovo otvoriti Windows Backup. Moemo pozvati arobnjaka Restore ili moemo da odemo na karticu Restore. Da bi povratili podatke iz arobnjaka Restore, idemo na karticu Welcome koja se nalazi u Windows Backup i kliknemo na ikonu Restore Wizard. Videemo uobiajeni ekran Welcome. Kreemo se daljim klikom i od nas e biti traeno da izaberemo medijum sa koga hoemo da izvedemo operaciju povratka podataka to je prikazano na slici 2.8. Opcije koje e ovde biti prikazane zavise od vrste medijuma na kome se nalazi rezervna kopija. Ako je rezervna kopija smetena u fajl, bie potrebno da kliknemo na dugme Import File, kako bi uvezli .bkf fajl i kome se nalazi rezervna kopija. Kada zavrimo sa biranjem fajlova za povratak, arobnjak e nam ponuditi zavrni ekran, koji pokazuje tekue opcije povratka podataka. Moemo da se vratimo nazad da editujemo bilo koji fajl, ili da kliknemo na dugme Advanced, da navedemo drugu lokaciju za povratak podataka.

    Administriranje mrea Ukoliko programu Windows Backup ne kaemo drugaije, on e fajlove vratiti na njihove prvobitne lokacije. Ukoliko je hoemo da podatke vratimo na neku disk jedinicu ije se slovo razlikuje od originalnog, ili ako sadraj dnevno pravljene kopije hoemo da stavimo na DVD, na prvom ekranu (slika 2.8) odeljka naprednih opcija u arobnjaku Backup nalaze se tri opcije za izbor lokacije. Original location prvobitna lokacija Alternative location (files and folders will be resored, folder structure intact, to the location you specify) alternativna lokacija (fajlovi i fascikle e biti vraeni, struktura fascikli e ostati nepromenjena, na lokaciju koju navedemo) Single folder (files will all be put within a single folder in the folder you specify and the original folder structure will be lost) jedna fascikla (svi fajlovi e biti stavljeni u jedinu fasciklu koju navedemo, a prvobitna struktura fascikli e biti izgubljena).

    Ukoliko kaemo Windows Backup programu da fajlove vrati na alternativnu lokaciju, ili u jednu fasciklu, tada e ovaj arobnjak prikazati polje za tekst u kome kucamo (ili pronalazimo) put za povratak fajlova. Na alternativnoj lokaciji moemo da vratimo samo podatke, ali ne i informacije o konfiguraciji sistema, kao to je sluaj sa bazom podataka Registry. Svi fajlovi konfiguracije sistema moraju da se vrate na njihove prvobitne lokacije. ta de deava ukoliko fajl sa takvim imenom ve postoji? Drugi ekran u odeljku naprednih opcija arobnjaka govori Windows Backup programu ta treba da uradi ako na volumenu ve postoji fajl sa imenom koje je identino imenu fajla koji se treba vratiti. Normalno, Windows Backup nee zameniti fajl na postojeem medijumu, po principu da, ako ve imamo taj fajl, nema potreba da ga zamenjujemo. Ponekad emo eleti da imamo fajl koji imamo kao rezervnu kopiju, a ne onaj koji je na hard disku. Na primer, na disku moe da se nalazi Word dokument koji sadri virus, a mi prosto ne elimo da imamo inficirani fajl. Kako bi se izborili sa situacijama u kojima je potrebno da zamenimo postojei fajl na hard disku, Windows Backup podrava tri opcije zamene: Do not replace the file on the disk (the default) ne zamenjuje se fajl na disku (podrazumevana opcija) Replace the file on the disk if its older than the file on the backup zamenjuje se fajl na disku, ako je stariji od fajla koji je rezervna kopija Always replace the file on the disk with the one on the backup uvek se zamenjuje fajl na disku fajlom koji je rezervna kopija.

    XII as

    Evidentiranje dogaaja u WINDOWS SERVER 2003

    12.1 Oporavak od katastrofa Oporavak servera koji je otkazao jedan je od najteih poslova administratora. Suoavate se s pritiscima zbog ponovnog instaliranja operativnog sistema, obnavljanja vrednih podataka s rezervnih kopija, a zatim i zbog ponovnog instaliranja svih uslunih programa neophodnih za ispravan rad servera. Za planiranje oporavka od katastrofa nije dovoljno poznavanje softvera za oporavak. U ovom poglavlju pokazaemo kako da pravilno primenite postupak za automatski oporavak Automated System Recovery (ASR), kako biste obnovili operativni sistem, te najbolje naine izrade i dokumentovanja plana za oporavak od katastrofa (Disaster Recovery Plan, DRP). 12.1.1 DR planiranje Oporavak od katastrofa je jedna od najvanijih stvari koje moete da nauite o administriranju sistema. Administriranje servera ne znai nita ako ne moete da ga oivite kada mu se neto dogodi, na primer katastrofalni kvar diska ili oteenje baze podataka aktivnog imenika. Vetina oporavka od katastrofa se ne sastoji samo od uitavanja rezervnih kopija datoteka, ve podrazumeva i lociranje potencijalnih problema koji mogu dovesti do pada servera, obnavljanje uslunih programa posle ponovne instalacije operativnog sistema i mnoga druga zaduenja. Prvi korak u oporavku od katastrofa je definisanje strategije i protokola. Strategija valja da ustanovi ta treba uraditi i kojim redom da bi se stvari vratile u normalno stanje. Protokol treba da definie uslove koji moraju biti ispunjeni da bi se preduzele odreene aktivnosti. Na primer, pod kojim okolnostima treba ponovo instalirati operativni sistem, a pod kojim pokuati da popravite operativni sistem servera? Na ta pitanja mora se odgovoriti. Izlaganje gotove strategije za oporavak od katastrofa nema mnogo smisla, zato to je ona za svaku firmu drugaija. Treba da uzmete u obzir nekoliko stvari, na primer, da li vaa firma radi nou? Ako je odgovor potvrdan, smernice za oporavak od kata-strofa treba da budu mnogo stroe nego u firmi sa osmoasovnim radnim vremenom. Treba da definiete vremena odgovora na hitne sluajeve i da procenite vreme za izradu rezervnih kopija i rad sistema. 12.1.2 Dokumentacija Dokumentacija je temelj svakog plana oporavka od katastrofa. Bez dokumentacije, svi koji su ukljueni u plan oporavka od katastrofa moraju se osloniti na svoje pamenje. S obzirom na broj koraka potrebnih za oivljavanje servera, obnavljanje svih podataka i proveru da li svi sistemi rade ispravno, pamenje vam samo po sebi nee naroito koristiti. Mnogi ljudi esto proputaju da proitaju dokumentaciju o tome kako da poprave sistem posle pada servera jer ona jednostavno i ne postoji, a i kada postoji ona je nerazumljiva i nejasna. Zato je jako vano da se pri normalnim uslovima, bez pritisaka, unapred pripremi plan oporavka sistema u sluaju njegovog pada i ostavi upotrebljiv dokumenat. Mnogi pisci tehnike literature i administratori preporuuju pisanje dokumenta podeljenog u nivoe. Skica dokumenta bi obuhvatala naslove nivoa 1, 2, 3, 4 i 5. Prvi odeljak bi, na primer, bio pregled DR plana. Odeljcima doku-menta mogu biti dodeljeni prioriteti koji odreduju redosled izvravanja. Svi odeljci sa informacijama koje nisu sutinske (na primer, odeljak 1) mogli bi se odloiti za kraj projekta, za sluaj da treba ubrzati pisanje dokumentacije. Planirajte dodeljivanje prioriteta odeljcima dokumenta, na osnovu sledeih informacija (prioriteti su rastui): manje vane informacije vane informacije potrebne informacije sutinski znaajne informacije Da biste mogli razviti upotrebljiv plan, morate znati kako e se taj dokument koristiti. U mnogim organizacijama, tim za prodaju vidi vrednost tog dokumenta u tome to firma moe da obezbedi neprekidnu uslugu nekim klijentima. Menaderi mogu iskoristiti taj dokument da bi obezbedili poveanje budeta zbog dodatnog osoblja. Imajui sve to na umu, svakako ne treba ni da pokuavate da sve obuhvatite dokumentom. Njegova namena je da bude pomono sredstvo za oporavak firme u hitnom sluaju, a ne za poveavanje prometa. Prodajno odeljenje i menaderi e verovatno smatrati korisnim one delove dokumenta koji imaju manji prioritet. Podjednako je vano jasno definisati cilj dokumentacije i znati kome je ona namenjena. Svaka firma ima sopstvenu terminologiju koja je svojstvena njenim organizacijama. Nema svrhe koristiti tehnike izraze i fraze koji se inae ne upotrebljavaju u vaoj firmi. Ako postanete savetnik firme ije poslovanje ne poznajete, bie potrebno da upoznate terminologiju i da

    Administriranje mrea proitate drugu dokumentaciju te firme. Sledei vaan aspekt izrade dokumentacije je da se odredi ko joj moe pristupati. Takvi dokumenti esto sadre veoma osetljive informacije, kao to su lozinke administratora, podaci o zatitnim bedemima i skretnicama ili o korisnikim nalozima. Dokumenti se napiu, a zatim se obino smeste na mreni disk, tako da ih mnogi itaju, proveravaju i predlau ispravke i dopune. Ta lokacija na mrenom disku treba da bude dostupna samo korisnicima koji imaju dodeljeno pravo pristupa pa treba da definiete i ko moe pristupati dokumentaciji koja se ne nalazi u tom imeniku. Na primer, verovatno se pravi rezervna kopija imenika u kome je dokumentacija. Morate znati ko ima pristup medijumu s rezervnom kopijom, tako da moe doi do informacija. Ako se rezervne kopije prave preko mree, imajte na umu da neko moe presresti te pakete. To bi bio sasvim jednostavan nain za dolaanje do poverljivih informacija. Uzmite u obzir mogunost da e se ovaj dokument nekada pokazivat osobama koje ne treba da pristupaju poverljivim informacijama. Sve osetljive informacije smestite u jedan odeljak koji moete lako ukloniti ako se ukae potreba ( primer, u dodatak DR plana). Ako bi komercijalisti zatrebao taj dokument, mozete mu dati dokument bez odeljka sa poverljivim informacijama. Najvanije je da dokumentacija bude jednostavna. Potrebno je da prenese veoma sloene informacije tako da budu lako itljive. Ako to postignete, praenje dokumenta nee predstavljati problem razliitim itaocima. Kad pravite DR plan, treba da odredite resurse koji e vam olakati posao. Ako vie osoba upravlja serverima, napravite raspored dolazaka po pozivu (On-Call schedule), kojim se odreuje ko e nastupiti i sprovesti neophodne korake ako bi dolo do pada servera. Ukoliko imate desetak servera ili manje, moe biti dovoljno da jedna osoba odgovori na poziv. to vie servera imate, treba da ukljuite vei broj ljudi. Da bi se stvari efikasno dovele u red, osim administratora moe vam biti potreban i lan tima za administriranje mree i lanovi drugih timova koji koriste servere. Poto ste napravili ovaj raspored dolazaka po pozivu, treba da sastavite spisak proizvodaa hardvera, koje moete pozvati ako vam zatreba dodatni hardver. Instaliranje hardvera nije uvek najjaa strana administratora servera, tako da vam moe zatrebati savetnik ili tehnika podrka proizvodaa da bi se instalirao i konfigurisao hardver neophodan za oporavak servera. Iako je veoma naporno DR planiranje u firmi koja se nalazi na jednoj lokaciji, zamislite dodatne korake koji su neophodni ako otkae udaljeni server. Ne samo da morate obezbediti da se odazove neko iz oblasti u kojoj se nalazi raunar, nego se morate i uveriti da ta osoba dobro poznaje druge servere u mrei ireg podruja, kako bi pravilno obavila sva podeavanja. Pogodno sredstvo u ovom sluaju je KVM (Keyboard, Video, Mouse) sklopka koja prihvata TCP/IP veze. KVM omogucava da uspostavite vezu sa udaljenim serverom, ponovo ga inicijalizujete, konfiginiete, i sve to uradite iz svoje fotelje. Pri odredivanju resursa, moe vam posluiti dijagram servera. Ovaj dijagram bi imao hijerarhijsku strukturu i na njemu bi bili prikazani svi serveri, usluge i aplikacije na svakom serveru. Ako server otkae, uoiete na prvi pogled koji sistemi su ugroeni. Koristei te informacije, moete doneti pouzdanu odluku od koga treba zatraiti dodatnu podrku, odnosno koga treba obavestiti da sistemi trenutno ne rade. 12.1.3 Izrada planova odgovora Plan odgovora (response plan) ne moete napraviti preko noi. Morate potpuno poznavati server, i sve aplikacije koje koriste te servere. Da biste doli do tih informacija, verovatno ete morati da razgovarate s vie desetina ljudi u vaoj orgizaciji. Poto sastavite spisak celokupne opreme i svih ljudi koje treba ukljuiti u plan odgovora, napravite grubi nacrt plana. Imajte na umu da moete itavih mesec dana pisati plan, ali on nikada nee biti sasvim pouzdan. Neki delovi plana e svakako imati nedostatke, i sa aljenjem kaemo da ete morati da se upustite u niz pokuaja i greaka kako biste dobili ispravan plan. Postoji nekoliko softverskih paketa koji prave popis elemenata sistema, to je prvi korak u izradi plana odgovora. Ovi softverski paketi vam daju nacrt na osnovu koga mozete da zaponete planiranje. Kada pravite plan odgovora, budite velikoduni pri definisanju vremena odziva. i bolje je da pretpostavite najloiju situaciju i date sebi vie vremena nego da za 100 procenata premaite vreme planirano da se svi sistemi obnove i da prorade. Poto napravite plan, testiranje je najbolji nain da se utvrdi da li on odgovara vaim potrebama. Verovatno ste ve uli izreku: ,,Ako napravite propust pri planiranju, planirate propast". Ta misao zaista dobro opisuje postupak oporavka od katastrofa. Moete i razviti veoma robustan plan, ali otkud ete znati kako funkcionie ako ga nikada ne isprobate? Bez obzira na to koju ete tehniku primeniti za testiranje plana odgovora, imajte na umu sledee take: Ne postoji neuspeh: ta god da radite tokom testiranja, svi rezultati koje dobijete imaju vrednost. Jedina greka bi bila da se plan uopte ne testira. Svaki test daje rezultate koji pomau administratorima da bolje upoznaju svoj sistem i sisteme s kojima je on povezan. Postavite ciljeve: Poto je veina administratora u vremenskom kripcu, jedan iscrpan plan s definisanim ciljevima moe znaajno skratiti testiranje sistema. Ovaj plan i njegovi ciljevi obino se

    Administriranje mrea mogu podeliti na vie koraka. Nije neophodno da sve korake izvrite odjednom, ali nekoliko koraka moete zavriti danas a neke ostaviti za sledeu sedmicu. Verovatno moete testirati pojedine korake ne pridravajui se njihovog redosleda, to moe olakati uklapanje u radni raspored administratora. Pri testiranju sistema treba da se uverite da su ciljevi dobro postavljeni. U testovima definiite vremenska ogranienja i uporedite ih s dobijenim rezultatima. Ovim postupkom obezbeujete da budue izmene testiranog plana pouzdano odraavaju vreme potrebno z oporavak vaeg sistema u postojeem okruenju. Stavke aktivnosti: Svaki test treba da bude vremenski odreen i dobro dokumentovan; svaki korak testa i konani ishod takoe treba dobro dokumentovati. To vam omoguava da pregledate sve korake i da snabdete materijalom za trening druge radnike, koji bi mogli preuzeti odgovornost za delove sistema Dokumentovanje i testiranje sistema nikome ne donosi nikakvu korist ako sve rezultate zadrite za sebe. Uestalost: Ponavljajte testiranje! Jedno testiranje plana je dovoljno sve dok se neki aspekti sistema ne promene toliko da plan zastari. Osim redovnog testiranja plana na sistemu, treba da obavite i testiranje posle svake znaajne izmene. Plan treba odmah testirati ako se dodaju nove skretnice ili novi serveri, ili se promeni topologija mree. Plan verovatno treba menjati ako sistem i njegovo okruenje pretrpe vie promena. Savetnici: Neki savetnici su specijalizovani za testiranje sistema. Dobro je da iskoristite njihovo znanje i steknete uvid u svet testova. Postoje i mnogi softverski paketi koji vam mogu pomoi pri testiranju. Medutim, ovi softverski paketi moraju biti izuzetno prilagodljivi da bi vam koristili, a trebalo bi da obuhvataju ak i neki jezik za pisanje skriptova. Ispitajte takve proizvode i potraite savetnika koji je usavrio njihovu primenu. Najbolji nain da se uverite u adekvatnost svojih procedura za oporavak od katastrofe jeste da ih stavite na probu. Detaljno opiite nekoliko vrsta ,,katastrofa", a zatim ih odigrajte do kraja, prema svom DR planu. Za neke od tih dogaaja, posebno za one koji predstavljaju velike katastrofe, potrebno je neto vie vremena, poto opravak zahteva odlazak na udaljenu lokaciju, instaliranje servera i uitavanje rezervnih kopija podataka. Osim obaveznog testiranja postupaka za oporavak servera i podataka, treba da uzmete u obzir komunikacione linije i ostale elemente. Da biste simulirali jednostavnije probleme, kao to je otkazivanje vrstog diska, dovoljno je da neko od saradnika ukloni SCSI kabl iz niza diskova. 12.1.4 Otpornost na greke Pojam otpornosti na greke, u raunarskom sistemu se odnosi na koncept da raunar (ili server, u ovom sluaju) treba da ima mogunost obrade hardverske ili softverske greke. Najjednostavniji problem je nestanak elektrinog napajanja. Taj problem moete jednostavno reiti korienjem izvora neprekidnog napajanja (engl. uninterrupted power supply, UPS). Ali, da li bi upotreba UPS-a zaista uinila raunar neosetljivim na takvu greku? UPS nema mogunost neprekidnog rada, tako da neznatno odlaete ono to je neizbeno. Bolje reenje su dva ili vie izvora napajanja servera, koji su povezani sa izvorima neprekidnog napajanja. Sve dok nema elektrinog napajanja, jedan UPS moe napajati server, dok se drugi puni na drugom mestu. Dva izvora napajanja predstavljaju posebnu temu. Dvostruke komponente su neophodne ako server treba da bude izuzetno otporan na greke. Da biste dobili sistem koji je zaista neosetljiv na greke, potrebne su vam dve mrene kartice, dva izvora napajanja, vei broj procesora i dve jedinice diska. Izgleda da je dobra ideja imati sve ove elemente, ali, ta rade dve jedinice diska? Pod pretpostavkom da se svi podaci kopiraju sa Diska 1 na Disk 2, u sluaju i kvara treba da iskljuite raunar i premestite Disk 2 na mesto Diska 1. Zato je vana i upotreba redundantnog niza nezavisnih diskova (engl. Redundant Array offndepen-dent Disks, RAID) \ jedinica diskova izmenljivih u radu. Moete koristiti nekoliko nivoa RAID sistema, ali se RAID nivoa 5 verovatno najvie upotrebljava. RAID 5 zahteva najmanje tri jedinice diska, a prua segmentiranje podataka i podatke za ispravljanje greaka. Nedostatak RAID 5 sistema je to to zahteva izuzetno sloen hardver koji je dosta skup. Ako imate RAID 5 kontroler s jedinicama diskova izmenljivih u radu i jedan disk se pokvari, moete ga zameniti drugim diskom a da ne iskljuite raunar i bez opasnosti od gubitka podataka. 12.1.5 Uoavanje slabih taaka Uvereni smo da je veini poznato da je sistem jak koliko i njegova najslabija karika. Ako ne uoite najslabiju kariku u svom sistemu, to e skoro sigurno izazvati katastrofu. U sluaju da nastanu problemi, takode moe koristiti poznavanje najslabije take sistema - to vam moe pomoi da otkrijete odakle treba poeti ispitiva greaka. Pri ispitivanju delova sistema koji su mogli prouzrokovati otkazivanje, treba da ponete od oiglednih: jedinice vrstog diska

    Administriranje mrea napajanje elektrinom energijom veze u mrei kontroler jedinice vrstog diska procesor Prilino je jednostavno osigurati se od kvara navedenih komponenata svaku od njih udvostruite. Pretpostavimo da imate dvoprocesorski sistem, s RAID-5 sistemom izmenljivih vrstih diskova, dva izvora napajanja i dve mrene kartice. Sve je dobro povezano i prikljueno na UPS ili moda na generator. Zvui skoro savreno, zar ne? A ta ete uraditi ako otkae RAMBus RAM? ta ako se pokvari grafika kartica? Problem s memorijom se lako reava ako u sistemu imate vie memorijskih modula. Moete da idete i dalje, ako koristite plou koja podrava memorijske module izmenljive u radu. Dva ili vie memorijskih modula obezbeduju da sistem padne ako otkae jedan modul. Verovatno e nastati neke greke, ali ete bar i mogunost da iskljuite sistem i otklonite problem bez gubitka podataka. Sigurno biste imali ozbiljan problem ako bi vam otkazala grafika kartica. Kako da bezbedno iskljuite sistem da biste reili problem? Na vau sreu, Windov Server 2003 podrava bezglavu konfiguraciju ( headless configuration). Moete instalirati operativni sistem, podesiti sve aplikacije i zatim ukloniti grafiku karticu, tastaturu i mia, a da sistem i dalje radi. Sva podeavanja moete obaviti preko udaljenog raunara, pa ak i administriranjem preko Weba. Poto ste razmotrili sve slabe take sistema u kojima je mogao nastati kvar i preduzeli sve odgovarajue postupke za otklanjanje problema, nainite jedan ko unazad i pogledajte ponovo. Va sistem moe potpuno odgovarati definiciji i redudantnosti, ali, ta ako otkae skretnica koja ga povezuje sa WAN-om? Kvar se ne nalazi na serveru, ali naruava rad celine sistema. Kada planirate konfiguraciju servera, treba da razmislite i o konfiguraciji mree. to je bolje upoznate i razmotrite, bolje ete se snalaziti kada iskrsnu problemi. 12.1.6 Oporavak s rezervne kopije Ako se dogodi najgore i server padne, jedna od najvanijih stvari koje morate uiniti jeste uitavanje sistema sa rezervne kopije. Osim to je to dugotrajan postupak, verovatno ete biti i pod pritiskom da ga to bre obavite. Veina preduzea je bespomona bez raunarskog sistema. Tada proizvodai ne mogu isporuivati robu, niti se ona moe dostavljati kupcima. Vreme je novac. Postupak uitavanja sistema se obino odvija u dve faze: uitavanje osnovnog operativnog sistema i uitavanje konfiguracionih datoteka, kao to su informacije iz aktivnog imenika. 1. Oporavak osnovnih operativnih sistema - Oporavak osnovnog operativnog sistema treba da bude drugi korak koji ete preduzeti u sluaju pada servera. Oigledno je da prvo treba popraviti komponentu koja je izazvala kvar sistema - naravno, pod pretpostavkom da je kvar bio hardverski. Postupak uitavanja operativnog sistema sastoji se od sledea etiri koraka: 1. Inicijalizujte Windows Server 2003 sa CD-a. 2. Pritisnite taster F2 za vreme podizanja sistema sa CD-a, da biste pokrenuli proces automatskog oporavka sistema (engl. Automated System Recovery, ASR). 3. Umetnite ASR disketu. 4. Izaberite lokaciju kompletne rezervne kopije sistema. Pretpostavlja se da ste pre izvravanja ovih koraka napravili skup rezervnih kopija pomou Microsoftove aplikacije Backup. Neposredno posle izrade potpune rezervne kopije, zatraeno je da umetnete praznu formatiranu disketu, na koju su upisanetri datoteke: asr.sif (sadri ime servera, lpkaciju Windows imenika, MBR podatke, informacije o poarticijama i lokaciju medijuma za oporavak), asrpnp.sif (Sadri spisak elemenata tipa ,,ukljui i radi". Ukljuuje monitor, jedinice vrstog diska, BIOS i ostale) i setup.log (sadri spisak svih datoteka koje su kopirane pri izradi rezervne kopije sistema). Razmotrimo sada ovaj postupak. to bolje razumete ASR funkcije, efikasnije ete oporaviti sistem, ako takav postupak bude neophodan. Prvi korak na putu ka oporavku nije upotreba tastera F2. Poto inicijalizujete sistem sa instalacionog CD-a Windows Servera 2003, na dnu ekrana e pet sekundi biti ispisana poruka da pritisnete F2 kako biste pokrenuli proces automatskog oporavka. Automatski oporavak sistema omoguava da se ne instalira ispoetka Windows Server 2003, nego se instalira rezervna kopija. Ovaj tip instalacije se odvija u 12 jednostavnih koraka: 1. Pritisnut je taster F2 za vreme inicijalizacije sa CD-a, da bi se pokrenuo ASK 2. Prikupljaju se podaci o particijama, tako da se disk moe podeliti u particij i formatirati. 3. Ispituju se diskovi. 4. Formira se spisak datoteka koje treba kopirati.

    Administriranje mrea 5. Kopiraju se datoteke. 6. Poinje konfigurisanje. 7. Sistem se automatski ponovo inicijalizuje. 8. Aktivira se grafiki program Windows Setup. 9. Otvara se arobnjak ASR. 10. ASR omoguava da izaberete skup rezervnih kopija koje se moraju uitati. 11. Datoteke se uitavaju i sistem se ponovo inicijalizuje. 12. Posle ponovne inicijalizacije, sistem se nalazi u prvobitnom stanju. Tokom ASR procesa, uitavaju se svi podaci o konfiguraciji, kao to su: rezolucija ekrana, prikazi direktorijuma, informacije o deljenim resursima itd. Verovatno ete otkriti da su informacije iz aktivnog imenika zastarele. Izrada rezervnih kopija informacija iz aktivnog imenika nema mnogo smisla ako u mrei imate nekoliko servera. Ukoliko postoje dodatni serveri, sve informacije se auriraju posle preslikavanja. Ako imate samo jedan server, kao prvo i osnovno, treba da se stidite! Posle toga moete odahnuti, sigurni da su sve informacije iz aktivnog imenika kopirane prilikom izrade potpune rezervne kopije pomou aplikacije Microsoft Backup. 12.2 Registar Registar je centralno skladite konfiguracionih podataka Windows Servera 2003, u njemu se uvaju informacije o operativnom sistemu, aplikacijama i korisnikom okruenju na samostalnim radnim stanicama i serverima lanovima (serverima koji nisu upravljai domena). U starijim verzijama operativnih sistema iz Microsoft familije, na primer u Windowsu 3.., veina konfiguracionih informacija uvala se u inicijalizacionim datotekama ili .ini datotekama. Ove datoteke bile su tekstualne i imale su odeljke u kojima su se uvale vrednosti raznih konfiguracionih parametara, na primer podaci o upravljakim programima, podaci o vezi aplikacija i dokumenata, parametri korisnikog okruenja i tako dalje. Windows aplikacije koriste .ini datoteke za uvanje svojih konfiguracionih parametara. U Windows Serveru 2003 i aplikacijama, .ini datoteke su ak i danas mehanizam koji se ponekad upotrebljava za uvanje podataka o korisniku, parametara aplikacija i konfiguracije operativnog sistema. Ako pregledate spisak .ini datoteka na svom disku, uveriete se u ovu injenicu. Iako omoguavaju jednostavno uvanje i oitavanje podataka, .ini datoteke imaju i neke nedostatke, koji se naroito ogledaju pri uvanju vanih konfiguracionih parametara operativnog sistema, na primer, podataka o upravljakim programima, konfiguracionih podataka, parametara korisnikog okruenja i tako dalje. Windows Serveru 2003 potreban je sistem za vodenje evidencije o konfiguracionim parametrima koji je otporan na greke kako bi se izbegla situacija kad sistem ne moe da se inicijalizuje zbog toga to je .ini datoteka oteena ili je nema. Ove informacije takoe treba da budu zatiene, to .ini datoteke ne mogu da obezbede. Baratanje svim parametrima potrebnim za podizanje i rad sistema Windows Server 2003, konfiguracionim parametrima aplikacija i parametrima vezanim za korisnika bilo bi veoma oteano ako bi .ini datoteke bile jedino reenje. Za te stvari, Registar je spas.U Windows Serveru 2003, u Registru se uvaju informacije o hardveru i softveru sistema koje se odnose i na operativni sistem i na aplikacije. U Registru se uvaju i podaci o korisnicima, u koje spadaju korisnika prava pristupa, parametri bezbednosne strategije, parametri korisnikog okruenja (svojstva radne povrine, direktorijum i tako dalje) i jo mnogo tota. Za razliku od Windowsa NT, Windows Server 2003 u Registru vie ne uva naloge korisnika i raunara niti podatke koji se odnose na mrene objekte. Ovaj posao sada pripada aktivnom imeniku. Vano je napomenuti da kada server promoviete u upravlja domena, svi parametri koji pripadaju serveru upravljau domena, na primer parametri radne povrine, prenose se u aktivni imenik. Ali kada upravlja domena proglasite serverom lanom, ne obnavljaju se originalni parametri iz Registra nego se vraate na prazan Registar (arobnjak za raalovanje" upravljaa domena e ak traiti novu lozinku administratora jer je originalni nalog izgubljen). Imajte to na umu kada upravlja domena razreavate dunosti", zato to aktivni imenik moe lako da preraste matini raunar na kome je bio instaliran. Na sledeoj listi objanjeni su naini na koji pojedine komponente menjaju sadraj Registara. Inicijalizacija sistema (Setup): Kada instalirate Windows Server 2003, Setup puni Registar na osnovu onoga to ste izabrali (ili onoga to se automatski bira) tokom instaliranja. Setup menja sadraj Registra kada se dodaje ili ukljanja hardver iz sistema. Inicijalizacija aplikacija (Application setup): Program za inicijalizaciju i pokretanje aplikacija obino menja sadraj Registra prilikom instaliranja aplikacije da bi zabeleio konfiguracione parametre aplikacije.Vrlo esto se Registar i oitava da bi se odredilo koje su komponente, ako ih ima, ve instalirane.

    Administriranje mrea Aplikacije: Aplikacije koje uvaju svoje parametre u Registru menjaju te parametre prilikom pokretanja, iskljuivanja ili pri normalnom radu, da bi se sauvale izmene parametara koje su nainili korisnici ili same aplikacije. Ntdetect: Program Ntdetect.com izvrava se tokom pokretanja sistema u cilju detekcije hardvera i prikljuenih periferijskih uredaja. Ovaj program upisuje u Registar podatke o hardveru i uredajima da bi ih koristio u narednim koracima pokretanja sistema za inicijalizaciju upravljakih programa za prepoznate uredaje. Jezgro (Kemel): Jezgro operativnog sistema Windows Server 2003 oitava Registar pri pokretanju sistema da bi odredilo koje upravljake programe treba da uita i kojim redom, i uitava druge inicijalne parametre upravljakih programa. Upravljaki programi: Veina upravljakih programa uva svoje konfiguracione i radne parametre u Registru. Upravljaki programi, oitavaju Registar pri inicijalizaciji, a potom se uitavaju i izvravaju na osnovu tih parametara. Sistem: Operativni sistem Windows Server 2003 kao celina u Registru uva podatke o uslugama, instaliranim aplikacijama, vezama izmedu dokumenata i OLE (Object Linking and Embedding) vezama, mrei, parametrima korisnika i drugim svojstvima. Alatke za administriranje: Jedna od glavnih funkcija uslunih programa kakvi su Control Panel i razne MMC konzole i samostalnih uslunih programa za administriranje, jeste izmena Registra. U ovom kontekstu, ti usluni programi nude korisniki interfejs za izmenu Registra. Editor Registra: Windows Server 2003 ima usluni program regedit.exe, pomou koga moete da pregledate i direktno menjate sadraj Registra. Iako ete veinu izmena Registra uglavnom obavljati u drugim uslunim programima, editor Registra je ipak potreban jer omoguava direktne izmene, selektivnu izradu rezervne kopije Registra i drugo. Registar je ,,mozak" mnogih funkcija operativnog sistema Windows Server 2003. Skoro sve aktivnosti operativnog sistema pod uticajem su Registra ili utiu na Registar. Zato je vano ne samo da znate kako Registar funkcionie i kako da ga promenite, nego i kako da ga zatitite od katastrofa i neautorizovanog pristupa U narednim odeljcima objanjena je struktura Registra i kako se njime upravlja. 12.2.1 Struktura Registra Registar formira hijerarhijsku bazu podataka (stablo) s pet osnovnih grana koji s zovu ogranci. Ogranci mogu da sadre odrednice (keys), koje imaju ulogu kontejnera pododrednica i stavki. Pododrednice su ogranci odrednica. Stavke su parametri odrednice ili pododrednice. Postoje dva fizika ogranka u Registru Windows Servera 2003: HKEY_LOCAL_MACHINE i HKEY_USERS. Prvi sadri parametre sistema i hardvera, a drugi sadri podatke o korisnikim parametrima. Ova dva fizika ogranka podeljena su na pet logikih ogranaka koji se vide u editoru Registra. Organizacija Registra u pet logikih oznaka olakava kretanje po Registru i razumevanje njegove logike strukture. HKEY_LOCAL_MACHINE: U ovom ogranku, koji se esto skraeno oznaava sa HKLM, uvaju se parametri specifini za lokalnu mainu, kojima se definiu hardver i svojstva operativnog sistema. Ti parametri ne zavise od toga koji je korisnik prijavljen na sistem. Na primer, stavke u HKLM-u definiu upravljake programe, memoriju, instalirani hardver i nain pokretanja sistema. HKLM ima sledee pododrednice: HARDWARE: U ovoj odrednici uva se fizika hardverska konfiguracija rcu nara. Windows Server 2003 formira ovu odrednicu posle svake uspene ini cijalizacije i pokretanja sistema, ime se postie aurnost hardverske konfiguracije. SAM: Odrednica Security Account Manager (SAM) uva bezbednosne podatke o korisnicima i grupama lokalne maine. SECURITY: U ovoj odrednici uvaju se podaci koji definiu lokalnu bezhed-nosnu strategiju. SOFTWARE; U ovoj odrednici uvaju se podaci o instaliranim programima. SYSTEM: U ovoj odrednici uvaju se podaci o parametrima za pokretanje sistema, upravljakim programima, uslugama i drugi parametri na nivou sistema. Kada se odredeni parametri pronadu u odrednici HKCU, njihove vrednosti preina-avaju vrednosti iz odrednice HKLM za tekueg korisnika (ali to ne vai za sve para-metre). Ako odgovarajui parametri ne postoje u odrednici HKCU, koriste se oni iz odrednice HKLM. Za pojedine stavke, kao to su upravljaki programi, uvek se koriste podaci iz odrednice HKLM, ak i ako se nalaze i u odrednici HKCU. HKEY_CLASSES_ROOT: Ovaj ogranak (skraeno HKCR) sadri podatke o vezama datoteka - na primer definie vezu tipa dokumenta s njegovom roditeljskom aplikacijom i definie akcije koje se

    Administriranje mrea izvravaju nad datim tipom dokumenta da bi se obavili razni poslovi (otvori, izvri, uredi i tako dalje). Ovaj ogranak se sastoji od podogranaka HKLM\SOFTWARE\Classes i HKEY_CURRENT_USER\SOFTWARE\Classes, pri emu vrednosti iz HKCU-a imaju prednost. HKCR omoguava registraciju klasa specifinih za svaki raunar i svakog korisnika - svaki korisnik moe imati svoju klasu. Ovakva registracija klasa po korisniku razlikuje se od prethodnih verzija Windowsa koje su omoguavale jedinstvenu registraciju podataka za sve korisnike. HKEY_CURRENT_USER: U ovom ogranku (HKCU) uvaju se parametri specifini za korisnika koji trenutno lokalno koristi sistem. Konfiguracioni podaci odnose se na parametre radne povrine i direktorijuma, mrenih veza i veza sa tampaem, promenljive okruenja, meni Start, aplikacije i druge podatke kojima se definiu korisnikovo radno okruenje i korisniki interfejs. Ovaj ogranak zapravo je alijas (pseudonim) za HKEY_USERS\SID gde je SID bezbednosni ID datog korisnika. Drugim reima, HKCU uka-zuje na odrednicu Registra u HKLJ gde se uvaju registarski podaci o trenutno pri-javljenom korisniku. Ova odrednica sadri sledee pododrednice: AppEvents: Ova pododrednica sadri podatke o vezi izmedu aplikacija i doga-daja, na primer zvune signale pridruene pojedinim dogadajima. Za izmenu parametara ove odrednice koriste se objekti Sounds i Multimedia iz Control Panela. Console: Ova pododrednica sadri podatke koji definiu pojavljivanje i pona-anje komandne konzole (komandnog odzivnika) operativnog sistema Win-dows Server 2003 i aplikacija koje rade u znakovnom reimu. Za definisanje parametara u ovoj odrednici koristi se aplikacija ili meni Control komandne konzole. Control Panel: Ova odrednica sadri podatke koji se obino podeavaju preko apleta Control Panela. Environment: Ova odrednica sadri promenljive okruenja dodeljene trenut-nom korisniku. Identities: Ova odrednica sadri podatke o identitetu pojedinanih korisnika: ID broj poslednjeg korisnika, korisniko ime poslednjeg korisnika, podatke o identifikaciji koji se odnose na odredene aplikacije, na primer Outlook Express, adresar i tako dalje. Keyboard Layout: Ova odrednica sadri podatke o rasporedu na korisnikovoj tastaturi i preslikavanju tastera za medunarodne parametre. Za promenu poda-taka u ovoj odrednici koristi se objekat Regional Options u kontrolnom panelu. Network: U ovoj odrednici uvaju se podaci o mrenim vezama korisnika Printers: Ovde se uvaju podaci o korisnikovim vezama sa tampaima. RemoteAccess: U ovoj odrednici uvaju se podaci o korisnikovom InterrK profilu i parametrima veza koje se ostvaruju preko telefonskih linija. Software: U ovoj odrednici uvaju se podaci o aplikacijama koje je korisi ! instalirao. UNICODE Program Groups: Ova odrednica sadri podatke o korisnikovoj UNICODE programskoj grupi i obino je prazna. Volatile Environment: Ova odrednica sadri privremene podatke o radno okruenju, na primer korisnikov direktorijum za aplikacije (obino \Docu-ments i \Sett1ngs\t/5er\App11cation Data) i server za prijavljivanje. HKEY_USERS: U ovom ogranku (HKU) uvaju se podaci o profilu korisnika koji koriste raunar lokalno, i podaci o podrazumevanom korisniku za lokalni raunar. U odrednici HKU uvaju se podaci o profilima korisnika koji se prijavljuju lokalno na raunar i podaci o podrazumevanom korisniku lokalnog raunara. Ova odrednica sadri pododrednice za svakog korisnika iji se profil uva na raunaru i odrednicu za podrazumevanog korisnika (.DEFAULT). Praktino je nemogue identifikovati kori-snika pomou njegovog SID broja, ali ionako ete podatke u ovoj odrednici menjati samo pomou administrativnih alatki za modifikovanje Registra. Ako ipak morate da menjate ove parametre direktno, koristite odrednicu HKCU. HKEY_CURRENT_CONFIG: U ogranku HKCC uvaju se podaci o hardverskoj konfiguraciji lokalnog raunara utvrdeni prilikom inicijalizacije i pokretanja sistema; tu spadaju podaci o dodeljivanju ureaja, upravljakim programima i tako dalje. Ovaj ogranak je alijas za HKLM\SYSTEM\CurrentControlSet\HardwareProfiles\Current. Svaki navedeni ogranak naziva se grana Registra (hive). Microsoft definie granu Registra kao telo sastavljeno od odrednica, pododrednica i vrednosti, ukorenjeno na vrhu hijerarhije Registra. Jedna grana Registra sadri dve datoteke: Datoteku Registra, koja se najee uva u direktorijumu systemroot\System32\Config. Ova datoteka sadri strukturu Registra i njegove parametre za datu granu. Dnevnik koji se uva u istom direktorijumu. Ova datoteka predstavlja dnevnik transakcija za sve modifikacije u datoteci grane Registra.

    Administriranje mrea Windows Server 2003 koristi proces poznat pod imenom ispiranje (flushing) da bi obezbedio pouzdanu, radnu kopiju Registra u bilo kom trenutku. Ispiranje predstavlja zatitu od nedovrenih pokuaja izmene Registra. Pokuaji izmene Registra, po isteku zadatog broja sekundi ili kada aplikacija koja je pokuala izmenu eksplicitno zahteva, ne upisuju se u Registar nego se "ispiraju" ili snime na disk Sada emo objasniti ispiranje za sve grane osim za granu SYSTEM (HKLM\SYSTEM) 1. Izmenjeni podaci upisuju se u datoteku dogaaja grane Registra da bi se mogli rekonstruisati ako se sistem zaustavi ili otkae pre nego to se podaci upiu u datoteku Registra. 2. Datoteka dogaaja se ispira posle uspenog auriranja dnevnika. 3. Windows Server 2003 oznaava prvi sektor u datoteci Registra da bi ukazao da je u toku izmena (da je Registar ,,prljav"). 4. Izmene se upisuju u datoteku Registra. 5. Ako se operacija upisivanja uspeno zavri, prvi sektor se modifikuje tako da ukazuje na to da je izmena zavrena (da je Registar ist"). Kada oitava datoteke grana da bi konstruisao Registar, Windows Server 2003 proverava status svake datoteke. Ako je sistem otkazao tokom prethodne akcije auriranja Registra. datoteka Registra ostaje oznaena kao ,,prljava". U takvim okolnostima, Windows Server 2003 pokuava da oporavi datoteku Registra koristei dnevnik. Promene identifikovane u dnevniku primenjuju se na datoteku Registar i ako se to uspeno zavri, datoteka se proglaava ,,istom". Od toga da li imate rezervnu kopiju Registra zavisi da li ete moi da oporavii sistem posle otkazivanja. Iako Windows Server 2003 obezbeuje upravljanje datotekama grana Registra koje je otporno na greke, trebalo bi da uvedete i dodatin procedure kojima bi se obezbedile validne, radne kopije Registra. Va sistem moe imati i druge odrednice, zavisno od konfiguracije servera. 12.2.2 Editor Registra Windows Server 2003 ima jedan editor Registra, regedit. exe, pomou koga moete pregledati i menjati Registar. Windows 2000 i prethodne verzije Windowsa NT imale su dodatni editor Registra, regedt32.exe. On je imao neke mogunosti koje su nedostajale editoru regedit.exe. Sve mogunosti su spojene (konano!) u jedan editor. Editor omoguava da se poveete s Registrom na udaljenom raunaru i da ga pregledate i menjate. Pre nego to ponete da vrljate po Registru, treba da znate dve stvari: pre izmena valja obezbediti ispravnu rezervnu kopiju Registra i treba da budete paljivi, jer promene nekih vrednosti u Registru mogu onemoguiti pokretanje sistema. Zbog toga je rezervna kopija Registra toliko vana. I jo neto: pre nego to ponete da se igrate sa editorima Registra, imajte na umu da veinu izmena, bilo da se one odnose na sistem, korisnika, usluge, aplikacije ili druge objekte, treba da unosite primenom administrativnih alatki za dati objekat. Editore Registra bi trebalo koristiti samo za izmene koje se ne mogu izvriti pomou administrativnih alatki. 12.3 Evidentiranje dogaaja u Windows Serveru 2003 Evidencija dogaaja omoguava beleenje svih dogaaja u Windowsu 2003 u cilju kontrolisanja pristupa sistemu i osiguravanja bezbednosti sistema. To je znaajna alatka za osiguravanje bezbednosti, ali moe da preoptereti server ako se nepravilno konfigurie i koristi. U ovom poglavlju objanjavamo kako i zato treba da realizujete evidentiranje dogaaja i dajemo neke savete o tome kako da ga konfiguriete i koristite. Treba imati uvek u vidu da je evidentiranje dogaaja samo jedno oruje u vaem bezbednosnom arsenalu. Jo je znaajnije zakljuavanje servera, primena zatitnih barijera i druge alatke za upravljanje bezbednosnim sistemom. 12.3.1 Pregled evidencije dogaaja U Windowsu 2003, evidencija dogaaja obezbeuje praenje dogaaja i vana je sa aspekta bezbednosti pojedinanih raunara i celog preduzea. Microsoft definie dogaaj kao znaajnu pojavu u operativnom sistemu ili aplikaciji, o kojoj korisnici, posebno administratori, treba da budu obaveteni. Dogadaji se belee u dnevnike dogaaja (event logs) kojima moete baratati pomou modula konzole Event Viewer. Evidencija dogaaja omoguava da pratite odreene dogaaje. Preciznije reeno, evidencija dogaaja omoguava da beleite uspene ili neuspene pokuaje odigravanja odreenih dogaaja. Na primer, moete da kontroliete pokuaje prijavljivanja na sistem tako to ete beleiti ko se uspeno prijavio (i kada) i ko nije uspeo da se prijavi na sistem. Ili moete da pratite pristupanje objektu datog direktorijuma ili datoteke, tako to ete naloiti sistemu da evidentira ko ih je koristio i koje je poslove nad njima izvravao. U Windowsu 2003 moete izabrati odgovarajuu opciju i pratiti nekoliko

    Administriranje mrea kategorija dogaaja. U sledeoj listi navedene su te kategorije dogaaja i opisano je ta vam one omoguavaju da uradite: Account logon events: Belei se prijavljivanje i odjavljivanje korisnika preko korisnikih naloga. Account management: Belei se kada je otvoren korisniki ili grupni nalog, kada je nalog promenjen ili izbrisan, kada mu je promenjen naziv, kada je dozvoljen ili zabranjen, kada je zadata ili promenjena lozinka. Directory service access: Belee se pristupi aktivnom imeniku. Logon events: Belee se prijave sa daljine na sistem, na primer korienje resursa preko mree ili prikljuivanje udaljenih usluga preko lokalnog naloga System. Object access: Belei se kada se pristupilo odreenom objektu i koji je tip pristupa primenjen. Na primer, prati se upotreba direktorijuma, datoteke, tampaa i tako dalje. Evidentiranje odreenih dogaaja konfigurie se podeavanjem svojstava objekta (primer:preko kartice Security za direktorijum i datoteku). Policy change: Prate se promene prava korisnika i strategija evidentiranja dogaaja. Privilege use: Prati se kada je korisnik pokuavao da koristi prava koja mu nisu dodeljena prilikom prijavljivanja na sistem i odjavljivanja. Process tracking: Prate se dogaaji koji se odnose na izvravanje procesa, kao izvravanje programa. System events: Belee se sistemski dogadaji: resetovanje sistema, pokretanje sistema, iskljuivanje sistema i dogaaji koji utiu na bezbednost sistema ili dnevnik bezbednosti. Unutar svake kategorije nai ete nekoliko razliitih tipova dogaaja - neki su opti a neki specifini za objekat ili dogaaj koji se prati. Na primer, kada pratite pristup Registru, dogaaji su veoma specifini i odnose se samo na Registar. Zato u ovom poglavlju neemo opisivati sve dogaaje koji se mogu pratiti, nego emo objasniti kako da omoguite i konfiguriete praenje dogaaja, pogledaemo specifine sluajeve i videti kako praenje poboljava bezbednost i nadgledanje u tim sluajevima. 12.3.2 Konfigurisanje evidencije dogaaja Evidentiranje dogaaja moe da se konfigurie u jednom ili u dva koraka, to zavisi od tipa dogaaja koji se prate. Za sve kategorije, osim kategorije pristupa objektu, omoguavanje evidencije dogaaja podrazumeva samo definisanje strategije praenja za datu kategoriju. Za praenje pristupa objektu potreban je jo jedan korak - konfigurisanje praenja dogaaja za konkretne objekte. Na primer, time to ete omoguiti praenje za strategiju, Audit object access, neete postii da se prate dogaaji vezani za bilo koji direktorijum ili datoteku. Treba da konfiguriete pojedinano svaki direktorijum i datoteku da biste pratili dogaaje koji su za njih vezani. Pre nego to ponete da pratite odreene dogaaje, treba da omoguite praem kategorije kojoj dogadaji pripadaju. Praenje dogaaja moete da konfiguriete preko lokalne bezbednosne strategije raunara, preko grupne strategije ili na oba naina. Ako je definisana strategija za evidenciju dogaaja na nivou domena, ona nadjaava lokalnu strategiju evidencije dogadaja. U ovom poglavlju podrazume se da se evidencija dogaaja konfigurie preko bezbednosne strategije domena Ukoliko treba da konfiguriete evidenciju dogaaja preko lokalne strategije, koristite konzolu Local Security Policy. Da biste konfigurisali evidentiranje dogaaja preko sigurnosne strategije domena, treba uraditi sledee: 1. Izaberite Start/Administrative Tools/Domain Security Policy. 2. Otvorite granu Local Policies/Audit Policy. 3. Dvaput pritisnite strategiju da bi se prikazali njeni parametri. Moete da omoguite praenje i uspenih i neuspenih akcija u odabranoj kategoriji. Moete, na primer, pratiti uspeno prijavljivanje na sistem da biste otkrili ko je koristio dati sistem i kada. Pratite neuspeno prijavljivanje na sistem da biste otkrili pokuaje neovlaenog pristupa. 4. Izaberite Success, Failure ili obe opcije, pa pritisnite OK. Kada konfiguriete sve porebne kategorije, zatvorite konzolu Security Policy. Ako konfiguriete pristup objektu, pogledajte sledei odeljak. U protivnom, dogaaji koji se prate poee da se pojavljuju u dnevniku Security. Proverite da li ste veliinu ovog dnevnika i ponaanje pri prekoraenju veliine uskladili sa dogaajima koji se prate. Dnevnik dogaaja moete konfigurisati i pregledati pomou konzole Event Viewer, koja se nalazi u direktorijumu Administrative Tools. Drugi korak u konfigurisanju praenja pristupa objektu jeste omoguavanje praenja pojedinanih objekata koje treba nadgledati. Ti objekti mogu biti direktorijumi, datoteke, odrednice Registra i tako dalje. Objekte konfiguriete tamo gde ih nalazite u korisnikom interfejsu - direktorijume i datoteke u Exploreru, tampae u direktorijumu Printers a odrednice Registra u editoru Regedit.Tipovi dogaaja koje moete da pratite za dati objekat zavise od samog objekta. Na primer: dogaaji vezani za pristup datoteci

    Administriranje mrea razlikuju se od dogaaja vezanih za pristup odrednicama Registra. Da biste konfigurisali evidenciju dogaaja za direktorijum ili datoteku, pratite sledee korake: 1. Otvorite Windows Explorer i izaberite direktorijum ili datoteku. Pritisnite objekat desnim tasterom pa izaberite Properties da biste otvorili list za podeavanje parametara objekta. 2. Pntisnite dugme Security,a zatim Advanced da bi se otvorio okvir za dialog Advanced Security Settings. 3. Pritisnite jeziak Auditing okvira za dijalog Advanced Security Settings - prikazae se strana Auditing, a zatim pritisnite Add. Izaberite korisnika, raunar ili grupu koje hoete da pratite pa pritisnite OK. Windows 2003 e prikazati okvir za dijalog objekta u kome se nalazi lista dogaaja koje moete pratiti za izabrani objekat. Vie podataka o kontrolisanju i nadgledanju pristupa tampau nai ete u poglavlju 28. 4. Izaberite Successful ako elite da beleite uspeno zavrene dogadaje. Izaberite Failed da biste nadgledali neuspene pokuaje. Opcijom Apply These Auditing Entries to Objects and/or Containers Within This Container Only postiete da praenje dogaaja vai samo za sadraje izabranih kontejnera (na primer, za datoteke u izabranom direktorijumu). Ako ne izaberete ovu opciju, bie praeni dogaaji i za objekte iz poddirektorijuma. Ukoliko ste zadovoljni izabranim dogadajima, pritisnite OK. Kada definiete strategiju evidentiranja dogaaja za izabrani objekat, imajte na umu da postoji mogunost da se generie veliki broj dogaaja u dnevniku Security. Ako nemate naroite razloge za beleenje uspeno zavrenih dogaaja, pratite samo neuspene dogaaje da biste smanjili broj obraanja dnevniku i optereenje raunara. Praenje dogaaja neuspelog pristupa obino je najkorisnije reenje za detektovanje pokuaja neovlaenog pristupa. Da biste u listi dodali druge korisnike, grupe ili raunare, primenite isti postupak. U okviru za dijalog Advanced Security Settings (slika ) nai ete dve opcij koje kontroliu kako roditeljski objekat utie na praenje elementa i kako praenje utie na objekte potomke. Allow Inheritable Auditing Entries from the Parent to Propagate to This Object and All Child Objects: Izaberite ovu opciju ako hoete da objekat nasledi parametre za praenje od roditeljskog objekta. Da biste spreili nasledivanje parametara, ponitite ovu opciju. Replace Auditing Entries on All Child Objects with Entries Shown Here That Apply to Child Objects: Izaberite ovu opciju da biste ponitili parame-tre evidencije dogadaja konfigurisane unutar objekata potomaka (na primer poddirektorijumi) i omoguili da parametri evidencije dogadaja za tekui objekat budu preneseni do objekata potomaka. Kada zavrite definisanje strategije praenja za dati objekat, zatvorite prozor za podeavanje svojstava objekta. Evidentiranje dogadaja poinje odmah. 12.3.3 Analiza izvetaja o evidenciji Windows 2003 belei dogadaje u dnevnik Security. Za pregledanje dnevnika koristite modul konzole Event Viewer. Pomou ovog modula moete i snimiti dnevnike u datoteke koje ete kasnije pregledati, ili u datoteke formatirane pomou tabulatora ili zareza. Pomou ove konzole pregledaete dnevnike Security, Application i System, te druge dnevnike koje formiraju usluge i aplikacije Windowsa 2003. U podrazumevanom stanju, Event Viewer prikazuje dnevnike dinamiki, to znai da se nove aktivnosti doaju u dnevnik i dok ga vi pregledate. Dnevnik moete da snimite na disk da biste ga koristili kao referencu ili da biste ga arhivirali pre nego to ga izbriete. Na slici je prikazan dnevnik Security u Event Vieweru. Event Viewer omoguava konfigurisanje i pregledanje dnevnika dogaaja. Budui da dnevnik moete snimiti u tekstualnu datoteku, za pregledanje dnevnika moete koristiti i druge aplikacije. Na primer, snimite dnevnik u datoteku u kojoj se za razdvajanje koristi zarez. Datoteka takvog tipa moe se uvesti u Microsoft Access ili u neku drugu aplikaciju za rad sa bazama podataka i od nje se moe formirati baza i sortirati po ID broju dogaaja, izvoru dogaaja i tako dalje.Ili moete da izvezete podatke

    Administriranje mrea u tekstualnu datoteku koju ete uvesti u program za obradu teksta da biste napravili izvetaj. Samo treba da pazite jeste li izabrali aplikaciju koja uvozi datoteke u kojima se za razdvajanje koriste tabulatori ili zarezi i izvozi datoteku dnevnika u odgovarajuem formatu. Postoje i brojni alati drugih proizvoaa koje omoguavaju pregledanje dnevnika sistema. Alatka LogCaster firme RippleTech zasluuje posebnu panju. Mehanizam baratanja dnevnikom dogaaja je samo mali deo onoga to LogCaster moe. Ovaj program nudi uniforman interfejs za pregledanje dnevnika dogaja, ali slui i kao izvrstan sistem za upozoravanje administratora. LogCaster omoguava nadgledanje dnevnika dogaja, usluga, TCP/IP ureja, indikatora performansi i ASCII dnevnika u realnom vremenu. Omoguava automatsku dojavu alarma preko razliitih mehanizama u koje spadaju pejder, elektronska pota, ODBC, SNMP i drugi Kad god se desi odreni dogaj, LogCaster vas automatski obavetava, bez obzira na to gde se nalazite. Bilo da treba pratiti performanse sistema, biti obaveten o praenim dogaajima ili upozoren na upade u sistem, LogCaster je odlino sredstvo Firma RippleTech nalazi se na Internetu, na adresi www. rippletech. com. 12.3.4 Strategije evidentiranja dogaaja Moete da evidentirate svaki dogaaj, ali to je nepraktino zato to time mnogo optereujete sistem. Na kraju ete imati enormno veliku datoteku dnevnika ili ete gubiti silno vreme na arhiviranje dnevnika. U narednim odeljcima opisane su specifine situacije i primena evidencije dogadaja na njih. 1. Iskljuivanje evidencije dogaaja - Prva opcija je da uopte ne ukljuujete evidenciju dogadaja, to u nekim okolnostima i nije tako loe. Ako vas ne brine bezbednost sistema, nema mnogo razloga za evidentiranjem dogaaja. Iskljuivanjem evidencije dogadaja smanjuje se optereenost sistema i pojednostavljuje rukovanje dnevnicima. Ipak, mnoga preduzea vode (ili bi trebalo da vode) rauna o bezbednosti, bar u izvesnoj meri, pa im ova opcija verovatno ne odgovara. 2. Ukljuivanje evidencije svih dogaaja- S druge strane skale nalazi se kompletna evidencija dogaaja. Ako vam je bezbednost veoma vana ili vam je cilj sertifikat o bezbednosti, primenite ovu opciju. Ipak, imajte na umu da e sistem verovatno generisati ogroman broj dogaaja koji zahtevaju veoma aktivno baratanje dnevnikom bezbednosti. Kao alternativu evidentiranju svih dogaaja, razmotrite mogunost beleenja samo neuspenih pokuaja. 3. Evidentiranje problematinih korisnika - Neki korisnici, iz ovog ili onog razloga, postanu administratorova najgora nona mora. U pojedinim sluajevima, krivica nije direktno korisnikova, ve nastaje usled problematine definicije profila korisnika, naloga i tako dalje. U nekim sluajevima, krivac je korisnik jer esto upotrebljava pogrene lozinke, netano otkucava ime naloga, pokuava da se prijavi na sistem u vreme kada mu to nije dozvoljeno ili ak pokuava da pristupi resursima za koje nema dozvolu (ili koje njegov posao ne zahteva). U takvim okolnostima, valja nadgledati akcije datog korisnika i moda ak treba zadrati podatke radi savetovanja ili ukidanja naloga. Tipovi dogaaja koje ete pratiti za konkretnog korisnika ili grupu zavise od vrste problema. Na primer, pratite prijavljivanje na sistem ako korisnik ima problema s prijavljivanjem ili pokuava da se prijavi u nedozvoljeno vreme. Pratite pristup objektima kada korisnik ili grupa pokuavaju da pristupe resursima kao to su direktorijumi i datoteke. Prilagodite ostala praenja specifinim poslovima i dogaajima koje korisnik ili grupa izvravaju. 4. Praenje administratora - Evidencija dogaaja vezanih za administratora je pametan potez, ne samo zato da bi se pratilo ta administratori rade, nego i da bi se otkrilo neovlaeno korienje dozvola administratora. Imajte na umu da evidentiranje dogaaja utie na performanse sistema. Razmotrite evidentiranje dogaaja kao to su prijavljivanja preko naloga, baratanje nalozima, promena strategije i korienje dozvola administratora samo ako sumnjate na neku osobu. Bolje je da administratore kontoliete primenom delegiranja i pametnom primenom grupa i organizacionih jedinica. 5. Evidentiranje dogaaja vezanih za vane datoteke i direktorijume - Jedna od estih primena evidentiranja dogadaja jeste praenje pristupa vanim datotekama i direktorijumima. Osim praenja najobinijeg pristupa, verovatno ete eleti da pratite kada korisnici pokuavaju da unesu odredene promene na objektu, na primer Change Permissions i Take Ownership. To pomae nadgledanje izmena na direktorijumu ili datoteci koje mogu uticati na bezbednost.

    Administriranje mrea 12.4 Nivo uslunosti Prva testiranja Windows Servera 2003 pokazuju da je to moan operativni sistem za izvravanje serverskih aplikacija. Mnogim korisnicima Windowsa NT i Windowsa 2000 dopae se poveanje brzine operativnog sistema koje se uoava od trenutka ukljuivanja maine i pokretanja operativnog sistema. Time su na plea administratora Windowsa 2003 stavljeni veliko breme i odgovornost - oni moraju da obezbede maksimalnu raspoloivost sistema. U ovom poglavlju razmatramo nivo uslunosti i uvodimo vas u praenje performansi Windows 2003 Servera. Microsoft je imao cilj da Windows Server 2003 prilagodi svim nivoima poslovanja i firmama svih veliina. Svaki sistem, server ili OS ima svoju taku topljenja, slabo mesto, otkaznu taku (single point offailure, SPOF), ,,granicu elastinosti" i tako dalje. Znati, ili bar proceniti, koliko smo daleko ili blizu take topljenja mnogo je sloenije od pukog posedovanja sistema koji obeava visoku raspoloivost. Verujte nam, loe upravljanje moe svaki sistem i uslugu da pretvori u nonu moru zvanu nizak nivo uslunosti. Windows Server 2003, bez ikakvih dodatnih ulaganja, ima vie ugraenih funkcija nego bilo koji drugi operativni sistem, to e u ovom poglavlju biti i pokazano. Po naim proraunima, Windows Server 2003 ima najbolji odnos izmedu cene i performansi (kada se bez dodataka podvrgne nadgledanju performansi). Zato e u budunosti dosta da se govori o jednom novom pojmu mrenih operativnih sistema a to je ugovorom o nivou uslunosti (service leuel agreement, SLA). Pre nego to nastavimo da govorimo o ugovoru SLA, trebalo bi da definiemo nivo uslunosti i da vidimo kako se on ostvaruje u Windowsu 2003. Nivo uslunosti (service level, SL) jeste sposobnost da se upravlja informacionim tehnologijama i sistemima na nain koji obezbeduje odravanje konsistentnog, maksimalnog nivoa raspoloivosti i minimalnog nivoa otkaza sistema. Mnoga preduzea shvataju SL kao obezbeenje i kontrolu kvaliteta (QA/QC). Iz primera koji slede sve e biti mnogo jasnije. Primer 1: Rukovodstvo dolazi kod direktora IT sektora s poslovnim planom za iznajmljivanje aplikacija (ASP). Oni kau: ,,Ako kupci mogu da iznajme aplikaciju preko pouzdanih Internet veza, ija brzina nee biti manja od x, zaboravie na nabavku aplikacija iz IT budeta i opredeliti se za korienje resursa izvan svoje firme. Pomou ASP-a, na centar za mrene operacije, koji je veoma razvijen, i naa farma servera mogu da se koriste za takve poslove. Ako dovoljno veliki broj kupaca bude iznajmljivao aplikacije, ASP e donositi profit." Da bi ovaj poslovni plan mogao da se realizuje, ASP serveri i aplikacije moraju biti na raspolaganju muterijama od 7 ujutru do 9 uvee. Tokom jednog dana, prekid rada sistema moe da traje samo 0,09 procenata vremena. Sve preko toga je neprihvatljivo, jer e muterije izgubiti poverenje, odustati od iznajmljivanja i vratiti se na kupovinu aplikacija. Ovom poslovnom planu potrebna je podrka sektora za IT koji treba da obezbedi da sistem ne bude van upotrebe due od 0,09 procenata radnog vremena. Osim raspoloivosti, i odziv sistema je vaan faktor. I tim problemom se bavi QoS u SL-u. Primer 2: Rukovodstvo zahteva od sektora za informatiku da sistem za naruivanje, koji inae funkcionie tako to se narudbine alju putem faksa a inovnik runo obraduje podatke, prebaci na ekstranet. Dosadanja praksa podrazumeva da zastupnik odlazi do muterije, uzima porudbinu i potom je faksom alje u firmu, gde se porudbine runo unose u sistem. U novom sistemu, kupci bi bili opremljeni jeftinim terminalima i direktno naruivali preko svojih naloga na Web serveru. Sektor za informatiku mora obezbediti da Web serveri i sistemi za podrku - SQL Server 2000, Windows Server 2003, BizTalk 2002 Server, WAN itd. - budu dostupni sve vreme. Ako sistem ne bude na raspolaganju kada kupac naruuje, kupac e se ponovo maiti telefona i faksa, ili e naruiti kod konkurencije. Sistem mora biti pouzdan, informativan i mora zadovoljiti potrebe kupca tako to e ovaj postupak biti potpuno automatizovan (automatsko slanje elektronskih poruka za potvrdu narudbine i sav ostali sjaj koji prati interaktivnu kupovinu). U prvom primeru, verovatno e biti potreban zvanian ugovor o nivou uslunosti Drugim reima, taj ugovor e biti u vidu pisanog dokumenta koji potpisuju klijenti i dobavljai usluge. Kupac zahteva daASP obezbedi potpisane garancije da e sistem biti raspoloiv 99,9 procenata vremena. Kupac zahteva ovakav ugovor jer ne sme dozvoliti da usred aplikacije za naruivanje, ili slanja poslovnog pisma, ASP odjednom nestane. Kupac moda moe da tolerie izvestan nivo nedostupnosti, ali ako nivo uslun sti padne ispod te granice tolerancije, kupac mora imati naina da dobije odtetu ( ASP-a. Oteeni kupac moe da stekne pravo da raskine ugovor ili se ASP moe LIL^ vorom obavezati da e plaati penale (u vidu novane kazne, obaveze da smanji c* ' usluga, obaveze da se odrekne mesene pretplate i tako dalje). Ugovor o nivou usr nosti moe da sadri razne opcije, a ako ASP ne moe da ga ispuni, krivica pada sektor za informatiku.

    Administriranje mrea U drugom primeru, vrlo verovatno nee biti potpisan zvanini ugovor izmeu kupca i dobavljaa. Ugovori o nivou uslunosti verovatno e u ovom sluaju biti zapisnici o dogovoru izmeu sektora za informatiku i rukovodstva drugih sektora. IT sektor e se obavezati da omogui izvestan nivo raspoloivosti za odreeni poslovni model ili plan. Pri sklapanju ovakvih ugovora, obino IT sektor insistira na pisanoj formi da bi se ugovor mogao staviti na teret budeta i traiti novac za sisteme i softver koji su potrebni da bi se ispunile ugovorene obaveze. Ugovor o nivou uslunosti moe da ide i na tetu IT sektora. Ako se obaveze i ugovora ne ispune, osoblje ili rukovodioci IT sektora mogu dobiti otkaz, biti raspreeni na manje znaajna mesta ili premeteni u druge sektore. Moe biti donet i odluka da se posao sektora za IT poveri specijalizovanoj firmi ili se ovaj sektor moe obavezati da angauje skupe konsultante (koji mogu i pomoi i odmoi). U IT prodavnicama koje sada podravaju nivo uslunosti za vane aplikacije margine za toleranciju greaka uopte ne postoje. Inenjeri koji ne mogu da pomognu IT sektoru da ispuni ugovor, ne zadravaju se dugo. Sigurno e se od ljudi koji konkuriu na ovakva mesta zahtevati visoko obrazovanje i ogromno iskustvo. Razumevanje sutine upravljanja nivoom uslunosti ( service leuel management, SLM) danas je osnovni zahtev u IT sektoru skoro svakog preduzea. Naveemo sada kljune inioce SLM-a o kojima se mora voditi rauna: Otkrivanje problema - Ovaj inilac zahteva od IT-a da stalno prati rad sistema kako bi unapred upozorh i i mogunost otkazivanja sistema. Koristite sve alatke za nadgledanje rada sistem.t koje se mogu nabaviti i usmerite panju na sve mogue take otkazivanja sistenia Na primer, obratite panju na potronju prostora na medijima za uvanje podata1 rad mree, memoriju, procesore, napajanja i tako dalje. Detektovanje problema slino je predvidanju zemljotresa. Sve vreme oslukujef tlo, a potres opet dode kada se najmanje nadate, na mestima gde ga najmanje o<v kujete. Kada se to desi, svi vai napori bie usmereni na oporavak od katastrofe Tada stupaju na scenu DR sistemi (engl. disaster recouery). Prema istraivanjima agencije Forrester Research, skoro 40 procenata resursa IT sektora koristi se za otkrivanje problema. Upravljanje performansama - Na upravljanje performansama otpada oko 20 procenata resursa IT sektora. Ovaj ini-lac je tesno povezan sa otkrivanjem problema. Loe performanse u oblastima kao to su mreni rad, vremena pristupa, brzine prenosa, obnavljanje i oporavak, obino uka-zuju na probleme koji se mogu reiti pre nego to izazovu katastroiu. Otkazivanje sistema najee prouzrokuju otkazi u drugom delu sistema. Na primer, ako vrsti disk preplavi talas kontinualnog upisivanja koji potraje dok disk ne otkae, pitanje je da 11 je to greka vrstog diska, kontrolera diska ili bi trebalo potraiti bolje programe za zatitnu barijeru (engl. fireivall). Pravi odgovor je: kombinujte sva tri inioca. Greka je nastala zbog loeg kva-liteta programa za zatitu - oni proputaju i podatke kojima nije odobren pristup. Ukoliko se to ponovi, morate da nabavite vrste diskove i SCSI kontrolere koji mogu mnogo due odolevati naletu. Raspoloivost - Ako ono to smo dosad naveli spada u preventivu, raspoloivost je inilac postoperativnog toka. Drugim reima, upravljanje raspoloivou obuhvata redundansu, preslikane ili duplirane sisteme, premoauanje otkaza 'i tako dalje. Obratite panju na to da smo naglasili izraz premoavanje otkazivanja; taj izraz oznaava preuzi-manje posla od sistema koji je otkazao. Grupisanje sistema ili uravnoteavanje optereenja, istovremeno su i naini za preventivnu zatitu od katastrofa i praktine metode za upravljanje nivoom perfor-mansi. Pomou sistema za upravljanje performansama moete da dovedete sistem do take koja je blizu praga ili maksimalnog nivoa, posle ega dodatne zahteve prebacujete na druge usluge ili resurse. Premoavanje otkazivanja je prebacivanje korisnika i procesa s maine ili procesa koji su upravo otkazali na mainu ili proces koji su za to namenjeni. Maine i procesi za premoavanje treba da omogue da se rad nastavi bez prekida. Dobar primer sistema za premoavanje su preslikani diskovi ili sistem RAID-5: otkazivanje jednog diska ne izaziva prekid rada nego se rad nastavlja na drugim diskovima koji nisu ni svesni otkazivanja; tako ostaje dovoljno vremena da se neispravne komponente zamene. 12.4.1 Arhitektura sistema za upravljanje nivoom uslunosti Pri upravljanju nivoom uslunosti kombinuju se razne alatke i analize da bi se ostvario zadovoljavajui nivo uslunosti i ispunile obaveze ugovora. SLM je model poznast kao model tronoca jer predstavlja model sa tri take oslonca. Noga koja predstavlja raspoloivost podrava model tako to garantuje raspolo-ivost vanih sistema. Noga koja predstavlja administriranje obezbeduje 24 x 7 ope-

    Administriranje mrea racija i odravanje. Noga koja predstavlja performanse zasluna je za sposobnost sistema da prua usluge poslovnim procesima i za odravanje sistema na bezbednoj udaljenosti od nivoa uskog gria i otkazivanja. Ako jedna noga otkae ili oslabi, stolica e se zaljuljati ili pasti, usled ega firma moe biti izloena riziku. Preduzea koja nastoje da raspoloivost sistema zadre na odredenom nivou, uvek imaju resurse koji omoguavaju brz oporavak od katastrofa. To obino podra-zumeva zapoljavanje strunjaka iji je jedini zadatak da to bre otklone problem. esto rukovodioci plaaju eksperta koji 95 procenata vremena ne radi nita. to moe da izgleda kao bacanje para. Medutim, ako je ta osoba u stanju da rei pro-blem u rekordnom roku, cena njegovog angaovanja zanemarljiva je u odnosu na dobit preduzea. esto se deava da strunjak oporavi sistem, koji bi u sluaju da ostane neakti van nekoliko dana, kotao kompaniju vie nego strunjakova plata. Ako se moe doi do eksperta koji je nenadmaan u oporavljanju sistema a i kvalifikovan da prat performanse i predvida probleme, suvino je i govoriti da preduzee treba svakako da ga angauje. Pedeset posto vei trokovi za platu takvog oveka sigurno e se isplatiti. Administriranje je napor koji ekipa strunjaka ulae da bi sistem u svakom tre nutku imao rezervne kopije, da bi izvori napajanja uvek bili aktivni, da bi sve poruk o grekama koje server prijavi bile uoene, da bi temperatura i cirkulacija vazduh. u serverskoj sobi uvek bile u dozvoljenim granicama i tako dalje. Administriranje obuhvata upravljanje SL budetom, zapoljavanje i otputanje, vodenje evidencij. i izvetavanje o ostvarenom nivou usluga i podnoenje izvetaja nadlenima. Poboljanjem performansi bave se analitiari koji znaju ta da trae u sistemu Oni dobijaju velike pare da bi pomagali rukovodstvu pri donoenju odluka (kako do se podre odredene poslovne inicijative, kako da se iskoriste ukazane prilike). Analitiari moraju da poznaju tehnologije i njihove mogunosti. Na primer, treba da znaju koje baze podataka valja koristiti, kako funkcionie RAID i koji nivo je potreban.Oni prikupljaju podatke,interpretiraju ih i da predvidaju potrebe. 12.4.2 SLM i Windows Server 2003 Klju za ispunjavanje zahteva SLM-a jeste zadovoljavajui arsenal SL alatki i tehnologija. Tu na scenu stupa Windows Server 2003. Grupisanje i uravnoteenje optereenja ukljueni su u Advanced Server i Datacenter Server, a alatke za praenje performansi i sistema i alatke za oporavak od katastrofa postoje u svim verzijamci operativnog sistema. Ove alatke su sutinski znaajne za SL. Ako ih nabavljate nezavisno od operativnog sistema, mogu da vas koaju itavo bogatstvo, a moda neete moi da ih integriete na istom nivou. Nedostatak takvih alatki bio je velika mana Windows NT 4.0 servera, ali u Windows Serveru 2003 te alatke nadmauju sve ostale. Mnogi konkurentski proizvodi, naalost, ne dolaze u obzir kada je u pitanju SLM. Cena alatki koje nude drugi proizvoai i integrisanja u neke druge operativne sisteme takva je da se njihova primena za SLM i ne razmatra. Alatke za nadgledanje Windowsa 2003 su sloene, ali rukovodioci vie nee tolerisati njihovo nepoznavanje jer sve vie kupaca zahteva uskladenost sa SL-om i ugovore o nivou uslunosti. U alatke za nadgledanje i praenje performansi u Windowsu 2003 spadaju: System Monitor Task Manager Event Viewer Quality of Service Windows Management Interface Simple Network Management Protocol (SNMP) Neemo se uputati u detaljno istraivanje SLM alatki koje se isporuuju s Win-dowsom 2003, niti emo objanjavati kako se one koriste. Takva analiza zauzela bi nekoliko stotina stranica, a to ne spada u okvir ove knjige. 1 nadgledanje perfor-mansi je jedna od usluga i infrastruktura za podrku koja se isporuuje uz Windows 2003; ovom uslugom ne moe se ovladati bez dosta truda, ali e podaci koji slede biti dovoljni za poetak. Arhitektura sistema za nadgledanje u Windowsu 2003 Windows 2003 prati ili analizira potronju prostora za uvanje podataka, memoriju, mree i obradu podataka. Ne zvui mnogo mudro, medutim, analiza podataka nije sama sebi svrha. Krajnji cilj nije da se sazna kako radi sama memorija, ili kako se odvija korienje diska, nego kako softverske komponente i funkcije koriste ove resurse. Ukratko, nije dovoljno rei samo da je izmedu trenutkax i trenutka y kori-

    Administriranje mrea eno 56 MB RAM-a. Vaa analiza treba da otkrije ko je koristio RAM u datom inter-valu i zato je toliko korien. Ako sistem stalno ostaje bez memorije, postoji velika verovatnoa da neka apli-kacija ,,krade" RAM. Drugim reima, aplikacija ili proces imaju greku i nekontroli-sano troe memoriju. To znai da program ne vraa memoriju (memorija ostaje zauzeta) posle upotrebe. Tvorci programa mogu da prate svoje aplikacije na ser-veru kako bi proverili da li oslobadaju memoriju posle upotrebe. ta ako gubite memoriju, a ne znate koja je aplikacija za to odgovorna? Ne tako davno, Windows NT serveri korieni na Internetu i u najmodernijim aplikacijama za rad sa elektronskom potom (vie od 100.000 elektronskih poruka na sat) jedno-stavno bi ostali bez memorije. Posle opsenog praenja sistema, mogli smo da kaemo da je uzrok ,,curenja" poslednja verzija biblioteke Winsock (koja je odgovorna za Internet komunikaciju na NT-u). Jo jedna firma u Evropi otkrila je problem s memorijom otprilike u isto vreme. Microsoft je kasnije izdao ,,zakrpu". Ispostavilo se da Winsock funkcije odgovorne za oslobadanje memorije nisu mogle da se izbore s brzim zahtevima na utinicama. Utinice su bile podeene za vee brzine od onih koje su Winsock biblioteke mogle da podre. Softverske komponente, usluge i niti u Windowsu 2003 toliko su brojne da je bukvalno nemogue kontrolisati desetine hiljada instanci korienja prostora za uvanje podataka, memorije, mree ili procesora. Da bi se postigla tako detaljna i raznovrsna analiza, Windows 2003 sadri ugra-dene programske objekte, pridruene uslugama i aplikacijama, koji mogu da sku-pljaju podatke u tim kritinim oblastima. Kada sakupljate podatke, fokus treba da bude usmeren na programske komponente raznih usluga operativnog sistema kojc su pridruene tim oblastima. Sistem prikuplja podatke sa upravljaa ciljnih obje-kata u svakoj oblasti praenja. Windows 2003 podrava dve metode sakupljanja podataka. Prva se zasniva na pristupu registarskim pokazivaima na funkcije u DLL-ovima indikatora performanss u operativnom sistemu. Drugi pristup podrava sakupljanje podataka pomou Win-dows Management Infrastructure (WMI). WMI je objektno orijentisani okvir koji omoguava instanciranje objekata performansi koji sadre funkcionalnost za praenje performansi operativnog sistema. OS instalira novu tehnologiju za oporavak podataka preko WMI-a. Ona je poznato kao upravljive objektne datoteke (engl. managed object files, MOFs). Ove datoteke odgovaraju resursima u sistemu ili su im pridruene. Objekata koji su predmet kon-trolisanja performansi ima previe da bi se ovde navodili, ali se oni mogu nai u priruniku Windows 2003 Performance Counters Reference, koji se nalazi na Windows 2003 Resource Kit CD-u. Tu spadaju osnovne usluge operativnog sistema, one koje izvetavaju o RAM-u, o funkcionalnosti datoteke za stranienje, o korienju fizikog diska, i napredne usluge operativnog sistema, kao to je aktivni imenik, Active Server Pages, FTP usluge, DNS, WINS i tako dalje. Da biste shvatili doseg i korienje objekata, korisno je da prvo razjasnimo neke podatke o performansama i izraze koji se koriste u analizi. Tri osnovna koncepta sii kljuna za razumevanje praenja performansi: propusna mo, redoui \ ureme odziva Kada shvatite ove pojmove, lako ete proiriti domet svoje analize i proraunati brzinu prenosa, vreme pristupa, kanjenje, toleranciju, pragove, uska grla itd. Brzina i propusna mo Propusna mo je koliina posla koja se izvri u jedinici vremena. Ako vae dete moe da sastavi 100 lego kockica za sat, moete rei da je njegova brzina sklapanjc, jednaka 100 kockica na sat, posmatrana u intervalu od x sati, pod uslovom da je brzina konstantna. Medutim, ako je brzina sastavljanja promenljiva zbog umora, gladi, edi i tako dalje, moe se proraunati propusna mo. Propusna mo raste s porastom broja komponenata, ili sa smanjenjem raspolo-ivog vremena za zavravanje posla. Protok zavisi od resursa, kao to su prostor i vreme. Protok sistema u celini jednakje protoku najsporije take u sistemu. Protok je pravi pokazatelj performansi. Memorija je resurs, prostor u kome se izvravaju instrukcije. Nema mnogo smisla da brzinu sistema poveate na milione instrukcija u sekundi, ako nema dovoljno memorije za uvanje informacija o instrukcijama. Red Ako date detetu da sastavi mnogo lego kockica, ili smanjite vreme za koje mora da sve isplanira i sastavi, broj delova e poeti da se gomila. Isto to se deava i s progra mima i IS rokovima, kada niti poinju da se slau, jedna za drugom, u red. Kada se reci uvea, kaemo da se pojavilo usko grlo. Praenje uskih grla u sistemu je klju za praenje performansi, otkrivanje i reavanje problema. Ako nema uskih grla, sistem se moe smatrati zdravim, ali usko grlo moe svakog asa poeti da se stvara.

    Administriranje mrea Redovi se mogu formirati i ako zahtevi za resursima nisu ravnomerno rasporedeni u vremenu. Ako je detetu potreban jedan minut da bi sklopilo jedan deo, i ako to vai za svaki minut i svaki deo, ono e sklopiti 60 delova za sat. Ali, ako dete 45 minuta ne radi nita, pa odjednom dobije inspiraciju, usko grlo e se pojaviti u poslednjih 15 minuta, jer preostale delove nee moi da sklopi u tom intervalu. Kada u raunar-skom sistemu ponu da se stvaraju redovi i pojavljuju uska grla, sistem prestaje da reaguje. Zahtevi za procesorom ili resursima diska su zakoeni. Kada se zahtev ne zadovolji, sistem poinje da se rui. Sada emo govoriti o vremenu odziva sistema imajui sve ovo u vidu. Vreme odziva Vreme odziva je mera koja govori koliko je vremena prolo izmeu nastanka nekog dogadaja, na primer zahteva za itanje i odziva sistema na dogadaj (zahtev). Ako je optereenje veliko, i vreme odziva je veliko jer sistem odgovara na druge zahteve i nema dovoljno resursa da primi nove. Sistem koji nema dovoljno memorije i/ili obradne snage, sortirae veliku bazu podataka mnogo sporije od bolje opremljenog sistema s brim vrstim diskom i brim procesorima. Ako vreme odziva nije zadovoljavajue, moraete da smanjite koliinu podataka ili da poveate resurse. Vreme odziva ete izraunati kada duinu reda podelite s protokom resursa. 0 vremenu odziva, redovima i protoku vode rauna alatke za izvetavanje Wm-dowsa 2003. Kako objekti performansi rade Windows 2003 objekti za praenje performansi sadre indikatore performansi. Ovi indikatori zapravo obavljaju pravu analizu. Na primer, objekat vrstog diska moe da izrauna brzinu prenosa, dok objekat pridruen procesoru moe da izrauna procesorsko vreme. Da bi se dobio pristup podacima, ili da bi se otpoelo prikupljanje podataka, prvo treba stvoriti objekat i zadobiti pristup njegovim funkcijama. To se radi tako to se pozove funkcija create iz korisnikog interfejsa ili nekog drugog procesa. im se objekat stvori i pozove njegova metoda za prikupljanje podataka, on zapoinje proces skupljanja podataka koje zatim uva u svojim svojstvima. Podaci se mogu smestiti na disk, u datoteke, RAM ili druge komponente koje analiziraju podatke i prikazuju ih na razumljiv nain. Zavisno od objekta, programi za analizu mogu da naprave bar jednu kopiju objekta performansi i da analiziraju podatke koje indikator generie. Morate pro-uiti Microsoftovu dokumentaciju da biste ustanovili da li objekat moe biti stvoren vie puta, odnosno da li istovremeno moe da postoji vie instanci istog objeka. Ako se objekat moe pojaviti vie puta, morate voditi rauna o pridruivanju podataka koje taj objekat prikuplja svojoj aplikaciji; to ete uraditi tako to ete je uputiti na odgovarajuu instancu indikatora. Windows 2003 omoguava instanciranje objekta za usluge lokalnog raunara, ali se mogu stvarati i objekti koji skupljaju podatke sa udaljenog raunara. Objekti performansi omoguavaju skupljanje podataka i izvetavanje na dva naina. Objekat moe da bira, odnosno da sakuplja uzorke podataka. To znai da podaci sakupljaju periodino, a ne kada se odredeni dogadaj desi. Svaki oblik pr kupljanja podataka optereuje resurse, to znai da i samo nadziranje dodatno optereuje sistem. Prednost sakupljanja podataka metodom uzimanja uzoraka k u ravnomernoj raspodeli optereenja u vremenu; nedostatak je to to vrednosti mogu biti netane ako se znaajna aktivnost odigra u intervalu izmedu dva treni it odabiranja. Druga metoda skupljanja podataka je pamenje dogaaja (engl. euent tracing) \ enje dogadaja, novost u Windowsu 2003, jeste sposobnost da se podaci prikuplja kada se desi odgovarajui dogadaj. Budui da ne postoji odredeni vremenski int val za uzimanje uzoraka, moe se podesiti da se dogadaj aktivira u trenutku kada odvija korienje resursa. Na primer, moete pratiti kako aplikacija koristi menp riju kada izvrava pojedine funkcije, te kako i da li oslobada memoriju posle za' etka tih funkcija. Nedostatak praenja dogadaja je to to troi vie resursa nego metoda odabi ranja; zato ova metoda treba da se koristi u kratkim periodima kada je cilj prao dogadaja reavanje konkretnog problema, a ne samo nadgledanje. Indikatori daju izvetaje na dva naina: u apsolutnim ili prosenim vrednostii Apsolutna vrednost prikazuje podatake u trenutku deavanja; to je snimak, fotoi fija. Drugim reima, indikator ne obraduje podatak koji prima nego ga samo bel Prikazivanje prosenih vrednosti podrazumeva i odredena izraunavanja. Na p mer, izraunava se broj bita u sekundi, ili broj strana u sekundi i tako dalje. Postoje indikatori koji mogu da generiu procentualne izvetaje, diferencija izvetaje i tako dalje.

    Administriranje mrea Alatke za nadgledanje sistema Pre nego to odjurite da kupite alatku za razvoj programa da biste pristupali rn nama za praenje performansi, treba da znate da Windows 2003 ve ima dve pr marne alatke za praenje, spremne za upotrebu: konzolu Performance i Task Manager. Task Manager obezbeduje trenutni uvid u aktivnosti sistema kao to korienje memorije, aktivnost procesora, aktivnost procesa i potronja resurs Task Manager je veoma koristan za otkrivanje problema u sistemu. Konzola Pei mance slui za analizu performansi i obezbeduje podatke koji se mogu upotrehi pri reavanju problema i analizi uskih grla. Moe se koristiti i za uspostavljanj regularnog reima praenja, na primer za analizu ,,zdravlja" servera. Konzola Performance se isporuuje s dve ugradene alatke: System Monitor i t formance Logs and Alerts, ali o tome emo kasnije. S obzirom na to da odmah da rezultate i da se koristi za otkrivanje uzroka problema, prva alatka je Task Mana Task Manager Task Manager daje informacije o aplikacijama i uslugama koje se trenutno izvrs vaju na serveru. Te informacije su: korienje procesora u procentima, korie memorije, prioriteti poslova, odziv i neki statistiki podaci o memoriji i perfor sama procesora. Task Manager je veoma koristan za brzu proveru ,,duevnog zdravlja" sister obino se upotrebljava kao alatka za reavanje problema kada je odziv sistem spor, kada se javljaju blokade ili greke, ili kada poruke ukazuju na nedostatal sistemskih resursa. Task Manager (slika 24-2) moe da se pokrene na nekoliko naina: 1. Pritisnite desnim tasterom mia paletu poslova (donje desno podruje gde se obino prikazuje vreme) i iz prirunog menija izaberite Task Manager. 2. Pritisnite Ctrl+Shift a zatim taster Esc. 3. Pritisnite Ctrl+Alt a zatim taster Del. Uitae se okvir za dijalog Windows Security. Pritisnite Task Manager. Slika 24-2: Task Manager - V.aT\\ca Pe^oTmance. Kada se Task Manager uita, primetiete da okvir za dijalog ima tri kartice: Appli-cations, Processes i Performance. U Task Manageru postoji nekoliko korisnih trikova. Kolone mogu da se sortiraju po rastuem ili opadajuem redosledu kada se pritisne zaglavlje kolone. Kolone mogu menjati veliinu. Dok Task Manager radi, indikator aktivnosti procesora (engl. gauge^ koji pri-kazuje precizne informacije, nalazi se na sistemskoj paleti poslova u donjem desnom delu ekrana. Ako predete miem preko ovog podruja, pojavie se padajui meni o trenutnom stepenu zauzetosti procesora. Dugme Task Manager moe da se skloni s palete sistemskih poslova, ako se mnogo ne koristi. To se radi tako to se izabere meni Options i potvrdi opcija Hide When Minimized. CPU ikona pored ikone za prikazivanje vremena ipak ostaje. Brzina osveavanja i auriranja moe da se podeava iz menija View <> Update Speed. Moete i zaustaviti auriranje da biste zatitili resurse; da bi se prikaz aurirao u bilo kom trenutku, pritisnite Refresh Now. Kartica Processes je najkorisnija i daje listu procesa koji se trenutno izvravaju u sistemu. Ona meri njihove performanse i prikazuje ih u jednostavnom obliku. U te performanse spadaju procenat zauzetosti procesora, procesorsko vreme dodeljeno resursima i korienje memorije. 39 Ima mnogo indikatora performansi i procesa koji se mogu dodati na listu (ili sl nuti s nje) na kartici Processes. Izaberite View 0 Select Columns. Pojavie se okv za dijalog Select Columns koji omoguava da se indikatori procesa dodaju na list (ili uklanjaju s nje). Opis svakog indikatora procesa nalazi se u sistemu za pomo Windowsa 20(P> Proces moete i da prekinete tako to ete ga izabrati s liste i pritisnuti dugm End Process. Neki procesi su zatieni, ali se mogu prekinuti korienjem uslunit programa za ubijanje" procesa ili ,,ubijanje"

    Administriranje mrea udaljenih procesa koji su ukljueni i operativni sistem. Za ,,ubijanje" procesa morate imati ovlaenje, a pre nego to uradite, morali biste potpuno predvideti sve posledice prekidanja procesa. Kartica Performance (slika 24-2) omoguava da grafiki prikaete procenat pro< sorskog vremena u reimu jezgra. Da biste to uradili, izaberite meni View i potvrdi opciju Show Kernel Times. Kernel Times je mera koja govori o vremenu korienj< usluga operativnog sistema od strane aplikacije. Preostalo vreme, koje se troi 11 reimu User, troi se na niti koje stvori aplikacija. Ako va server podrava vie procesa, pritisnite CPU History u meniju View p e se dijagrami svih procesora pojaviti u jednom oknu ili svaki u svom. Kartica Application prikazuje listu tekuih aplikacija i omoguava vam da pret nete aplikaciju koja je prestala da se odaziva, ili za koju ste ustanovili da ima pr blema ili da prouzrokuje probleme na serveru. Konzola Performance Konzola Performance sadri System Monitor, o kome smo govorili, 1 Performano Logs and Alerts, o emu e biti rei kasnije. System Monitor je nova verzija Perfo mance Monitora (koji je u Windowsu NT bio poznat pod imenom perfmon). Otvan ga kad izaberete Administrative Tools 0 Performance ^> System Monitor. Konzol Performance moe se uitati, kao i svi MMC moduli, iz konzole Run, iz Task Man gera ili s komandne linije (otkucajte perfmon.msc). Kada se pokrene, konzola Performance uitava prazan dijagram System Moin tora u hijerarhijski prikaz konzole. System Monitor System Monitor omoguava analiziranje podataka sistema i ispitivanje performan i uskih grla. Ovi usluni programi omoguavaju izradu dijagrama, histograma (stubiastih dijagrama) i tekstualnih izvetaja o podacima koje poseduje indikator performansi. System Monitor je idealan za brzo pregledanje podataka i dijagnostikovanje. System Monitor je prikazan na slici 24-3. Sadri sledee karakteristike: Smeten je u MMC, to ga ini prenosivim. Ovaj modul moe da nacilja^ bi koji raunar i da nadgleda udaljenu obradu podataka na njemu. Ima paletu sa alatkama koja moe da se koristi za kopiranje, umetanje, pni njenje, brisanje, dodavanje indikatora i tako dalje. Nudi potpunu kontrolu naina prikazivanja vrednosti indikatora. Na primei moete menjati stil, debljinu i boju linija. Moete da menjate i boju dijagrar i da manipuliete prozorom u kome se nalaze. Ima legendu koja objanjava oznaavanje - izabrane indikatore i njima pri-druene podatke (na primer, ime raunara, objekte i instance objekta). System Monitor je ActiveX kontrola koja se zove sysmon. ocx. Kontrolu OCX moete da uitate u aplikaciju koja podrava OLE koncept, na primer u Microsoft Word ili Visio, pa ak i na HTML stranu Web prezentacije. Kontrola OCX je korisna i u aplikacijama koje se namenski prave za praenje i analiziranje performansi. OCX je nastavak imena datoteka nekih ActiveX kontrola.

    Slika 24-3: Konzola Performance.

    Administriranje mrea Monitor se moe konfigurisati pomou palete alatki ili menija Shortcut. Meni Shortcut se uitava tako to se desnim tasterom pritisne prazna oblast dijagrama i izabere odgovarajua opcija. Ako ne navedete drugaije, paleta alatki je dostupna. Korienjem palete alatki moete konfigurisati nain prikazivanja tako to ete pritisnuti jedno od dugmadi: View Chart, View Histogram ili View Report. Drugim reima, isti podaci se mogu prikazati pomou dijagrama, histograma ili izvetaja. Treba naglasiti razlike izmedu dijagrama, histograma i izvetaja. Histogrami i dijagrami se koriste za prikazivanje vie indikatora, ali svaki indikator ima samo jednu vrednost. Ovakvo prikazivanje se koristi za praenje tekue aktivnosti i pra-enje promena. Ukoliko treba da vidite vie vrednosti jednog indikatora. koristite izvetaj. Izvor podataka ete dobiti kad pritisnete dugme View Current Activity, koje daje vrednosti podataka u trenutku u kom se posmatraju (u realnom vremenu). Moete da pritisnete i dugme View Log File Data, to e vam omoguiti da dobijete podatke iz kompletiranih ili tekuih dnevnika. Naravno, prvo morate izabrati indikatore. Dugmad indikatora, Add, Delete i Ne\v Counter Set nalaze se u sredini palete sa alatkama. Dugme New Counter Set slui za dovodenje prikaza u poetno stanje i omoguava biranje novih indikatora. Kada pritisnete dugme Add Counters, pojavljuje se okvir za dijalog, prikazan na slici 24

    Slika 24-4: Okvir za dijalog Add Counters. Ovaj okvir za dijalog omoguava da izaberete raunar koji hoete da pratite, objekte performansi i indikatore. Obratite panju na dugme Explain. Ako ga priti-snete, saznaete vie o indikatorima koje ste izabrali. Pomou opcije Clear Display moete aurirati prikaz. Prikaz se moe ,,zamrznuti1 pritiskanjem dugmeta Freeze Display - sakupljanje podataka bie prekinuto. Da bi sc nastavilo, pritisnite dugme Update Data. Ako pritisnete dugme Highlight, podaci s dijagrama ili histograma bie istaknuti. Tako moete istai liniju ili stubi izabranog indikatora na beloj ili crnoj pozadini. Sadraj prikaza moe i da se izveze tako sto e se, na primer, sauvati na Clip-boardu. Isto tako, podaci sa Clipboarda mogu da se uvezu u tekui prikaz. 1 na kraju, tu je dugme Properties koje omoguava da pristupite parametrima za podeavanje fontova, boja i tako dalje. Kada pritisnete ovo dugme, uitava se okvir za dijalog System Monitor Properties (slika 24-5). Podatke prikazane u System Monitoru moete sauvati na vie naina. Jedan nain je pomou Clipboarda, to smo malopre pomenuli. Drugi nain je dodavanje kontrole za praenje u matinu aplikaciju, o emu smo ranije govorili. Najlaki nain da sauvate izgled i stil prikaza jeste da kontrolu snimite kao HTML datoteku. To ete uraditi tako to ete pritisnuti desnim tasterom okno i snimiti prikaz kao HTMl datoteku, to je i podrazumevani format za Save As.

    Administriranje mrea

    Slika 24-5: Okvir za dijalog System Monitor Properties. Drugi nain je da izvezete dnevnik formatiran tako da se za razdvajanje koriste zarezi (CSV format) ili tabulatori (.tsv format). Tako formatiran dnevnik moe se potom uvesti u neki program za rad s tabelama i bazama podataka ili za generisanje izvetaja (na primer, u Crystal Reports). U okviru za dijalog Add Counters moete izabrati sve indikatore i instance s liste ili samo odredene indikatore i instance. to vie elemenata nadzirete, to vie sistem-skih resursa troite. Ako nadgledate mnogo monitora i indikatora, razmislite o tome da preusmerite podatke na dnevnike pa da zatim te dnevnike itate u prikazu. Medu-tim, razumnije je da koristite manje indikatora i instanci. Moete da pokrenete i dve instance System Monitora (u dve konzole performansi). To je zgodno za poredenje podataka iz razliitih izvora. Na listi instanci, prva vrednost, _Total, slui za sabiranje vrednosti instance i prikazivanje zbira u prikazu. Redovi u prikazu mogu da se uparuju s pripadajuim indikatorima - treba da izaberete red. Dnevnid i alarmi vezani za performanse Usluni programi Windowsa 2003 za praenje performansi mogu da generiu dva tipa dnevnika vezanih za performanse: statistike dnevnike indikatora i dnevnike dogadaja. Ovi dnevnici su korisni za napredno analiziranje performansi i vodenje evidencije, to se moe obavljati tokom odredenog vremenskog perioda. Postoji i mehanizam za alarmiranje. Stablo Performance Logs and Alerts prikazano je na slici 246. Ova alatka pripada konzolnom modulu Performance pa se pokree na nain koji smo ve opisali u ovom poglavlju. Slika 24-6: Stablo Performance Logs and Alerts. Dnevnici indikatora zapisuju uzorke podataka vezanih za hardverske resurse i usluge sistema na osnovu objekata performansi o kojima smo ve govorili. DnevnK koriste indikatore na isti nain kao i System Monitor. Skup usluga Performance L( ; and Alert dobija podatke od operativnog sistema na kraju intervala auriranja. Dneunici dogaaja sakupljaju uoene dogadaje. Pomou ovih dnevnika, mogu s meriti performanse dogadaja vezanih za memoriju, za U/I datoteke za uvanje po<i taka i tako dalje. im se dogadaj pojavi, u dnevnik se prosledi odgovarajui pocla tak. Podaci se mere kontinualno, od poetka do kraja dogadaja, a ne uzimanjem uzoraka kao u System Monitoru. Ako se ne navede drugaije, Performance Log dobija podatke od dobavljaa usluga za praenje dogadaja (engl. kernel trace prouider) iz Windowsa 2003. Te podatke moete analizirati primenom alatki za sintaksnu analizu (engl. data parsuv^ Funkcije alarmiranja slue za definisanje vrednosti indikatora koja e prouzroKi vati pojavu alarma. Alarm moe da alje mrene poruke, izvrava program i aktivii dnevnike. Ovo je korisno za pomno praenje sistema. Moete, na primer, da nack:! date aktivnosti koje se ne mogu unapred predvideti tako to ete definisati alanii koji e vas obavestiti kad god se dogadaj pojavi. Dogadaji vezani za bezbednost dobri su kandidati za alarmiranje. Najbolje je hvatati hakera kada je on u akciji.

    Administriranje mrea Usluge alarmiranja se mogu konfigurisati tako da vas obaveste kada pojedini resursi padnu ispod ili porastu preko odredene vrednosti, praga, ili granice kojn ;' vi zadali. 1 dnevnici indikatora se mogu pregledati u System Monitoru; podaci iz ovih dn nika mogu se sauvati u CSV i TSV datotekama i pregledati pomou programa za i < s tabelama ili programa za generisanje izvetaja. Dnevnike moete konfigurisati d budu kruni. To znai da datoteka dnevnika ima unapred definisanu maksimalni veliinu, a kada se ta veliina dostigne, novi podaci se upisuju preko najstarijih podataka (datoteka nikad ne raste preko maksimalne veliine). Dnevnici mogu da budu i linearni; podatke moete da sakupljate u intervalu zadatog trajanja. Bele-enje podataka u dnevnike moete da zaustavite ili nastavite pomou parametara koje sami postavljate. Kao i kod System Monitora, moete da sauvate datoteke u razliitim formatima, na primer u HTML formatu, ili da celu OCX kontrolu uvezete u OLE kontejner Korienje dnevnika i alarma Da biste aktivirali korienje dnevnika i alarma, pritisnite desnim tasterom okno za detaljan prikaz pa izaberite opciju New Log Settings. Pre nego to definiete para-metre, morate da date imena dnevniku i datoteci za alarm. Da biste koristili dnevnike i alarme, treba da imate potpuni pristup pododrednici Registra HKEY_CURRENT_MACHINE\SYSTEM\CurrentContro1Set\Serv1ces\SysmonLog\Log Queri es. Ova pododrednica je u podrazumevanom stanju otvorena za administratore, ali se moe odobriti pristup i preko menija Security u editoru Regedit32. Osim toga, i da biste izvravali ili konfigurisali neku uslugu, treba da imate odgovarajua prava. Administratori standardno imaju ta prava, ali se ona mogu preneti i drugima preko pripadnosti grupi i podeavanjem strategije grupe. Kada izaberete opciju Property, uitae se okviri za dijalog Counter Log Proper ties (slika 24-7) ili Trace Log Properties (slika 24-8). Zatim podesite svojstva dnev-nika i alarma, na nain koji emo sada prikazati.

    Slika 24-7: Svojstva Counter Log. Da biste konfigurisali alarme, morate prvo konfigurisati njihove indikatore, period uzorkovanja i prag alarma. Zatim zadajte akciju koja e se izvriti kada se dogadaj pojavi. Akcije mogu da budu izvravanje programa, slanje poruke, inici-ranje upisa u statistiki dnevnik ili iniciranje upisa u dnevnik dogadaja. Javljanje alarma se moe podesiti pomou parametara Start i Stop.

    Administriranje mrea

    Slika 24-8: Svojstva. Da biste konfigurisali statistike dnevnike, treba da zadate indikatore i defini ^ period uzorkovanja. Upisivanje u dnevnike omoguavate tako to zadate tip i vi inu datoteke, putanju do nje i ostale potrebne parametre za automatsko imen. vanje. Statistiki dnevnici treba da budu definisani kao SCV ili TSV datoteke, tekstualne datoteke, ili binarne linearne ili krune datoteke. Statistiki dnevnici se mogu konfigurisati i tako da se automatski aktiviraju, al ne moete podesiti da se automatski pokrenu iz poetka ako su podeeni da sc runo zaustavljaju. Isto vai i za dnevnik dogadaja. Upoznavanje servera Da biste odravali odredeni nivo uslunosti i da bi aplikacije i serveri bili u zacLit meri raspoloivi, morate dobro poznavati sve svoje maine, aplikacije koje se rsc njima izvravaju i resurse koje koriste. Nije dovoljno da imate subjektivni oseai tome kako server treba da funkcionie. Kritine aplikacije, napadi na servere i 01 zivanja sistema deavaju se iznenada. Nadgledanje sistema je posao u kome tn i neprestano da uestvujete. Kada prvi put nadgledate sistem, nemate s ime da poredite rezultate. Potc sakupite dovoljnu koliinu podataka, imaete skup podataka s kojima moete chs radite. Bie vam potrebno nekoliko nedelja, a moda i meseci, da biste sakupili dovoljno podataka prema kojima se moe definisati osnova buduih posmatrans Na nekim mainama je intenzivna upotreba procesora normalna, dok je za dru^ uobiajeno da vei deo vremena budu u neaktivnom stanju. Ako sistem ne moe stabilno da sakuplja podatke, aktiviranje ogromnog broja alarma ce isl^^ samo pogorati stvar. Prvo morate otkriti uzrok nestabilnosti a zatim podesiti praenje i alarme da biste blie definisali uzrok nestabilnosti.Ako je problem izazvao slab ili nikakav odziv sistema, prvo treba da pokrenete Task Manager i da iskljuite poslove,aplikacije procese koji izazivaju probleme. Kada imate definisanu osnovu, brzo ete uoiti svako odstupanje performansi. Na primer, ako primetite da se odziv servera za elektronsku potu nou iznenada smanjuje, moda ete otkriti da se na serveru nedozvoljeno koriste relejne usluge, to je otprilike isto to i vercovanje u autobusu. 0 tome bi vas mogao obavestiti objekat indikatora memorije. Vai podaci treba da odraavaju razliite take u performansama sistema. Tre-balo bi da uoite ta je za server normalno ponaanje. Na primer, primetili smo da klijentov server za elektronsku potu ima malo RAM-a i da troi mnogo prostora na disku. Kada smo se o tome raspitali kod nadlenih u sektoru za informatiku, oni su nam odgovorili da je to normalno" za to doba dana kada se odvija replikacija usluga. Vano je da imate evidentirane donje, prosene i gornje granice za odredene resurse i dogadaje. Serveri koji obezbeduju komuniciranje u realnom vremenu dobri su primeri servera na kojima bi neprestano trebalo nadgledati ove granice. Neka podaci koje ste proglasili osnovom stalno budu lako dostupni na serveru. Ti podaci mogu da se uvaju na Clipboardu ili u dnevniku u koji lako moete umetati podatke. To e omogudti i da drugi operateri nadgledaju server i odrede ta se moe smatrati normalnim. Ne oekujte da na poetku dobijete bilo kakav znaajan uvid u performanse sistema, jer e osnova koju ste formirali definisati samo tipine oekivane vrednosti i to u sistemu u kome nema problema.

    Administriranje mrea Praenje uskih grla Kao to smo ve rekli u ovom poglavlju, kada performanse sistema odstupaju od uobiajenih (definisanih osnovom), pojavljuju se uska grla. Tada je korisno da imate smernice; tabela 24-1 sugerie vrednosti pragova za minimalan skup si.stem-skih indikatora. Ove vrednosti se preporuuju za minimalni skup performansi koje je potrebno pratiti. Neke od ovih opcija mogu da odstupaju od navedenih a da i dalje budu zad voljavajue za va server. Lista koja sledi sadri dodatne napomene (numerisain prema tabeli 24-1): Smernica 1: Prag od 15% za slobodan prostor moe da bude previe nizak. <i to zavisi od namene maine. Primenom kvota moete obezbediti da se prau nikada ne prede bez upozorenja. lako ne moete da spreite sve procese dc koriste disk, pametno je da konfiguriete upozorenja koja e vam signalizn <s da je prag prekoraen. Smernica 2: Vrednost data u koloni Disk Time odnosi se na vreme korie i diska. Obino kaemo da disk ne treba da se koristi vie od 80% vremena Treba da uporedite ovu vrednost sa vrednou koju savetuju proizvodai. Diskovi na kojima se premauje ova vrednost obino ne traju dugo. Imali sin priliku da vidimo kako se disk pregreje i otkazuje kada iskorienost dostii-;! 100 procenata. Smernica 3: Podatak o brzini prenosa obino je odtampan na disku. Progr s; e vas upozoriti ako otkrije da je brzina prekoraila dozvoljenu vrednost. Ukoliko aplikacije nanose tetu disku, trebalo bi da nadogradite sistem tai da podrava bre tehnologije, kao to je Ultra Wide SCSI. Smernica 4: Broj ciklusa pristupa je snimak; trebalo bi da posmatrate ovu vrednost tokom nekoliko intervala. Moete da koristite i indikator Avg. Dis Queue Length (indikator prosenog reda diska). Smernica 5: Kada memorija padne ispod 4 MB, stranienje se intenzivira < odziv sistema poinje da opada. Ako se to nastavi, dobiete poruku da su resursi sistema na niskom nivou. Smernica 6: Ako se povea korienje memorije, pazite da ovaj prag ne pn (; onaj koji je definisan u osnovi. Smernica 7: Ova vrednost zavisi od tipa mree na kojoj radite. Za mreu tij Ethernet, uobiajen prag e biti oko 30 procenata. Smernica 8: Trebalo bi da potpuno razumete kako stranienje funkcionie (1 bi vrednosti indikatora za vas imale smisla, jer prag varira zavisno od prirod hardvera i broja aplikacija koje se izvravaju (u poglavlju 1 nai ete neka uputstva). Smernica 9: Procesorsko vreme se moe lako pratiti u Task Manageru, kao s' je ranije opisano u ovom poglavlju. Iskorienje procesora od 85 i vie pro( nata razlogje za brigu. Task Manager moete iskoristiti da biste identifikov<'i proces koji troi propusni opseg vaeg procesora. Ako je to vaan proces, n primer, Exchange ili SQL Server, moda ete morati da dodate jo jedan pr cesor ili da nadogradite sistem brim procesorom. Na stabilnim ili neaktivnn i mainama, primetiete da proces System Idle Process koristi najvei deo pi cesorskog vremena. Smernica 10: Ovaj indikator moe da se koristi za signaliziranje hardverskih problema. Ako se stanje indikatora drastino povea i ako to nije praeno odgovarajuim poveanjem serverskih aktivnosti, neki hardverski uredaj i odgovoran za generisanje prekida. Smernica 11: Pomou indikatora servera moete dobiti ukupan broj bajtova u sekundi za sve servere. Ako je ta vrednost jednaka maksimalnoj brzini pre-nosa mree, moda ete morati da segmentirate mreu. Smernica 12: Ako je ova vrednost vea od tri, moda ete morati da prome-nite parametre u Registru. Potraite Workltems u Microsoftovoj bazi znanja pa ete dobiti i potpun opis indikatora Work Item Shortages. Smernica 13: Serverski redovi poslova su indikatori tipa snimka koji mogu da oznaavaju usko grlo procesora. Trebalo bi da pratite vrednost indikatora tokom nekoliko vremenskih intervala. Smernica 14:1 duina procesorskog reda je je indikator tipa snimka. Indikator moete pratiti tokom nekoliko intervala. Ako je u vie intervala zabeleena vrednost vea od dva, potrebno je ispitivanje. Serversko optereenje Osim poetne take koju smo upravo opisali, moda e vam koristiti jo neke sugestije za praenje optereenja servera na standardnim konfiguracijama. Na listi koja sledi dati su kratki opisi objekata za praenje koji su po svojoj ulozi serveri: Serveri aplikacija: Ovde spadaju standardni serveri aplikacija i serveri termi-nalskih usluga ili aplikacija. Terminalske usluge su mnogo zahtevnije - neop-hodno je stalno nadgledanje njihovih performansi. Najvie korieni resursi na ovim serverima su memorija i procesor. Objekti koji se nadgledaju su Cache, Memory, Processors i System.

    Administriranje mrea Serveri za rezervne kopije: Ovi serveri mogu da stvaraju uska grla na mrei i obino prekomerno koriste procesor. Mogu previe da opterete i udaljeni raunar na koji su povezani. Razmislite o nadgledanju sledeih objekata: System, Server, Processor i Network Segment. Serveri baza podataka; Diskovi i procesori su najoptereeniji resursi na serve-rima baza podataka. Moglo bi se pomisliti da je raspoloiva memorija resurs koji je najvie optereen, ali nije tako jer najnaprednije tehnologije servera baza podataka, na primer SQL Server 2000, dre samo mali deo vruih" poda-taka u memoriji (keiranjem zapisa) za veinu upita. Za servere baza podataka (SQL 2000 i Oracle) prvenstveno su vam potrebni brzi diskovi. U objekte koje treba nadgledati spadaju: PhysicalDisk, LogicalDisk, Processor i System. Upravljai domena: Upravljai domena mogu da troe mnogo raznih resursa: procesore, diskove, memoriju i mreu. Trebalo bi da pratite objekte Memory, CPU, System, Network Segment i Network Interface, te objekte koji su indika-tori protokola, kao to su TCP, UDP, IP, NBT, Connection, NetBEUI, NetBIOSi tako dalje. 1 objekti kao to su NTDS usluge aktivnog imenika i objekti usluge Site Server LDAP takode se mogu nadgledati. 1 WINS i DNS imaju korisne objekte koji se mogu posmatrati. Serveri datoteka i tampaa: Ovi serveri troe mnogo prostora na vrstom disku i mnogo mrenih resursa. Intenzivna upotreba boja i grafika vizueliza-cija (poglavlje 23) mogu da preopterete CPU. Nadgledajte objekte Processor, Memory, Network Segment, PhysicalDisk i LogicalDisk. Moete da pratite i objekat PrintQueue kako biste otkrili uzrok problema pri tampanju u dato-teku, na primer. Serveri elektronske pote: Serveri elektronske pote, na primer Exchange, koriste CPU, diskove, a najvie memoriju. Moete da pratite kolekciju memo rije, Cache, Processor, System, PhysicalDisk i LogicalDisk. Server Exchange se isporuuje sa specijalizovanim indikatorima. Web/Intemet infonnacioni serveri: Ovi serveri mnogo troe disk, ke i mre-ne komponente. Razmislite o nadgledanju objekata Cache, Network Segment PhysicalDisk i LogicalDisk. Optereenje izazvano nadgledanjem performansi Nadgledanje performansi zahteva resurse, a to nepovoljno utie na podatke koje pokuavate da sakupite. Zbog toga treba nastojati da se smanji uticaj nadgledanja performansi. Postoji nekoliko tehnika koje moete primeniti da biste optereenje izazvano nadgledanjem sveli na minimum: Aplikacija System Monitor moe da bude zahtevna u pogledu resursa. Moeh koristiti dnevnike umesto grafikog prikazivanja, a potom da podatke uvezetc u programe za generisanje izvetaja i rad s bazama podataka. uvajte dnev-nike na medijima za uvanje podataka koji nisu predmet nadgledanja, ili na vrstom disku koji nije predmet analize. Pri tome pazite da dnevnici ne budi preveliki. Podesite kvote i drite korienje diska na oku. Nemojte istovremeno koristiti veliki broj indikatora. Neki indikatori su zahtevni i mogu mnogo da poveaju optereenje, to moe da bude kontra produktivno. Osim toga, teko je nadgledati odjednom vie stvari. Podatke o tome ta svaki indikator koristi nai ete u Windows 2003 Resource Kitu. esto sakupljanje podataka takode moe mnogo da povea optereenje. Microsoft za sakupljanje podataka preporuuje interval od 10 minuta. lako treba da vodite rauna o razumnoj upotrebi resursa, morate i dalje da nadgledate vrne periode korienja da biste dobili najbolju procenu kori-enja resursa. Nema smisla nadgledati neaktivan sistem. Razmotrite mogunost daljinskog nadgledanja. Daljinsko nadgledanje omogu ava centralizovano sakupljanje podataka. Moete takode sakupljati podatke s nekoliko servera i sauvati podatke na lokalnoj maini. Imajte na umu narodnu poslovicu ,,Ko ne plati na mostu, platie na upriji". Zahtevi za propn sni opseg mree su vei ukoliko je vei broj podataka koje sakupljate i uesta nost s kojom ih skupljate. Razmislite o tome da broj servera u nadgledanim grupama ne bude vei od 10 do 15. Da biste uveali mreni propusni opseg, snimajte udaljene podatke u dnevnike na udaljenom serveru i potom ih ili kopirajte na lokalni raunar ili ih daljinski nadgledajte.

    Administriranje mrea XIII as Daljinsko povezivanje na mreu (RAS servis)

    13.1 Povezivanje klijenata na Windows 2003 Server Poto su kreirani korisnici i dodeljena prava, potrebno je povezati klijente na server. Ovde e se povezati radne stanice sa DOS, Windows 98 i Windows XP operativnim sistemom. 13.1.1 Povezivanje DOS radnih stanica U ranijim verzijama Windows operativnih sistema, postojali su razni alati za podizanje mree. Naravno, ovi alati su izostavljeni sa pojavom Windows 2000 sistema. Postavlja se pitanje zato je to tako. Prvi razlog je taj da je Microsoft DOS proglasio za nepodrani operativni sistem. To znai da ukoliko korisnik trai tehniku pomo za povezivanje DOS radne stanice na Windows 2000/2003 operativni sistem, ostae uskraen iste. Drugi razlog za nedostatak DOS alatki na Windows 2003 Server CD-u je to postoje poboljane verzije metode za instalaciju. U DOS-u nije mogue otvoriti CD drajv, staviti CD i pokrenuti instalaciju. Umesto toga, potrebno je ubaciti disketu sa drajverima za CD drajv, instalirati ga, pa tek onda se povezati na izvor instalacije. Uglavnom za prikljuenje DOS radne stanice na Windows 2003 server, potreban je instaliran DOS operativni sistem sa najmanje tri komponente: config.sys koja uitava drajvere za mrenu karticu autoxec.bat, ili config.sys koje uitavaju program za upravljanje mrenim funkcijama alatke za rad u komandnoj liniji koje izvravaju komande na mrei, kao to je NET.EXE Fokusiraemo se na treu komponentu, program NET.EXE, tj, na tri glavne funkcije NET komande. Prva je LOGON koja klijenta prijavljuje na domen. Da bi se korisnik prijavio na domen sa korisnikim akreditivom koji je ve definisan, ukucava se NET LOGON STUDENTI/ DOMAIN:VTS. Ovo je, dakle, prijavljivanje sa korisnikim imenom STUDENTI, na domen VTS. Adresa domena je ime domena nieg nivoa, a ne novo, puno ime domena vts.ni.edu.yu, jer DOS ne prepoznaje ovaj tip imena domena. Sledea funkcija je VIEW. NET VIEW je naredba mnogo vanija za DOS klijente nego za bilo kog drugog. Ovo je zbog toga to DOS nema ita koji bi mogao da prikae jednostavnu listu resursa na mrei. Umesto toga, resursi se moraju pronai pomou naredbe NET VIEW. Postoje dva naina za fokusiranje VIEW naredbe. Prvi je domen. Na primer, ukucavanje NET VIEW /DOMAIN:VTS e obezbediti listu servera koji su registroani na VTS domen. Iz ove liste, moe se usmeriti naredba VIEW na odreeni server sa listom zajednikih resursa. Ukoliko bi eleli da vidimo sve zajednike resurse na serveru VTSSERVER trebalo bi da su ukuca NET VIEW \\VTSSERVER. Sada kada je pronajen ciljni zajedniki resurs, koji je, u stvari, APPS u domenu VTS, potrebno je povezati se sa njim. U stvari, moe se uraditi dosta toga, koristei programe i tampae putem NET interfejsa, tako da je potrebna i oznaka za drajv ili port na koji se treba povezati. Unosi se USE. Ukoliko je potrebno usmeriti se na drajv D: sa izlistanim serverom i zajednikim resursom, ukucava se NET USE D: \\VTSSERVER\APPS. Ova naredba mora da bude u UNC formatu: \\imeservera\zajednikiresurs. Slino, ukoliko se eli da se usmeri na LTP1 port za tampa zajednikog tampaa iz domena VTS sa imenom CANON, trebalo bi ukucati NET USE LTP1: \\VTSSERVER\CANON. Takoe, postoje i druge NET funkcije vredne pomena. NET LOGOFF odjavljuje korisnika sa domena na koji je prijavljen. NET TIME \\VTSSERVER sinhronizuje sat na radnoj stanici sa onim na serveru. NET PASSWORD /DOMAIN: VTS STUDENT staralozinka novalozinka menja staru lozinku korisnika STUDENTI u novu. 13.1.2 Povezivanje Windows 98 radnih stanica Povezivanje Windows 98 radnih stanica na mreu se moe vrlo lako obaviti. Pretpostavlja se da se ima Plug and Play kojim se eliminiu sve sumnje vezane za instaliranje mrenih kartica, a umreavanje se predstavlja kao bitna mogunost radne stanice. Drugim reima instaliranje i konfigurisanje svih mrenih komponenti ne zahteva vie rada i znanja nego to bi bilo potrebno klijentima da sami obave instaliranje. Teoretski, instaliranje komponenti za mreu u Windows-u 98 i napraviti ih sposobnim za komunikaciju sa serverom je lako. Za poetak, pretpostavlja se da je radna stanica potpuno opremljena i da radi pod operativnim sistemom Windows 98 i da nema instalirane komponente. Poinje se u Network Control Panel-u (selektuje se StartSettingsControl Panel, a zatim se otvori Network aplet). Trebalo bi da se vidi jedan prazan okvir za dijalog za konfigurisanje, kao to je prikazano na slici 6.1.

    Administriranje mrea

    Potrebno je imati najmanje jedan tip klijenta za umreavanje, najmanje jedan protokol i najmanje jedan mreni adapter. Dodatno, mogu se dodati usluge, kao to su zajedniki fajlovi i zajedniko tamanje. Poto verovatno nita od ovoga ne postoji pritisne se dugme Add. Sada e Windows pitati koja se vrsta komponente eli instalirati (slika 6.2).

    Poinje se sa dodavanjem adaptera. Iz liste sa tipovima komponenti, selektuje se adapter, zatim se pritisne Add jo jednom, kako bi se otvorio okvir za dijalog prikazan na slici 6.3.

    U okviru za dijalog Select Network Adapters, videe se sa leve strane lista proizvoaa adaptera, a sa desne strane odgovarajui adapteri. Izabere se odgovarajui adapter i pritisne se OK. Ukoliko se adapter ne nalazi na listi, potrebno je kliknuti na dugme Have Disk i locirati odgovarajue drajvere za adapter. Nakon brzog kopiranje jednog ili dva fajla, ponovo e se pojaviti aplet Network Control Panel. Adapter je beskoristan bez klijenta kome e biti dodeljen i protokola pomou koga e komunicirati. Windows ovo zna i da bi olakao, on sam instalira skup unapred odreenih vrednosti. U Windows 98 kao to se moe videti na slici 6.4, uzima se

    Administriranje mrea Client for Microsoft Network, i jedino je dostupan protokol TCP/IP. Iz odgovarajuih razloga TCP/IP je automatski konfigurisan da koristi DHCP. Ukoliko je potrebno ovo promeniti, kako bi se konfiguracija prilagodila odgovarajuem okruenju, moe se izabrati protokol iz Network Control Panel-a, a zatim da se selektuje Properties. Kao to je prikazano na slici 6.4, kao dodatak tabulatoru Configuration, nai e se dva dodatna tabulatora u Network Control Panel-u. Posebno treba obratit panju na tabulator Identification, koji je prikazan na slici 6.5.

    Kao to se moe videti ime novog raunara je Student1. Ime raunara mora da bude jedinstveno, ba kao na Windows 2000/2003 raunarima. Radna grupa je VTS. Za razliku od Windows NT-a, Windows 98 raunar ne mora da pripada domenu, da bi mogao da se prijavi na taj domen. Ovo omoguava da se bude u jednoj radnoj grupi, a da se bude prijavljen na bilo koji domen. Ide se na tabulator Configuration, Network Control Panel-a, gde se mogu oznaiti svojstva Client for Microsof Network klijenta, ili duplim klikom mia, ili tako to e se selektovati, a zatim izabrati opciju Properties. Videe se okvir za dijalog na slici 6.6

    tiklirajui opciju Log on to Windows NT domain, saoptava se radnoj stanici da se verifikacija obavlja sa korisniim nalogom zvaninog domena, pre nego to se ue u operativni sistem. U okvir Windows NT Domain, unosi se domen gde se nalazi korisniki nalog. Od ovog trenutka, dobie se okvir za dijalog sa zahtevom za prijavljivanje na mreu, uvek kada se podie operativni sistem radne stanice. Promena lozinke je, takoe, jednostavna. Ukoliko lozinka nestane dobie se poruka, zajedno sa posebnim okvirom za dijalog u kome e se izmeniti (slika 6.7). Sada, kada je radna stanica prikljuena na mreu, potrebno je pronai i povezati se sa resursima koji e dovesti do mree. Resursi se pronalaze tako to se dva puta klikne na ikonicu Network Neighborhood na Desktop-u (Network Neighborhood je prikazan na slici 6.8).

    Administriranje mrea

    Ono to se trai u Network Neighborhood-u je lista za pretraivanje radne grupe ili domena, ukoliko je ime isto. Duplim klikom server otkriva listu zajednikih resursa na njemu. Zatim se moe videti da je jedini zajedniki resurs Windows (ukoliko postoji bilo koji zajedniki tampa, on e takoe, biti vidljiv ovde). Moe se pretraivati i dublje unutar fajlova i potfascikli zajednike fascikle, ili usmeriti drajv direktno do zajednikih resursa, tako to se desnim tasterom klikne na zajedniki resurs i izabere se Map Network Drive. Kako bi se prikljuili na tampa, treba izabrati StartSettingsPrinters; tamo izabrati Add Printer i selektuje se resurs. Postoji jo jedna karakteristika za Windows 98 klijente. Na Windows 2003 CD-u pod direktorijumom Clients je direktorijum Win9X. U njemu e se nai samo jedan izvrni fajl, koji instalira Directory Service Clients za Windows. Ovaj Directory Service Clients omoguava Windows 9x klijentu da vidi novi Active Directory u Windows-u 2000/2003. Instalira se jednostavnim kliktanjem dugmeta Next, a nakon toga se restartuje raunar. Nema konfigurisanja i nema nikakvog selektovanja. Sada postoji instaliran Aktivni direktorijum. On donosi nove alate ali nema novoinstaliranih programa. Najvanije su nove opcije i mogunosti u meniju Find u Windows Explorer-u. Predhodno u File Menu-ju nije bila dostupna mogunost Printers. Druga nova opcija je integrisana sa novom verzijom Windows Adress Book-a; ona omoguava da se pronau ljudi koji se nalaze u Aktivnom direktorijumu. (Windows Adress Book se aurira tokom instaliranja Aktivnog direktorijuma). Oigledno, ova kratka instalacija ne daje direktan pristup u sredite Aktivnog direktorijuma, ali daje osnovne i obavezne funkcije, kako bi se Aktivni direktorijum napravio javnim resursom koji je dostupan Windows 98 klijentima. 13.1.3 Povezivanje Windows XP radnih stanica Windows XP radne stanice su u odnosu na Windows 98 klijente, mnogo spremnije za umreavanje. Sve osnovne komponente za umreavanje su ve prisutne i ukljuene u osnovnu instalaciju Windows-a, tako da sada treba samo napraviti pregled kroz kljune zahteve. Windows XP po unapred definisanom rasporedu, instalira sve potrebne komponente. Ipak ukoliko to nije sluaj, ili je iz bilo kog drugog razloga mrena kartica ostala neistalirana, treba uraditi sledee. U Control Panel-u, treba duplim klikom odabrati ikonu sa nazivom System. Potom se pojavljue okvir System Properties gde treba izabrati karticu Hardware/Device Manager. Pojavie se lista svih instaliranih komponenti u sistemu. Pored mrenog adaptera (ukoliko nije instaliran kako treba), stajae uzvinik. Duplim klikom na mreni adapter se otvara Properties za taj adapter, gde se otvara Wizard za instalaciju adaptera. Potrebno je rei Reinstall Drivers i korisnik e biti upitan da izabere neki od ponuenih adaptera ili da navede lokaciju gde se nalazi odgovarajui drajver klikom na opciju Have Disk (slika 6.9). Oigledno, osnove umreavanja se nalaze u mrenom adapteru, pa e se instalacijom adaptera instalirati i sve ostale potrebne komponente (slika 6.10).

    Administriranje mrea

    U stvarnom svetu server e u 99% sluajeva imati statiku IP adresu. Za radne stanice, ipak e skoro uvek preovladavati smenjeni administratorski zahtevi protokola DHCP. Dakle ukoliko se dva puta klikne na Internet Protocol (sa slike 6.10) dobie se okvir gde se treba odluiti hoe li radna stanica imati statiku IP adresu ili DHCP adresu (slika 6.11). U dnu ovog ovkira stoji mogunost podeavanja i DNS servera koji e radna stanica koristiti. Dakle ovde treba uneti IP adresu. Sve promene treba potvrditi sa OK. Ostalo je jo radnu stanicu pridruiti domenu. Opet se bira u Control Panel-u ikona System, ali ovoga puta se ide na karticu Computer Name. Za pridruivanje stanice domenu u dnu ovog okvira se bira opcija Change. Pojavljuje se okvir sa slike 6.12. U polje Computer Name se unosi ime raunara koje e biti i ime u domenu, dok se u polje Member Of unosi ime domena kome e stanica pripadati, vts.ni.edu.yu. Vri se potvrda sa OK. Potrebno je resetovati raunar i pri sledeem logovanju stajae Log On prozor koji e traiti korisniko ime i lozinku za pristup domenu. Ukoliko se ne eli pristupiti domenu unosi se korisniko ime za lokal. Sada se mogu pretraivati resursi Servera kroz My Network Places, naravno ukoliko su dodeljene odgovarajue dozvole.

    13.2 Skup RAS usluga i usluga za povezivanje putem telefonskih linija u Windowsu 2003 U ovom poglavlju obuhvaene su usluge daljinskog pristupa koje Windows 2003 - i klijentima i serverima - nudi za uspostavljanje veze sa udaljenim partnerima preko telefonskih linija, ukljuujui i povezivanje sa Internetom. Opisane su i usluge Routing and Remote Access Services (RRAS), koje omoguavaju da Windows 2003 funkcionie kao usmeriva i kao zatitna barijera. Skraenica RAS potie od Remote Access Services, to znai skup usluga za daljinski pristup. U Windowsu 2003, RAS omoguava da se Windows 2003 klijenti poveu s drugim sistemima radi pristupa udaljenim mreama, ukljuujui i Internet; raunarima sa Windowsom 2003 omoguava da

    Administriranje mrea budu dial-up serveri za udaljene klijente. Skup usluga Routing and Remote Access Services (RRAS) omoguava da Windows 2003 radi i kao usmeriva. U Windowsu 2003, skupovi usluga RAS i RRAS integrisani su u jedan skup usluga. U ovom poglavlju prouiemo koje to funkcije umreavanja u RRAS-u omoguavaju da Windows 2003 radi kao klijent i kao server za povezivanje posredstvom telefonskih linija. U narednim odeljcima dat je pregled tih RRAS funkcija a u odeljcima iza njih pozabaviemo se protokolima, bezbednou i konfigurisanjem. Daljinski pristup omoguava da se raunar klijenta povee sa udaljenim raunarom ili mreom i da pristupa resursima udaljenog raunara ili mree kao da su lokalni. Na primer, korisnici koji su esto na putu mogu da pristupaju resursima u svojoj firmi (serverima datoteka, tampaima, sistemima za razmenu pote i drugim) sa udaljenih lokacija. Klijenti mogu da koriste usluge pristupa i za povezivanje s javnim mreama, na primer sa Internetom. Skup usluga Routing and Remote Access Service u Windowsu 2003 obezbeduje tri primarne funkcije: Klijent za povezivanje preko telefonskih linija (engl. dial-up client): Pomou RRAS-a moete formirati i uspostavljati veze sa udaljenim mreama preko telefonskih linija, ukljuujui i Internet, preko raznih medija u koje spadaju modemi, ISDN prikljuci, uredaji sa infracrvenim zracima, paralelni prikljuci, serijske veze, X.25 i ATM 2003 klijenti uspostavljaju veze preko telefonskih linija. Windows 2003 dial-up klijenti podravaju irok spektar protokola za Kientifikaciju i drugih opcija za povezivanje o kojima emo detaljno govoriti u ovom poglavlju. Podrka za protokole za tunelovanje omoguava da klijenti uspostavljaju veze sa udaljenim mreama preko javnih mrea kao to je Internet.

    Slika 13.1: RRAS omoguava da se udaljeni korisnici prikljue na lokalnu mreu Server za povezivanje preko telefonskih linija (dial-up server): Windows 2003 server moe da funkcionie kao server za povezivanje preko telefonskih linija, ime se udaljenim klijentima omoguava da se prikljue na lokalni server i lokalnu mreu preko istih medija preko kojih ostvaruju izlazne veze . RRAS vam moe posluiti i kao podrka za terminalske sesije klijenata jer povezanim klijentima alje IP adrese i spaja potrebne protokole s RAS vezom. Windows 2003 podrava nekoliko protokola za proveru identifikacionih podataka i moe da uporedi akreditive korisnika s lokalnim ili domenskim korisnikim nalozima a moe i da koristi standardni industrijski mehanizam za proveru identiteta korisnika - RADIUS(Remote Authentication Dial In User Service). Kada uspostavi vezu, udaljeni korisnik moe da pretrauje, tampa, mapira jedinice za memorijske medije i obavlja sve ostale funkcije koje omoguava lokalni server ili lokalna mrea. Usmeravanje: Komponente RRAS-a koje slue za usmeravanje omoguavaju da Windows 2003 server funkcionie kao usmeriva za baratanje obinim i grupnim adresama. Windows 2003 omoguava filtriranje paketa, deljenje veza, usmeravanje na zahtev i nekoliko drugih funkcija koje ga ine pogodnim za usmeravanje u LAN i WAN mreama. Windows 2003 ima i neke osobine zatitne barijere. Iako su u Windowsu 2003 povezivanje preko telefonskih linija i usmeravanje integrisani, oni su u ovoj knjizi tretirani kao zasebne teme zbog razliitih osnovnih funkcija. Jedna od kljunih prednosti

    Administriranje mrea Windows 2003 RRAS-a, lei u tome to je on integrisan sa operativnim sistemom Windows 2003. Na klijentskoj strani to znai sledee: kada se veza uspostavi, klijent moe da pristupa resursima na serveru kao da su lokalni (kada uspostavi vezu, daljinski pristup je za korisnika transparentan jer operrativni sistem obavlja automatski sve to je potrebno). Klijent moe udaljeni deljeni resurs da pridrui oznaci lokalne jedinice za upravljanje memorijskim medijem, da tampa na udaljenim tampaima itd. Osim u veoma retkim okolonostima, aplikacije mogu da koriste udaljene resurse neprimetno, bez ikakvog dodatnog koda, odnosno nisu potrebne nikakve izmene zbog kojih bi postale svesne RAS-a ili mree. Na serverskoj strani integracija sa aktivnim imenikom znai da Windows 20o3 moe da koristi jedinstven mehanizam za proveru identiteta korisnika i lokalno i sa udaljenih lokacija. RRAS moe da uporedi podatke o identitetu sa korisnikim nalogom na lokalnom raunaru ili nalogom u domenu, a moe da koristi i eksterni mehanizam kakav je RADIUS. Zahvaljujui tome to podrava RADIUS, Windows 2003 RRAS omoguava da Windows 2003 Server funkcionie kao mreni prolaz za sve vrste mrea, prebacujui posao oko identifikacije na drugi server, koji moe biti koja RADIUS platforma pa i Unix server. Remote Authentication Dial-ln User Service (RADIUS) je standardan, vieplatformski protokol koji se obino koristi za proveru identiteta. Windows 2003 RRAS obezbeduje i tesnu integraciju sa aktivnim imenikom(AI). Integracija sa AI omoguava replikaciju korisnikovih parametara za daljinski pristup u koje spadaju prava pristupa, opcije za povratno pozivanje, bezbednosna strategija i drugi. Integracija u AI podrazumeva i pojednostavljeno administriranje i sve drugo to je svojstveno aktivnom imeniku. Windows 2003 podrava irok spektar komunikacionih protokola, ukljuujui Point-to-Point Protocol (PPP), Serial Line Internet Protocol (SLIP) i Microsoft RAS Protocol. Windows 2003 podrava vie metoda za identifikaciju korisnika u koje spadaju: Microsoft Challenge Handshake Authentication Protocol (MS-CHAP), Extensible Authentication Protocol (EAP), Challenge Handshake Authentication Protocol (CHAP), Shiva Password Authentication Protocol (SPAP) i Password Authentication Protocol (PAI). Od mrenih protokola podrani su TCP/IP, IPX/SPX i AppleTalk koji omoguava umreavanje Microsoft, Unix i Macintosh resursa i klijenata. 13.2.1 Nove mogunosti Windows 2003 RRAS-a Sve mogunosti RAS-a ili RRAS-a iz Windowsa NT nai ete i u Windows 2003 RRAS. Osim toga, otkriete i da su neke mogunosti poboljane i da je dodato mnogo novina o kojima emo govoriti u narednim odeljcima. Integracija u AD - Kao to smo ve napomenuli, Windows 2003 RRAS se integrie sa aktivnim imenikom. Ova integracija omoguava da se parametri klijenata replikuju u celoj organizaciji, to dovodi do proirenog pristupa i lakeg administriranja. Integrisanje u aktivni imenik pojednostavljuje administriranje i tako to vam omoguava da izaberemo nekoliko servera preko konzolne alatke za baratanje RRAS-om koja ima podrku za rad sa aktivnim imenikom; na taj nain obezbeeno je da se RRAS uslugama upravlja samo s jednog mesta. Protokol za raspodelu prenosnog opsega i protokol za kontrolu raspodele prenosnog opsega Protokol za raspodelu prenosnog opsega (Bandividth Allocation Protocol-BAP) i protokol za kontrolu raspodele prenosnog opsega (Bandwidth Allocation Control Protocol-BACP) omoguavaju daWindows 2003 RAS dinamiki dodaje linije u vielinijsku PPP vezu i uklanja ih iz nje u skladu sa optereenjem prenosnog kanala. Kada prenosni kanal postane preoptereen, RAS moe da uvede novu liniju radi usklaenja sa velikim optereenjem i poboljanja performansi. Kada se optereenje smanji, RAS moe da ukloni neke linije da bi se veza ekonominije koristila. BAP strategiju pode-avate preko strategije daljinskog pristupa koju moete da primenite na pojedine korisnike, grupe ili celu organizaciju. MS-CHAP, verzija 2 Prethodne verzije RAS-a su za identifikaciju udaljenih klijenata koristile Microsoft Challenge Handshake Authentication Protocol (MS-CHAP). MS-CHAP v2 obezbeuje veu sigurnost i podrava virtuelne privatne veze (VPN), koje omoguavaju da daljinski klijenti uspostave zatienu vezu sa privatnom mreom preko javne mree kakavje Internet. MS-CHAP v2 nudi nekoliko mogunosti koje doprinose veoj sigurnosti: Kodiranje (sifrovanje) odgovora koje se primenjuje u LAN Manageru a kojim se nekada obezbeivala kompatibilnost sa starijim verzijama klije-nata koji koriste daljinski pristup, nije vie podrano. Na taj nain je poveana sigurnost. MS-CHAP v2 ne podrava vie ni ifrovanje promene lozinke iz LAN Managera iz istih razloga.

    Administriranje mrea Podrana je obostrana provera podataka o identifikaciji, ime se obezbeuje dvosmerna provera identiteta izmeu udaljenog klijenta i RAS servera. U prethodnim verzijama, MS-CHAP je obezbedivao samo jednosmernu proveru podataka o identitetu i nije imao mehanizam pomou koga bi udaljeni klijent utvrdio da li udaljeni server zaista ima pristup njegovoj identifikacionoj lozinki. Verzija 2 omoguava ne samo da server proveri klijentov zahtev nego i da klijent verifikuje sposobnost servera da proveri njegov nalog. MS-CHAP v2 omoguava i bolje ifrovanje. etrdesetobitno ifrovanje koje se koristilo u prethodnim verzijama primenjivalo se na lozinke korisnika i davalo isti klju u svakoj sesiji. U verziji 2, osim lozinke klijenta koristi se i proizvoljan niz pomou koga se za svaku sesiju formira drugaiji kriptografski klju, ak i kada je korisnika lozinka u svakoj sesiji ista. Korienjem razliitih kriptografskih kljueva za razliite smerove prenoenja podataka obezbeuje se vea zatita pri prenosu podataka. Nadogradivi protokoli za proveru podataka o identitetu Protokol za proveru podataka o identitetu (EAP) omoguava da se metode za proveru dodaju RAS-u a da se pri tom ne mora menjati softverska osnova RAS-a isto kao to se u NTFS 5.0 moe dodati nova funkcionalnost a da se sistem za rad s datotekama ne mora menjati. EAP omoguava da se klijent i server dogovore o mehanizmu koji e koristiti za proveru identiteta klijenta. Trenutno EAP u Windowsu 2003 podrava EAP-MD5 CHAP (Challenge Handshake Authentication Protocol) EAP-TLS (Transport Level Security) i preusmeravanje na RADIUS server. Sva tri mehanizma bie detaljno objanjena u ovom poglavlju. Podrka za RADIUS Windows 2003 RRAS moe da funkcionie i kao RADIUS klijent, tako to prijave na sistem usmerava na RADIUS server, koji moe da sadri skup usluga Windows Authentication Service (ukljuen i u Windows 2003) koji se izvrava na istom ili i drugom serveru. RADIUS server ne mora da bude Windows 2003 sistem, to omoguava da RRAS koristi Unix RADIUS server ili RADIUS drugih proizvodaa koji mod ve imate. RADIUS preporuujemo zbog njegove sposobnosti baratanja nalozima a i nekoliko proizvodaa je razvilo uslune programe koji omoguavaju integraciju sa podrkom za rad baza podataka kao to su SQL server i praenje pristupa klijenata. Strategije daljinskog pristupa Windows 2003 nudi administratorima znatno veu fleksibilnost upravljanja daljinskim pristupom korisnika i podeavanja parametara za pristup preko telefonskili linija. Windows NT RRAS je imao samo kontrolu opcija za povratne pozive a panrametri su podeavani za svakog korisnika posebno. U Windowsu 2003 i dalje moete da podeavate prava daljinskog pristupa preko korisnikih naloga, kao i u Windows 2000 RRAS-u, ali moete da koristite i strategiju daljinskog pristupa pomou koje definiete parametre za jednog ili vie korisnika. Strategija daljinskog pristupa omoguava da fino podeavate parametre korisnika i opcije kao to su dozvoljeno vreme pristupa, maksimalno trajanje sesije, identifikaciju, bezbednost, BAP strategiju itd. Podrka za Macintosh klijente Windows 2003 omoguava daljinski pristup Macintosh klijentima jer on podrava funkcionisanje AppleTalka preko PPP-a za Macintosh klijente. Time je omogueno da se Macintosh klijenti poveu s Windows 2003 RAS serverom korienjem standardnih protokola PPP i AppleTalk. Nadziranje naloga Windows 2003 RAS doprinosi poveanju bezbednosti time to podrava nadziranje naloga, koje funkcionie tako to se korisniki nalog zakljuava posle zadatog broja neuspelih pokuaja prijavljivanja na sistem. Ova mogunost pomae pri zatiti od tzv. ,,napada pomou renika lozinki" koje hakeri koriste za nedozvoljen pristup Ove napade izvode tako to formiraju renik lozinki i pokuavaju da pristupe nalogu koristei jednu po jednu lozinku. Nadziranje podeavate preko dva parametra: broja neuspelih pokuaja pristupa pre zakljuavanja naloga i koliko dugo nalog ostaje zakljuan pre nego to se broja pokuaja vrati na nulu. Konzola za baratanje skupom usluga Routing and Remote Acces Microsoft je veinu administrativnih i upravljakih funkcija integrisao u module MMC konzole pa ni RRAS nije izuzetak. Konzola Routing and Remote Access omoguava da podesite RRAS server i da upravljate njime. RRAS konzola slui za centralizovano upravljanje RRAS parametrima. Osim prikljuaka i interfejsa, mogu se podeavati i globalne opcije, parametri i RRAS strategija.

    Administriranje mrea 13.2.2 Tipovi veza i protokoli u RAS-u Windows 2003 podrava vie tipova veza i mrenih protokola za daljinski pristup i to: - Serial Line Internet Protocol - Serial Line Internet Protocol, ili SLIP, potie iz sveta Unixa. SLIP ima ogranienu funkcionalnost jer ne podrava otkrivanje i ispravljanje greaka. Windows 2003 serveri mogu da koriste SLIP protokol za povezivanje sa Unix serverima (i drugim serverima koji zahtevaju SLIP), ali Windows 2003 server ne podrava ostvarivanje veza posredstvom telefonskih linija preko SLIP-a. - Protokol Point-to-Point - Protokol Point-to-Point, ili PPP, standardizovana je alternativa protokolu SLIP. On nudi bolje performanse i veu pouzdanost. Za razliku od protokola SLIP, PPP je projektovan na osnovu industrijskih standarda i u sutini omoguava da se svaki klijent, kompatibilan sa PPP-om, prikljui na PPP server. Windows 2003 podrava i ulazne i izlazne veze preko telefonskih linija. Na Windows 2003 RAS serveru, PPP omoguava da udaljeni klijenti koriste protokole IPX, TCP/IP, AppleTalk ili njihove kombinacije. Windows klijenti (Windows NT, Windows 9x i Windows 3.x), ukljuujui i Windows 2003, mogu da koriste bilo koju kombinaciju IPX-a ili TCP/IP-a, ali ne mogu koristiti AppleTalk. Macintosh klijenti mogu da koriste ili TCP/IP ili AppleTalk. PPP podrava i nekoliko protokola za identifikaciju, u koje spadaju MS-CHAP, EAP, CI SPAP i PAP. - Vielinijski protokol Point-to-Point i protokol BAP - Protokol Point-to-Point Multilink (PPMP) ili samo Multilink, omoguava kombinovanje vie PPP linija tako da se dobije vei prenosni opseg. Na primer, moete koristiti Multilink da biste kombinovali dva analogna modema brzine 56 Kb/s i tako dobili zbirni prenosni opseg od priblino 112 Kb/s. A moda ete kombinovati oba B kanala ISDN Basic Rate Interface (BRI) veze da biste dobili dvaput vei prenosni opseg. BAP potie od engleskog naziva Bandwidth Allocation Protocol to oznaava protokol za raspodelu prenosnog opsega. Ovaj protokol radi u konjunkciji s Mutilink protokolom i obezbeuje prilagodljiv prenosni opseg. Kada optereenje prenosnog kanala postane veoma veliko, BAP omoguava da klijenti koriste dodatne linije ime se poveava prenosni opseg i poboljavaju performanse. Kada se optereenje smanji, BAP omoguava da klijenti iskljue linije zbog ekonominosti (u sluaju da se linije posebno naplauju). - Protokol Point-to-point Tunneling - Protokol TCP/IP sam po sebi ne obezbeuje ifrovanje i zatitu podataka, to je korisnicima koji ele da bezbedno razmenjuju podatke preko javne mree kao to Internet, veoma znaajno. Point-to-Point Tunneling Protocol (PPTP) obezbeuje ifrovanje i kapsuliranje IP i IPX paketa u cilju bezbednog prenosa. PPTP je proirenje protokola PPP koje vam omoguava da formirate VPN vezu (Virtual Private Network) izmedu klijenta i servera. PPP paketi u PPTP sesiji ifruju se pomou metode za ifrovanje Microsoft Point-to-Point Encryption (MPPE) u kojoj se kriptografski kljuevi generiu primeni MS-CHAP ili EAP-TLS identifikacionog postupka. PPTP sam po sebi ne obezbeujeifrovanje nego kapsulira ve ifrovane PPP pakete. Da bi se omoguila bezbedna veza, klijent mora da koristi identifikacionu metodu MS-CHAP ili EAP-TLS. Inae PPP paketi se kapsuliraju neifrovani (kao obian tekst). Na slici 18.2 prikazano kako PPTP kapsulira podatke. PPTP se automatski instalira kada se instalira i Windows 2003 RRAS, osim ako drugaije ne kaete.PPTP je dobar izbor za formiranje sigurne veze sa privatnom mreom prekojavne mree kao to je Internet, kada udaljena mrea nije konfigurisana da podrava IPSec.

    Administriranje mrea

    Slika 18.2: PPTP i L2TP koriste razliite metode za kapsulaciju i ifrovanje. - Protokol Layer Two Tunneling - U protokolu Layer Two Tunneling (L2TP) sjedinjene su osobine PPTP protokola i podrka za IP Security (IPSec) kako bi se dobila vea bezbednost. Za razliku PPTP-a, koji za ifrovanje koristi MPPE, protokol L2TP za ifrovanje koristi IPSec. Dakle, i izvorini i odredini usmerivai moraju da podravaju i L2TP i IPSec. Na slici 18.2 prikazano je kako L2TP kapsulira podatke. L2TP se automatski instalira prilikom instaliranja Windowsa 2003. L2TP osigurava veu bezbednost nego PPTP jer podrava IPSec. L2TP je bolji za formiranje VPN veza od PPTP-a kada je udaljena mrea konfigurisana da podrava IPSec. 13.2.3 Transportni protokoli Kao to smo ve u ovom poglavlju napomenuli, RRAS podrava tri mrena protokola: TCP/IP, IPX i AppleTalk. Windows 2003 RRAS server podrava sva etiri protokola za ulazne veze. Windows 2003 klijenti podravaju sve protokole osim AppleTalka. Kada instalirate RRAS, Windows 2003 omoguava funkcionisanje svih trenutno instaliranih protokola za ulazne i izlazne RRAS veze. Podrane protokole moete podesiti tako da klijenti mogu da pristupaju samo RAS serveru ili samo LAN-u. Pristup podeavate za svaki protokol posebno. TCP/IP : Kao protokol za uspostavljanje izlaznih veza preko telefonskih linija, TCP/IP omoguava da Windows 2003 klijente povezujete s gotovo svim TCP/IP mreama ukljuujui Internet. IP adresu, masku podmree, podrazumevani mreni prolaz i ostale parametre za izlazne veze moete da dodelite statiki ili da ih prepustite udaljenom serveru. Kao protokol za ulazne veze, TCP/IP omoguava da se svaki klijent koji podrava i TCP/IP i PPP povee sa Windows 2003 RAS serverom. Adrese moete dodeljivati iz statikog prostora adresa ili to, kao i podeavanje ostalih svojstava udaljenih klijenata, moete prepustiti DHCP-u. Osim toga, ostavljena je i mogunost da klijenti zahtevaju IP adresu koje su unapred definisane na klijentskoj strani. IPX : IPX protokol se primarno upotrebljava u okruenjima u kojima se koriste Novell NetWare klijenti ili serveri. IPX omoguava da Windows 2003 RAS serveri budu umreeni s NetWare serverima i da klijenti pristupaju NetWare resursima preko RAS veze. Windows 2003 RAS server na kome je istaliran IPX slui i kao IPX usmeriva koji upravlja RIP, SAP i NetBIOS saobraajem izmeu lokalne mree i udaljenih klijenata. Osim to moraju da koriste IPX protokol, udaljeni klijenti moraju da imaju i NetWare preusmeriva. Server mora da koristi protokol kompatibilan sa IPX-om, SPX-om ili NetBIOSom. Windows 2003 RAS server za povezivanje klijenata koristi IPX mrene brojeve i brojeve vorova. Server moe automatski da generie IPX mreni broj, ili da ga uzme iz statikog adresnog prostora koji je definisao administrator (isto kao za TCP/IP). Ako se brojevi dodeljuju dinamiki, server prvo mora proveriti da li se taj broj ve koristi, pa tek onda dodeljuje broj svim klijentima koji ostvaruju daljinski pristup. Dodeljivanje istog mrenog broja svim klijentima smanjuje uestanost RIP emitovanja s RAS servera.

    Administriranje mrea AppleTalk : Protokol Apple Talk koriste Macintosh klijenti. Windows 2003 RAS podrava Apple Talk da bi se udaljeni Macintosh klijenti mogli prikljuiti na server i pristupati njegovim deljenim resursima ili drugim AppleTalk klijentima u mrei. Da biste mogli da koristite AppleTalk za povezivanje preko telefonskih linija, morate da instalirate AppleTalk protokol na RAS server. 13.3 Omoguavanje pokretanja RRAS-a i njegovo podeavanje Iako e i RRAS biti automatski instaliran kada instalirate Windows 2003, morate omoguiti njegovo funkcionisanje da biste mogli da ga konfiguriete i koristite. Da bi to uradili, izaberite Start>All Programs>Administrative Tools>Routing and Remote Access - otvorie se RRAS konzola. Pritisnite desnim tasterom server u levom uglu i izaberite Configure and Enable Routing and Remote Access da biste pokrenuli arobnjaka RRAS Setup. RRAS za odreene primene moete podesiti automatski (pomou arobnjaka) ili runo. Ako omoguite pokretanje RRAS-a i izaberete da ga podesite runo, a kasnije odluite da ipak pokrenete arobnjaka, izgubiete tekue konfiguracione parametre. Da biste promenili parametre pomou arobnjaka, otvorite RRAS konzolu, pritisnite desnim tasterom server pa izaberite Disable Routing and Remote Access. Kada se RRAS zaustavi, pritisnite ponovo server desnim tasterom pa izaberite Configure and Enable Routing and Remote Access. arobnjak ima pet osnovnih opcija za podeavanje RRAS-a: Remote access (dial-up or VPN): Omoguava povezivanje udaljenih klijenata sa serverom, putem telefonske linije ili virtuelne privatne veze. Network address translation (NAT): Omoguava usluge prevodenja mrenih adresa klijentima u privatnim mreama, kojima je potrebno povezivanje sa Internetom. Virtual private network (VPN) access and NAT: Omoguava podrku za povezivanje klijenata sa serverom preko virtuelnih privatnih veza putem Interneta i povezivanje sa Internetom klijenata u lokalnim mreama, koji su zatieni mehanizmom NAT. Secure connection between two private networks: Uspostavlja vezu preko telefonske linije na zahtev ili trajnu vezu, pri emu server ima ulogu usmerivaa. Custom configuration: Omoguava vam da izaberete pojedinane usluge RRAS-a, kao to su prevodenje mrenih adresa, usmeravanje u LAN mreama i pristup preko virtuelne privatne veze. 13.4 IP usmeravanje Osim u posebnim privatnim mreama, usmeravanje ima znaajnu ulogu i u TCP/IP-u. Usmeravanje omoguava da paketi poslati ka spoljnim podmreama stignu do odredita i da mreni saobraaj sa udaljenih mrea stigne do vae mree. Windows 2003 sadri uslugu Routing and Remote Access (RRAS), koja omoguava da server funkcionie kao namenski usmeriva ili usmeriva koji radi na zahtev-veza se uspostavlja samo po potrebi. U ovom odeljku se razmatra IP usmeravanje i, posebno, RRAS-ovi elementi za usmeravanje. Usmeriva (router) radi zajedno s drugim delovima mrenog hardvera, kako bi se mreni saobraaj usmerio ka odreditu. Na primer, kada u kancelariji otvorite ita Weba i potraite novosti na stranici www.foxnews.com,va mreni usmeriva usmerava saobraaj ka Internetu. U tom trenutku, drugi usmerivai vode rauna o kretanju saobraaja ka toj stanici i vraanju odgovora. Drugi primer je uspostavljanje veze sa ISP-om od kue, preko telefonske linije. Jedan ili vie usmerivaa tog ISP-a povezuje svoju mreu sa Internetom i upravlja mrenim saobraajem ka raunarima, odnosno od raunara povezanih korisnika. Usmeriva se obino nalazi na granici izmedu dve ili vie podmrea. Ta granica je poznata pod nazivom preskok (hop). Svaki put kada paket proe kroz usmeriva, uveava se broj preskoka. Usmerivai postoje na svim podmreama sa kojima je preskok povezan, tako da je povezan sa svakom podmreom. Kada saobraaj stigne u usmeriva iz odreenog interfejsa, usmeriva ga usmerava ka odgovarajuem interfejsu. Ako usmeriva prepozna da je broj preskoka paketa, na putu do odredita, preveliki - prenos paketa prekida, a poiljaocu e biti poslata povratna poruka da je isteklo vreme prenosa paketa. Taj zatitni mehanizam spreava beskonano prenoenje po Internetu podataka koji ne mogu biti usmereni ka jednom interfejsu. Na veini usmerivaa, broj preskoka je ogranien na 30. Usmeriva ispituje svaki paket koji u njega ulazi, kako bi utvrdio odredinu mreu paketa. To se postie ispitivanjem odredine adrese u zaglavlju paketa. Zatim usmeriva odluuje koji e od svojih interfejsa koristiti za usmeravanje saobraaja i aktivira slanje. Pretpostavimo da jedan usmeriva ima tri interfejsa: jedan za lokalnu mreu, jedan za drugu lokalnu mreu i trei za povezivanje sa Internetom. Neka je prva lokalna mrea (A) u podmrei na adresama od 208.141.235.33 do 208.141.235.62 a druga lokalna mrea (B) koristi adrese od 208.141.235.129 do 208.141.235.158. Paket stie u usmeriva iz podmree A sa

    Administriranje mrea odredinom adresom 208.147.235.137. Usmeriva usmerava paket kroz interfejs povezan s podmreom B. Stie drugi ulazni paket sa odredinom adresom 205.135.201.130, tako da usmeriva alje taj paket kroz interfejs povezan sa Internetom, poto adresa ne pripada nijednoj lokalnoj podmrei.Usmerivai koriste tabele putanja-routing tables koje sadre putanje-routes za odreivanje destinacije paketa. Putanje omoguavaju usmerivau da odredi relativne lokacije razliitih mrea u odnosu na svoje interfejse, tako da moe poslati pakete ka odgovarajuem interfejsu, kako bi stigli do pravog odredita. Putanje u tabeli putanja pripadaju jednom od sledeih tipova: Mrena putanja (network route) daje putanju za odreeni ID mree i, na taj nain, za sve adrese raunara unutar te mree. Putanja ka raunaru (host route) daje putanju do odreenog rauna definiui adresu mree i adresu tog raunara. Podrazumevana putanja (default route) koristi se za usmeravanje saobraaja za koji ne postoji ni mrena putanja, ni putanja ka raunaru. Na primer, usmeriva za povezivanje lokalne mree sa Internetom imao bi podrazumevanu putanju koja usmerava saobraaj ka interfejsu Interneta. Opta svojstva svake putanje u tabeli putanja su: ID mree/adresa raunara/maska podmree: Ova svojstva identifikuju ID odredine mree ili adresu raunara i odredinu podmreu. Usmeriva uporeuje odredine adrese u paketima s vrednostima ovih svojstava. Ako adresa paketa ispunjava kriterijum, za obraivanje tog paketa usmeriva koristi adresu na koju se paket prosleuje i podatke interfejsa, pridruene putanji. Adresa za prosleivanje: Usmeriva prosleuje pakete koji ispunjavaju uslove na tu adresu. To moe biti adresa drugog usmerivaa ili mrenog interfejsa lokalnog usmerivaa (izlazni saobraaj se usmerava na odreeni prikljuak usmerivaa). Interfejs: Ovo je broj ili logiki identifikator prikljuka, preko koga se saobraaj usmerava na datu putanju. Metrika: Odreuje relativnu cenu putanje, na osnovu trokova, raspoloivog prenosnog opsega i tako dalje.Ako postoji vie putanja za jednu mreu ili raunar, koristi se ona sa najniom metrikom. Kada paket stigne u usmeriva, on trai odredinu adresu iz zaglavlja paketa i prema tabeli putanja odreuje putanju paketa. Ako usmeriva pronae putanju koja odgovara odredinoj adresi, on alje paket koristei adresu za prosleivanje pridruenu toj putanji. Ukoliko usmeriva ne pronae odgovarajuu putanju, paket se prosleuje po podrazumevanoj putanji (ako je takva putanja definisana za usmeriva). Podrazumevana putanja se koristi za obradu mrenog saobraaja kad god ne postoji posebno definisana putanja. Kako usmerivai pronalaze svoje putanje? Jedna metoda je dinamiko prepoznavanje putanja drugih usmerivaa i prenoenje putanja drugim usmerivaima. Usmerivai komuniciraju primenom protokola za usmeravanje, a dva najee koriena u IP usmeravanju su Routing Information Protocol (RIP) i Open Shortest Path First (OSPF). Windows 2003 podrava oba navedena protokola (moe podrati i dodatne protokole). Druga metoda je da usmerivai koriste statike putanje. Pri podeavanju usmerivaa napravite statiku putanju, ime se tabeli putanja dodaje odgovarajua stavka. Usmeriva moe upravljati celokupnim saobraajem primenom statikih putanja, to je uobiajeno u malim i srednjim organizacijama. Na primer, ako se povezujete samo s malim brojem podmrea na Internetu, statike putanje se mogu koristiti za obradu celokupnog saobraaja, pri emu podrazumevana putanja reava problem saobraaja ka Internetu. Protokol RIP Prednost RIP-a, jednog od dva protokola koji se u Windowsu 2003 koriste za usmeravanje IP saobraaja, jeste relativno jednostavno podeavanje. Protokol RIP je pogodan uglavnom za male i srednje poslove, poto je 15 gornja granica broja preskoka. Svaku adresu udaljenu vie od 15 preskoka RIP smatra nedostupnom. Kada se prvi put pokrene usmeriva koji koristi RIP, njegova tabela putanja sadri putanje samo za fiziki povezane mree. RIP periodino emituje poruke stavkama tabele putanja, tako da susedni usmerivai mogu prema tome podesiti svoje putanje. Poto se usmeriva startuje, on koristi poruke RIP-a susednih usmerivaa kako bi ponovo sklopila svoju tabelu putanja. Protokol RIP koristi i aktivirane izmene tabela putanja. One se deavaju kad usmeriva otkrije u mrei neku promenu, kao to je poetak ili kraj rada interfejsa. Aktivirane izmene se odmah emituju. Po prijemu izmene, usmerivai menjaju s tabele putanja i prenose promene susednim usmerivaima. Windows 2003 podrava verzije 1 i 2 protokola RIP. U verziji 2 postoje dodatne mogunosti, kao to su bezbednost ravnopravnih lanova i filtriranje putanja. Protokol OSPF Protokol OSPF daje efikasne naine za reavanje problema usmeravanja veoma velikim mreama, kao to je Internet. OSPF koristi algoritam za izraunavanje najkraeg puta izmeu

    Administriranje mrea usmerivaa i susednih mrea. Usmerivai s tim protokolom odravaju bazu podataka o vezama (link state database) koja sadri podatke o meusobno povezanim mreama. Ta baza podataka se menja kad god se promeni topologija mree. Susedni OSPF usmerivai usaglaavaju svoje baze podataka i prema tome menjaju i tabele putanja. Zbog svoje mogunosti prilagoavanja, OSPF je posebno pogodan za velike mree. Podeavanje ovog protokola je sloenije. Ako imate veoma veliku mreu OSPF moe biti dobar izbor za potrebe usmeravanja. U sluaju manjih mrea, razmotrite primenu RIP-a. Kad povezujete malo mrea, najbolje i najjednostavnije reenje mogu biti statike putanje. Usmeravanje pomou RRAS-a - Osim pruanja usluga daljinskog pristupa koje omoguavaju da se Windows 2003 ponaa i kao server i kao klijent za povezivanje preko telefonske linije, RRAS omoguava Windowsu 2003 da funkcionie kao usmeriva i za neprekidne veze i za veze koje se uspostavljaju na zahtev klijenta. Na primer, neka kompanija ima dve cecine koje povremeno moraju da prenose podatke izmeu mrea. S obzirom na cenu, izmeu te dve mree nije pogodna ni iznajmljena telefonska linija, ni direktna Internet veza, tako da se moe definisati usmeriva koji se na zahtev povezuje s drugim usmerivaem (na primer, preko telefonske linije) kad god treba usmeriti saobraaj ka drugoj mrei. Sve funkcije koje podrava RRAS Windowsa 2003 zahtevaju usmeravanje. Ako konfiguriete RRAS server pomou arobnjaka, na tom serveru e biti omogueno i usmeravanje. 13.5 Prevoenje mrenih adresa RRAS Windows Servera 2003 servera nudi kompletnu uslugu prevodenja mrenih adresa (Network Address Translation, NAT). Prevoenje mrenih adresa nije novo a nastalo je iz potrebe da se znaju IP adrese vorova. S obzirom na brzinu rasta Interneta, praktino je nemoguce dobiti irok opseg IP adresa, pogotovu ako ste mala firma. Davalac Internet usluga dodelie vam do esnaest adresa opsega C posle ega ete troiti mnogo novca na namenske Internet usluge da biste dobili onoliko adresa koliko vam treba. Mnoge male firme koriste ADSL linije (engl. Asymmetric Digital Subscnber Lnies) koje su jeftinije a esto i bre od namenskih veza ka Internetu, na primer od veza Frame Relay ili ISDN-a. Meutim, davalac Internet usluga e vam dodeliti mali opseg adresa (nekada i samo jednu IP adresu). Ako nameravate da instalirate odreden broj vorova na svojoj internoj mrei, na primer DNS, mail, Active Directory Web, FTP i treba da usmeravate Internet saobraaj ka tim vorovima, bie van potreban uredaj za prevodenje mrenih adresa, NAT Server. Skup usluga NAT ukljuen u Windows Server 2003 namenjen je malim firmama ili za kucnu upotrebu. Vee firme e verovatno koristiti zatitnu barijeru sa NAT uslugama ugraenim u tehnologiju provere paketa. Usmerivai, ak i za male firme, obino se isporuuju s podrkom za NAT. NAT ublaava potrebu za veim brojem IP adresa tako to preslikava spolja dodeljene IP adrese na interne ili privatno dodeljene adrese (pretvarajui jednu IP adresu u drugu). Ovo znai da jedna IP adresa moe da se koristi za itav opseg IP adresa na prikrivenoj mrei. Skupovi usluga Windows 2003 NAT i RRAS koriste prevoenje mrenih adresa i za druge stvari. NAT moe da proverava dolazne pakete i imena vorova i da iz internog DNS-a dobije IP adresu vora. NAT zatim usmerava pakete pristigle na javnu adresu internim vorovima i, prema pravoj usluzi, preko prikljuaka za koje je podeen. Podeavanje NAT-a Kao to smo rekli na poetku ovog poglavlja, obino se internoj mrei male firme dodeljuje mrea klase B koja poinje od adrese 192.168.0.0. Naoruani IP adresama internih vorova i IP adresama koje vam je dodelio davalac Internet usluga, pokrenite arobnjaka RRAS Setup, da biste podesili server za prevoenje mrenih adresa (pritisnite desnim tasterom RRAS konzolu i Configure and Enable Routing and Remote Access). Izaberite opciju Network Address Translation, pritisnite Next i unesite sledee: Use this public interface to connect to the Intemet. Izaberite mreni interfejs koji je povezan sa Internetom. Interfejs ne mora biti javni - zatitna barijera ili privatni mreni segment moe se nalaziti izmedu tog interfejsa i javnog prisustva na Internetu. Create a new demand-dial interface to the Intemet. Izaberite ovu opciju ako hoete da napravite nov interfejs za Internet, koji uspostavlja vezu na zahtev. j Enable security on the selected interface by setting up a basic firevvall. Izaberite ovu opciju da biste omoguili zatitnu barijeru intefejsa. Uslugu prevodenja mrenih adresa moete dodati i runo, ako ste prethodno omoguili pokretanje RRAS-a za neku drugu namenu. Primenite sledee korake da biste runo dodali, odnosno podesili NAT: 1. Prvo dodajte novi protokol za usmeravanje, Network Address Translation. Pritisnite desnim tasterom opciju General i izaberite New Routing Protocol. Iz hijerarhijskog prikaza (engl. tree uiew)

    Administriranje mrea konzole izaberite server i otvoritega do vora NAT/Basic Firewall. U oknu sa desne strane pojavie se interfejsi (mrene kartice). 2. Pridruite interfejs protokolu. Pritisnite desnim tasterom NAT/Basic Fire i izaberite New Interface. Imaete dve mogunosti: da konfiguriete int( r za internu mreu ili za eksternu mreu (Internet). Izaberite interfejs i pnt snite OK. Prikazae se okvir za dijalog Network Address Translation Pr ties. Zadajte da li e interfejs biti povezan sa Internetom ili s privatnoin mreom. Pritisnite OK. 3. Izaberite interfejs koji hoete da podesite i pritisnite ga desnim tastero Izaberite Properties. Pojavie se okvir za dijalog Local Area Connectior Properties. 4. Na kartici Address Pool, navedite IP adrese koje ste dobili od davaoca ml U mnogim sluajevima, ADSL e vam dinamiki dodeliti adresu koja treh ostane trajna, to znai da e se ista IP adresa obnavljati kad god istekm DHCP najam. Moete traiti od davaoca usluga da rezervie jedan broj z 5. Na kartici Services and Ports, oznaite uslugu za koju vam treba prevoc' Otvorie se okvir za dijalog Edit Service. 6. LJ polje Private Address unesite IP adresu servera koji prua oznaenu uslugu. Pritisnite OK. 7. Ako hoete da dodate uslugu koja se ne nalazi u listi, pritisnite Add - ot\ se okvir za dijalog Add Service. U polje Description of Service unesite n usluge. 8. U polje za dolazni prikljuak unesite broj prikljuka koji se obino dodei odabaranoj IP usluzi: na primer, prikljuak 21 za FTP ili 25 za SMTP. 9. U polje za odlazni prikljuak upiite broj privatnog prikljuka koji ete d liti istoj usluzi. To moe biti prikljuak za odlaznu IP uslugu ili bilo koji i kljuak koji koriste vai unutranji resursi. (Ako zadate veliki broj prikljn na primer 5000, poveaete bezbednost svoje mree jer ete oteati po hakerima.) 10. U polje Private address upiite privatnu adresu TCP/IP usluge (to je obi adresa vora). 11. U polje On this address pool entry unesite javnu IP adresu koja treba cl prevede (na suprotnoj strani interfejsa). To bi bilo sve o podeavanju NAT-a. Razmetaj treba paljivo da planirate biste klijente usmerili na Internet kako bi itali Web i koristili druge usluge, trel konfiguriete privatnu odlaznu IP adresu na NATu kao mreni prolaz ka Inten NAT e ovu adresu prevesti u pravu javnu adresu.

    You might also like