Internetworking Guide Microsoft 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof 2000 Server 2002 УДК 004 Microsoft Corporation Межсетевое взаимодействие. Ресурсы Microsoft ...
-- [ Страница 7 ] --Х учетная запись VPN-сервера включена в группу безопасности and IAS Servers. Для просмотра текущих регистрации используйте манду ras show registeredserver, а для сервера в домене Ч команду netsh ras add registeredserver;
Х Если Вы компьютер VPN-сервера в группу and IAS Servers или удаляете из нее, не в силу (из-за службы каталогов Directory в Windows 2000). Чтобы изменения немедленно вступили в силу, перезагрузите этот компьютер.
В случае удаленного доступа убедитесь, что используемые на удаленный доступ.
Убедитесь, что на VPN-сервере есть свободные РРТР- или При увеличьте количество этих портов.
Проверьте, ли VPN-сервером протокол ис пользуемый По умолчанию удаленного доступа Windows 2000 настроены на автоматический выбор тина сервера, т. е. сначала они пытаются на L2TP поверх I а затем, если первое не удается. VPN-соединение на РРТР. Если на тип сервера выбран Tunneling (РРТР) протокол точка-точка или Protocol (L2TP) [Туннельный я 2 проверьте, поддерживается ли VPN-сервером туннелирования.
По умолчанию компьютер под управлением Windows 2000 и службы мар шрутизации и удаленного доступа является РРТР- и с пятью и пятью Чтобы создать только ука жите, что число равно 0. А чтобы создать только жите, что число равно 0.
В случае VPN-соединений доступа на основе L2TP поверх что на VPN-клиенте и сервере установлены сертификаты компьюте ров, также называемые машинными сертификатами. Подробнее об устранении проблем с см. главу 8 в книге из серии Ресурсы Windows 2000 Server.
Проверьте в удостоверениях данных) VPN-клиента правильность име ни и пароля а также имени и что они быть проверены VPN-сервером.
Если VPN-сервер настроен на использование статического пула верьте, достаточно ли адресов в пуле.
Если все адреса из статического пула уже не сможет очередной IP-адрес. Если сконфигуриро на использование только запрос на соединение будет Если требует выделить ему определенный что VPN-сервер делать.
394 ЧАСТЬ 2 доступ Х Если VPN-сервер удаленного доступа настроен на диапазон номеров IPX-сетей, убедитесь, что эти номера не используются где-нибудь в другой части межсете вой IPX-среды.
Х Проверьте конфигурацию службы аутентификации.
VPN-сервер может быть настроен на аутентификацию удостоверений VPN-кли ентов либо через Windows, либо через RADIUS.
Х Если VPN-сервер является рядовым сервером в домене Windows 2000 основно го режима, убедитесь, что он присоединился к домену.
Х Если VPN-сервер под управлением Windows NT 4.0 с Service Pack 4 и выше яв ляется членом домена Windows 2000 смешанного режима или если VPN-сервер под управлением Windows 2000 включен в домен Windows NT 4.0, считывающий параметры пользовательских учетных записей из доверяемого домена Win dows 2000, включена ли группа Everyone (Все) в группу Pre-Win dows 2000 Access. Для этого воспользуйтесь командой 2000 Compatible В случае отрицательного результата введите команду net localgroup 2000 Compatible every one /add на контроллере домена и перезагрузите его.
Х Если VPN-сервер под управлением Windows NT 4.0 с Pack 3 и ниже яв ляется членом Windows 2000 смешанного убедитесь, что группе Everyone предоставлены права на содержимого (list чте ние всех свойств (read all properties) и (read) до узла домена и всех корневого домена.
Х В случае аутентификации через RADIUS проверьте, взаимодействует ли компь ютер VPN-сервера с сервером RADIUS.
Х В случае с использованием и с 40-бит ным ключом убедитесь, что длина пароля не превышает 14 символов, Запрос на соединение принимается, хотя должен быть Убедитесь, что данные параметры соединения запрещены в удален ного Чтобы запрос на соединение отклонялся, его параметры должны быть ны одним из двух способов: в свойствах учетной записи выберите переключа тель либо Deny access (Запретить доступ), либо Control access through Remote Access Policy (Управление на основе политики удаленного доступа). Но в пос леднем случае разрешение на удаленный доступ в первой политике удаленного доступа, соответствующей параметрам запроса на соединение, укажите как Deny remote access permission (Отказать в праве удаленного доступа).
Подробнее о политиках удаленного доступа см. справочную систему Win dows 2000 Server и главу 7 удаленного в этой книге.
Адреса за VPN-сервером недостижимы Х Убедитесь, что LAN-протоколы, используемые VPN-клиентами, либо поддержи вают либо позволяют обращаться к сети, к которой Х Проверьте настройки IP-адресов VPN-сервером.
ГЛАВА 9 Виртуальные частные сети Если VPN-сервер настроен на использование статического пула IP-адресов, про верьте, ли адреса из этого пула хостами и маршрутизаторами расети. Если нет, добавьте на маршрутизаторы интрасети IP-маршрут, ствующий статическому пулу VPN-сервера (пул определяется по IP адресу и маске диапазона), или включите на VPN-сервере подходящий прото кол маршрутизации. Если к подсетям VPN-клиентов удаленного до ступа отсутствуют, эти клиенты не смогут получать трафик из интрасети. Мар шруты к подсетям указываются либо статически, либо определяются лом (OSPF или Если VPN-сервер на выделение IP-адресов через DHCP, a сервер недоступен, VPN-сервер выделяет адреса из диапазона 169.254.0.1 169.254.255.254, зарезервированного для автоматического назначения IP-адресов (APIPA). Функция APIPA применима к VPN-клиентам доступа только в том случае, если в сети, к которой подключен тоже используются адреса, назначаемые APIPA.
Если VPN-сервер использует при доступном правильно ли адаптер для IP-адресов от По умолчанию VPN-сервер выбирает такой адаптер случайным образом. Если на компьютере имеется несколько сетевых адаптеров, служба маршрутизации и удаленного доступа может выбрать сетевой адаптер, через который DHCP-;
:ep вер недоступен, Вы можете сами выбрать подходящий сетевой адаптер на ке IP в окне свойств сервера удаленного доступа (через оснастку Routing Remote Access).
Если диапазон IP-адресов статического пула является подмножеством на IP-адресов сети, к которой подключен VPN-сервер, убедитесь, что ны IP-адресов из статического пула не назначаются другим ни статически, ни через DHCP.
В случае между маршрутизаторами убедитесь, что на обеих сторонах такого имеются маршруты, обеспечивающие двухсто ронний обмен трафиком.
В отличие от VPN-соединения удаленного доступа VPN-соединение мар шрутизаторами не приводит к автоматическому созданию маршрута по умолча нию. Вы должны сами соответствующие маршруты на обеих между маршрутизаторами, чтобы можно было трафик, передаваемый другой или от нес.
Вы можете добавлять статические маршруты в таблицу маршрутизации либо либо через протоколы маршрутизации. В последнем случае посто янных VPN-соединений можно использовать OSPF или RIP, а для по требованию Ч механизм автостатических В случае VPN-соединения между маршрутизаторами, инициируемого из сторон (two-way initiated router-to-router VPN connection), что оно не воспринимается VPN-сервером как соединение удаленного Если имя пользователя из удостоверений вызывающего маршрутизатора ляется в папке Remote Access Clients (Клиенты доступа) оснастки Routing and Remote Access, значит, VPN-сервер считает вызывающий маршру тизатор клиентом удаленного доступа. Убедитесь, что имя в 396 ЧАСТЬ 2 Удаленный доступ вызывающего маршрутизатора совпадает с именем интерфейса со по требованию на VPN-сервере.
Х случае VPN-соединения по требованию, инициируе мого только одной из сторон (one-way initiated VPN connection), убедитесь, что маршруты маршрутизатора сконфигури как статические (в параметрах входящих звонков в свойствах пользова тельской учетной записи, этим маршрутизатором).
Х что фильтры в профиле политики удаленного дос тупа на VPN-сервере не препятствуют передаче или приему необходимого TCP/ IP-трафика. Учтите, что эти фильтры могут быть сконфигурированы на RADIUS, если используется служба проверки подлинности в Интернете (IAS).
Х В случае по требованию проверьте, не установлены ли на ин терфейсах по требованию вызывающего и отвечающего маршру тизаторов фильтры препятствующие или нужного трафика.
Не удается создать туннель Х Убедитесь, что фильтрация пакетов на интерфейсе маршрутизатора между VPN клиентом и сервером не препятствует пересылке трафика протокола На VPN-сервере Windows 2000 фильтрация IP-пакетов настраивается в окне до полнительных параметров TCP/IP и в оснастке Routing and Remote Access. Про верьте оба этих места Ч возможно, фильтры блокируют трафик VPN Подробнее о трафике на VPN-соединении и фильтрации пакетов см. раздел Виртуальные частные сети и ранее в этой главе.
Х Убедитесь, что на VPN-клиенте клиент Proxy.
Если он активен, вызовы API-функций Winsock, в частности, для туннелей и передачи данных, и сконфигурированному прокси-серверу.
Компьютер с позволяет получать доступ к тинам (обычно Web и FTP) без прямого подклю чения к Интернету. При этом использует выделяемые идентификаторы частных сетей (например, 10.0.0.0/8).
Прокси-серверы обычно для чтобы пользователи внутри организации могли обращаться к общедоступным Интернет-ресурсам так, буд то они к Интернету. В то же время как правило, предназначены для того, чтобы авторизованные пользователи из могли обращаться к ресурсам частной сети организации так, будто они напрямую подключены к этой сети. компьютер может выс тупать и в роли прокси-сервера (для пользователей частной сети), и в роли VPN-сервера (для авторизованных из Интернета).
Подробнее об устранении проблем с VPN-соединениями удаленного доступа см.
главу 7 Сервер удаленного в этой об про ГЛАВА 9 Виртуальные частные сети с VPN-соединениями между маршрутизаторами см. главу 6 Маршрутизация с но требованию* в книге.
Средства диагностики С Windows 2000 поставляются диагностики, позволяющие до информацию об источниках проблем с Причина Если установить по удается, интерфейс соединения по остается в состоянии. Служба и ного доступа Windows 2000 регистрирует причину, по которой не удалось вить соединение, в параметре reason недостижимости).
Информация, в этом параметре, поможет Вам локализовать источник Протоколирование событий вкладке Event logging (Журнал событий) окна свойств VPN-сервера предлага ется четыре уровня протоколировании. Выберите Log the maximum amount of information журнал всех событий) и повторите попытку соедине ния. Как только попытка закончится неудачей, проверьте, какие события были в системном журнале при попытке соединения. Просмотрев собы тия, выберите на вкладке Event logging переключатель Log errors and warnings (Вести журнал ошибок и предупреждений).
Трассировка Средства трассировки записывают вызываемых в файл. Разрешите трассировки для записи детальной о процессах, выполняемых при соединений удаленного доступа и ком понентами как описано в главе 7 Сервер доступа в этой Закончив трассировку и просмотрев нужную информацию, параметрам трассировки исходные значения.
информация может оказаться сложной и очень летальной. Часть полезна инженерам службы технической поддержки Microsoft или вым администраторам, имеющим большой опыт работы со службой и доступа. Трассировочную можно сохранить в файлов и послать в службу поддержки Microsoft для Network Monitor Network Monitor (Сетевой монитор) Ч это программа для захвата пакетов и их которая позволяет наблюдать за трафиком, передаваемым VPN-сер te ром и VPN-клиентом в VPN-соединения и при Network Monitor не анализирует часть VPN-трафика.
Правильная с и удаленным доступом трафика тре бует глубокого понимания РРР, РРТР и других протоколов, протоколах РРР см. главу 7 Сервер доступа в этой Информацию, ченную Network можно сохранить в виде файлов и послать службу нической поддержки Microsoft для 398 ЧАСТЬ 2 Удаленный доступ Дополнительные материалы Более подробную информацию о RFC см. по ссылке:
Х Internet Engineering Task Force на странице Web Resources Взаимодействие с другими системами Взаимодействие с операционными системами, отличными от Windows, прежнему остается важной для администраторов сетей. В главах ча сти 3 рассматриваются возможности Windows 2000 и дополнительных про граммных в поддержке между Windows и операционными системами, отличными от Windows.
В этой части с IBM Services for Unix Взаимодействие с NetWare Services for ГЛАВА Взаимодействие с хост-системами IBM Microsoft SKA Server Ч это решение Microsoft интеграции клиен тов и серверов на персональных компьютеров с мэйнфреймами и хост-систе мами IBM (хостами). SNA Server обеспечивает клиентам на базе операционных систем и от Microsoft, и не от Microsoft защищенный доступ к данным, ям и сетевым сервисам на хостах IBM. Вы можете интегрировать SNA Server в су ществующую среду, а также разработать решения для доступа к ресурсам хост-сис тем из пользовательского интерфейса операционной системы или Web-браузера.
В этой главе Обзор SNA Server Способы интеграции сетей взаимодействие с иерархическими SNA-сетями Коммуникационное взаимодействие с SNA-сетями Гетерогенные клиенты Host Print Защита сетевых включающих к данным на хост-системах Интеграция с хост-систем через COMTI Интеграция с системой обработки транзакций на хостах Интеграция хост-систем с Интеграция управления сетями См. также Х о хост-системах IBM и SNA-сетях Ч приложение А взаимодействия с IBM SNA в этой книге.
Х о настройке и администрировании SNA Server Ч систе му SNA Server и Microsoft BackOffice Resource Kit.
ГЛАВА 10 Взаимодействие с хост-системами IBM Обзор SNA Server SNA Ч это исчерпывающее решение для интеграции гетерогенных сетей и интрасетей с мэйнфреймами IBM и хост-системами IBM AS/400 (рис. 10-1).
Server Microsoft BackOfficeо, которое ся в операционной системе Windows 2000 Server и расширенные сер висы для интеграции сетей, данных и приложений.
SNA Server обеспечивает с хостами, использующими протоколы SNA или TCP/IP. Если Ваша хост-система IBM работает с протоколами SNA, то SNA действует как защищенный, шлюз между ге терогенными клиентами и хост-системами IBM. Поскольку SNA Server выполня ется Windows 2000, гетерогенные клиенты могут к Server стандартным сетевым протоколам типа TCP/IP, IPX/SPX, NetBEUI, IP и ApplcTalk, а также через службу и удаленного доступа Win dows 2000, Сам SNA Server к или AS/400 по ным протоколам IBM SNA.
Установив соединение на основе SNA или пользователи могут по лучать с помощью SNA Server защищенный доступ к данным, приложениям се тевым сервисам на мэйнфреймах и хост-системах не выходя из интерфейса своей системы или Web-браузера.
AS/ Мэйнфрейм TCP/IP Banyan Данных SNA Приложений с MIX OS/ MS-DOS Windows Windows Windows NT Workstation Windows Рис. 10-1. SNA Server интегрирует гетерогенные сети с хост-системами IBM 402 ЧАСТЬ 3 Взаимодействие с другими системами Основа мощной функциональности SNA Server широкий набор сервисов интег с IBM-совместимыми хостами, SNA Server поддерживает все модели взаимодействия, Windows 2000.
Взаимодействие с Кросс-платформенная поддержка сетей и протоколов, интеграция подсистем безопасности и вход в различные системы. (Поддер жка входа дает возможность получать доступ ко множеству сис тем или приложений по паролю.) Доступ к данным. Сервисы передачи файлов, технологии Universal Data Access типа OLE и ODBC (Open Database Connectivity), а также репликация хост-данных.
Доступ к приложениям. Поддержка доступа через терминалы, интегрированные сервисы транзакций, интеграция хост-систем с Web и коммуникационная связь.
Интеграция управления сетями. между службами управления сетя ми Windows 2000 и на базе IBM Сервисы интеграции сетей Первый таг в реализации решений по кросс-платформенному взаимодействию Ч установление надежной и защищенной связи между сетевыми платформами. SNA Server интегрирует гетерогенные сети с хостами IBM (мэйнфреймами, мини-ЭВМ и хост-системами AS/400) е использованием соединений двух типов;
сервер-хост (server-to-host) и клиент-сервер (client-to-server).
сервер-хост Ч это физические (physical units, PU) и логические эле менты (logical units, связывающие SNA Server с хост-системой.
Соединения сетевым клиентам и приложениям под ключаться к SNA Server по локальной или региональной сети (WAN).
Поскольку SNA работает в операционной системе Windows 2000 Server, он поддерживает широкий епектр клиентов и протоколов, а также масштабируется в соответствии с требованиями больших корпоративных сетей. Характеристики сер предоставляемых SNA Server па уровне интеграции сетей, перечислены в таблице 10-1.
Таблица 10-1. Характеристики сервисов интеграции сетей Характеристики Поддерживаемые хосты Мэйнфреймы IBM, системы AS/400. Advanced System 36, System/36, System/38 и IBM-совместимые мэйн производства Fujitsu, Hitachi. Tandem и Unisys.
сервера До 3000 пользователей и до 30 000 одновременных сеан сов на каждом сервере.
До 15 под SNA Server, и нагрузки друг друга на случай аварии. можно между 15 серверами (максимум) для ба нагрузки.
Способы подключения к хостам способы подключения, в том числе каналь ные и Bus Tag), Open Systems Adapter (Token Ring, Ethernet, X.25 DFT.
Remote Access Service LU 6.2 с сервером удаленного Windows 2000.
ГЛАВА 10 Взаимодействие с хост-системами Таблица 10-1. (продолжение) Описание Поддержка гетерогенных клиентов Windows 2000 Professional, Windows 95, Windows Windows MS-DOS, OS/2 и UNIX.
Поддержка протоколов SNA, TCP/IP, именованные каналы, VINES IP и Distributed Link Service Компьютеры SNA Server могут использовать хост-со единения совместно с другими SNA ver. Это обеспечивает эффективное SNA-данных между компьютерами SNA Server WAN, Соединения с нижестоящими Поддерживается коммуникационная с устройствами типа 2.0 при только протоко лов SNA. Нижестоящим устройствам devices) SNA представляется реальной что упрощает на хосте.
PU Service Программные продукты с полной поддержкой SNA мо гут с хостом путем передачи данных 2.1 или 2.0 SNA Server. Последний как кластерный IBM могут настроить SNA Server на пере Интегрированная поддержка унифицированной регистрации дачу хосту идентификаторов и на основе удостоверений, (единого входа) в домене Windows 2000, что устраняет необхо димость управления несколькими схемами регистрации пользователей.
Поддерживаются средства (от третьих фирм) двухсто паролей паролей для функций безопасно сти (Resource Access Control Facility) Top Secret.
Шифрует потоки данных между клиентами и компьюте Шифрование рами SNA исключая передачу данных открытым текстом (этого требуют хостов) Создает защищенную среду в данных.
Позволяет администраторам открывать Защита на уровне доступ к или доступ только к ределенным Создает в домене Windows 2000, регист Migration Tool for Host рирует в Host Security Domain и Security низирует критически важную информацию об записях.
Доступ к данным Цель интеграции сетей Ч предоставить пользователям кросс-плат форменный доступ к данным и приложениям. В 10-2 перечислены нительные сервисы SNA обеспечивающие доступ к средствам печати, ным и с ними файлам на хостах.
404 ЧАСТЬ 3 с другими системами Таблица 10-2. к данным на хостах и интегрированные сервисы доступа к файлам и принтерам Сервисы доступа к базам передачи Описание OLE Provider для AS/400 Обеспечивает доступ к VSAM- и па па Позволяет разрабаты и вать приложения для доступа к нере базам данных на хостах.
DB2 рассчитанным па использова ние SQL и интерфейса ODBC, взаимодей ствовать с управления данных на хостах с по протоколу DRDA. Приме ним и для использующих OLE DB.
Folders Gateway Дает получать к файлам общих папках AS/400 (shared folders-based будто эти папки диска ми компьютера под Windows 2000 Server, AFTP (APPC File Transfer Обеспечивает доступ к сервису Service (SNA APPC - эквивалент FTP TCP/IP).
FTP-AFTP Gateway стандартным обращаться к файлам на хосте по AFTP.
File Transfer Service Дает возможность пользователям ко пировать с мэйнфрейма на компьютер Windows 2000 Server.
Host Data Replicator Support Действует как при репликации хост-данных в Microsoft SOL Host Print Services Позволяет печатать с мэйнфреймов и AS/400 па прин подключенных через LAN.
Интеграция приложений Организации часто хост-системы IBM для обработки транзакций (online transaction processing, которая необходима ложениям, работающим в режиме реального времени. Для получения доступа к этим хостов пользователи традиционно полагались на эмуляции терминалов. Но сейчас технологий все чаше развертывают программные решения, обеспечивающие более уровень ин современных сервисов с и приложениями на хостах IBM.
Характеристики SNA Server, для клиентс ких компьютеров с приложениями и сервисами на хостах, перечисле ны в таблице 10-3.
Таблица 10-3. Характеристики сервисов SNA Server, обеспечивающих интеграцию с приложениями и сервисами транзакций на хостах Характеристики Описание Поддержка эмуляции терминалов SNA Server предусматривает эмулятор 3270 для доступа 3270, и к мэйнфреймов. SNA также сторонние соответствующих терминалов.
ГЛАВА 10 с хост-системами IBM 10-3. (продолжение) Характеристики Описание Поддержка терминалов SNA Server предусматривает эмулятор 5250 для доступа 5250 и TN5250 к приложениям AS/400. SNA Server сторонние программы эмуляции (COM Transaction Обеспечивает интеграцию с Integrator) для CICS и IMS CICS и IMS, в том числе, двухфазную фиксацию (distributed commit) между Component Services и CICS.
(Common с приложениями for Communications) на любой платформе, АРРС и в том числе иа AS/400, Windows 2000 и UNIX.
Технологии и приложений хостов хост-систем с Web с приложениями Windows 2000, с Information Services (IIS), SQL Server и Интеграция управления сетями Интеграция дает возможность без проблем поддерживать ком муникационную между разными платформами и организациям раз рабатывать более бизнес-процессы.
Сервисы SNA Server, для интеграции систем управления Win dows 2000 Server и хостов IBM, перечислены в 10-4.
Таблица 10-4. Сервисы интеграции управления сетями Сервисы Описание SNA Server Manager Предоставляет для настройки, и контроля Server. управление LU.
и Поддержка интеграции Обеспечивает полную интеграцию с Management Console) и средствами Windows со службами управления для мониторинга безопасности и Windows 2000 Server Обеспечивает автоматическое уведомление Поддержка интеграции с системой управления Response Time Monitor (если поддер сетями IBM эмулятором 3270). Кроме службы и в Windows 2000 для SNA Server с консоли на хосте.
Способы интеграции сетей Используя средства SNA перечисленные в таблицах 10-1, 10-2, и 10-4, Вы можете соединять сети Windows 2000 с иерархическими SNA-сетями и сетями (Advanced Peer-to-Peer Networking). С этой целью Вы сначала выб рать конкретную развертывания (deployment model), об 406 ЧАСТЬ 3 Взаимодействие с другими системами разом организовать компьютеры SNA Server своих доменов Windows и выбрать способы подключения локальных сетей к хосту.
Модели развертывания Решая, как развернуть Server на своем предприятии, во внимание Х тип хост-систем, с которыми должны соединяться Ваши пользователи;
Х этих Х существующую у Вас сетевую инфраструктуру;
Х производительности и доступности хостов, требуемый в Вашей органи зации;
Х затраты на развертывание систем и ими.
SNA Server три модели развертывания.
Модель развертывания по филиалам. Компьютеры SNA Server ли от хост-системы Ч рядом с группами пользователей.
Модель централизованного развертывания. SNA-шлюзы рядом с хост-системой.
Модель распределенного SNA-шлюзы размещаются рядом с хост-системой и рядом с пользователями.
Эти три модели развертывания SNA Server можно комбинировать. Их преимуще ства и поясняются в следующих разделах.
Модель развертывания по филиалам Именно по этой модели предприятия развертывают SNA-шлюзы. При этом с SNA расположенным в локальной сети филиала, клиенты используют LAN-протоколы типа TCP/IP.
В свою очередь компьютер SNA Server взаимодействует с хостом по SNA-протоко лам, используя соединения 802.2 (с SDLC или Х.25, как показано на рис. 10-2. Компьютерами SNA Server можно управлять локально или удаленно через службу маршрутизации и удаленного доступа Windows или через View.
Преимущества Х Изоляция SNA-трафика. Модель развертывания по филиалам идеальна при пропускной SNA Server с хостом. Меж ду клиентом и компьютером SNA Server сетевой трафик, как правило, сивнее. Если Ваша организация реализовала TCP/IP или один из маршрутизи руемых WAN-протоколов, выделение для SNA-трафика, требующего подключе ния к хосту, Ч в данном случае для трафика между Server и хостом Ч исключает распространение лишнего сетевого трафика по WAN-соединениям, не имеющим отношения к SNA.
Х Использование существующей инфраструктуры SNA. Эта модель также иде ально переходящим на единый маршрутизируемый так как позволяет использовать каналы переда чи ГЛАВА 10 с хост-системами IBM Х Более высокая гибкость в управлении. Поскольку со SNA Server, рядом с клиентами, администраторы SNA Server мо гут управлять в своих филиалах, быстрее реагируя на измене ния в их Но при необходимости компьютеры SNA Server настраивать и контролировать по имеющимся у Вас Х Возможность использования локальных многоцелевых серверов. Развернув SNA Server в филиалах, Вы можете использовать преимущества других рассчитанных на выполнение в Windows 2000 Server. Сервер, размещен ный в филиале, может выполнять только функции SNA Server, но и функции почтового сервера, сервера балы или Web-сервера.
Недостатки Х Невозможность использования высокоскоростных каналов с мэйнфрей мом. В сети филиала нельзя реализовать поддержку лов связи с например подключений, Token Ring или Ethernet. Это либо ограничениями, либо трудностью реа лизации SNA-протоколов для WAN-соединений. Как SNA-шлюзы, раз мещенные в филиалах, используют соединения типа SDLC, ют только один для каждого хост-адаптера и 254 на одно подключение.
Х Сложность маршрутизации. Если для передачи WAN-трафика между филиа лом и хост-системами SNA Вы решили использовать а не вы деленные SNA-каналы, то конфигурация этих маршрутизаторов должна быть до статочно сложной, чтобы они могли назначать приоритеты передаваемым через WAN потокам данных различных протоколов (в дополнение к протоколам Главный мэйнфрейм Процессор FEP Processor) (37xx] Центр в Филиал в Сан-Диего SNA Филиал в Бостоне Филиал в Портленде Рис. 10-2. Модель SNA Server по филиалам с использованием соединений 408 ЧАСТЬ 3 Взаимодействие с другими системами Модель централизованного развертывания В этой модели компьютеры SNA размещаются рядом с хостом, к которому они доступ через эмуляторы терминалов 3270 и 5250;
при этом ло кальные и удаленные клиентские компьютеры подключаются к шлюзам по одному из маршрутизируемых протоколов, например TCP/IP. Другие клиентские и сервер ные приложения, либо приложения Telnet могут к хосту через эти шлюзы из любого участка WAN. Модель пока зана на рис. 10-3.
AS/ Главный мэйнфрейм SNA Server SNA-сеть WAN-мосты или маршрутизаторы в Сакраменто Северо-западный LAN-домен " LAN-домен филиала в Бостоне LAN-домен в Сан-Диего Рис. 10-3. Модель централизованного развертывания SNA Server с применением маршрутизаторов или мостов Преимущества Х Эффективная балансировка и В централизо ванной модели и пары (АРРС session pairs) на множе стве компьютеров SNA могут быть логически организованы в который балансировку и отказоустойчивость. За ба лансировки нагрузка равномерно между всеми От казоустойчивость или резервирование гарантирует, что в случае ава рии из серверов его автоматически возьмут на себя остальные SNA Server, входящие в Подробнее о см.
дел SNA далее в Х Централизованное администрирование. при использова нии этой гораздо проще, чем при реализации модели филиа лов, поскольку все компьютеры Server расположены рядом друг с другом, а не по ГЛАВА 10 Взаимодействие с хост-системами IBM Х Использование высокоскоростных каналов с мэйнфреймом. Так как компьютеры Server находятся рядом со SNA-хостом, их можно подключить к нему по высокоскоростным связи. высокую пропускную спо собность обеспечивает канальное подключение (типа Во многих слу чаях компьютеры SNA подключаемые таким каналам, могут обходить FEP, больше ускоряя транзакции. А в случае хостов AS/400 реали зовать высокоскоростные соединения Token Ring или Х Жесткие требования к инфраструктуре WAN. Модель развертывания предполагает эффективной WAN-среды. Если у нет подходящей инфраструктуры Вы должны сначала подсчитать стоимость для оборудования, расходы на его установку и потери из-за простоев, с настройкой этого Х Невозможность использования локальных многоцелевых серверов. В данной модели компьютеры с Windows 2000 Server, на которых работает SNA Server, нельзя использовать в качестве многоцелевых серверов. Если в филиалах работать и другие серверные приложения, Вам. до компьютеры и аппаратные Модель развертывания Эта модель сочетает в лучшие качества двух моделей. Как показано на рис. 10-4, компьютеры SNA Server размещаются и в центральном участке (рядом со SNA-хостом), и в филиалах (рядом с клиентами).
Главный мэйнфрейм Компьютеры SNA Server SNA-сеть в Сакраменто WAN-мост или SNA Server LAN-домен в Сакраменто Северо-восточный LAN-домен Северо-западный LAN-домен Рис. 10-4. Модель распределенного развертывания SNA Server 410 ЧАСТЬ 3 Взаимодействие с другими системами Компьютеры SNA рядом с хостом, обычно связываются с ним высокоскоростным соединением, например по канальному подключению. За тем канальные сервисы делают доступными SNA Server в филиалах, используя с этой целью Distributed Link Services Ч функцию, которая компьютеру SNA Server разделять сконфигурированные сервисы каналов с други ми компьютерами SNA Server. В этом случае серверы в филиалах взаимодейству ют со SNA-хостом через сервис виртуального канала (virtual link service) с исполь из маршрутизируемых WAN-протоколов, например TCP/IP.
Преимущества Х Сочетание преимуществ централизованной модели и модели на основе фили алов. Распределенная модель сочетает в высокую пропускную способ ность коммуникационной связи централизованной модели со способностью мо дели на основе филиалов изолировать очень трафик между кли ентами и серверами в отдельном сегменте WAN.
Х Оптимальная поддержка отказоустойчивости и балансировки нагрузки. Рас пределенная модель обладает большей гибкостью в реализации балансиров ки нагрузки и отказоустойчивости, чем или на основе фили алов. несколько компьютеров SNA Server в филиале можно настро на взаимное и балансировку нагрузки между со бой. В свою очередь эти серверы можно подключить к SNA-хосту через buted Link Services, используемой совместно с компьюте рами SNA Server. При аварии любого из серверов остальные серверы на данном участке могут взять на себя его функции.
Х Применение стандартных WAN-протоколов. Distributed Link Services также выбор протоколов маршрутизации и В филиа лах использовать любой LAN-протокол, поддерживаемый SNA Server, в том числе IPX/SPX. А между филиалом и участком с компьюте рами SNA Server можно реализовать более эффективный, маршрутизируемый протокол типа TCP/IP. SNA-трафик передается только но соединению между компьютерами SNA Server и хост-системой. Соответственно маршрутизация SNA-протоколов через WAN становится что упрощает сетевое уп равление.
Недостатки Один из потенциальных распределенной модели в что при ее при менении может понадобиться Ч в зависимости от Ваших требований Ч большего числа серверов. Однако более высокие надежность и производительность, обеспечиваемые этой в сочетании с возможностью отказа от многопрото кольных инфраструктур WAN скорее всего перевесят затраты на дополнительные серверы.
В целом, модель распределенного развертывания является самым гибким и надеж ным решением на основе SNA Server. рекомендуется для и больших сетевых сред, требующих максимальной и отказоустойчивос ти. Кроме того, распределенная модель легко масштабируется с ростом Ваших по требностей.
ГЛАВА 10 Взаимодействие с хост-системами IBM Интеграция SNA Server с сетями Windows Выбрав подходящую модель развертывания, Вы логически сгруппировать SNA Server для максимальной отказоустойчивости, и нагрузки.
Домены Windows Служба каталогов Active Directory в Windows 2000 Server хранит обо всех объектах в локальной или глобальной сети и упрощает доступ к этой инфор мации пользователям и администраторам.
Для адаптации под требования разных предприятий содержимое Active Directory можно разделить на домены, а в более крупных сетях Ч па деревья доменов. Домен Windows 2000 Ч это группа компьютеров и ресурсов с общей базой данных учет ных записей пользователей и единой политикой безопасности. Домен Windows включает контроллеры управляющие записями пользователей и доступом к сетевым ресурсам. Остальные компьютеры в домене являются ра бочими либо рядовыми серверами, предоставляющими свои ресурсы домена.
об Active и доменах см. из серии Ресурсы Microsoft Windows 2000 Server.
SNA Server Каждый SNA Server является Windows 2000 и менно членом SNA Server. Поддомен Server Ч это логическая груп па компьютеров SNA Server, общую конфигурационную цию. Для клиентов с программным обеспечением SNA Server Client еры поддомена Server кажутся единым набором SNA-ресурсов.
Хотя SNA Server работает в системе Windows 2000 Server, SNA Server не участвуют в аутентификации пользователей, выполняемой Win dows 2000. Напротив, в SNA Server на средства Win dows 2000 Server.
Примечание SNA Server можно настроить на аутентификацию через домен Win dows 2000, чтобы реализовать регистрацию для к ресур сам хост-системы. Подробнее см. раздел Защита сетевых сред, включающих системы далее в этой главе.
Организация SNA Server В каждый SNA Server может входить до 15 компьютеров SNA а в домен Windows 2000 Ч неограниченное количество поддоменов SNA Server. По скольку в контроле за доступом к сети эти полагаются на систему за щиты домена Windows 2000, все компьютеры SNA Server конкретного полдомена должны относиться к одному домену Windows 2000, Планируя поддомен SNA Server и его членов, Вы должны учесть пускную способность сетевого канала, членов поддомена. При дом изменении поддомена (например, из-за добавления или модифицированный конфигурационный файл 412 ЧАСТЬ 3 Взаимодействие с другими системами на все компьютеры SNA Server в выполняющие роль резервных.
(Роли компьютеров в SKA Server поясняются в следующем разделе.) Чтобы свести к минимуму излишний трафик репликации, передаваемый по мед ленным WAN-соединениям, обычно содержится внутри сайта Active Сайт Active Directory Ч это или несколько со единенных высокоскоростными Windows 2000 позволяет администрато рам контролировать и репликацию внутри сайта.
В модели распределенного развертывания Вы могли бы сгруппировать все компь ютеры SNA Server, в сайт филиалов, в один а компьютеры SNA Server на центральном сайте (рядом с хостом) Ч в другой поддомен.
Определение ролей в SNA Server Сформировав домены Windows 2000 и Вы должны каждый компьютер SKA Server в каждом поддомене на одну из трех ролей.
Основной (primary). Предоставляет сервисы подключения к хост-системе пользо вателям и хранит мастер-копию конфигурационного файла. Внутри ос может быть только один SKA Server.
Резервный (backup). Хранит копию (только для чтения) конфигурационного фай ла, поддерживаемого основным сервером. Резервный сервер может быть выдвинут на роль если тот выйдет из строя. В SNA Server может быть до 14 резервных серверов.
(member). He имеет копии конфигурационного файла. Рядовые серверы целиком полагаются па основной и резервные серверы. В SKA Server может быть до 14 рядовых серверов.
Примечание Концепция сервера Server отличается от концепции резервирования. Горячее резервирование Ч это возможность совмес тной компьютерами SNA Server даже в том один из серверов или какое-то не работает.
Основным компьютером SNA Server должен быть первый Вами в поддомене SNA Server. По возможности в поддомене должен присутство вать хотя бы один сервер на случай выхода из строя основного сервера.
Если главным требованием является безопасность, резервные серверы должны быть защищены, поскольку каждый из них хранит копию конфигурационно го файла SNA Выделив основной и несколько серверов, Вы можете назначить осталь ные серверы на роль рядовых (не имеющих копии файла), Пока работает основной Вы можете SNA Server с вого сервера Ч точно так же, как и с любого другого. SNA Server можно и с компьютера Windows 2000 Professional, на котором установлен SKA Server Manager.
Способы подключения Выбрав подходящую модель развертывания и конфигурацию Вы дол жны Х как подключить компьютеры SKA Server к хост-системам IBM;
ГЛАВА 10 Взаимодействие с хост-системами IBM Х какие сетевые протоколы будут использоваться для коммуникационной связи между клиентами и компьютерами SNA Server;
Х какие сетевые протоколы будут использоваться для коммуникационной связи между самими компьютерами SNA Server.
Подключение компьютеров SNA Server к хост-системам IBM Здесь как подключать компьютеры SNA Server к мэйнфреймам и хост-системам AS/400.
Что представляет собой соединение между SNA Server и хостом В терминологии SNA Server хост-соединение (host connection) Ч это коммуника ционный путь передачи данных между SNA Server и хост-системой, В случае мэйн фрейма это соединение соответствует определению физического элемента во Telecommunications Method). Ч комбинация программных которая обеспечивает сервисы, для использо вания определенного устройства управления им. к AS/400 же соединение соответствует определению контроллера АРРС (Advanced Подробнее о способах к хостам IBM и о SNA-сетях см. приложение А Концепции с IBM в этой книге.
Для каждого физического адаптера или подключения в SNA Server ся и настраивается соответствующий сервис канала (link service). Сервис канала Ч это служба Windows 2000 или драйвер устройства, используемый для управления коммуникационными адаптерами которые SNA Server. После настройки сервис канала доступен не только на сконфигурированном SNA но и на любом SNA Server в Link Services).
Сконфигурировав свои сервисы каналов, Вы создаете соединение через ный канала. хост-соединение, клиентский компьютер в LAN мо жет взаимодействовать с мэйнфреймовой системой. Для некоторых сервисов кана лов возможно нескольких соединений на одном канале связи с хостом.
В SNA комбинация соединения и используемого им сервиса канала PU. В SNA-сетях SNA Server предоставляет или 2.1, аналогичную контроллера кластера. О функциях контроллера кластера см. приложение Концепции взаимодействия с IBM в этой книге.
Что представляют собой способы подключения SNA Server к хосту Для понимания различных вариантов подключения следует сначала изучить типы физических подключений и сетевые протоколы, Server. Наи более распространенные способы перечислены в таблице 10-5.
Выбирая способ следует учитывать факторов:
Х тип хост-систем, к которым Вы намерены подключиться;
Х реализуемую модель Х сетевую инфраструктуру хоста;
Х предполагаемый уровень использования ресурсов хоста;
Х уровень и скорость отклика, ожидаемые вателями;
Х стоимость.
ЧАСТЬ 3 Взаимодействие с другими системами Таблица 10-5. Способы подключения SNA Server к хосту Пропускная Способ способность Характеристики Token Ring 4, Х Для или AS/ 802.2 DLC 16 Мбит/с Х Средняя производительность с использованием (Data Link протокола Х Поддержка хост-соединений с одного адаптера Х Простой и недорогостоящий в реализации Х Подходит для широкого спектра задач Стандартный 10 Мбит/с Х Для мэйнфреймов или AS/ Ethernet Х производительность с 802.2 DLC протокола DLC Х Поддержка с одного адаптера Х Простой и недорогостоящий в реализации Х Подходит для малой и средней нагрузки по сетевому трафику Х в Ethernet может ухудшить производительность в условиях высоких нагрузок Fast Ethernet 100 Мбит/с Х Для мэйнфреймов или AS/ 802.2 DLC Х Высокая производительность с использованием протокола Х хост-соединений с использо одного адаптера Х Простой и и в реализации Х Подходит для более Х в Ethernet может ухудшить производительность в условиях высоких нагрузок (Fiber 100 Мбит/с Х Для мэйнфреймов или AS/ Distributed Data Х с использованием Interface) 802.2 DLC Х Поддержка нескольких хост-соединений с одного Х Относительно дорогостоящий в реализации Х Подходит для более производительных соединений SDLC 9600-19200 Х Для мэйнфреймов или AS/ бит/с Х Низкая с Data Link протокола SDLC Control) Х Поддержка 256 сеансов по одному хост-соединению Х Простой и недорогостоящий в реализации Х Подходит для с малым трафиком X.25 9600-19200 Х Для мэйнфреймов или AS/ бит/с Х Низкая производительность с использованием протокола (Qualified Logical Link Х Поддержка 256 сеансов по одному Х Простой и недорогостоящий в реализации Х Подходит для WAN-соединений с малым трафиком ГЛАВА Взаимодействие с IBM Таблица 10-5. (продолжение) Пропускная Способ способность Характеристики DFT 2.35 Мбит/с Х Только для мэйнфреймов (Distributed Х Производительность: от малой до средней Function Х только 5 сеансов но одному Terminal) Х Недорогостоящий Х Подходит для тестовых или малых сетей с па основе DFT ax 1 Мбит/с Х Только для AS/ Х Низкая Х Поддерживает только 5 но одному хост-соединению л Недорогостоящий Х Подходит для сред AS/400 с уже имеющейся инфраструктурой на основе Канальный Ч 4,5 Мб/с Х Только для мэйнфреймов Bus & Х Высокая Х Поддерживает количество хост-соединений Х Дорогостоящий Х Подходит для соединений Канальный Ч 17 Мб/с Х Только для мэйнфреймов ESC ON Х Х Поддерживает количество Х Дорогостоящий Х Подходит для требующих максимальной Как хороший выбор Ч высокоскоростное соединение Token Ring, если та кое же соединение используется для к SNA-сети, включающей как мэйнфрейм, так и AS/400. Для производительности в среде, содержа только мэйнфрейм, рекомендуется соединение типа.
Некоторые сервисы каналов дают возможность создавать несколько хост-соединений с помощью одного адаптера. Каждый SNA Server поддерживает до 250 хост соединений, а на одном может работать до 4 экземпляров SNA SNA Server к системе Модель иерархической SNA-сети обеспечивает доступ к обработ ке данных из различных точек сети. Чаще всего модель с средами, где к выполняемым приложениям обраща ются с удаленных терминалов по сети.
Устройства в иерархической SNA-сети, например и контроллеры клас физическими элементами Каждому классу устройств при сваивается свои номер. Так, сам мэйнфрейм считается устройством 5. Подроб нее об иерархических SNA-сетях см. приложение А с IBM SNA в этой книге ЧАСТЬ 3 с другими системами Х Х Frame ftS/ 6. SNA Рис. SNA Server в одноранговой сети Выбор сетевых Определив способ компьютеров Server к хосту, Вы должны выб рать протокол или протоколы для двух дополнительных коммуникационных путей SNA Server: между клиентами и компьютерами SNA Server и между самими ютерами SNA Server. С целью можно применить протокол комбина цию нескольких протоколов Ч при условии, что все серверы будут хотя бы один общий протокол.
С точки зрения сетью, проще всего развернуть единственный кол в инфраструктуре WAN.
Однако, если Вы предпочитаете постепенное внедрение SNA Server своем пред приятии, то для определенных соединений Вам придется использовать существую щие протоколы. для взаимодействия между серве рами Вы можете TCP/IP, а для коммуникационного взаимодействия между клиентами и серверами Ч Аналогичным образом возможно при менение и других комбинаций поддерживаемых протоколов, если все компьютеры SNA Server работают хотя бы с одним общим протоколом и используют его для коммуникационного как между собой, так и с клиентами.
Выбор клиент-серверных сетевых Компьютеры с программным обеспечением SNA Server могут взаимодейство вать по нескольким LAN-протоколам:
Х TCP/IP;
Х IPX/SPX;
ГЛАВА 10 Взаимодействие с хост-системами IBM Х Named Pipes;
Х Banyan VINES IP;
Х TCP/IP быстро становится сетевым протоколом для клиент-сервер ных приложений. Благодаря высокой производительности и поддержке самых изощренных средств маршрутизации он подходит для многих WAN-сред. Обычно TCP/IP является лучшим выбором для сети Ч особенно если он уже в мере применяется в сегменте LAN, объединяющем клиенты и серверы SNA Server.
Если Вы решили реализовать TCP/IP, рекомендуется назначить компьютерам SNA Server статические IP-адреса, поскольку управлять рабочими станциями, имеющи ми дело с фиксированным адресом SNA Server, гораздо легче. Клиентским ютерам можно без проблем назначать динамические IP-адреса, используя с целью DHCP.
SNA Server Client Благодаря SNA Server Client рабочие станции поддерживают расширенные ции SNA Server интеграции с хостами. SNA Server Client также предоставляет API, используемые сторонними разработчиками в своих приложениях для доступа к хост-системам и приложениям IBM.
SNA Server Client обеспечивает независимость от конкретного сетевого транспор та, позволяя клиентам и приложениям взаимодействовать друг с другом через лю бые программные интерфейсы SNA Server. В настоящее время клиентское про граммное доступно для следующих платформ:
Х Windows NT;
Х Windows 95;
Х Windows т MS-DOS;
Х IBM OS/2:
Х Macintosh (от сторонних поставщиков);
Х UNIX (от сторонних SNA Server Client не нужен клиентам, использующим TCP/IP для та ких сервисов, как TN3270, TN5250 и AFTP. Приложения вроде эмуляторов взаимодействуют с этими сервисами не обращаясь к клиент-серверному интерфейсу SNA Server.
Выбор сетевых для коммуникационной связи между серверами Компьютеры SNA Server могут друг с другом по любому из дующих протоколов:
Х TCP/IP;
Х IPX/SPX;
Х Named каналы);
Х Banyan VINES IP.
420 ЧАСТЬ 3 Взаимодействие с другими системами о настройке и оптимизации межсерверного трафи ка см. Server версии Коммуникационное взаимодействие с иерархическими SNA-сетями В традиционных иерархических удаленные терминалы обращаются к приложениям на через сеть.
Эта модель использует протокол отображения информации (information display для мэйнфреймов IBM, как 3270. Этот протокол упрощает вза имодействие между мэйнфреймом и такими как терминалы, принте ры и контроллеры. SNA Server предоставляет доступ к ресурсам мэйнфрейма за счет определения и логических 3270.
Установив физическое подключение между SNA и мэйнфреймом, Вы жны какие типы соединений 3270 Вашим Доступ через терминалы SNA Server 3270 зависимые логические 3270 (зависимые потому, что требуют для своей работы мэйнфрейма). Каждый определенный в SNA Server, конфигурируется на использование существую щего подключения к мэйнфреймовой системе и соответствует парному су, выделенному на хост-компьютере (обычно с 3270 в SNA Server идентифицируется по номеру и имени, специфичному для конкретного пользователя. Этот номер совпадает соответствующего ресурса па мэйнфрейме.
3270 дополнительно по типу сервиса, предоставляемого для данного соединения. Как и в обозначаются номерами Напри мер, потоки 3270 для отображения на известны как LU 2. На рис. 10-8 показано, 3270 можно сконфигурировать как:
Х дисплей 2);
Х принтер 1 или 3):
Х приложение Х нижестоящий LU (downstream LU), SNA Server Client быть установлен на каждом клиенте, использующем SNA Server. Клиентское программное обеспечение управляет между 3270 и выполняющим SNA Server. Прило жения, рассчитанные на SNA Server устанавливают с помощью LU, оп в SNA Server, от клиента к мэйнфрейму че рез SNA Server.
Связь между определением в SNA Server и на хосте называется сеансом. Сеансы могут быть автоматически создаваемыми при ини циализации или по Параллельные сеансы могут совместно использовать и те же физические устройства и коммуника ГЛАВА 10 Взаимодействие с хост-системами IBM SNA-сеть Мэйнфрейм SSCP 5} Сеть Windows LU принтера (LU 1 и 3) Эмуляция Рис. 10-8. Соединения 3270 с использованием SNA Server Использование Хотя Вы можете создавать отдельные и назначать их пользователям и (при наличии большого количества LU) удобнее и применении. Пулы группируют LU, обеспечивая максимально их ис (рис. 10-9). Пользователь, приложение или клиентская система может обращаться к когда свободен любой из включенных в пул LU. Если будь LU, входящий в пул, перестает функционировать, происходит на другой свободный LU из пула.
Соединения LU LU : LU LU SNA LU Рис. 10-9. Создание LU-пулов и выделение из них ресурсов LU-пулы также позволяют более распределять объем ресурсов хоста среди групп непостоянных пользователей. Закрепление за пользователями, которые обращаются к хосту лишь эпизодически, привело бы к 422 ЧАСТЬ 3 Взаимодействие с другими системами пустой его ресурсов. С пула Вы можете закрепить за таких пользователей гораздо меньшее число Выделение LU рабочим (и LU-пулы) можно назначать не пользователям, а рабочим станциям. Допус тим, у Вас имеется 150 сотрудников, использующих 50 рабочих станций, к из которых принтер. Вместо выделения 150 принтерных в пул для всех пользователей Вы можете включить все рабочие станции в SNA Server и на значить им всего 50 таких LU.
Обеспечение отказоустойчивости LU-пулы также обеспечивают Если какой-то ре например одно из хост-соединений, выходит из строя, горячее резервиро вание позволяет переключиться на аналогичный (заранее сконфигурированный) ресурс, как показано на рис. Горячее резервирование реализуется в рамках одного сервера или нескольких одного домена. Такая стратегия рекомен дуется для предприятий любых размеров, так как она обеспечивает надежный дос туп к хосту.
SNA Server ты SNA Server Рис. 10-10. резервирование соединений и серверов Балансировка нагрузки Балансировка нагрузки тесно связана с горячим резервированием и равномерно распределять сеансы между имеющимися хост-соединениями и рами с использованием поддержки в 3270. Например, если у Вас есть два каждое из которых поддерживает по десять дисплейных то функ ция балансировки нагрузки гарантирует равномерное использование свобод ных на этих соединениях. реализуется созданием с от нескольких серверов или соединений.
Доступ через терминалы TN Ч это тип Telnet-сервиса, который обеспечивает доступ к мэйнфреймам по Пользователи могут подключаться к мэйнфреймам через клиент и сервис предоставляемый SKA Server (рис. 10-11).
ГЛАВА 10 Взаимодействие с хост-системами IBM Сервис TN3270 поддерживает протоколы:
Х для сеансов дисплея;
Х TN3287 для сеансов принтера;
Х TN3270E для расширенных сеансов дисплея и принтера.
Сервис TN3270 предоставляет доступ к мэйнфреймам через функции SNA Server и используется в целях безопасности и создания избыточности в тех когда коммуникационные пути передачи данных между клиентом и сервером проходят через один или несколько незащищенных сегментов.
Мэйнфрейм Рис. Коммуникационное взаимодействие с помощью через SNA Server Поскольку сервис взаимодействует со SNA Server через API, на сер вере должны быть сконфигурированы соединения типа а также После этого и могут быть выделены сервису и сделаны ми клиентам TN3270.
Как и TCP/IP, сервис TN3270 требует наличия свободного TCP-порта, че рез который клиенты могут обращаться к сервису TN3270. По умолчанию сервис TN3270 использует TCP-порт 23 Ч тот же, что и стандартные сервисы Telnet. По 424 ЧАСТЬ 3 Взаимодействие другими системами сервисы не могут совместно TCP-порт, рекомендуется пе сервис на 24 или какой-нибудь другой из числа свободных.
Соединения с нижестоящими системами В иерархических Вы взаимодей ствие 3270 между SNA-узлами, работающими с протоколами SNA. Обычно такими узлами являются компьютеры SNA Server и мэйнфреймы. Однако система (downstream system) Ч это использующий SNA Server как (рис, 10-12). системе компьютер SNA Server кажется мэйнфрей мом, предоставляющим и Клиенты SNA Server Мэйнфрейм Нижестоящие клиенты Рис. 10-12, Соединения с системами использовании SNA Server Нижестоящая система в среде этого типа должна быть устройством PL! 2. Ниже стоящим устройством может быть, контроллер кластера IBM 3745. Та ким же устройством может быть и с эмулятором терминала, который эмулирует PU 2 и от SNA Server.
Для нижестоящих систем у компьютера SNA Server должно быть два Х между сервером и (любое кое подключение, поддерживаемое Х соединение между сервером и нижестоящей системой (физическое ние, или После соответствующей настройки SNA Server может управлять нижестоящими LU тому, как он управляет LU, Этот тип конфигурации удобен в средах, в которых нижестоящая система не спо собна напрямую взаимодействовать с из-за аппаратной или сетевой промежуточного сервера SNA Server решает проблему.
ГЛАВА 10 Взаимодействие с хост-системами IBM Коммуникационное взаимодействие с одноранговыми SNA-сетями В все устройства считаются APPN-устройствами (Advan ced Peer-to-Peer Networking). Каждое APPN-устройство (PU 2.1) может напрямую с устройствами 2.1, использующими сеансы АРРС (Advanced Communications).
Устройство PU 2.1 свои вычислительные ресурсы и по стоянного доступа к хост-системе, Примечание Хотя сети, использующие АРРС, ассоциируются с мами AS/400, системы тоже поддерживают АРРС.
В среде AS/400 АРРС применяется для самых разнообразных приложений, в том числе для доступа через 5250 и для передачи файлов. взаимодейству ющие через АРРС, называются (transaction programs, TP). АРРС ТР используют имена 6.2 для доступа к другим системам и программам.
о SNA APPN см. приложение А с IBM в книге.
АРРС и SNA Server С помощью SNA Server программа (например, ла 5250) может использовать (АРРС LU alias) действия с другой ТР. В случае псевдоним преобразуется в имя LU, кото рое самом деле и при взаимодействии с ТР на другой системе.
ГР Удаленный АРРС LU Одноранговый узел 2. Одноранговый узел SNA Server Клиенты Рис. 10-13. Взаимодействие по механизму АРРС с SNA Server Когда ТР в клиент-серверной сети сеанс связи с ТР на AS/ SNA Server (локальная система) действует в клиента и с AS/400 о создании сеанса 6.2 - Данные, переда 426 ЧАСТЬ 3 Взаимодействие с другими системами или принимаемые от AS/400 обрабатываются сервером и пересылаются клиентской ТР выбранному клиент-серверному протоколу. но механизму АРРС с применением SNA Server показано на рис. 10-13.
SNA Server считает, что локальный АРРС соответствует SNA Server, а удаленный Ч AS/400. Но с точки зрения AS/400, все наоборот: локаль ным АРРС является AS/400, удаленным Ч SNA Server.
(Common Programming Interface for Communications) Ч это API, использу ющий коммуникационную архитектуру LU 6.2. Многие организации реализуют CPI-C, потому что этот API доступен на нескольких платформах, поддерживающих АРРС, Ч в том числе на AS/400, мэйнфреймовых системах, Windows 2000 и неко торых операционных системах UNIX. CPI-C состоит из набора процедур, написан ных на языке программирования С и приложениям на разных ком пьютерах взаимодействовать друг с другом выполнении какой-либо задачи, например при копировании файлов или доступе к удаленной базе данных.
CPI-C предоставляет механизм, который дает возможность сопоставлять набор па раметров с определенным символьным именем адресата. Программа на основе CPI С использует символьное имя адресата для инициализации сеанса взаимодействия через АРРС LU, которые сопоставлены с этим именем, SNA Server поддерживает CPI-C API и предусматривает средства для настройки параметров CPI-C. О программировании с помощью CPI-C API см. документацию на SNA Server версии 4.0.
АРРС-приложения АРРС поддерживает широкий спектр приложений, обеспечивая:
Х доступ через терминалы 5250;
Х доступ через терминалы TN5250;
Х передачу файлов, в том числе доступ к общим папкам (Shared Folders).
Доступ через терминалы Сеансы дисплея AS/400 предоставляются через АРРС с применением эмуляции терминала 5250. Компьютеры SNA обеспечивают АРРС-доступ к AS/400, используя клиенты эмуляции 5250.
Для поддержки сервисов 5250 локальный АРРС LU действует как идентификатор локальных клиентов SNA Server;
удаленный АРРС идентифицирует систему AS/400. Локальный и удаленный LU, применяемые в такой конфигурации, показа ны на рис. 10-14.
Доступ через терминалы TN Ч это сервис обеспечивающий доступ к AS/400 по с использованием соответствующего эмулятора клиентского терминала Сер вис TN5250, предоставляемый SNA Server, позволяет любому клиенту со с AS/400 средствами SNA Server, не устанавливая и настраивая TCP/ на AS/400 (рис. 10-15).
ГЛАВА 10 Взаимодействие с хост-системами IBM SNA Обмен 5250 ТР на хосте OS/ Локальный Сеанс АРРС LU LU LU Одноранговый 2. на хосте Одноранговый узел Физическая сеть Рис. 10-14. используемые при через SNA Server на хосте AS/ Локальный АРРС Клиенты TN525Q TN TN Рис. через SNA Server Передача файлов через АРРС Хотя обмениваться файлами между клиентом и хост-системой можно или другие предлагает более и ной вариант передачи файлов по с решениями, построенными па осно ве SNA Server три механизма передачи файлов па основе АРРС:
Х AFTP (АРРС File Transfer Protocol);
Х Gateway;
Х общие папки.
Выбор метода передачи файлов от типа на Вашем предприя тии (мэйнфрейм AS/400) и от того, какой спектр возможностей в передаче Вы хотите своим пользователям.
428 ЧАСТЬ 3 Взаимодействие с другими AFTP AFTP Ч это клиент-серверное приложение, обеспечивающее передачу файлов с применением АРРС и 6.2 (FTP в аналогичным об разом). AFTP поддерживает функции, похожие на те, которые поддерживает стан дартный FTP, в том чиеле передачу, прием и переименование файлов, а также опе с каталогами на удаленных системах.
Сервис AFTP устанавливается и настраивается на компьютере SNA Server (или на клиенте SNA чтобы клиентское обеспечение AFTP, поставля емое со SNA Server, могло обращаться к специфическим каталогам на сервере.
Подробнее о настройке и AFTP см. документацию на SNA Server версии 4.0.
FTP-AFTP Gateway Этот сервис дает возможность пользователям TCP/IP получать доступ к файлам па или AS/400 через обычный клиент FTP без установки TCP/IP на хосте (рис. 10-16). FTP-AFTP Gateway автоматически преобразует входящие зап росы от клиента FTP в и управляет связью и передачей данных между сервисами FTP и AFTP.
Файлы AS/ АРРС AFTP Шлюз FTP-AFTP SNA Server TCP/IP Клиент AFTP TCP/IP Рис. 10-16. FTP и FTP-AFTP Gateway ГЛАВА 10 Взаимодействие с хост-системами IBM Чтобы FTP-AFTP Gateway, Вы установить программное FTP или AFTP, а также сервис на компь ютере SNA Server.
Общие папки Рабочие на которых обеспечение SNA Server Client, могут обмениваться файлами с хостом AS/400 с помощью сервиса Folders Gateway, SNA Server. Благодаря этому тели сети обмениваются файлами с системой так, будто она собой том на SNA Server (рис. 10-17).
АРРС АРРС LU Диск А в и з SNA-хост Рис. 10-17. Сервис Shared Folders Gateway Стратегии развертывания АРРС Реализуя со SNA Server, следует продумать, как Вы будете ис пользовать следующие типы Х независимые LU;
Х зависимые Х Использование независимых АРРС LU Независимый LU (independent LU) может напрямую взаимодействовать с говой системой и не нуждается в поддержке со стороны симые АРРС Ч в том виде, в каком применяются в AS/400, Ч позволяют открывать параллельных сеансов между локальным и уда ленным LU.
Конфигурируя АРРС следующее. Когда для взаимодей ствия с ТР на мэйнфрейме через независимый АРРС LU используется SNA 430 ЧАСТЬ 3 Взаимодействие с другими системами на хосте должен работать не ниже Версия ACF/NCP (Advanced Communication Control Function), необходимая на зависит от типа применяемого FEP. Для систем 3725 требуется не ниже а для систем 3745 - ACF/NCP не V5R2.
О настройке независимых АРРС LU см. документацию на SNA Server версии 4,0.
Использование зависимых АРРС LU Зависимый локальный АРРС требует поддержки мэйнфрейма для взаимодей ствия с удаленной ТР. Зависимые не годятся для коммуникационной связи с AS/400. В отличие от независимых АРРС зависимые только один сеанс на каждый LU.
АРРС полезны при настройке SNA Server на взаимодействие с мэйнфреймом, использующим версии ниже V3R2, так как независимые не поддерживаются VTAM этих версий. Хотя SNA Server предоставляет поддерж ку для зависимых АРРС по возможности используйте независимые При настройке зависимых нужно обязательно указать имена сети и LU. Эти имена требуются программному обеспечению SNA Server. О настройке зависимых АРРС см. документацию на SNA Server версии 4.0.
Использование пулов АРРС LU Хотя Вы можете создавать отдельные и назначать их пользователям и более эффективны при управлении большим числом Эти пулы так же позволяют экономнее распределять ограниченный объем ресурсов хоста среди групп непостоянных пользователей. Закрепление LU за пользователями, которые обращаются к хосту лишь эпизодически, бы к пустой трате его ресурсов.
С помощью пула Вы можете закрепить за группой таких гораздо число LU.
Подробнее о настройке LU см. документацию на SNA Server версии 4.0 и Microsoft BackOffice Resource Kit.
Обеспечение отказоустойчивости SNA Server в среде AS/400 использует комбинацию имен LU и их псевдонимов на одном или нескольких серверах для поддержки отказоустойчивых соединений с хостом AS/400 (рис. 10-18).
Единственный компьютер SNA Server может использовать несколько соединений для отказоустойчивости. С этой целью два и более АРРС-соедине с одной AS/400 конфигурируются как резерв друг для друга. Если одно из соединений выходит из строя, клиенты перенастраиваются на другое со единение.
SNA Server также позволяет создавать конфигурацию с серверами, страхующими друг друга. Если один из серверов выходит из строя, клиенты ава рийного сервера переключаются на работающий.
Подробнее о горячем см. документацию на SNA Server версии 4.0.
ГЛАВА 10 с IBM "Горячее" соединений резервирование серверов AS/ Рабочая Рис. 10-18. резервирование соединений и серверов Параметры IP для TN Параметры IP, связываемые с определениями клиентам подключаться к AS/400. По умолчанию не с IP-адресом или маской подсети, Это дает соединяться с бому клиенту TN5250.
Вы можете ограничить доступ к сервису для клиентской рабочей IP-адрес или маску подсети. Если эти параметры заданы, к через сервис TN5250 только тем клиентам, чьи IP-адреса или подсети совпадают с заданными в конфигурации Вместо IP-адреса использовать имя рабочей станции, а для его разрешения в IP-адрес Ч любую служ бу имен, в том числе WINS.
SNA Remote Access Service SNA Remote Access Service (этот сервис также SNA-сервером ного доступа) интегрирует транспорт 6.2 сервера SNA Server со службой рутизации и удаленного доступа Windows 2000, позволяя администраторам вать виртуальные LAN-соединения между системами Windows 2000 через существу SNA-есть. Рис. 10-19 иллюстрирует, как с SNA-сервера удаленно го доступа SNA-сеть превращается в опорную сетевую магистраль.
Функциональность SNA-сервера удаленного доступа аналогична функциональнос ти, предоставляемой сервером доступа по ISDN или с тем исклю чением, что обратного вызова поддерживается.
О настройке SNA-сервера удаленного доступа см. документацию на SNA Server 4.0.
432 ЧАСТЬ 3 Взаимодействие с другими системами Windows Windows Server Server SNA Server LU Клиент Рис. 10-19. SNA Remote Access Service, также называемый SNA-сервером удаленного доступа Гетерогенные клиенты SNA Server поддерживает типы (и Telnet), а также поддерживающие наиболее распространенные операционные си стемы, включая:
Х Windows NT;
Х Windows 95;
Х Windows Х MS-DOS;
Х OS/2;
Х Х операционные системы UNIX.
Интеграция гетерогенных клиентов с мэйнфреймами Сервисы SNA Server, обеспечивающие клиентов с пе речислены таблице 10-6 (применительно к каждой клиентской платформе).
Таблица 10-6. Интеграция гетерогенных клиентов с мэйнфреймами Клиентская платформа Типы API-интерфейсы SNA MS-DOS LUO. LU1, LU3 APPC, Service и (CSV) и LUA Request User TN3287 и Windows Windows LUO, LU1, LU3 CPI-C, CSV, RUI, for Workgroups и LUA Session Level TN3287 TN3270E и ODBC/DRDA OS/2 LUO, LU1, APPC, CPI-C, CSV. LUA RUI и TN3270, и LUA SLI и ГЛАВА 10 Взаимодействие с хост-системами IBM Таблица 10-6.
платформа Типы API-интерфейсы SNA Macintosh Telnet-сервисы и и TN3270, АРРС CSV и и 95 и Windows 98 LUO, LU3 АРРС, CPI-C, CSV. LUA RUI.
и и AFTP TN3287 и Windows NT 4.0 LUO, АРРС. CPI-C, CSV, RUI, и 2000 и LUA SLI, ODBC/DRDA и и При использовании UNIX-клиента для SNA Parker Software в ничестве с Microsoft, клиентская платформа UNIX работать только с Подробнее о UNIX-клиенте SNA Server см. Типы связи с мэйнфреймами SNA Server поддерживает сеансы терминала и принтера с 0-3. 0 Ч это используемый главным образом в финансовых учреждениях для поддержки банковских терминалов и автоматичес ких аппаратов. 1 и 3 предназначены для поддержки эмуляции принтеров на клиентских и серверных компьютерах, в том числе сервиса Host Print Service в SNA Server. LU типа 2 предоставляет поддержку для широкого спектра программ терминала 3270.
LU 6.2 поддерживает АРРС, СР1-С и CSV (Common Service Verb). Эти API позво ляют программам на клиентах и серверах, а также другим процес сам взаимодействовать с под Information Control System) и IMS (Information Дополнительные утилиты для с мэйнфреймами Как показано в SKA предлагает ряд утилит, дополняю щих встроенную поддержку сеансов терминалов и ров. Одна из таких утилит Ч AFTP. AFTP является частью набора приложений, поддерживаемого АРРС-приложениями IBM, которые выполняются в OS/390, MVS, VM или OS/400.
Как серверное AFTP Ч в со шлюзом в SNA Server позволяет клиентам обмениваться файлами с хост-системами. SNA Server преобра зует в и АРРС на коммуникационном пути между SNA Server и хост-системой. Это ра ботать с а хосту Ч с родными протоколами SNA.
API для с мэйнфреймами SNA Server включает SDK (Software Development Kit) с документацией в ронном виде и исходного кода. Этот SDK создавать закончен ные решения на основе AFTP, АРРС, CPI-C, CSV и LUA, а также дополняющие базовую функциональность SNA Server. LUA 434 ЧАСТЬ 3 с другими системами адаптируемым API. который возможность программировать на низком уровне (на уровне стека протоколов SNA с применением Request User Interface), либо на более высоком уровне (с применением Session Level Interface). Все перечисленные API часто используются крупными финансовыми имеющими дело с унаследованными приложениями для банковского дела или страхования.
Кроме того, существуют API, прямо не поддерживаемые SNA Server SDK, Ч (High Level Language API), (Extended HLLAPI) и WinHLLAPI (Windows HLLAPI).
API-интерфейсы SNA соответствуют концепции (Windows Open Service Architecture). Это означает, что во всех операционных системах Windows API-интерфейсы SNA Server устанавливаются в виде WinAPPC, и Большинство поставщиков программного обеспечения для Windows SNA напрямую поддерживают WOSA API в своих продуктах;
к таким поставщикам, в частности, относятся Andrew, Eicon, NetSoft, Wall Data и API-интерфейсы SNA Server отвечают стандартам, и для других систем. Например, в MS-DOS и OS/2 API-интерфейсы SNA Server совместимы с IBM Communications Manager/2 на уровне двоичного кода.
Интеграция гетерогенных клиентов с системами AS/ Сервисы SNA Server, обеспечивающие интеграцию клиентов с системами AS/400, перечислены в таблице 10-7 (применительно к каждой клиентской платформе).
Таблица 10-7. Интеграция гетерогенных клиентов с системами AS/ платформа Типы Telnet API-интерфейсы SNA MS-DOS 6.2 (эмуляция АРРС и и и Windows 3.x, LU 6.2 и АРРС, CSV, EHNAPPC Windows for Workgroups и OS/2 LU 6.2 и АРРС, и CSV Macintosh Используются АРРС, CPI-C и CSV Windows 95 и Windows 98 LU 6.2 и TN5250 CPI-C, CSV. EHNAPPC, ODBC/DRDA и AFTP Windows NT Workstation 4.0 LU 6.2 и АРРС, CPI-C, CSV, EHNAPPC.
и Professional ODBC/DRDA и AFTP При UNIX-клиента для SNA Server, разработанного Parker Software в сотруд с клиентская платформа UNIX позволяет работать не только с сервисами о для SNA Server см.
Типы сеансов связи с системами AS/ SNA Server все тины сеансов AS/400 в наиболее популярных персо нальных операционных системах через типа 6.2. Некоторые более старые эму ляторы типа 4 (для принтера) и LU типа 7 (для эмуля ции терминала). Однако SNA Server и современных эмуляторов под ГЛАВА 10 Взаимодействие с хост-системами IBM эмуляцию стандартного 5250 и принтера типа 6. и АРРС.
SNA Server поддерживает Macintosh и UNIX с сервиса который обеспечивает лишь базового терминала. Но в сочетании с Host Shared Folders Service и FTP-to-AFTP Gateway SNA Server отвечает всем требованиям клиентов Macintosh и Дополнительные утилиты для взаимодействия с AS/ Утилиты, выполняемые иа компьютере SNA Server, упрощают управление соединениями клиентов с AS/400. Так, SNA Server предлагает допол нительный сервис общих папок (Shared Folders Service), позволяющий любому кли енту на основе Windows 2000 Server обращаться к файлам AS/400 без программного обеспечения или протоколов SNA. Другой Host Print Service, средства эмуляции принтера на компьютере SNA Server.
API для взаимодействия с AS/ Поддержка соединений AS/400 через SNA Server полностью совместима с и предоставляет полный функций Client Access/400, включая общие панки, печать, передачу файлов. EHNAPPC Ч стандартный Windows API, поддерживаемый продуктами IBM PC и Client Access/400 (CA/4I.IO).
дает писать способные ваться с AS/400.
SNA Server для операционных систем Windows также поддер живает на основе АРРС и CPI-C. Это ляет запускать многие 16-разрядные Windows-приложения, работающие со SNA Server, в 32-разрядных Windows-средах.
О настройке и Server Client см. документацию на SNA Server сии 4,0.
Host Print Service SNA Server поддерживает три метода печати информации с хоста на локальном или сетевом принтере.
Распечатка экрана. Любой 3270 или 5250 способен печатать содержи мое используя печати экрана, предоставляемые опе рационной системой. Вывод может быть направлен на локальный или сетевой принтер.
Перенаправленная печать на клиенте. Поток данных принтера SNA-хоста (напри мер, 3287) доставляется соответствующей программе эмуляции, выполняемой на клиенте SNA Server. программное обеспечение преобразует поток ных в информацию, которую можно вывести на локальный или сетевой Перенаправленная печать на сервере. Поток данных принтера SNA-хоста каким-либо серверным процессом в данные, которые могут быть равлены на локальный или сетевой определенный диспетчера Windows 2000 Server.
436 3 Взаимодействие с другими системами Первые реализуются на основе стороннего программного обеспечения, а третий метод поддерживается Host Print Service и программными продуктами.
Host Print Service эмуляцию 3270 и 5250 на SNA Server, хоста печатать на который поддер живается Windows 2000 Server или Novell NetWare. Бы можете все функции Host Print Service через SNA Server и контролировать раз параметры печати. Вывод на принтер можно в файлы.
Каждое определение принтера на хосте также позволяет сопоставлять сеансы печа ти с фильтрами печати. Фильтры сторонними приложениями.
Печать с мэйнфрейма Для систем (рис. 10-20) Host Print Service поддерживает потоки печатаемых 1 и 3, в том числе на печать, отправленные препро цессорами хоста.
Мэйнфрейм | SNA Server Принтер Рис. 10-20. Печать с мэйнфрейма Для обработки на печать 3270 выполните в SNA Server Manager следую щие Х определите имя (оно позволит различные в сети);
Х принтера 3270;
Х назначьте этот LU сеансу печати.
Подробнее о настройке сеансов печати с мэйнфрейма ем. документацию на SNA версии 4.0.
ГЛАВА 10 Взаимодействие с хост-системами IBM Печать с AS/ Для AS/400 (рис. Host Print Service поддерживает стандартную пос ледовательную печать SCS и печати графики 3812 с Host Print Transform.
AS/ SNA Server Server | Х Сервис Диспетчер Принтер Рис. 10-21. Печать с AS/ О настройке сеансов с AS/400 см. на SNA Server.
Защита сетевых сред, включающих хост-системы Когда Вы интегрируете свою сеть с Интернетом и другими внешними сетями, рез ко угроза к при планировании сетевой среды Вы должны найти баланс ду степенью защиты ресурсов и удобством доступа к ним со стороны ных пользователей. Планируя защиту сетевой со SNA Server, продумайте, какие методы Вы будете применять для:
Х аутентификации пользователей, которым нужен к ресурсам хоста;
Х управления доступом к ресурсам хоста;
Х управления конфиденциальными данными, между рабочими станциями и приложениями хоста;
Х обеспечения подключении своей сети к Интернету;
Х упрощения к ресурсам хоста со вателей ослабления защиты своей сетевой среды.
Все эти методы поясняются в следующих там описывается, как зовать средства защиты SNA Server и Windows 2000 для создания безопасной се: е среды, включающей хост.
ЧАСТЬ 3 Взаимодействие другими системами о защите Windows 2000 см. книгу Распределенные системы из серии Ресурсы Microsoft Windows Аутентификация SNA Server, получив на доступ к ресурсу хоста, например к для сеанса должен каким-то образом проверить этот запрос. В зависимости от запрошенного сервиса проверка осуществляется путем аутентифика ции в домене или на рабочей станции.
Аутентификация в домене Домен Active Directory в Windows 2000 - это группа компьютеров с общей базой данных пользовательских учетных записей и с общей политикой безопасности.
Домен Directory включает домена, которые хранят информа цию, для и реплицируют ее на другие контроллеры домена.
В домене Windows 2000 компьютеры SNA Server логически в поддо (рис. 10-22). Каждый SNA Server может содержать до 15 компью теров SNA Server, а домен Windows 2000 - неограниченное количество таких под доменов.
SNA SNA A Server В Рис. 10-22. SNA Server в доменах Windows В аутентификации пользователей, доступ к ресурсам хоста, SNA Server полагается на службы домена Windows 2000 (рис. 10-23). Аутентификация в домене позволяет проверить пользователей, которые запрашивают доступ к ресурсам, предоставляемым следующими сервисами:
Х 3270 или 5250 с рабочих под управлением SNA Server Х AS/400 Shared Gateway Service;
Х Host Print Service;
Х APPC, или API-интерфейсы SNA Server.
У каждого пользователя, которому доступ к ресурсам SNA Server, должна быть учетная запись в домене Windows 2000. Как только такой пользователь регис трируется доменом Windows 2000, его учетная запись добавляется в SNA Server. После этого он доступ к SNA-ресурсам.
ГЛАВА 10 Взаимодействие с хост-системами IBM Мэйнфрейм SNA Server Контроллер домена SNA Server 10-23. Процесс аутентификации в домене для доступа через терминалы Примечание У каждого компьютера SNA Server в домене Windows 2000 должна быть своя учетная под которой выполняются сервисы SNA Server, Эта учет ная нужна SNA Server для входа в с целью таких функ как печать с хоста и шифрование данных с применением Distributed Link Services.
Выделение ресурсов В большинстве нужно контролировать, кто именно обращается к ресурсам SNA Server. Способ защиты этих зависит от конкретной среды, включаю щей хост, и от типа сервисов, предоставляемых Доступ через терминалы Пользователи или которым требуется доступ к сеансам 3270 с станций под SNA Server Client, должны быть членами SNA Server. При этом они являются и членами домена Windows 2000, в который входит данный SNA Server. Вы можете закрепить определенные ресурсы типа 2) за соответствующими учетными записями, и тогда пользователи будут получать доступ только к указанным Вами ресурсам.
Рекомендуется домен и разрешать им до ступ лишь к определенным ресурсам.
Доступ через терминалы 5250 и АРРС Включать сотрудников, использующих доступ через АРРС, в поддомен SNA не но они должны быть членами домена Windows 2000. При доступе че рез терминалы 5250 с применением SNA Server Client необходимая обеспе чивается средствами AS/400.
Сервисы TN3270 и TN Для защиты этих сервисов Вы указываете IP-адреса клиентских рабочих и с адресами на доступ к тем или иным ресурсам. В слу чае клиентов вместо можно задать имя рабочей станции.
440 ЧАСТЬ 3 Взаимодействие с системами Сервисы общих папок Доступ пользователей домена к общим папкам AS/400 контролиру ется через Shared Folders Gateway Service.
ми Windows 2000.
В некоторых случаях Вам открытый доступ к LU, предоставляемым SNA Server. Для этого пользовательская учет ная запись Guest (Гость) или групповая учетная запись Everyone Чтобы обес печить доступ с помощью учетной Guest, активизируйте эту запись в доме не Windows 2000, как описано в справочной системе Windows 2000 Server.
учетную запись Guest в SNA Server и назначьте ей А что бы доступ через учетную запись Everyone, просто добавьте ее о под домен SNA Server и назначьте ей нужные LU.
Для доступа к сервисам TN3270 или TN5250 можно создать не указывая или имени рабочей станции.
Шифрование данных SNA Server позволяет шифровать на пути их передачи между и сервером и между серверами (рис, 10-24).
Хост-система Distributed Link Services SNA Server SNA Server Рис. 10-24. Шифрование данных между клиентом и сервером и между серверами между и сервером передачу данных откры тым текстом от компьютеров с программным обеспечением SNA Server Client ком пьютерам SNA Server и наоборот. Шифрование повышает безопасность кли ент-серверной связи всех приложений, использующих средства SNA Server в том числе 3270/5250. Шифрование включается с помощью SNA Server Manager для каждого пользователя данных между серверами создавать безопасные коммуни пути Вашу сеть, Интернет или WAN.
Поддержка брандмауэров Брандмауэр (firewall) Ч это устройство сетевой которое ограничивает дос туп к сетевым ресурсам, пропуская только трафик, направляемый в порты с опре деленными номерами.
Если адрес SNA Server известен, па клиентской рабочей станции настраиваются соответствующие порт и IP-адрес компьютера SNA Server (например, па рис. 10- это 1477 и соответственно). В качестве альтернативы номера ГЛАВА 10 Взаимодействие с хост-системами IBM какого-либо сервиса на компьютере SNA Server можно менять на номера, ваемые клиентом.
Концевая Заголовок Данные 1477 часть Проверка - TCP-порт номера IP-адрес TCP-порта 128.124.1. (в данном случае Хост-система Брандмауэр Рис. 10-25. SNA с брандмауэром Если же адрес SNA Server не IP-транспорт SNA Server заменяет ный IP-адрес адресом брандмауэра. Тогда брандмауэр сам ет запрос на с адресом SNA Server. Это происходит, когда открывает соединение с компьютером Server для приложе ний или для подключения (sponsor connection).
SNA поддерживает брандмауэры главным образом в Кроме того, возможна брандмауэров в сетях или Banyan VINES.
Host Security Integration В вычислительной среде масштаба предприятия сотрудники, выполняя свои еже обязанности, часто обращаются к различным сетевым системам.
ватель может начать свой рабочий лень с включения компьютера Windows Professional и в сеть Windows 2000, а позднее обратиться к базе на AS/400 через какую-нибудь программу терминала.
Каждая система, с которой дело свои требова ния к безопасности и процедуры регистрации. Например, запись в домене Windows 2000 может требовать пользователя из шести букв и из восьми букв регистра, а в мэйнфреймовой системе Ч имени пользователя из семи букв и пароля из семи Нередко приходится запоминать несколько комбинаций имен и па ролей доступа к различным ресурсам в сети. Несмотря на все требования по литики многие из таких пользователей просто свои па роли на листке бумаги и хранят его рядом с компьютером, ослабляя защиту Одна из важных особенностей SNA Server состоит в том, что он ет интегрировать системы защиты домена Windows 2000 и хоста. Host Security 442 ЧАСТЬ 3 Взаимодействие с другими системами Integration Ч это комбинация средств и сервисов, автоматизирующих син хронизации паролей и регистрации в различных системах. Применяя средства, Вы поможете своим пользователям соблюдать корпоративные стандарты безопас ности и управление учетными записями в сети и на хост-системе.
Компоненты Host Security Host Security Integration управление пользовательскими учетными записями в сети и на хост-системе на домена защиты хоста (host security domain). Домен защиты хоста различные домены защиты с об щей базой данных пользовательских учетных записей. Простейший домен защиты может состоять из домена хоста, Windows 2000 и поддомена SNA Server, как показано рис. 10-26.
Host Account SNA SNA Account Домен Windows Service Host Account Cache Рис. 10-26. Элементы в типичном домене защиты хоста Host Security Integration включает три (которые можно устанавливать по отдельности):
Х Host Account Cache;
Х Host Account Synchronization Service;
Х Windows 2000 Account Synchronization Service, Компонент Host Account Cache Host Account Cache поддерживает шифрованную базу данных, которая увязывает учетные записи на хосте с учетными записями в домене Windows 2000. Этот ком понент представляет собой службу Windows 2000, устанавливаемую на одном контроллеров домена Windows 2000. В сетях па контроллере до ГЛАВА 10 Взаимодействие с хост-системами IBM мена Windows 2000 можно установить сам SNA Server, который и будет информацию Host Account Cache.
Для большей надежности на любом другом контроллере домена можно резервный Host Account Cache. Этот резервный поддерживает локальную ко пию базы данных пользовательских записей.
Компонент Host Account Synchronization Service Этот сервис можно установить на резервном или компьютере SNA Server в поддомене SNA Server. Подробнее о ролях в SNA Server см.
ролей в SNA ранее в этой главе.
Вы можете устанавливать сервис и на компьютерах без SNA Host Account Synchronization Service поддерживает сторонние интерфейсы к базам учетных записей на хостах, позволяющие координировать в паролях между системами защиты домена Windows 2000 и хоста.
Host Account Synchronization Service обязательна, если Вы используете функ цию унифицированного с обновлением паролей в этом случае ад министраторы или пользователи сохраняют учетные данные с хоста в Host Cache через приложение Host Manager О том, как пользовать ся UDConfig, см. документацию на SNA Server версии 4.0 и Microsoft BackOffice Resource Kit, Компонент Windows 2000 Account Synchronization Service Этот автоматически синхронизирует пароли в учетных па хос те и в домене Windows 2000. Он должен быть установлен даже в том случае, если автоматическая синхронизация не применяется, так как координирует внутреннее функционирование других сервисов.
Account Service устанавливается на домена Win dows 2000. Основным может быть только один этой службы;
остальные должны быть В SNA Server встроена поддержка синхронизации паролей между доменом Win dows 2000 и доменом защиты Сервисы с другими хост-сис темами предоставляют сторонние продукты.
Режимы синхронизации паролей При определении защиты хоста автоматически создается групповая ная запись Windows 2000 тем же именем. Затем в эту группу добавляются вательские записи, которые таким образом становятся членами домена за щиты хоста. Как только Вы определите защиты хоста, Вам станут доступны два режима паролей:
Х Replicated в каждом домене защиты, в домене используется одно и то же имя или пароль;
Х Mapped Ч в каждом домене защиты используются разные имена и пароли. Со поставления между учетными записями и паролями хранятся в базе данных, контролируемой Host Account Cache Service.
Вы можете установить любой из режимов для имен и/или па ролей Ч например, выбрать сопоставление имен пользователей и репликацию па 444 ЧАСТЬ 3 Взаимодействие с другими системами ролей между доменами защиты. Это позволит входить в системы (в до мене защиты хоста) по одному паролю, под разными именами, Сразу после определения хост-соединения закрепляются за однако каж дому из доменов защиты может быть присвоено только одно хост-соединение еди Как только за доменом зашиты закреплены соединения, Вы можете включать в него пользователей, добавляя их учетные записи в ранее группу Windows 2000. В каждой из таких записей можно активизировать нужный режим паролей и разрешить применение средств автома тической регистрации, Тогда пользователи, уже в домен Windows 2000, смогут автоматически входить в хост-систему.
Автоматизация синхронизации паролей В рамках SNA Server автоматическая (LAN-K-AS/400) синхро низация паролей поддерживается без дополнительных средств или про граммных В средах с или в том если Вам нужна автоматическая требуется применение программных продуктов от сторонних поставщиков.
Автоматизация регистрации SNA Server также позволяет автоматизировать процесс регистрации на ме. Эта обычно называемая поддержкой унифицированного входа, обес печивает автоматическую регистрацию пользователя во всех системах безопаснос ти домена хоста, если этот пользователь уже проверен любой из систем внутри SNA Server поддерживает унифицированный вход в хост-системы При использовании сторонних программных продуктов эквивалентная функциональность становится доступной для приложений АРРС и CPI-C как на мэйнфреймах, так и на AS/400. поставщиков таких продуктов см. на Web узле SNA Server по адресу Подробнее о средствах защиты SNA Server и о поддержке интеграции систем бе зопасности см. документацию на SNA версии 4.0 и Microsoft BackOffice Resource Kit.
Доступ к данным на хост-системах Одна из целей интеграции сетей Windows 2000 с хост-системами IBM обеспечить пользователям доступ к данным на хостах. Многие крупные компании уже давно хост-системы для хранения огромных баз данных и обработ ки больших объемов необходимой пользователям в сети предприя тия. Ввиду своей и надежности хост-системы по-прежнему играют заметную роль в хранении и колоссальных массивов данных.
Приобретая все персональных компьютеров, объединяемых локальными сетями, организации способы интеграции систем управления базами данных на хостах с персональными компьютерами. С помощью SNA Server Вы мо жете обращаться к данных используя одно из следующих средств:
ГЛАВА 10 с хост-системами Х Open Database Connectivity (ODBC) Driver for DB2 Ч для к СУ6Д с архитектурой DRDA Database Architecture) через ODBC интерфейсы;
Х OLE DB Provider for AS/400 и Ч для доступа к данным на уровне сей через интерфейсы OLE DB.
Доступ к данным на хосте через ODBC SNA Server рассчитанным на использование интерфейса ODBC и команд SQL. обращаться к базам на хостах. Применяя ODBC Driver for DB2, могут манипулировать базами данных на которая управляет распределенными данными по протоколу DRDA tributed Database не требуя шлюза к базе данных. Соо" вет драйверы предусмотрены для Windows NT, Windows 2000, 95, Windows 98 и Windows 3.x.
Рис. 10-27 иллюстрирует доступ к на хосте с помощью ODBC Driver for DB2.
DB2 или управления базами данных IBM База с поддержкой DRDA DRDA SNA Server, управляющий между клиентами и хостом IBM Драйвер ODBC-команды в ODBC ODBC.
Microsoft приложения Word Excel Access с ODBC Рис. Доступ к данным на хосте с помощью ODBC Driver for DB 446 ЧАСТЬ 3 Взаимодействие с другими системами команды между SQL- и как пока на рис. 10-27. Каждый драйвер принимает SQL-запросы от клиентского при ложения через ODBC, транслирует их в и передает хосту. После дний обрабатывает DRDA-команды и возвращает через SNA Server драйверу на клиентском компьютере. Затем драйвер преобразует в SQL-данные и передает их приложению, используя ODBC-ин терфейс.
ODBC-драйвер Х фиксацию и откат транзакций;
Х асинхронную обработку;
Х отмену запросов:
Х основные и внешние (foreign) ключи;
Х четыре уровня изоляции транзакций.
Этот же драйвер напрямую передавать SQL-строки базе данных на хос те с трансляцией. К числу поддерживаемых баз данных относятся:
Х DB2 for MVS;
Х VM VSE;
Х DB2/400 for OS/400.
Подробнее о специфических функциях и типах данных ODBC, поддерживаемых ODBC-драйвером, см. документацию на SNA Server версии 4.0.
Доступ к данным на хосте через OLE DB SNA Server обеспечивает доступ на уровне записей к базам данных на мэйнфрей мах и через OLE DB Provider for AS/400 и функцию Используя преимущества OLE DB как интерфейса к разнородным источникам данных (рис. 10-28), OLE DB Provider for AS/400 и VSAM Х адаптировать программные решения для чтения и записи файловых систем AS/400 и мэйнфреймов без предварительного на клиент серверную Х интегрировать неструктурированные данные с клиентскими и серверными ба зами данных, работающими на персональных компьютерах;
Х разрабатывать приложения с использованием высокоуровневых типа Microsoft ADO (ActiveXо Data Objects), которые языка ми программирования Microsoft Visual Basicо Microsoft Visual C++о Microsoft Visual Microsoft Visual Basicо for Applications (VBA) и Scripting.
OLE DB Provider использует протокол ввода-вывода на уровне записей (record level input/output, RL1O) в архитектуре IBM DDM (Distributed Data Management) уровня 2 или выше. Эта как DDM-средство запросов источ ника (source DDM requester) и взаимодействует с целевыми серверными в большинстве популярных операционных систем хостов, включая OS/390 и OS/400.
ГЛАВА 10 с хост-системами IBM Мэйнфрейм или AS/ Рис. 10-28. Доступ к данным на хосте через OLE DB Provider for AS/400 и VSAM Клиентские приложения взаимодействуют с базой на хосте 6.2), установленному между SNA Server и SNA Server, OLE DB Provider поддерживает:
Х блокировку файлов и записей;
Х сохранение исходных атрибутов файлов и записей;
Х индексированный и доступ к записям;
Х логические записи фиксированной и переменной OLE DB Provider поддерживает самые разнообразные типы файловых данных, ис пользуемые мэйнфреймами и AS/400. Для систем OLE DB Provi der поддерживает наборы SAM (включая и (в том числе ESDS, RRDS, индекс для наборов данных ESDS и KSDS, а также элементы PDS/PDSE. Для AS/400 OLE DB под держивает физические и логические файлы (как с так и без Полное описание OLE DB Provider for VSAM and AS/400 см. в SNA Server Development Kit, поставляемом со SNA Выбор метода доступа к хост-данным Выбор этого метода зависит от того, как именно Вы хотите предоставлять доступ к системам базами данных (СУБД).
Предприятия, и SQL-команды для доступа к таблицам баз данных на и манипуляций с ними, могут использовать драйвер поддержка ODBC во многих приложениях вроде Microsoft Excel и Microsoft упрощает создание соответ ствующих решений.
Во многих средах OLE DB Provider for AS/400 и VSAM можно настроить под держку той же что и драйвер ODBC/DRDA. Однако на пред приятиях, где слишком мало специалистов по SQL (или их вообще нет), лучше 450 ЧАСТЬ 3 Взаимодействие с другими системами Клиентские компоненты могут любой зарегистри рованный на компьютере с Windows 2000 Server, в том числе объект Полное описание и примеры см. в докумен тации на SNA Server версии 4.0 и в его справочной системе COM Transaction Integrator Help.
Интеграция с системой обработки транзакций на хостах Во многих организациях хост-системы для выполнения приложений, обрабатывающих транзакции в режиме реального времени, например приложений IBM CICS. Эти приложения в интерактивных сеансах вроде 3270 или 5250, поддерживаемых каким-либо эмулятором терминала, Мы уже поясняли, как с функциональности COMTI, поддерживаемой SNA Server, обращаться к простым мэйнфреймов на программном уровне. Эта функциональность становится еще более мощным инструментом, ког да она применяется для расширения использующих Component Ser vices в Windows 2000 Server. Такие Windows-приложения могут координировать с Level 2) Рис. 10-30. Интеграция с системой обработки транзакций на хосте ГЛАВА 10 Взаимодействие с хост-системами IBM в сочетании с Services применим для решения самых разнооб разных Х для Windows могут описывать, запускать и управлять специаль ными объектами Services, которые обращаются к программам CICS или IMS.
Х Разработчики для мэйнфреймов могут делать доступными для Windows работающих в и Х Проектировщики компонентов Component Services могут включать приложения мэйнфреймов в область действия двухфазных Component с фиксацией.
Рис. 10-30 иллюстрирует, каким образом клиентское Windows-приложение способ но неявно использовать DTC (Distributed Transaction Coordinator) для ции распределенной в которой участвуют SQL Server и одна из тран программ CICS. DTC частью Component и коорди нирует двухфазные транзакции с фиксацией (two-phase commit transactions).
Полное описание COMTI и примеры приложений см. в докумен тации на SNA Server версии 4.0 и в его справочной системе COM Integrator Help.
Интеграция хост-систем с Web Развитие и сопутствующих технологий открывает перед отделами ин технологий в распространении приложений как на внутренних, так и на внешних пользователей. Информа ция и ресурсы во внутренних системах стали доступны более широкому кругу пользователей, что позволяет корпорациям использовать существую щие инфраструктуры.
Кроме того, постоянно растут объемы корпоративных баз данных с критически важ ной информацией. Продолжая использовать мэйнфреймы и хост-системы AS/ для поддержки баз данных, обработки транзакций и выполнения других приложе ний, многие организации стремятся к интеграции хостов с Web.
SNA Server и технология Web Microsoft-модель интеграции хостов с Web использует SKA Server для поддержки соединений между хостами IBM и типа IIS. В ней (рис. 10-31) Web браузеры и взаимодействуют друг с другом по сети с HTTP и TCP/IP. В свою очередь обращается к SNA Server через определен ный серверный интерфейс, (Internet Server Application Interface), а компьютеры SNA Server взаимодействуют с хост-системой по про токолу SNA, используя определенное соединение.
Компоненты, показанные на рис. 10-31, можно развернуть на одном или несколь ких компьютерах, на Вашем предприятии. Например, на малом пред приятии и SNA Server можно установить на одном компьютере с Windows 2000 Server. С ростом числа серверов и увеличением зап росов на соединение рекомендуется устанавливать Web-сервер и SNA Server на дельные компьютеры с Windows 2000 Server.
452 ЧАСТЬ 3 с другими системами Хост SNA Рабочая станция Server Рис. 10-31. Взаимодействие между Web и хост-системой Для систем е Windows 2000 Server качестве Web-сервера вать службы IIS, поскольку они тесно интегрируются с функциями управления и администрирования данной системы. А интеграция с Windows Server упрощает 1IS с другими приложениями BackOffice вроде SQL Server или Microsoft Exchange Server, Способы доступа к хосту из Web-браузеров SNA Server дает возможность пользователям Web-браузеров подключаться к хос там несколькими способами. Чаше всего выбирают один из следую щих вариантов:
Х доступ через терминал с Web-браузера Ч потоки данных для терминалов 3270 или 5250 отображаются в окне Web-браузера;
Х доступ к данным на через Web-браузер Ч пользователи могут к и базам данных на хосте через Web-браузер;
Х доступ к приложениям хоста через Web-браузер Ч пользователи обра щаться к системам обработки через Эти варианты рассматриваются в следующих разделах;
там же даются ции по выбору доступа в конкретных условиях.
Доступ через терминал с использованием Web-браузера Доступ к приложениям хоста традиционный интерфейс терминала 3270 или 5250 с применением Web-браузера прост и эффективен. Это решение идеально, если Ваши пользователи уже знакомы с текстового терминала и привык ли работать с хоста.
SNA Server позволяет реализовать такое за счет установки SNA Server Web Client (рис. 10-32). SNA Server Web Client предоставляет средства эмуляции тер миналов через который является частью пакета, загружаемого в браузер с Web-сервера типа IIS. После загрузки и запуска этот со компьютером SNA Server, обеспечиваю щим соединение с хост-системой.
использовании этого способа никакой настройки клиентской рабочей станции не требуется, поскольку вся информация о соединении указывается администрато ром до загрузки SNA Server Web Client в браузер. Все необходимые содер жатся в загружаемом пакете, что позволяет SNA Server Web Client автоматически устанавливать соединение с ГЛАВА 10 Взаимодействие с SNA Automation Рис. 10-32. Доступ к хост-системам через терминалы с применением SNA Server Web Client Загрузка SNA Server осуществляется однократно, если только браузер не на более новой версии этого программного обеспе чения;
это запуск клиента и сводит к нагрузку на Ваш Поскольку SNA Web Client данные о каких-либо изменениях в конфигурациях хостов автоматически там при запуске SNA Web Client.
В настоящее время SNA Web Client доступен для операционных Windows NT, Windows 2000, Windows и Windows с Internet Explorer версий 3.02 и выше. Поддерживается эмуляция терминалов 3270 и 5250.
Детальное описание настройки и установки SNA Server Web включено в до на SNA Server версии 4.0.
Доступ к данным на хосте через Как говорилось, хост-система Ч платформа для предприятий, ющих дело с большими базами данных. SNA Server и Web позволяет предоставить доступ к этим данным более широкому кругу пользователей.
Стандартный способ интеграции с базой данных на хосте Ч ние на основе HTML наглядных и дружелюбных к пользователю интерфейсов для систем управления базами данных на хостах, предоставляющих только интерфейсы.
454 ЧАСТЬ 3 Взаимодействие с другими системами Например, собирает информацию для запроса к базе данных на HTML-форме. Далее запрос передается на Web-сервер, а от него (с ISAPI или другого шлюзового интерфейса) Ч службе, взаимодействующей с системой управления базами данных на хосте. Результат запроса преобразуется в формат HTML и отображается в окне SNA Server Ч идеальный для реализации программных решений в об ласти доступа к хост-данным на основе технологии Web, поскольку он не требует написания дополнительного кода для хоста или модификации СУБД. Кроме того, используя такие средства, как OLE Provider, Вы можете расширить спектр ус предоставляемых пользователям Web. Рис. 10-33 как компонен ты к данным интегрируются со SNA Server и другими сервисами для под держки операций с файлами данных на из Web-браузера.
Мэйнфрейм или AS/ Windows Server Server APPG Рис. 10-33. Web-доступ к файловой системе хоста В браузере пользователь загружает и вводит данные на ASP-страницу (Active Server размещенную на Web-сервере После этого ASP передает данные в OLE DB Provider, SNA Server.
В этом сценарии OLE DB Provider взаимодействует с базой на хосте по Input/Output) в архитектуре IBM DDM Data Management) (уровня 2 и выше).
к приложениям хоста через Web-браузер Web-браузер также обращаться к ТР, на мэйнфрейме, на пример к CICS- или IMS-приложениям. COMTI в SNA Server, Вы жете разрабатывать приложения, Web-браузеры для взаимодействия с обработки транзакций на ГЛАВА 10 Взаимодействие с хост-системами IBM программы CICS могут обращаться к DB2, предоставля ет программный доступ и к DB2 на мэйнфрейме.
Вы можете обращаться к из браузера любым способом, так как COMTI создает стандартный серверный COM Automation, щий как для программ или IMS. Рис. 10-34 иллюст рирует компоненты, которые Web-приложение может использовать для кого создания объектов и вызова с помощью кода сценария на Мэйнфрейм Windows Server данных SNA SNA Server Рабочая станция COMTI ASP Рис. 10-34. Web-доступ к системе обработки транзакций на хосте Также возможно создание приложений на основе других технологий, например RDS (Remote Data Services), и клиентских В таком случае объектов и вызов методов осуществляется из клиентского сценария, выполняемого на сервере, а RDS-элемент возвращает клиенту по HTTP.
Интеграция управления сетями Интеграцию локальных сетей и хоста нельзя считать полной, если Вы не можете управлять интегрированной сетевой средой. SNA Server предоставляет соответству ющие сервисы, которые Вам (или хост-систе мы IBM) управлять SNA Server:
Х с компьютеров Windows 2000 Professional;
Х с компьютеров, использующих Server Remote Access Х из приложений на хост-системе IBM.
Сервисы управления SNA Server Вы можете SNA Server и управлять им через SNA Server Manager (с графическим интерфейсом) или интерфейс командной строки.
SNA Server Manager Ч это оснастка которая обеспечивает мониторинг, ди и ресурсами и сервисами SNA Server, в том Х SNA Server;
Х компьютерами;
456 ЧДСТЬ 3 Взаимодействие с другими системами Х Х сервисами каналов;
Х соединениями;
.
Х сеансами;
Х Х пользователями.
SNA Server Manager интегрирует всеми сервисами SNA вклю чая сервисы и Print Service, Shared Folders Gateway Service и Security SNA Server Manager позволяет наблюдать за всеми компьютерами SNA Server в SNA Server и сразу несколькими Вы можете и администрировать компьютеры SNA Server по любым стан дартным в том числе:
Х Х IPX/SPX;
Х Banyan VINES Х Named Pipes;
Х с службы и доступа Windows 2000.
SNA Manager запускается па любом компьютере с Windows настроенном как клиент SNA Server. Кроме того. SNA Server Manager просматривать и управлять одним и тем же сразу нескольким админи страторам.
Примечание SNA Server также предоставляет командной строки, даю щий возможность записывать связанные с настройкой, в фай лы. Подробнее па эту тему см. на SNA Server версии 4.0 и Microsoft BackOffice Resource Kit.
Интеграция со службами управления Windows Поскольку SNA Server является BackOffice, SNA Server Manager тес но интегрирован с другими оснастками в Windows 2000, включая:
Х User Manager пользователей);
Х System Monitor (Системный монитор);
Х Event Viewer (Просмотр Интеграция с User пользователям Windows 2000, компью терам со SNA Server и других приложений BackOffice общую базу данных записей и систему защиты. Интеграция с System Monitor позволяет указывать счетчики производительности для мониторинга ин SNA-трафика компьютеров SNA Server. помощью Event Viewer можно быстро выяснить, какие события вызвали ту или иную проблему в SNA ГЛАВА 10 Взаимодействие с хост-системами IBM Подробнее об ресурсами и сервисами SNA Server из см. доку на SNA Server версии 4.0 и Microsoft BackOffice Kit.
с сервисами управления IBM NetView SNA Server также с управления сетями NetView, выполняемыми на мэйнфреймах (рис. 10-35).
Система генерации отчетов и прочую информацию между хост-системой и подключенными к ней.
NetView можно расширить счет ее с функциональностью Win clows 2000 и SNA Server через следующие Х Х Х Response Time Х Link Alerts for and Token Ring.
NetView Сервис NVAlert журнала событий D Сервис 'Х строки rver Windows Рис. 10-35. Взаимодействие SNA Server с IBM NetView Сервис NVAlert Как показано на рис. 10-35, сервис NVAlert передает информацию о событиях из журнала 2000 системе IBM NetView на хост-компьютере. информа ция посылается виде уведомлений NetView. может сообщать о событиях двух категорий: генерируемых системой Windows 2000 и приложениями Windows 2000.
Информацию о событиях пересылать па консоль NetView или в файл жур нала на хост-системе. NVAlert какое событие было NetView, считывая файл Сервис NVRunCmd Этот сервис передавать выдаваемые с консоли NetView, на пьютер с Windows 2000 и SNA Server. Сервис NVRunCmd также резуль таты команд на NetView в стандартных текстовых и вых форматах.
458 ЧАСТЬ 3 Взаимодействие с другими системами Response Time Monitor Response Time (RTM) Ч это функция хоста IBM, которая в с View позволяет измерять ответа хоста в ходе сеанса 3270.
Response Time Monitoring, предоставляемый SNA Server, дает возможность указы вать, когда RTM должен посылать а также определять триггеры, заставля ющие регистрировать ответа от хоста.
Link Alerts for SDLC Token Ring Если соединение SDLC Data Link Control) или Token Ring вается неудачей, SNA Server инфор мацию, уведомлениями каналов (link alerts). регистри руются в файле журнала, который можно просматривать с помощью Event из Windows 2000.
Подробнее о сервисах управления SNA Server, в том числе об их интеграции со службами управления Windows 2000 и хостами IBM, см. документацию SNA Server версии 4.0.
Дополнительные материалы Более подробную информацию об версиях SNA Server и сопутствую щих спецификациях см. по ссылке:
Х SNA Server на странице Resources ( ГЛАВА И Services for UNIX Взаимодействие с другими операционными системами очень важно R вычислительных средах, которые становятся все более гетерогенными. Microsoft Services for UNIX обеспечивает интеграцию Windows-систем существующую UNIX-среду и позволяет переносить уже написанные UNIX-сценарии в Windows среду, упрощая задачи администрирования.
Здесь предполагается, что Вы знаете материалы, в приложении Б Концепции взаимодействия с UNIX в этой книге.
На момент книги к изданию текущей версией for UNIX была версия 1.0, рассчитанная на Windows NT 4.0. Информацию о новых сиях Services for UNIX и их функциональности см. на Web-узле Microsoft В этой главе Обзор Доступ к файлам через NFS Клиент и сервер Telnet в Services for UNIX Утилиты UNIX и оболочка См. также Х Подробнее о правах доступа к файлам в Windows, о NTFS и FAT Ч Со провождение из серии Microsoft Windows 2000 Server.
Х о TCP/IP Ч главу 1 в TCP/IP в книге Сети TCP/IP из серии Microsoft Windows Х Об аутентификации Ч книгу Распределенные серии Ресурсы Microsoft Windows 2000 Server.
Х О планировании защиты Ч книгу Planning Guide из Microsoft Windows 2000 Server Resource Kit.
Х О печати файлов в сети Ч книгу Сопровождение сервера серии Ресурсы Microsoft Windows 2000 Server.
ЧАСТЬ 3 Взаимодействие другими системами Обзор Компонент Services Unix поддерживает UNIX-платформы:
Х UNIX;
Х Hewlett-Packard Х Sun 2.5.1+.
Services for UNIX следующие Network File System (NFS). Клиентское и серверное программное NFS обращаться с компьютеров под управлением Windows NT к файлам на компьютерах под управлением UNIX и наоборот.
Примечание Services for не сервисы печати. В Windows встроены собственные сервисы UNIX: LPR (Line Printer Remote) и (Line Primer Daemon). на эту тему ем. книгу Сопровождение из серии Microsoft Windows Telnet Client and Server. Это позволяет входить в сис темы под управлением Windows NT или из сети и выполнять на них команды.
Синхронизация паролей. Services for UNIX обеспечивает синхронизацию паролей для пользователей компьютеров с Windows NT и UNIX. Изменения в паролях Windows автоматически распространяются на компьютеры с UNIX.
Утилиты и средства поддержки сценариев UNIX. Services for Unix поддержива ет и оболочку Korn, с помощью которых можно автоматизировать рутинные процессы и выполнение административных задач на платформах Win dows и Доступ к файлам через NFS NFS (RFC и 1813) является набором для доступа к фай лам, обеспечивающим между различными файловыми системами в гетерогенных сетях. используют NFS, например, при к фай лам па удаленных серверах. NFS построена по модели и опирает ся на протоколы RPC (Remote Procedure Call) (метод обмена между клиентом и сервером, в RFC 1831, 1050 и 1057) и XDR (External Data Representation) (метод трансляции данных между системами, в RFC 1832 и 1014). файловые системы на тируются па клиенте, поэтому они кажутся ему локальными, и он может обращать ся к так как и к обычным файловым системам.
Поддерживаемые версии NFS две NFS: 2 (RFC 1094) и версия 3 (RFC 1813).
Особенности и ограничения версии 2:
Х индикатор размеров (file indicator);
Х на основе UDP или TCP;
Х размер NFS-пакетов Ч 8 Кб.
ГЛАВА 11 Services UNIX Х пакет для записи в файл должен быть передан дисковой подсистеме до как сервер отправит подтверждение.
и ограничения версии 3:
Х индикатор размеров Х используется сетевой транспорт на основе или TCP;
Х максимальный размер NFS-пакетов Ч 64 Кб при Х количество и частота обмена пакетами между клиентом и сервером от размера пакетов (то же относится и к о приеме);
Х сервер может клиентские запросы на запись, если только не требует непосредственной на диск.
NFS версии 3 выбирает TCP в качестве сетевого если TCP поддержи вается и клиентом, и сервером. TCP надежнее но в работает медленнее.
Server for NFS Server for NFS (Services for UNIX версии 1.0) Ч 32-разрядная Windows-программа режима ядра, NT. Этот позволяет к файлам в смешанной среде, из раз ных аппаратных систем и сетей. Server for NFS щает компьютер под управлением Microsoft Windows в сервер NFS. Доступ к фай лам и задачи выполняются Windows NT.
министрирование NFS осуществляется с помощью утилиты.
Server for NFS использует протокол NFS, па ONC-RPC (Open Computing Remote Протокол ONC-XDR (Open Network Data Representation) передачу данных между клиентами и сервером NFS.
NFS и связанные с ним протоколы Sun Microsystems.
архитектура показана на рис.
программа NFS Автоматическое Локальный Диспетчер монтирование кэш RPC/XDR Транспортный уровень Сетевые протоколы TCP/IP) Рис. 11-1. Архитектура NFS 462 ЧАСТЬ 3 Взаимодействие с другими системами Server for NFS возможности.
Удаленный доступ к файлам. После Services for UNIX сервер Win dows NT может каталоги и файлы Windows доступными NFS.
Средства управления доступом назначать клиентам разрешения толь ко для чтения, для чтения и доступ к корню и доступ запрещен.
Права на доступ к файлам разрешениями, задан ными в файловой системе Windows NT.
Глобальные разрешения. Клиенты NFS могут быть сгруппированы. NFS-досту пом можно либо по клиентов, либо по именам Разрешения безопасности. Server for NFS можно настроить на использование разрешений NTFS.
Сопоставление пользовательских и групповых учетных записей. Для защиты файлов в Windows NT, к которым обращаются из UNIX, Server NFS требует от системного администратора сопоставить учетные записи пользователей или групп в с учетными записями в Windows NT. Тогда пользователи получают в UNIX те же права что и в Windows NT. На сайтах с же сткими к безопасности можно пропустить эту сопостав ления и считать всех UNIX-клиентов анонимными пользователями.
Размер буфера для считываемых и записываемых данных. Размер этого буфера можно изменять для оптимизации NFS-потоки. Вы можете указать количество потоков для параллельной обработ ки запросов на сервисы NFS. Максимальное число потоков Ч 512.
inode и информации о каталогах. Кэширование на NFS-сервере inode (данных об файлов) и информации о каталогах (списка каталогов, к которым были обращения за самый последний период) позволяет сократить чис ло вызовов этого сервера и самым повысить его производительность.
Размеры соответствующих кэшей устанавливаются с помощью Server for NFS.
Символьные ссылки. Server for NFS можно настроить на поддержку символьных ссылок (symbolic links).
Блокировка файлов. Такую блокировку можно включить либо только для кли ентов NFS (необязательная блокировка) (advisory locking), либо для клиентов NFS и пользователей Windows NT (обязательная блокировка) (mandatory locking).
Разрешение конфликтов из-за регистра букв в именах файлов. Server for NFS настроить на разрешение конфликтов, которые возникают между именами файлов NFS и NTFS/FAT/CDFS из-за чувствительности к регистру букв. Допус кается преобразование имен файлов в буквы только верхнего регистра или только нижнего регистра;
кроме того, можно просто игнорировать регистр букв в именах файлов. Символы, в UNIX, но не поддерживаемые в Windows NT, мож но преобразовать в другую последовательность символов с помощью файла транс (translation file). Например, Windows 2000 использование в име нах файлов знака двоеточия, и с помощью файла трансляции Вы можете выбрать подходящую символов для замены всех двоеточий в имени файла, полученного с под UNIX.
NFS версий 2 и 3, Server for NFS можно настроить на одной из этих версий NFS.
ГЛАВА 11 Services for UNIX Транспорт данных с помощью TCP или UDP. По умолчанию Services for MIX использует для транспорта протокол Вы можете настроить Server for NFS на TCP, который более надежен, но в ситуациях менее производи телен.
Диагностические утилиты. Services for UNIX поддерживает команды и находить причины проблем с NFS.
Client NFS Microsoft Client for NFS (Services for UNIX версии 1.0) позволяет компьютеру под управлением NT действовать в качестве клиента NFS и обращаться к ка талогам и файлам, находящимся на сервере NFS. Клиент NFS монтирует каталог на сервере NFS.
Client for NFS обеспечивает следующие возможности.
Доступ к удаленным файлам. Каталоги и экспортированные с NFS, могут быть смонтированы клиентом NFS локально. Права на к этим каталогам или файлам определяются параметрами экспорта вой системы и применимыми разрешениями.
Настройка параметров монтирования. В UNIX пользователь или системный ад министратор к удаленной файловой системе командой mount. Эта команда набор параметров, для конкретной реализации for UNIX поддерживает параметры монтирования, определяющие:
Х размер буфера, от которого зависит, сколько пакетов посылается в одном запро се на чтение или запись;
Х тип (жесткий или При жестком сис темные вызовы сервера, переставшего отвечать, повторяются бесконечно, а при нежестком монтировании этого не происходит. Файловые системы, емые с разрешением на доступ для чтения и записи, требуют жесткого монтиро вания, чтобы гарантировать целостность данных;
Х время ожидания ответа от сервера при Х количество повторных в ответа от сервера NFS ко при нежестком монтировании);
Х возможность использования блокировки файлов, позволяющей получать моно польный доступ к какому-либо файлу. Блокировка файлов в NFS работает если ее разрешено клиентах NFS;
Х возможность кэширования считываемых данных на клиенте NFS (такое кэши рование число обращений к серверу NFS);
Х возможность кэширования данных па сервере NFS (такое кэши рование издержки при записи небольших порций данных).
Выбор методов аутентификации. Поддерживается три метода аутентификации.
Х Способ идентификации пользователей без логина (имени) и пароля на сервере NFS.
Х Стандартная в с использованием сервера NIS. Способ логины и пароли которых хранятся на сервере N1S.
ЧАСТЬ 3 Взаимодействие с другими системами Х PCNFSD. Способ аутентификации, при котором проверка ло гина и пароля для клиентских NFS с помощью демона Разрешение символьных ссылок. for разрешает переименование и удаление символьных ссылок. Чтобы Client for NFS мог найти файл, на который указывает символьная ссылка в файловой от смонти на данный момент, в файле должна быть соответствующая запись. (Такой файл сопоставляет удаленную файловую систему с именем сервера этой файловой или именем общего сетевого ресурса.) В отсутствие подобной записи Client for NFS что целевой файл находится па клиентском компьютере.
Подключение каталогов NFS как локальных дисков. Смонтированные каталоги NFS можно подключать как локальные диски в Windows-системе, что позволяет просматривать с Windows Explorer (Проводник), Изменение нрав на доступ к файлу. Client for NFS позволяет изменять UNIX для удаленных файлов.
Разрешение конфликтов из-за регистра букв в именах файлов. Поскольку UNIX к регистру букв в именах файлов, a Windows Ч нет (она лишь со исходные регистры то Services UNIX предусматривает настрой ки для конфликтов, с регистром букв в именах файлов, Диагностические утилиты. Services for UNIX поддерживает команды и позволяющие находить проблем с NFS.
Протоколы NFS NFS состоит из протоколов семи уровней, соответствующих уровням модели OSI (Open System Interconnection).
11-1. Уровни OSI и протоколы NFS Уровни OSI NFS NFS и XDR Сеансовый TCP, Сетевой IP Канальный Физический Ethernet Описание уровней модели OSI см. в А Модель в книге Сети из серии Ресурсы Microsoft Windows Протокол RPC Протокол RPC (Remote Procedure Call) вызывать процедуры, выполня емые па другом компьютере в сети. базируется на модели вызывает процедуру, которая кажется ему локальной, но на самом деле на ходится на компьютере. При упаковыва ются в специальный формат и передаются по сети на сервер, где они ГЛАВА 11 Services for UNIX Результат преобразуется в тот же формат и клиенту;
после рас клиент получает значение, возвращенное процедурой.
RPC использует или TCP;
поскольку RPC-вызовы предпочтение отдается этого должен всю инфор мацию одном пакете, так как не гарантирует доставки пакетов в правиль ной последовательности. Кроме того, клиент может задать максимальное время ожидания, но истечении которого вызов повторяется или передается другому серверу.
RPC предоставляет набор называемых программами. Каждая идентифицируется по номеру. Например, NFS Ч это программа под номером 100003.
Когда RPC-сервис в UNIX, он регистрируется у демона Тот фиксирует номер и версию и выделяет TCP- или по кото рому этот будет принимать входящие запросы. Демон тоже яв ляется RPC-сервисом, который прослушивает TCP- и 111.
Получить список зарегистрированных на данном компьютере, мож с помощью (таблица 11-2).
Таблица Параметры командной строки для rpcinfo Параметр Описание -р [хост] Перечисляет все па указанном хосте Посылает null хосту и [версия] с использованием UDP и сообщает, получен ли ответ -t RPC-вызовы, доступные клиенту NFS, в таблицах и 11-4. Таблица 11-3. RPC-вызовы NFS версии Имя create Создать файл getattr Получить атрибуты файла Создать связь с файлом Найти файл с определенным именем Создать каталог read из файла rcaddir Читать каталога Читать по символьной ссылке remove Удалить файл rename Переименовать файл Удалить каталог (см. ) ЧАСТЬ 3 Взаимодействие с другими системами Таблица (продолжение) Имя Установить атрибуты файла Получить атрибуты файловой системы Создать символьную write Записать в файл Таблица 11-4. NFS версии RPC-вызова Описание access Проверить права пользователя на create Создать файл commit Записать данные t'sstat Получить атрибуты файловой системы Получить информацию о файловой системе getattr Получить атрибуты файла link связь с файлом lookup Найти файл с определенным именем Создать каталог Создать специальный узел устройств Извлечь информацию POSIX read Читать из файла Читать из каталога Расширенное чтение каталога read] ink Читать по символьной remove Удалить файл rename Переименовать файл Удалить каталог Установить атрибуты файла Создать ссылку write Записать в файл NFS-потоки Когда выдается запрос на сервис NFS, сервер NFS под управлением Services UNIX создает обработки этого запроса. Каждый поток мо жет обрабатывать запрос. Больший пул потоков позволяет серверу параллель но обрабатывать большее число NFS-запросов. Однако нужно учитывать, что слиш ком большое может отрицательно повлиять на общую произ водительность сервера. Для определения числа потоков используйте такую формулу: 16 (4 X где N Ч число дополнительных процессоров на сервере NFS. В соответствии с этой формулой на двухпроцессорном сервере 1) не должно быть более 20 потоков. возможное число равно 512. ГЛДВА 11 Services UNIX Аутентификация PCNFSD NFS может использовать для проверки подлинности демон аутентификации PC/ NFS (PC/NFS daemon, PCNFSD). После через PCNFSD идентификатор пользователя (user ID, UID) и идентификатор (group ID, GID). Если UID- и одинаковы на всех UNIX-серверах NFS, то на роль сервера PCNFSD назначить только один из серверов. PCNFSD сравнивает имя и пароль пользователя с содержимым файла Обнару жив совпадение, сервер PCNFSD UID и GID. аутентификация Вы не применяете ни PCNFSD, ни MS), Client for NFS назначает пользователю анонимные UID (-2) и GID (-1). Если сер вер NFS сконфигурирован на анонимный доступ, может обращаться к файлам в режиме доступа только для Команда Команда запрашивает у демона mountd на указанном удаленном хосте информацию о том, какие клиенты монтируют каталоги с этого хоста. Демон mountd принимает запрос на монтирование от клиента NFS, проверяет список портируемых файловых систем в /etc/exports и, если запрос можно создает описатель каталога, а затем добавляет соответствующую за пись в на с UNIX. Некоторые параметры команды showmount перечислены в таблице Таблица 11-5, Параметры showmount Описание -а [хост] Перечисляет хост-имена клиентов и смонтированные ими каталоги в виде (хост: каталог) Перечисляет смонтированные клиентом -е Показывает список экспорта сервера NFS Поскольку команда showmount получает свою информацию через демон mountd, список смонтированных может оказаться неполным. Кроме того, show mount сортирует выводимую информацию и удаляет в ней данные, поэтому каталог, смонтированный несколько раз, перечисляется только Подробнее о showmount см. справочную систему Services for UNIX. Особенности архитектуры NFS Понимание некоторых особенностей NFS, рассматриваемых в этом разделе, жет Вам оптимизировать работу NFS. Для записи о файле UNIX использует которому уникальный номер. Inode назначается каждому файлу и каждому каталогу. У фай ла может быть несколько имен (в зависимости от числа связей), но только inode. В inode содержатся следующие элементы; Х номер inode; Х имя файла; 468 ЧАСТЬ 3 с другими системами Х размер и тип файла; Х дата и время файла, его модификации и последнего обращения к нему; Х дата и время изменения mode; Х связанная с защитой файла (владелец, разрешения); Х количество связей (ссылок); Х карта с указателями на блоки данных, которых состоит файл. Именование файлов Сервер следующие правила именования файлов: Х имя файла не должно быть 255 символов; Х символы < > : / \ должны встречаться в именах файлов; Х сервер знак точки как текущий рабочий каталог, а знаки как родительский каталог рабочего каталога. Разрешения на типы доступа к файлам С каждым файлом набор разрешений, определяющих, кто имеет права на доступ к этому файлу и что он может делать с ним. (Изменять разрешения мо жет суперпользователь или тот, у кого есть права на доступ к корню.) Windows NT и используют механизмы сопоставления с файлами. В Windows NT для этого применяется список управления избирательным доступом (discretionary access-control list, DACL), а в UNIX Ч концепция режима доступа. Режим доступа командой Ser vices for UNIX. В UNIX возможны следующие типы к файлам: чтение, запись или выпол предоставляемые типы доступа зависят от того, кто обращается к файлу группа (group) или прочие пользователя выдаются файла, группы Ч членам к которой отно сится создавший файл, разрешения прочих Ч отлич ным от только что упомянутых Таблица 11-6. Разрешения на типы доступа к файлам Тип к Описание Чтение считывать файл или просматривать каталог Запись удалять файл либо каталог Выполнение Позволяет исполняемый файл или каталог UNIX идентифицирует пользователей и группы по UID и У имеется UID и один или несколько GID, которые хранятся в файле Windows NT связывает разрешения с файлом, в запись ния доступом (access control entry, АСЕ какое-либо право, выдан ное пользователю или группе. for UNIX DACL в режим UNIX, исходя из того, кто является владельцем файла и какие АСЕ с ним. Эта операция возможна только после корректного сопостав ления записей пользователей и групп UNIX с соответствующими учетны ми записями Windows NT с помощью User Manager из Server NFS. ГЛАВА 11 Services UNIX Допустим, на с Windows NT создана учетная запись и добавлена в группу Users. На с UNIX тоже тельская учетная запись johndo, но в группу Staff. В Server NFS учет ная запись johndo из Windows NT с одноименной учетной из UNIX, а группа Users Ч с UNIX-группой Пользователь johndo становится владельцем файла в файловой NFS компь ютере под управлением Services for UNIX, получает для себя и своей группы Users разрешения Control и выдаст разрешения List группе Everyone (т. е. пользователям). Когда johndo обращается к файловой системе на под управлением Services for UNIX с UNIX-клиента NFS и вводит команду Is -1 применительно к файлу letter.doc, он видит следующее: 1 johndo staff 2116 1 14:54 letter.doc девять символов (группами по три) указывают разрешения на чтение (read), запись (write) и выполнение (execute) для владельца (rwx), группы и прочих пользователей (г-х); дефис обозначает отсутствие данного За разрешениями сообщается число жестких связей имя пользователя (johndo), имя группы (staff), размер файла (2116), дата и время последней модификации файла (Jul 1 14:54) и имя файла. Примечание Когда владельцем файла является Windows NT-группы Administ rators, возникает особая В этом случае for NFS ему UID 0 (корень) на компьютере с UNIX. Если бы файла не получил явные разрешения через АСЕ, то в предыду щем примере у владельца не было бы прав на доступ к этому файлу (режим досту па 0). Администратор Server for NFS может в эту схему, фла жок Implicit Permissions на вкладке Security Permissions диалогового Server for NFS Configuration. Если флажок Implicit Permissions установлен, Server NFS комбинирует разрешения, любым группам, в которые владе лец файла и предоставляют какие-либо права на доступ к этому файлу, с разрешениями для группы Everyone. На основе этой комбинации разрешений вла делец получает соответствующие права на доступ к своему файлу. Файл, создаваемый в Windows NT, наследует разрешения своего родительского ка талога. Если клиент NFS выдает команду chgrp или chmod, на сер вере с Services for UNIX, тогда по Server for NFS удаляет любые суще ствующие элементы в DACL и создает свои записи для трех сущностей NFS (вла группы и прочих). В итоге файл унаследованные разрешения. Ад министратор for NFS может вмешаться в эту схему, выбрав Augment DACL на вкладке Security Permissions. Тогда Server for NFS записывает и от родительского каталога. Символьные ссылки Символьная ссылка link) Ч это файл, указывающий на другой файл каталог (т. е. он содержит путь к другому файлу или каталогу). Символьная ка может указывать на файл или каталог в любой файловой системе дос по сети. Система находит целевой файл, считывая символьной ссылки. Такие ссылки очень удобны, если, например, файл должен быть из нескольких каталогов. 470 ЧАСТЬ 3 с другими системами Символьные ссылки могут абсолютный или относительный путь. По скольку ссылка разрешается в файловой системе на клиенте, может получиться так, что она на файл или которого нет на клиентской системе, либо па файлы, находящиеся в каталоге. Такие файлы сервера для определения адресата символьной ссылки возвращает путь, который интерпретируется на клиенте, но который может указывать на файловую систему, не смонтированную клиентом. Если клиент монтирует каталог с символь ной ссылкой, он должен смонтировать и каталог с целевым иначе этот файл останется Кроме того, Client for NFS может проверять содержимое локального конфигураци онного файла (заполняемого вручную) и находить корректные адреса (если они там есть) целевых файлов, на указывают символьные ссылки. системный администратор UNIX-сервера NFS, 1, создает символь ную ссылку с именем указывающую на фиктивный каталог /server2. В этом случае команда -1 сообщает: 2 root other 8 1 16: Далее на компьютере Client for NFS или в сетевой файловой системе, доступной с этого системный администратор создает текстовый файл со списком символьных ссылок. Его записи выглядят примерно так: server Когда компьютер Client for NFS подключается к экспортируемой файловой систе ме на 1, он разрешает символьную ссылку и инициирует NFS-соедине ние с Это позволяет клиенту просматривать хранящиеся на удаленном сервере Блокировка файлов Эта функция позволяет процессу получить монопольный доступ к файлу или его части. Блокировка файлов реализуется на сервере и клиенте. Сервер, перезагружен ный после краха, пытается восстановить состояние всех блокировок, Если крах происходит на клиенте, сервер освобождает блокировку, установленную этим клиентом. Однако после перезапуска клиент быстро возобновить бло кировку (если успеет сделать это в течение очень короткого времени). Когда файл блокирован, буферный для не используется. Каждый запрос на немедленно посылается серверу. Блокировка файлов в BSD UNIX реализуется иначе, чем в System V UNIX (это две версии UNIX, от которых произошло большинство современных операционных систем UNIX). BSD поддерживает блокировку только локальных файлов; блоки ровки в System V обрабатываются отдельно от NFS с помощью и statd. Первый выполняется как на клиенте, так и на сервере для обработки запро сов на блокировку и для освобождения блокировок. Удаленные демоны lockd модействуют с другом по протоколу (Network Lock Manager).