Файл: Сетевые операционные системы (Назначение и функции сетевой операционной системы).pdf

• Масштабируемость и надежность
• Совместная работа с ОС Windows

2.4.1 Масштабируемость и надежность

Windows Server 2008 R2 поддерживает огромные объемы рабочих нагрузок, динамическую масштабируемость, доступность и надежность на всех уровнях, а также ряд других новых и обновленных функций, включая[12, с. 68]:

• Использование современных архитектур процессоров;
• Повышение уровня компонентного представления ОС;
• Повышение производительности и масштабируемости приложений и служб.

Windows Server 2008 R2 поддерживает только 64-разрядные процессоры и до 256 ядер логических процессоров для одного экземпляра ОС, а виртуальные машины Hyper-V позволяют адресовать до 32 логических ядер в рамках одной виртуальной машины. Это не только позволяет более эффективно использовать оборудование сервера, но и повышает надежность работы, уменьшая число блокировок и повышая уровень параллелизма.

Реализация концепции ролей серверов, позволяет администраторам уменьшать загрузку ОС, удаляя лишний код, и быстро настраивать серверы для выполнения опре­деленных наборов задач.

Возможности Windows Server 2008 R2, повышающие производительность и масштабируемость приложений и служб:

• Горизонтальное масштабирование - поддержка нагрузок большего объема путем добавления серверов, основанная на возможности балансировки сетевой нагрузки (NLB), позволяет объединять два и более компьютера в кластер и с помощью NLB распределять рабочие нагрузки среди узлов кластера, чтобы одновременно под­держивать большее число пользователей.
• Вертикальное масштабирование - поддержка нагрузок большего объема путем использования или расширения системных ресурсов, позволяет использовать более высокие рабочие нагрузки на отдельных компьютерах и позволяет уменьшить количество серверов в центре обработки данных и снизить энергопотребление.

2.4.2 Работа с данными

Обеспечение быстрого доступа к информации один из важных аспектов работы любой ОС. Реализация решений для хранения данных позволяют предо­ставлять файловые службы и NAS с высокой производительностью и доступностью. Для организации быстрого доступа, применяются файловые службы и устройства хранения данных, подклю­чаемые к сети (NAS). Повышение производительности ОС для хранения данных реализовано благодаря усовершенствованию некоторых функций:

• Снижение загрузки процессора, позволяющее системам хранения данных работать со скоростью среды передачи;
• Повышение производительности процессов ввода/вывода решений для хранения данных;
• Повышение производительности при наличии нескольких путей между серверами и хранилищами данных путем балансировки запросов к хранилищу. В Windows Server 2008 R2 поддерживается до 32 путей к устройствам хранения данных;
• Уменьшение времени загрузки операционной системы и ускоренное восстановление в случае аварийного завершения ее.

2.4.3 Защита интранет-ресурсов

Сервер политики сети (NPS) исполняет роль сервера, прокси-сервера RADIUS и сервера политики работоспособности NAP. NPS оценивает работоспособность системы для клиентов системы защиты доступа к сети (NAP), выполняет учет, авторизацию и проверку подлинности (AAA) по протоколу RADIUS и выступает в роли прокси-сервера RADIUS.

Платформа NAP^[15] включает клиентские и серверные компоненты, которые позволяют всесторонне оценивать работоспособность системы и выполнять авторизацию для использования различных технологий доступа к сети и обмена данными:

• Защита передаваемых данных по протоколу IPsec;
• Доступ к проводным и беспроводным сетям с проверкой подлинности по протоколу 802.1X;
• VPN-подключения для удаленного доступа;
• Выделение адресов по протоколу DHCP;
• Доступ с использованием шлюза служб терминалов.

Улучшения работы NPS в Windows Server 2008 R2:

• Автоматизированная настройка ведения журнала NPS SQL - автоматическая настройка базы данных SQL, наличие необходимых таблиц и хранимых процедур для учетных данных NPS, значительное уменьшение трудозатрат для развертывания NPS.
• Усовершенствования при ведении журнала NPS - возможность одновременно сохранять данные учета и в файле, и в базе данных SQL, переходить от ведения журнала в базе данных SQL к ведению журнала в файле и вести журнал с использование файлов дополни­тельного формата, структура которого похожа на структуру журнала в базе данных SQL.
• Поддержка нескольких конфигураций средства проверки работоспособности системы (SHV) в SAP. При настройке политики работоспособности администратор может выбирать SHV в конкретных конфигурациях, указывая разные наборы требований к работоспособности для различных конфигураций SHV.
• Шаблоны NPS - разделяют общие элементы конфигурации RADIUS (такие как общие секреты RADIUS, IP-фильтры, клиенты RADIUS и т. д.) и кон­фигурацию, используемую на сервере. При использовании параметров NPS они наследуют значения, указанные в соответствующем шаблоне. Изменение в шаблоне заменяет соответствующее значение всюду, где использовался данный шаблон. Параметры шаблона NPS можно синхро­низировать с другими NPS-серверами под управлением Windows Server 2008 R2.
• Миграция серверов службы проверки подлинности в Интернете Windows Server 2008 R2 - позволяет переносить параметры настройки сервера IAS, работающего под управлением Windows Server 2008 R2, на NPS-сервер под управлением Windows Server 2008 R2.

2.4.4 Работа с ОС семейства Windows

Windows Server 2008 R2 поддерживает ряд функций, рассчитанных на работу с клиентскими компьютерами под управлением Windows:

• Удаленного подключения к компьютерам используя DirectAccess;
• Безопасное удаленное подключение к общедоступным и частным компьютерам благодаря применению удаленного рабочего пространства, виртуализации представлений и шлюза служб удаленных рабочих столов;
• Повышение производительности филиалов благодаря применению кэша филиалов BranchCache;
• Повышение защищенности филиалов благодаря использованию файловой системы DFS только для чтения;
• Повышение устойчивости к сбоям соединений между сайтами благодаря использованию Agile VPN;
• Повышение защищенности съемных носителей благодаря шифрованию таких носителей с помощью средства шифрования диска BitLocker;
• Более эффективная защита от потери данных с помощью средств автономного доступа к папкам.

Необходимость предоставления мобильным пользователям возможности удаленного доступа сети в орга­низации решена путём VPN-подключений (подключений виртуальной частной сети). В зависимости от типа VPN, пользователям может потребоваться установить на своем мобильном компьютере ПО VPN-клиента, а затем устанавливать VPN-подключение через Интернет.

Компонент DirectAccess позволяет клиентским компьютерам напрямую подключаться к ресурсам в интрасети, минуя сложный этап установки VPN-подключения. При этом удаленное подключение к интрасети устанавливается без участия поль­зователя, а работа с интранет-ресурами при удаленном подключении с точки зрения пользователя не отличается от работы при обычном подключении. Для работы DirectAccess, необходимо, чтобы доступ к ресурсам интрасети осуществлялся по протоколу IPv6.

Совместное применение удаленного рабочего пространства, виртуализации представлений и шлюза удаленных рабочих столов позволяет пользователям удаленно работать со своими интранет-ресурсами, то есть пользователи могут удаленно работать со своими настольными компьютерами так же, как если бы они работали на компьютерах в интрасети.

2.4.5 Совместимость

На протяжении многих лет к системам Unix и Windows относились как к отдельным не­совместимым средам, отличающимся друг от друга как с физической и технической, так и с идеологической точки зрения. Однако через некоторое время организации обнаружили, что поддерживать в средах две совершенно отдельные топологии невыгодно и дорого, и что для обслуживания нескольких наборов учетных записей пользователей, паролей, сред и т.д. требуется прикладывать массу лишних усилий.

Новые средства Windows Server 2008 R2 UNIX Integration, в Microsoft обошли традиционные решения, такие как Samba, и по­лучили лидерство в области технологий межплатформенной интеграции. Возможность синхронизации паролей, выполнения сценариев UNIX в Windows, объединения учетных данных и другие возможности такого рода теперь являются вполне жизнеспособными оп­циями и могут включаться как в сценарии миграции на Windows Server 2008 R2, так и в сценарии обеспечения взаимодействия с Windows Server 2008 R2. [4, с.285]

2.5 Архитектура Windows Server 2008 R2

ОС Windows NT проектировалась как модульная, многоуровневая архитектура, поддерживающая расширения за счет добавления новых функций. [5, c. 23] ОС работает c ЭВМ на базе процессоров Intel и подобным им AMD. Основными двумя уровнями архитектуры ОС, имеющей модульную структуру, являются два основных уровней: режим ядра и режима пользователя. На Рисунке 6 показана высокоуровневая архитектура семейства ОС Windows NT.

Рисунок 6. Архитектура ОС семейства Windows NT

Режим ядра (kernel mode) обеспечивает доступ к инструкциям процессора и функциям для обеспечения защиты памяти и работы с виртуальной памятью, так же доступ к привилегированным инструкциям, например для управления регистрами про­цессора. Пользователь­ский режим (user mode), — обеспечивает наилучшую защиту, предотвращает доступ системных процессов к выделенной памяти и коду другого процесса.

2.5.1 Режим пользователя

Режим пользователя состоит из подсистем, которые передают запросы ввода/вывода соответствующему драйверу режима ядра посредством диспетчер Ввода/вывода. В пользовательском режиме работают две подсистемы — подсистема окружения (Environment) и интегральная подсистема (Integral).

Подсистема окружения разработана для запуска приложений, написанных для разных типов операционных систем. Ни одна из подсистем окружения не имеет прямого доступа к аппаратной части компьютера. Доступ к ресурсам памяти происходит посредством Менеджера Виртуальной Памяти, который работает в режиме ядра. Подсистема окружения состоит из следующих подсистем — подсистема Win32, подсистема OS/2 и подсистема POSIX.

Win32 наиболее важный компонент Windows NT, особенно для программи­стов. На основе программного интерфейса Win32 создаются другие подсисте­мы, такие, как POSIX, OS/2. Программный интерфейс приложений Win32 можно разделить на три ка­тегории [5, c. 34].

1. Обработка оконного интерфейса и API для сообщений оконного ин­терфейса реализованы в виде динамически подключаемой библиотеки «user32.dll». Эта библиотека подключается приложениями, использую­щими интерфейсы, которые предоставляются этим файлом. При этом несколько приложений во время работы задействуют только одну ко­пию библиотеки.

2. Графический API реализован в виде динамически подключаемой биб­лиотеки «gdi32.dll», которая вызывает компонент режима ядра для графической подсистемы.

3. Базовые API, например функции открытия файла (GreateFile), чте­ния файла (ReadFile) и записи файла (WriteFile), реализованы в ди­намически подключаемой библиотеке, которая называется «ntdll.dll». При необходимости эта библиотека делает вызовы к выполняемому мо­дулю Windows в режиме ядра. Для этого библиотека использует одно из 256 прерываний, поддерживаемых архитектурой Intel x64. В част­ности, используется прерывание 46 (десятичный номер 46, шестнадцатеричный — 0х2Е). Обработчик прерывания^[16] идентифицирует как за­прошенный API (выполнив поиск по таблице), так и передаваемые ему параметры. Если все параметры прошли проверку, обработчик вызы­вает соответствующую подсистему выполняемого модуля Windows для выполнения запрошенной операции. [5, c. 35]

Приложения, написанные на основе API Win32 и других механизмов под­держки, рассматриваются в документации SDK. В некотором смысле даже подсистема POSIX представляет собой инструмент, разработанный для под­держки приложений UNIX. Хотя подсистема POSIX в настоящий момент существенной роли уже не играет, она все еще служит хорошим примером модульной и расширяемой архитектуры Windows NT.

Интегрированная подсистема (Integral subsystem) следит за некоторыми функциями операционной системы от имени подсистемы окружения. Она отвечает за работу многих сетевых служб. В состав интегрированной подсистемы входят: подсистемы безопасности, службы рабочей станции и службы сервера.

Служба безопасности обрабатывает запросы авторизации и инициирует процессы входа пользователя в систему, следит за доступом к учётной записи пользователей. Служба рабочая станции является API для сетевого редиректа (доступ к удаленной файловой системе как к локальной), обеспечивает доступ компьютера к сети. Служба сервер позволяет компьютеру предоставлять сетевые сервисы.

2.5.2 Режим ядра

Режим ядра содержит все привилегированные процессы, которые выполняются на уровне 0 архитектуры Intel. Режим ядра Windows NT состоит из трех основных подсистем: