Как правильно настроить файловый сервер windows server 2012 r2

Содержание

Роль File and Storage Services
Дополнительные службы и компоненты роли
Добавление ролей к роли File and Storage Services
Создание общих ресурсов
Создание общих ресурсов с помощью диспетчера серверов
Создание общих ресурсов на удаленных компьютерах с помощью
диспетчера серверов
Публикация общих ресурсов в Active Directory
Управление разрешениями
Разрешения NTFS
Разрешения общего доступа
Сходные черты разрешений общего доступа и разрешений NTFS
Модификация разрешений общего доступа и NTFS
Объединение разрешений общего доступа и NTFS
Подключение к общим ресурсам
Конфликт между наборами учетных данных
Использование команды net use в сети WAN
Распространенные общие ресурсы
Диспетчер ресурсов файлового сервера
Создание политик квот
Создание политик блокировки файлов
Генерация отчетов
Параметры File Server Resource Manager
Протокол SMB 3.0
Совместимость с версиями SMВ 2.0 и SMB 1.0
Безопасность SMB
Внедрение Bitlocker
Что нового в BitLocker
Требования к оборудованию
Включение BitLocker
Использование автономных файлов / кеширования на стороне клиента
Как работает Offiine Files
BranchCache
Включение средств а Offiine Files на сервере

Одной из основных функций любого сервера является обслуживание ресурсов,
таких как файлы и папки. В Windows Server 2012 R2 роли File Services (Службы
файлов) и Storage Services (Службы хранилища) были объединены в одну роль под названием File and Storage Services (Службы файлов и хранилища). Эта роль устанав­ливается по умолчанию; однако любые дополнительные роли, которые обслужива­ют File and Storage Services, понадобится добавить посредством мастера в диспетчере серверов.
Роль File Services включает службы роли наподобие диспетчера ресурсов
файлового сервера (File Server Resource Manager — FSRM), службы для сетевой фай­ловой системы (Network File System — NFS), обеспечивающие поддержку клиентов Unix, службу поиска в Windows (Windows Search) и службу BranchCache для удален­ных офисов.
Теперь, когда роль Storage Services доступна в сочетании с ролью FileServices, в Windows Server 201 2 R2 предлагается несколько новых и усовершенство­ванных ролей и компонентов, в том числе дедупликация (Dedup1ication), пространс­тва хранения (Storage Spaces) и пулы хранения (Storage Pools), которые еще более
улучшают эту версию Windows Server.
Когда вы планируете совместное использование файлов и папок, важно пони­
мать не только то, как открыть общий доступ к данным, но также и то, как защитить их с помощью разрешений, включая разрешения файловой системы New Technology File System (NTFS) и общего доступа. Хотя оба набора разрешений применяются независимо, они обеспечивают накопительный эффект, предоставляя множест­во уровней расширенных параметров безопасности. Вы должны быть в состоянии быстро определить, какие окончательные разрешения имеет пользователь, который обращается к общему ресурсу через сеть. И если вы хотите защитить целые жест­кие диски, то по-прежнему можете применять компонент BitLocker Drive Encryption
(Шифрование диска BitLocker), чтобы шифровать их содержимое, как это дела­
лось в Windows Server 2008 R2. Одной из наиболее заметных новых возможностей
в шифровании дисков Windows Server 2012 R2 являются новые опции BitLocker

Dгive Encryption. Теперь можно использовать опцию Encrypt used disk space only
(Шифровать только использованное пространство диска). Больше не нужно ждать
часами, пока завершится шифрование целого тома, в то время как занята только не­ большая часть общего пространства на диске. Новые возможности BitLockeг более подробно рассматриваются ближе к концу этой главы.
Лежащим в основе протоколом, который обрабатывает передачи файлов, явля­
ется SMB (Serveг Message Block — блок сообщений сервера), который в Windows
Serveг 201 2 был модернизирован до версии 3.0. Протокол SMB 3.0 поддерживает
много новых функций, которые превращают файловые обшие ресурсы в фундамент
для небольших и средних компаний. Этот стек протоколов обеспечивает ряд зна­
чительных преимушеств при передаче файлов по сети — при условии подключения
к правильным видам клиентов. При подключении к унаследованным машинам по­
прежнему будут применяться версии SMB 1 .0 и SMB 2.0, со всеми присущими им
проблемами. В настоя шее время только Windows 8 и семейство Windows Serveг 2012 могут извлечь полную выгоду от новых функций SMB 3.0, которые будут обсуждать­ся в этой главе.
В этой главе вы изучите следуюшие темы:
• установка на сервере дополнительных ролей File and Stoгage Services;
• объединение разрешений обшего доступа и NTFS;
• внедрение BitLockeг Drive Encryption.

Роль File and Storage Services

Роль File and Storage Services комбинирует множество файловых технологий и
технологий хранения, которые оказывают администраторам содействие в настройке
файловых серверов для их организации. Стандартная установка сделает возможным базовое администрирование функционаJ1ьности хранилища с применением диспет­чера серверов или PoweгShell, но для построения подходяшего файлового сервера желательно установить роль File Server (Файловый сервер) наряду с другими важны­ми ролями вроде File Serveг Resouгce Manageг (Диспетчер ресурсов файлового серве­ра) и DFS Replication (Репликация DFS). Дело вовсе не в том, что файловая система DFS требуется все время — но она определенно может быть великолепным допол­нением, когда необходима репликация для обеспечения доступности или реплика­ция между географически разбросанными местоположениями. Важно иметь план и конечную цель для серверных ролей. Постарайтесь получить максимальную отдачу от первого прохода мастера за счет соответствующего планирования. Мы будем до­бавлять роли в следующем разделе.
Основной компонент любого сервера — его способность к совместному исполь­
зованию файлов. На самом деле служба Server (Сервер) во всем семействе операци­онных систем Windows Serveг (включая Windows Server 201 2 R2) обрабатывает базо­вые возможности сервера по обшему доступу к файлам и печати. Но что именно это значит и почему оно настолько важно’? По умолчанию одно лишь наличие функци­онируюшего сервера вовсе не означает доступность любых ресурсов лля пользовате­лей. Прежде чем они смогут действительно работать с ресурсами, к этим ресурсам
должен быть открыт обший доступ.

Когда вы открываете общий доступ к этой папке через сеть под именем Apps,
вы разрешаете клиентам отображать новую букву диска на своих машинах на вашу
папку F: Apps. За счет такого отображения вы помещаете виртуальный указатель
прямо на удаленный диск. Если вы отображаете диск м клиента на общий ресурс
Apps сервера, то диск м будет выглядеть идентичным папке F: Apps сервера, как показано на рис. 1 3.2.

Не беспокойтесь; позже в этой главе м ы объясним, как создавать такой об­
щий ресурс и подключаться к нему. Это все, что действительно нужно сделать.
Совместное использование ресурсов означает, что вы позволяете пользователям об­ращаться к этим ресурсам из сети. Никакой реальной обработки со стороны сервера не производится; он просто раздает файлы и папки в том виде, как они есть.

дополнительные службы и компоненты роли

Диспетчер серверов (Server Manager) — это одиночная консоль, включающая
множество разделов, которые могут применяться для управления различными сер­
верными ролями, в том числе ролью File and Storage Services. Роль Fie and Storage Services в Windows Server 201 2 R2 позволяет делать намного больше, чем просто от­крьшать общий доступ к папкам. Роль File and Storage Services включает несколько дополнительных служб роли.
• File Server (Файловый сервер). Это главная служба роли, требуемая для подде­ржки роли File and Storage Services. Данная роль предоставляет возможность создания и управления общими ресурсами наряду с разрешением пользовате­лям открывать совместный доступ и обращаться к файлам, доступным в сети.
Хорошей характеристикой службы роли File Server является то, что она авто­
матически добавляется при открытии общего доступа к какой-либо папке. Эта
служба роли использует новый протокол SMB 3.0, который более подробно
обсуждается ближе к концу главы.
• Distrlbuted File System (Распределенная файловая система). Служба роли
Distributed File System (DFS) включает роли DFS Replication (Репликация
DFS) и DFS Namespaces (Пространства имен DFS) и более подробно раскры­
вается в главе 14.
• Data Deduplication (Дедупликация данных). Служба роли Data Deduplication
(Dedup) позволяет сохранять больше дискового пространства за счет обнару­
жения и устранения дублирования внутри файлов данных. Вместо хранения
множества копий идентичных файлов место занимает только одна копия, а все
дубликаты ссылаются на нее. Основная идея Data Deduplication — сохранить
больше данных внутри меньшего пространства, разделяя файлы на небольшие
блоки, идентифицируя дубликаты и затем поддерживая единственную копию
этих дубликатов. Дедупликация в Windows Server 201 2 R2 теперь является осно­ванной на блоках на уровне самой операционной системы; во многих решениях от поставщиков хранилищ применяется дедупликация, основанная на файлах, на уровне хранилища. Многие люди задаются вопросом, какую экономию дис­кового пространства они могут ожидать мя разных типов файлов. В табл. 13. 1 приведены некоторые впечатляющие показатели, полученные в результате тес­
тирования в испытательной среде. Эти тесты могут быть до некоторой степени
оптимизированы для достижения лучшей производительности.
• File Server Resource Manager (Диспетчер ресурсов файлового сервера). Служба
роли File Server Resource Manager (FSRM) предоставляет развитый набор до­
полнительных инструментов, которые можно использовать для управления
хранилищем данных на сервере, включая конфигурирование квот, определе­
ние политик блокировки файлов и генерация отчетов по хранилищу.
Таблица 13.1. Экономия хранилища, обеспечиваемая дедупликациеи
в испытательном среде
Общие файлы
Документы
Библиотека приложения
Библиотека VHD
ЭКОНОМКА
Экономия 56 пространства при включенной дедупликации
Экономия 35 пространства при включенной дедупликации
Экономия 780 пространства при включенной дедупликации
Экономия 80-95% пространства при включенной дедупликации

В разделе «Диспетчер ресурсов файлового сервера» далее в главе рассматрива­
ются нововведения, привнесенные в FSRM версией Windows Server 2012 R2.
• Network File System (Сетевая файловая система). Эта служба позволяет предо­ставлять доступ к файлам из клиентских компьютеров Unix и других машин, которые могут взаимодействовать с применением Network File System (NFS).
Операционная система Windows Server 2012 R2 проделала действительно дол­
гий путь со времен Windows Server 2008, предложив в этой серверной редак­
ции впечатляющее решение с кластеризированной реализацией. В Windows
Server 2012 обеспечивается гладкий обход отказа для клиентов смешанного
режима в кластеризированной среде. Признавая потребность в росте виртуа­
лизированного мира, в Microsoft спроектировали службу NFS специально для
кластеризироDанных виртуальных сред, где непрерывность ввода-вывода под­
держивается независимо от операции, выполняемой во время отказа. Теперь
используется NFS версии 4.1 , делая реализацию NFS самой надежной и прос­той для развертывания в рамках семейства Windows Server.
В Windows Server 2012 R2 также появилось несколько новых командлетов
PowerShell, предназначенных для NFS. Чтобы получить полный их список, за­пустите командлет Get-Coпunand -Module NFS. Как вы увидите, доступны ко­
мандлеты практически для любого действия, которое нужно выполнять с NFS.
Для получения информации о синтаксисе или об отдельной команде приме­
няйте любой из следующих командлетов:
• Get-Help <имя командлета> -Detailed
• Get-Help <имя команд.лета> -Examples
• Get-Help <имя команд.лета> -Full
• Storage Senices (Службы хранилища). В Windows Server 2012 R2 добавлены
замечательные компоненты, входящие в состав Storage Services. Они теперь
включают пространства хранения и пулы хранения. За счет объединения
Storage Services с Data Deduplication в Windows Server 2012 R2 теперь можно не только предоставлять, но также и составлять конкуренцию службам, которые обычно требуют отдельной сети хранения данных.
• File Server VSS Agent Senice (Служба агента VSS файлового сервера). Когда включена, эта служба роли позволяет выполнять теневое копирование приложений, которые хранят данные на вашем файловом сервере. Новый в Windows Server 2012 компонент VSS for SMB File Shares (VSS для файловых общих ре­сурсов SMB) позволяет строить резервные копии во время записи актуальных данных на общие ресурсы SMB. Предшествующие версии VSS разрешали ра­боту теневого копирования только на локальных томах.

• iSCSI Target Server (Целевой сервер iSCSI). Эта служба роли представляет со­бой серверный компонент, который предлагает блочное хранилище другим
серверам и приложениям в сети. Она содержит все инструменты управления,
необходимые для целей iSCSI.
Целевой сервер запускает цель iSCSI через сеть Ethernet без необходимости в развертывании какого-то дополнительного обо­рудования. Эта служба роли поддерживает неоднородное хранилище, что поз­воляет Windows Server совместно использовать его в смешанной программной среде, утилизируя разнообразные типы инициаторов iSCSI.
Данной службой роли можно управлять с применением нового графического пользовательского интерфейса, интегрированного в диспетчер серверов, или новых командлетов Windows PowerShell, включенных в Windows Server 2012 R2.
• BranchCache for Network Files (BranchCache для сетевых файлов).
Средство BranchCache может использоваться в среде с несколькими сайтами, чтобы позволить компьютерам в офисах филиалов кешировать общие загружаемые
файлы. Компонент BranchCache должен быть включен на общей папке. Вы
увидите, как это делается, в разделе «Использование автономных файлов / ке­
ширования на стороне клиента» далее в главе.
ДОБАВЛЕНИЕ РОЛИ FILE SERVER ПРИ ОТКРЫТИИ ОБЩЕГО ДОСТУПА К ПАПКЕ
Если вы просто применяете проводник Windows для открытия общего доступа к пап­ке, то роль F i l e Server добавляется автоматически. Вы не обязаны добавлять эту роль с использованием диспетчера серверов.
Тем не менее, когда вы планируете задейс­твовать любые дополнительные роли, то должны добавлять их с помощью мастера добавления ролей и компонентов (Add Roles and Features Wizard), доступного в дис­петчере серверов.

добавление ролей к роли File and Storage services

Для добавления ролей к роли File and Storage Services выполните следующие
шаги.
1 . Запустите диспетчер серверов, щелкнув на значке Server Manager (Диспетчер
серверов) в панели задач или на плитке Server Manager на экране Start (Пуск),
как показано на рис. 13.3.
2. На вкладке Dashboard (Управляющая панель) щелкните на ссылке Add Roles
and Features (Добавить роли и компоненты), как показано на рис. 13.4.
3. Мастер добавления ролей и компонентов (Add Roles and Features Wizard) прове­
дет вас по остальным действиям процесса. Просмотрите информацию на экра­
не Before you begin (Прежде чем начать) и щелкните на кнопке Next (Далее).
4. На экране lnstallation Туре (Тип установки) по умолчанию выбран переключа­
тель Role-Based ог Feature-Based installation (Установка на основе ролей или
на основе компонентов). Второй переключатель, Remote Desktop Services
installation (Установка служб удаленного стола), касается служб роли для раз­вертывания VDI (Yirtual Desktop Infrastructure — инфраструктура виртуальных рабочих столов). Оставьте выбор по умолчанию и щелкните на кнопке Next.

5. На экране Server Selection (Выбор сервера) выберите сервер, к которому необ­ходимо добавить службы роли, и щелкните на кнопке Next.
6. На экране Server Roles (Серверные роли) выберите следующие службы роли
(рис. 13.5): File Server, File Server Resource Manager и BranchCache for Network Files. Щелкните на кнопке Next.
Теперь, когда службы роли выбраны, наступило время установить любые до­
полнительные компоненты, которые помогают в поддержке этих служб ролей.
На выбор доступны многие полезные компоненты.

Ролью считается крупная функция сервера, тогда как компонент — это пакет допол­нения меньшего размера, который обычно предоставляет добавочную поддержку
для основной роли. Основные роли могут включать Active Directory, DNS и DHCP.
Компоненты, подобные PowerSheП, Windows Server Backup (Резервное копирование
Wmdows Server) и Remote Ass istance (Дистанционный помощник), обеспечивают допол­
нительную функuиональность, помогая эфф ективнее управлять серверными ролями.
7. Для примера давайте установим компоненты BitLocker Drive Encryption,
BranchCache и Enhanced Storage (Расширенное хранилище). Вы заметите, что вы­
бор BitLocker Drive Encryption приводит к автоматическому выбору для установ­ки также и компонента Enhanced Storage (рис. 13.6). Щелкните на кнопке Next.
8. Просмотрите информацию на экране Confirmation (Подтверждение), удостове­
рившись в том, что ничего не упустили из виду.
Мастер аккуратно отображает все выбранные роли, компоненты и поддержи­вающие их инструменты. На этом экране присутствует несколько дополнитель­ных опций, которые вы можете счесть полезными: Restart the destination server automatically if required (При необходимости автоматически перезапускать целевой сервер), Export configuration settings (Экспортировать настройки конфигура­ции) и Specify an alternate source path (Указать альтернативный исходный путь).

Рис. 1 3.6. Выбор дополнительных компонентов для служб роли
9. Щелкните на кнопке lnstall (Установить).
Финальным экраном мастера является Results (Результаты). Здесь отобразит­
ся индикатор хода работ по установке. Если вы хотите закрыть этот экран и
выйти, задача будет выполняться в фоновом режиме. Вы всегда можете про­
смотреть детальные сведения о задаче в панели задач, щелкнув на значке
Notifications (Уведомления).
10. После успешной установки перезагрузите сервер вручную, или если вы отме­
тили флажок Restart the destination server automatically if required на экране Confirmation, то сервер перезагрузится по завершении процесса установки.
Теперь диспетчер серверов включает все роли и компоненты, которые были установлены во время выполнения упражнения. Открыв диспетчер серверов и перейдя на вкладку Dashboard, вы можете просмотреть и воспользоваться установленными ролями и компонентами, щелкая на инструментах и выбирая желаемые ресурсы.
Компоненты File SeNer Resource Manager показаны на рис. 1 3.7.

создание общих ресурсов

Проuесс создания общих ресурсов в этой редакции сервера претерпел ряд интересных изменений. Похоже, что практически все имеет мастер, проводящий нас по задачам и действиям. Существует множество разных способов создания общих ресурсов, которые обсуждаются в данной книге повсеместно. В этом разделе мы сосредоточим внимание на создании обших ресурсов с помошью диспетчера сер­веров.
Независимо от применяемого метода, на компьютере, где создаются обшие ресурсы, вы должны иметь права пользователя Administrator (Администратор) или Power User (Опытный пользователь).
После создания общий ресурс можно опубликовать в Active Directory, чтобы
упростить пользователям его нахождение. В этом разделе вы научитесь создавать общие ресурсы с использованием диспетчера серверов и публиковать их в Active Directory.

Создание общих ресурсов с помощью диспетчера серверов

Добавлять общие ресурсы в диспетчере серверов относительно просто. На вклад­
ке Shares (Общие ресурсы) для роли File and Storage Services доступен мастер созда­
ния общеrо ресурса (New Share Wizard), который помогает выполнить эту задачу.
1. Запустите диспетчер серверов, если это еще не сделано, щелкнув на значке
Server Manager (Диспетчер серверов) в панели задач или на плитке Server
Manager на экране Start (Пуск).
2. Выберите роль File and Storage Services и затем вкладку Shares (Общие ресурсы).
3. Щелкните правой кнопкой мыши на области местоположения общей пап­
ки и выберите в контекстном меню пункт New Share (Создать общий ре­
сурс). Можно также выбрать пункт New Share в раскрывающемся меню Tasks
(Задачи). В любом случае запустится мастер создания общего ресурса, как по­
казано на рис. 13.8.
На первом экране мастера, Select Profile (Выбор профиля), предоставляется
возможность выбрать профиль протокола для применения при создании об­
щего ресурса. Доступны два крупных варианта и несколько подвариантов. Вы
можете создать либо общий ресурс SMB, либо общий ресурс NFS. В целом
можно отметить следующее:
• общие ресурсы SMB используются для операционных систем Windows;
• общие ресурсы NFS применяются для взаимодействия с машинами на ос­
нове Unix.

Протоколы SMB и NFS имеют варианты профиля общего ресурса Quick (Быстрый) и Advanced (Расщиренный). Профиль Advanced имеет несколько допол­нительных опций конфигурации, среди которых включение квот. Позже всег­да можно добавить дополнительные компоненты, используя диспетчер серве­ров. Если вы решите включить квоты, то вам сначала потребуется построить новый шаблон квот или отредактировать существующий такой шаблон.
Для SMB предусмотрен еще один шаблон профиля под названием SMB Share —
Applications (Общий ресурс SMB — Приложения). Этот профиль создает об­щий файловый ресурс SMB с дополнительными настройками, применяемыми
в виртуальной среде.

Рис. 13.8. Создание общего ресурса с использованием диспетчера серверов
4. Для целей этого упражнения выберите профиль SMB Share — Quick (Общий
ресурс SMB — Быстрый), как показано на рис. 1 3.9, и щелкните на кнопке
Next (Далее).
NFS для КЛИЕНТОВ UNIX
Вариант N FS не пригоден к употреблению, если на сервер не была добавлена роль Services for Network File System (Службы для сетевой файловой системы). Если позже вырешите добавить поддержку для клиентов Unix, то всегда сможете добавить упомянутую службу.
После этого варианты NFS стануr доступными в мастере New Share Wizard.
5. На экране Share Location (Местоположение общего ресурса) выберите сервер,
на котором будет размещен общий ресурс, и укажите том на сервере, который
будет служить местоположением общего ресурса.
Обратите внимание, что общий ресурс можно создавать только на сервере с
установленной ролью File Services Resource Manager.
6. Щелкните на кнопке Next.
На экране Share Name (Имя общего ресурса) можно определить имя общего
ресурса и предоставить его описание. При этом отображаются локальный и
удаленный сетевые пути, необходимые для достижения ресурса.
7. Примите эту информацию к сведению, т.к. вам понадобится сообщить ука­
занные сетевые пути своим пользователям для доступа к общему ресурсу. На
рис. 13. 1 О приведен пример именования общего ресурса. Щелкните на кнопке
Next. На экране Other Settings (Другие настройки) предлагаются четыре допол­
нительных настройки, помогающие сделать общий ресурс более надежным.
• Опция ЕnаЫе access-based enumeration (Включить перечисление на основе
доступа) будет автоматически скрывать папку от пользователя, который не
имеет разрешения читать папку.
• Опция Allow caching (Разрешить кеширование) предоставляет автономным
пользователям доступ к общим данным, когда они работают в автономном
режиме.
• Поскольку вы установили компонент BranchCache в предыдущем упражне­
нии, то теперь можете выбрать опцию ЕnаЫе BranchCache on the file share
(Включить BranchCache на этом общем ресурсе).
• Последняя опция на этом экране, Encrypt data access (Шифровать доступ к
данным), защищает удаленный доступ к файлам из общего ресурса.
Если вы еще не включили шифрование на сервере, сделайте это прямо сейчас,
отметив этот флажок. В случае если он недоступен или уже отмечен, значит,
на данном сервере шифрование включено.
8. Сделайте нужный выбор и щелкните на кнопке Next.
9. Экран Permissions (Разрешения) предостамяет возможность при желании изме­
нить разрешения NTFS. Разрешения NTFS будут раскрыты позже в этой главе, а
пока щелкните на кнопке Next, чтобы принять стандартные разрешения NTFS.
10. На экране Confirmation (Подтверждение) предстамена сводка по всем выбран­ным настройкам для создания нового общего ресурса. Внимательно просмот­рите их, внесите любые необходимые изменения и щелкните на кнопке Create (Создать). Экран Confirmation показан на рис. 1 3. 1 1 .

Последним экраном этого мастера является Results (Результаты). Отобразят­
ся два индикатора хода работ: один для задачи Create SMB Share (Создание
общего ресурса SMB) и еще один для задачи Set SMB Permissions (Установка
разрешений SMB). После того как состоянием обеих задач станет Completed
(Завершена), общий ресурс построен и готов к использованию.
1 1. Щелкните на кнопке Close (Закрыть), чтобы завершить работу мастера.

Создание общих ресурсов на удаленных компьютерах с помощью диспетчера серверов

Предыдущую процедуру можно также выполнить для создания общих ресурсов
на удаленных компьютерах с применением диспетчера серверов. Подобно пред­
шествующим редакциям сервера, диспетчер серверов способен выполнять задачи
управления на удаленных компьютерах. На компьютерах, функционирующих под
управлением Windows Server 201 2, компонент Remote Management по умолчанию
установлен и включен. На рис. 13.12 видны различные опции, которые диспетчер
серверов предлагает, когда был добавлен другой сервер.

Управление сервером Windows Server 2008 из Windows Server 2012 R2
Для того чтобы полностью управлять серверами, на которых выполняется
Windows Server 2008 или Windows Server 2008 R2, потребуется провести несколько об­новлений. Для начала установите .NET Framework 4.0 и затем Windows Management Framework 3.0. После этого необходимо удостовериться в корректной конфигурации удаленного компьютера, что можно сделать путем ввода трех команд.
1. Введите показанную ниже команду в окне командной строки на компьютере,
который вы желаете администрировать дистанционным образом. Эта команда
включит прослушиватель WinRM:
2. После выдачи запроса введите У и нажмите .
3. Удостоверьтесь, что на удаленном компьютере функционирует служба вирту­
альных дисков (Virtual Disk Service). Это можно сделать с помощью следующих
команд:
sc config vds start= auto
net start vds

Вы можете сконфигурировать количество пользователей, которые могут одновре­
менно подключаться к общему ресурсу, путем настройки опции User limit (Лимит пользователей) в диалоговом окне свойств общего ресурса. Чтобы установить лимит пользователей, откройте папку Administrative Tools (Администрирование), дважды щелкните на значке Computer Management (Управление компьютером), разверните узел Shared Folders (Общие палки), выберите папку Shares (Общие ресурсы), щелкните правой кнопкой мыши на общем ресурсе, для которого хотите установить лимит пользователей, и выберите в контекстном меню пункт Properties (Свойства).
Ниже показан экранный снимок с настройкой лимита пользователей для общего
ресурса.

В качестве примера, если приложение лицензировано для 100 параллельных пользо­вателей, вы можете сконфигурировать общий ресурс на сервере для поддержки этого лимита, несмотря на то, что в сети может быть 200 пользователей. Просто выберите переключатель Allow this number of users ( Разрешить это количество пользовате­лей) и укажите в поле рядом соответствующее число (по умолчанию оно равно 1 ).
По мере того, как пользователи подключаются к общему ресурсу, их число прибли­жается к лимиту пользователей. При отключении от общего ресурса их количествоуменьшается. Такой тип принудительного применения лицензий может быть удобен для снижения затрат на лицензирование.

Однако будьте осторожны в отношении лицензирования. Не у всех приложений
имеется режим параллельных лицензий, хотя может существовать режим клиентских лицензий.
В режиме клиентских лицензий производитель не заботится о том, сколь­ко пользователей получают доступ к приложению в любой момент времени; играет роль только количество людей, в целом установивших приложение.
В таких случаях лимит пользователей никак вас не защитит.
Необходимо также помнить о том, что этот лимит параллельно подключаемых поль­зователей основан на целом общем ресурсе.
Он не может быть определен для каждой папки внутри общего ресурса.
Например, у вас может быть два приложения на од­ном общем ресурсе.
Приложение 1 имеет лимит в 100 пользователей, а для приложе­ния 2 лимит не предусмотрен. По невнимательности вы можете ограничить доступ к приложению 2, когда для общего ресурса устанавливается лимит подключений в 100 пользователей.
Наконец, вы должны принять во внимание, каким образом пользователи подключаются к общему ресурсу для взаимодействия с приложениями, прежде чем ограничи­вать их на базе параллелизма.
Если все пользователи подключаются к общему ресур­су при входе в систему (как с отображенным диском), и не отключаются вплоть до выхода из системы, то лимит параллелизма может в первую очередь расходоваться на вошедших в систему пользователей, достигая в итоге предела в 100 человек, хотя в действительности работать с приложением могла только небольшая группа пользо­вателей.
Если подключения осуществляются только при использовании приложения,
то лимит пользователей будет работать довольно хорошо.
Следите ЗА ПРОБЕЛАМИ в КОМАНДЕ sc
Команда sc config применяется для изменения конфигурации службы. По умолча­нию служба виртуальных дисков (Virtual Disk Service — VDS) не запускается, поэто­му вы будете использовать эту команду для автоматического запуска VDS на сервере.
Служба VDS необходима для получения доступа к возможностям дистанционного
управления. Чтобы получить дополнительные сведения об опциях и функциях команды sc, откройте окно командной строки и введите sc config?. Команда конфигурирования сервера (server config — sc) очень приверепдива в отношении пробелов.
Показанная ниже команда содержит пробел после символа =, и она будет работать:
sc config vds s tart= auto
С другой стороны, следующая команда работать откажется из-за пропущенного пробела:
sc config vds start=auto
4. Создайте исключение брандмауэра для группы Remote Volume Management
(Управление удаленными томами) с помощью приведенной далее команды.
В книге команда разнесена на две строки, но на самом деле она должна вводиться в одной строке.
netsh advfirewall firewall set rule-CA
group=»Remote Volume Management» new enaЬle=yes
Если команда была введена корректно, в выводе отобразится строка Updated
3 rules (Обновлены 3 правила).
После того как удаленный компьютер сконфигурирован, вы можете открыть
диспетчер серверов на своем локальном компьютере и выбрать в меню Manage

(Управление) пункт Add Servers (Добавить серверы). Существуют три способа на­хождения и добавления новых машин в локальном диспетчере серверов. Сервер
можно добавить методом поиска в Active Directory и выбора компьютера, присоеди­ненного к домену. Кроме того, сервер можно добавить, введя на вкладке DNS имя компьютера или его I Р-адрес.
И, наконец, вкладка lmport (Импорт) позволяет на­ прямую запросить сетевой путь к желаемой машине или просмотреть местоположе­ния в сети для обнаружения нужного ресурса. Воспользовавшись одним из перечис­ленных методов, найдите машину для управления и щелкните на кнопке ОК.
Через короткое время диспетчер серверов подключится к удаленному компьютеру.
После этого вы сможете просматривать и управлять удаленным компьютером на вкладке All Servers (Все серверы) в диспетчере серверов. Просто щелкните правой кнопкой мыши на подключенном удаленном компьютере, и в контекстном меню отобразит­ся список функций управления (рис. 13.13).

Публикация общих ресурсов в Active Directorv

Одной из великолепных особенностей среды Active Directory является возмож­
ность объединения всех ресурсов предприятия в единый каталог, будь то принтеры, группы, пользователи, организационные единицы или что угодно из области ваших
фантазий — точнее, возможность их обслуживания. Это касается и общих ресурсов.
Главная причина публикации общего ресурса в Active Directory связана с тем, чтобы упростить пользователям его нахождение.
Публикация общего ресурса осуществляется в консоли управления Active
Directory Users and Computers (Пользователи и компьютеры Active Directory).

Щелкните правой кнопкой мыши на необходимой организаuионной единиuе и вы­
берите в контекстном меню пункт New�Shared Folder (СоздатьqQбщая папка). Вам
будет предложено указать имя для этой публикаuии общего ресурса и, конечно же, имя самого общего ресурса. Это все, что нужно было сделать — общий ресурс те­перь опубликован в Active Directory. После публикаuии общего ресурса можете так­же добавить ключевые слова, чтобы упростить пользователям его нахождение.
1 . Щелкните правой кнопкой мыши на объекте общей папки в консоли Active
Directory Users and Computers.
2. Выберите в контекстном меню пункт Properties (Свойства) и открывшемся
диалоговом окне щелкните на кнопке Keywords (Ключевые слова).
3. Добавьте любые желаемые ключевые слова, которые пользователи могут при­
менять при поиске этого общего ресурса.
На рис. 1 3 .14 демонстрируется добавление ключевых слов к опубликованному
общему ресурсу Colorado Springs.

Рис. 1 3.14. Добавление ключевых слов к опубликованному общему ресурсу

После этого пользователи могут с помощью инструмента поиска в Active
Directory искать по ключевым словам. На рис. 13.15 показан инструмент поиска в
Active Directory с выбранным элементом Shared Folders (Общие папки) в раскрыва­ющемся списке Find (Искать). Мы добавили ключевое слово Colorado и щелкнули на кнопке Find Now (Найти сейчас), что привело к нахождению нужного общего ре­сурса. Для доступа к общему ресурсу достаточно просто дважды щелкнуть на нем.

Рис. 1 3.15. Применение инструмента поиска в Active Directory
для нахождения опубликованного общего ресурса

Управление разрешениями

Одним из крупных достоинств дисков, сформатированных с файловой системой
NTFS, и общих ресурсов является возможность назначения разрешений и управле­ния тем, кто может иметь доступ к различным файлам и папкам. В то время как в
главе 14 будет подробно раскрыта внутренняя работа этих разрешений, в настоящей главе мы дадим базовое введение в разрешения NTFS и общего доступа. Вы заме­тите, что в этой редакции сервера в отношении разрешений изменилось не очень многое. По большей части просто появился новый способ для навигации и работы с теми же самыми функuиями и инструментами, которые вы хорошо знаете по вер­сии Windows Server 2008 R2.
Между разрешениями NTFS и разрешениями обшего доступа есть много сходс­тва, о чем пойдет речь в этом разделе.
Сходство включает то, как каждому разрешению может быть назначено действие Allow (Разрешить) или Deny (Запретить), каким образом разрешения накапливаются, как Deny получает приоритет и каким образом используется принuип неявного запрета.
Когда пользователь обращается к общему ресурсу, к которому применены раз­
решения NTFS и общего доступа, результирующее разрешение в общем случае на­зывается наименее ограничивающим разрешением.
Поскольку вас могут попросить ре­шить проблему с невозможностью доступа к какому-то файлу или папке, вы должны знать, как вычислить результирующее разрешение, чему и посвящен материал дан­ного раздела.

Разрешения NTFS

Разрешения NTFS применяются к любому файлу или папке на диске, который
был сформатирован с файловой системой NTFS.
• Read (Чтение). Когда пользователю назначено разрешение Read, ему позволе­
но просматривать содержимое, разрешения и атрибуты, ассоциированные с
файлом или папкой.
• Read & Execute (Чтение и выполнение). Разрешение Read & Execute использует­ся для предоставления пользователю возможности запуска файлов. Любые ис­полняемые файлы (такие как . ехе, .bat и . сот) — это файлы, которые мож­но запускать. Если пользователь имеет только разрешение Read, но не Read & Execute, файлы не могут быть запущены.
• List Folder Contents (Список содержимого папки).
Разрешение List Folder Contents позволяет пользователю просматривать содержимое папки.
Оно дает пользователю возможность увидеть, какие файлы существуют внутри папки, но без применения разрешений Read к этим файлам.
• Write (Запись). Если пользователю назначено разрешение Write дпя файла или
папки, он может модифицировать содержимое этого файла или папки. Под
этим понимается добавление в папку новых файлов или папок либо внесение
изменений в существующие файлы или папки. Тем не менее, удалять файлы
из папки не допускается.
• Modify (Изменение). Разрешение Modify включает все разрешения Read, Read
& Execute и Change, а также возможность удаления файлов и папок.
• FuU Cootrol (Полный доступ). Разрешение Full Control представляет собой объ­единение всех доступных разрешений с дополнительной возможностью изме­
нения разрешений и смены владельца файлов или папок.

Разрешения общего доступа

Разрешения общего доступа применяются к общим ресурсам, только когда к ним
производится доступ через сеть. Разрешений общего доступа всего лишь три.
• Read (Чтение). Пользователи, которым выдано разрешение Read, могут читать
файлы и папки внутри общего ресурса.
• Change (Изменение). Пользователи, которым выдано разрешение Change, могут
читать, запускать, модифицировать и удалять файлы и папки внутри общего
ресурса.
• Full Control (Полный доступ). Пользователи, которым выдано разрешение
Full Control, могут делать все то же самое, что и пользователи с разрешением
Change, а также вдобавок изменять разрешения для общего ресурса.

сходные черты разрешений общего доступа и разрешений NTFS

Теперь, когда вы имеете базовое понимание в целом разрешений NTFS и обшего
доступа, легче выявить сходные черты между ними. Все они перечислены ниже.

• Обоим типам разрешений может быть назначено действие Allow (Разрешить)
или Deny (Запретить).
• Оба типа разрешений являются накопительными.
• В обоих типах разрешений приоритет имеет действие Deny.
• Оба типа разрешений поддерживают принцип неявного запрета.
Назначение действия Allow или Deny
Приступив к работе с разрешениями, вы заметите, что для каждого из перечис­
ленных разрешений предусмотрены флажки Allow (Разрешить) или Deny (Запретить).
Н иже приведен обзор того, как они работают.
• Если для разрешения отмечен флажок Allow в отношении пользователя или
группы, то этот пользователь или группа имеют данное разрешение.
• Если для разрешения отмечен флажок Deny в отношении пользователя или
группы, то этот пользователь или группа не имеют данного разрешения.
• Разрешения являются накопительными. Если пользователю назначено не­
сколько разрешений Allow (таких как Allow Read и Allow Change), пользова­
тель получает объединение назначенных разрешений.
• Если пользователю назначены разрешения и AJow, и Deny, то разрешения
Deny имеют преимущество.
Если пользователю вообще не назначены какие-либо разрешения, он не имеет
доступа к объекту. Это называется неявным запретом. Разрешения общего доступа
и разрешения NTFS используют модель избирательного управления доступом (dis­
cretionary access control — DAC). Каждый объект имеет список избирательного уп­равления доступом (discretionary access control list — DACL), состоящий из записей управления доступом (access control entry — АСЕ).
Каждая запись АСЕ идентифицирует пользователя или группу с ассоциированным
идентификатором защиты (security identifier — SID) и разрешением Allow или Deny.
Любой объект может иметь несколько записей АСЕ в своем списке DACL; другими
словами, любой объект может иметь множество назначенных ему разрешений.
ИДЕНТИФИКАТОРЫ ЗАЩИТЫ
Каждый пользователь и каждая группа уникально идентифицируются с помощью
S ID. Когда пользователь входит в систему, создается маркер, включающий STD поль­зователя и идентификаторы SID всех групп, членами которых пользователь являет­ся. Этот маркер применяется операционной системой для определения, должен ли пользователь иметь доступ. Идентифи:каторы SI D в маркере сравниваются с иденти­фикаторами SI D из записей управления доступом в списке DACL, чтобы выяснить,возможен ли доступ.
Когда пользователь обращается к файлу, папке или общему ресурсу, операционная система сравнивает список DACL с учетной записью пользователя и его членс­твом в группах. Если обнаруживается соответствие, пользователю предоставляется соответствующее разрешение.

Накопленные разрешения
Объектам могут назначаться множество разрешений. В качестве примера предположим, что имеется общий ресурс по имени Proj ectData. Группе Administrators может быть предоставлено разрешение Full Control, какой-то группе — разрешение Change, а еще какой-то группе — разрешение Read. При назначении нескольких раз­решений они накапливаются. Другими словами, если к пользователю применяется множество разрешений, то пользователь получает объединение всех этих разрешений.
Представим, что Салли состоит в группах G_Sales и G_SalesAdmins, и этим
группам выданы следующие разрешения для общего ресурса Sales:
G Sales Разрешение Allow Change
G SalesAdmins Разрешение Allow Full Control
Поскольку Салли является членом обеих групп, ей предоставляются разрешения
Change и Full Control; говоря по-другому, она получает объединение разрешений
Change и Full Control.
Действие Deny имеет приоритет
Если к любому разрешению, назначенному пользователю, применены действия
Allow и Deny, то Deny получает приоритет. В качестве примера предположим, что группе G Sales выдано разрешение Full Control для общего ресурса, который со­держит патентованную информацию. По ряду причин пользователь Billy Joe ВоЬ (являющийся членом группы G _ Sales) впал в немилость в компании. Вас попроси­ли оставить его в группе G_Sales, чтобы он имел доступ к другим обшим ресурсам, но запретить ему доступ к общему ресурсу с патентованной информацией.

На рис. 13.16 показано, как вы можете пос­
тупить. Для начала разрешения общею доступа
выданы персоналу из группы G_Sales, имею­
шей разрешение Full Control для этого общего
ресурса. Чтобы полностью запретить пользо­
вателю B i l l y Joe ВоЬ доступ к данным, его
учетная запись была добавлена и ей назначено
разрешение Deny Full Control. Другими слова­
ми, его учетная запись была явно запрещена.
Обратите внимание на возникший конф­
ликт. Пользователю предоставляется доступ как
члену группы G_Sales и запрещается доступ
для его учетной записи. Конфликт разрешает­
ся в пользу Deny. Если подумать, то это имеет
смысл. Когда вы предпринимаете дополнитель­
ные действия, необходимые для запрещения
доступа, то не хотите, чтобы что-то его перео­
пределило. Действие Deny имеет приоритет.
Неявный запрет
Существует также характеристика, известная
как неявный запрет. Если разрешение не выда­
но явно, оно неявно запрещается.

Предположим, что есть общий ресурс по имени Proj ectData, доступ к кото­
рому разрешен только группе G_Sales. Мария состоит в группе G_HR и не явля­
ется членом группы G_Sales, так что она не имеет доступа к этому общему ре­
сурсу. Поскольку доступ Марии не был предоставлен явно, для нее неявно доступ запрещен.
Сравните это со своей квартирой. Если вы никому не давали ключи от нее, то
никто не сможет в нее попасть. Конечно, вам по-прежнему придется беспокоиться о бандитах и взломщиках, но с основной точки зрения отсутствие факта предостав­ ления разрешений означает отсутствие доступа.

модификация разрешений общего доступа и NTFS

Разрешения общего доступа и NТFS можно модифицировать с использованием
диспетчера серверов, значка Computer Management (Управление компьютером) или
проводника Windows.
Шаги для каждого метода немного отличаются, но, в конеч­
ном счете, мы получим те же самые вкладки разрешений.
Мы ограничимся обсуждением процедуры, предусматривающей применение диспетчера серверов.
Предположим, что вы создали общий ресурс и выдали разрешение Read группе
Everyone (Все).
Однако теперь вы хотите изменить разрешения так, чтобы поль­зователи в группе G_Sales имели разрешение Change, и никто из пользователей
кроме администраторов не мог просматривать или использовать этот набор папок и файлов.
Чтобы внести такие изменения, выполните следующие шаги.
1. Запустите диспетчер серверов и откройте узел File and Storage ServicesqShares(Службы файлов и хранилищаqОбщие ресурсы).
2. Щелкните правой кнопкой мыши на общем ресурсе Apps и выберите в кон­
текстном меню пункт Properties (Свойства).
3. Щелкните на кнопке Permissioпs (Разрешения) и затем на кнопке Customize
Permissions (Изменить разрешения). Окно должно выглядеть примерно так,
как показано на рис. 1 3.17.

4. На вкладке Share (Общий доступ) щелкните на кнопке Add (Добавить).
Затем выберите переключатель Select а principal (Выбрать уч а стника) и вве­дите имя группы, которой необходимо предоставить доступ к общему ресурсу
(например, G_Sales}, после чего щелкните на кнопке ОК.
5. Поскольку вы не хотите, чтобы доступ получили абсолютно все, выбери­
те группу Everyone и щелкните на кнопке Remove (Удалить). Щелкните на
кнопке ОК.
6. Щелкните на кнопке Apply (Применить) и перейдите с вкладки Share на
вкладку Permissions (Разрешения).
Обратите внимание, что на вкладке Permissions делегированы разрешения
NTFS, а на вкладке Share делегированы разрешения Share. Смешивание этих
разрешений будет рассматриваться в следующем разделе.
7. Находясь на вкладке Permissions, щелкните на кнопке Add и введите имя
группы, которую нужно добавить (такое как G_Sales). Щелкните на кнопке
ОК, чтобы добавить группу.
По умолчанию любому добавляемому пользователю или группе автоматически
предоставляются разрешения Read, Read & Execute и List Folder Contents.
8. Выберите разрешение Allow Write для добавленной группы, удостоверьтесь, что
также внесли изменения в файлы, и щелкните на кнопке ОК.
9. Не забудьте также удалить группу Everyone из этого набора разрешений:
выберите группу Everyone и щелкните на кнопке Remove.
Разрешения общего доступа и разрешения NTFS управляются раздельно, но
работают вместе для предоставления надлежащих разрешений. Окно будет выглядеть примерно так, как показано на рис. 13.18.
10. Щелкните на кнопках Apply и ОК в диалоговом окне Advanced Security
(Расширенная безопасность) для завершения установки разрешений.

Объединение разрешений общего доступа и NTFS

Люди иногда находят сложным идентификацию разрешений, которые пользова­
тель будет иметь, когда он обращается к файлу или папке через общий ресурс. Нам
нравится сохранять процесс простым благодаря следующим трем шагам.
. Определите накопленное разрешение NТFS.
2. Определите накогшенное разрешение общего доступа.
3. Определите, какое из этих двух разрешений обеспечивает наименьший до­
ступ (обычно оно называется наиболее ограничивающим разрешением).
Представим, что Салли состоит в группах G S a l e s и G_I T S a l e sAdmi n s .
Разрешения, назначенные для папки SalesData (совместно используемой как об­
щий ресурс SalesData), описаны в табл. 13.2.
Таблица 13.2. Пример объединения разрешений общего доступа и NTFS
Группа
G Sales
G IТSalesAdrnins
Разрешения NTFS
Read, Read & Execute, List Folder Contents
Full Control
Разрешения общего доступа
Read
Change
На шаге 1 вам необходимо определить накопленное разрешение NТFS. Салли
имеет разрешения Read, Read & Execute и List Folder Contents как член груп­
пы G_Sales. Вдобавок она имеет разрешение Full Control, будучи членом группы
G_ITSalesAdmins. Поскольку разрешение Full Control включает все другие разре­шения, накопленным разрешением NTFS будет Full Contro.
На шаге 2 вы должны определить накопленное разрешение общего доступа.
Салли имеет разрешение Read как член группы G_S a l e s . Кроме того, у нее есть разрешение Change, поскольку она является членом группы G _ ITSalesAdmins. Так как разрешение Change включает разрешения Read и Write, накопленным разреше­нием общего доступа оказывается Change.
Последний шаг предусматривает ответ на простой вопрос. Какое разрешение
предоставляет наименьший доступ, т.е. является наиболее ограничивающим: Full
Control или Change? Ответ — Change.
Разрешение Change Салли и получит, когда
обратится к общему ресурсу через сеть.
А как насчет сложного вопроса? Какое разрешение будет у Салли, когда она об­
ратится к лапке SalesData локально?
Ответ — Full Control. Вспомните, что разрешения общего доступа применяются
только в случае, если пользователь обращается к общему ресурсу через сеть. При локальном доступе к папке применяются только разрешения NТFS.

подключение к общим ресурсам

Теперь, когда у вас есть общие ресурсы, каким образом люди могут пользоваться ими? Предполагая наличие общего ресурса по имени Apps на сервере BFl, как кто­ то, подключенный к сети, мог бы получить к нему доступ?

В основном вы подключаетесь к общему ресурсу, используя имя UNC (uni­
versal naming convention — универсальное соглашение по именованию) вида
ИмяСервера ИмяОбщегоРесурса. В качестве альтернативы можете нажать ком­
бинацию клавиш <Windows+R> на рабочем столе, чтобы открыть диалоговое окно
Run (Выполнить), и ввести в нем ИмяСервера (здесь указывается имя любого сер­
вера, подключенного к сети) и следом обратную косую черту (рис. 13.19). Еще один
способ открытия диалогового окна Run в Windows Server 2012 предусматривает пере­ход на экран Start (Пуск}, ввод Run и нажатие .
После подключения операционная система извлекает список доступных общих
ресурсов. На этом сервере в текущий момент существуют четыре общих ресурса,
причем все они не являются скрытыми. В главе 14 будет показано, как сделать до­ступными дополнительные скрытые общие ресурсы. Вы могли бы ввести Apps в
конце BFl , получив запись вида BFl Apps, или просто выбрать общий ресурс
Apps в раскрывающемся списке на рис. 13.19 и щелкнуть на кнопке ОК, чтобы под­ключиться к нему.
Помимо меню поиска, для подключения к общему ресурсу доступны и другие
методы.
• Отображение диска. Вы можете отобразить букву диска на общий ресурс в сети.
Например, пользователям может быть необходим доступ к общему ресурсу
при каждой загрузке системы. Щелкните правой кнопкой мыши либо на узле
Computer (Компьютер), либо на узле Network (Сеть) в проводнике Windows и
выберите в контекстном меню пункт Мар Network Drive (Подключить сетевой
диск). Уделите время на то, чтобы оценить новый внешний вид пользователь­
ского интерфейса Windows Server 201 2 R2.
При открытом окне проводника Windows выберите узел Computer и затем опцию Computer в верхней панели действий.
Отобразится новая лента, похожая на те, которые вы знаете по про­граммам вроде Microsoft Word. В этой ленте доступно много новых опций, в
числе которых Мар а Network Drive (Подключить сетевой диск). На рис. 13.20
показано диалоговое окно Мар Network Drive (Подключение сетевого диска).
При отмеченном флажке Reconnect at sign-in (Восстанавливать при входе в
систему) пользователь всегда будет иметь диск z, отображенный на общий ресурс, после загрузки системы.

• Поиск в Active Directory. Если клиент является членом домена, то в окне
Network (Сеть) появится опuия Search Active Directory (Поиск в Active
Directory). Чтобы открыть окно Network в Windows Server 201 2 R2, выберите на
экране Start (Пуск) плитку Network (Сеть).
+ Испол ьз ование net use. Вы можете применять команду net use в командной
строке. Базовый синтаксис выглядит следующим образом:
net use буква _ диска \имя сервераимя общего_ресурса
Например, чтобы присоединить общий ресурс Apps на сервере BFl и затем
иметь возможность ссылаться на этот общий ресурс как на диск z, можно вос­
пользоваться такой командой:
net use Z : \BFlapps
Если позже вы захотите удалить это отображение, понадобится ввести следу­
ющую команду:
net use Z : /delete

конфликт между наборами учетных данных

Иногда при попытке подключения к общему ресурсу возникает ошибка с сообщением следующего вида: «набор учетных данных конфликтует с существующим
набором учетных данных для этого общего ресурса».
Вот что происходит.
Вы уже пытались получить доступ к этому общему ресурсу
и по какой-то причине потерпели неудачу — возможно, неправильно ввели пароль.
Сервер, на котором находится общий ресурс, подготовил информаuию о том, что
вы — недобросовестный клиент, и он больше ничего не желает слышать о вас. Вам
нужно заставить сервер забыть о вас, чтобы вы могли начать все сначала. Это дела­ется с помощью опции / d.
Предположим, что вы уже пробовали обратиться к общему ресурсу BFl Apps,
и попытка завершилась неудачей. Может быть, вы действительно подключились к обшему ресурсу, но без разрешений. (Мы знаем, что это не имеет смысла, но так случается.) Чтобы выяснить, к каким обшим ресурсам вы подключены, необходимо ввести просто net use. Скорее всего, вы увидите BFl Apps в списке. Вы должны отключиться от сервера BFl, чтобы впоследствии начать заново. Для этого введите следующую команду:
net use BFl apps /d
Затем введите еще раз команду net use, удостоверившись, что все эти подклю­
чения очищены; может оказаться, что у вас есть множество соединений с опреде­ленным сервером. В редких случаях требуется отключиться от всех общих файловых ресурсов, для чего используется такая команда:
net use * /d
После закрытия всех подключений попробуйте подключиться к общему ресурсу
с помощью команды net use еще раз, и все заработает.

Использование команды net use в сети WAN

Мы подошли к одной из наиболее сложных областей сетевой работы: подключению к ресурсам через большие расстояния со многими неизвестными. Если вам
приходилось когда-либо иметь дело с удаленными на большие расстояния вычислениями, то вы знаете, что полагаться на них нельзя. Однако в арсенале команды
:-iet use появился новый небольшой набор функций, который позволяет прояснить множество «неизвестных» в общей картине.
Вместо того чтобы рассчитывать на выяснение подходящего сервера распознава­
ниs1 имен, обращения к этому серверу и получения точного и надежного преобразо­вания по неточному и ненадежному сетевому каналу, вы теперь можете отобразить нужный ресурс прямо на диск своего сервера через IР-адрес ресурса.
Конечно, выдолжны знать этот 1 Р-адрес, но такой подход довольно безопасен в плане отказов.
В нашем случае мы работаем из нескольких местоположений, соединенных посредс­твом каналов WAN с ретрансляцией кадров. Сеть не всегда способна хорошо преоб­разовывать имена серверов в IР-адреса, поэтому команда net use BFl обычно сообщает о невозможности найти BFl. Но даже если она работает, распознава­ние имен — преобразование имени вроде BFl в сетевой адрес — занимает время.
Если вам известен 1 Р-адрес сервера, с которым вы пытаетесь взаимодействовать,
то указывайте его вместо имени этого сервера. Зная, что IР-адресом сервера BFl яв­ляется 134.81.12.4, вы можете ввести такую команду:
net use 1 34 . 8 1 . 1 2 . 4 apps
И поскольку потенциально вы можете подключаться из другой сети, понадобит­
ся добавить информацию /user : . Неплохо также указать /persistent : no, чтобы ваша система не тратила до пяти минут на попытки восстановления этого подклю­чения при следующей загрузке. Таким образом, например, если сервер BFl является членом домена под названием BigFirm. com, и вы располагаете учетной записью в домене BigFirm . com по имени boss, то вы можете удостовериться в том, что BFl знает, кто вы такой, и позволит войти в систему:
net use \134 . 8 1 . 1 2 . 4apps /user : bigfirm . cornboss /persistent : no
Хотя существует много удобных методов подключения к общим ресурсам с при­
менением различных графических пользовательских интерфейсов, не упускайте из
виду команду net use. Вы наверняка сочтете ее полезной.

Распространенные общие ресурсы

В Windows Server имеется несколько заранее созданных и распространенных об­
щих ресурсов. Большинство из них являются скрытыми. Если вы знаете эти общие
ресурсы, то сможете подключиться к любому из них, используя путь UNC.
• С$, D$ и т.д. Все устройства, включая устройство для чтения CD-ROM, имеют скрытые общие ресурсы для своего корня. Общие ресурсы такого рода назы­ваются административными общими ресурсами. Вы не можете изменять разре­шения или свойства этих общих ресурсов, разве что конфигурировать их для средства автономных файлов (Offiine Files), о котором пойдет речь в конце гла­вы.
Подключаться к административным общим ресурсам могут только членыгрупп Administrators (Администраторы) и Backup Operators (Операторы
резервного копирования), и вы не можете отменить совместный доступ для административных общих ресурсов, не модифицировав реестр или не остановив
службу Server (что прекратит совместный доступ для всех обших ресурсов).
Такие общие ресурсы пригодятся администраторам сервера, которые решают
много задач управления дистанционно. Отображение диска на общий ресурс
С$ эквивалентно нахождению в каталоге с : на сервере.
• ADMIN$. Общий ресурс ADMIN$ — это еще один административный общий
ресурс, который отображается на местоположение операционной системы.
Например, если операционная система устаномена в о : Windows, то общий
ресурс АШ-ПN$ будет отображен на о : Windows.
• PRINТ$. Всякий раз, когда вы создаете совместно используемый принтер, система помещает его драйверы в этот общий ресурс.
В результате при подключе­нии клиентов к общему принтеру драйверы легко загружаются.
• IPC$. Общий ресурс IPC$ является, пожалуй, одним из наиболее широко применяемых общих ресурсов в межсерверных коммуникациях, хотя вы редко будете взаимодействовать с ним напрямую.
Когда вы пытаетесь получить доступ к общим ресурсам на других компьютерах (для чтения журналов событий, на­пример), система использует именованные каналы. Именованный канал — это фрагмент памяти, служащий коммуникационным каналом между двумя про­цессами, будь они локальными или удаленными, и общий ресурс IPC$ приме­няется этими именованными каналами.
• NEТLOGON. Общий ресурс NETLOGON используется в сочетании с обработкой за­просов входа со стороны пользователей.
После успешного входа пользователи получают любую информацию профиля или сценарий, который должен для них выполниться. Таким сценарием часто является пакетный файл.
Например, у нас имеется общий пакетный файл, который мы хотим запускать мя всех пользователей каждый раз, когда они входят в систему. Это позволяет обес­печить выполнение всеми клиентами стандартного набора команд, подобных
копированию обновленной информации о сети, отображению стандартных
сетевых дисков и т.п.
Такие пакетные файлы, сценарии и профи.ш находятся
внутри общего ресурса NETLOGON. Общий ресурс NETLOGON требуется на всех
контроллерах домена.

• SYSVOL. Общий ресурс SYSVOL применяется для хранения информации груп­
повой политики и сценариев, к которым обращаются клиенты по сети. Вы
всегда будете видеть общие ресурсы SYSVOL на контроллерах домена, но они
могут реплицироваться на серверы-члены.

диспетчер ресурсов файлового сервера

Диспетчер ресурсов файлового сервера (File Server Resource Manager — FSRM)
является важным дополнением, которое может конфигурироваться с помощью роли
File and Storage Services (Службы файлов и хранилища). Он включает несколько до­полнительных возможностей, упрощающих управление файловым сервером:
• создание и управление политиками квот;
• создание и управление политиками блокировки файлов;
• просмотр отчетов.
Эти приемы рассматриваются в последующих разделах.

Создание политик квот

Файловая система NTFS давно включала средства управления квотами, но бла­
годаря FSRM, они были значительно усовершенствованы. Выражаясь кратко, квоты
позволяют отслеживать и ограничивать пространство, которое пользователи могут потреблять на томе или в папке.
СРАВНЕНИЕ МОНИТОРИНГА ИСПОЛЬЗОВАНИЯ ХРАНИЛИЩА И ПОЛИТИК КВОТ
Хотя для мониторинга использования хранилища применяется та же самая техно­
логия, что и в политиках квот, доступных в файловой системе NТFS, в ней имеется тонкое отличие от политик квот.
Мониторинг хранилища отслеживает том целиком и по умолчанию сконфигурирован на уведомление о ситуации, когда на диске за­полняется 85% его емкости. Политики квот можно конфитурировать на отдельных папках, что дает возможность точной настройки того, что именно отслеживается.
При создании квот есть возможность установки лимитов, при которых выдается
предупреждение, установки лимитов принудительного применения, предоставле­
ния уведомлений о достижении лимитов по электронной почте или через записи в
журнале событий и даже выполнения команд в ответ на достижение любого лимита.
Квоты могут быть установлены мя любого общего ресурса на сервере или мя любого заданного пути.
Квоты могут оказаться очень удобными мя мониторинга хранилища на фай­ловых серверах. Например, в вашем распоряжении может находиться файловый
сервер с хранилищем в 2 Тбайт.
Вы можете считать, что имеете более чем доста­точно пространства, но если какие-то пользователи создают и редактируют аудио­ и видео-файлы, то 2 Тбайт свободного пространства могут очень скоро сойти на нет.
Политика квоты может помочь в ограничении пользователей определенным
объемом. С другой стороны, эти аудио- и видео-файлы могут быть неотъемлемой
частью вашей бизнес-деятельности, поэтому ограничивать пространство хранения
нежелательно. В таком случае лучше обеспечить информирование о том, что заня­тое пространство хранилища достигло определенного порога.
Вместо действитель­ного ограничения хранилища вы можете просто отслеживать его использование с помощью политики квоты.
На первый взгляд, политики квот очень просты для понимания и реализации.
Тем не менее, они могут стать довольно сложными при практическом применении.
Шаблоны квот
В состав диспетчера FSRM включено несколько шаблонов квот, которые мож­
но легко применять в том виде, как они есть, или же модифицировать для удов­
летворения существующих нужд. Можно даже создавать собственные шаблоны. На
рис.
Так как вы уже уловили идею о том, как работают квоты, по информации в этом
диалоговом окне вы сможете понять, что будет делать та или иная квота. Важной частью информации является тип квоты: жесткая или мягкая. Жесткая квота будет принудительно применять лимит и предотвращать его превышение пользователями.
Мягкая квота используется только для мониторинга; она выдаст уведомление, но не будет принудительно применять лимит.
Шаблон 200 МВ Limit with 50 МВ Extension (Лимит 200 Мбайт с расширением 50 Мбайт) представляет собой великолепный пример реагирования на достижение лимита квоты. Чтобы просмотреть или отредактировать свойства шаблона, щел­кните на нем правой кнопкой мыши и выберите в контекстном меню пункт Edit Template Properties (Редактировать свойства шаблона).
На рис. 13.22 показаны свойства шаблона во время редактирования. Слева можно видеть базовый шаблон. Обратите внимание на нижнюю часть диалогового окна, где сконфигурированы три порога для уведомлений: 85%, 95% и 100%. Предупреждение о достижении порога в 85% только отправляется по электронной почте, предупреж­дение о пороге в 95% отправляется по электронной почте и фиксируется как собы­тие в журнале, а предупреждение о пороге в 100% дополнительно инициирует вы­полнение команды.

Диалоговое окно справа на рис. 1 3.22 открывается в результате выбора элемен­та Warning (100%) (Предупреждение ( 100%)) в списке Notification thresholds (Пороги для уведомлений) и щелчка на кнопке Edit (Редактировать). Для модификации кво­ты применяется инструмент командной строки dirquota ехе. В частности, он из­меняет лимит квоты с 200 Мбайт на 250 Мбайт. Команды, которые вы здесь поме­щаете, ограничиваются разве что вашей фантазией. При необходимости вы также устанавливаете контекст безопасности команды в зависимости от разрешений, ко­торые требуются команде для выполнения.
Помимо выполнения команды, доступны другие реакции на достижение порога:
отправка сообщения электронной почты, регистрация события в журнале и созда­
ние отчета.
Вкладка E-mail Message
Вкладка E-mail Message (Сообщение электронной почты) позволяет конфигу­
рировать почтовый ответ, отправляемый при достижении порога. Если вы хотите
отправить сообщение администратору, просто добавьте на этой вкладке адрес элек­тронной почты администратора (или группу рассылки администратора) в формате учетная _ запись@домен, например, ITAdmins@Ьigfirm. com. Можете также скон­фигурировать отправку сообщения пользователю, который превысил порог, отметив для этого флажок Send e-mail to the user who exceeded the threshold (Отправить со­общение электронной почты пользователю, превысившему порог). Для поиска ад­реса электронной почты пользователя диспетчер FSRM использует Active Directory.

Шаблоны включают заранее настроенную строку темы и тело сообщения, nри­
чем и там, и там присутствуют переменные. На рис. 13.23 видно, что тело сообще­ния содержит множество переменных: Source Io Owner (Исходный владелец оnе­
раций ввода-вывода), Quota Path (Путь для квоты), Server (Сервер) и т.д. Если выщелкнете внутри строки темы или тела сообщения, раскрывающийся список nере­менных сразу же станет доступным. При выборе любой nеременной ниже сnиска отображается краткое объяснение того, что она собой представляет. Наnример, уви­дев поначалу [ Source Io Owner] , не вполне ясно, что такое Io, но после выбора этой переменной в раскрывающемся списке становится nонятно, что I о означает
1/0, т.е. ввод-вывод.

Щелкнув на кнопке Additional E-mail Headers (Доnолнительные почтовые за­
головки), вы можете добавить в сообщение электронной почты дополнительные
заголовки, которые показаны справа на рис. 13.23. Они также включают nеремен­ные, которые можно выбирать в раскрывающемся списке Select variaЫe to insert (Выберите переменную для вставки) и щелкать на кнопке lnsert VariaЫe (Вставить переменную).
СЕРВЕР SMTP ДОЛЖЕН БЫТЬ СКОНФИГУРИРОВАН
Для отправки сообщений электронной почты диспетчером FSRM его потребуется
сконфигурировать с именем или IР-адресом сервера SMTP, который буде nринимать эти сообщения. Это делается в диалоговом окне параметров дисnетчера FSRM, ко­торое рассматривается далее в главе.
Вкладка Event Log
При желании вы можете сконфигурировать регистрацию событий в журнале со­
бытий приложений. Для этого достаточно перейти на вкладку Event Log (Журнал
событий) и отметить флажок Send warning to event log (Отправить предупреждение
в журнал событий), как показано на рис. 13.24. Любые отправляемые события попа­дут в журнал событий приложений.

Точно так же, как вы могли добавлять переменные в сообщения электронной
почты, вы можете добавлять их в журнальные записи. На рис. 13.24 раскрыт список переменных, чтобы продемонстрировать доступные для добавления переменные.
Переменных намного больше, чем удалось показать на этом рисунке.
Вкладка Report
Вкладка Report (Отчет) позволяет манипулировать порогами мя уведомлений.
Здесь вы можете настроить отчеты, которые генерируются в ответ на достижение
порога и автоматически отправляются по электронной почте администраторам
и/или пользователю. Отчеты могут также создаваться по запросу, как вы увидите
позже в этой главе.
Создание квоты
Теперь, когда вы понимаете основы, создать и применить квоту довольно прос­
то. В Windows Server 2012 R2 доступно несколько способов конфигурирования квот на разных уровнях общих ресурсов и папок. Если вы уже создали общий ресурс и шаблоны квот, то можете легко сконфигурировать квоту, щелкнув правой кнопкой мыши на общем ресурсе на вкладке Shares (Общие ресурсы) в окне диспетче­ра серверов дпя роли File and Storage Services и выбрав в контекстном меню пункт Configure Quota (Сконфигурировать квоту). Корректировка свойств и создание шаблонов квот делается прямо в диспетчере FSRM, доступном через меню Tools (Сервис) диспетчера серверов.
Предположим, что вы хотите отслеживать объем данных, которые хранятся в
папке по имени Graphics в системе. В частности, вам нужно знать, приблизился
ли объем используемого хранилища к 500 Мбайт. Если этот лимит достигнут, вы хо­тите отправить пользователю отчет, который позволит ему выяснить, какие файлы дублируются, какие файлы являются самыми крупными, а какие файлы давно не использовались.
Для создания такой квоты понадобится выполнить следующие шаги.
1. Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт File
Server Resource Manager (Диспетчер ресурсон файлового сервера).
2. Разверните узел Quota Management (Управление квотами), щелкните правой
кнопкой мыши на папке Quotas (Квоты) и выберите в контекстном меню
Create Quota (Создать квоту).
3. Введите в текстовом поле Quota Path (Путь дпя квоты) путь к папке, которую
вы хотите отслеживать.
Например, вы могли бы ввести I : Finance. В качестве альтернативы можете
щелкнуть на кнопке Browse (Обзор) и проследовать на нужный путь. Здесь на
выбор доступна возможность применить эту новую квоту только к выбранной
папке или распространить действие шаблона квоты на все существующие и
новые подпапки внутри папки Graphics.
Следующий выбор в этом окне позволяет определить свойства квоты.
4. Для целей данного упражнения выберите шаблон 200 МВ Limit Reports to User
(Лимит 200 Мбайт с выдачей отчета пользователю). Позже мы отредактируем
свойства этой квоты.
5. Просмотрите сводку по свойствам квоты и щелкните на кнопке Create
(Создать).
Новая квота отобразится, позволив дальнейшую модификацию ее свойств.
6. Щелкните правой кнопкой мыши на новой квоте и выберите в контекстном
меню пункт Edit Quota Properties (Редактировать свойства квоты).
В диалоговом окне Quota Properties (Свойства квоты) предоставьте описание
НОВОЙ КВОТЫ.
7. Затем вручную скорректируйте значение в поле Space limit (Лимит пространс­тва) на 500 Мбайт и оставьте без изменений выбранный по умолчанию пере­ключатель Hard quota (Жесткая квота). Теперь можете отредактировать порогидпя уведомлений (в списке Notification thresholds (Пороги для уведомлений)),
как показано в левой части рис. 13.25.
8. Выберите в списке Notification thresholds элемент Warning (100%) (Предупреж­
дение (100%)) и щелкните на кнопке Edit (Редактировать).
9. Просмотрите информацию на ВЮiадках E-mail Message (Сообщение электрон­
ной почты), Event Log (Журнал сообщений) и Command (Команда).
Если появляется предупреждение о том, что сервер SMTP не сконфигуриро­
ван, ознакомьтесь с ним и для продолжения щелкните на кнопке Yes (Да); вы
можете сконфигурировать сервер SMTP позже. Обратите внимание на воз­
можность изменения данных на любой из этих ВЮiадок.
10. Перейдите на ВЮiадку Report, которая должна выглядеть примерно так, как
показано справа на рис. 13.25.
Обратите внимание, что отчеты уже сконфигурированы. Флажок Generate
reports (Генерировать отчеты) отмечен, и для генерации указаны три отчета:
Duplicate Files (Дублированные файлы), Large Files (Большие файлы) и Least
Recently Accessed Files (Файлы с наиболее давним доступом). Вдобавок кво­
та сконфигурирована на отправку отчетов пользователю, который превысил
порог (отмечен флажок Send reports to the user, who exceeded the threshold
(Отправлять отчеты пользователю, превысившему порог)).
1 1. Щелкните на кнопке ОК, чтобы закрыть диалоговое окно 100% Threshold
Properties (Свойства порога 100%).
12. Щелкните на кнопке ОК, чтобы закрыть диалоговое окно Quota Properties.

Создание политик блокировки файлов

Фильтры блокировки файлов используется для фильтрации файлов, чтобы гаран­
тировать, что файлы определенных типов не сохраняются на сервере. Предположим,
после внедрения политики квоты и ознакомления с рядом отчетов вы обнаруживае­те, что диск F почти полон, т.к. один из пользователей сохранил на сервере несколь­ко гигабайтов резервных копий файлов МРЗ.

Хотя замечательно, что пользователь создает резервные копии своих файлов, вас может не устраивать тот факт, что он задействует мя этого ваш сервер. Кроме того,вы можете решить, что на вашем сервере вообще никто не должен хранить файлы МРЗ или любые другие аудио- либо видео-файлы.
Вы можете создать фильтр блокировки файлов, которая будет блокировать со­
хранение пользователями определенных типов файлов и генерировать уведомления, когда кто-то попытается записать блокируемые файлы на сервер. Фильтры блоки­ровки файлов могут быть созданы на целых томах или конкретных папках, и точно так же, как квоты имеют шаблоны, фильтры блокировки файлов также могут иметь шаблоны. На рис. 1 3.26 показано окно диспе1Чера серверов с отображаемыми шаб­ лонами блокировки файлов.

Обратите внимание, что в шаблонах идентифицировано несколько хорошо известных типов групп файлов, таких как аудио- и видео-файлы и файлы изображе­ний. Конкретные расширения этих типов файлов идентифицированы в узле File Groups (Группы файлов). Например, аудио- и видео-файлы включают расширения . mpl, .mp2, .mрЗ, . mp4 и .mpeg — причем это далеко не полный перечень.
Когда вы создаете фильтр блокировки файлов, то просто выбираете одну из групп файлов. Это будет удовлетворять вашим потребностям большую часть времени, но если вы хотите добавить типы файлов либо исключить определенные типы файлов из политики, то можете соответствующим образом модифицировать содержимое. Представьте, что в вашей компании недавно узнали, что многие пользовате­ ли хранят на сервере файлы Outlook с расширением . pst, которые имеют размеры свыше l Гбайт и поглощают пространство хранилища. В компании заявили, что пользователи не могут хранить файлы электронной почты на файловом сервере.
Чтобы обеспечить применение этого правила, выполните описанные ниже шаги.
l . Запустите диспетчер серверов и перейдите к узлу File Screen Templates
(Шаблоны блокировки файлов).
2. Щелкните правой кнопкой мыши на шаблоне Block E-mail Files (Блокировать
файлы электронной почты) и выберите в контекстном меню пункт Create File
Screen from Template (Создать фильтр блокировки файлов из шаблона).
3. В текстовом поле File Screen Path (Путь Д1IЯ фильтра блокировки) введите имя тома, на котором необходимо организовать блокировку файлов (такое как F:
Поскольку был выбран шаблон Block E-mail Files, свойства фильтра блокиров­
ки файлов уже установлены. Это свойства можно было бы изменить или при
желании даже определить специальные свойства. Оставьте выбор по умолча­
нию и просмотрите сводку в нижней части окна.
4. Щелкните на кнопке Create (Создать).
5. Выберите узел File Screens (Фильтры блокировки файлов), находящийся
выше узла File Screen Templates (Шаблоны блокировки файлов) в дереве дис­
петчера FS RM.
6. Щелкните правой кнопкой мыши на только что созданном фильтре блоки­
ровки файлов и выберите в контекстном меню пункт Edit File Screen Properties
(Редактировать свойства фильтра блокировки файлов). Диалоговое окно долж­
но выглядеть подобным показанному на рис. 13.27.
Обратите внимание, что вы можете выбрать либо переключатель Active
screening (Активная блокировка), либо переключатель Passive screening (Пас­
сивная блокировка). Поскольку вы хотите конкретно блокировать сохранение
пользователями файлов на сервере, оставьте выбранным переключатель Active
screening. Пассивная блокировка используется для мониторинга.
7. Просмотрите информацию на вкладках E-mail Message (Сообщение элект­
ронной почты), Event Log (Журнал сообшений), Command (Команда) и Report
(Отчет).
Если появляется предупреждение о том, что сервер SMTP не сконфигуриро­
ван, ознакомьтесь с ним и для продолжения щелкните на кнопке Yes (Да). Вы
заметите, что эти вкладки очень похожи на те, что применялись при настрой­
ке квот. Изменилось только содержимое уведомления.
8. После просмотра вкладок шелкните на кнопке ОК.

Генерация отчетов

Доступно несколько разных отчетов. Отчеты можно генерировать как часть лю­
бой политики квоты или политики блокировки файлов. Можно также настроить ге­
нерацию отчетов по графику или генерировать их по требованию.
К счастью, отчеты удобно именованы, поэтому основное их содержимое легко
определить по одному лишь имени. Доступны следующие отчеты: Duplicate Files
(Дублированные файлы), File Screening Audit (Аудит блокировки файлов), Files
File Group (Файлы по файловым группам), Files Ьу Owner (Файлы по владельцам), Files Ьу Property (Файлы по свойствам), Large Files (Большие файлы), Least Recently Accessed Files (Файлы с наиболее давним доступом), Most Recently Accessed Files (Файлы с наименее давним доступом) и Quota Usage (Показатели использования квоты). Кроме того, отчеты можно сохранять в разных форматах, таких как DHTML, HTML, XML, CSV и текстовый. Для доступа к отчетам выполните следующие шаги.
1. Запустите диспетчер серверов. Щелкните правой кнопкой мыши на узле Storage
Reports Management (Управление отчетами по хранилищу) в окне диспетчера
ресурсов файлового сервера (File Server Resource Manager) и выберите в контекс­ тном меню пункт Generate Reports Now (Сгенерировать отчеты сейчас).
На вкладке Settings (Настройки) вы можете выбрать столько отчетов, сколько
нужно, но в случае выбора их всех запаситесь терпением;
для крупных томов генерация всех отчетов займет довольно ощутимое время. Некоторые отче­ ты имеют дополнительные параметры, допускающие модификацию. Напри­мер, если вы выбрали отчет Quota Usage, то можете щелкнуть на кнопке Edit Parameters (Редактировать параметры) и изменить минимальный показатель
использования квоты, который будет включен в отчет.
2. Выберите отчеты, подлежащие генерации, и отметьте флажки возле форматов,
в которых хотите получить эти отчеты. Диалоговое окно будет выглядеть при­
мерно так, как показано на рис. 13.28.

3. Перейдите на вкладку Scope (Область действия).
На этой вкладке необходимо выбрать тип данных, которые будуr накапливать­
ся в отчетах.
4. Сделайте выбор типов файлов и щелкните на кнопке Add (Добавить).
Откроется диалоговое окно, в котором можно перейти к нужным папкам и добавить их дЛЯ формирования отчетов.
5. Выберите папки и щелкните на кнопке ОК.
Последней вкладкой диалогового окна Storage Reports Task Properties (Свойс­тва задачи генерации отчетов по хранилищу) является Delivery (Доставка). Отчеты можно отправить по электронной почте администратору.
6. Просто отметьте флажок и укажите адрес электронной почты лица, которому
должны быть отправлены отчеты.
Это особенно удобно дЛЯ отчетов, генерируемых по графику. Например, мож­
но генерировать все отчеты в воскресенье и обеспечить их отправку по элект­
ронной почте в понедельник уrром мя просмотра.
7. В диалоговом окне Generate Storage Reports (Генерация отчетов по хранили­щу) выберите переключатель Generate Reports in the Background (Генерировать отчеты в фоновом режиме) и щелкните на кнопке ОК.
В результате будет создана задача генерации отчетов, которая удалится после
своего завершения. По умолчанию в диалоговом окне выбран переключатель
Wait for the reports to generate and then display them (Ожидать генерации от­четов и затем отобразить их).
Вы можете отслеживать выполнение задачи, а
после ее завершения отчеты отобразятся. Стандартным местоположением дnя
локального сохранения отчетов на сервере является \с$ StorageReports
Interactive. В зависимости от объема данных в отчетах выполнение может
потребовать нескольких минуr.
8. Пока задача генерации отчетов выполняется, щелкните правой кнопкой мыши
на узле Storage Reports Management и выберите в контекстном меню пункт
Schedule а New Report Task (Запланировать новую задачу генерации отчетов).
9. На вкладке Settings назначьте новой запланированной задаче генерации отче­тов подходящее имя, укажите виды отчетов, подлежащие генерации, и выберите форматы этих отчетов.
1 О. Перейдите на вкладку Scope.
Здесь необходимо выбрать тип данных и папки, дnя которых будуr формиро­
ваться отчеты.
1 1 . На вкладке Delivery отметьте флажок и укажите адрес электронной почты дnя еженедельной отправки отчетов.
Для любых уведомлений по электронной почте, предоставляемых FSRM, потребуется соответствующим образом сконфигурированный сервер SMTP.
12. По умолчанию на вкладке Schedule (График) выбран переключатель Weekly
(Еженедельно), отмечен флажок Sunday (Воскресенье), а в поле Run at
(Запускать в) указано 5:00:00 утра (рис. 1 3.29).

Новый график теперь отображается в окне FSRM с раскрытым узлом Storage
Reports Management. При наличии сконфигурированного сервера SMTP, щелкните правой кнопкой мыши на задаче и запустите ее, чтобы протестировать
выполненную работу.
ОТСЛЕЖИВАЙТЕ ПОТРЕБЛЕНИЕ ДИСКОВОГО ПРОСТРАНСТВА ОТЧЕТАМИ
Если вы создаете график генераuии отчетов, который будет создавать файлы от­
четов в вашей системе, то должны отслеживать объем пространства, занимаемо­
го отчетами. При наихудшем сценарии график генерации отчетов сформирован, и
отчеты регулярно создаются, постоянно потребляя дисковое пространство. Чтобы
снизить это влияние на функционирование сервера, можно изменить стандартное
местоположение отчетов, модифицировав настройки на вкладке Report Locations
(Местоположения для отчетов) в окне параметров File Server Resoшce Manager.
К этому моменту созданная ранее задача генерации отчетов должна завер­
шиться.
14. Перейдите к отчетам, расположенным в папке %systemdrive%StorageReports
Interacti ve, используя для этого проводник Windows.
15. Дважды щелкните на сгенерированных НТМL-файлах, чтобы просмотреть до­
ступную в них информацию. Дважды щелкните на текстовых файлах, чтобы
взглянуть, как отображается информация внутри них.
Как видите, диспетчер FSRM предлагает развитые возможности построения
отчетов.

Параметры File server Resource мanager

Дтя модификации доступно множество параметров FSRM. Параметры на вклад­ке Email Notifications (Уведомления по электронной почте) должны быть сконфигурированы, прежде чем вы сможете пользоваться любыми почтовыми возможнос­тями сервера. Чтобы открыть диалоговое окно настройки параметров, щелкните правой кнопкой мыши на элементе File Server Resource Manager (Диспетчер ресур­сов файлового сервера) внутри диспетчера серверов и выберите в контекстном менюпункт Configure Options (Конфигурировать параметры). Откроется диалоговое окно свойств с семью вкладками.
• Email Notifications (Уведомления по электронной почте).
Если вы хотите ис­пользовать уведомления по электронной почте, то должны ввести имя или 1Р-адрес сервера SMTP, который будет принимать почтовые отправления отвашего сервера.
На этой вкладке вы также вводите стандартный адрес элект­ронной почты для получателя-администратора и стандартный адрес From (От).
Чтобы удостовериться о корректности сконфигурированных настроек, можно
отправить тестовое сообщение электронной почты.
• Notification Limits (Лимиты для уведомлений). После того, как порог (такой как потребление 85% пространства на диске) достигнут, он остается актуаль­ным до тех пор, пока не будет предпринято какое-то действие.
Вместо того чтобы досаждать пользователю уведомлениями каждые 30 секунд, вы можете установить лимиты времени в минутах для таких уведомлений. По умолчанию для каждой реакции на достижение порога — уведомлению по электронной почте, записи в журнал событий и генерации отчетов — отводится 60 минут.
• Storage Reports (Отчеты по хранилищу). Многие отчеты имеют параметры,
которые можно модифицировать. Каждый параметр, допускающий измене­
ние, имеет стандартное начальное значение, которое может быть установлено
на этой вкладке.
• Report Locations (Местоположе1П1я для отчетов). Отчеты сохраняются в стан­дартных местоположениях на системном диске
Внутри папки % systerndri ve% StorageReports создаются три подпапки:
Incident (.!UIЯ уведомлений), Scheduled (для запланированных задач генера­ции отчетов) и Interact ive (для отчетов, генерируемых по требованию).
На этой вкладке можно изменить стандартные местоположения мя любых отчетов.
• File Screen Audit (Аудит блокировки файлов). На этой вкладке присутству­ет единственный флажок Record file screening activity in an auditing database
(Записывать действия по блокировке файлов в базу данных аудита). Если он
отмечен, действия блокировки будут фиксироваться в базе данных с целью
дальнейшего изучения с помощью отчета по аудиту блокировки файлов.
• Automatic Classification (Автоматическая классификация). Файлами можно уп­равлять на основе свойств классификации и создаваемых вами правил, а не на
базе того, где эти файлы находятся в дереве каталогов. Если вы используете уп­равление классификацией (это делают немногие), можете на данной вкладке со­здать расписание для применения правил классификации и генерации отчетов.
Дополнительные сведения о классификации файлов приведены в следующей
статье TechNet: http: / /technet . rnicrosoft . corn/library /dd7 587 65 . aspx.

• Access-Denied Assistance (Помощь при запрете доступа). Пояоиошаяся в вер­
сии Windows Se!V’er 2012 вкладка Access-Denied Assistance позволяет настраи­оать собственное сообщение об ошибке запрета доступа, которое отображается пользователю, не имеющему подходящих разрешений дпя доступа к опреде­ленной папке или файлу.
Кроме того, можно предоставить пользователям воз­можность запрашивать помощь прямо из сообщения об ошибке, щелкая на
гиперссылке. Это очень удобная функция.
Хотя NTFS — великолепная файловая система, включающая такие дополнитель­
ные средства, как квоты NTFS, вы можете получить намного больше возможностей
за счет использования диспетчера FSRM. Если вы управляете файловым сервером,
полезно ознакомиться с этими дополнительными средствами.

Протокол sмв 3.0

Блок сообщений сервера (Se!V’er Message Block — SMB) — это сетевой прото­
кол уровня приложений, который применяется в основном для предоставления
общего доступа к файлам, принтерам, портам и коммуникациям между машинами
в сети. На протокол SMB обычно ссылаются как на общую файловую систему для
Интернета (Common fntemet File System — CfFS).
Этот протокол используется глав­ным образом с операционными системами Windows и служит основой для реализа­ции распределенной файловой системы (Distгibuted File System) от Microsoft.
В текущей редакции сервера протокол SMB 3.0 несколько изменился. Многие
новые функuии делают этот протокол надежной и высокопроизводительной альтер­
нативой применению устройств Fibre Channel и iSCSI. Давайте рассмотрим некото­рые новые возможности.
• Обход О1ЮL3З транспорта SMB. Эта возможность позволяет администраторам про­водить обслуживание на кластеризированных компьютерах без необходимости в каком-либо простое. В случае обхода отказа в кластере клиенты SMB 3.0 будут ав­томатически подключены к другой кластеризированной машине, не теряя доступ к общим файловым ресурсам, которые они использовали. Кластеризированные машины файловых серверов устраняют единую точку отказа, когда имеется толь­ко один файловый сервер или некластеризированная среда.
• Масштабирование SMB. Клиенты SMB больше не ограничены полосой про­
пускания одиночного узла кластера.
Кластеризированные машины баланси­руют нагрузку между собой с применением своих собранных вместе ресурсов.
Не каждый сервер в кластере файловых серверов является активным узлом,
обслуживающим содержимое для клиентов. Масштабируемые общие файло­
вые ресурсы SMB всегда сконфигурированы с набором свойств Continuously
AvailaЬe (Постоянная готовность).
• Многоканальность SMB. Данная возможность позволяет файловым серверам
использовать несколько сетевых подключений одновременно, что значительно
увеличивает полосу пропускания, т.к. можно передавать больше данных через
множество высокоскоростных сетевых адаптеров в одно и то же время. Это
также означает наличие нового уровня отказоустойчивости в сети. Применяя
несколько подключений одновременно, клиенты продолжат бесперебойную
работу в случае утери какого-то одного подключения.
Еще одним преимуществом многоканальности SMB является автоматическое обнаружение.
Это средство будет обнаруживать наличие доступных сетевых путей и динамически добавлять подключения по мере надобности.
• Протокол SMB Direct. Протокол SMB Direct — это новый транспортный про­
токол для SMB 3.0, который разрешает прямую передачу данных между серве­
рами с минимальным участием центрального процессора и низкой задержкой,
когда имеются сетевые адаптеры с поддержкой RDMA (remote direct memory
access — удаленный прямой доступ в память). Сетевой файловый сервер ста­
новится способным к размещению локального хранилища для приложений,
подобных Microsoft SQL Server 201 2 и Microsoft Hyper-V.
+ Командлеты Windows PowerShell и объекты WМI для SMB. Крупным преиму­
ществом в Windows Server 201 2 является то, что все управляющие командлеты
PowerShel теперь включены в состав операционной системы. Новые коман­
длеты SMB позволяют администраторам управлять и отслеживать файловые
серверы и общие файловые ресурсы. Вы можете также написать сценарии для
автоматизации общих задач администрирования файлового сервера. Благодаря
новым объектам WMI, разработчики извлекают выгоду из возможности со­
здания автоматизированных решений для конфигурирования и мониторинга
файлового сервера.
• Шифрование SMB. Эта новая функция позволяет шифровать данные на ходу
на основе файлов или общих ресурсов. Она защитит передаваемые данные
от перехвата или подделки без протокола 1 Psec или любого дополнительно­
го выделенного оборудования. Шифрование SMB также очень удобно, когда
удаленные пользователи пытаются получить доступ к данным из незащищен­
ных сетей.
Оно обеспечит защиту данных при их передаче из ресурсов корпо­
ративной сети в незащищенную удаленную сеть пользователя. Ранее в главе
мы включали шифрование SMB путем отметки соответствующего флажка на
экране Other Settings (Другие настройки) мастера создания общего ресурса
(New Share Wizard) при выполнении упражнения по созданию новых общих
ресурсов.
Эту функцию можно также включить прямо в диспетчере серверов,
не прибегая к помощи мастера.
+ Аренда каталогов SMB. Данная функция использует BranchCache для предо­
ставления более быстрого доступа к документам через сети WAN, которым
присуща высокая задержка.
Аренда каталогов сокращает количество полных
циклов коммуникации между клиентом и сервером через WAN. Клиент ке­ширует метаданные каталогов и файлов в согласованной манере на более дли­
тельные периоды времени.
Когда информация изменяется, сервер уведомля­ет клиента и инициирует синхронизацию, которая обновит кеш клиента.
Эта функция спроектирована для работы с домашними папками пользователей и
опубликованными общими ресурсами.

Хотя здесь бьmи подчеркнуты некоторые важные возможности SMB 3.0, мы определен­но не раскрыли абсолютно все. Если вы желаете ознакомиться с полной спецификаци­ей протокола, проследуйте по ссьшке http : //support .microsoft . com/kЬ/2709568.

Совместимость с версиями sмв 2.0 и sмв 1 .0

Для обеспечения обратной совместимости новейшие операuионные системы
поддерживают версии протокола SMB 2.0 и SM В 1 .0. Чтобы получить полную от­
дачу от функuий, доступных в SMB 3.0, и на сервере, и на клиенте должна быть
возможность применения SMB 3.0.
В табл. 13.3 показаны версии операuионных систем и поддерживаемые ими версии протокола SMB. Сопоставив серверную ОС в верхней строке с клиентской ОС в левом столбuе таблиuы, вы получите версию SMB, которая будет использоваться во время взаимодействия.
Например, если вы выберете Windows Server 2008 R2 в верхней строке и Windows 7 в левом столбuе, то на пересечении будет указано.
что самой высокой поддерживаемой версией прото­кола яnляется SM В 2.1 .
Таблица 13.3. Версии операционных систем и поддержка протокола SMB
Кnиентская/ серверная Windows & Windows 7 Windows Vista Предшествую-
операционная система Windows Server Windows Windows щие версии
2012 R2 Server 2008 R2 Server 2008 Windows
Windows 8 SMB 3.0 SMB 2. 1 SMB 2.0 SMB 1 .0
Windows Server 2012 R2
Windows 7 SMB 2.1 SMB 2.1 SMB 2.0 SMB 1.0
Windows Server 2008 R2
Windows Vista SMB 2.0 SMB 2.0 SMB 2.0 SMB 1.0
Windows Server 2008
Предшествующие версии Windows SMB 1 .0 SMB 1.0 SMB 1.0 SMB 1 .0
Версия SMB 3.0 применяется всякий раз, когда это возможно мя клиентов, которые ее поддерживают. Поскольку SMB 3.0 не поддерживается другими операuи­онными системами (такими как Windows 7 или Windows Server 2008), более новые клиенты могут использовать старые версии протокола при взаимодействии с унасле­дованными машинами.
Хорошая новость в том, что все это делается автоматически.
Вам не придется предпринимать какие-то действия по конфигурированию, чтобы
задействовать SMB 3.0 либо переключиться обратно на SMB 2.0 или SMB 1.0 для
унаследованных клиентов. Вот что автоматически происходит в отношении SMB:
• если оба клиента поддерживают SMB 3.0, то SMB 3.0 будет применяться автоматически;
• если один из клиентов не поддерживает SMB 3.0 (например, Windows 7), то
для этого сеанса будет использоваться версия SM В, поддерживаемая этой ОС
(SMB 2.1 в данном примере).
Вероятно, вы уже слышали о маркетинговых кампаниях «Вместе лучше» («Better
Togetl1er»), про в одимых Microsoft. Это не просто маркетинг ради маркетинга.
Протокол SMB является одним из примеров, где вы по-настоящему получите более
высокую производительность, сочетая вместе новые технологии. В сети с серверами Windows Server 2012 R2, но с рабочими столами Windows 7 версия протокола SMB 3.0 применяться не сможет. Если это занятая сеть, то разница окажется заметной.

Безопасность sмв

В этой редакции сервера в реализацию SMB 3.0 было внесено несколько улучшений, касающихся безопасности. Протокол SMB 3.0 получил новый алгоритм ДllЯ подписи SMB под названием AES-CMAC.
Алгоритм СМАС (Cipher-based Message Authentication Code — код аутентификации сообщений, основанный на шифре) ба­зируется на блочном шифре с симметричным ключом (AES (Advanced Encryption Staпdard — расширенный стандарт шифрования)), тогда как алгоритм НМАС, ис­пользуемый в SM В 2.0, основан на хеш-функции (SHA (Secure Hash Algorithm -алгоритм безопасного хеширования)).
Стандарт AES был спецификацией, официаль­но принятой правительством США в 2002 году, и одобрен Агентством национальной безопасности ДllЯ шифрования совершенно секретной информации.
Алгоритм AES-CMAC обеспечивает более строгую гарантию целостности дан­
ных, чем контрольная сумма или код обнаружения ошибок. Алгоритм СМАС пред­
назначен для обнаружения преднамеренных, неавторизованных изменений данных, а также случайных изменений. Верификация с помощью кода обнаружения ошибок или контрольной суммы позволяет выявить только случайные изменения данных.
Алгоритм НМАС SHA-256, применяемый в SMB 2.0, поддерживает целостность
данных — гарантию того, что данные не были модифицированы. Хотя SMB 1 .0 так­же обеспечивает целостность данных, безопасность в Н МАС SHA-256 выше, а в AES-CMAC — еще выше.
Хеш — это просто число, созданное путем выполнения алгоритма хеширования
над пакетом, сообщением или файлом. До тех пор пока пакет остается тем же са­мым (не изменяется), алгоритм хеширования будет всегда давать один и тот же хеш (одинаковое число).
В общем, хеш обеспечивает целостность данных для пакетов,
сообщений или файлов, следуя описанным ниже шагам.
1. Создание пакета.
2. Вычисление хеша для пакета.
3. Отправка пакета и хеша получателю.
4. Получатель вычисляет хеш полученного пакета и сравнивает его с получен­ным хешем.
• Если хеши совпадают, целостность данных соблюдена.
• Если хеши отличаются, целостность данных утеряна. Это может произойти
из-за того, что атакующий изменил данные, или просто потому, что биты FIO
время транспортировки потерялись.
Тем не менее, если атакующий может модифицировать данные в пути, то почему
бы ему не изменить также и хеш во время передачи? Чтобы воспрепятствовать это­му, хеш шифруется с помощью ключа сеанса, известного только клиенту и серверу.
Такой процесс называется цифровы.t1 подписанием пакета в SMB 1 .0 и SMB 2.0. Он выглядит следующим образом.
1. Создание пакета.
2. Вычисление хеша для пакета.
3. Шифрование хеша помощью ключа сеанса (или общего ключа).
4. Отправка пакета с зашифрованным хешем.

5. Получатель расшифровывает зашифрованный хеш.
6. Получатель вычисляет хеш полученного пакета.
7. Получатель сравнивает два хеша, чтобы выяснить, не утеряна ли целост­ность данных.
Включение цифрового подписания для пакетов SMB 1 .0 может снизить производительность на 10-1 5%. Хотя вы по-прежнему столкнетесь с падением произво­дительности в SMB 2.0, она не настолько значительна. Одна из основных причин связана с упрощением SMB 2.0, в результате чего меньше пакетов отправляется и меньше пакетов нуждается в подписании.

внедрение BitLocker

Шифрование дисков BitLocker (BitLocker Drive Encryption) — это технология,
предназначенная для обеспечения защиты целых дисковых накопителей. Более но­
вой технологией является BitLocker То Go, которая появилась в Windows 7 и позво­ляет шифровать флэш-накопители USB.
Здесь мы сосредоточим внимание на ис­пользовании BitLocker Drive Encryption для защиты дисков в Windows Server 2012.
Основное предназначение BitLocker заключается в шифровании данных на жес­
тких дисках, чтобы в случае их похищения или утери данные были недоступными.
Это часто применяется на ноутбуках и серверах, расположенных в местах со слабой физической защитой. Ноутбуки легко украсть — люди часто оставляют их в конфе­ ренц-залах на время обеда или забывают их на стульях, откуда они быстро исчезают.
Подобным же образом серверы, находящиеся в удаленных офисах, часто слабо
защищены физически — во всяком случае, слабее, чем в головном офисе. Возможно, главная серверная комната очень хорошо физически защищена, но сервер в удален­ном офисе может скрываться за дверцами шкафа, которые легко открыть ломиком или даже кредитной карточкой.
BпLoCKER УСИЛИВАЕТ ФИЗИЧЕСКУЮ ЗАЩИТУ
BitLocker усиливает физическую защиту, но не может противостоять всем возмож­ным атакам. Вредоносное программное обеспечение, такое как руткиты, может ор­ганизовать в системе слабые места, которые сделают возможным доступ к данным, если компьютер впоследствии будет похищен.
Кроме того, если дисковые устройства на выведенном из эксплуатации серве­ре не очищены, они могут содержать данные, делиться которыми нежелательно.
BitLocker защитит эти данные от несанкционированного использования.
На первый взгляд, может показаться, что данные на этих дисках защищены пос­
редством разрешений.
Однако атакующий может настроить домен и поместить свою
учетную запись в группу Enterprise Admins (Администраторы предприятия).
Имея физический доступ к серверу, он затем может изъять дисковое устройство из сервера, установить его на свой сервер и легко получить права владения над всеми файлами.
После этого он будет владеть всеми вашими данными. Тем не менее, если файлы зашифрованы, атакующему будет намного труднее получить доступ к дан­ным — мы не решаемся утверждать о полной невозможности доступа, но сам факт шифрования вполне может отпугнуть большинство атакующих.

что нового в BitLocker

В Microsoft добавили к BitLocker несколько впечатляющих новых функций в версиях Windows 8 и Windows Server 2012. Теперь средство BitLocker может быть настро­ено перед установкой, и тогда шифрование понадобится только для используемого
дискового пространства. Это сэкономит массу времени на обеих сторонах установ­ки.
Одним из недостатков первоначального выпуска BitLocker было длительное
время, затрачиваемое на шифрование диска. Очень приятно видеть значительный
рост производительности в данной редакции BitLocker. Ниже перечислены новые
возможности и функции последнего выпуска.
• Настройка BitLocker. За счет применения среды предустановки Windows
(Windows Preinstallation Environment — WinPE) администраторы теперь могут
включить BitLocker перед развертыванием операционной системы.
• Шифрование только используемого дискового пространства. Эта функция позво­ляет выполнять шифрование гораздо быстрее за счет того, что ему подвергает­ся только используемое дисковое пространство. Доступны два метода шифро­вания: Full Volume Encryption (Шифрование полного тома) и Used Disk Space Only (Только используемое дисковое пространство).
• Возможность изменения РIN-кода и пароля стандартными пользователями. Для
конфигурирования BitLocker по-прежнему требуются административные при­
вилегии, но теперь стандартным пользователям предоставлена возможность
изменять РIN-код или пароль для тома операционной системы либо тома
фиксированных данных по умолчанию.
• Защита Network Unlock. В Windows Server 201 2 R2 появилась новая опция за­щиты BitLocker для томов операционной системы — Network Unlock. Машины
домена, присоединенные к доверенной проводной сети, могут иметь разбло­
кированный системный том сразу после загрузки системы. Это очень удобно в
случае утери РlN-кода.
• Поддержка зашифрованных жестких дисков для Windows. Версии Windows 8 и
Windows Server 2012 теперь содержат поддержку BitLocker для зашифрованных
жестких дисков. BitLocker будет поддерживать заранее зашифрованные жест­
кие диски Windows от производителя.
• Шифрование для кластеризированных общих томов. Шифрование томов
Bitlocker поддерживается для кластеров с обходом отказа, которые функци­
онируют под управлением Windows Server 201 2 R2. В среде Active Directory,
работающей на функциональном уровне домена Windows Server 201 2, тради­
ционные кластеризированные диски и кластеризированные общие тома могут
применять шифрование на уровне томов, предоставляемое BitLocker.
Каждыйузел выполняет расшифровку, используя учетную запись компьютера, которая называется объектом имени кластера (custer name object — CNO). Это дела­ет возможной физическую защиту развертывания за пределами защищенного
центра данных и помогает удовлетворять требованиям соответствия мя шиф­
рования на уровне томов.

Требования к оборудованию

Для обеспечения наилучшей защиты оборудование должно включать криптопро­
цессор Trusted Platform Module (ТРМ) версии 1 .2, представляющий собой встроен­ный в компьютер аппаратный компонент, который обычно находится на материнс­кой плате.
Если в системе имеется ТРМ 1 .2 и средство BitLocker включено, система будет
выполнять проверку целостности во время заrрузки. Если она обнаруживает изме­нения в оборудовании, указывающие на то, что жесткий диск находится на друrом
компьютере, устройство блокируется и пребывает в таком состоянии до тех пор,
пока не будет вручную разблокировано с применением ключа восстановления.
Тем не менее, на многих компьютерах ТРМ 1 .2 отсутствует.
Существуют аль­тернативы, которыми можно воспользоваться дпя шифрования дисков с помощью ВitLocker.
• Пароль. Средство BitLocker может шифровать диск, а дпя его разблокирования
применяется пароль.
• Смарт-карта. Средство BitLocker может шифровать диск, а дпя его разблоки­
рования используется смарт-карта с РIN-кодом.
Вариант ТРМ, пароля или смарт-карты выбирается при включении BitLocker на
конкретном диске. На рис. 1 3.30 система не имеет ТРМ, так что присутствуют толь­ко опции пароля и смарт-карты.
Также возможно выбрать опцию автоматического разблокирования диска при
доступе из того же самого компьютера. Это требует, чтобы диск, на котором нахо­дится Windows, был также защищен посредством ВitLocker. При таком использова­нии шифрование будет видимым только при переносе диска на другой компьютер
(или в случае изменения оборудования на текущем компьютере, достаточного дпя
того, чтобы средство BitLocker посчитало, что диск был перемещен).

Средство BitLocker может быть внедрено в разделах без шифрования всего диска.
Например, если система имеет единственный физический жесткий диск, разбитый
на два раздела (с и D), вы можете заблокировать диск о с помощью BitLocker, не
блокируя диск с.
Ключ восстановления
Ключ восстановления BitLocker может применяться, если ТРМ обнаруживает,
что диск был перемещен на другой компьютер. Как только криптопроцессор ТРМ
определяет факт переноса (либо изменения оборудования), он блокирует диск до тех пор, пока он не будет разблокирован с использованием ключа восстановления.
BitLocker поддерживает механизм восстановления на случай, если пароль забыл
или смарт-карты утеряна. В Microsoft рекомендуют сохранить ключ восстановления
в Active Directory Domain Services, записать его в файл, распечатать его или хранить
в надежном месте. Мастер BitLocker предоставляет три опции:
• сохранить ключ восстановления на флэш-накопитель USB;
• сохранить ключ восстановления в файл;
• распечатать ключ восстановления.
Этот ключ должен быть защищен на уровне, сопоставимом с данными, хранящи­мися на диске. Другими словами, если на вашем диске имеются секретные патентованные данные, то защищайте ключ восстановления подобно тому, как защищаете эти данные.

включение BitLocker

По умолчанию средство BitLocker не включено. Перед тем как BitLocker мож­
но будет включить, вы должны добавить компонент BitLocker Drive Encryption
(Шифрование диска BitLocker). Вспомните упражнение по добавлению ролей в на­
чале этой главы: мы уже включили роль BitLocker. При желании освежить память
можете возвратиться и просмотреть упражнение еще раз. В перечисленных ниже
шагах предполагается, что в системе отсутствует ТРМ 1.2, а роль BitLocker уже уста­новлена на сервере.
1 . Откройте панель управления и щелкните на значке System and Security
(Система и безопасность).
В центре системы и безопасности (System and Security Center) вы должны уви­
деть компонент BitLocker Drive Encryption. Если он отсутствует, значит, этот
компонент не был добавлен.
Поиск в ПАНЕЛИ УПРАВЛЕНИЯ
В панели управления имеется одна изящная функция, которая очень полезна, но на
нее часто не обращают внимания. В правом верхнем углу окна расположено поле
поиска. В нем можно вводить любой поисковый термин (такой как BitLocker или
User), и в окне будут отображаться только подходящие значки. Поиск в панели уп­равления доступен также в Windows Vista, Windows 7, Windows 8 и Windows Server
2008. Аналогичная функция поиска не помешала бы и в групповой политике.
2. Щелкните на значке BitLocker Drive Encryption (Шифрование диска BitLocker).
3. Щелкните на ссылке Turn оп Bitlocker (Включить BitLocker).
Откроется начальный экран Bitlocker Drive Encryption (Шифрование диска Bit­
Locker), который позволяет выбрать способ разблокирования этого диска. При
отсутствии ТРМ доступны две опции: Use а password to unlock the drive (Ис­
пользовать пароль для снятия блокировки диска) и Use а smart card to unlock
the drive (Использовать смарт-карту для снятия блокировки диска).
4. Отметьте флажок Use а password to unlock the drive и введите пароль в двух полях. В качестве альтернативы, если у вас есть смарт-карта и система поддерживает работу со смарт-картами, можете отметить флажок Use а smart card to unlock the drive.
5. Щелкните на кнопке Next (Далее).
6. Выберите Save the гесоvегу key to а file (Сохранить ключ восстановления в файле). Укажите местоположение мя файла на своем компьютере и щелкните
на кнопке Save (Сохранить).
В идеальном случае этот файл должен быть сохранен на отдельном устройс­
тве (таком как флэш-накопитель USB). При попытке сохранить файл на том
же физическом диске отобразится диалоговое окно с предупреждением, но вы
можете щелкнуть в нем на кнопке Yes (Да), чтобы продолжить.
7. Щелкните на кнопке Next.
На следующем экране можно указать объем дискового пространства, подлежа­
щего шифрованию. Здесь можно выбрать новую опцию Encrypt disk space опlу
(Шифровать только используемое пространство на диске).

Если вы выберете Encrypt entire drive (Шифровать весь диск), то в зависимости
от размера диска процесс может занять продолжительное время. Мы заметили,
что шифрование 1 Гбайт требует около 30 секунд, так что при объеме диска
500 Гбайт у вас появится возможность сделать перерыв.
8. Оставьте все без изменений и щелкните на кнопке Next.
На следующем экране понадобится подтвердить свои намерения зашифровать
ЭТОТ ДИСК.
9. По готовности щелкните на кнопке Start encrypting (Начать шифрование).
Отобразится индикатор хода работ.
10. Дождитесь завершения процесса и щелкните на кнопке Close (Закрыть).
После перезагрузки системы диск оказывается помеченным как зашифрован­
ный и не будет доступен.
1 1 . Вы можете разблокировать этот диск, щелкнув на его значке правой кнопкой мыши и выбрав в контекстном меню пункт Unlock Drive (Снять блокировку с диска), как показано на рис. 13.32. Введите указанный ранее пароль и разбло­кируйте диск.
После разблокирования диска вы можете обращаться к данным обычным об­
разом.
12. Щелкните правой кнопкой мыши на значке диска и выберите в контекстном
меню пункт Manage Bitlocker (Управлять BitLockeг).
Это предоставит возможность изменить пароль и манипулировать другими оп­циями для диска.

В1тLоскЕR То Оо
BitLocker То Go — великолепная возможность, которой легко пользоваться после
того, как на сервер добавлен соответствующий компонент.
1. Откройте окно BitLocker Drive Encryption через панель управления.
2. Вставьте флэш-накопитель USB и щелкните для него на ссылке Turn Оп Bitlocker
(Включить ВitLocker).
3. Введите пароль, сохраните ключ восстановления и затем щелкните на кнопке Start encrypting (Начать шифрование).
Если флэш-накопитель переносится на другой компьютер, он перестает читаться.
Однако вы можете вставить флэш-накопитель в другой компьютер и ввести пароль, когда он будет запрошен, после чего вы получите доступ ко всем своим данным.
Хотя это лучше всего работает в Windows 8 или Windows Server 2012 R2, вы можете
получить доступ к своим данным и на других системах, таких как Windows 7, запус­тив программу Bi tLockerToGo . ехе для расшифровки и копирования данных.
Многие организации предпринимают дополнительные меры, чтобы защитить «дан­ные в состоянии покоя», и BitLocker То Go вполне удовлетворяет таким потребностям. Мы ожидаем широкого применения этого средства в ближайшем будущем.

Использование автономных файлов / кеширования на стороне клиента

При наличии в вашей сетевой среде пользователей с ноуrбуками вам наверня­
ка понравится средство Offiine Files (Автономные файлы) или Cient-Side Caching
(Кеширование на стороне клиента); в Microsoft применяют эти названия взаимо­заменяемо.
На самом деле оно будет привлекательным практически ддя всех, кто использует сеть. Средство Offiine Files предоставляет три основных преимущества:
оно позволяет сети выглядеть более быстрой ддя своих пользователей, сглаживает «затормаживания» сети и упрощает задачу синхронизации файлов на ноутбуках с
файлами на сервере.

как работает Offline Files

Средство Offiine Files включено на общих ресурсах, расположенных на сервере.
Оно автоматически кеширует файлы, к которым производится доступ, сохраняя ке­шированные копии в папке на локальном жестком диске (папка вполне ожидаемо
называется Offline Files). Эти кешированные копии затем применяются ддя ус­корения доступа в сеть (или кажущегося доступа в сеть), поскольку последующий доступ к файлу может быть обработан с использованием кешированной копии, а не путем передачи его содержимого через сеть.
Это очень удобно дЛЯ пользователей, находящихся в пути.
Средство Offiine Filesпозволяет кешированным копиям файлов действовать в качестве временной замены сети, если та отсутствует (что нередко бывает у мобильных пользователей) или рабо­тает крайне неустойчиво.
В Offiine Files применяется механизм кеширования со сквозной записью; когда вы записываете файл, он передается в целевое местоположение внутри сети ддя со­хранения, а также кешируется на локальном жестком диске. И когда вы хотите обратиться к файлу, кешированному в Offline Files, средство Offiine Files предпочтет предоставить вам кешированную копию (что быстрее), но сначала проверит, не из­менился ли этот файл на сервере, сравнивая даты, время и размеры его копий на сервере и в кеше. Если они остались одинаковыми, средство Offiine Files без про­блем выдаст файл из кеша; в противном случае Offline Files извлечет копию файла из сети, обеспечив актуальность данных.
Средство Offiine Files увеличивает шансы наличия в кеше новейших копий файлов, выполняя фоновую синхронизацию несколькими способами, которые определяются пользователем. Эта синхронизация поч:ти незаметна для пользователя, кото­рый просто работает с общим ресурсом по сети.
Нам нравится средство Offiine Files по следующим причинам.
• Средство Always Offline Mode (Всегда автономный режим). Это новое настраи­ваемое средство в Windows 8 и Windows Server 201 2 предоставляет пользовате­лям возможность более быстрого доступа к файлам и меньшего расходования полосы пропускания за счет работы всегда в автономном режиме.
В отличие от предшествующих редакций, в которых осуществлялось переключение из онлайнового режима в автономный в зависимости от наличия соединения с
сетью, средство Always Offiine Mode обеспечивает пребывание в автономном
режиме даже при высокоскоростном подключении к сети.
Операционная сис­тема Windows будет автоматически обновлять файлы путем их синхронизации с кешем Offline Files. Это новое средство способствует более высокой произ­водительности дисков. Средство Always Offiine Mode требует, чтобы компью­тер был присоединен к домену и установленного компонента Group Policy Management (Управление групповой политикой).
• Более быстрый доступ. Из-за того, что часто используемые кешированные фай­лы будут располагаться на локальном жестком диске в лапке Offline Files,
вы немедленно заметите увеличение скорости реакции сети.
Открытие файла,который выглядит как находящийся в сети, но в действительности хранится в папке на локальном диске, дает очевидные и значительные улучшения време­ни отклика. поскольку требуется лишь небольшая активность со стороны сети либо она вовсе отсутствует.
• Сокращенный сетевой трафик. Так как кешированные файлы не нуждаются в
повторной переда’Jе по локальной сети, сетевой трафик сокращается. Наличие
часто используемых файлов в локальной папке кеша также решает проблему,
когда необходим файл из сервера, а доступ в сеть отсутствует.
Если вы пыта­етесь обратиться к файлу на сервере, который не отвечает (или вы физически не подключены к сети), средство Offiine Files перейдет в «автономный» режим.
В этом режиме Offiine Files просматривает кеш Offiine Files и если находит в нем копию требуемого файла, то предоставляет ее вам, как будто бы сервер
функционирует и соединен с рабочей станцией.
• Автоматическая синхронизация. Если вам когда-либо приходилось находиться
в командировке, то вы знаете две наихудших вещи, которые могут произой­ти при поездке с ноутбуком: когда внезапно обнаруживается, что вы забыли
один или два важных файла, или досаждают переживания по поводу того, что
по возврашении нужно не забыть скопировать измененные вами файлы.
Средство OПline Files значительно уменьшает шанс возникновении первой из двух проблем, потому что можно сконфигурировать аrпоматическое копирование часто используемых файлов в локальную папку кеша сети.
Автоматизаuия проuесса синхронизаuии ноутбука с серверами су­щественно снижает объем работ при выполнении второй задачи.

вranchCache

Технология BranchCache предназначена пля оптимизании доступности данных в
офисах филиалов, которые подключаются через мепленные каналы WAN. Средство
BranchCache, когда оно включено, позволяет данным кешироваться на компьютерах в офисе филиала и применяться другими компьютерами в этом офисе.
Предположим, что компания имеет головной офис, находящийся в Колорадо Спрингс, и офис филиала, расположенный в Тампе и соединенный мепленным каналом связи.
Когда пользователям из Тампы необходим доступ к данным, открытым на сервере в Колорадо-Спрингс, им приходится подключапся через канал WAN,
даже если они просто открыли и сразу же закрыли файл.
Благодаря BranchCache, файлы могут кешироваться на каком-то компьютере в
удаленном офисе после первого обращения к ним.
Пользователи, которым нужен файл, впоследствии могут получать доступ к его локально кешированной копии.
BranchCache по-прежнему проверяет актуальность кешированной версии файла, но
короткая проверка метки времени по каналу связи происходит намного быстрее,
чем повторная загрузка всего содержимого файла.
Средство BranchCache поддерживает два режима.
• Режим размещенного кеша (Hosted СасЬе). Данные размещаются на одном или
большем числе серверов в удаленном офисе с установленной операuионной
системой Windows Server 2008 R2 или более новой версии, такой как Windows
Server 2012 R2.
• Режим распределенного кеша (Distributed Cache). Данные размешаются на ком­пьютерах в офисе филиала. Необходимость в сервере отсутствует, но данные мо­гут кешироваться только на компьютерах с Windows 7 и Windows 8. Более старыеверсии клиентских операционных систем для размещения кеша непригодны.
Средство BranchCache поддерживается на серверах Windows Server 2008 R2,
Windows Server 2012 и Windows Server 2012 R2, а также на клиентах Windows Yista, Windows 7 и Windows 8. Включить BranchCache на серверах, предшествующих Windows Server 2008 R2, или на клиентах с версией ОС, более ранней, чем Windows Vista, не удастся. В режиме Distributed Cache данные будут кешироваться только накомпьютерах Windows 7 и Windows 8, но компьютеры с Windows Vista по-прежнему будут иметь доступ к данным, кешированным с помощью BranchCache, несмотря на то, что машины с Windows Vista не могут выступать в качестве хостов.
Прежде чем средство BranchCache может быть включено, оно должно быть добавлено как служ­ба роли внутри роли File and Storage Services.
В групповой политике (Group Policy) предусмотрено несколько настроек, кото­
рые можно использовать пля включения и управления BranchCache. Эти настройки
находятся в узле Computer ConfigurationPoliciesAdministrative TemplatesNetwork BranchCache (Конфигурация компьютера Политики Административные шабло­ны Сеть BranchCache) групповой политики.

включение средства Offline Files на сервере

Средство Offiine Files включается на сервере относительно легко. Доступны
два способа включения кеширования общего ресурса. Это можно сделать на экра­
не Other Settings (Друтие настройки) мастера создания общего ресурса (New Share Wizard) при создании нового общего ресурса, а если общий ресурс уже создан, то можно изменить его свойства.
1 . Запустите диспетчер серверов и перейдите на вкладку Shares (Общие ресурсы)
для роли File and Storage Services, где вы увидите все общие ресурсы, которые в настоящее время открыты в сети.
2. Щелкните правой кнопкой мыши на любом общем ресурсе и выберите в кон­
текстном меню пункт Properties (Свойства).
3. Щелкните на кнопке Settings ( Настройки) и в открывшемся диалоговом
окне перейдите на вкладку Caching (Кеширование).
Диалоговое окно будет выглядеть подобно показанному на рис. 1 3.33. Здесь вы можете включить кеширование общего ресурса и средство BranchCache, если оно еще не было включено.

Хотя в этом разделе объяснялось средство Offiine Files, и было показано, каким
образом его конфигурировать на сервере, его необходимо сконфигурировать так­
же на стороне клиента. В разных клиентских операционных системах (Windows ХР,
Windows Vista, Windows 7 и Windows это делается по-разному.

Ниже приведены ссылки, по которым доступны описания для различных клиен­тов.
Windows ХР:
http : //support . microsoft . com/kЬ/307853
Windows Vista:
http : //windows . microsoft . com/en-US/windows-vista /Wo�king-with-net�ork­files-when-you-are-offline
Windows 7:
http : //www . windows7update . com/Windows7-0ffline-Files . html
Window 8:
http : / /technet . microsoft . com/en-us /l ibrary/ht8 4 8 2 67