В. В результате отключения электроэнергии произошло аварийное завершение работы моего контроллера домена (DC) Windows 2000. В процессе перезагрузки система «зависла» на сообщении Preparing network connections. Хотя мышь работала и система не была парализована, экран регистрации так и не появился, а клиенты не могли получить доступ к DC и его службам через сеть. Я перезагрузил машину, но впоследствии вновь столкнулся с той же неполадкой. Как быть?

О. Я несколько раз сталкивался с подобной ситуацией. Во всех случаях проблема возникала на сервере Windows 2000. При этом Service Pack 1 (SP1) установлен не был, поэтому я полагаю, что такие сбои свойственны базовой версии продукта.

Одно из возможных решений - установить SP1 и вновь запустить систему. Сначала следует загрузить сервер в режиме Safe Mode. Чтобы перейти в этот режим, нужно нажать F8, когда на экране появляется загрузчик Windows 2000. Режим Safe Mode with Networking использовать не рекомендуется: проблема, по-видимому, связана с сетевой конфигурацией системы, и в этом режиме та же неисправность может проявиться на стадии инициализации сети. Затем нужно зарегистрироваться и установить на машине Windows 2000 SP1. После того как система перезагрузится, все должно работать нормально.

В. Недавно в нашей компании Nets-cape Messaging Server был заменен на Microsoft Exchange Server. Почтовый сервер Netscape отображал весь путь сообщения по Internet, что позволяло блокировать определенные IP-адреса. Теперь же я получаю почту через Exchange Server, и клиент Microsoft Outlook предоставляет мало информации о пути в заголовке сообщения. Можно ли проследить маршрут в Exchange Server?

О. Такую информацию можно получить из нескольких источников. В первую очередь, это клиент Outlook. Для просмотра заголовка сообщения нужно открыть сообщение и выбрать из меню Outlook пункты View, Options. В нижней части окна будет показан заголовок вместе с информацией, которая поможет определить, с какого сервера доставлено сообщение.

Второй источник - журналы почтовой службы Exchange Server Internet Mail Service (IMS), в которые заносятся данные о каждом полученном сообщении. Файлы журналов имеют имена типа lxxxxxxx.log, где xxxxxxx - число; самый большой номер соответствует последнему журналу. Они находятся в папке exchsrvrimcdata log на томе, содержащем файлы журналов Exchange Server. Объем информации в файлах целиком зависит от текущего уровня регистрации диагностических данных IMS. На уровне Minimum ведется сбор информации о входных и выходных соединениях IMS, в том числе об имени или IP-адресе удаленного сервера. Чтобы получить дополнительные сведения о каждом соединении, необходимо повысить уровень регистрации диагностических данных.

Чтобы установить уровень регистрации, следует открыть Microsoft Ex-change Administrator и обратиться к диалоговому окну Properties для машины с Exchange Server или для IMS-сервера. Для этого нужно развернуть контейнер configurationservers узла Ex-change Server, выделить сервер и выбрать из панели меню пункты File, Properties. Или же можно развернуть контейнер соединений configurationservers узла, выделить в списке IMS-сервер и выбрать пункты File, Properties. Перейдя к закладке Diag-nostics Logging окна свойств Properties (см. Экран 1), следует выбрать SMTP Protocol Log в списке Category. Выбрав уровень регистрации Minimum или более высокий, нужно щелкнуть OK. Как и для всех служб Exchange Server, любые изменения режима регистрации диагностических данных IMS вступят в силу лишь после перезапуска службы. Можно также настроить категорию Message Archival на получение копий всех входящих сообщений, в которых имеются данные из заголовков сообщений, в том числе и информация об источнике сообщения. Основной недостаток всех методов сбора диагностических данных служб Ex-change Server - большие затраты дискового пространства: собирая подробную информацию, можно быстро заполнить диск, но это вызывает другие проблемы (например, мешает запустить службы Exchange Server). Таким образом, сбор диагностических данных следует производить на минимальном уровне, необходимом для получения нужной информации.

Экран 1. Уровень регистрации событий SMTP.

Подробнее о сборе диагностических данных Exchange Server можно прочитать в документе Microsoft Exchange Server Maintenance and TroubleShoo-ting на компакт-диске с Exchange Server. Если в процессе установки Exchange Server инсталлированы Ex-change Books Online (BOL), то с помощью этой программы или Microsoft Internet Explorer (IE) можно открыть на машине Exchange Server документ exchsrvrdocsmiscxframsie.htm.

В. Мне необходимо разрешить входящие соединения с клиентами VPN через протоколы PPTP и L2TP (Layer 2 Tunneling Protocol) на сервере Windows 2000 с RRAS. Сервер расположен за брандмауэром. Какие порты необходимо открыть, чтобы на сервер могли проходить нужные типы трафика?

О. Для организации PPTP-соединений VPN следует открыть TCP-порт 1723 для служебного трафика туннеля PPTP и разрешить прохождение пакетов IP Type 47 Generic Routing Encapsulation (GRE), содержащих данные туннеля PPTP, по IP-адресу RRAS-сервера. Если RRAS-сервер на базе PPTP играет роль вызывающего маршрутизатора в VPN-соединениях маршрутизатор-маршрутизатор (соединения ЛВС-ЛВС на базе VPN с другим RRAS-сервером), то необходимо создать на брандмауэре входной фильтр (входное правило), чтобы открыть TCP-порт 1723 в качестве порта источника для RRAS-сервера. Для VPN-соединений L2TP необходимо открыть порт 500 для трафика Internet Key Exchange (IKE) и UDP-порт 1701 для трафика L2TP. Если на выходной трафик наложены ограничения, то необходимо убедиться в том, что все эти порты открыты в нужном направлении, и VPN-сервер может установить связь с удаленными клиентами VPN.

Если трафик VPN - единственный вид разрешенного трафика RRAS-сервера, то лучше запретить все виды трафика, кроме перечисленных выше. Также рекомендуется размещать RRAS-сервер в демилитаризованной зоне (DMZ) сети, а не во внутренней ЛВС. В гл. 9 тома «Internetworking Guide» комплекта ресурсов Microsoft Windows 2000 Server Resource Kit рассказано о том, как правильно настроить брандмауэр в случае использования VPN-серверов.

В. Мне часто приходится устанавливать дополнительные процессоры в системах NT 4.0, на которых используется MPS Uniprocessor PC HAL (Multiprocessor Specification Unipro-cessor PC Hardware Abstraction Layer). До сих пор новые процессоры распознавались автоматически. Недавно в систему Windows 2000 я добавил второй процессор, но утилита Microsoft System Information (запускается вызовом msinfo32.exe или winmsd.exe), как и Device Manager, сообщает, что станция по-прежнему является однопроцессорной. На аппаратном уровне (через системный BIOS) второй процессор отображается. Я убедился, что MPS Uniprocessor PC HAL в системе установлен. В чем может быть проблема?

О. Если в системе установлена х86-совместимая материнская плата, которая поддерживает работу только одного процессора, программа установки и Windows 2000 и Windows NT 4.0 инсталлирует файл Standard PC HAL для х86-платформы. Если материнская плата поддерживает работу нескольких процессоров, но в системе присутствует только один, программа Setup устанавливает другой файл - MPS Uniprocessor PC HAL. В некоторых ситуациях Setup дает сбой при установке MPS Uniprocessor PC HAL в системе, которая может быть многопроцессорной. Кроме того, если в системе используется HAL от независимого производителя или OEM, могут понадобиться дополнительные файлы или специальные процедуры для активизации многопроцессорной поддержки. При установке в системе второго процессора требуется MPS Multiprocessor PC HAL.

Для систем NT 4.0 переход с однопроцессорной конфигурации на многопроцессорную выполняется очень просто, если уже установлен MPS Uniprocessor PC HAL. В этом случае, как правило, новый дополнительный процессор обнаруживается, и происходит автоматическое переключение на MPS Multiprocessor PC HAL.

Для систем Windows 2000 модификация HAL и добавление многопроцессорной поддержки происходят несколько иначе. Процедура обновления HAL для многопроцессорной работы еще проще, и не имеет значения, переходите вы на MPS Multi-processor HAL со Standard PC или с MPS Uniprocessor PC. Но и в том и в другом случае требуется самостоятельно выполнить некоторые действия в Device Manager.

Откройте в Control Panel модуль System, вкладку Hardware и щелкните Device Manager. Раскройте контейнер Computer и дважды щелкните на имени HAL данного компьютера (например, Standard PC). Откроется окно Properties. Перейдите на вкладку Driver и щелкните Update Driver для запуска процедуры Upgrade Device Driver Wizard. Нажмите Next, выберите параметр для отображения списка известных драйверов, выберите MPS Multiprocessor PC и затем щелкните Next для установки нового программного обеспечения. Windows 2000 сообщит о необходимости перезагрузки для завершения всех необходимых изменений. После перезагрузки система должна распознать второй процессор.

В. Я где-то слышал, что в состав Microsoft Windows 2000 Server Resource Kit и Microsoft Windows 2000 Profes-sional Resource Kit включена графическая утилита определения конфигурации TCP/IP, чем-то похожая на известную программу winipcfg.exe для работы с IP-конфигурацией в системах Win-dows Me и Windows 9x. Я просмотрел и тот и другой Resource Kit, а также Microsoft Windows 2000 Resource Kit Supplement 1, но так ничего и нашел. Существует ли такая утилита и где ее можно найти?

О. Все верно, такая утилита есть: в оба пакета входит графическая программа IPConfig (wntipcfg.exe). С ее помощью можно просмотреть подробную информацию о настройках протокола TCP/IP для различных сетевых адаптеров и освободить или обновить DHCP-адреса. Беда в том, что по умолчанию программа инсталляции пакета Resource Kit не устанавливает эту утилиту (то же самое происходило и при инсталляции Microsoft Win-dows NT Server 4.0 Resource Kit). А пакет Microsoft Windows 2000 Resource Kit Supplement 1 и вовсе не содержит эту программу. Остается только спросить разработчиков Microsoft, почему они так поступили с такой полезной утилитой.

Чтобы воспользоваться программой wntipcfg.exe, нужно вручную установить ее с компакт-диска с Resource Kit. Программа находится в каталоге внутри файла netmgmt.cab. Дважды щелкните netmgmt.cab, отыщите wntipcfg.exe и скопируйте ее на свой компьютер. Рекомендую воспользоваться каталогом \%systemroot%system32. А затем просто наберите в командной строке:

wntipcfg

В. Мне не удается отыскать параметр, чтобы включить IP-маршрутизацию в системе Windows 2000 Professional. В Windows NT 4.0 для этого надо было выставить флажок Enable IP Forwarding в модуле Network панели управления Control Panel в окне свойств TCP/IP. Где в Windows 2000 отыскать аналогичную возможность?

О. Действительно, в NT 4.0 включить IP Forwarding (т. е. маршрутизации) было очень легко. Иначе обстоит дело в Windows 2000. Для всего семейства Windows 2000 маршрутизация по умолчанию отключена, и в графическом интерфейсе включить IP Forwar-ding попросту негде. Включается IP Forwarding через реестр.

Запустите regedit.exe и откройте ключ HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesTcpipParameters. Установите значение IPEnableRouter (тип данных REG_DWORD) равным 1 (значение может отсутствовать, тогда его нужно добавить). Изменение затронет все сетевые соединения данной станции. В статье Microsoft «How to Enable TCP/IP Forwarding in Win-dows 2000» по адресу http://support.microsoft.com/support/ kb/articles/q230/0/82.asp приведено подробное описание включения маршрутизации в Windows 2000.

Имейте в виду, что включать IP Forwarding целесообразно для систем Windows 2000 Professional, которые действительно используются как маршрутизаторы. Но это обычно не требуется (и даже не рекомендуется) для станций Windows 2000 Server, на которых работает RRAS, Microsoft Internet Security and Acceleration (ISA) Server 2000, Microsoft Proxy Server или другой маршрутизатор, Internet Proxy или приложение шлюза. Подобные приложения предназначены для обслуживания IP-трафика в различных сетевых интерфейсах и не требуют указанного изменения в реестре.

В. Существует ли простой способ установить соответствие между элементами реестра и различными политиками в редакторе системной политики Windows NT 4.0 (System Policy Editor, SPE - poledit.exe)?

О. Чтобы задать соответствие между системной политикой NT 4.0 и элементом реестра, к которому она относится, можно обратиться к файлу шаблонов .adm, генерирующему файл системной политики (например, ntconfig.pol). Файл .adm содержит разделы, в которых определены индивидуальные политики, отображаемые в SPE. По умолчанию каждый файл политики содержит два .adm-файла - winnt.adm и common.adm, - расположенных в папке \%systemroot%inf системы NT 4.0 (например, C:winntinf). В файл политики могут входить дополнительные файлы шаблонов .adm, с которыми также по-лезно познакомиться. Исследовать .adm-файл можно с помощью текстового редактора, такого, как Notepad или UltraEdit фирмы IDM Computer Solutions (http://www.ultraedit.com), которому лично я отдаю предпочтение.

Зная формат и содержимое .adm-файлов, можно идентифицировать каждую политику, связанные с ней элементы реестра и его возможные значения. Более подробная информация о том, как интерпретировать содержимое файла, рассказано в статье Кэти Ивенс «Доставка изменений реестра» (Windows 2000 Magazine/RE, № 4, 2001). Сведения о структуре и ключевых словах шаблонов приведены в «белой книге» Microsoft «Implemen-ting Profiles and Policies for Windows NT 4.0» (http://www.microsoft.com/ntserver/management/ deployment/planguide/prof_policies.asp.

Тому, кто часто работает с системными политиками NT 4.0, следует обратить внимание на два превосходных инструмента управления политикой от независимых поставщиков: Policy Template Editor фирмы Tools4ever и FAZAM for Windows NT компании FullArmor. Они упрощают процесс просмотра и настройки файлов шаблонов политики и соответствующих системных политик.

Шон Дейли - редактор журнала Windows NT Magazine и президент компании iNTellinet Solutions, занимающейся консалтингом и сетевой интеграцией. Имеет звание MCSE. Последней из его книг была «Optimizing Windows NT». С ним можно связаться по адресу электронной почты: sean@ntsol.com.

Поделитесь материалом с коллегами и друзьями