В.: Долгое время я считал, что NTFS не фрагментируется, подобно файловым системам FAT, но, как выяснилось, фрагментация может быть серьезной проблемой на машинах Windows NT 4.0. Какие меры приняты Microsoft для уменьшения степени фрагментации в Windows 2000?

О.: NTFS 4.0 (NTFS4) распределяет свободное пространство между файлами таким образом, что с увеличением размера файлы не фрагментируются, а занимают смежные свободные сектора. Эта мера предохраняет NTFS от фрагментации до тех пор, пока файлы не займут приблизительно 50% дискового пространства. После этого при сохранении новых файлов диск начинает фрагментироваться.

С появлением в Windows 2000 файловой системы NTFS 5.0 (NTFS5) ситуация не изменилась. Пожалуй, проблема даже стала еще сложнее (более подробно об NTFS5 рассказано в статье Марка Русиновича «Секреты NTFS»). Однако в составе Windows 2000 есть дефрагментатор Disk Defragmentor, упрощенная версия программы Diskeeper компании Executive Soft-ware. Положение можно исправить с помощью этого встроенного инструмента.

В.: Я обслуживаю сеть, состоящую из двух серверов и множества рабочих станций. Оба сервера - Dell PowerEdge 6400 с двумя процессорами Pentium III на 733 МГц, 1 Гбайт оперативной памяти, SCSI-контроллером RAID 5 с пятью жесткими дисками емкостью 36 Гбайт и скоростью вращения шпинделя 10 000 об/мин. Серверы работают с Windows NT Server 4.0 Service Pack 6a (SP6a). Один сервер обслуживает 169 пользователей, другой - 152. Каждая рабочая станция имеет память объемом по крайней мере 128 Мбайт, работает с операционной системой NT Workstation 4.0 с SP6a, антивирусным пакетом VirusScan компании MaAfee и размещенным на серверах офисным комплексом Microsoft Office 2000 Service Release 1 (SR1).

С недавних пор пользователи стали часто получать сообщения об ошибках Dr. Watson при попытках отправить почту из Microsoft Outlook 2000 или редактировании, сохранении и распечатке документов из Microsoft Word. Мне не удается искусственно вызвать эти, видимо, случайные, ошибки: пользователь может столкнуться с пятью ошибками за один день, а затем не встретить ни одной в течение недели. Сбои происходят независимо от того, к какому серверу подключен пользователь, но я полагаю, что оба сервера не имеют максимальной нагрузки.

О.: Я не уверен, что от ошибок Dr. Watson удастся избавиться, не прибегая к проверочным сборкам операционной системы (а в данных условиях это практически невозможно). Тем не менее я полагаю, что причина проблемы - в сети, а не в аппаратных средствах, и хочу дать несколько советов, которые могут оказаться полезными.

Попробуйте изменить базовую среду. Установите Office 2000 на каждой машине и попросите пользователей сохранять файлы в центральных подкаталогах на серверах. Установите Microsoft Exchange Server на одном или обоих серверах, чтобы пользователи работали с Outlook в сочетании с Exchange (если пользователи находятся в географически удаленных точках, они могут получить доступ к центральному файл-серверу и серверу Exchange по коммутируемой линии связи). Кроме того, в сети должны быть только правильно подключенные, корректно настроенные, качественные сетевые принтеры.

В предложенной мной конфигурации права пользователей расширяются, однако администратор может контролировать сеть через учетные записи и полномочия.

В.: Недавно я инсталлировал PPTP на принадлежащей нашей компании машине Windows 2000 Server, чтобы можно было обращаться к серверу из дома. Но сейчас я использую открытую процедуру регистрации. Любой человек, располагающий соединением с Internet и компьютером Windows 2000, Windows NT Windows Me или Windows 98, может зарегистрироваться на сервере, если знает IP-адрес и может разгадать имя пользователя и связанный с ним пароль.

На всякий случай я заменил имя пользователя Administrator на другое, менее очевидное, и удалил имя пользователя Guest. Коммутируемое соединение RAS могут установить только пользователи с паролем. Я скрыл сервер за ADSL-маршрутизатором Cisco 677 компании Cisco Systems, работающим с трансляцией сетевых адресов (NAT) и портов (PAT), и настроил маршрутизатор на пересылку пакетов порта TCP 1723 и пакетов IP Type 47 GRE (Generic Routing Encapsulation) из IP-адреса территориально распределенной сети (WAN) на внутренний IP-адрес (т. е. IP-адрес сервера). Насколько безопасна такая процедура регистрации PPTP и какие дополнительные меры можно предпринять для усиления защиты?

О.: Прочитав этот вопрос, я связался с его автором и предложил ему воспользоваться протоколом Layer 2 Tunneling Protocol (L2TP) или, для Windows 2000, протоколом L2TP over IP Security (IPSec). Читатель ответил, что L2TP и NAT несовместимы, однако это неверно. Действительно, используемый читателем маршрутизатор не может работать одновременно с L2TP over IPSec и NAT (в этом случае единственный способ обеспечения дополнительной безопаснос-ти - использовать маршрутизатор, поддерживающий как L2TP over IPSec, так и NAT). Однако из разговора с читателем у меня сложилось впечатление, что его заблуждение связано не просто с ограничениями маршрутизатора.

Я обратился к документации Microsoft Windows 2000 Resource Kit и обнаружил, что в главе 9, «Virtual Private Networking», говорится: «L2TP over IPSec не транслируется NAT, так как номер порта UDP зашифрован, и его значение защищено контрольной суммой». Там же утверждается, что «в пакетах L2TP over IPSec заголовки UDP и TCP содержат контрольную сумму, в которую входят IP-адреса источника и приемника из чисто текстового IP-заголовка. Адреса в чисто текстовом IP-заголовке нельзя изменить, не нарушив контрольной суммы в заголовках UDP и TCP». Неудивительно, что читатель решил, будто L2TP over IPSec и NAT несовместимы.

Вопреки информации, приведенной в документации, многие организации работают одновременно с L2TP over IPSec и NAT. Компания Cisco объединяет NAT и IPSec с помощью протокола Encapsulating Security Payload (IP ESP), и любой концентратор или маршрутизатор Cisco PIX, работающий с недавно выпущенной версией Internetworking Operating System (IOS), поддерживает оба протокола. Я уверен, что и другие компании поддерживают IPSec и NAT, но в данном случае я знаком только с решением Cisco. В документе RFC 2406 комитета IETF рассмотрен протокол IP ESP, а в опубликованных компанией Cisco статьях «NAT Transparent Mode for IPSec» (http://www.cisco.com/ warp/ public/ 471/ nat_trans.html) и «Refe-rence Guide: Deploying IPSec» http://www.cisco.com/ warp/ public/ cc/ so/ neso/ sqso/ eqso/ dplip_in.htm) рассказано о процедуре интеграции NAT и IPSec.

В.: Я хочу удалить пару разделов NTFS с помощью команды Fdisk. Но при попытке ликвидировать разделы я получаю приглашение удалить логические диски. Если же я пытаюсь удалить логические диски, то получаю сообщение, что логических дисков не существует. Как удалить эти разделы?

О.: Проблема возникла из-за наличия нескольких логических дисков в расширенном разделе. В этой ситуации Fdisk не работает, но может помочь старая (выпущенная приблизительно в 1997 г.) программа delpart.exe (программу delpart.exe легко найти в Internet). Эта утилита, которая работает с разделами NTFS в Windows 2000 и Windows NT, входит в состав моего инструментального набора «пан или пропал». Нужно загрузить компьютер с 3,5-дюймового диска и запустить delpart.exe. Программа обнаруживает логические диски и удаляет все разделы.

В.: Похоже, главный (PDC) и резервный (BDC) контроллеры домена Windows NT 4.0 не синхронизированы. Как это исправить?

О.: Нужно вручную синхронизировать контроллеры домена NT с помощью команды NT Net. Следует перейти к PDC, открыть окно командной строки и ввести команду net accounts /sync.

В.: Мой ноутбук работает с Windows 2000 Professional и Windows 98 Second Edition (SE). Некоторые программы на машине плохо работают с Windows 2000 Pro и отлично - с Windows 98SE. Как удалить с компьютера Windows 2000 Pro?

О.: Процедура проста. Загрузите Windows 98SE и вставьте в машину пустой 3,5-дюймовый диск. В командной строке введите команду sys a:.

Команда автоматически скопирует необходимые файлы на 3,5-дюймовый диск, и его можно будет использовать для загрузки в режиме командной строки Windows 98SE. Вручную скопируйте на диск файлы sys.com, fdisk.exe и format.com.

Загрузитесь с 3,5-дюймового диска. В командной строке введите команду sys c:.

Данная команда удаляет программу загрузочного сектора Windows NT Loader (NTLDR). Перезагрузитесь в Windows 98SE (других вариантов загрузки не будет). После этого можно удалить все файлы, относящиеся к Windows 2000 Pro. Я предполагаю, что Windows 2000 Pro находится на отдельном логическом диске, который можно удалить. Вопросы удаления файлов и разделов подробно рассматриваются в статье Microsoft «How to Manually Remove Windows NT or Windows 2000» по адресу: http://support.microsoft.com/ support/ kb/ articles/ q203/ 0/ 49.asp. Расширить раздел можно с помощью утилиты PartitionMagic компании PowerQuest.

Боб Хронистер - редактор Windows 2000 Magazine и президент компании Chronister Consultants (Мобил, шт. Алабама). Является соавтором книги «Windows NT Backup and Recovery» (издательство Osborne/McGraw-Hill). С ним можно связаться по электронной почте по адресу: bob@win2000mag.com

Поделитесь материалом с коллегами и друзьями