Как обеспечить эффективную работу сети

Создание локальной сети – не самоцель. Локальная сеть позволяет организовать единое информационное пространство школы, доступное участникам образовательного пространства, перейти от фрагментарного использования современных возможностей ИКТ в образовании к систематическому, планомерно наращивать и своевременно обновлять информационные ресурсы образовательного учреждения.

Но для того, чтобы локальная сеть школы стала надежной основой организации единого образовательного пространства, а не превратилась в источник головной боли для зам. директора по информатизации, необходимо провести ряд организационных мероприятий, освоить программные средства, позволяющие наиболее эффективно использовать преимущества локальной сети школы.

Рассмотрению организационных аспектов и обзору наиболее эффективных программных средств для работы в локальной сети и посвящено это занятие.

Итак, мы имеем следующую модель: в школе создана локальная сеть с выделенным сервером на базе Windows Server 2003, к которому подключены рабочие станции – локальные компьютеры пользователей.

Самое время подумать о том, как сделать работу сети надежной, а в случае сбоев быстро восстановить ее работу, сохранить информацию в случае вирусных атак, отказа винчестеров, выхода из строя материнской платы и т.п.

Проблема информационной безопасности и надежности комплексная, в полном объеме она решается путем резервирования основных систем, дублирования информационных объемов, применением специальных программных средств и проведением организационных мероприятий.

В этом разделе мы их и рассмотрим.

Естественно, конфигурация локальных сетей в разных образовательных учреждениях может быть разной, однако эта разница не является принципиальной – в основном она количественная, качественные характеристики школьных локальных сетей однотипны, так как однотипными являются решаемые задачи.

Для определенности будем рассматривать школьную локальную сеть на примере конкретной школы – Сапожковской средней школы №1 имени Героя России Тучина А.И.

Надежная работа локальной сети невозможна без надежной бесперебойной работы сервера.

При планировании будущей сети нами было приобретены два абсолютно одинаковых системных блока для организации дублирования сервера, поскольку выход из строя сервера – это ЧП, которое трудно устраняется. Установка серверной операционной системы заново, а тем более точное восстановление прежней конфигурации, регистрация компьютеров и пользователей, настройка профилей и политик безопасности – головная боль на несколько недель с непредсказуемым результатом. С самого начала и далее периодически, 2-3 раза в год, на дублирующем компьютере клонируется серверная ОС со всеми настройками. Это позволяет, в сочетании с резервным копированием пользовательских файлов, в случае необходимости за несколько десятков минут восстановить работу сети. Это, так сказать, первый уровень обороны.

Дублирующий сервер работает как обычная рабочая станция, но в случае необходимости на нем будет загружена серверная операционная система и он начнет выполнять функции сервера сети.

Второй уровень – это организация оптимальной дисковой и файловой системы сервера. На рисунке показана дисковая система сервера.

Дисковая система сервера
Рисунок 1. Дисковая система сервера сети

Диски С: и D: физически расположены на одном винчестере объемом 250 Гб.

На диске C: расположена операционная система и профили пользователей, поскольку профили пользователей должны сохраняться при резервном копировании.

На диске D: хранятся редко используемые файлы, которые сравнительно легко могут быть восстановлены, например дистрибутивы программ.

Диск Е:, наоборот, физически состоит из двух дисков объемом 500 Гб каждый, объединенных в единый массив типа RAID 1, "Зеркало".

В зеркальном томе две копии данных пишутся на два диска. "Теневой" (shadow) диск представляет собой точную копию "основного" (primary). Такой массив переживает выход из строя одного диска (запрос на чтение будет просто перенаправлен на оставшийся диск). Зеркальный том обеспечивает удвоение скорости чтения: при необходимости прочитать блоки с 1го по 6й, нечетные блоки (D1, D3, D5) будут прочитаны с первого диска, а четные (D2, D4, D6) со второго, таким образом, каждый диск выполнит половину работы. Скорость записи данных не увеличивается, потому что копии данных необходимо писать на оба диска, но и не уменьшается, поскольку запись производится параллельно на оба диска.

Для массива типа RAID 1 требуются ровно два диска, потеря емкости составляет 50%, но для сервера, обслуживающего достаточно много запросов, например при одновременном включении 20-ти компьютеров кабинета информатики, скорость является критическим параметром. Кроме того, надежность хранения информации повышается.

Однако следует помнить: RAID, неважно какого типа, не может заменить систематическое резервное копирование. Обратите внимание на то, что существует много проблем, вызывающих множественный отказ дисков. Например, блок питания сгорает и выдает 220 вольт из розетки на пятивольтовую шину питания - это выведет из строя все диски, питающиеся от данного БП. Весь массив может быть потерян из-за ошибки контроллера. Вирус может удалить все данные массива. Аппаратура будет работать, но данные будут потеряны.

Впрочем, все сказанное относительно резервного копирования в равной мере относится и к одиночным винчестерам.

Распределение прав доступа пользователей домена

После того, как проведена установка и начальная настройка сетевой операционной системы Windows Server 2003, следующим этапом является регистрация в ней компьютеров и пользователей.

Регистрация компьютеров в AD
Рисунок 2. Регистрация компьютеров в Active Directory

Регистрация пользователей в AD
Рисунок 3. Регистрация пользователей в Active Directory

В локальной сети с выделенным сервером на базе Windows Server 2003 на каждой рабочей станции, зарегистрированной в домене, при загрузке операционной системы можно осуществить вход либо в локальный компьютер, либо в домен.

Вход пользователя в домен SCHOOL
Рисунок 4. Вход пользователя в домен SCHOOL

И в локальный компьютер, и в домен может войти только зарегистрированный пользователь. На этой основе для рядовых пользователей (учащихся, да и основной массы учителей) вход в локальный компьютер может не предоставляться, а при входе в домен возможности пользователей будут определяться конфигурацией профиля пользователя, изменить который они не могут.

Для того, чтобы действия учащихся не могли носить деструктивный характер, в домене регистрируется тип пользователя Учащийся и для этого типа пользователей создается профиль пользователя, в котором значительно ограничены права пользователя.

В отличие от операционных систем Windows 9x, позволявших всем пользователям компьютера иметь одинаковые настройки и работать с общим рабочим столом, Windows Server 2003 использует понятие профиля пользователя, который хранит все личные данные и настройки. В этой операционной системе отсутствует возможность использования одного профиля всеми пользователями компьютера, а данные профиля надежно защищены от других пользователей.

Профиль пользователя - специальная папка на локальном компьютере, в которой хранятся файлы и настройки конкретного пользователя. По умолчанию приложения, совместимые с Windows Server 2003, сохраняют свои данные и настройки пользователя в одну из папок профиля пользователя.

Локальный профиль.

Локальный профиль является единственным типом профилей, на работу с которыми ориентирован компьютер. При использовании остальных типов профилей все равно создается и используется локальный профиль.

Локальный профиль хранится на конкретном компьютере, при перемещении пользователя на другой компьютер все его настройки и файлы остаются на старом компьютере. Данные профиля всегда соответствуют набору программного обеспечения, установленного на компьютере. Профиль может использоваться только одним пользователем.

Перемещаемый профиль.

Перемещаемый профиль является расширением локального профиля и предназначен для использования пользователями, не имеющими постоянного рабочего места. При регистрации на компьютере пользователя с перемещаемым профилем операционная система выполняет следующие действия:

если для пользователя не был создан локальный профиль, то он создается на основе профиля пользователя по умолчанию. Это необходимо для того, чтобы не вызвать сбоев в работе приложений, хранящих свои данные в профиле пользователя;

перемещаемый профиль пользователя синхронизируется с локальным профилем на компьютере. При синхронизации копируются только те файлы, которые были изменены с момента последнего использования профиля пользователем;

осуществляется процедура загрузки профиля, как обычного локального профиля.

При завершении сеанса пользователя осуществляется обратная синхронизация данных профиля с сервером.

При аварийном отключении компьютера обратная синхронизация данных профиля не осуществляется. В связи с этим локальный компьютер может хранить более свежие данные пользователя, чем его профиль на сервере. По этой причине рекомендуется после аварийного завершения работы компьютера осуществить процедуру регистрации и завершения сеанса на этом компьютере для синхронизации данных профиля с сервером.

Перемещаемый профиль хранится на конкретном компьютере и на сервере. Обычно копия профиля на сервере является самой свежей. При перемещении пользователя на другой компьютер все его настройки и файлы сохраняются.

Так как перемещаемый профиль содержит файлы системного реестра и другие файлы, формат которых зависит от используемой операционной системой, необходимо, чтобы на все компьютеры, используемые пользователем с перемещаемым профилем, была установлена одна и та же версия операционной системы. Кроме того, из-за разницы в именовании папок профиля в различных локализованных версиях операционной системы, необходимо использование одного и того же языка ОС на всех компьютерах.

При использовании перемещаемых профилей не рекомендуется хранить файлы на рабочем столе и в папке Мои документы. Эти папки, как часть перемещаемого профиля, синхронизируются с профилем на сервере. Большой размер этих папок может существенно замедлить процесс регистрации пользователя на компьютере и процесс завершения его сеанса. Пользователям рекомендуется не хранить файлы на рабочем столе, а все документы хранить в своей домашней папке на сервере.

Домашние папки
Рисунок 5. Домашние папки учащихся 11б класса и права доступа к ней

Учащимся доступна в полном объеме (по чтению и записи) только личная (домашняя) cетевая папка, хранящаяся на сервере.

Кроме того, учащемуся доступна по чтению общая папка Pablic, в которую помещаются необходимые учебные, мультимедийные, методические, справочные, нормативные материалы. Для записи эта папка для учащихся закрыта, поэтому при всем желании что-то изменить в ней, что-то добавить или удалить из нее учащиеся не могут. Кстати, для учителей также существует аналогичная папка Pablic-Teach.

Мой компьютер учащихся
Рисунок 6. Содержание папки "Мой компьютер" учащегося

Учащимся, кроме личной сетевой папки и общего ресурса Pablic доступны дисководы компакт-дисков, но права на установку программ они не имеют. Доступа к дискам С:, D: локального компьютера, тем более сервера, учащиеся не имеют. Учащиеся также не имеют доступа и к личным папкам других учащихся. Конечно, если учащийся не сообщит пароль доступа к личной папке своему приятелю. Но в этом случае вся ответственность за сохранность его личной информации лежит на нем самом, об этом учащиеся предупреждены и это приучает их к ответственности за сохранность своих файлов.

Группы пользователей
Рисунок 7. Группы пользователей домена – Директор, Учащиеся, Учителя

Группа пользователей Директор обладает полными правами Администратора, Учителя обладают бОльшими правами, чем Учащиеся – им доступны локальные диски, они могут устанавливать программы от своего имени.

Установка свойств пользователя
Рисунок 8. Установка свойств пользователя

Вся информация, необходимая пользователям, хранится на сервере в сетевых папках.

Папка Profiles хранит профили пользователей, прямой доступ к ней имеет только операционная система.

Папка Deti-Doc хранит личные папки учащихся, в которые они могут помещать и из которых могут удалять личную информацию.

Папка Doc-Teachers хранит личные папки учителей, в которые они могут помещать и из которых могут удалять личную информацию.

В папке Pablic хранится информация для учащихся, которую они могут читать, копировать в свои личные папки, но не могут изменять.

В папке Pablic-Teach хранится информация для учителей. Они могут ее читать, копировать в свои личные папки, но не могут изменять.

В папку Мультимедиа помещены фотографии, музыкальные файлы, видеофрагменты, аудиокниги и т.п.

Такая система хранения информации решает несколько задач.

Во-первых, за счет разграничения прав доступа значительно снижается риск потери информации из-за умышленной или, что чаще бывает, из-за неумышленной, по рассеянности либо по незнанию, порчи, удаления информации.

Во-вторых, за счет упорядоченного размещения всего объема информации значительно упрощается поиск информации. Кому не знакома ситуация, когда точно знаешь, что этот файл где-то есть, но где?

В-третьих, за счет компактного размещения значительно упрощается архивирование информации, как разовое, так и повседневное. Попробуйте провести архивирование сегодня созданных файлов, если они разбросаны непонятно на каких компьютерах, непонятно на каких дисках, непонятно в каких папках. А если файлы созданы месяц назад?

В-четвертых, значительно упрощается контроль за содержанием информации, хранящейся в локальной сети, что для школы, согласитесь, задача актуальная. Само осознание того, что личные папки расположены на сервере, во вполне определенной папке с личным именем ученика, заставляет последнего три раза подумать, прежде чем разместить у себя непотребную информацию, что вполне возможно, поскольку каждый учащийся с каждого компьютера имеет свободный доступ в Интернет.

Этот список не завершен, но уже сказанного достаточно, чтобы понять, что организационные меры игнорировать никак нельзя, они способны значительно помочь решить задачу обеспечения информационной безопасности и надежности функционирования сети.

Содержание раздела