Я работаю с Windows Vista. Часть VIII: только для специалистов
Расширенные сетевые функции
В Windows Vista многие сетевые функции усовершенствованы с целью повышения качества и безопасности клиентского доступа к ресурсам при сохранении на минимальном уровне усилий по их настройке. Windows Vista обеспечивает расширенные возможности при работе в сети как для администраторов, которые несут ответственность за развертывание, обслуживание и безопасность сетевых ресурсов, так и для конечных пользователей.
Оптимизировать производительность сети администраторам поможет включенный в состав Windows Vista стек TCP/IP нового поколения, развитая архитектура которого обеспечивает автоматическую настройку для повышения эффективности работы на протяжении длительного промежутка времени.
Стек TCP/IP нового поколения поддерживает двухуровневую архитектуру IP, в которой протоколы IPv4 и IPv6 совместно используют общий транспортный уровень и уровень кадрирования. Протоколы IPv4 и IPv6 включены по умолчанию, для IPv6 не нужно устанавливать отдельные компоненты. Стек TCP/IP нового поколения автоматически определяет сетевую среду и настраивает основные параметры, такие как окно приема TCP.
Поддержка протокола IPv6 в Windows Vista позволяет компаниям обслуживать более широкий диапазон сетевых адресов, обходясь при этом без применения технологии NAT и других временных решений. Протокол IPv6 обеспечивает расширение адресного пространства, значительно превышающее возможности IPv4, и полностью поддерживает протокол IPSec. С помощью переходного механизма, обеспечивающего туннелирование трафика IPv6 через инфраструктуру IPv4, компания может осуществить развертывание протокола IPv6, не выполняя коренного обновления своей сети. Протокол IPv6 в составе Windows Vista поддерживает технологию Teredo, которая делает возможными глобальную адресацию и сквозной обмен данными между приложениями с поддержкой протокола IPv6 на разных клиентских компьютерах Teredo.
Чтобы предотвратить нежелательный трафик между интерфейсами для виртуальной частной сети (VPN), сервера терминалов и конфигураций, допускающих вход в систему нескольких пользователей, стек TCP/IP нового поколения поддерживает отделения маршрутизации. На компьютере может быть несколько отделений маршрутизации, которые изолированы друг от друга.
В некоторых ситуациях трафик из интернета может быть перенаправлен через VPN-подключение в частную внутреннюю сеть.
Интерфейсы, используемые в стеке TCP/IP для обеспечения безопасности TCP/IP (фильтрация трафика локальных узлов), обработки с помощью межсетевого экрана, обработки с помощью фильтра и хранения данных фильтра пакетов, были заменены новым модулем — платформой фильтрации Windows (WFP) для фильтрации на всех уровнях стека протоколов TCP/IP. В стеке TCP/IP нового поколения реализована поддержка динамической диагностики, включая поддержку базы управляющей информации TCP Management Information Base II (MIB-II), а также улучшены функции ведения журнала системных событий и трассировки. Средство диагностики сетей Windows позволяет определять проблемы, оказывающие отрицательное воздействие на подключение к сети, и выполняет действия для автоматического устранения таких проблем.
Мобильные пользователи часто подключаются к интернету или корпоративным сетям по беспроводным каналам связи из гостиниц, конференц-центров и аэропортов, при этом специалисты должны настроить параметры защиты данных, которые не были бы слишком обременительными для пользователей и администраторов. В Windows Vista реализована собственная архитектура беспроводных сетей под названием Native WiFi, являющаяся составной частью базового сетевого стека. При создании беспроводной сети Windows Vista по умолчанию выбирает наиболее безопасные параметры из числа поддерживаемых платой NIC.
В Windows Vista для сохранения унифицированной конфигурации на разных настольных системах реализован ряд усовершенствований, таких как улучшенные возможности обнаружения и создания беспроводных сетей и подключения к ним через интерфейс сетевого центра; служба единой регистрации в беспроводной сети, проверяющая доступность сети перед тем, как пользователь проходит проверку подлинности в домене Active Directory; поддержка последних протоколов безопасности IEEE на основе стандарта 802.11, включая Wi-Fi Protected Access 2 (WPA2); нейтрализация распространенных атак на беспроводные сети; улучшенная управляемость за счет применения объектов групповой политики для беспроводной связи и запускаемых из командной строки команд настройки и устранения неполадок; средства диагностики.
Беспроводные сети типа "компьютер-компьютер" создаются в Windows Vista с помощью специального мастера, при отображении списка доступных сетей в нем четко отмечаются беспроводные сети, которые не являются защищенными. Подключаясь к беспроводной сети, Windows Vista проверяет характеристики платы беспроводного сетевого интерфейса и выбирает самые безопасные параметры.
Развернуть профили единой регистрации на клиентских компьютерах администратор может с помощью групповой политики или через интерфейс командной строки. После настройки профиля единой регистрации перед входом в систему Windows нужно пройти проверку подлинности по стандарту 802.1x. Встроенная архитектура WiFi в Windows Vista обеспечивает широкую поддержку последних протоколов безопасности, включая WiFi Protected Access (WPA), WiFi Protected Access 2 (WPA2), Extensible Authentication Protocol (EAP), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) и Wired Equivalent Privacy (WEP). Путё применения предварительного ключа и протоколов WPA-PSK и WPA2-PSK можно повысить безопасность домашних сетей и сетей малых компаний.
Благодаря структуре EAPHost операционная система Windows Vista поддерживает механизмы проверки подлинности, разработанные поставщиками оборудования или другими компаниями. Для защиты беспроводных сетей от атак наиболее распространенных типов в Windows Vista было изменено поведение клиентов беспроводной связи. Теперь клиент активно сканирует меньшее количество сетей и делает это лишь в случае получения соответствующего указания от пользователя; клиент автоматически подключается только к сетям, которые пользователь явным образом затребовал или указал в качестве предпочтительных, и уведомляет пользователя, если тот собрался установить соединение с незащищенной сетью. В Windows Vista беспроводные сети логически эквивалентны своим проводным аналогам и управляются практически теми же методами.
С помощью оснастки "Групповая политика" из состава консоли управления ММС администраторы могут настраивать поведение клиентов беспроводной связи при подключении к беспроводным сетям и во время работы в них. В состав Windows Vista входит улучшенный сетевой интерфейс командной строки Netsh, помогающий автоматизировать управление беспроводными подключениями, использовать сценарии и устранять возникающие неполадки.
В Windows Vista предусмотрены средства для диагностики беспроводных сетей, являющиеся частью расширяемой инфраструктуры диагностики сетей (NDF). При неудачной попытке подключиться к сетевому ресурсу пользователю предоставляются не трудные для понимания сообщения об ошибках, а четкие инструкции по решению проблемы. При наличии такой возможности Windows Vista устраняет неполадку автоматически; в противном случае пользователь получает простые указания, которые он выполняет самостоятельно, не обращаясь в службу поддержки.
В составе Windows Vista реализован агент защиты сетевого доступа, предоставляющий сетевым серверам доступа и одноранговым узлам сведения о состоянии работоспособности и конфигурации клиента. В ограниченной сети клиент может быть направлен в распоряжение специальных служб для установки исправлений и описаний вирусов или выполнения других действий, необходимых для удовлетворения требований политики работоспособности. Кроме того, NAP применяется для защиты сети от опасных клиентов удаленного доступа, а также опасных клиентов, подключающихся по локальной сети через проводные и беспроводные каналы связи, которые прошли проверку подлинности по стандарту 802.1х.
Реализация новой парадигмы обмена информацией ставит перед компаниями комплекс серьезных задач, включая снижение риска проникновения вредоносных программ, защиту конфиденциальности и целостности данных и объектов интеллектуальной собственности предотвращение несанкционированного доступа, снижение эксплуатационных расходов, выполнение требований законодательных актов и отраслевых норм. Вариант протокола IPSec в составе Windows Vista позволяет администраторам создавать политики безопасности на учетных данных пользователей или компьютеров, использовать групповую политику для централизованного распространения этих политик в соответствии с потребностями компании, создавать политики брандмауэра Windows на базе протокола IPSec.
Механизм качества службы (QoS) на основе политик в составе операционных систем Windows Vista и Windows Server Longhorn предотвращает перегрузку сети за счет централизованного управления пропускной способностью узла. Например, в случае если обмен данными с приложением для управления ресурсами предприятия (ERP), обслуживающим филиалы компании, имеет самый высокий приоритет в глобальной сети, время отклика при вводе данных ERP или получении к ним доступа для сотрудников филиала будет оставаться стабильно небольшим независимо от загруженности глобальной сети другим трафиком. Теперь IT-отделы компаний имеют возможность создавать гибкие политики QoS для назначения приоритетов и/или регулирования исходящего сетевого трафика без внесения изменений в приложения. Эти политики применяются к исходящему трафику на основании одного из следующих критериев или их комбинации: отправляющее приложение, развертывание через групповую политику (например, группа пользователей или компьютеров), исходный IP-адрес/ IP-адрес назначения, исходный порт/порт назначения, протокол.
Надёжность
Улучшения в области надежности, реализованные в Windows Vista, можно разделить на следующие группы:
- Windows Vista поддерживает новую технологию, которая устраняет многие причины зависаний, аварийных сбоев, перезагрузок и пр.
- Простое восстановление после сбоя при запуске автоматически производит диагностику и восстанавливает работоспособное состояние системы. Встроенные средства диагностики Windows Vista обнаруживают многие стандартные аварийные ситуации и устраняют их автоматически или предоставляют необходимые инструкции пользователю
- Постоянное повышение надежности - усовершенствованный инструментарий Windows Vista позволяет получать точное представление о происходящих сбоях, постоянно добиваясь повышения надежности
При разработке Windows Vista ставилась задача снизить частоту сбоев и их влияние на работу пользователя. В новой операционной системе устранены многие стандартные причины сбоев и зависаний, а усовершенствованный инструментарий помогает лучше ориентироваться в ситуациях, когда система перестает отвечать на запросы. Чаще всего перезагрузка производится при установке приложений и обновлений для программного обеспечения. Новая технология в составе Windows Vista помогает сократить количество перезагрузок при установке приложений и обновлений для ПО. Во-первых, благодаря библиотекам динамической компоновки (DLL), которые могут выполняться параллельно, некоторые обновления для приложений способны установить новую версию файла, даже если имеющаяся на диске версия находится в использовании. При следующем запуске приложения старый файл заменяется обновленной версией. Во-вторых, новый диспетчер перезагрузки позволяет установщику определять приложения, блокирующие доступ к файлам, которые нужно заменить. Операционная система отправляет таким приложениям команду сохранить свои данные и завершить работу. Происходит обновление файлов, а затем приложения запускаются повторно без перезагрузки всей системы.
Драйверы в Windows Vista функционируют надежнее, чем в предыдущих версиях Windows. Возможность отмены операций синхронного ввода-вывода позволяет драйверам правильно восстанавливать работу в случае блокирования при попытке выполнения ввода или вывода данных. Windows Vista содержит новые интерфейсы API, с помощью которых приложения могут отменять ожидающие запросы ввода-вывода, если доступ к ресурсу не удается получить на протяжении длительного периода времени. Идентифицировать и исправлять драйверы помогает новый инструментарий Kernel Hang Reporting, который собирает данные, необходимые для сортировки и диагностики.
Любой программный код, который выполняется в режиме ядра (включая многие типы драйверов), способен повредить ядро, причем последствия этого могут проявиться не сразу. Windows Vista защищает системные параметры от повреждений и непреднамеренных изменений, из-за которых система может работать неправильно или вообще не запускаться. Функция защиты ресурсов Windows (WRP) не разрешает изменять важные системные параметры, файлы и папки никому, кроме доверенного установщика. Кроме того, Windows Vista не дает повреждать реестр некачественно разработанным драйверам.
Средство восстановления при запуске из состава Windows Vista обеспечивает автоматическую диагностику и восстановление систем, которые не удается загрузить. Обнаружив сбой при запуске, система активирует средство восстановления при запуске, которое автоматически производит диагностику и предпринимает попытку возвращения системы в работоспособное состояние. В большинстве случаев средство выполняет все необходимые действия без какого-либо участия со стороны пользователя.
В состав Windows Vista входят встроенные средства диагностики (набор функций для контроля и измерения, устранения неполадок и анализа) для решения внешних проблем, влияющих на поведение операционной системы. Поддерживающая эти средства структура называется инфраструктурой диагностики Windows (WDI) и является новым компонентом Windows Vista. При помощи WDI реализовано несколько сценариев для диагностики наиболее распространенных и дорогостоящих для пользователя ПК неполадок.
В корпоративной среде администратор может отключить любой сценарий диагностики либо компонент, отвечающий за разрешение проблем, в любом сценарии. Все встроенные сценарии диагностики записывают события в журнале. Эти события содержат данные о неполадках, которые были автоматически устранены средствами диагностики, а также сведения для специалистов, необходимые для решения оставшихся проблем.
Большинство встроенных функций Windows Vista имеют политику восстановления, которая позволяет пользователю продолжать работу после того, как произошел сбой службы и она была автоматически запущена. Исключением являются ключевые службы, без которых операционная система не может функционировать. Когда происходит сбой службы, выявляются все явные и неявные зависимости, а затем соответствующие службы перезапускаются в надлежащем порядке.
Многие ключевые компоненты Windows Vista регистрируют сведения о возникающих сбоях и их причинах. Эти данные вместе с другой информацией о конфигурации и использовании системы помогают разработчикам, специалистам и автоматизированным средствам оценить надежность и определить корректирующие действия в случае возникновения неполадок.
Расширенный инструментарий Windows Vista включает в себя средства для составления отчетов о зависаниях, обнаружения взаимоблокировок и выявления утечек памяти. Среди них стоит отметить такой интересный компонент как "Анализ надежности" - Reliability Analysis Component (RAC), средство помощи в управлении стабильностью систем компании. Он группирует, анализирует и сопоставляет неполадки на уровне операционной системы и приложений, а также рассчитывает показатель общей стабильности системы на протяжении длительного периода времени. Кроме того, компонент RAC отслеживает все важные изменения системы, которые способны повлиять на ее стабильность (например, обновления Windows, установка приложений и драйверов).
Компонент RAC сообщает сведения о проблеме и ее причинах, а также результаты анализа пользователю, приложениям, которые осуществляют мониторинг состояния, например, диспетчеру Microsoft Operations Manager, и выборочно, с разрешения пользователя - системе отзывов о продуктах Microsoft. Монитор надежности отображает данные, собранные компонентом RAC, в виде диаграммы и пересчитывает показатель стабильности с учетом событий, способных повлиять на стабильность системы (сбой драйверов, установка ПО и пр.).
Выбор оборудования
Требования к компонентам ПК, на которых будет устанавливаться Windows Vista, были изложены ещё в первой публикации из этой серии статей, поэтому нет смысла ещё раз перечислять эти характеристики. Отмечу лишь, что для полной реализации преимуществ Windows Vista в области отображения графики рекомендуется использовать видеокарту на графическом чипе с поддержкой модели Windows Display Driver Model (WDDM).
Драйверы, необходимые для работы оборудования, можно загружать с использованием образов, составленных с помощью Package Manager, или по сети с помощью утилиты командной строки PnPUtil.exe в сочетании с приложениями для распространения ПО. Драйверы также могут быть переданы на клиентские ПК Windows Vista с локального хранилища Driver Store, предопределённого сетевого ресурса или через Windows Update. Благодаря поддержке утилит Sysprep и Unattend.XML, администраторы могут добавлять драйверы в образы операционной системы.
Групповые политики для установки новых устройств - новая функция в Windows Vista, она позволяет администраторам точным образом определить устройства, инсталлируемые по признаку специфического идентификатора, по классу устройства или в зависимости от производителя устройства. Также новой функцией в Windows Vista является групповая политика для съёмных устройств -
Group Policy for Removable Storage, благодаря которой администраторы регулируют возможность перемещения данных на съёмные накопители. Некоторым пользователям, к примеру, может быть разрешено только считывание с устройств вроде оптических приводов, флэш-карт или внешних винчестеров.
Чтобы помочь компаниям в планировании компьютерной среды, Microsoft разрабатывает инструкции по выбору аппаратного обеспечения. Последнюю версию инструкции можно найти на странице www.microsoft.com/technet/windowsvista/evaluate/hardware/
entpguid.mspx.
Вот, пожалуй, на сегодня и всё. Такие специфические нововедения как Microsoft .NET Framework 3.0, Windows Presentation Foundation (WPF), Windows CardSpace, Windows Communication Foundation (WCF) и Windows Workflow Foundation (WF), имеющие отношение, главным образом, к разработчикам приложений, мы рассмотрим уже в другой части.
Предыдущие публикации по теме Windows Vista:
Выражаем благодарность российскому представительству компании NVIDIA за систему, любезно предоставленную для экспериментов с Windows Vista.