№8(21) август 2004

подписной индекс 81655

www.samag.ru
Кроссплатформенная
частная сеть: OpenVPN
Linux и NTFS
Особенности установки
антивируса ClamAV во FreeBSD
Обзор ОС Darwin 7.0
на платформе x86
Практика работы с NetBSD:
профилирование ядра
Создание и настройка IVR
для голосовых шлюзов Cisco Systems
Разгон и торможение Windows NT
Поисковая система своими руками
№8(21) август 2004

HTML-шаблоны для PHP и Perl

Обработка HTML-шаблонов off-line
 оглавление

АДМИНИСТРИРОВАНИЕ Знакомство с Usergate

Андрей Уваров
OpenVPN, или Кроссплатформенная dashin@ua.fm 36
частная сеть
Андрей Бешков Создание и настройка IVR
tigrisha@sysadmins.ru 4 для голосовых шлюзов Cisco Systems
Михаил Заграевский
Запуск в VMWare гостевой оси, mike@megalog.ru 38
установленной на физическом диске
Николай Почабытов Разгон и торможение Windows NT
nikel@tsr.ru 13
Крис Касперски
kk@sendmail.ru 48
Linux и NTFS
Сергей Яремчук Поисковая система своими руками
grinder@ua.fm 18
Андрей Сапронов
duan@bk.ru 61
Еще раз о ClamAV:
особенности установки во FreeBSD
WEB
Сергей Супрунов
amsand@rambler.ru 24
HTML-шаблоны для PHP и Perl,
или Не делайте инструмент самоцелью
CrossOver и лицензионный вопрос
Дмитрий Горяинов
Андрей Бешков dg@webclub.ru 66
tigrisha@sysadmins.ru 26
Обработка HTML-шаблонов off-line.
В яблочко! Возможности и ограничения
Краткий обзор ОС Darwin 7.0
на платформе x86 (Mac OS X 10.3 Jaguar) Алексей Мичурин
alexey@office-a.mtu-net.ru 74
Антон Борисов
a.borisov@tesv.tmb.ru 28
ОБРАЗОВАНИЕ
Практика работы с NetBSD:
профилирование ядра Автоматизация процессов в сети
Александр Байрак Иван Коробко
x01mer@pisem.net 34 ikorobko@prosv.ru 84

Уважаемые системные администраторы!

Редакция журнала объявляет конкурс на лучшие статьи, описывающие успешный опыт в области системного
администрирования (решение нетривиальных проблем, успешная организация работы отдела и любые другие
полезные материалы, которые помогут вашим коллегам в работе). Самые интересные будут опубликованы
в ноябрьском и декабрьском номерах журнала «Системный администратор».

Условия участия смотрите на сайте журнала www.samag.ru в разделе «Конкурс».

№8(21), август 2004 1

 администрирование
OpenVPN,
ИЛИ КРОССПЛАТФОРМЕННАЯ
ЧАСТНАЯ СЕТЬ
Рано или поздно большинство системных администрато-
ров сталкивается с необходимостью соединить свои тер-
риториально удаленные сети с помощью надежного, дос-
таточно быстрого и в то же время защищенного от прослу-
шивания и вмешательства злоумышленников канала. Та-
ким образом, получается, что нам нужно создать частную
виртуальную сеть (Virtual Private Network), или VPN. В этот
момент перед нами открывается развилка из нескольких
путей для претворения задуманного в жизнь:
1. Использовать свободную реализацию IPSec (Internet
Protocol Security). В качестве таковой могут выступать
FreeSWAN или FreeBSD IPSec.
2. Купить и внедрить коммерческое решение. Например,
Cisco VPN или Securepoint VPN Server, который также
основан на IPSec, или взять решение от какого-либо дру-
гого производителя, например Windows IPSec. В дан-
ном разделе я сознательно не делю решения на аппа-
ратные и программные, потому что это всего лишь об-
зор.
3. Взять на вооружение свободные разработки, использу-
ющие криптографические алгоритмы собственного из-
готовления. Список таких приложений довольно велик.
Поэтому перечислим только те, что у всех на слуху –
cipe, vpnd, tinc, – этот список можно было бы продол-
жать очень долго.
4. Самостоятельно написать программное обеспечение,
реализующее все механизмы VPN.
5. Использовать PPTP (Point to Point Tunneling Protocol).
Давайте разберемся с достоинствами и недостатками
каждой из предлагаемых методик решения проблемы.
Что же можно сказать по поводу первого решения. Пос-
ледние несколько лет при создании VPN стандартом де-
факто считается IPSec. Такая распространенность помога-
ет нам не слишком беспокоиться о совместимости VPN-сер-
веров и клиентов. Все-таки единый стандарт – штука очень
удобная. Подобный способ хорош тем, что не потребует
больших материальных затрат и в то же время предлагает
стойкую криптографическую защиту передаваемых данных.
Но на этом его преимущества заканчиваются, и на сцену
выходят недостатки. Во-первых, IPSec не обязательно смо-
жет мирно сосуществовать с вашим межсетевым экраном,
особенно если тот выполняет над пакетами изуверские опе-
рации, называемые в народе NAT. Опять же экраны с конт-
ролем состояния соединения (statefull firewall), находящие-
ся между двумя точками виртуального тоннеля и управляе-
мые провайдером, могут не пропускать те или иные IPSec-
пакеты. О кроссплатформенности разных реализаций IPSec
пока что остается только мечтать в связи с тем, что для
4
АНДРЕЙ БЕШКОВ
реализации функций IPSec приходится вносить в ядро опе-
рационной системы и IP-стек довольно много изменений.
Как гласит старинная пословица: «Надежность заканчива-
ется там, где начинается сложная механика», это значит,
что одна-единственная ошибка в коде, реализующем IPSec,
приведет к огромной дыре в безопасности. Вдобавок, на-
сколько я знаю, на данный момент не существует легко
настраиваемого свободного клиента IPSec для Windows.
Значит, либо придется разбираться в настройках тех кли-
ентов, что распространяются под эгидой opensource, либо
покупать коммерческий. Также стоит обратить внимание на
несколько большую сложность установки и настройки та-
кого комплекса по сравнению с остальными типами VPN.
Еще одним из минусов является отсутствие технической
поддержки. Если что-то пойдет не так, как планировалось,
то на квалифицированную помощь от производителя рас-
считывать трудно. Это ведь свободный продукт, поэтому
придется просить совета либо у своих более удачливых кол-
лег, либо в форумах и списках, посвященных данному про-
граммному обеспечению. Впрочем, не каждый производи-
тель проприетарного софта может похвастаться квалифи-
цированной службой поддержки. К тому же обычно у мно-
гих свободных разработок существует внушительный ла-
герь сторонников, которые будут рады обратить вас в свою
веру и заодно помочь в настройке программы.
Второй способ выглядит довольно привлекательным в
случае, если у вас есть деньги. В обмен на довольно вну-
шительную сумму вы, скорее всего, получите более или ме-
нее качественную техническую поддержку, стабильно ра-
ботающее оборудование и специалистов, которые самосто-
ятельно или по вашим указаниям решат, как именно со-
единить сети для достижения наилучшего результата. Да и
с технической документацией вероятнее всего дело будет
обстоять очень хорошо. Но, как всегда в жизни, плюсов без
минусов не бывает. Выбрав решение от одного производи-
теля, вы будете впредь очень сильно привязаны к нему. Со-
ответственно, если выбранный вендор не реализует те или
иные возможности в своей продуктовой линейке, значит и
вы, скорее всего, не сможете ими воспользоваться.
Третий вариант наиболее подходит для тех, кому нужно
развернуть VPN без больших затрат времени, сил и денег.
В то же время нужно отдавать себе отчет, что обычно по-
добные программы пишут для собственного использования
те, кто не смог или не захотел разобраться с принципами
работы и методикой настройки IPSec. Соответственно ос-
новной идеей разработки является удобство использова-
ния и нетребовательность к ресурсам. Со временем такие
программы понемногу совершенствуются, но все же не сто-
ит ожидать от них запредельной надежности и безопаснос-

ти. Происходит это потому, что каждый автор использует
свои собственные реализации криптоалгоритмов. Конечно,
они обеспечивают некоторую степень защищенности, но
без проведения сторонней экспертизы точно сказать, на-
сколько надежно все это работает, довольно затруднитель-
но. Соответственно данный класс программ больше подхо-
дит для защиты каналов, по которым передается инфор-
мация с малым временем жизни, предназначенная для ог-
раниченного распространения. Внедрение такого решения
позволит защитить наши данные от начинающих злоумыш-
ленников, но не от профессионалов в области подглядыва-
ния. Впрочем, для некоторых предприятий вполне доста-
точно и таких возможностей.
Четвертый путь выглядит привлекательным только для
специалистов в области криптографии, обладающих боль-
шим количеством свободного времени. Но, к сожалению,
таких людей в мире немного, а тех, кто позволит себя на-
нять, еще меньше.
Вариант решения, основанный на PPT, большей частью
используется приверженцами Microsoft. Данный стандарт
реализует довольно стойкое шифрование и аутентифика-
цию соединений. Созданный в недрах большой Редмондс-
кой корпорации, он не получил особого распространения в
мире Unix. Хотя свободное программное обеспечение для
работы с ним все же существует и пользуется некоторым
спросом, все же решения на основе IPSec практикуют го-
раздо чаще. Происходит это, видимо, потому, что IPSec
имеет более надежные процедуры шифрования. Но поли-
тические мотивы сопротивления со стороны юниксистов но-
винкам, внедряемым Microsoft, тоже не стоит сбрасывать
со счетов.
Ну а большинству читателей, не воспользовавшихся ва-
риантами, предлагаемыми выше, видимо, придется обра-
титься к программе, которой собственно и посвящена дан-
ная статья. Между делом неплохо было бы посетить сайт
проекта http://openvpn.sourceforge.net. Ну а я продолжу свое
повествование.
История разработки OpenVPN выглядит довольно забав-
но и в то же время является хрестоматийной иллюстраци-
ей принципов, типичных для движения открытых исходни-
ков. В конце 2001 года Джеймс Йонан (James Yonan) ус-
пешно выполнил работу над большим проектом для компа-
нии, сотрудником которой он является и по сей день. В ка-
честве благодарности работодатель разрешил ему не хо-
дить каждый день на работу и выполнять свои обязанности
удаленно. С этого момента жизнь Джеймса кардинально
изменилась. Словно в калейдоскопе мелькали страны и кон-
тиненты: Египет, Кыргызстан, Монголия, Китай. Как обыч-
но, без русских тут не обошлось. Уж очень автора OpenVPN
беспокоил тот парадоксальный факт, что в России есть до-
статочно большое количество безработных, но очень та-
лантливых хакеров. А судя по его наблюдениям, некоторая
часть трафика шла именно через российские сети. Объез-
див всю центральную Азию, Джеймс попутно продолжал ис-
кать решение, которое позволит ему работать с централь-
ным офисом удобно, безопасно, надежно и в то же время
не будет стоить бешеных денег. Испробовав на себе все
вышеперечисленные способы создания VPN, он понял, что
на данный момент идеал, к сожалению, недостижим.
№8(21), август 2004
администрирование
Решив разработать свой собственный пакет, реализу-
ющий функции VPN, он в отличие от других авторов не
стал заниматься созданием своего собственного уникаль-
ного криптоалгоритма с нуля. Вместо этого был исполь-
зован проверенный временем и неоднократно доказавший
свою надежность стандарт SSL, для работы с которым
можно было опереться на доступную для многих систем
библиотеку OpenSSL. Стоит отметить, что такая же идея
используется и в программном обеспечении, называемом
vtun.
Итак, давайте посмотрим поближе на возможности, пре-
доставляемые OpenVPN.
! Официально OpenVPN успешно работает под управле-
нием следующих операционных систем: Linux, Solaris,
OpenBSD, FreeBSD, NetBSD, Mac OS X, Windows 2000/
XP. Это позволяет создавать сложные кроссплатфор-
менные туннели. Впрочем, не составит никакого труда
портировать OpenVPN в любую другую систему, для ко-
торой существует драйвер tun/tap-устройств. К тому же
данная разработка независима от размера и старшин-
ства байтов в машинном слове, что облегчает перенос
на новые операционные системы.
! Компрессия потока передаваемых данных и управление
полосой пропускания производятся с помощью библио-
теки LZO. Процесс сжатия является адаптивным, то есть
попытки упаковать передаваемые данные будут пред-
приняты, только если есть смысл их упаковывать. Эта
возможность может быть легко отключена по желанию
пользователя, как и любые другие компоненты в слу-
чае, если вам не удалось с ними поладить, или если вы
хотите поступиться какой-то частью функционала вза-
мен на быстродействие.
! Поддерживаются два типа туннелей: IP и Ethernet, соот-
ветственно называемые routed и bridged. Таким обра-
зом, появляется возможность туннелировать как IP-под-
сети, так и виртуальные Ethernet-адаптеры.
! Отлично работает в сетях, где адреса распределяются
с помощью DHCP. Помогает подключаться к VPN-кли-
ентам, попадающим в Интернет через dial-up.
! Позволяет создать туннели поверх NAT, несмотря на то
что NAT изменяет содержимое заголовков передавае-
мых пакетов.
! Дает возможность работать с любыми механизмами
шифрования, встроенными в OpenSSL для защиты пе-
редаваемого трафика. А это, в свою очередь, позволя-
ет каждому клиенту выбрать тип, режим работы (CBC,
CFB, OFB) и размер ключа шифра в соответствии с ин-
дивидуальными предпочтениями.
! Для аутентификации датаграмм, пересылаемых по тун-
нелю, можно использовать HMAC-дайджест.
! В случае если в передаваемых данных есть повторяю-
щиеся последовательности, для их сокрытия будет ис-
пользован алгоритм explicit IV.
! Каждая датаграмма помечается с помощью специаль-
ных ID, создаваемых на основе времени отправки и но-
мера последовательности. Таким образом предотвра-
щается возможность повторного проигрывания зло-
умышленником последовательности записанных паке-
тов.
5
 администрирование
! В качестве дополнительной меры безопасности может Более наглядно все вышеуказанное отображено на при-
быть использован протокол TLS, позволяющий аутен- веденной схеме.
тифицировать сессию с помощью динамического обме-
на сертификатами. Довольно большой оптимизации бы-
стродействия при динамическом обмене SSL/TLS-клю-
чами позволяет добиться использование мультипоточ-
ной библиотеки pthread. Таким образом, даже частый
обмен между сервером и клиентом ключами размером
более чем 2048 байт практически не влияет на скорость
передачи туннелируемых данных.
! Для увеличения безопасности OpenVPN позволяет пе-
реместить себя в chroot-окружение и снижает свои при-
вилегии после старта так, чтобы отлично работать от
имени самого бесправного пользователя системы.
! Еще одним полезным с точки зрения безопасности свой-
ством является наличие ключа --mlock. Он позволяет зап- Итак, начнем установку пакетов на ALT Linux. В систем-
ретить OpenVPN записывать в процессе работы на жест- ном репозитарии есть все, что нам может понадобиться.
кий диск какую-либо информацию, связанную с секрет-
ными ключами и данными, передаваемыми по туннелю. # apt-get update
# apt-get install iptables openssl liblzo liblzo-devel openvpn
! В связи с тем, что данная программа является всего лишь
обычным пользовательским приложением, а не частью После удачного завершения установки создаем пользо-
ядра, она может вполне мирно сосуществовать с други- вателя openvpn, входящего в группу openvpn. Процессы
ми приложениями, использующими tun/tap-туннели. openvpn, стартуя от имени пользователя root, будут сни-
! OpenVPN создавался для тесной интеграции с пользова- жать свои права, чтобы с наименьшими привилегиями
тельскими скриптами и другими высокоуровневыми при- работать от имени вышеуказанного пользователя. Согла-
ложениями. Что в свою очередь дает возможность по пер- ситесь, что дополнительная безопасность никому не по-
вому требованию легко создавать и уничтожать туннели. мешает.
! Позволяет удобно работать через межсетевые экраны
с контролем состояния соединения. В случае если по # useradd openvpn
туннелю не передаются данные, OpenVPN позволяет че-
рез определенные промежутки времени посылать ping, Теперь можно приступить к тестам общей работоспо-
для того чтобы не дать межсетевым экранам разорвать собности openvpn. Первым делом нужно посмотреть, какие
соединение из-за неактивности. из алгоритмов шифрования нам доступны:

В данной статье мы будем работать только с маршрути- # openvpn --show-ciphers

зируемыми (routed) туннелями, а разговор о туннелях типа
мост (bridge) отложим до следующего раза. Как я уже упо-
мянул ранее, маршрутизируемый туннель умеет работать
только с TCP/IP-трафиком. Соответственно широковеща-
тельный трафик через него не пройдет. А это значит, что
некоторые протоколы вроде Microsoft Netbios работать по-
верх нашего туннеля не смогут.
Задачей на сегодня будет соединение через VPN трех
удаленных филиалов одной организации. Будем считать,
что они называются магазин, склад и офис. В каждом из
филиалов стоит маршрутизатор, имеющий на борту по два
реальных и два виртуальных сетевых интерфейса. Первый
из реальных интерфейсов направлен во внутреннюю ло-
кальную сеть с серым адресным пространством, а второй –
в Интернет. Адреса для внешних интерфейсов выданы нам
провайдером и принадлежат к сети 80.80.20.0/24. Для вир- Довольно неплохо. Стоит обратить внимание на надпи-
туальных tun-интерфейсов выбрана подсеть 10.3.0.0/24. си variable и fixed возле каждого наименования шифра. Они
Òàáëèöà 1 указывают, существует ли возможность самостоятельно
выбирать размер ключа.
Для аутентификации каждой получаемой UDP-датаграм-
мы применяется так называемый механизм дайджеста.
Смотрим доступные дайджесты:

# openvpn --show-digests

6

рые опишут наши туннели. Первый из них описывает тун-
нель между машинами Linux и FreeBSD, а второй – между
Linux и Windows. Файл linux-freebsd.conf:
Сначала нужно сгенерировать статический ключ, с по-
мощью которого в дальнейшем будет производиться шиф-
рование потока.
#openvpn --genkey --secret /etc/openvpn/static.key
Внутри файла static.key должно появиться что-то похо-
жее на следующие данные:
дая из этих опций.
После этого можно провести тестирование криптосис-
темы с использованием только что созданного ключа.
# openvpn --test-crypto --secret /etc/openvpn/static.key
Судя по надписям, все работает вполне приемлемо. Ко-
нечно, не стоит забывать, что статический ключ имеет один
большой недостаток. Если злоумышленнику удастся его
раздобыть, то он сможет расшифровать все данные, кото-
рые передавались по сети. С динамическим ключом такое
развитие событий нам бы не угрожало. В самом худшем
случае можно было бы расшифровать только малую часть
трафика.
№8(21), август 2004
администрирование
Теперь нужно создать конфигурационные файлы, кото-
proto udp
dev tun
port 5000
comp-lzo
ping 15
verb 3
user openvpn
group openvpn
remote 80.80.20.129
ifconfig 10.3.0.9 10.3.0.10
route 10.10.120.0 255.255.255.0 10.3.0.10
secret /etc/openvpn/static.key
auth MD5
cipher DES-CBC
tun-mtu 1500
Файл linux-windows.conf:
proto udp
dev tun
port 5002
comp-lzo
ping 15
verb 3
user openvpn
group openvpn
remote 80.80.20.128
ifconfig 10.3.0.6 10.3.0.5
route 10.10.130.0 255.255.255.0 10.3.0.5
secret /etc/openvpn/static.key
tun-mtu 1500
auth MD5
cipher DES-CBC
Начинаем разбираться по порядку, что означает каж-
! proto – протокол, используемый для передачи данных.
Может принимать значения udp, tcp-client, tcp-server. На-
стоятельно рекомендуется использовать udp, потому что
туннелирование поверх TCP создает слишком большие
накладные расходы. Впрочем, если нет другого выхода,
то и TCP сойдет. В таком случае нужно на одном конце
туннеля установить настройки этой переменной как tcp-
server, а на другом – как tcp-client. Соответственно от-
вечать за инициацию соединения будет машина со зна-
чением tcp-client. По умолчанию эта переменная имеет
значение udp, поэтому если вы с этим согласны, то ее
определение можно в дальнейшем не использовать.
! port – порт, на котором нужно ждать соединений. Дол-
жен быть одинаковым на обоих концах туннеля. Номе-
ра портов для разных туннелей не могут совпадать.
! dev – тип виртуального устройства туннеля. Может при-
нимать значения tun, tap, null. В этом случае OpenVPN
будет пытаться динамически выбрать и задействовать
первое свободное устройство данного типа. Если же ему
это не удается, то нужно будет четко указать имя устрой-
ства с помощью опции dev-node. Например, dev-node tun1.
! comp-lzo – включение упаковки потока данных. В слу-
чае если поток все же не стоило упаковывать, размер
передаваемых данных увеличится всего на один байт.
Впрочем, за все время эксплуатации данного программ-
ного комплекса я не встречал случая, когда система
адаптивной компрессии ошиблась и стала пытаться при-
менить сжатие там, где делать этого не стоило.
7
администрирование
! ping – в случае если по VPN-каналу не передается ни-
каких данных, приказывается отправлять ping каждые
n секунд, чтобы не позволить соединению разорваться
из-за простоя. Полезно в случае, если между конечны-
ми точками vpn находятся межсетевые экраны с конт-
ролем состояния.
! verb – уровень подробности выводимых сообщений.
Чем больше число, тем многословнее и педантичнее
программа будет рассказывать о том, что происходит
у нее внутри. Верхним пределом для этой переменной
является число 11. Данная опция чаще всего исполь-
зуется при отладке и первоначальной настройке тун-
нелей.
! user, group – имя пользователя и группы, от имени ко-
торой будет работать программа. Первоначально
openvpn стартует от имени root и, прочитав все инте-
ресующие файлы, снижает привилегии до указанного
уровня.
! remote – IP-адрес хоста, представляющего из себя даль-
нюю сторону туннеля. Если его не указать, то openvpn
будет пассивно принимать все входящие соединения,
не пытаясь самостоятельно соединяться с удаленной
машиной. Затем все полученные соединения должны
будут пройти авторизацию. Данный режим удобен для
работы с dial-up системами, у которых постоянно меня-
ется IP-адрес.
! ifconfig – назначает виртуальному tun/tap интерфейсу IP-
адрес. Заодно указывает адрес удаленного виртуаль-
ного интерфейса. Это необходимо, потому что туннель
работает как стандартное соединение «точка-точка».
! route – описывает маршрут, который должны пройти
пакеты, чтобы попасть в удаленную сеть. Можно обо-
значить маршрут двумя способами. Либо с помощью
этой настройки, либо переменной up, значением кото-
рой необходимо указать имя командного скрипта, отве-
чающего за выполнение правильной настройки марш-
рутизации. В случае если вы пользовались первым спо-
собом настройки маршрутизации, то openvpn самосто-
ятельно удалит из таблицы маршрутов нужную запись,
когда пользователь попросит его завершить работу. Ну
а если прибегали к услугам опции up, то необходимо
также описать опцию down, которая будет указывать на
скрипт, выполняющий самостоятельные действия по
удалению маршрута.
! secret – указывает имя файла, в котором хранится ста-
тический ключ, используемый для шифрования потока.
! tun-mtu – максимальный размер пакета, передаваемо-
го по виртуальному интерфейсу. Пакеты большего раз-
мера будут разбиваться на несколько кусков и переда-
ваться последовательно отдельными датаграммами.
Желательно, чтобы на обоих концах туннеля значение
этой переменной было одинаково, иначе можно прове-
сти несколько интересных часов в забавном поиске при-
чины, почему авторизация и передача первых пакетов
проходит нормально, а затем все начинает работать
весьма медленно и нестабильно.
! auth – наименование алгоритма, используемого для
аутентификации приходящих пакетов. В моем случае это
MD5. Хотя никто не мешает взять любой другой.
8
! cipher – алгоритм, используемый для шифрования паке-
тов. Blowfish выбран потому, что является весьма стойким
и в то же время достаточно быстрым. В случае если хочет-
ся повысить надежность шифрования, нужно использовать
переменную keysize и указывать большой размер ключа.
По умолчанию Blowfish использует ключ длиной 128 бит,
хотя максимально возможный размер – 448 бит.
На этом установку и первоначальную настройку пакета
на Linux-машине можно считать завершенной. Переходим
на FreeBSD. Как человек рассудительный и здравомысля-
щий, предпочитаю устанавливать сложное программное
обеспечение из портов.
# cd /usr/ports/archivers/lzo
# make install clean
# cd ../../security/openssl
# make install clean
# cd ../openvpn
# make install clean
К сожалению, несмотря на то что перед началом инстал-
ляции я обновил список портов, система упрямо не хотела
ставить openvpn-1.6.0, а вместо него подсовывала openvpn-
1.4.0.
Дабы не наступать на грабли и впоследствии не ломать
голову над совмещением разных версий, пришлось деин-
сталлировать ранее установленную версию 1.4.0. Хотя в
документации описано, как «подружить» старые и новые
версии, я решил рисковать.
# make deinstall
Отправляемся по адресу: http://www.freebsd.org/cgi/
ports.cgi?query=openvpn&stype=all и с помощью поиска вы-
ясняем, что исходные тексты самой свежей версии порта
openvpn-1.6.0 не желают скачиваться. Ну на нет и суда нет.
Видимо, такова судьба, и нам придется снова пойти в об-
ход. Берем отсюда бинарный пакет ftp://ftp.freebsd.org/pub/
FreeBSD/ports/i386/packages-4-stable/All/openvpn-1.6.0.tgz и
устанавливаем его с помощью утилиты pkg_add.
# pkg_add openvpn-1.6.0.tgz
Не забываем добавить в систему пользователя и груп-
пу openvpn.
# adduser openvpn
Затем создаем директорию /etc/openvpn, где у нас бу-
дут храниться файлы с настройками и ключом. С помощью
какого-либо безопасного транспорта переносим с Linux-
машины файл static.key. В качестве средства, пригодного
для этой цели, можно использовать scp, sftp, архив с паро-
лем или просто дискету, переданную доверенным лицом.
Теперь давайте посмотрим на содержимое конфигураци-
онных файлов.
Файл freebsd-linux.conf:
dev tun
 администрирование
port 5000
comp-lzo
ping 15
verb 3
user openvpn
group openvpn
remote 80.80.20.131
ifconfig 10.3.0.10 10.3.0.9
route 10.10.140.0 255.255.255.0 10.3.0.9
secret /etc/openvpn/static.key
auth MD5
cipher DES-CBC
tun-mtu 1500
comp-lzo
Файл freebsd-windows.conf:
Как только увидите надпись «Peer Connection Initiated
dev tun with», считайте, что дело сделано. Теперь с помощью ко-
remote 80.80.20.128
port 5001 манды ping можно проверить, видны ли оконечные адреса
ifconfig 10.3.0.1 10.3.0.2 из соединяемых частных сетей. В нашем примере это
route 10.10.130.0 255.255.255.0 10.3.0.2
secret /etc/openvpn/static.key 10.10.120.1 и 10.10.140.1. Не забываем настроить компью-
ping 10 теры, находящиеся в наших локальных сетях так, чтобы они
verb 3
tun-mtu 1500 считали машины Linux и FreeBSD шлюзами по умолчанию.
user openvpn Кстати, стоит отметить, что openvpn может вполне ус-
group openvpn
auth MD5 пешно работать и без всяких конфигурационных файлов.
cipher DES-CBC Дело в том, что все параметры можно передать в програм-
comp-lzo
му и из командной строки. К примеру, для поднятия того же
Я думаю, что, пользуясь предыдущими объяснениями, самого туннеля можно было скомандовать вот так:
будет довольно легко понять все используемые настройки.
Права на директорию /etc/openvpn и файлы в ней должны # openvpn --remote 80.80.20.128 --dev tun --port 5001 ↵
--ifconfig 10.3.0.1 10.3.0.2 --route 10.10.130.0 ↵
позволять чтение только пользователю root и группе wheel. 255.255.255.0 10.3.0.2 --secret /etc/openvpn/static.key ↵
Если очень хочется, то можно выполнить проверку дос- --ping 10 --verb 3 --tun-mtu 1500 --user openvpn ↵
--group openvpn --auth MD5 --cipher DES-CBC
тупных шифров так же, как мы делали это для Linux.
Наконец-то мы готовы к запуску первого из наших тун- Хотя, с моей точки зрения, данный способ выглядит не-
нелей. На Linux-машине выполняем следующую команду: сколько громоздко.
Стоит отметить один интересный факт: дистрибутив
# openvpn --config /etc/openvpn/linux-freebsd.conf openvpn для Linux устанавливает в систему скрипт /etc/rc.d/
init.d/openvpn, который помогает удобно управлять нашими
И соответственно на FreeBSD делаем так: туннелями с помощью команды service openvpn. Главной
особенностью скрипта является способность поднять тунне-
# openvpn --config /etc/openvpn/freebsd-linux.conf ли для всех *.conf-файлов, находящихся в /etc/openvpn. Та-
ким образом, нам не надо придумывать, как автоматически
На терминале Linux должны появляться следующие над- запустить требуемое количество экземпляров openvpn с нуж-
писи: ными настройками после перезагрузки системы.
Во FreeBSD тоже есть скрипт подобного предназначе-
ния. Сразу после инсталляции он обычно находится в /usr/
local/etc/rc.d/openvpn.sh.sample. Посмотрев внутрь него,
понимаем, что он совершенно бесполезен, так как практи-
чески ничего не умеет делать. Поэтому нам придется смас-
терить свой собственный вариант такого скрипта. Для это-
го нужно создать файл openvpn.sh и внести в него следую-
щие данные:

#! /bin/sh

case x$1 in
xstart)
/usr/local/sbin/openvpn --config ↵
/etc/openvpn/freebsd-linux.conf &
/usr/local/sbin/openvpn --config ↵
/etc/openvpn/freebsd-windows.conf &
;;
Ну а FreeBSD-машина должна говорить что-то вроде это- xstop)
killall -SIGTERM openvpn
го: route delete 10.10.130.0
route delete 10.10.140.0
;;
*) echo >&2 "Usage: $0 {start|stop}"
esac

№8(21), август 2004 9

 администрирование
Обязательно кладем файл в /usr/local/etc/rc.d/ и даем ему
право на выполнение. Стоит обратить внимание на нали-
чие знака «&» после запуска каждого экземпляра openvpn.
Сделано это потому, что данная программа жестко привя-
зывается к терминалу, с которого была запущена. Соот-
ветственно при отсутствии этого знака второй процесс
openvpn не запустится до тех пор, пока терминал не осво-
бодится, а этого при правильном развитии событий не дол-
жно произойти никогда. Вторым важным моментом явля-
ется наличие команд route, удаляющих записи о маршру-
тах в той ветке скрипта, которая отвечает за выполнение
действия stop. Удалять маршруты приходится вручную, по-
тому что к моменту завершения работы openvpn выполня-
ется от лица одноименного пользователя и группы, а изме-
нять таблицу маршрутизации имеет право только root. Ко-
нечно, можно было бы портировать под FreeBSD версию
скрипта, поставляющуюся в комплекте с Linux-версией про-
граммы, но сейчас заниматься этим как-то недосуг. Воз-
можно, я сделаю это в следующей статье.
Настало время перейти к настройке Windows-системы. На
первый взгляд здесь все довольно просто. Берем дистрибу-
тив для этой платформы на родном сайте программы http://
prdownloads.sourceforge.net/openvpn/openvpn-1.6.0-install.exe.
Затем запускаем только что скачанный инсталлятор и ме-
тодично жмем на кнопки «Далее» и «ОК». После установ-
ки в систему будет добавлен новый сетевой интерфейс со
странным именем «Подключение по локальной сети 3».
Если присмотреться внимательно к свойствам данного
подключения, то можно заметить что оно представляет со-
бой не что иное, как интерфейс tap.
10
Тут стоит сделать одну важную оговорку: под Windows
не существует различия между tun- и tap-устройствами. А
еще точнее было бы сказать, что такая реализация tap-драй-
вера позволяет устройству работать в любом из двух ре-
жимов.
Для нас столь длинное название устройства неудобно,
поэтому переименовываем его во что-нибудь более крат-
кое и информативное. Например, в Linux. Затем с помо-
щью меню Пуск → Программы → Open → VPNAdd a new
TAP-win32 virtual ethernet adapter создаем еще один вирту-
альный интерфейс и переименовываем его во FreeBSD. Ду-
маю, название каждого из этих интерфейсов достаточно
красноречиво говорит об их предназначении. Надеюсь, что
все еще помнят, зачем мы создавали файл static.key. Если
это действительно так, то копируем его в C:\Program
Files\OpenVPN\config\ под именем staic.txt. По непонятной
причине файлы с расширением .key openvpn, работающие
под Windows, не воспринимаются как секретные ключи. За-
тем создаем конфигурационные файлы наших туннелей.
Стоит обратить внимание на тот факт, что для успешной
работы у этих файлов должно быть расширение .ovpn.
Файл windows-freebsd.ovpn:
remote 80.80.20.129
dev-node FreeBSD
dev tun
port 5001
ifconfig 10.3.0.2 10.3.0.1
secret static.txt
ping 10
verb 3
route 10.10.120.0 255.255.255.0 10.3.0.1
auth MD5
cipher DES-CBC
comp-lzo
Файл windows-linux.ovpn:
remote 80.80.20.131
dev tun
dev-node Linux
port 5002
ifconfig 10.3.0.5 10.3.0.6
secret static.txt
ping 10
verb 3
route 10.10.140.0 255.255.255.0 10.3.0.6
tun-mtu 1500
comp-lzo
В сущности, все тесты, которые мы использовали до
этого, отлично работают и под управлением Windows. По-
этому, если есть желание, можете выполнить openvpn с
параметрами --show-digests и --show-ciphers. Единственное,
на что стоит обратить внимание, – это обязательное нали-
чие в конфигурационном файле записи dev-node с именем
используемого устройства. К сожалению, Windows умеет
автоматически находить и использовать нужное виртуаль-
ное устройство туннеля только в том случае, если оно в
системе представлено в единственном числе. Кстати, сто-
ит отметить тот факт, что в случае работы устройства tun
под Windows использовать для туннеля какие попало адре-
са из подсети 10.3.0.0 не получится, придется выбирать из
таблицы, выводимой командой openvpn --show-valid-subnets.
Как и под UNIX-системами, можно поднять туннель вы-
зовом openvpn с указанием имени используемого конфи-
гурационного файла, а можно и без него, просто перечис-
 администрирование
лив все нужные ключи в командной строке. Есть еще два
способа запуска туннеля. Первый из них состоит в том, что
нужно с помощью проводника перейти в директорию
C:\Program Files\OpenVPN\config\ и щелкнуть правой кла-
вишей на файле конфигурации. В ниспадающем меню выб-
рать «Start OpenVPN on this config file». А можно поступить
более умно и включить службу OpenVPN, которая самосто-
ятельно будет заботиться о том, чтобы запустить по одно-
му экземпляру программы для каждого конфигурационно-
го файла.

Ну и на закуску осталось посмотреть на интерфейсы

Windows:
Настройка протокола IP для Windows 2000:

На этом радостном этапе установку и настройку можно

считать завершенными. На обоих UNIX-машинах сначала
останавливаем, а затем снова запускаем сервисы openvpn.

# service openvpn stop Адаптер Ethernet Linux:

# service openvpn start
# /usr/local/etc/rc.d/openvpn.sh stop
# /usr/local/etc/rc.d/openvpn.sh start

То же самое проделываем и под управлением Windows.

После этого все вышеописанные туннели должны пра-
вильно подняться и заработать без сбоев. Соответственно
таблица интерфейсов, получаемая с помощью ifconfig, на
Linux должна выглядеть так:

Адаптер Ethernet FreeBSD:

Адаптер Ethernet Подключение по локальной сети 2:

Адаптер Ethernet Подключение по локальной сети:

А для FreeBSD будет характерна следующая картина:

№8(21), август 2004 11

 администрирование

Для проверки того, как работает туннель, запускаем с

разных сторон ping, направленный в удаленные сети, и смот- А проходя через интерфейс lnc1, в Интернет они попа-
рим на результаты. дают уже зашифрованными:
Теперь хотелось бы разобраться, как обстоит дело с
шифрованием. Для этого начинаем прослушивание интер- # tcpdump –i lnc1 -lenx
фейсов tun0 – 10.3.0.10 и lnc1 – 80.80.20.129 и снова вы-
полняем ping 10.10.140.1. Таким образом, мы видим, что
через tun0 пакеты icmp идут в открытом виде.

# tcpdump –i tun0 -lenx

Таким образом, видно, что поставленную задачу мы ус-

пешно выполнили.

12
 администрирование

ЗАПУСК В VMWare ГОСТЕВОЙ ОСИ,

УСТАНОВЛЕННОЙ НА ФИЗИЧЕСКОМ ДИСКЕ
В этой статье будет описана возможность запуска
гостевой системы, установленной на компьютере
при помощи VMWare. ОС Windows 2000 Professional,
Linux (Fedora Core и SuSe) установлены самым
обычным способом. Для более рационального
использования времени и ресурсов необходимо
одну из них (в данном случае Windows) запускать
либо на виртуальной машине, либо на реальном
компьютере, и чтобы при этом сохранялись
все изменения, сделанные в системе. Это также
необходимо на случай отсутствия администратора
на работе. Про установку и запуск этой программы
можно прочитать на http://www.onix.opennet.ru, где
выложены статьи Андрея Бешкова, либо в прошлых
номерах журнала [1, 2, 3]. Но в них не описан вопрос
запуска уже установленной системы, находящейся
на физическом диске. Данный материал должен
помочь в этом.

У системного администратора или программиста очень ча-
сто бывают ситуации, когда необходимо проверить рабо-
ту программы или что-то сделать в другой ОС. Для этого
на компьютер ставятся несколько систем. Но для того что-
бы проверить работоспособность новой программы, надо
перегружать компьютер, а это не всегда хорошо. Поэто-
му был выпущен такой продукт, как VMWare (http://
www.wmware.com). Его особенности можно не расписывать,
он позволяет многое, главное – с его помощью можно за-
пустить в качестве гостевой операционной системы уже ус-
тановленную на жестком диске. Вся суть заключается в том,
НИКОЛАЙ ПОЧАБЫТОВ
что на виртуальном компьютере мы получаем возможность
работать сразу, ничего не переустанавливая.
В данной статье в качестве базовой ОС рассматрива-
ется Linux Fedore Core 2 test1, а в качестве гостевой –
Windows 2000 Professional.
Из-за того, что FC2 работает на ядре серии 2.6.*, нужно
устанавливать VMWare 4.5.1, в которой учтена возможность
работать с этой серией ядер.
Переходим к главному – запуску установленной системы.
Сформулируем требования:
! Должны быть установлены Windows и Linux.

№8(21), август 2004 13

 администрирование
! Резервная копия системы (на случай, если что-то не по-
лучится с первого раза).
! Хороший boot-менеджер.

В самом начале необходимо загрузиться в Windows и

провести cледующие настройки. Выбираем: Свойства сис-
темы → Оборудование → Профили оборудования:

После чего получаем примерно такую картинку:

Далее щелкаем по кнопке, и на экран выводится окно,

в котором перечислены существующие профили оборудо-
вания. Нам надо скопировать текущий профиль:

Обязательно надо отметить пункт «Дождаться явного

В появившемся окне вводим название профиля:
указания от пользователя». Далее необходимо отправить
компьютер на перезагрузку и выбрать в меню загрузки
Windows. Теперь там появляется дополнительный пункт «Вы-
бор профиля для загрузки», нам нужен только что создан-
ный профиль для виртуальной машины. Эти действия надо
проделать только для систем на основе NT (Windows NT4,
Windows 2000, Windows XP, Windows 2003). В Windows 9*
система plug and play, поэтому необходимые драйвера ус-
тановятся сами.

14
 администрирование
После того как загрузилась система с выбранным про-
филем, заходим в «Диспетчер устройств» и начинаем там
хозяйничать. Сразу же необходимо заметить, что надо от-
казываться от предложений перегрузить систему.
В первую очередь удаляем видеоадаптер:

После этого находим звуковые устройства и отключаем

их, так же поступаем и с сетевыми устройствами, USB:
Теперь систему можно перегружать в Linux, первый этап
закончен.
Второй этап начинается с конфигурирования и подго-
товке VMWare для работы. Будем считать, что VMWare уже
установлена и сконфигурирована, поэтому просто ее за-
пускаем.
И начинаем создавать новую виртуальную машину:

Выбираем пункт «Сustom». На следующем экране ука-

зываем нужную гостевую операционную систему. Далее вы-
бираем имя виртуальной машины и каталог, где будут хра-
ниться основные конфигурационные файлы. На следующем
экране выделяем количество оперативной памяти для гос-
тевой ОС. После этого отмечаем тип сетевого подключе-
ния. Потом предстоит определиться с I/O adapter types. Пра-
вильнее было бы назвать этот пункт «Контроллеры для под-
ключения НЖМД и CD-ROM». Контроллер ATAPI выбран по
умолчанию, а вот со SCSI-контроллерами предоставлен
выбор. Лучше всего оставить настройки по умолчанию и
перейти к следующему экрану.
Здесь необходимо отметить один из трех вариантов:
! Создание нового виртуального диска.
! Использование существующего виртуального диска.
! Использование физического диска.

Для контроллера IDE нужно сменить драйвера на стан- Так как наша цель запустить на виртуальном компью-
дартные из поставки Windows: тере установленную систему, то выделяем последний пункт:

№8(21), август 2004 15

 администрирование
На следующем экране выбираем имя конфигурацион-
ного файла и место его хранения. Возможно, будут еще
какие-то вопросы (зависит от оборудования и дистрибути-
ва Linux). Отвечаем на них утвердительно. VMWare практи-
чески готова к запуску:

При нажатии кнопки «Next» появится предупреждение,

соглашаемся с ним и видим следующий экран, на котором
предстоит выбрать устройство и использование какой-то
части или всего диска. Лучше остановиться на тех разде-
лах, на которых у вас установлена система Windows, и мо-
жет быть, какие-то дополнительные диски (если у вас су-
ществуют дополнительные разделы для Windows. Если на
компьютере существует два и более жестких диска, и сис-
темы установлены на разных физических дисках, то необ- Выбираем редактирование свойств виртуальной маши-
ходимо для нормальной работы подключать все жесткие ны. Надо поправить всего лишь один параметр – подклю-
диски, иначе система не будет загружаться): чение CD/DVD-ROM должно быть SCSI:

Запускаем виртуальную машину. И вот здесь вполне

возможно столкнуться с трудностью, если boot-менеджер –
GRUB, то Windows грузиться не будет. Решение пока не най-
дено. Такая же проблема может быть и с lilo. При попытке
запустить Windows появляется ошибка, говорящая о том,
что NTLoader не найден. Самым простым выходом из дан-
ной ситуации является установка другого boot-менеджера,
лучше понимающего файловые системы FAT и NTFS. В
данном случае был использован Acronis OS Selecter 8.0, так
как он работает с файловыми системи ext3 и reiserfs, впол-
не возможно, что и другие boot-менеджеры справятся с этой
задачей.
И вот появляется долгожданное меню выбора профиля
загрузки:

16

Естественно, что надо выбирать профиль, созданный
для виртуальной машины. При загрузке Windows будет ис-
кать новые устройства и драйвера для них, поэтому после
того, как будут введены логин и пароль, нужно проинстал-
лировать VMWare Tools (VM → Install VMWare Tools).
После этого перезагружаемся, если возникнет необхо-
димость. Теперь можно полноценно работать с системой:
№8(21), август 2004
администрирование
Здесь необходимо сразу отметить несколько моментов
по работе:
! USB Flash-накопители работают очень хорошо и без до-
полнительных настроек.
! Может возникнуть серьезная проблема у тех, кто пользу-
ется USB-шнуром для связи мобильного телефона и ком-
пьютера. Драйвера и программное обеспечение уста-
навливаются без проблем и также нормально работа-
ют. Но при перезагрузке можно увидеть «синий экран
смерти». Возможно, он появляется из-за отсутствия под-
ключенного кабеля или телефона. Вариантов решения
данной проблемы я пока не нашел, поэтому нужно заг-
рузиться в Windows и там удалить драйвера и ПО от
этого кабеля.
! Возникает странная «плавающая ошибка» с интегриро-
ванным SCSI-контроллером. Непонятно почему, но от-
рубаются даже мышь с клавиатурой, что может потре-
бовать переустановки системы.
Также в VMWare можно загрузить установленные на же-
стком диске и другие системы, в частности Linux. Здесь си-
туация попроще и система спокойно может стартовать при
помощи стандартных линуксовых загрузчиков lilo или GRUB.
Для запуска Linux в качестве гостевой системы не требуется
никаких дополнительных заморочек и профилей. Достаточ-
но создать в VMWare новую гостевую систему и запустить
ее. В качестве гостевой системы бралась Red Hat Linux AS
3.0. Kudzu не был отключен, поэтому установка и удаление
новых устройств прошло без проблем, система запустилась
и начала работать. Возможно следующее: если в системе
есть SCSI-адаптер и SCSI-устройства, то они не примонти-
руются и не будут работать, соответственно в логах будут
ошибки монтирования этих устройств. Так же будет конф-
ликтовать Xfree86 и придется конфигурировать его заново.
Таким образом, получаем решение, с которым очень
удобно работать, и с которым можно вписаться в любую
сеть. Вы можете также ознакомиться с книгой В. Костро-
мина [4], с той ее частью, где описывается работа с VMWare
(следует учесть, что в ней описана предыдущая версия (до
4.0) программы, и в качестве boot-менеджера выступает
NTLoader).
Литература:
1. Бешков А. Виртуальный полигон для администратора и
разработчика. – // Журнал «Системный администратор»,
№9(10), сентябрь 2003 г. – 08-23 с.
2. Бешков А. Виртуальный полигон для разработчика и ад-
министратора на основе Linux и VMWare. – // Журнал
«Системный администратор», №11(12), ноябрь 2003 г. –
04-17 с.
3. Бешков А. VMWare со всеми удобствами. – // Журнал
«Системный администратор», №6(19), июнь 2004 г. –
12-17 с.
4. Костромин В. Linux для пользователя. - «БХВ-Петер-
бург», 2002 г.
17
 администрирование
LINUX И NTFS
«...ntfs not supported by kernel»
Сообщение системы об ошибках.
СЕРГЕЙ ЯРЕМЧУК
До недавнего времени острой необходимости в доступе к
разделам с файловой системой NTFS, в общем-то, и не было.
Ругать разработчиков ядра Linux не за что, необходимые
работы ведутся уже давно и отнюдь не безуспешно. Уже в
1995 году для ядер серии 2.0 был доступен патч для работы
с этой файловой системой, а с версии 2.2 (если быть точнее
2.1.74) подержка NTFS в ядро была включена стандартно.
Но все равно разработки велись несколько вяло. Причин тому
несколько. Семейство пользовательских операционных си-
стем Windows до Me включительно поддерживают исключи-
тельно FAT, а NTFS использовалась на ОС корпоративно-
серверного уровня, где вряд ли кто-то додумается поставить
одновременно две операционные системы на одном компь-
ютере. Появление Windows 2000 практически ничего не из-
менило, на домашних компьютерах ее устанавливали доволь-
но неохотно, и если посмотреть на форумах тех времен, то
можно отметить относительное спокойствие. А вот Windows
XP смог привлечь пользователя, этот момент и стоит счи-
тать началом действительного интереса разработчиков к про-
блеме. Многие (да почти все) производители включили под-
держку NTFS в ядрах своих дистрибутивов. Проблем с дос-
тупом к разделам NTFS не обнаружат пользователи
Mandrake, SUSE, ALTLinux, ASPLinux, Slackware, Debian и
прочих популярных дистрибутивов. Только компания RedHat,
очевидно, руководствуясь лицензионной чистотой своего ди-
стрибутива, не включила поддержку данной ФС. Поэтому
пользователи RedHat и Fedora увидят при попытке монтиро-
вания раздела сообщение, вынесенное в эпиграф.
На данный момент имеются два свободных проекта, по-
своему решающие вопрос работы с разделами NTFS. Пер-
вый, проект Linux-NTFS, предлагает традиционный подход,
т.е. написание драйвера, который позволит нормально ра-
ботать с этой файловой системой. Второй, проект Captive
NTFS, пробует решить все эмуляцией системы NT.
Проект Linux-NTFS
Сейчас для GNU/Linux фактически существуют два драй-
вера NTFS. Первый используется в ядрах серии 2.4.х и в
2.5.0-2.5.10, этот драйвер имеет ограниченные возможно-
сти по записи в раздел NTFS, и поэтому такой режим по-
мечен как опасный, т.е. может привести к потере данных.
Этот драйвер долго практически не развивался. Вторая
версия драйвера была фактически переписана заново
одним из разработчиков Антоном Алтапармаковым (Anton
Altaparmakov), причем записи в раздел NTFS уделялось
повышенное внимание, драйвер стал более легким, про-
стым и быстрым, поддерживаются NTFS версий 1.2, 3.0 и
3.1, Unicod, сжатые файлы. Хотя в настоящее время име-
18
ются еще проблемы, например, драйвер не понимает за-
шифрованные файлы, квоты, игнорирует информацию бе-
зопасности и ограничен по записи. Проблемы эти, в об-
щем-то, существуют не по вине разработчиков. Все дело
в том, что Microsoft не выпустило никакой документации
по внутреннему строению NTFS, и драйвера разрабаты-
ваются фактически с пустого листа, методом научного
тыка и плясания с бубном вокруг компьютера. Строение
же NTFS довольно сложное и внутри напоминает базу дан-
ных, когда изменение в одном месте требует замен и во
многих других местах файловой системы, а иначе она по-
просту будет разрушена. Поэтому новый драйвер пока
может только перезаписывать существующие файлы, но
не может изменять их длину, добавлять новые и удалять
старые файлы, не доступны операции с каталогами.
Теперь немного практики. В ядрах, начиная с 2.5.11 и,
конечно же, в серии 2.6, используется новый драйвер, по-
этому если у вас с поддержкой не сложилось, то просто
перекомпилируйте ядро, включив нужные пункты. Так как
в народе еще популярны ядра серии 2.4, то для их владель-
цев доступен патч.
Текущую версию драйвера узнать очень просто:
# dmesg | grep -i ntfs
Или такой вариант:
# grep -i ntfs /var/log/messages
Как видите, ядро Slaksware 9.1, которое использовалось
во время написания статьи, поддерживает первую версию
драйверов, но это довольно легко исправить. Если вывод
этих команд ничего не дал, то дополнительно проверить
поддерживаемые ядром файловые системы можно, введя:
# cat /proc/filesystems
За драйверами, патчами, утилитами для работы с NTFS
и документацией идем на сайт http://linux-ntfs.sourceforge.net.
Владельцам RedHat и Fedora можно идти сразу на стра-
ницу http://linux-ntfs.sourceforge.net/rpm/index.html, где дос-
тупны прекомпилированные rpm-пакеты с необходимыми
модулями. Выбираем нужный и устанавливаем.
#rpm -ihv --noscripts kernel-ntfs-2.6.5-1.358.i586.rpm
#/sbin/depmod -a

Например, мы хотим пересобрать ядро 2.4.25 с новым
драйвером.
Скачиваем по ссылке патч к используемому ядру, в моем
случае это linux-2.4.25-ntfs-2.1.6a.patch.bz2, и распаковыва-
ем его.
# bunzip2 linux-2.4.25-ntfs-2.1.6a.patch.bz2
Теперь распаковываем ядро, взятое с www.kernel.org,
можно использовать и имеющееся в вашем дистрибутиве,
только тогда возьмите и патч с соответствующим номером.
#cd /usr/src
Накладываем патч:
#cd linux
#patch -p1 < ../linux-2.4.25-ntfs-2.1.6a.patch
В последнем случае не должно быть сообщений об
ошибках, иначе проверьте, правильно ли заданы пути. И
теперь приступаем к конфигурации ядра. Набираем make
nenuconfig, в «File systems» необходимо включить пункты
драйвера NTFS (рис. 1). Сохраняем конфигурацию и выхо-
дим. После чего идет стандарная компиляция ядра и на-
стройка загрузчика.
Ðèñóíîê 1
Выполнив все, перезагружаемся с новым ядром и про-
веряем:
#grep -i ntfs /var/log/messages
Как видите, версия драйвера обновилась и соответству-
ет установленной; пробуем примонтировать раздел, для того
чтобы узнать, какой именно, вводим:
# fdisk -l | grep -i ntfs
Монтируем раздел.
# mount /dev/hda7 /mnt/temp/ -t ntfs
Обратите внимание, что ключ -t, указывающий на фай-
ловую систему, в данном случае обязательный, иначе сис-
№8(21), август 2004
администрирование
тема не сможет сама определить ее и выдаст примерно
такое сообщение:
Для того чтобы просмотреть опции по умолчанию, с ко-
торыми монтируется раздел, вводим:
# cat /proc/mounts | grep -i ntfs
Как видите, раздел смонтирован в режиме «чтение-за-
пись», это можно изменить на «только чтение», явно задав
в командной строке опцию -r (или -o ro). Владельцем явля-
ется root (uid=0, gid=o), опция errors указывает, как будет
себя вести система при возникновении ошибок, поддержи-
вается два варианта: continue (продолжает работу) и recover
(пытается восстановить), в настоящее время поддержива-
ется только замена boot-сектора резервным. Опции fmask
и dmask задают параметры доступа к файлам и каталогам
соответственно, возможно использование общей опции
umask, задающей доступ к файлам и каталогам одновре-
менно. NTFS хранит имена в Unicode, но драйвер перево-
дит их в ASCII; чтобы указать на используемый язык, при-
меняются две конструкции: -o iocharset= или в новом вари-
анте -o nls=. Для отображения русских имен используются
koi8-r, возможно задание utf8 (если ядро не поддерживает
Unicod, то дополнительно используйте utf8=true). В моем
случае nls был выбран автоматически, потому что при кон-
фигурировании ядра эта кодировка была прописана по
умолчанию (смотрите в File Systems – Native Language
Support – Default NLS Option). Параметр mft_zone_multiplier
указывает на размер зарезервированной в master file table
части, которая содержит информацию о файле. Примеча-
тельно, что маленькие файлы полностью помещаются в
MFT, что позволяет быстро его находить и избежать потерь
дискового пространства присущих FAT (в FAT файл разме-
ром 1 байт займет на диске минимум 4 Кб). Первоначально
задается при форматировании, но в процессе эксплуата-
ции может изменяться на лету. Цифра 1 является значени-
ем по умолчанию и соответствует 12.5% зарезервирован-
ного объема, 2 – 25%, 3 – 37.5% и 4 – 50.0%. Полная опция
монтирования может быть указана в таком виде:
#mount /dev/hda7 /mnt/temp/ -t ntfs -r -o nls=koi8-r -o ↵
uid=500,gid=winuser,umask=0222
часть после второй -o, вообще говоря, не нужна и дана для
примера.
После этого с чтением данных проблем быть не долж-
но, все имена будут отображаться нормально.
Дополнительно проект Linux-NTFS предоставляет и ряд
утилит для работы с NTFS из-под Linux, библиотеку libntfs,
обеспечивающую доступ к функциям NTFS программ, в том
числе и других разработчиков, а также libntfs-gnomevfs –
модуль для Gnome VFS (virtual filesystem), обеспечивающий
универсальный доступ ко всем файловым системам. Боль-
шая часть утилит ориентирована скорее на разработчиков,
но годом раньше вообще ничего подобного не было, про-
гресс налицо. Все они доступны в пакете ntfsprogs, который
19
 администрирование
распространяется как в исходных кодах, так и имеются пре-
компилированные пакеты. Установка из исходников проблем
не вызывает, все те же стандартные ./configure; make; make
install. В результате в системе появится еще 10 утилит:
! ntfsfix – для установки измененных драйвером разде-
лов NTFS, нечто вроде scandisk, который должен исполь-
зоваться после каждой записи (особенно со старым
драйвером) во избежание возможной потери данных,
для того чтобы привести файловую систему в непроти-
воречивое состояние.
! mkntfs – для создания NTFS 1.2 (поддерживается всеми
Windows NT/2000/XP).
! ntfscat – является аналогом стандартной UNIX-утилиты
cat, предназначен для чтения файлов в разделах NTFS.
! ntfsclone – предназначена для клонирования (копирова-
ния, сохранения, создания резервного образа и восста-
новления) раздела с файлововй системой NTFS. Рабо-
тает на уровне секторов диска и сохраняет только ис-
пользуемые данные, неиспользуемые заполняются ну-
лями, что позволяет эффективно сжимать полученные
образы. Полезна для создания точных копий раздела и
восстановления системы. Примеры:
! Создание копии раздела:
#ntfsclone --output system.img /dev/hda1
! Восстановили раздел:
#ntfsclone --overwrite /dev/hda1 system.img
! Так можно заглянуть внутрь созданного образа:
#mount -t ntfs -o loop system.img /mnt/ntfsclone
! ntfscluster – идентификация файлов в указанном разде-
ле или области NTFS. Работает в трех режимах:
! info (режим по умолчанию) – покажет общую инфор-
мацию об области NTFS;
! sector – покажет список файлов в заданном диапа-
зоне секторов;
! cluster – то же, что и предыдущий, только выводит
список файлов в группе.
#./ntfscluster /dev/hda7
20
! ntfsinfo – выводит атрибуты по номеру inode или имени
файла.
! ntfslabel – выведет или установит метку файловой сис-
темы NTFS (метка до 128 Unicode-знаков).
# ./ntfslabel -v /dev/hda7
! ntfsls – аналог UNIX-утилиты ls (Windows – dir) – выво-
дит список файлов в разделе NTFS (монтировать нео-
бязательно).
# ./ntfsls -v -d /dev/hda7
! ntfsresize – а вот это действительно полезная утилита,
предназначена для изменения размера файловой сис-
темы NTFS без потерь данных. Примечание: утилита не
манипулирует размерами разделов, для этого необхо-
димо воспользоваться утилитой fdisk. Как работать с
ней, поговорим дальше.
! ntfsundelete – восстановление удаленных файлов на раз-
деле NTFS. Имеет три режима работы:
! scan (режим по умолчанию) – просмотр файловой
системы на предмет наличия удаленных файлов, при
нахождении выводит список таких файлов;
! undelete – пытается, насколько это возможно, восста-
новить утраченные данные (кроме сжатых и зашиф-
рованных файлов), файл сохраняется в другой раздел;
! copy – полезен большей частью при отладке, сохра-
няет данные MFT в файл.
#./ntfsundelete /dev/hda7
Сообщение «Volume is dirty» может возникнуть после за-
писи в раздел, изменения размера раздела и других воз-
можных операций, связанных с изменением данных, после
каждой такой операции во избежание несоответствия ре-
комендуется проверка раздела средствами Windows.
#./ntfsundelete /dev/hda7 --force

Пробуем восстановить один из найденных файлов:
#./ntfsundelete /dev/hda7 -s -m home.jpg --force
В настоящее время начата разработка еще нескольких
утилит, некоторые из них находятся в стадии альфы. Это
ntfswipe – позволит зачистить нулями свободные части дис-
ка, ntfsdefrag – дефрагментатор файлов, каталогов и MFT,
для проверки диска будет использоваться ntfsck, nttools
позволит просмотреть/создать/изменить/копировать/найти
требуемые значения (эквивалентны командам ntfscp,
ntfsgrep, ntfstouch, ntfsrm, ntfsrmdir, ntfsmkdir). И пока в пла-
нах еще одна утилита ntfsdiskedit, которая позволит рабо-
тать с дисковыми структурами NTFS.
Начиная с Windows 2000, файловая система получила
новое понятие – динамический диск, который пришел на
смену стилю разделов, принятых еще в MS-DOS (Basic
Disks), и позволил снять все ограничения файловой систе-
мы, в том числе и создавать многодисковые тома. Инфор-
мация хранится в журналируемой базе данных Logical Disk
Manager (LDM) в последнем 1 Мб диска. Начиная с версии
ядра 2.5.29, в него включаются драйвера для работы с LDM,
для версий 2.4.19 и 2.4.20-pre1-ac1 доступен патч. Отдель-
но в пакете linux-ldm доступны две утилиты для работы с
LDM. Первая ldminfo выводит детальную информацию о
LDM-базе, ldmutil – предназначена для восстановления, ре-
зервирования и изменения LDM-баз. Планируется в бли-
жайшее время начать работу над библиотекой ldmlib, в ко-
торую будет вынесена часть кода, и еще над несколькими
утилитами, которые позволят работать с отдельными час-
тями раздела LDM и записывать/читать информацию с
базы. Как видите, хотя работа над новыми драйверами и
утилитами идет полным ходом, но, увы, на данный момент
они не могут обеспечить пользователя требуемой (полной)
функциональностью, и, как говорится, нормальные герои
всегда идут в обход, что и сделали разработчики в проек-
те, о котором пойдет речь дальше.
Проект Captive NTFS
Тема эмуляции работы операционных систем, и в частно-
сти Windows, довольно популярна в среде Linux/UNIX, до-
статочно вспомнить проекты вроде Wine или Crossover
Office, поэтому не удивительно, что нашлись разработчи-
ки, попытавшиеся заставить работать Linux с разделами
NTFS средствами самой Windows.
Свободный проект, реализующий возможность запи-
си/чтения данных с разделов NTFS путем эмуляции всех
необходимых уровней Windows, называется Captive и на-
ходится по адресу: http://www.jankratochvil.net/project/
captive. Для работы captive потребуется драйвер ntfs.sys и
системный модуль ядра NT – ntoskrnl.exe. Если под рукой
имеются компьютеры с установленными Windows XP, то
их можно взять в C:\WINDOWS\system32\ntoskrnl.exe и
C:\WINDOWS\system32\drivers\ntfs.sys), но captive нормаль-
№8(21), август 2004
администрирование
но работает не со всеми версиями драйверов Windows (пол-
ный список проверенных в работе доступен на сайте), во
всяком случае со взятыми с русифицированной версии
Windows XP с первым сервис-паком работа у меня не по-
шла. В этом случае придется тащить файлы с сайта Microsoft,
где они находятся по адресу: http://www.microsoft.com/
WindowsXP/pro/downloads/servicepacks/sp1/checkedbuild.asp,
с которыми captive работает отменно.
Правда, ситуация с их использованием двоякая, с од-
ной стороны, они лежат свободно, с другой – предназначе-
ны для пользователей Windows, во всяком случае во всех
дистрибутивах, имеющих captive, их приходится добывать
самостоятельно. Для работы их следует положить в ката-
лог /var/lib/captive. Так как драйверы Windows требуют осо-
бых привилегий вроде прямого доступа к железу, то пол-
ную 100% эмуляцию реализовать не получится, т.к. UNIX-
системы, естественно, будут защищаться от процессов, ко-
торые лезут не в свое дело, поэтому эмулируемая среда
отделена от остальной части UNIX и любой код, выполняю-
щийся в этой среде, не должен привести к краху системы.
Для защиты от возможного краха используются несколько
технологий. Так, для работы потребуется модуль ядра LUFS
(Linux Userland File System), который, если будете собирать
из исходников, нужно взять с http://lufs.sourceforge.net/lufs.
Во время установки создается новый пользователь и груп-
па captive, от имени которых и будут работать процессы, а
сам процесс по умолчанию запускается в изолированой
CORBA sandbox среде и chroot-окружении. К сожалению,
эти ограничения сказались на невозможности работы од-
новременно сразу с несколькими разделами. Драйверы же
на сайте проекта captive доступны как в исходных кодах,
так и в прекомпилированном виде со статической линков-
кой, работают они одинаково, проблема может быть толь-
ко с модулем ядра lufs.o, который должен быть собран под
определенную версию ядра. После установки для первона-
чального конфигурирования необходимо запустить утили-
ту captive-install-acquire (рис. 2), которая проверит наличие
необходимых библиотек и при необходимости закачает все
нужное.
Ðèñóíîê 2
21
 администрирование
Если все есть, то можно монтировать раздел: источником, т.к. в некоторых дистрибутивах вам позволят
изменить раздел только с командной строки (например, заб-
# mount -t captive-ntfs /dev/hda7 /mnt/utils/ равшись во вторую консоль [Ctrl]-[Alt]-[F2]). Для работы
ntfsresize драйвер поддержки NTFS в ядре не нужен, ути-
В случае ошибок вся информация доступна /var/log/ лита обращается напрямую к диску. Также если не требу-
messages. ются все утилиты или хотите использовать ее в спасатель-
ной дискете, то можно взять статически слинкованную вер-
#cat /var/log/messages | grep captive-lufs сию ntfsresize по адресу: http://mlf.linux.rulez.org/mlf/ezaz/
ntfsresize-static-1.9.1.tgz.
Если требуется автоматическое монтирование при заг- Теперь посмотрим, что у нас есть:
рузке системы, используйте скрипт captive-install-fstab с па-
раметром -add, который автоматически добавит в файл /etc/ # ./ntfsresize -i /dev/hda7
fstab используемый раздел.
Еще пару слов хочу сказать о коммерческом драйвере
от Paragon Software Group, обеспечивающем прозрачный
доступ к разделам с файловой системой NTFS. Доступен
драйвер в двух версиях: персональной и профессиональ-
ной. Как и у предыдущих проектов, поддерживаются все
версии файловой системы NTFS, сжатые файлы и катало-
ги, размеры дисков до 127 Гб, в персональной версии ра-
бота возможна только в режиме чтения, а в професиональ-
ной возможна запись (что, в общем, и не должно вызывать
удивления; учитывая опыт работы этой компании на подоб- Команда выдала все о разделе NTFS и сообщила, что
ном поприще). Демо-версию драйвера, которую произво- можем уменьшить раздел вплоть до 5 Мб. Но перед реаль-
дитель разрешает использовать без регистрации в тече- ным изменением желательно прогнать тест.
ние 30 дней и поддерживающую только чтение, можно ска-
чать с http://www.ntfs-linux.com. # ./ntfsresize --no-action --size 500M /dev/hda7
Для установки потребуются исходники ядра. Установка
проста до безобразия: после распаковки архива запуска- Если в результате получим сообщение «The read-only
ем скрипт install.sh (возможен запуск в интерактивном ре- test run ended successfully.», то можно смело приступать к
жиме ./install.sh –interactive и при помощи –iocharset=koi8-r изменению размера. Если же команда выдала «ERROR:»,
возможно установить кодировку по умолчанию для разде- то лучше для начала исправить ошибки, спешка в данном
ла NTFS). случае ни к чему хорошему не приведет.
После этого, если не выбрано автоматическое монти-
рование при загрузке, можно примонтировать раздел вруч- # ./ntfsresize -s 500M /dev/hda7
ную:

#mount -t ufsd /dev/hda7 /mnt/test_ntfs

# mount -t ufsd -o iocharset=koi8-r /dev/hda7 /mnt/test_ntfs

Изменение размеров NTFS

из-под GNU/Linux
Теперь давайте попробуем разобраться с вопросом, мож-
но ли изменить размер раздела с файловой системой NTFS
прямо из-под GNU/Linux, не прибегая к посторонним ути-
литам вроде Partition Magic. По заверению разработчиков Если все данные сохранены, то соглашаемся:
проекта Linux-NTFS, утилита ntfsresize, доступная пользо-
вателям с июля 2002, позволит изменить размер раздела,
не разрушив при этом данных, причем нормально поддер-
живаются все версии NTFS и работает нормально со все-
ми версиями системы (Windows XP/2000/NT4, Windows
Server 2003 и даже беты Longhorn). Разработчиками сде-
лано все, чтобы свести риск потери данных к минимуму,
для подстраховки проводятся всевозможные проверки,
включая проверку на непротиворечивость данных, и, най-
дя проблемы и при возникновении подозрений, утилита
отказывается производить изменение размера. Давайте
проверим. Хотя уже появились графические средства, ис-
пользующие ntfsresize, но для начала разберемся с перво- Проверить работу можно, введя:

22

#./ntfsresize --info --force /dev/hda7
Как видите, утилита свою работу проделала, но изме-
нила только размер самой файловой системы NTFS, раз-
мер же дискового раздела остался неизменным (что мож-
но легко проверить, введя: fdisk -l | grep -i ntfs), и далее,
следуя инструкции, необходимо проделать еще несколько
шагов.
Неплохо бы для начала на всякий случай сохранить MBR.
# dd if=/dev/hda of=hda.mbr bs=512 count=1
Запускаем fdisk, конечно, было бы нагляднее восполь-
зоваться cfdisk, но если указать ему новое значение разде-
ла в мегабайтах, то он округлит до ближайшего значения,
которое, вполне возможно, будет меньше требуемой вели-
чины, что приведет к невозможности работать с разделом,
fdisk же корректно обрабатывает ситуацию.
# fdisk /dev/hda
Удаляем раздел, на котором размещается NTFS, в моем
случае это 7.
Создаем на его месте раздел с новым размером 500 Мб,
при этом начальный цилиндр обязательно должен совпа-
дать, т.е. судя по выводу выше – 3522.
Устанавливаем тип раздела для NTFS – 7.
Записываем изменения и выходим.
Если все выше проделывалось с LiveCD или дискетного
дистрибутива, то сразу же можно просмотреть информа-
цию о разделе.
# ./ntfsresize -i -f /dev/hda7
№8(21), август 2004
администрирование
Если же вся работа производилась в работающей с
жесткого диска системе, необходимо заново перечитать
данные о новом разбиении, для чего придется перезаг-
рузиться.
Но для нормальной работы обязательно нужно прове-
рить файловую систему средствами Windows.
Уже появились и графические утилиты, в том числе и
инсталляторы, позволяющие изменить раздел в наглядном
и понятном любому пользователю виде, которые использу-
ют код ntfsresize. К таким приложениям относятся DiskDrake
от MandrakeSoft, который может встретиться и в других
производных от Mandrake дистрибутивах, YaST от SUSE
доступный и после установки. Некоторые дистрибутивы
используют коммерческие утилиты для разбиения разде-
лов ASPLinux – PartitionExpert, Xandros использует PQDisk.
Но самой известной, распространенной и, главное, свобод-
ной графической утилитой, предназначенной для разбие-
ния диска, является QTParted (http://qtparted.sourceforge.net,
рис. 3). Те, кто пользовался PartitionMagic, трудностей с ос-
воением не встретят. Выбираем нужный раздел, далее пра-
вый клик – Resize (рис. 4 ), полозком или цифрами выстав-
ляем новый размер и подтверждаем изменения File →
Commit.
Ðèñóíîê 3
Ðèñóíîê 4
К сожалению, можно сделать вывод, что работа GNU/
Linux с файловой системой NTFS еще далека от идеала, а
учитывая трудности написания вслепую драйвера и пробле-
мы с полной эмуляцией, когда будет окончательное реше-
ние, сказать пока трудно. Но как видите, по сравнению с
предыдущими годами, сдвиги есть, и работа ведется уси-
ленными темпами. Так, сайт Linux-NTFS уже давно не об-
новлялся, потому что разработчики сосредоточились на
конечном результате. Будем надеяться, что он не заставит
себя долго ждать.
23
 администрирование
ЕЩЕ РАЗ О ClamAV:
ОСОБЕННОСТИ УСТАНОВКИ ВО FreeBSD
СЕРГЕЙ СУПРУНОВ
Статья Сергея Яремчука «Свободный антивирус», опубли-
кованная в мартовском номере журнала «Системный ад-
министратор» 2004 года, вдохновила меня на установку это-
го пакета на вверенном мне сервере. Однако выяснилось,
что под FreeBSD этот процесс происходит несколько ина-
че, чем под Linux, что и стало поводом для написания дан-
ной статьи. Впрочем, ничего сложного нет, поэтому мате-
риал ориентирован скорее на новичков.
Антивирус ClamAV имеется в коллекции портов FreeBSD,
а потому вполне разумным мне показалось выполнить ус-
тановку именно оттуда. Ряд проблем, с которыми пришлось
столкнуться, показал, что ClamAV портирован на эту ОС не
совсем корректно. Но обо всем по порядку…
Первым делом я отправился в /usr/ports/security/clamav.
Чтение Makefile позволило узнать, что предлагаемая вер-
сия – 0.73, что выглядит довольно хорошо (последняя на
тот момент была 0.74, но, как известно, «последнее» – не
значит «лучшее»). Там же узнаем опции, с которыми пакет
будет сконфигурирован:
CONFIGURE_ARGS= --with-dbdir=${DATADIR} ↵
--disable-clamuko --disable-clamav ↵
--enable-bigstack --disable-dependency-tracking
Опцию --disable-clamav, отменяющую работу от имени
пользователя clamav, я решил убрать – зачем пренебре-
гать дополнительной безопасностью? Ну и поскольку сис-
темные администраторы – люди исключительно бескорыс-
тные, и все их заботы и труды – о пользователях и ради
пользователей, то была добавлена поддержка milter для пос-
ледующей интеграции нашего антивируса с sendmail:
CONFIGURE_ARGS+= --enable-milter
Попутно я обратил внимание на следующую строчку:
OPTIONS= MILTER “Compile the milter interface” off
Попытка собрать систему вышеприведенной опцией и
без нее не обнаружила никаких различий. Более того, в
bsd.ports.mk упоминания параметра OPTIONS не нашлось.
Возможно, во FreeBSD он не используется.
Полагая, что подготовительные работы закончены и все
остальное инсталлятор сделает сам, была подана команда
make. И тут случилась первая аномалия: утилита, как и по-
ложено, попыталась скачать дистрибутив пакета, но толь-
ко с одного сайта – с ftp.freebsd.org, и заявила об отсут-
ствии там нужного ей файла clamav-0.73.tar.gz. Раньше я
такого не видел – на сервере операционной системы все-
гда в папке distfiles обнаруживался любой нужный портам
архив. Пришлось забирать требуемый файл с сайта проек-
та clamav.sourceforge.net.
24
Сборка пошла, но через несколько минут появилось
сообщение, что программа не будет нормально работать,
пока в системе не появится пользователь clamav. Пришлось
выполнить этот ультиматум вручную, хотя обычно порт со-
здает нужных ему пользователей самостоятельно.
Сборка завершилась успешно, инсталляция тоже особых
проблем не породила, не считая того, что с первого раза
вывалилась ошибка, а повторный make install, запущенный
для детального изучения проблемы, завершился без про-
блем. Видимо, с первой попытки не удалось закачать ка-
кой-то вспомогательный пакет. На стадии инсталляции тоже
частенько докачиваются и устанавливаются вспомогатель-
ные пакеты, которые для сборки не нужны, но используют-
ся в дальнейшей работе. В частности, для clamav именно
на этом этапе происходит установка портов unarj, unrar и т. д.,
если их нет в системе, а проверка архивов включена.
На первый взгляд все выглядело весьма респектабель-
но: конфигурационные файлы clamav.conf и freshclam.conf
чинно лежали в /usr/local/etc. В первом я включил заком-
ментированные по умолчанию опции LogTime, выводящую
в лог время события (лог при этом растет вдвое быстрее,
зато понятно, что и когда происходит), и ScanRAR, разре-
шающую проверку rar-архивов (проверка остальных по
умолчанию включена). Директория /usr/local/etc/rc.d обза-
велась еще двумя сценариями, призванными автоматичес-
ки запускать при перезагрузке компьютера демон clamd и
утилиту обновления баз freshclam.
Запуск clamscan продемонстрировал его работоспособ-
ность и вселил надежды на светлое будущее:
Однако сильно смущало время обработки – свыше 10
секунд для 20 Кб проверенных файлов (конфигурация сер-
вера – Celeron-466/64Мб, load average ~ 0.1). Может, дело в
каких-то «подготовительных работах» вроде подгрузки
базы данных, и на больших объемах дело пойдет лучше?
Действительно, проверка на папке /usr/ports/distfiles пока-
зала некоторое увеличение скорости:

Почти 2 секунды на каждый мегабайт. Ну да ладно. На-
грузка на мой сервер пока минимальна, будем надеяться,
что медлительность с лихвой окупится дотошностью. По
крайней мере тестовые сигнатуры в собственных пакетах
антивирусу обнаружить удалось. Следующая неприятность
ждала меня при попытке запустить демон традиционным
для FreeBSD способом:
/usr/local/etc/rc.d/clamav-clamd.sh start
Оказалось, что стартовые сценарии разработаны в сти-
ле Linux и для запуска из /usr/local/etc/rc.d не годятся. Пере-
носить их в /etc/rc.d с добавлением соответствующих оп-
ций (приведенных в начале стартовых скриптов) в файл
/etc/rc.conf я посчитал неправильным. Как бы то ни было,
но место всех программ, устанавливаемых пользователем, –
в /usr/local.
Ну что ж, раз не хочешь по-хорошему, сделаем все по-
своему. Созданные при инсталляции стартовые сценарии
были безжалостно уничтожены, а их место занял следую-
щий:
#!/bin/sh
# Manager for ClamAV: clamd & clamav-milter
case $1 in
start)
if [ -e /var/run/clamav/clamd.pid ]; then
echo 'Ingored - clamd already started.'
exit 0
fi
if [ -e /var/run/clamav/clmilter.sock ]; then
rm /var/run/clamav/clmilter.sock
fi
/usr/local/sbin/clamd
/usr/local/sbin/clamav-milter -blo ↵
/var/run/clamav/clmilter.sock
echo 'clamd & clamav-milter started'
;;
stop)
killall clamav-milter
kill -15 `cat /var/run/clamav/clamd.pid`
echo 'clamd & clav-milter stopped'
;;
restart)
kill -1 `cat /var/run/clamav/clamd.pid`
echo 'clamd restarted'
;;
fresh)
/usr/local/bin/freshclam
;;
*)
echo "Usage: `basename $0` ↵
{start|stop|restart|fresh}" >&2
;;
esac
exit 0
Удалять clmilter.sock я решил вручную, поскольку натол-
кнулся на то, что иногда он удаляется с некоторой паузой
(или не удаляется вообще) в результате уничтожения де-
мона clamav-milter, и при повторном запуске milter возника-
ет ошибка. (Кстати, следует убедиться, что имена и пути
№8(21), август 2004
администрирование
сокетов соответствуют друг другу в строке запуска clamav-
milter и в sendmail.mc.) С сокетом clamd.sock таких манипу-
ляций не понадобилось, поскольку демон успешно убивает
старый сокет сам, лишь сообщив в лог-файл об этом. Как
видно из файла, помимо демона clamd запускается и
clamav-milter. А вот в вопросе обновления баз я решил на
демонизацию freshclam не полагаться (хотя такая возмож-
ность предусмотрена) – зачем запускать еще один демон,
когда с этим отлично справится cron:
0 0,12 * * * /usr/local/bin/freshclam
Настройка sendmail была выполнена в полном соответ-
ствии с документацией и проблем не вызвала (см. статью
Сергея Яремчука). Нужно только не забыть перезапустить
сервер (make restart в /etc/mail).
Итак, затратив немного усилий, удалось заставить
clamav работать так, как это принято во FreeBSD. Конечно,
если бы порт был разработан более корректно, то и эти
усилия не понадобились бы.
В первые часы работы было «зарезано» около 50 зара-
женных писем (напомню, что лечить файлы ClamAV пока
не умеет), извещения о данном прискорбном факте были
добросовестно разосланы отправителям, получателям и ад-
министратору. Огорчало одно – язык сообщений был анг-
лийским, а зная своих пользователей, нетрудно было спрог-
нозировать раскаленный телефон службы технической под-
держки.
Но и эта проблема оказалась более чем решаемой: все
сообщения, отсылаемые пользователям, были сосредото-
чены в исходном файле clamav-milter.c и насчитывали не
более пяти строк. Таким образом, «русификация» свелась
к простому вбиванию новых слов взамен старых. Ну и в
заголовок отсылаемого письма была добавлена (в том же
clamav-milter.c) строчка «Content-Type: text/plain; charset=
”koi8-r”», поскольку без нее мой Outlook упорно пытался
подсунуть мне письма под видом win-1251. После правки
исходника – повторная сборка и установка. Результат пред-
ставлен на рисунке.
В заключение следует заметить, что проблемы, описан-
ные в статье, вполне вероятны при попытке запустить на
FreeBSD и иные приложения, первоначально разработан-
ные для другой ОС. Методы решения большинства из них
будут аналогичными. Главное – хорошо представлять себе,
что должно получиться в итоге.
25
администрирование

CROSSOVER
И
ЛИЦЕНЗИОННЫЙ ВОПРОС

АНДРЕЙ БЕШКОВ

26

В ответ на публикацию трилогии о CrossOver Office в мой
почтовый ящик посыпались читательские письма с раз-
нообразными вопросами. Сегодня мы займемся самым ча-
сто встречающимся из них: «Объясните мне смысл поку-
пать этот продукт, если есть wine».
Wine – это, конечно, хорошо, но в некоторых областях
CrossOver на данный момент впереди планеты всей. На-
пример, продвинутая поддержка InstallShield, удобство ин-
терфейса, простота установки и самое главное – очень
дружелюбная служба технической поддержки. Впрочем,
это уже индивидуальные вкусовые предпочтения. Боль-
шинство читателей в силу особенностей менталитета бо-
лее всего интересует вариант, чтобы можно было и рыбку
съесть, и косточки сдать. То есть получить все бесплатно.
Моралисты всех мастей сейчас начнут качать головой и
говорить: «Ой, как нехорошо». Ну а мы посмотрим, как
добиться решения поставленной задачи. Предположим,
что у нас установлена версия CrossOver Office c ограни-
чением на 30 дней. Проявив немного любознательности,
можно заметить, что после инсталляции у нас на жестком
диске появился файл /var/run/cxoffice/.evaluation. Хотя в не-
которых дистрибутивах Linux этот файл может находить-
ся, к примеру, в домашней директории пользователя. Для
того чтобы пробный период никогда не закончился, нужно
всего лишь удалять его раз в несколько дней. Данный трюк
работает на основе того, что начало тестового периода
всегда отсчитывается от даты создания вышеупомянуто-
го файла. А если его на диске нет – значит программа счи-
тает, что запущена в первый раз и пользователю полага-
ется законные тридцать пробных дней. Насколько я пони-
маю, с юридической точки зрения тут нет никаких проблем.
Владелец компьютера имеет полное право удалять любые
файлы, хранящиеся на жестком диске личного компьюте-
ра. Ну а тот факт, что защита программы от этого будет
неправильно работать, однозначно относится к личным
проблемам разработчика.
В то же время можно пойти совсем другим путем и стать
официальным пользователем коммерческой версии Cross
Over Office совершенно бесплатно. И самое главное, что
мы не только соблюдаем все законы, что само по себе
достойно всяческих похвал, но еще и помогаем развитию
проекта. Для этого нужно, вооружившись именем пользо-
вателя и паролем, которые нам выдали при первичной ре-
гистрации, войти на сайт http://www.codeweavers.com/login.
Затем ознакомиться с документацией по центру совмес-
тимости приложений http://www.codeweavers.com/site/
compatibility. Центр создавался с одной-единственной це-
лью облегчить взаимодействие между разработчиками и
пользователями продукта. Соответственно посещать его
в любом случае полезно, но мы сейчас не об этом. В со-
ставе центра находится список приложений, которые так
или иначе работают под CrossOver Office. Посмотреть на
его наполнение можно здесь: http://www.codeweavers.com/
site/compatibility/browse/name. С выходом новых версий
CrossOver Office из-за изменений, вносимых в код, одни
приложения начинают работать лучше, а другие наобо-
рот – хуже, соответственно, разработчики проекта заин-
тересованы в большом количестве бета-тестеров. Таким
образом, можно будет очень быстро заметить, насколько
№8(21), август 2004
администрирование
ухудшилось самочувствие той или иной программы и по
горячим следам провести корректировку кода системы.
Тут мы как раз и подходим к самому интересному. Бета-
тестеров проекта называют адвокатами приложений по
той причине, что каждый из них следит за самочувстви-
ем дорогих ему сердцу программ. Подробнее почитать о
процессе адвокатства и получаемых от него выгодах
можно тут – http://www.codeweavers.com/site/compatibility/
advocate_overview. Если говорить коротко, то адвокаты
получают в свое распоряжение новейшие версии коммер-
ческих разработок CrossOver Office. Все отчеты от адво-
катов по поводу тех или иных проблем, возникающих в
процессе эксплуатации программного продукта, попада-
ют на рассмотрение технической службы вне очереди.
Плюс ко всему возможность напрямую общаться с нуж-
ными вам людьми из команды СodeWeavers. Также при-
ветствуется голосование за интересные для вас приложе-
ния, таким образом можно стимулировать разработчиков
уделять больше внимания именно этой программе.
В обмен на такие услуги адвокат должен заниматься
тестированием своего приложения на новых версиях
CrossOver Office, помогать другим пользователям, у кото-
рых возникли проблемы установки или использования дан-
ного приложения, активно поддерживать форум приложе-
ния, участвовать в дискуссиях по поводу тех или иных про-
блем системы и, наконец, отправлять отчеты о найденных
ошибках. Думаю, это небольшая плата за возможность
пользоваться коммерческой версией CrossOver Office, к
тому же все это происходит на добровольных началах, по-
этому не стоит ожидать, что кто-то будет стоять над вами
с палкой и требовать отработать n-ое количество челове-
ко-часов на благо проекта.
Все, кто захотел стать адвокатом и тем самым помочь
проекту, могут сделать это прямо сейчас. В списке про-
грамм нужно выбрать то приложение, которое нравится
вам: http://www.codeweavers.com/site/compatibility/browse/
name.
В качестве примера давайте используем 1C Предпри-
ятие, у которого пока что нет адвокатов ht tp://
www.codeweavers.com/site/compatibility/browse/
name?app_id=298. На страничке приложения нажать на
ссылки «Want to help?» затем «help CodeWeavers» и, на-
конец, «Make Me an Advocate». В течение нескольких бли-
жайших дней ваша заявка будет рассмотрена и, скорее
всего, удовлетворена. О назначении вас адвокатом мож-
но узнать, периодически заходя на страницу приложения.
В случае если интересующих вас приложений в базе най-
ти не удалось, есть возможность добавить их самому:
http://www.codeweavers.com/site/compatibility/submit/ и уже
затем стать адвокатом. Кстати, стоит отметить, что ко-
личество адвокатов, работающих над одним приложени-
ем, теоретически не ограничено, но на практике больше
пяти не бывает.
Став адвокатом, можно будет получить доступ к внут-
ренним форумам и разделу с новейшим программным обес-
печением: http://www.codeweavers.com/site/compatibility/
advocate_center/. Также стоит подписаться на списки рас-
сылки: http://www.codeweavers.com/site/support, довольно
часто там обсуждают интересные проблемы.
27
 администрирование

В ЯБЛОЧКО!
КРАТКИЙ ОБЗОР ОС DARWIN 7.0
НА ПЛАТФОРМЕ X86 (MAC OS X 10.3 JAGUAR)
Полгода прошло с момента выхода в свет
последнего релиза упомянутого в заголовке
продукта. Президент Apple Стив Джобс
подтвердил, что MacOSX действительно
можно запустить на x86-платформе [1].
Давайте разберемся, что же может привлечь
потенциального пользователя/администратора,
помимо легендарного названия фирмы Apple
Computer? В первую очередь, ориентирование
компании на постепенное расширение своей
продукции. Как известно, на протяжении своей
истории операционные системы фирмы Apple
работали только на оборудовании самой Apple.
Отчасти это правильно. Приходится меньше
волноваться о вопросах совместимости
аппаратного и программного обеспечения.
В то же время это и откровенный тупик
в развитии.

Что же из себя представляет Darwin? Если коротко – это
некое ядро операционной системы MacOSX, оно состоит
из 5 главных компонентов: микроядро Mach, BSD-подсис-
тема, файловая система, сетевая подсистема и система
ввода-вывода (I/O Kit).
! Микроядро Mach занимается распределением вычисли-
тельных ресурсов, защитой памяти, обменом сообще-
ний между процессами.
! Вокруг микроядра существует «обертка» из POSIX API,
абстрактная файловая система и сетевая подсистема.
Многое в микроядре заимствовано из 4.4 BSD-Lite2, со-
ответственно модель процессов, система безопаснос-
ти, потоковая поддержка покажутся знакомыми всем,
кто работал с BSD-системами.
! Файловая система поддерживает как UNIX (UFS), так и
«родную» маковскую файловую систему (HFS).
! TCP/IP-стек основан на проверенном временем BSD-
коде.
! Объектно-ориентированная система ввода/вывода пред-
ставляет развитую инфраструктуру для управления
драйверами устройств.
АНТОН БОРИСОВ
Дискутировать относительно открытости продуктов са-
мой фирмы Apple можно долго, однако нас в первую оче-
редь должно волновать несколько моментов:
! списки совместимости с оборудованием (так называе-
мые hardware compatibility list [3]);
! знание структуры *BSD-систем;
! потребность в использовании данной ОС в обучающем
процессе на производстве.
Насчет первого пункта сильно огорчаться не следует,
т.к. система стартует и работает на более-менее современ-
ной x86 машине. В общем-то, Intel Celeron 366, 128 Мб па-
мяти должно хватить для ознакомления. Также следует об-
завестись одной из следующих сетевых карт: 3Com 3c90x,
Intel 8255x, Broadcom 570x, Realtek 8139, Dec 21x4 (она же
Tulip). Встроенные сетевые карты, к сожалению, не поддер-
живаются. Видеокарта должна работать в VESA-режиме.
Для начала возьмем дистрибутив с сайта OpenDarwin
[4]. Он из себя представляет упакованный gzip-образ, кото-
рый потом надо записать на компакт-диск. Размер упако-
ванного образа составляет 430 Мб.

К сожалению, графическая подсистема MacOSX (Quick wget -ct0 http://opendarwin.org/downloads/darwin-701.iso.gz

Time, OpenGL, Quartz), пользовательский интерфейс (Aqua)
не присутствуют в системе. Хотя и без них Darwin является
уже полноценной ОС. Более подробно об истории возник-
новения Darwin см. [2].
gzip -d darwin-701.iso.gz
cdrecord -v darwin-701.iso
Для дальнейшей работы потребуется пустой жесткий
диск размером не более 2 Гб или такого же объема раздел.

28

Установленная система занимает примерно 1 Гб. Ос-
тавшееся место будем использовать для сборки необходи-
мых пакетов.
Настраиваем загрузку с компакт-диска, и после опре-
деления оборудования ядром ОС мы увидим приглашение
выбрать тот диск, на который хотим поставить операцион-
ную систему.
Пункт 1 предназначен для установки на пустой диск. В
случае, когда не надо иметь на диске несколько систем,
выбирайте его. Пункт 3 предназначен для случая, когда
место заранее выделено и размечено под операционную
систему Darwin (ее идентификатор 0xA8, см. далее по тек-
сту).
Если вам не подошли пункты 1 или 3, тогда вспомина-
ем, что настоящие герои всегда идут в обход и выбирают
самый легкий путь. В целом разметка вручную не так и
страшна, как кажется на первый взгляд.
Выбираем пункт 2. Для начала следует ознакомиться с
командами fdisk данной системы.
Правильно, нажимаем слово «help» и читаем, что есть
в меню. Команд немного, поэтому можно набирать не пол-
ную версию, а, например, сокращать до 2 начальных букв.
То есть вместо «help» писать «he».
Команды прочитаны, пора выделить место под наше
сегодняшнее яблочко. Распечатаем содержимое MBR дис-
ка, на который будем ставить ОС. Для этого подаем коман-
ду «print». Видим теперь, где находятся разделы и свобод-
ное место. Для редактирования свободного места подадим
команду «edit ID», где ID – это номер раздела, предполо-
жим под номером 2 (то есть на текущем диске первичный
раздел номер 2). Процедура выбора необходимого разме-
ра для нового раздела не составит, я надеюсь, особого тру-
да. Отмечу, что размер считается в секторах, а не в кило-
байтах. Идентификатор файловой системы для Darwin име-
ет код 0xA8 (Darwin UFS).
Затем следует обновить информацию в MBR (Master
Boot Record). Если вы ставите на чистый диск, то в MBR
никакого загрузчика нет. Поэтому следует записать в него
штатный, идущий в комплекте с OpenDarwin. В случае ког-
да вы устанавливаете на отдельный раздел, все равно при-
дется перезаписать MBR. В этом нет ничего страшного, т.к.
дальше в статье разъясняется на примере LILO, как сде-
лать загрузку нескольких операционных систем.
Для этих целей предусмотрена команда «update». Пос-
ле этого запишем в MBR непосредственно сведения о раз-
деле, в котором будет жить наша «яблочная» операцион-
ная система. Сделаем это с помощью команды «write».
Следует помнить, что в MBR записывается новый загруз-
чик, поэтому если у вас стоял LILO, GRUB или что-то ана-
логичное, то он будет просто-напросто переписан загруз-
чиком от Darwin. У меня используется LILO, поэтому я про-
сто добавил в /etc/lilo.conf следующую строчку:
# DarwinOS begins
other = /dev/hdd2
label = DarwinOS
# DarwinOS ends
№8(21), август 2004
администрирование
И запустив /sbin/lilo, перезаписываю MBR. Теперь при
старте можно будет выбрать загрузку с раздела hdd2, где
обитает OpenDarwin.
Всё. Выставим флаг активности раздела (команда
«active ID», где ID – опять-таки нужный нам номер разде-
ла). И завершим разметку подав команду «exit».
После этого осталось дождаться, чтобы установились
пакеты, входящие в состав компакт-диска. Как говорится,
возьмите чай, кофе – сахар по вкусу.
В ходе установки внимание обращает тот факт, что все
пакеты находятся в упакованном виде. Сжаты они с помо-
щью bzip2. После установки истинно «яблочных» пакетов,
таких как AppleUSBAudio, следом идут пакеты с до боли
знакомыми названиями. Согласитесь, что такие строчки,
как apache-670tar.bz2, bind9-7tar.bz2, gcc-1495tar.bz2, вам
о чем-то говорят. В этом нет ничего удивительного, т.к. си-
стема, как вы, наверное, слышали, базируется на BSD.
Большинство утилит, присутствующих в системе, хоро-
шо знакомы людям, постоянно работающим в Open/Net/
FreeBSD, да и тем, кто когда-либо занимался сборкой про-
грамм под UNIX.
Вернемся к нашему яблоку. Перегружаемся, не забы-
ваем вытащить из привода компакт-диск. Далее загрузка
будет происходить с нашего жесткого диска.
Вот несколько интересных, на мой взгляд, строк, кото-
рые можно наблюдать при старте системы. Ваше аппарат-
ное обеспечение отличается от моего, но по аналогии мо-
жете сами проследить отличия.
Итак, строка externalClock = 0x85 означает, что шина
работает на частоте 133 МГц (переведите цифры в деся-
тичное представление). Строка currentClock = 0x5ba разъяс-
няет, что текущая тактовая частота равна 1466 МГц, а мак-
симальная частота для этого типа процессора равна 2250
МГц (maximumClock = 0x8ca).
Стоит разъяснить, откуда появляется надпись «hfs_
mount: invalid HFS+ sig 0x0000». Вы помните, когда мы ста-
вили идентификатор раздела, то поставили 0xA8 (Darwin
UFS). В связи с чем делаем вывод, что корневой раздел у
нас отформатировался в UFS-формате. Ничего страшно-
го, кроме досадного факта, что файловая система у нас
получилась нежурналируемая. Для того чтобы корневая
файловая система была в HFS+ формате, при начальной
разметке диска следует ставить идентификатор 0xAF (вме-
29
 администрирование
сто 0xA8). Перевести систему из UFS в HFS+ пока не пред- else
ставляется возможным. sysctl -w net.inet.ip.forwarding=0 > /dev/null
fi
Процесс загрузки ОС кардинально не отличается от
процесса загрузки системы на FreeBSD. Знакомые конфи- ifconfig en0 10.0.0.10 netmask 255.255.255.0
гурационные файлы в /etc (rc, rc.boot, rc.common, fstab, }
syslog.conf и т. д.). StopService ()
Итак, перед нами приглашение на вход в систему. За- {
ходим под пользователем root (пароль изначально не уста- return 0
}
новлен). Что необходимо сделать на этом этапе? Попробу-
ем поднять сеть? Давайте сделаем! RestartService ()
{
Даем команду: return 0
}
# ifconfig RunService "$1"

Вот так выглядит файл Network на моей машине. До-

Ага, вот и наша сетевая карта (интерфейс en0). Есть
два пути – правильный и не очень правильный. Чтобы про-
писать в Darwin IP-адрес для интерфейса, в /etc/ надо со-
здать файл iftab. Структура его следующая:
en0 inet 10.0.0.10 netmask 255.255.255.0 up
где 10.0.0.10 – IP-адрес, 255.255.255.0 – маска сети, «up» –
интерфейс при загрузке поднять.
Стоит отметить, что файла /etc/rc.conf в Darwin просто
нет. Поэтому вписать информацию о сетевых адресах по
аналогии с FreeBSD не получится.
Так вот, правильный путь не работает. Поэтому либо
пропишем в /etc/rc.common наш сетевой адрес (для этого
найдите функцию CheckForNetwork() – в ее теле и надо про-
писать), либо идем в системный каталог автозагрузки. Его
полный путь – /System/Library/StartupItems. Каталог, отве-
чающий за сеть, именуется Network.
Файл, который необходимо отредактировать, совпада-
ет с названием каталога (его имя тоже Network). Обратите
внимание, что на нем установлены биты на исполнение.
# cat Network
#!/bin/sh
##
# Configure network interfaces and host name
##
. /etc/rc.common
StartService ()
{ Для текстового режима необходимо поменять параметр
ConsoleMessage "Initializing network"
ipconfig waitall > /dev/null 2>&1
if [ "${IPV6:=-YES-}" = "-NO-" ]
then
sysctl -w net.inet6.ip6.auto_on=0 > /dev/null
ip6 -x
fi
if [ "${IPFORWARDING:=-NO-}" = "-YES-" ]
then
sysctl -w net.inet.ip.forwarding=1 > /dev/null
бавленная строка выделена красным цветом.
Небольшое уточнение, выясненное в ходе настройки.
При переходе на новую систему не надо забывать, что струк-
турно Darwin не отличается от FreeBSD или, скажем, Linux
в плане загрузки модулей. Что я хочу этим сказать. Если у
вас сетевая карта опознана, то Darwin подгрузит для нее
модуль. Как только модуль подгружен, то можно выстав-
лять IP-адрес и маску. В общем, если выставляете IP-ад-
рес в один из rc-файлов, будьте внимательны.
Вставляйте строку после загрузки модулей ядра (они
загружаются демоном kextd).
На этом этапе сеть у нас готова. Правда, развертка мо-
нитора может раздражать. Мы ведь работаем в VESA-ре-
жиме. Вертикальная развертка 60 Hz.
Давайте зададим текстовый режим консоли. Для этого
редактируем файл /Library/Preferences/SystemConfiguration/
com.apple.Boot.plist.
В оригинале он выглядит так.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/P
ropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Kernel</key>
<string>mach_kernel</string>
<key>Kernel Flags</key>
<string> -v</string>
<key>Boot Graphics</key>
<string>Yes</string>
<key>APM</key>
<string>Yes</string>
</dict>
</plist>
Да, забыл сказать. Почти все конфигурационные фай-
лы в Darwin хранятся в xml-формате. Что мы сейчас и ви-
дим.
Boot Graphics с Yes на No. Со следующей загрузки будет
использоваться текстовый режим.
Добавим теперь сервисы ftp, telnet. Редактируем файл
/etc/inetd.conf, удаляем ненужные символы, ставим коммен-
тарии перед нужными нам службами.
Посылаем сигнал, чтобы демон inetd перечитал свои
настройки.
killall -1 inetd

30
 администрирование
Отлично. Службы появились. {
Теперь задумаемся, а может, нам еще нужен и веб-сер- Description = "smb file server";
Provides = ("Samba");
вер? А DNS-сервер? Что ж, пробовать, так все и сразу. Requires = ("Resolver");
Чтобы запускать указанные и некоторые другие служ- OrderPreference = "None";
Messages =
бы, при старте Darwin существует файл /etc/hostconfig: {
start = "Starting Samba";
stop = "Stopping Samba";
# cat /etc/hostconfig };
}
# /etc/hostconfig
## Вставляем в файл /etc/hostconfig строчку SMBSER-
# This file is maintained by the system control panels
## VER=-YES- и в дальнейшем надо будет выделить samba-
ресурсы (файл /etc/smb.conf).
# Network configuration
HOSTNAME=DarwinOS Так, со службами все понятно. Установим локальное
время в системе.
# Services
AUTOMOUNT=-NO-
CUPS=-NO- cd /etc
IPFORWARDING=-NO- ln -s /usr/share/zoneinfo/Europe/Moscow localtime
IPV6=-YES-
NETINFOSERVER=-NO- Для необходимого нам hostname следует подправить
NISDOMAIN=-NO-
RPCSERVER=-YES- файл /etc/rc.boot. Вместо строки по умолчанию «hostname
QTSSERVER=-YES- localhost» вставим «hostname DarwinOS».
WEBSERVER=-YES-
DNSSERVER=-NO- Теперь мы рассмотрим концепцию NetInfo, реализован-
COREDUMPS=-NO- ную в Darwin. Система может искать информацию как в
VPNSERVER=-NO-
файлах службы NetInfo, так и в «плоских» («plain text») фай-
Если параметр установлен в -YES-, тогда при старте лах (/etc/fstab, /etc/passwd и др.).
указанные службы будут запущены. Для добавления пользователя, существует утилита niutil
Запуском apache (строка WEBSERVER=-YES-) занима- (NetInfo Util). С помощью этой же утилиты настраивается
ется файл /System/Library/StartupItems/Apache/Apache. большая часть системы.
Для DNS-сервера выделен файл /System/Library/Startup
Items/BIND/BIND. В целом прослеживается аналогия со niutil -create / /users/Bob
niutil -createprop / /users/Bob shell /bin/tcsh
структурой системных файлов, например, как в Linux niutil -createprop / /users/Bob realname UncleBob
Slackware. В последней скрипты, запускающие определен- niutil -createprop / /users/Bob home /Users/Bob
niutil -createprop / /users/Bob _shadow_passwd
ный сервис, называются /etc/rc.d/rc.ServiceName.
Строка MAILSERVER предназначена для почтовой служ- Комментарии, надеюсь, излишни? Сначала мы создали
бы postfix, TIMESYNC – для синхронизации времени, CUPS – объект Bob в иерархии /users, а затем добавили этому
для сервиса, отвечающего за печать, SMBSERVER – samba- объекту свойства. Добавить добавили, но надо и создать
сервис, добавим самостоятельно чуть позднее. ему домашний каталог.
Картина вырисовывается следующая. Сначала отраба-
тываются файлы /etc/rc*, а затем – соответствующие фай- cd /Users
mkdir Bob
лы в /System/Library/StartupItems. chown -R Bob:wheel Bob
Чтобы запустить свой сервис, необходимо создать в /Sys-
tem/Library/StartupItems директорию с названием сервиса. Теперь у Bob домашняя директория, да и сам он полу-
В ней должны находиться: исполняемый файл, совпадаю- чился по умолчанию в группе wheel. Можно переделать,
щий с названием только что созданной директории и ин- добавив через niutil пользователю uid и gid.
формационный файл StartupParameters.plist. Для получения списка объектов в иерархии NetInfo вы-
Давайте посмотрим, как создать скрипт сервиса, отве- полним команду:
чающего за старт samba-сервера.
niutil -list . /
#!/bin/sh

# Include system wide configuration options Получим список корневых иерархий. Для просмотра
объекта resolver (аналог /etc/resolver):
. /etc/rc.common
# Start SMB services niutil -read . /locations/resolver

if [ "${SMBSERVER:=-NO-}" = "-YES-" ]; then

Создадим запись в объекте resolver:
ConsoleMessage "Starting SMB services"
/usr/sbin/smbd -D niutil -createprop . /locations/resolver ↵
/usr/sbin/nmbd -D nameserver 10.0.0.100
fi Всю базу NetInfo можно просмотреть:

Файл StartupParameters.plist: nidump -r / / > nidump.txt

№8(21), август 2004 31

 администрирование
Приступаем к заключительной части нашей статьи. Го-
товимся к прыжку в окна X-сервера. ./configure --prefix=/usr/local/blackbox
В Darwin он называется XDarwin (это портированный в make && make install
Mac OS проект XFree86). В системе обнаруживается толь-
ко один оконный менеджер. Это twm. Меняем .xinitrc.
Для запуска twm создадим в домашней директории
файл .xinitrc: echo “/usr/local/blackbox/bin/blackbox” > ~/.xinitrc

# cat ~/.xinitrc Теперь, как мне кажется, намного симпатичнее.

/usr/X11R6/bin/xterm & Большую часть приложений придется собирать из исход-
/usr/X11R6/bin/twm ников. Кому нравится GNOME, нет проблем. Дело вкуса.
Для любителей клубнички даже существует проект darwine,
Не забываем, что он должен иметь установленным ис- запуск windows-приложений под Darwin (небезызвестный
полняемый бит. родоначальник – проект wine).
Пару слов о модулях, упомянутых в начале статьи. Про-
# chmod +x .xinitrc смотр информации о загруженных модулях:

А теперь в окна! То есть в X-сервер. # kextstat

# startx

В списке я оставил упоминания модулей, названия ко-

торых отчасти говорят о платформе и используемом обо-
рудовании.
! kextload kextName – загрузка модуля под именем
kextName (они находятся в /System/Library/Extensions).
Как-то непривычно, не правда ли? ! kextunload kextName – соответственно выгрузка из па-
Давайте поменяем twm на другой менеджер. Например, мяти модуля kextName.
blackbox. Сказано – сделано. ! kextxcache – подготовка базы модулей, хранящихся в
/System/Library/Extensions.

Apache-сервер, которым комплектуется система, иден-

тифицируется следующим образом:

wget -ct0 http://prdownloads.sf.net/blackboxwm/ ↵

blackbox-0.65.0.tar.gz
mkdir ~/sources
mv blackbox-0.65.0.tar.gz sources
tar xzvf blackbox-0.65.0.tar.gz
cd blackbox-0.65.0

32

Настройка ничем оригинальным не отличается.
Интересно, как же идентифицируется система со сто-
роны. Сейчас поглядим. Заходим на удаленную машину. И
оттуда запускаем наш сканер портов nmap.
rootfuji:# /usr/local/nmap/bin/nmap -v -sS -O darwin
Со стороны не отличишь, действительно ли это MacOSX
на платформе PPC или x86. Жаль, что ни Aqua, ни Quartz
не предусмотрены.
Посмотрим на samba-ресурсы удаленной машины.
DarwinOS:~ root# smbclient -L fuji -I fuji 2> /dev/null
Посмотрим на геометрию диска из-под ОС Darwin.
DarwinOS:~ root# fdisk /dev/rdisk1
Наглядно и просто. Файловых систем не так уж и много.
# ls /System/Library/Filesystems
№8(21), август 2004
администрирование
Файловая система NTFS доступна только на чтение. Для
монтирования файловой системы из-под Linux:
# mount /dev/hdd2 /mnt/hd –t ufs –o, ufstype=44bsd
На момент написания статьи поддержка из-под Linux
только на чтение.
Напоследок пара строк о средстве фильтрации трафи-
ка. Конечно, это ipfw. Полностью похож на своего *BSD-
собрата. Впрочем, это не собрат, а скомпилированный под
Darwin оригинальный ipfw. Правила задаются и убирают-
ся абсолютно так же, как и в FreeBSD. Более подробно
см. в статьях: «Ipfw и управление трафиком в FreeBSD»
(№6 журнала «Системный администратор» за 2003 год),
«Сам себе антихакер. Защита от хакерских атак с помо-
щью ipfw» (№1 журнала «Системный администратор» за
2004 год).
В целом из машины на основе OpenDarwin вполне воз-
можно сделать почтовый релей, систему доступа из Интер-
нета по ppp-соединению, веб-сервер. Основные компонен-
ты по созданию сетевой инфраструктуры уже присутству-
ют в системе: postfix, mysql, php, apache, bind, perl. Относи-
тельно сетевой безопасности – код стека TCP/IP, как гово-
рилось в начале статьи, основан на оригинальном BSD-коде.
Если каких-либо программ не хватает, то следует обратить-
ся на сайт [7]. Вполне возможно, что эти программы уже
портированы и доступны, как ports.
Несколько слов о компиляции программ под Darwin. В
системе используется GNU Compiler Collection. Поэтому
особых проблем при сборке возникнуть не должно. В Darwin
я встретил такое понятие, как «толстые» файлы («fat»-files).
То есть при сборке файлы компилируются под несколько
архитектур, например, под PPC и под x86. И собираются в
один бинарный файл. При выполнении файла происходит
определение архитектуры и передается управление на не-
обходимый участок кода. В частности, ядро, идущее с сис-
темой, собрано с поддержкой как PowerPC (PPC) архитек-
туры, так и x86.
Конечно же, статья не претендует на полное освещение
всех нюансов «фруктовой» ОС. Она предназначена в пер-
вую очередь для тех, кто собирается расширить свой кру-
гозор, и тех, кто неравнодушен к самой компании Apple
Computer.
Мечты придуманы для того, чтобы из них делать реаль-
ность. И фруктовая компания не забывает об этом.
Ссылки:
1. http://developer.apple.com/darwin/history.html
2. http://news.com.com/2100-1045_3-5103279.html
3. http://www.opendarwin.org/hardware/
4. http://blackboxwm.sf.net
5. http://www.opendarwin.org/documentation/
6. http://www.mymac.ru
7. http://darwinports.opendarwin.org
8. Потемкин А. Mac OS X или то, что должен знать каждый
про Macintosh, Apple и операционные системы. – // Жур-
нал «Системный администратор», №7, июль, 2003 г. –
68-77 с.
33
 администрирование

ПРАКТИКА РАБОТЫ С NetBSD:

ПРОФИЛИРОВАНИЕ ЯДРА

АЛЕКСАНДР БАЙРАК
Перед началом рассмотрения процесса профилирования я # cp /netbsd /netbsd.old
предполагаю, что вы установили исходные тексты системы
и умеете перекомпилировать ядро. Как это сделать, было Копируем в корень новое:
описано в статье «Первые шаги в NetBSD. Часть 1», опуб-
ликованной в июньском номере журнала. # cp netbsd /netbsd
Целью и задачей профилирования ядра служит сравне-
ние производительности старого и нового ядра. Например, Перезагружаемся:
вы скомпилировали новое ядро, и по вашим расчетам оно
должно работать быстрее первого, но желаемого резуль- # reboot
тата получено не было. В чем дело? Где вы ошиблись? Все
это можно будет выяснить, используя профилирование Сразу после загрузки системы проверим, работает про-
ядра. Если вы собираете NetBSD для какой-либо встроен- филирование или нет.
ной системы, без профилирования вам точно не обойтись.
Ведь во встроенных системах аппаратные характеристики # kgmon – b
железа, как правило, очень ограниченны. А без использо-
вания профилирования вряд ли удастся настроить систему В ответ мы должны получить:
на оптимальную производительность.
Рассмотрим пример профилирования для NetBSD, ра-
ботающей на обычном x86-компьютере. Для примера мы Теперь отключим профилирование:
возьмем ядро GENERIC, поставляющееся с системой по
умолчанию, и сравним его по производительности с собран- # kgmon –h
ным вами новым ядром.
Соберем профилированное GENERIC-ядро. В ответ мы получим:
Переходим в каталог, где располагаются конфигураци-
онные файлы ядра:
Теперь нам нужно поместить данные kgmon в файл.
# cd /sys/arch/i386/conf/
# kgmon –p
Опция –p указывает, что собираемое ядро будет про-
филироваться: После этой команды мы получим файл gmon.out разме-
ром около 3 Мб.
# config –p GENERIC Далее нам нужно получить вывод gprof:

Запускаем сборку ядра: #gprof /netbsd > gprof.out

# cd ../compile/GENERIC.PROF/ Должен заметить, имя файла для вывода можно выб-

# make depend && make
рать самому. Примерно через 2-3 минуты в текущем ката-
Сохраняем старое ядро: логе появится заказанный нами файл gprof.out. После это-

34

го переходим непосредственно к процессу анализа полу-
ченных данных. Смотрим наш gprof.out (или как вы его на-
звали).
Первым разделом идет Flat profile, это список всех выз-
ванных функций, время и количество их вызовов.
Вот пример части вывода:
Дальше в том же духе. Давайте рассмотрим содержа-
ние этих столбцов более подробно.
1. Сколько всего времени (в процентах) исполнялась та или
иная функция.
2. Общая сумма времени (в секундах) выполнения всех
функций до текущего момента.
3. Время (в секундах) исполнения какой-либо функции. Это
основной показатель данной таблицы.
4. Общее количество вызовов некой функции.
5. Среднее время (в миллисекундах), истраченное на вы-
зов функции. Если функция не профилируется, то
столбец останется пустым. Например, функцию idle,
как вы понимаете, «улучшить» никак нельзя, поэто-
му текущий столбец для этой функции оказался не-
заполненным.
6. Среднее время (в миллисекундах), истраченное этой
функцией и ее потомками на вызов. Так же, как и в пре-
дыдущем столбце, если функция не профилируется, зна-
чение остается пустым.
7. Имя функции.
Как видно из этого фрагмента, подавляющее большин-
ство времени система бездействовала.
Теперь следует раздел Call Graph Profile. Его задача –
показать дальнейшие запросы («потомки») от перечислен-
ных функций.
Вот часть вывода:
И так далее. Всего 6 столбцов с данными.
1. Уникальное число, присвоенное каждой функции.
2. Cколько времени (в процентах) исполнялась некая фун-
кция и все ее «потомки».
3. Общий процент времени, истраченный на эту функцию.
4. Общее время, занятое «потомками» этой функции.
5. Сколько раз функция была вызвана. После «/» идет ко-
личество вызовов этой функции ее потомками. Рекур-
сивные вызовы не учитываются.
6. Имя функции.
№8(21), август 2004
администрирование
Следующим разделом этого файла является список всех
функций, которые указывались выше, отсортированные в
алфавитном порядке, и с указанием уникального номера,
присвоенного в разделе Call graph profile. После того как
мы проанализировали полученные данные, давайте созда-
дим еще одно ядро системы. Отличие от «оригинального»
будет в заведомой «заторможенности» одной из функций.
Для примера (как и в NetBSD handbook) возьмем функцию
check_exec. Настало время немного поправить ядро систе-
мы. Берем свой любимый текстовый редактор и открыва-
ем файл /usr/src/sys/kern/kern_exec.c. Ищем там функцию
check_exec и добавляем в конце вот такой код:
for (x = 0; x < 100000000; x++)
{
y = x;
}
Не забыв в начале функции check_exec, написать:
int x;
int y;
После внесения этих нехитрых изменений, снова пере-
компилируем ядро. Естественно, с профилированием. Пе-
резагрузившись, повторяем уже известные нам действия
по созданию файлов gmon.out и gprof.out. И переходим к
анализу полученных файлов.
В данном случае результат сразу бросается в глаза, вот
что у меня получилось в gprof.out, раздел Flat profile:
Сравним получившиеся результаты функции check_exec
с теми, которые были получены до модификации после-
дней.
До:
После:
Разница, я думаю, всем понятна. А теперь представим,
что изменения, аналогичные тем, что мы специально доба-
вили в систему для уменьшения производительности, по-
пали в код случайно, например, вследствие ошибки про-
граммиста. Без профилирования, как мне кажется, будет
сложно узнать, что именно «притормаживает» систему. А
какие перспективы открывает профилирование для оцен-
ки оптимизации кода ядра! Внесли некоторые изменения в
процедуру, погоняли машину в тестовом режиме, сравни-
ли результаты с тем, что было в старом варианте и что по-
лучилось в новом.
И все видно сразу как на ладони. Для любителей опти-
мизации и разработчиков встроенных систем это просто
находка!
Вообще тема профилирования достаточно обширна, но
думаю, что описанного выше простого примера вполне до-
статочно, чтобы понять принцип профилирования ядра.
35
 администрирование

ЗНАКОМСТВО С USERGATE
АНДРЕЙ УВАРОВ
Одной из «вечных» проблем является организация учёта ка, то есть для пользователя можно установить учёт как
интернет-трафика пользователей. Многие из тех, кто стал- только входящего, так и входящего и исходящего трафи-
кивался с этой задачей, знают, что решается она не всегда ка). Аналогично Squid Blocks возможно создание или ис-
так просто, как хотелось бы. пользование уже готовых списков запрещенных ресурсов,
Традиционными платформами для прокси-серверов яв- так называемых «черных списков», правда, в отличие от
ляются операционные системы семейства UNIX. Suid Blocks, все записи вносятся непосредственно в кон-
Для создания прокси-сервера на базе любой UNIX-по- фигурационный файл, что не очень удобно.
добной ОС вам необходимо иметь достаточно долгий опыт Есть ещё некоторое количество дополнительных воз-
работы с ней, возможно, даже могут понадобиться програм- можностей, таких как автодозвон, portmaping, авторизация
мистские навыки. И тогда по силам будет решить задачу на прокси-сервере каскада и другие.
практически любой сложности. Но если вы не владеете эти-
ми навыками или по каким-либо другим причинам возни- Установка и настройка
кает «огромная» проблема с подсчётом трафика, то эта Вообще с установкой и настройкой больших сложностей
статья для вас. возникнуть не должно, ввиду того что программа имеет
Usergate является одним из самых простых решений достаточно удобный интерфейс.
учёта интернет-трафика. Но стоит сразу сказать, что не яв- Если вы находитесь за прокси-сервером, соответствен-
ляется бесплатным, да и существует только под Windows, но указываете его IP-адрес и, если необходима авториза-
что соответственно увеличивает стоимость системы и ция, заполняете поля: имя пользователя и пароль.
уменьшает ее надежность.
Использование данной системы вполне приемлемо и
оправдано в небольших офисах или «домашних» сетях, где
число компьютеров и требования, предъявляемые к серве-
ру, невелики. И для обслуживания сервера вам не понадо-
бится специалист, так как опытный пользователь вполне
может справиться с данной программой.
Итак, Usergate представляет собой кэширующий про-
кси-сервер, позволяющий гибко управлять разграничени-
ем доступа пользователей к сети Интернет. Найти более
подробную информацию об этой программе и узнать рас-
ценки можно по адресу: http://usergate.ru.
Остановимся более подробно на возможностях, пре-
доставляемых данной системой. Как уже было сказано
выше, – это кэширующий прокси-сервер для HTTP, DNS и
FTP (через HTTP) запросы.
Имеется поддержка протокола Socks5 и туннелирова-
ние POP3- и SMTP-протоколов.
В составе программы находится интегрированный веб-
сервер, правда, с очень ограниченными возможностями.
Конечно, с полноценными веб-серверами он сравниться не
может, да и, к сожалению, пока и со своей прямой задачей –
предоставлением пользователям статистической информа-
ции, не всегда справляется (по загадочным причинам про-
сто перестаёт работать). В настоящий момент речь ведёт-
ся о версии 2.7, как обещают разработчики, в последую-
щих версиях все недостатки будут устранены, а также бу-
дут включены новые возможности.
Гибкая система разграничения доступа пользователей
к сети Интернет включает в себя ограничение доступа как
отдельного пользователя, так и группы пользователей. Воз-
можен запрет доступа в определённые часы, дни, а также
ограничение пользователя по трафику (в системе можно Также неотъемлемой частью настройки системы будет
определять, каким образом осуществлять подсчёт трафи- создание и редактирование групп пользователей и отдель-

36

ных пользователей, так как это напрямую связано с основ-
ной задачей программы. В первую очередь необходимо
создать группы, а затем в них добавлять пользователей. К
сожалению, нет возможности перемещать пользователей
из одной группы в другую. При добавлении каждой группы
пользователей необходимо указать имя создаваемой груп-
пы, и если требуется, ограничения и тарифы.
Существует возможность учёта входящего и исходяще-
го трафика для группы пользователей по разным тарифам,
которые вручную определяются администратором.
При добавлении пользователя необходимо указать его
логин и пароль, которые будут использоваться для автори-
зации пользователя при выходе в Интернет, и группу, к ко-
торой он будет принадлежать. Установленный у пользова-
теля атрибут «Администратор» даёт возможность просмат-
ривать через веб-интерфейс статистику всех пользовате-
лей. Но, к сожалению, веб-интерфейс не предоставляет
возможности администрирования.
Каждому пользователю можно установить следующие
ограничения: по трафику, по времени, по скорости досту-
па, по упоминавшимся ранее «черным спискам», запрещён-
ным часам работы и по длине документа (в данном случае
речь идёт об HTTP-протоколе).
К сожалению, имеющаяся система ограничения досту-
па не очень эффективна, ввиду того что лимитирование по
трафику осуществляется только за день или месяц. Это со-
здаст вам определённые проблемы, если вы решите исполь-
№8(21), август 2004
администрирование
зовать Usergate. Так как вы не сможете устанавливать аб-
солютных ограничений, то есть если вы хотите установить
определённому пользователю лимит, к примеру, на 100
Мб, а к концу месяца он израсходует лишь часть своего
трафика, то весь счёт пользователя обнулится, а ограниче-
ние будет прежним. Конечно, можно каждый месяц пере-
считывать трафик всем пользователям вручную, но как вы,
наверное, догадываетесь – это выходом не является. В этом
состоит, на мой взгляд, один из серьёзнейших недостатков
системы.
Несомненно, удобной и необходимой является возмож-
ность видеть в реальном времени работу пользователей в
Интернете (так называемая функция мониторинга работы
пользователей).
Теперь стоит немного поговорить о недостатках. Как уже
упоминалось, они имеются в ограничении доступа, в рабо-
те веб-сервера. Говоря об интегрированном веб-сервере,
необходимо не только напомнить о плохом качестве рабо-
ты и об отсутствии возможности администрирования, но и
о том, что через веб-интерфейс предоставляются только
статистические сведения. Ещё одним большим недостат-
ком является некоторое неудобство удалённого админист-
рирования, хотя наверняка многие и не сочтут это за недо-
статок. Пока возможность администрирования Usergate пре-
доставляется через встроенные средства операционной си-
стемы, а именно через Remote Desktop, или же посредством
таких программ, как RAdmin. В настоящий момент Usergate
активно развивается и уже существует версия 2.8, которая
мало отличается от 2.7, но как планируют разработчики, в
недалёком будущем будут устранены все упомянутые не-
достатки и добавлены новые возможности.
Использовать Usergate или нет – выбор ваш, но всё же
хочется ещё раз отметить, что это хорошее решение для
Windows (и крайне простое в реализации), но существует
целый ряд подобных систем для UNIX, ничуть не уступаю-
щих, и даже превосходящих его по своим возможностям.
37
 администрирование
СОЗДАНИЕ И НАСТРОЙКА IVR
ДЛЯ ГОЛОСОВЫХ ШЛЮЗОВ CISCO SYSTEMS
В последнее время трудно найти провайдера сетевых ус-
луг, который бы не уделял должного внимания IP-телефо-
нии. Услуги IP-телефонии или VoIP можно условно разде-
лить на 3 группы – это «терминация» трафика удаленных
операторов в сети PSTN, проксирование VoIP-звонков и пре-
доставление услуг связи, используя IP-сети.
Конечного пользователя (клиента некого оператора
VoIP), как правило, всегда интересует 3-я группа – для него
она фактически означает получение возможности сделать
междугородний или международный звонок по несколько
более выгодным тарифам, чем те, которые готов предоста-
вить ему городской узел связи. Среди множества способов
реализации такого сервиса особую популярность занима-
ет так называемая IP-карта. Приобретая ее, клиент может
позвонить по местному (городскому) телефонному номеру,
указанному на карте, и, перейдя в тональный режим, ввес-
ти по запросу системы пин-код, указанный на карте, и не-
посредственно код страны, города и номер телефона, куда
он желает сделать звонок.
Когда клиент дозванивается по номеру, указанному на
карточке, начинает работать IVR (Interactive Voice Response) –
специальное приложение, подгружаемое или частично
встроенное в голосовой шлюз, и обеспечивающее интерак-
тивное «общение» с клиентом: запрос необходимых дан-
ных для авторизации, получение информации о том, куда
клиент желает сделать звонок, выдача сведений об ошиб-
ках и балансе карты.
Мы рассмотрим создание и настройку IVR для маршру-
тизаторов и голосовых шлюзов фирмы CISCO (http://
www.cisco.com) с аналоговыми FXO (Foreing Exchange
Office) портами или цифровыми голосовыми портами. Все
38
Президента компании AT&T
на пресс-конференции спросили:
-Почему телефонная трубка не изменилась за
последние 100 лет?
-Потому что все изменения претерпела
телефонная станция.
МИХАИЛ ЗАГРАЕВСКИЙ
примеры, рассмотренные ниже, были протестированы на
маршрутизаторе CISCO 3725 IOS 12.3(7)T, но должны ра-
ботать на любом голосовом шлюзе фирмы CISCO с IOS,
поддерживающим TCL IVR API 2.0 и авторизацию по прото-
колу RADIUS. Нашей целью будет создание и отладка пол-
ноценного приложения для предоставления услуги между-
городней связи с использованием предоплаченных (дебет-
ных) телефонных карт.
IVR для оборудования CISCO представляет собой
скрипт, написанный на языке TCL (Tool Command Language)
с использованием CISCO TCL IVR API (Application Program
Interface). Мы будем работать с версией API 2.0.
Итак, давайте прежде всего четко определим наши цели
и основные стадии звонка.
Предполагается, что информация от клиента к IVR бу-
дет поступать с использованием DTMF (Dual Tone Multi-
frequency) (тонального донабора).
Клиенту предлагается:
! Выбрать язык общения с системой.
! Ввести номер (пин-код) его карточки.
! Ввести номер телефона, куда он желает сделать звонок.
! Клиента соединяют с требуемым номером.
Естественно, при любых ошибках клиенту выдается со-
ответствующее диагностическое сообщение. Например, при
неверном вводе номера карты или неправильном номере
назначения.
Попутно мы запрограммируем некоторые приятные сер-
висные функции, такие как: сообщение о занятости или не-
доступности желаемого номера, возможность прервать зво-
нок и сделать новый, не кладя трубки.

По завершении звонка маршрутизатор может предос-
тавить информацию о клиенте (номере его карты), длитель-
ности звонка и назначении звонка серверу RADIUS для ве-
дения статистики.
Как уже говорилось ранее, IVR – это программа, напи-
санная на языке TCL с использованием CISCO IVR API, ко-
торая начинает свое выполнение при поступлении звонка
на маршрутизатор (голосовой порт). Наше TCL-приложе-
ние может находиться на различных носителях или удален-
ных серверах, а именно FTP, TFTP и FLASH-памяти марш-
рутизатора. При поступлении звонка шлюз запускает IVR-
скрипт, определенный в конфигурации соответcтвующего
dial-peer, связанного с портом, на который поступил зво-
нок. Например, в шлюзе определен голосовой аналоговый
FXO-порт:
voice-port 1/0/0
cptone RU
timeouts initial 20
timeouts interdigit 20
timeouts wait-release 10
С ним связан соответствующий dial-peer:
dial-peer voice 1 pots
application debitcard
port 1/0/0
То есть при поступлении звонка на голосовой порт 1/0/0
запустится IVR-приложение с именем debitcard, которое дол-
жно быть определено глобально в конфигурации маршру-
тизатора:
call application voice debitcard slot0:/ivr/debitcard.tcl
call application voice debitcard uid-len 8
call application voice debitcard pin-len 3
call application voice debitcard warning-time 10
call application voice debitcard language 1 ru
call application voice debitcard language 2 en
call application voice debitcard set-location ru 0 ↵
slot0:/ivr/prompts/ru/
call application voice debitcard set-location en 0 ↵
slot0:/ivr/prompts/en/
Первая строчка сообщает маршрутизатору о местона-
хождении IVR-скрипта с именем debitcard.tcl, в нашем слу-
чае он находится на slot0: – дополнительном модуле Flash-
памяти.
Вторая и третья определяют количество цифр в иденти-
фикаторе и пин-коде карты.
Четвертая строчка определяет количество секунд до
окончания звонка, за которое клиента следует предупре-
дить.
Пятая и шестая указывают маршрутизатору, где искать
необходимые звуковые файлы, из которых будут форми-
роваться голосовые сообщения для клиента.
Вообще говоря, для каждого IVR-скрипта можно опре-
делить любой параметр или параметры, значение которых
он потом сможет считать через соответствующие IVR API.
Например, наличие следующей строчки в конфигура-
ции шлюза:
call application voice debitcard say_seconds yes
определяет для IVR-скрипта debitcard параметр say_
№8(21), август 2004
администрирование
seconds, имеющий значение yes. Позже, в процессе выпол-
нения скрипта, мы сможем изменить его поведение в зави-
симости от значения этого параметра, что, несомненно, уве-
личивает универсальность приложения.
IVR-приложение базируется на трех составляющих: про-
цедуры инициализации, функции обработки событий и ко-
нечное состояние (FSM – Finite State Machine).
Процедуры или функции инициализации применяются
для объявления и присвоения значений переменным, ис-
пользуемых скриптом.
Эти функции бывают двух типов. К первому типу отно-
сятся те, которые будут выполнены всего один раз в нача-
ле работы скрипта. Они, как правило, используются для ини-
циализации глобальных переменных, значение которых не
должно меняться. Например, в этих процедурах мы можем
считать параметры, определенные для скрипта в глобаль-
ной конфигурации маршрутизатора.
Второй тип процедур инициализации – это те, которые
вызываются при каждом поступлении звонка на маршру-
тизатор, а именно при получении события ev_setup_
indication или ev_handoff. В них, как правило, принято опре-
делять и инициализировать глобальные переменные, кото-
рые могут меняться при каждом звонке.
При получении IVR-скриптом определенного события
вызываются соответствующие функции обработки. Приме-
ром таких событий могут быть нажатие клавиши на клави-
атуре телефонного аппарата, сигнал о завершении проиг-
рывания клиенту голосовых файлов или окончании процес-
са авторизации на RADIUS-сервере.
Для IVR-скрипта назначен четкий набор событий, кото-
рый он может обрабатывать, и на каждое из них можно при-
вязать функцию-обработчик этого события, которая будет
автоматически выполнена при поступлении этого события
в каждом конечном состоянии скрипта.
FSM – (конечные состояния) выполнения IVR-скрипта
определяют, какие именно обработчики будут вызываться
при получении тех или иных событий, и в какое состояние
должен перейти скрипт после вызова обработчика.
Итак, приступим к написанию скрипта. Мы создадим
текстовый файл с именем debitcard.tcl. Далее приводится
полный листинг скрипта с подробным описанием процедур
и команд. В тексте слова «процедура» и «функция» явля-
ются синонимами.
proc init { } {
global param;
global retryCnt;
global LangPattern;
global ParamForCard;
global ParamForDest;
global AccountLen;
global PinLen;
global CardLen;
global WarnTime;
set param(abortKey) *
set param(interruptPrompt) true
set param(ignoreInitialTermKey) true
set LangPattern(1) {[1,2]}
set AccountLen [string trim [infotag get cfg_avpair ↵
uid-len]];
set PinLen [string trim [infotag get cfg_avpair ↵
pin-len]];
set retryCnt [string trim [infotag get cfg_avpair ↵
retry-count]];
39
 администрирование
set WarnTime [string trim [infotag get cfg_avpair ↵ ! param(maxDigits) – задает максимальное количество
warning-time]]; цифр, по истечении набора которых возникает событие
set CardLen [expr $AccountLen + $PinLen]; ev_collectdigits_done со статусом «cd_005».
set ParamForCard(abortKey) *
set ParamForCard(initialDigitTimeout) 10 Мы вычисляем этот параметр для количества цифр,
set ParamForCard(terminationKey) # ожидаемых от клиента при вводе номера карты, зная дли-
set ParamForCard(maxDigits) $CardLen;
set ParamForCard(interruptPrompt) true ну идентификатора (логина) и пароля. Сначала мы с помо-
set ParamForDest(abortKey) *
щью команды infotag get устанавливаем значения перемен-
set ParamForDest(initialDigitTimeout) 10 ных AccountLen и PinLen в те значения, которые определе-
set ParamForDest(terminationKey) # ны для этих параметров в глобальной конфигурации мар-
set ParamForDest(interruptPrompt) true
set ParamForDest(dialPlanTerm) true; шрутизатора. Затем вычисляем сумму этих значений, ко-
set ParamForDest(ignoreInitialTermKey) true; торую присваиваем переменной CardLen. И наконец, пере-
return;
} менная LangPattern представляет собой массив, содержа-
щий шаблоны, при совпадении с которыми процесс сбора
Процедура init вызывается всего один раз при первом цифр завершается со статусом «cd_005». В нашем случае
запуске скрипта, и в ней производится объявление и ини- мы хотим получить только цифры 1 или 2 для русского и
циализация переменных, не меняющих свое значение для английского языков соответственно.
всех звонков, обслуживаемых IVR-скриптом.
Она вызывается в глобальной области TCL-приложения proc init_perCallVars { } {
global NumLangPrompt;
командой init, и все переменные, объявленные и установ- global NumCardPrompt;
ленные таким образом, будут сохранять свои значения на global NumDestPrompt;
global PromptFlag;
всем протяжении работы шлюза для всех поступающих global DestPromptFlag;
звонков. В этой процедуре объявляются следующие пере- global NoPlayWarn;
global NoTimeLimit;
менные: param, ParamForDest, ParamForCard – ассоциатив- global SetupDone;
ные массивы, содержащие параметры для сбора инфор-
set NumLangPrompt 0;
мации о набранных клиентом цифрах для выбора языка со- set NumCardPrompt 0;
общений системы, номере карты и номере телефона на- set NumDestPrompt 0;
set PromptFlag 0;
значения. set DestPromptFlag 0;
Массивы могут содержать следующие именованные set NoPlayWarn 0;
set NoTimeLimit 0;
индексы и значения: set SetupDone 0;
! param(abortKey) – определяет клавишу, которая будет return;
использоваться как клавиша отмены набора (например, }
если клиент по ошибке нажал не ту клавишу и вовремя
это заметил, то он будет иметь возможность нажать Процедура init_PerCallVars отвечает за объявление и
клавишу, определенную параметром param(abortKey), и инициализацию глобальных переменных, меняющих свое
IVR-скрипт получит событие ev_collectdigits_done, опре- значение в процессе каждого звонка. В описании других
деляющее завершение процесса сбора информации о процедур будет дано пояснение каждой из них.
полученных от клиента цифрах со статусом «cd_002»,
который означает, что клиент нажал клавишу отмены. proc act_Setup { } {
init_perCallVars;
В нашем случае это клавиша с символом «*» (звездоч- leg setupack leg_incoming;
ка). infotag set med_language prefix "ru";
SelectLanguageMenu;
! param(interDigitTimeout) – устанавливает тайм-аут в се- return;
кундах между нажатиями клавиш. Если за этот проме- }
жуток времени не будет нажата ни одна клавиша, то
скрипт получит событие ev_collectdigits_done со стату- Процедура act_Setup вызывается IVR-скриптом при по-
сом завершения «cd_001». ступлении нового звонка. Именно с нее, по сути, начинает-
! param(initialDigitTimeout) – определяет тайм-аут до мо- ся обработка звонка клиента. Почему именно с нее? Имя
мента нажатия первой клавиши. По истечении этого вре- этой функции определено как обработчик события
мени возникает событие ev_collectdigits_done со стату- ev_setup_indication, которое генерируется при каждом но-
сом завершения «cd_001». вом звонке. За это отвечает строчка:
! param(interruptPrompt) – может принимать значения true
или false – определяет возможность прерывать клиен- set ivr_fsm(CALLCOMES,ev_setup_indication) "act_Setup ↵
same_state";
том голосовые сообщения нажатием любой клавиши.
! param(terminationKey) – по аналогии с abortKey позво- в конце нашего скрипта.
ляет задать клавишу, которая будет использоваться в Тут следует ненадолго перейти к теме FSM. Перед вы-
качестве индикатора завершения клиентов ввода цифр. полнением IVR-скрипта требуется определить имя масси-
При нажатии этой клавиши возникает событие ev_ ва, который будет содержать в себе все состояния звонка,
collectdigits_done со статусом «cd_005». В нашем слу- функции-обработчики событий, которые могут возникнуть
чае это клавиша с символом «#» (решетка). при этом состоянии, и имя следующего состояния, в кото-

40

рое перейдет звонок при выполнении этой функции, а так-
же стартовое состояние звонка. Заметьте: не после выпол-
нения функции, а непосредственно сразу (одновременно).
Учтите также, что все вызовы функции и команд в TCL IVR
API «не блокирующие», и для выполнения последующей ко-
манды скрипт не будет дожидаться завершения предыду-
щей. Это может смутить программистов, работавших ра-
нее с такими языками, как Си, но к этому необходимо при-
выкнуть. Например, если в процедуре написаны следую-
щие команды:
leg collectdigits 1 callInfo
leg collectdigits 2 callInfo
leg setup 295786 setupInfo $callID5
puts "\nThis will be executed immediately i.e. before ↵
the collect digits or call setup is actually complete"
то все они будут выполнены одна за другой, не дожидаясь
завершения предыдущей. В данном случае начнется про-
цесс сбора цифр на виртуальных составляющих звонка
leg 1 и leg 2, процесс установки соединения на $callID5 и
выдано отладочное сообщение командой puts. Далее IVR-
приложение начнет ожидать получения событий от этих
процессов и вызвать соответствующие функции-обработ-
чики.
Командой fsm define (в конце нашего скрипта) опреде-
ляется имя массива, описанного выше ivr_fsm, и первона-
чальное состояние звонка CALLCOMES. Командой set
ivr_fsm мы будем добавлять к этому массиву новые эле-
менты, создавая так называемые «FSM-переходы». Общий
синтаксис этой команды таков:
set array(curr_state,curr_event) “act_proc NEXTSTATE”
где:
! array – это имя определенного командой fsm define мас-
сива.
! curr_state – имя текущего состояния скрипта, при кото-
ром получено событие curr_event.
! act_proc – имя функции-обработчика события, которую
необходимо выполнить при поступлении события
curr_event в состоянии curr_state.
! NEXTSTATE – имя состояния, в которое должен перей-
ти звонок.
При определении FSM можно использовать следующие
мета-определения:
! any_state – определяет любое состояние звонка, для ко-
торого не установлен иной обработчик в другом FSM-
переходе; может быть использовано в левой части (ин-
дексе массива) FSM-перехода.
! same_state – трактуется как «то же состояние»; может
быть использовано в правой части (значении элемента
массива) определения FSM-перехода.
! ev_any_event – определяет любое событие, которое мо-
жет получить скрипт.
Теперь, глядя на строчку:
set ivr_fsm(CALLCOMES,ev_setup_indication) "act_Setup ↵
same_state";
№8(21), август 2004
администрирование
мы легко можем понять, что при получении события ev_setup_
indication в состоянии CALLCOMES будет выполнена функ-
ция act_Setup и звонок останется в прежнем состоянии
(same_state).
Возвращаясь к нашей функции act_Setup, мы видим, что
в ней вызывается процедура init_perCallVars для объявле-
ния и инициализации глобальных переменных, которым
необходимо иметь возможность менять свое значение при
каждом отдельно взятом звонке. Командой leg setupack
посылается сообщение setup acknowledgement, чтобы пе-
ревести наш звонок в состояние, при котором возможно
получение клиентом голосовых сообщений.
Команда infotag set med_language prefix «ru» устанавли-
вает текущий язык голосового интерфейса и фактически
указывает скрипту, где ему следует искать звуковые фай-
лы для этого языка. Помните строчку в глобальной конфи-
гурации шлюза:
call application voice debitcard set-location ru 0 ↵
slot0:/ivr/prompts/ru/
теперь скрипт «знает», что все файлы, из которых следует
составлять голосовые сообщения, находятся на носителе
slot0:/ivr/prompts/ru/. Перед именем файла при его поиске
он автоматически будет добавлять префикс ru, например,
команда media play _wecome.au «проиграет» клиенту файл,
полный путь, к которому будет slot0:/ivr/prompts/ru/ru_
wecome.au.
И в конце этой процедуры вызывается функция Select
LanguageMenu:
proc SelectLanguageMenu { } {
global param;
global retryCnt;
global NumLangPrompt;
global LangPattern;
if {$NumLangPrompt < $retryCnt} {
media play leg_incoming %s2000 _RUS_lang_sel1.au ↵
%s500 _ENG_lang_sel2.au
leg collectdigits leg_incoming param LangPattern;
} else {
media play leg_incoming _final.au;
fsm setstate CALLDISCONNECT;
}
return;
}
В ее задачи входит следующее: пользователю проигры-
ваются два приглашения на разных языках с предложени-
ем нажать соответствующую клавишу для выбора нужного
языка. После проигрывания команда leg collectdigits пере-
водит скрипт в состояние ожидания поступления события о
завершении процесса сбора цифр. Это событие поступит
после однократного нажатия клиентом любой клавиши –
за такое поведение отвечает массив LangPattern, позволя-
ющий клиенту нажать только одну клавишу. Но если эта
клавиша не была цифрой 1 или 2, то статус завершения
события ev_collectdigits_done будет отличен от «cd_005».
При получении этого события определенный нами FSM-
переход:
set ivr_fsm(CALLCOMES,ev_collectdigits_done) ↵
"CheckLangSelection CHECKLANG";
обеспечит вызов функции CheckLangSelection, которая и
41
 администрирование
проверит статус завершения события и при неудовлетво- #Timeout - no digits entered}
рительном результате должна увеличить значение глобаль- default {
media play leg_incoming _no_aaa.au;
ной переменной NumLangPrompt для того, чтобы функция fsm setstate CALLDISCONNECT;
SelectLanguageMenu не повторяла приглашения больше return;
}
раз, чем записано в переменной retryCnt, тем самым не по- }
зволяя звонку зациклиться на проигрывании звуковых фай- leg collectdigits leg_incoming ParamForCard;
} else {
лов, если нам попался туго соображающий пользователь. media play leg_incoming _final.au;
Именно здесь становится понятна необходимость ис- fsm setstate CALLDISCONNECT;
}
пользования функции init_perCallVars, в которой определя-
ются подобные переменные, регулирующие максимальное return;
}
количество проигрывания приглашений. Нам необходимо,
чтобы при следующем звонке они обнулились, что невоз- Процедура act_GetCard проигрывает клиенту соответ-
можно реализовать через глобальную процедуру init. К тому ствующие звуковые файлы не более $retryCnt раз в зави-
же при нескольких одновременных звонках у каждого из симости от значения переменной PromptFlag, которая из-
них должен быть свой экземпляр переменной. начально установлена в 0 в процедуре init_perCallVars. Со-
ответственно при первом вызове этой процедуры клиент
proc CheckLangSelection { } { слышит приглашение ввести номер (пин-код) карточки.
global NumLangPrompt;
Значение 1 соответствует неверному количеству набран-
set collect_status [infotag get evt_status]; ных цифр и значение 3 – статусу, при котором клиент не
set collect_digits [infotag get evt_dcdigits];
набрал ни одной цифры. Далее скрипт выполняет команду
switch $collect_status { leg collectdigits и ожидает получения события ev_
"cd_001" {
incr NumLangPrompt; collectdigits_done, которое проанализирует функция act_
media play leg_incoming _no_digits_entered.au; GotCardNumber, что обеспечит FSM-переход:
return;
}
"cd_002" { proc act_GotCardNumber { } {
SelectLanguageMenu; global NumCardPrompt
fsm setstate CALLCOMES; global AccountLen;
return; global PinLen;
} global CardLen;
"cd_005" { global PromptFlag;
infotag set med_language $collect_digits; global retryCnt;
fsm setstate CARDSELECTION; global account;
act_GetCard; global pin;
return;
} set status [infotag get evt_status];
"cd_006" {
incr NumLangPrompt; switch $status {
media play leg_incoming _wrong_lang_sel.au; "cd_005" {
return; set card_number [infotag get evt_dcdigits];
} set card_len [string length $card_number];
default { if {$card_len == $CardLen} {
media play leg_incoming _no_aaa.au; set account [string range $card_number 0 ↵
fsm setstate CALLDISCONNECT; [expr $AccountLen - 1]];
} set pin [string range $card_number $AccountLen ↵
} [expr $card_len - 1]]
return; puts "account = $account pin = $pin";
} aaa authorize $account $pin "" "" leg_incoming;
} else {
В процедуре CheckLangSelection мы получаем статус incr NumCardPrompt;
set PromptFlag 1;
события ev_collectdigits_done командой infotag get evt_status; act_GetCard;
и набранные цифры(у) командой infotag get evt_dcdigits, за- return;
}
тем для удобства присваиваем их временным переменным }
collect_status и collect_digits. При получении интересующе- "cd_001" {
incr NumCardPrompt;
го нас статуса «cd_005» мы командой fsm setstate «вруч- set PromptFlag 3;
ную» переводим звонок в состояние CARDSELECTION и вы- act_GetCard;
return;
зываем процедуру act_GetCard для запроса информации о }
пин-коде карты клиента и последующей его авторизации. "cd_002" {
set PromptFlag 0
act_GetCard;
proc act_GetCard { } { return;
global ParamForCard; }
global NumCardPrompt; }
global PromptFlag; return;
global retryCnt; }
if {$NumCardPrompt < $retryCnt} { Процедура act_GotCardNumber выполняется при получе-
switch $PromptFlag {
0 {media play leg_incoming %s500 ↵ нии события ev_collectdigits_done. Глобальная переменная
_enter_card_num.au; #first play} ParamForCard, инициализированная в функции init, обес-
1 {media play leg_incoming _invalid_digits.au; ↵
#Not enuf digits pressed} печивает нам получение определенного количества цифр
3 {media play leg_incoming _no_card_entered.au; ↵ – в нашем конкретном случае это число 11 ($Cardlen =

42

$AccountLen + $PinLen). При неудовлетворяющем нас ста-
тусе события функция act_GotCardNumber инкремирует
переменную NumCardPrompt для счетчика количества при-
глашений ввода карты, устанавливает значение перемен-
ной PromptFlag и снова вызывает процедуру act_GetCard,
которая проверяет, не превышен ли счетчик приглашений,
и указывает клиенту на ошибку, основываясь на значении
PromptFlag. При успешно завершившемся процессе сбора
цифр (статус «cd_005») функция вычисляет логин и пароль,
и с помощью команды:
aaa authorize $account $pin "" "" leg_incoming;
указывает маршрутизатору отправить запрос на авториза-
цию карты RADIUS-серверу. При получении ответа от него
скрипту поступит событие ev_authorize_done. Далее скрипт
выполнит функцию act_CardAuthorize и останется в том же
состоянии, для этого используем следующий FSM-переход:
set ivr_fsm(CARDSELECTION,ev_authorize_done) ↵
"act_CardAuthorize same_state";
определенный в конце нашего скрипта:
proc act_CardAuthorize { } {
global PromptFlag;
global NumCardPrompt;
global ParamForDest;
global ParamForCard;
global retryCnt;
set status [infotag get evt_status];
if {$status == "ao_000"} {
if {[infotag get aaa_avpair_exists ↵
h323-credit-amount]} {
set amt [infotag get aaa_avpair ↵
h323-credit-amount]
} else {
media play leg_incoming _no_aaa.au;
fsm setstate CALLDISCONNECT;
return;
} вано как официальная ошибка, оно все же присутствовало
fsm setstate DESTSELECTION;
if {$amt <= 999999.99} {
media play leg_incoming _you_have.au %a$amt ↵
_enter_dest.au;
} else {
media play leg_incoming _enter_dest.au;
} граммное обеспечение надо приобретать у них.
leg collectdigits leg_incoming ParamForDest;
return;
}
if {[infotag get aaa_avpair_exists h323-return-code]} {
set return_code [infotag get aaa_avpair ↵
h323-return-code];
} else {
media play leg_incoming _no_aaa.au;
fsm setstate CALLDISCONNECT;
return;
}
incr NumCardPrompt;
if {$NumCardPrompt < $retryCnt} {
leg collectdigits leg_incoming ParamForCard;
act_PlayCardReturnCode $return_code;
} else {
ct_GetCard;
}
return;
} метра для проигрывания соответствующего звукового со-
Процедура act_CardAuthorize так же анализирует ста-
тус события ev_authorize_done, и при успешной авториза-
№8(21), август 2004
администрирование
ции («ao_000») получает с помощью команды infotag get
aaa_avpair h323-credit-amount сумму на счете клиента, со-
храняет ее в переменной amt и проигрывает ее клиенту с
помощью команды media play %a$amt. Тут необходимо сде-
лать небольшое отступление.
TCL IVR API 2.0 предоставляет функции TTS (Text To
Speech), которые позволяют воспроизводить клиенту голо-
совые сообщения, основанные на параметрах команды
media play. Например, параметр %a<num> считает значе-
ние num денежной суммой в центах (в нашем случае в ко-
пейках), и клиент услышит эквивалентную сумму в долла-
рах и центах или в рублях и копейках. К великому сожале-
нию, IVR API могут работать только с несколькими языка-
ми, как правило это английский, китайский и испанский, а
для русского языка необходимо купить у фирмы Cisco
Systems скрипт, обеспечивающий поддержку русского язы-
ка. Любителям экстремальных ощущений предлагается
написать такой скрипт самим, который потом можно будет
подгрузить в маршрутизатор командой call language voice в
режиме глобальной конфигурации.
Скрипт этот должен быть написан с применением «чис-
того» TCL без использования CISCO IVR API, и из него бу-
дет вызываться функция translate с передачей ей парамет-
ров из команды media play. Функция translate должна воз-
вратить строку, состоящую из имен *.au-файлов, подлежа-
щих воспроизведению, разделенных пробелами. Кроме
этого, по невыяcненной пока причине, TCL IVR-скрипт, по-
лучив от TTS TCL-строку с перечисленными аудио-файла-
ми, требующими проигрывания, игнорирует весь текст до
первого пробела (лидирующие пробелы не учитываются).
То есть, если ваш скрипт вернет следующую строку:
«_200.au _40.au _7.au», то проиграны будут только файлы
_40.au и _7.au.
Несмотря на то, что такое поведение не зарегистриро-
во всех тестированных автором версиях IOS и оборудова-
нии. По этому поводу официальные лица Cisco ничего не
говорят, кроме того, что они не несут никакой ответствен-
ности за написанный третьими лицами код, и подобное про-
Далее скрипт, вызывая команду fsm state DESTSELEC-
TION, устанавливает для звонка новое состояние и, исполь-
зуя команду leg collectdigits, переходит в режим ожидания
завершения сбора цифр от клиента, которые определят но-
мер телефона назначения.
При отказе в авторизации (статус события ev_authorize_
done не равен «ao_000») функция act_CardAuthorize полу-
чает код ответа от RADIUS-сервера командой:
infotag get
aaa_avpair_exists h323-return-code
и присваивает его переменной return_code, затем в случае,
если количество попыток ввода номера телефона еще не
превышено, вызывается функция act_PlayCard ReturnCode
c передачей ей переменной return_code в качестве пара-
общения об ошибке, и скрипт вызывает команду leg
collectdigits leg_incoming ParamForCard для повторного сбора
цифр – номера карты. Вот тут, кстати, мы и используем
43
 администрирование
свойство «не блокирующего» вызова функций: leg act_GetDestination;
collectdigits и act_PlayCardReturnCode идут одна за другой, return;
}
но выполнены они будут условно одновременно – скрипт "cd_002" {
будет проигрывать голоcовые сообщения об ошибке и ожи- set DestPromptFlag 0;
act_GetDestination;
дать события ev_collectdigits_done, после которого опять return;
отработает процедура act_GotCardNumber, согласно уже ис- }
"cd_004" {
пользованному нами ранее FSM-переходу: set destination [infotag get evt_dcdigits];
puts "\n************dest_number = $destination";
aaa authorize $account $pin "" $destination ↵
set ivr_fsm(CARDSELECTION,ev_collectdigits_done) leg_incoming;
return;
}
поскольку скрипт остался в прежнем состоянии: CARD default {
SELECTION. incr NumDestPrompt;
set DestPromptFlag 2;
act_GetDestination;
proc act_PlayCardReturnCode { return_code } { return;
}
switch $return_code { }
2 {media play leg_incoming _auth_fail.au;} return;
7 {media_play leg_incoming _zero_bal.au;} }
default {
media play leg_incoming _no_aaa.au; Процедура act_GotDestination будет выполняться в со-
fsm setstate CALLDISCONNECT;
return; ответствии с FSM-переходом:
}
}
set ivr_fsm(DESTSELECTION,ev_collectdigits_done) ↵
return; "act_GotDestination same_state";
}
Она проверяет статус завершения события ev_collect
proc act_GetDestination { } { digits_done. В случае неустраивающего нас статуса вызы-
global retryCnt;
global ParamForDest; вает функцию act_GetDestination, установив предваритель-
global DestPromptFlag; но переменную DestPromptFlag в значение, которое укажет
global NumDestPrompt;
функции act_GetDestination, какой именно звуковой файл
if {$NumDestPrompt < $retryCnt} { следует проиграть, и, как всегда, следует проверка, не пре-
switch $DestPromptFlag {
0 {media play leg_incoming _enter_dest.au; ↵ вышен ли счетчик максимально допустимых попыток ввес-
#Abortkey pressed} ти информацию. При устраивающем нас номере телефо-
1 {media play leg_incoming _no_dest_entered.au; ↵
#Timeout -no digits entered} на, введенном пользователем (статус «cd_004» – совпаде-
2 {media play leg_incoming _reenter_dest.au; ↵ ние с планом набора) с помощью команды:
#Not mutch to the dial plan}
default {
media play leg_incoming _no_aaa.au; aaa authorize $account $pin "" $destination leg_incoming;
fst setstate CALLDISCONNECT;
return;
} RADIUS-серверу будет отправлен запрос на авторизацию
}
leg collectdigits leg_incoming ParamForDest; звонка. По завершении авторизации скрипт получит собы-
} else { тие ev_authorize_done, которое согласно определенному
media play leg_incoming _dest_collect_fail.au;
fsm setstate CALLDISCONNECT; нами FSM-переходу:
}

return; set ivr_fsm(DESTSELECTION,ev_authorize_done) ↵

} "act_CallAuthorize same_state";

обработает процедура act_CallAuthorize:

Процедура act_GetDestination выполняет в некоторой
степени вспомогательную функцию – она будет вызывать- proc act_CallAuthorize { } {
global NumDestPrompt;
ся в случае какой-либо ошибки, например, при тайм-ауте global DestPromptFlag;
ввода цифр, нажатии клиентом клавиши, определенной как global WarnTime;
global NoPlayWarn;
aborKey, или при несоответствии с планом набора, опреде- global NoTimeLimit;
ленным в маршрутизаторе. global creditTime;
global retryCnt;
global ParamForDest;
proc act_GotDestination { } { global param;
global NumDestPrompt;
global DestPromptFlag; set status [infotag get evt_status];
global account; set param(enableReporting) true;
global pin; set param(interruptPrompt) false;
global destination;
if {$status == "ao_000"} {
set status [infotag get evt_status]; if {[infotag get aaa_avpair_exists ↵
h323-credit-time]} {
switch $status { set creditTime [infotag get aaa_avpair ↵
"cd_001" { h323-credit-time];
incr NumDestPrompt; } else {
set DestPromptFlag 1; media play leg_incoming _no_aaa.au;

44
 администрирование
fsm setstate CALLDISCONNECT; и FSM-перехода:
return;
}
if {$creditTime <= $WarnTime} {set NoPlayWarn 1;} set ivr_fsm(PLACECALL,ev_digit_end) "act_FastSetup same_state";
if {$creditTime == "unlimited"} {set NoTimeLimit 1;}

media play leg_incoming _you_have.au %t$creditTime;
leg collectdigits leg_incoming param; ↵
#For Fast leg setup
fsm setstate PLACECALL;
return;
}
incr NumDestPrompt; #Call authorize failed
if {[infotag get aaa_avpair_exists h323-return-code]}
{
set return_code [infotag get aaa_avpair ↵
h323-return-code];
} else {
media play leg_incoming no_aaa.au;
fsm setstate CALLDISCONNECT;
return;
}
if {$NumDestPrompt < $retryCnt} {
act_PlayDestReturnCode $return_code;
leg collectdigits leg_incoming ParamForDest;
} else {
act_GetDestination;
}
return;
} set SetupDone 1;
Процедура act_CallAuthorize анализирует статус собы-
тия ev_authorize_done. При успешной авторизации клиенту
проговаривается, сколько времени у него на балансе и воз-
вращенное скрипту RADIUS-сервером в переменной h323-
credit-time, далее скрипт запускает команду leg collectdigits
leg_incoming param и командой fsm setstate PLACECALL
переходит в новое состояние: PLACECAL, в котором по за-
вершении проигрывания звуковых файлов обработает со-
бытие ev_media_done и через FSM-переход:
set ivr_fsm(PLACECALL,ev_media_done) "act_CallSetup same_state;
будет выполнена функция act_CallSetup, которая наконец-
то соединит нашего клиента с требуемым номером.
При ошибке в авторизации функция получит код ошиб-
ки из переменной h323-return-code и будет вызвана проце-
дура act_PlayDestReturnCode, которая озвучит соответству-
ющее сообщение об ошибке.
Если счетчик попыток ввести номер не превышен, скрипт
будет ожидать от клиента повторного ввода номера, по за-
вершении которого с помощью того же FSM-перехода:
Если клиент в момент прослушивания информации об
оставшемся времени звонка нажмет клавишу «#», скрипт
получит событие ev_digit_end, сигнализирующее о том, что
была нажата некая клавиша, и будет вызвана функция
act_FastSetup, которая проверит эту клавишу на соответ-
ствие с символом «#». В случае совпадения прервет проиг-
рывание звуковых файлов командой media stop и вызовет
процедуру act_CallSetup. Переменная SetupDone будет ус-
тановлена в 1, чтобы избежать повторного вызова функ-
ции act_CallSetup.
proc act_FastSetup { } {
global SetupDone;
if {[infotag get evt_digit] != "#" || $SetupDone} {
return;
}
media stop leg_incoming;
act_CallSetup;
return;
}
proc act_CallSetup { } {
global destination;
global account;
global SetupDone;
set callinfo(accountNum) $account;
set callinfo(alertTime) 60;
set SetupDone 1;
leg setup $destination callinfo leg_incoming;
return;
}
Процедура act_CallSetup инициализирует ассоциатив-
ный массив callinfo необходимыми значениями – опциями
для будущего соединения, в частности устанавливает мак-
симальное время ожидания поднятия трубки вызываемой
стороной 60 секунд. И наконец, запускает команду, ради
которой, собственно, и создавался этот скрипт:
leg setup $destination callinfo leg_incoming

set ivr_fsm(DESTSELECTION,ev_collectdigits_done) с передачей ей в качестве параметров номера назначения,

"act_GotDestination same_state";
управление будет передано функции act_GotDestination.
Теперь объясним, зачем мы используем команду leg
collectdigits при успешной авторизации, ведь казалось бы
больше ждать ввода от клиента не стоит.
Это позволит клиенту прервать сообщение о доступном
времени звонка и перейти непосредственно к соединению.
Данная возможность будет реализована с помощью команд:
этот массив и условное обозначение голосового канала, к
которому подключен наш клиент. При завершении коман-
ды leg setup скрипт получит событие ev_setup_done, кото-
рое будет обработано FSM-переходом:
set ivr_fsm(PLACECALL,ev_setup_done) "act_CallSetupDone ↵
same_state";
и вызвана функция act_CallSetupDone:

set param(enableReporting) true proc act_CallSetupDone { } {

global DestPromptFlag;
global ParamForDest;
и global param;
global NoTimeLimit;
global creditTime;
set param(interruptPrompt) false; global WarnTime;

№8(21), август 2004 45

 администрирование
global NoPlayWarn;
global SetupDone;
set status [infotag get evt_status];
switch $status {
"ls_000" {
if {!$NoTimeLimit} { #Setting call timer
if {$NoPlayWarn} {
timer start leg_timer [expr $creditTime - 1] ↵
leg_incoming;
fsm setstate CALLLASTACTIVE;
} else {
set delay [expr $creditTime - $WarnTime];
timer start leg_timer $delay leg_incoming;
fsm setstate CALLACTIVE;
} switch $return_code {
} 9 {media play leg_icoming _dest_blocked.au %s500 ↵
set param(enableReporting) true;
leg collectdigits leg_incoming param; #For long pound
return;
} default {
"ls_007" {
set DestPromptFlag 0;
set SetupDone 0;
media play leg_incoming _dest_busy.au;
leg collectdigits leg_incoming ParamForDest;
fsm setstate DESTSELECTION;
return;
}
default {
set DestPromptFlag 0;
set SetupDone 0;
media play leg_incoming _dest_unreachable.au ↵
%s200 _enter_dest.au;
leg collectdigits leg_incoming ParamForDest;
fsm setstate DESTSELECTION;
return;
} connection destroy con_all;
} timer start leg_timer [expr $WarnTime - 1] leg_incoming;
return;
} return;
Процедура act_CallSetupDone получает статус заверше-
ния процесса установки соединения и при удачном соеди-
нении (статус «ls_000»), если не установлена переменная
NoTimeLimit, сигнализирующая о неограниченном времени
звонка, переводит звонок в состояние CALLACTIVE или
CALLLASTACTIVE, в зависимости от оставшегося времени,
и с помощью команды timer start «заводит» таймер, при сра-
батывании которого скрипт получит сообщение ev_leg_
timer, который будет обработан FSM-переходами:
set ivr_fsm(CALLACTIVE,ev_leg_timer) ↵
"act_ActiveTimer CALLWARN";
или
set ivr_fsm(CALLLASTACTIVE,ev_leg_timer) ↵
"act_LastActiveTimer same_state";
Время таймера рассчитывается как разность значений
переменной, полученной от RADIUS-сервера h323-credit-
time, и глобальной переменной WarnTime, проинициализи-
рованной в функции init.
Также мы опять вводим приятную возможность для кли-
ента – прервать разговор в любой момент путем длитель-
ного (более 300ms) нажатия и удерживания клавиши с изоб-
ражением решетки. В этот момент скрипт получит событие
ev_digit_end, которое обработает FSM-переход:
set ivr_fsm(CALLACTIVE,ev_digit_end) ↵
"act_LongPound CONNDESTROY";
При неуспешном завершении процесса установки со-
единения процедура act_CallSetupDone проиграет клиенту
соответствующее сообщение об ошибке, предложение вве-
46
сти новый номер телефона назначения и перейдет в состо-
яние DESTSELECTION, а согласно FSM-переходу:
set ivr_fsm(DESTSELECTION,ev_collectdigits_done) ↵
"act_GotDestination same_state";
после окончания проигрывания файлов при получении со-
бытия ev_collectdigits_done будет вызвана функция act_Got
Destination:
proc act_PlayDestReturnCode {return_code} {
_enter_dest.au;}
12 {media play leg_incoming _not_enuf.au %s500 ↵
_enter_dest.au;}
media play leg_incoming _no_aaa.au;
fsm setstate CALLDISCONNECT;
return;
}
}
return;
}
proc act_ActiveTimer { } {
global WarnTime;
global incoming;
global outgoing;
set incoming [infotag get leg_incoming];
set outgoing [infotag get leg_outgoing];
}
Процедура act_ActiveTimer выполнится в момент полу-
чения скриптом события ev_leg_timer.
В ее задачи входит временно отсоединить вызывающую
и вызываемую стороны звонка (это необходимо, чтобы кли-
ент мог получить информацию о том, что время его звонка
заканчивается), т.к. нельзя проигрывать звуковые файлы
при установленном звуковом канале между двумя сторо-
нами разговора, и установить новый таймер на оставшие-
ся у клиента $WarnTime секунд. После разрыва соедине-
ния скрипт получит событие ev_destroy_done, обрабатыва-
емое FSM-переходом:
set ivr_fsm(CALLWARN,ev_destroy_done) ↵
"act_CallWarnDestroy same_state";
proc act_LastActiveTimer { } {
connection destroy con_all;
return;
}
Процедура act_LastActiveTimer, так же как и act_Active
Timer, разрывает голосовой канал между двумя сторонами
звонка согласно FSM-переходу:
set ivr_fsm(CALLLASTACTIVE,ev_leg_timer) ↵
"act_LastActiveTimer same_state";
После этого скрипт будет ожидать получения события
ev_destroy_done, которое обработается FSM-переходом:
set ivr_fsm(CALLLASTACTIVE,ev_destroy_done) ↵
"act_PlayDisconnect CALLDISCONNECT";

и выполнение будет передано процедуре act_PlayDisconnect,
которая сообщит клиенту о завершение его звонка и пере-
ведет скрипт в состояние CALLDISCONNECT:
proc act_PlayDisconnect { } {
media play leg_incoming _disconnected.au
fsm setstate CALLDISCONNECT;
return;
}
proc act_CallWarnDestroy { } {
global WarnTime;
media play leg_incoming _you_have.au %t$WarnTime;
return;
} и переведет скрипт в состояние DESTSELECTION, попутно
Процедуре act_CallWarnDestroy управление передается
согласно FSM:
set ivr_fsm(CALLWARN,ev_destroy_done) ↵
"act_CallWarnDestroy same_state";
В ее задачи входит сообщить клиенту, что до конца его
разговора осталось $WarnTime секунд. Когда это сообще-
ние будет проиграно, скрипт получит событие ev_media_
done и FSM-переход:
set ivr_fsm(CALLWARN,ev_media_done) ↵
"act_CallWarnMedia CALLLASTACTIVE";
позаботится о том, чтобы воcстановить канал между сто-
ронами звонка, запустив функцию act_CallWarnMedia, и пе-
реведет звонок в состояние CALLLASTACTIVE:
proc act_CallWarnMedia { } {
global incoming;
global outgoing;
connection create $incoming $outgoing;
return;
} "act_GotCardNumber same_state";
proc act_LongPound { } {
if {[infotag get evt_digit] != "#"} {
fsm setstate same_state;
return;
} set ivr_fsm(DESTSELECTION,ev_authorize_done) ↵
set duration [infotag get evt_digit_duration];
if {$duration < 300} {
fsm setstate same_state;
return;
} set ivr_fsm(PLACECALL,ev_digit_end) ↵
connection destroy con_all;
return;
} "act_ActiveTimer CALLWARN";
Процедура act_LongPound интересна тем, что дает кли-
енту возможность во время разговора (состояния CALL
ACTIVE, CALLLASTACTIVE) прервать звонок и сделать но-
вый, не кладя трубки. За это отвечают следующие FSM-
переходы:
set ivr_fsm(CALLACTIVE,ev_digit_end) ↵
"act_LongPound CONNDESTROY";
set ivr_fsm(CALLLASTACTIVE,ev_digit_end) ↵
"act_LongPound CONNDESTROY";
Если клиент нажмет любую клавишу, скрипт в этих со-
№8(21), август 2004
администрирование
стояниях получит событие ev_digit_end, и будет вызвана
процедура act_LongPound, которая проверит клавишу на
совпадение с символом «#». В случае соответствия она раз-
рушит канал связи между участниками звонка. При успеш-
ном разрушении канала связи скрипт получит событие
ev_destroy_done. Поскольку согласно предыдущему FSM-
переходу звонок находился в состоянии CONNDESTROY,
будет введен в работу FSM-переход:
set ivr_fsm(CONNDESTROY,ev_destroy_done) ↵
"act_ConnDestroyed same_state";
который вызовет процедуру act_ConnDestroyed. Последняя
окончательно и полностью отключит вызываемую сторону
передав управление функции act_GetDestination и не забыв
заново проинициализировать глобальные переменные, не-
обходимые для осуществления нового звонка.
proc act_ConnDestroyed { } {
leg disconnect leg_outgoing;
init_perCallVars;
act_GetDestination;
fsm setstate DESTSELECTION;
return;
}
proc act_Cleanup { } {
call close;
}
requiredversion 2.0
init
set ivr_fsm(any_state,ev_disconnected) ↵
"act_Cleanup same_state";
set ivr_fsm(CALLCOMES,ev_setup_indication) ↵
"act_Setup same_state";
set ivr_fsm(CALLCOMES,ev_collectdigits_done) ↵
"CheckLangSelection CHECKLANG";
set ivr_fsm(CHECKLANG,ev_media_done)
"SelectLanguageMenu CALLCOMES";
set ivr_fsm(CARDSELECTION,ev_collectdigits_done) ↵
set ivr_fsm(CARDSELECTION,ev_authorize_done) ↵
"act_CardAuthorize same_state";
set ivr_fsm(DESTSELECTION,ev_collectdigits_done) ↵
"act_GotDestination same_state";
"act_CallAuthorize same_state";
set ivr_fsm(PLACECALL,ev_media_done) ↵
"act_CallSetup same_state";
set ivr_fsm(PLACECALL,ev_setup_done) ↵
"act_CallSetupDone same_state";
"act_FastSetup same_state";
set ivr_fsm(CALLACTIVE,ev_digit_end) ↵
"act_LongPound CONNDESTROY";
set ivr_fsm(CALLACTIVE,ev_leg_timer) ↵
set ivr_fsm(CALLWARN,ev_destroy_done) ↵
"act_CallWarnDestroy same_state";
set ivr_fsm(CALLWARN,ev_media_done) ↵
"act_CallWarnMedia CALLLASTACTIVE";
set ivr_fsm(CALLLASTACTIVE,ev_leg_timer) ↵
"act_LastActiveTimer same_state";
set ivr_fsm(CALLLASTACTIVE,ev_destroy_done) ↵
"act_PlayDisconnect CALLDISCONNECT";
set ivr_fsm(CALLLASTACTIVE,ev_digit_end) ↵
"act_LongPound CONNDESTROY";
set ivr_fsm(CONNDESTROY,ev_destroy_done) ↵
"act_ConnDestroyed same_state";
set ivr_fsm(CALLDISCONNECT,ev_media_done) ↵
"act_Cleanup same_state";
set ivr_fsm(CALLDISCONNECT,ev_disconnect_done) ↵
"act_Cleanup same_state";
fsm define ivr_fsm CALLCOMES;
47
 администрирование
РАЗГОН И ТОРМОЖЕНИЕ WINDOWS NT
Разработчики ядра исполнительной системы говорят, что
оно дает пищу всему остальному. И это отнюдь не преуве-
личение! На плохом фундаменте ничего хорошего не пост-
роишь, и качество ядра в значительной мере определяет
производительность всей операционной системы в целом.
В комплект поставки Windows NT входит большое количе-
ство разнообразных ядер (в том числе и нашумевшее ядро
i486С, по слухам значительно увеличивающее быстродей-
ствие системы). Как оценить их производительность? Обыч-
ные тестирующие пакеты для этого не подходят, и адекват-
ную методику измерений приходится разрабатывать само-
стоятельно с учетом архитектуры ядра Windows и специ-
фической направленности возложенных на него задач.
Большинство пользователей и системных администра-
торов живут с ядром, назначенным операционной системой
при ее инсталляции, совершенно не задумываясь о том, что
его можно заменить другим. В штатный комплект поставки
Windows NT входит более десятка различных ядер, и еще
большее их количество может быть найдено на просторах
Интернета. Некоторые производители аппаратного обеспе-
чения оптимизируют ядра под свои машины, и зачастую эта
оптимальность сохраняется на большинстве остальных. Су-
ществует мнение, что древние ядра (все еще совместимые
с новомодными версиями Windows) намного производитель-
нее современных, хотя и уступают им по функциональнос-
ти.
Отдельного разговора заслуживает история с ядром
i486С, оптимизированным под 80486-машины. Оно входи-
ло во все версии Windows вплоть до NT 4.0, но затем нео-
жиданно исчезло, и Windows 2000 вышла уже без него.
Однако с Windows XP все вернулось вновь. Говорят, что оно
здорово увеличивает производительность системы. Автор,
знакомый с ним еще со времен Windows NT 4.0, подтверж-
дает – да, увеличивает, особенно на медленных машинах.
Для теоретического обоснования данного факта и была на-
писана эта статья.
Разумеется, само по себе ядро i486С не настолько ин-
тересно, чтобы уделять ему 13 журнальных полос. Давай-
те мыслить более глобально. Ядер много, а инструментов
для оценки их производительности не существует (во вся-
ком случае в открытом доступе нет ни одного). Тем не
менее такой инструмент при желании можно разработать
и самостоятельно, о чем я, собственно, и собираюсь рас-
сказать.
Структура ядра
Ядро Windows NT состоит из двух ключевых компонентов:
executive system – исполнительной системы (далее по тек-
сту KERNEL), реализованной в файле ntoskrnl.exe, и биб-
48
i486C-ядру посвящается…
КРИС КАСПЕРСКИ
лиотеки аппаратных абстракций – Hardware Abstraction
Layer (сокращенно HAL), представленной файлом HAL.DLL.
На самом деле имена файлов могут быть любыми, и в за-
висимости от типа ядра они варьируются в довольно широ-
ких пределах.
Исходная концепция построения Windows NT предпола-
гала сосредоточить весь системно-зависимый код в HAL,
используя его как фундамент для воздвижения системно-
независимой исполнительной системы. Тогда для переноса
ядра на новую платформу было бы достаточно переписать
один HAL, не трогая ничего остального (по крайней мере
теоретически). В действительности же это требование так и
не было выполнено, и большое количество системно-зави-
симого кода просочилось в исполнительную систему, а HAL
превратился в сплошное нагромождение неклассифицируе-
мых функций, тесно переплетенных с исполнительной сис-
темой, так что двухуровневая схема организации ядра в на-
стоящее время выглядит довольно условной.
Исполнительная система Windows NT реализует высо-
коуровневые функции управления основными ресурсами
(как то: памятью, файлами, процессами и потоками), в оп-
ределенном смысле являясь операционной системой в ми-
ниатюре. Большинство этих функций слабо связаны с кон-
структивными особенностями конкретной аппаратуры. Они
практически не меняются от одной исполнительной систе-
ме к другой и одинаково производительны (или непроизво-
дительны) во всех ядрах.
Обособленная часть исполнительной системы, реали-
зующая наиболее низкоуровневые операции и тесно взаи-
модействующая с библиотекой аппаратных абстракций,
называется ядром (KERNEL). Большинство ядерных проце-
дур предназначены для сугубо внутреннего использования
и не экспортируются (хотя присутствуют в отладочных сим-
волах), а те, что экспортируются, обычно начинаются с пре-
фикса Ke (подпрограммы ядра) или Ki (обработка преры-
ваний в ядре).
Это уже третье упоминание ядра, которое мы встреча-
ем, что создает определенную путаницу. Давайте попробу-
ем разложить образовавшийся терминологический кавар-
дак по полочкам. На самом верхнем уровне абстракций
ядром принято называть совокупность компонентов опера-
ционной системы, работающих на привилегированном коль-
це нулевого уровня. Спустившись пониже, мы увидим, что
ядро отнюдь не монолитно и состоит как минимум из двух
частей: собственно самого ядра и загружаемых драйверов.
Ядро Windows NT реализовано в двух файлах: библиотеке
аппаратных абстракций (по сути дела являющееся набо-
ром первичных драйверов) и исполнительной системе. Вы-
бором исполнительной системы руководит ключ KERNEL

файла boot.ini, поэтому многие ассоциируют ее с ядром, хотя
это и не совсем верно, но не будем докапываться до стол-
ба, ведь фундамент исполнительной системы – тоже ядро.
И это еще далеко не все! Подсистемы окружения (win32,
POSIX, OS/2) имеют свои собственные ядра, сосредоточен-
ные в прикладных библиотеках непривилегированного ре-
жима третьего кольца, и общаются с ядром Windows NT
через специальную «прослойку», реализованную в файле
NTDLL.DLL. Ядра подсистем окружения представляют со-
бой сквозные переходники к ядру Windows NT и практичес-
ки полностью абстрагированы от оборудования. Практичес-
ки, но не совсем! Некоторая порция системно-зависимого
кода присутствует и здесь. Многопроцессорные версии
файлов NTDLL.DLL и KERNEL32.DLL для синхронизации
потоков используют машинную команду LOCK. В однопро-
цессорных версиях она теряет смысл и заменяется более
быстродействующей командой NOP. Наверняка существу-
ют и другие различия, но я такие специально не искал, по-
скольку их влияние на производительность системы незна-
чительно.
Из всего этого зоопарка нас в первую очередь будет
интересовать ядро исполнительной системы и HAL (рис. 1).
Ðèñóíîê 1. Àðõèòåêòóðà ÿäðà Windows NT
№8(21), август 2004
администрирование
Типы ядер
Тип выбираемого ядра определяется как архитектурными
особенностями конкретной аппаратной платформы, так и
личными предпочтениями пользователя системы, обуслов-
ленными спецификой решаемых задач. Существует по
меньшей мере пять основных критериев классификации
ядер:
! тип платформы (Intel Pentium/Intel Itanium, Compaq
SystemPro, AST Manhattan);
! количество процессоров (однопроцессорные и много-
процессорные ядра);
! количество установленной памяти (до 4 Гб, свыше 4 Гб);
! тип контроллера прерываний (APIC- и PIC-ядра);
! тип корневого перечислителя (ACPI- и не ACPI-ядра).
Очевидно, что ядро должно быть совместимо с целе-
вым процессором на уровне двоичного кода и работать в
наиболее естественном для него режиме (64-разрядный
процессор, поддерживающий архитектуру IA32, сможет
работать и со стандартным 32-разрядным ядром, но разум-
ным такое решение не назовешь). Данная статья обсужда-
ет вопросы оценки сравнительной производительности ядер
49
 администрирование
в рамках одной аппаратной платформы, и тема выбора про-
цессора здесь не затрагивается.
Многопроцессорные ядра отличаются от монопроцес-
сорных прежде всего тем, что они «видят» все установлен-
ные процессоры и умеют с ними взаимодействовать, воз-
лагая эту задачу на специальный драйвер, встроенный в
HAL. Также в них кардинально переработаны механизмы
синхронизации. Если в монопроцессорных ядрах для пре-
дотвращения прерывания критичного участка кода доста-
точно всего лишь подтянуть IRQL к верхнему уровню или
заблокировать прерывания командной CLI, то в многопро-
цессорных ядрах такая стратегия уже не срабатывает – ведь
на всех остальных процессорах прерывания разрешены –
и приходится прибегать к спинлокам (от английского spin
lock – взаимоблокировка).
Для защиты участка кода от вмешательства извне сис-
тема взводит специальный флаг, складывая поступающие
запросы в специальную очередь. Естественно, это требует
некоторого количества процессорного времени, что нега-
тивно сказывается на производительности, но другого вы-
хода у нас нет. Значительно усложняется и схема диспет-
черизации прерываний, ведь теперь один набор IRQ прихо-
дится делить между несколькими процессорами, а табли-
цы обработчиков аппаратных/программных прерываний
поддерживать в согласованном состоянии. Изменения кос-
нулись и планировщика, а точнее самой стратегии плани-
рования потоков, которая может быть реализована как по
симметричной, так и по асимметричной схеме. Симметрич-
Ðèñóíîê 2. Ñèììåòðè÷íàÿ è àñèììåòðè÷íàÿ îáðàáîòêà
50
ные ядра (а их большинство) допускают выполнение каж-
дого из потоков на любом свободном процессоре, асиммет-
ричные же жестко закрепляют системные потоки за одним
из процессоров, выполняя пользовательские потоки на всех
остальных. Асимметричные ядра не входят в стандартный
комплект поставки Windows NT и обычно предоставляются
поставщиками соответствующего оборудования. Асиммет-
ричные ядра несколько менее производительны, чем сим-
метричные (один из процессоров большую часть своего
времени простаивает), однако их намного сложнее «за-
тормозить», и сколько бы прожорливых потоков ни запус-
тил злобный хакер, администратор всегда может обезо-
ружить их, ведь системные потоки выполняются на отдель-
ном процессоре! Многопроцессорные ядра следует исполь-
зовать только на многопроцессорных системах, в против-
ном случае мы значительно проиграем в производитель-
ности, причем многопроцессорные материнские платы с
одним процессором на борту требуют специального унип-
роцессорного ядра (uniprocessor kernel), а работоспособ-
ность однопроцессорных ядер в такой конфигурации ни-
кем не гарантирована (хотя обычно они все-таки работа-
ют) (рис. 2).
Разрядность внешней адресной шины младших моде-
лей процессоров Intel Pentium составляет 32 бита, и потому
они не могут адресовать более 4 Гб физической памяти.
Поскольку для серьезных серверов и мощных рабочих стан-
ций этого оказалось недостаточно, начиная с Pentium Pro,
ширина шины была увеличена до 36 бит, в результате чего

мы получили возможность адресовать вплоть до 64 Гб фи-
зической памяти. При работе в обычном режиме странич-
ной адресации четыре старших бита адресной шины обну-
ляются, и чтобы их задействовать, необходимо перевести
процессор в режим PAE (Physical Address Extensions), отли-
чающийся структурой таблиц страничной переадресации и
поддерживающий 2 Мб страницы памяти. PAE-ядра не-
сколько производительнее обычных ядер, поскольку засо-
вывают старшие 2 Мб адресного пространства процесса в
одну страницу, сокращая тем самым издержки на переклю-
чение контекста между процессами. Вы можете использо-
вать PAE-ядра, даже если у вас установлено менее 4 Гб
физической памяти, однако выигрыш в производительнос-
ти при этом будет не очень существенен.
В зависимости от типа контроллера прерываний, уста-
новленного на материнской плате, следует выбирать либо
PIC-, либо APIC-ядро. PIC-контроллеры поддерживают
15 IRQ и встречаются только на многопроцессорных мате-
ринских платах.
APIC-контроллеры поддерживают до 256 IRQ и многопро-
цессорную обработку. На программном уровне PIC- и APIC-
контроллеры взаимно совместимы, поэтому PIC-ядро долж-
но работать и с APIC-контроллером, однако, во-первых, при
этом оно увидит всего лишь 15 IRQ, а во-вторых, такая кон-
фигурация не тестировалась Microsoft, и потому никаких га-
рантий, что система не зависнет при загрузке, у нас нет.
Материнские платы с поддержкой технологии ACPI мо-
гут работать как с ACPI, так и с не ACPI-ядрами, при этом
не ACPI-ядра самостоятельно распределяют системные
ресурсы компьютера и взаимодействуют с устройствами
напрямую, а ACPI-ядра во всем полагаются на ACPI-кон-
троллер, фактически являющийся корневым перечислите-
лем, т.е. самой главной шиной компьютера, к которой под-
ключены все остальные шины и устройства. И хотя эта шина
виртуальна, производительность системы значительно па-
дает, поскольку ACPI-контроллер имеет тенденцию вешать
все PCI-устройства на одно прерывание со всеми вытека-
ющими отсюда последствиями.
Подробнее обо всем этом и многом другом я расскажу
по ходу углубления внутрь статьи, а пока же сосредоточим
свое внимание на ядре как таковом, приоткрыв черный
ящик.
Почему не пригодны тестовые пакеты
Среди изобилия тестовых программ, представленных на
рынке, можно найти множество утилит для оценки быстро-
действия центрального процессора, оперативной памяти,
видеокарты или подсистемы ввода/вывода, но мне неизве-
стны инструменты, пригодные для определения произво-
дительности ядра операционной системы.
А почему бы не воспользоваться WINSTONE или
SPECweb96? Первый имитирует запуск реальных офисных
приложений, второй – веб-сервера. Разве их показания не
будут отражать объективное влияние конкретного ядра на
производительность всей операционной системы в целом?
Нет, не будут. И вот почему. WINSTONE (как и большин-
ство его соплеменников) прогоняет тесты в идеализирован-
ных условиях при минимальном количестве потоков, поэто-
му накладные расходы на переключение контекста не учи-
№8(21), август 2004
администрирование
тываются. К тому же степень «отзывчивости» системы (под-
сознательно ассоциируемая с ее производительностью)
обусловливается отнюдь не скоростью выполнения кода, а
интеллектуальностью планировщика, повышающего при-
оритет потока в тот момент, когда он больше всех осталь-
ных нуждается в процессорном времени (например, при
захвате фокуса, завершении ожидаемой операции ввода/
вывода и т. д.). Но тесты этого не учитывают.
Допустим, пересчет миллиона ячеек электронной таб-
лицы, независимо от версии ядра, длится ровно один час.
Означает ли это, что все ядра равноценны? Вовсе нет! За
кадром остались такие жизненно важные аспекты, как «под-
вижность» фоновых потоков системы, «чувствительность»
к прерываниям и т. д. Одно ядро достойно обрабатывает
клавиатурный ввод одновременно с расчетом, а другое
жутко тормозит, реагируя на нажатия с задержкой в не-
сколько секунд. Ну и с каким из них вам будет приятнее
работать? А ведь тестирующей программе все равно…
Зайдем с другой стороны. Обычно тестовое задание
состоит из серии повторяющихся замеров, время выпол-
нения которых усредняется. Замеры со значительными от-
клонениями от средневзвешенного значения отбрасыва-
ются (ну мало ли, может, в этот момент началась отгрузка
кэша на диск). Если продолжительность одного замера со-
ставляет не более 20 мс (целая вечность для процессо-
ра!), за это время может вообще не произойти ни одного
переключения контекста, а если оно и произойдет, то бу-
дет безжалостно отбраковано при обработке результатов,
в итоге мы получим «чистую» производительность маши-
ны за вычетом вклада операционной системы. Можно ли
этого избежать? Увы! В противном случае результаты те-
стирования будут варьироваться от прогона к прогону, и
пользователь растеряется – какое же значение ему выб-
рать? Ведь на коротком промежутке времени (порядка 10 –
20 мс) издержки от побочных эффектов крайне непосто-
янны и неоднородны, поэтому выдавать неочищенный ре-
зультат нельзя.
Если же продолжительность замера превышает 20 мс,
планировщик Windows автоматически перераспределяет
процессорное время так, чтобы переключение контекста
основного потока (и этим потоком будет тестовый поток!)
происходило как можно реже, а его накладные расходы
стремились к нулю. Естественно, остальные потоки систе-
мы сажаются на голодный паек, работая рывками (и, как
мы увидим далее, даже при умеренной загрузке системы
на «плохих» ядрах потоки получают управление не чаще
чем один раз… в десять секунд. Не «тиков», а именно се-
кунд! И хотя интегральная производительность системы не
только не уменьшается, но даже возрастает, работать с ней
становится невозможно).
То же самое относится и к имитатору веб-сервера. До-
пустим, одно ядро обрабатывает сто тысяч запросов за ми-
нуту, а другое – сто пятьдесят. Какое из них производитель-
нее? А если первое обслуживает всех своих клиентов плав-
но, а второе отдает информацию «плевками» с паузами по
десять-пятнадцать секунд? К сожалению, известные мне те-
сты этого обстоятельства не учитывают и потому их пока-
зания при всей своей объективности толкают на выбор не-
правильного ядра. Помните анекдот про машину, которая
51
 администрирование
ездит быстро, но тормозит медленно? Производитель-
ность – это не только отношение количества проделанной
работы к затраченному времени, это еще и качество пре-
доставляемого сервиса!
Сформулируем главное требование, предъявляемое
нами к системе: планировщик должен исхитриться перерас-
пределить процессорное время между потоками так, что-
бы обеспечить наилучший баланс между производитель-
ностью и плавностью работы даже при большом количе-
стве одновременно выполняющихся потоков. Теперь для
достижения полного счастья остается лишь найти ядро сво-
ей мечты.
Обсуждение методик тестирования
Скажите, какую физическую величину измеряет обыкно-
венный ртутный или спиртовой термометр. Температуру?
Нет, объем. Каждый тест по-своему объективен и что-то
измеряет, но результат измерений в значительной мере
определяется его интерпретацией. Объем ртутного шари-
ка прямо пропорционален его температуре. Это хорошо.
Но производительность не температура. Это комплексная
величина, и в индексах производительности столько же
смысла, сколько и в коэффициенте интеллектуальности
отдельного индивидуума. Кто умнее – Гейзенберг или Га-
луа? Кто сильнее – кит или слон? Какое из всех ядер са-
мое производительное? Можно спорить до хрипоты, но в
такой формулировке вопрос не имеет ответа. Как мини-
мум мы должны выявить факторы, в наибольшей степени
влияющие на совокупное быстродействие системы, и раз-
работать адекватные методики тестирования, разлагаю-
щие векторное понятие производительности на скалярные
величины.
Никакая методика тестирования не безупречна и отра-
жает лишь часть реальной действительности, поэтому к
полученным результатам следует относиться с большой ос-
торожностью. Если Формула-1 ездит быстрее, чем КамАЗ,
отсюда еще не следует, что она сохранит свое преимуще-
ство при перевозке двухсот тонн кирпичей.
Методика тестирования тесно связана со спецификой
возлагаемых на систему задач (у автогонщика свои требо-
вания к машине, у дальнобойщика – свои), поэтому ника-
ких конкретных решений здесь не приводится, напротив,
эта статья показывает, как разрабатывать тестовые мето-
дики самостоятельно и какие проблемы поджидают вас на
этом пути. А проблем будет много.
Разность таймеров
Современные материнские платы несут на борту несколь-
ко независимых таймеров, которые никто не калибровал и
каждый из которых врет слегка по-своему. Различные ядра
используют различные таймеры для подсчета времени и
системного планирования, поэтому отталкиваться от API-
функций типа GetTickCount или QueryPerfomanceCounter
для сравнения производительности ядер категорически
недопустимо! Ну во всяком случае без их предварительной
калибровки.
Первым (а на IBM XT еще и единственным) возник про-
граммируемый таймер интервалов – Programmable Interval
Timer, или сокращенно PIT, базирующийся на микросхеме
52
Intel 8254 (сейчас – 82C54) и тактируемый частотой
1.19318 МГц (сейчас – либо 1.19318, либо 14.31818 МГц,
причем последняя встречается намного чаще), что обеспе-
чивало ему превосходную по тем временам точность изме-
рений – порядка 0.84 мс (~1 мс с учетом накладных расхо-
дов). В Windows продолжительность одного тика таймера
составляет 10 мс. Каждые 10 мс таймер дергает прерыва-
нием, и закрепленный за ним обработчик увеличивает сис-
темное время на эту же величину. Если обработчик по ка-
ким-либо причинам проморгает таймерное прерывание (ап-
паратные прерывания запрещены инструкцией CLI или пе-
репрограммированием PIC-контроллера), системное время
начнет отставать от реального, существенно снижая точ-
ность измерений. Хуже того, размеренность хода PIT дале-
ко не идеальна и варьируется в довольно широких преде-
лах. Windows использует PIC-таймер в основном для пла-
нирования потоков, а для измерения времени стремится ис-
пользовать другие, более точные таймеры, и переходит на
PIT только тогда, когда ни один из них не доступен.
Таймер часов реального времени (Real Time Clock или
сокращенно RTC), впервые появившийся в IBM AT, обычно
тактируется частотой 32.768 кГц, автоматически обновляя
счетчик времени в CMOS, что не требует наличия программ-
ного обработчика прерываний. Частота обновления по
умолчанию составляет 100 Гц, но при желании RTC-таймер
может быть перепрограммирован, и тогда часы будут идти
или медленнее, или быстрее. Точность показаний зависит
как от состояния питающей батарейки (которая вообще-то
никакая не батарейка, а настоящий литиевый аккумулятор,
но это уже не важно), так и от добротности реализации
микросхемы RTC со всеми обслуживающими ее компонен-
тами. По заверениям производителей среднее время ухо-
да за день составляет порядка 1-2 сек, однако имеющиеся
у меня материнские платы врут намного сильнее, к тому
же некоторые из них обнаруживают значительные «биения»
на временных интервалах порядка десятых долей секунды,
что отнюдь не способствует точности измерений. К тому
же некоторые версии Windows периодически синхронизи-
руют системное время с часами реального времени, что еще
больше подрывает доверие к системному времени. Исполь-
зуя его для измерения продолжительности тех или иных
процессов, вы можете получить очень странный результат.
Часы реального времени используют многие тестовые про-
граммы и перепрограммирование RTC-таймера позволяет
фальсифицировать результат. Windows 2000 использует
RTC только для периодической синхронизации с систем-
ными часами.
Усовершенствованный контроллер прерываний
(Advanced Programmable Interrupt Controller, или сокращен-
но APIC), в основном использующийся в многопроцессор-
ных системах, помимо прочей оснастки включает в себя и
некоторую пародию на таймер, предназначенный для пла-
нирования потоков и не пригодный ни для каких измере-
ний ввиду своей невысокой точности. Однако по непонят-
ным причинам APIC-ядра используют APIC-таймер в каче-
стве основного таймера системы, при этом величина одно-
го «тика» составляет уже не 10 мс, а 15 мс. Естественно,
часы идут с прежней скоростью, но политика планирова-
ния существенно изменяется – с увеличением кванта со-

кращаются накладные расходы на переключение контек-
стов, но ухудшается плавность коммутации между ними.
Использовать показания счетчика системного времени для
сравнения производительности APIC-ядер с другими ядра-
ми недопустимо, т.к. полученный результат будет заведо-
мо ложным.
Материнские платы, поддерживающие ACPI (Advanced
Configuration and Power Interface), имеют специальный тай-
мер, обычно управляемый менеджером электропитания и
потому называющийся Power Management Timer, или сокра-
щенно PM. Еще его называют ACPI-таймером. Штатно он
тактируется частой 3.579545 МГц (тактовая частота PIT,
разделенная на четыре), что обеспечивает точность изме-
рений порядка ~0.3 мс. ACPI-ядра используют PM-таймер в
качестве основного таймера системы, чему сами не рады.
Чипсеты от VIA, SIS, ALI, RCC не вполне корректно реали-
зуют PM-таймер, что приводит к обвальному падению про-
изводительности операционной системы и снижению на-
дежности ее работы. Проблема лечится установкой соот-
ветствующего пакета обновления, подробнее о котором
можно прочитать в технической заметке Q266344. Разуме-
ется, исправить аппаратную проблему (а в данном случае
мы имеем дело именно с ней) программными средствами
невозможно, и ее можно лишь обойти. Но даже на правиль-
ном чипсете при высокой загрузке PCI-шины PM-таймер не
успевает своевременно передавать свои тики, и хотя они
при этом не пропадают, обновление счетчика времени про-
исходит «рывками», для преодоления которых Microsoft
рекомендует сверять показания PM с показаниями PIC/APIC
или RTC.
И если PM неожиданно прыгнет вперед (jump forward),
обогнав своих соплеменников, этот замер должен аннули-
роваться как недействительный.
Современные чипсеты (и, в частности, Intel 845) содер-
жат специальный высокоточный таймер (High Precision Event
Timers, или сокращенно HPET), тактируемый частотой от
10 МГц, при которой время одного тика составляет от 0.1 мс
при точности порядка ±0.2% на интервалах от 1 мс до
100 мс. Это действительно рекордно высокая точность, по
крайней мере на порядок прерывающая точность всех ос-
тальных таймеров, однако HPET все еще остается завид-
ной экзотикой, и чипсеты с его поддержкой пока еще не
очень широко распространены.
Помимо этого на материнской плате можно найти мно-
жество таймеров, например, PCI Latency Timer или десят-
ки таймеров, обслуживающих чипсет, шины, память и про-
чие системные устройства. Многие из них тактируются ча-
стотами PCI- или AGP-шины, что обеспечивает достаточно
высокую точность измерений (ниже, чем у HPET, но суще-
ственно выше, чем у PM). К сожалению, они в своей массе
не стандартизированы и на каждой материнской плате ре-
ализуются по-своему, если вообще реализуются.
Некоторые используют в качестве таймера команду
RDTSC, считывающую показания внутреннего счетчика
процессора, каждый такт увеличивающегося на постоян-
ную величину (как правило единицу). Для профилировки
машинного кода она подходит на ура, но вот на роль бес-
пристрастного метронома уже не тянет. Некоторые ACPI-
контроллеры динамически изменяют частоту процессора
№8(21), август 2004
администрирование
или усыпляют его в паузах между работой для лучшего ох-
лаждения. Как следствие – непосредственное преобразо-
вание процессорных тактов в истинное время оказывается
невозможным.
Утилиту для оценки разности хода нескольких таймеров
можно скачать, например, отсюда: http://www.overclockers.ru/
cgi-bin/files/download.cgi?file=320&filename=timertest.rar. И
если выяснится, что ваши таймеры идут неодинаково, для
сравнения производительности различных ядер будет не-
обходимо ограничиться лишь одним из них. Надежнее все-
го использовать для снятия показаний свой собственный
драйвер, поскольку стратегия выбора таймеров ядром сис-
темы в общем случае непредсказуема и может отличаться
от вышеописанной.
Ðèñóíîê 3. testtimer çà ðàáîòîé
Рассмотрим некоторые API-функции, используемые тес-
товыми программами для измерения интервалов времени.
! GetTickCount. Самая популярная функция. Возвращает
количество миллисекунд, прошедших со времени после-
днего старта системы. В зависимости от типа установлен-
ного ядра использует либо PIT-, либо APIC-таймеры, в со-
ответствии с чем ее разрешение составляет либо 10 мс,
либо 15 мс, причем некоторые тики таймера могут быть
пропущены (т.е. за 30 мс не произойдет ни одного увели-
чения счетчика). Не рекомендуется к употреблению.
! GetSystemTime. Возвращает истинное время. То есть
функция думает, что оно истинное, а в действительнос-
ти – производное от системного счетчика, инкременти-
руемого каждые 10 мс или 15 мс за вычетом «съеден-
ных» тиков и врожденной неравномерности хода PIT- и
APIC-таймеров. Периодически синхронизирует себя с ча-
сами реального времени, а если запущена специаль-
ная интернет-служба, то еще и с атомными часами, т.е.
системное время продвигается траекторией пьяного гон-
щика, едущего по пересеченной местности. Для изме-
рений временных промежутков непригодна.
! timeGetTime. То же самое, что и GetTickCount. Докумен-
тация утверждает, что разрешающая способность этой
функции составляет 1 мс, в действительности же – 10 мс.
Синхронные изменения timeGetTime и GetTickCount под-
тверждают, что они питаются от одного источника.
53
 администрирование
! Sleep. Усыпляет поток на указанное количество милли-
секунд, задерживая на время управление. Теоретичес-
ки может использоваться для калибровки других тай-
меров и вычисления коэффициента перевода таковой
процессора в секунды. Практически же… Время ожи-
дания принудительно округляется до величины, кратной
«тику» основного системного таймера, причем на мо-
мент выхода из сна данный поток должен находиться в
самом начале очереди потоков, ожидающих выполне-
ния, в противном случае ему придется подождать. Мо-
жет быть, доли секунды, а может, несколько минут – все
зависит от размеров очереди, а она непостоянна. На хоро-
шо загруженной системе поток, планирующий вздрем-
нуть 100 мс, рискует проснуться… через минуту!
! QueryPerformanceCounter. Возвращает количество тиков
наиболее точного таймера, прошедших с момента стар-
та системы или… его последнего переполнения. Явля-
ется переходником к функции KeQueryPerformance
Counter, реализованной в HAL. Windows XP поддержи-
вает HPET, более ранние системы – нет. Если HPET ап-
паратно доступен и программно поддерживается, ис-
пользуется он, в противном случае ACPI-ядра будут ис-
пользовать PM, а не ACPI – либо PIT, либо возвратят
ноль, сигнализируя об ошибке. Для определения про-
должительности одного тика можно использовать фун-
кцию QueryPerformanceFrequency, возвращающую его
частоту в герцах. Это самое лучшее средство для про-
филировки и хронометража времени из всех имеющих-
ся, однако, как уже говорилось, PM-таймеры могут идти
неточно или совершать неожиданные прыжки вперед,
поэтому, показания, возращенные QueryPerformance
Counter, требуют некоторой обработки.
Синхронизация
На машинном уровне межпроцессорная синхронизация
обеспечивается префиксом LOCK, предоставляющим ко-
манде монопольный доступ к памяти. Все посягательства
со стороны остальных процессоров (если они есть) блоки-
руются. Обычно LOCK используется совместно с команда-
ми, устанавливающими или снимающими флаги, сигнали-
зирующие о том, что указанная структура данных в настоя-
щий момент модифицируется процессором, и потому луч-
ше ее не трогать.
Многопроцессорные ядра содержат множество LOCK,
встречающихся в самых неожиданных местах, и съедаю-
щих вполне ощутимый процент производительности, поэто-
му многопроцессорные ядра всегда медленнее. В однопро-
цессорных ядрах часть LOCK убрана полностью, вместе с
примыкающими к ним флагами, а часть заменена более
быстродействующими NOP. Общая же структура ядра со-
хранена в более или менее неизменном виде (рис. 4).
ACPI и IRQ
Прерывания – их мифическая разводка, неиссякаемый ис-
точник слухов, сплетен, легенд и суеверий. Попробуем с
ними разобраться.
Все x86-процессоры (за исключением старших моделей
Intel Pentium-4) управляют прерываниями через специаль-
ный интерфейсный вывод, обычно обозначаемый как INTR,
54
высокий уровень сигнала на котором свидетельствует о
поступлении запроса на прерывание. Процессор прекра-
щает текущую работу, вырабатывает сигнал подтвержде-
ния прерывания (Interrupt Acknowledge) и считывает с шины
данных 8-битный номер вектора перекрывания (INT n), пе-
реданный контроллером прерываний, обычно реализуемым
на правнучатых племянниках микросхемы i8259 и террито-
риально находящийся в южном мосту чипсета.
За вычетом 32 прерываний, зарезервированных разра-
ботчиками процессора, мы имеем 224 прерывания, пригод-
ных для обработки сигналов от периферийных устройств.
Означает ли это, что верхнее ограничение на максималь-
ное количество одновременно поддерживаемых устройств
равно 224? Нет! Некоторые из древних процессоров имели
всего лишь один вектор прерывания, но это ничуть не ме-
шало им управлять десятком устройств одновременно. Как?
Да очень просто. Что такое прерывание? Всего лишь спо-
соб устройства обратить на себя внимание. При наличии
достаточного количества свободных векторов за каждым
из устройств может быть закреплено свое персональное
прерывание, однозначно указывающее на источник сигна-
ла. Это существенно упрощает как проектирование самих
устройств, так и разработку обслуживающих их драйверов,
однако отнюдь не является необходимым. Получив сигнал
прерывания, процессор может опросить все устройства по
очереди, выясняя, кто из них затребовал внимания. Есте-
ственно, это достаточно медленная операция, выливающа-
яся в десятки дополнительных операций ввода/вывода и к
тому же потенциально небезопасная, т.к. малейшая ошиб-
ка разработчика оборачивается серьезными конфликтами.
Короче говоря, для достижения наивысшей стабильности
и производительности системы каждое прерывание долж-
но использоваться не более чем одним устройством.
Контроллер прерываний, используемый в IBM XT, под-
держивал восемь аппаратных прерываний, обозначенных
IRQ (Interrupt Request) и пронумерованных от 0 до 7. Номер
IRQ соответствует приоритету прерывания: чем больше но-
мер – тем ниже приоритет. Во время обработки более при-
оритетных прерываний генерация менее приоритетных по-
давляется и соответственно, наоборот, менее приоритет-
ные прерывания вытесняются более приоритетными. Счи-
тается, чем больше ресурсов требует устройство, тем выше
должен быть приоритет его IRQ. Это неверно. Выбор пред-
почтительного IRQ, определяется отнюдь не «прожорливо-
стью» устройства, а критичностью потери прерывания. До-
пустим, сетевая карта, видя, что входной буфер практичес-
ки полон, а данные по витой паре продолжают поступать,
сгенерировала прерывание, которое было вытеснено пре-
рыванием звуковой карты, имеющей более высокий при-
оритет и сигнализирующей об опустошении выходного бу-
фера. Если драйвер звуковой карты ненароком замешка-
ется и удержит обработчик прерывания дольше положен-
ного, входной буфер сетевой карты переполнится, и часть
пакетов окажется безвозвратно утеряна, и данные придет-
ся передавать вновь, что несколько снизит быстродействие
сети. Является ли эта ситуация нормальной? Для кого-то
да, а для кого-то и нет! Потерянных пакетов, конечно, жаль,
но если поменять приоритеты местами, звуковая карта от-
реагирует на опустошение входного буфера суровым иска-

жением воспроизводимого сигнала, чего в некоторых ситу-
ациях ни в коем случае допускать нельзя. Никакого друго-
го влияния на производительность выбор приоритетов не
оказывает. Независимо от номера IRQ обработка преры-
вания занимает одно и то же время. От обработки осталь-
ных прерываний она также не освобождает. При условии,
что аппаратные устройства и обслуживающие их драйве-
ры реализованы правильно (т.е. более или менее безбо-
лезненно переживают потерю IRQ и «отпускают» прерыва-
ние практически сразу же после его возникновения), вы-
бор приоритетов никакой роли не играет.
Контроллер прерываний позволяет отображать аппарат-
ные IRQ0-IRQ7 на 8 любых смежных векторов прерываний,
например, на INT 30h – INT 37h. Тогда, при возбуждении
IRQ0, процессор сгенерирует прерывание INT 30h, а при
возбуждении IRQ3 – INT 33h. В IBM AT количество контрол-
леров было увеличено до двух, причем второй был подклю-
чен на вход первого, в результате чего количество аппа-
ратных прерываний возросло до 15. Почему не 16? Так ведь
одна из восьми линий прерываний была израсходована на
каскадирование с другим контроллером!
Некоторое количество прерываний разошлось по сис-
темным устройствам, некоторое было выделено шине ISA –
тогдашнему индустриальному стандарту. Генерация преры-
ваний осуществлялась изменением уровня сигнала на ли-
нии соответствующего IRQ. Могут ли два или более уст-
Ðèñóíîê 4. ACPI êàê êîðíåâîé ïåðå÷èñëèòåëü
№8(21), август 2004
администрирование
ройств висеть на одном IRQ? Ну вообще-то могут, но если
они одновременно сгенерируют сигнал прерывания, то до
контроллера дойдет лишь один из них, а остальные будут
потеряны, но ни контроллер, ни устройства об этом не до-
гадаются. Такая ситуация получила название конфликта, и
ее последствия всем хорошо известны. Впрочем, если пре-
рывания возникают не слишком часто, то оба устройства
вполне уживаются друг с другом (в свое время автор дер-
жал на одном прерывании и мышь, и модем).
Шина PCI, пришедшая на смену ISA, работает всего с
четырьмя линиями равно приоритетных прерываний, услов-
но обозначаемых как INTA, INTB, INTC и INTD. На каждый
слот подведены все четыре прерывания, и устройство мо-
жет использовать любое подмножество из них, хотя обыч-
но ограничиваются только одним. Линии прерываний одно-
го слота соединяются с линями остальных слотов (а в неко-
торых дешевых платах все INTA, INTB, INTC и INTD веша-
ются на одну линию прерывания). Для равномерного рас-
пределения прерывания по устройствам на каждом слоту
происходит ротация прерываний (рис. 5). Допустим, у нас
есть два слота: в первом слоте прерывание INTA (со сторо-
ны устройства) соответствует прерыванию INTA (со сторо-
ны шины), прерывание INTB → INTB и т. д. Во втором слоте
прерыванию INTA (с стороны устройства) соответствует
прерывание INTB (со стороны шины), INTB → INTC, INTC →
INTD и INTD → INTA, в результате чего устройства, исполь-
55
 администрирование
зующие прерывание INTA, оказываются развешаны по пре-
рываниям INTA и INTB.
Ðèñóíîê 5. Ðîòàöèÿ àïïàðàòíûõ ïðåðûâàíèé PCI-øèíû
Линии прерываний INTA – INTB соединяются с вывода-
ми PIRQ0 – PIRQ3 контроллера PCI-шины, а оттуда через
роутер (PCI Interrupt Router) попадают в контроллер преры-
ваний, тем или иным образом отображаясь на четыре ли-
нии IRQ, не занятые никакими ISA-устройствами. Посколь-
ку количество установленных PCI-устройств обычно много
больше четырех (мы считаем также и внутренние устрой-
ства, такие, например, как интегрированный контроллер
USB, чаще всего повешенный на INTD), несколько устройств
вынуждены делить одно прерывание между собой. В отли-
чие от ISA, в PCI-шине совместное использование преры-
ваний является ее нормальным состояниям. Генерация пре-
рываний осуществляется не по переходу, а по состоянию,
и устройство может удерживать линию прерывания в соот-
ветствующем состоянии до тех пор, пока его запрос не бу-
дет обработан. Теоретически это легко. Практически же…
Даже поверхностное тестирование обнаруживает большое
количество устройств и драйверов, не вполне соответству-
ющих спецификациям и не желающих делить свое PIRQ с
другими (или делающих это настолько неумело, что произ-
водительность падает в разы). Следование спецификаци-
ям предотвращает конфликты, но оставляет проблему па-
дения производительности в силе. При совместном исполь-
зовании прерываний драйвера получают сигналы не толь-
ко от своих, но и от чужих устройств, заставляя их обра-
щаться к своему устройству за подтверждением, и если
выяснится, что прерывание сгенерировало не оно, запрос
передается следующему драйверу в цепочке. А теперь пред-
ставьте, что произойдет, если на одном прерывании висит
Ðèñóíîê 6. Âñå PCI-óñòðîéñòâà íà îäíîì ïðåðûâàíèè
56
десяток устройств и драйвер наиболее «беспокойного» из
них попадет в самый хвост очереди?
Для достижения наивысшей производительности сле-
дует, во-первых, оптимально распределить PCI-карты по
слотам (например, если у вас на шесть PCI-слотов прихо-
дятся две PCI-карты, то, втыкая устройства в первый и пя-
тый слот, вы вешаете их на одно PIRQ), по возможности
совмещая на одном PIRQ только наименее темперамент-
ные устройства, т.е. такие, которые генерируют прерыва-
ния реже всего. Во-вторых, каждое PIRQ должно отобра-
жаться на свое IRQ. Какое – не суть важно (ведь приоритет
PCI-прерываний одинаков), но только свое. Совместное ис-
пользование одного IRQ несколькими PIRQ обычно не при-
водит к конфликтам, но негативно сказывается на произво-
дительности, ведь драйвера работают не с PIRQ, а с IRQ!
ACPI-ядра, работающие с PCI-шиной через ACPI-кон-
троллер, лишены возможности управлять отображением
PIRQ на IRQ по своему усмотрению. Не может управлять
этим и BIOS (во всяком случае легальными средствами).
Сам же ACPI стремится повесить все PIRQ на одно IRQ
(обычно IRQ9), и помешать ему очень трудно. Если количе-
ство установленных PCI-устройств намного больше четы-
рех, то разница в производительности между ACPI- и не
ACPI-ядрами несущественна, поскольку, даже отказавшись
от ACPI, вы все равно будете вынуждены разделять одно
PIRQ между несколькими устройствами. Другое дело, если
количество PCI-устройств невелико и наиболее темпера-
ментные из них висят на своих прерываниях, тогда при пе-
реходе с ACPI- на не ACPI-ядро разница в быстродействии
системы может оказаться очень значительной (то же са-
мое относится и к неудачно спроектированным устройствам,
не умеющим делить прерывания с другими и не имеющих
достойной замены, например, дорогой видеоускоритель,
RAID-контроллер и т. д.).
К сожалению, просто взять и отключить ACPI нельзя,
поскольку он является не только менеджером питания, рас-
пределителем ресурсов, но еще и корневым перечислите-

лем. ACPI- и не ACPI-ядра используют различные деревья
устройств и потому взаимно несовместимы. Смена ядра в
обязательном порядке требует переустановки системы, в
противном случае та откажется загружаться. Это суще-
ственно затрудняет сравнение быстродействия ACPI- и не
ACPI-ядер, поскольку переустановка системы радикальным
и непредсказуемым образом изменяет ее производитель-
ность (рис. 6).
Продвинутые материнские платы используют усовер-
шенствованный контроллер прерываний (Advanced PIC или
сокращенно APIC), поддерживающий 256 IRQ и способный
работать в многопроцессорных системах. Однако в моно-
процессорных конфигурациях он не обеспечивает никаких
дополнительных преимуществ, т.к. количество свободных
прерываний ограничивается не контроллером, а PCI-шиной.
К тому же APIC-ядра не вполне корректно работают с тай-
мером, что сводит на нет все их преимущества.
Переключение контекста
Под «многозадачностью» большинство пользователей под-
разумевает возможность параллельного выполнения не-
скольких приложений: чтобы в фоне играл WinAmp, скачи-
вался mp3 с Интернета, принималась почта, редактирова-
лась электронная таблица и т. д. Минимальной единицей
исполнения в Windows является поток. Потоки объединя-
ются в процессы, а процессы – в задания (jobs). Каждый
поток обладает собственным стеком и набором регистров,
но все потоки одного процесса выполняются в едином ад-
ресном пространстве и обладают идентичными квотами.
В любой момент времени на данном процессоре может
выполняться только один поток, и если количество потоков
превышает количество установленных процессоров, пото-
ки вынуждены сражаться за процессорное время. Распре-
делением процессорного времени между потоками зани-
мается ядро. Вытесняющая многозадачность, реализован-
ная в Windows NT, устроена приблизительно так: каждому
потоку выдается определенная порция машинного време-
ни, называемая квантом (quantum), по истечении которой
планировщик (dispatcher) принудительно переключает про-
цессор на другой поток. Учет процессорного времени обес-
печивается за счет таймера. Периодически (раз в 10 мс или
15 мс) таймер генерирует аппаратное прерывание, прика-
зывающее процессору временно приостановить выполне-
ние текущего потока и передать бразды правления диспет-
черу. Диспетчер уменьшает квант потока на некоторую ве-
личину (обычно равную двум) и либо возобновляет выпол-
нение потока, либо (если квант обратился в нуль) сохраня-
ет регистры потока в специальной области памяти, назы-
ваемой контекстом (context), находит поток, больше всего
нуждающийся в процессорном времени, восстанавливает
его контекст вместе с контекстом процесса (если этот по-
ток принадлежит другому процессу) и передает ему управ-
ление.
Потоки обрабатываются по очереди в соответствии с
их приоритетом и принятой стратегией планирования. Пла-
нировщик сложным образом манипулирует с очередью,
повышая приоритеты потоков, которые слишком долго ждут
процессорного времени, только что получили фокус управ-
ления или дождались завершения операции ввода/вывода.
№8(21), август 2004
администрирование
Алгоритм планирования непрерывно совершенствуется,
однако, не все усовершенствования оказывают благопри-
ятное влияние на производительность. В общем случае
многопоточные приложения должны исполняться на тех яд-
рах, под стратегию планирования которых они оптимизи-
ровались, в противном случае можно нарваться на неожи-
данное падение производительности.
При небольшом количестве потоков накладные расхо-
ды на их переключения довольно невелики, и ими можно
пренебречь, но по мере насыщения системы они стреми-
тельно растут! На что же расходуется процессорное вре-
мя? Прежде всего на служебные нужды самого планиров-
щика (анализ очереди, ротацию приоритетов и т. д.), затем
на сохранение/восстановление контекста потоков и процес-
сов. Посмотрим, как все это устроено изнутри?
Дизассемблирование показывает, что планировщик как
бы размазан по всему ядру. Код, прямо или косвенно свя-
занный с планированием, рассредоточен по десяткам фун-
кций, большинство из которых не документированы и не
экспортируются. Это существенно затрудняет сравнение
различных ядер друг с другом, но не делает его невозмож-
ным. Чуть позже мы покажем, как можно выделить подпрог-
раммы профилировщика из ядра, пока же сосредоточимся
на переключении и сохранении/восстановлении контекста.
Процессоры семейства x86 поддерживают аппаратный
механизм управления контекстами, автоматически сохра-
няя/восстанавливая все регистры при переключении на
другую задачу, но Windows не использует его, предпочитая
обрабатывать каждый из регистров вручную. Какое-то вре-
мя автор думал, что i486С-ядро, ничего не знающее о MMX/
SSE-регистрах современных процессоров и не включающее
их в контекст, будет выигрывать в скорости, однако парал-
лельная работа двух и более мультимедийных приложений
окажется невозможной. В действительности же оказалось,
что за сохранение/восстановление регистров сопроцессо-
ра (если его можно так назвать) отвечают машинные ко-
манды FXSAVE/FXSTOR, обрабатывающие и MMX/SSE-ре-
гистры тоже, но чтобы выяснить это, пришлось перерыть
все ядро – от HAL до исполнительной системы!
Переключение контекста осуществляется служебной
функцией SwapContext, реализованной в ntoskrnl.exe. Это
чисто внутренняя функция, и ядро ее не экспортирует. Тем
не менее она присутствует в символьных файлах (symbol
file), бесплатно распространяемых фирмой Microsoft. Пол-
ный комплект занимает порядка 150 Мб и неподъемно тя-
жел для модемного скачивания. Ряд утилит, таких, напри-
мер, как Symbol Retriever, от NuMega, позволяют выборочно
скачивать необходимые символьные файлы вручную, зна-
чительно сокращая время перекачки, однако по непонятным
причинам они то работают, то нет (Microsoft блокирует дос-
туп?), поэтому необходимо уметь находить точку входа в
SwapContext самостоятельно. Это легко. SwapContext – един-
ственная, кто может приводить к синему экрану смерти с
надгробной надписью «ATTEMPTED_SWICH_FROM_DPC»,
которой соответствует BugCheck код B8h. Загрузив
ntoskrnl.exe в ИДУ (или любой другой дизассемблер), пере-
числим все перекрестные ссылки, ведущие к функциям
KeBugCheck и KeBugCheckEx. В какой-то из них мы найдем
PUSH B8h/CALL KeBugCheck или что-то в этом роде. Она-то
57
 администрирование
и будет функцией SwapContex. Прокручивая экран дизассем-
блера вверх, мы увидим вызов функции HalRequestSoft
wareInterrupt, которая, собственно, и переключает контекст,
а в многопроцессорной версии ядра еще и машинную ко-
манду FXSAVE, которая тут совсем ни к чему и которая от-
сутствует в монопроцессорной версии. К тому же много-
процессорные версии намного щепетильнее относятся к
вопросам синхронизации и потому оказываются несколько
менее производительными.
Функция HalRequestSoftwareInterrupt, реализованная в
HAL, через короткий патрубок соединяется с функциями
_HalpDispatchInterrupt/_HalpDispatchInterrupt, cохраняющими/
восстанавливающими регистры в своих локальных перемен-
ных (не в контексте потока!) и на определенном этапе пе-
редающих управление на KiDispatchInterrupt, вновь возвра-
щающую нас в ntoskrnl.exe и рекурсивно вызывающую
SwapContext. Кто же тогда сохраняет/восстанавливает кон-
тексты? Оказывается – аппаратные обработчики. Список
указателей на предустановленные обработчики находится
в ntoskrnl.exe и содержится в переменной IDT (не путать с
IDT-таблицей процессора!), которая, как и следовало ожи-
дать, не экспортируется ядром, но присутствует в символь-
ных файлах. При их отсутствии найти переменную IDT мож-
но так: просматривая таблицу прерываний любых из ядер-
ных отладчиков (Soft-Ice, Microsoft Kernel Debugger), опреде-
лите адреса нескольких непереназначенных обработчиков
прерываний (т.е. таких, которые указывают на ntoskrnl.exe,
а не к драйверу) и, загрузив ntoskrnl.exe в дизассемблер,
восстановите перекрестные ссылки, ведущие к ним. Это и
будет структурой IDT.
Другие функции также могут сохранять/восстанавливать
текущий контекст (это, в частности, делает Kei386EoiHelper,
расположенная в ntoskrnl.exe), поэтому накладные расхо-
ды на переключение между потоками оказываются доста-
точно велики и выливаются в тысячи и тысячи команд ма-
шинного кода, причем каждое ядро имеет свои особеннос-
ти реализации. Как оценить, насколько одно из них произ-
водительнее другого?
Логично, если мы уговорим ядро переключать контек-
сты так быстро, как только это возможно, то количество
переключений в единицу времени и определит долю наклад-
ных расходов в общем быстродействии ядра.
Сказано – сделано. Создаем большое количество по-
токов (по меньшей мере сто или даже триста) и каждый из
них заставляем циклически вызывать функцию Sleep(0),
приводящую к отдаче квантов времени и как следствие –
немедленному переключению на другой поток. Количество
переключений контекста можно определить по содержимо-
му специального счетчика производительности, отобража-
емого Системным Монитором, утилитой CPUMon Марка
Руссиновича, отладчиком Microsoft Kernel Debugger и мно-
гими другими программами.
Ëèñòèíã 1. Èçìåðèòåëü ñêîðîñòè ïåðåêëþ÷åíèÿ êîíòåêñòà
thread()
{ Даже при небольшом количестве процессов система
// îòäàåì ïðîöåññîðíîå âðåìÿ â áåñêîíå÷íîì öèêëå
while(1) Sleep(0);
} мо притормаживать, а количество переключений контекстов
#define defNthr 300
58
#define argNthr ((argc > 1)?atol(argv[1]):defNthr)
main(int argc, char **argv)
{
int a, zzz;
printf("creating %d threads...", argNthr);
// ñîçäàåì argNthr ïîòîêîâ
for (a = 0; a < argNthr; a++) ↵
CreateThread(0, 0, (void*)thread, 0,0, &zzz);
printf("OK\n"); thread();
return 0;
}
Сравнение ACPI-ядра с i486С-ядром на машине автора
(Intel Pentium-III 733 МГц, 256 Мб SDR-RAM-133) обнаружива-
ет значительное расхождение в их производительности.
i486С-ядро переключает контекст намного быстрее, особен-
но при работе с большим количеством потоков. В общем
случае – количество переключений контекста обратно про-
порционально количеству потоков, т.к. контексты надо где-
то хранить, а кэш-память не резиновая. Если ядро делает
много лишних сохранений (о которых мы уже говорили), оно
существенно проигрывает в скорости. Тем не менее, все ядра
спроектированы достаточно грамотно и сохраняют отличную
подвижность даже при работе с тысячами потоков.
Переключение процессов требует дополнительных на-
кладных расходов и потребляет намного больше памяти,
попутно вызывая сброс буфера ассоциативной трансляции,
поскольку каждый из процессов обладает своим адресным
пространством. Выделить код, ответственный за переклю-
чение контекстов, несложно – он выдает себя обращением
к регистру CR3, загружая в него указатель на каталог стра-
ниц (Page Directory Physical Address).
Давайте немного модернизируем нашу тестовую про-
грамму, заменив потоки процессами. Один из вариантов
реализации может выглядеть так:
Ëèñòèíã 2. Èçìåðèòåëü ñêîðîñòè ïåðåêëþ÷åíèÿ ïðîöåññîâ
thread()
{
while(1) Sleep(0);
}
#define defNthr 3
#define argNthr ((argc > 1)?atol(argv[1]):defNthr)
#define argProc "-666"
main(int argc, char **argv)
{
int a, zzz;
char buf[1000];
STARTUPINFO st;
PROCESS_INFORMATION pi;
memset(&st, 0, sizeof(st)); st.cb = sizeof(st);
if ((argc > 1) && !strcmp(argv[1], argProc)) thread();
sprintf(buf,"%s %s",argv[0], argProc);
printf("creating %d proc...", argNthr);
for (a = 0; a < argNthr; a++)
CreateProcess(0, buf, 0,0,0, ↵
NORMAL_PRIORITY_CLASS,0, 0, &st, &pi);
printf("OK\n"); thread();
return 0;
}
значительно «проседает» под нагрузкой и начинает ощути-
сокращаются приблизительно вдвое. i486С-ядро по-прежне-

му держится впереди, что не может не радовать, к тому же
с ним система намного более оживленно реагирует на вне-
шние раздражители (в частности, клавиатурный ввод).
Быстродействие подсистемы ввода/вывода специально не
тестировалось, но по субъективным ощущениям i486С и с
этим справляется намного быстрее.
Желающие подкрепить экспериментальные данные доб-
рой порцией дизассемблерных листингов могут самостоя-
тельно проанализировать функции планировщика, если,
конечно, ухитрятся выдрать их из ядра! Далеко не всем ис-
следователям недр Windows удалось это сделать…
Задумайтесь: если ядро львиную долю процессорного
времени тратит на переключение контекстов, не означает
ли это, что наиболее интенсивно вызываемыми функция-
ми окажутся функции, принадлежащие планировщику?
Запускаем нашу тестовую программу, подключаем Microsoft
Kernel Profiler (или любой другой профилировщик ядра по
вкусу) и дав ему на сбор статистики порядка десяти секунд,
внимательно изучим полученный результат:
Ëèñòèíã 3. Ôóíêöèè ÿäðà, ïðÿìî èëè êîñâåííî îòíîñÿùèåñÿ
ê ïëàíèðîâàíèþ
4484 ntoskrnl.exe ExReleaseResourceForThread
4362 ntoskrnl.exe KiDispatchInterrupt
4333 ntoskrnl.exe SeTokenImpersonationLevel
2908 ntoskrnl.exe KeDelayExecutionThread
2815 ntoskrnl.exe KiIpiServiceRoutine
300 ntoskrnl.exe RtlPrefetchMemoryNonTemporal
73 ntoskrnl.exe KeDisconnectInterrupt
41 ntoskrnl.exe ExFreePoolWithTag
Длительность квантов
Частые переключения контекстов отрицательно сказыва-
ются на производительности системы, поэтому Windows NT
подбирает продолжительность одного кванта с таким рас-
четом, чтобы они происходили как можно реже, теряя при
этом подвижность и способность достаточно быстро реа-
гировать.
Допустим, у нас имеется 100 потоков, каждому из кото-
рых выделяется 100 мс процессорного времени, причем все
потоки используют отведенное им время полностью. Тогда
между двумя переключениями одного и того же потока прой-
дет 10 сек! Вот тебе, бабушка, и многозадачный день…
Разве это нормально, когда нажатая клавиша отображает-
ся на экране только через 10 сек? Когда сетевые клиенты
получают в час по чайной ложке? А ведь если сервер обра-
батывает каждого из клиентов в отдельном потоке (что яв-
ляется типичной стратегией программирования в
Windows NT), он должен умело распределять процессорное
время между тысячами потоков!
Разработчики UNIX, программирующие не ради денег,
а в силу исторической неизбежности, стремятся выбирать
величину кванта так, чтобы сервер не терял отзывчивости
даже при пиковой нагрузке. Разработчики Windows NT, на-
против, оптимизировали свою систему под максимальную
производительность, меняя величину кванта от версии к
версии так, чтобы совокупное количество обработанных
запросов в единицу времени было максимальным. Ведь про-
изводительность – это сила, а комфортабельность и уют –
понятия растяжимые. Поднимите компьютерные журналы,
полазьте по Интернету – везде лежат только сравнитель-
№8(21), август 2004
администрирование
ные тесты производительности, но нигде – отношение вре-
мени простоя клиента ко времени работы. Ладно, оставим
лирику и перейдем к делу.
Windows NT поддерживает два типа квантов – длинные
и короткие. Независимо от своего типа кванты могут быть
как фиксированной, так и переменной длины (кванты пе-
ременной длины еще называют динамическими). Величи-
на кванта выражается в условных единицах, официально
называемых quantum units. Три квантовых единицы обыч-
но равны одному тику таймера.
Управление типом и продолжительностью кванта осу-
ществляется через следующий параметр реестра: HKLM\
SYSTEM\CurrentControlSet\Control\PriorityControl\Win32
PrioritySeparation.
Если 4-й и 5-й биты, считая от нуля, равны 10, система
использует короткие кванты. То же самое происходит при
оптимизации параметров быстродействия под исполнение
приложений (Панель Управления → Система → Дополни-
тельно → Параметры быстродействия). 01 – указывает на
длинные кванты (они же используются при оптимизации си-
стемы под выполнение служб в фоновом режиме). Любое
другое значение выбирает продолжительность кванта по
умолчанию (короткие – в Windows 2000 Professional, длин-
ные – в Windows 2000 Server).
Если 2-й и 3-й биты равны 10 – длина квантов фиксиро-
ванна; 01 – позволяет планировщику динамически варьи-
ровать продолжительность кванта в заранее оговоренных
пределах. Любое другое значение выбирает тип квантов по
умолчанию (переменные – в Windows 2000 Professional,
фиксированные – в Windows 2000 Server). При использова-
нии динамических квантов планировщик пытается автома-
тически увеличивать продолжительность квантов некото-
рых потоков, тех, которым процессорное время нужнее все-
го. Во всяком случае, планировщик думает, что оно им нуж-
нее, а думает он приблизительно так: если поток обслужи-
вает GUI-окно и это окно находится в фокусе, продолжи-
тельность кванта увеличивается. Если поток полностью
использует весь отведенный ему квант, его продолжитель-
ность увеличивается. Если… Конкретный алгоритм плани-
рования зависит от выбранного ядра, и потому одни ядра
могут оказаться намного предпочтительнее других.
Два младших бита задают индекс в двухэлементном мас-
сиве PsPrioritySeparation, расположенном внутри ntoskrnl.exe
и используемым планировщиком для расчета продолжи-
тельности квантов активного процесса. Эта переменная не
экспортируется ядром, но упоминается в символьных фай-
лах. Если же они отсутствуют, обратитесь к функции PsSet
ProcessPriorityByClass, которая использует первый элемент
этого массива как указатель на другой массив.
Òàáëèöà 1. Ìîäåëüíûé ðÿä êâàíòîâ â Windows 2000 Professional
Для экспериментов с квантами слегка модернизируем
нашу тестовую утилиту, заставляя потоки (процессы) ис-
пользовать отведенный им квант времени целиком. А в пер-
вичный поток встроим счетчик времени, вычисляющий про-
должительность интервала между двумя соседними пере-
ключениями:
59
 администрирование
Ëèñòèíã 4. Èçìåðèòåëü ïðîäîëæèòåëüíîñòè êâàíòîâ Что произошло? Потоки ушли в фон, их приоритет по-
thread()
низился, а величина кванта сократилась до минимума. И
{ хотя накладные расходы на переключение контекста воз-
int a, b; росли, время обработки очереди сократилось до 2 сек, с
while(!f) Sleep(0);
while (f != 2); которыми вполне можно жить!
while(1) А теперь закройте все окна с несохраненными докумен-
{
for (a = 1; a< 100; a++) b = b + (b % a); тами, которые вам жалко потерять, и увеличьте приоритет
} тестового приложения хотя бы на одну ступень. Висим? А
}
то! Потоки тестового приложения отбирают процессорное
#define defNthr 300 время у всех остальных потоков (включая и некоторые сис-
#define argNthr ((argc > 1)?atol(argv[1]):defNthr)
темные), и они оказываются нефункциональны. То есть фун-
main(int argc, char **argv) кциональны, но раз за 10 сек, чего для обработки клавиа-
{
int a, zzz; турного и мышиного ввода более чем недостаточно. Забав-
SYSTEMTIME st; но, но i486С-ядро при этом продолжает работать более или
printf("creating %d threads...", argNthr); менее нормально.
for (a = 0; a < argNthr; a++)
CreateThread(0, 0, (void*)thread, 0,0, &zzz);
Обсуждение полученных результатов
f = 1; printf("OK\n"); Результаты тестирования i486С-ядра, полученные на маши-
Sleep(0); f = 2; не автора, приведены ниже.
while(1) Òàáëèöà 2. Ñêîðîñòü ïåðåêëþ÷åíèÿ êîíòåêñòà ïîòîêîâ íà
{ Windows 2000 Professional ñ îòäà÷åé êâàíòîâ âðåìåíè (ïî-
GetSystemTime(&st); òîêè èñïîëüçóþò íè÷òîæíóþ ÷àñòü îòâåäåííîãî èì ïðîöåñ-
printf("* %02d:%02d:%02d\n",st.wHour, ↵ ñîðíîãî âðåìåíè)
st.wMinute, st.wSecond);
Sleep(0);
}
return 0;
}
Òàáëèöà 3. Ñêîðîñòü ïåðåêëþ÷åíèÿ êîíòåêñòà ïðîöåññîâ íà
Под Windows 2000 Professional уже при 100 потоках Windows 2000 Professional ñ îòäà÷åé êâàíòîâ âðåìåíè (ïî-
òîêè èñïîëüçóþò íè÷òîæíóþ ÷àñòü îòâåäåííîãî èì ïðîöåñ-
время прогона очереди составляет 10 сек, в то же время ñîðíîãî âðåìåíè)
под Windows 2000 Server и того больше. Выглядит это,
скажу я вам, очень удручающе, и работать в таких усло-
виях становится крайне дискомфортно. Причем приобре-
тение более быстродействующего процессора не ускоря- Òàáëèöà 4. Ñêîðîñòü ïåðåêëþ÷åíèÿ êîíòåêñòà ïîòîêîâ íà
ет обработку очереди, ведь потоки по-прежнему исполь- Windows 2000 Professional áåç îòäà÷è êâàíòîâ âðåìåíè (ïî-
òîêè èñïîëüçóþò îòâåäåííîå èì ïðîöåññîðíîå âðåìÿ öåëèêîì)
зуют отведенные им кванты целиком, и хотя успевают пе-
реработать намного больше данных, каждый из них, как и
раньше, получает управление раз в десять секунд. Пере-
ход на двухпроцессорную машину повышает отзывчивость Òàáëèöà 5. Âðåìÿ îáðàáîòêè î÷åðåäè íà Windows 2000
системы приблизительно в 1.3 раза (два процессора умень- Professional áåç îòäà÷è êâàíòîâ âðåìåíè (ïîòîêè èñïîëüçó-
шают длину очереди в два раза, но за счет перехода на þò îòâåäåííîå èì ïðîöåññîðíîå âðåìÿ öåëèêîì)
APIC продолжительность одного тика таймера увеличи-
вается с 10 мс до 15 мс, итого 2/15/10 ~ 1.3). Однако есть
и другой, менее дорогостоящий и намного более радикаль-
ный способ решения проблемы. Один щелчок мыши уве- Как видно, это ядро имеет множество преимуществ пе-
личит реакционность системы в пять, а то и более раз. Не ред стандартным ACPI-ядром. Какое из них использовать –
верите? Ну так щелкните по рабочему столу, чтобы окно каждый должен решать сам. i486С-ядро не поддерживает
нашего тестового приложения потеряло фокус. Взгляни- ACPI и поэтому не способно в полной мере управлять энер-
те на таблицу временных замеров, которую мне удалось гопитанием компьютера, однако отрицать его сильные сто-
получить. роны, право же, не стоит. Оно действительно увеличива-
ет производительность системы, и ничего мифического в
Ëèñòèíã 5. Âðåìÿ îáðàáîòêè î÷åðåäè èç 100 ïîòîêîâ ïðè èñ- этом разгоне нет. Не верите? Испытайте его сами. Для
ïîëíåíèè íà ïåðåäíåì ïëàíå (ñëåâà) è â ôîíîâîì ðåæèìå
(ñïðàâà) íà Windows 2000 Professional этого в процессе установки (переустановки) операцион-
ной системы дождитесь, когда на экране появится сооб-
00:14:48 00:23:10
00:15:02 00:23:12 щение «Press F6 if you need to install a third party SCSI or
00:15:16 00:23:14 RAID driver» (Нажмите F6, если вам необходимо загрузить
00:15:30 00:23:16
00:15:46 00:23:18 SCSI- или RAID-драйвер стороннего производителя), на-
00:15:59 00:23:20 жмите F5 и выберите из списка имеющихся ядер «Standart
00:16:11 00:23:22
00:16:27 00:23:24 PC with C-Step i486» (Стандартный компьютер i486 степ-
00:16:41 00:23:27 пинг-С). После чего продолжите установку в обычном ре-
00:16:55 00:23:29
жиме.

60
 администрирование

ПОИСКОВАЯ СИСТЕМА
СВОИМИ РУКАМИ

Данная статья о том, как очень просто и быстро настроить службу индексирования
(MS Indexing Service) для работы с интернет-сервером IIS (MS Internet Information Services).
Рассматриваемые в статье методы и приемы могут быть применены ко всем версиям Windows,
начиная c Windows 2000. Эта информация может быть полезна тем, перед кем встала задача
организовать поиск по веб-сайту или по файловым серверам в локальной сети.

Очень многим системным администраторам задача органи-
зации поиска представляется достаточно сложной. Они счи-
тают, что для этого необходимо писать какие-то скрипты,
поисковые движки и прочее. Ничего этого не нужно. Для по-
нимания материала (а соответственно для организации по-
иска) вам понадобятся самые элементарные знания по HTML
и функционированию веб-сервера IIS. Почему все так про-
сто. Дело в том, что корпорация Microsoft в составе своих
операционных систем имеет стандартное средство для реа-
лизации подобных задач – службу индексирования (далее
СИ). Эта служба появилась в операционных Windows доста-
точно давно – начиная с Windows NT 4.0.
В периодической печати и сети имеется большое коли-
АНДРЕЙ САПРОНОВ
чество материала, знакомящего пользователя с данной служ-
бой. Поэтому, чтобы не повторяться, я дам лишь ссылки на
подобные статьи:
! http://www.osp.ru/win2000/worknt/2000/02/004.htm
! http://www.compulenta.ru/dk/offline/2003/90/31473
Еще одним источником информации об этой службе для
вас может стать встроенная справка. Здесь же следует отме-
тить, что подавляющее большинство встреченных мною ис-
точников процентов на 80 повторяют информацию, приведен-
ную в справке. Далее я буду полагать, что читатель либо оз-
накомился с приведенными материалами, либо имеет общие
понятия об архитектуре и принципах функционирования СИ.

№8(21), август 2004 61

 администрирование
Со своей стороны я сделаю небольшое резюме по ар-
хитектуре и функциональным возможностям СИ.
Краткое описание службы
индексирования
СИ является стандартным компонентом. Основными зада-
чами этой службы являются индексирование и организа-
ция поиска в указанных пользователем каталогах.
Параметры службы, включая расположение индексиру-
емых данных, можно указать в консоли управления компь-
ютером, оснастке «Служба индексирования».
По умолчанию служба может индексировать (а следо-
вательно, осуществлять быстрый поиск) следующие виды
файлов: HTML, все документы MS Office, сообщения MIME.
Этого вполне достаточно для веб-сайта. Однако если вам
необходима большая функциональность вашего поискови-
ка, то СИ может индексировать файлы, для которых име-
ются специальные фильтры (т.н. IFilter). Фильтр представ-
ляет собой dll-библиотеку, которая реализует интерфейс
IFilter для определенного типа файлов. Вы можете сами
разработать подобную программу или же взять готовую.
Последних существует достаточно много. Вот некоторые:
! zip – http://www.4-share.com
! pdf – http://www.adobe.com/support/downloads/product.jsp?
product=1&platform=Windows
! DjVu – http://www.lizardtech.com/download/dl_download.php?
detail=doc_ifilter&platform=win
! Jpg – http://www.aimingtech.com/jpeg_ifilter
! wmv/wma, shtml, vmf, msg, pdf, zip, xmp, vCard – http://
www.ifiltershop.com
СИ позволяет индексировать документы, находящиеся на
локальной машине и на любом доступном удаленном узле.
Запросы к СИ могут осуществляться на различном ло-
гическом уровне (OLE, ADO, ISAPI расширения) и при по-
Ðèñóíîê 1
62
мощи различных средств разработки (C++, VB, VBS, JS). В
простейшем случае запрос на поиск можно выполнить из
оснастки СИ в меню «Опрос каталога».
При помощи оснастки «Производительность» можно
оценить (как локально, так и удаленно) работу СИ по мно-
жеству параметров. Вот наиболее интересные из них: раз-
мер индекса, число активных пользователей, число запро-
сов (рис. 1).
IIS и Служба индексирования
Буду считать, что у вас установлен и запущен сервер IIS, а
СИ настроен на индексацию и поиск нужных вам папок.
По умолчанию CИ индексирует содержимое вашего веб-
узла.
Для поиска пользователю, как минимум, необходима
форма для ввода запросов (например, как стандартная,
показанная выше). Форму для запроса, а вместе с ней и
методы доступа к СИ можно реализовать двумя путями: ASP
или HTML.
В статье я буду рассматривать второй путь. Причин тому
две. Во-первых, он на порядок проще как для понимания,
так и для реализации. А во-вторых, очень подробные при-
меры на ASP имеются в Platform SDK и MSDN.
Кроме того, пример формы и запросов на поиск при-
сутствуют в стандартной поставке IIS: Windows\help\iisHelp\
iis\misc\search.asp и Windows\help\iisHelp\iis\misc\query.asp
соответственно. Эти примеры имеют подробные коммен-
тарии на русском языке.
В случае с HTML форма будет очень простой и до боли
знакомой (рис. 2).
В HTML это выглядит примерно так.
Ëèñòèíã 1. search.html – ôîðìà äëÿ ââîäà çàïðîñà ïîëüçîâàòåëÿ
<HTML>
<HEAD>

<TITLE>Ïðîñòàÿ ôîðìà äëÿ ïîèñêà</TITLE>
</HEAD>
<BODY>
<!--Óêàçûâàåì íà ññûëêó, íà âõîä êîòîðîé ïîéäóò
ïàðàìåòðû ôîðìû… -->
<FORM ACTION="search.idq" METHOD="GET" ID="Form1">
<!--…à ïàðàìåòð îäèí - ñòðîêà çàïðîñà -->
ß èùó: <INPUT TYPE="TEXT" NAME="CiRestriction" ↵
SIZE="30" MAXLENGTH="100" VALUE="" ID="Text1">
<!--Êíîïêà -->
<INPUT TYPE="SUBMIT" VALUE="Ïîèñê" ID="Submit1" ↵
NAME="Submit1">
</FORM>
</BODY>
</HTML>
Ðèñóíîê 2
Файл search.idq является скриптом, который содержит
всю необходимую информацию для запроса к СИ посред-
ством ISAPI (Internet Server Application Programming Interface)
расширения idq.dll. Для того чтобы IIS распознавал этот
текстовый файл как скрипт в свойствах вашего веб-узла,
на вкладке «Домашний каталог» нужно нажать кнопку «На-
стройка…» и сопоставить файлам с расширением *.idq
фильтр Windows\System32\idq.dll.
Ðèñóíîê 3
Также необходимо, чтобы idq-файл находился в папке,
имеющей право на исполнение скриптов (сценариев). Пос-
ле этого IIS будет обрабатывать IDQ (Internet Data Query)
файлы так, как мы этого хотим. А хотеть мы можем при-
мерно следующим образом:
Ëèñòèíã 2. search.idq – ñêðèïò äëÿ çàïðîñà íà ïîèñê
# [Query] – îáÿçàòåëüíàÿ ñåêöèÿ äëÿ idq-ôàéëà
[Query]
№8(21), август 2004
администрирование
# âîçìîæíûå ïîëÿ äëÿ îòîáðàæåíèÿ â ðåçóëüòàòàõ ïîèñêà
# èìÿ ôàéëà, ðàçìåð, ðåëåâàíòíîñòü, îïèñàíèå, ïîëíûé ïóòü,
# çàãîëîâîê äîêóìåíòà, äàòà ïîñëåäíåé ìîäèôèêàöèè
CiColumns=filename, size, rank, characterization, ↵
vpath, DocTitle, write
# ñòðîêà çàïðîñà (ñóæåíèÿ) – òî, ÷òî õî÷åò íàéòè ïîëüçîâàòåëü
CiRestriction=%CiRestriction%
# ìàêñèìàëüíî âîçìîæíîå êîëè÷åñòâî äîêóìåíòîâ
CiMaxRecordsInResultSet=100
# ÷èñëî íàéäåííûõ äîêóìåíòîâ íà ñòðàíèöó
CiMaxRecordsPerPage=10
# êàòàëîã(è) äëÿ ïîèñêà (îòíîñèòåëüíî êîðíåâîé ïàïêè âåá-óçëà)
CiScope=/DaT, /
# DEEP óêàçûâàåò, ÷òî ïîèñê èäåò âî âñåõ ïîäêàòàëîãàõ
# êàòàëîãîâ èç CiScope
CiFlags=DEEP
# øàáëîííàÿ ñòðàíèöà äëÿ îòîáðàæåíèÿ ðåçóëüòàòîâ ïîèñêà
CiTemplate=/search.htx
# ïîðÿäîê ñîðòèðîâêè íàéäåííûõ äîêóìåíòîâ (çäåñü ïî óìåíüøåíèþ
# ðåëåâàíòíîñòè)
# d - óìåíüøåíèå ïðèçíàêà, a - óâåëè÷åíèå
CiSort=rank[d]
Как видно, формат файла довольно прост: Перемен-
ная = Значение.
Небольшие комментарии относительно некоторых пе-
ременных:
! CiRestriction – строка запроса. В данном случае при-
нимает значение переменной %CiRestriction% из фай-
ла search.html (см. Листинг 1). Параметры, передавае-
мые в idq-файл, обрамляются с двух сторон знаками
процента. Если хотите, можете передать больше пара-
метров. Например, количество записей на страницу
поиска.
! CiSort – признак для сортировки результатов. В этой пе-
ременной можно указать любое поле из заданных в
CiColumns (доступно около 60 различных полей). Дан-
ный параметр можно также сделать настраиваемым
пользователем;
! CiTemplate – ссылка на шаблонный htx-файл (HTML
extension) для отображения результатов запроса;
! CiFlags – указывает на необходимость обхода всех вло-
женных папок. Можно использовать для поиска только
в указанных папках без обхода всех их подкаталогов.
Тогда CiFlags должен быть равен SHALLOW.
В приведенном выше примере использованы далеко не
все параметры для запроса. За полным перечнем свойств
рекомендую обратиться к MSDN.
HTX
Файл htx является не чем иным, как HTML-страницей. Од-
нако помимо тегов HTML в этом файле доступны специфи-
ческие идентификаторы, относящиеся к СИ и являющиеся
специфичными для введенного пользователем запроса. Эти
переменные (идентификаторы), как и в idq-файле, обрам-
ляются c обеих сторон знаком процента + знаки больше и
меньше – слева и справа, как у тегов.
Например, имя файла текущей записи находится в пе-
ременной <%filename%>. Именно эти идентификаторы по-
зволят вам определить количество найденных документов,
их ранг, расположение, а также все остальные параметры.
Вместо htx-расширения вы можете без ограничений исполь-
зовать стандартное расширение html. Предлагаю рассмот-
реть пример шаблонной страницы, которая представит
пользователю результаты поиска.
63
администрирование
Ëèñòèíã 3. search.htx – øàáëîííàÿ ñòðàíèöà äëÿ ïðåäñòàâëåíèÿ
ðåçóëüòàòîâ ïîèñêà
<!--Íîâûé ïîèñê. Ïðèìåíÿåòñÿ âîçìîæíîñòü ïîäêëþ÷åíèÿ
ôàéëîâ -->
<%include /search.html%>
<HR width="100%" SIZE="1">
<!--â ñëó÷àå åñëè íåò íèêàêèõ äîêóìåíòîâ, ò.å.
CiMatchedRecordCount==0, -->
<!--ãäå CiMatchedRecordCount – ÷èñëî íàéäåííûõ äîêóìåíòîâ -->
<%if CiMatchedRecordCount eq 0%>
<H4> Íå íàéäåíî äîêóìåíòîâ, ñîîòâåòñòâóþùèõ çàïðîñó ↵
"<%CiRestriction%>". </H4>
<%else%>
<!--Åñëè ÷òî-òî íàøëè, òî óêàçûâàåì íîìåð íà÷àëüíîé è
êîíå÷íîé çàïèñè íà ñòðàíèöå -->
<H4>Äîêóìåíòû ñ <%CiFirstRecordNumber%> ↵
ïî <%CiLastRecordNumber%> èç ↵
<%CiMatchedRecordCount%> ñîîòâåòñòâóþùèõ ↵
çàïðîñó "<%CiRestriction%>". </H4>
<%endif%>
<!--%begindetail% âûâîäèò çàïèñè î íàéäåííûõ äîêóìåíòàõ
ñ òåêóùåé %CiCurrentRecordNumber% -->
<!--äî %CiCurrentRecordNumber%+%CiMaxRecordsPerPage%
çàïèñè -->
<%begindetail%>
<!--Íå çàáûâàéòå, ÷òî êëèåíò ïîëó÷èò êîììåíòàðèè
èç ýòîé ñåêöèè ìíîãî-ìíîãî ðàç -->
<br>
<%CiCurrentRecordNumber%>.
<b><a href="<%vpath%>"><%filename%></a></b>
<b><i>Îïèñàíèå: </i></b><%characterization%><br>
<!--âûâîäèì ðåëåâàíòíîñòü, òî÷íóþ ññûëêó, ðàçìåð,
è äàòó ïîñëåäíåé ìîäèôèêàöèè -->
Ðèñóíîê 4
64
<font size=-1 color=DarkGreen> <%rank%> - <%vpath%> - ↵
ðàçìåð <%size%> áàéò - <%write%> GMT</font>
<br>
<%enddetail%>
<!--Êîíñòðóèðóåì êíîïêè äëÿ ïåðåìåùåíèÿ ìåæäó ñòðàíèöàìè
ïîèñêà -->
<!--Åñëè â âûâåäåííûõ çàïèñÿõ íåò ïåðâîé, çíà÷èò, ìîæíî
âåðíóòüñÿ íàçàä, -->
<!--ò.å. îòîáðàæàåì êíîïêó "Ïðåäûäóùàÿ" -->
<%if CiContainsFirstRecord eq 0%>
<!--Ïåðåäàåì óæå çíàêîìîìó ñêðèïòó ïàðàìåòðû ñäâèíóòüñÿ
íà %CiMaxRecordsPerPage% çàïèñåé íàçàä -->
<!--îò ïåðâîé çàïèñè íà ñòðàíèöå %CiBookmark%>
<FORM ACTION="search.idq" METHOD="GET">
<INPUT TYPE="HIDDEN" NAME="CiBookmark" ↵
VALUE="<%CiBookmark%>" >
<INPUT TYPE="HIDDEN" NAME="CiBookmarkSkipCount" ↵
VALUE="-<%CiMaxRecordsPerPage%>" >
<!--åñëè íà ïðåäûäóùåé ñòðàíèöå âàì íå íóæíî
çíà÷åíèå %CiRestriction%, òî ìîæíî-->
<!--îáîéòèñü è áåç ýòîé ñòðîêè-->
<INPUT TYPE="HIDDEN" NAME="CiRestriction" ↵
VALUE="<%CiRestriction%>" >
<INPUT TYPE="SUBMIT" VALUE="Ïðåäûäóùàÿ">
</FORM>
<%endif%>
<!--Àíàëîãè÷íî ïîñòóïàåì ñ êíîïêîé "Ñëåäóþùàÿ" -->
<%if CiContainsLastRecord eq 0%> -->
<FORM ACTION="search.idq" METHOD="GET">
<INPUT TYPE="HIDDEN" NAME="CiBookmark" ↵
VALUE="<%CiBookmark%>" >
<INPUT TYPE="HIDDEN" NAME="CiBookmarkSkipCount" ↵
VALUE="<%CiMaxRecordsPerPage%>" >
<INPUT TYPE="HIDDEN" NAME="CiRestriction" ↵

VALUE="<%CiRestriction%>" >
<INPUT TYPE="SUBMIT" VALUE="Ñëåäóþùàÿ">
</FORM>
<%endif%>
Тегами <%begindetail%>…<%enddetail%> результат зап-
роса разделяется на страницы с числом записей на каж-
дой странице, равным <%CiMaxRecordsPerPage%>», зада-
ваемым в idq-файле. Думаю, назначение остальных тегов
ясно из текста программы.
Кроме тегов-переменных, к результатам поиска приме-
нимы условные переходы <% if %>…<% else %>…<% endif
%> и логические операторы: EQ (равенство), NE (неравен-
ство), LT/GT (меньше/больше), LE/GE (меньше/больше либо
равно), CONTAINS (содержание одной строки в другой),
ISTYPEEQ (принадлежность определенному типу).
Файлы htx поддерживают возможность подключения
внешних html/htx-файлов (см. Листинг 3) при помощи ди-
рективы <%include filename%>. Подключать можно не бо-
лее 31 файла, включая вложенные.
В этом примере для вывода информации о найденном
документе использовано свойство документа %Characte-
rization% – краткое описание (аннотация). Это описание авто-
матически генерируется СИ при индексировании документов.
Если вы хотите, чтобы оно генерировалось, то это нужно ука-
зать в свойствах СИ на вкладке «Генерация» – «Генериро-
вать аннотации». Там же можно указать размер аннотации.
В исходном HTML-коде были использованы коммента-
рии. Необходимо помнить, что они, в отличие от кода, отве-
чающего за форматирование, передаются клиенту. Это
может быть плохо и с позиции увеличения трафика (здесь
идет многократное повторение, что может быть весьма ощу-
тимо), и с позиции конфиденциальности.
Можно сказать, что в минимальном варианте мы имеем
рабочую и достаточно функциональную поисковую систему.
На следующем рисунке представлена третья страница с ре-
зультатами поиска на запрос «Производительность & IIS»
(рис. 4).
Hit-Highlighting
Традиционно в поисковых системах возможно отображе-
ние тех частей текста, где встречаются искомые слова или
фраза. В СИ эту возможность фирма Microsoft назвала Hit-
Highlighting. Для этого используется еще один вид скрип-
тов – htw. Как и в случае с idq-скриптами, нужно «научить»
IIS распознавать файлы htw как файлы сценария. Это де-
лается тем же способом, который мы применяли по отно-
шению к idq-файлам (см. выше).
Нужно сопоставить файлам с расширением htw ISAPI-
фильтр – библиотеку Windows\system32\webhits.dll. После
этого IIS при запросе «somefile.htw?параметры» сгенери-
рует страницу с результатами «подсветки». Самый элемен-
тарный запрос может иметь вид:
null.htw?CiWebhitsFile=pageforhighlight.html&CiRestriction=IIS
В этом запросе два обязательных параметра (все пара-
метры указываются поочередно через знак амперсанда):
! CiWebhitsFile – указывает на файл, для которого мы хо-
тим сделать выделение участков текста.
№8(21), август 2004
администрирование
! CiRestriction – строка запроса. Это как раз та самая фра-
за, по которой и будет происходить отбор. В показан-
ном запросе будут выделены все части текста из фай-
ла pageforhighlight.html, содержащие слово IIS.
Кроме основных параметров, существуют и дополни-
тельные. Практически все они направлены на изменение
вида отображаемого текста. Вы можете сделать выделен-
ные слова жирными (CiBold), наклонными (CiItalic), указать
цвет подсветки (CiHiliteColor).
Параметр CiHiliteType при передаче ему значения Full
выводит не куски страницы, а всю ее целиком, подсвечи-
вая искомые слова.
Файл null.htw является абстрактным файлом и служит
указанием серверу для форматирования документа по
умолчанию. В документации сообщается, что этот файл
может и не существовать, однако без него IIS выдает стан-
дартную ошибку – 404. После создания ничего не содержа-
щего файла с таким именем все становится на свои места.
Этот файл должен располагаться в папке, имеющей права
на исполнение сценариев.
Показанный в листинге 3 пример можно дополнить ссыл-
кой «подробней», которая и покажет найденные в тексте
слова. Сделаем ее красным цветом. В секцию <%begin-
detail%>…<%enddetail%> необходимо вставить следующий
код:
Ëèñòèíã 4. Ññûëêà íà ïîäðîáíûé îò÷åò î ñîâïàäåíèÿõ â äîêóìåíòå
<!--ññûëêà íà äîêóìåíò, ñîäåðæàùèé ÷àñòè òåêñòà,
êîòîðûå îêðóæàþò èñêîìóþ ôðàçó -->
<a href="Null.htw?CiWebhitsFile=<%escapeURL ↵
vpath%>&CiRestriction=<%escapeURL ↵
CiRestriction%> ">
<font size=-1 color=Red> ïîäðîáíåé </font> </a>
Здесь следует обратить внимание на ключевое слово
<%EscapeURL%>. Это необходимо для приведения запро-
сов к стандартному виду. Например, запрос на поиск всех
документов с расширением doc «@filename=*.doc» в каче-
стве параметра должен быть передан в виде «%40file-
name=%2A.doc», а использованный несколько выше зап-
рос «Производительность & IIS» будет заменен на:
“%EF%F0%EE%E8%E7%E2%EE%E4%E8%F2%E5%EB%FC%ED%EE%F1%F2 ↵
%FC%20%26%20IIS”
Похожее назначение и у ключевого слова <%Escape-
HTML%>: он заменяет значимые в HTML символы на их
аналоги. Таким образом, символ «<» будет заменен на «&lt».
Несколько слов о формате запросов
Правила, формат, примеры запросов для поиска исчерпы-
вающе представлены во встроенной справке СИ. Руковод-
ство написано на удивление хорошо и понятно.
Заключение
Надеюсь, что я убедил вас в простоте организации поиска.
Ведь можно организовать очень функциональный поиск при
помощи одной HTML-страницы и двух маленьких скриптов.
За формальным описанием ключевых параметров и
констант советую обратиться к MSDN (msdn.microsoft.com)
и к примерам из Platform SDK.
65
 web
HTML-ШАБЛОНЫ ДЛЯ PHP И PERL,
ИЛИ НЕ ДЕЛАЙТЕ ИНСТРУМЕНТ
САМОЦЕЛЬЮ!
О шаблонах в веб-программировании знают или слышали
буквально все. Интерпретируемые языки веб-программи-
рования, такие как PHP, Perl, ASP VBScript, всегда давали
возможность совмещать код языка и HTML. Это быстро и
просто. Вначале. Как только проект или отдельный файл-
сценарий начинают разрастаться, эта смесь так же быстро
становится неудобоваримой. Взявшись переписывать ка-
кой-либо сценарий, сразу хочется выкинуть HTML-вставки
просто потому, что они начинают мешать читать программ-
ный код.
Ради этого, ради разделения HTML-форматирования вы-
вода и логики программы и был придуман механизм шаб-
лонов. Логика остается программе, верстка – шаблону.
Программа обрабатывает запрос, формирует данные и
заполняет шаблон. Шаблон всегда содержит HTML-код и
некоторые дополнительные конструкции для вставки дан-
ных и управления выводом. Тут необходимо кое-что прояс-
нить.
Небольшой взгляд в историю,
или Каким должен быть
шаблонный движок?
Несомненно, идея шаблонов пришла в голову программис-
там. И суть идеи явно была в том, чтобы убрать HTML-код
из программы. А вот дальше… Дальше все складывалось
по-разному. Понятно, что первыми «родились» простейшие
шаблоны. Это просто HTML-код и специальные указания
для вставки данных. По сути, переменные.
<html>
<head>
<title>::title::</title>
</head>
<body>
::body::
</body>
</html>
Такой простой HTML-документ. Можно сохранить и от-
крыть в браузере. Будет страничка с заголовком «::title::» и
содержимым «::body::».
Есть конструкция (::имя::), которую нужно выделить из
HTML-кода, есть некоторое имя, вместо которого нужно
подставить данные из программы. Можете называть это
переменной, но лучше назовем это именованной вставкой.
Дальше все стало гораздо более запутанно. Довольно
быстро выяснилось, что есть блоки, которые могут повто-
ряться на одной и той же странице. А иногда на этой стра-
нице в зависимости от некоторого условия нужно либо вы-
водить что-то, либо нет.
Вот тут началось жуткое многообразие. В шаблоны ста-
ли добавлять макроязыки. При этом, в зависимости от ква-
66
ДМИТРИЙ ГОРЯИНОВ
лификации авторов системы, в шаблоны внедряли услов-
ные операторы, операторы циклов, регулярные выраже-
ния, макрофункции и даже объекты (последним сильно
грешат системы шаблонов для языка Java). К чему же это
привело?
Кроме того, что авторы систем поупражнялись в напи-
сании мини-трансляторов, это привело к тому, что человек,
хорошо владеющий навыками HTML-верстки, не мог со-
здать ни один более-менее полезный шаблон.
Он должен был предварительно изучить новый для себя
синтаксис.
И при этом все, что нам действительно нужно от шаб-
лона это:
! возможность указать место для вставки данных;
! выделить блок HTML-кода, который можно будет вклю-
чить или не включить в конечный вывод или, допустим,
повторить нужное количество раз.
В идеале синтаксис дополнительных конструкций дол-
жен позволять работать с шаблоном в традиционном HTML-
редакторе и просматривать готовый файл-шаблон в брау-
зере.
Систем шаблонов написано действительно много. Мы
будем рассматривать две из них (одну для языка PHP и вто-
рую – для Perl). Основная цель статьи – показать, как пра-
вильно работать с готовыми движками, чтобы минимизи-
ровать изменения в HTML-коде шаблонов и оставить логи-
ку за программой.
Добавление шаблонного движка
в проект
Итак, что вообще требуется от шаблонного движка? Как
минимум – установить, подключить и начать использовать.
Во-первых, основная цель проекта не в том, чтобы по-
работать с шаблонами. Наша система будет загружена соб-
ственной полезной работой, и тратить большие ресурсы на
поддержание работы с шаблонами крайне нежелательно.
Во-вторых, нам вряд ли подойдет движок, который потре-
бует дополнительной компиляции каких-либо компонент или
изменения конфигурации веб-сервера. Дело даже не в том,
что у нас нет своего сервера, а злой дядька провайдер не
желает что-то там собрать-подключить на своей площад-
ке. Просто вариант «отдельный проект – отдельный сер-
вер» почти нереален. Скорее всего, наш сервер уже обслу-
живает какие-то проекты и нет ни малейшего желания бро-
саться их переписывать на новый лад или менять рабочую
конфигурацию. Да и останавливать боевой сервер ради
добавления «новой забавы» мало кто (читай – системный
администратор) согласится.

Поэтому лучше всего нам подойдет движок, который
можно скачать, разархивировать и начать использовать без
всякой дополнительной инсталляции.
В качестве движка для PHP мы рассмотрим библиотеку
XTemplate (http://sourceforge.net/projects/xtpl), а для Perl – мо-
дуль HTML::Template (http://html-template.sourceforge.net).
Оба движка достаточно именно скачать и разархивировать.
Вы, конечно, можете установить модуль для Perl по всем
правилам, но вполне достаточно развернуть из архива ка-
талог HTML с файлом-модулем Template.pm в нем.
Куда разархивировать? Для простоты предлагается со-
здать отдельный каталог для дополнительных библиотек.
Пусть каталог htdocs – это корневой каталог размещения
документов на веб-сервере. Создадим на одном уровне с
ним каталог lib, и разархивируем в него наши движки, каж-
дый – в отдельный каталог. Получится вот такая структура
директорий:
В каталоге XTemplate будут файлы PHP-библиотеки,
демонстрационные примеры и т. п. В каталоге HTML может
находиться один-единственный perl-модуль – Template.pm
Собственно, на этом все необходимые манипуляции по
установке будут закончены. Просто и эффективно, не прав-
да ли?
Просто отдельный класс
Итак, мы решили отказаться от движков, требующих
специальной инсталляции. Установка наших библиотек сво-
дится к разархивированию или простому копированию. Пой-
дем дальше.
Движок должен быть инкапсулирован в отдельный класс.
Он не должен иметь ветвистых зависимостей с другими
модулями. Иначе устанешь их удовлетворять.
Множество хороших веб-программистов создавали и
будут создавать свои, уникальные решения в рамках от-
дельных проектов. В таких случаях что-то непременно «за-
тачивается» под конкретные нужды, что-то «дергается на-
прямую» и т. д. На базе таких решений вырастают системы
публикаций или управления сайтами. Все это плотно упа-
ковано, скручено в тугой узел, плохо отделимо друг от дру-
га и, возможно, представляет собой законченный продукт,
который, скорее всего, больше никому, кроме заказчика,
не пригодится.
Если же речь идет именно о подсистеме для работы с
шаблонами, то такая система должна представлять собой
законченный интерфейс, отделимый от остальной систе-
мы. Фактически – уникальный класс либо модуль.
Программист, использующий движок, не должен тратить
время на попытку понять, как оно должно было работать в
соответствии с замыслом автора модуля или выполнять с
десяток настроек. Нам нужен инструмент для работы, а не
инструкция по обработке паровоза напильником с целью
получить истребитель.
В нашем случае это требование выполняется полнос-
тью. Нам нужно просто подключить новую библиотеку, со-
гласуясь с синтаксисом языка.
№8(21), август 2004
web
Библиотеку PHP XTemplate мы разместили в подката-
логе XTemplate каталога lib. Класс XTemplate содержится в
файле xtpl.p.
Для того чтобы создать новый экземпляр класса, нам
нужно подключить файл и создать объект:
<?php
...
include( getenv("DOCUMENT_ROOT")."/../lib/XTemplate/xtpl.p" );
$xtpl=new XTemplate( ïîëíîå_èìÿ_ôàéëà_øàáëîíà );
...
?>
Для подключения библиотеки HTML::Template в Perl
следует указать путь к её директории (если, как в нашем
случае, она размещена отдельно от стандартных библио-
тек), подключить модуль и так же создать новый объект:
#!/usr/bin/perl
...
use lib $ENV{DOCUMENT_ROOT}."/../lib";
# Äðóãîé ñïîñîá äîáàâèòü êàòàëîã ðàçìåùåíèÿ áèáëèîòåêè:
# unshift( @INC, $ENV{DOCUMENT_ROOT}."/../lib" );
use HTML::Template;
my $template = HTML::Template->new( filename => ↵
ïîëíîå_èìÿ_ôàéëà_øàáëîíà );
Что же такое шаблон?
Вернемся к началу. Для чего затевалась вся эта история с
шаблонами? В основном для того, чтобы отделить код HTML
от кода программы. Идеальный шаблон – это файл, содер-
жащий HTML-разметку, и программно заполняемый данны-
ми.
Одно из направлений в системах шаблонов – предва-
рительная компиляция шаблонов в некоторое внутреннее
представление. Обычно это убыстряет вывод программы,
но любое изменение в шаблоне требует как минимум пере-
компилирования его самого и, возможно, несколько зави-
симых шаблонов.
То есть никакое изменение в HTML-коде не может сра-
зу отразиться на сайте. Пока такие системы не дают на-
столько ощутимого выигрыша в скорости, чтобы считать
это действительно хорошим решением.
Так что сформулируем еще один постулат – движок не
должен требовать дополнительной обработки шаблонов
(читай – запретить предварительную компиляцию и прочие
действия).
Шаблон должен редактироваться как HTML-файл, иметь
возможность предварительного просмотра как HTML-файл
и подключаться «как есть». Мы же не хотим заставить вер-
стальщика установить у себя веб-сервер лишь для того,
чтобы просматривать промежуточные результаты своей ра-
боты?
Вот два простых примера шаблонов для XTemplate и
HTML::Template.
Пример шаблона для библиотеки Xtemplate:
<!-- BEGIN: main -->
<html>
<head><title>Ïðèìåð 1</title></head>
<body>
<dl>
<dt>Çíà÷åíèÿ ïåðåìåííûõ äîáàâëÿþòñÿ â XTemplate ÷åðåç ìåòîä
<i><b>assign( PARAM, value )</I></b>:</dt>
67
 web
<dd>$VARIABLE = <i>{VARIABLE}</i></dd>
</dl>
</body>
</html>
<!-- END: main -->
Если мы сохраним этот код в файле ex1.html и откроем
его для просмотра в браузере, мы увидим такую «картинку»:
Ðèñóíîê 1. Âèä øàáëîíà äëÿ XTemplate â áðàóçåðå
Пример шаблона для библиотеки HTML::Template:
<html>
<head><title>Ïðèìåð 1</title></head>
<body>
<dl>
<dt>Çíà÷åíèÿ ïåðåìåííûõ äîáàâëÿþòñÿ â HTML::Template ÷åðåç ìåòîä
<i><b>param( PARAM => value );</i></b>:</dt>
<dd>$VARIABLE = <i><TMPL_VAR NAME=VARIABLE></i></dd>
</dl>
</body>
</html>
Так как подстановки в шаблонах HTML::Template име-
ют синтаксис, схожий с HTML-тэгами, HTML-вид шаблона
будет слегка отличаться:
Ðèñóíîê 2. Âèä øàáëîíà äëÿ HTML::Template â áðàóçåðå
Код подстановки (<TMPL_VAR NAME=VARIABLE>) не
отобразится в браузере. Фактически браузер воспримет
этот как HTML-тэг, правило отображения которого ему не-
известно.
Лучшее – враг хорошего.
Минимизируем логику, макроязык
шаблонов
Теперь постараемся разобраться с тем, что нам действи-
тельно понадобится в шаблонах, кроме HTML-кода.
Есть несколько типичных задач, с которыми мы сталки-
ваемся постоянно и для которых мы хотим иметь четкое и
простое решение. Хорошим примером такой задачи может
служить вывод таблицы с чередованием фона строк. При
выводе таблицы мы, во-первых, имеем дело с повторяющи-
мися элементами (строками), во-вторых, чередование цвета
фона – это выбор оформления в зависимости от условия.
Шаблон «ex2.html» для библиотеки Xtemplate:
<!-- BEGIN: main -->
<table bgcolor="gray" cellspacing=2 border=0 cellpadding=4>
<tr><th colspan="2" bgcolor="silver">{TOPIC}</th></tr>
<!-- BEGIN: item -->
<!-- BEGIN: odd -->
<tr bgcolor="white">
<td>{DATA.NAME}</td><td>{DATA.VAL}</td>
</tr>
<!-- END: odd -->
<!-- BEGIN: even -->
<tr bgcolor="lightyellow">
<td>{DATA.NAME}</td><td>{DATA.VAL}</td>
</tr>
<!-- END: even -->
68
<!-- END: item -->
</table>
<!-- END: main -->
Рассмотрим шаблон подробнее. Прежде всего отметим,
что весь шаблон для XTemplate заключен внутри именован-
ного блока:
<!-- BEGIN: main -->
...
<!-- END: main -->
Это необходимое условие синтаксиса шаблонов
XTemplate. Любой блок (и весь шаблон целиком) начина-
ется с конструкции:
<!-- BEGIN: èìÿ_áëîêà -->
И заканчивается конструкцией:
<!-- END: èìÿ_áëîêà -->
Простая подстановка в шаблоне описывается так:
{èìÿ_ïåðåìåííîé_äëÿ_ïîäñòàíîâêè}
Там, где логика подсказывает нам сгруппировать дан-
ные для подстановки, можно использовать массивы под-
становок, описывая их таким образом:
{èìÿ_ìàññèâà.èìÿ_êëþ÷à}
К примеру, это логично сделать при оформлении под-
становок значений ячеек табличной строки.
Шаблон описывает HTML-код для вывода данных. Сами
данные формируются в программе. На уровне шаблона мы
не можем предусмотреть количество элементов нашей таб-
лицы.
Поэтому каждую строку таблицы мы оформим в шаб-
лоне в виде отдельного блока. Это делается для того, что-
бы иметь возможность управлять выводом отдельных строк
из программы-обработчика:
<!-- BEGIN: item -->
...
<!-- END: item -->
Внутри блока item мы опишем два других блока – «odd»
и «even» – для чередования оформления строк. Програм-
ма-обработчик, проверяя условие четности строки, будет
выбирать нужный блок и управлять генерацией конечного
HTML-вывода, формируя содержимое блока item.
В XTemplate вся логика организации циклов и условий
ложится на код PHP-программы. В шаблоне описываются
только блоки и имена для подстановки значений.
Опишем PHP-код, обрабатывающий этот шаблон:
<?php
// Ïîäêëþ÷åíèå áèáëèîòåêè
include( getenv("DOCUMENT_ROOT") ↵
."/../lib/XTemplate/xtpl.p" );
// Ñîçäàíèå íîâîãî îáúåêòà. ôàéë øàáëîíà ex2.html
// ðàçìåùàåì â êàòàëîãå htdocs/../data/xtemp

$xtpl=new XTemplate( getenv("DOCUMENT_ROOT") ↵
."/../data/xtemp/ex2.html" );
// Ïðîñòàÿ ïîäñòàíîâêà çíà÷åíèÿ â {TOPIC}
$xtpl->assign( TOPIC, "Âûâîä òàáëèöû ñ ÷åðåäîâàíèåì ↵
ôîíà ñòðîê" );
$even = 0;
// Öèêë äëÿ ôîðìèðîâàíèÿ ñòðîê òàáëèöû
for ($i=1; $i<=10; $i++) {
$row = array(
NAME => "Ñòðîêà",
VAL => $i
);
$xtpl->assign(DATA, $row);
//  çàâèñèìîñòè îò ÷åòíîñòè ñòðîêè óêàçûâàåì
// áëîê-øàáëîí âûâîäà «odd» èëè «even»
if ( ($even = ($even XOR 1)) ) {
$xtpl->parse("main.item.odd");
} else {
$xtpl->parse("main.item.even");
} <tr bgcolor="lightyellow">
$xtpl->parse("main.item");
} </tr>
// Ðàçáîð ãëàâíîãî áëîêà øàáëîíà
$xtpl->parse("main");
// Âûâîä ðåçóëüòàòà ðàçáîðà
$xtpl->out("main");
?>
Для того чтобы включить в результат вывода нужный
блок из шаблона, используется метод parse( BLOCK ). Имя
блока задается в виде строки, с указанием всех родитель-
ских блоков через точку:
BLOCK::= [<Èìÿ_áëîêà>.]<Èìÿ_áëîêà>
Таким образом, блок-шаблон для вывода нечетных
строк будет именоваться «main.item.odd».
Разумеется, для того чтобы блок был включен в ко-
нечный вывод, необходимо вывести и все родительские
блоки:
...
$xtpl->parse(“main.item.odd”);
...
$xtpl->parse(“main.item”);
...
$xtpl->parse(“main”);
...
Метод assign( PARAM, value ) служит для заполнения
значения переменной шаблона с именем PARAM.
$xtpl->assign( TOPIC, "Âûâîä òàáëèöû ñ ÷åðåäîâàíèåì ↵
ôîíà ñòðîê" );
И наконец, метод out(BLOCK) печатает результат раз-
бора шаблона. Если нам нужно не выводить, а сохранить
его в виде готового текста, нужно использовать другой ме-
тод – text(BLOCK)…».
Обращение к методу out() равносильно такому коду:
...
$out = $xtpl->text("main");
echo $out;
Перепишем наш пример с таблицей для библиотеки
HTML::Template. Сразу заметим, что изначально синтаксис
шаблонов библиотеки HTML::Template более адаптирован
«под программистов». Создатели библиотеки остались вер-
№8(21), август 2004
web
ны программированию. Здесь нет таких простых и понят-
ных блоков, выделяемых как HTML-комментарии. Увы,
здесь есть отдельные конструкции для циклов и условий.
Для нас хорошо то, что синтаксис этих конструкций анало-
гичен тэговой разметке, и они не отображаются при про-
смотре файла-шаблона браузером.
Шаблон «ex2.html» для библиотеки HTML::Template:
<table bgcolor="gray" cellspacing=2 border=0 ↵
cellpadding=4>
<tr><th colspan="2" bgcolor="silver"><TMPL_VAR ↵
NAME=TOPIC></th></tr>
<TMPL_LOOP NAME=item>
<TMPL_IF NAME=odd>
<tr bgcolor="white">
<td><TMPL_VAR NAME></td><td><TMPL_VAR VAL></td>
</tr>
<TMPL_ELSE>
<td><TMPL_VAR NAME></td><td><TMPL_VAR VAL></td>
</TMPL_IF>
</TMPL_LOOP>
</table>
В отличие от XTemplate мы не заключаем весь шаблон
в блок.
Библиотека HTML::Template не требует заключать весь
шаблон в блок. Она работает с целым файлом, не деля его
на отдельные блоки.
Простую подстановку (замену) значения в шаблоне опи-
сывают так:
<TMPL_VAR NAME=èìÿ_ïàðàìåòðà_ïîäñòàíîâêè>
Для того чтобы описать в шаблоне повторяющийся
HTML-код, его придется обрамить «оператором цикла»:
<TMPL_LOOP NAME=èìÿ_ïîâòîðÿþùåãîñÿ_áëîêà>
...
</TMPL_LOOP>
В программе для вывода такого цикла нужно сформи-
ровать массив и сопоставить его с именем повторяюще-
гося блока. Каждый элемент массива соответствует вклю-
чению HTML-кода, описанному внутри <TMPL_LOOP> …
</TMPL_LOOP>. Элемент массива представляет собой хэш
(наборы пар вида «ключ – значение»). То есть если в шаб-
лоне мы описываем подстановку вида <TMPL_VAR
NAME=имя_параметра_подстановки> внутри повторяюще-
гося блока, то в хэше, описывающем элемент массива для
подстановки, мы должны создать пару (имя_параметра_
подстановки => значение_для_подстановки).
Создатели библиотеки внедрили в шаблон условный
оператор. Мы будем использовать его только там, где нуж-
но указать отдельный, вложенный блок HTML-кода, кото-
рый будет подключаться в зависимости от условия, сфор-
мированного в программе:
<TMPL_IF NAME=èìÿ_áëîêà>
...
</TMPL_IF>
Подключение вывода блока зависит от значения, присво-
енного обработчиком шаблона имени_блока. Если мы про-
инициализируем переменную блока значением «истина» –
69
 web
HTML-код, описанный внутри <TMPL_IF> … </TMPL_IF>, Вложенные шаблоны
будет включен в результат разбора шаблона. Что еще может пригодиться в работе с шаблонами? Любой
Если мы не определим никакого значения для блока, сайт содержит повторяющиеся элементы дизайна – шапка,
или определим его как «ложь», блок не будет включен в заголовки, меню и так далее.
результаты разбора шаблона. Хороший движок шаблонов должен иметь возможность
Как и в традиционном синтаксисе языков программи- подключать более мелкие шаблоны (назовите их заготов-
рования, у условного блока (оператора) может существо- ками или библиотечными элементами) внутрь более круп-
вать «альтернативная часть»: ных, желательно – поддерживать многоуровневое, вложен-
ное подключение.
<TMPL_IF NAME=èìÿ_áëîêà> Чуть выше мы написали два шаблона для вывода таб-
...
<TMPL_ELSE> лицы. Логично не копировать этот код везде, где нам пона-
... добится отобразить такую таблицу, а иметь возможность
</TMPL_IF>
сохранить этот шаблон отдельно и подключать его по мере
Если переменная блока получила из программы значе- необходимости в другие шаблоны.
ние «ложь», то HTML-код между <TMPL_ELSE> и </TMPL_IF> Обе наши библиотеки такую возможность предостав-
будет включаться в результат разбора. ляют. В XTemplate существует конструкция:
Код для обработки этого шаблона будет выглядеть так:
{FILE "èìÿ_âëîæåííîãî_ôàéëà_øàáëîíà"}
#!/usr/bin/perl
use strict;
В HTML::Template аналогичные функции выполняет кон-
# Ïóòü ê êàòàëîãó áèáëèîòåêè струкция:
use lib $ENV{DOCUMENT_ROOT}."/../lib";
# Ïîäêëþ÷åíèå áèáëèîòåêè <TMPL_INCLUDE NAME="èìÿ_âëîæåííîãî_ôàéëà_øàáëîíà">
use HTML::Template;
# Ñîçäàíèå íîâîãî îáúåêòà.  äàííîì ñëó÷àå ìû îòäåëüíî А вот здесь остановимся. Если вы посмотрите внима-
# óêàçûâàåì â êîíñòðóêòîðå êðàòêîå èìÿ ôàéëà øàáëîíà
# ex2.html è ïóòü ê êàòàëîãó htdocs/../data/htmltemp, тельно, то заметите, что мы вынуждены писать имя файла
# ãäå ðàçìåùåí øàáëîí непосредственно в шаблоне. Это значит, что мы стали же-
my $template = HTML::Template->new(
filename => "ex2.html", стко привязаны к расположению файлов. Даже если мы
path => $ENV{DOCUMENT_ROOT}."/../data/htmltemp/" укажем относительный путь к файлу шаблона, мы вынуж-
);
дены будем в любом другом проекте в точности повторять
# Ïðîñòàÿ ïîäñòàíîâêà çíà÷åíèÿ â <TMPL_VAR NAME=TOPIC>. структуру директорий для размещения шаблонов!
# Äåëàåòñÿ âûçîâîì ìåòîäà param( PARAM => value)
$template->param(TOPIC => "Âûâîä òàáëèöû ñ ÷åðåäîâàíèåì ↵ Это плохо. Более того, это как-то противоречит самой
ôîíà ñòðîê" ); идее о легкости подключения (читай – переноса) и замыс-
my $even = 0; лу о повторном использовании более мелких (библиотеч-
ных) шаблонов.
# Ñîçäàíèå ìàññèâà äëÿ âûâîäà ñòðîê òàáëèöû
my $items = (); Как можно выйти из ситуации? Например, иметь воз-
можность единожды проинициализировать каталог разме-
# Öèêë çàïîëíåíèÿ ìàññèâà äàííûìè
for (my $i=1; $i<=10; $i++) { щения шаблонов в конструкторе класса. При наличии та-
кой возможности мы можем один раз указать каталог шаб-
# Êàæäûé ýëåìåíò ìàññèâà (ñòðîêà òàáëèöû) ïðåäñòàâëÿåò
# ñîáîé õýø âèäà: [ { "NAME" => çíà÷åíèå1, "VAL" => лонов и в самих шаблонах уже не писать полный путь рас-
# çíà÷åíèå2, "odd" => [0|1] } ] положения вложенного шаблона. Вся настройка будет про-
my $row = {
"NAME" => "Ñòðîêà", изведена в одном месте при вызове конструктора.
"VAL" => $i В случае HTML::Template эта возможность предусмот-
};
рена изначально. Обратите внимание, мы сразу исполь-
# Äëÿ íå÷åòíûõ ýëåìåíòîâ óñòàíàâëèâàåì çíà÷åíèå "odd", зовали инициализацию каталога шаблонов в нашем при-
# ðàâíûì "1", äëÿ ÷åòíûõ - "0"
if ( ($even = ($even xor 1)) ) { мере:
$row->{"odd"} = 1;
} else {
$row->{"odd"} = 0; my $template = HTML::Template->new(
} filename => "ex2.html",
# Äîáàâëÿåì íîâûé õýø-ýëåìåíò â ìàññèâ path => $ENV{DOCUMENT_ROOT}."/../data/htmltemp/"
push(@{$items}, $row); );
}

# Àññîöèèðóåì ìàññèâ ñ ïîâòîðÿþùèìñÿ áëîêîì ( <TMPL_LOOP> )
$template->param(item => $items);
# Ðåçóëüòàò ðàçáîðà øàáëîíà âîçâðàùàåò íàì â âèäå ñòðîêè
# âûçîâ ìåòîäà output().
# Ìû ìîæåì ñîõðàíèòü åãî â ïåðåìåííóþ, çàïèñàòü â ôàéë
# èëè âûâåñòè, êàê ëþáîå äðóãîå çíà÷åíèå:
print "Content-type: text/html\n\n";
print $template->output();
__END__
В библиотеке XTemplate это не предусмотрено (во вся-
ком случае в версии 0.2.4-3).
Сформировать имя файла шаблона динамически, на-
писав нечто вроде:
{FILE "{TEMP_FILE}"}
и присвоить (проассоциировать) нужное значение подста-

70
 web
новкой в {TEMP_FILE} тоже не выйдет. Конструктор класса </p>
производит рекурсивную inline-подстановку всех вложенных {FILE "ex2.html"}
</body>
шаблонов, и только потом производит разбор и обработку </html>
полного шаблона со всеми подстановками. <!-- END: main -->
Что делать? Отказаться от идеи повторного использо- Обработчик шаблона выглядит так:
вания вложенных элементов? Ну не все так печально, как
кажется. Библиотека XTemplate распространяется по лицен- <?php
include( getenv("DOCUMENT_ROOT")."/../lib/XTemplate/xtpl.p" );
зии GNU General Public License. Эта лицензия подразуме-
вает возможность внесения изменений в исходный продукт /*
 êîíñòðóêòîð äîáàâèëñÿ äîïîëíèòåëüíûé ïàðàìåòð $path.
при соблюдении определенных правил1. Нужные нам из- Äëÿ ñîâìåñòèìîñòè íàì ïðèäåòñÿ âûçûâàòü êîíñòðóêòîð ñ óêà-
менения ограничатся тремя строчками с добавлением ком- çàíèåì íàøåãî íîâîãî ïàðàìåòðà è âòîðîãî ïàðàìåòðà âûçîâà –
íàçâàíèåì ãëàâíîãî áëîêà øàáëîíà.
ментариев. Åñòåñòâåííî, ýòî ïîíàäîáèòñÿ òîëüêî òàì, ãäå íàì íåîáõî-
Суть изменения сводится к добавлению еще одного чле- äèìî óêàçàòü òðåòèé ïàðàìåòð êîíñòðóêòîðó, ò.å. â øàáëî-
íàõ ñ âëîæåíèåì.
на класса и опциональной инициализации его в конструк- */
торе. Этот новый член класса – path – будет определять $xtpl=new XTemplate( "ex_inc.html",
"main",
путь к директории шаблонов. Остальные модификации в getenv("DOCUMENT_ROOT")."/../lib/ ↵
коде исходного класса ограничиваются конструктором и data/xtemp" );
методом getfile(...). $xtpl->assign( TEMPLATE, "ex2.html");
/*
class XTemplate { Èíèöèàëèçàöèÿ äàííûõ âëîæåííîãî øàáëîíà.
... Ïðè îáðàùåíèè ê ìåòîäó parse() íóæíî ó÷èòûâàòü, ÷òî ýëå-
/* Íîâûé ÷ëåí êëàññà */ ìåíòû øàáëîíà ex2.html âëîæåíû â áëîê "main" áîëåå âåðõíå-
var $path = ""; ãî øàáëîíà – ex_inc.html. Ïîýòîìó óêàçûâàòü ïðèäåòñÿ êàê
/***[ constructor ]*** / $xtpl->parse("main.main.item") è ò. ï.
function XTemplate ($file,$mainblock="main", $path="") { */
/* Èíèöèàëèçèðóåì çíà÷åíèå path, åñëè ñîîòâåòñòâóþùèé $xtpl->assign( TOPIC, "Âûâîä òàáëèöû ñ ÷åðåäîâàíèåì ↵
ïàðàìåòð íå ïóñò */ ôîíà ñòðîê" );
if ($path) $this->path= str_replace("\\", "/", $path)."/"; $even = 0;
… for ($i=1; $i<=10; $i++) {
} $row = array(
… NAME => "Ñòðîêà",
/***[ getfile ]*** / VAL => $i
/* );
returns the contents of a file $xtpl->assign(DATA, $row);
*/ if ( ($even = ($even XOR 1)) ) {
function getfile($file) { $xtpl->parse("main.main.item.odd");
/* Èñïîëüçóåì êîíêàòåíàöèþ çíà÷åíèÿ path è ïåðåäàííîãî } else {
èìåíè ôàéëà */ $xtpl->parse("main.main.item.even");
$file = $this->path.$file; }
if (!isset($file)) { $xtpl->parse("main.main.item");
$this->set_error("!isset file name!"); }
return ""; /* Ðàçáîð âëîæåííîãî øàáëîíà */
} $xtpl->parse("main.main");
...
}
... Результат наших действий в браузере отразится при-
} /* end of XTemplate class. */ мерно таким образом:

После внесения таких изменений в класс XTemplate мы:

! Сможем инициализировать единый каталог для хране-
ния шаблонов и использовать в них простые имена для
подключения файлов вложенных шаблонов.
! Сохраним совместимость с предыдущей версией. Наши
изменения сделаны таким образом, чтобы не затронуть
работу шаблонов и обработчиков, написанных для ис-
ходной версии класса.

Теперь можно нормально работать.

Шаблон «ex_inc.html» для библиотеки XTemplate: Ðèñóíîê 3. Ðåçóëüòàò ðàáîòû ñ âëîæåííûìè øàáëîíàìè. Âûâîä
òàáëèöû ðåàëèçîâàí îòäåëüíûì øàáëîíîì
<!-- BEGIN: main --> Для библиотеки HTML::Template подобных модифика-
<html>
<head><title>Âëîæåííûå øàáëîíû</title></head> ций исходного кода производить не требуется. Параметри-
<body> зованное указание каталога размещения шаблонов там
<p>
Ïîäêëþ÷åíèå øàáëîíà òàáëèöû <b><i>"{TEMPLATE}" </i></b> предусмотрено заранее.
÷åðåç { FILE "{TEMPLATE}" } Шаблон «ex_inc.html» для библиотеки HTML::Template:

1
Ознакомиться с полным текстом лицензии вы можете на сайте GNU.org (http://www.gnu.org/copyleft/gpl.html), или вос-
пользоваться неофициальным переводом на русский язык – http://www.linuxdoc.ru/gnugpl_ru.html.

№8(21), август 2004 71

 web
<html> <!-- END: item -->
<head><title>Âëîæåííûå øàáëîíû</title></head> </ol>
<body> <!-- END: list -->
<p>
Ïîäêëþ÷åíèå øàáëîíà òàáëèöû <b><i>"<TMPL_VAR ↵ Шаблон «ex_inc2.html» для библиотеки XTemplate:
NAME=TEMPLATE>" </i></b>
÷åðåç &lt;TMPL_INCLUDE NAME="ex2.html">
</p> <!— BEGIN: main —>
<TMPL_INCLUDE NAME="ex2.html"> <html>
</body> <head><title>Âëîæåííûå øàáëîíû</title></head>
</html> <body>
<p>
Обработчик шаблона:
Подключение одного шаблона в разных местах страни-
#!/usr/bin/perl цы и с разным заполнением.
use strict;
# Ïóòü ê êàòàëîãó áèáëèîòåêè </p>
use lib $ENV{DOCUMENT_ROOT}."/../lib"; <!-- BEGIN: first -->
Ñïèñîê 1:
# Ïîäêëþ÷åíèå áèáëèîòåêè {FILE "list.html"}
use HTML::Template; <!-- END: first -->
# Ñîçäàíèå íîâîãî îáúåêòà.  äàííîì ñëó÷àå ìû îòäåëüíî <!-- BEGIN: second -->
# óêàçûâàåì â êîíñòðóêòîðå êðàòêîå èìÿ ôàéëà øàáëîíà Ñïèñîê 2:
# ex_inc.html è ïóòü ê êàòàëîãó htdocs/../data/htmltemp, {FILE "list.html"}
# ãäå ðàçìåùåí øàáëîí <!-- END: second -->
my $template = HTML::Template->new( </body>
filename => "ex_inc.html", </html>
path => $ENV{DOCUMENT_ROOT}."/../data/htmltemp/" <!-- END: main -->
);
$template->param(TEMPLATE => "ex2.html" ); Обрабатываем шаблон на PHP:
# Çàïîëíåíèå äàííûõ âëîæåííîãî øàáëîíà
$template->param(TOPIC => "Âûâîä òàáëèöû ñ ÷åðåäîâàíèåì ↵ <?php
ôîíà ñòðîê"); include( getenv("DOCUMENT_ROOT")."/../lib/XTemplate/xtpl.p" );
my $even = 0;
my $items = (); $xtpl=new XTemplate( "ex_inc2.html",
for (my $i=1; $i<=10; $i++) { "main",
my $row = { getenv("DOCUMENT_ROOT")."/../lib/ ↵
"NAME" => "Ñòðîêà", data/xtemp" );
"VAL" => $i
}; // Äàííûå äëÿ ïåðâîãî ñïèñêà
$list = array("one", "two", "three");
if ( ($even = ($even xor 1)) ) { foreach($list as $item) {
$row->{"odd"} = 1; $xtpl->assign(ITEM, $item);
} else { $xtpl->parse("main.first.list.item");
$row->{"odd"} = 0; }
} // Ðàçáèðàåì áëîê "first"
push(@{$items}, $row); $xtpl->parse("main.first.list");
$xtpl->parse("main.first");
}
$template->param(item => $items); // Äàííûå äëÿ âòîðîãî ñïèñêà
$list = array("ðàç", "äâà", "òðè");
print "Content-type: text/html\n\n"; foreach($list as $item) {
print $template->output(); $xtpl->assign(ITEM, $item);
$xtpl->parse("main.second.list.item");
__END__ }
// Ðàçáèðàåì áëîê "second"
$xtpl->parse("main.second.list");
Результат работы аналогичен, не будем загромождать $xtpl->parse("main.second");
место еще одной похожей картинкой.
Еще один «интересный случай». Вложенные шаблоны $xtpl->parse("main");
хочется использовать для стандартных элементов. Легко $xtpl->out("main");
?>
предположить, что один и тот же элемент может использо-
ваться на странице многократно. Если включить его как Для того чтобы реализовать то же самое с использова-
вложенный шаблон, получится путаница с заполнением. Как нием библиотеки HTML::Template, придется кое-что уточ-
поступить? нить. В этой библиотеке нет понятия именованного блока.
Нам нужен управляемый способ многократного вклю- Как же разделить пространство действия переменных шаб-
чения вложенных шаблонов (стандартных элементов ди- лона?
зайна). Звучит очень серьезно, реализуется – просто. Для этого нужно воспользоваться конструкцией
Каждое включение нужно выделить в виде отдельного <TMPL_LOOP …>…</TMPL_LOOP>. Внутри этого «цикла»
блока. переменные-подстановки являются вложенными в цикл.
Шаблон «list.html» для библиотеки XTemplate: Воспользуемся этим фактом.
Шаблон «list.html» для библиотеки HTML::Template:
<!-- BEGIN: list -->
<ol>
<!-- BEGIN: item --> <ol>
<li>{ITEM}</li> <TMPL_LOOP NAME="item">
<li><TMPL_VAR NAME="item"></li>

72
 web
</TMPL_LOOP> Заключение
</ol> Выбирая движок для шаблонов, старайтесь оставить за
Шаблон «ex_inc2.html» для библиотеки HTML::Template: шаблонами верстку (оформление), а логику – за програм-
мой. Не надо перекладывать на шаблоны логику выполне-
<html> ния и ни в коем случае не надо внедрять в шаблоны какие-
<head><title>Âëîæåííûå øàáëîíû</title></head>
<body> либо объекты!
<p> Все «расширенные» (в сравнении с обычным кодом
HTML) возможности шаблонов должны заканчиваться на
Подключение одного шаблона в разных местах страни- возможностях:
цы и с разным заполнением. ! пометить точку для вставки (переменная шаблона);
! пометить блок для выбора (именованный IF);
</p>
Ñïèñîê 1:
! пометить блок для повтора (именованный LOOP).
<TMPL_LOOP NAME="first">
<TMPL_INCLUDE NAME="list.html"> И даже это избыточная модель! В PHP-ом XTemplate все
</TMPL_LOOP>
еще более «доведено до ума»:
Ñïèñîê 2:
<TMPL_LOOP NAME="second">
<TMPL_INCLUDE NAME="list.html"> <ul><!-- BEGIN: menulist -->
</TMPL_LOOP> <!-- BEGIN: link -->
</body> <li><a href="{ITEM.URL}">{ITEM.NAME}</a></li><!-- END: link -->
</html> <!-- BEGIN: active -->
<li>{ITEM.NAME}</li><!-- END: active -->
<!-- END: menulist --></ul>
Вся тонкость обработки сводится к корректному фор-
мированию массивов: И все!
У вас есть блок вида: <— BEGIN: имя —> …<— END:
#!/usr/bin/perl имя —>. На стороне программы вы можете повторить его
use strict;
нужное количество раз или выбрать из двух смежных тот,
# Ïóòü ê êàòàëîãó áèáëèîòåêè который нужно вывести, исходя из логики.
use lib $ENV{DOCUMENT_ROOT}."/../lib";
Для библиотеки Perl HTML::Template считайте име-
# Ïîäêëþ÷åíèå áèáëèîòåêè нованным блоком конструкцию <TMPL_IF NAME=имя >…
use HTML::Template;
</TMPL_IF>. Все, что нужно повторить несколько раз, дол-
my $template = HTML::Template->new( жно быть заключено в конструкцию вида <TMPL_LOOP
filename => "ex_inc2.html",
path => $ENV{DOCUMENT_ROOT}."/../lib/data/htmltemp/" NAME=имя> …</TMPL_LOOP>.
); У вас есть место вставки вида {имя} или явная поблаж-
# Çàïîëíÿåì ìàññèâ äëÿ øàáëîíà list.html ка {имя_структуры.имя}.
my $items = (); И последняя конструкция – включение одного шаблона
push( в другой. По принципу inline-подстановки: {FILE «имя»} или
@{$items}, <TMPL_INCLUDE NAME=«имя»>.
({"item" => "one"}, {"item" => "two"}, {"item" => "three"})
); Класс (движок) шаблонов должен уметь работать с вло-
жениями блоков друг в друга и воспринимать каждый блок
# Îðãàíèçóåì îáðàìëÿþùèé ìàññèâ äëÿ <TMPL_LOOP NAME=”first”>
my $list = (); как отдельное пространство имен. Для HTML::Template это
push(@{$list}, {"item" => $items}); будет верно, если вы начнете рассматривать хэш, заполня-
# Àññîöèèðóåì çíà÷åíèå ющий цикл как ограничитель такого пространства.
$template->param("first" => $list); Этого достаточно, чтобы сформировать любой вывод.
# Îáíóëÿåì è çàïîëíÿåì ìàññèâû çàíîâî Класс (движок) шаблонов должен позволять рекурсив-
$items = (); ное включение файлов-шаблонов друг в друга.
push(
@{$items}, Это позволит вам создавать отдельные мини-шаблоны
({"item" => "ðàç"}, {"item" => "äâà"}, {"item" => "òðè"}) для повторяющихся элементов, а не копировать один и тот
);
же HTML-код из шаблона в шаблон.
$list = (); Движок шаблонов должен быть инкапсулирован в от-
push(@{$list}, {"item" => $items});
дельный класс-библиотеку. Подключаться, как любой дру-
# Àññîöèèðóåì çíà÷åíèå гой модуль-файл, в программу и не требовать сложных дей-
$template->param("second" => $list);
ствий для инсталляции или добавления в любую систему.
print "Content-type: text/html\n\n"; Это позволит вам легко переносить и добавлять поддерж-
print $template->output();
ку шаблонов в любую систему, не занимаясь перестанов-
__END__ кой и дополнительной настройкой окружения.
Движок также не должен требовать предварительной
Не так уж и страшно, не так ли? Но обратите внима- компиляции шаблонов ни в какое промежуточное представ-
ние на следующий факт. При заполнении конструкции ление. Это позволит вносить изменения в оформление
<TMPL_LOOP …> используется не массив, а ссылка на именно на уровне шаблонов и полностью отделить HTML-
массив. Это важно! форматирование вывода от программной части.

№8(21), август 2004 73

 web
ОБРАБОТКА HTML-ШАБЛОНОВ OFF-LINE.
ВОЗМОЖНОСТИ И ОГРАНИЧЕНИЯ
Сборке HTML-документов по шаблонам посвящено вели-
кое множество публикаций самого разного масштаба и ка-
чества: от небольших статей до детальных руководств и
книг, от дилетантских до весьма профессиональных. Но по-
давляющее большинство авторов сосредоточивается на on-
line-сборке. Ими рассматривается ситуация, когда на сер-
вере лежат не статические документы, а шаблоны: заго-
товки и части документов. При запросе клиентом соответ-
ствующей страницы на сервере запускается некий меха-
низм, собирающий веб-страницу «на лету» (в реальном
масштабе времени) и отправляющий её клиенту. Для ре-
шения подобных задач разработано множество инструмен-
тов и средств, начиная с несложных и интегрированных глу-
боко в сервер (например, SSI) и заканчивая многофункци-
ональными самостоятельными модулями и библиотеками
с очень богатыми возможностями.
Тема on-line-обработки шаблонов действительно очень
интересна и воистину неисчерпаема, поскольку в разных
условиях оказываются уместны разные подходы. Неудиви-
тельно, что так много авторов обращается именно к этой
теме. Но я хотел бы уделить немного внимания механиз-
мам off-line-сборки. Возможно, не слишком распространён-
ным термином «off-line-сборка» я буду называть процесс
сборки шаблонов на локальной машине, в отсутствие сер-
верного ПО и не для передачи клиенту. В результате такой
сборки вы получаете набор статических документов (хотя
никто не запрещает использовать, например, SSI-инструк-
ции), готовых к размещению на сервере. Оказывается, кон-
цепция сборки документов по шаблону может быть весьма
полезна не только при сборке документов «на лету», но и
при сборке статических документов.
Прежде чем обсудить конкретную реализацию off-line-
процессора шаблонов, нам необходимо сформулировать
критерии, которым он должен соответствовать. Но перед
этим давайте определимся, в каких ситуациях off-line-сбор-
ка может быть полезна (и для кого написана эта статья).
Когда применима off-line-сборка?
Ценность автоматизации сборки статических документов
74
АЛЕКСЕЙ МИЧУРИН
может показаться неочевидной, но это только на первый
взгляд. Да, off-line-сборка позволит создавать только ста-
тические документы. Приёмы, которые мне предстоит опи-
сать, ни в коей мере не связаны с «on-line-движками». Тем
не менее, разработка статических документов – неотъем-
лемый и трудоёмкий процесс, неизбежно сопровождающий
создание и поддержку любого веб-ресурса. Облегчению
этой задачи и посвящена настоящая статья. А прежде чем
привести два примера, замечу, что техника, изложенная
здесь, может применяться и для создания частей докумен-
тов, которые далее будут использоваться как исходные дан-
ные для «on-line-движков».
Приведу два, как мне кажется, наиболее житейских при-
мера.
Практически у любого ресурса есть страницы, которые
обновляются редко, но время от времени обязательно об-
новляются. Это могут быть адреса торговых точек и фили-
алов, телефоны, расписание работы, информация о сотруд-
никах, подборки статей и многое другое. Эти страницы,
скорее всего, должны быть оформлены в едином стиле с
содержимым всего сервера, то есть включать стандартную
шапку, элементы навигации и прочее. Невольно появляет-
ся мысль использовать для их создания технику сборки по
единому шаблону. Вместе с тем, на практике эти страницы
несут статическую информацию. Собирать их вновь при
каждом запросе не очень разумно. Гораздо рациональней –
собрать их единожды и разместить на сервере, а при необ-
ходимости вносить малые изменения в шаблоны, легко пе-
ресобирать необходимые страницы и размещать их на сер-
вере. Возможно, необходимость проведения таких работ
будет возникать раз в несколько лет, но даже редкую рабо-
ту лучше делать просто, чем сложно.
Здесь возникает возражение: такой поход прожорлив
до дискового пространства. Соглашусь с этим, но отвечу,
что дисковое пространство стоит копейки и обходится го-
раздо дешевле процессорного времени, за одну только воз-
можность использования коего обычно приходится допол-
нительно доплачивать. При отказе от on-line-сборки в пользу
off-line-сборки мы проигрываем в дисковом пространстве,

но объем трафика (гораздо более важная характеристика)
не меняется, а процессорное время (тоже весьма важная
характеристика) существенно экономится. Таким образом,
суммарно мы, скорее всего, получим выигрыш. (Вопросы
трудоёмкости загрузки большого объёма данных на сервер
и другие вопросы я обязательно затрону, но ближе к концу
статьи.)
Как видите, в описанной ситуации off-line-сборка вполне
оправданна, а такая ситуация возникает при поддержке прак-
тически любого ресурса в Web.
Вторая немаловажная область для применения техни-
ки off-line-сборки – разработка. Веб-дизайнер1 должен иметь
возможность оперативно глянуть на дело рук своих. Если
его работа полностью сосредоточена на разработке шаб-
лонов, сборка которых произойдёт только на сервере, то
ему (на локальной машине) затруднительно увидеть резуль-
тат своих трудов. Сперва он вынужден разместить всё на
сервере, а это не только трудно, но и потребует от дизайне-
ра квалификации, не свойственной для него.
В этой ситуации было бы удобнее, если бы дизайнер
имел под рукой процессор обработки шаблонов и мог быс-
тро пересобрать весь набор документов, легко «играя» па-
литрами или компоновками материала.
То же самое относится и к верстальщику2. Ему было бы
нелишне иметь возможность легко оценить, как будет выг-
лядеть его работа в рамках общего дизайна (не «съедут»
ли иллюстрации и таблицы, уместны ли цвета и т. п.).
Разработка тем более упрощается, если программист,
дизайнер и верстальщик пользуются одним набором инст-
рументов и одним форматом шаблонов.
Итак, задачи намечены, наметим теперь пути их реше-
ния.
Требования к аппарату off-line-сборки
Самые общие требования
! Первое требование прозвучит почти комично: наша си-
стема сборки должна обеспечивать сборку. То есть она
должна давать возможность описать, в какое место об-
рабатываемого файла содержимое какого файла будет
вставляться.
Такие места вставки будем называть точками вставки.
Получив возможность вставлять некую информацию во мно-
гие места многих файлов, мы получили возможность хра-
нить одну информацию в одном месте. Это позволит и из-
менять (при необходимости) одну информацию в одном
месте. То есть при последовательном проведении этой тех-
ники в жизнь вы сможете поменять название раздела в
одном-единственном файле, одним касанием <Enter> пе-
web
ресобрать документы, и название раздела изменится во
всех оглавлениях, заголовках, элементах <title>...</title> и
во всех других местах, где встречалось это название. Так
же можно будет менять цвета и другие элементы оформле-
ния. То есть ресурс становится предельно управляемым во
всех отношениях.
! Второе требование: программный код (код, выполняю-
щий сборку) должен быть полностью отделён от кода
шаблонов.
Это классическое требование, которое всегда предъяв-
ляется к обработчикам шаблонов и нарушается с таким же
постоянством. Иначе и быть не может. С одной стороны,
процессор шаблонов должен быть управляемым, то есть
программируемым, иначе он сможет собирать только один
документ по одному шаблону и утратит всяческий смысл.
Но, с другой стороны, программный код в шаблонах дол-
жен, как мы только что сказали, отсутствовать. Этот пара-
докс каждый из разработчиков решает согласно своим за-
дачам. Наши задачи таковы, что в шаблонах должен быть
минимум управляющих конструкций. Мы намеренно не бу-
дем реализовывать ни переменных, ни условных перехо-
дов. Естественно, у нас не будет ни циклов (частный слу-
чай условных переходов), ни вычислений (направленных на
обработку переменных)3.
Такие строгие меры продиктованы жизненной необхо-
димостью. Помните про первое применение – долгосроч-
ную поддержку ресурса? Шаблоны должны быть таковы,
чтобы можно было легко вспомнить, что тут к чему, даже
после полного забвения, которое приходит обычно уже че-
рез пару месяцев после окончания активной фазы разра-
ботки. При этом мы не должны наивно рассчитывать, что
кто-то станет документировать сбою работу. С шаблонами
должен легко управляться и дизайнер, не имеющий ника-
кого представления о программировании, переменных, уп-
равляющих конструкциях и прочем.
! Программа обработки шаблонов должна быть макси-
мально переносима. Её работоспособность не должна
зависеть от ОС, ПО, дополнительных модулей и расши-
рений. У дизайнера и верстальщика должна быть воз-
можность просто носить её на flash-носителе вместе с
рабочими материалами. Установка на новую машину
должна быть упрощена до полной незаметности.
! Аппарат сборки должен выдавать ясный и простой про-
токол работы, позволяющий легко понять (или восста-
новить в памяти) ход сборки и источники той или иной
информации, а при необходимости легко локализовать
ошибки.
! Конечно, шаблоны должны обрабатываться рекуррент-
но, допуская вставку шаблона в шаблон.

1
Во избежание разночтений поясню, что под «веб-дизайнером» я буду понимать субъекта, разрабатывающего все
элементы, общие для всех (или для больших групп) страниц ресурса. Это может быть и не один человек, а команда,
каждый представитель которой специализируется на одном из аспектов веб-дизайна: графика, HTML, CSS, JavaScript...
В таком случае, внедрение механизма, предлагаемого в статье, напрямую затронет только разработчика HTML-кода.
2
Уточню, что под «верстальщиком» я буду понимать человека (или команду), обеспечивающего информационное на-
полнение каждой конкретной страницы. Верстальщик получает материалы в естественном для заказчика формате и
адаптирует их для размещения на веб-страницах.
3
Это не совсем так, что-то сделать всё-таки придётся. Читайте дальше.

№8(21), август 2004 75

 web
Требования к шаблонам коллекции DJGPP4. У пользователей UNIX проблем с уста-
! Синтаксис оформления точек вставки должен допускать новкой Perl вообще не возникнет, поскольку Perl является
достаточную гибкость. Разработчик должен иметь воз- неотъемлемой частью подобных систем.
можность сделать точку вставки и заметной, и компак- Можно было бы поступить ещё концептуальней: напи-
тной, в зависимости от конкретной ситуации. сать программу на чём-нибудь компилируемом, например,
! Точки вставки не должны быть похожи на HTML-теги. на C. Такая программа не требовала бы даже интерпрета-
Это позволит беспрепятственно применять программы тора. Возможно, это хорошая идея. Я не пошёл по этому
проверки HTML-кода к отдельным шаблонам и легко ло- пути по двум причинам. Во-первых, разница не так принци-
кализовать ошибки типа забытых закрывающих тегов пиальна: избавились от интерпретатора – понадобился ком-
или неверных атрибутов. пилятор. Во-вторых, код получился бы не такой компакт-
ный, и приводить его в статье было бы не так удобно. Пос-
Возможности управления ходом сборки леднее обстоятельство, как вы понимаете, не должно оста-
Пришло время компромиссов и разрешения парадокса, о навливать вас.
котором я говорил. Я уже вижу, как взгрустнули програм-
мисты. Конечно, отказ от переменных, условных переходов, Осмотр кода и формат сценария сборки
вычислений и циклов – тяжёлая утрата. Можно ли сочетать Давайте пробежим глазами строки кода, который у меня
предельную простоту кода и достаточную управляемость? получился:
Думаю, что да.
Я бы назвал предлагаемое решение «условной встав- 01: #!/usr/bin/perl -w
02:
кой». Каждый шаблон обрабатывается с определённым па- 03: #use strict;
раметром. Фактически параметр – это единственная пере- 04:
05: my $INPUT_PATH ='<input/';
менная. Но от того, что она одна, ей не нужно имя и синтак- 06: my $OUTPUT_PATH='>output/';
сис её использования становится предельно прост и поня- 07:
08: sub assemble_step {
тен даже человеку, далёкому от программирования (осо- 09: my ($level, $file, $key)=@_;
бенно, если не называть её словом «переменная»). В зави- 10: print (('. 'x$level).$file.':'.$key."\n");
11: local $/;
симости от этого параметра в шаблон будет встраиваться 12: open FH, $INPUT_PATH.$file or die $file.' : '.$!;
содержимое того или иного файла. 13: my $text=<FH>;
14: close FH;
Итак, ещё одно требование: 15: $level++;
! Обработчик должен поддерживать сборку с параметром 16:
17:
$text=~s{\(##[#\s]*([^#\s]+)[#\s]*##\)}{
my ($fn, $k)=($1, $key);
и условную вставку. 18: $fn=~s/\?/$key/g;
19: $fn=~s/\(([^)]+)\)/($key eq $1)?'yes':'no'/ge;
20: ($fn, $k)=($1, $2) if ($fn=~m/^([^:]+):(.+)$/);
Пока, пожалуй, хватит требований, мелкие замечания 21: assemble_step($level, $fn, $k);
и уточнения разберём на конкретном примере. 22: }ge;
23: return $text;
24: }
Пример реализации off-line-процессора 25:
26: sub assemble {
Давайте теперь рассмотрим программу, хоть и далёкую от 27: my ($output, $input_root, $init_key)=@_;
совершенства и законченности, но компактно реализующую 28: my $text=assemble_step(0, $input_root, $init_key);
29: open FH, $OUTPUT_PATH.$output or die $output.' : '.$!;
изложенные выше идеи и вполне работоспособную, в чём 30: print FH $text;
у нас будет возможность убедиться в следующем разделе 31: close FH;
32: }
(где будет создан небольшой сайт из шести страниц). 33:
34: while (<>) { assemble(split) }
Выбор языка
При выборе языка программирования я остановился на Я буду предполагать, что читатель знаком с Perl, и огра-
вездесущем Perl, не устояв перед его широкими возмож- ничусь только краткими пояснениями. Тело программы со-
ностями и богатством платформ, на которые он перенесён. стоит из одной строки 34 (если не считать объявления двух
Кроме того, давайте не будем использовать в нашей глобальных переменных в строках 5 и 6)5. Здесь в цикле
программе внешних модулей. Такой код можно будет запу- while одна за другой обрабатываются строки входного фай-
стить под Windows, даже не устанавливая громоздкий ла. Чтобы отличать его от шаблонов, давайте назовём его
ActivePerl, а воспользовавшись одним только perl.exe из громким словом «сценарий сборки» или просто «сценарий».

4
Речь идёт о дистрибутиве, доступном, например, по адресу: ftp://ftp.cpan.org/pub/CPAN/ports/msdos/LMOLNAR/perl542b.zip.
Там вы найдёте perl.exe версии 5.004_02 от DJGPP, размером всего 266 Кб. Там же, в архиве CPAN, можно найти
множество различных сборок Perl для различных платформ (ftp://ftp.cpan.org/pub/CPAN/ports). Многие из них облада-
ют существенными ограничениями, которые касаются сетевых возможностей, возможностей работы с базами дан-
ных, ограниченным набором модулей, но эти ограничения не повлияют на работоспособность кода, приводимого в
настоящей статье. Неприятным сюрпризом может стать только то, что некоторые сборки для DOS не поддерживают
длинных имён.
5
Это сделано специально, чтобы вам было легче развивать программу, я уже сказал, что приводимая здесь реализа-
ция скорее учебная, нежели боевая.

76

Каждая строка сценария сборки разбивается на поля (раз-
делители – любые пробельные символы в любом количе-
стве). Значения этих полей передаются функции assemble,
которая инициализирует и запускает процесс сборки шаб-
лона, а результат сборки записывает в назначенный файл.
Первое поле каждой строки сценария задаёт имя соби-
раемого файла (имя файла, в который будет помещён окон-
чательный результат сборки). Второе поле – имя корневого
шаблона, с которого начнётся сборка. Третье поле – пара-
метр, с которым будет собираться корневой шаблон.
Функция assemble_step, выполняющая саму сборку, вы-
зывается рекуррентно (вы видите, что она вызывается из
самой себя в строке 21). Её аргументы таковы: первый –
уровень вложенности (глубина рекурсии); второй – имя
файла шаблона, который необходимо обработать; тре-
тий – параметр сборки, с которым необходимо обработать
шаблон.
Первое, что делает функция assemble_step, – выдаёт
строку протокола сборки (строка 10 листинга). Начальные
символы строки задают отступ, показывая глубину рекур-
сии (чем больше уровень вложенности, тем больше отступ).
Далее следует имя файла шаблона и параметр, с которым
его предстоит обработать.
Далее (строки 11-15) в переменную $text читается шаб-
лон, глубина вложенности увеличивается на единицу (это
значение будет передано «дочерним» assemble_step) и на-
чинается самое интересное – обработка шаблона.
Сердцем нашего процессора шаблонов, как вы уже ус-
пели догадаться, являются строки листинга с 16 по 22, пред-
ставляющие собой просто одно выражение глобального
поиска и замены. Здесь-то и происходит сборка.
Что же мы ищем и на что заменяем?
Точки вставки
Ищем мы, конечно, точки вставки. Как видите (строка 16),
оформлены они у нас будут достаточно гибко: открываю-
щая круглая скобка; два знака #; любое количество пробе-
лов6 или знаков #; некоторое количество знаков, отличаю-
щихся от пробелов и #, они сохранятся в переменной $1 и
будут использованы для определения, что именно необхо-
димо вставить в данную точку; далее следует снова произ-
вольное количество пробелов и символов #; и наконец за-
вершающие два # и закрывающая скобка.
Я не навязываю читателю именно такой стиль, просто
мне он кажется удобным. Знак # выбран потому, что его
легко заметить в тексте. А формат позволяет оформлять
точки вставки и компактно (полезно, когда их много):
(## NAME ##)
И громоздко (полезно, когда точек вставки мало и их
надо выделить):
(###############
NAME
###############)
или
6
Пробелами в данном случае считаются не только истинные пробелы и табуляции, но и символы новой строки CR и LF.
№8(21), август 2004
web
(## ##
## NAME ##
## ##)
Точки вставки, таким образом, можно оформлять в духе
комментариев C с той лишь разницей, что начальный и ко-
нечный символы у нас разные и написание регулярного
выражения для поиска точек вставки упрощается.
Вставка
Что мы будем заменять – теперь понятно, давайте разбе-
рёмся с тем, чем мы будем заменять.
В качестве имени файла, который будет вставляться в
данную точку, будет использоваться наша переменная $1,
но... после небольшой «доработки»:
! Первым делом (строка 18) все знаки ? в потенциальном
имени файла заменятся на текущее значение парамет-
ра сборки.
То есть если код:
<html>(## text-for-? ##)</html>
собирается с параметром index, то между тегами <html> и
</html> будет вставлен шаблон из файла text-for-index. Если
же этот же шаблон собирается с параметром paper, то вместо
(## text-for-? ##) будет вставлен шаблон из файла text-for-paper.
! Далее (в строке 19) в потенциальном имени файла отыс-
киваются все конструкции в круглых скобках. С ними
производится следующая замена: если строка в скоб-
ках совпадает с текущим параметром сборки, то скоб-
ка заменяется на строку «yes», в противном случае она
заменяется на строку «no».
Поясню на примере шаблона:
<html>(## is-i-home-(index).txt ##)</html>
Если этот шаблон собирается с параметром index, то бу-
дет использован файл is-i-home-yes.txt. Во всех других слу-
чаях, напротив, будет использован is-i-home-no.txt.
! Затем (строка 20) проверяется, содержит ли потенци-
альное имя файла двоеточие. Если ответ утвердитель-
ный, то часть имени слева от двоеточия используется в
качестве имени файла, правая часть имени будет ис-
пользована как новый параметр сборки.
Это даёт возможность «подменять» параметр сборки в
процессе самой сборки и собирать разные части докумен-
та с разными параметрами. Обратите внимание: подмена
носит локальный характер, шаблон-«родитель» о ней ни-
чего не знает, его обработка продолжается с тем же пара-
метром. Подмену замечает только шаблон-«потомок» (и его
потомки, если не произойдёт ещё одной подмены).
! Наконец (строка 21) мы вызываем рекуррентно
assemble_step, которая производит сборку того, что нам
в результате оказалось нужно (и, возможно, с новыми
параметрами), и помещаем результат в точку вставки.
77
 web
Пример сборки ресурса 01: <html>
Давайте теперь рассмотрим пример создания простенько- 02: <head>
03: <title>(## ?-head ##)</title>
го веб-ресурса с помощью нашей «кухни», и пусть его про- 04: </head>
стота нас не смущает, ведь любой сложный ресурс всегда 05: <body>
можно разбить на простые части (речь, конечно, по-пре- В этом шаблоне есть тоже одна точка вставки. В неё
жнему идёт только о статических ресурсах). вставляется информация одного из трёх файлов index-head,
На нашем сервере будет три страницы: index.html, contact-head и about-head. При сборке index.html (с пара-
contact.html и about.html. Будем называть их основными. У метром index) используется первый – index-head, для
каждой из них будет ещё и версия для печати: index- contact.html и about.html – contact-head и about-head соот-
print.html, contact-print.html и about-print.html, соответствен- ветственно. В файлах *-head, как вы уже поняли, содер-
но. Итого шесть страниц, все они показаны на рисунке с жатся заголовки соответствующих страниц. Например, в
указаниями имён файлов. index-head:
Сценарий сборки будет таков7:
01: Î íàñ
01: index.html skeleton index
02: contact.html skeleton contact
03: about.html skeleton about Во второй строке шаблона skeleton (мы продолжаем его
04: index-print.html skeleton-print index рассмотрение) – точка вставки шаблона sep:
05: contact-print.html skeleton-print contact
06: about-print.html skeleton-print about
01: <table width="100%">
02: <tr bgcolor="#cccccc">
Каждому собираемому html-файлу, как вы видите, здесь 03: <td align="right">
отвечает своя строка, в которой, кроме имени файла-ми- 04: <font size="1" color="#999999">ÑÒÅËÜÊÈ Inc.</font>
05: </td>
шени, указываются шаблон и параметр. 06: </tr>
Как вы поняли, все основные станицы будут собраны 07: </table>
по шаблону skeleton, а страницы для печати – по шаблону
skeleton-print. Здесь нет ничего хитрого, это чисто декоративный эле-
мент – горизонтальная серая полоса. На наших страницах
Сборка основных страниц их три на каждой (см. рисунок).
Рассмотрим сперва сборку основных страниц: index.html, В строках 3-8 шаблона skeleton – код, отвечающий за
contact.html и about.html. Согласно первым трём строчкам логотип и баннер.
сценария сборки, все они собираются по общему шаблону В строке 9 повторяется вставка декоративного разде-
skeleton, варьируется только параметр (исключительно для лителя sep.
простоты чтения он тождественен имени соответствующе- В строках 10-21 описана таблица, несущая собственно
го собираемого файла). тело страницы. В таблице только две ячейки (одна строка,
Этот раздел будет фактически посвящён рассмотрению два столбца). Левая содержит навигационное меню (шаб-
шаблона skeleton: лон toc, подключаемый в строке 12), к нему мы вернёмся
чуть позже. В правой ячейке содержится несколько точек
01: (### body-open ###) вставки. В первой из них подключается один из уже знако-
02: (### sep #########)
03: <table width="100%"> мых нам шаблонов *-head, соответствующий параметру
04: <tr> сборки (строка 14). Это заголовок. В строке 16 создаётся
05: <td><img src="../img/title.gif"></td>
06: <td align="right"><img src="../img/banner.gif"></td> ссылка на страницу с версией для печати. Адрес этой стра-
07: </tr> ницы берётся из файлов index-url-print, contact-url-print и
08: </table>
09: (####### sep #######) about-url-print. Например, index-url-print содержит:
10: <table>
11: <tr valign="top"> 01: index-print.html
12: <td>(## toc ##)</td>
13: <td>
14: <big><b>(## ?-head ##)</b></big>
15: <br> Единственное, о чём здесь следует упомянуть: файлы
16: <a href="(## ?-url-print ##)"><b><font size="1"> *-url-print не должны содержать ничего, кроме адресов. То
17: âåðñèÿ äëÿ ïå÷àòè</font></b></a>
18: <br>(## ?-text ##) есть в них не должно быть пробелов, табуляций, символов
19: </td> LF и CR и других невидимых символов.
20: </tr>
21: </table> И наконец в строке 18 шаблона skeleton мы подключа-
22: (### sep ##########) ем текст страницы из файлов (которые могут оказаться, в
23: (### body-close ###)
свою очередь, шаблонами) index-text, contact-text и about-
В его первой строке находится точка вставки шаблона text. Так, например, в файл index.html вставляется текст из
body-open: файла index-text:

7
Все файлы, упомянутые в настоящей статье, можно скачать одним архивом на сайте журнала: http://www.samag.ru/
source. В архиве также содержится программа сборки на Perl и bonus track: дополнительные файлы, необходимые
для сборки веб-страницы, содержащей все страницы ресурса; как раз эта страница и является иллюстрацией статьи
(readme прилагается).

78
 web
01: Êîðïîðàöèÿ &laquo;ÑÒÅËÜÊÈ Inc.&raquo; ïðîèçâîäèò Понятно, что каждый из них содержит одну строчку. На-
02: íåäîðîãèå, íî âûñîêîêà÷åñòâåííûå êîðïîðàòèâíûå ñòåëüêè. пример, index-url содержит:
03: Ìû âñåãäà äåëàåì óïîð íà èìèäæåâûå ýëåìåíòû, íî
04: ïðåäëàãàåì è óíèâåðñàëüíûå ãîòîâûå ðåøåíèÿ...
01: index.html
Шаблон skeleton заканчивается вставкой ещё одного
декоративного разделителя sep и закрывающими тегами, Перейдём теперь к самому интересному.
вынесенными в отдельный файл body-close.
Сборка оглавления
Сборка страниц для печати Вернёмся к шаблону toc, отвечающему за навигационное
Ещё проще устроена сборка страниц для печати. Как вы меню. Как вы уже видели на рисунке, оглавление у нас сде-
помните, для них используется общий базовый шаблон лано в лучших традициях гипертекста: ни одна страница
skeleton-print: нигде не ссылается на саму себя. Для этого нам понадо-
бился довольно мудрёный шаблон toc:
01: (### body-open ###)
02: <hr> 01: <table>
03: <big>(## ?-head ##)</big> 02: (## toc-(index):index ##)
04: <hr>
05: <small>&copy; ÑÒÅËÜÊÈ Inc.</small> 03: (## toc-(about):about ##)
04: (## toc-(contact):contact ##)
06: <hr> 05: </table>
07: (##############
08: ### ?-text ###
09: ##############) Попробуйте ответить на вопрос, сколько шаблонов ис-
10: <hr> пользуется шаблоном toc? Правильный ответ: два. Да! Нам
11: <small>àäðåñ ðåñóðñà
12: <u>http://www.stelki.biz/(## ?-url ##)</u></small> понадобится всего два шаблона.
13: <hr> Первый toc-yes:
14: <small><a href="(## ?-url ##)">íàçàä</a></small>
15: (### body-close ###)
01: <tr>
02: <td nowrap bgcolor="#cccccc"><b>&bull;
В начале и в конце этого шаблона мы видим уже знако- 03: (## ?-head ##)</b></td>
мые body-open и body-close. Текст заголовка берётся всё 04: </tr>
из тех же файлов *-head, а текст – из файлов *-text (обрати-
те внимание, как выделена точка вставки текста). Един- Второй toc-no:
ственные новые шаблоны, с которыми мы тут столкнулись,
01: <tr>
содержат адреса возврата на исходные страницы (не пред- 02: <td nowrap><b>&bull;
назначенные для печати). Я говорю о шаблонах index-url, 03: <a href="(## ?-url ##)">(## ?-head ##)</a>
04: </b></td>
contact-url и about-url (они фигурируют в строках 12 и 14). 05: </tr>

№8(21), август 2004 79

 web
Шаблон toc-yes описывает одну строку таблицы, в един- мы не использовали шаблоны и захотели бы изменить на-
ственной ячейке которой находится название соответствую- звание раздела, то нам пришлось бы вносить исправления
щего раздела. Шаблон toc-no описывает такую же конструк- в семи местах. Наш механизм в семь раз облегчит задачу.
цию, но ячейка уже не подкрашена, а текст является ссылкой. Обработчик позволяет делать очень многое и не усту-
Я думаю, читатель уже начал догадываться, как всё это пает большинству подобных инструментов. Фактически
работает. любое изменение стиля или содержания сайта выполняет-
Например, при сборке документа about.html шаблон toc ся редактированием всего одного файла.
вызывается с параметром about. Во второй его строке бу- Эта управляемость идёт на пользу не только отдельным
дет подключён файл toc-no, так как параметр about не со- разработчикам, но и облегчает взаимодействие в коман-
впал с круглой скобкой (index). Этот шаблон, в свою оче- де. Так, дизайнер мог вести разработку так, как это делали
редь, вызывается с подменой параметра на index, и в нём мы. Но программист перед окончательным размещением
будут подставлены файлы index-rul и index-head. То есть документов на сервере может просто поменять в одном
строка с названием первой страницы станет ссылкой на файле (skeleton) код, отвечающий за баннер, и одним дви-
первую страницу. Во второй строке шаблона toc будет про- жением подключить баннерную систему на всех страницах
изводиться вставка шаблона toc-yes, который не форми- ресурса.
рует ссылки. То есть мы добились своего – страница не ! Шаблоны допускают весьма гибкое форматирование то-
ссылается на саму себя. Третья вставка (в четвёртой стро- чек вставки, которое может обеспечить и наглядную, и
ке шаблона toc) пройдёт аналогично первой. компактную запись.
Окончательно разобраться в деталях происходящего ! Обработчик выдаёт протокол сборки, позволяющий лег-
нам поможет протокол сборки. ко понять коллегу или себя.
! Обработчик компактен и элементарно переносится на
Протокол работы любую машину, работающую под управлением любой ОС.
Мы ещё ничего не сказали о протоколе (необходимость
коего была оговорена в начале статьи), который выдаётся Но не будем долго распространяться о мощи шаблон-
нашей системой сборки. Я не буду приводить его весь. Вот ного подхода. Давайте перейдём к недостаткам.
часть, отвечающая за сборку документа index.html:
Слабые стороны подхода
01: skeleton:index Когда вы принимаете решение использовать или не исполь-
02: . body-open:index
03: . . index-head:index зовать некий подход (в частности, описываемый в этой ста-
04: . sep:index тье), важно знать не только достоинства и потенциальные
05: . sep:index
06: . toc:index возможности, но и недостатки подхода. Итак, какие есть
07: . . toc-yes:index недостатки? Какие из них можно преодолеть, а какие –
08: . . . index-head:index
09: . . toc-no:about нельзя?
10: . . . about-url:about
11: . . . about-head:about
12: . . toc-no:contact Относительно работы обработчика
13: . . . contact-url:contact Приведённая здесь реализация практически не содержит
14: . . . contact-head:contact
15: . index-head:index механизмов обработки нештатных ситуаций. Естественно,
16: . index-url-print:index было бы полезно добавить следующее:
17: . index-text:index
18: . sep:index ! Конечно, наш код допускает множество очевидных кос-
19: . body-close:index метических усовершенствований: ограничение глубины
рекурсии и защиту от зацикливания, проверку правиль-
Если вы внимательно читали весь предыдущий текст, ности сценария сборки... Но сосредоточимся на более
то он будет вам знаком и понятен. Если же у вас осталось существенных моментах.
некоторое недопонимание, то он поможет разобраться. ! Было бы полезно реализовать проверку правильности
конструкций, описывающих имя файла в точках встав-
Результаты ки. Реакция программы на нештатные ситуации типа
вложенных скобок или множественных двоеточий дол-
Достижения жна быть разумна.
Итак, что нам удалось сделать? Перечислю кратко основ- ! Программа должна корректно себя вести, если требуе-
ное. мый файл не существует. Как? Решать вам. Может быть,
! Мы написали и успешно применили обработчик шабло- вы предпочтёте аварийную остановку (сейчас сделано
нов, синтаксис которых настолько прост, что может быть именно так) или захотите, чтобы эта ситуация была бы
освоен даже абсолютно не знакомым с программиро- проигнорирована.
ванием человеком, каковыми обычно являются веб-вер-
стальщики и веб-дизайнеры. Вместе с тем, наш аппарат Возможно, было бы полезно реализовать поиск вход-
позволяет весьма гибко манипулировать шаблонами. ных файлов по нескольким директориям, организовать об-
работку переменной среды, аналогичной PATH, или вынес-
Даже в нашем маленьком примере вставка шаблона ти информацию о возможных путях к файлам в сценарий
index-head происходит семь раз. Это значит, что если бы сборки.

80

Плодотворной может оказаться идея «аварийного шаб-
лона», который вставляется в те точки, которые не были
корректно обработаны.
! Было бы очень уместно сделать кэширование считан-
ных файлов. Тем более, что это совсем не трудно.
! После того как вы сделаете кэширование, можно очень
легко сделать предопределённые шаблоны. Например,
шаблон DATE может содержать дату сборки.
! Очень полезной была бы и возможность регламентиро-
вать дополнительные обработки (или не обработки) фай-
лов. Например, можно сделать, чтобы файлы с расши-
рениями .file не обрабатывались как шаблоны, а их со-
держимое вставлялось «как есть». И наоборот, файлы
с расширениями .quot проходили бы дополнительную
обработку механизмом HTML-квотирования, заменяю-
щим «&» на «&amp;» и так далее. Здесь тоже возможны
варианты: должен ли, например, подвергаться квотиро-
ванию шаблон, вставляемый в квотируемый шаблон?
! Было бы заманчиво хранить информацию с разными
именами в одном файле, чтобы не заводить множество
маленьких (как это получилось у нас с файлами заго-
ловков и адресов). Это, правда, потребует некоторого
усложнения «адресации» данных. Обойтись просто име-
нем файла, как сделали мы, будет уже нельзя. Все ли в
вашей команде одобрят подобные нововведения?
Относительно загрузки на сервер
Я обещал вернуться к вопросам загрузки. Действительно,
идея собрать все документы одним махом весьма заман-
чива, пока вы не столкнётесь с необходимостью загрузить
их на сервер. Что здесь можно сказать?
Во-первых, для части администраторов эта проблема
не будет так остра, потому что большинство изменений
всё-таки не будут затрагивать все документы и, конечно,
не будут производиться слишком часто (иначе вам дей-
ствительно следует выбрать для сопровождения вашего
ресурса другой инструментарий, реализующий on-line-
сборку).
Во-вторых, если вам придётся всё-таки решать эту за-
дачу, то у вас будет по крайней мере два пути решения.
Можно написать CGI-сценарий, принимающий файлы в
сжатом виде и распаковывающий их на сервере. Так вы
сократите трафик в несколько раз. С другой стороны, мож-
но написать сценарий, производящий сборку и размеще-
ние на сервере, а передавать ему надо будет только шаб-
лоны. Это может очень сильно помочь сократить трафик,
но создание такого механизма потребует от вас нешуточ-
ных усилий по обеспечению безопасности.
Усовершенствования, которые сложно сделать
! Когда начинаешь заботиться о «самодокументируемо-
сти» подобного сборщика, может появиться мысль: пусть
он дополняет документы HTML-комментариями. Сделать
это корректно гораздо сложнее, чем кажется на первый
взгляд. Вы видели сами, что мы вставляем шаблоны и
внутрь тегов. Если включить аппарат автоматической
вставки комментариев, то код:
<a href="(## url ##)">
№8(21), август 2004
web
после обработки может превратиться в:
<a href="<!— /file 'url' —>index.html<!— file 'url'/ —>">
что, естественно, не будет работать, как:
<a href="index.html">
! Процесс сборки, на первый взгляд, напоминает работу
утилиты make. Возникает искушение реализовать не-
что подобное, избежав ненужных действий при внесе-
нии в шаблоны небольших изменений. Это тоже трудно
сделать, так как для определения того, какие файлы
нуждаются в повторной обработке, надо знать всё «де-
рево сборки» – все зависимости файлов. В явном виде
они нигде не содержатся. Так что, если не сборка, то
хотя бы просмотр всех файлов-шаблонов мне представ-
ляется неизбежным.
! Неразумным кажется и то, что мы всегда собираем все
файлы проекта. Но отказ от этой концепции потребует
усложнения синтаксиса командной строки. Или нам при-
дётся придумать какой-то другой способ указать, что
именно нам надо. Мой опыт показывает, что веб-дизай-
неры этим не пользуются, предпочитая подождать пол-
секунды. Иногда я думаю, что они в чём-то правы. Кро-
ме того, появление подобной возможности резко сузит
возможности создания предопределённых шаблонов, о
которых говорилось выше.
Усовершенствования, которые не следует
делать
И наконец, я хотел бы обозначить ряд усовершенствова-
ний, которые, на мой взгляд, не следует вносить, несмотря
на их кажущуюся необходимость и заманчивую простоту.
! Вам может показаться, что не хватает возможности под-
ставлять не файл, а сам параметр сборки. Задумайтесь,
перед тем как реализовывать и эксплуатировать эту
идею! Поверьте, на этой дороге вы не найдёте счастья.
У информации должно быть имя и должно быть значе-
ние, нельзя объединять эти две материи.
! Не следует усложнять функциональность – вы потеряе-
те прозрачность и читаемость и усложните код, внедрён-
ный в ваши шаблоны.
Если же вам понадобились циклы или условные пере-
ходы, лучше воспользуйтесь готовым решением, трезво
взвесив все «за» и «против». Вероятно, новый инструмент
потребует от вас установки сервера на машину дизайнера
(или на все машины дизайнеров), не исключено, что ваш
дизайнер может воспринять в штыки всё это богатство воз-
можностей.
В любом случае это будет другой обработчик шаблонов
и уже совсем другая история.
81
 образование
АВТОМАТИЗАЦИЯ ПРОЦЕССОВ В СЕТИ
В повседневной работе системному администратору необ-
ходимо многократно выполнять одни и те же рутинные дей-
ствия. Для облегчения собственного бытия имеет смысл ав-
томатизировать следующие процессы: управление сетевы-
ми ресурсами (автоматическое отключение/подключение
сетевых принтеров и дисков в зависимости от членства
пользователей в соответствующей группе безопасности),
конфигурирование рабочей станции, сбор информации об
аппаратном и программном обеспечении рабочих станций
(решение задачи инвентаризации).
Так или иначе, решение задач этого круга сводится к
чтению/записи данных реестра. Управление реестром осу-
ществляется с помощью нескольких инструментов, которые
будут рассмотрены в настоящей статье. Основными из них
являются сценарии регистрации пользователей в сети (сце-
нарии загрузки или скрипты) и групповые политики.
Системный администратор не может реализовать весь
желаемый функционал, используя только сценарии заг-
рузки, поскольку с их помощью невозможно безопасно вы-
полнить изменения в ветвях реестра HKLM и HKU, так как
это только сценарии, работающие с правами админист-
ратора.
Однако, примененяя групповые политики, стартующие
каждый раз при регистрации пользователя в сети, исполь-
зуя административные шаблоны на основе реестра, можно
безопасно внести изменения в ветви реестра HKLM и HKU.
Политики распространяются на пользователей, являю-
щихся членами группы.
Системный администратор может самостоятельно со-
здать файлы – административные шаблоны, содержащие
групповые политики (файл с расширением ADM), и приме-
нять их к пользователям, входящим в группу/домен (domain),
подразделение (Organization Unit, OU).
Таким образом, групповые политики и сценарии регис-
трации пользователей в сети органично дополняют друг
друга. Далее рассмотрим подробнее круг вопросов, касаю-
щихся создания и применения сценариев загрузки и груп-
повых политик, но сначала немного о реестре.
Реестр
Это иерархическая база данных, содержащая настройки
аппаратного и программного обеспечения компьютера. Для
получения высокой скорости доступа к записям реестра ин-
формация в нем хранится в двоичном формате, а сам ре-
естр состоит из нескольких файлов.
В Microsoft Windows 3.x все настройки программного
обеспечения располагались в файлах инициализации, ко-
торые имели расширение INI. Вся конфигурационная ин-
формация располагалась в двух файлах: SYSTEM.INI и
1
В Microsoft Windows принято использовать переменные среды. %WinDir% содержит полный путь к каталогу, в кото-
ром установлена ОС, например, C:\Windows.
84
ИВАН КОРОБКО
WIN.INI. При установке любого приложения все его настрой-
ки сохранялись в одном из этих файлов. Приложения
пользовались небольшим количеством параметров. Глав-
ная причина – размер INI-файла, размер которого не долж-
ны превышать 64 Кб. Чтобы обойти эти ограничения, для
каждой программы создавался свой INI-файл.
Со временем из-за большого количества конфигураци-
онных файлов производительность операционной системы
значительно понизилась. В 1993 году была создана опера-
ционная система Microsoft Windows NT, в которой множе-
ство INI-файлов было заменено единой базой данных –
реестром.
С точки зрения файловой системы реестр представля-
ет собой файл с расширением DAT. Для Windows NT/200x
реестр хранится в файле NTUSER.DAT, который находится
в каталоге %Windir%\Profiles1.
В Windows 9x реестр состоит из двух файлов: USER.DAT
и SYSTEM.DAT, которые хранятся в каталоге %Windir%.
USER.DAT содержит настройки индивидуального пользо-
вателя, а SYSTEM.DAT – настройки компьютера.
Реестры Windows 9x, NT, 2000 несовместимы друг с
другом, однако идея построения реестров едина.
Ветви реестра
Реестр состоит из разделов верхнего уровня, называемых
кустами (hives):
! HKEY_CLASSES_ROOT (HKCR);
! HKEY_CURRENT_USER (HKCU);
! HKEY_LOCAL_MACHINE (HKLM);
! HKEY_USER (HKU);
! HKEY_CURRENT_CONFIG (HKCC).
Структура реестра такова: в каждом из кустов находят-
ся ключи, в которых содержатся параметры, имеющие зна-
чения.
В разделе HKLM находится информация об аппаратном
и программном обеспечении, а также сведения о системе
безопасности. Этот раздел является одним из самых боль-
ших. Раздел HKCR является виртуальной ссылкой на раз-
дел HKLM\Software\Classes. В нем содержатся сведения обо
всех расширениях файлов, определениях типов, ярлыках,
привязке, классах идентификаторов и т. д.
Раздел HKU включает в себя настройки пользователя
по умолчанию, в которые входят описания переменных сре-
ды, цветовых схем, шрифтов, сетевых настроек и т. д. Во
время регистрации нового пользователя на рабочей стан-
ции, на жестком диске для него создается новый профиль.
Настройки, содержащиеся в профиле, копируются из кус-
та HKU.

Изменения в HKU и HKLM можно сделать только с по-
мощью утилиты REGEDT32.EXE в том случае, если у вас
ОС Windows 2000, и REGEDIT.EXE – если Windows XP.
Пользователь, от имени которого запускаются эти утили-
ты, должен обладать правами системного администрато-
ра.
Раздел HKCU содержит сведения о текущем пользова-
теле и имеет название, соответствующее значению иден-
тификатора безопасности (SID) данного пользователя. Каж-
дый раз при перезагрузке компьютера HKCU создается
заново.
Раздел HKCC является ссылкой на текущий профиль
оборудования, хранящийся в HKLM. С помощью профиля
оборудования определяют список устройств, драйвера ко-
торых будут подгружены в данном сеансе работы пользо-
вателя. Профили изначально предназначены для перенос-
ных компьютеров.
Раздел HKDD (HKEY_DYN_DATA) не хранится в реест-
ре, а динамически создается при загрузке операционной
системы. В нем содержатся сведения о самонастраиваю-
щихся устройствах (Plag-and-Play).
Как и любая база данных, реестр поддерживает несколь-
ко типов данных:
Òàáëèöà 1
Windows 9x поддерживает следующие типы параметров:
REG_BINARY и REG_DWORD, REG_SZ и REG_NONE.
Групповые политики, описанные в ADM-файлах, могут
производить операции только со следующими типами дан-
ных : REG_SZ, REG_EXPAND_SZ, REG_DWORD.
Сценарий регистрации
пользователей в сети
Основной задачей сценария регистрации пользователей в
сети, далее скрипта, является автоматизация процессов,
связанных с подключением рабочих станций к сети, умень-
2
KIXtart (http://kixtart.org) – интерпретируемый язык программирования, разработанный в 1991 году для создания сце-
нариев загрузки. Простота, скорость и отсутствие конкурентов быстро сделали его популярным среди администрато-
ров. KIXtart является бесплатным и поставляется вместе с Microsoft Resoure Kit. В настоящее время используется
KIXtart ver 4.2х, который поддерживается Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000,
Microsoft Windows NT 3.x/4.x, всеми версиями Microsoft Windows 95, Microsoft® Windows 98, Microsoft Windows Millennium.
№8(21), август 2004
образование
шения затрат на администрирование и конфигурирование
рабочих станций.
Перечислим некоторые задачи, которые могут быть ре-
шены с помощью сценария загрузки:
! Инвентаризация. Включает в себя сбор информации о
регистрирующемся в сети пользователе, рабочей стан-
ции и формировании файла отчета.
! Автоматическое подключение сетевых ресурсов: прин-
теров и дисков.
! Автоматическое конфигурирование рабочих станций.
! Обеспечение интерактивности работы скрипта. В ходе
выполнения скрипта на экране отображается соответ-
ствующая информация.
После его выполнения пользователь может ознакомить-
ся с подключенными ему ресурсами, информацией о его
рабочей станции и т. д.
Существует несколько языков, предназначенных для со-
здания сценариев загрузки. Среди них стандартными явля-
ются сценарии на базе командной строки (файлы с расши-
рением BAT, PIF), Windows Script Host (WSH), Microsoft Java
Script (JScript), Microsoft Visual Basic Script Edition (VBScript).
Существуют также языки, специально разработанные
для создания скриптов, такие как KIXtart, AutoIT, CLRScript,
WinBatch.
Из всех этих языков рекомендуется остановить свой
выбор на языке KIXtart2, поскольку, обладая огромными
возможностями, он распространяется бесплатно. KIXtart
4.21 поддерживает 48 команд, 56 макросов-функций, бо-
лее 100 функций и обладает следующим функционалом:
! вывод информации в виде диалоговых сообщений;
! подключение сетевых ресурсов;
! чтение информации из входного потока;
! расширенная поддержка редактирования реестра;
! поддержка INI-файлов;
! расширенная поддержка операций со строками и мас-
сивами;
! сбор информации о пользователе и рабочей станции;
! поддержка OLE-объектов;
! операции с файлами и каталогами;
! создание ярлыков Windows.
Необходимо отметить, что сценарии, созданные на
VBScript, Jscript, могут быть легко переписаны на KIXtart.
Рассмотрим подробнее каждую из задач, решаемую
скриптом.
Инвентаризация
Решение задачи инвентаризации состоит из нескольких
частей – сбора, записи на носитель в определенном фор-
мате и обработки информации.
Так или иначе, информация черпается либо из BIOS с
помощью программы, либо, что происходит чаще всего, из
85
 образование
реестра с помощью стандартных средств ОС Window. Ре-
шение задачи инвентаризации c помощью WMI было опи-
сано в [1].
Подключение сетевых ресурсов
Сетевыми ресурсами являются сетевые диски и принтеры.
Подключение сетевых принтеров
Вопрос установки, настройки и автоматического подклю-
чения сетевых принтеров был подробно освещен в статьях
[2], [3].
Подключение сетевых дисков
Сценарий загрузки осуществляет подключение сетевых
дисков пользователям в зависимости от их членства в груп-
пах аналогично подключению сетевых принтеров. Главная
особенность данного сценария заключается в том, что в нем
реализован механизм подключения различных ресурсов на
одну и ту же букву. Необходимо строго следить, чтобы член-
ства пользователей в группах не пересекались. Если это
произойдет, что часть необходимых ресурсов не будет под-
ключена.
Рассмотрим содержимое конфигурационного файла,
который представляет собой текстовый файл с произволь-
ным расширением, например INI.
В файле в квадратных скобках перечислены названия
разделов, которые включают в себя букву, на которую бу-
дут монтироваться ресурс и его порядковый номер, присва-
ивающийся для обеспечения возможности подключать на
одну и ту же букву разные ресурсы. Каждый раздел содер-
жит пять параметров: название сервера (SERVER), путь к
сетевой папке (SHARE), группы безопасности, членам ко-
торых будет подключаться ресурс (ACCESSGROUP1 и
ACCESSGROUP2), описание ресурса (DESCRIPTION). При-
мер файла приведен ниже:
Ïðèìåð 1
[L1]
SERVER=Main
SHARE=Consultant
ACCESSGROUP1=everyone
ACCESSGROUP2=Âñå
DESCRIPTION="Êîíñóëüòàíò+"
[W1]
SERVER=Second
SHARE=work\department1
ACCESSGROUP1=department1
ACCESSGROUP2=department3
DESCRIPTION="Ðåñóðñû îòäåëà 1"
[W2]
SERVER=Second
SHARE=work\department2
ACCESSGROUP1=department2
ACCESSGROUP2=
DESCRIPTION="Ðåñóðñû îòäåëà 2"
Таким образом, на основе данных, прочитанных сцена-
рием из примера, всем пользователям будет подключен
«Консультант+» на букву «L», находящийся по пути \\main\
consultant. Пользователям, являющимся членами групп
departament1, departament2, departament3, будет подключен
86
диск W. Для членов групп departament1, departament3 под-
ключается ресурс по адресу: \\second\work\ departament1,
для departament2 – \\second\work\departament2.
Сценарий, обеспечивающий автоматическое управле-
ние подключением сетевых дисков работает по следующей
схеме:
! Чистка локального кэша на рабочей станции, содержащего
список групп, в которые входит пользователь. Удаление
ветви реестра HKEY_CURRENT_USER\Software\KiXtart.
! Чтение параметрического файла. Данные рекомендует-
ся помещать в соответствующие массивы. Схема чте-
ния конфигурационного файла приведена на рис. 1.
! Отключение всех доступных сетевых дисков.
! Подключение сетевых дисков, на которые данный поль-
зователь имеет права.
! Вывод на экран статистики о подключенных сетевых дис-
ках.
Ðèñóíîê 1
Автоматическое конфигурирование
рабочей станции
Поскольку скрипт выполняется от имени пользователя, ко-
торый не обладает правами системного администратора,
то изменения могут быть внесены только в ветвь HKCU. В
этом разделе хранятся сведения о текущем зарегистриро-
ванном пользователе, и он имеет название, соответствую-
щее значению идентификатора безопасности (SID) текуще-
го пользователя. Каждый раз при перезагрузке компьюте-
ра раздел создается заново на основе данных, считанных
из HKU. Автоматическое конфигурирование ветви HKU вы-
полняется с помощью групповых политик и будет рассмот-
ренно позже. Изменения в ветви HKCU осуществляется с
помощью скрипта.
Ветвь HKCU не является точной копией HKU. Приведем
наглядный пример. После запуска Windows 2k пользова-
тель видит сообщение, в котором предлагается одновре-
менно нажать CTRL+ALT+DEL. Нажав эту комбинацию кла-
виш, ему предлагается ввести имя учетной записи, пароль.
Информация о языковых настройках в этом диалоговом
окне, а именно язык по умолчанию и комбинация клавиш, с
помощью которой осуществляется переключение между
раскладками клавиатуры, хранится в ветви HKEY_USERS\
.DEFAULT\Keyboard Layout.

Ïðèìåð 2. Ïî óìîë÷àíèþ óñòàíîâëåí àíãëèéñêèé ÿçûê, ïåðå-
êëþ÷åíèå ìåæäó ðàñêëàäêàìè êëàâèàòóð îñóùåñòâëÿåòñÿ íàæà-
òèåì CTRL+SHIFT.
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"1"="00000409"
"2"="00000419"
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="2"
Однако аналогичная ветвь в ветви HKСU (см. пример 3)
отвечает за управление языковыми настройками рабочего
стола пользователя. В данном случае нет никакой взаимо-
связи между настройками ветвей HKU и HKCU.
Ïðèìåð 3. Ïî óìîë÷àíèþ óñòàíîâëåí àíãëèéñêèé ÿçûê, ïåðå-
êëþ÷åíèå ìåæäó ðàñêëàäêàìè êëàâèàòóð îñóùåñòâëÿåòñÿ íàæà-
òèåì CTRL+SHIFT.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Keyboard Layout\Preload]
"1"="00000409"
"2"="00000419"
[HKEY_CURRENT_USER\Keyboard Layout\Toggle]
"Hotkey"="2"
В качестве примера приведем таблицу, в которой опи-
саны некоторые ключи и соответствующие им парамет-
ры, которые можно изменять на всех рабочих станциях
домена каждый раз во время регистрации пользователей
в сети с помощью скрипта. Приведенный список краток.
«В специализированной литературе» и в Интернете чита-
тель сможет найти множество советов по настройке реес-
тра.
Òàáëèöà 2
Обеспечение интерактивности работы скрипта
Сценарии на языке KIXTart можно визуализировать по край-
ней мере тремя способами:
! с помощью стандартных диалоговых окон;
! с помощью сторонней надстройки KIXTart в виде DLL-
библиотеки;
! c помощью сторонней утилиты, передающей парамет-
ры из KIXTart в HTML-файл.
Рассмотрим все три способа.
Визуализация работы скрипта с помощью
стандартных диалоговых окон
Пользователю выводится информация на экран в виде со-
общения. Этот метод рекомендуется использовать в нача-
ле сценария, чтобы уведомить пользователя о начале ра-
№8(21), август 2004
образование
боты скрипта. Основным недостатком этого метода визуа-
лизации является полное отсутствие интерактивности ра-
боты сценария.
Визуализация скрипта с помощью сторонней
надстройки KIXTart в виде DLL-библиотеки
Визуализация и интерактивность работы скрипта реали-
зуются с помощью специально созданной для этих целей
надстройкой – KIXForms 3.2 или KIXGui 1.1.Обе програм-
мы можно загрузить с сайта http://www.kixtart.org. У этих
программ есть только один недостаток: для корректной
работы визуализационной части необходимо на рабочей
станции зарегистрировать соответствующую DLL-библио-
теку. Для регистрации этой библиотеки необходимо об-
ладать правами администратора. Конечно, можно создать
MSI-архив, который будет централизованно распростра-
няться по сети с помощью групповых политик, но это не-
удобно. Визуализировать работу сценария, таким обра-
зом, выгодно только в небольших сетях с маленьким ко-
личеством рабочих станций.
Визуализация работы скрипта c помощью
сторонней утилиты, передающей параметры
из KIXTart в HTML-файл
Этот способ мне кажется наиболее оптимальным для реа-
лизации визуализации и интерактивности работы скрипта
в крупных сетях, поскольку утилита самодостаточна и пред-
ставляет собой файл с расширением EXE, который реко-
мендуется располагать в каталоге Netlogon, вместе со
скриптом. В качестве такой утилиты лучше использовать
KixWin 1.1 (http://www.kixtart.org). И вызывать ее из скрипта
с набором параметров.
Затем она передает эти параметры в DHTML-файл. По-
скольку файл пишет данные в файл, прежде чем что-либо
отобразить на экране, то необходимо обеспечить правами
возможность записи данных на диск сервера.
Раздробление скрипта на две части является основным
недостатком данного варианта. DHTML-файл вместе с со-
путствующими ему файлами (GIF, JPEG, CSS) рекоменду-
ется располагать в скрытой сетевой папке. DHTML-файл
содержит в себе сценарии, созданные с помощью VBScript
или JScript.
Приведем синтаксис утилиты и фрагмент DHTML-файла:
kixwin "dialog" ["arguments"] ["options"]
Описание параметров:
! “dialog” – строка, содержащая URL, указывающий на
HTML-документ.
! “arguments” – строка, содержащая параметры, переда-
ваемые из KIX в HTML. Для разделения параметров в
HTML-файле используют строку window.dialogArguments.
split(«;»). В данном примере разделителем параметров
является «;».
! “style” – строка, которая определяет оформление диа-
логового окна. Используются один или несколько из сле-
дующих параметров стиля:
dialogHeight:sHeight
87
 образование
dialogLeft:sXPos Ïðèìåð 6
dialogTop:sYPos
dialogWidth:sWidth @ECHO OFF
center:{ yes | no | 1 | 0 | on | off }
dialogHide:{ yes | no | 1 | 0 | on | off } if c:\%os%==c:\ goto win9x
edge:{ sunken | raised } if not c:\%os%==c:\ goto winnt
help:{ yes | no | 1 | 0 | on | off }
resizable:{ yes | no | 1 | 0 | on | off } :winnt
scroll:{ yes | no | 1 | 0 | on | off } start /wait Kix32.exe Script.kix
status:{ yes | no | 1 | 0 | on | off } goto kix
unadorned:{ yes | no | 1 | 0 | on | off }
:win9x
Логическое разделение передаваемых параметров осу- copy %0\..\win9x\*.dll c:\windows\system /y
ществляется с помощью заранее оговоренного символа. %0\..\Kix32.exe %0\..\Script.kix
goto kix
DHTML возвращает в KIX код ошибки после обработки кода
в виде целого числа макросу @ERROR в случае успешно- :kix
@echo End Of Batch File
го завершения операции @ERROR=0.
Передача данных с помощью утилиты KIXWIN осуще-
ствляется с помощью сценария загрузки следующим обра-
зом:

Ïðèìåð 4

shell '%0/../kixwin.exe $html "$system_info ^ $hardware_info ↵

^ Óñòàíîâëåííûå ïðîãðàììû: $en $prog ↵
^ Ïîäêëþ÷åííûå ñåòåâûå äèñêè:$en $n1 ↵
^ Ïîäêëþ÷åííûå ñåòåâûå ïðèíòåðû:$en ↵
$n2" "scroll:off;resizable:on"'

Как отмечалось ранее, параметры передаются DHTML-

странице, содержащей вставки на VBScript. Наличие вста-
вок позволяет сделать DHTML-страницу интерактивной
для пользователя. Чтение параметров, передаваемых из
сценария загрузки, осуществляется по следующей схе-
ме:

Ïðèìåð 5

…
<Script Language="JavaScript">
var argv;
argv = window.dialogArguments.split("^");
document.all.parametr0 = argv[0];
</Script>
…
Ðèñóíîê 2
Пояснения к синтаксису файла START.BAT:
Внедрение скрипта в эксплуатацию ! Принцип определения операционной системы основан
Скрипт выполняется каждый раз при регистрации пользо- на том, что в Win9x отсутствует переменная окружения
вателя в сети, если он указан в разделе Profile свойствах %os%; В Windows 2k переменная %os%=WindowsNT.
пользователя (см. рис. 2) службы Active Directory: Users and ! С помощью строки «start /wait Kix32.exe Script.kix» добива-
Computers. ются последовательной загрузки – сначала скрипт, затем
Для автоматизации установки KIXtart на рабочих стан- рабочий стол и т. д., а не одновременной. То есть на вре-
циях домена предлагается следующее: в папку Netlogon мя выполнения скрипта многозадачность «отключается».
поместить файлы: ! Это делается для того, чтобы до окончания действия
! KIX32.EXE; скрипта дальнейшая загрузка операционной системы не
! SCRIPT.KIX; производилась.
! START.BAT ! Для корректной работы Win9x в качестве пути к файлу
! KIXWIN.EXE необходимо указывать «%0\..\filename.ext». Windows XP
! подкаталог Win9x, содержит файлы KX16.DLL и KX32.DLL не воспринимает относительного пути «%0/./», поэтому
для Windows семейства 2k необходимо указать только
В скрытую сетевую папку скопировать DHTML- файл и имя файла, который находится в папке Netlogon.
все сопутствующие ему файлы.
В ходе выполнения файла START.BAT определяется тип На время выполнения скрипта необходимо скрыть CMD-
операционной системы, установленной на рабочей станции, панель, в которой выполняется cкрипт, и приостановить заг-
и запускается скрипт. В зависимости от версии ОС проис- рузку рабочего стола до окончания всего скрипта. Этого
ходит копирование файлов, необходимых для поддержки результата добиваются с помощью групповой политики,
KIX этой операционной системой. распространяющейся на домен («Default Domain Controllers

88

Policy»). В разделе групповой политики «User Configuration»
необходимо соответственно включить «Run legacy logon
script synhronously» (Запускать сценарий загрузки синхрон-
но) и «Run legasy script hidden» (Запускать сценарий скры-
то). Для этого необходимо проделать следующее:
! Зарегистрироваться на сервере с помощью учетной за-
писи, имеющей административные права.
! Загрузить в Active Directory Users and Computers (Start –
Programs – Administrative Tools) и войти в свойства кон-
троллера домена (см. рис. 3). Перейти во вкладку вклад-
ку «Group Policy» и зарузить «Default Dоmain Policy» (см.
рис. 4).
Ðèñóíîê 3
Ðèñóíîê 4
! В загруженной групповой политике (Default Domain
Policy) необходимо в «User Configuration» (настройках
пользователя) войти в «Administrative Templates» (адми-
нистративные шаблоны).
! Там выбрать раздел «System» (система), вкладку «logon/
logoff» (вход/выход) и включить раннее оговоренные
политики (см. рис. 5).
№8(21), август 2004
образование
Ðèñóíîê 5
Групповые политики
Групповые политики (Group Policy, GP) представляют со-
бой средство, обеспечивающее централизованное управ-
ление настройками рабочих станций, профилями пользо-
вателей. С их помощью определяют поведение операцион-
ной системы, рабочего стола, безопасности ОС, выключе-
ния компьютера, приложений и т. д.
Реализации всех возможностей групповых политик до-
биваются их совместным использованием с Active Directory
(AD) при условии, что в качестве рабочих станций исполь-
зуется ОС Windows 2000. Политики могут быть применены
к следующим объектам AD: сайт (site), домен (domain), под-
разделение (Organization Unit, OU). Дополнительно группо-
вые политики могут быть применены к таким объектам, как
группа безопасности, соответственно к пользователям, вхо-
дящим в эту группу.
Групповые политики включают в себя следующие ком-
поненты:
Òàáëèöà 3
С помощью политик, как говорилось ранее, можно кор-
ректировать только ветви реестра HKLM и HKU. В консо-
ли групповых политик (см. рис. 5), вызываемой с помо-
щью команды GPEDIT.MSC, все политики логически де-
лятся на две час ти: Computer Configuration и User
Configuration. В разделе Computer Configuration сосредо-
точены политики, посредством которых изменяется ветвь
реестра HKLM, в разделе User Configuration соответствен-
но HKU. Информация о параметрах и конфигурации груп-
повых политик сосредоточена в HKLM\Software\Policies
(предпочтительное расположение) или HKLM\Software\
Microsoft\Windows\CurrentVersion\Policies для раздела
Computer Configration; в HKU\Software\Policies (предпочти-
тельное расположение) или HKU\Software\Microsoft\
Windows\CurrentVersion\Policies для раздела User
Configration.
89
 образование
Административные шаблоны. Синтаксис пользовательская (User Configuration). В одном файле до-
Административные шаблоны представляют собой тексто- пускается многократное использование ключевого слова
вые файлы с расширением ADM. По умолчанию ADM-фай- CLASS. Приведем пример синтаксиса элемента CLASS:
лы находятся в каталоге %WinDir%\INF. Кратко рассмотрим
возможности языка, с помощью которого создаются поли- CLASS Name
тики безопасности.
Синтаксис языка включает в себя следующие ключе- где Name может иметь одно из двух значений: USER или
вые компоненты: MACHINE. Значение USER определяет, что политика
! Комментарии пользовательская. Изменения будут вноситься в реестр в
! Строки ветви HKU, настройку политики следует осуществлять в
! CLASS разделе «User Configuration\Administrative Templates\»; Зна-
! CATEGORY чение MACHINE соответственно определяет, что политика
! POLICY компьютерная. Изменения будут вноситься в реестр в вет-
ви HKLM, настройку политики следует осуществлять в раз-
Комментарии деле «Computer Configuration\Administrative Templates\».
Комментарии полезно использовать для документирования
содержимого создаваемого шаблона. Комментарии предва- CATEGORY
ряют точкой с запятой (;) или двумя прямыми слэшами (//). После определения класса политики необходимо опреде-
Комментарии также можно помещать в конце строки. При- лить местоположение в подпапке «Administrative Templates».
ведем пример комментария: Все, что делает ключевое слово CATEGORY, – это создает
подпапку. В категории может быть ноль и более политик.
Ïðèìåð 7 Те из них, которые не содержат политик, содержат, как пра-
; Ýòî êîììåíòàðèé вило, одну или несколько подкатегорий. После определе-
// È ýòî êîììåíòàðèé ния категории ее необходимо закрыть с помощью END
CLASS USER // Îïðåäåëåíèå êëàññà USER, îòâå÷àþùåãî CATEGORY.
// çà ïîëüçîâàòåëüñêèå íàñòðîéêè Приведем пример синтаксиса элемента CATEGORY:
CLASS MACHINE // Îïðåäåëåíèå êëàññà MACHINE, îòâå÷àþùåãî
// çà îáùåêîìïüþòåðíûå íàñòðîéêè
CATEGORY Name
KEYMAME SubKey
………………………..
Строки END CATEGORY
Все возможные словесные описания – описание политики,
названия разделов, параметров и т. д. рекомендуется рас- где:
полагать в специально предназначенном разделе [strings]. ! Name – это имя папки, которое будет отображаться в
В тексте политики перед переменной, ссылающейся на редакторе Group Policy. Используйте строковую пере-
текст в разделе [strings], ставят два восклицательных зна- мену или строку, заключенную в кавычках.
ка (!!). Каждая строка в разделе [strings] имеет формат ! SubKey – является необязательным параметром. Инфор-
name=«строка». Приведем два равнозначных примера. В мация о параметрах и конфигурации групповых поли-
первом примере не будем использовать преимущества строк. тик сосредоточена в HKLM\Software\Policies (предпочти-
тельное расположение) или HKLM\Software\Microsoft\
Ïðèìåð 8à) Windows\CurrentVersion\Policies для раздела Computer
CLASS Machine Configration; в HKU\Software\Policies (предпочтительное
POLICY "Ïðèìåð ïîëèòèêè" расположение) или HKU\Software\Microsoft\Windows\
………………
END POLICY CurrentVersion\Policies для раздела User Configration. Не
используйте в пути корневой ключ (HKLM, HKU), по-
Ïðèìåð 8á)
скольку он уже описан ключевым словом CLASS. Если
CLASS Machine путь содержит пробелы, заключайте его в кавычки.
POLICY !!Pname
………………
END POLICY Ïðèìåð 9
[Strings]
Pname="Ïðèìåð ïîëèòèêè" CLASS USER
CATEGORY "POLICIES"
CATEGORY !!SubPol1
Использование строк позволяет создавать шаблоны KEYNAME "Software\Policies\SubPol1"
групповых политик, что снижает трудозатраты и ускоряет …………………………
END CATEGORY
процесс создание политик.
CATEGORY !!SubPol2
KEYNAME "Software\Policies\SubPol1"
CLASS …………………………
Первым элементом в файле, содержащем шаблон группо- END CATEGORY
END CATEGORY
вой политики, является ключевое слово CLASS, которое
определяет, к какому типу относится описываемая ниже [strings]
SubPol1="Policy1"
политика: компьютерная (Computer Configuration) или SubPol2="Policy2"

90

Ðèñóíîê 6
В разделе CATEGORY могут быть использованы следу-
ющие ключевые слова:
! CATEGORY
! END
! KEYNAME
! POLICY
POLICY
Используйте ключевое слово POLICY, чтобы определить
политику. В одной категории может быть включено несколь-
ко разделов POLICY, каждый из которых должен заканчи-
ваться инструкцией END POLICY. Приведем пример син-
таксиса элемента POLICY:
POLICY Name
[KEYNAME SubKey]
EXPLAIN Help
VALUENAME Value
[PARTS]
……………….
END POLICY
где:
! Name – это название политики, отображаемое в редак-
торе Group Policy. Используйте строковую переменную
или строку, заключенную в кавычках.
! SubKey является необязательным параметром. Инфор-
мация о параметрах и конфигурации групповых поли-
тик сосредоточена в HKLM\Software\Policies (предпочти-
тельное расположение) или HKLM\Software\Microsoft\
Windows\CurrentVersion\Policies для раздела Computer
Configration; в HKU\Software\Policies (предпочтительное
расположение) или HKU\Software\Microsoft\Windows\
Current Version\Policies для раздела User Configration. Не
используйте в пути корневой ключ (HKLM, HKU), по-
скольку он уже описан ключевым словом CLASS. Если
путь содержит пробелы, заключайте его в кавычки. Ко
всем политикам применяется последнее ключевое сло-
во KEYNAME.
! Help – эта строка, содержимое которой редактор Group
Policy отображает в разделе EXTENDED политики. Для
перевода каретки используйте «\n».
! Value – каждая политика содержит ключевое слово
VALUENAME, которое связывает с ней значение реест-
ра. По умолчанию редактор политик предполагает, что
это значение переменной типа REG_DWORD равно 1
(0х01), когда политика включена. Редактор политики
удаляет значение, если политика выключена. В том слу-
чае, если необходимо его сохранить в реестре после
№8(21), август 2004
образование
удаления политики, то необходимо использовать клю-
чевые слова VALUEON и VALUEOFF, которые следуют
непосредственно за словом VALUENAME:
VALUEON [NUMERIC] VValue
VALUEOFF [NUMERIC] VValue
По умолчанию тип данных значение VValue REG_SZ.
Если после ключевого слово указано NUMERIC, то тип
данных значение VValue – REG_DWORD.
Программирование интерфейса
политик безопасности
Программирование интерфейса групповых политик сводит-
ся к созданию раскрывающихся списков, флажков, тексто-
вых полей и т. д. Рассмотрим по порядку процедуры созда-
ния всех элементов интерфейса.
1) В первом варианте, самом простом, нет никаких уп-
равляющих элементов, кроме опции «Вкл/Выкл политику».
В файле политики записан ключ реестра и значение, име-
ющее тип REG_SZ или REG_DWORD, которое может ме-
няться в зависимости от того, включена ли политика.
Приведем пример, в котором при включенной политике
устанавливает переключение раскладки клавиатуры в диа-
логовом окне регистрации пользователя в сети CTRL+SHIFT,
иначе – ALT+SHIFT.
За переключение раскладки языка отвечает параметр
«Hotkey», размещающийся в разделе «HKEY_USER\Keyboard
Layout\Toggle» и принимающий значение 2 (CTRL+SHIFT) или
1 (ALT+SHIFT). Параметр «Hotkey» имеет тип данных
REG_SZ.
Приступим к созданию политики. Поскольку необходи-
мо редактировать ветвь реестра HKU, то политика являет-
ся пользовательской и будет создана в разделе «User
Configuration\Administrative Templates\». Исходя из этого, по-
литика принадлежит к классу USER.
Параметр KEYNAME раздела CATEGORY, исходя из по-
ставленной задачи, принимает значение «Keyboard Layout\
Toggle». В разделе POLICY параметр VALUENAME – «Hotkey».
VALUEON – 2, а VALUEOFF – 1. Таким образом, политика
выглядит следующим образом:
Ïðèìåð 10
CLASS USER
CATEGORY "Admin Policies"
CATEGORY "Keyboard Toggle "
KEYNAME ".Default\Keyboard Layout\Toggle"
POLICY "Toggle Policy"
EXPLAIN !!help
VALUENAME "Hotkey"
VALUEON 2
VALUEOFF 1
END POLICY
END CATEGORY
END CATEGORY
[strings]
help="Óïðàâëåíèå ïåðåêëþ÷åíèåì ðàñêëàäêè êëàâèàòóðû ïðè
ðåãèñòðàöèè ïîëüçîâàòåëÿ â ñåòè \n\n Ïðè âêëþ÷åííîé ïîëè-
òèêå ïåðåêëþ÷åíèå ðàñêëàäêè êëàâèàòóðû îñóùåñòâëÿåòñÿ ñ
ïîìîùüþ êîìáèíàöèè êëàâèø CTRL+SHIFT, ïðè âûêëþ÷åííîé –
ALT+SHIFT."
2) Все остальные элементы интерфейса – флажки, вы-
падающие меню и т. д. можно реализовать только в разде-
ле PART, являющемся членом раздела POLICY. Рассмот-
рим подробнее синтаксис раздела PART:
91
 образование
PART Name Type
Keywords
[KEYNAME Subkey]
[DEFAULT Default]
VALUENAME Name
END PART
где:
! Name – указывается название раздела, которое будет
отображено в консоли во время редактирования поли-
тики.
! Type – может быть одним из следующих типов:
Òàáëèöà 4
! Keywords – эта информация специфична для каждого
из типов. Дополнительная информация приведена ниже.
! Subkey – это необязательный подключ HKLM или HKU.
Не используйте в пути корневой ключ (HKLM, HKU), по-
скольку он уже описан ключевым словом CLASS. Если
путь содержит пробелы, заключайте его в кавычки.
! Defaults – это значение параметра по умолчанию. Когда
администратор включает политику, то осуществляется
считывание параметров по умолчанию.
! Value – модифицируемое значение реестра. Тип и дан-
ные значения полностью зависят от типа параметра.
CHECKBOX
Ключевое слово CHECKBOX отображает флажок. По умол-
чанию флажок сброшен. Если требуется, чтобы изначаль-
но флажок был установлен, необходимо в теле раздела
PART указать ключевое слово DEFCHECKED. При установ-
ленном флажке в реестр записывается значение 1, если
сброшен – 0.
В реестре по умолчанию представлен значением типа
REG_SZ. Если необходимо записать данные в реестр в
формате REG_DWORD, то необходимо после значений клю-
чевых слов VALUEON и VALUEOFF добавить NUMERIC.
Приведем синтаксис элемента CHECKBOX:
PART Name CHECKBOX
[DEFCHEKED]
VALUENAME Value
VALUEON [NUMERIC] Value1
VALUEOFF [NUMERIC] Value2
END PART
где:
92
! Name – указывается название раздела, которое будет
отображено в консоли во время редактирования поли-
тики. Если в названии раздела встречаются пробелы,
заключите его в кавычки.
! Value – название параметра, которое необходимо из-
менить.
! Value1 – значение, задаваемое при установленном
флажке и включенной политике.
! Value2 – значение, задаваемое при снятом флажке и
включенной политике.
COMBOBOX
Ключевое слово COMBOBOX добавляет в диалоговое окно
политики список с текстовым полем. Внутри COMBOBOX вклю-
чен обязательный блок SUGGESTIONS, заканчивающийся ин-
струкцией SUGGESTIONS. Внутри этого блока перечислены
элементы. Элементы разделяются пробелами, элементы, име-
ющие пробелы, помещаются в кавычки (см. синтаксис).
PART Name COMBOBOX
SUGGESTIONS
“Suggestion1” “Suggestion2” … “Suggestionm”
END SUGGESTIONS
[DEFAULT Default]
[EXPANDABLETEXT]
[MAXLENGHT] Max
[NOSORT]
[REQUIRED]
VALUENAME Value
END PART
где:
! DEFAULT – указывает значение списка по умолчанию.
! EXPANDABLETEXT – создает значение типа REG_
EXPAND_SZ.
! MAXLENGHT – указывает максимальную длину строки.
! NOSORT – отключает сортировку списка редактором по-
литик.
! REQUIRED – указывает обязательное значение.
! Name – указывается название раздела, которое будет ото-
бражено в консоли во время редактирования политики.
! Suggestions – список элементов, помещающихся в рас-
крывающийся список. Все элементы, содержащие про-
белы, помещаются в кавычки. Элементы списка разде-
ляются пробелами.
! Default – значение по умолчанию. Считывается при вклю-
чении политики.
! Max – максимальная длина данных значения.
! Value – модифицируемое значение реестра. По умолча-
нию имеет тип данных REG_SZ.
DROPDOWNLIST
Ключевое слово DROPDOWNLIST добавляет в диалоговое
окно политики раскрывающийся список. Внутри DROP
DOWNLIST включен обязательный блок ITEMLIST, закан-
чивающийся инструкцией END ITEMLIST. Внутри этого бло-
ка перечислены элементы раскрывающегося списка (см.
синтаксис).
Приведем синтаксис элемента DROPDOWNLIST:
PART Name DROPDOWNLIST
ITEMLIST
NAME Item VALUE Data
END ITEMLIST

[DEFAULT Default]
[EXPANDABLETEXT]
[NOSORT]
[REQUIRED]
VALUENAME Value
END PART
где:
! DEFAULT – указывает значение раскрывающегося спис-
ка по умолчанию.
! EXPANDABLETEXT – создает значение типа REG_
EXPAND_SZ.
! NOSORT – отключает сортировку списка редактором
политик.
! REQUIRED – указывает обязательное значение.
! Name – указывается название раздела, которое будет ото-
бражено в консоли во время редактирования политики.
! Item – имя каждого из элементов раскрывающегося
списка.
! Data – значение, соответствующее отображаемому эле-
менту Item.
! Default – значение по умолчанию. Считывается при вклю-
чении политики.
! Value – модифицируемое значение реестра. По умолча-
нию имеет тип данных REG_SZ.
EDITTEXT
Ключевое слово EDITTEXT позволяет вводить в текстовом
поле информацию, состоящую из букв и цифр. По умолча-
нию редактор политик сохраняет этот текст в значении типа
REG_SZ. Приведем синтаксис элемента EDITTEXT:
PART Name EDITTEXT
[DEFAULT Default]
[EXPANDABLETEXT]
[MAXLENGHT] Max
[NOSORT]
[REQUIRED]
VALUENAME Value
END PART
где:
! DEFAULT – указывает значение списка по умолчанию.
! EXPANDABLETEXT – создает значение типа REG_
EXPAND_SZ.
! MAXLENGHT – указывает максимальную длину строки.
! REQUIRED – указывает обязательное значение.
! Name – указывается название раздела, которое будет ото-
бражено в консоле во время редактирования политики.
! Default – значение по умолчанию. Считывается при вклю-
чении политики.
! Max – максимальная длина данных значения.
! Value – модифицируемое значение реестра. По умолча-
нию имеет тип данных REG_SZ.
LISTBOX
Ключевое слово LISTBOX добавляет в диалоговое окно
политик список с кнопками Add и Remove. Это единствен-
ный тип, который может быть использован системным ад-
министратором для управления несколькими значениями,
содержащимися в одном ключе. В разделе LISTBOX невоз-
можно использовать опцию VALUENAME, поскольку он не
связан с каким-либо конкретным значением.
Приведем синтаксис элемента LISTBOX:
№8(21), август 2004
образование
PART Name LISTBOX
[EXPANDABLETEXT]
[NOSORT]
[ADDITIVE]
[EXPLICITVALUE| VALUEPREFIX Prefix]
END PART
где:
! EXPANDABLETEXT – создает значение типа REG_
EXPAND_SZ.
! NOSORT – отключает сортировку списка редактором по-
литик.
! ADDITIVE – считывает значения, уже хранящиеся в рее-
стре.
! EXPLICITVALUE – ключевое слово позволяет указать имя
и данные значения. Отображаемый список имеет два стол-
бца: один для имени, другой – для данных. Невозможно
использовать эту инструкцию совместно с VALUEPREFIX.
! VALUEPREFIX – указанный префикс определяет имена
значений. Если указывается префикс, то редактор груп-
повых политик добавляет к нему возрастающий номер.
В том случае, если префикс пустой, генерируются толь-
ко возрастающие номера.
! Name – указывается название раздела, которое будет ото-
бражено в консоли во время редактирования политики.
! Prefix – используется для генерации последовательнос-
ти имен. Если указан префикс, например Sample, то ге-
нерируются следующие имена значений: Sample1,
Sample2,..Samplen. Если префикс не указан, то генери-
руются только порядковые номера: 1,2,3,…n.
NUMERIC
Ключевое слово NUMERIC позволяет вводить буквенно-
цифровой текст, используя элемент управления «счетчик»,
который увеличивает или уменьшает число. По умолчанию
переменные имеют тип данных REG_DWORD, однако, ис-
пользуя инструкцию TXTCONVERT, данные могут быть со-
хранены в формате REG_SZ.
Приведем синтаксис элемента LISTBOX:
PART Name NUMERIC
[DEFAULT Default]
[MAX Max]
[MIN Min]
[REQUIRED]
[SPIN]
[TXTCONVERT]
VALUENAME Value
END PART
где:
! DEFAULT – указывает значение списка по умолчанию.
! REQUIRED – указывает обязательное значение.
! SPIN – указывается шаг арифметической прогрессии.
По умолчанию равен 1. Указанное значение 0 делает
счетчик невидимым.
! TXTCONVERT – по умолчанию значения имеют тип дан-
ных REG_DWORD. Используйте эту инструкцию, чтобы
сохранить данные в формате REG_SZ.
! Name – указывается название раздела, которое будет ото-
бражено в консоли во время редактирования политики.
! Default – значение по умолчанию. Считывается при вклю-
чении политики.
! Max – максимальное значение. По умолчанию равно 9999.
93
 образование
! Min – минимальное значение. По умолчанию равно 0. ! Загрузить консоль групповых политик, выполнив коман-
! Value – модифицируемое значение реестра. По умолча- ду GPEDIT.MSC.
нию имеет тип данных REG_DWORD. ! В любом из разделов («Computer Configuration\Administ-
rative Templates» или «User Configuration\ Administrative
TEXT Templates») вызвать контекстное меню, используя од-
Ключевое слово TEXT добавляет в диалоговое окно стати- нократное нажатие на правую кнопку мыши.
ческий текст. ! В появившемся меню выбрать «Add/Remove Templates…».
Приведем синтаксис элемента TEXT: ! В загрузившемся диалоговом окне нажать кнопку «Add».
В появившемся окне, указав путь к файлу с расшире-
PART Text TEXT нием ADM, нажать кнопку «Open».
END PART
! Нажать кнопку «Close». После нажатия на эту кнопку
где Text – статический текст, добавляемый в диалоговое программа проверит синтаксис файла. В том случае,
окно. Если текст имеет пробелы, то его следует заключать если будет допущена синтаксическая ошибка, интерпре-
в кавычки. татор укажет номер строки, в которой она присутству-
ет, и возможный вариант исправления.
Практика использования
административных шаблонов Удаление административного шаблона
Приведем два примера административных шаблонов. В кор- Для удаления политики, подгруженной с помощью ADM-фай-
поративной сети, как правило, существуют один или не- ла, необходимо выполнить действия в следующем порядке:
сколько файловых серверов, в которых хранятся дистрибу- ! Загрузить консоль групповых политик, выполнив коман-
тивы программного обеспечения, в том числе Microsoft ду GPEDIT.MSC.
Office. В том случае, если пользователю по какой-либо при- ! В любом из разделов («Computer Configuration\Administ-
чине необходимо перейти с одной рабочей станции на дру- rative Templates» или «User Configuration\ Administrative
гую, то при первой загрузке для него создается новый про- Templates») вызвать контекстное меню, используя одно-
филь. При первом запуске одного из компонентов MS Office, кратное нажатие на правую кнопку мыши.
программа обращается к дистрибутиву, который располо- ! В появившемся меню выбрать «Add/Remove Templates…».
жен на файловом сервере. При изменении местоположе- ! В загрузившемся диалоговом окне выбрать файл, в ко-
ния дистрибутива на сервере пользователю выдается со- тором описана политика, которую необходимо удалить.
общение о невозможности завершить процесс конфигура- Нажать кнопку «Remove», затем «Close».
ции программы и просьба обратиться к системному адми-
нистратору. Во избежание этой неприятной ситуации реко- Заключение
мендуется использовать групповую политику, которая меня- Используя в сценарии регистрации пользователей в сети
ет в реестре пути к дистрибутиву MS Office (см. рис. 7): вместе с административными шаблонами политик безопас-
ности, системный администратор автоматизирует большую
Ïðèìåð 11 часть рутинных операций. Эффективность его работы при
CLASS Machine грамотном использовании описанных инструментов значи-
CATEGORY "Office 200" тельно возрастает.
KEYNAME "Software\Policies"
POLICY "Office2000"
EXPLAIN !!help
PART "Parametr1" EDITTEXT
KEYNAME "SOFTWARE\Classes\Installer\Products\ ↵
914000001E872D116BF00006799C897E\SourceList"
VALUENAME LastUsedSource
MAXLEN 100
EXPANDABLETEXT
END PART
PART !!help1 TEXT
END PART
PART "Parametr2" EDITTEXT
KEYNAME "SOFTWARE\Classes\Installer\Products\ ↵
914000001E872D116BF00006799C897E\SourceList\Net"
VALUENAME 1
MAXLEN 100
EXPANDABLETEXT
END PART
PART !!help2 TEXT
END PART
END POLICY
END CATEGORY
[strings]
help1="Exapmle1: n;3;\\Server\software\Office2000\"
help2="Exapmle2: \\Server\software\Office2000\"
help="\n\nCorrecting path to Microsoft Office 2000"

Внедрение административных шаблонов

Для загрузки ADM-файла, содержащего политику, необхо-
димо выполнить следующие действия: Ðèñóíîê 7

94

Российская Федерация
! Подписной индекс: 81655
Каталог агентства «Роспечать»
! Подписной индекс: 87836
Объединенный каталог «Пресса России»
Адресный каталог «Подписка за рабочим столом»
Адресный каталог «Библиотечный каталог»
! Альтернативные подписные агентства:
Агентство «Интер-Почта» (095) 500-00-60, курьерская
доставка по Москве
Агентство «Вся Пресса» (095) 787-34-47
Агентство «Курьер-Прессервис»
! Подписка On-line
http://www.arzy.ru
http://www.gazety.ru
http://www.presscafe.ru
СНГ
В странах СНГ подписка принимается в почтовых отделе-
ниях по национальным каталогам или по списку номенкла-
туры АРЗИ:
! Казахстан – по каталогу «Российская Пресса» через
ОАО «Казпочта» и ЗАО «Евразия пресс»
! Беларусь – по каталогу изданий стран СНГ через РГО
«Белпочта» (220050, г.Минск, пр-т Ф.Скорины, 10)
подписка на II полугодие 2004
! Узбекистан – по каталогу «Davriy nashrlar» российские
издания через агентство по распространению печати
«Davriy nashrlar» (7000029, Ташкент, пл.Мустакиллик,
5/3, офис 33)
! Азербайджан – по объединенному каталогу российских
изданий через предприятие по распространению печа-
ти «Гасид» (370102, г. Баку, ул. Джавадхана, 21)
! Армения – по списку номенклатуры «АРЗИ» через ГЗАО
«Армпечать» (375005, г.Ереван, пл.Сасунци Давида, д.2)
и ЗАО «Контакт-Мамул» (375002, г. Ереван, ул.Сарья-
на, 22)
! Грузия – по списку номенклатуры «АРЗИ» через АО
«Сакпресса» ( 380019, г.Тбилиси, ул.Хошараульская, 29)
и АО «Мацне» (380060, г.Тбилиси, пр-т Гамсахурдия, 42)
! Молдавия – по каталогу через ГП «Пошта Молдавей»
(МД-2012, г.Кишинев, бул.Штефан чел Маре, 134)
по списку через ГУП «Почта Приднестровья» (МD-3300,
г.Тирасполь, ул.Ленина, 17)
по прайслисту через ООО Агентство «Editil Periodice»
(2012, г.Кишинев, бул. Штефан чел Маре, 134)
! Подписка для Украины:
Киевский главпочтамп
Подписное агентство «KSS»
Телефон/факс (044)464-0220

Подписные
индексы:

81655
по каталогу
агентства
«Роспечать»

87836
по каталогу
агентства
«Пресса
России»

№8(21), август 2004 95

СИСТЕМНЫЙ АДМИНИСТРАТОР
№8(21), Август, 2004 год
РЕДАКЦИЯ
Исполнительный директор
Владимир Положевец
Ответственный секретарь
Наталья Хвостова
sekretar@samag.ru
Технический редактор
Владимир Лукин
Редактор
Андрей Бешков
РЕКЛАМНАЯ СЛУЖБА
тел./факс: (095) 928-8253
Константин Меделян
reсlama@samag.ru
Верстка и оформление
imposer@samag.ru
maker_up@samag.ru
Дизайн обложки
Николай Петрочук
103045, г. Москва,
Ананьевский переулок, дом 4/2 стр. 1
тел./факс: (095) 928-8253
Е-mail: info@samag.ru
Internet: www.samag.ru
РУКОВОДИТЕЛЬ ПРОЕКТА
Петр Положевец
УЧРЕДИТЕЛИ
Владимир Положевец
Александр Михалев
ИЗДАТЕЛЬ
ЗАО «Издательский дом
«Учительская газета»
Отпечатано типографией
ГП «Московская Типография №13»
Тираж 7000 экз.
Журнал зарегистрирован
в Министерстве РФ по делам печати,
телерадиовещания и средств мас-
совых коммуникаций (свидетельство
ПИ № 77-12542 от 24 апреля 2002г.)
За содержание статьи ответствен-
ность несет автор. За содержание
рекламного обьявления ответствен-
ность несет рекламодатель. Все пра-
ва на опубликованные материалы за-
щищены. Редакция оставляет за со-
бой право изменять содержание сле-
дующих номеров.
96
ЧИТАЙТЕ
В СЛЕДУЮЩЕМ
НОМЕРЕ:
PHP 5 – пришествие
неизбежно
Итак свершилось. 13 июля 2004 года
вышла пятая версия самого популяр-
ного на сегодняшний день языка веб-
разработки – PHP. Его создатель, Рас-
мус Лендорф, подчёркивает, что из-
менения, привнесённые в язык, не ре-
волюционны, а скорее эволюционны,
но беглое знакомство с новыми воз-
можностями PHP заставляет усом-
ниться в словах мэтра. За недолгое
время своего существования PHP су-
мел из набора скриптов для придания
интерактивности домашней странич-
ки автора вырасти в мощное средство
разработки веб-приложений и теперь
– новый шаг вперед. Насколько этот
шаг важен и какие последствия пере-
хода на новую версию грозят програм-
мисту и системному администратору,
можно оценить, ознакомившись с ос-
новными нововведениями PHP 5 и
возможными проблемами, связанны-
ми с его использованием.
Роутер без диска
В работе подчас встречаются ситуа-
ции, когда осуществление тех или иных
мероприятий или действий традицион-
ным путем если не то, что совсем не-
возможно, а просто неудобно, а при-
вычные инструменты оказываются
практически бесполезны. Вот и у меня
возникла ситуация, когда для показа
возможностей необходимо было в ко-
роткие сроки собрать и настроить сеть.
А так как это была всего лишь презен-
тация и все задействованные компью-
теры использовались в реальной рабо-
те, то одним из требований было по-
меньше трогать настройки и ПО, для
того чтобы можно было быстро вернуть
все в рабочее состояние.
Если с клиентскими компьютерами
более-менее все решалось просто: где
доустановкой пары программ, где ис-
пользованием GNU/Linux LiveCD-дист-
рибутивов, то с роутером вышла замин-
ка. Имеющиеся у меня образцы либо не
удовлетворяли по возможностям, либо
требовали установки на жесткий диск,
либо серьезного изменения настроек
системы, что меня не совсем устраива-
ло. Поэтому пришлось искать инстру-
мент, который сможет помочь в такой
ситуации. И он, конечно же, нашелся.
Linux на страже Windows.
Обзор и установка
системы резервного
копирования BackupPC
Когда у меня возникло желание сде-
лать единое хранилище для ежеднев-
ных архивов информации с более чем
десятка серверов своей организации,
работающих под управлением не-
скольких различных ОС, свой выбор я
остановил на платформе Linux. До сих
пор каждый сервер с помощью уни-
кальных для него скриптов в назначен-
ное время сбрасывал по сети на сер-
вер резервного копирования или stand
by-сервер какие-то свои данные, на-
пример, пользовательские файлы с
сетевых дисков или дампы базы дан-
ных. Для этого использовались различ-
ные протоколы: ftp, SMB или штатные
средства СУБД. При этом приходилось
следить за уникальным для каждого
сервера log-файлом, и в случае каких-
либо изменений в стратегии резервно-
го копирования править скрипты на
каждой машине.
Чтобы как-то упростить админист-
рирование и сократить время, затра-
чиваемое на поддержку и мониторинг
всего этого «зоопарка», я начал искать
систему, которая бы поддерживала
копирование информации по сети, уда-
ленное администрирование, умела де-
лать инкрементальные бэкапы и не
требовала установки клиентского про-
граммного обеспечения. Кроме того,
было важно, чтобы система умела ра-
ботать по протоколу SMB, так как часть
серверов, в частности основной файл-
сервер работали под управлением ОС
Windows. Спустя непродолжительное
время, такая система была найдена.