№1(50) январь 2007

подписной индекс 20780

www.samag.ru

Как быстро и эффективно

№1(50) январь 2007

провести учет компьютерной
техники
Разбираемся в корпоративных
программах лицензирования
Microsoft
FreeBSD в домене Windows:
еще больше возможностей
Какова в действии система
резервирования AMANDA
ISA 2004: настраиваем
удаленный доступ к сети
Пользовательские
бюджеты в LDAP
Противодействуем
руткитам режима ядра
Чего ждать
от удаленной работы?
Так видит журнал читатель, который забыл оформить подписку:
№5(30) май 2005
подписной индекс 81655

СЬ
www.samag.ru

ЛИ
Почему MS SQL медленно работает?
ЛИ Ищем причины
ТЯ Е

Ж ПИ
Строим защищенную беспроводную сеть:
ЗА ДНИ

WPA-Enterprise, 802.1x EAP-TLS

НУ

РА КУ
Настраиваем UPS под Linux
ЛЫ ГО

ТИ РАС
Как восстановить
удаленные файлы под BSD
КУ ВО

Что важно знать об IP-телефонии

РО
танавливаем Symantec Antivirus 9.0
НИ НО

в корпоративной сети

СТ
Эффективно управляем
полями пользователей в AD

БЫ
Контролируем безопасность сети
с помощью OSSIM
КА

Интервью с Ларри Уоллом –

создателем языка Perl

И
ЬГ
ЬД О
РА СКА
ТЕ
К

ИС НН
ЕН
УС

БО
НА ТПУ

ИЛ ДА
ТП

НЧ ЖИ
ВО

РА Е О

КО ЕО
АВ СЛ
Л

Л
ХА

ЗА Н
ПО
УЕ

Так видит журнал читатель, оформивший подписку:

№5(30) май 2005
подписной индекс 81655
www.samag.ru

Почему MS SQL медленно работает?

Ищем причины
Строим защищенную беспроводную сеть:
WPA-Enterprise, 802.1x EAP-TLS
Настраиваем UPS под Linux
Как восстановить
удаленные файлы под BSD
Что важно знать об IP-телефонии
танавливаем Symantec Antivirus 9.0
в корпоративной сети
Эффективно управляем
полями пользователей в AD
Контролируем безопасность сети
с помощью OSSIM
Интервью с Ларри Уоллом –
создателем языка Perl

ПОДПИШИТЕСЬ И ЧИТАЙТЕ!
Роспечать – 20780, 81655
Пресса России – 87836
Интер-почта – тел. (095) 500-00-60

РЕПОРТАЖ
4 «Платформа 2007» – будущее, которое
нам обещает Microsoft
Итоги восьмой ежегодной конференции.
Алексей Барабанов
alekseybb@mail.ru
7 ТЕНДЕНЦИИ
АДМИНИСТРИРОВАНИЕ
8 Как купить ПО от Microsoft?
Часть 2. Разбираемся в корпоративных
программах лицензирования
Не надо думать, кто корпоративные лицензии на софт –
это удел суперкорпораций. Воспользоваться системой
лицензирования вполне может и ваша компания, если
в ней есть хотя бы три компьютера.
Дмитрий Бутянов
for.mail.only@gmail.com
14 Reporting Services: составляем отчеты
Ваш начальник требует отчета о трафике и итоги инвен-
таризации сети? Бухгалтерия умоляет помочь с отчетом
в Excel? А вы можете предоставить тольком аловразу-
мительный текстовый файл? Узнайте о современных
технологиях разработки отчетов. Павел Купцов
brosku@mail.ru
20 Как быстро и эффективно провести учет
компьютерной техники
Используем программный комплекс CheckCfg + Sklad.
Алексей Бережной
beralex2@mail.ru
26 Настраиваем удаленный доступ к сети
с помощью MS ISA 2004
Возможность доступа к необходимым бизнес-ресурсам
из любой точки мира – одно из условий успешной рабо-
ты компании. Но это не должно быть в ущерб безопас-
ности. Рассмотрим реализацию технологий удаленно-
го доступа с помощью Microsoft ISA 2004.
Андрей Бирюков
mex_inet@rambler.ru
32 Подробное руководство по настройке
тонких клиентов на основе дистрибутива
Thinstation и протокола NX. Часть 2
Особенности эксплуатации, дополнительные настрой-
ки NX и Thinstation. Евгений Бушков
protectorat@mail.ru
36 Размещаем пользовательские бюджеты
в LDAP. Часть 1
Тема имеет столько способов реализации, сколько ав-
торов. Но типичные ошибки повторяются от раза к ра-
зу. Попробуем построить среду для хранения пользова-
тельских бюджетов в LDAP оптимальным образом.
Алексей Барабанов
alekseybb@mail.ru
44 Какова в действии система
резервирования AMANDA
AMANDA считается одной из лучших среди бесплат-
ных систем резервного копирования. Но от ее исполь-
зования удерживает мнимая сложность в настройках
и то, что она работает только с ленточными накопите-
лями. Докажем всю необоснованность таких заблуж-
дений. Сергей Яремчук
grinder@ua.fm
№1, январь 2007
в номере
52 Устанавливаем и обновляем программное
обеспечение в системе FreeBSD
Полезные советы для начинающих.
Гаспар Чилингаров
nm@web.am
56 Unionfs в FreeBSD: разбираемся
в текущей реализации
Термин «файловая система» охватывает гораздо боль-
ше, чем способ организации данных на физическом но-
сителе. «Многослойность» подсистемы работы с фай-
лами не только повышает гибкость, но и предоставляет
множество интересных возможностей. Один из приме-
ров такого «промежуточного уровня» – unionfs.
Сергей Супрунов
amsand@rambler.ru
62 FreeBSD в домене Windows:
дополнительные возможности
Правильное подключение FreeBSD в домен Windows
позволит работать с Active Directory для проверки па-
ролей, членства в группах и т. д. Но это только некото-
рая часть того, для чего FreeBSD может использовать
данную информацию. Рашид Ачилов
achilov-rn@askd.ru
ЧЕЛОВЕК НОМЕРА
70 Снаряд – броня
В этом соперничестве Алексей Раевский на стороне бро-
ни. Пользователям повезло. Оксана Родионова
rodion@dol.ru
БЕЗОПАСНОСТЬ
74 Руткиты режима ядра: алгоритмы
работы и защита
Случалось ли вам замечать, что в системе «живет» пос-
торонний процесс, но ни диспетчер задач, ни другие
программы не могут его показать? Может быть, про-
цесс скрывается и от них? Каковы методики скрытия
в режиме ядра? Артем Баранов
artembaranov@yandex.ru
IMHO
80 Чего ждать от удаленной работы?
Описывая сложную систему взаимоотношений соискате-
лей и работодателей, мы показываем лишь один из мно-
гих путей выживания в этом мире. Крис Касперски
kk@sendmail.ru
РЕТРОСПЕКТИВА
90 Прошлое операционных систем
семейства BSD
ОС семейства BSD признаны компьютерным сообщест-
вом и получили статус идеального программного обес-
печения для серверов. А знакомы ли вы с историей ле-
гендарной системы? Илья Александров
ilya_al@rambler.ru
19, 51, 61, 89 BUGTRAQ
Подарочный DVD-диск с библиотекой всех номеров жур-
нала с 2002 по 2006 год вложен в январский выпуск всем
читателям, которые оформили подписку на весь 2007 год.
Как стать обладателем диска, если вы не оформили годо-
вую подписку, читайте на сайте журнала www.samag.ru
1
 50 Рад от имени ALT Linu
темный Админи

им наз
стр
лейного номера. Журна
ван
ато

ием ,
выпусков – наш общий юбилей!
Сисадмины, спасибо, что Вы с нами!

x поздравить «Сис-
р» с выпуском юби-
л с самого начала,
взя лся за трудную
На ш и от но ш
«С ис те мн ый
можно охарак
тнерство с пе
статочно прол
журнала, чтоб
на иб ол ее по
ен ия с жу рн
ад ми ни ст ра
теризовать ка
рвого взгляда.
истать один но
ы понять, что
ал ом
то р»
к пар-
До -
мер
это
уже сво ле зн ое из да
оку ю про фессиона ль- для IT- специа ни е
задачу держать выс листов на русс
пла нку и на про тяж ении пятидесяти языке, содерж
ащее максим
ком
ную
вень выдержать. кой информа альное количе
номеров сумел этот уро ый авто- ции. При этом ство прак тиче
ала яркий и профессиона льн и формат ее из и ак туальнос с-
Редакция сформиров т сво е лиц о для каж дого ложения выш
е
ть информаци
и,
й соз дае ца нашей комп вс яких похвал.
рский коллек тив, которы дом номере ании и от себя Я хочу от ли-
нь приятно, что в каж редакции с до лично поздра
нового номера. Мне оче алы по сво бод ным про - стижением оч
ередной верш
вить коллек ти
в
ют мат ери всегда остава
достойное место занима сси она льн ом исп ользо- ться на гребне
волны интере
ины и пожела
ть
о профе редливых чита
граммам. Это материалы тые «религиозные вой- телей, как сист
емные админи
са таких прив
е-
гра мм , а не пус чи вам, высоки
вании свободных про и много но- х тира жей, ло страторы. Уда-
талантливых авторов вых рекламод ял ьн ых читателей
ны». Желаю вам новых лей . ателей ! и сговорчи-
ательных читате
вых вдумчивых и требов
Алексей Смирнов, Алексей
Ген ера льн ый дир ектор ALT Linux Генера льный Раевский,
дире
компании Se ктор
curIT
От лица компании Softline
я рада возможнос-
ти поздравить коллек тив
нии журнала «Систем-
а компа ный администратор» с
От лиц и ж ур нала выходом в свет юби-
r.R u лейного пятидесятого
Linuxcente но номера ! 50 – тот ру-
at я се рд еч беж, который поз вол
LinuxForm ш их д ру- яет под вес ти проме-
яю на жуточные итоги и сде
позд равл А д- лать выводы об ус-
ис темного пешнос ти проекта. «Си
зей из «С с вы пу с- стемный Админис-
ора» тратор» – отличный при
минис трат го , 5 0 -г о мер востребованного
е й н о нального издания, пол профессио-
ко м ю б и л при- учившего высокое при
ам очень номера ди читателей. Желаем знание сре -
номера ! Н к ваш реснее от вам процветания, дальне
юдать, ка снее и инте том же ческих успехов, новых йших твор-
ятно набл е ин те ре ат ь в профессиона льных иде
л ст ановится
вс
ел ае м продолж ного развития! й и динамич-
ж ур на ей ду ш и ж чи в!
ко
и мы от вс ше подпис
к номеру вс е бо ль ше и боль
бетать олов,
ду хе и прио Павел Фр
ор Наталья Вьюникова
ый директ заместитель директора,
Генера льнinuxcenter.RU
L по PR компании Softlin
компании e

Поздравляем журнал «Систем-

От лица комп ный администратор»! Новых до-
ании «Фаматек стижений, тиражей, щедрых рек-
дравить реда » хочу поз-
кцию журнал ламодателей, активных подпис-
ный админист а «Систем-
ратор» с выхо чиков. За недолгое время сотруд-
юбилейного, пя дом в свет
тидесятого по ничества мы успели оценить по-
мера. За врем счет у но -
я своего сущес тенциал журнала. Смело могу ут-
журнал успел твования
завоевать попу верждать, что «Системный ад-
у профессион лярность
алов в сфере министратор» – команда профессионалов, которую ждет
всегда внимат IT, которые
ельно следят успех!
ме нными те нд за совре-
енциями в ми
ких технологий ре вы со -
. Индустрия IT Сергей Рыжиков,
ходит масса ин растет и разв
тересных собы ивается, прои Директор компании «Битрикс»
тратор» никогд тий, и «Систе с-
а не остается мный админи
вационных ре в стороне от ос с-
шений, предст вещения инно
рубежных ры авленных на -
нках. российских и
за-
От всей души ным
желаю редакц равить с юбилей
администрато
р» еще больш
ии журнала «С
истемный Мне хочется позд чи тат ел ей.
рнал и его
ных материал
ов, та лантливы
е содержател
ьных и интере 50 -м выпуском жу , оп ер ативная,
с- тер иа лы
ших професси
ональных и тв
х авторов, а
также да льне Объективные ма ация
орческих успе й- полезная информ
хов». качественная и ал у доверие
во ев ать жу рн
позволили за ко -
елей. Желаю всей у–
Дмитрий Кура
шев, и уважение читат х усп ех ов , а самому журнал
Генера ль творчески
компании «Ф ный директор манде журнала
аматек Россия ветания.
» да льнейшего проц
Сергей Вахонин,.
Line Inc
IT-директор Smart

ПОЗДРАВЛЯЕМ ПОБЕДИТЕЛЕЙ!
Подведены итоги авторского конкурса 2006
Номинации
1. За лучшую серию материалов
2. За лучшую новую авторскую тему
3. За лучшую аналитическую статью
Кто участвовал
Участие приняли все авторы, опубликовавшие свои ста-
тьи в журнале «Системный администратор» в течение
2006 года.
О номинациях
1. Серией материалов считается блок из не менее чем
двух статей. Тема серии – по собственному выбору ав-
тора или же по выбору редакции.
Победители в номинации «За лучшую
серию материалов»:
1 место (30 000 руб.) за серию статей
«Как работает Sendmail? Полезные под-
робности» получает Сергей Супрунов,
инженер-программист Константиновской
группы развития и эксплуатации програм-
мно-технических средств Усть-Донецкого
ЛТЦ Морозовского УЭС Ростовского фи-
лиала ОАО «Южная Телекоммуникацион-
ная Компания».
2 место (20 000 руб.) за серию статей
«Современный Linux-сервер» получает
Алексей Барабанов, специалист по об-
служиванию и эксплуатации информаци-
онных ресурсов, предприниматель, редак-
тор нашего журнала.
2 место (20 000 руб.) за серию статей
«Вы всё ещё не используете WMI?», «Уз-
най секреты WMI» получает Константин
Леонтьев, консультант в области инфра-
структурных проектов российского пред-
ставительства компании Microsoft.
3 место (10 000 руб.) за серию статей «Су-
ровая правда, скрытая за «розовыми оч-
ками»: история компании Transmeta» полу-
чает Дмитрий Мороз, студент последне-
го курса Житомирского Государственного
Технологического Университета, журна-
лист в изданиях «MacUP/RE», «Телефон»,
«Inflight Review», «3DNews».
№1, январь 2007
доска почета
2. Статья, написанная на тему, придуманную автором
и одобренную редакцией.
3. Аналитическая статья может быть написана на тему,
предложенную автором или же на тему, заказанную ре-
дакцией.
Кто судьи
В состав жюри вошли сотрудники редакции.
Денежные призы
 1 место – 30 000 рублей
 2 место – 20 000 рублей
 3 место – 10 000 рублей
Победители в номинации «За лучшую
новую авторскую тему»:
1 место (30 000 руб.) за статью «Подроб-
ное руководство по настройке тонких кли-
ентов на основе дистрибутива Thinstation
и протокола NX» получает Евгений Буш-
ков, ведущий программист «Корпорации
«Аксион».
2 место (20 000 руб.) за статью «Клас-
теризация + виртуализация: Linux HA +
OpenVZ» получает Евгений Прокопьев,
инженер-программист Южной Телеком-
муникационной Компании.
3 место (10 000 руб.) за статью «Выдер-
жит ли нагрузку ваш веб-сервер? Обзор
программ для стресс-тестирования» по-
лучает Сергей Яремчук, инженер груп-
пы автоматизации одной из правительс-
твенных организаций Украины.
3 место (10 000 руб.) за статью «На что
способен дистрибутив SystemRescueCd
Linux» получает Иван Максимов, cистем-
ный администратор компании «КСАНФ».
Номинация «За лучшую аналитическую статью» была сня-
та с конкурса – среди авторов не нашлось желающих по-
бороться за эту премию.
3
 репортаж
«Платформа 2007» – будущее, которое
нам обещает Microsoft
Восьмая ежегодная конференция Microsoft успешно прошла в Москве 13-14 декабря 2006 года.
На ней было зарегистрировано почти 3 тысячи участников, что в полтора раза больше,
чем в прошлом году.
А
удитория – все потребители про-
дукции и участники бизнес-про-
цесса Microsoft. Центральное
событие – презентация Windows Vista,
Office 2007 и Exchange Server 2007. Нет
смысла педантично повторять стро-
ки стандартного прессрелиза. Скажу
лишь самое важное на мой взгляд.
Windows Vista получилась? Это по-
кажет рынок. Но одно несомненно –
она состоялась! Теперь уже точно мож-
но определить, что день грядущий нам
готовит. Компьютерному рынку пред-
стоят большие перемены.
Во-первых, под новую платформу
обещано выпустить новую линейку
продуктов, это значит, появится мно-
го новых программ, а старые выйдут
из употребления.
Во-вторых, под новую платформу…
будут выпущены новые компьютеры!
4
Вы не ослышались. Все десктопы и но- думаться, то точно так же не получит-
утбуки, в которых менее 1 Гб памяти, ся запустить в автоматическом режи-
и скромные видеоадаптеры с видео- ме unattended-установку программно-
памятью менее 64 Мб после выхода го обеспечения от третьего произво-
Windows Vista непременно обесценят- дителя в формате не msi.
ся. Этим объясняется осеннее удешев- Да и вообще, новая система пол-
ление и распродажа бюджетных моде- ностью ориентирована на развертыва-
лей от всех ведущих производителей, ние из образов, то есть очень не дру-
таких как HP, например. жественна к разработкам производи-
В третьих, новая платформа заста- телей, не входящим в сферу притяже-
вит и системных администраторов ра- ния Microsoft. Для драйверов это бы-
ботать по-новому. Теперь даже при- ло заявлено прямо, а для приклад-
вилегированного пользователя обя- ного ПО косвенным образом тоже ус-
жут работать в режиме с пониженны- тановлен режим вытеснения чужа-
ми правами, и лишь на время выпол- ков. Должно быть совершенно ясно,
нения административной функции что переход на Vista может оказаться
ему будет передаваться нужный уро- просто разорительным даже для не-
вень прав, по подтверждению с кон- маленьких компаний. Осознавая это,
соли. Ну и правильно, а то привыкли в Microsoft особенное внимание уде-
отправлять почту из Outlook с права- ляют вопросам миграции на новую
ми суперпользователя. Хотя, если за- платформу. Для планирования пере-

хода на Windows Vista даже разрабо-
тан специальный инструментарий –
Microsoft Application Compatibility Toolkit.
Он по сути является средством инвен-
таризации (кстати, бесплатным), поз-
воляющим выяснить степень совмес-
тимости существующего оборудова-
ния и ПО с требованиями новой опе-
рационной системы.
Наметился также прогресс в раз-
витии Office. Теперь эта прикладная
система на платформе Vista может ис-
пользовать возможности многоядер-
ных процессоров вне зависимости
от стандартного планировщика ядра.
Но самые неожиданные результаты бы-
ли продемонстрированы в ходе расска-
за о продукте под названием SoftGrid.
Эта система позволяет виртуализовать
среду выполнения прикладной про-
граммы так, что становится возмож-
ным портировать ее вместе с необходи-
мыми компонентами на любой хост для
исполнения. Нечто вроде prelink, соб-
ранного в пакет. Преимущество в том,
что такая компонента исполняется без
установки в хостовую систему и в слу-
чае атаки не повреждает ее, так как су-
ществует в изолированной виртуаль-
ной среде. Неожиданный эффект со-
стоит в том, что приложение, виртуали-
зованное подобным образом, не может
защищаться привязкой к параметрам
системы запуска, так как все они вир-
туальные. То есть, внедрение такого
подхода заставит пересмотреть многие
традиционные решения в области кон-
троля за соблюдением лицензий на ПО.
Хотя неуклонно внедряемая виртуали-
зация так или иначе заставит это сде-
лать. Все это и многие другие специ-
альные вопросы были рассмотрены
в докладах конференции.
«Платформа 2007» длилась 2 дня.
Это и много, так как приходилось ра-
ботать по настоящему: доклады –
это не только шутки ведущих и репли-
ки из зала, и одновременно это очень
мало. Иногда даже катастрофичес-
ки недостаточно. Например, был за-
менен единственный доклад на тему
Virtual Server. К докладчикам в пере-
рывах очень трудно пробиться, так как
вопросы не прекращаются и желающие
спросить стоят стеной. Кроме лекцион-
ной формы, были предложены лабо-
раторные работы (например, настрой-
ка брандмауэра в Windows Vista). Увы,
я, прибывший туда как представитель
№1, январь 2007
репортаж
Участники пресс-конференции
прессы, в то время как резервирова- это событие, которое стоит посетить
лись места на лабораторных, был за- каждому вне зависимости от отноше-
нят на пресс-конференции и упустил ния к MS Windows и бизнесу Microsoft.
возможность записаться. Лаборатор- Во многом это не столько официальное
ные работы были расписаны желаю- мероприятие, это почти клуб с систе-
щими на два дня вперед еще до нача- мой скидок членам клуба! Среди посе-
ла самого форума! «Платформа» про- тителей можно было встретить все воз-
исходила в СК «Олимпийский». Центр расты – от тинейджеров до тех, «кому
спортивной арены был выделен под вы- за сорок». Очень много представитель-
ставку, трибуны размечены под залы ниц прекрасного пола, гораздо больше,
для докладов. Вечером первого дня чем на аналогичных мероприятиях, на-
для уставших организовали развле- пример, линуксовой направленности.
кательную программу, куда была при- На докладах царила дружественная
глашена группа «Несчастный Случай», атмосфера. Все (без преувеличения
а для неудовлетворенных – «круглые все) докладчики от Microsoft свободно
столы» с участием очень известных ориентировались в предметах, держа-
персон в отечественном информаци- ли внимание аудитории и даже успева-
онном бизнесе. ли разыгрывать маленькие презенты
Теперь попробую выразить свои среди слушателей (от мышек до X-Box).
личные впечатления. «Платформа» – Организаторы настойчиво интересова-
лись мнением гостей об уровне всех
мероприятий. Не знаю, какое вопло-
щение получит широко разрекламиро-
ванный слоган «People-Ready» в биз-
нес-реалиях, но на «Платформе» все
свидетельствовало в пользу подобно-
го отношения. Всего лишь за сданные
анкеты с отзывами-оценками разных
аспектов данного события организа-
торы пообещали каждому посетителю
по комплекту из Windows Vista и Office
2007 в личное пользование сразу пос-
ле их выхода на рынок. Посмотрите
на стоимость участия в конференции,
подумайте немного и сделайте выводы,
что следующая «Платформа» не долж-
на пройти без вас.
Текст Алексея Барабанова.
Выступление Жана-Филиппа Куртуа Фотографии предоставлены
(Jean-Philippe Courtois), президента компанией Microsoft
Microsoft International Keynote
5

Firefox продолжает набирать
популярность
Исследователи из французской фирмы Xiti Monitor обна-
родовали новую статистику по использованию веб-бра-
узеров в Европе. По этим данным, популярность Firefox
среди веб-пользователей выросла с апреля текущего го-
да почти на 4 процента, благодаря чему она теперь со-
ставляет 23,2% (тогда его доля среди всех браузеров ог-
раничивалась отметкой в 19,4%). Среди стран, в которых
Firefox пользуется наибольшим (в процентном отношении)
спросом, – Словения (40,5%), Финляндия (39,3%), Польша
(33,6%), Германия (33%), Хорватия (32,8%), Эстония (31,5%)
и Венгрия (31,1%).
тенденции
от независимых поставщиков (ISV) в среде операционных
систем на базе Linux и управления такими пакетами. Пер-
вой целью LSB Packaging стало создание API для пакет-
ных систем Linux с тем, чтобы ISV смогли «прозрачно» ра-
ботать с ними, не задумываясь о внутреннем устройстве
самих систем (таких, как RPM). Как пишет в своем блоге
Ян Мердок (Ian Murdock), основатель проекта Debian GNU/
Linux, главный технолог Free Standards Group и глава всей
рабочей группы Linux Standard Base: «Мотив к этому есть
у всех: дистрибутивы получат больше приложений, которые
сделают платформу более привлекательной; у ISV снизят-
ся затраты, что повысит их экономический интерес к Linux-
версиям ПО и потенциально откроет новые рынки».

Организация FSF начинает кампанию Один из авторов Mandrake начал

против Vista новый проект
Организация свободного программного обеспечения Free Гаэль Дюваль (Gael Duval), один из основателей и бывший
Software Foundation (FSF) запустила кампанию, направ- разработчик популярного Linux-дистрибутива Mandriva (ра-
ленную против новой операционной системы от Microsoft – нее известного как Mandrake), представил первый пробный
Windows Vista. Ключевая цель новой инициативы сторон- релиз своего нового продукта – Ulteo Linux (под кодовым
ников свободного ПО – предупредить всех о вреде, кото- названием «Sirius»). Дистрибутив Ulteo Linux базируется
рый наносит Windows Vista, и рассказать о существующих на разработках родственных проектов Debian GNU/Linux
альтернативах из мира свободного программного обес- и Ubuntu Linux. Первая тестовая версия основана на Linux-
печения, которые (в отличие от нового продукта Microsoft) ядре 2.6.15, использует графическую среду KDE 3.5.2 по
«уважают права пользователей на безопасность и конфи- умолчанию. За обновлениями системы следит демон UGD
денциальность». (Ulteo General Daemon), который, регулярно подключаясь
Питер Браун (Peter Brown), исполнительный дирек- к серверам Ulteo, автоматически проверяет, доступны ли
тор FSF, так прокомментировал начавшуюся кампанию: какие-либо обновления.
«Microsoft начинает крупнейший из когда-либо имевших
место запуск продукта, а ее маркетинговые средства бу- Составил Дмитрий Шурупов
по материалам www.nixp.ru
дут потрачены на то, чтобы всеми силами ввести в заблуж-
дение СМИ и пользовательское сообщество о целях Vista.
Наша кампания ответит на важные вопросы. Как вы може-
те освободить себя и свою компанию? Можете ли вы вооб-
ще быть свободными от Microsoft? Как и в нашей кампании,
направленной против DRM (Digital Restrictions Management),
мы хотим продемонстрировать, что технологи могут быть
социальными активистами, потому что мы знаем о вреде,
который причинит Vista».
В частности, сообщается, что открытый для инициати-
вы блог BadVista.org будет уделять особое внимание опас-
ностям от так называемого Treacherous Computing в Vista
(пародия на официальное название «Trusted Computing»,
«доверенные, надежные вычисления», которую можно пе-
ревести как «ненадежные, предательские вычисления»).
Суть их заключается в том, что Vista превратит компью-
теры, управляемые пользователями, в машины «Большо-
го брата», где за каждым действием пользователя следят,
а ему не остается иного выбора.

В FSG/LSB создана рабочая группа

по Linux-пакетам
В рамках проекта стандартизации дистрибутивов, основан-
ных на Linux-ядре, Linux Standard Base (LSB), была созда-
на рабочая группа, которая займется проблемами работы
со сторонними пакетами программного обеспечения в сис-
теме. Рабочая группа LSB Packaging появилась как следс-
твие проведенного саммита FSG Packaging Summit, посвя-
щенного вопросам установки программного обеспечения

№1, январь 2007 7

администрирование

Как купить ПО от Microsoft?

Часть 2. Разбираемся в корпоративных программах
лицензирования

Дмитрий Бутянов
Не надо думать, кто корпоративные лицензии на софт – это удел суперкорпораций,
при упоминании которых люди поджимают губы и понимающе кивают. Воспользоваться системой
лицензирования вполне может и ваша компания, если в ней есть хотя бы три компьютера.

8
 администрирование

У
программ корпоративного лицен- тем большую скидку
зирования есть входной порог, получите.
но какой! Всего пять лицензий, Лицензии, приоб-
причем любых, и вы уже там и поль- ретенные по програм-
зуетесь всеми благами и прелестя- ме корпоративного
ми, которые могут на вас посыпаться. лицензирования, пре-
А пять лицензий вы купите, если захо- доставляют больше
тите купить легальный софт для трех прав, чем коробоч-
компьютеров. ная лицензия (FPP)
Одним из основных преимуществ или OEM-лицензия.
программ корпоративного лицензи- Лицензия, приобре-
рования Microsoft является возмож- тенная по програм-
ность выбора. Вы можете выбирать, ме корпоративного
как тратить деньги и что на них при- лицензирования, мо-
обретать. жет п е р е н о с и т ь с я
Самих программ несколько, они от одного компьюте-
различаются по ценам, способам оп- ра к другому (за ис- Рисунок 1. Соотношение клиентских и серверных лицензий
латы, а также по правилам использо- ключением операци-
вания приобретенных программных онных систем). на штука). Клиентская лицензия – ус-
продуктов. Для образовательных уч- Но прежде чем начать рассказ о са- тановить клиентский компьютер (од-
реждений существует специальная мих программах, давайте познакомим- на штука).
программа лицензирования, которая ся с основными принципами лицензи- Если осилите статью до конца,
отличается очень низкими ценами рования. Советую устроиться поудоб- то узнаете про вариант установки не-
и очень широкими правами использо- нее, налить чаю-кофе (а то, о чем вы скольких серверов по одной лицензии.
вания продуктов. подумали, лучше придержать до кон- Читайте-читайте.
Корпоративное лицензионное со- ца статьи), и приготовиться к поглоще- Таким образом, установленное
глашение позволяет отделить собс- нию нового материала. программное обеспечение, например
твенно лицензию от второстепенных Лицензия является подтверждени- сервер Windows Server 2003, требует
услуг: носителей (для установки про- ем легальности происхождения про- наличия серверной лицензии, а для
граммного обеспечения), документа- граммного продукта при условии соб- клиентских рабочих станций, на ко-
ции и упаковки, что позволяет форми- людения правил его использования. торых установлена клиентская опе-
ровать цену строго с учетом ваших пот- В подавляющем большинстве случа- рационная система Windows XP Pro,
ребностей и размера заказа. ев лицензия является юридическим также требуется лицензия, но кли-
Часть цены программного продук- понятием. Иными словами лицензия – ентская. Отдельно сервер и отдельно
та составляют упаковка, документа- это документ. Сам программный про- клиент не составляет сеть. Разуме-
ция и носители (дискеты или компакт- дукт можно использовать практичес- ется, клиентские компьютеры долж-
диски). Покупая продукты по програм- ки как угодно, в нем не встроено ника- ны иметь доступ к серверному про-
мам корпоративного лицензирования, ких технологических барьеров. Только граммному обеспечению. Чтобы це-
вы будете платить только за лицензи- в некоторых продуктах лицензия со- ны на серверное программное обес-
онные права. провождается программным ограни- печение были пропорциональны ко-
В некоторых программах корпора- чением, например, Terminal Services личеству обращений к нему, на эти
тивного лицензирования носители для или SBS. обращения также необходимо при-
установки продукта предоставляются Однако если вы будете использо- обретать лицензии, которые называ-
бесплатно, в некоторых их надо поку- вать софт с нарушением ограничений, ются клиентскими лицензиями на до-
пать отдельно, но по себестоимости изложенных в Правилах использова- ступ, или CAL (Client Access Licenses).
(порядка 20 $). ния продуктов и Лицензии, то станете Чем больше сеть – тем больше обра-
Один носитель может быть исполь- пиратом. Почитайте статью «Как ку- щений к серверу – тем дороже полу-
зован в качестве эталона для уста- пить ПО от Microsoft? Особенности чится сервер, т.к. за обращения надо
новки на все ПК вашей организации, приобретения и использования OEM- платить (см. рис. 1) . И наоборот, в не-
что позволит вам не только сократить версий» в №12 номере за 2006 г., в ней больших сетях, где количество обра-
расходы на приобретение, но и устра- описаны последствия. щений невелико, итоговая стоимость
нить сложности, связанные с развер- сервера будет ниже.
тыванием продукта на ряде ПК в ор- Основные типы лицензий Серверы, которые поставляются
ганизации. Поскольку сети, которые мы лицензи- в виде коробочного продукта, вклю-
Уже при покупке 5 лицензий вы по- руем, строятся на основе клиент-сер- чают пять или более клиентских ли-
лучите значительную скидку по срав- верной технологии, модель лицензи- цензий. Серверы, пред лагаемые
нению со стоимостью приобретения рования состоит из серверных и кли- по программам корпоративного ли-
тех же продуктов в виде коробки, и чем ентских лицензий. Серверная лицен- цензирования, не сопровождаются
большее количество лицензий купите, зия дает право установить сервер (од- клиентскими лицензиями; клиент-

№1, январь 2007 9

 администрирование
ентских машин также IIS, если пользователи при этом не ав-
подключаются и к са- торизуются.
мой серверной опе- Лицензии клиентского доступа
рационной системе, делятся на две большие группы –
а это требует приоб- это «Лицензии на устройство» (Device
ретения еще 10 ли- CAL) и «Лицензии на пользователя»
цензий к лиентско - (User CAL).
го доступа Microsoft Первая – Device CAL – лицензиру-
Windows Server 2003 ет доступ устройства; при этом за этим
CAL. устройством может работать любой
Обратите вни- пользователь. Если в вашей сети за од-
мание – тип клиент- ним компьютером работают несколь-
ской лицензии опре- ко пользователей, например, посмен-
деляется сервером, но, то эта лицензия для вас.
а не клиентом. В дан- Вторая – User CAL – лицензиру-
ном примере все кли- ет доступ пользователя с любого воз-
ентские лицензии бу- можного устройства. Этот тип наибо-
дут клиентскими ли- лее выгоден и удобен в администри-
цензиями на доступ ровании там, где много мобильных со-
к SQL Server незави- трудников, которым необходим доступ
симо от того, какой к корпоративной сети с произвольных
клиент используется устройств, или сотрудников, использу-
на рабочих станциях, ющих несколько устройств для доступа
Рисунок 2. Пример лицензирования SQL Server которые обращают- к сети независимо от способа доступа
ся к серверу. (по локальной сети, VPN или каким-то
ские лицензии вам нужно будет за- Если, в нашем примере, доступ иным способом).
казать отдельно. к серверу осуществляется при помощи Если говорить в двух словах, то бе-
Клиентская лицензия на доступ – сетевых терминалов (т.н. «тонких кли- рите те лицензии, которых понадо-
это предоставление права осущест- ентов) или даже специальных перенос- бится меньше: если людей больше,
влять доступ или использовать сер- ных устройств, то тогда для каждого чем компьютеров, то берите лицензии
верное программное обеспечение. из этих устройств также должна быть «на устройство», а если компьютеров
Клиентские лицензии на доступ (CAL) приобретена клиентская лицензия больше, чем людей, то берите лицен-
нематериальны, и это часто вызывает на доступ к SQL Server (см. рис. 3). зии «на пользователя». Стоят эти ли-
путаницу и трудности. Наличие терминальных служб, цензии одинаково, так что надо прос-
Давайте рассмотрим конкретный а также программных или аппарат- то выбрать, какая именно вам нужна
пример: предположим, у нас имеется ных мультиплексоров не избавляют с точки зрения затрат или удобства
сеть из десяти клиентских компьюте- от необходимости приобретения ли- контроля их использования.
ров Windows XP Professional, а также цензий. Например, если установлен
сервер Microsoft SQL Server 2005, ус- терминальный сервер с установлен- Лицензии «на процессор»
тановленный на базе Windows Server ным Microsoft Office, которым пользу- В модели лицензирования c исполь-
2003 (см. рис. 2). ются 20 человек, то потребуется при- зованием серверных/клиентских ли-
Серверные лицензии: одна на обрести 20 лицензий на Office. Даже цензий серверная лицензия относит-
Windows Server, одна на SQL Server. с учетом того, что на самом деле все ся к физическому серверу, независимо
Это даст право поставить серверную пользователи работают с одной копи- от того, насколько мощный этот сервер.
часть. ей продукта. Пропорциональность цены лицензии
Клиентские лицензии: Windows XP Версия CAL должна быть не ни- (т.е., лицензия на большую сеть стоит
Pro в виде OEM, например. же версии сервера, к которому осу- дороже, чем лицензия на малую сеть)
Теперь надо соединить всё это ществляется доступ, т.е. для доступа достигается необходимостью приоб-
в сеть, обеспечив клиентские ком- к Windows Server 2003 нужна Windows ретать клиентские лицензии на до-
пьютеры возможностью пользования Server 2003 CAL. Но эта же лицензия ступ для каждого клиента. Такая мо-
серверным программным обеспече- на клиентский доступ может исполь- дель может быть сложна в примене-
нием. Для этого нужно купить лицен- зоваться для подключения к Windows нии. Для большинства серверных при-
зии на клиентский доступ. Server 2000, так как ее версия в этом ложений (например, SQL Server) пре-
В нашем примере десять клиент- случае будет не ниже версии сервера. дусмотрена простая альтернатива –
ских машин подключаются к серве- СAL не включена ни в одну из настоль- приобретение вместо этого лицензии
ру Microsoft SQL (причем протоколы ных операционных систем. «на процессор».
и пр. значения не имеют), т.е. требу- Не требует лицензирования ано- Процессорные лицензии дороже,
ется 10 лицензий клиентского досту- нимный доступ к ресурсам, например, чем обычные серверные лицензии,
па Microsoft SQL CAL. Эти же 10 кли- не лицензируется доступ к серверам но зато при этом не требуются кли-

10

ентские лицензии на доступ к серве-
ру. В модели лицензирования «на про-
цессор» на каждый процессор серве-
ра необходимо приобрести лицензию.
Для сравнения, обычная серверная
лицензия предоставляет право на ис-
пользование всего сервера целиком,
при этом пропорциональность дости-
гается применением модели сервер-
ных/клиентских лицензий. Пропор-
циональность достигается и моделью
лицензирования «на процессор», пос-
кольку для сетей с большим количес-
твом клиентов будет использоваться
сервер с большим количеством про-
цессоров.
При расширении сети может воз-
никнуть необходимость увеличить ко-
личество процессоров для обслужи-
вания большего количества клиен-
тов. При этом в модели лицензирова-
ния «на процессор» при добавлении
процессора вы должны приобрести
дополнительную лицензию «на про-
цессор», а не дополнительные кли-
ентские лицензии на доступ к сер-
веру при каждом добавлении кли-
ента. Лицензии «на процессор» до-
ступны для большинства серверов
приложений Майкрософт, например
для Microsoft SQL Server (важное ис-
ключение – для Microsoft Exchange
и Microsoft Windows Server лицензий
«на процессор» не существует).
И еще одно важное замечание:
в модели лицензирования «на процес-
сор» платить надо только за те процес-
соры, на которых выполняется дан-
ный продукт.
Например, если вы имеете че-
тырехпроцессорный блок, на кото-
ром работает SQL Server, использу-
ющий только один процессор из че-
тырех, то и лицензию «на процессор»
вам нужно купить только одну. Много-
ядерность не учитывается. Один про-
цессор – одна лицензия. А сколько
ядер там внутри – не волнует совер-
шенно. При этом если на одном сер-
вере вы установите несколько копий
серверного программного обеспече-
ния, которые используют одни и те же
процессоры сервера, нет необходи-
мости приобретать отдельную лицен-
зию для каждой копии серверного про-
дукта. Кроме того, вы можете устанав-
ливать и использовать любое количес-
тво копий серверного продукта на лю-
бом процессоре, для которого имеет-
№1, январь 2007
администрирование
Скидки для филиалов го представительства Microsoft. Если у ва-
и аффилированных лиц шей компании на территории РФ есть фи-
Если у вашей компании есть аффилиро- лиалы, которые не являются отдельными
ванные лица cо степенью участия 50%, юридическими лицами, то можно разме-
тo по программе Open License этим аф- щать общий заказ на покупку ПО. Все это
филированным лицам можно предоста- позволит вам организовать централизо-
вить возможность размещать заказы с ис- ванную систему закупки ПО для филиа-
пользованием достигнутого уровня скид- лов компании и некоторой категории аф-
ки для свершения сколь угодно малых за- филированных лиц и добиться при этом бо-
купок (не менее одной штуки), но только лее высокого уровня скидки.
на территории ответственности московско-
ся процессорная лицензия на сервер- веров также имеет свои особенности
ный продукт. как по видам лицензий, так и по прави-
лам использования продуктов. В рам-
Лицензирование ках статьи трудно охватить всё, так как
бизнес-партнеров… существует достаточно много вариан-
и просто хороших тов. Тем не менее общие принципы ос-
клиентов таются неизменными.
Еще одна проблема возникает тогда,
когда к серверному программному А вот и программы…
обеспечению подключаются внешние Как я уже говорил, вариантов приобре-
пользователи, число которых трудно тения программного обеспечения до-
или невозможно определить. Эту про- статочно много, и вы можете выбирать
блему можно решить путем покуп- подходящий вам вариант. Каждая про-
ки лицензии «на процессор», однако грамма имеет свои особенности, на ко-
не все продукты могут лицензировать- торых можно будет сыграть в стремле-
ся по такой схеме. Выходом может быть нии сократить итоговую стоимость ПО.
покупка лицензии «External Connector». Чтобы вам было четко понятно, как эти
Эта лицензия позволяет подключиться программы согласуются между со-
к серверному ПО любому количеству бой, они представлены в виде схемы
внешних пользователей, заменяя для (см. рис. 4).
них клиентские лицензии на доступ. На схеме программы корпоратив-
Понятие «внешний пользователь» оп- ного лицензирования рассматривают-
ределяется совершенно четко. Это ли- ся с двух точек зрения.
цо, которое не является: По вертикали представлены про-
 сотрудником вашей компании граммы лицензирования в зависимос-
на полной ставке, сотрудником ти от размера компании – покупате-
на неполной ставке или времен- ля. Эти компании разбиты на два сег-
ным сотрудником; мента: малые и средние предприятия,
 лицом из числа временного пер- к которым относятся компании от 5 до
сонала, работающего по агент- 500 ПК, и большие компании, более
ским соглашени-
ям, или незави-
симым подрядчи-
ком, работающим
у вас по заданию;
 вашим клиентом,
которому вы пре-
доставляете ус-
луги по хос тин-
гу с использова-
нием Серверной
программы.
Еще хочется ска-
зать, что лицензиро-
вание отдельных сер- Рисунок 3. Лицензирование при мультиплексировании
11
 администрирование
(лицензий) одного или нескольких про-
Как переоформить лицензию  Письмо-запрос от заказчика – компа- граммных продуктов Microsoft. Лицен-
Open License, если ваша компания нии, на которую выписана лицензия. зия является бессрочной, т.е. приобре-
меняет свое название или адрес?  Подтверждение согласия с условия- тенными программными продуктами
Если ваша компании приобрела продук- ми Лицензионного соглашения Open можно будет пользоваться в течение
ты по Open License, меняет свое название License со стороны организации, кото- неограниченного срока. При этом в те-
или адрес и желает переоформить лицен- рой лицензия передается. чение двух лет после размещения пер-
зию, то необходимо сделать следующее:  Ксерокопию передаваемой лицензии. вого заказа вы сможете пользовать-
 Направить запрос на переоформление ся полученной корпоративной скид-
лицензии в связи с изменением назва- Инфоцентр Microsoft проверяет пра- кой при размещении следующих сколь
ния (адреса) своему реселлеру. Необ- вомерность передачи лицензии. В том угодно мелких заказов (минимальный
ходимо сообщить Authorization Number случае, если передача возможна, Инфо- объем дополнительного заказа 1 шту-
и License Number. центр отправляет заказчику подтвержде- ка), но ценовой защиты нет – вы бу-
 Microsoft выпишет дополнительный ние. Заказчик возвращает исходную ли- дете дозаказывать продукты с гаран-
документ с указанием нового наиме- цензию своему реселлеру вместе с копи- тированной скидкой, но по текуще-
нования (адреса) заказчика. Этот до- ей письма-запроса и подтверждения Ин- му прайс-листу. В рамках программы
кумент будет содержать водяной знак фоцентра. предлагается широкий спектр продук-
«Недействительно без исходной лицен- Microsoft изготавливает новую лицен- тов для бизнеса – операционные сис-
зии». Новый заказ размещать не нужно. зию. Новая лицензия будет отличаться темы, настольные приложения, сер-
Сроки соглашения Open License, набор от старой только названием и реквизита- верные продукты, средства разработ-
продуктов и номер лицензии остаются ми заказчика. Набор продуктов, номер ли- ки. Для операционных систем предла-
без изменений. Какая-либо дополни- цензии, период сопровождения сохранят- гается только лицензия на обновле-
тельная оплата не производится. ся без изменений. ние Windows XP Pro Upgrade, исход-
 Если по каким-либо причинам заказ- На передачу лицензии наложены сле- ная лицензия может быть приобрете-
чику неудобно хранить два документа, дующие ограничения: на вами в виде коробочной или OEM-
то для переоформления можно исполь-  Должны быть переданы все лицензи- версии. Это очень-очень важно запом-
зовать процедуру передачи лицензии. онные сертификаты (отдельные лицен- нить! Настольные операционки в рам-
зии), полученные под одним и тем же ках программ корпоративного лицен-
Процедура передачи лицензии позво- авторизационным номером, и все пра- зирования продаются только как об-
ляет передать продукты, купленные по про- ва на размещение дополнительных за- новления существующих уже легаль-
граммам корпоративного лицензирования, казов по этому номеру. ных систем! Так что если вам надо их
другому юридическому лицу. Для выполне-  Если речь идет о лицензии на опера- приобрести/легализовать, то бери-
ния процедуры необходимо предоставить ционные системы, то такая лицензия те или ОЕМ, или пакеты легализации.
письменный запрос в адрес Инфоцентра может быть передана только как часть А если вы купили, например, компью-
Microsoft, включающий: программно-аппаратного комплекса. теры с предустановленной легальной
Windows XP Home, то тогда вы сможе-
250 ПК. Обратите внимание, что эти же программа Open License. Посколь- те прикупить Windows XP Pro Update
категории перекрываются. Для каж- ку единовременная оплата всей стои- по программе корпоративного лицен-
дого из этих сегментов предусмотре- мости программного обеспечения тре- зирования.
на своя программа корпоративного бует существенных затрат и отвлече- В рамках программы Open License
лицензирования, а программа Open ния ресурсов от других сфер бизнеса Microsoft предлагает в качестве опции
License подходит как небольшим орга- (что может быть неудобно для ваше- подписку на обновление – Software
низациям, так и крупным предприяти- го предприятия), Microsoft ввел про- Assurance. Если при размещении
ям. Кроме того, крупные предприятия граммы периодической оплаты ли- заказа на лицензии на програм -
иногда пользуются программой кор- цензии. Фактически это означает воз- мный продукт вы оплачиваете так-
поративного лицензирования, пред- можность приобрести ПО с трехлетней же Software Assurance, то получаете
назначенной для малого и среднего рассрочкой или вообще ничего не по- право использовать все новые вер-
бизнеса, например в случаях, когда им купать, а брать софт в аренду на три сии этого продукта, которые будут вы-
требуется сравнительно немного ли- года с правом последующего продле- пущены в течение двух лет. При этом
цензий. По горизонтали представле- ния аренды или выкупа. Преимущес- вы полностью контролируете ваши
ны программы лицензирования в за- тва очевидны: кардинальное умень- затраты на обновление ПО на два го-
висимости от типа лицензии и мето- шение административных накладных да вперед: лицензии на новые версии
да оплаты. расходов и распределение платежей уже оплачены, остается только приоб-
Модель лицензирования с едино- во времени. рести дистрибутив ($20) для установ-
временной оплатой требует приобре- ки продукта. Например, если в нача-
тения лицензии до установки. На этом Microsoft Open License ле года компания приобрела Microsoft
подходе основаны лицензии для пос- Программа Open License предназна- Office 2003 в комплекте с Software
тавщиков вычислительной техники чена для тех, кому необходимо при- Assurance, то новый Office 2007 полу-
(OEM), коробочные лицензии, а так- обрести небольшое количество копий чит бесплатно. Преимущества очевид-

12

ны – новый и более дорогой продукт
можно получить, заплатив 50% сто-
имости старого продукта (стоимость
Software Assurance всегда считает-
ся как процент от стоимости текуще-
го продукта и составляет от 25 до 28
процентов в год). Кроме того, в рам-
ках Software Assurance предлагаются
дополнительные преимущества, та-
кие как обучение, доступ к ресурсам
TechNet и др.
У Software Assurance есть и допол-
нительные бонусы – например, появ-
ляется право установить дополнитель-
ный сервер холодного резервирования
для целей аварийного восстановления.
Количество дополнительных «холод-
ных» серверов должно быть не боль-
ше, чем количество купленных лицен-
зий Software Assurance для этих сер-
верных продуктов.
Принять раешение по приобрете-
нии Software Assurance вам придется
сразу. Потом докупить эту опцию к уже
приобретенному программному обес-
печению нельзя!
После покупки вы получите лицен-
зионный сертификат (бумажный), ко-
торый является подтверждением прав
на использование ПО.
В лицензионном сертификате
содержится авторизационный но-
мер Open License (Master Agreement
Number), который действует 2 года.
Он определяет:
 срок действия Software Assurance;
 срок действия подписки MSDN/
TechNet;
 период времени, в течение которо-
го клиент может размещать допол-
нительные заказы любого разме-
ра, которые будут обрабатываться
с тем же уровнем цен, что и перво-
начальный заказ.
Носители (компакт-диски и DVD-
диски) и комплекты документации до-
ступны по отдельности и заказываются
через дистрибуторов. Обратите внима-
ние, что одного только исходного ком-
пакт-диска никогда не будет достаточ-
но для работы с программным обес-
печением: должны быть приобретены
также лицензии.
Как упоминалось в статье «Как
купить ПО от Microsoft? Особенности
приобретения и использования OEM-
версий» в №12 номере за 2006 г., ко-
робочная лицензия (FPP) и лицензия
№1, январь 2007
Рисунок 4. Общая структура систем лицензирования коммерческих организаций
OEM требуют активации продукта.
При покупке программного обеспече-
ния через механизм корпоративных
лицензий вам не потребуется активи-
ровать свои продукты, т.к. вы приобре-
тете специальные носители, не требу-
ющие активации.
Для некоторых продуктов, однако,
требуется ключ многократной уста-
новки. Ключи можно получить на веб-
узле eOpen или в лицензионном сер-
тификате.
Основные продукты, требующие
ключа многократной установки: Office
Family, Windows XP Pro, Windows
Server. Для Windows XP Pro и Windows
Server 2003 предлагаются отдельные
ключи для установки 32- и 64-битной
версий.
После совершения покупки на ваш
адрес электронной почты придет пись-
мо – приглашение на портал корпора-
тивных клиентов Microsoft, который на-
зывается eOpen.
Чтобы попасть внутрь, нужно будет
завести .NET Passport.
На этом портале вы сможете про-
смотреть ключи продуктов, необходи-
мые для инсталляций, увидеть все воз-
можные бонусы, доступные вам как
покупателю Software Assurance, про-
честь о новых маркетинговых акци-
ях Microsoft.
Варианты покупки:
стоимость и возможности
С тоимос ть пок упки программно -
го обеспечения по программе Open
License находится где-то между коро-
администрирование
бочной и ОЕМ-лицензиями. Посмотри-
те таблицу: приведен расчет стоимос-
ти лицензий для компании из 30 кли-
ентских мест и одного сервера, при
условии покупки всего программного
обеспечения.
Типичное решение может состо-
ять из одного сервера Microsoft SBS,
30 копий Microsoft Office SBE, 30 ко-
пий Windows XP Pro, а также лицен-
зий – одной серверной (покупается
вместе с сервером) и 30 клиентских
SBS User CAL (из которых 5 приобре-
таются вместе с сервером SBS, а еще
25 покупаются двумя блоками по 20
и 5 штук.).
Конечно, покупка ОЕМ-поставки
будет выгодней, но эта выгода – си-
юминутная.
Обратите внимание – если вы ку-
пите Software Assurance в дополнение
к ОЕМ-версии сервера, это увеличит
его начальную стоимость на 50%.
При покупке ОЕМ вы не сможете
переносить программное обеспече-
ние с одного компьютера на другой,
а при участии в программе корпора-
тивного лицензирования – сможете.
Использование Open License дает
вам выигрыш в долгосрочной перс-
пективе, делая ваш бизнес более про-
зрачным, а ваш сон более крепким.
На Open License свет корпора-
тивных программ не сошелся. Есть
еще более интересные предложе-
ния как по ценам, так и по возмож-
ностям.
Но об этом – в следующей статье.
Удачи!
13
администрирование

Reporting Services: составляем отчеты

Павел Купцов
Ваш начальник требует отчета о трафике? Об итогах инвентаризации сети? Бухгалтерия
умоляет помочь с отчетом в Excel? А вы можете предоставить только маловразумительный
текстовый файл и рассуждаете о приобретении ERP-системы? Тогда, возможно, вы ещё
не знаете о современных технологиях разработки отчетов.

14
 администрирование

В
о многих организациях широ-
ко применяется MS SQL Server.
Сегодня он может использо-
ваться вместе с такими приложени-
ями, как 1C, SharePoint Portal Server,
WSUS, всевозможными корпоратив-
ными приложениями (Symantec Backup
Exec, продукты Surf Control, Citrix, SAP
BO), в собственных разработках ком-
пании, для сайта компании и т. п., вы
можете и дальше продолжит этот спи- Рисунок 1. Вид главной страницы веб-узла службы RS
сок для себя. Об удобствах использо-
вания этой базы данных можно гово- тельскими интерфейсами, что поз- сваиваются имена соответственно
рить долго, пока дело не дойдет до со- воляет создавать каталоги, источни- reportserver и reportservertempdb.
ставления удобочитаемых отчетов. ки данных, учетные записи пользо- Когда все необходимые компонен-
Конечно, программист всегда смо- вателей и предоставлять пользовате- ты установлены – можно приступать
жет открыть Query Analyzer и выпол- лям права. к установке RS. Добавлю, что в про-
нить заготовленный запрос, для то- Компоненты 1 и 2 должны сто- цессе установки инсталлятор про-
го чтобы получить интересующую его ять на одном компьютере, в то время верит все необходимые компонен-
информацию, но что делать рядовым как 3 и 4 компоненты могут быть уста- ты, и в случае если какого-то из них
пользователям, желающим получить новлены где угодно. не будет обнаружено, выдаст предуп-
доступ к информации из базы данных? Во время установки Reporting реждение. Когда вы будете устанавли-
На помощь приходит служба Reporting Services (далее RS) нужно будет вы- вать RS на сервер, то инсталлятор не
Services. брать, где будет установлена БД сер- найдет 4-ый компонент (если конечно
Служба составления отчетов SQL вера отчетов. вы не ведете разработку на сервере),
Server 2000, выпущенная в янва- Для этого вы ука-
ре 2004 года, вероятно, стала одним жите:
из самых широко используемых ком-  сервер SQL;
понентов.  пользователя
Почти всем организациям прихо- с соответствую-
дится создавать отчеты на основе дан- щими привилеги-
ных, и с помощью Reporting Services ями (для создания
компания Microsoft заполнила этот про- новых БД);
бел в инструментарии.  имя БД (можно ос-
тавить по умолча-
Установка нию).
Для того чтобы установить службу
Reporting Services, необходимо: Инсталлятор, про-
1. Windows Server 2003, Windows XP верив введенные дан-
или Windows 2000 с самыми пос- ные, создаст необхо- Рисунок 2. Создание нового проекта в VS
ледними пакетами обновлений. димые БД на указан-
2. Microsoft IIS, так как Reporting ном вами SQL-сер-
Services запускаются как веб-служ- вере.
бы XML (плюс должен быть уста- Сл у ж б ы R S и с -
новлен ASP.NET). пользуют две базы
3. SQL Server 2000 или 2005 в ре- данных SQL-серве-
дакции Standard, Enterprise или ра д ля вну тренне -
Developer (Reporting Services не- го хранения экземп-
совместимы с более ранними вер- ляра сервера отче-
сиями SQL Server). тов: одну для хране-
4. Разработчикам отчетов требуется ния данных, а другую
среда Visual Studio.NET 2003 или в качестве временно-
2005, которая управляет компо- го хранилища.
нентом Reporting Services Report Эти базы данных
Designer. создаются одновре-
менно и связывают-
Администраторов, которые не раз- ся по имени.
рабатывают отчеты, Reporting Services По умолчанию
обеспечивают различными пользова- базам данных при- Рисунок 3. Определение источника данных для проекта

№1, январь 2007 15

 администрирование
Созданные отчеты можно просмат- зу данных. Параметры соединения
ривать с помощью веб-соединения задаются по нажатию кнопки «Edit»
или как часть приложения Microsoft (см. рис .4).
Windows или портала SharePoint. Ес- В окне свойства связи с данными
ли на сервере, куда вы устанавливаете нас интересует вкладка «Подключе-
RS, уже развернута служба SharePoint, ние». Здесь можно задать располо-
то потребуется дополнительная на- жение сервера SQL, имя пользова-
стройка IIS, подробности будут сооб- теля/пароль и выбрать базу данных
щены инсталлятором в процессе ус- для отчета.
тановки. Для наших примеров будем ис-
Думаю, что с установкой службы пользовать тестовую базу данных
RS вы справитесь. Примерную картину Northwind, которая создается на сер-
после установки смотрите на рис. 1. вере MSSQL в процессе его установ-
О функционале этой страницы ки. Структуру этой базы я не буду опи-
я скажу позже. Перейдем к самому ин- сывать, при желании, изучить структу-
тересному – созданию отчетов. ру этой базы, вы сможете самостоя-
тельно. Название сервера баз данных
Рисунок 4. Окно редактирования
свойств подключения Первый отчет в наших примерах будет CTX (у вас
Итак, установка службы на сервер это может быть localhost или любое
это сообщение можно смело игнориро- прошла удачно, добавление шабло- другое), в зависимости от того, где вы
вать. Для того чтобы в Visual Studio (да- на для разработки отчетов в VS вы- будете устанавливать службу RS.
лее VS) появились шаблоны для созда- полнено. Теперь можно приступать Для примеров можете использовать
ния отчетов – необходимо запустить к написанию первого отчета. Запус- тот же SQL-сервер, где установили RS
установку RS на компьютере для раз- каем VS и открываем новый проект или любой другой в вашей сети, глав-
работки отчетов, инсталлятор устано- (см. рис 2.). ное – наличие на нем базы Northwind.
вит только шаблоны, и они станут до- Новый шаблон, который добавился Никаких особых настроек для этой БД
ступны при создании проектов в VS. в VS, называется Business Intelligence делать не требуется.
Project. Запустить со- Следующий шаг определяет строку
здание этого проекта запроса. По нажатию на кнопку «Edit»
можно в двух режи- вызывается редактор Query Builder,
мах, в режиме мас- хотя мне кажется это лишнее, запрос
тера и в обычном ре- можно просто вставить в окно масте-
жиме. ра (см. рис. 5).
Для первого от- Для первого отчета используем та-
чета запустим созда- кой запрос:
ние проекта в режи-
ме «мастера» (Report SELECT OrderID AS 'Номер заказа', ↵
OrderDate AS 'Дата заказа', ↵
Project Wizard). Пе- RequiredDate AS ↵
ред запуском мас- 'Дата исполнения', ↵
Freight AS 'Стоимость'
тера можно выбрать FROM Orders
Рисунок 5. Строка запроса SQL, определяющая выборку WHERE CustomerID =
данных для отчета название для отчета
(SELECT CustomerID
(это будет название FROM Customers
папки проекта), и его WHERE CompanyName LIKE ↵
'Familia%')
расположение.
Первый шаг «мас- Названия полей можно определять
тера» предлагает нам через псевдонимы (ключевое слово
выбрать название для AS), если не делается выборка * (ALL),
ис точника д анных в последнем случае мастер сам назна-
(это может быть лю- чит псевдонимы для полей.
бое название), и па- В следующем шаге мастера выбе-
раметры соединения рите тип отчета Tabular (табличный).
(см. рис .3). Тип отчета Matrix (матричный) исполь-
И с т о ч н и к д а н - зуется для отчетов с перекрестными
ных можно сделать ссылками, о нем мы не будем говорить
общим (Shared), это в нашей статье.
удобно, когда в про- Шаг Design the Table определяет,
екте несколько ви- какие поля запроса будут доступны
дов отчетов исполь- для просмотра в отчете, каким обра-
Рисунок 6. Выбор группировки полей в отчете зуют одну и ту же ба- зом они будут группироваться.

16
 администрирование
Поле Page определяет назва- ный отчет. Сейчас
ние страницы отчета, и в этом случае же мы лишь немно-
на каждой странице отчета будет оче- го подкорректируем
редной результат выборки. ширину столбцов (это
Поле Group определяет поля запро- выполняется прос-
са, по которым осуществляется груп- тым перетаскивани-
пировка значений. ем «мышкой» границ
Поле Details определяет поля за- полей, как в Excel),
проса, которые будут выводится в от- и о т ф о р м а т и р у -
чете (см. рис. 6). ем свойства полей
Следующий шаг определяет: с датой и стоимос-
 внешний вид таблицы; тью. Для этого клик-
 возможность раскрывающихся нем правой кнопкой Рисунок 7. Выбор формата ячейки
списков (Enable drilldown), полезная «мыши» в соответс-
опция в случае большого количест- твующих полях и перейдем на пункт
ва сгруппированных данных; «Properties» (свойства). Откроется ок-
 возможность расчета промежуточ- но, в котором можно задать формат
ных итогов (Include subtotals). для данной ячейки (см. рис. 7).
После того как мы отформатиро-
Последнюю опцию лучше выстав- вали вывод, изменили размеры стол-
лять вручную, так как мастер расстав- бцов и ячеек, немного можно добавить
ляет формулы для промежуточных оформления и получится отчет, кото-
итогов автоматически для всех по- рый можно показать начальству, впро-
лей, содержащих цифры, что некор- чем, не очень строгому (см. рис. 8).
Рисунок 8. Предпросмотр готового
ректно (зачем нам складывать номе- отчета в VS
ра заказов?). Второй отчет
Последний шаг, который мы выпол- Теперь, когда базовые понятия опреде- Теперь переходим на вк ла дк у
ним, будет – определение внешнего ви- лены, можно разработать отчет слож- «Layout», и кликнем правой кнопкой
да отчета. Здесь уже все зависит от ва- ней и с большим функционалом. Плюс мыши на поле ниже нашей табли-
ших цветовых и стилистических пред- к этому рассмотрим публикацию отче- цы (см. рис. 10). Переходим в пункт
почтений. На выбор дается пять вари- та на сервере RS. «Report Parameters». В открывшем-
антов оформления. После этого шага Если при создании проекта в «мас- ся окне – вы увидите уже определен-
нажмем в «мастере» кнопку «Finish» тере» вы пометили источник данных ный параметр Company. Как видите,
(пропустим шаг публикации отчета на как общий, то в окне Solution Explorer VS обработал наш запрос, и перемен-
сервере RS). Теперь назовем наш от- у вас должна быть картинка примерно ные с префиксом @ автоматически за-
чет «Информация о заказах» и, пос- как на рис. 9. считал как параметры, передающие-
тавив галочку в «Preview report», наж- Кликнем, правой кнопкой мыши ся в запрос. В окне Report Parameters,
мем «Finish». на папке Reports и выберем пункт можно опреде-
Как видите, отчет у нас получился «Add New Report». Откроется привыч- лить несколь-
слишком простой, но не спешите с вы- ный «мастер», но мы уже можем ис- ко полез ных
водами. Красоту и удобочитаемость пользовать «Общий» источник дан- с в о й с т в д л я
только предстоит настроить. Описы- ных. Проходим все шаги «мастера» п е р е м е н н о й.
вать все возможности разработки от- точно так же как и для первого от- Здесь мы уже
четов в среде VS не хватит и книги, по- чета, только изменим немного стро- о п р е д е л я е м
этому я кратко опишу то, что нам пот- ку запроса: тип перемен-
ребуется в первую очередь. ной, значение
Работать с отчетом нам предстоит SELECT OrderID AS 'Номер заказа', ↵ по умолчанию,
OrderDate AS 'Дата заказа', ↵
в основном в трех вкладках, это: RequiredDate AS ↵ список доступ-
 Preview – для просмотра отчета. 'Дата исполнения', ↵ ных значений,
Freight AS 'Стоимость'
 Layout – д ля редак тирования FROM Orders псевдоним для Рисунок 9.
WHERE CustomerID = Добавление нового
свойств таблицы и внешнего вида запроса поль- отчета в проект
(SELECT CustomerID
отчета. FROM Customers зователю и т. п.
 Data – для редактирования тела за- WHERE CompanyName LIKE ↵ (см. рис. 11).
@Company+'%')
проса и источника данных. Немного
Те, кто знаком с Transact SQL, сра- о т ф о р м а т и -
В поле Layout находится наиболь- зу же заметят ошибку в запросе. Пе- руем таблицу
шее количество полезных для нас на- ременная @Company не объявлена отчета, и пе -
строек. Их я опишу подробнее позже, и не типизирована. Но это особенность рейдем к фи- Рисунок 10.
Доступ к списку
когда мы будем создавать более слож- работы с VS и службой RS. на льной с та- параметров отчета

№1, январь 2007 17

 администрирование
вим галочку «Hide in
list view» (не отобра-
жать в списке), что-
бы она не отобража-
лась в обычном пред-
ставлении на веб-уз-
ле (см. рис. 12).
Вернувшись
на узел, мы не уви-
дим созданную на-
Рисунок 12. Создание папки
ми папку, до тех пор, на веб-узле RS
пока не нажмем на
кнопку «Show Details» (см. рис. 13).
(подробно). Перей- Для отчета с параметром (вто-
Рисунок 11. Редактирование свойств переменной дем в папку Data и на- рой отчет) будет доступна опция
жмем кнопку «New «Parameters», в которой можно перео-
дии создания отчета – размещение его Data Source» (новый источник данных). пределить некоторые значения. Каж-
на сервере с RS. Откроется окно для создания источни- дому отчету можно установить лимит
ка данных. В поле Name, Description на выполнение, и разграничить до-
Публикация отчета можно вводить произвольные данные, ступ к нему по пользователям из Active
Публиковать отчет на сервере можно отметим пункт «Hide in list view и Enable Directory.
двумя способами: data source», тип соединения выбира- В свойствах доступно еще несколь-
 Из VS (публикуется весь проект). ем SQL Server. ко опций, с ними я думаю, вы разбере-
 Через веб-интерфейс RS. Данные в поле Connection String тесь сами.
имеют следующий формат. Теперь можно запускать отчеты
Я рассмотрю второй способ, так как на выполнение, по вкладке «View»
он дает большее понимание процесса data source=CTX; ↵ (см. рис. 14).
initial catalog=Northwind
публикации, чем непрозрачные дейст- Сформированный отчет можно эк-
вия VS. где: спортировать в 7 форматов, в их чис-
Для размещения отчета, мы долж-  data source – Net-BIOS-имя серве- ле Excel, PDF, XML, html и т. п.
ны через браузер зайти на страни- ра MS SQL (это может быть как IP-
цу RS. На этой странице есть меню адрес, так полное доменное имя Резюме
для операций с отчетами, источни- сервера); Отчеты – важная составляющая функ-
ками данных, и некоторой настрой-  initial catalog – имя нашей БД ционала любой базы данных. Удобный
ки веб-узла. Первое, что я посовето- на сервере. инструмент для их разработки должен
вал бы сделать, – разместить в отде- иметь, как минимум, 3 качества:
льной папке Источник данных. Для это- Указываем имя пользователя и па-  Позволять пользователю выбирать
го создаем папку Data. При этом ста- роль для доступа к БД и жмем «ОК». параметры для запроса.
Теперь можно загру-  Уметь разграничивать доступ к раз-
зить оба наших от- личным отчетам.
чета.  Экспортировать в различные фай-
Для загрузки от- ловые форматы результаты запро-
ч е то в и с п ол ь зуе м са.
пункт «Upload File»
(з а г ру з к а ф а й л а) . Всеми этими свойствами система
Из нашего проекта обладает.
мы должны загрузить Минусы этой системы очевидны:
файлы с расширени- высокая стоимость. Использование ре-
Рисунок 13. Назначение источника данных для отчета ем rdl. После загруз- шений на основе Open Source гораздо
ки файлов, перей- дешевле для внедрения и использова-
дем в свойства од- ния, но лично мне неизвестны подоб-
ного из загруженных ные Open Source-проекты, учитывая,
отчетов. что мы рассмотрели лишь вершину ай-
На вкладке «Data сберга этой технологии.
source» (ис точник
данных) нужно ука- 1. http://msdn2.microsoft.com/ru-ru/library/
зать созданный нами ms166344.aspx.
ранее источник дан- 2. ht t p : / / c it fo r um.r u / d at ab ase / m s sql /
Рисунок 14. Так выглядит отчет, размещенный на сервере RS ных и нажать «Apply» reporting_services.

18

Выполнение произвольного кода
в Microsoft Visual Studio WMI Object
Broker ActiveX-компоненте
Программа: Microsoft Visual Studio 2005.
Опасность: Критическая.
Описание: Уязвимость существует из-за неизвестной ошиб-
ки в WMI Object Broker ActiveX-компоненте (WmiScriptUtils.dll).
Злоумышленник может выполнить произвольный код на це-
левой системе с помощью специально сформированного
веб-сайта, открытого в Internet Explorer.
URL производителя: www.microsoft.com.
Решение: Установите исправление с сайта производи-
теля.
Переполнение буфера при обработке
PE-файлов в BitDefender
Программа: BitDefender Internet Security 9.x, BitDefender
for MS ISA Server, BitDefender for MS Exchange 5.5 1.x,
BitDefender for MS Exchange 2003 1.x, BitDefender for MS
Exchange 2000 1.x, BitDefender Antivirus Standard 9.x,
BitDefender Antivirus Standard 8.x, BitDefender Antivirus
Professional Plus 8.x, BitDefender Mail Protection for Small
Business 1.x.
Опасность: Критическая.
Описание: Уязвимость существует из-за целочисленно-
го переполнения при обработке определенных PE-фай-
лов. Удаленный пользователь может с помощью специаль-
но сформированного PE-файла вызвать переполнение ди-
намической памяти и выполнить произвольный код на це-
левой системе.
URL производителя: www.bitdefender.com.
Решение: Установите последнюю версию с сайта произ-
водителя.
Несколько уязвимостей в антивирусе
NOD32
Программа: NOD32 for Domino 2.x, NOD32 for DOS 1.x, NOD32
for FreeBSD 1.x, NOD32 for Linux 1.x, NOD32 for MS Exchange
Server 0.x, NOD32 for NetBSD 1.x, NOD32 for Novell Netware
Server 1.x, NOD32 for OpenBSD 1.x, NOD32 for Windows 95/
98/ME 2.x, NOD32 for Windows NT/2000/XP/2003 2.x.
Опасность: Критическая.
Описание: 1. Целочисленное переполнение при обработ-
ке DOC-файлов позволяет переполнить динамический бу-
фер через специально обработанный DOC-файл и выпол-
нить произвольный на целевой системе.
2. Ошибка деления на нуль при обработке CHM-файлов
позволяет вызвать отказ в обслуживании через специаль-
но обработанный CHM-файл. Уязвимость была обнаруже-
на 24 августа и устранена 8 сентября через механизм авто-
обновления без соответствующего уведомления.
URL производителя: www.eset.com.
Решение: Установите NOD32 1.1743 или более высокую
версию.
№1, январь 2007
bugtraq
Множественные уязвимости
в Mozilla Firefox
Программа: Mozilla Firefox версии до 1.5.0.9 и 2.0.0.1.
Опасность: Критическая.
Описание: 1. Обнаружены различные ошибки в механиз-
мах раскладки и JavaScript. Удаленный пользователь мо-
жет с помощью специально сформированной веб-страни-
цы вызвать повреждение памяти и потенциально выпол-
нить произвольный код на целевой системе.
2. Уязвимость существует из-за ошибки при умень-
шении работы точности процессоров с плавающей точ-
кой на Windows-системе при загрузке плагина, создающе-
го Direct3D-устройство. Злоумышленник может заставить
функцию js_dtoa() потребить все доступные ресурсы на сис-
теме и вызвать отказ в обслуживании.
3. Уязвимость существует из-за ошибки проверки гра-
ниц данных во время установки курсора в Windows bitmap
с использованием CSS-свойства курсора. Удаленный поль-
зователь может вызвать переполнение динамической памя-
ти и выполнить произвольный код на целевой системе.
4. Обнаружена ошибка в JavaScript функции watch(). Уда-
ленный пользователь может выполнить произвольный код
на целевой системе.
5. Уязвимость существует в LiveConnect, которая позво-
ляет уже освобожденному объекту быть использованным
еще раз. Удаленный пользователь может выполнить про-
извольный код на целевой системе.
6. Уязвимость существует из-за ошибки при обработке
атрибута src в теге IMG, загруженном во фрейме. Удаленный
пользователь может изменить атрибут на «javascript: URI»
и выполнить произвольный javascript-сценарий в браузере
жертвы в контексте безопасности сайта.
7. Ошибка повреждения памяти обнаружена при об-
работке SVG. Удаленный пользователь может выполнить
произвольный код путем присоединения SVG-коммента-
рия DOM-узла от одного документа к другому типу доку-
мента (например, HTML).
8. Свойство «Feed Preview» в Firefox 2.0 может позволить
злоумышленнику получить доступ к потенциально важным
данным при получении иконки агрегатора новостей.
9. Регрессия прототипа Function в Firefox 2.0 может поз-
волить злоумышленнику выполнить произвольный код сце-
нария в браузере жертвы в контексте безопасности уязви-
мого сайта.
URL производителя: www.mozilla.org.
Решение: Установите последнюю версию (1.5.0.9 или
2.0.0.1) с сайта производителя.
Составил Александр Антипов
19
 администрирование

Как быстро и эффективно провести учет

компьютерной техники

Алексей Бережной
Программный комплекс CheckCfg + Sklad позволит вам организовать учет аппаратного
и программного обеспечения, построить необходимые отчеты, и при этом получить
дополнительные возможности для анализа состояния компьютерной техники
и администрирования сети.

Т
ак или иначе, вам приходится стал-
киваться с задачей учета компью-
терной техники в вашей компа-
нии. Решить эту проблему можно по-
разному.
Вариант первый – не учитывать
совсем. При кажущейся простоте ре-
шения это чревато проблемами в даль-
нейшем. Во-первых, рано или поздно
придется отчитываться за имеющие-
ся в наличии материальные ценности.
Во-вторых, владение актуальной ин-
формацией об используемом аппарат-
ном и программном обеспечении поз-
воляет вовремя выполнять замену ус-
таревшего и вышедшего из строя обо-
рудования, планировать закупку тех-
ники и программных лицензий, быст-
рее выполнять работы по обслужива-
нию заявок, поступающих от пользо-
вателей в отдел IT.
Вариант второй – использовать
для учета средства офисных при-
ложений. Например, вести таблицу
в MS Excel или другом табличном ре-
дакторе. Плюсы: тривиальное реше-
ние, требующее только навыков в ис-
пользовании табличного редактора.
Минусы: необходимость вводить все
данные вручную, трудности при об-
новлении, отслеживании изменений
в конфигурации оборудования. Хо-
рошо, если в сети 10-20 компьюте-
ров. Гораздо хуже обстоит дело, ес-
ли имеется крупная сеть свыше 500
компьютеров. В этом случае отсле-
дить все производимые изменения
затруднительно.
Несколько лучше обстоят дела, ког-
да вместо табличного редактора ис-
пользуется программа на базе попу-
лярной системы управления базами
данных, например 1С. В этом случае
значительно облегчен поиск данных,
производится проверка дублирова-

20
 администрирование
ния записей, имеются средства пост-
роения различных отчетов. Но в целом Основные возможности  Применение гибкой конфигурации уче-
эта система не избавлена от главного совместного использования та компьютерной техники вашей орга-
недостатка – необходимости вручную программ CheckCfg и Sklad низации.
собирать информацию.  Сбор данных об аппаратной и програм-  Занесение информации о ремонтах
И, наконец, третий вариант – вос- мной конфигурации. и модернизациях.
пользоваться программой для авто-  Автоматическое занесение полученной  Генерация отчетов.
матического сбора информации об информации в базу данных.  Приятные мелочи, полезные для сис-
аппаратной конфигурации компьюте-  Легкость настройки программы и ре- темного администратора.
ров с последующим занесением в ба- дактирования данных.
зу данных. Этот вариант имеет следу-
ющие преимущества: сбор конфигура- У нас в сети имеется компьютер в результате проверки CheckCfg. В на-
ции производится автоматически и тре- Comp1 с папкой для общего доступа шем случае c:\programs\checkcfg\date.
бует лишь небольшого редактирования Program. Программа CheckCfg распо-
в дальнейшем. Хранение информации ложена в этой папке. Таким образом, Создаем структуру
в формате базы данных значительно путь к программе CheckCfg: \\comp1\ компании
облегчает последующее построение programs\checkcfg. Настроим автома- Перед первым запуском программы
отчетов. Автоматическое обновление тический запуск программы на ком- вас поприветствуют и вежливо побла-
информации о конфигурациях компью- пьютерах клиентов. Способов для это- годарят за ее использование. После
теров позволяет повысить оператив- го существует масса: добавить ярлык этого вам предложат создать пример
ность при работе с базой данных. в «Автозагрузку» (StartUp), помес- структуры на базе некоего абстракт-
Сегодня речь пойдет о программном тить соответствующий ключ в реестр ного предприятия. Лучше согласить-
комплексе CheckCfg + Sklad. Автор этих или организовать запуск стартового ся на этот шаг, чтобы у вас перед гла-
программ – Андрей Татуков. Офици- скрипта через GPO. При каждом стар- зами был понятный образец. А ненуж-
альный сайт: http://checkcfg.narod.ru/ те компьютеров программа CheckCfg ные элементы всегда можно удалить.
index.htm. будет обновлять файлы c результата- Мы же будем использовать получившу-
ми работы. Найти их можно в катало- юся структуру в качестве примера для
Идеология использования ге \\comp1\programs\checkcfg\date. Ка- иллюстрации работы программы.
Программа CheckCfg анализирует кон- талог будет создан при первом запус- Наконец, мы добрались до пер-
фигурацию компьютера и записывает ке программы CheckCfg. По умолча- воначального окна программы Sklad
полученную информацию в файл. нию эти файлы носят названия, соот- (см. рис. 1).
Sklad при запуске автоматичес- ветствующие MAC-адресам сетевых Окно программы напоминает окно
ки обрабатывает файлы, созданные карт компьютеров. Мы предполагаем, обычной MMC-консоли Windows. Точно
CheckCfg, и помещает найденную ин- что программа Sklad будет запускать- так же вверху мы видим меню програм-
формацию в свою базу данных. После ся с компьютера Comp1. Поэтому боль- мы, справа – дерево объектов (контей-
чего можно формировать отчеты. шинство путей настроек будет указа- неров), слева – информацию о выбран-
Что сразу немного не понравилось – но в виде c:\programs\checkcfg. В слу- ном объекте. Внизу находится панель
для запуска программы Sklad_2.exe чае, если предполагается иная конфи- инструментов, позволяющая нам со-
требуется установить Borland Database гурация сети, в настройках програм- хранить сделанные изменения, найти
Engine (BDE). Хотя это не проблема, по- мы должны быть указаны соответс- нужный объект в дереве, вставить но-
тому что установочный вариант с инс- твующие пути. вый объект в соответствующий контей-
трукцией выложен на сайте программы Распакуем программу Sklad в ката- нер. Манипулировать объектами мож-
по адресу: http://checkcfg.narod.ru/soft/ лог c:\programs\Sklad. Остается только но при помощи мыши или используя
bde_all.zip. Нужно только скачать и рас- прописать пути к файлам, созданным пункт меню «Навигация».
паковать этот архив в каталог Windows
и запустить файл install.bat.

Устанавливаем
программы
Теперь рассмотрим работу програм-
много комплекса более подробно
на примере.
Мы настроим программы CheckCfg
и Sklad для дальнейшей работы, со-
здадим шаблон некой организации
и на его основе рассмотрим проце-
дуры занесения информации в базу
данных, ее редактирование и созда-
ние отчетов. Рисунок 1. Окно первого запуска программы Sklad

№1, январь 2007 21

 администрирование
Рисунок 2. Распределенная техника
Рисунок 3. Окно просмотра журнала
Благодаря созданию примера
структуры предприятия у нас не пустое
окно, а уже созданные подразделения:
«Дирекция» и «Бухгалтерия», содер-
жащие соответствующие контейнеры
пользователей: Иванов Иван Иванович
и Петров Петр Петрович с Сидоровым
Сидором Сидоровичем соответствен-
но. Также на нижней панели есть кноп-
ка удаления и checkbox для разреше-
ния автосохранения. Последняя кноп-
ка с изображением собачки на нижней
панели означает выход из програм-
мы. (Пользователям программы нужно
привыкнуть, что рисунок собачки озна-
чает то же самое, что и «Выход».)
Объекты, внутри которых могут
располагаться другие объекты, мы бу-
дем также называть контейнерами или
организационными единицами.
Добавлять организационные еди-
ницы в виде отделов и сотрудников,
а также компьютеры, мониторы и дру-
гие объекты можно, используя ме-
ню «Навигация → Добавить» или на-
жав правую клавишу мыши, выбрать
из появившегося меню соответствую-
щий пункт. Но для иллюстрации рабо-
ты программы нам вполне хватит и по-
лучившейся структуры.
Заносим информацию
в базу данных
Теперь нам нужно занести в базу
данных существующие конфигура-
ции компьютеров. Для этого нужно
из меню «File» выбрать пункт «Нас-
тройки → Настройки CheckCfg». По-
является окно с напоминанием того,
22
что мы должны указать путь к файлу
checkcfg.ini. В этом окне в правом вер-
хнем углу щелкаем мышкой на кноп-
ке «Настроить» и в новом окне вво-
дим путь к файлу checkcfg.ini, создан-
ному программой CheckCfg, в нашем
случае – c:\programs\checkcfg. Клик-
нем мышкой на кнопке с изображе-
нием собачки и возвращаемся в окно
«Настройки CheckCfg». После указания
пути к файлу checkcfg.ini у нас в поле
«Каталог для выходных данных» появи-
лось соответствующее значение.
Нам остается только закачать дан-
ные, получившиеся после работы
CheckCfg, в программу Sklad. Для этого
выбираем меню «File → Обновить дан-
ные… → Всего предприятия». Здесь
нам снова необходимо выбрать путь
нахождения файлов с результатами
работы программы CheckCfg. Щелкаем
мышкой на верхнюю кнопочку с изобра-
жением открытой папки. В появившем-
ся окне выбора выбираем путь к фай-
лам, созданным программой CheckCfg.
Потом нажимаем мышкой на кнопку
«< Добавить». И после всего активизи-
руем процесс закачки файлов, нажав
на кнопку «Пуск» в данном окне.
Далее программа попросит под-
твердить возможность создать ката-
лог sklad.tmp для хранения времен-
ных файлов. (Честно говоря, я не ви-
жу причин, из-за которых мы должны
отказаться.)
После экспорта данных програм-
ма предложит автоматически распре-
делить неучтенные компьютеры. Пос-
ледствия выбора в большинстве случа-
ев особой роли не играют, поэтому ос-
тавляю этот шаг на ваше усмотрение.
Всё, данные внесены, теперь мо-
жем приступить к распределению
компьютеров по ответственным со-
трудникам.
В примере мы по большей части ис-
пользуем мышь. Хотя то же самое мож-
но выполнить, используя меню «Нави-
гация». В этом меню есть все необхо-
димое для управления объектами. Те-
перь нужно привязать учитываемую
технику к определенным сотрудникам.
Тут есть один нюанс. Если вы просто
перетащите мышкой значок контей-
нера компьютера на учетную едини-
цу сотрудника, программа предложит
нам поместить соответствующий ком-
пьютер перед контейнером.
Избежать этого можно, создав внут-
ри контейнера сотрудника хотя бы один
объект вручную. Поэтому мы пойдем на
небольшую хитрость: сначала созда-
дим внутри контейнеров пользователей
объекты типа «Примечание», а потом
уже будем перетаскивать на них кон-
тейнеры компьютеров. Почему имен-
но «Примечание»? Мы могли бы сразу
создать что-то более полезное, напри-
мер объект типа «Монитор». Пока речь
идет о рабочих станциях, это выглядит
логичным. Но если понадобится учиты-
вать серверное оборудование и т. п., мо-
ниторов, принтеров и другого перифе-
рийного оборудования, в данном слу-
чае может и не быть. Нажимаем правой
кнопкой мыши на контейнере соответс-
твующего пользователя, выбираем из
меню пункт «Добавить». Из появивше-
гося окна выбираем объект «Примеч.».
Нажимаем кнопку «Добавить». Теперь
объект «сотрудник» с именем «Иванов
Иван Иванович» превратился в полно-
ценный контейнер, и в него можно по-
местить другие объекты и контейнеры,
например, объект компьютер.
Перетаскиваем мышкой на объект
«Примечание» значок компьютера. По-
является окно с вопросом, например:
«Переместить Computer1 перед << Текст
Примечания >>». Подобные манипуля-
ции необходимо провести над всеми
контейнерами пользователей. В ито-
ге должно получиться что-то похожее
на окно, изображенное на рис. 2.
Теперь необходимо заполнить поля
с информацией об устройствах, стоя-
щих на учете. Выбираем соответствую-
щий объект в правой части окна и, на-
 администрирование
жав в левой части окна вкладку «До-
полнительно», заполняем следующие
поля: «Модель», «Заводской номер»,
«Дата прихода», «Стоимость», «Пос-
тавщик», «Накладная №», «Гарантия
до», «Инв. №», «Пломба №», «№ поме-
щения», «№ раб. места», «Должность»,
«Телефон» (если необходимо), «ФИО
мат. отв.» (Фамилия Имя Отчество ма-
териально ответственного лица).
Следует отметить, программа Sklad
не так уж проста, как кажется. Боль-
шинство действий, производимых
в программе, регистрируются в жур-
нале. Просмотреть журнал можно, вы-
брав пункт меню «Навигация → Про-
смотреть журнал».
Пример выполненных перемеще-
ний, занесенных в журнал, приведен Рисунок 4. Свод компьютерной техники по предприятию. Окно сохранения в различных
на рис. 3. форматах

Формируем отчеты
После занесения информации в базу
данных мы можем начать строить от-
четы. Отмечу, что помимо просмотра
все отчеты можно сохранять в форма-
тах: RTF, формате с разделителями
для импорта в Excel и в обычном тек-
стовом файле. Рисунок 5. Образец инвентаризационной ведомости
Первое, что нас интересует, это
статистика о том, какое оборудование бенно когда пользователи имеют воз- выбираем нужный компьютер, по-
и программное обеспечение использу- можность самостоятельно устанавли- том меню «Отчеты → Паспорт ком-
ется на предприятии. вать программное обеспечение на свои пьютера». Выводится длинный пере-
Для этого существует меню «От- компьютеры. Помимо перечня офици- чень технических характеристик все-
четы → Своды», далее из подменю ально купленных версий программно- го, что установлено, в том числе нас-
со списком сводов выбираем пункт го обеспечения и других полезных для тройки SMTP и POP3-протоколов поч-
«Свод по предприятию». Это общий администратора и бухгалтера вещей тового клиента и многое другое. Пре-
перечень оборудования, использую- можно получить информацию о том, красный способ держать «руку на пуль-
щегося на предприятии. Внешний вид чем пользователи занимаются на своих се», контролируя вверенные сетевые и
получившегося документа смотрите компьютерах, и сделать соответствую- локальные ресурсы.
на рис. 4. Чтобы сохранить получен- щие выводы. Как, например, из спис- И наконец, теперь переходим
ные результаты, нужно нажать мыш- ка установленных программ видно, что к главному. Ведомость инвентариза-
кой кнопочку с изображением диске- кое-кто из пользователей не прочь по- ции. Выбираем «Отчеты → Инвентари-
ты внизу окна. играть в игры на служебном компьюте- зация… → Инвентаризационная ведо-
Пункт «Свод по отделу» формиру- ре. Чтобы узнать, у кого установлена та мость». Появится окно с возможностью
ет аналогичный свод в рамках одно- или иная программа, необходимо на- выбора характеристик, по которым бу-
го подразделения. Для выбора соот- жать на изображение крестика рядом дет проводиться инвентаризация. От-
ветствующего отдела нужно выбрать с ее названием. мечаем необходимые пункты, которые
мышкой нужное подразделение в де- Еще очень полезная функция – мы хотим увидеть в инвентарной ведо-
реве объектов. «Уч е т н а я к а р т о ч к а т ех н ич е с к и х мости. Определяем формат вывода:
Следующий документ, который нам средств». Для того чтобы напечатать файл, совместимый с Excel или DBF.
не менее интересен – «Свод по вла- учетную карточку, необходимо пред- Поскольку формировать ведомость
дельцам». Любому системному адми- варительно выделить интересующий будем в Excel, выбираем соответству-
нистратору хотя бы раз в год необходи- компьютер. Потом выбираем пункт ющий пункт. Нажимаем мышкой кно-
мо знать, какое оборудование исполь- меню «Отчеты → Учетная карточка». почку «Сформировать». Появится ок-
зуется конкретным пользователем. Теперь можно распечатать карточку но с предложением выбрать имя сохра-
И еще один полезный для сис- и вручить пользователю под роспись. няемого файла.
темных администраторов пункт меню Функция «Паспорт компьютера» Вводим нужное нам имя файла
«Своды → Свод по программам». Осо- вызывается аналогичным образом – и получаем текстовый файл, пригод-

№1, январь 2007 23

 администрирование
министратору сети → Hosts») форми-
рует нормальный рабочий файл Hosts,
вполне пригодный к использованию
(напомним, что этот файл использо-
вался в сетях TCP/IP до изобретения
служб DNS и используется по сей день
в малых сетях, не имеющих собствен-
ного DNS-сервера).
Пример файла hosts:

# Local hosts
192.168.9.31 COMP1
192.168.9.32 COMP2
192.168.9.33 COMP3
Рисунок 6. Журнал ремонтов

ный для открытия в Excel. Образец Для этого выбираем меню «Отчеты → Еще очень полезная функция –
файла смотрите на рис. 5. Журналы → Ремонты». Получившийся формирование файла с перечнем имен
С такой ведомостью и в бухгалте- отчет можно увидеть на рис. 6. компьютеров и соответствующими
рии показаться не стыдно. Аналогичным образом поступаем MAC и IP-адресами. Вызывается эта
и в случае учета модернизаций. Выде- функция через меню «Отчеты → Адми-
Учет ремонтов, ляем необходимый объект, в данном нистратору сети → MAC and IP-addr».
модернизаций и инспекций случае снова Computer2. Выбираем Пример формируемого файла
Помимо учета установленного обо- вкладку «Дополнительно». Внизу, в ок- mac_ip.txt:
рудования по факту программа Sklad не ввода дополнительной информации
умеет вести учет ремонтов, модерни- выделяем пункт «Модернизации». Ана- # MAC IP Host
0006298FC845 192.168.9.31 COMP1
заций, а также выводить статистику логичным образом, как и в случае с вво- 000A5E6416D2 192.168.9.32 COMP2
о проведенных инспекциях. Для ил- дом информации о ремонтах, добав- 00C026AC48DB 192.168.9.33 COMP3
люстрации этого создадим записи ляем новую запись в журнал модерни-
о ремонте и модернизации одного ком- заций. Заполняем необходимые поля: Очень удобная вещь, особенно
пьютера. Потом введем информацию «Модернизируемый блок», «Описание при настройке DHCP-сервера.
о проведенной инспекции. И построим работ по модернизации», «Стоимость И последняя функция Static IP. Вы-
соответствующие отчеты. работ», «Кем проводились работы». зывается через меню «Отчеты → Ад-
Раскрываем учетную единицу «со- Теперь пробуем построить отчет. Вы- министратору сети → Static IP». На мой
трудник» «Петров Петр Петрович» бираем меню «Отчеты → Журналы → взгляд, не очень нужна, ибо практичес-
в подразделении «Бухгалтерия». Выби- Модернизации». Внешний вид отчета ки дублирует функцию mac_ip.txt. Вид
раем объект Computer2. В правой сто- очень похож на отчет о ремонтах. формируемого файла staticip.txt при-
роне окна выбираем вкладку «Допол- Ввод информации об инспекции веден ниже:
нительно». Внизу окна есть поля для производится полностью аналогично
ввода дополнительной информации. вводу информации о ремонтах и мо- # Static IP-address
192.168.9.31 COMP1 0006298FC845
Отмечаем пункт «Ремонты» и нажима- дернизациях. Выделяем компьютер, 192.168.9.32 COMP2 000A5E6416D2
ем кнопочку «Добавить» внизу окна или добавляем запись, заполняем необ- 192.168.9.33 COMP3 00C026AC48DB
выбираем пункт меню «Навигация → ходимые поля, в этом случае с инспек-
Добавить». Программа задаст вопрос циями: «Проинспектирован», «Место-
«Создать новую запись в журнале Ре- нахождение», «Владелец». В простом Резюме
монты?» После утвердительного отве- случае, аналогичном нашему в поле Мы рассмотрели большой объем функ-
та создается запись с соответствую- «Маркер» введем дату проведения ин- ций, предоставляемых программным
щим порядковым номером и текущей спекции. Для организаций, в которых комплексом CheckCfg + Sklad. Для спе-
датой. Изменить номер и дату можно, учет компьютеров поставлен не в при- циалистов IT-подразделений появи-
повторно щелкнув мышкой на имени мер строже, рекомендуется посетить лась возможность сэкономить массу
записи. После этого введем необходи- соответствующий раздел на сайте ав- времени, воспользовавшись этим про-
мые значения в поля «Ремонтирующая тора программы. граммным комплексом. Только пред-
организация», «Характер неисправнос- ставьте себе, что всё проделанное при-
ти», «Стоимость ремонта», «Дата полу- Приятные мелочи шлось бы делать по старинке, вручную
чения из ремонта» и нажимаем кнопоч- для системного занося данные о компьютерах в элект-
ку «Записать». Аналогичную операцию администратора ронную таблицу.
проделаем, перейдя на объект Monitor Стоит обратить ваше внимание на не- Хочется выразить искреннюю благо-
в организационной единице «сотруд- сколько забавных, на мой взгляд, дарность Андрею Татукову за этот велико-
ник» «Иванов Иван Иванович» в под- функций подменю «Администратору лепный программный комплекс, который
разделении «Дирекция». Все, теперь сети» из меню «Отчеты». Одна из них позволяет оптимизировать учет компью-
можем построить отчет о ремонтах. «Hosts» (вызывается «Отчеты → Ад- терной техники.

24
 администрирование

Настраиваем удаленный доступ к сети

с помощью MS ISA 2004

Андрей Бирюков
Возможность доступа к необходимым бизнес-ресурсам из любой точки мира – одно из условий
успешной работы компании. Но это не должно быть в ущерб безопасности. Рассмотрим
реализацию технологий удаленного доступа с помощью MS ISA 2004.

Ставим задачу
В предыдущей статье [1] мы разобра-
лись с основными моментами раз-
вертывания межсетевого экрана ISA
Server 2004 при подключении к Ин-
тернету, предоставили доступ в Ин-
тернет из локальной сети. Теперь на-
стало время организовать удаленный
доступ к локальным ресурсам.
Предположим, у нас есть некото-
рое веб-приложение, например, сис-
тема заказов on-line. Нужно организо-
вать защищенный доступ к этому ре-
сурсу с помощью SSL. Также сотруд-
ники компании ездят в командировку
и иногда работают из дома, поэтому
им необходимо предоставить доступ
по VPN. А еще у компании есть фили-
ал, сотрудникам которого также тре-
буется доступ в локальную сеть цен-
трального офиса. Приступим к реше-
нию всех этих задач.
Защищаем веб-трафик
Итак, нам необходимо организовать
защищенный доступ к веб-ресурсам
сети. В отличие от публикации обыч-
ных веб-ресурсов, не использующих
SSL, здесь существует ряд характер-
ных особенностей, о которых читай-
те дальше. Можно публиковать защи-
щенные веб-серверы, используя пра-
вила публикации веб-серверов по про-
токолу SSL. Публикация защищенных
серверов требует немного больше
предварительной работы, поскольку
нужно получить сертификат веб-сай-
та для публикуемого ресурса, связать
этот сертификат с сайтом на опубли-

26

кованном веб-сервере и затем связать
этот сертификат с сервером ISA, что-
бы последний мог выдать себя за этот
веб-сервер. Это позволяет ISA обес-
печивать высокую степень защиты
для веб-сайтов, опубликованных с по-
мощью правил публикации ресурсов
по протоколу SSL.
Далее мы обсудим следующие мо-
менты:
 сопряжение протокола SSL (SSL
Bridging);
 импорт сертификатов веб-сай-
тов в хранилище сертификатов
(certificate store) на машине бранд-
мауэра ISA;
 запрашивание сертификатов веб-
сайтов, чтобы брандмауэр пред-
ставлял защищенные веб-сайты;
 создание правил публикации веб-
серверов по протоколу SSL.
Начнем с сопряжения протокола
SSL – это свойство ISA, позволяющее
ему выполнять на прикладном уровне
проверку состояния SSL-соединений.
Дело в том, что традиционные межсе-
тевые экраны с отслеживающей соеди-
нения фильтрацией (например, аппа-
ратные решения) не могут выполнять
проверку прикладного уровня SSL-со-
единений, проходящих через них.
Межсетевой экран ISA поддержи-
вает два метода SSL-сопряжения:
 сопряжение SSL-c-SSL (SSL to SSL
bridging);
 сопряжение SSL-c-HTTP (SSL to
HTTP bridging).
Сопряжение SSL-c-SSL обеспе-
чивает защищенное SSL-соединение
от начала до конца. Сопряжение SSL
c HTTP гарантирует защищенное со-
единение между веб-клиентом и экра-
ном ISA, а затем разрешает пересыл-
ку открытого текста между ISA и опуб-
ликованным веб-сервером.
Основы сертификации
Зачастую, упоминания центров сер-
тификации (ЦС) (Certificate Authorities)
и инфраструктуры открытого ключа
(PKI, Public Key Infrastructure) доста-
точно, чтобы многие администраторы
отказались даже от обсуждения SSL-
протокола. Причиной этому является
то, что многие системные админис-
траторы плохо знакомы с этими тех-
нологиями и предпочитают обходить-
№1, январь 2007
ся без них. Однако на самом деле все
не так уж и сложно.
Служба Сertificate Server входит
в состав Microsoft Windows Server 2003,
и при необходимости ее всегда можно
установить. При установке Microsoft
Certificate Server (Сервер сертифика-
ции Microsoft) может быть выбрана од-
на из четырех ролей:
 Enterprise Root CA (корпоративный
корневой центр сертификации).
 Enterprise Subordinate CA (корпо-
ративный подчиненный центр сер-
тификации).
 Standalone Root CA (автономный
корневой центр сертификации).
 Standalone Subordinate CA (авто-
номный подчиненный центр серти-
фикации).
Корневой и подчиненный цент-
ры сертификации предприятия могут
быть установлены только на серве-
рах-членах службы каталогов Active
Directory. В контексте статьи предпо-
лагается, что мы используем Active
Directory, и соответственно можем ис-
пользовать Enterprise CA, поэтому при-
менение Standalone CA далее не рас-
сматривается.
Если вы не знакомы со средства-
ми администрирования центров сер-
тификации, описание процесса выпис-
ки и создания сертификата вы можете
найти в источниках [2, 3].
Импорт сертификатов
веб-сайтов в хранилище
сертификатов на сервере
ISA
Межсетевой экран ISA должен быть
способен выдать себя за опубли-
кованный веб-сер-
вер и идентифи-
цировать себя на
удаленном клиенте
как опубликован-
ный с ервер. Д ру-
гими словами, ISA
становится посред-
ником при созда-
нии защищенного
соединения между
удаленным клиен-
том и веб-сервером.
Ключевым компо-
нентом такой ими-
тации служит пол-
ное доменное имя Рисунок 1. Редактирование системных политик
администрирование
(FQDN) веб-сайта, на который выпи-
сывается сертификат. Для выполнения
этой задачи нужно установить серти-
фикат веб-сайта на сервере ISA. Пер-
вый шаг – экспорт сертификата с сай-
та защищенного веб-сервера. [3]
Когда экспортируете сертификат,
убедитесь, что включен приватный
ключ. Одна из самых распространен-
ных причин отказа в работе правил
публикации веб-серверов – экспорт
сертификата веб-сайта без его при-
ватного ключа.
Затем сертификат веб-сайта им-
портируется в хранилище сертифика-
тов на сервере ISA.
Сразу после импортирования сер-
тификата веб-сайта в это хранилище
сертификатов он становится доступ-
ным для связывания с веб-приемни-
ком. Необходимо помнить, что, если
нельзя связать сертификат с веб-при-
емником, значит сертификат импорти-
рован некорректно.
Запрос сертификата
пользователя
После импорта сертификата необхо-
димо сконфигурировать межсетевой
экран для представления сертифика-
та пользователям веб-сайта, которые
этого требуют. В нашем случае именно
такой сайт. Для того чтобы сконфигу-
рировать межсетевой экран для пред-
ставления сертификата пользовате-
лям, необходимо сначала запросить
сертификат для учетной записи сер-
виса Firewall.
Так как нельзя воспользоваться ос-
насткой Certificates (Сертификаты) кон-
соли ММС для запроса сертификата
учетной записи, воспользуемся воз-
27
 администрирование
Далее на страни- те узел Firewall Policy, затем выбери-
це «Welcome» щелк- те вкладку «Tasks», далее «Publish
ните кнопкой мыши a Secure Web Server» (опубликовать
на ссылку «Request защищенный веб-сервер). После это-
a certificate». Затем го вам предстоит ответить на вопро-
в ы б и р а е м « U s e r сы мастера установки. Здесь почти
Certificate». Устанав- все действия аналогичны публика-
ливаем сертификат, ции веб-ресурса без использования
нажав «Install this SSL, описанного в [1]. Какие отличия?
certificate» (рис. 2). На странице Publishing Mode есть два
После установ- переключателя: SSL Bridging и SSL
ки сертификат не- Tunneling (рис. 3).
обходимо экспор- Сопряжение (bridging), которое
тировать, для этого в некоторых источниках именуется
Рисунок 2. Редактирование системных политик в разделе браузе- SSL-проксированием, более безопас-
ра «Internet options» ное, так как обеспечивает защищенное
можностью импортировать пользова- зайдите на вкладку «Content», далее от начала до конца (end-to-end) шифро-
тельский сертификат, применяя веб- «Certificates». Выбрав isafirewall, на- ванное соединение, в то же время, раз-
сайт регистрации. Чтобы запросить жмите кнопку «Export». Экспорт не- решая ISA выполнять как отслеживаю-
сертификат для брандмауэра ISA с веб- обходимо осуществлять вместе с сек- щую состояние соединений фильтра-
сайта регистрации, мы должны снача- ретным ключом, указав «Export Private цию (аналогично традиционным меж-
ла создать учетную запись пользова- Key». После этого, указав пароль сетевым экранам), так и отслеживаю-
теля для сервера ISA. Создайте учет- для файла сертификата, мы получа- щую состояние соединения проверку
ную запись пользователя с именем ем необходимый файл. на уровне приложений. То есть полу-
isafirewall в службе каталогов Active Обратите внимание: полученный ченный пакет сначала расшифровы-
Directory до выполнения следующих файл нужно хранить в безопасном вается, затем проверяется на уровне
процедур. месте, так как он может быть исполь- приложений и потом снова зашифро-
Далее необходимо выполнить сле- зован для получения несанкциониро- вывается и отправляется на хост-по-
дующие шаги, чтобы запросить сер- ванного доступа к ресурсам сети. лучатель. Такая проверка позволяет
тификат для учетной записи сервиса Наконец, приступаем к завершаю- на уровне приложений просмотреть
Firewall. Для этого откройте консоль щему этапу подготовки к публикации содержимое каждого пакета и удос-
администрирования ISA, на вклад- веб-ресурса по протоколу SSL, им- товериться в том, что он не содержит
ке «Tasks» выберите «Show System портируем сертификат в учетную за- неавторизованных подключений. По-
Policy Rules». В списке «System Policy пись сервиса Firewall. Для этого от- этому для решения нашей задачи не-
Rules» щелкните правой кнопкой мы- кройте новую консоль MMC, выбери- обходимо выбрать именно этот режим
ши «Allow all HTTP traffic from ISA Server те в меню «File» опцию «Addr/Remove публикации.
to all networks (for CRL downloads)» Snap-in», далее оснастка Certificates. Что же касается SSL-туннелирова-
и левой кнопкой мыши команду «Edit После подключения оснастки выби- ния, то в этом режиме ISA не может
System Policy». Тем самым мы разре- райте параметр «Services account». За- осуществлять контроль за проходящим
шили весь HTTP-трафик от брандма- тем – сервис Microsoft Firewall из спис- через него контентом. Поэтому старай-
уэра ISA ко всем сетям, для загрузок ка Service account. тесь не использовать тунеллирование
списков сертификатов пользователей. Теперь сертификат связан с учет- до тех пор, пока не потребуется опуб-
Нажмем кнопку «Apply» для сохране- ной записью сервиса Firewall. Возмож- ликовать приложения, не совместимые
ния изменений и обновления полити- но, возникнет необходимость блокиро- с веб-прокси HTTP 1.1.
ки брандмауэра. Затем применим но- вать правило системной политики, со- Подробнее о SSL-bridging и SSL-
вую конфигурацию, нажав «Apply New зданное нами ранее, чтобы нечаянно tunneling можно прочесть в статье [4].
Configuration» (рис. 1). не воспользоваться обозревателем На странице Bridging Mode (режим
Мы сконфигурировали межсете- на межсетевом экране ISA. сопряжения) есть три переключателя:
вой экран для предоставления серти-  Secure connection to clients (защи-
фиката пользователя. Теперь необхо- Создание правила щенное соединение с клиентами);
димо получить сертификат. Для этого публикации веб-сервера  Secure connection to Web server
откройте браузер на сервере ISA и вве- по протоколу SSL (защищенное соединение с веб-
дите http://<certificateserver>/certsrv, Итак, утомительные манипуляции с ус- сервером);
где certificateserver – имя или IP-ад- тановкой сертификатов завершены,  Secure connection to clients and
рес ЦС предприятия в корпоративной теперь можно создать правило публи- Web server (защищенное соедине-
сети. В диалоговом окне «Connect to» кации веб-сервера, защищенного про- ние с клиентами и веб-сервером).
введите верительные данные учетной токолом SSL.
записи isafirewall и щелкните мышью Делается это следующим образом. Вариант Secure connection to clients
кнопку «ОК». В консоли администрирования открой- устанавливает соединение как сопря-

28

жение SSL c HTTP. Он защищает со-
единение веб-клиента с ISA, но раз-
решает передачу незащищенного от-
крытого текста между экраном и опуб-
ликованным веб-сервером.
Вариант Secure connection to Web
server позволит выполнить сопряже-
ние HTTP c SSL. Соединение меж-
ду веб-клиентом и межсетевым эк-
раном устанавливается по протоко-
лу HTTP, а соединение между серве-
ром ISA и веб-сервером – по прото-
колу SSL.
Вариант Secure connection to clients
and Web server наиболее защищен-
ный и предпочтительный. Он разре-
шает сопряжение SSL c SSL, в кото-
ром и соединение веб-клиента с ISA,
и соединение между ISA и опублико-
ванным веб-сервером защищаются
протоколом SSL. В нашем случае на-
иболее предпочтительным будет тре-
тий вариант.
После завершения работы мастера
остается только применить изменения,
и веб-ресурс будет опубликован через
защищенное соединение.
Основы VPN
Теперь приступим к организации уда-
ленного доступа к ресурсам локальной
сети с помощью VPN.
Одно из главных преимуществ
применения VPN-соединения по срав-
нению с клиент-серверным веб-при-
ложением заключается в том, что
VPN-пользователи, находящиеся да-
леко от локальной сети, могут полу-
чить доступ ко всем ресурсам корпо-
ративной сети. Программное обеспе-
чение VPN-клиента встроено во все
современные операционные системы
Windows. VPN-пользователю не нуж-
ны никакие специальные програм-
мные средства для подключения к лю-
бому из этих сервисов и нет необхо-
димости создавать специальные при-
ложения прокси, разрешающие ва-
шим пользователям подсоединяться
к этим ресурсам.
Существует два вида VPN-соеди-
нений: клиент-сервер и узел-узел.
Первый вариант позволяет под-
ключать удаленную рабочую станцию
к сети с помощью защищенного со-
единения.
Второй вариант позволяет соеди-
нять сети через защищенный тун-
нель.
№1, январь 2007
Перед настройкой…
Я опишу настройку обоих вариантов
использования VPN. Но перед тем
как начать описание настройки, не-
обходимо обсудить несколько воп-
росов. Прежде всего нужно постоян-
но помнить о том, что удаленный до-
ступ всегда является наиболее уяз-
вимым в защите корпоративной сети
от внешних вторжений. Поэтому надо
ограничивать доступ пользователей,
подключенных через VPN к локаль-
ной сети, предоставляя только необ-
ходимые для работы сервисы. В час-
тности, для соединений клиент-сер-
вер, если пользователь, удаленно под-
ключившийся к локальной сети, явля-
ется, к примеру, сотрудником бухгал-
терии, то ему должен быть доступен
только сервер бухгалтерии, если ме-
неджер, то только сервер отдела про-
даж и так далее. Аналогично и для со-
единений узел-узел, филиалам и уда-
ленным офисам должны быть доступ-
ны только те ресурсы, которые им не-
обходимы в работе, не более.
Выбор протокола
Следующий аспект – это протокол, ис-
пользуемый для VPN-соединения.
Для соединения узел-узел мож-
но использовать PPTP и L2TP/IPSEC,
но большинство разработанных сто-
ронними фирмами VPN-шлюзов не под-
держивают протоколы PPTP и L2TP/
IPSec для межшлюзовых VPN-каналов.
Вместо этого они требуют применения
туннельного режима протокола IPSec
для VPN-соединения. Межсетевой эк-
ран ISA 2004 в отличие от предыдущей
версии ISA 2000 поддерживает тун-
нельный режим про-
токола IPSec, таким
образом позволяя
создавать VPN-со-
единения узел-узел
м еж д у VPN - ш л ю -
зом ISA и шлюзом
стороннего произ-
водителя. Кроме то-
го, что вы можете
применять прото -
кол РРТР или прото-
кол L2TP/IPSec с вы-
соким уровнем за-
щиты для создания
каналов типа узел
в узел между дву-
мя ISA Server/VPN- Рисунок 3. Публикация защищенного веб-ресурса
администрирование
шлюзами, также ISA 2004 позволяет
использовать плохо защищенное со-
единение с применением туннельного
режима протокола IPSec для подключе-
ния к VPN-шлюзам сторонних фирм.
Тут необходимо сделать неболь-
шую оговорку, туннельный режим про-
токола IPSec поддерживается толь-
ко для VPN-соединений конфигура-
ции узел-узел.
Клиент-серверные VPN-соедине-
ния удаленного доступа, тем не менее,
используют только протоколы РРТР
или L2TP/IPSec. Туннельный режим
протокола IPSec уязвим для несколь-
ких хорошо известных атак, а прото-
кол L2TP/IPSec требует более стро-
гой аутентификации и не подвержен
этим атакам.
Таким образом, если есть выбор, го-
раздо лучше применять набор прото-
колов L2TP/IPSec для VPN-соединений
конфигурации узел в узел.
Аутентификация
Еще один аспект, также связанный
с безопасностью, это аутентификация,
используемая в VPN-соединениях.
В межсетевом экране ISA Server
2004, когда создаются VPN-соедине-
ния удаленного доступа и межшлюзо-
вые VPN-соединения, можно исполь-
зовать секретные ключи (pre-shared
keys) для аутентификации. Все маши-
ны VPN-клиентов, на которых выполня-
ется обновленное программное обес-
печение VPN-клиента для протокола
L2TP/IPSec, могут использовать сек-
ретный ключ для создания соедине-
ния удаленного доступа VPN-клиента
по протоколу L2TP/IPSec с ISA 2004/
29
 администрирование
Рисунок 4. Разрешаем доступ клиентам
по VPN
VPN-сервером.
VPN-шлюзы ОС Windows 2000
и Windows Server 2003 также можно
настроить для применения секрет-
ного ключа и установки соединений
узел в узел.
Секретные ключи являются попу-
лярным средством аутентификации.
Их преимущество – простота первона-
чальной настройки, так как достаточ-
но лишь распространить ключ между
участниками соединения.
Однако имеется и ряд недостат-
ков. Например, при использовании
в соединениях клиент-сервер, в слу-
чае изменения ключа на сервере, не-
обходимо будет вручную внести из-
менения на всех клиентах, в против-
ном случае установка соединения бу-
дет невозможна.
Другим средством аутентификации
является использование инфраструк-
туры открытого ключа PKI (Public Key
Infrastructure). Технология использует
сертификаты, о которых уже шла речь
Рисунок 5. Создаем сеть «узел-узел»
30
в первой части этой статьи [1], поэтому то для подтверждения подлинности
в примерах настроек, приведенных да- можно использовать RADIUS-аутенти-
лее, не будем рассматривать исполь- фикацию или локальные группы поль-
зование PKI. Подробнее об этом спо- зователей.
собе вы можете прочитать в [5]. На вкладке «Protocols» устанавли-
Другим возможным вариантом ваем «Enable РРТР». Тем самым со-
реализации VPN является использо- единение будет осуществляться с по-
вание протокола PPTP, для которо- мощью PPTP. Затем включаем «User
го не требуется ни PKI, ни pre-shared Mapping» и флажок «When username
key. Об этом методе и пойдет речь does not contain a domain, use this
далее. domain», указав имя домена. Эта опция
Приступая к реализации, прежде полезна в случаях, когда было введено
всего определимся с вариантами раз- только имя пользователя, без домена.
вертывания VPN. Будем организо- Далее необходимо применить из-
вывать сначала доступ по VPN в ло- менения. Теперь на вкладке «Tasks»
кальную сеть организации для уда- щелкните кнопкой мыши с трок у
ленных клиентов, а затем реализу- «Select Access Networks». В диалого-
ем соединение узел-узел для филиа- вом окне «Virtual Private Networks (VPN)
ла компании. Properties» выберите вкладку «Access
Networks».
Клиент-сервер Обратите внимание на то, что уста-
Первым делом при организации VPN- новлен флажок «External» (внешняя).
подключения клиентов необходимо Это означает, что внешний интерфейс
в консоли администрирования ISA вы- ожидает входящие соединения от VPN-
брать меню «Tasks» (задачи) и затем клиентов.
«Enable VPN Client Access». Затем не-
обходимо применить изменения, на- Настройка IP-адресации
жав «Apply New Configuration». Это важный шаг, в случае невер-
ной настройки проблемы с доступом
Настройка VPN-сервера для VPN-клиентов обеспечены. Вы-
На вкладке «Tasks» выбираем «Configure бираем вкладку «Address Assignment»,
VPN Client Access», далее на вклад- в раскрывающемся списке указыва-
ке «General» в диалоговом окне «VPN ем «Use the following network to obtain
Clients Properties» измените значение DHCP, DNS and WINS services» элемент
параметра «Maximum number of VPN «Internal». Затем выбираем вклад-
clients allowed» с 5 на 10 (рис. 4). ку «Authentication» (аутентификация)
Версия Standard Edition брандмау- Должен быть установлен только фла-
эра ISA поддерживает до 1000 парал- жок «Microsoft encrypted authentication
лельных VPN-соединений. version 2 (MS-CHAPv2)».
Да лее добавляем группы, вы- Необходимо применить настрой-
брав вкладку «Group» и нажав кноп- ки, нажав «Apply», и перегрузить сер-
ку «Add». В диалоговом окне «Select вер ISA. После перезагрузки ISA полу-
Groups» нажимаем чит блок IP-адресов от DHCP-сервера
кнопку «Locations», во внутренней сети.
указываем домен,
потом ну жно ука- Доступ для VPN-клиентов
зать группу пользо- Создается как стандартное правило
вателей, которым доступа, где в качестве исходящих
б у д е т р а з р е ш е н протоколов указываются All Outbound
удаленный доступ. protocols, а в качестве источника в пра-
В общем случае это виле доступа – VPN Clients.
может быть группа Настройка доступа по VPN на кли-
Domain Users. ентской машине производится с помо-
Обращаю ваше щью стандартного мастера Windows.
внимание на то, что
сервер ISA должен Узел-узел
быть членом доме- Итак, мы организовали доступ уда-
на. Если он не на- ленным сотрудникам, и теперь оста-
ходится в домене, лось предоставить доступ к ресур-

сам локальной сети удаленному офи- VPN-клиентам. Для этого в закладке
су. Для этого мы воспользуемся со- «VPN-Clients» указываем «Enable VPN
единением с использованием PPTP Client Access».
(Point-to-Point Tunneling Protocol).
Шаг 1. Сконфигурируйте
межсетевой экран ISA
в центральном офисе
Для этого в консоли администриро-
вания ISA 2004 открываем раздел
«Virtual Private Networks», в заклад-
ке «Tasks → Add Remote Site Network».
Далее с помощью мастера создания
новой сети указываем настройки уда-
ленной сети.
Обращаю ваше внимание на то,
что имя, данное при настройке масте-
ра, затем будет использоваться для со-
единения по требованию.
На странице «VPN» выбираем
протокол PPTP. Далее на странице
«Remote Site Gateway» укажите IP-ад-
рес удаленного межсетевого экрана,
также вы можете использовать пол-
ное доменное имя FQDN.
Затем разрешим из локальной се-
ти инициировать соединения с уда-
ленным офисом «Local site can initiate
connections to remote site using these
credentials» и укажем учетную запись,
которая будет использоваться для ау-
тентификации на удаленном межсете-
вом экране. В завершение настройки
укажите диапазон IP-адресов, которые
используются в удаленной сети.
Шаг 2. Создайте сетевое
правило в центральном офисе
В административной консоли откры-
ваем узел «Confiuration → Networks».
На панели «Details» выбираем вклад-
ку «Tasks». Далее создаем новое сете-
вое правило. Затем с помощью масте-
ра производим стандартные настрой-
ки, при этом в качестве сети назначе-
ния указываем сеть удаленного офи-
са. На странице «Network Relationship»
выбираем вариант «Route». Прави-
ло создано.
Шаг 3. Создайте правила
доступа в центральном офисе
Запускаем в разделе Firewall policy
мастер создания нового правила до-
ступа. Далее стандартный процесс со-
здания правила, в качестве сети на-
значения также указываем удаленный
офис. После завершения работы мас-
тера необходимо предоставить доступ
№1, январь 2007
администрирование
Обычная причина сбоев VPN-со-
единений заключается в том, что сер-
веры ISA не могут получить адрес
от DHCP-сервера и нет адресов, от-
Шаг 4. Создайте в центральном веденных для пула статических ад-
офисе учетную запись ресов. В этой ситуации ISA назна-
VPN-шлюз чает VPN-клиентам и шлюзам IP-ад-
Для этого необходимо, чтобы у учет- реса в диапазоне автосети (APIPA,
ной записи пользователя было то же 169.254.0.0/16).
имя, что и у интерфейса вызова по тре- Если обоим концам туннеля на-
бованию. То есть необходимо создать значены адреса из этого диапазона,
локальную учетную запись на серве- интерфейсы вызова по требованию
ре ISA, имя которой будет совпадать обеих машин размещаются в одной
с именем интерфейса. В свойствах и той же сети, что вызывает сбой в ли-
этой учетной записи нужно разрешить нии связи конфигурации узел в узел,
доступ Dial-In. так как при этом пакеты не могут опре-
делить маршрут к узлу назначения.
Шаг 5. Сконфигурируйте
межсетевой экран ISA Завершая разговор
в филиале Итак, мы рассмотрели возможнос-
Для этого необходимо повторить те же ти межсетевого экрана ISA 2004, поз-
шаги, что и для центрального офиса, воляющие обеспечить удаленный до-
с той лишь разницей, что начинать на- ступ к ресурсам локальной сети. Те-
до с создания сети удаленного офиса перь вы можете обеспечить защищен-
на брандмауэре филиала. ный доступ по SSL к веб-ресурсам ло-
кальной сети, а также по VPN ко всем
Шаг 6. Создайте сетевое необходимым сетевым службам. На-
правило в филиале пример, с помощью описанных в ста-
Здесь действия будут аналогичны про- тье функций сервера ISA можно орга-
изведенным при настройке правил низовать удаленный доступ пользо-
для центрального офиса, только сеть- вателей к почте через веб-интерфейс.
источник и сеть-назначения меняют- А после создания доступа по VPN со-
ся местами. трудники филиалов смогут без лиш-
них затрат времени работать с доку-
Шаг 7. Создайте правила ментами, находящимися в централь-
доступа в филиале ном офисе компании.
Это правило также аналогично создан- В следующей статье вы узнаете
ному ранее для центрального офиса. о тонкой настройке различных компо-
нентов ISA 2004, что позволит сущес-
Шаг 8. Создайте в филиале твенно оптимизировать работу межсе-
учетную запись VPN-шлюза тевого экрана и сети в целом.
Прежде всего создаем учетную запись
пользователя, которую VPN-шлюз цен- 1. Бирюков А. Устанавливаем межсете-
трального офиса сможет использовать вой экран Microsoft ISA Server 2004.
для аутентификации при установке со- //«Системный администратор», №12,
единения. Имя также должно совпа- 2006 г. – С. 4-8.
дать с именем интерфейса. 2. Развертывание PKI на Windows 2003
и XP – http://www.microsoft.com/technet/
Шаг 9. Активизируйте каналы prodtechnol/winxppro/plan/pkienh.mspx.
типа узел в узел 3. П о с т р о е н и е R o o t C A – h t t p : / /
Для активизации соединения необхо- www.microsoft.com/technet/security/
димо с рабочей станции, находящей- prodtech/windowsserver2003/
ся в удаленном офисе, попытаться про- build_ent_root_ca.mspx.
пинговать узел в сети главного офиса. 4. SSL Bridging and Tunneling. Описание
Если соединение конфигурации узел и сравнение – http://www.microsoft.com/
в узел заканчивается неудачей, убе- technet/isa/2004/help/cmt_authpass.
дитесь, что вы правильно определи- mspx?mfr=true.
ли назначения допустимых IP-адресов 5. Ос новной ресурс по PKI – ht tp://
для VPN-клиентов и шлюзов. www.microsoft.com/PKI.
31
администрирование

Подробное руководство
по настройке тонких клиентов
На основе дистрибутива Thinstation
и протокола NX
Часть 2

Евгений Бушков
В №12 за 2006 г. вы прочтёте о том, как собрать серверную часть NX и настроить дистрибутив
Thinstation для работы с ней. Сегодня разберёмся каковы особенности эксплуатации,
дополнительные настройки NX и Thinstation и как решать встречающиеся проблемы.

32
 администрирование
Доработка функционального окна VNC
При использовании VNC управление сеансом по умолча-
нию осуществляется клавишей <F8>. В нашей компании
пользователи используют dosemu c Dos Navigator, в нем ак-
тивно используется эта клавиша. Чтоб избежать конфлик-
та, я подправил в исходниках файл /nx_build_dir/nxviewer/
nxviewer/argsresources.c. Укажу, какие строчки я отредак-
тировал:

#<Key>F8: ShowPopup()\\n\
<Key>F12: ShowPopup()\\n\

#"*popupButtonCount: 6",
"*popupButtonCount: 2",

#"*popup*button1.label: Dismiss popup",

"*popup*button1.label: Close",

#"*popup*button2.label: Quit viewer",

"*popup*button2.label: Send F12",

#<Btn1Down>,<Btn1Up>: Quit()",
<Btn1Down>,<Btn1Up>: SendRFBEvent(key,F12) HidePopup()",

Таким образом, функция вызова меню VNC переназна-

чается c <F8> на <F12>, вместо 6 доступных в меню строк Рисунок 1. Настройки VNC-сессии NX-клиента
осталось только 2: закрыть меню при случайном нажатии
«Close» и послать код <F12>, если вдруг встретилась та- Настройки VNC-сессии NX-клиента вы можете посмот-
кая функциональная клавиша. Если вы не используете реть на рис. 1.
VNC-агента nxviewer, то вам это не пригодится.
Проблема с кириллицей
Проблема связки NX, Thinstation, Встретилась еще одна проблема с кириллицей: при рабо-
Firefox те в обычном режиме NX неправильно переключаются рас-
Почему я стал использовать nxviewer? Сам по себе NX ра- кладки (VNC это не касается, там все работает): в зависи-
ботает замечательно и в режиме приложений, и в режи- мости от указанной кодировки отображаются либо толь-
ме работы с удаленным рабочим столом. Но вот что вы- ко русские клавиши, либо только английские. Если у вас
яснилось: при работе в Firefox на внутреннем сайте на- встретилась такая проблема, то включите в скрипт запус-
шей компании встречаются страницы, необходимые для ка приложения следующую строчку:
работы, размером от 400 Кб и больше. Во время вывода
таких страничек на экран изображение останавливает- xterm -e setxkbmap -rules xorg -model pc105 ↵
-layout "us,ru" -variant ",winkeys" ↵
ся, и тонкий клиент перестает отвечать на запросы («ве- -option "grp:ctrl_shift_toggle,grp_led:scroll"
шается»).
Что я только не делал: менял сочетания версий Firefox, Например, у меня для запуска программы 1С под эму-
Thinstation, NX, менял настройки Firefox в строке «about: лятором WINE применяется sh-скрипт /usr/bin/1c, в ко-
config», задавал вопросы в форумах. Ничего не помогло, тором используются некоторые проверки, подключает-
большие странички от 400 Кб вызывают проблему. Причем ся нужный шрифт, вносятся изменения в реестр с помо-
эти же страницы нормально отображаются в Opera, но это щью reg-файла (для указания названий и путей баз 1С),
противоречит нашей ориентации на открытый Firefox. Со- и перед запуском самого 1С выполняется указанная вы-
здалось ощущение, что это связано с особенностями движ- ше строчка. При запуске сессии удаленного стола можно
ка данного браузера. также выполнить эту строчку в стартовых скриптах до-
Тогда пришлось перейти к использованию RVB/VNC- машнего каталога (~/.profile или ~/.bashrc) или системы
сессий в NX: на NX-сервере в настройках сервиса xinetd (/etc/bash.bashrc.local).
включается VNC-сервер. В первой части статьи (см. №12 Тогда всё должно наладиться.
за 2006 г.) на рисунке 3 показаны файлы настроек сес-
сий NX и TUX1C. В итоге там, где нужен Firefox, я исполь- Использование дисковых устройств
зую VNC-сессии в NX, во всех остальных случаях – обыч- тонких клиентов
ный режим NX. Еще одна тонкость. Если пользователям необходимо об-
Основным недостатком использования VNC являет- ращаться к дискетам или локальному диску с разделом
ся необходимость дважды вводить пароль: в окошке при- FAT16 (32) на своих тонких клиентах, то придется разо-
глашения NX-клиента, а потом при авторизации с помо- браться с Samba. Для этого добавляем в файл build.conf
щью оконного менеджера, например KDE, при соединении (см. №12 за 2006 г.) модули floppy, fvat, supermount и пакет
с VNC-сервером. Но на скорости работы это почти не отра- samba-server.
жается, так что все сказанное об NX справедливо и для сес- В первой части статьи (см. №12 за 2006 г.) на рисунке 3
сий VNC под NX. показано содержимое файла thinstation.conf.group-smb_hard,

№1, январь 2007 33

 администрирование
echo "X-SuSE-translate=true" >> ↵
~/Desktop/Harddisk.desktop
else
rm -f ~/Desktop/Harddisk.desktop
fi
# testing for floppy existence
floppy=`smbclient -NL $ip 2>/dev/null|grep floppy`
if [ "$floppy" != "" ]
then
echo "[Desktop Entry]" > ~/Desktop/"Floppy Disk";
echo "Encoding=UTF-8" >> ~/Desktop/"Floppy Disk";
echo "Icon=3floppy_mount" >> ~/Desktop/"Floppy Disk";
echo "Name=Floppy Disk" >> ~/Desktop/"Floppy Disk";
echo "Name[ru]=Floppy Disk" >> ↵
~/Desktop/"Floppy Disk";
echo "OnlyShowIn=KDE;" >> ~/Desktop/"Floppy Disk";
echo "Open=false" >> ~/Desktop/"Floppy Disk";
echo "Type=Link" >> ~/Desktop/"Floppy Disk";
echo "URL=smb://$ip/floppy" >> ~/Desktop/"Floppy Disk";
echo "X-KDE-KonqSidebarModule=konqsidebar_tree" >> ↵
~/Desktop/"Floppy Disk";
echo "X-KDE-TreeModule=Directory" >> ↵
~/Desktop/"Floppy Disk";
echo "X-SuSE-translate=true" >> ↵
Рисунок 2. Обычная работа на тонком клиенте ~/Desktop/"Floppy Disk";
else
rm -f ~/Desktop/"Floppy Disk";
в нем два последних параметра указывают: нет поддержки fi
жесткого диска, но есть поддержка флоппи-диска. Таких fi
fi
групп у меня несколько с различными сочетаниями значе-
ний параметров – в зависимости от необходимости в нуж- Единственное, что вы захотите здесь поменять, – это
ных устройствах. На этом же рисунке также показано со- в строчке с sudo изменить «grep 10\\.» в соответствии с на-
держимое файла thinstation.conf-MAC, в нем видно, что до- стройками вашей сети. То есть если сеть 192.168.10.0/255,
бавлена подгрузка пакетов samba-base и samba-server. то это будет «grep 192\\.», у меня используется сеть 10/8.
Теперь нужно создать ярлычки на рабочем столе поль- Я думаю, идея вам понятна. Теперь ярлычки на рабочем сто-
зователей в KDE. При этом если на тонком клиенте уст- ле будут появляться только тогда, когда на тонком клиенте
ройства нет, то и ярлычка этого устройства быть не долж- имеются соответствующие ярлыкам устройства.
но. Проверка осуществляется командой smbclient, а IP-ад- И еще добавлю замечание по поводу памяти: 32 Мб
рес клиента выясняется с помощью nxserver (я не настаи- на тонком клиенте хватает на то, чтобы кроме ядра
ваю, что это единственный способ). Thinstation (в котором у