Администрирование в информационных системах

DNS-сервер - сервер, содержащий сведения о части базы данных DNS, отвечающий на запросы DNS и разрешающий их.

DNS-суффикс - строка знаков, представляющая имя домена в DNS. DNS-суффикс показывает расположение узла относительно корня DNS, обозначая положение узла в иерархии DNS. Обычно DNS-суффикс описывает последнюю часть имени DNS, предваряемую одной или несколькими первыми метками имени DNS.

Пространство доменных имен:

В случае группировки по организационному уровню имена доменов первого уровня образуются тремя символами:

.edu (образовательные учреждения),

.com (коммерческие организации),

.org (некоммерческие организации),

.gov (правительственные организации),

.mil (военные учреждения) и др.

Выход Интернета за пределы США привел к тому, что возникла необходимость в учете национальной принадлежности организаций и учреждений. В связи с этим система построения пространства имен DNS была модифицирована. Было предложено группировать домены по их принадлежности к некоторому государству. Для этого используются имена, состоящие из двух символов. Например:

.ru (Россия),

.ie (Ирландия),

.аu (Австралия)

Помимо этого существует еще один домен первого уровня, который используется для группировки обратных доменов (reverse domains). Обратные домены применяются для осуществления поиска доменного имени хоста по его IP-адресу. Этот специальный домен получил название .аrра, и он являлся единственным доменом первого уровня, имеющим имя из четырех символов. Домен содержит только несколько доменов второго уровня: .in-addr.arpa., ip6.arpa

Вопросами создания доменов первого и второго уровней занимается специальная организация -- Корпорация Интернета по выделению имен и адресов (Internet Corporation for Assigned Names and Numbers, ICANN).

Архитектура службы DNS

Схема разрешения доменных имен



Локальная система разрешения имен: На первом этапе процесса в программе на локальном компьютере используется доменное имя DNS. Затем запрос передается в службу «DNS-клиент» для сопоставления с помощью локальной кэшированной информации. Если удается разрешить запрошенное имя, поступает ответ на запрос и процесс завершается.

Кэш локального сопоставления имен может включать информацию об именах из двух возможных источников.

Если имеется локальный файл Hosts, все сопоставления имен и адресов из этого файла предварительно загружаются в кэш при запуске службы «DNS-клиент».

Записи ресурсов, полученные в ответах на запросы из предыдущих запросов DNS, добавляются в кэш и сохраняются в нем в течение определенного периода времени.

Если клиент не находит сопоставления в кэше, процесс продолжается с помощью запроса на разрешение имени от клиента к DNS-серверу.

Рекурсивная схема разрешения доменных имен

Запрос к DNS-серверу: Клиент запрашивает основной DNS-сервер. Из глобального списка выбирается сервер, используемый на начальной стадии запроса от клиента к серверу.

Когда DNS-сервер принимает запрос, он сначала проверяет, можно ли дать удостоверяющий ответ на базе записей ресурсов, содержащихся в локальной зоне в конфигурации сервера. Если запрошенное имя соответствует информации в записи ресурса в локальной зоне, сервер дает удостоверяющий ответ, используя эту информацию для разрешения имени.

Если в зоне нет информации для запрошенного имени, сервер проверяет, можно ли разрешить имя, используя информацию предыдущих запросов в локальном кэше. При обнаружении совпадения, сервер отвечает с использованием этой информации.

Если на основном сервере не удается найти запрошенное имя -- ни в кэше, ни в зонах -- процесс выполнения запроса может продолжаться с использованием рекурсии для полного разрешения имени. При этом другие DNS-серверы помогают разрешить имя. Служба «DNS-клиент» по умолчанию указывает серверу использовать процесс рекурсии для полного разрешения имен в интересах клиентов перед возвращением ответа. В большинстве случаев DNS-серверы по умолчанию настраиваются на поддержку процесса рекурсии.

Зоны DNS: Центральным компонентом службы DNS является база данных, в которой хранятся записи о соответствии доменных имен некоторым IP-адресам.

База данных каждого DNS-сервера представляет собой фрагмент общего пространства имен DNS, распределенного между множеством серверов.

В терминологии DNS такие фрагменты пространства имен принято называть зонами (zone). Зона является основным административным элементом, посредством которого DNS-cepверы осуществляют управление процессом разрешения имен. При этом границы зоны не определяются доменной структурой.

Протокол динамической конфигурации хостов (DHCP)

Этот протокол позволяет решать сразу несколько задач, связанных с настройкой компонентов стека протоколов TCP/IP:

Автоматизация процесса конфигурирования хостов. Протокол DHCP избавляет администратора от необходимости вручную определять для каждого хоста параметры компонентов стека протоколов. Таким образом, можно исключить случайные ошибки при конфигурировании хостов и гарантировать, что все компьютеры получат одинаковые настройки.

Отслеживание изменений структуры сети. Протокол DHCP берет на себя обязанности по отслеживанию изменений структуры сети. При добавлении компьютера в сеть или перемещении его в другую подсеть протокол автоматически изменяет настройки стека протоколов компьютера.

Динамическое распределение IP-адресов. В случае использования протокола DHCP задача выделения IP-адресов решается следующим образом. Каждый компьютер при входе в сеть получает в аренду IP-адрес из некоторого диапазона адресов. При этом адрес выделяется хосту на определенный срок, по окончании которого хост должен либо продлить срок аренды, либо освободить адрес.

Механизм конфигурации клиента

Получив сообщение о том, что клиент принял предложение, сервер DHCP посылает клиенту подтверждение возможности использовать предложенный адрес. В пакет включается вся необходимая для конфигурации клиента информация, в том числе параметры, определенные в опциях DHCP, и параметры, связанные с продолжительностью аренды адреса. Основное назначение этого этапа заключается в том, чтобы подтвердить возможность пользоваться предложенным адресом, поэтому данный этап получил название DHCPACK (подтверждение DHCP).

WINS-- cлужба сопоставления NetBIOS-имён компьютеров с IP-адресами узлов. Сервер WINS осуществляет регистрацию имён, выполнение запросов и освобождение имён.

Служба Windows Internet Name Service (WINS) не применяет широковещание при разрешении имен компьютеров в IP-адреса, а использует динамическую базу данных, содержащую соответствия имен и IP-адресов

Введение в Active Directory. Архитектура. Доменная модель службы каталога. Иерархия доменов. Доверительные отношения. Специализированные роли контроллеров

Фактически Active Directory была реализована в испытательной среде в модели отдельного домена, содержащей более ста миллионов объектов. В качестве демонстрации масштабируемости корпорация Compaq Computer Corporation, теперь входящая в состав корпорации Hewlett-Packard, успешно объединила в модели отдельного домена сводные каталоги домашних телефонных номеров для всех пятидесяти штатов Соединенных Штатов Америки

Открытые стандарты службы Active Directory

Чтобы удовлетворить растущие запросы службы каталога в неизменно плюралистической вычислительной среде современного предприятия, Microsoft должен был включить открытые вычислительные стандарты в свои NOS и в свою реализацию службы каталога.

Серверное пространство может включать серверы Windows и Novell Netware, выполняющиеся на платформах Intel, UNIX-платформы, выполняющиеся на базе аппаратных средств RISC (компьютеры с сокращенным набором команд) и т.д.

пространство имен Х.500

Облегченный протокол службы каталогов (LDAP)

Функции службы каталогов

Централизация. Смысл централизации - уменьшение количества каталогов в сети. Включение информации обо всех сетевых ресурсах в централизованный каталог создает единственную точку управления, что упрощает администрирование ресурсов и позволяет эффективнее делегировать административные задачи. Кроме того, в сети появляется единая точка входа для пользователей, которая нужна, когда возникает необходимость в поиске ресурсов.

Масштабируемость. Служба каталогов должна допускать рост сети, не создавая при этом слишком больших издержек, - то есть она должна поддерживать какой-либо способ разбиения базы данных каталога на разделы, чтобы не утратить контроль над базой данных из-за ее чрезмерного разрастания и при этом сохранить преимущества централизации.

Стандартизация. Служба каталогов должна предоставлять доступ к своей информации по открытым стандартам. Это гарантирует, что другие приложения смогут использовать ресурсы в службе каталогов (и публиковать их в ней), а не поддерживать собственные каталоги.

Расширяемость. Служба каталогов должна тем или иным способом позволять администраторам и приложениям расширять в соответствии с потребностями организации набор информации, хранимой в каталоге.

Разделение физической сети. Благодаря службе каталогов топология физической сети должна быть прозрачной для пользователей и администраторов. Ресурсы можно находить (и обращаться к ним), не зная, как и где они подключены к сети.

Безопасность. Служба каталогов была бы крайне полезной злоумышленнику, так как она хранит подробную информацию о данной организации. Поэтому служба каталогов должна поддерживать защищенные средства хранения, управления, выборки и публикации информации о сетевых ресурсах.

Зачем мне нужна служба Active Directory

Централизованный каталог. Active Directory является единственной централизованной службой каталога, которая может быть реализована в пределах предприятия. Это упрощает сетевое администрирование, поскольку администраторы не должны соединяться с несколькими каталогами, чтобы выполнять управление учетными записями. Другая выгода от применения централизованного каталога состоит в том, что он может также использоваться другими приложениями, такими как Exchange Server 2000. Это упрощает полное сетевое администрирование, так как используется единая служба каталога для всех приложений.

Единая регистрация. После успешной идентификации пользователям будет предоставлен доступ ко всем сетевым ресурсам, для которых им было дано разрешение, без необходимости регистрироваться снова на различных серверах или доменах.

Делегированное администрирование. Active Directory предоставляет администраторам возможность передавать административные права. Используя мастер Delegation Of Control Wizard (Делегирование управления) или устанавливая определенные разрешения на объекты Active Directory, администраторы могут предлагать тонко настроенные административные права. Например, можно назначить определенной учетной записи пользователя административное право сбрасывать пароли в домене, но не создавать, удалять или как-либо изменять пользовательский объект.

Интерфейс общего управления. Есть несколько способов, которыми можно получить выгоду от интеграции между Active Directory и операционной системой. Один из путей состоит в использовании интерфейса общего управления - консоли управления Microsoft (ММС - Microsoft Management Console). При взаимодействии с Active Directory через графический интерфейс пользователя ММС все инструментальные средства управления дают согласующееся друг с другом впечатление и ощущение от их использования. Для Active Directory эти средства включают Active Directory Users And Computers (Active Directory: пользователи и компьютеры), Active Directory Domains And Trusts (Active Directory: домены и доверительные отношения) и Active Directory Sites And Services (Active Directory: сайты и службы). Оснастки ММС функционируют так же, как все другие средства администрирования Windows Server 2003, например оснастки DHCP и DNS.

Интегрированная безопасность. Служба Active Directory работает рука об руку с подсистемой безопасности Windows Server 2003 при аутентификации безопасных пользователей и обеспечении защиты общедоступных сетевых ресурсов. Сетевая защита в сети Windows Server 2003 начинается с аутентификации во время регистрации. Когда безопасный пользователь входит в домен Windows Server 2003, подсистема защиты вместе с Active Directory создает лексему доступа, которая содержит идентификатор защиты (SID - Security Identifier) учетной записи пользователя, а также идентификаторы SID всех групп, членом которых является данный пользователь. Идентификатор SID является атрибутом пользовательского объекта в Active Directory. Затем лексема доступа сравнивается с дескриптором защиты на ресурсе, и, если устанавливается соответствие, то пользователю предоставляется требуемый уровень доступа.

Масштабируемость. Поскольку организация либо постепенно растет в процессе бизнеса, либо это происходит быстро, через ряд слияний с другими компаниями и в результате приобретений, служба Active Directory спроектирована масштабируемой, для того чтобы справляться с этим ростом. Можно расширить размер доменной модели или просто добавить больше серверов, чтобы приспособиться к потребностям увеличения объема. Любые изменения в инфраструктуре Active Directory должны быть тщательно реализованы в соответствии с проектом Active Directory, который предусматривает такой рост. Отдельный домен, представляющий самый маленький раздел инфраструктуры Active Directory, который может реплицироваться на единственный контроллер домена, может поддерживать более одного миллиона объектов, так что модель отдельного домена подходит даже для больших организаций.

В рамках каталога Active Directory одним из основных понятий является понятие домена - совокупность компьютеров, характеризующихся наличием общей базы учетных записей пользователей и единой политики безопасности.

Использование доменов позволяет разделить пространство имен на несколько фрагментов. Каждый объект может принадлежать только одному домену.

Цели создания доменов:

Разграничение административных полномочий.

Создание единой политики безопасности.

Разделение доменного контекста имен.

Центральным компонентом домена выступают серверы, хранящие фрагменты каталогов. Такие серверы называются контроллерами домена.

Иерархия доменов

Windows позволяет организовать разные типа иерархии доменов.

Отношение между доменами по схеме «родитель-потомок». Имя дочернего домена включает в себя имя родительского домена.

Отношения, включающие несколько связанных деревьев - лес доменов (forest).



диск файловый домен дешифрование

Дерево доменов состоит из нескольких доменов, которые имеют общую логическую структуру и конфигурацию и образуют непрерывное пространство имен. Домены в дереве связаны между собой доверительными отношениями. Active Directory является множеством, которому принадлежат одно или несколько деревьев доменов.

Лесом называется одно или несколько деревьев, которые не образуют непрерывного пространства имен. Все деревья одного леса имеют общие логическую структуру, конфигурацию и глобальный каталог. Все деревья данного леса поддерживают друг с другом транзитивные иерархические доверительные отношения, устанавливаемые на основе протокола Kerberos. В отличие от дерева, лес может не иметь какого-то определенного имени. Лес существует в виде совокупности объектов с перекрестными ссылками и доверительных отношений на основе протокола Kerberos, установленных для входящих в лес деревьев

Доверительные отношения:

Для объединения объектов, хранящихся в разных доменов должны существовать определенные связи - доверительные отношения.

Механизм установленных доверительных отношений позволяет организовать процесс аутентификации объектов и субъектов системы.

Выделяют два типа доверительных отношений:

Односторонние доверительные отношения

Двусторонние доверительные отношения

Windows Server 2003 поддерживает шесть типов доверительных отношений:

Доверие к родительскому и дочернему доменам. Active Directory автоматически выстраивает транзитивные двусторонние доверительные отношения между родительскими и дочерними доменами в дереве доменов. Эти отношения двусторонние.

Доверие к корневому домену дерева. Двусторонние транзитивные доверительные отношения автоматически создаются и между корневыми доменами деревьев в одном лесу.

Доверие к внешнему домену. Внешнее доверие используется, когда нужно создать доверительные отношения между доменом Windows Server 2003 и доменом Windows NT 4.0. Поскольку ограниченные домены (down-level domains) (домены, не поддерживающие Active Directory) не могут участвовать в двусторонних транзитивных доверительных отношениях, следует использовать внешнее доверие, которое является односторонним.

Доверие к сокращению. Доверие к сокращению - это способ создания прямых доверительных отношений между двумя доменами, которые могут быть уже связаны цепочкой транзитивных доверий, но нуждаются в более оперативном реагировании на запросы друг от друга.

Доверие к сфере. Доверие к сфере служит для подключения домена Windows Server 2003 к сфере Kerberos, которая не поддерживает Windows и использует протокол защиты Kerberos V5. Доверие к сфере может быть транзитивным или нетранзитивным, одно- или двусторонним.

Доверие к лесу. Доверие к лесу упрощает управление несколькими лесами и обеспечивает более эффективное защищенное взаимодействие между ними. Этот тип доверия позволяет обращаться к ресурсам в другом лесу по той же идентификации пользователя (user IDentification, ID), что и в его собственном лесу.

Контроллеры домена: Контроллеры домена в доменах Windows отвечают за аутентификацию пользователей и содержат фрагмент каталога.

Некоторые операции могут выполняться только одним контроллером. Эти операции называются операции с одним исполнителем (flexible single-master operations - FSMO).

Контроллеры доменов могут выполнять специализированные роли:

Роли, требующие уникальности в пределах всего леса доменов:

Исполнитель роли владельца доменных имен

Исполнитель роли владельца схемы

Роли, требующие уникальности в пределах домена:

Исполнитель роли владельца идентификаторов

Исполнитель роли эмулятора основного контроллера домена

Исполнитель роли владельца инфраструктуры каталога.

По умолчанию все данные роли возлагаются на первый контроллер домена, установленный в лесе.

Процесс принудительной передачи функций специализированной роли другому контроллеру называется захватом роли.

Архитектура Active Directory

Внутренняя организация Active Directory

Многоуровневая архитектура Active Directory

Системный агент каталога (Directory System Agent, DSA). Выстраивает иерархию наследственных ("предок-потомок") отношений, хранящихся в каталоге. Предоставляет API-интерфейсы для вызовов доступа к каталогу. Клиенты получают доступ к Active Directory, используя механизмы, поддерживаемые DSA.

Уровень БД. Предоставляет уровень абстрагирования между приложениями и БД. Вызовы из приложений никогда не выполняются напрямую к БД, а только через уровень БД.

Расширяемое ядро хранения. Напрямую взаимодействует с конкретными записями в хранилище каталога на основе атрибута относительного составного имени объекта.

Хранилище данных (файл БД NTDS.dit). Управляется при помощи расширяемого механизма хранения БД, расположенного на контроллере домена.

LDAP/ADSI. Клиенты, поддерживающие LDAP, используют его для связи с DSA. Active Directory поддерживает LDAP версии 2. Клиенты Windows с установленными клиентскими компонентами Active Directory для связи с DSA применяют LDAP версии 3. Хотя ADSI является средством абстрагирования API LDAP, Active Directory использует только LDAP.

API-интерфейс обмена сообщениями (Messaging API, MAPI). Традиционные клиенты MAPI, например Microsoft Outlook, подключаются к DSA, используя интерфейс поставщика адресной книги MAPI RPC.

Диспетчер учетных записей безопасности (Security Accounts Manager, SAM). Репликация с резервных контроллеров в домене смешанного режима также выполняется через интерфейс SAM.

Репликация (REPL). При репликации каталога агенты DSA взаимодействуют друг с другом, используя патентованный интерфейс RPC

База данных Active Directory содержит следующие структурные объекты:

Разделы (сегменты). Разделы Active Directory называются контекстами именования (NC - Naming Contexts) и содержат следующие сегменты: раздел домена каталога, раздел конфигурации каталога, раздел схемы каталога, раздел глобального каталога, разделы приложений каталога.

Домены. Домен служит в качестве административной границы, он определяет и границу политик безопасности. Каждый домен имеет, по крайней мере, один контроллер домена (оптимально иметь два или более). Домены Active Directory организованы в иерархическом порядке. Первый домен на предприятии становится корневым доменом леса, обычно он называется корневым доменом или доменом леса.

Деревья доменов. Домены, которые создаются в инфраструктуре Active Directory после создания корневого домена, могут использовать существующее пространство имен Active Directory совместно или иметь отдельное пространство имен.

Леса. Лес определяет границу безопасности для предприятия, являясь общим для всех контроллеров домена в лесу. Все домены и доменные деревья существуют в пределах одного или несколько лесов Active Directory.

Сайты. Сайт представляет область сети, где все контроллеры домена связаны быстрым, недорогим и надежным сетевым подключением. Независимость логических компонентов от сетевой инфраструктуры возникает вследствие использования сайтов в Active Directory: они обеспечивают соединение между логическими компонентами Active Directory и физической сетевой инфраструктурой.

Организационные единицы. Организационные единицы предназначены для того, чтобы облегчить управление службой Active Directory. Они служат для создания иерархической структуры в пределах домена и используются, чтобы сделать более эффективным управление единственным доменом (вместо управления несколькими доменами Active Directory).

В рамках каталога Active Directory выделяется несколько крупных фрагментов каталога - разделов каталога, представляющих законченные непрерывные поддеревья (контексты имен):

Доменный раздел каталога

Раздел схемы каталога

Раздел конфигурации

Разделы приложений

Раздел глобального каталога

Любой объект каталога принадлежит к некоторому классу объектов со своей структурой атрибутов.

Определения всех классов объектов и совокупности правил, позволяющих управлять структурой каталога, хранится в специальной иерархической структуре - схеме каталога.

Все данные схемы хранятся в виде двух классов объектов:

Class Schema - класс, определяющий типы объектов

Attribute Schema - класс, определяющий атрибут объекта. Каждый атрибут определяется в схеме один раз и может использоваться при описании множества классов объектов.

Схема каталога хранится в отдельном разделе и допускает возможность расширения.

Глобальный каталог - специализированная база данных, содержащая фрагменты всех доменных контекстов имен.

Для исключения чрезмерного разрастания базы данных в нее включены значения только наиболее часто используемых атрибутов.

Контроллер домена, выступающий в качестве носителя такой базы данных, называется сервером глобального каталога. Он выполняется следующие функции:

Предоставление пользователям возможности поиска объектов в лесу доменов по атрибутам

Разрешение основного имени пользователя

Предоставление информации о членстве пользователя в различных группах с универсальной областью действия.

В лесу доменов присутствует по крайней мере один сервер глобального каталога. По умолчанию это первый контроллер созданный в домене.

Раздел конфигурации - используется для размещения сведений о структуре системы: список всех доменов и деревьев леса, перечень существующих контроллеров домена и серверов глобального каталога.

Доменный раздел - используется для размещения объектов, являющихся непосредственно частью домена. Здесь хранятся объекты, ассоциированные с пользователями, компьютерами, общими ресурсами. Данный раздел передается в рамках домена.

Разделы приложений - могут быть созданы для различных сетевых приложений. Разделы могут быть созданы администратором вручную или самими приложениями при помощи интерфейса программирования ADSI (Active Directory Service Interfaces). Создание таких разделов позволяет обращаться к приложениям используя общий подход доменных имен.

Физическая структура каталога. Репликация данных.

Корпоративная сеть - совокупность подсетей, соединенных между собой линиями связи.

Под узлом (site) в сетях Windows понимается совокупность подсетей объединенных высокоскоростными линиями связи.

В структуре каталога существует специальный класс объектов, описывающий связи между узлами, - соединение узлов.

Каждое соединение как объект каталога имеет следующие атрибуты:

Стоимость соединения

Расписание доступности соединения

Интервал репликации

Транспорт репликации

В качестве транспорта используются протоколы RPC и SMTP

Репликация внутри узла

При репликации баз данных каталога внутри узла осуществляется автоматически. В процессе репликации используется кольцевая топология (двунаправленное кольцо).

В процессе репликации применяется протокол RPC. Используется синхронное взаимодействие - принимающий партнер, отправляя запрос, ожидает ответа от передающего партнера

Репликации между узлами

Одной из причин объединения подсетей в узлы - необходимость управления процессом репликации между контроллерами домена на медленных линиях связи.

В процессе репликации между узлами передается только информация об изменениях в схеме и данных конфигурации. Для серверов глобального каталога - данные о подмножестве объектов всех доменов, образующих лес.

При передаче используются два протоколы: RPC и SMTP - для асинхронного взаимодействия.

При репликации между узлами существенную роль играют мостовые серверы

Мониторинг производительности сервера: основные подсистемы

Когда необходимо добиться максимального быстродействия и стабильности работы Windows Server, следует обратить внимание на встроенные счетчики производительности и средства анализа. Счетчики производительности и средства анализа позволяют найти слабые места и определить, что можно улучшить с помощью мониторинга текущих показателей производительности системы и средств накопления данных (журналов) о загруженности и производительности сервера. Для верной интерпретации полученных фактов необходимо понимать взаимосвязи аппаратных компонентов, влияющих на производительность сервера (Windows или Linux), и правильно использовать имеющиеся инструменты.

Главные аппаратные компоненты, которые можно модернизировать с целью повышения производительности сервера, это процессор, память, дисковая подсистема и сетевой интерфейс. Первые три компонента являются внутренними для сервера, а четвертый, сетевой интерфейс, обеспечивает взаимодействие сервера с внешним миром. Внутренняя производительность сервера определяет, будет ли сетевой интерфейс задействован на полную мощность, а от сетевого интерфейса зависит, смогут ли клиенты воспользоваться общей производительностью системы. Все четыре компонента играют важную роль и являются взаимозависимыми.

В данной статье мы рассмотрим влияние, оказываемое этими компонентами на производительность, и процесс их мониторинга средствами Windows. Но сначала нужно определить взаимосвязь этих компонентов. Затем я расскажу о том, какие счетчики производительности имеются в Windows и как они соотносятся с аппаратными компонентами. В заключение будет показано, как мониторинг производительности позволяет повысить производительность системы.

Системный подход и определение базового уровня

При мониторинге и анализе производительности серверов Windows важно использовать системный подход и учитывать взаимное влияние аппаратных компонентов. Например, при высокой загрузке процессора не следует автоматически считать, что проблема исключительно в процессоре. Нужно учесть влияние, оказываемое памятью и загрузкой жесткого диска. Возможно, система использует слишком большой объем виртуальной памяти? В этом случае высокая загрузка процессора может оказаться симптомом нехватки оперативной памяти, а не недостаточной вычислительной мощности процессора.

Анализ работы сотен серверов Windows позволяет прийти к общему заключению: использование самых быстрых процессоров далеко не всегда решает проблемы производительности. Конечно, заманчиво для решения проблемы производительности добавить процессорной мощи, но вспомним правило из реальной жизни: если потерял дорогу в городе, то чем быстрее едешь дальше -- тем вернее потеряешься еще больше. Для серверов это означает, что процессор просто быстрее отрабатывает больше циклов ожидания, пока не завершится прохождение действительно узкого места, вызвавшего задержку обработки задания.

При анализе производительности сервера Windows следует сопоставлять работу всех четырех основных компонентов одновременно. Системный подход подсказывает, что надо рассматривать систему в целом, а не отдельные компоненты. Благодаря применению системного подхода действительная причина проблемы будет обнаружена быстрее.

Перед тем как перейти к исследованию счетчиков производительности, следует пояснить необходимость выбора базового уровня. Базовый уровень производительности представляет собой такой уровень быстродействия сервера, когда система работает с нагрузкой, и операции выполняются с приемлемой для решения задачи скоростью. Базовый уровень производительности определяется при мониторинге и сохранении журналов производительности сервера во время нормальной работы сервера. Я предпочитаю отслеживать уровень производительности в течение всего нормального рабочего дня организации, например с 9:00 до 18:00. После того как журналы производительности созданы, можно открыть инструментарий анализа производительности системы и просмотреть моменты наибольшей загруженности системы. Если производительность сервера в эти моменты была приемлемой, можно сделать вывод, что сервер обладает достаточной производительностью для решаемого класса задач.

С течением времени в большинстве организаций нагрузка на сервер возрастает. Пользователи осваивают систему, начинают работать более активно, используют новые функции, поэтому требования к быстродействию сервера возрастают. Кроме того, обычно к системе подключаются еще и новые пользователи. Все эти факторы могут привести к тому, что производительность сервера со временем может оказаться недостаточной. В таком случае следует собрать новые журналы счетчиков производительности и сравнить их с исходным базовым уровнем, чтобы определить проблемные области. При дальнейшем обсуждении необходимо иметь в виду, что следует рассматривать показания счетчиков производительности в сравнении с базовым уровнем, а не просто как результаты текущих измерений.

Счетчик производительности центрального процессора

Средство мониторинга надежности и производительности Reliability and Performance Monitor в Windows Server 2008 и инструмент для измерения производительности системы System Performance в Windows Server 2003 R2 предоставляют администраторам важные счетчики производительности, отражающие работу главных компонентов сервера. Средство измерения производительности системы часто называют системным монитором, хотя в заголовке его окна написано Performance. Основные счетчики производительности центрального процессора предоставляются объектами Processor и Process. Наиболее информативными являются счетчики процента загруженности процессора, % Processor Time, процента работы в пользовательском режиме, % User Time, и процента работы в привилегированном режиме, % Privileged Time. Предоставляемые объектом Processor, эти счетчики позволяют отслеживать как загрузку отдельных процессоров сервера, так и общую загрузку всех процессоров (см. экран 1). Эти же счетчики доступны через объект Process, и в этом случае они позволяют определить использование процессоров отдельными или всеми процессами, выполняемыми на сервере.

Если вы видите, что счетчик процента загруженности процессора для объекта Processor имеет высокое значение, вы можете с помощью объекта Process настроить мониторинг для каждого отдельного процесса. Это позволит определить, какие из процессов требуют больше всего процессорного времени. Возможно, некоторые процессы могут быть перенесены на другие серверы, а могут даже обнаружиться лишние процессы, которые можно остановить без ущерба для работы сервера. Просто удивительно, как много бывает на сервере Windows неиспользуемых процессов, которые могут замедлять работу сервера, поскольку ядро Windows вынуждено тратить часть ресурсов на управление этими процессами. Примерами таких процессов являются неиспользуемые приложения автозапуска и службы и дополнительные компоненты приложений, выполняемые в отдельных процессах.

Счетчик процента загруженности процессора включает суммарное время выполнения задач в пользовательском режиме и режиме ядра операционной системы. С технической точки зрения это время, в течение которого не выполняется процесс бездействия системы System Idle. Процесс бездействия системы выполняется все время, когда не выполняются другие процессы, использующие процессорное время. По моим наблюдениям, загрузка сервера может считаться высокой, если среднее значение счетчика процента загруженности процессора превышает 65-70%.

Счетчики процента работы в пользовательском режиме (% User Time) и процента работы в привилегированном режиме (% Privileged Time) позволяют по отдельности отслеживать время процессов в пользовательском режиме и режиме ядра. Они могут помочь определить, где находится источник проблем -- в пользовательских приложениях или в самой операционной системе. При этом необходимо учитывать архитектуру Windows. Большинство операций выполняется в режиме ядра, поэтому часто более 70% операций может выполняться в режиме ядра или привилегированном режиме.

Счетчики памяти

Наиболее важные счетчики использования памяти с точки зрения общего анализа быстродействия сервера находятся в объекте памяти Memory (экран 2).



По-моему, наиболее информативными являются счетчики доступной памяти в килобайтах, Available Kbytes и обмена страниц в секундах, Pages/sec. Счетчик доступной памяти в КБ показывает значения в более удобном виде, чем слишком детальный Available Bytes и слишком грубый счетчик Available Mbytes.

Счетчик Pages/sec показывает количество страниц виртуальной памяти, которые считываются или записываются в секунду. Для большинства систем размер страницы составляет 4 Кбайт, так что если взять показания данного счетчика, умноженные на 4, то получим представление об объеме данных, перемещаемом между оперативной памятью и дисковой системой за секунду.

Счетчики жестких дисков

Счетчики жестких дисков разделены на два объекта для логического диска LogicalDisk и физического диска PhysicalDisk. Эти счетчики очень близки по смыслу, но различаются способом идентификации дисков. Логический диск определяет диск по букве диска, а физический диск -- по номеру (диск 0). Оба объекта показывают одинаковую информацию для одного выбранного счетчика. Но если требуется отслеживать активность для всех разделов физического диска, следует использовать объект физического диска PhysicalDisk. Основные счетчики, на которые следует обратить внимание, -- это средняя длина очереди диска Average Disk Queue Length, скорость обмена с диском в байт/с Disk bytes/sec и свободной памяти в мегабайтах Free Megabytes. Счетчик Average Disk Queue Length показывает, успевает ли накопитель отработать все запросы от выполняющихся процессов. Обычно в качестве порогового значения устанавливают длину очереди, состоящую из двух элементов. Если среднее число элементов в очереди более двух, это может служить симптомом повышенной нагрузки на дисковую систему. Этот счетчик тоже следует сопоставлять с базовым уровнем. Например, если за базовый уровень выбрано значение 2,3 элемента в очереди, и быстродействие системы при этом приемлемое, то, когда в будущем при возникновении проблем с общей производительностью сервера дисковая подсистема покажет те же или даже более низкие уровни загрузки, источник проблемы, скорее всего, следует искать в другом месте. Нормальное быстродействие определяется статистически, а какое быстродействие считать хорошим или плохим -- понятие относительное, зависящее от исполняемых приложений и требований, которые пользователи предъявляют к системе. Счетчик Disk bytes/sec может показать, соответствует ли работа диска заявленным производителем характеристикам. Иногда диски, для которых заявлена определенная скорость работы, в действительности могут работать с меньшей скоростью. Данный счетчик позволяет это обнаружить. Часто для решения проблемы снижения производительности дисковой системы по сравнению с заявленной достаточно обновить драйвер контроллера диска. В сущности, Free Megabytes не является счетчиком производительности, но его можно использовать для прогнозирования потребления дискового пространства. Например, если ежемесячно измерять объем свободного пространства для каждого тома, можно определить скорость увеличения объема, занимаемого данными на диске. Журнал потребления дискового пространства поможет прогнозировать сроки, когда потребуется перенос устаревших данных в архив или увеличение объема дискового пространства.

Счетчики сетевых интерфейсов

Наконец, рассмотрим счетчики сетевых интерфейсов, доступ к которым предоставляется объектом Network Interface. Два главных счетчика -- общей скорости в байт/с Bytes Total/sec и длины очереди вывода Output Queue Length. Счетчик Bytes Total/sec следует сопоставлять с принятым базовым уровнем. Если сетевой обмен значительно возрастает по сравнению с базовым уровнем, обычно это означает, что нагрузка на сервер существенно возросла по сравнению с нагрузкой, которая наблюдалась при определении базового уровня. Но это может также служить индикатором сетевой атаки или показывать необходимость разгрузки некоторых процессов. Счетчик Output Queue Length поможет определить, что требуется предпринять. Если среднее значение счетчика более двух, это значит, что сетевой интерфейс (или пропускная способность сетевой инфраструктуры) не справляется с передачей данных, предоставляемых сервером. Другими словами, сервер выдает данные с большей скоростью, чем сетевой интерфейс в состоянии передать. По умолчанию мониторинг счетчиков выполняется автоматически и продолжается до тех пор, пока вы не остановите процесс. Уровень загрузки сервера может изменяться в зависимости от интенсивности работы. Загрузка счетчиков быстродействия в инструмент измерения производительности позволяет осуществлять мониторинг текущей деятельности, но это только одно из применений. Теперь следует создать журнал сведений о производительности, необходимый для определения базового уровня. Приведенные ниже инструкции позволяют создать журнал данных о производительности сервера за любой выбранный промежуток времени.

Запустите инструмент Performance, как описывалось ранее.

В левой панели окна Performance разверните узел журналов и оповещений производительности Performance Logs and Alerts.

Щелкните правой кнопкой мыши на Counter Logs и выберите изменение настроек журнала New Log Settings.

Введите имя журнала, например «Базовый_уровень_1».

На вкладке General нажмите кнопку добавления счетчиков Add Counters и добавьте счетчики, значения которых требуется сохранить.

Перейдите на вкладку журналов Log Files и выберите удобный для анализа формат файла журнала. Я рекомендую использовать текст с разделителем запятыми (CSV), как наиболее удобный для анализа в Microsoft Excel. На вкладке расписания Schedule укажите время для автоматического запуска и остановки журнала или выберите запуск вручную. Эту операцию можно выполнить после того, как журнал уже создан.

Нажмите ОК.

Если система запросит создание папки для журналов, нажмите Yes.

Таким образом, журналы производительности настроены. Подготовив журнал для сохранения описанных в данной статье 10 счетчиков производительности, вы получите хорошую основу для определения базового уровня. Применяйте эти настройки для сбора показателей, соответствующих нормальной работе систем. Если вдруг пользователи начнут жаловаться на недостаточную производительность, вы сможете сравнить текущие журналы со старыми данными, когда все было хорошо.

Измеряйте быстродействие системы относительно базового уровня

Инструмент Performance предоставляет счетчики, которые могут использоваться для измерения быстродействия аппаратного обеспечения системы относительно рекомендуемых значений или базового уровня. Главным условием успешного использования инструмента является правильный выбор счетчиков производительности. Следует иметь в виду, что при установке серверных приложений Microsoft (Microsoft SQL Server, Microsoft Exchange Server, Microsoft IIS) в систему добавляются новые счетчики производительности для установленного приложения.

Размещено на Allbest.ru

...