Сеть

7.01 Как в одноранговой сети обеспечить доступ к общим ресурсам? Поставлен полный доступ для всех, но при обращении требует пароль на ресурс IPC$ :(

7.02 Как отвечать человеку, который шлет с Win98 сообщения по winpopup?

7.03 Как включить роутинг в Windows 2000 Professional?

7.04 Как сделать, чтобы DOS-программа, печатая на LPT1, на самом деле печатала на сетевой пpинтеp \\server_name\printer_name?

7.05 Механизмы лицензирования служб Terminal Services в Windows 2000.

7.06 Как отключить датчик наличия сетевого соединения (Media Sense)?

7.07 Как полностью отключить скрытые общие ресурсы (ADMIN$, C$, D$ и т.д.)?

7.08 Как заставить Windows 2000 принимать входящие звонки? В Win9x был Сервер удаленного доступа, а под W2k не могу найти ничего подобного :(

7.09 Можно ли подключиться к серверу удаленного доступа на Win9x?

7.10 Почему просмотр общих сетевых ресурсов машин с Windows 9x/Me из-под Windows 2000 сильно замедлен? Можно ли его как-то ускорить?

7.11 Подскажите, как запустить службу входящих звонков из командной строки. Мне нужно, чтобы компьютер принимал звонки только в определенное время...

7.12 Как заставить DNS сервер переправлять все неразрешенные запросы на DNS сервер провайдера? Флажок Enable forwarders свойствах DNS сервера недоступен.

7.13 Из папки "Сеть и удаленный доступ к сети" пропала иконка "Подключение по локальной сети" (или иконка "Создание нового подключения"). Как их вернуть?

7.14 Как запретить хранение хэш-данных службы LAN Manager в AD и в базе SAM?

7.15 Где можно ознакомится с описанием портов протокола TCP/IP?


7.01. Как в одноранговой сети обеспечить доступ к общим ресурсам? Поставлен полный доступ для всех, но при обращении требует пароль на ресурс IPC$ :(

По умолчанию в Windows 2000 отключена учетная запись "Гость", поэтому пользователь, не зарегистрированный компьютере, не сможет получить доступ к общим ресурсам на этом компьютера. Можно включить её, запустив оснастку "Локальные пользователи и группы" (Для версии Professional: правый клик на значке Мой компьютер -> Управление -> Служебные программы или просто набрать lusrmgr.msc в меню Выполнить -> Запуск программы). Далее, открываем папку Пользователи, двойной клик на пользователе "Гость", в появившихся Свойствах убираем галочку напротив "Отключить учетную запись". Теперь запрос на доступ к ресурсу IPC$ при обращении к компьютеру по сети появляться не будет. Хотя правильнее будет завести на машине нужное число локальных пользователей. Причем можно запретить им локальный вход в систему, разрешив только сетевой доступ. Зайдите в Панель управления -> Администрирование -> Локальная политика безопасности -> Параметры безопасности -> Локальные политики -> Hазначение прав пользователя, параметр "Локальный вход в систему" - уберите пользователя из списка или в параметре "Отклонить локальный вход" - внесите.


7.02. Как отвечать человеку, который шлет с Win98 сообщения по winpopup?

Прочитайте справку: net send /? Кроме этого, можно в Computer Management выбрать Action->All Tasks->Send Console Message.


7.03. Как включить роутинг в Windows 2000 Professional?

В версии Professional эта возможность включается только через реестр. В разделе HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters значение параметра IPEnableRouter (тип REG_DWORD) установите в "1".


7.04. Как сделать, чтобы DOS-программа, печатая на LPT1, на самом деле печатала на сетевой пpинтеp \\server_name\printer_name?

Вводим из консоли: net use lpt1: \\server_name\printer_name. При завершении работы программы можно освободить порт: net use lpt1: /delete. Если вы хотите, чтобы ресурс автоматически подключался при каждой загрузке системы, используйте ключ /persistent:yes (cм. также справку net use /?).


7.05. Механизмы лицензирования служб Terminal Services (далее TS) в Win 2000.

TS могут устанавливаться в двух вариантах - для удаленного администрирования и как сервер приложений. Для первого варианта лицензирование не требуется, а для работы TS в режиме сервера приложений (помимо самих TS) требуется:

1) установить License Server (LS). В AD-домене существует два типа: enterpise и domain. Доменные устанавливаются на DC и обслуживает сервера своего домена. Enterprise устанавливается на любой DC и обслуживает сервера в пределах леса. В случае домена NT4 или рабочей группы LS похоже ищется броадкастом (хотя в логе написано "Confirm that all license servers on the network are registered in WINS\DNS, accepting network requests, and Licensing Service is running.").

2) активизировать LS. Активизация производится с помощью мастера, и может быть выполнена: а) через Интернет, б) на WWW-сайте, в) по факсу или телефону. Для активации требуется лишь лицензия на сам Windows 2000 сервер, то есть если он у вас тем или иным образом установлен, то в активации вам не откажут.

3) для использования TS не-W2k клиентами, нужно дополнительно приобрести и установить на LS клиентские лицензии (TS CAL).

При старте TS происходит поиск LS, и если за 90 дней активированый LS не будет обнаружен, то запуск TS завершится ошибкой: "не найден LS". При входе клиентов TS проверяет действительность их лицензий, и если лицензия отсутствует или временная, он обращается к LS за лицензией. При недоступности LS TS сам выдает временную лицензию на 90 дней. При отсутствии у LS свободных лицензий он тоже выдает временную лицензию. Если у клиента временная лицензия, но у LS есть возможность выдать постоянную, постоянная лицензия выдается, а запись о старой временной удаляется (если временную выдавал тот же LS). Клиент Windows 2000 (а также последующих версий, т.е. WXP Pro), имеет "право на постоянную лицензию", но самой лицензии не имеет. TS все равно обращается к LS и если тот активирован, выдается постоянная лицензия (видимо, для учета). Итак, для работы клиентов W2k тоже нужен активированный LS, но дополнительные лицензии не требуются.

Если дата временной лицензии истекла, клиенту отказывается в доступе. Запись об этом заносится в eventlog. Если присоединяться с помошью RDP-клиента, то клиенту сообщается про закончившуюся лицензию. Если по протоколу ICA или Х11, то не пишется. Для ICA диагностика - "error connecting to citrix server".

При описанном механизме постоянных лицензий возникает проблема потери лицензии в случае переустановки ПО на клиенте. Поэтому, начиная с постфикса Q287687 к SP2 (см. http://support.microsoft.com/default.aspx?scid=kb;en-us;287687) MS изменил механизм выдачи лицензий. После установки этого апдейта (Terminal Services Licensing Enhancements), LS выдает вместо постоянных лицензий временные со случайным временем жизни от 52 до 89 дней. Когда до истечения лицензии остается 7 дней, TS запрашивает LS о продлении лицензии и выдает продленную лицензию клиенту. Данное исправление включено в W2k SP3.

На клиенте лицензия в общем случае хранится в разделе реестра HKLM\SOFTWARE\ Microsoft\MSLicensing\Store, в случае протокола X11 или если не-Windows клиент работает по протоколу ICA, то на сервере в HKLM\SOFTWARE\Citrix\MSLicensing\Store. LS хранит свою базу лицензий (постоянных и выданных) в задаваемой при его установке директории. По умолчанию это %SystemRoot%\system32\LServer.


7.06. Как отключить датчик наличия сетевого соединения (Media Sense)?

Определение состояния сетевого соединения возможно при использовании протокола TCP/IP в сети на витой паре. При отсутствии соединения в тpее появляется значок "Network Cable Unplugged" и сетевое соединение отключается. После этого компьютер теряет свой сетевой адрес и отвечает только на адрес 127.0.0.1, что может повлиять на работоспособность многих сетевых программ. Для мобильных или домашних пользователей в таком случае будет полезно отключить эту возможность. Для этого в разделе HKLM\System\CurrentControlSet\Services\Tcpip\Parameters реестра параметр DisableDHCPMediaSense (тип REG_DWORD) нужно установить в "1". Подробнее: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q239924.


7.07. Как полностью отключить скрытые общие ресурсы (ADMIN$, C$, D$ и т.д.)?

Данные скрытые ресурсы существуют по умолчанию. Доступ к ним возможен только из под аккаунта администратора, поэтому не рекомендуется задавать для этого аккаунта слишком простой пароль (например, Enter :)). Для увеличения степени секретности можно также изменить имя пользователя "Администратор" на другое. Если удалить эти ресурсы через "Управление компьютером" -> "Общие папки", то после перезагрузки они появятся снова. Полностью отключить скрытые ресурсы можно только с помощью правки реестра. Откройте раздел

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Добавьте или измените следующие значения:

Операционная система        Параметр         Тип        Значение
Windows 2000 Server         AutoShareServer  REG_DWORD  0
Windows 2000 Professional   AutoShareWks     REG_DWORD  0


7.08. Как заставить Windows 2000 принимать входящие звонки? В Win9x был Сервер удаленного доступа, а под W2k не могу найти ничего подобного :(

Заходим в меню Пуск (Start) -> Панель Управления (Control Panel) -> Сеть и удаленный доступ к сети (Network and Dial-up Connections) -> Файл (File) -> Hовое подключение (Make New Connection) -> Принимать входящие подключения (Accept Incoming Connections). Этот пункт активен только под логином администратора. В версии Professional возможно создать только одно входящее соединение, в версии Server их число ограничено числом установленных модемов.


7.09. Можно ли подключиться к серверу удаленного доступа на Win9x?

Да, можно. Зайдите в Свойства соединения, закладка "Безопасность" -> "Дополнительные (особые параметры)" -> "Hастройка" -> "Разрешить следующие протоколы" -> опция "Разрешить старый протокол MS-CHAP для Windows 95".


7.10. Почему просмотр общих сетевых ресурсов машин с Windows 9x/Me из-под Windows 2000 сильно замедлен? Можно ли его как-то ускорить?

Когда Windows 2000 пытается получить доступ к общим ресурсам Windows 9x/Me, он также проверяет наличие назначенных заданий для этих машин. Отключение этой опции позволит увеличить скорость доступа. Для этого в разделе реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace нужно удалить ключ {D6277990-4C6A-11CF-8D87-00AA0060F5BF}.


7.11. Подскажите, как запустить службу входящих звонков из командной строки. Мне нужно, чтобы компьютер принимал звонки только в определенное время ...

Создаем два *.bat или *.cmd файла следующего содержания:

1) net start REMOTEACCESS - для запуска службы,
2) net stop REMOTEACCESS  - для останова.

Затем в планиpовщике указываем, когда какому файлу нужно запускаться.


7.12. Как заставить DNS сервер переправлять все неразрешенные запросы на DNS сервер провайдера? Флаг Enable forwarders в свойствах DNS сервера недоступен.

Эта проблема возникает, если DNS сервер сконфигурирован как root сервер, т.е. на сервере имеется зона ".". Обычно это происходит при установке Active Directory, если помощник не смог установить соединение с любым внешним DNS сервером, то он конфигурирует Ваш сервер как root и создает зону ".". Для решения проблемы удалите зону ".", используя DNS Manager, или с помощью команды: dnscmd /ZoneDelete . /DsDel.

Ключ /DsDel нужен в случае, если зона интегрирована с Active Directory. Оригинал: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q229840.


7.13. Из папки "Сеть и удаленный доступ к сети" пропала иконка "Подключение по локальной сети" (или иконка "Создание нового подключения"). Как их вернуть?

1) Проверьте, запущены ли службы "Plug and Play" (без нее не отображается "Подключение по локальной сети") и "Удаленный вызов процедур (RPC)" ( без нее не будет значка "Создание нового подключения"). Запустите их и установите тип запуска "Авто". Остановленную службу "Удаленный вызов процедур (RPC)" включить можно только в Recovery Console командой: Enable RPCSS Service_Auto_Start или с помощью редактора реестра. Запустите regedit.exe и в разделе HKLM\SYSTEM\CurrentControlSet\Services\RPCSS присвойте параметру Start (DWORD) значение 2.

2) Восстановите настройки DCOM по умолчанию. Для этого запустите утилиту dcomcnfg.exe и выберите закладку "Свойства по умолчанию" - установите поле "Уровень олицетворения по умолчанию" равным "Определить" (в английской версии: закладка "Default Properties", в поле "Default Impersonation Level" установить значение "Identify"). Для вступления изменений в силу нужно перелогиниться.

3) Проверьте настройки групповой политики ("Пуск"->"выполнить"-> "%SystemRoot%\system32\gpedit.msc /s"). В административных шаблонах сети проверьте, нет ли запрета на изменения свойств сетевых подключений.

4) Заново зарегистрируйте dll управления сетью: Netcfgx.dll, Netman.dll, Netshell.dll. Для этого в консоли выполните команды:

regsvr32 netshell.dll
regsvr32 netcfgx.dll
regsvr32 netman.dll и перезагрузите компьютер.

Подробнее: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q254631.


7.14. Как запретить хранение хэш-данных службы LAN Manager в AD и в базе SAM?

В W2k поддерживаются методы аутентификации LAN Manager (LM), NT LAN Manager (NTLM) и NTLM version 2 (NTLMv2). LM хранит пароли в хэш-формате, что упрощает взлом данных. Hачиная с SP2 появилась возможность отключить хранение LM-хэшей. Для этого на контроллере домена добавьте параметр NoLMHash(DWORD)=1 в разделе HKLM\SYSTEM\CurrentControlSet\Control\Lsa, затем перезагрузите компьютер.

Имейте в виду, что компоненты, использующие LM-хэш (например, процедура изменения паролей для W9x, аутентификация клиента W9x, если не установлен пакет Directory Services client pack), могут перестать корректно работать.

Подготовлено на основе статьи Джона Севилла, MCSE, john@savilletech.com.


7.15. Где можно ознакомится с описанием портов протокола TCP/IP?

1) в файле %systemroot%\System32\drivers\etc\services - в кратком изложении,

2) по ссылке http://support.microsoft.com/default.aspx?scid=kb;ru;832017.