ROZDZIAú 23

System Windows 2000 Professional w sieciach Microsoft

Komputer u┐ywaj╣cy systemu Windows 2000 Professional mo┐e dzia│aµ w r≤┐norodnych konfiguracjach sieci, pocz╣wszy od niewielkich sieci domowych sk│adaj╣cych siΩ z dw≤ch komputer≤w, a┐ po ogromne sieci nale┐╣ce do przedsiΩbiorstw i sk│adaj╣ce siΩ z tysiΩcy komputer≤w rozmieszczonych na ca│ym £wiecie. Niniejszy rozdzia│ przedstawia £rodowiska sieciowe, w kt≤rych mo┐e byµ u┐ywany system Windows 2000 Professional.

Zawarto£µ rozdzia│u

      Przegl╣d sieci Microsoft
      Konfigurowanie protoko│≤w transportowych
      Do│╣czanie siΩ do £rodowiska sieciowego
      Potwierdzanie cz│onkostwa w grupach
      Rozwi╣zywanie problem≤w z sieciami Microsoft

Por≤wnaj

WiΩcej informacji na temat protoko│u TCP/IP w systemie Windows 2000 Professional znajduje siΩ w rozdziale äTCP/IP w systemie Windows 2000 Professionalö.
WiΩcej informacji na temat uwierzytelniania kont w domenach Windows 2000 znajduje siΩ w rozdziale äZabezpieczeniaö.

Przegl╣d sieci Microsoft

Niniejszy paragraf opisuje funkcje i techniczne aspekty funkcjonowania sieci Microsoft, wraz z nowymi funkcjami zaimplementowanymi w systemie Windows 2000 Professional. Ponadto zosta│y w nim om≤wione metody uwierzytelniania, procedury logowania, procedury zasad, protoko│y oraz przydzia│y zasob≤w u┐ywane w ka┐dym z dostΩpnych £rodowisk.

Nowo£ci

Mo┐liwo£ci sieciowe systemu Windows 2000 rozszerzaj╣ podstawowe funkcje dostΩpne w systemie Windows NT. Usprawnienia wprowadzone w systemie Windows 2000 umo┐liwi│y powstanie skalowalnej platformy sieciowej, mo┐liwej do zaimplementowania w r≤┐norodnych £rodowiskach, poczynaj╣c od niewielkich konfiguracji domowych i biurowych, a ko±cz╣c na silnych stacjach roboczych dzia│aj╣cych w sieciach zarz╣dzanych przez wiele domen.
Rozszerzenia systemu Windows 2000 Professional mo┐na podzieliµ na trzy grupy, opisane kolejno w niniejszym rozdziale:

Us│ugi katalogowe
Uwierzytelnianie kont
Obs│uga zasad

Us│ugi katalogowe

Us│uga katalogowa udostΩpnia informacje na temat wszystkich obiekt≤w w £rodowisku sieciowym. Do obiekt≤w tych zaliczaj╣ siΩ konta u┐ytkownik≤w i komputer≤w oraz wsp≤│dzielone zasoby, takie jak drukarki i foldery. Active Directory, us│uga katalogowa wprowadzona w systemie Windows 2000, jest u┐ywana w domenach systemu Microsoft Windows 2000 i prezentuje informacje na ich temat w spos≤b hierarchiczny i zorientowany obiektowo. Active Directory wprowadza kilka udogodnie±, niedostΩpnych w bazie kont SAM (Security Access Manager) u┐ywanej w £rodowisku domeny Windows NT 4.0:

Z us│ugi Active Directory mog╣ korzystaµ r≤┐norodni klienci domeny, zgodne z ni╣ aplikacje oraz aplikacje starszego typu, kt≤re u┐ywaj╣ takich protoko│≤w jak LDAP (Lightweight Directory Access Protocol).
Hierarchia katalogu Active Directory jest elastyczna i konfigurowalna, dziΩki czemu organizacje mog╣ porz╣dkowaµ swoje zasoby, optymalizuj╣c ich u┐yteczno£µ i mo┐liwo£ci zarz╣dzania.
Us│uga Active Directory przechowuje informacje zwi╣zane z sieci╣ w postaci obiekt≤w. Obiektom tym mo┐na przypisywaµ atrybuty opisuj╣ce ich charakterystyki. Umo┐liwia to administratorom przechowywanie w katalogu r≤┐norodnych informacji i £cis│e kontrolowanie dostΩpu do nich.
Us│uga Active Directory mo┐e byµ skalowana, zgodnie z wymaganiami r≤┐norodnych przedsiΩbiorstw. Zosta│a ona przetestowana w £rodowisku, w kt≤rym wystΩpowa│o do miliona obiekt≤w w jednym katalogu.
Us│uga Active Directory umo┐liwia replikacjΩ danych, podczas kt≤rej zmiany wprowadzone w dowolnej kopii katalogu s╣ automatycznie propagowane w ca│ym przedsiΩbiorstwie. Stanowi to zaletΩ w stosunku do procesu replikacji w systemie Windows NT, w kt≤rym wszystkie zmiany musia│y byµ wprowadzane w nadrzΩdnej replice katalogu.

Us│uga Active Directory jest dostΩpna jedynie w kontrolerach domen Windows 2000, jednak┐e domena Active Directory mo┐e zawieraµ klient≤w heterogenicznych, │╣cznie ze stacjami roboczymi u┐ywaj╣cymi system≤w Windows NT 4.0, Windows 95, Windows 98 oraz UNIX. WiΩcej informacji na temat us│ugi Active Directory znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äîrodowiska domen Windows NTö.

Uwierzytelnianie kont

System Windows 2000 u┐ywa us│ugi Kerberos jako domy£lnej metody uwierzytelniania dla domen i dostΩpu lokalnego. Protok≤│ uwierzytelniania Kerberos v5 jest przemys│owym standardem zabezpiecze± rozproszonych.
System Windows 2000 umo┐liwia tak┐e uwierzytelnianie kont za pomoc╣ zabezpiecze± NTLM. Metoda ta by│a u┐ywana w domenach systemu Windows NT. WiΩcej informacji na temat zabezpiecze± Kerberos znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äUwierzytelnianie kontö.

Obs│uga zasad

W domenie Windows NT administratorzy korzystali z zasad systemowych w celu kontrolowania £rodowiska pracy u┐ytkownik≤w i wymuszania ustawie± konfiguracji ich system≤w. W przypadku domen Windows 2000 g│≤wn╣ metod╣ scentralizowanego zarz╣dzania zmianami i konfiguracj╣ s╣ Zasady grup. Administrator domeny mo┐e tworzyµ ustawienia Zasad grup w kontrolerze domeny Windows 2000, co pozwala na okre£lanie konfiguracji systemu dla grup u┐ytkownik≤w i komputer≤w. Zasady grup mog╣ byµ u┐ywane do:

W│╣czania technologii zarz╣dzania IntelliMirror, pozwalaj╣cej na automatyczne instalowanie aplikacji i zapewniaj╣cej mobilnym u┐ytkownikom niezale┐no£µ od lokalizacji.
Przyznawania i blokowania mo┐liwo£ci dostosowywania pulpitu.
Konfigurowania zasad zabezpiecze±.

Ustawienia Zasad grup mog╣ byµ tak┐e tworzone lokalnie dla poszczeg≤lnych stacji roboczych oraz dla specyficznych £rodowisk, korzystaj╣cych z ustawie± innych ni┐ u┐ywane w domenie.
WiΩcej informacji na temat Zasad grup znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äZasady grup i systemuö. W tabeli 23.1 przedstawiono por≤wnanie funkcji zaimplementowanych w systemie Windows 2000 z dostΩpnymi w systemach Windows 98 oraz Windows NT 4.0.


Tabela 23.1 Por≤wnanie funkcji sieciowych systemu Windows 2000


Funkcja sieciowa w systemie Windows 2000	Windows 98	Windows NT 4.0


Us│ugi katalogowe
Mo┐e nale┐eµ do domeny Windows 2000.	Tak	Tak
Mo┐e nale┐eµ do domeny Windows NT.	Tak	Tak
Mo┐e korzystaµ z us│ugi Active Directory.	Tak	Nie
Uwierzytelnianie kont
Domy£lnie korzysta z uwierzytelniania Kerberos.	Nie	Nie
Domy£lnie korzysta z uwierzytelniania NTLM	Tak	Tak
Obs│uga zasad
Mo┐e korzystaµ z ustawie± Zasad grup systemu Windows 2000.	Nie	Nie
Mo┐e korzystaµ z zasad systemu Windows NT.	Tak	Tak
Aby klient u┐ywaj╣cy systemu Windows 98 m≤g│ korzystaµ z us│ugi Active Directory, konieczne jest zainstalowanie oprogramowania klienckiego tej us│ugi.

îrodowiska sieciowe typu peer-to-peer      Sieµ typu peer-to-peer (zwana tak┐e grup╣ robocz╣, r≤wnoprawna) jest sieci╣ jedn╣ podsieµ, kt≤ra mo┐e byµ u┐ywana do wygodnego │╣czenia niewielkiej liczby u┐ytkownik≤w korzystaj╣cych ze wsp≤lnych zasob≤w. Wszyscy klienci sieci typu peer-to-peer s╣ tak samo uprzywilejowani, co eliminuje konieczno£µ korzystania z kontrolera domeny. Uwierzytelnianie u┐ytkownik≤w jest zdecentralizowane, w ka┐dym kliencie umieszczona jest lokalna baza kont. U┐ytkownik musi posiadaµ konto w ka┐dym komputerze, z kt≤rego chce korzystaµ. Rysunek 23.1 przedstawia przyk│adow╣ sieµ typu peer-to-peer.

Rysunek 23.1 Sieµ typu peer-to-peer

     Sieci typu peer-to-peer s╣ idealne w niewielkich sieciach domowych i biurowych, sk│adaj╣cych siΩ z dw≤ch do dziesiΩciu komputer≤w, w sytuacji, gdy u┐ytkownicy korzystaj╣ z wiΩcej ni┐ jednego komputera i udostΩpniaj╣ poszczeg≤lnym komputerom takie zasoby, jak pliki, aplikacje i drukarki.
     System Windows 2000 Professional jest zgodny ze wszystkimi produktami firmy Microsoft, kt≤re korzystaj╣ z protoko│u SMB (Server Message Block). Zaliczaj╣ siΩ do nich LAN Manager, Windows 3.x, Windows for Workgroups, Windows 95, Windows 98, Windows NT Workstation oraz oprogramowanie Workgroup Add-on for MS-DOS.
     Uwierzytelnianie kont Windows 2000 Professional w £rodowisku peer-to-peer jest dokonywane lokalnie. System Windows 2000 Professional pr≤buje w pierwszej kolejno£ci przeprowadziµ uwierzytelnianie Kerberos, poszukuj╣c w tym celu centrum dystrybucji kluczy Kerberos (KDC). Je┐eli us│uga ta nie jest dostΩpna, to system Windows 2000 Professional uwierzytelnia u┐ytkownik≤w w lokalnej bazie danych za pomoc╣ zabezpiecze± NTLM. WiΩcej informacji na temat uwierzytelniania kont znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äUwierzytelnianie kontö.
     Sieci typu peer-to-peer komunikuj╣ siΩ z klientami i serwerami korzystaj╣cymi ze wsp≤lnego protoko│u sieciowego. Mimo ┐e s╣ one niezale┐ne od wyboru okre£lonego protoko│u, to historycznie wybrany zosta│ protok≤│ NetBEUI, charakteryzuj╣cy siΩ szybko£ci╣ dzia│ania, niewielkimi rozmiarami oraz minimalnymi wymaganiami zwi╣zanymi z konfiguracj╣. W sieciach korzystaj╣cych jedynie z protoko│u NetBEUI nie jest mo┐liwa jednak komunikacja z sieci╣ Internet oraz z innymi grupami roboczymi i domenami, kt≤re znajduj╣ siΩ poza lokaln╣ podsieci╣. Dlatego, preferowanym dzi£ protoko│em jest TCP/IP. WiΩcej informacji na temat konfigurowania tych protoko│≤w znajduje siΩ w rozdziale äTCP/IP w systemie Windows 2000 Professionalö oraz w dalszej czΩ£ci tego rozdzia│u, w paragrafie äKonfigurowanie protoko│≤w transportowychö.

îrodowiska domen Windows NT

     Domena jest logiczn╣ grup╣ komputer≤w sieciowych, wsp≤│dziel╣cych centraln╣ katalogow╣ bazΩ danych, zawieraj╣c╣ konta u┐ytkownik≤w i informacje o zabezpieczeniach obiekt≤w znajduj╣cych siΩ w tej domenie.
     Baza danych katalogowych w domenie umieszczona jest w komputerach skonfigurowanych jako jej kontrolery. Kontroler domeny zarz╣dza wszystkimi aspektami zabezpiecze± zwi╣zanymi z interakcjami u┐ytkownik≤w z domen╣. Zabezpieczenia i administracja s╣ scentralizowane. Przyk│adow╣ konfiguracjΩ domeny przedstawia rysunek 23.2.

Rysunek 23.2 Przyk│adowa sieµ oparta na domenie

     W domenach, kt≤re zawieraj╣ kilka kontroler≤w, baza danych o kontach jest replikowana miΩdzy tymi kontrolerami. Pozwala to zachowaµ wiΩksz╣ skalowalno£µ i odporno£µ na awarie.
     G│≤wn╣ r≤┐nic╣ pomiΩdzy domenami implementowanymi w systemie Windows NT oraz w systemie Windows 2000 jest scentralizowana baza danych o zabezpieczeniach. W systemie Windows 2000 baz╣ danych u┐ywan╣ do weryfikacji obiekt≤w jest Active Directory. Dodatkowo systemy te r≤┐ni╣ siΩ metodami uwierzytelniania, schematami nazewnictwa oraz obs│ug╣ zasad systemowych.
     System Windows 2000 Professional zapewnia pe│n╣ zgodno£µ z domenami Windows NT oraz Windows 2000.

Us│uga Active Directory w systemie Windows 2000

     Us│uga katalogowa jest miejscem przechowywania informacji o jednostkach wystΩpuj╣cych w sieci, takich jak u┐ytkownicy, aplikacje, pliki i drukarki. Stanowi ona sp≤jny interfejs nazywania, opisywania, lokalizowania, zarz╣dzania, zabezpieczania i uzyskiwania dostΩpu do informacji na temat poszczeg≤lnych zasob≤w.
     Active Directory jest implementacj╣ us│ugi katalogowej dzia│aj╣c╣ w domenach Windows 2000. Prezentuje ona informacje o domenach w spos≤b hierarchiczny i zorientowany obiektowo. Ponadto zabezpiecza sieµ przed niepowo│anym dostΩpem i replikuje dane katalogu w sieci, dziΩki czemu nie s╣ one tracone po awarii jednego kontrolera domeny.
     Us│uga Active Directory jest dostΩpna jedynie w kontrolerach domeny Windows 2000. Domena Active Directory mo┐e sk│adaµ siΩ z r≤┐norodnych klient≤w, │╣cznie ze stacjami roboczymi u┐ywaj╣cymi system≤w Windows NT 4.0, Windows 95, Windows 98 i UNIX. Wszyscy klienci posiadaj╣ pe│en dostΩp do zasob≤w udostΩpnianych w obrΩbie domeny, jednak┐e jedynie ci u┐ywaj╣cy systemu Windows 2000 Professional albo Windows 95 lub Windows 98 z zainstalowanym oprogramowaniem klienckim Active Directory mog╣ odpytywaµ t╣ us│ugΩ o udostΩpniane zasoby.
     Active Directory reprezentuje zasoby takie jak u┐ytkownicy, grupy i komputery za pomoc╣ obiekt≤w. Obiekty te s╣ rozr≤┐nialnymi, nazwanymi zestawami atrybut≤w, reprezentuj╣cymi jednostki sk│adaj╣ce siΩ na sieµ, takie jak u┐ytkownicy, aplikacje lub drukarki. Ka┐dy obiekt jest definiowany przez zestaw regu│, zwany schematem. Podczas tworzenia obiektu Active Directory us│uga ta generuje warto£ci niekt≤rych jego atrybut≤w, a u┐ytkownik podaje pozosta│e. Przyk│adowo, gdy tworzony jest obiekt u┐ytkownika, Active Directory przypisuje mu globalnie unikalny identyfikator (GUID), natomiast administrator musi podaµ warto£ci takich atrybut≤w, jak imiΩ, nazwisko i identyfikator logowania.
     Obiekty Active Directory mog╣ byµ umieszczane w kontenerach, dziΩki czemu mo┐na je pogrupowaµ w zale┐no£ci od ich wykorzystania lub struktury organizacyjnej przedsiΩbiorstwa. Kontenery Active Directory mog╣ reprezentowaµ jednostki organizacyjne, takie jak np. dzia│ marketingu w firmie, lub kolekcje podobnych obiekt≤w, np. drukarek. Us│uga Active Directory organizuje informacje w strukturΩ drzewa z│o┐on╣ z obiekt≤w i kontener≤w, w spos≤b podobny do tego, jak system operacyjny Windows korzysta z folder≤w i plik≤w w celu zorganizowania informacji w komputerze. Rysunek 23.3 przedstawia przyk│adow╣ domenΩ Active Directory.

Rysunek 23.3 Domena Active Directory

     Obiekty i kontenery Active Directory mog╣ byµ tworzone w kontrolerze domeny przez jej administratora. Obiekty te mo┐na tworzyµ tak┐e z poziomu klienta u┐ywaj╣cego systemu Windows 2000 Professional, je┐eli tylko posiada siΩ odpowiednie uprawnienia.

Uwaga WiΩcej informacji na temat obiekt≤w Active Directory znajduje siΩ w rozdziale äStruktura logiczna Active Directoryö, w tomie Systemy Rozproszone wchodz╣cym w sk│ad publikacji Microsoft Windows 2000 Server Resource Kit.

Zabezpieczenia Active Directory

     Identyfikator zabezpiecze± (SID û security identifier) jest unikaln╣ liczb╣ generowan╣ przez podsystem zabezpiecze± systemu Windows 2000 lub Windows NT, u┐ywan╣ do zabezpieczania istotnych obiekt≤w, takich jak konta u┐ytkownik≤w, grup oraz komputer≤w. Ka┐de konto sieciowe otrzymuje unikalny identyfikator SID w momencie tworzenia. Przyk│adowo, gdy administrator dodaje komputer do domeny Windows 2000, dla konta tego komputera tworzony jest identyfikator. WewnΩtrzne procesy systemu operacyjnego Windows 2000 odwo│uj╣ siΩ nie do nazwy konta, lecz do przypisanego mu identyfikatora zabezpiecze±.
     Ka┐dy obiekt w katalogu jest zabezpieczany za pomoc╣ wpis≤w kontroli dostΩpu, identyfikuj╣cych u┐ytkownik≤w i grupy, kt≤re mog╣ z niego korzystaµ. Wpisy te s╣ tworzone podczas przypisywania uprawnie± do udostΩpnianych zasob≤w. Poszczeg≤lne wpisy zawieraj╣ identyfikatory wszystkich u┐ytkownik≤w i grup, kt≤re posiadaj╣ uprawnienia do korzystania z obiektu oraz definicjΩ dozwolonego poziomu dostΩpu. Jeden u┐ytkownik mo┐e posiadaµ r≤┐ne poziomy uprawnie± dostΩpu do poszczeg≤lnych plik≤w.
     Je┐eli konto zostanie utworzone, usuniΩte, a nastΩpnie zostanie utworzone nowe, o tej samej nazwie, to nowe konto nie przejmuje uprawnie± uprzednio przydzielonych kontu pierwotnemu. Jest tak, poniewa┐ konta te posiadaj╣ r≤┐ne identyfikatory SID.

Uwaga WiΩcej informacji na temat planowania i implementowania uprawnie± dostΩpu znajduje siΩ w rozdziale äZabezpieczeniaö.

Us│uga DNS i domeny Active Directory

Integracja systemu DNS z us│ug╣ Active Directory jest jedn╣ z g│≤wnych cech systemu operacyjnego Windows 2000 Server. Us│ugi te zosta│y zintegrowane z nastΩpuj╣cych powod≤w:

Hierarchiczna struktura DNS odzwierciedla strukturΩ domen Active Directory.
Informacje o strefach DNS mog╣ zostaµ skopiowane do kontroler≤w Active Directory, co przyspiesza rozpoznawanie nazw i u│atwia zachowanie bezpiecze±stwa wewn╣trz domeny.
DNS jest standardowym mechanizmem rozpoznawania nazw, co pozwala na dostΩp klient≤w nie u┐ywaj╣cych systemu Windows 2000 do klient≤w, kt≤rzy tego systemu u┐ywaj╣.
DNS jest metod╣ rozpoznawania nazw u┐ywan╣ w Internecie, dziΩki czemu klienci u┐ywaj╣cy systemu Windows mog╣ byµ dostΩpni globalnie.

     Aby us│uga Active Directory mog│a zostaµ zaimplementowana, w domenie Windows 2000 musi byµ obecny przynajmniej jeden serwer DNS. Konieczne jest ponadto skonfigurowanie oprogramowania klienckiego DNS w ka┐dym komputerze, kt≤ry do tej domeny nale┐y.
     Nazwy domen Windows 2000 s╣ tworzone w oparciu o hierarchiczn╣ strukturΩ nazewnictwa DNS, maj╣c╣ postaµ odwr≤conego drzewa: pojedyncza domena g│≤wna (korze±), pod kt≤r╣ mog╣ znajdowaµ siΩ domeny nadrzΩdne i podrzΩdne (ga│Ωzie i li£cie). Przyk│adowo, nazwa child.parent.reskit.com identyfikuje domenΩ Windows 2000 o nazwie child, bΩd╣c╣ domen╣ podrzΩdn╣ domeny parent, kt≤ra z kolei jest podrzΩdna dla domeny reskit.com.
     Ka┐dy komputer w domenie DNS jest identyfikowany przez jego pe│n╣ nazwΩ domeny (FQDN). Nazw╣ FQDN komputera znajduj╣cego siΩ w domenie child.parent.reskit.com mo┐e byµ komputer.child.parent.reskit.com. Rysunek 23.4 przedstawia przyk│adow╣ domenΩ Windows 2000 korzystaj╣c╣ z hierarchicznej struktury nazewnictwa systemu DNS.

Rysunek 23.4 Hierarchia domeny Windows 2000

     Ka┐da domena Windows 2000 i ka┐dy komputer w tej domenie posiada nazwΩ DNS. Dlatego domeny i komputery s╣ reprezentowane zar≤wno jako obiekty Active Directory, jak te┐ i jako wΩz│y DNS (wΩz│y w hierarchii DNS reprezentuj╣ domeny lub komputery). Podczas dodawania komputera do domeny Windows 2000 konieczne jest podanie jego nazwy FQDN sk│adaj╣cej siΩ z nazwy komputera i nazwy domeny. Informacje te mo┐na okre£liµ podczas dodawania komputera do domeny w czasie lub po instalacji systemu operacyjnego Windows 2000 oraz p≤ƒniej, przy u┐yciu Kreatora identyfikacji sieciowej lub okna dialogowego Zmiany identyfikacji. WiΩcej informacji na temat dodawania klient≤w u┐ywaj╣cych systemu Windows 2000 Professional do domen Windows 2000 znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äDo│╣czanie siΩ do £rodowiska sieciowegoö.
     Mimo ┐e obydwie przestrzenie nazw korzystaj╣ z identycznej struktury domen, to konieczne jest ich rozr≤┐nienie. Ka┐da z nich przechowuje inne dane i zarz╣dza innymi obiektami. Us│uga DNS przechowuje rekordy stref i zasob≤w, natomiast Active Directory zarz╣dza domenami i nale┐╣cymi do nich obiektami.
     WiΩcej informacji na temat DNS znajduje siΩ w rozdziale äTCP/IP w systemie Windows 2000 Professional.

Baza kont Windows NT 4.0

Opr≤cz bazy danych o kontach us│ugi Active Directory, system Windows 2000 Professional mo┐e korzystaµ z baz danych o kontach u┐ywanych w domenach Windows NT 4.0. Podobnie jak w przypadku Active Directory, baza kont Windows NT 4.0 mo┐e zawieraµ dwa rodzaje kont:

Konta komputer≤w. Okre£laj╣, kt≤re komputery u┐ywaj╣ce systemu Windows NT lub Windows 2000 mog╣ uzyskiwaµ dostΩp do domeny.
Konta u┐ytkownik≤w. Okre£laj╣ u┐ytkownik≤w, kt≤rzy mog╣ korzystaµ z domeny.

UdostΩpniane zasoby zdefiniowane w domenie s╣ powi╣zane z kontami za pomoc╣ wpis≤w kontroli dostΩpu, okre£laj╣cych uprawnienia u┐ytkownik≤w dla zasob≤w, takich jak pliki i drukarki. Komputer u┐ywaj╣cy systemu Windows 2000 Professional mo┐e korzystaµ z obiekt≤w przechowywanych w bazach kont Windows NT bez ┐adnych modyfikacji.
W domenach Windows NT 4.0 administrator tworzy i zarz╣dza kontami u┐ytkownik≤w i komputer≤w w kontrolerze domeny Windows NT. Dodatkowo konta u┐ytkownik≤w i komputer≤w mog╣ byµ tworzone przez innego u┐ytkownika, pod warunkiem, ┐e posiada on odpowiednie uprawnienia administracyjne. Po zako±czeniu instalacji systemu Windows 2000 Professional mo┐na zmieniµ przynale┐no£µ do domeny za pomoc╣ Kreatora identyfikacji sieciowej lub okna dialogowego Zmiany identyfikacji. WiΩcej informacji na temat dodawania klient≤w u┐ywaj╣cych systemu Windows 2000 Professional do domen Windows NT znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äDo│╣czanie siΩ do £rodowiska sieciowegoö.

Uwaga WiΩcej informacji na temat programu instalacyjnego systemu Windows 2000 Professional znajduje siΩ w rozdziale äInstalacja Windows 2000 Professionalö.

Komputer u┐ywaj╣cy systemu Windows 2000 Professional pr≤buje wyszukaµ kontroler domeny Windows 2000 za pomoc╣ uwierzytelniania Kerberos. Je┐eli kontroler domeny, w kt≤rym dzia│a us│uga Centrum dystrybucji kluczy Kerberos, nie jest dostΩpny, to system Windows 2000 Professional pr≤buje wyszukaµ kontroler domeny Windows NT 4.0. Do uwierzytelniania w bazie kont tego kontrolera u┐ywany jest system zabezpiecze± NTLM.

Uwierzytelnianie kont

Komputer wraz ze zgromadzonymi w nim informacjami powinien byµ zabezpieczony przed nieautoryzowanym dostΩpem. System Windows 2000 zabezpiecza komputery za pomoc╣ mechanizmu nazywanego uwierzytelnianiem kont, ograniczaj╣cego mo┐liwo£ci korzystania z komputer≤w lub domen przez u┐ytkownik≤w. Uwierzytelnianie jest procesem potwierdzania to┐samo£ci u┐ytkownika û przez wpisanie jego nazwy i has│a lub przez umieszczenie karty inteligentnej w czytniku û i por≤wnanie jej z wpisami w bazie danych o kontach. Po zidentyfikowaniu u┐ytkownika w procesie uwierzytelniania, w oparciu o zdefiniowane uprawnienia, jest mu przydzielany dostΩp do okre£lonych zasob≤w sieciowych. Autoryzacja u┐ytkownika jest dokonywana przez mechanizm kontroli dostΩpu, korzystaj╣cy z list kontroli dostΩpu, definiuj╣cych uprawnienia w systemach plik≤w, sieciowych udzia│ach plikowych i drukarkowych oraz z wpis≤w w bazie danych o kontach.
Uwierzytelnienie konta mo┐e zostaµ przeprowadzone na jeden z dw≤ch sposob≤w:

Uwierzytelnienie w lokalnej bazie kont, w przypadku komputer≤w autonomicznych lub nale┐╣cych do grup roboczych.
Uwierzytelnienie w bazie kont domeny umieszczonej w kontrolerze domeny, w przypadku komputer≤w nale┐╣cych do domeny.

Uwaga Utworzenie konta u┐ytkownika w domenie Windows NT 4.0 nie przydziela mu automatycznie uprawnie± do logowania siΩ w komputerze u┐ywaj╣cym systemu Windows 2000 Professional. Aby zezwoliµ u┐ytkownikowi na lokalne logowanie siΩ do komputera, konieczne jest utworzenie dla niego konta lokalnego. WiΩcej informacji na temat tworzenia lokalnych kont u┐ytkownik≤w znajduje siΩ w rozdziale äZabezpieczeniaö.

     Domy£ln╣ metod╣ uwierzytelniania lokalnego i w domenach, u┐ywan╣ przez system Windows 2000, jest us│uga Kerberos. Protok≤│ uwierzytelniania Kerberos v5 jest przemys│owym standardem rozproszonych zabezpiecze±.
     System Windows 2000 Professional mo┐e tak┐e uwierzytelniaµ konta u┐ywaj╣c zabezpiecze± NTLM. Metoda ta jest u┐ywana, gdy u┐ytkownik loguje siΩ do systemu Windows NT, zar≤wno lokalnie, jak i za po£rednictwem domeny.
     Podczas logowania u┐ytkownika do domeny Windows system Windows 2000 Professional korzysta z obydwu procedur uwierzytelniania. Jako pierwsze ƒr≤d│o uwierzytelniania u┐ytkownika jest u┐ywana us│uga Kerberos. Aby z niej skorzystaµ, system operacyjny wyszukuje us│ugi Centrum dystrybucji kluczy Kerberos dzia│aj╣cej w kontrolerze domeny. Us│uga ta dzia│a we wszystkich kontrolerach domen Windows 2000.
     Je┐eli us│uga dystrybucji kluczy nie jest dostΩpna w kontrolerze domeny, to system Windows 2000 uwierzytelnia u┐ytkownika w bazie kont domeny Windows NT za pomoc╣ systemu zabezpiecze± NTLM i us│ugi SAM (Security Account Manager), dzia│aj╣cej w kontrolerze tej domeny.
     Je┐eli u┐ytkownik loguje siΩ lokalnie, to powy┐sza procedura przebiega podobnie, z t╣ r≤┐nic╣, ┐e uwierzytelnienie jest przeprowadzane lokalnie. Je┐eli us│uga dystrybucji kluczy nie jest dostΩpna podczas logowania u┐ytkownika do komputera, to nie mo┐e on zostaµ uwierzytelniony przez us│ugΩ Kerberos. W tej sytuacji system Windows 2000 Professional pr≤buje uwierzytelniµ go za pomoc╣ systemu zabezpiecze± NTLM, pozostawionego dla zachowania zgodno£ci z kontrolerami domen Windows NT.
     Proces uwierzytelniania w domenie Windows NT sk│ada siΩ z nastΩpuj╣cych etap≤w:

U┐ytkownik wprowadza swoj╣ nazwΩ i has│o, kt≤re s╣ pobierane przez komponent o nazwie GINA (Graphical Identification and Authentication).
GINA przekazuje zabezpieczone informacje do lokalnego urzΩdu zabezpiecze± LSA (Local Security Authority) w celu ich uwierzytelnienia.
LSA przekazuje informacje do interfejsu SSPI (Security Support Provider Interface). Interfejs ten s│u┐y do komunikowania siΩ z us│ugami Kerberos oraz NTLM.
SSPI przekazuje nazwΩ i has│o u┐ytkownika do dostawcy zabezpiecze± Kerberos.
Nazwa i has│o u┐ytkownika s╣ przekazywane do serwera Kerberos (kt≤ry w przypadku domeny Windows NT nie istnieje), co powoduje wygenerowanie komunikatu o b│Ωdzie.
WewnΩtrzny komunikat o b│Ωdzie powoduje, ┐e SSPI rozpoczyna proces uwierzytelniania na nowo, pocz╣wszy od komponentu GINA. GINA przekazuje ponownie informacje uwierzytelniaj╣ce do LSA, kt≤ry z kolei przesy│a je do SPPI.
SPPI przekazuje nazwΩ i has│o u┐ytkownika do sterownika NTLM. Sterownik NTLM korzysta z us│ugi Net Logon w celu uwierzytelnienia u┐ytkownika w lokalnej bazie mened┐era zabezpiecze± SAM (Security Access Manager).
Lokalna us│uga Net Logon przesy│a ┐╣danie do us│ugi Net Logon w kontrolerze domeny.
Us│uga Net Logon w kontrolerze domeny przekazuje ┐╣danie do mened┐era zabezpiecze± SAM w kontrolerze domeny.
SAM odpytuje bazΩ danych o kontach w celu potwierdzenia nazwy i has│a u┐ytkownika.
SAM w kontrolerze domeny przekazuje rezultaty pr≤by logowania do us│ugi Net Logon w kontrolerze domeny.
Us│uga Net Logon w kontrolerze domeny przesy│a rezultaty do us│ugi Net Logon w kliencie.
Us│uga Net Logon przekazuje rezultaty do urzΩdu zabezpiecze± LSA w kliencie, kt≤ry generuje zezwolenie dostΩpu z przydzielonymi uprawnieniami.

Je┐eli obydwie us│ugi: Kerberos i NTLM nie s╣ w stanie uwierzytelniµ u┐ytkownika, to otrzymuje on komunikat o b│Ωdzie. Ten sam komunikat jest wy£wietlany w przypadku, gdy u┐ytkownik pope│ni│ b│╣d podaj╣c has│o lub jego nazwa nie znajduje siΩ w lokalnej bazie danych SAM. Ma to na celu zwiΩkszenie bezpiecze±stwa.

Nazwy logowania

Aby u┐ytkownik m≤g│ uzyskaµ dostΩp do domeny i znajduj╣cych siΩ w niej zasob≤w, musi posiadaµ unikaln╣ nazwΩ logowania. W £rodowisku domeny u┐ytkownik jest rodzajem obiektu zabezpiecze±. Obiekt zabezpiecze± jest obiektem, w stosunku do kt≤rego s╣ stosowane zabezpieczenia systemu Windows zwi╣zane z uwierzytelnianiem i autoryzacj╣. U┐ytkownicy s╣ uwierzytelniani (weryfikowana jest ich to┐samo£µ) w momencie, gdy loguj╣ siΩ do domeny lub lokalnego komputera. NastΩpnie, gdy chc╣ skorzystaµ z zasob≤w, s╣ autoryzowani (otrzymuj╣ do nich dostΩp lub nie).
Obiekt zabezpiecze±, jakim jest u┐ytkownik, mo┐e posiadaµ dwa typy nazw logowania, zale┐ne od jego przynale┐no£ci do domeny lub grupy roboczej: nazwΩ konta SAM i/lub nazwΩ g│≤wn╣ u┐ytkownika:

Nazwa konta SAM jest nazw╣ wymagan╣ dla zachowania zgodno£ci z domenami i grupami roboczymi systemu Windows NT 4.0. W domenach i grupach roboczych tego systemu wszystkie nazwy kont musz╣ byµ unikalne.
Nazwa g│≤wna u┐ytkownika. W domenie Windows 2000 konto mo┐e posiadaµ poza nazw╣ SAM tzw. g│≤wn╣ nazwΩ u┐ytkownika. G│≤wna nazwa sk│ada siΩ z nazwy u┐ytkownika, znaku äatö () oraz sufiksu. Przyk│adowo, u┐ytkownik James Smith posiadaj╣cy konto w domenie reskit.com m≤g│by posiadaµ g│≤wn╣ nazwΩ JSmithreskit.com. G│≤wna nazwa u┐ytkownika zazwyczaj odzwierciedla hierarchiczn╣ strukturΩ domeny, jednak┐e administrator kont mo┐e wybraµ alternatywn╣ konwencjΩ nazewnictwa w przypadku, gdy struktura domeny jest zbyt z│o┐ona lub trudna do zapamiΩtania.
G│≤wna nazwa u┐ytkownika jest niezale┐na od tzw. nazwy rozr≤┐nialnej obiektu u┐ytkownika, kt≤ra jednoznacznie identyfikuje ten obiekt i jego lokalizacjΩ w Active Directory. Poniewa┐ to rozr≤┐nialne nazwy wyodrΩbniaj╣ poszczeg≤lne obiekty, a nie nazwy SAM lub nazwy g│≤wne, to dwa konta mog╣ posiadaµ t╣ sam╣ nazwΩ SAM. Dodatkowo obiekt u┐ytkownika mo┐e zostaµ przeniesiony, mo┐na zmieniµ jego nazwΩ bez wp│ywu na jego nazwΩ g│≤wn╣, a nawet mo┐e on posiadaµ wiele r≤┐nych nazw g│≤wnych.

Zasady grup i systemu

W systemie Windows NT 4.0 firma Microsoft wprowadzi│a Edytor za│o┐e± systemowych, kt≤ry by│ u┐ywany do okre£lania konfiguracji u┐ytkownika i komputera przechowywanej w rejestrze systemu. Za pomoc╣ tego edytora administratorzy mogli tworzyµ zasady systemowe kontroluj╣ce £rodowisko pracy oraz wymuszaj╣ce pewne ustawienia konfiguracyjne systemu dla wszystkich komputer≤w, kt≤re u┐ywa│y systemu Windows NT 4.0 Workstation lub Server.
W systemie Windows NT 4.0 by│y dostΩpne 72 ustawienia za│o┐e± systemowych. Mia│y one nastΩpuj╣ce ograniczenia:

Mog│y przypisywaµ warto£ci ustawie± wpis≤w w rejestrze jedynie na podstawie plik≤w .adm.
Mog│y byµ stosowane jedynie w przypadku u┐ytkownik≤w komputer≤w nale┐╣cych do domeny i korzystaj╣cych z systemu Windows NT, Windows 95 lub Windows 98.
By│y kontrolowane przez nazwy u┐ytkownik≤w i ich przynale┐no£µ do grup zabezpiecze±.
Nie by│y bezpieczne.
Pozostawa│y w profilach u┐ytkownik≤w do momentu zarezerwowania okre£lonego za│o┐enia lub do momentu, gdy u┐ytkownik podda│ rejestr edycji.
By│y g│≤wnie u┐ywane do dostosowywania pulpit≤w.

W systemie Windows 2000 ustawienia Zasad grup s╣ g│≤wn╣ metod╣ scentralizowanego zarz╣dzania zmianami i konfiguracj╣ przez administrator≤w. Administrator domeny Windows 2000 mo┐e okre£laµ w jej kontrolerze Zasady grup, definiuj╣ce okre£lon╣ konfiguracjΩ pulpitu dla poszczeg≤lnych grup u┐ytkownik≤w i komputer≤w. Mo┐na tak┐e tworzyµ lokalne Zasady grup dla poszczeg≤lnych stacji roboczych, definiuj╣ce specyficzne £rodowiska, r≤┐ni╣ce siΩ od domeny wybranymi ustawieniami. Snap-in Zasady grup konsoli MMC zastΩpuje Edytor za│o┐e± systemowych u┐ywany w systemie Windows NT 4.0 i umo┐liwia administratorowi pe│n╣ kontrolΩ nad ustawieniami konfiguracyjnymi poszczeg≤lnych grup komputer≤w i u┐ytkownik≤w.
Zasady grup w systemie Windows 2000 sk│adaj╣ siΩ z ponad 100 ustawie± zwi╣zanych z zabezpieczeniami oraz ponad 450 ustawie± opartych na rejestrze systemowym. Wszystkie te ustawienia i opcje umo┐liwiaj╣ efektywne zarz╣dzanie £rodowiskiem pracy u┐ytkownik≤w. Zasady grup w systemie Windows 2000 posiadaj╣ nastΩpuj╣ce cechy:

S╣ definiowane w domenie Windows 2000 lub lokalnie.
S╣ rozszerzane przy pomocy konsoli MMC lub plik≤w .adm.
S╣ bezpieczne.
Nie pozostawiaj╣ ustawie± w profilach u┐ytkownik≤w po zmianie lub usuniΩciu zasady efektywnej.
Mog╣ byµ stosowane dla u┐ytkownik≤w lub komputer≤w w okre£lonym kontenerze Active Directory (lokalizacja, domena, jednostka organizacyjna).
S╣ kontrolowane przez przynale┐no£µ u┐ytkownika lub komputera do grup zabezpiecze±.
Mog╣ byµ u┐ywane do konfigurowania r≤┐norodnych ustawie± zwi╣zanych z zabezpieczeniami.
Mog╣ byµ u┐ywane do stosowania skrypt≤w logowania, wylogowania oraz uruchamiania i zamykania systemu.
Mog╣ byµ u┐ywane do instalowania i utrzymywania oprogramowania (jedynie zasady domen Windows 2000).
Mog╣ byµ u┐ywane do przekierowywania folder≤w (takich jak Moje dokumenty lub Dane aplikacji).
Mog╣ byµ u┐ywane do obs│ugi programu Internet Explorer (jedynie zasady domen Windows 2000).

Za pomoc╣ snap-in Zasady grup mo┐na edytowaµ obiekty lokalnych Zasad grup w celu:

Definiowania ustawie± zabezpiecze± jedynie dla lokalnego komputera, a nie dla ca│ej domeny lub sieci.
Korzystania z szablon≤w administracyjnych, pozwalaj╣cych okre£liµ ponad 450 ustawie± zwi╣zanych z dzia│aniem systemu.
Korzystania ze skrypt≤w automatyzuj╣cych uruchamianie i zamykanie komputera oraz z automatyzuj╣cych logowanie i wylogowanie u┐ytkownik≤w.

W autonomicznych komputerach u┐ywaj╣cych systemu Windows 2000 Professional obiekty lokalnych Zasad grup s╣ przechowywane w katalogu \%SystemRoot%\System32\ GroupPolicy.
WiΩcej informacji na temat implementowania Zasad grup w domenach Windows 2000 znajduje siΩ w rozdziale äZasady grupö w tomie Systemy Rozproszone wchodz╣cym w sk│ad zestawu Microsoft Windows 2000 Server Resource Kit.

Wsp≤│istnienie za│o┐e± systemu oraz Zasad grup

Zdarzaj╣ siΩ sytuacje, w kt≤rych za│o┐enia systemu Windows NT musz╣ wsp≤│istnieµ z Zasadami grup systemu Windows 2000. Mo┐liwe s╣ nastΩpuj╣ce dwa scenariusze:

Komputer u┐ywaj╣cy systemu Windows 2000 Professional korzysta z lokalnych Zasad grup oraz za│o┐e± systemowych Windows NT 4.0.
Komputer u┐ywaj╣cy systemu Windows 2000 Professional znajduje siΩ w domenie Windows NT 4.0, kt≤ra jest w trakcie migracji do Windows 2000. W tej sytuacji konta u┐ytkownik≤w i komputer≤w s╣ rozdzielone pomiΩdzy tymi dwiema domenami.

W £rodowiskach, w kt≤rych za│o┐enia systemowe Windows NT wsp≤│istniej╣ z Zasadami grup systemu Windows 2000, wynikowa konfiguracja komputera i konta u┐ytkownika zale┐y od nastΩpuj╣cych czynnik≤w:

Lokalizacji konta u┐ytkownika (kontroler domeny Windows NT lub Windows 2000).
Lokalizacji konta komputera (kontroler domeny Windows NT lub Windows 2000).
Trwaj╣cej czynno£ci (uruchamianie komputera, logowanie siΩ u┐ytkownika, od£wie┐anie konta u┐ytkownika lub systemu).

Tabela 23.2 zawiera podsumowanie oczekiwanego dzia│ania kont u┐ytkownik≤w i komputer≤w w £rodowiskach, w kt≤rych za│o┐enia systemowe Windows NT wsp≤│istniej╣ z Zasadami grup systemu Windows 2000.


Tabela 23.2 Spodziewane dzia│anie ustawie± za│o┐e± systemowych/Zasad grup


îrodowisko	Lokalizacja obiektu konta	Rezultat na komputerze klienckim z systemem Windows 2000 Professional


Jedynie Windows NT 4.0	Komputera: Windows NT 4.0	Podczas uruchamiania komputera Lokalne Zasady grup (tylko je£li zosta│y zmienione).
		Podczas ka┐dego logowania u┐ytkownika: Za│o┐enia systemowe komputera.
	Od£wie┐anie konta komputera	Przed naci£niΩciem Control+Alt+Delete: Jedynie lokalne Zasady grup.
		Po zalogowaniu siΩ u┐ytkownika: Lokalne Zasady grup oraz za│o┐enia systemowe komputera.
	U┐ytkownika: Windows NT 4.0	Podczas logowania u┐ytkownika Systemowe zasady u┐ytkownika.
		Je┐eli zostan╣ zmienione lokalne Zasady grup: Lokalne Zasady grup i zasady systemowe u┐ytkownika.
	Od£wie┐anie konta u┐ytkownika	Lokalne Zasady grup i za│o┐enia systemowe u┐ytkownika.
Mieszane (w trakcie migracji)	Komputera: Windows NT 4.0	Podczas uruchamiania komputera Lokalne Zasady grup (tylko je£li zosta│y zmienione).
		Podczas ka┐dego logowania u┐ytkownika: Zasady systemowe komputera.
	Od£wie┐anie konta komputera	Przed naci£niΩciem Control+Alt+Delete: Lokalne Zasady grup komputera.
		Po zalogowaniu siΩ u┐ytkownika: Lokalne Zasady grup oraz zasady systemowe komputera.
	U┐ytkownika: Windows 2000	Podczas logowania u┐ytkownika Zasady grup s╣ przetwarzane po systemowych zasadach komputera.
	Od£wie┐anie konta u┐ytkownika	Zasady grup u┐ytkownika.
Mieszane (w trakcie migracji)	Komputera: Windows 2000	Podczas uruchamiania komputera Zasady grup.
	Od£wie┐anie konta komputera	Zasady grup komputera.
	U┐ytkownika: Windows NT 4.0	Podczas logowania u┐ytkownika Systemowe zasady u┐ytkownika.
		Je┐eli zostan╣ zmienione lokalne Zasady grup: Lokalne Zasady grup i zasady systemowe u┐ytkownika.
	Od£wie┐anie konta u┐ytkownika	Lokalne zasady grup i zasady systemowe u┐ytkownika.
Jedynie Windows 2000	Komputera: Windows 2000	Podczas uruchamiania komputera i logowania u┐ytkownika: Zasady grup.
	U┐ytkownika: Windows 2000
Grupa robocza	Konto lokalne	Jedynie lokalne Zasady grup.

Uwaga W £rodowiskach systemowych, w kt≤rych lokalne Zasady grup w komputerze u┐ywaj╣cym systemu Windows 2000 Professional wsp≤│istniej╣ z zasadami domeny Windows NT 4.0, nale┐y sprawdziµ, czy te zasady nie znajduj╣ siΩ w konflikcie ze sob╣ oraz czy siΩ nie nak│adaj╣. Przyk│adowo, w domenie Windows NT 4.0 w kt≤rej zosta│y w│╣czone zasady systemowe komputer≤w, host u┐ywaj╣cy systemu Windows 2000 Professional z ustawionymi lokalnymi Zasadami grup przetwarza obydwie zasady podczas od£wie┐ania konta komputera i logowania u┐ytkownika.

Skrypty logowania

Skrypt logowania mo┐e byµ plikiem wsadowym (*.bat lub *.cmd), wykonywalnym lub procedur╣ (VBScript, JavaScript lub Windows Script Host), kt≤ra jest u┐ywana do konfigurowania £rodowiska u┐ytkownika po w│╣czeniu Zasad grup lub systemowych. Skrypty logowania s╣ czΩsto u┐ywane do konfigurowania sieciowych udzia│≤w plikowych i drukarkowych lub w celu uruchamiania aplikacji zwi╣zanych z utrzymaniem systemu, takich jak programy antywirusowe.
Funkcjonalno£µ skrypt≤w logowania, kt≤re zosta│y zaprojektowane dla domeny Windows NT, nie zmieni│a siΩ w komputerach klienckich z systemem Windows 2000 Professional, jednak┐e po dokonaniu migracji nale┐y je przetestowaµ, aby zweryfikowaµ, czy wywo│ywane w nich aplikacje i procedury s╣ zgodne z tym systemem.

Protoko│y transportowe

Aby klient u┐ywaj╣cy systemu Windows 2000 Professional m≤g│ komunikowaµ siΩ z innymi klientami w tej samej domenie lub grupie roboczej, konieczne jest skonfigurowanie w nim takiego samego protoko│u transportowego, jak przez nich u┐ywany. Je┐eli w sieci istniej╣ ju┐ inni klienci, to nale┐y po prostu zainstalowaµ u┐ywany przez nich protok≤│ w konfigurowanej stacji roboczej oraz okre£liµ jego ustawienia. Je┐eli jednak konfigurowany komputer jest pierwszym hostem w sieci, kt≤ry u┐ywa systemu Windows 2000 Professional, to administrator musi wybraµ protok≤│, kt≤ry bΩdzie w niej u┐ywany. Niniejsza sekcja opisuje najczΩ£ciej u┐ywane w £rodowiskach grup roboczych protoko│y sieciowe: TCP/IP oraz NetBEUI.

Uwaga WiΩcej informacji na temat instalowania i konfigurowania protoko│u IPX/SPX w komputerze klienckim z systemem Windows 2000 Professional znajduje siΩ w rozdziale äWsp≤│praca z systemem NetWareö.

TCP/IP

Protok≤│ TCP/IP jest najczΩ£ciej u┐ywanym protoko│em sieciowym. System Windows 2000 zawiera kompletn╣ implementacjΩ standardowej rodziny podlegaj╣cego routingowi protoko│u TCP/IP. Protok≤│ ten jest najczΩ£ciej wybierany w £rednich i du┐ych sieciach nale┐╣cych do przedsiΩbiorstw. Charakteryzuje siΩ nastΩpuj╣cymi zaletami:

Umo┐liwia │╣czno£µ z sieci╣ Internet.
Obs│uguje routing pakiet≤w, co umo┐liwia dzielenie sieci na podsieci w celu optymalizacji ich wydajno£ci i zwiΩkszenia efektywno£ci zarz╣dzania nimi.
Umo┐liwia nawi╣zywanie │╣czno£ci pomiΩdzy sieciami, w kt≤rych u┐ywane s╣ r≤┐ne platformy sprzΩtowe i systemy operacyjne, w tym wyprodukowane przez firmy inne ni┐ Microsoft.
Obs│uguje automatyczn╣ konfiguracjΩ za pomoc╣ protoko│u DHCP.
Obs│uguje automatyczne adresowanie APIPA, umo┐liwiaj╣ce automatyczne przydzielanie sobie adres≤w IP przez komputery znajduj╣ce siΩ w niewielkich sieciach, w kt≤rych nie s╣ dostΩpne serwery DHCP.
Obs│uguje automatyczne mapowanie adres≤w IP na nazwy NetBIOS przy u┐yciu serwer≤w WINS.
Obs│uguje interfejs NetBIOS, okre£lany najczΩ£ciej jako NetBIOS nad TCP/IP.
Posiada zwiΩkszon╣ wydajno£µ, wynikaj╣c╣ miΩdzy innymi z wiΩkszego rozmiaru okna odbiorczego TCP oraz techniki potwierdze± selektywnych.
U┐ywany jest do uzyskiwania dostΩpu do Internetu przy u┐yciu HTTP, FTP i innych protoko│≤w komunikacyjnych.

Protok≤│ TCP/IP jest instalowany podczas domy£lnej instalacji systemu Windows 2000 Professional i mo┐e zostaµ skonfigurowany zar≤wno w trakcie tego procesu, jak te┐ i p≤ƒniej, po zainstalowaniu systemu.
WiΩcej informacji na temat dzia│ania protoko│u TCP/IP w systemie Windows 2000 Professional znajduje siΩ w rozdziale äTCP/IP w systemie Windows 2000 Professionalö.

NetBEUI

     System Windows 2000 Professional zawiera tak┐e implementacjΩ protoko│u NetBEUI. Protok≤│ ten jest w pe│ni zgodny z wcze£niejszymi wersjami produkt≤w sieciowych firmy Microsoft, │╣cznie z systemem Windows NT, Windows for Workgroups, LAN Manager i Windows 98. W systemie Windows 2000 implementacja protoko│u NetBEUI obs│uguje tak┐e interfejs programistyczny NetBIOS.
     Protok≤│ transportowy NetBEUI wystΩpuje najczΩ£ciej w sieciach sk│adaj╣cych siΩ z jednej podsieci, zorganizowanych w formie domeny lub grupy roboczej Windows NT i sk│adaj╣cych siΩ z 2 do 200 komputer≤w nie │╣cz╣cych siΩ z Internetem. Z tego powodu NetBEUI zosta│ zoptymalizowany jako wydajny protok≤│ dla lokalnych sieci oddzia│owych lub segment≤w sieci LAN. Zaimplementowany w systemie Windows 2000 protok≤│ NetBEUI charakteryzuje siΩ prostot╣ instalacji, nie wymagaj╣c ┐adnej konfiguracji podsieci ani adres≤w sieciowych.
     Protok≤│ NetBEUI jest protoko│em nie podlegaj╣cym routingowi, co oznacza, ┐e ruch korzystaj╣cy z niego nie mo┐e byµ przekazywany przez routery. Mo┐e byµ on jednak przesy│any przez mosty zwyk│e i korzystaj╣ce z routingu w ƒr≤dle. Cecha ta powoduje, ┐e protok≤│ NetBEUI jest wra┐liwy na zalewanie ruchem rozg│oszeniowym, a budowa u┐ywaj╣cych go sieci jest ograniczona, poniewa┐ tworzenie podsieci jest niemo┐liwe.
     W celu zwiΩkszenia elastyczno£ci klienta mo┐na zainstalowaµ NetBEUI wraz z innymi protoko│ami. Przyk│adowo, w komputerze, kt≤ry wymaga │╣czno£ci z Internetem lub z innymi komputerami za po£rednictwem routera, mo┐na zainstalowaµ opr≤cz NetBEUI protok≤│ TCP/IP. Je┐eli NetBEUI zostanie ustawiony jako protok≤│ domy£lny, to system Windows 2000 Professional bΩdzie go u┐ywa│ do komunikacji w obrΩbie sieci LAN, natomiast protok≤│ TCP/IP bΩdzie u┐ywany do komunikacji z innymi czΩ£ciami sieci za po£rednictwem router≤w.
     WiΩcej informacji na temat instalowania i konfigurowania protoko│u NetBEUI w systemie Windows 2000 Professional znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äKonfigurowanie protoko│≤w transportowychö.

Wyszukiwanie zasob≤w w sieciach Microsoft

     Po zalogowaniu siΩ u┐ytkownika do sieci, potrzebuje on sposobu wyszukiwania udostΩpnianych w niej zasob≤w. System Windows 2000 udostΩpnia zasoby publikuj╣c obiekty w domenach oraz korzystaj╣c z funkcji przegl╣dania w sieciach korzystaj╣cych z komunikat≤w SMB (Server Message Block), takich jak sieci Windows NT.     Publikowanie jest procesem tworzenia obiekt≤w Active Directory zawieraj╣cych udostΩpnione przez u┐ytkownika informacje lub wskazania do nich. Przyk│adowo, obiekt u┐ytkownika zawiera u┐yteczne informacje na temat u┐ytkownika, takie np. jak numer telefonu lub adres poczty elektronicznej, natomiast obiekt woluminu zawiera wskazanie na udostΩpniony wolumin systemu plik≤w. Opublikowane obiekty s╣ dostΩpne dla klient≤w u┐ywaj╣cych systemu Windows 2000, Windows 95 i Windows 98, pod warunkiem, ┐e zosta│o w nich zainstalowane oprogramowanie klienckie Active Directory. Publikowanie mo┐e byµ implementowane jedynie w domenach Active Directory, w kt≤rych protoko│em transportowym jest TCP/IP.
     Poni┐ej przedstawiono dwa przyk│ady publikowania obiekt≤w udzia│≤w i drukarek w katalogu Active Directory:
     Publikowanie udzia│≤w. Administratorzy sieci i uwierzytelnieni u┐ytkownicy mog╣ publikowaµ w Active Directory udostΩpnione foldery w formie obiekt≤w wolumin≤w (nazywanych tak┐e obiektami udostΩpnionych folder≤w). Czynno£µ t╣ mo┐na wykonaµ za pomoc╣ snap-in U┐ytkownicy i grupy Active Directory. DziΩki temu inni u┐ytkownicy mog╣ wygodnie i szybko odpytywaµ us│ugΩ Active Directory o udostΩpnione foldery.
     Publikowanie drukarek. W domenie Windows 2000 najprostszym sposobem zarz╣dzania, lokalizowania i │╣czenia siΩ z drukarkami jest korzystanie z us│ugi Active Directory. Po dodaniu do systemu drukarki za pomoc╣ Kreatora dodawania drukarki i udostΩpnieniu jej, system Windows 2000 Server publikuje j╣ w domenie jako obiekt w Active Directory. Umo┐liwia to u┐ytkownikom odszukanie w sieci najbardziej odpowiadaj╣cej im drukarki. DziΩki temu mog╣ oni odpytywaµ Active Directory o drukarki posiadaj╣ce okre£lone atrybuty, takie jak typ (obs│uga PostScript, druk kolorowy, papier w okre£lonym formacie itp.) oraz lokalizacja. Po usuniΩciu drukarki z serwera jest ona usuwana tak┐e z katalogu Active Directory.
     W systemie Windows 2000 wprowadzono tzw. wykaz globalny, bΩd╣cy baz╣ danych umieszczon╣ w jednym lub kilku kontrolerach domeny. Wykaz globalny pe│ni g│≤wn╣ rolΩ podczas logowania u┐ytkownik≤w i odpytywania Active Directory o okre£lone zasoby.
     W £rodowiskach sk│adaj╣cych siΩ z wielu domen wykaz globalny umo┐liwia klientom szybkie i wygodne przeszukiwanie wszystkich domen jednocze£nie. Wykaz globalny sprawia, ┐e struktura katalogu przedsiΩbiorstwa staje siΩ przezroczysta dla u┐ytkownik≤w poszukuj╣cych konkretnych informacji.

Przegl╣darka komputer≤w oraz funkcje przegl╣dania

     Us│uga Przegl╣darki komputer≤w stanowi metodΩ wyszukiwania zasob≤w udostΩpnionych w £rodowisku domeny lub grupy roboczej. Komputery, w kt≤rych dzia│a us│uga Serwera (do kt≤rych mog╣ zaliczaµ siΩ zar≤wno serwery, jak i stacje robocze), anonsuj╣ swoj╣ dostΩpno£µ za pomoc╣ komunikat≤w rozg│oszeniowych. Komunikaty te s╣ przechwytywane przez komputery wyznaczone na przegl╣darki. Funkcj╣ przegl╣darki jest tworzenie, utrzymywanie i dystrybuowanie listy przegl╣dania, kt≤ra jest katalogiem wszystkich zasob≤w udostΩpnionych w sieci.
     Przegl╣danie jest us│ug╣ wymagan╣ przez aplikacje sieciowe, kt≤re korzystaj╣ z komunikat≤w SMB w systemie Windows 2000 i we wcze£niejszych jego wersjach. Do aplikacji tych zaliczaj╣ siΩ Moje miejsca sieciowe, polecenie net view oraz Eksplorator systemu Windows NT.
     W £rodowiskach obs│uguj╣cych przegl╣danie, komputery mog╣ pe│niµ nastΩpuj╣ce funkcje:

G│≤wna przegl╣darka domeny
Przegl╣darka g│≤wna
Przegl╣darka zapasowa
Potencjalna przegl╣darka
Brak funkcji przegl╣dania

W tabeli 23.3 przedstawiono poszczeg≤lne funkcje przegl╣dania oraz dzia│anie komputer≤w, kt≤re pe│ni╣ poszczeg≤lne te funkcje.


Tabela 23.3 Funkcje przegl╣dania


Funkcja przegl╣dania	Dzia│anie


G│≤wna przegl╣darka domeny	U┐ywana jedynie w £rodowisku domeny. Domy£lnie funkcjΩ t╣ pe│ni g│≤wny kontroler domeny (PDC). Jej zadaniem jest tworzenie i utrzymywanie g│≤wnej listy przegl╣dania wszystkich serwer≤w dostΩpnych w domenie i nazw innych domen i grup roboczych wystΩpuj╣cych w sieci. Ponadto dystrybuuje ona i synchronizuje g│≤wn╣ listΩ przegl╣dania we wszystkich przegl╣darkach g│≤wnych w innych podsieciach, w kt≤rych znajduj╣ siΩ komputery nale┐╣ce do tej samej domeny. Komputer u┐ywaj╣cy systemu Windows 2000 Professional nie mo┐e staµ siΩ g│≤wn╣ przegl╣dark╣ domeny.
Przegl╣darka g│≤wna	Tworzy i utrzymuje listΩ dostΩpnych serwer≤w sieciowych w lokalnej podsieci. W pe│ni replikuje swoje informacje z g│≤wn╣ przegl╣dark╣ domeny w celu pobrania kompletnej listy przegl╣dania dla ca│ej sieci. Dystrybuuje t╣ listΩ do przegl╣darek zapasowych, zlokalizowanych w tej samej podsieci.
Przegl╣darka zapasowa	Otrzymuje kopiΩ listy przegl╣dania od g│≤wnej przegl╣darki w danej podsieci. Na ┐╣danie dystrybuuje listΩ przegl╣dania do innych komputer≤w.
Potencjalna przegl╣darka	W normalnych warunkach dzia│a podobnie jak komputer, kt≤ry nie pe│ni ┐adnych funkcji zwi╣zanych z przegl╣daniem. Jest jednak w stanie przej╣µ funkcje przegl╣darki zapasowej, je┐eli za┐╣da tego g│≤wna przegl╣darka w danej podsieci. Jest to domy£lna konfiguracja komputera u┐ywaj╣cego systemu Windows 2000 Professional.
Brak funkcji przegl╣dania	Nie przechowuje listy przegl╣dania. Mo┐e dzia│aµ jako klient przegl╣darki znajduj╣cej siΩ w tej samej podsieci, ┐╣daj╣c od niej list przegl╣dania. Komputer skonfigurowany w ten spos≤b nie mo┐e staµ siΩ przegl╣dark╣.

     W pewnych sytuacjach, takich jak awaria lub wy│╣czenie komputera pe│ni╣cego jak╣£ funkcjΩ zwi╣zan╣ z przegl╣daniem, przegl╣darki dzia│aj╣ce aktualnie oraz potencjalne mog╣ zmieniµ swoj╣ funkcjΩ. Proces ten nazywa siΩ wyborem przegl╣darki.
     Gdy komputer u┐ywaj╣cy systemu Windows 2000 Professional jest uruchamiany, w pierwszej kolejno£ci sprawdza w kluczu rejestru MaintainServerList, czy mo┐e pe│niµ funkcjΩ przegl╣darki. Klucz ten znajduje siΩ w nastΩpuj╣cej lokalizacji:
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser \ParametersW tabeli 23.4 opisano warto£ci, jakie mog╣ zostaµ przypisane wymienionemu wy┐ej wpisowi.


Tabela 23.4 Dozwolone warto£ci wpisu MaintainServerList


Warto£µ	Opis


No	Uniemo┐liwia komputerowi dzia│anie jako przegl╣darka.
Yes	Przypisuje komputerowi funkcjΩ przegl╣darki. Po uruchomieniu komputer pr≤buje skontaktowaµ siΩ z g│≤wn╣ przegl╣dark╣ w celu pobrania aktualnej listy przegl╣dania. Je┐eli przegl╣darka g│≤wna nie jest dostΩpna, to komputer ten wymusza proces wyboru przegl╣darki, po czym przyjmuje funkcjΩ wybranej przegl╣darki g│≤wnej lub zapasowej.
Auto	Przypisuje komputerowi funkcjΩ przegl╣darki potencjalnej. Mo┐e siΩ on staµ przegl╣dark╣, w zale┐no£ci od ilo£ci przegl╣darek aktywnych w danym momencie. Przegl╣darka g│≤wna powiadamia ten komputer o tym, czy ma on przej╣µ funkcjΩ przegl╣darki zapasowej.
	Jest to ustawienie domy£lne w przypadku komputer≤w u┐ywaj╣cych systemu Windows 2000 Professional lub Windows NT 4.0.

Uwaga W przypadku komputer≤w, kt≤re s╣ czΩsto wy│╣czane lub usuwane z sieci, jak np. komputery przeno£ne, warto ustawiµ warto£µ wpisu MaintainServerList na No. Pozwala to zagwarantowaµ sta│╣ dostΩpno£µ serwera przegl╣darki i zmniejszyµ liczbΩ przeprowadzanych proces≤w ich wyboru. Wy│╣czenie us│ug przegl╣dania w komputerze klienckim zmniejsza ponadto natΩ┐enie ruchu sieciowego wynikaj╣cego z anons≤w przegl╣dania.

Innym wpisem znajduj╣cym siΩ w tej samej lokalizacji w rejestrze jest wpis IsDomainMaster. Okre£la on, czy komputer u┐ywaj╣cy systemu Windows 2000 Professional mo┐e staµ siΩ preferowan╣ przegl╣dark╣ g│≤wn╣. Preferowana przegl╣darka g│≤wna posiada priorytet nad innymi komputerami podczas procesu wyboru przegl╣darki g│≤wnej. Zawsze, gdy preferowana przegl╣darka g│≤wna jest uruchamiana, wymusza ona rozpoczΩcie procesu wyboru. Domy£ln╣ warto£ci╣ tego ustawienia w systemie Windows 2000 Professional jest False.

Wyb≤r przegl╣darki

Po okre£leniu funkcji przegl╣dania dla komputera u┐ywaj╣cego systemu Windows 2000 Professional, komputer ten sprawdza, czy w domenie znajduje siΩ ju┐ przegl╣darka g│≤wna. Je┐eli nie, to rozpoczynany jest proces wyboru przegl╣darki, podczas kt≤rego jest wybierany serwer przegl╣darki g│≤wnej dla grupy roboczej. Wyb≤r przegl╣darki zachodzi w nastΩpuj╣cych okoliczno£ciach:

Gdy komputer nie mo┐e zlokalizowaµ przegl╣darki g│≤wnej.
Gdy zostanie w│╣czony komputer pe│ni╣cy funkcjΩ preferowanej przegl╣darki g│≤wnej.
Gdy zostanie uruchomiony kontroler domeny Windows NT.

Je┐eli w sieci istnieje ju┐ serwer przegl╣darki g│≤wnej, to system Windows 2000 por≤wnuje liczbΩ komputer≤w w grupie roboczej z ilo£ci╣ obecnych w niej serwer≤w przegl╣darek. Je┐eli ilo£µ komputer≤w przypadaj╣ca na jedn╣ przegl╣darkΩ przekracza zdefiniowany wsp≤│czynnik (zazwyczaj 32 komputery na jeden serwer przegl╣dania), a wpis MaintainServerList jest ustawiony na Auto, to g│≤wna przegl╣darka mo┐e wybraµ komputer u┐ywaj╣cy systemu Windows 2000 Professional i zleciµ mu pe│nienie funkcji przegl╣darki zapasowej.
WiΩcej informacji na temat kryteri≤w u┐ywanych podczas procesu wyboru przegl╣darki znajduje siΩ w rozdziale äUs│uga Przegl╣darki systemu Windows 2000ö w tomie System Sieciowy TCP/IP wchodz╣cym w sk│ad publikacji Microsoft Windows 2000 Server Resource Kit.

Tworzenie listy przegl╣dania dla sieci Microsoft

W systemie Windows 2000 Professional us│uga przegl╣dania utrzymuje aktualn╣ listΩ domen, grup roboczych i komputer≤w oraz udostΩpnia t╣ listΩ ┐╣daj╣cym jej aplikacjom. U┐ytkownicy korzystaj╣ z tej listy w nastΩpuj╣cych sytuacjach:

Gdy u┐ytkownik ┐╣da listy komputer≤w nale┐╣cych do grupy roboczej, us│uga przegl╣dania w lokalnym komputerze wybiera losowo serwer przegl╣dania i wysy│a do niego ┐╣danie.
Gdy u┐ytkownik wybiera grupΩ robocz╣, do kt≤rej jego komputer nie nale┐y:
System Windows 2000 Professional ┐╣da listy komputer≤w nale┐╣cych do wybranej grupy roboczej i otrzymuje j╣ od serwera przegl╣dania znajduj╣cego siΩ w tej grupie.
Wybrany serwer przegl╣dania wysy│a dodatkowo listΩ grup roboczych, kt≤re znajduj╣ siΩ w sieci oraz listΩ komputer≤w w grupie roboczej u┐ytkownika.

Lista przegl╣dania jest wy£wietlana zawsze, gdy system Windows 2000 Professional prezentuje u┐ytkownikowi listΩ zasob≤w. Mo┐e ona zostaµ tak┐e wy£wietlona za pomoc╣ polecenia net view. Lista mo┐e zawieraµ nazwy domen, grup roboczych i komputer≤w, w kt≤rych dzia│aj╣ us│ugi udostΩpniania plik≤w i drukarek, w tym:

Komputery u┐ywaj╣ce system≤w Windows 98, Windows 95, Windows for Workgroups i Windows NT Workstation.
Serwery i domeny systemu Windows NT.
Grupy robocze zdefiniowane w systemach Windows 98, Windows 95, Windows for Workgroups, Windows NT Server i Windows NT Workstation.
Komputery u┐ywaj╣ce systemu MS-DOS wraz z rozszerzeniami dla grup roboczych.
Domeny i serwery LAN Manager 2.x.

Dodawanie nowych komputer≤w do listy przegl╣dania

Gdy komputer u┐ywaj╣cy systemu Windows 2000 Professional jest do│╣czany do sieci, anonsuje on swoj╣ obecno£µ do serwera przegl╣darki g│≤wnej w swojej grupie roboczej. NastΩpnie serwer dodaje ten komputer do listy komputer≤w dostΩpnych w grupie roboczej i powiadamia o tym serwery przegl╣darek zapasowych. Serwery te ┐╣daj╣ nowych informacji, niezbΩdnych do zaktualizowania ich list przegl╣dania. Zanim serwer przegl╣darki zapasowej otrzyma aktualn╣ listΩ przegl╣dania, mo┐e up│yn╣µ do 15 minut. W tym czasie nowe komputery w sieci nie pojawiaj╣ siΩ w listach przegl╣dania zwracanych u┐ytkownikom.

Usuwanie komputer≤w z listy przegl╣dania

Je┐eli u┐ytkownik prawid│owo wy│╣czy sw≤j komputer, to jego system operacyjny poinformuje o tym fakcie serwer przegl╣darki g│≤wnej. Serwer ten nastΩpnie powiadamia serwery przegl╣darek zapasowych o dostΩpnej zmianie listy przegl╣dania.
Je┐eli u┐ytkownik po prostu wy│╣czy sw≤j komputer, to system operacyjny nie ma mo┐liwo£ci powiadomienia o tym serwera przegl╣darki g│≤wnej. W takiej sytuacji nazwa tego komputera jest widoczna na li£cie przegl╣dania do chwili up│yniΩcia okresu braku aktywno£ci, co mo┐e zaj╣µ do jednej godziny.

Konfigurowanie protoko│≤w transportowych

W niniejszej sekcji om≤wiono zagadnienia zwi╣zane z w│╣czaniem protoko│≤w transportowych TCP/IP oraz NetBEUI.

Konfigurowanie protoko│u TCP/IP

Program instalacyjny systemu Windows 2000 Professional instaluje protok≤│ TCP/IP domy£lnie. Je┐eli zachodzi potrzeba rΩcznej instalacji tego protoko│u p≤ƒniej, to nale┐y pos│u┐yµ siΩ poni┐sz╣ procedur╣.

Aby zainstalowaµ protok≤│ TCP/IP po zako±czeniu instalacji systemu Windows 2000 Professional, nale┐y:

W Panelu sterowania dwukrotnie klikn╣µ ikonΩ Po│╣czenia sieciowe i telefoniczne.
Klikn╣µ prawym przyciskiem myszy po│╣czenie, kt≤re ma zostaµ zmodyfikowane, a nastΩpnie wybraµ opcjΩ W│a£ciwo£ci.
Na zak│adce Og≤lne klikn╣µ przycisk Zainstaluj.
W oknie dialogowym Wybieranie typu sk│adnika sieci wybraµ Protok≤│, a nastΩpnie klikn╣µ przycisk Dodaj.
W oknie dialogowym Wybieranie protoko│u sieciowego wybraµ TCP/IP, a nastΩpnie klikn╣µ przycisk OK.

Aby │╣czno£µ z innymi klientami TCP/IP w lokalnej podsieci by│a mo┐liwa, konieczne jest skonfigurowanie co najmniej adresu IP i maski podsieci. Je┐eli sieµ sk│ada siΩ z kilku podsieci, konieczne jest dodatkowe skonfigurowanie nastΩpuj╣cych ustawie±:

Rozpoznawanie nazw (WINS, DNS, plik Lmhosts lub Hosts).
Brama domy£lna

W bardziej zaawansowanych konfiguracjach konieczne mo┐e byµ okre£lenie tak┐e ustawie± zwi╣zanych np. z protoko│em IPSec oraz filtrowaniem IP. Aby dowiedzieµ siΩ, jakie opcje nale┐y ustawiµ aby osi╣gn╣µ pe│n╣ funkcjonalno£µ klienta u┐ywaj╣cego systemu Windows 2000 Professional, nale┐y skontaktowaµ siΩ z administratorem sieci. Czynno£ci zwi╣zane z konfigurowaniem protoko│u TCP/IP s╣ opisane w rozdziale äTCP/IP w systemie Windows 2000 Professionalö.
Je┐eli w sieci dostΩpny jest serwer DHCP, to nale┐y skonfigurowaµ klienta u┐ywaj╣cego systemu Windows 2000 Professional tak, aby z niego korzysta│. Protok≤│ DHCP charakteryzuje siΩ nastΩpuj╣cymi zaletami:

Likwiduje konieczno£µ rΩcznego zmieniania ustawie± IP w sytuacji, gdy np. u┐ytkownik komputera przeno£nego zmienia miejsce pobytu. Klient automatycznie otrzymuje nowy adres IP, niezale┐nie od tego, do kt≤rej podsieci jest do│╣czony. Warunkiem tego jest dostΩpno£µ serwera DHCP w ka┐dej z tych podsieci.
Likwiduje konieczno£µ rΩcznego konfigurowania ustawie± serwer≤w DNS i WINS oraz innych opcji. Serwer DHCP mo┐e udostΩpniaµ te ustawienia klientom pod warunkiem, ┐e jest odpowiednio skonfigurowany. WiΩcej informacji na temat us│ug DNS oraz WINS znajduje siΩ w rozdziale äTCP/IP w systemie Windows 2000 Professionalö.
Zapobiega konfliktom powt≤rzonych adres≤w IP.

Instalowanie protoko│u NetBEUI

Program instalacyjny systemu Windows 2000 Professional nie instaluje domy£lnie obs│ugi protoko│u NetBEUI. Aby zainstalowaµ ten protok≤│ w komputerze u┐ywaj╣cym systemu Windows 2000 Professional, nale┐y pos│u┐yµ siΩ poni┐sz╣ procedur╣.

Aby zainstalowaµ protok≤│ NetBEUI po uruchomieniu systemu Windows 2000 Professional, nale┐y:

W Panelu sterowania dwukrotnie klikn╣µ ikonΩ Po│╣czenia sieciowe i telefoniczne.
Klikn╣µ prawym przyciskiem myszy po│╣czenie, kt≤re ma zostaµ zmodyfikowane, a nastΩpnie wybraµ opcjΩ W│a£ciwo£ci.
Na zak│adce Og≤lne klikn╣µ przycisk Zainstaluj.
W oknie dialogowym Wybieranie typu sk│adnika sieci wybraµ Protok≤│, a nastΩpnie klikn╣µ przycisk Dodaj.
W oknie dialogowym Wybieranie protoko│u sieciowego wybraµ NetBEUI, a nastΩpnie klikn╣µ przycisk OK.

Protok≤│ NetBEUI nie wymaga ┐adnej dodatkowej konfiguracji.

Konfigurowanie kolejno£ci powi╣za± protoko│≤w

Je┐eli w komputerze u┐ywaj╣cym systemu Windows 2000 Professional jest zainstalowanych wiele protoko│≤w sieciowych, mo┐na skonfigurowaµ kolejno£µ powi╣za± poszczeg≤lnych protoko│≤w z korzystaj╣cymi z nich us│ugami. Kolejno£µ powi╣za± okre£la, kt≤rego protoko│u u┐ywa dana us│uga do po│╣czenia siΩ z innym klientem lub us│ug╣. NajczΩ£ciej u┐ywany protok≤│ nale┐y umie£ciµ na pocz╣tku listy, co zmniejsza ilo£µ czasu potrzebn╣ do wyszukania ┐╣danych klient≤w i us│ug.
Z ka┐dym protoko│em mo┐e byµ powi╣zanych wiele us│ug, jednak┐e us│ug╣ kontroluj╣c╣ dostΩp do sieci jest Klient sieci Microsoft Network. Kolejno£µ powi╣za± jest wy£wietlana na zak│adce Karty i powi╣zania w oknie Ustawie± zaawansowanych wybranego adaptera sieciowego. Powi╣zania s╣ wy£wietlane w polu o etykiecie Powi╣zania dla nazwa po│╣czenia. Rysunek 23.5 przedstawia kolejno£µ powi╣za± dla wybranego adaptera sieciowego.

Rysunek 23.5 Konfigurowanie kolejno£ci powi╣za± protoko│≤w

Aby zmieniµ kolejno£µ powi╣za± protoko│≤w sieciowych, nale┐y:

W Panelu sterowania dwukrotnie klikn╣µ ikonΩ Po│╣czenia sieciowe i telefoniczne.
Wybraµ po│╣czenie, kt≤re ma zostaµ zmodyfikowane.
W menu Zaawansowane klikn╣µ Ustawienia zaawansowane.
Na zak│adce Karty i powi╣zania, w polu Powi╣zania dla nazwa po│╣czenia, wybraµ protok≤│, kt≤ry ma zostaµ przeniesiony, a nastΩpnie klikn╣µ przycisk W g≤rΩ lub W d≤│.

Do│╣czanie siΩ do £rodowiska sieciowego

Czynno£µ dodawania komputera z systemem Windows 2000 Professional do logicznej grupy komputer≤w, takiej jak domena lub grupa robocza, jest nazywana przy│╣czaniem siΩ do domeny lub grupy roboczej. W tym paragrafie om≤wiono procesy do│╣czania siΩ komputera z systemem Windows 2000 Professional do istniej╣cej domeny lub grupy roboczej.

Kreator identyfikacji sieciowej

Kreator identyfikacji sieciowej, przedstawiony na rysunku 23.6, udostΩpnia u┐ytkownikowi sp≤jny interfejs umo┐liwiaj╣cy do│╣czenie komputera z systemem Windows 2000 Professional do grupy roboczej lub domeny Windows NT lub Windows 2000.
Aby dodaµ komputer do domeny, konieczne jest zalogowanie siΩ do tego komputera przy u┐yciu konta, kt≤re nale┐y do grupy Administratorzy. Dodatkowo konto to musi posiadaµ uprawnienia administratora w kontrolerze domeny, w przeciwnym przypadku konieczne jest pos│u┐enie siΩ innym kontem administracyjnym.

Uwaga W domenie Windows 2000 uprawnienie dodawania komputer≤w do domeny mo┐e zostaµ oddelegowane do kont u┐ytkownik≤w, kt≤rzy nie posiadaj╣ typowych uprawnie± administracyjnych. Aby zapoznaµ siΩ ze strategi╣ delegacji tych uprawnie± w danym przedsiΩbiorstwie, nale┐y skontaktowaµ siΩ z administratorem domeny. WiΩcej informacji na temat delegacji uprawnie± znajduje siΩ w rozdziale äZabezpieczeniaö.

Rysunek 23.6 Kreator identyfikacji sieciowej

Aby uruchomiµ Kreator identyfikacji sieciowej, nale┐y:

Klikn╣µ prawym przyciskiem myszy M≤j komputer, a nastΩpnie wybraµ opcjΩ W│a£ciwo£ci.
Wybraµ zak│adkΩ Identyfikacja sieciowa.
Klikn╣µ Identyfikator sieciowy, a nastΩpnie przycisk Dalej.
Wybraµ opcjΩ Komputer ten jest czΩ£ci╣ sieci firmy i u┐ywam go do │╣czenia siΩ z innymi komputerami w pracy, a nastΩpnie klikn╣µ przycisk Dalej.
Je┐eli komputer jest do│╣czany do domeny, to nale┐y wybraµ opcjΩ Moja firma u┐ywa sieci z domenami, a nastΩpnie dwa razy klikn╣µ przycisk Dalej.
û Lub û
Je┐eli komputer jest do│╣czany do grupy roboczej, to nale┐y wybraµ opcjΩ Moja firma u┐ywa sieci bez domen, a nastΩpnie klikn╣µ przycisk Dalej.
Je┐eli komputer jest do│╣czany do domeny, to nale┐y wprowadziµ nastΩpuj╣ce informacje, a nastΩpnie klikn╣µ Dalej:
- Nazwa u┐ytkownika
- Has│o
- Nazwa domeny, kt≤ra zawiera konto u┐ytkownika
û Lub û
Je┐eli komputer jest do│╣czany do domeny, to nale┐y wprowadziµ jej nazwΩ, a nastΩpnie klikn╣µ przycisk Dalej.
Klikn╣µ przycisk Zako±cz w celu zamkniΩcia kreatora i ponownego uruchomienia komputera.

RΩczne do│╣czanie siΩ do domeny Windows

Aby dodaµ komputer do domeny, konieczne jest zalogowanie siΩ do tego komputera przy u┐yciu konta, kt≤re nale┐y do grupy Administratorzy. Dodatkowo konto to musi nale┐eµ do grupy Administratorzy domeny lub musi byµ dostΩpne inne konto, kt≤re do tej grupy nale┐y. Rysunek 23.7 przedstawia okno dialogowe Identyfikacja sieciowa, za pomoc╣ kt≤rego mo┐na t╣ czynno£µ wykonaµ.

Rysunek 23.7 Okno dialogowe Identyfikacja sieciowa

Aby przy│╣czyµ siΩ do domeny Windows, nale┐y:

W Panelu sterowania dwukrotnie klikn╣µ ikonΩ System.
Na zak│adce Identyfikacja sieciowa klikn╣µ opcjΩ W│a£ciwo£ci.
W polu Cz│onkostwo klikn╣µ Domena, a nastΩpnie wpisaµ nazwΩ domeny, do kt≤rej komputer ma zostaµ przy│╣czony. Klikn╣µ przycisk OK.
Je┐eli konto komputera zosta│o ju┐ utworzone w kontrolerze domeny, to nale┐y wprowadziµ nazwΩ i has│o u┐ytkownika oraz nazwΩ domeny, a nastΩpnie klikn╣µ przycisk Dalej.
û Lub û
Je┐eli konto komputera nie zosta│o jeszcze utworzone w kontrolerze domeny, to nale┐y wprowadziµ nazwΩ i has│o u┐ytkownika oraz nazwΩ domeny, a nastΩpnie klikn╣µ przycisk Dalej. Pojawi siΩ okno dialogowe, ┐╣daj╣ce podania nazwy u┐ytkownika i has│a konta z uprawnieniami Administratora. Nale┐y wprowadziµ wymagane informacje, a nastΩpnie klikn╣µ przycisk OK. Nowe konto komputera zostanie utworzone w kontrolerze domeny.
Dwa razy klikn╣µ przycisk OK w celu zamkniΩcia okna Zmiany identyfikacji.
Klikn╣µ przycisk OK.
Klikn╣µ przycisk Tak w celu ponownego uruchomienia komputera.

RΩczne do│╣czanie siΩ do grupy roboczej

W domy£lnej konfiguracji programu instalacyjnego komputer u┐ywaj╣cy systemu Windows 2000 Professional nale┐y do grupy roboczej o nazwie GRUPA_ROBOCZA. Aby zmieniµ przynale┐no£µ do grupy roboczej lub przenie£µ siΩ z domeny do grupy, konieczne jest zalogowanie siΩ przy u┐yciu konta posiadaj╣cego uprawnienia administracyjne.

Uwaga Je┐eli przed do│╣czeniem siΩ do grupy roboczej komputer nale┐a│ do domeny, to zostanie on od niej od│╣czony, a jego konto zostanie wy│╣czone.

Aby przy│╣czyµ siΩ do grupy roboczej Windows, nale┐y:

W Panelu sterowania dwukrotnie klikn╣µ ikonΩ System.
Na zak│adce Identyfikacja sieciowa klikn╣µ opcjΩ W│a£ciwo£ci.
W polu Cz│onkostwo wybraµ opcjΩ Grupa robocza.
Wpisaµ nazwΩ grupy roboczej, do kt≤rej komputer ma zostaµ do│╣czony, a nastΩpnie klikn╣µ przycisk OK.
Dwa razy klikn╣µ przycisk OK w celu zamkniΩcia okna Zmiany identyfikacji.
Klikn╣µ przycisk OK.
Klikn╣µ przycisk Tak w celu ponownego uruchomienia komputera.

Potwierdzanie cz│onkostwa w grupach

     Po dodaniu komputera u┐ywaj╣cego systemu Windows 2000 Professional do domeny lub grupy roboczej, konieczne jest potwierdzenie, czy operacja ta zako±czy│a siΩ sukcesem. W tym celu nale┐y ponownie uruchomiµ komputer. Po naci£niΩciu kombinacji klawiszy Ctrl+Alt+Del, nale┐y zwr≤ciµ uwagΩ na listΩ Zaloguj do. Je┐eli komputer zosta│ do│╣czony do domeny, to na li£cie tej powinna pojawiµ siΩ domena logowania i wszystkie domeny, kt≤re jej ufaj╣. Jest to pierwszy krok weryfikacji poprawnego dodania konta komputera do domeny logowania.
     Aby przetestowaµ konto u┐ytkownika, nale┐y zalogowaµ siΩ do domeny logowania lub innej, jej ufaj╣cej. Je┐eli mo┐na zalogowaµ siΩ do domeny przy u┐yciu po£wiadcze± logowania okre£lonych w jej kontrolerze, to oznacza, ┐e dostΩp do kont u┐ytkownik≤w w wybranej domenie zosta│ przydzielony poprawnie. Je┐eli pojawi siΩ komunikat informuj╣cy o tym, ┐e u┐ytkownik zosta│ po│╣czony przy u┐yciu po£wiadcze± buforowanych, to oznacza, ┐e │╣czno£µ z kontrolerem domeny podczas procesu uwierzytelniania nie by│a mo┐liwa. W tej sytuacji nale┐y sprawdziµ, czy po│╣czenie fizyczne (adapter sieciowy i kable) oraz logiczne (konfiguracjΩ protoko│u transportowego) umo┐liwiaj╣ dostΩp do kontrolera domeny.
     NarzΩdzie Nltest.exe, zamieszczone na dysku CD wchodz╣cym w sk│ad pakietu Microsoft Windows 2000 Professional Resource Kit, pozwala na zweryfikowanie po│╣czenia logicznego pomiΩdzy komputerem u┐ywaj╣cym systemu Windows 2000 Professional a kontrolerem domeny Windows 2000 lub Windows NT. Nltest.exe mo┐e byµ u┐ywane tak┐e do sprawdzenia, czy konto u┐ytkownika mo┐e zostaµ uwierzytelnione przez kontroler domeny, kt≤ry kontroler przeprowadzi proces uwierzytelnienia oraz do wy£wietlenia listy domen ufaj╣cych.
     äLogiczne po│╣czenieö pomiΩdzy komputerem u┐ywaj╣cym systemu Windows 2000 Professional a kontrolerem domeny jest nazywane bezpiecznym kana│em. Bezpieczne kana│y s╣ u┐ywane do uwierzytelniania kont komputer≤w Windows 2000 i Windows NT oraz kont u┐ytkownik≤w w sytuacji, gdy u┐ytkownicy │╣cz╣ siΩ z zasobami sieciowymi, a ich konta znajduj╣ siΩ w domenie ufaj╣cej (jest to tzw. uwierzytelnianie przechodnie). Bezpieczny kana│ musi istnieµ, aby mog│o zostaµ przeprowadzone uwierzytelnianie. NarzΩdzie Nltest.exe mo┐e byµ u┐ywane do testowania bezpiecznych kana│≤w i do ich ponownego zestawiania w razie potrzeby.
     Sk│adnia polecenia Nltest.ext jest nastΩpuj╣ca:



nltest [/OPCJE]

Tabela 23.5 zawiera listΩ opcji, kt≤re s╣ u┐yteczne podczas okre£lania stanu uwierzytelniania i bezpiecznego kana│u.


Tabela 23.5 Opcje i funkcje narzΩdzia Nltest.exe


Opcja narzΩdzia Nltest	DunkcjaFunkcja


/SERVER:NazwaSerwera	Okre£la NazwΩ serwera.
/SC_QUERY:NazwaDomeny i NazwySerwera.	Sprawdza bezpieczny kana│ dla NazwyDomeny
/DCLIST:NazwaDomeny	Pobiera listΩ kontroler≤w domeny dla Nazwy domeny.
/DCNAME:NazwaDomeny	Pobiera nazwΩ PDC dla Nazwy domeny.
/DCTRUST:NazwaDomeny	Pobiera nazwΩ DC ufaj╣cego domenie NazwaDomeny.
/WHOWILL:NazwaDomeny* U┐ytkownik [Iteracja]	Wy£wietla Domeny, kt≤re mog╣ uwierzytelniµ U┐ytkownika.
/FINDUSER:U┐ytkownik	Wy£wietla Domeny ufaj╣ce, kt≤re mog╣ uwierzytelniµ U┐ytkownika.
/USER:NazwaU┐ytkownika	»╣da informacji o U┐ytkowniku od serwera o nazwie NazwaSerwera.
/TRUSTED_DOMAINS	Odpytuje o nazwy domen, kt≤rym ufa stacja robocza.

Poni┐sze przyk│ady przedstawiaj╣ komputer z systemem Windows 2000 Professional o nazwie Klient1, kt≤ry nale┐y do domeny Windows NT 4.0 o nazwie Domena. W domenie tej utworzono konto u┐ytkownika o nazwie U┐ytkownik1.
Aby wy£wietliµ listΩ kontroler≤w domeny Domena:



C:\nltest /dclist:Domena

     List of DCs in Domain Domena

         \\NET1 (PDC)

     The command completed successfully

Aby sprawdziµ, czy kontroler domeny Net1 mo┐e uwierzytelniµ konto u┐ytkownika U┐ytkownik1:



C:\nltest /whowill:Domena U┐ytkownik1

     [20:58:55] Mail message 0 sent successfully (\MAILSLOT\NET\GETDC939)

     [20:58:55] Response 0: S:\\NET1 D:Domena A:U┐ytkownik1 (Act found)

     The command completed successfully

S: oznacza kontroler domeny, kt≤ry mo┐e uwierzytelniµ dane konto, D: informuje o domenie, do kt≤rej to konto nale┐y, a A: podaje nazwΩ u┐ytkownika.
Aby sprawdziµ, czy stacja robocza Klient1 posiada bezpieczne po│╣czenie z kontrolerem domeny Domena:



C:\nltest /server:Klient1 /sc_query:Domena

     Flags: 0

     Connection Status = 0 0x0 NERR_Success

     Trusted DC Name \\NET1

     Trusted DC Connection Status Status = 0 0x0 NERR_Success

     The command completed successfully

     WiΩcej informacji na temat narzΩdzia Nltest.exe, │╣cznie z wszystkimi opcjonalnymi parametrami, mo┐na znaleƒµ na dysku CD do│╣czonym do angielskojΩzycznej publikacji Microsoft Windows 2000 Professional Resource Kit.
     Po zweryfikowaniu kont komputera i u┐ytkownika nale┐y siΩ upewniµ, ┐e wszystkie skrypty logowania s╣ prawid│owo wykonywane. Nale┐y sprawdziµ, czy udzia│y sieciowe, pliki wsadowe i narzΩdzia zosta│y skonfigurowane tak, jak to wskazuje skrypt logowania.
     NastΩpnie nale┐y sprawdziµ, czy istniej╣ce lokalne Zasady grup nie powoduj╣ nieoczekiwanych efekt≤w w po│╣czeniu z za│o┐eniami systemowymi Windows NT lub Zasadami grup domeny Windows NT. Przyk│adowo, je┐eli lokalne Zasady grup s╣ skonfigurowane tak, aby usuwa│y wpisy z menu Start, to mog╣ one zostaµ nadpisane przez Zasady grup domeny Windows 2000 podczas logowania u┐ytkownika. WiΩcej informacji na temat wsp≤│istnienia lokalnych Zasad grup z ustawieniami Zasad grup domeny Windows 2000 i za│o┐eniami systemowymi Windows NT znajduje siΩ w tym rozdziale, w paragrafie äZasady grup i systemuö.
     Aby przetestowaµ przynale┐no£µ do grupy roboczej, nale┐y zalogowaµ siΩ do lokalnego komputera przy u┐yciu poprawnej nazwy i has│a u┐ytkownika. Powinno byµ mo┐liwe korzystanie ze wszystkich zasob≤w komputera lokalnego, a ponadto w Moich miejscach sieciowych powinny byµ widoczne inne komputery nale┐╣ce do tej samej grupy roboczej.

Rozwi╣zywanie problem≤w z sieciami Microsoft

W niniejszym paragrafie opisano narzΩdzia i techniki, z kt≤rych mo┐na skorzystaµ podczas rozpoznawania i usuwania problem≤w zwi╣zanych z sieci╣. Mimo ┐e w za│o┐eniu nie opisuje on wszystkich mo┐liwych ƒr≤de│ problem≤w, to znajduj╣ siΩ tu informacje dotycz╣ce najczΩ£ciej spotykanych b│Ωdnych sytuacji.
Je┐eli w systemie Windows 2000 Professional pojawi siΩ problem z po│╣czeniem sieciowym, to nale┐y zawsze wykonaµ nastΩpuj╣ce testy:

Nale┐y sprawdziµ, czy po│╣czenie kablowe pomiΩdzy adapterem sieciowym i portem jest poprawne. Je┐eli nie, to po jego naprawieniu nale┐y ponownie uruchomiµ komputer.
Nale┐y sprawdziµ, czy adapter sieciowy zosta│ poprawnie zainstalowany. W tym celu nale┐y pos│u┐yµ siΩ Mened┐erem urz╣dze±.
Za pomoc╣ Podgl╣du zdarze± nale┐y sprawdziµ, czy nie wyst╣pi│y zdarzenia systemu lub aplikacji, kt≤re mog╣ sugerowaµ przyczynΩ problemu. WiΩcej informacji na temat Podgl╣du zdarze± znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äNarzΩdzia rozwi╣zywania problem≤wö.
Nale┐y sprawdziµ, czy kontroler(y) domeny jest dostΩpny i funkcjonuje prawid│owo. Je┐eli nie, to nale┐y skontaktowaµ siΩ z administratorem sieci.

WiΩcej informacji na temat technik i narzΩdzi rozwi╣zywania problem≤w znajduje siΩ w rozdziale äNarzΩdzia i strategie rozwi╣zywania problem≤wö.

NarzΩdzia rozwi╣zywania problem≤w

Szczeg≤│owe informacje na temat poszczeg≤lnych narzΩdzi znajduj╣ siΩ w rozdziale äNarzΩdzia i strategie rozwi╣zywania problem≤wö.

Podgl╣d zdarze±

     Podgl╣d zdarze± umo┐liwia monitorowanie zachodz╣cych w systemie zdarze±. Przechowuje on dzienniki dzia│ania program≤w, zabezpiecze± oraz zdarze± systemowych. Za pomoc╣ Podgl╣du zdarze± mo┐na te dzienniki przegl╣daµ i zarz╣dzaµ nimi, zbieraµ informacje na temat problem≤w zwi╣zanych ze sprzΩtem i oprogramowaniem oraz monitorowaµ zdarzenia zwi╣zane z zabezpieczeniami systemu Windows 2000. Us│uga Rejestru zdarze± jest aktywowana automatycznie podczas uruchamiania systemu Windows 2000. Rejestry aplikacji i systemu mog╣ przegl╣daµ wszyscy u┐ytkownicy.
     Aby uruchomiµ Podgl╣d zdarze±, nale┐y klikn╣µ przycisk Start, wskazaµ opcje Programy, NarzΩdzia administracyjne, a nastΩpnie klikn╣µ Podgl╣d zdarze±.
     Zdarzenie sk│ada siΩ z nag│≤wka, opisu (zwi╣zanego z typem zdarzenia) oraz, opcjonalnie, z dodatkowych danych. WiΩkszo£µ wpis≤w rejestru zabezpiecze± sk│ada siΩ jedynie z nag│≤wka i opisu. Rysunek 23.8 przedstawia typowy wpis w rejestrze zdarze±.

Rysunek 23.8 Wpis w rejestrze zdarze±

     Podgl╣d zdarze± grupuje zdarzenia na podstawie typu rejestru (zabezpiecze±, systemu) i wy£wietla ka┐de zdarzenie oddzielnie. Ka┐da linia rejestru zawiera informacje dotycz╣ce jednego zdarzenia, do kt≤rych zaliczaj╣ siΩ data, czas, ƒr≤d│o, typ zdarzenia, kategoria, identyfikator zdarzenia, konto u┐ytkownika i nazwa komputera.
     Rejestrami zwi╣zanymi z logowaniem siΩ u┐ytkownik≤w s╣ rejestr zabezpiecze± oraz rejestr systemu. Tabela 23.6 zawiera ich opis oraz wskaz≤wki, w jaki spos≤b mo┐na z nich skorzystaµ podczas rozwi╣zywania problem≤w.


Tabela 23.6 Zawarto£µ rejestru


Typ rejestru	Opis


Zabezpiecze±	W rejestrze zabezpiecze± zapisywane s╣ zdarzenia zwi╣zane z bezpiecze±stwem, takie jak poprawne i b│Ωdne pr≤by logowania, oraz zdarzenia zwi╣zane z korzystaniem z zasob≤w, takie jak tworzenie, otwieranie lub usuwanie plik≤w i innych obiekt≤w. Przyk│adowo, rejestr zabezpiecze± przechowuje informacje o tym, ┐e u┐ytkownik nie m≤g│ zalogowaµ siΩ do konta domeny, poniewa┐ poda│ nieprawid│ow╣ kombinacjΩ identyfikatora i has│a.
Systemu	W rejestrze systemu zapisywane s╣ zdarzenia zwi╣zane ze sk│adnikami systemu Windows 2000. Przyk│adowo, je┐eli sterownik lub inny sk│adnik systemu nie zosta│ za│adowany podczas uruchamiania systemu, to informacja o tym jest zapisywana w rejestrze systemowym. Ponadto rejestr systemowy przechowuje informacje o powt≤rzonej w domenie nazwie komputera û jest to komunikat o b│Ωdzie wys│any przez sk│adnik NetBT (NetBIOS nad TCP/IP).

WiΩcej informacji na temat Podgl╣du zdarze± znajduje siΩ w Pomocy systemu Windows 2000 Professional.

NarzΩdzie testuj╣ce │╣czno£µ sieciow╣ (Netdiag.exe)

NarzΩdzie diagnostyczne Netdiag.exe jest pomocne w okre£laniu przyczyny problem≤w zwi╣zanych z │╣czno£ci╣ sieciow╣. W tym celu wykonuje ono seriΩ test≤w, pozwalaj╣cych na rozpoznanie stanu i funkcjonalno£ci klienta sieciowego. Testy te, wraz z podstawowymi informacjami o stanie sieci, stanowi╣ dane, na podstawie kt≤rych administratorzy sieci mog╣ zidentyfikowaµ wiΩkszo£µ problem≤w sieciowych. Netdiag.exe przeprowadza testy │╣czno£ci w sieci LAN oraz testy przynale┐no£ci do domeny. Zalicza siΩ do nich badanie stanu adaptera sieciowego, konfiguracji IP, cz│onkostwa w domenie oraz zabezpieczenia Kerberos. Testy te mog╣ byµ przeprowadzane w grupie lub indywidualnie.
WiΩcej informacji na temat funkcji i sk│adni narzΩdzia Netdiag.exe znajduje siΩ w rozdziale äNarzΩdzia i strategie rozwi╣zywania problem≤wö.

Rozwi╣zywanie problem≤w z do│╣czaniem siΩ do sieci

Niniejszy paragraf opisuje techniki i procedury, kt≤re mog╣ pom≤c w rozpoznaniu i usuniΩciu problem≤w zwi╣zanych z do│╣czaniem komputera u┐ywaj╣cego systemu Windows 2000 Professional do domeny Windows NT lub Windows 2000 albo do grupy roboczej sk│adaj╣cej siΩ z innych klient≤w sieciowych firmy Microsoft.

Nie mo┐na przy│╣czyµ siΩ do domeny

Podczas pr≤by dodania komputera u┐ywaj╣cego systemu Windows 2000 Professional do domeny Windows NT lub Windows 2000 wy£wietlany jest nastΩpuj╣cy komunikat:



Nie mo┐na po│╣czyµ siΩ z kontrolerem domeny. Wprowadzona nazwa u┐ytkownika lub has│o jest nieprawid│owe.

Aby do│╣czyµ siΩ do domeny, konieczne jest podanie nazwy konta nale┐╣cego do grupy Administratorzy domeny lub bΩd╣cego cz│onkiem grupy, do kt≤rej oddelegowano uprawnienie dodawania komputer≤w do domeny Windows 2000. Je┐eli pojawia siΩ powy┐szy komunikat, to nale┐y skontaktowaµ siΩ z administratorem domeny.

Nie mo┐na odnaleƒµ kontrolera domeny

Podczas pr≤by dodania komputera do domeny Windows NT lub Windows NT albo do grupy roboczej, pojawia siΩ nastΩpuj╣cy komunikat:



Okre£lona domena nie istnieje lub nie mo┐na siΩ z ni╣ skontaktowaµ

Aby usun╣µ ten problem, nale┐y wykonaµ nastΩpuj╣ce czynno£ci:

Nale┐y sprawdziµ, czy podano prawid│ow╣ nazwΩ domeny lub grupy roboczej w polu Grupa robocza lub Domena.
Je┐eli u┐ywany jest protok≤│ transportowy TCP/IP, to problem mo┐e byµ zwi╣zany z jego konfiguracj╣ w kliencie. W tej sytuacji nale┐y zalogowaµ siΩ do komputera przy u┐yciu konta posiadaj╣cego uprawnienia administracyjne i wykonaµ nastΩpuj╣ce czynno£ci:
Nale┐y spr≤bowaµ wywo│aµ polecenie ping u┐ywaj╣c nazwy NetBIOS (np. Kontroler1) lub pe│nej nazwy DNS (np. Kontroler1.Domena1.reskit.com) kontrolera domeny. Je┐eli polecenie to nie dzia│a, to nale┐y spr≤bowaµ wywo│aµ je u┐ywaj╣c adresu IP kontrolera domeny.
Je┐eli polecenie ping u┐ywaj╣ce nazwy kontrolera domeny nie zadzia│a│o, a do rozpoznawania nazw jest u┐ywana us│uga DNS i/lub WINS, to nale┐y zweryfikowaµ adresy IP serwer≤w nazw. NastΩpnie nale┐y ponownie spr≤bowaµ wywo│aµ polecenie ping dla nazwy kontrolera.
Je┐eli polecenie ping u┐ywaj╣ce nazwy kontrolera domeny nie zadzia│a│o, a klient u┐ywaj╣cy systemu Windows 2000 Professional znajduje siΩ w tej samej podsieci, co kontroler domeny, to nale┐y zweryfikowaµ adres IP klienta.
Je┐eli komputer u┐ywaj╣cy systemu Windows 2000 Professional znajduje siΩ w innej podsieci, ni┐ kontroler domeny, to nale┐y sprawdziµ, czy okre£lono prawid│ow╣ bramΩ domy£ln╣.
Je┐eli do konfigurowania bram domy£lnych jest u┐ywana funkcja Wykrywania router≤w ICMP, to nale┐y j╣ odpowiednio skonfigurowaµ. WiΩcej informacji na ten temat mo┐na znaleƒµ w rozdziale äTCP/IP w systemie Windows 2000 Professionalö.
Je┐eli w sieci u┐ywane s╣ routery zgodne z protoko│em RIP, to nale┐y zainstalowaµ jego obs│ugΩ.
Kontroler domeny, w kt≤rym zasada zabezpiecze± IPSec zosta│a ustawiona na Serwer z zabezpieczeniami, odrzuca pakiety IP pochodz╣ce od klient≤w, w kt≤rych protok≤│ IPSec nie zosta│ w│╣czony za pomoc╣ lokalnych lub okre£lonych w domenie zasad zabezpiecze±. W celu okre£lenia obowi╣zuj╣cych w kontrolerze domeny zasad IPSec nale┐y skontaktowaµ siΩ z administratorem sieci. WiΩcej informacji na temat IPSec znajduje siΩ w rozdziale äTCP/IP w systemie Windows 2000 Professionalö.

Nie mo┐na zmieniµ nazwy komputera

Gdy pr≤buje siΩ nazwaµ lub zmieniµ nazwΩ komputera na identyczn╣, jak nazwa domeny lub grupy roboczej, wy£wietlany jest nastΩpuj╣cy komunikat:



Nowa nazwa komputera nie mo┐e byµ taka sama, jak nazwa grupy roboczej 	(domeny).

W grupie roboczej albo w domenie Windows NT lub Windows 2000, w kt≤rej protok≤│ NetBIOS nie zosta│ wy│╣czony we wszystkich klientach i serwerach, pierwsze 15 znak≤w nazwy komputera u┐ywaj╣cego systemu Windows 2000 Professional nie mo┐e pokrywaµ siΩ z nazwami istniej╣cych klient≤w, grup roboczych i domen. Przyk│adowo, je┐eli domena nazywa siΩ Reskit1domainSEA, to ┐aden znajduj╣cy siΩ w niej komputer nie mo┐e przyj╣µ nazwy identycznej. W tej sytuacji nale┐y okre£liµ inn╣ nazwΩ komputera.

Rozwi╣zywanie problem≤w z logowaniem

Po do│╣czeniu komputera u┐ywaj╣cego systemu Windows 2000 Professional do grupy roboczej lub domeny, powinien on byµ w stanie komunikowaµ siΩ z innymi klientami w £rodowisku sieciowym. Niniejszy paragraf opisuje techniki i procedury u┐ywane do rozpoznawania i usuwania ƒr≤de│ problem≤w wystΩpuj╣cych podczas logowania siΩ do domeny Windows NT lub Windows 2000 albo do grupy roboczej sk│adaj╣cej siΩ z innych klient≤w sieciowych firmy Microsoft.

Nie mo┐na zalogowaµ siΩ do lokalnej stacji roboczej

Po utworzeniu konta komputera w domenie i podjΩciu pr≤by lokalnego zalogowania siΩ do komputera przy u┐yciu konta nie posiadaj╣cego uprawnie± administracyjnych, wy£wietlany jest nastΩpuj╣cy komunikat:



System nie mo┐e zalogowaµ u┐ytkownika. Nale┐y upewniµ siΩ, czy nazwa u┐ytkownika i domeny s╣ prawid│owe, 
a nastΩpnie ponownie podaµ has│o.

Utworzenie konta komputera w domenie nie powoduje migracji kont u┐ytkownik≤w z domeny do komputera lokalnego. Odpowiednie konta lokalne musz╣ zostaµ utworzone rΩcznie.

Nie mo┐na zalogowaµ siΩ do domeny

Po przy│╣czeniu komputera do domeny Windows 2000 i podjΩciu pr≤by zalogowania siΩ do niej, wy£wietlany jest nastΩpuj╣cy komunikat:



System nie mo┐e zalogowaµ u┐ytkownika z nastΩpuj╣cego powodu: WystΩpuje r≤┐nica czasu pomiΩdzy klientem 
a serwerem. Nale┐y spr≤bowaµ ponownie lub skontaktowaµ siΩ z administratorem.

Zabezpieczenia Kerberos sprawdzaj╣ znacznik czasu ┐╣dania uwierzytelnienia wysy│anego przez loguj╣cego siΩ klienta. Znacznik ten jest por≤wnywany z aktualnym czasem w kontrolerze domeny. Je┐eli pomiΩdzy tymi czasami wystΩpuje znaczna r≤┐nica (domy£lnie piΩµ minut), to pr≤ba uwierzytelnienia ko±czy siΩ niepowodzeniem. W tej sytuacji nale┐y zalogowaµ siΩ lokalnie przy u┐yciu konta posiadaj╣cego uprawnienia administatoraadministratora i zsynchronizowaµ czas pomiΩdzy klientem a kontrolerem domeny.
Podczas pr≤by zalogowania siΩ do domeny Windows 2000 wy£wietlany jest nastΩpuj╣cy komunikat:



Konto u┐ytkownika zosta│o wy│╣czone. Nale┐y skontaktowaµ siΩ z administratorem systemu.

Konto u┐ytkownika zosta│o skonfigurowane do korzystania z kart inteligentnych. Ka┐dy obiekt u┐ytkownika w katalogu Active Directory zawiera opcjΩ U┐ytkownik musi logowaµ siΩ przy u┐yciu karty inteligentnej. Je┐eli opcja ta zosta│a wybrana, a u┐ytkownik pr≤buje zalogowaµ siΩ nie korzystaj╣c z karty, to otrzyma on powy┐szy komunikat nawet w przypadku, gdy jego konto nie zosta│o wy│╣czone. W tej sytuacji nale┐y skorzystaµ z karty inteligentnej lub skontaktowaµ siΩ z administratorem systemu, aby wy│╣czy│ ustawienie wymuszaj╣ce jej u┐ywanie.
Poni┐ej wymieniono najczΩstsze przyczyny problem≤w wystΩpuj╣cych podczas logowania siΩ u┐ytkownik≤w:

B│Ωdnie wpisana nazwa u┐ytkownika lub has│o.
Podczas wpisywania has│a by│ przypadkowo w│╣czony klawisz Caps Lock.
Brak wsp≤lnego protoko│u pomiΩdzy klientem u┐ywaj╣cym systemu Windows 2000 Professional a kontrolerem domeny.

Je┐eli w sieci u┐ywany jest protok≤│ TCP/IP, to konfiguracja klienta mog│a zmieniµ siΩ od czasu jego pocz╣tkowej instalacji. Nale┐y sprawdziµ nastΩpuj╣ce mo┐liwe przyczyny problem≤w:

Niew│a£ciwe adresy statyczne lub maski podsieci.
W│╣czona obs│uga DHCP w £rodowisku, w kt≤rym serwer DHCP nie jest dostΩpny.
Niew│a£ciwie skonfigurowane bramy domy£lne.
Niew│a£ciwe adresy serwer≤w DNS i/lub WINS.
B│Ωdnie skonfigurowany plik Hosts lub Lmhosts.

Nie mo┐na zalogowaµ siΩ do domeny po zmianie nazwy komputera

Aby zmieniµ nazwΩ komputera u┐ywaj╣cego systemu Windows 2000 Professional, kt≤ry nale┐y do domeny Windows NT, nale┐y wykonaµ nastΩpuj╣ce czynno£ci:

Utworzyµ nowe konto komputera (lub zleciµ jego utworzenie), u┐ywaj╣ce nowej nazwy komputera.
Opu£ciµ domenΩ tymczasowo przy│╣czaj╣c siΩ do grupy roboczej.
Na ┐╣danie ponownie uruchomiµ komputer.
Przy│╣czyµ siΩ do domeny u┐ywaj╣c nowej nazwy komputera.
Na ┐╣danie ponownie uruchomiµ komputer.

Rozwi╣zywanie problem≤w z zasadami grup i systemu

PomiΩdzy ustawieniami lokalnych Zasad grup a za│o┐eniami systemowymi Windows NT mog╣ wyst╣piµ konflikty ograniczaj╣ce dostΩp u┐ytkownika do r≤┐nych funkcji systemu operacyjnego. Przyk│adowo, je┐eli komputer u┐ywaj╣cy systemu Windows 2000 Professional by│ pocz╣tkowo komputerem autonomicznym lub nale┐a│ do grupy roboczej, a nastΩpnie zosta│ dodany do domeny Windows NT, w kt≤rej u┐ywane s╣ za│o┐enia systemowe, to podczas logowania siΩ u┐ytkownika do systemu mog╣ byµ przetwarzane zar≤wno za│o┐enia systemowe Windows NT jak i Zasady grup Windows 2000. Informacje o tym, jak dzia│a komputer u┐ywaj╣cy Zasad grup systemu Windows 2000 w £rodowisku, w kt≤rym obowi╣zuj╣ za│o┐enia systemowe Windows NT, znajduj╣ siΩ wcze£niej w tym rozdziale, w paragrafie äWsp≤│istnienie za│o┐e± systemu oraz Zasad grupö.
WiΩcej informacji na temat rozwi╣zywania problem≤w z ustawieniami Zasad grup w £rodowisku, w kt≤rym przeprowadzana jest migracja do systemu Windows 2000, znajduje siΩ w rozdziale äRozwi╣zywanie problem≤w w Zarz╣dzaniu adaptacj╣ i konfiguracj╣ pulpituö, w tomie Systemy Rozproszone wchodz╣cym w sk│ad zestawu Microsoft Windows 2000 Server Resource Kit.

Rozwi╣zywanie problem≤w z przegl╣daniem i publikowaniem

Niniejszy paragraf omawia usuwanie problem≤w zwi╣zanych z us│ugami przegl╣dania w domenie Windows NT lub Windows 2000 oraz z publikowaniem obiekt≤w w domenie Windows 2000.

Komputery nale┐╣ce do grupy roboczej lub domeny nie s╣ widoczne

Po poprawnym zalogowaniu siΩ do grupy roboczej lub domeny i podjΩciu pr≤by przejrzenia udostΩpnionych zasob≤w w folderze Moje miejsca sieciowe lub za pomoc╣ polecenia net view nie s╣ widoczne ┐adne komputery lub jest widoczna tylko ich czΩ£µ.
Nale┐y sprawdziµ nastΩpuj╣ce mo┐liwe przyczyny tego problemu:

Je┐eli komputer u┐ytkownika nale┐y do grupy roboczej, to nale┐y sprawdziµ, czy podano w nim w│a£ciw╣ nazwΩ tej grupy.
Przeprowadzony zosta│ proces wyboru przegl╣darki, a lista przegl╣dania jest obecnie aktualizowana w g│≤wnej przegl╣darce domeny oraz w przegl╣darkach g│≤wnych i zapasowych. Mo┐na wymusiµ aktualizacjΩ lokalnej listy przegl╣dania od£wie┐aj╣c zawarto£µ folderu Moje miejsca sieciowe. Je┐eli siΩ z tej mo┐liwo£ci nie skorzysta, to otrzymanie pe│nej i aktualnej listy przegl╣dania mo┐e potrwaµ do 15 minut.