Занятие 4. Администрирование Index Server

(Продолжительность занятия 45 минут)

Хотя Microsoft Index Server разрабатывался с учетом требования минимизации расходов на администрирование, в распоряжение администратора предоставлены средства управления индексированием, причем отдельно для каждого физического сервера. На этом занятии Вы узнаете, как управлять индексированием, и познакомитесь со встроенными средствами обнаружения и устранения ошибок Index Server.

Изучив материал этого занятия, Вы сможете:

• перечислить и описать инструментальные средства Index Server и Windows NT Server, применяемые для мониторинга и управления Index Server;
• перечислить ошибки, которые автоматически обнаруживает Index Server, и рассказать о том, как они обрабатываются;
• задействовать средства защиты Index Server для контроля доступа к индексированным файлам

Microsoft Index Server разрабатывался с учетом требований уменьшения объема необходимых административных работ и минимального участия администратора в устранении большинства ошибок. Тем не менее в распоряжение администратора предоставлены средства управления индексами на физических серверах.

Администрирование индекса

По умолчанию Index Server индексирует каждый виртуальный сервер и виртуальный каталог автоматически, но Вы можете выполнить эту операцию вручную — например, если изучение статистики производительности с помощью утилиты Performance Monitor или средствами HTTP указывает на необходимость этой операции.

Административные запросы

Административные запросы ничем не отличаются от обычных за исключением того, что административные параметры хранятся в IDA-, а не в IDQ-фаиле. IDA- файлы позволяют пользователям, имеющим соответствующие полномочия, администрировать узел Internet Information Server.

В состав Index Server включен пример административной страницы. Вы найдете его по адресу http://имя_компьютера/iisadmin/isadmin/admin.htm.

Примечание Не размещайте IDA-файлы на виртуальном сервере, соответствующем сетевому ресурсу (заданному UNC-именем).

Некоторые административные операции изменяют состояние индекса. Вы вправе ограничить доступ к административным операциям с помощью списков контроля доступа.

Мониторинг производительности

В состав Index Server входит целый ряд средств измерения производительности, которые помогут Вам оптимизировать обслуживание запросов. Эти средства измеряют такие параметры, как число документов, которые необходимо проиндексировать, и скорость обслуживания запросов.

В упражнении предыдущего занятия Вы научились использовать Performance Monitor для администрирования Index Server. Другой метод отслеживания производительности — применение сценария IDA-файла. Информация, полученная обоими методами, практически не отличается, но сами методы сбора статистики в корне различны. Оба они доступны и на локальной машине, и на удаленном клиенте.

Преимущество Performance Monitor — в автоматическом обновлении информации и более развитых средствах графического представления статистики и протоколирования. Кроме того, для работы с этой утилитой Windows NT не требуется какое-либо дополнительное программное обеспечение.

Однако использование IDA-сценариев обеспечивает более гибкое форматирование результата с помощью НТХ-файлов; кроме того, результаты в этом случае доступны клиентам, работающим под управлением других операционных системам. Для того чтобы применить IDA-сценарий, Вам придется создать IDA- файл с параметром CiAdminOperation=GetState. В состав Index Server входит пример страницы, использующей такой сценарий.

Обнаружение и исправление ошибок

Microsoft Index Server автоматически распознает ошибки нескольких типов. Большинство из них устранимы. Если ошибка не связана со сбоем аппаратуры или с нехваткой свободного места на диске, где хранится каталог, то Вам, скорее всего, вообще не придется вмешиваться в процесс обнаружения и устранения ошибки,

Потеря уведомлений о файлах

Во время обычной работы — и если индексируемые файлы находятся на компьютерах под управлением Windows NT — Index Server автоматически отслеживает все изменения в документах соответствующих папок. Если файлы меняются часто, некоторые уведомления могут быть потеряны из-за переполнения буфера.

В случае переполнения буфера Index Server автоматически запускает процесс инкрементального сканирования совокупности документов, уведомления об изменении которых были утрачены. Никакого участия администратора в этом не требуется.

Разорванные сетевые соединения

В случае, когда виртуальный корень представляет собой удаленный сетевой ресурс и соединение с этим ресурсом разрывается, возможно отключение пути. Index Server отслеживает возникновение подобных ситуаций и периодически опрашивает удаленные ресурсы, чтобы проверить, не восстановилось ли соединение с ними. Никакого участия администратора в этом не требуется.

Поврежденные файлы и сбойные DLL фильтров

Если процесс CiDaemon обнаруживает поврежденные файлы. Index Server помечает их как нефильтрованные. Список нефильтрованных файлов можно посмотреть административными средствами. Причина возникновения подобной ситуации иногда кроется в некорректной работе библиотеки фильтра, применяемого для файлов этого типа.

Если проблемы с фильтрованием файлов определенного типа возникают постоянно, свяжитесь с поставщиком библиотеки фильтра.

Переполнение диска

Если диск, на котором находится каталог, близок к переполнению, Index Server временно приостанавливает индексирование. Фильтрование не может продолжиться, пока Вы не освободите дополнительное место на диске. При возникновении этой ситуации Index Server записывает в журнал событий соответствующее сообщение.

Периодически проверяйте журнал событий на предмет появления такого сообщения и, обнаружив его, принимайте соответствующие меры.

Примечание Вы можете закрыть Index Server на время очистки места на диске.

Повреждение кэша свойств

Если Index Server некорректно завершит свою работу или же обнаружит повреждение во время работы, то кэш свойств будет помечен как поврежденный. При следующем запуске Index Server выполнит операцию восстановления кэша свойств. Index Server записывает в журнал событий одно сообщение в начале операции восстановления и еще одно — после ее завершения. Во время автоматического восстановления Index Server продолжает обслуживать запросы, но не запускает новых процессов фильтрования до завершения операции восстановления кэша. Никакого участия администратора в этой процедуре не требуется.

Повреждение данных и нарушение внутренней структуры

При сбоях питания или других столь же разрушительных событиях данные индекса могут быть необратимо повреждены. В этом случае Index Server удаляет все существующие индексные данные и заново фильтрует всю совокупность документов. Если повреждение обнаруживается при запуске Index Server, этот процесс запускается автоматически. Если же о повреждении данных стало известно только во время работы, в журнал событий записывается соответствующее сообщение, а все последующие запросы запрещаются.

При появлении в журнале событий этого сообщения следует остановить и перезапустить службу Content Index (Cisvc.exe).

Выполнив автоматическое восстановление, Index Server записывает сообщение в журнал событий. Если каталог, обозначенный в сообщении журнала событий, имеет параметры по умолчанию, а все виртуальные корни были проиндексированы, никаких действий от администратора не потребуется.

Средства защиты

Index Server пользуется встроенными средствами защиты Windows NT Server 4.0 и Internet Information Server. Для поддержания безопасности узла и предотвращения доступа неавторизованных пользователей необходимы средства аутентификации и контроля доступа. Даже на узлах, содержащих только общедоступную информацию, внимание к вопросам защиты помогает предотвратить взлом сервера.

Ограничение доступа к каталогам

Когда Вы устанавливали Index Server, каталог был снабжен списком контроля доступа (ACL), который разрешает доступ к нему только администраторам системы и системным службам. В частности, это гарантирует, что, если папка каталога находится в виртуальном корне, неавторизованные пользователи не смогут увидеть файлы этого каталога в результатах своих запросов.

Защита папки каталога важна также для того, чтобы не позволить неавторизованным пользователям (которые могут обратиться к серверу через общие сетевые ресурсы) увидеть содержимое каталога. Хотя информация в каталоге находится в форме, с трудом поддающейся расшифровке без знания используемого формата, все же, исследовав каталог, можно считать содержимое файлов на сервере.

Если папка дополнительного каталога создается вручную, следует побеспокоиться, чтобы она и содержащиеся в ней файлы были снабжены соответствующими списками контроля доступа. Папка каталога должна быть доступна администраторам и учетной записи System (Index Server функционирует как системная служба, поэтому последнее требование обязательно).

Контроль доступа к документам

Когда документ фильтруется, вся информация о контроле доступа к нему заносится в каталог; при обработке запроса она сопоставляется с правами клиента. Если у клиента нет разрешения на доступ к данному документу, этот документ не включается в результаты запроса, возвращаемые клиенту; в этом случае клиент даже не узнает о существовании документа. Чтобы избежать этого, пользователя надо надлежащим образом аутентифицировать до начала обработки запроса.

Аутентификация

Для корректной работы средств контроля доступа необходима предварительная аутентификация клиентов (до выполнения запросов). Самый простой способ гарантировать аутентификацию клиента — это встроить контроль доступа в форму, создающую запрос. Вы также можете снабдить списком контроля доступа IDQ-, НТХ- или HTW-файл, используемый в запросе. В зависимости от конфигурации Internet Information Server Вы вправе применить один или несколько из перечисленных ниже методов аутентификации:

• анонимную регистрацию;
• базовую аутентификацию;
• аутентификацию по методу Challenge/Response Windows NT.

Если разрешена анонимная регистрация, она будет применяться по умолчанию, пока клиент обращается к файлам, к которым разрешен доступ по анонимной учетной записи. При попытке обратиться к документу, закрытому для анонимных пользователей, на экране появится диалоговое окно аутентификации (если используется какой-либо другой механизм аутентификации). После этого клиент, указав свои идентификационные данные, получит доступ к тем файлам, которые ранее были ему недоступны.

Примечание Если Вы запрещаете клиентам доступ к защищенным файлам путем отключения аутентификации в виртуальном каталоге — то есть разрешая анонимную регистрацию, Вам также следует отключить аутентификацию для HTW-файла. В противном случае содержимое защищенных файлов во фрагментах с выделенными вхождениями искомого текста, возвращенных в результате выполнения запроса, окажется недоступным клиенту.

Упражнение

В этом упражнении Вы активизируете средства защиты Index Server и протестируете их работу, используя различные учетные записи пользователей. Для выполнения этого упражнения нужно сначала создать учетные записи пользователей и изменить разрешения на Вашем сервере; этому посвящена первая часть упражнения.

> Создание учетных записей пользователей

1. В меню Start выберите команды Programs, Administrative Tools, User Manager for Domains.
2. Создайте две учетные записи пользователей в соответствии с приведенной ниже таблицей.

3. Закройте Windows NT User Manager.

> Изменение разрешений для файла Security.doc

1. Запустите Проводник Windows NT и выберите папку C:\Inetpub\Wwwroot \Index.
2. Откройте папку Confidential.
3. Щелкните правой кнопкой мыши файл Security.doc и выберите в меню команду Properties. Появится диалоговое окно Security.doc Properties.
4. Откройте вкладку Security.
5. Нажмите кнопку Permissions. Появится диалоговое окно File Permissions.
6. Нажмите кнопку Add. Появится диалоговое окно Add Users and Groups.
7. Нажмите кнопку Show Users.
8. Прокрутите список имен и выберите строки Laurel и Megan.
9. Нажмите кнопку Add. Учетные записи Laurel и Megan будут добавлены в список Add Names.
10. Нажмите ОК. Появится диалоговое окно File Permissions.
11. Выберите в списке учетную запись Laurel.
12. В списке Type of Access выберите No Access. Появится диалоговое окно, сообщающее, что у учетной записи Laurel нет доступа.
13. Нажмите ОК.
14. Закройте User Manager.

Теперь Вы включите средства защиты Internet Information Server.

> Включение средств защиты Internet Information Server

1. Запустите Internet Service Manager.
2. Щелкните правой кнопкой мыши узел Default Web Site.
3. Выберите в контекстном меню команду Properties.
4. В группе Anonymous Access and Authentication Control вкладки Directory Security щелкните кнопку Edit. Появится диалоговое окно Authentication Methods.
5. Настройте методы аутентификации в соответствии с приведенной ниже таблицей.

На экране появится предупреждение.

6. Нажмите кнопку Yes.
7. Два раза нажмите кнопку ОК.
8. В поле Inheritance Overrides выберите запись IISADMIN и нажмите кнопку ОК. Базовая аутентификация используется здесь только в учебных целях — она ускоряет выполнение упражнения, предотвращая отключение пользователя от узла.
9. Сверните окно Internet Service Manager.
10. В меню Start выберите команды Programs, Windows NT 4.0 Option Pack, Microsoft Index Server, Index Server Manager (HTML).

    ---

    Примечание Если на экране появится диалоговое окно запроса имени пользователя и пароль, введите имя и пароль администратора.

    ---

11. Прокрутите страницу до раздела Index Statistics и щелкните кнопку Refresh. Обратите внимание на число измененных документов (# Documents changed) - 163.

    ---

    Примечание Если на экране появится предупреждение системы защиты, щелкните кнопку Yes.

    ---

12. В левой части страницы Index Statistics нажмите кнопку Merge Index.
13. На странице Index Statistics нажмите кнопку Refresh. Обратите внимание, что число отредактированных документов (# Documents changed) изменилось. Это свидетельствует, что изменение прав доступа к файлу Security.doc учтено в индексе.

> Тестирование средств защиты Index Server

1. Закройте все копии Internet Explorer.
2. Вменю Start выберите команды Programs, Microsoft Index Server, Index Server Sample Query Form. Появится диалоговое окно Basic Authentication.
3. В поле Username введите laurel.
4. В поле Password введите laurel.
5. Нажмите ОК.
6. В поле Enter your query below введите confidential document.
7. Нажмите Go. Index Server не найдет ни одного документа, так что пользователь Laurel не узнает, что файл Security.doc существует.
8. Закройте Internet Explorer.
9. В меню Start выберите команды Programs, Microsoft Index Server, Index Server Sample Query Form. Появится диалоговое окно Basic Authentication.
10. В поле Username введите megan.
11. В поле Password введите megan.
12. Нажмите ОК.
13. В поле Enter your query below введите confidential document.
14. Нажмите Go. Index Server должен найти файл Security.doc.
15. Закройте Internet Explorer.

> Восстановление параметров парольной аутентификации службы WWW

1. Запустите Internet Service Manager.
2. Щелкните правой кнопкой мыши узел Default Web Site.
3. Выберите в контекстном меню команду Properties.
4. В группе Anonymous Access and Authentication Control вкладки Directory Security щелкните кнопку Edit. Появится диалоговое окно Authentication Methods.
5. Настройте методы аутентификации в соответствии с приведенной ниже таблицей.

6. Трижды щелкните кнопку ОК.
7. Закройте Internet Service Manager.

Резюме

Хотя Index Server требует минимального участия администратора в рутинной работе, Вы можете вручную администрировать Ваши индексы с помощью IDA-файлов. Index Server автоматически обнаруживает большинство ошибок и, за исключением случаев аппаратного сбоя и повреждения данных, исправляет их без вмешательства администратора. Для обеспечения безопасности Index Server использует встроенные средства защиты Windows NT Server 4.0 и Internet Information Server.