版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
第七章Windows網(wǎng)絡(luò)管理7.1IP地址和路由器配置7.2動態(tài)主機配置協(xié)議7.3名字解析服務(wù)7.4域名服務(wù)器7.5終端服務(wù)7.6遠程管理7.7WindowsSNMP服務(wù)7.1IP地址和路由器配置7.1.1動態(tài)IP地址為了簡化網(wǎng)絡(luò)管理工作,通常在大型網(wǎng)絡(luò)中采用動態(tài)地址配置方式。動態(tài)地址是客戶端從DHCP服務(wù)器獲取的IP地址。?客戶端配置動態(tài)地址的方法如圖7.1所示。WindowsServer2003默認“自動獲得IP地址”。在配置動態(tài)地址的“Internet協(xié)議(TCP/IP)屬性”窗口中有一個“備用配置”選項(見圖7.2),這是在客戶機找不到DHCP服務(wù)器而無法獲得動態(tài)地址時的備用功能。如果選擇“用戶配置”標(biāo)簽,則可以指定一個備用的靜態(tài)地址,使客戶機在一個固定地址的網(wǎng)絡(luò)中運行。圖7.1配置動態(tài)IP地址圖7.2備用配置窗口
自動專用IP地址(AutomaticPrivateIPAddress,APIPA)是當(dāng)客戶機無法從DHCP服務(wù)器中獲得IP地址時自動配置的地址。IANA(InternetAssignedNumbersAuthority)為APIPA保留了一個B類地址塊~55。當(dāng)網(wǎng)絡(luò)中的DHCP服務(wù)器失效,或者由于網(wǎng)絡(luò)故障而找不到DHCP服務(wù)器時,這個功能開始生效,使得客戶機可以在一個小型局域網(wǎng)中運行,與其他自動或手工獲得APIPA地址的計算機進行通信。下面是使用APIPA的幾種情況。
(1)以前沒有IP地址,也找不到DHCP服務(wù)器。當(dāng)配置為動態(tài)地址的計算機啟動時,它至少要廣播3次Discover報文。如果沒有得到DHCP服務(wù)器的響應(yīng),則計算機在網(wǎng)絡(luò)/16中尋找一個沒有沖突的APIPA地址,并顯示一條連接錯誤信息。隨后每三分鐘發(fā)送一次discover報文,再次試圖與DHCP服務(wù)器進行通信。
(2)以前獲得了動態(tài)IP地址,但找不到DHCP服務(wù)器。如果計算機找不到DHCP服務(wù)器,則試圖與默認網(wǎng)關(guān)進行聯(lián)系。如果得到了默認網(wǎng)關(guān)的應(yīng)答,則計算機繼續(xù)使用以前租用的IP地址;如果沒有收到默認網(wǎng)關(guān)的響應(yīng),則計算機自動配置一個APIPA地址,并發(fā)出連接錯誤信息。隨后每三分鐘發(fā)出一個Discover報文,繼續(xù)尋找DHCP服務(wù)器。一旦與DHCP服務(wù)器取得聯(lián)系,則顯示信息,說明重新建立了網(wǎng)絡(luò)連接。
(3)租用期到限,但找不到DHCP服務(wù)器。在租用的IP地址到期時,計算機試圖與DHCP服務(wù)器重新建立聯(lián)系。如果不能發(fā)現(xiàn)DHCP服務(wù)器,則計算機自行配置一個APIPA地址,并發(fā)送錯誤報文。隨后每三分鐘廣播一次Discover報文。待到與DHCP服務(wù)器建立聯(lián)系后,發(fā)送重新建立連接的通知。
APIPA尋址功能是默認開啟的。要知道計算機是否開啟了APIPA功能,可在DOS窗口中鍵入ipconfig/all命令,如果參數(shù)AutoconfigurationEnabled的值為Yes,則APIPA功能是開啟的,如圖7.3所示。圖7.3APIPA功能開啟如果要關(guān)閉APIPA尋址功能,可以采取以下步驟:
(1)以系統(tǒng)管理員身份登錄,打開注冊表編輯器(RegistryEditor);
(2)找到下面的注冊鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\Interfaces\adapter_name。
(3)在編輯菜單中選擇“新建”命令,單擊“DWORD值”,輸入IPAutoconfigurationEnabled;
(4)設(shè)置其值為0x00000000;
(5)關(guān)閉注冊表編輯器。7.1.2IP路由表在DOS窗口中鍵入routeprint或netstat–r命令可以顯示W(wǎng)indowsServer2003的路由表,如圖7.4所示。其中的路由類型有5種,見表7.1。當(dāng)收到一個IP數(shù)據(jù)包時,路由器將其中的目標(biāo)地址與路由表項進行比較,選擇適當(dāng)?shù)穆酚?,將IP數(shù)據(jù)包轉(zhuǎn)發(fā)出去。查找路由表的過程如下:
(1)查找主機路由。如果找到匹配的主機路由,就把數(shù)據(jù)包轉(zhuǎn)發(fā)到相應(yīng)的接口(Interface)上;如果找不到匹配的主機路由,則轉(zhuǎn)(2)。
(2)查找網(wǎng)絡(luò)路由。如果找到多個匹配的網(wǎng)絡(luò)地址,則按照“最長匹配”的原則(在網(wǎng)絡(luò)掩碼列有最多的“1”)進行轉(zhuǎn)發(fā);如果有多個最長匹配的網(wǎng)絡(luò)地址,則選擇其中躍點數(shù)(Metric)最小的選項進行轉(zhuǎn)發(fā);如果找不到匹配的網(wǎng)絡(luò)地址,則轉(zhuǎn)(3)。
(3)查找默認路由,把數(shù)據(jù)包轉(zhuǎn)發(fā)到默認網(wǎng)關(guān)。如果沒有默認路由,則轉(zhuǎn)(4)。
(4)系統(tǒng)產(chǎn)生一個錯誤消息。如果是路由器,則丟棄數(shù)據(jù)包,向終端發(fā)送ICMP“目標(biāo)不可到達”報文;如果是源主機,則向上層應(yīng)用程序發(fā)送錯誤消息。圖7.4路由表圖7.5刪除路由表項圖7.6增添路由表項7.1.3路由和遠程訪問服務(wù)器
WindowsServer2003的“路由和遠程訪問服務(wù)器”可以在企業(yè)網(wǎng)中連接不同的LAN網(wǎng)段,可以將分支機構(gòu)連接到企業(yè)網(wǎng)絡(luò)中,也可以使遠程計算機能夠訪問企業(yè)的網(wǎng)絡(luò)資源??梢园匆韵虏襟E配置路由和遠程訪問服務(wù)器:
(1)在“開始”菜單中找到管理工具,選擇“管理您的服務(wù)器”。
(2)在“管理您的服務(wù)器”工具中單擊“增添或刪除角色”。
(3)在“配置您的服務(wù)器向?qū)А表撁嬷袉螕簟跋乱徊健薄?/p>
(4)在“服務(wù)器角色”頁面中選擇“遠程訪問/VPN服務(wù)器”,單擊“下一步”。這時出現(xiàn)“路由和遠程訪問服務(wù)器安裝向?qū)А表撁?,其中?個選項:●遠程訪問(撥號或VPN);●網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT);●虛擬專用網(wǎng)絡(luò)訪問和NAT;●兩個專用網(wǎng)絡(luò)之間的安全連接;●自定義配置??梢愿鶕?jù)預(yù)訂的配置方案選擇相應(yīng)的選項。例如選擇了“自定義配置”,則出現(xiàn)5個選項:●?VPN訪問;●撥號訪問;●請求撥號連接;●?NAT和基本防火墻;●?LAN路由。如果選擇了“LAN路由”,單擊“下一步”,再單擊“完成”,則遠程訪問/VPN服務(wù)器就開始運行了。在遠程訪問/VPN服務(wù)器啟用以后就可以為其增添路由協(xié)議了。在“開始”菜單中選擇“管理工具”,選擇“路由和遠程訪問”,則出現(xiàn)如圖7.7所示的控制臺窗口。圖7.7“路由和遠程訪問”窗口右擊“常規(guī)”,選擇“新增路由協(xié)議”,在新路由協(xié)議窗口中出現(xiàn)5個選項:●?DHCP中繼代理程序;●?IGMP路由器以及代理服務(wù)器;●?NAT/基本防火墻;●開放式最短路徑優(yōu)先(OSPF);●用于Internet協(xié)議的RIP版本2??梢赃x擇合適的協(xié)議,然后單擊“確定”按鈕。為了使路由器能夠正常工作,必須把路由協(xié)議添加到接口上,操作步驟如下:
(1)在“路由和遠程訪問”控制臺中右擊要添加的協(xié)議,然后單擊“新增接口”按鈕。
(2)在“新增接口”對話框中選擇適當(dāng)?shù)慕涌冢瑔螕簟按_定”按鈕。
(3)出現(xiàn)協(xié)議屬性對話框,完成協(xié)議的配置。7.1.4數(shù)據(jù)包篩選器可以為每個接口指定數(shù)據(jù)包篩選器,使其允許或阻止某些類型的數(shù)據(jù)包通過路由和遠程訪問服務(wù)器。這樣做的目的有二:一是防止未被授權(quán)的用戶訪問網(wǎng)絡(luò)資源;二是優(yōu)化網(wǎng)絡(luò)傳輸性能。例如,若允許Internet用戶通過路由和遠程訪問服務(wù)器訪問內(nèi)部網(wǎng)絡(luò)上的Web服務(wù)器,則可以配置一個入站篩選器,僅允許TCP端口80的數(shù)據(jù)包訪問Web服務(wù)器的IP地址;若要限制內(nèi)部網(wǎng)絡(luò)用戶只能訪問Internet上的Web站點,則可以創(chuàng)建一個出站篩選器,只允許指向TCP端口80的數(shù)據(jù)包流出,其他數(shù)據(jù)包不允許通過路由和遠程訪問服務(wù)器。要配置數(shù)據(jù)包篩選器,可以在“路由和遠程訪問”控制臺右邊的詳細資料窗口中右擊要添加篩選器的接口,然后選定“屬性”,則出現(xiàn)圖7.8所示的對話框。在“常規(guī)”選項卡中單擊“入站篩選器”或“出站篩選器”,然后單擊“新建”按鈕,則出現(xiàn)“添加IP篩選器”對話框,如圖7.9所示。圖7.8“本地連接屬性”對話框圖7.9“添加IP篩選器”對話框在“添加IP篩選器”對話框中可以指定源地址、目標(biāo)地址和協(xié)議。如果指定TCP或UDP,還需指定端口號。若沒有指定端口號,則默認端口號為0,表示任何端口。?所謂TCP(已建立的)(參見圖7.9),是指對先前建立的TCP連接上的數(shù)據(jù)包進行過濾。如果指定ICMP協(xié)議,則還需指定類型和代碼(即選定ICMP報文類型);如果沒有指定類型和代碼,則默認為255,指所有ICMP報文。如果選擇“任何”協(xié)議,則表示所有上層協(xié)議;如果選擇“其他”協(xié)議,則還需選定“協(xié)議號”。Windows系統(tǒng)兼容的協(xié)議列表包含在文件%Systemroot%\System32\Drivers\Etc\Protocol中,如圖7.10所示。如果要求加入新的協(xié)議,可以重新編輯這個文件。圖7.10協(xié)議列表圖7.11入站篩選器7.1.5網(wǎng)絡(luò)監(jiān)視器
Microsoft的網(wǎng)絡(luò)監(jiān)視器是一種協(xié)議分析器,它是WindowsServer2003中的系統(tǒng)管理工具,其作用是:●檢查客戶端到服務(wù)器的連接;●查找發(fā)出過多請求的計算機;●從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包;●篩選數(shù)據(jù)包;●查找網(wǎng)絡(luò)中未經(jīng)授權(quán)的用戶。圖7.12網(wǎng)絡(luò)監(jiān)視器使用網(wǎng)絡(luò)監(jiān)視器可以收集網(wǎng)絡(luò)通信的有關(guān)信息,控制網(wǎng)絡(luò)平穩(wěn)地運行。網(wǎng)絡(luò)監(jiān)視器提供了計算機網(wǎng)絡(luò)適配器的通信情況,通過捕獲和分析這些信息,可以診斷和解決許多網(wǎng)絡(luò)問題。網(wǎng)絡(luò)監(jiān)視器復(fù)制幀的過程稱為捕獲??梢栽O(shè)置一個篩選程序來捕獲幀的子集。還可以指定一組條件來觸發(fā)某個事件,使網(wǎng)絡(luò)監(jiān)視器自動啟動或停止捕獲過程。例如,可以使網(wǎng)絡(luò)監(jiān)視器在檢測到某種特定情況時自動啟動某個可執(zhí)行文件。網(wǎng)絡(luò)監(jiān)視器可以將捕獲的原始數(shù)據(jù)轉(zhuǎn)換為邏輯幀結(jié)構(gòu),以便用戶查看。網(wǎng)絡(luò)監(jiān)視器的“捕獲”窗口顯示幀的統(tǒng)計數(shù)據(jù),分為以下四個窗格。●圖表:本地計算機發(fā)出/接收的幀的圖形化表示;●會話統(tǒng)計:當(dāng)前各個會話的相關(guān)統(tǒng)計信息;●機器統(tǒng)計:統(tǒng)計運行網(wǎng)絡(luò)監(jiān)視器的計算機發(fā)出/接收的幀;●統(tǒng)計總數(shù):本地計算機發(fā)出/接收的幀的摘要統(tǒng)計。 7.2動態(tài)主機配置協(xié)議7.2.1DHCP協(xié)議原理
DHCP使用了BOOTP協(xié)議的報文格式。BOOTP只有Request(請求)和Replay(響應(yīng))兩種報文,DHCP在此基礎(chǔ)上定義了8種語義不同的報文,實現(xiàn)了更加復(fù)雜的交互過程。DHCP的報文格式如圖7.13所示。圖7.13DHCP報文格式對DHCP報文中的字段解釋如下:●?op操作碼,指明報文類型,1?=?BOOTRequest,2?=?BOOTReplay●?htype硬件地址類型,1?=?Ethernet●?hlen硬件地址長度●?hops跳數(shù),由客戶端設(shè)置為0●?xid事務(wù)標(biāo)識(TransactionID),由客戶機指定的一個隨機數(shù),用于識別請求報文對應(yīng)的響應(yīng)報文●?secs客戶端獲取IP地址消耗的時間(秒)●?flags標(biāo)志字段的最左位設(shè)置為1(表示廣播),其余位為0(保留未用)●?ciaddr客戶端IP地址●?yiaddr你的IP地址●?siaddr服務(wù)器IP地址●?giaddr中繼代理的IP地址●?chaddr客戶端硬件地址●?sname服務(wù)器名(任選)●?file
Boot文件名●?options可變長的任選參數(shù)字段,可擴展,主要內(nèi)容有:requestedIPaddress、IPaddressleasetime、use'file'/'sname'fields、DHCPmessagetype、parameterrequestlist、message
clientidentifier、vendorclassidentifier、serveridentifier、maximummessagesize
DHCP使用UDP作為傳輸協(xié)議,服務(wù)器端口是67,客戶機端口是68。客戶機在沒有分配地址之前,把自己的IP地址設(shè)置為,采用廣播方式向服務(wù)器發(fā)送報文,即目標(biāo)IP地址設(shè)置為55??蛻魴C和服務(wù)器進行網(wǎng)絡(luò)地址分配和釋放的交互過程如下:
(1)客戶機在本地子網(wǎng)中廣播一個DHCPDISCOVER報文,其中包含了想要獲取的網(wǎng)絡(luò)地址和租約期(任選項),BOOTP中繼代理可以把這個報文轉(zhuǎn)發(fā)到不在同一子網(wǎng)中的DHCP服務(wù)器。圖7.14給出了一個客戶機發(fā)出的DHCPDISCOVER報文的主要內(nèi)容。圖7.14DHCPDISCOVER報文
(2)收到廣播包的每一個服務(wù)器都以DHCPOFFER報文響應(yīng)之,其中的yiaddr字段包含了可提供的網(wǎng)絡(luò)地址。服務(wù)器并不保留這個地址,只是在交互過程的最后階段才檢查被分配的網(wǎng)絡(luò)地址是否已經(jīng)在使用。
(3)客戶機可能接收到一個或多個服務(wù)器的響應(yīng)報文。客戶機只選擇其中一個服務(wù)器的配置參數(shù),然后廣播DHCPREQUEST報文,其中的serveridentifier字段指示了它選擇的服務(wù)器,requestedIPaddress選項被設(shè)置為DHCPOFFER報文中yiaddr字段的值。DHCPREQUEST應(yīng)該被廣播到所有接收過DHCPDISCOVER的服務(wù)器。
(4)沒有被選擇的服務(wù)器把接收到的DHCPREQUEST當(dāng)作一個拒絕通知。被選擇的服務(wù)器則發(fā)送DHCPACK報文,其中包含了分配給客戶機的配置參數(shù),clientidentifier(或chaddr)字段和被授予的網(wǎng)絡(luò)地址構(gòu)成了客戶機租約期的專用標(biāo)識。如果被選擇的服務(wù)器不能滿足DHCPREQUEST提出的請求(例如請求的地址已經(jīng)被分配),則以DHCPNAK響應(yīng)之。
(5)客戶機接收到了DHCPACK報文后就進行實際的網(wǎng)絡(luò)配置。如果客戶機發(fā)現(xiàn)得到的網(wǎng)絡(luò)地址已經(jīng)在用,則發(fā)送DHCPDECLINE報文,重啟配置過程。在重新配置之前要等待10秒鐘,以避免由于循環(huán)而引起過多的網(wǎng)絡(luò)流量。如果客戶機收到DHCPNAK報文,也要重啟配置過程。
(6)客戶機如果要廢棄租約,則向服務(wù)器發(fā)送DHCPRELEASE報文??蛻魴C用clientidentifier(或chaddr)字段和DHCPRELEASE報文中的網(wǎng)絡(luò)地址來標(biāo)識要廢棄的租約。圖7.15是客戶機與服務(wù)器交互過程的圖形表示。
DHCP的租約周期是IP地址的有效期。租約周期可長可短,取決于用戶的上網(wǎng)環(huán)境和工作性質(zhì)。當(dāng)客戶機重新啟動或租約期達到50%時,客戶機向提供租約的服務(wù)器發(fā)送DHCPREQUEST報文,提出更新租約的請求。如果DHCP服務(wù)器接收到更新請求,它就給客戶機發(fā)送DHCPACK報文,其中包含新租約的持續(xù)時間和需要更新的參數(shù)。如果客戶機續(xù)訂租約失敗,則在租約期到達87.5%時客戶機進入重新申請租約的狀態(tài),它向網(wǎng)絡(luò)上所有服務(wù)器廣播DHCPDISCOVER報文,以便更新現(xiàn)有的地址租約。圖7.15DHCP客戶機與服務(wù)器的交互過程
DHCP的作用域是服務(wù)器可分配的IP地址范圍。DHCP服務(wù)器應(yīng)該至少配置一個作用域,各作用域的地址范圍不能重疊。另外還有一些地址是保留的,保留的IP地址用于提供特定服務(wù)的計算機,必須把保留的IP地址與客戶機的MAC地址進行綁定。如果DHCP服務(wù)器的硬件配置較低,地址緩沖池不能太大,可提供的IP地址就較少,要讓較多的客戶機輪換使用較少的IP地址,則必須使用較短的租約期。7.2.2DHCP服務(wù)器的安裝和配置
1.安裝DHCP服務(wù)器
(1)在控制模板中選擇“管理工具”,右鍵單擊“管理您的服務(wù)器”,然后選擇“添加或刪除角色”。
(2)在“配置您的服務(wù)器向?qū)А敝校x擇“DHCP服務(wù)器”,單擊“下一步”按鈕。這時可能要插入系統(tǒng)光盤,在Windows組件向?qū)е羞x擇“網(wǎng)絡(luò)服務(wù)”,打開后選擇“動態(tài)主機配置協(xié)議”,單擊“下一步”按鈕。
2.在DHCP控制臺面板中配置DHCP服務(wù)器的作用域和選項
(1)在“操作”菜單中選擇“新建作用域”,在“新建作用域向?qū)А敝袉螕簟跋乱徊健卑粹o。
(2)填寫作用域的“名稱”和“描述”。
(3)輸入作用域的“起始IP地址”和“結(jié)束IP地址”,指定子網(wǎng)掩碼長度。
(4)添加排除的“起始IP地址”和“結(jié)束IP地址”。
(5)在租約期限頁面中選擇天、小時和分鐘。
(6)進入“配置DHCP選項”頁面。
(7)輸入路由器(默認網(wǎng)關(guān))的IP地址。
(8)進入域名和DNS服務(wù)器頁面,輸入“父域”、DNS“服務(wù)器名”及其“IP地址”。
3.激活作用域在DHCP控制面板中,右擊作用域,選擇“激活”。 7.3名字解析服務(wù)7.3.1名字解析服務(wù)概述名字解析服務(wù)就是通過軟件將計算機的名字轉(zhuǎn)換為IP地址的過程。Windows中使用兩類名字:主機名和NetBIOS名字。主機名是按照域名服務(wù)(DNS)規(guī)則設(shè)定的主機標(biāo)識,包括計算機名和后綴(suffix)兩部分。例如server.trainnig.trader.msft是一個主機名,其中server是計算機名,其余部分是后綴。所謂完全合格的域名(FullyQualifiedDomainName,F(xiàn)QDM),是指在DNS名稱空間中已經(jīng)聲明的名稱標(biāo)識,表明了它在域名樹中的絕對位置。通過FQDN可以找到全世界任何網(wǎng)絡(luò)中的資源。DNS名字解析通過DNS服務(wù)器實現(xiàn)??梢园讯鄠€主機名映射到同一IP地址,也可以把一個主機名映射到多個IP地址。在后一種情況下,當(dāng)進行名字解析時,由一個主機名可以得到對應(yīng)的多個IP地址。
NetBIOS是IBM和Microsoft創(chuàng)建的網(wǎng)絡(luò)協(xié)議,運行在網(wǎng)絡(luò)層和應(yīng)用層之間,實現(xiàn)名字注冊、名字更新、名字解析,以及建立/終止會話等功能。NetBIOS是一種進程間的通信機制,也是應(yīng)用編程接口(API),它使得分布式應(yīng)用軟件能夠進行遠程通信,彼此訪問對方的網(wǎng)絡(luò)資源。
NetBIOS名字是NetBIOS服務(wù)使用的網(wǎng)絡(luò)標(biāo)識,?由16個字符組成,?前15個字符以ASCII編碼表示,最后一個字符以十六進制符號表示,代表提供的服務(wù)。NetBIOS名字是一種扁平的名字,沒有任何層次結(jié)構(gòu),因而無法區(qū)分不同網(wǎng)絡(luò)中具有相同名字的兩臺計算機。Windows2000以后的計算機都使用DNS域名來實現(xiàn)大多數(shù)功能,但是如果網(wǎng)絡(luò)中包含運行較早版本W(wǎng)indows的計算機,則必須使用NetBIOS名字進行通信。可以用hostname實用程序查看主機名,也可以用ipconfig/all命令查看主機名和DNS后綴,見圖7.16。命令nbtstat–n顯示在系統(tǒng)中注冊的NetBIOS名字;命令nbtstat–c則顯示NetBIOS緩存中的內(nèi)容,包括網(wǎng)絡(luò)中其他主機的NetBIOS名字與IP地址的映射,參見圖7.17。圖7.16主機名和DNS后綴圖7.17NetBIOS名字緩存7.3.2NetBIOS名字解析由NetBIOS名字求取對應(yīng)的IP地址的過程叫做NetBIOS名字解析。在TCP/IP網(wǎng)絡(luò)中,使用協(xié)議NetBT(NetBIOSoverTCP/IP)實現(xiàn)NetBIOS會話。NetBT可以廣播名字解析請求以獲取對方主機的響應(yīng),也可以在NBNS(NetBIOSNameServer)中查找需要的IP地址映射,其工作方式取決于網(wǎng)絡(luò)結(jié)點的類型。NetBT劃分的網(wǎng)絡(luò)設(shè)備類型表示在表7.2中。
NetBIOS名字解析的過程如下:
(1)當(dāng)應(yīng)用程序發(fā)出NetBIOS名字解析請求時,首先在NetBIOS緩存中搜索對應(yīng)的IP地址。
(2)如果NetBIOS緩存中沒有需要的地址映射,則查詢NBNS。
(3)如果沒有找到對應(yīng)的IP地址,則廣播NetBIOS名字解析請求,并接收對方的響應(yīng)。
(4)如果沒有得到需要的響應(yīng),則搜索本地的Lmhosts文件。
(5)如果還沒有得到需要的IP地址,則發(fā)出錯誤信息。圖7.18Lmhosts文件7.2.3WINS服務(wù)器在Windows系統(tǒng)中,通常用于NetBIOS名字解析的NBNS是WINS(WindowsInternetNameService)服務(wù)器。WINS服務(wù)器提供了一個集中式名字數(shù)據(jù)庫,通過專用的協(xié)議進行名字解析。WINS服務(wù)器不需要Lmhosts文件的輔助,它可以跨路由器工作,使用單播的方式傳遞名字解析請求和響應(yīng),并且能與DHCP服務(wù)器取得同步,跟蹤動態(tài)分配的IP地址。如果配置了WINS服務(wù)器,每個客戶端啟動時都要向WINS服務(wù)器注冊它的NetBIOS名字。由于客戶端的注冊是臨時的,所以還要定期進行更新,否則租約就會過期。當(dāng)客戶端關(guān)機時,WINS數(shù)據(jù)庫中的記錄就作廢了。通過WINS進行NetBIOS名字解析的過程如下:
(1)如果客戶端不能從NetBIOS緩存中解析名字,則向主WINS服務(wù)器發(fā)出名字解析請求;如果沒有響應(yīng),還會再發(fā)送兩次請求。
(2)如果主WINS服務(wù)器沒有給出響應(yīng),則客戶端向機器中配置的其他WINS服務(wù)器發(fā)出名字解析請求。
(3)如果所有的WINS服務(wù)器都沒有能夠進行名字解析,客戶端就使用已配置的其他方法進行名字解析。7.3.4DNS主機名解析
DNS主機名解析的查找順序是,先查找客戶端解析程序緩存;如果沒有成功,則向DNS服務(wù)器發(fā)出解析請求;如果還沒有成功,則嘗試使用NetBIOS名字解析方法取得結(jié)果??蛻舳私馕龀绦蚓彺媸莾?nèi)存中的一塊區(qū)域,保存著最近被解析的主機名及其IP地址映射??梢杂胕pconfig/displaydns命令查看其中的內(nèi)容,參見圖7.19。由于解析程序緩存常駐內(nèi)存中,所以比其他解析方法速度快。解析程序緩存把最近未能解析或無效的DNS名字存放在負緩存項(negativecacheentry)中,當(dāng)客戶端從DNS服務(wù)器接收到否定應(yīng)答時,會添加這些項目。負緩存項要保存一段時間,這樣它就不會再次被查詢。通過刷新和重置緩存,可以去除負緩存項以及任何動態(tài)添加的項目。清除解析程序緩存的命令是ipconfig/flushdns。圖7.19解析程序緩存圖7.20hosts文件 7.4域?名?服?務(wù)?器7.4.1域名系統(tǒng)域名系統(tǒng)(DomainNameSystem,DNS)通過層次結(jié)構(gòu)的分布式數(shù)據(jù)庫建立了一致性的名字空間,用來定位網(wǎng)絡(luò)資源。DNS最早的技術(shù)規(guī)范出現(xiàn)在1983年的RFC882和RFC883文檔中,1987年發(fā)布的RFC1034和RFC1035文檔對其進行了修訂,此后又發(fā)布了一系列補充和擴展的技術(shù)規(guī)范。由于保存主機名的DNS數(shù)據(jù)庫分布在多個服務(wù)器中,從而減少了任何一臺服務(wù)器的負載。由于DNS數(shù)據(jù)庫是分布式的,所以規(guī)模大小不受限制,性能也不會因為服務(wù)器數(shù)量的增加而顯著下降。
DNS的邏輯結(jié)構(gòu)是一個分層的域名樹,Internet網(wǎng)絡(luò)信息中心(InternetNetworkInformationCenter,InterNIC)管理著域名樹的根,稱為根域。根域沒有名稱,用英文句號“.”表示,這是域名空間的最高級別。在DNS的名稱中,有時在末尾附加一個“.”,就表示根域,但其經(jīng)常是省略的。DNS服務(wù)器可以自動補上結(jié)尾的句號,也可以處理結(jié)尾帶句號的域名。根域下面是頂級域(Top-LevelDomains,TLD),分為國家頂級域(countrycodeTopLevelDomain,ccTLD)和通用頂級域(genericTopLevelDomain,gTLD)。國家頂級域名包含243個國家和地區(qū)代碼,例如cn代表中國,uk代表英國等。最初的通用頂級域有7個,即com(商業(yè)公司)、net(網(wǎng)絡(luò)服務(wù))、org(組織協(xié)會)、gov(政府部門)、edu(教育機構(gòu))、mil(軍事領(lǐng)域)和int(國際組織)。這些頂級域名原來主要供美國使用,隨著Internet的發(fā)展,com、org和net成為全世界通用的頂級域名,就是所謂的“國際域名”,而edu、gov和mil則限于美國使用。負責(zé)互聯(lián)網(wǎng)域名注冊的服務(wù)商ICANN(InternetCorporationforAssignedNamesandNumbers)在2000年11月決定,從2001年開始使用新的國際頂級域名,共有7個:biz(商業(yè)機構(gòu))、info(網(wǎng)絡(luò)公司)、name(個人網(wǎng)站)、pro(醫(yī)生和律師等職業(yè)人員)、aero(航空運輸業(yè)專用)、coop(商業(yè)合作社專用)和museum(博物館專用),其中前4個是非限制性域名,后3個限于專門的行業(yè)使用,受有關(guān)行業(yè)組織的管理。
2008年6月,ICANN在巴黎年會上通過了個性化域名方案,最早將于2009年開始會出現(xiàn)以公司名字為結(jié)尾的域名,例如ibm、hp、qq等??梢哉J為,這些域名的所有者在某種意義上就是一個域名注冊機構(gòu),以后將會有無窮多的國際域名。頂級域下面是二級域,這是正式注冊給組織和個人的唯一名稱,例如中的micotsoft就是微軟注冊的域名。在二級域之下,組織機構(gòu)還可以劃分子域,使其各個分支部門都獲得一個專用的名稱標(biāo)識,例如中的sales是微軟銷售部門的子域名稱。劃分子域的工作可以一直延續(xù)下去,直到滿足組織機構(gòu)的管理需要為止。但是標(biāo)準(zhǔn)規(guī)定,一個域名的長度通常不超過63個字符,最多不能超過255個字符。7.4.2域名服務(wù)器
1.區(qū)域
DNS域名樹的一個連續(xù)部分被稱為區(qū)域(zone),圖7-21顯示出劃分區(qū)域的例子,其中有3個區(qū)域:●?●?●?其中區(qū)域包含和兩個相鄰的子域。這里要區(qū)別兩個不同的概念,通常說的“域”是DNS域名樹中的一個結(jié)點,可以把域名樹中相鄰的一些結(jié)點的配置信息保存在一個文件中,這就是區(qū)域文件。所以域是名字空間的一部分,而“區(qū)域”是一個存儲的概念,是存儲空間的一部分。圖7.21DNS的區(qū)域
2.資源記錄同一個區(qū)域文件可以保存主、輔兩份拷貝,這樣做的目的主要是冗余容錯。如果把主、輔兩個文件分別保存在兩個單獨的服務(wù)器中,分別稱為主服務(wù)器和輔助服務(wù)器,則這樣做還可以起到負載分擔(dān)的作用。區(qū)域文件是由資源記錄(ResourceRecord)組成的文本文件。資源記錄分為許多不同的類型,常用的有(參見表7.3):
(1)?SOA(StartOfAuthoritative):開始授權(quán)記錄,是區(qū)域文件的第一條記錄,指明區(qū)域的主服務(wù)器,指明區(qū)域管理員的郵件地址,并給出區(qū)域復(fù)制的有關(guān)信息,包括:●序列號。當(dāng)區(qū)域文件改變時,序列號要增加,輔助服務(wù)器把自己的序列號與主服務(wù)器的序列號比較,以確定是否需要更新數(shù)據(jù)?!袼⑿麻g隔,即輔助服務(wù)器更新數(shù)據(jù)的時間間隔(秒)。●重試間隔。當(dāng)輔助服務(wù)器不能連接主服務(wù)器進行更新時,必須每隔一定時間間隔(秒)重新試圖連接?!裼行凇H绻o助服務(wù)器不能更新自己的區(qū)域文件,超過有效期(秒)后就不再提供查詢服務(wù)?!裆?TTL):資源記錄在其他名字服務(wù)器緩存中保存的最少有效時間(秒)。
(2)?A(Address):地址記錄表示主機名到IP地址的映射。
(3)?PTR(Pointer):指針記錄是IP地址到主機名的映射。
(4)?NS(NameServer):給出區(qū)域的授權(quán)服務(wù)器。
(5)?MX(MaileXchanger):定義了區(qū)域的郵件服務(wù)器及其優(yōu)先級(搜索順序)。
(6)?CNAME:為正式主機名(canonicalname)定義了一個別名(alias)。
3.區(qū)域的類型在WindowsServer2003中,區(qū)域分為以下3種類型。
(1)主區(qū)域:在名字服務(wù)器中,區(qū)域信息被存儲在一個可寫入的文本文件中。
(2)輔助區(qū)域:在名字服務(wù)器中,區(qū)域信息被存儲在一個只讀的文本文件中。
(3)存根區(qū)域,只包含3種記錄(稱粘連記錄):●關(guān)于一個區(qū)域的SOA記錄;●該區(qū)域所有授權(quán)服務(wù)器的A記錄;●該區(qū)域所有授權(quán)服務(wù)器的NS記錄。在RFC1034和RFC1035提出的實現(xiàn)方案中,只有主區(qū)域和輔助區(qū)域,WindowsNT稱其為標(biāo)準(zhǔn)區(qū)域(StandardZone)。一種典型的情況是,假設(shè)某公司部署了一個WindowsNT域,在網(wǎng)絡(luò)中建立了兩個名字服務(wù)器:一個包含主區(qū)域,稱為主服務(wù)器(PrimaryServer);另一個包含輔助區(qū)域,叫做輔助服務(wù)器(SecondaryServer)。當(dāng)一個新的主機加入網(wǎng)絡(luò)時,名字服務(wù)器必須更新它們的區(qū)域信息,使得用戶可以通過DNS訪問新的主機。這時網(wǎng)絡(luò)管理員在主服務(wù)器中生成一個新的A記錄,隨之啟動區(qū)域傳輸,使得輔助服務(wù)器從主服務(wù)器中復(fù)制數(shù)據(jù),直到輔助服務(wù)器與主服務(wù)器的區(qū)域信息完全一致。在進行區(qū)域傳輸時,主服務(wù)器代表該區(qū)域的宿主服務(wù)器(Master),而輔助服務(wù)器則是從屬服務(wù)器(Slaver)。這種配置的主要問題是,如果主服務(wù)器出了故障,則資源記錄就無法修改了。同時,由于所有網(wǎng)絡(luò)資源配置的變化都必須通過唯一的主服務(wù)器進行修改,如果公司網(wǎng)絡(luò)分布在幾個不同的地理位置,則這樣做是很不方便的。從Windows2000開始引入了活動目錄(ActiveDirectory),有關(guān)區(qū)域的資源記錄可以存儲在活動目錄中,而不是文本文件中。這樣做的優(yōu)點是,可以利用活動目錄復(fù)制來傳遞區(qū)域信息,并且允許在運行DNS的任何域控制器中添加或修改資源記錄。換言之,所有與活動目錄集成的域都是主區(qū)域,都包含了一個可寫入的區(qū)域數(shù)據(jù)庫拷貝。使用活動目錄集成的區(qū)域也會出現(xiàn)一些問題。假設(shè)A公司有一部分業(yè)務(wù)與B公司聯(lián)系密切,為了使A公司的用戶能夠訪問B公司的內(nèi)部資源,通常的做法是,由A公司的管理員在該公司的每個名字服務(wù)器中添加一個輔助區(qū)域,這些輔助區(qū)域都把B公司的名字服務(wù)器當(dāng)作宿主服務(wù)器,通過區(qū)域傳輸獲取B公司的區(qū)域信息。這樣做會在兩個公司之間產(chǎn)生大量的區(qū)域傳輸通信量,如果兩個公司通過慢速的廣域網(wǎng)(WAN)連接,則通信性能會受到很大影響。另外可能出現(xiàn)的問題是,如果B公司關(guān)閉了它的一個名字服務(wù)器而沒有通知對方,那么在A公司名字服務(wù)器上運行的輔助區(qū)域就會失去宿主服務(wù)器,一旦它們的資源記錄過期,A公司的客戶就不能訪問B公司的資源了。引入存根區(qū)域是以上方法的補充。存根區(qū)域就像輔助區(qū)域一樣,從其他的名字服務(wù)器復(fù)制資源信息。存根區(qū)域也是只讀的,所以管理員不能人工地添加、刪除或者修改其中的資源記錄。但是存根區(qū)域與輔助區(qū)域有兩個重要差別。首先是存根區(qū)域只從宿主服務(wù)器中獲取3種資源記錄,無論公司的網(wǎng)絡(luò)多么龐大,存根區(qū)域的信息量都是很小的,由存根區(qū)域傳輸引起的通信量也是很小的。其次是存根區(qū)域復(fù)制不像傳統(tǒng)的DNS區(qū)域傳輸那樣使用UDP協(xié)議,而是使用TCP協(xié)議傳輸比較大的(大于512字節(jié))數(shù)據(jù)包。如果典型的DNS區(qū)域復(fù)制要傳輸大量UDP數(shù)據(jù)包的話,那么存根區(qū)域復(fù)制只需傳輸少量的數(shù)據(jù)包。尤其重要的是,存根區(qū)域可以與活動目錄集成到一起,利用活動目錄復(fù)制來傳遞資源記錄,而通過活動目錄復(fù)制來實現(xiàn)輔助區(qū)域傳輸在有些情況下是很難實現(xiàn)的。
4.域名查詢
DNS服務(wù)器可以實現(xiàn)正反兩個方向的查詢。正向查詢是檢查地址記錄(A),把名字解析為IP地址;反向查詢是檢查指針記錄(PTR),把IP地址解析為主機名。每個DNS服務(wù)器中有一個高速緩存區(qū)(Cache),每次查詢出來的主機名及對應(yīng)的IP地址都會記錄到高速緩存區(qū)中。下一次查詢時,服務(wù)器先查找高速緩存,以加速查詢速度。如果高速緩存查詢不成功,再向其他服務(wù)器發(fā)送查詢請求。
DNS客戶端都配置了一個或多個DNS服務(wù)器的地址,無論是靜態(tài)或動態(tài)配置的,這些DNS服務(wù)器都是用戶所在域的授權(quán)服務(wù)器,而用戶主機則是該域的成員。當(dāng)用戶在瀏覽器地址欄鍵入一個域名時,客戶端就可以向本地的DNS服務(wù)器發(fā)出查詢請求。查詢過程分為兩種方式:●遞歸查詢。當(dāng)用戶發(fā)出查詢請求時,本地服務(wù)器要進行遞歸查詢。這種查詢方式要求服務(wù)器徹底地進行名字解析,并返回最后的結(jié)果——IP地址或錯誤信息。如果查詢請求在本地服務(wù)器中不能完成,那么服務(wù)器就根據(jù)它的配置向域名樹中的上級服務(wù)器進行查詢,在最壞的情況下可能要查詢到根服務(wù)器。每次查詢返回的結(jié)果如果是其他名字服務(wù)器的IP地址,則本地服務(wù)器要把查詢請求發(fā)送給這些服務(wù)器做進一步的查詢?!竦樵?。服務(wù)器與服務(wù)器之間的查詢采用迭代的方式進行,發(fā)出查詢請求的服務(wù)器得到的響應(yīng)可能不是目標(biāo)的IP地址,而是其他服務(wù)器的引用(名字和地址),那么本地服務(wù)器就要訪問被引用的服務(wù)器,做進一步的查詢。如此反復(fù)多次,每次都更接近目標(biāo)的授權(quán)服務(wù)器,直至得到最后的結(jié)果——目標(biāo)的IP地址或錯誤信息。
5.轉(zhuǎn)發(fā)服務(wù)器
DNS服務(wù)器收到查詢請求后,首先在自己的區(qū)域文件中查找,再在高速緩存中查找。如果查不到,可能是因為該服務(wù)器不是請求域的授權(quán)服務(wù)器,并且以前查詢的緩存中沒有需要的記錄,這時DNS服務(wù)器必須向其他服務(wù)器發(fā)送請求。在Internet中,對本地網(wǎng)之外的DNS查詢要通過廣域網(wǎng)(WAN)進行通信,與遠程服務(wù)器協(xié)同工作。DNS轉(zhuǎn)發(fā)器由特定的名字服務(wù)器擔(dān)任,它的作用就是負責(zé)處理基于WAN的DNS通信。圖7.22畫出了轉(zhuǎn)發(fā)器的工作過程。首先是客戶機向本地服務(wù)器進行遞歸查詢,本地服務(wù)器查找不到需要的記錄,則向轉(zhuǎn)發(fā)器發(fā)出遞歸查詢請求。轉(zhuǎn)發(fā)器通過迭代查詢得到需要的結(jié)果后,轉(zhuǎn)發(fā)給本地DNS服務(wù)器,并返回客戶機。圖中提到的根提示(roothint)是存儲在DNS服務(wù)器中的一種資源記錄,指出了DNS根服務(wù)器的名字和地址。根提示用于解析Internet上的外部主機名。圖7.22轉(zhuǎn)發(fā)器工作過程
6.區(qū)域傳輸把一個區(qū)域的名字服務(wù)器分為主服務(wù)器和輔助服務(wù)器,可以實現(xiàn)冗余容錯的功能。主、輔兩個服務(wù)器都是該區(qū)域的授權(quán)服務(wù)器,都提供域名查詢服務(wù),這樣還可以實現(xiàn)負載分擔(dān)的功能。主、輔兩個服務(wù)器必須進行區(qū)域傳輸和復(fù)制,隨時保持區(qū)域信息的一致。如果網(wǎng)絡(luò)中添加了一個新的輔助服務(wù)器,那么它要從主服務(wù)器中復(fù)制全部資源記錄。對于網(wǎng)絡(luò)中已有的輔助服務(wù)器,只是在主服務(wù)器的區(qū)域信息改變時才復(fù)制部分資源記錄。前者叫做完全復(fù)制,使用AXFR(Allzonetransfer)協(xié)議,后者叫做漸增復(fù)制,使用IXFR(Incrementalzonetransfer)協(xié)議。AXFR和IXFR都是BIND中的協(xié)議(RFC1995),用于區(qū)域復(fù)制。資源記錄SOA中的序列號可以指示主、輔服務(wù)器中的區(qū)域信息是否一致。圖7.23是一個區(qū)域傳輸?shù)睦?。區(qū)域傳輸過程總是從輔助服務(wù)器開始的,當(dāng)主服務(wù)器收到輔助服務(wù)器的詢問時,要根據(jù)資源記錄改變的歷史做出響應(yīng),以確定是否進行完全復(fù)制或漸增復(fù)制。具體的傳輸過程如下:
(1)新配置的輔助服務(wù)器向主服務(wù)器發(fā)送AXFR請求。
(2)主服務(wù)器以完全復(fù)制響應(yīng)之。于是,區(qū)域資源信息被傳輸給輔助服務(wù)器,其中包括SOA記錄中的序列號和刷新時間(通常設(shè)置為900秒,即15分鐘)。
(3)當(dāng)刷新時間間隔超過時,輔助服務(wù)器向主服務(wù)器發(fā)出SOA詢問。
(4)主服務(wù)器返回的應(yīng)答中包含了它的序列號。
(5)輔助服務(wù)器把得到的序列號與自己的序列號比較,如果兩者相同,則不需要進行區(qū)域復(fù)制,但是要根據(jù)應(yīng)答中得到的刷新時間重置自己的刷新時間。
(6)如果從主服務(wù)器得到的序列號大于自己的序列號,則要更新區(qū)域信息。輔助服務(wù)器發(fā)送IXFR請求,其中包含本地的序列號。
(7)如果主服務(wù)器支持漸增復(fù)制,并且保存著最近更新資源記錄的歷史信息,則以IXFR響應(yīng),并啟動區(qū)域傳輸過程;如果主服務(wù)器不支持漸增復(fù)制,則以AXFR響應(yīng),并啟動區(qū)域傳輸過程。圖7.23區(qū)域傳輸
7.?DNS通知基于Windows的DNS服務(wù)器支持DNS通知。RFC1996文檔給出了主服務(wù)器向輔助服務(wù)器發(fā)送通知的技術(shù)規(guī)范。DNS通知是一種“推進”機制,使得輔助服務(wù)器能及時更新區(qū)域信息。DNS通知也是一種安全機制,只有被通知的輔助服務(wù)器才能進行區(qū)域復(fù)制,這樣可以防止沒有授權(quán)的服務(wù)器進行非法的區(qū)域復(fù)制。按照RFC1996技術(shù)規(guī)范,被通知的服務(wù)器的IP地址必須出現(xiàn)在主服務(wù)器的通知列表中,在DNS控制臺,可以通過“通知對話框”添加被通知的目標(biāo)服務(wù)器。圖7.24給出了DNS通知的操作過程。圖7.24DNS通知7.4.3DNS服務(wù)器的安裝和配置安裝DNS服務(wù)器與安裝DHCP服務(wù)器一樣,在“管理您的服務(wù)器”窗口中根據(jù)提示進行操作,最后在“配置您的服務(wù)器向?qū)А贝翱谥袉螕簟巴瓿伞?,安裝就結(jié)束了。在安裝完成后,下一步就是根據(jù)網(wǎng)絡(luò)環(huán)境來配置DNS服務(wù)器。所有的配置工作都可以通過DNS控制臺進行。在“管理您的服務(wù)器”窗口中找到“DNS服務(wù)器”,單擊“管理此DNS服務(wù)器”,就打開了DNS控制臺窗口。在“操作”菜單上選擇“配置DNS服務(wù)器”,根據(jù)“配置DNS服務(wù)器向?qū)А敝械奶崾究梢詣?chuàng)建正向查找區(qū)和反向查找區(qū),還可以指定根提示和轉(zhuǎn)發(fā)器,以及更新DNS緩存等。配置完成后,在%Systemroot%\System32\dns目錄下可以看到高速緩存文件cache.dns,其中列出了有關(guān)通用頂級域的13個根服務(wù)器,如圖7.25所示。如果要配置的DNS服務(wù)器只是作為內(nèi)部網(wǎng)的根服務(wù)器,不需要這些緩沖的內(nèi)容,則可以對cache.dns文件進行編輯,刪除這些項目。圖7.25cache.dns文件7.5終端服務(wù)7.5.1終端服務(wù)器的安裝終端服務(wù)器的安裝步驟如下:
(1)依次單擊“開始”、“管理工具”、“配置您的服務(wù)器向?qū)А薄?/p>
(2)點擊“下一步”按鈕,顯示“預(yù)備步驟”,提示調(diào)制解調(diào)器、網(wǎng)卡、電纜、外設(shè)以及有無WindowsServer2003安裝盤等情況。
(3)點擊“下一步”按鈕,進行系統(tǒng)檢測。檢測完成后,出現(xiàn)“配置選項”對話框,選擇“自定義配置”選項,如圖7.26所示。圖7.26“配置選項”頁面
(4)點擊“下一步”按鈕,顯示“服務(wù)器角色”頁面,在列表中選擇“終端服務(wù)器”,如圖7.27所示。圖7.27“服務(wù)器角色”頁面
(5)單擊“下一步”按鈕,出現(xiàn)“選擇總結(jié)”頁面,顯示了之前所作的選擇。
(6)單擊“下一步”按鈕,開始安裝終端服務(wù)器,顯示重啟計算機提示框,如圖7.28所示。圖7.28安裝終端服務(wù)器提示框
(7)單擊“確定”按鈕,系統(tǒng)將所選擇的角色添加到服務(wù)器,完成后自動重啟計算機。安裝完成后的終端服務(wù)器如圖7.29所示。圖7.29安裝完成后的終端服務(wù)器7.5.2終端服務(wù)器的配置
1.用戶權(quán)限的配置在使用終端服務(wù)器之前需進行一些設(shè)置,尤其是對客戶端權(quán)限的設(shè)置。設(shè)置步驟如下:
(1)依次單擊“開始”、“程序”、“管理工具”和“終端服務(wù)配置”,顯示如圖7.30所示的“終端服務(wù)配置”窗口。圖7.30“終端服務(wù)配置”窗口
(2)單擊“樹”列表框中的“連接”選項,鼠標(biāo)右擊右側(cè)列表框中的“RDP-Tcp”,選擇“屬性”選項,點擊“權(quán)限”選項卡,該選項卡對管理員Administrator的訪問權(quán)限進行了一定的限制。管理員可以有“完全控制”、“用戶訪問”以及“來賓訪問”三種權(quán)限,通過選中或取消各項的復(fù)選框來確定相應(yīng)的權(quán)限,如圖7.31所示。
(3)單擊“高級”按鈕,顯示所有用戶的權(quán)限,如圖7.32所示。圖7.31RDP-Tcp屬性設(shè)置圖7.32所有用戶的權(quán)限
(4)單擊“添加”按鈕,增加一個新用戶,如圖7.33所示。圖7.33增加新用戶
(5)單擊“編輯”按鈕,即可修改某一選定用戶的權(quán)限,如圖7.34所示。圖7.34修改用戶權(quán)限
2.終端服務(wù)高級設(shè)置
1)更改加密級別在“RDP-Tcp屬性”對話框中,選擇“常規(guī)”選項卡,如圖7.35所示。圖7.35“常規(guī)”選項卡在“加密”欄中,單擊“加密級別”下拉按鈕,其中有四種加密級別?!竦停菏褂?6位密鑰,對從客戶端傳輸?shù)椒?wù)器的數(shù)據(jù)進行加密?!窨蛻舳思嫒荩菏褂每蛻舳怂С值淖畲箝L度的密鑰,對從客戶端傳輸?shù)椒?wù)器的數(shù)據(jù)進行加密。●高:使用128位密鑰的強加密算法,對從客戶端傳輸?shù)椒?wù)器的數(shù)據(jù)進行加密?!穹螰IPS標(biāo)準(zhǔn):使用Microsoft加密模塊的聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS),對從客戶端傳輸?shù)椒?wù)器的數(shù)據(jù)進行加密。此外,如果希望此連接實現(xiàn)標(biāo)準(zhǔn)的Windows驗證,選中“使用標(biāo)準(zhǔn)Windows驗證”復(fù)選框。
2)允許用戶自動登錄到服務(wù)器在“RDP-Tcp屬性”對話框中,選擇“登錄設(shè)置”選項卡,如圖7.36所示。默認情況下使用客戶端提供的登錄信息。選中“總是使用下列登錄信息”復(fù)選框來設(shè)置允許用戶登錄的信息。在“用戶名”文本框中填入允許登錄到服務(wù)器的用戶名稱,在“域”中填入計算機所屬域的名稱,在“密碼”和“確認密碼”欄中填入該用戶登錄時所采用的密碼。如果要求用戶在登錄到服務(wù)器之前始終被提示輸入密碼,則選中“總是提示密碼”復(fù)選框。圖7.36“登錄設(shè)置”選項卡
3)配置終端服務(wù)超時和重新連接在“RDP-Tcp屬性”對話框中,選擇“會話”選項卡,如圖7.37所示?!襁x中第一個“替代用戶設(shè)置”復(fù)選框,允許用戶配置此連接的超時值;●在“結(jié)束已斷開的會話”下拉框中選擇斷開連接的會話存留在服務(wù)器上的最長時間;●在“活動會話限制”下拉框中選擇用戶會話在服務(wù)器上持續(xù)的最長時間;●在“空閑會話限制”下拉框中選擇空閑會話在服務(wù)器上持續(xù)的最長時間;●選中第二個“替代用戶設(shè)置”復(fù)選框,設(shè)置到達會話限制時或者連接被中斷時進行的操作。圖7.37“會話”選項卡
4)管理遠程控制在“RDP-Tcp屬性”對話框中,選擇“遠程控制”選項卡,如圖7.38所示。圖7.38“遠程控制”選項卡7.6遠程管理7.6.1遠程管理功能的改進
1.管理遠程桌面管理遠程桌面功能屬于改進型的遠程管理功能,它在原來的Windows2000Server遠程管理模式中稱為“終端服務(wù)”。這一遠程管理功能可以提供對任何運行WindowsServer2003操作系統(tǒng)的計算機桌面的遠程訪問,并允許從網(wǎng)絡(luò)中的任一虛擬計算機上管理WindowsServer2003服務(wù)器。通過管理遠程桌面,幾乎可以實現(xiàn)從網(wǎng)絡(luò)上的任何計算機對其他計算機進行管理。
2.遠程協(xié)助遠程協(xié)助功能雖然在WindowsXP就開始有了,但相對Windows2000Server來說,仍屬于改進比較大的功能。如果用戶發(fā)出了邀請,則遠程協(xié)助是從運行WindowsXP或WindowsServer2003的計算機連接到遠程計算機的方便途徑。連接之后,即可查看遠程計算機的屏幕,并可進行實時聊天。如果請求協(xié)助的人允許,甚至可以使用鼠標(biāo)和鍵盤在遠程計算機上進行操作。
3.遠程管理的Web界面(僅限于WindowsServer2003WebEdition版本)這也是WindowsServer2003系統(tǒng)新增的一項管理功能。在WindowsServer2003Web版上,用于遠程管理的Web界面是基于超文本標(biāo)記語言(HTML)的應(yīng)用程序,用于從遠程客戶端配置和管理服務(wù)器。單個的服務(wù)器、整個服務(wù)器領(lǐng)域和每個服務(wù)器的多個站點都可以從單個遠程工作站進行管理。
4.遠程安裝服務(wù)的改進功能遠程安裝服務(wù)(RIS)是從Windows2000系統(tǒng)就開始提供的,但在WindowsServer2003系統(tǒng)中又對這項管理功能進行了一些必要的改進。WindowsServer2003對遠程安裝服務(wù)的增強功能包括:對WindowsServer2003系列和WindowsXP相同遠程安裝的支持,對RIS安裝的應(yīng)答文件處理更強大的控制,以及對恢復(fù)模式下的網(wǎng)絡(luò)文件的訪問。使用WindowsServer2003操作系統(tǒng)光盤中包含的工具,可以遠程管理運行Windows2000和WindowsServer2003的服務(wù)器系統(tǒng);也可以從使用WindowsXPProfessional的計算機上遠程管理運行WindowsServer2003計算機。在WindowsServer2003操作系統(tǒng)中,進行遠程管理的方法是多種多樣的,主要包括:微軟管理控制臺、遠程桌面連接、管理遠程桌面、管理工具包、遠程協(xié)助、Telnet、遠程管理Web和遠程存儲等。當(dāng)然這么多種不同的遠程管理方法都有其適用的范圍,并不是任何一種方法都適用于所有遠程管理領(lǐng)域。7.6.2微軟管理控制臺微軟管理控制臺(MicrosoftManagementConsole,MMC)集成了用來管理網(wǎng)絡(luò)、計算機、服務(wù)及其他系統(tǒng)組件的管理工具。MMC可以運行在各種Windows9x/NT操作系統(tǒng)上,以及WindowsXPHomeEdition/XPProfessional和WindowsServer2003家族任何的操作系統(tǒng)上。
MMC不執(zhí)行管理功能,但集成管理工具??梢蕴砑拥娇刂婆_的主要工具類型稱為管理單元,其他可添加的項目包括ActiveX控件、網(wǎng)頁的鏈接、文件夾、任務(wù)和任務(wù)板視圖。使用MMC有兩種方法:●在用戶模式中使用已有的MMC控制臺管理系統(tǒng);●在作者模式中可創(chuàng)建新的MMC控制臺或修改已有的MMC控制臺。若需要經(jīng)常對多臺計算機進行“遠程桌面”管理,用戶可以進行如下的添加操作:
(1)單擊“開始”、“運行”,輸入命令MMC,系統(tǒng)顯示控制臺窗口,如圖7.39所示。
(2)單擊“文件”菜單,選擇“添加/刪除管理單元”選項,打開如圖7.40所示的對話框。圖7.39MMC控制臺窗口圖7.40“添加/刪除管理單元”對話框
(3)單擊“添加”按鈕,選擇“遠程桌面”選項,單擊“關(guān)閉”按鈕,結(jié)果如圖7.41所示。
(4)右鍵點擊控制臺根結(jié)點中的“遠程桌面”,選擇“添加新連接”,在如圖7.42所示的界面中依次添加目標(biāo)IP、名稱、用戶名、口令、域,完成一個用戶的添加。
(5)重復(fù)步驟(3),將目標(biāo)計算機逐個添加到控制臺。圖7.41添加了“遠程桌面”選項圖7.42“添加新連接”對話框7.6.3遠程桌面連接
1.配置遠程桌面連接在“控制面板”中雙擊“系統(tǒng)”圖標(biāo),在“系統(tǒng)屬性”對話框中選擇“遠程”選項卡,在“遠程桌面”欄中選中“允許用戶遠程連接到您的計算機”,如圖7.43所示。圖7.43“系統(tǒng)屬性”對話框之“遠程”選項卡在“控制面板”中雙擊“網(wǎng)絡(luò)連接”圖標(biāo),鼠標(biāo)右擊“本地連接”圖標(biāo),選擇“屬性”項,選擇“高級”選項卡,如圖7.44所示。在“Internet連接防火墻”欄中取消選擇“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機網(wǎng)絡(luò)”復(fù)選框。單擊“確定”允許遠程訪問。圖7.44“本地連接屬性”之“高級”選項卡
2.使用遠程桌面連接“遠程桌
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 超市經(jīng)營合同三篇
- 醫(yī)用電子儀器設(shè)備相關(guān)行業(yè)投資方案范本
- 市場定位與品牌戰(zhàn)略計劃
- 新型地?zé)嵊脽峤粨Q器相關(guān)項目投資計劃書
- UV激光切割機相關(guān)行業(yè)投資規(guī)劃報告范本
- 大孔燒結(jié)空心磚相關(guān)行業(yè)投資規(guī)劃報告
- 結(jié)合地方文化的藝術(shù)課程設(shè)計計劃
- 汽車廠生產(chǎn)線升級改造工程合同三篇
- 葡萄運輸合同三篇
- 設(shè)計優(yōu)化培訓(xùn)
- 2022年山東科技大學(xué)計算機科學(xué)與技術(shù)專業(yè)《操作系統(tǒng)》科目期末試卷A(有答案)
- 第六課 掌握演繹推理方法課件 【備課精講精研】 高中政治統(tǒng)編版選擇性必修三邏輯與思維
- 實習(xí)企業(yè)鑒定考核表
- 精編新東方考研英語詞匯詞根+聯(lián)想記憶法亂序版-綠皮書俞敏洪編著帶中文翻譯真正完全版資料
- 綜合管廊工程施工技術(shù)概述課件
- 家教最新收費退費處理辦法
- 《我的心兒怦怦跳》優(yōu)秀課件
- 公積金提取單身聲明
- 大型設(shè)備的吊裝技術(shù)課件
- 臨床醫(yī)學(xué)概論知識點匯總
- 農(nóng)業(yè)合作社成員權(quán)益變動表
評論
0/150
提交評論