首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册

正在浏览:   1 名游客





Win2000中文笔记
网站管理员
注册日期:
1970/1/1 8:00
所属群组:
网站管理员
注册会员
帖子: 56
等级: 6; EXP: 34
HP : 0 / 133
MP : 18 / 19826
离线
Win2000中文笔记 之 命令摘要




MMC打开控制台gpedit.msc打开组策略控制台regedt32打开注册表编辑器winnt\inf下的system.adm提供的多种组策略设置控制 Microsoft 管理控制台 (MMC) 的使用taskmgr打开任务管理器

NET命令:NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP | HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION | SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ]如net helpmsg 2182显示2182号信息net start dhcpservernet stop dhcpservernet pause dhcpservernet continue dhcpservernet user查看用户net time/setsntp:<server name>设置同步时间

ROUTE命令: route PRINT 查看 IP 路由表 route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2

destination^ ^mask ^gateway metric^ ^

Interface^ If IF is not given, it tries to find the best interface for a given gateway.

route PRINT route PRINT 157* .... Only prints those matching 157* route DELETE 157.0.0.0 route PRINT例如,要向子网掩码是 255.0.0.0、网关是 192.168.0.1、开销跃点数是 2 的网络 10.0.0.0 添加静态路由,在命令提示符下键入:

route add 10.0.0.0 mask 255.0.0.0 192.168.0.1 metric 2

目录Documents and Settings\Administrator\sendto文件夹中的快捷方式即WINDOWS右键菜单中的“发送到”菜单项的子菜单内容。

如果要打开WINDOWS 2000所在磁盘,只要在“运行”对话框中输入“\”、“/””“或“...”(打开Documents and Settings目录)即可。

在安装群集服务时,要求符合SERVER要求的SCSI上有NTFS硬盘在安装“远程安装”组件时,要求插入WINDOWS PROFESSIONAL光盘,远程安装只提供PROFESSIONAL的安装服务。

Local Security Settings包含所有安全机制的设置(如:帐户策略、本地策略、公钥策略、IP安全策略)

对于终端登录的可允许用户设置如下:进入Terminal Services Configuration双击连接项下的RDP-Tcp属性设置,在权限项中选取可登录该机器的用户或组。

FTP的不同端口登录方法:1.使用LEAPFTP等软件 2.在IE中使用ftp://40.1.40.12:22方式,其中22即为端口号。

arp:显示和修改“地址解析协议”(ARP)所使用的到以太网的IP或令牌环物理地址翻译表。

hostname:显示本机主机名ipconfig:显示所有当前的TCP/IP网络配置值 ipconfig/alltracert:包含不同生存时间(TTL)值的Internet控制消息协议(ICMP)回显数据包发送到目录,以决定到达目标采用的路由。

在命令提示符下,键入net config rdr可查看完整的、被认证的计算机名。

在终端模式下使用tsdiscon中断与服务器的会话,logoff退出与服务器的进程,不保存会话内容。

DCOM(分布式COM配置属性):运行程序dcomcnfg

无限制的终端服务要求采用“应用程序服务器模式”

Runas允许用户用其他权限运行指定的工具和程序,而不是用户当前登录提供的权限。管理员可以使用一个权限受限制的帐户执行日常、非管理性的任务,只有在执行特定管理任务时,才使用一个权限更大的帐户。要不经过注销再重新登录就完成这样的任务,可以用一般帐户登录,使用 runas 命令来运行需要更大权限的工具。

runas [/profile] [/env] [/netonly] /user:UserAccountName program参数/profile指定用户配置文件名(如果需要加载的话)。

/env指定当前使用的网络环境,而不是用户的本地环境。

/netonly指明指定的用户信息只用于远程访问。

/user:UserAccountName指定在其下运行程序的用户帐户的名称。用户帐户的格式应是 user@domain 或 domain\user。

program指定要用在 /user 中指定的帐户运行的程序或命令。

以管理员身份使用“运行方式”启动程序在“Windows 资源管理器”中,单击程序、Microsoft 管理控制台 (MMC) 工具或要打开的“控制面板”项。

按 SHIFT 并右键单击该程序,然后单击“运行方式”。

单击“以下面的用户身份运行程序”。

键入用户名、密码以及要使用的管理员帐户所属的域。

 

可以使用 Microsoft Management Console (MMC) 创建、保存或打开管理工具(称为 MMC 控制台)来管理硬件、软件和 Windows 系统的网络组件。MMC 是 Windows 2000 操作系统的一个特性,但也可以在 Windows NT、Windows 95 和 Windows 98 操作系统上运行 MMC。另外,MMC 是许多设计在 Windows 上运行的软件程序的特性。

MMC 不执行管理功能,但集成管理工具。可以添加到控制台的主要工具类型称为管理单元,其他可添加的项目包括 ActiveX 控件、指向 Web 页的链接、文件夹、任务板视图和任务。

使用 MMC 有两种常规方法:在用户模式中,用已有的 MMC 控制台管理系统;在作者模式中,创建新控制台或修改已有的 MMC 控制台。

使用远程安装服务,您不用物理地访问每一台客户机即可设置新的客户机。特别是,您可以在允许远程引导的客户机上安装操作系统,具体方法是将计算机连接到网络,然后启动客户机,用有效的用户帐户登录。

远程安装服务和 IntelliMirror 是 Windows 2000 服务器中新变化和配置管理功能。通过远程安装服务与其他 IntelliMirror 功能(如用户文档和设置、软件安装及组策略)的结合,每个单位都会从改进的灾难性恢复、更简便的操作系统和应用程序管理中受益,其结果直接导致所需的技术支持服务减少。

可以建立不保存用户对桌面设置所做更改的强制用户配置文件。用户可以在登录之后修改计算机的桌面设置,但是当用户注销的时候不保存任何更改。用户每次登录时,强制用户配置文件设置都会下载到本地计算机。

使用 Windows 2000,您可以在整个网络上共享打印机资源。不同计算机和操作系统的客户,可以通过 Internet 将打印作业发送到直接连接 Windows 2000 打印服务器的打印机,或者使用内部或外部网卡连接到网络或其他服务器的打印机。

Windows 2000 支持几种高级打印功能。例如,用户可以管理网上任何地方的 Windows 2000 打印服务器。另一高级特性是,不必在 Windows 2000 客户机上安装打印机驱动程序就可以使用打印机。该驱动程序在客户连接到 Windows 2000 打印服务器时自动下载。

区分“打印机”(实际打印的设备)和“逻辑打印机”(打印机服务器上的软件接口)是很重要的。当您发出打印作业时,作业在发送到实际的打印机之前在逻辑打印机上后台打印,该逻辑打印机也称“打印机”。

 

“脱机文件”概述

使用脱机文件,即使没有连接到网络也可以继续处理网络文件和程序。

如果断开与网络的连接或移除便携式计算机,指定为可以脱机使用的共享网络条目与连接到网络时完全相同。可以象通常一样继续处理。对这些文件和文件夹的访问权限与连接到网络时相同。当连接状态变化时,“脱机文件”图标将出现在状态区中,状态区上会显示提示信息,通知您这一变化。

网络连接恢复或插接便携式计算机时,所有脱机时所作的更改均将更新到网络上。您和网络上的其他人对同一文件作出更改时,您可以选择将您的文件版本保存到网络、保留其他版本或两个版本均保存。

处理文件冲突

同步文件时,将在网络断开时打开或更新的文件与保存在网络上的文件的版本进行比较。只要在脱机时更改的文件尚未被其他人更改,您所作的更改都将复制到网络上。

如果其他人对您脱机时更新的网络文件作了更改,系统会提示保存您的版本、保存网络上的版本或两个版本均保存。要保存两个版本的文件,请为您的版本指定另一个文件名,两个文件将出现在两个位置。

如果您在脱机工作时删除了计算机中的网络文件,而网络上的其他人对该文件作了更改,文件将被从您的计算机中删除,但并不从网络中删除。

如果您在脱机工作时更改了网络文件,而网络上的其他人删除了该文件,可以选择将您的版本保存到网络上或从您的计算机中删除。

如果在您与网络断开后有新文件添加到您指定为可以脱机使用的共享网络文件夹中,则该新文件将在您重新连接并同步时添加到您的计算机中。

Win2000中文笔记 之 加密


单位不应从根证书颁发机构 (CA) 直接为用户或计算机颁发证书,而应配置至少一个包括根-中介-颁发者的三级 CA 层次结构,以提供灵活性并隔离根证书颁发机构以防蓄意破坏的个人泄露其私钥。

证书颁发机构 (CA) 数据库,CA 证书和 CA 密钥的备份对于防止关键性数据的丢失十分必要。应该定期(每日、每周、每月)备份 CA,而这一周期取决于相同时间间隔颁发的证书数量。证书颁发得越多,则 CA 的备份越频繁。

在加密文件夹时,系统将询问是否要同时加密文件夹内的所有文件和子文件夹。如果选择这么做,那么文件夹中当前的和将来要添加的所有文件或子文件夹都将被加密。如果选择仅加密文件夹,则文件夹中当前所有文件和子文件夹将不加密。然而,任何将来被加入文件夹的文件和子文件夹在加入时均被加密。

创建临时工作文件的程序会损害文件加密的安全性。如果使用这样的程序工作,请在文件夹级别加密,而不要加密单独的文件。

在对文件夹解密时,系统将询问是否要同时将文件夹内的所有文件和子文件夹解密。如果选择仅解密文件夹,则在解密文件夹中的加密文件和文件夹仍保持加密。但是,在已解密文件夹内创立的新文件和文件夹将不会被自动加密。

如果将加密文件或文件夹复制到非 NTFS 文件系统卷上,该加密文件或文件夹将被解密。

在将加密文件和文件夹复制到不同的计算机上时,必须确保能够在这些计算机上使用加密证书和私钥。否则,您将不能打开或者解密复制的文件或文件夹。

如果没有通过漫游用户配置文件访问第二台计算机,您可以使用第一台计算机将加密证书和私钥以 .pfx 文件格式导出到软盘上。为此,在 Microsoft 管理控制台 (MMC) 中使用“证书”中的“导出”命令。然后,在第二台计算机(在此还原加密的文件或文件夹)上,从 MMC 的“证书”中使用“导入”命令从软盘将 .pfx 文件导入到“个人”存储区。

如果使用 128 位加密算法加密计算机上的文件和文件夹,必须将文件和文件夹还原到也使用 128 位加密算法的计算机上,否则,将无法访问加密文件。如果在使用 128 位加密算法的系统上加密的文件和文件夹恢复到运行标准(56 位加密)加密的系统上,则这些文件和文件夹将不能被访问。

Win2000中文笔记 之 组策略




每个组策略对象只分配或发行一次

Windows 安装程序包和组策略对象一样,最多只能分配或发行一次。例如,如果将 Microsoft Office 分配给受组策略对象影响的计算机,则不能再将它分配或发行给受组策略对象影响的用户。

使用安全组筛选组策略

由于组策略可以把来自多个组策略对象的设置应用于站点、域或单位,因此可以添加和其他目录对象关联的组策略对象。也可以优先考虑这些组策略对象如何影响要应用它们的目录对象。

在 Windows 2000 中,计算机属于安全组。管理员可以使用安全组进一步精炼组策略对象影响的计算机和用户。对于任何组策略对象,管理员都可以筛选组策略对象对作为安全组成员的计算机的影响。使用标准访问控制 (ACL) 编辑器进行筛选。要使用 ACL 编辑器,请单击组策略对象的属性页,然后单击“安全”。管理员也可以用 ACL 编辑器委派由谁修改组策略对象。

意图 设置这些权限 结果

意图:安全组的成员应该将该组策略对象应用到它们当中。设置这些权限:将“应用组策略”设置为“允许”。将“读取”设置为“允许”。 结果:除非这个安全组的成员至少是将“应用组策略”设置为“拒绝”、或将“读取”设置为“拒绝”、或将二者均设置为“拒绝”的其他一个安全组的成员,否则这个组策略对象会应用到安全组的所有成员中。

意图:安全组的成员从这个组策略对象中删除。设置这些权限:将“应用组策略”设置为“拒绝”。 将“读取”设置为“拒绝”。 结果:不管这个安全组中的成员在其他安全组中拥有什么权限,该组策略对象永远不会应用到这个安全组的成员中。

意图:安全组中的成员身份与是否应用组策略对象无关。设置这些权限:将“应用组策略”设置为既不“允许”也不“拒绝”。 将“读取”设置为既不“允许”也不“拒绝”。结果:当且仅当这个安全组中的成员将“应用组策略”和“读取”都设置为“允许”作为至少是其他一个安全组的成员时,该组策略对象才会应用于这个安全组的成员。作为其他任何一个安全组的成员,这个安全组中的成员不得将“应用组策略”或“读取”设置为“拒绝”。

只能将“组策略”对象应用于站点、域和组织单位。组策略设置只影响它们所包含的用户和计算机。组策略对象尤其不适用于安全组。

如果用户或计算机不能通过直接链接或间接继承的方式加入符合组策略的站点、域或组织单位中,则不存在任何安全组的权限组合,可使这些组策略设置对该用户或计算机产生影响。

正如此过程中所描述的那样,在组策略对象级别的筛选不管是否进行处理,都把组策略对象作为一个整体。软件安装及文件夹重定向扩展使用安全组精心设计组策略对象级别以外的控制。除了文件夹重定向和软件安装之外,安全组不用于筛选组策略对象的个别设置或子集。而对于个别设置的控制,则通过编辑或创建组策略对象来实现。

组策略设置定义了系统管理员需要管理的用户桌面环境的多种组件,例如,用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项。使用组策略管理单元,可以为特定用户组创建特定的桌面配置。所指定的组策略设置包含在组策略对象中,而组策略对象又和所选择的站点、域或组织单位的 Active Directory 对象相关联。

组策略包括影响用户的“用户配置”和影响计算机的“计算机配置”。

策略按如下顺序应用:

唯一的本地组策略对象。

站点组策略对象,按照行政管理指定的顺序。

域组策略对象,按照行政管理指定的顺序。

对于组织单位组策略对象,按照从大组织单位到小的组织单位顺序(从父组织单位到子组织单位),而在每个组织单位级别中,则按照行政管理指定的顺序。

默认情况下,这些策略不一致时,后应用的策略将覆盖以前应用的策略。但是,如果这些设置不一致,前后的策略都将作为有效策略。

本地和非本地组策略对象

有两种组策略对象。存储在域控制器中的非本地组策略对象只能在 Active Directory 环境下使用。它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。

本地组策略对象存储在所有运行 Windows 2000 的计算机上。一个本地组策略对象只能存在于一台计算机上,而且该对象在非本地组策略对象中有一个可用的设置子集。如果二者的设置发生冲突,非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突,则都可以应用。

策略继承

通常,组策略由父容器传到子容器。如果为一个高级别的父容器指派特定的“组策略”,则这个组策略适用于该父容器下的所有容器,包括每个容器中的用户和计算机对象。但是,如果您明确为某个子容器指定组策略设置,则子容器的组策略设置将覆盖父容器的设置。

如果父组织单位具有没有配置的策略设置,则子组织单位将不能继承这些组织单位。禁用的策略设置继承后也是禁用的。如果为父组织单位配置了一项策略,而在子组织单位中没有配置相同的策略,那么子组织单位将继承父组织单位的策略设置。

如果父策略和子策略是兼容的,那么子级可以继承父策略,其子设置也是可用的。只要策略兼容,它们就可以继承。例如,如果父策略将某个文件夹放在桌面上,而子级设置则使用另外一个文件夹,这时用户会同时看到两个文件夹。

如果为父组织单位配置的策略和子组织单位配置的同一策略不兼容,子级将不能继承父级的策略设置。子级中的设置是可用的。



启动和登录中的事件顺序

下面的系列显示了在计算机启动和用户登录时计算机策略和用户策略的应用顺序:

1、网络启动。远程过程调用系统服务 (RPCSS) 和多重通用命名规范提供程序 (MUP) 将启动。

2、获得该计算机的组策略对象有序列表。该列表可能取决于下列因素:

 计算机是否为 Windows 2000 域的一部分,并且是否因此通过 Active Directory 受组策略的控制。

 计算机在 Active Directory 中的位置。

 如果组策略对象列表没有更改,则不进行处理。可以使用策略设置更改该行为。

3、计算机策略已得到应用。这些都是收集的列表中“计算机配置”下的设置。默认情况下这些操作将同步进行,顺序如下:本地、站点、域、组织单位、子组织单位等。处理计算机策略时不显示用户界面。

4、启动脚本开始运行。在默认情况下这是隐藏而且同步进行的。每个脚本在下一个脚本开始执行之前要么必须完成,要么做超时处理。默认超时时间为 600 秒。可以使用多种策略设置更改该行为。

5、用户按 CTRL-ALT-DEL 键登录。

6、用户验证身份之后,将加载由当前生效的策略设置控制的用户配置文件。

7、用户可获得组策略对象的有序列表。该列表可能取决于下列因素:

 用户是否为 Windows 2000 域的一部分,而且是否因此通过 Active Directory 受组策略的控制。

 是否启用环回以及环回策略设置的状态(“合并”或“替换”)。

 用户在 Active Directory 中的位置。

 如果要应用的组策略对象的列表没有更改,则不进行处理。可以使用策略设置更改该行为。

8、用户策略已被应用。这些都是收集的列表中“用户配置”下的设置。默认情况下这些操作将同步进行,顺序如下:本地、站点、域、组织单位、子组织单位等。处理用户策略时不显示用户界面。

9、登录脚本开始运行。与 Windows NT 4.0 脚本不同,基于组策略的登录脚本在默认情况下是隐藏并且异步运行的。用户对象脚本(在 Windows NT 4.0 中以正常窗口运行)最后运行。

10、显示由组策略预定义的操作系统用户界面。



默认情况下,只能在持有主域控制器模拟器操作主机令牌的域控制器上创建或编辑组策略对象。这个令牌随时间变化从一台域控制器移动到另一台域控制器,同时复制 Active Directory 信息以使域控制器保持同步状态。

在此处创建的组策略对象链接到组织单位之前,必须将该组织单位复制到持有令牌的域控制器上,这样才能应用组策略设置。

尽管组策略对象只作为单独域上的存储实体而存在,并且当受影响的客户读取链接站点的组策略时必须从该域读取,但是它允许林中的多个域获得相同的组策略对象(以及所包括的策略)。

在启动期间同步应用用户组策略

指示系统等到组策略更新完成之后才显示登录提示。该策略仅适用于出现在“用户配置”文件夹中的组策略设置。如果启用该策略,则直到用户组策略设置更新之后用户才可以登录。

如果禁用该策略,则系统不等到策略更新完成便邀请用户登录。结果,“登录到 Windows”对话框可能很快出现,但是在所有策略被应用之前,Windows 界面可能已经准备好。 为确定系统是否使计算机策略和 Windows 资源管理器同步,请查看“在启动期间同步应用计算机组策略”。

考虑通知用户他们的策略被定期更新,以便他们能够识别策略更新的记号。当组策略更新时,Windows 桌面将被更新,它会瞬间闪烁并关闭打开的菜单。另外,组策略设置的强制限制,例如对用户可运行程序的限制,可能会妨碍正在进行中的任务。

“定期在后台处理期间不应用此策略”选项防止系统在计算机使用的同时在后台更新受影响的策略。后台更新可以中断用户,导致程序停止运行或者操作异常,在少数情况下甚至会破坏数据。
Win2000中文笔记 之 分布式文件系统




“分布式文件系统”概述

系统管理员可以利用分布式文件系统 (DFS),使用户访问和管理那些物理上跨网络分布的文件更加容易。通过 DFS,可以使分布在多个服务器上的文件在用户面前显示时,就如同位于网络上的一个位置。用户在访问文件时不再需要知道和指定它们的实际物理位置。

例如,如果您的销售资料分散在某个域中的多个服务器上,您可以利用 DFS 使其显示时就好像所有的资料都位于一台服务器上,这样用户就不必到网络上的多个位置去查找他们需要的信息。

使用 DFS 的原因

在以下情形下,您应该考虑实施 DFS:

访问共享文件夹的用户分布在一个站点的多个位置或多个站点上。

大多数用户都需要访问多个共享文件夹。

通过重新分布共享文件夹可以改善服务器的负载平衡状况。

用户需要对共享文件夹的不间断访问。

您的组织中有供内部或外部使用的 Web 站点。



分布式文件系统特性

分布式文件系统 (DFS) 提供了几个重要特性,详见以下部分。

容易访问文件

分布式文件系统使用户可以更容易地访问文件。即使文件可能在物理上跨越多个服务器,用户也只需要转到网络上的某个位置即可访问文件。

而且,当更改共享文件夹的物理位置时,不会影响用户访问文件夹。因为文件的位置看起来仍然相同,所以他们仍然以与以前相同的方式访问文件夹。

用户不再需要多个驱动器映射来访问文件。

最后,计划文件服务器维护、软件升级和其他任务(一般需要服务器脱机)可以在不中断用户访问的情况下完成。这对 Web 服务器特别有用。通过选择 Web 站点的根目录作为 DFS 根目录,可以在分布式文件系统中移动资源,而不会断开任何 HTML 链接。

可用性

基于域的 DFS 以两种方法确保用户保持对文件的访问:

首先,Windows 2000 自动将 DFS 拓扑发布到 Active Directory。这确保 DFS 拓扑对域中所有服务器上的用户总是可见的。

其次,作为管理员,您可以复制 DFS 根目录和 DFS 共享文件夹。复制意味着可以在域中的多个服务器上复制 DFS 根目录和 DFS 共享文件夹。这样,即使这些文件驻留的一个物理服务器不可用,用户将仍然可以访问文件。

服务器负载平衡

DFS 根目录可以支持物理上通过网络分布的多个 DFS 共享文件夹。这一点很有用,例如,当您有一个知道用户将大量访问的文件时。并非所有的用户都在单个服务器上物理地访问此文件,这将会增加服务器的负担,DFS 确保访问文件的用户分布于多个服务器。然而,在用户看来,文件驻留在网络上的相同位置。



分布式文件系统拓扑

分布式文件系统 (DFS) 拓扑由 DFS 根目录、一个或多个 DFS 链接、一个或多个 DFS 共享文件夹,或每个 DFS 所指的副本组成。

DFS 根目录所驻留的域服务器被称为“宿主服务器”。通过在域中的其他服务器上创建“根目录共享”,可以复制 DFS 根目录。这将确保在宿主服务器不可用时,文件仍可使用。

对于用户,DFS 拓扑对所需网络资源提供统一和透明的访问。对于系统管理员,DFS 拓扑是单个 DNS 名称空间:使用基于域的 DFS,将 DFS 根目录共享的 DNS 名称解析到 DFS 根目录的宿主服务器。

因为基于域的分布式文件系统的宿主服务器是域中的成员服务器,在默认情况下,会将 DFS 拓扑自动发布到 Active Directory 中,因而提供了跨越主服务器的 DFS 拓扑同步。这反过来又对 DFS 根目录提供了容错性,并支持 DFS 共享文件夹的可选复制。

通过将 DFS 链接添加到 DFS 根目录,可以扩展 DFS 拓扑。对 DFS 拓扑中分层结构的层数的唯一限制是对任何文件路径最多使用 260 个字符。新 DFS 链接可以引用共享文件夹或子文件夹,或整个 Windows 2000 卷。如果您有足够的权限,则也可以访问任何本地子文件夹,该子文件夹存在于或被添加到 DFS 共享文件夹中。



分布式文件系统和安全性

除了创建必要的管理员权限之外,分布式文件系统 (DFS) 服务不实施任何超出 Windows 2000 系统所提供的其他安全措施。指派到 DFS 根目录或 DFS 链接的权限决定可以添加新 DFS 链接的用户。

共享文件的权限与 DFS 拓扑无关。例如,假定有一个名为 MarketingDocs 的 DFS 链接,并且有适当的权限可以访问 MarketingDocs 所指的特殊 DFS 共享文件夹。在这种情况下,您就可以访问该 DFS 文件夹组中所有其他 DFS 共享文件夹,而不管是否有访问其他共享文件夹的权限。然而,有权访问这些共享文件夹的权限决定您是否访问文件夹中的任何信息。此访问由标准 Windows 2000 安全控制台决定。

总之,当用户尝试访问 DFS 共享文件夹和它的内容时,以下文件系统将强制安全性。因此,FAT 卷提供文件上的共享级安全,而 NTFS 卷提供了完整的 Windows 2000 安全性。

Win2000中文笔记 之 网络与协议




只安装并启用您需要的网络协议。

限制计算机上的协议数可以提高网络性能并减少网络通信。

如果 Windows 2000 遇到网络连接的问题,它将尝试使用每一个已安装的网络协议建立连接。通过仅安装和启用系统能够使用的协议,Windows 2000 就不会尝试使用它不能使用的协议进行连接,并且更加有效地返回状态信息。

 

网际协议安全 (IPSec)

IPSec 作为安全网络的长期方向,是基于密码学的保护服务和安全协议的套件。因为它不需要更改应用程序或协议,您可以很容易地给现有网络部署 IPSec。

IPSec 对使用 L2TP 协议的 VPN 连接提供机器级身份验证和数据加密。在保护密码和数据的 L2TP 连接建立之前,IPSec 在计算机及其远程隧道服务器之间进行协商。

L2TP 使用标准的基于 PPP 的身份验证协议,例如 EAP、MS-CHAP、CHAP、SPAP,以及使用 IPSec 的 PAP。

加密是由 IPSec 安全协会(即 SA)决定的。安全关联是由目标地址、安全协议和唯一的身份验证值组合而成的,称为安全参数索引 (SPI)。可用的加密包括:

具有 56 位密钥的数据加密标准 (DES),可用于世界范围,但受美国关于出口加密法规的限制。

有 56 位密钥的三倍 DES (3DES),是专门为北美高度安全的环境而设计的

 

Windows 2000 身份验证

Windows 2000 身份验证包括两个部分:交互式登录过程和网络身份验证过程。用户身份验证的成功与否同时取决于这两个过程。

交互式登录过程

交互式登录过程确认用户对于域帐户或本地计算机的身份。根据用户帐户类型的不同,交互式登录过程也不同:

若持有域帐户,用户可以通过存储在 Active Directory 中的单方签名凭据使用密码或智能卡登录到网络。通过使用域帐户登录,被授权的用户可以访问该域和任何信任域中的资源。如果使用密码登录到域帐户,Windows 2000 将使用 Kerberos V5 进行身份验证。如果使用智能卡,Windows 2000 将使用 Kerberos V5 身份验证和证书。

若持有本地计算机帐户,用户可以通过存储在安全帐户管理器 (SAM)(也是本地安全帐户数据库)中的凭据登录到本地计算机。任何工作站或成员服务器均可以存储本地用户帐户,但这些帐户只能用于访问该本地计算机。

网络身份验证过程

网络身份验证确认用户对于试图访问的任意网络服务的身份。为了提供这种类型的身份验证,Windows 2000 安全系统支持多种身份验证机制,包括 Kerberos V5、安全套接字层/传输层安全 (SSL/TLS),以及为了与 Windows NT 4.0 兼容而支持的 LAN Manager。

使用域帐户的用户看不到网络身份验证。使用本地计算机帐户的用户在每次访问网络资源时都必须提供凭据(例如用户名和密码)。通过使用域帐户,用户就具有了凭据,该凭据被自动用作单方签名。

X.25 网络使用包交换协议、绕过有噪音的电话线路传输数据。该协议依赖于具有包转送节点的包罗万象的广域网,这些节点可以参与将 X.25 数据包传递到指定的地址。

连接点服务 (CPS) 是 Windows 2000 的一个组件,它为 Internet 服务提供商 (ISP) 和公司提供了自动更新常驻在雇员或 Internet 用户客户机中的通讯簿文件的能力。这些通讯簿文件与 Microsoft 连接管理器 (CM)(也是常驻于客户机上的可配置连接软件)一同工作。

TCP/IP

应用层:定义了 TCP/IP 应用协议以及主机程序与要使用网络的传输层服务之间的接口。 HTTP、Telnet、FTP、TFTP、SNMP、DN、SMTP、X-Window 以及其他应用协议

传输层:提供主机之间的通讯会话管理。定义了传输数据时的服务级别和连接状态。 TCP、UDP、RTP

Internet层:将数据装入 IP 数据报,包括用于在主机间以及经过网络转发数据报时所用的源和目标的地址信息。实现 IP 数据报的路由。 IP、ICMP、ARP、RARP

网络接口层:指定如何通过网络物理地发送数据,包括直接与网络媒体(如同轴电缆、光纤或双绞铜线)接触的硬件设备如何将比特流转换成电信号。以太网、令牌环、FDDI、X.25、帧中继、RS-232、v.35

网际协议安全

网际协议安全 (IPSec) 是一组 Internet 标准,使用加密安全服务提供:

机密

IPSec 通信是经过加密的。如果不知道加密密钥,捕获的 IPSec 通信也是无法知道的。

身份验证

IPSec 通信是经过数字签名的,带有共享的加密钥匙,因此接收者可以验证它是由 IPSec 端发送的。

数据完整性

IPSec 通信包含合并到加密钥匙中的加密求校验和。接收方可以确认数据包在传输中是否没有被修改

TCP/IP 筛选

使用 TCP/IP 筛选,在 Windows NT 4.0 中叫做“TCP/IP 安全”的功能,您可以为每个 IP 接口严格指定所处理的传入 TCP/IP 通讯类型。这个功能设计用于隔离 Internet 或 Intranet 服务器所处理的通信,在没有“路由和远程访问”服务或其他 TCP/IP 应用程序或服务提供 TCP/IP 筛选的情况下。TCP/IP 筛选默认是禁用的。

TCP/IP 筛选是用于入站本地主机 TCP/IP 通讯的一组筛选器。因为入站 TCP/IP 通讯的目标 IP 地址编成指定的端口地址、适当的子网广播地址或多播地址,因此本地主机通讯是由主机处理的通讯。TCP/IP 筛选不适用于接口之间转发的路由通讯。

使用 TCP/IP 筛选,您可以限制本地主机的入站 TCP/IP 通讯,根据:

目标 TCP 端口

目标 UDP 端口

IP 协议

 

地址解析协议 (ARP)

“地址解析协议 (ARP)”是所需的 TCP/IP 标准,在 RFC 826“地址解析协议 (ARP)”中定义。ARP 把基于 TCP/IP 的软件使用的 IP 地址解析成局域网硬件使用的媒体访问控制地址。ARP 对同一物理网络上的主机提供以下协议服务:

通过网络广播请求获得媒体访问控制地址,询问“配置成所附 IP 地址的设备的媒体访问控制地址是什么?”

回应 ARP 请求时,ARP 回复的发送者和原始 ARP 请求者都将彼此的 IP 地址及媒体访问控制地址记录成被称为 ARP 缓存的本地表中的项目,以便将来引用。

 

硬件寻址

在局域网上使用的硬件必须包含厂商为该设备安排的唯一地址。对于以太网和令牌环局域网硬件,这个地址称作媒体访问控制地址。

每个媒体访问控制地址用编入每个物理硬件设备(入网卡)只读内存 (ROM) 的 6 字节数字标识物理网络中的设备。媒体访问控制地址通常用十六进制表示(如 00-AA-00-3F-89-4A)。

媒体访问控制地址的授权和注册是由 IEEE 监督。当前,对单个厂商 IEEE 为媒体访问控制地址的前三个字节注册和分配唯一的数字。然后每个制造商可以对单个网卡分配媒体访问控制地址的后三个字节。



ARP 如何为本地通讯解析媒体访问控制地址

在此例中,两个 TCP/IP 主机,主机 A 和主机 B,都位于同一个物理网络上。主机 A 分配的 IP 地址是 10.0.0.99,主机 B 分配的 IP 地址是 10.0.0.100。

当主机 A 要与主机 B 通讯时,以下步骤可以将主机 B 软件指定的地址 (10.0.0.100) 解析成主机 B 硬件指定的媒体访问控制地址:

1、根据主机 A 上的路由表内容,IP 确定用于访问主机 B 的转发 IP 地址是 10.0.0.100。然后 A 主机在自己的本地 ARP 缓存中检查主机 B 的匹配硬件地址。

2、如果主机 A 没有在缓存中找到映射,则对本地网络上的所有主机广播 ARP 请求帧,询问“10.0.0,100 的硬件地址是什么?”源(主机 A)的硬件和软件地址都包括在 ARP 请求中。

本地网络上的每个主机都收到 ARP 请求并检查是否与自己的 IP 地址匹配。如果主机发现不匹配,则放弃该 ARP 请求。

3、主机 B 确定 ARP 请求中的 IP 地址与自己的 IP 地址匹配,将主机的硬件/软件地址映射添加到本地 ARP 缓存中。

4、主机 B 将包含其硬件地址的 ARP 回复消息直接发送回主机 A。

5、当主机 A 收到从主机 B 发来的 ARP 回复消息时,会用主机 B 的硬件/软件地址映射更新 ARP 缓存。

主机 B 的媒体访问控制地址一旦确定,主机 A 就能向主机 B 发送 IP 通讯,为它找到主机的媒体访问控制地址。

 

ARP 如何为远程通讯解析媒体访问控制地址

ARP 还用于为不在本地网络上的目标而向本地路由器转发 IP 数据报。在这种情况下,ARP 解析本地网络上的路由器接口的媒体访问控制地址。

在此范例中,主机 A 分配的 IP 地址是 10.0.0.99,主机 B 使用的 IP 地址是 192.168.0.99。路由器接口 1 与主机 A 在同一物理网络上,使用的 IP 地址是 10.0.0.1。路由器接口 2 与主机 B 在同一物理网络上,使用的 IP 地址是 192.168.0.1。

当主机 A 要与主机 B 通讯时,以下步骤可以将路由器接口软件指定的地址 (10.0.0.1) 解析成硬件指定的媒体访问控制地址:

1、根据主机 A 上的路由表内容,IP 确定用于访问主机 B 的转发 IP 地址是 10.0.0.1,即默认网关的 IP 地址。然后主机 A 在自己的本地 ARP 缓存中检查与 10.0.0.1 匹配的硬件地址。

2、如果主机 A 没有在缓存中找到映射,则对本地网络上的所有主机广播 ARP 请求帧,询问“10.0.0.1 的硬件地址是什么?”源(主机 A)的硬件和软件地址都包括在 ARP 请求中。

本地网络上的每个主机都收到 ARP 请求并检查是否与自己的 IP 地址匹配。如果主机发现不匹配,则放弃该 ARP 请求。

3、路由器确定 ARP 请求中的 IP 地址与自己的 IP 地址匹配,并将主机 A 的硬件/软件地址映射添加到本地 ARP 缓存中。

4、然后路由器将包含其硬件地址的 ARP 回复消息直接发送回主机 A。

5、当主机 A 收到从路由器发来的 ARP 回复消息时,用 10.0.0.1 的硬件/软件地址映射更新它的 ARP 缓存。

路由器接口 1 的媒体访问控制地址一旦确定,主机 A 就能向路由器发送 IP 通讯,为它找到路由接口 1 的媒体访问控制地址。然后路由器向主机转发通讯,ARP 过程与 ARP 如何为本地通讯解析媒体访问控制地址中讨论的相同。

 

ARP 缓存

为使广播量最小,ARP 维护 IP 地址到媒体访问控制地址映射的缓存以便将来使用。ARP 缓存可以包含动态和静态项目。动态项目随时间推移自动添加和删除。静态项目一直保留在缓存中,直到重新启动计算机为止。

每个动态 ARP 缓存项的潜在生命周期是十分钟。新加到缓存中的项目带有时间戳。如果某个项目添加后两分钟内没有再使用,则此项目过期并从 ARP 缓存中删除。如果某个项目已在使用,则又收到两分钟的生命周期。如果某个项目始终在使用,则会另外收到两分钟的生命周期,一直到十分钟的最长生命周期。

可以使用 arp 命令查看 ARP 缓存。要查看运行 Windows 2000 的计算机上的 ARP 缓存,请在 Windows 2000 命令提示符下键入 arp -a。要查看 arp 命令行选项,请键入 arp /?。

 

网际协议 (IP)

IP 是所需的 TCP/IP 标准,在 RFC 791“网际协议 (IP)”中定义。IP 是无连接的、不可靠的数据报协议,主要负责在主机之间寻址和选择数据包的路由。

无连接意味着交换数据之前不能建立会话。不可靠意味着传递没有担保。IP 总是尽力传递数据包。IP 数据包可能丢失、不按顺序传递、重复或延迟。IP 不尝试从这些错误类型中恢复。所传递的数据包的确认以及丢失数据包的恢复是更高层协议的责任,如 TCP。

IP 数据包,也称作 IP 数据报,由 IP 报头和 IP 负载组成

 

网际消息协议 (ICMP)

“网际消息协议 (ICMP)”是所需的 TCP/IP 标准,在 RFC 792“网际消息协议 (ICMP)”中定义。通过 ICMP,使用 IP 通讯的主机和路由器可以报告错误并交换受限控制和状态信息。

在下列情况中,通常自动发送 ICMP 消息:

IP 数据报无法访问目标。

IP 路由器(网关)无法按当前的传输速率转发数据报。

IP 路由器将发送主机重定向为使用更好的到达目标的路由。

不同类型的 ICMP 消息在 ICMP 标题中标识。由于 ICMP 消息是在 IP 数据报中携带的,因此不可靠。



网际分组管理协议 (IGMP)

TCP/IP 网络中 IP 多播的使用是作为 RFC 1112“网际分组管理协议 (IGMP)”中的 TCP/IP 标准定义的。

什么是 IP 多播?

多播 IP 通讯被发送到单个地址,但是由多个主机处理。IP 多播与时事通讯的订阅类似。如果在时事通讯发行时只有订阅人收到,那么只有数据多播组的主机接收并处理发送到组保留 IP 地址的 IP 通讯。在特定 IP 多播地址上监听的主机组叫做多播组。

IP 多播的其他重要方面包括以下内容:

组成员是动态的,允许主机在任何时候加入或离开组。

主机加入多播组的能力是通过发送 IGMP 消息执行的。

组不受大小的限制,成员可以扩展到多个 IP 网络(如果连接路由器支持传播 IP 多播通讯和组成员信息)。

主机可以向组 IP 地址发送 IP 通讯,而不必属于对应的组。

多播寻址

IP 多播地址是在 224.0.0.0 到 239.255.255.255 的 D 类地址范围内保留和分配的。下表是部分已知的 Windows 2000 组件使用的 D 类地址,它们是为 IP 多播保留的并由指定的 Internet 编号机构 (IANA) 注册的。



用户数据报协议 (UDP)

用户数据报协议 (UDP) 是 TCP/IP 标准,在 RFC 768“用户数据报协议 (UDP)”中定义。

UDP 提供尽量传递的无连接数据报服务,这意味着 UDP 无法保证任何数据报的传递或验证数据报的顺序。需要可靠通讯的源主机必须使用 TCP 或提供自身顺序和确认服务的程序。

UDP 消息在 IP 数据报中封装和发送

UDP 端口

UDP 端口提供了发送和接收 UDP 消息的位置。UDP 端口作为单独消息队列工作,接收由每个协议端口号所指定的程序想要的所有数据报。这意味着基于 UDP 的程序可以每次接收多个消息。

使用 UDP 的每个程序的服务器端都要对到达已知端口号的消息进行监听。所有小于 1024(和一些更大的数字)的 UDP 服务器端口号都是“指定的 Internet 编号机构 (IANA)”保留和注册的。

每个 UDP 服务器端口用保留的或已知的端口号来标识。下表是标准 UDP 程序使用的已知 UDP 服务器端口号的部分列表。

53 DNS名称查询

69 零碎文件传输协议 (TFTP)

137 NetBIOS 名称服务

138 NetBIOS 数据报服务

161 简单网络管理协议 (SNMP)

520 路由信息协议 (RIP)

 

UDP 和 TCP

通常,UDP 和 TCP 传递数据的差异类似于电话和明信片之间的差异。TCP 就象电话,必须先验证目标是否可以访问后才准备通讯。UDP 就象明信片,信息量很小而且每次传递成功的可能性很高,但是不能完全保证传递成功。

UDP 通常由每次传输少量数据或有实时需要的程序使用。在这些情况下,UDP 的低开销和多播能力(如一个数据报,多个接收者)比 TCP 更适合。

UDP 与 TCP 提供的服务和功能直接对比。下表比较了根据是否使用 UDP 或 TCP 传输数据处理 TCP/IP 通讯的差异。

UDP无连接的服务;在主机之间不建立会话。 TCP面向连接的服务;在主机之间建立建立会话。

UDP 不能确保或承认数据传递或序列化数据。 TCP 通过确认和按顺序传递数据来确保数据的传递。

使用 UDP 的程序负责提供传输数据所需的可靠性。使用 TCP 的程序能确保可靠的数据传输。

UDP 非常快速,具有低开销要求,并支持点对点和一点对多点的通讯。 TCP 比较慢,有更高的开销要求,而且只支持点对点通讯。

 

传输控制协议 (TCP)

传输控制协议 (TCP) 是所需的 TCP/IP 标准,在 RFC 793“传输控制协议 (TCP)”中定义,提供可靠的、面向连接的数据报传递服务。传输控制协议:

确保 IP 数据报的成功传递。

对程序发送的大块数据进行分段和重组。

确保正确排序以及按顺序传递分段的数据。

通过计算校验和,进行传输数据的完整性检查。

根据数据是否接收成功发送正消息。通过有选择的确认,也对没有收到的数据发送负确认。

为必须使用可靠的基于会话的数据传输的程序,如客户/服务器数据库和电子邮件程序,提供首选方法。



TCP 工作原理

TCP 基于两个网络主机之间的点对点通讯。TCP 从程序接收数据并将数据处理成字节流。字节分成段,然后 TCP 对段编号和排序以便传递。

在两个 TCP 主机可以交换数据之前,必须先相互建立会话。TCP 会话通过三路握手的过程初始化。这个过程使序号同步,并提供在两个主机之间建立虚拟连接所需的控制信息。

一旦初始的三路握手完成,在发送和接收主机之间按顺序发送和确认段。关闭连接之前 TCP 使用类似的握手过程验证两个主机都完成发送和接收全部数据。

TCP 段在 IP 数据报中封装和发送

 

TCP 端口

TCP 端口使用特定的程序端口来传递使用“传输控制协议 (TCP)”发送的数据。TCP 端口最复杂,与 UDP 端口操作不同。

尽管 UDP 端口对于基于 UDP 的通讯作为单一消息队列和网络端点来操作,但是所有 TCP 通讯的终点都是唯一的连接。每个 TCP 连接由两个端点唯一识别。

由于所有 TCP 连接由两对 IP 地址和 TCP 端口唯一识别(每个所连主机都有一个地址/端口对),因此每个 TCP 服务器端口都能提供对多个连接的共享访问。

使用 TCP 端口的每个程序的服务器端都对到达已知端口号的消息进行监听。所有小于 1024(和一些更高的数)的 TCP 服务器端口号都是指定的 Internet 编号机构 (IANA)保留和注册的。

下表是标准 TCP 程序使用的一些已知的 TCP 服务器端口的部分列表。

TCP 端口号 说明

20 FTP 服务器(数据通道)

21 FTP 服务器(控制通道)

23 Telnet 服务器

53 域名系统区域传送

80 Web 服务器 (HTTP)

139 NetBIOS 会话服务



IP 寻址

每个 TCP/IP 主机由逻辑 IP 地址标识。这个地址对每个使用 TCP/IP 通讯的主机来说是唯一的。每个 32 位 IP 地址标识网络上的系统的位置,就象街道地址标识城市街道上的住宅一样。

就象街道地址的标准格式是两部分(街道名和住宅号)一样,每个 IP 地址内部分成两部分,网络 ID 和主机 ID:

网络 ID,也叫做网络地址,标识大规模 TCP/IP 网际网络(由网络组成的网络)内的单个网段。连接到并共享访问同一网络的所有系统在其完整的 IP 地址内都有一个公用的网络 ID。这个 ID 也用于唯一地识别大规模的网际网络内部的每个网络。

主机 ID,也叫做主机地址,识别每个网络内部的 TCP/IP 节点(工作站、服务器、路由器或其他 TCP/IP 设备)。每个设备的主机 ID 唯一地识别所在网络内的单个系统。

下面是一个 32 位 IP 地址的范例:

10000011 01101011 00010000 11001000

要简化 IP 寻址,IP 地址用带句点的十进制符号表示。32 位 IP 地址分成四个八位字节。八位字节数转换成十进制数(基数是 10 的编号系统),并用英文句号分隔。因此,前面的 IP 地址范例转换成带句点的十进制数就是 131.107.16.200。

 

子网掩码

IP 地址内的网络 ID 和主机 ID 用子网掩码区分。每个子网掩码都是一个 32 位数,使用连续的都是 1 的位组标识网络 ID,都是 0 的位组标识 IP 地址的主机 ID。

例如,IP 地址 131.107.16.200 通常使用子网掩码是以下 32 位二进制数:

11111111 11111111 00000000 00000000

该子网掩码是 16 个都是 1 的位,后跟 16 个都是 0 的位,表示 IP 地址的网络 ID 和主机 ID 长度上都是 16 位。通常,该子网掩码显示成带点的十进制符号 255.255.0.0。



IP 路由

在通常的术语中,路由就是在所连网络之间转发数据包的过程。对于基于 TCP/IP 的网络,路由是部分网际协议 (IP),与其他网络协议服务结合使用提供在基于 TCP/IP 的大型网络中单独网段上的主机之间互相转发的能力。

IP 是 TCP/IP 协议的“邮局”,负责对 IP 数据进行分检和传递。每个传入或传出数据包叫做一个 IP 数据报。IP 数据报包含两个 IP 地址:发送主机的源地址和接收主机的目标地址。与硬件地址不同,数据报内部的 IP 地址在 TCP/IP 网络间传递时保持不变。

路由是 IP 的主要功能。通过使用 Internet 层的 IP,IP 数据报在每个主机上进行交换和处理。

在 IP 层的上面,源主机上的传输服务向 IP 层用 TCP 段或 UDP 消息的形式传送源数据。IP 层使用在网络上传递数据的源和目标的地址信息装配 IP 数据报。然后 IP 层将数据报向下传送到网络接口层。在这一层,数据链路服务将 IP 数据报转换成在物理网络的网络特定媒体上传输的帧。这个过程在目标主机上按相反的顺序进行。

每个 IP 数据报都包含源和目标的 IP 地址。每个主机上的 IP 层服务检查每个数据报的目标地址,将这个地址与本地维护的路由表相比较,然后确定下一步的转发操作。IP 路由器连接到能够互相转发数据包的两个或更多 IP 网段上。以下部分进一步详细讨论 IP 路由器及路由表的使用。



路由表

TCP/IP 主机使用路由表维护有关其他 IP 网络及 IP 主机的信息。网络和主机用 IP 地址和子网掩码来标识。另外,由于路由表对每个本地主机提供关于如何与远程网络和主机通讯的所需信息,因此路由表是很重要的。

对于 IP 网络上的每台计算机,可以使用与本地计算机通讯的其他每个计算机或网络的项目来维护路由表。通常这是不实际的,因此可改用默认网关(IP 路由器)。

当计算机准备发送 IP 数据报时,它将自己的 IP 地址和接收者的目标 IP 地址插入到 IP 报头。然后计算机检查目标 IP 地址,将它与本地维护的 IP 路由表相比较,根据比较结果执行相应操作。该计算机执行以下三种操作之一:

将数据报向上传到本地主机 IP 之上的协议层。

经过其中一个连接的网络接口转发数据报。

丢弃数据报。

IP 在路由表中搜索与目标 IP 地址最匹配的路由。从最精确的路由到最不精确的路由,按以下顺序排列:

与目标 IP 地址匹配的路由(主机路由)。

与目标 IP 地址的网络 ID 匹配的路由(网络路由)。

默认路由。

如果没有找到匹配的路由,则 IP 丢弃该数据报。



跃点数

跃点数表示使用路由的开销,通常是到 IP 目标位置的跃点数目。本地子网上的任何东西都是一个跃点,其后经过的每个路由器是另一个跃点。如果到同一目标有不同跃点数的多个路由,则选择跃点数最低的路由。



名称解析

由于 IP 设计成处理源和目标主机的 32 位 IP 地址,因此计算机可以被那些不擅于使用和记住要通讯的计算机的 IP 地址的人使用。人们更擅于使用和记住名称,而不是 IP 地址。

如果名称被用作 IP 地址的别名,则您需要确保名称是唯一的,而且能解析成正确的 IP 地址。



主机名解析

主机名解析意味着成功地将主机名映射为 IP 地址。主机名是分配给 IP 节点标识 TCP/IP 主机的别名。主机名最多可以有 255 个字符,可以包含字母和数字符号、连字符和句点。可以对同一主机分配多个主机名。

Windows 套接字 (Winsock) 程序,如 Internet Explorer 和 FTP 实用程序,可以使用待连接目标的两个值中的一个:IP 地址或主机名。指定 IP 地址时,不需要名称解析。指定主机名时,在开始与所需资源进行基于 IP 的通讯之前主机名必须解析成 IP 地址。

主机名可以采用不同的形式。两种最通用的形式是昵称和域名。昵称是个人指派并使用的 IP 地址的别名。域名是在称为“域名系统 (DNS)”的分层结构名称空间中的结构化名称。www.microsoft.com/ 就是域名的一个典型范例。

域名是通过向所配置的 DNS 服务器发送 DNS 名称查询而解析的。DNS 服务器是存储域名或 IP 地址映射记录或知道其他 DNS 服务器的计算机。DNS 服务器把要查询的域名解析成 IP 地址,然后再发送回去。

需要对运行 Windows 2000 的计算机配置 DNS 服务器的 IP 地址,以便解析域名。必须对基于 Active Directory 运行 Windows 2000 的计算机配置 DNS 服务器的 IP 地址。



NetBIOS 名称解析

NetBIOS 名称解析意味着成功地将 NetBIOS 名称映射成 IP 地址。NetBIOS 名称是用于标识网络上的 NetBIOS 资源的 16 字节地址。NetBIOS 名称要么是唯一的(独占),要么是组(非独占)名称。当 NetBIOS 进程与特定计算机上的特定进程通讯时,会使用唯一名称。当 NetBIOS 进程与多台计算机上的多个进程通讯时,会使用组名称。

一个使用 NetBIOS 名称的进程范例就是运行 Windows 2000 的计算机上的“Microsoft 网络的文件和打印机共享”服务。启动计算机时,该服务器根据计算机名注册唯一的 NetBIOS 名称。服务使用的准确名称是 15 个字符的计算机名加上第 16 个字符 0x20。如果计算机名不是 15 个字符长,则插入空格一直到长度为 15 个字符为止。

当您尝试与运行 Windows 2000 的计算机通过名称建立共享文件连接时,在指定的文件服务器上的“Microsoft 网络的文件和打印机共享”服务对应于特定的 NetBIOS 名称。例如,当您尝试连接称为 CORPSERVER 的计算机时,与那台计算机上的“Microsoft 网络的文件和打印机共享”服务相应的 NetBIOS 名称是:

CORPSERVER [20]

注意用空格填充计算机名。建立文件和打印共享连接之前,必须先创建 TCP 连接。要建立 TCP 连接,NetBIOS 名称 "CORSERVER [20]" 必须解析成 IP 地址。

NetBIOS 名称解析成 IP 地址的确切机制根据为 NetBIOS 节点配置的节点类型而定。RFC 1001,“TCP/UDP 传输上的 NetBIOS 服务的协议标准:概念和方法”定义了 NetBIOS 的节点类型,如下表所列。



WINS 服务器

WINS 服务器可以存储并将 NetBIOS 名称解析成 IP 地址。当 TCP/IP 主机配置 WINS 服务器的 IP 地址时,TCP/IP 主机在 WINS 服务器上注册其 NetBIOS 名称,然后向用于解析的 WINS 服务器发送 NetBIOS 名称查询。网络中有多个网段或者计算机不是基于 Active Directory(例如,计算机运行 Windows NT 4.0、Windows 95 和 Windows 98)时,强力推荐使用 WINS 服务器。

不需要为由一个网段组成的网络配置 WINS 服务器。



动态配置

通过使用 DHCP,启动计算机时将自动并动态执行 TCP/IP 配置。动态配置要求配置 DHCP 服务器。默认情况下,运行 Windows 2000 的计算机是 DHCP 客户机。通过正确配置 DHCP 服务器,TCP/IP 主机可以获得 IP 地址、子网掩码、默认网关、DNS 服务器、NetBIOS 节点类型以及 WINS 服务器的配置信息。对于中型到大型 TCP/IP 网络,推荐使用动态配置(使用 DHCP)。



使用网关的原因

默认网关对于有效地运行 IP 路由非常重要。在多数情况下,充当 TCP/IP 主机的默认网关的路由器(指定的路由器或者连接两个或更多网段的计算机)包含大型网络中其他网络的信息以及如何访问的信息。

TCP/IP 主机依赖默认网关来满足大多数与远程网段上的主机通讯的需要。这样,单独主机就免去了需要维护单独远程 IP 网段的广泛而持续的信息更新的负担。只有充当默认网关的路由器才需要维护访问大型互联网络中的远程网段这个级别上的路由信息。

如果默认网关出现故障,则本地网段之外的通讯可能会减弱。为了防止发生这种情况,您可以对每个连接都使用“高级 TCP/IP 设置”对话框(在“网络和拨号连接”中)来指定多个默认网关。也可以使用 route 命令手动向路由表添加经常使用的主机或网络的路由。

Win2000中文笔记 之 DNS



为添加到 DNS 服务器或在 DNS 服务器上管理的每个区域输入负责人的正确电子邮件地址。

由于各种原因,应用程序使用该字段来通知 DNS 管理员。例如,查询错误、查询中返回的错误数据以及安全问题是该字段可使用的几种方式。由于在电子邮件应用程序中使用的大多数 Internet 电子邮件地址包含 at 符号 (@),因此在为该字段输入电子邮件地址时这些符号必须用句点 (.) 替换。例如,应使用“example.microsoft.com”而不是“example@microsoft.com”。



如果要使用 Active Directory,为了使区域获得最佳效果并简化配置和疑难解答,请使用目录集成存储。

通过与区域的集成,您可以简化网络的规划。例如,每个 Active Directory 域的域控制器在直接一对一映射中与 DNS 服务器对应。因为在两种拓扑结构中都使用相同的服务器计算机,这可以简化 DNS 及 Active Directory 复制问题的规划及疑难解答。

如果 DNS 客户机运行的是 Windows 2000,那么在 DNS 中配置客户机以执行 DNS 动态更新的工作也可简化。例如,在为要使用的每台客户机配置首选和备用 DNS 服务器列表时,您只需要使用靠近每台客户机的相应域控制器的服务器 IP 地址。如果客户机不能用它的首选服务器进行更新(因为该服务器不能用),则可尝试备用服务器。它允许客户机在加载目录集成 DNS 区域的另一台服务器上成功更新其记录。

如果您没有使用 Active Directory,请注意将动态更新与标准主要类型区域一起使用时的故障点和配置问题。

如果您没有使用 Active Directory,则需要标准主要类型区域来创建和管理 DNS 名称空间中的区域。在这种情况下,将采用单主机更新型号,并指派一台 DNS 服务器作为区域的主服务器。正如区域 SOA 记录属性中所确定的那样,只有主服务器可处理区域的更新。

因此,请务必将客户机配置成使用可靠而且可处理和查阅更新的首选 DNS 服务器。否则,客户机便不能成功地更新其主机 (A) 或指针 (PTR) 资源记录 (RR)。



要为带有静态配置 IP 地址的客户机配置 DNS,您可能需要配置如下选项:

客户机的 DNS 主机名(或名称)。

客户机用来帮助解析 DNS 域名的主要和备用 DNS 服务器。

附加的供完善不合格 DNS 名称使用的后缀列表,用于在客户机上搜索和提交要解析的 DNS 查询。

连接特有的动态更新和注册行为,如客户机上安装的特定网卡是否向 DNS 服务器动态注册它配置的 IP 地址。



DNS 定义

DNS 是域名系统 (Domain Name System) 的缩写,是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于 TCP/IP 网络,如 Internet,用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与此名称相关的其他信息,如 IP 地址。

例如,多数用户喜欢使用友好的名称(例如 example.microsoft.com)来定位诸如网络上的邮件服务器或 Web 服务器这样的计算机。友好的名称更容易记住。但是,计算机使用数字地址在网络上通讯。为了更方便地使用网络资源,诸如 DNS 的名称服务提供了一种方法,将用户友好的计算机或服务名称映射为数字地址。如果您使用过 Web 浏览器,则应该也使用了 DNS。

DNS 工具

Windows 2000 提供了一些管理和监视 DNS 服务器和客户机以及解决其系统问题的实用程序。包括:

DNS 控制台,是管理工具的一部分。

命令行实用程序,如 Nslookup,可用于发现和解决 DNS 的问题。

日志功能,如 DNS 服务器日志,可以使用事件查看器查看日志。基于文件的日志还可以暂时用作高级调试选项以记录和跟踪所选的服务事件。

性能监视实用程序,如统计信息记数器,可以使用系统监视器测量和监视 DNS 服务器的活动。



DNS 控制台

用于管理 Windows 2000 DNS 服务器的主要工具是 DNS 控制台,它在控制面板中的“管理工具”文件夹中提供。DNS 控制台显示为 Microsoft 管理控制台 (MMC) 管理单元,以便进一步地将 DNS 管理集成到您的所有网络管理中。

安装完 DNS 服务器之后,可以使用 DNS 控制台执行这些基本的管理服务器任务:

对新的 DNS 服务器进行初始配置。

连接并管理同一计算机上的本地 DNS 服务器,或其他计算机上的远程 DNS 服务器。

根据需要添加和删除正向和反向搜索区域。

添加、删除和更新区域中的资源记录。

修改服务器之间区域存储和复制的方式。

修改服务器处理查询和动态更新的方式。

修改特定区域或资源记录的安全性。

此外,您还可以使用 DNS 控制台执行以下任务:

执行维护服务器的任务。您可以启动、停止、暂停或恢复运行服务器,或者手动更新服务器数据文件。

监视服务器缓存的内容,如果需要,可以清除它。

调试高级服务器选项。

配置和执行存储在服务器中的陈旧资源记录的老化和清理工作。



DNS 域名

域名系统 (DNS) 最初在 RFC 1034 和 1035 中定义。这些 RFC 文档指定与 DNS 相关软件的所有实现系统共有的元素,包括:

DNS 域名称空间,它指定用于组织名称的域的层次结构。

资源记录,它将 DNS 域名映射到特定类型的资源信息,以供在名称空间中注册或解析名称时使用。

DNS 服务器,它存储和应答资源记录的名称查询。

DNS 客户端,也称作解析程序,它查询服务器来搜索以及将名称解析为查询中指定的资源记录类型。



缓存的工作原理

DNS 服务器采用递归或迭代来处理客户机查询时,它们将发现并获得已存储的有关 DNS 名称空间的重要信息。然后这些信息由服务器缓存。

缓存为流行名称的后续查询提供了加速 DNS 解析性能的方法,同时充分减少了网络上与 DNS 相关的查询通信量。

当 DNS 服务器代表客户机进行递归查询时,会暂时缓存资源记录 (RR)。缓存的 RR 包含从 DNS 服务器获得的信息,对于在进行迭代查询以搜索和充分应答代表客户机所执行的递归查询过程中所获知的 DNS 域名,此信息具有绝对的权威性。稍后,当其他客户机发出新的查询,申请与缓存的 RR 匹配的 RR 信息时,DNS 服务器可以使用缓存的 RR 信息来应答它们。

当信息缓存时,生存时间 (TTL) 值适用于所有缓存的 RR。只要缓存 RR 的 TTL 没有到期,在通过与这些 RR 相匹配的客户机来应答查询时,DNS 服务器就可继续缓存并再次使用 RR。在大部分区域配置中由 RR 所使用的缓存 TTL 值被分配了“最小的(默认)TTL”,它被设置用于区域的启动授权机构 (SOA) 资源记录。在默认情况下,最小的 TTL 为 3600 秒(1 小时),但是可进行调整,或者根据需要在每个 RR 上分别设置缓存 TTL。



反向搜索

在大部分的 DNS 搜索中,客户机一般执行正向搜索,正向搜索是基于存储在地址 (A) 资源记录中的另一台计算机的 DNS 名称的搜索。这类查询希望将 IP 地址作为应答的资源数据。

DNS 也提供反向搜索过程,允许客户机在名称查询期间使用已知的 IP 地址并根据它的地址搜索计算机名。反向搜索采取问答形式进行,如“您能告诉我使用 IP 地址 192.168.1.20 的计算机的 DNS 名称吗?”

DNS 最初在设计上并不支持这类查询。支持反向查询过程可能存在一个问题,即 DNS 名称空间组织和索引名称的方式及 IP 地址指派的方式不同。如果回答以前问题的唯一方式是在 DNS 名称空间中的所有域中搜索,则反向查询会花很长时间而且需要进行很多有用的处理。

为了解决该问题,在 DNS 标准中定义了特殊域 in-addr.arpa 域,并保留在 Internet DNS 名称空间中以提供实际可靠的方式来执行反向查询。为了创建反向名称空间,in-addr.arpa 域中的子域是通过 IP 地址带句点的十进制编号的相反顺序形式的。

因为与 DNS 名称不同,当 IP 地址从左向右读时,它们是以相反的方式解释的,所以对于每个八位字节值需要使用域的反序。从左向右读 IP 地址时,是从地址中第一部分的最一般信息(IP 网络地址)到最后八位字节中包含的更具体信息(IP 主机地址)。

因此,建立 in-addr.arpa 域树时,IP 地址八位字节的顺序必须倒置。这样安排以后,在向公司分配一组特定或有限的、且位于 Internet 定义的地址类别范围内的 IP 地址时,可为公司提供 DNS in-addr.arpa 树中的较低层分支的管理。

最后,在 DNS 中建立的 in-addr.arpa 域树要求定义其他资源记录 (RR) 类型,如指针 (PTR) RR。这种 RR 用于在反向搜索区域中创建映射,该反向搜索区域一般对应于其正向搜索区域中主机的 DNS 计算机名的主机 (A) 命名 RR。



更改服务器的主 DNS 域名

更改计算机的 DNS 域名时,更改服务器主 DNS 域名的能力可以取决于是否将计算机当作域控制器使用。

如果将服务器计算机作为域控制器运行,则服务器计算机的主 DNS 域名被设置成与将服务器升级为域控制器的 Active Directory 域的名称相同。要更改此名称,必须先将服务器降级,这样它就不再是域控制器了。对于在这种情况下更改父 DNS 域名的服务器,当它加入和离开 Active Directory 域时,为服务器添加和删除 A 和 PTR RR 的过程自动完成。在这种情况下,可能只需要对旧的 DNS 父域和新的 DNS 父域的名称服务器 (NS) RR 进行手动更新。

要更改没有使用 Active Directory 的 DNS 服务器计算机的 DNS 域名,如域成员服务器或独立服务器,则可能需要进行一些其他的更改和手动管理。例如,如果旧的 DNS 域名和新的 DNS 域名在两个不同的区域中,如区域 A (旧区域)和区域 B (新区域),则可能需要作如下更改:

在“系统”属性中更改“本计算机的主要 DNS 后缀”并重新启动计算机。

在区域 A 中,删除服务器的主机 (A) RR。

在区域 B 中,添加服务器的 A RR。

在包含重新命名的 DNS 服务器名称的区域中更新所有的起始授权机构 (SOA) 和名称服务器 (NS) RR。

2005/8/29 21:25

gipsky 于 2005年08月29日 21:48:41
应用扩展 工具箱


Re: Win2000中文笔记
网站管理员
注册日期:
1970/1/1 8:00
所属群组:
网站管理员
注册会员
帖子: 56
等级: 6; EXP: 34
HP : 0 / 133
MP : 18 / 19826
离线
Win2000中文笔记 之 DHCP




将 80/20 设计规则用于平衡地址的作用域分配,在这些地址上配置多个 DHCP 服务器来为相同域提供服务。

在相同子网上使用多个 DHCP 服务器将为它所服务的 DHCP 客户机提供更强的容错能力。共有两个 DHCP 服务器,如果一个服务器不可用,则另一个服务器可以取代它并继续租用新的地址或续订现有客户机。

在两个 DHCP 服务器之间平衡单个网络和地址作用域范围的通常作法是让一个 DHCP 服务器分配 80% 的地址,而剩余的 20% 则由第二个服务器提供。



在局域网环境中的每个子网上对多个 DHCP 服务器使用超作用域。

启动时,每个 DHCP 客户机将 DHCP 探索消息 (DHCPDISCOVER) 广播给本地子网以尝试查找 DHCP 服务器。由于 DHCP 客户机在初次启动期间使用广播,因此如果多个 DHCP 服务器在相同子网上活动,则您不能预见哪个服务器将对客户的 DHCP 探索请求进行响应。

例如,如果两个 DHCP 服务器为相同子网及其客户机提供服务,则可以在任一服务器上租用客户机。分配给客户机的实际租约可取决于哪个服务器首先响应任何给定的客户机。之后,当该客户机试图续订时,由客户机首先选定以获取租约的服务器可能无法使用。

如果续订失败,客户机然后可以将租约的续订推迟到它进入重新绑定状态以后。在这种状态下,客户机在子网上广播,以定位有效的 IP 配置并在网络上不中断地继续进行下去。此时,不同 DHCP 服务器可能对客户请求作出响应。如果出现这种情况,响应的服务器可能在应答中发送 DHCP 否定确认消息 (DHCPNAK)。即使首先租用客户机的原服务器能在网络上使用,也可能发生这种情况。

在相同子网上使用多个 DHCP 服务器时若要避免这些问题,请使用在所有服务器上对新的超级作用域进行相同的配置。超级作用域应包含子网的所有有效作用域作为其成员作用域。为在每个服务器上配置成员作用域,地址必须只能在子网上使用的其中一个 DHCP 服务器上使用。对于子网上的所有其他服务器,在配置相应作用域时,为地址的相同作用域范围使用排除范围。



DHCP 定义

动态主机配置协议 (DHCP) 是一种简化主机 IP 配置管理的 TCP/IP 标准。DHCP 标准为 DHCP 服务器的使用提供了一种有效的方法:即管理 IP 地址的动态分配以及网络上启用 DHCP 客户机的其他相关配置信息。

TCP/IP 网络上的每台计算机都必须有唯一的计算机名称和 IP 地址。IP 地址(以及与之相关的子网掩码)标识主计算机及其连接的子网。将计算机移动到不同的子网时,必须更改 IP 地址。DHCP 允许您从本地网络上的 DHCP 服务器 IP 地址数据库中为客户机动态指派 IP 地址:

对于基于 TCP/IP 的网络,DHCP 减少了重新配置计算机所涉及的管理员的工作量和复杂性。

Windows 2000 Server 提供了符合 RFC 的 DHCP 服务,可用于管理 IP 客户机配置并在网络上自动进行 IP 地址指派。



使用 DHCP 的好处

DHCP 为管理基于 TCP/IP 的网络提供了以下好处:

安全而可靠的配置

DHCP 避免了由于需要手动在每个计算机上键入值而引起的配置错误。DHCP 还有助于防止由于在网络上配置新的计算机时重用以前指派的 IP 地址而引起的地址冲突。

减少配置管理

使用 DHCP 服务器可以大大降低用于配置和重新配置网上计算机的时间。可以配置服务器以便在指派地址租约时提供其他配置值的全部范围。这些值是使用 DHCP 选项指派的。

另外,DHCP 租约续订过程还有助于确保客户机配置需要经常更新的情况(如使用移动或便携式计算机频繁更改位置的用户),通过客户机直接与 DHCP 服务器通讯可以高效自动地进行这些改动。



DHCP 的工作原理

DHCP 使用客户/服务器模型。网络管理员建立一个或多个维护 TCP/IP 配置信息并将其提供给客户机的 DHCP 服务器。服务器数据库包含以下信息:

网络上所有客户机的有效配置参数。

在指派到客户机的地址池中维护的有效 IP 地址,以及用于手动指派的保留地址。

服务器提供的租约持续时间。租约定义了指派的 IP 地址可以使用的时间长度。

通过在网络上安装和配置 DHCP 服务器,启用 DHCP 的客户机可在每次启动并加入网络时动态地获得其 IP 地址和相关配置参数。DHCP 服务器以地址租约的形式将该配置提供给发出请求的客户机。



通过使用 Active Directory 集成来检测未授权的 DHCP 服务器。

当 DHCP 服务器在网络上意外启动时,它可能会干扰正常的 TCP/IP 网络运行。因为 DHCP 客户机频繁地使用发至网络的广播以便在启动时发现 DHCP 服务器。为了避免出现意外的问题,Windows 2000 Server 提供了授权 DHCP 服务器的方法以及检测并关闭未授权服务器的方法。

当 Windows 2000 DHCP 服务器尝试在网络上启动时,会查询 Active Directory,并且服务器计算机的 IP 地址与授权的 DHCP 服务器的列表相比较。如果发现匹配,则服务器计算机被授权为 DHCP 服务器。如果未发现匹配,则不授权服务器并且服务器被标识为未授权的服务器。在这种情况下,已安装并在未授机的服务器上运行的 DHCP 服务器的服务在可能干扰网络之前自动关闭。

对于要使用的这些功能,您必须也进行配置并将 Active Directory 与 Windows 2000 DHCP 服务器一起使用。其他 DHCP 服务器不支持该功能。服务器检测通过使用在 Active Directory 创建的 DHCP 服务器对象执行。该对象列出了授权在网络上为客户机提供 DHCP 服务的服务器的 IP 地址。



DHCP 服务器

为网络配置 DHCP 服务器有下列优点:

管理员可集中指派和指定全局的和子网特有的 TCP/IP 参数供整个网络使用。

客户机不需要手动配置 TCP/IP。

客户机在子网之间移动时,旧的 IP 地址将被释放以便重用。当计算机在其新位置重新启动时,客户机自动重新配置其 TCP/IP 设置。

大多数路由器都可转发 DHCP 和 BOOTP 配置请求,所以在网络中的每个子网上不需要 DHCP 服务器。

客户机如何使用服务器

如果在“TCP/IP”属性中选择了“获得 IP 地址”,则运行 Windows 2000 的计算机成为 DHCP 客户机。设置客户机使用 DHCP 时,它会接受租约并且可以从服务器接收如下内容:

IP 地址的临时使用对于它正加入的网络是有效的。

供客户机以选项数据形式使用的其他 TCP/IP 配置参数。

同时,如果已配置冲突检测设置,DHCP 服务器在将租约中的地址提供给客户机之前会试用 Ping 测试作用域中每个可用地址的连通性。这可确保提供给客户的每个 IP 地址都没有被使用手动 TCP/IP 配置的另一台非 DHCP 计算机使用。

服务器如何提供可选数据

除 IP 地址以外,DHCP 服务器可进行配置,提供可选数据以完全配置客户机的 TCP/IP。由 DHCP 服务器在租约期间配置和分配的某些最通用 DHCP 选项类型包括:

默认网关(路由器)用于将一个网段连接到其他网段。

指派给 DHCP 客户机的其他可选配置参数,例如客户机可用于辩识网络主机名的 DNS 服务器或 WINS 客户机的 IP 地址。

Win2000中文笔记 之 WINS




WINS 定义

Windows Internet 命名服务 (WINS) 为注册和查询网络上计算机和用户组 NetBIOS 名称的动态映射提供分布式数据库。WINS 将 NetBIOS 名称映射为 IP 地址,并设计以解决路由环境的 NetBIOS 名称解析中所出现的问题。WINS 对于使用 TCP/IP 上的 NetBIOS 路由网络中的 NetBIOS 名称解析是最佳选择。

早期版本的 Microsoft 操作系统使用 NetBIOS 名称以标识和定位计算机以及其他共享或群集资源,要在网络上使用这些资源需要注册或名称解析。

在早期版本的 Microsoft 操作系统中,NetBIOS 名称对于创建网络服务是必需的。尽管可以对非 TCP/IP 的网络协议使用 NetBIOS 命名协议(例如 NetBEUI 或 IPX/SPX),但是仍然专门设计了 WINS 以支持 TCP/IP 上的 NetBIOS (NetBT)。

WINS 在基于 TCP/IP 网络中简化管理 NetBIOS 名称空间。



使用 WINS 的益处

WINS 为管理基于 TCP/IP 的网络提供以下益处:

保持对计算机名称注册和解析支持的动态名称―地址数据库。

名称―地址数据库的集中式管理缓解了对管理 Lmhosts 文件的需要。

通过许可客户查询 WINS 服务器来直接定位远程系统,减少了子网上基于 NetBIOS 的广播通信。

对网络上早期的 Windows 和基于 NetBIOS 客户的支持,允许这些类型的客户在不需要本地域控制器的情况下浏览远程 Windows 域列表。

当执行 WINS 搜索集成时,通过让客户定位 NetBIOS 资源实现对基于 DNS 客户的支持。



何时使用 WINS

对于由运行 Windows 2000 Server 的服务器和运行 Windows 2000 Professional 的所有其他计算机组成的网络,NetBIOS 对基于 TCP/IP 的网络已不再需要。因为这些更改,所以 WINS 对大多数网络是必需的,但在某些实例中也可能并不需要。

在需要使用 NetBIOS 名称的网络上是否有旧式计算机?

请记住运行在以前版本的 Microsoft 操作系统下的所有网络计算机,例如 MS-DOS 的各种版本、Windows 或 Windows NT,都需要 NetBIOS 名称支持。Windows 2000 是第一个不再需要 NetBIOS 命名支持的操作系统。因此,在网络上仍然可以需要 NetBIOS 名称以对使用的许多旧式应用程序提供基本文件和打印服务以及支持。



是否配置网络上的所有计算机以支持使用其他类型网络命名,例如 DNS?

网络命名仍然是在整个网络中定位计算机和资源的重要服务,甚至当不需要 NetBIOS 时也是如此。在决定消除 WINS 或 NetBIOS 名称支持之前,请确定网络上的所有计算机和程序可以使用其他命名服务正常工作,例如 DNS。

通常,Windows 操作系统支持两种主要的网络名称解析方法。它们是:

主机名称解析。这是 Windows 基于套接字的名称解析方式,它执行了gethostbyname () API 函数以搜索主机 IP 地址,该地址是建立在已查询的主机名称基础上的。该方法依赖于 Hosts 文件或查询 DNS 以执行名称解析功能。

NetBIOS 名称解析。该名称解析使用 NetBIOS 重定向器来搜索基于查询的 NetBIOS 名称的地址。该方法依赖于 Lmhosts 文件或查询 WINS 执行名称解析。

在默认情况下,运行 Windows 2000 的 WINS 客户被配置为先使用 DNS 解析长度超过 15 个字符或包含小数点 (.) 的名称。对于少于 15 个字符并且不包含小数点的名称,如果将客户配置为使用 DNS 服务器,则也可以在 WINS 查询失败之后再次将 DNS 用作最终选项。

如果运行的是纯 Windows 2000 环境,请检查当前配置了 DNS 并可以由网络上的所有客户计算机用来解析名称。如果运行计算机的混合环境,即计算机正在 Windows 2000 和其他操作系统平台下(如 UNIX)运行,请确认其他主机只使用 DNS 解析主机名称。



WINS 工作原理

默认情况下,当用 WINS 服务器地址配置运行 Windows 2000 计算机(手动或通过 DHCP)的名称解析时,除非配置了其他 NetBIOS 节点类型,否则计算机将支持使用混合节点作为 NetBIOS 名称注册的节点类型。对于 NetBIOS 名称查询和解析,它也支持混合节点的操作,但有少许差异。

对于 NetBIOS 名称解析,WINS 客户通常执行以下一系列步骤来解析名称:

客户检查查询的名称是否是它所拥有的本地 NetBIOS 计算机名称。

客户检查远程名称的本地 NetBIOS 名称缓存。远程客户的解析名称放置在该缓存中,并将保留 10 分钟。

客户将 NetBIOS 查询转发到已配置的主 WINS 服务器中。如果主 WINS 服务器应答查询失败(因为该主 WINS 服务器不可用,或因为它没有名称项)则客户将按照列出和配置使用的顺序尝试与其他已配置的 WINS 服务器联系。

客户将 NetBIOS 查询广播到本地子网。

如果配置客户端以使用 Lmhosts 文件,则客户将检查与查询匹配的 Lmhosts 文件。

如果将其配置成单个客户,则客户会尝试 Hosts 文件然后尝试 DNS 服务器。

Win2000中文笔记 之 服务质量(QoS)




QoS 许可控制定义

QoS 许可控制是 Windows 2000 的组件,它可以在子网级别上管理网络资源(带宽)的使用情况。对于子网带宽管理 (SBM) 来说,它是以“Internet 工程任务组”(IETF) 标准为基础的。

对于网络管理员来说,带宽的有效使用及其分配问题是十分值得关注的,尤其是对于实时的、多媒体程序的出现,更值得关注。QoS 许可控制通过防止程序占用超过的带宽超过子网的处理能力来解决这一问题。它控制着可保留的带宽数量、发送通讯的方式,以及保留优先级带宽的用户。

可以使用 QoS 许可控制控制台集中创建并管理 QoS 许可控制策略。QoS 许可控制使用基于策略的管理来确定分配优先级带宽的时间和方式,并确定保留该优先级带宽的用户。可以配置策略以满足用户、程序、站点或企业的需求。

所有启用 SBM 的子网用户都可以使用 QoS 许可控制来请求优先级带宽。这包括所有运行 Windows 2000、Windows 98 或 SBM 客户软件的主机。在子网上发送数据的客户程序必须启用 QoS。在该文档中,“子网客户”代表运行启用 QoS 程序的启用 SBM 的客户。



QoS 许可控制的益处

Windows 2000 QoS 许可控制以一种拥有成本很低的方式简化了带宽管理。您可以:

将策略和子网配置集中于 QoS 许可控制控制台上。

将用户和子网的标识用作保留网络资源和设置优先级的标准。

使带宽保留对用户透明,不要求用户接受培训。

将低优先级和高优先级通讯之间的网络资源分开。

通过确保较低的延迟来保护端对端传输服务。

LAN、WAN、ATM、以太网和令牌环网配置交互操作。

支持带宽保留消息的多播传输。

处理由 Windows 2000 IP 安全机制加密的带宽保留消息。



服务质量 (QoS)

要理解 QoS 许可控制的工作方式,先应理解“服务质量”(QoS)。

通常,服务质量是一组方法或进程,基于服务的组织通过执行这些方法或进程来维护特定的质量级。在 Windows 2000 环境中,QoS 是一组服务需求,网络必须满足这些需求才能确保适当服务级别的数据传输。

QoS 的实施可以使实时程序最有效地使用网络带宽。由于它可以确保某个保证级别有充足的网络资源,所以它为共享网络提供了与专用网络类似的服务级别。

QoS 保证指某个服务级别,该服务级别可以使程序按照可接受的方式以及可以接受的时间帧传输数据。

QoS 的目标是建立用于网络通讯的保证传输系统,例如网际协议 (IP) 数据包。这一目标(包括服务和协议)是通过一组 QoS 机制来实现的。QoS 的 Windows 2000 实施包括:

子网带宽管理 (SBM)服务,用于控制子网上的带宽。

集成的资源保留协议 (RSVP),允许通讯中的发送和接收双方建立用于保留的 QoS 高速通道进行通讯。

通讯控制服务,用于区分通讯的优先次序并对其进行计划。



RSVP 概述

QoS 许可控制及其子网客户使用资源保留协议 (RSVP) 作为优先级带宽请求的消息服务。RSVP 是沿着预先由网络路由选择协议确定的数据路径传送带宽保留的信号传输协议。该协议:

支持多播或单播传输。

将保留请求传递给通讯路径中的所有网络组件。

在发送计算机和接收计算机之间的每个支持 RSVP 的网络组件上或跃点上(如路由器、计算机或交换机)维护保留。

在路由器和不支持 RSVP 的交换机之间直接传送。

对于完全保证的保留,每个跃点必须准许该保留并且物理地分配请求的带宽。允许保留后,跃点提交足够的资源。

如果拒绝保留,则该程序会立即接到一个响应,该响应说明网络当前不能支持带宽的数量及类型,或者不能支持已请求的服务级别。该程序用来确定是现在使用最佳级别的传递来发送数据,还是等待并在以后重复请求。

RSVP 是一个“软状态协议”,要求周期性地刷新保留。保留信息或保留状态被缓存在每个跃点中。如果网络路由协议改变了数据路径,RSVP 会通过新的路由自动安装保留状态。如果没有收到刷新信息,则保留超时并且会被自动丢弃,同时释放带宽。

注意

目前,许多路由器和交换机不支持 RSVP。在这种情况下,保留消息只是简单地通过每个跃点。请求服务级别的端对端和低延迟保证无效。

当前的任何路由协议不需任何修改就可以与 RSVP 一起很好地工作,而且 RSVP 还支持许多网络层协议(包括 TCP/IP)。



RSVP 示例

RSVP 最初被设计为由接收方启动,因为对于大型网络,在有各种类型的发送方进行多播的情况下,发送方启动不能对此进行很好地调整。具备了 RSVP,每个接收方创建自已的保留,并且由 RSVP 解决保留中的所有差异。如果不同的接收方请求不同的资源,则发送方和路由器将同时通过获取请求的最大值合并保留请求。

在这个例子中,客户端从多媒体服务器上请求数据,服务器和客户之间发送 RSVP PATH 和 RESV 消息以建立预约,以便服务器使用媒体交互组件可以正确处理的适当优先标记将数据返回到客户端。

多媒体服务器将 PATH 消息发送到 QoS 许可控制主机。

QoS 许可控制主机批准该请求并将其发送给客户。PATH 消息遍历整个网络,并在每个跃点上设置 PATH 状态。每个 PATH 状态都包含一份 PATH 消息及前一个跃点主机的 IP 地址。

客户创建一条 RESV 消息,指明要接收数据。RESV 消息按到达多媒体服务器的反向数据路径,使用 PATH 状态中的寻址信息确定路由。

当 RESV 消息到达每个跃点时,保留便得以批准并分配物理带宽。跃点维护保留 (RESV) 状态并通知通讯控制即将发送数据。

在数据传输期间,多媒体服务器和客户周期性地发送 PATH 和 RESV 消息,以便在适当地位置上保持保留状态。



通信控制概述

通信控制是一种 QoS 机制,它可以:

减少网络通信传输中的延迟和潜伏时间(累积延迟)。

与 QoS 许可控制和 RSVP 协同工作以满足带宽请求中所要求的服务级别和优先级。

在启用 QoS 的客户程序请求 QoS 时启动。

对于那些没有启用 QoS 许可控制的子网客户来说是有效的(客户程序必须启用 QoS)。

控制那些通过不使用 RSVP 设备的数据流。



服务级别

每个数据流的服务级别作为通信属性的一部分,被配置在每个 QoS 许可控制策略中。要确定所需的服务级别设置,应了解属于两个主要组的通信模式:弹性和实时。

“弹性通信”易于更改。当只有少量带宽可用时,弹性通信的传递速度会较慢。当有足够的带宽时,传输速度就会加快。数据发送方会自动地调整到网络速率。弹性通信通常是由面向交互式的,或面向事务处理的程序生成的,例如成批的数据传输。

“实时通信”的特征是接受方处的任何两个数据包之间的到达时间间隔,必须非常匹配它们的离开间隔。实时通信受其对网络条件改变适应能力的限制,并且延迟会显著地减小清晰度。例如,在音频会议期间拉伸或缩短音节可以改变环境和内容。如果视频通信延迟的时间过长,就无法看到图像。

在 QoS 许可控制中支持三种服务级别。“最佳效果”适用于弹性通信。另外两个级别适用于实时程序,并且为这些程序授予了优先的服务。在这两个级别中,所有未保留的带宽,或已保留的但当前没有使用的带宽对其他通信来说都是可用的。

“最佳效果”是许多基于 IP 的网络的标准操作过程。它是适用于弹性通信的无连接传输模式。数据包发送在不能保证低延迟或足够带宽的情况下进行。

在没有负载(负载不是很重或网络不拥挤)的情况下,“受控负载”近似于“最佳效果”服务。在某个网络成员中,接收受控负载服务的流只能觉察到很短的延迟、甚至觉察不到延迟、或者可以感觉到没有阻塞。

“保证服务”保证最大延迟限制。如果数据路径上的每台主机都提供该服务,包括符合 QoS 和 RSVP 的路由器或交换机,则这是非常有用的。

显然,网络用户可因选择保证服务而受益,因为它提高了传输的质量。然而,网络上保证通信的影响是很大的,所以对于产生弹性或最佳效果通信的程序来说,这是不值得的。



许可控制概述

实时程序通常用 RTP 或 UDP 协议发送数据。这些协议允许的传输速度比面向连接的协议(例如 TCP)允许的传输速度要快,后者在传输每个包后都要进行确认,因此产生延迟。由于 RTP 和 UDP 是非连接性协议,因此其传输服务的可靠性受到限制。如果发生网络拥堵并丢失了数据包,将无法恢复。

实时程序的性能取决于低延迟服务,因为严重的延迟和丢失会产生失真或不完整的图像和声音。要部署具有可接受的通信速率的实时程序,则必须保证网络资源具有一定程度的可用性。此外,资源管理必须允许实时通信和传统通信在同一网络上共存。“QoS 许可控制”与“Windows 2000 服务质量 (QoS)”一起使用,是达到这种效果的简单而经济的模式,与每种通信类型使用不同的网络相比时,尤其明显。

可以使用“QoS 许可控制”来集中指定共享网络资源的使用方法、使用者和使用时间。安装和配置此服务后,ACS 主机将控制它所连接的子网的带宽。子网上的任何主机(子网客户机)都可以向“QoS 许可控制”主机提交优先带宽请求。该主机将根据以下条件确定可用带宽是否充足:

子网上资源可用性的当前状态

“QoS 许可控制”用户策略权限

可以将任何运行 Windows 2000 Server 并可以使用网络的计算机设置为“QoS 许可控制”主机。“QoS 许可控制”在 IP 网络层运行,为最常用的程序协议服务,包括 TCP/IP 协议簇中的所有传输协议(TCP、UDP 和 RTP)。

运行 Windows 98 或 Windows 2000 的客户机和服务器被自动配置为用“QoS 许可控制”主机来请求带宽。“QoS 许可控制”还支持运行启用 SBM 的任何其他操作系统(运行子网带宽管理客户机软件)的客户机。

不识别 QoS 的程序不能与“QoS 许可控制”进行交互,而且不能从网络接收最佳服务等级。



ATM 的定义

异步传输模式 (ATM) 指的是许多相关的技术,包括软件、硬件和连接媒体。ATM 不同于其他现有的 LAN 和 WAN 技术,它是专门设计来支持高速通讯的。ATM 允许网络以最大效率使用带宽资源,并且为有严格的服务要求的用户和程序维持“服务质量 (QoS)”。

ATM 的基本组件是终端站、连接到 ATM 网络的计算机、ATM 交换机,以及负责连接终端站并确保数据成功传输的设备。

异步指的是可用网络带宽不划分成按照定时机制或时钟同步的固定信道或通道。根据设计,使用异步通讯进行通讯的设备不一定要按照它们的能力,以精确的传输速率发送和接收信息。相反,发送方和接收方可以协商它们的通讯速率,但是必须基于物理硬件的限制,以及在网络内维护可靠的信息流的能力。

传输模式指的是在发送者和接受者之间传输信息的方法。在 ATM 中,长度固定的小单元的概念用于构造和打包要传输的数据。通过使用这种与大多数现有网络技术所用的可变长度数据包机制相对的单元,ATM 确保了对连接的协商和管理,从而不会发生单个数据类型或连接独占传输通道的情况。



ATM 服务质量 (QoS)

在 ATM 网络中,服务质量 (QoS) 用来保证所有网络用户都能够始终获得良好的结果。为任意连接提供服务时,ATM 都是通过三种常规方法来执行 QoS:

当需要要求的连接服务质量等级时,ATM 将保证并强迫提供该连接的所有设备都满足所要求的服务等级。

当某个连接要求了其首选服务质量时,ATM 将尝试从网络上获得资源来满足所要求的服务等级,同时保证并维护需要该资源的连接的服务质量。

若某个连接未指定服务质量,则 ATM 将尝试使用可用的网络资源,尽量提供与其他 LAN/WAN 传输模式中类似的服务形式。

Win2000中文笔记 之 终端服务与IntelliMirror




终端服务概述

终端服务提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的能力。终端服务只把该程序的用户界面传给客户机。客户机然后返回键盘和鼠标单击动作,以便由服务器处理。每个用户都只能登录并看到它们自己的会话,这些会话由服务器操作系统透明地进行管理,而且与任何其他客户机会话无关。客户软件可以运行在多个客户机硬件设备上,包括计算机和基于 Windows 的终端。其他设备,如 Macintosh 计算机或基于 UNIX 的工作站,也可以使用其他第三方的软件连接到终端服务器。

终端服务可以在应用服务器模式或远程管理模式下在服务器上进行配置。作为应用服务器,终端服务提供了一种有效而可靠的方式,通过网络服务器分发基于 Windows 的程序。在应用服务器模式下,终端服务为可能无法正常运行 Windows 的计算机显示 Windows 2000 的桌面以及目前基于 Windows 的大多数应用程序。在远程管理模式下使用时,终端服务提供了远程访问的能力,使您可以从网络上的任何地方虚拟地管理您的服务器。

终端服务有以下好处:

更快地显示 Windows 2000 的桌面。终端服务架设了一座从旧式桌面迁移到 Windows 2000 Professional 的桥梁,为非计算机桌面以及需要进行硬件升级才能在本地完全运行 Windows 2000 操作系统的计算机提供了一种虚拟的 Windows 2000 桌面环境。终端服务客户可用于多种不同的桌面平台,包括 MS-DOS、基于 Windows 的终端、Macintosh 和 UNIX。(与 MS-DOS、Macintosh 和基于 UNIX 的计算机的连接需要附加的软件)。

充分利用已有的硬件。终端服务扩展了分布式计算模型,允许计算机同时作为瘦客户机和具有完整功能的个人计算机操作。当计算机在现有的网络上时,可以继续使用,同时也可作为能仿真 Windows 2000 Professional 桌面的瘦客户机使用。

程序的集中配置。使用运行在 Windows 2000 Server 上的终端服务,所有程序的执行、数据的处理以及数据的存储都在服务器上进行,程序得以集中配置。终端服务可确保所有客户机都能访问当前版本的程序。软件只能在服务器上安装一次,而不能安装在您单位的每个桌面上,这样可减少单独更新计算机所花费的成本。

远程管理。终端服务提供了对 Windows 2000 Server 的远程管理,为系统管理员提供了从任何客户机通过广域网或拨号连接远程管理其服务器的一种方法。



IntelliMirror

IntelliMirror 是 Windows 2000 桌面更改和配置管理技术所固有的一组强大的功能。IntelliMirror 将集中计算的优点和分布式计算的性能及灵活性结合起来。

通过在服务器和客户端同时使用 IntelliMirror,用户的数据、应用程序和设置在所有的环境中都跟随用户。管理员也可以使用这些功能来执行 Windows 2000 操作系统的远程安装。

Windows 2000 更改和配置管理通过以下特定功能来提供 IntelliMirror 功能:

用户数据管理:支持将用户数据镜像到网络和所选网络数据的本地副本中。

软件安装和维护:允许管理员集中管理软件的安装、修复、更新和删除。

用户设置管理:允许管理员集中定义用户和计算机的计算环境设置。还包括将用户设置镜像到网络中。

远程安装服务:支持更简便的安装和配置,并允许将操作系统远程安装到整个企业的所有计算机上。

Win2000中文笔记 之 事故恢复




“事故恢复”概述

计算机故障就是任何导致计算机无法启动或继续运行的事件。计算机出现故障的原因小到一个硬件损坏,大到整个系统丢失(例如在发生火灾或类似事件)。Windows 2000 在遇到此类事件时,会报告一个“停止”错误消息,并显示一些必要的信息,您和 Microsoft 产品支持服务工程师可利用这些信息确定并识别问题所在。

故障恢复就是在发生故障后恢复计算机,使您能够登录并访问系统资源。Windows 2000 提供以下选项可帮助您识别计算机故障并进行恢复:

安全模式

您可以使用安全模式启动选项来启动系统,在该模式下只启动最少的必要的服务。安全模式选项包括最后一次的正确配置,如果新安装的设备驱动程序在启动系统时出现问题,该选项尤其有用。

故障恢复控制台

如果安全模式不起作用,您可以考虑使用故障恢复控制台选项。建议只有高级用户和管理员才使用该选项。使用安装光盘或从光盘创建的软盘来启动系统。然后,就可以访问“故障恢复控制台”,这是一个命令行界面,可从该处执行诸如启动或停止服务、访问本地驱动器(包括格式化成 NTFS 文件系统的驱动器)等任务。

紧急修复盘

如果安全模式和故障恢复控制台不起作用,而且事先已做了适当的高级准备,则可以试着用紧急修复磁盘来修复系统。紧急修复磁盘可以帮助修复内核系统文件。



恢复控制台

如果安全模式 和其他启动选项不能工作,则可以考虑使用“恢复控制台”;然而,只有您是高级用户或管理员(可以使用基本命令标识和定位有问题的驱动程序和文件)时,才推荐您使用该方法。“恢复控制台”是命令行控制台,在使用计算机 CD 驱动器中的启动光盘或使用从创建的软盘启动计算机后即可使用。

要使用“恢复控制台”,您需要以 Administrator 帐户登录。该控制台提供了可用于执行简单操作的命令(例如转到不同的目录中或查看目录)和功能更强大的操作命令(例如修复启动扇区)。通过在“恢复控制台”的命令提示符下,键入 help,可以获得这些命令的帮助信息。

使用“恢复控制台”,可以启动和停止服务,在本地驱动器(包括用 NTFS 文件系统格式化的驱动器)上读、写数据,从软盘或 CD 上复制数据,修复启动扇区或主引导记录,并执行其他管理任务。如果需要通过从软盘或 CD-ROM 上复制文件来修复系统,或需要重新配置使计算机无法正常启动的服务,则“恢复控制台”特别有用。例如,可以使用“恢复控制台”用软盘中的正确副本替换被覆盖或损坏的驱动程序文件。

要点

因为“恢复控制台”功能非常强大,所以只推荐高级用户或管理员使用



修复启动故障

如果磁盘系统或启动卷发生故障,系统将不能启动。从启动故障恢复的过程取决于磁盘的配置和计算机系统微处理器的类型。

对于配置为镜像卷的一部分的系统或启动卷(可以应用于启动和系统卷中的唯一容错方法),故障恢复程序可能使用启动盘。

启动盘

在创建启动盘之后,应该在未发生任何故障之前测试它,否则如果主磁盘丢失,将不能从镜像卷上启动计算机。通过使用启动盘从镜像卷中启动系统来检查启动盘。先打开主磁盘电源然后关闭电源,来测试您的磁盘。在这两种情况下,如果都可以登录,则那么启动盘生效。

每次更改卷时,都应该升级启动盘。例如,如果正在使用卷 2 启动系统,并删除了卷 1,则必须更改 ARC 名称以启用卷 1。同样,如果在卷 2 上启动系统,并删除了卷 1,则将它分成卷 1 和卷 2,必须更改 ARC 名称以启用卷 3。

维护启动配置

在 Windows 启动成功之后,请备份配置目录 (\Systemroot\System32\Config),并且当更改配置和帐户时保持当前的备份。注册表是由配置目录中的文件组成。

如果必须在 Windows 安装程序中使用修复过程来还原注册表文件,则可以从备份中还原配置。

千万不要删除系统卷的根目录中的 Boot.ini、Ntldr、Bootsect.dos、Ntdetect.com 或 Ntbootdd.sys(如果 Windows 安装在 SCSI 磁盘上)。

如果更改以前启动 Windows 成功但现在却失败的系统,则可以通过在系统启动中选择“最后一次的正确配置”返回到以前的配置。如果 Windows 仍然不能启动,请在 Windows 安装程序中的修复过程启动系统。在系统重新启动后,可以使用备份磁带来还原数据。

修复 Config.nt 和 Autoexec.nt

如果 Windows 显示有关这些文件的错误信息,或在运行基于 MS-DOS 程序时出现故障,请检查 Config.nt 或 Autoexec.nt 文件是否不正确或丢失。这些文件位于 \Systemroot\System32 目录中。

如果这些文件不正确或丢失,则可以从启动盘中复制新版本的文件到 \System32 目录中。

Win2000中文笔记 之 事件日志




事件查看器概述

在事件查看器中使用事件日志,您可收集到关于硬件、软件和系统问题的信息,并可监视 Windows 2000 的安全事件。



Windows 2000 以三种日志方式记录事件:



应用程序日志



应用程序日志包含由应用程序或系统程序记录的事件。例如,数据库程序可在应用日志中记录文件错误。程序开发员决定记录哪一个事件。



系统日志



系统日志包含 Windows 2000 的系统组件记录的事件。例如,在启动过程将加载的驱动程序或其他系统组件的失败记录在系统日志中。Windows 2000 预先确定由系统组件记录的事件类型。



安全日志

安全日志可以记录安全事件,如有效的和无效的登录尝试,以及与创建、打开或删除文件等资源使用相关联的事件。管理器可以指定在安全日志中记录什么事件。例如,如果您已启用登录审核,登录系统的尝试将记录在安全日志里。

事件查看器显示这些事件的类型:

错误

重要的问题,如数据丢失或功能丧失。例如,如果在启动过程中某个服务加载失败,这个错误将会被记录下来。

警告

并不是非常重要,但有可能说明将来的潜在问题的事件。例如,当磁盘空间不足时,将会记录警告。

信息

描述了应用程序、驱动程序或服务的成功操作的事件。例如,当网络驱动程序加载成功时,将会记录一个信息事件。

成功审核

成功的审核安全访问尝试。例如,用户试图登录系统成功会被作为成功审核事件记录下来。

失败审核

失败的审核安全登录尝试。例如,如果用户试图访问网络驱动器并失败了,则该尝试将会作为失败审核事件记录下来。

启动 Windows 2000 时,EventLog 服务会自动启动。所有用户都可以查看应用程序和系统日志。只有管理员才能访问安全日志。

在默认情况下,安全日志是关闭的。可以使用组策略来启用安全日志。管理员也可在注册表中设置审核策略,以便当安全日志满出时使系统停止响应。

Win2000中文笔记 之 监视器




网络数据流

网络监视器监视网络数据流,该数据流由任意给定时间内通过网络传输的所有信息组成。信息在传输之前,由网络软件分割成较小的块,这些小块称作帧或者数据包。

帧,无论是通过广播、多播还是直接传输的,都由几个不同的块组成,这样就能够单独进行分析。一些块包含网络监视器可用于解答网络问题的数据。例如,通过检查目标地址,能够确定帧是指明所有主机必须接收并处理的广播帧,还是发送到指定主机的直接传输帧。通过对帧的分析,可以确定帧的确切起因,这有助于确定产生这种帧类型的服务是否能够进行优化。



捕获网络数据

网络监视器复制帧的过程称为捕获。您可以捕获发到本地网卡或从本地网卡发出的所有网络通信,也可以设置一个捕获筛选器来捕获帧的子集。还可以指定一系列条件来触发网络监视器捕获筛选器的事件。通过使用触发器,网络监视器可以响应网络上的事件。例如,您可以使 Windows 在网络监视器检测到网络上的一系列特定情况时启动可执行文件。在捕获了数据之后,您可以查看它。网络监视器通过将原始捕获数据转化为它的逻辑帧结构从而为您做了许多数据分析工作。



网络监视器的安全性

为安全起见,Windows 2000 中的网络监视器版本仅捕获广播和多播帧、发送到或来自本地计算机的帧。网络监视器也为广播帧、多播帧、网络使用情况、每秒接收的总字节数和每秒接收的总帧数显示所有网络段统计信息。

另外,为了保护您的网络以防有人未授权安装网络监视器,网络监视器提供了检测在网络中本地网段运行的其他网络监视器安装情况的功能。

检测其他网络监视器的安装情况

为了防止有人未经授权监视您的网络,网络监视器能够检测到运行在网络中本地网段的其他网络监视器的安装情况。为在网络上捕获数据,网络监视器还会检测远程使用的网络监视器驱动程序的所有实例(或者通过来自系统管理服务器的网络监视器,或者通过系统监视器)。

当网络监视器检测到网络上还安装了其他网络监视器时,它会显示关于这些监视器的下列信息:

计算机的名称

登录到这台计算机的用户的名称

在远程计算机上的网络监视器的状态(运行、捕获或者传输)

远程计算机的适配器地址

远程计算机上的网络监视器的版本号

在某些情况下,您的网络结构可能会阻止安装的某个网络监视器检测其他的网络监视器。例如,如果通过不转发多播的路由器安装的网络监视器与您安装的监视器完全独立,那么您安装的监视器就不能检测到通过路由器安装的监视器。



性能简介

Windows 2000 提供下列工具来监视计算机中的资源使用情况:

系统监视器

性能日志和警报

监视系统性能是维护和管理 Windows 2000 安装的重要部分。使用性能数据可以:

了解工作负荷以及对系统资源的相应影响。

观察工作负荷和资源使用的变化和趋势,以便计划今后的升级。

利用监视结果来测试配置更改或其他调整结果。

诊断问题和目标组件及过程,用于优化处理。

“系统监视器”和“性能日志和警报”提供有关操作系统特定组件和设计用于搜集性能数据的服务器程序所使用资源的详细数据。图形显示性能监视数据,日志提供数据记录能力。当计数器值到达、高于或低于定义的阈值时,警报将通过“信使服务”告知用户。

Microsoft 技术支持在问题诊断中经常使用性能监视的结果。因此,Microsoft 建议您将监视系统性能作为日常管理程序的一部分。

Win2000中文笔记 之 磁盘碎片与消息队列



“磁盘碎片整理程序”概述

磁盘碎片整理程序可确定本地卷上零碎文件和文件夹的位置。

当某个卷包含大量碎片文件和文件夹时,Windows 访问它们的时间要增长,原因是它需要进行一些额外的磁盘驱动器读操作才能收集文件和文件夹的不同部分。因为卷上的可用空间是零散的,所以创建新的文件和文件夹也要慢些。然后 Windows 必须将新文件和文件夹保存到卷上的不同位置。

磁盘碎片整理程序将每个文件或文件夹的碎片移动到卷上的一个位置,以便每个文件或文件夹占据磁盘驱动器上单独的、连续的空间。这样,您的系统便可以更有效地访问您的文件和文件夹,并保存新文件和文件夹。通过合并文件和文件夹,磁盘碎片整理程序同时也合并了可用的空间,减小了新文件成为碎片的可能性。

查找、合并文件与文件夹碎片的过程称为碎片整理。碎片整理所花费的时间取决于多个因素,其中包括卷的大小、卷中的文件数、碎片数量和可用的本地系统资源。在对文件和文件夹进行碎片整理之前先分析卷,可以找到所有的碎片文件和文件夹。然后,您可以看见保存在卷上的碎片文件和文件夹有多少,并决定是否需要对卷进行碎片整理。

磁盘碎片整理程序可以对使用文件分配表 (FAT)、FAT32 和NTFS 文件系统格式化的文件系统进行碎片整理。



为什么卷中有碎片

当用户创建和删除文件和文件夹、安装新软件或从 Internet 下载文件时,卷中就开始出现碎片。计算机不必将整个文件或文件夹保存在一个空间中,而是将这些文件和文件夹保存在卷的第一个可用空间中。当卷中的大部分空间都被用作存储文件和文件夹后,大部分的新文件则被存储在卷中的碎片中。当删除文件或文件夹后,在存储新文件时剩余的空间将随机填充。

卷中的碎片越多,计算机的文件输入/输出系统性能就越低。



消息队列概述

消息队列是 Windows 2000 操作系统中消息应用程序的基础,也是用于创建分布式、松散连接的消息通讯应用程序的开发工具。为消息队列开发的应用程序可以将消息发送到队列,这些队列是用来确保消息能够到达目标的临时存储位置。这些应用程序可以通过不同种类的网络进行通讯,也可以与脱机的计算机通讯。消息队列提供了有保障的消息传递、有效的路由、安全性、事务处理支持以及基于优先级的消息传递。具有这些功能的软件产品通常在业界叫做消息队列软件、存储转发软件或面向消息的中间件。

使用消息队列,最终用户能够在断开连接的网络和计算机之间通讯,而不管网络和计算机的当前状态如何。系统管理员可以用消息队列高效地管理大型复杂的计算机和消息队列网络。通过消息队列,MIS 决策者可以得到更加可靠的通讯,并且更有效地使用网络资源。开发人员可以只关注商业规则,而不必关心网络问题,因为消息队列能够有效地提供可靠的网络通讯。

负责安装和管理基础结构的系统管理员以及创建消息应用程序的软件开发人员,应该对消息队列特别有兴趣。此文档是为系统管理员编写的,因此只讨论消息队列提供的基础结构和功能方面的问题,而不讨论如何开发应用程序。

Win2000中文笔记 之 NetBIOS




NetBIOS 的背景知识

NetBIOS 接口最先是由 Sytec Inc.(目前的 Hughes LAN Systems)在 1983 年为国际商业机器公司 (IBM) 开发的。它在 IBM 的 PC 网络上使用归 Sytec 所有的协议上进行操作,这种 PC 网络是宽带 LAN 技术的早期形式,它最多可以容纳 72 台连接装置。有一点应该强调,NetBIOS 在一开始就从来没有考虑升级到用于大型网络。

在 Microsoft,NetBIOS 一开始时是作为一种高级编程接口,用于八十年代后期引入的将 IBM PC(兼容微型计算机)联网的 MS-DOS 程序。为了基于为那些计算机提供的联网硬件和软件来建立 LAN,Microsoft 和其他供应商对使用 NetBIOS 接口设计联网系统组件和程序进行了标准化。该接口使用长度限制在 16 个字符的名称来标识每个网络资源。

NetBIOS 名称空间是单层的,这意味着在一个网络内只能使用一次该名称。这些名称是在计算机启动、服务开始或用户登录时动态注册的。NetBIOS 名称可以注册为唯一名称或组名。唯一名称有一个与名称相关联的地址。组名有多个映射到名称上的地址。

在 Windows 2000 之前,所有基于 MS-DOS 和 Windows 的操作系统都需要 NetBIOS 命名接口来支持网络功能。在 Windows 2000 发布之后,计算机的网络连接就不再需要对 NetBIOS 命名接口的支持了。例如,使用 Windows 2000 和其他不需要 NetBIOS 名称的操作系统(如某些版本的 UNIX),可以建立并运行一个由支持使用“域名系统 (DNS)”的主机和程序组成的环境。但是,多数网络仍然需要将要求 NetBIOS 网络名称的老的操作系统与运行 Windows 2000 的计算机集成在一起。

由于这个原因,Microsoft Windows 2000 继续为 NetBIOS 名称提供默认支持,以方便与需要它们的老的操作系统的交互操作。



禁用 TCP/IP 上的 NetBIOS

Windows 2000 提供了禁用 TCP/IP 上的 NetBIOS (NetBT) 的能力,在选择客户时这很有用。如果您需要或喜欢只用 DNS 来为网络中起着专门或安全作用的特定计算机(例如,防火墙环境中的边缘代理服务器或主机),提供名称注册和解析,则可以选择禁用该计算机上安装的一个或所有网卡接口的 NetBT 服务。

当 NetBT 被禁用时,对于运行 Windows 2000 的计算机,应注意以下事项:

计算机不再监听或接受通过禁用的网络连接为 NetBIOS 服务发送的“用户数据报协议 (UDP)”数据报。NetBIOS 服务接收以下 UDP 端口上的通信:137(WINS 或 NetBIOS 名称服务器),138(NetBIOS 数据报服务)和 139(NetBT 客户请求程序服务)。一旦禁用,通过适配器接口接收到这些接口上的所有通信,都将在不通知的情况下被忽略。

如果计算机上安装了 WINS,则该计算机不能再充当 WINS 服务器来通过该连接为 WINS 客户服务,除非重新启用 NetBT。

如果该计算机需要作为客户来参与到 WINS 中,则它在物理上必须是多宿主的(也就是说,它必须有其他的活动物理网络连接,而且可供它使用),以便它能够继续与 WINS 服务器通讯并使用 WINS 服务器。

对于作为 WINS 客户的计算机,在 TCP/IP 属性中为禁用的网卡配置的所有 WINS 服务器,都不应用于安装的其他网卡。为了让这些适配器使用 WINS,您必须在启用 NetBT 的连接上手动配置一个 WINS 服务器列表,或者从 DHCP 服务器上给这些连接提供这样一个列表。

这种配置的一种可能的应用情况是,服务器计算机是一个双宿主计算机,它既位于一个内部专用网络上,又位于一个公开的外部网络(如 Internet)上。在此例中,禁用所安装的外部网络连接的 NetBT 将起作用。这允许该双宿主计算机继续充当 WINS 服务器或者内部网络的客户,而且仍然可以通过用该计算机上安装的其他物理网卡建立的连接来为 WINS 客户服务。

2005/8/29 21:30

gipsky 于 2005年08月29日 21:50:12
应用扩展 工具箱






可以查看帖子.
不可发帖.
不可回复.
不可编辑自己的帖子.
不可删除自己的帖子.
不可发起投票调查.
不可在投票调查中投票.
不可上传附件.
不可不经审核直接发帖.

[高级搜索]



系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号