3.5.2 基本的NTFS许可
Windows 2000中的NTFS文件权限极大的提高了系统的安全性。它使得只有授权的用户才能访问特定的资源。NTFS权限不仅在用户访问本地计算机的硬盘上的资源时受到限制,而且当在用户通过网络来访问资源的时候同样起作用。这样一来,就使得重要的资源更加的安全。注意,共享文件夹权限只能限制通过网络访问资源的情况,它不能限制用户访问他所使用的本地计算机上的资源,而且共享文件夹权限只能对文件夹赋予权限,不能对文件赋予权限。
在Windows 2000中,每个用户在使用计算机之前必须进行登录。登录过程要求用户提供合法的、经过授权的用户名和密码,每个用户的用户名是不一样的,登录的目的就是要确认用户的身份,也就是你是谁。
为了保护计算机上的资源,系统管理员必须给文件和文件夹分配相应的NTFS权限,而且还必须为用户分配访问权限。如果没有给用户分配合适的权限,用户将无法访问任何资源。
1.NTFS权限的特点:
NTFS权限是分配给资源的,而不是分配给用户的。也就是说,你可以对一个文件进行设置,允许或拒绝某用户访问这个文件;但不能对一个用户设置,使得这个用户可以访问某某文件。
NTFS权限又是针对用户的。这一点区别于共享级的共享文件夹权限。例如,在Windows 98中,当我们访问网络中其它计算机上的共享文件夹的时候,会被提示输入访问密码。访问密码有两种:只读密码和完全访问密码。根据我们输入的不同密码可以被赋予不同的访问权限。注意,这里只是涉及到了访问密码,并没有涉及到用户名。而在Windows 2000中,由于用户在使用计算机之前必须输入用户名和密码,所以不管用户访问的是本地计算机资源还是网络资源,Windows 2000都会查询系统的“访问控制列表(ACL Access Control List)”并自动赋予用户相应的权限。也就是说,资源不再是根据不同的访问密码来分配权限,而是根据不同的访问者来分配权限。
2.访问控制列表(ACLAccess Control List)
NTFS在每一个文件夹或文件上,都附有一个访问控制列表(ACL),ACL中记录着所有被分配了访问权限的用户、组和计算机的名称以及他们被分配的权限的类型。如果一个用户想访问一个文件夹或文件,那么相应的ACL中必须包含一个纪录,这个记录叫做“访问控制项(ACE Access Control Entry)”。ACE中明确的记录着访问者对这个文件夹或文件的访问权限。如果ACL中没有相应的ACE存在,那么Windows 2000将拒绝用户对资源的访问。
3.基本许可
NTFS对文件夹和文件的权限是不一样的。它们的各种权限见表3-2
表3-2 NTFS文件夹权限和文件权限对照表
特别需要注意的就是这个文件和文件夹权限的区分。例如,当我们为某个文件设定了
“Read”的权限,则表示能够“阅读此文件;显示此文件的属性、所有者和权限分配情况”。
而如果是对某个文件夹设定了“Read”的权限,这个表示能够对这个文件夹有“显示此文
件中的文件和子文件夹,显示此文件夹的属性、所有者和权限分配情况”的权限,此时如
果在这个文件夹中新建了一个文件,则这个文件会从文件夹继承“Read”的权限,此时这
个“Read”就是表示对文件的“Read”了,注意,当一个新的分区用NTFS格式化之后,Windows
2000会自动将根目录的完全控制权限分配给Everyone组。也就是说,缺省情况下,Everyone
组将具有在此根目录上建立所有文件夹和Array文件的完全控制属性。所以,为了限制未
授权用户的访问,必须修改缺省权。
4.许可配置
只有管理员Administrator、被赋予
了“完全控制”权限的用户、文件或文件
夹的所有者才能给文件或文件夹分配
NTFS权限。所谓文件的所有者就是说这个
文件是由这个用户建立的,所以这个文件
属于这个用户。在下一节中我们会看到,
文件或文件夹的所有权是可以被文件或文
件夹的建立者获得的。
在Windows 2000中设置NTFS权限的
图3-17 权限设置界面
界面如图3-19所示
权限的设置方法如下;
(1)右键单击要设置权限的文件和文件夹,单击“属性”,打开属性对话框,打开“安全”选项卡。
(2)若要设置新的用户或组的权限,单击“添加”,弹出选择用户对话框,双击要设置权限的组或用户的名称,单击“确定”关闭对话框。
若要从权限列表中删除组或用户,先在“名称”窗口中单击该组或用户的名称,然后单击“删除”。注意,如果当前文件夹或文件同父文件夹之间有继承关系,那么将不能删除用户或组,必须取消继承关系才能进行删除工作。
(3)若要修改现有的组或用户的权限,先在“名称”窗口中单击该组或用户,然后在“权限”窗口中设置相应的权限。
缺省情况下,权限的继承是被选定的。也就是父文件夹的权限会继承给子文件夹和文件。但是你有可能会不希望这种继承关系存在。例如,在一个文件夹Sales中存放着销售部的文档资料,所有的销售部的职员对此文件夹都有写入的权限。但是销售部的经理希望他所写的一些文件不能被员工改写。这时你可以为这些文件设置单独的权限,使得它们对普通职员只有“读取”的权限。若要做到这一点,首先必须取消权限的继承。
取消继承的方法:
(1)用右键单击要设置权限的文件夹或文件,单击“属性”打开“安全”选项卡。如果权限窗口中的复选框是灰色的,说明它已经继承了父文件夹的权限。请注意窗口底部有一个复选框,这就是权限继承关系的设置选项。缺省情况下它是被选定的,也就是允许权限继承。单击这个复选框后会弹出一个提示对话框,它有三个按钮:
“复制”:将从父文件夹继承过来的权限复制给当前文件夹或文件,而且当父文件夹的权限设置发生变化的时候不会影响到该文件夹或文件。
“删除”:将从父文件夹继承过来的权限删除掉,而且当父文件夹的权限设置发生变化的时候不会影响到该文件夹或文件。
“取消”:取消当前操作。
5.高级的NTFS许可
当一个用户属于不同的组,而这些组对同一个文件夹或文件具有不同的权限的时候,这个用户就拥有了多重NTFS权限,这个用户对该文件夹或文件的有效权限遵循下列原则:(1)用户对一个资源的有效权限是它所被分配的所有权限的组合。例如,User对文件夹A中的文件的权限是“读取”;User又属于组B,组B对文件夹A中的文件的权限是“写入”;所以,User对文件夹A中的文件的有效权限就是“读取”和“写入”的叠加。
(2)拒绝权限会覆盖其它所有权限。当用户所具有的多重权限中有拒绝某一项权限的时候(例如拒绝“读取”或拒绝“写入”等等),这个权限将覆盖掉他所具有的相应的权限。例如User属于组A和组B,User本身对File1有完全控制的权限,组A对File1有“写入”权限,组B对File1有拒绝“写入”权限,那么User对File1的有效权限就是拒绝“写入”。
3.5.3 所有者
取得所有权的权限在管理用户对文件夹或文件访问的时候特别有用。当一个文件夹或文件被建立之后,它的建立者就是它的所有者。但是所有者并不是固定不变的;如果一个用户对一个文件夹或文件有“取得所有权”的权限,那么这个用户就有能力取得此文件夹或文件的所有权并成为该文件夹或文件的所有者。成为所有者的好处是:无论一个文件夹或文件对某个用户有多么严格的访问权限设置,一旦这个用户取得了该文件夹或文件的所有权后,他就可以更改权限设置了。注意,一个文件夹或文件的所有者可以在没有“更改权限”权限的情况下更改文件夹或文件的权限。如果想取得一个文件夹或文件的所有权,就必须拥有“取得所有权”的权限。
管理员组的成员拥有取得任何文件夹或文件所有权的能力。即使在对文件夹或文件没有任何访问权限的情况下,管理员组的成员也能取得所有权。例如,一个职员被调出了公司。他在离开公司之前将他自己建立的一个文件夹的权限设置成了除了他自己的任何人都是无法访问的。在这种情况下,包括管理员在内的任何人都不能对这个文件夹进行比如更名、删除等操作,甚至没有人可以打开这个文件夹。但是因为管理员有取得任何文件夹所有权的能力,所以它可以先取得这个文件夹的所有权,然后再更改它的权限使得这个文件夹可以被访问。
取得文件夹所有权的界面如图3-18所示.取得文件夹所有权的具体方法如下:
图3-18 所有者选项卡
(1)右键单击要设置权限的文件和文件夹。单击“属性”打开属性窗口,打开“安全”选项卡。这时你会发现“名称”窗口中没有任何用户或组存在。
(2)单击“高级”按钮。然后单击“所有者”选项。
(3)在“将所有者更改为”窗口中单击管理员组Administrators,选中“替换子容器及对象的所有者”然后单击“确定”。
(4)单击“确定”关闭属性窗口。
经过了以上操作后,当再次打开安全属性窗口的时候,你会发现“名称”窗口中出现了用户和组的列表,而且也可以进行权限设置了。
3.5.4 文件的拷贝和移动时的许可变化
当一个文件或文件夹被复制或移动的时候,它们的权限会根据被复制或移动的位置而发生改变。
1.复制文件夹或文件将遵循以下规律:
(1)在NTFS分区内部或两个NTFS分区之间复制文件夹或文件,此文件夹或文件将继承目标文件夹的权限属性。
(2)把文件夹或文件从NTFS分区复制到非NTFS分区上,此文件夹或文件将丢失所有NTFS属性。因为非NTFS分区不支持NTFS属性。
注意,无论在NTFS分区内部或两个NTFS分区之间,要想进行文件复制工作,必须拥有对源文件夹的“读取”权限和对目标文件夹的“写入”权限。
2.移动文件夹或文件将遵循以下规律:
(1)在NTFS分区内部移动文件夹或文件,此文件夹或文件将保留它原来的权限属性。
(2)在两个NTFS分区之间移动文件夹或文件,此文件夹或文件将继承目标文件夹的权限属性。实际上,在两个NTFS分区之间进行移动的操作就是先进行复制,然后再将其从源文件夹中删除。
(3)把文件夹或文件从NTFS分区移动到非NTFS分区上,此文件夹或文件将丢失所有NTFS属性。因为非NTFS分区不支持NTFS属性。
注意,无论在NTFS分区内部或两个NTFS分区之间,要想进行文件移动工作,必须拥有对源文件夹的“写入”和“修改”权限以及对目标文件夹的“写入”权限。对源文件夹的“修改”权限是必需的,因为删除文件必须拥有“修改”权限。
3.9 几种系统测试程序和功能和应用
为了便于对网络的管理,Windows 2000 Server及Windows 95/98/NT/XP等操作系统,都集成了一些常用的系统测试程序,如果能够掌握并熟练地使用这些工具,可以解决网络管理中的许多问题。
3.9.1 PING工具程序
Ping无疑是网络中使用最频繁的小工具,主要用于确定网络的连通性问题。
1.使用Ping工具进行检查
Ping程序使用ICMP协议来简单地发送一个网络包并请求应答,接收请求的目的主机再次使用ICMP发回同所接收的数据一样的数据,于是Ping便可对每个包的发送和接收报
告往返时间,并报告无响应包的百分比,这在确定网络是否正确连接,以及网络连接的状况(包丢失率)十分有用。Ping是Windows操作系统集成的TCP/IP应用程序之一,可以在“运行”中直接执行。
2.Ping工具的命令格式和参数说明
Ping命令的格式为:ping[-t] [-a] [-n count] [-l] [-f length] [-I ttl] [-v tos] [-r count] [-s count] [-j computer-list] [-k computer-list] [-w timeout] destination-list
主要参数如下。
-t Ping指定的计算机直到中断。
-a 将地址解析为计算机名。
-n count 发送count指定的ECHO数据包数,默认值为4。
-1 length 发送包含由length指定的数据量的ECHO数据包。默认为32字节;最大值是65,527。
-f 在数据包中发送“不要分段”标志。数据包就不会被路由上的网关分段。
-i ttl 将“生存时间”字段设置为ttl指定的值。
-v tos 将“服务类型”字段设置为tos指定的值。
-r count 在“记录路由”字段中记录传出和返回数据包的路由;count指定最少1台,最多9台计算机。
-s count 指定count指定的跃点数的时间戳。
-j computer—list 利用computer--list指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源),IP允许的最大数量为9。
-k computer--list 利用computer-list指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源),IP允许的最大数量为9。
-w timeout 指定超时间隔,单位为μs。
destination-list指定要Ping的远程计算机。
3.用Ping工具测试本台计算机上TCP/IP协议的工作情况
可以使用Ping工具测试本台计算机上TCP/IP协议的配置和工作情况,方法是Ping 本机的IP地址,如Ping l92.168.0.3,如果本机的TCP/IP协议工作正常,则会出现如
下所示的信息。
Pinging 221.14.183.248 with 32 bytes of data:
Reply from 221.14.183.248: bytes=32 time<10ms TTL=64
Reply from 221.14.183.248: bytes=32 time<10ms TTL=64
Reply from 221.14.183.248: bytes=32 time<10ms TTL=64
Reply from 221.14.183.248: bytes=32 time<10ms TTL=64
Ping statistics for 221.14.183.248:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
以上返回了4个测试数据包(Reply from……),其中bytes=32表示测试中发送的数据包大小是32个字节,time<10ms表示数据包在本机与对方主机之间往返一次所用的时间小于10ms,TTL=64表示当前测试使用的TTL(Time to Live)值为64。
若本机的TCP/IP协议设置错误,则返回如下所示的响应失败信息。
Pinging 221.14.183.247 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 221.14.183.247:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
4.用Ping工具检查与远程计算机的连接情况
Ping工具不仅在局域网中广泛使用,在Internet中也经常使用它来探测网络的远程连接情况。在平时的网络使用中,如果遇到以下两种情况时,就需要利用Ping工具对网络的连通性进行测试。
当某一网站的网页无法访问时,可使用Ping命令进行检测。例如无法访问新浪网的网址时,可使用“ping https://www.doczj.com/doc/b218509973.html,”命令进行测试,如果返回类似于“Pinging https://www.doczj.com/doc/b218509973.html,[202.106.120.67] with 32bytes Of data:……”的信息,说明对方主机已打开,否则在网络连接的某个环节可能出现了故障,或对方的主机未打开。
3.9.2 IPConfig 工具程序
利用IPConfig工具可以查看和修改网络中的TCP/IP协议的有关配置,例如IP地址、网关、子网掩码等。在Windows 95/98/Me中除IPConfig外,还有一个功能与之相同的工具程序Winipcfg。只是IPConfig是以DOS的字符形式显示,而Winipcfg采用图形界面显示。
IPConfig也是内置于Windows的TCP/IP应用程序之一,用于显示本地计算机的IP 地址配置信息和网卡的MAC地址。
运行IPConfig命令
运行IPConfig命令,可显示本地计算机所有网卡的IP地址配置信息,从而便于校验IP地址的设置是否正确。如下面所示,从中也可以看到主机名(Host Name)、DNS服务器地址等信息。
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : sun-office
Primary DNS Suffix . . . . . . . : https://www.doczj.com/doc/b218509973.html,
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : https://www.doczj.com/doc/b218509973.html,
Ethernet adapter Internet:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8139(A) PCI Fast Ethernet Adapter
Physical Address. . . . . . . . . : 00-E0-4C-A0-74-23
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 221.14.183.248
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 221.14.182.1
DNS Servers . . . . . . . . . . . : 202.102.224.68
该诊断命令显示所有当前的TCP/IP网络配置值。该命令允许用户决定DHCP配置的TCP/IP值。
IPConfig[/all] [/Renew [adapter] [/release[adapter]
参数:
/all 完整显示。在没有该开关的情况下IPconfig只显示IP地址、子网掩码和每个网卡的默认网关值。
/renew[adapted] 更新DHCP配置参数。该选项只在运行DHCP客户端服务的系统上可用。要指定适配器名称,可键入使用不带参数的IPConfig命令显示的适配器名称。
/release[adapter] 发布当前的DHCP配置。该选项禁用本地系统上的TCP/IP,并只在DHCP客户端上可用。要指定适配器名称,键入使用不带参数的IPConfig命令显示的适配器名称。
如果没有参数,那么IPConfig将向用户提供所有当前的TCP/IP配置值,包括IP地址和子网掩码。该应用程序在运行DHCP的系统上特别有用,允许用户决定由DHCP配置的值。
IPConfig是一个非常有用的工具,尤其当网络设置的是DHCP(动态IP地址配置协议)时,利用IPConfig可以让用户很方便地了解到IP地址的实际配置情况。如果在IP地址为192.168.0.1的计算机上运行“iconic/all/batch wq.txt”后,可以将运行结果保存在wq.txt文件中(该文件名自定)中。打开该文本文件将会显示相关的结果。
3.9.3 网络路由跟踪工具程序Tracert
网络路由跟踪程序Tracert是一个基于TCP/IP协议的网络测试工具,利用该工具可以查看从本地主机到目标主机所经过的全部路由。无论在局域网中,还是在广域网或Internet中,通过Tracert所显示的信息,既可以掌握一个数据包信息从本地计算机到达目标计算机所经过的路由,还可以了解网络堵塞发生在哪一个环节,为网络管理和系统性
能分析及优化提供了非常有价值的依据。
1.跟踪路由
如果要跟踪本机到163网站之间所经过的路由,可以直接在操作系统的DOS提示符下输入“tracert www.163.com”命令,将显示如下的信息。
Tracing route to https://www.doczj.com/doc/b218509973.html,[202.106.185.77]
Over a maximum of 30 hops:
1 3ms 3ms 3s 61.159.62.1
2 34ms 33ms 32ms 61.159.63.129
3 34ms 41ms 43ms 202.99.164.169
……………………………………………………………
10 48ms 54ms 44ms https://www.doczj.com/doc/b218509973.html,[202.106.185.77]
Trace complete
从以上信息可以看出,这条线路中一共经过了10个路由器。通过查看每个路由的延时长短,可以判断每一段网络连接的质量好坏。
2.用Traced命令解决问题
使用Tracert命令可确定数据包在网络上的停止位置。
在下面的例子中,默认网关确定192.168.10.99主机没有有效路径。这可能是路由器配置的问题,或者是192.168.10.0网络不存在(错误的IP地址)。
C:\WINDOWS>tracert 192.168.10.99
Tracingroute to 192.168.10.99 over maximum of30 hops
1 10.0.0.1 reports:Destination netunreachable.
Tracert complete.
3.命令详解
命令格式:Tracert [-d] [—h maximurn hops][-j computer-list] [—w timeout] target-name
它的主要参数有以下几个。
—d 指定不将地址解析为计算机名。
—h maximum_hops指定搜索目标的最大跃点数。
-j computer-list指定沿computer-list的稀疏源路由
—w timeout每次应答等待Timeout指定的微秒数。
Target-name 目标计算机的名称。
4.Tracert命令在局域网互连中的应用
当在同一个局域网中发生故障时,可通过前面所讲到的Ping命令来检测,但在跨网段或多个局域网互连的网络中,如果要精确地定位网络中的故障点,Ping就显得无能为力了。当两个网络中的用户无法进行互访时,有时很难确定到底是哪个局域网中的路由服务出现
了错误,利用Tracert工具就可以方便地判断故障究竟出在哪些地方。方法是在其中的一个客户机上先跟踪检测本局域网服务器的主机名,如在局域网1中键入命令:“tracert nts0l”,如果返回正确的信息,则说明本局域网内部的连接没有问题。接着再跟踪检测对方服务器的主机名,如局域网1中的用户可键入命令:“tracert nts02”,如果返回出错信息,则说明故障点出现在对方的局域网中,或者连接两个局域网的线路或连接设备有问题。
3.9.4 PathPing
PathPing是Windows 2000引入的一个新命令。它结合了Ping和tracert命令的功能,可提供这两个命令都无法提供的附加信息。
Pathping命令将数据包发送到最终目标位置途中经过的每个路由器,经过一段时间的等待,然后根据从每个路由器返回数据包统计结果。因为Pathping显示指定的所有路由器和链接的数据包的丢失程度,所以用户可据此确定网络出现问题的路由器或链接。Pathping 的基本用法如下:
pathping [—n] [—h maximum_hops][—g host-list] [—p period] [—q
num_queries] [—w timeout] [—T] [—R] target_name
参数:
—n:不将地址解析为主机名。
—h maximum_hops:指定搜索目标的最大跃点数,默认值为30。
—g host-list:允许沿着host-list将一系列计算机按中间网关(松散的源路由)分隔开来。
—P period:指定两个连续的探测(ping)之间的时间间隔(以毫秒为单位),默认值为250毫秒(1/4秒)。
—q num_queries:指定对路由所经过的每个计算机的查询次数,默认值为100。
—w timeout:指定等待应答的时间(以毫秒为单位),默认值为3000毫秒(3秒)。
—T:在向路由所经过的每个网络设备发送的探测数据包上附加一个2级优先级标记(例如802.1P),这有助于标识没有配置2级优先级的网络设备,该参数必须大写。
—R:查看路由所经过的网络设备是否支持“资源预留设置协议(RSVP)”该协议允许主计算机为某一数据流保留一定数量的带宽,该参数必须大写。
Target_ name:指定目的端,可以是IP地址,也可以是主机名。
Pathping默认的跳距为30,默认的超时等待时间为3秒。探测(Ping)的默认时间间隔为250毫秒,路由所经过的每个路由器的默认查询次数为100。以下范例显示的是Pathping的一个输出结果:
C:\Documents and Settings\sun.sun-office>pathping -n sun-office
Tracing route to https://www.doczj.com/doc/b218509973.html, [221.14.183.248]
over a maximum of 30 hops:
0 221.14.183.248
1 172.16.87.218
2 192.68.80.1
Computing statistics for 25 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 221.14.183.248
0/ 100 = 0% |
1 41ms 0/ 100 = 0% 0/ 100 = 0% 172.168.87.218
13/100=13%|
2 22ms 16/100=16% 3/100=3%192.168.80.1
Trace complete.
PathPing第一部分的结果类似于Tracert,然后Pathping等待一段时间,这段时间依赖于跳距。在这段时间里,Pathping从所经过的路由器上及路由器之间的链路上收集信息。跳距列表后的统计数据为路由所经过的每个路由器上数据包丢失的百分比。
在上面的测试结果中,This Node/Link Lost/Sent=Pct和Address列显示
221.14.183.248与172.168.87.218之间的链接丢失了13%的数据包。跃点2上的路由器出现了丢包现象,但所丢失的数据包不影响其转发路径。
测试结果中显示的链接(在Address列中以|标识)数据包丢失率,指出了在该路径上由于链路拥塞而导致数据包的丢失情况;显示的路由(由其IP地址标识)数据包丢失率指出了路由器的CPU或本地数据包缓冲区可能超载。出现拥塞的链路和路由器将直接影响到端对端的通信状况。
3.9.5 网络协议统计工具程序Netstat/Nbtstat
Netstat同样是运行于Windows 95/98/NT/2000/Me提示符下的工具,利用该工具可以显示协议的有关统计信息和当前TCP/IP网络连接的情况,用户或网络管理人员可以得到详尽的统计结果。当网络中没有安装网管软件,但要对网络的整体使用状况做详细了解时,该工具特别有效。
1.Netstat的命令格式和参数
Netstat工具的命令格式为:
Netstat[—a][—c][—n[—s][—p proto][—t][interval]
主要参数有:
-a 显示所有与该主机建立连接的端口信息。
—e 显示以太网的统计信息,该参数一般与s参数共同使用。
—n 以数字格式显示地址和端口信息。
—s 显示每个协议的统计情况,这些协议主要有TCP、UDP、ICMP和IP。
4.2 DHCP 服务器的安装和配置
前面介绍了有关DHCP的一些基本知识,在具备这些知识后就可以安装和配置一台DHCP 服务器了,并利用DHCP服务对网络的TCP/IP协议栈进行管理。
4.2.1 安装DHCP服务器
首先,DHCP服务器必须是一台安装有Windows NT Server 4.0或Windows 2000 Server /Advanced Server的计算机,而不能是使用Windows NT Workstation 4.0或Windows 2000 Professional的计算机;其次是给要担任DHCP服务器功能的计算机安装TCP/IP协议,并设置其IP地址、子网掩码、默认网关等内容,而且DHCP服务器必须使用静态IP地址,也就是说DHCP服务器的IP地址是固定的。在此基础上再进行以下的操作(以Windows 2000 Server为例)。
(1)选择“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”,打开“Windows组件向导”对话框。
(2)选择对话框中“组件”列表框中的“网络服务”一项,选择单击“详细信息”按钮,出现“网络服务”对话框。
(3)在对话框“网络服务的子组件”列表框中选择“动态主机配置协议(DHCP)”一项后,单击“确定”按钮,系统将从Windows 2000安装光盘复制所需的程序。
(4)复制结束后,重新启动计算机。在“开始→程序→管理工具”的下拉菜单中将会出现“DHCP”一项,说明DHCP安装成功。
4.2.2 对DHCP服务器进行授权
虽然在任何一台运行有
Windows 2000 Server/Advanced
Server的计算机上安装了DHCP
服务后,该计算机就可以成为一
台DHCP服务器,并能为DHCP客
户端提供服务。但是,这样会在
安全上产生漏洞:用户可以随意
安装一台DHCP服务器,并为用户
提供未经统一规划的IP地址,从
而产生IP地址管理的混乱。所
以,出于对网络安全管理的考虑,
图4-5 DHCP控制台窗口
图4-7 授权确定
图4-8 管理授权的服务器 在Windows 2000中安装了DHCP 功能后并不能直接使用,还必须进行授权操作,未经授权的服务器无法提供DHCP 服务,即不得成为DHCP 服务器。
当一台DHCP 服务器被授权后,它的IP 地址就会自动保存在Windows 2000的活动目录(Active Directory )中。一般情况下,只有Windows 2000的域管理员(Administrator )或Enterprise Admins 组中的成员才能进行授权操作,其他用户没有这个操作权利。对DHCP 服务器进行授权的过程如下。
(1)选择“开始→程序→管理工具→DHCP ”,打开如图4-5所示的DHCP 窗口。
(2)在窗口中选择“操作”菜单下的“管理授权的服务器”选项,然后弹出“管理授权的服务器”对话框。如图4-6所示。
图4-6 管理授权的服务器窗口
(3)在对话框中点击“授权”,弹
出服务器对话框。从中输入要授权的服
务器的地址。然后弹出确认对话框。如
图4-7所示。
(4)检查无误后,单击“是”,返
回“管理授权的服务器”,如图4-8所
示。如果还有需要授权的另一台DHCP
服务器,重复前面的操作。点击“关闭”。
(5)在DHCP 窗口中,显示授权成
功。如果长时间没有反应,按F5键或选
择“操作”菜单下的“刷新”一项,将出现如图4-9所示的窗口,表示授权成功。图中的https://www.doczj.com/doc/b218509973.html, 计算机便是被授权的DHCP 服务器。
图4-10 新建作用域向导
图4-9 DHCP 管理控制台
(6)在域控制器上,选择“开始→程序→管理工具→Active Directory 站点和服务”,打开“AD 站点和服务”窗口,在选择了“查看”菜单下的“显示服务节点”功能项后,依次展开“树”目录中的“Active Directory 站点和服务→Services →NetServices ”,在右边的列表框中会显示已经被授权的DHCP 服务器名。
4.2.3 设置IP 地址段
当DHCP 服务器被授权后.还需要对它设置IP 地址段(也称为IP 作用域,或IP 地址范围)。给DHCP 服务器设置了IP 地址段后,当DHCP 客户端在向DHCP 服务器发出IP 地址请求时,DHCP 服务器才会从该地址
段内选择一个还没有被使用的IP
地址,并将其出租给发出请求的
DHCP 客户端。所以,DHCP 服务器中
IP 地址段内所包含的IP 地址的多
少决定了该DHCP 服务器可管理的
DHCP 客户端的数量。在DHCP 服务
器中设置IP 地址段的具体方法如
下。
(1)选择“开始→程序→管理
工具→DHCP ”,打开DHCP 窗口。
(2)选择窗口中“树”目录中
的DHCP 服务器(win2000s
[192.168.0.4]),然后选择“操作”
菜单下的“新建作用域” (也可单
击鼠标右键,在出现的快捷菜单中来完成选择),出现“新建作用域向导”对话框。
图4-11 指定IP 地址范围
图4-12 指定排除IP 地址
(3)单击“下一步”按钮后,在出现的对话框的“名称”文本框中输入该作用域的名
称,如果需要还可以在“说明”文
本框中输入一些说明文字,如图4
-10所示。其中包括以下内容。
(4)单击“下一步”按钮后,
出现如图4-11所示的对话框。
输入此作用域分配的地址范
围:在该选项下提供了“起始IP
地址”和“结束IP 地址”设置项,
用它来限制DHCP 服务器的IP 地址
段。例如,在起始IP 地址后面输入
192.168.0.10,然后在结束IP
地址后面输入192.168.0.200,
这时该DHCP 服务器提供的IP 地址段为
192.168.0.10~192.168.0.200,共191个C 类的IP 地址。
“长度”和“子网掩码”:这里的“长度”和“子网掩码”的功能是一致的,都是对DHCP 服务器提供的IP 地址的子网掩码进行设置。如果选择“子网掩码”来设置,则可以直接在其后指定子网掩码的值(如c 类网络为255.255.255.0),当输入结束后,“长度”的值将自动变为24,这是因为子网掩码的值255.255.225.0共用了24个位,即3个255(255的二进制值为11111111,8个1);如果首先选择“长度”,则需要输入该类网络中表示网络ID 的位数(如C 类网络为24)。表4-1列出了网络类型、长度和子网掩码三者之间的对应关系,供参考。
表4-1 网络类型、长度和子网掩码三者之间的关系
钮后,出现如图4-12所示
的对话框,在此对话框中输
入要排除的IP 地址的范围。
如果在图中所设置的IP 地
址段中的部分IP 地址不想
由DHCP 服务器提供给DHCP
客户端使用时,可将其从该
对话框中去除。例如,在已
设置的192.168.0.10~
192.168.0.200地址段中
192.168.0.50~192.168.0.60这11个IP地址需要保留,可在对话框的“起始IP 地址”后面输入192.168.0.50,在“结束IP地址”后面输入192.168.0.60,单击“添加”按钮后,这一段IP地址将不会提供给DHCP客户端使用。如果在已设置的IP地址段中有一个IP地址(如192.168.0.100)不想提供给DHCP客户端使用时,只需要在对话框的“起始IP地址”后面输入该IP地址值(如对于已被保留的IP地址或地址段,在需要提供给DHCP客户端使用时,也可以“排除的地址范围”列表中选取了该IP或IP地址段后,单击“删除”按钮.解除对它的保留。
如果网络中除包含有DHCP客户端外,还有部分使用静态IP地址的客户端,必须把这些已分配的IP地址(使用静态IP地址的用户所占用的IP地址)从DHCP服务器的IP地址段中排除.否则会引起IP地址使用的混乱.
(6)单击“下一步”按钮后,出现如图4-13所示“租约期限”对话框。在该对话框中设置IP地址租期的时间值,系统默认为8天,用户可根据网络的实际情况来重新选择。一般情况下,当网络中的IP地址比较紧张时,可将租期时间设得短—些。
图4-13 租约期限
(7)单击“下一步”按钮后,出现“配置DHCP选项”对话框。如果选择“是,我想现在配置这些选项”,继续DNS服务器、默认网关、WINS服务器等内容心的配置。如果网络中暂时不需要这些服务器,可选择对话框中的“否,我想稍后配置这些选项”,当需要时再进行配置。
(8)当选择“是,我想现在配置这些选项”后,出现如图4-14所示的“路由器(默认网关)”对话框。在“IP地址”下方输入默认网关的IP地址,然后单击“添加”按钮进行确认。如果网络中存在多个默认网关,可用同样的方法依次将其全部输入。
图4-14 设置默认网关
(9)单击“下一步”按钮后,出现如图4-15所示的对话框。请在该对话框中设置客户端DNS域的名称,同时输入DNS服务器的名称和IP地址。为了保证设置正确,可先在“服务器名”下方输入DNS服务器的名称,然后单击“解析”按钮,该DNS的IP地址将自动添加到“IP地址”下方的列表框中。最后单击“添加”按钮进行确认。如果该网络中存在多个DNS服务器,可用同样的方法依次添加。
图4-15 配置DNS服务器
(10)单击“下一步”按钮后,出现如图4-16所示的对话框,在该对话框中输入WINS 服务器的名称和IP地址。如果网络中目前还没有WINS服务器,则可以暂不输。
图4-16 WINS服务器设置
(11)单击“下一步”按钮后,出现“激活作用域”对话框,如果要让刚才的设置立即生效,可选择“是,我想现在激活此作用域”;如果暂时不想让刚才的设置生效,可选择“否,我将稍后激活此作用域”。
(12)当选择了“是,我想现在激活此作用域”’后,系统开始激活过程。
(13)激活过程结束后,单击“完成”按钮,设置结束。返回DHCP窗口,刚才的设置已显示在窗口中。最后结果如图4-17所示。
图4-17 设置完成的DHCP服务器
通过以上的设置,DHCP客户端就可
以从DHCP服务器端获得IP地址及其配
置了。
4.2.4 DHCP客户端的设置
图4-18 TCPP/IP属性设置
图4-25 选择目标计算机 目前,网络中的DHCP 客户端多使用Windows 95/98/NT /2000/Me 操作系统.当服务器使用DHCP 服务时,客户端的设置方法基本相同,下面以Windows 98为例进行介绍。
选择“开始→设置→控制面板→网络”,打开“网络”对话框。
在“已经安装了下列网络组件”列表中选择“TCP /IP ”一项,然后单击“属性”,出现如图4-18所示的对话框。
选取对话框中的“自动获取IP 地址”一项后,单击“确定”按钮,完成设置。
安装DNS 服务器
在Windows 2000 Server 中可以通过以下的方式安装DNS 服务器。
(1)选择“开始→设置→控制面板→添加/删除程序”,在出现的对话框中单击“添加/删除Windows 组件”一项,出现“Windows 组件向导”对话框。
(2)选择对话框“组件”列表中的“网络服务”一项,然后单击“详细信息”按钮,出现“网络服务”对话框。
(3)在对话框的“网络服务的子组件”列表中选择“域名服务系统(DNS )”一项,单击“确定”按钮,返回“Windows 组件向导”对话框。
(4)单击“下一步”后,系统将从安装光盘复制所需的程序。
安装结束后,在“开始→程序→管理工具”的下级子菜单中将会多出一个名为“DNS ”的项,说明DNS 服务器已成功地安装。同时,将会在\WINNT \System32下创建一个名为dns 的文件夹。该文件夹中保存了与DNS 运行有关的文件,如缓存文件(Cache )、DNS 配置文件(DNS )及一些文件夹。
4.6.3 DNS 服务器级的管理
1. 添加DNS 服务器
安装DNS 服务器后,系统自
动将本机默认的DNS 服务器添加
到DNS 控制台的目录树中。当然
还可将网上的其他的Windows
2000 DNS 服务器添加到控制台中
进行管理。具体操作方法:
选择“开始→程序→管理工
具→DNS ”,打开DNS 控制台。
选择菜单“操作”→“连接
到计算机”,打开如图4-25所示的“选择目标计算机”对话框,
其中有两个选项。
“这台计算机”:表示要连接和管理的DNS 服务器与DNS 控制台位于同一台计算机上。
图4-26 DNS “接口属性”
图4-27 设置DNS 的转发器
“下列计算机”表示要连接和管理的服务器位于远程计算机上,在下面的文本框中输入DNS 服务器的计算机名称或IP 地址。
2. 配置多宿主DNS 服务器
所谓多宿主DNS 服务器,是指安装DNS
服务器的计算机拥有多个IP 地址。在默认
情况下,DNS 服务侦听所在计算机上所有
的IP 地址,接受发送至其默认服务端口的
所有客户机请求。管理员可以对特定的IP
地址限制DNS 服务,使DNS 服务仅侦听和
应答发送至指定的IP 地址的DNS 请求。具
体操作如下:
选择“开始→程序→管理工具→DNS ”,
打开DNS 控制台。
打开“DNS 控制台的目录树”,从中选
择要配置的DNS 服务器,单击鼠标右键,
在出现的快捷菜单中选择“属性”,打开服
务器属性对话框,切换到如图4-26所示
的“接口”选项卡,如果要限制IP 地址,
可进行IP 地址编辑。
3. 启用DNS 转发器
DNS 转发器用来帮助解析当前DNS
服务器不能解析的域名,将不能解析的
域名请求转发给其他DNS 服务器。一般
在位于Intranet 与Internet 之间的网
络屏障或防火墙中使用DNS 转发器。
从DNS 控制台的目录树中选择要配
置的DNS 服务器,单击鼠标右键,在出
现的快捷菜单中选择“属性”,打开服务
器属性对话框,切换到如图4-27所示
的“转发器”选项卡。如果选择“启用
转发器”复选框,可在下面列表框添加
或编辑用做转发器的DNS 服务器的IP
地址,其中列出的第1个服务器应是首
选服务器,并且主要用于建立本地缓存。
一般来说,应列出多个转发器,列表中
的每个服务器只能尝试一次,对同一服