网络现状:计算机中心机房共有计算机240台,已互连为局域网,希望访问校内资源时通过校园网接口,而访问外部资源时通过ADSL接口。
解决:
Windows XP和Windows 2003都自带ADSL宽带拨号程序,这里只要使用Windows 2003的“路由和远程访问”程序稍加配置,就可搞掂一切。
1、前提
计算机一台(配置不用很高,只要能安装Windows 2003就行),安装有Windows2003操作系统,内插3块网卡,网卡1:连接内部局域网,IP:192.168.1.1,子网掩码:255.255.255.0,网关:空,DNS:空;网卡2:连接ADSL,IP:自动获取,DNS:自动获取;网卡3:连接校园网,IP:202.203.230.2,子网掩码:255.255.255.0,网关:202.203.230.1,DNS:202.203.220.2(假设校园网网段为202.203.220.0—202.203.230.0之间,DNS服务器为202.203.220.2);
2、服务器配置
Step1.单击“开始”—“管理工具”—“路由和远程访问”,启动配置向导;选择本地服务器,单击“操作”—“配置并启用路由和远程访问”(图一)。单击“下一步”,选择“自定义配置”—“下一步”;复选“请求拨号连接(由分支办公室路由使用)”和“LAN 路由”—“下一步”—“完成”,即可启动路由和远程访问。
Step2.选择“网络接口”,单击“操作”—“新建请求拨号接口”—“下一步”—“下一步”,选择“使用以太网上的PPP(PPPoE)连接”—“下一步”—“下一步”,弹出“协议及安全措施”选项,去掉所有钩选,单击“下一步”,输入ADSL帐号和密码,“下一步”—“完成”。)。
Step3.新建一批处理文件route.bat,并把其快捷方式添加到“开始”—“程序”—“启动”下,编辑route.bat内容如下:
cdroute delete 0.0.0.0
route add 192.168.1.0 mask 255.255.240.0 192.168.1.1
route add 202.203.220.0 mask 255.255.240.0 202.203.230.1
route add 202.203.221.0 mask 255.255.255.0 202.203.230.1
//(自行把校园网的IP段添加上)
route add 202.203.230.0 mask 255.255.255.0 202.203.230.1
3、客户机配置
TCP/IP配置如下:IP:192.168.1.x,子网掩码:255.255.255.0,网关:192.168.1.1,首选DNS服务器:当地ADSL域名服务器IP(可向ADSL提供商查询,如昆明电信的为:202.98.160.68),备用DNS服务器:202.203.220.2。此处的DNS设置非常关键,有的人会误把DNS设为:192.168.1.1。
总结
使用此方法实现宽带共享,可节约购买路由器的费用,几乎不占用服务器资源,且只要往服务器上加插网卡,就可任意扩张客户机数量或外部出口。我单位400多台计算机使用此种方法共享一条2MADSL宽带将有一年,运转非常稳定,每台计算机就象在独立使用一根2MADSL在上网,同时可以快速浏览校内资源,实现网上办公,何乐而不为!
:Windows2000/XP/2003系统默认共享的关闭。
Windows2000/XP/2003 在默认情况下
C, D, E ... 等盘都是默认共享的, 共享名分别为C$, D$, E$ ...等,还有一个ADMIN$,
由于这些共享名都以$ 结尾(隐藏), 所以无法在网上邻居的共享文件夹列表里出现,
但这些共享都是实际存在的, 可以通过直接输入\\IP\C$ 或者映射网络驱动器来访问其中的文件并操作.
共享时需要提供管理员密码(如果口令不为空).
为了提高Windows系统的安全性, 我们强烈建议您关闭此类默认共享.
脚本下载点击此处下载(下载后直接运行此注册表文件即可)
运行一次后就可以永久去除ADMIN$, C$, D$......等默认共享
关闭共享只是一方面, 我们强烈建议您使用足够复杂的管理员口令来保障计算机的安全性. 参考文章:
Windows2000/XP/2003口令设置原则以及方法
附:
查看本机的共享资源
C:\net share sharename
sharename=drive:path [/USERS:number | /UNLIMITED]
[/REMARK:"text"]
[/CACHE:Manual | Documents| Programs | None ]
sharename [/USERS:number | /UNLIMITED]
[/REMARK:"text"]
[/CACHE:Manual | Documents | Programs | None]
{sharename | devicename | drive:path} /DELETE
NET SHARE 使网络用户可以使用某一服务器上的资源。当不带选项使用本命令
时,它会列出该计算机上正在被共享的所有资源。对于每一种资源,Windows 都
会报告其设备名或路径名,以及与之相关的描述性注释。
sharename 指共享资源的网络名。输入NET SHARE 和一个共享名只会
显示那个共享的有关信息。
drive:path 指定将被共享的柯嫉木 月肪丁?BR>/USERS:number 设置可以同时访问共享资源的最大用户数。
/UNLIMITED 指定用户可以同时访问共享资源的不受限制的数目。
/REMARK:"text" 添加一个有关资源的描述性注释,应将文本包含在引号中。devicename 指一个或多个被共享名所共享的打印机(LPT1: 至LPT9:)。
/DELETE 终止资源的共享。
/CACHE:Automatic 启用脱机客户缓存和自动重新集成
/CACHE:Manual 启用脱机客户缓存和手动重新集成
/CACHE:No 告诉客户脱机缓存不合适
NET HELP command | MORE 用于逐屏显示帮助。
问题:我用一台机器,网卡A是电信,网卡B是网通,网卡C是内网。
也就是三个网卡实现双线路由,这台机器上我装了WINDOWS 2003
怎么做策略,可以让这台机器实现双网路由。不是ROUTER OS要在WINDOWS2003下做!解答:
二比一好,轻松打造双Internet接入
当我们拥有两条Internet线路时,首先想到的就是使用带有双WAN口的路由器来实现接入。双WAN口的路由器不仅可以实现链路的备份(link backup),而且可以实现流量的负载均衡(load balancing)。但是这样的双WAN口路由器不仅价格昂贵,而且难以应对日益增长的网络流量。其实,我们可以通过PC+软件的方式获得和双WAN口路由器一样的功能,而且通过升级PC配置(CPU、内存、磁盘子系统)来应付不断变化的流量需求。本文通过对不同网络环境下实现双Internet接入的介绍,希望能够扩宽大家这方面的思路。
RRAS实现多Internet接入
随着教育信息化的发展,笔者所在的学校对学生宿舍进行了教育网接入。由于资源有限,每个宿舍只有一条接入线路,所有的机器都通过一台NAT主机共享上网。由于教育网是按照流量进行收费的,这为同学们带来了一定的经济负担。经过商议,决定在原有线路的基础上再加上一条电信的ADSL线路,希望到达教育网的流量都走教育网出口,其他的流量都经过网通的ADSL线路。这样一方面充分享受了教育网丰富的资源,另一方面也节省了使用费用。
经过考虑,笔者决定使用Windows 2000 Server的RRAS来满足这些需求。RRAS是路由与远程访问(remote accerouting service)的缩写,为Windows 2000 Serve自带的路由与VPN 服务器端软件。这里我们只使用RRAS的NAT功能。如图1所示,运行RRAS的主机作为NAT主机,安装有三块网卡。ADSL连接由DHCP进行地址分配;教育网分配IP地址202.196.111.54、202.195.111.1、子网掩码255.255.255.128;内网使用私有IP段192.168.1.0,网卡地址为192.168.1.1。
网络环境
配置过程:
①为了便于在以后配置中区分网络连接,首先根据所连接网络的名称对网卡进行重命名(如图2)。
②分别对三张网卡进行IP协议的配置。LAN配置静态地址192.168.1.1 255.255.255.0,不配置默认网关和DNS地址;CERNET配置静态地址202.196.111.54 255.255.255.128,不配置网关和DNS地址(如图3);ADSL按照默认配置,使用DHCP协议从ISP获得IP协议配置。记住:LAN和CERNET不能配置默认网关,因为一台主机只能配置一个默认网关(本
环境下使用DHCP服务器分发的网关),否则主机无法正常访问网络
③进入控制面板中的管理工具对路由远程访问进行配置。在窗口中右击“本地主机”,选择“配置和开启路由与远程访问”,这时将出现“路由与远程访问服务配置向导”(如图4
④点击下一步,选择服务器类型为“Interne连接服务
器”(如图5)。
⑤选择“设置有网络地址转换路由协议的路由器”(如图6),这样才能使用RRAS服务。
⑥选择ADSL为Internet连接(如图7)。这样,ADSL便成为NAT出口,但是CERNET没有成为NAT出口,我们将在向导的结束后把CERNET更改为NAT接口。
⑦选择LAN为共享ADSL连接的网络(如图8)。
⑧因为局域网内使用手工配置静态IP地址,所以选择
“我将稍后设置名称和地址服务”(如图9)。
⑨点击“完成”,结束路由与远程访问的配置。至此,我们设置ADSL为NAT接口,LAN为
共享此连接的内部网段。虽然这时内部网络可以访问Internet,但是由于没有配置CERNET 为NAT接口,所以还不能把到达的教育网流量分配到此接口。下面的配置是满足我们需求的关键步骤:
⑴当RRAS在主机上启用后,打开RRAS配置窗口。依次展开本地/IP路由选择/网络地址转换(NAT),右边列出了参与NAT的接口(如图10),单击右键选择“新接口”。
⑵弹出如图11所示的窗口,点击确定,把CERNET接口
加入到RRAS接口中。
⑶选择“公用接口连接到Internet”,并勾选“转换TCP/IP头”(如图12)。如果不勾选此项,那么便不能实现多个内
部主机共用一个IP地址的Overloading NAT。
⑷至此,已经设置ADSL和CERNET为NAT出口,但是流量还是不会经过CERNET接口出去,因为默认网关是指向ISP的网络的。这时需要通过添加静态路由的方式把流量转移到CERNET接口上。很多人会发出疑问:教育网中有那么多子网,添加静态路由的工作量一定会很大吧?其实不必为此担心。按照CIDR(classless inter domai,无类别域间路由)的规则,会对网络分配连续的IP地址块,形成超网(supernet)。这样可以使用比传统掩码更短的超网掩码(supernetmask)来表示多个网络。(注:CIDR是IETF为解决IP地址浪费严重而提出的一种IP分配方案和路由策略。它摈弃了传统的对IP地址划分类别的思想,对网络地址的区分只依靠IP地址前缀。因此多个连续C类子网可以聚合成为一个更大超网。)经过查询,中国教育网地址分配情况大致为:202.112.0.0/12、202.192.0.0/12、166.111.0.0/17(分配情况可能会发生改变,请及时更新)。
⑸依次展开本地/IP路由选择/静态路由,右击左侧窗口,选择“添加静态路由”。在窗口中填入接口CERNET、目标202.112.0.0、网络掩码255.240.0.0、网关202.196.111.1(如图13)。
依照如上的方法,依次添加对202.192.0.0/12和166.
111.0.0/17的静态路由(如图14)。
经过上面的设置,达到了在网关分离流量的目的。其实这个方法也非常适合采用两条光纤接入不同ISP的网吧,只要搞清楚了ISP的地址分配情况,就可以做到在网关上分离流量,达到快速访问Internet的目的。
Winroute实现线路备份
笔者学校附近有家网吧,采用电信10M光纤接入。为了保证网吧的稳定,决定采用一条ADSL 线路进行备份。有什么软件可以实现在光纤连接失败的情况下,能自动地把流量转移到ADSL线路上,当光纤连接恢复后,又自动恢复流量方向呢?笔者自然想到了Kerio Winroute Firewa的connectionfailover功能。Winroute是Kerio公司推出的企业级防火墙和Webn routing 缓存软件,这里笔者只着重介绍connection failove功能。Winroute connection failover采用如下工作机制:每隔一段时间,通过主连接(primary connection)向用户指定的IP地址(可以是多个)发送ICMP echo request,如果接收到ICMP echo reply则认为主连接是可用的;如果没有接收到ICMPecho reply,则认为主连接失败,并自动把流量转移到备份连接上。需
要注意的是,使用ICMP echo reques进行探测的IP地址必须可以返回ICMP echo replay,并长时间运行。一般我们选择该条链路的默认网关作为探测对象。如图15,光纤接入分配静态地址61.54.138.70、子网掩码255.255.255.0、网关61.54.138.1;ADSL采用ISP的拨号软件进行拨号,分配动态IP地址;Winroute选用最新版本Kerio Winroute Firewall 6.0.10。
配置过程:
①进行基本的网络配置;安装Winroute和ISP提供的拨号软件,并制定基本的流量策略(traffic policy)。
②要使网络用户可以通过ADSL和FIBER访问Internet,必须指定流量策略。依次展开Kerio Winroute Firration/Traffic Policy,添加一条策略:Source=LA、Destination=Fiber/ADSL、Service=Any、Action=Per、Translation=NAT(Default outgoin(如图16)。注意,NAT一定要选择outgoing interface,这样,所有从此接口出去的流量都会转换成此接口的IP地址,而不是其他接口的地址。
③展开Kerio Winroute Firewall/C,打开“Connection failover”选项卡。勾选“Enable conn failover”,开启connection failover功能。
④选择进行探测的IP地址,这里我们使用的是光纤线路的默认网关(如图17)。选择IP地址的主要原则是:能够返回ICMP echo reply ;是长时间不间断运行设备的IP地址;可以用来说明Internet连接的可用性。
⑤选择主连接并填入主连接网关。
⑥如图18,填入备份连接和对应网关地址
⑦至此,完成了线路备份设置。因为ISP提供的拨号程序不是标准的PPPoE,所以需要事先建立拨号连接,这样实
现热备份功能。对于采用PPPoE标准拨号的地区,只要指定PPPoE连接,Winroute会自动进行拨号连接。
NLB进行负载均衡
NLB(network load balancing)是Windows 2000 Adven Server所提供的一种集群特性。通过
配置NLB可以在运行相
同服务的服务器之间进行负载分布,提高访问性能。配置NLB的所有服务器组成一台虚拟服务器,对于访问用户来说是只能看到这台虚拟服务器,而组成虚拟服务器的物理主机则是不可见的(如图20)。只要集群中还有活动主机存在,虚拟服务器对外界来说就是可用的,所以NLB同时也提供了虚拟服务器的高可用性。
NLB是工作在网络底层进行的负载均衡技术,我们只要在代理服务器上安装相同的代理软件并进行相同的配置(有
些配置例外)就可以完成负载均衡功能。如图21所示,内部网络通过两台安装有Winroute
的NAT
服务器接入ISP,IP地址分别为192.168.1.2/24和192.168.1.3/24,并通过NLB的方式组成IP地址为192.168.1.1/24
nection的虚拟服务器。
配置过程:
①选择内网网络连接,打开属性页;选择“Internet协议”,点击“属性”,设置这台服务器的独立IP地址192.168.
1.2/24,代理服务器一般不设置默认网关;单击“高级”,为适配器添加第二个IP地址,这个地址为虚拟服务器的IP地址
(如图22)。
②默认情况下网络载量平衡没有开启,勾选“网络载量平衡”,开启NLB。
③选择网络载量平衡,点击“属性”,开始配置NLB。在“主IP地址”填入虚拟服务器地址192.168.1.1/24;“完整
Internet名”留空即可;勾选“多播支持”,因为没有单独的网卡用于NLB主机之间的通信,需要启用多播使负载均衡网卡
接受NLB主机间的通信。如果需要进行远程控制,可以启用远程控制并设置密码。
④切换到“主机参数”。优先级是虚拟服务器中物理主机的唯一标识,这里设置为1;设置“初始集群状态”为活动;专用IP地址需要和主机独立IP地址一致。
⑤切换到“端口规则”。设定端口范围为0-65535,因为内网到集群地址的数据包端口号不是固定的,所以需要包括所有的端口;设定“协议”为两者(TCP和UDP);“筛选模式”选择“多个主机”,“仿射类”选择单一;“负荷量”是指该主机承担虚拟服务器总负荷的百分之多少,这个值主要依据主机到Internet连接的带宽来选定。比如主机A和B的Internet连接的
带宽分别为10M和5M,则A承担NLB负载中的67%,其余的由B承担。点击“添加”,添加端口规则到规则列表。
⑥另外一台主机的设置基本相同,但需要设置优先级为2,负载量为33%。
⑦对于Winroute的设置,需要设置相同的流量策略;对于内置的DHCP服务,只要在一台服务器上开启即可。内部主机只需把网关指向192.168.1.1即可。设置完成后通过查看Winroute的日志,我们可以发现对Internet的访问按照载荷分布到两台代理主机上。
通过上面实例可以看到,PC+软件同样可以实现多WAN
口路由器的功能。当拥有相似的网络环境时,我们不妨考虑这些方案。
花2分钟建到网吧的VPN专线,让家里电脑和网吧组成局域网
VPN(Virtual Private Network)即虚拟专用网络,就是两个具有VPN发起连接能力的设备(计算机或防火墙)通过Internet形成的一条安全的隧道。这不多讲了它的概念,网管让家里电脑和网吧组成局域网,我们可以方便地看网吧电影库的电影,可以万象远程查账,可以看视频监控,可以和内网的CS顾客开战,可以随时下载上传游戏给网吧里.....一切就是在局域网。
二、windows 2003 VPN服务端安装配置。
在windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。
第一步:依次选择“开始”-“管理工具”-“路由和远程访问”,打开“路由和远程访问”服务窗口;再在窗口右边右击本地计算机名,选择“配置并启用路由和远程访问”,如下图所示:
第二步:在出现的配置向导窗口点下一步,进入服务选择窗口,如下图所示。如果你的服务器如某此资料所说的那样只有一块网卡,那只能选择“自定义配置”;而标准VPN配置是需要两块网卡的,如果你服务器有两块网卡,则可有针对性的选择第一项或第三项。一般我们的只有一张网卡,我们选最下一项,然后一路点击下一步,完成开启配置后即可开始VPN服务了。
第三步:到这里还没完,以上两步只是开启了VPN服务,还要经过必要的设置才能符合我们的实际使用环境。设置一为关于IP地址的问题,右击右边树形目录里的本地服务器名,选择“属性”并切换到IP选项卡(如下图所示)。
其起始IP地址和结束IP地址的设置可以依据你所在地区的IP地址段,也可自行定义,一般我们看看网吧里有什么IP是用不上的,这里局域网段是
“192.168.1.X”。
接下来随便建个用户,打开远程访问就是
路由里打开1723端口,我是在电影服务器上做VPN server的,也可以游戏服务器,收银服务器,总之是win2003就可以。下图是路由设置,其实连80端口也不需要打开
宽带路由器端口映射远程控制电脑利用宽带路由器端口映射或者是DMZ主机,再配合微软自带的终端服务实现在家里远程操作办公室电脑。 图解宽带路由器端口映射远程控制电脑,关于很多的宽带路由器端口映射问题,都是涉及到远程控制电脑的,所以要先了解远程控制电脑的一些基本知识才能为以后的日志配置做好准备。 宽带路由器端口映射方案一:由于小李的电脑在局域网内,只有利用反弹型远程控制软件(如:灰鸽子等);但是,考虑到它属于后门程序,使用也比较复杂,便放弃这个方案。 宽带路由器端口映射方案二:利用宽带路由器端口映射或者是DMZ主机,再配合微软自带的终端服务实现在家里远程操作办公室电脑。宽带路由器端口映射实现步骤: 1、查看小李办公室电脑IP网关地址(一般情况下网关地址就是路由器LAN口地址,这个就是要访问的内网电脑),在浏览器里面输入http://192.168.1.1。输入相应的用户以及密码进入路由器(默认情况下都是admin),如下图所示:
2、依次点击网络参数——WAN口设置。一般情况下WAN口连接类型是PPPoE,请注意选定“自动连接,在开机和断线后自动进行连接”,再点击保存,如下图所示:
3、为了方便,不使用第二步,直接点击设置向导:如下图 点击下一步,出现: 如果是宽带拨号上网选择第二个,PPPoE(ADSL虚拟拨号),下一步输入上网账号和密码:
输入完成,点击下一步,设置无线上网账号和密码: 完成: 4、接下来设置路由器映射: 依次点击转发规则——虚拟服务器,添加端口和IP地址
继续添加远程桌面端口3389。 同时,还可以通过DMZ主机实现;但是,这个方法有很大的风险,容易受到来自外部的攻击。打开DMZ主机的方法如下;依次点击转发规则——DMZ主机,填写相应的IP地址,并勾选启用,如下图所示: 5、在上图中,我们看到了553端口对应的IP为:192.168.1.9;而3389端口对应的IP为:192.168.1.168。其原因在于,系统不可能为不同的IP转发相同的端口,我们可以通过修改一些电脑的服务端口,来实现分别为不同用户可以在家里远程控制办公室电脑。(实现多个桌面远程控制) ◆修改终端服务端口号的方法如下,依次注册表:
远程访问OPC服务器设置 OPC客户端一方面可以访问本机上的OPC服务器,另一方面,它还可以利用微软的DCOM机制,通过网络来访问其它计算机上的OPC服务器,从而达到远程数据连接的目的。访问本地服务器比较简单,只要检索本地的OPC服务器,并配置相应的组(Group)和数据项(Item)即可,通过网络访问时需要考虑较多的网络连接因素,大体上来说大概有如下的几个需要配置的方面(以WINXP Xp2为例): 一. 运行OPC客户端的计算机和运行OPC服务器的计算机需要彼此能互相访问。 1.1要保证其物理连接,也就是网线正确的连接着两台计算机。 1.2在这两台计算机上分别建立同一个账号及密码,比如用户名[opcuser],密码[123456](注 意:用户密码最好不要设置为空),在这两台计算上使用这个账户都可以登录系统。关于增加账号及密码请参考对应Windows操作系统的帮助文档。 1.3启用各自Windows操作系统的Guest权限。 完成上面几步后,应该达到的效果是:从任何一台计算机搜索另一台计算机,都可以搜索到,并且可以访问对方计算机的共享目录及共享打印机等资源。如下图: 即便用户没有共享任何东西,也会显示空的共享文件夹,而不会产生诸如”不能访问”
等信息。 如果不能访问对方的计算机,首先用ping命令来保证网络的连通,如果必要的情况下,可以关闭这两台计算机的防火墙(无论是winxp xp2自带的防火墙还是专用的防火墙)以及杀毒软件,以杜绝可能产生的问题。 如果访问另一台计算机产生”拒绝访问”的错误,可从网络查找相关资源进行解决。 二. 配置OPCServer所在的计算机 2.1 注册OPCEnum.exe。 opcenum.exe是运行在服务器端的用于枚举本机OPC服务器的服务程序,由OPC基金会提供。注册opcenum有如下几种方式:a)将opcenum.exe拷贝到系统目录下,然后用命令行运行opcenum /regserver 来注册它。b)安装一些OPC服务器程序时会自动安装并注册这个服务程序,比如iconics的模拟OPC服务器程序。c)运行OPC基金会的OPC Core Redistributable安装包,其中包含必要的模块程序。 考虑到远程访问OPC服务器应用较少,以及opcenum.exe对一般用户在系统安全方面带来的混淆,在HMIBuilder中的OPC服务器本身不带OPCEnum.exe,用户根据自己的需要自行注册。 2.2 配置本机的DCOM安全 2.2.1 在命令行运行dcomcnfg,如下图: 产生配置界面如下:
宽带路由器端口映射远程控制电脑 利用宽带路由器端口映射或者是DMZ主机,再配合微软自带的终端服务实现在家里远程操作办公室电脑。 图解宽带路由器端口映射远程控制电脑,关于很多的宽带路由器端口映射问题,都是涉及到远程控制电脑的,所以要先了解远程控制电脑的一些基本知识才能为以后的日志配置做好准备。 宽带路由器端口映射方案一:由于小的电脑在局域网,只有利用反弹型远程控制软件(如:灰鸽子等);但是,考虑到它属于后门程序,使用也比较复杂,便放弃这个方案。 宽带路由器端口映射方案二:利用宽带路由器端口映射或者是DMZ 主机,再配合微软自带的终端服务实现在家里远程操作办公室电脑。宽带路由器端口映射实现步骤: 1、查看小办公室电脑IP网关地址(一般情况下网关地址就是路由器LAN口地址,这个就是要访问的网电脑),在浏览器里面输入192.168.1.1。输入相应的用户以及密码进入路由器(默认情况下都是admin),如下图所示:
2、依次点击网络参数——WAN口设置。一般情况下WAN口连接类型是PPPoE,请注意选定“自动连接,在开机和断线后自动进行连接”,再点击保存,如下图所示:
3、为了方便,不使用第二步,直接点击设置向导:如下图 点击下一步,出现: 如果是宽带拨号上网选择第二个,PPPoE(ADSL虚拟拨号),下一步 输入上网账号和密码:
输入完成,点击下一步,设置无线上网账号和密码: 完成: 4、接下来设置路由器映射: 依次点击转发规则——虚拟服务器,添加端口和IP地址
继续添加远程桌面端口3389。 同时,还可以通过DMZ主机实现;但是,这个方法有很大的风险,容易受到来自外部的攻击。打开DMZ主机的方法如下;依次点击转发规则——DMZ主机,填写相应的IP地址,并勾选启用,如下图所示:
如何在路由器上设置远 程访问有固定公网I P Document number【SA80SAB-SAA9SYT-SAATC-SA6UT-SA18】
要实现远程访问,要在路由器上做端口映射。假如路由器用的公网IP是现在有一台摄像机IP是需要外网访问,它默认的HTTP端口是80,数据端口553,那么该如何实现呢 1.因为默认的80端口不能转发,所以首先修改这台摄像机的HTTP端口为801,方法如下: 2.修该后摄像机会重启,用DeviceSearch搜索工具,显示端口已经改成了801 接下来,需要在路由器上面进行设置,以TP—LINK路由器为例: 1.登陆到TP—LINK路由器。 2.打开虚拟服务器转发规则:
3.添加两个端口,一个是HTTP 801,一个是数据端口553: 此处的端口要和摄像机修改后的数据端口相一致,553端口也要转发,否则可能进行远程观看时会没有图像。
4如果路由器上面的IP与MAC绑定功能开启了,需要将摄像机的IP与MAC地址添加上去,如下图: 5.访问时,路由器公网IP加端口进行访问,打开IE浏览器,输入 出现登陆页面,如下截图: 7.输入用户名admin,密码admin
8.根据你的上行带宽,调整摄像机的比特流率,调整方法如下:点击下图中的视频及音频按钮 9.将比特流率控制在你的最大上行带宽以内,否则图像会传不过来
注: 以上是通过IE浏览器,输入,进行访问的摄像机,但一次只能看到一台摄像机,那如果内网中,有 多台摄像机需要进行访问,该如何设置呢 方法有两种: 第一种:还是通过IE浏览器进行访问, 假如有第二台摄像机IP是需要外网访问 1.同样的方法,要修改摄像机的HTTP端口和数据端口:
配置远程访问服务 一、远程访问服务概述 远程访问服务(Remote Access Servic,RAS)允许客户端通过拨号连接或虚拟专用连接登录网络。远程客户机一旦得到RAS服务器的确认,就可以访问网络资源,就好象客户机已经直接连接在局域网上一样。 1.远程访问连接方式 远程访问服务适合的环境是:在各地有分公司和出差的员工需要访问总部网络的资源。Windows Servic 2003 远程访问服务提供了两种远程访问连接方式: 拨号网络:通过使用电信提供商(例如电话、ISDN或)提供服务,远程客户端使用非永久的拨号连接到远程访问服务器的物理接口上,这时使用的网络就是拨号网络。例如:拨号网络客户端需要安装Modem,使用拨号网络拨打远程访问服务器某个端口的电话号码。 虚拟专用网(Virtual Private NetWork,VPN):VPN是穿越公用网络(如Internet)的、安全的、点对点连接。虚拟专用网客户端使用特定的,称为隧道协议的基于TCP/IP的协议,与虚拟专用网服务器建立连接。例如,虚拟网络客户端使用虚拟专用网连接(连接目标是IP地址)连接到与Internet相连的远程访问服务器上,验证呼叫方身份后,在虚拟专用网客户端和企业网络之间传送资料。 这两种连接比专线连接,提供了低成本远程访问服务。 拨号的远程访问是通过电话线传输资料,虽然传输速率不高,但是对于那些只有少数资料需要传输的用户,特别是在家庭中办公的用户来说是一个很好的方案。
使用虚拟专用连接不但提供了高的传输效率,而且降低了投资成本和维护成本。相对于拨号连接来说,它节约了通信费用,特别是对于外地的分公司来说,解决了一大笔长途电话的费用。 2.拨号网络组件 a、拨号网络客户端:拨号网络客户端,即远程访问客户端。 b、远程访问服务器:Windows Server 2003 远程访问服务器可以接收拨号连接,并且在远程访问客户机与远程访问服务器所在的网络之间进行资料传送。 c、WAN结构:RAS服务器与客户机之间可以建立不同类型的拨号连接,不同的连接类型提供了不同的速度。这些连接类型包括:公共交换电话网(Public Switch Telephone Network,PSTN)、综合业务数字网(Integrated Services Digital Network,ISDN)、非对称数字用户线(Asymmetric Digital Subscriber Line,ADSL)等。 d、远程访问协议:远程访问协议用来控制连接的建立以及资料在WAN链路上的传输。远程访问客户端与远程访问服务器上所使用的操作系统与LAN协议决定了客户机所能够使用的远程访问协议。Windows Server 2003远程访问支持3中类型的远程访问协议: 点到点协议(point-to-point Protocol,PPP)是一种应用非常广泛的工业标准协议,它支持多个厂商的远程访问软件并支持多种网络协议,可以提供最佳的安全性能、多协议访问以及互操作性。 串行线路网际协议(Serial Line Internet Protocol,SLIP)是一种在运行老式UNIX 操作系统远程访问服务器上使用的协议。 Microsoft RAS协议是一种在运行Microsoft操作系统远程访问客户机上使用的远程访问协议。 e、LAN协议:LAN协议是远程访问客户用来访问连接到远程访问服务器上的网络资源而使用的协议。Windows Server 2003中的远程访问服务支持TCP/IP、IPX以及NetBEUI等协议。 3.VPN组件 通俗地讲,VPN就是基于公共网络(如Internet),在两个或两个以上的局域网之间创建传输资料的网络隧道。当传输资料通过网络隧道时,进行安全的VPN资料加密,从而确保了用户资料的安全性、完整性和真实性。 要使用VPN远程访问,需将RAS服务用作VPN服务器。VPN服务器和客户机通过本地的Internet 服务提供商(Internet Service Provider,ISP)在Internet上建立虚拟点到点的连接,就像是客户机直接连接到服务器的网络上一样。 a、VPN的组成要素有: VPN客户端:VPN客户端可能是一台单独的计算机,也可能是路由器。一般的,VPN 客户端需要通过当地ISP连上公共网络(如Internet)以便和VPN服务器连接。 VPN服务器:接收VPN客户端VPN连接的计算机。该计算机一般是使用专线连接公共网络,有固定IP地址。 隧道:连接中封装资料的部分
路由器端口映射,远程桌面连接;端口映射+花生壳=外网访问服务器 远程访问你的个人服务器或WEB站点 1) FTP服务器 说到访问个人服务器如(FTP服务器),主要就是给外网的人访问,我们一般都用Serv-U FT P。这样你只要告诉你的IP和用户名和密码给别人,别人就可以在你的服务器上传东西或下载东西了。 ●要用Serv-U架设个人的FTP服务器首先先下载Serv-U。到网上下载很多(下载了后要是看不懂E文的可以下载个汉化版的,直接运行汉化并放在同个文件夹下)。安装后就打开Serv-U,第一次它会有个向导,关于域IP(不清楚写什么IP就先放着,没事),域名称,匿名用户,用户,文件夹等要让你写,这些都可以改的放心)。完成向导后就进入主界面。(这里注意下,可能Window防火墙可能会提示,我们要让让它通过,成为防火墙的例外,或在例外里添加及打勾)最先看到的就是“<<本地服务器>>”,展开它,底下有许可,设置,活动和域。我门主要说域,其他的自己看就知道什么意思。看到了吗,是不是域下有个刚才你输入的域名称呢(没有?右键再建。)?关键的地方就在这里: ===设置=== 名称:johnnyFTP (这里根据个人喜好写个) 域IP地址:121.54.125.**(这里可以不写或写内网或外网的IP,给外网访问的就写下你的外网IP,其实就是花生壳上的IP。) 域类型:INI 文件(可选,默认就选这个,方便以后备份。) 安全性:仅规则FTP/无SSL/TLS会话(可选) FTP端口:21 (默认的。这里要注意一点,你当时在装IIS的时候要是选择了FTP站点的话,这个端口就被占用了。这时你还是默认的话,你会发现左边的电脑小图被围了个红圈。你一改了端口如为2121,应用下,刷新下马上小图被围了个红圈就没了。那怎么办?把IIS的FTP站点服务给停止掉就可以了。底下有个绿灯,写:域正在线)。 按上面的设置完点应用后应该看到:底下有个绿灯,写:域正在线。 ===用户=== 用户这个我想大家都比我还了解,建什么名字自己建,密码是看不到的,但也可以随时写上去就可以改的。下来肯定是他设置他的权限了。能做什么,不能做什么咯。但不管建什么用户执行的权限都不要勾上(在目录访问的右边有一列下来的权限)。 ===组=== 组,干什么用的啊?这个你这样理解它的隶属关系就可以了:总经理---经理---员工;它的权限是不是也不一样呢,是不是只有1个可以归总经理(超级管理员)呢?是不是只有多个可以归经理(管理员)呢?是不是有更多的可以归到员工(用户)的呢。就是这样的分的组。 ===最后还是要做下端口映射=== 进入路由,(按上面说的差不多)找到NAT或虚拟服务器,一样道理,相关的找到下FTP Ser ver,也默认是21的端口,服务器IP地址:也就是你本机内网的IP,如我的是:192.168. 0.5。应用下就OK了。 到这里其实我总的映射端口已经有2个了。分别是80,21,都映射到我的机子。要是别人要再映射一样的服务的话就要设置不一样的端口了。 好了。总算也把个人的FTP服务器架设好了。把你的IP(外网)告诉你外网的朋友,同时给T A个帐号密码。看看怎么样,是不是有点激动了。呵呵。这时候你可以点左边的“活动”看到有什么用户在干什么事情,都可以跟踪的。其他的功能相信看了就应该知道什么意思了。我就不说了,
远程访问服务器设置 1设置TCP/IP协议 如果安装了多种网络协议,可以通过限制远程用户使用的网络协议来控制远程客户访问的网络资源。TCP/IP是最流行的LAN协议。对于TCP/IP协议来说"还需给远程客户分配IP地址以及其他TCP/IP配置,如DNS服务器和WINS服务器、默认闷关等。打开[路由和远程访问服务]控制台,在目录树中选择相应的服务器,单击鼠标右键,从弹出的快捷菜单中选择[属性]打开属性设置对话框,切换到如图4.43所示的[IP]选项卡,设置IP选项。 1.允许远程客户使用TCP/IP协议
选中[允许基于IP的远程访问和请求拨号连接]复选框,将允许远程访问客户机使用IP协议来访问服务器。如果清除此项,使用IP协议的客户端将不能连接远程访问服务器。 2.限制远程客户访问的网络范围 如果希望基于即的远程访问客户机能够访问到远程访问服务器所连接的网络,应选中[启用IP路由]复选框,激活路由功能。如果清除该选项。使用IP协议的客户机将只能访问远程访问服务器本身的资源,而不能访问网络中的其他资源。 3.向远程客户机指派lP地址 每个通过PPP连接到Windows2000远程访问服务器的远程计算机,都会被自动提供一个IP地址。远程访问服务器获得分配给远程访问客户机的IP地址有两种方式。 通过DHCP服务器获得。 由管理员指派给远程访问服务器的静态IP地址范围。 远程访问服务器也会从获得的IP地址中留出一个自己使用。 在[IP]选项卡的[IP地址分配]区域中设置向远程客户机分配IP地址的方式和范围。 通过DHCP服务器分配IP地址 如果选择[动态主机配置协议]单选钮。将由DHCP服务器为远程客户指定IP地址。远程访问将从DHCP服务器上一次性获得10个IP 地址,如图4.44所示。远程访问服务器将从DHCP获得的第一个IP 地址留给自己使用,并且在与基于TCP/IP的远程访问客户机连接时,
转发点对点隧道协议(PPTP)到路由和远程访问服务(RRAS)在RV016、RV042、RV042G和RV082 VPN路由器 客观 点对点隧道协议(PPTP)是实现VPN方法。 PPTP使用在传输控制协议(TCP)的一条在点对点协议(PPP)信息包的控制通道和通用路由封装(GRE)。路由和远程访问服务(RRAS)是该的服务器软件enable (event)功能的服务器作为网络路由器。当PPTP转发到RRAS时,允许RRAS服务器能控制转发PPTP的网络。 本文目标将解释如何转发点对点隧道协议(PPTP)到路由和远程访问服务(RRAS)。 可适用的设备 ?RV016 ?RV042 ?RV042G ?RV082 转发PPTP到RRAS 步骤1.登陆到Web配置工具并且选择设置>转发。转发页的视图如下所示。 Step 2.从服务下拉列表,请选择点到点隧道协议的PPTP。 第 3 步:在IP Address字段,请输入主机VPN服务服务器的IP地址。IP地址需要是从相同子网(您能使用子网计算器验证)。 第 4 步:检查Enable复选框对enable (event)在VPN路由器的端口范围转发。 步骤5.点击添加列出。 步骤6.点击“Save”。 带宽配置
带宽管理测量和控制关于网络链路的通信。 带宽管理在比特/秒(bps)或字节被测量每秒(Bps)。带宽配置设置允许上行和下行数据流,以及服务质量(QoS)设置多种流量类型的。 第 1 步:在Web配置工具中,请选择系统管理>带宽管理。带宽管理页打开: Step 2.对于类型,请点击速率控制单选按钮。 第 3 步:检查广域网接口复选框在您要运用配置的接口字段的 第 4 步:从服务下拉列表,请选择GRE。GRE是一个封装的协议使用的内部的虚拟点对点链接和要求转发PPTP到RRAS。 第 5 步:在IP字段,请输入服务器将使用IP地址的可适用的范围。 第6.步。从方向下拉列表,请选择下行。 第 7 步:在Min. Rate字段,请在带宽的Kbit/sec输入最低速率。 第8.步。在最大。对字段估计,在带宽的Kbit/sec输入最大速率。 第9.步。检查Enable (event)对带宽管理调节创建的enable (event)。 步骤10.点击添加列出。
第五章实验报告 实验任务: (1) 一、RAS+DC+PPTP (1) 1.建立共享目录发布到活动目录 (1) 2.远程客户端访问活动目录资源 (1) 二、RAS+DC+PPTP高级设置 (1) 1.设置用户通过远程访问策略拨入 (1) 2.设置远程访问策略 (1) ?限制拨入时间 (1) ?限制拨入的组 (1) ?限制验证方法 (1) ?设置加密方法 (1) 实验要求: (1) 1.完成以上实验配置 (1) 2.要求截图 (1) 实验操作过程: (2) 一、RAS+DC+PPTP (2) 1.配置路由和远程访问服务器 (2) 2.新建拨号用户 (3) 3.验证 (4) 二、RAS+DC+PPTP高级设置 (5) 1.用户拨入属性设置 (5) 2.验证 (7) 3.设置验证方法 (8) 4.设置加密方法 (9) 实验任务: 一、RAS+DC+PPTP 1.建立共享目录发布到活动目录 2.远程客户端访问活动目录资源 二、RAS+DC+PPTP高级设置 1.设置用户通过远程访问策略拨入 2.设置远程访问策略 ?限制拨入时间 ?限制拨入的组 ?限制验证方法 ?设置加密方法 实验要求: 1.完成以上实验配置 2.要求截图
实验操作过程: 一、RAS+DC+PPTP 操作步骤: 1.配置路由和远程访问服务器 配置路由和远程访问服务→远程访问(拨号域VPN)→选择“VPN”→选择外部网络 连接,如图1-1所示: 图1-1 选择“来自一个指定的地址范围”→设置地址池的范围,如图1-2所示:
图1-2 2.新建拨号用户 在RAS服务器上建立用户“shadow”并设置拨入权限,如图1-3所示:
如何有效的管理华为3COM路由设备呢?最常见的是通过telnet命令来实现,正如上面所说的如果路由器的某个接口IP地址为192.168.1.1,那么我们就可以在任何一台已经连入网络的PC机上执行telnet 192.168.1.1命令来登录路由器的设置界面。 默认情况下华为3COM设备是开启telnet功能的,也就是说如果不经过任何配置我们可以通过管理控制台的CONSOLE口来连接路由器的控制界面,也可是使用telnet来管理,不过为了让我们能够更高效的管理路由器,今天就为大家详细介绍如何设置容许远程登录路由器。 1、默认设置: 默认情况下我们在设置了路由器某个接口后就可以通过“telnet 该IP地址”来登录管理界面了。登录到路由器时无用输用户名和密码即可进入。由于默认情况没有任何安全保证,telnet即可进入连密码都不用输,所以我们要对其默认设置进行修改。 2、设置只有正确用户名和密码才能登录 为了提高路由器的安全,我们需要使用带身份验证的方式对路由器进行管理。 第一步:进入路由器管理界面,输入“local-user softer service-type exec-administrator password simple 111111”后回车。 第二步:这样我们就完成了对路由器添加身份验证的步骤,路由器中添加了一个管理员身份的用户,用户名为softer,密码为111111。 第三步:再次登录路由器时就会出现用户名和密码提示,只有输入用户名为softer,密码为111111才能正确登录。 小提示:经过上面的设置,不管是通过telnet远程管理还是直接使用console控制台,都需要先通过身份验证的检查。 3、只容许某IP的用户远程管理路由器
要实现远程访问,要在路由器上做端口映射。假如路由器用的公网IP是119.123.222.68 现在有一台摄像机IP是192.168.1.49需要外网访问,它默认的HTTP端口是80,数据端口553,那么该如何实现呢1.因为默认的80端口不能转发,所以首先修改这台摄像机的HTTP端口为801,方法如下: 2.修该后摄像机会重启,用DeviceSearch搜索工具,显示端口已经改成了801 接下来,需要在路由器上面进行设置,以TP—LINK路由器为例: 1.登陆到TP—LINK路由器。 2.打开虚拟服务器转发规则:
3.添加两个端口,一个是HTTP 801,一个是数据端口553: 此处的端口要和摄像机修改后的数据端口相一致,553端口也要转发,否则可能进行远程观看时会没有图像。
4如果路由器上面的IP与MAC绑定功能开启了,需要将摄像机的IP与MAC地址添加上去,如下图: 5.访问时,路由器公网IP加端口进行访问,打开IE浏览器,输入http://119.123.222.68:801 6.出现登陆页面,如下截图: 7.输入用户名admin,密码admin
8.根据你的上行带宽,调整摄像机的比特流率,调整方法如下:点击下图中的视频及音频按钮 9.将比特流率控制在你的最大上行带宽以内,否则图像会传不过来
注: 以上是通过IE浏览器,输入http://119.123.222.68:801,进行访问的摄像机,但一次只能看到一台摄像机,那如果内网中,有多台摄像机需要进行访问,该如何设置呢? 方法有两种: 第一种:还是通过IE浏览器进行访问, 假如有第二台摄像机IP是192.168.1.50需要外网访问 1.同样的方法,要修改摄像机的HTTP端口和数据端口:
OPC服务器设置 OPC客户端一方面可以访问本机上的OPC服务器,另一方面,它还可以利用微软的DCOM机制,通过网络来访问其它计算机上的OPC服务器,从而达到远程数据连接的目的。访问本地服务器比较简单,只要检索本地的OPC服务器,并配置相应的组(Group)和数据项(Item)即可,通过网络访问时需要考虑较多的网络连接因素,大体上来说大概有如下的几个需要配置的方面(以WINXP Xp2为例): 一. 运行OPC客户端的计算机和运行OPC服务器的计算机需要彼此能互相访问。 1.1要保证其物理连接,也就是网线正确的连接着两台计算机。 1.2在这两台计算机上分别建立同一个账号及密码,比如用户名[opcuser],密码[123456](注 意:用户密码最好不要设置为空),在这两台计算上使用这个账户都可以登录系统。关于增加账号及密码请参考对应Windows操作系统的帮助文档。 1.3启用各自Windows操作系统的Guest权限。 完成上面几步后,应该达到的效果是:从任何一台计算机搜索另一台计算机,都可以搜索到,并且可以访问对方计算机的共享目录及共享打印机等资源。如下图: 即便用户没有共享任何东西,也会显示空的共享文件夹,而不会产生诸如”不能访问”
等信息。 如果不能访问对方的计算机,首先用ping命令来保证网络的连通,如果必要的情况下,可以关闭这两台计算机的防火墙(无论是winxp xp2自带的防火墙还是专用的防火墙)以及杀毒软件,以杜绝可能产生的问题。 如果访问另一台计算机产生”拒绝访问”的错误,可从网络查找相关资源进行解决。 二. 配置OPCServer所在的计算机 2.1 注册OPCEnum.exe。 opcenum.exe是运行在服务器端的用于枚举本机OPC服务器的服务程序,由OPC基金会提供。注册opcenum有如下几种方式:a)将opcenum.exe拷贝到系统目录下,然后用命令行运行opcenum /regserver 来注册它。b)安装一些OPC服务器程序时会自动安装并注册这个服务程序,比如iconics的模拟OPC服务器程序。c)运行OPC基金会的OPC Core Redistributable安装包,其中包含必要的模块程序。 考虑到远程访问OPC服务器应用较少,以及opcenum.exe对一般用户在系统安全方面带来的混淆,在HMIBuilder中的OPC服务器本身不带OPCEnum.exe,用户根据自己的需要自行注册。 2.2 配置本机的DCOM安全 2.2.1 在命令行运行dcomcnfg,如下图: 产生配置界面如下:
实训目的: (1)学习和掌握科路由器的配置方式和要求。 (2)学习和掌握科路由器的工作模式分类、提示符、进入方式。1、路由器的配置方式 ①超级终端方式。该方式主要用于路由器的初始配置,路由器不需要IP地址。基本方法是:计算机通过COM1/COM2口和路由器的Console口连接,在计算机上启用“超级终端”程序,设置“波特率:9600 ,数据位:8,停止位:1,奇偶校验: 无,校验:无”即可。常用 ②Telnet方式。该方式配置要求路由器必须配置了IP地址。基本方法是:计算机通过网卡和路由器的以太网接口相连,计算机的网卡和路由器的以太网接口的IP地址必须在同一网段。常用 ③其他方式:AUX口接MODEM,通过电话线与远方运行终端仿真软件的微机;通过Ethernet上的TFTP服务器;通过Ethernet上的SNMP网管工作站。 2、路由器的工作模式 在命令行状态下,主要有以下几种工作模式: ①一般用户模式。主要用于查看路由器的基本信息,只能执行少数命令,不能对路由 器进行配置。提示符为:Router>;进入方式为:Telnet或Console ②使能(特权)模式。主要用于查看、测试、检查路由器或网络,不能对接口、路由 协议进行配置。提示符为:Router#;进入方式为:Router>enable。 ③全局配置模式。主要用于配置路由器的全局性参数。提示符为:Router(config)#; 进入方式为:Router#config ter。 ④全局模式下的子模式。包括:接口、路由协议、线路等。其进入方式和提示符如下: Router(config)#ineterface e0 //进入接口模式 Router(config-if)#//接口模式提示符 Router(config)#rip //进入路由协议模式 Router(config-router)# //路由协议模式 Router(config)#line con 0 //进入线路模式
网络现状:计算机中心机房共有计算机240台,已互连为局域网,希望访问校内资源时通过校园网接口,而访问外部资源时通过ADSL接口。 解决: Windows XP和Windows 2003都自带ADSL宽带拨号程序,这里只要使用Windows 2003的“路由和远程访问”程序稍加配置,就可搞掂一切。 1、前提 计算机一台(配置不用很高,只要能安装Windows 2003就行),安装有Windows2003操作系统,内插3块网卡,网卡1:连接内部局域网,IP:192.168.1.1,子网掩码:255.255.255.0,网关:空,DNS:空;网卡2:连接ADSL,IP:自动获取,DNS:自动获取;网卡3:连接校园网,IP:202.203.230.2,子网掩码:255.255.255.0,网关:202.203.230.1,DNS:202.203.220.2(假设校园网网段为202.203.220.0—202.203.230.0之间,DNS服务器为202.203.220.2); 2、服务器配置 Step1.单击“开始”—“管理工具”—“路由和远程访问”,启动配置向导;选择本地服务器,单击“操作”—“配置并启用路由和远程访问”(图一)。单击“下一步”,选择“自定义配置”—“下一步”;复选“请求拨号连接(由分支办公室路由使用)”和“LAN 路由”—“下一步”—“完成”,即可启动路由和远程访问。 Step2.选择“网络接口”,单击“操作”—“新建请求拨号接口”—“下一步”—“下一步”,选择“使用以太网上的PPP(PPPoE)连接”—“下一步”—“下一步”,弹出“协议及安全措施”选项,去掉所有钩选,单击“下一步”,输入ADSL帐号和密码,“下一步”—“完成”。)。 Step3.新建一批处理文件route.bat,并把其快捷方式添加到“开始”—“程序”—“启动”下,编辑route.bat内容如下: cdroute delete 0.0.0.0
微软的终端服务客户端访问许可证 (TS CAL)有下面两种: TS 每设备 CAL TS 每用户 CAL 如果使用每设备授权模式,并且客户端计算机或设备初次连接到终端服务器,默认情况下,向该客户端计算机或设备颁发一个临时证书。在客户端计算机或设备第二次连接到终端服务器时,如果许可证服务器已激活,并且有足够的 TS 每设备 CAL 可用,许可证服务器将向该客户端计算机或设备颁发一个永久 TS 每设备 CAL。 TS 每用户 CAL 为一个用户授予通过无限数目的客户端计算机或设备访问终端服务器的权限。TS 授权不强制使用 TS 每用户 CAL。因此,无论许可证服务器上安装了多少个 TS 每用户 CAL,均可以建立客户端连接。但这并未使管理员免于考虑 Microsoft 软件许可条款对每个用户都需要有效的 TS 每用户 CAL 的要求。如果使用每用户授权模式,并且不是每个用户都有 TS 每用户 CAL,则违反了许可条款。 我们将使用TS 每用户 CAL来配置。 (1)首先,检查Remote Desktop Users组和TS Web Acess Computers的成员,如果没有“Domain Users”,则添加。把Domain Admins组添加到TS Web Administrators组中。 注意:TS Web Acess Computers的成员就是组,而微软的帮助文件和官方网站的说明中都是加入计算机,显然是错误的。
(2)开始—运行,输入control system,选择“远程控制”。
选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接(更安全)”。“应用”。 (3)在角色服务中添加“远程桌面授权”服务器角色
1.因为默认的80端口不能转发,所以首先修改这台摄像机的HTTP端口为801,方法如下: 2.修该后摄像机会重启,用DeviceSearch搜索工具,显示端口已经改成了801 接下来,需要在路由器上面进行设置,以TP—LINK路由器为例: 1.登陆到TP—LINK路由器。 2.打开虚拟服务器转发规则: 3.添加两个端口,一个是HTTP 801,一个是数据端口553: 此处的端口要和摄像机修改后的数据端口相一致,553端口也要转发,否则可能进行远程观看时会没有图像。 4如果路由器上面的IP与MAC绑定功能开启了,需要将摄像机的IP与MAC地址添加上去,如下图: 5.访问时,路由器公网IP加端口进行访问,打开IE浏览器,输入 6.出现登陆页面,如下截图: 7.输入用户名admin,密码admin 8.根据你的上行带宽,调整摄像机的比特流率,调整方法如下:点击下图中的视频及音频按钮 9.将比特流率控制在你的最大上行带宽以内,否则图像会传不过来 注: 以上是通过IE浏览器,输入,进行访问的摄像机,但一次只能看到一台摄像机,那如果内网中,有多台摄像机需要进行访问,该如何设置呢 方法有两种: 第一种:还是通过IE浏览器进行访问, 1.同样的方法,要修改摄像机的HTTP端口和数据端口: 2.修改后摄像机会重启,用DeviceSearch搜索工具,显示HTTP端口已经改成了802,数据端口改成了554 3.打开路由器,添加转发规则,如下: 访问第2台摄像机时,依然是固定IP加端口进行访问,打开IE浏览器,输入 就可以访问到第2台摄像机了。 如果有第3台,第4台,第5台......,同样的方法,修改摄像机HTTP端口号和数据端口号,在路由器上添加转发规则。 访问第3台摄像机时,固定IP加端口进行访问,打开IE浏览器,输入 访问第4台摄像机时,固定IP加端口进行访问,打开IE浏览器,输入 访问第5台摄像机时,固定IP加端口进行访问,打开IE浏览器,输入 依次类推。。。。。。 第二种方法是通过摄像机客户端软件,可以远程访问多路摄像机,方法如下: 1.打开摄像机客户端软件 2对所有镜头,右键添加摄像机IP地址 3.出现设置IP地址画面如下: 在摄像机IP栏中,输入固定IP,如 重要说明: 摄像机软件进行远程观看时,用的是数据端口,而不是摄像机的HTTP端口,因此上图中的端口号,一定要写553,而不是801 4.点击确定就可以看到远程的画面了。 6.点击确定就可以看到远程的画面了 7.如果有第3台需要访问,填上第3台摄像机的端口号即可 8.依次类推,可以访问很多台摄像机,只要你的外网带宽够用。 说明: 1.有固定IP地址时,无需在申请动态域名,如果你以前申请的有动态域名,最好停用
OPC Client远程连接OPC SERVER服务器配置 一、操作系统用户 1、在OPC服务器上用Administrator用户建立一个拥有管理员权限的用户并设置密码,一定要设置密码,不能为空,如:用户名:OPCClientUser 密码:123 2、在OPCClient服务器上用Administrator用户建立一个相同的拥有管理员权限的用户并设置相同密码,一定要设置密码,不能为空,如:用户名:OPCClientUser 密码:123,并用OPCClientUser用户登入。 二、防火墙设置(OPC 服务器和客户端上都要进行设置) 1、关闭window自带的防火墙。 2、如果不关闭windows自带的防火墙,则需要在window防火墙管理界面上配置允许客户端程序访问权限和开放OPC通讯135端口。 三、DCOM配置(OPC 服务器和OPC Client服务器都要进行设置) 1.开始->运行->输入:dcomcnfg 进入DCOM的总体默认属性页面,将“在这台计算机上启用分布式COM”打上勾,将默认身份级别改为“无”。如下面画面:
2.打开属性—>切换到“安全”属性页,分别编辑如下4个选项。
3.以上4个选项分别添加everyone,administrators,anonymous user三个用户用 户,并勾选上所有权限选项。【请注意是三个用户,如果少了一个有可能出现找不到服务器的情况】 设置DTC 在msdtc标签下,点击“安全性配置” 4.在OPC服务器上,还要回到“组件服务”界面,打开DCOM配置,找到注册的OPC服 务器的名称选项,打开它的属性。
PC远程登录服务器的设置 服务器 网络服务: Microsoft DHCP服务器 Microsoft Internet Information Server2.0 Microsoft TCP/IP打印 NetBIOS 接口 RIP for Internet protoco1 RPC 配置 Windows 网际名称服务 服务器 工作站 计算机浏览器 远程访问服务(双击)出现“安装远程访问”对话框:com1 标准调制解调器 配置选“拨出和接受” NetBEUI(N) “拨出协议”(选) TCP/IP(T) NetBEUI(B) 网络设置“网络设置”(选) TCP/IP(P) “加密设置”(选) 请求Microsoft加密验证(M) 网络协议: DLC通讯协议 NetBEUI通讯协议 TCP/IP通讯协议 点对点通道通讯协议 网络绑定: 显示绑定属于:所有的服务器 Microsoft DHCP服务器 TCP/IP通讯协议 NetBIOS接口
WINS 客户(TCP/IP) NetBEUI通讯协议 RIP for Internet protoco1 [1] HP 10/100TX PCI Ethernet Adapter Bus 0 Slot 8 服务器 WINS 客户(TCP/IP) NetBEUI通讯协议 工作站 WINS 客户(TCP/IP) NetBEUI通讯协议 远程访问服务器服务 WINS 客户(TCP/IP) NetBEUI通讯协议 Pc机: 控制面版网络: Microsoft 网络客户 Microsoft 友好登录 Adico AE310-TX PCI 10/100 Fast Ethernet Adapter 拨号网络适配器 IPX/SPX 兼容协议Adico AE310-TX PCI 10/100 Fast Ethernet Adapter IPX/SPX兼容协议拨号网络适配器 NetBEUI Adico AE310-TX PCI 10/100 Fast Ethernet Adapter NetBEUI 拨号网络适配器 TCP/IP Adico AE310-TX PCI 10/100 Fast Ethernet Adapter TCP/IP 拨号网络适配器 Microsoft 网络上的文件与打印机共享 主网络登录: Microsoft 友好登录,或Microsoft 网络客户,均可。 特别注意: pc机上设置的用户名和密码在服务器的域用户管理中的用户例表中必须有,且要一致和给予拨入权。远程pc机在拨号时也要用同样的用户名和密码登录。 PC远程登录PC的设置
命令行下配置路由和远程访问内的NAT/基本防火墙入出站筛选今天碰到一个问题,需要在Windows2003下配置路由和远程访问来完成 共享上网,并通过设置其NAT/基本防火墙中的入站筛选器和出站筛选器屏蔽一些已经确认的恶意网站和,最主要的是在需要时(有时阻止、有时允许)阻止固定的内网机器上网,如果每次都通过在图形界面底下添加、删除同样的一条规则显得特别的麻烦。 所以,我尝试在命令行底下通过脚本来调整筛选器,这样就可以做成批处理执行,避免每次打开“路由和远程访问”的控制台再手动输入信息,经过思考我决定利用命令行下的netsh 命令来配置:netsh routing ip add filter "nei" input 192.168.2.200 255.255.255.255 222.222.222.222 255.255.255.255 any,通过这个命令我可以在名为nei的LAN连接的入站筛选器里增加一条“接收所有除符合下列条件以外的数据包”的筛选规则。 但现在的问题是,用这个命令增加的信息不能选择是“接收所有除符合下列条件以外的数据包”还是“丢弃所有的包,满足下面条件的除外”。这样的话我如果要一台机子上网、其他的机子都不能上网,就要写254(255-1)条上面的命令,而如果能将这条规则设置成“丢弃所有的包,满足下面条件的除外”,那么就只需要添加一条筛选记录,做成批处理执行起来也相对容易。 经过在Windows2003的帮助文档下对netsh的仔细查找,终于找到解决的办法,可以使用set来设置是drop(接收所有除符合下列条件以外的数据包)还是forward(丢弃所有的包,满足下面条件的除外),加上用add来添加筛选条件。 应用当中碰到一个问题,规则的源地址可以设置成允许上网的那台机器,但目的地址要不设置或者设成全部就不知道如何设置了,经过实验发现其实要不设置目的地址可以将目的地址的IP和掩码都设置成“0.0.0.0 0.0.0.0”就OK了,执行命令后你会在内网连接的入站筛选里面发现一条:“丢弃所有的包,满足下面条件的除外”、源地址和掩码是192.168.2.200 255.255.255.255、目的地址是空(全部)的规则,这样就可以在DOS下完全控制筛选了。方法找到了,开心ing…… 下面是我写的两个批处理: 添加一条只允许192.168.2.200访问外网的筛选规则 @echo of netsh routing ip add filter "nei" input 192.168.2.200 255.255.255.255 0.0.0.0 0.0.0.0 any netsh routing ip set filter nei input drop 删除这条规则,允许所有人上网 @echo of netsh routing ip delete filter "nei" input 192.168.2.200 255.255.255.255 0.0.0.0 0.0.0.0 any netsh routing ip set filter nei input forward