第 14章 网络管理与维护
本章学习目标
1 如何添加网络组件;
2 影响网络性能的因素和提高网络性能的方法;
3 TCP/IP的配置;
4 使用网络监视器和性能监视器监控网络性能并
进行化;
5 win2000 server的自动优化系统功能;
6 使用命令行对网络进行管理;
7 提高 win2000 server的安全性措施。
14.1 网络管理简介 (1)
网络管理的任务主要有,
1,配置管理
配置管理是网络管理的最基本功能,负责监测和控制
网络的配置 态。
2.性能管理
性能管理保证有效运营网络和提供约定的服务质量,
在保证各种业务的服务质量的同时,尽量提高网络资源利
用率。
3.故障管理
故障管理的作用是迅速发现、定位和排除网络故障,
动态维护网络的有效性。
14.1 网络管理简介 (2)
4.安全管理
安全管理的作用是提供信息的保密、认证和完整性保护
机制,使网络中的服务数据和系统免受侵扰和破坏。
5.记账管理
记账管理的作用是正确的计算和接收用户使用网络服务
的费用,进行网络资源的统计和网络成本效益的计算。
14.2 添加网络组件 (1)
1.双击“网络邻居”,打开“网上邻居”窗口,点击“网络和拨
号连接”超链接,在“网络和拨号连接”窗口中单击“添加网络
组件”超连接,打开如图 14-1所示,Windows可选的网络组件向
导”对话框,在对话框中的组件列表框中,系统给出了用户可以
选择安装的网络组件。
图 14- 1
,windows”可选的
网络组件向导“对
话框
14.2 添加网络组件 (2)
2 用户可以根据自己的需要,单击组件选项旁边的复选框以便确认安装
该类组件。用户可以单击,详细信息”按钮或者是双击该组件选项,打
开该类组件详细内容对话框来具体选择安装某个子组件
图 14- 2
添加“网络服务”
对话框
14.3 提高网络性能
衡量网络性能优劣的标准
网络性能瓶颈
减少信息流量
增加子网数目
提高网络速度
14.3.1 衡量网络性能优劣的标准
1.数据链路带宽必须超出网络客户机处理数据的
能力 。
2.竞争访问网络共享介质的访问不能超过介质的
负载限度。
3.服务器必须足够的快,以快速响应所有网络客
户机的请求。
14.3.2 网络性能瓶颈
常会用到的术语,
1.Resources(资源)是硬件部件。软件进程在硬件资源下装载进行。
2.Bottlenecks(瓶颈)是影响计算机响应能力的资源。当具体使用时,
瓶颈是指影响系统性能的部件。
3.Load(负荷)资源是不得不执行的工作总量。
4.Optimization(优化 )是减少瓶颈对性能的影响。优化包含清除不必要的
负荷、均衡多个设备之间的负载或者查找增加可用资源等。
5.Throughput(吞吐率 )是一定的时间周期内通过的资源信息流。
6.Processes(进程 )是计算机中可并发执行的程序在一个数据集合上的运
行过程,是程序的一次执行和资源分配的基本单位。
7.Threads(线程)是一个进程内的基本调度单位。一个进程可以有一个
或多个线程;在多处理器环境中,线程是处理器间分配的基本单元。
14.3.3 减少信息流量
当环境允许时, 减少信息流量的方式是最好的 。 因为不
论当前网络的结构如何, 这种方式都起作用, 而且并不需要
任何物理改变 。 减轻网络负荷通常包括找出哪一台计算机产
生了最大的网络负荷, 确定该计算机为什么会产生如此大的
网络负荷 。 如果可能的话减轻由这一具体计算机所产生的网
络负荷 。 重复执行以上过程, 直到不可能进一步减轻网络负
荷为止, 这样就把网络信息流量降到了某种可行的程度 。
14.3.4 增加子网数目
增加子网数目是另一种方式, 这种方法实际上是构建更
多的通路, 从而减轻信息流量拥塞 。 将共享介质型网络拆分
成多个由交换机, 路由器或者执行路由功能的服务器所连接
的子网, 这样可以划分冲突域 ( 子网内计算机通信数据不出
本子网段 ), 进而提高网络性能 。
14.3.5 提高网络速度
提高网络速度是解决网络性能的最直接的, 当然费用可
能会高一些, 因为这种方式需要替换网络上数据链路设备,
甚至涉及网络体系结构的改变 。
通常数据链路升级是指从以太网( Ethernet )升级到快
速以太网( Fast Ethernet)或者 1000M/10G以太网。有时只
需要升级主干网、服务器之间的链路或者某个子网就可以了。
使用网络监视器识别网络上信息量大的用户,并把那些用户
迁移到更快的网络上。下面介绍几种较常用的网络技术,
1)快速以太网( Fast Ethernet)
2)千兆位以太网( Gigabit Ethernet)
3)万兆以太网( 10Gigabit Ethernet)
14.4 TCP/IP设置
TCP/IP协议是 Windows 2000的默认网络协议,也
是 Windows 2000正常运行、实现所有功能所必需的协
议。 TCP/IP协议配置包括一系列参数,如 IP地址、子网
掩码和默认网关的。另外在大规模的网络中也可以使用
DHCP服务(动态主机配置协议)来简化 TCP/IP参数的
设置。
14.4.1 IP地址 (1)
在以 TCP/IP为通信协议的网络上,每台主机都有
唯一的 IP地址,IP地址用来唯一标示一台主机,也隐含
着网络间的路径信息。
IP地址共占用 32个位,一般是以 4个十进制数来表
示,每个数字称为一个字节,字节与字节之间用点隔开,
例如,192.168.0.1,因为在 TCP/IP网络上是利用 IP地
址来标示每一台主机,每一台主机都必须拥有唯一的 IP
地址。
14.4.1 IP地址 (2)
类 网络号 主机号 W取值 支持网络数 每个网络支持主机数
A W X.Y.Z 1-126 126 16,777,214
B W.X Y.Z 128-191 16384 65,534
C W.X.Y Z 192-223 2,097,152 254
D 224-239
E 240-254
14.4.2 子网掩码
子网掩码也是由 32位二进制数构成,它有两大功能。
一是用来区分 IP地址内的网络号和主机号,一是用来将
网络切割为数个子网或将网络合并为超网。当网络上的
主机在相互沟通时,他们利用子网来得知对方的网络号,
进而得知彼此是否在相同的网络区域里。下面给出了默
认的子网掩码,其中,A类为 255.0.0.0,B类
255.255.0.0,C类为 255.255.255.0。
14.4.3 默认网关
在同一个网络号内的主机可以直接通讯,而不是同
一个网络号内的主机,必须通过路由器才能通信。默认
网关是一个 IP地址,是连接本子网路由器的 IP地址。当
发送方计算机和接收方计算机不在同一个子网时,
TCP/IP协议就将 IP数据包发往默认网关,由默认网关
将数据包路由到目的地。
14.4.4 配置 TCP/IP协议的相关参数
鼠标右键单击“网上邻居”,选择“属性” /―网络和拨号连
接” /―本地连接” /―属性” /―此连接使用下列选定的“组件” /―Internet协
议 (TCP/IP)‖/―属性”,打开如图 14-3所示对话框。
如图 14-3
所示对话框。
14.5 网络性能监视器 (1)
如前所述,网络有很多性能问题,如果问题涉及到网络
硬件、线缆或网络流量,该问题就很难发现。性能监视器提
供了计数器来衡量通过服务器的网络流量,可以从多种角度
监视系统资源的使用情况,并且可以监视几乎系统中所有的
资源,同时可以将监视的结果用多种方式显示出来,以满足
在不同的情况下对系统资源监视的要求。几个概念。
1.对象:对象是系统中主要的子系统或组件,对象可
以是硬件子系统或是软件子系统。
2.实例:实例代表多个相同类型的对象,例如在一个
多处理机系统中,每一个 CPU就是处理器对象的一个实例。
3.计数器:通过计数器可以搜集对象或子系统的多个
方面,多个角度的数据。在性能监视器上显示的是一个个具
体的计数器,代表了被监视对象各个方面的运行情况。不正
常的网络计数器值表明它代表的对象的某一性能出了问题。
14.5 网络性能监视器 (2)
表 14-2 性能对象、计数器及对应说明 问题。
对象说明 计数器 描述
Server Pool Nonpaged 监控在分配内存时被拒绝的次数,该
数表明物理内存太少
Server Pool Nonpaged Peak 表明服务器所需要的内存量
Server Total Bytes/sec 每秒钟发送和接受的字节数,该数指
出了网络的忙碌程度
NetBEUI Frame 发送的字节数和帧数
Bytes Received/sec 每秒接受字节数
NetBEUI Times Exhausted 自系统启动后所有资源的使用次数
Frames
Rejected
Frames Rejected 接受的不正确、需要重传的帧数
14.5 网络性能监视器 (3)
用户可以按如下步骤启用, 性能监视器, 监控系统的性能 。
步骤一, 打开, 开始, 菜单, 选择, 程序, /“管理工
具, /“性能, 命令后, 系统将打开, 性能, 窗口, 如图 14- 5所
示 。
步骤二, 在, 性能, 窗口的工具栏中单击, +‖按钮或在右侧
子窗口中鼠标右键单击后, 系统打开, 添加计数器, 对话框,
如图 14-4所示 。
步骤三, 在, 添加计数器, 对话框中, 用户首先需要选择希
望监控的计算机, 以及属于该对象的计数器, 单击, 添加, 按
钮即可 。
步骤四, 单击, 关闭, 按钮后, 系统将返回到, 性能, 窗口,
这时用户便可看到系统开始用选定的计数器对相应的对象进行
监控, 绘出计数器统计数值的图形, 如图 14-5所示 。
步骤五,重复步骤二到步骤四,可以添加多个计数器,从不同
子系统的不同角度监视系统运行的状况。
14.5 网络性能监视器 (4)
图 14-4―选择计数器”对话框
14.5 网络性能监视器 (5)
图 14- 5 性能监视器对网络进行监控
14.6 网络监视器
Microsoft网络监视器是 Windows 2000服务器所包括的一
个网络诊断工具,它实现了第三方网络分析器的许多相同功
能,它易于操作、可被快速配置和设置以捕获数据,可运行
在一台或者多台客户机和服务器上。 Microsoft网络监视器必
须能够通过网络从网络计算机上获得数据,这就需要和
Microsoft网络监视器连接的任一台计算机上装入 Microsoft网
络监视器代理,它会通过网络直接与装在网络计算机上的监
控代理打交道。 Microsoft网络监视器和网络代理交互作用,
在本地计算机或者网络上的任何一台计算机上进行监控,达
到捕获网络信息流量的目的。
Microsoft网络监视器捕获信息流量的方式有,
1.捕获所有网络数据并用显示筛选器显示出有意义的数
据包;
2.限制捕获,只捕获筛选器定义的数据;
3.通过创建定制的捕获触发器在指定事件出现后停止数
据捕获。
14.6.1 网络监视器窗口 (1)
Microsoft网络监视器的主屏幕主要由 4个平铺窗口组成, 分别为:网
络图表窗口, 会话统计窗口, 站统计窗口, 汇总统计窗口 。 打开, 开始,
菜单, 选择, 程序, /―管理工具, /―网络监视器, 命令, 打开, Microsoft 网
络监视器, 窗口, 如图 14-6所示 。
图 14-6
Microsoft网络
监视器
14.6.1 网络监视器窗口 (2)
1.图表显示窗口
图表显示窗口主要是以图表的形式显示某一瞬间网络的
使用情况 。 在, Microsoft网络监视器, 窗口中, 打开, 窗口,
菜单, 取消选择, 总共统计,,, 会话统计, 和, 机器统计,
三个命令选项, 只选择, 图表, 命令选项,, Microsoft网络
监视器, 窗口将单独显示网络图表显示窗口, 如图 14-7所示,
其中包含五个条状图形, 每个图形显示单个值的瞬间读取结
果 。 五个条状图形分别为,
( 1) 网络利用:显示网络带宽被利用的百分率;
( 2) 每秒帧数:显示网络上传送的帧数;
( 3) 每秒字节数:显示统计网络上传输的字节数;
( 4) 每秒广播:显示统计的每秒网络上广播数据包数;
( 5)每秒的多播:显示每秒网络上统计到的多址发送的数据
包数。
14.6.1 网络监视器窗口 (3)
通过网络图表显示窗口可快速查看网络的运行状况。图表上有用的
主要统计是, 网络利用,,, 每秒广播, 和, 每秒的多播,,如果这三
部分显示的值比较高,则说明网络中可能有太多不必要的信息流量。
图 14- 7
图表窗口通过条状图形
显示瞬间统计信息
14.6.1 网络监视器窗口 (4)
2,会话统计窗口
会话统计窗口显示不
同网络计算机间会话的概
要列表,如图 14-8所示。
图 14- 8
Microsoft网络性能监
视器会话统计窗口
14.6.1 网络监视器窗口 (5)
3,机器统计窗口
机器统计窗口显示出所
捕获的每个宿主计算机发送
的总帧数的概要信息。宿主
计算机的传送情况通过发送
和接收的帧数、发送和接收
的字节数、直接帧发送数以
及多播传送的帧数和发送的
广播信息来表示,如图 14-9
所示。机器统计窗口在比较
每台主机发送和接收到的信
息时是非常有用的,如果一
个单独的计算机在网络中占
据支配地址,则该主机的字
节统计数将提升网络的利用
百分比。
图 14-9
机器统计窗口列出网络信息流量汇总统计
14.6.1 网络监视器窗口 (6)
4.总共统计窗口
总共统计窗口对用户
全面监控网络活动,如图
14-10所示。总共统计窗口
管理捕获文件以及观察错
误是非常有用的。总共统
计窗口显示的统计信息描
述了检测到的网络流量,
包括捕获到的帧和字节数、
缓冲区里的帧和字节数、
每秒网络使用统计、网络
卡的使用状况以及网络状
态统计,这些统计信息是
作为时间的函数被捕获的。
4-10
显示总共统计窗口
14.6.2 创建捕获筛选程序( 1)
由于许多协议都是同多个信源, 信宿地址以及消息类型混合在一起
的, 所以网络数据的出现和消失都是随机的 。 使用 Microsoft网络监视器
有利于用户区分通过网络传递的看似随机的数据 。
在 Microsoft网络监视器中可以判断数据通过网络时的方向, 这意味
着所创建的筛选程序可以指定是否捕获流入或流出特定设备的数据 。 也
可把数据方向设置为捕获传入或者传出指定地址的数据包 。 数据方向使
得用户不用捕获网络上传送的所有数据即可观察发向用户计算机的数据 。
捕获筛选程序使用如下几种参数对网络流量进行筛选,
(1) 网络地址 。 如果在捕获筛选器中配置了地址, Microsoft网络监视
器会用适当的 MAC地址测试每个网络数据包 。 如果信息流量中包含有正
确地址, 数据包就会被收集在捕获缓冲区中 。
(2) 捕获协议 。 可把捕获筛选器配置为只捕获与指定协议匹配的数据
包 。
(3) 捕获模式 。 创建的筛选器可按照数据包中指定的模式来匹配数据
包数据 。
(4) 方向。 Microsoft网络监视器可观察数据的方向,
14.6.2 创建捕获筛选程序( 2)
( 1)在,Microsoft
网络监视器”窗口中,
选择菜单“捕
获” /―筛选程序”,
打开“捕获筛选程序”
对话框,如图 14-11
所示。注意在创建筛
选程序之前选择“捕
获” /―停止”命令停
止 Microsoft网络监视
器的捕获工作。
图 14- 11
创建筛选程序
14.6.2 创建捕获筛选程序( 3)
( 2)在列表框中的目录
树中,选择
,SAP/ETYPE=任何 SAP或
任何 ETYPE‖节点。然后单
击, 编辑, 按钮,打开
,捕获筛选程序 SAP和
ETYPE‖对话框,如图 14-
12所示。
图 14- 12
添加捕获协议
14.6.2 创建捕获筛选程序( 4)
( 3)在, 被禁用的协议, 列表框中选择要添加的协议,
单击, 启用, 按钮可允许该协议有效并添加到, 启用的
协议, 列表框中;如果要添加全部的禁用协议,可单击
,全部启用, 按钮来完成。
( 4)要禁用已启用的协议,在, 启用的协议, 列表框中
选择要禁用的协议,然后单击, 禁用, 即可。如果禁用
全部已启用协议,可单击, 全部禁用, 按钮。
( 5)单击, 确定, 按钮返回到, 捕获筛选程序, 对话框。
( 6)要添加捕获筛选程序地址及设置数据方向,在目录
树中选择, AND(地址对), 节点,然后单击, 地址,
按钮,打开如图 14-13所示的, 地址表达式, 对话框进行
添加和设置。
14.6.2 创建捕获筛选程序( 5)
图 14- 13 添加地址和设置数据方向
14.6.2 创建捕获筛选程序( 6)
( 7)在, 地址表达式, 对话框中,选择, 包含, 或者
,排除, 单选按钮。如果选择, 包含, 单选按钮,则意味
着如果一个数据包符合捕获筛选程序的地址表达式,该数
据包会被捕获;如果选择, 排除, 单选按钮,则意味着如
果一个数据包符合捕获筛选程序的地址表达式要求,该数
据包不会被 Microsoft网络监视器所捕获,即使该数据包
符合一个或者多个地址表达式的要求。
( 8)要编辑地址,单击, 编辑地址, 按钮打开, 地址数
据库, 对话框进行编辑。
( 9)从, 机器 (1)‖列表框中选择一个机器,再从, 机器
(2)‖列表框中选择一个相对应的机器,然后从, 方向, 文
本框中选择 〈 --〉, 〈 --或者 --〉 三个方向选项之一。
14.6.2 创建捕获筛选程序( 7)
( 10)单击, 确定, 完成地址的添加并返回到, 捕获筛选
程序, 对话框。
( 11)要添加捕获模式在目录树中,选择, AND(模式匹
配), 节点,单击, 模式, 按钮,打开如图 14-14所示的
,模式匹配, 对话框进行添加。
( 12)在, 模式, 文本框中输入模式名称。选择, 十六进
制, 单选按钮,输入的模式为十六进制捕获模式,选择
ASCII单选按钮,输入的模式为 ASCII码捕获模式。
( 13)在, 偏移值(十六进制), 文本框中输入一个十六
进制数以指定出现在帧中的多少字节处;要从帧的开始处
开始搜索模式,则选择, 从拓扑头信息末尾, 单选按钮。
14.6.2 创建捕获筛选程序( 8)
图 14- 14 添加捕获模式
14.6.2 创建捕获筛选程序( 9)
( 14)单击, 确定, 保存设置并返回, 捕获筛选程序,
对话框。单击, 保存, 按钮,可将捕获筛选程序保存起
来。
( 15)单击, 确定, 按钮,关闭, 捕获筛选程序, 对话
框,捕获筛选程序配置完成。
14.6.3 创建触发器( 1)
触发器是一种当符合一系列指定条件时被执行的动作 。 使
用 Microsoft网络监视器从网络捕获数据之前, 可以设置触发
器实现停止捕获或者执行命令文件 。
创建触发器过程如下,
( 1 ) 在, Microsoft 网络监视器, 窗口中选择, 捕
获, /―触发器, 的命令, 打开, 捕获触发器, 对话框, 如图
14-15所示 。 注意在创建捕获触发器之前, 也必须先停止
Microsoft网络监视器捕获网络信息, 选择, 捕获, /―停止, 命
令 。
14.6.3 创建触发器( 2)
图 14-15创建捕获触器
14.6.3 创建触发器( 3)
( 2) 在, 触发器在工作, 选项区域中, 选择一个按钮,
例如选择, 先缓冲区空间后模式匹配,, 使触发器先检查缓
冲区, 然后再进行模式匹配 。
( 3) 在, 缓冲区空间, 选项区域中选择启动触发器之
前捕获缓冲区必须添满的最大百分比, 例如选择 50%按钮,
则当捕获缓冲区被填满 50% 时启动触发器 。
( 4) 在, 模式, 选项区域中, 在, 偏移值 (十六进制 )‖
文本框中输入一个十六进制数以指定模式出现在帧中的多少
字节处;要从帧的开头开始搜索模式, 则选择, 从帧的开头,
按钮, 要从拓扑头之后开始搜索模式, 则选择, 从拓扑头信
息末尾, 按钮 。
( 5) 在, 模式, 选项区域中, 对应, 模式, 文本框中
输入想要的匹配模式, 输入十六进制模式前先选择, 十六进
制, 按钮, 输入 ASCII码模式前选择 ASCII按钮 。
14.6.3 创建触发器( 4)
( 6) 在, 触发器动作, 选项区域中, 可指定触发器匹
配之后, Microsoft网络监视器要采取的动作, 如果只需要讯
号提示, 可选择, 只有可听到讯号, 按钮, 如果停止捕获,
可选择, 停止捕获, 按钮;另外可启用, 执行命令行, 复选
框, 并在其后的文本框中输入可执行文件的路径 。
( 7) 单击, 确定, 保存设置,
14.6.4 缓冲区设置( 1)
Microsoft网络监视器可捕获的数据总量依赖于捕获缓冲
区大小, 首次启动 Microsoft网络监视器时, 其缺省的缓冲
区大小为 1MB,用户应设置增大缓冲区的值, 建议工作缓冲
区的大小为 10MB或者更多 。 配置捕获缓冲区步骤如下,
(1)在, Microsoft网络监视器, 窗口中, 选择, 捕
获, /“缓冲区设置, 命令, 打开, 捕获缓冲区设置, 对话框,
如图 14-16所示 。
图 14- 16
设置缓冲区
14.6.4 缓冲区设置 (2)
( 2) 从, 缓冲区大小 (MB)‖下拉列表框中选择一个新值
或者输入一个新值来更改捕获缓冲区大小 。 注意:如果所设
置的缓冲区的大小超过了物理内存总量, 将会丢失数据字节 。
( 3)单击, 确定, 完成设置。
14.6.5 捕获数据
在完成捕获筛选程序和触发器的创建以及缓冲区的设置,
在此基础上选择, 捕获, /“开始, 命令开始捕获进程 。 捕获
完毕,
图 14- 17
查看缓冲区捕获的数据
选择, 捕获, /“停止且查
看, 命令以停止捕获进程
并查看捕获缓冲区中的数
据,如图 14-17所示。
14.7 Windows 2000 Server自动优化功能
多处理器
内存优化
优先线程与进程
磁盘请求缓冲
14.7.1 多处理器
对称多处理器是一种在多个处理器间均衡分配总处理负荷
量的技术 。
非对称处理器技术, 根据一些非负荷量尺度来分配处理负
载, 如操作系统把所有系统任务放在一个处理器上, 而所
有的用户任务放在剩余的处理器上 。
Windows 2000 Server支持对称多处理器技术 。 带有两个处
理器的 Windows 2000 Server计算机通常是一台计算机速度
的 1.5倍, 这还依赖于所运行程序的类型 。
仅存在一个线程的应用技术不可能运行于多个处理器系统
中 。
14.7.2 内存优化
在 Windows2000 Server中, 把内存分配为称为页的 4KB数
据块 。 每一页仅仅由一个线程使用 。 一个线程可以储存在
任意数目的页面中 。
系统必须有足够的内存来储存所有正在执行的线程, 若内
存总量不足, 那么 Windows 2000 Server使用硬盘的一部分
来仿真系统内存, 将当前未使用的内存页面交换到称为虚
拟内存交换文件 (Pagefile.sys)的系统文件中 。
页面交换得越快, 对系统响应性能的影响就越低 。
14.7.3 优先线程与进程
在多任务操作系统中, 如果每个进程的每个线程都获得相
同的处理机时间而不分先后, 那么计算机响应用户的请求
将很慢 。
Windows 2000 Server根据线程对系统响应能力的重要性来
优先处理每个线程, 调整优先权的权力留给了用户 。
进程的优先权范围内, 优先级别从 0-31,进程的起始优先
权为 7,进程的每个线程继承了该进程的基优先权 7。 实时
应用程序的优先权最高为 23。
14.7.4 磁盘请求缓冲
Windows 2000 Server的 I/O系统包括了一个磁盘缓冲管理器
组件, 通过在 RAM中维持经常访问的文件而减少磁盘访问 。
磁盘缓冲的特点,
缓冲机制是动态的;
随可用 RAM的数量不同而不断改变文件缓冲大小;
操作系统不需要的内存都可用做缓冲;
自适应的缓冲机制为应用程序提供文件 I/O性能的优化 。
磁盘缓冲管理器可以使用任何系统中的可用内存,
Windows 2000系统中这种缓冲区的小是不允许人为调整的,
因为它受到系统中使用的资源及动态应用程序的影响 。
14.8 命令行管理
为什么使用命令行
访问命令提示符
14.8.1 为什么使用命令行
用命令行完成某些操作会很容易 。
14.8.2 访问命令提示符
? 打开, 开始, 菜单,然后选择, 运行, 命令并输入
cmd,系统打开命令提示符窗口。
? 运行 MS-DOS程序或工具时,也可以打开 DOS会话窗
口。手动双击 MS-DOS程序或打开, 开始, 菜单,选
择, 运行, 命令并输入该 DOS程序的可执行命令即可
打开 DOS会话窗口。
? 命令提示符交互并不区分可执行命令的大小写。
? 对于任何命令,可以附带参数 /?获取相关命令的帮助
信息。
14.8.3 几个常用的命令
? NET命令
? Ping命令
? Netstat命令
? IPConfig命令
? ARP命令
? Tracert命令
? Route命令
? Nslookup命令
? Nbstat命令
14.8.3.1 NET命令
用户可以使用 NET命令获取给出特定信息。如果用户想
查阅映射到一台计算机上的所有当前驱动器的列表,可以简
单输入 NET VIEW Computername。
常用 NET命令举例,
NET ACCOUNTS 查阅当前账号设置
NET CONFIG SERVER 查阅本网络配置信息统计
NET SHARE 查阅本地计算机上共享文件
NET USER 查阅本地用户账号
NET VIEW 查阅网络上可用计算机
14.8.3.2 Ping命令( 1)
Ping用于确定网络的连通性。命令格式,
Ping 主机名
Ping 域名
Ping IP地址
图 14- 18
Ping命令
14.8.3.2 Ping命令( 2)
一般情况下, 用户可以通过使用一系列 Ping命令来查找
问题出在什么地方, 或检验网络运行的情况时 。 典型的检测
次序及对应的可能故障,
① ping 127.0.0.1
如果测试成功, 表明网卡, TCP/IP协议的安装, IP地址,
子网掩码的设置正常 。 如果测试不成功, 就表示 TCP/IP的安
装或运行存在某些最基本的问题 。
② ping 本机 IP
如果测试不成功, 则表示本地配置或安装存在问题, 应
当对网络设备和通讯介质进行测试, 检查并排除 。
③ ping局域网内其他 IP
如果测试成功, 表明本地网络中的网卡和载体运行正确 。
但如果收到 0个回送应答, 那么表示子网掩码不正确或网卡配
置错误或电缆系统有问题 。
14.8.3.2 Ping命令( 3)
④ ping 网关 IP
这个命令如果应答正确, 表示局域网中的网关路由器正
在运行并能够做出应答 。
⑤ ping 远程 IP
如果收到正确应答, 表示成功的使用了缺省网关 。 对于
拨号上网用户则表示能够成功的访问 Internet。
⑥ ping local host
local host是系统的网络保留名, 它是 127.0.0.1的别名, 每
台计算机都应该能够将该名字转换成该地址 。 如果没有做到
这一带内, 则表示主机文件 ( /Windows/host) 中存在问题 。
⑦ Ping www.yahoo.com( 一个著名网站域名 )
对此域名执行 Ping命令, 计算机必须先将域名转换成 IP
地址, 通常是通过 DNS服务器 。 如果这里出现故障, 则表示
本机 DNS服务器的 IP地址配置不正确, 或 DNS服务器有故障 。
14.8.3.2 Ping命令( 4)
如果上面所列出的所有 Ping命令都能正常运行, 那么计
算机进行本地和远程通信基本上就没有问题了 。 但是, 这些
命令的成功并不表示你所有的网络配置都没有问题, 例如,
某些子网掩码错误就可能无法用这些方法检测到 。
Ping命令的常用参数选项
ping IP -t:连续对 IP地址执行 Ping命令, 直到被用户以
Ctrl+C中断 。
ping IP -l 2000:指定 Ping命令中的数据长度为 2000字节,
而不是缺省的 32字节 。
ping IP -n:执行特定次数的 Ping命令。
14.8.3.3 Netstat命令( 1)
检测计算机与网络之间详细的连接情况, 可以得到以太
网的统计信息并显示所有协议 ( TCP协议, UDP协议以及 IP
协议等 ) 的使用状态 。 还可以选择特定的协议并查看其具体
使用信息, 包括显示所有主机的端口号以及当前主机的详细
路由信息 。 下面给出 Netstat的一些常用选项,
① Netstat -s,-s选项能够按照各个协议分别显示其统计
数据 。 这样就可以看到当前计算机在网络上存在哪些连接,
以及数据包发送和接收的详细情况等等 。 如果应用程序 ( 如
Web浏览器 ) 运行速度比较慢, 或者不能显示 Web页之类的
数据, 那么可以用本选项来查看一下所显示的信息 。 仔细查
看统计数据的各行, 找到出错的关键字, 进而确定问题所在 。
如图 14-19为运行 Netstat –s时屏幕显示 。
14.8.3.3 Netstat命令( 2)
图 14-19 Netstat命令实例
14.8.3.3 Netstat命令( 3)
② Netstat -e,-e选项用于显示关于以太网的统计数据 。
它列出的项目包括传送的数据报的总字节数, 错误数, 删除
数, 数据报的数量和广播的数量 。 这些统计数据既有发送的
数据报数量, 也有接收的数据报数量 。 使用这个选项可以统
计一些基本的网络流量 。
③ Netstat -r,-r选项可以显示关于路由表的信息, 类似
于后面所讲使用 route print命令时看到的信息 。 除了显示有效
路由外, 还显示当前有效的连接 。
④ Netstat –a,-a选项显示一个所有的有效连接信息列表,
包括已建立的连接 ( ESTABLISHED), 也包括监听连接请
求 ( LISTENING) 的那些连接 。
⑤ Netstat –n:显示所有已建立的有效连接。
14.8.3.4 IPConfig命令( 1)
IPConfig实用程序, 可用于显示当前的 TCP/IP配置
的设置值, 它在 Windows95/98中的等价图形用户界面命
令为 WINIPCFG。 这些信息一般用来检验人工配置的
TCP/IP设置是否正确 。
如果计算机和所在的局域网使用了动态主机配置
协议 DHCP,使用 IPConfig命令可以了解到你的计算机
是否成功地租用到了一个 IP地址, 及目前分配的子网掩
码和缺省网关等网络配置信息 。
14.8.3.4 IPConfig命令( 2)
常用的选项,
(1)ipconfig:当使用 IPConfig不带任何参数选项时, 显示
每个已经配置了的接口的 IP地址, 子网掩码和缺省网关值 。
(2)ipconfig /all:当使用 all选项时,IPConfig能为 DNS和
WINS服务器显示它已配置且所有使用的附加信息,并且能
够显示内置于本地网卡中的物理地址( MAC)。如果 IP地址
是从 DHCP服务器租用的,IPConfig将显示 DHCP服务器分配
的 IP地址和租用地址预计失效的日期。图 14-20为运行
ipconfig /all命令的结果窗口。
14.8.3.4 IPConfig命令( 3)
图 14- 20 IPConfig/all命令测试结果
14.8.3.4 IPConfig命令( 4)
(3)ipconfig /release和 ipconfig /renew,
只能在向 DHCP服务器租用其 IP地址的计算机上起作用。
ipconfig/release ——所有接口的租用 IP地址便重新交付
给 DHCP服务器(归还 IP地址)。
ipconfig /renew —— 本地计算机设法与 DHCP服务器
取得联系,并租用一个 IP地址。大多数情况下网卡将被重新
赋予和以前所赋予的相同的 IP地址。
14.8.3.5 ARP——地址转换协议( 1)
ARP是 TCP/IP协议族中的一个重要协议, 用于确定对应
IP地址的网卡物理地址 。
使用 ARP命令, 能够查看本地计算机或另一台计算机的
ARP高速缓存中的当前内容 。
使用 ARP命令可以人工方式设置静态的网卡物理 /IP地址
对, 使用这种方式可以为缺省网关和本地服务器等常用主机
进行本地静态配置, 这有助于减少网络上的信息量 。
按照缺省设置, ARP高速缓存中的项目是动态的, 每当
发送一个指定地点的数据报并且此时高速缓存中不存在当前
项目时, ARP便会自动添加该项目 。
14.8.3.5 ARP( 2)
常用命令选项,
① arp –a:用于查看高速缓存中的所有项目 。
② arp -a IP:如果有多个网卡, 那么使用 arp -a加上接口的 IP
地址, 就可以只显示与该接口相关的 ARP缓存项目 。
③ arp -s IP 物理地址:向 ARP高速缓存中人工输入一个静态
项目 。 该项目在计算机引导过程中将保持有效状态, 或者
在出现错误时, 人工配置的物理地址将自动更新该项目 。
④ arp -d IP:使用本命令能够人工删除一个静态项目。
14.8.3.6 Tracert命令( 1)
这个应用程序主要用来显示数据包到达目的主机所经过
的路径。通过执行一个 Tracert到对方主机的命令之后,结果
返回数据包到达目的主机前所经历的路径详细信息,并显示
到达每个路径所消耗的时间。
这个命令同 ping命令类似,但它所看到的信息要比 ping
命令详细得多,它能反馈显示送出的到某一站点的请求数据
包所走的全部路,以及通过该路由的 IP地址,通过该 IP的时
间是多少。
Tracert命令还可以用来查看网络在连接站点时经过的步
骤或采取哪种路线,如果是网络出现故障,就可以通过这条
命令来查看是在哪儿出现问题的。例如可以运行 tracert
www.sohu.com,就将看到网络在经过几个连接之后所到达的
目的地,也就知道网络连接所经历的过程。图 14-21给出了
tracert命令的一个实例。
14.8.3.6 Tracert命令( 2)
图 14- 21 Tracert命令
14.8.3.7 Route命令( 1)
大多数主机一般都是驻留在只连接一台路由器的网段上 。
由于只有一台路由器, 因此不存在选择使用哪一台路由器将
数据包发送到远程计算机上去的问题, 该路由器的 IP地址可作
为该网段上所有计算机的缺省网关来输入 。
但是, 当网络上拥有两个或多个路由器时, 用户就不一
定想只依赖缺省网关了 。 实际上可能想让某些远程 IP地址通过
某个特定的路由器来传递, 而其他的远程 IP则通过另一个路由
器来传递 。 在这种情况下, 用户需要相应的路由信息, 这些
信息储存在路由表中, 每个主机和每个路由器都配有自己独
一无二的路由表 。 大多数路由器使用专门的路由协议来交换
和动态更新路由器之间的路由表 。 但在有些情况下, 必须人
工将项目添加到路由器 和主机上的路由表中 。
Route命令可以显示, 人工添加和修改路由表项目 。
14.8.3.7 Route命令( 2)
route print,
本命令用于显示路由表中的当前项目,在单个路由器网段上
的输出结果如图 14-22所示。
图 14- 22
route print命令
14.8.3.7 Route命令( 3)
route add,使用本命令,可以将路由项目添加给路由表。
route change:可以使用本命令来修改数据的传输路由
route delete, 使用本命令可以从路由表中删除路由。
14.8.3.8 Nslookup
利用 Nslookup命令查看主机的 IP地址和主机名称 。 这个
命令在查看主机 IP的时候跟 Ping命令有些相似, 但得到的信
息却有些不同 。
直接键入命令, 系统返回本机的服务器名称 ( 带域名的
全称 ) 和 IP地址, 并进入以, >”为提示符的操作命令行状态 。
键入,?, 可查询详细命令参数 。 如此时给出一个计算机名
称, 若在本机能够识别该名称, 返回本机, 查询主机的名称,
IP地址及别名 。 键入, Server 服务器名称, 更改当前服务器 。
14.8.3.9 Nbtstat
使用 Nbtstat命令来查看计算机上网络配置的一些信息 。
使用这条命令还可以查找出别人计算机上一些私人信息 。
如果想查看自己计算机上的网络信息, 可以运行
Nbtstat –n
可以得到你所在的工作组, 计算机名以及网卡地址等
等;想查看网络上其他的电脑情况, 就, 运行 Nbtstat-a
*.*.*.*,此处的 *.*.*.*用 IP地址代替就会返回得到那台主机
上的一些信息 。
14.9 网络安全
安全策略
安全配置和分析
管理安全性模板
系统资源审核
Windows 2000安全性措施
14.9.1 安全策略
安全策略是一个事先定义好的一系列应用计算机的行
为准则, 应用这些安全策略将使得用户有一致的工作方式,
防止用户破坏计算机上的各种重要的配置, 保护网络上的
敏感数据 。
Windows 2000安全策略定义了用户在使用计算机, 运
行应用程序和访问网络等方面的行为, 通过这些约束避免
了各种对网络安全性的有意或无意的伤害 。
Windows 2000中安全策略分为本地安全设置和组策略
两种形式,
本地安全设置 是基于单个计算机的安全性;
组策略 可以在站点, OU(组织单元 )或域的范围内实现,
通常在较大规模并且实施活动目录的网络中应用 。
14.9.2 安全配置和分析 (1)
1) 打开, 控制面板,, 双击, 管理工具, 图标;
2) 在, 管理工具, 对话框中打开, 本地安全设置, ;
3) 在, 本地安全设置, 窗口的右侧, 树, 窗口中单
击, +‖号来扩展条目, 如图 14-23所示, 可以进行相应的
设置 。
例如, 用户可以设置密码的安全策略, 选中, 账户策
略, /―密码策略,, 然后在右边的窗口中选择要设置的选
项, 如选中, 密码长度最小值,, 在这里可以设置密码的
长度最少为 8个字符 。 要进行其它的安全设置, 可重复上
述步骤 。
14.9.2 安全配置和分析 (2)
图 14- 23 安全设置
14.9.3 管理安全性模板
Windows 2000中包含了许多个安全模板分别适用于不
同的安全需求,利用这些模板用户就可以简化策略的设定和
实施操作。它通常包含了大多数的安全设定,用户也可以按
照需要继续配置以适应一个具体网络的需要。
安全模板包括 4种安全级别的模板:基本、兼容、安全
和高度安全。可以在 %systemroot%\security\templates文件
夹中找到它们。
14.9.4 系统资源审核( 1)
提高网络的安全性就必须设置系统资源审核,以便时间
监视器可以将网络管理员所关心的资源的使用情况记录到安
全日志中。通过所记载的信息,分析网络的安全性,并做出
相应的策略。
审核分为两种类型, 一种审核是与操作系统本身安全性
相关的各种事件的审核, 这一类的审核必须在组策略的审核
策略中设置;另外一种就是对于网络中资源的审核, 这一类
审核将允许用户了解资源的使用情况 。
14.9.4 系统资源审核( 2)
设置资源审核会加大系统的负担, 因此尽量只对必要的
操作和资源设置审核 。 并且只能在 NTFS分区上设置资源审
核, FAT分区不支持审核 。 为资源设置审核时只需要在要审
核的对象上鼠标右键单击, 选择, 属性, 中的, 安全, 选项
卡即可进行相应的设置 。
为资源设置系统审核的操作如下,
( 1) 找到并单击希望设置审核的对象, 这里以 E盘下的
Intepub目录为例 。
( 2) 在该对象上右击, 选择, 属性, ;
( 3)在, 属性, 对话框中单击, 安全, 选项卡;
( 4)在, 安全, 选项卡中单击, 高级, 按钮;
( 5)在打开的如图 14-24对话框中,选中, 审核, 选项
卡。
14.9.4 系统资源审核( 3)
图 14-24 访问控制设置
14.9.4 系统资源审核( 4)
( 6) 在上图中点击, 添加, 按钮, 打开如图 12-25对话框;
( 7) 在, 选择用户, 计算机或组, 中选择要审核的用户, 单击, 确定,
按钮 。
图 14-25
添加用户、计
算机对话框
14.9.4 系统资源审核( 5)
( 8) 在, 审核项目, 中选
择对该资源的不同操作的成
功事件或失败事件的审核,
如图 14-26所示, 如可以对
用户, 创建文件 /写入数
据,,, 删除, 访问设置审
核 。
( 9) 单击, 确定, 按钮,
完成设置 。
图 14-26
设置审核项
目对话框
14.9.5 Windows 2000安全性措施( 1)
Windows2000是一种相对安全的操作系统, 利用其全部
或部分安全特性的优点, 可明显减少危险性 。 这里结合实际
应用中的经验介绍增强 Windows 2000安全性的考虑 。
1,版本的选择
选择成熟版本的操作系统, 注意随时 安装补丁程序 。
14.9.5 Windows 2000安全性措施( 2)
2,组件的定制
Windows 2000在默认情况下会安装一些常用的组件,但
是正是这种默认安装可能带来安全隐患。
对于管理员该确切需要哪些服务,而且仅仅安装确实需
要的服务,根据安全原则,最少的服务 +最小的权限 =最大的
安全。
典型的 WEB服务器需要的最小组件选择是:只安装 IIS
的 Com Files,IIS Snap-In,WWW Server组件。
而应该谨慎安装其他组件,Indexing Service,FrontPage
2000 Server Extensions,Internet Service Manager (HTML)等。
14.9.5 Windows 2000安全性措施( 3)
3,正确安装 Windows 2000 Server
( 1) 分区和逻辑盘的分配
如果将硬盘仅仅分为一个逻辑盘, 所有的软件都装在 C
盘上, 很明显不是个好方法 。 建议最少建立两个分区, 一个
系统分区, 一个应用程序分区, 这是因为微软的 IIS经常会有
泄漏源码的漏洞, 如果把系统和 IIS放在同一个驱动器会导致
系统文件的泄漏甚至入侵者远程获取管理权限 。
最好建立多个逻辑驱动器, 例如第一个大于 2G,用来装
系统和重要的日志文件, 第二个放 IIS,第三个放 FTP( 需要
的话 ), 这样无论 IIS或 FTP出了安全漏洞都不会直接影响到
系统目录和系统文件 。
14.9.5 Windows 2000安全性措施( 4)
3,正确安装 Windows 2000 Server
( 2) 安装顺序的选择与系统补丁
Windows 2000在安装中有几个顺序是一定要注意的 。 首
先, 何时接入网络 。 Windows 2000在安装时有一个漏洞, 在
你输入 Administrator密码后, 系统就建立了 ADMIN$的共享,
但是并没有用你刚刚输入的密码来保护它, 这种情况一直持
续到你再次启动后, 在此期间, 任何人都可以通过 ADMIN$
进入你的机器;同时, 只要安装一完成, 各种服务就会自动
运行, 而这时的服务器是满身漏洞, 非常容易进入的, 因此,
在完全安装并配置好 Windows 2000 Server之前, 一定不要把
主机接入网络 。
14.9.5 Windows 2000安全性措施( 5)
4,安全配置 Windows 2000 Server
即使正确安装了 Windows 2000 Server,系统还是有很多的漏洞, 需
要在管理和应用中进行细致地配置 。
( 1) 端口
端口是计算机和外部网络相连的逻辑接口, 也是计算机的第一道屏
障, 端口配置正确与否直接影响到主机的安全, 一般来说, 仅打开你需
要使用的端口会比较安全 。 很多黑客攻击程序是针对特定服务和特定服
务端口的, 因此, 为了降低遭受黑客攻击的危险, 应该关闭那些不必要
的服务和服务端口 。
配置的方法是:鼠标右键单击, 网上邻居, /“属性, /“本地连
接, /“属性, /“TCP/IP”/“属性, /“高级, /“选项, /“TCP/IP筛选, /“启用
TCP/IP筛选, /“属性,,打开如图 14-27所示对话框。选中, 启用 TCP/IP
筛选(所有适配器),,依次选中各个端口(如 TCP端口)上, 只允许,
选项,点按, 添加, 按钮,打开如图 14-28所示对话框。键入要添加的
端口号,重复上述过程即可。
14.9.5 Windows 2000安全性措施( 6)
图 14- 27 TCP/IP筛选对话框
图 14- 28 添加筛选器
14.9.5 Windows 2000安全性措施( 7)
( 2) IIS
IIS是微软的组件中漏洞最多的一个, 平均两三个月就要出一个漏洞,
而微软的 IIS默认安装又实在不敢恭维, 所以我们应该自己配置 IIS。 例
如, 把 C盘 Inetpub目录彻底删掉, 在 D盘上建一个 Inetpub,或者改一个
名字, 不用系统默认目录名 。 在 IIS管理器中将主目录指向 D:\Inetpub。
又如, 删除 IIS安装时默认的 scripts等虚拟目录, 如果需要什么权限的目
录可以自己慢慢建, 需要什么权限开什么 。 特别注意写权限和执行程序
的权限, 没有绝对必要不要给目录这些权限 。
( 3) 应用程序配置
删除 IIS管理器中不必要的任何无用映射 。 在 IIS管理器中鼠标右键
单击主机, 选择, 属性, /“WWW服务, /“编辑, /“主目录, /“配
置, /“应用程序映射,, 删除不必要的应用程序类型, 如图 14-29所示 。
选择, 应用程序调试, 选项页, 如图 14-30所示, 将脚本错误消息改为发
送文本, 否则 ASP出错的时候用户将知道你的程序, 网络, 数据库结构 。
错误文本可自己定制, 点按, 确定, 退出 。
14.9.5 Windows 2000安全性措施( 8)
图 14- 29应用程序配置 图 14- 30 应用程序调试
14.9.5 Windows 2000安全性措施( 9)
( 4) 删除不需要的服务
许多服务器允许远程用户通过 Telnet等方式登陆,并可
在控制台上执行一系列操作,如装载和卸载模块,安装和删
除软件等。这虽然带来了一些方便,但也给非法用户访问和
控制服务器带来了可乘之机。可以通过以下方法关掉一些不
必要的服务,选择, 开始, /“管理工具, /“服务,,打开如
图 14-31所示窗口,查找并选中要停止的服务(如 Telnet),
鼠标右键单击选择, 停止, 即可。
14.9.5 Windows 2000安全性措施( 10)
服务窗口
图 14-31 服务窗口
14.9.5 Windows 2000安全性措施( 11)
5,账号安全
Windows 2000的默认安装允许任何用户通过匿名用户得
到系统所有账号, 共享列表, 这个本来是为了方便局域网用
户共享文件的, 但是一个远程用户也可以得到你的用户列表
并使用设法破解用户密码 。 Windows 2000的本地安全策略
( 如果是域服务器就是在域服务器安全和域安全策略中 ) 就
有这样的选项, 匿名连接的额外限制,, 这个选项有三个值:
0( 无, 取决于默认的权限 ) ; 1( 不允许枚举 SAM账号和共
享 ) ; 2( 没有显式匿名权限就不允许访问 ) 。 0这个值是系
统默认的, 什么限制都没有, 远程用户可以知道你机器上所
有的账号, 组信息, 共享目录, 网络传输列表等等, 对服务
器来说这样的设置非常危险 。 1这个值是只允许非 NULL用
户存取 SAM账号信息和共享信息 。 需要注意的是, 如果使用
2这个值, 你的共享就不能完成了, 所以推荐还是设为 1比较
好 。
14.9.5 Windows 2000安全性措施( 12)
可通过, 程序, /“管理工具, /“本地安全设置, /“本地策
略, /“安全选项,, 打开如图 14-32所示窗口 。 在右侧找到
,匿名连接的额外限制,, 鼠标右键单击选择, 安全性,,
打开如图 14-33所示对话框, 用户可以进行相应的设置 。
系统内建的 administrator也可能泄漏密码, 所以建议改名 。
在, 计算机管理, /“用户账号, 中鼠标右键单击 administrator
然后改名即可 。
14.9.5 Windows 2000安全性措施( 13)
图 14-32 本地安全设置
图 14- 33 本地安全策略设置
14.9.5 Windows 2000安全性措施( 14)
6.安全日志
Windows 2000的默认安装是不开任何安全审核的。打开
,程序, /“管理工具, /“本地安全设置, /“本地策略, /“审核
策略, 设置相应的审核,如图 14-34所示界面。
图 14- 34
本地安全设置
14.9.5 Windows 2000安全性措施( 15)
7,目录和文件权限
为了控制好服务器上用户的权限, 同时也为了预防以后
可能的入侵, 还必须非常小心地设置目录和文件的访问权限,
访问权限分为:读取, 写入, 读取及执行, 修改, 列目录,
完全控制 。 在默认的情况下, 大多数的文件夹对所有用户
( Everyone这个组 ) 是完全开放的 ( Full Control), 需要根
据应用的需要进行权限重设 。
14.9.5 Windows 2000安全性措施( 16)
在进行权限控制时, 记住以下几个原则,
( 1) 权限是累计的
如果一个用户同时属于两个组, 那么他就有了这两个组所允
许的所有权限 。
( 2) 拒绝的权限要比允许的权限高 ( 拒绝策略会先执行 )
如果一个用户属于一个被拒绝访问某个资源的组, 那么不管
其他的权限设置给他开放了多少权限, 他也一定不能访问这
个资源 。 所以请非常小心地使用拒绝, 任何一个不当的拒绝
都有可能造成系统无法正常运行 。
( 3) 文件权限比文件夹权限高 。
( 4)仅给用户真正需要的权限,权限的最小化原则是安全
的重要保障。
本章小结
本章主要讲解了 Windows 2000 Server作为网络操作系
统在网络维护和管理中的功能与作用。主要包括使用网络
性能监视器、网络监视器监控与分析网络性能,提高网络
性能的方法,网络管理中常用命令的使用,以及提高
Windows 2000 Server安全性的措施。
习 题
1.网络管理的主要任务是什么?
2,使用网络监视器监控网络可以得到那些信息?
3,使用性能监视器能检测那些信息?
4,捕获筛选程序使用那些参数进行网络流量筛选?
5,影响网络性能的因素有哪些? 如何提高?
6,如何创建触发器?
7,Windows 2000 server具有哪些自动优化功能?
8,使用哪个命令可将网络共享文件映射为一个驱动器名?
9,如果使用 Ping命令 Ping本机 IP成功, 但 Ping局域网里其它的主机 Ping不通,
那么故障可能的原因是什么?
10,如果想知道计算机和网络之间连接的详细情况, 应该使用那个命令?
11,一台使用了动态主机配置协议 DHCP的主机, 如何知道它使用的 IP地址?
12,如何知道数据包到达目的主机所经过的路径?
13,比较常用的网络命令的作用 。
14,Windows 2000 server中提供了那些安全性保护措施?
15.提高 Windows 2000 server的安全性措施有哪些?
本章学习目标
1 如何添加网络组件;
2 影响网络性能的因素和提高网络性能的方法;
3 TCP/IP的配置;
4 使用网络监视器和性能监视器监控网络性能并
进行化;
5 win2000 server的自动优化系统功能;
6 使用命令行对网络进行管理;
7 提高 win2000 server的安全性措施。
14.1 网络管理简介 (1)
网络管理的任务主要有,
1,配置管理
配置管理是网络管理的最基本功能,负责监测和控制
网络的配置 态。
2.性能管理
性能管理保证有效运营网络和提供约定的服务质量,
在保证各种业务的服务质量的同时,尽量提高网络资源利
用率。
3.故障管理
故障管理的作用是迅速发现、定位和排除网络故障,
动态维护网络的有效性。
14.1 网络管理简介 (2)
4.安全管理
安全管理的作用是提供信息的保密、认证和完整性保护
机制,使网络中的服务数据和系统免受侵扰和破坏。
5.记账管理
记账管理的作用是正确的计算和接收用户使用网络服务
的费用,进行网络资源的统计和网络成本效益的计算。
14.2 添加网络组件 (1)
1.双击“网络邻居”,打开“网上邻居”窗口,点击“网络和拨
号连接”超链接,在“网络和拨号连接”窗口中单击“添加网络
组件”超连接,打开如图 14-1所示,Windows可选的网络组件向
导”对话框,在对话框中的组件列表框中,系统给出了用户可以
选择安装的网络组件。
图 14- 1
,windows”可选的
网络组件向导“对
话框
14.2 添加网络组件 (2)
2 用户可以根据自己的需要,单击组件选项旁边的复选框以便确认安装
该类组件。用户可以单击,详细信息”按钮或者是双击该组件选项,打
开该类组件详细内容对话框来具体选择安装某个子组件
图 14- 2
添加“网络服务”
对话框
14.3 提高网络性能
衡量网络性能优劣的标准
网络性能瓶颈
减少信息流量
增加子网数目
提高网络速度
14.3.1 衡量网络性能优劣的标准
1.数据链路带宽必须超出网络客户机处理数据的
能力 。
2.竞争访问网络共享介质的访问不能超过介质的
负载限度。
3.服务器必须足够的快,以快速响应所有网络客
户机的请求。
14.3.2 网络性能瓶颈
常会用到的术语,
1.Resources(资源)是硬件部件。软件进程在硬件资源下装载进行。
2.Bottlenecks(瓶颈)是影响计算机响应能力的资源。当具体使用时,
瓶颈是指影响系统性能的部件。
3.Load(负荷)资源是不得不执行的工作总量。
4.Optimization(优化 )是减少瓶颈对性能的影响。优化包含清除不必要的
负荷、均衡多个设备之间的负载或者查找增加可用资源等。
5.Throughput(吞吐率 )是一定的时间周期内通过的资源信息流。
6.Processes(进程 )是计算机中可并发执行的程序在一个数据集合上的运
行过程,是程序的一次执行和资源分配的基本单位。
7.Threads(线程)是一个进程内的基本调度单位。一个进程可以有一个
或多个线程;在多处理器环境中,线程是处理器间分配的基本单元。
14.3.3 减少信息流量
当环境允许时, 减少信息流量的方式是最好的 。 因为不
论当前网络的结构如何, 这种方式都起作用, 而且并不需要
任何物理改变 。 减轻网络负荷通常包括找出哪一台计算机产
生了最大的网络负荷, 确定该计算机为什么会产生如此大的
网络负荷 。 如果可能的话减轻由这一具体计算机所产生的网
络负荷 。 重复执行以上过程, 直到不可能进一步减轻网络负
荷为止, 这样就把网络信息流量降到了某种可行的程度 。
14.3.4 增加子网数目
增加子网数目是另一种方式, 这种方法实际上是构建更
多的通路, 从而减轻信息流量拥塞 。 将共享介质型网络拆分
成多个由交换机, 路由器或者执行路由功能的服务器所连接
的子网, 这样可以划分冲突域 ( 子网内计算机通信数据不出
本子网段 ), 进而提高网络性能 。
14.3.5 提高网络速度
提高网络速度是解决网络性能的最直接的, 当然费用可
能会高一些, 因为这种方式需要替换网络上数据链路设备,
甚至涉及网络体系结构的改变 。
通常数据链路升级是指从以太网( Ethernet )升级到快
速以太网( Fast Ethernet)或者 1000M/10G以太网。有时只
需要升级主干网、服务器之间的链路或者某个子网就可以了。
使用网络监视器识别网络上信息量大的用户,并把那些用户
迁移到更快的网络上。下面介绍几种较常用的网络技术,
1)快速以太网( Fast Ethernet)
2)千兆位以太网( Gigabit Ethernet)
3)万兆以太网( 10Gigabit Ethernet)
14.4 TCP/IP设置
TCP/IP协议是 Windows 2000的默认网络协议,也
是 Windows 2000正常运行、实现所有功能所必需的协
议。 TCP/IP协议配置包括一系列参数,如 IP地址、子网
掩码和默认网关的。另外在大规模的网络中也可以使用
DHCP服务(动态主机配置协议)来简化 TCP/IP参数的
设置。
14.4.1 IP地址 (1)
在以 TCP/IP为通信协议的网络上,每台主机都有
唯一的 IP地址,IP地址用来唯一标示一台主机,也隐含
着网络间的路径信息。
IP地址共占用 32个位,一般是以 4个十进制数来表
示,每个数字称为一个字节,字节与字节之间用点隔开,
例如,192.168.0.1,因为在 TCP/IP网络上是利用 IP地
址来标示每一台主机,每一台主机都必须拥有唯一的 IP
地址。
14.4.1 IP地址 (2)
类 网络号 主机号 W取值 支持网络数 每个网络支持主机数
A W X.Y.Z 1-126 126 16,777,214
B W.X Y.Z 128-191 16384 65,534
C W.X.Y Z 192-223 2,097,152 254
D 224-239
E 240-254
14.4.2 子网掩码
子网掩码也是由 32位二进制数构成,它有两大功能。
一是用来区分 IP地址内的网络号和主机号,一是用来将
网络切割为数个子网或将网络合并为超网。当网络上的
主机在相互沟通时,他们利用子网来得知对方的网络号,
进而得知彼此是否在相同的网络区域里。下面给出了默
认的子网掩码,其中,A类为 255.0.0.0,B类
255.255.0.0,C类为 255.255.255.0。
14.4.3 默认网关
在同一个网络号内的主机可以直接通讯,而不是同
一个网络号内的主机,必须通过路由器才能通信。默认
网关是一个 IP地址,是连接本子网路由器的 IP地址。当
发送方计算机和接收方计算机不在同一个子网时,
TCP/IP协议就将 IP数据包发往默认网关,由默认网关
将数据包路由到目的地。
14.4.4 配置 TCP/IP协议的相关参数
鼠标右键单击“网上邻居”,选择“属性” /―网络和拨号连
接” /―本地连接” /―属性” /―此连接使用下列选定的“组件” /―Internet协
议 (TCP/IP)‖/―属性”,打开如图 14-3所示对话框。
如图 14-3
所示对话框。
14.5 网络性能监视器 (1)
如前所述,网络有很多性能问题,如果问题涉及到网络
硬件、线缆或网络流量,该问题就很难发现。性能监视器提
供了计数器来衡量通过服务器的网络流量,可以从多种角度
监视系统资源的使用情况,并且可以监视几乎系统中所有的
资源,同时可以将监视的结果用多种方式显示出来,以满足
在不同的情况下对系统资源监视的要求。几个概念。
1.对象:对象是系统中主要的子系统或组件,对象可
以是硬件子系统或是软件子系统。
2.实例:实例代表多个相同类型的对象,例如在一个
多处理机系统中,每一个 CPU就是处理器对象的一个实例。
3.计数器:通过计数器可以搜集对象或子系统的多个
方面,多个角度的数据。在性能监视器上显示的是一个个具
体的计数器,代表了被监视对象各个方面的运行情况。不正
常的网络计数器值表明它代表的对象的某一性能出了问题。
14.5 网络性能监视器 (2)
表 14-2 性能对象、计数器及对应说明 问题。
对象说明 计数器 描述
Server Pool Nonpaged 监控在分配内存时被拒绝的次数,该
数表明物理内存太少
Server Pool Nonpaged Peak 表明服务器所需要的内存量
Server Total Bytes/sec 每秒钟发送和接受的字节数,该数指
出了网络的忙碌程度
NetBEUI Frame 发送的字节数和帧数
Bytes Received/sec 每秒接受字节数
NetBEUI Times Exhausted 自系统启动后所有资源的使用次数
Frames
Rejected
Frames Rejected 接受的不正确、需要重传的帧数
14.5 网络性能监视器 (3)
用户可以按如下步骤启用, 性能监视器, 监控系统的性能 。
步骤一, 打开, 开始, 菜单, 选择, 程序, /“管理工
具, /“性能, 命令后, 系统将打开, 性能, 窗口, 如图 14- 5所
示 。
步骤二, 在, 性能, 窗口的工具栏中单击, +‖按钮或在右侧
子窗口中鼠标右键单击后, 系统打开, 添加计数器, 对话框,
如图 14-4所示 。
步骤三, 在, 添加计数器, 对话框中, 用户首先需要选择希
望监控的计算机, 以及属于该对象的计数器, 单击, 添加, 按
钮即可 。
步骤四, 单击, 关闭, 按钮后, 系统将返回到, 性能, 窗口,
这时用户便可看到系统开始用选定的计数器对相应的对象进行
监控, 绘出计数器统计数值的图形, 如图 14-5所示 。
步骤五,重复步骤二到步骤四,可以添加多个计数器,从不同
子系统的不同角度监视系统运行的状况。
14.5 网络性能监视器 (4)
图 14-4―选择计数器”对话框
14.5 网络性能监视器 (5)
图 14- 5 性能监视器对网络进行监控
14.6 网络监视器
Microsoft网络监视器是 Windows 2000服务器所包括的一
个网络诊断工具,它实现了第三方网络分析器的许多相同功
能,它易于操作、可被快速配置和设置以捕获数据,可运行
在一台或者多台客户机和服务器上。 Microsoft网络监视器必
须能够通过网络从网络计算机上获得数据,这就需要和
Microsoft网络监视器连接的任一台计算机上装入 Microsoft网
络监视器代理,它会通过网络直接与装在网络计算机上的监
控代理打交道。 Microsoft网络监视器和网络代理交互作用,
在本地计算机或者网络上的任何一台计算机上进行监控,达
到捕获网络信息流量的目的。
Microsoft网络监视器捕获信息流量的方式有,
1.捕获所有网络数据并用显示筛选器显示出有意义的数
据包;
2.限制捕获,只捕获筛选器定义的数据;
3.通过创建定制的捕获触发器在指定事件出现后停止数
据捕获。
14.6.1 网络监视器窗口 (1)
Microsoft网络监视器的主屏幕主要由 4个平铺窗口组成, 分别为:网
络图表窗口, 会话统计窗口, 站统计窗口, 汇总统计窗口 。 打开, 开始,
菜单, 选择, 程序, /―管理工具, /―网络监视器, 命令, 打开, Microsoft 网
络监视器, 窗口, 如图 14-6所示 。
图 14-6
Microsoft网络
监视器
14.6.1 网络监视器窗口 (2)
1.图表显示窗口
图表显示窗口主要是以图表的形式显示某一瞬间网络的
使用情况 。 在, Microsoft网络监视器, 窗口中, 打开, 窗口,
菜单, 取消选择, 总共统计,,, 会话统计, 和, 机器统计,
三个命令选项, 只选择, 图表, 命令选项,, Microsoft网络
监视器, 窗口将单独显示网络图表显示窗口, 如图 14-7所示,
其中包含五个条状图形, 每个图形显示单个值的瞬间读取结
果 。 五个条状图形分别为,
( 1) 网络利用:显示网络带宽被利用的百分率;
( 2) 每秒帧数:显示网络上传送的帧数;
( 3) 每秒字节数:显示统计网络上传输的字节数;
( 4) 每秒广播:显示统计的每秒网络上广播数据包数;
( 5)每秒的多播:显示每秒网络上统计到的多址发送的数据
包数。
14.6.1 网络监视器窗口 (3)
通过网络图表显示窗口可快速查看网络的运行状况。图表上有用的
主要统计是, 网络利用,,, 每秒广播, 和, 每秒的多播,,如果这三
部分显示的值比较高,则说明网络中可能有太多不必要的信息流量。
图 14- 7
图表窗口通过条状图形
显示瞬间统计信息
14.6.1 网络监视器窗口 (4)
2,会话统计窗口
会话统计窗口显示不
同网络计算机间会话的概
要列表,如图 14-8所示。
图 14- 8
Microsoft网络性能监
视器会话统计窗口
14.6.1 网络监视器窗口 (5)
3,机器统计窗口
机器统计窗口显示出所
捕获的每个宿主计算机发送
的总帧数的概要信息。宿主
计算机的传送情况通过发送
和接收的帧数、发送和接收
的字节数、直接帧发送数以
及多播传送的帧数和发送的
广播信息来表示,如图 14-9
所示。机器统计窗口在比较
每台主机发送和接收到的信
息时是非常有用的,如果一
个单独的计算机在网络中占
据支配地址,则该主机的字
节统计数将提升网络的利用
百分比。
图 14-9
机器统计窗口列出网络信息流量汇总统计
14.6.1 网络监视器窗口 (6)
4.总共统计窗口
总共统计窗口对用户
全面监控网络活动,如图
14-10所示。总共统计窗口
管理捕获文件以及观察错
误是非常有用的。总共统
计窗口显示的统计信息描
述了检测到的网络流量,
包括捕获到的帧和字节数、
缓冲区里的帧和字节数、
每秒网络使用统计、网络
卡的使用状况以及网络状
态统计,这些统计信息是
作为时间的函数被捕获的。
4-10
显示总共统计窗口
14.6.2 创建捕获筛选程序( 1)
由于许多协议都是同多个信源, 信宿地址以及消息类型混合在一起
的, 所以网络数据的出现和消失都是随机的 。 使用 Microsoft网络监视器
有利于用户区分通过网络传递的看似随机的数据 。
在 Microsoft网络监视器中可以判断数据通过网络时的方向, 这意味
着所创建的筛选程序可以指定是否捕获流入或流出特定设备的数据 。 也
可把数据方向设置为捕获传入或者传出指定地址的数据包 。 数据方向使
得用户不用捕获网络上传送的所有数据即可观察发向用户计算机的数据 。
捕获筛选程序使用如下几种参数对网络流量进行筛选,
(1) 网络地址 。 如果在捕获筛选器中配置了地址, Microsoft网络监视
器会用适当的 MAC地址测试每个网络数据包 。 如果信息流量中包含有正
确地址, 数据包就会被收集在捕获缓冲区中 。
(2) 捕获协议 。 可把捕获筛选器配置为只捕获与指定协议匹配的数据
包 。
(3) 捕获模式 。 创建的筛选器可按照数据包中指定的模式来匹配数据
包数据 。
(4) 方向。 Microsoft网络监视器可观察数据的方向,
14.6.2 创建捕获筛选程序( 2)
( 1)在,Microsoft
网络监视器”窗口中,
选择菜单“捕
获” /―筛选程序”,
打开“捕获筛选程序”
对话框,如图 14-11
所示。注意在创建筛
选程序之前选择“捕
获” /―停止”命令停
止 Microsoft网络监视
器的捕获工作。
图 14- 11
创建筛选程序
14.6.2 创建捕获筛选程序( 3)
( 2)在列表框中的目录
树中,选择
,SAP/ETYPE=任何 SAP或
任何 ETYPE‖节点。然后单
击, 编辑, 按钮,打开
,捕获筛选程序 SAP和
ETYPE‖对话框,如图 14-
12所示。
图 14- 12
添加捕获协议
14.6.2 创建捕获筛选程序( 4)
( 3)在, 被禁用的协议, 列表框中选择要添加的协议,
单击, 启用, 按钮可允许该协议有效并添加到, 启用的
协议, 列表框中;如果要添加全部的禁用协议,可单击
,全部启用, 按钮来完成。
( 4)要禁用已启用的协议,在, 启用的协议, 列表框中
选择要禁用的协议,然后单击, 禁用, 即可。如果禁用
全部已启用协议,可单击, 全部禁用, 按钮。
( 5)单击, 确定, 按钮返回到, 捕获筛选程序, 对话框。
( 6)要添加捕获筛选程序地址及设置数据方向,在目录
树中选择, AND(地址对), 节点,然后单击, 地址,
按钮,打开如图 14-13所示的, 地址表达式, 对话框进行
添加和设置。
14.6.2 创建捕获筛选程序( 5)
图 14- 13 添加地址和设置数据方向
14.6.2 创建捕获筛选程序( 6)
( 7)在, 地址表达式, 对话框中,选择, 包含, 或者
,排除, 单选按钮。如果选择, 包含, 单选按钮,则意味
着如果一个数据包符合捕获筛选程序的地址表达式,该数
据包会被捕获;如果选择, 排除, 单选按钮,则意味着如
果一个数据包符合捕获筛选程序的地址表达式要求,该数
据包不会被 Microsoft网络监视器所捕获,即使该数据包
符合一个或者多个地址表达式的要求。
( 8)要编辑地址,单击, 编辑地址, 按钮打开, 地址数
据库, 对话框进行编辑。
( 9)从, 机器 (1)‖列表框中选择一个机器,再从, 机器
(2)‖列表框中选择一个相对应的机器,然后从, 方向, 文
本框中选择 〈 --〉, 〈 --或者 --〉 三个方向选项之一。
14.6.2 创建捕获筛选程序( 7)
( 10)单击, 确定, 完成地址的添加并返回到, 捕获筛选
程序, 对话框。
( 11)要添加捕获模式在目录树中,选择, AND(模式匹
配), 节点,单击, 模式, 按钮,打开如图 14-14所示的
,模式匹配, 对话框进行添加。
( 12)在, 模式, 文本框中输入模式名称。选择, 十六进
制, 单选按钮,输入的模式为十六进制捕获模式,选择
ASCII单选按钮,输入的模式为 ASCII码捕获模式。
( 13)在, 偏移值(十六进制), 文本框中输入一个十六
进制数以指定出现在帧中的多少字节处;要从帧的开始处
开始搜索模式,则选择, 从拓扑头信息末尾, 单选按钮。
14.6.2 创建捕获筛选程序( 8)
图 14- 14 添加捕获模式
14.6.2 创建捕获筛选程序( 9)
( 14)单击, 确定, 保存设置并返回, 捕获筛选程序,
对话框。单击, 保存, 按钮,可将捕获筛选程序保存起
来。
( 15)单击, 确定, 按钮,关闭, 捕获筛选程序, 对话
框,捕获筛选程序配置完成。
14.6.3 创建触发器( 1)
触发器是一种当符合一系列指定条件时被执行的动作 。 使
用 Microsoft网络监视器从网络捕获数据之前, 可以设置触发
器实现停止捕获或者执行命令文件 。
创建触发器过程如下,
( 1 ) 在, Microsoft 网络监视器, 窗口中选择, 捕
获, /―触发器, 的命令, 打开, 捕获触发器, 对话框, 如图
14-15所示 。 注意在创建捕获触发器之前, 也必须先停止
Microsoft网络监视器捕获网络信息, 选择, 捕获, /―停止, 命
令 。
14.6.3 创建触发器( 2)
图 14-15创建捕获触器
14.6.3 创建触发器( 3)
( 2) 在, 触发器在工作, 选项区域中, 选择一个按钮,
例如选择, 先缓冲区空间后模式匹配,, 使触发器先检查缓
冲区, 然后再进行模式匹配 。
( 3) 在, 缓冲区空间, 选项区域中选择启动触发器之
前捕获缓冲区必须添满的最大百分比, 例如选择 50%按钮,
则当捕获缓冲区被填满 50% 时启动触发器 。
( 4) 在, 模式, 选项区域中, 在, 偏移值 (十六进制 )‖
文本框中输入一个十六进制数以指定模式出现在帧中的多少
字节处;要从帧的开头开始搜索模式, 则选择, 从帧的开头,
按钮, 要从拓扑头之后开始搜索模式, 则选择, 从拓扑头信
息末尾, 按钮 。
( 5) 在, 模式, 选项区域中, 对应, 模式, 文本框中
输入想要的匹配模式, 输入十六进制模式前先选择, 十六进
制, 按钮, 输入 ASCII码模式前选择 ASCII按钮 。
14.6.3 创建触发器( 4)
( 6) 在, 触发器动作, 选项区域中, 可指定触发器匹
配之后, Microsoft网络监视器要采取的动作, 如果只需要讯
号提示, 可选择, 只有可听到讯号, 按钮, 如果停止捕获,
可选择, 停止捕获, 按钮;另外可启用, 执行命令行, 复选
框, 并在其后的文本框中输入可执行文件的路径 。
( 7) 单击, 确定, 保存设置,
14.6.4 缓冲区设置( 1)
Microsoft网络监视器可捕获的数据总量依赖于捕获缓冲
区大小, 首次启动 Microsoft网络监视器时, 其缺省的缓冲
区大小为 1MB,用户应设置增大缓冲区的值, 建议工作缓冲
区的大小为 10MB或者更多 。 配置捕获缓冲区步骤如下,
(1)在, Microsoft网络监视器, 窗口中, 选择, 捕
获, /“缓冲区设置, 命令, 打开, 捕获缓冲区设置, 对话框,
如图 14-16所示 。
图 14- 16
设置缓冲区
14.6.4 缓冲区设置 (2)
( 2) 从, 缓冲区大小 (MB)‖下拉列表框中选择一个新值
或者输入一个新值来更改捕获缓冲区大小 。 注意:如果所设
置的缓冲区的大小超过了物理内存总量, 将会丢失数据字节 。
( 3)单击, 确定, 完成设置。
14.6.5 捕获数据
在完成捕获筛选程序和触发器的创建以及缓冲区的设置,
在此基础上选择, 捕获, /“开始, 命令开始捕获进程 。 捕获
完毕,
图 14- 17
查看缓冲区捕获的数据
选择, 捕获, /“停止且查
看, 命令以停止捕获进程
并查看捕获缓冲区中的数
据,如图 14-17所示。
14.7 Windows 2000 Server自动优化功能
多处理器
内存优化
优先线程与进程
磁盘请求缓冲
14.7.1 多处理器
对称多处理器是一种在多个处理器间均衡分配总处理负荷
量的技术 。
非对称处理器技术, 根据一些非负荷量尺度来分配处理负
载, 如操作系统把所有系统任务放在一个处理器上, 而所
有的用户任务放在剩余的处理器上 。
Windows 2000 Server支持对称多处理器技术 。 带有两个处
理器的 Windows 2000 Server计算机通常是一台计算机速度
的 1.5倍, 这还依赖于所运行程序的类型 。
仅存在一个线程的应用技术不可能运行于多个处理器系统
中 。
14.7.2 内存优化
在 Windows2000 Server中, 把内存分配为称为页的 4KB数
据块 。 每一页仅仅由一个线程使用 。 一个线程可以储存在
任意数目的页面中 。
系统必须有足够的内存来储存所有正在执行的线程, 若内
存总量不足, 那么 Windows 2000 Server使用硬盘的一部分
来仿真系统内存, 将当前未使用的内存页面交换到称为虚
拟内存交换文件 (Pagefile.sys)的系统文件中 。
页面交换得越快, 对系统响应性能的影响就越低 。
14.7.3 优先线程与进程
在多任务操作系统中, 如果每个进程的每个线程都获得相
同的处理机时间而不分先后, 那么计算机响应用户的请求
将很慢 。
Windows 2000 Server根据线程对系统响应能力的重要性来
优先处理每个线程, 调整优先权的权力留给了用户 。
进程的优先权范围内, 优先级别从 0-31,进程的起始优先
权为 7,进程的每个线程继承了该进程的基优先权 7。 实时
应用程序的优先权最高为 23。
14.7.4 磁盘请求缓冲
Windows 2000 Server的 I/O系统包括了一个磁盘缓冲管理器
组件, 通过在 RAM中维持经常访问的文件而减少磁盘访问 。
磁盘缓冲的特点,
缓冲机制是动态的;
随可用 RAM的数量不同而不断改变文件缓冲大小;
操作系统不需要的内存都可用做缓冲;
自适应的缓冲机制为应用程序提供文件 I/O性能的优化 。
磁盘缓冲管理器可以使用任何系统中的可用内存,
Windows 2000系统中这种缓冲区的小是不允许人为调整的,
因为它受到系统中使用的资源及动态应用程序的影响 。
14.8 命令行管理
为什么使用命令行
访问命令提示符
14.8.1 为什么使用命令行
用命令行完成某些操作会很容易 。
14.8.2 访问命令提示符
? 打开, 开始, 菜单,然后选择, 运行, 命令并输入
cmd,系统打开命令提示符窗口。
? 运行 MS-DOS程序或工具时,也可以打开 DOS会话窗
口。手动双击 MS-DOS程序或打开, 开始, 菜单,选
择, 运行, 命令并输入该 DOS程序的可执行命令即可
打开 DOS会话窗口。
? 命令提示符交互并不区分可执行命令的大小写。
? 对于任何命令,可以附带参数 /?获取相关命令的帮助
信息。
14.8.3 几个常用的命令
? NET命令
? Ping命令
? Netstat命令
? IPConfig命令
? ARP命令
? Tracert命令
? Route命令
? Nslookup命令
? Nbstat命令
14.8.3.1 NET命令
用户可以使用 NET命令获取给出特定信息。如果用户想
查阅映射到一台计算机上的所有当前驱动器的列表,可以简
单输入 NET VIEW Computername。
常用 NET命令举例,
NET ACCOUNTS 查阅当前账号设置
NET CONFIG SERVER 查阅本网络配置信息统计
NET SHARE 查阅本地计算机上共享文件
NET USER 查阅本地用户账号
NET VIEW 查阅网络上可用计算机
14.8.3.2 Ping命令( 1)
Ping用于确定网络的连通性。命令格式,
Ping 主机名
Ping 域名
Ping IP地址
图 14- 18
Ping命令
14.8.3.2 Ping命令( 2)
一般情况下, 用户可以通过使用一系列 Ping命令来查找
问题出在什么地方, 或检验网络运行的情况时 。 典型的检测
次序及对应的可能故障,
① ping 127.0.0.1
如果测试成功, 表明网卡, TCP/IP协议的安装, IP地址,
子网掩码的设置正常 。 如果测试不成功, 就表示 TCP/IP的安
装或运行存在某些最基本的问题 。
② ping 本机 IP
如果测试不成功, 则表示本地配置或安装存在问题, 应
当对网络设备和通讯介质进行测试, 检查并排除 。
③ ping局域网内其他 IP
如果测试成功, 表明本地网络中的网卡和载体运行正确 。
但如果收到 0个回送应答, 那么表示子网掩码不正确或网卡配
置错误或电缆系统有问题 。
14.8.3.2 Ping命令( 3)
④ ping 网关 IP
这个命令如果应答正确, 表示局域网中的网关路由器正
在运行并能够做出应答 。
⑤ ping 远程 IP
如果收到正确应答, 表示成功的使用了缺省网关 。 对于
拨号上网用户则表示能够成功的访问 Internet。
⑥ ping local host
local host是系统的网络保留名, 它是 127.0.0.1的别名, 每
台计算机都应该能够将该名字转换成该地址 。 如果没有做到
这一带内, 则表示主机文件 ( /Windows/host) 中存在问题 。
⑦ Ping www.yahoo.com( 一个著名网站域名 )
对此域名执行 Ping命令, 计算机必须先将域名转换成 IP
地址, 通常是通过 DNS服务器 。 如果这里出现故障, 则表示
本机 DNS服务器的 IP地址配置不正确, 或 DNS服务器有故障 。
14.8.3.2 Ping命令( 4)
如果上面所列出的所有 Ping命令都能正常运行, 那么计
算机进行本地和远程通信基本上就没有问题了 。 但是, 这些
命令的成功并不表示你所有的网络配置都没有问题, 例如,
某些子网掩码错误就可能无法用这些方法检测到 。
Ping命令的常用参数选项
ping IP -t:连续对 IP地址执行 Ping命令, 直到被用户以
Ctrl+C中断 。
ping IP -l 2000:指定 Ping命令中的数据长度为 2000字节,
而不是缺省的 32字节 。
ping IP -n:执行特定次数的 Ping命令。
14.8.3.3 Netstat命令( 1)
检测计算机与网络之间详细的连接情况, 可以得到以太
网的统计信息并显示所有协议 ( TCP协议, UDP协议以及 IP
协议等 ) 的使用状态 。 还可以选择特定的协议并查看其具体
使用信息, 包括显示所有主机的端口号以及当前主机的详细
路由信息 。 下面给出 Netstat的一些常用选项,
① Netstat -s,-s选项能够按照各个协议分别显示其统计
数据 。 这样就可以看到当前计算机在网络上存在哪些连接,
以及数据包发送和接收的详细情况等等 。 如果应用程序 ( 如
Web浏览器 ) 运行速度比较慢, 或者不能显示 Web页之类的
数据, 那么可以用本选项来查看一下所显示的信息 。 仔细查
看统计数据的各行, 找到出错的关键字, 进而确定问题所在 。
如图 14-19为运行 Netstat –s时屏幕显示 。
14.8.3.3 Netstat命令( 2)
图 14-19 Netstat命令实例
14.8.3.3 Netstat命令( 3)
② Netstat -e,-e选项用于显示关于以太网的统计数据 。
它列出的项目包括传送的数据报的总字节数, 错误数, 删除
数, 数据报的数量和广播的数量 。 这些统计数据既有发送的
数据报数量, 也有接收的数据报数量 。 使用这个选项可以统
计一些基本的网络流量 。
③ Netstat -r,-r选项可以显示关于路由表的信息, 类似
于后面所讲使用 route print命令时看到的信息 。 除了显示有效
路由外, 还显示当前有效的连接 。
④ Netstat –a,-a选项显示一个所有的有效连接信息列表,
包括已建立的连接 ( ESTABLISHED), 也包括监听连接请
求 ( LISTENING) 的那些连接 。
⑤ Netstat –n:显示所有已建立的有效连接。
14.8.3.4 IPConfig命令( 1)
IPConfig实用程序, 可用于显示当前的 TCP/IP配置
的设置值, 它在 Windows95/98中的等价图形用户界面命
令为 WINIPCFG。 这些信息一般用来检验人工配置的
TCP/IP设置是否正确 。
如果计算机和所在的局域网使用了动态主机配置
协议 DHCP,使用 IPConfig命令可以了解到你的计算机
是否成功地租用到了一个 IP地址, 及目前分配的子网掩
码和缺省网关等网络配置信息 。
14.8.3.4 IPConfig命令( 2)
常用的选项,
(1)ipconfig:当使用 IPConfig不带任何参数选项时, 显示
每个已经配置了的接口的 IP地址, 子网掩码和缺省网关值 。
(2)ipconfig /all:当使用 all选项时,IPConfig能为 DNS和
WINS服务器显示它已配置且所有使用的附加信息,并且能
够显示内置于本地网卡中的物理地址( MAC)。如果 IP地址
是从 DHCP服务器租用的,IPConfig将显示 DHCP服务器分配
的 IP地址和租用地址预计失效的日期。图 14-20为运行
ipconfig /all命令的结果窗口。
14.8.3.4 IPConfig命令( 3)
图 14- 20 IPConfig/all命令测试结果
14.8.3.4 IPConfig命令( 4)
(3)ipconfig /release和 ipconfig /renew,
只能在向 DHCP服务器租用其 IP地址的计算机上起作用。
ipconfig/release ——所有接口的租用 IP地址便重新交付
给 DHCP服务器(归还 IP地址)。
ipconfig /renew —— 本地计算机设法与 DHCP服务器
取得联系,并租用一个 IP地址。大多数情况下网卡将被重新
赋予和以前所赋予的相同的 IP地址。
14.8.3.5 ARP——地址转换协议( 1)
ARP是 TCP/IP协议族中的一个重要协议, 用于确定对应
IP地址的网卡物理地址 。
使用 ARP命令, 能够查看本地计算机或另一台计算机的
ARP高速缓存中的当前内容 。
使用 ARP命令可以人工方式设置静态的网卡物理 /IP地址
对, 使用这种方式可以为缺省网关和本地服务器等常用主机
进行本地静态配置, 这有助于减少网络上的信息量 。
按照缺省设置, ARP高速缓存中的项目是动态的, 每当
发送一个指定地点的数据报并且此时高速缓存中不存在当前
项目时, ARP便会自动添加该项目 。
14.8.3.5 ARP( 2)
常用命令选项,
① arp –a:用于查看高速缓存中的所有项目 。
② arp -a IP:如果有多个网卡, 那么使用 arp -a加上接口的 IP
地址, 就可以只显示与该接口相关的 ARP缓存项目 。
③ arp -s IP 物理地址:向 ARP高速缓存中人工输入一个静态
项目 。 该项目在计算机引导过程中将保持有效状态, 或者
在出现错误时, 人工配置的物理地址将自动更新该项目 。
④ arp -d IP:使用本命令能够人工删除一个静态项目。
14.8.3.6 Tracert命令( 1)
这个应用程序主要用来显示数据包到达目的主机所经过
的路径。通过执行一个 Tracert到对方主机的命令之后,结果
返回数据包到达目的主机前所经历的路径详细信息,并显示
到达每个路径所消耗的时间。
这个命令同 ping命令类似,但它所看到的信息要比 ping
命令详细得多,它能反馈显示送出的到某一站点的请求数据
包所走的全部路,以及通过该路由的 IP地址,通过该 IP的时
间是多少。
Tracert命令还可以用来查看网络在连接站点时经过的步
骤或采取哪种路线,如果是网络出现故障,就可以通过这条
命令来查看是在哪儿出现问题的。例如可以运行 tracert
www.sohu.com,就将看到网络在经过几个连接之后所到达的
目的地,也就知道网络连接所经历的过程。图 14-21给出了
tracert命令的一个实例。
14.8.3.6 Tracert命令( 2)
图 14- 21 Tracert命令
14.8.3.7 Route命令( 1)
大多数主机一般都是驻留在只连接一台路由器的网段上 。
由于只有一台路由器, 因此不存在选择使用哪一台路由器将
数据包发送到远程计算机上去的问题, 该路由器的 IP地址可作
为该网段上所有计算机的缺省网关来输入 。
但是, 当网络上拥有两个或多个路由器时, 用户就不一
定想只依赖缺省网关了 。 实际上可能想让某些远程 IP地址通过
某个特定的路由器来传递, 而其他的远程 IP则通过另一个路由
器来传递 。 在这种情况下, 用户需要相应的路由信息, 这些
信息储存在路由表中, 每个主机和每个路由器都配有自己独
一无二的路由表 。 大多数路由器使用专门的路由协议来交换
和动态更新路由器之间的路由表 。 但在有些情况下, 必须人
工将项目添加到路由器 和主机上的路由表中 。
Route命令可以显示, 人工添加和修改路由表项目 。
14.8.3.7 Route命令( 2)
route print,
本命令用于显示路由表中的当前项目,在单个路由器网段上
的输出结果如图 14-22所示。
图 14- 22
route print命令
14.8.3.7 Route命令( 3)
route add,使用本命令,可以将路由项目添加给路由表。
route change:可以使用本命令来修改数据的传输路由
route delete, 使用本命令可以从路由表中删除路由。
14.8.3.8 Nslookup
利用 Nslookup命令查看主机的 IP地址和主机名称 。 这个
命令在查看主机 IP的时候跟 Ping命令有些相似, 但得到的信
息却有些不同 。
直接键入命令, 系统返回本机的服务器名称 ( 带域名的
全称 ) 和 IP地址, 并进入以, >”为提示符的操作命令行状态 。
键入,?, 可查询详细命令参数 。 如此时给出一个计算机名
称, 若在本机能够识别该名称, 返回本机, 查询主机的名称,
IP地址及别名 。 键入, Server 服务器名称, 更改当前服务器 。
14.8.3.9 Nbtstat
使用 Nbtstat命令来查看计算机上网络配置的一些信息 。
使用这条命令还可以查找出别人计算机上一些私人信息 。
如果想查看自己计算机上的网络信息, 可以运行
Nbtstat –n
可以得到你所在的工作组, 计算机名以及网卡地址等
等;想查看网络上其他的电脑情况, 就, 运行 Nbtstat-a
*.*.*.*,此处的 *.*.*.*用 IP地址代替就会返回得到那台主机
上的一些信息 。
14.9 网络安全
安全策略
安全配置和分析
管理安全性模板
系统资源审核
Windows 2000安全性措施
14.9.1 安全策略
安全策略是一个事先定义好的一系列应用计算机的行
为准则, 应用这些安全策略将使得用户有一致的工作方式,
防止用户破坏计算机上的各种重要的配置, 保护网络上的
敏感数据 。
Windows 2000安全策略定义了用户在使用计算机, 运
行应用程序和访问网络等方面的行为, 通过这些约束避免
了各种对网络安全性的有意或无意的伤害 。
Windows 2000中安全策略分为本地安全设置和组策略
两种形式,
本地安全设置 是基于单个计算机的安全性;
组策略 可以在站点, OU(组织单元 )或域的范围内实现,
通常在较大规模并且实施活动目录的网络中应用 。
14.9.2 安全配置和分析 (1)
1) 打开, 控制面板,, 双击, 管理工具, 图标;
2) 在, 管理工具, 对话框中打开, 本地安全设置, ;
3) 在, 本地安全设置, 窗口的右侧, 树, 窗口中单
击, +‖号来扩展条目, 如图 14-23所示, 可以进行相应的
设置 。
例如, 用户可以设置密码的安全策略, 选中, 账户策
略, /―密码策略,, 然后在右边的窗口中选择要设置的选
项, 如选中, 密码长度最小值,, 在这里可以设置密码的
长度最少为 8个字符 。 要进行其它的安全设置, 可重复上
述步骤 。
14.9.2 安全配置和分析 (2)
图 14- 23 安全设置
14.9.3 管理安全性模板
Windows 2000中包含了许多个安全模板分别适用于不
同的安全需求,利用这些模板用户就可以简化策略的设定和
实施操作。它通常包含了大多数的安全设定,用户也可以按
照需要继续配置以适应一个具体网络的需要。
安全模板包括 4种安全级别的模板:基本、兼容、安全
和高度安全。可以在 %systemroot%\security\templates文件
夹中找到它们。
14.9.4 系统资源审核( 1)
提高网络的安全性就必须设置系统资源审核,以便时间
监视器可以将网络管理员所关心的资源的使用情况记录到安
全日志中。通过所记载的信息,分析网络的安全性,并做出
相应的策略。
审核分为两种类型, 一种审核是与操作系统本身安全性
相关的各种事件的审核, 这一类的审核必须在组策略的审核
策略中设置;另外一种就是对于网络中资源的审核, 这一类
审核将允许用户了解资源的使用情况 。
14.9.4 系统资源审核( 2)
设置资源审核会加大系统的负担, 因此尽量只对必要的
操作和资源设置审核 。 并且只能在 NTFS分区上设置资源审
核, FAT分区不支持审核 。 为资源设置审核时只需要在要审
核的对象上鼠标右键单击, 选择, 属性, 中的, 安全, 选项
卡即可进行相应的设置 。
为资源设置系统审核的操作如下,
( 1) 找到并单击希望设置审核的对象, 这里以 E盘下的
Intepub目录为例 。
( 2) 在该对象上右击, 选择, 属性, ;
( 3)在, 属性, 对话框中单击, 安全, 选项卡;
( 4)在, 安全, 选项卡中单击, 高级, 按钮;
( 5)在打开的如图 14-24对话框中,选中, 审核, 选项
卡。
14.9.4 系统资源审核( 3)
图 14-24 访问控制设置
14.9.4 系统资源审核( 4)
( 6) 在上图中点击, 添加, 按钮, 打开如图 12-25对话框;
( 7) 在, 选择用户, 计算机或组, 中选择要审核的用户, 单击, 确定,
按钮 。
图 14-25
添加用户、计
算机对话框
14.9.4 系统资源审核( 5)
( 8) 在, 审核项目, 中选
择对该资源的不同操作的成
功事件或失败事件的审核,
如图 14-26所示, 如可以对
用户, 创建文件 /写入数
据,,, 删除, 访问设置审
核 。
( 9) 单击, 确定, 按钮,
完成设置 。
图 14-26
设置审核项
目对话框
14.9.5 Windows 2000安全性措施( 1)
Windows2000是一种相对安全的操作系统, 利用其全部
或部分安全特性的优点, 可明显减少危险性 。 这里结合实际
应用中的经验介绍增强 Windows 2000安全性的考虑 。
1,版本的选择
选择成熟版本的操作系统, 注意随时 安装补丁程序 。
14.9.5 Windows 2000安全性措施( 2)
2,组件的定制
Windows 2000在默认情况下会安装一些常用的组件,但
是正是这种默认安装可能带来安全隐患。
对于管理员该确切需要哪些服务,而且仅仅安装确实需
要的服务,根据安全原则,最少的服务 +最小的权限 =最大的
安全。
典型的 WEB服务器需要的最小组件选择是:只安装 IIS
的 Com Files,IIS Snap-In,WWW Server组件。
而应该谨慎安装其他组件,Indexing Service,FrontPage
2000 Server Extensions,Internet Service Manager (HTML)等。
14.9.5 Windows 2000安全性措施( 3)
3,正确安装 Windows 2000 Server
( 1) 分区和逻辑盘的分配
如果将硬盘仅仅分为一个逻辑盘, 所有的软件都装在 C
盘上, 很明显不是个好方法 。 建议最少建立两个分区, 一个
系统分区, 一个应用程序分区, 这是因为微软的 IIS经常会有
泄漏源码的漏洞, 如果把系统和 IIS放在同一个驱动器会导致
系统文件的泄漏甚至入侵者远程获取管理权限 。
最好建立多个逻辑驱动器, 例如第一个大于 2G,用来装
系统和重要的日志文件, 第二个放 IIS,第三个放 FTP( 需要
的话 ), 这样无论 IIS或 FTP出了安全漏洞都不会直接影响到
系统目录和系统文件 。
14.9.5 Windows 2000安全性措施( 4)
3,正确安装 Windows 2000 Server
( 2) 安装顺序的选择与系统补丁
Windows 2000在安装中有几个顺序是一定要注意的 。 首
先, 何时接入网络 。 Windows 2000在安装时有一个漏洞, 在
你输入 Administrator密码后, 系统就建立了 ADMIN$的共享,
但是并没有用你刚刚输入的密码来保护它, 这种情况一直持
续到你再次启动后, 在此期间, 任何人都可以通过 ADMIN$
进入你的机器;同时, 只要安装一完成, 各种服务就会自动
运行, 而这时的服务器是满身漏洞, 非常容易进入的, 因此,
在完全安装并配置好 Windows 2000 Server之前, 一定不要把
主机接入网络 。
14.9.5 Windows 2000安全性措施( 5)
4,安全配置 Windows 2000 Server
即使正确安装了 Windows 2000 Server,系统还是有很多的漏洞, 需
要在管理和应用中进行细致地配置 。
( 1) 端口
端口是计算机和外部网络相连的逻辑接口, 也是计算机的第一道屏
障, 端口配置正确与否直接影响到主机的安全, 一般来说, 仅打开你需
要使用的端口会比较安全 。 很多黑客攻击程序是针对特定服务和特定服
务端口的, 因此, 为了降低遭受黑客攻击的危险, 应该关闭那些不必要
的服务和服务端口 。
配置的方法是:鼠标右键单击, 网上邻居, /“属性, /“本地连
接, /“属性, /“TCP/IP”/“属性, /“高级, /“选项, /“TCP/IP筛选, /“启用
TCP/IP筛选, /“属性,,打开如图 14-27所示对话框。选中, 启用 TCP/IP
筛选(所有适配器),,依次选中各个端口(如 TCP端口)上, 只允许,
选项,点按, 添加, 按钮,打开如图 14-28所示对话框。键入要添加的
端口号,重复上述过程即可。
14.9.5 Windows 2000安全性措施( 6)
图 14- 27 TCP/IP筛选对话框
图 14- 28 添加筛选器
14.9.5 Windows 2000安全性措施( 7)
( 2) IIS
IIS是微软的组件中漏洞最多的一个, 平均两三个月就要出一个漏洞,
而微软的 IIS默认安装又实在不敢恭维, 所以我们应该自己配置 IIS。 例
如, 把 C盘 Inetpub目录彻底删掉, 在 D盘上建一个 Inetpub,或者改一个
名字, 不用系统默认目录名 。 在 IIS管理器中将主目录指向 D:\Inetpub。
又如, 删除 IIS安装时默认的 scripts等虚拟目录, 如果需要什么权限的目
录可以自己慢慢建, 需要什么权限开什么 。 特别注意写权限和执行程序
的权限, 没有绝对必要不要给目录这些权限 。
( 3) 应用程序配置
删除 IIS管理器中不必要的任何无用映射 。 在 IIS管理器中鼠标右键
单击主机, 选择, 属性, /“WWW服务, /“编辑, /“主目录, /“配
置, /“应用程序映射,, 删除不必要的应用程序类型, 如图 14-29所示 。
选择, 应用程序调试, 选项页, 如图 14-30所示, 将脚本错误消息改为发
送文本, 否则 ASP出错的时候用户将知道你的程序, 网络, 数据库结构 。
错误文本可自己定制, 点按, 确定, 退出 。
14.9.5 Windows 2000安全性措施( 8)
图 14- 29应用程序配置 图 14- 30 应用程序调试
14.9.5 Windows 2000安全性措施( 9)
( 4) 删除不需要的服务
许多服务器允许远程用户通过 Telnet等方式登陆,并可
在控制台上执行一系列操作,如装载和卸载模块,安装和删
除软件等。这虽然带来了一些方便,但也给非法用户访问和
控制服务器带来了可乘之机。可以通过以下方法关掉一些不
必要的服务,选择, 开始, /“管理工具, /“服务,,打开如
图 14-31所示窗口,查找并选中要停止的服务(如 Telnet),
鼠标右键单击选择, 停止, 即可。
14.9.5 Windows 2000安全性措施( 10)
服务窗口
图 14-31 服务窗口
14.9.5 Windows 2000安全性措施( 11)
5,账号安全
Windows 2000的默认安装允许任何用户通过匿名用户得
到系统所有账号, 共享列表, 这个本来是为了方便局域网用
户共享文件的, 但是一个远程用户也可以得到你的用户列表
并使用设法破解用户密码 。 Windows 2000的本地安全策略
( 如果是域服务器就是在域服务器安全和域安全策略中 ) 就
有这样的选项, 匿名连接的额外限制,, 这个选项有三个值:
0( 无, 取决于默认的权限 ) ; 1( 不允许枚举 SAM账号和共
享 ) ; 2( 没有显式匿名权限就不允许访问 ) 。 0这个值是系
统默认的, 什么限制都没有, 远程用户可以知道你机器上所
有的账号, 组信息, 共享目录, 网络传输列表等等, 对服务
器来说这样的设置非常危险 。 1这个值是只允许非 NULL用
户存取 SAM账号信息和共享信息 。 需要注意的是, 如果使用
2这个值, 你的共享就不能完成了, 所以推荐还是设为 1比较
好 。
14.9.5 Windows 2000安全性措施( 12)
可通过, 程序, /“管理工具, /“本地安全设置, /“本地策
略, /“安全选项,, 打开如图 14-32所示窗口 。 在右侧找到
,匿名连接的额外限制,, 鼠标右键单击选择, 安全性,,
打开如图 14-33所示对话框, 用户可以进行相应的设置 。
系统内建的 administrator也可能泄漏密码, 所以建议改名 。
在, 计算机管理, /“用户账号, 中鼠标右键单击 administrator
然后改名即可 。
14.9.5 Windows 2000安全性措施( 13)
图 14-32 本地安全设置
图 14- 33 本地安全策略设置
14.9.5 Windows 2000安全性措施( 14)
6.安全日志
Windows 2000的默认安装是不开任何安全审核的。打开
,程序, /“管理工具, /“本地安全设置, /“本地策略, /“审核
策略, 设置相应的审核,如图 14-34所示界面。
图 14- 34
本地安全设置
14.9.5 Windows 2000安全性措施( 15)
7,目录和文件权限
为了控制好服务器上用户的权限, 同时也为了预防以后
可能的入侵, 还必须非常小心地设置目录和文件的访问权限,
访问权限分为:读取, 写入, 读取及执行, 修改, 列目录,
完全控制 。 在默认的情况下, 大多数的文件夹对所有用户
( Everyone这个组 ) 是完全开放的 ( Full Control), 需要根
据应用的需要进行权限重设 。
14.9.5 Windows 2000安全性措施( 16)
在进行权限控制时, 记住以下几个原则,
( 1) 权限是累计的
如果一个用户同时属于两个组, 那么他就有了这两个组所允
许的所有权限 。
( 2) 拒绝的权限要比允许的权限高 ( 拒绝策略会先执行 )
如果一个用户属于一个被拒绝访问某个资源的组, 那么不管
其他的权限设置给他开放了多少权限, 他也一定不能访问这
个资源 。 所以请非常小心地使用拒绝, 任何一个不当的拒绝
都有可能造成系统无法正常运行 。
( 3) 文件权限比文件夹权限高 。
( 4)仅给用户真正需要的权限,权限的最小化原则是安全
的重要保障。
本章小结
本章主要讲解了 Windows 2000 Server作为网络操作系
统在网络维护和管理中的功能与作用。主要包括使用网络
性能监视器、网络监视器监控与分析网络性能,提高网络
性能的方法,网络管理中常用命令的使用,以及提高
Windows 2000 Server安全性的措施。
习 题
1.网络管理的主要任务是什么?
2,使用网络监视器监控网络可以得到那些信息?
3,使用性能监视器能检测那些信息?
4,捕获筛选程序使用那些参数进行网络流量筛选?
5,影响网络性能的因素有哪些? 如何提高?
6,如何创建触发器?
7,Windows 2000 server具有哪些自动优化功能?
8,使用哪个命令可将网络共享文件映射为一个驱动器名?
9,如果使用 Ping命令 Ping本机 IP成功, 但 Ping局域网里其它的主机 Ping不通,
那么故障可能的原因是什么?
10,如果想知道计算机和网络之间连接的详细情况, 应该使用那个命令?
11,一台使用了动态主机配置协议 DHCP的主机, 如何知道它使用的 IP地址?
12,如何知道数据包到达目的主机所经过的路径?
13,比较常用的网络命令的作用 。
14,Windows 2000 server中提供了那些安全性保护措施?
15.提高 Windows 2000 server的安全性措施有哪些?
