Windows NT网络完全手册 杨锦川 1999年 第53期 01版 #1一、Windows NT基本介绍 Windows NT是Microsoft推出的面向工作站、网络服务器和大型计算机的网络操作系统,也可做PC操作系统。它与通信服务紧密集成,提供文件和打印服务,能运行客户机/服务器应用程序,内置了Internet/Intranet功能,已逐渐成为企业组网的标准平台。本文介绍以Windows NT Server 4.0为准。 #1 1.Windows NT的主要特点 ①32位操作系统,多重引导功能,可与其它操作系统共存。 ②实现了“抢先式”多任务和多线程操作。 ③采用SMP(对称多处理)技术,支持多CPU系统。 ④支持CISC(如Intel系统)和RISC(如Power PC、R4400等)多种硬件平台。 ⑤可与各种网络操作系统实现互操作。如:UNIX、Novel Netware、Macintosh等系统;对客户操作系统提供广泛支持,如MS-DOS、Windows、Windows NT Workstation、UINX、OS/2、Macintosh等;支持多种协议:TCP/IP、NetBEUI、DLC、AppleTalk、NWLINK等。 ⑥安全性达到美国国防部的C2标准。 #1 2.Windows NT的两个版本 Windows NT的两个版本分别是Windows NT Workstation 和Windows NT Server 。Windows NT Workstation的设计目标是工作站操作系统,适用于交互式桌面环境;Windows NT Server的设计目标是企业级的网络操作系统,提供容易管理、反应迅速的网络环境。两者在系统结构上完全一样,只是为适应不同应用环境在运行效率上做相应调整。Windows NT Server具有更多的高级功能,可把Windows NT Workstation 看作它的子集(见^5301100a^)。 #1 3.Windows NT引入的新概念 (1)NTFS(Windows NT File System):Windows NT采用的新型文件系统。可提供安全存取控制及容错能力,在大容量磁盘上,它的效率比FAT高。 (2)共享:对网络资源设置一定的权限许可,没有得到权限许可,就无法访问网络资源。 (3)用户账户(User Account):要想使用网络资源,必须有用户账户。Windows NT对用户和服务程序,都要求提供合法账户。专为应用程序或服务进程创建的账户即服务账户,在系统启动时,服务进程使用服务账户登录以获得在系统中使用资源的权利和权限。普通用户账户由用户登录时提供,用于Windows NT控制该用户在系统中的权利和权限,与服务账户本质上无区别。 (4)域(Domain):是Windows NT中数据安全和集中管理的基本单位。网络由域组成,域具有唯一的名称。域可以看作由运行NT的服务器组成的系统,一组电脑共用相同的账户及安全数据库。 (5)工作群组(Workgroup):一种资源与系统管理皆分散的网络结构。工作群组里,每台电脑之间是对等关系,彼此可以是服务器,也可以当作工作站。 (6)权利(Right):授权某用户可以在系统上执行某些操作。权利用来保护系统整体 (7)权限(Permission):用来保护特定对象。权限规定可以使用某一对象的用户以及用什么方法使用。 (8)安全审核:Windows NT将记录发生在电脑上各项与安全系统相关的过程。 #1二、Windows NT组网策略 Windows NT是复杂的网络操作系统,安装之前必须确定它的组网策略。 #1 1.网络类型 根据计算机在网络中的地位或作用,网络可分为: (1)对等网络(Peer to Peer):网络中计算机之间地位同等或功能相似,没有哪台计算机处于特殊地位,无专用服务器,每台计算机相对于网络中其它计算机而言,既是服务器又是客户机,既可为其它计算机服务,又可利用其它计算机的服务。对等网络也称工作组。 (2)基于服务器(Server-based)网络:在网络中如有一台计算机或几台计算机掌管着网络安全和网络资源,网络离开这几台计算机将无法正常工作,它们被称为服务器,其它计算机称为客户机。 实际的网络多是二者的混合型。一个基于服务器的网络,各客户机可以访问服务器上的资源,而且各客户机之间也可以实现资源共享。这种网络,服务器可采用Windows NT Server,客户机操作系统可以选用Windows NT Workstation、Windows 95/98、Windows for Workgroup等。 #1 2.Windows NT组网策略 (1)Windows NT Workstation作为对等网络(Peer to Peer)的操作系统十分合适,它既可为别的计算机提供服务,也可访问其它计算机资源。该网络中,每台Windows NT Workstation都是完整独立的系统,负责维护自身资源安全。用户要访问网络中的资源,必须在每台计算机上开设账户,这种工作组(Workgroup)网络结构只适用于小规模网络。 (2)如果让其中一台计算机集中管理所有账号,其它计算机依靠它来保证账号安全,这种基于服务器的网络在Windows NT中称为域(Domain),集中管理账户的计算机称为主域控制器(Primary Domain Controller,PDC),域中还可以设置备份域控制器(Backup Domain Controller,BDC)。只有安装了Windows NT Server的计算机才能担当。若是网络设计成域模型,则必须有且只能有一个主域控制器,而且PDC必须首先安装。BDC则不是网络中必须的。 (3)PDC和BDC负责账户的管理和维护,但并不局限于专用账户服务器,PDC和BDC上还可以安装其它服务如:SQL Server、Exchange Server等等。也可单独安装Windows NT Server ,使其只充当普通专用服务器角色。 (4)Windows NT Server安装时可有三种角色:PDC、BDC或普通服务器。在安装中角色设定为普通服务器,除非重装Windows NT Server,否则无法改为PDC或BDC。Windows NT Server充当普通服务器,与Windows NT Workstation相比,只是性能上较强,而安全性和管理方法相差无几。 综上所述,若网络规模较小,计算机操作者可熟练管理自己的机器,安全性要求不高,可采用工作组方式,操作系统除了用 Windows NT Workstation外还可以安装Windows NT Server为普通服务器。如果网络规模较大,安全性要求较高,则采用域模型。 #1三、Windows NT的安装 #1 1.Windows NT Server安装要求(见^5301100b^) 硬件应该在NT硬件兼容性列表中(HCL——Hardware Compatibility List),否则应有硬件厂商提供的Windows NT Server驱动程序或可兼容HCL中的某个同类产品。 #1 2.Windows NT Server安装方法 Windows NT可在多种操作系统下进行安装(见^5301100c^): #1 3.Windows NT Server安装过程 以Windows 95为例叙述: (1)将Windows NT Server 4.0中文版光盘放入光驱,从“开始”菜单选“运行”命令,在“打开”中输入“D:\i386\winnt32/b/w”(假设光盘为D盘),确认后回车。 (2)系统重启动后出现“Windows NT Serve Install/Upgrade”选项,回车后出现“欢迎使用安装程序”,确认后继续安装。 (3)安装程序检测磁盘控制器,确认后出现软件使用协议说明,按下F8键表示同意。接着,安装程序让你选择要安装的分区,可删除、创建分区并格式化,回车继续;确认安装目录(缺省为Winnt),回车继续。 (4)安装程序进行系统检查,检查完毕开始复制文件,复制完后系统重新启动;进行初始化,系统提示将执行下列过程:确认计算机有关信息、安装Windows NT 网络服务以及完成安装。 (5)根据提示,输入个人信息如公司及姓名,回车确认;输入Windows NT Server 4.0的CD码(光盘盒背面黄色标签);接着选择用户许可协议方式。选“服务器方式”,并输入购买的协议数目,单击“下一步”。 (6)输入计算机的名称。 【注】:该名称不能与网络中的计算机名、域名、工作组名以及用户名冲突。 (7)选择服务器类型:是域控制器(PDC)、备份域控制器(BDC)还是普通服务器。假定选择PDC,继续。 (8)输入管理员的密码。 【注】:该密码在完成安装第一次启动Windows NT Server时要用,注意保存。 (9)系统提示选择要安装的组件,单击“下一步”,提示“Windows NT 网络服务”。 (10)根据实际情况选择安装类型,单击“下一步”,确定是否安装IIS,单击“下一步”继续;选择网卡类型,单击“下一步”选择网络协议并确定要安装的组件;系统提示你对所选网卡配置数据帧类型,可以保留默认值继续。 (11)确定是否安装DHCP。若不使用DHCP(Dynamic Host Configuration Protocal(动态主机配置协议)),则要求输入IP地址、子网掩码、缺省网关。 (12)单击“下一步”,输入域名(不能有冲突),在弹出的安装提示对话框中,单击“完成”;确认时区问题,单击“关闭”。 (13)系统提示测试显示器,单击“确定”,然后单击“测试”,测试完毕后单击“确定”。 (14)系统复制文件,最后“重新启动计算机”。 重新启动后,Windows NT Server 4.0中文版全部安装完毕,可以用Administrator身份登录。 #1 4.Windows NT的启动登录及退出 (1)启动Windows NT: ① 在系统选择列表中选“Windows NT Server Version 4.0”或“Windows NT Server Version 4.0(VGA mode)”,按下回车键。 ② 如有不同硬件配置文件,选择所需的硬件配置文件。 ③ 根据系统提示,按下Alt、Ctrl、Delete键,在身份验证对话框中,输入账号、密码及要登录的域。 ④单击“确定”,等待系统启动桌面。 (2)关闭系统:从“开始”菜单选择“关闭系统”,在弹出的对话框中选“关闭计算机”即可关闭系统。假如选“关闭所有程序并以其它用户身份登录”则可以用另外的账户重新登录。 #1四、配置Windows NT Server环境 NT提供的配置工具有:注册表和控制面板 #1 1.注册表数据库 (1)注册表数据库介绍:注册表数据库保存所有系统配置信息。Windows NT 通过下述方式使用注册表(见^5301100d^): (2)注册表编辑器:注册表编辑器(regedt32.exe)允许管理员查看配置注册表。它的缺省位置是\winnt_root\system32\目录。 #1 2.通过控制面板修改系统 控制面板中提供了一系列工具以完成维护中的参数配置。 #1五、Windows NT文件系统管理 #1 1.Windows NT文件系统 Windows NT可支持的文件系统有:NTFS 、FAT、CDFS(CDFS是CD-ROM的只读文件系统,用于读取CD-ROM驱动器),你可以选择不同的文件系统格式化多个分区。 (1)NTFS和FAT的比较(见^5301100e^): (2)文件系统的选择: ①FAT与NTFS相比,NTFS安全性强,它可配置文件和目录的许可和审核。从FAT分区转换到NTFS时保留分区上所有数据,这个转换过程是单向的,不可逆转,转换命令:convert〈drive〉/fs:ntfs。转换时需要CUFAT.DLL文件,此文件缺省安装在\win_nt\system32子目录中。若你打算在计算机上做DOS和Windows NT的双启动,则系统分区必须用FAT文件系统格式化。 ②Windows NT支持长文件名,对于在FAT分区上创建的每个长文件名,会自动生成一个以短文件名作为长文件名的别名。在注册表中:\HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\FileSystem\Win31FileSystem,其值为0,支持长文件名,其值为1,禁止使用文件名。若是禁止长文件名,从NTFS分区向FAT分区拷贝带有长文件名的文件时会出错。 #1 2.磁盘管理器 磁盘管理器是安装、配置和管理硬盘的图形化工具,位于“开始/程序/管理工具”,利用它可以创建和格式化分区以及创建、删除、扩展数据存储区如卷集和带区集。 (1)概念介绍(见^5301100f^): (2)卷集的使用: ①卷集创建后,必须格式化才能使用,它可用NTFS或FAT格式化。不能把卷集空间再回收,除非破坏卷集及其存储的数据。如果计算机使用 Windows NT和DOS双启动,而DOS不支持卷集,则DOS中看不到卷集及卷集中的硬盘空间。 ②创建卷集所使用的硬盘空间只能是空闲空间,一旦创建了卷集必须实行格式化,删除一个卷集会丢失所有信息,空间重新归为空闲。 ③如果用NFTS格式化卷集,另外的驱动器可以加入卷集而不必重新格式化,也不会丢失数据。扩展卷集只能在NTFS分区上完成。先选择要扩展的卷集,再选择一个或多个自由空间区,在“磁盘管理器”的“分区”菜单中选“扩展卷集”即可。格式化为FAT的卷集要扩展,必须先转化为NTFS。 ④在卷集中,数据一次只能写到一个分区中,直至此分区写满,然后再向另一个分区写,硬盘访问操作一次只能在一个驱动器上进行。 (3)带区集的使用: ①在带区集中,数据顺序地写到所有物理盘中,每次一行,每一带区64KB。在带区集中,数据均匀分布到所有驱动器上,带区集中所有驱动器都执行正常配置下由一个驱动器完成的相同功能,因此允许并发的I/O操作在所有驱动器上同时进行以提高系统性能。 ②组合带区集的分区必须近似为相同大小,否则,磁盘管理器会将每个分区设为相同大小。 ③如果用MS-DOS启动,看不到带区集中的分区。 (4)卷集与带区集的比较(见^5301100g^): #1六、Windows NT域的管理 #1 1.域的基本管理 (1)域用户管理器: ①缺省账户:第一次安装Windows NT Server 为PDC 时,创建两个缺省账户(见^5301100h^): ②创建新账户:必须为Windows NT系统的每个用户都创建一个或多个账户。Windows NT允许一个用户拥有多个权限不同的账户。增加用户账户可以创建新账户也可以拷贝现有用户账户。创建新账户使用“域用户管理器”中“新用户”对话框进行。 ③删除用户账户:以管理员身份登录→启动域用户管理器→选择要删除的账户→选“用户”菜单里的“删除”命令即可。 ④禁止用户账户:以管理员身份登录→启动域用户管理器→选择要禁止的账户→在“用户”菜单选择“属性”或双击该账户→选择“账户暂时禁止”即可。此时用户无法登录系统,但账户信息保持不变,一旦重新激活账户即可立即使用。 (2)组账户:相似工作或有相似资源要求的用户可以组成工作组,对网络资源的存取权限或许可分配给组就是同时分配给组中所有成员。 ①Windows NT Server有内置组账户,每个组都赋予特殊权限(见^5301100i^): ②特殊组:特殊组无法分配用户,用户要么缺省属于这些组,要么根据用户的网络活动成为这些组的成员(见^5301100j^)。 ③本地组和全局组(见^5301100k^): ④创建组账户:通过域用户管理器的“用户”菜单可以创建新的本地组。全局组只能在基于Windows NT Server的计算机上创建和删除。 ⑤删除本地组账户:删除一个本地组只是删除这个组,并不删除本地组中的账户。用域用户管理器创建的组可以删除,Windows NT 内置的组不能删除。删除的组是无法恢复的,跟用户账户不同,组无法改名或禁止。 (3)服务器管理器:用于维护域的成员关系,往域中添加或删除成员,或做日常维护工作。 服务器管理器可以:显示域中的计算机;管理所选择的域中的服务器属性和服务;在域中添加或删除计算机;将备份域控制器提升为主域控制器;使备份域控制器与主域控制器同步;管理共享资源;向连接的用户发送信息。 启动服务器管理器:以管理员身份登录到Windows NT Server→“开始”→“程序”→管理工具(公用)→“服务器管理器”。 (4)域的日常维护: ①提升BDC为PDC:当PDC因某种原因停止工作时,将BDC提升为PDC可保证继续对域实施管理。PDC在线时,将一台BDC提升为PDC,原先的PDC则降为BDC。PDC不在线时,BDC也可以提升为PDC,当原来的PDC再次恢复在线时,它的网络登录服务失效,要把它降为BDC。 具体的操作是:在服务器管理器中选择要提升的BEC→从“计算机”菜单中选“升级为主域控制器”→系统关闭所有对BDC、PDC的连接,管理员对提升操作进行确认。 ②具体的操作是:同步用户账户数据库将把新的用户账户、组和口令信息从PDC拷贝到目标BDC(见^5301100l^)。 #2 2.域的高级管理 (1)信任关系:在域中,所有的计算机账户都集中在PDC上,可以进行集中的管理与控制。那么,当用户要跨域访问时,如何进行安全控制呢?方法有两种,一种是给每个用户在每个域中分别开设账户,这样不利于集中管理。另一种方法就是建立域与域之间的信任关系,将各域的账户集中到一个域中来管理。 信任关系是两个域之间的通信连接,当连接建立后,其中一个域允许另外一个域的用户访问自己的资源却不必在本域拥有账户与口令,安全验证委托另外一个域进行。当网络中各域之间建立适当的信任关系以后,用户凭借一个账户就可以访问所有的域,网络中所有的计算机都可以识别这个用户账户。用户只需登录一次即可访问网上所有的计算机。在管理上,信任关系将两个独立的域连接为一个管理单元,账户管理可以集中在一个域中进行,不必分散到各个域中。 ①两个域之间的信任关系有两种(见^5301100m^): ②规划信任关系:信任关系只限于Windows NT域之间,Windows NT域与工作组之间不能建立信任关系,也不能与其它网络操作系统之间建立信任关系。当域之间建立起信任关系之后,被信任域中的全局组可以成为信任域中本地组成员,信任域可以在域中为该本地组指定资源访问许可和权利。在带信任关系的多域环境中,组策略一般也是把用户加入全局组,再将全局组加入本地组。只不过全局组在被信任域中定义,本地组在信任域中定义。信任关系之间没有传递性,域A信任域B,域B信任域C,推不出域A信任域C。 ③创建信任关系:打开域用户管理器,在菜单条中打开“策略”,选择“委托关系”,弹出对话框。 假设建立域A和域B之间的单向信任关系且为域A信任域B,则在域B的计算机上的对话框中信任域填入域A名字,在域A计算机上,在委托域中输入域B名字。建立信任关系后,可以在域A中控制域B中的用户对域A资源的访问。 (2)域模型:域与域之间建立不同的信任关系会导致不同的管理效果(见^5301100n^): #1七、Windows NT安全管理 #1 1.系统安全模型 要访问Windows NT系统,首先必需在系统中有一个账户,账户是用域用户管理器创建的;其次,账户在系统中要有一定的权利和权限。 (1)用户登录过程:Windows NT系统有个登录进程,用户登录时要求输入用户名及口令,登录进程根据输入查找安全账户数据库,口令无效拒绝登录,账户口令有效,则给予一个访问令牌。 用户成功登录后,只要没有从系统中注销,其在系统中的权限以访问令牌为准,Windows NT安全系统不再检查安全账户数据库。因此,当某个用户登录后,管理员修改了其账户及权利,这些修改只有在用户下一次登录时才生效。 (2)为用户分配权利:以管理员身份登录到系统中→打开域用户管理器→选择“策略”菜单中“用户权限”,弹出“用户权限策略”对话框→在“权限”下拉列表中,选择想指定的权限,单击“添加”→选择想授权的用户→权利分配完毕。 (3)为用户分配权限:选择要设定权限的资源(如文件夹)→单击鼠标右键打开“属性”对话框→选择“安全性”页→单击“权限”按钮,打开权限页→单击“添加”,弹出添加对话框→在用户列表中选择要控制的组或用户→在“访问类型”中指定访问许可权限即可。 #1 2.设置安全策略 对于个人账户和组账户,管理员可以使用不同的安全策略管理,包括口令配置、文件审核以及赋予权限(见^5301100o^)。 (1)账户策略:设置口令的最大最小时间控制、最小长度、口令唯一性并配置账户的锁定特性。账户策略通过域用户管理器的“策略”菜单实现。说明如^5301100p^: (2)用户权限策略:用于管理授予组和用户账户的权限。用户权限允许用户在系统上执行某些操作。对于缺省的组一般不改变用户权限策略,因为这些组的用户权限能够支持每个组内典型用户的需要。用户权限有两级:用户权限和高级用户权限。 用户权限举例(见^5301100q^): 高级用户权限举例(见^5301100r^): (3)审核策略:审核允许管理员有选择跟踪用户和系统的活动。Windows NT可以记录一定范围内的事件类型,从系统范围的事件,例如用户登录,到特定用户试图读某个文件。审核策略确定 Windows NT将执行的安全性纪录的数量和类型。发生审核事件时,计算机安全日志增加一项。安全性日志可以用“事件查看器”查看(见^5301100s^)。 要对系统进行审核:以管理员身份登录到系统→打开域用户管理器→从“策略”菜单选择“审核”→在“审核规则”对话框中选“审核下列事件”,并选择要审核的事件。 要对文件进行审核:选择NTFS分区上的文件或目录→单击鼠标右键选择“属性”→选择“安全性”,单击“审核按钮”→在“审核目录”对话框中,选择相应的用户和组即可。 #1 3.管理本地资源 ①在Windows NT中,假设你正在使用计算机A,如果你存取计算机A上的资源,叫做进行本地访问操作;假设你存取另一台计算机B上的资源,叫做进行远程访问操作。资源主要指硬盘上的文件、目录以及打印机等。在Windows NT中,NTFS是唯一支持对单独的文件和目录进行权限设置的文件系统,要想要控制本地资源的安全性,只能使用NTFS,其它的文件系统不能设置安全权限。 ②对文件和目录进行权限设置有两个途径:通过“资源管理器”和通过“我的电脑”。选定相应的文件或目录,打开其“属性”,选择“安全性”一项,点“权限”按钮进行设置。 ③设置权限时,文件和目录权限互相影响,比如分配权限时,对某个文件指定了读的权限,但却对其所在目录设置了不能读的权限,则无法看到该目录下相应的文件。 ④进行权限设置,还要对组进行管理。某个用户可能属于多个组,假设某个文件对于两个组设置了不同的权限,某个用户同时使这两个组的成员,则将所有权限加在一起赋予该用户,但是假如某个组的权限是“拒绝访问”则该用户最终权限就是“拒绝访问”。 #1 4.管理网络共享资源 资源要能够让用户通过网络来访问,必须将其设为共享。Windows NT 中任何目录都可以被共享,而不管这个目录所在分区使用什么文件系统。共享目录只是控制远程用户的访问,对本地用户无影响。 (1)创建共享目录的条件: 只有Administrators、Server Operatiors组的成员可以创建共享目录。 (2)创建共享目录:先选中该目录,单击鼠标右键,在快捷菜单中选“共享”,弹出对话框,设置共享选项(见^5301100t^): (3)停止目录共享:可以停止共享目录防止远程访问文件。通过该共享目录“属性”菜单中“共享”选项,选择“不共享”即可。停止目录共享时,任何连接到该共享目录的用户都自动地断开连接,有可能引起数据丢失。 (4)共享目录许可:许可对于共享目录下的文件和子目录都适用,并且只有通过网络访问该目录时才起作用。可以给用户也可以给组或者两者同时授权。对共享目录可以给用户和组授予以下许可(见^5301100u^)。 (5)本地许可和共享许可的组合:当资源位于NTFS分区的时候,远程访问受两个许可集的组合限制:网络共享许可和本地NTFS许可。有效许可是限制最为严格的许可。如果远程用户需要在NTFS分区上的共享文件进行读写和删除。那么两个许可集都必须包含写和删除的许可权限。 (6)访问共享目录:双击“网上邻居”,层层打开网络,直到要访问的共享目录。 #1 5.使用Windows NT备份工具 (1)概述:Windows NT提供磁带备份工具以保护数据。为一次备份操作选择的文件、目录或驱动器组称为备份集(backup set)。包含几个备份集的相关磁带集叫做系列集(family set)。描述磁带上存储的备份集的信息位于目录(catalog)中,所有目录信息保留在相应磁带备份集上。 (2)备份文件:备份方法为(见^5301100v^): 备份对话框磁带选项说明(见^5301100w^): (3)恢复文件:Windows NT备份程序允许将备份数据恢复到同一计算机或不同计算机。假如向FAT分区恢复文件,则备份的所有权限信息丢失,因为FAT不支持Windows NT权限设置。从备份磁带中恢复文件可以选择下列选项(见^5301100x^): #1八、Windows NT打印管理 打印管理器可以从“我的电脑”中“打印机”或“开始/设置”中“打印机”启动。它允许管理员执行所有打印机管理任务。 (1)创建打印机:打开“打印机”,启动“添加打印机”,选择安装本地打印设备还是网络打印设备,选择对应的驱动程序,为打印机命名,并设置共享。假如允许共享,可以设定允许使用该打印机的操作系统。 (2)连结打印机:访问打印机的方法是建立网络连接。就是在打印机创建过程中,选择打印机位置时选择“网络打印服务器”,即可连结位于另一台计算机上的共享打印设备。 (3)创建打印机池:打印机池指连接到同一打印机的一组打印设备,它允许用户打印到一台打印机而由处理程序决定使用哪一台打印设备。打印机池中的打印设备必须使用相同的打印驱动程序。 在Windows NT中,每个打印机就是一个打印机池,打开想设为打印机池的打印机属性对话框,选择“端口”,选中下面的“启用后台打印程序”,选择与计算机相连的本地端口,单击“确定”,再次打开该对话框,则显示所有端口连接的打印设备。 #1九、Windows NT中的TCP/IP TCP/IP是最流行的网络通信协议,它的最大特点是可以路由。Windows NT将TCP/IP内置于操作系统中。 #1 1.Windows NT Server提供的TCP/IP协议 基于Windows NT 计算机的Microsoft TC/IP提供了企业联网和网际互连能力(见^5301100y^)。 #1 2.Windows NT Server提供的TCP/IP实用程序 TCP/IP实用程序与TCP/IP协议提供了访问异种主机和TCP/IP网际网的能力(见^5301100z^)。 #1 3.安装TCP/IP协议 在控制面板→网络→协议选项卡中单击添加按钮,然后再在网络协议列表框中选中TCP/IP协议后,单击确定按钮,根据提示插入Windows NT安装盘,待机器重新启动后协议添加完成。 #1 4.TCP/IP的三个基本参数 TCP/IP参数可用两种方法配置:手工配置或者DHCP服务器配置(见^5301101a^)。 #1 5.TCP/IP参数手工配置 在控制面板→网络→协议选项卡的网络协议列表框中选中TCP/IP通讯协议,单击属性按钮。由于可以安装两块网卡,因此应当在IP地址→适配器下拉列表框中选定不同的网卡分别进行配置。选中指定IP地址选项按钮后,分别输入指定的IP地址和子网掩码。默认网关指用以联接到其它网络的路由器的IP地址,但若以本机充当联接两个不同子网的路由器则可将其设为本机的地址。确定后重新启动计算机使配置生效。 #1 6.动态IP地址 Windows NT使用DHCP实现动态IP地址分配。在网络中设置DHCP服务器,其上列出所有可用的IP地址和子网掩码,其他使用TCP/IP协议的计算机启动时向DHCP服务器申请一个IP地址,并自动进行配置。 DHCP是一个客户/服务器结构的系统,在客户端和服务器端都需要相应软件才能完成地址租用过程。不用设置专门的DHCP服务器,服务器端将Windows NT Server 4.0设为DHCP服务器(DHCP服务器应当使用固定的IP地址)。客户端可以用其他的微软Windows操作系统。 (1)打开“控制面板”,双击“网络”图标,选择“服务”一项,“添加”“Microsoft DHCP服务器”,单击“确定”,输入安装路径,开始安装。 (2)安装完毕重新启动计算机,则在“管理工具(公用)”中出现“DHCP服务器管理”。在DHCP服务器上必须创建DHCP范围,它是一个IP地址池。运行“DHCP服务器管理”,选择窗口中的“本地计算机”,从菜单中选择“作用域”,再选择“创建”,在弹出的对话框中输入有效IP地址的起始地址和结束地址以及子网掩码,单击“确定”,启用新创建的域即可。 (3)客户端配置TCP/IP时选择“Enable Automatic DHCP Configuration”,使该台计算机成为DHCP客户,每次DHCP客户启动时,就会发出从DHCP服务器申请IP地址的请求。 (4)其它非DHCP客户可以使用TCP/IP实用程序或Windows网络命令与DHCP客户计算机通信。管理员必须清楚分配给非DHCP客户的IP地址,并将它们从DHCP范围中清除出去。 #1 7.安装配置DNS DNS(Domain Name System)即域名系统,Windows NT Server 4.0可以充当DNS服务器,在网络中将域名转换成IP地址。 (1)打开“控制面板”,双击“网络图标”在弹出的对话框里选择“服务”项,单击“添加”按钮。从列表中选“Microsoft DNS服务器”,单击“确定”,输入安装路径进行安装。安装完毕重新启动计算机,“管理工具(公用)”组中出现“DNS服务器”。 (2)启动“DNS服务器”,选择“DNS”菜单中“新建服务器”,在对话框中输入新建DNS服务器的名称或IP地址,单击“确定”,服务器出现在列表中。 (3)选定服务器,在“DNS”菜单中选“新建区域”,在弹出的对话框中选择“主要”,单击“下一步”,在“区域名”中输入相解释的域名,再单击“区域文件”一栏,出现一个缺省文件名,单击“下一步”,单击“完成”,则管理器窗口出现相应名称。 (4)选择新创建的域名,单击鼠标右键,选择“新建主机”,在对话框中输入要解释的主机名,反复操作,加入所有要解释的域名及主机名。如此服务器可以为网络中的计算机解释IP地址。 #1 8.安装配置WINS DNS是UNIX系统使用的IP地址与名称的映射服务器,在Windows NT网络中使用UNC(统一命名规则),各计算机名不用域名标示,而是使用“短名”,即以计算机名表示其在网络中的位置。WINS是Windows网际命名服务,旨在减少把计算机名解析成IP地址时所需的广播通信量。在Windows NT 4.0中,可以将DNS与WINS结合起来,创建动态DNS。 当使用TCP/IP在网上进行通信时,被访问资源所在的计算机名必须解析成IP地址,TCP/IP可以使用多种方法:广播、静态映射文件(LMHOSTS)或者WINS服务器。 (1)WINS服务器维护一个数据库,里面保存WINS客户的NetBIOS名到IP地址的映射表,当WINS客户向WINS服务器请求获得某台计算机IP地址时,它从数据库中进行查询,而不是用广播方式。 (2)WINS是一个客户机/服务器结构的系统,客户端和服务器端都需要相应软件。WINS客户配置一个或多个WINS服务器地址,启动时WINS客户直接和WINS服务器通信,把自己的计算机名和IP地址注册进去。 (3)WINS网络管理员可以手工将非WINS客户的静态映射信息加入数据库,使得WINS客户可以使用WINS服务器解析包括非WINS客户在内的计算机名。非WINS客户只能采用其它方法解析WINS客户的计算机名。 (4)安装配置WINS:打开“控制面板”中的“网络”图标,选择“服务”一项,单击“添加”,选择“Windows网际名称服务”,单击“确定”,开始安装。重新启动机器后,在“管理工具”中打开“WINS管理器”即可。 #1十、在Windows NT上建立Web服务器 IIS是随Windows NT Server 4.0一起提供的文件和应用程序服务器,是在Windows NT Server上建立Internet服务器的基本组件。它与Windows NT Server完全集成,允许使用Windows NT Server内置的安全性以及NTFS文件系统建立强大灵活的Internet/Intranet站点。 #1 1.IIS的安装 IIS可以在Windows NT安装时安装,也可以安装完Windows NT后用“控制面板”中的“添加/删除程序”安装,安装路径为光盘中的:i386\inetsrv\inetstp.exe。安装过程中要求添加相应的ODBC驱动程序。 #1 2.IIS的管理 IIS通过ISM(Internet Service Manager)进行管理,ISM有两个版本,一个以普通应用程序的方式运行,一个在Web浏览器中运行,二者的差别在于后者不能启动和停止Internet服务。 ISM(应用程序方式)管理界面:在“查看”菜单中选择“查看报告”、“服务器查看”、“服务查看”可以得到三种视图(见^5301101b^): #1 3.IIS安全性 IIS的安全性核心依赖于Windows NT Server内置的安全性,IIS自身也内置了安全性。包括加密、验证以及IIS扩展等。 (1)Windows NT Server安全性:Windows NT提供用户账户安全性、NTFS安全性。 ①用户账户安全性:Windows NT要求用户提供有效账户以及口令才能访问Windows NT。IIS安装时创建Internet Guest 账户,缺省情况下,所有IIS用户都使用这个账户登录到服务器,这个账户只允许本地登录,没有其他权利。假如允许远程用户用登录Internet Guest 账户登录就不必给远程用户用户名及口令,Windows NT以Internet Guest 账户对待。 ②NTFS文件安全性:NTFS提供安全性,可以控制对数据文件的访问,应当将数据文件放在NTFS分区。NTFS可以精确控制哪些用户和组以什么权限访问文件和目录。 (2)IIS的安全性:除了Windows NT的安全措施外,IIS本身也有安全控制能力。通过账户名及口令控制访问:可以配置WWW服务要求用户连入服务器之前提供一个合法的用户名及口令。 #1十一、Windows NT远程访问服务 Windows NT Server提供了RAS(远程访问服务:Remote Access Service)来支持远地拨号客户访问,可同时支持256个访问连接。 #1 1.RAS的规划 安装了RAS服务的Windows NT Server计算机称为RAS服务器,它的规划涉及两方面,软件设置和硬件连接。 (1)软件设置:RAS使远程客户通过电话线与网络相连,连接以后,RAS将Modem视为网卡,远程计算机成为LAN的一员。 配置RAS时,可以限制拨号用户的访问范围:只能访问RAS服务器资源或通过RAS服务器访问整个网络。后一种设计就是让RAS服务器充当远程客户和网络间的网关(或路由器),网关允许网络之间使用不同的通信协议来传递信息。 若安排RAS充当网关或路由器,就得配置网络通信协议,因为设网关或路由器是针对具体的通信协议而言。RAS对每种协议的具体支持并不一致,常见几种协议分别如^5301101c^: (2)硬件连接:RAS服务器提供拨号服务,应该根据访问的用户数确定调制解调器和电话线的数量。若用户数比较多,可以加中继器,使一个电话号码可以同时接入多个电话。为连接多个Modem,RAS服务器需要装一块多端口卡。 #1 2.安装配置RAS (1)安装须知: ①安装前应确定:RAS要使用的通信端口、要安装的Modem及其设置、采取的网络访问方式(仅拨入本机还是整个网络,拨出还是既拨入又拨出)。 ②端口配置:分为三种情况:仅拨出→只安装RAS客户软件;仅接受调用→只安装RAS服务器软件;拨出和接收调用→既安装RAS客户软件又安装RAS服务器软件。 ③RAS服务器安装完成,管理员莫要忘记通过RAS管理工具对用户授权。 (2)安装RAS服务:插入Windows NT光盘,在“控制面板”中选择“网络”,从“服务”中添加“远程访问服务”,在安装向导的指引下继续,安装Modem,配置COM端口及协议,重新启动,RAS即安装完毕。 (3)配置RAS服务(见^5301101d^): (4)配置RAS客户端:这个比较简单,在“控制面板”中“电话”中配置客户位置,安装调制解调器,安装拨号网络,建立连接并配置网络协议即可。其中“拨号服务器类型”中,有SLIP和PPP之分:使用PPP的用户可以选择任意协议(NetBEUI、TCP/IP或IPX/SPX);使用SLIP允许Windows NT RAS客户成为任何SLIP服务器的远程客户,选择SLIP就禁止了PPP。 #1 3.RAS服务器管理器 在服务器中,开始→程序→管理工具(公用)→远程访问系统管理。通过这个界面,可以:启动、停止、暂停和继续RAS服务;查看活动连接,查看连接端口的状态以及连接的性能;为远程用户授予访问权限;断开连接和给连接的RAS客户发送消息。 #1十二、Windows NT的其它应用 #1 1.Windows NT与各类操作系统的连接(见^5301101e^) #1 2.Windows NT上运行的几种服务(见^5301101f^) #1十三、Windows NT中硬件问题 #1 1.系统性能监测 (1)性能监视器:用来衡量本地计算机及网络上的计算机的性能的图形界面工具,它提供图表、警报、报告、日记四种方式监视系统性能,寻找瓶颈、监控硬件资源、监测系统极限以便对网络进行优化。性能监视器在“管理工具”中,它包含九部分内容(见^5301101g^): (2)Windows NT诊断器:在“管理工具”程序组中,用来观察存储在登记项数据库中的计算机硬件及操作系统信息的诊断工具。它提供图形化界面,可以打印系统信息详细报告,是观察系统信息最有效的工具,但是不能通过它配置信息。启动Windows NT诊断器也可以执行“winmsd”命令。 #1 2.网络布线 仅介绍两种简单布线方案: (1)用细缆和T型头把服务器、工作站串起来,细缆两头加上终结器。 (2)用集线器(HUB)和双绞线布线,HUB可以级联,接头使用RJ45标准接头。 #1 3.硬件配置问题 通过“控制面板”可以完成一般硬件的添加和设备管理等工作,但有几点注意事项: (1)SCSI总线:必须保证SCSI总线尾端装上终端子。要确定光驱的SCSI ID不为0或1。因为有些适配器把这个值留给硬盘,假如光驱的SCSI ID为0或1,可能会出现一个额外的分区表。可以改变跳线来设置此ID。 (2)网络适配器:要保证网络适配器的配置适合所用的网络电缆。设备不能共享中断请求(IRQ)号、内存缓冲区地址或ROM地址。配置网络适配卡必须选择正确的IRQ号、I/O端口基地址和内存缓冲区地址,要保证适配器之间或系统板与适配器之间没有冲突。假如不能确定所安装的网卡的配置,可以接受Windows NT安装时推荐的缺省配置。可以用“控制面板”中“网络”工具来安装配置网络设置。 ①分配给网络适配卡的IRQ应是唯一的,不能由系统中其他设备使用。基于X86的计算机中IRQ标准分配如^5301101h^: ②大多数设备有唯一的缺省I/O端口基地址,常见如^5301101i^ (3)如果安装了系统不支持的视频控制器,必须用制造商提供的驱动程序来调整分辨率参数。 #1 4.一般硬件冲突处理步骤 (1)利用WinMSD检查设备的IRQ设置是否用重复,调整冲突的IRQ后如不能解决问题则转下一步; (2)检查硬件兼容性列表,是否安装了Windows NT不兼容设备,更换设备或升级驱动程序后如不能解决问题则转下一步。 (3)检查设备是否使用了重叠的I/O端口地址,调整端口地址后如不能解决问题则转下一步。 (4)利用WinMSD检查外围设备是否使用了相同的DMA通道,调整设置后如不能解决问题则转下一步。 (5)再不能解决问题则更换、删除可能出错的设备或与设备供应商联系。