磨刀不誤砍柴工:網絡服務優化擴展案例實解
數量眾多、功能各異的服務器承載了企業局域網的各種服務需求,這些服務是企業網絡的命脈。面對新的服務需求,某些管理人員往往以搭建新的相關服務器為***方案,從而造成了服務器的數量越來越龐大,增加了投入和管理的成本。其實,在現有的網絡服務基礎上通過優化和擴展就可以滿足企業的需求。所謂“磨刀不誤砍柴工”,下面筆者列舉三個在企業局域網中非常實用的服務優化擴展實例。
一、域擴展RIS,實現軟件自由分發
在局域網中,工作站無休止地進行軟件安裝、升級、維護、刪除操作所帶來的龐大工作量,以及由此可能產生的安全問題一直都是令所有網管頭疼的事。很多網絡管理員都采用搭建文件服務器共享的方法,但共享所引起的安全隱患往往會成為網管心中永遠的痛。在域環境下只需進行RIS擴展即可實現軟件分發,域內主機的軟件安裝將會變得輕松自如且安全無憂。
為了便于說明,我們假設現在某位網管要將lw.com域中的“Windows Server 2003管理工具包”程序“Adminpak.msi”分發到所有的工作站上,那么則應進行以下設置。
1.設置共享目錄
為了***程度地進行訪問權限的管理,首先應在使用NTFS分區格式的盤中新建一個目錄,并命名為“Tools$”,然后將Adminpak.msi程序從Windows Server 2003安裝光盤的“I386目錄”中復制到“Tools$”目錄中。接著設置該目錄的共享權限,“Authenticated Users”組為可讀(如圖1所示),“Administrator”組為完全控制(如圖2所示)。
圖1
圖2
提示:分發的軟件必須是MSI封裝文件,如果想將非MSI格式的文件封裝成MSI文件,可以使用InstallShield等工具來完成這個轉換操作。#p#
2.設置組策略
***步:以域管理員身份登錄DC(域控制器),然后依次點擊“開始→程序→管理工具→Active Directory用戶和計算機”菜單項,在彈出的窗口中右鍵單擊lw.com,并在彈出的菜單中選擇“屬性”。在“屬性”窗口中點擊“新建”按鈕,并將新建的組策略對象命名為“Software”。
第二步:選中Software并單擊下方的“編輯”按鈕,在打開的“組策略編輯器”窗口中依次點擊“用戶配置→軟件設置→軟件安裝”。接著右鍵單擊“軟件安裝”,并在彈出的菜單中選擇“屬性”。在“軟件安裝 屬性”對話框中手工輸入“\\計算機名\共享文件名”,然后選中“顯示部署軟件對話框”和“基本”兩項(如圖3所示)。
圖3
第三步:點擊“確定”按鈕返回“組策略編輯器”后,右鍵點擊“軟件安裝”項,在彈出的快捷菜單中依次選擇“新建→程序包”。在隨后出現的“打開”對話框中,選中Tools$目錄下的“Adminpak.msi”文件后單擊“打開”按鈕即可。在隨后彈出的“部署軟件”對話框中選中“已發布”選項后,點擊“確定”按鈕。現在就可關閉組策略對話框了。接著打開命令提示符窗口,輸入“Gpupdate”命令并回車,這樣可以刷新組策略以便使上述設置立即生效(如圖4所示)。
圖4
3.在工作站中安裝軟件
經過上述在DC(域控制器)中的設置后,軟件就會被分發到lw.com域中的所有工作站上了。在工作站中,當用戶登錄域后,只要點擊“添加/刪除程序”窗口中的“添加新程序”按鈕,就會立即在“從網絡添加程序”列表中列出從DC(域控制器)中分發出來的“Adminpak.msi”程序了。點擊“添加”按鈕則可以立即進行程序的安裝(如圖5所示)。
圖5#p#
二、ISA擴展,流量控制輕松搞定
異常流量是造成網絡故障的大敵,為此在局域網中進行流量監控是網管必須要做的工作。現在的企業中一般用ISA Server 2006部署了ISA服務器。大家知道其對網絡訪問流量控制功能不是很強大,我們只需依靠第三方軟件Bandwidth Splitter與ISA Server 2006結合即可***進行流量控制。
安裝完BS后,打開ISA Server 2006,可以看到BS的管理控制臺已經集成到ISA Server 2006中。點擊Bandwidth Splitter,它有4個功能項,分別是:Shaping Rules、Quota Rules、Quota Counters和Monitoring。下面結合實例來講解它們的作用,并配置它們。
1.流量及其連接數限制
比如將IP地址為192.168.1.10的計算機的流量設置為50Kbits/s,它的連接數最多為20。首先選擇左側窗格中的“防火墻策略”,并在右側窗格中選擇“工具箱”→“新建”→“計算機”,在彈出對話框中將名稱設為lw,IP地址為192.168.1.10,描述為受限用戶,然后點擊確定(如圖6所示)。
圖6
再用右鍵單擊Bandwidth Splitter下的Shaping Rules項,選擇“新建”→“Rule”,在彈出的“新建帶寬控制規則向導中”填入規則名稱“lw 小于 50K”,在“Applies To”項中選擇“IP address sets specified below”,點“Add”并從列表里找到剛才建好的名稱為“lw”的計算機。然后點擊下一步,在“Destinations”項中從列表里添加“外部”,點下一步,在“Schedule”項中選擇“Always”,然后,在“Shaping”中選“Shape total traffic(incoming+outgoing)”,Total值設為“50”,勾選“Don't shape cached web content”。點下一步,在“Connection setting”項中勾選“Limit number of concurrent connections”,將“Connection limit”值設為20;在“shaping type”項中選擇“Assign bandwidth individually to each applicable user/address”。點下一步,在“Extra parameters”項中選擇默認,然后點擊下一步(如圖7所示)。
圖7#p#
此時在左側窗格中就出現了剛才配置的“lw 小于 50K”的流量控制策略,單擊ISA Server 2006控制臺工具欄上的綠色按鈕“Apply changes”,提示應用完成之后,這個流量控制策略就生效了。打開“Monitoring”項,可以看到IP地址為192.168.1.10的計算機的實時流量一直被控制在50Kbits/s以下,連接數也在20個以下。在“Monitoring”項上點右鍵,勾選“Connections Details”我們可以查看到,每一臺計算機當前的連接情況的附加信息,包括協議、目標主機IP、端口等詳細內容(如圖8所示)。
圖8
2.設定總流量上限
例如將IP地址為192.168.1.10的計算機每周的流量總額限定為300MB。首先,用右鍵單擊Bandwidth Splitter下的Quota Rules項,選擇“新建”→“Rule”,操作同前述例子基本一致,按向導提示一步步填寫相關內容即可。只是在“Traffic Quota”選項中有所不同,選擇“Limit total traffic(incoming+outgoing)”,Total的值設為300MB,勾選“Don't account cached web content”,將“Reset period”值設為“Weekly”,并勾選“Transfer remainder to the next period”,其余相同,完成后應用即可。打開“Quota Counters”項,我們在右側窗格中可以看到IP地址為192.168.1.10的計算機的策略應用情況,及本周還有多少流量可以使用(如圖9所示)。
圖9#p#
三、DHC擴展,簡化網絡管理
1.捆綁IP地址和MAC地址
為防止非法盜用IP地址造成網絡的混亂,減輕網絡管理員的的維護困難,必須采取多種手段,實現IP地址和MAC地址的捆綁。
***步:查找客戶MAC地址。一個有經驗的網絡管理員應該有個客戶端的MAC地址表,如果沒有這個表就需要在客戶端命令行中敲入ipconfig /all命令就可以得到。當然在路由器中也有客戶端IP和其對應的MAC地址。
第二步:快速綁定。知道客戶機的MAC地址后,就可以在DHCP服務器端進行IP地址和MAC地址的綁定了。打開DHCP管理器,展開客戶機所使用的作用域,右鍵點擊“保留”選項,選擇“新建保留”,彈出配置對話框。
第三步:在“保留名稱”欄中為該項目起個名,然后在“IP地址”欄中輸入客戶機要使用的IP地址,“MAC地址”欄中輸入該客戶機的MAC地址,然后在“支持類型”框中選擇“兩者”選項,***點擊“添加”按鈕,完成了客戶機的IP地址和MAC地址綁定(如圖10所示)。
圖10#p#
2.跨子網使用DHCP服務器
為了提高網絡的安全性,規模稍大的局域網通常要劃分為多個子網。但DHCP服務器只能為本子網的機器提供服務,每個子網都配置DHCP服務器又會造成浪費,提高維護成本。如何讓一臺DHCP服務器能同時為多個子網提供TCP/IP配置服務呢?
為了便于說明,假設某企業有A、B兩個子網,A中配置了一臺DHCP服務器,子網B中沒有DHCP服務器,只要在子網B進行如下配置操作就可以使用A的DHCP服務器:
在子網B中選擇一臺Windows 2003機器,將其配置成路由器,用來連接A、B兩個子網。進入“控制面板→管理工具”,運行“路由和遠程訪問”工具,右鍵點擊本地服務器,選擇“配置并啟用路由及遠程訪問”,彈出安裝向導對話框,選擇“自定義配置”,點擊“下一步”后,選擇“LAN路由”,***點擊“完成”(如圖11所示)。
圖11
第二步: 配置中繼代理
在路由和遠程訪問窗口中,展開“本地服務器→IP路由選擇→常規”,右鍵點擊“常規”,選擇“新增路由協議”,接著在新路由協議窗口中選擇“DHCP中繼代理程序”,點擊“確定”按鈕(如圖12所示)。
圖12
右鍵點擊DHCP中繼代理程序,選擇“屬性”,彈出“DHCP中繼代理程序屬性”對話框,在“常規”標簽頁的“服務器地址”欄中輸入子網A的DHCP服務器的IP地址,然后點擊“添加”按鈕,***點擊“確定”即可(如圖13所示)。
圖13
右鍵再次點擊DHCP中繼代理程序,選擇“新增接口”,彈出DHCP中繼代理程序的新接口對話框,在“接口”框中選中可以訪問子網A的那個接口,也就是連接子網A的網卡,點擊“確定”按鈕。接著在彈出的“DHCP中繼站屬性”對話框中,確保選中“中繼DHCP數據包”后,就啟用了它的中繼功能,***點擊“確定”按鈕。完成以上配置,子網B的客戶機就可以使用子網A的DHCP服務器了(如圖14所示)。
圖14
總結:充分挖掘現有網絡資源的潛能,實現服務***化是網絡管理人員不懈的追求,愿筆者上面的三個擴展實例對大家有所幫助。
【編輯推薦】
