網絡管理員如何解放自己
企業的網絡規模越來越大,面對不斷增加的客戶機,你發怵嗎?你會奔走于不同的客戶端手工為每臺機器逐一進行TCP/IP配置、軟件安裝嗎?其實主動權掌握在自己的手里,只有自己解放自己,才能從繁瑣的網絡配置和軟件安裝中解脫出來。
一、優化和擴展DHCP服務器
1.捆綁IP地址和MAC地址
為防止非法盜用IP地址造成網絡的混亂,減輕網絡管理員的的維護困難,必須采取多種手段,實現IP地址和MAC地址的捆綁。
***步:查找客戶MAC地址。一個有經驗的網絡管理員應該有個客戶端的MAC地址表,如果沒有這個表就需要在客戶端命令行中敲入ipconfig /all命令就可以得到。當然在路由器中也有客戶端IP和其對應的MAC地址。
第二步:快速綁定。知道客戶機的MAC地址后,就可以在DHCP服務器端進行IP地址和MAC地址的綁定了。打開DHCP管理器,展開客戶機所使用的作用域,右鍵點擊“保留”選項,選擇“新建保留”,彈出配置對話框。
第三步:在“保留名稱”欄中為該項目起個名,然后在“IP地址”欄中輸入客戶機要使用的IP地址,“MAC地址”欄中輸入該客戶機的MAC地址,然后在“支持類型”框中選擇“兩者”選項,***點擊“添加”按鈕,完成了客戶機的IP地址和MAC地址綁定。(圖1)
#p#
2.跨子網使用DHCP服務器
為了提高網絡的安全性,規模稍大的局域網通常要劃分為多個子網。但DHCP服務器只能為本子網的機器提供服務,每個子網都配置DHCP服務器又會造成浪費,提高維護成本。如何讓一臺DHCP服務器能同時為多個子網提供TCP/IP配置服務呢?
為了便于說明,假設某企業有A、B兩個子網,A中配置了一臺DHCP服務器,子網B中沒有DHCP服務器,只要在子網B進行如下配置操作就可以使用A的DHCP服務器:
***步:配置路由
在子網B中選擇一臺Windows 2003機器,將其配置成路由器,用來連接A、B兩個子網。進入“控制面板→管理工具”,運行“路由和遠程訪問”工具,右鍵點擊本地服務器,選擇“配置并啟用路由及遠程訪問”,彈出安裝向導對話框,選擇“自定義配置”,點擊“下一步”后,選擇“LAN路由”,***點擊“完成”。(圖2)
#p#
第二步: 配置中繼代理
在路由和遠程訪問窗口中,展開“本地服務器→IP路由選擇→常規”,右鍵點擊“常規”,選擇“新增路由協議”,接著在新路由協議窗口中選擇“DHCP中繼代理程序”,點擊“確定”按鈕。(圖3)
右鍵點擊DHCP中繼代理程序,選擇“屬性”,彈出“DHCP中繼代理程序屬性”對話框,在“常規”標簽頁的“服務器地址”欄中輸入子網A的DHCP服務器的IP地址,然后點擊“添加”按鈕,***點擊“確定”即可。(圖4)
右鍵再次點擊DHCP中繼代理程序,選擇“新增接口”,彈出DHCP中繼代理程序的新接口對話框,在“接口”框中選中可以訪問子網A的那個接口,也就是連接子網A的網卡,點擊“確定”按鈕。接著在彈出的“DHCP中繼站屬性”對話框中,確保選中“中繼DHCP數據包”后,就啟用了它的中繼功能,***點擊“確定”按鈕。完成以上配置,子網B的客戶機就可以使用子網A的DHCP服務器了。(圖5)
#p#
二、文件、軟件分發
在局域網中,工作站無休止地進行軟件安裝、升級、維護、刪除操作所帶來的龐大工作量,以及由此可能產生的安全問題一直都是令所有網管頭疼的事。很多網絡管理員都采用共享的方法,但共享所引起的安全隱患往往會成為網管心中永遠的痛。此時,如果你嘗試使用分發功能的話,那么你將會驚喜地發現工作站的軟件安裝將會變得輕松自如且安全無憂。
為了便于說明,我們假設現在某位網管要將lw.com域中的“Windows Server 2003管理工具包”程序“Adminpak.msi”分發到所有的工作站上,那么則應進行以下設置。
1.設置共享目錄
為了***程度地進行訪問權限的管理,首先應在使用NTFS分區格式的盤中新建一個目錄,并命名為“Tools$”,然后將Adminpak.msi程序從Windows Server 2003安裝光盤的“I386目錄”中復制到“Tools$”目錄中。接著設置該目錄的共享權限,“Authenticated Users”組為可讀,(圖6)“Administrator”組為完全控制。(圖7)
提示:分發的軟件必須是MSI封裝文件,如果想將非MSI格式的文件封裝成MSI文件,可以使用InstallShield等工具來完成這個轉換操作。#p#
2.設置組策略
***步:以域管理員身份登錄DC(域控制器),然后依次點擊“開始→程序→管理工具→Active Directory用戶和計算機”菜單項,在彈出的窗口中右鍵單擊lw.com,并在彈出的菜單中選擇“屬性”。在“屬性”窗口中點擊“新建”按鈕,并將新建的組策略對象命名為“Software”。
第二步:選中Software并單擊下方的“編輯”按鈕,在打開的“組策略編輯器”窗口中依次點擊“用戶配置→軟件設置→軟件安裝”。接著右鍵單擊“軟件安裝”,并在彈出的菜單中選擇“屬性”。在“軟件安裝 屬性”對話框中手工輸入“計算機名共享文件名”,然后選中“顯示部署軟件對話框”和“基本”兩項(圖8)。
第三步:點擊“確定”按鈕返回“組策略編輯器”后,右鍵點擊“軟件安裝”項,在彈出的快捷菜單中依次選擇“新建→程序包”。在隨后出現的“打開”對話框中,選中Tools$目錄下的“Adminpak.msi”文件后單擊“打開”按鈕即可。在隨后彈出的“部署軟件”對話框中選中“已發布”選項后,點擊“確定”按鈕。現在就可關閉組策略對話框了。接著打開命令提示符窗口,輸入“Gpupdate”命令并回車,這樣可以刷新組策略,以便使上述設置立即生效。(圖9)
3.在工作站中安裝軟件
經過上述在DC(域控制器)中的設置后,軟件就會被分發到lw.com域中的所有工作站上了。在工作站中,當用戶登錄域后,只要點擊“添加/刪除程序”窗口中的“添加新程序”按鈕,就會立即在“從網絡添加程序”列表中列出從DC(域控制器)中分發出來的“Adminpak.msi”程序了。點擊“添加”按鈕則可以立即進行程序的安裝。(圖10)
三、總結:作為網絡管理員,沒有真正的解放的那一天,因為網絡中的問題紛繁復雜,不可預料。我們只能自己動腦、動手在更大的程度上解放自己。一個網絡管理員的水平就看他在多大程度上解放了自己。
【編輯推薦】
