數(shù)量眾多、功能各異的服務(wù)器承載了企業(yè)局域網(wǎng)的各種服務(wù)需求，這些服務(wù)是企業(yè)網(wǎng)絡(luò)的命脈。面對(duì)新的服務(wù)需求，某些管理人員往往以搭建新的相關(guān)服務(wù)器為首選方案，從而造成了服務(wù)器的數(shù)量越來(lái)越龐大，增加了投入和管理的成本。其實(shí)，在現(xiàn)有的網(wǎng)絡(luò)服務(wù)基礎(chǔ)上通過(guò)優(yōu)化和擴(kuò)展就可以滿(mǎn)足企業(yè)的需求。所謂“磨刀不誤砍柴工”，下面筆者列舉三個(gè)在企業(yè)局域網(wǎng)中非常實(shí)用的服務(wù)優(yōu)化擴(kuò)展實(shí)例。

　　一、域擴(kuò)展RIS，實(shí)現(xiàn)軟件自由分發(fā)

　　在局域網(wǎng)中，工作站無(wú)休止地進(jìn)行軟件安裝、升級(jí)、維護(hù)、刪除操作所帶來(lái)的龐大工作量，以及由此可能產(chǎn)生的安全問(wèn)題一直都是令所有網(wǎng)管頭疼的事。很多網(wǎng)絡(luò)管理員都采用搭建文件服務(wù)器共享的方法，但共享所引起的安全隱患往往會(huì)成為網(wǎng)管心中永遠(yuǎn)的痛。在域環(huán)境下只需進(jìn)行RIS擴(kuò)展即可實(shí)現(xiàn)軟件分發(fā)，域內(nèi)主機(jī)的軟件安裝將會(huì)變得輕松自如且安全無(wú)憂(yōu)。

　　為了便于說(shuō)明，我們假設(shè)現(xiàn)在某位網(wǎng)管要將lw.com域中的“Windows Server 2003管理工具包”程序“Adminpak.msi”分發(fā)到所有的工作站上，那么則應(yīng)進(jìn)行以下設(shè)置。

　　1.設(shè)置共享目錄

　　為了最大程度地進(jìn)行訪(fǎng)問(wèn)權(quán)限的管理，首先應(yīng)在使用NTFS分區(qū)格式的盤(pán)中新建一個(gè)目錄，并命名為“Tools$”，然后將Adminpak.msi程序從Windows Server 2003安裝光盤(pán)的“I386目錄”中復(fù)制到“Tools$”目錄中。接著設(shè)置該目錄的共享權(quán)限，“Authenticated Users”組為可讀(如圖1所示)，“Administrator”組為完全控制(如圖2所示)。

圖1

圖2

#p#副標(biāo)題#e#

　　2.設(shè)置組策略

　　第一步：以域管理員身份登錄DC(域控制器)，然后依次點(diǎn)擊“開(kāi)始→程序→管理工具→Active Directory用戶(hù)和計(jì)算機(jī)”菜單項(xiàng)，在彈出的窗口中右鍵單擊lw.com，并在彈出的菜單中選擇“屬性”。在“屬性”窗口中點(diǎn)擊“新建”按鈕，并將新建的組策略對(duì)象命名為“Software”。

　　第二步：選中Software并單擊下方的“編輯”按鈕，在打開(kāi)的“組策略編輯器”窗口中依次點(diǎn)擊“用戶(hù)配置→軟件設(shè)置→軟件安裝”。接著右鍵單擊“軟件安裝”，并在彈出的菜單中選擇“屬性”。在“軟件安裝 屬性”對(duì)話(huà)框中手工輸入“\計(jì)算機(jī)名共享文件名”，然后選中“顯示部署軟件對(duì)話(huà)框”和“基本”兩項(xiàng)(如圖3所示)。

圖3

　　第三步：點(diǎn)擊“確定”按鈕返回“組策略編輯器”后，右鍵點(diǎn)擊“軟件安裝”項(xiàng)，在彈出的快捷菜單中依次選擇“新建→程序包”。在隨后出現(xiàn)的“打開(kāi)”對(duì)話(huà)框中，選中Tools$目錄下的“Adminpak.msi”文件后單擊“打開(kāi)”按鈕即可。在隨后彈出的“部署軟件”對(duì)話(huà)框中選中“已發(fā)布”選項(xiàng)后，點(diǎn)擊“確定”按鈕?，F(xiàn)在就可關(guān)閉組策略對(duì)話(huà)框了。接著打開(kāi)命令提示符窗口，輸入“Gpupdate”命令并回車(chē)，這樣可以刷新組策略以便使上述設(shè)置立即生效(如圖4所示)。

 

圖4

#p#副標(biāo)題#e#

　　經(jīng)過(guò)上述在DC(域控制器)中的設(shè)置后，軟件就會(huì)被分發(fā)到lw.com域中的所有工作站上了。在工作站中，當(dāng)用戶(hù)登錄域后，只要點(diǎn)擊“添加/刪除程序”窗口中的“添加新程序”按鈕，就會(huì)立即在“從網(wǎng)絡(luò)添加程序”列表中列出從DC(域控制器)中分發(fā)出來(lái)的“Adminpak.msi”程序了。點(diǎn)擊“添加”按鈕則可以立即進(jìn)行程序的安裝(如圖5所示)。

圖5

　　二、ISA擴(kuò)展，流量控制輕松搞定

　　異常流量是造成網(wǎng)絡(luò)故障的大敵，為此在局域網(wǎng)中進(jìn)行流量監(jiān)控是網(wǎng)管必須要做的工作?，F(xiàn)在的企業(yè)中一般用ISA Server 2006部署了ISA服務(wù)器。大家知道其對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)流量控制功能不是很強(qiáng)大，我們只需依靠第三方軟件Bandwidth Splitter與ISA Server 2006結(jié)合即可完美進(jìn)行流量控制。

　　安裝完BS后，打開(kāi)ISA Server 2006，可以看到BS的管理控制臺(tái)已經(jīng)集成到ISA Server 2006中。點(diǎn)擊Bandwidth Splitter，它有4個(gè)功能項(xiàng)，分別是：Shaping Rules、Quota Rules、Quota Counters和Monitoring。下面結(jié)合實(shí)例來(lái)講解它們的作用，并配置它們。

　　1.流量及其連接數(shù)限制

　　比如將IP地址為192.168.1.10的計(jì)算機(jī)的流量設(shè)置為50Kbits/s，它的連接數(shù)最多為20。首先選擇左側(cè)窗格中的“防火墻策略”，并在右側(cè)窗格中選擇“工具箱”→“新建”→“計(jì)算機(jī)”，在彈出對(duì)話(huà)框中將名稱(chēng)設(shè)為lw，IP地址為192.168.1.10，描述為受限用戶(hù)，然后點(diǎn)擊確定(如圖6所示)。

圖6

#p#副標(biāo)題#e#

　　再用右鍵單擊Bandwidth Splitter下的Shaping Rules項(xiàng)，選擇“新建”→“Rule”，在彈出的“新建帶寬控制規(guī)則向?qū)е?rdquo;填入規(guī)則名稱(chēng)“lw 小于 50K”，在“Applies To”項(xiàng)中選擇“IP　address sets specified below”，點(diǎn)“Add”并從列表里找到剛才建好的名稱(chēng)為“lw”的計(jì)算機(jī)。然后點(diǎn)擊下一步，在“Destinations”項(xiàng)中從列表里添加“外部”，點(diǎn)下一步，在“Schedule”項(xiàng)中選擇“Always”，然后，在“Shaping”中選“Shape total traffic(incoming+outgoing)”，Total值設(shè)為“50”，勾選“Don't shape cached web content”。點(diǎn)下一步，在“Connection setting”項(xiàng)中勾選“Limit number of concurrent connections”，將“Connection limit”值設(shè)為20;在“shaping type”項(xiàng)中選擇“Assign bandwidth individually to each applicable user/address”。點(diǎn)下一步，在“Extra parameters”項(xiàng)中選擇默認(rèn)，然后點(diǎn)擊下一步(如圖7所示)。

 

圖7

　　此時(shí)在左側(cè)窗格中就出現(xiàn)了剛才配置的“lw 小于 50K”的流量控制策略，單擊ISA Server 2006控制臺(tái)工具欄上的綠色按鈕“Apply changes”，提示應(yīng)用完成之后，這個(gè)流量控制策略就生效了。打開(kāi)“Monitoring”項(xiàng)，可以看到IP地址為192.168.1.10的計(jì)算機(jī)的實(shí)時(shí)流量一直被控制在50Kbits/s以下，連接數(shù)也在20個(gè)以下。在“Monitoring”項(xiàng)上點(diǎn)右鍵，勾選“Connections Details”我們可以查看到，每一臺(tái)計(jì)算機(jī)當(dāng)前的連接情況的附加信息，包括協(xié)議、目標(biāo)主機(jī)IP、端口等詳細(xì)內(nèi)容(如圖8所示)。

圖8

#p#副標(biāo)題#e#

　　2.設(shè)定總流量上限

 

　　例如將IP地址為192.168.1.10的計(jì)算機(jī)每周的流量總額限定為300MB。首先，用右鍵單擊Bandwidth Splitter下的Quota Rules項(xiàng)，選擇“新建”→“Rule”，操作同前述例子基本一致，按向?qū)崾疽徊讲教顚?xiě)相關(guān)內(nèi)容即可。只是在“Traffic Quota”選項(xiàng)中有所不同，選擇“Limit total traffic(incoming+outgoing)”，Total的值設(shè)為300MB，勾選“Don't account cached web content”，將“Reset period”值設(shè)為“Weekly”，并勾選“Transfer remainder to the next period”，其余相同，完成后應(yīng)用即可。打開(kāi)“Quota Counters”項(xiàng)，我們?cè)谟覀?cè)窗格中可以看到IP地址為192.168.1.10的計(jì)算機(jī)的策略應(yīng)用情況，及本周還有多少流量可以使用(如圖9所示)。

圖9

　　三、DHC擴(kuò)展，簡(jiǎn)化網(wǎng)絡(luò)管理

　　1.捆綁IP地址和MAC地址

　　為防止非法盜用IP地址造成網(wǎng)絡(luò)的混亂，減輕網(wǎng)絡(luò)管理員的的維護(hù)困難，必須采取多種手段，實(shí)現(xiàn)IP地址和MAC地址的捆綁。

　　第一步：查找客戶(hù)MAC地址。一個(gè)有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員應(yīng)該有個(gè)客戶(hù)端的MAC地址表，如果沒(méi)有這個(gè)表就需要在客戶(hù)端命令行中敲入ipconfig /all命令就可以得到。當(dāng)然在路由器中也有客戶(hù)端IP和其對(duì)應(yīng)的MAC地址。

　　第二步：快速綁定。知道客戶(hù)機(jī)的MAC地址后，就可以在DHCP服務(wù)器端進(jìn)行IP地址和MAC地址的綁定了。打開(kāi)DHCP管理器，展開(kāi)客戶(hù)機(jī)所使用的作用域，右鍵點(diǎn)擊“保留”選項(xiàng)，選擇“新建保留”，彈出配置對(duì)話(huà)框。

　　第三步：在“保留名稱(chēng)”欄中為該項(xiàng)目起個(gè)名，然后在“IP地址”欄中輸入客戶(hù)機(jī)要使用的IP地址，“MAC地址”欄中輸入該客戶(hù)機(jī)的MAC地址，然后在“支持類(lèi)型”框中選擇“兩者”選項(xiàng)，最后點(diǎn)擊“添加”按鈕，完成了客戶(hù)機(jī)的IP地址和MAC地址綁定(如圖10所示)。

圖10

#p#副標(biāo)題#e#

　　2.跨子網(wǎng)使用DHCP服務(wù)器

 

　　為了提高網(wǎng)絡(luò)的安全性，規(guī)模稍大的局域網(wǎng)通常要?jiǎng)澐譃槎鄠€(gè)子網(wǎng)。但DHCP服務(wù)器只能為本子網(wǎng)的機(jī)器提供服務(wù)，每個(gè)子網(wǎng)都配置DHCP服務(wù)器又會(huì)造成浪費(fèi)，提高維護(hù)成本。如何讓一臺(tái)DHCP服務(wù)器能同時(shí)為多個(gè)子網(wǎng)提供TCP/IP配置服務(wù)呢?

　　為了便于說(shuō)明，假設(shè)某企業(yè)有A、B兩個(gè)子網(wǎng)，A中配置了一臺(tái)DHCP服務(wù)器，子網(wǎng)B中沒(méi)有DHCP服務(wù)器，只要在子網(wǎng)B進(jìn)行如下配置操作就可以使用A的DHCP服務(wù)器:

　　第一步：配置路由

　　在子網(wǎng)B中選擇一臺(tái)Windows 2003機(jī)器，將其配置成路由器，用來(lái)連接A、B兩個(gè)子網(wǎng)。進(jìn)入“控制面板→管理工具”，運(yùn)行“路由和遠(yuǎn)程訪(fǎng)問(wèn)”工具，右鍵點(diǎn)擊本地服務(wù)器，選擇“配置并啟用路由及遠(yuǎn)程訪(fǎng)問(wèn)”，彈出安裝向?qū)?duì)話(huà)框，選擇“自定義配置”，點(diǎn)擊“下一步”后，選擇“LAN路由”，最后點(diǎn)擊“完成”(如圖11所示)。

圖11

　　第二步： 配置中繼代理

　　在路由和遠(yuǎn)程訪(fǎng)問(wèn)窗口中，展開(kāi)“本地服務(wù)器→IP路由選擇→常規(guī)”，右鍵點(diǎn)擊“常規(guī)”，選擇“新增路由協(xié)議”，接著在新路由協(xié)議窗口中選擇“DHCP中繼代理程序”，點(diǎn)擊“確定”按鈕(如圖12所示)。

圖12

#p#副標(biāo)題#e#

　　右鍵點(diǎn)擊DHCP中繼代理程序，選擇“屬性”，彈出“DHCP中繼代理程序?qū)傩?rdquo;對(duì)話(huà)框，在“常規(guī)”標(biāo)簽頁(yè)的“服務(wù)器地址”欄中輸入子網(wǎng)A的DHCP服務(wù)器的IP地址，然后點(diǎn)擊“添加”按鈕，最后點(diǎn)擊“確定”即可(如圖13所示)。

 

圖13

　　右鍵再次點(diǎn)擊DHCP中繼代理程序，選擇“新增接口”，彈出DHCP中繼代理程序的新接口對(duì)話(huà)框，在“接口”框中選中可以訪(fǎng)問(wèn)子網(wǎng)A的那個(gè)接口，也就是連接子網(wǎng)A的網(wǎng)卡，點(diǎn)擊“確定”按鈕。接著在彈出的“DHCP中繼站屬性”對(duì)話(huà)框中，確保選中“中繼DHCP數(shù)據(jù)包”后，就啟用了它的中繼功能，最后點(diǎn)擊“確定”按鈕。完成以上配置，子網(wǎng)B的客戶(hù)機(jī)就可以使用子網(wǎng)A的DHCP服務(wù)器了(如圖14所示)。

圖14

　　總結(jié)：充分挖掘現(xiàn)有網(wǎng)絡(luò)資源的潛能，實(shí)現(xiàn)服務(wù)最大化是網(wǎng)絡(luò)管理人員不懈的追求，愿筆者上面的三個(gè)擴(kuò)展實(shí)例對(duì)大家有所幫助。