局域网管理与维护基础G

1、 课程名称 局域网管理与维护基础教学目的： 理解Windows 2000 Server网络监视器、性能监视器、远程桌面控制以及网络测试程序的作用。 可分析网络运行中存在故障与性能问题，可以用注册表的功能特点，SNMP安全对策和IPSEC实现网络的安全管理。教学重点：能够正确使用网络监视器、网络测试程序、注册表、IPSEC，学会运用Ping、Iconic等命令诊断网络故障。教学难点： 运用网络监视器、性能监视器以及网络测试程序，分析网络运行中存在的故障与性能问题。利用注册表功能，SNMP安全对策和IPSEC实现管理。 教学设备： 多媒体教室、计算机实验室教学内容（板书）教学步骤、方法时间第六章局

2、域网项目管理与维护基础6.1 Windows2000共享资源的管理6.1.1共享资源的管理与访问分布式文件系统，从物理上说存在于网络各个部分的共享文件的集合，它允许系统管理员对分散于网络各个部分的共享文件进行集中管理。1、使用服务器管理器来管理共享资源：（1）打开“管理工具”中的“配置服务器”。（2）选择“文件服务器”来共享资源。2、文件夹可设置以下共享资源：（1）所有用户都有完全控制权限。（2）管理员有完全控制权限，其他用户只有读访问权。（3）管理员有完全控制权限，其他用户没有访问权。（4）自定义共享和文件夹权限。3、共享资源的访问方法（1）通过“网上邻居”直接访问。（2）在IE地址栏中键入

3、服务器或服务器地址。6.1.2网络打印机的设置和管理1、网络中共享打印机有两种方式：（1）在打印机中安装网卡，使其与网络直接连接。（2）设定一台打印服务器，在服务器中添加打印机。2、打印服务器上打印机的属性设置（1）“常规”选项卡 修改打印机的名称。 编辑打印机的路径信息。 设置打印机的布局及使用纸张等。 还可以显示打印机的型号及功能信息。（2）“共享”选项卡 选择“不共享”选项，取消共享。 选择“共享为”选项，将打印机共享，并输入共享名。单击“其他驱动程序”，可安装其他版本的驱动程序。（3）“端口”选项卡 通过“删除端口”、“配置端口”、“添加端口”按钮可以修改打印机所在端口的各种设置选项，

4、对端口进行删除和添加。打印机池：是逻辑打印机，它通过打印服务器的多个端口连接到多个相同的打印机。（4）“高级”选项卡 打印机工作时间及驱动程序。 打印机打印方式。 分局打印方式的相应配置。（5）“安全”选项卡设置哪些用户和组能对打印机进行访问，及其访问权限是什么。（6）“设备”选项卡：描述了打印机的物理配置，并可对打印机的物理参数进行设置。 6.2 远程桌面控制的应用 网络维护中，如何实现对服务器的远程控制是我们时常探讨的话题。 6.2.1 VNC远程桌面的安装与配置 VNC 可以安装在 Windows 中而让使用者在世界各地远端遥控自己的计算机，即使在不同的操作平台上也没有问题。1、安装VN

5、C 直接运行安装文件，全部默认安装，可在“开始程序RealVNC”中找到VNC组件。2、VNC服务器端的启动和设置 选择RealVNC组件中“Run VNC Server”项运行即可。 在“Current User Properties”对话框中输入客户端连接时所需密码，按“确定”。3、VNC客户端连接 （1）在另外一台安转VNC 的计算机上运行客户端。选VNC组件中的“Run VNC viewer”项即可。输入服务器的IP地址或计算机名 （2）按提示输入连接密码。 （3）成功连接后客户端的屏幕显示服务器端的内容。 （4）连接成功后，也可以在服务器端进行操作，客户端也可以同步显示。6.2.2

6、VNC远程桌面的连接使用 （1）远程管理 （2）教学培训 （3）VNC远程桌面的连接局限性 一台服务器只能连接一个客户，只有最后一个成功连接的客户可以得到服务。 6.3 Windows 2000注册表应用 6.3.1 注册表分析 1、注册表的特点 注册表的引入用于代替“.ini”文件，整合集成了全部系统和应用程序的初始化信息，其中包含了硬件设备的说明，相互关联的应用程序与文档文件，窗口显示方式，网络连接参数，设置关系到计算机安全的网络设置。（1）形式上，注册表与INI文件相比的优点： 注册表采用是二进制形式登陆数据。 注册表支持子关键字，各级子关键字都有自己的键值。 （2）功能上，注册表与IN

7、I文件相比的特点： 注册表允许对硬件，某些操作系统参数，应用程序和设备驱动程序进行跟踪配置，使得某些配置可在不重新启动系统的情况下立即生效。 注册表中登陆的硬件部分数据可以用来支持 Windows95的即插即用特性。通过注册表，管理人员和用户可以在网络商家爱逆差系统的配置和设置，使得远程管理得以实现。微软提供的一个用于编辑注册表的工具，是Regedit.exe，它是通用的注册表编辑工具。启动方法： 打开“开始”菜单里的“运行”菜单项，在对话框中输入regedit，单击“确定”按钮。 2、注册表结构分析 （1） KEY_CLASSES_ROOT:该主关键字包含有OLE信息，以便在系统工作过程中实

8、现对各种文件和文档信息的访问。 具体的内容有已注册的文件扩展名、文件类型、文件目标等。 所有信息保存在system.dat文件中（2） KEY_USER_S: 用户都可以在这里设置自己的关键字和子关键字。 用户根据个人爱好设置的诸如桌面、背景、开始菜单程序项、应用程序快捷键、显示字体、屏幕节电设置等信息云可以在这个关键字中找到。 如没有预定义的登陆项，则采用本关键字下的“Default”子关键字。 （3） KEY_CURRENT_USER： 指一个指向HKEY_USER结构中某个分支的指针，它包含当前用户的登陆信息。 （4） KEY_LOCAL_MACHINE: 该关键字包含了本地计算机（相对

9、网络环境而言）的硬件和软件的全部信息。 根据计算机中硬件配置和安装文件的不同，本关键字中的信息将有很大差别。 本关键字中各个子关键字中包含的信息有很多是重复的，其目的是浏览和编辑方便。 （5） KEY_CURRENT_CONFIG: 这个关键字实际上是指向 HKEY_LOCAL_MACHINEConfig结构中的某个分支的指针。 6.3.2 注册表应用举例 （1） 册表中单击 “HKEY_CURRENT_USERNETWORKRECENT”把主键 演示：举例应用 “RECENT”下的子键项全部删除，消除“网上邻居”后的信息。 （2） 滤IP:在“HKEY_LOCAL_MACHINESystem

10、Current ControlSetServieesTcpipParameters”下修改双字节“Enable Security Filters”值为“1”。 （3） 止在“网络” 中显示“标识”属性。 在“HKEY_ USER.DEFAULTSoftwareMicrosoftWindowsCurrent VersionPoliciesExplore”下，新建DWORD“NoNetsetup”并设其值为“1”。等，详见P1466.4 Windows 2000网络监视器 Windows 2000 Server本身已经提供了非常好的网络监视器程序。 6.4.1 安装网络监视器 在用户安装系统时，网

11、络监视器不在默认安装服务中，需要手动添加。 （1） 开“控制面板添加/删除组件”，选择“添加/删除windows组件”。 （2） 中“管理和监视工具”左边的复选框，并单击“详细信息”。 （3） 中“网络监视工具”左边的复选框，单击“确定”选回“windows组件向导”，单击“下一步”按钮，系统自动在Windows 2000 Server的安装源盘查找安装组件所需的文件。 6.4.2 网络监视器的功能 网络监视器复制帧的过程称为捕获。 网络监视器可捕获从局域网（LAN）上接收的帧；可捕获本地网卡发出或发送到本地网卡的所有网络通信；也可以根据信源或信宿MAC地址、IP地址及匹配规则设置一个捕获过滤

12、器来捕获特定帧；还可以通过使用触发器，响应网络上的事件。网络监视器和代理，通常用于远程计算机的性能监视，如果网络上有多台服务器，网络监视代理允许网络管理员从一个位置监视每台服务器的性能。6.4.3 网络监视器的应用 启动：在“管理工具”菜单中选择“网络监视器”单击“运行”按钮即可。 标题栏中有“00D0B7B6EDE0”相类似的字串，这代表当前服务器网卡的MAC地址。 网络监视器主屏幕由四个平铺窗格组成：网络图表窗格、会话统计窗格、站点统计窗格、汇总窗格。 1、网络图表显示窗格 用图表形式显示某一瞬间网络的使用情况： （1） 络利用：网络带宽被利用的百分率。 （2） 秒帧数：网络上每秒传送的帧

13、数。 （3） 秒字节数。（4） 秒广播：每秒广播数据包的数量。（5） 秒多播：显示网络上统计的每秒多址发送的数据包数。 “网络利用率”、“每秒广播”、“每秒多播”、如果显示的值较高，可能存在太多不必要信息。 2、会话统计窗格 用于检测支配网络的宿主机。 网络计算机被列为1和2，标题“12”显示计算机1向计算机2发送的字节数，标题“21”显示计算机2向计算机1发送的字节数。 标题“网络地址1”和“网络地址2”显示宿主计算机的MAC地址。3、站点统计窗格 显示出所捕获的每个宿主计算机发送的总帧数的概 要信息。宿主计算机的传送情况通过发送和接受的帧数，发送和接收的字节数，直接帧发送数以及多地址传送的

14、帧数和发送的广播信息来表示。4、汇总统计窗格 统计信息描述了检测到的网络流量，包括捕获到的帧和字节数、缓冲区里的帧和字节数、每秒网络使用统计等网络状态统计。 6.5 Windows 2000的性能监视器 6.5.1 性能监视器的功能 性能监视器可以收集与内存、磁盘、处理器、网络以及其他活动有关的实时数据，并以图表直方图或报表形式显示出来。 主要有两种功能：1、衡量本地计算机或网络中其他计算机的性能： （1） 本地计算机或网络中其他计算机的性能数据进行收集和查看。 （2） 技术七日志中查看当前或先前搜集到的性能数据。 （3） 性能数据表示在可打印的图表、直方图或报表视图中。 （4） 过自动操作将

15、“性能监视器”的功能并入Microsoft Office 组件的应用程序中。 （5） 性能视图中创建HYML页面。 （6） 建一些可使用微软管理控制台在其他计算机上安装的可重新使用的监视器配置。 （7） 集和查看计算机中硬件资源的使用情况和系统服务的有关数据，可通过以下选项定义要求收集数据内容：数据类型、数据源、采样参数、显示类型、显示特征。 6.5.2 性能监视器的应用 （1） 开“开始”菜单，选择“程序管理工具性能”，将打开“性能”窗口。（2） “性能”窗口的工具栏中单击“+”按钮后，系统打开“添加计数器”对话框。 （3） 择希望监视的计算机，选择“使用本地计数器”来监视本机的某项性能。或

16、选择“从计算机选择计数器”，选择网络上的计算机。接着在“性能对象”下拉列表中选择要监视的性能对象，单击“添加”按钮。 （4） 击“关闭”按钮，系统返回“性能”窗口，开始对相应的对象进行监视。 6.6 网络性能的调整优化 6.6.1 内存的调整和优化 内存的油画包括两个方面： 1、物理内存的调整与优化 （1） 少显示系统的颜色数。 （2） 低显示系统的分辨率。 （3） 要使用墙纸或大型的屏幕保护程序。 （4） 闭服务器中没有使用或不必要的程序。 （5） 除一些不必要的协议。（6） 硬件方面，内存应当使用完全一致的芯片。 2、虚拟内存的调整优化改善虚拟内存的方法主要在于正确的设置虚拟内存。 （1）

17、 统没有足够的内存来储存所有正在执行的线程，就将当前未使用的内存页面交换到成为虚拟内存交换文件来仿真系统内存。（2） 加物理内存。 （3） 虚拟内存页面交换文件写入多块硬盘。 （4） 虚拟内存设在同一硬盘的不同卷上，对性能没有帮助。 6.6.2 磁盘系统的调整与优化 1、一定要打开硬盘的DMA传输模式 打开硬盘的DMA传输模式不仅能提高磁盘读写传输速度，而且还会降低磁盘对CPU的占用率。 （注意：必须使用80芯的硬盘线） 2、在Windows系统中要关闭硬盘的自动挂起。 3、定期对硬盘的垃圾文件进行清理。 4、将一些临时、系统文件来设置到非系统盘上。 5、将交换文件（虚拟内存）设为固定值 由w

18、indows管理虚拟内存，其大小经常发生变化，就会产生大量的磁盘碎片。 6、设置适应的磁盘缓存 打开“c:windowssystemsystem.ini”将Min File Cache=设为物理内存的3%，将Max File Cache =物理内存的25%，Chunk Size =512 6.6.3 网络接口的优化调整 1、计算机电源故障会导致网卡工作不正常。 2、接地干扰也常影响网卡工作。 3、网卡的设置也会直接影响其工作。 4、多余的网络协议会影响网卡的工作。 6.7 网络故障诊断 6.7.1 网络通信与服务故障诊断 Ping命令在检查网络通信故障中使用广泛。 格式：Ping 目的地址 /

19、参数1 /参数2 常用的参数： -a：解析目标主机名。 -t：继续执行ping命令，直到用户按Ctrl+c组合键中止。 -l：所发送的缓冲区的大小。 -n：发出的测试包的个数。 Ping可在“运行”对话框中执行，也可以在MS-DOS或Windows 2000中的命令。 若ping不成功，则故障可能是网络不通，适配器配置或IP地址不可用等； 若ping成功，网络仍无法使用，则问题可能出在网络系统的软件配置方面。6.7.2 网络接口故障诊断 利用Ipconfig命令可检查网络接口设置。 键入Ipconfig/?可获得该命令的使用帮助。 键入Ipconfig/all可获得IP配置的所有属性。 配置不

20、正确的IP地址伙子网掩码是接口配置中的常见故障。 IP地址配置错误有两种： 1、网络号不正确：此时会显示“no answer” 2、主机号不正确：例如：两台主机配置相同地址引起冲突。 6.7.3 网络整体状态统计 利用Net stat程序帮助用户了解网络的整体使用情况。（Net stat/?可查看帮助文档）。命令格式：Net stat参数主要参数：a：显示所有与主机相连接的端口信息。 e：显示以太网的统计信息，一般与s共同使用。 n：以数字格式显示地址和端口信息。 s：显示每个协议的统计情况。 若接收错误和发送错接近或为0，网络接口无问题。当这两个字段由100个以上的出错时就可以认为是高出错率

21、了。 6.7.4 本机路由表检查及更改使用Route命令 例：c:Route print 可知本机的网关、子网类型、广播地址、环回测试地址等。 6.7.5 网络路由故障诊断 Tracert是路由跟踪实用程序，用于确定IP数据包访问目标所采用的路径。 Tracert（跟踪路由）用IP生存时间（TTL）字段和ICMP错误消息来确定从一个主机到网路上其他主机的路由。 格式： Tracert -d -h maxmum_hops -j host -list -w timeout target name -d:指定不对IP地址做域名分析 -h max_hops:指定跳跃点数以跟踪到主机的路由。 -j ho

22、tlist:指定实用程序数据包所采用路径中的路由器接口到表。 -w time-out:等待 time-out为每次回复所指定的毫秒数。 Target name:目标主机名称或IP地址。 显示出所经每一站路由器的反应时间、站点名称、IP地址等重要信息。 6.8 基于IPSEC的网络安全管理 6.8.1 局域网的不安全因素与IPSEC 除了由外部发起的攻击，很多重要的机密信息泄露与遗失往往是由于企业员工、技术人员从内部侵入公司网络造成的。IP Security（IP安全性），提供一种端到端的安全，这使得端到端的用户之间必须通过相互了解IP Security ，才能保护计算机之间进行相互间的通信，可

23、提高通信的安全性，并可以解决客户和远程计算机之间的管理。6.8.2 IPSEC的应用特点 1、支持工业标准：Windows 2000 Server采用了以下符合 工业标准的加密算法和验证技术： （1） iffie-hellmon方法： 是一种公共密钥密码算法。两个主体互相交换公共信息，然后每个主体把另一个主体的公共信息与自己的秘密信息结合在一起，产生一个秘密共享的密钥值。 （2） MAC（杂凑信息验证代码）算法： 首先，它对数据包使用带密钥的杂凑算法，从而产生一个接收方可验证的数字签名。 如果信息在传输中被改变，则杂凑值必与原来的数字签名不同。 （3） ES-CBC（数据加密标准-密码块链）

24、它使用一个随即生成数，结合秘密密钥对数据进行加密。 2、安全性的协议 （1） ISAKMP （Internet安全关联与密钥管理协议） （2） okLey：一个密钥确定协议，它使用Diffie-Hellman密钥交换算法来决定密钥的生成。 （3） IP AH（验证报头）：提供数据的完整性验证，并能够防止IP数据包的重复发送，但它不支持数据的加密。 （4） IPSEC（IP封装安全协议）：使用DEC-CBC算法为数据传输进行加密。 3、协商策略：由协商策略决定使用哪种安全协议。 4、安全性对策略：对Windows IP Security属性的配置叫安全性策略，它建立在相关联的协商策略和IP过滤器

25、上。 5、透明性和密钥的动态重新生成。6.8.3 在Windows 2000中启用IPSEC安全策略 1、服务器端的配置 （1）创建IP安全策略 单击“开始”“运行”，键入MNC。 选择“控制台”下“添加/删除管理单元”，单击“添加”出现“可用的独立管理单元”，选择添加“IP安全策略管理”。 选择IPSEC策略管理的作用范围 本地计算机 管理此计算机所在域的域策略 管理另一个域的域策略 另一台计算机 （2）添加IP安全规则 打开“管理工具”中“本地安全策略”，单击“IP安全策略，在本地机器” ，右键选“属性”。在“规划”选想卡中，单击“添加”按钮，出现“安全规则向导”，单击“下一步”。 IP安

26、全规则的隧道终结点的设置： “此规则不指定隧道” “隧道终结点由此IP地址指定” IPSEC隧道可以使正在进行网络通信的数据包，在相互通信的两台计算机之间建立起直接的专用线路连接。 选择网络类型，之后身份验证方法选择 Windows 2000默认值（Kerberos V5协议） 使用此证书颁发机构（CA）颁发的证书 此字串用来保护密钥交换（预共享密钥） 选择“IP筛选器”，完成规则添加 （4） 置IP安全规则 在常规选项卡，可修改“检查策略更改时间”。 “高级”选项卡，进行数据通信中密钥交换的设置。 “方法”选项卡，可设置安全测试方法的顺序。 2、客户机端的配置 （1） 标右键单击桌面上的“网

27、上邻居”，选择“属性”。 （2） 键单击准备使用IPSEC的“连接”，选“属性”选中“Internet协议（TCP/IP）”,然后选“属性”。 （3） “高级”按钮，再单击“选项”选项卡，选择“IP安全”，并单击“属性”。 （4） 择单选框“使用IP安全”。 6.8.4 传输数据使用的加密算法 1、验证加密 指的是数据包的完整性。算法：安全散列算法（SHA）产生160位的密钥。消息摘要5（MD5）产生128位的密钥。2、数据加密 （1） 6位DES 国际通用标准 （2） 0位DES 低级别的加密方法 （3） riple DES（3DES）最安全的数据加密标准，Windows 2000必须安装“

28、高安全性加密包”才能执行3DES。 6.8.5 IPSEC的模式选择 1、IPSEC传送模式：保护两主机间的通信（只支持2000系统） 2、IPSEC隧道模式：由一个隧道客户和隧道服务器组成，采用协商加密机制。选用安全方式封装和加密整个IP包，再将其封装进明文IP包头发到隧道服务器，对数据处理去掉明文包头，解密获得负载IP包，再送往目的地。 IPSEC隧道模式的功能和局限： （1） 能支持IP数据包。 （2） 作在IP栈的底层。 （3） 一个安全策略进行控制。 6.9 SNMP的安全隐患与对策 6.9.1 Windows 2000 SNMP协议及配置 简单网络管理协议SNMP主要针对TCP/IP网络提出，在互联网骨干设备和绝大多数厂商的网络产品中得到