网络管理与维护－金锄头文库

资源描述

《网络管理与维护》由会员分享，可在线阅读，更多相关《网络管理与维护（104页珍藏版）》请在金锄头文库上搜索。

1、第第1414章章网络管理与维护网络管理与维护1专业文献行业资料自然科学 PPT演示课件本章学习目标本章学习目标1 如何添加网络组件；2 影响网络性能的因素和提高网络性能的方法；3 TCP/IP的配置；4 使用网络监视器和性能监视器监控网络性能并进行化；5 win2000 server的自动优化系统功能；6 使用命令行对网络进行管理；7 提高win2000 server的安全性措施。2专业文献行业资料自然科学 PPT演示课件14.1 网络管理简介网络管理简介(1)网络管理的任务主要有： 1配置管理配置管理是网络管理的最基本功能，负责监测和控制网络的配置态。 2性能管理性能管理保证有

2、效运营网络和提供约定的服务质量，在保证各种业务的服务质量的同时，尽量提高网络资源利用率。 3故障管理故障管理的作用是迅速发现、定位和排除网络故障，动态维护网络的有效性。 3专业文献行业资料自然科学 PPT演示课件14.1 网络管理简介网络管理简介(2) 4安全管理安全管理的作用是提供信息的保密、认证和完整性保护机制，使网络中的服务数据和系统免受侵扰和破坏。 5记账管理记账管理的作用是正确的计算和接收用户使用网络服务的费用，进行网络资源的统计和网络成本效益的计算。4专业文献行业资料自然科学 PPT演示课件14.2 14.2 添加网络组件添加网络组件(1)(1)1.双击“网络邻居”，

3、打开“网上邻居”窗口，点击“网络和拨号连接”超链接，在“网络和拨号连接”窗口中单击“添加网络组件”超连接，打开如图14-1所示“Windows可选的网络组件向导”对话框，在对话框中的组件列表框中，系统给出了用户可以选择安装的网络组件。图图14- 1 “windows”可选的可选的网络组件向导网络组件向导“对对话框话框 5专业文献行业资料自然科学 PPT演示课件14.2 添加网络组件(2)2 用户可以根据自己的需要，单击组件选项旁边的复选框以便确认安装该类组件。用户可以单击 “详细信息”按钮或者是双击该组件选项，打开该类组件详细内容对话框来具体选择安装某个子组件图图14- 2添加添加“网络

4、服务网络服务”对话框对话框6专业文献行业资料自然科学 PPT演示课件14.3 14.3 提高网络性能提高网络性能衡量网络性能优劣的标准网络性能瓶颈减少信息流量增加子网数目提高网络速度7专业文献行业资料自然科学 PPT演示课件14.3.1 14.3.1 衡量网络性能优劣的标准衡量网络性能优劣的标准 1.数据链路带宽必须超出网络客户机处理数据的能力。 2.竞争访问网络共享介质的访问不能超过介质的负载限度。 3.服务器必须足够的快，以快速响应所有网络客户机的请求。8专业文献行业资料自然科学 PPT演示课件14.3.2 14.3.2 网络性能瓶颈网络性能瓶颈常会用到的术语:1.Resour

5、ces（资源）是硬件部件。软件进程在硬件资源下装载进行。2.Bottlenecks（瓶颈）是影响计算机响应能力的资源。当具体使用时，瓶颈是指影响系统性能的部件。3.Load（负荷）资源是不得不执行的工作总量。4.Optimization(优化)是减少瓶颈对性能的影响。优化包含清除不必要的负荷、均衡多个设备之间的负载或者查找增加可用资源等。5.Throughput(吞吐率)是一定的时间周期内通过的资源信息流。6.Processes(进程)是计算机中可并发执行的程序在一个数据集合上的运行过程，是程序的一次执行和资源分配的基本单位。7.Threads（线程）是一个进程内的基本调度单位。一个进程可以有

6、一个或多个线程；在多处理器环境中，线程是处理器间分配的基本单元。9专业文献行业资料自然科学 PPT演示课件14.3.3 14.3.3 减少信息流量减少信息流量当环境允许时，减少信息流量的方式是最好的。因为不论当前网络的结构如何，这种方式都起作用，而且并不需要任何物理改变。减轻网络负荷通常包括找出哪一台计算机产生了最大的网络负荷，确定该计算机为什么会产生如此大的网络负荷。如果可能的话减轻由这一具体计算机所产生的网络负荷。重复执行以上过程，直到不可能进一步减轻网络负荷为止，这样就把网络信息流量降到了某种可行的程度。 10专业文献行业资料自然科学 PPT演示课件14.3.4 14.3.4 增

7、加子网数目增加子网数目增加子网数目是另一种方式，这种方法实际上是构建更多的通路，从而减轻信息流量拥塞。将共享介质型网络拆分成多个由交换机、路由器或者执行路由功能的服务器所连接的子网，这样可以划分冲突域（子网内计算机通信数据不出本子网段），进而提高网络性能。 11专业文献行业资料自然科学 PPT演示课件14.3.5 14.3.5 提高网络速度提高网络速度提高网络速度是解决网络性能的最直接的，当然费用可能会高一些，因为这种方式需要替换网络上数据链路设备，甚至涉及网络体系结构的改变。通常数据链路升级是指从以太网（Ethernet ）升级到快速以太网（Fast Ethernet）或者1000M/1

8、0G以太网。有时只需要升级主干网、服务器之间的链路或者某个子网就可以了。使用网络监视器识别网络上信息量大的用户，并把那些用户迁移到更快的网络上。下面介绍几种较常用的网络技术： 1）快速以太网（Fast Ethernet） 2）千兆位以太网（Gigabit Ethernet） 3）万兆以太网（10Gigabit Ethernet）12专业文献行业资料自然科学 PPT演示课件14.4 TCP/IP14.4 TCP/IP设置设置TCP/IP协议是Windows 2000的默认网络协议，也是Windows 2000正常运行、实现所有功能所必需的协议。TCP/IP协议配置包括一系列参数，如IP地址、

9、子网掩码和默认网关的。另外在大规模的网络中也可以使用DHCP服务（动态主机配置协议）来简化TCP/IP参数的设置。13专业文献行业资料自然科学 PPT演示课件14.4.1 14.4.1 IPIP地址地址(1)(1)在以TCP/IP为通信协议的网络上，每台主机都有唯一的IP地址，IP地址用来唯一标示一台主机，也隐含着网络间的路径信息。IP地址共占用32个位，一般是以4个十进制数来表示，每个数字称为一个字节，字节与字节之间用点隔开，例如：192.168.0.1，因为在TCP/IP网络上是利用IP地址来标示每一台主机，每一台主机都必须拥有唯一的IP地址。14专业文献行业资料自然科学 PPT演

10、示课件14.4.1 14.4.1 IPIP地址地址(2)(2)类类网络号网络号主机号主机号W取值取值支持网络数支持网络数每个网络支持主机数每个网络支持主机数A WX.Y.Z1-12612616,777,214BW.XY.Z128-1911638465,534CW.X.YZ192-2232,097,152254D224-239E240-25415专业文献行业资料自然科学 PPT演示课件14.4.2 14.4.2 子网掩码子网掩码子网掩码也是由32位二进制数构成，它有两大功能。一是用来区分IP地址内的网络号和主机号，一是用来将网络切割为数个子网或将网络合并为超网。当网络上的主机在相互沟通时，

11、他们利用子网来得知对方的网络号，进而得知彼此是否在相同的网络区域里。下面给出了默认的子网掩码，其中：A类为255.0.0.0，B类255.255.0.0，C类为255.255.255.0。16专业文献行业资料自然科学 PPT演示课件14.4.3 14.4.3 默认网关默认网关在同一个网络号内的主机可以直接通讯，而不是同一个网络号内的主机，必须通过路由器才能通信。默认网关是一个IP地址，是连接本子网路由器的IP地址。当发送方计算机和接收方计算机不在同一个子网时，TCP/IP协议就将IP数据包发往默认网关，由默认网关将数据包路由到目的地。17专业文献行业资料自然科学 PPT演示课件1414

12、.4.4 .4.4 配置配置TCP/IPTCP/IP协议的相关参数协议的相关参数鼠标右键单击“网上邻居”，选择“属性”/“网络和拨号连接”/“本地连接”/“属性”/“此连接使用下列选定的“组件”/“Internet协议(TCP/IP)”/“属性”，打开如图14-3所示对话框。如图如图14-3所示对话框。所示对话框。18专业文献行业资料自然科学 PPT演示课件14.5 14.5 网络性能监视器网络性能监视器(1)(1) 如前所述，网络有很多性能问题，如果问题涉及到网络硬件、线缆或网络流量，该问题就很难发现。性能监视器提供了计数器来衡量通过服务器的网络流量，可以从多种角度监视系统资源的使用情况

13、，并且可以监视几乎系统中所有的资源，同时可以将监视的结果用多种方式显示出来，以满足在不同的情况下对系统资源监视的要求。几个概念。 1对象：对象是系统中主要的子系统或组件，对象可以是硬件子系统或是软件子系统。 2实例：实例代表多个相同类型的对象，例如在一个多处理机系统中，每一个CPU就是处理器对象的一个实例。 3计数器：通过计数器可以搜集对象或子系统的多个方面，多个角度的数据。在性能监视器上显示的是一个个具体的计数器，代表了被监视对象各个方面的运行情况。不正常的网络计数器值表明它代表的对象的某一性能出了问题。19专业文献行业资料自然科学 PPT演示课件14.5 14.5 网络性能监视器网络性

14、能监视器(2)(2)表表14-2 性能对象、计数器及对应说明性能对象、计数器及对应说明问题。问题。对象说明计数器描述 Server Pool Nonpaged 监控在分配内存时被拒绝的次数，该数表明物理内存太少 Server Pool Nonpaged Peak 表明服务器所需要的内存量 Server Total Bytes/sec 每秒钟发送和接受的字节数，该数指出了网络的忙碌程度NetBEUI Frame 发送的字节数和帧数 Bytes Received/sec 每秒接受字节数 NetBEUI Times Exhausted 自系统启动后所有资源的使用次数Frames Rejected

15、 Frames Rejected接受的不正确、需要重传的帧数 20专业文献行业资料自然科学 PPT演示课件14.5 14.5 网络性能监视器网络性能监视器(3)(3) 用户可以按如下步骤启用 “性能监视器”监控系统的性能。步骤一，打开 “开始”菜单，选择 “程序”/“管理工具”/“性能”命令后，系统将打开“性能”窗口，如图14- 5所示。步骤二，在“性能”窗口的工具栏中单击“+”按钮或在右侧子窗口中鼠标右键单击后，系统打开“添加计数器”对话框，如图14-4所示。步骤三，在“添加计数器”对话框中，用户首先需要选择希望监控的计算机，以及属于该对象的计数器，单击“添加”按钮即可。步骤四，

16、单击“关闭”按钮后，系统将返回到“性能”窗口，这时用户便可看到系统开始用选定的计数器对相应的对象进行监控，绘出计数器统计数值的图形，如图14-5所示。步骤五，重复步骤二到步骤四，可以添加多个计数器，从不同子系统的不同角度监视系统运行的状况。 21专业文献行业资料自然科学 PPT演示课件14.5 14.5 网络性能监视器网络性能监视器(4)(4)图14-4“选择计数器”对话框22专业文献行业资料自然科学 PPT演示课件14.5 14.5 网络性能监视器网络性能监视器(5)(5)图14- 5 性能监视器对网络进行监控 23专业文献行业资料自然科学 PPT演示课件14.6 14.6 网络

17、监视器网络监视器Microsoft网络监视器是Windows 2000服务器所包括的一个网络诊断工具，它实现了第三方网络分析器的许多相同功能，它易于操作、可被快速配置和设置以捕获数据，可运行在一台或者多台客户机和服务器上。Microsoft网络监视器必须能够通过网络从网络计算机上获得数据，这就需要和Microsoft网络监视器连接的任一台计算机上装入Microsoft网络监视器代理，它会通过网络直接与装在网络计算机上的监控代理打交道。Microsoft网络监视器和网络代理交互作用，在本地计算机或者网络上的任何一台计算机上进行监控，达到捕获网络信息流量的目的。Microsoft网络监视器捕获信息

18、流量的方式有：1.捕获所有网络数据并用显示筛选器显示出有意义的数据包；2.限制捕获，只捕获筛选器定义的数据；3.通过创建定制的捕获触发器在指定事件出现后停止数据捕获。 24专业文献行业资料自然科学 PPT演示课件14.6.1 14.6.1 网络监视器窗口网络监视器窗口(1)(1)Microsoft网络监视器的主屏幕主要由4个平铺窗口组成，分别为：网络图表窗口、会话统计窗口、站统计窗口、汇总统计窗口。打开“开始”菜单，选择 “程序 ”/“管理工具 ”/“网络监视器 ”命令，打开“Microsoft 网络监视器”窗口，如图14-6所示。图14-6 Micros

19、oft网络监视器 25专业文献行业资料自然科学 PPT演示课件14.6.1 14.6.1 网络监视器窗口网络监视器窗口(2)(2)1.图表显示窗口图表显示窗口主要是以图表的形式显示某一瞬间网络的使用情况。在“Microsoft网络监视器”窗口中，打开“窗口”菜单，取消选择“总共统计”、“会话统计”和“机器统计”三个命令选项，只选择“图表”命令选项，“Microsoft网络监视器”窗口将单独显示网络图表显示窗口，如图14-7所示，其中包含五个条状图形，每个图形显示单个值的瞬间读取结果。五个条状图形分别为：（1）网络利用：显示网络带宽被利用的百分率；（2）每秒帧数：显示网络上传送的帧数；（3

20、）每秒字节数：显示统计网络上传输的字节数；（4）每秒广播：显示统计的每秒网络上广播数据包数；（5）每秒的多播：显示每秒网络上统计到的多址发送的数据包数。 26专业文献行业资料自然科学 PPT演示课件14.6.1 14.6.1 网络监视器窗口网络监视器窗口(3)(3)通过网络图表显示窗口可快速查看网络的运行状况。图表上有用的主要统计是“网络利用”、“每秒广播”和“每秒的多播”，如果这三部分显示的值比较高，则说明网络中可能有太多不必要的信息流量。图图14- 7图表窗口通过条状图形图表窗口通过条状图形显示瞬间统计信息显示瞬间统计信息 27专业文献行业资料自然科学 PPT演示课件14.6.1

21、 14.6.1 网络监视器窗口网络监视器窗口(4)(4)2. 会话统计窗口会话统计窗口显示不同网络计算机间会话的概要列表，如图14-8所示。图图14- 8Microsoft网络性能监网络性能监视器会话统计窗口视器会话统计窗口 28专业文献行业资料自然科学 PPT演示课件14.6.1 14.6.1 网络监视器窗口网络监视器窗口(5)(5)3. 机器统计窗口机器统计窗口显示出所捕获的每个宿主计算机发送的总帧数的概要信息。宿主计算机的传送情况通过发送和接收的帧数、发送和接收的字节数、直接帧发送数以及多播传送的帧数和发送的广播信息来表示，如图14-9所示。机器统计窗口在比较每台主机发送和接收到的

22、信息时是非常有用的，如果一个单独的计算机在网络中占据支配地址，则该主机的字节统计数将提升网络的利用百分比。图图14-9机器统计窗口列出网络机器统计窗口列出网络信息流量汇总统计信息流量汇总统计29专业文献行业资料自然科学 PPT演示课件14.6.1 14.6.1 网络监视器窗口网络监视器窗口(6)(6)4.总共统计窗口总共统计窗口对用户全面监控网络活动，如图14-10所示。总共统计窗口管理捕获文件以及观察错误是非常有用的。总共统计窗口显示的统计信息描述了检测到的网络流量，包括捕获到的帧和字节数、缓冲区里的帧和字节数、每秒网络使用统计、网络卡的使用状况以及网络状态统计，这些统计信息是作为时间

23、的函数被捕获的。 4-10显示总共统计窗口显示总共统计窗口30专业文献行业资料自然科学 PPT演示课件14.6.2 14.6.2 创建捕获筛选程序（创建捕获筛选程序（1 1）由于许多协议都是同多个信源、信宿地址以及消息类型混合在一起的，所以网络数据的出现和消失都是随机的。使用Microsoft网络监视器有利于用户区分通过网络传递的看似随机的数据。在Microsoft网络监视器中可以判断数据通过网络时的方向，这意味着所创建的筛选程序可以指定是否捕获流入或流出特定设备的数据。也可把数据方向设置为捕获传入或者传出指定地址的数据包。数据方向使得用户不用捕获网络上传送的所有数据即可观察发向用户计算机

24、的数据。捕获筛选程序使用如下几种参数对网络流量进行筛选：(1) 网络地址。如果在捕获筛选器中配置了地址，Microsoft网络监视器会用适当的MAC地址测试每个网络数据包。如果信息流量中包含有正确地址，数据包就会被收集在捕获缓冲区中。(2) 捕获协议。可把捕获筛选器配置为只捕获与指定协议匹配的数据包。(3) 捕获模式。创建的筛选器可按照数据包中指定的模式来匹配数据包数据。(4) 方向。Microsoft网络监视器可观察数据的方向.31专业文献行业资料自然科学 PPT演示课件14.6.2 14.6.2 创建捕获筛选程序（创建捕获筛选程序（2 2）（1）在“Microsoft网络监视器”窗口

25、中，选择菜单“捕获”/“筛选程序”，打开“捕获筛选程序”对话框，如图14-11所示。注意在创建筛选程序之前选择“捕获”/“停止”命令停止Microsoft网络监视器的捕获工作。图图14- 11创建筛选程序创建筛选程序 32专业文献行业资料自然科学 PPT演示课件14.6.2 14.6.2 创建捕获筛选程序（创建捕获筛选程序（3 3）（2）在列表框中的目录树中，选择“SAP/ETYPE=任何SAP或任何ETYPE”节点。然后单击“编辑”按钮，打开“捕获筛选程序SAP和ETYPE”对话框，如图14-12所示。图图14- 12添加捕获协议添加捕获协议 33专业文献行业资料自然科学 PPT演示

26、课件14.6.2 14.6.2 创建捕获筛选程序（创建捕获筛选程序（4 4）（3）在“被禁用的协议”列表框中选择要添加的协议，单击“启用”按钮可允许该协议有效并添加到“启用的协议”列表框中；如果要添加全部的禁用协议，可单击“全部启用” 按钮来完成。（4）要禁用已启用的协议，在“启用的协议”列表框中选择要禁用的协议，然后单击“禁用”即可。如果禁用全部已启用协议，可单击“全部禁用”按钮。（5）单击“确定”按钮返回到“捕获筛选程序”对话框。（6）要添加捕获筛选程序地址及设置数据方向，在目录树中选择“AND（地址对）”节点，然后单击“地址” 按钮，打开如图14-13所示的“地址表达式”对话框进行添加和

27、设置。34专业文献行业资料自然科学 PPT演示课件14.6.2 14.6.2 创建捕获筛选程序（创建捕获筛选程序（5 5）图图14- 13 添加地址和设置数据方向添加地址和设置数据方向 35专业文献行业资料自然科学 PPT演示课件14.6.2 14.6.2 创建捕获筛选程序（创建捕获筛选程序（6 6）（7）在“地址表达式”对话框中，选择“包含”或者“排除”单选按钮。如果选择“包含”单选按钮，则意味着如果一个数据包符合捕获筛选程序的地址表达式，该数据包会被捕获；如果选择“排除”单选按钮，则意味着如果一个数据包符合捕获筛选程序的地址表达式要求，该数据包不会被Microsoft网络监视器所捕

28、获，即使该数据包符合一个或者多个地址表达式的要求。（8）要编辑地址，单击“编辑地址”按钮打开“地址数据库”对话框进行编辑。（9）从“机器(1)”列表框中选择一个机器，再从“机器(2)”列表框中选择一个相对应的机器，然后从“方向”文本框中选择-、-或者-三个方向选项之一。36专业文献行业资料自然科学 PPT演示课件14.6.2 14.6.2 创建捕获筛选程序（创建捕获筛选程序（7 7）（10）单击“确定”完成地址的添加并返回到“捕获筛选程序”对话框。（11）要添加捕获模式在目录树中，选择“AND（模式匹配）”节点，单击“模式”按钮，打开如图14-14所示的“模式匹配”对话框进行添加。（12）

29、在“模式”文本框中输入模式名称。选择“十六进制”单选按钮，输入的模式为十六进制捕获模式，选择ASCII单选按钮，输入的模式为ASCII码捕获模式。（13）在“偏移值（十六进制）”文本框中输入一个十六进制数以指定出现在帧中的多少字节处；要从帧的开始处开始搜索模式，则选择“从拓扑头信息末尾”单选按钮。37专业文献行业资料自然科学 PPT演示课件14.6.2 14.6.2 创建捕获筛选程序创建捕获筛选程序（8 8）图14- 14 添加捕获模式 38专业文献行业资料自然科学 PPT演示课件14.6.2 14.6.2 创建捕获筛选程序创建捕获筛选程序（9 9）（14）单击“确定”保存设置并返回“

30、捕获筛选程序”对话框。单击“保存”按钮，可将捕获筛选程序保存起来。（15）单击“确定”按钮，关闭“捕获筛选程序”对话框，捕获筛选程序配置完成。39专业文献行业资料自然科学 PPT演示课件14.6.3 14.6.3 创建触发器创建触发器（1 1）触发器是一种当符合一系列指定条件时被执行的动作。使用Microsoft网络监视器从网络捕获数据之前，可以设置触发器实现停止捕获或者执行命令文件。创建触发器过程如下：（1）在“Microsoft网络监视器”窗口中选择“捕获”/“触发器”的命令，打开“捕获触发器”对话框，如图14-15所示。注意在创建捕获触发器之前，也必须先停止Microsoft网络监

31、视器捕获网络信息，选择“捕获”/“停止”命令。40专业文献行业资料自然科学 PPT演示课件14.6.3 14.6.3 创建触发器（创建触发器（2 2）图图14-15创建捕获触器创建捕获触器 41专业文献行业资料自然科学 PPT演示课件14.6.3 14.6.3 创建触发器（创建触发器（3 3）（2）在“触发器在工作”选项区域中，选择一个按钮，例如选择“先缓冲区空间后模式匹配”，使触发器先检查缓冲区，然后再进行模式匹配。（3）在“缓冲区空间”选项区域中选择启动触发器之前捕获缓冲区必须添满的最大百分比，例如选择50%按钮，则当捕获缓冲区被填满50时启动触发器。（4）在“模式”选项区域中，在

32、“偏移值(十六进制)”文本框中输入一个十六进制数以指定模式出现在帧中的多少字节处；要从帧的开头开始搜索模式，则选择“从帧的开头”按钮，要从拓扑头之后开始搜索模式，则选择“从拓扑头信息末尾”按钮。（5）在“模式”选项区域中，对应“模式”文本框中输入想要的匹配模式，输入十六进制模式前先选择“十六进制”按钮，输入ASCII码模式前选择ASCII按钮。42专业文献行业资料自然科学 PPT演示课件14.6.3 14.6.3 创建触发器（创建触发器（4 4）（6）在“触发器动作”选项区域中，可指定触发器匹配之后，Microsoft网络监视器要采取的动作，如果只需要讯号提示，可选择“只有可听到讯号”按钮

33、，如果停止捕获，可选择“停止捕获”按钮；另外可启用“执行命令行”复选框，并在其后的文本框中输入可执行文件的路径。（7）单击“确定”保存设置.43专业文献行业资料自然科学 PPT演示课件14.6.4 14.6.4 缓冲区设置（缓冲区设置（1 1）Microsoft网络监视器可捕获的数据总量依赖于捕获缓冲区大小，首次启动Microsoft网络监视器时，其缺省的缓冲区大小为1MB，用户应设置增大缓冲区的值，建议工作缓冲区的大小为10MB或者更多。配置捕获缓冲区步骤如下：(1)在“Microsoft网络监视器”窗口中，选择“捕获”/“缓冲区设置”命令，打开“捕获缓冲区设置”对话框，如图14-16所

34、示。图图14- 16设置缓冲区设置缓冲区44专业文献行业资料自然科学 PPT演示课件14.6.4 14.6.4 缓冲区设置缓冲区设置(2(2) )（2）从“缓冲区大小(MB)”下拉列表框中选择一个新值或者输入一个新值来更改捕获缓冲区大小。注意：如果所设置的缓冲区的大小超过了物理内存总量，将会丢失数据字节。（3）单击“确定”完成设置。 45专业文献行业资料自然科学 PPT演示课件14.6.5 14.6.5 捕获数据捕获数据在完成捕获筛选程序和触发器的创建以及缓冲区的设置，在此基础上选择“捕获”/“开始”命令开始捕获进程。捕获完毕，图图14- 17查看缓冲区捕获的数据查看缓冲区捕获的数据

35、选择“捕获”/“停止且查看”命令以停止捕获进程并查看捕获缓冲区中的数据，如图14-17所示。46专业文献行业资料自然科学 PPT演示课件1414.7 .7 Windows 2000 Server自动优化功能自动优化功能多处理器内存优化优先线程与进程磁盘请求缓冲 47专业文献行业资料自然科学 PPT演示课件14.7.1 14.7.1 多处理器多处理器对称多处理器是一种在多个处理器间均衡分配总处理负荷量的技术。非对称处理器技术，根据一些非负荷量尺度来分配处理负载，如操作系统把所有系统任务放在一个处理器上，而所有的用户任务放在剩余的处理器上。 Windows 2000 Server支持对

36、称多处理器技术。带有两个处理器的Windows 2000 Server计算机通常是一台计算机速度的1.5倍，这还依赖于所运行程序的类型。仅存在一个线程的应用技术不可能运行于多个处理器系统中。 48专业文献行业资料自然科学 PPT演示课件14.7.2 14.7.2 内存优化内存优化在Windows2000 Server中，把内存分配为称为页的4KB数据块。每一页仅仅由一个线程使用。一个线程可以储存在任意数目的页面中。系统必须有足够的内存来储存所有正在执行的线程，若内存总量不足，那么Windows 2000 Server使用硬盘的一部分来仿真系统内存，将当前未使用的内存页面交换到称为虚拟内存

37、交换文件(Pagefile.sys)的系统文件中。页面交换得越快，对系统响应性能的影响就越低。 49专业文献行业资料自然科学 PPT演示课件14.7.3 14.7.3 优先线程与进程优先线程与进程在多任务操作系统中，如果每个进程的每个线程都获得相同的处理机时间而不分先后，那么计算机响应用户的请求将很慢。 Windows 2000 Server根据线程对系统响应能力的重要性来优先处理每个线程，调整优先权的权力留给了用户。进程的优先权范围内，优先级别从0-31，进程的起始优先权为7，进程的每个线程继承了该进程的基优先权7。实时应用程序的优先权最高为23。 50专业文献行业资料自然科学

38、PPT演示课件14.7.4 14.7.4 磁盘请求缓冲磁盘请求缓冲Windows 2000 Server的I/O系统包括了一个磁盘缓冲管理器组件，通过在RAM中维持经常访问的文件而减少磁盘访问。磁盘缓冲的特点：缓冲机制是动态的；随可用RAM的数量不同而不断改变文件缓冲大小；操作系统不需要的内存都可用做缓冲；自适应的缓冲机制为应用程序提供文件I/O性能的优化。磁盘缓冲管理器可以使用任何系统中的可用内存，Windows 2000系统中这种缓冲区的小是不允许人为调整的，因为它受到系统中使用的资源及动态应用程序的影响。 51专业文献行业资料自然科学 PPT演示课件1414.8 .8 命令行管理命令

39、行管理为什么使用命令行访问命令提示符52专业文献行业资料自然科学 PPT演示课件14.8.1 14.8.1 为什么使用命令行为什么使用命令行用命令行完成某些操作会很容易。53专业文献行业资料自然科学 PPT演示课件14.8.2 访问命令提示符访问命令提示符打开 “开始” 菜单，然后选择“运行”命令并输入cmd，系统打开命令提示符窗口。运行MS-DOS程序或工具时，也可以打开DOS会话窗口。手动双击MS-DOS程序或打开“开始 ”菜单，选择“运行”命令并输入该DOS程序的可执行命令即可打开DOS会话窗口。命令提示符交互并不区分可执行命令的大小写。对于任何命令，可以附带参数/？获取

40、相关命令的帮助信息。54专业文献行业资料自然科学 PPT演示课件14.8.3 14.8.3 几个常用的命令几个常用的命令NETNET命令命令PingPing命令命令NetstatNetstat命令命令IPConfigIPConfig命令命令ARPARP命令命令TracertTracert命令命令RouteRoute命令命令NslookupNslookup命令命令NbstatNbstat命令命令55专业文献行业资料自然科学 PPT演示课件14.8.3.1 14.8.3.1 NETNET命令命令用户可以使用NET命令获取给出特定信息。如果用户想查阅映射到一台计算机上的所有当前驱动器的列表

41、，可以简单输入NET VIEW Computername。常用NET命令举例：NET ACCOUNTS查阅当前账号设置 NET CONFIG SERVER查阅本网络配置信息统计 NET SHARE查阅本地计算机上共享文件NET USER 查阅本地用户账号NET VIEW 查阅网络上可用计算机 56专业文献行业资料自然科学 PPT演示课件14.8.3.2 Ping14.8.3.2 Ping命令（命令（1 1）Ping用于确定网络的连通性。命令格式：Ping 主机名Ping 域名Ping IP地址图图14- 18Ping命令命令 57专业文献行业资料自然科学 PPT演示课件14.8.3.

42、2 Ping14.8.3.2 Ping命令（命令（2 2）一般情况下，用户可以通过使用一系列Ping命令来查找问题出在什么地方，或检验网络运行的情况时。典型的检测次序及对应的可能故障： ping 127.0.0.1如果测试成功，表明网卡、TCP/IP协议的安装、IP地址、子网掩码的设置正常。如果测试不成功，就表示TCP/IP的安装或运行存在某些最基本的问题。 ping 本机IP如果测试不成功，则表示本地配置或安装存在问题，应当对网络设备和通讯介质进行测试、检查并排除。 ping局域网内其他IP如果测试成功，表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码不正确或网卡

43、配置错误或电缆系统有问题。 58专业文献行业资料自然科学 PPT演示课件14.8.3.2 Ping14.8.3.2 Ping命令（命令（3 3） ping 网关IP这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够做出应答。 ping 远程IP如果收到正确应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet。 ping local hostlocal host是系统的网络保留名，它是127.0.0.1的别名，每台计算机都应该能够将该名字转换成该地址。如果没有做到这一带内，则表示主机文件（/Windows/host）中存在问题。 Ping （一个著名

44、网站域名）对此域名执行Ping命令，计算机必须先将域名转换成IP地址，通常是通过DNS服务器。如果这里出现故障，则表示本机DNS服务器的IP地址配置不正确，或DNS服务器有故障。59专业文献行业资料自然科学 PPT演示课件14.8.3.2 Ping14.8.3.2 Ping命令（命令（4 4）如果上面所列出的所有Ping命令都能正常运行，那么计算机进行本地和远程通信基本上就没有问题了。但是，这些命令的成功并不表示你所有的网络配置都没有问题，例如，某些子网掩码错误就可能无法用这些方法检测到。 PingPing命令的常用参数选项命令的常用参数选项 ping IP -t：连续对IP地址执行Pin

45、g命令，直到被用户以Ctrl+C中断。 ping IP -l 2000：指定Ping命令中的数据长度为2000字节，而不是缺省的32字节。 ping IP -n：执行特定次数的Ping命令。 60专业文献行业资料自然科学 PPT演示课件14.8.3.3 14.8.3.3 NetstatNetstat命令（命令（1 1）检测计算机与网络之间详细的连接情况，可以得到以太网的统计信息并显示所有协议（TCP协议、UDP协议以及IP协议等）的使用状态。还可以选择特定的协议并查看其具体使用信息，包括显示所有主机的端口号以及当前主机的详细路由信息。下面给出Netstat的一些常用选项： Netstat

46、-s：-s选项能够按照各个协议分别显示其统计数据。这样就可以看到当前计算机在网络上存在哪些连接，以及数据包发送和接收的详细情况等等。如果应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么可以用本选项来查看一下所显示的信息。仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。如图14-19为运行Netstat s时屏幕显示。61专业文献行业资料自然科学 PPT演示课件14.8.3.3 14.8.3.3 NetstatNetstat命令（命令（2 2）图图14-19 Netstat命令实例命令实例 62专业文献行业资料自然科学 PPT演示课件14.8.3

47、.3 14.8.3.3 NetstatNetstat命令（命令（3 3） Netstat -e：-e选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。使用这个选项可以统计一些基本的网络流量。 Netstat -r：-r选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的信息。除了显示有效路由外，还显示当前有效的连接。 Netstat a：-a选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LI

48、STENING）的那些连接。 Netstat n：显示所有已建立的有效连接。 63专业文献行业资料自然科学 PPT演示课件14.8.3.4 14.8.3.4 IPConfigIPConfig命令（命令（1 1）IPConfig实用程序，可用于显示当前的TCP/IP配置的设置值，它在Windows95/98中的等价图形用户界面命令为WINIPCFG。这些信息一般用来检验人工配置的TCP/IP设置是否正确。如果计算机和所在的局域网使用了动态主机配置协议DHCP，使用IPConfig命令可以了解到你的计算机是否成功地租用到了一个IP地址，及目前分配的子网掩码和缺省网关等网络配置信息。64专业文献

49、行业资料自然科学 PPT演示课件14.8.3.4 14.8.3.4 IPConfigIPConfig命令（命令（2 2）常用的选项： (1)ipconfig：当使用IPConfig不带任何参数选项时，显示每个已经配置了的接口的IP地址、子网掩码和缺省网关值。 (2)ipconfig /all：当使用all选项时，IPConfig能为DNS和WINS服务器显示它已配置且所有使用的附加信息，并且能够显示内置于本地网卡中的物理地址（MAC）。如果IP地址是从DHCP服务器租用的，IPConfig将显示DHCP服务器分配的IP地址和租用地址预计失效的日期。图14-20为运行ipconfig /al

50、l命令的结果窗口。 65专业文献行业资料自然科学 PPT演示课件14.8.3.4 14.8.3.4 IPConfigIPConfig命令（命令（3 3）图图14- 20 IPConfig/all命令测试结果命令测试结果 66专业文献行业资料自然科学 PPT演示课件14.8.3.4 14.8.3.4 IPConfigIPConfig命令（命令（4 4）(3)ipconfig /release和ipconfig /renew：只能在向DHCP服务器租用其IP地址的计算机上起作用。ipconfig/release 所有接口的租用IP地址便重新交付给DHCP服务器（归还IP地址）。ipconf

51、ig /renew 本地计算机设法与DHCP服务器取得联系，并租用一个IP地址。大多数情况下网卡将被重新赋予和以前所赋予的相同的IP地址。 67专业文献行业资料自然科学 PPT演示课件14.8.3.5 14.8.3.5 ARPARP地址转换协议（地址转换协议（1 1）ARP是TCP/IP协议族中的一个重要协议，用于确定对应IP地址的网卡物理地址。使用ARP命令，能够查看本地计算机或另一台计算机的ARP高速缓存中的当前内容。使用ARP命令可以人工方式设置静态的网卡物理/IP地址对，使用这种方式可以为缺省网关和本地服务器等常用主机进行本地静态配置，这有助于减少网络上的信息量。按照缺省设置，A

52、RP高速缓存中的项目是动态的，每当发送一个指定地点的数据报并且此时高速缓存中不存在当前项目时，ARP便会自动添加该项目。68专业文献行业资料自然科学 PPT演示课件14.8.3.5 14.8.3.5 ARPARP（2 2）常用命令选项： arp a：用于查看高速缓存中的所有项目。 arp -a IP：如果有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。 arp -s IP 物理地址：向ARP高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。 arp -d IP：使用本命

53、令能够人工删除一个静态项目。 69专业文献行业资料自然科学 PPT演示课件14.8.3.6 14.8.3.6 TracertTracert命令（命令（1 1）这个应用程序主要用来显示数据包到达目的主机所经过的路径。通过执行一个Tracert到对方主机的命令之后，结果返回数据包到达目的主机前所经历的路径详细信息，并显示到达每个路径所消耗的时间。这个命令同ping命令类似，但它所看到的信息要比ping命令详细得多，它能反馈显示送出的到某一站点的请求数据包所走的全部路，以及通过该路由的IP地址，通过该IP的时间是多少。Tracert命令还可以用来查看网络在连接站点时经过的步骤或采取哪种路线，如

54、果是网络出现故障，就可以通过这条命令来查看是在哪儿出现问题的。例如可以运行tracert ，就将看到网络在经过几个连接之后所到达的目的地，也就知道网络连接所经历的过程。图14-21给出了tracert命令的一个实例。 70专业文献行业资料自然科学 PPT演示课件14.8.3.14.8.3.6 6 TracertTracert命令命令（2 2）图图14- 21 Tracert命令命令 71专业文献行业资料自然科学 PPT演示课件14.8.3.7 Route命令命令（1）大多数主机一般都是驻留在只连接一台路由器的网段上。由于只有一台路由器，因此不存在选择使用哪一台路由器将数据包发送到远程计

55、算机上去的问题，该路由器的IP地址可作为该网段上所有计算机的缺省网关来输入。但是，当网络上拥有两个或多个路由器时，用户就不一定想只依赖缺省网关了。实际上可能想让某些远程IP地址通过某个特定的路由器来传递，而其他的远程IP则通过另一个路由器来传递。在这种情况下，用户需要相应的路由信息，这些信息储存在路由表中，每个主机和每个路由器都配有自己独一无二的路由表。大多数路由器使用专门的路由协议来交换和动态更新路由器之间的路由表。但在有些情况下，必须人工将项目添加到路由器和主机上的路由表中。Route命令可以显示、人工添加和修改路由表项目。 72专业文献行业资料自然科学 PPT演示课件14.8.3.7

56、 Route命令（命令（2）route print：本命令用于显示路由表中的当前项目，在单个路由器网段上的输出结果如图14-22所示。图图14- 22route print命令命令 73专业文献行业资料自然科学 PPT演示课件14.8.3.7 Route命令（命令（3）route add：使用本命令，可以将路由项目添加给路由表。 route change：可以使用本命令来修改数据的传输路由 route delete ：使用本命令可以从路由表中删除路由。 74专业文献行业资料自然科学 PPT演示课件14.8.3.8 Nslookup利用Nslookup命令查看主机的IP地址和主机名称。

57、这个命令在查看主机IP的时候跟Ping命令有些相似，但得到的信息却有些不同。直接键入命令，系统返回本机的服务器名称（带域名的全称）和IP地址，并进入以“”为提示符的操作命令行状态。键入“？”可查询详细命令参数。如此时给出一个计算机名称，若在本机能够识别该名称，返回本机、查询主机的名称、IP地址及别名。键入“Server 服务器名称”更改当前服务器。75专业文献行业资料自然科学 PPT演示课件14.8.3.9 Nbtstat使用Nbtstat命令来查看计算机上网络配置的一些信息。使用这条命令还可以查找出别人计算机上一些私人信息。如果想查看自己计算机上的网络信息，可以运行Nbtstat n可以

58、得到你所在的工作组，计算机名以及网卡地址等等；想查看网络上其他的电脑情况，就，运行Nbtstat-a *.*.*.*，此处的*.*.*.*用IP地址代替就会返回得到那台主机上的一些信息。 76专业文献行业资料自然科学 PPT演示课件1414.9 .9 网络安全网络安全安全策略安全配置和分析管理安全性模板系统资源审核Windows 2000安全性措施77专业文献行业资料自然科学 PPT演示课件14.9.1 14.9.1 安全策略安全策略安全策略是一个事先定义好的一系列应用计算机的行为准则，应用这些安全策略将使得用户有一致的工作方式，防止用户破坏计算机上的各种重要的配置，保护网络上的敏感数

59、据。Windows 2000安全策略定义了用户在使用计算机、运行应用程序和访问网络等方面的行为，通过这些约束避免了各种对网络安全性的有意或无意的伤害。Windows 2000中安全策略分为本地安全设置和组策略两种形式：本地安全设置是基于单个计算机的安全性；组策略可以在站点、OU(组织单元)或域的范围内实现，通常在较大规模并且实施活动目录的网络中应用。 78专业文献行业资料自然科学 PPT演示课件14.9.2 14.9.2 安全配置和分析安全配置和分析(1)(1)1）打开“控制面板”，双击“管理工具”图标；2）在“管理工具”对话框中打开“本地安全设置”；3）在“本地安全设置”窗口的右侧“树”

60、窗口中单击“+”号来扩展条目，如图14-23所示，可以进行相应的设置。例如，用户可以设置密码的安全策略，选中“账户策略”/“密码策略”，然后在右边的窗口中选择要设置的选项，如选中“密码长度最小值”，在这里可以设置密码的长度最少为8个字符。要进行其它的安全设置，可重复上述步骤。 79专业文献行业资料自然科学 PPT演示课件14.9.2 14.9.2 安全配置和分析安全配置和分析(2)(2)图图14- 23 安全设置安全设置 80专业文献行业资料自然科学 PPT演示课件14.9.3 14.9.3 管理安全性模板管理安全性模板Windows 2000中包含了许多个安全模板分别适用于不同的安全

61、需求，利用这些模板用户就可以简化策略的设定和实施操作。它通常包含了大多数的安全设定，用户也可以按照需要继续配置以适应一个具体网络的需要。安全模板包括4种安全级别的模板：基本、兼容、安全和高度安全。可以在%systemroot%securitytemplates文件夹中找到它们。81专业文献行业资料自然科学 PPT演示课件14.9.4 14.9.4 系统资源审核（系统资源审核（1 1）提高网络的安全性就必须设置系统资源审核，以便时间监视器可以将网络管理员所关心的资源的使用情况记录到安全日志中。通过所记载的信息，分析网络的安全性，并做出相应的策略。审核分为两种类型，一种审核是与操作系统本身安全

62、性相关的各种事件的审核，这一类的审核必须在组策略的审核策略中设置；另外一种就是对于网络中资源的审核，这一类审核将允许用户了解资源的使用情况。82专业文献行业资料自然科学 PPT演示课件14.9.4 14.9.4 系统资源审核（系统资源审核（2 2）设置资源审核会加大系统的负担，因此尽量只对必要的操作和资源设置审核。并且只能在NTFS分区上设置资源审核，FAT分区不支持审核。为资源设置审核时只需要在要审核的对象上鼠标右键单击，选择“属性”中的“安全”选项卡即可进行相应的设置。为资源设置系统审核的操作如下：（1）找到并单击希望设置审核的对象，这里以E盘下的Intepub目录为例。（2）在该对

63、象上右击，选择“属性”；（3）在“属性”对话框中单击“安全”选项卡；（4）在“安全”选项卡中单击“高级”按钮；（5）在打开的如图14-24对话框中，选中“审核”选项卡。83专业文献行业资料自然科学 PPT演示课件14.9.4 14.9.4 系统资源审核（系统资源审核（3 3）图图14-24 访问控制设置访问控制设置 84专业文献行业资料自然科学 PPT演示课件14.9.4 14.9.4 系统资源审核（系统资源审核（4 4）（6）在上图中点击“添加”按钮，打开如图12-25对话框；（7）在“选择用户、计算机或组”中选择要审核的用户，单击“确定”按钮。图图14-25添加用户、计添加用户、

64、计算机对话框算机对话框85专业文献行业资料自然科学 PPT演示课件14.9.4 14.9.4 系统资源审核（系统资源审核（5 5）（8）在“审核项目”中选择对该资源的不同操作的成功事件或失败事件的审核，如图14-26所示，如可以对用户“创建文件/写入数据”、“删除”访问设置审核。（9）单击“确定”按钮，完成设置。图图14-26设置审核项设置审核项目对话框目对话框 86专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（1 1） Windows2000是一种相对安全的操作系统，利用其全部或部分安全特性

65、的优点，可明显减少危险性。这里结合实际应用中的经验介绍增强Windows 2000安全性的考虑。1版本的选择选择成熟版本的操作系统，注意随时安装补丁程序。87专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（2 2）2组件的定制 Windows 2000在默认情况下会安装一些常用的组件，但是正是这种默认安装可能带来安全隐患。对于管理员该确切需要哪些服务，而且仅仅安装确实需要的服务，根据安全原则，最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是：只安装IIS的Com Fi

66、les，IIS Snap-In，WWW Server组件。而应该谨慎安装其他组件：Indexing Service， FrontPage 2000 Server Extensions， Internet Service Manager (HTML)等。 88专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（3 3）3正确安装Windows 2000 Server （1）分区和逻辑盘的分配如果将硬盘仅仅分为一个逻辑盘，所有的软件都装在C盘上，很明显不是个好方法。建议最少建立两个分区，一个系统分区，一

67、个应用程序分区，这是因为微软的IIS经常会有泄漏源码的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取管理权限。最好建立多个逻辑驱动器，例如第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP（需要的话），这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。89专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（4 4）3正确安装Windows 2000 Server （2）安装顺序的选择与系统补丁 Windows 2000在安装中

68、有几个顺序是一定要注意的。首先，何时接入网络。Windows 2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好Windows 2000 Server之前，一定不要把主机接入网络。 90专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施

69、（安全性措施（5 5）4安全配置Windows 2000 Server 即使正确安装了Windows 2000 Server，系统还是有很多的漏洞，需要在管理和应用中进行细致地配置。（1）端口端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口会比较安全。很多黑客攻击程序是针对特定服务和特定服务端口的，因此，为了降低遭受黑客攻击的危险，应该关闭那些不必要的服务和服务端口。配置的方法是：鼠标右键单击“网上邻居”/“属性”/“本地连接”/“属性”/“TCP/IP”/“属性”/“高级”/“选项”/“TCP/IP筛选

70、”/“启用TCP/IP筛选”/“属性”，打开如图14-27所示对话框。选中“启用TCP/IP筛选（所有适配器）”，依次选中各个端口（如TCP端口）上“只允许”选项，点按“添加”按钮，打开如图14-28所示对话框。键入要添加的端口号，重复上述过程即可。 91专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（6 6）图14- 27 TCP/IP筛选对话框图14- 28 添加筛选器 92专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000

71、安全性措施（安全性措施（7 7）（2） IIS IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，所以我们应该自己配置IIS。例如，把C盘Inetpub目录彻底删掉，在D盘上建一个Inetpub，或者改一个名字，不用系统默认目录名。在IIS管理器中将主目录指向D:Inetpub。又如，删除IIS安装时默认的scripts等虚拟目录，如果需要什么权限的目录可以自己慢慢建，需要什么权限开什么。特别注意写权限和执行程序的权限，没有绝对必要不要给目录这些权限。（3）应用程序配置删除IIS管理器中不必要的任何无用映射。在IIS管理器中鼠标右键单击主

72、机，选择“属性”/“WWW服务”/“编辑”/“主目录”/“配置”/“应用程序映射”，删除不必要的应用程序类型，如图14-29所示。选择“应用程序调试”选项页，如图14-30所示，将脚本错误消息改为发送文本，否则ASP出错的时候用户将知道你的程序、网络、数据库结构。错误文本可自己定制，点按“确定”退出。 93专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（8 8）图14- 29应用程序配置图14- 30 应用程序调试 94专业文献行业资料自然科学 PPT演示课件14.9.5 Windows 20

73、00安全性措施（9）（4）删除不需要的服务许多服务器允许远程用户通过Telnet等方式登陆，并可在控制台上执行一系列操作，如装载和卸载模块，安装和删除软件等。这虽然带来了一些方便，但也给非法用户访问和控制服务器带来了可乘之机。可以通过以下方法关掉一些不必要的服务，选择“开始”/“管理工具”/“服务”，打开如图14-31所示窗口，查找并选中要停止的服务（如Telnet），鼠标右键单击选择“停止”即可。 95专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（1010）服务窗口图图14-31 服务窗口服务

74、窗口 96专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（1111）5账号安全 Windows 2000的默认安装允许任何用户通过匿名用户得到系统所有账号、共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用设法破解用户密码。 Windows 2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项“匿名连接的额外限制”，这个选项有三个值：0（无，取决于默认的权限）；1（不允许枚举SAM账号和共享）；2（没有显式匿名权限就不允许

75、访问）。 0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等等，对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。需要注意的是，如果使用2这个值，你的共享就不能完成了，所以推荐还是设为1比较好。97专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（1212）可通过“程序”/“管理工具”/“本地安全设置”/“本地策略”/“安全选项”，打开如图14-32所示窗口。在右侧找到“匿名连接的额外限制”，鼠标右键

76、单击选择“安全性”，打开如图14-33所示对话框，用户可以进行相应的设置。系统内建的administrator也可能泄漏密码，所以建议改名。在 “计算机管理 ”/“用户账号 ”中鼠标右键单击administrator然后改名即可。98专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（1313）图图14-32 本地安全设置本地安全设置图图14- 33 本地安全策略设置本地安全策略设置 99专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows

77、 2000Windows 2000安全性措施（安全性措施（1414） 6安全日志 Windows 2000的默认安装是不开任何安全审核的。打开“程序”/“管理工具”/“本地安全设置”/“本地策略”/“审核策略”设置相应的审核，如图14-34所示界面。图图14- 34本地安全设置本地安全设置 100专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（1515） 7目录和文件权限为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵，还必须非常小心地设置目录和文件的访问权限，访问权限分为：读取、写入

78、、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全开放的（Full Control），需要根据应用的需要进行权限重设。 101专业文献行业资料自然科学 PPT演示课件14.9.5 14.9.5 Windows 2000Windows 2000安全性措施（安全性措施（1616）在进行权限控制时，记住以下几个原则：（1）权限是累计的如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。（2）拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限

79、，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行。（3）文件权限比文件夹权限高。（4）仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。 102专业文献行业资料自然科学 PPT演示课件本章小结本章小结本章主要讲解了Windows 2000 Server作为网络操作系统在网络维护和管理中的功能与作用。主要包括使用网络性能监视器、网络监视器监控与分析网络性能，提高网络性能的方法，网络管理中常用命令的使用，以及提高Windows 2000 Server安全性的措施。 103专业文献行业资料自然科学 PPT演示课件习习题题1网

80、络管理的主要任务是什么？2使用网络监视器监控网络可以得到那些信息？3使用性能监视器能检测那些信息？4捕获筛选程序使用那些参数进行网络流量筛选？5影响网络性能的因素有哪些？如何提高？6如何创建触发器？7Windows 2000 server具有哪些自动优化功能？8使用哪个命令可将网络共享文件映射为一个驱动器名？9如果使用Ping命令Ping本机IP成功，但Ping局域网里其它的主机Ping不通，那么故障可能的原因是什么？10如果想知道计算机和网络之间连接的详细情况，应该使用那个命令？11一台使用了动态主机配置协议DHCP的主机，如何知道它使用的IP地址？12如何知道数据包到达目的主机所经过的路径？13比较常用的网络命令的作用。14Windows 2000 server中提供了那些安全性保护措施？15提高Windows 2000 server的安全性措施有哪些？ 104专业文献行业资料自然科学 PPT演示课件

展开阅读全文

网络管理与维护

最新文档