五十九、配置廣域網中的Windows NT Windows NT 4.0作為一個高性能32位多任務、多用戶的網絡操作系統�,由于其界面的友好性和強大而直觀的管理功能�����,無論對網絡新手還是資深系統管理員�����,都可以迅速地構造起一套基于Windows NT的網絡環境,從而贏得了眾多用戶的青睞���。然而,隨著用戶網絡節點的不斷增加����、掛接網段數的持續增長����,使得網絡規模日趨增大���,一些在局域網環境中無法遇到的問題就會逐步地暴露出來�。因此,如何保證Windows NT在多網段、多主域的復雜環境下���,充分滿足用戶各種跨網段的訪問���、以及如何減少Windows NT對網絡帶寬的占用,保持其高效率的運作�����,是我們每一個系統管理員所亟待解決的問題�。
下面我們結合一個案例����,分析一下在一個多網段����、多主域的環境中�,如何對Windows NT的一些技術參數進行設置��。
在該案例中���,Windows NT網絡由四個物理網段構成,網段間通過ATM交換機相連���,各個網段均為獨立的域(域名分別為:HK-PDC�����、HY-PDC��、WC-PDC、PDC1)�。
各個網段的網號為:
1. HK-PDC的網號10.228.17.0 掩碼為:255.255.255.0
2. HY-PDC的網號10.228.18.0 掩碼為:255.255.255.0
3. WC-PDC的網號10.228.19.0 掩碼為:255.255.255.0
4. PDC1的網號10.228.16.0 掩碼為:255.255.255.0
如圖1所示�����。
在將Windows NT應用于廣域網的過程中�,需要考慮下面四個方面的問題:
一���、協議的優化選擇
在小型局域網中,NetBEUI協議無疑是你的最佳選擇�,它無需任何人工設置��,而且傳遞速度很快���,是包括TCP/IP在內的其他協議所無法比擬的����。但它的傳輸機制是基于密集的廣播方式�����,這就會不可避免地造成大量網絡帶寬被占用(以太網帶寬利用率超過50%就要考慮分段)����,而且無法被路由到其他網段����。顯然,NetBEUI協議不能用于廣域網���。熱點網絡
而TCP/IP的最初設計思想就是要將其用于分組交換的廣域網��,它的可路由機制及良好的跨網段親和性�,確定了它目前無可爭辯的主流協議的地位�����。因此��,任何對TCP/IP持懷疑和抵制的態度都是不明智的���,而我們需要做的,是如何盡快地將網絡中現有的通信協議遷移到TCP/IP協議上��。
而Windows NT將TCP/IP作為其內置缺省協議�����,對TCP/IP提供了良好的內在支持�,從而最大限度地減少了用戶在實施TCP/IP方案時可能遇到的困難,但這并不意味著不會遇到麻煩。雖然微軟在這方面花了很大的力氣,但目前仍然需要人工的較多干預���,而且涉及面相當廣泛���。
二、建立WINS服務
我們知道��,WINS是名稱服務的一種實現形式�,它和Internet上廣泛使用的DNS的作用是一樣的���,都是將計算機名(在DNS中稱為主機名,通常兩者是相同的)映射到它的IP地址上����,以便兩臺機器在網絡層建立起通信連接。不同之處在于WINS是自己動態維護的�,不需要人為的干預���,而DNS則是靜態的���,要完全依賴人工的維護。除非你的網絡有Internet/Intranet方面的應用�����,DNS可不予設置�����。
在小型局域網中��,你可不考慮WINS服務的建立��,你的網絡也不會因此而受到削弱,因為在Windows NT上���,客戶機可采用廣播方式找到那些出現在瀏覽器(不是指Internet Explorer)中,開放了各種資源(如:共享目錄�、打印機)的機器。熱點網絡
而在廣域網中���,為了抑制廣播風暴的發生,路由器是不轉發廣播信息的�,這樣一來,基于b節點(如沒有設置WINS選項的Windows 95/98客戶機缺省為b節點���,這些客戶機采用廣播方式聯絡)就會導致無法跨網段進行資源的共享�����。這時�����,如果你安裝了WINS����,這個問題就會迎刃而解�。因為,你的機器可以利用查詢運行有WINS的NT服務器����,來準確地定位到你想使用其共享資源的機器的IP地址。
當然���,你可以在廣域網中只建立一個WINS服務器��,但為了增強網絡的容錯性���,有必要建立兩個WINS服務器,一個作為主WINS服務器(Pirmary WINS Server)���,一個作從WINS服務器(Sencondery WINS SERVER)��,并為他們建立起伙伴復制關系,以確保兩者的數據一致性����。
圖2顯示的是WINS數據庫中的內容(該WINS服務器架設在10.228.16.0網段),從中我們可以看見有三個網段的WINS客戶機在WINS服務器作了動態映射�����,在主瀏覽器(駐留在PDC中)的配合下��,其他客戶機只需訪問這個數據庫�,就可以很方便地查詢到這些身處不同網段的機器的IP地址����,從而確保了跨網段瀏覽的連續性�。
三、建立DHCP服務
DHCP可以允許客戶機動態地從DHCP服務器上獲得IP地址一段時間的租用權�,這不但可以有效地節省了IP地址的占用�,而且能極大地簡化系統維護負擔,在廣域網的環境中�,采用手工分配、而不使用DHCP方式給客戶機分配IP地址的行為����,是不可思議的�����。
當你將客戶機設置成自動獲取IP方式后(如Windows 95/98����、Windows NT客戶機上選中“從DHCP服務器獲取IP地址”),剩下的有關TCP/IP的設置工作完全可由DHCP服務器代你完成����,在Windows NT的廣域網環境下,一般需要對DHCP服務器中的四個選項作如下設置:
1. 003選項―給客戶機指定默認網關���。
2. 006 DNS―指定DNS服務器的IP地址服務器(如沒有����,可不設)�。
3. 044 WINS/NBNS―指定WINS服務器的IP地址。
4. 046 WINS/NBT節點類型―設為0x8 h-節點類型���。
其中����,NBNS(NetBIOS Name Service)、NBT(NetBIOS Node Type)的具體描述細節可參考RFC 1001技術文檔���。
一旦上述參數在DHCP服務器上設置完成后���,在客戶機重新引導時,這些參數就會和出租給客戶的IP地址一起將作為客戶機的既定配置�,一起下發給它們使用���。
在廣域網的規劃設計中�����,你可以集中在一臺DHCP服務器來管理整個網絡的IP地址的分發及其有關TCP/IP參數的設定,這臺DHCP服務器可以為來自不同網段的IP地址申請作出正確地響應����,并為它們分發出相應網段的IP地址。
由圖3可知�,在DHCP服務器(IP地址:10.228.16.1)上,劃分了四個網段�,分別對來自四個網段的客戶機的申請作出響應���,分別給予相應網段中的動態IP地址。
在右側“選項配置”中���,我們可以看到�,已設置好了上述的四個選項設置���。
以10.228.16.0網段為例:
1. 給客戶機指定的默認網關為10.228.16.31。
2.給客戶機指定的DNS服務器有兩個���,分別為10.228.16.6�����、10.228.0.1�。
3. 給客戶機指定的主WINS服務器為10.228.16.6�����、從WINS服務器為10.228.16.3�����。
4. 規定的客戶機的節點類型為0x8節點(即h節點―先通過WINS查詢�,失敗后����,再由廣播方式查詢)���。
當客戶機引導完后��,通過WINIPCFG命令(Windows 95)�����、IPCONFIG/ALL命令(Windows NT)來查看客戶機獲取的各項設置是否正確��。
四、建立信任關系
要在Windows NT的多域之間達成資源的共享和帳號的異地校驗(又稱:轉移驗證)���,建立起信任關系是必不可少的一個環節,在具有信任關系的兩個域中���,將自己的資源提供給別人使用的域稱為信任域(Windows NT 4.0改稱為委托域),能夠訪問到其他域資源的域稱為被信任域(Windows NT 4.0改稱為受托域)��,至于是建立雙向信任關系還是單向信任關系可根據用戶的實際需求來加以限定�����。
由圖4實例�,我們可以得知:
1.本地域PDC1已將自己的資源開放(或稱委托)給HK-PDC�、HY-PDC、WC-PDC三個域使用�。
2.HK-PDC、HY-PDC也已將自己的資源委托給PDC1使用了��。
3.PDC1與HK-PDC之間���、PDC1與HY-PDC之間都是雙向信任關系����。
4.PDC1與WC-PDC之間是單向信任關系���。在該例中����,PDC1信任WC-PDC,但WC-PDC卻不信任PDC1���,這樣一來��,結果就是WC-PDC可以訪問PDC1的資源,而PDC1卻不能訪問WC-PDC的資源����。
借助這個實例,我們可以看到����,除了Microsoft推薦的幾種多域信任關系外,用戶也完全可以根據行業特點及實際需求�����,靈活多樣地設計出切實可行的多域信任關系來。
五���、結束語
本文通過對一個實例的解剖,簡要介紹了在將Windows NT應用于廣域網建設中所應注意的四個方面的問題�,目的在于,將日常工作中積累起來的一些管理Windows NT的經驗貢獻出來�,給廣大同行參考斧正,以求共同提高����。熱點網絡
聯絡地址:zhanghui@netease.com,歡迎來信交流
