Windows 2000—网络更精彩
20世纪的最后十年是网络技术大放异彩的十年,在新千年推出的Windows 2000继承了上代产品Windows NT 4.0在网络方面的强劲功能,并结合了许多最新的网络技术,可以说是网络操作系统的集大成者。
Windows 2000支持了许多TCP/IP协议的附加功能,增强了与Unix系统的互联能力;对VPN技术的支持,使企业可以在Internet上搭建自己的虚拟专有网;内置的路由功能,使Windows 2000 Server可以作为一个拥有图形化界面的路由器;新加入的QoS服务,能为重要应用、实时声音和视频应用程序提供可靠的网络服务;功能丰富和强大的语音和媒体服务,使三网合一不再只是梦想。
下面我就将Windows 2000这些激动人心的新功能一一道来。
新增的TCP/IP功能TCP/IP协议作为一个通用的网络协议,它的核心功能的实现是相同的,但附加的功能各厂商则根据自己的情况加以取舍。微软在Windows 2000中引入了许多以前版本的Windows中没有提供的TCP/IP功能,使用户可以获得更好的网络性能。
Windows 2000增强了TCP/IP包过滤的功能。管理员可以根据TCP端口、UDP端口、IP协议ID、ICMP类型、ICMP编码、源地址和目标地址进行包过滤,实现比如在POP服务器上限制只有本地局域网的计算机才能读取邮件这样的安全功能。
Windows 2000中的TCP/IP组件支持RFCs 1122、1123、1323以及选择性确认(RFC 2018)等规范。遵循RFC 1122和1123规范可以保证与其它操作系统主机互联的兼容性;RFC 1323定义了在高带宽、高延迟的网络上(比如卫星线路)TCP的运行方式;选择性确认增大了TCP的窗口大小,并且当出现差错时,只重传窗口中丢失或错误的帧,而不是重传整个窗口,这就极大地提高了TCP的传输速度。
Windows 2000扩展和提高了原来的IP管理方案。Windows 2000中的DNS服务支持SRV记录,以帮助客户找到网络中提供服务的DNS服务器。DNS服务也与活动目录集成在一起,DNS数据库可以作为活动目录数据库的一部分由活动目录在整个企业网络中复制,这就解除了为DNS服务另外设计一套复制机制的重复劳动。DHCP服务也实现了与DNS服务和活动目录的集成。当DHCP给计算机分配IP地址的时候,DNS和活动目录中的信息会同时动态更新。另外,通过活动目录授权的DHCP服务才能启动,避免了非法安装的DHCP服务给网络造成的混乱。
低成本高安全的虚拟专用网(VPN)VPN一经推出,便迅速得以流行,这主要是缘于它在降低成本和提高通信安全性方面的优点。
早期的企业要搭建自己的跨地区甚至跨国家的网络,只有自己搭建或者从网络运营商那里租借线路来实现,而这样不仅成本极其昂贵,而且安全性也得不到保证。伴随着Internet的迅猛发展,VPN技术应运而生。利用VPN技术,企业只需由ISP接入Internet,便可以与也接入Internet的另一端的分支机构安全地通讯。所付出的只是连接Internet的费用,而且信息在Internet上加密传输,安全性也得到了可靠的保证。
各种VPN的实现中都使用了"隧道"技术来传输数据。如(上)下图中所示,数据在通过"隧道"传输前,被封装为公共网络中传输所使用的报文格式,然后进行传输,到达"隧道"终点后,再除去添加的封装信息,还原为原来的报文格式。
Windows 2000中提供3种技术来创建VPN:
Point-to-Point Tunneling Protocol (PPTP)--这是在NT 4.0中使用的VPN技术,建立在PPP协议基础上,具有验证和握手功能,缺点是只能应用在拨号连接线路上。
Layer 2 Tunneling Protocol(L2TP)--L2TP被认为是PPTP的增强版。相比PPTP的一个主要优点是支持MPPP(Multilink Point-to-Point Protocol),并且可以在许多Internet连接线路上运行,如帧中继、X.25和ATM,支持帧头压缩可以比PPTP消耗更少的带宽。
IP Security(IPSec)--IPSec是下一代的隧道协议,相比PPTP和L2TP其最大优势在于标准化,所有网络厂商都纷纷声明对该技术的支持。IPSec通过通信双方身份验证和数据加密,使信息能更安全地在公共网络上传输。
Windows 2000中VPN实现起来也很简单。"网络连接向导"提供了一个统一的界面来设置拨号连接、VPN和直接电缆连接等网络连接。在这个界面里,首先建立一个连接Internet的拨号连接,然后建立一个VPN连接,VPN就设置成功了。要连接远程网络,只需先通过普通的PPP服务连接上Internet,然后通过虚拟的VPN调制解调器再拨一个号,这个号就是远程VPN服务器的IP地址或主机名。接下来进行登录验证后,就和远程VPN服务器在Internet上建立了一个虚拟的隧道,远程网络在感觉上就成为了一个本地局域网。服务器端的设置通过路由和远程访问服务的MMC界面来实现,其设置工作也非常简单(见下图)。
强大的路由能力从NT 3.51开始,微软就将路由功能集成到了操作系统中,使基于NT Server的计算机可以执行一些简单的路由工作,但这个服务实际上几乎没有在实际中得到应用。在Windows 2000中集成的路由和远程访问服务大大增强了这方面的功能,使一些小公司不用购买昂贵的路由器就可以实现网络的分段,并且管理是图形化的方式,而不是令人望而生畏的字符模式。
静态路由对于一些小型网络和路由变化很小的网络来说,比动态路由具有更大的优势。在NT 4.0中设置静态路由是在命令行方式下使用Route命令来输入,在Windows 2000中可以在路由和远程访问服务的MMC管理界面下进行设置。这样静态路由的设置就更为方便了。
大型网络中,网络的变化是经常发生的,由系统管理员设置静态路由的方式很难及时反应网络的变化,这时使用动态路由协议几乎是唯一的选择。Windows 2000不仅继续支持NT 4.0就支持的RIP协议,也支持更有扩展性的OSPF协议。
RIP协议从1982年开始使用到现在仍然是一个广泛使用的路由协议。RIP协议属于距离矢量路由协议,它的第一个版本RIP v1具有许多缺点,比如不支持无类子网划分、定期向其它路由器广播自己的路由表、没有安全验证等,被网络工程师戏称为"唧唧喳喳"的路由协议。第二个版本的RIP v2则克服了上述缺点,但由于距离矢量路由协议的固有缺点(路由汇聚慢、无谓的网络带宽消耗和路由选择不佳等),限制了该协议在大型网络中的使用。不过RIP协议配置起来比较简便,使得在中小网络中它还是得到了非常广泛的使用。作为链路状态路由协议的OSPF协议非常适合作为中型和大型网络的路由协议。OSPF协议在网络状态发生变化时能够很快将变化了的路由信息通知网络中的路由器,快速地实现路由汇聚。OSPF协议选择最佳路由的依据比RIP协议更细致,所以可以更好地进行路由选择。但OSPF协议规划和配置起来就比RIP协议复杂了许多。
Windows 2000对上述两种路由协议的支持,使得Windows 2000具有很大的伸缩性,可以满足不同规模企业的要求。
一些象网络会议、远程教学的应用,一台主机需要发送同样的内容给多台主机,采用单点发送的方式会造成这些重复数据在网络上被多次发送,浪费了带宽,而使用广播方式会造成网络性能的显著降低,而且广播是无法通过路由器转发到其它网段的,这时可以使用多点发送的方式来进行通信。
Windows 2000通过支持TCP/IP协议栈中的IGMP v2协议来提供这种服务。IGMP协议使用IP地址规范中的D类地址(首位为224~239)作为多点广播地址,从中分配一个IP地址给参与网络会议的各计算机,发送数据时以该地址作为目标地址,则数据只需发送一次就可以到达多台主机。Windows 2000 Server内置了一个IGMP的路由器和代理,通过这两个服务连接到Internet的MBONE(Multicast Backbone)区域,就可以为内部Intranet提供接受和发送IGMP报文的功能。
IGMP路由器和代理的设置可以通过设置路由和远程访问服务中IGMP的属性来完成(见下图)。
服务质量的承诺(QoS)为了在网络上传输需要保证服务质量和优先级的信息,Windows 2000还提供了QoS(Quality of Service)的管理功能。QoS的彻底实现需要网络的全面支持,不仅操作系统和应用程序要支持QoS,网络中的路由器和交换机也必须支持QoS,如果要在Internet上实施QoS,那么通信中涉及的所有ISP都应当支持QoS。尽管这在实际上比较难以做到,但用户仍会从Windows 2000对QoS的支持中受益。
QoS要解决的主要是通信中的两个问题:延迟和抖动。
延迟主要来自路由器转发报文的延迟,单个或者几个路由器延迟还不太明显,当报文要穿越许多路由器时,各路由器延迟的累加就不能忽略了。延迟对于象视频点播这样的单向信息传送的应用并不是问题(每个报文都以相同的延迟到达目的地),但对于网络会议这样信息需要双向传送的应用来说就不可容忍了(想象一下与会者说一句话后,要等上几分钟才能听到对方回答这样的情形)。
抖动则是由于报文在分组交换网络中传递时,可能每个报文沿着不同的路由路径到达目的地,使得每个报文的延迟各不相同。在IP电话这样的应用中,就会出现话音忽快忽慢的情况。
Windows 2000内置或者在Resource Kit中提供了相应管理工具、服务和APIs来支持带宽预留、流量控制和服务优先级等QoS标准。
RSVP(Resource Reservation Setup Protocol)使用了类似于电话网络的技术来减少抖动和为应用预留带宽。在RSVP通信方式下,客户机向服务器首先发送一个PATH消息。那些转发PATH消息的设备将自己加入到PATH消息的路径列表中,并为这个连接分配相应的带宽资源,最后到达服务器。之后服务器向客户机发送一个RESV消息,该消息沿PATH消息传送的路径返回客户机,这时路径中的所有转发设备都要确认自己是否已经为该连接分配了带宽。通信正式开始后,客户机还会定期发送PATH消息,让转发设备继续保留这次连接所分配的带宽,直到通信结束,用一个特殊的PATH消息通知转发设备释放所保留的带宽。该过程如下图所示。RSVP为通信双方确保了一定的网络带宽,而且保证报文始终沿着一条固定的路径传送,也就避免了抖动问题。
流量控制是操作系统控制哪个进程可以得到更快的处理,相应地使用更多的网络带宽。
对于一些关键事务来说,发送可能是间歇性的,采用预留带宽的方式没有太大意义。这时可以使用服务优先级(Diff-Serve)的方式,在某服务对应的IP报文头中的"服务类型"(Type Of Service)段填入优先级。转发设备根据这个数值将更高优先级服务的报文优先发送,保证关键的业务得到及时地处理。也可以在数据链路层实现优先级定义,在帧中加入标签对不同优先级别的数据加以标识,IEEE 802.1p描述了这项技术。
上面提到的这些QoS技术在应用中如果不加控制,QoS不仅起不到保证服务质量的作用,反而会带来负面作用。如果大家都为自己的任务申请最高的优先级、要求保留足够的带宽,结果是与没有实施QoS一样,甚至由于QoS加入了一些控制信息,使网络性能更加恶化。QoS许可控制服务(QoS Admission Control Service)就是为了避免QoS被滥用而引入的。QoS许可控制服务使用策略的方式决定哪种资源请求可以批准、哪种请求应被拒绝。策略基于网络拓扑、可用资源、用户、组和应用程序定义,保存在活动目录中,能通过活动目录的机制在整个企业网络范围内生效。
统一网络目前实际中有三种网络共存:数据网络、语音网络和有线电视网络,不能不说在资源上颇为浪费,最好能有一种网络既可以传输计算机的数据,又可以提供语音和视频服务。因此,要求三网合一的呼声越来越强烈。
但是,三网合一并不是简单地将三种网络适当改造,然后用适当的接口将它们连接起来就可以了。每种网络是针对对应的应用而设计的,不可能很好地完成其它应用的要求,比如语音网络不能有效地传输计算机数据,更不适合传输宽带视频信号,计算机网络也不能保证语音和视频信号的实时性和服务要求。未来的网络应当是在同一个网络平台下,运行同一个协议族,为语音、数据和视频信号的传输提供可靠的服务。这要求该网络既具有底层传输技术的多样性,又具有高层应用的多样性。目前看来,只有计算机网络可能胜任该项工作。
现有的计算机网络首先必须在底层加以改造,解决网络带宽问题,才有可能负担语音和视频信号的传输,在上层也必须设计相应的应用和服务来提供语音和视频功能。Windows 2000作为新一代网络操作系统,内置了许多支持三网合一的特性。
在Windows 2000中集成了微软公司著名的语音服务产品NetMeeting 3.0。NetMeeting能在两个IP主机之间建立语音、视频或者数字会议,并且与活动目录通过ILS(Internet Locator Service)集成在一起。呼叫方可以输入被叫方的网络登录名,从活动目录查找到对方现在所在主机的IP地址,建立起呼叫,然后双方开始网络会议,可以交换文件、讨论或者共享应用程序,甚至共享桌面。
Windows 2000中还提供了一套开发数字语音应用程序的接口函数库TAPI 3.0。TAPI 3.0能支持传统的PSTN电话和IP电话两种电话,为开发人员提供了一个良好的开发环境,它将呼叫控制的功能抽象出来,在开发时开发人员无需考虑将要连接到何种网络上。在TAPI 3.0中集成了传统电话的媒体流控制功能,采用COM组件模式,允许以C、C++和VB等多种编程语言来编写TAPI应用程序。除了支持传统电话的功能以外,TAPI 3.0还支持标准的H.323会议和IP广播会议,并提供QoS控制功能。
Windows Media(媒体服务)是Windows 2000提供的又一优秀产品,包括前台的播放器(Media Player)、后台的服务器(Windows Media Service)等组件,能广泛应用在娱乐、培训和远程教育方面。
网络在飞速发展,Windows 2000将这些优秀的网络技术兼收并蓄,同Windows NT 4.0相比,它不再仅仅是一个文件和应用程序服务器操作系统,而是一个强大、坚固、易管理和更安全的网络操作系统,将很大地提高个人的工作效率和企业的生产效率。
利用Windows 2000快速建立小型网络
在商业竞争日趋激烈的今天,中小企业如何应对多变的市场环境,使信息的采集、处理更加便捷,信息沟通更加流畅,采用IT技术就成为大多数企业的选择。我们公司是一家小型广告公司,每天都要为客户进行广告的策划、设计并负责与媒体联系,这些工作当然离不开计算机的支持,特别是网络的支持。为此我们公司建立了一个小型星型拓扑结构的以太网络,在网络操作系统的选择上当然是采用微软的最新产品Windows 2000,通过这次部署Windows 2000,使我们深切感受到Windows 2000在网络部署上的方便性,下面把我们的部署过程介绍给大家,使大家进一步了解其过程有多么快捷。
首先当然是必须建立物理网络,我们采用星型拓扑结构连接了八台设备构成以太网,只要通过简单的物理连接就可以把网络建立起来。重要的是如何部署Windows 2000操作系统,我们采用了无用户参与的或脚本化安装,这种方法需要建立网络分发共享和回答文件,以在每台机器上自动运行安装程序。有些人可能使用过这种方法部署WinNT,在Windows 2000中这种方法已经作了显著的改进,特别是在网络配置和设备安装方面。例如,如果您想在Windows 2000中安装额外的设备驱动程序,在做无用户参与部署时,只需把驱动程序放到指定目录,安装程序会自动使用它。在进行网络配置时会做一些变动,如果您想很方便地配置网卡,可以直接使用unattend文本文件。另一个较大的改进是安装程序管理器,它是一个新的安装管理工具,可以建立网络分发共享和回答文件。
使用无用户参与安装方法部署Windows 2000专业版的第一步是:让一台网络计算机充当分发服务器,让它存放所有Windows 2000专业版安装文件,它必须能让所有想安装Windows 2000专业版的计算机通过网络访问到。下一步要在分发服务器上运行安装程序管理工具,运行后系统会提示一系列向导屏幕信息:例如安装时的用户交互级别,每台目的机器的计算机名、管理员口令,目的机器是在工作组中还是在域中,在目的机器中是否安装网络打印机,Windows 2000专业版安装分发文件夹的位置,回答文件的名称和位置(缺省文件名为unattend.txt)。最后把所有源文件复制到分发文件夹,同时确保Windows 2000产品CD可以使用,当安装程序管理器运行完以后,就建立了分发文件夹,它包含所有必要的Windows 2000专业版安装文件和回答文件,文件名为unattend.txt,该文件会回答Windows 2000专业版安装程序提出的问题。
下一步是在目标机器安装Windows 2000专业版,由于我们有些机器已经安装了以前的Windows或Windows NT版本,只要用它们连接到分发文件夹并运行winnt32.exe即可;如果要重新安装一份新拷贝,只要用网络引导软盘启动计算机,连接到分发文件夹并运行winnt.exe,再次指定回答文件的名称。通过在每台客户机重复上述过程就快速完成了系统部署操作。
由于在我们的网络环境中计算机的硬件和软件配置完全不同,我们采用无用户参与的安装,使安装程序在每台计算机上分别运行,这样使部署操作具有最大的灵活性。
Windows2000――最佳的网络运用平台
在千喜年即将到来的今天,网络运用已变得十分普及,据统计,全球有1.48亿人在进行着Internet的冲浪,并有数不清的大中小型企业在应用网络进行管理与服务,难以计数的科研、教育与军事部门在运用网络办公与传递各类信息,就连日常生活中人们谈论网络的话题也变得十分流行。这就是信息或数字时代来临的一个特征。正是在世纪之交的重要时刻,几经酝酿的Windows2000诞生了。它融合了众多网络平台的优点,并发展了微软原先开发网络平台的诸多先进技术,运用起来不仅功能强大,而且便捷实用。下面就从几个侧面谈谈我在应用Windows2000支持网络服务方面的感受。
Internet冲浪更加自如
如今进行Internet的网上冲浪已成了一种时髦,人们或出于寻找有用信息、查询科研资料,或为了宣传产品、传递商业信息,或想联系客户、结交朋友等,都常常倾心于国际互联网。我虽不是一个"网虫",但也因研究工作需要时常忙碌于网上。因此,使我对用于网际浏览的工具特别在意。由于Windows2000中集成了新的IE5(Internet Explorer5)浏览器,使我在Internet上冲起浪来倍感自如。
IE5可以算是众多Internet测览器中效能较好的之一,它采用了 IntelliSense技术,能帮助用户、管理员和应用程序开发员完成最经常的日常事务,并具有脱机测览功能,是一个使用方便、速度快捷、功能强大的浏览工具。IE5与Windows2000 Professional集合在一起,不需要单独安装。
通过对IntelliSense技术的运用,IE5能自动完成最频繁的 Web访问任务。我在查询那些长字符串网站时,常利用其"记忆式键入"功能,只输入所查网站的前几个字母,即可以顺利完成 URL地址的全称。为了省事,我还常通过"智能表单"来记忆一些重要的 Web表单数据。
另外,我所使用的记本电脑同时装有内置Modem和网卡,过去使用的平台是集成了IE4的Windows98,我常为上完互联网后又要连接办公室的局域网须来回手动变更配置而烦恼。而改装Windows2000后,我为所需进行连接的每个网络都配置了相应的代理服务器,尔后,当我启动某个网络连接时,由于IE5具有的智能化网络设置和检测技术,使Internet Explorer不再请求手动更新,便自动使用该连接对应的代理服务器设置,从而使我方便地实现了在局域网连接转与拨号连接间的转换。
当然,与以往的浏览器相比,新的浏览器中搜索助手能够使用多个搜索引擎对网络内容进行搜索,更有利于提高效率。并且,其多语言支持性能也迎合了当今国际社会多元化的需要,省却了很多来自其语言平台有用信息需另安装专用语言支持系统的麻烦。
轻易实现个人PC与专用网络"无缝连接"
我们现在所处的是一个竞争激烈的社会,不论是IT人士或是其它依靠网络办公的成员,有时仅靠8小时以内的常规工作时间很难完成自己手里的业务,往往不得不把没干完的活拿到家里来干;或者利用在家闲暇的时间完成部分工作,然后再到办公室去接轨。我作为这类人员中的一分子,以往最大的苦恼就是找不到一个能适应家庭环境与办公环境的通用网络平台。于是只好在下班时只简单地备分一些重要数据,回家后还要重起炉灶多做一些重复性的工作。但自从应用了Windows2000起,这种做一些无用功的苦恼便迎刃而解了。原因就在于,Windows2000中所具有的VPN(Virtual Private Network)技术,帮助我实现了个人PC机与办公室专用网络服务器之间的自然连接。
VPN 即"虚拟专用网络"技术,是Windows2000中刻意集成的一项网络应用技术,其通过内置可靠的路由服务,能够以广域网(WAN)和 Internet为通道向使用者提供局域网间路由服务。应用VPN,能够有效地模拟办公室或公司内部的专用网络环境,使移动用户外出时或员工回家时仍能继续工作。
由于在Windows 2000中,不论何种连接都可以在"我的网络位置"的属性中,通过"创建新的网络连接"来建立。因此,它既可以建立到办公区或公司内部网络的连接,也可以建立到Internet/虚拟专用网的连接,还可以建立接受直接线缆连接的网络。如果你要图省事,甚至可以采取设定"连接管理器"的方式。即把拨号所需的单位电话或者ISP电话号码自动地分配到用户的桌面上,这样无论你身处何处,Windows 2000都会自动地选用最佳的电话号码来进行拨号。
另外,如果没有网络设备,还可通过软件来实现虚拟网络服务。我单位办公室的服务器可以登陆国际互联网,我即在上面启用了PPTP/L2TP(第二层遂道操作)协议。然后在自己的笔记本电脑上先通过普通的PPP服务登陆Internet,然后通过虚拟的PPTP调制解调器再拔-个号,该号即为服务器的IP地址或者机器名。当通过登录验证窗口后,我便就在Internet上建立了一个虚拟的隧道。当我在家中使用笔记本电脑时,仍可顺利与办公定的服务器联通,就类似在局域网中进行工作的情景。
当然,我也常把笔记本电脑中的大容量工作内容复制到台式机中。过去往往采用外接硬盘等方法,自从安装了Windows2000后,我便通过选择支持红外线的虚拟端口形式,顺利地实现了将笔记本电脑中内容复制到台式机中,并保证正常浏览的目的。
自由建立Web网站
运用网络的人士,在遨游过众多网站之后,都免不了会萌发建立自己的Web网站的想法,并借此体现自己的主张,或开设个性化的网上园地,或进行企业性商业宣传、营销等等。而Windows 2000内置的强大Web服务功能,正好为实现这样的愿望提供了可能。
凡用过微软WindowsNT Server4.0的人士大都领略过内置于其中的IIS(Internet Information Server 4.0 Web服务器。其以速度优于其它系统的Web服务器而著称。而在Windows 2000中,进一步更新了IIS版本,即Internet Information Server 5.0。它具有以下几个特点:
――比原版本提供了更加方便的安装,将随同安装Windows 2000 Server 时自动安装好,省却了老版本另行安装的麻烦。
――提供了很多的管理向导,如以"权限设置向导"来帮助设定和协调Web访问和NIFS文件的访问权限,"服务器证书向导"来给服务器安装电子证书等。
――具有对ASP增强的支持,如,无脚本ASP页面的快速处理、HTTP和HTTPS(安全通道访问方式)共享状态等。
――可在单个IP地址上运营多个网站等。
而且,新IIS 一个重要特性就是便于多用户在一个基于Web的环境中共享和发布信息。在"共享文件夹"向导的指示下,可方便地将一个共享文件夹设置成一个安全的Web地址。根据这一特性,我通过打开桌面上的"我的网络位置",然后增加了一个新的网络位置,并将它设为http://myserver/share,从而实现了象平常访问普通文件夹那样的访问远程Web文件夹中的文件。
当然,新的IIS还支持分布式发布和版本控制标准(Distributed Authoring and Versioning),以及对新的一些安全机制(如Digest Authentication,Server-Gated Cryptography and Fortezza)等提供支持。
总之,Windows2000同时集成了最新最强的 Internet应用程序服务,并拥有覆盖众多操作系统的完整Internet服务,通过它可对各种变化做出快捷的反应,高效地部署解决方案。同时,新的通信和网络服务会使部署 VPN更方便,并可将现有投资带入web,还可获得更高的可靠性、稳定性和扩展性。
俗话说,一块好玉需要好的雕琢与懂行的鉴赏家,Windows2000无疑就是一块好玉,但其价值需要我们这些使用者去发掘。
Windows2000网络新功能
Windows2000作为Microsoft最新一代网络操作系统,为用户提供了一套完整而强大的网络解决方案。早期Windows NT4.0提供的网络功能,根据技术本身的发展而在Windows2000中得到相应改进;同时,Windows2000还吸收容纳了近年来出现的几乎所有的网络最新技术成果。RADIUS,VPN,IPSec,OSPF等在Windows2000中均提供了对应的实现方法。应用Windows2000,用户可以根据业务需要构建各种功能强大的Intranet/Internet商务解决方案。本文摘要讲述Windows2000对DNS、DHCP、RRAS、VPN和RADIUS等一系列重要网络功能的最新支持。
一、DNS:
Windows2000采用DNS作为网络操作系统中的名称服务,Windows2000中的DNS以IETF为基础,与RFC兼容,可以与所有符合RFC标准的DNS共存。Microsoft DNS在Windows2000网络体系中不是唯一的选择,只要支持动态更新和SRV资源定位记录的RFC兼容DNS均可做Windows2000的名称解析服务。然而,由于Windows2000所带的DNS可以与Windows2000的ADS集成,提供了更多的功能。因而将Windows2000的DNS应用于Windows2000或其他网络操作系统中是一种最理想的网络名称解析解决方案。
Windows2000 DNS提供动态与静态两种主机名称解析方式,两种方式之间可以自由转换。静态主机名解析是一种传统的主机名解析方式,它将大量主机名与IP地址的对应关系存放在一个特定的数据库中,缺点是无论主机名或IP地址有任何变化均需要由管理员对数据库进行更新,产生较大的管理负荷。基于RFC2136的动态DNS根据IP地址或主机名的变化,自动在对应数据库中做出更改,减少了中型或中大型网络的管理负担。客户端在初始化时首先查询DNS服务器以确认本身记录存在于DNS服务器数据库中,如果查询不能发现对应记录,则向 Primary DNS发送注册请求,DNS收到注册请求后在保证记录不冲突的前提下添加此项纪录,如果记录有冲突,注册请求失败,DNS客户端转向第二个Primary DNS注册。向DNS的注册过程由DHCP Client服务完成,可以提供给DHCP客户端用户,有确定IP地址的非DHCP客户端和RAS用户。
Windows2000的DNS与ADS的紧密结合为DNS增添了许多新的特性和功能。Windows2000的ADS是一个面向对象的X.500兼容的数据库,将所有的网络资源组织在一个树状结构体系中。ADS数据库中所有对象以容器或叶子的形式存在,DNS与ADS集成后所有DNS数据加入ADS数据库中,DNS的原有Zone变成ADS中的容器,而原DNS的记录变成ADS中具有多个属性值的对象。在ADS集成环境下不存在单独的DNS数据库。Windows2000 ADS采用多主复制,所有ADS数据存放在多个DC中,Windows2000通过系列方法避免数据复制过程中的冲突,DNS与ADS集成后不同DNS中的记录与ADS依照多主复制形式进行。多主复制减少了首要服务器上的负载,在中大型网络中性能优势非常明显。
在数据复制方面,Windows2000 DNS应用增量区域复制(IXFR)取代完全区域复制(AXFR),从而减少区域复制所产生的数据通讯;应用Unicode Character取代标准的ASCII命名体系,使NETBIOS与DNS名称之间能够实现方便的转换;应用Domain Locator功能使Windows2000及其先前产品均能够查找DC实现登录。
二、DHCP:
DHCP是在IETF RFC中定义的一套动态分配IP 地址的开放标准。应用DHCP服务,管理员不必再为每一台计算机手工分配IP地址,可以实现IP地址的动态集中分配和管理。Windows2000 Server针对传统DHCP功能的局限做了一些新的扩展。
Windows2000中实现了DHCP与DNS结合。由于在Windows2000中DNS数据可以动态更新,配合DHCP对IP地址的动态分配,使从主机名解析到IP地址分配均可以通过Windows2000 Server集中配置完成。DHCP与 DNS的集成方案在业界还没有最终的确定标准,在RFC中尚属Draft一级,但这不妨碍Microsoft将其作为一个可选功能加入Windows2000中所给用户提供的方便。
先前传统的DHCP一直存在一个由于多个DHCP Server存在而产生的IP地址冲突问题。网络合法的DHCP IP地址分配有专门管理员负责,管理规范可以避免冲突,但如果存在非法的DHCP Server,IP地址一旦冲突,会给网络正常应用带来很大的麻烦。Windows2000增加了DHCP的注册功能,Windows2000中DHCP Server只有在ADS中注册以后才开始响应客户端的IP地址请求,而注册需要得到DS的验证。这个过程只有在Windows2000网络体系中才能够完成。
DHCP在Windows2000中可以进行实时监测,如可以设置当IP资源剩余10%时报警,IP资源耗尽时报警等监测方法。此外,利用Windows2000的Cluster功能,DHCP可以在两台Cluster机器上面使用同一套 IP地址工作。正常情况下只有一台机器响应客户端的IP请求,当Cluster机器中有一台出现问题时,另一台在很短时间内开始工作,这个过程对用户是透明的。Windows2000中DHCP还可以分配Multicast地址范围,响应Multicast的地址请求。
三、RRAS:
Windows2000的RRAS为远程拨号客户端提供了一个可以应用TCP/IP、NETBEUI、IPX/SPX等多种网络传输协议,通过PSTN、ISDN、ATM和VPN等多种途径访问企业网络的安全途径。
PSTN、ISDN 在Windows NT4.0已得到较好的支持,Windows2000在易用性方面有进一步的发展,如提供Connection Manager Administration Kit,简化了客户端配置,集中管理客户端的拨号属性、图形界面,并可以向客户端发布更新地址簿信息。
ATM (Asynchronous Transfer Mode)提供了一种可以在多种媒质中使用的高速传输技术,这一技术综合了一系列复杂的标准。由于成本高、技术复杂而且与传统的LAN兼容方面的一些问题,ATM在实际应用曾经碰到了一定阻力。ATM作为主干的网络方案很多,而分支网络大多仍然沿用传统的LAN网络。另外,将ATM作为网络的一部分单独引入的例子也有很多。近来随着ATM技术的普及,ATM的实施成本也在降低,一些完全采用ATM的方案不断出现。Microsoft在早期的Windows产品,如Windows 95,Windows NT4.0中对ATM都有一定程度的支持,而在Windows2000中加入了更高级别的支持。在Windows2000中新引入的NDIS5.0,是一种面向连接的网络驱动接口标准。Microsoft在Windows2000中加入了LANE client, IP/ATM components, PPP/ATM components, a Windows Sockets Service Provider, and UNI signaling modules for end stations等一系列功能模块,用户通过这些接口可以直接访问ATM服务,而硬件生产厂商在这些接口基础上做较少的开发就可以生产不同硬件的驱动程序。
在Windows2000中RRAS的一个突出特点是与Routing技术紧密结合,系统中的配置也在一个共同的管理界面进行。针对Routing方面,Windows2000提供了较大的改进。在早期的NT版本中动态和静态路由表技术虽然得到支持,但动态路由表使用RIP协议。在Windows2000中开始支持OSPF协议。RIP是一种经典的动态路由信息协议,配置简单,适合于中小型网络,缺点是通过固定时间间隔的广播与周围路由器交换路由信息,造成较大的网络负载。而OSPF是近年来发展起来的新一代动态路由信息协议,与简单交换路由信息不同,OSPF通过向临近的路由器发送连接坐标信息并且改变连接状态数据库的方式对路由信息进行动态刷新,减少了网络通讯,是一种小型到大型网络中均可以使用的动态路由信息协议。Windows2000对OSPF的支持使Windows2000能够作为路由器在各种规模的网络体系得到应用。
四、VPN技术:
VPN应用隧道技术将不直接连接的两个网络通过公共网络连接起来,在数据传输过程中保证数据的安全性。VPN采用的隧道技术将网络发送的数据重新打包然后转发,在转发过程中保证数据的安全。在安全性方面VPN采用PPTP与L2TP两种协议,PPTP加密VPN隧道两端之间的数据传输,而L2TP采用端对端加密,能够保证数据在服务器与客户端之间进行传输时均处于加密状态。根据实际通讯方式不同,VPN分为Voluntary Tunneling和Compulsory Tunneling两种,前者在访问客户端与被访问的服务器之间建立VPN通道,而后者在两台中介服务器之间建立VPN连接,通讯的客户端与服务器通过已建立的固定VPN通道进行数据交换。两种角色Windows2000 Server均可充当。
L2TP是一种比PPTP先进的协议,它可以支持多种传输媒介,如ATM、X.25和Frame Relay等,而PPTP只支持IP协议下的Internet/Intranet连接。L2TP支持多Tunnel技术,PPTP只支持一个Tunnel。Windows2000支持PPTP和L2TP两种协议,为用户在设置VPN过程中提供了一种更先进的选择。
针对数据在传输中的安全性,Windows2000在VPN中采用IPSec数据加密技术,IPSec是一种Draft级别的RFC标准,是原有安全性基础上的一个重要补充。它处于TCP/IP协议下层,首先验证访问请求者的IP地址和端口地址的合法性,过滤掉不合法的请求,同时在访问双方之间建立安全会话,并对传输的数据进行加密。IPSec的一切功能对使用者是透明的。
五、RADIUS技术:
RADIUS(Remote Authentication Dial-in User Service)是一个在拨号网络中提供注册、验证功能的工业标准。早期的Windows NT网络只能进行NT账号的验证,随着网络规模的扩大,Windows2000需要与多种网络客户端和服务器进行通讯,这就要求作为核心服务器的Windows2000必须能够识别来自不同系统的多种验证加密方法,对不同系统的验证请求统一记录安全日志。Windows2000提供的RADIUS服务可以满足上述要求。
Windows2000的RADIUS服务与RRAS结合可以集中管理远程访问策略,同时集中记录RADIUS访问及Windows2000访问日志。此外,Windows2000还提供了将RADIUS与ADS集成的方法,使RADIUS访问策略存在于ADS数据库中,并与ADS数据库进行同步数据复制。
Windows2000作为当前网络体系最先进的网络操作系统之一,继承了大量最新的网络技术。与Windows2000本身强大的管理功能结合,为用户提供了一个从小型到大型甚至超大型网络的优秀解决方案。整个网络体系不同组件之间紧密结合,继承了Windows体系一贯的方便管理的特点,所有设置均可以在图形化界面下完成,并随机附带了极其丰富的联机帮助文档,大大降低了处理类似方案的技术难度。
被称为新世纪操作系统的Windows 2000系列即将正式发行。在综合了Winows 9x和Windows NT 4.0的各项优点之后,Windows 2000系列将以一种全新的面貌呈现在我们面前,集易用性、稳定性、可靠性、网络性和更好的兼容性于一身。
而被广大企业级用户所关心的Windows 2000 Advanced Server更是在Windows NT Server 4.0的基础上增加了很多新的功能,我们这里主要讲讲其中的DCPromo命令。
熟悉Windows NT 4.0的朋友们都知道,在安装一个Server之前,必须规划好这个Server的角色,是作为PDC(主域控制器),BDC(备份域控制器)还是Member or Stand-alone Server(成员或独立服务器)。而且需要提前规划好网络的逻辑结构,是组成Domain(域)还是组成Workgroup(工作组)。如果是组成Workgroup,那麽其中的Server只能作为Member Server来安装;如果是组成Domain,那麽Domain中安装的第一台Server必须是PDC,以后的Server可以安装成BDC,也可以安装成Member Server,但要注意的是安装BDC之前,域中必须已经存在有PDC,而且,一个域中有且只能有一个PDC。
尽管当Domain中的PDC发生问题时,可以将一台BDC提升(Promote)为PDC,但DC(域控制器,包括PDC和BDC)和Member Server之间却不能相互转换,也就是说当安装了一个Server之后,如果想改变它的功能,重新确定它的角色,从DC变为Member Server,或是从Member Server变为DC,那麽唯一的办法就只能是重新安装Windows NT。因此NT 4.0中这种对于计算机角色的划分和管理模式就给域的规划提出了更高的要求,也给域的维护也带来了很大的麻烦。
我们很高兴地看到,Windows 2000已经很好的解决了这个问题。在Windows 2000 Advanced Server中,计算机不再区分是PDC还是BDC,所有的Server只有DC和Member Server的差别,两者之间还可以非常方便地互相转换角色。而完成这一功能的工具便是Dcpromo.exe命令,它是Windows 2000 Advanced Server中内置的一个命令。
当管理员希望改变一个Server的角色时,只需在命令行状态运行Dcpromo命令,Windows 2000便会自动判别当前计算机的角色,然后弹出一个Wizard(向导)窗口,引导用户一步一步地完成DC与Member Server之间的转换。用户还可以通过查看Dcpromo.log日志来确认转换是否成功。
综上所述,我们可以看到虽然Dcpromo只是一条小小的命令,但它大大提高了Windows 2000的可管理性和易用性。其实这只是Windows 2000对比于以前版本的操作系统众多优越性中微不足道的一点改进,但从中我们也能的的确确地感受到Windows 2000本着尽量为用户着想的开发原则所做的努力。
标签: