Server安装和配置详解.doc

Microsoft Proxy Server安装和配置详解一、Microsoft Proxy Server 安装前的要求一. 硬件要求 Microsoft Proxy Server有像Microsoft Windows NT Server 4.0版本一样的硬件要求。 Windows NT Server 4.0版本的系统要求： Intel和兼容的系统*： o 486/33 MHz或更高，或者Pentium? 或者Pentium PRO处理器 o 最小125 MB的可用硬盘空间 基于RISC的系统*： 与Windows NT Server 4.0版本兼容的RISC处理器 o 160 MB的可用硬盘空间 o 16 MB的内存 (RAM) o CD-ROM 驱动器 o VGA, Super VGA,或与Windows NT Server 4.0兼容的视频图形适配卡 * 找你的经销商要兼容系统和外设的列表。 注： Windows NT Server 4.0的零售版本支持最多四种商品微处理器。从你的硬件供应商那里可以得到对多达321种处理器的支持。 支持的客户机 Windows 3.x Windows for Workgroups Windows 95 Windows NT Workstation Apple? Macintosh MS-DOS? OS/2? UNIX (要求来自Visigenic? Software, San Mateo, California的ODBC客户机软件） 二. 软件要求 在可以安装 Microsoft Proxy Server 以前，服务器机器上必须已经安装好了下列软件: Microsoft Windows NT Server版本4.0 Microsoft Internet Information Server 版本2.0 The Windows NT Server 4.0 Service Pack (提供在Microsoft Proxy Server的CD盘上) 可以把服务器计算机设置成一个独立的服务器，一个初级域控制器 (PDC), 或者一个备份域控制器 (BDC).不过，为了得到最高的安全等级和最好的性能， 我们建议你在设置成独立的服务器的计算机上安装Microsoft Proxy Server.要知道关于成员服务器，PDCs和 BDCs的更多信息，请看你的Windows NT的文件。 要得到最好的超高速缓存性能，强烈建议服务器计算机上至少有一个磁盘驱动器要设置成Windows NT File System (NTFS)的存储体。 在你安装以前 在你安装Microsoft Proxy Server以前, 要完成下列任务： 核实已经安装了Microsoft Windows NT Server 4.0. 核实已经安装了Microsoft Internet Information Server 2.0. 核实服务器上安装了TCP/IP. 核实你的硬件配置 安装磁盘驱动器 Microsoft Proxy Server可以安装在硬盘配置成文件分配表 (FAT) 或 NTFS 存储体的计算机上。不过，为了安全和性能的目的，建议至少服务器的一个硬盘要配置成NTFS存储体。 NTFS 存储体提供的 (而FAT存储体不提供的)特点包括： 最大的文件大小为64GB (取决于磁盘群集的大小)。 与Windows NT的安全性集成来控制和审查文挡，共享和目录访问。 一个主动的日志记录，在断电或其他问题的事件中可以用来恢复磁盘。 支持灵活的每个文挡的压缩。 Microsoft Proxy Server的Web Proxy服务把超高速缓存着的Internet对象存在服务器的一个或几个驱动上。用于这个目的的具体驱动器是在安装期间选择好的。为了实现最好的朝高速缓存性能，我们强烈建议把空间分配给超高速缓存器的所有磁盘都要设置成为NTFS驱动器。 如果你当前的服务器磁盘存储体是按照使用FAT 分区而格式化了的，那么在安装Microsoft Proxy Server以前或以后，你可以用包含在 Windows NT Server里的Convert程序来把这些分区转换成NTFS.转换不会复盖掉磁盘上的数据。要知道关于使用这个程序来把FAT存储体转换成NTFS存储体的更多的信息，请看你的Windows NT Server的资料或在Command Prompt窗口里的命令行上键入convert /?. 安装网络适配器 在你安装Microsoft Proxy Server以前，先核实网络适配卡是安装了并且恰当地设置好了的。为了建立安全的配置，Microsoft Proxy Server计算机必须至少有一块连在私人网络上的网络适配卡，再加上连接Internet的一块网络适配卡，调制解调器，或者集成的服务数字网络（ISDN）适配卡。 你应当在安装Microsoft Proxy Server之前在你的服务器计算机里安装好网络适配卡。要知道关于安装网络适配卡的更多信息，请参考与你的适配卡一起提供的资料。安装好适配卡后，你可以用控制面板上的应用程序来配置每块卡。 设置附加的网络适配卡 1. 打开Control Panel. 2. 在Network应用上点两下，然后点一下Adapters来显示那张特性表。 3. 点一下Adapters特性表里的Add按钮来加进附加的网络适配卡。 对内部的和外部的网络适配卡设置TCP/IP设定 1. 为外部的网络适配卡设置TCP/IP协议连接。 设置与TCP/IP的连接，使它可以在Internet上通信。在把这张网络卡连到TCP/IP去的时候，会提示你要卡的Internet Protocol地址。这个地址通常由你的Internet Service Provider (ISP)来提供。 如果用外部网络适配卡来与Internet连接，那么它必须只连在TCP/IP协议上。特别是不要连IPX/SPX 或NetBEUI来与连接外部的卡相连。 2. 为内部的网络适配卡设置协议连接。 如果服务器将运行Web Proxy service,那么连到私人网络的网络适配卡必须连在TCP/IP上。如果服务器将运行WinSock Proxy service,那么连在私人网上的网络适配卡可以连在TCP/IP, IPX/SPX,或者同时连在二者上。 注：你可以选择在只有一块网络适配卡的服务器上来实现Microsoft Proxy Server.这种设置主要可以用来以下提供有限的代理服务： o 为内部的Web Proxy客户机超高速缓存服务。 o 一种IP应用等级的网间连接器，支持使用WinSock Proxy service的内部IPX客户机。 3. 使用一个IP缺省网间连接器。 一台Microsoft Proxy Server计算机应该只有一个IP缺省网间连接器。这个缺省网间连接器的IP地址应该只设置在外部网络适配卡上。 4. 为了适配卡而使主机设置协议(DHCP)失效。 使用适配卡上的静态IP地址。DHCP会试图清除你为Microsoft Proxy Server选择的IP缺省网间连接器。 安装调制解调器或ISDN适配器 RAS和Microsoft Proxy Server 用Microsoft Proxy Server你可以用Windows NT Remote Access Service (RAS)拨号客户机来与Internet service provider (ISP)连接。RAS拨号至少需要使用服务器计算机上下列设备之一： o Modem：你可以安装一个或者几个调制解调器。推荐用高速的调制解调器，像28.8 Kbps的调制解调器。 o ISDN适配器：如果你正在使用一条ISDN线，而且已经与一个ISP签署了使用ISDN服务选项的约定，那就安装一个ISDN适配器。 在选择用于拨号网络连接的任何硬件时，要检查一下Windows NT Hardware Compatibility List（硬件兼容性列表）来确认你正要购买的调制解调器和适配器是受到支持的。Microsoft对这些调制解调器和ISDN适配器能否用于RAS已经作过测试。 另外，要试着选择与你正在用的ISP用的相同的或十分接近的调制解调器或ISDN适配器。这有助于保证最佳的性能和最高的可连接率。 关于选择和安装调制解调器或ISDN适配器的信息，请看你的Windows NT Server 4.0的资料或者随你的调制解调器或者ISDN适配器一起提供的资料。 安装RAS 可以在Windows NT Server初始安装期间或者安装以后来安装RAS.要在安装了Windows NT之后来安装和设置RAS,请使用控制面板上的Network应用程序。你会需要作为管理员集团的成员来登录。另外，由于你是连接在ISP上的，所以在安装RAS以前，你需要安装好TCP/IP Protocol. 用Microsoft Proxy Server安装RAS客户机 3. 在Control Panel中点一下Network,点一下Services tab,再点一下Add. 4. 从Network Service框里选择Remote Access Service,然后点一下OK. 5. 跟随屏幕上的指示来完成Remote Access Service的安装。 选择只用于端口的Dial out来为与ISP之间只有拨号的连接而设置RAS.点一下Remote Access Service Setup对话框里的Configure可以设置端口用途。 网络协议的设定应该只包含TCP/IP (IPX/SPX和NetBEUI检验框应该清掉)。点一下Remote Access Service Setup对话框里的Network可以设置网络协议。二、Microsoft Proxy Server安装 一. Microsoft Proxy Server本地地址表(LAT) 在Microsoft Proxy Server安装期间，要求你完成Local Address Table Configuration对话框。你所提供的信息用来创建一份Local Address Table (LAT).这一节就来介绍LAT,告诉你LAT是做什么的，并说明LAT是怎样规定的。 什么是LAT? 在Microsoft Proxy Server安装期间，Setup程序帮助你创建一份组成你的私人网络的IP地址表。你所提供的信息是被用来创建一份叫做Local Address Table (LAT)的表的，它规定了你的私人网络。对你的私人网来说是外部的那些IP地址都特别地被排除出这份表。 Setup程序在服务器上安装LAT.包含LAT的文档的名字是Msplat.txt,它在服务器上的缺省位置是C:MspClients(如果你把Microsoft Proxy Server安装在服务器上的不同位置上，那么Msplat.txt文档会相应地重新定位)。Microsoft Proxy Server Setup程序也在这个目录里安装一个客户机的Setup程序。 Microsoft Proxy Server Setup程序在服务器上设置Clients子目录作为网络共享，名字为Mspclnt.客户机只要连到ServernameMspclnt,然后运行客户机Setup程序，就可以与这个共享相连。客户机Setup程序把客户机计算机设置成WinSock Proxy service的一个客户机,并且还试图把客户机计算机的Internet浏览器设置成Web Proxy service的一个客户机。(客户机Setup所作的确切的客户机设置取决于在Microsoft Proxy Server Setup期间你所作的设置选择。) 在客户机Setup期间，LAT文档(Msplat.txt)被拷贝到了客户机。为了保持客户机的LAT文档是当前的，定期经常地从服务器里更新Msplat.txt文档。每当客户机上的一种Windows Sockets应用程序试图与一个IP地址建立连接时，LAT就用来确定一个IP地址是在私人网上的还是外部的。如果这个地址是内部的，那么就直接连接。如果地址是外部的，那么就要通过Microsoft Proxy Server上的WinSock Proxy服务来作远程连接。 注意这只是LAT的一个基本的综述。要知道更多的信息，请看附录D,体系结构。 LAT是怎样确定的? LAT是在Microsoft Proxy Server安装期间当你完成Local Address Table Configuration对话框时确定的。LAT由一系列的IP地址对组成。每个地址对或者规定了一段IP地址的范围(从第一个较低的地址到第二个较高的地址)，或者规定一个单一的IP地址(如果地址对里的两个地址是一样的话)。 注每对IP地址或者等同于一段地址范围，或者等同于一个单一的IP地址。第二条不是一个子网屏蔽。 要把地址加到LAT里去，你可以： 点一下Local Address Table Configuration对话框里的Construct Table按钮。这就从Windows NT Server使用的内部路由表里生成出IP地址对表。 使用Local Address Table Configuration对话框里的编辑控制来用手工输入IP地址对表。 使用这两种技术的联合(生成一个IP地址对表，然后用编辑控制来手工地加入和撤走地址)。 在Microsoft Proxy Server的安装期间，你点了Local Address Table Configuration对话框里的Construct Table按钮，从Windows NT Server使用的内部路由表生成IP地址对表后，在有些情况下所生成的地址可能不完全规定了你的私人网络。例如，生成的地址可能遗漏了你的私人网络的子网，或者可能包括在你的私人网络之外的地址。所以检查一下生成的IP地址表这点很重要。使用编辑控制来加入任何需要的IP地址，直到你的内部网的所有地址都规定好了为止。撤走任何规定外部(Internet)地址的IP地址对。 注 如果你发现在生成IP地址对表时遗漏了你的私人网络的一个子网，你需要像上面说明的那样来加入IP地址对，但你还需要检查和修改服务器或网络设置来保证丢失子网对于TCP/IP连接来说变成是可以接受的。 二. 安装Microsoft Proxy Server 遵照这些指示来做一次Microsoft Proxy Server的新的安装。关于从Microsoft Proxy Server的初始版本更新的信息，请看在Microsoft Proxy Server CD盘上提供的Readme.txt文档。 1. 核实第二章安装前的要求里列出的先决条件已经得到了满足。还要核实服务器上已经安装了Windows NT Server版本4.0 和Microsoft Internet Information Server (IIS)版本2.0,然后用一个有管理权的用户帐号登录在服务器上。 2. 从Microsoft Proxy Server CD盘里的Ntupdate目录里，打开适合服务器的处理器体系结构的子目录，并运行Update.exe来安装Windows NT Server 4.0 Service Pack.安装好Service Pack以后，重新启动服务器计算机，并再次用一个有管理权的用户帐号登录在服务器上。 3. 从Microsoft Proxy ServerCD盘的根目录上运行Setup. -或者- 把CD盘的内容拷贝到一个共享的文件夹里，把服务器连到那个共享上，运行Setup. 出现Welcome对话框。 4. 点一下Continue. 出现CD Key Number对话框。 5. 要记录下产品的标识号(显示在随产品一起提供的Certificate of Authenticity上)，在CD Key框里键入这个号，点一下OK,然后点一下出现的确认对话框里的OK. 出现Change Folder对话框。 6. 要把文件夹改换到安装了Microsoft Proxy Server的那个，点一下Change Folder并完成出现的对话框。要接受缺省的文件夹就跳过这一步。 7. 点一下OK. 出现Installation Options对话框。 8. 要确定安装了哪些Microsoft Proxy Server部件，选择或者请除每个选项的检验框。Installation Options对话框包含了下列项目的检验框： o 安装Proxy Server o 安装Administration Tool o 安装Documentation 缺省时，选择所有的部件。 9. 适当地设置好安装选项后，点一下Continue. 出现Microsoft Proxy Server Cache Drives对话框。列出了服务器的本地驱动器。 10. 要指定一个磁盘来存储超高速缓存了的数据，从表中选择一个驱动器，在Maximum Size (MB)框里键入一个数，并点一下 Set. 根据需要来重复指定附加的驱动器来存储缓存的数据。 在设置cache驱动器时，你必须最少要指派一个驱动器和5 MB来用于超高速缓存。不过，我们建议的最小分配量还要高一些。建议你为每个Web Proxy服务客户机分配至少100 MB加上0.5 MB (并取整到最近的完整的MB数)。例如，如果一个服务器将服务于79个Web Proxy服务客户机，那就建议你指派140 MB或更多来给cache.对每个服务器来说，最佳的cache分配随负载和设置而变，不过一般地讲，增加磁盘空间的分配对cache有利。 以5 MB的增量从一个驱动器把空间分配给cache.如果你指定一个不能被5除尽的数，那就会取整到下一个最低的 5 MB增量。例如，如果你指定194 MB给C驱动器，而实际上从那个驱动器分配给cache的是190 MB. 注强烈建议你只使用NTFS存储体来作超高速缓存。还有，不要指派只读驱动器(比如CD-ROM驱动器)给cache. 关于超高速缓存的更多信息，请看第四章服务器特点和附录D体系结构。 11. 点一下OK. 出现Local Address Table Configuration对话框。使用这个对话框来规定你的网络里所有内部的IP地址，并排除掉所有外部的IP地址。关于这个对话框的重要信息，请看本章前面的关于LAT你需要知道什么。 12. 要建立你的内部网络的IP地址表，点一下Construct Table按钮。 出现Construct Local Address Table对话框。 13. 选择Add the private ranges检验框来加到由IANA规定为私人地址范围的三个IP地址段去，这些地址段可以用于不连在Internet上的私人IP网络里。 14. 要选择服务器上IP地址被包含在LAT里的网络适配卡，从NT Internal Routing Table里选择Load,并完成它的选项。 o 如果你不知道服务器的哪些网络适配卡是连在私人网上的，那就从所有的IP接口卡里选择Load known地址范围。 o 如果你知道服务器的哪些网络适配卡是连在私人的（内部的）网络上的，哪些是连在Internet上的，那就从下面的IP接口卡里选择Load known地址范围来只装入那些与服务器的内部连接的卡相联系的IP地址。然后，在网络适配卡的列表中为每个内部连接的卡选择检验框，并清掉每个外部连接的卡的检验框。 15. 你完成了Construct Local Address Table对话框后，点一下OK. Local Address Table Configuration对话框又回来了。在Internal IP Ranges框里显示了一张IP地址对的列表。 16. 核实Internal IP Ranges框里的条目正确地标识了你的内部网。加入任何需要的IP地址对直到你的内部网的所有地址都规定好了为止。撤走任何规定外部(Internet)地址的IP地址对。 o 要在列表里加入一段地址，在Edit下的From和To框里键入一对地址，然后点一下Add按钮。 o 要在列表里加入一个IP地址，在Edit下的From和To框里都键入同样的地址，然后点一下Add按钮。 o 要撤走列表里的一个IP地址或者地址对，从Internal IP Ranges框里选择它，然后点一下Remove按钮。 17. 恰当地设定好LAT设置后，点一下OK. 出现Client Installation/Configuration对话框。用这个对话框输入客户机Setup程序使用的信息，这个程序是Microsoft Proxy Server Setup安装在Mspclnt共享里的。 18. 使用WinSock Proxy Client下的选择来指定客户机Setup程序将如何设置从这个服务器安装的WinSock Proxy客户机。 o 选择Machine或DNS Name或IP Addresses.如果你选择Machine或DNS Name,核实一下名字是正确的。如果必要就键入合适的名字。 o 当选择了Enable Access Control检验框后，WinSock Proxy服务的安全性就启用了，而只有指定了许可的那些客户机才能使用这个服务器上的WinSock Proxy服务。如果你清掉了这个检验框，那么所有的内部客户机将都能使用这个服务器上的 WinSock Proxy服务。缺省时，是选择这个检验框的。 关于使用Microsoft Proxy Server with DNS的信息，请看第五章服务器管理。关于设置WinSock Proxy客户机许可的信息，请看第七章设置WinSock Proxy Service。 19. 使用Web Proxy Client下的选择来指定客户机Setup程序如何设置从这个服务器安装的Web Proxy客户机。 o 在Web Proxy Client下面选择Set Client Setup to Configure Browser Proxy Settings来让客户机Setup程序将客户机浏览器设置成为一个Web Proxy客户机(如果浏览器是Netscape Navigator或者是Microsoft Internet Explorer). 如果你选择这个选项，那么核实出示在Proxy to be Used by Client框里的名字是正确的。如果必要，就键入正确的名字。 还有，如果你选择这个选项，那么Client Connects to Proxy Via Port的值就显示将设置Web Proxy客户机要使用的端口号。这个框里的值不能在这里改变。它是为Internet Information Server设置的TCP端口号，用Internet Service Manager改变来管理WWW服务。要知道更多的信息，请看本章前面的设置Web Proxy听端口。 o 当选择了Enable Access Control检验框后，Web Proxy服务安全性就启用了。当清除了这个检验框后，Web Proxy服务就不会试图去证实来自客户机的连接。缺省时，这个检验框是选择的。三、Microsoft Proxy Server 管理 可以用与产品一起提供的管理工具来管理Microsoft Proxy Server.它也与Internet Information Server (IIS)和Windows NT Server设置紧密地相互作用。一起使用随这些Microsoft服务器产品的每一个一起提供的工具，你可以为你的私人网络上的Microsoft Proxy Server开发一个合适的管理设置。 本章包含下面的题目，讨论如何管理Microsoft Proxy Server，以及管理服务器与你网络上的其它服务一起适当地工作的进一步考虑。 使用Internet Service Manager Internet Service Manager是由IIS提供的一个管理工具。可以用Internet Service Manager来管理由Microsoft Proxy Server提供的两种服务特性：Web Proxy和WinSock Proxy服务。 把用户放在Windows NT组里 为了便于管理对Web Proxy和WinSock Proxy服务的访问，建议你把用户加在一些组里，然后给这些组指定许可。使用对组来赋值的办法，你可以简化给予或撤销用户对Microsoft Proxy Server的许可所需的管理任务。 在你的网络上设置Microsoft Proxy Server的考虑。 一些考虑可能会影响你在你的私人网络上如何选择设置或安装Microsoft Proxy Server.正确地设置服务器网络适配卡和 TCP/IP端口是一个重要的考虑。另外。对于使用其它的TCP/IP服务，像DNS, WINS, DHCP,或者多个网间连接器的网络，当在你的网络上使用Microsoft Proxy Server时，还要作进一步的考虑。 设置LAT Local Address Table(LAT)被Microsoft Proxy Server用来规定你的私人网络。在处理客户机请求时，Web Proxy和WinSock Proxy服务都主动地使用它。由于LAT是代理服务正确起作用的一个关键部件，因此，必须监视记录在LAT里的地址与你网络上使用的实际地址之间有没有任何差别，当发生差别时就要改正它。必要时你可以修改或取代存在服务器上的LAT. 设置拨号支持 根据要求拨号是Microsoft Proxy Server的一个受到支持的特点。Dial-out使用一个与Remote Access Service (RAS)兼容的工具，它支持RAS电话簿条目。通过你的Internet服务供应商，可以用这些条目来自动安排与Internet的拨号连接。 使用Internet Service Manager 使用与Microsoft Internet Information Server一起提供的Internet Service Manager来管理Microsoft Proxy Server的服务。 用Internet Service Manager来设置Microsoft Proxy Server服务 1. 点一下Start,选择Programs,选择Microsoft Proxy Server,再点一下Internet Service Manager. 显示Microsoft Internet Service Manager窗口。列出了所有安装了的对当前服务器的Internet服务。 2. 如果你将管理一个远程服务器，就连到那个服务器。 o 要与一个具体的服务器连接，在Properties菜单里点一下Connect to Server并完成出现的Connect to Server对话框。 o 要与你的网络上的所有Microsoft Proxy Servers连接，在Properties菜单里点一下Find All Servers. 注： 使用Find All Servers时，在其它服务器计算机上的WinSock Proxy服务是检测不到的。要连接不同计算机上的 WinSock Proxy服务，使用Connect to Server并指定要连接的计算机名。 3. 要管理服务器的Internet服务，在服务名旁边的计算机名上点两下。 o 要管理服务器的Web Proxy服务，在那项服务旁边的计算机名上点两下。 o 要管理服务器的WinSock Proxy服务，在那项服务旁边的计算机名上点两下。 出现所选服务的Service Properties窗口。 4. 使用Service Properties窗口来设置服务。 关于管理Microsoft Proxy Server服务的更多信息，请看第十一章设置Web Proxy Service和第十二章设置WinSock Proxy Service.四、Microsoft Proxy Server 网络配置 一. 安装网络适配卡 下面这节要概要给出在安装与Microsoft Proxy Server一起使用的网络适配卡时要遵从的一些考虑。在大多数装置里，服务器上需要安装两块网络适配卡，一块网络适配卡用于与内部私人网络的连接，另外一块适配卡用于对外连接到Internet或者另一个外部网。 在有些情况下，Microsoft Proxy Server也可以只用一块适配卡，作为在局域网上提供有限使用的超高速缓存服务的一种方法。当只安装了一块服务器适配卡时，网间连接器的服务无效，服务器可以设置成类似于你的网络上的其它内部服务器或者客户机。 使用两块适配卡时的安装考虑在为网间连接器的运作安装两块网络适配卡时，首先在服务器计算机上把两块网络适配卡都装上。在同一台计算机上使用多个网络适配卡要遵从制造商任何特殊的设置指示。 在大多数情况下，预先设置好的硬件设定是为每块适配卡上的内存基础I/O地址或者IRQ等级作出的，所以设备之间的冲突是可能发生的。检查一下每块卡的基本I/O和IRQ设定是否设得不同，并采用与当前安装在你的系统上的其它设备没有冲突的设定。 安装好卡后，记下每块网络适配卡所用的设置，如果在你安装时作了改变，则更新这些记录。在以后解决任何硬件设备的冲突时，保持记录就有助于节省所需的时间。 用控制面板上Network应用程序里的Adapters特性表来核实两块适配卡都已正确地安装并设置好了。检查每块适配卡的独特的I/O基地址和IRQ值。 提示；如果对两块服务器适配卡的硬件描述是一样的，那么在跟踪你正在设置的那块适配卡时就会出现混乱。Windows NT根据第一个数来识别加在系统上的每块适配器，比如1是安装的第一块适配卡，2是安装的第二块适配卡。当你试图核实或改变一块具提体的硬件适配卡的设定时要参考这些数。 设置外部网络适配卡 在装入将要连到Internet去的网络适配卡时必须遵从下面的考虑。 为外部适配卡恰当地设置协议连接。这是用控制面板上的Network应用程序里的 Bindings特性表来做的。 断开与SMB Server,与NWLink IPX/SPX兼容的Transport, WINS Client (TCP/IP),以及NetBEUI Protocol的连接。为了列出WINS Client,断开与所有接口(Server, Workstation and NetBIOS接口)的连接。外部网络适配卡可以启用的唯一连接应该是TCP/IP Protocol. 核实对外部适配卡合适地设置好了TCP/IP特性。这可以用控制面板上Network应用程序里的Protocols特性表来做。 为了与Internet的外部TCP/IP连接，你应该与你的Internet Service Provider (ISP)查对来取得TCP/IP设置的正确输入信息。特别地，你还需要知道IP地址，子网屏蔽，缺省网间连接器，Domain Name System (DNS)的域名，以及DNS服务器用来作DNS名字搜索的IP地址。在有些情况下，你的ISP可能使用动态主机设置协议(DHCP)或者Bootstrap Protocol (BOOTP)来实现客户机地址的动态分配。与你的ISP联系来得到关于在有这些服务的地方设置外部适配卡的进一步信息。 对外部网络适配卡作初始的通信试验。 在另一台内部的IP客户机计算机上用与Windows NT和Windows 95一起提供的Ping.exe（或者类似的工具）来验证服务器外部适配卡是正确地设置好了的。当使用Ping或其他的返回应答类型的试验时，你需要使用在外部段上的另一台计算机。 设置内部网络适配卡 下面要详细说明装入要用来把Microsoft Proxy Server从内部连接到你的私人网络上去的网络适配卡的考虑。 为每块网络适配卡建立合适的协议连接。这用控制面板上Network应用程序里的Bindings特性表来做。 断开任何不需要的或者当前在你的内部网上使用的连接，像NetBEUI Protocol或者WINS Client (TCP/IP).你必须在这块适配卡上启用与NWLink IPX/SPX Compatible Transport,或者TCP/IP Protocol连接。 核实与NWLink IPX/SPX CompatibleTransport和/或TCP/IP Protocol是安装好的，并且恰当地设置好了特性。这可以从控制面板上Network应用程序里的Protocols特性表来做。 对于内部网络适配器上的NWLink IPX/SPX Compatible Transport协议特性，对Internal Network Number输入与你的私人网络上其他基于Novell的服务器和客户机所用的同样的网络号。在大多数情况下，你可以用Auto Frame Type Detection来让Windows NT自动地检测在你的内部网上用的正确的帧类型。在有些情况下，你可能需要用Manual Frame Type Detection来手动地输入帧类型。如果你用手工输入一种帧类型，那一定要是你的网络上的其他基于Novell的服务器和客户机所支持的同样的帧类型。 如果你的私人网内部使用RIP/SAP路由，那你也可以选择启用Routing标记上的RIP路由。(RIP路由会在你的网络上加相当大的流通量，所以只有当设备在你的网络上通信需要时才启用它。) 虽然在两块网络适配卡上都设置了TCP/IP Protocol Properties,但为了内部的TCP/IP连接，所有的地址设定都要用手工指定。 不要用Obtain an IP address from a DHCP server选项来得到内部网上用的IP地址。尤其你应该为Microsoft Proxy Server输入一个永久保留的IP地址，并为你的局域网输入一个适当的子网屏蔽。另外，不要为内部网络适配卡的Default Gateway输入地址。 注； 如果你的私人网使用DNS, Windows Internet Name Service (WINS),或者DHCP服务，你会需要考虑如何设置内部网络适配器来使Microsoft Proxy Server与这些服务一起工作。关于与DNS, WINS,或者DHCP服务一起使用Microsoft Proxy Server的更多信息，请看本章后面的使用DNS, WINS,和DHCP服务那部分。 对两块服务器网络适配卡都作初始的通信试验。 在另外一台内部的IP客户机计算机上用随Windows NT和Windows 95一起提供的Ping.exe(或者类似的工具)来验证服务器内部适配卡是正确地设置好了的。还有，如果在你的内部网上你正在使用的只有IPX/SPX,那你就可以使用一种基于IPX的，能做pinging或者返回应答类型试验的工具。 二. 使用一块适配卡的安装考虑 在有些情况下，Microsoft Proxy Server可以在一个私人网络上与一块网络适配卡一起工作。在这种装置里，不设置用于Internet访问的网间连接器服务，Microsoft Proxy Server主要用来为局域网的用户提供文件的超高速缓存服务。 对于与内部网络间只有一块网络适配卡的连接来设置Microsoft Proxy Server,你可以用适合你局部的TCP/IP网的服务器和客户机的IP和DNS设定。对这类装置的TCP/IP网络设定没有专门的考虑。 三.使用TCP/IP端口 什么是TCP/IP端口? 在Ports are used in TCP/IP里，端口用来称呼载运长时间会话的逻辑连接的头。端口是允许像User Datagram Protocol (UDP)和Transmission Control Protocol (TCP)这样的传输协议有处理多个主机之间通信能力的一种抽象。它能让通信被唯一地识别出来。WinSock Proxy服务广泛地使用端口来提供一种改向应用的方法。 为了向不知名的来访者提供服务，规定了一个服务联系端口。每个启用了WinSock Proxy的应用程序都在服务器上指定一个端口用于TCP或UDP联系端口。联系端口有时也叫?quot;著名端口。在一定程度上UDP也使用这些相同的端口分配。为了使用UDP,应用程序必须提供目的应用的IP地址和端口号。 端口用一个整数来标识。最初，赋于端口可用的值在 0 - 255之间。近来，分配亩丝诜段丫沟搅嗽市硭奈弧值亩丝诤牛罡叩?999.指定的端口只用了可能的端口号的一小部分，如果开始的端口不能用，或者要用于新的定制的服务器应用程序，那就可以指定其它的还每有分配的端口号来作为代替。 可以指定端口使用TCP或者UDP作为传输一级的协议，指定端口怎样发送和接收数据。另外，在Microsoft ProxyServer上可以分开指定入站端口和出站端口。入站端口用来听取来自Internet客户机的客户请求，而出站端口则用来听取内部私人网上的客户机的请求。设定WinSock Proxy端口许可 Microsoft Proxy Server使用WinSock Proxy服务的应用服务端口。为了让基于Windows Sockets的每个应用程序都能通过一个网络连接来工作，端口与IP寻址联合使用来组成一种插入式（socketed）的连接。关于Windows Sockets如何工作的信息，请看附录D 体系结构。 规定了WinSock Proxy服务的端口后，就可以给在Microsoft Proxy Server网间连接器上规定的每种应用的用户发端口许可了。例如，,VDOLive是一种WinSock Proxy服务支持的应用。它使用出站TCP 7000端口和入站UDP端口0作为它的著名端口，用于Microsoft Proxy Server上规定的服务。于是，用户就可以得到许可来使用带WinSock Proxy的VDOLive.用WinSock Proxy Properties里的Permissions特性表给了许可后，用户就可以访问指定的那些端口(入站和出站的都可以)了。 如果你要让你的网络上的用户可以分别访问入站和出站的服务端口，为此，你可以在WinSock Proxy服务特性里创建一个附加的协议规定。 例如，假定你想给你网上的所有内部用户都能从出站和入站两个端口来访问FTP服务的许可，但是对一个叫做FTPClient1的Internet用户只允许他作入站的FTP登录。 在这个例子里，你可能使用预先规定的协议FTP,并且把所有内部用户的许可都指派给这个协议，因为它可以实现入站和出站的端口访问。然后，为了FTPClient1这一个用户帐号只允许入站端口访问，你可以创建一个新的协议规定叫做FTP(只能入站)，并只给它规定入站TCP端口0.然后就可以分配给FTPClient1帐号许可，列?quot;FTP (只能入站)协议许可表。五、MS Proxy的使用方法详解授予Proxy权限给新用户组打开IIS Service Manager，然后打开Web Proxy属性页。我将讨论在MS Proxy Server里如何授予权限给一个组。打开Web Proxy Server属性页，选Permissions页。缺省情况下，MS Proxy Server没有为任何协议配置权限许可。因此，没有用户能通过WebProxy(或WinSock Proxy)出站访问Internet，要给一个新的Proxy用户组授予访问权限，需进行如下操作：1. 在Protocol下拉框中选择一个你希望指定访问权限的协议。2. 点Add钮，将弹出一个对话框来把组或用户加入到这个协议的访问列表中。1. 下拉表里的名字列表允许你选择任何域，外部域可以通过信任连接或其他域的并行帐号。2. 缺省情况下仅列出本地组和全局组，你也可以列出全部用户，单独配置用户，但这对于大中型网络的管理来说，将是一场恶梦。可能的话，尽量用工作组来配置用户。在Add Users and Groups对话框上的Members按钮可以显示出当前选中的组的成员列表 控制来自于Internet的进站访问安装了Proxy Server后，NT有两处改动来扩展安全。第一个改变是IP转发。IP转发是在TCP/IP属性里的一项设置，这是关闭的。它控制NT是否在网络接口间转发IP包（例如：从网卡到RAS连接之间）。当为一个网络配置永久性的Internet连接的前提下，并且局网上的每一个工作站配置了它们自己的Internet直接访问时，IP转发必须设置为有效，以便工作站可以把它们的包发向Internet，反之亦然。在连接到Internet的那台NT Server上，它自己将锁住所有的进站流量更进一步地限制从Internet上连到NT Server的客户机，MS Proxy Server禁止了所有没有权限设置