信息技术网络管理与维护

第14章网络管理与维护本章学习目标1如何添加网络组件；2影响网络性能的因素和提高网络性能的方法；3TCP/IP的配置；4使用网络监视器和性能监视器监控网络性能并进行化；5win2000server的自动优化系统功能；6使用命令行对网络进行管理；7提高win2000server的安全性措施。14.1网络管理简介(1)网络管理的任务主要有：

1．配置管理配置管理是网络管理的最基本功能，负责监测和控制网络的配置态。2．性能管理性能管理保证有效运营网络和提供约定的服务质量，在保证各种业务的服务质量的同时，尽量提高网络资源利用率。3．故障管理故障管理的作用是迅速发现、定位和排除网络故障，动态维护网络的有效性。14.1网络管理简介(2)4．安全管理安全管理的作用是提供信息的保密、认证和完整性保护机制，使网络中的服务数据和系统免受侵扰和破坏。5．记账管理记账管理的作用是正确的计算和接收用户使用网络服务的费用，进行网络资源的统计和网络成本效益的计算。14.2添加网络组件(1)1.双击“网络邻居”，打开“网上邻居”窗口，点击“网络和拨号连接”超链接，在“网络和拨号连接”窗口中单击“添加网络组件”超连接，打开如图14-1所示“Windows可选的网络组件向导”对话框，在对话框中的组件列表框中，系统给出了用户可以选择安装的网络组件。图14-1“windows”可选的网络组件向导“对话框14.2添加网络组件(2)2用户可以根据自己的需要，单击组件选项旁边的复选框以便确认安装该类组件。用户可以单击“详细信息”按钮或者是双击该组件选项，打开该类组件详细内容对话框来具体选择安装某个子组件图14-2添加“网络服务”对话框14.3提高网络性能衡量网络性能优劣的标准网络性能瓶颈减少信息流量增加子网数目提高网络速度14.3.1衡量网络性能优劣的标准1.数据链路带宽必须超出网络客户机处理数据的能力。2.竞争访问网络共享介质的访问不能超过介质的负载限度。3.服务器必须足够的快，以快速响应所有网络客户机的请求。14.3.2网络性能瓶颈常会用到的术语:1.Resources（资源）是硬件部件。软件进程在硬件资源下装载进行。2.Bottlenecks（瓶颈）是影响计算机响应能力的资源。当具体使用时，瓶颈是指影响系统性能的部件。3.Load（负荷）资源是不得不执行的工作总量。4.Optimization(优化)是减少瓶颈对性能的影响。优化包含清除不必要的负荷、均衡多个设备之间的负载或者查找增加可用资源等。5.Throughput(吞吐率)是一定的时间周期内通过的资源信息流。6.Processes(进程)是计算机中可并发执行的程序在一个数据集合上的运行过程，是程序的一次执行和资源分配的基本单位。7.Threads（线程）是一个进程内的基本调度单位。一个进程可以有一个或多个线程；在多处理器环境中，线程是处理器间分配的基本单元。14.3.3减少信息流量当环境允许时，减少信息流量的方式是最好的。因为不论当前网络的结构如何，这种方式都起作用，而且并不需要任何物理改变。减轻网络负荷通常包括找出哪一台计算机产生了最大的网络负荷，确定该计算机为什么会产生如此大的网络负荷。如果可能的话减轻由这一具体计算机所产生的网络负荷。重复执行以上过程，直到不可能进一步减轻网络负荷为止，这样就把网络信息流量降到了某种可行的程度。增增加子子网数目目增加子网网数目是是另一种种方式，，这种方方法实际际上是构构建更多多的通路路，从而而减轻信信息流量量拥塞。。将共享享介质型型网络拆拆分成多多个由交交换机、、路由器器或者执执行路由由功能的的服务器器所连接接的子网网，这样样可以划划分冲突突域（子子网内计计算机通通信数据据不出本本子网段段），进进而提高高网络性性能。提提高网网络速度度提高网络络速度是是解决网网络性能能的最直直接的，，当然费费用可能能会高一一些，因因为这种种方式需需要替换换网络上上数据链链路设备备，甚至至涉及网网络体系系结构的的改变。。通常数据据链路升升级是指指从以太太网（Ethernet））升级到到快速以以太网（（FastEthernet）或或者1000M/10G以太太网。有有时只需需要升级级主干网网、服务务器之间间的链路路或者某某个子网网就可以以了。使使用网络络监视器器识别网网络上信信息量大大的用户户，并把把那些用用户迁移移到更快快的网络络上。下下面介绍绍几种较较常用的的网络技技术：1）快速速以太网网（FastEthernet））2）千兆兆位以太太网（GigabitEthernet）3）万兆兆以太网网（10GigabitEthernet）14.4TCP/IP设置置TCP/IP协协议是Windows2000的的默认网网络协议议，也是是Windows2000正常运运行、实实现所有有功能所所必需的的协议。。TCP/IP协议配配置包括括一系列列参数，，如IP地址、、子网掩掩码和默默认网关关的。另另外在大大规模的的网络中中也可以以使用DHCP服务（（动态主主机配置置协议））来简化化TCP/IP参数的的设置。。地地址(1)在以TCP/IP为通通信协议议的网络络上，每每台主机机都有唯唯一的IP地址址，IP地址用用来唯一一标示一一台主机机，也隐隐含着网网络间的的路径信信息。IP地址址共占用用32个个位，一一般是以以4个十十进制数数来表示示，每个个数字称称为一个个字节，，字节与与字节之之间用点点隔开，，例如：，，因为在在TCP/IP网络上上是利用用IP地地址来标标示每一一台主机机，每一一台主机机都必须须拥有唯唯一的IP地址址。地地址(2)类网络号主机号W取值支持网络数每个网络支持主机数AWX.Y.Z1-12612616,777,214BW.XY.Z128-1911638465,534CW.X.YZ192-2232,097,152254D224-239E240-254子子网掩掩码子网掩码码也是由由32位位二进制制数构成成，它有有两大功功能。一一是用来来区分IP地址址内的网网络号和和主机号号，一是是用来将将网络切切割为数数个子网网或将网网络合并并为超网网。当网网络上的的主机在在相互沟沟通时，，他们利利用子网网来得知知对方的的网络号号，进而而得知彼彼此是否否在相同同的网络络区域里里。下面面给出了了默认的的子网掩掩码，其，，B类，C类为。默默认网网关在同一个个网络号号内的主主机可以以直接通通讯，而而不是同同一个网网络号内内的主机机，必须须通过路路由器才才能通信信。默认认网关是是一个IP地址址，是连连接本子子网路由由器的IP地址址。当发发送方计计算机和和接收方方计算机机不在同同一个子子网时，，TCP/IP协议就就将IP数据包包发往默默认网关关，由默默认网关关将数据据包路由由到目的的地。配配置TCP/IP协协议的相相关参数数鼠标右键键单击““网上邻邻居”，，选择““属性””/“网网络和拨拨号连接接”/““本地连连接”/“属性性”/““此连接接使用下下列选定定的“组组件”/“Internet协议(TCP/IP)”/“属性性”，打打开如图图14-3所示示对话框框。如图14-3所示对话话框。14.5网络络性能监监视器(1)如前所述述，网络络有很多多性能问问题，如如果问题题涉及到到网络硬硬件、线线缆或网网络流量量，该问问题就很很难发现现。性能能监视器器提供了了计数器器来衡量量通过服服务器的的网络流流量，可可以从多多种角度度监视系系统资源源的使用用情况，，并且可可以监视视几乎系系统中所所有的资资源，同同时可以以将监视视的结果果用多种种方式显显示出来来，以满满足在不不同的情情况下对对系统资资源监视视的要求求。几个个概念。。1．对象象：对象象是系统统中主要要的子系系统或组组件，对对象可以以是硬件件子系统统或是软软件子系系统。2．实例例：实例例代表多多个相同同类型的的对象，，例如在在一个多多处理机机系统中中，每一一个CPU就是是处理器器对象的的一个实实例。3．计数数器：通通过计数数器可以以搜集对对象或子子系统的的多个方方面，多多个角度度的数据据。在性性能监视视器上显显示的是是一个个个具体的的计数器器，代表表了被监监视对象象各个方方面的运运行情况况。不正正常的网网络计数数器值表表明它代代表的对对象的某某一性能能出了问问题。14.5网络络性能监监视器(2)表14-2性能对象象、计数数器及对对应说明明问题。对象说明

计数器

描述

Server

PoolNonpaged

监控在分配内存时被拒绝的次数，该数表明物理内存太少

Server

PoolNonpagedPeak

表明服务器所需要的内存量

Server

TotalBytes/sec

每秒钟发送和接受的字节数，该数指出了网络的忙碌程度NetBEUI

Frame

发送的字节数和帧数

Bytes

Received/sec

每秒接受字节数

NetBEUI

TimesExhausted

自系统启动后所有资源的使用次数FramesRejected

FramesRejected接受的不正确、需要重传的帧数

14.5网络络性能监监视器(3)用户可以以按如下下步骤启启用“性能监监视器”监控系统统的性能能。步骤一，，打开“开始””菜单，，选择“程序””/“管理工工具”/“性能””命令后后，系统统将打开开“性能能”窗口口，如图图14-5所示。步骤二，，在“性性能”窗口的工工具栏中中单击““+”按钮或在在右侧子子窗口中中鼠标右右键单击击后，系系统打开开“添加加计数器器”对话话框，如如图14-4所示。步骤三，，在“添添加计数数器”对对话框中中，用户户首先需需要选择择希望监监控的计计算机，，以及属属于该对对象的计计数器，，单击““添加””按钮即即可。步骤四，，单击““关闭””按钮后后，系统统将返回回到“性性能”窗窗口，这这时用户户便可看看到系统统开始用用选定的的计数器器对相应应的对象象进行监监控，绘绘出计数数器统计计数值的的图形，，如图14-5所示。步骤五，，重复步步骤二到到步骤四四，可以以添加多多个计数数器，从从不同子子系统的的不同角角度监视视系统运运行的状状况。14.5网络络性能监监视器(4)图14-4“选选择计数数器”对对话框14.5网络络性能监监视器(5)图14-5性能监视视器对网网络进行行监控14.6网络络监视器器Microsoft网网络监视视器是Windows2000服服务器所所包括的的一个网网络诊断断工具，，它实现现了第三三方网络络分析器器的许多多相同功功能，它它易于操操作、可可被快速速配置和和设置以以捕获数数据，可可运行在在一台或或者多台台客户机机和服务务器上。。Microsoft网络监监视器必必须能够够通过网网络从网网络计算算机上获获得数据据，这就就需要和和Microsoft网络监监视器连连接的任任一台计计算机上上装入Microsoft网网络监视视器代理理，它会会通过网网络直接接与装在在网络计计算机上上的监控控代理打打交道。。Microsoft网络监监视器和和网络代代理交互互作用，，在本地地计算机机或者网网络上的的任何一一台计算算机上进进行监控控，达到到捕获网网络信息息流量的的目的。。Microsoft网网络监视视器捕获获信息流流量的方方式有：：1.捕获获所有网网络数据据并用显显示筛选选器显示示出有意意义的数数据包；；2.限制制捕获，，只捕获获筛选器器定义的的数据；；3.通过过创建定定制的捕捕获触发发器在指指定事件件出现后后停止数数据捕获获。网网络监监视器窗窗口(1)Microsoft网网络监视视器的主主屏幕主主要由4个平铺铺窗口组组成，分分别为：：网络图图表窗口口、会话话统计窗窗口、站站统计窗窗口、汇汇总统计计窗口。。打开““开始””菜单，，选择““程序””/“管管理工具具”/““网络监监视器””命令，，打开““Microsoft网络络监视器器”窗口口，如图图14-6所示示。图14-6Microsoft网络监视视器网网络监监视器窗窗口(2)1.图表显示示窗口图表显示示窗口主主要是以以图表的的形式显显示某一一瞬间网网络的使使用情况况。在““Microsoft网络监视视器”窗口中，，打开““窗口””菜单，，取消选选择“总总共统计计”、““会话统统计”和和“机器器统计””三个命命令选项项，只选选择“图图表”命命令选项项，“Microsoft网络监视视器”窗窗口将单单独显示示网络图图表显示示窗口，，如图14-7所示，其其中包含含五个条条状图形形，每个个图形显显示单个个值的瞬瞬间读取取结果。。五个条条状图形形分别为为：（1）网络利利用：显显示网络络带宽被被利用的的百分率率；（2）每秒帧帧数：显显示网络络上传送送的帧数数；（3）每秒字字节数：：显示统统计网络络上传输输的字节节数；（4）每秒广广播：显显示统计计的每秒秒网络上上广播数数据包数数；（5）每秒的的多播：：显示每每秒网络络上统计计到的多多址发送送的数据据包数。。网网络监监视器窗窗口(3)通过网络络图表显显示窗口口可快速速查看网网络的运运行状况况。图表表上有用用的主要要统计是是“网络络利用””、“每每秒广播播”和““每秒的的多播””，如果果这三部部分显示示的值比比较高，，则说明明网络中中可能有有太多不不必要的的信息流流量。图14-7图表窗口口通过条条状图形形显示瞬瞬间统计计信息网网络监监视器窗窗口(4)2.会话统计计窗口会话统计计窗口显显示不同同网络计计算机间间会话的的概要列列表，如如图14-8所示。图14-8Microsoft网络性能能监视器器会话统统计窗口口网网络监监视器窗窗口(5)3.机器统计窗口口机器统计窗口口显示出所捕捕获的每个宿宿主计算机发发送的总帧数数的概要信息息。宿主计算算机的传送情情况通过发送送和接收的帧帧数、发送和和接收的字节节数、直接帧帧发送数以及及多播传送的的帧数和发送送的广播信息息来表示，如如图14-9所示。机器统统计窗口在比比较每台主机机发送和接收收到的信息时时是非常有用用的，如果一一个单独的计计算机在网络络中占据支配配地址，则该该主机的字节节统计数将提提升网络的利利用百分比。。图14-9机器统计窗口口列出网络信信息流量汇总总统计14.6.1网络监视视器窗口(6)4.总共统计窗口口总共统计窗口口对用户全面面监控网络活活动，如图14-10所示。总共统统计窗口管理理捕获文件以以及观察错误误是非常有用用的。总共统统计窗口显示示的统计信息息描述了检测测到的网络流流量，包括捕捕获到的帧和和字节数、缓缓冲区里的帧帧和字节数、、每秒网络使使用统计、网网络卡的使用用状况以及网网络状态统计计，这些统计计信息是作为为时间的函数数被捕获的。。4-10显示总共统计计窗口14.6.2创建捕获获筛选程序（（1）由于许多协议议都是同多个个信源、信宿宿地址以及消消息类型混合合在一起的，，所以网络数数据的出现和和消失都是随随机的。使用用Microsoft网络监视器有有利于用户区区分通过网络络传递的看似似随机的数据据。在Microsoft网络监视器中中可以判断数数据通过网络络时的方向，，这意味着所所创建的筛选选程序可以指指定是否捕获获流入或流出出特定设备的的数据。也可可把数据方向向设置为捕获获传入或者传传出指定地址址的数据包。。数据方向使使得用户不用用捕获网络上上传送的所有有数据即可观观察发向用户户计算机的数数据。捕获筛选程序序使用如下几几种参数对网网络流量进行行筛选：(1)网络地址。如如果在捕获筛筛选器中配置置了地址，Microsoft网络监视器会会用适当的MAC地址测试每个个网络数据包包。如果信息息流量中包含含有正确地址址，数据包就就会被收集在在捕获缓冲区区中。(2)捕获协议。可可把捕获筛选选器配置为只只捕获与指定定协议匹配的的数据包。(3)捕获模式。创创建的筛选器器可按照数据据包中指定的的模式来匹配配数据包数据据。(4)方向。Microsoft网络监视器可可观察数据的的方向.14.6.2创建捕获获筛选程序（（2）（1）在“Microsoft网络络监视器”窗窗口中，选择择菜单“捕获获”/“筛选选程序”，打打开“捕获筛筛选程序”对对话框，如图图14-11所示。注意意在创建筛选选程序之前选选择“捕获””/“停止””命令停止Microsoft网络络监视器的捕捕获工作。图14-11创建筛选程序序14.6.2创建捕获获筛选程序（（3）（2）在列表表框中的目录录树中，选择择“SAP/ETYPE=任何SAP或任何ETYPE””节点。然后后单击“编辑辑”按钮，打打开“捕获筛筛选程序SAP和ETYPE”对话话框，如图14-12所所示。图14-12添加捕获协议议14.6.2创建捕获获筛选程序（（4）（3）在“被被禁用的协议议”列表框中中选择要添加加的协议，单单击“启用””按钮可允许许该协议有效效并添加到““启用的协议议”列表框中中；如果要添添加全部的禁禁用协议，可可单击“全部部启用”按按钮来完成。。（4）要禁用用已启用的协协议，在“启启用的协议””列表框中选选择要禁用的的协议，然后后单击“禁用用”即可。如如果禁用全部部已启用协议议，可单击““全部禁用””按钮。（5）单击““确定”按钮钮返回到“捕捕获筛选程序序”对话框。。（6）要添加加捕获筛选程程序地址及设设置数据方向向，在目录树树中选择“AND（地址址对）”节点点，然后单击击“地址”按按钮，打开开如图14-13所示的的“地址表达达式”对话框框进行添加和和设置。14.6.2创建捕获获筛选程序（（5）图14-13添加地地址和设置数数据方向14.6.2创建捕获获筛选程序（（6）（7）在“地地址表达式””对话框中，，选择“包含含”或者“排排除”单选按按钮。如果选选择“包含””单选按钮，，则意味着如如果一个数据据包符合捕获获筛选程序的的地址表达式式，该数据包包会被捕获；；如果选择““排除”单选选按钮，则意意味着如果一一个数据包符符合捕获筛选选程序的地址址表达式要求求，该数据包包不会被Microsoft网络监监视器所捕获获，即使该数数据包符合一一个或者多个个地址表达式式的要求。（8）要编辑辑地址，单击击“编辑地址址”按钮打开开“地址数据据库”对话框框进行编辑。。（9）从“机机器(1)””列表框中选选择一个机器器，再从“机机器(2)””列表框中选选择一个相对对应的机器，，然后从“方方向”文本框框中选择〈--〉、〈--或者--〉三个方向向选项之一。。14.6.2创建捕获获筛选程序（（7）（10）单击击“确定”完完成地址的添添加并返回到到“捕获筛选选程序”对话话框。（11）要要添加加捕获获模式式在目目录树树中，，选择择“AND（模模式匹匹配））”节节点，，单击击“模模式””按钮钮，打打开如如图14-14所示示的““模式式匹配配”对对话框框进行行添加加。（12）在在“模模式””文本本框中中输入入模式式名称称。选选择““十六六进制制”单单选按按钮，，输入入的模模式为为十六六进制制捕获获模式式，选选择ASCII单选选按钮钮，输输入的的模式式为ASCII码捕捕获模模式。。（13）在在“偏偏移值值（十十六进进制））”文文本框框中输输入一一个十十六进进制数数以指指定出出现在在帧中中的多多少字字节处处；要要从帧帧的开开始处处开始始搜索索模式式，则则选择择“从从拓扑扑头信信息末末尾””单选选按钮钮。创创建建捕获获筛选选程序序（8）图14-14添加捕捕获模模式创创建建捕获获筛选选程序序（9）（14）单单击““确定定”保保存设设置并并返回回“捕捕获筛筛选程程序””对话话框。。单击击“保保存””按钮钮，可可将捕捕获筛筛选程程序保保存起起来。。（15）单单击““确定定”按按钮，，关闭闭“捕捕获筛筛选程程序””对话话框，，捕获获筛选选程序序配置置完成成。创创建建触发发器（（1））触发器器是一一种当当符合合一系系列指指定条条件时时被执执行的的动作作。使使用Microsoft网络络监视视器从从网络络捕获获数据据之前前，可可以设设置触触发器器实现现停止止捕获获或者者执行行命令令文件件。创建触触发器器过程程如下下：（1））在““Microsoft网网络监监视器器”窗窗口中中选择择“捕捕获””/““触发发器””的命命令，，打开开“捕捕获触触发器器”对对话框框，如如图14-15所示示。注注意在在创建建捕获获触发发器之之前，，也必必须先先停止止Microsoft网网络监监视器器捕获获网络络信息息，选选择““捕获获”/“停停止””命令令。创创建建触发发器（（2））图14-15创建捕捕获触触器创创建建触发发器（（3））（2））在““触发发器在在工作作”选选项区区域中中，选选择一一个按按钮，，例如如选择择“先先缓冲冲区空空间后后模式式匹配配”，，使触触发器器先检检查缓缓冲区区，然然后再再进行行模式式匹配配。（3））在““缓冲冲区空空间””选项项区域域中选选择启启动触触发器器之前前捕获获缓冲冲区必必须添添满的的最大大百分分比，，例如如选择择50%按按钮，，则当当捕获获缓冲冲区被被填满满50％时时启动动触发发器。。（4））在““模式式”选选项区区域中中，在在“偏偏移值值(十十六进进制)”文文本框框中输输入一一个十十六进进制数数以指指定模模式出出现在在帧中中的多多少字字节处处；要要从帧帧的开开头开开始搜搜索模模式，，则选选择““从帧帧的开开头””按钮钮，要要从拓拓扑头头之后后开始始搜索索模式式，则则选择择“从从拓扑扑头信信息末末尾””按钮钮。（5））在““模式式”选选项区区域中中，对对应““模式式”文文本框框中输输入想想要的的匹配配模式式，输输入十十六进进制模模式前前先选选择““十六六进制制”按按钮，，输入入ASCII码码模式式前选选择ASCII按钮钮。创创建建触发发器（（4））（6））在““触发发器动动作””选项项区域域中，，可指指定触触发器器匹配配之后后，Microsoft网络络监视视器要要采取取的动动作，，如果果只需需要讯讯号提提示，，可选选择““只有有可听听到讯讯号””按钮钮，如如果停停止捕捕获，，可选选择““停止止捕获获”按按钮；；另外外可启启用““执行行命令令行””复选选框，，并在在其后后的文文本框框中输输入可可执行行文件件的路路径。。（7））单击击“确确定””保存存设置置.缓缓冲冲区设设置（（1））Microsoft网络络监视视器可可捕获获的数数据总总量依依赖于于捕获获缓冲冲区大大小，，首次次启动动Microsoft网网络监监视器器时，，其缺缺省的的缓冲冲区大大小为为1MB，，用户户应设设置增增大缓缓冲区区的值值，建建议工工作缓缓冲区区的大大小为为10MB或者者更多多。配配置捕捕获缓缓冲区区步骤骤如下下：(1)在““Microsoft网网络监监视器器”窗窗口中中，选选择““捕获获”/“缓缓冲区区设置置”命命令，，打开开“捕捕获缓缓冲区区设置置”对对话框框，如如图14-16所示示。图14-16设置缓缓冲区区缓缓冲冲区设设置(2)（2））从““缓冲冲区大大小(MB)””下拉拉列表表框中中选择择一个个新值值或者者输入入一个个新值值来更更改捕捕获缓缓冲区区大小小。注注意：：如果果所设设置的的缓冲冲区的的大小小超过过了物物理内内存总总量，，将会会丢失失数据据字节节。（3））单击击“确确定””完成成设置置。捕捕获获数据据在完成成捕获获筛选选程序序和触触发器器的创创建以以及缓缓冲区区的设设置，，在此此基础础上选选择““捕获获”/“开始始”命命令开开始捕捕获进进程。。捕获获完毕毕，图14-17查看缓缓冲区区捕获获的数数据选择““捕获获”/“停止止且查查看””命令令以停停止捕捕获进进程并并查看看捕获获缓冲冲区中中的数数据，，如图图14-17所示。。14.7Windows2000Server自动优优化功功能多处理理器内存优优化优先线线程与与进程程磁盘请请求缓缓冲多多处处理器器对称多多处理理器是是一种种在多多个处处理器器间均均衡分分配总总处理理负荷荷量的的技术术。非对称称处理理器技技术，，根据据一些些非负负荷量量尺度度来分分配处处理负负载，，如操操作系系统把把所有有系统统任务务放在在一个个处理理器上上，而而所有有的用用户任任务放放在剩剩余的的处理理器上上。Windows2000Server支持对对称多多处理理器技技术。。带有有两个个处理理器的的Windows2000Server计算机机通常常是一一台计计算机机速度度的1.5倍，这这还依依赖于于所运运行程程序的的类型型。仅存在在一个个线程程的应应用技技术不不可能能运行行于多多个处处理器器系统统中。。内内存存优化化在Windows2000Server中，，把内内存分分配为为称为为页的的4KB数数据块块。每每一页页仅仅仅由一一个线线程使使用。。一个个线程程可以以储存存在任任意数数目的的页面面中。。系统必必须有有足够够的内内存来来储存存所有有正在在执行行的线线程，，若内内存总总量不不足，，那么么Windows2000Server使用硬硬盘的的一部部分来来仿真真系统统内存存，将将当前前未使使用的的内存存页面面交换换到称称为虚虚拟内内存交交换文文件(Pagefile.sys)的系统统文件件中。。页面交交换得得越快快，对对系统统响应应性能能的影影响就就越低低。优优先先线线程程与与进进程程在多多任任务务操操作作系系统统中中，，如如果果每每个个进进程程的的每每个个线线程程都都获获得得相相同同的的处处理理机机时时间间而而不不分分先先后后，，那那么么计计算算机机响响应应用用户户的的请请求求将将很很慢慢。。Windows2000Server根据据线线程程对对系系统统响响应应能能力力的的重重要要性性来来优优先先处处理理每每个个线线程程，，调调整整优优先先权权的的权权力力留留给给了了用用户户。。进程程的的优优先先权权范范围围内内，，优优先先级级别别从从0-31，进进程程的的起起始始优优先先权权为为7，进进程程的的每每个个线线程程继继承承了了该该进进程程的的基基优优先先权权7。实实时时应应用用程程序序的的优优先先权权最最高高为为23。磁磁盘盘请请求求缓缓冲冲Windows2000Server的I/O系统统包包括括了了一一个个磁磁盘盘缓缓冲冲管管理理器器组组件件，，通通过过在在RAM中维维持持经经常常访访问问的的文文件件而而减减少少磁磁盘盘访访问问。。磁磁盘盘缓缓冲冲的的特特点点：：缓冲冲机机制制是是动动态态的的；；随可可用用RAM的的数数量量不不同同而而不不断断改改变变文文件件缓缓冲冲大大小小；；操作作系系统统不不需需要要的的内内存存都都可可用用做做缓缓冲冲；；自适适应应的的缓缓冲冲机机制制为为应应用用程程序序提提供供文文件件I/O性性能能的的优优化化。。磁盘盘缓缓冲冲管管理理器器可可以以使使用用任任何何系系统统中中的的可可用用内内存存，，Windows2000系统统中中这这种种缓缓冲冲区区的的小小是是不不允允许许人人为为调调整整的的，，因因为为它它受受到到系系统统中中使使用用的的资资源源及及动动态态应应用用程程序序的的影影响响。。14.8命命令令行行管管理理为什什么么使使用用命命令令行行访问问命命令令提提示示符符为为什什么么使使用用命命令令行行用命命令令行行完完成成某某些些操操作作会会很很容容易易。。访问问命命令令提提示示符符打开开“开始””菜单，然然后选择择“运行行”命令令并输入入cmd，系统打打开命令令提示符符窗口。。运行MS-DOS程序或工工具时，，也可以以打开DOS会话窗口口。手动动双击MS-DOS程序或打打开“开开始”菜单，，选择““运行””命令并并输入该该DOS程序的可可执行命命令即可可打开DOS会话窗口口。命令提示示符交互互并不区区分可执执行命令令的大小小写。对于任何何命令，，可以附附带参数数/？获取相相关命令令的帮助助信息。。几几个常常用的命命令NET命命令Ping命令Netstat命令IPConfig命令令ARP命命令Tracert命令Route命令令Nslookup命令令Nbstat命命令命命令用户可以以使用NET命命令获取取给出特特定信息息。如果果用户想想查阅映映射到一一台计算算机上的的所有当当前驱动动器的列列表，可可以简单单输入NETVIEWComputername。。常用NET命令令举例：NETACCOUNTS查阅当前前账号设设置NETCONFIGSERVER查阅本网网络配置置信息统统计NETSHARE查阅本地地计算机机上共享享文件NETUSER查阅本地地用户账账号NETVIEW查阅网络络上可用用计算机机Ping命令（（1）Ping用于确确定网络络的连通通性。命命令格式式：Ping主主机名Ping域域名PingIP地址址图14-18Ping命令Ping命令（（2）一般情况况下，用用户可以以通过使使用一系系列Ping命令来查查找问题题出在什什么地方方，或检检验网络络运行的的情况时时。典型型的检测测次序及及对应的的可能故故障：①如果测试试成功，，表明网网卡、TCP/IP协议的安安装、IP地址、子子网掩码码的设置置正常。。如果测测试不成成功，就就表示TCP/IP的安装或或运行存存在某些些最基本本的问题题。②ping本机IP如果测试试不成功功，则表表示本地地配置或或安装存存在问题题，应当当对网络络设备和和通讯介介质进行行测试、、检查并并排除。。③ping局域网内内其他IP如果测试试成功，，表明本本地网络络中的网网卡和载载体运行行正确。。但如果果收到0个回送应应答，那那么表示示子网掩掩码不正正确或网网卡配置置错误或或电缆系系统有问问题。Ping命令（（3）Ping命令（（4）如果上面面所列出出的所有有Ping命令都能能正常运运行，那那么计算算机进行行本地和和远程通通信基本本上就没没有问题题了。但但是，这这些命令令的成功功并不表表示你所所有的网网络配置置都没有有问题，，例如，，某些子子网掩码码错误就就可能无无法用这这些方法法检测到到。Ping命令的的常用参参数选项项pingIP-t：连续对对IP地址执行行Ping命令，直直到被用用户以Ctrl+C中断。pingIP-l2000：指定Ping命令中的的数据长长度为2000字节，而而不是缺缺省的32字节。pingIP-n：执行特特定次数数的Ping命令。Netstat命令（（1）检测计算算机与网网络之间间详细的的连接情情况，可可以得到到以太网网的统计计信息并并显示所所有协议议（TCP协议、UDP协议以及及IP协议等））的使用用状态。。还可以以选择特特定的协协议并查查看其具具体使用用信息，，包括显显示所有有主机的的端口号号以及当当前主机机的详细细路由信信息。下下面给出出Netstat的一些常常用选项项：①Netstat-s：-s选项能够够按照各各个协议议分别显显示其统统计数据据。这样样就可以以看到当当前计算算机在网网络上存存在哪些些连接，，以及数数据包发发送和接接收的详详细情况况等等。。如果应应用程序序（如Web浏览器））运行速速度比较较慢，或或者不能能显示Web页之类的的数据，，那么可可以用本本选项来来查看一一下所显显示的信信息。仔仔细查看看统计数数据的各各行，找找到出错错的关键键字，进进而确定定问题所所在。如如图14-19为运行Netstat–s时屏幕显显示。Netstat命令（（2）图14-19Netstat命令实例例Netstat命令（（3）②Netstat-e：-e选项用于于显示关关于以太太网的统统计数据据。它列列出的项项目包括括传送的的数据报报的总字字节数、、错误数数、删除除数、数数据报的的数量和和广播的的数量。。这些统统计数据据既有发发送的数数据报数数量，也也有接收收的数据据报数量量。使用用这个选选项可以以统计一一些基本本的网络络流量。。③Netstat-r：-r选项可以以显示关关于路由由表的信信息，类类似于后后面所讲讲使用routeprint命令时看看到的信信息。除除了显示示有效路路由外，，还显示示当前有有效的连连接。④Netstat–a：-a选项显示示一个所所有的有有效连接接信息列列表，包包括已建建立的连连接（ESTABLISHED），也包包括监听听连接请请求（LISTENING）的那些些连接。。⑤Netstat–n：显示所所有已建建立的有有效连接接。IPConfig命令令（1））IPConfig实用程序序，可用用于显示示当前的的TCP/IP配置的设设置值，，它在Windows95/98中的等价价图形用用户界面面命令为为WINIPCFG。这些信信息一般般用来检检验人工工配置的的TCP/IP设置是否否正确。。如果计算算机和所所在的局局域网使使用了动动态主机机配置协协议DHCP，使用IPConfig命令可以以了解到到你的计计算机是是否成功功地租用用到了一一个IP地址，及及目前分分配的子子网掩码码和缺省省网关等等网络配配置信息息。IPConfig命令令（2））常用的选选项：(1)ipconfig：当使用用IPConfig不带任何何参数选选项时，，显示每每个已经经配置了了的接口口的IP地址、子子网掩码码和缺省省网关值值。(2)ipconfig/all：当使用用all选项时，，IPConfig能为DNS和WINS服务器显显示它已已配置且且所有使使用的附附加信息息，并且且能够显显示内置置于本地地网卡中中的物理理地址（（MAC）。如果果IP地址是从从DHCP服务器租租用的，，IPConfig将显示DHCP服务器分分配的IP地址和租租用地址址预计失失效的日日期。图图14-20为运行ipconfig/all命令的结结果窗口口。IPConfig命令令（3））图14-20IPConfig/all命令测试试结果IPConfig命令令（4））(3)ipconfig/release和ipconfig/renew：只能在向向DHCP服务器租租用其IP地址的计计算机上上起作用用。ipconfig/release——所有接口口的租用用IP地址便重重新交付付给DHCP服务器（（归还IP地址）。。ipconfig/renew———本本地计计算机设设法与DHCP服务器器取得联联系，并并租用一一个IP地址。。大多数数情况下下网卡将将被重新新赋予和和以前所所赋予的的相同的的IP地地址。———地址址转换协协议（1）ARP是TCP/IP协议族中中的一个个重要协协议，用用于确定定对应IP地址的网网卡物理理地址。。使用ARP命令，能能够查看看本地计计算机或或另一台台计算机机的ARP高速缓存存中的当当前内容容。使用ARP命令可以以人工方方式设置置静态的的网卡物物理/IP地址对，，使用这这种方式式可以为为缺省网网关和本本地服务务器等常常用主机机进行本本地静态态配置，，这有助助于减少少网络上上的信息息量。按照缺省省设置，，ARP高速缓存存中的项项目是动动态的，，每当发发送一个个指定地地点的数数据报并并且此时时高速缓缓存中不不存在当当前项目目时，ARP便会自动动添加该该项目。。（（2）常用命令令选项：：①arp––a：用于查查看高速速缓存中中的所有有项目。。②arp-aIP：如果有有多个网网卡，那那么使用用arp-a加上接口口的IP地址，就就可以只只显示与与该接口口相关的的ARP缓存项目目。③arp-sIP物理地址址：向ARP高速缓存存中人工工输入一一个静态态项目。。该项目目在计算算机引导导过程中中将保持持有效状状态，或或者在出出现错误误时，人人工配置置的物理理地址将将自动更更新该项项目。④arp-dIP：使用本本命令能能够人工工删除一一个静态态项目。。Tracert命令（（1）Tracert命令（（2）图14-21Tracert命令命令（1）大多数主机一一般都是驻留留在只连接一一台路由器的的网段上。由由于只有一台台路由器，因因此不存在选选择使用哪一一台路由器将将数据包发送送到远程计算算机上去的问问题，该路由由器的IP地址可作为该该网段上所有有计算机的缺缺省网关来输输入。但是，当网络络上拥有两个个或多个路由由器时，用户户就不一定想想只依赖缺省省网关了。实实际上可能想想让某些远程程IP地址通过某个个特定的路由由器来传递，，而其他的远远程IP则通过另一个个路由器来传传递。在这种情况下下，用户需要要相应的路由由信息，这些些信息储存在在路由表中，，每个主机和和每个路由器器都配有自己己独一无二的的路由表。大大多数路由器器使用专门的的路由协议来来交换和动态态更新路由器器之间的路由由表。但在有有些情况下，，必须人工将将项目添加到到路由器和主机上的路路由表中。Route命令可以显示示、人工添加加和修改路由由表项目。命令（2）routeprint：本命令用于显显示路由表中中的当前项目目，在单个路路由器网段上上的输出结果果如图14-22所示。图14-22routeprint命令命令（3）routeadd： 使用本命命令，可以将将路由项目添添加给路由表表。routechange：可以使用本本命令来修改改数据的传输输路由routedelete：使用本命令可可以从路由表表中删除路由由。Nslookup利用Nslookup命令查看主机机的IP地址和主机名名称。这个命命令在查看主主机IP的时候跟Ping命令有些相似似，但得到的的信息却有些些不同。直接键入命令令，系统返回回本机的服务务器名称（带带域名的全称称）和IP地址，并进入入以“>”为提示符符的操作命命令行状态态。键入““？”可查查询详细命命令参数。。如此时给给出一个计计算机名称称，若在本本机能够识识别该名称称，返回本本机、查询询主机的名名称、IP地址及别名名。键入““Server服务器名称称”更改当当前服务器器。使用Nbtstat命令来查看看计算机上上网络配置置的一些信信息。使用用这条命令令还可以查查找出别人人计算机上上一些私人人信息。如果想查看看自己计算算机上的网网络信息，，可以运行行Nbtstat––n可以得到你你所在的工工作组，计计算机名以以及网卡地地址等等；；想查看网网络上其他他的电脑情情况，就，，运行Nbtstat-a*.*.*.*，此处的*.*.*.*用IP地址代替就就会返回得得到那台主主机上的一一些信息。。14.9网网络安全全安全策略安全配置和和分析管理安全性性模板系统资源审审核Windows2000安安全性措施施14.9.1安全全策略安全策略是是一个事先先定义好的的一系列应应用计算机机的行为准准则，应用用这些安全全策略将使使得用户有有一致的工工作方式，，防止用户户破坏计算算机上的各各种重要的的配置，保保护网络上上的敏感数数据。Windows2000安全策略定定义了用户户在使用计计算机、运运行应用程程序和访问问网络等方方面的行为为，通过这这些约束避避免了各种种对网络安安全性的有有意或无意意的伤害。。Windows2000中中安全策略略分为本地地安全设置置和组策略略两种形式式：本地安全设设置是基于单个个计算机的的安全性；；组策略可以在站点点、OU(组织单元元)或域的的范围内实实现，通常常在较大规规模并且实实施活动目目录的网络络中应用。。14.9.2安全全配置和分分析(1)1）打开““控制面板板”，双击击“管理工工具”图标标；2）在“管管理工具””对话框中中打开“本本地安全设设置”；3）在“本本地安全设设置”窗口口的右侧““树”窗口口中单击““+”号来来扩展条目目，如图14-23所示，可可以进行相相应的设置置。例如，用户户可以设置置密码的安安全策略，，选中“账账户策略””/“密码码策略”，，然后在右右边的窗口口中选择要要设置的选选项，如选选中“密码码长度最小小值”，在在这里可以以设置密码码的长度最最少为8个个字符。要要进行其它它的安全设设置，可重重复上述步步骤。14.9.2安全全配置和分分析(2)图14-23安全设置14.9.3管理理安全性模模板Windows2000中中包含了许许多个安全全模板分别别适用于不不同的安全全需求，利利用这些模模板用户就就可以简化化策略的设设定和实施施操作。它它通常包含含了大多数数的安全设设定，用户户也可以按按照需要继继续配置以以适应一个个具体网络络的需要。。安全模板包包括4种安安全级别的的模板：基基本、兼容容、安全和和高度安全全。可以在在%systemroot%\security\templates文文件夹中找找到它们。。14.9.4系统统资源审核核（1）提高网络的的安全性就就必须设置置系统资源源审核，以以便时间监监视器可以以将网络管管理员所关关心的资源源的使用情情况记录到到安全日志志中。通过过所记载的的信息，分分析网络的的安全性，，并做出相相应的策略略。审核分为两两种类型，，一种审核核是与操作作系统本身身安全性相相关的各种种事件的审审核，这一一类的审核核必须在组组策略的审审核策略中中设置；另另外一种就就是对于网网络中资源源的审核，，这一类审审核将允许许用户了解解资源的使使用情况。。14.9.4系统统资源审核核（2）设置资源审审核会加大大系统的负负担，因此此尽量只对对必要的操操作和资源源设置审核核。并且只只能在NTFS分区上设置置资源审核核，FAT分区不支持持审核。为为资源设置置审核时只只需要在要要审核的对对象上鼠标标右键单击击，选择““属性”中中的“安全全”选项卡卡即可进行行相应的设设置。为资源设置置系统审核核的操作如如下：（1）找到到并单击希希望设置审审核的对象象，这里以以E盘下的的Intepub目目录为例。。（2）在该该对象上右右击，选择择“属性””；（3）在““属性”对对话框中单单击“安全全”选项卡卡；（4）在““安全”选选项卡中单单击“高级级”按钮；；（5）在打打开的如图图14-24对话框框中，选中中“审核””选项卡。。14.9.4系统统资源审核核（3）图14-24访问控制设设置14.9.4系统统资源审核核（4）（6）在上上图中点击击“添加””按钮，打打开如图12-25对话框；；（7）在““选择用户户、计算机机或组”中中选择要审审核的用户户，单击““确定”按按钮。图14-25添加用户、、计算机对对话框14.9.4系统统资源审核核（5）（8）在““审核项目目”中选择择对该资源源的不同操操作的成功功事件或失失败事件的的审核，如如图14-26所示示，如可以以对用户““创建文件件/写入数数据”、““删除”访访问设置审审核。（9）单击击“确定””按钮，完完成设置。。图14-26设置审核项项目对话框框14.9.5Windows2000安全全性措施（（1）Windows2000是一种相对对安全的操操作系统，，利用其全全部或部分分安全特性性的优点，，可明显减减少危险性性。这里结结合实际应应用中的经经验介绍增增强Windows2000安全性的考考虑。1．版本的选选择选择成熟版版本的操作作系统，注注意随时安装补丁程程序。14.9.5Windows2000安全全性措施（（2）14.9.5Windows2000安全全性措施（（3）3．正确安装装Windows2000Server（1）分区和逻逻辑盘的分分配如果将硬盘盘仅仅分为为一个逻辑辑盘，所有有的软件都都装在C盘上，很明明显不是个个好方法。。建议最少少建立两个个分区，一一个系统分分区，一个个应用程序序分区，这这是因为微微软的IIS经常会有泄泄漏源码的的漏洞，如如果把系统统和IIS放在同一个个驱动器会会导致系统统文件的泄泄漏甚至入入侵者远程程获取管理理权限。最好建立多多个逻辑驱驱动器，例例如第一个个大于2G，用来装系系统和重要要的日志文文件，第二二个放IIS，第三个放放FTP（需要的话话），这样样无论IIS或FTP出了安全漏漏洞都不会会直接影响响到系统目目录和系统统文件。14.9.5Windows2000安全全性措施（（4）3．正确安装装Windows2000Server（2）安装顺序序的选择与与系统补丁丁Windows2000在安装中有有几个顺序序是一定要要注意的。。首先，何何时接入网网络。Windows2000在安装时有有一个漏洞洞，在你输输入Administrator密码后，系系统就建立立了ADMIN$的共享，但但是并没有有用你刚刚刚输入的密密码来保护护它，这种种情况一直直持续到你你再次启动动后，在此此期间，任任何人都可可以通过ADMIN$进入你的机机器；同时时，只要安安装一完成成，各种服服务就会自自动运行，，而这时的的服务器是是满身漏洞洞，非常容容易进入的的，因此，，在完全安安装并配置置好Windows2000Server之前，一定定不要把主主机接入网网络。14.9.5Windows2000安全全性措施（（5）4．安全配置置Windows2000Server即使正确安安装了Windows2000Server，系统还是是有很多的的漏洞，需需要在管理理和应用中中进行细致致地配置。。（1）端口端口是计算算机和外部部网络相连连的逻辑接接口，也是是计算机的的第一道屏屏障，端口口配置正确确与否直接接影响到主主机的安全全，一般来来说，仅打打开你需要要使用的端端口会比较较安全。很很多黑客攻攻击程序是是针对特定定服务和特特定服务端端口的，因因此，为了了降低遭受受黑客攻击击的危险，，应该关闭闭那些不必必要的服务务和服务端端口。配置的方法法是：鼠标标右键单击击“网上邻邻居”/“属性”/“本地连接接”/“属性”/“TCP/IP”/“属性”/“高级”/“选项”/“TCP/IP筛选”/“启用TCP/IP筛选选””/“属属性性””，，打打开开如如图图14-27所示示对对话话框框。。选选中中““启启用用TCP/IP筛选选（（所所有有适适配配器器））””，，依依次次选选中中各各个个端端口口（（如如TCP端口口））上上““只只允允许许””选选项项，，点点按按““添添加加””按按钮钮，，打打开开如如图图14-28所示示对对话话框框。。键键入入要要添添加加的的端端口口号号，，重重复复上上述述过过程程即即可可。。安安全全性性措措施施