服务器优化扩展方案为网管减负

　　一、优化扩展DHCP服务器，简化网络管理

　　1.捆绑IP地址和MAC地址

　　为防止非法盗用IP地址造成网络的混乱，减轻网络管理员的的维护困难，必须采取多种手段，实现IP地址和MAC地址的捆绑。

　　第一步：查找客户MAC地址。一个有经验的网络管理员应该有个客户端的MAC地址表，如果没有这个表就需要在客户端命令行中敲入ipconfig /all命令就可以得到。当然在路由器中也有客户端IP和其对应的MAC地址。

　　第二步：快速绑定。知道客户机的MAC地址后，就可以在DHCP服务器端进行IP地址和MAC地址的绑定了。打开DHCP管理器，展开客户机所使用的作用域，右键点击“保留”选项，选择“新建保留”，弹出配置对话框。

　　第三步：在“保留名称”栏中为该项目起个名，然后在“IP地址”栏中输入客户机要使用的IP地址，“MAC地址”栏中输入该客户机的MAC地址，然后在“支持类型”框中选择“两者”选项，最后点击“添加”按钮，完成了客户机的IP地址和MAC地址绑定。(图1)

         2.跨子网使用DHCP服务器

　　为了提高网络的安全性，规模稍大的局域网通常要划分为多个子网。但DHCP服务器只能为本子网的机器提供服务，每个子网都配置DHCP服务器又会造成浪费，提高维护成本。如何让一台DHCP服务器能同时为多个子网提供TCP/IP配置服务呢?

　　为了便于说明，假设某企业有A、B两个子网，A中配置了一台DHCP服务器，子网B中没有DHCP服务器，只要在子网B进行如下配置操作就可以使用A的DHCP服务器：

　　第一步：配置路由

　　在子网B中选择一台Windows 2003机器，将其配置成路由器，用来连接A、B两个子网。进入“控制面板→管理工具”，运行“路由和远程访问”工具，右键点击本地服务器，选择“配置并启用路由及远程访问”，弹出安装向导对话框，选择“自定义配置”，点击“下一步”后，选择“LAN路由”，最后点击“完成”。(图2)

图2

　　第二步： 配置中继代理

　　在路由和远程访问窗口中，展开“本地服务器→IP路由选择→常规”，右键点击“常规”，选择“新增路由协议”，接着在新路由协议窗口中选择“DHCP中继代理程序”，点击“确定”按钮。(图3)

图3

　　右键点击DHCP中继代理程序，选择“属性”，弹出“DHCP中继代理程序属性”对话框，在“常规”标签页的“服务器地址”栏中输入子网A的DHCP服务器的IP地址，然后点击“添加”按钮，最后点击“确定”即可。(图4)

图4

　　右键再次点击DHCP中继代理程序，选择“新增接口”，弹出DHCP中继代理程序的新接口对话框，在“接口”框中选中可以访问子网A的那个接口，也就是连接子网A的网卡，点击“确定”按钮。接着在弹出的“DHCP中继站属性”对话框中，确保选中“中继DHCP数据包”后，就启用了它的中继功能，最后点击“确定”按钮。完成以上配置，子网B的客户机就可以使用子网A的DHCP服务器了。(图5)

图5

         二、部署WINS服务器，文件、软件自动分发

　　在局域网中，工作站无休止地进行软件安装、升级、维护、删除操作所带来的庞大工作量，以及由此可能产生的安全问题一直都是令所有网管头疼的事。很多网络管理员都采用共享的方法，但共享所引起的安全隐患往往会成为网管心中永远的痛。此时，如果你尝试使用分发功能的话，那么你将会惊喜地发现工作站的软件安装将会变得轻松自如且安全无忧。

　　为了便于说明，我们假设现在某位网管要将lw.com域中的“Windows Server 2003管理工具包”程序“Adminpak.msi”分发到所有的工作站上，那么则应进行以下设置。

　　1.设置共享目录

　　为了最大程度地进行访问权限的管理，首先应在使用NTFS分区格式的盘中新建一个目录，并命名为“Tools$”，然后将Adminpak.msi程序从Windows Server 2003安装光盘的“I386目录”中复制到“Tools$”目录中。接着设置该目录的共享权限，“Authenticated Users”组为可读，(图6)“Administrator”组为完全控制。(图7)

图6                                                                                          图7

　　提示：分发的软件必须是MSI封装文件，如果想将非MSI格式的文件封装成MSI文件，可以使用InstallShield等工具来完成这个转换操作。

       2.设置组策略

　　第一步：以域管理员身份登录DC(域控制器)，然后依次点击“开始→程序→管理工具→Active Directory用户和计算机”菜单项，在弹出的窗口中右键单击lw.com，并在弹出的菜单中选择“属性”。在“属性”窗口中点击“新建”按钮，并将新建的组策略对象命名为“Software”。

　　第二步：选中Software并单击下方的“编辑”按钮，在打开的“组策略编辑器”窗口中依次点击“用户配置→软件设置→软件安装”。接着右键单击“软件安装”，并在弹出的菜单中选择“属性”。在“软件安装 属性”对话框中手工输入“\\计算机名\共享文件名”，然后选中“显示部署软件对话框”和“基本”两项(图8)。

图8

　　第三步：点击“确定”按钮返回“组策略编辑器”后，右键点击“软件安装”项，在弹出的快捷菜单中依次选择“新建→程序包”。在随后出现的“打开”对话框中，选中Tools$目录下的“Adminpak.msi”文件后单击“打开”按钮即可。在随后弹出的“部署软件”对话框中选中“已发布”选项后，点击“确定”按钮。现在就可关闭组策略对话框了。接着打开命令提示符窗口，输入“Gpupdate”命令并回车，这样可以刷新组策略，以便使上述设置立即生效。(图9)

图9

       3.在工作站中安装软件

　　经过上述在DC(域控制器)中的设置后，软件就会被分发到lw.com域中的所有工作站上了。在工作站中，当用户登录域后，只要点击“添加/删除程序”窗口中的“添加新程序”按钮，就会立即在“从网络添加程序”列表中列出从DC(域控制器)中分发出来的“Adminpak.msi”程序了。点击“添加”按钮则可以立即进行程序的安装。(图10)

图10     

       三、ISA服务器扩展，流量控制轻松搞定

　　异常流量是造成网络故障的大敌，为此在局域网中进行流量监控是网管必须要做的工作。现在的企业中一般用ISA Server 2006部署了ISA服务器。大家知道其对网络访问流量控制功能不是很强大，我们只需依靠第三方软件Bandwidth Splitter与ISA Server 2006结合即可完美进行流量控制。

　　安装完BS后，打开ISA Server 2006，可以看到BS的管理控制台已经集成到ISA Server 2006中。点击Bandwidth Splitter，它有4个功能项，分别是：Shaping Rules、Quota Rules、Quota Counters和Monitoring。下面结合实例来讲解它们的作用，并配置它们。

　　1、流量及其连接数限制

　　比如将IP地址为192.168.1.10的计算机的流量设置为50Kbits/s，它的连接数最多为20。首先选择左侧窗格中的“防火墙策略”，并在右侧窗格中选择“工具箱”→“新建”→“计算机”，在弹出对话框中将名称设为lw，IP地址为192.168.1.10，描述为受限用户，然后点击确定。(图11)

图11

　　再用右键单击Bandwidth Splitter下的Shaping Rules项，选择“新建”→“Rule”，在弹出的“新建带宽控制规则向导中”填入规则名称“lw 小于 50K”，在“Applies To”项中选择“IP　address sets specified below”，点“Add”并从列表里找到刚才建好的名称为“lw”的计算机。然后点击下一步，在“Destinations”项中从列表里添加“外部”，点下一步，在“Schedule”项中选择“Always”，然后，在“Shaping”中选“Shape total traffic(incoming+outgoing)”，Total值设为“50”，勾选“Don't shape cached web content”。点下一步，在“Connection setting”项中勾选“Limit number of concurrent connections”，将“Connection limit”值设为20;在“shaping type”项中选择“Assign bandwidth individually to each applicable user/address”。点下一步，在“Extra parameters”项中选择默认，然后点击下一步。 (图12)

图12

　　此时在左侧窗格中就出现了刚才配置的“lw 小于 50K”的流量控制策略，单击ISA Server 2006控制台工具栏上的绿色按钮“Apply changes”，提示应用完成之后，这个流量控制策略就生效了。打开“Monitoring”项，可以看到IP地址为192.168.1.10的计算机的实时流量一直被控制在50Kbits/s以下，连接数也在20个以下。在“Monitoring”项上点右键，勾选“Connections Details”我们可以查看到，每一台计算机当前的连接情况的附加信息，包括协议、目标主机IP、端口等详细内容。(图13)

图13      

2、设定总流量上限      

　　例如将IP地址为192.168.1.10的计算机每周的流量总额限定为300MB。首先，用右键单击Bandwidth Splitter下的Quota Rules项，选择“新建”→“Rule”，操作同前述例子基本一致，按向导提示一步步填写相关内容即可。只是在“Traffic Quota”选项中有所不同，选择“Limit total traffic(incoming+outgoing)”，Total的值设为300MB，勾选“Don't account cached web content”，将“Reset period”值设为“Weekly”，并勾选“Transfer remainder to the next period”，其余相同，完成后应用即可。打开“Quota Counters”项，我们在右侧窗格中可以看到IP地址为192.168.1.10的计算机的策略应用情况，及本周还有多少流量可以使用。 (图14)

图14

　　总结：其实，作为企业网管，永远真正解放的那一天。大家所要做的是，自己动脑、动手，在最大程度上解放自己。其中，充分利用局域网中的服务器，通过扩展优化让其服务最大化肯定是一个好方案。