1、 課程名稱 局域網管理與維護基礎教學目的： 理解Windows 2000 Server網絡監視器、性能監視器、遠程桌面控制以及網絡測試程序的作用。 可分析網絡運行中存在故障與性能問題，可以用注冊表的功能特點，SNMP安全對策和IPSEC實現網絡的安全管理。教學重點：能夠正確使用網絡監視器、網絡測試程序、注冊表、IPSEC，學會運用Ping、Iconic等命令診斷網絡故障。教學難點： 運用網絡監視器、性能監視器以及網絡測試程序，分析網絡運行中存在的故障與性能問題。利用注冊表功能，SNMP安全對策和IPSEC實現管理。 教學設備： 多媒體教室、計算機實驗室教學內容（板書）教學步驟、方法時間第六章局

2、域網項目管理與維護基礎6.1 Windows2000共享資源的管理6.1.1共享資源的管理與訪問分布式文件系統，從物理上說存在于網絡各個部分的共享文件的集合，它允許系統管理員對分散于網絡各個部分的共享文件進行集中管理。1、使用服務器管理器來管理共享資源：（1）打開“管理工具”中的“配置服務器”。（2）選擇“文件服務器”來共享資源。2、文件夾可設置以下共享資源：（1）所有用戶都有完全控制權限。（2）管理員有完全控制權限，其他用戶只有讀訪問權。（3）管理員有完全控制權限，其他用戶沒有訪問權。（4）自定義共享和文件夾權限。3、共享資源的訪問方法（1）通過“網上鄰居”直接訪問。（2）在IE地址欄中鍵入

3、服務器或服務器地址。6.1.2網絡打印機的設置和管理1、網絡中共享打印機有兩種方式：（1）在打印機中安裝網卡，使其與網絡直接連接。（2）設定一臺打印服務器，在服務器中添加打印機。2、打印服務器上打印機的屬性設置（1）“常規”選項卡 修改打印機的名稱。 編輯打印機的路徑信息。 設置打印機的布局及使用紙張等。 還可以顯示打印機的型號及功能信息。（2）“共享”選項卡 選擇“不共享”選項，取消共享。 選擇“共享為”選項，將打印機共享，并輸入共享名。單擊“其他驅動程序”，可安裝其他版本的驅動程序。（3）“端口”選項卡 通過“刪除端口”、“配置端口”、“添加端口”按鈕可以修改打印機所在端口的各種設置選項，

4、對端口進行刪除和添加。打印機池：是邏輯打印機，它通過打印服務器的多個端口連接到多個相同的打印機。（4）“高級”選項卡 打印機工作時間及驅動程序。 打印機打印方式。 分局打印方式的相應配置。（5）“安全”選項卡設置哪些用戶和組能對打印機進行訪問，及其訪問權限是什么。（6）“設備”選項卡：描述了打印機的物理配置，并可對打印機的物理參數進行設置。 6.2 遠程桌面控制的應用 網絡維護中，如何實現對服務器的遠程控制是我們時常探討的話題。 6.2.1 VNC遠程桌面的安裝與配置 VNC 可以安裝在 Windows 中而讓使用者在世界各地遠端遙控自己的計算機，即使在不同的操作平臺上也沒有問題。1、安裝VN

5、C 直接運行安裝文件，全部默認安裝，可在“開始程序RealVNC”中找到VNC組件。2、VNC服務器端的啟動和設置 選擇RealVNC組件中“Run VNC Server”項運行即可。 在“Current User Properties”對話框中輸入客戶端連接時所需密碼，按“確定”。3、VNC客戶端連接 （1）在另外一臺安轉VNC 的計算機上運行客戶端。選VNC組件中的“Run VNC viewer”項即可。輸入服務器的IP地址或計算機名 （2）按提示輸入連接密碼。 （3）成功連接后客戶端的屏幕顯示服務器端的內容。 （4）連接成功后，也可以在服務器端進行操作，客戶端也可以同步顯示。6.2.2

6、VNC遠程桌面的連接使用 （1）遠程管理 （2）教學培訓 （3）VNC遠程桌面的連接局限性 一臺服務器只能連接一個客戶，只有最后一個成功連接的客戶可以得到服務。 6.3 Windows 2000注冊表應用 6.3.1 注冊表分析 1、注冊表的特點 注冊表的引入用于代替“.ini”文件，整合集成了全部系統和應用程序的初始化信息，其中包含了硬件設備的說明，相互關聯的應用程序與文檔文件，窗口顯示方式，網絡連接參數，設置關系到計算機安全的網絡設置。（1）形式上，注冊表與INI文件相比的優點： 注冊表采用是二進制形式登陸數據。 注冊表支持子關鍵字，各級子關鍵字都有自己的鍵值。 （2）功能上，注冊表與IN

7、I文件相比的特點： 注冊表允許對硬件，某些操作系統參數，應用程序和設備驅動程序進行跟蹤配置，使得某些配置可在不重新啟動系統的情況下立即生效。 注冊表中登陸的硬件部分數據可以用來支持 Windows95的即插即用特性。通過注冊表，管理人員和用戶可以在網絡商家愛逆差系統的配置和設置，使得遠程管理得以實現。微軟提供的一個用于編輯注冊表的工具，是Regedit.exe，它是通用的注冊表編輯工具。啟動方法： 打開“開始”菜單里的“運行”菜單項，在對話框中輸入regedit，單擊“確定”按鈕。 2、注冊表結構分析 （1） KEY_CLASSES_ROOT:該主關鍵字包含有OLE信息，以便在系統工作過程中實

8、現對各種文件和文檔信息的訪問。 具體的內容有已注冊的文件擴展名、文件類型、文件目標等。 所有信息保存在system.dat文件中（2） KEY_USER_S: 用戶都可以在這里設置自己的關鍵字和子關鍵字。 用戶根據個人愛好設置的諸如桌面、背景、開始菜單程序項、應用程序快捷鍵、顯示字體、屏幕節電設置等信息云可以在這個關鍵字中找到。 如沒有預定義的登陸項，則采用本關鍵字下的“Default”子關鍵字。 （3） KEY_CURRENT_USER： 指一個指向HKEY_USER結構中某個分支的指針，它包含當前用戶的登陸信息。 （4） KEY_LOCAL_MACHINE: 該關鍵字包含了本地計算機（相對

9、網絡環境而言）的硬件和軟件的全部信息。 根據計算機中硬件配置和安裝文件的不同，本關鍵字中的信息將有很大差別。 本關鍵字中各個子關鍵字中包含的信息有很多是重復的，其目的是瀏覽和編輯方便。 （5） KEY_CURRENT_CONFIG: 這個關鍵字實際上是指向 HKEY_LOCAL_MACHINEConfig結構中的某個分支的指針。 6.3.2 注冊表應用舉例 （1） 冊表中單擊 “HKEY_CURRENT_USERNETWORKRECENT”把主鍵 演示：舉例應用 “RECENT”下的子鍵項全部刪除，消除“網上鄰居”后的信息。 （2） 濾IP:在“HKEY_LOCAL_MACHINESystem

10、Current ControlSetServieesTcpipParameters”下修改雙字節“Enable Security Filters”值為“1”。 （3） 止在“網絡” 中顯示“標識”屬性。 在“HKEY_ USER.DEFAULTSoftwareMicrosoftWindowsCurrent VersionPoliciesExplore”下，新建DWORD“NoNetsetup”并設其值為“1”。等，詳見P1466.4 Windows 2000網絡監視器 Windows 2000 Server本身已經提供了非常好的網絡監視器程序。 6.4.1 安裝網絡監視器 在用戶安裝系統時，網

11、絡監視器不在默認安裝服務中，需要手動添加。 （1） 開“控制面板添加/刪除組件”，選擇“添加/刪除windows組件”。 （2） 中“管理和監視工具”左邊的復選框，并單擊“詳細信息”。 （3） 中“網絡監視工具”左邊的復選框，單擊“確定”選回“windows組件向導”，單擊“下一步”按鈕，系統自動在Windows 2000 Server的安裝源盤查找安裝組件所需的文件。 6.4.2 網絡監視器的功能 網絡監視器復制幀的過程稱為捕獲。 網絡監視器可捕獲從局域網（LAN）上接收的幀；可捕獲本地網卡發出或發送到本地網卡的所有網絡通信；也可以根據信源或信宿MAC地址、IP地址及匹配規則設置一個捕獲過濾

12、器來捕獲特定幀；還可以通過使用觸發器，響應網絡上的事件。網絡監視器和代理，通常用于遠程計算機的性能監視，如果網絡上有多臺服務器，網絡監視代理允許網絡管理員從一個位置監視每臺服務器的性能。6.4.3 網絡監視器的應用 啟動：在“管理工具”菜單中選擇“網絡監視器”單擊“運行”按鈕即可。 標題欄中有“00D0B7B6EDE0”相類似的字串，這代表當前服務器網卡的MAC地址。 網絡監視器主屏幕由四個平鋪窗格組成：網絡圖表窗格、會話統計窗格、站點統計窗格、匯總窗格。 1、網絡圖表顯示窗格 用圖表形式顯示某一瞬間網絡的使用情況： （1） 絡利用：網絡帶寬被利用的百分率。 （2） 秒幀數：網絡上每秒傳送的幀

13、數。 （3） 秒字節數。（4） 秒廣播：每秒廣播數據包的數量。（5） 秒多播：顯示網絡上統計的每秒多址發送的數據包數。 “網絡利用率”、“每秒廣播”、“每秒多播”、如果顯示的值較高，可能存在太多不必要信息。 2、會話統計窗格 用于檢測支配網絡的宿主機。 網絡計算機被列為1和2，標題“12”顯示計算機1向計算機2發送的字節數，標題“21”顯示計算機2向計算機1發送的字節數。 標題“網絡地址1”和“網絡地址2”顯示宿主計算機的MAC地址。3、站點統計窗格 顯示出所捕獲的每個宿主計算機發送的總幀數的概 要信息。宿主計算機的傳送情況通過發送和接受的幀數，發送和接收的字節數，直接幀發送數以及多地址傳送的

14、幀數和發送的廣播信息來表示。4、匯總統計窗格 統計信息描述了檢測到的網絡流量，包括捕獲到的幀和字節數、緩沖區里的幀和字節數、每秒網絡使用統計等網絡狀態統計。 6.5 Windows 2000的性能監視器 6.5.1 性能監視器的功能 性能監視器可以收集與內存、磁盤、處理器、網絡以及其他活動有關的實時數據，并以圖表直方圖或報表形式顯示出來。 主要有兩種功能：1、衡量本地計算機或網絡中其他計算機的性能： （1） 本地計算機或網絡中其他計算機的性能數據進行收集和查看。 （2） 技術七日志中查看當前或先前搜集到的性能數據。 （3） 性能數據表示在可打印的圖表、直方圖或報表視圖中。 （4） 過自動操作將

15、“性能監視器”的功能并入Microsoft Office 組件的應用程序中。 （5） 性能視圖中創建HYML頁面。 （6） 建一些可使用微軟管理控制臺在其他計算機上安裝的可重新使用的監視器配置。 （7） 集和查看計算機中硬件資源的使用情況和系統服務的有關數據，可通過以下選項定義要求收集數據內容：數據類型、數據源、采樣參數、顯示類型、顯示特征。 6.5.2 性能監視器的應用 （1） 開“開始”菜單，選擇“程序管理工具性能”，將打開“性能”窗口。（2） “性能”窗口的工具欄中單擊“+”按鈕后，系統打開“添加計數器”對話框。 （3） 擇希望監視的計算機，選擇“使用本地計數器”來監視本機的某項性能。或

16、選擇“從計算機選擇計數器”，選擇網絡上的計算機。接著在“性能對象”下拉列表中選擇要監視的性能對象，單擊“添加”按鈕。 （4） 擊“關閉”按鈕，系統返回“性能”窗口，開始對相應的對象進行監視。 6.6 網絡性能的調整優化 6.6.1 內存的調整和優化 內存的油畫包括兩個方面： 1、物理內存的調整與優化 （1） 少顯示系統的顏色數。 （2） 低顯示系統的分辨率。 （3） 要使用墻紙或大型的屏幕保護程序。 （4） 閉服務器中沒有使用或不必要的程序。 （5） 除一些不必要的協議。（6） 硬件方面，內存應當使用完全一致的芯片。 2、虛擬內存的調整優化改善虛擬內存的方法主要在于正確的設置虛擬內存。 （1）

17、 統沒有足夠的內存來儲存所有正在執行的線程，就將當前未使用的內存頁面交換到成為虛擬內存交換文件來仿真系統內存。（2） 加物理內存。 （3） 虛擬內存頁面交換文件寫入多塊硬盤。 （4） 虛擬內存設在同一硬盤的不同卷上，對性能沒有幫助。 6.6.2 磁盤系統的調整與優化 1、一定要打開硬盤的DMA傳輸模式 打開硬盤的DMA傳輸模式不僅能提高磁盤讀寫傳輸速度，而且還會降低磁盤對CPU的占用率。 （注意：必須使用80芯的硬盤線） 2、在Windows系統中要關閉硬盤的自動掛起。 3、定期對硬盤的垃圾文件進行清理。 4、將一些臨時、系統文件來設置到非系統盤上。 5、將交換文件（虛擬內存）設為固定值 由w

18、indows管理虛擬內存，其大小經常發生變化，就會產生大量的磁盤碎片。 6、設置適應的磁盤緩存 打開“c:windowssystemsystem.ini”將Min File Cache=設為物理內存的3%，將Max File Cache =物理內存的25%，Chunk Size =512 6.6.3 網絡接口的優化調整 1、計算機電源故障會導致網卡工作不正常。 2、接地干擾也常影響網卡工作。 3、網卡的設置也會直接影響其工作。 4、多余的網絡協議會影響網卡的工作。 6.7 網絡故障診斷 6.7.1 網絡通信與服務故障診斷 Ping命令在檢查網絡通信故障中使用廣泛。 格式：Ping 目的地址 /

19、參數1 /參數2 常用的參數： -a：解析目標主機名。 -t：繼續執行ping命令，直到用戶按Ctrl+c組合鍵中止。 -l：所發送的緩沖區的大小。 -n：發出的測試包的個數。 Ping可在“運行”對話框中執行，也可以在MS-DOS或Windows 2000中的命令。 若ping不成功，則故障可能是網絡不通，適配器配置或IP地址不可用等； 若ping成功，網絡仍無法使用，則問題可能出在網絡系統的軟件配置方面。6.7.2 網絡接口故障診斷 利用Ipconfig命令可檢查網絡接口設置。 鍵入Ipconfig/?可獲得該命令的使用幫助。 鍵入Ipconfig/all可獲得IP配置的所有屬性。 配置不

20、正確的IP地址伙子網掩碼是接口配置中的常見故障。 IP地址配置錯誤有兩種： 1、網絡號不正確：此時會顯示“no answer” 2、主機號不正確：例如：兩臺主機配置相同地址引起沖突。 6.7.3 網絡整體狀態統計 利用Net stat程序幫助用戶了解網絡的整體使用情況。（Net stat/?可查看幫助文檔）。命令格式：Net stat參數主要參數：a：顯示所有與主機相連接的端口信息。 e：顯示以太網的統計信息，一般與s共同使用。 n：以數字格式顯示地址和端口信息。 s：顯示每個協議的統計情況。 若接收錯誤和發送錯接近或為0，網絡接口無問題。當這兩個字段由100個以上的出錯時就可以認為是高出錯率

21、了。 6.7.4 本機路由表檢查及更改使用Route命令 例：c:>Route print 可知本機的網關、子網類型、廣播地址、環回測試地址等。 6.7.5 網絡路由故障診斷 Tracert是路由跟蹤實用程序，用于確定IP數據包訪問目標所采用的路徑。 Tracert（跟蹤路由）用IP生存時間（TTL）字段和ICMP錯誤消息來確定從一個主機到網路上其他主機的路由。 格式： Tracert -d -h maxmum_hops -j host -list -w timeout target name -d:指定不對IP地址做域名分析 -h max_hops:指定跳躍點數以跟蹤到主機的路由。 -

22、j hotlist:指定實用程序數據包所采用路徑中的路由器接口到表。 -w time-out:等待 time-out為每次回復所指定的毫秒數。 Target name:目標主機名稱或IP地址。 顯示出所經每一站路由器的反應時間、站點名稱、IP地址等重要信息。 6.8 基于IPSEC的網絡安全管理 6.8.1 局域網的不安全因素與IPSEC 除了由外部發起的攻擊，很多重要的機密信息泄露與遺失往往是由于企業員工、技術人員從內部侵入公司網絡造成的。IP Security（IP安全性），提供一種端到端的安全，這使得端到端的用戶之間必須通過相互了解IP Security ，才能保護計算機之間進行相互間的

23、通信，可提高通信的安全性，并可以解決客戶和遠程計算機之間的管理。6.8.2 IPSEC的應用特點 1、支持工業標準：Windows 2000 Server采用了以下符合 工業標準的加密算法和驗證技術： （1） iffie-hellmon方法： 是一種公共密鑰密碼算法。兩個主體互相交換公共信息，然后每個主體把另一個主體的公共信息與自己的秘密信息結合在一起，產生一個秘密共享的密鑰值。 （2） MAC（雜湊信息驗證代碼）算法： 首先，它對數據包使用帶密鑰的雜湊算法，從而產生一個接收方可驗證的數字簽名。 如果信息在傳輸中被改變，則雜湊值必與原來的數字簽名不同。 （3） ES-CBC（數據加密標準-密碼

24、塊鏈） 它使用一個隨即生成數，結合秘密密鑰對數據進行加密。 2、安全性的協議 （1） ISAKMP （Internet安全關聯與密鑰管理協議） （2） okLey：一個密鑰確定協議，它使用Diffie-Hellman密鑰交換算法來決定密鑰的生成。 （3） IP AH（驗證報頭）：提供數據的完整性驗證，并能夠防止IP數據包的重復發送，但它不支持數據的加密。 （4） IPSEC（IP封裝安全協議）：使用DEC-CBC算法為數據傳輸進行加密。 3、協商策略：由協商策略決定使用哪種安全協議。 4、安全性對策略：對Windows IP Security屬性的配置叫安全性策略，它建立在相關聯的協商策略和I

25、P過濾器上。 5、透明性和密鑰的動態重新生成。6.8.3 在Windows 2000中啟用IPSEC安全策略 1、服務器端的配置 （1）創建IP安全策略 單擊“開始”“運行”，鍵入MNC。 選擇“控制臺”下“添加/刪除管理單元”，單擊“添加”出現“可用的獨立管理單元”，選擇添加“IP安全策略管理”。 選擇IPSEC策略管理的作用范圍 本地計算機 管理此計算機所在域的域策略 管理另一個域的域策略 另一臺計算機 （2）添加IP安全規則 打開“管理工具”中“本地安全策略”，單擊“IP安全策略，在本地機器” ，右鍵選“屬性”。在“規劃”選想卡中，單擊“添加”按鈕，出現“安全規則向導”，單擊“下一步”。

26、 IP安全規則的隧道終結點的設置： “此規則不指定隧道” “隧道終結點由此IP地址指定” IPSEC隧道可以使正在進行網絡通信的數據包，在相互通信的兩臺計算機之間建立起直接的專用線路連接。 選擇網絡類型，之后身份驗證方法選擇Ø Windows 2000默認值（Kerberos V5協議）Ø 使用此證書頒發機構（CA）頒發的證書Ø 此字串用來保護密鑰交換（預共享密鑰） 選擇“IP篩選器”，完成規則添加 （4） 置IP安全規則 在常規選項卡，可修改“檢查策略更改時間”。 “高級”選項卡，進行數據通信中密鑰交換的設置。 “方法”選項卡，可設置安全測試方法的順序。 2、客

27、戶機端的配置 （1） 標右鍵單擊桌面上的“網上鄰居”，選擇“屬性”。 （2） 鍵單擊準備使用IPSEC的“連接”，選“屬性”選中“Internet協議（TCP/IP）”,然后選“屬性”。 （3） “高級”按鈕，再單擊“選項”選項卡，選擇“IP安全”，并單擊“屬性”。 （4） 擇單選框“使用IP安全”。 6.8.4 傳輸數據使用的加密算法 1、驗證加密 指的是數據包的完整性。算法：安全散列算法（SHA）產生160位的密鑰。消息摘要5（MD5）產生128位的密鑰。2、數據加密 （1） 6位DES 國際通用標準 （2） 0位DES 低級別的加密方法 （3） riple DES（3DES）最安全的數據

28、加密標準，Windows 2000必須安裝“高安全性加密包”才能執行3DES。 6.8.5 IPSEC的模式選擇 1、IPSEC傳送模式：保護兩主機間的通信（只支持2000系統） 2、IPSEC隧道模式：由一個隧道客戶和隧道服務器組成，采用協商加密機制。選用安全方式封裝和加密整個IP包，再將其封裝進明文IP包頭發到隧道服務器，對數據處理去掉明文包頭，解密獲得負載IP包，再送往目的地。 IPSEC隧道模式的功能和局限： （1） 能支持IP數據包。 （2） 作在IP棧的底層。 （3） 一個安全策略進行控制。 6.9 SNMP的安全隱患與對策 6.9.1 Windows 2000 SNMP協議及配置 簡單網絡管理協議SNMP主要針對TCP/IP網絡提出，在互聯網骨干設備和絕大多數廠商的網絡產品中得到廣