下面结合一个案例,来分析一下在一个多网段、多主域的环境中,如何对Windows NT 的一些技术参数进行设置。
一、案例环境概述
在该案例中,Windows NT 网络由4 个物理网段构成,网段间通过ATM 交换机相连,各个网段均为独立的域(域名分别为HK-PDC、HY-PDC、WC-PDC、PDC1),如图1。
图1本案例的4 个网段
HK-PDC 的IP 地址为10.228.17.0 ,掩码为255.255.255.0;HY-PDC 的IP 地址为10.228.18.0,掩码为255.255.255.0;WC-PDC 的IP 地址为10.228.19.0,掩码为255.255.255.0;PDC1 的IP 地址为10.228.16.0 掩码为255.255.255.0 。
二、协议的优化选择
在小型局域网中,NetBEUI 协议是不错的选择。它无需任何人工设置,而且传递速度很快,是包括TCP/IP 在内的其他协议所无法比拟的。但NetBEUI 的传输机制是基于密集的广播方式,这就不可避免地占用大量网络带宽(以太网带宽利用率超过50% 就要考虑分段),而且无法被路由到其他网段。显然,NetBEUI 协议不能用于广域网。
而TCP/IP 的最初设计思想就是要将其用于分组交换的广域网,它的可路由机制以及良好的跨网段亲和性,确定了它目前无可争议的主流协议的地位。因此,任何对TCP/IP 持怀疑和抵制的态度都是不明智的,而我们需要做的,是尽快地将网络中现有的通讯协议迁移到TCP/IP 上。
Windows NT 将TCP/IP 作为其内置缺省协议,对TCP/IP 提供了良好的内在支持,从而最大限度地减少了用户在实施TCP/IP 方案时可能遇到的困难,但这并不意味着不会遇到麻烦。虽然微软在这方面花了很大的力气,但目前仍然需要较多的人工干预,而且涉及面相当广泛。
三、建立WINS 服务
我们知道,WINS 是名称服务的一种实现形式,它和Internet 上广泛使用的DNS 的作用是一样的,都是将计算机名(在DNS 中称为主机名)映射到它的IP 地址上,以便两台机器在网络层建立起通讯连接。不同之处在于WINS 是自己动态维护的,不需要人为的干预;而DNS 则是静态的,要完全依赖人工的维护。当网络有Internet/Intranet 方面的应用时,DNS 可不予设置。
在小型局域网中,可以完全不考虑WINS 服务的建立,网络也不会因此而受到影响,因为在Windows NT 上,客户机可以采用广播方式找到那些出现在浏览器(不是指Internet Explorer)中开放了各种资源(如共享目录、打印机)的机器。
而在广域网中,为了抑制广播风暴的发生,路由器是不转发广播信息的,这样一来,基于b 节点(如没有设置WINS 选项的Windows 95/98 客户机缺省为b 节点,这些客户机采用广播方式联络)就会导致无法跨网段进行资源的共享。这时,如果安装了WINS,这个问题就会迎刃而解,因为机器可以利用查询运行有WINS 的Windows NT 服务器,来准确地定位到想使用其共享资源的机器的IP 地址。
当然,可以在广域网中只建立一个WINS 服务器,但为了增强网络的容错性,有必要建立两个WINS 服务器: 一个作为主WINS 服务器(Pirmary WINS Server),一个作从WINS 服务器(Secondery WINS Server),并为它们建立起伙伴复制关系,以确保两者的数据一致。
WINS数据库
图2 显示的是WINS 数据库中的内容(该WINS 服务器架设在10.228.16.0 网段),从中我们可以看见有3 个网段的WINS 客户机在WINS 服务器做了动态映射,在主浏览器(驻留在PDC 中)的配合下,其他客户机只需访问这个数据库,就可以很方便地查询到这些身处不同网段机器的IP 地址,从而确保了跨网段浏览的连续性。
四、建立DHCP 服务
DHCP 可以允许客户机动态地从DHCP 服务器上获得一段时间的IP 地址租用权,这不但可以有效地节省IP 地址的占用,而且能极大地减轻系统维护负担。在广域网中,采用手工分配而不使用DHCP 方式给客户机分配IP 地址的行为,是不可思议的。
将客户机设置成自动获取IP 方式后(如Windows 95/98、Windows NT 客户机上选中" 从DHCP 服务器获取IP 地址"),剩下的有关TCP/IP 的设置工作完全可由DHCP 服务器来完成。在Windows NT 的广域网环境下,一般需要对DHCP 服务器中的4 个选项做如下设置:
1. 003 选项-- 给客户机指定默认网关。
2. 006 DNS-- 指定DNS 服务器的IP 地址服务器(如没有,可不设)。
3. 044 WINS/NBNS-- 指定WINS 服务器的IP 地址。
4. 046 WINS/NBT 节点类型-- 设为0x8 h 节点类型。
其中NBNS(NetBIOS Name Service)、NBT(NetBIOS Node Type)的具体描述细节可参考RFC 1001 技术文档。
一旦上述参数在DHCP 服务器上设置完成后,在客户机重新引导时,这些参数就会和出租给客户的IP 地址一起将作为客户机的既定配置,一起下发给它们使用。
在广域网的规划设计中,可以集中在一台DHCP 服务器上来管理整个网络的IP 地址的分发及其有关TCP/IP 参数的设定,这台DHCP 服务器可以为来自不同网段的IP 地址申请做出正确的响应,并为它们分发出相应网段的IP 地址。
DHCP管理器
图3 中,在DHCP 服务器(IP 地址为10.228.16.1)上划分了4 个网段,分别对来自4 个网段的客户机的申请作出响应,并给予相应网段中的动态IP 地址。
在右侧" 选项配置" 中,可以看到已设置好了上述的4 个选项。
以10.228.16.0 网段为例:
1. 给客户机指定的默认网关为10.228.16.31。
2. 给客户机指定的DNS 服务器有两个,分别为10.228.16.6 和10.228.0.1。
3. 给客户机指定的主WINS 服务器为10.228.16.6、从WINS 服务器为10.228.16.3。
4. 规定的客户机的节点类型为0x8 节点(即h 节点先通过WINS 查询,失败后,再由广播方式查询)。
当客户机引导完后,通过winipcfg 命令(Windows 95)、ipconfig/all 命令(Windows NT)来查看客户机获取的各项设置是否正确。
五、建立信任关系
要在Windows NT 的多域之间达成资源的共享和账号的异地校验(又称转移验证),建立起信任关系是必不可少的一个环节。在具有信任关系的两个域中,将自己的资源提供给别人使用的域称为信任域(Windows NT 4.0 改称为委托域),能够访问到其他域资源的域称为被信任域(Windows NT 4.0 改称为受托域),至于是建立双向信任关系还是单向信任关系可根据实际需求来限定。
如图4 所示:
委托关系
1. 本地域PDC1 已将自己的资源开放(或称委托)给HK-PDC、HY-PDC、WC-PDC 三个域使用。
2. HK-PDC、HY-PDC 也已将自己的资源委托给PDC1 使用了。
3. PDC1 与HK-PDC 之间、PDC1 与HY-PDC 之间都是双向信任关系。
4. PDC1 与WC-PDC 之间是单向信任关系。在该例中,PDC1 信任WC-PDC,但WC-PDC 却不信任PDC,结果就是WC-PDC 可以访问PDC1 的资源,而PDC1 却不能访问WC-PDC 的资源。
在本例中可以看到,除了Microsoft 推荐的几种多域信任关系外,用户也完全可以根据行业特点和实际需求,灵活多样地设计出切实可行的多域信任关系来。