授予Proxy权限给新用户组
打开IIS Service Manager,然后打开Web Proxy属性页。我将讨论在MS Proxy Server里如何授予权
限给一个组。打开Web Proxy Server属性页,选Permissions页。
缺省情况下,MS Proxy Server没有为任何协议配置权限许可。因此,没有用户能通过Web Proxy(或WinSock Proxy)出站访问Internet,要给一个新的Proxy用户组授予访问权限,需进行如下操作:
1. 在Protocol下拉框中选择一个你希望指定访问权限的协议。
2. 点"Add"钮,将弹出一个对话框来把组或用户加入到这个协议的访问列表中。
1. 下拉表里的名字列表允许你选择任何域,外部域可以通过信任连接或其他域的并行帐号。
2. 缺省情况下仅列出本地组和全局组,你也可以列出全部用户,单独配置用户,但这对于大中型网络的管理来说,将是一场恶梦。可能的话,尽量用工作组来配置用户。
在Add Users and Groups对话框上的"Members"按钮可以显示出当前选中的组的成员列表
控制来自于Internet的进站访问
安装了Proxy Server后,NT有两处改动来扩展安全。第一个改变是IP转发。IP转发是在TCP/IP属性里的一项设置,这是关闭的。它控制NT是否在网络接口间转发IP包(例如:从网卡到RAS连接之间)。当为一个网络配置永久性的Internet连接的前提下,并且局网上的每一个工作站配置了它们自己的Internet直接访问时,IP转发必须设置为有效,以便工作站可以把它们的包发向Internet,反之亦然。在连接到Internet的那台NT Server上,它自己将锁住所有的进站流量
更进一步地限制从Internet上连到NT Server的客户机,MS Proxy Server禁止了所有没有权限设置IP端口的侦听,这意味着任何运行在NT Server上的Internet服务应用程序(例如FTP服务器,Telnet服务器,或POP3服务器)都不能听到任何外部的进站流量,除非给这些协议设置了WinSock Proxy权限。Web Proxy仅侦听80端口的流量,如果在Web Proxy里给任何被支持的协议设置的权限,80端口也可以侦听进站流量。
在MS Proxy Server自己的域里隔离它
如果你想为你的代理访问设置非常高的网络安全特性,有一个方法,就是设置运行Proxy Server的NT服务器作为它自己域 里的基本域控制器。然后在Proxy域和网络域之间建一个单向信任关系。Proxy域设置为信任网络域,但是网络域不要信任Proxy域,这种设置将更好的限制发生在Proxy服务器和网络域所有其他系统之间的访问。
当网络未被设置成一个域时,这种方法也能工作量很好。但相对于工作而言,运行Proxy Server的NT服务器可以被设置成它自己域的基本域控制器,这可以提供更好的安全控制,并且对于将来的扩充也会更容易。
监视Proxy Server活动
两种基本方法:第一种,也是最常用的一种日志记录是标准的逗号分割的文本文件,或是通过ODBC驱动程序连接到SQL上。第二种方法,是通过SNMP来监视。这需要在NT上安装SNMP服务。SNMP的目的是分布式,并且有时控制数据到一个远程工作站上,以便于运行在NT Server上的服务能从外部地方被监视并被控制
Proxy Server可以记录日记信息到一个文本文件,或通过ODBC驱动程序把信息记录到一个数据引擎。文本日志是一个非常简单的处理过程,而且让网络管理员有一个快速的方法查看关于Proxy Server部件所发生的事件(Web Proxy and WinSock Proxy)。日志可以用于生成日、星期或月的报告。
文本文件记录
缺省情况下,Proxy Server记录所有的事件信息到一个文本文件,该文件存在下面的地方:
n Web Proxy Logs: c:\winnt\system32\w3plogs
n WinSock Proxy Logs: c:\winnt\system32\wsplogs
通常每天会自动建立新的日志文件,可以改为每星期或每月。当使用中的日志文件达到指定尺寸时,会建一个新的日志文件
在Web Proxy and WinSock Proxy services的属性设置中,有一个日志表。两个服务的表都是一样的。
当一个日志文件建好后,它的名字是基于当前日期的。例如,日志文件是1996年12月5日建的,日志文件名就是:w3961205。日志文件有两种格式:常规和详细,常规日志是短格式,不包括所有的数据元素,详细日志包含了完整的数据
常规日志样板。
详细日志样例
数据字段的定义
为了明白日志文件的内容,下面是日志文件中每一个字段的定义,它的顺序和你在日志文件中看到的一样。记住Web Proxy和WinSock Proxy的日志文件在格式上是一样的。常规日志并未省略任何数据字段,只是减少了某些信息量。
1. 客户机IP (ClientIP):这个字段时连接到Proxy的客户机IP地址。当Web Proxy激活一个缓冲任务(要连到外部WEB来刷新缓冲的内容),就会自己记录一个条目到日志文件,这个字段的数据就是Web Proxy服务器自己的IP。
2. 客户用户名(ClientUserName):如果Proxy客户机用户的名字是已知的,它就会显示在这个字段里。如果是一个匿名用户,这个字段的值就是"anonymous"。
3. 客户代理(ClientAgent):这个字段是客户访问Proxy服务器的代理名称。如果是Web Proxy客户,那么客户应用程序将会在连接头发出这个信息给Web Proxy。如果是WinSock Proxy客户,工作站上的WinSock 客户软件将决定程序运行的实际名字并通过控制通道传递给WinSock Proxy。该字段也包含了客户操作系统的重要信息,该信息用一个冒号与代理名分开。对于Web Proxy客户,这些信息有可能在连接头里被传给服务器(也可能不会)。对于WinSock客户,这个信息总是通过WinSock客户软件被传递给服务器。一个操作系统信息由客户传给Web Proxy的例子:compatible; IE3; WIN95。操作系统信息由一个客户传给WinSock Proxy看起来象这样:2:4:0,这是Windows95的代码。下面这个表是WinSock Proxy日志中操作系统代码的明细。
0:3.1 Windows 3.1
0:3.11 Windows for Workgroups
0:3.95 Windows 95 (connection made by a 16-bit client application.)
1:3.11 Windows for Workgroups (connection by a client using the Win32s extensions.)
2:4.0 Windows 95 (connection made by a 32-bit client.)
3:3.51 Windows NT 3.51
3:4.0 Windows NT 4.0
Web Proxy完整记录这个字段值的样例是:Mozilla/2/0(compatible; MSIE 3.0; Windows 95)。WinSock Proxy完整记录这个字段值的样例是:WS_FTP32.EXE:2:4.0。Web Proxy记录该字段的精确值依据客户应用程序在做proxy连接时传送到Web Proxy的头信息改变而变动
4. 认证情况(ClientAuthenticate):该字段指出客户是否为一个确认过的连接,Y值代表客户经过NT安全数据库的校验。
5. 记录日期:Proxy Server建立该条记录的日期
6. 记录时间(LogTime):Proxy Server建立该条记录的时间
7. 服务器名(ServerName):加入到日志记录里的服务器名字。当选择详细日志记录时,WspSrv代表WinSock Proxy,W3Proxy代表Web Proxy。当选择常规日志时,该字段是两个数值,1代表Web Proxy,2代表WinSock Proxy。
8. Proxy Name:运行Proxy Server的NT服务器名字。这是一个NetBIOS名字。
9. 提交服务器名(Referring Server Name):这在当前版本下是一个保留字段。以后的Proxy Server版本将用它来保存下行Proxy Server的名字,该服务器连接到当前Proxy Server。这在一个互相协作的层叠Proxy服务器群里非常有用
10. 目的名(DestHost):该字段指出客户通过Proxy Server连接的域名。但并不总是客户连接请求的名字,因为网上有些站点自动执行连接转发。如果信息由缓冲中发出(只有Web Proxy这样),则该字段无内容。
11. 目的IP地址(DestHostIP):该字段保存客户通过Proxy Server连接主机的IP地址,就象上个字段一样,如果从Web 缓冲中获信息,该字段则无内容。
12. 目的端口(DestHostPort):在Proxy Server和目标站点之间连接的TCP/IP端口。如果没有数据传送到客户机上,该字段无内容,该字段仅由Web Proxy使用。WinSock Proxy在此字段无内容。
13. 处理时间(ProcessingTime):Proxy Server获取客户机发出信息所花费的时间(毫秒级)。一旦proxy server从目的网站收到结果代码,时钟就停止。如果信息由Web Proxy缓冲里发出,该字段则指出定位信息并发送给客户机用了多少时间。
14. 发送字节数(BytesSent):Proxy Server发送给客户机的字节数。如果没有信息发给客户机,该字段可能为空。只有Web Proxy使用该字段。
15. 接收字节数(BytesRecv):该字段记录Proxy Server由客户机处收到的字节数。其大小是客户机发给Proxy的请求数量。和前个字段一样,该字段仅由Web Proxy使用。如果该字段在Web Proxy日志中为空,可能是客户机没有发送数据或是没有提供大小信息。
16. 协议名称(Protocol):在Web Proxy日志里,该字段的内容是:HTTP, FTP, Gopher, or Secure,根据客户使用的协议而不同。在Winsock Proxy日志里,该字段是客户机连接的常用数字协议(例如:SMTP连接的110)
17. Transport:客户机与Proxy Server之间使用的传输方法。Web Proxy连接总是TCP。Winsock Proxy连接会是TCP、UDP或是IPX/SPX。
18. Operation:记录Proxy Server执行的转输操作。Web Proxy能记录GET、PUT、POST和HEAD。WinSock Proxy能记录Connect、Accept、SendTo、RecvFrom和GetHostByName。
19. 对象名称(Object Name):该字段记录Web Proxy收到的对象名称,WinSock Proxy日志该字段为空。
20. Object MIME:仅Web Proxy使用该字段。记录收到的MIME类型对象。如果目标服务器未定义或不支持,该字段会包含如下字符串:
MIME Type Definition
application/x-msdownload Application
image/gif GIF Image
image/jpeg JPG Image
multipart/x-zip ZIP Archive
text/plain ASCII Text File
21. Object Source:只有Web Proxy使用,该字段记录对象由何处而来。记录内容如下:
n Field Value Definition
n Unknown Proxy Server could not determine where the object originated.
n Cache Object found in cache.
n Rcache Object found on Internet. Objects was added to cache.
n Vcache Object found in cache. Object was verified against target object on Internet.
n NVCache Object found in cache but could not be verified against target object on Internet. Object was still returned to client.
n VFInet Object found on Internet. Object could not be verifed against source.
n PragNoCacheInet Object found on Internet. HTTP header indicates that the object should not be cached.
n Inet Object found on Internet. Object was not added to the cache.
1. 结果代码(Result code):该字段是连接到的Internet站点返回关于收到对象的结果代码。该字段值的范围非常广,Web Proxy和the WinSock Proxy在该字段记录不同的值。在Web Proxy记录里,低于100的值代表Windows错误代码,在100和1000之间是HTTP状态代码,10000以上的值是Wininet或WinSock错误代码。Web Proxy记录的三个最常见的代码是200(成功连接)、10060(连接超时)、10065(未达到主机)。在WinSock Proxy记录里,该字段的值是下列代码之一:
Code Definition
0 Successful Connection
1 Server Failure
2 Rejection by Proxy due to filtering
3 Network unreachable due to no DNS service available.
4 Host unreachable because no DNS entry could be found for the host.
5 Connection refused by target Internet site.
6 Unsupported client request (perhaps the client is using a non-compliant TCP/IP stack or the WinSock call is from a non-supported version.
7 Unsupported Address type.
详细字段与一般字段
当选择一般记录时,有些字段会简单的用"-"来填充,详细记录会记录前面列表中所有已知数据。一般日志仅记录下面的字段:
Client Computer IP
Client User Name
Authentication Status
Date Logged
Time Logged
Server Name
Destination Name
Destination Port
Protocol Name
Object Name
Object Source
Result Code
阅读日志有时会非常糊涂,因为有时看上去代理服务器没有记录正确的信息。最重要的是记住保持字段顺序的正确,很快你就能正确地理解它们了。
MS Proxy
日志记录的注意事项
因为Web proxy是作为WWW Server的一个子服务运行,你可以关掉所有的WWW日志并且让Web Proxy记录所有的连接信息。允许WWW记录是多余的,只会无谓地消耗硬盘空间。
说到硬盘空间,注意当有许多人访问Proxy Server时,日志文件会增长到非常大的尺寸。这会导致每个由Internet或缓冲返回的对象产生一个记录。WEB页面可以包含5个、10个、甚至更多的对象。每次访问象这样的页面,都会建立大量的日志记录。更糟的是,有些客户在他们收到一个错误的数据请求时,会一次又一次地发出同样的命令,这会使得日志文件变得非常大。一个比较好的方法是仅仅保留一少部分需要日志的时间,并且把你需要保存的那部分存档,如果日志所在的硬盘满子,Proxy Server可能会停止操作。
保持一个日志将确保你作为一个网管为你的公司维护一个高可靠的环境。没有日志,你的网络用户可能会使Internet访问陷于停顿,而你没有办法知道谁或怎么导致了这一问题。
数据库记录
如果你可以访问象SQL Server或Access这样的数据库引擎,你可以使用ODBC驱动程序来让Proxy Server与这些数据库引擎连接记录同样的日志。记录到库的好处是数据在一个易于使用的表格里并且以更紧凑的方式存储。
当安装好Proxy Server后时,会提示你安装ODBC驱动程序。与SQL和ACCESS接口的ODBC驱动程序同Proxy Server一同提供。如果ODBC驱动程序已经安装在你的NT Server上了,就无需再重装它们。ODBC以一个通用格式进行操作,同样也不是针对某几个软件(除了为它设计的专用数据库接口)。ODBC被设计成一个通用接口方法,这样应用程序可以用它来打开一个数据库来读写数据,而不用知道特定数据库引擎的数据格式。应用程序可以调用ODBC驱动程序,ODBC驱动程序知道如何用数据库引擎执行请求的动作。
准备数据库
如果你准备用数据库来记录Proxy Server的信息,第一个要做的事情就是准备数据库文件来保存数据。可以通过数据库自身来完成。这是相当简单的一种方法,建一个文件,定好字段、留出足够的长度以保存任何可能的数据。下面的表详细的定义了字段名和类型
Field Name SQL Data Type Access Data Type Length
ClientIP varchar text 50
ClientUserName varcha text 50
ClientAgent varchar text 100
ClientAuthenticate char text 5
LogTime datetime datetime n/a
Service varchar text 25
ServerName varchar text 50
ReferredServer varchar text 100
DestHost varchar text 255
DestHostIP varchar text 50
DestHostPort int Long Integer n/a
ProcessingTime int Long Integer n/a
BytesSent int Long Integer n/a
BytesRecv int Long Integer n/a
Protocol varchar text 25
Transport varchar text 25
Operation varchar text 255
URI varchar text 255
MIMEType varchar text 25
ObjectSource varchar text 25
ResultCode int LongInteger n/a
一旦表构建完毕,两个Proxy服务器属性的Logging页都可以配置将日志记录到数据库引擎,并传递日志信息。第六章有更详细的论述。
其他日志文件
Proxy Server给它自己的内部数据用其他的日志文件。当安装好Proxy Server时,它把安装信息记录到c:\mspsetup.log里。这是个文本文件,如果安装不正确,你可以查看这个文件。
当WinSock Proxy客户软件安装到工作站时,它会建一个日志文件叫c:\mpcsetup.log。这个文件可以帮助你跟踪WinSock Proxy客户软件在安装过程中的问题。
NT的事件浏览器是Proxy Server跟踪操作问题的最好工具,Proxy Server遇到的任何应用程序错误都可以通过事件记录器记录下来,与Proxy Server相关的每一条事件都会被下面的名字之一标记记出来:
Event Source Name Definition
WebProxyServer Web Proxy Server generated
WebProxyLog Web Proxy logger generated
WebProxyCache Web Proxy cache generated
WinSockProxy WinSock Proxy Server generated
WinSockProxyLog WinSock Proxy Server logger generated
MSProxyAdmin Microsoft Proxy Server Administrative interface generated
配置Proxy Server
相对于执行的任务的复杂程度来说,它的安装非常的容易和直观。Proxy Server较复杂的那部分是明白Proxy Server后台工作的原理。在试着配置Proxy Server之前,你应该非常清楚的知道ProxyServer实际上是两个同时独立工作的服务器,执行相似的任务。这些服务器是在NT下独立的服务,但都是通过IIS服务管理器来控制的。Proxy Server第一部分是Web Proxy server,这是一个完全兼容CERN的WEB代理服务器,这意味着任何符合CERN Web Proxy标准的客户机都可以使用MicrosoftProxy Server的Web Proxy访问Internet,Web Proxy客户不必是基于Widnows的客户。
例如:连接到运行Proxy Server的基于UNIX的系统可以运行UNIX版本的Netscape,并且可以通过Proxy Server的Web Proxy server浏览Internet的内容。
Proxy Server的第二部分是WinSock Proxy server,这部分是专门针对Windows环境的,因为在客户端必须安装特殊的WinSock Proxy软件才能访问WinSock Proxy Server。
WinSock Proxy会用特殊的DLLs取代客户端本地的WinSock DLLs,WinSock Proxy server只支持WinSock communications version 1.1,
通过在客户机上使用WinSock Proxy,几乎任何Internet应用程序都可以在本地操作,就象直接连接到Internet一样。因为通讯由WinSock这一层来控制,使用WinSock Proxy的客户端应用程序一般很少需要特殊的配置来使其正常工作。
一旦你掌握了Proxy Server的这两个部分,你就知道如何在你的LAN上最好的运用它们。
The IIS Service Manager
安装Proxy Server时,一个首要条件就是要安装IIS Server,因为Proxy Server的Web Server部分是作为WWW Service的子服务来运行的。Proxy Server也使用IIS Service管理器的界面来控制WebProxy和WinSock Proxy。IIS Service管理器在IIS和Proxy Server文件夹里都有,启动后,其界面如下图
Figure 6.1. The IIS Service Manager.(注:该图是IIS3.0的界面,装了Option Pack4以后,其界面更新为Consol平台)
在你的系统里可能还有其他的Internet服务在运行。缺省情况下,三个IIS服务:WWW、FTP和Gopher,这三个服务是在安装IIS的时候装的。
暂停服务与停止服务不同,当一个服务暂停时,当前到服务的连接仍然保持在活动状态,但是不再接受新的连接请求,当需要完全停止一个服务的时候,暂停服务是非常有用的。可以先暂停服务,待所有的活动连接都断开后,再完全停止该服务。
Connecting to Other Servers 连接到其他服务器
在NT环境中,可以完全控制运行在其他NT机器上的服务。IIS Service Manager可以用于控制在局域网中其他NT服务器上任何有效的Internet服务,甚至是在Internet上。实际上,Proxy Server安装程序可以在Workstation上运行,它只安装管理工具。在工作站上安装了管理工具后,那个工作站就可以用来控制运行于NT服务器上Internet服务,不管这个NT服务器在网络上的任何地方。然而,WinSock Proxy不能用于传送NetBios流量,这些流量是用来控制远程NT服务的。这意味着ProxyServer不能用于让LAN工作站执行某些网络命令,例如:驱动器映射、在Internet上的打印。
Authentication Principles 验证规则
配置Web Proxy和WinSock Proxy服务很大一部分工作是设置安全。本节大致讲解Proxy Server的安全。
Web Proxy service使用两个级别的安全,但是WinSock Proxy service只使用了一个。
Web Proxy service的验证第一层是登录验证,因为其他的操作系统可以访问Web Proxy service,而不依赖内部的Windows登录验证。CERN验证是Web Proxy内置的标准,当一个客户机试图使用WebProxy service时,它必须发出一个标准的HTTP请求访问80端口。在收到这个请求之后,Web Proxy服务器返回一个验证给给支持CERN的客户机,客户机上会显示登录对话框,客户机可以被配置成直接向Web Proxy发送验证用户名和用户密码而无需等对话框。客户机必须用一个匿名登录(如果允许)或提供一个在NT用户数据库中存在的登录名和密码。
如果Web Proxy登录被授权,然后用户名和密码将用于后面确定用户可以使用Web Proxy service里的那些服务(WWW, FTP and/or Gopher)。这是验证的第二层:特定协议访问
计划你的服务器
当你计划在单个服务器使用Proxy Server时,要考虑下列因素
推荐的硬件 在选择处理器速度、硬盘大小和内存数量上,你所应遵循的规则是什么?在计划服务器硬件费用时,这些决定非常重要,根据你对Proxy Server的应用意向,它也直接影响到所有服务器的性能。
Internet连接设备 你使用什么样的物理连接来把Proxy Server连接到Internet?是Modem、ISDN、或是专线,还有些附加问题也要考虑。
Internet连接费用 什么是你Internet连接的带宽和持续性?如果你分析一下你用户访问Internet的时间,你就可以在访问费用得出不同的结论。你可以决定你的用户访问频度,可以决定常用访问站点能被缓冲。这能帮助你决定使用一种最有效的访问方式。
管理你自己的域 当给你的网络和在Internet上的外部用户设置一个DNS服务时,你应该做些什么?
网络协议 在你内部网上正在使用的协议是什么?Proxy Server使用TCP/IP或IPX/SPX协议来与网上的其他用户通讯。
硬件推荐
为了提高性能,你应该计划你的服务器硬件能满足预计的负载。下面的表列出了每类运行Proxy Server计算机的硬件需求。表里的硬件推荐仅针对于运行Proxy Server的单台计算机,实际需求可能因为使用层次的不同、访问介质与LAN的连通性、客户机硬件的速度和使用额外的BackOffice? server产品会有所变化。
处理器 磁盘空间 内存
1 Minimum: Intel 486 or faster; also supports Alpha AXP. At least 10 MB of available disk space for Microsoft Proxy Server after Windows NT Server has been installed.For caching, adequate free disk space for the Web Proxy cache (100 MB + 0.5 MB for each Web Proxy service client).
At least 24 MB (32 MB for RISC-based systems).
2 Recommended for a small business (0–300 desktops): Intel Pentium 133-MHz processor. For caching, adequate free disk space for the Web Proxy cache (from 250 MB–2 GB of disk space). At least 32 MB.
Recommended for a medium business (300–2,000 desktops): Intel Pentium 166-MHz processor. For caching, adequate free disk space for the Web Proxy cache (from 2–4 GB of disk space). At least 64 MB.
3 Recommended for a large business (2,000 or more desktops): Intel Pentium 166-MHz processor. Set up a Proxy Server array with at least one server for every 2,000 desktops. For caching, adequate free disk space for the Web Proxy cache (from 2–4 GB of disk space per array member). At least 64 MB per array member.
4 Recommended for an ISP with 1,000 or more simultaneous dial-up users: Intel Pentium 166-MHz processor. Set up a Proxy Server array with at least one server for every 1,000 dial-up customers. For caching, adequate free disk space for the Web Proxy cache (from 2–4 GB of disk space per array member). At least 64 MB per array member.
注意:从磁盘的缓冲里提取对象响应请求,比从网络上响应需要的处理更少。这样,在单个Proxy提供服务时,磁盘缓冲可以让更多的人访问Proxy服务器。
下面讨论了Proxy Server 在网络中与其他提供名字服务的服务器协同操作的不同方法:
DHCP DHCP简化了TCP/IP 网络的配置,提供了动态分配网络地址及相关信息。 DHCP通过使用地址分配来集中管理 IP地址,同时也避免了地址冲突
DNS DNS是在Internet 上的名字解析服务,用于映射IP 地址和它们的域名
WINS NT服务器使用WINS 名字解析服务来映射域名(NetBIOS 名)到 IP地址
与WINS和 DHCP一起使用DNS
NT4里的DNS 提供很多功能,支持与WINS 和DHCP集成提供解析主机名到网络地址的完整解决方案。
另外,还执行标准DNS 的功能。DNS服务器可以为DNS不能解析的主机名检查 WINS数据库。而且,因为 WINS能管理主机名到地址的动态更新, DNS和WINS 的联合应用就可以省掉手工管理DNS 信息的需要了,换句话说,就是可以通过 WINS来自动更新DNS ,让DNS也变成动态的。
有了DHCP,在一个大型组织里的 NT或95 客户端用户就可以很容易的在内部网上任意移动,通过使用友好的名字,一样的访问网络资源,并且 IP地址也可以有效的自动分配。对于网络管理员来说, DHCP对减少在管理IP 地址分配上的负担提供了一个最佳的途径。
如果你在你的Intranet上使用DNS ,并且有一个外部DNS服务器,你需要改变DNS 服务器的配置,关掉DNS搜索的递归转发(recursive forwarding) 。关掉NT4 上DNS服务器的递归转发 (recursive forwarding),要运行 regedt32,并且加入下面的注册表项目:
HKEY_LOCAL_computer
SYSTEM
CurrentControlSet
Services
DNS
Parameters
NoRecursion:REG_DWORD:0x1
上述注册表项目防止你的本地DNS 服务器阻止更深一层的尝试来解析主机名查询请求。这样可以让 DNS搜索继续尝试搜索列表中的第二个 DNS服务器。
如果你的本地DNS服务器不是在Windows NT平台上,如:使用BIND服务的基于Unix上的 DNS服务器,那么请看一下服务器的文档如果关掉递归转发 (recursive forwarding)。
在网络中DNS服务器的放置位置
为了管理网络上的本地DNS 服务,首先要为网络的DNS 服务器确定首选物理位置。选择的位置依据 Internet连接是否需要 DNS服务,或者是否仅仅内部网需要 DNS服务。
如果你只想为Internet 连接提供DNS服务,照下面的言方法做:
在连接Proxy Server到 ISP的网段上安装一个独立的 DNS服务器。这对于大型网络来说是首选方案。
另一个可选方案,是在运行Proxy Server 的计算机上安装并配置DNS 服务器。对于这种配置,要确定DNS 服务仅被绑定在广域接口卡上,而不要绑定在局域网卡上。该方案并非首选方案,但对于新增硬件有费用困难的小型网络来说,这是一个可选方案。
如果你只想为内部网络提供DNS 服务,照下面的方法做:
在连接Proxy Server到内部网的网段上安装一个独立的 DNS服务器。
在运行Proxy Server的计算机上安装并配置 DNS服务器,确定DNS 服务仅被绑定在局域网卡上,而不要绑定在广域网卡上。
使用单个Proxy Server
单个Proxy Server可以通过设置与使用DHCP 、DNS和 WINS服务的客户机有效地通信。下面一段简单要描述在单个 Proxy Server环境下使用每一种协议的情况。
使用广播来解析主机名(Host Names)
如果你的网络比较小,只有一个网段或是一个子网,那么用 NetBIOS广播名字解析是一种可接受的方案。 NetBIOS可以与NT 支持的任何一种网络传输协议一起使用 (NetBEUI, IPX/SPX, and TCP/IP)。
使用NetBIOS广播名字解析的优点是除了一些基本的网络配置外,不用再有额外的管理。但是,使用 NetBIOS的广播方案对于大型的 Intranet或当需要路由来划分 Intranet时就不再有效了。而且,使用广播会在你的网络上增加流量,当你的网络变大时,在性能上会带来负面影响。
对于一个较大的的网络,需要一种不同的解决方案。 WINS和DNS 就是大型网络用来解决这些问题和需求的服务, DNS是为大型TCP/IP 网络设计的,并遍及Internet 。WINS是由微软开发的,推荐用于以 WindowsNT为平台中型和大型的 TCP/IP网络。
使用Proxy Server和DNS
当要在内部网络上使用DNS 服务时,一台运行NT Server 或Proxy Server的计算机都可以做为内部网络的DNS 服务器。
如果你用同一台机器运行Proxy Server 和DNS 服务,要确定 DNS服务和任何HOSTS 文件仅能够让内部网络的用户访问,你必须要适当的设置系统安全和防止 Internet用户的访问并且禁止 DNS服务在广域网卡上的操作。关于 DNS服务器的操作,看 NT的文档。
当你在内部网上把Proxy Server 用作一个DNS客户时,没有特殊需要考虑的地方。这是对于已经使用 DNS服务的网络的一种推荐配置。而且,如果内部网上没有 DNS服务,你可以用HOSTS 文件。
使用Proxy Server和WINS
当要在内部网络上使用WINS 服务时,Proxy Server 也可以充当WINS服务器。局域网卡必须使用固定IP 地址,不指定缺省网关。要确定内部的 WINS数据库信息不会被 Internet用户看到,你必须禁止这些用户文件文件访问 WINS服务和LMHOSTS 文件,并且对广域网卡禁止WINS 服务。
把Proxy Server用作一个WINS客户时,没有特殊需要考虑的地方。这是对于已经使用 WINS服务的网络的一种推荐配置。而且,如果内部网上没有 WINS服务,你可以用 LMHOSTS文件。
使用Proxy Server和DHCP
当要在内部网络上使用DHCP 服务时,Proxy Server 也可以充当DHCP服务器。局域网卡必须使用固定IP 地址,不指定缺省网关。将DHCP 服务仅绑定在局域网卡上,而不要绑定在广域网卡上。
在内部网上不要把Proxy Server 用作一个DHCP客户。相反,应该用固定IP 地址,把IP地址指定给服务器的局域网卡上。
在内部网上把Proxy Server 作为一个DHCP中继代理时没有要特别考虑的地址,可以在网络属性里设置 DHCP中继。
使用多个Proxy Server
多个Proxy Server也可以通过设置与使用DHCP 、DNS和 WINS协议的客户机有效地通信。下面介绍在多 Proxy Server环境下使用每种协议要考虑的因素。
在两个不连接的网络里,你不能有多于一个的缺省网关。 Proxy Server放在Internet 和你的内部网络之间,内部网络设为不连接的。如果你有两个缺省网关,系统就会认为它们通向同样网络设置,就会把 Internet流量发向内部网络,或是内部流量发向 Internet。缺省网关的 IP地址应该仅配置在运行 Proxy Server计算机的广域网卡上,使用 Windows NT的route 命令加进路由表里。
如果你的内部网络很大,而且你有多个 NT域服务器,考虑为所有运行 Proxy Server的计算机和运行 IIS的计算机单独建一个域。用一个独立的 NT域在Proxy Server 域和其他内部域之间建一个单向信任关系,这样更有利于限制到内部网的访问。
使用多个Proxy Server 和DNS
当在一个有DNS FACE="宋体" 服务的内部网上使用多个Proxy Server 时,必须为每个计算机至少配置一个项目,每个项目指定一个 IP地址以便于内部网络在提供 DNS名字解析时查找。指定的 DNS服务器地址用于转发所有的域名请求,在某些情况下,如果第一个 DNS服务器失效,你也可以使用第二个 DNS服务器地址来查找。
可以使用DNS循环(round-robin),该特性为在网上的多个 Proxy Server提供了负载平衡。循环包括指定一个单 DNS域名,该域名由Proxy Server计算机提供服务,这些 Proxy Server计算机在内部网上每个都有它们自己的 IP地址。循环的配置保证所有客户 DNS查询请求,任何指定给循环的 Proxy Server计算机如果当前有效的话都可以响应这些请求, DNS为每个请求在多个 Proxy Server中轮转IP 地址,其结果是Proxy Server 的负载被分担了。
使用DNS循环来平衡每个 Proxy Server计算机的负载,你需要正确配置每台客户机上的客户配置文件。
注意:公司有时候会做出一些安排,添加一个其他的 DNS项目,这样做主要是如果一个主 DNS服务器失效,那么还有一个备份的域服务器。这个后备域服务器应是在 InterNIC注册列表中。两个 DNS服务器互相配置以提供第二个 DNS服务来补充域的需要。
使用多个Proxy Server 和WINS
在WINS环境里,使用 WINS服务器来配置一个多初始地址 (nultihomed)环境。这有点象 DNS环境中建立一个包括为所有 Proxy Server计算机建的 IP地址列表的条目。在 WINS环境存在三层名字解析。首先, WINS Server用一个客户的 IP地址来匹配客户的查询请求,第二, WINS Server搜索同一子网的 Proxy Server做为一个客户;然后 WINS Server搜索同一个网络的 Proxy Server作为客户;如果 WINS不能为客户导匹配一个网关,它就从 WINS列表里随机选一个网关。
Internet连接设备
在建立到Internet的连接之前,估计一下使用连接的数量,确定一个预计值。首先,确定需要访问Internet的数量。然后,确定都有哪些应用程序和服务要用于这些连接。应该为内外部计算机的数据传送设置一个合理的限制。如果有需要实时处理的应用程序,还应该考虑到这方面的因素。
Modem
Modem最常用SLIP/PPP协议连接到一个ISP来访问Internet。通过使用拨号连接,Proxy Server可以在一条模拟线上使用一个高速模拟Modem进行操作。在有限的情况下,这种访问方式还可以接受,例如:单个网络用户的WEB浏览,或是对小型办公室的邮件路由。模拟Modem通常连接到装了Proxy Server的计算机串口上,NT里的RAS用来管理拨号任务,并负责连接到ISP。
注:如果你使用Proxy Server支持的拨号连接,不要使用RAS属性设置来设定DNS search lists
ISDN
ISDN是取代模拟电话系统的数字方案。现在,标准模拟电话服务要求你用modem把计算机的数据从数字信号转化成模拟信号,以便于从模拟线路上把数据传出去。由于ISDN是数字线路,所以传输过程中的转换过程就没有了。
ISDN网络要求使用ISDN线路和适配器,有两种现行ISDN标准:ISDN基本速率接口(BRI)和ISDN基群速率接口(PRI)。这两种线路标准都是由下面组成的:
B信道:用于语音和数据的传输,每信道的速率是64K/Sec。
D信道:用于传送线路控制信号。
BRI提供两个B信道,每信道64K速率的服务,可以把两个信道捆绑使用,使连接速率达到128K。PRI提供最高1.544M/Sec的速率,由多个B信道合在一起实现。
NT的RAS服务支持ISDN,有关用微软产品与ISDN的应用,可以参考微软的主页或TechNet站点。一般情况下,相对于普通电话线,ISDN需要额外的安装与使用费用。但是对于一个需要多一些带宽的中小公司来说,它比电话线拨号网络能提供更好性能和带宽。
T1/E1
T1/E1是高速传输的另一种标准。一条T1/E1可以同时有多个并发信道,每个信道都是一个独立的连接。在美国的标准T1服务提供24个信道,每个信道的速率是56K。T1/E1服务与其相应的设备相对于ISDN和普通电话相比都更加昂贵,但是T1/E1的相对费却较少。
T1/E1通常用于需要在远程站点间进高带宽高速率传输的大型组织。64K专用数据线(DDL)作为T1服务的一个变种或一个分支服务,也提供此类服务。当你预备订购一条T1/E1线时,记住Proxy Server提供的缓冲功能,可以有效地节省带宽。
Router
路由器是用来把一个网络连接到另一个网络的硬件设备。路由器在一个网络里的作用是一个连接到另一个网络的点,例如工作站和服务器。在TCP/IP环境下,路由器有它自己的网络IP地址,如果你用IPX/SPX,路由器有它自己的网络名。路由器负责维护拨出到ISP的连接――典型的在T1/E1连接下。
Internet连接费用
带宽与连接的持续性是影响你Internet连接的两个因素。为你的网络选择一个合适的带宽,你需要测定一个峰值访问量,在大多数情况下,浏览图象较多站点的用户会消耗大部分有效带宽。借助于Proxy Server里的对象缓冲能力和域过滤特性,你可以通过缓冲频繁访问的站点来省下实际带宽,或限制访问一些图象较多的站点。
ISP有效提供全天候的访问,你应该考虑你的用户是否需要全天的访问,或只是部分时间需要访问Internet,然后比较一下价格来确定适当的计划。
管理你自己的Internet域
虽然不管你是否注册的域名你都可以使用Proxy Server连接到Internet,但是许多组织更想在Internet上更好的表示自己。
如果你已经注册了一个Internet域名,你可能决定要你的ISP来考虑如何管理你的域的细节问题。如果你注册并管理你自己的域,那么要考虑以下几点来设置DNS:
在你的网络上安装一个DNS服务器来管理DNS服务,该服务器是一个多宿主服务器,即意味着它使用单独的网络接口连接到你的内部网和Internet
在一个Proxy Server上安装DNS来管理DNS服务。对于小型企业来说,把DNS服务和Proxy Server合在一个服务器上是首选方案,虽然这种配置会在一定程度上降低Proxy服务的性能。
在你的内部网上安装两个或多个DNS,仅对内部使用,其他的用来管理你的Internet域。
网络协议
Proxy Server使用TCP/IP 或IPX/SPX协议与你网络上的客户机通信。如果你已经在客户机上装了其中的一种,那么就可以用Proxy Server了。如果你的网是一个仅使用NetBEUI协议的小型网,你需要安装这两种协议中的一种,以便你的用户可以访问Proxy Server。
自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |