Windows网络的管理与维护(转)[@more@] 　　 过去系统管理员主要的业务是负责单位计算机系统的管理和培训等工作。网络普及后，系统管理员又兼网络管理员。有时候，系统管理员一人所负责的业务，几乎和一家电脑公司的工作量相等，工作量非常大。有鉴于此，本文根据作者的经验，总结了目前广泛使用的Windows NT环境下系统管理的一些方法。 　　 　　一、网络管理规划 　　 　　---- 有效的网络系统管理，规划最为重要。所谓规划是指以下几件事: 制定网络管理政策、妥善规划网络、统筹设置网络服务系统、骨干带宽管制、指定IP网络节点申请核发原则、制定网络安全政策、办理教育培训、宣传并鼓励以正确的方式充分利用网络以及对网络上不当信息资源进行过滤等等。 　　 　　---- 以上各项从一般性原则到技术层次，都有许多需要深入研究的东西。规划的原则主要与经费情况和应用环境有关。对于实际管理所需要的弹性，例如: 要管多严、允许和不允许的操作、哪些服务要采取何种保护（身份认证、防火墙保护和用量管制等等），必须要由管理人员提出方案。 　　 　　---- 规划是一件长远的事，发现规划有不当或不足之处，就需要进行修改。平时，网络管理员必须作好日常维护，以降低网络发生故障的机会。 　　 　　二、日常维护 　　 　　---- 日常维护要做的事包括：检查各种服务系统运作的信息、检查系统效能、察看是否有异常的程序正在执行、账号管理和资源权限管理等。建议使用以下Windows NT提供的工具。 　　 　　---- 1．事件监视器 　　 　　---- 在Windows NT上要检查各种服务系统运作的信息，最简单的方法就是执行事件监视器。Windows NT将事件分为系统、安全和应用程序等3类: 属于硬件或系统的服务（Windows NT提供的各种网络服务）放在系统事件中; 如果要求系统纪录某些共享资源，如目录、文件或打印机等有无违反权限使用的情形，信息就会出现在安全事件里；应用程序事件是给非Windows NT的网络应用程序使用，例如Netscape Proxy等。 　　 　　---- 在Windows NT上运行的应用服务器，通常都会支持Windows NT的事件信息服务，如果不支持，可能有其自己的日志，这也是系统管理员必须查看的。 　　 　　---- 2．效能监视器 　　 　　---- 在Windows NT上有一个内建的效能监视器，可以从编辑选单加入一个统计项目，选取想要分析的对象，例如某种网络服务、CPU和存储器等，加入要统计的细项，例如Web服务器每秒钟的传输量等。 　　 　　---- 为了提高效率，在构建完一台服务器后，应该立刻建立相关监视项目，通常要查看CPU的使用量和内存的使用量，另外应该针对该服务器主要的服务，建立查看项目。 　　 　　---- 当然不同主机运行不同服务，在系统负荷上会有所不同，哪一种服务所用资源比较大，目前的机器能否支撑该服务，从效能监视器可以得到一个比较客观可信的结果。 　　 　　---- 3． 工作管理员 　　 　　---- 要查看目前在服务器上所执行的程序，可以在桌面上按滑鼠右键，然后选工作管理员，可以检查执行中的应用程序、系统程序和效能。常驻型程序放在“程序”活页里，还有Microsoft的网络服务程序，非Microsoft的服务在“应用程序”活页里。 　　 　　---- 为了安全起见，一定不要开启WSH（Windows Script Host）这一服务。其他的程序如果有陌生的，要加以留意，除非知道自己在做什么，否则千万不要随便关闭执行中的系统程序，这样很可能会造成宕机。哪个程序是必须，哪个是多余的，只要连续观察一个星期，大概就能了解。 　　 　　---- 4． 去除多余账号 　　 　　---- 账号管理的工作内容，除了使用者忘记密码必须帮忙之外，消除多余的账号，也很重要。因为一个无用的账号，即使被别人冒用，也不会有任何使用者抱怨，这样要做好网络安全是很困难的。在没有办法架设防火墙或采用其他安全措施的情况下，这是惟一重要而必须去做的事。 　　 　　---- 5．管理资源权限 　　 　　---- 为了保证企业内部资料的安全，资源权限的管理是很重要的，由于NTFS文件系统才能做权限设定，因此不要把任何重要的文件放在运行Windows 98的机器上，因为Windows 98使用FAT32文件系统。在Windows NT服务端依群组特性建立专用目录，是最基本的做法，如确有需要应该在专用目录上设定权限陷阱（Trap），让系统在发现有人不守规矩时，能即时记录并通知系统管理员。 　　 　　---- Windows 95/98是NT网域内不被信任的节点，如果能使用Poledit程序来修改Windows 95/98的系统登录，让使用者在登录系统时，必须通过网域主机上的账号查核才能进入，这样会安全许多。到底权限考核要做到怎样才够安全？笔者认为以单纯的中小单位环境来说，只要电脑机房管好就可以了，一般办公室电脑除了注意防毒之外，大概不必多做什么。 　　 　　---- 以上这些日常维护工作，笔者建议应该定期去做、觉得有异样立刻去做，至于因为工作忙碌，根本不想去做的部分，尽快分给别人去做，例如，可以建立一些信息资源组，安排一些管理组员负责。 　　 　　三、检错前的准备 　　 　　---- 在开始检查出错的原因之前，需要做好以下2项工作。 　　 　　---- 1．问清问题 　　 　　---- 当用户对网络出现疑难时，网络管理员不应该立刻着手去进行检错处理，以免到头来白忙一场，应该先问清楚，排除人为操作及应用软件的问题，再决定下一步骤。在一个稳定的网络环境里，网络故障的情况并不会太多。如果确定是网络出了问题，就要确定问题的来源，需要询问用户以下问题： 　　 　　---- 有没有错误信息? 　　---- 在屏幕上看到什么? 　　---- 正在进行何种操作? 　　---- 问题什么时候发生的? 　　---- 最近有没有安装过新软件或硬件? 　　---- 这些问题有助于确定不正常现象的真正原因。 　　 　　---- 2．检错的价值 　　 　　---- 网络故障的可能性很多，如果有合理的怀疑，就可以使用检错工具做进一步的确认。确认问题来源并不是检错惟一的目的，因为故障排除的经验，会有助于网络结构的规划。例如: 重要设备应有冗余的线路，这样能帮助检错，同时要有后备应急方案; 有RAID系统，就要有备用的替换硬盘，RAID才有设置的价值; 在日常维护中若发现某机器负担过重，某机器负担过轻，就要根据服务的性质重新配置负载。 　　 　　四、检错内容 　　 　　---- 1．网络实体线路连接问题 　　 　　---- 检查近端网络设备，例如集线器、路由器和交换机)的信号灯，Link(LNK)灯必须恒亮，而Action(ACT)灯必须闪烁，如果机器灯号不正常，必须将机器重开机，让机器进行自我测试以恢复状态，有些厂商的网络设备，重开机后并不会立刻将软件也一起重新启动，而需要以人工方式进入主控台（把这个设备连接在一台工作站的COM口，然后用终端机软件签入该设备），再下命令将软件重新启动。如果不是机器的问题，请将无法连线的设备更换网络线，再以Ping命令测试是否线路不通。 　　 　　---- 2．网卡测试 　　 　　---- 测试网卡芯片是否能正常工作，一般网卡会附赠检错程序，有些直接执行Setup就可以看到检错选单，万一没有附带检错程序，也可以使用Windows系统的内建检错工具Net Diag命令来检错。 　　 　　---- 3．TCP/IP通信协定检错 　　 　　---- 以Ipconfig/All（Unix使用Ifconfig）检查网络配置是否设定正确，要检查的项目有IP 地址、网络掩码、网关地址和DNS设定。接着以“Ping 127.0.0.1”命令测试Loop Back是否有回应，接着ping自己的IP地址是否有回应。如果没有问题接着Ping网关和自己的域名，假如这些都没问题，表示网络配置设定是正确的。如果没有得到预期的结果，请检查网络配置，看看是哪个部分有问题。 　　 　　---- 4．路由表检错 　　 　　---- 以“nbtstat-r”命令检查路由设定，可以了解局域网路由设定是否正确，如果设定上没有问题，那有可能是广域网的路由出现问题。由于广域网路由通常由别人管理，同时有可能穿越一个以上的局域网络，所以管理的单位及人员非常多，到底是谁的问题，应该联络谁处理，必须要追踪路由，以问清问题点出在哪里，可以使用tracert命令追踪路径。 　　 　　---- 5．Netbios名称服务检错 　　 　　---- 如果在网上邻居看不到正确的电脑列表，而网络又已连通，那就表示Netbios名称服务出了问题。由于Unix主机不支持Windows系列的Netbios名称服务，所以在网上邻居看不到Unix机器是正常的，解决方法是在Unix上安装Samba服务程序就可以了。 　　 　　---- Netbios名称服务是透过广播的方式来查询主浏览器（Master Browser）来获得电脑名单，主浏览器通常是网络上第一台开机的电脑，如果网域里面有操作系统版本较高的主机，将会在开机后自动成为主浏览器，它会每隔15分钟选择一台机器当备份浏览器（Backup Browser），备份清单上的资料。网域内的工作站会每隔12s广播自己的电脑名称，以及存在的分享资源，主浏览器收到后，就会整理清单。网域内如果电脑数太多会造成广播数据包急速增加，而占用带宽，规划上可以使用桥接器或第二层的交换机管制广播数据包的流向，减轻网络负荷，有许多网络系统就是因为规划不当而造成广播风暴，致使网络效能不佳。 　　 　　---- NETBEUI数据包无法穿越路由器或防火墙，如果想穿越路由器只能将NETBEUI封装成IP数据包，这件事可由WINS服务器来完成。同时因为WINS服务器具有定期广播的机制，会转变成定向WINS查询，可以有效减轻网络负担，一台专职的WINS服务器，其效能足以提供给5个网域内1000台以上的工作站使用。如果路由器后面有防火墙，必须将TCP 137～139、UDP 138～139端口放行，才能通过防火墙的拦堵; 通常只有在多个网域互相连接时，才需要考虑这个问题。这里再强调一次，如果局域网络电脑数量太多

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10763080/viewspace-947461/，如需转载，请注明出处，否则将追究法律责任。