扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
下面笔者列举几个网络服务优化的例子,希望对大家有所帮助。
一、创建域策略,软件自动部署
在局域网中,工作站无休止的软件安装、升级、维护、删除操作所带来的庞大工作量,以及由此可能产生的安全问题一直都是令所有网管头疼的事。很多网络管理员都采用共享的方法,但共享所引起的安全隐患往往会成为网管心中永远的痛。其实在局域网中部署RIS服务器即可完成软件部署,如果是域环境那就更简单了,只需进行简单的软件封装然后创建相应的域策略可轻松完成软件的安装。
为了便于说明,我们假设现在某位网管要在lw.com域中将“Windows Server 2003管理工具包”程序“Adminpak.msi”分发到所有的工作站上,可进行如下设置:
1.设置共享目录
为了最大程度地进行访问权限的管理,首先应在使用NTFS分区格式的盘中新建一个目录,并命名为“Tools$”,然后将Adminpak.msi程序从Windows Server 2003安装光盘的“I386目录”中复制到“Tools$”目录中。接着设置该目录的共享权限,“Authenticated Users”组为可读,“Administrator”组为完全控制。
图1
提示:分发的软件必须是MSI封装文件,如果想将非MSI格式的文件封装成MSI文件,可以使用InstallShield等工具来完成这个转换操作。
2.设置组策略
第一步:以域管理员身份登录DC(域控制器),然后依次点击“开始→程序→管理工具→Active Directory用户和计算机”菜单项,在弹出的窗口中右键单击lw.com,并在弹出的菜单中选择“属性”。在“属性”窗口中点击“新建”按钮,并将新建的组策略对象命名为“Software”。
第二步:选中Software并单击下方的“编辑”按钮,在打开的“组策略编辑器”窗口中依次点击“用户配置→软件设置→软件安装”。接着右键单击“软件安装”,并在弹出的菜单中选择“属性”。在“软件安装 属性”对话框中手工输入“\\计算机名\共享文件名”,然后选中“显示部署软件对话框”和“基本”两项。
图2
第三步:点击“确定”按钮返回“组策略编辑器”后,右键点击“软件安装”项,在弹出的快捷菜单中依次选择“新建→程序包”。在随后出现的“打开”对话框中,选中Tools$目录下的“Adminpak.msi”文件后单击“打开”按钮即可。在随后弹出的“部署软件”对话框中选中“已发布”选项后,点击“确定”按钮。现在就可关闭组策略对话框了。接着打开命令提示符窗口,输入“Gpupdate”命令并回车,这样可以刷新组策略,以便使上述设置立即生效。
图3
3.在工作站中安装软件
经过上述在DC(域控制器)中的设置后,软件就会被分发到lw.com域中的所有工作站上了。在工作站中,当用户登录域后,只要点击“添加/删除程序”窗口中的“添加新程序”按钮,就会立即在“从网络添加程序”列表中列出从DC(域控制器)中分发出来的“Adminpak.msi”程序了。点击“添加”按钮则可以立即进行程序的安装。
图4
二、优化DHCP服务,简化网络管理
在局域网中部署DHCP服务可以极大地方便网络管理,但要使其发挥更多的作用进一步简化我们的网络管理还需要进行优化设置,下面笔者列举两个很实用的优化措施。
1.捆绑IP地址和MAC地址
为防止非法盗用IP地址造成网络的混乱,减轻网络管理员的的维护困难,必须采取多种手段,实现IP地址和MAC地址的捆绑。
第一步:查找客户MAC地址。一个有经验的网络管理员应该有个客户端的MAC地址表,如果没有这个表就需要在客户端命令行中敲入ipconfig /all命令就可以得到。当然在路由器中也有客户端IP和其对应的MAC地址。
第二步:快速绑定。知道客户机的MAC地址后,就可以在DHCP服务器端进行IP地址和MAC地址的绑定了。打开DHCP管理器,展开客户机所使用的作用域,右键点击“保留”选项,选择“新建保留”,弹出配置对话框。
第三步:在“保留名称”栏中为该项目起个名,然后在“IP地址”栏中输入客户机要使用的IP地址,“MAC地址”栏中输入该客户机的MAC地址,然后在“支持类型”框中选择“两者”选项,最后点击“添加”按钮,完成了客户机的IP地址和MAC地址绑定。
图5
2.跨子网使用DHCP服务器
为了提高网络的安全性,规模稍大的局域网通常要划分为多个子网。但DHCP服务器只能为本子网的机器提供服务,每个子网都配置DHCP服务器又会造成浪费,提高维护成本。如何让一台DHCP服务器能同时为多个子网提供TCP/IP配置服务呢?
为了便于说明,假设某企业有A、B两个子网,A中配置了一台DHCP服务器,子网B中没有DHCP服务器,只要在子网B进行如下配置操作就可以使用A的DHCP服务器:
第一步:配置路由。在子网B中选择一台Windows 2003机器,将其配置成路由器,用来连接A、B两个子网。进入“控制面板→管理工具”,运行“路由和远程访问”工具,右键点击本地服务器,选择“配置并启用路由及远程访问”,弹出安装向导对话框,选择“自定义配置”,点击“下一步”后,选择“LAN路由”,最后点击“完成”。
图6
第二步:配置中继代理。在路由和远程访问窗口中,展开“本地服务器→IP路由选择→常规”,右键点击“常规”,选择“新增路由协议”,接着在新路由协议窗口中选择“DHCP中继代理程序”,点击“确定”按钮。
图7
第三步:右键点击DHCP中继代理程序,选择“属性”,弹出“DHCP中继代理程序属性”对话框,在“常规”标签页的“服务器地址”栏中输入子网A的DHCP服务器的IP地址,然后点击“添加”按钮,最后点击“确定”即可。
图8
第四步右键再次点击DHCP中继代理程序,选择“新增接口”,弹出DHCP中继代理程序的新接口对话框,在“接口”框中选中可以访问子网A的那个接口,也就是连接子网A的网卡,点击“确定”按钮。接着在弹出的“DHCP中继站属性”对话框中,确保选中“中继DHCP数据包”后,就启用了它的中继功能,最后点击“确定”按钮。完成以上配置,子网B的客户机就可以使用子网A的DHCP服务器了。
图9
三、优化DNS,网络提速
DNS也是局域网中重要的服务,作为域名解析的它对于提升网络的性能至关重要。通过对其进行优化设置,网络性能得到提升也就较大地为管理人员减负。
1、泛域名解析
很多企业都架设了多个Web站点来满足员工的工作需要,为了节省费用,这些网站通常采用虚拟主机技术,即在同一个服务器上架设多个网站,员工使用二级域名访问这些站点。然而,维护这些二级域名的工作量非常大,不过我们可以采用泛域名解析 技术来解决这个难题,只要稍加设置Windows系统自带的DNS服务就可以实现对泛域名的支持。
下面以Windows Server 2003的DNS服务为例,介绍如何改造它们以实现泛域名解析。我们假设DNS服务上有一个域lw.com使DNS服务支持对这个域的泛域名解析。
Windows Server 2003系统的DNS服务实现泛域名解析很简单,它允许使用“*”字符作为主机名称,只要在“lw.com”区域中创建一个名称为“*”的主机记录即可,过程非常简单。右键单击“lw.com”区域,在弹出的菜单中选择“新建主机”在“新建主机”对话框的“名称”栏中输入“*”,“IP地址”栏中输入“192.168.1.1”,最后单击“添加主机”按钮即可。
图10
完成以上设置后,可在客户端使用Ping命令测试任意二级域名解析是否成功。例如,在命令提示符下输入“Ping test.lw.com”命令,得到所示的响应信息,就表示泛域名解析成功。 
图11
2、DNS负载均衡
对于规模较大的企业网,某些网站的访问量较大,一台服务器难以满足用户的访问需求。为了解决这个问题,通常是在企业网中部署多台内容相同的服务器,通过DNS服务来实现网络负载均衡。
下面就以“www.test.net”网站为例,在网络中部署了三台内容相同的Web服务器,来提供对该网站的访问服务。但每台服务器的IP地址都不一样,这就需要在DNS服务进行设置,才能实现网络负载均衡。
(1)启用循环
在Windows2003系统的DNS管理控制台窗口中,鼠标右键单击DNS服务图标,在弹出的菜单中选择“属性”,接着切换到“高级”标签页,确保 “服务器选项”列表框中“启用循环”处于选中状态,最后点击“确定”按钮。
图12
然后在“lw.com”区域中创建主机记录。在DNS管理控制台窗口中,右键点击“lw.com”项,选择“新建主机”,弹出“新建主机”对话框,在“名称”栏中输入“www”,IP地址栏中输入其中一台Web服务器的IP地址,如192.168.1.10,最后点击“添加主机”按钮。
图13
但企业网中还有两台内容相同的Web服务器,并且它们的IP地址都不同,因此还需要新建两条主机名为“www”主机记录,方法同上,只是IP地址栏的内容不同,分别为各自服务器的IP地址。完成了三条主机记录的创建后,就能将用户对www.test.net的访问分担到三台Web服务器中,实现了网络负载均衡。
(3)负载均衡优化
通常企业网由很多子网构成,为降低网络中的数据流量,最好客户机能访问处于同一子网内的Web服务器。这时还需要启用DNS的“启用网络掩码排序”功能,就能实现以上操作。
在DNS管理控制台窗口中,右键点击DNS服务,选择“属性”,然后切换到“高级”标签页,确保 “服务器选项”列表框中“启用网络掩码排序”处于选中状态,最后点击“确定”按钮。这样客户机每次都能访问到本子网内的Web服务器了。
图14
完成以上设置后,就实现了网络负载均衡,把用户的访问分摊到本网段的Web服务器中,减少了跨子网的数据流量,降低整个网络的通信负担。
3、启用条件转发 加速域名解析
我们知道DNS服务在域名解析时,首先要将该域名转换成IP地址后,才能成功访问这个网站。如果使用Windows 2003操作系统新增加的“条件转发”功能,将会大大简化域名解析过程,提高解析速度。
(1)查询DNS服务
笔者以“www.sina.com”域为例,来加速它的解析过程。
使用IE浏览器访问http://www.networksolutions.com/whois/index.jsp,在查询栏中输入“www.sina.com”域名,选中“Domain Name e.g. networksolutions.com”单选项,然后点击“SEARCH”按钮,找到“Domain servers in listed order”部分,这里的“NS1.SINA.COM.CN”、“NS2.SINA.COM.CN”和“NS3.SINA.COM.CN”就是www.sina.com域名所使用的DNS服务。这两个DNS服务的IP地址分别为202.106.184.166、61.172.201.254、202.108.44.55。
图15
(2)添加条件转发器
第一步:在本地DNS服务控制台窗口中,右键点击该服务器,在弹出的菜单中选择“属性”,接着切换到“转发器”标签页。点击“新建”按钮,弹出“新转发器”对话框,在“DNS域”栏中输入“lw.com”后,点击“确定”按钮。
第二步:在“转发器”标签页中选中新建“lw.com”项,在下面的“所选域的转发器的IP地址列表”栏中输入该域的DNS服务的IP地址后,点击“添加”按钮,添加到列表框中,最后点击“确定”按钮,完成条件转发功能的配置。
图16
这样,本地用户需要访问www.lw.com网站时,该网站的域名解析请求会被本地DNS服务直接转发到lw.com域所属的DNS服务中,简化了解析过程。
4、巧设策略,控制上网
位于相同DNS域网络中的工作站,可以通过Internet连接共享功能来实现访问Internet的目的。为了防止DNS域网络中的工作站在规定的时间之外上网,我们可以巧妙地在DNS服务所在计算机系统中设置一下系统策略,从而达到控制上网的目的,下面就是具体的设置步骤:
第一步:单击Windows系统桌面中的“开始”按钮,并从其后弹出的“开始”菜单中执行“运行”命令,打开系统运行对话框,在其中输入组策略编辑命令“gpedit.msc”,单击回车键后,进入到本地计算机的系统组策略编辑界面。
第二步:在该编辑界面的左侧显示区域,用鼠标逐一展开“计算机配置”→“管理模板”→“网络”→“网络连接”分支项目,在对应“网络连接”项目的右侧显示窗口中,找到“禁止使用DNS域网络上的Internet连接共享”选项,并用鼠标右键单击该选项,从其后弹出的快捷菜单中执行“属性”命令,打开属性设置窗口中。
第三步:在该设置窗口中,我们要是不允许局域网工作站通过DNS服务所在计算机进行共享上网的话,只需要选中其中的“已启用”项目,并单击“确定”按钮就可以了;要是日后又允许局域网工作站来上网的话,我们只要重新打开如图2所示的属性设置窗口,然后选中其中的“未配置”选项,再单击“确定”按钮就可以了。怎么样,巧妙地动动与DNS相关的系统组策略后,我们就能轻易地控制整个局域网工作站的上网权限了!
图17
总结:提升网络管理的效率,将自己从重复繁琐的网络维护中解放出来,这是大家追求的目标。本文提及的优化网络服务,只是自我解放的一个方面。能够在多大程度上解放自己,除了技术因素外,还有管理人员的自觉能动性。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台
京公网安备 11010802021500号