扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
随着Internet技术的快速发展,中国已经加入WTO,国家逐步要求实现政府上网(电子政务)、企业上网(电子商务)和家庭上网。 因此微机互联上网也是大势所趋,作为政府、企事业单位组建局域网,构建DNS和EMAIL服务器、WEB服务器、FTP服务器、数据库服务器以及代理服务器等各种服务器进行“上网工程”。本文就以MicrosoftProxy Server2.0 代理服务器软件构建单位局域网代理服务器宽带上网,在Win2000/NT Server环境下的安装、配置以及其网络故障的发现、诊断和排除过程中得到的经验进行总结,以与大家共享。
一、概述
代理服务器(Proxy Servers)顾名思义就是提供网络代理服务的服务器,网络用户可以通过代理服务器来访问Internet网上的Web服务器、Ftp服务器、Pop3服务器等等,以此来获得Web浏览、Ftp上传下载、Pop3收信等网络服务。代理服务器主要分为http代理(通常为80或8080端口)和socks代理(通常为1080端口),其它还有ftp代理(通常为23端口)等。http代理主要提供Web浏览代理服务,socks代理则能提供Web浏览、Ftp上传下载、Pop3收信、smtp发信等多种代理服务。它的主要功能有:
①设置用户验证和记帐功能,可按用户进行记帐,没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。
②对用户进行分级管理,设置不同用户的访问权限,对外界或内部的Internet地址进行过滤,设置不同的访问权限。
③增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲区,大大提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。
④连接Internet与Intranet充当FireWall(防火墙)。因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限。
⑤节省IP开销,所有用户对外只占用一个IP,所以不必租用过多的IP地址,降低网络的维护成本。
代理服务通常由两部分组成:服务器端程序和客户端程序,用户运行客户端程序,先登录至代理服务器(有的是透明处理的,就没有显式的登录),再通过代理服务器就可以访问相应的站点。
客户端程序可以分为专用客户端及Internet应用内嵌的代理设置。Microsoft Proxy Server有自己专用的客户端程序Microsoft Proxy Client,在客户机安装了以后,可透明地通过Microsoft Proxy Server访问Internet;SocksCap也是一个专用的客户端程序,它是Socket代理的客户端,可以透明地通过Socks代理访问Internet。很多Internet应用都有设置代理的功能,例如IE、Netscape等浏览器都可以设置代理,CuteFTP等FTP软件也可以设置代理。
代理服务器的实现十分简单,只需在局域网的一台服务器上运行相应的服务器端软件,目前代理服务器软件产品十分成熟,功能也很强大,可供选择的服务器软件很多。
主要的服务器软件有WinGate公司的WinGate Pro、微软公司的MicrosoftProxy、Netscape的Netscape Proxy、Ositis Software公司的WinProxy、Tiny Software公司的WinRoute、Sybergen Networks公司的SyGate等,这些代理软件不仅可以为局域网内的PC机提供代理服务,还可以为基于Novell网络的用户,甚至UNIX的用户提供代理服务,服务器和客户机之间可以用TCP/IP、IPX、NETBEUI等协议通信,可以提供WWW浏览、FTP文件上载下载、Telnet远程登录、邮件接收发送、TCP/UDP端口映射、SOCKS 代理等服务,可以说目前绝大部分Internet的应用都可以通过代理方式实现。
二、Microsoft Proxy Server安装、管理与设定
宽带IP城域网开通以来,单位连上了宽带网,10M的带宽让我们感受到了宽带的魅力。电信只提供7个IP地址,对任何一个单位来说都太少了,常用的解决办法是使用代理服务器。微软的MS Proxy Server 2.0是一个优秀的代理服务器软件,是为企业级用户访问Internet提供的代理服务解决方案,它同时还是一个内容缓存服务器和网络防火墙。MS Proxy Server支持几乎所有的网络协议,完全能够胜任宽带的应用。MS Proxy Server有Web(Web Proxy)、WinSock(WinSock Proxy)和Socks(Socks Proxy)三个部分的代理服务功能,其中Web Proxy支持HTTP、FTP等服务,WinSock Proxy支持Telnet、电子邮件、RealAudio、IRC、ICQ等服务,Socks Proxy负责中转使用Socks代理服务的程序与外界服务器间的信息交换。MS Proxy Server在运行Windows2000/NT的服务器上安装后,下面的各工作站就可以使用Web Proxy提供的服务,可以上网浏览、使用FTP等。如果要使用WinSock Proxy和Socks Proxy提供的服务,则必须要在客户端安装配置程序,并且要在服务器端进行设置。
(一)Microsoft Proxy Server 2.0 服务器端的安装
在Win2000/NT Server环境下的安装之前,必须要安装好Internet Information Services
(IIS4.0/5.0),Windows NTServer 4.0则要安装 Service Pack 6.0 。
1、在已经安装了 Internet Information Server (IIS) 4.0/5.0 和 MS Site Server 3.0 的计算机上安装 Proxy Server 2.0 时,必须在安装 Proxy 2.0 之前先必须手动停止以下服务:
Site Server Authentication Service
Site Server LDAP Service
Site Server Message Builder Service
Microsoft SMTP Service
FTP Publishing Service
World Wide Web Publishing Service
IIS Administrator Service
还可以从命令提示符键入如下命令:
net stop "IIS Admin Service" /y
这将停止 IIS Administrator Service 以及所有相关的服务。
2、MS Proxy Server2.0 需要的 Windows2000/NT 文件系统 (NTFS) 权限。如果使用的是FAT文件系统,则要将FAT转化为NTFS,在Command Prompt窗口里的命令行上键入convert C:/FS:NTFS。
在 InternetInformation Server 计算机上运行 Proxy Server 2.0 时,必须具有某些 Windows 2000/NT 文件系统 (NTFS) 的访问权限。
下面列出了正确的 NTFS 权限:
\Program Files\Common Files (包括所有子目录): 读权限 (RX)
\temp (包括所有子目录): 更改权限 (RWXD)
\winnt: 读权限 (RX)
\winnt\system32: 读权限 (RX)
\winnt\system32\inetsrv: 读权限 (RX)
\inetpub\scripts: 读权限 (RX)
\inetpub\scripts\proxy: 读权限 (RX)
\urlcache : 更改权限 (RXDW)
确保 NTS 权限所列出的 Administrators 组和 System 帐户对所有这些文件夹具有“完全控制”权限。另外,还要将 Everyone 组添加到这些权限中。 如果使用的是“访问控制”,并且要最大程度提高安全性,请将具有上面列出的可用 NTFS 权限的用户/组添加到每个文件夹上。例如,如果有一个叫“JSProxy”的组,那么,请将在上面NTFS 权限应用到具有为每个文件夹所列出的 NTFS 权限的每个文件夹。 MicrosoftWeb Proxy 通过 Microsoft Internet Information Server (IIS) 在 Proxy 日志中交互地记录并放置 Proxy 用户,所以如果只使用匿名帐户 (IUSR_ computer_name),那么必须将此帐户的 NTFS 权限应用到以上所有文件夹。
3、在微软的网站上下载MS Proxy Server 2.0 的补丁程序:Proxy Server 2.0 SP1 ,Proxy Server 2.0 Security Patch for Unchecked Buffer in Gopher Protocol Handler等程序。在服务器端安装好Proxy Server 2.0后,在打补丁程序。
4、Microsoft Proxy Server本地地址表(LAT)
在Microsoft Proxy Server安装期间,Setup程序帮助你创建一份组成你的内部网络的IP地址表。你所提供的信息是被用来创建一份叫做Local Address Table (LAT)的表的,它规定了你的内部网络。对你的内部网来说是外部的那些IP地址都特别地被排除出这份表。
Setup程序在服务器上安装LAT包含LAT的文档的名字是Msplat.txt,它在服务器上的缺省位置是C:\Msp\Clients(如果你把Microsoft Proxy Server安装在服务器上的不同位置上,那么Msplat.txt文档会相应地重新定位)。Microsoft Proxy Server Setup程序也在这个目录里安装一个客户机的Setup程序。
Microsoft Proxy Server Setup程序在服务器上设置\Clients子目录作为网络共享,名字为Mspclnt。客户机只要连到\\Servername\Mspclnt,然后运行客户机Setup程序,就可以与这个共享相连。客户机Setup程序把客户机计算机设置成WinSock Proxy service的一个客户机,并且还试图把客户机计算机的Internet浏览器设置成Web Proxy service的一个客户机。(客户机Setup所作的确切的客户机设置取决于在Microsoft Proxy Server Setup期间你所作的设置选择。)
在客户机Setup期间,LAT文档(Msplat.txt)被拷贝到了客户机。为了保持客户机的LAT文档是当前的,定期经常地从服务器里更新Msplat.txt文档。每当客户机上的一种Windows Sockets应用程序试图与一个IP地址建立连接时,LAT就用来确定一个IP地址是在内部网上的还是外部的。如果这个地址是内部的,那么就直接连接。如果地址是外部的,那么就要通过Microsoft Proxy Server上的WinSock Proxy服务来作远程连接。
更多内容请看共享上网专题、代理服务器技术专题、FTP服务器专题,或进入讨论组讨论。
因为单位在一栋大厦里有1—10层办公,通过局域网一台代理服务器上网,大概有500—600台机器上Internet网,所以添加LAT 的IP地址为192.168.1.1—192.168.1.255,192.168.2.1—192.168.2.255,192.168.3.1—192.168.3.255,子网掩码为255.255.0.0,为各处室部门规划IP地址, 根据IP地址划分网段,建立虚拟VPN网络。
5、在[Installation Options]设定安装选项 ,选择Proxy Server默认的安装组件;在[Cache Size for Selected Drive]中的C:的Maximum Size 为1000MB;在[Client Installation/Configuration]中Computer name 输入:Jsproxy,选中Automatically configure Web browser during client setup 选项,Proxy:Jsproxy,Port:80;在[Access Control]中选择Enable Access Control for the Winsock Proxy Service 和 Enable Access Control for the Web Proxy Service 两个选项。
6、在安装过程中Proxy Server2.0 会提醒它具有Packet Filtering(封包过滤)的功能,该功能可通过管理工具设定。在安装好MicrosoftProxy Server2.0 之后,我们可以启动Internet 服务管理器,可以看到多了3个站点,它们分别是Socks Proxy、Web Proxy 和 WinSock Proxy ,要想进一步了解这些功能,则可点选[开始]→[程序] →[Microsoft Proxy Server] →[Microsoft Proxy Documentation]选项,就可以看到Proxy Server2.0使用的帮助目录。
(二)Web Proxy 2.0 的管理与设定
1、用户身份验证
Microsoft Proxy Server 身份验证与IIS的WWW 服务身份认证有着相同的方法。要设定Proxy Server 的身份验证,在Internet 服务管理器中展开[默认的WEB 站点] →展开[SCRIPTS] →点选[Proxy]项鼠标弹出式菜单的[属性]选项,点选该选项后会出现该虚拟目录的内容,点选[目录安全性]页签→按[匿名访问及验证控制]项的[编辑]按钮。
Proxy Server会在“默认的Web 站点”中添加一虚拟目录,通过控制该虚拟目录的安全设定就可以控制客户端的连接行为,包括“IP 地址与域名限制”的设定。
2、Web Proxy 的使用权控制
在Internet 服务管理器中点选[Proxy Server] 鼠标右键弹出式菜单的[属性]选项→点选[Permissions] 页签。在Web Proxy 中我们可以使用FTP、Gopher、WWW 和 Secure 四种通讯协议来访问网络资源,如果将[Enable access control]选项勾选去掉,则不开放任何人通过Web Proxy 访问网络资源;虽然勾选了[Enable access control] 选项,则必须添加上面四种通讯协议中某种协议的客户端具有访问权限的帐号。
3、客户端连接设定
在客户端通过Proxy Server 的连接上Internet, 在浏览器(以IE5.0为例)中点选[工具] →[Internet 选项] →点选[连接] 页签,按上[局域网设置]按钮,设定代理服务器,勾选[使用代理服务器],输入地址如http://192.168.1.1,端口为80,按[确定]按钮,关闭所有的对话,即可上网。
4、限制可访问的网站
在Proxy Server中可以设定允许访问的网站进行过滤连接:如过滤一些色情网站,反动的网站等。想要作网站访问的限制,进入Web Proxy 的属性中设定,按上[Security]按钮,出现“Security”对话框后点选[Domain Filters] 页签。
在默认的情况下并未启动该功能,勾选[Enable filtering(requires direct Internetaccess)]选项,然后使用[Granted]或[Denied]来加入可以或拒绝访问的网站。如点选[Granted] 选项后再按[Add]按钮,输入IP 地址192.45.0.6,则用户想访问该网站,会看到造受拒绝访问的报警画面。
5、Web Proxy 的高速缓冲设定
在安装MicrosoftProxy Server 2.0 服务器端时就曾经设定过高速缓冲的磁盘位置与大小,如果要进一步设定高速缓冲的功能,进入Web Proxy 的内容设定后再按[Caching] 页签。选项功能说明如下:
Enable caching:勾选本项后方能启动Proxy 的高速缓冲功能。
Cache expiration policy:设定高速缓冲数据使用期限的策略,可分为下面3种形式:
Updateare more important点选本选项会使得高速缓冲区经常更新,因此会增加网络与服务器的负担。
Equal important:点选本选项是觉得数据更新与高速缓冲性能一样重要。
Few network access are more important:点选本选项会着重在高速缓冲的性能,因此当客户端要求数据网页数据时Proxy Server 会将高速缓冲区内的相同网页优先送给客户端。
Enable active caching:勾选本选项会启动主动式高速缓冲功能,所谓的主动式高速缓冲功能是当高速缓冲区中的网页数据快到期时,Proxy Server 会根据目前网络的流量自动更新网页。可分为下面3种形式:
Faster user response is more important: 勾选本选项会让Proxy Server 经常自动更新高速缓冲区的数据,因此会增加网络与服务器的负担。优点是当客户端要求网页数据时Proxy Server可以做较快速且正确的回应。
Equal important:如果觉得服务器性能、对外网络的流量与服务客户端的品质一样重要时可以点选本选项。
Few network access are more important:如果觉得减少网络流量比较重要,可以点选本选项。
三、客户端Proxy Client 的安装
有两种方式安装Proxy Client:
第一种方式是在[网上邻居]中找到安装Proxy Server 的机器,然后看到该机中含有mspclnt 共享的文件夹,进入mspclnt 文件夹,然后执行setup.exe来安装该客户端软件。
第二种方式是在浏览器(如IE)中输入http://192.168.1.1/msproxy或http://servername/msproxy来浏览安装Proxy Server 后的网页进行安装,点选[Winsock Proxy2.0 Client]链接进行安装。
四、网络故障的发现、诊断和排除
在单位组建代理服务器上宽带网(10M)时,我们安装代理服务器客户端软件、对电脑进行上网调试,发现故障及时排除。下面是解决有关问题的总结:
1、安装代理服务器客户端软件
对于安装win95/98 操作系统的客户机来说,必须以在代理服务器端开的用户名和密码登录,在该机的[网上邻居]设置好已分配的IP地址、子网掩码以及相应的工作组,在网上邻居找到代理服务器的机器名如Jsproxy或IP地址如192.168.1.1,点击之,找到mspclnt 共享的文件夹,进入mspclnt 文件夹,然后执行setup.exe来安装该客户端软件,安装完成后重启客户机。注意:代理服务器的客户端不需要输入网关和DNS,网络协议必须同时具有TCP/IP和NetBEUI两种协议。
对于安装win2000/XP操作系统的客户机来说,在该机上设置好IP地址和子网掩码,只需要在网上邻居找到代理服务器的机器名如Jsproxy或IP地址如192.168.1.1,点击之,输入在代理服务器端开的用户名和密码,则就可以找到mspclnt 共享的文件夹,进入mspclnt 文件夹,然后执行setup.exe来安装该客户端软件,安装完成后重启客户机。
2、调试客户机上宽带网
如果客户机配置好IP地址和子网掩码,重启客户机后(安装win95/98的机器需重启,win2000/XP 不需重启),首先我们要做的工作是:网络线路通不通?可以使用Ping 命令来检测与代理服务器的连通,ping 代理服务器IP地址如192.168.1.1,其间可以通过观看网卡、交换机或HUB 端口的指示灯来帮助我们来判断,也可以借助如Network Cable Tester 等工具测试网络双绞线RJ45好坏情况。其次要安装好代理客户端软件,一般情况下,在win2000/XP 环境下安装代理客户端软件不会遇到什么问题;而在win95/98 环境下安装代理客户端软件会则会遇到很多问题。
问题之一:单位许多旧的电脑安装win95/98系统,网络协议大多不全,也不可能格式化重装,因为机器里有许多数据,另一个原因就是没有网卡,驱动程序等造成这些电脑上网的难度。我们所做的工作就是要打开机箱,插上网卡,安装网卡驱动程序,增加或者删除重新安装TCP/IP 和NetBEUI 协议,检查网络线路是否通?安装代理客户端软件上网。
问题之二:对于win95/98系统的机器,用代理服务器端开的用户名和密码登录,在网上邻居找到代理服务器的机器名如Jsproxy或IP地址如192.168.1.1,点击之,但找不到代理服务器的任何内容。我们分析了一下原因:可能是单位的另一台或几台客户机已用代理服务器端开的用户名和密码登录,造成这种情况。对于这种情况采取的方法有三种:第一是等单位下班或一上班开始安装代理客户端软件,因为采用这个时间是单位上网的电脑基本上关机或还没有开机。第二是采用FTP站点的方法来解决,将服务器上的代理客户端软件mspclnt 共享的文件夹作为FTP站点,通过FTP来安装代理客户端软件。如果前两种方法都不行,则可以采用第三种方法:那就是将服务器端的代理客户端软件拷贝到软盘上,将mspclnt目录下的i386 子目录文件内容拷贝到一张3.5 英寸软盘上,将mspclnt目录下的其它文件拷贝到另一张3.5 英寸软盘上。再将两张软盘的内容拷贝到该客户机上指定的目录下,在该机上直接安装即可。
3、解决代理服务器上网的其它问题
通过代理服务器宽带上网,遇到的情况可能是第一次客户机上网速度较慢,需要耐心等待,以后就没有这个问题;如果等了很长时间不能上网,则在浏览器如IE 的Internet选项的[连接] →[局域网设置]中去掉所有打勾的选项,点确认重启IE即可。还有可能会遇到的情况是有的网站上不上去,这时就需要点击浏览器的[刷新]按钮。另一种情况是网络是通的,网卡和交换机或HUB 的指示灯都正常,也安装了代理客户端软件,但是就是上不了网?我们分析了一下原因:主要是客户机采用的网卡是10/100M自适应的网卡或采用100M网卡,网卡显示的网速是100M;而宽带上网的带宽是10M(如采用10M的HUB),因此出现上面的情况。解决的办法是更改网卡的配置,将网卡的网速的值改为10 Full Mode 即可。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。