巧妙管理网络 不让繁琐的配置拖累自己 （2）

    为了有效改进局域网网络的运行安全性，在组网规模稍微大一点的局域网工作环境中，网络管理员常常会采取划分虚拟工作子网的方法，来降低网络风暴等现象对局域网的干扰。不过在默认状态下，DHCP服务器往往只能为其中某一个虚拟工作子网中的普通工作站提供地址分配服务，如果要为每一个虚拟工作子网单独架设DHCP服务器的话，不但会造成严重的经济浪费，而且还会大大提高网络管理成本。

    那么，我们能否让一台DHCP服务器同时为多个不同虚拟工作子网中的工作站提供跨网分配地址服务，从而实现有效节约网络管理成本的目的呢？答案是肯定的！我们可以巧妙利用局域网服务器系统中自带的“路由和远程访问”功能，来同时为多个虚拟工作子网提供TCP/IP配置服务呢？

    为了方便叙述，假设某单位局域网网络中同时存在甲、乙两个虚拟工作子网，其中局域网中唯一的一台DHCP服务器安装配置在甲子网中，而乙子网中没有单独架设DHCP服务器，为了让乙子网中的普通工作站也能享受到DHCP服务器的地址分配服务，我们可以在乙子网中进行下面的配置操作：

    首先在乙子网中任意选中一台安装了Windows Server 2003系统的主机作为服务器，并按照正确的方法将其配置成路由器，以便使用该软路由功能连接甲、乙两个子网。之后依次单击该服务器系统桌面中的“开始”/“设置”/“控制面板”命令，在弹出的系统控制面板窗口中，用鼠标双击“管理工具”图标，再在其后界面中双击“路由和远程访问”选项图标，进入路由和远程访问控制窗口；

    用鼠标右键单击该控制窗口中的本地服务器选项，从弹出的快捷菜单中执行“配置并启用路由及远程访问”命令，打开安装向导设置窗口，选择该设置窗口中的“自定义配置”项目，再单击“下一步”按钮后，从其后弹出的向导设置界面中选择“LAN路由”选项，最后单击“完成”按钮；

    接着在路由和远程访问控制台窗口中，依次点选该窗口左侧显示区域中的“本地服务器”/“IP路由选择”/“常规”节点选项，并用鼠标右键单击“常规”节点选项，从弹出的右键菜单中执行“新增路由协议”命令；

    接下来在新路由协议设置对话框中将“DHCP中继代理程序”项目选中，并单击“确定”按钮。再用鼠标右键单击刚刚选中的DHCP中继代理程序，从弹出的快捷菜单中执行“属性”命令，打开一个标题为“DHCP中继代理程序属性”的设置窗口，单击该设置窗口中的“常规”选项卡，并在对应选项设置页面中的“服务器地址”文本框中输入甲子网的DHCP服务器IP地址，同时点击“添加”按钮，最后单击“确定”按钮返回。

    再用鼠标右键单击DHCP中继代理程序，并执行右键菜单中的“新增接口”命令，打开与DHCP中继代理程序相关的新接口设置窗口（如下图所示）。

    
    在其中的“接口”列表框中选中能够访问甲子网的那个网络连接接口，具体地说就是Windows Server 2003服务器主机中与甲子网直接连接的网卡设备，并单击“确定”按钮。之后进入DHCP中继站属性设置窗口，将其中的“中继DHCP数据包”选项选中，以便将该网络连接接口的中继功能成功启用起来，再点击“确定”按钮结束设置操作，那样一来乙子网中的任何一台工作站都能享受到甲子网中的DHCP服务器提供的地址分配服务了。

  巧妙分发，减轻网络安装工作量

    在局域网工作环境中，网络管理员常常需要在各台普通工作站中频繁地进行应用程序的安装、升级以及卸载操作，这些操作所带来的工作量往往会让网络管理员整天感到疲惫不堪。也许有人会说通过网络共享方式可以大大提高网络安装效率，不过随意开通网络共享功能，可能会给局域网网络带来很大的安全威胁。那么如何既能保证局域网网络安全，又能减轻网络安装工作量呢？其实很简单，我们可以尝试通过分发功能来提高网络安装操作的工作效率；为了方便叙述，现在本文假设要将aaa.com域中的bbb.msi软件包分发到局域网所有普通工作站上，要实现这样的网络安装目的，我们可以按照如下步骤进行设置：

    为了最大程度地保证网络安装、分发的安全性，我们首先应该将aaa.com域中的bbb.msi软件包转移到域控制器中的NTFS磁盘分区中，并将bbb.msi软件包所在的文件夹共享名称设置成“share$”，之后对该文件夹的共享访问权限进行正确设置，确保“Authenticated Users”用户组的权限为可读（如下图所示），“Administrator”用户组的权限为完全控制。

    
    其次以域管理员权限进入局域网域控制器，并依次点击该系统桌面中的“开始”/“程序”/“管理工具”/“Active Directory用户和计算机”选项，用鼠标右键单击其后界面中的aaa.com域，并执行右键菜单中的“属性”命令。在弹出的“属性”设置窗口中单击“新建”按钮，再将新建的组策略名称设置为“Appinstall”；

    选中刚刚创建好的“Appinstall”组策略，同时单击对应界面中的“编辑”按钮，在弹出的组策略编辑对话框中，依次点选左侧显示区域中的“用户配置”/“软件设置”/“软件安装”分支选项，再用鼠标右键单击“软件安装”分支选项，从弹出的右键菜单中执行“属性”命令。之后在软件安装属性设置窗口中，正确输入“\\Server\share”（其中Server为bbb.msi软件包所在的主机名称或IP地址，share为bbb.msi软件包所在文件夹的共享名称），紧接着再将“显示部署软件对话框”选项与“基本”选项选中；

    接下来重新返回到系统组策略编辑编辑窗口，再用鼠标右键单击“软件安装”项目，并执行快捷菜单中的“新建”/“程序包”命令。在其后弹出的打开设置框中，选中share$文件夹中的bbb.msi软件包后，单击“打开”按钮就可以了。紧接着在部署软件设置窗口中选中“已发布”项目，同时单击“确定”按钮退出系统组策略编辑窗口；

    下面再依次单击域控制器系统桌面中的“开始”/“运行”命令，在弹出的系统运行文本框中，输入字符串命令“cmd”，单击回车键后，将系统切换到MS-DOS命令行状态，在该状态提示符下执行字符串命令“Gpupdate”，就能刷新系统组策略的设置了，那样一来上述设置就能立即生效了。

    完成上面的所有设置操作后，bbb.msi软件包就会自动被分发到aaa.com域中的所有普通工作站中了。日后普通用户在自己的工作站中登录进特定的域后，只要象往常那样点击系统控制面板窗口中的“添加/删除程序”按钮，就能从网络中添加安装bbb.msi软件包了。