Windows網路的管理與維護(轉)

Windows網路的管理與維護(轉)[@more@]

　　 過去系統管理員主要的業務是負責單位計算機系統的管理和培訓等工作。網路普及後，系統管理員又兼網路管理員。有時候，系統管理員一人所負責的業務，幾乎和一家電腦公司的工作量相等，工作量非常大。有鑑於此，本文根據作者的經驗，總結了目前廣泛使用的Windows NT環境下系統管理的一些方法。

　　

　　一、網路管理規劃

　　

　　---- 有效的網路系統管理，規劃最為重要。所謂規劃是指以下幾件事: 制定網路管理政策、妥善規劃網路、統籌設定網路服務系統、骨幹頻寬管制、指定IP網路節點申請核發原則、制定網路安全政策、辦理教育培訓、宣傳並鼓勵以正確的方式充分利用網路以及對網路上不當資訊資源進行過濾等等。

　　

　　---- 以上各項從一般性原則到技術層次，都有許多需要深入研究的東西。規劃的原則主要與經費情況和應用環境有關。對於實際管理所需要的彈性，例如: 要管多嚴、允許和不允許的操作、哪些服務要採取何種保護（身份認證、防火牆保護和用量管制等等），必須要由管理人員提出方案。

　　

　　---- 規劃是一件長遠的事，發現規劃有不當或不足之處，就需要進行修改。平時，網路管理員必須作好日常維護，以降低網路發生故障的機會。

　　

　　二、日常維護

　　

　　---- 日常維護要做的事包括：檢查各種服務系統運作的資訊、檢查系統效能、察看是否有異常的程式正在執行、賬號管理和資源許可權管理等。建議使用以下Windows NT提供的工具。

　　

　　---- 1．事件監視器

　　

　　---- 在Windows NT上要檢查各種服務系統運作的資訊，最簡單的方法就是執行事件監視器。Windows NT將事件分為系統、安全和應用程式等3類: 屬於硬體或系統的服務（Windows NT提供的各種網路服務）放在系統事件中; 如果要求系統紀錄某些共享資源，如目錄、檔案或印表機等有無違反許可權使用的情形，資訊就會出現在安全事件裡；應用程式事件是給非Windows NT的網路應用程式使用，例如Netscape Proxy等。

　　

　　---- 在Windows NT上執行的應用伺服器，通常都會支援Windows NT的事件資訊服務，如果不支援，可能有其自己的日誌，這也是系統管理員必須檢視的。

　　

　　---- 2．效能監視器

　　

　　---- 在Windows NT上有一個內建的效能監視器，可以從編輯選單加入一個統計專案，選取想要分析的物件，例如某種網路服務、CPU和儲存器等，加入要統計的細項，例如Web伺服器每秒鐘的傳輸量等。

　　

　　---- 為了提高效率，在構建完一臺伺服器後，應該立刻建立相關監視專案，通常要檢視CPU的使用量和記憶體的使用量，另外應該針對該伺服器主要的服務，建立檢視專案。

　　

　　---- 當然不同主機執行不同服務，在系統負荷上會有所不同，哪一種服務所用資源比較大，目前的機器能否支撐該服務，從效能監視器可以得到一個比較客觀可信的結果。

　　

　　---- 3． 工作管理員

　　

　　---- 要檢視目前在伺服器上所執行的程式，可以在桌面上按滑鼠右鍵，然後選工作管理員，可以檢查執行中的應用程式、系統程式和效能。常駐型程式放在“程式”活頁裡，還有Microsoft的網路服務程式，非Microsoft的服務在“應用程式”活頁裡。

　　

　　---- 為了安全起見，一定不要開啟WSH（Windows Script Host）這一服務。其他的程式如果有陌生的，要加以留意，除非知道自己在做什麼，否則千萬不要隨便關閉執行中的系統程式，這樣很可能會造成當機。哪個程式是必須，哪個是多餘的，只要連續觀察一個星期，大概就能瞭解。

　　

　　---- 4． 去除多餘賬號

　　

　　---- 賬號管理的工作內容，除了使用者忘記密碼必須幫忙之外，消除多餘的賬號，也很重要。因為一個無用的賬號，即使被別人冒用，也不會有任何使用者抱怨，這樣要做好網路安全是很困難的。在沒有辦法架設防火牆或採用其他安全措施的情況下，這是惟一重要而必須去做的事。

　　

　　---- 5．管理資源許可權

　　

　　---- 為了保證企業內部資料的安全，資源許可權的管理是很重要的，由於NTFS檔案系統才能做許可權設定，因此不要把任何重要的檔案放在執行Windows 98的機器上，因為Windows 98使用FAT32檔案系統。在Windows NT服務端依群組特性建立專用目錄，是最基本的做法，如確有需要應該在專用目錄上設定許可權陷阱（Trap），讓系統在發現有人不守規矩時，能即時記錄並通知系統管理員。

　　

　　---- Windows 95/98是NT網域內不被信任的節點，如果能使用Poledit程式來修改Windows 95/98的系統登入，讓使用者在登入系統時，必須透過網域主機上的賬號查核才能進入，這樣會安全許多。到底許可權考核要做到怎樣才夠安全？筆者認為以單純的中小單位環境來說，只要電腦機房管好就可以了，一般辦公室電腦除了注意防毒之外，大概不必多做什麼。

　　

　　---- 以上這些日常維護工作，筆者建議應該定期去做、覺得有異樣立刻去做，至於因為工作忙碌，根本不想去做的部分，儘快分給別人去做，例如，可以建立一些資訊資源組，安排一些管理組員負責。

　　

　　三、檢錯前的準備

　　

　　---- 在開始檢查出錯的原因之前，需要做好以下2項工作。

　　

　　---- 1．問清問題

　　

　　---- 當使用者對網路出現疑難時，網路管理員不應該立刻著手去進行檢錯處理，以免到頭來白忙一場，應該先問清楚，排除人為操作及應用軟體的問題，再決定下一步驟。在一個穩定的網路環境裡，網路故障的情況並不會太多。如果確定是網路出了問題，就要確定問題的來源，需要詢問使用者以下問題：

　　

　　---- 有沒有錯誤資訊?

　　---- 在螢幕上看到什麼?

　　---- 正在進行何種操作?

　　---- 問題什麼時候發生的?

　　---- 最近有沒有安裝過新軟體或硬體?

　　---- 這些問題有助於確定不正常現象的真正原因。

　　

　　---- 2．檢錯的價值

　　

　　---- 網路故障的可能性很多，如果有合理的懷疑，就可以使用檢錯工具做進一步的確認。確認問題來源並不是檢錯惟一的目的，因為故障排除的經驗，會有助於網路結構的規劃。例如: 重要裝置應有冗餘的線路，這樣能幫助檢錯，同時要有後備應急方案; 有RAID系統，就要有備用的替換硬碟，RAID才有設定的價值; 在日常維護中若發現某機器負擔過重，某機器負擔過輕，就要根據服務的性質重新配置負載。

　　

　　四、檢錯內容

　　

　　---- 1．網路實體線路連線問題

　　

　　---- 檢查近端網路裝置，例如集線器、路由器和交換機)的訊號燈，Link(LNK)燈必須恆亮，而Action(ACT)燈必須閃爍，如果機器燈號不正常，必須將機器重開機，讓機器進行自我測試以恢復狀態，有些廠商的網路裝置，重開機後並不會立刻將軟體也一起重新啟動，而需要以人工方式進入主控臺（把這個裝置連線在一臺工作站的COM口，然後用終端機軟體簽入該裝置），再下命令將軟體重新啟動。如果不是機器的問題，請將無法連線的裝置更換網路線，再以Ping命令測試是否線路不通。

　　

　　---- 2．網路卡測試

　　

　　---- 測試網路卡晶片是否能正常工作，一般網路卡會附贈檢錯程式，有些直接執行Setup就可以看到檢錯選單，萬一沒有附帶檢錯程式，也可以使用Windows系統的內建檢錯工具Net Diag命令來檢錯。

　　

　　---- 3．TCP/IP通訊協定檢錯

　　

　　---- 以Ipconfig/All（Unix使用Ifconfig）檢查網路配置是否設定正確，要檢查的專案有IP 地址、網路掩碼、閘道器地址和DNS設定。接著以“Ping 127.0.0.1”命令測試Loop Back是否有回應，接著ping自己的IP地址是否有回應。如果沒有問題接著Ping閘道器和自己的域名，假如這些都沒問題，表示網路配置設定是正確的。如果沒有得到預期的結果，請檢查網路配置，看看是哪個部分有問題。

　　

　　---- 4．路由表檢錯

　　

　　---- 以“nbtstat-r”命令檢查路由設定，可以瞭解區域網路由設定是否正確，如果設定上沒有問題，那有可能是廣域網的路由出現問題。由於廣域網路由通常由別人管理，同時有可能穿越一個以上的區域網路，所以管理的單位及人員非常多，到底是誰的問題，應該聯絡誰處理，必須要追蹤路由，以問清問題點出在哪裡，可以使用tracert命令追蹤路徑。

　　

　　---- 5．Netbios名稱服務檢錯

　　

　　---- 如果在網路上的芳鄰看不到正確的電腦列表，而網路又已連通，那就表示Netbios名稱服務出了問題。由於Unix主機不支援Windows系列的Netbios名稱服務，所以在網路上的芳鄰看不到Unix機器是正常的，解決方法是在Unix上安裝Samba服務程式就可以了。

　　

　　---- Netbios名稱服務是透過廣播的方式來查詢主瀏覽器（Master Browser）來獲得電腦名單，主瀏覽器通常是網路上第一臺開機的電腦，如果網域裡面有作業系統版本較高的主機，將會在開機後自動成為主瀏覽器，它會每隔15分鐘選擇一臺機器當備份瀏覽器（Backup Browser），備份清單上的資料。網域內的工作站會每隔12s廣播自己的電腦名稱，以及存在的分享資源，主瀏覽器收到後，就會整理清單。網域內如果電腦數太多會造成廣播資料包急速增加，而佔用頻寬，規劃上可以使用橋接器或第二層的交換機管制廣播資料包的流向，減輕網路負荷，有許多網路系統就是因為規劃不當而造成廣播風暴，致使網路效能不佳。

　　

　　---- NETBEUI資料包無法穿越路由器或防火牆，如果想穿越路由器只能將NETBEUI封裝成IP資料包，這件事可由WINS伺服器來完成。同時因為WINS伺服器具有定期廣播的機制，會轉變成定向WINS查詢，可以有效減輕網路負擔，一臺專職的WINS伺服器，其效能足以提供給5個網域內1000臺以上的工作站使用。如果路由器後面有防火牆，必須將TCP 137～139、UDP 138～139埠放行，才能透過防火牆的攔堵; 通常只有在多個網域互相連線時，才需要考慮這個問題。這裡再強調一次，如果區域網路電腦數量太多