IP分配与访问控制

　　问：宿舍内所有的计算机连接至同一集线器。近来校内网络改用了NAT，想跟同学共用一个账号上网。我们的计算机被分配到一个IP地址，想用Sygate搭建一个网关服务器，使指定的IP或IP段可以通过我的计算机上网。当客户端也安装了Sygate（client mode）后，虽然可以连接到Internet，但当他们访问网络服务时（如BBS、FTP），使用的IP全部都是我的计算机的IP，从而出现了IP相同的情况。请问：
　　1.如何限制IP地址或IP段使用我所设的网关服务器﹖
　　2.我和同宿舍其他的计算机为什么只被校园网的DHCP分配到一个IP地址上?

　　答：第一，在Sygate中，可以通过采用添加白名单（White List）的方式，指定允许连接至Internet的IP地址或IP地址段。

　　第二，由于其他机器都是通过代理服务器连接至Internet（包括校园网），因此，必然会在Internet上显示为同一IP地址（代理服务器的IP地址），这个问题是无法解决的。也就是说，无论使用什么代理服务器软件，ICS、Sygate、Wingate还是ISA，甚至使用路由器作为NAT设备，网络内的所有客户端在Internet上显示的IP地址都是代理服务器或路由器的IP地址。

　　第三，如果校园网在实现DHCP分配时，采用了保留IP地址的方式，即在DHCP上为每台计算机（通过MAC地址来确认）都保留一个IP地址，并且随时调整IP地址池，那么，只有一台计算机得到IP地址就很正常了。不过，由于这样做网管会很累，所以，可能性不是很大。

　　问：局域网中使用一台服务器（Windows 2000 Server）做ICS主机，实现Internet连接共享，所有客户机会自动获取IP地址信息。现在，要在这个服务器上做VPN连接，用来连到外地的VPN服务器上，并启用VPN连接的共享（对于内网），使所有内网中的客户机都能通过VPN访问外地的VPN服务器。问题是：

　　1.启用VPN共享后，VPN可以正常使用，但所有的客户机不能访问Internet。

　　2.安装Sygate后，Internet是可以访问了，但VPN中的Outlook 2000（MS Exchange方式）不能用。

　　答：首先，服务器同时做ICS主机和VPN服务器是不恰当的。当在服务器上创建VPN连接时，启用了VPN连接的共享，而在创建这个共享的时候，原来的Internet 连接共享被去掉，从而导致客户机不能连接Internet。

　　其次，Exchange Server与远程的VPN服务器安装在同一台计算机上，不能使用VPN中的Outlook 2000（MS Exchange方式），估计是Sygate的问题。

　　解决方案如下：

　　第一，在Windows 2000服务器上安装WinGate，不要使用Windows 2000的Internet连接共享。在创建VPN连接时“启用此连接的Internet连接共享和启用请求拨号功能”，并选择正确的局域网网卡。

　　第二，正确设置客户端IE。在“工具→Internet连接选项→连接→局域网设置→代理服务器”中，添加Windows 2000服务器的地址和Wingate默认的代理端口号80。

　　第三，在服务器上正确设置Wingate。在服务器端，运行Wingate程序组中的GateKeeper，输入管理员密码并登录，单击“Users”选项卡，双击“Assumed users”，在对话框中选择“By IP Address”选项卡，单击“Add”按钮显示“Location”对话框，在第一个文本框中输入客户机的IP地址，选择“Guest”，然后单击“OK”按钮。重复操作，一直把所有的客户机地址添加完毕。


　　问：我有两台微机，一台采用WinXP系统，安装Intel i82559 PRO100+、RTL8029 AS两块网卡，用这台微机做Server，ADSL Modem连接RTL8029 AS网卡。另一台安装Win98系统，RTL8029 AS网卡。双机共享上网正常，但是如果Server先拨号上网，再启动客户机（或者在双机共享上网时关闭客户机）就会造成Server机掉线，并提示“Intel i82559 PRO100+网络电缆没插好”。

　　尝试用Intel i82559 PRO100+ 网卡连接ADSL Modem，WinXP系统却常常莫名其妙地自动重启。

　　答：第一，试着将WinXP中的Intel 82559网卡与Win98中的RTL8029网卡交换一下位置。

　　第二，在WinXP中将Intel 82559网卡强制设置成10Mbps使用。

　　第三，购置一台桌面交换机或集线器，用于连接内部网络，而不再使用双机直连。

问：我单位用固定IP地址上网，服务器采用Windows 2000 Server操作系统，提供IIS Web服务和DHCP服务，并安装Sygate作为代理服务器。同时，安装有Norton防火墙和杀毒软件，使用网路岗监控连接。故障现象是：服务器启动后一段时间里，服务器自身可以上网。但是，经过一段时间（可能几十分钟，也可能是几小时）后，服务器自身便不能和外网连接了，而局域网内其他机器照常能通过代理上网，Sygate也有流量显示。

　　答：导致故障的原因是系统资源占用多过，致使Sygate无法正常工作。事实上，监控软件、防火墙和杀毒软件，都需要占用较多的系统资源，将这些服务和应用程序都安装在同一台计算机上显然是不合适的。

　　可通过以下步骤排除故障：

　　第一，检查CPU的占用率，看哪一个程序或进程占用了太多的资源，然后卸载这个程序。

　　第二，依次卸载程序，先卸载“网路岗”看问题能否解决。仍然无法排除时，然后，依次试着卸载网络防火墙和杀毒软件。

　　第三，如果Web网站的访问量较大，就必须与Sygate代理服务器安装到不同的服务器上。

　　第四，如果Internet连接共享的客户端较多，建议为Sygate代理服务器单独安装到一台服务器上，不再提供其他网络服务。

　　问：我单位使用WinGate实现共享上网，但其DHCP服务不工作导致网管需要手工给大量机器分配IP地址，请问如何才能让WinGate的DHCP服务正常工作﹖

　　答：在WinGate中依次执行以下操作“GateKeeper→System→双击DHCP Service→DHCP　Settings→右键单击x.x.x.x（网卡的地址）→选择New scope→在Descripti写上描述信息→在From处输入起地址→在to处输入结束地址→在Network下面输入子网掩码→单击Options→选择Router→单击Add按钮添加”，然后双击添加后的router，输入当前计算机的IP地址（作为网关），然后按此添加DNS　Server并输入DNS服务器的地址，确认后返回GateKeeper就可以了。

　　如果不行，可以在System菜单中右键单击“DHCP　Service”，选择“Stop”，之后选择“Start”就行了。

　　问：利用IE只能打开所有网站的首页，第二级页面怎么都进不去，可用管理员身份登录就没有任何问题。不知道应该如何解决?

　　答：这个问题可以这样解决：如你用AA用户名不能解决，请先用AA用户登录进入系统，把AA的文档、收藏夹、桌面上的文件进行备份，然后以管理员账号登录，进入C\Documents and Settings目录，将AA目录改名，再以AA登录就可以了。

　　问：本人的服务器（Windows2000 Server+SP4）为域控制器（gyslj.gov.cn），客户端系统复杂（Windows98/2000 Professional/2000 Server/XP都有），以前是以工作组划分客户端，文件经常被误删、误改，所以把服务器升级，重新分配客户端权限。客户端加入域后，服务端权限又该如何设置?

　　答：具体方法如下：

　　1.把服务器升级到域控制器，将Windows2000和WindowsXP的计算机加入到Windows2000的域，在加入到域的每一个客户端上设置本地管理员账号Administrator的密码，并且不让使用机器的人知道。

　　2.给每一个人创建一个域用户的账号，让每一个用户登录到域。最好把这些人添加到一个组，如gysljgov，并且使用域管理员账号登录到每台加入域的计算机，将gysljgov这个用户组添加到每台计算机的本地Power Users用户组，这样每个用户只有有限的权限。

　　3.如果你的网络足够快并且服务器性能比较好，请在域控制器中设置组策略，重新定义每个用户的文件夹如“我的文档”、“开始”菜单、个人设定等，将每个人的个人信息及其文档保存在服务器的相应目录下。

问：局域网用域服务器（联想万全T200 2000管理，采用思科路由器共享上网。路由器经由防火墙接到交换机上，服务器和别的计算机也都接在交换机上。前几天出现每台机器登录域时在启动到“网络连接”时速度尚可，但是到“应用计算机设置”时就比较慢，“加载个人设置”时特别慢。如果这时用本机账号登录的话，启动还行，但用域用户登录的话，有的机器启动长达一个小时。拔掉网线单机启动（仍然是用域用户登录）较快，然后再插上网线，也能在BJSHUNHUA公司域名上找到网上邻居。杀毒没发现病毒。是什么原因?

　　答：这是你的域控制器有问题。

　　1.用本机用户登录到本地计算机没有问题，说明不是由于病毒等其他原因影响。

　　2.拔掉网线可以快速登录到域，是因为拔掉网线的工作站，在登录时联系不到域控制器，就改用原来登录的缓存信息进行验证。

　　所以，需要重点检查域控制器是否存在问题，可以这样检查：

　　1.找一个配置比较高的机器，安装Windows2000　Server并升级到域控制器（作为现有域的域控制器），并修改组策略（如果启用的话，比如启用了“重定义个人文件夹”，请将其重定义目录修改为在新的服务器上，并在新的服务器上创建相应的文件夹结构）。

　　2.修改工作站的DNS设置，将它指向新的域控制器的IP地址。

　　如果现在用户登录变快，说明是服务器的故障，请重点检查原服务器的磁盘阵列、网卡等。证实后请将新安装的域控制器升级为主域控制器（修改域命名主机、RID 主机、PDC 仿真主机、结构主机和全局编录），然后将原来的服务器（联想万全）运行dcpromo降级为成员服务器→备份数据→重新格式化→全新安装Windows2000 Server→升级到域控制器→升级为主域控制器→恢复数据。之后将备用的域控制器降级为成员服务器。然后将工作站的DNS修改为原来的地址即可（从安全的角度来看，域控制器必须有一台以上）。

　　问：用Modem拨号与其它机器互联（不是上Internet），拨号时只是电话机响而被拨叫的主机没一点反应，请问这种现象是什么原因造成的?

　　答：这是Modem没有设置成“自动应答”，请进入“超级终端”，输入一个名称然后选择连接Modem的端口（外置Modem为COM1、COM2，内置的多为COM3或其他端口），接着每秒位数选择9600，在窗口中输入：

　　at s0=2　　（可以设置为1~8，如设置为1，表示响铃一次接收，设置为0则取消该功能）
　　at &w

　　退出“超级终端”，问题就解决了。

　　双机直连的权限问题

　　问：两台装Windows XP系统的笔记本电脑在使用双绞线直连时，连接不稳定，且对方计算机经常无法浏览，甚至连工作组都打不开，提示“\\计算机名称\ShareDocs无法访问。你可能没有权限使用网络资源。请与这台服务器的管理员联系以查明你是否有访问权限。不能访问网络位置。”原因何在?

　　答：这必须解决IP地址和用户的权限问题，有以下几个方法：

　　第一，可以给每一台笔记本电脑设置一个私有的IP地址，如一个为192.168.1.10，另一个为192.168.1.20，子网掩码都是255.255.255.0。或者两者均采用“自动获取IP地址”方式，使其自动获取“169.254.0.1~169.254.255.254”段的IP地址。

　　第二，在每台笔记本电脑上启用“Guest”账户。从“管理工具”中运行“计算机管理”，选择“本地用户和组-用户”，在右侧的窗格中用鼠标右键单击“Guest”，选择“属性”，在“常规”选项卡中取消“账户已停用”。

　　第三，打开“资源管理器”，从“工具”菜单选择“文件夹属性”，从“查看”选项卡的“文件和文件夹”中取消“使用简单文件夹共享（推荐）”。

　　第四，打开“本地连接”，确认在“本地连接”属性的“高级”选项卡中，没有启用Internet连接防火墙。

　　第五，在“网络连接”窗口中单击“设置家庭或小型办公网络”，运行“网络安装向导”，选择“这台计算机属于一个没有Internet连接的网络”。然后，打开Windows资源管理器，设置共享文件夹。

域用户远程安装软件

　　问：网络中的域控制器（DC）兼作文件服务器，如果将其中的文件夹设置为共享，可能造成非法拷贝泄密；不共享又不能自由地安装自己需要的软件。应当如何设置权限，才能使客户端既能在局域网内运行并安装软件，又不能将服务器上的软件复制到本地硬盘?

　　答：该问题可以使用Windows 2000 Server或Windows 2003 Server中的组策略中的“发布软件”来解决。因为文件服务器是域控制器（DC），可以为所有网络用户创建一个OU（组织单元），并把原来的用户移动到这个新创建的OU来，然后给这个OU创建组策略。

　　把所有的软件都拷贝到一个或多个文件夹下，然后，为包含软件安装程序的文件夹创建隐含的共享，再用组策略发布软件就可以了。对于安装程序为exe文件的程序，可以创建一个zap文本文件，包含安装程序。

　　让所有的用户使用域用户登录到计算机，从“添加/删除程序”中的“添加新程序”来安装。这样，用户只能安装软件，但不知道软件的安装路径了。

　　DHCP中能否固定IP

　　问：使用校园网上网，都会自动从DHCP服务器获取一个IP地址（220.168.25.2~220.168.25.254），并需要在激活的登录界面中键入用户名和密码。在上网高峰时，无法获得IP地址信息，登录界面也无法激活，IP地址显示为“169.254.x.x”，无法上网。能自己指定IP地址上网吗?

　　答：访问高峰时计算机所获得的“169.254.x.x”地址是由于无法从DHCP服务器获得IP地址（联系不上DHCP服务器，或者DHCP服务器没有IP地址可供分配），而由计算机自动分配的IP地址（APIPA）。由于DHCP服务器的IP地址池有限，当可用IP地址分配完毕，将不再可能获取IP地址，也就是说，如果没有网络管理员的配合，将没有合法的解决方案，此时可行的方式就是不断刷新。

　　如果征得网络管理员的同意，可以在DHCP服务器上为特定的计算机保留IP地址。这样，该IP地址将不会被其他计算机分配，而只有指定MAC地址的计算机才能获取该IP地址，这样，就可以随时访问网络了。

交换机与集线器速率差别不大的原因

　　问：组建一个局域网做多媒体教室，拥有36台工作站和1台服务器。以前，使用3台集线器连接在一起，以广播方式进行教学时速度有些慢，甚至会发生网络风暴。现在，将3台集线器更换为3台交换机。本以为可以改善网速，没想到跟以前相差无几。原因何在?

　　答：交换机与集线器的区别在于单播的传输效率，当若干端口同时通讯时，交换机才比集线器有优势。另外，交换机是全双工模式，而集线器是半双工模式，因此，前者比后更适用于信息的交互传输。对于广播传输而言，集线器与交换机在性能上几乎没有区别，也就是说，相同带宽的集线器和交换机在广播应用时速率及效率基本相同。

　　路由器端口间无法访问

　　问：1台SOHO宽带路由器，4台计算机分别接入它的4个LAN端口，ADSL Modem连接至WAN端口。除1台计算机安装Windows 2000外，其他计算机均安装Windows XP，并全部设置为“HOME”工作组。虽然接入计算机均可正常上网，但相互之间却无法联络，在“网上邻居”中也看不到对方。

　　答：由于所有计算机都能通过同一个路由器上网，所以，其IP地址肯定在同一个子网内，可以排除IP地址信息设置故障。故障其实出在Windows XP和Windows 2000的网络设置上。建议作如下处理：

　　第一，在Windows XP的“网络连接”窗口中，单击“设置家庭或小型办公网络”，运行“网络安装向导”，在“选择连接方法”对话框中选择“其他”，然后，选择“这台计算机属于一个没有Internet连接的网络”选项，使其接入局域网，并在Windows资源管理器中设置共享文件夹。

　　第二，可以使用“查找”或“搜索”方式，利用IP地址或计算机名查找网络中的其他计算机。通常情况下，只要找到某台计算机，该计算机就会出现在“网上邻居”中。

　　第三，关闭Windows XP的Internet连接防火墙，默认状态下，防火墙被启用。在“本地连接属性”对话框的“高级”选项卡中取消对Internet连接防火墙复选框的选中状态。如果在Windows 2000中也安装了防火墙软件，需要正确设置或关闭防火墙。


　　Windows 2000下FTP用户权限的设置

　　问：公司局域网20台机器在同一网段、同一工作组中。现在要在Windows 2000 Server的服务器上提供FTP服务，每人有一个独立的FTP文件夹，主要为用户提供个人文件上传的空间，用户之间不能相互查看虚拟目录。但在虚拟目录属性对话框中找不到配置用户账号的地方，是不是要用一个专门的FTP服务器软件?

　　答：Windows 2000 Server默认的FTP服务提供的功能非常有限，因此，仅仅通过对虚拟目录的设置将无法实现权限的划分。不过，这个问题可以通过划分NTFS文件夹权限来解决。也就是说，只赋予用户对自己FTP虚拟目录文件夹的完全控制权限，同时拒绝对其他文件夹的访问权限。另外，为了避免磁盘空间爆满，还应当设置磁盘配额。

　　Serv-U是一款非常不错的FTP服务器软件，可以在FAT32分区中实现磁盘限额，以及对访问权限的控制。具体方法请见本报2003年第31期D5版的介绍。

收藏
学习