五十九、配置廣域網路中的Windows NT

五十九、配置廣域網路中的Windows NT

Windows NT 4.0作為一個高效能32位多任務、多使用者的網路作業系統，由於其介面的友好性和強大而直觀的管理功能，無論對網路新手還是資深系統管理員，都可以迅速地構造起一套基於Windows NT的網路環境，從而贏得了眾多使用者的青睞。然而，隨著使用者網路節點的不斷增加、掛接網段數的持續增長，使得網路規模日趨增大，一些在區域網路環境中無法遇到的問題就會逐步地暴露出來。因此，如何保證Windows NT在多網段、多主域的複雜環境下，充分滿足使用者各種跨網段的訪問、以及如何減少Windows NT對網路頻寬的佔用，保持其高效率的運作，是我們每一個系統管理員所亟待解決的問題。

　　下面我們結合一個案例，分析一下在一個多網段、多主域的環境中，如何對Windows NT的一些技術參數進行設定。

　　在該案例中，Windows NT網路由四個物理網段構成，網段間通過ATM交換器相連，各個網段均為獨立的域（網域名稱分別為：HK-PDC、HY-PDC、WC-PDC、PDC1）。

各個網段的網號為：
1. HK-PDC的網號10.228.17.0 掩碼為：255.255.255.0
2. HY-PDC的網號10.228.18.0 掩碼為：255.255.255.0
3. WC-PDC的網號10.228.19.0 掩碼為：255.255.255.0
4. PDC1的網號10.228.16.0 掩碼為：255.255.255.0

1所示。
在將Windows NT應用於廣域網路的過程中，需要考慮下面四個方面的問題：

一、協議的最佳化選擇
　　在小型區域網路中，NetBEUI協議無疑是你的最佳選擇，它無需任何人工設定，而且傳遞速度很快，是包括TCP/IP在內的其他協議所無法比擬的。但它的傳輸機制是基於密集的廣播方式，這就會不可避免地造成大量網路頻寬被佔用（乙太網路頻寬利用率超過50%就要考慮分段），而且無法被路由到其他網段。顯然，NetBEUI協議不能用於廣域網路。熱點網路
而TCP/IP的最初設計思想就是要將其用於封包交換的廣域網路，它的可路由機制及良好的跨網段親和性，確定了它目前無可爭辯的主流協議的地位。因此，任何對TCP/IP持懷疑和抵制的態度都是不明智的，而我們需要做的，是如何儘快地將網路中現有的通訊協定遷移到TCP/IP協議上。
　　而Windows NT將TCP/IP作為其內建預設協議，對TCP/IP提供了良好的內在支援，從而最大限度地減少了使用者在實施TCP/IP方案時可能遇到的困難，但這並不意味著不會遇到麻煩。雖然微軟在這方面花了很大的力氣，但目前仍然需要人工的較多幹預，而且涉及面相當廣泛。

二、建立WINS服務
　　我們知道，WINS是名稱服務的一種實現形式，它和Internet上廣泛使用的DNS的作用是一樣的，都是將電腦名稱（在DNS中稱為主機名稱，通常兩者是相同的）映射到它的IP地址上，以便兩台機器在網路層建立起通訊串連。不同之處在於WINS是自己動態維護的，不需要人為的幹預，而DNS則是靜態，要完全依賴人工的維護。除非你的網路有Internet/Intranet方面的應用，DNS可不予設定。
　　在小型區域網路中，你可不考慮WINS服務的建立，你的網路也不會因此而受到削弱，因為在Windows NT上，客戶機可採用廣播方式找到那些出現在瀏覽器（不是指Internet Explorer）中，開放了各種資源（如：共用目錄、印表機）的機器。熱點網路
　　而在廣域網路中，為了抑制廣播風暴的發生，路由器是不轉寄廣播資訊的，這樣一來，基於b節點（如沒有設定WINS選項的Windows 95/98客戶機預設為b節點，這些客戶機採用廣播方式聯絡）就會導致無法跨網段進行資源的共用。這時，如果你安裝了WINS，這個問題就會迎刃而解。因為，你的機器可以利用查詢運行有WINS的NT伺服器，來準確地定位到你想使用其共用資源的機器的IP地址。
　　當然，你可以在廣域網路中只建立一個WINS伺服器，但為了增強網路的容錯性，有必要建立兩個WINS伺服器，一個作為主WINS伺服器（Pirmary WINS Server），一個作從WINS伺服器（Sencondery WINS SERVER），並為他們建立起夥伴複製關係，以確保兩者的資料一致性。
　　圖2顯示的是WINS資料庫中的內容（該WINS伺服器架設在10.228.16.0網段），從中我們可以看見有三個網段的WINS客戶機在WINS伺服器作了動態映射，在主瀏覽器（駐留在PDC中）的配合下，其他客戶機只需訪問這個資料庫，就可以很方便地查詢到這些身處不同網段的機器的IP地址，從而確保了跨網段瀏覽的連續性。

三、建立DHCP服務
　　DHCP可以允許客戶機動態地從DHCP伺服器上獲得IP地址一段時間的租用權，這不但可以有效地節省了IP地址的佔用，而且能極大地簡化系統維護負擔，在廣域網路的環境中，採用手工分配、而不使用DHCP方式給客戶機分配IP地址的行為，是不可思議的。
　　當你將客戶機設定成自動擷取IP方式後（如Windows 95/98、Windows NT客戶機上選中“從DHCP伺服器擷取IP地址”），剩下的有關TCP/IP的設定工作完全可由DHCP伺服器代你完成，在Windows NT的廣域網路環境下，一般需要對DHCP伺服器中的四個選項作如下設定：

1. 003選項—給客戶機指定預設閘道。
2. 006 DNS—指定DNS伺服器的IP地址伺服器（如沒有，可不設）。
3. 044 WINS/NBNS—指定WINS伺服器的IP地址。
4. 046 WINS/NBT節點類型—設為0x8 h-節點類型。

　　其中，NBNS（NetBIOS Name Service）、NBT（NetBIOS Node Type）的具體描述細節可參考RFC 1001技術文檔。
一旦上述參數在DHCP伺服器上設定完成後，在客戶機重新引導時，這些參數就會和出租給客戶的IP地址一起將作為客戶機的既定配置，一起下發給它們使用。

　　在廣域網路的規劃設計中，你可以集中在一台DHCP伺服器來管理整個網路的IP地址的分發及其有關TCP/IP參數的設定，這台DHCP伺服器可以為來自不同網段的IP地址申請作出正確地響應，並為它們分發出相應網段的IP地址。

　　由圖3可知，在DHCP伺服器（IP地址：10.228.16.1）上，劃分了四個網段，分別對來自四個網段的客戶機的申請作出響應，分別給予相應網段中的動態IP地址。

　　在右側“選項配置”中，我們可以看到，已設定好了上述的四個選項設定。

以10.228.16.0網段為例：
1. 給客戶機指定的預設閘道為10.228.16.31。
2.給客戶機指定的DNS伺服器有兩個，分別為10.228.16.6、10.228.0.1。
3. 給客戶機指定的主WINS伺服器為10.228.16.6、從WINS伺服器為10.228.16.3。
4. 規定的客戶機的節點類型為0x8節點（即h節點—先通過WINS查詢，失敗後，再由廣播方式查詢）。
當客戶機引導完後，通過WINIPCFG命令（Windows 95）、IPCONFIG/ALL命令（Windows NT）來查看客戶機擷取的各項設定是否正確。

四、建立信任關係
　　要在Windows NT的多域之間達成資源的共用和帳號的異地校正（又稱：轉移驗證），建立起信任關係是必不可少的一個環節，在具有信任關係的兩個域中，將自己的資源提供給別人使用的域稱為信任域（Windows NT 4.0改稱為委託域），能夠訪問到其他域資源的域稱為被信任域（Windows NT 4.0改稱為受託域），至於是建立雙向信任關係還是單向信任關係可根據使用者的實際需求來加以限定。

　　由圖4執行個體，我們可以得知：
1．本地區PDC1已將自己的資源開放（或稱委託）給HK-PDC、HY-PDC、WC-PDC三個域使用。
2．HK-PDC、HY-PDC也已將自己的資源委託給PDC1使用了。
3．PDC1與HK-PDC之間、PDC1與HY-PDC之間都是雙向信任關係。
4．PDC1與WC-PDC之間是單向信任關係。在該例中，PDC1信任WC-PDC，但WC-PDC卻不信任PDC1，這樣一來，結果就是WC-PDC可以訪問PDC1的資源，而PDC1卻不能訪問WC-PDC的資源。

　　藉助這個執行個體，我們可以看到，除了Microsoft推薦的幾種多域信任關係外，使用者也完全可以根據行業特點及實際需求，靈活多樣地設計出切實可行的多域信任關係來。

五、結束語
　　本文通過對一個執行個體的解剖，簡要介紹了在將Windows NT應用於廣域網路建設中所應注意的四個方面的問題，目的在於，將日常工作中積累起來的一些管理Windows NT的經驗貢獻出來，給廣大同行參考斧正，以求共同提高。熱點網路

聯絡地址：zhanghui@netease.com,歡迎來信交流