日志存档：01, 2007

(转)Windows2003管理工具命令行模式对照表

2007-01-05，星期五 | 分类：系统集成|病毒安全 | 152 views

Windows2003管理工具命令行模式对照表

一般我们选择Windows的管理工具都是从控制面板-〉管理工具里面去选择相关的组件，然后再进行管理。在论坛上面可以看到很多的人告诉大家运行gpedit.msc, secpol.msc, dsa.msc这样的命令就直接把管理工具启用起来了。

那么，MS提供的这些管理工具在什么地方能够找到呢？这里以Windows 2003为例，列出所有的管理工具清单：

（这里需要运行Windows 2003安装光盘中的adminpak.msi安装管理工具，你才能列出下面的相关内容。）

1、可以直接在开始-〉运行里面输入的管理工具：

文件所在目录：%SYSTEMROOT%\System32
从命令行方式运行：直接输入文件名

admgmt.msc: Active Directory Management
azman.msc: Authorization Manager
certmgr.msc: Certificates
certsrv.msc: Certification Authority
certtmpl.msc: Certificate Templates
ciadv.msc: Indexing Service
compmgmt.msc: Computer Management
devmgmt.msc: Device Manager
dfrg.msc: Disk Defragmenter
dfsgui.msc: Distributed File System
dhcpmgmt.msc: DHCP
diskmgmt.msc: Disk Management
dnsmgmt.msc: DNS
domain.msc: Active Directory Domains and Trusts
dsa.msc: Active Directory Users and Computers
dssite.msc: Active Directory Sites and Services
eventvwr.msc: Event Viewer
fsmgmt.msc: Shared Folders
gpedit.msc: Group Policy
ipaddrmgmt.msc: IP Address Management
lusrmgr.msc: Local Users and Groups
ntmsmgr.msc: Removable Storage
ntmsoprq.msc: Removable Storage Operator Requests
perfmon.msc: Performance
pkmgmt.msc: Public Key Management
rsadmin.msc: Remote Storage
rsop.msc: Resultant Set of Policy
schmmgmt.msc: Active Direcotry Schema
secpol.msc: Local Security Settings
services.msc: Services
tapimgmt.msc: Telephony
tsmmc.msc: Remote Desktops
uddi.msc: UDDI Services Console
winsmgmt.msc: WINS
wmimgmt.msc: Windows Management Infrastructure (WMI)

2、需要指定全路径才能运行的管理工具：

目录: %SYSTEMROOT%\System32\Com
文件名: comexp.msc
管理工具名称: Componet Service
从命令行执行方式: mmc %SYSTEMROOT%\System32\Com\comexp.msc

目录: %SYSTEMROOT%\Microsoft.NET\Framework\v1.1.4322
文件名:mscorcfg.msc
管理工具名称: .NET Framework 1.1 Configuration
从命令行执行方式: mmc %SYSTEMROOT%\Microsoft.NET\Framework\v1.1.4322\mscorcfg.msc

目录: %SYSTEMROOT%\System32\inetsrv
文件名: iis.msc
管理工具名称: Internet Information Services
从命令行执行方式: mmc %SYSTEMROOT%\System32\inetsrv\iis.msc

附2000的命令行管理工具列表：（只列出不同的内容）
acssnap.msc: QoS Admission Control
dcpol.msc: Domain Controller Security Policy
dompol.msc: Domain Security Policy
faxserv.msc: Fax Server Management
ias.msc: InternetAuthenticatioin Service
rrasmgmt.msc: Route and Remote Access
tscc.msc: Terminal Services Configuration

发表评论 »

如何在Windows 2003中配置 NAT 服务器

2007-01-05，星期五 | 分类：系统集成|病毒安全 | 121 views

如何在Windows 2003中配置 NAT 服务器

　本文说明如何通过使用 Windows Server 2003 来配置网络地址转换 (NAT) 服务器。Windows Server 2003 的路由和远程访问服务包括 NAT 路由协议。如果在运行“路由和远程访问”的服务器上安装和配置了 NAT 路由协议，则使用专用 Internet 协议 (IP) 地址的内部网络客户端可以通过 NAT 服务器的外部接口访问 Internet。

如何配置路由和远程访问 NAT 服务器

　当内部网络客户端发送 Internet 连接请求时，NAT 协议驱动程序将截获该请求，并将其转发到目标 Internet 服务器。所有请求看上去都像是来自 NAT 服务器的外部 IP 地址。此过程隐藏了您的内部 IP 地址配置。

配置路由和远程访问 NAT 服务器：

在管理工具菜单上，单击“路由和远程管理”。
在“路由和远程访问”MMC 中，展开您的 <var>server_namevar>（其中<var>server_namevar> 是您要配置的服务器的名称），然后展开左窗格中的 IP 路由¡£
右键单击常规，然后单击新建路由协议。
单击以选中 NAT/基本防火墙复选框，然后单击确定。
右键单击左窗格中的 NAT/基本防火墙，然后单击新建接口。
单击表示内部网络接口的接口，然后单击确定。
在“网络地址转换”属性中，单击“专用接口连接到专用网络”，然后单击确定。
右键单击左窗格中的 NAT/基本防火墙，然后单击新建接口。
单击表示外部网络接口的接口，然后单击确定。
在“网络地址转换”属性中，单击“公用接口连接到 Internet”。
单击以选中“在此接口上启用 NAT”复选框，然后单击确定。

　NAT 服务器可以自动为内部网络客户端分配 IP 地址。如果您没有已向内部网络上的客户端分配了地址信息的 DHCP 服务器，则可能需要使用此功能。

如何配置路由和远程访问 NAT 服务器以分配 IP 地址和执行代理 DNS 查询

　NAT 服务器还可以代表 NAT 客户端执行域名系统 (DNS) 查询。路由和远程访问 NAT 服务器对包括在客户端请求中的 Internet 主机名进行解析，然后将该 IP 地址转发给客户端。

　要配置路由和远程访问 NAT 服务器以分配 IP 地址并代表内部网络客户端执行代理 DNS 查询，请按以下步骤*作：

右键单击左窗格中的 NAT/基本防火墙，然后单击属性。
单击地址分配选项卡，然后单击以选中“使用 DHCP 分配器自动分配 IP 地址”复选框。
在 IP 地址框中，键入网络 ID。
在掩码框中，键入子网掩码。
单击名称解析选项卡，然后单击以选中“使用域名系统 (DNS) 的客户端”复选框。
如果您使用请求拨号接口连接到 Internet，请单击以选中“当名称需要解析时连接到公用网络”复选框。
在请求拨号接口框中，单击要拨号的接口。
单击应用，然后单击确定。

注意：完成这些基本配置步骤之后，内部网络客户端就可以访问 Internet 上的服务器了。

如何配置基于 Windows Server 2003 的计算机以使用 NAT 服务器

单击开始，指向控制面板，指向网络连接，然后单击本地连接。
单击属性。
单击 Internet 协议 (TCP/IP)。
单击属性。
在“默认网关”框中，键入 NAT 服务器的内部 IP 地址。
注意：如果您的计算机从动态主机配置协议 (DHCP) 服务器接收其 IP 地址，请单击高级，单击 IP 设置选项卡，单击网关下的添加，键入 NAT 服务器的内部 IP 地址，单击添加，单击确定，然后继续第 6 步。
单击确定，单击确定，然后单击关闭。
来源：www.certcity.net

发表评论 »

(转)机器无法启动路由与远程访问

2007-01-03，星期三 | 分类：系统集成|病毒安全 | 144 views

机器无法启动路由与远程访问

为什么有的机器无法启动”路由与远程访问”服务?

答: 这可能与你启动了”Internet连接共享”(Internet Connection Sharing)
服务有关,你可以用net stop sharedaccess来停止”Internet连接共享”服务,
然后启动”路由与远程访问”服务.(苗涛注:只是用net stop sharedaccess这个命令停止了服务还是不够的,还要把服务的启动模式改为禁止)

问题二: 为什么启动”路由和远程访问”服务后在网络邻居”属性”看不到”传入
的连接”呢?或者出现这样的情形,”路由和远程访问”服务已经启动,但是在网
络邻居”属性”看不到”传入的连接”.

答: 这是可能是你曾经配置过”网络路由器”的原因,由两种方法可以改正之:
方法一: 通过rrasmgmt.msc
1.启动”远程注册表服务”(net start remoteregistry),停止”路由和远程访
问”服务(net stop remoteaccess);

2.运行rrasmgmt.msc,如果右键出现的是”禁止路由和远程访问”,那么你先”禁
止路由和远程访问”,然后关闭rrasmgmt.msc.否则直接进入第三步;

3.运行rrasmgmt.msc,然后选择”配置并启用路由和远程访问”,然后按下一步,
选择”手动配置服务器”,按一下步,然后选择”完成”结束安装;

4.这时候你打开网络邻居会看到”传入的连接”又出现了;

5.此时你运行rrasmgmt.msc,可以再次右键选择”禁用路由和远程访问”,然后
关闭rrasmgmt.msc.因为”手动配置服务器”打开了太多的服务.

7.然后你可以启动”路由和远程访问”服务,网络邻居属性里那个”传入的连接”
又出现了.

方法二:运行regedit,打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\
Parameters把右窗口的DWORD值”RouterType”从2改成7(实际上只要不是2,其
他任意整数均可).

问题三: 能不能通过命令行方式配置VPN服务器?

答:可以通过netsh.exe来实现:
netsh ras set user administrator permit #允许administrator拨入该VPN
netsh ras set user administrator deny #禁止administrator拨入该VPN
netsh ras show user #查看哪些用户可以拨入VPN
netsh ras ip show config #查看VPN分配IP的方式
netsh ras ip set addrassign method = pool #使用地址池的方式分配IP
netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254 #地址池
的范围是从192.168.3.1到192.168.3.254

问题四: 一般情况下只有通过rrasmgmt.msc才能对VPN客户端连接数(默认情
况下PPTP和L2TP各5个,直接并行端口1个),与连接方式(PPTP或是L2tp)进行修
改.上文中将rrasmgmt.msc禁用了,是否有其他办法修改端口呢?

答: 有的,方法如下:
1.运行regedit,打开
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Class\{4D36E972–E325-
11CE-BFC1-08002BE10318}\0000,0001,0002…
找到右窗口”DriverDesc”为”WAN 微型端口 (PPTP)”和”WAN 微型端口 (L2TP)”
的目录

2.察看右窗口是否有DWORD值”WanEndpoints”,如果有,则对之进行修改，
如果没有,则新建一DWORD值”WanEndpoints”,其大小为你要设定的连接数

3.重新启动机器.

经过研究,发现对于Win2k Srv或Win2k AdvSrv来说,通过注册表可以修改服务
器接受的连接数,对于Win2k Pro来说,最多只能接受一个Client的连接,但是
修改可以使之不接受Client的连接.

问题五: 开了VPN服务后,有时日志里会有这么一项:
事件类型: 警告
事件来源: RemoteAccess
事件种类: 无
事件 ID: 20192
日期:  2002-8-2
事件:  8:55:12
用户:  N/A
计算机: COMPUTER
描述:
找不到证书。使用在IPSec上的L2TP协议的连接要求安装机器证书,这也叫做计
算机证书.将不会接受L2TP呼叫.

这是怎么回事,怎么才能解决这个问题呢?

答:这是因为Windows为L2TP连接的VPN自动创建一个IPsec策略,这个IPsec策略
使用本地机器上的证书来进行双方的认证.如果本地机器没有合适的证书,那么
就会出现上面的问题.有两种办法可以解决之:
方法一:取消L2TP VPN自动创建的IPsec策略
运行regedit.exe,打开
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
新建一DWORD值ProhibitIPsec,并将值设置为1

方法二,取消L2TP方式的VPN
运行regedit.exe,打开
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Class\{4D36E972–E325-
11CE-BFC1-08002BE10318}\0000,0001,0002…
找到右窗口”DriverDesc”为”WAN 微型端口 (L2TP)”
把DWORD值”WanEndpoints”改为0即可

问题六: 怎么做一个认证方式为预共享密钥的L2TP/IPsec方式的VPN?

答:可以参照如下步骤
步骤一:.首先,打开L2TP端口
一般情况下用Win2k Server通过常规方式搭建的VPN服务器对客户端连接情
况是PPTP和L2TP各5个,直接并行端口1个.可通过如下方式修改支持的使用
L2TP的VPN客户端的个数.

运行regedit,打开
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Class\{4D36E972–E325-
11CE-BFC1-08002BE10318}\0000,0001,0002…

找到右窗口”DriverDesc”为”WAN 微型端口 (L2TP)”的目录.
察看右窗口是否有DWORD值”WanEndpoints”,如果有,则对之进行修改，
如果没有,则新建一DWORD值”WanEndpoints”,其大小为你要设定的连接数

2.取消L2TP VPN自动创建的使用证书方式认证IPsec策略
运行regedit.exe,打开
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
新建一DWORD值ProhibitIPsec,并将值设置为1

3.设置IPsec策略保护L2TP通讯,保护内容为本机1701端口到其他任何机器1701端口
的所有UDP通讯.如果安装了Win2000 Resource Kit,使用如下命令:
ipsecpol -w reg -p VPN -r VPN -a preshare:”vpn”
-x -n ESP[3DES,SHA]3600S/100000KP ESP[3DES,MD5]3600S/100000KP ESP[DES,
SHA]3600S/100000KP ESP[DES,MD5]3600S/100000KP
-f 0:1071+*:1071:udp

问题七: PPTP方式和L2TP方式的VPN有何异同?

答:与其协议和工作方式有关

使用PPTP方式的VPN连接时,VPN服务器端保持着1723端口与客户端一任意
端口的TCP连接,TCP端口1723上跑的是PPTP Control Message,包括了
PPTP隧道创建,维护和终止之类的日常管理工作(建立/断开VPN连接的
请求等).客户端通过TCP与服务器1723端口建立连接后,进入基于GRE
(通用路由协议–IP协议编号为47,TCP的IP协议编号为6)的PPP协商,
包括了用户验证,数据传输等所有通讯.断开VPN连接时又用到了基于
1723端口的PPTP Control Message.

也就是说,PPTP方式的VPN连接,VPN客户端的建立/断开连接请求都是通
过和服务器的TCP 1723端口用PPTP协议联系的,至于具体的用户验证,
数据传输等都是通过PPP协议来通讯的,而PPP协议又是跑在GRE(和TCP,
UDP协议平行的协议,GRE的IP协议编号为47)之上的.

PPTP方式的VPN有以下几个特点,
1.VPN客户端可以使用私有地址通过NAT服务器来连接具有合法地址VPN服务器;
2.VPN连接时只有一层验证–就是用户身份验证

使用L2TP方式VPN连接时,VPN服务器保持着1701端口与客户端1701端口的
UDP”连接”.由于Microsoft不鼓励将L2TP直接暴露在网络中,因此自动为L2TP
连接创建一个使用证书方式认证IPsec策略(当然可以通过修改注册表使证书
认证变成与共享密钥认证)

因此L2TP通讯就被裹在IPsec策略创建的Ipsec隧道内,用ipsecmon可以看清楚
实际上还是1701<–>1701的UDP通讯

VPN开始通讯时,需要双方交换密钥,这是通过UPD 500端口的ISAKMP来实现的.
从此以后所有的VPN通讯,包括建立/断开连接请求,用户验证,数据传输都是通过
ESP(与TCP,UDP协议平行的协议,ESP的IP编号为50)之上传输的.

L2TP/IPsec方式的VPN有以下几个特点:
1.VPN客户端无法使用私有地址来连接具有合法地址的VPN服务器(2002年末经过
Microsoft公司的努力(Microsoft Knowledge Base Article - 818043),使用
了NAT-T技术,可以让L2TP/IPsec方式的VPN可以穿越内网)
2.VPN连接需要两层验证:密钥验证和用户身份验证(其中密钥是Ipsec层面的认证)

问题八: 有无办法纪录VPN连接的日志?

答: 有的,一般可以通过设置radius服务器来实现外,还有如下方法:

通过命令行下操作实现PPP等日志文件
netsh ras set tracing * enable
这时候目录C:\WinNT\tracing下将会有一堆log文件.

另外,运行regedit.exe,打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\
Parameters在右窗口将DWORD”值LoggingFlags”改为”3″
然后就可以在eventvwr.msc的”系统日志”下看到关于”remoteaccess”的信息.

其中DWORD值”LoggingFlags”对应的数字含义如下:
0:禁用事件日志
1:只纪录错误
2:记录错误及警告(这是默认值)
3:记录最多信息

问题九: 如何使用Radius服务器实现对VPN的记账功能?

答:可参照如下步骤
1.安装并运行IAS服务
运行sysocmgr -i:sysoc.inf,
选中”网络服务–Internet验证服务”,然后安装.
安装完毕运行IAS服务,net start ias

2.安装并运行VPN服务
具体不再详述.

3.运行netsh.exe
E:\WINNT\system32>netsh
netsh>ras aaaa
ras aaaa>set accounting radius
要使改动生效，必须重启动远程访问服务。

ras aaaa>add acctserver name = ”本机器名称” init-score = 5 port = 1813 timeo
ut = 30 messages = disabled
要使改动生效，必须重启动远程访问服务。

4.运行ias.msc(要保证remoteregistry服务正处于运行状态)
“客户端”有窗口新建一”客户端”,名称为VPN,客户端地址为”本机器的IP”,都按照
默认的设定.
“远程访问记录”右窗口记录着日志记录的地方,以及日志记录的内容设置.设置里
最好三个选项都打上勾.
“远程访问策略”一般是验证用户时候用的,如果用的是windows自带的用户验证,可
以不必设置.为了使iaslog.log看着舒服,可以把”如果启用拨入许可，就允许访问”
改成”authen”.

补充:Win2000 ResourceKit中的iasparse.exe可以对iaslog.log进行分析.

问题十: 默认情况下,拨到VPN服务器后,所有的网络数据都是要经过VPN服务
器的(本地网络除外),对于一些站点,我们更希望直接访问而不通过VPN,那该
怎么办呢?

答: 可以通过route add命令来为那些站点设定特定路由.
比如说,本地网络是192.168.0.5/24,网关是192.168.0.1
现在正连接到一个VPN服务器,这时候对于202.117.1.8的访问想通过原有的线
路,那么可以用
route add 202.117.1.8 mask 255.255.255.255 192.168.0.1
来实现,这时候访问202.117.1.8将不再通过VPN服务器了.

问题十一: 默认情况下,拨到VPN服务器后,所有的网络数据都是要经过VPN服务
器的(本地网络除外),然而,有时候我们只希望对一些特定的站点的访问从VPN
服务器经过,其他都还是和原来一样,应该怎么做呢?

答:可以通过修改VPN连接的属性来实现,右键”网上邻居”属性,打开”网络和拨
号连接”,找到拨出VPN名称(默认名字是”虚拟专用连接”),右键”VPN名称”的属
性,选择”网络–’Internet协议(TCP/IP)’–高级–常规”,把”在远程网络上使
用默认网关”那一项的勾去掉即可.这样所有的网络访问都将不再通过VPN服务
器了.当然可以通过route add命令来为一些站点设定特定路由.

比如说,本地网络是192.168.0.5/24,网关是192.168.0.1,拨到一VPN服务器,
得到新的IP为192.168.3.3/32
经过先前的设置,所有的网络数据都将不再经过VPN服务器了,但对于202.117.1.8
的访问想通过VPN服务器实现,可以用
route add 202.117.1.8 mask 255.255.255.255 192.168.3.3
来实现,这时候访问202.117.1.8将通过VPN服务器.

问题九: VPN可不可以穿透内网以及串联？

答: 所谓穿透内网,就是说VPN Client可以位于一个使用内部地址的网络内,而
VPN服务器位于公网上一个合法的IP地址;
    所谓串联,是先拨一个VPN服务器,然后再拨第二个VPN服务器.(本来第二个
VPN服务器是你不知能直接访问的,但是通过第一个VPN就可以使用第二个VPN服
务器).
   对于PPTP方式的VPN来说,是可以穿透内网的,也是可以串联的.
   原来L2TP/IPsec模式的VPN是无法穿越内网的,但是经过Microsoft公司的
努力(Microsoft Knowledge Base Article - 818043),使用了NAT-T技术,可
以让L2TP/IPsec方式的VPN可以穿越内网,当然也可以串联.

问题十二: 单网卡VPN服务器能否将给拨入的客户一个虚拟的内部地址然后通过
VPN服务器进行地址转换再出去?

答: 是可以的.在Windows2000下只有通过netsh.exe来实现
netsh ras ip set addrassign method = pool
#使用地址池的方式分配IP
netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254
#地址池的范围是从192.168.3.1到192.168.3.254,这里用的是一个虚拟的内部
地址池.
netsh routing ip nat install #安装NAT协议
netsh routing ip nat add interface= 本地连接 mode =full
#设置”本地连接”这块网卡为对外网卡(进行地址和端口转换),注意此时
remoteregistry服务必须处于启动状态
netsh routing ip nat add interface=内部 mode=private
#设置”内部”这块虚拟网卡为内部地址,这块网卡是操作系统虚拟的一块不可见
网卡

问题十三: 能否对虚拟的VPN网卡进行sniff?

答: 曾经用了三种软件在服务器和客户端进行了测试:
Sniffer pro4.6, tcpdump, netmon.exe(MS自带的网络监视器)

结果发现:
1.Sniffer pro4.6无法找到虚拟的VPN网卡,因此不能对虚拟的VPN网卡进行监测

2.tcpdump倒是可以对虚拟的VPN网卡监测(tcpdump -i \device\packet_NdisWanIP)
可以无论在服务器端还是客户端,一旦监测这块虚拟的VPN网卡,那么VPN将不再
能够使用.(尽管显示VPN还处于连接状态,但已经无法工作了)

3.只有netmon.exe(网络监视器)可以正常工作,不影响VPN的使用,同样还可以监测
该虚拟的VPN网卡上流经的数据

问题十四: 使用VPN这块虚拟的网卡有什么特性?

答:首先看一下官方的说法:
当建立RAS或VPN连接时,为了能与RAS/VPN客户实现通信,RAS服务器从RAS静态
IP地址池或DHCP中提取一个IP地址,然后为每个连接至服务器的客户分配一个
IP地址.RAS/RRAS必须使这些IP地址绑定到一个适配器上.由于不存在物理适配
器,将创建一个虚拟的适配器,称为NDISWAN.

WindowsNT客户端将为每个拔出的连接创建一个NDISWAN适配器,为拔入/拔出连
接配置的Windows NT RAS服务器将创建一个NDISWAN适配器用于与RAS/VPN客户
的通信,为每个拔出的连接创建一个NDISWAN 适配器.

只有当第一个RAS/VPN客户建立连接后,RAS服务器才为拔入的连接创建一个
NDISWAN适配器.IP地址被绑定到NDISWAN适配器上,直到RAS服务停止.

这个NDISWAN适配器仅对RAS/VPN客户的请求作出响应.局域网客户无法PING通
这个NDISWAN接口。

NDISWAN在RAS/RRAS中是有连接才创建.对于PPTP,创建的NDISWAN适配器数与所
配置的 PPTP 端口数相同。

查看 NDISWAN 适配器信息。

可以通过在命令行键入 ipconfig/all 来查看 NDISWAN 适配器,也可以在注册
表的下列位置查看 NDISWAN 适配器：
HKLM\SOFTWARE\Microsoft\NdisWan
HKLM\SYSTEM\CCS\Services\NdisWan(x)
HKLM\SYSTEM\CCS\Services\NetBT\Adapters\NdisWan(x)
HKLM\SYSTEM\CCS\Services\NwlnkIpx\NetConfig\NdisWan(x)

我的几个经验是:
1.VPN Client拨入VPN服务器后,VPN client获得的IP地址以及VPN服务器自己
保留的IP地址在VPN服务器网段里将不再可用,否则双方将出现地址冲突;

2.VPN服务器在NDISWAN适配器尚未启用之前,其地址池中第一个地址(将被VPN
服务器自己使用)可以存在于VPN服务器所在网段,并且在VPN Client拨入VPN服
务其后也不影响VPN正常使用(不冲突);

3.VPN Client拨入VPN服务器后,如果VPN client获得的IP地址已经被VPN服务
器网段的机器使用,那么双方将不会出现冲突.表面上看VPN是正常的,实际上
VPN Client将不再能够通过VPN服务器出去.

来源：http://blog.54master.com

发表评论 »

(转)WINDOWS 2003 代理服务器设置方案

2007-01-01，星期一 | 分类：系统集成|病毒安全 | 144 views

WINDOWS 2003 代理服务器设置方案

由于公司网络最近速度缓慢.所以得进行整改下…
以前的网络结构为:
ADSL MODEM—宽带路由器—交换机—客户机
改进为:
ADSL MODEM—代理服务器—交换机—客户机
这样改进以后,所有网络数据将通过服务器传输.通过服务器自动拨号连接网络.服务器可以使用一台普通电脑代替.但要为次付出一台电脑.
使用代理服务器的好处:
1.提高稳定性.电脑具有良好的热稳定性,并且拥有高达几百兆字节的缓存供网络使用,可以解决大部分当前网络现状!
2.可以在服务器上安装监控软件对所有数据监控.可以为每台电脑限制网速.这样可以避免使用部分下载软件而占用所有网络带宽的现象!
3.可以在服务器上安装防火墙

但具体实施起来却不怎么容易..
公司一共只有30多台电脑…所以买什么三层交换机.路由器不现实!
所以采用软路由….各位看官注意了..

系统采用WINDOWS 2003 SERVER R2 SP1版…(不知道该怎么念…补丁打完就好!)
代理软件…最是头疼..本来想采用 ISA SERVER 2006企业版..奈何装上了..什么无法配置网络存储…
            然后采用了CCProxy做测试.感觉还不错.小巧.方便.我想对付30多台电脑足够了…
防火墙:….这个烦…本来ISA SERVER就是很好的家伙…但现在…
杀毒软件:准备用MCAFEE…一直很好.监控不错…

不知道各位有什么好的建议..方案….如果不使用ISA SERVER…还可以用什么..
我的要求:
       公司用的普通ADSL..
       要求自动拨号…..设置网页缓存….代理上网…控制网速..流量….数据即时检查.监控…
当然…节约为先…..介绍软件即可…免费优先…破解可以…..硬件设备不来

关于网络结构…我想到一个更好的办法…

我公司有3个普通交换机..分别连着不同的客户机…

我们就此可以在服务器上安装配置4张网卡…
网卡1连接外网.由于是ADSL…所以我们把IP地址等信息设置为自动…

网卡2连接交换机1….地址可以设置为192.168.0.1…掩码为255.255.255.0….这台交换机上的其他电脑也相同设置IP…使其在同一子网下…..

网卡2.3以次类推…192.168.1.1/24 192.168.2.1/24

这样我们就可以分成3个不同的子网…分割了广播域和冲突域…减少了木马的危害….

不过这样不知道是不是…..3个不同子网之间互相访问??????还需要有相关经验的朋友说明…从理论上说可行哇….
以上紧是本人思考结构而已…有更好的办法请提出….

来源：论坛

发表评论 »

Windows 2003作路由局域网共享上

2007-01-01，星期一 | 分类：系统集成|病毒安全 | 221 views

Windows 2003作路由局域网共享上

一、案例

　　本校计算机中心机房共有计算机240台，已互连为局域网，希望访问校内资源时通过校园网接口，而访问外部资源时通过ADSL接口。

　　二、解决

　　Windows XP和Windows 2003都自带ADSL宽带拨号程序，这里只要使用Windows 2003的“路由和远程访问”程序稍加配置，就可搞掂一切。

　　1、前提

　　计算机一台（配置不用很高，只要能安装Windows 2003就行），安装有Windows2003操作系统，内插3块网卡，网卡1：连接内部局域网，IP：192.168.1.1，子网掩码：255.255.255.0，网关：空，DNS:空；网卡2：连接ADSL,IP：自动获取，DNS：自动获取；网卡3：连接校园网，IP：202.203.230.2，子网掩码：255.255.255.0，网关：202.203.230.1，DNS：202.203.220.2（假设校园网网段为202.203.220.0―202.203.230.0之间，DNS服务器为202.203.220.2)；

　　2、服务器配置

　　Step1.单击“开始”―“管理工具”―“路由和远程访问”，启动配置向导；选择本地服务器，单击“操作”―“配置并启用路由和远程访问”(图一)。单击“下一步”，选择“自定义配置”―“下一步”；复选“请求拨号连接（由分支办公室路由使用）”和“LAN路由”―“下一步”―“完成”，即可启动路由和远程访问。

　　Step2.选择“网络接口”，单击“操作”―“新建请求拨号接口”―“下一步”―“下一步”，选择“使用以太网上的PPP(PPPoE)连接”―“下一步”―“下一步”，弹出“协议及安全措施”选项，去掉所有钩选，单击“下一步”，输入ADSL帐号和密码，“下一步”―“完成”。

　　Step3.新建一批处理文件route.bat，并把其快捷方式添加到“开始”―“程序”―“启动”下，编辑route.bat内容如下：

　　cd\

　　route delete 0.0.0.0

　　route add 192.168.1.0 mask 255.255.240.0 192.168.1.1

　　route add 202.203.220.0 mask 255.255.240.0 202.203.230.1

　　route add 202.203.221.0 mask 255.255.255.0 202.203.230.1

　　//（自行把校园网的IP段添加上）

　　route add 202.203.230.0 mask 255.255.255.0 202.203.230.1

　　3、客户机配置

　　TCP/IP配置如下：IP:192.168.1.x,子网掩码：255.255.255.0,网关：192.168.1.1，首选DNS服务器：当地ADSL域名服务器IP（可向ADSL提供商查询，如昆明电信的为：202.98.160.68），备用DNS服务器：202.203.220.2。此处的DNS设置非常关键，有的人会误把DNS设为：192.168.1.1。

　　三、总结

　　使用此方法实现宽带共享，可节约购买路由器的费用，几乎不占用服务器资源，且只要往服务器上加插网卡，就可任意扩张客户机数量或外部出口。我单位400多台计算机使用此种方法共享一条2MADSL宽带将有一年，运转非常稳定，每台计算机就象在独立使用一根2MADSL在上网，同时可以快速浏览校内资源，实现网上办公，何乐而不为!

来源：http://www.routerclub.com

发表评论 »