工作组环境中网络访问辩析.ppt

* * * * * * * * * * * 实验场景 假设网络中有两台计算机，并满足以下条件： 一台计算机名为Client，另一台计算机名为Server，假定Client（客户机）要访问Server（服务器）上的资源 假设：Client采用Windows Server 2003或者Windows XP Professional；Server采用Windows XP Professional 网络访问过程 Client要成功访问Server，需要经过以下四道关卡 协议和端口、组件和服务：工作在网络的底层。 用户身份验证：你说你是Tom，你真的是Tom吗？ Client需要提供用户名和密码，向Server证明自己的身份。 　 安全策略审核：我已经知道你是Tom了，现在我看看能否给你“入场券”？ 　 权限检查：最终能否成功访问成功，取决于共享资源的权限设置。　 　　只有以上因素全部满足，那么Client才能够顺利地访问Server。　 一、协议与端口 文件和打印共享可以在TCP/IP、或者其他协议（例如NetBEUI）上很好地工作。 如果要走TCP/IP协议，可以借助两种方式： 一种是通过传统的NetBT。 另一种是TCP/IP上的SMB直接承载。 NetBT vs TCP/IP上的SMB直接承载 为什么要使用TCP/IP上的SMB直接承载？ 什么情况下必须使用NetBT？ 不需要经过NetBT层，简化了SMB传输通信； 可以关闭不需要的NetBT端口； 消除了由于NetBIOS名字解析而产生的广播。 网络中具有Windows 95/98、Windows NT等旧版操作系统； 如果网络中没有部署自己的DNS服务器，则必须启用NetBT，以确保名字解析正常。如果确实需要禁用NetBT，则只能用 \\ServerIPAddress的形式访问。 NetBT vs TCP/IP上的SMB直接承载 如何禁用/启用NetBT？ Demo 如何配置Windows XP的防火墙 Demo Windows XP的网络诊断功能 在运行对话框里输入以下地址并回车 hcp://system/netdiag/dglogs.htm 或者在运行对话框里输入以下命令并回车 NETSH DIAG GUI Windows XP的网络诊断 例如图中TcpipNetbiosOption表示NetBT的配置情况： TcpipNetbiosOption＝0表示默认配置，根据DHCP选项设置NetBT的是否启用 TcpipNetbiosOption=1，启用NetBT TcpipNetbiosOption=2，禁用NetBT NetBEUI协议 好处： NetBEUI协议的系统开销更小； NetBEUI协议可以绕过Windows防火墙的限制，无需对Windows防火墙进行配置，就可以实现文件和打印机共享。 缺点： 不能跨路由； 与Internet不兼容。 网络和组件服务 网络组件 Microsoft网络的文件和打印机共享：可以给局域网用户提供资源共享服务； Microsoft网络客户端：可以访问局域网的资源共享。 服务： Computer Browser Workstation Server TCP/IP NetBIOS Helper 要实现共享，必须启用以下网络组件和系统服务： 网络和组件服务 系统服务和网络组件之间的逻辑关系： 例： 如果停止server服务，计算机描述会无法接受输入，同时windows xp登陆时的欢迎屏幕上也看不到相应计算机描述信息。 计算机描述信息受server服务影响，具体由：HKEY_LOCAL MACHINE\SYSTEM\ControlSet001\Services\larmanserver\parameters注册表项下的srvcomment键值所控制。 net config server命令：在命令提示符窗口用该命令对Server服务进行配置。 net config server /SRVCOMMENT:”text”可以设置计算机描述 net config server /hidden:yes可以在网上邻居浏览列表里隐藏该计算机。其他计算机须知道其计算机名或IP地址才可以访问。 注意：该计算机要等到30分钟左右，才能从网上邻居浏览列表中删除。 二、用户身份验证 　客户机总是优先用自己的登录帐户进行验证。例如：如果Client计算机的当前登录帐户是test，那么Client首先会尝试以test身份向Server提交验证请求。 　由服务器决定是否将客户机的用户身份映射为guest帐户。 对于用户身份验证，需要牢记以下两条准则： 服务器启用简单文件共享 所有网络用户都被识别成guest用户。 等效于