1))感受Windows XP的远程桌面连接
用Windows XP的最大感受就是它漂亮的界面和更加简单化的操作。而对这个远程桌面连接的使
用,让我更加感受到Windows XP的魅力所在。以前记得看到过这方面的设想:员工晚上下班回
到家里,回到家里,打开电脑,然后连接到自己在公司的电脑上,察看文档,收集信息。而这
时,只见公司里的那台电脑只是主机亮着显示灯,显示器一片漆黑。现在,已经不是设想了,
通过Winodws XP的远程访问功能可以轻松实现。现在看一下具体的实现步骤。
首先是设置访问端
在"我的电脑"图标上,单击右键,选择属性,在弹出的窗口中选择"远程"选项,如下图所
示:
选择"允许用户远程连接到这台计算机",点击"选择远程用户"按钮,在弹出的窗体中你需要设
置用于远程访问这台计算机的帐号。记住,为了安全,这些帐号要有复杂的密码。另外,如果
不选择用户,默认情况下,管理员帐号组的成员有远程访问这台计算机的权利。设置好帐户后
,点击确定按钮,这样被访问端就设置好了,其实这个功能是默认启用的,你只需添加你想用
于远程访问计算机的帐号即可,如果不添加,用系统管理员的帐号也可以进行远程连接访问。
怎么样,是不是感觉Windows XP用起来很方便,容易!
访问端的使用
点击开始菜单,所有程序,附件,通讯,远程桌面连接。弹出窗体如下:
点击选项按钮显示更多的设置信息如下图:
在"计算机"中,键入计算机名或 IP 地址,该计算机可以是终端服务器,或者是启用了"远程
桌面"的Windows XP计算机。键入用户名和密码,同时你还可把当前的连接设置保存为文件。
接着再让我们看看,其它的选项卡:
这里根据你的网络连接速度,选择适合的色彩,当然,如果你用的是宽带,或是在局域网里,
就不用改什么了。
看到上面的设置项了吗,在此无需多言了
最后这个选项卡,用于选择网络连接,优化性能。我试着在10M局域网里用了一下,感觉很好
,令人心动。点击"连接",稍等片刻就连到了远程计算机上,这时被远程访问的计算机自动切
换到登录界面,同时保持着当前帐号的信息和程序。在访问端的计算机上,默认全屏显示,除
了屏幕上边有个水平的细长条,其它和原来在被访问端看到的完全一样。试着打开"我的电脑
"-->"开始菜单",然后开几个应用、编辑处理程序,在界面以及程序处理上根本感觉不到在用
远程计算机。有时,当你未用远程计算机时,远程计算机便开始屏幕保护,如要使用就会要求
你输入用户名、密码,登录进入后,可能会发现远程连接自动断开,这时会弹出窗口,提示远
程计算机已由另外的管理者接管。依照上面的步骤,同样可返回到将才的状态,程序依旧打开
,正常运行。可以想象,如果加上一块有远程唤醒的网卡或是MODEM,该功能将更加好用
2))构建Win2000服务器的安全防护林
中小学校的校园网普遍应用Windows 2000作为服务器的操作系统,但有些学校刚开始运行就遭到网络黑客的攻击,造成网络崩溃。那么,安全问题怎么解决?其实不需要任何的软硬件的介入,仅靠系统本身我们就能构建一个安全防护林。
设置禁用,构建第一道防线
在安装完Windows 2000后,首先要装上最新的系统补丁。但即使装上了,在因特网上的任何一台机器上只要输入“/你的IP地址c$”,然后输入用户名Guest,密码空,就能进入你的C盘,你还是完全暴露了。解决的方法是禁用Guest账号,为Administrator设置一个安全的密码,将各驱动器的共享设为不共享。同时你还要关闭不需要的服务。你可以在管理工具的服务中将它们设置为禁用,但要提醒的是一定要慎重,有的服务是不能禁用的。一般可以禁用的服务有Telnet、Task Scheduler(允许程序在指定时间运行)、Remote Registry Service(允许远程注册表操作)等。这是你构建的服务器的第一道防线。
设置IIS,构建第二道防线
作为校园网的服务器,很多学校将该服务器同时作为网站服务器,而IIS的漏洞也是一个棘手的问题。实际上,你可以通过简单的设置,完全可以将网站的漏洞补上。你可以将IIS默认的服务都停止(如图1,FTP服务你是不需要的,要的话笔者推荐用Serv-U;“管理Web站点”和“默认Web站点”都会给你带来麻烦;SMTP一般也不用),然后再新建一个Web站点。
图1
设置好常规内容后,在“属性→主目录”的配置中对应用程序映射进行设置,删除不需要的映射(如图2),这些映射是IIS受到攻击的直接原因。如果你需要CGI和PHP的话,可参阅一些资料进行设置。
图2
这样,配合常规设置,你的IIS就可以安全运行了,你的服务器就有了第二道防线。
运用扫描程序,堵住安全漏洞
要做到全面解决安全问题,你需要扫描程序的帮助。笔者推荐使用X-Scan(如图3),它可以帮助你检测服务器的安全问题。
图3
扫描完成后,你要看一下,是否存在口令漏洞,若有,则马上要修改口令设置;再看一下是否存在IIS漏洞,若有,请检查IIS的设置。其他漏洞一般很少存在,我要提醒大家的是注意开放的端口,你可以将扫描到的端口记录下来,以方便进行下一步设置。
封锁端口,全面构建防线
黑客大多通过端口进行入侵,所以你的服务器只能开放你需要的端口,那么你需要哪些端口呢?以下是常用端口,你可根据需要取舍:80为Web网站服务;21为FTP服务;25 为E-mail SMTP服务;110为Email POP3服务。
其他还有SQL Server的端口1433等,你可到网上查找相关资料。那些不用的端口一定要关闭!关闭这些端口,我们可以通过Windows 2000的安全策略进行。
借助它的安全策略,完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入,右击“IP安全策略”,选择“创建IP安全策略”,点[下一步]。输入安全策略的名称,点[下一步],一直到完成,你就创建了一个安全策略(如图4):
图4
接着你要做的是右击“IP安全策略”,进入管理IP筛选器和筛选器操作,在管理IP筛选器列表中,你可以添加要封锁的端口,这里以关闭ICMP和139端口为例说明。
关闭了ICMP,黑客软件如果没有强制扫描功能就不能扫描到你的机器,也Ping不到你的机器。关闭ICMP的具体操作如下:点[添加],然后在名称中输入“关闭ICMP”,点右边的[添加],再点[下一步]。在源地址中选“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“ICMP”,点[下一步]。回到关闭ICMP属性窗口,即关闭了ICMP。
下面我们再设置关闭139,同样在管理IP筛选器列表中点“添加”,名称设置为“关闭139”,点右边的“添加”,点[下一步]。在源地址中选择“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“TCP”,点[下一步]。在设置IP协议端口中选择从任意端口到此端口,在此端口中输入139,点下一步。即完成关闭139端口,其他的端口也同样设置,结果如图5。
特别指出的是关闭UDP4000可以禁止校园网中的机器使用QQ。
图5
然后进入设置管理筛选器操作,点“添加”,点下一步,在名称中输入“拒绝”,点下一步。选择“阻止”,点[下一步]。结果如图6。
图6
然后关闭该属性页,右击新建的IP安全策略“安全”,打开属性页。在规则中选择“添加”,点[下一步]。选择“此规则不指定隧道”,点下一步。在选择网络类型中选择“所有网络连接”,点下一步。在IP筛选器列表中选择“关闭ICMP”,点[下一步]。在筛选器操作中选择“拒绝”,点下一步。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法,你可以将“关闭139”等其他筛选器加入进来。添加后的结果如图7。
最后要做的是指派该策略,只有指派后,它才起作用。方法是右击“安全”,在菜单中选择“所有任务”,选择“指派”。IP安全设置到此结束,你可根据自己的情况,设置相应的策略。
图7
设置完成后,你可再用X-Scan进行检查,发现问题再补上。
通过以上的设置,你的Windows 2000服务器可以说是非常安全了。希望你早日筑起服务器的安全防护林。
3))关闭程序时关闭其DLL文件
REGEDIT4
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer]
"Max Cached Icons"=dword:00002000
"AlwaysUnloadDLL"="1"
4))关于98的优化
一, 去掉DOS系统配置文件
其中,autoexec.bat与config.sys是DOS时代的两个系统配置文件,在Windows 98则是可有可无,而且如果你不需要在纯DOS下做必要的工作,那么这两个文件可以不要,这样可加快系统的启动,减少资源占用率。
加快系统启动速度
1、用系统配置程序定制自动选项。
单击“开始”按钮,选择“运行”,在“打开”输入框内输入msconfig,单击“确定”按钮启动系统配置实用程序,单击“常规”标签项,选定“选择性启动”单选框,在此单选框内只选定“处理System.ini文件”和“处理Win.ini文件”这两个复选框。单击“启动”标签项,这个方框内只选择“ScanRegistry C:/Windows/scanregw.exe /autorun”和需要进行实时监控的防病毒程序等。
2、删除一些自动加载的程序。
Windows98在启动时会自动加载一些程序,随着Windows下安装的程序的增多,特别是一些程序在Windows启动时也跟着运行,影响了Windows系统的运行速度。因此我们可以合理地配置这些启动程序,删除一部份不必要自动加载的程序。
“启动”组中的程序可以通过在“启动”组中指到要删除的启动项,点击鼠标右键进行删除。
注册表中的自动加载程序,可以通过修改注册表来删除。运行注册表编辑器Regedit,点击并展开HKEY_LOCAL_MACHINE/MICROSOFT/Windows/CURRENTVERSION/Run,选中右边窗口中的Windows初始化后自动加载程序,将它删除;点击并展开HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/Windows/CURRENTVERSION/RunServices,选中右边窗口中的Windows启动时自动加载程序,将它删除。
3、取消系统启动系列中的时间延时
打开“资源管理器”→“编辑”→“文件夹项”→“属性”→设为查看所有文件,退出,在Windows 98启动盘根目录下找到Msdos.sys,在这个文件上右键单击它,并从弹出菜单中选取“属性”项,去掉“只读”和“隐藏”属性,然后单击确定,再用Notepad打开Msdos.sys,在[Options]下,输入一行Boot Delay=0(表示延时0秒),关闭记事本并保存所做修改,恢复其“隐藏”和“只读”属性,退出并重新启动Windows。
二、加快系统关机速度
可能我们已经感受到Windows的关机要等很上几分钟甚至关不了机,怎么办呢?通过以下办法可以解决。
编辑注册表,在/HKEY_LOCAL_MACHINE/System/Courrent-ControlSet/Control/Shutdown 下创建一个名为 FastReboot 的字符串键,键值为1即可。也可以通过运行Windows实用配置文件msconfig,或是通过点击“开始” →“程序” →附件→系统工具→系统信息,选择工具菜单中的“系统配置实用程序”,点击“高级”按钮,选中“如果关机失败,请禁用磁盘扫描程序”,并不选中“禁用快速关机”即可。
三、对内存进行优化
内存是决定系统运行速度的其中一个重要因素,当内存一定的情况下如何减少内存的不必要占用率呢?有很多方法,右击“我的电脑”,打开“属性”→“性能”→“文件系统”→“CD-ROM”,拖动“追加的高速缓存大小”游标至“小”,将“最佳访问方式”设置为“倍速”,这样的设置对现在包含Cache的高速光驱来说影响不大,在不太需要光驱的情况下可以让出更多的内存空间。还有就是减少虚拟磁盘,通过修改System.ini文件中的[vcache]小节,将“MaxFileCache=”后的数值设置一个适当的数(单位为KB)。还有就是一个软件,名叫MagnaRAM97的,可以压缩内存的数据,也就是说你的内存将可以同时处理更多的东西。比起虚拟内存的速度快多了。当然,现在内存比较便宜,多加些就可以解决问题了。
四、进行硬盘碎片整理
将硬盘格式从FAT16转换为 FAT32,然后通过“系统工具” →“维护向导”安排定期的硬盘碎片整理。也可以使用一些专门的磁盘碎片整理工具完成碎片整理工作。
五、关闭活动桌面
Windows 98的默认窗口是Web窗口,这个窗口既浪费内存又费时间。开启它会降低系统性能、拖慢启动速度。关闭方法是右击桌面,选属性,然后选Web,把“按Web页方式查看活动桌面”和“Internet Explorer频道栏”点掉。不要任何桌面主题,直接在“控制面板”的“文件添加/删除”工具中将桌面主题删除。也不要设置墙纸,因为墙纸会占用大量的内存,增加启动时调图的时间。如果不迫切需要,也不要设置屏幕保护方式,这些都可以在控制面板的“显示”中进行设置。
六、清理磁盘空间
1、删除没有使用的应用程序:可以利用控制面板上的“增加/删除程序”完成程序的卸载;也可以通过应用程序自带的卸载程序完成。
2、删除 “C:/Windows/Temp”目录中的程序安装时的所有文件。
3、删除Windows目录下的“Temporary Internet Files”文件夹中上网时留下的临时文件。
4、搜索并删除硬盘上所有无用的备份文件、临时文件、日志文件,如*.bak、*.tmp、*.log等。
5、删除Windows/Help文件夹中的帮助文件。
6、删除注册表中无用的注册项。如在“HKET_LOCAL_MACHINE/Software”和“HKET_CURRENT_USER/Software”主键下找到那些已被删除的子键并将其删除;
在HKET_LOCAL_MACHINE/Software/MicrosoftWindows/CurrentVersion/explore/Tips 下将这些子键全部删除,这是Windows的技巧提示;在HKET_LOCAL_MACHINE/Software/MicrosoftWindows/CurrentVersion/TimeZone下,删除多余的时区,只保留北京时区;在HKET_LOCAL_MACHINE/System/CurrentControlSet/Control/Keyboardlayouts中删除不用的输入法。
7、删除Windows下的临时文件和多余的字体文件。可以通过控制面板上的字体图标程序来查看和删除不需要的字体。
98优化设置
详细请看压缩文件
5))为什么有的机器无法启动"路由与远程访问"服务?
答: 这可能与你启动了"Internet连接共享"(Internet Connection Sharing)
服务有关,你可以用net stop sharedaccess来停止"Internet连接共享"服务,
然后启动"路由与远程访问"服务.
问题二: 为什么启动"路由和远程访问"服务后在网络邻居"属性"看不到"传入
的连接"呢?或者出现这样的情形,"路由和远程访问"服务已经启动,但是在网
络邻居"属性"看不到"传入的连接".
答: 这是可能是你曾经配置过"网络路由器"的原因,由两种方法可以改正之:
方法一: 通过rrasmgmt.msc
1.启动"远程注册表服务"(net start remoteregistry),停止"路由和远程访
问"服务(net stop remoteaccess);
2.运行rrasmgmt.msc,如果右键出现的是"禁止路由和远程访问",那么你先"禁
止路由和远程访问",然后关闭rrasmgmt.msc.否则直接进入第三步;
3.运行rrasmgmt.msc,然后选择"配置并启用路由和远程访问",然后按下一步,
选择"手动配置服务器",按一下步,然后选择"完成"结束安装;
4.这时候你打开网络邻居会看到"传入的连接"又出现了;
5.此时你运行rrasmgmt.msc,可以再次右键选择"禁用路由和远程访问",然后
关闭rrasmgmt.msc.因为"手动配置服务器"打开了太多的服务.
7.然后你可以启动"路由和远程访问"服务,网络邻居属性里那个"传入的连接"
又出现了.
方法二:运行regedit,打开
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RemoteAccess/
Parameters把右窗口的DWORD值"RouterType"从2改成7(实际上只要不是2,其
他任意整数均可).
问题三: 能不能通过命令行方式配置VPN服务器?
答:可以通过netsh.exe来实现:
netsh ras set user administrator permit #允许administrator拨入该VPN
netsh ras set user administrator deny #禁止administrator拨入该VPN
netsh ras show user #查看哪些用户可以拨入VPN
netsh ras ip show config #查看VPN分配IP的方式
netsh ras ip set addrassign method = pool #使用地址池的方式分配IP
netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254 #地址池
的范围是从192.168.3.1到192.168.3.254
问题四: 一般情况下只有通过rrasmgmt.msc才能对VPN客户端连接数(默认情
况下PPTP和L2TP各5个,直接并行端口1个),与连接方式(PPTP或是L2tp)进行修
改.上文中将rrasmgmt.msc禁用了,是否有其他办法修改端口呢?
答: 有的,方法如下:
1.运行regedit,打开
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet/Control/Class/{4D36E972--E325-
11CE-BFC1-08002BE10318}/0000,0001,0002...
找到右窗口"DriverDesc"为"WAN 微型端口 (PPTP)"和"WAN 微型端口 (L2TP)"
的目录
2.察看右窗口是否有DWORD值"WanEndpoints",如果有,则对之进行修改,
如果没有,则新建一DWORD值"WanEndpoints",其大小为你要设定的连接数
3.重新启动机器.
经过研究,发现对于Win2k Srv或Win2k AdvSrv来说,通过注册表可以修改服务
器接受的连接数,对于Win2k Pro来说,最多只能接受一个Client的连接,但是
修改可以使之不接受Client的连接.
问题五: 开了VPN服务后,有时日志里会有这么一项:
事件类型: 警告
事件来源: RemoteAccess
事件种类: 无
事件 ID: 20192
日期: 2002-8-2
事件: 8:55:12
用户: N/A
计算机: COMPUTER
描述:
找不到证书。使用在IPSec上的L2TP协议的连接要求安装机器证书,这也叫做计
算机证书.将不会接受L2TP呼叫.
这是怎么回事,怎么才能解决这个问题呢?
答:这是因为Windows为L2TP连接的VPN自动创建一个IPsec策略,这个IPsec策略
使用本地机器上的证书来进行双方的认证.如果本地机器没有合适的证书,那么
就会出现上面的问题.有两种办法可以解决之:
方法一:取消L2TP VPN自动创建的IPsec策略
运行regedit.exe,打开
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Rasman/Parameters
新建一DWORD值ProhibitIPsec,并将值设置为1
方法二,取消L2TP方式的VPN
运行regedit.exe,打开
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet/Control/Class/{4D36E972--E325-
11CE-BFC1-08002BE10318}/0000,0001,0002...
找到右窗口"DriverDesc"为"WAN 微型端口 (L2TP)"
把DWORD值"WanEndpoints"改为0即可
问题六: 怎么做一个认证方式为预共享密钥的L2TP/IPsec方式的VPN?
答:可以参照如下步骤
步骤一:.首先,打开L2TP端口
一般情况下用Win2k Server通过常规方式搭建的VPN服务器对客户端连接情
况是PPTP和L2TP各5个,直接并行端口1个.可通过如下方式修改支持的使用
L2TP的VPN客户端的个数.
运行regedit,打开
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet/Control/Class/{4D36E972--E325-
11CE-BFC1-08002BE10318}/0000,0001,0002...
找到右窗口"DriverDesc"为"WAN 微型端口 (L2TP)"的目录.
察看右窗口是否有DWORD值"WanEndpoints",如果有,则对之进行修改,
如果没有,则新建一DWORD值"WanEndpoints",其大小为你要设定的连接数
2.取消L2TP VPN自动创建的使用证书方式认证IPsec策略
运行regedit.exe,打开
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Rasman/Parameters
新建一DWORD值ProhibitIPsec,并将值设置为1
3.设置IPsec策略保护L2TP通讯,保护内容为本机1701端口到其他任何机器1701端口
的所有UDP通讯.如果安装了Win2000 Resource Kit,使用如下命令:
ipsecpol -w reg -p VPN -r VPN -a preshare:"vpn"
-x -n ESP[3DES,SHA]3600S/100000KP ESP[3DES,MD5]3600S/100000KP ESP[DES,
SHA]3600S/100000KP ESP[DES,MD5]3600S/100000KP
-f 0:1071+*:1071:udp
问题七: PPTP方式和L2TP方式的VPN有何异同?
答:与其协议和工作方式有关
使用PPTP方式的VPN连接时,VPN服务器端保持着1723端口与客户端一任意
端口的TCP连接,TCP端口1723上跑的是PPTP Control Message,包括了
PPTP隧道创建,维护和终止之类的日常管理工作(建立/断开VPN连接的
请求等).客户端通过TCP与服务器1723端口建立连接后,进入基于GRE
(通用路由协议--IP协议编号为47,TCP的IP协议编号为6)的PPP协商,
包括了用户验证,数据传输等所有通讯.断开VPN连接时又用到了基于
1723端口的PPTP Control Message.
也就是说,PPTP方式的VPN连接,VPN客户端的建立/断开连接请求都是通
过和服务器的TCP 1723端口用PPTP协议联系的,至于具体的用户验证,
数据传输等都是通过PPP协议来通讯的,而PPP协议又是跑在GRE(和TCP,
UDP协议平行的协议,GRE的IP协议编号为47)之上的.
PPTP方式的VPN有以下几个特点,
1.VPN客户端可以使用私有地址通过NAT服务器来连接具有合法地址VPN服务器;
2.VPN连接时只有一层验证--就是用户身份验证
使用L2TP方式VPN连接时,VPN服务器保持着1701端口与客户端1701端口的
UDP"连接".由于Microsoft不鼓励将L2TP直接暴露在网络中,因此自动为L2TP
连接创建一个使用证书方式认证IPsec策略(当然可以通过修改注册表使证书
认证变成与共享密钥认证)
因此L2TP通讯就被裹在IPsec策略创建的Ipsec隧道内,用ipsecmon可以看清楚
实际上还是1701<-->1701的UDP通讯
VPN开始通讯时,需要双方交换密钥,这是通过UPD 500端口的ISAKMP来实现的.
从此以后所有的VPN通讯,包括建立/断开连接请求,用户验证,数据传输都是通过
ESP(与TCP,UDP协议平行的协议,ESP的IP编号为50)之上传输的.
L2TP/IPsec方式的VPN有以下几个特点:
1.VPN客户端无法使用私有地址来连接具有合法地址的VPN服务器(2002年末经过
Microsoft公司的努力(Microsoft Knowledge Base Article - 818043),使用
了NAT-T技术,可以让L2TP/IPsec方式的VPN可以穿越内网)
2.VPN连接需要两层验证:密钥验证和用户身份验证(其中密钥是Ipsec层面的认证)
问题八: 有无办法纪录VPN连接的日志?
答: 有的,一般可以通过设置radius服务器来实现外,还有如下方法:
通过命令行下操作实现PPP等日志文件
netsh ras set tracing * enable
这时候目录C:/WinNT/tracing下将会有一堆log文件.
另外,运行regedit.exe,打开
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RemoteAccess/
Parameters在右窗口将DWORD"值LoggingFlags"改为"3"
然后就可以在eventvwr.msc的"系统日志"下看到关于"remoteaccess"的信息.
其中DWORD值"LoggingFlags"对应的数字含义如下:
0:禁用事件日志
1:只纪录错误
2:记录错误及警告(这是默认值)
3:记录最多信息
问题九: 如何使用Radius服务器实现对VPN的记账功能?
答:可参照如下步骤
1.安装并运行IAS服务
运行sysocmgr -i:sysoc.inf,
选中"网络服务--Internet验证服务",然后安装.
安装完毕运行IAS服务,net start ias
2.安装并运行VPN服务
具体不再详述.
3.运行netsh.exe
E:/WINNT/system32>netsh
netsh>ras aaaa
ras aaaa>set accounting radius
要使改动生效,必须重启动远程访问服务。
ras aaaa>add acctserver name = "本机器名称" init-score = 5 port = 1813 timeo
ut = 30 messages = disabled
要使改动生效,必须重启动远程访问服务。
4.运行ias.msc(要保证remoteregistry服务正处于运行状态)
"客户端"有窗口新建一"客户端",名称为VPN,客户端地址为"本机器的IP",都按照
默认的设定.
"远程访问记录"右窗口记录着日志记录的地方,以及日志记录的内容设置.设置里
最好三个选项都打上勾.
"远程访问策略"一般是验证用户时候用的,如果用的是windows自带的用户验证,可
以不必设置.为了使iaslog.log看着舒服,可以把"如果启用拨入许可,就允许访问"
改成"authen".
补充:Win2000 ResourceKit中的iasparse.exe可以对iaslog.log进行分析.
问题十: 默认情况下,拨到VPN服务器后,所有的网络数据都是要经过VPN服务
器的(本地网络除外),对于一些站点,我们更希望直接访问而不通过VPN,那该
怎么办呢?
答: 可以通过route add命令来为那些站点设定特定路由.
比如说,本地网络是192.168.0.5/24,网关是192.168.0.1
现在正连接到一个VPN服务器,这时候对于202.117.1.8的访问想通过原有的线
路,那么可以用
route add 202.117.1.8 mask 255.255.255.255 192.168.0.1
来实现,这时候访问202.117.1.8将不再通过VPN服务器了.
问题十一: 默认情况下,拨到VPN服务器后,所有的网络数据都是要经过VPN服务
器的(本地网络除外),然而,有时候我们只希望对一些特定的站点的访问从VPN
服务器经过,其他都还是和原来一样,应该怎么做呢?
答:可以通过修改VPN连接的属性来实现,右键"网上邻居"属性,打开"网络和拨
号连接",找到拨出VPN名称(默认名字是"虚拟专用连接"),右键"VPN名称"的属
性,选择"网络--'Internet协议(TCP/IP)'--高级--常规",把"在远程网络上使
用默认网关"那一项的勾去掉即可.这样所有的网络访问都将不再通过VPN服务
器了.当然可以通过route add命令来为一些站点设定特定路由.
比如说,本地网络是192.168.0.5/24,网关是192.168.0.1,拨到一VPN服务器,
得到新的IP为192.168.3.3/32
经过先前的设置,所有的网络数据都将不再经过VPN服务器了,但对于202.117.1.8
的访问想通过VPN服务器实现,可以用
route add 202.117.1.8 mask 255.255.255.255 192.168.3.3
来实现,这时候访问202.117.1.8将通过VPN服务器.
问题九: VPN可不可以穿透内网以及串联?
答: 所谓穿透内网,就是说VPN Client可以位于一个使用内部地址的网络内,而
VPN服务器位于公网上一个合法的IP地址;
所谓串联,是先拨一个VPN服务器,然后再拨第二个VPN服务器.(本来第二个
VPN服务器是你不知能直接访问的,但是通过第一个VPN就可以使用第二个VPN服
务器).
对于PPTP方式的VPN来说,是可以穿透内网的,也是可以串联的.
原来L2TP/IPsec模式的VPN是无法穿越内网的,但是经过Microsoft公司的
努力(Microsoft Knowledge Base Article - 818043),使用了NAT-T技术,可
以让L2TP/IPsec方式的VPN可以穿越内网,当然也可以串联.
问题十二: 单网卡VPN服务器能否将给拨入的客户一个虚拟的内部地址然后通过
VPN服务器进行地址转换再出去?
答: 是可以的.在Windows2000下只有通过netsh.exe来实现
netsh ras ip set addrassign method = pool
#使用地址池的方式分配IP
netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254
#地址池的范围是从192.168.3.1到192.168.3.254,这里用的是一个虚拟的内部
地址池.
netsh routing ip nat install #安装NAT协议
netsh routing ip nat add interface= 本地连接 mode =full
#设置"本地连接"这块网卡为对外网卡(进行地址和端口转换),注意此时
remoteregistry服务必须处于启动状态
netsh routing ip nat add interface=内部 mode=private
#设置"内部"这块虚拟网卡为内部地址,这块网卡是操作系统虚拟的一块不可见
网卡
问题十三: 能否对虚拟的VPN网卡进行sniff?
答: 曾经用了三种软件在服务器和客户端进行了测试:
Sniffer pro4.6, tcpdump, netmon.exe(MS自带的网络监视器)
结果发现:
1.Sniffer pro4.6无法找到虚拟的VPN网卡,因此不能对虚拟的VPN网卡进行监测
2.tcpdump倒是可以对虚拟的VPN网卡监测(tcpdump -i /device/packet_NdisWanIP)
可以无论在服务器端还是客户端,一旦监测这块虚拟的VPN网卡,那么VPN将不再
能够使用.(尽管显示VPN还处于连接状态,但已经无法工作了)
3.只有netmon.exe(网络监视器)可以正常工作,不影响VPN的使用,同样还可以监测
该虚拟的VPN网卡上流经的数据
问题十四: 使用VPN这块虚拟的网卡有什么特性?
答:首先看一下官方的说法:
当建立RAS或VPN连接时,为了能与RAS/VPN客户实现通信,RAS服务器从RAS静态
IP地址池或DHCP中提取一个IP地址,然后为每个连接至服务器的客户分配一个
IP地址.RAS/RRAS必须使这些IP地址绑定到一个适配器上.由于不存在物理适配
器,将创建一个虚拟的适配器,称为NDISWAN.
WindowsNT客户端将为每个拔出的连接创建一个NDISWAN适配器,为拔入/拔出连
接配置的Windows NT RAS服务器将创建一个NDISWAN适配器用于与RAS/VPN客户
的通信,为每个拔出的连接创建一个NDISWAN 适配器.
只有当第一个RAS/VPN客户建立连接后,RAS服务器才为拔入的连接创建一个
NDISWAN适配器.IP地址被绑定到NDISWAN适配器上,直到RAS服务停止.
这个NDISWAN适配器仅对RAS/VPN客户的请求作出响应.局域网客户无法PING通
这个NDISWAN接口。
NDISWAN在RAS/RRAS中是有连接才创建.对于PPTP,创建的NDISWAN适配器数与所
配置的 PPTP 端口数相同。
查看 NDISWAN 适配器信息。
可以通过在命令行键入 ipconfig/all 来查看 NDISWAN 适配器,也可以在注册
表的下列位置查看 NDISWAN 适配器:
HKLM/SOFTWARE/Microsoft/NdisWan
HKLM/SYSTEM/CCS/Services/NdisWan(x)
HKLM/SYSTEM/CCS/Services/NetBT/Adapters/NdisWan(x)
HKLM/SYSTEM/CCS/Services/NwlnkIpx/NetConfig/NdisWan(x)
我的几个经验是:
1.VPN Client拨入VPN服务器后,VPN client获得的IP地址以及VPN服务器自己
保留的IP地址在VPN服务器网段里将不再可用,否则双方将出现地址冲突;
2.VPN服务器在NDISWAN适配器尚未启用之前,其地址池中第一个地址(将被VPN
服务器自己使用)可以存在于VPN服务器所在网段,并且在VPN Client拨入VPN服
务其后也不影响VPN正常使用(不冲突);
3.VPN Client拨入VPN服务器后,如果VPN client获得的IP地址已经被VPN服务
器网段的机器使用,那么双方将不会出现冲突.表面上看VPN是正常的,实际上
VPN Client将不再能够通过VPN服务器出去.
6))解除Windows XP的文件共享限制
笔者的很多朋友都曾遇到过这样的问题:在安装了Windows XP的计算机上,即使网络连接和共享设置正确(如IP地址属于同一子网,启用了TCP/IP上的NetBIOS,防火墙软件没有禁止文件共享需要的135、137、138、139等端口),使用其他系统(包括Windows 9X/Me/2000/XP等)的用户仍然无法访问该计算机。我们应该怎样解决这一问题呢?
默认情况下,Windows XP的本地安全设置要求进行网络访问的用户全部采用来宾方式。同时,在Windows XP安全策略的用户权利指派中又禁止Guest用户通过网络访问系统。这样两条相互矛盾的安全策略导致了网内其他用户无法通过网络访问使用Windows XP的计算机。你可采用以下方法解决。
方法一 解除对Guest账号的限制
点击“开始→运行”,在“运行”对话框中输入“GPEDIT.MSC”,打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,双击“拒绝从网络访问这台计算机”策略(见图),删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。
方法二 更改网络访问模式
打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“仅来宾—本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。
现在,当其他用户通过网络访问使用Windows XP的计算机时,就可以用自己的“身份”进行登录了(前提是Windows XP中已有这个账号并且口令是正确的)。
当该策略改变后,文件的共享方式也有所变化,在启用“经典:本地用户以自己的身份验证”方式后,我们可以对同时访问共享文件的用户数量进行限制,并能针对不同用户设置不同的访问权限。
不过我们可能还会遇到另外一个问题,当用户的口令为空时,访问还是会被拒绝。原来在“安全选项”中有一个“账户:使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的,根据Windows XP安全策略中拒绝优先的原则,密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。
7))解读引导文件BOOT.INI
Windows NT类的*作系统,也就是Windows NT/2000/XP中,有一个特殊文件,也就是“BOOT.INI”文件,这个文件会很轻松地按照我们的需求设置好多重启动系统。
“BOOT.INI”文件会在已经安装了Windows NT/2000/XP的*作系统的所在分区,一般默认为C:/下面存在。但是它默认具有隐藏和系统属性,所以你要设置你的文件夹选项,以便把“BOOT.INI”文件显示出来。我们可以用任何一种文本编辑器来打开他它。一般情况下,它的内容如下:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)/Windows
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)/Windows="Microsoft Windows XP Professional" /fastdetect
在Windows 2000或者是XP系统中,我们可以很容易的设置“BOOT.INI”文件。那就是在“我的电脑”上面点击右键,选择“属性”打开“系统属性”对话框,再点击“高级”选项卡,在“启动和故障修复”里面点击“设置”按钮,就可以打开“启动和故障修复”对话框了,在这里面我们就可以对它进行详细设置。
如果你拥有Windows XP*作系统,那么你可以用“系统配置实用程序”来更方便的编辑“BOOT.INI”文件。具体做法是:打开“开始”菜单,点击“运行”命令,再在弹出的文本框中输入“msconfig”点击“确定”后就会弹出“系统配置实用程序”,再点击“BOOT.INI”选项卡。
在这里,我们可以很方便地设置文件。言归正传,现在,来说明一下这个文件内容的含义。
1.系统加载部分([boot loader])
这一部分很简单,只有两个设定。那就是“timeout=”和“default=”。“timeout=”就是设定开机时系统引导菜单显示的时间,超过设定值则自动加载下面“default=”指定的*作系统。默认值是30,单位为秒。我们可以在这里面设定等待时间的长短。如果将其设为“0”那么就是
不显示系统引导菜单。“default=”则是设定默认引导的*作系统。而等号后面的*作系统必须是已经在“[operating systems]”中存在的。如果想默认为加载另外的*作系统,我们可以参看“[operating systems]”中的操作系统列表,然后把想要加载的*作系统按照格式写到“default=”后面就可以了。
2.操作系统部分([operating systems])
在这里面,列出了机器上所安装的全部*作系统。比如机器上只有一个*作系统,那么就只有一条信息,那就是“multi(0)disk(0)rdisk(0)partition(1)/Windows="Microsoft Windows XP Professional" /fastdetect”在这里需要注意的是,在英文引号内的文字就是引导*作系统菜单时显示出来的让我们选择*作系统的提示文字,在这里面我们可以随意更改。而“multi(0)disk(0)rdisk(0)partition(1) /Windows”这一句
就需要些解释了。因为它涉及ARC(高级RISC计算机)命名,它是x86或RISC计算机中用于标识设备的动态方法。ARC命名的第一部分用于标识硬件适配卡/磁盘控制器,它有两个选项:SCSI和Multi。Multi表示一个非SCSI硬盘或一个由SCSI BIOS访问的SCSI硬盘,而SCSI则表示一个SCSI BIOS禁止的SCSI硬盘。(x)是硬件适配卡序号。Disk(x)表示SCSI总线号。如果硬件适配卡为Multi,其正确表示方法就为disk(0),rdisk(x)则表示硬盘的序号,如果硬件适配卡为SCSI则忽略此值;
partition(x)表示硬盘的分区序号。了解这些,我们就可以解释前面那条信息的含义了,即“multi(0)disk(0)rdisk(0)partition(1) /Windows”为,在0号非SCSI设备上的第0号磁盘上的第一个分区里面的“Windows”目录下可以找到能够启动的*作系统。
等号后的内容前面已经说过,那个就是引导菜单显示出来的供我们选择的提示文字。而后面的 “/fastdetect”又是作什么用的呢?这是一个开关符,用来控制启动该*作系统时的具体选项,下面再来详细的介绍各种开关符的含义:/3GB:这是Win2000 SP3新引入的。这使得用户区和系统区分为3G比1G的比例。只有用户使用NT企业版,应用程序也支持3GB选项时,此选项才生效。
/BASEVIDE使用标准VGA方式启动。这种方式主要用于显示驱动程序失效时。
/BAUDRATE:指出用于调度的波特率,如果用户不设置,则使用默认的9600,而对于线缆Modem则使用19200。
/BOOTLOG:使Win2000将日志写入 %SystemRoot%/NTBTLOG.TXT 。
/BURNMEMORY=:使NT在已知的内存上少使用指定的数量,如果/burnmemory=64,则有64M内存NT不使用。
/CRASHDEBUG:调度器在NT启动时启动,只有在内核错误时才有用,如果系统经常会无故出错,这个选项就很有用了。
/DEBUG:在启动NT时调入调度器,它可以在任何时间激活,在错误可以再次出现时使用它比较合适。
/DEBUGPORT= comx :指定用于调度的端口,其它X就指端口号。
/FASTDETECT:对于Win2000启动时,它使系统不检查串行口和并行口。
/HAL=<hal>:允许用户不使用默认的HAL。
/INTAFFINITY:设置多处理器HAL(HALMPS.DLL),使编号最大的处理器接收中断请求。如果不设置此选项,Win2000会使所有处理器接收中断请求。
/KERNEL=<kernel>:与上面的功能相同,不过是针对SMP中的内核而言的。
/MAXMn:指定NT可以使用的最大内存数,如果一个内存片损坏,这个开关就十分有用了。
/NODEBUG:不使用调试信息。
/NOGUIBOOT:指定此选项会使Win2000不加载VGA驱动程序,也就不会显示启动过程和失败时的兰屏信息。
/NOSERIALMICE=[COMx | COMx,y,z…]:在特定的COM中上禁止对串行鼠标的检测。如果用户有一个非鼠标设备接在COM口上,这个选项会十分有用。如果此开关未加参数,系统会禁止所有COM口。
/NUMPROC=n:只允许前N个系统处理器工作。
/ONECPU:在多处理器中只使用一个处理器。
/PCILOCK:不让NT为PCI设置分配IO/IRQ资源,而启用BIOS设置。
/SAFEBOOT:安全启动,这个大家一定十分熟悉,Win2000只启动HKLM/System/CurrentControlSetControl/SafeBoot中的驱动程序和服务,其后跟三个参数MINIMAL,NETWORK或DSREPAIR之一。MINIMAL和NETWORK在允许网络下启动系统。而DSREPAIR要求系统从备份设备中调入活动目录的设置。还有一个选项是"(ALTERNATESHELL)",它让系统调入由HKLM/System/CurrentControlSetSafeBoot/AlternateShell指定的SHELL程序,而不使用默认的Explorer。
/SOS:在调入驱动程序名时显示它的名字,在因驱动问题而无法启动时使用比较好。
/WIN95:在装有三个系统DOS、Win9x和Windows NT的系统上,让NTLDR直接调用Win9x。启动文件BOOTSECT.W40。
/WIN95DOS:在装有三个系统DOS、Win9x和Windows NT的系统上,让NTLDR直接调用DOS启动文件BOOTSECT.DOS
/YEAR=:使用指定的年份,如果设置为/YEAR=2005,那现在的时间就是2005年,此选项仅对NT4+SP4和Win2000生效。
了解了以上这些,我们就可以更加轻松控制好我们系统的启动了。
8))开机自检时出现问题后会出现各种各样的英文短句,短句中包含了非常重要的信息,读懂
这些信息可以自己解决一些小问题,可是这些英文难倒了一部分朋友,下面是一些常见的
BIOS短句的解释,大家可以参考一下。
1.CMOS battery failed
中文:CMOS电池失效。
解释:这说明CMOS电池已经快没电了,只要更换新的电池即可。
2.CMOS check sum error-Defaults loaded
中文:CMOS 执行全部检查时发现错误,要载入系统预设值。
解释:一般来说出现这句话都是说电池快没电了,可以先换个电池试试,如果问题还是没
有解决,那么说明CMOS RAM可能有问题,如果没过一年就到经销商处换一块主板,过了一
年就让经销商送回生产厂家修一下吧!
3.Press ESC to skip memory test
中文:正在进行内存检查,可按ESC键跳过。
解释:这是因为在CMOS内没有设定跳过存储器的第二、三、四次测试,开机解释,大家可以参考一下。
1.CMOS battery failed
中文:CMOS电池失效。
解释:这说明CMOS电池已经快没电了,只要更换新的电池即可。
2.CMOS check sum error-Defaults loaded
中文:CMOS 执行全部检查时发现错误,要载入系统预设值。
解释:一般来说出现这句话都是说电池快没电了,可以先换个电池试试,如果问题还是没
有解决,那么说明CMOS RAM可能有问题,如果没过一年就到经销商处换一块主板,过了一
年就让经销商送回生产厂家修一下吧!
3.Press ESC to skip memory test
中文:正在进行内存检查,可按ESC键跳过。
解释:这是因为在CMOS内没有设定跳过存储器的第二、三、四次测试,开机就会执行四次
内存测试,当然你也可以按 ESC 键结束内存检查,不过每次都要这样太麻烦了,你可以进
入COMS设置后选择BIOS FEATURS SETUP,将其中的Quick Power On Self Test设为Enable
d,储存后重新启动即可。
4.Keyboard error or no keyboard present
中文:键盘错误或者未接键盘。
解释:检查一下键盘的连线是否松动或者损坏。
5.Hard disk install failure
中文:硬盘安装失败。
解释:这是因为硬盘的电源线或数据线可能未接好或者硬盘跳线设置不当。你可以检查一
下硬盘的各根连线是否插好,看看同一根数据线上的两个硬盘的跳线的设置是否一样,如
果一样,只要将两个硬盘的跳线设置的不一样BE突嶂葱兴拇?
内存测试,当然你也可以按 ESC 键结束内存检查,不过每次都要这样太麻烦了,你可以进
入COMS设置后选择BIOS FEATURS SETUP,将其中的Quick Power On Self Test设为Enable
d,储存后重新启动即可。
4.Keyboard error or no keyboard present
中文:键盘错误或者未接键盘。
解释:检查一下键盘的连线是否松动或者损坏。
5.Hard disk install failure
中文:硬盘安装失败。
解释:这是因为硬盘的电源线或数据线可能未接好或者硬盘跳线设置不当。你可以检查一
下硬盘的各根连线是否插好,看看同一根数据线上的两个硬盘的跳线的设置是否一样,如
果一样,只要将两个硬盘的跳线设置的不一样即可(一个设为Master,另一个设为Slave)
。
6.Secondary slave hard fail
中文:检测从盘失败
解释:可能是CMOS设置不当,比如说没有从盘但在CMOS里设为有从盘,那么就会出现错误
,这时可以进入COMS设置选择IDE HDD AUTO DETECTION进行硬盘自动侦测。也可能是硬盘
的电源线、数据线可能未接好或者硬盘跳线设置不当,解决方法参照第5条。
7.Floppy Disk(s) fail 或 Floppy Disk(s) fail(80) 或Floppy Disk(s) fail(40)
中文:无法驱动软盘驱动器。
解释:系统提示找不到软驱,看看软驱的电源线和数据线有没有松动或者是接错,或者是
把软驱放到另一台机子上试一试,如果这些都不行,那么只好再买一个了<纯桑ㄒ桓錾栉?aster,另一个设为Slave)
。
6.Secondary slave hard fail
中文:检测从盘失败
解释:可能是CMOS设置不当,比如说没有从盘但在CMOS里设为有从盘,那么就会出现错误
,这时可以进入COMS设置选择IDE HDD AUTO DETECTION进行硬盘自动侦测。也可能是硬盘
的电源线、数据线可能未接好或者硬盘跳线设置不当,解决方法参照第5条。
7.Floppy Disk(s) fail 或 Floppy Disk(s) fail(80) 或Floppy Disk(s) fail(40)
中文:无法驱动软盘驱动器。
解释:系统提示找不到软驱,看看软驱的电源线和数据线有没有松动或者是接错,或者是
把软驱放到另一台机子上试一试,如果这些都不行,那么只好再买一个了,好在软驱还不
贵。
8.Hard disk(s) diagnosis fail
中文:执行硬盘诊断时发生错误。
解释:出现这个问题一般就是说硬盘本身出现故障了,你可以把硬盘放到另一台机子上试
一试,如果问题还是没有解决,只能去修一下了。
9.Memory test fail
中文:内存检测失败。
解释:重新插拔一下内存条,看看是否能解决,出现这种问题一般是因为内存条互相不兼
容,去换一条吧!
10.Override enable-Defaults loaded
中文:当前CMOS设定无法启动系统,载入BIOS中的预设值以便启动系统。
解释:一般是在COMS内的设定出现错误,只要进入COMS设置选择LOAD SETUP DEFAULTS载入
系统原来的设定值然后重新%C?迷谌砬?共?
贵。
8.Hard disk(s) diagnosis fail
中文:执行硬盘诊断时发生错误。
解释:出现这个问题一般就是说硬盘本身出现故障了,你可以把硬盘放到另一台机子上试
一试,如果问题还是没有解决,只能去修一下了。
9.Memory test fail
中文:内存检测失败。
解释:重新插拔一下内存条,看看是否能解决,出现这种问题一般是因为内存条互相不兼
容,去换一条吧!
10.Override enable-Defaults loaded
中文:当前CMOS设定无法启动系统,载入BIOS中的预设值以便启动系统。
解释:一般是在COMS内的设定出现错误,只要进入COMS设置选择LOAD SETUP DEFAULTS载入
系统原来的设定值然后重新启动即可。
11.Press TAB to show POST screen
中文:按TAB键可以切换屏幕显示。
解释:有的OEM厂商会以自己设计的显示画面来取代BIOS预设的开机显示画面,我们可以按
TAB键来在BIOS预设的开机画面与厂商的自定义画面之间进行切换。
12.Resuming from disk,Press TAB to show POST screen
中文:从硬盘恢复开机,按TAB显示开机自检画面)。
解释:这是因为有的主板的BIOS提供了Suspend to disk(将硬盘挂起)的功能,如果我们用
Suspend to disk的方式来关机,那么我们在下次开机时就会显示此提示消息。
13.Hareware Monitor found an error,enter POWER MANAGEMENT SETUP for details,
Press F1 to continue,DEL to enter SETUP
中文:监视功能发现错误,进入POWER MANAGEMENT SETUP察看详细资料,按F1键继续开机
程序,按DEL键进入COMS设置。
解释:有的主板具备硬件的监视功能,可以设定主板与CPU的温度监视、电压调整器的电压
输出准位监视和对各个风扇转速的监视,当上述监视功能在开机时发觉有异常情况,那么
便会出现上述这段话,这时可以进入COMS设置选择POWER MANAGEMENT SETUP,在右面的**
Fan Monitor**、**Thermal Monitor**和**Voltage Monitor**察看是哪部分发出了异常,
然后再加以解决。
9((利用WINRAR自解压包进行网吧日常更新详解
这几天有不少朋友在讨论利用WINRAR自解压包进行网吧客户机更新的方法,现将我常用的方法写一下,希望各位能够找到一丝灵感.
工作环境:
文件服务器:P4+850I+512RAMBUS+INTEL PRO 100+ 1台
客户机:C41.7+256DDR+845D+8139 350台
客户机设置:
1、将所有快捷方式分类整理到文件夹中,如"网络游戏”、"本地游戏”、"办公学习”。
2、将三个分类文件夹放到F盘根目录的"桌面快捷方式”目录中,然后在桌面上建立这三个分类文件夹的快捷方式。
3、将"桌面快捷方式”目录打包做成自解压文件。例如:shortcut.exe
4、自解压文件脚本为:
path=f:silent=1
overwrite=1
presetup=c:/windows/command/deltree.com /y f:/桌面快捷方式
5、上传该自解压文件到某台服务器的共享目录。例如//files/shortcut/shortcut.exe
6、注册表中加入:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"!!!!!shortcut"="files//shortcut//shortcut.exe"
这样做的目的,是为了让该项在万象客户端启动之前启动,因为万象的启动项标题是!!!三个感叹号,所以排到最前。
不过这感叹号加不加的也无所谓,我没测试过,也许没用
7、桌面背景图片,设置为files//shortcut//desktop.bmp(或者JPG),这样更新服务器一个文件就行了。
服务器设置:
1、建立共享文件夹"shortcut”
2、尽量用好一点的网卡,我用的是intel pro 100+
3、服务器尽量接到主交换机上
更新方法有三:
第一、新游戏安装至客户机,从客户机做好快捷方式,将快捷方式文件上传到服务器上,加入shortcut.exe包中。
第二、将游戏的更新补丁(30M以内的小更新)做成自解压文件,放到//files/shortcut/update/中,做出自解压包的快捷方式,加入shortcut.exe包的相应目录中,这样.顾客执行的快捷方式实际上是服务器上的更新补??在更新完成后,自动运行游戏主程序.
例子:(假设的)
MU的更新,2M的文件,MU安装目录为E:/MU/,自解压脚本为:
path=e:/musilent=1
overwrite=1
setup=mu.exe
这样玩家执行的是服务器上的更新文件,更新完成后,自动打开游戏。
第三、游戏安装到游戏共享服务器上,方法同第二种,将快捷方式加入到shortcut.exe包中。
以上方法在以上环境正常使用了三个月,没有出现过异常情况.不要怕这样做会让机器启动速度慢下来,以我的经验看,绝对没有影响的,因为机器进入98之后到打开客户端锁定界面就要有一段时间,而这段时间内这个几百K的自解压程序早就运行完了。
已经介绍给网盟几个朋友测试过,均大呼爽也.呵呵.
10))1、什么时候使用多路由协议?
当两种不同的路由协议要交换路由信息时,就要用到多路由协议。当然,路由再分配也可以交换路由信息。下列情况不必使用多路由协议:
从老版本的内部网关协议( Interior Gateway Protocol,I G P)升级到新版本的I G P。
你想使用另一种路由协议但又必须保留原来的协议。
你想终止内部路由,以免受到其他没有严格过滤监管功能的路由器的干扰。
你在一个由多个厂家的路由器构成的环境下。
什么是距离向量路由协议?
距离向量路由协议是为小型网络环境设计的。在大型网络环境下,这类协议在学习路由及保持路由将产生较大的流量,占用过多的带宽。如果在9
0秒内没有收到相邻站点发送的路由选择表更新,它才认为相邻站点不可达。每隔30秒,距离向量路由协议就要向相邻站点发送整个路由选择表,使相邻站点的路由选择表得到更新。这样,它就能从别的站点(直接相连的或其他方式连接的)收集一个网络的列表,以便进行路由选择。距离向量路由协议使用跳数作为度量值,来计算到达目的地要经过的路由器数。
例如,R I P使用B e l l m a n - F o r
d算法确定最短路径,即只要经过最小的跳数就可到达目的地的线路。最大允许的跳数通常定为1 5。那些必须经过1
5个以上的路由器的终端被认为是不可到达的。
距离向量路由协议有如下几种: IP RIP、IPX RIP、A p p l e Talk RT M P和I G R P。
什么是链接状态路由协议?
链接状态路由协议更适合大型网络,但由于它的复杂性,使得路由器需要更多的C P
U资源。它能够在更短的时间内发现已经断了的链路或新连接的路由器,使得协议的会聚时间比距离向量路由协议更短。通常,在1
0秒钟之内没有收到邻站的H E L
LO报文,它就认为邻站已不可达。一个链接状态路由器向它的邻站发送更新报文,通知它所知道的所有链路。它确定最优路径的度量值是一个数值代价,这个代价的值一般由链路的带宽决定。具有最小代价的链路被认为是最优的。在最短路径优先算法中,最大可能代价的值几乎可以是无限的。
如果网络没有发生任何变化,路由器只要周期性地将没有更新的路由选择表进行刷新就可以了(周期的长短可以从3 0分钟到2个小时)。
链接状态路由协议有如下几种: IP OSPF、IPX NLSP和I S - I S。
一个路由器可以既使用距离向量路由协议,又使用链接状态路由协议吗?
可以。每一个接口都可以配置为使用不同的路由协议;但是它们必须能够通过再分配路由来交换路由信息。(路由的再分配将在本章的后面进行讨论。)
2、什么是访问表?
访问表是管理者加入的一系列控制数据包在路由器中输入、输出的规则。它不是由路由器自己产生的。访问表能够允许或禁止数据包进入或输出到目的地。访问表的表项是顺序执行的,即数据包到来时,首先看它是否是受第一条表项约束的,若不是,再顺序向?葱校蝗绻??氲谝惶醣硐钇ヅ洌?蘼凼潜辉市砘故潜唤?梗?疾槐卦僦葱邢旅姹硐畹募觳榱恕?
每一个接口的每一种协议只能有一个访问表。
支持哪些类型的访问表?
一个访问表可以由它的编号来确定。具体的协议及其对应的访问表编号如下:
◎I P标准访问表编号:1~9 9
◎I P扩展访问表编号:1 0 0~1 9 9
◎I P X标准访问表编号:8 0 0~8 9 9
◎I P X扩展访问表编号:1 0 0 0~1 0 9 9
◎AppleTa l k访问表编号:6 0 0~6 9 9
提示在Cisco IOS Release11.2或以上版本中,可以用有名访问表确定编号在1~199的访问表。
如何创建IP标准访问表?
一个I P标准访问表的创建可以由如下命令来完成: Access-list access list number {permit |
deny} source [source-mask]
在这条命令中:
◎access list number:确定这个入口属于哪个访问表。它是从1到9 9的数字。
◎permit | deny:表明这个入口是允许还是阻塞从特定地址来的信息流量。
◎source:确定源I P地址。
◎s o u r c e - m a s
k:确定地址中的哪些比特是用来进行匹配的。如果某个比特是"1",表明地址中该位比特不用管,如果是"0"的话,表明地址中该位比特将被用来进行匹配。可以使用通配符。
以下是一个路由器配置文件中的访问表例子:
Router# show access-lists
Standard IP access list 1
deny 204.59.144.0, wildcard bits 0.0.0.255
permit any
3、什么时候使用路由再分配?
路由再分配通常在那些负责从一个自治系统学习路由,然后向另一个自治系统广播的路由器上进行配置。如果你在使用I G R P或E I G R
P,路由再分配通常是自动执行的。
4、什么是管理距离?
管理距离是指一种路由协议的路由可信度。每一种路由协议按可靠性从高到低,依次分配一个信任等级,这个信任等级就叫管理距离。对于两种不同的路由协议到一个目的地的路由信息,路由器首先根据管理距离决定相信哪一个协议。
6、如何配置再分配?
在进行路由再分配之前,你必须首先:
1) 决定在哪儿添加新的协议。
2) 确定自治系统边界路由器(A##R)。
3) 决定哪个协议在核心,哪个在边界。
4) 决定进行路由再分配的方向。
可以使用以下命令再分配路由更新(这个例子是针对OSPF的):
router(config-router)#redistribute protocol [process-id] [metric
metric - value ] [metric-type type - value ] [subnets]
在这个命令中:
◎protocol:指明路由器要进行路由再分配的源路由协议。
主要的值有: bgp、eqp、igrp、isis、ospf、static [ ip ]、connected和rip。
◎process-id:指明OSPF的进程ID。
◎metric:是一个可选的参数,用来指明再分配的路由的度量值。缺省的度量值是0。
7、为什么确定毗邻路由器很重要?
在一个小型网络中确定毗邻路由器并不是一个主要问题。因为当一个路由器发生故障时,别的路由器能够在一个可接受的时间内收敛。但在大型网络中,发现一个故障路由器的时延可能很大。知道毗邻路由器可以加速收敛,因为路由器能够更快地知道故障路由器,因为hello报文的间隔比路由器交换信息的间隔时间短。
使用距离向量路由协议的路由器在毗邻路由器没有发送路由更新信息时,才能发现毗邻路由器已不可达,这个时间一般为10~90秒。而使用链接状态路由协议的路由器没有收到hello报文就可发现毗邻路由器不可达,这个间隔时间一般为10秒钟。
距离向量路由协议和链接状态路由协议如何发现毗邻路由器?
使用距离向量路由协议的路由器要创建一个路由表(其中包括与它直接相连的网络),同时它会将这个路由表发送到与它直接相连的路由器。毗邻路由器将收到的路由表合并入它自己的路由表,同时它也要将自己的路由表发送到它的毗邻路由器。使用链接状态路由协议的路由器要创建一个链接状态表,包括整个网络目的站的列表。在更新报文中,每个路由器发送它的整个列表。当毗邻路由器收到这个更新报文,它就拷贝其中的内容,同时将信息发向它的邻站。在转发路由表内容时没有必要进行重新计算。
注意使用IGRP和EIGRP的路由器广播hello报文来发现邻站,同时像OSPF一样交换路由更新信息。EIGRP为每一种网络层协议保存一张邻站表,它包括邻站的地址、在队列中等待发送的报文的数量、从邻站接收或向邻站发送报文需要的平均时间,以及在确定链接断开之前没有从邻站收到任何报文的时间。
8、什么是自治系统?
一个自治系统就是处于一个管理机构控制之下的路由器和网络群组。它可以是一个路由器直接连接到一个LAN上,同时也连到Internet上;它可以是一个由企业骨干网互连的多个局域网。在一个自治系统中的所有路由器必须相互连接,运行相同的路由协议,同时分配同一个自治系统编号。自治系统之间的链接使用外部路由协议,例如B
G P。
9、什么是BGP?
BGP(Border
GatewayProtocol)是一种在自治系统之间动态交换路由信息的路由协议。一个自治系统的经典定义是在一个管理机构控制之下的一组路由器,它使用IGP和普通度量值向其他自治系统转发报文。
在BGP中使用自治系统这个术语是为了强调这样一个事实:一个自治系统的管理对于其他自治系统而言是提供一个统一的内部选路计划,它为那些通过它可以到达的网络提供了一个一致的描述。
10、BGP支持的会话种类?
BGP相邻路由器之间的会话是建立在TCP协议之上的。TCP协议提供一种可靠的传输机制,支持两种类型的会话:
o 外部BGP(EBGP):是在属于两个不同的自治系统的路由器之间的会话。这些路由器是毗邻的,共享相同的介质和子网。
o
内部BGP(IBGP):是在一个自治系统内部的路由器之间的会话。它被用来在自治系统内部协调和同步寻找路由的进程。BGP路由器可以在自治系统的任何位置,甚至中间可以相隔数个路由器。
注意"初始的数据流的内容是整个BGP路由表。但以后路由表发生变化时,路由器只传送变化的部分。BGP不需要周期性地更新整个路由表。因此,在连接已建立的期间,一个BGP发送者必须保存有当前所有同级路由器共有的整个BGP路由表。BGP路由器周期性地发送Keep
Alive消息来确认连接是激活的。当发生错误或特殊情况时,路由器就发送Notification消息。当一条连接发生错误时,会产生一个notification消息并断开连接。"-来自RFC11654、BGP*作。
11、BGP允许路由再分配吗?
允许。因为BGP主要用来在自治系统之间进行路由选择,所以它必须支持RIP、OSPF和
IGRP的路由选择表的综合,以便将它们的路由表转入一个自治系统。BGP是一个外部路由协议,因此它的*作与一个内部路由协议不同。在BGP中,只有当一条路由已经存在于IP路由表中时,才能用NETWORK命令在BGP路由表中创建一条路由。
12、如何显示在数据库中的所有BGP路由?
要显示数据库中的所有BGP路由,只需在EXEC命令行下输入:
show ip bgp paths
这个命令的输出可能是:
Address Hash Refcount MetricPath
0 x 2 9 7 A 9 C 0 2 0 i
13、什么是水平分割?
水平分割是一种避免路由环的出现和加快路由汇聚的技术。由于路由器可能收到它自己发送的路由信息,而这种信息是无用的,水平分割技术不反向通告任何从终端收到的路由更新信息,而只通告那些不会由于计数到无穷而清除的路由。
14、路由环是如何产生的?
由于网络的路由汇聚时间的存在,路由表中新的路由或更改的路由不能够很快在全网中稳定,使得有不一致的路由存在,于是会产生路由环。
15、什么是度量值?
度量值代表距离。它们用来在寻找路由时确定最优路由。每一种路由算法在产生路由表时,会为每一条通过网络的路径产生一个数值(度量值),最小的值表示最优路径。度量值的计算可以只考虑路径的一个特性,但更复杂的度量值是综合了路径的多个特性产生的。一些常用的度量值有:
◎跳步数:报文要通过的路由器输出端口的个数。
◎Ticks:数据链路的延时(大约1/18每秒)。
◎代价:可以是一个任意的值,是根据带宽,费用或其他网络管理者定义的计算方法得到的。
◎带宽:数据链路的容量。
◎时延:报文从源端传到目的地的时间长短。
◎负载:网络资源或链路已被使用的部分的大小。
◎可靠性:网络链路的错误比特的比率。
◎最大传输单元(MTU):在一条路径上所有链接可接受的最大消息长度(单位为字节)。
IGRP使用什么类型的路由度量值?这个度量值由什么组成?
IGRP使用多个路由度量值。它包括如下部分:
◎带宽:源到目的之间最小的带宽值。
◎时延:路径中积累的接口延时。
◎可靠性:源到目的之间最差的可能可靠性,基于链路保持的状态。
◎负载:源到目的之间的链路在最坏情况下的负载,用比特每秒表示。
◎MTU:路径中最小的M T U值。
16、度量值可以修改或调整吗?
加一个正的偏移量。这个命令的完整结构如下:可以使用OFFSET-LIST ROUTER子命令
为访问表中的网络输入和输出度量值添加一个正的偏移量。
offset-list {in|out} offset [access-list] no offset-list {in|out}
offset [access-list]
如果参数LIST的值是0,那么OFFSET参数将添加到所有的度量值。如果OFFSET的值是0,那么就没有任何作用。对于IGRP来说,偏移量的值只加到时延上。这个子命令也适用于RIP和hello路由协议。
使用带适当参数的NO OFFSET- LIST命令可以清除这个偏移量。
在以下的例子中,一个使用IGRP的路由器在所有输出度量值的时延上加上偏移量10: offset-list out 10
下面是一个将相同的偏移量添加到访问表121上的例子:
offset-list out 10 121
17、每个路由器在寻找路由时需要知道哪五部分信息?
所有的路由器需要如下信息为报文寻找路由:
◎目的地址:报文发送的目的主机。
◎邻站的确定:指明谁直接连接到路由器的接口上。
◎路由的发现:发现邻站知道哪些网络。
◎选择路由:通过从邻站学习到的信息,提供最优的(与度量值有关)到达目的地的路径。
◎保持路由信息:路由器保存一张路由表,它存储所知道的所有路由信息。
18、Cisco路由器支持的路由协议与其他厂家设备的协议兼容吗?
除了IGRP和EIGRP,Cisco路由器支持的所有路由协议都与其他厂家实现的相同协议兼容。IGRP和EIGRP是Cisco的专利产品。
19、RIP路由表的表项的信息说明了什么?
RIP路由表的每一个表项都提供了一定的信息,包括最终目的地址、到目的地的下一跳地址和度量值。这个度量值表示到目的终端的距离(跳步数)。其他的信息也可以包括。
路由器问题补充:
1、Cisco3600系列路由器目前是否支持广域网接口卡WIC-2T和WIC-2A/S?
Cisco3600系列路由器在12.007XK及以上版本支持WIC-2T和WIC-2A/S这两种广域网接口卡。
但是需要注意的是:
只有快速以太网混合网络模块能够支持这两种广域网接口卡。
支持这两种接口卡的网络模块如下所示:
NM-1FE2W, NM-2FE2W, NM-1FE1R2W, NM-2W。
而以太网混合网络模块不支持,如下所示:
NM-1E2W,NM-2E2W, NM1E1R2W。
2、Cisco3600系列路由器的NM(4A/S,NM(8A/S网络模块和WIC(2A/S广域网接口卡支持的最大异/同步速率各是多少?
这些网络模块和广域网接口卡既能够支持异步,也能够支持同步。支持的最大异步速率均为115.2Kbps,最大同步速率均为128Kbps。
3、WIC-2T与WIC-1T的电缆各是哪种?
WIC-1T:DB60转V35或RS232、 449等电缆。 如:CAB-V35-MT。
WIC-2T:SMART型转V35或RS232、 449等电缆。 如: CAB-SS-V35-MT。
4、Cisco 7000系列上的MCE1与Cisco 2600/3600上的E1、 CE1有什么区别?
Cisco 7000上的MCE1可配置为E1、 CE1, 而Cisco 2600/3600上的E1、 CE1仅支持自己的功能。
5、Cisco 2600系列路由器,是否支持VLAN间路由,对IOS软件有何需求?
Cisco(2600系列路由器中,只有Cisco2620和Cisco2621可以支持VLAN间的
路由(百兆端口才支持VLAN间路由)。并且如果支持VLAN间路由,要求IOS软件必须包括IP Plus特性集。
6、Cisco3660路由器与3620/3640路由器相比在硬件上有那些不同?
不同点如下:
*
Cisco3660路由器基本配置包括1或2个10/100M自适应快速以太网接口;而Cisco3620/3640基本配置中不包括以太网接口。
* Cisco3660路由器支持网络模块热插拔,而 Cisco3620/3640不支持网络模块热插拔。
* Cisco3660的冗余电源为内置, 而Cisco3620/3640的冗余电源为外置的。
7、为什么3640不能识别NM-1FE2W?
需要将IOS升级到12.0.7T
交换机问题
关于交换机问题:
1、Catalyst 35500XL/2950XL的堆叠是如何实现的?
a. 需要使用专门的堆叠电缆,1米长或50厘米长(CAB-GS-1M或CAB-GS-50CM)以及专门的千兆堆叠卡GigaStack
GBIC (WS-X3550-XL) (该卡已含CAB-GS-50CM 堆叠电缆)。
b. 可以选用2种堆叠方法:菊花链法(提供1G的带宽)或点对点法(提供 2G的带宽)。
c. 2种方法都可以做备份。
d. 菊花链法最多可支持9台交换机的堆叠, 点对点法最多可支持8台。
2、Catalyst 3550 XL系列交换机做堆叠时,是否支持冗余备份?
Catalyst3550XL系列交换机的堆叠有两种实现方法:菊花链方式和点到点方式。
当使用菊花链方式时,堆叠的交换机依次连接,交换机之间可以达到1Gbps的传输带宽;
当使用点到点方式时,需要一台单独的 Catalyst3508G-XL交换机,
其余的交换机通过堆叠GBIC卡和堆叠线缆与3508G相连,这种方法最大可以达到2Gbps的全双工传输带宽。
这两种方法都分别支持堆叠的冗余连接。当使用菊花链连接方式时,冗余连接是通过将最上面的交换机与最下面的交换机用堆叠线缆相连接完成的。而当使用点到点连接时,是通过使用第2台3508交换机来完成的。
4、 Catalyst3550 XL的一个千兆口使用堆叠卡做堆叠后, 另外一个千兆口是否可以连接千兆的交换机或千兆的服务器?
可以。需使用1000Base-SX GBIC或1000Base-LX/LH GBIC。
5、 Ethernet Channel Tech. 可以应用在什么网络设备之间?如何使用?
可以应用在交换机之间, 交换机和路由器之间,交换机和服务器之间
可以将2个或4个10/100Mbps或1000Mbps端口使用 Ethernet Channel
Tech.,达到最多400M(10/100Mbps端口)、4G(1000Mbps端口)
或800M(10/100Mbps端口)、8G(1000Mbps端口) 的带宽。
6、Ethernet Channel Technology有什么作用?
增加带宽,负载均衡,线路备份
7、 当端口设置成 Ethernet Channel时,如何选择线路?
根据数据帧的以太网源地址和目的地址最后1位或2位做或运算,决定从哪条链路输出。对于路由器来说是根据网络地址做或运算,以决定链路的输出。
8、Ethernet Channel Technology 与 PAgP (Port Aggregation Protocol )
的区别?
PAgP是 Ethernet Channel的增强版,它支持在 Ethernet Channel 上的 Spanning Tree
Protocol和Uplink Fast,并支持自动配置 Ethernet Channel 的捆绑。
最少需要的电源数 1 2
包转发速率 18Mpps 18Mpps
背板带宽 24Gbps 60Gbps
9、Catalyst4000系列是否支持ISL?
从Supervisor Engine Software Release 5.1开始支持。
10、Catalyst4000交换机的冗余电源选项4008/2和4008/3有何区别?
Catalyst4003交换机机箱上有两个电源插槽,出厂时本身自带一个电源,4008/2是专为其定制的冗余电源。Catalyst4006的机箱上有三个电源插槽,出厂时带有2个电源供电,4008/3是为其定制的专用冗余电源。
11、Catalyst 4006的三层交换模块是否不含以太网端口?
不,Catalyst4006的三层交换模块含有32个10/100自适应端口和2个千兆端口。
在4003上使用时可替代原有的WS-X4232-GB-RJ模块, 从而不影响网络结构。
12、Catalyst 4000系列模块化交换机使用千兆交换模块时, 如何选用目前存在的两种交换模块(产品编号如下)?
WS-X4306-GB Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)
WS-X4418-GB Catalyst 4000 GE Module, Server Switching 18-Ports
(GBIC)
这两个模块的使用环境不同
WS-X4306-GB是一个6口的千兆交换模块,每个端口独占千兆的带宽,适合做网络的主干,用来连接具有千兆接口的交换机;也可以与具有千兆网卡的服务器相连。
WS-X4418-GB
是一个18口的千兆交换模块,其中有两个口是独占千兆的带宽,另外16个口共享8G的全双工的带宽,但每个端口可以突发到千兆。此模块适合在服务器比较集中的地方连接千兆的服务器,而不适合连接网络主干。
13、Catalyst 6000系列的背板带宽和包转发速率各为多少?
Catalyst 6500系列的背板带宽可扩展到256Gbps, 包转发速率可扩展到150Mpps; Catalyst
6000系列作为一个经济有效的解决方案可提供到32Gbps的背板带宽和15Mpps的包转发速率。
14、Catalyst 6000系列的MSFC 要求多少M DRAM ?
Catalyst 6000系列IOS软件存放在MSFC里, MSFC要求有128M DRAM。 缺省配置已含128M DRAM。
15、Catalyst 6000系列上的插槽是否有限制?
除第一个插槽专用于引擎, 第二个插槽可用于备份引擎或线卡, 其它插槽都用于线卡。
16、Catalyst 6000系列有几种引擎?
Catalyst 6000系列的引擎分为Supervisor Engine 1和Supervisor Engine 1A两种, 其中
Supervisor Engine 1A 有两个特定的备份引擎。其型号分别如下: 型号 描述
WS-X6K-SUP1-2GE Catalyst 6000 Supervisor Engine1引擎 含两个千兆端口(需购GBIC)
WS-X6K-SUP1A-2GE Catalyst 6000 Supervisor Engine1A引擎 加强的QOS特性,
含两个千兆端口(需购GBIC)
WS-X6K-SUP1A-PFC Catalyst 6000 Supervisor Engine1A引擎
含两个千兆端口(需购GBIC)和PFC卡
WS-X6K-S1A-PFC/2 Catalyst 6000 Supervisor Engine1A冗余引擎
含两个千兆端口(需购GBIC)和PFC卡
WS-X6K-SUP1A-MSFC Catalyst 6000 Supervisor Engine1A引擎
含两个千兆端口(需购GBIC)和MSFC、 PFC卡
WS-X6K-S1A-MSFC/2 Catalyst 6000 Supervisor Engine1A冗余引擎,
含两个千兆端口(需购GBIC)和MSFC、 PFC卡
17、Catalyst 6000系列上备份引擎与主引擎必须是一致的吗?
是的。 Catalyst 6000系列的备份引擎与主引擎必须是一致的,
例如, 不能将不带MSFC&PFC的引擎给带MSFC&PFC的引擎作备份。
另外, WS-X6K-SUP1A-PFC 和 WS-X6K-SUP1A-MSFC有专门的备份引擎。
主、备引擎的对应关系如下:
主引擎 备份引擎
WS-X6K-SUP1-2GE WS-X6K-SUP1-2GE
WS-X6K-SUP1A-2GE WS-X6K-SUP1A-2GE
WS-X6K-SUP1A-PFC WS-X6K-S1A-PFC/2
WS-X6K-SUP1A-MSFC WS-X6K-S1A-MSFC/2
18、Catalyst 6000系列支持的路由协议有哪些?
Catalyst 6000系列支持的路由协议有:OSPF, IGRP, EIGRP, BGP4, IS-IS, RIP和RIP II;
对于组播PIM支持sparse和dense两种模式;
支持的非 IP 路由协议有: NLSP, IPX RIP/SAP, IPX EIGRP, RTMP, Apple Talk
EIGRP和DECnet Phase IV和V。
19、Catalyst 6000系列支持的网络协议有哪些?
MSM上支持 6Mpps 的 IP、 IP 组播和 IPX 。 引擎上的MSFC 支持 15Mpps的 IP、 IP 组播、IPX以及
AppleTalk、 VINEs、 DECnet.
20、Catalyst6000上若引擎为SUP-1A-2GE, 怎么实现三层交换的功能?
用MSM实现。 6000上只有含有MSFC的引擎才能通过MSFC实现三层交换功能, 在6000上, MSFC是不能单独订购的。
21、Catalyst? 6000交换机和Catalyst? 6500交换机有何区别?6000交换机是否可以升级到6500交换机?
Catalyst?
6000系列交换机的背板带宽为32G,而6500系列交换机的背板带宽最大可以扩展到256G。由于这两个系列的交换机使用的背板总线结构不同,所以6000交换机不能升级到6500系列交换机。
但这两个系列交换机使用相同的交换模块。
22、Catalyst3508G是否也可以同Catalyst3524一样采用菊花链堆叠模式?
完全可以。
23、在交换机之间配置Uplink-Fast时,是否需要关闭原有Spanning-Tree选项?
不需要,Uplink-Fast实际上使用的是一种简化的Spanning-Tree算法,
与标准的Spanning-Tree兼容,因此不需关闭该功能。
11((路由器在IP网络中的位置
整个IP网络由许多子网络构成,各子网络又由许多主机组成。子网内部的主机通信,由链路协议直接进行;子网之间的主机通信,要通过路由器来完成。路由器是多个子网的成员,在它的内部有一张表示Net ID与下一跳端口对应关系的路由表。通信起点主机发出IP包被路由器接收后,路由器查路由表,确定下一跳输出端口,发给下一台路由器,这台路由器又转发给另外一台路由器,用这样一跳接着一跳的方式,直到通信终点另一台主机收到这个IP包。
IP协议把网络划分为物理层(L1)、链路层(L2)、网络层(L3)、传输层(L4)及应用层(L7)五个层次。处理物理层的设备为集线器,处理链路层的设备为L2以太交换机,路由器是在网络层转发数据的设备。L3以太网交换机是IP网络路由器的特例,通常只有以太线路接口,工作在纯以太网络环境中。
路由器工作原理
路由表是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平面上,路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息,依照拓扑结构动态生成路由表。在数据通道上,转发引擎从输入线路接收IP包后,分析与修改包头,使用转发表查找输出端口,把数据交换到输出线路上。转发表是根据路由表生成的,其表项和路由表项有直接对应关系,但转发表的格式和路由表的格式不同,它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。
路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域,这些管理区域称为自治域,自治域区号实行全网统一管理。这样,路由协议就有域内协议和域间协议之分。域内路由协议,如OSPF、IS-IS,在路由器间交换管理域内代表网络拓扑结构的链路状态,根据链路状态推导出路由表。域间路由协议相邻节点交换数据,不能使用多播方式,只能采用指定的点到点连接。
路由器结构体系
路由器的控制平面,运行在通用CPU系统中,多年来一直没有多少变化。在高可用性设计中,可以采用双主控进行主从式备份,来保证控制平面的可靠性。路由器的数据通道,为适应不同的线路速度,不同的系统容量,采用了不同的实现技术。 路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。简单而言,可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术实现数据转发,根据使用CPU的数目,进一步区分为单CPU的集中式和多CPU的分布式。硬件转发路由器使用网络处理器硬件技术实现数据转发,根据使用网络处理器的数目及网络处理器在设备中的位置,进一步细分为单网络处理器的集中式、多网络处理器的负荷分担并行式和中心交换分布式。
路由器性能分析
路由器控制平面部分和数据通道部分对路由器的使用有着不同的影响。在数据通道上,IP报文处理能力主要受交换部件的有效带宽和转发部分的处理速度影响。交换带宽,用技术指标bps(比特/秒)来衡量,一般在纯大包的条件下测定。转发速度,用技术指标pps(包/秒)来衡量,一般在纯小包的条件下测定。软件转发单CPU路由器,交换带宽和转发能力为系统共享,线路卡个数不同,各线路卡会有不同的性能表现。软件转发多CPU路由器,转发能力有明显优势,交换带宽没有明显提高。硬件转发路由器,一般要针对线速进行设计,系统交换带宽大于各线路接口的总和,转发处理能力在纯小包的情形下也能胜任,区别的只是容量和价格。线速路由器,保证线路接口在各种情况下能够达到满速,这时候,是线路而非设备是网络的瓶颈。另外,IP业务,如ACL,NAT、IPSec等,是否造成性能下降,也是设计和使用路由器要考虑的问题。
在控制平面上,小型网络问题不大,只要支持选用的路由协议就可以了。对于大型网络,特别是有独立自治域号的运营商网络,在路由协议类型满足要求的情况下,应该考察路由表项大小是否满足、域间路由协议相邻节点的连接数目是否满足、路由表项更新速度如何、路由更新时对数据通道上的处理有无影响等等。
12))内置于windows xp的防火墙ICF
ICF是"Internet Connection Firewall"的简称,也就是因特网连接防火墙。ICF建立在你
的电脑与因特网之间,它可以让你请求的数据通过、而阻碍你没有请求的数据包,是一个基于
包的防火墙。所以,ICF的第一个功能就是不响应Ping命令,而且,ICF还禁止外部程序对本机
进行端口扫描,抛弃所有没有请求的IP包。
个人电脑同服务器不一样,一般不会提供诸如Ftp、Telnet、POP3等服务,这样可以被黑
客们利用的系统漏洞就很少。所以,ICF可以在一定的程度上很好地保护我们的个人电脑。
ICF是状态防火墙,可监视通过的所有通讯,并且检查所处理的每个消息的源和目标地址
。为了防止未经请求的通信进入系统端口,ICF保留了所有源自本地计算机的通讯表。在单独
的计算机中,ICF将跟踪源自本地计算机的通信,所有Internet传入通信都会针对于该表中的
各项进行比较。只有当通讯表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始
的),才允许将传入Internet通信传送给网络中的计算机。
源自外部ICF计算机(也就是入侵计算机)的通讯(如Internet非法访问)将被防火墙阻
止,除非在"服务"选项卡上设置允许该通讯通过。ICF不会向你发送活动通知,而是静态地阻
止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。
ICF的原理是通过保存一个通讯表格,记录所有自本机发出的目的IP地址、端口、服务以
及其他一些数据来达到保护本机的目的。 当一个IP数据包进入本机时,ICF会检查这个表格,
看到达的这个IP数据包是不是本机所请求的,如果是就让它通过,如果在那个表格中没有找到
相应的记录就抛弃这个IP数据包。下面的例子可以很好地说明这个原理。当用户使用Outlook
Express来收发电子邮件的时侯,本地个人机发出一个IP请求到POP3邮件服务器。ICF会记录
这个目的IP地址、端口。当一个IP数据包到达本机的时候,ICF首先会进行审核,通过查找事
先记录的数据可以确定这个IP数据包是来自我们请求的目的地址和端口,于是这个数据包获得
通过。来看一下当使用Outlook Express客户端邮件程序和邮件服务器时的情况。一旦有新的
邮件到达邮件服务器时,邮件服务器会自动发一个IP数据包到Outlook客户机来通知有新的邮
件到达。这种通知是通过RPC Call来实现的。当邮件服务器的IP数据包到达客户机时,客户机
的ICF程序就会对这个IP包进行审核发现本机的Outlook express客户端软件曾发出过对这个地
址和端口发出IP请求,所以这个IP包就会被接受,客户机当然就会收到发自邮件服务器的新邮
件通知。然后让Outlook Express去接收邮件服务器上的新邮件。
设置ICF
1、启用或禁用Internet连接防火墙
打开"控制面板"中的"网络连接"
单击要保护的拨号、本地连接或其它Internet连接,然后在"网络任务"→"更改该连接的
设置"→"高级"→"Internet 连接防火墙"下,选中如图所示的项目:
若要启用Internet连接防火墙,选中"通过限制或阻止来自Internet的对此计算机的访问
来保护我的计算机和网络"复选框。若要禁用Internet连接防火墙,清除该复选框。
网络服务
还是上面的"高级"选项卡,点击下方的"设置"项,如下图:
已经有选中的项目表示网络用户能够存取的服务,如:messenger,远程桌面,FTP,Tel
net等。
对于一些常见的网络服务,如POP3,SMTP、HTTP等,系统会在需要的时候开放。
如果我们要设置一个新的服务项目,以常见的messenger文件传输为例,因为许多朋友都
会在这方面遇到问题,实际上在HELP中写的明白。
messenger的文件传输采用TCP6891-6900端口,可以在xp的防火墙设置里面增加TCP6891号
端口,文件就可以顺利发送了。文件传输的进程,一般情况下我们添加一个就行了。
添加方法见图:
按要求依次写入"描述","本机的IP地址",使用的端口号(6891),然后确定即可。
安全日志
生成安全日志时使用的格式是W3C扩展日志文件格式,这与在常用日志分析工具中使用的
格式类似。
打开"网络连接",单击要在其上启用Internet连接防火墙(ICF)的连接,然后在"网络任
务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"记录选项"下,选择下面的
一项或两项:
若要启用对不成功的入站连接尝试的记录,请选中"记录丢弃的数据包"复选框,否则禁用
。
2、更改安全日志文件的路径和文件名
打开"网络连接",选择要在其上启用Internet连接防火墙的连接,然后在"网络任务"→"
更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"日志文件选项"→"浏览"中,浏览
要放置日志文件的位置。
在"文件名"中,键入新的日志文件名,然后单击"打开"。打开后可查看其内容。
还可以设置安全日志文件的大小,打开已启用Internet连接防火墙的连接,然后在"网络
任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"日志文件选项"→"大小限
制"中,使用箭头按钮调整大小限制。笔者认为,一般512K足够了。
如果你在更改设置后有问题,可以还原默认的安全日志设置。打开启用Internet连接防火
墙的连接,然后点击"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→
"还原默认值"。
记录成功的连接--这将登录来源于家庭、小型办公网络或Internet的所有成功的连接。
当你选择"登录成功的外传连接"复选框时,将收集每个成功通过防火墙的连接信息。例如
,当网络上的任何人使用Internet Explorer成功实现与某个网站的连接时,日志中将生成一
条项目。
记录放弃的数据包--这将登录来源于家庭、小型办公网络或Internet的所有放弃的数据包
。
当你选择"登录放弃的数据包"复选框时,每次通信尝试通过防火墙却被检测和拒绝的信息
都被ICF收集。例如,如果你的Internet控制消息协议没有设置成允许传入的回显请求,如Pi
ng和Tracert命令发出的请求,则将接收到来自网络外的回显请求,回显请求将被放弃,然后
日志中将生成一条项目。
Internet控制消息协议(ICMP)
"网络消息协议(ICMP)"是所需的TCP/IP标准,通过ICMP,使用IP通讯的主机和路由器可
以报告错误并交换受限控制和状态信息。
在下列情况中,通常自动发送ICM消息:
IP数据报无法访问目标。
IP路由器(网关)无法按当前的传输速率转发数据报。
IP路由器将发送主机重定向为使用更好的到达目标的路由。
应用Internet控制消息协议:
打开"网络连接"。 单击已启用Internet连接防火墙的连接,在"网络任务"→"更改该连接
的设置"→单击"高级"→"设置"→"ICMP"选项卡上,选中希望你的计算机响应的请求信息类型
旁边的复选框。
ICF的局限性
那么,ICF不能做什么?ICF可不可以完全替代现有的个人防火墙产品?ICF是通过记录本
机的IP请求来确定外来的IP数据包是不是"合法",这当然不可以用在服务器上。为什么呢?服
务器上的IP数据包基本上都不是由服务器先发出,所以ICF这种方法根本就不可以对服务器的
安全提供保护。当然你也可以通过相应的设置让ICF忽略所有发向某一端口的数据包,例如80
端口。那么发向80端口的所有数据包都不会被ICF抛弃。从这种意义上讲80端口就成为不设防
的端口。这样的防火墙产品是不可能用在应用服务器上的,服务器上的防火墙产品都是基于建
立各种策略来审核外来的IP数据包。ICF和基于应用程序的个人防火墙产品也是不一样的。基
于应用程序的个人防火墙会记录每一个访问Internet的程序,例如,通过设置可以让IE有权来
访问Internet而Netscape的Navigator没有权限来访问Internet,即便两个程序的目的IP地址
和端口都是一样的。Norton的个人防火墙(Personal Firewall)就是这样一个典型的产品。
简而言之,ICF没法提供基于应用程序的保护,也没法建立基于IP包的包审核策略。所以,IC
F既不能完全替代现有的个人防火墙产品,也没有办法很好地工作在应用服务器上。
笔者认为,Norton的个人防火墙和Zonealarm Pro可以提供较全方面的保护,但设置较为
复杂。ICF并不能提供完全无懈可击的防护,但是ICF对个人电脑提供防护是足够的。在使用一
些系统安全软件对装有ICF的个人电脑进行端口扫描后,常会给出了"系统安全"的评价。况且
,ICF是Windows XP内建的功能,占用的资源相当少且不用花额外的钱去购买。从ICF受益最多
的应该是那些仍然在使用Modem上网的朋友,在国内绝大部分的用户都是用Modem上网的。首先
,你上网的时间不会太长,一般在几小时上下(包月的除外)。其次,每次建立连接后拨号服
务器都会分配一个新的IP地址(动态地址分配)给你,长时间占用一个相同的IP的可能性应该
很低。比起使用ADSL和其它宽带的用户来讲,用Modem上网本身就安全了很多。
注意事项
ICF和家庭或小型办公室通讯--不应该在所有没有直接连接到Internet的连接上启用Inte
rnet连接防火墙,也就是最好不要在局域网中使用。如果在ICF客户计算机的网络适配器上启
用防火墙,则它将干扰该计算机和网络上的其他计算机之间的一些通讯。如果网络已经具有互
联网防火墙或代理服务器,则不需要Internet连接防火墙,你应该关闭它。
所以,使用一个重量级的防火墙实在是没有太多的意义。而ICF则刚刚好,它既提供了一
定的保护,而且又不太占用资源,不错的,是"又经济,又实惠"。
13))你真的会安装驱动顺序吗?
IT业的技术员中流传着这样一种说法:“驱动程序不算程序,没有却真要命”。这充分说明了驱动程序的重要性。在科技发展日新月异的今天,每过几天就会有新硬件上市,而好几个月,甚至是2~3年才更新一次的操作系统(不使用Windows Update)自带的驱动程序库是无法跟上这种发展步伐的,这就需要生产厂商不断开发第三方的驱动程序。对于使用者来说,想要让自己的设备正常工作,就必须给它安装正确的驱动程序,要如果想要让它发挥出更好的性能,我们就需要更恰当、更好地、有顺序地安装驱动程序。
让我们假想一个场景——从一个纯净的操作系统开始,逐步安装各设备的驱动程序直到所有硬件都能正常工作。这样,通常需要安装的便会有主板芯片组驱动更新、IDE控制器驱动程序、显示卡驱动程序和声卡驱动程序等,有时候还需要安装DirectX等扩展API和操作系统的服务升级包(譬如Windows 2000 Sevice Pack3等)。那么,怎样安装才算正确呢?除了挑选合适的驱动程序之外,另一个关键在于安装顺序,采用正确的顺序来安装驱动程序,不仅可以提高系统效能,还能提高相同硬件环境下的系统稳定性。特别是芯片组的驱动应该首先安装,因为只有该驱动被正确安装后,操作系统才能正确识别一些系统设备,其他的设备驱动才能顺利安装。
在实战驱动安装顺序中,我们可以根据Intel、VIA、SiS和ALi全球四大主板芯片组厂商各自的主流芯片组驱动分别来讲。
1.Intel
毫无疑问,Intel是主板芯片组和CPU领域的领袖,他们所开发的主板芯片组搭配上自己的CPU给人的感觉不错,稳定性高、Bug少、各方面效能都还不错,而且由于“Winter联盟”的关系,Microsoft的Windows系列操作系统对Intel芯片组的支持一向是最好的,因此除了正常的驱动外几乎没有什么补丁。下面是Intel 8xx系列芯片组主板驱动程序的正确安装顺序(以Windows 98SE为例)。
Intel Chipset Softwre Installation Utility
由于Windows 98SE推出比较早,无法正确识别Intel当前主流的i8xx系列芯片组,因此必须先安装这个驱动以确保操作系统能够正确识别系统设备和正确用它们的功能。如果这一驱动程序没有被安装,操作系统将对即将被调用的芯片组和外围设备一无所知,更谈不上充分发挥性能了。就拿显示和图形子系统来说吧,如果没有正确安装Intel Chipset Software Installatiion Utility,直接导致的严重后果将是AGP Bridge无法使用。AGP Bridge集成在芯片组中的内存控制中心(Memory Controller Hub)内,是主板与AGP显卡之间进行通信的桥梁。如果AGP Bridge功能没有被开启,就算正确安装了显示卡驱动程序,图表子系统的整体性能也将大打折扣。
Intel Ultra ATA Storage Driver/Intel Application Accelerator
安装Intel Ultra ATA Storage Driver是为了开启IDE控制器对ATA 66/100设备及其传输规范进行控制和管理的功能。除了让操作系统正确识别82801BA IDE控制器外,该控制程序也是在Windows 98SE中开启DMA(Direct Memory Access,直接内存访问)功能的关键,而在默认状态下,DMA传输模式在Windwos 98SE中是被关闭的,就算你的IDE设备支持DMA传输模式也是如此。
IAA(Intel Application Accelerator,Intel应用程序加速器)最近被炒得火热,Intel称这款Application Accelerator除了能够减少10%~20%的系统启动时间之外,还能加快所有应用程序5%~10%的执行效率(如图)。作为一款增强型的IDE控制器驱动,它适用于ICH2或更新版本的I/O Control HUB,而该芯片被包括在大多数的i8xx芯片组系统中,也就是说,大多数使用Intel 8xx芯片组主板的用户都能够利用它免费提升系统性能。此外,使用Pentium 4系统的用户能够从这款加速驱动中获得更多的好处。
DirectX
由于硬件更新的缘故,目前的主流显示卡均支持DirectX 7、DirectX 8甚至DirectX 9,而Windows 98SE附带的DirectX6.1,显然无法让它们充分发挥作用。由于显示卡驱动程序是以DirectX为基础的,因此必须在先于显示卡驱动程序之前安装DirectX。由于现在新购的计算机有相当一部分使用的423或者478脚的奔腾4的CPU,而CPU的SSE2指令集恰恰在DirectX 8下才能被良好地调用;同时加上图形处理器(GPU)的硬件加速也与DirectX有关,所以对于DirectX的安装也是比较讲究的。
其它设备驱动程序
需要注意的是,在后期驱动安装中(如声卡),一些版本比较旧的驱动程序会将某些系统文件或EirectX文件覆盖为旧版而导致设备无法正常工作的情况(譬如在安装某些老版的ATI显卡驱动之后,某些AC’97声卡不能发声)。此时应该重新安装一遍DirectX。
2.VIA(威盛)
对于采用VIA芯片组的系统,其驱动程序的基本安装过程同样大致可分为3个步聚:首称是安装VIA 4 in 1芯片组补丁;然后是DirectX;最后是IDE接口控制器驱动程序和其它设备驱动程序,我们同样以纯净的Windows 98SE为例说明此问题。
VIA 4 in 1
小知识
VIA 4 in 1驱动包含符合ATAPI接口规范的IDE接口控制器驱动程序、AGP VxD Driver(AGP接口驱动程序)、IRQ路由端口驱动程序及VIA INF更新。由于兼容性问题会随新产品的增加而增加,同时基于对自身性能优化的考虑,所以VIA 4 in 1的版本更新比较频繁,许多兼容性问题和死机问题往往是4 in 1驱动程序与硬件不匹配造成的。
VIA(威盛)为基于VIA芯片组的主板提供4 in 1芯片组驱动已经有很长时间了。由于微软对第三方芯片组厂商通常仅提供非常有限的支持,因此除Intel外的芯片组制造商不得不为自己的产品自行开发并发布补丁程序,VIA也不例外。该补丁除解决VIA芯片组与Windows操作系统之间可能出现的一些兼容性问题外,还使得Windows能够正确识别VIA芯片组集成的系统设备。
典型故障实例分析
VIA芯片组以往总是给人留下一些兼容性较差的印象。比如与某些特定型的声卡,显卡兼容性不佳等,而实际上这些问题都能够通过安装4 in 1驱动或升组主板BIOS来获得解决。因此VIA的4 in 1驱动也被人们称之为4 in 1“补丁”。那么如今的VIA芯片组主板是否还存在这些固有的问题呢?
以前在某些使用VIA芯片组的主板上安装使用基于Aureal 8820音效芯片的声卡(如帝盟S90)时,当进入Windows 98桌面时就死机。这个故障曾经是VIA兼容性不佳的最好例子。事实上,VIA已经就以前的这些兼容性问题作了一些修正,然而VIA 4 in 1驱动仍需安装,因为它为我们带来了不小的性能增益。从VIA 4 in 1驱动在Windows 98平台下的表现可以看出,驱动程序在安装后主板性能得到了完全的发挥,尤其是在实际应用中,效果更为明显,看来VIA 4 in 1驱动并不仅仅是为了解决兼容性问题而存在,而是实实在在能为我们带来了性能的提升。
既然VIA以前的兼容性问题已经在新的芯片组上得到了一定的修正,那么是不是就可以说VIA的芯片组已经不需要安装VIA 4 in 1驱动了呢?答案是否定的,驱动仍需安装,因为它为我们带来了不小的性能提升。看来,VIA 4 in 1驱动并不仅仅是为了解决兼容性问题而存在。
IDE控制器驱动程序
VIA的IDE Miniport Driver与IDE Filter Driver是VIA开发的两款IDE控制器驱动,而前者必须单独安装。IDE Miniport Driver驱动并不随4 in 1驱动默认安装。根据VIA的官方资料,它在下列情况下推荐安装:1.拥有Zip驱动器,并且主板南桥芯片是686B;2.Windwos 2000系统下,使用ATA100硬盘,没有安装Service Pack 1;3.在Windwos 2000和Windows XP系统下,使用ATA133硬盘,它也同时支持微软的从Windows 98开始的任何一个Windows操作系统。VIA IDE Miniport Driver能够巧妙地校正设备出现I/O错误的情况。它能够由高到低的逐级自动递减设备的传输模式级别至正确,这里所谓的传输模式级别其实就是我们经常说到的UDMA 100、UDMA 66、UDMA、DMA以及PIO模式。而VIA IDE Filter Driver就是所谓的过滤驱动,它主要被用来确定系统常规驱动程序的高位/低位层,监控常规驱动程序的特定情形。VIA IDE Filter驱动为Windows 95/98/2000/me/XP等系统所支持,是除NT外的所有微软操作系统的缺省安装驱动。
DirectX
对于VIA的硬件平台,DirectX的重要性更比Intel平台重要。
3.SiS(矽统)/ALi(扬智)
当前基于SiS芯片组的系统平台的重要驱动程序是SiS芯片组驱动包1.09版,其中包括AGP驱动和USB驱动,以及刚刚公布的r1.01.07版本IDE驱动。众所周知,(Ultra DMA) PCI IDE驱动一直是操作系统中不可缺少的驱动程序,主板的IDE磁盘性能发挥,完全由IDE接口驱动来决定,而SiS645芯片组在投放市场这么长时间后,却一直没有推出相应的IDE接口驱动程序,只能让用户采用操作系统自带的IDE控制器驱动来工作,这不得不说是一个遗憾。
在SiS的整合驱动包内曾经出现过IDE驱动,但是从109F版本之后,由于早期的IDE驱动并不适用于SiS961南桥芯片,如果强制安装之后,将会有严重的兼容性问题,因此SiS把它从整合驱动包内删除了。
而对ALi(扬智)芯片组而言,需要安装的驱动程序是ALi Integrated Driver(综合驱动工具包)及ALi AGP Utility(AGP工具),它们目前的最新版本分别是1.07版和1.40版。这两款芯片组的综合驱动包里已经整合了需要安装的大多数驱动,因此在确保首先安装它之后再安装DixtctX即可。其它驱动程序可随后安装。
故障举例
一块麒麟(PCCHIP)M726主板,使用的是ALi公司的Aladdin Pro芯片组(北桥芯片为M1621,南桥芯片为M1543C),搭配Intel Celeron 400MHz PCU。通过Ghost恢复系统并安装声显卡驱动软件后感觉开机速度极慢,1分钟左右才能进入桌面。
分析:该故障是未安装ALi芯片组驱动包而造成,安装驱动光盘中的驱动包后,开机速度明显加快,进入桌面只要30秒左右。
4.其它注意事项
(1)对于一些比较老的主板而言,请注意更新BIOS以更新CPU微代码及修正BUG。
(2)建议关闭一些不必要的设备(譬如暂时不会用到的串口和并口等)以提高速度。
(3)对于Windows NT、Windows 2000和Windows XP等操作系统而言,RAID的驱动应于系统安装开始时安装,进入系统后必须先于所有驱动程序之前安装最新版的Service Pack。
(4)当要重新安装显示卡驱动程序之前,一定要卸载原有驱动程序并重新安装DirectX。
(5)操作系统的某些组件要时时更新,建议在驱动程序安装结束后,可以通过Windows Update在网上取得最新的Windows组件,以提高系统的兼容性和稳定性。
我认为一心买硬件升级的人不能算是一个DIYer,至少不算是一个合格的DIYer,因为不会用计算机的人也知道花钱来获得更高的性能。所以,我认为只有尽可能从软件优化上来提高性能的人才算真正的DIYer。
14))浅析系统网络管理经验之五大问题
一、网卡的安装问题
安装网卡的关键是:选择正确的网卡设备驱动,网卡的中断号和中断地址不能存在资源冲突。
可是笔者遇到:在WIN95中安装Dlink 10M即插即用网卡和TCP/IP协议后,用ping工具探测网关不通,探测自身网卡地址却正常。在控制面版->系统的设备管理中,发现网卡无资源冲突标记,驱动情况正常,用另一台工作正常的客户机来检查网线,网络通道也正常。进一步,检查网卡的资源分配情况,发现其中断号为12,取消其自动分配功能,手工设置其中断号,再ping网关,网通了。
原来,有些主版即插即用的功能不完善,给即插即用网卡分别了系统已占用的资源,在WIN95控制面版中检查网卡的配置情况却正常,造成假象。
以上的修改方法,对于PCI网卡,又不灵了,原因是不能手工设置PCI网卡的中断号。怎么办呢?在微机主板的CMOS中,去除中断12的即插即用分配,重启系统,让系统重新配置网卡资源,避开中断12的分配。
二、客户机上联口的快速定位
IP地址是Internet/Intranet网上主机通讯的逻辑地址,由用户手动设置或系统自动分配。局域网上若有两台主机IP地址相重,则两台主机相互报警,造成应用混乱。在校园网上,有几百台,甚至上千台主机上网,如何控制IP地址盗用呢?
采用Vlan虚网技术,可控制一段IP地址在某一Vlan中使用,而在其它Vlan中无效。但在同一Vlan的有效IP范围内,仍然会出现IP盗用。
我们利用3COM周边交换机记录上网网卡MAC地址的功能,从盗用IP的MAC地址追踪其客户机上联交换机的端口位置,然后禁止此端口的使用,并用行政手段对盗用者采取处罚措施,彻底根治IP盗用事件。具体方法如下:
1、建立合法的客户机IP-MAC对应数据库;
2、利用简单网络协议定期从NB2 3COM路由器中读取mib库地址1.3.6.1.2.1.3.1.1.2 中IP-MAC表,如下所示:IP地址202.112.162.2的MAC地址为00104B04B81A
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.1 = 08 00 02 1A 81 C3
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.2 = 00 10 4B 04 B8 1A
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.3 = 00 10 4B 04 B8 A5
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.5 = 00 10 4B 0D 71 08
1.3.6.1.2.1.3.1.1.2.129.1.202.112.162.12 = 00 10 4B 0D 70 CE
依照标准数据库,检查是否有新的MAC地址或IP-MAC不对应的MAC地址。若有,则执行下一步。
3、在二十几台交换机3COM SW1000中,读取mib库地址1.3.6.1.4.1.43.10.9.5.1.6.1 中的MAC地址表。下表为某台交换机记录的部分下联口网卡MAC表,第三口上联一台主机,第九口上联3台主机。
1.3.6.1.4.1.43.10.9.5.1.6.1.3.1 = 00 80 C8 78 53 8C
1.3.6.1.4.1.43.10.9.5.1.6.1.4.1 = 00 80 C8 E3 24 45
1.3.6.1.4.1.43.10.9.5.1.6.1.9.1 = 00 00 21 E7 00 9E
1.3.6.1.4.1.43.10.9.5.1.6.1.9.2 = 00 80 C8 E3 3D 52
1.3.6.1.4.1.43.10.9.5.1.6.1.9.3 = 00 00 21 E5 05 3F
1.3.6.1.4.1.43.10.9.5.1.6.1.24.1 = 00 80 C8 E3 58 60
找出此盗用IP的MAC地址出自哪台交换机的哪个端口,并发信通知网络管理员。
4、网络管理员确认后,禁止此交换机端口的使用。
另外,可以简化以上步骤, 将上述第三步,设计成CGI公共网关接口程序,根据用户反映的盗用IP地址或MAC地址,在Web网页上输入此地址,调用MAC定位的CGI程序,返回该MAC地址上联交换机端口的位置。
三、系统数据的备份
常采用磁带机来备份大容量数据,但对于少量的系统关键数据,用两台主机间硬盘备份更方便、灵活,如定时发电子邮件或用FTP将数据传至另一台机器上。备份时,应注意数据的安全性、可*性,如:防止网上数据的截获、防止已损害数据复盖原来备份的数据。我们在两台UNIX主机间,利用UNIX的信任关系,实现数据远程拷贝,将一台主机中的关键数据先加密,用cron定期将此数据拷贝到另一台主机。
具体方法如下:
1、建立机器B (hostb) 信任机器A (hosta)的信任关系。
在hostb主机的用户backdata根目录下建.rhost文件,内容为:hosta root。
表明hosta的root用户有权在hostb的用户backdata目录下进行远程操作。
2、在hosta中,编写远程拷贝Shell程序backdata.sh。将源文件按当前月份和星期几备份,备份数据每周复盖一次。
# /root/backdata.sh
month=`date +"%y%m"`
weekday=`date +"%a"`
rcp /root/db.dat backdata@hostb:db.dat.${month}
rcp /root/db.dat backdata@hostb:db.dat.${weekday}
3、在hosta中,用crontab -e设计定时操作:每天2点钟执行上述程序。
0 2 * * * /root/backdata.sh > > /root/backdata.log
四、Windows与Linux间的资源共享
1、从Windows共享linux资源
小红帽redhat 6.0中自带编译好的samba程序,提供samba文件共享服务。首先,设置配置文件/etc/smb.conf。如下所示,设置:本机的工作组或域名,netbios机器名,本地或NT域控制器口令认证方法;本地认证时,需要用命令/usr/bin/smbpasswd生成用户口令文件/etc/smbpasswd;设置共享目录:如film共享目录对应实际目录/disk1/film。
[global]
# workgroup = NT-Domain-Name or Workgroup-Name
workgroup = cauic
# netbios name = 机器名
netbios name = linuxzrm
# server string is the equivalent of
the NT Description field
server string = Linuxzou Samba Server
# security =用户认证方法:
本地认证(user)或域控制器认证(server)
security = user
; security = server
# 本地认证时,用此口令文件
smb passwd file = /etc/smbpasswd
encrypt passwords = yes
guest account = nobody
allow hosts = 202.112.162.
deny hosts = all
[film]
available = yes
path = /disk1/film
修改配置后,可用工具testparm测试此配置是否正常。然后,执行/etc/rc.d/init.d/smb start|restart启动或重启smaba服务(包括smbd和nmbd服务)。
现在,可以在windows下浏览cauic工作组下机器名为linuxzrm的共享资源。
2、从linux共享windows资源
利用linux的工具smbmount将windows下共享目录按smb文件系统,装载到本机目录下。下面的shell程序(需超级用户执行)表明,以用户名为zoup、口令为z12345身份,将windows服务器VOD下共享目录rmcontent,装载到本机/vodcontent目录下,安装点属于本机用户zou用户组staff。
# /home/zou/mountvod.sh
smbmount "//vod/rmcontent" -c ''mount /vodcontent
-u zou -g staff'' -U zoup%z12345
将以上命令放到系统启动文件中,系统每次启动后,会自动装载windows共享目录。如:在文件/etc/rc.d/rc.local中添加以下语句:
if [ -f /home/zou/mountvod.sh ]; then
echo mounting //vod/rmconten
/home/zou/mountvod.sh > > /home/zou/mountvod.log
fi
五、cisco路由器IP流量的获取
用cisco路由器作网际路由器时,一般都利用cisco的IP包过滤功能来统计IP流量。方法是在cisco路由器的每个出入口添加ip accounting output-packets命令,cisco路由器会自动统计这些端口的IP流量。
常用snmp或telnet终端仿真(show ip account)方法,获取IP流量。在Cisco IOS v.11以上版本中,提供了http服务器功能,用户可从WWW网页管理cisco路由器,不需要任何编程,即可很容易地采集IP流量,为了安全起见,还可限制访问服务器的客户机。方法如下:
Access-list 10 permit 202.112.162.5
Ip http server
Ip http access-list 10
在客户机202.112.162.5中,用网页下载工具wget定期采集、清除IP流量。方法如下:
#读取IP流量,存入outpu-packets网页文件中
wget --http-user=admin --http-passwd=cisco
http://cisco/exec/show/ip/accounting/output-packets
#清除采集过的IP流量
wget --http-user=admin --http-passwd=cisco
http://cisco/exec//clear/ip/accounting/CR
在网页outpu-packets中,读取标识符< pre >、
< /pre >之间的IP流量表,来实现统计IP流量。
Source Destination Packets Bytes
202.112.175.7 202.205.10.30 3 592
202.112.175.175 203.207.176.15 17 2000
202.112.168.22 202.96.44.134 1 40
202.112.164.5 202.103.134.58 1 40
202.112.175.201 202.114.98.12 3 430
202.112.164.151 202.96.49.1 6 279
15))强力输血!打造功能齐全的超级启动盘
Windows 98/Me启动盘存在一些不足,比如:不支持中文、长文件名、USB设备、NTFS分区等,现在可以将一些新鲜血液输入到启动软盘中,使其成为一张功能齐全的超级启动盘。
作一张Windows Me的启动盘
虽然Windows 98的启动盘也不错,但比起Windows Me的来说,功能有一定差距,特别
是其中的FDISK不支持64GB以上容量的硬盘,在80GB甚至更大的硬盘流行的今天,显然不能满足我们的需要,因此建议还是使用Windows Me的启动盘。没有安装Windows Me?没关系,到http://utils.skull-tech.com/bootdisks/bootme.exe下载Windows Me启动盘的制作程序吧,下载后只要将软盘插入软驱,然后双击运行bootme.exe即可完成制作。
换个超强分区工具
Windows启动盘中的FDISK实在有些弱,推荐只有100多KB的SPFDisk 2000-03j,它提供全中文(繁体)界面、集成分区;快速格式化、多系统管理等功能。可识别多种文件系统,如NTFS、ext2等,最重要的是可以在一个硬盘上建立多个系统,相互间没有任何影响,实现多C盘技术。下载和使用方面的介绍请查看:http://dl.pconline.com.cn/html/1/2/dlid=7622&dltypeid=1&pn=0&.html。
给启动盘减肥
为得到更多使用空间,首先要删除一些不必要的文件。比如:README.TXT、HELP.BAT、README.TXT、SCANDISK.INI、SCANDISK.EXE、DRVSPACE.BIN、DEBUG.EXE、CHKDSK.EXE。启动盘上设备驱动程序除保留OAKCDROM.SYS这个CD-ROM驱动外,其余驱动程序基本可以删除。另外,有些高手还用PC-DOS或FREEDOS中的文件替换掉相应文件(除系统核心文件和与核心文件关系密切的FORMAT、SYS等外,其它外部命令基本都能替换),甚至对IO.SYS动手术,将其中的Windows启动画面去掉。
为启动盘输血
血液一:MSDOS.SYS
容量:1.67KB
获取地:C:\MSDOS.SYS
功效:可引导电脑从DOS进入Windows。按通常方法制作的启动盘只能引导进入MS-DOS(因为其内容是空的),而进入Windows的钥匙就是C:\MSDOS.SYS,所以将其复制到启动软盘中,替换同名文件,这样就能让启动软盘直接引导进入Windows了。
血液二:DUSE 4.4
容量:52KB
获取地:http://www.pocketec.net/downloads/duse_4_4.zip
功效:DUSE能让DOS支持USB设备,支持各种USB接口(包括OHCI、UHCI甚至EHCI接口)和许多类型的USB驱动器,例如大多数的USB硬盘、USB光驱、USB软驱、USB闪存盘、USB ZIP驱动器、USB的MP3播放器等。
下载DUSE并将其解压到启动盘,在软盘的CONFIG.SYS中加上一行:DEVICE=A:\DUSE.EXE或在DOS命令行下执行DUSELDR A:\DUSE.EXE。现在就可以在DOS下对USB硬盘进行读写操作了。
DUSE还可以加许多参数,具体请参考软件的帮助文件。如果要加载的是USB光驱,除加载DUSE驱动程序外,还需运行光驱扩展驱动程序,可以使用DOS自带的MSCDEX.EXE。DUSE的默认光驱设备名是USBCDROM,在DOS命令行下可以像下面这样运行MSCDEX.EXE:MSCDEX /D:USBCDROM/。
血液三:XZL 2.0
容量:53KB
获取地:http://home.cfe21.com/firststep/dos/xz.zip
功效:袖珍龙汉字系统,也是DOS下最小的汉字系统,能让DOS支持显示中文文件名,直接键入xzl.com进行加载即可。
血液四:DOSLFN 0.32o
容量:11KB
获取地:http://www-user.tu-chemnitz.de/~heha/hs_freeware/doslfn.zip
功效:使DOS支持长文件名,运行时直接输入doslfn.com即可,再用DIR命令看一看,是不是可以显示长文件名了?
血液五:Ntfsdos.exe
容量:51.9KB
获取地:http://dl.pconline.com.cn/html/1/2/dlid=6872&dltypeid=1&pn=0&.html
功效:在DOS中也能访问NTFS分区。将Ntfsdos.exe和NTFSHLP.VXD解压到软盘,通过运行Ntfsdos.exe就能在DOS下访问NTFS分区了,加载后的NTFS分区盘符位于最后。
血液六:SMARTDRV.EXE
容量:44.3KB
获取地:安装光盘的\tools\ oldmsdos或Windows\Command目录中
功效:SMARTDRV是磁盘高速缓冲程序,在加载后可以大大加快操作系统的安装速度。建议直接将其写入Autoexec.bat文件中(A:\SMARTDRV),以便启动时就加载。另外,在进行Ghost备份或恢复时,还可以先加载这个程序,然后再进行后面的操作,这样能大幅提高Ghost备份或恢复的速度。
如果添加的文件超过了软盘容量,可以通过一些制作CAB压缩包的工具把这些文件打包到EBD.CAB文件中。因为在启动盘运行后,会自动将它们解压缩到虚拟磁盘中。
你知道吗?启动软盘也能访问“网上邻居”
第一步:运行Norton Ghost 2003中文版,点击“Ghost实用工具”,在窗口右侧点击“Norton Ghost启动向导”。在弹出窗口中选择创建“驱动器映射启动盘”后,点击“下一步”;
第二步:选择本机中安装的网络适配器类型(Ghost 2003内置了常见网卡驱动,如果本机网卡驱动未在列表中,可选择“添加”按钮把网卡的驱动程序添加进来),选择好网卡类型后点击“下一步”;第三步:选择启动盘中的DOS版本是使用MS-DOS还是PC-DOS,选定后点击“下一步”;
第四步:在打开的网络客户机配置窗口中,在“客户机名称”处输入本机名称,在“用户名”处输入本机登录网络时的名字,在“域”处输入登录的域名后点击“下一步”;
第五步:在设置网络客户机地址窗口中可选择“由DHCP指定IP设置”方式,如果你的局域网使用静态IP地址,可输入客户机IP地址、子网掩码、网关等IP设置项目,设置完成后点击“下一步”根据向导提示在软驱中插入格式化好的软盘就可以制作网络启动盘了。
第六步:用该软盘启动系统,在输入用户登录口令后即可登录到网络上。在A:\>下输入:net view,将列出所有在同一工作组中的用户机器名;输入命令:net view \\ntyqsrv0,可查看NTYQSRV0服务器上的共享资源;输入:net use Y: \\NTYQSRV0\ysxw,可将\\NTYQSRV0中的ysxw文件夹虚拟成本机的Y盘。
超级通用MS-DOS启动盘
“超级通用MS-DOS启动盘”功能非常强大,比如:多配置启动菜单、全面支持中英文长文件名、(V)FAT12/16/32及NFTS文件系统、USB驱动器(如USB硬盘、USB光驱、U盘等)、大硬盘、各种类型的光驱支持(IDE、SCSI、USB)、鼠标操作、强大的系统维护功能、各种压缩包支持、图形方式的文件管理、可直接启动Windows 3.x/9x、启动盘中文件的压缩处理等。其下载地址为:http://km167.onlinedown.net/down/mdos71bd.zip。将下载的文件解压缩,然后插入软盘,执行其中的MAKEBOOT文件,程序将自动把MSDOS71.IMG镜像文件解压到软盘中,生成一个DOS启动软盘。接下来,你就可以重启试试它的威力了。
打造超级启动光盘
插入制作的软盘,在刻录机中放入一张空白CD-R盘片,打开NERO刻录软件,选择制作启动光盘(因为启动光盘只要1.44MB空间,所以还可刻录进去Windows安装文件以及常用工具)。取出软盘,重启电脑并在BIOS中选择光盘优先启动,很快电脑从光盘自动启动并进入到DOS方式,盘符A为在内存中虚拟的A盘。插上闪存盘看看是不是可以进入了(注意:闪存盘盘符已不是Windows下的盘符,可能为D或E等)。
打造超级启动闪存盘
首先用厂商提供的工具在Windows 98下将闪存盘制作成启动型,接着将闪存盘中的启动文件删除,然后把制作好的软盘中的文件全部复制到闪存盘上,这样一个超级启动闪存盘就制作完成了。
16))全面彻底的优化Windows2003sev
一、windows server 2003 3790版本识别
RTM=release to manufacture (公开发行批量生产)是给硬件制造商的版本!是送去压盘的,不是拿去卖的。
OEM=Original Equipment Manufacturer只能全新安装, 和RTM差不多,只是称呼不同而已。
RTL=retail(零售)正式零售版,可以升级或者全新安装。
VLK=Volume License大量授权版,又称为企业版。无需激活。(网上所谓的简体中文VLK版
实际是普通简体中文版加英文VLK版中的8个文件而已)
二、Windows Server 2003的不同版本
Windows Server 2003 Web版:为快速开发、部署Web服务与应用程序,提供Web托管与服务平台。支持2路
SMP(对称多处理)系统、2GB内存。
Windows Server 2003标准版:面向中小型企业和部门级应用。支持4路SMP、4GB内存。
Windows Server 2003企业版:适合中心与大型组织使用,有32位和64位两个版本。支持8节点集群、NUMA;
支持8路SMP,其中32位版支持32GB内存,64位版支持64GB内存。
Windows Server 2003数据中心版:面向要求强伸缩性和高可用性的企业,有32位和64位两个版本。32位版
支持32路SMP、64GB内存;64位版支持64路SMP、512GB内存;两个版本均支持8节点集群、NUMA
三、windows server 2003 3790版的激活
在正式版算号器没有出来之前,现在流行的激活方式有以下几种:
(1)Reset5.02,在安全模式下运行即可激活,把时间调整为2008年都没有问题,一切使用正常。可以升级。
缺点:激活程序被彻底屏蔽,表现为运行msoobe /a没有任何显示,并且在服务中有一项reset5,开机会自动运
行此服务,C:/WINDOWS/system32/srvany.exe,此程序应该是reset5添加入系统的。
(2)俄罗斯破解,记得在xp时代,只要把setupreg.hiv在安装前替换,然后电话激活就可以达到完美的激活境
界,可在2003下,这样子做之后,当前显示已激活,可如果你调整了时间再开机又会显示要激活,甚至是不能
使用。估计次次问题关键还是在那个setupreg.hiv文件。
(3)在论坛上有人贴出了一个Winxpactivation.exe的文件,号称可以激活,实际上这个还是假激活,暂时屏
蔽了激活程序,是不能够修改时间的。
(4)用替换法做出来的伪VLK,安装使用都没有问题,只是不能升级。VLK是替换英文版的8个文件.但是SN已经
被微软封掉了.所以不能升级,但是此法是最稳定的,没有任何问题。
结论:推荐大家用8个替换法激活和reset5.02激活!
四、win 2003 server的一些优化设置
1.禁用配置服务器向导:
禁止“配置你的服务器”(Manage Your Server)向导的出现:在控制面板(Control Panel) -> 管理员工具
(Administrative Tools )-> 管理你的服务器(Manage Your Server)运行它,然后在窗口的左下角复选“
登录时不要显示该页”(Don''t display this page at logon)。
2.启用硬件和DirectX加速
★硬件加速:桌面点击右键--属性(Properties) -> 设置(Settings )--高级( Advanced )--
疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full),最好点击“确定”(OK)保
存退出。这期间可能出现一瞬的黑屏是完全正常。
★DirectX加速:打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊
断工具”(DirectX Tools),在“显示”(Display)页面,点击DirectDraw, Direct3D and AGP Texture 加
速三个按钮启用加速。把“声音的硬件加速级别”(Hardware Sound Acceleration Level)滚动条拉到“完全
加速”( Full Acceleration)。
3. 启用声卡:
系统安装后,声卡是禁止状态,所以要在 控制面板 -> 声音 -> 启用,重启之后再设置它在任务栏显示。
如果你使用的是Windows server 2003标准版请从第二步xx作,因为标准版已允许声音服务。
★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到
“Windows Audio”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”ˋutomatic),
并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)
★打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具”
(DirectX Tools),在“Sound”(Display)页面,把“声音的硬件加速级别”
(Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration)。
4. 如何启用 ASP 支持:
Windows Server 2003 默认安装,是不安装 IIS 6 的,需要另外安装。安装完 IIS 6,
还需要单独开启对于 ASP 的支持。方法是: 控制面板 -> 管理工具 ->
Web服务扩展 -> Active Server Pages -> 允许。
5. 如何启用 XP 的桌面主题:
★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,选themes“主题”(默认是禁止的)
,然后改为“自动”,按“应用”,选“开启”。
★接着点“桌面”的属性,在“主题”里选“windows xp”
★我的电脑----属性----高级----性能-----在桌面上为图标标签使用阴影
6. 禁止关机时出现的关机理由选择项:
关机事件跟踪(Shutdown Event Tracker)也是Windows server 2003区别于其他工作站系统的一个设置,
对于服务器来说这是一个必要的选择,但是对于工作站系统却没什么用,我们同样可以禁止它。
打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates )
-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”
(Disabled),点击然后“确定”(OK)保存后退出,这样,你将看到类似于windows 2000的关机窗口
7. 如何使用USB硬盘、U盘,添加已经有分区的硬盘
我的电脑(单击右键)----管理----磁盘管理-----在相应的硬盘上执行导入和分配盘符操作
8. 在控制面板里显示全部组件:
把 Windows/inf 目录中的 sysoc.inf 文件里的 "hide" 替换掉。
9.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现
在IE工具选项中自定义设置IE的安全级别。在”安全“(Security)选项卡上拉动滚动条把Internet区域
安全设置为”中“(Medium)或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用”。
10. 禁用开机 CTRL+ALT+DEL和实现自动登陆
★方法1:打开注册表(运行->“Regedit”),再打开:
HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft|Windows NT|CurrentVersion |Winlogon段,在此段中按右键,新建
二个字符串段,AutoAdminLogon=“1”,DefaultPassword=“为超级用户Administrator所设置的Password”。
注意,一定要为Administrator设置一个密码,否则不能实现自启动。 然后,重新启动Windows即可实现自动登录。
★方法2:管理工具 -> Local Security Settings(本地安全策略) -> 本地策略 -> 安全选项 ->
interactive logon: Do not require CTRL+ALT+DEL,启用之。
★方法3(自动登陆):使用Windows XP的Tweak UI来实现Server 2003自动登陆。
下载:Tweak UI http://www.ssite.org/uppic/sun_pic/...003/tweakui.exe
下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically
at system startup输入你的用户名和域名(如果没有就不写),点击下面的Set Password,输入用户名的密码
,然后点击OK。
11.隐藏文件
Windows Server 2003默认情况下是显示所有的文件夹的,如果你不想这样,可以通过一下方法来隐藏:
打开任意一个文件夹,选择工具(Tools) -> 文件夹选项(Folder Options) -> 查看(View),
调整 显示系统文件夹的内容、隐藏受保护的操作系统文件、隐藏文件和文件夹 三项
12.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务
.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务
★假如你希望启用Windows内置的IMAPI CD-Burning服务。做如下xx作:
打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到
“IMAPI CD-Burning COM Service ”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”
(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)
★假如你有如数码相机和扫描仪之类的影像设备,你应该打开Windows Image Acquisition 服务。
打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到
“Windows Image Acquisition (WIA) ”并双击它,然后在启动模式(startup type )的下拉
菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)
13.高级设置
★我们可以修改一些windows server 2003的高级设置以适合工作站的应用环境。
右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能(Performance)
--设置(Setting)--高级(Advanced),把“处理器计划”(Processor scheduling )和内存使用
(Memory usage)分配给“程序”(Programs)使用。然后点击“确定”(OK.)
★禁用错误报告
右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--点击“错误报告”
(Error Reporting )按钮,在出现的窗口中把“禁用错误报告”(Disable Error Reporting)选上并复选“
但在发生严重错误时通知我”(But, notify me when critical errors occur.)
★调整虚拟内存
一些朋友经常会对关机和注销缓慢感到束手无策,解决办法就是禁用虚拟内存,这样你的注销和关机时间可能
会加快很多。右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能
(Performance)--设置(Setting)--高级(Advanced),点击“虚拟内存”(Virtual memory)部分的
“更改”(Change),然后在出现的窗口选择“无分页文件”。重启系统即可。
14.加快启动和运行速度
★修改注册表,减少预读取,减少进度条等待时间:
开始→运行→regedit启动注册表编辑器,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session
Manager/Memory Management/PrefetchParameters, 有一个键值名为EnablePrefetcher,它的值是3,把它改为
“1”或“5”。找到 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control,
将 WaitToKillServiceTimeout 设为:1000或更小。 ( 原设定值:20000 )
找到 HKEY_CURRENT_USER/Control Panel/Desktop 键,将右边视窗的
WaitToKillAppTimeout 改为 1000, ( 原设定值:20000 )即关闭程序时仅等待1秒。
将 HungAppTimeout 值改为:200( 原设定值:5000 ), 表示程序出错时等待0.5秒。
★让系统自动关闭停止回应的程式。
打开注册表 HKEY_CURRENT_USER/Control Panel/Desktop 键,
将 AutoEndTasks 值设为 1。 ( 原设定值:0 )
★禁用系统服务Qos
开始菜单→运行→键入 gpedit.msc ,出现“组策略”窗口, 展开 "管理模板”→“网络” , 展开 "QoS 数
据包调度程序", 在右边窗右键单击“限制可保留带宽" ,在属性中的“设置”中有“限制可保留带宽" ,选
择“已禁用”,确定即可。当上述修改完成并应用后,用户在网络连接的属性对话框内的一般属性标签栏中如
果能够看到"QoS Packet Scheduler(QoS 数据包调度程序)"。说明修改成功,否则说明修改失败。
★改变窗口弹出的速度:
找到HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics子键分支,在右边的窗口中找到
MinAniMate键值,其类型为REG_SZ,默认情况下此健值的值为1,表示打开窗口显示的动画,把它改为0,则禁
止动画显示,接下来从开始菜单中选择“注销”命令,激活刚才所作的修改。
★禁止Windows XP的压缩功能:
点击“开始”下的“运行”,在“运行”输入框中输入“regsvr32/u zipfldr.dll”,然后按回车键即可。
★设置个性的启动信息或警告信息:
个性化的Windows XP启动:打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon子键分支,双击LegalNoticeCaption健值,打开“编辑字符串”对话框,在“数
值数据”下的文本框中输入自己想要的信息标题,如“哥们儿,你好!”,然后点击“确定”,重新启动。
如果想要改变警告信息的话可以双击LegalNoticeText健值名称,在出现的“编辑字符串”窗口中输入想要显示
的警告信息,单击“确定”,重新启动。
15.安装Java VM
Windows server 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。
16.安装DirectX 9a
在Windows Server 2003上安装DirectX 9a和在其他版本的Windows上安装DirectX 9a的方法是一样的。安装之前
必须先启用DirectX and Graphics Acceleration。
17.可用的杀毒软件和防火墙:
Symantec Norton Antivirus Corporate 8.01
Zone Alarm 3.7.159
Norton Personal Firewall 2003
五、如何防范ipc$入侵
1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA]把
RestrictAnonymous = DWORD的键值改为:00000001。
restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
2、禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)修改注册表删除共享
运行-regedit
找到如下主键[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters]
把AutoShareServer(DWORD)的键值改为0000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
3、停止server服务
1)暂时停止server服务
net stop server /y (重新启动后server服务会重新开启)
2)永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用
4、安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等)
1).解开文件和打印机共享绑定
鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。
2).利用TCP/IP筛选
鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项],在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。
3).使用IPSec安全策略阻止对端口139和445的访问
选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地机器],在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何回应。
4).使用防火墙防范攻击
在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击[确定]按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了(如图3)。
5、给所有账户设置复杂密码,防止通过ipc$穷举密码
17))全面彻底的优化Windows2003sev
一、windows server 2003 3790版本识别
RTM=release to manufacture (公开发行批量生产)是给硬件制造商的版本!是送去压盘的,不是拿去卖的。
OEM=Original Equipment Manufacturer只能全新安装, 和RTM差不多,只是称呼不同而已。
RTL=retail(零售)正式零售版,可以升级或者全新安装。
VLK=Volume License大量授权版,又称为企业版。无需激活。(网上所谓的简体中文VLK版
实际是普通简体中文版加英文VLK版中的8个文件而已)
二、Windows Server 2003的不同版本
Windows Server 2003 Web版:为快速开发、部署Web服务与应用程序,提供Web托管与服务平台。支持2路
SMP(对称多处理)系统、2GB内存。
Windows Server 2003标准版:面向中小型企业和部门级应用。支持4路SMP、4GB内存。
Windows Server 2003企业版:适合中心与大型组织使用,有32位和64位两个版本。支持8节点集群、NUMA;
支持8路SMP,其中32位版支持32GB内存,64位版支持64GB内存。
Windows Server 2003数据中心版:面向要求强伸缩性和高可用性的企业,有32位和64位两个版本。32位版
支持32路SMP、64GB内存;64位版支持64路SMP、512GB内存;两个版本均支持8节点集群、NUMA
三、windows server 2003 3790版的激活
在正式版算号器没有出来之前,现在流行的激活方式有以下几种:
(1)Reset5.02,在安全模式下运行即可激活,把时间调整为2008年都没有问题,一切使用正常。可以升级。
缺点:激活程序被彻底屏蔽,表现为运行msoobe /a没有任何显示,并且在服务中有一项reset5,开机会自动运
行此服务,C:/WINDOWS/system32/srvany.exe,此程序应该是reset5添加入系统的。
(2)俄罗斯破解,记得在xp时代,只要把setupreg.hiv在安装前替换,然后电话激活就可以达到完美的激活境
界,可在2003下,这样子做之后,当前显示已激活,可如果你调整了时间再开机又会显示要激活,甚至是不能
使用。估计次次问题关键还是在那个setupreg.hiv文件。
(3)在论坛上有人贴出了一个Winxpactivation.exe的文件,号称可以激活,实际上这个还是假激活,暂时屏
蔽了激活程序,是不能够修改时间的。
(4)用替换法做出来的伪VLK,安装使用都没有问题,只是不能升级。VLK是替换英文版的8个文件.但是SN已经
被微软封掉了.所以不能升级,但是此法是最稳定的,没有任何问题。
结论:推荐大家用8个替换法激活和reset5.02激活!
四、win 2003 server的一些优化设置
1.禁用配置服务器向导:
禁止“配置你的服务器”(Manage Your Server)向导的出现:在控制面板(Control Panel) -> 管理员工具
(Administrative Tools )-> 管理你的服务器(Manage Your Server)运行它,然后在窗口的左下角复选“
登录时不要显示该页”(Don''t display this page at logon)。
2.启用硬件和DirectX加速
★硬件加速:桌面点击右键--属性(Properties) -> 设置(Settings )--高级( Advanced )--
疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full),最好点击“确定”(OK)保
存退出。这期间可能出现一瞬的黑屏是完全正常。
★DirectX加速:打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊
断工具”(DirectX Tools),在“显示”(Display)页面,点击DirectDraw, Direct3D and AGP Texture 加
速三个按钮启用加速。把“声音的硬件加速级别”(Hardware Sound Acceleration Level)滚动条拉到“完全
加速”( Full Acceleration)。
3. 启用声卡:
系统安装后,声卡是禁止状态,所以要在 控制面板 -> 声音 -> 启用,重启之后再设置它在任务栏显示。
如果你使用的是Windows server 2003标准版请从第二步xx作,因为标准版已允许声音服务。
★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到
“Windows Audio”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”ˋutomatic),
并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)
★打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具”
(DirectX Tools),在“Sound”(Display)页面,把“声音的硬件加速级别”
(Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration)。
4. 如何启用 ASP 支持:
Windows Server 2003 默认安装,是不安装 IIS 6 的,需要另外安装。安装完 IIS 6,
还需要单独开启对于 ASP 的支持。方法是: 控制面板 -> 管理工具 ->
Web服务扩展 -> Active Server Pages -> 允许。
5. 如何启用 XP 的桌面主题:
★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,选themes“主题”(默认是禁止的)
,然后改为“自动”,按“应用”,选“开启”。
★接着点“桌面”的属性,在“主题”里选“windows xp”
★我的电脑----属性----高级----性能-----在桌面上为图标标签使用阴影
6. 禁止关机时出现的关机理由选择项:
关机事件跟踪(Shutdown Event Tracker)也是Windows server 2003区别于其他工作站系统的一个设置,
对于服务器来说这是一个必要的选择,但是对于工作站系统却没什么用,我们同样可以禁止它。
打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates )
-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”
(Disabled),点击然后“确定”(OK)保存后退出,这样,你将看到类似于windows 2000的关机窗口
7. 如何使用USB硬盘、U盘,添加已经有分区的硬盘
我的电脑(单击右键)----管理----磁盘管理-----在相应的硬盘上执行导入和分配盘符操作
8. 在控制面板里显示全部组件:
把 Windows/inf 目录中的 sysoc.inf 文件里的 "hide" 替换掉。
9.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现
在IE工具选项中自定义设置IE的安全级别。在”安全“(Security)选项卡上拉动滚动条把Internet区域
安全设置为”中“(Medium)或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用”。
10. 禁用开机 CTRL+ALT+DEL和实现自动登陆
★方法1:打开注册表(运行->“Regedit”),再打开:
HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft|Windows NT|CurrentVersion |Winlogon段,在此段中按右键,新建
二个字符串段,AutoAdminLogon=“1”,DefaultPassword=“为超级用户Administrator所设置的Password”。
注意,一定要为Administrator设置一个密码,否则不能实现自启动。 然后,重新启动Windows即可实现自动登录。
★方法2:管理工具 -> Local Security Settings(本地安全策略) -> 本地策略 -> 安全选项 ->
interactive logon: Do not require CTRL+ALT+DEL,启用之。
★方法3(自动登陆):使用Windows XP的Tweak UI来实现Server 2003自动登陆。
下载:Tweak UI http://www.ssite.org/uppic/sun_pic/...003/tweakui.exe
下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically
at system startup输入你的用户名和域名(如果没有就不写),点击下面的Set Password,输入用户名的密码
,然后点击OK。
11.隐藏文件
Windows Server 2003默认情况下是显示所有的文件夹的,如果你不想这样,可以通过一下方法来隐藏:
打开任意一个文件夹,选择工具(Tools) -> 文件夹选项(Folder Options) -> 查看(View),
调整 显示系统文件夹的内容、隐藏受保护的操作系统文件、隐藏文件和文件夹 三项
12.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务
.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务
★假如你希望启用Windows内置的IMAPI CD-Burning服务。做如下xx作:
打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到
“IMAPI CD-Burning COM Service ”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”
(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)
★假如你有如数码相机和扫描仪之类的影像设备,你应该打开Windows Image Acquisition 服务。
打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到
“Windows Image Acquisition (WIA) ”并双击它,然后在启动模式(startup type )的下拉
菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)
13.高级设置
★我们可以修改一些windows server 2003的高级设置以适合工作站的应用环境。
右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能(Performance)
--设置(Setting)--高级(Advanced),把“处理器计划”(Processor scheduling )和内存使用
(Memory usage)分配给“程序”(Programs)使用。然后点击“确定”(OK.)
★禁用错误报告
右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--点击“错误报告”
(Error Reporting )按钮,在出现的窗口中把“禁用错误报告”(Disable Error Reporting)选上并复选“
但在发生严重错误时通知我”(But, notify me when critical errors occur.)
★调整虚拟内存
一些朋友经常会对关机和注销缓慢感到束手无策,解决办法就是禁用虚拟内存,这样你的注销和关机时间可能
会加快很多。右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能
(Performance)--设置(Setting)--高级(Advanced),点击“虚拟内存”(Virtual memory)部分的
“更改”(Change),然后在出现的窗口选择“无分页文件”。重启系统即可。
14.加快启动和运行速度
★修改注册表,减少预读取,减少进度条等待时间:
开始→运行→regedit启动注册表编辑器,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session
Manager/Memory Management/PrefetchParameters, 有一个键值名为EnablePrefetcher,它的值是3,把它改为
“1”或“5”。找到 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control,
将 WaitToKillServiceTimeout 设为:1000或更小。 ( 原设定值:20000 )
找到 HKEY_CURRENT_USER/Control Panel/Desktop 键,将右边视窗的
WaitToKillAppTimeout 改为 1000, ( 原设定值:20000 )即关闭程序时仅等待1秒。
将 HungAppTimeout 值改为:200( 原设定值:5000 ), 表示程序出错时等待0.5秒。
★让系统自动关闭停止回应的程式。
打开注册表 HKEY_CURRENT_USER/Control Panel/Desktop 键,
将 AutoEndTasks 值设为 1。 ( 原设定值:0 )
★禁用系统服务Qos
开始菜单→运行→键入 gpedit.msc ,出现“组策略”窗口, 展开 "管理模板”→“网络” , 展开 "QoS 数
据包调度程序", 在右边窗右键单击“限制可保留带宽" ,在属性中的“设置”中有“限制可保留带宽" ,选
择“已禁用”,确定即可。当上述修改完成并应用后,用户在网络连接的属性对话框内的一般属性标签栏中如
果能够看到"QoS Packet Scheduler(QoS 数据包调度程序)"。说明修改成功,否则说明修改失败。
★改变窗口弹出的速度:
找到HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics子键分支,在右边的窗口中找到
MinAniMate键值,其类型为REG_SZ,默认情况下此健值的值为1,表示打开窗口显示的动画,把它改为0,则禁
止动画显示,接下来从开始菜单中选择“注销”命令,激活刚才所作的修改。
★禁止Windows XP的压缩功能:
点击“开始”下的“运行”,在“运行”输入框中输入“regsvr32/u zipfldr.dll”,然后按回车键即可。
★设置个性的启动信息或警告信息:
个性化的Windows XP启动:打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon子键分支,双击LegalNoticeCaption健值,打开“编辑字符串”对话框,在“数
值数据”下的文本框中输入自己想要的信息标题,如“哥们儿,你好!”,然后点击“确定”,重新启动。
如果想要改变警告信息的话可以双击LegalNoticeText健值名称,在出现的“编辑字符串”窗口中输入想要显示
的警告信息,单击“确定”,重新启动。
15.安装Java VM
Windows server 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。
16.安装DirectX 9a
在Windows Server 2003上安装DirectX 9a和在其他版本的Windows上安装DirectX 9a的方法是一样的。安装之前
必须先启用DirectX and Graphics Acceleration。
17.可用的杀毒软件和防火墙:
Symantec Norton Antivirus Corporate 8.01
Zone Alarm 3.7.159
Norton Personal Firewall 2003
五、如何防范ipc$入侵
1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA]把
RestrictAnonymous = DWORD的键值改为:00000001。
restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
2、禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)修改注册表删除共享
运行-regedit
找到如下主键[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters]
把AutoShareServer(DWORD)的键值改为0000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
3、停止server服务
1)暂时停止server服务
net stop server /y (重新启动后server服务会重新开启)
2)永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用
4、安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等)
1).解开文件和打印机共享绑定
鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。
2).利用TCP/IP筛选
鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项],在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。
3).使用IPSec安全策略阻止对端口139和445的访问
选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地机器],在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何回应。
4).使用防火墙防范攻击
在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击[确定]按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了(如图3)。
5、给所有账户设置复杂密码,防止通过ipc$穷举密码
18))Windows XP的注册表编辑器有了记忆功能,在打开时会自动定位到上次运行注册表时最后打开的键,这个自作聪明的功能并没有多大的意义,反而会泄露我们的秘密,可以将它禁止,在很多禁止它的方法。比如:建一个批处理文件和注册表编辑文件,然后运行批处理文件。这种方法在运行批处理文件后再运行注册表编辑器虽可以禁止记忆功能,但需要每次用注册表时都先运行批处理文件或者将批处理文件放入启动菜单,如果没有运行批处理文件,自动记忆功能又会被自动打开。还有诸如编写脚本程序等方法,实在是麻烦。
其实,让注册表“失忆”很简单,只要将注册表编辑器定位到“HKEY_CURRENT_USE R/Software/Microsoft/Windows/CurrentVersion/Applets/Regedit”项,右键单击它,选择“权限”,在权限对话框中将完全控制和读取选项勾选为拒绝。这样注册表编辑器的记忆功能就被禁止了。不过使用这种方法将使注册表编辑器的收藏夹功能也同时被禁止,给日常编辑注册表带来不便。
那这时可以先在“HKEY_CURRENT_US ER/Software/Microsoft/Windows/CurrentVersion/Applets”项下新建一个Favorites项,然后再按上例方法将Regedit项的权限设为拒绝。这样既可禁止注册表编辑器的记忆功能,又不会影响收藏夹的使用。
小提示:在设置权限时,如果你有管理员权限,可以将所有用户的完全控制和读取都设为拒绝。这样无论从哪个用户登录系统,注册表编辑器的记忆功能都会被禁止了。
19))让XP的键盘说话!一个罕见的功能
长期面对无声的电脑,我们难免疲倦。如果正在输入的内容被系统一字(字母)不差地念出来,你还能在无声的疲倦中输入错误的内容吗?本文以Windows 2000/XP中一个鲜为人知的“讲述人”为例教你DIY一个完全的语音键盘。
在“运行”中输入“narrator”,点“确定”,首先弹出的是一条警告信息,不予理睬,点“确定”跳过后便请出本文的主角──“讲述人”(如图)。如果你的音箱已经打开,听到了什么?不想听的话就按一下Ctrl键。再按任意键试试,你输入的字母键被系统用标准的美国英语读了出来,这时一个完全的语音键盘就诞生在你的手中了,有兴趣的朋友不妨试试。
20))让你的IIS无懈可击
如果你的电脑新安装了nt4/win2000以后,并不是说就可以直接用来作Internet服务器了。尽管微软的补丁打了一大堆,但还是有些漏洞。现在我们就简单的谈一下如何使用IIS建立一个高安全性能的服务器。
一、 以Windows NT的安全机制为基础
1)NT打SP6补丁、2K打SP2补丁。把磁盘的文件系统转换成NTFS(安装系统的分区可以在安装系统的时候转换,也可以安装完系统以后,用工具转换)。同时把使用权限里有关Everyone的写、修改的权限去掉,关键目录:如Winnt/Repair连读的权限也去掉。
2)共享权限的修改。在NT下到开始菜单--》程序--》管理工具--》系统策略编辑器,然后打开系统策略里文件菜单里的“打开注册表”修改其中的windows NT 网络把其中勾去掉。 2K下可以写个net share c$ /delete的bat文件,放到机器的启动任务里。
3)为系统管理员账号更名。同时把系统管理员的密码改成强加密:密码长度在10位以上,并且密码要包括数字、字母、!等各种字符。
4)废止TCP/IP上的NetBIOS。通过网络属性的绑定选项,废止NetBIOS与TCP/IP之间的绑定。
5)安装其他服务。应该尽量不在同台服务器上安装数据库的别的服务,如果装了的话,最主要一点是数据库密码不能跟系统的登陆密码一样。
二、 设置IIS的安全机制
1)IIS5安全问题在以前基础上已经大有改善.
解决IIS4以及之前的版本受到D.O.S攻击会停止服务。 运行Regedit32.exe 在:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/w3svc/parameters 增加一个值: value Name: MaxClientRequestBuffer Data Type: REG_DWORD 设置为十进制 具体数值设置为你想设定的IIS允许接受的URL最大长度。CNNS的设置为256。
2)删除HTR脚本映射。
3)将IIS web server下的 /_vti_bin 目录设置成禁止远程访问。
4)在IIS管理控制台中,点 web站点,属性,选择主目录,配置(起始点),应用程序映射,将htw与webhits.dll的映射删除。
5)如果安装的系统是2K的话,安装Q256888_W2K_SP1_x86_en.EXE。
6)删除:c:/Program Files/Common Files/System/Msadc/msadcs.dll。
7)如果不需要使用Index Server,禁止或卸载该服务。 如果你使用了Index Server,请将包含敏感信息的目录的“Index this resource”的选项禁止。
8)解决unicode漏洞: 2K安装2kunicode.exe、NT安装ntunicode86.exe。
经过以上的设置之后,我还是不敢说它就完全安全了,你可不要回去睡大觉呀!不过你可以放松一下了!
微软的产品虽然好用,但是它的漏洞和同类比起来是漏洞最多的一个.作为一个网管要时刻的注意新漏洞的出现,及时的采取相应的措施,做到有备无患!
22))
|
如何更改windowsXP的启动画面
| ||||||
|
如何更改windowsXP的启动画面 如果您对windowsXP的开机画面已经厌烦,又对其无可奈何时;那么我们下面来把你的开机画面换成你喜欢的画面..OK! 单击[开始]->[运行],输入regedit。(如下图所示)
单击[确定]按钮,打开注册表,右键单击“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Dfrg//BootOptimizeFunction”
将新建的字符串值命名为“Wallpaper”。(如下图所示)
双击新建的字符串值,在数值数据中输入你的开机画面路径,单击[确定]。退出注册表编辑器,重启计算机,看到
| ||||||
|
本教程内容来自网络,并非原创
| ||||||
23))进入控制面板的管理工具的服务里,双机messenger... 改为停止,并把启动条件改为手动
关闭win2000中的信使
控制面板->管理工具->服务
找到messenger
停止服务
然后改为禁用
24))如何设计网页
在网页设计的认识上,许多人似乎仍停留在网页制作的高度上。认为只要用好了网页制
作软件,就能搞好网页设计了。
其实网页设计是一个感性思考与理性分析相结合的复杂的过程,它的方向取决于设计的
任务,它的实现依赖于网页的制作。正所谓“功夫在诗外”,网页设计中最重要的东西
,并非在软件的应用上,而是在我们对网页设计的理解以及设计制作的水平上,在于我
们自身的美感以及对页面的把握上。
首先,我们要弄清楚网页设计的任务。
一、设计的任务
设计是一种审美活动,成功的设计作品一般都很艺术化。但艺术只是设计的手段,而并
非设计的任务。设计的任务是要实现设计者的意图,而并非创造美。
网页设计的任务,是指设计者要表现的主题和要实现的功能。站点的性质不同,设计的
任务也不同。从形式上,可以将站点分为以下三类。
第一类是资讯类站点,像新浪、网易、搜狐等门户网站。这类站点将为访问者提供大量
的信息,而且访问量较大。因此需注意页面的分割、结构的合理、页面的优化、界面的
亲和等问题。
第二类是资讯和形象相结合的网站,像一些较大的公司、国内的高校等。这类网站在设
计上要求较高,既要保证资讯类网站的上述要求,同时又要突出企业、单位的形象。然
而就现状上来看,这类网站有粗制滥造的嫌疑。
第三类则是形象类网站,比如一些中小型的公司或单位。这类网站一般较小,有的则有
几页,需要实现的功能也较为简单,网页设计的主要任务是突出企业形象。这类网站对
设计者的美工水平要求较高。
当然,这只是从整体上来看,具体情况还要具体分析。不同的站点还要区别对待。别忘
了最重要的一点,那就是客户的要求,它也属于设计的任务。
明确了设计的任务之后,接下来要想的就是如何完成这个任务了。
二、设计的实现
设计的实现可以分为两个部分。第一部分为站点的规划及草图的绘制,这一部分可以在
纸上完成。第二部分为网页的制作,这一过程是在计算机上完成的。
设计首页的第一步是设计版面布局。我们可以将网页看作传统的报刊杂志来编辑,这里
面有文字、图像乃至动画,我们要做的工作就是以最适合的方式将图片和文字排放在页
面的不同位置。
除了要有一台配置不错的计算机外,软件也是必需的。不能简单地说一个软件的好坏,
只要是设计者使用起来觉得方便而且能得心应手的,就可以称为好软件。当然,它应该
能满足设计者的要求。笔者常用的软件是Macromedia的Dreamweaver、Fireworks、
Flash以及Adobe的Photoshop、imageready,这些都是很不错的软件。
接下来我们要做的就是通过软件的使用,将设计的蓝图变为现实,最终的集成一般是在
Dreamweaver里完成的。虽然在草图上,我们定出了页面的大体轮廓,但是灵感一般都
是在制作过程中产生的。设计作品一定要有创意,这是最基本的要求,没有创意的设计
是失败的。在制作的过程中,我们会碰到许多问题,其中最敏感的莫过于页面的颜色
了。
四、造型的组合
在网页设计中,我们主要通过视觉传达来表现主题。在视觉传达中,造型是很重要的一
个元素。抛去是图还是文字的问题,画面上的所有元素可以统一作为画面的基本构成要
素点、线、面来进行处理。在一幅成功的作品里,是需要点、线、面的共同组合与搭配
来构造整个页面的。
通常我们可以使用的组合手法有秩序、比例、均衡、对称、连续、间隔、重叠、反复、
交叉、节奏、韵律、归纳、变异、特写、反射等等,它们都有各自的特点。在设计中应
根据具体情况,选择最适合的表现手法,这样有利于主题的表现。
通过点、线、面的组合,可以突出页面上的重要元素,突出设计的主题,增强美感,让
观者在感受美的过程中领会设计的主题,从而实现设计的任务。
造型的巧妙运用不仅能带来极大的美感,而且能较好地突出企业形象,而且能将网页上
的各种元素有机的组织起来,它甚至还可以引导观者的视线。
三、色彩的运用
色彩是一种奇怪的东西,它是美丽而丰富的,它能唤起人类的心灵感知。一般来说,红
色是火的颜色,热情、奔放;也是血的颜色,可以象征生命。黄色是明度最高的颜色,
显得华丽、高贵、明快。绿色是大自然草木的颜色,意味着纯自然和生长,象征安宁和
平与安全,如绿色食品。紫色是高贵的象征,有庄重感。白色能给人以纯洁与清白的感
觉,表示和平与圣洁。
我们知道,颜色是光的折射产生的,红、黄、蓝是三原色,其它的色彩都可以用这三种
色彩调和而成。换一种思路,我们可以用颜色的变化来表现光影效果,这无疑将使我们
的作品更贴近现实。
色彩代表了不同的情感,有着不同的象征含义。这些象征含义是人们思想交流当中的一
个复杂问题,它因人的年龄、地域、时代、民族、阶层、经济地区、工作能力、教育水
平、风俗习惯、宗教信仰、生活环境、性别差异而有所不同。
单纯的颜色并没有实际的意义,和不同的颜色搭配,它所表现出来的效果也不同。比如
绿色和金黄、淡白搭配,可以产生优雅,舒适的气氛。蓝色和白色混合,能体现柔顺、
淡雅、浪漫的气氛。红色和黄色、金色的搭配能渲染喜庆的气氛。而金色和粟色的搭配
则会给人带来暖意。设计的任务不同,配色方案也随之不同。考虑到网页的适应性,应
尽量使用网页安全色。
但颜色的使用并没有一定的法则,如果一定要用某个法则去套,效果只会适得其反。经
验上我们可先确定一种能表现主题的主体色,然后根据具体的需要,应用颜色的近似和
对比来完成整个页面的配色方案。整个页面在视觉上应是一个整体,以达到和谐、悦目
的视觉效果。
五、设计的原则
设计是有原则的,无论使用何种手法对画面中的元素进行组合,都一定要遵循五个大的
原则:统一、连贯、分割、对比及和谐。
统一,是指设计作品的整体性,一致性。设计作品的整体效果是至关重要的,在设计中
切勿将各组成部分孤立分散,那样会使画面呈现出一种枝蔓纷杂的凌乱效果。
连贯,是指要注意页面的相互关系。设计中应利用各组成部分在内容上的内在联系和表
现形式上的相互呼应,并注意整个页面设计风格的一致性,实现视觉上和心理上的连贯
,使整个页面设计的各个部分极为融洽,犹如一气呵成。
分割,是指将页面分成若干小块,小块之间有视觉上的不同,这样可以使观者一目了
然。在信息量很多时为使观者能够看清楚,就要注意到将画面进行有效的分割。分割不
仅是表现形式的需要。换个角度来讲,分割也可以被视为对于页面内容的一种分类归
纳。
对比就是通过矛盾和冲突,使设计更加富有生气。对比手法很多,例如:多与少、曲与
直、强与弱、长与短、粗与细、疏与密、虚与实、主与次、黑与白、动与静、美与丑、
聚与散等等。在使用对比的时候应慎重,对比过强容易破坏美感,影响统一。
和谐是指整个页面符合美的法则,浑然一体。如果一件设计作品仅仅是色彩、形状、线
条等的随意混合,那么作品将不但没有“生命感”,而且也根本无法实现视觉设计的传
达功能。和谐不仅要看结构形式,而且要看作品所形成的视觉效果能否与人的视觉感受
形成一种沟通,产生心灵的共鸣。这是设计能否成功的关键。
六、网页的优化
在网页设计中,网页的优化是较为重要的一个环节。它的成功与否会影响页面的浏览速
度和页面的适应性,影响观者对网站的印象。
在资讯类网站中,文字是页面中最大的构成元素,因此字体的优化显得尤为重要。使用
css样式表指定文字的样式是必要的,通常我们将字体指定为宋体,大小指定为12px,
颜色要视背景色而定,原则上以能看清且与整个页面搭配和谐为准。在白色的背景上,
我们一般使用黑色,这样不易产生视觉疲劳,能保证浏览者较长时间地浏览网页。
图片是网页中的重要元素。图片的优化可以在保证浏览质量的前提下将其size降至最低
,这样可以成倍地提高网页的下载速度。利用Photoshop6或Fireworks4可以将图片切
成小块,分别进行优化。输出的格式可以为gif或jpeg,要视具体情况而定。一般我们
把有较为复杂颜色变化的小块优化为jpeg,而把那种只有单纯色块的卡通画式的小块优
化为gif,这是由这两种格式的特点决定的。
表格(table)是页面中的重要元素,是页面排版的主要手段。我们可以设定表格的宽度、
高度、边框、背景色、对齐方式等参数。很多时候,我们将表格的边框设为0,以此来
定位页面中的元素,或者籍此确定页面中各元素的相对位置。我们知道:浏览器在读取
网页html原代码时,是读完整个table才将它显示出来的。如果一个大表格中含有多个
子表格,必须等大表格读完,才能将子表格一起显示出来。我们在访问一些站点时,等
待多时无结果,按"停止"按钮却一下显示出页面就是这个原因。因此,我们在设计页面
表格的时候,应该尽量避免将所有元素嵌套在一个表格里,而且表格嵌套层次尽量要
少。在使用Dreamweaver制作网页时,会自动在每一个td内添加一个空字符“ ”。如果
单元格内没有填充其它元素,这个空字符会保留,在指定td的宽度或高度后,可以在源
代码内将其删去。
网页的适应性是很重要的,在不同的系统上,不同的分辨率下,不同的浏览器上,我们
将会看到不同的结果,因此设计时要统筹考虑。一般我们在800*600下制作网页,最佳
浏览效果也是在800*600分辨率下,在其它情况下只要保证基本一致,不出现较大问题
即可。
说了这么多,只是希望能对做“网页设计”的人有所帮助,希望他们在做网页的时候能
够从整体着眼,无愧于“设计”这两个字。顺便说一下,本文只代表本人个人观点,仅
供参考。
对于网页的框架与定位,这个是很难说得清楚的,这要看你在做网站时,对网站的
规划,并不能一并而论的,如果你没有这方面的经验,就多多在网上看看别人是如何设计
的吧,是非常的用的,可以把他们给抓下来,做个图库,方便自己设计
其实看看一些设计精良的网页,会对自己有很大的作用,
把别人的网页下载下来,再用相关的软件,进行分析,
可以学到许多的东西的,是一种快捷的学习方法,
但决不是COPY
我认为首要的是突出主题
一个好的网站(个人的只能算做网页)最首要的是突出你的主题,在别人搜索或访问时首
先就看有没有自己所需要的内容,要么就直奔主题.然后再在主题鲜明的基础上做好框架
设计.一个好的网站要做到层次分明,结构合理,让人一看就能明白你想要表达的中心思
想是什么,以及怎样才能以以最快的速度找到自己想要的内容.这两个主要问题解决后再
在一些细节上加以润色,就能制作出赏心悦目的网站.
25))如何实现网络分段
要实现网络分段,可以使用路由器、防火墙、带有虚拟局域网(VIAN)功能的三层交换机。如果没有这些设备该怎样实现网络分段呢?这里介绍三种在没有以上设备的情况下能够实现网络分段的经济、可靠的方法。
??随着校园网中计算机数量的迅速增长,计算机管理和计算机安全问题越来越突出。在网络使用初期,由于信息点少,我们只需设置成一个子网,不存在网络的分段问题,而随着用户的增加,就必须要采取措施来加强网络分段的管理。对网络进行分段管理,不仅便于网络维护,而且可以缩小冲突域的范围,隔离网段内部的广播风暴,使其不至影响其他网段中的用户,提高了网络的稳定性和实际可用带宽。
??多网卡主机软路由方式
??这是通过在Windows 2000 Server上安装多块网卡,利用Windows 2000 Server自带的路由器功能实现网络的分段管理。
??下面就以建立两个网段为例(多个网段的实现方法也一样),介绍一下实现方法。假设我们要建立两个网段:网段A的地址为192.168.1.0;网段B的地址为192.168.2.0。它们都是C类子网(IP地址前三段固定,最后一段为任意),子网掩码是255.255.255.0。现在通过安装在主机上的两块网卡将两个网段连接在一起。网络连接示意图如图1所示。
??一、主机设置
??以主机运行Windows 2000 Server为例,具体实现步骤如下。
??1. 安装、设置网卡
??安装好两块网卡,第一块网卡的IP地址设置为192.168.1.1;第二网卡的IP地址设置为192.168.2.1。子网掩码均设为255.255.255.0。
??2. 设置路由器
??(1)在“开始”菜单中依次选择“程序→管理工具→路由和远程访问”。
??(2)在弹出的“路由和远程访问”窗口左侧的“树”栏目中,右击“Server”项,在弹出的快捷菜单中选择“配置并启用路由和远程访问”项。
??(3)在弹出的“路由和远程访问服务器安装向导”中依次点击[下一步]按钮,当出现“公共设置”这一步时,你需要选择“网络路由器”一项,再单击[下一步]按钮。
??(4)在接下来的“路由的协议”中,你应该确定在“协议”列表框中有“TCP/IP”一项,若有此协议,可点击“是,所有可用的协议都在列表上”,然后点击[下一步]按钮继续。
??(5)接下来系统会提示:“您想通过请求拨号来访问远程网络吗?”,点选“否”,然后点击[下一步]按钮,路由器的配置工作就完成了。
??二、客户机设置
??如果想要实现192.168.1.0和192.168.2.0两个IP地址段的计算机之间的互访,在安装并设置好IP路由后,还必须对客户机做相应的设置。对于192.168.1.0IP地址段中的计算机,需将其默认网关设置为192.168.1.1;而对于192.168.2.0IP地址段中的计算机,则需将其默认网关设置为192.168.2.1。网络内的计算机都分别设置默认网关后,即可实现不同网段计算机之间的互访。
??三、注意事项
??1. TCP/IP、IPX/SPX协议支持路由功能,而NetBEUI协议不支持路由功能。
??2. Windows 2000 Server 能支持4块网卡之间的路由连接。
基于第二层交换的多网卡路由方式
??实现这种路由方式的前提是每一网段有一台主机需装两块网卡(这种方式适合于学校各机房之间分段),主机运行操作系统可以是Windows 98或Windows 2000,下面还是以建立两个网段为例,网段地址与上例同。网络连接示意图如图2所示。
?一、网段A主机设置
??安装好两块网卡,第一块网卡的IP地址设置为192.168.1.1,不设置网关;第二网卡的IP地址设置为192.168.2.254,网关设置为192.168.1.10。子网掩码均设为“255.255.255.0”。
??二、网段B主机设置
??安装好两块网卡,第一块网卡的IP地址设置为192.168.2.1,不设置网关;第二网卡的IP地址设置为192.168.1.10,网关设置为192.168.2.254。子网掩码均设为“255.255.255.0”。
??三、客户机的设置
??与上例的客户机的设置相同。
??四、说明
??用双网卡方式实现网络分段,实现的方式比较多,用户可以根据自己的情况加以选择。这种方式最大的优点是简单、实用、成本低,但在网络规模稍大时,这种方式就不易于管理了,而且会出现网络阻塞现象。
??IP转发方式
??用第一种方式实现网络互连,必须在每两个网段之间使用一台主机(两块网卡)才能将两个不同的网段进行连接。如果网络规模稍大、网段多,这种方式使网络维护和管理变得比较复杂,因此我们可以设一台主机做IP转发器,一个网段上的计算机要想访问另外网段上的计算机,通过该主机进行IP转发。
??IP转发是指某一网络接口接收的IP包转发至另一个网络接口的过程。这意味着执行IP转发的主机既非数据来源,也非接收方。这种主机本质上是与两个或更多的网络连接。该主机接收来自某一网络的IP包,分析IP包,以决定使用路由机制向哪个网络转发IP包,然后使用其他网络接口把IP包发送至目的地。下面以具体的实例来讲述如何实现IP转发。
一、网络结构及配置方法
??为了方便起见,这里设计了一个简单的网络模型(如图3所示)。假设网络分三个网段(202.100.204.152,子网掩码为为255.255.255.248,为服务器区子网;192.168.2.0为教师子网;192.168.3.0为学生机房子网)。另外,内网接通了DDN专线,路由器对内的以太口地址为202.100.204.158,IP转发主机的IP地址为192.168.2.254。教师子网和学生机房子网的计算机能够访问服务器区子网上的内部服务器,还能直接访问Internet。
??二、Windows 2000 Server主机和客户机的设置
??1. 给主机绑定三个IP地址,使主机能够访问上述三个网段。首先给主机的网络适配器设置IP为202.100.204.153,子网掩码为225.225.225.248,然后给它绑定两个虚拟IP,分别是192.168.2.1和192.168.3.1。完成这步操作后,三个子网上的计算机都能访问该主机,但子网间还不能进行IP通讯。
??2. 启动主机路由转发服务,在Windows 2000中启动Routing and Remote Access服务。
??3. 设置好主机路由后,还必须对客户机做相应的设置。对于192.168.2.0地址段中的计算机,需将其默认网关设置为192.168.2.1;而对于192.168.3.0地址段中的计算机,则需将其默认网关设置为192.168.3.1。网络内的计算机都分别设置默认网关后,即可实现不同网段计算机之间的互访。
??4. 如果教师子网和学生子网上的计算机需要访问Internet,还需给主机配置一个默认网关,使其指向路由器对内的以太口地址202.100.204.158。
??三、说明
??虽然使用IP转发方式可以很方便地实现网络之间的通讯,但它不能有效地防止网络风暴,同时主机也可能成为通讯瓶颈。
26))设定Win XP关机按钮
我的小侄子比较喜欢电脑,在我的电脑旁玩耍时经常动电脑的开关,把我好不容易打开的计算机给关闭。由此我想起了对计算机中的文件进行删除操作时,系统在删除前会出现一个确认对话框,以免我们执行误操作。在Windows XP默认的情况中,如果按下机箱上的开关,Windows XP会直接关机而不出现任何的提示对话框。能不能让计算机在关闭之前事先打个招呼,从而防止因小侄子的捣乱或我们的误操作引起系统关机呢?答案是肯定的,下面就具体介绍一下其操作步骤:
首先用鼠标在桌面的任意空白处单击右键,从快捷菜单中选“属性”命令打开“显示属性”对话框(如图1),然后再从其对话框中选取“屏幕保护程序”标签打开屏幕保护程序页面。然后单击该对话框中的“电源(O)…”按钮打开“电源选项属性”对话框(如图2),然后再从该对话框中选择“高级”标签打开“高级”标签页面(如图3),然后在其对话框中的“电源按钮”域中的“在按下计算机电源按钮时(E)”后的列表框中单击下拉列表箭头,然后选择该列表框的第2项(“问我要做什么”),单击该对话框中的“确定”或“应用”按钮即可。按下电源按钮试试……Windows XP会出现“关闭计算机”对话框(如图4)问你:“希望计算机做什么?”你可以选择“关机”,“待机”,“重新启动计算机”——OK,自己决定你的操作吧!
27))什么是kernel32内核文件
kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。
有时,Windows会弹出“非法页错误”的消息框,简单地说,这是因为某个或多个程序试图访问kernel32.dll所占用的内存保护区域,从而产生冲突而造成的。该错误一般由某个特定的程序引起,也可能是多个文件或程序。如果是由某个程序引起,那么可以尝试重新安装或升级该程序来解决问题,而如果由多个文件和程序引起,那就极有可能是因损坏的硬件设备驱动而引起的。
引起kernel32出错的主要元凶
1.Windows自身的临时交换文件被破坏;
2.文件分配表(FAT)出现错误;
3.用户名和密码列表错误;
4.装载了已经被破坏的或者是不正确版本的ker -nel32.dll文件;
5.注册表文件被损坏;
6.计算机硬件有问题,如CPU过热、超频使用、损坏的电源、地线波动、射频噪音、损坏的磁盘控制器;
7.BIOS中等待状态设置出现问题,或者RAM时钟有错误;
8.已经损坏或者没有正确、完整地安装软件;
9.临时文件夹不存在或者已经损坏;
10.损坏的控制面板文件(扩展名为cpl);
11.不正确或者已经损坏的硬件驱动程序;
12.没有正确安装打印机驱动程序;
13.Java设备错误;
14.已经被破坏的.LOG日志文件;
15.访问历史文件夹错误;
16.不合适的或损坏的动态链接库文件;
17.机器感染了病毒;
18.损坏的或者不正确版本的msinfo32.exe文件;
19.磁盘空间不足。
行之有效的解决方案
知道了哪些情况可能引起kernel32.dll文件出问题,那么就可以采取排除法一一解决。不过,在大多数情况下,我们建议你优先实施以下解决方案:
1.错误的内存模块:用“记事本”打开根目录下的config.sys,并在其中插入命令行:DEVICE=C:/WINDOWS/HIMEM.SYS /TESTMON,然后在电脑重启时观察屏幕所显示的HIMEM has detected unreliable memory at address xxxxxxxxx,这样就可以基本确定内存出了问题。不过,这可能需要重启几次来逐一发现。当然也可以下载、运行相应的系统诊断软件,特别是内存检测软件;
2.错误的显卡驱动程序:最新版本的显卡驱动程序可以保证显卡更加稳定、高效地运行,因此你要确保显卡驱动程序是最新版本;
3.超频CPU、总线速度:如果想要你的电脑运行得更加稳定、持久,建议不要将CPU和总线超频使用,恢复到默认值;
4.CPU或者电源风扇转速不正常或落满灰尘:风扇的不稳定可能导致CPU或电源温度过高,从而引起系统不稳定。CPU风扇可以用小刷子和吹风机处理,电源风扇则需要由专业人员清扫;
5.图形加速设置过高:右击“我的电脑”,选择“属性”命令,在“性能”选项卡中选择“图形”按钮,将硬件加速调低一个刻度,然后确定后重启,如果还有问题,再重复以上步骤继续往下调低一个刻度,直到正常为止;
6.动画光标、鼠标轨迹和活动桌面:这些花哨的设置都有可能引起kernel32.dll错误,尝试禁用这些功能,然后再一个一个激活这些功能,直到发现错误为止;
7.相当有效的解决方案:实践证明这个方法解决过许多ker- nel32.dll崩溃的问题。在C盘根目录下,用“记事本”创建或者直接修改系统配置文件config.sys,在其中加入如下3行语句:
FILES=65
BUFFERS=40
STACKS=64,512
如果错误仍然存在,可使用“记事本”打开系统文件夹下(如〈C:/Windows/〉)的system.ini文件,然后在[386Enh]节上加入如下两行语句:
; Increases default stack pages from 2 to 6
MinSPs=6
(MinSPs默认值是2,如需要,每次增加2直到解决问题为止,而第一句前面的“;”主要起注释作用。)
修改好后保存退出,重启使之生效。
8.删除临时交换文件:如果错误仍然存在,可以尝试删除 Windows的临时交换文件Win386.swp来解决问题,不过该文件无法在Windows下删除,你需要退到DOS实模式下进行,进入系统目录(如C盘〈Windows〉目录)删除Win386.swp,当系统重启后Windows会重新生成该文件。
9.密码列表损坏:如果系统密码列表文件被损坏也会引起错误,这时需要重建该文件,在“资源管理器”中选择〈Windows〉文件夹,然后按下F3调出查找对话框,在文件名中键入:*.pwl,然后进行查找,当符合条件的文件列出来后,将它们全部删除掉,接着重启,让系统重建密码列表文件。
10.病毒:如果系统显示的是MSIMN错误导致kernel32.dll产生无效页面错误,那么你的电脑很有可能被Happy 99蠕虫病毒所侵害,你需要使用杀毒软件对你的系统进行一下清除。
关于svchost.exe
概要
本文描述 Svchost.exe 及其功能。Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
更多信息
Svchost.exe 文件位于 %SystemRoot%/System32 文件夹中。启动时,Svchost.exe 将检查注册表的服务部分,以构建需要加载的服务的列表。Svchost.exe 的多个实例可同时运行。每个 Svchost.exe 会话可以包含一组服务,以便可以根据 Svchost.exe 的启动方式和位置的不同运行不同的服务。这样可以更好地进行控制,且更加便于调试。
Svchost.exe 组由以下注册表项标识: HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Svchost
此注册表项下的每个值都代表单独的 Svchost 组,并在您查看活动进程时作为单独的实例显示。每个值均为 REG_MULTI_SZ 值,并且包含在该 Svchost 组下面运行的服务。每个 Svchost 组都可以包含一个或多个从以下注册表项提取的服务名称,该注册表项的参数项包含一个 ServiceDLL 值: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/服务
要查看在 Svchost 中运行的服务的列表,请执行以下操作:
单击 Windows 任务栏上的开始,然后单击运行。
在打开框中,键入 CMD,然后按 ENTER 键。
键入 Tasklist /SVC,然后按 ENTER 键。
Tasklist 命令显示活动进程的列表。/SVC 命令开关显示每个进程中活动服务的列表。有关进程的详细信息,请键入以下命令,然后按 ENTER 键: Tasklist /FI "PID eq 进程 ID"(带引号)
以下的 Tasklist 命令输出示例显示正在运行的 Svchost.exe 的两个实例。 Image Name PID Services
========================================================================
System Process 0 N/A
System 8 N/A
Smss.exe 132 N/A
Csrss.exe 160 N/A
Winlogon.exe 180 N/A
Services.exe 208 AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
Eventlog,LanmanServer,LanmanWorkstation,
LmHosts,Messenger,PlugPlay,ProtectedStorage,
Seclogon,TrkWks,W32Time,Wmi
Lsass.exe 220 Netlogon,PolicyAgent,SamSs
Svchost.exe 404 RpcSs
Spoolsv.exe 452 Spooler
Cisvc.exe 544 Cisvc
Svchost.exe 556 EventSystem,Netman,NtmsSvc,RasMan,
SENS,TapiSrv
Regsvc.exe 580 RemoteRegistry
Mstask.exe 596 Schedule
Snmp.exe 660 SNMP
Winmgmt.exe 728 WinMgmt
Explorer.exe 812 N/A
Cmd.exe 1300 N/A
Tasklist.exe 1144 N/A
此示例的两种组合的注册表设置如下所示:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost:
Netsvcs:Reg_Multi_SZ:EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ:RpcSs
这篇文章中的信息适用于:
Microsoft Windows XP Professional
最近更新: 2003-7-23 (1.0)
关键字 kbinfo KB314056
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的或衍生性的损失或任何种类的损失,均不负任何责任,无论该等诉讼是合同之诉、疏忽或其它侵权行为之诉。
28))在注册表中
[HKEY_CURRENT_USER/keyboard layout/preload]
位置下就是输入法的顺序
调整后重新启动就OK
或者删除所有输入法,再重新安装
先安装的就在前面
我的电脑是英文和智能ABC顺序注册表为
REGEDIT4
[HKEY_CURRENT_USER/keyboard layout/preload]
[HKEY_CURRENT_USER/keyboard layout/preload/1]
@="00000409"
[HKEY_CURRENT_USER/keyboard layout/preload/2]
@="E0040804"
29))网吧IP自动修改程序
各位网吧业主和网管朋友一定经历过这样的情景。
就是每次GHOST盘后,都要给每台机器修改IP地址、网络标识、反恐CDKEY等……这是毫无技巧性又十分烦琐的工作,为大家做了个小脚本,希望能给大家派上用场。
它的功能如下:
自动更改IP地址、子网掩码、网络标识、系统登陆用户名、绝不重复的反恐CDKEY……
使用方法:
1 用winrar 3.0解开AutoIp.rar得到Money.vbs文件
2 用记事本打开money.vbs输入一些网吧信息。
Dim GateWay,IpMast,PcName,Money
GateWay = "192.168.0.254"
IpMask = "255.255.255.0"
PcName = "User"
看到了吗?GateWay是您的网关,IpMask是您的子网掩码,PcName是标识前缀!
3 以上操作完成后记得保存!
4 你可以执行这个脚本了。对,就是双击它!
5 正式使用:比如你的机器是12号,就在程序的文本栏里输入12就行。
然后程序会问你是否重新启动windows,点"是”就可以了。
*为了缓解网管的工作负担,我希望大家为这个脚本提供一些建议。
如果这个程序得到完善,对于大家都是有好处的。
29))网吧安全之---网吧管理十大漏洞嚗光
上网吧的人多了,管理也难了,于是网吧管理软件也来了。网管软件来了,于是网管就轻松了,每天打开电脑,启动软件,仿佛也就没事了。不过真是这样吗?也许只是轻点几下鼠标,就会找到几个漏洞,网管软件也就如玻璃般的碎掉。不信?
现在网吧的管理员大多使用诸如《美萍》之类的网吧管理软件来管理系统,同时还通过修改系统注册表的方法来禁止用户进行诸如删除文件、修改参数的危险操作。但在没有使用任何工具软件的前提下,以一些简单的方法就轻易突破了网吧管理软件的限制,原本被禁止的系统功能全部复活,不仅可以删除文件,还可以对系统注册表进行随意修改,整个系统可任意使唤。这次,我们将在网吧发现的十大致命漏洞全部曝光,以此警示每一位网吧管理员。
一、IE菜单漏洞
找回菜单 ---轻松
微软老大的补丁越打越多,这样,倒不是说比尔大叔的漏洞越来越多了,而是正应了那句“上有政策,下有对策”,网管软件在旧版本中的屏蔽IE中的文件和工具菜单的漏洞有一大箩筐,新版本的漏洞就不那么容易发现了,不过,请看……
探秘欲望度:★★★★★
探秘难度:★★★☆☆
探秘方法:这次我们需要再次用到快捷键,这次轮到“Win+D”了,刷新桌面,在《美萍》下的桌面实际是美萍指定的一个目录,而原桌面则被隐藏了,刷新是对原桌面的刷新,只要你不切换其他窗口,我的电脑等将会一直存在于桌面之上。你要做的是:打开我的电脑,然后再点工具栏中的“向上”,就可以把桌面以窗口的形式打开了(因为硬盘是被屏蔽掉的,当我们打开我的电脑时将什么都看不见),此时你要做的是新建一个文本文档,输入这么几行: REGEDIT4 [HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer] ″NoFavoritesMenu″=dword00000000 另存为任意文件名后缀为“.reg”的文件就可以了,之后你要做的就是导入它,等你再次开机时打开我的电脑就会看见那可爱的被网管软件屏蔽IE中的文件和工具菜单啦。
二、本地硬盘漏洞
给硬盘解锁 ---小菜
上网者最苦大仇深的莫过于不能使用硬盘了,不说那些很伤心的故事了,就说你要下载个什么“小小六号”过过侠客瘾,可你下载的文件放哪儿?下面这招解锁方法就这样出笼了。
探秘欲望度:★★★★★
探秘难度:★★★☆☆
探秘方法:见过报上的寻人启事吗?见过,不就是查找吗?丢的人不一定找得到,硬盘却是绝对可以找回来的。网吧老板们大都因为屏蔽了硬盘而对热键大开绿灯。其原因也是再简单不过的了,因为你在搜索栏内找不到本地硬盘,如果你选择我的电脑来进行“查找”快捷键是用“WIN+F”键啦,如“Command”等的文件时一定会被告知“找不到”。但其实不然,在搜索栏中输入“C:/”回车后,找到的可就是一大堆的东西了。 这样一来,又可以对本地硬盘进行访问了。当然还有一些人通过操作系统与IE高度结合的漏洞:打开IE浏览器后,在地址栏中直接输入“C:”后按“回车”键也可以察看硬盘中的资源,但这是一种是较古老的方法了。
这里的关键就是如何访问到本地硬盘,一旦进入了本地硬盘,对于一个熟悉Windows系统的用户来说,一台完整的电脑就在面前了。
三、程序运行漏洞
禁止运行 ---没门
用惯电脑的人都知道,在开始菜单里面有一个很重要的程序,那就是运行程序了,有了这个程序我们可以运行我们想用到的其它程序,而进一步实现电脑的操作。但是在网吧上网的时候,当然就没有那么好的事情了,网吧老板们总喜欢安装一些网管软件来阻止我们的使用,唉,真没办法,在这种情况下,我们就只能另找门路啦!于是,绕过马奇诺防线的方法出现了。
探秘欲望度:★★★☆☆
探秘难度:★★★☆☆
其实方法真的很简单哦,在我们所提到的其它漏洞方法中已经提到过了的,当然就是修改注册表了,只是其中的参数不同而已,当然改成运行的那个参数不就行了吗?这里我们用导入的方法进行修改。先打开一个记事本,在上面输入: REGEDIT4 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer] ″NoRun″=dword00000000 然后保存为“.reg”文件或保存为“.txt”文件后将扩展名改为“.reg”,再执行该文件即可。就这么简单搞定,方便快捷。
四、资源管理器漏洞
解放管理器--- 有戏
资源管理器,想必每一个电脑的使用者都应该知道吧,它的作用当然就是让我们更方便地操作电脑里的全部内容,但一些网吧老板却不提供这些方便给我们。不过要想在网吧操作自如,也不是太难!
探秘欲望度:★★★★☆
探秘难度:★★★☆☆
探秘方法:网吧的电脑什么都可以没有,当然就不能没有QQ和IE啦,好的,那我们就从IE下手吧。通过IE查看文件夹,这种方法非常直接有效。首先打开一个IE,拉出“查看”下拉菜单,选择“浏览器”中的“文件夹”选项。 这时,主窗口左侧出现资源管理器的窗口,内有我的电脑树形目录结构。这时用户可以根据自己的需要一层层地展开,寻找自己所需的东东了。
五、鼠标右键漏洞
挡住右键菜单 ---没戏
网页上有那么多漂亮的图片或者自己众里寻他千百度的资料,可兴冲冲地点击右键想把它保存下来,却发现右键根本不能用,你的感觉是不是七窍冒烟啦。也许正是这个原因才让人发现了这个漏洞。
探秘欲望度:★★★☆☆
探秘难度:★★☆☆☆
探秘方法:屏蔽鼠标右键菜单后,不能新建文件。此时网吧里常用《超级兔子》中的“安全限制全选”+“屏蔽本地硬盘”+《美萍》来实现的(网吧中最流行的管理软件一般是《美萍》,本系列如果没有特别说明都是在《美萍》下的操作),但这也是挡不住的!在网页中遇到禁用右键的情况我们有许多办法来解决,其实这些方法中有的也能移植到操作系统中的。就介绍最常用的也最有效的一种方法吧:在需要操作的文件或快捷图标上先点住右键不放,再点下左键,然后松开左键,最后松开右键,这时熟悉的右键菜单便呈现在眼前了。另外还有一招更普通,用鼠标左键单击选中文件,同时按住“Shift+F10”键,即可在资源管理器中显示出鼠标的右键菜单。
六.下载 漏洞
突破下载封锁 ---不难
网络诱惑何其多呀,比如精美图片、搞笑程序,哪个不想拉下来到本地的机子里瞅瞅呀,可在网管软件下,下载却不成,不用着急的,接着再看……
探秘欲望度:★★★★★
探秘方法:虽然标榜探秘难度为三星级,但只要能利用前面提到的访问硬盘的漏洞以及IE中的文件和工具菜单的漏洞,下面这招就只是水到渠成了。当能访问硬盘以后,通过“C:/windows/start menu”中的快捷方式,你可以自由地使用系统的“开始”菜单启动下载程序,或者直接进入下载软件目录启动下载程序,这样就可以不怕IE的下载限制而进行下载了。
如果需要用IE下载时,你只需要点击“工具”→“Internet选项”→“安全”→“默认级别”菜单。然后在需要下载的链接上单击鼠标右键,选择“目标另存为”保存即可。或者选择“安全”→“自定义级别”里选择“下载”,选择“启用”,“确定”后即可。
七、文件操作漏洞
删除文件---- 简单
这是一个注重隐私的时代,我的银行卡密码被别人知道了岂不是大大不妙,所以很多时候,在网吧上网,删除自己留在网吧电脑里的私人文件是很重要的,但网吧都安装了管理软件,所以很难进行这样的操作,别急,下面有一种方法让你办到,这样你就不会担心自己的隐私被别人发现啦。
探秘欲望度:★★★★☆
探秘难度:★★★☆☆
探秘方法:利用输入法漏洞,输入法漏洞不是中文Win2000的漏洞吗?没错!就是利用这个方法来打开硬盘进行操作哦。方法很简单:按“Ctrl+Shift”打开微软拼音输入法(如没有用其它输入法也可,方法类似),然后将光标插入会员卡号的文本输入框内,接着开始往里面输入任意一个拼音字母,然后就会出现拼音的状态条,在状态条上点击右键,或用键盘上的属性键,就会出现一个下拉菜单,选择其中的定义词组,就算系统限制右键,在这也不管用,然后选择文件菜单里面的保存,就会调出保存对话框,然后随便选择一个文件夹,点击右键,选择资源管理器,打开,一切就OK啦!现在你就可以删除自己的隐私文件了。如果鼠标被限定在那个锁定窗口内,就用键盘操作。此法百试百灵,而且现在没有防御的方法。
八、注册表漏洞
封锁注册表 ---很难
那些喜欢玩电脑的高手,总是希望能过修改注册表来实现一些深层次的应用,希望能如自己在家一样有那种自由冲浪的感觉,此情咱们也是强烈渴望的,那么如何可以突破网管软件的限制,成功修改注册表? 探秘欲望度:★★★★☆
探秘难度:★★★★☆
探秘方法:由于网管软件在许多功能上的禁止使用(包括禁止使用注册表编辑器)是通过对注册表的修改来达到目的的,因此我们只要将注册表修改回来,就能取消网关的限制。这里我们用导入的方法进行修改。先打开一个记事本,在上面输入 REGEDIT4 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System ″DisableRegistryTool″=dword00000000 这个与第三个漏洞中所输入的是类似的,同样地保存为“.reg”文件或保存为“.txt”文件后将扩展名改为“.reg”,再双击执行该文件即可。
九、禁用软件漏洞
恢复“WinZip”本色 ---好办
唉,想起来也气煞人也,有些网吧连“WinZip”这种压缩工具软件都不能使用,那辛辛苦苦从网上拖个需要解压的程序下来,岂不是又浪费银子又浪费时间。不过话虽如此,网吧也有他们的难处,有些不守规矩的网民就喜欢用点这些软件,来搞搞破坏什么的,用它们来改改注册表什么的,而且是乱改,不像我,改注册表只是为了使“WinZip”能使用,嗯,好的,下面这种方法就是如何通过改注册表来使用“WinZip”。
探秘欲望度:★★★☆☆
探秘难度:★★★★☆
探秘方法:我们这次要做的当然还是利用IE与系统结合的漏洞,在IE地址栏中用中文输入“桌面”回车。
如此一来我们熟悉的桌面又以窗口的形式打开啦,现在我们要做的和上面要做的一样:新建一个文本文档,然后输入这么一行: REGEDIT4 HKEY_LOCAL_MACHINE/Software/Mpsoft/Smenu ″unzipped″=dword00000000 然后保存为.reg文件或保存为.txt文件后,将扩展名改为.reg,在执行该文件就一切搞定。
十、定制IE浏览器漏洞
定制IE浏览器--- 随心
在网吧上网,总喜欢个性一点,比如开启新的IE就会自动连接到自己最喜欢的网站上,或者关掉网页的“声音”和“动画”,让浏览更加流畅。可是这个必须到“工具”栏里“Interner选项”里设置,而这个选项往往是被屏蔽了的。其实把选项变回来也是很简单的。
探秘欲望度:★★★☆☆
探秘难度:★★★☆☆
探秘方法:在前面我们已经能够访问硬盘了,所以此时只需要到系统“System”目录下将名为“Inetcpl”的文件扩展名改为“.cpl”,这时“工具”栏里“Internet选项”便出来了。非常简单哦。这样,我们就可以设置我们喜欢的IE了
30))网吧卡机!!
只要与网有关,就会卡,上网,看服务器上的电影,连网游戏,
用金山,瑞星,北信源等查,无毒
卡机发生情况不一定,有时是几小时都不卡,有时是10分钟之内就卡个一两次,就象假
死一样
还有卡机不是所有的机器同时卡的,是一批一批卡!
就象是先1,2,3卡再4,5,6卡,再7,8,9卡
系统做过几次都一样,
机器1。为c3 1G GA6vml主版 530网卡
机器2。为c4 1。7G 8ire主板 GF400显卡 530网卡
路由+交换机上网 万象管理
紧急求助!!!!!!!!!!!!!!!!
把服务器的工作组和客户机的工作组分开
网卡芯片过热也会引起卡机和断网哟
我主机上的双网卡就出现过这样的问题
关了冷却几分钟就好了
应该是网络和主机不是单机,这是网络风暴!!!!
我想也是网络风暴,但在注册表里禁止了也没用,
还有刚开的机器也会有这样的问题!
是98系统的缺陷还是什么,想了很多办法也没解决,2000就没问题了!
可2000不能用管理软件关机,晕哦!!!
叫你把2000的工作组和98的工作组分开,你知道不?
没必要那么麻烦 把局域网所有的2K XP 2003机器 在 控制面板-管理工具-服务 把
Computer Browser 这个服务从属性里面禁止就行了 记住要把所有的2K XP 2003机
器的这个服务都禁止
你的意思说..是因为2k xp 这些系统的这个Computer Browser 服务导致网吧机器卡的
缘故??
我以前遇见的问题就是..我装了一个2k的机器..并且把这个机器加入到98的组里面..之
后发现玩传奇游戏就卡..什么都会卡一下....而我把2k的机器关闭..问题解决!
我网吧也有这种情况,改了工作组有好转.
Computer Browser 可能会使同一工作组下的机器卡机 换工作组其实就是相当于禁止
了他这个服务 那我们为什么不找简单 直接的办法呢?还有一点记得把DHCP服务也一
块禁止了!
31))[原创]网吧网管安装维护经验分享, 有什么不好请提意见!
请大家有什么好的意见提一下,这只是我个人经验!不过现在我一个人维护这点机器也
可以了。当然了还要不断的改进才行……………………
网吧网管安装维护经验分享
本人是一家小型网吧的网管,96台客户机,3台服务器,以我网吧为例(一人维护
)谈一些经验和心得。
现在网吧的机器分2种类型:1、旧机器加新机器(混合型)2、全新机器。大多数
网吧都是混合型,新老机器搭配使用,这样就给网管的维护加大可难度。例如:(sis
810 815 845 BX主要是主板的类型不同)。
做过网管或对电脑有一定了解的人都知道GHOST。在网吧这个行业中如果不知道什么是
GHOST,我想这个网管肯定是来混的!GHOST硬盘克隆(把一个硬盘上的系统复制到另一
个相同的硬盘上,机器硬件相同,就可直接使用),GHOST可以大大节省网管的系统安
装时间。例如:本网吧96台客户机,主板、硬件都相同,先安装任意一台机器,用时3
小时全部设置好。把硬盘(称母盘)拿下来,再用母盘GHOST到其他硬盘上, 1∶2∶4
∶8∶16∶32∶64,使用6次共3小时(20G一次GHOST花费30分钟),再加上拆机箱,插
数据线……调试完毕一共用时6小时(3人合作),如果一台一台安装的话```````
网络GHOST 介绍 帮助文档 下载
服务器分代理服务器(共享上网)、电影服务器、收费服务器
代理服务器:P4 1.6 DDR512M 网卡3COM×2其他一般,硬件要求稳定。当然配置越
高越好,这个也要看你的条件。有的说用BBI,linux这样386、486也可以做代理服务器
来实现共享上网,在节约资源和减少成本可以使用这种方法。本人试过,也看别人做过
,缺点如下:设置和提供各种服务时很不方便。一旦发生问题也很难解决,需要有这方
面经验的人来解决。网速不稳定………本人使用WIN2000 SERVER,利用NAT功能(端口
映射)共享上网。WIN2K漏洞是有很多的,不过调试设置很方便,也很稳定,一般一个
月重起一次就好了。
以下是我在安装WIN2K的一些安全设置:
1、 打好WIN2K补丁,SP3 SP4。
2、 系统管理员ADMIN改名,密码16位以上由英文、数字组成,最好再加上符号。
3、 不用的服务不安装。(IIS、FTP、SQL……)
4、 安装防火墙,简单一点,天网放火墙。注意:防火墙设置一定要设置好,否则等于
没装。
5、 安装杀毒软件,实时检控。
6、 只安装TCP/IP协议别的一概不用安装。
7、 最好使用NTFS格式,设置基本的安全策略。
8、 安装还原精灵。
9、 系统GHOST刻光盘。
10、屏幕保护加密码,防止无关人员使用电脑。这样会让主机更稳定安全!
如果有需要还可以安装CS服务器,WEB、FTP和传奇服务器。让网吧提供更多的服务
来吸引顾客上网。(注:不建议在代理服务器上安装各类服务器,可以使用NAT映射到
专门的服务器上,这样就不会影响到代理服务器的稳定性。)本网吧在代理服务器上安
装了CS1.3和CS1.5两个服务器,运行还算稳定。只要作弊的人不要太多,2个CS服务器
运行很正常。如果作弊的人太多,WIN2K 会自动重启CS服务器,不影响其他客户机正常
上网。经常作弊的人可以在防火墙上封其IP,使其不能进入。(CS服务器内封IP只是暂
时的,CS服务器重启后其IP可以再次进入。)
电影服务器:P41.6 DDR256M 40+2×80+2×120 3COM 现在大多数的网吧都提供
电影服务了。我还用它兼做放最新游戏或玩的人不多的游戏。让他们要玩的自己下载一
下,上传文件夹(打单机版攻略)游戏时的记录文档,可上传到服务器中下次来玩可以
随便到哪台机就可以下载到本机上,继续攻关。客户机安装了还原软件,重启后会全部
还原。顾客软件包(放一些有的顾客需要的软件文档,本网吧禁止下载)。MP3流行音
乐总共15G,外挂,保证能使用的最新各类免费外挂和收费外挂,会员备份,备份网吧
会员资料NTFS设定权限,限连接数。
为了方便一些对电脑不了解的顾客看电影,安装美萍VOD在线点播系统,实现在网页
中在线看电影。顾客只要点击客户机上的在线影院快捷方式就可以选择喜欢看的电影
了。在线VOD可通过端口映射实现外面的IP看内部的电影,也可用防火墙来控制对外进
入看电影的IP。为了方便电影交流安装了SERV―U FTP服务器,利用NAT端口映射可实现
对外交流。(注:此端口一定要设置为21端口。)
电影服务器也使用WIN2K SER。安装可以借鉴代理服务器的一些安全设置,主要是在设
置共享时,用户名的权限一定要弄清,否则不要让下面的机器随意删除服务器上的文
件。简单一点,设置一用户名,客户机全部用此用户名登陆就可很方便的设置权限。
电影服务器上的电影保存一部分经典的,尽量留空间可放新电影或高清晰电影。本
网吧分配如下:
120G=连续剧+会员备份(限用户和连接数)
120G=卡通连续剧(经典7OG)+游戏和软件
160G=经典电影院+MP3+MTV+上传文件夹+游戏更新包+外挂+顾客软件包
……由于空间有限大部分电影都是RM格式的,现正在转换成RMVB高清晰电影。
收费服务器是网吧的关键,一旦会员资料丢失后果非常严重。系统是WIN2000专业版
,810 256M 8139(最好用3COM)会员资料备份每天备份2次,上午、下午各一次,分别
在本机硬盘上和电影服务器上做备份。每星期把会员资料刻到光盘上,光盘备份一个月
前的资料。也要做好系统安全防护,以防有人利用软件使收费服务器死机,不能正常营
业。GHOST也刻好盘,可以以最快的时间修复收费服务器。最低限度的减少损失。最好
禁止上网,限局域网使用,只单纯的用来收费,最多播放点音乐来增加网吧内的气氛。
(收费服务器上增加UPS1000W,也防突然停电,可延长30分钟的时间用来结帐)
本网吧在电影服务器上增加刻录机和扫描仪,收费服务器上增加可打印机,用来打
印每天的报表。1、可在网吧的日常运行中起到作用。2、可增加顾客的需求和增加人
气。3、可为网吧增加收入。
网吧设计安装好后,今后最主要的任务就是游戏的更新。游戏分硬盘游戏CS、网络游戏
(要上网的)、休闲游戏(小游戏)和棋牌类游戏(联众),基本上只要更新网络游戏
和棋牌类游戏就可以了。棋牌类游戏可一个月更新一次。网络游戏如果没有重大更新只
要小的更新,那么可让客户自行更新。到月底统一一起更新。
几个月前下载到网络还原精灵使用在更新游戏时减轻了我很多的劳动力。只要把机
器全部重新启动,开好,再用服务器把要更新的文件统一发送到客户机相应的目录中,
然后转存就好了。(原来是要一台一台更新,就说一台从开机到关机只要5分钟,那么
96台机……)
网络还原精灵介绍 网络还原精灵50用户下载 情狼破解
其实更新游戏还有好多种方法。例如:收费系统万象,就有远程运行功能。只要运
用的好,再加上WINRAR的功能,可以大幅度的减轻更新游戏时的烦琐。例如:要更新一
个游戏,可在服务器上先把这个游戏的更新包压缩成WINRAR的自解压缩包,设置好解压
路径。(服务器名MOVIE,压缩包名MU.exe)放到GAME的共享文件夹中,然后在收费服务
器上选择要更新的机器,可多选,把机子都打开,利用万象的CTRL+C功能远程执行命
令。(//movie/game/mu.exe)就这样就全部更新好了。
以上更新方法还有一个缺陷,那就是要安装走注册表的游戏不可以,当然有人也可
先安装好一台机,再到注册表中把这个游戏的注册文件脱离出来,不过很麻烦,我就是
会也不想去做,晕的。还好我找到了一个软件!AISNOPSHOT(能够监视软件的安装,并
自动分析注册表和系统文件的改变,自动生成一个软件安装包。省时省力,完全摆脱
WINRAR和注册表监视软件,还可以实现其他许多功能。)通俗一点讲:安装好这个软件
后,他就会扫描一遍系统,包括注册表,扫好过后,可安装各种游戏了,当你全部安装
好后,他就会再扫描一遍系统,然后对比,把多出来的文件(包括注册表)生成一个安
装包EXE文件,在相同的系统上安装一下就可全部安装好了!)这样就可把在更新游戏
时很多烦琐的步骤简化到一步到位了。已测试过,很不错,只有一点小小的缺陷,那就
是你安装的游戏和软件越多他生成的安装包也越大。 AISNOPSHOT下载
我一个人维护本网吧100台机,在更新游戏时是很偷懒的。例如有的游戏玩的人少,
我就会把客户机上的删除,只放在电影服务器中,要玩的自己下载到硬盘上玩。以后更
新只要更新电影服务器上的就好了。(1、这个游戏玩的人不多。2、客户机硬盘不大只
有20G。3、下载到本机1G=2、3分钟的速度顾客还可以谅解。4、网吧只有我一个人维
护。)当然,当有新的网络游戏出现时,我也用这个方法。等玩的人多了我就会在每台
机器上安装了。
以上是我在网吧做了一年网管的一点经验和心得。当然也有很多不足的地方,请大
家多提点好的意见,为网吧这个行业出点力…………
我管200台,也是一个人!
个人认为,网吧维护只要做到以下三点:
1。系统稳定,为第一要考虑的!
2。更新自动化。类似瑞星等杀毒软件,一有新东西的自动更新!
3。还原,推荐还原卡,冰山!
rar没有用到家呀,其实RAR什么都可以做的,注册表小KS了,还可以自动删文件,自动
清理机器。。。。自己看一吧
看的出来,楼主的技术还是不错D,我管若干家网吧,700多台机器~
你这种技术窝在一家网吧可惜了,浪费了技术和时间,绝大部分时间估计你都在玩游
戏。。。呵呵
还不如学我呢,自己技术强,再把当地网吧市场的人际面混广点,多做几家大型上规模
的技术顾问或技术支持,一能挣上银子(我现在一个月4000,还凑合),二能提高自己
的知名度,三,能养成良好的工作习惯和工作效率以及人际关系和管理能力的培养~~一
点点小建议~
32))网管人员必备的常用命令
如果你玩过路由器的话,就知道路由器里面那些很好玩的命令缩写。
例如,"sh int" 的意思是 "show interface"。
现在 Windows 2000 也有了类似界面的工具,叫做 netsh。
我们在 Windows 2000 的 cmd shell 下,输入 netsh
就出来:netsh> 提示符,
输入 int ip 就显示:
interface ip>
然后输入 dump ,我们就可以看到当前系统的网络配置:
# ----------------------------------
# Interface IP Configuration
# ----------------------------------
pushd interface ip
# Interface IP Configuration for "Local Area Connection"
set address name = "Local Area Connection" source = static addr = 192.168.1.168
mask = 255.255.255.0
add address name = "Local Area Connection" addr = 192.1.1.111 mask = 255.255.255.0
set address name = "Local Area Connection" gateway = 192.168.1.100 gwmetric = 1
set dns name = "Local Area Connection" source = static addr = 202.96.209.5
set wins name = "Local Area Connection" source = static addr = none
popd
# End of interface IP configuration
上面介绍的是通过交互方式操作的一种办法。
我们可以直接输入命令:
"netsh interface ip add address "Local Area Connection" 10.0.0.2
255.0.0.0"
来添加 IP 地址。
如果不知道语法,不要紧的哦!
在提示符下,输入 ? 就可以找到答案了。方便不方便啊?
原来微软的东西里面,也有那么一些让人喜欢的玩意儿。可惜,之至者甚少啊!
Windows网络命令行程序
这部分包括:
使用 ipconfig /all 查看配置
使用 ipconfig /renew 刷新配置
使用 ipconfig 管理 DNS 和 DHCP 类别 ID
使用 Ping 测试连接
使用 Arp 解决硬件地址问题
使用 nbtstat 解决 NetBIOS 名称问题
使用 netstat 显示连接统计
使用 tracert 跟踪网络连接
使用 pathping 测试路由器
使用 ipconfig /all 查看配置
发现和解决 TCP/IP 网络问题时,先检查出现问题的计算机上的 TCP/IP 配置。可以
使用 ipconfig 命令获得主机配置信息,包括 IP 地址、子网掩码和默认网关。
注意
对于 Windows 95 和 Windows 98 的客户机,请使用 winipcfg 命令而不是 ipconfi
g 命令。
使用带 /all 选项的 ipconfig 命令时,将给出所有接口的详细配置报告,包括任何
已配置的串行端口。使用 ipconfig /all,可以将命令输出重定向到某个文件,并将
输出粘贴到其他文档中。也可以用该输出确认网络上每台计算机的 TCP/IP 配置,或
者进一步调查 TCP/IP 网络问题。
例如,如果计算机配置的 IP 地址与现有的 IP 地址重复,则子网掩码显示为 0.0.0
.0。
下面的范例是 ipconfig /all 命令输出,该计算机配置成使用 DHCP 服务器动态配置
TCP/IP,并使用 WINS 和 DNS 服务器解析名称。
Windows 2000 IP Configuration
Node Type.. . . . . . . . : Hybrid
IP Routing Enabled.. . . . : No
WINS Proxy Enabled.. . . . : No
Ethernet adapter Local Area Connection:
Host Name.. . . . . . . . : corp1.microsoft.com
DNS Servers . . . . . . . : 10.1.0.200
Description. . . . . . . : 3Com 3C90x Ethernet Adapter
Physical Address. . . . . : 00-60-08-3E-46-07
DHCP Enabled.. . . . . . . : Yes
Autoconfiguration Enabled.: Yes
IP Address. . . . . . . . . : 192.168.0.112
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . : 192.168.0.1
DHCP Server. . . . . . . . : 10.1.0.50
Primary WINS Server. . . . : 10.1.0.101
Secondary WINS Server. . . : 10.1.0.102
Lease Obtained.. . . . . . : Wednesday, September 02, 1998 10:32:13 AM
Lease Expires.. . . . . . : Friday, September 18, 1998 10:32:13 AM
如果 TCP/IP 配置没有问题,下一步测试能够连接到 TCP/IP 网络上的其他主机。
使用 ipconfig /renew 刷新配置
解决 TCP/IP 网络问题时,先检查遇到问题的计算机上的 TCP/IP 配置。如果计算机
启用 DHCP 并使用 DHCP 服务器获得配置,请使用 ipconfig /renew 命令开始刷新租
约。
使用 ipconfig /renew 时,使用 DHCP 的计算机上的所有网卡(除了那些手动配置的
适配器)都尽量连接到 DHCP 服务器,更新现有配置或者获得新配置。
也可以使用带 /release 选项的 ipconfig 命令立即释放主机的当前 DHCP 配置。有
关 DHCP 和租用过程的详细信息,请参阅客户机如何获得配置。
注意
对于启用 DHCP 的 Windows 95 和 Windows 98 客户,请使用 winipcfg 命令的 rel
ease 和 renew 选项,而不是 ipconfig /release 和 ipconfig /renew 命令,手动
释放或更新客户的 IP 配置租约。
使用 ipconfig 管理 DNS 和 DHCP 类别 ID
也可以使用 ipconfig 命令:
显示或重置 DNS 缓存。
详细信息,请参阅使用 ipconfig 查看或重置客户解析程序缓存。
刷新已注册的 DNS 名称。
详细信息,请参阅使用 ipconfig 更新 DNS 客户注册。
显示适配器的 DHCP 类别 ID。
详细信息,请参阅显示客户机上的 DHCP 类别 ID 信息。
设置适配器的 DHCP 类别 ID。
详细信息,请参阅设置客户机上的 DHCP 类别 ID 信息。
使用 Ping 测试连接
Ping 命令有助于验证 IP 级的连通性。发现和解决问题时,可以使用 Ping 向目标主
机名或 IP 地址发送 ICMP 回应请求。需要验证主机能否连接到 TCP/IP 网络和网络
资源时,请使用 Ping。也可以使用 Ping 隔离网络硬件问题和不兼容配置。
通常最好先用 Ping 命令验证本地计算机和网络主机之间的路由是否存在,以及要连
接的网络主机的 IP 地址。Ping 目标主机的 IP 地址看它是否响应,如下:
ping IP_address
使用 Ping 时应该执行以下步骤:
Ping 环回地址验证是否在本地计算机上安装 TCP/IP 以及配置是否正确。
ping 127.0.0.1
Ping 本地计算机的 IP 地址验证是否正确地添加到网络。
ping IP_address_of_local_host
Ping 默认网关的 IP 地址验证默认网关是否运行以及能否与本地网络上的本地主机通
讯。
ping IP_address_of_default_gateway
Ping 远程主机的 IP 地址验证能否通过路由器通讯。
ping IP_address_of_remote_host
Ping 命令用 Windows 套接字样式的名称解析将计算机名解析成 IP 地址,所以如果
用地址成功,但是用名称 Ping 失败,则问题出在地址或名称解析上,而不是网络连
通性的问题。详细信息,请参阅使用 Arp 解决硬件地址问题。
如果在任何点上都无法成功地使用 Ping,请确认:
安装和配置 TCP/IP 之后重新启动计算机。
“Internet 协议 (TCP/IP) 属性”对话框“常规”选项卡上的本地计算机的 IP 地址
有效而且正确。
启用 IP 路由,并且路由器之间的链路是可用的。
您可以使用 Ping 命令的不同选项来指定要使用的数据包大小、要发送多少数据包、
是否记录用过的路由、要使用的生存时间 (TTL) 值以及是否设置“不分段”标志。可
以键入 ping -? 查看这些选项。
下例说明如何向 IP 地址 172.16.48.10 发送两个 Ping,每个都是 1,450 字节:
C:>ping -n 2 -l 1450 172.16.48.10
Pinging 172.16.48.10 with 1450 bytes of data:
Reply from 172.16.48.10:bytes=1450 time<10ms TTL=32
Reply from 172.16.48.10:bytes=1450 time<10ms TTL=32
Ping statistics for 157.59.8.1:
Packets:Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate roundtrip times in milli-seconds:
Minimum = 0ms, Maximum = 10ms, Average = 2ms
默认情况下,在显示“请求超时”之前,Ping 等待 1,000 毫秒(1 秒)的时间让每个响应返回。如果通过 Ping 探测的远程系统经过长时间延迟的链路,如卫星链路,则响应可能会花更长的时间才能返回。可以使用 -w (等待)选项指定更长时间的超时。
使用 Arp 解决硬件地址问题
“地址解析协议 (ARP)”允许主机查找同一物理网络上的主机的媒体访问控制地址,如果给出后者的 IP 地址。为使 ARP 更加有效,每个计算机缓存 IP 到媒体访问控制地址映射消除重复的 ARP 广播请求。
可以使用 arp 命令查看和修改本地计算机上的 ARP 表项。arp 命令对于查看 ARP 缓存和解决地址解析问题非常有用。
详细信息,请参阅查看“地址解析协议 (ARP)”缓存和添加静态 ARP 缓存项目。
使用 nbtstat 解决 NetBIOS 名称问题
TCP/IP 上的 NetBIOS (NetBT) 将 NetBIOS 名称解析成 IP 地址。TCP/IP 为 NetBIOS 名称解析提供了很多选项,包括本地缓存搜索、WINS 服务器查询、广播、DNS 服务器查询以及 Lmhosts 和主机文件搜索。
Nbtstat 是解决 NetBIOS 名称解析问题的有用工具。可以使用nbtstat 命令删除或更正预加载的项目:
nbtstat -n 显示由服务器或重定向器之类的程序在系统上本地注册的名称。
nbtstat -c 显示 NetBIOS 名称缓存,包含其他计算机的名称对地址映射。
nbtstat -R 清除名称缓存,然后从 Lmhosts 文件重新加载。
nbtstat -RR 释放在 WINS 服务器上注册的 NetBIOS 名称,然后刷新它们的注册。
nbtstat -a name 对 name 指定的计算机执行 NetBIOS 适配器状态命令。适配器状态命令将返回计算机的本地 NetBIOS 名称表,以及适配器的媒体访问控制地址。
nbtstat -S 列出当前的 NetBIOS 会话及其状态(包括统计),如下例所示:
NetBIOS connection table
Local name State In/out Remote Host Input Output
------------------------------------------------------------------
CORP1 <00> Connected Out CORPSUP1<20> 6MB 5MB
CORP1 <00> Connected Out CORPPRINT<20> 108KB 116KB
CORP1 <00> Connected Out CORPSRC1<20> 299KB 19KB
CORP1 <00> Connected Out CORPEMAIL1<20> 324KB 19KB
CORP1 <03> Listening
使用 netstat 显示连接统计
可以使用 netstat 命令显示协议统计信息和当前的 TCP/IP 连接。netstat -a 命令将显示所有连接,而 netstat -r 显示路由表和活动连接。netstat -e 命令将显示Ethernet 统计信息,而 netstat -s 显示每个协议的统计信息。如果使用 netstat -n,则不能将地址和端口号转换成名称。下面是 netstat 的输出示例:
C:>netstat -e
Interface Statistics
Received Sent
Bytes 3995837940 47224622
Unicast packets 120099 131015
Non-unicast packets 7579544 3823
Discards 0 0
Errors 0 0
Unknown protocols 363054211
C:>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP CORP1:1572 172.16.48.10:nbsession ESTABLISHED
TCP CORP1:1589 172.16.48.10:nbsession ESTABLISHED
TCP CORP1:1606 172.16.105.245:nbsession ESTABLISHED
TCP CORP1:1632 172.16.48.213:nbsession ESTABLISHED
TCP CORP1:1659 172.16.48.169:nbsession ESTABLISHED
TCP CORP1:1714 172.16.48.203:nbsession ESTABLISHED
TCP CORP1:1719 172.16.48.36:nbsession ESTABLISHED
TCP CORP1:1241 172.16.48.101:nbsession ESTABLISHED
UDP CORP1:1025 *:*
UDP CORP1:snmp *:*
UDP CORP1:nbname *:*
UDP CORP1:nbdatagram *:*
UDP CORP1:nbname *:*
UDP CORP1:nbdatagram *:*
C:>netstat -s
IP Statistics
Packets Received = 5378528
Received Header Errors = 738854
Received Address Errors = 23150
Datagrams Forwarded = 0
Unknown Protocols Received = 0
Received Packets Discarded = 0
Received Packets Delivered = 4616524
Output Requests = 132702
Routing Discards = 157
Discarded Output Packets = 0
Output Packet No Route = 0
Reassembly Required = 0
Reassembly Successful = 0
Reassembly Failures =
Datagrams Successfully Fragmented = 0
Datagrams Failing Fragmentation = 0
Fragments Created = 0
ICMP Statistics
Received Sent
Messages 693 4
Errors 0 0
Destination Unreachable 685 0
Time Exceeded 0 0
Parameter Problems 0 0
Source Quenches 0 0
Redirects 0 0
Echoes 4 0
Echo Replies 0 4
Timestamps 0 0
Timestamp Replies 0 0
Address Masks 0 0
Address Mask Replies 0 0
TCP Statistics
Active Opens = 597
Passive Opens = 135
Failed Connection Attempts = 107
Reset Connections = 91
Current Connections = 8
Segments Received = 106770
Segments Sent = 118431
Segments Retransmitted = 461
UDP Statistics
Datagrams Received = 4157136
No Ports = 351928
Receive Errors = 2
Datagrams Sent = 13809
使用 tracert 跟踪网络连接
Tracert(跟踪路由)是路由跟踪实用程序,用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。
Tracert 工作原理
通过向目标发送不同 IP 生存时间 (TTL) 值的“Internet 控制消息协议 (ICMP)”回应数据包,Tracert 诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1。数据包上的 TTL 减为 0 时,路由器应该将“ICMP 已超时”的消息发回源系统。
Tracert 先发送 TTL 为 1 的回应数据包,并在随后的每次发送过程将 TTL 递增 1,直到目标响应或 TTL 达到最大值,从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。某些路由器不经询问直接丢弃 TTL 过期的数据包,这在Tracert 实用程序中看不到。
Tracert 命令按顺序打印出返回“ICMP 已超时”消息的路径中的近端路由器接口列表。如果使用 -d 选项,则 Tracert 实用程序不在每个 IP 地址上查询 DNS。
在下例中,数据包必须通过两个路由器(10.0.0.1 和 192.168.0.1)才能到达主机
172.16.0.99。主机的默认网关是 10.0.0.1,192.168.0.0 网络上的路由器的 IP 地
址是 192.168.0.1。
C:>tracert 172.16.0.99 -d
Tracing r
oute to 172.16.0.99 over a maximum of 30 hops
1 2s 3s 2s 10,0.0,1
2 75 ms 83 ms 88 ms 192.168.0.1
3 73 ms 79 ms 93 ms 172.16.0.99
Trace complete.
用 tracert 解决问题
可以使用 tracert 命令确定数据包在网络上的停止位置。下例中,默认网关确定 19
2.168.10.99 主机没有有效路径。这可能是路由器配置的问题,或者是 192.168.10.
0 网络不存在(错误的 IP 地址)。
C:>tracert 192.168.10.99
Tracing route to 192.168.10.99 over a maximum of 30 hops
1 10.0.0.1 reportsestination net unreachable.
Trace complete.
Tracert 实用程序对于解决大网络问题非常有用,此时可以采取几条路径到达同一个
点。
Tracert 命令行选项
Tracert 命令支持多种选项,如下表所示。
tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name
选项 描述
-d 指定不将 IP 地址解析到主机名称。
-h maximum_hops 指定跃点数以跟踪到称为 target_name 的主机的路由。
-j host-list 指定 Tracert 实用程序数据包所采用路径中的路由器接口列表。
-w timeout 等待 timeout 为每次回复所指定的毫秒数。
target_name 目标主机的名称或 IP 地址。
详细信息,请参阅使用 tracert 命令跟踪路径。
使用 pathping 测试路由器
pathping 命令是一个路由跟踪工具,它将 ping 和 tracert 命令的功能和这两个工具所不提供的其他信息结合起来。pathping 命令在一段时间内将数据包发送到到达最终目标的路径上的每个路由器,然后基于数据包的计算机结果从每个跃点返回。由于命令显示数据包在任何给定路由器或链接上丢失的程度,因此可以很容易地确定可能导致网络问题的路由器或链接。某些选项是可用的,如下表所示。
选项 名称 功能
-n Hostnames 不将地址解析成主机名。
-h Maximum hops 搜索目标的最大跃点数。
-g Host-list 沿着路由列表释放源路由。
-p Period 在 ping 之间等待的毫秒数。
-q Num_queries 每个跃点的查询数。
-w Time-out 为每次回复所等待的毫秒数。
-T Layer 2 tag 将第 2 层优先级标记(例如,对于 IEEE 802.1p)连接到数据包并将它发送到路径中的每个网络设备。这有助于标识没有正确配置第 2 层优先级的网络设备。-T 开关用于测试服务质量 (QoS) 连通性。
-R RSVP isbase Che检查以确定路径中的每个路由器是否支持“资源保留协议 (RSVP)”,此协议允许主机为数据流保留一定量的带宽。 -R 开关用于测试服务质量 (QoS) 连通性。
默认的跃点数是 30,并且超时前的默认等待时间是 3 秒。默认时间是 250 毫秒,并且沿着路径对每个路由器进行查询的次数是 100。
以下是典型的 pathping 报告。跃点列表后所编辑的统计信息表明在每个独立路由器上数据包丢失的情况。
D:> pathping -n msw
Tracing route to msw [7.54.1.196]
over a maximum of 30 hops:
0 172.16.87.35
1 172.16.87.218
2 192.68.52.1
3 192.68.80.1
4 7.54.247.14
5 7.54.1.196
Computing statistics for 125 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 172.16.87.35
0/ 100 = 0% |
1 41ms 0/ 100 = 0% 0/ 100 = 0% 172.16.87.218
13/ 100 = 13% |
2 22ms 16/ 100 = 16% 3/ 100 = 3% 192.68.52.1
0/ 100 = 0% |
3 24ms 13/ 100 = 13% 0/ 100 = 0% 192.68.80.1
0/ 100 = 0% |
4 21ms 14/ 100 = 14% 1/ 100 = 1% 10.54.247.14
0/ 100 = 0% |
5 24ms 13/ 100 = 13% 0/ 100 = 0% 10.54.1.196
Trace complete.
当运行 pathping 时,在测试问题时首先查看路由的结果。此路径与 tracert 命令所显示的路径相同。然后 pathping 命令对下一个 125 毫秒显示忙消息(此时间根据跃点计数变化)。在此期间,pathping 从以前列出的所有路由器和它们之间的链接之间收集信息。在此期间结束时,它显示测试结果。
最右边的两栏 This Node/Link Lost/Sent=Pct 和 Address 包含的信息最有用。172.16.87.218(跃点 1)和 192.68.52.1(跃点 2)丢失 13% 的数据包。 所有其他链接工作正常。在跃点 2 和 4 中的路由器也丢失寻址到它们的数据包(如 This Node /Link 栏中所示),但是该丢失不会影响转发的路径。
对链接显示的丢失率(在最右边的栏中标记为 |)表明沿路径转发丢失的数据包。该丢失表明链接阻塞。对路由器显示的丢失率(通过最右边栏中的 IP 地址显示)表明这些路由器的 CPU 可能超负荷运行。这些阻塞的路由器可能也是端对端问题的一个因素,尤其是在软件路由器转发数据包时。
扫一扫
1930
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
