Windows 2000—網絡更精彩

20世紀的最后十年是網絡技術大放異彩的十年，在新千年推出的Windows 2000繼承了上代產品Windows NT 4.0在網絡方面的強勁功能，并結合了許多最新的網絡技術，可以說是網絡操作系統的集大成者。 Windows 2000支持了許多TCP/IP協議的附加功能，增強了與Unix系統的互聯能力；對VPN技術的支持，使企業可以在Internet上搭建自己的虛擬專有網；內置的路由功能，使Windows 2000 Server可以作為一個擁有圖形化界面的路由器；新加入的QoS服務，能為重要應用、實時聲音和視頻應用程序提供可靠的網絡服務；功能豐富和強大的語音和媒體服務，使三網合一不再只是夢想。 下面我就將Windows 2000這些激動人心的新功能一一道來。 新增的TCP/IP功能TCP/IP協議作為一個通用的網絡協議，它的核心功能的實現是相同的，但附加的功能各廠商則根據自己的情況加以取舍。微軟在Windows 2000中引入了許多以前版本的Windows中沒有提供的TCP/IP功能，使用戶可以獲得更好的網絡性能。 Windows 2000增強了TCP/IP包過濾的功能。管理員可以根據TCP端口、UDP端口、IP協議ID、ICMP類型、ICMP編碼、源地址和目標地址進行包過濾，實現比如在POP服務器上限制只有本地局域網的計算機才能讀取郵件這樣的安全功能。 Windows 2000中的TCP/IP組件支持RFCs 1122、1123、1323以及選擇性確認(RFC 2018)等規范。遵循RFC 1122和1123規范可以保證與其它操作系統主機互聯的兼容性；RFC 1323定義了在高帶寬、高延遲的網絡上(比如衛星線路)TCP的運行方式；選擇性確認增大了TCP的窗口大小，并且當出現差錯時，只重傳窗口中丟失或錯誤的幀，而不是重傳整個窗口，這就極大地提高了TCP的傳輸速度。 Windows 2000擴展和提高了原來的IP管理方案。Windows 2000中的DNS服務支持SRV記錄，以幫助客戶找到網絡中提供服務的DNS服務器。DNS服務也與活動目錄集成在一起，DNS數據庫可以作為活動目錄數據庫的一部分由活動目錄在整個企業網絡中復制，這就解除了為DNS服務另外設計一套復制機制的重復勞動。DHCP服務也實現了與DNS服務和活動目錄的集成。當DHCP給計算機分配IP地址的時候，DNS和活動目錄中的信息會同時動態更新。另外，通過活動目錄授權的DHCP服務才能啟動，避免了非法安裝的DHCP服務給網絡造成的混亂。 低成本高安全的虛擬專用網(VPN)VPN一經推出，便迅速得以流行，這主要是緣于它在降低成本和提高通信安全性方面的優點。 早期的企業要搭建自己的跨地區甚至跨國家的網絡，只有自己搭建或者從網絡運營商那里租借線路來實現，而這樣不僅成本極其昂貴，而且安全性也得不到保證。伴隨著Internet的迅猛發展，VPN技術應運而生。利用VPN技術，企業只需由ISP接入Internet，便可以與也接入Internet的另一端的分支機構安全地通訊。所付出的只是連接Internet的費用，而且信息在Internet上加密傳輸，安全性也得到了可靠的保證。 各種VPN的實現中都使用了'隧道'技術來傳輸數據。如(上)下圖中所示，數據在通過'隧道'傳輸前，被封裝為公共網絡中傳輸所使用的報文格式，然后進行傳輸，到達'隧道'終點后，再除去添加的封裝信息，還原為原來的報文格式。 Windows 2000中提供3種技術來創建VPN： Point-to-Point Tunneling Protocol (PPTP)--這是在NT 4.0中使用的VPN技術，建立在PPP協議基礎上，具有驗證和握手功能，缺點是只能應用在撥號連接線路上。 Layer 2 Tunneling Protocol(L2TP)--L2TP被認為是PPTP的增強版。相比PPTP的一個主要優點是支持MPPP(Multilink Point-to-Point Protocol)，并且可以在許多Internet連接線路上運行，如幀中繼、X.25和ATM，支持幀頭壓縮可以比PPTP消耗更少的帶寬。 IP Security(IPSec)--IPSec是下一代的隧道協議，相比PPTP和L2TP其最大優勢在于標準化，所有網絡廠商都紛紛聲明對該技術的支持。IPSec通過通信雙方身份驗證和數據加密，使信息能更安全地在公共網絡上傳輸。 Windows 2000中VPN實現起來也很簡單。'網絡連接向導'提供了一個統一的界面來設置撥號連接、VPN和直接電纜連接等網絡連接。在這個界面里，首先建立一個連接Internet的撥號連接，然后建立一個VPN連接，VPN就設置成功了。要連接遠程網絡，只需先通過普通的PPP服務連接上Internet，然后通過虛擬的VPN調制解調器再撥一個號，這個號就是遠程VPN服務器的IP地址或主機名。接下來進行登錄驗證后，就和遠程VPN服務器在Internet上建立了一個虛擬的隧道，遠程網絡在感覺上就成為了一個本地局域網。服務器端的設置通過路由和遠程訪問服務的MMC界面來實現，其設置工作也非常簡單（見下圖）。 強大的路由能力從NT 3.51開始，微軟就將路由功能集成到了操作系統中，使基于NT Server的計算機可以執行一些簡單的路由工作，但這個服務實際上幾乎沒有在實際中得到應用。在Windows 2000中集成的路由和遠程訪問服務大大增強了這方面的功能，使一些小公司不用購買昂貴的路由器就可以實現網絡的分段，并且管理是圖形化的方式，而不是令人望而生畏的字符模式。 靜態路由對于一些小型網絡和路由變化很小的網絡來說，比動態路由具有更大的優勢。在NT 4.0中設置靜態路由是在命令行方式下使用Route命令來輸入，在Windows 2000中可以在路由和遠程訪問服務的MMC管理界面下進行設置。這樣靜態路由的設置就更為方便了。 大型網絡中，網絡的變化是經常發生的，由系統管理員設置靜態路由的方式很難及時反應網絡的變化，這時使用動態路由協議幾乎是唯一的選擇。Windows 2000不僅繼續支持NT 4.0就支持的RIP協議，也支持更有擴展性的OSPF協議。 RIP協議從1982年開始使用到現在仍然是一個廣泛使用的路由協議。RIP協議屬于距離矢量路由協議，它的第一個版本RIP v1具有許多缺點，比如不支持無類子網劃分、定期向其它路由器廣播自己的路由表、沒有安全驗證等，被網絡工程師戲稱為'唧唧喳喳'的路由協議。第二個版本的RIP v2則克服了上述缺點，但由于距離矢量路由協議的固有缺點(路由匯聚慢、無謂的網絡帶寬消耗和路由選擇不佳等)，限制了該協議在大型網絡中的使用。不過RIP協議配置起來比較簡便，使得在中小網絡中它還是得到了非常廣泛的使用。作為鏈路狀態路由協議的OSPF協議非常適合作為中型和大型網絡的路由協議。OSPF協議在網絡狀態發生變化時能夠很快將變化了的路由信息通知網絡中的路由器，快速地實現路由匯聚。OSPF協議選擇最佳路由的依據比RIP協議更細致，所以可以更好地進行路由選擇。但OSPF協議規劃和配置起來就比RIP協議復雜了許多。 Windows 2000對上述兩種路由協議的支持，使得Windows 2000具有很大的伸縮性，可以滿足不同規模企業的要求。 一些象網絡會議、遠程教學的應用，一臺主機需要發送同樣的內容給多臺主機，采用單點發送的方式會造成這些重復數據在網絡上被多次發送，浪費了帶寬，而使用廣播方式會造成網絡性能的顯著降低，而且廣播是無法通過路由器轉發到其它網段的，這時可以使用多點發送的方式來進行通信。 Windows 2000通過支持TCP/IP協議棧中的IGMP v2協議來提供這種服務。IGMP協議使用IP地址規范中的D類地址(首位為224~239)作為多點廣播地址，從中分配一個IP地址給參與網絡會議的各計算機，發送數據時以該地址作為目標地址，則數據只需發送一次就可以到達多臺主機。Windows 2000 Server內置了一個IGMP的路由器和代理，通過這兩個服務連接到Internet的MBONE(Multicast Backbone)區域，就可以為內部Intranet提供接受和發送IGMP報文的功能。 IGMP路由器和代理的設置可以通過設置路由和遠程訪問服務中IGMP的屬性來完成（見下圖）。 服務質量的承諾(QoS)為了在網絡上傳輸需要保證服務質量和優先級的信息，Windows 2000還提供了QoS(Quality of Service)的管理功能。QoS的徹底實現需要網絡的全面支持，不僅操作系統和應用程序要支持QoS，網絡中的路由器和交換機也必須支持QoS，如果要在Internet上實施QoS，那么通信中涉及的所有ISP都應當支持QoS。盡管這在實際上比較難以做到，但用戶仍會從Windows 2000對QoS的支持中受益。 QoS要解決的主要是通信中的兩個問題：延遲和抖動。 延遲主要來自路由器轉發報文的延遲，單個或者幾個路由器延遲還不太明顯，當報文要穿越許多路由器時，各路由器延遲的累加就不能忽略了。延遲對于象視頻點播這樣的單向信息傳送的應用并不是問題(每個報文都以相同的延遲到達目的地)，但對于網絡會議這樣信息需要雙向傳送的應用來說就不可容忍了(想象一下與會者說一句話后，要等上幾分鐘才能聽到對方回答這樣的情形)。 抖動則是由于報文在分組交換網絡中傳遞時，可能每個報文沿著不同的路由路徑到達目的地，使得每個報文的延遲各不相同。在IP電話這樣的應用中，就會出現話音忽快忽慢的情況。 Windows 2000內置或者在Resource Kit中提供了相應管理工具、服務和APIs來支持帶寬預留、流量控制和服務優先級等QoS標準。 RSVP(Resource Reservation Setup Protocol)使用了類似于電話網絡的技術來減少抖動和為應用預留帶寬。在RSVP通信方式下，客戶機向服務器首先發送一個PATH消息。那些轉發PATH消息的設備將自己加入到PATH消息的路徑列表中，并為這個連接分配相應的帶寬資源，最后到達服務器。之后服務器向客戶機發送一個RESV消息，該消息沿PATH消息傳送的路徑返回客戶機，這時路徑中的所有轉發設備都要確認自己是否已經為該連接分配了帶寬。通信正式開始后，客戶機還會定期發送PATH消息，讓轉發設備繼續保留這次連接所分配的帶寬，直到通信結束，用一個特殊的PATH消息通知轉發設備釋放所保留的帶寬。該過程如下圖所示。RSVP為通信雙方確保了一定的網絡帶寬，而且保證報文始終沿著一條固定的路徑傳送，也就避免了抖動問題。 流量控制是操作系統控制哪個進程可以得到更快的處理，相應地使用更多的網絡帶寬。 對于一些關鍵事務來說，發送可能是間歇性的，采用預留帶寬的方式沒有太大意義。這時可以使用服務優先級(Diff-Serve)的方式，在某服務對應的IP報文頭中的'服務類型'(Type Of Service)段填入優先級。轉發設備根據這個數值將更高優先級服務的報文優先發送，保證關鍵的業務得到及時地處理。也可以在數據鏈路層實現優先級定義，在幀中加入標簽對不同優先級別的數據加以標識，IEEE 802.1p描述了這項技術。 上面提到的這些QoS技術在應用中如果不加控制，QoS不僅起不到保證服務質量的作用，反而會帶來負面作用。如果大家都為自己的任務申請最高的優先級、要求保留足夠的帶寬，結果是與沒有實施QoS一樣，甚至由于QoS加入了一些控制信息，使網絡性能更加惡化。QoS許可控制服務(QoS Admission Control Service)就是為了避免QoS被濫用而引入的。QoS許可控制服務使用策略的方式決定哪種資源請求可以批準、哪種請求應被拒絕。策略基于網絡拓撲、可用資源、用戶、組和應用程序定義，保存在活動目錄中，能通過活動目錄的機制在整個企業網絡范圍內生效。 統一網絡目前實際中有三種網絡共存：數據網絡、語音網絡和有線電視網絡，不能不說在資源上頗為浪費，最好能有一種網絡既可以傳輸計算機的數據，又可以提供語音和視頻服務。因此，要求三網合一的呼聲越來越強烈。 但是，三網合一并不是簡單地將三種網絡適當改造，然后用適當的接口將它們連接起來就可以了。每種網絡是針對對應的應用而設計的，不可能很好地完成其它應用的要求，比如語音網絡不能有效地傳輸計算機數據，更不適合傳輸寬帶視頻信號，計算機網絡也不能保證語音和視頻信號的實時性和服務要求。未來的網絡應當是在同一個網絡平臺下，運行同一個協議族，為語音、數據和視頻信號的傳輸提供可靠的服務。這要求該網絡既具有底層傳輸技術的多樣性，又具有高層應用的多樣性。目前看來，只有計算機網絡可能勝任該項工作。 現有的計算機網絡首先必須在底層加以改造，解決網絡帶寬問題，才有可能負擔語音和視頻信號的傳輸，在上層也必須設計相應的應用和服務來提供語音和視頻功能。Windows 2000作為新一代網絡操作系統，內置了許多支持三網合一的特性。 在Windows 2000中集成了微軟公司著名的語音服務產品NetMeeting 3.0。NetMeeting能在兩個IP主機之間建立語音、視頻或者數字會議，并且與活動目錄通過ILS(Internet Locator Service)集成在一起。呼叫方可以輸入被叫方的網絡登錄名，從活動目錄查找到對方現在所在主機的IP地址，建立起呼叫，然后雙方開始網絡會議，可以交換文件、討論或者共享應用程序，甚至共享桌面。 Windows 2000中還提供了一套開發數字語音應用程序的接口函數庫TAPI 3.0。TAPI 3.0能支持傳統的PSTN電話和IP電話兩種電話，為開發人員提供了一個良好的開發環境，它將呼叫控制的功能抽象出來，在開發時開發人員無需考慮將要連接到何種網絡上。在TAPI 3.0中集成了傳統電話的媒體流控制功能，采用COM組件模式，允許以C、C++和VB等多種編程語言來編寫TAPI應用程序。除了支持傳統電話的功能以外，TAPI 3.0還支持標準的H.323會議和IP廣播會議，并提供QoS控制功能。 Windows Media(媒體服務)是Windows 2000提供的又一優秀產品，包括前臺的播放器(Media Player)、后臺的服務器(Windows Media Service)等組件，能廣泛應用在娛樂、培訓和遠程教育方面。 網絡在飛速發展，Windows 2000將這些優秀的網絡技術兼收并蓄，同Windows NT 4.0相比，它不再僅僅是一個文件和應用程序服務器操作系統，而是一個強大、堅固、易管理和更安全的網絡操作系統，將很大地提高個人的工作效率和企業的生產效率。

利用Windows 2000快速建立小型網絡 在商業競爭日趨激烈的今天，中小企業如何應對多變的市場環境，使信息的采集、處理更加便捷，信息溝通更加流暢，采用IT技術就成為大多數企業的選擇。我們公司是一家小型廣告公司，每天都要為客戶進行廣告的策劃、設計并負責與媒體聯系，這些工作當然離不開計算機的支持，特別是網絡的支持。為此我們公司建立了一個小型星型拓撲結構的以太網絡，在網絡操作系統的選擇上當然是采用微軟的最新產品Windows 2000，通過這次部署Windows 2000，使我們深切感受到Windows 2000在網絡部署上的方便性，下面把我們的部署過程介紹給大家，使大家進一步了解其過程有多么快捷。 首先當然是必須建立物理網絡，我們采用星型拓撲結構連接了八臺設備構成以太網，只要通過簡單的物理連接就可以把網絡建立起來。重要的是如何部署Windows 2000操作系統，我們采用了無用戶參與的或腳本化安裝，這種方法需要建立網絡分發共享和回答文件，以在每臺機器上自動運行安裝程序。有些人可能使用過這種方法部署WinNT，在Windows 2000中這種方法已經作了顯著的改進，特別是在網絡配置和設備安裝方面。例如，如果您想在Windows 2000中安裝額外的設備驅動程序，在做無用戶參與部署時，只需把驅動程序放到指定目錄，安裝程序會自動使用它。在進行網絡配置時會做一些變動，如果您想很方便地配置網卡，可以直接使用unattend文本文件。另一個較大的改進是安裝程序管理器，它是一個新的安裝管理工具，可以建立網絡分發共享和回答文件。 使用無用戶參與安裝方法部署Windows 2000專業版的第一步是：讓一臺網絡計算機充當分發服務器，讓它存放所有Windows 2000專業版安裝文件，它必須能讓所有想安裝Windows 2000專業版的計算機通過網絡訪問到。下一步要在分發服務器上運行安裝程序管理工具，運行后系統會提示一系列向導屏幕信息：例如安裝時的用戶交互級別，每臺目的機器的計算機名、管理員口令，目的機器是在工作組中還是在域中，在目的機器中是否安裝網絡打印機，Windows 2000專業版安裝分發文件夾的位置，回答文件的名稱和位置（缺省文件名為unattend.txt）。最后把所有源文件復制到分發文件夾，同時確保Windows 2000產品CD可以使用，當安裝程序管理器運行完以后,就建立了分發文件夾，它包含所有必要的Windows 2000專業版安裝文件和回答文件,文件名為unattend.txt，該文件會回答Windows 2000專業版安裝程序提出的問題。 下一步是在目標機器安裝Windows 2000專業版，由于我們有些機器已經安裝了以前的Windows或Windows NT版本，只要用它們連接到分發文件夾并運行winnt32.exe即可；如果要重新安裝一份新拷貝，只要用網絡引導軟盤啟動計算機，連接到分發文件夾并運行winnt.exe，再次指定回答文件的名稱。通過在每臺客戶機重復上述過程就快速完成了系統部署操作。 由于在我們的網絡環境中計算機的硬件和軟件配置完全不同，我們采用無用戶參與的安裝，使安裝程序在每臺計算機上分別運行，這樣使部署操作具有最大的靈活性。

Windows2000――最佳的網絡運用平臺

在千喜年即將到來的今天，網絡運用已變得十分普及，據統計，全球有1.48億人在進行著Internet的沖浪，并有數不清的大中小型企業在應用網絡進行管理與服務，難以計數的科研、教育與軍事部門在運用網絡辦公與傳遞各類信息，就連日常生活中人們談論網絡的話題也變得十分流行。這就是信息或數字時代來臨的一個特征。正是在世紀之交的重要時刻，幾經醞釀的Windows2000誕生了。它融合了眾多網絡平臺的優點，并發展了微軟原先開發網絡平臺的諸多先進技術，運用起來不僅功能強大，而且便捷實用。下面就從幾個側面談談我在應用Windows2000支持網絡服務方面的感受。 Internet沖浪更加自如 如今進行Internet的網上沖浪已成了一種時髦，人們或出于尋找有用信息、查詢科研資料，或為了宣傳產品、傳遞商業信息，或想聯系客戶、結交朋友等，都常常傾心于國際互聯網。我雖不是一個'網蟲'，但也因研究工作需要時常忙碌于網上。因此，使我對用于網際瀏覽的工具特別在意。由于Windows2000中集成了新的IE5（Internet Explorer5）瀏覽器，使我在Internet上沖起浪來倍感自如。 IE5可以算是眾多Internet測覽器中效能較好的之一，它采用了 IntelliSense技術，能幫助用戶、管理員和應用程序開發員完成最經常的日常事務，并具有脫機測覽功能，是一個使用方便、速度快捷、功能強大的瀏覽工具。IE5與Windows2000 Professional集合在一起，不需要單獨安裝。 通過對IntelliSense技術的運用，IE5能自動完成最頻繁的 Web訪問任務。我在查詢那些長字符串網站時，常利用其'記憶式鍵入'功能，只輸入所查網站的前幾個字母，即可以順利完成 URL地址的全稱。為了省事，我還常通過'智能表單'來記憶一些重要的 Web表單數據。 另外，我所使用的記本電腦同時裝有內置Modem和網卡，過去使用的平臺是集成了IE4的Windows98，我常為上完互聯網后又要連接辦公室的局域網須來回手動變更配置而煩惱。而改裝Windows2000后，我為所需進行連接的每個網絡都配置了相應的代理服務器，爾后，當我啟動某個網絡連接時，由于IE5具有的智能化網絡設置和檢測技術，使Internet Explorer不再請求手動更新，便自動使用該連接對應的代理服務器設置，從而使我方便地實現了在局域網連接轉與撥號連接間的轉換。 當然，與以往的瀏覽器相比，新的瀏覽器中搜索助手能夠使用多個搜索引擎對網絡內容進行搜索，更有利于提高效率。并且，其多語言支持性能也迎合了當今國際社會多元化的需要，省卻了很多來自其語言平臺有用信息需另安裝專用語言支持系統的麻煩。 輕易實現個人PC與專用網絡'無縫連接' 我們現在所處的是一個競爭激烈的社會，不論是IT人士或是其它依靠網絡辦公的成員，有時僅靠8小時以內的常規工作時間很難完成自己手里的業務，往往不得不把沒干完的活拿到家里來干；或者利用在家閑暇的時間完成部分工作，然后再到辦公室去接軌。我作為這類人員中的一分子，以往最大的苦惱就是找不到一個能適應家庭環境與辦公環境的通用網絡平臺。于是只好在下班時只簡單地備分一些重要數據，回家后還要重起爐灶多做一些重復性的工作。但自從應用了Windows2000起，這種做一些無用功的苦惱便迎刃而解了。原因就在于，Windows2000中所具有的VPN（Virtual Private Network）技術，幫助我實現了個人PC機與辦公室專用網絡服務器之間的自然連接。 VPN 即'虛擬專用網絡'技術，是Windows2000中刻意集成的一項網絡應用技術，其通過內置可靠的路由服務，能夠以廣域網(WAN)和 Internet為通道向使用者提供局域網間路由服務。應用VPN，能夠有效地模擬辦公室或公司內部的專用網絡環境，使移動用戶外出時或員工回家時仍能繼續工作。 由于在Windows 2000中，不論何種連接都可以在'我的網絡位置'的屬性中，通過'創建新的網絡連接'來建立。因此，它既可以建立到辦公區或公司內部網絡的連接，也可以建立到Internet／虛擬專用網的連接，還可以建立接受直接線纜連接的網絡。如果你要圖省事，甚至可以采取設定'連接管理器'的方式。即把撥號所需的單位電話或者ISP電話號碼自動地分配到用戶的桌面上，這樣無論你身處何處，Windows 2000都會自動地選用最佳的電話號碼來進行撥號。 另外，如果沒有網絡設備，還可通過軟件來實現虛擬網絡服務。我單位辦公室的服務器可以登陸國際互聯網，我即在上面啟用了PPTP／L2TP（第二層遂道操作）協議。然后在自己的筆記本電腦上先通過普通的PPP服務登陸Internet，然后通過虛擬的PPTP調制解調器再拔-個號，該號即為服務器的IP地址或者機器名。當通過登錄驗證窗口后，我便就在Internet上建立了一個虛擬的隧道。當我在家中使用筆記本電腦時，仍可順利與辦公定的服務器聯通，就類似在局域網中進行工作的情景。 當然，我也常把筆記本電腦中的大容量工作內容復制到臺式機中。過去往往采用外接硬盤等方法，自從安裝了Windows2000后，我便通過選擇支持紅外線的虛擬端口形式，順利地實現了將筆記本電腦中內容復制到臺式機中，并保證正常瀏覽的目的。 自由建立Web網站 運用網絡的人士，在遨游過眾多網站之后，都免不了會萌發建立自己的Web網站的想法，并借此體現自己的主張，或開設個性化的網上園地，或進行企業性商業宣傳、營銷等等。而Windows 2000內置的強大Web服務功能，正好為實現這樣的愿望提供了可能。 凡用過微軟WindowsNT Server4．0的人士大都領略過內置于其中的IIS（Internet Information Server 4．0 Web服務器。其以速度優于其它系統的Web服務器而著稱。而在Windows 2000中，進一步更新了IIS版本，即Internet Information Server 5.0。它具有以下幾個特點： ――比原版本提供了更加方便的安裝，將隨同安裝Windows 2000 Server 時自動安裝好，省卻了老版本另行安裝的麻煩。 ――提供了很多的管理向導，如以'權限設置向導'來幫助設定和協調Web訪問和NIFS文件的訪問權限，'服務器證書向導'來給服務器安裝電子證書等。 ――具有對ASP增強的支持，如，無腳本ASP頁面的快速處理、HTTP和HTTPS(安全通道訪問方式)共享狀態等。 ――可在單個IP地址上運營多個網站等。 而且，新IIS 一個重要特性就是便于多用戶在一個基于Web的環境中共享和發布信息。在'共享文件夾'向導的指示下，可方便地將一個共享文件夾設置成一個安全的Web地址。根據這一特性，我通過打開桌面上的'我的網絡位置'，然后增加了一個新的網絡位置，并將它設為http://myserver／share，從而實現了象平常訪問普通文件夾那樣的訪問遠程Web文件夾中的文件。 當然，新的IIS還支持分布式發布和版本控制標準（Distributed Authoring and Versioning），以及對新的一些安全機制（如Digest Authentication，Server-Gated Cryptography and Fortezza）等提供支持。 總之，Windows2000同時集成了最新最強的 Internet應用程序服務，并擁有覆蓋眾多操作系統的完整Internet服務，通過它可對各種變化做出快捷的反應，高效地部署解決方案。同時，新的通信和網絡服務會使部署 VPN更方便，并可將現有投資帶入web，還可獲得更高的可靠性、穩定性和擴展性。 俗話說，一塊好玉需要好的雕琢與懂行的鑒賞家，Windows2000無疑就是一塊好玉，但其價值需要我們這些使用者去發掘。

Windows2000網絡新功能

Windows2000作為Microsoft最新一代網絡操作系統，為用戶提供了一套完整而強大的網絡解決方案。早期Windows NT4.0提供的網絡功能，根據技術本身的發展而在Windows2000中得到相應改進；同時，Windows2000還吸收容納了近年來出現的幾乎所有的網絡最新技術成果。RADIUS，VPN，IPSec，OSPF等在Windows2000中均提供了對應的實現方法。應用Windows2000，用戶可以根據業務需要構建各種功能強大的Intranet/Internet商務解決方案。本文摘要講述Windows2000對DNS、DHCP、RRAS、VPN和RADIUS等一系列重要網絡功能的最新支持。 一、DNS: Windows2000采用DNS作為網絡操作系統中的名稱服務，Windows2000中的DNS以IETF為基礎，與RFC兼容，可以與所有符合RFC標準的DNS共存。Microsoft DNS在Windows2000網絡體系中不是唯一的選擇，只要支持動態更新和SRV資源定位記錄的RFC兼容DNS均可做Windows2000的名稱解析服務。然而，由于Windows2000所帶的DNS可以與Windows2000的ADS集成，提供了更多的功能。因而將Windows2000的DNS應用于Windows2000或其他網絡操作系統中是一種最理想的網絡名稱解析解決方案。 Windows2000 DNS提供動態與靜態兩種主機名稱解析方式，兩種方式之間可以自由轉換。靜態主機名解析是一種傳統的主機名解析方式，它將大量主機名與IP地址的對應關系存放在一個特定的數據庫中，缺點是無論主機名或IP地址有任何變化均需要由管理員對數據庫進行更新，產生較大的管理負荷。基于RFC2136的動態DNS根據IP地址或主機名的變化，自動在對應數據庫中做出更改，減少了中型或中大型網絡的管理負擔。客戶端在初始化時首先查詢DNS服務器以確認本身記錄存在于DNS服務器數據庫中，如果查詢不能發現對應記錄，則向 Primary DNS發送注冊請求，DNS收到注冊請求后在保證記錄不沖突的前提下添加此項紀錄，如果記錄有沖突，注冊請求失敗，DNS客戶端轉向第二個Primary DNS注冊。向DNS的注冊過程由DHCP Client服務完成，可以提供給DHCP客戶端用戶，有確定IP地址的非DHCP客戶端和RAS用戶。 Windows2000的DNS與ADS的緊密結合為DNS增添了許多新的特性和功能。Windows2000的ADS是一個面向對象的X.500兼容的數據庫，將所有的網絡資源組織在一個樹狀結構體系中。ADS數據庫中所有對象以容器或葉子的形式存在，DNS與ADS集成后所有DNS數據加入ADS數據庫中，DNS的原有Zone變成ADS中的容器，而原DNS的記錄變成ADS中具有多個屬性值的對象。在ADS集成環境下不存在單獨的DNS數據庫。Windows2000 ADS采用多主復制，所有ADS數據存放在多個DC中，Windows2000通過系列方法避免數據復制過程中的沖突，DNS與ADS集成后不同DNS中的記錄與ADS依照多主復制形式進行。多主復制減少了首要服務器上的負載，在中大型網絡中性能優勢非常明顯。 在數據復制方面，Windows2000 DNS應用增量區域復制（IXFR）取代完全區域復制（AXFR），從而減少區域復制所產生的數據通訊；應用Unicode Character取代標準的ASCII命名體系，使NETBIOS與DNS名稱之間能夠實現方便的轉換；應用Domain Locator功能使Windows2000及其先前產品均能夠查找DC實現登錄。 二、DHCP: DHCP是在IETF RFC中定義的一套動態分配IP 地址的開放標準。應用DHCP服務，管理員不必再為每一臺計算機手工分配IP地址，可以實現IP地址的動態集中分配和管理。Windows2000　Server針對傳統DHCP功能的局限做了一些新的擴展。 Windows2000中實現了DHCP與DNS結合。由于在Windows2000中DNS數據可以動態更新，配合DHCP對IP地址的動態分配，使從主機名解析到IP地址分配均可以通過Windows2000　Server集中配置完成。DHCP與 DNS的集成方案在業界還沒有最終的確定標準，在RFC中尚屬Draft一級，但這不妨礙Microsoft將其作為一個可選功能加入Windows2000中所給用戶提供的方便。 先前傳統的DHCP一直存在一個由于多個DHCP　Server存在而產生的IP地址沖突問題。網絡合法的DHCP　IP地址分配有專門管理員負責，管理規范可以避免沖突，但如果存在非法的DHCP　Server，IP地址一旦沖突，會給網絡正常應用帶來很大的麻煩。Windows2000增加了DHCP的注冊功能，Windows2000中DHCP Server只有在ADS中注冊以后才開始響應客戶端的IP地址請求，而注冊需要得到DS的驗證。這個過程只有在Windows2000網絡體系中才能夠完成。 DHCP在Windows2000中可以進行實時監測，如可以設置當IP資源剩余10%時報警，IP資源耗盡時報警等監測方法。此外，利用Windows2000的Cluster功能，DHCP可以在兩臺Cluster機器上面使用同一套 IP地址工作。正常情況下只有一臺機器響應客戶端的IP請求，當Cluster機器中有一臺出現問題時，另一臺在很短時間內開始工作，這個過程對用戶是透明的。Windows2000中DHCP還可以分配Multicast地址范圍，響應Multicast的地址請求。 三、RRAS: Windows2000的RRAS為遠程撥號客戶端提供了一個可以應用TCP/IP、NETBEUI、IPX/SPX等多種網絡傳輸協議，通過PSTN、ISDN、ATM和VPN等多種途徑訪問企業網絡的安全途徑。 PSTN、ISDN 在Windows NT4.0已得到較好的支持，Windows2000在易用性方面有進一步的發展，如提供Connection Manager Administration Kit，簡化了客戶端配置，集中管理客戶端的撥號屬性、圖形界面，并可以向客戶端發布更新地址簿信息。 ATM （Asynchronous Transfer Mode）提供了一種可以在多種媒質中使用的高速傳輸技術，這一技術綜合了一系列復雜的標準。由于成本高、技術復雜而且與傳統的LAN兼容方面的一些問題，ATM在實際應用曾經碰到了一定阻力。ATM作為主干的網絡方案很多，而分支網絡大多仍然沿用傳統的LAN網絡。另外，將ATM作為網絡的一部分單獨引入的例子也有很多。近來隨著ATM技術的普及，ATM的實施成本也在降低，一些完全采用ATM的方案不斷出現。Microsoft在早期的Windows產品，如Windows 95,Windows NT4.0中對ATM都有一定程度的支持，而在Windows2000中加入了更高級別的支持。在Windows2000中新引入的NDIS5.0，是一種面向連接的網絡驅動接口標準。Microsoft在Windows2000中加入了LANE client, IP/ATM components, PPP/ATM components, a Windows Sockets Service Provider, and UNI signaling modules for end stations等一系列功能模塊，用戶通過這些接口可以直接訪問ATM服務，而硬件生產廠商在這些接口基礎上做較少的開發就可以生產不同硬件的驅動程序。 在Windows2000中RRAS的一個突出特點是與Routing技術緊密結合，系統中的配置也在一個共同的管理界面進行。針對Routing方面，Windows2000提供了較大的改進。在早期的NT版本中動態和靜態路由表技術雖然得到支持，但動態路由表使用RIP協議。在Windows2000中開始支持OSPF協議。RIP是一種經典的動態路由信息協議，配置簡單，適合于中小型網絡，缺點是通過固定時間間隔的廣播與周圍路由器交換路由信息，造成較大的網絡負載。而OSPF是近年來發展起來的新一代動態路由信息協議，與簡單交換路由信息不同，OSPF通過向臨近的路由器發送連接坐標信息并且改變連接狀態數據庫的方式對路由信息進行動態刷新，減少了網絡通訊，是一種小型到大型網絡中均可以使用的動態路由信息協議。Windows2000對OSPF的支持使Windows2000能夠作為路由器在各種規模的網絡體系得到應用。 四、VPN技術： VPN應用隧道技術將不直接連接的兩個網絡通過公共網絡連接起來，在數據傳輸過程中保證數據的安全性。VPN采用的隧道技術將網絡發送的數據重新打包然后轉發，在轉發過程中保證數據的安全。在安全性方面VPN采用PPTP與L2TP兩種協議，PPTP加密VPN隧道兩端之間的數據傳輸，而L2TP采用端對端加密，能夠保證數據在服務器與客戶端之間進行傳輸時均處于加密狀態。根據實際通訊方式不同，VPN分為Voluntary Tunneling和Compulsory Tunneling兩種，前者在訪問客戶端與被訪問的服務器之間建立VPN通道，而后者在兩臺中介服務器之間建立VPN連接，通訊的客戶端與服務器通過已建立的固定VPN通道進行數據交換。兩種角色Windows2000 Server均可充當。 L2TP是一種比PPTP先進的協議，它可以支持多種傳輸媒介，如ATM、X.25和Frame Relay等，而PPTP只支持IP協議下的Internet/Intranet連接。L2TP支持多Tunnel技術，PPTP只支持一個Tunnel。Windows2000支持PPTP和L2TP兩種協議，為用戶在設置VPN過程中提供了一種更先進的選擇。 針對數據在傳輸中的安全性，Windows2000在VPN中采用IPSec數據加密技術，IPSec是一種Draft級別的RFC標準，是原有安全性基礎上的一個重要補充。它處于TCP/IP協議下層，首先驗證訪問請求者的IP地址和端口地址的合法性，過濾掉不合法的請求，同時在訪問雙方之間建立安全會話，并對傳輸的數據進行加密。IPSec的一切功能對使用者是透明的。 五、RADIUS技術： RADIUS（Remote Authentication Dial-in User Service）是一個在撥號網絡中提供注冊、驗證功能的工業標準。早期的Windows NT網絡只能進行NT賬號的驗證，隨著網絡規模的擴大，Windows2000需要與多種網絡客戶端和服務器進行通訊，這就要求作為核心服務器的Windows2000必須能夠識別來自不同系統的多種驗證加密方法，對不同系統的驗證請求統一記錄安全日志。Windows2000提供的RADIUS服務可以滿足上述要求。 Windows2000的RADIUS服務與RRAS結合可以集中管理遠程訪問策略，同時集中記錄RADIUS訪問及Windows2000訪問日志。此外，Windows2000還提供了將RADIUS與ADS集成的方法，使RADIUS訪問策略存在于ADS數據庫中，并與ADS數據庫進行同步數據復制。 Windows2000作為當前網絡體系最先進的網絡操作系統之一，繼承了大量最新的網絡技術。與Windows2000本身強大的管理功能結合，為用戶提供了一個從小型到大型甚至超大型網絡的優秀解決方案。整個網絡體系不同組件之間緊密結合，繼承了Windows體系一貫的方便管理的特點，所有設置均可以在圖形化界面下完成，并隨機附帶了極其豐富的聯機幫助文檔，大大降低了處理類似方案的技術難度。

被稱為新世紀操作系統的Windows 2000系列即將正式發行。在綜合了Winows 9x和Windows NT 4.0的各項優點之后，Windows 2000系列將以一種全新的面貌呈現在我們面前，集易用性、穩定性、可靠性、網絡性和更好的兼容性于一身。 而被廣大企業級用戶所關心的Windows 2000 Advanced Server更是在Windows NT Server 4.0的基礎上增加了很多新的功能，我們這里主要講講其中的DCPromo命令。 熟悉Windows NT 4.0的朋友們都知道，在安裝一個Server之前，必須規劃好這個Server的角色，是作為PDC（主域控制器），BDC（備份域控制器）還是Member or Stand-alone Server（成員或獨立服務器）。而且需要提前規劃好網絡的邏輯結構，是組成Domain（域）還是組成Workgroup（工作組）。如果是組成Workgroup，那麼其中的Server只能作為Member Server來安裝；如果是組成Domain，那麼Domain中安裝的第一臺Server必須是PDC，以后的Server可以安裝成BDC，也可以安裝成Member Server，但要注意的是安裝BDC之前，域中必須已經存在有PDC，而且，一個域中有且只能有一個PDC。 盡管當Domain中的PDC發生問題時，可以將一臺BDC提升（Promote）為PDC，但DC(域控制器，包括PDC和BDC)和Member Server之間卻不能相互轉換，也就是說當安裝了一個Server之后，如果想改變它的功能，重新確定它的角色，從DC變為Member Server，或是從Member Server變為DC，那麼唯一的辦法就只能是重新安裝Windows NT。因此NT 4.0中這種對于計算機角色的劃分和管理模式就給域的規劃提出了更高的要求，也給域的維護也帶來了很大的麻煩。 我們很高興地看到，Windows 2000已經很好的解決了這個問題。在Windows 2000 Advanced Server中，計算機不再區分是PDC還是BDC，所有的Server只有DC和Member Server的差別，兩者之間還可以非常方便地互相轉換角色。而完成這一功能的工具便是Dcpromo.exe命令，它是Windows 2000 Advanced Server中內置的一個命令。 當管理員希望改變一個Server的角色時，只需在命令行狀態運行Dcpromo命令，Windows 2000便會自動判別當前計算機的角色，然后彈出一個Wizard（向導）窗口，引導用戶一步一步地完成DC與Member Server之間的轉換。用戶還可以通過查看Dcpromo.log日志來確認轉換是否成功。 綜上所述，我們可以看到雖然Dcpromo只是一條小小的命令，但它大大提高了Windows 2000的可管理性和易用性。其實這只是Windows 2000對比于以前版本的操作系統眾多優越性中微不足道的一點改進，但從中我們也能的的確確地感受到Windows 2000本著盡量為用戶著想的開發原則所做的努力。