Windows Server 2008網絡鏈接與遠程測試
原創【51CTO獨家特稿】在此之前51CTO向大家介紹過Server 2008安全手冊之系統更新與遠程訪問。在服務器搭建完畢之后就需要對整個服務器和系統進行測試,這時候Windows Server 2008的需要進行遠程桌面測試,首先讓我們先來看一看什么叫做“連通性測試”。
驗證配置狀態
首先要討論一個問題:什么是“連通性測試”呢?
服務器在交付正式使用前,必須要經過“測試”。如果配置這臺服務器的參數,但沒有經過“網絡連通性測試”,如果出現“不能訪問”等問題,你很可能遭遇的投訴,這會導致IT Engineer 對你大發雷霆。將服務器、客戶端計算機與網絡設備連接完畢,是不是就完事大吉了呢?如果運氣好,當然沒有問題。然而,事實上每個人的運氣不會都那么好,或者不會總是那么好,尤其是網絡較大、接入的計算機數量較多時,很難保證不會發生連通性故障。當一臺計算機或若干臺計算機無法接入網絡,或無法與其他計算機進行通信時,就需要對網絡的連通性進行測試。
其中“連通性測試”包括了:物理層介質和操作系統應用層。
物理連通性測試可以觀察網卡、網絡設備、測線儀器的指示燈,如圖1所示。;而操作系統上的連通性測試則需要使用內置的命令行工具。Windows下的網絡工具比較常用的有:Ping、Ipconfig、Nslookup、Netstat,Tracert,Ftp,Telnet,Nbtstat,Route、Arp等等。這里最簡單需要我們使用Ipconfig、Ping這兩條命令。
圖 1 測試儀與交換機接口示意圖
1.顯示IP地址及網絡參數(Ipconfig)
Ipconfig命令是顯示Windows主機IP配置的一個命令行工具。要執行該命令,必須打開命令行(CMD)窗口。可以依次點擊“開始→運行”,在“打開”的文本框中輸入:cmd.exe,然后單擊“確定”按鈕。
而在Windows Server 2008、Windows Vista、Windows 7中由于增強得安全性,增加了UAC(User Account Control:用戶帳戶控制)功能,如果要以管理員身份運行該CMD命令行工具,則需要在 “命令提示符”圖標上單擊鼠標右鍵,然后在彈出菜單上選擇“以管理員身份運行”。然后鍵入:ipconfig/all ,并回車執行,這樣可以檢查之前的網絡配置參數是否正確。
要查看可用的所有可選參數,請執行:ipconfig/? ,表 中顯示了這些可用選項。
表1 ipconfig命令的部分選項
2.服務器連通性測試(PIng)
可以使用Windows 系統下的Ping工具,在確定了響應ICMP請求的網絡主機后,使用Ping持續提交Ping請求,輕松確定到主機的當前連通。如果遇到了間歇性連通問題,Ping循環可以指示連接是否在活動或者并不是一直有效。
Ping命令可以檢測的內容很多,其中:“應答”表示數據包發送成功;“請求超時”消息表示計算機沒有收到遠程主機響應或遠程主機無法返回響應。下面的內容主要包括本地和遠程測試兩種:
測試本機的TCP/IP配置是否正確:
打開“運行”對話框,輸入“cmd”,按回車鍵,開啟“命令提示符”窗口。輸入“ping 127.0.0.1”命令,如果得不到響應,則說明配置有問題。
遠程測試與其服務其是否能聯系上,具體操作步驟如下:
登錄到與服務器同一網段的計算機上,并開啟“命令提示符”窗口。輸入“ping 192.168.100.2”命令,如圖2所示,如果得不到響應,則說明配置有問題。這里說明客戶端到服務器存在問題。
圖 2 請求超時
我們知道ICMP是(Internet Control Message Protocol)Internet控制報文協議,它主要用于在IP主機、路由器之間傳遞控制消息。控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。盡管許多路由器和服務器都會丟棄ICMP通信,Ping仍然是日常簡單監視網絡連通性的最佳工具。是不是Windows Server 2008 中提供的“Windows 防火墻”默認情況下也阻止了ICMP數據包的通過呢?
當我們啟用了服務器系統的防火墻功能后,在默認狀態下,除了在“例外”標簽頁面中設置的選項之外,該防火墻程序會同時攔截所有程序去訪問外部網絡。在圖3中,“阻止所有傳入連接”選項其實是一個非常有用的選項,特別是當本地服務器系統處于一個不太安全的網絡時,該選項能夠臨時讓系統禁止“例外”標簽頁面中設置的任何程序或服務訪問網絡,一旦本地服務器系統處于一個比較安全的工作環境時,我們再取消“阻止所有傳入連接”選項的選中狀態,以便恢復的正常設置操作。
圖3 查看防火墻的狀態
雖然我知道只要“啟用網絡發現和文件共享”之后,防火墻的例外中就可以看到它們,并且其他的用戶就可以“Ping通”這臺服務器了。但管理員習慣于在Windows Server 2008 安裝之后,交付到其他人之前,開啟這個功能,那么,最簡單的方法可以保證我們交付的服務器可以Ping通,就是取消“阻止所有傳入連接”的勾選。那么為什么在“啟用網絡發現和文件共享”之后就可以Ping通了呢?我們簡單的討論一下。#p#
安裝了文件和打印機共享之后,在高級安全防火墻(Windows Firewall with Advanced Security ,WFAS)中默認是允許ICMP的請求回應的。從 “開始”菜單中依次點選“程序”→“管理工具”→“高級安全Windows防火墻”選項;隨后系統會自動彈出高級安全Windows防火墻配置窗口,在該窗口左側列表窗格中單擊“入站規則”選項,在中間的窗口中你就可以發現“文件和打印機共享(回顯請求)”改成已啟用,如圖4所示。如果用鼠標雙擊此規則,在圖5中就可以看到,默認是在啟用的狀態。
圖 4防火墻規則中的文件和打印機共享(回顯請求)
圖 5 默認為啟用狀態
在檢查完上述配置之后,我們在客戶端的計算機上運行點擊“開始”→“運行”輸入CMD,進入命令行窗口,執行Ping命令就可以確保在其他人員的計算機上也能看到滿意的結果了。
3.測試遠程桌面連接
所謂網絡級別身份驗證(NLA,Network Level Authentication)是提供給遠程桌面連接的一種新安全驗證機制,可以在端桌面連接及登錄畫面出現前,預先完成用戶驗證程序,由于提前驗證部分僅需要使用到較少的網絡資源,因此可以有效防范黑客與惡意程序的攻擊,同時也可以降低阻斷服務(DoS)攻擊的機會。
在另一臺計算機上登錄,嘗試進行連接。選擇“開始”→“所有程序”→“附件”→“遠程桌面連接”命令,在打開的頁面中先單擊右上角的圖標,然后在下拉選項中選擇“關于”選項,執行后將可以在頁面中檢查到版本信息,以及是否支持“網絡級別驗證”的安全機制。
在Windows XP上的“遠程桌面連接”并不支持網絡級別驗證,而在Windows Server 2008上的“遠程桌面連接”則有支持網絡級別驗證。如果服務器開啟網絡級別驗證,而客戶端不支持此功能的話,則客戶端在連接時會出現以下信息:
圖6 不支持網絡級別驗證
不同版本的客戶端所支持的驗證方式是不同的,這也是之前在配置Windows Server 2008時,選擇支持任意版本的客戶端連接的原因。接下來在“計算機”字段中輸入開放遠程桌面連接的計算機IP地址或計算機名稱,如圖7所示。完成以上設定后,單擊“連接”按鈕開始進行連接。
圖 7 計算機IP地址或計算機名稱
在彈出的“Windows 安全”界面中,輸入對應的密碼,點擊“確定”按鈕。此后,我們將看到遠程桌面,并測試相關操作。測試完畢后,點擊右上角的“關閉”按鈕,系統將提示是否斷開與終端服務會話連接,選擇“確定”,完成測試。
有了遠程桌面連接客戶端程序,用戶或是管理者就可以在家中、咖啡店、飯店,或機場通過網絡連接至公司的服務器,來執行程序或是遠程管理,以節省來回奔波的時間,并快速解決問題。但最重要的是,Windows Server 2008提供了“網絡級別身份驗證”,它一樣可以保有安全性與便利性,你可自在Windows Server 2008 上啟用這一功能,并配置在Windows XP SP3、 Windows Vista和Windows 7 上嘗試安全的連接。
【51CTO獨家特稿,合作站點轉載請注明原文譯者和出處。】
【編輯推薦】
