Microsoft Proxy Server安装和配置详解
2004年5月14日
| 分类: 未分类
| 标签:
一、Microsoft Proxy Server 安装前的要求
一. 硬件要求
Microsoft Proxy Server有像Microsoft Windows NT Server 4.0版本一样的硬件要求。
Windows NT Server 4.0版本的系统要求:
· Intel和兼容的系统*:
o 486/33 MHz或更高,或者Pentium? 或者Pentium PRO处理器
o 最小125 MB的可用硬盘空间
· 基于RISC的系统*:
与Windows NT Server 4.0版本兼容的RISC处理器
o 160 MB的可用硬盘空间
o 16 MB的内存 (RAM)
o CD-ROM 驱动器
o VGA, Super VGA,或与Windows NT Server 4.0兼容的视频图形适配卡
* 找你的经销商要兼容系统和外设的列表。
注: Windows NT Server 4.0的零售版本支持最多四种商品微处理器。从你的硬件供应商那里可以得到对多达321种处理器的支持。
支持的客户机
· Windows 3.x
· Windows for Workgroups
· Windows 95
· Windows NT Workstation
· Apple? Macintosh
· MS-DOS?
· OS/2?
· UNIX (要求来自Visigenic? Software, San Mateo, California的ODBC客户机软件)
二. 软件要求
在可以安装 Microsoft Proxy Server 以前,服务器机器上必须已经安装好了下列软件:
· Microsoft Windows NT Server版本4.0
· Microsoft Internet Information Server 版本2.0
· The Windows NT Server 4.0 Service Pack (提供在Microsoft Proxy Server的CD盘上)
可以把服务器计算机设置成一个独立的服务器,一个初级域控制器 (PDC), 或者一个备份域控制器 (BDC).不过,为了得到最高的安全等级和最好的性能, 我们建议你在设置成独立的服务器的计算机上安装Microsoft Proxy Server.要知道关于成员服务器,PDCs和 BDCs的更多信息,请看你的Windows NT的文件。
要得到最好的超高速缓存性能,强烈建议服务器计算机上至少有一个磁盘驱动器要设置成Windows NT File System (NTFS)的存储体。
在你安装以前
在你安装Microsoft Proxy Server以前, 要完成下列任务:
· 核实已经安装了Microsoft Windows NT Server 4.0.
· 核实已经安装了Microsoft Internet Information Server 2.0.
· 核实服务器上安装了TCP/IP.
核实你的硬件配置
安装磁盘驱动器
Microsoft Proxy Server可以安装在硬盘配置成文件分配表 (FAT) 或 NTFS 存储体的计算机上。不过,为了安全和性能的目的,建议至少服务器的一个硬盘要配置成NTFS存储体。
NTFS 存储体提供的 (而FAT存储体不提供的)特点包括:
· 最大的文件大小为64GB (取决于磁盘群集的大小)。
· 与Windows NT的安全性集成来控制和审查文挡,共享和目录访问。
· 一个主动的日志记录,在断电或其他问题的事件中可以用来恢复磁盘。
· 支持灵活的每个文挡的压缩。
Microsoft Proxy Server的Web Proxy服务把超高速缓存着的Internet对象存在服务器的一个或几个驱动上。用于这个目的的具体驱动器是在安装期间选择好的。为了实现最好的朝高速缓存性能,我们强烈建议把空间分配给超高速缓存器的所有磁盘都要设置成为NTFS驱动器。
如果你当前的服务器磁盘存储体是按照使用FAT 分区而格式化了的,那么在安装Microsoft Proxy Server以前或以后,你可以用包含在 Windows NT Server里的Convert程序来把这些分区转换成NTFS.转换不会复盖掉磁盘上的数据。要知道关于使用这个程序来把FAT存储体转换成NTFS存储体的更多的信息,请看你的Windows NT Server的资料或在Command Prompt窗口里的命令行上键入convert /?.
安装网络适配器
在你安装Microsoft Proxy Server以前,先核实网络适配卡是安装了并且恰当地设置好了的。为了建立安全的配置,Microsoft Proxy Server计算机必须至少有一块连在私人网络上的网络适配卡,再加上连接Internet的一块网络适配卡,调制解调器,或者集成的服务数字网络(ISDN)适配卡。
你应当在安装Microsoft Proxy Server之前在你的服务器计算机里安装好网络适配卡。要知道关于安装网络适配卡的更多信息,请参考与你的适配卡一起提供的资料。安装好适配卡后,你可以用控制面板上的应用程序来配置每块卡。
设置附加的网络适配卡
1. 打开Control Panel.
2. 在Network应用上点两下,然后点一下Adapters来显示那张特性表。
3. 点一下Adapters特性表里的Add按钮来加进附加的网络适配卡。
对内部的和外部的网络适配卡设置TCP/IP设定
1. 为外部的网络适配卡设置TCP/IP协议连接。
设置与TCP/IP的连接,使它可以在Internet上通信。在把这张网络卡连到TCP/IP去的时候,会提示你要卡的Internet Protocol地址。这个地址通常由你的Internet Service Provider (ISP)来提供。
如果用外部网络适配卡来与Internet连接,那么它必须只连在TCP/IP协议上。特别是不要连IPX/SPX 或NetBEUI来与连接外部的卡相连。
2. 为内部的网络适配卡设置协议连接。
如果服务器将运行Web Proxy service,那么连到私人网络的网络适配卡必须连在TCP/IP上。如果服务器将运行WinSock Proxy service,那么连在私人网上的网络适配卡可以连在TCP/IP, IPX/SPX,或者同时连在二者上。
注:你可以选择在只有一块网络适配卡的服务器上来实现Microsoft Proxy Server.这种设置主要可以用来以下提供有限的代理服务:
o 为内部的Web Proxy客户机超高速缓存服务。
o 一种IP应用等级的网间连接器,支持使用WinSock Proxy service的内部IPX客户机。
3. 使用一个IP缺省网间连接器。
一台Microsoft Proxy Server计算机应该只有一个IP缺省网间连接器。这个缺省网间连接器的IP地址应该只设置在外部网络适配卡上。
4. 为了适配卡而使主机设置协议(DHCP)失效。
使用适配卡上的静态IP地址。DHCP会试图清除你为Microsoft Proxy Server选择的IP缺省网间连接器。
安装调制解调器或ISDN适配器
RAS和Microsoft Proxy Server
用Microsoft Proxy Server你可以用Windows NT Remote Access Service (RAS)拨号客户机来与Internet service provider (ISP)连接。RAS拨号至少需要使用服务器计算机上下列设备之一:
o Modem:你可以安装一个或者几个调制解调器。推荐用高速的调制解调器,像28.8 Kbps的调制解调器。
o ISDN适配器:如果你正在使用一条ISDN线,而且已经与一个ISP签署了使用ISDN服务选项的约定,那就安装一个ISDN适配器。
在选择用于拨号网络连接的任何硬件时,要检查一下Windows NT Hardware Compatibility List(硬件兼容性列表)来确认你正要购买的调制解调器和适配器是受到支持的。Microsoft对这些调制解调器和ISDN适配器能否用于RAS已经作过测试。
另外,要试着选择与你正在用的ISP用的相同的或十分接近的调制解调器或ISDN适配器。这有助于保证最佳的性能和最高的可连接率。
关于选择和安装调制解调器或ISDN适配器的信息,请看你的Windows NT Server 4.0的资料或者随你的调制解调器或者ISDN适配器一起提供的资料。
安装RAS
可以在Windows NT Server初始安装期间或者安装以后来安装RAS.要在安装了Windows NT之后来安装和设置RAS,请使用控制面板上的Network应用程序。你会需要作为管理员集团的成员来登录。另外,由于你是连接在ISP上的,所以在安装RAS以前,你需要安装好TCP/IP Protocol.
用Microsoft Proxy Server安装RAS客户机
3. 在Control Panel中点一下Network,点一下Services tab,再点一下Add.
4. 从Network Service框里选择Remote Access Service,然后点一下OK.
5. 跟随屏幕上的指示来完成Remote Access Service的安装。
选择只用于端口的Dial out来为与ISP之间只有拨号的连接而设置RAS.点一下Remote Access Service Setup对话框里的Configure可以设置端口用途。
网络协议的设定应该只包含TCP/IP (IPX/SPX和NetBEUI检验框应该清掉)。点一下Remote Access Service Setup对话框里的Network可以设置网络协议。
二、Microsoft Proxy Server安装
一. Microsoft Proxy Server本地地址表(LAT)
在Microsoft Proxy Server安装期间,要求你完成Local Address Table Configuration对话框。你所提供的信息用来创建一份Local Address Table (LAT).这一节就来介绍LAT,告诉你LAT是做什么的,并说明LAT是怎样规定的。
什么是LAT?
在Microsoft Proxy Server安装期间,Setup程序帮助你创建一份组成你的私人网络的IP地址表。你所提供的信息是被用来创建一份叫做Local Address Table (LAT)的表的,它规定了你的私人网络。对你的私人网来说是外部的那些IP地址都特别地被排除出这份表。
Setup程序在服务器上安装LAT.包含LAT的文档的名字是Msplat.txt,它在服务器上的缺省位置是C:\Msp\Clients(如果你把Microsoft Proxy Server安装在服务器上的不同位置上,那么Msplat.txt文档会相应地重新定位)。Microsoft Proxy Server Setup程序也在这个目录里安装一个客户机的Setup程序。
Microsoft Proxy Server Setup程序在服务器上设置\Clients子目录作为网络共享,名字为Mspclnt.客户机只要连到\\Servername\Mspclnt,然后运行客户机Setup程序,就可以与这个共享相连。客户机Setup程序把客户机计算机设置成WinSock Proxy service的一个客户机,并且还试图把客户机计算机的Internet浏览器设置成Web Proxy service的一个客户机。(客户机Setup所作的确切的客户机设置取决于在Microsoft Proxy Server Setup期间你所作的设置选择。)
在客户机Setup期间,LAT文档(Msplat.txt)被拷贝到了客户机。为了保持客户机的LAT文档是当前的,定期经常地从服务器里更新Msplat.txt文档。每当客户机上的一种Windows Sockets应用程序试图与一个IP地址建立连接时,LAT就用来确定一个IP地址是在私人网上的还是外部的。如果这个地址是内部的,那么就直接连接。如果地址是外部的,那么就要通过Microsoft Proxy Server上的WinSock Proxy服务来作远程连接。
注意这只是LAT的一个基本的综述。要知道更多的信息,请看附录D,"体系结构"。
LAT是怎样确定的?
LAT是在Microsoft Proxy Server安装期间当你完成Local Address Table Configuration对话框时确定的。LAT由一系列的IP地址对组成。每个地址对或者规定了一段IP地址的范围(从第一个较低的地址到第二个较高的地址),或者规定一个单一的IP地址(如果地址对里的两个地址是一样的话)。
注每对IP地址或者等同于一段地址范围,或者等同于一个单一的IP地址。第二条不是一个子网屏蔽。
要把地址加到LAT里去,你可以:
· 点一下Local Address Table Configuration对话框里的Construct Table按钮。这就从Windows NT Server使用的内部路由表里生成出IP地址对表。
· 使用Local Address Table Configuration对话框里的编辑控制来用手工输入IP地址对表。
· 使用这两种技术的联合(生成一个IP地址对表,然后用编辑控制来手工地加入和撤走地址)。
在Microsoft Proxy Server的安装期间,你点了Local Address Table Configuration对话框里的Construct Table按钮,从Windows NT Server使用的内部路由表生成IP地址对表后,在有些情况下所生成的地址可能不完全规定了你的私人网络。例如,生成的地址可能遗漏了你的私人网络的子网,或者可能包括在你的私人网络之外的地址。所以检查一下生成的IP地址表这点很重要。使用编辑控制来加入任何需要的IP地址,直到你的内部网的所有地址都规定好了为止。撤走任何规定外部(Internet)地址的IP地址对。
注 如果你发现在生成IP地址对表时遗漏了你的私人网络的一个子网,你需要像上面说明的那样来加入IP地址对,但你还需要检查和修改服务器或网络设置来保证丢失子网对于TCP/IP连接来说变成是可以接受的。
二. 安装Microsoft Proxy Server
遵照这些指示来做一次Microsoft Proxy Server的新的安装。关于从Microsoft Proxy Server的初始版本更新的信息,请看在Microsoft Proxy Server CD盘上提供的Readme.txt文档。
1. 核实第二章"安装前的要求"里列出的先决条件已经得到了满足。还要核实服务器上已经安装了Windows NT Server版本4.0 和Microsoft Internet Information Server (IIS)版本2.0,然后用一个有管理权的用户帐号登录在服务器上。
2. 从Microsoft Proxy Server CD盘里的Ntupdate目录里,打开适合服务器的处理器体系结构的子目录,并运行Update.exe来安装Windows NT Server 4.0 Service Pack.安装好Service Pack以后,重新启动服务器计算机,并再次用一个有管理权的用户帐号登录在服务器上。
3. 从Microsoft Proxy ServerCD盘的根目录上运行Setup. -或者- 把CD盘的内容拷贝到一个共享的文件夹里,把服务器连到那个共享上,运行Setup.
出现Welcome对话框。
4. 点一下Continue.
出现CD Key Number对话框。
5. 要记录下产品的标识号(显示在随产品一起提供的Certificate of Authenticity上),在CD Key框里键入这个号,点一下OK,然后点一下出现的确认对话框里的OK. 出现Change Folder对话框。
6. 要把文件夹改换到安装了Microsoft Proxy Server的那个,点一下Change Folder并完成出现的对话框。要接受缺省的文件夹就跳过这一步。
7. 点一下OK.
出现Installation Options对话框。
8. 要确定安装了哪些Microsoft Proxy Server部件,选择或者请除每个选项的检验框。Installation Options对话框包含了下列项目的检验框:
o 安装Proxy Server
o 安装Administration Tool
o 安装Documentation
缺省时,选择所有的部件。
9. 适当地设置好安装选项后,点一下Continue.
出现Microsoft Proxy Server Cache Drives对话框。列出了服务器的本地驱动器。
10. 要指定一个磁盘来存储超高速缓存了的数据,从表中选择一个驱动器,在Maximum Size (MB)框里键入一个数,并点一下 Set.
根据需要来重复指定附加的驱动器来存储缓存的数据。
在设置cache驱动器时,你必须最少要指派一个驱动器和5 MB来用于超高速缓存。不过,我们建议的最小分配量还要高一些。建议你为每个Web Proxy服务客户机分配至少100 MB加上0.5 MB (并取整到最近的完整的MB数)。例如,如果一个服务器将服务于79个Web Proxy服务客户机,那就建议你指派140 MB或更多来给cache.对每个服务器来说,最佳的cache分配随负载和设置而变,不过一般地讲,增加磁盘空间的分配对cache有利。
以5 MB的增量从一个驱动器把空间分配给cache.如果你指定一个不能被5除尽的数,那就会取整到下一个最低的 5 MB增量。例如,如果你指定194 MB给C驱动器,而实际上从那个驱动器分配给cache的是190 MB.
注强烈建议你只使用NTFS存储体来作超高速缓存。还有,不要指派只读驱动器(比如CD-ROM驱动器)给cache.
关于超高速缓存的更多信息,请看第四章"服务器特点"和附录D"体系结构"。
11. 点一下OK.
出现Local Address Table Configuration对话框。使用这个对话框来规定你的网络里所有内部的IP地址,并排除掉所有外部的IP地址。关于这个对话框的重要信息,请看本章前面的"关于LAT你需要知道什么"。
12. 要建立你的内部网络的IP地址表,点一下Construct Table按钮。
出现Construct Local Address Table对话框。
13. 选择Add the private ranges检验框来加到由IANA规定为私人地址范围的三个IP地址段去,这些地址段可 以用于不连在Internet上的私人IP网络里。
14. 要选择服务器上IP地址被包含在LAT里的网络适配卡,从NT Internal Routing Table里选择Load,并完成它的选项。
o 如果你不知道服务器的哪些网络适配卡是连在私人网上的,那就从所有的IP接口卡里选择Load known地址范围。
o 如果你知道服务器的哪些网络适配卡是连在私人的(内部的)网络上的,哪些是连在Internet上的,那就从下面的IP接口卡里选择Load known地址范围来只装入那些与服务器的内部连接的卡相联系的IP地址。然后,在网络适配卡的列表中为每个内部连接的卡选择检验框,并清掉每个外部连接的卡的检验框。
15. 你完成了Construct Local Address Table对话框后,点一下OK.
Local Address Table Configuration对话框又回来了。在Internal IP Ranges框里显示了一张IP地址对的列表。
16. 核实Internal IP Ranges框里的条目正确地标识了你的内部网。加入任何需要的IP地址对直到你的内部网的所有地址都规定好了为止。撤走任何规定外部(Internet)地址的IP地址对。
o 要在列表里加入一段地址,在Edit下的From和To框里键入一对地址,然后点一下Add按钮。
o 要在列表里加入一个IP地址,在Edit下的From和To框里都键入同样的地址,然后点一下Add按钮。
o 要撤走列表里的一个IP地址或者地址对,从Internal IP Ranges框里选择它,然后点一下Remove按钮。
17. 恰当地设定好LAT设置后,点一下OK.
出现Client Installation/Configuration对话框。用这个对话框输入客户机Setup程序使用的信息,这个程序是Microsoft Proxy Server Setup安装在Mspclnt共享里的。
18. 使用WinSock Proxy Client下的选择来指定客户机Setup程序将如何设置从这个服务器安装的WinSock Proxy客户机。
o 选择Machine或DNS Name或IP Addresses.如果你选择Machine或DNS Name,核实一下名字是正确的。如果必要就键入合适的名字。
o 当选择了Enable Access Control检验框后,WinSock Proxy服务的安全性就启用了,而只有指定了许可的那些客户机才能使用这个服务器上的WinSock Proxy服务。如果你清掉了这个检验框,那么所有的内部客户机将都能使用这个服务器上的 WinSock Proxy服务。缺省时,是选择这个检验框的。
关于使用Microsoft Proxy Server with DNS的信息,请看第五章"服务器管理"。关于设置WinSock Proxy客户机许可的信息,请看第七章"设置WinSock Proxy Service"。
19. 使用Web Proxy Client下的选择来指定客户机Setup程序如何设置从这个服务器安装的Web Proxy客户机。
o 在Web Proxy Client下面选择Set Client Setup to Configure Browser Proxy Settings来让客户机Setup程序将客户机浏览器设置成为一个Web Proxy客户机(如果浏览器是Netscape Navigator或者是Microsoft Internet Explorer).
如果你选择这个选项,那么核实出示在Proxy to be Used by Client框里的名字是正确的。如果必要,就键入正确的名字。
还有,如果你选择这个选项,那么Client Connects to Proxy Via Port的值就显示将设置Web Proxy客户机要使用的端口号。这个框里的值不能在这里改变。它是为Internet Information Server设置的TCP端口号,用Internet Service Manager改变来管理WWW服务。要知道更多的信息,请看本章前面的设置Web Proxy听端口。
o 当选择了Enable Access Control检验框后,Web Proxy服务安全性就启用了。当清除了这个检验框后,Web Proxy服务就不会试图去证实来自客户机的连接。缺省时,这个检验框是选择的。
三、Microsoft Proxy Server 管理
可以用与产品一起提供的管理工具来管理Microsoft Proxy Server.它也与Internet Information Server (IIS)和Windows NT Server设置紧密地相互作用。一起使用随这些Microsoft服务器产品的每一个一起提供的工具,你可以为你的私人网络上的Microsoft Proxy Server开发一个合适的管理设置。
本章包含下面的题目,讨论如何管理Microsoft Proxy Server,以及管理服务器与你网络上的其它服务一起适当地工作的进一步考虑。
· 使用Internet Service Manager
Internet Service Manager是由IIS提供的一个管理工具。可以用Internet Service Manager来管理由Microsoft Proxy Server提供的两种服务特性:Web Proxy和WinSock Proxy服务。
· 把用户放在Windows NT组里
为了便于管理对Web Proxy和WinSock Proxy服务的访问,建议你把用户加在一些组里,然后给这些组指定许可。使用对组来赋值的办法,你可以简化给予或撤销用户对Microsoft Proxy Server的许可所需的管理任务。
· 在你的网络上设置Microsoft Proxy Server的考虑。
一些考虑可能会影响你在你的私人网络上如何选择设置或安装Microsoft Proxy Server.正确地设置服务器网络适配卡和 TCP/IP端口是一个重要的考虑。另外。对于使用其它的TCP/IP服务,像DNS, WINS, DHCP,或者多个网间连接器的网络,当在你的网络上使用Microsoft Proxy Server时,还要作进一步的考虑。
· 设置LAT
Local Address Table(LAT)被Microsoft Proxy Server用来规定你的私人网络。在处理客户机请求时,Web Proxy和WinSock Proxy服务都主动地使用它。由于LAT是代理服务正确起作用的一个关键部件,因此,必须监视记录在LAT里的地址与你网络上使用的实际地址之间有没有任何差别,当发生差别时就要改正它。必要时你可以修改或取代存在服务器上的LAT.
· 设置拨号支持
根据要求拨号是Microsoft Proxy Server的一个受到支持的特点。Dial-out使用一个与Remote Access Service (RAS)兼容的工具,它支持RAS电话簿条目。通过你的Internet服务供应商,可以用这些条目来自动安排与Internet的拨号连接。
使用Internet Service Manager
使用与Microsoft Internet Information Server一起提供的Internet Service Manager来管理Microsoft Proxy Server的服务。
用Internet Service Manager来设置Microsoft Proxy Server服务
1. 点一下Start,选择Programs,选择Microsoft Proxy Server,再点一下Internet Service Manager.
显示Microsoft Internet Service Manager窗口。列出了所有安装了的对当前服务器的Internet服务。
2. 如果你将管理一个远程服务器,就连到那个服务器。
o 要与一个具体的服务器连接,在Properties菜单里点一下Connect to Server并完成出现的Connect to Server对话框。
o 要与你的网络上的所有Microsoft Proxy Servers连接,在Properties菜单里点一下Find All Servers.
注: 使用Find All Servers时,在其它服务器计算机上的WinSock Proxy服务是检测不到的。要连接不同计算机上的 WinSock Proxy服务,使用Connect to Server并指定要连接的计算机名。
3. 要管理服务器的Internet服务,在服务名旁边的计算机名上点两下。
o 要管理服务器的Web Proxy服务,在那项服务旁边的计算机名上点两下。
o 要管理服务器的WinSock Proxy服务,在那项服务旁边的计算机名上点两下。
出现所选服务的Service Properties窗口。
4. 使用Service Properties窗口来设置服务。
关于管理Microsoft Proxy Server服务的更多信息,请看第十一章"设置Web Proxy Service"和第十二章"设置WinSock Proxy Service".
四、Microsoft Proxy Server 网络配置
一. 安装网络适配卡
下面这节要概要给出在安装与Microsoft Proxy Server一起使用的网络适配卡时要遵从的一些考虑。在大多数装置里,服务器上需要安装两块网络适配卡,一块网络适配卡用于与内部私人网络的连接,另外一块适配卡用于对外连接到Internet或者另一个外部网。
在有些情况下,Microsoft Proxy Server也可以只用一块适配卡,作为在局域网上提供有限使用的超高速缓存服务的一种方法。当只安装了一块服务器适配卡时,网间连接器的服务无效,服务器可以设置成类似于你的网络上的其它内部服务器或者客户机。
使用两块适配卡时的安装考虑在为网间连接器的运作安装两块网络适配卡时,首先在服务器计算机上把两块网络适配卡都装上。在同一台计算机上使用多个网络适配卡要遵从制造商任何特殊的设置指示。
在大多数情况下,预先设置好的硬件设定是为每块适配卡上的内存基础I/O地址或者IRQ等级作出的,所以设备之间的冲突是可能发生的。检查一下每块卡的基本I/O和IRQ设定是否设得不同,并采用与当前安装在你的系统上的其它设备没有冲突的设定。
安装好卡后,记下每块网络适配卡所用的设置,如果在你安装时作了改变,则更新这些记录。在以后解决任何硬件设备的冲突时,保持记录就有助于节省所需的时间。
用控制面板上Network应用程序里的Adapters特性表来核实两块适配卡都已正确地安装并设置好了。检查每块适配卡的独特的I/O基地址和IRQ值。
提示;如果对两块服务器适配卡的硬件描述是一样的,那么在跟踪你正在设置的那块适配卡时就会出现混乱。Windows NT根据第一个数来识别加在系统上的每块适配器,比如[1]是安装的第一块适配卡,[2]是安装的第二块适配卡。当你试图核实或改变一块具提体的硬件适配卡的设定时要参考这些数。
设置外部网络适配卡
在装入将要连到Internet去的网络适配卡时必须遵从下面的考虑。
· 为外部适配卡恰当地设置协议连接。这是用控制面板上的Network应用程序里的 Bindings特性表来做的。
断开与SMB Server,与NWLink IPX/SPX兼容的Transport, WINS Client (TCP/IP),以及NetBEUI Protocol的连接。为了列出WINS Client,断开与所有接口(Server, Workstation and NetBIOS接口)的连接。外部网络适配卡可以启用的唯一连接应该是TCP/IP Protocol.
· 核实对外部适配卡合适地设置好了TCP/IP特性。这可以用控制面板上Network应用程序里的Protocols特性表来做。
为了与Internet的外部TCP/IP连接,你应该与你的Internet Service Provider (ISP)查对来取得TCP/IP设置的正确输入信息。特别地,你还需要知道IP地址,子网屏蔽,缺省网间连接器,Domain Name System (DNS)的域名,以及DNS服务器用来作DNS名字搜索的IP地址。在有些情况下,你的ISP可能使用动态主机设置协议(DHCP)或者Bootstrap Protocol (BOOTP)来实现客户机地址的动态分配。与你的ISP联系来得到关于在有这些服务的地方设置外部适配卡的进一步信息。
· 对外部网络适配卡作初始的通信试验。
在另一台内部的IP客户机计算机上用与Windows NT和Windows 95一起提供的Ping.exe(或者类似的工具)来验证服务器外部适配卡是正确地设置好了的。当使用Ping或其他的返回应答类型的试验时,你需要使用在外部段上的另一台计算机。
设置内部网络适配卡
下面要详细说明装入要用来把Microsoft Proxy Server从内部连接到你的私人网络上去的网络适配卡的考虑。
· 为每块网络适配卡建立合适的协议连接。这用控制面板上Network应用程序里的Bindings特性表来做。
断开任何不需要的或者当前在你的内部网上使用的连接,像NetBEUI Protocol或者WINS Client (TCP/IP).你必须在这块适配卡上启用与NWLink IPX/SPX Compatible Transport,或者TCP/IP Protocol连接。
· 核实与NWLink IPX/SPX CompatibleTransport和/或TCP/IP Protocol是安装好的,并且恰当地设置好了特性。这可以从控制面板上Network应用程序里的Protocols特性表来做。
对于内部网络适配器上的NWLink IPX/SPX Compatible Transport协议特性,对Internal Network Number输入与你的私人网络上其他基于Novell的服务器和客户机所用的同样的网络号。在大多数情况下,你可以用Auto Frame Type Detection来让Windows NT自动地检测在你的内部网上用的正确的帧类型。在有些情况下,你可能需要用Manual Frame Type Detection来手动地输入帧类型。如果你用手工输入一种帧类型,那一定要是你的网络上的其他基于Novell的服务器和客户机所支持的同样的帧类型。
如果你的私人网内部使用RIP/SAP路由,那你也可以选择启用Routing标记上的RIP路由。(RIP路由会在你的网络上加相当大的流通量,所以只有当设备在你的网络上通信需要时才启用它。)
虽然在两块网络适配卡上都设置了TCP/IP Protocol Properties,但为了内部的TCP/IP连接,所有的地址设定都要用手工指定。
不要用Obtain an IP address from a DHCP server选项来得到内部网上用的IP地址。尤其你应该为Microsoft Proxy Server输入一个永久保留的IP地址,并为你的局域网输入一个适当的子网屏蔽。另外,不要为内部网络适配卡的Default Gateway输入地址。
注; 如果你的私人网使用DNS, Windows Internet Name Service (WINS),或者DHCP服务,你会需要考虑如何设置内部网络适配器来使Microsoft Proxy Server与这些服务一起工作。关于与DNS, WINS,或者DHCP服务一起使用Microsoft Proxy Server的更多信息,请看本章后面的"使用DNS, WINS,和DHCP服务"那部分。
· 对两块服务器网络适配卡都作初始的通信试验。
在另外一台内部的IP客户机计算机上用随Windows NT和Windows 95一起提供的Ping.exe(或者类似的工具)来验证服务器内部适配卡是正确地设置好了的。还有,如果在你的内部网上你正在使用的只有IPX/SPX,那你就可以使用一种基于IPX的,能做pinging或者返回应答类型试验的工具。
二. 使用一块适配卡的安装考虑
在有些情况下,Microsoft Proxy Server可以在一个私人网络上与一块网络适配卡一起工作。在这种装置里,不设置用于Internet访问的网间连接器服务,Microsoft Proxy Server主要用来为局域网的用户提供文件的超高速缓存服务。
对于与内部网络间只有一块网络适配卡的连接来设置Microsoft Proxy Server,你可以用适合你局部的TCP/IP网的服务器和客户机的IP和DNS设定。对这类装置的TCP/IP网络设定没有专门的考虑。
三.使用TCP/IP端口
什么是TCP/IP端口?
在Ports are used in TCP/IP里,端口用来称呼载运长时间会话的逻辑连接的头。端口是允许像User Datagram Protocol (UDP)和Transmission Control Protocol (TCP)这样的传输协议有处理多个主机之间通信能力的一种抽象。它能让通信被唯一地识别出来。WinSock Proxy服务广泛地使用端口来提供一种改向应用的方法。
为了向不知名的来访者提供服务,规定了一个服务联系端口。每个启用了WinSock Proxy的应用程序都在服务器上指定一个端口用于TCP或UDP联系端口。联系端口有时也叫?quot;著名端口"。在一定程度上UDP也使用这些相同的端口分配。为了使用UDP,应用程序必须提供目的应用的IP地址和端口号。
端口用一个整数来标识。最初,赋于端口可用的值在 0 - 255之间。近来,分配亩丝诜段б丫?┱沟搅嗽市硭奈弧 ∈?值亩丝诤牛?罡叩?999.指定的端口只用了可能的端口号的一小部分,如果开始的端口不能用,或者要用于新的定制的服务器应用程序,那就可以指定其它的还每有分配的端口号来作为代替。
可以指定端口使用TCP或者UDP作为传输一级的协议,指定端口怎样发送和接收数据。另外,在Microsoft Proxy Server上可以分开指定入站端口和出站端口。入站端口用来听取来自Internet客户机的客户请求,而出站端口则用来听取内部私人网上的客户机的请求。
设定WinSock Proxy端口许可
Microsoft Proxy Server使用WinSock Proxy服务的应用服务端口。为了让基于Windows Sockets的每个应用程序都能通过一个网络连接来工作,端口与IP寻址联合使用来组成一种"插入式(socketed)"的连接。关于Windows Sockets如何工作的信息,请看附录D "体系结构"。
规定了WinSock Proxy服务的端口后,就可以给在Microsoft Proxy Server网间连接器上规定的每种应用的用户发端口许可了。例如,,VDOLive是一种WinSock Proxy服务支持的应用。它使用出站TCP 7000端口和入站UDP端口0作为它的"著名端口",用于Microsoft Proxy Server上规定的服务。于是,用户就可以得到许可来使用带WinSock Proxy的VDOLive.用WinSock Proxy Properties里的Permissions特性表给了许可后,用户就可以访问指定的那些端口(入站和出站的都可以)了。
如果你要让你的网络上的用户可以分别访问入站和出站的服务端口,为此,你可以在WinSock Proxy服务特性里创建一个附加的协议规定。
例如,假定你想给你网上的所有内部用户都能从出站和入站两个端口来访问FTP服务的许可,但是对一个叫做FTPClient1的Internet用户只允许他作入站的FTP登录。
在这个例子里,你可能使用预先规定的协议FTP,并且把所有内部用户的许可都指派给这个协议,因为它可以实现入站和出站的端口访问。然后,为了FTPClient1这一个用户帐号只允许入站端口访问,你可以创建一个新的协议规定叫做"FTP(只能入站)",并只给它规定入站TCP端口0.然后就可以分配给FTPClient1帐号许可,列?quot;FTP (只能入站)"协议许可表。
五、MS Proxy的使用方法详解
授予Proxy权限给新用户组
打开IIS Service Manager,然后打开Web Proxy属性页。我将讨论在MS Proxy Server里如何授予权限给一个组。打开Web Proxy Server属性页,选Permissions页。
缺省情况下,MS Proxy Server没有为任何协议配置权限许可。因此,没有用户能通过WebProxy(或WinSock Proxy)出站访问Internet,要给一个新的Proxy用户组授予访问权限,需进行如下操作:
1. 在Protocol下拉框中选择一个你希望指定访问权限的协议。
2. 点"Add"钮,将弹出一个对话框来把组或用户加入到这个协议的访问列表中。
1. 下拉表里的名字列表允许你选择任何域,外部域可以通过信任连接或其他域的并行帐号。
2. 缺省情况下仅列出本地组和全局组,你也可以列出全部用户,单独配置用户,但这对于大中型网络的管理来说,将是一场恶梦。可能的话,尽量用工作组来配置用户。
在Add Users and Groups对话框上的"Members"按钮可以显示出当前选中的组的成员列表
控制来自于Internet的进站访问
安装了Proxy Server后,NT有两处改动来扩展安全。第一个改变是IP转发。IP转发是在TCP/IP属性里的一项设置,这是关闭的。它控制NT是否在网络接口间转发IP包(例如:从网卡到RAS连接之间)。当为一个网络配置永久性的Internet连接的前提下,并且局网上的每一个工作站配置了它们自己的Internet直接访问时,IP转发必须设置为有效,以便工作站可以把它们的包发向Internet,反之亦然。在连接到Internet的那台NT Server上,它自己将锁住所有的进站流量
更进一步地限制从Internet上连到NT Server的客户机,MS Proxy Server禁止了所有没有权限设置IP端口的侦听,这意味着任何运行在NT Server上的Internet服务应用程序(例如FTP服务器,Telnet服务器,或POP3服务器)都不能听到任何外部的进站流量,除非给这些协议设置了WinSock Proxy权限。Web Proxy仅侦听80端口的流量,如果在Web Proxy里给任何被支持的协议设置的权限,80端口也可以侦听进站流量。
在MS Proxy Server自己的域里隔离它
如果你想为你的代理访问设置非常高的网络安全特性,有一个方法,就是设置运行Proxy Server的NT服务器作为它自己域 里的基本域控制器。然后在Proxy域和网络域之间建一个单向信任关系。Proxy域设置为信任网络域,但是网络域不要信任Proxy域,这种设置将更好的限制发生在Proxy服务器和网络域所有其他系统之间的访问。
当网络未被设置成一个域时,这种方法也能工作量很好。但相对于工作而言,运行Proxy Server的NT服务器可以被设置成它自己域的基本域控制器,这可以提供更好的安全控制,并且对于将来的扩充也会更容易。
监视Proxy Server活动
两种基本方法:第一种,也是最常用的一种日志记录是标准的逗号分割的文本文件,或是通过ODBC驱动程序连接到SQL上。第二种方法,是通过SNMP来监视。这需要在NT上安装SNMP服务。SNMP的目的是分布式,并且有时控制数据到一个远程工作站上,以便于运行在NT Server上的服务能从外部地方被监视并被控制
Proxy Server可以记录日记信息到一个文本文件,或通过ODBC驱动程序把信息记录到一个数据引擎。文本日志是一个非常简单的处理过程,而且让网络管理员有一个快速的方法查看关于Proxy Server部件所发生的事件(Web Proxy and WinSock Proxy)。日志可以用于生成日、星期或月的报告。
文本文件记录
缺省情况下,Proxy Server记录所有的事件信息到一个文本文件,该文件存在下面的地方:
n Web Proxy Logs: c:\winnt\system32\w3plogs
n WinSock Proxy Logs: c:\winnt\system32\wsplogs
通常每天会自动建立新的日志文件,可以改为每星期或每月。当使用中的日志文件达到指定尺寸时,会建一个新的日志文件
在Web Proxy and WinSock Proxy services的属性设置中,有一个日志表。两个服务的表都是一样的。
当一个日志文件建好后,它的名字是基于当前日期的。例如,日志文件是1996年12月5日建的,日志文件名就是:w3961205。日志文件有两种格式:常规和详细,常规日志是短格式,不包括所有的数据元素,详细日志包含了完整的数据常规日志样板。
详细日志样例
数据字段的定义
为了明白日志文件的内容,下面是日志文件中每一个字段的定义,它的顺序和你在日志文件中看到的一样。记住Web Proxy和WinSock Proxy的日志文件在格式上是一样的。常规日志并未省略任何数据字段,只是减少了某些信息量。
1. 客户机IP (ClientIP):这个字段时连接到Proxy的客户机IP地址。当Web Proxy激活一个缓冲任务(要连到外部WEB来刷新缓冲的内容),就会自己记录一个条目到日志文件,这个字段的数据就是Web Proxy服务器自己的IP。
2. 客户用户名(ClientUserName):如果Proxy客户机用户的名字是已知的,它就会显示在这个字段里。如果是一个匿名用户,这个字段的值就是"anonymous"。
3. 客户代理(ClientAgent):这个字段是客户访问Proxy服务器的代理名称。如果是Web Proxy客户,那么客户应用程序将会在连接头发出这个信息给Web Proxy。如果是WinSock Proxy客户,工作站上的WinSock 客户软件将决定程序运行的实际名字并通过控制通道传递给WinSock Proxy。该字段也包含了客户操作系统的重要信息,该信息用一个冒号与代理名分开。对于Web Proxy客户,这些信息有可能在连接头里被传给服务器(也可能不会)。对于WinSock客户,这个信息总是通过WinSock客户软件被传递给服务器。一个操作系统信息由客户传给Web Proxy的例子:compatible; IE3; WIN95。操作系统信息由一个客户传给WinSock Proxy看起来象这样:2:4:0,这是Windows95的代码。下面这个表是WinSock Proxy日志中操作系统代码的明细。
0:3.1 Windows 3.1
0:3.11 Windows for Workgroups
0:3.95 Windows 95 (connection made by a 16-bit client application.)
1:3.11 Windows for Workgroups (connection by a client using the Win32s extensions.)
2:4.0 Windows 95 (connection made by a 32-bit client.)
3:3.51 Windows NT 3.51
3:4.0 Windows NT 4.0
Web Proxy完整记录这个字段值的样例是:Mozilla/2/0(compatible; MSIE 3.0; Windows 95)。WinSock Proxy完整记录这个字段值的样例是:WS_FTP32.EXE:2:4.0。Web Proxy记录该字段的精确值依据客户应用程序在做proxy连接时传送到Web Proxy的头信息改变而变动
4. 认证情况(ClientAuthenticate):该字段指出客户是否为一个确认过的连接,Y值代表客户经过NT安全数据库的校验。
5. 记录日期:Proxy Server建立该条记录的日期
6. 记录时间(LogTime):Proxy Server建立该条记录的时间
7. 服务器名(ServerName):加入到日志记录里的服务器名字。当选择详细日志记录时,WspSrv代表WinSock Proxy,W3Proxy代表Web Proxy。当选择常规日志时,该字段是两个数值,1代表Web Proxy,2代表WinSock Proxy。
8. Proxy Name:运行Proxy Server的NT服务器名字。这是一个NetBIOS名字。
9. 提交服务器名(Referring Server Name):这在当前版本下是一个保留字段。以后的Proxy Server版本将用它来保存下行Proxy Server的名字,该服务器连接到当前Proxy Server。这在一个互相协作的层叠Proxy服务器群里非常有用
10. 目的名(DestHost):该字段指出客户通过Proxy Server连接的域名。但并不总是客户连接请求的名字,因为网上有些站点自动执行连接转发。如果信息由缓冲中发出(只有Web Proxy这样),则该字段无内容。
11. 目的IP地址(DestHostIP):该字段保存客户通过Proxy Server连接主机的IP地址,就象上个字段一样,如果从Web 缓冲中获信息,该字段则无内容。
12. 目的端口(DestHostPort):在Proxy Server和目标站点之间连接的TCP/IP端口。如果没有数据传送到客户机上,该字段无内容,该字段仅由Web Proxy使用。WinSock Proxy在此字段无内容。
13. 处理时间(ProcessingTime):Proxy Server获取客户机发出信息所花费的时间(毫秒级)。一旦proxy server从目的网站收到结果代码,时钟就停止。如果信息由Web Proxy缓冲里发出,该字段则指出定位信息并发送给客户机用了多少时间。
14. 发送字节数(BytesSent):Proxy Server发送给客户机的字节数。如果没有信息发给客户机,该字段可能为空。只有Web Proxy使用该字段。
15. 接收字节数(BytesRecv):该字段记录Proxy Server由客户机处收到的字节数。其大小是客户机发给Proxy的请求数量。和前个字段一样,该字段仅由Web Proxy使用。如果该字段在Web Proxy日志中为空,可能是客户机没有发送数据或是没有提供大小信息。
16. 协议名称(Protocol):在Web Proxy日志里,该字段的内容是:HTTP, FTP, Gopher, or Secure,根据客户使用的协议而不同。在Winsock Proxy日志里,该字段是客户机连接的常用数字协议(例如:SMTP连接的110)
17. Transport:客户机与Proxy Server之间使用的传输方法。Web Proxy连接总是TCP。Winsock Proxy连接会是TCP、UDP或是IPX/SPX。
18. Operation:记录Proxy Server执行的转输操作。Web Proxy能记录GET、PUT、POST和HEAD。WinSock Proxy能记录Connect、Accept、SendTo、RecvFrom和GetHostByName。
19. 对象名称(Object Name):该字段记录Web Proxy收到的对象名称,WinSock Proxy日志该字段为空。
20. Object MIME:仅Web Proxy使用该字段。记录收到的MIME类型对象。如果目标服务器未定义或不支持,该字段会包含如下字符串:
MIME Type Definition
application/x-msdownload Application
image/gif GIF Image
image/jpeg JPG Image
multipart/x-zip ZIP Archive
text/plain ASCII Text File
21. Object Source:只有Web Proxy使用,该字段记录对象由何处而来。记录内容如下:
n Field Value Definition
n Unknown Proxy Server could not determine where the object originated.
n Cache Object found in cache.
n Rcache Object found on Internet. Objects was added to cache.
n Vcache Object found in cache. Object was verified against target object on Internet.
n NVCache Object found in cache but could not be verified against target object on Internet. Object was still returned to client.
n VFInet Object found on Internet. Object could not be verifed against source.
n PragNoCacheInet Object found on Internet. HTTP header indicates that the object should not be cached.
n Inet Object found on Internet. Object was not added to the cache.
1. 结果代码(Result code):该字段是连接到的Internet站点返回关于收到对象的结果代码。该字段值的范围非常广,Web Proxy和the WinSock Proxy在该字段记录不同的值。在Web Proxy记录里,低于100的值代表Windows错误代码,在100和1000之间是HTTP状态代码,10000以上的值是Wininet或WinSock错误代码。Web Proxy记录的三个最常见的代码是200(成功连接)、10060(连接超时)、10065(未达到主机)。在WinSock Proxy记录里,该字段的值是下列代码之一:
Code Definition
0 Successful Connection
1 Server Failure
2 Rejection by Proxy due to filtering
3 Network unreachable due to no DNS service available.
4 Host unreachable because no DNS entry could be found for the host.
5 Connection refused by target Internet site.
6 Unsupported client request (perhaps the client is using a non-compliant TCP/IP stack or the WinSock call is from a non-supported version.
7 Unsupported Address type.
详细字段与一般字段
当选择一般记录时,有些字段会简单的用"-"来填充,详细记录会记录前面列表中所有已知数据。一般日志仅记录下面的字段:
Client Computer IP
Client User Name
Authentication Status
Date Logged
Time Logged
Server Name
Destination Name
Destination Port
Protocol Name
Object Name
Object Source
Result Code
阅读日志有时会非常糊涂,因为有时看上去代理服务器没有记录正确的信息。最重要的是记住保持字段顺序的正确,很快你就能正确地理解它们了。
日志记录的注意事项
因为Web proxy是作为WWW Server的一个子服务运行,你可以关掉所有的WWW日志并且让Web Proxy记录所有的连接信息。允许WWW记录是多余的,只会无谓地消耗硬盘空间。
说到硬盘空间,注意当有许多人访问Proxy Server时,日志文件会增长到非常大的尺寸。这会导致每个由Internet或缓冲返回的对象产生一个记录。WEB页面可以包含5个、10个、甚至更多的对象。每次访问象这样的页面,都会建立大量的日志记录。更糟的是,有些客户在他们收到一个错误的数据请求时,会一次又一次地发出同样的命令,这会使得日志文件变得非常大。一个比较好的方法是仅仅保留一少部分需要日志的时间,并且把你需要保存的那部分存档,如果日志所在的硬盘满子,Proxy Server可能会停止操作。
保持一个日志将确保你作为一个网管为你的公司维护一个高可靠的环境。没有日志,你的网络用户可能会使Internet访问陷于停顿,而你没有办法知道谁或怎么导致了这一问题。
数据库记录
如果你可以访问象SQL Server或Access这样的数据库引擎,你可以使用ODBC驱动程序来让Proxy Server与这些数据库引擎连接记录同样的日志。记录到库的好处是数据在一个易于使用的表格里并且以更紧凑的方式存储。
当安装好Proxy Server后时,会提示你安装ODBC驱动程序。与SQL和ACCESS接口的ODBC驱动程序同Proxy Server一同提供。如果ODBC驱动程序已经安装在你的NT Server上了,就无需再重装它们。ODBC以一个通用格式进行操作,同样也不是针对某几个软件(除了为它设计的专用数据库接口)。ODBC被设计成一个通用接口方法,这样应用程序可以用它来打开一个数据库来读写数据,而不用知道特定数据库引擎的数据格式。应用程序可以调用ODBC驱动程序,ODBC驱动程序知道如何用数据库引擎执行请求的动作。
准备数据库
如果你准备用数据库来记录Proxy Server的信息,第一个要做的事情就是准备数据库文件来保存数据。可以通过数据库自身来完成。这是相当简单的一种方法,建一个文件,定好字段、留出足够的长度以保存任何可能的数据。下面的表详细的定义了字段名和类型
Field Name SQL Data Type Access Data Type Length
ClientIP varchar text 50
ClientUserName varcha text 50
ClientAgent varchar text 100
ClientAuthenticate char text 5
LogTime datetime datetime n/a
Service varchar text 25
ServerName varchar text 50
ReferredServer varchar text 100
DestHost varchar text 255
DestHostIP varchar text 50
DestHostPort int Long Integer n/a
ProcessingTime int Long Integer n/a
BytesSent int Long Integer n/a
BytesRecv int Long Integer n/a
Protocol varchar text 25
Transport varchar text 25
Operation varchar text 255
URI varchar text 255
MIMEType varchar text 25
ObjectSource varchar text 25
ResultCode int LongInteger n/a
一旦表构建完毕,两个Proxy服务器属性的Logging页都可以配置将日志记录到数据库引擎,并传递日志信息。第六章有更详细的论述。
其他日志文件
Proxy Server给它自己的内部数据用其他的日志文件。当安装好Proxy Server时,它把安装信息记录到c:\mspsetup.log里。这是个文本文件,如果安装不正确,你可以查看这个文件。
当WinSock Proxy客户软件安装到工作站时,它会建一个日志文件叫c:\mpcsetup.log。这个文件可以帮助你跟踪WinSock Proxy客户软件在安装过程中的问题。
NT的事件浏览器是Proxy Server跟踪操作问题的最好工具,Proxy Server遇到的任何应用程序错误都可以通过事件记录器记录下来,与Proxy Server相关的每一条事件都会被下面的名字之一标记记出来:
Event Source Name Definition
WebProxyServer Web Proxy Server generated
WebProxyLog Web Proxy logger generated
WebProxyCache Web Proxy cache generated
WinSockProxy WinSock Proxy Server generated
WinSockProxyLog WinSock Proxy Server logger generated
MSProxyAdmin Microsoft Proxy Server Administrative interface generated
配置Proxy Server
WinSock Proxy会用特殊的DLLs取代客户端本地的WinSock DLLs,WinSock Proxy server只支持WinSock communications version 1.1,
通过在客户机上使用WinSock Proxy,几乎任何Internet应用程序都可以在本地操作,就象直接连接到Internet一样。因为通讯由WinSock这一层来控制,使用WinSock Proxy的客户端应用程序一般很少需要特殊的配置来使其正常工作。
一旦你掌握了Proxy Server的这两个部分,你就知道如何在你的LAN上最好的运用它们。
The IIS Service Manager
安装Proxy Server时,一个首要条件就是要安装IIS Server,因为Proxy Server的Web Server部分是作为WWW Service的子服务来运行的。Proxy Server也使用IIS Service管理器的界面来控制WebProxy和WinSock Proxy。IIS Service管理器在IIS和Proxy Server文件夹里都有,启动后,其界面如下图
Figure 6.1. The IIS Service Manager.(注:该图是IIS3.0的界面,装了Option Pack4以后,其界面更新为Consol平台)
在你的系统里可能还有其他的Internet服务在运行。缺省情况下,三个IIS服务:WWW、FTP和Gopher,这三个服务是在安装IIS的时候装的。
暂停服务与停止服务不同,当一个服务暂停时,当前到服务的连接仍然保持在活动状态,但是不再接受新的连接请求,当需要完全停止一个服务的时候,暂停服务是非常有用的。可以先暂停服务,待所有的活动连接都断开后,再完全停止该服务。
Connecting to Other Servers 连接到其他服务器
在NT环境中,可以完全控制运行在其他NT机器上的服务。IIS Service Manager可以用于控制在局域网中其他NT服务器上任何有效的Internet服务,甚至是在Internet上。实际上,Proxy Server安装程序可以在Workstation上运行,它只安装管理工具。在工作站上安装了管理工具后,那个工作站就可以用来控制运行于NT服务器上Internet服务,不管这个NT服务器在网络上的任何地方。然而,WinSock Proxy不能用于传送NetBios流量,这些流量是用来控制远程NT服务的。这意味着ProxyServer不能用于让LAN工作站执行某些网络命令,例如:驱动器映射、在Internet上的打印。
Authentication Principles 验证规则
配置Web Proxy和WinSock Proxy服务很大一部分工作是设置安全。本节大致讲解Proxy Server的安全。
Web Proxy service使用两个级别的安全,但是WinSock Proxy service只使用了一个。
Web Proxy service的验证第一层是登录验证,因为其他的操作系统可以访问Web Proxy service,而不依赖内部的Windows登录验证。CERN验证是Web Proxy内置的标准,当一个客户机试图使用WebProxy service时,它必须发出一个标准的HTTP请求访问80端口。在收到这个请求之后,Web Proxy服务器返回一个验证给给支持CERN的客户机,客户机上会显示登录对话框,客户机可以被配置成直接向Web Proxy发送验证用户名和用户密码而无需等对话框。客户机必须用一个匿名登录(如果允许)或提供一个在NT用户数据库中存在的登录名和密码。
如果Web Proxy登录被授权,然后用户名和密码将用于后面确定用户可以使用Web Proxy service里的那些服务(WWW, FTP and/or Gopher)。这是验证的第二层:特定协议访问
计划你的服务器
当你计划在单个服务器使用Proxy Server时,要考虑下列因素
推荐的硬件在选择处理器速度、硬盘大小和内存数量上,你所应遵循的规则是什么?在计划服务器硬件费用时,这些决定非常重要,根据你对Proxy Server的应用意向,它也直接影响到所有服务器的性能。
Internet连接设备 你使用什么样的物理连接来把Proxy Server连接到Internet?是Modem、ISDN、或是专线,还有些附加问题也要考虑。
Internet连接费用 什么是你Internet连接的带宽和持续性?如果你分析一下你用户访问Internet的时间,你就可以在访问费用得出不同的结论。你可以决定你的用户访问频度,可以决定常用访问站点能被缓冲。这能帮助你决定使用一种最有效的访问方式。
管理你自己的域当给你的网络和在Internet上的外部用户设置一个DNS服务时,你应该做些什么?
网络协议 在你内部网上正在使用的协议是什么?Proxy Server使用TCP/IP或IPX/SPX协议来与网上的其他用户通讯。
硬件推荐
为了提高性能,你应该计划你的服务器硬件能满足预计的负载。下面的表列出了每类运行Proxy Server计算机的硬件需求。表里的硬件推荐仅针对于运行Proxy Server的单台计算机,实际需求可能因为使用层次的不同、访问介质与LAN的连通性、客户机硬件的速度和使用额外的BackOffice? server产品会有所变化。
处理器
磁盘空间
内存
Minimum: Intel 486 or faster; also supports Alpha AXP. At least 10 MB of available disk space for Microsoft Proxy Server after Windows NT Server has been installed.
For caching, adequate free disk space for the Web Proxy cache (100 MB + 0.5 MB for each Web Proxy service client).
At least 24 MB (32 MB for RISC-based systems).
Recommended for a small business (0?300 desktops): Intel Pentium 133-MHz processor. For caching, adequate free disk space for the Web Proxy cache (from 250 MB?2 GB of disk space). At least 32 MB.
Recommended for a medium business (300?2,000 desktops): Intel Pentium 166-MHz processor. For caching, adequate free disk space for the Web Proxy cache (from 2?4 GB of disk space). At least 64 MB.
Recommended for a large business (2,000 or more desktops): Intel Pentium 166-MHz processor. Set up a Proxy Server array with at least one server for every 2,000 desktops. For caching, adequate free disk space for the Web Proxy cache (from 2?4 GB of disk space per array member). At least 64 MB per array member.
Recommended for an ISP with 1,000 or more simultaneous dial-up users: Intel Pentium 166-MHz processor. Set up a Proxy Server array with at least one server for every 1,000 dial-up customers. For caching, adequate free disk space for the Web Proxy cache (from 2?4 GB of disk space per array member). At least 64 MB per array member.
注意:从磁盘的缓冲里提取对象响应请求,比从网络上响应需要的处理更少。这样,在单个Proxy提供服务时,磁盘缓冲可以让更多的人访问Proxy服务器。
Internet连接设备
在建立到Internet的连接之前,估计一下使用连接的数量,确定一个预计值。首先,确定需要访问Internet的数量。然后,确定都有哪些应用程序和服务要用于这些连接。应该为内外部计算机的数据传送设置一个合理的限制。如果有需要实时处理的应用程序,还应该考虑到这方面的因素。
Modem
Modem最常用SLIP/PPP协议连接到一个ISP来访问Internet。通过使用拨号连接,Proxy Server可以在一条模拟线上使用一个高速模拟Modem进行操作。在有限的情况下,这种访问方式还可以接受,例如:单个网络用户的WEB浏览,或是对小型办公室的邮件路由。模拟Modem通常连接到装了Proxy Server的计算机串口上,NT里的RAS用来管理拨号任务,并负责连接到ISP。
注:如果你使用Proxy Server支持的拨号连接,不要使用RAS属性设置来设定DNS search lists
ISDN
ISDN是取代模拟电话系统的数字方案。现在,标准模拟电话服务要求你用modem把计算机的数据从数字信号转化成模拟信号,以便于从模拟线路上把数据传出去。由于ISDN是数字线路,所以传输过程中的转换过程就没有了。
ISDN网络要求使用ISDN线路和适配器,有两种现行ISDN标准:ISDN基本速率接口(BRI)和ISDN基群速率接口(PRI)。这两种线路标准都是由下面组成的:
发表评论
| Trackback
