Windows2000网络新功能
Windows2000作为Microsoft最新一代网络操作系统,为用户提供了一套完整而强大的网络解决方案。早期Windows NT4.0提供的网络功能,根据技术本身的发展而在Windows2000中得到相应改进;同时,Windows2000还吸收容纳了近年来出现的几乎所有的网络最新技术成果。RADIUS,VPN,IPSec,OSPF等在Windows2000中均提供了对应的实现方法。应用Windows2000,用户可以根据业务需要构建各种功能强大的Intranet/Internet商务解决方案。本文摘要讲述Windows2000对DNS、DHCP、RRAS、VPN和RADIUS等一系列重要网络功能的最新支持。
一、DNS:
Windows2000采用DNS作为网络操作系统中的名称服务,Windows2000中的DNS以IETF为基础,与RFC兼容,可以与所有符合RFC标准的DNS共存。Microsoft DNS在Windows2000网络体系中不是唯一的选择,只要支持动态更新和SRV资源定位记录的RFC兼容DNS均可做Windows2000的名称解析服务。然而,由于Windows2000所带的DNS可以与Windows2000的ADS集成,提供了更多的功能。因而将Windows2000的DNS应用于Windows2000或其他网络操作系统中是一种最理想的网络名称解析解决方案。
Windows2000 DNS提供动态与静态两种主机名称解析方式,两种方式之间可以自由转换。静态主机名解析是一种传统的主机名解析方式,它将大量主机名与IP地址的对应关系存放在一个特定的数据库中,缺点是无论主机名或IP地址有任何变化均需要由管理员对数据库进行更新,产生较大的管理负荷。基于RFC2136的动态DNS根据IP地址或主机名的变化,自动在对应数据库中做出更改,减少了中型或中大型网络的管理负担。客户端在初始化时首先查询DNS服务器以确认本身记录存在于DNS服务器数据库中,如果查询不能发现对应记录,则向 Primary DNS发送注册请求,DNS收到注册请求后在保证记录不冲突的前提下添加此项纪录,如果记录有冲突,注册请求失败,DNS客户端转向第二个Primary DNS注册。向DNS的注册过程由DHCP Client服务完成,可以提供给DHCP客户端用户,有确定IP地址的非DHCP客户端和RAS用户。
Windows2000的DNS与ADS的紧密结合为DNS增添了许多新的特性和功能。Windows2000的ADS是一个面向对象的X.500兼容的数据库,将所有的网络资源组织在一个树状结构体系中。ADS数据库中所有对象以容器或叶子的形式存在,DNS与ADS集成后所有DNS数据加入ADS数据库中,DNS的原有Zone变成ADS中的容器,而原DNS的记录变成ADS中具有多个属性值的对象。在ADS集成环境下不存在单独的DNS数据库。Windows2000 ADS采用多主复制,所有ADS数据存放在多个DC中,Windows2000通过系列方法避免数据复制过程中的冲突,DNS与ADS集成后不同DNS中的记录与ADS依照多主复制形式进行。多主复制减少了首要服务器上的负载,在中大型网络中性能优势非常明显。
在数据复制方面,Windows2000 DNS应用增量区域复制(IXFR)取代完全区域复制(AXFR),从而减少区域复制所产生的数据通讯;应用Unicode Character取代标准的ASCII命名体系,使NETBIOS与DNS名称之间能够实现方便的转换;应用Domain Locator功能使Windows2000及其先前产品均能够查找DC实现登录。
二、DHCP:
DHCP是在IETF RFC中定义的一套动态分配IP 地址的开放标准。应用DHCP服务,管理员不必再为每一台计算机手工分配IP地址,可以实现IP地址的动态集中分配和管理。Windows2000Server针对传统DHCP功能的局限做了一些新的扩展。
Windows2000中实现了DHCP与DNS结合。由于在Windows2000中DNS数据可以动态更新,配合DHCP对IP地址的动态分配,使从主机名解析到IP地址分配均可以通过Windows2000Server集中配置完成。DHCP与 DNS的集成方案在业界还没有最终的确定标准,在RFC中尚属Draft一级,但这不妨碍Microsoft将其作为一个可选功能加入Windows2000中所给用户提供的方便。
先前传统的DHCP一直存在一个由于多个DHCPServer存在而产生的IP地址冲突问题。网络合法的DHCPIP地址分配有专门管理员负责,管理规范可以避免冲突,但如果存在非法的DHCPServer,IP地址一旦冲突,会给网络正常应用带来很大的麻烦。Windows2000增加了DHCP的注册功能,Windows2000中DHCP Server只有在ADS中注册以后才开始响应客户端的IP地址请求,而注册需要得到DS的验证。这个过程只有在Windows2000网络体系中才能够完成。
DHCP在Windows2000中可以进行实时监测,如可以设置当IP资源剩余10%时报警,IP资源耗尽时报警等监测方法。此外,利用Windows2000的Cluster功能,DHCP可以在两台Cluster机器上面使用同一套 IP地址工作。正常情况下只有一台机器响应客户端的IP请求,当Cluster机器中有一台出现问题时,另一台在很短时间内开始工作,这个过程对用户是透明的。Windows2000中DHCP还可以分配Multicast地址范围,响应Multicast的地址请求。
三、RRAS:
Windows2000的RRAS为远程拨号客户端提供了一个可以应用TCP/IP、NETBEUI、IPX/SPX等多种网络传输协议,通过PSTN、ISDN、ATM和VPN等多种途径访问企业网络的安全途径。
PSTN、ISDN 在Windows NT4.0已得到较好的支持,Windows2000在易用性方面有进一步的发展,如提供Connection Manager Administration Kit,简化了客户端配置,集中管理客户端的拨号属性、图形界面,并可以向客户端发布更新地址簿信息。
ATM (Asynchronous Transfer Mode)提供了一种可以在多种媒质中使用的高速传输技术,这一技术综合了一系列复杂的标准。由于成本高、技术复杂而且与传统的LAN兼容方面的一些问题,ATM在实际应用曾经碰到了一定阻力。ATM作为主干的网络方案很多,而分支网络大多仍然沿用传统的LAN网络。另外,将ATM作为网络的一部分单独引入的例子也有很多。近来随着ATM技术的普及,ATM的实施成本也在降低,一些完全采用ATM的方案不断出现。Microsoft在早期的Windows产品,如Windows 95,Windows NT4.0中对ATM都有一定程度的支持,而在Windows2000中加入了更高级别的支持。在Windows2000中新引入的NDIS5.0,是一种面向连接的网络驱动接口标准。Microsoft在Windows2000中加入了LANE client, IP/ATM components, PPP/ATM components, a Windows Sockets Service Provider, and UNI signaling modules for end stations等一系列功能模块,用户通过这些接口可以直接访问ATM服务,而硬件生产厂商在这些接口基础上做较少的开发就可以生产不同硬件的驱动程序。
在Windows2000中RRAS的一个突出特点是与Routing技术紧密结合,系统中的配置也在一个共同的管理界面进行。针对Routing方面,Windows2000提供了较大的改进。在早期的NT版本中动态和静态路由表技术虽然得到支持,但动态路由表使用RIP协议。在Windows2000中开始支持OSPF协议。RIP是一种经典的动态路由信息协议,配置简单,适合于中小型网络,缺点是通过固定时间间隔的广播与周围路由器交换路由信息,造成较大的网络负载。而OSPF是近年来发展起来的新一代动态路由信息协议,与简单交换路由信息不同,OSPF通过向临近的路由器发送连接坐标信息并且改变连接状态数据库的方式对路由信息进行动态刷新,减少了网络通讯,是一种小型到大型网络中均可以使用的动态路由信息协议。Windows2000对OSPF的支持使Windows2000能够作为路由器在各种规模的网络体系得到应用。
四、VPN技术:
VPN应用隧道技术将不直接连接的两个网络通过公共网络连接起来,在数据传输过程中保证数据的安全性。VPN采用的隧道技术将网络发送的数据重新打包然后转发,在转发过程中保证数据的安全。在安全性方面VPN采用PPTP与L2TP两种协议,PPTP加密VPN隧道两端之间的数据传输,而L2TP采用端对端加密,能够保证数据在服务器与客户端之间进行传输时均处于加密状态。根据实际通讯方式不同,VPN分为Voluntary Tunneling和Compulsory Tunneling两种,前者在访问客户端与被访问的服务器之间建立VPN通道,而后者在两台中介服务器之间建立VPN连接,通讯的客户端与服务器通过已建立的固定VPN通道进行数据交换。两种角色Windows2000 Server均可充当。
L2TP是一种比PPTP先进的协议,它可以支持多种传输媒介,如ATM、X.25和Frame Relay等,而PPTP只支持IP协议下的Internet/Intranet连接。L2TP支持多Tunnel技术,PPTP只支持一个Tunnel。Windows2000支持PPTP和L2TP两种协议,为用户在设置VPN过程中提供了一种更先进的选择。
针对数据在传输中的安全性,Windows2000在VPN中采用IPSec数据加密技术,IPSec是一种Draft级别的RFC标准,是原有安全性基础上的一个重要补充。它处于TCP/IP协议下层,首先验证访问请求者的IP地址和端口地址的合法性,过滤掉不合法的请求,同时在访问双方之间建立安全会话,并对传输的数据进行加密。IPSec的一切功能对使用者是透明的。
五、RADIUS技术:
RADIUS(Remote Authentication Dial-in User Service)是一个在拨号网络中提供注册、验证功能的工业标准。早期的Windows NT网络只能进行NT账号的验证,随着网络规模的扩大,Windows2000需要与多种网络客户端和服务器进行通讯,这就要求作为核心服务器的Windows2000必须能够识别来自不同系统的多种验证加密方法,对不同系统的验证请求统一记录安全日志。Windows2000提供的RADIUS服务可以满足上述要求。
Windows2000的RADIUS服务与RRAS结合可以集中管理远程访问策略,同时集中记录RADIUS访问及Windows2000访问日志。此外,Windows2000还提供了将RADIUS与ADS集成的方法,使RADIUS访问策略存在于ADS数据库中,并与ADS数据库进行同步数据复制。
Windows2000作为当前网络体系最先进的网络操作系统之一,继承了大量最新的网络技术。与Windows2000本身强大的管理功能结合,为用户提供了一个从小型到大型甚至超大型网络的优秀解决方案。整个网络体系不同组件之间紧密结合,继承了Windows体系一贯的方便管理的特点,所有设置均可以在图形化界面下完成,并随机附带了极其丰富的联机帮助文档,大大降低了处理类似方案的技术难度。(上海交大南洋CTEC )