控制Windows NT 4.0 中的WAN(广域网)信号流量

资料

Windows NT 4.0 中的WAN(广域网)信号流量

Microsoft® Windows NT®操作系统自动生成信号以执行各种任务，例如使备份域控制器 (BDC)和主域控制器（PDC）同步，各类客户行为构成网络活动等。在通过广域网（WAN）相连的网络上，往往导致多余的电话费用。鉴于此，本文有以下三个目的：

Windows NT Server与Windows NT Server之间的通信以及Windows NT Workstation 与 Windows NT Server之间的通信两类。 WAN欺骗信号，例如激活TCP 和 NetBIOS。

(MOC)第689课（“Microsoft Windows NT Server 4.0 企业级技术支持”）中找到。

Windows NT Server的通信

Windows NT 服务器，将会发生以下事情：

PDC）和备份域控制器（BDC）之间的目录服务数据库而产生信号。 Windows 网际命名服务（WINS）的复制。WINS服务器数据库复制记录给其他WINS服务器时产生的信号。 DNS）。域名轮询时产生信号，类似于一个DNS服务器的复制传到另一个DNS服务器时产生信号。 BDC（备份域控制器）每小时会发生两个变化，共39,400个字节。 10个传递验证（pass-through authentications）。 12分钟发布4个服务器宣告报文；三个BDC（备份域控制器）每12分钟和PDC（主域控制器）交换一次浏览表。 WINS 复制：每小时有3个记录改变，共32,400个字节。 DNS：一个分区每小时传递6个记录。 26,000个字节。 Windows NT Server和Windows NT Server通信发生崩溃的各类信号近似比率如下表：

操作

信号比率

51%

31%

WINS 复制

DNS

PDC还是BDC都要处理用户的登录请求。而只有在PDC才能改变帐户数据库。为了确保每个BDC能正确验证登录请求，使每个BDC有一个与PDC上完全一样的目录服务数据库副本则非常重要。

SAM）数据库，SAM 内嵌数据库和局域安全权限（LSA）数据库。下列情况进行同步处理：

BDC（备份域控制器）。 PDC每五分钟检查一次数据库，看前述三个数据库是否有改变，每发现有任何变化，PDC就发送一条消息给所有需要被告知的BDC 。PDC有一张关于每个BDC情况的表和它们的数据库版本ID—如果某个BDC有升级而没有通知的数据库。缺省情况下，Windows NT Server 4.0 一次给最多10个BDC发送宣告报文。这10个BDC完成同步以后，其他BDC才被通知。这个过程将持续到所有的BDC都得到通知为止。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\网络登录\Parameters。可以对下列网络登录服务注册表的参数进行调整：

ReplicationGovernor参数用于控制网络登录服务在完成用户帐户同步时可用网络带宽的比率。此参数的缺省值为100。这意味着当同步事件发生时，网络登录服务能使用100%的网络带宽，而这时主域控制器的数据缓冲区为128K。在广域网环境下这将造成严重的带宽损失，而且用户也会彼此竞争带宽。将ReplicationGovernor参数加入到网络登录关键字，并将其值设置为50，那么网络登录服务将只占用一半缓冲区（64K），同步消息在网上发布的时间也要减半。

但是如果此参数设置太小，同步又将耗费WAN连接很长的时间，同步完成的时间也要增加。通常我们建议ReplicationGovernor参数值设置不要低于25。

5分钟；它最大能增加到48小时。增大此值时必须谨慎，因为它可能导致备份域控制器长时间不能与主域控制器同步。由此可能导致全同步事件的发生。

2小时；能增加到48小时，脉冲的数量会相应减少。

ChangeLogSize

64K，相当与约2,000次改变（每次改变平均32个字节）。在一个有大量用户的网络环境中，口令的更改非常频繁，就有可能碰到入口全被重写这种极端事件。如果这样将有可能发生全同步事件，导致发送给备份域控制器的信号超载。

PulseConcurrency

PDC可以同时发送报文的BDC的数量。在Windows NT Server 4.0中该参数的缺省值为10。增加其值可增加用户帐户数据库同步所需要的网络带宽。太小的设置值将使同步花很长的时间。

)

15秒。可以设置ExpectedDialupDelay参数使登录延迟时间超过15秒。

除非客户机和被信任域之间连有拨号器，否则该参数应当设为0。

如果该参数值太大，将花费大量的时间搜索那些没有域控制器的被信任域。

ExpectedDialupDelay参数值的基础上，网络登录将做如下两次调整：

(5 + ExpectedDialupDelay/3)秒的时间发送1个有3个邮件槽的消息给被信任域。与此同时的搜索在3个间歇期将不会被看作超时。 API为所找到的域控制器指定一个安全通道时，只有超过 (45 + ExpectedDialupDelay) 秒才算超时。 )

mailslot 消息给每一个仍在搜索域控制器的被信任域。 PDC方面，试图添加domainname<0x1B>到NetBIOS名表。 ScavengeInterval参数值设置为15分钟是最佳的。例如，如果一个域控制器被明显地从被信任域中分离出来，如综合服务数字网（ISDN），ScavengeInterval参数可能被上调以避免频繁发生对被信任域的域控制器进行自动查找。

110帧和16,000个字节的网络信号。这个过程在建立每一信任关系时只进行一次。

Pass-through authentication）。这是信任关系信号中发生最频繁的一类。有两类不同的传递验证：一种是当被信任域里的用户试图访问信任域的资源时，另一种是信任域的用户试图在Windows NT Workstation机器上用被信任帐户登录时。

/ 资源域模型的好处。然而这样或许有益于再审察已有的或计划的资源域，以确保它们每一个都是适当和必需的。

证明单向信任更合适。例如，在一个网络环境里，两个域之间相互信任，这是否真的必要？如果没有必要，断开非必要的一方。

还有很少一部分跟信任关系有关的维护信号。一旦建立了信任，大部分这种信号是由导入和校验被信任帐户以及传递验证产生的。

对照从全局组添加用户组和将用户单个添加到局部组或资源中，校验安全性ID （SID）和使用户名称与SID关联所需要的信号量减少了。举一个简单的例子，对全局组进行的一次SID检查要552个字节，而对两个被信任帐户进行同样的SID检查需要636个字节。因为仅有两个用户，所以额外信号不是很多。通常，信任域的资源允许很多被信任域用户访问。如果使用全局组，就能减少检查那些帐户产生的信号量，从而节省相当多的时间。

Microsoft Windows NT Server 网的浏览是缺省完成的。

Windows NT 的域主浏览器（DMB）和BDC每小时交换数次计算机浏览表。微软建议每个节点至少有一个 BDC ，因为一个公司的域通常要跨越多个节点，因此可能使浏览器网络信号要穿越一些不连续的ISDN（综合服务数字网）路由。

MBR）启动12分钟后每过12分钟，MBR都要与DMB也即主域控制器（PDC）连接。这是通过给属于DMB的NetBIOS名(domainname<0x1B>)发送请求来完成的。然后MBR给DMB发送本地浏览表，并接收它的全局浏览表。这样就发生了整个WAN上第一次连接，通常需要持续几秒钟。

RPC）。当命名管道连接关闭以后，逻辑网络连接仍由重定向器保持十分钟或更长一点时间，这取决于MBR重定向器KeepConn参数的失效缺省值。尽管逻辑连接不会有ISDN路由器的开销，但是等过了十分钟失效期以后，继续发送帧将又会建立另外的ISDN连接，这样就有了开销。两分钟以后也即启动后24分钟，MBR将再次与DBM连接，交换浏览表。这个过程每12分钟发生一次。

15分钟，每个子网的主浏览器向本子网上的其他域的主浏览器宣示自己。 12分钟，每个域主浏览器与WINS联系以取得所有domainname<1B>域的列表。 12分钟，每个主浏览器（子网）与域主浏览器联系以更新浏览表。 12分钟，每个备份浏览器和它的局部主浏览器联系以检索和更新浏览表。 —诸如潜在浏览器、备份浏览器或主浏览器运转的服务器可能出现以下情况，这些情况还涉及到一些其他的通信：

浏览理所当然会在网上产生大量server-to-server信号。优化浏览器信号意味着削减信号量以给用户更多的带宽，或者增加信号量以在需要时给用户提供更多的最新浏览表。

TCP/IP、NWLink、IPX/SPX、和NetBEUI四种协议都有效，每个协议上都将独立发生一组信号，包括浏览器通信、选举、主机宣告报文、组宣告报文等等。一个浏览表被三个独立协议使用产生的唯一结果是使网络浏览信号增加三倍。去掉一个或者两个协议将大大缩减浏览信号。

Microsoft Windows® for Workgroups，Microsoft Windows 95，还是Microsoft Windows NT都有使服务器服务失效的方法。每个服务器在浏览表中占27个字节，如果需要注释的话，还要另外的空间。所以应考虑尽量减少服务器注释。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters。能对通过配置下列两个参数来控制浏览器产生的网络信号量：

MasterPeriodicity。指定主浏览器（子网）与域主浏览器的联系频率。缺省值是720秒（12分钟），最小值为300秒（5分钟），最大值为4,294,967秒（十六进制为0x418937或71,582.78分钟）。这个参数的类型是REG_DWORD，能动态改变而不用重启机器。该参数应当在加主浏览器上。当有域成员的子网在该子网上的有域主浏览器时，MasterPeriodicity参数将会影响WAN的通信量。 BackupPeriodicity。指定备份浏览器和主浏览器联系的频率。参数类型是REG_DWORD ，添加此参数时需要重启机器。BackupPeriodicity的缺省值是720秒。将之设为1800秒（30分钟）可以减少浏览表的更新频率。该参数不影响WAN的通信量，因为备份浏览器只与局部主浏览器通信，而永远不会与远程主浏览器通信。 WINS服务器有可能不满足容错级别和性能的需要。尽管一个WINS服务器可支持10,000个WINS 客户，但我们建议再有一个备份服务器。WINS支持多个客户注册和查询WINS服务器，只要允许这些服务器互相复制或者共享它们的数据库。数据库共享的好处在于最后每一个WINS服务器都知道所有在其他WINS服务器上注册的WINS客户。这样为客户提供了更快的名称解析。

WINS复制过程分三个部分：

WINS数据库记录的长度、被刷新记录的数量以及刷新频率决定。一个有一块网卡的普通（唯一）客户机在WINS数据库中占的总数据量在40到280个字节之间，字节的多少取决于客户机是否配置了Scope ID（可达到240个字节）。没有配置Scope ID的客户机只需要40个字节在数据库里注册名字。

如果客户机是multihomed（即有多个可配置TCP/IP的网卡），数据量将依据给计算机配置的IP地址数而变化。每个Host（主机）的数据量是40到280个字节。

如果注册名是一个Internet组名，例如domainname<1C>，而记录又包含最大注册主机数（25），则其数据量可升至480个字节。

了解平均记录长度有助于测定WINS复制事件产生的信号量。

WAN中慢连接速率特别有关系。当复制两个WINS服务器之间的数据库记录时，累积和提交这些记录的帧数也许是最少的。

WINS复制成员可设置为push或pull成员。当一定数量的数据库记录被改变时，Push 成员向它们已配置过的成员发送宣告报文。当得到Push成员的通知后，Pull成员请求在配置间隔进行更新。成员之间数据库的相互复制关系要求每个服务器既是Pull 成员又是Push成员。

Push成员通过WINS管理器设置WINS以开始发布Push通告。但没有固定的开始和复制间隔时间。在发送Push宣告报文之前增加需要刷新的数据库数量将减少WINS的复制频率，并且能在每次传递操作时处理更多的已更新记录。

该值通常设为数据库中所有名字之和的某个百分比。例如，记录更新数可能设为数据库中记录数的25%。这样就允许对数据库的操作不仅仅限于复制。

Pull成员发出更改请求。当用WINS管理器增加一个作为Pull成员的WINS服务器时，我们就能设置复制的间隔期。例如，你可以让 WINS每30分钟向局部WINS服务器发送Pull请求，每一个小时以高速链接方式（T1或更高）与远程WINS服务器连接，每6个小时以低速链接方式与远程WINS服务器连接。这样，所进行的操作就不仅仅是控制数据传递频率。

4K的长度，并且不会频繁更改。但是，如果目录复制服务需要复制其他文件，登录脚本的长度将会增大，更改也会更频繁，因而会有更多有关复制的网络信号。

5分钟核查一次被复制的数据。这个间隔时间能在注册表里设置。该处理进程产生很少的网络活动量，除非导出服务器的数据被更改。

对一个有16个文件和426,000个字节数据的样本目录进行复制要用1,425个帧，约42秒钟，而从相同的导出表删除一个文件仅需251个帧，校验和更新的时间为48秒。

另外，每过5分钟（缺省），导出服务器将报给每个导入计算机或域一张它的一级目录表。

阻止导出服务器复制目录的步骤：

这样做有助于限制用户生成的网络信号量。

“目录复制”对话框中的还有一个用于每个导出目录的Wait Until Stabilized选项。选择了Wait Until Stabilized项后，只要子树里文件有任何改变，导入计算机都会重新拷贝整个子树。而当该选项失效后，导入计算机将分别检查每个文件的时间、日期、文件名、属性以及长度，然后仅仅拷贝那些改动过的文件。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Replicator\Parameters。下面是两个最常用的参数，修改它们可控制目录复制服务器：

Interval。这个参数确定发信服务器（也叫导出服务器）对它的规定的目录结构进行刷新检查以及给目标计算机（也叫导入计算机）发送新数据检索通知的时间间隔。Interval的缺省值是5分钟。它能增加到60分钟或更长（在导出服务器上）以减少复制频率。当然，对任何改变来说，这样将增加复制延迟。

Pulse。该参数作为一个计数器，控制导入计算机与导出服务器的联系频率。如果导入计算机在过了[Pulse ´ Interval]分钟后仍没有收到导出服务器的信息，它将主动和导出服务器联系。Interval参数的缺省值是5分钟（如前述），而Pulse的缺省值是2分钟。这样，如果导入计算机在过了10分钟后仍没有收到导出服务器的信息，它将开始和导出服务器通讯。加大Pulse参数值将延长导入计算机与导出服务器的联系间隔，以便有更多时间让导出服务器与导入计算机联系。

DNS名称服务器有可能不能满足客户机名字解析的需要。这时一个分区使用主从两个服务器也许更合适。一个分区就是一个包含特定域里所有记录的数据库文件。

DNS server-to-server信号由分区传递构成。缺省情况没有该信号产生，但必须由管理员设置。主名称服务器是为特定分区维护数据库文件的服务器。从属服务器不用维护数据库，但有一个主名称服务器数据库的副本。这和Windows NT域的PDC跟BDC之间的关系非常相似。

DNS 管理器”的“分区属性”对话框中选择“SOA Record”页面完成此项工作。

我们可以配置下列几个值。最有用的值是refresh interval。该值越小，分区传递发生的越多。要给从名称服务器提供更多的最新的分区文件，则代价是增加了网络信号量。

Refresh Interval。指定从名称服务器查询主名称服务器和开始分区传递前的等待时间，以查看数据库文件是否改变。缺省值是60分钟。

Retry Interval。指定在分区传递失败后，重新进行分区传递前从名称服务器的等待时间。缺省值是10分钟。

Expire Time。指定从名称服务器在不能连接主名称服务器时对名字查询的响应时间。

Windows NT Server的通信

Client-to-server信号的种类：

Browser。当客户机把自己注册为网络资源的可能提供者或当它检索备份浏览器列表、网络服务器列表和服务器上的资源列表时，产生此信号。 Domain Name System（DNS）。在TCP/IP主机进行名称解析时由TCP/IP主机产生。通常，TCP/IP的Ping和Telnet等应用程序或Microsoft Internet Explorer会产生此信号。 Intranet browsing。从WEB站点下载页时，浏览器程序产生此信号。 Host（主机）每12分钟发布宣告报文，每天检索5次浏览表； 7次会话； Intranet 浏览：每天浏览两次有64K的页； DHCP：租期为3天； WINS：每3天注册和更新4个名字。每天解析5个名字； DNS：每天有5个Host查询。那么，在一个网络中使Windows NT Workstation和Windows NT Server通信发生崩溃的各类信号的近似比率如下表.

Internet Explorer

48%

31%

12%

DHCP

WINS

DNS

3.1. 客户浏览器信号

以上每一步都要产生网络信号。

因为许多自动浏览器信号是广播式发送的，浏览子网就成为一个很简单的过程。然而，许多路由器并没有设置成可转发浏览器广播，如果这样的话，浏览远程子网上是服务器就不会很简单。幸运的是，还有可能通过使用WINS浏览整个企业的网络资源，而不用转发浏览器广播。

200至300字节之间； IP层子网广播使用UDP138端口（NetBIOS数据报服务）。 —这些浏览表必须被维护，在接到请求之后还要被传递。

每个服务器在浏览表中占27个字节，如有注释则要另加空间。因此可以考虑限制和减少注释。

Windows NT中，将MaintainServerList参数设为“No”。 MaintainServerList参数放在注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters中。 Windows 95中，双击控制面板上的“网络”，点击“Microsoft 网络”的“文件和打印共享”，然后选择“属性”，在“属性”栏中点击“浏览主控服务器”，然后选择值为“无效”。 Microsoft Windows for Workgroups中，将MaintainServerList加到文件System.ini的[network]部分，设其值为“No”。这样将减少<1E>NetBIOS名和WINS或b-node广播的注册、更新以及发布。

3.2. DNS

net命令等标准Windows联网命令和程序访问一台计算机时，目标计算机的NetBIOS名必须要有一个IP地址。这项工作通常由WINS完成。当用户想用Internet Explorer或Ping等TCP/IP应用程序访问一台计算机时，目标计算机的IP主机名必须有一个IP地址。这个过程叫做主机名称解析，能由DNS来完成。

DNS信号量。也就是说，所发出的查询请求的次数决定了DNS信号的多少，即决定了对网络的影响。

另一个影响网络信号的因素是DNS服务器需要进行循环查询。当一个DNS服务器不能进行名称解析时，它能将查询请求传递给另一个DNS服务器，或者传给WINS服务器。因此，一个客户机的查询请求也许会衍生多个查询和应答帧。

DNS服务器没有所查地址时尽可能减少循环信号。有三种方法可减少循环信号：

DNS的功能，因为它不能提供所有被查询的名字，或者说它要求将所有的主机名加到每个DNS服务器上，这样也加重了管理的难度。 DNS服务器确定为客户的DNS服务器。这样能减少循环查询以及与之有关的信号。 (TTL)。当一个DNS服务器发送一个名称查询请求给另一个DNS服务器时，接收地址的原始服务器要将地址缓冲一段时间，这就是记录的TTL。TTL的缺省值为60分钟。WINS解析NetBIOS名而进行循环查询的缺省值是10分钟。TTL值可通过DNS管理器来配置。 TTLDNS 管理器”，选择合适的分区； DNS菜单选择“属性”项； SOA Record页； TTL”栏中，选择或输入理想的TTL值；这样就为该分区的所有记录设置了缺省的TTL值。

TTLDNS 管理器”，从“选项”菜单上点击“参数选择”项； TTL”； TTL栏。你可以一一设置其TTL值。

WINSTTL值：

DNS管理器”，选择合适的分区； DNS菜单选择“属性”项； WINS Lookup页； Cache Timeout Value栏中，输入或选择理想的值。增大名称解析的TTL值，可以排除对最近被解析的名称进行的第二次递归查询，减少网络信号量

WEB站点检索静态信息，而不是去建立文件连接。这种方法的吸引力之一是图形化接口、快速浏览信息和易于操作。使用WEB站点的另一个好处是能和公司网络之外的用户共享资源。

Intranet的浏览能产生大量的网络信号。查找和连接至WEB站点时产生的信号量很小，但是下载信息时会产生大量的信号，尤其是下载图形。

intranet浏览信号最有效的优化是在创建WEB页时，因为多数WEB信号是在越网拷贝文件时产生的。

因为intranet浏览能产生不可忽略的网络信号，凡是对减少信号有用的方法都可以考虑。

减小WEB页。通常来说，用HTML设计很好，它能限制页的大小。页越小越有益于下载单个页，但必须确保在其他能被加载的页上能获得必要的信息。

限制所用图形或.avi文件的大小。每个文件都必须能被客户机下载。文件（尤其是图形）越大，下载文件时产生的网络信号越多。在整个intranet网上重新使用共同的图形。

增加客户机的本地缓冲。当浏览一个intranet网时，页被下载到客户机，首先是将它放到一个叫做缓冲的目录里。当为缓冲指定的磁盘空间全部用完而还有要下载的文件时，就必须清空缓冲区（删除里面的文件）。因此，又必须从网上重新拷贝先前被加载的文件，而不是从本地硬盘缓冲区里加载它。

考虑你的站点是否需要安全性检查。当安全性检查有效时，建立会话时就需要额外的许可权信号。允许匿名连接可以阻止产生许可权信号。