【51CTO独家特稿】在此之前51CTO向大家介绍过Server 2008安全手册之系统更新与远程访问。在服务器搭建完毕之后就需要对整个服务器和系统进行测试,这时候Windows Server 2008的需要进行远程桌面测试,首先让我们先来看一看什么叫做“连通性测试”。
验证配置状态
首先要讨论一个问题:什么是“连通性测试”呢?
服务器在交付正式使用前,必须要经过“测试”。如果配置这台服务器的参数,但没有经过“网络连通性测试”,如果出现“不能访问”等问题,你很可能遭遇的投诉,这会导致IT Engineer 对你大发雷霆。将服务器、客户端计算机与网络设备连接完毕,是不是就完事大吉了呢?如果运气好,当然没有问题。然而,事实上每个人的运气不会都那么好,或者不会总是那么好,尤其是网络较大、接入的计算机数量较多时,很难保证不会发生连通性故障。当一台计算机或若干台计算机无法接入网络,或无法与其他计算机进行通信时,就需要对网络的连通性进行测试。
其中“连通性测试”包括了:物理层介质和操作系统应用层。
物理连通性测试可以观察网卡、网络设备、测线仪器的指示灯,如图1所示。;而操作系统上的连通性测试则需要使用内置的命令行工具。Windows下的网络工具比较常用的有:Ping、Ipconfig、Nslookup、Netstat,Tracert,Ftp,Telnet,Nbtstat,Route、Arp等等。这里最简单需要我们使用Ipconfig、Ping这两条命令。
图 1 测试仪与交换机接口示意图
1.显示IP地址及网络参数(Ipconfig)
Ipconfig命令是显示Windows主机IP配置的一个命令行工具。要执行该命令,必须打开命令行(CMD)窗口。可以依次点击“开始→运行”,在“打开”的文本框中输入:cmd.exe,然后单击“确定”按钮。
而在Windows Server 2008、Windows Vista、Windows 7中由于增强得安全性,增加了UAC(User Account Control:用户帐户控制)功能,如果要以管理员身份运行该CMD命令行工具,则需要在 “命令提示符”图标上单击鼠标右键,然后在弹出菜单上选择“以管理员身份运行”。然后键入:ipconfig/all ,并回车执行,这样可以检查之前的网络配置参数是否正确。
要查看可用的所有可选参数,请执行:ipconfig/? ,表 中显示了这些可用选项。
表1 ipconfig命令的部分选项
2.服务器连通性测试(PIng)
可以使用Windows 系统下的Ping工具,在确定了响应ICMP请求的网络主机后,使用Ping持续提交Ping请求,轻松确定到主机的当前连通。如果遇到了间歇性连通问题,Ping循环可以指示连接是否在活动或者并不是一直有效。
Ping命令可以检测的内容很多,其中:“应答”表示数据包发送成功;“请求超时”消息表示计算机没有收到远程主机响应或远程主机无法返回响应。下面的内容主要包括本地和远程测试两种:
测试本机的TCP/IP配置是否正确:
打开“运行”对话框,输入“cmd”,按回车键,开启“命令提示符”窗口。输入“ping 127.0.0.1”命令,如果得不到响应,则说明配置有问题。
远程测试与其服务其是否能联系上,具体操作步骤如下:
登录到与服务器同一网段的计算机上,并开启“命令提示符”窗口。输入“ping 192.168.100.2”命令,如图2所示,如果得不到响应,则说明配置有问题。这里说明客户端到服务器存在问题。
图 2 请求超时
我们知道ICMP是(Internet Control Message Protocol)Internet控制报文协议,它主要用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。尽管许多路由器和服务器都会丢弃ICMP通信,Ping仍然是日常简单监视网络连通性的最佳工具。是不是Windows Server 2008 中提供的“Windows 防火墙”默认情况下也阻止了ICMP数据包的通过呢?
当我们启用了服务器系统的防火墙功能后,在默认状态下,除了在“例外”标签页面中设置的选项之外,该防火墙程序会同时拦截所有程序去访问外部网络。在图3中,“阻止所有传入连接”选项其实是一个非常有用的选项,特别是当本地服务器系统处于一个不太安全的网络时,该选项能够临时让系统禁止“例外”标签页面中设置的任何程序或服务访问网络,一旦本地服务器系统处于一个比较安全的工作环境时,我们再取消“阻止所有传入连接”选项的选中状态,以便恢复的正常设置操作。
图3 查看防火墙的状态
虽然我知道只要“启用网络发现和文件共享”之后,防火墙的例外中就可以看到它们,并且其他的用户就可以“Ping通”这台服务器了。但管理员习惯于在Windows Server 2008 安装之后,交付到其他人之前,开启这个功能,那么,最简单的方法可以保证我们交付的服务器可以Ping通,就是取消“阻止所有传入连接”的勾选。那么为什么在“启用网络发现和文件共享”之后就可以Ping通了呢?我们简单的讨论一下。#p#
安装了文件和打印机共享之后,在高级安全防火墙(Windows Firewall with Advanced Security ,WFAS)中默认是允许ICMP的请求回应的。从 “开始”菜单中依次点选“程序”→“管理工具”→“高级安全Windows防火墙”选项;随后系统会自动弹出高级安全Windows防火墙配置窗口,在该窗口左侧列表窗格中单击“入站规则”选项,在中间的窗口中你就可以发现“文件和打印机共享(回显请求)”改成已启用,如图4所示。如果用鼠标双击此规则,在图5中就可以看到,默认是在启用的状态。
图 4防火墙规则中的文件和打印机共享(回显请求)
图 5 默认为启用状态
在检查完上述配置之后,我们在客户端的计算机上运行点击“开始”→“运行”输入CMD,进入命令行窗口,执行Ping命令就可以确保在其他人员的计算机上也能看到满意的结果了。
3.测试远程桌面连接
所谓网络级别身份验证(NLA,Network Level Authentication)是提供给远程桌面连接的一种新安全验证机制,可以在端桌面连接及登录画面出现前,预先完成用户验证程序,由于提前验证部分仅需要使用到较少的网络资源,因此可以有效防范黑客与恶意程序的攻击,同时也可以降低阻断服务(DoS)攻击的机会。
在另一台计算机上登录,尝试进行连接。选择“开始”→“所有程序”→“附件”→“远程桌面连接”命令,在打开的页面中先单击右上角的图标,然后在下拉选项中选择“关于”选项,执行后将可以在页面中检查到版本信息,以及是否支持“网络级别验证”的安全机制。
在Windows XP上的“远程桌面连接”并不支持网络级别验证,而在Windows Server 2008上的“远程桌面连接”则有支持网络级别验证。如果服务器开启网络级别验证,而客户端不支持此功能的话,则客户端在连接时会出现以下信息:
图6 不支持网络级别验证
不同版本的客户端所支持的验证方式是不同的,这也是之前在配置Windows Server 2008时,选择支持任意版本的客户端连接的原因。接下来在“计算机”字段中输入开放远程桌面连接的计算机IP地址或计算机名称,如图7所示。完成以上设定后,单击“连接”按钮开始进行连接。
图 7 计算机IP地址或计算机名称
在弹出的“Windows 安全”界面中,输入对应的密码,点击“确定”按钮。此后,我们将看到远程桌面,并测试相关操作。测试完毕后,点击右上角的“关闭”按钮,系统将提示是否断开与终端服务会话连接,选择“确定”,完成测试。
有了远程桌面连接客户端程序,用户或是管理者就可以在家中、咖啡店、饭店,或机场通过网络连接至公司的服务器,来执行程序或是远程管理,以节省来回奔波的时间,并快速解决问题。但最重要的是,Windows Server 2008提供了“网络级别身份验证”,它一样可以保有安全性与便利性,你可自在Windows Server 2008 上启用这一功能,并配置在Windows XP SP3、 Windows Vista和Windows 7 上尝试安全的连接。
【51CTO独家特稿,合作站点转载请注明原文译者和出处。】
【编辑推荐】
