NAT设置
右击NAT/基本防火墙,选择属性,弹出NAT/基本防火墙属性对话框,在此你可以设置NAT的全局属性。
在常规标签,你可以设置NAT在事件日志中记录的事件类型,默认为只记录错误;
在转换标签,你可以设置NAT在连接状态表中保留动态映射的时间。当NAT对某个从专用网络发往公共网络的IP数据包进行NAT时,会在连接状态表中记录此IP数据包,而转换设置用于配置此记录在连接状态表中保留的时间。默认情况下,TCP
Internet是针对全局唯一的IP地址空间而设计的,每一个连接到Internet的接口都必须拥有一个基于该接口所连接子网的唯一Internet IP地址,因此不管此接口所在的子网在Internet上如何进行路由,别人总可以通过你的Internet全局唯一的IP地址对你进行访问。
但是随着可分配的IP地址空间逐渐减少,而连接到Internet上的主机数量却大量的增加,已经不可能再为每一台需要连接到Internet的主机分配一个唯一的IP地址,此时,NAT(网络地址转换)就应运而生了。NAT允许专用网络(专用网络/Internet在此等同于内部网络/外部网络)上的多个客户计算机通过某个Internet接口访问Internet资源,而Internet上的主机却不能直接对专用网络中的客户计算机进行访问。NAT支持在专用网络上重复使用 IPv4私用IP地址地空间 (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),这极大的减轻了Internet IPv4地址快速消耗所带来的IP地址数不足分配的压力。
NAT 的基本操作如下:
站点到站点VPN连接是一种请求拨号连接,它使用VPN隧道协议(PPTP或L2TP/IPSec)来连接不同的专用网络,连接两端的每个VPN服务器都提供一个到达自己所属本地专用网络的路由连接。和远程访问VPN将一台单独的计算机连接到网络中不同,站点到站点VPN连接连接整个网络。当两台VPN服务器创建站点到站点VPN连接后,连接两端的VPN所属的专用网络均可以访问另一端的远程网络,就像访问本地网络一样。
默认情况下,站点到站点VPN连接是请求拨号连接,只有当网络流量必须通过此接口转发(需要转发IP数据包到对应的远程网络)时才建立连接。此时呼叫路由器(VPN 客户端)初始化这个连接,应答路由器(VPN 服务器)侦听连接请求,接收来自呼叫路由器的连接请求,并根据请求建立连接,并且在空闲一定时间(默认为5分钟)后断开连接。你可以配置连接为永久连接方式,此时,VPN服务器会保持此连接的连接状态,如果连接中断则立即重新初始化连接。
为了避免呼叫路由器建立不需要的连接,您可以按
可能很多朋友都遇到过这个现象:在启动IIS时,你会发现IIS会将Web站点中配置的服务端口(例如TCP 80)绑定在计算机的所有IP地址上,而不仅仅是分配给Web站点的IP地址,这是为什么呢?
这个特性称为Socket Pooling(套接字池)。套接字(Socket )是IP地址和端口的组合,用于进行网络通讯,任何应用程序需要和网络上的其他应用程序进行通许时,必须具有相应的套接字,例如Web站点侦听客户的HTTP请求,那么它就绑定在相应的套接字(IP地址和端口,例如端口为标准的TCP 80)上。在IIS 4.0中,微软发现当多个Web站点分别通过不同的套接字绑定在不同的IP地址时,会占用较多的系统资源,于是在IIS 5.0中引入了Socket Pool(套接字池)这个概念,它的工作原理是这样的:IIS启动时会将所有Web站点配置的服务端口绑定在计算机的所有IP地址上(运行Netstat -ano可以看到,这些Web服务端口侦听的IP地址是代表所有IP地址的“0.0.0.0”),而不管这些IP地址是否分配给了这些Web站点,IIS把绑定的这些套接字称为套接字池
在IIS中部署HTTPS服务非常简单,所需要的就是在Web服务器上具有服务器身份验证证书,并将证书绑定在Web站点。如果Web服务器属于活动目录并且活动目录中具有在线的企业证书颁发机构,则可以在配置过程中在线申请并自动安装Web服务器证书,否则你需要离线申请Web服务器证书。
申请Web服务器证书的步骤如下:
在Web服务器上运行管理工具下的Internet信息服务管理控制台,在左面板展开Web站点节点,然后右击需要部署HTTPS服务的网站,在此我右击默认网站,选择属性;
在默认网站属性对话框,点击目录安全性标签,然后点击服务器证书按钮;
邮件交换(MX,Mail Exchange)记录用于指出某个DNS区域中的邮件服务器的主机名(A记录),它相当于一个指针,因此在创建MX记录之前,你必须已经为邮件服务器创建了A记录;你可以针对相同的DNS域配置多个MX记录,但是邮件服务器优先级数值越低的MX记录具有越高的优先级。
首先了解一下邮件的传送过程,例如我现在通过someone@isacn.org这个邮箱向someone@winsvr.org邮箱发送邮件,那么完整的邮件传送过程如下:
1、邮件客户端someone@isacn.org连接到isacn.org域的邮件服务器mail.isacn.org(当然,连接的形式是多样化的,可以使用SMTP,也可以使用Web Mail等),然后告诉mail.isacn.org,说有一封邮件要发送至someone@winsvr.org;
移动更新文件
当WSUS服务器用于本地存储更新文件的硬盘空间不足或者出现故障时,你可能需要将更新文件移动到另外的磁盘上进行存储。而Movecontent命令正是用于实现这一需求。运行此命令时,WSUSUtil.exe执行以下操作:
-
将更新文件从源位置复制到目的存储位置;
-
更新WSUS数据库中的本地存储位置以及IIS中的虚拟目录映射。
更新文
为了便于管理,WSUS服务器中提供了一个命令行工具WSUSUtil.exe,你可以使用它完成一些在WSUS管理控制台中不能进行的任务,例如导入导出数据等等。WSUSUtil.exe位于%WSUSInstallationDrive%\Program Files\Update Services\Tools目录下,只能运行在32位的操作系统中,你可以使用它执行以下任务:
WSUS服务器允许客户端计算机或下游WSUS服务器通过SSL进行身份验证,或者通过SSL加密它们之间更新元数据的通讯。注意只是加密更新元数据,WSUS服务器并不会加密更新文件。同步期间,客户端计算机或者下游WSUS服务器将元数据和更新文件通过不同的服务端口从上游WSUS服务器进行同步,这也是Microsoft Update补丁分发的方式。
我们在部署与规划一文中已经提到过,每一个完成的更新程序包含两部分:元数据和更新文件。元数据只是提供有关更新的信息,体积往往远小于更新文件,微软只是对元数据的通讯进行加密;但是,微软通过对于每一个更新文件进行散列值计算,并将此散列值跟随元数据通讯一起进行加密传输,从而确保所下载的更新文件的完整性。
