第10章 常见网络故障处理
学习目标:
了解常见网络故障的种类,掌握常用网络故障检测与排除的基本方法。掌握常用windows 2000 Server网络检测的命令及用法,了解Windows 2000 Server中故障检测常用工具,掌握常见网络故障排除方法。 主要内容:
网络故障分类 网络故障诊断 常用故障诊断工具
常见网络故障分析与处理 本章案例概述:
网络设备故障 网络设置故障 网络服务故障 网络安全故障 他网络故障 教学内容(含案例):
10.1网络故障概述
一、网络故障概述
计算机网络是一个复杂的综合系统,网络在长期运行过程中总是会出现这样那样的问题。引起网络故障的原因很多,网络故障的现象种类繁多,本书主要针对常见小型局域网络经常出现的简单网络硬故障、软故障加以解析,并主要介绍使用Windows Server 2000的自带工具进行解决的方法。
二、网络故障分类
按网络故障的性质、网络故障的对象或者网络故障出现的区域等方式来划分,网络故障有不同的分类。
1.按照网络故障性质分
按照网络故障的性质,网络故障可分为物理故障与逻辑故障两种。 物理故障也称为硬件故障,是指由硬件设备引起的网络故障。硬件设备或线路损坏、线路接触不良等情况都会引起物理故障。物理故障通常表现为网络不通,或时通时断。一般可以通过观察硬件设备的指示灯或借助测线设备来排除故障。
逻辑故障也称为软故障,是指设备配置错误或者软件错误等引起的网络故障。路由器配置错误、服务器软件错误、协议设置错误或病毒等情况都会引起逻辑故障。逻辑故
障表现为网络不通,或者同一个链路中有的网络服务通,有的网络服务不通。一般可以通过Ping命令检测故障,并通过重新配置网络协议或网络服务来解决问题。
2.按照网络故障的对象分 按照网络故障出现的对象,网络故障可分为网络服务器故障、线路故障和路由器故障。
网络服务器故障一般包括服务器硬件故障、操作系统故障和服务设置故障。通常主要的原因是操作系统故障。当网络服务故障发生时,首先应当确认服务器是否感染病毒或被攻击,然后检查服务器的各种参数设置是否正确合理。
线路故障是网络中最常见和多发的故障。线路故障时应该先诊断该线路上流量是否还存在,然后用网络故障诊断工具进行分析后再处理。
路由器故障也是网络中常见的,由于现在网络中路由器设备的大量采用,一旦出现故障就会使网络通信中断。路由器故障的现象有时和线路故障相似,因此在诊断时要注意区分处理。检测这种故障,需要利用专门的管理诊断工具,用它收集路由器的路由表、端口流量数据、计费数据、路由器CPU温度、负载及路由器的内存余量等数据。一般可以利用网管系统中的专门进程不断地检测路由器的关键参数,并及时给出报警。
3.按照引起网络故障的原因分
按照引起网络故障的原因,网络故障可分为配置故障、连通性网络故障、网络协议故障和安全故障。
(1) 配置故障
配置故障指的是Windows 2000 Server网络系统及相关网络中的客户机配置内容不当引发的网络故障。在组建局域网的过程中,由于系统的配置十分复杂,很多重要的参数配置一旦被修改、破坏会导致网络系统故障。
常见的配置故障现象包括:
某些工作站无法和其他部位工作站实现通信。 工作站无法访问任何其他设备。 只能Ping通本机。
当局域网连入hternet时,用Ping命令检测正常,但无法上网浏览。 (2) 连通性网络故障
连通性网络故障的现象是网络不通。连通性网络故障通常涉及网卡、网线、交换机、路由器等设备和通信介质。其中任何一个设备的损坏,都会导致网络连接的中断。设备电源的突然关闭或损坏是造成连通性网络故障常见原因之一。
(3) 网络协议故障
局域网中使用的网络协议出现故障,网络中的工作站无法登录服务器。网络协议故障通常涉及网卡、网络协议安装、配置与管理等内容。其中任何一项故障,都会导致网络连接的中断。网络协议的配置错误是造成网络协议故障主要原因之一。
(4) 安全故障
安全故障通常表现为系统感染病毒、存在安全漏洞、有黑客入侵等几个方面。当局域网连入Internet时,没有做好安全防护的网络体系很容易出现安全故障。对于这类故障的现象通常表现为网络的交通流量突然变大,服务器的端口十分繁忙,系统负载极大,网络响应明显变慢。
另外局域网中没有设计完善的防病毒体系和安全机制也是导致网络安全故障的基本原因。很多时候局域网内部一处机器病毒感染,导致全网环境内扩散病毒,甚至产生许多不明原因的恶意攻击。
例如在日常的计算机维护中,为了方便机器之间传送文件,对机器的部分文件夹 2
进行共享。文件共享一开,表面上方便了维护,可是网络病毒一旦大肆扩散的时候,就难于清理和控制了。为了解决文件共享的需要,我们可以在局域网内做一个简单的FTP服务器,避免使用操作系统的文件共享服务。
总之,在日常的维护中,千万不要忽视一些技术上的细节问题。特别是在安全体系的设计问题上,一个很小的细节失误也会造成网络瘫痪这样的大故障。作为技术维护人员,应该养成细致的习惯,更要有网络整体安全的防范意识。
10.2网络故障诊断
一、网络故障诊断概述
当网络出现故障时,学会分析网络故障的原因对解决网络故障有很大的帮助。 诱发网络故障的原因通常有以下几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题;数据链路层的网络设备的接口配置问题;网络层网络协议配置或操作错误;传输层的设备性能或通信拥塞问题;上三层或网络应用程序错误。
网络故障的原因中,由网卡安装设置、计算机操作系统的网络配置因素造成的问题占了很大比例。
二、网络故障检测步骤
1 重现网络故障
当出现故障时,首先应该重现故障,与此同时应该尽可能全面地收集故障信息,这是获取故障信息的最好办法。在重现故障的过程中还要注重收集这些方面的故障信息: 该网络故障的影响及范围 故障的类型
每次操作都会让该网络故障发生的步骤或过程 在多次操作中故障是偶然才发生的步骤或过程 故障是在特定的操作环境下才发生的步骤或过程 重现故障时,还需要网管人员对网络故障具有比较好的判断能力,并做好适当的准备工作。有些故障在重现时,可能会导致网络崩溃,因此在决定进行网络故障重现时要注意这方面的问题。 2网络故障分析与定位
重现故障后,可以根据收集的资料对故障现象进行分析。根据网络故障的分析结果确定故障的类型并初步定位故障范围。并对故障进行隔离。从故障现象出发,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源。
OSI的层次结构为管理员分析和排查故障原因提供了非常好的组织方式。由于各层相对独立,按层排查能够有效地发现和隔离故障,因而一般使用逐层分析和排查的方法。通常有两种逐层排查方式,一种是从低层开始排查,适用于物理网络不够成熟稳定的情况,如组建新的网络、重新调整网络线缆、增加新的网络设备;另一种是从高层开始排查,适用于物理网络相对成熟稳定的情况,如硬件设备没有变动。无论哪种方式,最终都能达到目标,只是解决问题的效率有所差别。
具体采用哪种方式,可根据具体情况来选择。例如,遇到某客户端不能访问Web
服务的情况,如果首先去检查网络的连接线缆,就显得太悲观了,除非明确知道网络线路有所变动。比较好的选择是直接从应用层着手,可以这样来排查:首先检查客户端Web浏览器是否正确配置,可尝试使用浏览器访问另一个Web服务器;如果Web浏览器没有问题,可在Web服务器上测试Web服务器是否正常运行;如果Web服务器没有问题,再测试网络的连通性。即使是Web服务器问题,从底层开始逐层排查也能最终解决问题,只是花费的时间太多了。如果碰巧是线路问题,从高层开始逐层排查也要浪费时间。
网络故障检测可以使用多种工具:路由器诊断命令、网络管理工具和包括局域网或广域网分析仪在内的其它故障诊断工具。查看路由表,是开始查找网络故障的好办法。基于ICMP的ping、trace命令和Cisco的show命令、debug命令是获取故障诊断有用信息的网络工具。在路由器上,利用show interface命令可以非常容易地获得待检查的每个接口的信息;show buffer命令提供定期显示缓冲区大小、用途及使用状况;show proc命令和 show proc mem命令可用于跟踪处理器和内存的使用情况。定期收集这些数据,在故障出现时可以用于诊断参考。
对故障现象进行分析之后,就可以根据分析结果来定位故障的范围。要限定故障的范围是否仅出现在特定的计算机、某一地区的机构或某一时间段。由于一些本质不同的故障其现象却非常相似,因此仅通过表面现象,往往无法非常准确地将故障归类、定位。
一旦确认局域网出现故障,应立即收集所有可用的信息并进行分析。对所有可能导致错误的原因逐一进行测试,将故障的范围缩小到一个网段或节点。在测试时,不能根据一次的结果就断定问题的所在,而不再继续进行测试。因为故障存在的原因可能不只一处,使用尽可能的方法,并对所有的可能性进行测试,然后做出分析报告,剔除非故障因素,缩小故障发生的范围。另外,在故障的诊断过程中,一定要采用科学的诊断方法,以便提高工作效率,尽快排除故障。在定位故障时,应遵循“先硬后软”的原则,即先确定硬件是否有故障,再考虑软件方面。 3网络故障的排除
确定网络故障原因后,要采取一定的措施来隔离和排除故障。
如果故障影响整个网段,那么就通过减少可能的故障源来隔离故障。例如,将可能的故障源仅与一个网络中的节点相连,除这两个节点外,断开其他所有网络节点。如果这两个网络节点音能正常进行网络通信,可以再增加其他节点。如果这两个节点不能进行通信,就要逐步对物理层的有关部分进行检查。
如果故障能被隔离至一个节点,可以更换网卡,重新安装相应的驱动程序,或是用一条新的双绞线与网络相连。如果网络的连接没有问题,那么检查一下是否只是某一个应用程序有问题,使用相同的驱动器或文件系统运行其他应用程序,与其他节点比较配置情况,试用该应用程序。如果只是一名用户出现使用问题,检查涉及该节点的网络安全系统。检查是否对网络的安全系统进行了改变以致影响该用户。
一旦确定了故障源,那么识别故障类型是比较容易的。对于硬件故障来说,最方便的措施就是简单的更换,对损坏部分的维修可以以后再进行。对于软件故障来说,解决办法则是重新安装有问题的软件,删除可能有问题的文件并且确保拥有全部所需的文件。如果问题是单一用户的问题,通常最简单的方法是整个删除该用户,然后从头开始或是重复必要的步骤,使该用户重新获得原来有问题的应用。这比无目标地进行检查、逻辑有序地执行这些步骤可以更快速地找到问题。 4网络安全的检查
在网络故障被排除之后,还应该记录故障并存档,并且再次验证故障是否真正被 4
排除。对于网络安全故障,在排除后还要详细分析产生的原因并对系统进行全面的安全检查,确保系统的安全。
对于Windows2000网络系统的安全检查内容包括: (1)物理安全
(2)停掉Guest账号
(3)限制不必要的用户数量 (4)创建两个管理员用账号
(5)把系统Administrator账号改名
(6)把共享文件的权限从“everyone”组改成“授权用户” (7)使用安全密码 (8)设置屏幕保护密码 (9).使用NTFS格式分区 (10).必要时运行防毒软件 (11)保障备份盘的安全
(12)利用Windows2000的安全配置工具来配置策略 (13)关闭不必要的服务 (14)关闭不必要的端口 (15)打开审核策略 (16)开启密码策略 (17)开启账户策略
(18)设定安全记录的访问权限
(19)把重要敏感文件存放在另外的文件服务器中 (20)不让系统显示上次登录的用户名 (21)禁止建立空连接
(22)到微软网站下载最新的补丁程序 (23)关闭DirectDraw (24)必要的时候使用文件加密系统EFS (25)加密temp文件夹 (26)锁住注册表
(27)关机时清除掉页面文件
(28)禁止从软盘和CD-Rom启动系统。 (29)考虑使用IPSec。
10.3故障诊断工具
故障的正确诊断是排除故障的关键,因此选择好的故障诊断工具是很重要的。这些工具,既有软件工具,也有系统命令,功能各异,各有长处。Windows2000Server中包括几种常用的网络故障测试诊断工具,主要有IP测试工具Ping、测试TCP/IP协议配置工具Ipconfig、网络协议统计工具Netstat和Nbstat、跟踪工具Tracert和Pathping。
这些工具需要在命令行方式下执行,运行前必须先启动命令行环境。命令行就是在Windows操作系统中打开DOS窗口,以字符串的形式执行Windows管理程序。进入了命令行操作界面(DOS窗口),在DOS窗口中只能用键盘来操作。
一、启动命令行环境
单击开始按钮,选择“运行”命令,在弹出的“运行”对话框中输入\"cmd\"命令,可进入命令行界面,也可以按下Windows快捷键+R直接打开运行对话框,再输入cmd命令,如图10-
1、10-
2、所示。
单击“确定”按钮,随后打开DOS窗口,如10-3所示。
图10-1 从开始菜单启动命令行
图10-2在运行对话框中输入命令cmd
图10-3命令行环境
有时命令的参数过多,可以在DOS提示符号下输入“命令名/?”来获取相应的提示和帮助。执行完命令后,要退出时可以输入命令“exit”,按回车键后,将关闭命令窗口,返回Windows 2000 Server操作系统环境。
二、IP测试工具Ping Ping是Windows 2000 Server中集成的一个专用于TCP/IP协议网络中的测试工具。
Ping是测试网络联接状况以及信息包发送和接收状况非常有用的工具,是网络测试最常用的命令。Ping命令用于查看网络上的主机是否在工作,它是通过向主机发送ICMPECHO_REQUEST包进行测试而达到目的的。
Ping命令把ICMPECHO_REQUEST包发送给指定的计算机,如果Ping成功了,则TCP/IP把ICMP ECHO REQUEST包发送回来,以校验与本地或远程计算机的连接,其返回的结果表示是否能到达主机、向主机发送一个返回数据包需要多长时间。对于每个发送的数据包Ping命令最多等待1秒。
使用Ping可以确定TCP/IP配置是否正确以及本地计算机与远程计算机是否正在通信。此外,还可以使用Ping工具来测试计算机名和IP地址。在本地的hosts文件中或DNS数据库中存在要查询的计算机名时,如果仅能够成功校验IP地址却不能成功校验计算机名,则说明名称解析存在问题。一般在使用TCP/IP协议的网络中,当发生计算机之间无法访问或网络工作不稳定时,都可以试用Ping命令来确定问题的所在。 1.Ping命令的格式
Ping命令格式为:Ping [参数1] [参数2] [„] 目的地址 其中目的地址是指被测试计算机的IP地址或计算机名称。 2.Ping命令的常用参数
Ping命令常用参数的含义如下:
-t指定在中断前Ping可以向目的地持续发送回响请求信息。如果想要中断并显示统计信息,可以按Ctrl+Break组合键;要中断命令执行并退出,可以按Ctrl+C组合键。
-a:指定对目的地IP地址进行反向名称解析。如果解析成功,Ping将显示相应的主机名。
-n Count(计数):指定发送回响请求消息的次数,默认值是4。
-l Size(长度):指定发送的回响请求消息中“数据”字段的长度(以字节为单位),
默认值为32,Size的最大值是65527。
-f :指定发送的“回响请求”中其IP头中的“不分段”标记被设置为1(仅适用于IPv4)。“回响请求”消息不能在到目标的途中被路由器分段。该参数可用于解决“路 径最大传输单位(PMTU)”的疑难。
-i TTL:指定回响请求消息的IP数据头中的TTL段值。其默认值是主机的默认TTL
(生存时间TTL是IP协议包中的一个值,它告诉网络路由器包在网络中的时间是否太长而应被丢弃)值。TTL的最大值为225。注意该参数不能与-f一起使用。
-v TOS:指定发送的“回响请求”消息中的p标头中的“服务类型(TOS)”字段值(只适用于IPv4)。默认值是0。TOS的值是0~255之间的十进制数。
-r Count:指定p标头中的“记录路由”选项用于记录由“回响请求”消息和相应的“回响回复”消息使用的路径(只适用于IPv4)。路径中的每个跃点都使用“记录路由”选项中的一项。如果可能,可以指定一个等于或大于来源和目的地之间跃点数的Count。Count的最小值必须为1,最大值为9。
-s Count:指定IP数据头中的“Intemet时间戳”选项用于记录每个跃点的回响请求消息和相应的回响应答消息的到达时间。Count的最小值是1,最大值是4。对于链接本地目标地址是必需的。
-j HostList(目录):指定“回响请求”消息对于HostList中指定的中间目标集在IP标头中使用“稀疏来源路由”选项(只适用于IPv4)。使用稀疏来源路由时,相邻的中间目标可以由一个或多个路由器分隔开。HostList中的地址或名称的最大数为9,HostList是一系列由空格分开的IP地址(带点的十进制符号)。
-k HostList:指定“回响请求”消息对于HostList中指定的中间目标集在IP标头中
使用“严格来源路由”选项(只适用于lPv4)。使用严格来源路由时,下一个中间目的地必须是直接可达的(必须是路由器接口上的邻居)。HostList中的地址或名称的最大数为9,HostList是一系列由空格分开的IP地址(带点的十进制符号)。
-w Timeout(超时):指定等待回响应答消息响应的时间(以毫秒计),该回响应答消息响应接收到的指定回响请求消息。如果在超时时间内未接收到回响应答消息,将会显示“请求超时”的错误消息。
-R:指定应跟踪往返路径(只适用于lPv6)。
-S SrcAddr(源地址):指定要使用的源地址(只适用于IPv6)。
-4:指定将lPv4用于Ping。不需要用该参数识别带有IPv4地址的目标主机,要按名称识别主机。
-6:指定将lPv6用于Ping。不需要用该参数识别带有lPv6地址的目标主机,要按名称识别主机。仅需要按名称识别主机。
Ping命令可以可以通过在MS-DOS提示符下运行 “Ping/?”命令来查看Ping命令的格式及参数,如图10-4所示。
图10-4 Ping命令的格式与参数
在Ping命令测试中,如果网络未连接成功,除了出现“Request Time out”错误提示信息外,还有可能出现“Unknown hostname(未知用户名),“Network unreachable(网络没有连通,“No answer(没有响应)和“Destination specified is invalid(指定目标地址无效)等错误提示信息。
“Unknown hosmame”表示主机名无法识别.通常情况下,这条信息出现在使用了“Ping主机名[命令参数]”之后,如果当前测试的远程主机名字不能被命令服务器转换成相应的IP地址(名称服务器有故障,主机名输入有误,当系统与该远程主机之间的通信线路故障等),就会给出这条提示信息.
“Network unreachable”表示网络不能到达.如果返回这条错误信息,表明本地系统没有到达远程系统的路由。此时,可以检查局城网路由器的配置,如果没有路由器(软件或硬件),可进行添加.
“No answer”表示当前所Ping的远程系统没有响应.返回这条错误信息可能是由于远程系统接受不到本地发给局域网中心路由的任何分组报文,如中心路由工作异常、网络配置不正确、本地系统工作异常、通信线路工作异常等。
“Destination specified is invalid”表示指定的目的地址无效,返回这条错误信息可 8
能是由于当前所Ping的目的地址已经被取消,或者输入目的地址时出现错误等。 3.常用Ping命令诊断
在使用Ping命令进行故障诊断时,可以通过Ping下列地址来判断故障的位置。 Ping 127.0.0.1:在此命令执行时,计算机将模拟远程操作的方式来测试本机,如果不通,则极有可能是TCP/IP协议安装不正常,应删除TCP/IP协议,重新启动计算机,再重新安装TCP/IP协议:或者网络适配器安装有问题,应删除后重新添加。
Ping本机IP地址:如果不通,则说明在相应端口上的协议绑定有问题,查看网络设置,可能是网络协议绑定不正确。
Ping其他主机IP地址:如果前两种方式都能Ping通,而不能Ping通其他主机的IP地址,那么说明其他主机的网络设置有问题,或者网络连接有问题,可以检查其
他主机的网络设置,检查物理连接是否有问题。
4.Ping命令的应用
在局域网的维护中,经常使用Ping命令来测试一下网络是否通畅。使用Ping命令检查局域网上计算机的工作状态的前提条件是:局域网中计算机必须已经安装了TCP/IP协议,并且每台计算机已经配置了固定的IP地址。
如果要检查网络中另一台计算机上TCP/IP协议的工作情况,可以在网络中其他计算机上Ping该计算机的IP地址。如果这台计算机的IP地址是192.168.1.3,应用Ping命令的操作步骤如下:
(1)输入Ping命令
在MS-DOS提示符下,输入Ping测试的目标计算机的IP地址或主机名,即运行“Ping l92.168.1.3”命令,如图10-5所示。
图10-5 Ping测试的目标计算机连通信息
(2)查看结果
按回车键,如果客户机上TCP/IP协议工作正常,则会以DOS屏幕方式显示类似“Reply from 192.168.1.3:bytes=32 time
(3)如果网络未连接成功,则显示“Request Time out(请求超时)”信息,如图10-6所示。
图10-6 Ping测试的目标计算机失败信息
出现以上错误提示的情况时,就要仔细分析一下网络故障出现的原因和可能有问题的网上节点了,可以从以下几个方面来着手检查。
网卡是否安装正确,IP地址是否被其他用户占用。
检查本机和被测试的计算机的网卡及交换机(集线器)显示灯是否为亮,是否已经连入整个网络中。
是否已经安装了TCP/IP协议,TCP/IP协议的配置是否正常。
检查网卡的I/O地址、IRQ值和DMA值,是否与其他设备发生冲突。 如果还是无法解决,建议用户重新安装和配置TCP/IP协议。
三、测试TCP/IP协议配置工具
利用Ipconfig工具可以查看和修改网络中的TCP/IP协议的有关配置,例如IP地址、网关、子网掩码等。利用这两个工具可以很容易地了解IP地址的实际配置情况。 1.Ipconfig命令的格式
Ipconfig命令格式为:Ipconfig [/参数1] [/参数2] [/„] 常用参数的含义如下:
All:返回所有与TCP/IP协议有关的所有细节,包括主机名、主机的IP地址、DNS服务器、节点类型、是否启用IP路由、网卡的物理地址、子网掩码及默认网关等信息。
release:作用于向DHCP服务器租用IP地址的计算机。如果输入ipconfig/release,那么所有接口的租用IP地址归还给DHCP服务器。
renew:作用于向DHCP服务器租用IP地址的计算机。如果输入ipconfig/renew,那么本地计算机便重新与DHCP服务器联系并申请租用一个IP地址。
2.Ipconfig命令的应用
在DOS提示符下,输入ipconfig/all,执行结果如图10-7所示。
图10-7ipconfig/all,执行结果
四、网络协议统计工具
1.Netstat命令
(1)Netstat命令的格式
Netstat命令可以了解网络的整体使用情况,显示当前正在活动的网络连接的详细信息,例如显示网络连接、路由表和网络接口信息,可以统计目前总共有哪些网络连接正在运行。
利用命令参数,Netstat命令可以显示所有协议的使用状态,这些协议包括TCP协议、UDP协议以及IP协议等,另外还可以选择特定的协议并查看其具体信息,还能显示所有主机的端口号以及当前主机的详细路由信息。
命令格式:
netstat [-参数1] [-参数2] [-„] 常用参数的含义如下:
-a——用来显示在本地机上的外部连接,也可以显示当前机器远程所连接的系统,本地和远程系统连接时使用和开放的端口,以及本地和远程系统连接的状态。这个参数通常用于获得本地系统开放的端口,可以用它检查系统上有没有被安装木马。如果在机器上运行Netstat后发現有Port 12345(TCP) Netbus、Port31337(UDP) Back Orifice之类的信息,则机器上就很有可能感染了木马。
-n——这个参数基本上是-a参数的数字形式,它是用数字的形式显示以上信息,这个参数通常用于检查自己的IP时使用,也有些人使用他是因为更喜欢用数字的形式來显示主机名。
-e——显示静态太网统计,该参数可以与 -s 选项结合使用。
-p protocol——用来显示特定的协议配置信息,格式为:Netstat -p ***,***可以是
UDP、IP、ICMP或TCP,如要显示机器上的TCP协议配置情况则我们可以用:Netstat -p tcp。
-s——显示机器的缺省情况下每个协议的配置统计,缺省情况下包括TCP、IP、UDP、ICMP等协议。
-r——用来显示路由分配表。
interval——每隔“interval”秒重复显示所选协议的配置情况,直到按“CTRL+C”中断。
(2)Netstat的应用
netstat工具应用很广,主要包括的用途有:
显示本地或与之相连的远程机器的连接状态,包括TCP、IP、UDP、ICMP协议的使用情况,了解本地机开放的端口情况;
检查网络接口是否已正确安装,如果在用netstat这个命令后仍不能显示某些网络接口的信息,则说明这个网络接口没有正确连接,需要重新查找原因。 通过加入“-r”参数查询与本机相连的路由器地址分配情况; 还可以检查一些常见的木马等黑客程序,因为任何黑客程序都需要通过打开一个端口来达到与其服务器进行通信的目的,不过这首先要使你的这台机连入互联网才行,不然这些端口是不可能打开的,而且这些黑客程序也不会起到入侵的本来目的。
在DOS提示符下,输入netstat -a,执行结果如图10-8所示。
图10-8 netstat命令执行结果 2.Nbstat NBTSTAT命令:用于查看当前基于NETBIOS的TCP/IP连接状态,通过该工具你可以获得远程或本地机器的组名和机器名 。虽然用户使用ipconfig/winipcfg工具可以准确地得到主机的网卡地址,但对于一个已建成的比较大型的局域网,要去每台机器上进行这样的操作就显得过于费事了。网管人员通过在自己上网的机器上使用DOS命令nbtstat,可以获取 12
另一台上网主机的网卡地址。
(1)命令格式:
nbstat [-参数1] [-参数2] [-„] 常用参数的含义如下:
-a Remotename——说明使用远程计算机的名称列出其名称表,此参数可以通过远程计算机的NetBios名来查看他的当前状态。
-A IP addre——说明使用远程计算机的 IP 地址并列出名称表,这个和-a不同的是就是这个只能使用IP,其实-a就包括了-A的功能了。
-c——列出远程计算机的NetBIOS 名称的缓存和每个名称的 IP 地址 这个参数就是用来列出在你的NetBIOS里缓存的你连接过的计算机的IP。
-n——列出本地机的 NetBIOS 名称,此参数与上面所介绍的一个工具软件“netstat”中加“ -a”参数功能类似,只是这个是检查本地的,如果把netstat -a后面的IP换为自己的就和nbtstat -n的效果是一样的了。
-r——列出 Windows 网络名称解析的名称解析统计。在配置使用 WINS 的Windows 2000 计算机上,此选项返回要通过广播或 WINS 来解析和注册的名称数。
-R——清除 NetBIOS 名称缓存中的所有名称后,重新装入 Lmhosts 文件,这个参数就是清除nbtstat -c所能看见的缓存里的IP。
-S—— 在客户端和服务器会话表中只显示远程计算机的IP地址。
-s—— 显示客户端和服务器会话,并将远程计算机 IP 地址转换成NETBIOS名称。此参数和-S差不多,只是这个会把对方的NetBIOS名给解析出来。
-RR——释放在 WINS 服务器上注册的 NetBIOS 名称,然后刷新它们的注册。
interval——每隔interval 秒重新显示所选的统计,直到按“ CTRL+C”键停止重新显示统计。如果省略该参数,nbtstat 将打印一次当前的配置信息。此参数和netstat的一样,nbtstat中的“interval”参数是配合-s和-S一起使用的。
(2)Netstat的应用
netstat工具应用很明确,主要用于远程获取机器的组名或机器名以及网卡信息。 例如在DOS提示符下,输入netstat –a 远程机器的IP地址,可以获取远程机器的相关信息,执行结果如图10-9所示。
图10-9 netstat命令执行结果
五、跟踪工具
1.Tracert Tracert命令用来显示数据包到达目标主机所经过的路径,并显示到达每个节点的时间。命令功能同Ping类似,但它所获得的信息要比Ping命令详细得多,它把数据包所走的全部路径、节点的IP以及花费的时间都显示出来。该命令比较适用于大型网络。
命令格式:
tracert [-参数1] [-参数2] [-„] IP地址或主机名 常用参数的含义如下:
-d 不解析目标主机的名字;
-h maximum_hops 指定搜索到目标地址的最大跳跃数; -j host_list 按照主机列表中的地址释放源路由;
-w timeout 指定超时时间间隔,程序默认的时间单位是毫秒。
例如大家想要了解自己的计算机与目标主机www.daodoc.com之间详细的传输路径信息,可以在MS-DOS方式输入tracert
www.daodoc.com。
如果我们在Tracert命令后面加上一些参数,还可以检测到其他更详细的信息,例如使用参数-d,可以指定程序在跟踪主机的路径信息时,同时也解析目标主机的域名。
2.Nslookup Nslookup是一个监测网络中 DNS 服务器是否能正确实现域名解析的命令行工具。 Nslookup 必须要安装了TCP/IP协议的网络环境之后才能使用。它在 Windows NT/2000/XP 中均可使用,Nslookup命令用来测试主机名解析情况。在网络中经常要用到域名和主机名,通常域名和主机名之间需要经过计算机的正确解析后才能进行通信联系,域名才能够真正使用。假如不能正确解析域名,计算机间将无法正常通信。
配置好DNS服务器,添加了相应的记录之后,只要IP地址保持不变,一般情况下我们就不再需要去维护DNS的数据文件了。不过在确认域名解析正常之前,最好测试一下所有的配置是否正常。简单地使用ping命令主要检查网络联通情况,虽然在输入的参数是域名的情况下会通过DNS进行查询,但是它只能查询A类型和CNAME类型的记录,而且只会告诉域名是否存在,其他的重要信息却没有。如果需要对DNS的故障进行排错,就必须使用nslookup。这个命令可以指定查询的类型,可以查到DNS记录的生存时间还可以指定使用那个DNS服务器进行解释。 查询IP地址 nslookup最简单的用法就是查询域名对应的IP地址,包括A记录和CNAME记录,如果查到的是CNAME记录还会返回别名记录的设置情况。
命令格式:
nslookup [-子命令...] [{要查找的计算机 | -服务器}] 常用参数的含义如下:
-子命令:将一个或多个 nslookup 子命令指定为命令行选项。有关子命令的列表,请参阅“相关主题”。
要查找的计算机:如果未指定其他服务器,使用当前默认 DNS 名称服务器查找要查找的计算机的信息。要查找不在当前 DNS 域的计算机,要在名称上附加句点。
-服务器:指定将该服务器作为 DNS 名称服务器使用。如果省略了 -服务器,将使用默认的 DNS 名称服务器。
Nslookup命令的应用十分简单,在DOS窗口中输入Nslookup命令后,再输入要检测的域名后即可,如图10-10所示。
图10-10 Nslookup命令的应用
10.4常见网络故障分析与处理
在局域网的组建和使用过程中,有时会遇到因硬件设备发生故障而造成网络无法正常运行,有时也会由于Windows网络管理方面的设置使网络产生故障,更多的时候由于安全方面的原因引发网络危机。从引起网络常见的故障来看,主要原因包括这几个方面:网络设备故障、网络设置故障、网络服务故障、网络安全故障、其他网络故障。
本节从实际出发,将网络中常见的故障从五个方面汇编并精选了一些代表性实例,通过对具体的网络故障现象分析说明故障原因,并给出了排除故障的具体方法,供实践参考。
一、网络设备故障
在局域网中发生故障硬件设备主要有:双绞线、网卡、Modem、集线器、交换机、服务器等。从发生故障的对象来看,主要包括传输介质故障、网卡故障、Modem故障、交换机故障。
1.传输介质故障
局域网中使用的传输介质主要有双绞线和细缆,双绞线一般用于星型网络结构的布线,而细缆多用于总线型结构的布线。
(1) 案例选编1网卡灯亮却不能上网 ①故障现象
某局域网内的一台计算机无法连接局域网,经检查确认网卡指示灯亮且网卡驱动程序安装正确。另外网卡与任何系统设备均没有冲突,且正确安装了网络协议(能Ping通本机IP地址)。
②故障分析与处理
从故障现象来看,网卡驱动程序和网络协议安装不存在问题,且网卡的指示灯表
现正常,因此可以判断故障原因可能出在网线上。
因为网卡指示灯亮并不能表明网络连接没有问题,例如100Base-TX网络使用
1、
2、
3、6两对线进行数据传输,即使其中一条线断开后网卡指示灯仍然亮着,但是网络却不能正常通信。
用于跳线的双绞线,由于经常插拔而导致有些水晶头中的线对脱落,从而引发接触不良。有时需要多次插拔跳线才能实现网络连接,且在网络使用过程中经常出现网络中断的情况。建议使用网线测试仪检查故障计算机的网线。
如果网线不好建议重新压制水晶头。剥线时双绞线的裸露部分大约为14mm左右,这个长度正好刚刚能将各导线插入到各自的线槽。如果该段留得过长,则会由于水晶头不能压住外层绝缘皮而导致双绞线脱落,并且会因为线对不再互绞而增加信号串扰。
如果网线正常则尝试能否Ping通其他计算机。如果不能Ping通可更换集线设备端口再试验,仍然不通时可更换网卡。
(2) 案例选编2 RJ-45针脚顺序判断错误导致压线故障 ①故障现象
在按照T568B标准制作一条直通线并进行测试时,网线测试仪上的指示灯显示线序错误。
②故障分析与处理
从故障现象来看,在确认网线已经严格按照T568B标准进行压制的前提下,估计问题是错误判断针脚的排列顺序引发的。
双绞线的8条线分别对应水晶头的8根针脚,8根针脚的排列顺序应按照如下方式确定:将水晶头有塑料弹簧片的一面向下,有针脚的一面向上。然后将能够插进网线的一端面对自己,此时从左到右依次为第1脚至第8脚。
重新压制后,建议使用网线测试仪检查故障计算机的网线。 (3) 案例选编3网线短路导致网络通信中断 ①故障现象
某局域网使用的时间较长,最近发现其中一台计算机经常出现丢包现象,且丢包数量不固定。经检查确认网卡指示灯亮且网卡驱动程序安装正确。用网线测试仪检测该计算机的物理链路,发现网线中的白橙线和白蓝线发生了短路。
②故障分析与处理
从故障现象来看,网卡驱动程序和网络协议安装不存在问题,且网卡的指示灯表现正常,因此可以判断故障原因可能出在网线上。
网线中的白橙线和白蓝线发生了短路,需要重新制作网线,并且不能再使用这两种色标的线路制作。如果不进行重新布线,利用原来的线路进行制作,可以通过改变线序来解决此问题。对于100Base-TX的局域网络只用到了双绞线
中的两对线来传输信号,分别与水晶头上的
1、
2、
3、6线相对应,而对应的双绞线颜色则依次是白橙、橙、白绿、绿。既然白橙线和白蓝线发生了短路,只需放弃白橙和橙这一对双绞线,并用白棕线和棕线代替即可。重新压制后的线序应该是:白棕、棕、白绿、空、空、绿、空、空,且网线两端都应该按此顺序压制。
(4) 案例选编4 双机直连无法共享上网 ①故障现象
某局域网内两台计算机,其中一台计算机安装双网卡,准备实现双机直连并用Internet连接共享。但当使用普通网线连接两台计算机后,用于双机直连的网络连接总是提示“网络线缆没有插好”。而与ADSL Modem相连的网络连接显示正常,更换网卡和网线后故障依旧。
②故障分析与处理
从故障现象来看,可以断定是双机直连所使用的网线有问题。用于双机直连的网线应当使用交叉线,而不能使用直通线。普通的网线一般都按照568B标准做成直通线,因此不能实现双机直连。解决该问题的方法很简单,只需将用于双机直连的网线换成交叉线即可。交叉线的线序应遵循此规则:一端为白橙、橙、白绿、蓝、白蓝、绿、白棕、棕,另一端为白绿、绿、白橙、蓝、白蓝、橙、白棕、棕。
2.网卡故障
(1) 案例选编5 网卡MAC地址异常 ①故障现象
某小型局域网采用交换机进行连接,其中有一台运行WinXP操作系统的计算机不能正常连接网络,但各项网络参数设置均正确。在用“ipconfig/a11”命令检查网络配置信息时,显示网卡的MAC地址是“FF-FF—FF—FF—FF—FF\"。
②故障分析与处理
从“ipconfig/all\'’的返回结果来看,应当是该计算机的网卡出现故障,因为网卡的MAC地址不应该是“FF-FF-FF-FF-FF-FF\'’这样的字符串。网卡MAC地址由12个十六进制数来表示,其中前6个十六进制数字由IEEE(美国电气及电子工程师学会)管理,
用来识别生产者或者厂商,构成OUI(Organizational Uniqueldentifier,组织,惟一识别符)。后6个十六进制数字包括网卡序列号或者特定硬件厂商的设定值。显示“FF-FF-FF-FF-FF-FF\'’则说明该网卡存在故障,由此导致使用该网卡的计算机不能正常连接局域网,建议为故障计算机更换一块新网卡后再进行测试。
(2) 案例选编6 设置网卡IP地址时出错 ①故障现象
某局域网中服务器需要添加新设备,将原来的PCI网卡移到另一个PCI插槽时,对网卡重新设置网卡的IP地址时Windows 2000 Server提示该地址已经存在。
②故障分析与处理
根据故障现象,出现这个问题的原因是,将网卡从原先的PCI插槽中拔出后系统没有自动进行卸载网卡的操作,因此导致网卡仍在注册表中存在。不过在“设备管理器”中把网卡隐藏了,因此用户一般看不到它的存在。由于原先网卡的设置参数依然存在,所以更换PCI槽后的网卡在被识别为新网卡时无法设置成原先的IP地址,因为这样会造成IP地址冲突。
可采取以下方法解决该问题: a.打开“命令提示符”窗口,键入命令行“set devmgr_show_nonpresent —devices=1”并按回车键;
b.打开“设备管理器”窗口,单击菜单“查看”选择“显示隐藏的设备”菜单命令; c.在“网络设备”目录中,右键单击呈灰色的网卡,单击“卸载”按钮将原先的网卡卸载
d.稍后再设置“新”网卡的IP地址即可。 (3) 案例选编7 安装网卡后启动速度变慢 ①故障现象
局域网采用DHCP动态分配IP地址,客户端计算机采用自动获取方式。服务器计算机安装网卡连入局域网后,此客户端计算机系统启动速度比原来慢了很多。
②故障分析与处理
安装网卡后计算机的启动速度变慢是正常现象,因为系统启动时除了需要检测网络 17
连接外,还会自动检测网络中的DHCP服务器,增加了系统的启动时间。如果要加快系统的启动速度,则应该为计算机指定静态IP地址,以减少系统的检测时间,而不要使用自动获取IP地址的方式。
(4) 案例选编8 安装网卡后,网卡的名称中多了“2#” ①故障现象
某局域网中的一台计算机,在重新安装网卡后,发现网卡的名称比以前多了一个“2#”。
②故障分析与处理
这个故障的原因和案例6相似。因为在拔掉旧网卡之前没有将其完全卸载,该网卡的驱动程序仍然保存在系统中,尽管不会影响新网卡的使用,但是会在新网卡的名称中加一个“2#”,用于区别原来的网卡。
可采取以下方法解决该问题: a.打开“命令提示符”窗口,键入命令行“set devmgr_show_nonpresent —devices=1”并按回车键;
b.打开“设备管理器”窗口,单击菜单“查看”选择“显示隐藏的设备”菜单命令; c.在“网络适配器”目录中,将新旧网卡全部删除; d.重新启动计算机并安装新网卡驱动程序即可。
3.Modem故障
(1) 案例选编9 USB接口ADSL Modem的故障解决 ①故障现象
某局域网用户最近安装一台USB接口的ADSL Modem,如果在打开计算机前开启ADSL Modem,系统会停在黑屏的状态下,重新插拔后才能使用。
②故障分析与处理
这个故障的原因可能是ADSL Modem采用USB 2.0标准,而系统只安装了USB 1.1驱动程序或者在BIOS中没有进行正确的设置,例如启用了USB键盘和鼠标而禁用了USB控制器。还可能是USB Modem通过USB接口供电,由于启动时间比较短而没有激活设备,从而导致系统误认为硬件故障。
可采取以下步骤步骤尝试解决该问题:
a.检查系统是否正确识别USB芯片组,并正确安装USB 2.0驱动程序; b.检查并重新设置BIOS中关于USB的选项;
(2) 案例选编10 无法登录ADSL Modem管理界面故障解决 ①故障现象
某局域网通过ADSL Modem(内置路由功能)拨号上网。由于最近经常掉线,想查看ADSL Modem管理界面中的日志。但在登录管理界面时却很难登录成功,只能在关闭ADSL Modem电源后重新开启才能顺利登录。不过一段时间后依然无法登录。
②故障分析与处理
经常掉线故障的原因可能是因为并发访问量太大导致ADSLModem超负荷运转,不能登录ADSL Modem管理界面的故障也可能是由于这个原因引起的。建议禁止用户使用BT下载等易产生较大数据流量的上网操作。另外,还要检查局域网中所有计算机中是否有已知或未知的蠕虫病毒,这类病毒也极有可能使网络访问的速度变得极为缓慢,从而导致用户在访问ADSL Modem的管理页面时出现不正常的超长延时访问现象。
4.交换机故障
(1) 案例选编11 不正确连接对称网络交换设备导致网络传输速度很慢 ①故障现象
公司局域网由3台交换机连接而成,交换机采用非对称端口,其中包括两个1000Base—T端口和24个100Base—T端口。在使用过程中发现,当多台计算机同时访问服务器尤其是视频服务器时传输速度很慢。
②故障分析与处理
这个故障的可能是不正确连接对称网络交换设备导致的。 所谓的不对称交换机是指交换机拥有不同速率的端口,通常局域网中的交换机拥有100Mbps和1000Mbps两种传输速率。通常情况下,高速端口用于连接其他交换机或服务器,而低速率端口则用于直接连接计算机或集线器。该连接方式同时解决了设备之间以及服务器与设备之间的连接瓶颈,充分考虑到了服务器的特殊地位。通过增加服务器连接带宽,可有效地防止服务器端口拥塞的问题。同时,由于交换机之间通过高速端口通信,可使网络内所有的计算机都平等地享有多服务器的访问权限。
另外,除了将服务器连接至高速端口外,还必须为服务器配置1000Base-T网卡,并提高服务器硬盘的数据读取速率。例如采用RAID—5方式将多块SCSI硬盘连在一起,从而满足大量数据读取的需要。
(2) 案例选编12 交换机端口不正常 ①故障现象
局域网内部使用一台24口可网管的交换机,将计算机连接到该交换机的一个端口后,不能访问局域网。更换交换机端口又能恢复网络连接,这个故障端口有时偶尔也能与其他计算机建立正常的连接。
②故障分析与处理
这个故障的可能是交换机端口损坏导致的。
如果计算机与交换机某端口连接的时间超过了10秒钟仍无响应,那么就已经超过了交换机端口的正常反应时间。这时如果采用重新启动交换机的方法就能解决这种端口无响应问题,那么说明是交换机端口临时出现了无响应的情况。不过如果此问题如果经常出现而且限定在某个固定的端口,这个端口可能已经损坏,建议闲置该端口或更换交换机。
(3) 案例选编13 更换交换机后无法上网 ①故障现象
某学校局域网通过路由器接入Internet,其中一台计算机在使用10Mbps集线器连接时能够正常连接局域网和Internet,更换10/100Mbps自适应交换机后,虽然系统托盘上显示网络连接正常,却无法连接到Internet。无论是让路由器分配IP地址还是指定静态IP地址都不能连接。
②故障分析与处理
此类故障一般可以从以下几个方面进行检查: 为故障计算机指定一个静态的IP地址,该IP地址必须与局域网其他计算机位于同一个网段,并采用相同的子网掩码、默认网关和DNS。当然不能与其他计算机的IP地址发生冲突。
使用Ping命令Ping网络内的其他计算机,确认网络连接是否正常。如果能够Ping通说明网络连接没有问题,否则故障发生在本地计算机与交换机的连接上。应当使用网线测试仪检查相应网线的连通性。
Ping路由器内部IP地址,如果能Ping通说明路由器存在IP地址分配故障,极有可能是因为IP地址池内的IP地址数量过少造成的。如果不能Ping通则说明物理链路发生故障,应当检查相应的物理连接。
根据故障具体现象描述,在10Mbps络中可以正常接入,但连接至100Mbps交换机时无法通讯,因此可以怀疑连接该计算机的跳线有问题,或者没有按照T568A或T568B的标准压制网线。建议使用网线测试仪测试连接该计算机与交换机跳线的连通性。
(4) 案例选编14 Uplink端口直接连接导致通信故障 ①故障现象
某小型局域网利用一台交换机将20多台计算机连接在一起,并共享ADSL接入Internet。后该局域网的计算机数增加至30台,新添一台交换机,并使用直通网线将两台交换机的Uplink端口相连。连接完毕后发现只有跟ADSL Modem直接相连的交换机上的计算机可以上网,而其他计算机无法上网。
②故障分析与处理
Uplink端口是专门用于跟其他交换机(或集线器)级联的端口,可利用直通线将该端口连接至其他交换机(或集线器)除Uplink端口以外的任意端口,其连接方式跟计算机与交换机(或集线器)之间的连接方式完全相同。这里直接将两台交换机的Uplink端口相
连接,两台交换机显然是无法通信的,因此导致一部分计算机不能上网。
随着技术的发展,越来越多的交换机和集线器(如D-Link、TP-Link等)开始提供智能端口。任何端口都能够自动判断对端设备的类型,并自动选择适当的工作模式,因此无论对端连接的是计算机、集线设备还是其他网络设备,可以全部采用直通线连接,从而使得设备之间的连接变得更加简单。
(5) 案例选编15 违反5—4—3规则导致网络不通 ①故障现象
某小型局域网出于成本考虑,其网络设备全部采用淘汰下来的10M集线器,48台计算机通过双绞线和4台串接的集线器构成了共享式网络。完成网络参数的配置进行联网测试时,发现网络中的40多台计算机之间彼此失去了联系。
②故障分析与处理
根据故障描述可以看出此故障明显是由于违反了10Base-T的5-4-3规则,导致的网络故障。
所谓10Base-T的5-4-3规则,是指任意两台计算机之间最多不能超过5段线(包括集线器与集线器的连接线缆,也包括集线器与计算机之间的连接线缆)、4台集线器,其中只能有3台集线器直接与计算机或网络设备连接。这是10Base-T网络所允许的最大拓扑结构和所能级联的集线器层数。其中,安装在中间的集线器是网络中惟一不能与计算机直接连接的集线器。计算机发送数据后,如果在一定时间内没有得到回应,那么将认为数据发送失败。
因此只需对集线器的连接方式稍做调整就能解决此问题。可以将其他3台集线器都连接在同一台不连接计算机的集线器上即可。
(6) 案例选编16 物理链路不通导致计算机不能连接局域网 ①故障现象
某小型局域网综合布线完成后实现了计算机之间的互联,扩充计算机数量后,做了一条网线将计算机连接至信息插座。结果发现无法连接局域网,可以Ping自己但不能Ping通其他计算机和默认网关,在“网上邻居”中也只能看到自己。
②故障分析与处理
根据故障描述可能是物理链路不通。
综合布线只是实现链路的铺设,要想实现计算机与网络设备的连接,除了需要用 网线连接计算机与信息插座外,还必须用跳线连接配线架与网络设备。配线架上的每个端口都对应一个信息插座,只有将该端口连接至集线设备才能将计算机连接至网络。集线设备与配线架的连接以及计算机与信息插座的连接所使用的跳线全部都是直通线。需要注意的是,10Base-T和100Base-TX网络只使用双绞线4对线中的2对,即
1、2线对和
3、6线对,而1000Base-T网络使用双绞线的全部4对线。因此在连接网络时,一定要使用网线测试仪测试整条链路,保证8条线必须全部连通。
(7) 案例选编17 路由器故障导致掉线 ①故障现象
两台计算机使用TP—LINK R410宽带路由器共享上网,连接完成后发现无论哪台计算机先开机上网,当另一台开机时必定会出现掉线现象,此时重新连接可以恢复正常。
②故障分析与处理
从故障现象可以判断是路由器存在物理或设置问题,建议按照以下步骤排除故障:重新启动路由器看故障是否能被排除;检查计算机与路由器的连接是否采用直通线,虽然TP-LINKR410路由器支持自动翻转,不过使用非正常的跳线往往会导致一些故障发生。将其更改为使用代理服务器方式上网,重复两台计算机的开关机操作检测ADSL Modem的连接是否正常,如果有异常则表明ADSL Modem存在问题。
(8) 案例选编18 路由器上的Link灯不亮 ①故障现象
在小型局域网中,完成物理连接后发现一台路由器的“link”灯不亮。 ②故障分析与处理
从故障现象路由器上的Link灯判断路由器是否处于正常的工作状态。如果Link灯亮则代表联机成功,如果Link灯不亮则代表联机失败或没有连接。通常情况下这个问题是由网线的跳线引起的。当用户使用路由器连接不同设备的时候,需要进行不同网线的跳线切换,因为直连网线和交叉网线所对应的网络设备并不相同。宽带路由器的背面通常有一个“MDIX”按钮,它用于负责进行直连网线和交叉网线的切换。如果Link没有亮,可以按下该按钮尝试解决问题。
(9) 案例选编19 路由器故障导致掉线 ①故障现象
两台计算机使用TP—LINK R410宽带路由器共享上网,连接完成后发现无论哪台计算机先开机上网,当另一台开机时必定会出现掉线现象,此时重新连接可以恢复正常。
②故障分析与处理
从故障现象可以判断是路由器存在物理或设置问题,建议按照以下步骤排除故障:重新启动路由器看故障是否能被排除;检查计算机与路由器的连接是否采用直通线,虽然TP-LINKR410路由器支持自动翻转,不过使用非正常的跳线往往会导致一些故障发生。将其更改为使用代理服务器方式上网,重复两台计算机的开关机操作检测ADSL Modem的连接是否正常,如果有异常则表明ADSL Modem存在问题。
(10) 案例选编20 文件共享响应太慢 ①故障现象
小型局域网中,以前用HUB上网的时候各台计算机之间可以顺利进行文件共享。添加路由器后出现了怪现象,在“网上邻居”中可以看到其他计算机的共享文件,但是将这些共享文件复制到本地计算机时速度奇慢,有时甚至会停止响应。而其他计算机之间的共享是正常的。
21
②故障分析与处理
从故障现象看其他计算机间共享正常,说明问题应该出在本地计算机到路由器端口这一部分的连接上。这部分连接可能存在的故障包括交换设备端口、网线、网卡和计算机。
可采取以下方法尝试解决该问题: a.检查网线的质量及接口是否有问题; b.改变交换设备端口看能否解决问题;
c.检查网卡驱动程序安装、设置是否正常。计算机是否安装了防火墙软件以及是否正确设置了IP规则;
d.替换计算机的网卡看能否解决问题。
二、网络设置故障
在Windows Server2000中网络管理的内容繁多,涉及到网络设备、网络协议等多方面的技术知识,在网络运行过程中有时由于网络设置或调整不当,会导致网络故障。在处理这类故障时,要求网络管理人员能快速判断故障的性质和范围,及时排除有关网络连接、网络协议、网络参数设置、网络权限管理等方面的问题。
从发生故障的原因来看主要有:网络连接设置故障、网络协议设置故障、网络参数设置故障、网络权限故障等。 1.网络连接设置故障
(1) 案例选编21 局域网内不能Ping通 ①故障现象
某局域网内的一台运行Windows Server 2000系统的计算机和一台运行WindowsXP系统的计算机,Ping 127.0.0.1和本机IP地址都可以Ping通,但在相互间进行Ping操作时却提示超时。
②故障分析与处理
在局域网中,不能Ping通计算机的原因很多,主要可以从以下两个方面进行排查。 a.对方计算机禁止Ping动作
如果计算机禁止了ICMP(Intemet控制协议)回显或者安装了防火墙软件,会造成Ping操作超时。建议禁用对方计算机的网络防火墙,然后再使用Ping命令进行测试。
b.物理连接有问题
计算机之间在物理上不可互访,可能是网卡没有安装好、集线设备有故障、网线有问题。在这种情况下使用Ping命令时会提示超时。尝试Ping局域网中的其他计算机,查看与其他计算机是否能够正常通讯,以确定故障是发生在本地计算机上还是发生在远程计算机上。
(2) 案例选编22 点对点VPN连接已建立 VPN网关之间没有任何通信 ①故障现象
某广域网中,在Windows RRAS服务器之间创建site-to-site VPN连接,但是连接好的网络并没有任何通信。网络和主机之间的域名解析失败,远程站点网络中的主机甚至都不能够被ping通。
②故障分析与处理
在广域网络中,涉及VPN连接的问题一般比较复杂。从故障的现象看,造成这种失败最常见的原因是site-to-site网络连接两边的网络使用了同样的网络ID。解决方法是
22
修改一个或多个网络的IP地址分配计划,这样所有连接到site-to-site VPN连接中的网络都有不同的网络ID。
2.网络参数设置故障
(1) 案例选编23 设置固定IP地址的计算机不能上网 ①故障现象
某局域网中一台分配了固定IP地址的计算机不能正常上网,但在同一局域网内的其他计算机都能正常上网。这台计算机Ping局域网中的其他计算机也都正常,但不能Ping通网关。更换网卡后故障仍然存在。将这台计算机连接到另一个局域网中,可以正常使用上网。
②故障分析与处理
从故障的现象看,造成这种故障的原因是没有正确设置好计算机的网关或子网掩码。无法Ping通网关,很可能是网关设置错误。不同VLAN间的计算机通信时,必须借助默认网关的路由到其他网络。所以当默认网关设置错误时,将无法路由到其他网络,导致网络通讯失败。子网掩码是用于区分网络号和IP地址号的,设置错误,也会导致网络通讯的失败。解决方法是认真检查默认网关和子网掩码的设置。
(2) 案例选编24 TCP/IP设置不当不能使用NetMeeting ①故障现象
某局域网中服务器安装了Windows Server 2000,客户机安装了Windows XP 。其中一台计算机重装系统后能与另外几台客户机连接,但使用NetMeeting时不能相互连接,而且不能使用服务器的共享资源。使用“ipconfig/all”命令检查该计算机网络设置,发现其IP地址为“169.254.255.18”
②故障分析与处理
从故障的现象看,该机器的IP地址为“169.254.255.18”,说明该计算机即没有指定固定的IP地址,也没有能够从DHCP服务器取得租借的IP,而是由Windows自动分配了一个从“169.254.0.0-169.255.255”的IP地址。造成这种故障的原因是没有正确设置好计算机的IP地址。解决方法是为该计算机指定一个静态IP地址或者使它能够使用DHCP服务租借到一个合法的IP地址。 3.网络协议设置故障
(1) 案例选编25 无法用计算机名访问共享资源 ①故障现象
某局域网中直通过在“运行”编辑框输入“\\共享计算机名”的形式访问其他计算机的共享资源。在为所有的计算机重新安装系统后,发现某一台计算机不能通过这种方式访问其他计算机。当在“运行”编辑框中输入“\\共享计算机名”之类的UNC路径时,提示找不到该计算机,而这台计共享算机可以被其他计算机访问。
②故障分析与处理
从故障的现象看,首先可以排除网络物理连接存在问题。 由于是在重装系统后出现了问题,可以重点检查网卡驱动程序或网络协议是否安装正确,IP地址是否设置正确。如果IP地址设置没有问题且已经安装网卡驱动程序,建议在“设备管理器”中删除网卡驱动程序后重新安装。如果计算机运行Windows9x系统,则“NetBEUI”协议是一定要安装的。如果所有的网络协议均没有问题,通过UNC路径就可以访问目标计算机。
(2) 案例选编26 启用NeIBEUI协议出现网络重名 ①故障现象
23
某局域网采用固定IP地址的ADSL设备接入Internet,可是经常掉线。 ②故障分析与处理
ADSL设备接入Internet有时由于环境或线路的关系会经常掉线。解决的方法可以将在本地计算机中使用ARP命令将网关IP地址和MAC地址绑定在一起,掉线后自动利用缓存中的参数连接上网。
一般情况下,ADSL服务提供商会使用ARP协议通过目标设备的IP地址查询目标设备的MAC地址,以保证通信的顺利进行。在每台安装有TCP/IP协议的计算机里都有一个ARP缓存表,里面的IP地址与MAC地址是一一对应的。因此直接将网关IP地址相对应的MAC地址写入ARP缓存表(即使用ARP命令绑定默认网关)可以跳过ARP查询的步骤,直接从ARP缓存表中找到网关MAC地址,从而确保通信正常进行。
采用这种方法可以解决掉线问题,不过用户需要从ISP处获得网关的MAC地址。假设已知网关的IP地址和MAC地址,则应该在本地每台计算机上执行命令“arp –s IP地址
MAC地址”。如果网络采用了代理服务器,那么只要在代理服务器中执行包含该命令的批处理文件即可。
4.网络权限故障
(1) 案例选编27 篡改IP地址导致网络中多台计算机无法上网 ①故障现象
某学校机房拥有60台计算机,所有客户端计算机均运行Windows XP系统。但是有人经常随意修改IP地址,从而导致很多局域网中的客户端计算机无法正常上网。
②故障分析与处理
故障是由于IP地址的篡改引起的,只要在局域网中禁止随意更改IP地址就可以解决问题。
解决方案有两种,一种是基于客户机端的,一种是基于服务器端的。在客户机端,只要将每台电脑的IP地址和网卡的MAC地址进行绑定即可。例如要将每一台固定分配的IP地址与机器的网卡MAC地址利用ARP命令绑定就可以了。可以在“命令提示符”窗口中执行命令行“arp –s
IP地址
MAC地址”。将这条命令加入到开机的自动批处理命令中,在开机时自动执行一次就可以了。如果想要解除绑定,执行命令行“arp —d IP地址
MAC地址”。
如果是在Windows域环境中,可以使用组策略限制用户修改IP地址,并部署DHCP服务动态分配IP地址。这样所有客户机都将使用分配到的合法IP地址上网,不能随意更改IP地址,确保网络的正常使用。
(2) 案例选编28 无法使用共享打印机 ①故障现象
某单位局域网计算机运行Windows 98和Windows XP、Windows 2000 Server三种系统。在其中一台运行Windows 2000的计算机上安装打印机并设置为共享,该打印机在本地计算机上可以正常使用。从其他客户计算机上可打开该共享打印机的界面且能够执行清理文档等维护操作,但无法正常打印(包括测试页也不能打印)。
②故障分析与处理
首先应当确保在安装共享打印机的Windows系统中启用了Guest账户。既然客户端计算机能够打开共享打印机的界面,说明网络连接基本正常。客户端计算机要想使用共享打印机,必须在客户端计算机中通过“网络打印机安装向导”将共享打印机的驱动程序安装到本地系统中。另外局域网中包含有Windows98系统的客户端,建议安装NetBEUI协议,以便 24
于这些机器能顺利使用这台共享打印机。
三、网络服务故障
Windows2000 Server提供了丰富的网络服务,方便了网络管理。通过安装Windows网络服务组件和第三方工具软件,可以进一步把Windows服务器配置成Web服务器、FTP服务器、DHCP服务器、DNS服务器、流媒体服务器等。在使用和配置过程中,由于很多原因有时会造成网络服务的故障。
发生故障的网络服务主要有:文件服务故障、网络打印服务故障、IIS服务故障、WWW故障、FTP服务故障、DNS故障、DHCP服务故障 1.文件服务故障
(1) 案例选编29 共享文件出错 ①故障现象
某单位局域网服务器采用Windows 2000Server系统,客户端计算机则分别运行Windows 98和WindowsXP两种系统。在服务器中设置了一个共享文件夹,并在两种客户端系统中把这个共享文件夹映射为网络驱动器。开始使用一直很正常,现在出现了一个问题,当Windows 98系统试图打开由Windows XP使用过的文件时,不能对该文件进行复制或删除操作,在Windows XP系统中却可以完成以上操作。
②故障分析与处理
当Windows 98系统试图打开Windows XP系统使用过的文件时,系统常常会提示“该文件正在被使用或磁盘写保护”之类的信息。这说明对该文件的处理仍然在Windows XP的系统进程中,并没有完全退出。问题可能出在Windows XP的设计缺陷上,建议为WindowsXP系统安装较为全面的系统补丁。
(2) 案例选编30 系统提示“找不到网络路径” ①故障现象
局域网中的计算机A在通过\\IP地址\\共享名的方式访问计算机B的共享资源时,系统提示“找不到网络路径”。但是计算机B却能访问计算机A中的共享资源,而且同一个局域网中的其他计算机也能正常访问计算机A中的共享资源。
②故障分析与处理
所有的计算机都能访问到计算机A中的共享资源,说明网络协议和网络连接都是正确的。导致其他计算机无法访问计算机B中的共享资源的原因,可能是计算机B中没有安装网络文件和打印机共享切、议,或者计算机B安装了网络防火墙,也有可能是1
39、445等端口被屏蔽了。排除上述可能性后,还可重新安装TCP/IP协议,并正确设置IP地址信息来解决。
2.网络打印服务故障
(1) 案例选编31 网络打印机显示“脱机使用” ①故障现象
在单位局域网将一台打印机安装在Windows 2000服务器上,并设置为共享打印机。在使用过程中发现运行Windows 98的计算机不能访问共享打印机,而运行Windows 2000/XP的计算机却可以访问。检查后发现它能Ping通其他计算机,但局域网中看不到其他计算机。Windows 2000/XP系统的计算机都开通了Guest和Win98计算机的登
25
录账户,Windows 98计算机控制面板的“打印机”中发现被设置成“脱机使用”。
②故障分析与处理
引发此类故障的原因很可能是网络协议设置不当。建议在Windows 2000Server和Windows98中删除NetBEUI协议,只保留TCP/IP协议。然后采用“查找”的方式使用IP地址搜索Windows 2000Server,找到共享打印机后双击并安装该打印机。
(2) 案例选编32 局域网中找不到共享打印机 ①故障现象
局域网中的计算机一个只有15台计算机的小型局域网,服务器运行Windows Server2000系统。客户端计算机运行Windows 98/2000操作系统。Windows 2000客户端计算机能正常使用共享打印机,而Windows98计算机在安装网络打印机时却看不到已共享出来的打印机。
②故障分析与处理
既然可以Ping通网络中的其他计算机,说明网络连接正常,网络协议的设置也没有问题。可采取以下方法解决该问题:
a.依次打开“控制面板+网络”,单击“文件及打印共享”按钮,在“文件及打印共享”对话框中选中“允许其他用户访问我的文件”和“允许其他计算机使用我的打印机”复选框,启用Windows98中文件和打印共享;
b.在Windows98启动时,以用户身份登录,而不要单击“取消”按钮进入Windows; c.为打印服务器添加安装Windows 98驱动程序,重新在Windows 98计算机上安装网络打印机。
3.IIS服务故障
(1) 案例选编33 解决IIS服务启动失败” ①故障现象
局域网中的—台windows server 2000服务器,更新安装了IIS 6.0组件。在一次手动启动Web服务的时候出现错误提示“地址被占用,启动失败!”,从而无法启动IIS。
②故障分析与处理
一般导致IIS启动失败的原因主要包括以下几种:
a.IIS完整性遭到破坏,一些运行IIS必需的程序文件损坏或者被破坏。 b.计算机内存校验错误导致故障发生。
根据上述故障现象分析,可以通过重新安装ⅡS组件或重新启动IIS来解决问题。IIS组件的完整性遭到破坏是造成IIS无法启动的常见原因,此类故障解决起来比较简单,只需重新安装IIS即可解决。
要重新启动IIS服务,可以通过在命令行窗口里输入“iisreset”命令来实现IIS重新启动。
(2) 案例选编34 无法打开ASP程序 ①故障现象
局域网中的—台windows 2000 Server服务器,更新安装了IIS 6.0组件。服务器使用IIS 6.0向用户提供Web服务。在该服务器中新搭建了一个用ASP语言编写的论坛,但却无法在客户端访问该论坛,总是提示“无法显示该页”。而改用原来Windows 2000自带的IIS5.0却可以正常运行。
②故障分析与处理
26
这种故障是由IIS 6.0默认的安全设置造成的。为增强服务器的安全性,IlS6.0默认禁止ASP程序运行,而IlS 5.0则默认允许ASP程序运行。可以手动允许IIS6.0对ASP程序支持。另外,为了保证ASP程序的正常运行,还需要手工添加IIS默认启用的文档内容。
4.WWW故障
(1) 案例选编35 网站无法进行匿名访问 ①故障现象
某单位内部局域网中使用IIS 6.0提供Web服务。由于设置调整,浏览器访问网站主页时要求输入用户名和密码,而网站提供的内容对访问者并没有身份限制,不需要进行身份验证。
②故障分析与处理
在访问一般网站时是不需要提供用户账户和密码的,然而这并不代表服务器没有对访问者进行身份验证。实际上服务器仍然在使用网站上某个特定的账户对所有访问者进行身份验证,只是对于访问者是不透明的,这就是所谓的匿名访问。匿名访问的原理是使用网站上的某个特定账户,使用匿名访问时,该账户必须存在,拥有合法的密码,尚未过期,而且未被删除。其余的标准安全机制也在进行,比如:账户的ACL或指定登录时长等。可以首先确定已经启用匿名访问方式,并检查用于匿名访问的账户是否合法。
(2) 案例选编36 IIS不支持运行Perl类型脚本 ①故障现象
某单位内部局域网中使用IIS 6.0提供Web服务,现在要安装新的网站系统,要求让IIS支持“PHP”和“Per广程序的运行,可是这些脚本程序无法正常运行。
②故障分析与处理
在默认情况下IIS仅支持运行“ASP”程序脚本,其本身没有对“PHP”和“Perl”程序的解释功能,因此要想运行这些类型的程序,必须安装相应的解释程序。在Windows Server 2000的资源工具包中提供了“Perl”的解释程序“ActivePerl”,还可以从相关的网站下载该产品的最新发布版本。
a.执行下载得到的文件,按照默认设置完成安装过程;
b.打开“Intemet信息服务(1is)管理器”控制台窗口,在左窗格中单击选中“Web服务扩展”选项,然后在右窗格中用鼠标右键单击“Perl CGI Extention”选项,在打开的快捷菜单中执行“允许”命令;
c.重复类似的操作将“Perl ISAPI Extention”也设置为“允许”。
5.FTP服务故障
(1) 案例选编37 权限设置问题导致无法登录FTP服务器 ①故障现象
局域网中在一台运行Windows Server 2000的服务器中用IIS 5.0搭建了FTP站点。当从其他计算机中使用合法的FTP账户和密码进行连接时却无法连接。
②故障分析与处理
所有的计算机既然登录FTP服务器使用的账户为合法账户,那么在排除物理连接和基本网络设置存在问题的情况下,可以考虑FTP服务器是否对用户开启了“读取”权限。如果没有开启“读取”权限,则会出现登录失败的情况。此时,在“Intemet信息服务(11S)管理器”窗口中打开FTP站点属性对话框。确认在“主目录”选项卡中勾选了“读取”复选框权限。然后切换至“目录安全性”选项卡,单击“授权访问”按钮, 27
进一步确认客户端计算机的IP地址不在“拒绝访问”之列即可解决问题。
(2) 案例选编38 FTP服务器架设不成功 ①故障现象
局域网使用带路由功能的ADSL Modem加一个16口的交换机实现共享上网,启动ADSL Modem的同时自动拨号上网。现准备在其中一台Windows Server 2000计算机中使用IIS搭建FTP服务器,并申请了花生壳动态域名解析服务。关闭防火墙后,当用另外的计算机连接FTP站点时,尽管显示已经连接成功,但并不是事先指定的文件夹。
②故障分析与处理
根据故障描述,很可能是没有在ADSL路由器中进行端口映射造成的。要想用内网计算机面向Intemet用户提供FTP服务,必须进行端口映射。假如FTP服务器的内网IP地址是192.168.1.10,则需要在ADSL路由器上将IP地址“192.168.1.10”映射到21端口。当Internet用户使用动态域名访问时,就会自动映射到所指定的IP地址,从而实现对FTP服务器的访问。
另外还有一个更为简便的方式,那就是将作为FTP服务器的计算机设置为ICS(Internet连接共享)主机来提供代理上网服务,而FTP服务由于拥有合法的公网IP地址可以直接被Intemet用户访问。另外,通过对网络防火墙进行简单设置使指定的某些服务穿过防火墙,而不必关闭整个防火墙,从而确保计算机的安全。
6.DNS故障
(1)案例选编39 Ping不通DNS服务器 ①故障现象
公司的每一台计算机访问Internet服务器时,都会在日志文件中出现“userenv错误,ID为1000”的出错信息。通过查阅微软提供的资料说明是DNS错误.但DNS地址是由ISP提供的,而且无法Ping通该IP地址。另外公司很多计算机登录速度非常缓慢。
②故障分析与处理
目前有些ISP提供的DNS服务器地址无法Ping通属于正常现象,为了避免恶意攻击,很多服务器都禁用了ICMP(一种网络协议)。
排除上述可能,出现该错误的原因是没有正常开启DNS转发所致。 对于Windows网络,如果安装了Active Directory服务,可以将工作站的DNS服务器设置为局域网内服务器的IP地址,即升级到支持Active Directory的主域计算机的IP地址,并在DNS服务中启用DNS转发。通过这些设置修改应该可以解决问题。
(2) 案例选编40 无法使用域名访问Internet ①故障现象
小型局域网通过ADSL宽带路由器接入Internet,每台计算机分配有静态的IP地址。由于需要,将其中一台运行Windows Server2000的计算机配置成了DNS服务器,并启用了WWW,FTP服务。现在的问题是,如果将客户机的DNS地址指向内网的DNS服务器,则客户机无法接入Internet。而如果将DNS指向公网提供的DNS地址,则又不能使用设置的域名访问内网提供的服务。
②故障分析与处理
从故障现象可以看出是DNS解析出现了问题。该问题可以通过为内网的DNS服务器设置转发器来解决。具体步骤如下:
a.打开DNS控制台窗口;
28
b.在左窗格中单击选中服务器名称,然后在右窗格中右键单击“转发器”选项,执行“属性”命令,打开“Server Name属性”对话框的“转发器”选项卡。
c.在“所选域的转发器的IP地址列表”编辑框中键入公网的DNS服务器地址;单击“添加”按钮后,再单击“确定”按钮完成。
7.DHCP服务故障
(1) 案例选编41 DHCP服务子网掩码的分配故障 ①故障现象
局域网中通过ADSL虚拟拨号方式进入Internet,然后通过路由器和一台16口的交换机连接各计算机。各计算机通过DHCP服务器自动获取IP地址.最近有几台计算机不能访问局城网中提供的网络服务,但都能正常上网。使用Ping命令检测IP设置,发现IP地址及网关设置均正确,只有子网掩码与运行正常的计算机不同(255.0.0.0) ②故障分析与处理
子网掩码不同的计算机如果不通过路由器是不能互相访问的(本例中提到的路由器只是用来共享上网)。问题应该是DHCP服务器设置有误,导致局域网内的计算机无法正确获取IP地址。首先应当保证DHCP服务器有一个静态的IP地址,并且子网掩码应该根据网络规模正确设置(本例中子网掩码应该设为“255.255.255.0”)。在创建IP地址作用域时,要正确地设置分配的地址范围、子网掩码、网关、DNS等参数。请检查网络中的DHCP服务器设置是否正确,另外还要检查网络中是否有其他的DHCP服务器在工作。
(2) 案例选编42 客户机ip地址为“169.254.*.*” ①故障现象
局域网中采用了基于Windows Server 2003的域管理模式,客户端通过DHCP服务器自动获取IP地址,无需进行任何设置即可接入Internet。但是最近网内的部分客户机必须在手动指定IP地址、子网掩码、DNS服务器和网关后才能接入Internet。如果不做上述网络设置,并在一台运行Windows XP的客户机上执行“Ipconfig/a11”命令,可以看到该机所获取的IP地址为“169.254.*.*”。然而网内另一部分客户机却依旧不用进行任何设置就能上网,并且能够正常获取IP地址。
②故障分析与处理
问题描述中所提到的I P地址“169.254.*.*”实际上是自动私有IP地址。在Windows 2000以前的系统中,如果计算机无法获取IP地址,则自动配置成“IP地址:0.0.0.0”和“子网掩码:0.0.0.0”的形式,导致其不能与其他计算机进行通信。
对于Windows2000以后的操作系统则在无法获取IP地址时自动配置成“IP地址:169.254.*.*”和“子网掩码:255.255.0.0\'’的形式,这样可以使所有获取不到IP地址的计算机之间能够通信。
由于部分客户机可以正常获取IP地址,因此首先可以排除DHCP服务停止、作用域未激活或网络连接存在问题的原因,可以主要从两个方面寻找原因:
a.IP地址池中没有足够的IP地址租给客户机;
如果公司中新增加了客户机而没有及时配置DHCP服务器,则很容易产生此类问题。另外,如果网络中有员工在试验Windows2000/2003Server上的RRAS服务,也容易导致此类问题的发生,因为RRAS服务每次会向DHCP服务器租用多个IP地址。
解决此问题的方法为:
打开DHCP控制台窗口;
29
在左侧的目录树中依次展开“服务器+作用域”,并单击选中“地址租约”选项。如果里面显示有同一客户机一次租用多个IP地址的租约,可以将其删除; 在左窗格中右键单击“作用域”选项,执行“属性”命令;
在“作用域属性”对话框中扩大IP地址范围并单击“确定”按钮。 b.DHCP中继代理失效
如果DHCP服务器是跨子网向客户机分配IP地址的,那么需要在目标网段安装配置DHCP中继代理。若中继代理失效,则其所在网段的客户机将无法获取IP地址。
为WindowsServer2003的RRAS(路由和远程访问服务)配置DHCP中继代理的方法如下:
打开的“路由和远程访问”控制台窗口; 在左窗格中依次展开“服务器(本地)→IP路由选择”目录树。右键单击“DHCP中继代理程序”选项,执行“新增接口”命令。
在打开的“DHCP中继代理程序的新接口”对话框中选中“本地连接”,并连续单击“确定”按钮。
右键单击“DHCP中继代理程序”选项,执行“属性”命令。在打开的“DHCP中继代理程序属性”对话框中键入DHCP服务器的IP地址,并依次单击“添加”、“确定”按钮。
四、网络安全故障
1局域网安全设置故障
(1) 案例选编43 防止局域网资源的非法访问 ①故障现象
局域网中的计算机并没有执行文件读写操作,但硬盘灯却突然闪烁不停,系统反应变慢。
②故障分析与处理
排除其他后台备份程序、杀毒软件的操作的可能性后,可能是有人利用网络远程访问了该计算机。可以主要从两个方面来解决。
a.使用Windows Server 2000中的计算机管理工具监视本机的“共享”、“会话”、“打开文件”,找到秘密入侵者;
b.修改组策略指定特殊的用户才能访问共享资源,限制秘密入侵者可能取得资源,只允许许可的用户来访问特定的共享资源。
(2) 案例选编44 防止局域网密码监听 ①故障现象
局域网中的计算机用户的密码被窃取。 ②故障分析与处理
由于局域网上安全设置不全,很容易被窃取密码。通常可以从网上找到很多局域网方面的监听软件,用于监视局域网中各用户可能使用的密码。可以主要从两个方面来解决。
a.使用各种安全软件,清除内存中的密码影像,对监听软件进行防范; b.上网时,注意提高IE中必要的安全等级或使用数字证书进行认证。
30
2病毒引发的安全故障
(1) 案例选编45 局域网病毒感染后,网络速度极慢,病毒很难杀尽 ①故障现象
局域网中的计算机A感染病毒迅速传播给多台计算机,进行杀毒后,很多机器很快重新感染病毒。
②故障分析与处理 由于网络的特殊环境,上网的计算机比较容易感染病毒。在计算机病毒传播形式和途径多样化的趋势下,大型网络进行病毒的防治是十分困难的。解决这个问题主要从以下几个方面来考虑:
a.增加安全意识,主动进行安全防范;
b.上网时,注意安全。尤其对不信任的邮件不要轻易的打开、接受; c.选择优秀的网络杀毒软件,定期升级扫描病毒,发现病毒要杀尽;
d.平时关闭网络中的共享服务,改用相对安全的FTP服务,对网络安全做好相应的设置。
(2) 案例选编46 防范JPEG病毒 ①故障现象
局域网中的计算机感染病毒后打开恶意JPEG文件时导致系统崩溃。 ②故障分析与处理 由于网络的特殊环境,未做安全防范的上网计算机比较容易感染病毒。解决这个问题主要从以下几个方面来考虑:
a.增加安全意识,主动对系统打补丁;
b.上网时,尤其对来历不明的图片文件不要轻易的打开、接受; c.选择优秀的网络杀毒软件,定期升级扫描磁盘,查杀病毒。
3 流氓软件引发的故障
(1) 案例选编47 系统浏览器被劫持,自动跳转到某些商业网站 ①故障现象
在浏览某些网站时,被强行安装了某些插件。在以后浏览网页时,被强行引导到一些商业网站的页面。流氓软件可分为广告软件、间谍软件、浏览器劫持、行为记录软件、恶意共享软件等,是同时具备正常软件功能和恶意行为的软件。
②故障分析与处理 由于网络的特殊环境,未做安全防范的上网计算机比较容易感染浏览器插件类型的流氓软件。解决这个问题主要从以下几个方面来考虑:
a.增加安全意识,不轻易接受不明软件; b.上网前,注意使用安全防护软件;
c.选择优秀的杀毒软件,例如瑞星的卡卡安全助手等定期升级扫描查杀病毒。
(2) 案例选编48 防范流氓软件 ①故障现象
在浏览某些网站时,被强行安装了广告软件和监听软件。在以后浏览网页时,被强行观看弹出式广告或被暗中记录用户使用习惯等个人行为等操作。
②故障分析与处理 由于网络的特殊环境,未做安全防范的上网计算机比较容易感染流氓软件。解决这 31
个问题主要从以下几个方面来考虑:
a.增加安全意识,及时升级系统的补丁程序;
b.一般情况下,提高上网的安全等级,禁用ActiveX脚本,加入受限站点; c.选择优秀的杀毒软件,扫描查杀病毒,定期备份重要的系统数据。
五、其他网络故障
在架构完网络后,在使用中仍然可能会遭遇各种疑难问题。本小节将剖析前面未提及的网络故障,主要涉及连接中一些经典的活动目录和组策略故障、无线网络故障实例,以帮助大家解决实际问题。 1活动目录和组策略故障
(1) 案例选编49 无法使用账号登录 ①故障现象
在基于域管理模式局域网中,在建设机房时通过克隆镜像的方法为计算机安装系统。局域网使用一段时间之后,将其中一台计算机用镜像文件恢复系统。恢复完毕后发现在该计算机上用合法的域用户账户不能登录域。
②故障分析与处理
根据故障现象可以判断出现该问题的原因是因为每台域成员计算机在域控制器(DC)的数据库中记录着一个对应的条目,域控制器就是通过该条目跟踪域中的所有计算机。该条目包含了工作站的计算机名称,而使用镜像文件恢复的系统会使客户端计算机名称跟DC中的名称不一致,因此该工作站就无法在域中通过验证,当然也就无法登录到域中。 解决问题的方法是先使用本地账号登录到本地系统,然后执行退出域的操作并重新启动计算机。重启后再次执行加入域的操作即可解决问题。所谓退出域就是将该计算机改为隶属于“工作组”。
(2) 案例选编50 成员计算机登录域速度慢 ①故障现象
局域网中采用域管理模式管理内部局域网,在使用过程中发现运行Windows 98/Me系统的计算机登录Windows 2000 Server域的速度很快,而运行Windows 2000 Profeional/XP系统的计算机登录域却非常慢。
②故障分析与处理
Windows98/Me登录Windows2000Server域很快,是因为Windows98/Me一般不加入到域中。而Windows2000/XP登录域的速度非常慢的原因可以从两方面进行分析:一是 域控制器存在故障,需要用户修复;另一方面是成员计算机设置的DNS地址不是Windows2000Server域控制器的IP地址,如果是这种情况就必须重新设置。
(3) 案例选编51 域账户数量上限的突破 ①故障现象
在基于域管理模式局域网中,DC(域控制器)运行Windows Server 2000系统。当将新增添的工作站计算机加入域时出现“已超出域上允创建的计算机账户的最大值,请复位或增加限定值”的提示信息。
②故障分析与处理
根据故障现象可以判断是由于域控制器的许可证数量太少造成的,可以在域控制器中添
32
加客户访问许可证来解决问题,具体操作步骤如下:
a.在域控制器上打开“控制面板窗口,双击“授权”图标,打开“选择授权模式”对话框。保持“每服务器(V)同时连接数”单选框的选中状态,并单击“添加许可证”按钮;
b.打开“新增客户访问许可证”对话框,在“数量”编辑框中根据域域帐户的使用情况重新输入一个合适的数字;
c.确认得到了微软的合法授权后,单击“确定”、“同意”按钮完成设置更改。
(4) 案例选编52 所有用户不能登录域控制器 ①故障现象
基于Windows Server 2000局域网系统,由于管理员的误操作将域控制器中的所有用户(包括管理员)的本地登录权限禁止了。所有的用户(包括管理员)都无法本地登录域控制器,出错提示为“此系统的本地策略不允许你采用交互式登录”。
②故障分析与处理
根据故障现象,可以判断在“域安全策略”和“域控制器安全策略”中同时禁止了本地登录权限。因为如果只是“域安全策略”禁止,由于域控制器是个OU(组织单元),而根据组策略的LSDOU原则,Administrators组的成员可以登录域控制器进而重新编辑策略;如果只是“域控制器安全策略”禁止,则该策略只对域控制器生效,管理员可以从域内的其他计算机登录到域来编辑策略。
要解决被“域安全策略”和“域控制器安全策略”同时禁止的问题,首先必须明确策略设置值存储在GPT(位于域控制器的“winnt/sysvol/sysvol”文件夹中,以GUID为文件夹名)中。其中安全设置部分保存在域控制器的“winnt/sysvol/sysvol/域名/Pllicies/策略的GUIDIMACHINEIMicrosoftlWindows NT/SecEdit/GptTmpl.inf\'’这个安全模版文件中,该文件实质是一个文本文件,可利用记事本进行编辑。默认域的策略和默认域控制器的策略使用固定的GUID,其中默认域的策略的GUID为“31B2F340-016D-11D2-945F-00C04FB984F9”,默认域控制器的策略的GUID为“6ACl786C-016F-11D2-945F-00C04FB984F9”。明确了上述文件的作用和位置后,可以利用C盘的隐含共享“CS”或“winnt/sysvol/sysvol/\'’的共享“sysvol”连接域控制器编辑该文件,具体操作步骤如下:
a.在任意一台域成员计算机上以域管理员的身份登录到域,并通过共享连接到域控制器。找到安全模板文件“GptTmpl.inf”。
b.利用记事本打开“GptTmpl.inf\'’文件;
c.找到文件中[PrivilegeRights]下的拒绝本地登录“SeDenyInteractiveLogonRight”和允许在本地登录“SeInteractiveLogonRight”关键字进行编辑。例如使“SeDenyInteractive LogonRight”的值为空,保证“SeInteractiveLogonRight=*S-1-5-32-544,,……”;
d.最后保存文件。
(5) 案例选编53 普通域用户无法在DC上登录 ①故障现象
某单位局域网基于域管理模式,现在想以普通合法域用户的身份登录域控制器,但系统提示不能登录。
②故障分析与处理
这其实是正常的安全设置。由于域控制器在网络中具有十分重要的作用,因此基于安全考虑,默认能在域控制器上登录的只有“Administrators”、“Accountoperators”、33
“Backup operators”、“ServerOperators”和“PrinCoperators”这些特定的管理组中的用户。
一般情况下,普通域用户没有权力在DC上登录。如果出于特殊需求必须使用普通域用户账户登录DC,可以通过设置域控制器安全策略来实现。设置方法为:
a.在WindowsServer2000域控制器中依次单击“开始+管理工具+域控制器安全策略”,打开“默认域控制器安全设置”窗口;
b.在左窗格中依次展开“安全设置+本地策略”目录,并单击选中“用户权限分配”选项;然后在右窗格列表中找到并双击“允许在本地登录”选项;
c.在打开的“允许在本地登录属性”对话框中单击“添加用户和组”按钮; d单击“浏览”按钮找到目标用户,连续单击“确定”按钮完成添加。
2无线网络故障
(1) 案例选编54 无线AP损坏 ①故障现象
局域网中的计算机机房因线路问题,在快速的几次断电、续电过程后(几秒钟内),管理员将机房的电源开关彻底关闭。待电源正常后,发现台式机可以正常上网,但是使用无线方式上网的笔记本,却一点信号也没有。
②故障分析与处理
从故障现象看可能会是硬件的问题。要确定无法连接网络问题的原因,首先检测一下网络环境中的电脑是否能正常连接无线接入点。简单的检测方法是在有线网络中的一台电脑中打开DOS命令行模式,然后使用ping命令检测无线接入点的IP(如pingl92.168.1.1)地址。如果无线接入点响应了这个ping命令,则证明有线网络中的电脑可以正常连接到无线接入点。如果无线接入点没有响应,有可能是电脑与无线接入点间的无线连接出现了问题,或者是无线接入点本身出现了故障。
要确定具体的原因,可以先从无线客户端ping无线接入点的IP地址。如果成功则说明刚才那台电脑的网络连接部分可能出现了问题,比如网线损坏。如果无线客户端无法ping到无线接入点,则证明无线接入点本身工作异常。此时可以将其重新启动,等待大约五分钟后再通过有线网络中的电脑和无线客户端,利用ping命令来查看它是否能连通。
如果从这两方面ping无线接入点依然没有响应,则证明无线接入点已经损坏或者配置错误。此时可以将这个可能损坏了的无线接入点通过一根可用的网线连接到一个正常工作的网络中,检查它的TCP/IP配置。
最后,再次在有线网络客户端ping这个无线接入点,如果依然失败,则表示这个无线接入点已经损坏了,这时就应该更换新的无线接入点了。
(2) 案例选编55 无线网络传输速度慢 ①故障现象
某局域网内采用了一台IEEE 802.11b标准的无线AP,针对50人左右的无线客户端搭建了一个无线网络。在实际使用中,发现该网络传输速度很慢。
②故障分析与处理
通常一台AP的最佳用户数在30左右,虽然理论上标称可以支持到70多个用户,但是随着接入无线客户端的增多,网络的传输速率下降很快。
为了达到较好的传输性能,根据本例实际的应用规模,建议另外配置一台AP,并将两个AP连接在一起。
34
为了确保使用的安全,提高通信的能力,可以将两个AP设置为互不相邻的通道,并为无线AP手工设置MAC地址过滤,分别接入一部分指定的用户。启用MAC地址过滤后,无线路由器就会对数据包进行分析,如果此数据包是从所禁止的MAC地址列表中发送而来的,那么无线路由器就会丢弃此数据包,不进行任何处理。在无线网络内,还可以把MAC地址和IP地址进行绑定,并对其MAC地址分配一定的权限。这样做将大大增强通讯的安全,不足之处就是降低了一定程度的灵活性。
本章小结
本章主要介绍了网络故障的原因及分类,简要说明Windows 2000 Server中内置的网络故障诊断命令工具,并给出了网络故障分析诊断的方法和步骤。通过对网络故障的实例分析和故障诊断,对网络故障的常见问题进行了说明。
思考与练习
1、网络中常见故障有哪些?
2、出现网络故障时的诊断步骤是什么?如何进行网络故障的分析与定位?
3、出现网络故障的原因主要有哪些?
4、网络故障的排除要注意哪些方面?
5、Windows 2000 Server中常用网络测试诊断工具有哪些?主要的作用是什么?
6、结合实际谈谈你对网络故障排除的经验和方案规划。
35
