【51CTO獨(dú)家特稿】在此之前51CTO向大家介紹過Server 2008安全手冊(cè)之系統(tǒng)更新與遠(yuǎn)程訪問。在服務(wù)器搭建完畢之后就需要對(duì)整個(gè)服務(wù)器和系統(tǒng)進(jìn)行測(cè)試，這時(shí)候Windows Server 2008的需要進(jìn)行遠(yuǎn)程桌面測(cè)試，首先讓我們先來看一看什么叫做“連通性測(cè)試”。

驗(yàn)證配置狀態(tài)

首先要討論一個(gè)問題：什么是“連通性測(cè)試”呢？

服務(wù)器在交付正式使用前，必須要經(jīng)過“測(cè)試”。如果配置這臺(tái)服務(wù)器的參數(shù)，但沒有經(jīng)過“網(wǎng)絡(luò)連通性測(cè)試”，如果出現(xiàn)“不能訪問”等問題，你很可能遭遇的投訴，這會(huì)導(dǎo)致IT Engineer 對(duì)你大發(fā)雷霆。將服務(wù)器、客戶端計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備連接完畢，是不是就完事大吉了呢？如果運(yùn)氣好，當(dāng)然沒有問題。然而，事實(shí)上每個(gè)人的運(yùn)氣不會(huì)都那么好，或者不會(huì)總是那么好，尤其是網(wǎng)絡(luò)較大、接入的計(jì)算機(jī)數(shù)量較多時(shí)，很難保證不會(huì)發(fā)生連通性故障。當(dāng)一臺(tái)計(jì)算機(jī)或若干臺(tái)計(jì)算機(jī)無法接入網(wǎng)絡(luò)，或無法與其他計(jì)算機(jī)進(jìn)行通信時(shí)，就需要對(duì)網(wǎng)絡(luò)的連通性進(jìn)行測(cè)試。

其中“連通性測(cè)試”包括了：物理層介質(zhì)和操作系統(tǒng)應(yīng)用層。

物理連通性測(cè)試可以觀察網(wǎng)卡、網(wǎng)絡(luò)設(shè)備、測(cè)線儀器的指示燈，如圖1所示。；而操作系統(tǒng)上的連通性測(cè)試則需要使用內(nèi)置的命令行工具。Windows下的網(wǎng)絡(luò)工具比較常用的有：Ping、Ipconfig、Nslookup、Netstat，Tracert，F(xiàn)tp，Telnet，Nbtstat，Route、Arp等等。這里最簡單需要我們使用Ipconfig、Ping這兩條命令。 

圖 1 測(cè)試儀與交換機(jī)接口示意圖

1．顯示IP地址及網(wǎng)絡(luò)參數(shù)（Ipconfig）

Ipconfig命令是顯示W(wǎng)indows主機(jī)IP配置的一個(gè)命令行工具。要執(zhí)行該命令，必須打開命令行（CMD）窗口?？梢砸来吸c(diǎn)擊“開始→運(yùn)行”，在“打開”的文本框中輸入：cmd.exe，然后單擊“確定”按鈕。

而在Windows Server 2008、Windows Vista、Windows 7中由于增強(qiáng)得安全性，增加了UAC（User Account Control：用戶帳戶控制）功能，如果要以管理員身份運(yùn)行該CMD命令行工具，則需要在 “命令提示符”圖標(biāo)上單擊鼠標(biāo)右鍵，然后在彈出菜單上選擇“以管理員身份運(yùn)行”。然后鍵入：ipconfig/all ，并回車執(zhí)行，這樣可以檢查之前的網(wǎng)絡(luò)配置參數(shù)是否正確。

要查看可用的所有可選參數(shù)，請(qǐng)執(zhí)行：ipconfig/? ，表 中顯示了這些可用選項(xiàng)。

表1 ipconfig命令的部分選項(xiàng)

2．服務(wù)器連通性測(cè)試（PIng）

可以使用Windows 系統(tǒng)下的Ping工具，在確定了響應(yīng)ICMP請(qǐng)求的網(wǎng)絡(luò)主機(jī)后，使用Ping持續(xù)提交Ping請(qǐng)求，輕松確定到主機(jī)的當(dāng)前連通。如果遇到了間歇性連通問題，Ping循環(huán)可以指示連接是否在活動(dòng)或者并不是一直有效。

Ping命令可以檢測(cè)的內(nèi)容很多，其中：“應(yīng)答”表示數(shù)據(jù)包發(fā)送成功；“請(qǐng)求超時(shí)”消息表示計(jì)算機(jī)沒有收到遠(yuǎn)程主機(jī)響應(yīng)或遠(yuǎn)程主機(jī)無法返回響應(yīng)。下面的內(nèi)容主要包括本地和遠(yuǎn)程測(cè)試兩種：

測(cè)試本機(jī)的TCP/IP配置是否正確：

打開“運(yùn)行”對(duì)話框，輸入“cmd”，按回車鍵，開啟“命令提示符”窗口。輸入“ping 127.0.0.1”命令，如果得不到響應(yīng)，則說明配置有問題。

遠(yuǎn)程測(cè)試與其服務(wù)其是否能聯(lián)系上，具體操作步驟如下：

登錄到與服務(wù)器同一網(wǎng)段的計(jì)算機(jī)上，并開啟“命令提示符”窗口。輸入“ping 192.168.100.2”命令，如圖2所示，如果得不到響應(yīng)，則說明配置有問題。這里說明客戶端到服務(wù)器存在問題。

圖 2 請(qǐng)求超時(shí)

我們知道ICMP是（Internet Control Message Protocol）Internet控制報(bào)文協(xié)議，它主要用于在IP主機(jī)、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。盡管許多路由器和服務(wù)器都會(huì)丟棄ICMP通信，Ping仍然是日常簡單監(jiān)視網(wǎng)絡(luò)連通性的最佳工具。是不是Windows Server 2008 中提供的“Windows 防火墻”默認(rèn)情況下也阻止了ICMP數(shù)據(jù)包的通過呢？

當(dāng)我們啟用了服務(wù)器系統(tǒng)的防火墻功能后，在默認(rèn)狀態(tài)下，除了在“例外”標(biāo)簽頁面中設(shè)置的選項(xiàng)之外，該防火墻程序會(huì)同時(shí)攔截所有程序去訪問外部網(wǎng)絡(luò)。在圖3中，“阻止所有傳入連接”選項(xiàng)其實(shí)是一個(gè)非常有用的選項(xiàng)，特別是當(dāng)本地服務(wù)器系統(tǒng)處于一個(gè)不太安全的網(wǎng)絡(luò)時(shí)，該選項(xiàng)能夠臨時(shí)讓系統(tǒng)禁止“例外”標(biāo)簽頁面中設(shè)置的任何程序或服務(wù)訪問網(wǎng)絡(luò)，一旦本地服務(wù)器系統(tǒng)處于一個(gè)比較安全的工作環(huán)境時(shí)，我們?cè)偃∠?ldquo;阻止所有傳入連接”選項(xiàng)的選中狀態(tài)，以便恢復(fù)的正常設(shè)置操作。

圖3 查看防火墻的狀態(tài)

雖然我知道只要“啟用網(wǎng)絡(luò)發(fā)現(xiàn)和文件共享”之后，防火墻的例外中就可以看到它們，并且其他的用戶就可以“Ping通”這臺(tái)服務(wù)器了。但管理員習(xí)慣于在Windows Server 2008 安裝之后，交付到其他人之前，開啟這個(gè)功能，那么，最簡單的方法可以保證我們交付的服務(wù)器可以Ping通，就是取消“阻止所有傳入連接”的勾選。那么為什么在“啟用網(wǎng)絡(luò)發(fā)現(xiàn)和文件共享”之后就可以Ping通了呢？我們簡單的討論一下。#p#

安裝了文件和打印機(jī)共享之后，在高級(jí)安全防火墻（Windows Firewall with Advanced Security ，WFAS）中默認(rèn)是允許ICMP的請(qǐng)求回應(yīng)的。從 “開始”菜單中依次點(diǎn)選“程序”→“管理工具”→“高級(jí)安全Windows防火墻”選項(xiàng)；隨后系統(tǒng)會(huì)自動(dòng)彈出高級(jí)安全Windows防火墻配置窗口，在該窗口左側(cè)列表窗格中單擊“入站規(guī)則”選項(xiàng)，在中間的窗口中你就可以發(fā)現(xiàn)“文件和打印機(jī)共享（回顯請(qǐng)求）”改成已啟用，如圖4所示。如果用鼠標(biāo)雙擊此規(guī)則，在圖5中就可以看到，默認(rèn)是在啟用的狀態(tài)。

圖 4防火墻規(guī)則中的文件和打印機(jī)共享（回顯請(qǐng)求）

圖 5 默認(rèn)為啟用狀態(tài)

在檢查完上述配置之后，我們?cè)诳蛻舳说挠?jì)算機(jī)上運(yùn)行點(diǎn)擊“開始”→“運(yùn)行”輸入CMD，進(jìn)入命令行窗口，執(zhí)行Ping命令就可以確保在其他人員的計(jì)算機(jī)上也能看到滿意的結(jié)果了。

3．測(cè)試遠(yuǎn)程桌面連接

所謂網(wǎng)絡(luò)級(jí)別身份驗(yàn)證（NLA，Network Level Authentication）是提供給遠(yuǎn)程桌面連接的一種新安全驗(yàn)證機(jī)制，可以在端桌面連接及登錄畫面出現(xiàn)前，預(yù)先完成用戶驗(yàn)證程序，由于提前驗(yàn)證部分僅需要使用到較少的網(wǎng)絡(luò)資源，因此可以有效防范黑客與惡意程序的攻擊，同時(shí)也可以降低阻斷服務(wù)（DoS）攻擊的機(jī)會(huì)。

在另一臺(tái)計(jì)算機(jī)上登錄，嘗試進(jìn)行連接。選擇“開始”→“所有程序”→“附件”→“遠(yuǎn)程桌面連接”命令，在打開的頁面中先單擊右上角的圖標(biāo)，然后在下拉選項(xiàng)中選擇“關(guān)于”選項(xiàng)，執(zhí)行后將可以在頁面中檢查到版本信息，以及是否支持“網(wǎng)絡(luò)級(jí)別驗(yàn)證”的安全機(jī)制。

在Windows XP上的“遠(yuǎn)程桌面連接”并不支持網(wǎng)絡(luò)級(jí)別驗(yàn)證，而在Windows Server 2008上的“遠(yuǎn)程桌面連接”則有支持網(wǎng)絡(luò)級(jí)別驗(yàn)證。如果服務(wù)器開啟網(wǎng)絡(luò)級(jí)別驗(yàn)證，而客戶端不支持此功能的話，則客戶端在連接時(shí)會(huì)出現(xiàn)以下信息：

圖6 不支持網(wǎng)絡(luò)級(jí)別驗(yàn)證

不同版本的客戶端所支持的驗(yàn)證方式是不同的，這也是之前在配置Windows Server 2008時(shí)，選擇支持任意版本的客戶端連接的原因。接下來在“計(jì)算機(jī)”字段中輸入開放遠(yuǎn)程桌面連接的計(jì)算機(jī)IP地址或計(jì)算機(jī)名稱，如圖7所示。完成以上設(shè)定后，單擊“連接”按鈕開始進(jìn)行連接。

圖 7 計(jì)算機(jī)IP地址或計(jì)算機(jī)名稱

在彈出的“Windows 安全”界面中，輸入對(duì)應(yīng)的密碼，點(diǎn)擊“確定”按鈕。此后，我們將看到遠(yuǎn)程桌面，并測(cè)試相關(guān)操作。測(cè)試完畢后，點(diǎn)擊右上角的“關(guān)閉”按鈕，系統(tǒng)將提示是否斷開與終端服務(wù)會(huì)話連接，選擇“確定”，完成測(cè)試。

有了遠(yuǎn)程桌面連接客戶端程序，用戶或是管理者就可以在家中、咖啡店、飯店，或機(jī)場通過網(wǎng)絡(luò)連接至公司的服務(wù)器，來執(zhí)行程序或是遠(yuǎn)程管理，以節(jié)省來回奔波的時(shí)間，并快速解決問題。但最重要的是，Windows Server 2008提供了“網(wǎng)絡(luò)級(jí)別身份驗(yàn)證”，它一樣可以保有安全性與便利性，你可自在Windows Server 2008 上啟用這一功能，并配置在Windows XP SP3、 Windows Vista和Windows 7 上嘗試安全的連接。

【51CTO獨(dú)家特稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處?！?/p>

【編輯推薦】

1. Windows Server 2008 R2托管賬號(hào)的設(shè)置方法
2. Windows Server 2008 R2組策略報(bào)錯(cuò)解決手冊(cè)
3. Server 2008中改動(dòng)服務(wù)器名稱與修改管理員密碼