工作组环境网络访问疑难解答!!
通常一个客户端要访问服务器端,要经过四道槛,它们是:
1、协议,端口,组件,服务;
2、用户身份验证;
3、安全策略授权;
4、权限检查。
一、协议,端口,组件,服务
协议和端口,组件及服务----工作在网络的底层,只有底层的网络工作环境正常,上层的用户验证,安全策略和权限检查才能顺利进行。
协议与端口:通常用到两种协议,TCP/IP NETBEUI协议。要想访问,我们还必须启用文件和打印机共享服务,如果这一服务没有启用,网络访问是行不通的。而要实现这一访问有二条路可走,一是走TCP/IP,一是走NETBEUI。
如果走TCP/IP协议,在这里又有两条路,一种是通过传统的NETBT,走137、138、139端口;另一种是TCP/IP的SMB直接承载,走445端口。具体的为什么采用SMB直接承载,这是因为关闭137、138、139端口后,消除了NETBIOS名字解析而产生的广播。不过有一点,请大家注意:如果网络中存在98、ME,NT等旧操作系统或者网络中没有DNS服务器,则必须启用NETBT,即开启137、138、139端口,以确保计算机名字能够解析成功。
如果是走NETBEUI协议,则系统开销小,完全可以绕过windows防火墙而轻松实现网络访问及文件,打印机共享等,但是要想上网,则必须要用到TCP/IP协议,此协议无法与因特网互联,同时此协议还将增加网络通信负荷。
网络组件与服务----组件有两个:1、文件和打印机共享 2、Microsoft网络客户端:用来访问局域网的共享资源。服务包括:Computer Browser、WorkStation、Server、Tcp/IP NetBIOS Helper四大服务,如果此二组件、四大服务没有启用,则无法实现局域网网络访问
二、用户身份验证;
在这里我想告诉网盟盟友,必须要遵循如下两条准则:
1、客户机总是优先用自己的登录帐户进行验证
2、服务器决定是否将客户的用户身份映射为guest帐户(必须开启guest帐户)
启用简单文件共享,它有如下特点:
一是所有网络用户都将识别为guest用户;
二是等效于将本地安全策略、安全选项“网络访问:本地帐户的共享和安全模式”选项设置为”仅来宾:本地用户以来宾身份验证“
三是XP HOME版只能用简单文件共享。
在网络访问过程中,如果启用了简单文件共享模式,那么客户机被映射为服务器的guest帐户,如果没有配置简单文件共享,则会弹出用户名为guest的身份验证对话框(灰色的),这个对话框具备安慰性质,因为无论输入任何密码均无效!!
三、安全策略
必须满足如下三个策略:
一是本地策略->安全选项--->"账户:使用空白密码的本地帐户只允许进行控制台登录”
二是本地策略->用户权利指派---->“拒绝从网络访问这台计算机。。。”
三是本地策略->用户权利指派---->“从网络访问此计算机”
四、权限检查。
这一部分,我就不细说了,这块主要是共享文件权限控制方面问题,在这里,我只好对网盟盟友说声对不起了,实在太简单了,所以就略了。
另外需要注意的是:
有时虽然我们都具备了上面条件,但是还是无法从网上邻居或者通过\\计算机名或\\IP来访问对方电脑,但是可以通过\\计算机名\共享资源名或\\IP\共享资源名来进行访问。这是什么原因呢?
解决方法如下:
一是看是否启用简单文件共享模式。
二是策略:“网络访问:不允许SAM帐户和共享的匿名枚举”,默认为停用,若是启用的,则无法访问网上邻居的其它电脑资源,或者通过\\计算机名或\\IP访问对方电脑,只能通过\\IP\share(共享资源名)来进行访问。
三是策略:“网络安全:LAN Manger 身份验证级别”,若设为”仅发送NT1MV2 响应/拒绝LM&NTLM“,将会导致对98系统无法访问。