如何實現局域網內計算機資源的共享.doc

如何實現局域網內計算機資源的共享一. 局域網的鄰居 作為最小網絡分布結構的局域網，其基本作用是實現資源共享，那么怎么來實現局域網內資源的共享的呢？ 1. 局域網實現原理 局域網并不同于外界通訊使用的TCP/IP協(xié)議體系，它是一種建立在以太網（Ethernet）結構上的網絡分布，除了TCP/IP協(xié)議外，還涉及許多協(xié)議。 在局域網里，計算機之間通訊并不是通過IP進行的，而是通過網卡MAC地址.當一臺計算機要查找另一臺計算機時，它必須把目標計算機的IP通過ARP協(xié)議（地址解析協(xié)議）在物理網絡中廣播出去,計算機收到數據后就會判斷這條信息是不是發(fā)給自己的，如果是，就會返回應答，并返回自身地址。當源計算機收到有效的回應時，它就得知了目標計算機的MAC地址并把結果保存在系統(tǒng)的地址緩沖池里，下次傳輸數據時就不需要再次發(fā)送廣播了，這個地址緩沖池會定時刷新重建，以免造成數據冗余現象。實際上，共享協(xié)議規(guī)定局域網內的每臺啟用了文件及打印機共享服務的計算機在啟動的時候必須主動向所處網段廣播自己的IP和對應的MAC地址，然后由某臺計算機（通常是局域網內某個工作組里第一臺啟動的計算機）承擔接收并保存這些數據的角色，這臺計算機就被稱為“瀏覽主控服務器”，它是工作組里極為重要的計算機，負責維護本工作組中的瀏覽列表及指定其他工作組的主控服務器列表，為本工作組的其他計算機和其他來訪本工作組的計算機提供瀏覽服務，它的標識是含有_MSBROWSE_名字段。這就是我們能在網絡鄰居看到其他計算機的來由，它實際上是一個瀏覽列表，用戶可以使用“nbtstat -r”來查看在瀏覽主控服務器上聲明了自己的NetBIOS名稱列表。 瀏覽列表記錄了整個局域網內開啟的計算機的資源描述，當我們要訪問另一臺計算機的共享資源時，系統(tǒng)實際上是通過發(fā)送廣播查詢?yōu)g覽主控服務器，然后由瀏覽主控服務器提供的瀏覽列表來“發(fā)現”目標計算機的共享資源的。 但是僅知道彼此的地址還不夠，計算機之間必須建立一條連接的數據鏈路才能正常工作，這就需要另一個基本協(xié)議來進行了。NetBIOS（網絡基本輸入輸出系統(tǒng)）協(xié)議是ibm開發(fā)的用于給局域網提供網絡以及其他特殊功能的命令集，幾乎每個局域網都必須在這種協(xié)議上面進行工作，NetBIOS相當于Intranet上的TCP/IP協(xié)議。而后推出的NetBEUI協(xié)議（NetBIOS用戶擴展接口協(xié)議）則是對前者進行了功能擴充，這幾個協(xié)議都是組成局域網的基本必備，最后為了建立連接，局域網還需要TCP/IP協(xié)議。 2. Windows下的局域網共享 Windows系統(tǒng)對于局域網內機算機的身份和權限驗證是在一個被稱為“IPC”（命名管道）的組件技術上實現的，它實質上是Windows為了方便管理員從遠方登錄管理計算機而設置的，在局域網里它也負責文件的共享和傳輸，所以它是Windows局域網不可缺的基礎組件。 默認情況下，局域網之間的共享服務通過來賓帳戶“Guest”的身份進行，這個帳戶在Windows系統(tǒng)里權限最少，為方便阻止來訪者越權訪問提供了基礎，同時它也是資源共享能正常進行的最小要求，任何一臺要提供局域網共享服務的計算機都必須開放來賓帳戶，命令是“net user guest /active:yes”。 除了使用IPC作為身份驗證，系統(tǒng)還使用SMB（Server Message Block）協(xié)議用來做文件共享，這個協(xié)議與共享存在很大聯系。二. 局域網共享的實現 實現局域網共享，還需要進行一定的協(xié)議設置，才能實現資源共享。 首先，同一個局域網內的計算機IP地址應該是分布在相同網段里的，雖然以太網最終的地址形式為網卡MAC地址，但是提供給用戶層次的始終是相對好記憶的IP地址形式，而且系統(tǒng)交互接口和網絡工具都通過IP來尋找計算機，因此為計算機配置一個符合要求的IP是必須的，這是計算機查找彼此的基礎，除非你是在DHCP環(huán)境里，因為這個環(huán)境的IP地址是通過服務器自動分配的。 其次，要為局域網內的機器添加局域網協(xié)議，包括NetBIOS協(xié)議和NetBEUI協(xié)議，然后還要確認“Microsoft 網絡的文件和打印機共享”已經安裝并選中，確保系統(tǒng)安裝了“Microsoft 網絡客戶端. 然后，用戶必須為計算機指定至少一個共享資源，如某個目錄、磁盤或打印機等，完成了這些工作，計算機才能正常實現局域網資源共享的功能。 最后，計算機必須開啟139、445這兩個端口的其中一個，它們被用作NetBIOS會話連接，而且是SMB協(xié)議依賴的端口，如果這兩個端口被阻止，對方計算機訪問共享的請求就無法回應。 三. 局域網共享故障的分析與排除 IPC、Server服務與共享故障 IPC（Internet Process Connection）是NT以上的系統(tǒng)為了讓進程間通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應的權限，在遠程管理計算機和查看計算機的共享資源時使用，微軟把它用于局域網功能的實現，如果它被關閉，計算機就會出現“無法訪問網絡鄰居”的故障。 在Windows NT以后的系統(tǒng)里，IPC是依賴于Server服務運行的，一些習慣了單機環(huán)境的用戶可能會關閉這個服務，這樣的后果就是系統(tǒng)將無法提供與局域網有關的操作，用戶無法查看別人的計算機，也無法為自己發(fā)布任何共享。 要確認IPC和Server服務是否正常，可以在命令提示符里輸入命令net share，如果Server服務未開啟，系統(tǒng)會提示“沒有啟動 Server 服務。是否可以啟動(Y/N) Y:”，回車即可以啟動Server服務。如果Server服務已開啟，系統(tǒng)會列出當前的所有共享資源列表，其中至少要有名為“IPC 除了Server服務以外，還有兩個服務會對共享造成影響，分別是“Computer Browser”和“TCP/IP NetBIOS Helper Service”，前者用于保存和交換局域網內計算機的NetBIOS名稱和共享資源列表，當一個程序需要訪問另一臺計算機的共享資源時，它會從這個列表里查詢目標計算機，一旦該服務被禁止，IPC就認定當前沒有可供訪問的共享資源，用戶自然就沒法訪問其他計算機的共享資源了；后者主要用于在TCP/IP上傳輸的NetBIOS協(xié)議（NetBT）和NetBIOS名稱解析工作，NetBT協(xié)議為跨網段實現NetBIOS命令傳輸提供了載體，正因如此，早期的黑客入侵教材里“關于139端口的遠程入侵”才能實現，因為NetBIOS協(xié)議被TCP封裝起來通過Internet傳輸到對方機器里處理了，同樣對方也是用相同途徑實現數據傳輸的，否則黑客們根本無法跨網段使用網絡資源映射指令“net use”。對于本地局域網來說，NetBT是SMB協(xié)議依賴的傳輸媒體，也是相當重要的。 如果這兩個服務異常終止，局域網內的共享可能就無法正常使用，這時候我們可以通過執(zhí)行程序“services.msc”打開服務管理器，在里面查找“Computer Browser”和“TCP/IP NetBIOS Helper Service”服務并點擊“啟動”即可。 系統(tǒng)安全策略與共享故障 熟悉Windows系統(tǒng)的用戶或多或少都會接觸到“組策略”（gpedit.msc），這里實際上是提供了一個比手工修改注冊表更直觀的操作方法來設置系統(tǒng)的一些功能和用戶權限，但是這里的設置失誤也會影響到局域網共享資源的使用。 由于IPC本身就是用于身份驗證的，因此它對計算機賬戶的配置特別敏感，而組策略里偏偏就有很多方面的設置是針對計算機賬戶的，其中影響最大的要數“計算機配置 Windows配置 安全設置 本地策略 用戶權利指派”里的“拒絕從網絡訪問這臺計算機”，在Windows 2000系統(tǒng)里默認是不做任何限制的，可是自從XP出現后，這個部分就默認多了兩個帳戶，一個是用于遠程協(xié)助（也就是被簡化過的終端服務）身份登錄的3389用戶名，另一個則是我們局域網共享的基本成員guest！ 許多使用XP系統(tǒng)的用戶無法正常開啟共享資源的訪問權限，正是這個項目的限制，解決方法也很容易，只要從列表里移除“Guest”帳戶就可以了。 除了與帳戶相關的策略，這里還有幾個與NetBIOS和IPC相關的組策略設置，它們是位于“計算機配置 Windows配置 安全設置 本地策略 安全選項”里的“對匿名連接的額外限制”（默認為“無”），對于XP以上的系統(tǒng)，這里還有“不允許SAM賬戶和共享的匿名枚舉”（默認為“已停用”）