计算机网络共享原理讲解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络连通性检查
两台主机不能访问:如果客户机和服务器在同一个网 段,检查防火墙服务是否开启,直到能ping通为止 (服务器禁ping的另谈)。
端口协议组件服务
在较早的WIN98/95系统下面,主要使用 NETBT(TCP/IP上的NETBIOS)协议来完 成相关,使用137,138和139端口,同时 完成包括列表维护,名称解析和文件传输等 多种功能,而2000后,网络共享服务也可以 通过TCP/IP上的SMB直接承载实现,使用 139和445端口。
权限检查
权限检查
实例分析:win7访问XP能看见文件目录,但是无 法访问其共享文件,经检查文件共享权限是允许所有 者完全控制,而且XP下启用了简单的文件共享,共 享方式是通过guest访问,请问是什么原因? 回答:Winxp下的一个常见问题是用户一段时间禁 用了简单文件共享并对共享目录的NTFS权限进行了 设置,然后又恢复了简单文件共享。这时虽然再也看 不到安全标签并设置NTFS权限,但已经设置的 NTFS权限是依然存在的。如果此时共享目录的 NTFS权限设置禁止guest访问,即使其它设置完全 正确,目标文件夹也无法访问,而且由于在简单文件 共享模式下看不到共享目录的NTFS权限状态。
本地连接属性
网络连接里本地连接属性: “Microsoft 网络的文件和打印机共享” “Server‖服务 ―Microsoft 网络客户端” “Workstation‖服务及“Computer Browser‖服务
网上邻居共享的工作原理
网上邻居的工作模式是一个典型的客户端/服 务器工作模型,我们回想一下访问网络邻居 的过程,首先,点击网络邻居图标,打开网 上邻居列表,其次,点击打开目标服务器图 标,列出目标服务器上的共享资源,接下来 ,点击需要的共享资源图标,进行需要的操 作(这些操作包括列出内容,增加,修改或删 除内容等。
用户身份验证
如果服务器的本地安全策略——安全选项中“网络访问: 本地账户的共享和安全模式”设为仅来宾或者服务器启用 了简单文件共享,网络访问的本地用户将以来宾身份验证 ,这时如果guest账户未被禁用,则直接进入下一步本地 安全策略验证阶段,如果服务器启用了简单文件共享却没 有启用guest账户,就会弹出如下对话框,用户名为灰色 无法更改,密码无论输入什么都无效。
LOGO
网络共ቤተ መጻሕፍቲ ባይዱ原理讲解
培训目标
1、了解网上邻居共享的工作原理 2、了解网络访问的具体流程 3、了解网络共享所用到的端口协议组件服务
4、了解网络共享所用到的本地安全策略
5、掌握简单的共享权限设置
[问题引出]:我安装了windows2003中 “Microsoft 网络的文件和打印机共享”, 在管理工具的服务列表里找不到Computer Browser和Workstation,请问怎么会这 样?应该如何解决? [问题解决]:不是有了“Microsoft 网络的文 件和打印机共享”就Computer Browser 、Server和Workstation这三项服务都会 有,而只会有Server服务。
本地安全策略审核
当用户是以guest账号进入本地安全策略审核中,主 要检查第二条与第三条策略(因为guest本身就是无 密码的) ,检查过程如下图:
本地安全策略审核
当用户以非guest用户身份进入安全策略审核时,三 条策略都将检查到,检查过程如下:
本地安全策略审核
除以上提到的三个最重要影响网络邻居访问的安全策 略外,还有以下一些安全策略对网上邻居的访问过程 产生影响。 本地策略——安全选项中的“网络访问:不允许SAN 账户和共享的匿名枚举”。如果启用它其实际就是取 消了IPC$隐藏共享,这使客户机访问时无法取得服 务器上的共享资源列表,这时,要想访问服务器上共 享资源除非预先知道想访问的共享资源名称,手动输 入资源的完整路径\\server\sharename。
端口协议组件服务
隐藏共享存在安全隐患,建议各位删除
用户身份验证
当客户机发现服务器上的服务与协议都安装正确以后 ,就开始了用户身份认证过程。也就是确定客户机以 什么身份在服务器上进行操作。 关于网上邻居访问过程的身份认证有以下两个原则: 一、是客户机优先以当前登录账户的信息来提交认证 信息,例如客户机当前的登录用户为test,密码为 test,如果这时它访问网上邻居,它用以此为用户名 和密码来提交验证信息。 二、由服务器决定是否将客户机用户身份映射为 guest。
案例综合分析
案例1:两台winxp机器,用户只建立了 administrator用户,都没有设置密码,以\\IP 地址形式访问时不提示用户名和密码就显示拒绝登录 .两台机都未使用简单文件共享. 分析:不提示用户名和密码,说明已经通过了用户认证 阶段.因为未使用简单文件共享.登录时是以客户机的 登录帐户进行认证的,也就是以administrator的 身份登录,但由于服务器的administrator无密码 ,根据默认安全策略无密码帐户只允许进行控制台登 录,因此收到拒绝登录的提示. 解决方案:启用guest帐户,为两机启用简单文件共享 ,然后无需密码即可访问.(注意,在启用简单文件共 享前先要检查需要共享的目录的NTFS权限是否允许 guest访问.)
网上邻居共享的工作原理
NETBT(TCP/IP上的NETBIOS)协议也可以将 一台NETBIOS机器名解析为IP地址,可以用 nbtstat命令查看(如nbtstat –A x.x.x.x)
网上邻居共享的工作原理
查看NETBIOS是否开启
网络访问过程
网络访问包括网络连通性检查、端口协议组件服务检 查、用户身份验证、安全策略授权、权限检查这四个 主要流程,流程图如下:
案例综合分析
案例2:服务器采用简单文件共享,当以 \\ipadress\C$形式访问服务器上的C盘时,不要 求输入用户名和密码就直接提示权限不够. 分析:服务器上启用了简单文件共享,所有访问用户都 被映射为guest,而guest对C$这个共享是无共享 访问权的,因此提示权限不足. 解决方案:在服务器上禁用简单文件共享,采用本地经 典模式进行访问,用administrator进行访问即可 ,前提是服务器上没有将c盘的隐藏分区删除
本地安全策略审核
本地安全策略审核
本地策略——安全选项中的:‖LAN Manager身份验证级别‖。Windows 2000以上系统可以使用更高的安全级别,但 2000以下系统会无法识别发送的安全凭证, 验证方式不同将无法互相访问。XP和win7 之间的互相访问有时候问题出在这个地方。
本地安全策略审核
谢谢!
用户身份验证
如何启用guest账户
允许guest从本地登录(误区)
开启guest账户
查看guest 启用状态的最简单方法是用命令net user guest查 看,看输出中“帐户启用”一栏的信息。
如果服务器上禁用了简单文件共享,或者服务器的本地安全策略——安全选项中 的“网络访问:本地账户的共享和安全模式”设为经典,本地账户模式,当客户机 连接服务器时,首先以客户机的登录名和密码在服务器上进行验证,如果恰好服 务器上存在同名且同密码的账户而且该帐户没有被禁用,客户机将以此用户的身 份进入下一本地安全策略的验证阶段,如果服务器上不存在此同名同密码的账户, 而服务器上的guest账户未被禁用,客户机将以guest账户的身分直接进入下一阶 段的安全策略验证阶段。如果服务器上禁用了guest账户,会弹出要求输入用户 名和密码的对话框如下,这时如果提供了服务器上存在的用户名和密码,则会以 此用户的身份进入下一阶段安全策略检查过程。
本地安全策略审核
当用户通过了认证,就进入了本地安全策略审核阶段 。在本地安全策略中,与网上邻居相关的最重要的三 条策略是以下三个: 一是本地策略——安全选项中“账户:使用空白 密码的本地账户只允许进行控制台登录”。 二是本地策略——用户权利指派中的“拒绝从网 络访问这台计算机” 三是本地策略——用户权利指派中的“从网络访 问这台计算机”。
端口协议组件服务
可以看出,网上邻居服务(Computer Browser服务) 需要依存两个服务——Workstation(工作站)服务与 Server(服务器)服务,Workstation服务主要用于访 问其它服务器上的共享资源,它对应网络组件中的 windows网络客户端,而Server服务主要提供共享 本机资源的功能,对应文件和打印机共享组件。 这些协议和组件的正常安装与设置是网上邻居正常工 作的基础。
端口协议组件服务
PS:关于网上邻居功能有一个需要说明问题就是隐藏共 享IPC$的问题。我们访问网上邻居能够看到该服务 器上的共享资源列表是因为在安装了文件和打印机共 享组件后,会创建一个名为IPC$的隐藏共享,连接 的计算机通过查看这个隐含共享来取得服务器上的共 享资源列表。如果删除了这个共享浏览者就无法取得 服务器上的共享资源列表,当然也无法正常访问共享 资源了。
网上邻居共享的工作原理
1 取得网络资源列表 我们是如何获得当前网络上可以访问的服务器列表 的呢?在一个有域的windows网络环境下,我们 也可以通过活动目录服务(Active Directory) 来取得这个列表。而在工作组环境中这主要依靠 windows的浏览服务。浏览服务为各客户机提供 的资源列表并不是实时的,也不一定是全局一致的 ,它依靠每12分钟一次的轮询来刷新和同步这个 列表,因此,这个列表经常与实际情况不一致。
网上邻居共享的工作原理
2 网上邻居的名称解析 一般访问服务器地址时,在运行中输入‖\\服务器 计算机名‖,或者点击网络邻居列表里的一台机器 ,这时首先会发生一个名称解析过程。 谈起名称解析,我们常会想到DNS,事实上,网 上邻居的名称解析确实是可以使用DNS系统的。 不过前提是你需要架设局域网DNS服务器对局域 网的各机器名进行解析。如果你没有安装局域网 DNS,你也可以使用NETBIOS的名字服务对机 器名进行解析 。
权限检查
在通过了本地安全策略检查后,服务器还要检查用户 想访问的共享文件夹的共享权限与NTFS权限是否允 许当前登录账户访问。检查过程如下图:
权限检查
这二者分别在文件夹属性的共享和安全标签页中设置 。当权限检查顺利通过后,用户才能正常访问目标共 享资源。如果在网上邻居访问中可以列出对方机器上 的共享目录列表,但进入目录时遇到拒绝访问提示, 一般都是在权限检查这一步遇到了问题。 在xp系统中,如果使用的是简单文件共享,在目录 属性页中是没有用于设置NTFS权限的“安全”标签 页的。NTFS权限都采用默认设置。而如果禁用了简 单文件共享,在文件夹的属性页中会多出“安全”标 签,在此可以对目录的NTFS权限进行设置。
端口协议组件服务
下图列出了文件共享服务支持的各种网络协议:
端口协议组件服务
问题:办公室有四台电脑,需要访问同一台文 件服务器,以前一直可以访问,有一天其中 一台不能访问,但是可以PING通,其他电 脑仍然可以访问,你认为是什么原因导致, 请提供解决方案? 答案:本机的Computer Browser服务和 Workstation服务被关闭导致,可能由于病 毒感染导致,开启服务并杀毒。