锐捷设备与windows主机测试网络连通性和传输路径各使用什么命令

一、Ping　　相信玩过网络的人都会对“Ping”这个命令有所了解或耳闻。Ping命令是　　Windows9X/NT中集成的一个专用于TCP/IP协议的测试工具，ping命令是用于查看网络上　　的主机是否在工作，它是通过向该主机发送ICMPECHO_REQUEST包进行测试而达到目的　　的。一般凡是应用TCP/IP协议的局域或广域网络，不管你是内部只有几台电脑的家庭、　　公室局域网，还是校园网、企业网甚至Internet国际互联网络，当客户端与客户端之　　间无法正常进行访问或者网络工作出现各种不稳定的情况时，建议大家一定要先试试用　　Ping这个命令来测试一下网络的通信是否正常，多数时候是可以一次奏效的。　　1Ping命令的语法格式　　ping命令看似小小的一个工具，但它带有许多参数，要完全掌握它的使用方法还真　　不容易，要达到熟练使用则更是难下加难，但不管怎样我们还得来看看它的真面目，首　　先我们还是从最基本的命令格式入手吧!　　ping命令的完整格式如下：　　ping[-t][-a][-ncount][-llength][-f][-ittl][-vtos][-rcount][-scount][[-j-Hostlist]|[-kHost-list]][-wtimeout]destination-list　　从这个命令式中可以看出它的复杂程度，ping命令本身后面都是它的执行参数，现　　对其参数作一下详细讲解吧!　　-t——有这个参数时，当你ping一个主机时系统就不停的运行ping这个命令，直　　到你按下Control-C。　　-a——解析主机的NETBIOS主机名，如果你想知道你所ping的要机计算机名则要加　　上这个参数了，一般是在运用ping命令后的第一行就显示出来。　　-ncount——定义用来测试所发出的测试包的个数，缺省值为4。通过这个命令可　　以自己定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送20个数据包的返　　回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过执行带有这个参数　　的命令获知。　　-llength——定义所发送缓冲区的数据包的大小，在默认的情况下windows的ping　　发送的数据包大小为32byt，也可以自己定义，但有一个限制，就是最大只能发送　　65500byt，超过这个数时，对方就很有可能因接收的数据包太大而死机，所以微软公司　　为了解决这一安全漏洞于是限制了ping的数据包大小。　　-f——在数据包中发送“不要分段”标志，一般你所发送的数据包都会通过路由　　分段再发送给对方，加上此参数以后路由就不会再分段处理。　　-ittl——指定TTL值在对方的系统里停留的时间，此参数同样是帮助你检查网络　　运转情况的。　　-vtos——将“服务类型”字段设置为“tos”指定的值。　　-rcount——在“记录路由”字段中记录传出和返回数据包的路由。一般情况下　　你发送的数据包是通过一个个路由才到达对方的，但到底是经过了哪些路由呢通过此　　参数就可以设定你想探测经过的路由的个数，不过限制在了9个，也就是说你只能跟踪　　到9个路由。　　-scount——指定“count”指定的跃点数的时间戳，此参数和-r差不多，只是这　　个参数不记录数据包返回所经过的路由，最多也只记录4个。　　-jhost-list——利用“computer-list”指定的计算机列表路由数据包。连续　　计算机可以被中间网关分隔IP允许的最大数量为9。　　-khost-list——利用“computer-list”指定的计算机列表路由数据包。连续　　计算机不能被中间网关分隔IP允许的最大数量为9。　　-wtimeout——指定超时间隔，单位为毫秒。　　destination-list——是指要测试的主机名或IP地址　　2Ping命令的应用　　(1)、测试网络的通畅　　我们知道可以用ping命令来测试一下网络是否通畅，这在局域网的维护中经常用到，　　方法很简单，只需要在DOS或Windows的开始菜单下的“运行”子项中用ping命令加上所　　要测试的目标计算机的IP地址或主机名即可(目标计算机要与你所运行ping命令的计算　　机在同一网络或通过电话线或其它专线方式已连接成一个网络)，其它参数可全不加。　　如要测试台IP地址为196168121的工作站与服务器是否已连网成功，就可以在服务器　　上运行：ping-a196`6812356即可，如果工作站上TCP/IP协议工作正常，即会以　　DOS屏幕方式显示如下所示的信息：　　Pingingcindy[196168121]with32bytesofdata:　　Replyfrom196168121:bytes=32time<10msTTL=254　　Replyfrom196168121:bytes=32time<10msTTL=254　　Replyfrom196168121:bytes=32time<10msTTL=254　　Replyfrom196168121:bytes=32time<10msTTL=254　　Pingstatisticsfor196168121:　　Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateround　　triptimesinmilli-seconds:　　Minimum=0ms,Maximum=0ms,Average=0ms　　从上面我们就可以看出目标计算机与服务器连接成功，TCP/IP协议工作正常，因为　　加了“-a”这个参数所以还可以知道IP为196168121的计算机的NetBIOS名为cindy。　　如果网络未连成功则显示如下错误信息：　　Pinging[196168121]with32bytesofdata　　Requesttimedout　　Requesttimedout　　Requesttimedout　　Requesttimedout　　Pingstatisticefor196168121:　　PacketsTongueTiedent=4,Received=0,Lost=4(100%loss),　　Approximateroundtriptimesinmilli-seconds　　Minimum=0ms,Maximum=0ms,Average=0ms　　为什么不管网络是否连通在提示信息中都会有重复四次一样的信息呢(如上的　　“Replyfrom196168121:bytes=32time<10msTTL=254”和“Requesttimed　　out”)，那是因为一般系统默认每次用ping测试时是发送四个数据包，这些提示就是　　告诉你所发送的四个数据包的发送情况。　　出现以上错误提示的情况时，就要仔细分析一下网络故障出现的原因和可能有问题　　的网上结点了，一般首先不要急着检查物理线路，先从以下几个方面来着手检查：一是　　看一下被测试计算机是否已安装了TCP/IP协议;二是检查一下被测试计算机的网卡安装　　是否正确且是否已经连通;三是看一下被测试计算机的TCP/IP协议是否与网卡有效的绑　　定(具体方法是通过选择“开始→设置→控制面板→网络”来查看);四是检查一下　　WindowsNT服务器的网络服务功能是否已启动(可通过选择“开始→设置→控制面板→　　服务”，在出现的对话框中找到“Server”一项，看“状态”下所显示的是否为“已启　　动”)。如果通过以上四个步骤的检查还没有发现问题的症结，这时再查物理连接了，　　我们可以借助查看目标计算机所接HUB或交换机端口的批示灯状态来判断目标计算机现　　网络的连通情况。　　(2)、获取计算机的IP地址　　利用ping这个工具我们可以获取对方计算机的IP地址，特别是在局域网中，我们经　　常是利用NT或WIN2K的DHCP动态IP地址服务自动为各工作站分配动态IP地址，这时当然　　我们要知道所要测试的计算机的NETBIOS名，也即我们通常在“网络邻居”中看到的　　“计算机名”。使用ping命令时我们只要用ping命令加上目标计算机名即可，如果网络　　连接正常，则会显示所ping的这台机的动态IP地址。其实我们完全可以在互联网使用，　　以获取对方的动态IP地址，这一点对于黑客来说是比较有用的，当然首先的一点就是你　　先要知道对方的计算机名。　　(3)、上述应用技巧其实重点是Ping命令在局域网中的应用，其实Ping命令不仅在　　局域网中广泛使用，在Internet互联网中也经常使用它来探测网络的远程连接情况。平　　时，当我们遇到以下两种情况时，需要利用Ping工具对网络的连通性进行测试。比如当　　某一网站的网页无法访问时，可使用Ping命令进行检测。另外，我们在发送E-mail之前　　也可以先测试一下网络的连通性。许多因特网用户在发送E-mail后经常收到诸如　　“Returnedmail:Userunknown”的信息，这说明您的邮件未发送到目的地。为了避免　　此类事件再次发生，所以建议大家在发送E-mail之前先养成Ping对方邮件服务器地址　　的习惯。例如，当您给163网站邮件用户发邮件时，可先键入“ping163com”(其实　　163com就是网易的其中一台服务器名)进行测试，如果返回类似于“BadIPaddress　　163com”或“Requesttimesout”或“Unknowhost163com”等的信息，说明对方　　邮件服务器的主机未打开或网络未连通。这时即使将邮件发出去，对方也无法收到。　　二、Ipconfig/Winipcfg　　与Ping命有所区别，利用Ipconfig和Winipcfg工具可以查看和修改网络中的　　TCP/IP协议的有关配置，如IP地址、网关、子网掩码等。这两个工具在Windows95/98　　中都能使用，功能基本相同，只是Ipconfig是以DOS的字符形式显示，而Winipcfg则　　用图形界面显示，也就是其实两个工具是一个工具，只不过一个是DOS下的版本，另一　　个为WINDWOS下的版本，但要注意，在WindowsNT中只能运行于DOS方式下的Ipconfig工　　具。　　1Ipconfig命令的语法格式　　Ipconfig[/all][/batchfile][/renewall][/releaseall][/renewn][/release　　n]　　all——显示与TCP/IP协议相关的所有细节信息，其中包括测试的主机名、IP地　　址、子网掩码、节点类型、是否启用IP路由、网卡的物理地址、默认网关等。　　Batchfile——将测试的结果存入指定的“file“文件名中，以便于逐项查看，如　　果省略file文件名，则系统会把这测试的结果保存在系统的“winipcfgout”文件中。　　renewall——更新全部适配器的通信配置情况，所有测试重新开始。　　releaseall——释放全部适配器的通信配置情况，　　renewn——更新第n号适配器的通信配置情况，所有测试重新开始。　　releasen——释放第n号适配器的通信配置情况，　　2Winipcfg命令　　Winipcfg工具的功能与Ipconfig基本相同，只是Winipcfg是以图形界面的方式显　　示，如图1所示。在操作上更加方便，同时能够以WINDOWS的32位图形界面方式显示。当　　用户需要查看任何一台机器上TCP/IP协议的配置情况时，只需在Windows95/98上选择　　“开始→运行”，在出现的对话框中输入命令“winipcfg”，将出现测试结果。单击　　“详细信息”按钮，在随后出现的对话框中可以查看和改变TCP/IP的有关配置参灵敏，　　当一台机器上安装有多个网卡时，可以查找到每个网卡的物理地址和有关协议的绑定情　　况，这在某些时候对我们是特别有用的。如果要获取的信息，可单击图中的“详细　　信息”按钮，在出现的对话框中可以相看到比较全面的信息。　　3、ipconfig/winipcfg的应用　　上面我讲了一下这两姊妹TCP/IP测试工具的一些用法，下面我就来谈她们的一些用　　途。　　(1)、查找目标主机的IP地址及其它有关TCP/IP协议的信息，方法如下：按「开　　始」菜单执行「运行」菜单项，输入winipcfg，就会出现一个IP组态窗口，这里会　　显示有关于你目前网络IP的一些详细设置数据。或者，你也可以在MS-DOS模式下，　　输入ipconfig，也是一样可以显示详细的IP信息，只不过此画面是在DOS下而已。　　(2)、ipconfig/winipcfg应该说是一款网络侦察的利器，尤其当用户的网络中设置　　的是DHCP(动态IP地址配置协议)时，利用Ipconfig/winipcfg可以让用户很方便地了　　解到所用IPconfig/winipcfg机的IP地址的实际配置情况。因为它有一个“/all”这个　　参数，所以它可侦查到本机上所有网络适配的IP地址分配情况，比ping命令更为详细。　　如果我们在机房winda客户端上运行“Ipconfig/all/batchwindatxt”后，打开　　windatxt文件，将显示如下所示的内容，非常详细地显示了所有与TCP/IP协议有关的　　配置情况。当然与ping相比也有它的不足之处就是它只能在本机上测试，不能运用网　　络功能来测试。　　三、Netstat　　与上述几个网络检测软件类似，Netstat命令也是可以运行于Windows95/98/NT的　　DOS提示符下的工具，利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情　　，用户或网络管理人员可以得到非常详尽的统计结果。当网络中没有安装特殊的网管　　软件，但要对整个网络的使用状况作个详细地了解时，就是Netstat大显身手的时候　　了。　　它可以用来获得你的系统网络连接的信息(使用的端口和在使用的协议等)，收到　　和发出的数据，被连接的远程系统的端口等。　　1、Netstat命令的语法格式　　Nbtstat格式：netstat[-a][-e][-n][-s][-pprotocol][-r][interval]　　参数解释如下：　　-a——用来显示在本地机上的外部连接，它也显示我们远程所连接的系统，本地和　　远程系统连接时使用和开放的端口，以及本地和远程系统连接的状态。这个参数通常用　　于获得你的本地系统开放的端口，用它您可以自己检查你的系统上有没有被安装木马，　　如果您在你的机器上运行Netstat的话，如发现诸如：Port12345(TCP)Netbus、Port　　31337(UDP)BackOrifice之类的信息，则你的机器上就很有可能感染了木马。　　-n——这个参数基本上是-a参数的数字形式，它是用数字的形式显示以上信息，这　　个参数通常用于检查自己的IP时使用，也有些人使用他是因为更喜欢用数字的形式来显　　示主机名。　　-e——显示静态太网统计，该参数可以与-s选项结合使用。　　-pprotocol——用来显示特定的协议配置信息，它的格式为：Netstat-p，　　可以是UDP、IP、ICMP或TCP，如要显示机器上的TCP协议配置情况则我们可以用：　　Netstat-ptcp。　　-s——显示机器的缺省情况下每个协议的配置统计，缺省情况下包括TCP、IP、　　UDP、ICMP等协议。　　-r——用来显示路由分配表。　　interval——每隔“interval”秒重复显示所选协议的配置情况，直到按　　“CTRL+C”中断。　　2、netstat的应用　　从以上各参数的功能我们可以看出netstat工具至少有以下向方面的应用：　　(1)、显示本地或与之相连的远程机器的连接状态，包括TCP、IP、UDP、ICMP协议　　的使用情况，了解本地机开放的端口情况;　　(2)、检查网络接口是否已正确安装，如果在用netstat这个命令后仍不能显示某些　　网络接口的信息，则说明这个网络接口没有正确连接，需要重新查找原因。　　(3)、通过加入“-r”参数查询与本机相连的路由器地址分配情况;　　(4)、还可以检查一些常见的木马等黑客程序，因为任何黑客程序都需要通过打开　　一个端口来达到与其服务器进行通信的目的，不过这首先要使你的这台机连入互联网才　　行，不然这些端口是不可能打开的，而且这些黑客程序也不会起到入侵的本来目的。　　四、nbtstat　　NBTSTAT命令:用于查看当前基于NETBIOS的TCP/IP连接状态，通过该工具你可以获　　得远程或本地机器的组名和机器名。虽然用户使用ipconfig/winipcfg工具可以准确地　　得到主机的网卡地址，但对于一个已建成的比较大型的局域网，要去每台机器上进行这　　样的操作就显得过于费事了。网管人员通过在自己上网的机器上使用DOS命令nbtstat，　　可以获取另一台上网主机的网卡地址。我们还是先来看看它的语法格式吧：　　NBTSTAT[[-aRemoteName][-AIPaddress][-c][-n][-r][-R][-RR][-s][-S][interval]]　　参数说明：　　-aRemotename——说明使用远程计算机的名称列出其名称表，此参数可以通过远　　程计算机的NetBios名来查看他的当前状态。　　-AIPaddress——说明使用远程计算机的IP地址并列出名称表，这个和-a不同　　的是就是这个只能使用IP，其实-a就包括了-A的功能了。　　-c——列出远程计算机的NetBIOS名称的缓存和每个名称的IP地址这个参数就　　是用来列出在你的NetBIOS里缓存的你连接过的计算机的IP。　　-n——列出本地机的NetBIOS名称，此参数与上面所介绍的一个工具软件　　“netstat”中加“-a”参数功能类似，只是这个是检查本地的，如果把netstat-a后　　面的IP换为自己的就和nbtstat-n的效果是一样的了。　　-r——列出Windows网络名称解析的名称解析统计。在配置使用WINS的　　Windows2000计算机上，此选项返回要通过广播或WINS来解析和注册的名称数。　　-R——清除NetBIOS名称缓存中的所有名称后，重新装入Lmhosts文件，这个参　　数就是清除nbtstat-c所能看见的缓存里的IP。　　-S——在客户端和服务器会话表中只显示远程计算机的IP地址。　　-s——显示客户端和服务器会话，并将远程计算机IP地址转换成NETBIOS名称。　　此参数和-S差不多，只是这个会把对方的NetBIOS名给解析出来。　　-RR——释放在WINS服务器上注册的NetBIOS名称，然后刷新它们的注册。　　interval——每隔interval秒重新显示所选的统计，直到按“CTRL+C”键停止重　　新显示统计。如果省略该参数，nbtstat将打印一次当前的配置信息。此参数和　　netstat的一样，nbtstat中的“interval”参数是配合-s和-S一起使用的。

设置Active Directory域控制器

正如我们在网络与系统配置专题文章中所提到的那样，我们已将两部服务器设置为对应于内部域“intdomaincom”的Active Directory域控制器。我们借助专用计算机设置了第一个域控制器，并为实现系统冗余而在管理服务器上设置了第二个域控制器。

由于域控制器必须具备既可从Web服务器和命令处理服务器（针对消息队列）、又可从两个已实现群集化的数据库服务器接受访问调用的能力，因此，就必须与后端网络、管理网络或以上两者同时建立连接。

在接下来的章节中，我们将针对设置Active Directory域控制器的分步操作程序以及设置对应于特定域的Active Directory客户端的操作程序加以详细说明。

安装第一个域控制器

请依次执行下列步骤，以便创建一个新的域，并在某一服务器上安装Active Directory服务，然后，将该服务器设定为对应于新建域的第一个域控制器：

在开始菜单上单击运行，并在随后出现的对话框内输入dcpromo，然后，单击确定。上述操作将启动Active Directory安装向导。

在通过欢迎屏幕后，向导程序将要求您为即将安装Active Directory的服务器指定域控制器类型。请保持相关选项的缺省状态，以便将该服务器设置为对应于新建域的域控制器。

接下来，向导程序将要求您生成一个新的域树，或在现有域树中生成新建一个子域。在这个例子中，应针对内部域新建一个域树。

然后，向导程序将要求您新建一个森林，或加入一个现有森林。因为您正在创建第一个域，而且目前尚不存在现成的森林，所以，请保持有关系选项的缺省设置状态，以便创建一个同域树相对应的新森林。

如前所述，Windows 2000所配备的Active Directory服务目前主要将完全合格域名（FQDN）作为首选命名规范加以应用。当向导程序要求您为新建域设定名称时，就请键入同内部域相对应的FQDN（在本例中，应输入“intdomaincom”）。

Active Directory具备针对Windows NT早期版本的向后兼容性，这主要取决于同这些版本命名规范相对应的NetBIOS名称。出于连贯性方面的考虑，我们应选用与NetBIOS名称完全相同的域名。在这个例子中，应接受系统为NetBIOS设定的缺省域名“INTDOMAIN”。

向导程序将在接下来的两个对话框中要求您针对Active Directory数据库与活动日志的存储位置以及共享系统卷加以指定。为实现更加理想的性能表现及可恢复能力，我们建议您将数据库和日志存储在独立硬盘上。为简化操作过程，我们选择接受所有缺省位置。

安装向导将在这个环节尝试同对应于新建域的DNS服务器取得联系。如果对应于新建域的DNS服务器已经存在，并可在网络上被查找到，向导程序便会继续转移到下一个安装步骤；如果网络上并不存在上述DNS服务器，向导程序则将就是否在Active Directory安装过程中基于同一计算机安装并配置DNS服务器、亦或稍后安装DNS服务器向您进行询问。在此，我们建议您保持第一个选项的缺省设置状态，除非您确实需要亲自执行所有DNS资源记录的设置工作。

由安装向导显示的其余对话框将主要用来处理安全保障事宜。根据Duwamish Online案例，如果域内所有计算机都在运行Windows 2000操作系统，就请将仅与Windows 2000服务器相兼容的许可权限选项设定为选中状态。接下来，向导程序将要求您为管理员设定一个专用口令。

最后，向导程序将显示一个总结屏幕，以便就已经设定的选项与您进行确认。如果屏幕上所显示的信息正确无误，就请单击下一步确认。

当配置处理过程执行完毕后，重新启动服务器。

安装第二个域控制器

第二个Active Directory域控制器的安装过程要比第一个域控制器的安装过程简单得多。在启动安装程序之前，应首先确认第二台服务器已具备针对同一网络部分实施访问调用的权限。只有这样，该服务器才能与第一台服务器进行通信联络。此外，您还应为DNS服务器设定IP地址（根据前文所提供的建议，这个地址必须同第一个域控制器相对应），而这个IP地址则可供用来针对充当域控制器的计算机进行定位。

如需设定DNS服务器，则请依次执行下列操作步骤：

右键单击网络邻居，并在随后弹出的快捷菜单上选择属性命令。

从网络与拨号连接对话框内，右键单击本地连接图标，并在随后弹出的快捷菜单上选择属性命令。

说明：如果您的计算机配备有多块与不同网络部分相连的网络适配卡（类似于Duwamish Online网络配置方案），而您又无法对已同内部建立连接的网卡加以确认，那么，您便可通过以物理方式切断与内部网络相连之电缆的做法识别出所需查找的相关连接。这样一来，对应于目标连接的图标便会呈现出已被禁用的状态。请在恢复网络电缆连接之前，为刚刚查找到的连接重新指定相应名称。

选择Internet协议（TCP/IP），并单击属性。

在Internet协议（TCP/IP）属性对话框内，将使用下列DNS服务器地址选项设定为选中状态。

在首选DNS服务器栏内，输入相关IP地址。（如果DNS服务器已作为第一个Active Directory服务器安装过程的组成部分实现了安装，就请为该服务器输入IP地址。有关操作方法请参阅上一章节--“安装第一个域控制器”--中的第8步。）

单击确定，以便使修改生效。

DNS一经设定，您便可着手安装第二个域控制器。

如需安装第二个域控制器，则请依次执行下列操作步骤：

在开始菜单上单击运行，并在随后出现的对话框内输入dcpromo，然后，单击确定。上述操作将启动Active Directory安装向导。

在通过欢迎屏幕后，向导程序将要求您为相关器服务器指定域控制器类型。在此，应选择设置对应于现有域的第二个域控制器。

接下来，向导程序将要求您输入用户名、口令和域名（在这个例子中，请输入“intdomain”）。

根据向导程序提示，为特定域输入完全合格域名，而同这个域相对应的计算机则将成为第二个域控制器。（在这个例子中，请输入“intdomaincom”。）

与您安装第一个Active Directory服务器时的情形相似，向导程序将要求您针对数据库和日志存储位置以及共享系统卷加以指定。为简化操作过程，我们选择接受所有缺省位置。

在完成管理员口令设置工作后，向导程序将要求您在总结屏幕上重新核对并最终确认刚刚设定的信息。请单击下一步开始安装。

请在安装程序执行完毕后重新启动服务器。

设置Active Directory客户端

在Windows 2000安装过程中，向导程序将就是否加入现有域或工作组向您进行询问。如果域控制器在安装时尚不可用，您便只能在晚些时候加入相关域。

在开始执行设置过程前，请先确保计算机已具备针对同一网络部分的访问调用权限，以便使其能够同相关域进行通信联络。在设置第二个域控制器的过程中，您还应为DNS服务器指定相关IP地址。

下列步骤描述了在Windows 2000操作系统中将某一计算机添加至新建域的具体方法。

右键单击我的电脑，并在随后弹出的快捷菜单上选择属性命令。

在系统属性对话框内，先单击网络标识选项卡，再单击属性按钮。

在标识修改对话框内，将域单选框设定为选中状态，并输入完整域名（在这个例子中，请输入“intdomaincom”）。

单击确定，以便确认上述修改。向导程序还将提示您输入域用户名和口令。

重新启动服务器，以便使修改生效。

小结

Active Directory可为改进型消息队列（MSMQ）特性提供所需支持，并在此基础上允许针对公共消息队列加以利用，因而，成为DuwamishOnlinecom Web区的首选解决方案。如需获取有关MSMQ和Duwamish Online网络体系结构的更多信息资料，敬请查阅题为消息队列配置的技术文章。而Active Directory在这个配置方案中所产生的次要收益则体现为DNS配置任务的简化，这恰恰是创建数据库群集所不可或缺的关键要素（请参阅创建具备高度可用性的数据库群集）。

如何验证 Active Directory 安装

更多信息

验证 Active Directory 的成功安装是非常重要的。当执行升级后，可以通过验证以下各项来验证是否将服务器提升为域控制器： 1 默认容器：它们在创建第一个域时自动创建。打开 Active Directory 用户和计算机，然后验证存在以下容器：计算机、用户和 ForeignSecurityPrincipals。

2 默认的域控制器组织单位：它包含第一个域控制器，另外还用作新 Windows 2000 域控制器的默认容器。打开 Active Directory 用户和计算机，然后验证该组织单位。

3 默认的第一个站点的名称：在将服务器提升为域控制器的过程中，Dcpromoexe 程序会确定该域控制器可以成为哪个站点的成员。如果所创建的域控制器是新域控制器林中的第一个域控制器，则会创建一个名为“Default-First-Site-Name”的默认站点，而域控制器将成为该站点的成员，直至配置相应的子网和站点。您可以使用“Active Directory 站点和服务”来验证此项。

4 Active Directory 数据库：Active Directory 数据库就是您的 Ntdsdit 文件。验证它是否存在于 %Systemroot%\Ntds 文件夹中。

5 全局编录服务器：默认情况下，第一个域控制器会成为全局编录服务器。若要验证此项，请执行以下操作：a 单击开始，指向程序，单击管理工具，然后单击 Active Directory 站点和服务。

b 双击站点以将其展开，展开服务器，然后选择您的域控制器。

c 双击域控制器以展开服务器内容。

d 该服务器下会显示 NTDS 设置对象。右键单击该对象，然后单击属性。

e 默认情况下，常规选项卡上会显示已选中的全局编录复选框。

6 根域：安装第一个域控制器时会创建目录林的根。在我的电脑中验证计算机的网络标识。计算机的域名系统 (DNS) 前缀应该与域控制器所属的域名相匹配。另外，确保计算机已注册正确的计算机角色。若要验证此角色，请使用 net accounts 命令。根据计算机是否为域中的第一个域控制器，计算机角色应显示“主”(primary)或“备份”(backup)。

7 共享系统卷：Windows 2000 域控制器应该含有位于 %Systemroot%\Sysvol\Sysvol 文件夹中的共享系统卷。若要验证此项，请使用 net share 命令。在安装过程中，Active Directory 还会创建两个标准的策略：“默认域”策略和“默认域控制器”策略（位于 %Systemroot%\Sysvol\Domain\Policies 文件夹中）。这些策略显示为以下全局唯一标识符 (GUID)：

表示“默认域”策略的 {31B2F340-016D-11D2-945F-00C04FB984F9}

表示“默认域控制器”策略的 {6AC1786C-016F-11D2-945F-00C04fB984F9}

8 SRV 资源记录：您必须装有为 Active Directory 安装并配置的 DNS 服务器和相关客户端软件，才能正常地工作。Microsoft 建议使用 Microsoft DNS 服务器，它随 Windows 2000 Server 作为 DNS 服务器提供。但是，Microsoft DNS 服务器并不是必需的。您使用的 DNS 服务器必须支持服务资源记录 (SRV RR) 注释请求文件 (RFC) 2052 以及动态更新协议 (RFC 2136)。使用 DNS Manager Microsoft Management Console (MMC) 管理单元来验证为每个 DNS 区域创建了适当的区域和资源记录。Active Directory 在以下文件夹中创建其 SRV RR：• _Msdcs/Dc/_Sites/Default-first-site-name/_Tcp

• _Msdcs/Dc/_Tcp

在这些位置，将显示以下服务的 SRV RR： • _kerberos

• _ldap

假定你要ping 的目标为 19216811 按你的要求,ping 10次,每次的ping 数据包大小为 1024字节,那么命令如下: ping 19216811 -n 10 -l 1024 (注意：中间的字母为 N 与 L 默认为小写)

这个图不知道你从哪里搞来的，不够准确。

一般的CDN是从计算机，第一步到调度中心（可能你图上的RR就是这个意思），

第二部并不是到区域，而是直接到边缘，由边缘到区域节点（比如华东区的汇总节点），再到中心（中心就是真正的服务器源站）

也有另外一种可能，就是到区域，（区域就是一个虚ip，下面有很多边缘节点的IP），区域分配一个边缘的IP。

（中心仍然是源站意思）

4,5就不解释了。

要了解CDN的详细知识，可以到小气呱呱网站上来。

Linux上的heartbeat双机热备服务架设

一 安装前环境设定

两台主机硬件环境(不必完全一致)：

CPU: Xeon 3G 2 (EM64T)

MEM: 2G

NIC: Intel 1G 2

eth0: 对外IP

eth1: 对内IP(HA专用)

两台主机的eth1使用双机对联线直接连接。

分区方式：

Filesystem 容量 挂载点

/dev/sda2 97G /

/dev/sda6 45G /Datas

/dev/sda1 99M /boot

none20G /dev/shm

/dev/sda3 97G /opt

另外每台主机应预留500M的raw空间或者更多来作为共用空间被HA使用。

操作系统：

RedHat Enterprise 4 Update2 (269-22 EL)

预安装软件：

@ X Window System

@ GNOME Desktop Environment

@ KDE Desktop Environment

@ Editors

@ Engineering and Scientific

@ Graphical Internet

@ Text-based Internet

@ Authoring and Publishing

@ Server Configuration Tools

@ Development Tools

@ Kernel Development

@ X Software Development

@ GNOME Software Development

@ KDE Software Development

@ Administration Tools

@ System Tools

二安装前网络环境设定：

node1: 主机名：servers201 ( HA01 )

eth0: 19216810201 //对外IP地址

eth1: 1000201 //HA心跳使用地址

node2: 主机名：servers202 ( HA02 )

eth0: 19216810202 //对外IP地址

eth1: 1000202 //HA心跳使用地址

特别注意要检查以下几个文件：

/etc/hosts

/etc/hostconf

/etc/resolvconf

/etc/sysconfig/network

/etc/sysconfig/network-scripts/ifcfg-eth0

/etc/sysconfig/network-scripts/ifcfg-eth1

/etc/nsswitchconf

#vi /etc/hosts

node1的hosts内容如下：

127001 localhostlocaldomain localhost

19216810201 servers201 HA01

1000201 HA01

1000202 HA02

19216810202 server202

node2的hosts内容如下:

127001 localhostlocaldomain localhost

19216810202 servers202 HA02

1000202 HA02

1000201 HA01

19216810201 server201

#cat /etc/hostconf

order hosts,bind

#cat /etc/resolvconf

nameserver 61139269 //DNS地址

#cat /etc/sysconfig/network

NETWORKING=yes

HOSTNAME=servers201 //主机名

GATEWAY="192168101" //网关

GATEWAY="eth0" //网关使用网卡

ONBOOT=YES //启动时加载

FORWARD_IPV4="yes" //只允许IPV4

#cat /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0

ONBOOT=yes

BOOTPROTO=static

IPADDR=19216810201

NETMASK=2552552550

GATEWAY=192168101

TYPE=Ethernet

IPV6INIT=no

#cat /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1

ONBOOT=yes

BOOTPROTO=none

IPADDR=1000201

NETMASK=2552552550

TYPE=Ethernet

[node1] 与 [node2] 在上面的配置中，除了

/etc/hosts

/etc/sysconfig/network

/etc/sysconfig/network-scripts/ifcfg-eth0

/etc/sysconfig/network-scripts/ifcfg-eth1

要各自修改外，其他一致。

配置完成后，试试在各自主机上ping对方的主机名，应该可以ping通:

/root#ping HA02

PING HA02 (1000202) 56(84) bytes of data

64 bytes from HA02 (1000202): icmp_seq=0 ttl=64 time=0198 ms

64 bytes from HA02 (1000202): icmp_seq=1 ttl=64 time=0266 ms

64 bytes from HA02 (1000202): icmp_seq=2 ttl=64 time=0148 ms

--- HA02 ping statistics ---

3 packets transmitted, 3 received, 0% packet loss, time 2002ms

rtt min/avg/max/mdev = 0148/0204/0266/0048 ms, pipe 2

三安装HA 与HA依赖包

rpm -Uvh libnet-1121-1rhelum1i386rpm //可以不装

rpm -Uvh heartbeat-pils-204-1el4i386rpm

rpm -Uvh heartbeat-stonith-204-1el4i386rpm

rpm -Uvh heartbeat-204-1el4i386rpm

rpm -Uvh ipvsadm-124-5i386rpm

四 配置 HA的各配置文件

配置心跳的加密方式:authkeys

#vi /etc/had/authkeys

如果使用双机对联线(双绞线)，可以配置如下：

#vi /etc/hcd/authkeys

auth 1

1 crc

存盘退出，然后

#chmod 600 authkeys

配置心跳的监控：haresources

#vi /etc/had/haresources

各主机这部分应完全相同。

server201 IPaddr::19216810200 ipvsadm httpd

指定 server201调用ipvsadm启动http服务，系统附加一个虚拟IP 19216810200 给eth0:0

这里如果server201宕机后，server202可以自动启动http服务，并新分配IP 19216810200给server202的eth0:0

配置心跳的配置文件：hacf

#vi /etc/had/hacf

logfile /var/log/ha_log/ha-loglog ## ha的日志文件记录位置。如没有该目录，则需要手动添加

bcast eth1 ##使用eth1做心跳监测

keepalive 2 ##设定心跳(监测)时间时间为2秒

warntime 10

deadtime 30

initdead 120

hopfudge 1

udpport 694 ##使用udp端口694 进行心跳监测

auto_failback on

node server201 ##节点1，必须要与 uname -n 指令得到的结果一致。

node server202 ##节点2

ping 192168101 ##通过ping 网关来监测心跳是否正常。

respawn hacluster /usr/lib64/heartbeat/ipfail

apiauth ipfail gid=root uid=root

debugfile /Datas/logs/ha_log/ha-debuglog

设置ipvsadm的巡回监测

ipvsadm -A -t 19216810200:80 -s rr

ipvsadm -a -t 19216810200:80 -r 19216810201:80 -m

ipvsadm -a -t 19216810200:80 -r 19216810202:80 -m

执行后进行监测：

#ipvsadm --list

如果返回结果与下相同，则设置正确。

IP Virtual Server version 120 (size=4096)

Prot LocalAddress:Port Scheduler Flags

-> RemoteAddress:Port Forward Weight ActiveConn InActConn

TCP 19216810200:http rr

-> server202:http Local 1 0 0

-> server201:http Masq 1 0 0

五 HA服务的启动、关闭以及测试

启动HA: service heartbeat start

关闭HA; service heartbeat stop

系统在启动时已经自动把heartbeat 加载了。

使用http服务测试 heartbeat

首先启动httpd服务

#service httpd start

编辑各自主机的测试用html文件，放到/var/www/html/目录下。

启动node1的heartbeat，并执行这个指令进行监控: heartbeat status

六 防火墙设置

heartbeat 默认使用udp 694端口进行心跳监测。如果系统有使用iptables 做防火墙，应记住把这个端口打开。

#vi /etc/sysconfig/iptables

加入以下内容

-A RH-Firewall-1-INPUT -p udp -m udp --dport 694 -d 1000201 -j ACCEPT

意思是udp 694端口对 对方的心跳网卡地址 1000201 开放。

#service iptables restart

重新加载iptables。