如何實(shí)現(xiàn)局域網(wǎng)內(nèi)計(jì)算機(jī)資源的共享.doc

如何實(shí)現(xiàn)局域網(wǎng)內(nèi)計(jì)算機(jī)資源的共享一. 局域網(wǎng)的鄰居 作為最小網(wǎng)絡(luò)分布結(jié)構(gòu)的局域網(wǎng)，其基本作用是實(shí)現(xiàn)資源共享，那么怎么來實(shí)現(xiàn)局域網(wǎng)內(nèi)資源的共享的呢？ 1. 局域網(wǎng)實(shí)現(xiàn)原理 局域網(wǎng)并不同于外界通訊使用的TCP/IP協(xié)議體系，它是一種建立在以太網(wǎng)（Ethernet）結(jié)構(gòu)上的網(wǎng)絡(luò)分布，除了TCP/IP協(xié)議外，還涉及許多協(xié)議。 在局域網(wǎng)里，計(jì)算機(jī)之間通訊并不是通過IP進(jìn)行的，而是通過網(wǎng)卡MAC地址.當(dāng)一臺(tái)計(jì)算機(jī)要查找另一臺(tái)計(jì)算機(jī)時(shí)，它必須把目標(biāo)計(jì)算機(jī)的IP通過ARP協(xié)議（地址解析協(xié)議）在物理網(wǎng)絡(luò)中廣播出去,計(jì)算機(jī)收到數(shù)據(jù)后就會(huì)判斷這條信息是不是發(fā)給自己的，如果是，就會(huì)返回應(yīng)答，并返回自身地址。當(dāng)源計(jì)算機(jī)收到有效的回應(yīng)時(shí)，它就得知了目標(biāo)計(jì)算機(jī)的MAC地址并把結(jié)果保存在系統(tǒng)的地址緩沖池里，下次傳輸數(shù)據(jù)時(shí)就不需要再次發(fā)送廣播了，這個(gè)地址緩沖池會(huì)定時(shí)刷新重建，以免造成數(shù)據(jù)冗余現(xiàn)象。實(shí)際上，共享協(xié)議規(guī)定局域網(wǎng)內(nèi)的每臺(tái)啟用了文件及打印機(jī)共享服務(wù)的計(jì)算機(jī)在啟動(dòng)的時(shí)候必須主動(dòng)向所處網(wǎng)段廣播自己的IP和對(duì)應(yīng)的MAC地址，然后由某臺(tái)計(jì)算機(jī)（通常是局域網(wǎng)內(nèi)某個(gè)工作組里第一臺(tái)啟動(dòng)的計(jì)算機(jī)）承擔(dān)接收并保存這些數(shù)據(jù)的角色，這臺(tái)計(jì)算機(jī)就被稱為“瀏覽主控服務(wù)器”，它是工作組里極為重要的計(jì)算機(jī)，負(fù)責(zé)維護(hù)本工作組中的瀏覽列表及指定其他工作組的主控服務(wù)器列表，為本工作組的其他計(jì)算機(jī)和其他來訪本工作組的計(jì)算機(jī)提供瀏覽服務(wù)，它的標(biāo)識(shí)是含有_MSBROWSE_名字段。這就是我們能在網(wǎng)絡(luò)鄰居看到其他計(jì)算機(jī)的來由，它實(shí)際上是一個(gè)瀏覽列表，用戶可以使用“nbtstat -r”來查看在瀏覽主控服務(wù)器上聲明了自己的NetBIOS名稱列表。 瀏覽列表記錄了整個(gè)局域網(wǎng)內(nèi)開啟的計(jì)算機(jī)的資源描述，當(dāng)我們要訪問另一臺(tái)計(jì)算機(jī)的共享資源時(shí)，系統(tǒng)實(shí)際上是通過發(fā)送廣播查詢?yōu)g覽主控服務(wù)器，然后由瀏覽主控服務(wù)器提供的瀏覽列表來“發(fā)現(xiàn)”目標(biāo)計(jì)算機(jī)的共享資源的。 但是僅知道彼此的地址還不夠，計(jì)算機(jī)之間必須建立一條連接的數(shù)據(jù)鏈路才能正常工作，這就需要另一個(gè)基本協(xié)議來進(jìn)行了。NetBIOS（網(wǎng)絡(luò)基本輸入輸出系統(tǒng)）協(xié)議是ibm開發(fā)的用于給局域網(wǎng)提供網(wǎng)絡(luò)以及其他特殊功能的命令集，幾乎每個(gè)局域網(wǎng)都必須在這種協(xié)議上面進(jìn)行工作，NetBIOS相當(dāng)于Intranet上的TCP/IP協(xié)議。而后推出的NetBEUI協(xié)議（NetBIOS用戶擴(kuò)展接口協(xié)議）則是對(duì)前者進(jìn)行了功能擴(kuò)充，這幾個(gè)協(xié)議都是組成局域網(wǎng)的基本必備，最后為了建立連接，局域網(wǎng)還需要TCP/IP協(xié)議。 2. Windows下的局域網(wǎng)共享 Windows系統(tǒng)對(duì)于局域網(wǎng)內(nèi)機(jī)算機(jī)的身份和權(quán)限驗(yàn)證是在一個(gè)被稱為“IPC”（命名管道）的組件技術(shù)上實(shí)現(xiàn)的，它實(shí)質(zhì)上是Windows為了方便管理員從遠(yuǎn)方登錄管理計(jì)算機(jī)而設(shè)置的，在局域網(wǎng)里它也負(fù)責(zé)文件的共享和傳輸，所以它是Windows局域網(wǎng)不可缺的基礎(chǔ)組件。 默認(rèn)情況下，局域網(wǎng)之間的共享服務(wù)通過來賓帳戶“Guest”的身份進(jìn)行，這個(gè)帳戶在Windows系統(tǒng)里權(quán)限最少，為方便阻止來訪者越權(quán)訪問提供了基礎(chǔ)，同時(shí)它也是資源共享能正常進(jìn)行的最小要求，任何一臺(tái)要提供局域網(wǎng)共享服務(wù)的計(jì)算機(jī)都必須開放來賓帳戶，命令是“net user guest /active:yes”。 除了使用IPC作為身份驗(yàn)證，系統(tǒng)還使用SMB（Server Message Block）協(xié)議用來做文件共享，這個(gè)協(xié)議與共享存在很大聯(lián)系。二. 局域網(wǎng)共享的實(shí)現(xiàn) 實(shí)現(xiàn)局域網(wǎng)共享，還需要進(jìn)行一定的協(xié)議設(shè)置，才能實(shí)現(xiàn)資源共享。 首先，同一個(gè)局域網(wǎng)內(nèi)的計(jì)算機(jī)IP地址應(yīng)該是分布在相同網(wǎng)段里的，雖然以太網(wǎng)最終的地址形式為網(wǎng)卡MAC地址，但是提供給用戶層次的始終是相對(duì)好記憶的IP地址形式，而且系統(tǒng)交互接口和網(wǎng)絡(luò)工具都通過IP來尋找計(jì)算機(jī)，因此為計(jì)算機(jī)配置一個(gè)符合要求的IP是必須的，這是計(jì)算機(jī)查找彼此的基礎(chǔ)，除非你是在DHCP環(huán)境里，因?yàn)檫@個(gè)環(huán)境的IP地址是通過服務(wù)器自動(dòng)分配的。 其次，要為局域網(wǎng)內(nèi)的機(jī)器添加局域網(wǎng)協(xié)議，包括NetBIOS協(xié)議和NetBEUI協(xié)議，然后還要確認(rèn)“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享”已經(jīng)安裝并選中，確保系統(tǒng)安裝了“Microsoft 網(wǎng)絡(luò)客戶端. 然后，用戶必須為計(jì)算機(jī)指定至少一個(gè)共享資源，如某個(gè)目錄、磁盤或打印機(jī)等，完成了這些工作，計(jì)算機(jī)才能正常實(shí)現(xiàn)局域網(wǎng)資源共享的功能。 最后，計(jì)算機(jī)必須開啟139、445這兩個(gè)端口的其中一個(gè)，它們被用作NetBIOS會(huì)話連接，而且是SMB協(xié)議依賴的端口，如果這兩個(gè)端口被阻止，對(duì)方計(jì)算機(jī)訪問共享的請(qǐng)求就無法回應(yīng)。 三. 局域網(wǎng)共享故障的分析與排除 IPC、Server服務(wù)與共享故障 IPC（Internet Process Connection）是NT以上的系統(tǒng)為了讓進(jìn)程間通信而開放的命名管道，可以通過驗(yàn)證用戶名和密碼獲得相應(yīng)的權(quán)限，在遠(yuǎn)程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)使用，微軟把它用于局域網(wǎng)功能的實(shí)現(xiàn)，如果它被關(guān)閉，計(jì)算機(jī)就會(huì)出現(xiàn)“無法訪問網(wǎng)絡(luò)鄰居”的故障。 在Windows NT以后的系統(tǒng)里，IPC是依賴于Server服務(wù)運(yùn)行的，一些習(xí)慣了單機(jī)環(huán)境的用戶可能會(huì)關(guān)閉這個(gè)服務(wù)，這樣的后果就是系統(tǒng)將無法提供與局域網(wǎng)有關(guān)的操作，用戶無法查看別人的計(jì)算機(jī)，也無法為自己發(fā)布任何共享。 要確認(rèn)IPC和Server服務(wù)是否正常，可以在命令提示符里輸入命令net share，如果Server服務(wù)未開啟，系統(tǒng)會(huì)提示“沒有啟動(dòng) Server 服務(wù)。是否可以啟動(dòng)(Y/N) Y:”，回車即可以啟動(dòng)Server服務(wù)。如果Server服務(wù)已開啟，系統(tǒng)會(huì)列出當(dāng)前的所有共享資源列表，其中至少要有名為“IPC 除了Server服務(wù)以外，還有兩個(gè)服務(wù)會(huì)對(duì)共享造成影響，分別是“Computer Browser”和“TCP/IP NetBIOS Helper Service”，前者用于保存和交換局域網(wǎng)內(nèi)計(jì)算機(jī)的NetBIOS名稱和共享資源列表，當(dāng)一個(gè)程序需要訪問另一臺(tái)計(jì)算機(jī)的共享資源時(shí)，它會(huì)從這個(gè)列表里查詢目標(biāo)計(jì)算機(jī)，一旦該服務(wù)被禁止，IPC就認(rèn)定當(dāng)前沒有可供訪問的共享資源，用戶自然就沒法訪問其他計(jì)算機(jī)的共享資源了；后者主要用于在TCP/IP上傳輸?shù)腘etBIOS協(xié)議（NetBT）和NetBIOS名稱解析工作，NetBT協(xié)議為跨網(wǎng)段實(shí)現(xiàn)NetBIOS命令傳輸提供了載體，正因如此，早期的黑客入侵教材里“關(guān)于139端口的遠(yuǎn)程入侵”才能實(shí)現(xiàn)，因?yàn)镹etBIOS協(xié)議被TCP封裝起來通過Internet傳輸?shù)綄?duì)方機(jī)器里處理了，同樣對(duì)方也是用相同途徑實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)?，否則黑客們根本無法跨網(wǎng)段使用網(wǎng)絡(luò)資源映射指令“net use”。對(duì)于本地局域網(wǎng)來說，NetBT是SMB協(xié)議依賴的傳輸媒體，也是相當(dāng)重要的。 如果這兩個(gè)服務(wù)異常終止，局域網(wǎng)內(nèi)的共享可能就無法正常使用，這時(shí)候我們可以通過執(zhí)行程序“services.msc”打開服務(wù)管理器，在里面查找“Computer Browser”和“TCP/IP NetBIOS Helper Service”服務(wù)并點(diǎn)擊“啟動(dòng)”即可。 系統(tǒng)安全策略與共享故障 熟悉Windows系統(tǒng)的用戶或多或少都會(huì)接觸到“組策略”（gpedit.msc），這里實(shí)際上是提供了一個(gè)比手工修改注冊(cè)表更直觀的操作方法來設(shè)置系統(tǒng)的一些功能和用戶權(quán)限，但是這里的設(shè)置失誤也會(huì)影響到局域網(wǎng)共享資源的使用。 由于IPC本身就是用于身份驗(yàn)證的，因此它對(duì)計(jì)算機(jī)賬戶的配置特別敏感，而組策略里偏偏就有很多方面的設(shè)置是針對(duì)計(jì)算機(jī)賬戶的，其中影響最大的要數(shù)“計(jì)算機(jī)配置 Windows配置 安全設(shè)置 本地策略 用戶權(quán)利指派”里的“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”，在Windows 2000系統(tǒng)里默認(rèn)是不做任何限制的，可是自從XP出現(xiàn)后，這個(gè)部分就默認(rèn)多了兩個(gè)帳戶，一個(gè)是用于遠(yuǎn)程協(xié)助（也就是被簡(jiǎn)化過的終端服務(wù)）身份登錄的3389用戶名，另一個(gè)則是我們局域網(wǎng)共享的基本成員guest！ 許多使用XP系統(tǒng)的用戶無法正常開啟共享資源的訪問權(quán)限，正是這個(gè)項(xiàng)目的限制，解決方法也很容易，只要從列表里移除“Guest”帳戶就可以了。 除了與帳戶相關(guān)的策略，這里還有幾個(gè)與NetBIOS和IPC相關(guān)的組策略設(shè)置，它們是位于“計(jì)算機(jī)配置 Windows配置 安全設(shè)置 本地策略 安全選項(xiàng)”里的“對(duì)匿名連接的額外限制”（默認(rèn)為“無”），對(duì)于XP以上的系統(tǒng)，這里還有“不允許SAM賬戶和共享的匿名枚舉”（默認(rèn)為“已停用”）