安全与协议

只安装并启用您需要的网络协议。

限制计算机上的协议数可以提高网络性能并减少网络通信。

如果 Windows 2000 遇到网络连接的问题，它将尝试使用每一个已安装的网络协议建立连接。通过仅安装和启用系统能够使用的协议，Windows 2000 就不会尝试使用它不能使用的协议进行连接，并且更加有效地返回状态信息。

　

网际协议安全 (IPSec)

IPSec 作为安全网络的长期方向，是基于密码学的保护服务和安全协议的套件。因为它不需要更改应用程序或协议，您可以很容易地给现有网络部署 IPSec。

IPSec 对使用 L2TP 协议的 VPN 连接提供机器级身份验证和数据加密。在保护密码和数据的 L2TP 连接建立之前，IPSec 在计算机及其远程隧道服务器之间进行协商。

L2TP 使用标准的基于 PPP 的身份验证协议，例如 EAP、MS-CHAP、CHAP、SPAP，以及使用 IPSec 的 PAP。

加密是由 IPSec 安全协会（即 SA）决定的。安全关联是由目标地址、安全协议和唯一的身份验证值组合而成的，称为安全参数索引 (SPI)。可用的加密包括：

具有 56 位密钥的数据加密标准 (DES)，可用于世界范围，但受美国关于出口加密法规的限制。

有 56 位密钥的三倍 DES (3DES)，是专门为北美高度安全的环境而设计的

　

Windows 2000 身份验证

Windows 2000 身份验证包括两个部分：交互式登录过程和网络身份验证过程。用户身份验证的成功与否同时取决于这两个过程。

交互式登录过程

交互式登录过程确认用户对于域帐户或本地计算机的身份。根据用户帐户类型的不同，交互式登录过程也不同：

若持有域帐户，用户可以通过存储在 Active Directory 中的单方签名凭据使用密码或智能卡登录到网络。通过使用域帐户登录，被授权的用户可以访问该域和任何信任域中的资源。如果使用密码登录到域帐户，Windows 2000 将使用 Kerberos V5 进行身份验证。如果使用智能卡，Windows 2000 将使用 Kerberos V5 身份验证和证书。

若持有本地计算机帐户，用户可以通过存储在安全帐户管理器 (SAM)（也是本地安全帐户数据库）中的凭据登录到本地计算机。任何工作站或成员服务器均可以存储本地用户帐户，但这些帐户只能用于访问该本地计算机。

网络身份验证过程

网络身份验证确认用户对于试图访问的任意网络服务的身份。为了提供这种类型的身份验证，Windows 2000 安全系统支持多种身份验证机制，包括 Kerberos V5、安全套接字层/传输层安全 (SSL/TLS)，以及为了与 Windows NT 4.0 兼容而支持的 LAN Manager。

使用域帐户的用户看不到网络身份验证。使用本地计算机帐户的用户在每次访问网络资源时都必须提供凭据（例如用户名和密码）。通过使用域帐户，用户就具有了凭据，该凭据被自动用作单方签名。

X.25 网络使用包交换协议、绕过有噪音的电话线路传输数据。该协议依赖于具有包转送节点的包罗万象的广域网，这些节点可以参与将 X.25 数据包传递到指定的地址。

连接点服务 (CPS) 是 Windows 2000 的一个组件，它为 Internet 服务提供商 (ISP) 和公司提供了自动更新常驻在雇员或 Internet 用户客户机中的通讯簿文件的能力。这些通讯簿文件与 Microsoft 连接管理器 (CM)（也是常驻于客户机上的可配置连接软件）一同工作。

TCP/IP

应用层：定义了 TCP/IP 应用协议以及主机程序与要使用网络的传输层服务之间的接口。 HTTP、Telnet、FTP、TFTP、SNMP、DN、SMTP、X-Window 以及其他应用协议

传输层：提供主机之间的通讯会话管理。定义了传输数据时的服务级别和连接状态。 TCP、UDP、RTP

Internet层：将数据装入 IP 数据报，包括用于在主机间以及经过网络转发数据报时所用的源和目标的地址信息。实现 IP 数据报的路由。 IP、ICMP、ARP、RARP

网络接口层：指定如何通过网络物理地发送数据，包括直接与网络媒体（如同轴电缆、光纤或双绞铜线）接触的硬件设备如何将比特流转换成电信号。以太网、令牌环、FDDI、X.25、帧中继、RS-232、v.35

网际协议安全

网际协议安全 (IPSec) 是一组 Internet 标准，使用加密安全服务提供：

机密

IPSec 通信是经过加密的。如果不知道加密密钥，捕获的 IPSec 通信也是无法知道的。

身份验证

IPSec 通信是经过数字签名的，带有共享的加密钥匙，因此接收者可以验证它是由 IPSec 端发送的。

数据完整性

IPSec 通信包含合并到加密钥匙中的加密求校验和。接收方可以确认数据包在传输中是否没有被修改

TCP/IP 筛选

使用 TCP/IP 筛选，在 Windows NT 4.0 中叫做“TCP/IP 安全”的功能，您可以为每个 IP 接口严格指定所处理的传入 TCP/IP 通讯类型。这个功能设计用于隔离 Internet 或 Intranet 服务器所处理的通信，在没有“路由和远程访问”服务或其他 TCP/IP 应用程序或服务提供 TCP/IP 筛选的情况下。TCP/IP 筛选默认是禁用的。

TCP/IP 筛选是用于入站本地主机 TCP/IP 通讯的一组筛选器。因为入站 TCP/IP 通讯的目标 IP 地址编成指定的端口地址、适当的子网广播地址或多播地址，因此本地主机通讯是由主机处理的通讯。TCP/IP 筛选不适用于接口之间转发的路由通讯。

使用 TCP/IP 筛选，您可以限制本地主机的入站 TCP/IP 通讯，根据：

目标 TCP 端口

目标 UDP 端口

IP 协议

　

地址解析协议 (ARP)

“地址解析协议 (ARP)”是所需的 TCP/IP 标准，在 RFC 826“地址解析协议 (ARP)”中定义。ARP 把基于 TCP/IP 的软件使用的 IP 地址解析成局域网硬件使用的媒体访问控制地址。ARP 对同一物理网络上的主机提供以下协议服务：

通过网络广播请求获得媒体访问控制地址，询问“配置成所附 IP 地址的设备的媒体访问控制地址是什么？”

回应 ARP 请求时，ARP 回复的发送者和原始 ARP 请求者都将彼此的 IP 地址及媒体访问控制地址记录成被称为 ARP 缓存的本地表中的项目，以便将来引用。

　

硬件寻址

在局域网上使用的硬件必须包含厂商为该设备安排的唯一地址。对于以太网和令牌环局域网硬件，这个地址称作媒体访问控制地址。

每个媒体访问控制地址用编入每个物理硬件设备（入网卡）只读内存 (ROM) 的 6 字节数字标识物理网络中的设备。媒体访问控制地址通常用十六进制表示（如 00-AA-00-3F-89-4A）。

媒体访问控制地址的授权和注册是由 IEEE 监督。当前，对单个厂商 IEEE 为媒体访问控制地址的前三个字节注册和分配唯一的数字。然后每个制造商可以对单个网卡分配媒体访问控制地址的后三个字节。

 

ARP 如何为本地通讯解析媒体访问控制地址

在此例中，两个 TCP/IP 主机，主机 A 和主机 B，都位于同一个物理网络上。主机 A 分配的 IP 地址是 10.0.0.99，主机 B 分配的 IP 地址是 10.0.0.100。

当主机 A 要与主机 B 通讯时，以下步骤可以将主机 B 软件指定的地址 (10.0.0.100) 解析成主机 B 硬件指定的媒体访问控制地址：

1、根据主机 A 上的路由表内容，IP 确定用于访问主机 B 的转发 IP 地址是 10.0.0.100。然后 A 主机在自己的本地 ARP 缓存中检查主机 B 的匹配硬件地址。

2、如果主机 A 没有在缓存中找到映射，则对本地网络上的所有主机广播 ARP 请求帧，询问“10.0.0,100 的硬件地址是什么？”源（主机 A）的硬件和软件地址都包括在 ARP 请求中。

本地网络上的每个主机都收到 ARP 请求并检查是否与自己的 IP 地址匹配。如果主机发现不匹配，则放弃该 ARP 请求。

3、主机 B 确定 ARP 请求中的 IP 地址与自己的 IP 地址匹配，将主机的硬件/软件地址映射添加到本地 ARP 缓存中。

4、主机 B 将包含其硬件地址的 ARP 回复消息直接发送回主机 A。

5、当主机 A 收到从主机 B 发来的 ARP 回复消息时，会用主机 B 的硬件/软件地址映射更新 ARP 缓存。

主机 B 的媒体访问控制地址一旦确定，主机 A 就能向主机 B 发送 IP 通讯，为它找到主机的媒体访问控制地址。

　

ARP 如何为远程通讯解析媒体访问控制地址

ARP 还用于为不在本地网络上的目标而向本地路由器转发 IP 数据报。在这种情况下，ARP 解析本地网络上的路由器接口的媒体访问控制地址。

在此范例中，主机 A 分配的 IP 地址是 10.0.0.99，主机 B 使用的 IP 地址是 192.168.0.99。路由器接口 1 与主机 A 在同一物理网络上，使用的 IP 地址是 10.0.0.1。路由器接口 2 与主机 B 在同一物理网络上，使用的 IP 地址是 192.168.0.1。

当主机 A 要与主机 B 通讯时，以下步骤可以将路由器接口软件指定的地址 (10.0.0.1) 解析成硬件指定的媒体访问控制地址：

1、根据主机 A 上的路由表内容，IP 确定用于访问主机 B 的转发 IP 地址是 10.0.0.1，即默认网关的 IP 地址。然后主机 A 在自己的本地 ARP 缓存中检查与 10.0.0.1 匹配的硬件地址。

2、如果主机 A 没有在缓存中找到映射，则对本地网络上的所有主机广播 ARP 请求帧，询问“10.0.0.1 的硬件地址是什么？”源（主机 A）的硬件和软件地址都包括在 ARP 请求中。

本地网络上的每个主机都收到 ARP 请求并检查是否与自己的 IP 地址匹配。如果主机发现不匹配，则放弃该 ARP 请求。

3、路由器确定 ARP 请求中的 IP 地址与自己的 IP 地址匹配，并将主机 A 的硬件/软件地址映射添加到本地 ARP 缓存中。

4、然后路由器将包含其硬件地址的 ARP 回复消息直接发送回主机 A。

5、当主机 A 收到从路由器发来的 ARP 回复消息时，用 10.0.0.1 的硬件/软件地址映射更新它的 ARP 缓存。

路由器接口 1 的媒体访问控制地址一旦确定，主机 A 就能向路由器发送 IP 通讯，为它找到路由接口 1 的媒体访问控制地址。然后路由器向主机转发通讯，ARP 过程与 ARP 如何为本地通讯解析媒体访问控制地址中讨论的相同。

　

ARP 缓存

为使广播量最小，ARP 维护 IP 地址到媒体访问控制地址映射的缓存以便将来使用。ARP 缓存可以包含动态和静态项目。动态项目随时间推移自动添加和删除。静态项目一直保留在缓存中，直到重新启动计算机为止。

每个动态 ARP 缓存项的潜在生命周期是十分钟。新加到缓存中的项目带有时间戳。如果某个项目添加后两分钟内没有再使用，则此项目过期并从 ARP 缓存中删除。如果某个项目已在使用，则又收到两分钟的生命周期。如果某个项目始终在使用，则会另外收到两分钟的生命周期，一直到十分钟的最长生命周期。

可以使用 arp 命令查看 ARP 缓存。要查看运行 Windows 2000 的计算机上的 ARP 缓存，请在 Windows 2000 命令提示符下键入 arp -a。要查看 arp 命令行选项，请键入 arp /?。

　

网际协议 (IP)

IP 是所需的 TCP/IP 标准，在 RFC 791“网际协议 (IP)”中定义。IP 是无连接的、不可靠的数据报协议，主要负责在主机之间寻址和选择数据包的路由。

无连接意味着交换数据之前不能建立会话。不可靠意味着传递没有担保。IP 总是尽力传递数据包。IP 数据包可能丢失、不按顺序传递、重复或延迟。IP 不尝试从这些错误类型中恢复。所传递的数据包的确认以及丢失数据包的恢复是更高层协议的责任，如 TCP。

IP 数据包，也称作 IP 数据报，由 IP 报头和 IP 负载组成

　

网际消息协议 (ICMP)

“网际消息协议 (ICMP)”是所需的 TCP/IP 标准，在 RFC 792“网际消息协议 (ICMP)”中定义。通过 ICMP，使用 IP 通讯的主机和路由器可以报告错误并交换受限控制和状态信息。

在下列情况中，通常自动发送 ICMP 消息：

IP 数据报无法访问目标。

IP 路由器（网关）无法按当前的传输速率转发数据报。

IP 路由器将发送主机重定向为使用更好的到达目标的路由。

不同类型的 ICMP 消息在 ICMP 标题中标识。由于 ICMP 消息是在 IP 数据报中携带的，因此不可靠。

 

网际分组管理协议 (IGMP)

TCP/IP 网络中 IP 多播的使用是作为 RFC 1112“网际分组管理协议 (IGMP)”中的 TCP/IP 标准定义的。

什么是 IP 多播？

多播 IP 通讯被发送到单个地址，但是由多个主机处理。IP 多播与时事通讯的订阅类似。如果在时事通讯发行时只有订阅人收到，那么只有数据多播组的主机接收并处理发送到组保留 IP 地址的 IP 通讯。在特定 IP 多播地址上监听的主机组叫做多播组。

IP 多播的其他重要方面包括以下内容：

组成员是动态的，允许主机在任何时候加入或离开组。

主机加入多播组的能力是通过发送 IGMP 消息执行的。

组不受大小的限制，成员可以扩展到多个 IP 网络（如果连接路由器支持传播 IP 多播通讯和组成员信息）。

主机可以向组 IP 地址发送 IP 通讯，而不必属于对应的组。

多播寻址

IP 多播地址是在 224.0.0.0 到 239.255.255.255 的 D 类地址范围内保留和分配的。下表是部分已知的 Windows 2000 组件使用的 D 类地址，它们是为 IP 多播保留的并由指定的 Internet 编号机构 (IANA) 注册的。

 

用户数据报协议 (UDP)

用户数据报协议 (UDP) 是 TCP/IP 标准，在 RFC 768“用户数据报协议 (UDP)”中定义。

UDP 提供尽量传递的无连接数据报服务，这意味着 UDP 无法保证任何数据报的传递或验证数据报的顺序。需要可靠通讯的源主机必须使用 TCP 或提供自身顺序和确认服务的程序。

UDP 消息在 IP 数据报中封装和发送

UDP 端口

UDP 端口提供了发送和接收 UDP 消息的位置。UDP 端口作为单独消息队列工作，接收由每个协议端口号所指定的程序想要的所有数据报。这意味着基于 UDP 的程序可以每次接收多个消息。

使用 UDP 的每个程序的服务器端都要对到达已知端口号的消息进行监听。所有小于 1024（和一些更大的数字）的 UDP 服务器端口号都是“指定的 Internet 编号机构 (IANA)”保留和注册的。

每个 UDP 服务器端口用保留的或已知的端口号来标识。下表是标准 UDP 程序使用的已知 UDP 服务器端口号的部分列表。

53 DNS名称查询

69 零碎文件传输协议 (TFTP)

137 NetBIOS 名称服务

138 NetBIOS 数据报服务

161 简单网络管理协议 (SNMP)

520 路由信息协议 (RIP)

　

UDP 和 TCP

通常，UDP 和 TCP 传递数据的差异类似于电话和明信片之间的差异。TCP 就象电话，必须先验证目标是否可以访问后才准备通讯。UDP 就象明信片，信息量很小而且每次传递成功的可能性很高，但是不能完全保证传递成功。

UDP 通常由每次传输少量数据或有实时需要的程序使用。在这些情况下，UDP 的低开销和多播能力（如一个数据报，多个接收者）比 TCP 更适合。

UDP 与 TCP 提供的服务和功能直接对比。下表比较了根据是否使用 UDP 或 TCP 传输数据处理 TCP/IP 通讯的差异。

UDP无连接的服务；在主机之间不建立会话。 TCP面向连接的服务；在主机之间建立建立会话。

UDP 不能确保或承认数据传递或序列化数据。 TCP 通过确认和按顺序传递数据来确保数据的传递。

使用 UDP 的程序负责提供传输数据所需的可靠性。使用 TCP 的程序能确保可靠的数据传输。

UDP 非常快速，具有低开销要求，并支持点对点和一点对多点的通讯。 TCP 比较慢，有更高的开销要求，而且只支持点对点通讯。

　

传输控制协议 (TCP)

传输控制协议 (TCP) 是所需的 TCP/IP 标准，在 RFC 793“传输控制协议 (TCP)”中定义，提供可靠的、面向连接的数据报传递服务。传输控制协议：

确保 IP 数据报的成功传递。

对程序发送的大块数据进行分段和重组。

确保正确排序以及按顺序传递分段的数据。

通过计算校验和，进行传输数据的完整性检查。

根据数据是否接收成功发送正消息。通过有选择的确认，也对没有收到的数据发送负确认。

为必须使用可靠的基于会话的数据传输的程序，如客户/服务器数据库和电子邮件程序，提供首选方法。

 

TCP 工作原理

TCP 基于两个网络主机之间的点对点通讯。TCP 从程序接收数据并将数据处理成字节流。字节分成段，然后 TCP 对段编号和排序以便传递。

在两个 TCP 主机可以交换数据之前，必须先相互建立会话。TCP 会话通过三路握手的过程初始化。这个过程使序号同步，并提供在两个主机之间建立虚拟连接所需的控制信息。

一旦初始的三路握手完成，在发送和接收主机之间按顺序发送和确认段。关闭连接之前 TCP 使用类似的握手过程验证两个主机都完成发送和接收全部数据。

TCP 段在 IP 数据报中封装和发送

　

TCP 端口

TCP 端口使用特定的程序端口来传递使用“传输控制协议 (TCP)”发送的数据。TCP 端口最复杂，与 UDP 端口操作不同。

尽管 UDP 端口对于基于 UDP 的通讯作为单一消息队列和网络端点来操作，但是所有 TCP 通讯的终点都是唯一的连接。每个 TCP 连接由两个端点唯一识别。

由于所有 TCP 连接由两对 IP 地址和 TCP 端口唯一识别（每个所连主机都有一个地址/端口对），因此每个 TCP 服务器端口都能提供对多个连接的共享访问。

使用 TCP 端口的每个程序的服务器端都对到达已知端口号的消息进行监听。所有小于 1024（和一些更高的数）的 TCP 服务器端口号都是指定的 Internet 编号机构 (IANA)保留和注册的。

下表是标准 TCP 程序使用的一些已知的 TCP 服务器端口的部分列表。

TCP 端口号 说明

20 FTP 服务器（数据通道）

21 FTP 服务器（控制通道）

23 Telnet 服务器

53 域名系统区域传送

80 Web 服务器 (HTTP)

139 NetBIOS 会话服务

 

IP 寻址

每个 TCP/IP 主机由逻辑 IP 地址标识。这个地址对每个使用 TCP/IP 通讯的主机来说是唯一的。每个 32 位 IP 地址标识网络上的系统的位置，就象街道地址标识城市街道上的住宅一样。

就象街道地址的标准格式是两部分（街道名和住宅号）一样，每个 IP 地址内部分成两部分，网络 ID 和主机 ID：

网络 ID，也叫做网络地址，标识大规模 TCP/IP 网际网络（由网络组成的网络）内的单个网段。连接到并共享访问同一网络的所有系统在其完整的 IP 地址内都有一个公用的网络 ID。这个 ID 也用于唯一地识别大规模的网际网络内部的每个网络。

主机 ID，也叫做主机地址，识别每个网络内部的 TCP/IP 节点（工作站、服务器、路由器或其他 TCP/IP 设备）。每个设备的主机 ID 唯一地识别所在网络内的单个系统。

下面是一个 32 位 IP 地址的范例：

10000011 01101011 00010000 11001000

要简化 IP 寻址，IP 地址用带句点的十进制符号表示。32 位 IP 地址分成四个八位字节。八位字节数转换成十进制数（基数是 10 的编号系统），并用英文句号分隔。因此，前面的 IP 地址范例转换成带句点的十进制数就是 131.107.16.200。

　

子网掩码

IP 地址内的网络 ID 和主机 ID 用子网掩码区分。每个子网掩码都是一个 32 位数，使用连续的都是 1 的位组标识网络 ID，都是 0 的位组标识 IP 地址的主机 ID。

例如，IP 地址 131.107.16.200 通常使用子网掩码是以下 32 位二进制数：

11111111 11111111 00000000 00000000

该子网掩码是 16 个都是 1 的位，后跟 16 个都是 0 的位，表示 IP 地址的网络 ID 和主机 ID 长度上都是 16 位。通常，该子网掩码显示成带点的十进制符号 255.255.0.0。

 

IP 路由

在通常的术语中，路由就是在所连网络之间转发数据包的过程。对于基于 TCP/IP 的网络，路由是部分网际协议 (IP)，与其他网络协议服务结合使用提供在基于 TCP/IP 的大型网络中单独网段上的主机之间互相转发的能力。

IP 是 TCP/IP 协议的“邮局”，负责对 IP 数据进行分检和传递。每个传入或传出数据包叫做一个 IP 数据报。IP 数据报包含两个 IP 地址：发送主机的源地址和接收主机的目标地址。与硬件地址不同，数据报内部的 IP 地址在 TCP/IP 网络间传递时保持不变。

路由是 IP 的主要功能。通过使用 Internet 层的 IP，IP 数据报在每个主机上进行交换和处理。

在 IP 层的上面，源主机上的传输服务向 IP 层用 TCP 段或 UDP 消息的形式传送源数据。IP 层使用在网络上传递数据的源和目标的地址信息装配 IP 数据报。然后 IP 层将数据报向下传送到网络接口层。在这一层，数据链路服务将 IP 数据报转换成在物理网络的网络特定媒体上传输的帧。这个过程在目标主机上按相反的顺序进行。

每个 IP 数据报都包含源和目标的 IP 地址。每个主机上的 IP 层服务检查每个数据报的目标地址，将这个地址与本地维护的路由表相比较，然后确定下一步的转发操作。IP 路由器连接到能够互相转发数据包的两个或更多 IP 网段上。以下部分进一步详细讨论 IP 路由器及路由表的使用。

 

路由表

TCP/IP 主机使用路由表维护有关其他 IP 网络及 IP 主机的信息。网络和主机用 IP 地址和子网掩码来标识。另外，由于路由表对每个本地主机提供关于如何与远程网络和主机通讯的所需信息，因此路由表是很重要的。

对于 IP 网络上的每台计算机，可以使用与本地计算机通讯的其他每个计算机或网络的项目来维护路由表。通常这是不实际的，因此可改用默认网关（IP 路由器）。

当计算机准备发送 IP 数据报时，它将自己的 IP 地址和接收者的目标 IP 地址插入到 IP 报头。然后计算机检查目标 IP 地址，将它与本地维护的 IP 路由表相比较，根据比较结果执行相应操作。该计算机执行以下三种操作之一：

将数据报向上传到本地主机 IP 之上的协议层。

经过其中一个连接的网络接口转发数据报。

丢弃数据报。

IP 在路由表中搜索与目标 IP 地址最匹配的路由。从最精确的路由到最不精确的路由，按以下顺序排列：

与目标 IP 地址匹配的路由（主机路由）。

与目标 IP 地址的网络 ID 匹配的路由（网络路由）。

默认路由。

如果没有找到匹配的路由，则 IP 丢弃该数据报。

 

跃点数

跃点数表示使用路由的开销，通常是到 IP 目标位置的跃点数目。本地子网上的任何东西都是一个跃点，其后经过的每个路由器是另一个跃点。如果到同一目标有不同跃点数的多个路由，则选择跃点数最低的路由。

 

名称解析

由于 IP 设计成处理源和目标主机的 32 位 IP 地址，因此计算机可以被那些不擅于使用和记住要通讯的计算机的 IP 地址的人使用。人们更擅于使用和记住名称，而不是 IP 地址。

如果名称被用作 IP 地址的别名，则您需要确保名称是唯一的，而且能解析成正确的 IP 地址。

 

主机名解析

主机名解析意味着成功地将主机名映射为 IP 地址。主机名是分配给 IP 节点标识 TCP/IP 主机的别名。主机名最多可以有 255 个字符，可以包含字母和数字符号、连字符和句点。可以对同一主机分配多个主机名。

Windows 套接字 (Winsock) 程序，如 Internet Explorer 和 FTP 实用程序，可以使用待连接目标的两个值中的一个：IP 地址或主机名。指定 IP 地址时，不需要名称解析。指定主机名时，在开始与所需资源进行基于 IP 的通讯之前主机名必须解析成 IP 地址。

主机名可以采用不同的形式。两种最通用的形式是昵称和域名。昵称是个人指派并使用的 IP 地址的别名。域名是在称为“域名系统 (DNS)”的分层结构名称空间中的结构化名称。www.microsoft.com/ 就是域名的一个典型范例。

域名是通过向所配置的 DNS 服务器发送 DNS 名称查询而解析的。DNS 服务器是存储域名或 IP 地址映射记录或知道其他 DNS 服务器的计算机。DNS 服务器把要查询的域名解析成 IP 地址，然后再发送回去。

需要对运行 Windows 2000 的计算机配置 DNS 服务器的 IP 地址，以便解析域名。必须对基于 Active Directory 运行 Windows 2000 的计算机配置 DNS 服务器的 IP 地址。

 

NetBIOS 名称解析

NetBIOS 名称解析意味着成功地将 NetBIOS 名称映射成 IP 地址。NetBIOS 名称是用于标识网络上的 NetBIOS 资源的 16 字节地址。NetBIOS 名称要么是唯一的（独占），要么是组（非独占）名称。当 NetBIOS 进程与特定计算机上的特定进程通讯时，会使用唯一名称。当 NetBIOS 进程与多台计算机上的多个进程通讯时，会使用组名称。

一个使用 NetBIOS 名称的进程范例就是运行 Windows 2000 的计算机上的“Microsoft 网络的文件和打印机共享”服务。启动计算机时，该服务器根据计算机名注册唯一的 NetBIOS 名称。服务使用的准确名称是 15 个字符的计算机名加上第 16 个字符 0x20。如果计算机名不是 15 个字符长，则插入空格一直到长度为 15 个字符为止。

当您尝试与运行 Windows 2000 的计算机通过名称建立共享文件连接时，在指定的文件服务器上的“Microsoft 网络的文件和打印机共享”服务对应于特定的 NetBIOS 名称。例如，当您尝试连接称为 CORPSERVER 的计算机时，与那台计算机上的“Microsoft 网络的文件和打印机共享”服务相应的 NetBIOS 名称是：

CORPSERVER   [20]

注意用空格填充计算机名。建立文件和打印共享连接之前，必须先创建 TCP 连接。要建立 TCP 连接，NetBIOS 名称 "CORSERVER [20]" 必须解析成 IP 地址。

NetBIOS 名称解析成 IP 地址的确切机制根据为 NetBIOS 节点配置的节点类型而定。RFC 1001，“TCP/UDP 传输上的 NetBIOS 服务的协议标准：概念和方法”定义了 NetBIOS 的节点类型，如下表所列。

 

WINS 服务器

WINS 服务器可以存储并将 NetBIOS 名称解析成 IP 地址。当 TCP/IP 主机配置 WINS 服务器的 IP 地址时，TCP/IP 主机在 WINS 服务器上注册其 NetBIOS 名称，然后向用于解析的 WINS 服务器发送 NetBIOS 名称查询。网络中有多个网段或者计算机不是基于 Active Directory（例如，计算机运行 Windows NT 4.0、Windows 95 和 Windows 98）时，强力推荐使用 WINS 服务器。

不需要为由一个网段组成的网络配置 WINS 服务器。

 

动态配置

通过使用 DHCP，启动计算机时将自动并动态执行 TCP/IP 配置。动态配置要求配置 DHCP 服务器。默认情况下，运行 Windows 2000 的计算机是 DHCP 客户机。通过正确配置 DHCP 服务器，TCP/IP 主机可以获得 IP 地址、子网掩码、默认网关、DNS 服务器、NetBIOS 节点类型以及 WINS 服务器的配置信息。对于中型到大型 TCP/IP 网络，推荐使用动态配置（使用 DHCP）。

 

使用网关的原因

默认网关对于有效地运行 IP 路由非常重要。在多数情况下，充当 TCP/IP 主机的默认网关的路由器（指定的路由器或者连接两个或更多网段的计算机）包含大型网络中其他网络的信息以及如何访问的信息。

TCP/IP 主机依赖默认网关来满足大多数与远程网段上的主机通讯的需要。这样，单独主机就免去了需要维护单独远程 IP 网段的广泛而持续的信息更新的负担。只有充当默认网关的路由器才需要维护访问大型互联网络中的远程网段这个级别上的路由信息。

如果默认网关出现故障，则本地网段之外的通讯可能会减弱。为了防止发生这种情况，您可以对每个连接都使用“高级 TCP/IP 设置”对话框（在“网络和拨号连接”中）来指定多个默认网关。也可以使用 route 命令手动向路由表添加经常使用的主机或网络的路由。