基于域模式實(shí)驗(yàn)室實(shí)踐教學(xué)網(wǎng)絡(luò)環(huán)境的構(gòu)建

鮑宗亮，楊曉艷

（浙江科技學(xué)院 信息與電子工程學(xué)院，杭州310023）

在當(dāng)今信息技術(shù)時(shí)代，計(jì)算機(jī)教育普及，高校機(jī)房類實(shí)驗(yàn)室所承擔(dān)的實(shí)踐教學(xué)任務(wù)、培訓(xùn)工作等日益增加，各專業(yè)實(shí)踐教學(xué)的類別與要求又不盡相同，而且此類實(shí)驗(yàn)室還需滿足學(xué)生上網(wǎng)瀏覽、資料查詢、學(xué)科競(jìng)賽等多種要求。種種原因急劇加大了實(shí)驗(yàn)室的運(yùn)行負(fù)荷和管理難度。因此，科學(xué)有效地管理好實(shí)驗(yàn)室，合理利用系統(tǒng)資源，確保正常的教學(xué)秩序，提供正常穩(wěn)定的使用環(huán)境，成為實(shí)驗(yàn)室管理必須要解決的問題。

1 域模式管理的提出

傳統(tǒng)高校機(jī)房實(shí)驗(yàn)室的管理模式，大都是以人為管理配合還原卡模式來完成的。這種模式主要問題在于使用還原卡后會(huì)帶來諸多弊端。譬如：1）影響計(jì)算機(jī)性能，特別是硬盤的性能。2）影響操作系統(tǒng)安裝補(bǔ)丁。每次重啟還原后，更新的補(bǔ)丁必須重新下載安裝，容易產(chǎn)生系統(tǒng)安全漏洞，而且重復(fù)地下載安裝也占用了帶寬和增加了CPU的負(fù)擔(dān)。3）影響學(xué)生自主實(shí)驗(yàn)。實(shí)踐教學(xué)中一些綜合性、自主設(shè)計(jì)、創(chuàng)新性的實(shí)驗(yàn)，要求學(xué)生自主安裝軟件、自行下載配置插件等［1］。

隨著科技的發(fā)展，機(jī)房實(shí)驗(yàn)室管理方法也越來越多，傳統(tǒng)的管理方式漸漸地淡出人們的視線。而在Windows Server上集成的活動(dòng)目錄（Active Directory）服務(wù)慢慢成為了網(wǎng)絡(luò)管理員研究的方向?；顒?dòng)目錄是一個(gè)安全域的概念，在這個(gè)域里可以使用系統(tǒng)提供的各種工具對(duì)賬號(hào)、共享資源、硬件資源等，進(jìn)行集中化、統(tǒng)一化的管理［2］。另外，目錄服務(wù)器在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問。因此，這樣域模式的管理方案不僅解放了人力，減輕了硬件的負(fù)擔(dān)，而且使資源更容易進(jìn)行集中的統(tǒng)一管理，能夠更好地滿足多種實(shí)踐教學(xué)的需求［3］。

2 域模式的管理原理及特色

域既是Windows網(wǎng)絡(luò)操作系統(tǒng)的邏輯組織單元，也是Internet的邏輯組織單元，在Windows網(wǎng)絡(luò)操作系統(tǒng)中，域是安全邊界。每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。當(dāng)一個(gè)域與其他域建立了信任關(guān)系后，兩個(gè)域之間不但可以按需要相互進(jìn)行管理，還可以跨網(wǎng)分配文件和利用打印機(jī)等設(shè)備資源，使不同的域之間實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享與管理。

在“域”模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的計(jì)算機(jī)和用戶的驗(yàn)證工作，稱為“域控制器（domain controller，DC）”。域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)計(jì)算機(jī)聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)計(jì)算機(jī)是否是屬于這個(gè)域的。如果不是，域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)計(jì)算機(jī)登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶的方式訪問Windows共享的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。一臺(tái)計(jì)算機(jī)加入到域，還必須要由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的功能權(quán)限設(shè)置，這樣才能實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境的安全文件、文件的共享、用戶的集中統(tǒng)一管理［4］。

采用域模式管理代替?zhèn)鹘y(tǒng)的還原卡管理方式，對(duì)現(xiàn)有實(shí)驗(yàn)室硬件和軟件環(huán)境進(jìn)行改造，可以形成一個(gè)完善的實(shí)驗(yàn)室實(shí)踐教學(xué)綜合管理模式。在基于域模式的基礎(chǔ)上，實(shí)驗(yàn)室提供了較為完整的各類網(wǎng)絡(luò)服務(wù)，既可以很好滿足學(xué)生的綜合實(shí)踐教學(xué)，又能夠科學(xué)有效地管理好實(shí)驗(yàn)室，合理利用系統(tǒng)資源，提供正常穩(wěn)定的使用環(huán)境，從而提高了實(shí)驗(yàn)室績(jī)效。而且這樣的實(shí)踐教學(xué)環(huán)境更接近企業(yè)的實(shí)際工作環(huán)境，為培養(yǎng)應(yīng)用型人才提供了良好的條件建設(shè)。

3 域模式管理實(shí)踐構(gòu)建

3.1 實(shí)驗(yàn)室網(wǎng)絡(luò)規(guī)劃

本研究的對(duì)象以浙江科技學(xué)院數(shù)字媒體技術(shù)建制實(shí)驗(yàn)室為例，該實(shí)驗(yàn)室現(xiàn)有機(jī)架式服務(wù)器一組共6臺(tái)，塔式服務(wù)器1臺(tái)，300Mb／s帶寬的無線路由器1臺(tái)，學(xué)生計(jì)算機(jī)90臺(tái)，均未安裝保護(hù)卡。首先對(duì)現(xiàn)有服務(wù)器進(jìn)行規(guī)劃：1臺(tái)安裝ISA（internet security and acceleration）防火墻，提供NAT（network address translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）代理上網(wǎng)及實(shí)驗(yàn)室上網(wǎng)行為管理功能；2臺(tái)作為域控制器集群，處理域內(nèi)成員登錄注銷等事件及域內(nèi)組策略管理；實(shí)驗(yàn)服務(wù)器1臺(tái)，提供新服務(wù)部署前的測(cè)試功能及日常教學(xué)實(shí)驗(yàn)；搜索服務(wù)器1臺(tái)，基于Windows Search提供校內(nèi)網(wǎng)資源的搜索服務(wù)；歸檔服務(wù)器1臺(tái)，基于Windows Server 2003的軟件RAID 1磁盤陣列，提供重要資料的歸檔備份功能；流媒體及文件服務(wù)器1臺(tái)，作為資源共享平臺(tái)，提供校內(nèi)流媒體及FTP資源。另外，通過無線路由器為臨時(shí)用戶提供WLAN接入。方案拓?fù)鋱D如圖1所示。

同時(shí)，對(duì)現(xiàn)有的實(shí)驗(yàn)硬件環(huán)境進(jìn)行了改造，將這些異構(gòu)系統(tǒng)互聯(lián)起來。這樣，在最基本的條件下可以滿足學(xué)生各種上機(jī)實(shí)驗(yàn)。

3.2 域服務(wù)的部署

首先，要進(jìn)行域服務(wù)角色的配置，域服務(wù)作為Windows Server 2008內(nèi)置的一項(xiàng)基本服務(wù)，默認(rèn)并未安裝，需管理員手動(dòng)配置。在系統(tǒng)服務(wù)器管理器的角色中進(jìn)行添加，在添加過程中要注意選中“Active Directory域服務(wù)”復(fù)選框，并取好域名名稱。由于實(shí)驗(yàn)室網(wǎng)絡(luò)規(guī)模較小，一般使用Active Directory集成區(qū)域DNS服務(wù)器，DNS數(shù)據(jù)庫(kù)中的內(nèi)容將保持在Active Directory數(shù)據(jù)庫(kù)中。故在安裝過程中，同時(shí)安裝DNS服務(wù)。接著，要將實(shí)驗(yàn)室所有的客戶機(jī)加入到新建的域中。對(duì)于局域網(wǎng)內(nèi)的計(jì)算機(jī)，按規(guī)則進(jìn)行命名，并在計(jì)算機(jī)屬性的“隸屬于”下方選擇“域”，填入新建的域名加入域，于是就可以使用任何一個(gè)域賬號(hào)登錄這臺(tái)計(jì)算機(jī)［5］。

在網(wǎng)絡(luò)安全的前提下，實(shí)驗(yàn)室還可以向?qū)W生全面開放，提供虛擬服務(wù)器、虛擬主機(jī)，以及網(wǎng)絡(luò)服務(wù)、主機(jī)服務(wù)，這樣學(xué)生可以充分使用整個(gè)網(wǎng)絡(luò)資源，自主開發(fā)各種網(wǎng)絡(luò)應(yīng)用，提高自我管理和創(chuàng)新能力。

3.3 構(gòu)建網(wǎng)絡(luò)基本服務(wù)

為了提供更好的實(shí)踐教學(xué)環(huán)境，筆者進(jìn)一步在服務(wù)器端構(gòu)建了Web網(wǎng)站服務(wù)、FTP服務(wù)、郵件服務(wù)、遠(yuǎn)程登錄服務(wù)、DNS服務(wù)、流媒體服務(wù)等。這樣，既能滿足學(xué)生開展與因特網(wǎng)基本應(yīng)用相關(guān)的實(shí)驗(yàn)，又能為域模式管理構(gòu)建好良好的網(wǎng)絡(luò)服務(wù)環(huán)境。

在FTP服務(wù)的構(gòu)建上，通過Serv-U軟件的安裝配置，使得同一網(wǎng)絡(luò)內(nèi)的用戶能夠使用FTP協(xié)議進(jìn)行文件或目錄的復(fù)制、移動(dòng)、創(chuàng)建和刪除等。部署局域網(wǎng)內(nèi)部FTP服務(wù)器，有助于內(nèi)部資料共享，便于教師進(jìn)行課件分發(fā)，學(xué)生進(jìn)行作業(yè)上傳等。Serv-U配置過程也強(qiáng)調(diào)一個(gè)域的概念，一個(gè)Serv-U服務(wù)器可以管理幾個(gè)不同的域。同時(shí)Serv-U支持跟Windows域驗(yàn)證用戶進(jìn)行整合，即用戶可以通過自己的域賬號(hào)直接作為FTP賬號(hào)進(jìn)行登錄。在建立賬號(hào)時(shí)，筆者特別注意細(xì)化用戶在不同目錄的讀寫權(quán)限。如在教師課程目錄下，只具有下載權(quán)限；在學(xué)生作業(yè)上交目錄下，只具有上傳權(quán)限；在temp目錄下，只具有讀寫權(quán)限等［6］。

3.4 構(gòu)建網(wǎng)絡(luò)安全服務(wù)

通過在域服務(wù)器上構(gòu)建ISA防火墻、網(wǎng)絡(luò)代理、VPN服務(wù)，主機(jī)構(gòu)建本地防火墻，允許對(duì)防火墻各種策略進(jìn)行配置，既可以保證域環(huán)境的安全性，為實(shí)驗(yàn)提供一個(gè)良好的學(xué)習(xí)環(huán)境，又可以滿足學(xué)生開展與網(wǎng)絡(luò)安全相關(guān)的實(shí)驗(yàn)。

安裝ISA防火墻主要是為了維護(hù)實(shí)驗(yàn)室網(wǎng)絡(luò)的安全性，而且還能有效地制訂和控制網(wǎng)絡(luò)訪問的規(guī)則。由于校園實(shí)驗(yàn)室的特殊性，要定義相關(guān)的配置規(guī)則：

1）定義“學(xué)生機(jī)上網(wǎng)策略”。將HTTP、HTTPS、FTP協(xié)議定義為允許。然后選擇配置HTTP的“擴(kuò)展名”選項(xiàng)卡，對(duì)網(wǎng)頁(yè)內(nèi)容進(jìn)行過濾，可以有效管理學(xué)生上課時(shí)間觀看視頻，下載等行為，節(jié)省了網(wǎng)絡(luò)流量。

2）定義相關(guān)的策略，用來允許學(xué)生收發(fā)電子郵件。

3）通過打開RDP（remote desktop protocol）協(xié)議（遠(yuǎn)程桌面協(xié)議），允許遠(yuǎn)程桌面連接，用來方便后期的學(xué)習(xí)和指導(dǎo)工作。

4）配置內(nèi)部網(wǎng)絡(luò)，在“直接訪問這些服務(wù)器或域”中添加局域網(wǎng)IP，可以訪問局域網(wǎng)內(nèi)部發(fā)布的網(wǎng)站。

3.5 多媒體服務(wù)構(gòu)建

目前的時(shí)代已經(jīng)進(jìn)入了一個(gè)富媒體發(fā)展階段，因此，筆者特意在基于域的服務(wù)器上構(gòu)建流媒體服務(wù)、遠(yuǎn)程桌面、SIP服務(wù)等，以滿足學(xué)生開展與多媒體通信相關(guān)的實(shí)驗(yàn)。首先使用Windows Media Server構(gòu)建了一個(gè)流媒體服務(wù)器，流媒體服務(wù)器是整個(gè)系統(tǒng)的核心，只有在流媒體服務(wù)器的支持下才能完成其他子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，而且根據(jù)流媒體應(yīng)用的特性，還可以構(gòu)建一個(gè)基于校園網(wǎng)絡(luò)的點(diǎn)播子系統(tǒng)的相關(guān)服務(wù)。

4 基于域模式應(yīng)用的擴(kuò)展

2個(gè)實(shí)驗(yàn)室90臺(tái)PC機(jī)在同一個(gè)域配置的環(huán)境下運(yùn)行，域用戶的桌面信息是上傳至服務(wù)器的，所以如何解決計(jì)算機(jī)開機(jī)速度和控制桌面大小成了至關(guān)重要的問題。在使用過程中發(fā)現(xiàn)，計(jì)算機(jī)啟動(dòng)時(shí)加載項(xiàng)目太多會(huì)引起啟動(dòng)速度太慢，解決方法是先用本地用戶登錄，在運(yùn)行中輸入MSCONFIG，點(diǎn)擊啟動(dòng)，將不需要加載的啟動(dòng)項(xiàng)目去掉即可。

針對(duì)控制用戶桌面的問題，筆者為用戶在本地硬盤和FTP上都配置了相應(yīng)的個(gè)人空間，讓其有足夠的空間存放文件資料。如果用戶桌面放置文件過多，每次開機(jī)都得從服務(wù)器上讀取桌面信息，就會(huì)嚴(yán)重地影響開機(jī)速度。為此，筆者開發(fā)了一款應(yīng)用于域的桌面清理軟件，設(shè)定好保留的服務(wù)軟件及其他常用快捷鍵，其余的桌面文件將在每次啟動(dòng)時(shí)自動(dòng)清理。這樣，既能保證用戶在任何一臺(tái)機(jī)器登錄后都能看到自己設(shè)定的桌面信息，而且又保證了計(jì)算機(jī)的開機(jī)速度。通過使用總結(jié)，計(jì)算機(jī)平均開機(jī)速度為1min左右。

同時(shí)，在教師機(jī)端安裝了客戶端黑屏軟件，通過搜集登錄到域用戶的IP等信息，實(shí)現(xiàn)控制全部或個(gè)別計(jì)算機(jī)屏幕的開和關(guān)。通過靈活控制，改善了教學(xué)環(huán)境，有效地提高了教師在實(shí)驗(yàn)室授課期間學(xué)生聽課的教學(xué)效果。

5 結(jié) 語(yǔ)

以浙江科技學(xué)院數(shù)字媒體技術(shù)實(shí)驗(yàn)室為對(duì)象，構(gòu)建了一個(gè)基于域模式的實(shí)驗(yàn)實(shí)踐教學(xué)環(huán)境，在整個(gè)設(shè)計(jì)及構(gòu)建過程中，對(duì)網(wǎng)絡(luò)資源和用戶信息最大程度地實(shí)現(xiàn)了智能化、自動(dòng)化管理，提高了實(shí)驗(yàn)室設(shè)備的使用效率，簡(jiǎn)化了實(shí)驗(yàn)室網(wǎng)絡(luò)操作系統(tǒng)的管理，增加了整個(gè)實(shí)驗(yàn)室的運(yùn)行績(jī)效。經(jīng)過一段時(shí)間的使用，實(shí)驗(yàn)室的系統(tǒng)均能保持正常運(yùn)行。實(shí)驗(yàn)室域管理模式不僅能對(duì)系統(tǒng)的資源進(jìn)行有效而統(tǒng)一的管理，而且還規(guī)范了學(xué)生上機(jī)的操作內(nèi)容，學(xué)生還能夠利用該實(shí)驗(yàn)環(huán)境自主地使用網(wǎng)絡(luò)資源完成各類相關(guān)實(shí)踐教學(xué)環(huán)節(jié)和開發(fā)各種網(wǎng)絡(luò)應(yīng)用程序。本研究基于域模式實(shí)驗(yàn)室實(shí)踐教學(xué)網(wǎng)絡(luò)環(huán)境構(gòu)建方式，在高校機(jī)房管理中也具有良好的推廣價(jià)值。

［1］ 張怡.還原卡存在的問題及對(duì)策［J］.中國(guó)現(xiàn)代教育裝備，2007，1（12）：12-13.

［2］ 劉文杰，林樂春，李鳳岐，等.VLAN技術(shù)在校園網(wǎng)實(shí)驗(yàn)中的應(yīng)用［J］.實(shí)驗(yàn)技術(shù)與管理，2009，26（3）：85-87，90.

［3］ 楊上影.Windows 2003活動(dòng)目錄實(shí)現(xiàn)校園網(wǎng)信息化管理［J］.廣西師范學(xué)院學(xué)報(bào)：自然科學(xué)版，2005，22（1）：82-85.

［4］ 儲(chǔ)德軍，石尉.計(jì)算機(jī)實(shí)驗(yàn)室系統(tǒng)維護(hù)方法比較［J］.實(shí)驗(yàn)科學(xué)與技術(shù)，2005，9（3）：104-106.

［5］ 韓立剛，韓利輝，李文斌.貫徹 Windows Server 2008網(wǎng)絡(luò)基礎(chǔ)架構(gòu)［M］.北京：清華大學(xué)出版社，2010.

［6］ 張燕.高校機(jī)房管理與維護(hù)的技術(shù)措施［J］.東南大學(xué)學(xué)報(bào)：哲學(xué)社會(huì)科學(xué)版，2008，10（S0）：275-276.