服務(wù)器常見故障的診斷與解決(2)

字號:

接下來執(zhí)行ipconfig/all,注意到工作站上DNS服務(wù)器指向了ISP的DNS服務(wù)器。Win2K將DNS作為其基本的名稱解析機制,但現(xiàn)在工作站卻用ISP的DNS服務(wù)器來解析本地網(wǎng)絡(luò)的Win2K服務(wù)器名稱。當(dāng)工作站向ISP的DNS服務(wù)器查詢Win2K服務(wù)器名稱時,只能得到超時錯誤,導(dǎo)致Win2K服務(wù)器從網(wǎng)絡(luò)上隱身了。要解決該故障,必須把主DNS服務(wù)器指向內(nèi)部的Win2K DNS服務(wù)器,讓內(nèi)網(wǎng)的工作站向Win2K DNS服務(wù)器查詢本地服務(wù)器名稱。
    首先證實Win2K服務(wù)器上確實已經(jīng)安裝了DNS服務(wù),且DNS服務(wù)在正常運行,然后修改Win2K DNS服務(wù)器IP地址指向它自己。接下來利用DNS管理器,驗證DNS服務(wù)器位于根位置,且已經(jīng)啟用轉(zhuǎn)發(fā)。啟用轉(zhuǎn)發(fā)之后,就可以解析非本地的任何IP地址了。不要忘記將ISP的DNS服務(wù)器輸入轉(zhuǎn)發(fā)欄。最后配置一下服務(wù)器上的DHCP,將DNS服務(wù)器從ISP的改成Win2K服務(wù)器,刷新工作站上的IP地址。現(xiàn)在網(wǎng)絡(luò)已經(jīng)能夠穩(wěn)定地運行了。有關(guān)在這類環(huán)境下配置DNS的信息,請參見微軟的文章“HOW TO:配置 DNS 以訪問 Internet”(http://support.microsoft.com/?kbid=300202)。
    五、LAN連接到多個WAN
    不久前在A市安裝了一個LAN,它有兩個WAN連接,其中一個連接通向私有的幀中繼網(wǎng)絡(luò),另一個連接通向Internet,這是為了防止出現(xiàn)故障和提高性能(圖二顯示了網(wǎng)絡(luò)結(jié)構(gòu))。現(xiàn)在出現(xiàn)的故障是:A市的用戶有時不能順利訪問B市的服務(wù)器。
    要解決該故障,首先要搞清楚下面兩個問題:
    →故障何時出現(xiàn)?
    →默認(rèn)網(wǎng)關(guān)是什么?
    故障出現(xiàn)是間歇性的。在A市的DHCP配置中,默認(rèn)網(wǎng)關(guān)是192.168.1.11(即防火墻)。由于A市LAN里面的所有機器都會出現(xiàn)同樣的故障現(xiàn)象,所以問題很可能出在A市網(wǎng)絡(luò)上的全局性路由配置上。
    在防火墻上有一條靜態(tài)路由,從192.168.2.0(掩碼255.255.255.0)到192.168.1.10,用Route Print可以驗證這一規(guī)則。A市服務(wù)器有時可以Ping到B市的服務(wù)器,但有時不能。運行Tracert,結(jié)果如圖三所示,它顯示出了數(shù)據(jù)包應(yīng)當(dāng)通過的路徑。但有的時候,運行Tracert卻顯示出數(shù)據(jù)包在第一個躍點(192.168.1.11)之后遇到超時錯誤。根據(jù)這一現(xiàn)象,可以推測防火墻沒有可靠地將數(shù)據(jù)包轉(zhuǎn)發(fā)到控制192.168.2.0通信的Cisco路由器。
    查閱防火墻的日志,可以看到數(shù)據(jù)包有時被禁止轉(zhuǎn)發(fā)到192.168.1.10,雖然存在這樣一條轉(zhuǎn)發(fā)規(guī)則也無濟于事。防火墻的種類很多,但大多數(shù)防火墻廠商都反對將防火墻當(dāng)作路由器,如果防火墻被攻擊者劫持,有關(guān)WAN連接的大量信息就會泄露。
    因此現(xiàn)在要重新配置網(wǎng)絡(luò),使用默認(rèn)的網(wǎng)關(guān)192.168.1.10(即路由器),執(zhí)行命令I(lǐng)p route 0.0.0.0 0.0.0.0 192.168.1.11在路由器上建立一個默認(rèn)的路由。用戶訪問Internet時先通過路由器,再穿越防火墻。
    如果A市的路由器(192.168.1.10)出現(xiàn)故障,會對Internet訪問產(chǎn)生哪些影響?如果幀中繼網(wǎng)絡(luò)失效,但Internet連接仍正常,情況又如何?一旦A市的路由器故障,Internet連接也會丟失,這是因為默認(rèn)的網(wǎng)關(guān)指向了該路由器,該路由器故障導(dǎo)致數(shù)據(jù)包不能轉(zhuǎn)發(fā)到防火墻。在A市,將DHCP默認(rèn)網(wǎng)關(guān)配置成防火墻可以恢復(fù)Internet連接,當(dāng)然,在恢復(fù)A市路由器之前,其他地區(qū)的私有WAN和Internet訪問仍舊無效。