Proxy Server代理服務器（轉載）

 

寬帶IP城域網開通以來，單位連上了寬帶網，10M的帶寬讓我們感受到了寬帶的魅力。電信只提供7個IP地址，對任何一個單位來說都太少了，常用的解決辦法是使用代理服務器。微軟的MS Proxy Server 2.0是一個優秀的代理服務器軟件，是為企業級用戶訪問Internet提供的代理服務解決方案，它同時還是一個內容緩存服務器和網絡防火牆。MS Proxy Server支持幾乎所有的網絡協議，完全能夠勝任寬帶的應用。MS Proxy Server有Web（Web Proxy）、WinSock（WinSock Proxy）和Socks（Socks Proxy）三個部分的代理服務功能，其中Web Proxy支持HTTP、FTP等服務，WinSock Proxy支持Telnet、電子郵件、RealAudio、IRC、ICQ等服務，Socks Proxy負責中轉使用Socks代理服務的程序與外界服務器間的信息交換。MS Proxy Server在運行Windows 2000/NT的服務器上安裝后，下面的各工作站就可以使用Web Proxy提供的服務，可以上網瀏覽、使用FTP等。如果要使用WinSock Proxy和Socks Proxy提供的服務，則必須要在客戶端安裝配置程序，並且要在服務器端進行設置。
　　 （一）Microsoft Proxy Server 2.0 服務器端的安裝?
　　 在Win2000/NT Server環境下的安裝之前，必須要安裝好Internet Information Services
（IIS4.0/5.0），Windows NT Server 4.0則要安裝 Service Pack 6.0 。
　　 1、在已經安裝了 Internet Information Server (IIS) 4.0/5.0 和 MS Site Server 3.0 的計算機上安裝 Proxy Server 2.0 時，必須在安裝 Proxy 2.0 之前先必須手動停止以下服務：?
　　 Site Server Authentication Service?
　　 Site Server LDAP Service?
　　 Site Server Message Builder Service?
　　 Microsoft SMTP Service?
　　 FTP Publishing Service?
　　 World Wide Web Publishing Service?
　　 IIS Administrator Service?
　　 還可以從命令提示符鍵入如下命令：?
　　 net stop "IIS Admin Service" /y?
　　 這將停止 IIS Administrator Service 以及所有相關的服務。2、MS Proxy Server 2.0 需要的 Windows 2000/NT 文件系統 (NTFS) 權限。如果使用的是FAT文件系統，則要將FAT轉化為NTFS，在Command Prompt窗口里的命令行上鍵入convert C:/FS:NTFS。在 Internet Information Server 計算機上運行 Proxy Server 2.0 時，必須具有某些 Windows 2000/NT 文件系統 (NTFS) 的訪問權限。?
下面列出了正確的 NTFS 權限：?
　　 \Program Files\Common Files （包括所有子目錄）: 讀權限 (RX)
　　 \temp （包括所有子目錄）: 更改權限 (RWXD)
　　 \winnt: 讀權限 (RX)
　　 \winnt\system32: 讀權限 (RX)
　　 \winnt\system32\inetsrv: 讀權限 (RX)
　　 \inetpub\scripts: 讀權限 (RX)
　　 \inetpub\scripts\proxy: 讀權限 (RX)
　　 \urlcache : 更改權限 (RXDW)
　　 確保 NTS 權限所列出的 Administrators 組和 System 帳戶對所有這些文件夾具有“完全控制”權限。另外，還要將 Everyone 組添加到這些權限中。如果使用的是“訪問控制”，並且要最大程度提高安全性，請將具有上面列出的可用 NTFS 權限的用戶/組添加到每個文件夾上。例如，如果有一個叫“JSProxy”的組，那么，請將在上面NTFS 權限應用到具有為每個文件夾所列出的 NTFS 權限的每個文件夾。 Microsoft Web Proxy 通過 Microsoft Internet Information Server (IIS) 在 Proxy 日志中交互地記錄並放置 Proxy 用戶，所以如果只使用匿名帳戶 (IUSR_ computer_name),那么必須將此帳戶的 NTFS 權限應用到以上所有文件夾。
　　 3、在微軟的網站上下載MS Proxy Server 2.0 的補丁程序：Proxy Server 2.0 SP1 ，Proxy Server 2.0 Security Patch for Unchecked Buffer in Gopher Protocol Handler等程序。在服務器端安裝好Proxy Server 2.0后，在打補丁程序。
　　 4、Microsoft Proxy Server本地地址表(LAT)?
　　 在Microsoft Proxy Server安裝期間，Setup程序幫助你創建一份組成你的內部網絡的IP地址表。你所提供的信息是被用來創建一份叫做Local Address Table (LAT)的表的，它規定了你的內部網絡。對你的內部網來說是外部的那些IP地址都特別地被排除出這份表。
Setup程序在服務器上安裝LAT包含LAT的文檔的名字是Msplat.txt，它在服務器上的缺省位置是C:\Msp\Clients（如果你把 Microsoft Proxy Server安裝在服務器上的不同位置上，那么Msplat.txt文檔會相應地重新定位）。Microsoft Proxy Server Setup程序也在這個目錄里安裝一個客戶機的Setup程序。
　　 Microsoft Proxy Server Setup程序在服務器上設置\Clients子目錄作為網絡共享，名字為Mspclnt。客戶機只要連到\\Servername\Mspclnt,然后運行客戶機Setup程序，就可以與這個共享相連。客戶機Setup程序把客戶機計算機設置成WinSock Proxy service的一個客戶機，並且還試圖把客戶機計算機的Internet瀏覽器設置成Web Proxy service的一個客戶機。(客戶機Setup所作的確切的客戶機設置取決於在Microsoft Proxy Server Setup期間你所作的設置選擇。)?
在客戶機Setup期間，LAT文檔(Msplat.txt)被拷貝到了客戶機。為了保持客戶機的LAT文檔是當前的，定期經常地從服務器里更新 Msplat.txt文檔。每當客戶機上的一種Windows Sockets應用程序試圖與一個IP地址建立連接時，LAT就用來確定一個IP地址是在內部網上的還是外部的。如果這個地址是內部的，那么就直接連接。如果地址是外部的，那么就要通過Microsoft Proxy Server上的WinSock Proxy服務來作遠程連接。
因為單位在一棟大廈里有1—10層辦公，通過局域網一台代理服務器上網，大概有500—600台機器上Internet網,所以添加LAT 的IP地址為192.168.1.1—192.168.1.255，192.168.2.1—192.168.2.255，192.168.3.1— 192.168.3.255，子網掩碼為255.255.0.0，為各處室部門規划IP地址，根據IP地址划分網段，建立虛擬VPN網絡。
　　 5、在[Installation Options]設定安裝選項 ,選擇Proxy Server 默認的安裝組件；在[Cache Size for Selected Drive]中的C:的Maximum Size 為1000MB；在[Client Installation/Configuration]中Computer name 輸入：Jsproxy，選中Automatically configure Web browser during client setup 選項，Proxy:Jsproxy，Port：80；在[Access Control]中選擇Enable Access Control for the Winsock Proxy Service 和 Enable Access Control for the Web Proxy Service 兩個選項。
　　 6、在安裝過程中Proxy Server2.0 會提醒它具有Packet Filtering（封包過濾）的功能，該功能可通過管理工具設定。在安裝好Microsoft Proxy Server2.0 之后，我們可以啟動Internet 服務管理器，可以看到多了3個站點，它們分別是Socks Proxy、Web Proxy 和 WinSock Proxy ，要想進一步了解這些功能，則可點選[開始]→[程序] →[Microsoft Proxy Server] →[Microsoft Proxy Documentation]選項，就可以看到Proxy Server2.0使用的幫助目錄。
(二）Web Proxy 2.0 的管理與設定?
　　 1、用戶身份驗證
　　 Microsoft Proxy Server 身份驗證與IIS 的WWW 服務身份認證有着相同的方法。要設定Proxy Server 的身份驗證，在Internet 服務管理器中展開[默認的WEB 站點] →展開[SCRIPTS] →點選[Proxy]項鼠標彈出式菜單的[屬性]選項，點選該選項后會出現該虛擬目錄的內容，點選[目錄安全性]頁簽→按[匿名訪問及驗證控制]項的[編輯]按鈕。
　　 Proxy Server會在“默認的Web 站點”中添加一虛擬目錄，通過控制該虛擬目錄的安全設定就可以控制客戶端的連接行為，包括“IP 地址與域名限制”的設定。
　　 2、Web Proxy 的使用權控制
　　 在Internet 服務管理器中點選[Proxy Server] 鼠標右鍵彈出式菜單的[屬性]選項→點選[Permissions] 頁簽。在Web Proxy 中我們可以使用FTP、Gopher、WWW 和 Secure 四種通訊協議來訪問網絡資源，如果將[Enable access control]選項勾選去掉，則不開放任何人通過Web Proxy 訪問網絡資源；雖然勾選了[Enable access control] 選項，則必須添加上面四種通訊協議中某種協議的客戶端具有訪問權限的帳號。
　　 3、客戶端連接設定
　　 在客戶端通過Proxy Server 的連接上Internet， 在瀏覽器（以IE5.0為例）中點選[工具] →[Internet 選項] →點選[連接] 頁簽，按上[局域網設置]按鈕，設定代理服務器，勾選[使用代理服務器]，輸入地址如http://192.168.1.1，端口為80，按[確定]按鈕，關閉所有的對話，即可上網。4、限制可訪問的網站
　　 在Proxy Server 中可以設定允許訪問的網站進行過濾連接：如過濾一些****網站，反動的網站等。想要作網站訪問的限制，進入Web Proxy 的屬性中設定，按上[Security]按鈕，出現“Security”對話框后點選[Domain Filters] 頁簽。
　　 在默認的情況下並未啟動該功能，勾選[Enable filtering(requires direct Internetaccess)]選項，然后使用[Granted]或[Denied]來加入可以或拒絕訪問的網站。如點選[Granted] 選項后再按[Add]按鈕，輸入IP 地址192.45.0.6，則用戶想訪問該網站，會看到造受拒絕訪問的報警畫面。
　　 5、Web Proxy 的高速緩沖設定
　　 在安裝Microsoft Proxy Server 2.0 服務器端時就曾經設定過高速緩沖的磁盤位置與大小，如果要進一步設定高速緩沖的功能，進入Web Proxy 的內容設定后再按[Caching] 頁簽。選項功能說明如下：
　　 Enable caching：勾選本項后方能啟動Proxy 的高速緩沖功能。
　　 Cache expiration policy：設定高速緩沖數據使用期限的策略，可分為下面3種形式：
　　 Update are more important點選本選項會使得高速緩沖區經常更新，因此會增加網絡與服務器的負擔。
　　 Equal important：點選本選項是覺得數據更新與高速緩沖性能一樣重要。
　　 Few network access are more important：點選本選項會着重在高速緩沖的性能，因此當客戶端要求數據網頁數據時Proxy Server 會將高速緩沖區內的相同網頁優先送給客戶端。
　　 Enable active caching：勾選本選項會啟動主動式高速緩沖功能，所謂的主動式高速緩沖功能是當高速緩沖區中的網頁數據快到期時，Proxy Server 會根據目前網絡的流量自動更新網頁。可分為下面3種形式：
　　 Faster user response is more important: 勾選本選項會讓Proxy Server 經常自動更新高速緩沖區的數據，因此會增加網絡與服務器的負擔。優點是當客戶端要求網頁數據時Proxy Server可以做較快速且正確的回應。
　　 Equal important：如果覺得服務器性能、對外網絡的流量與服務客戶端的品質一樣重要時可以點選本選項。
　　 Few network access are more important：如果覺得減少網絡流量比較重要，可以點選本選項。
　　 三、客戶端Proxy Client 的安裝
　　 有兩種方式安裝Proxy Client：
　　 第一種方式是在[網上鄰居]中找到安裝Proxy Server 的機器，然后看到該機中含有mspclnt 共享的文件夾，進入mspclnt 文件夾，然后執行setup.exe來安裝該客戶端軟件。
　　 第二種方式是在瀏覽器（如IE）中輸入http://192.168.1.1/msproxy或http://servername/msproxy來瀏覽安裝Proxy Server 后的網頁進行安裝，點選[Winsock Proxy2.0 Client]鏈接進行安裝。
?? 四、網絡故障的發現、診斷和排除
　　在單位組建代理服務器上寬帶網（10M）時，我們安裝代理服務器客戶端軟件、對電腦進行上網調試，發現故障及時排除。下面是解決有關問題的總結：
　　 1、安裝代理服務器客戶端軟件
　　 對於安裝win95/98 操作系統的客戶機來說，必須以在代理服務器端開的用戶名和密碼登錄，在該機的[網上鄰居]設置好已分配的IP地址、子網掩碼以及相應的工作組，在網上鄰居找到代理服務器的機器名如Jsproxy或IP地址如192.168.1.1，點擊之，找到mspclnt 共享的文件夾，進入mspclnt 文件夾，然后執行setup.exe來安裝該客戶端軟件，安裝完成后重啟客戶機。注意：代理服務器的客戶端不需要輸入網關和DNS，網絡協議必須同時具有 TCP/IP和NetBEUI兩種協議。
　　對於安裝win2000/XP操作系統的客戶機來說，在該機上設置好IP地址和子網掩碼，只需要在網上鄰居找到代理服務器的機器名如Jsproxy或IP 地址如192.168.1.1，點擊之，輸入在代理服務器端開的用戶名和密碼，則就可以找到mspclnt 共享的文件夾，進入mspclnt 文件夾，然后執行setup.exe來安裝該客戶端軟件，安裝完成后重啟客戶機。
　　 2、調試客戶機上寬帶網
　　 如果客戶機配置好IP地址和子網掩碼，重啟客戶機后（安裝win95/98的機器需重啟，win2000/XP 不需重啟），首先我們要做的工作是：網絡線路通不通？可以使用Ping 命令來檢測與代理服務器的連通，ping 代理服務器IP地址如192.168.1.1，其間可以通過觀看網卡、交換機或HUB 端口的指示燈來幫助我們來判斷，也可以借助如Network Cable Tester 等工具測試網絡雙絞線RJ45好壞情況。其次要安裝好代理客戶端軟件，一般情況下，在win2000/XP 環境下安裝代理客戶端軟件不會遇到什么問題；而在win95/98 環境下安裝代理客戶端軟件會則會遇到很多問題。
　　問題之一：單位許多舊的電腦安裝win95/98系統，網絡協議大多不全，也不可能格式化重裝，因為機器里有許多數據，另一個原因就是沒有網卡，驅動程序等造成這些電腦上網的難度。我們所做的工作就是要打開機箱，插上網卡，安裝網卡驅動程序，增加或者刪除重新安裝TCP/IP 和NetBEUI 協議，檢查網絡線路是否通？安裝代理客戶端軟件上網。
　　問題之二：對於win95/98系統的機器，用代理服務器端開的用戶名和密碼登錄，在網上鄰居找到代理服務器的機器名如Jsproxy或IP地址如 192.168.1.1，點擊之，但找不到代理服務器的任何內容。我們分析了一下原因：可能是單位的另一台或幾台客戶機已用代理服務器端開的用戶名和密碼登錄，造成這種情況。對於這種情況采取的方法有三種：第一是等單位下班或一上班開始安裝代理客戶端軟件，因為采用這個時間是單位上網的電腦基本上關機或還沒有開機。第二是采用FTP站點的方法來解決，將服務器上的代理客戶端軟件mspclnt 共享的文件夾作為FTP站點，通過FTP來安裝代理客戶端軟件。如果前兩種方法都不行，則可以采用第三種方法：那就是將服務器端的代理客戶端軟件拷貝到軟盤上，將mspclnt目錄下的i386 子目錄文件內容拷貝到一張3.5 英寸軟盤上，將mspclnt目錄下的其它文件拷貝到另一張3.5 英寸軟盤上。再將兩張軟盤的內容拷貝到該客戶機上指定的目錄下，在該機上直接安裝即可。
　　 3、解決代理服務器上網的其它問題
　　通過代理服務器寬帶上網，遇到的情況可能是第一次客戶機上網速度較慢，需要耐心等待，以后就沒有這個問題；如果等了很長時間不能上網，則在瀏覽器如IE 的Internet 選項的[連接] →[局域網設置]中去掉所有打勾的選項，點確認重啟IE即可。還有可能會遇到的情況是有的網站上不上去，這時就需要點擊瀏覽器的[刷新]按鈕。另一種情況是網絡是通的，網卡和交換機或HUB 的指示燈都正常，也安裝了代理客戶端軟件，但是就是上不了網？我們分析了一下原因：主要是客戶機采用的網卡是10/100M自適應的網卡或采用100M網卡，網卡顯示的網速是100M；而寬帶上網的帶寬是10M（如采用10M的HUB），因此出現上面的情況。解決的辦法是更改網卡的配置，將網卡的網速的值改為10 Full Mode 即可。