鮑宗亮，楊曉艷

（浙江科技學(xué)院 信息與電子工程學(xué)院，杭州310023）

在當(dāng)今信息技術(shù)時代，計算機教育普及，高校機房類實驗室所承擔(dān)的實踐教學(xué)任務(wù)、培訓(xùn)工作等日益增加，各專業(yè)實踐教學(xué)的類別與要求又不盡相同，而且此類實驗室還需滿足學(xué)生上網(wǎng)瀏覽、資料查詢、學(xué)科競賽等多種要求。種種原因急劇加大了實驗室的運行負荷和管理難度。因此，科學(xué)有效地管理好實驗室，合理利用系統(tǒng)資源，確保正常的教學(xué)秩序，提供正常穩(wěn)定的使用環(huán)境，成為實驗室管理必須要解決的問題。

1 域模式管理的提出

傳統(tǒng)高校機房實驗室的管理模式，大都是以人為管理配合還原卡模式來完成的。這種模式主要問題在于使用還原卡后會帶來諸多弊端。譬如：1）影響計算機性能，特別是硬盤的性能。2）影響操作系統(tǒng)安裝補丁。每次重啟還原后，更新的補丁必須重新下載安裝，容易產(chǎn)生系統(tǒng)安全漏洞，而且重復(fù)地下載安裝也占用了帶寬和增加了CPU的負擔(dān)。3）影響學(xué)生自主實驗。實踐教學(xué)中一些綜合性、自主設(shè)計、創(chuàng)新性的實驗，要求學(xué)生自主安裝軟件、自行下載配置插件等［1］。

隨著科技的發(fā)展，機房實驗室管理方法也越來越多，傳統(tǒng)的管理方式漸漸地淡出人們的視線。而在Windows Server上集成的活動目錄（Active Directory）服務(wù)慢慢成為了網(wǎng)絡(luò)管理員研究的方向?；顒幽夸浭且粋€安全域的概念，在這個域里可以使用系統(tǒng)提供的各種工具對賬號、共享資源、硬件資源等，進行集中化、統(tǒng)一化的管理［2］。另外，目錄服務(wù)器在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。因此，這樣域模式的管理方案不僅解放了人力，減輕了硬件的負擔(dān)，而且使資源更容易進行集中的統(tǒng)一管理，能夠更好地滿足多種實踐教學(xué)的需求［3］。

2 域模式的管理原理及特色

域既是Windows網(wǎng)絡(luò)操作系統(tǒng)的邏輯組織單元，也是Internet的邏輯組織單元，在Windows網(wǎng)絡(luò)操作系統(tǒng)中，域是安全邊界。每個域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。當(dāng)一個域與其他域建立了信任關(guān)系后，兩個域之間不但可以按需要相互進行管理，還可以跨網(wǎng)分配文件和利用打印機等設(shè)備資源，使不同的域之間實現(xiàn)網(wǎng)絡(luò)資源的共享與管理。

在“域”模式下，至少有一臺服務(wù)器負責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的計算機和用戶的驗證工作，稱為“域控制器（domain controller，DC）”。域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)計算機聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺計算機是否是屬于這個域的。如果不是，域控制器就會拒絕這個用戶從這臺計算機登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護的資源，他只能以對等網(wǎng)用戶的方式訪問Windows共享的資源，這樣就在一定程度上保護了網(wǎng)絡(luò)上的資源。一臺計算機加入到域，還必須要由網(wǎng)絡(luò)管理員進行相應(yīng)的功能權(quán)限設(shè)置，這樣才能實現(xiàn)網(wǎng)絡(luò)環(huán)境的安全文件、文件的共享、用戶的集中統(tǒng)一管理［4］。

采用域模式管理代替?zhèn)鹘y(tǒng)的還原卡管理方式，對現(xiàn)有實驗室硬件和軟件環(huán)境進行改造，可以形成一個完善的實驗室實踐教學(xué)綜合管理模式。在基于域模式的基礎(chǔ)上，實驗室提供了較為完整的各類網(wǎng)絡(luò)服務(wù)，既可以很好滿足學(xué)生的綜合實踐教學(xué)，又能夠科學(xué)有效地管理好實驗室，合理利用系統(tǒng)資源，提供正常穩(wěn)定的使用環(huán)境，從而提高了實驗室績效。而且這樣的實踐教學(xué)環(huán)境更接近企業(yè)的實際工作環(huán)境，為培養(yǎng)應(yīng)用型人才提供了良好的條件建設(shè)。

3 域模式管理實踐構(gòu)建

3.1 實驗室網(wǎng)絡(luò)規(guī)劃

本研究的對象以浙江科技學(xué)院數(shù)字媒體技術(shù)建制實驗室為例，該實驗室現(xiàn)有機架式服務(wù)器一組共6臺，塔式服務(wù)器1臺，300Mb／s帶寬的無線路由器1臺，學(xué)生計算機90臺，均未安裝保護卡。首先對現(xiàn)有服務(wù)器進行規(guī)劃：1臺安裝ISA（internet security and acceleration）防火墻，提供NAT（network address translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）代理上網(wǎng)及實驗室上網(wǎng)行為管理功能；2臺作為域控制器集群，處理域內(nèi)成員登錄注銷等事件及域內(nèi)組策略管理；實驗服務(wù)器1臺，提供新服務(wù)部署前的測試功能及日常教學(xué)實驗；搜索服務(wù)器1臺，基于Windows Search提供校內(nèi)網(wǎng)資源的搜索服務(wù)；歸檔服務(wù)器1臺，基于Windows Server 2003的軟件RAID 1磁盤陣列，提供重要資料的歸檔備份功能；流媒體及文件服務(wù)器1臺，作為資源共享平臺，提供校內(nèi)流媒體及FTP資源。另外，通過無線路由器為臨時用戶提供WLAN接入。方案拓撲圖如圖1所示。

同時，對現(xiàn)有的實驗硬件環(huán)境進行了改造，將這些異構(gòu)系統(tǒng)互聯(lián)起來。這樣，在最基本的條件下可以滿足學(xué)生各種上機實驗。

3.2 域服務(wù)的部署

首先，要進行域服務(wù)角色的配置，域服務(wù)作為Windows Server 2008內(nèi)置的一項基本服務(wù)，默認(rèn)并未安裝，需管理員手動配置。在系統(tǒng)服務(wù)器管理器的角色中進行添加，在添加過程中要注意選中“Active Directory域服務(wù)”復(fù)選框，并取好域名名稱。由于實驗室網(wǎng)絡(luò)規(guī)模較小，一般使用Active Directory集成區(qū)域DNS服務(wù)器，DNS數(shù)據(jù)庫中的內(nèi)容將保持在Active Directory數(shù)據(jù)庫中。故在安裝過程中，同時安裝DNS服務(wù)。接著，要將實驗室所有的客戶機加入到新建的域中。對于局域網(wǎng)內(nèi)的計算機，按規(guī)則進行命名，并在計算機屬性的“隸屬于”下方選擇“域”，填入新建的域名加入域，于是就可以使用任何一個域賬號登錄這臺計算機［5］。

在網(wǎng)絡(luò)安全的前提下，實驗室還可以向?qū)W生全面開放，提供虛擬服務(wù)器、虛擬主機，以及網(wǎng)絡(luò)服務(wù)、主機服務(wù)，這樣學(xué)生可以充分使用整個網(wǎng)絡(luò)資源，自主開發(fā)各種網(wǎng)絡(luò)應(yīng)用，提高自我管理和創(chuàng)新能力。

3.3 構(gòu)建網(wǎng)絡(luò)基本服務(wù)

為了提供更好的實踐教學(xué)環(huán)境，筆者進一步在服務(wù)器端構(gòu)建了Web網(wǎng)站服務(wù)、FTP服務(wù)、郵件服務(wù)、遠程登錄服務(wù)、DNS服務(wù)、流媒體服務(wù)等。這樣，既能滿足學(xué)生開展與因特網(wǎng)基本應(yīng)用相關(guān)的實驗，又能為域模式管理構(gòu)建好良好的網(wǎng)絡(luò)服務(wù)環(huán)境。

在FTP服務(wù)的構(gòu)建上，通過Serv-U軟件的安裝配置，使得同一網(wǎng)絡(luò)內(nèi)的用戶能夠使用FTP協(xié)議進行文件或目錄的復(fù)制、移動、創(chuàng)建和刪除等。部署局域網(wǎng)內(nèi)部FTP服務(wù)器，有助于內(nèi)部資料共享，便于教師進行課件分發(fā)，學(xué)生進行作業(yè)上傳等。Serv-U配置過程也強調(diào)一個域的概念，一個Serv-U服務(wù)器可以管理幾個不同的域。同時Serv-U支持跟Windows域驗證用戶進行整合，即用戶可以通過自己的域賬號直接作為FTP賬號進行登錄。在建立賬號時，筆者特別注意細化用戶在不同目錄的讀寫權(quán)限。如在教師課程目錄下，只具有下載權(quán)限；在學(xué)生作業(yè)上交目錄下，只具有上傳權(quán)限；在temp目錄下，只具有讀寫權(quán)限等［6］。

3.4 構(gòu)建網(wǎng)絡(luò)安全服務(wù)

通過在域服務(wù)器上構(gòu)建ISA防火墻、網(wǎng)絡(luò)代理、VPN服務(wù)，主機構(gòu)建本地防火墻，允許對防火墻各種策略進行配置，既可以保證域環(huán)境的安全性，為實驗提供一個良好的學(xué)習(xí)環(huán)境，又可以滿足學(xué)生開展與網(wǎng)絡(luò)安全相關(guān)的實驗。

安裝ISA防火墻主要是為了維護實驗室網(wǎng)絡(luò)的安全性，而且還能有效地制訂和控制網(wǎng)絡(luò)訪問的規(guī)則。由于校園實驗室的特殊性，要定義相關(guān)的配置規(guī)則：

1）定義“學(xué)生機上網(wǎng)策略”。將HTTP、HTTPS、FTP協(xié)議定義為允許。然后選擇配置HTTP的“擴展名”選項卡，對網(wǎng)頁內(nèi)容進行過濾，可以有效管理學(xué)生上課時間觀看視頻，下載等行為，節(jié)省了網(wǎng)絡(luò)流量。

2）定義相關(guān)的策略，用來允許學(xué)生收發(fā)電子郵件。

3）通過打開RDP（remote desktop protocol）協(xié)議（遠程桌面協(xié)議），允許遠程桌面連接，用來方便后期的學(xué)習(xí)和指導(dǎo)工作。

4）配置內(nèi)部網(wǎng)絡(luò)，在“直接訪問這些服務(wù)器或域”中添加局域網(wǎng)IP，可以訪問局域網(wǎng)內(nèi)部發(fā)布的網(wǎng)站。

3.5 多媒體服務(wù)構(gòu)建

目前的時代已經(jīng)進入了一個富媒體發(fā)展階段，因此，筆者特意在基于域的服務(wù)器上構(gòu)建流媒體服務(wù)、遠程桌面、SIP服務(wù)等，以滿足學(xué)生開展與多媒體通信相關(guān)的實驗。首先使用Windows Media Server構(gòu)建了一個流媒體服務(wù)器，流媒體服務(wù)器是整個系統(tǒng)的核心，只有在流媒體服務(wù)器的支持下才能完成其他子系統(tǒng)的設(shè)計與實現(xiàn)，而且根據(jù)流媒體應(yīng)用的特性，還可以構(gòu)建一個基于校園網(wǎng)絡(luò)的點播子系統(tǒng)的相關(guān)服務(wù)。

4 基于域模式應(yīng)用的擴展

2個實驗室90臺PC機在同一個域配置的環(huán)境下運行，域用戶的桌面信息是上傳至服務(wù)器的，所以如何解決計算機開機速度和控制桌面大小成了至關(guān)重要的問題。在使用過程中發(fā)現(xiàn)，計算機啟動時加載項目太多會引起啟動速度太慢，解決方法是先用本地用戶登錄，在運行中輸入MSCONFIG，點擊啟動，將不需要加載的啟動項目去掉即可。

針對控制用戶桌面的問題，筆者為用戶在本地硬盤和FTP上都配置了相應(yīng)的個人空間，讓其有足夠的空間存放文件資料。如果用戶桌面放置文件過多，每次開機都得從服務(wù)器上讀取桌面信息，就會嚴(yán)重地影響開機速度。為此，筆者開發(fā)了一款應(yīng)用于域的桌面清理軟件，設(shè)定好保留的服務(wù)軟件及其他常用快捷鍵，其余的桌面文件將在每次啟動時自動清理。這樣，既能保證用戶在任何一臺機器登錄后都能看到自己設(shè)定的桌面信息，而且又保證了計算機的開機速度。通過使用總結(jié)，計算機平均開機速度為1min左右。

同時，在教師機端安裝了客戶端黑屏軟件，通過搜集登錄到域用戶的IP等信息，實現(xiàn)控制全部或個別計算機屏幕的開和關(guān)。通過靈活控制，改善了教學(xué)環(huán)境，有效地提高了教師在實驗室授課期間學(xué)生聽課的教學(xué)效果。

5 結(jié) 語

以浙江科技學(xué)院數(shù)字媒體技術(shù)實驗室為對象，構(gòu)建了一個基于域模式的實驗實踐教學(xué)環(huán)境，在整個設(shè)計及構(gòu)建過程中，對網(wǎng)絡(luò)資源和用戶信息最大程度地實現(xiàn)了智能化、自動化管理，提高了實驗室設(shè)備的使用效率，簡化了實驗室網(wǎng)絡(luò)操作系統(tǒng)的管理，增加了整個實驗室的運行績效。經(jīng)過一段時間的使用，實驗室的系統(tǒng)均能保持正常運行。實驗室域管理模式不僅能對系統(tǒng)的資源進行有效而統(tǒng)一的管理，而且還規(guī)范了學(xué)生上機的操作內(nèi)容，學(xué)生還能夠利用該實驗環(huán)境自主地使用網(wǎng)絡(luò)資源完成各類相關(guān)實踐教學(xué)環(huán)節(jié)和開發(fā)各種網(wǎng)絡(luò)應(yīng)用程序。本研究基于域模式實驗室實踐教學(xué)網(wǎng)絡(luò)環(huán)境構(gòu)建方式，在高校機房管理中也具有良好的推廣價值。

［1］ 張怡.還原卡存在的問題及對策［J］.中國現(xiàn)代教育裝備，2007，1（12）：12-13.

［2］ 劉文杰，林樂春，李鳳岐，等.VLAN技術(shù)在校園網(wǎng)實驗中的應(yīng)用［J］.實驗技術(shù)與管理，2009，26（3）：85-87，90.

［3］ 楊上影.Windows 2003活動目錄實現(xiàn)校園網(wǎng)信息化管理［J］.廣西師范學(xué)院學(xué)報：自然科學(xué)版，2005，22（1）：82-85.

［4］ 儲德軍，石尉.計算機實驗室系統(tǒng)維護方法比較［J］.實驗科學(xué)與技術(shù)，2005，9（3）：104-106.

［5］ 韓立剛，韓利輝，李文斌.貫徹 Windows Server 2008網(wǎng)絡(luò)基礎(chǔ)架構(gòu)［M］.北京：清華大學(xué)出版社，2010.

［6］ 張燕.高校機房管理與維護的技術(shù)措施［J］.東南大學(xué)學(xué)報：哲學(xué)社會科學(xué)版，2008，10（S0）：275-276.