如何搭ica伺服器
A. 裝無盤系統,伺服器最低配置要多大
5.4.10 安裝基於Win9x的Windows 2000
無盤終端站
5.4.10.1 安裝基於Win9x的Windows 2000無盤
終端站需要哪些准備工作?
(1)硬體最低配置:伺服器端:P133/64M/3G/NE 2000/光碟機;客戶機端:486/8M/NE 2000/RPL無盤啟動晶元/無盤。
(2)所需各類軟體:ICA32(下載地址:http://www.enanshan.com/down/ica32.zip);工作站端所配音效卡和顯卡(倘有)的基於Win9x的安裝程序。
ICA32可用於Win9x/WinNT/Windows 2000;就簡易性和實用性來說,ICA32最適合的是有盤站;ICA32支持最多達1600×1200的解析度、16位的真彩色。
5.4.10.2 怎樣安裝基於Win9x的客戶端ICA32?
(1)在伺服器端將ica32.zip中所有文件解壓到伺服器的任意目錄中,比如為F:\nodisk,則系統會自動在此目錄下建立一個名為ICA32的子目錄。
(2)再在伺服器上將ICA32共享,比如共享名為ICA32。
(3)在工作站端連接到伺服器的ICA32共享名上,進入其中的DISKS\DISK1目錄,然後運行裡面的安裝文件setup.exe開始安裝。
(4)當提示「ClientName」(客戶端名)時輸入任意名字即可(默認為本機名),也可不改。
(5)安裝過程中所遇到的其他項目均選擇默認選項即可。
(6)安裝完成之後,並不需要重新啟動計算機。
(7)安裝成功後的ICA32將保存在工作站的C:\Program Files\Citrix\ICA Client目錄中。在「開始→程序」中也將擁有一個名為「Citrix ICA Client」的組件,裡面的「Citrix Program Neighborhood」是用來管理ICA32客戶端連接的;「ICA Client Help」則是ICA32的幫助文件;「Remove ICA Client」則可以將ICA32卸載掉。
5.4.10.3 怎樣登錄基於Win9x的無盤Windows 2000
終端站?
(1)運行「開始→程序→Citrix ICA Client」中的「Citrix Program Neighborhood」項即進入ICA32的客戶端連接管理器,此時裡面僅有一個名為「Add ICA Connection」(增加ICA連接)的圖標,用滑鼠左鍵雙擊它,開始建立一個新的連接。
(2)在首先出現的網路類型選項中選擇「Local Area Network」(本地網路)項,再按【下一步】按鈕進入連接明細的窗口。
(3)在最上面的「Enter a description for the new ICA Connection:」(輸入ICA連接名)文字框中輸入連接名,比如為98to2000;在中間的「Select the network protocol…」(選擇你的計算機和CITRIX伺服器間進行通信所要使用的協議名稱)選項中選擇TCP/IP;在最下的「Select the Citrix Server…」(選擇CITRIX伺服器名)選項中選擇「WY」(伺服器的名字),然後再單擊【下一步】按鈕繼續。
(4)下面還需要修改默認的解析度和色彩數。取消對「quot;Windows Colors」(窗口色彩數)右邊的「Use Default」(使用默認值)的選擇,改選為「High Color (16 bit)」(增強色16位);取消對「Windows Size」(窗口尺寸)右邊的「Use Default」(使用默認值)的選擇,改選為「Full Screen」(全屏),然後單擊【下一步】按鈕繼續。
(5)安裝過程中的其他未做特別說明的項目,均選其默認選項即可。
(6)安裝完成後,在「Citrix Program Neighborhood」窗口中即可看到所建立好的連接,用滑鼠左鍵雙擊它即可進行Windows 2000的終端登錄
參考資料:http://..com/question/1981643.html
--------------
有盤的,用軟體,比如無優
B. 電腦服務和埠問題,謝謝!
埠分為3大類
1) 公認埠(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常 這些埠的通訊明確表明了某種服 務的協議。例如:80埠實際上總是h++p通訊。
2) 注冊埠(Registered Ports):從1024到49151。它們鬆散地綁定於一些服 務。也就是說有許多服務綁定於這些埠,這些埠同樣用於許多其它目的。例如: 許多系統處理動態埠從1024左右開始。
3) 動態和/或私有埠(Dynamic and/or Private Ports):從49152到65535。 理論上,不應為服務分配這些埠。實際上,機器通常從1024起分配動態埠。但也 有例外:SUN的RPC埠從32768開始。
本節講述通常TCP/UDP埠掃描在防火牆記錄中的信息。
記住:並不存在所謂 ICMP埠。如果你對解讀ICMP數據感興趣,請參看本文的其它部分。
0 通常用於分析* 作系統。這一方*能夠工作是因為在一些系統中「0」是無效埠,當你試 圖使用一 種通常的閉合埠連接它時將產生不同的結果。一種典型的掃描:使用IP地址為 0.0.0.0,設置ACK位並在乙太網層廣播。
1 tcpmux這顯示有人在尋找SGIIrix機 器。Irix是實現tcpmux的主要提供者,預設情況下tcpmux在這種系統中被打開。Iris 機器在發布時含有幾個預設的無密碼的帳戶,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜索 tcpmux 並利用這些帳戶。
7Echo你能看到許多人們搜索Fraggle放大器時,發送到x.x.x.0和x.x.x.255的信 息。常見的一種DoS攻擊是echo循環(echo-loop),攻擊者偽造從一個機器發送到另 一個UDP數據包,而兩個機器分別以它們最快的方式回應這些數據包。(參見 Chargen) 另一種東西是由DoubleClick在詞埠建立的TCP連接。有一種產品叫做 Resonate Global Dispatch」,它與DNS的這一埠連接以確定最近的路 由。Harvest/squid cache將從3130埠發送UDPecho:「如果將cache的 source_ping on選項打開,它將對原始主機的UDP echo埠回應一個HIT reply。」這將會產生許多這類數據包。
11 sysstat這是一種UNIX服務,它會列出機器上所有正在運行的進程以及是什麼啟動 了這些進程。這為入侵者提供了許多信息而威脅機器的安全,如暴露已知某些弱點或 帳戶的程序。這與UNIX系統中「ps」命令的結果相似再說一遍:ICMP沒有埠,ICMP port 11通常是ICMPtype=1119 chargen 這是一種僅僅發送字元的服務。UDP版本將 會在收到UDP包後回應含有垃圾字元的包。TCP連
接時,會發送含有垃圾字元的數據流知道連接關閉。Hacker利用IP欺騙可以發動DoS 攻擊偽造兩 個chargen伺服器之間的UDP由於伺服器企圖回應兩個伺服器之間的無限 的往返數據通訊一個chargen和echo將導致伺服器過載。同樣fraggle DoS攻擊向目標 地址的這個埠廣播一個帶有偽造受害者IP的數據包,受害者為了回應這些數據而過 載。
21 ftp最常見的攻擊者用於尋找打開「anonymous」的ftp伺服器的方*。這些伺服器 帶有可讀寫的目錄。Hackers或tackers利用這些伺服器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。
22 sshPcAnywhere建立TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱 點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端 口運行ssh)還應該注意的是ssh工具包帶有一個稱為ake-ssh-known-hosts的程序。 它會掃描整個域的ssh主機。你有時會被使用這一程序的人無意中掃描到。UDP(而不 是TCP)與另一端的5632埠相連意味著存在搜索pcAnywhere的掃描。5632 (十六進 制的0x1600)位交換後是0x0016(使進制的22)。
23 Telnet入侵者在搜索遠程登陸UNIX的服務。大多數情況下入侵者掃描這一埠是 為了找到機器運行的*作系統。此外使用其它技術,入侵者會找到密碼。
25 smtp攻擊者(spammer)尋找SMTP伺服器是為了傳遞他們的spam。入侵者的帳戶總 被關閉,他們需要撥號連接到高帶寬的e-mail伺服器上,將簡單的信息傳遞到不同的 地址。SMTP伺服器(尤其是sendmail)是進入系統的最常用方*之一,因為它們必須 完整的暴露於Internet且郵件的路由是復雜的(暴露+復雜=弱點)。
53 DNSHacker或crackers可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏 其它通訊。因此防火牆常常過濾或記錄53埠。 需要注意的是你常會看到53埠做為 UDP源埠。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回復。Hacker 常使用這種方*穿透防火牆。
67和68 Bootp和DHCPUDP上的Bootp/DHCP:通過DSL和cable-modem的防火牆常會看 見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP伺服器請求一個 地址分配。Hacker常進入它們分配一個地址把自己作為局部路由器而發起大量的「中 間人」(man-in-middle)攻擊。客戶端向68埠(bootps)廣播請求配置,伺服器 向67埠(bootpc)廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發 送的IP地址。69 TFTP(UDP) 許多伺服器與bootp一起提供這項服務,便於從系統下載 啟動代碼。但是它們常常錯誤配置而從系統提供任何文件,如密碼文件。它們也可用 於向系統寫入文件
79 finger Hacker用於獲得用戶信息,查詢*作系統,探測已知的緩沖區溢出錯誤, 回應從自己機器到其它機器finger掃描。
98 linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的h++p伺服器在98端 口提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuidroot,信任 區域網,在/tmp下建立Internet可訪問的文件,LANG環境變數有緩沖區溢出。 此外 因為它包含整合的伺服器,許多典型的h++p漏洞可
能存在(緩沖區溢出,歷遍目錄等)109 POP2並不象POP3那樣有名,但許多伺服器同 時提供兩種服務(向後兼容)。在同一個伺服器上POP3的漏洞在POP2中同樣存在。
110 POP3用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用 戶名和密碼交換緩沖區溢出的弱點至少有20個(這意味著Hacker可以在真正登陸前進 入系統)。成功登陸後還有其它緩沖區溢出錯誤。
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是 掃描系統查看允許哪些RPC服務的最早的一步。常 見RPC服務有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提 供 服務的特定埠測試漏洞。記住一定要記錄線路中的
daemon, IDS, 或sniffer,你可以發現入侵者正使用什麼程序訪問以便發現到底發生 了什麼。
113 Ident auth .這是一個許多機器上運行的協議,用於鑒別TCP連接的用戶。使用 標準的這種服務可以獲得許多機器的信息(會被Hacker利用)。但是它可作為許多服 務的記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過 防火牆訪問這些服務,你將會看到許多這個埠的連接請求。記住,如果你阻斷這個 埠客戶端會感覺到在防火牆另一邊與e-mail伺服器的緩慢連接。許多防火牆支持在 TCP連接的阻斷過程中發回T,著將回停止這一緩慢的連接。
119 NNTP news新聞組傳輸協議,承載USENET通訊。當你鏈接到諸 如:news:p.security.firewalls/. 的地址時通常使用這個埠。這個埠的連接 企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新 聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組服務 器,匿名發帖或發送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個埠運行DCE RPC end- point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和/或 RPC的服務利用 機器上的end-point mapper注冊它們的位置。遠
端客戶連接到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃描 機器的這個埠是為了找到諸如:這個機器上運 行Exchange Server嗎?是什麼版 本? 這個埠除了被用來查詢服務(如使用epmp)還可以被用於直接攻擊。有一些 DoS攻 擊直接針對這個埠。
137 NetBIOS name service nbtstat (UDP)這是防火牆管理員最常見的信息,請仔 細閱讀文章後面的NetBIOS一節 139 NetBIOS File and Print Sharing
通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於Windows「文件 和列印機共享」和SAMBA。在Internet上共享自己的硬碟是可能是最常見的問題。 大 量針對這一埠始於1999,後來逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasicScripting)開始將它們自己拷貝到這個埠,試圖在這個埠繁殖。
143 IMAP和上面POP3的安全問題一樣,許多IMAP伺服器有緩沖區溢出漏洞運行登陸過 程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個埠繁殖,因此許多這個端 口的掃描來自不知情的已被感染的用戶。當RadHat在他們的Linux發布版本中默認允 許IMAP後,這些漏洞變得流行起來。Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。 這一埠還被用於IMAP2,但並不流行。 已有一些報道發現有些0到143埠的攻擊源 於腳本。
161 SNMP(UDP)入侵者常探測的埠。SNMP允許遠程管理設備。所有配置和運行信息 都儲存在資料庫中,通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露於 Internet。Crackers將試圖使用預設的密碼「public」「private」訪問系統。他們 可能會試驗所有可能的組合。 SNMP包可能會被錯誤的指向你的網路。Windows機器常 會因為錯誤配置將HP JetDirect rmote management軟體使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網 內廣播(cable modem, DSL)查詢sysName和其它信
息。
162 SNMP trap 可能是由於錯誤配置
177 xdmcp 許多Hacker通過它訪問X-Windows控制台,它同時需要打開6000埠。
513 rwho 可能是從使用cable modem或DSL登陸到的子網中的UNIX機器發出的廣播。 這些人為Hacker進入他們的系統提供了很有趣的信息
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個埠 的廣播。CORBA是一種面向對象的RPC(remote procere call)系統。Hacker會利 用這些信息進入系統。 600 Pcserver backdoor 請查看1524埠一些玩script的孩 子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個端 口的掃描是基於UDP的,但基於TCP 的mountd有所增加(mountd同時運行於兩個端 口)。記住,mountd可運行於任何埠(到底在哪個埠,需要在埠111做portmap 查詢),只是Linux默認為635埠,就象NFS通常運行於2049
1024 許多人問這個 埠是干什麼的。它是動態埠的開始。許多程序並不在乎用哪個埠連接網路,它 們請求*作系統為它們分配「下一個閑置埠」。基於這一點分配從埠1024開始。 這意味著第一個向系統請求分配動態埠的程序將被分配埠1024。為了驗證這一 點,你可以重啟機器,打開Telnet,再打開一個窗口運行「natstat -a」,你將會看 到Telnet被分配1024埠。請求的程序越多,動態埠也越多。*作系統分配的埠 將逐漸變大。再來一遍,當你瀏覽Web頁時用「netstat」查看,每個Web頁需要一個 新埠。 ?ersion 0.4.1, June 20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham
(mailto:[email protected].
All rights reserved. This document may only be reproced (whole orin part) for non-commercial purposes. All reproctions must
contain this right notice and must not be altered, except by
permission of the author.
1025 參見1024
1026參見1024
1080 SOCKS 這一協議以管道方式穿過防火牆,允許防火牆後面的許多人通過一個IP 地址訪問Internet。理論上它應該只
允許內部的通信向外達到Internet。但是由於錯誤的配置,它會允許Hacker/Cracker 的位於防火牆外部的攻
擊穿過防火牆。或者簡單地回應位於Internet上的計算機,從而掩飾他們對你的直接 攻擊。
WinGate是一種常見的Windows個人防火牆,常會發生上述的錯誤配置。在加入IRC聊 天室時常會看到這種情況。
1114 SQL 系統本身很少掃描這個埠,但常常是sscan腳本的一部分。
1243 Sub-7木馬(TCP)參見Subseven部分。
1524 ingreslock後門 許多攻擊腳本將安裝一個後門Sh*ll 於這個埠(尤其是那些 針對Sun系統中Sendmail和RPC服務漏洞的腳本,如statd,ttdbserver和cmsd)。如 果你剛剛安裝了你的防火牆就看到在這個埠上的連接企圖,很可能是上述原因。你 可以試試Telnet到你的機器上的這個埠,看看它是否會給你一個Sh*ll 。連接到 600/pcserver也存在這個問題。
2049 NFS NFS程序常運行於這個埠。通常需要訪問portmapper查詢這個服務運行於 哪個埠,但是大部分情況是安裝後NFS杏謖飧齠絲冢?acker/Cracker因而可以閉開 portmapper直接測試這個埠。
3128 squid 這是Squid h++p代理伺服器的默認埠。攻擊者掃描這個埠是為了搜 尋一個代理伺服器而匿名訪問Internet。你也會看到搜索其它代理伺服器的埠:
000/8001/8080/8888。掃描這一埠的另一原因是:用戶正在進入聊天室。其它用戶 (或伺服器本身)也會檢驗這個埠以確定用戶的機器是否支持代理。請查看5.3節。
5632 pcAnywere你會看到很多這個埠的掃描,這依賴於你所在的位置。當用戶打開 pcAnywere時,它會自動掃描區域網C類網以尋找可能得代理(譯者:指agent而不是 proxy)。Hacker/cracker也會尋找開放這種服務的機器,所以應該查看這種掃描的 源地址。一些搜尋pcAnywere的掃描常包含埠22的UDP數據包。參見撥號掃描。
6776 Sub-7 artifact 這個埠是從Sub-7主埠分離出來的用於傳送數據的埠。 例如當控制者通過電話線控制另一台機器,而被控機器掛斷時你將會看到這種情況。 因此當另一人以此IP撥入時,他們將會看到持續的,在這個埠的連接企圖。(譯 者:即看到防火牆報告這一埠的連接企圖時,並不表示你已被Sub-7控制。)
6970 RealAudio客戶將從伺服器的6970-7170的UDP埠接收音頻數據流。這是由TCP7070 埠外向控制連接設置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許 用戶在此埠打開私人聊天的接。這一程序對於建立連接非常具有「進攻性」。它 會「駐扎」在這一TCP埠等待回應。這造成類似心跳間隔的連接企圖。如果你是一個 撥號用戶,從另一個聊天者手中「繼承」了IP地址這種情況就會發生:好象很多不同 的人在測試這一埠。這一協議使用「OPNG」作為其連接企圖的前四個位元組。
17027 Concent這是一個外向連接。這是由於公司內部有人安裝了帶有Concent "adbot" 的共享軟體。
Concent "adbot"是為共享軟體顯示廣告服務的。使用這種服務的一種流行的軟體 是Pkware。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP地址本身將會 導致adbots持續在每秒內試圖連接多次而導致連接過載:
機器會不斷試圖解析DNS名—ads.concent.com,即IP地址216.33.210.40 ;
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不 知NetAnts使用的Radiate是否也有這種現象)
27374 Sub-7木馬(TCP) 參見Subseven部分。
30100 NetSphere木馬(TCP) 通常這一埠的掃描是為了尋找中了NetSphere木馬。
31337 Back Orifice 「eliteHacker中31337讀做「elite」/ei』li:t/(譯者:* 語,譯為中堅力量,精華。即 3=E, 1=L, 7=T)。因此許多後門程序運行於這一端 口。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最常見的掃描。 現在它的流行越來越少,其它的 木馬程序越來越流行。
31789 Hack-a-tack 這一埠的UDP通訊通常是由於"Hack-a-tack"遠程訪問木馬 (RAT,Remote Access Trojan)。這種木馬包含內置的31790埠掃描器,因此任何 31789埠到317890埠的連 接意味著已經有這種入侵。(31789埠是控制連 接,317890埠是文件傳輸連接)
32770~32900 RPC服務 Sun Solaris的RPC服務在這一范圍內。詳細的說:早期版本 的Solaris(2.5.1之前)將 portmapper置於這一范圍內,即使低埠被防火牆封閉 仍然允許Hacker/cracker訪問這一埠。 掃描這一范圍內的埠不是為了尋找 portmapper,就是為了尋找可被攻擊的已知的RPC服務。
33434~33600 traceroute 如果你看到這一埠范圍內的UDP數據包(且只在此范圍 之內)則可能是由於traceroute。參見traceroute分。
41508 Inoculan早期版本的Inoculan會在子網內產生大量的UDP通訊用於識別彼此。 參見
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html埠1~1024是保留端 口,所以它們幾乎不會是源埠。但有一些例外,例如來自NAT機器的連接。 常看見 緊接著1024的埠,它們是系統分配給那些並不在乎使用哪個埠連接的應用程序 的「動態埠」。 Server Client 服務描述
1-5/tcp 動態 FTP 1-5埠意味著sscan腳本
20/tcp 動態 FTP FTP伺服器傳送文件的埠
53 動態 FTP DNS從這個埠發送UDP回應。你也可能看見源/目標埠的TCP連 接。
123 動態 S/NTP 簡單網路時間協議(S/NTP)伺服器運行的埠。它們也會發送 到這個埠的廣播。
27910~27961/udp 動態 Quake Quake或Quake引擎驅動的游戲在這一埠運行其 伺服器。因此來自這一埠范圍的UDP包或發送至這一埠范圍的UDP包通常是游戲。
61000以上 動態 FTP 61000以上的埠可能來自Linux NAT伺服器
埠大全(中文)
1 tcpmux TCP Port Service Multiplexer 傳輸控制協議埠服務多路開關選擇器
2 compressnet Management Utility compressnet 管理實用程序
3 compressnet Compression Process 壓縮進程
5 rje Remote Job Entry 遠程作業登錄
7 echo Echo 回顯
9 discard Discard 丟棄
11 systat Active Users 在線用戶
13 daytime Daytime 時間
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息發送協議
19 chargen Character Generator 字元發生器
20 ftp-data File Transfer [Default Data] 文件傳輸協議(默認數據口)
21 ftp File Transfer [Control] 文件傳輸協議(控制)
22 ssh SSH Remote Login Protocol SSH遠程登錄協議
23 telnet Telnet 終端模擬協議
24 ? any private mail system 預留給個人用郵件系統
25 smtp Simple Mail Transfer 簡單郵件發送協議
27 nsw-fe NSW User System FE NSW 用戶系統現場工程師
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG驗證
33 dsp Display Support Protocol 顯示支持協議
35 ? any private printer server 預留給個人列印機服務
37 time Time 時間
38 rap Route Access Protocol 路由訪問協議
39 rlp Resource Location Protocol 資源定位協議
41 graphics Graphics 圖形
42 nameserver WINS Host Name Server WINS 主機名服務
43 nicname Who Is "綽號" who is服務
44 mpm-flags MPM FLAGS Protocol MPM(消息處理模塊)標志協議
45 mpm Message Processing Mole [recv] 消息處理模塊
46 mpm-snd MPM [default send] 消息處理模塊(默認發送口)
47 ni-ftp NI FTP &
C. ICA/RDP協議是如何做到遠程伺服器控制雲終端的它是運行在OS之下的又是什麼意思
Citrix比RDP的主要優勢是: 1、 連接速度更快 2、 安全性能高 3、 伺服器端可管理和維護性高 4、 支持更多的設備,更好的支持遠程辦公 Windows 2000 Server 中所用的終端服務和RDP協議,源自Citrix的MetaFrame產品和ICA協議,但僅包含其中的小部分基礎功能。從網路OSI模型的角度來看,ICA協議和RDP協議都是基於網路層和傳輸層之上,可以主要從三個方面來比較兩種產品的性能差異:
1、 協定基礎 RDP協定只能以TCP/IP協定基礎,ICA協議能夠適用於TCP/IP、IPX/SPX和NetBEUI等多種協議。其中,IPX/SPX協議被國內很多用戶所採用,廣泛應用於Novell網路。 MetaFrame可以應用於多種網路連接方式,如LAN、WAN、RAS dial-up、Direct serial connection(async.)、Direct dial-up和Browse available servers等。而Windows 2000 Server 只適用於上述連接方式中的前三種,即LAN、WAN和RAS dial-up。 主要的是Citrix在ICA協議的基礎上,提供了各種增值服務,負載平衡服務,資源管理服務,安裝管理服務及NFuse等。而RDP基礎上幾乎沒有任何服務。
2、 協議特徵 RDP支持本地列印和本地客戶列印假離線。ICA除支持這兩項功能以外,還具備以下不同的特徵: 色彩:ICA協議支持真彩(24位色),RDP協議只支持256色。 解析度:ICA協議支持無限大(64000X64000),RDP協議只支持800x600。 驅動映像:ICA協議可以將本地資源和伺服器資源無縫地集成在一起,給用戶的操作帶來極大的方便。RDP協議不具備此功能。 COM埠映射:ICA協議可以支持多種串口外設,RDP協議不具備此功能。 SpeedScreen2:該項專利技術大大減少了網路傳輸數據量,一般情況下,平均每個用戶的正常工作僅佔用10Kbps。最近,SpeedScreen3已正式推出,解決了通過廣域網系統發布應用程序普遍存在的延時問題。 協議穩定性:ICA協議的穩定性優於RDP協議。 多媒體支持:ICA協議能夠支持音頻、視頻和多媒體帶寬控制。而RDP不支持多媒體。
3、基於協議的應用: 在ICA協議之上,有一個豐富的應用層,能夠給用戶提供完善的Server-based Computing整體解決方案:無論是伺服器端還是客戶端,無論是用戶介面還是後台支持,無論是可靠性還是擴展性,無論是資源管理還是網路帶寬的高效利用,用戶都可根據需要選擇適當的MetaFrame及配套產品。可以從下面的分類比較中進行分析和對照: 客戶端操作系統廣泛性 幾乎現有的所有客戶端的操作系統,都適合安裝ICA客戶軟體,以訪問MetaFrame應用伺服器。其中包括: Windows NT Windows 95/98 Windows 3.11(Workgroups) Windows 3.1 Windows CE DOS Macintosh (Motorola, PowerPC) Browser—Internet Explorer Browser—Netscape UNIX- ALL major platform Java—JDK 1.1 Java—JDK 1.0 RISC OS PS OS NCI OS Net OS 而RDP協議只支持下面四種客戶端操作系統: Windows NT Windows 95/98 Windows 3.11(Workgroups) Windows CE 客戶端設備 同樣,通過Citrix的ICA協議,幾乎現有的所有形式的客戶端硬設備,都可以應用在Server-based Computing網路模式中,主要包括: PC機(DOS、Windows、UNIX、Linux等操作系統) Macintosh機(Motorola、PowerPC等) 手持計算機(HP Jornada、Compaq Cseries等) 網路計算機(Sun Java Station、IBM Network Station等) Windows終端(Win CE、DOS、Linux等操作系統) 網路終端(如Wyse Winterm 5000) 機頂盒設備(如BocaVision STB121) 而Windows 2000 Server中的終端服務功能只能在下列設備上得到實現: PC(Windows 3.11或以上版本) 手持計算機(HP Jornada、Compaq Cseries等) 基於Win CE的WBT 客戶端應用特徵 MetaFrame和Windows 2000 Server都具有點陣圖緩存、自動建置列印機、剪貼板復位向等功能,但MetaFrame更能提供如下卓越功能: Seamless Windows:用戶可把本地和遠程的應用程序無縫地集成在同一個窗口,使用戶使用應用程序時,感覺不到程序在本地還是伺服器上運行。 Business Recovery Client:保證客戶端業務的連續性,提高系統的容錯水平。 Program Neighborhood:該功能可以方便地將基於伺服器的應用程序的圖標,發布到用戶的客戶端,或直接放到用戶的32位Windows桌面上或「開始」菜單的程序集中。 伺服器應用特徵 在應用伺服器端,MetaFrame可以用戶提供系統管理的功能特徵: 一對一的Shadowing 一對多的Shadowing 多對一的Shadowing 跨伺服器的Shadowing 應用程序發布 Program Neighborhood 跨域管理 跨子網管理 客戶端自動升級 Shadow工具欄 發布應用程序到Web上 管理員工具欄 而Windows 2000 Server的終端服務僅僅提供一對一的Shadowing功能。 管理服務 在MetaFrame 產品之上,Citrix公司提供功能強大的服務軟體,主要包括: Load Balancing:動態路由用戶至「最休閑」的伺服器,以實現優化的負載平衡和集群管理,賦予系統強大的可靠性和可擴展性。沒有負載平衡功能構建的網路,只能是每台伺服器單獨運行,而且隨用戶的增加,系統不能擴展。W2K的Terminal Service沒有負載平衡技術。 Advanced Load Balancing:附加提供應用程序的發布與管理服務功能。 資源管理服務(RMS):系統管理員有效控制整個系統的資源配置和效率。 安裝管理服務(IMS):簡化對多個應用伺服器的系統及應用的安裝、設置和管理工作。 安全管理服務 加密技術 在此方面,Windows 2000 Server能夠提供資源管理服務、加密技術,而 Windows 2000 Server終端服務的NLB(Network Load Balancing)功能僅限於Windows 2000 Advanced Server版本,並且是一種「輪詢式」負載平衡,只能用於作Web Server,不能用於應用伺服器的集群工作模式。因此,Citrix MetaFrame尤其適用於基於廣域網的企業級集中控管系統,極大拓展和增強了Windows 2000 Server的涵蓋范圍和功能特徵。
D. citrix伺服器端如何配置啊怎麼設置伺服器
1、 在瀏覽器中輸入http://ServerName/Citrix/MetaFrameXP/wiadmin
2、 輸入本機的管理員帳號名和密碼,還有機器名(如果加入域,則可以使用域的帳號)
3、選擇左側欄中的Server-Side Firewall
把「Default address translation setting」項從Normal address 修改成Translated address
4、Specific address translation settings的 Client address prefix一項,輸入也要訪問這台CITRIX的內網IP地址的網段地址(例如:10.0.)然後點擊ADD按鈕,下面的框中會出現這個設置。可以輸入多個網段。
5、MetaFrame server address translation map中,上面寫內網的IP地址,外面寫供外部訪問的IP地址(用花生殼的填上的的域名),寫完以後點擊ADD。
6、全部做完以後,點擊最下面的SAVE按鈕
7、點擊新出來畫面的APPLY CHANGES,再次點擊APPLY CHANGES8、防火牆上設置NPT,轉發80、1494埠。
Web Interface (WI) and NAT
Internal LAN
For instance you internal IP range is 192.168.x.x
With a default installation of the Web Interface (NFuse) it will work
for you LAN Clients. Of course, when connecting over the Internet, a
home User will NOT get any response from 192.168.x.x
Set the Public IP for the Citrix MetaFrame Servers
Whether residing on the DMZ, or the local LAN. Let's also say, the
Public IP is 123.123.123.1 On the Citrix Servers you need to run the
altaddr command, to tell the servers to respond with the Public address, if
needed.
On the command line run: altaddr /set 123.123.123.1
FireWall Settings for Citrix & Web Interface
Asuming Citrix MetaFrame/Web Interface are in the DMZ,
enable following rules:
- Allow TCP Port 1494 WAN to DMZ inbound (Citrix ICA)
- Allow high TCP Ports (1023 - 5000) outbound (Citrix ICA)
- Allow TCP Port 80 WAN to DMZ In- and outbound (HTTP)
(Check FW from outside with:
"Telnet 123.123.123.1 1494" and "Telnet 123.123.123.1 80")
Web Interface NAT Configuration
On the Web Interface Server either configure:
A: The alternative address use in the admin page
http:///Citrix/MetaFrameXP/WIAdmin/
Don't forget to SAVE and APPLY Settings
or
B: Make sure the two sample lines below are in the NFuse.conf
(needs an IIS reset if changed outside the WI admin page, run IISRESET
on the command line)
AlternateAddress=Mapped
ClientAddressMap=192.168.0.,Normal,*,Alternate
(Don't forget the last dot in the local IP range!)
After these changes, the template will get filled with the alternate
address for Internet users, and the internal address for your LAN
Clients.
Configuring NFuse 1.x for Use with Network Address Translation (NAT)
CTX584485
Back to the Index