Proxy Server代理服务器（轉載）

宽带IP城域网开通以来，单位连上了宽带网，10M的带宽让我们感受到了宽带的魅力。电信只提供7个IP地址，对任何一个单位来说都太少了，常用的解决办法是使用代理服务器。微软的MS Proxy Server 2.0是一个优秀的代理服务器软件，是为企业级用户访问Internet提供的代理服务解决方案，它同时还是一个内容缓存服务器和网络防火墙。MS Proxy Server支持几乎所有的网络协议，完全能够胜任宽带的应用。MS Proxy Server有Web（Web Proxy）、WinSock（WinSock Proxy）和Socks（Socks Proxy）三个部分的代理服务功能，其中Web Proxy支持HTTP、FTP等服务，WinSock Proxy支持Telnet、电子邮件、RealAudio、IRC、ICQ等服务，Socks Proxy负责中转使用Socks代理服务的程序与外界服务器间的信息交换。MS Proxy Server在运行Windows 2000/NT的服务器上安装后，下面的各工作站就可以使用Web Proxy提供的服务，可以上网浏览、使用FTP等。如果要使用WinSock Proxy和Socks Proxy提供的服务，则必须要在客户端安装配置程序，并且要在服务器端进行设置。
　　 （一）Microsoft Proxy Server 2.0 服务器端的安装?
　　 在Win2000/NT Server环境下的安装之前，必须要安装好Internet Information Services
（IIS4.0/5.0），Windows NT Server 4.0则要安装 Service Pack 6.0 。
　　 1、在已经安装了 Internet Information Server (IIS) 4.0/5.0 和 MS Site Server 3.0 的计算机上安装 Proxy Server 2.0 时，必须在安装 Proxy 2.0 之前先必须手动停止以下服务：?
　　 Site Server Authentication Service?
　　 Site Server LDAP Service?
　　 Site Server Message Builder Service?
　　 Microsoft SMTP Service?
　　 FTP Publishing Service?
　　 World Wide Web Publishing Service?
　　 IIS Administrator Service?
　　 还可以从命令提示符键入如下命令：?
　　 net stop "IIS Admin Service" /y?
　　 这将停止 IIS Administrator Service 以及所有相关的服务。2、MS Proxy Server 2.0 需要的 Windows 2000/NT 文件系统 (NTFS) 权限。如果使用的是FAT文件系统，则要将FAT转化为NTFS，在Command Prompt窗口里的命令行上键入convert C:/FS:NTFS。在 Internet Information Server 计算机上运行 Proxy Server 2.0 时，必须具有某些 Windows 2000/NT 文件系统 (NTFS) 的访问权限。?
下面列出了正确的 NTFS 权限：?
　　 \Program Files\Common Files （包括所有子目录）: 读权限 (RX)
　　 \temp （包括所有子目录）: 更改权限 (RWXD)
　　 \winnt: 读权限 (RX)
　　 \winnt\system32: 读权限 (RX)
　　 \winnt\system32\inetsrv: 读权限 (RX)
　　 \inetpub\scripts: 读权限 (RX)
　　 \inetpub\scripts\proxy: 读权限 (RX)
　　 \urlcache : 更改权限 (RXDW)
　　 确保 NTS 权限所列出的 Administrators 组和 System 帐户对所有这些文件夹具有“完全控制”权限。另外，还要将 Everyone 组添加到这些权限中。如果使用的是“访问控制”，并且要最大程度提高安全性，请将具有上面列出的可用 NTFS 权限的用户/组添加到每个文件夹上。例如，如果有一个叫“JSProxy”的组，那么，请将在上面NTFS 权限应用到具有为每个文件夹所列出的 NTFS 权限的每个文件夹。 Microsoft Web Proxy 通过 Microsoft Internet Information Server (IIS) 在 Proxy 日志中交互地记录并放置 Proxy 用户，所以如果只使用匿名帐户 (IUSR_ computer_name),那么必须将此帐户的 NTFS 权限应用到以上所有文件夹。
　　 3、在微软的网站上下载MS Proxy Server 2.0 的补丁程序：Proxy Server 2.0 SP1 ，Proxy Server 2.0 Security Patch for Unchecked Buffer in Gopher Protocol Handler等程序。在服务器端安装好Proxy Server 2.0后，在打补丁程序。
　　 4、Microsoft Proxy Server本地地址表(LAT)?
　　 在Microsoft Proxy Server安装期间，Setup程序帮助你创建一份组成你的内部网络的IP地址表。你所提供的信息是被用来创建一份叫做Local Address Table (LAT)的表的，它规定了你的内部网络。对你的内部网来说是外部的那些IP地址都特别地被排除出这份表。
Setup程序在服务器上安装LAT包含LAT的文档的名字是Msplat.txt，它在服务器上的缺省位置是C:\Msp\Clients（如果你把 Microsoft Proxy Server安装在服务器上的不同位置上，那么Msplat.txt文档会相应地重新定位）。Microsoft Proxy Server Setup程序也在这个目录里安装一个客户机的Setup程序。
　　 Microsoft Proxy Server Setup程序在服务器上设置\Clients子目录作为网络共享，名字为Mspclnt。客户机只要连到\\Servername\Mspclnt,然后运行客户机Setup程序，就可以与这个共享相连。客户机Setup程序把客户机计算机设置成WinSock Proxy service的一个客户机，并且还试图把客户机计算机的Internet浏览器设置成Web Proxy service的一个客户机。(客户机Setup所作的确切的客户机设置取决于在Microsoft Proxy Server Setup期间你所作的设置选择。)?
在客户机Setup期间，LAT文档(Msplat.txt)被拷贝到了客户机。为了保持客户机的LAT文档是当前的，定期经常地从服务器里更新 Msplat.txt文档。每当客户机上的一种Windows Sockets应用程序试图与一个IP地址建立连接时，LAT就用来确定一个IP地址是在内部网上的还是外部的。如果这个地址是内部的，那么就直接连接。如果地址是外部的，那么就要通过Microsoft Proxy Server上的WinSock Proxy服务来作远程连接。
因为单位在一栋大厦里有1—10层办公，通过局域网一台代理服务器上网，大概有500—600台机器上Internet网,所以添加LAT 的IP地址为192.168.1.1—192.168.1.255，192.168.2.1—192.168.2.255，192.168.3.1— 192.168.3.255，子网掩码为255.255.0.0，为各处室部门规划IP地址，根据IP地址划分网段，建立虚拟VPN网络。
　　 5、在[Installation Options]设定安装选项 ,选择Proxy Server 默认的安装组件；在[Cache Size for Selected Drive]中的C:的Maximum Size 为1000MB；在[Client Installation/Configuration]中Computer name 输入：Jsproxy，选中Automatically configure Web browser during client setup 选项，Proxy:Jsproxy，Port：80；在[Access Control]中选择Enable Access Control for the Winsock Proxy Service 和 Enable Access Control for the Web Proxy Service 两个选项。
　　 6、在安装过程中Proxy Server2.0 会提醒它具有Packet Filtering（封包过滤）的功能，该功能可通过管理工具设定。在安装好Microsoft Proxy Server2.0 之后，我们可以启动Internet 服务管理器，可以看到多了3个站点，它们分别是Socks Proxy、Web Proxy 和 WinSock Proxy ，要想进一步了解这些功能，则可点选[开始]→[程序] →[Microsoft Proxy Server] →[Microsoft Proxy Documentation]选项，就可以看到Proxy Server2.0使用的帮助目录。
(二）Web Proxy 2.0 的管理与设定?
　　 1、用户身份验证
　　 Microsoft Proxy Server 身份验证与IIS 的WWW 服务身份认证有着相同的方法。要设定Proxy Server 的身份验证，在Internet 服务管理器中展开[默认的WEB 站点] →展开[SCRIPTS] →点选[Proxy]项鼠标弹出式菜单的[属性]选项，点选该选项后会出现该虚拟目录的内容，点选[目录安全性]页签→按[匿名访问及验证控制]项的[编辑]按钮。
　　 Proxy Server会在“默认的Web 站点”中添加一虚拟目录，通过控制该虚拟目录的安全设定就可以控制客户端的连接行为，包括“IP 地址与域名限制”的设定。
　　 2、Web Proxy 的使用权控制
　　 在Internet 服务管理器中点选[Proxy Server] 鼠标右键弹出式菜单的[属性]选项→点选[Permissions] 页签。在Web Proxy 中我们可以使用FTP、Gopher、WWW 和 Secure 四种通讯协议来访问网络资源，如果将[Enable access control]选项勾选去掉，则不开放任何人通过Web Proxy 访问网络资源；虽然勾选了[Enable access control] 选项，则必须添加上面四种通讯协议中某种协议的客户端具有访问权限的帐号。
　　 3、客户端连接设定
　　 在客户端通过Proxy Server 的连接上Internet， 在浏览器（以IE5.0为例）中点选[工具] →[Internet 选项] →点选[连接] 页签，按上[局域网设置]按钮，设定代理服务器，勾选[使用代理服务器]，输入地址如http://192.168.1.1，端口为80，按[确定]按钮，关闭所有的对话，即可上网。4、限制可访问的网站
　　 在Proxy Server 中可以设定允许访问的网站进行过滤连接：如过滤一些****网站，反动的网站等。想要作网站访问的限制，进入Web Proxy 的属性中设定，按上[Security]按钮，出现“Security”对话框后点选[Domain Filters] 页签。
　　 在默认的情况下并未启动该功能，勾选[Enable filtering(requires direct Internetaccess)]选项，然后使用[Granted]或[Denied]来加入可以或拒绝访问的网站。如点选[Granted] 选项后再按[Add]按钮，输入IP 地址192.45.0.6，则用户想访问该网站，会看到造受拒绝访问的报警画面。
　　 5、Web Proxy 的高速缓冲设定
　　 在安装Microsoft Proxy Server 2.0 服务器端时就曾经设定过高速缓冲的磁盘位置与大小，如果要进一步设定高速缓冲的功能，进入Web Proxy 的内容设定后再按[Caching] 页签。选项功能说明如下：
　　 Enable caching：勾选本项后方能启动Proxy 的高速缓冲功能。
　　 Cache expiration policy：设定高速缓冲数据使用期限的策略，可分为下面3种形式：
　　 Update are more important点选本选项会使得高速缓冲区经常更新，因此会增加网络与服务器的负担。
　　 Equal important：点选本选项是觉得数据更新与高速缓冲性能一样重要。
　　 Few network access are more important：点选本选项会着重在高速缓冲的性能，因此当客户端要求数据网页数据时Proxy Server 会将高速缓冲区内的相同网页优先送给客户端。
　　 Enable active caching：勾选本选项会启动主动式高速缓冲功能，所谓的主动式高速缓冲功能是当高速缓冲区中的网页数据快到期时，Proxy Server 会根据目前网络的流量自动更新网页。可分为下面3种形式：
　　 Faster user response is more important: 勾选本选项会让Proxy Server 经常自动更新高速缓冲区的数据，因此会增加网络与服务器的负担。优点是当客户端要求网页数据时Proxy Server可以做较快速且正确的回应。
　　 Equal important：如果觉得服务器性能、对外网络的流量与服务客户端的品质一样重要时可以点选本选项。
　　 Few network access are more important：如果觉得减少网络流量比较重要，可以点选本选项。
　　 三、客户端Proxy Client 的安装
　　 有两种方式安装Proxy Client：
　　 第一种方式是在[网上邻居]中找到安装Proxy Server 的机器，然后看到该机中含有mspclnt 共享的文件夹，进入mspclnt 文件夹，然后执行setup.exe来安装该客户端软件。
　　 第二种方式是在浏览器（如IE）中输入http://192.168.1.1/msproxy或http://servername/msproxy来浏览安装Proxy Server 后的网页进行安装，点选[Winsock Proxy2.0 Client]链接进行安装。
?? 四、网络故障的发现、诊断和排除
　　在单位组建代理服务器上宽带网（10M）时，我们安装代理服务器客户端软件、对电脑进行上网调试，发现故障及时排除。下面是解决有关问题的总结：
　　 1、安装代理服务器客户端软件
　　 对于安装win95/98 操作系统的客户机来说，必须以在代理服务器端开的用户名和密码登录，在该机的[网上邻居]设置好已分配的IP地址、子网掩码以及相应的工作组，在网上邻居找到代理服务器的机器名如Jsproxy或IP地址如192.168.1.1，点击之，找到mspclnt 共享的文件夹，进入mspclnt 文件夹，然后执行setup.exe来安装该客户端软件，安装完成后重启客户机。注意：代理服务器的客户端不需要输入网关和DNS，网络协议必须同时具有 TCP/IP和NetBEUI两种协议。
　　对于安装win2000/XP操作系统的客户机来说，在该机上设置好IP地址和子网掩码，只需要在网上邻居找到代理服务器的机器名如Jsproxy或IP 地址如192.168.1.1，点击之，输入在代理服务器端开的用户名和密码，则就可以找到mspclnt 共享的文件夹，进入mspclnt 文件夹，然后执行setup.exe来安装该客户端软件，安装完成后重启客户机。
　　 2、调试客户机上宽带网
　　 如果客户机配置好IP地址和子网掩码，重启客户机后（安装win95/98的机器需重启，win2000/XP 不需重启），首先我们要做的工作是：网络线路通不通？可以使用Ping 命令来检测与代理服务器的连通，ping 代理服务器IP地址如192.168.1.1，其间可以通过观看网卡、交换机或HUB 端口的指示灯来帮助我们来判断，也可以借助如Network Cable Tester 等工具测试网络双绞线RJ45好坏情况。其次要安装好代理客户端软件，一般情况下，在win2000/XP 环境下安装代理客户端软件不会遇到什么问题；而在win95/98 环境下安装代理客户端软件会则会遇到很多问题。
　　问题之一：单位许多旧的电脑安装win95/98系统，网络协议大多不全，也不可能格式化重装，因为机器里有许多数据，另一个原因就是没有网卡，驱动程序等造成这些电脑上网的难度。我们所做的工作就是要打开机箱，插上网卡，安装网卡驱动程序，增加或者删除重新安装TCP/IP 和NetBEUI 协议，检查网络线路是否通？安装代理客户端软件上网。
　　问题之二：对于win95/98系统的机器，用代理服务器端开的用户名和密码登录，在网上邻居找到代理服务器的机器名如Jsproxy或IP地址如 192.168.1.1，点击之，但找不到代理服务器的任何内容。我们分析了一下原因：可能是单位的另一台或几台客户机已用代理服务器端开的用户名和密码登录，造成这种情况。对于这种情况采取的方法有三种：第一是等单位下班或一上班开始安装代理客户端软件，因为采用这个时间是单位上网的电脑基本上关机或还没有开机。第二是采用FTP站点的方法来解决，将服务器上的代理客户端软件mspclnt 共享的文件夹作为FTP站点，通过FTP来安装代理客户端软件。如果前两种方法都不行，则可以采用第三种方法：那就是将服务器端的代理客户端软件拷贝到软盘上，将mspclnt目录下的i386 子目录文件内容拷贝到一张3.5 英寸软盘上，将mspclnt目录下的其它文件拷贝到另一张3.5 英寸软盘上。再将两张软盘的内容拷贝到该客户机上指定的目录下，在该机上直接安装即可。
　　 3、解决代理服务器上网的其它问题
　　通过代理服务器宽带上网，遇到的情况可能是第一次客户机上网速度较慢，需要耐心等待，以后就没有这个问题；如果等了很长时间不能上网，则在浏览器如IE 的Internet 选项的[连接] →[局域网设置]中去掉所有打勾的选项，点确认重启IE即可。还有可能会遇到的情况是有的网站上不上去，这时就需要点击浏览器的[刷新]按钮。另一种情况是网络是通的，网卡和交换机或HUB 的指示灯都正常，也安装了代理客户端软件，但是就是上不了网？我们分析了一下原因：主要是客户机采用的网卡是10/100M自适应的网卡或采用100M网卡，网卡显示的网速是100M；而宽带上网的带宽是10M（如采用10M的HUB），因此出现上面的情况。解决的办法是更改网卡的配置，将网卡的网速的值改为10 Full Mode 即可。