NNTP服务的安装与配置

NNTP是英文“Network News Transport Protocol”的缩写，翻译成中文叫做“网络新闻传输协议”。NNTP在功能上类似于目前最为流行的BBS(电子布告栏系统)，也根据内容的不同而划分若干个新闻组，任何人都可以在任何一个新闻组随意发表自己的意见、补充别人的观点，甚至组织一次讨论、主持一个论坛。因此，NNTP既是一个新闻中心和辩论中心，又是一个求助中心与救助中心，为技术交流、感情沟通和观点讨论提供了一个绝佳的解决方案。
  NNTP服务的安装：与SMTP服务不同，NNTP服务并不是Windows 2000默认配置的组件，也就是说，当采用典型方式安装Windows 2000时，不会安装NNTP服务组件。因此，若已经采用典型方式安装Windows 2000，则需要采用添加安装方式安装NNTP服务。当然，如果现在仍未安装，则可采用完全安装或定制安装的方式安装NNTP服务。
  第1步，在控制面板中双击“添加/删除程序”图标，显示“添加/刪除程序”对话框 (图9.1 )。

  第2步，单击“添加/删除Windows组件”显示“Windows组件向导”（图9.2)。

  第3步，在“组件”列表中选择“Internet信息服务（IIS)”，单击“详细信息” 按钮，显示有关Internet信息服务的所有子组件（图9.3所示)。

  第4步，在“Internet信息服务（IIS)的子组件”列表中，选中“NNTP Service” 复选框。 .
  第5步，单击“确定”按钮，并根据系统提示插入安装盘。至此，FTP服务器安装完毕。
  NNTP服务完成安装后将自动开始运行。默认认状态下，该NNTP服务器的标识为“默认NNTP 虚拟服务器”，主目录所在的文件夹为“c:\inetpub\nntpfile”，IP地址为“全部未分配”（即与所的有IP地址绑定在一起)，允许来自任何IP地址的用户以匿名方式访问，并自动建立4个新闻组，即control.cancel、control.newgroup、control.rmgroup和microsoft.public.ins。打开Web浏览器，在“地址栏”中键入“news://nntp_server_name”（可以是计算机名、IP地址或域名)，即可显示“新闻组预订”对话框（图9.4),用于预订新闻组。

  NNTP服务配置窗口：NNTP服务器的配置也在“Internet信息服务”窗口中进行。以管理员（Administrator)身份登录至服务器，依次单击“开始-程序-管理工具” -“internet服务管理器”显示“Internet信息服务”窗口(图9.5)

  设置IP地址和端口：使用“常规”选项卡（图9.6）可指定用于NNTP虚拟服务器的名称、IP地址和TCP端口。

  1.修改站点名称：在“常规”选顶卡的“名称”栏中可以设置该FTP站点的标识。该标识对于客户端的访问没有任何意义，其作用只是当服务器中安装有多个NNTP服务器时便于网络管理员加以区分。
  2.指定IP地址：在“IP地址”下拉列表中可以该NNTP服务器的IP地址。由于Windows 2000 Server可安装多块网卡，并且每块网卡可绑定多个IP地址，因此，服务器拥有多个IP地址是一件非常自然的事。如果不为该NNTP服务器指定特定的IP地址，即釆用默认的全部未分配”时，该站点)将影响所有指定到该计算机并且没有指定到其他站点的IP地址，也就是说，使用任何一个该计算机绑定的IP地址，都能成功访问该NNTP网站。当服务器拥有两个以上IP地址时，若欲只为该NNTP服务器指定一个IP地址，可在“IP地址”下拉列表中选择用于访问该NNTP服务器的IP地址。
  3.TCP端口:可以将默认的端口号更改为任意惟一的TCP端口号，但是，客户必须事先知道请求该端口号，否则其请求将无法连接到该NNTP服务器。也就是说，当采用默认值“119”时，用户须通过客户打开news://ipaddress如news://192.168.0.1即可实现对该网站的访问，而如果指定了非“119”的端口号时，则必须打开news://ipaddress:port如news://192.168.0.1:1100才能实现对该网站的访问。系统天下 http:///需要注意的是，端口号是必需的，因此“TCP端口”文本框不能置空。
  高级设置：如果只欲为该NNTP服务配置一个IP地址或所有的IP地址都很简单，但是如果为它配置两个或两个以上IP地址或不同的端口时，那就需要费一番功夫了。
  第1步，在“常规”选项卡中单击“高级”按钮，显示“高级”对话框（图9.7）

  第2步，在“地址”列表中选中“全部未指定”项，并单击“删除”按钮。
  第3步，单击“添加”按钮，显示“标识”对话框（图9.8）

  第4步，在“IP地址”下拉列表中选择欲分配给该Web服务器的IP地址（如192.168.0.1)在“TCP端口”中键入“119”或其他端口号，并在“SSL端口”框中键入SSL欲使用的TCP端口（默认端口为563)，单击“确定”。需要注意的是，每个虚拟NNTP服务器都由一组IP地址/TCP端口进行标识。也就是说，即使拥有相同的IP地址但有不同的TCP端口，或者使用相同的端口但拥有不同的IP地址，那么，仍然是两个不同的NNTP服务器。
  第5步，重复第3步至第4步操作，为该NNTP服务器指定多个IP地址。
  第6步，单击“确定”按钮，保存所做的修改。
  第7步，在“路径标头”框中键入用于每个新闻发布中的“路径行”的路径标题。
  访问控制：在NNTP服务器中，可以有效地利用用户身份验证、证书验证以及IP地址和域名验证等方式，限制用户对新闻组的访问。使用“访问”选顶卡可配置到NNTP虚拟服务器的客户机访问以及建立传输安全性。使用“访问控制”可以配置Miciroooft NNTP Service以允许匿名访问或提示用户输入用户名和密码。一旦授予访问权限“安全通讯”便可以为虚拟服务器设置安全性，“连接控制”则允许授权或拒绝特定的用户或组对虚拟服务器的使用。访问控制NNTP服务的验证方式共有4种，即匿名访问、客户身份验证。
  (1)匿名访问
  第1步，在“属性”对话框中选择“访问”（图9.9）

  第2步，单击“身份验证”按钮，显示“身份验证方法”对话框（图9.10)。

  第3步，选中“允许匿名”复选框，任何用户都无需用户名和密码即可访问NNTP服务器。允许匿名连接后，对资源的所有请求都不会提示用户输入用户名或密码，而将它默认为由ISS自动创建的用户名为IUSR_computername (其中computernaiue为FTP服务器的计算机名）的Windows用户账户，作为其用户名。如果清除了该复选框，用户在登录到NNTP服务时，需要输入有效的Windows用户名和密码。如果Windows 2000不能证实用户的身份，服务器将返回错误消息。
  单击“匿名”按钮，显示“匿名账户”对话框（图9.11）使用此窗口可选择用于对Microsoft NNTP Service进行匿名访问的Microsoft Windows账户，在用户名框中键入欲设置为映射为匿名的Windows 2000账户，也可单击“浏览”选择一个Windows 2000账户。授予该账户的权限将决定匿名用户可汸问哪些新闻组。然后在“密码”框中键入用于该账户的密码，并单击“检査”，以查看“用户/密码”是否有效.选中“启动自动密码同步”复选框,可以在Windows 2000 Server中的密码更改时，自动更新Microsoft NNTP Service中的密码。

  第4步，单击“确定”按钮，保存新做的修改。
  （2）基本身份验证用于下列两种倩况，即禁止匿名访问的情况和使用NTFS访问控制列表限制访问的情况。
  第1步，在“属性”对话框中选择“访问”选顶卡，单击“身份验证”按钮，显示“身份验证方法”对话框。
  第2步，选中“基本身份验证”复选框，启用“基本（明文）”密码验证，用户在登录到NNTP服务时，需要输入有效的Windows用户名和密码如果Windows 2000不能证实用户的身份，服务器将返回错误消息。需要注意的是，该验证方式足基于新闻组目录下的NTFS访问控制列表（Access Control List)来限制每个用户的权限的。另外，该种验证并不十分安全，因为用户是以未加密的形式通过网绝传送密码和用户名的，因此，有时反而会因此而泄露重要用户的密码，给数据和网站安全造成隠患。
  第3步，单击“确定”按钮，保存所做的修改。
  (3)Windows安全程序包
  第1步，在“属性”对话框中选择“访问”选顶卡，单击“身份验证”按钮，显示“身份验证方法”对话框。
  第2步，选中“Windows安全程序包”复选框，可启用Microsoft Windows 2000 Server提供的标准“安全程序包”安全机制。
  第3步，单击“确定”按钮，保存所做的修改。
  需要注意的是“Windows安全程序验证使用加密技术验证用户的身份，并且不要求用户通过网络传送实际密码，因此，可有效地保护用户的安全，并最终保护计算机安全。使用“Windows安全程序包”验证方式时，要求客户端（如Microsoft Outlook Express) 也支持该验证方法。这种方法也可以使用NTFS的访问控制列表，但是它使用的是Windows NT账户级的安全性。如果初始的认证失败，用户将被要求输入用户名/密码信息。
  (4)启用SSL客户身份验证
  选中“启用SSL客户身份验证（需要服务器证书)”复选框，使用SSL加密和证书安全的客户机验证。当已经从一个合法的认证机构那里得到了服务器证书以后，就可以将它应用于 新闻服务器，也就是可以在SSTP服务器与客户端之闾建立一个安全数据的加密通道进行通信。
当然，由于加密和解密的关系，使用SSL客户身份认证，将加重服务器和客户端处理器的负 担，导致服务器性能的急剧下降，因此，除非信息非常敏感，否则，建议不采用SSL客户身份验证。
  第1步，在“属性”对话框中选择“访问”选顶卡，选中“启用SSL客户身份验证（需要服务器证书）”复选框。
  第2步，选中“需要SSL客户身份验证”复选框，要求客户机提供SSL加密的用户名和密码。
  第3步，选中“启用映射到Windows用户账户的客户证书”复选框，如果客户机安装了SSL客户机证书，则使用Microsoft Windows账户（被映射到证书以验证用户身份)。
  第4步，单击“客户映射”按钮，显示“账户映射”对话框。 
  需要注意的是，采用该验证方式时，要求连接NNTP服务器的客户端也必须安装有客户证书，否则，SSL将无法正常工作。
  连接控制：虽然可以通过用户验证的方式解決敏感信息的访问问题，但对于那些授权用户而言，每次访问该站点时都需要一次次地键入用户名和密码，实在是太麻烦了。那么，有没有更为简捷的方式控制对NNTP服务的访问呢？当然有，这就是IP地址及域名限制。通过适当的配置，即可允许或拒绝特定计算机、计算机组或域访问NNTF。
  第1步，在“属性”对话框中选择“访问”选顶卡。
  第2步，单击"连接”按钮，显示“连接”对话框（图9.12)

  第3步，设置允许访问NNTP虚拟服务器的计算机或计算机范围。选择“仅以下列表”选项，仅将访问权限授予列表中所列出的计算机、机算机组或域，该方案适用于仅授予少量用户访问权限的情况，若欲授予大量用户访问权限，而只是阻止少量用户对该Web网站的访问，请使用 “仅以下列表除外”选项。
  第4步，单击“添加”按钮，显示“计算机”对话框（图9.13）

  单台计算机。当欲添加至列表的计算机的IP地址不连续时，可使用该方式逐一添加。在“IP地址”框中键入软加入至列表的计算机的IP地址，并单击“确定”如果不知道计算机的IP地址，可使用其域名逬行査找。单击“DNS查找”，在“DNS 查找”对话框的“键入DNS名”文本框中键入计算机的DNS名，然后单击“确定”IIS将在当前域中搜索计算机，如果找到，将在“IP地址”文本框键入它的IP地址。计算机组，当欲将某一连续IP地址段的多台计算机添加至列表时，可使用该方式同时添加多台计算机。当局域网拥有多个IP子网时，由于子网中的所有计算机有相同的子网标识和自己的主机标识，因此，可通过指定网络标识和子网掩码的方式，选择一组计算机。例如，如果主机拥有IP地址192.168.8.1和子网掩码255.255.255.0那么，子网中的所有计算机将拥有以192.168.8开头的IP地址。要选择子网中的所有计算机，可在“网络标识”文本框中键入192.168.8.1在“子网掩码”文本框中键入255.255.255.0域。当欲将某一域的计算机添加至列表时，也可以域名的方式添加。选择“域名”选顶，并在“域名”框中键入欲添加至列表的域名，如WWW.hsnc.net。
  第5步，单击“确定”按钮，关闭两个对话框。
  消息控制：使用“设置”选顶卡，可配置新闻文章和新闻供给的大小的最大限制，并可指定须经审查 的邮件发送到的SMTP服务器。当Microsoft NNTP Service配置用于须经审査的文章时、将会自动把文章发送到指定的SMTP服务器以发送给审査方。如果文章不能发送给审查方，那么，将向系统管理员电子邮件账户发送一个未发送报告（NDR)。若欲使这些消息被SMTP处理，SMTP服务器上必须有一个账户。可以指定当新闻组没有定义指定的审査方时，须经审查的邮件被发送到的默认域。如果有多个须经审查的新闻组时，请配置一个默认域
  第1步，在“属性”对话框中选择“设置”选项卡（图9.14）

  第2步，选中“允许客户张贴”复选框，允许新闻客户机将文章发布到该NNTP虚拟服务器。取消该复选框，将禁止用户将文章发布至该NNTP虚拟服务器。选中“限制张贴大小（KB)”复选框，定义客户端可以发布到该NNTP虚拟服务器的每个文章的最大容量，默认值为1000KB。该限制有助于社绝单个新闻容量过大的问题。清除该复选框, 可取消对新闻文章大小的限制。选中“限制连接大小（MB)”复选框，定义在单个连接中新闻客户机可以发布到该NNTP虚拟服务器的所有文章总容量的最大值，默认值为10MB。该限制有助于社绝用户在连接建立后，虽然发送的单篇新闻文章不超过限制，但新闻发送总量过大的问题。清除该复选框，可取消对单个连接所发送文章总量最大容量的限制。需要注意的是，利用上述选顶，可最终解决用户对NNTP虚拟服务器和网络带宽的滥用问题, 也是杜绝恶意攻击的重要措施。
  第3步，选中“允许供给张贴”允许新闻传递将文章发布至该NNTP虚拟服务器。选中“限制张贴大小（KB)”复选框，定义新闻客户机可以发布到该NNTP虚拟服务器的每篇文章的最大容量，默认值为1500KB。该限制有助于社绝单个新闻容量过大的问题。除该选框，可取消对新闻文章大小的限制。选中“限制连接大小（MB)”复选框，定义单个连接中新闻传递可以发布到该NNTP虚拟服务器的所有文章的最大容量，默认值为40MB。该限制有助于社绝其他NNTP服务器在连接建立后,虽然发送的单个新闻文章不超过限制，但新闻发送总量过大的问题，清除该复选框，可取消对新闻文章总量大小的限制。需要注意的是，利用上述选顶，可最终解决远程NNTP服务器对该NNTP虚拟服务器和带宽的滥用问题，可有效避免垃圾新闻的扩散，也是社绝恶意攻击的重要措施。
  第4步，选中“允许其它服务器从此服务器接收新文章”，允许其他新闻服务器从该NNTP虚拟服务器接收新闻文章。若取消该复选则不允许其他新闻服务器从该NNTP虚拟服务器接收新闻文章，拒绝为其他新闻趿务器提供服务，也是节约网络带宽的有效措施之一
  第5步，选中“允许控制消息”复选框，则允许用户和服务器向该新闻服务器发送控制信息，控制消息被自动处理并且随后记录在事务日志中。控制消息用于指定NNTP服务执行特定的操作，如从新闻组中删除一篇文章，建立一个新的新闻组，刪除一个存在的新闻组。这些消息一般通过另一新闻服务器发送，但是也可以被黑客用来定位新闻服务器，从而使该服务器易遭受攻击。若欲只记录而不处理控制消息，则清除该复选框。
  第6步，有些时候，可能出于政治敏感性等方面的考虑，并不是所有的新闻文章都被允许发表，此时，就可以设立缓沖新闻组。提交到缓沖新闻组中的文章并不被立即发表，而是苜先被发送至新闻组的审査人，审查人有权利批准（并发表）文章或者拒绝（并拋弃）文章。使用 缓沖新闻组时，需要一个SMTP服务器，以便将新闻文章发送给组中的仲裁人。在“审查组的 SMTP服务器”框中键入指定的SMTP邮件服务器，以转发发布到审査组的消息。该值必须是一个已向DNS注册的有效的计算机名（带一个有效的IP地址)，或是一个目录路径。目录路径仅用于发送到指定目录位置的须经审查的邮件。
  第7步，如果没有为缓沖新闻组指定审查人，那么，系统将使用在“默认审查方域”框中指定的电子邮件地址转发该新闻。也就是说，当没有指定审查人时，发布到须经审查的新闻组（没有指定审查方）的文章将被发送至“news_group_name@idefault_moderator_domain”。 其中，news_group_name是文章发送至的新闻组名，default_moderator_doinain是为该选项指定的值。
  第8步，当不能将须经审查的新闻组文章发送给指定的审查方时，系统将把未发送报告(NDR)发送给在“系统管理员电子邮件账户”框中指定的电子邮件地址。需要注意的是，若欲启用发送NDR，须在以下注册表顶中创建一个名为MailFromlleader且值为1的新DWORD:HKEY_LOCAL_MACHINE\SYSTEMICurrentControlSet\Services\NntpSvc\Parameters\
  第9步，单击“确定”按钮，保存所做的修改。
  虚拟NNTP服务器管理：在“internet信息服务”窗□的控制台树中，选择欲执行操作的虚拟NNTP服务器，右击鼠标，并在快捷菜单中选择“启动”、“暂停”“停止”“删除”等命令，即可启动、暂停、停止该虚拟NNTP服务器的运行，或删除该虚拟NNTP服务器。