本文是因應雜誌邀稿所寫，所以對象鎖定為中小企業，實際上也適用於校園網路建置。一、前言
　　 2000 在上市後，並未如預期引起很大的旋風，一方面與Linux的興起有關，另一方面則因為微軟公司面臨美國司法部分家的判決，對微軟的聲勢也不無影響。過去在Internet伺服器的市場，微軟的產品除了IIS獲得廣泛肯定以外，其餘應用領域可以說是無用武之地，同時因為Linux的網路功能完整又免費，所以微軟只能繼續稱霸工作站級的市場。在Win2000推出之後，這種情況即將會起變化。
　　
　　隨著Win2000的推出，此新版的NT作業系統，因為在網路機制上做了大幅度的改進，能夠更契合的融入網際網路之中，所以幫助微軟公司跳脫出區域網路供應商的角色，而能夠轉戰到大型伺服器、網際網路市場，與UNIX一決雌雄。玩過Win2000之後，我們知道微軟的野望不會只是空想。
　　
　　除了伺服器的持續改良，在功能上面由於微軟公司與公司的結盟，為Win2000帶來了一些重要的變化，過去因應Router需求而開發的許多通訊協定和機制，有部分已被內建於Win2000之中，使得Win2000也具備了部分路由器功能。對中小型企業網路來說，使用Win2000當Router不失為一個良好的選擇。
　　
　　本文擬就企業級網路的建構來探討Win2000在這方面的實力，本文所說的「企業級」網路，是專指中小型企業的公司內部網路，電腦數量在5台到500台的範圍內。至於大型公司或ISP級的大型網路，不在我們討論之列。
　　
　　二、Win2000內建伺服器
　　為了攻佔伺服器市場，微軟在Win2000中大量內建了各種伺服器，純粹就機能而論，雖然還無法與Linux平台相提並論，但是在安裝設定、管理介面上面，比起Linux更能吸引眾多MIS人員的目光，這也使得Win2000具備了與Linux抗衡的競爭力，特別是對特殊需求不高的中小企業網路來說更是如此。雖然筆者也是Linux的愛用者，但也不得不對Win2000的這種做法表示欣賞。
　　
　　Win2000在網際網路上的各種伺服器，除了將以往舊有的網頁（IIS）伺服器進行了系統增強的改版以外，還內建了電子郵件及多媒體影音伺服器，可以讓想要建構網際網路服務，但是又對UNIX不熟悉的公司或個人，得以輕鬆的建構網站，可以說真正做到隨裝即用的境界。
　　Win2000的電子郵件伺服器與IIS一樣，可以結合的帳號管理功能，達到擁有一個帳號就可以登入Windows網路和收發電子郵件的能力，大幅簡化了帳號管理的工作。如果您只是要一個標準的Internet郵件伺服器，而不需要複雜如Exchange Server，外加一大堆排程、投票、會議功能在裡面，使用內建電子郵件伺服器是一個不錯的選擇。
　　多媒體影音市場，一直是被real network等幾家影音伺服器的技術先行者所掌握，此次將多媒體影音伺服器內含在Win2000中，也是一種市場攻防策略。Win2000內建的影音伺服器功能完整，除了支援NetShow隨選視訊以外，也支援即時影像（Multicast）的推播。如果您對播映品質的要求不高，而且主要是要對Internet上的廣大群眾服務，那麼採用這種Client端已經內建在瀏覽器裡面的方案，的確是便宜又大碗。
　　新增加的網路驗證（RADIUS）伺服器，可以針對一些帳號管理比較麻煩的網路設備做設定。以撥接終端伺服器為例，過去必須以telnet方式連線，然後以手動方式，一筆一筆將使用者帳號加到users pool裡面，當使用者人數眾多時，這種管理方式就顯得吃力，再加上使用者無法自己隨意變更密碼，必須由網路管理人員親自服務，不但工作負荷太重，也浪費了人力。現在您只要讓Win2000來管帳號，公司內部現有的NT帳號就可以直接使用，不必另外加建帳號。當撥接時，撥接終端設備只負責PPP連線，而由Win2000來進行帳號認證的工作，這樣可以有效減輕管理工作。如果再配合WSH（Windows Script Host）程式，可以做到自動管理帳號的功能，進一步使網管的工作負擔更輕。
　　以往固有的幾種伺服器在Win2000中或多或少都有所進步，IIS 5.0比起IIS 4.0要來得，在SSL安全連線方面再加以改良（取名叫SGC），認證方式不同意味著更難破解入侵，連線交易也就更為安全。IIS 5.0在ISAPI上面也作了一些改良，使得UNIX上面的一些Web模組更容易移植到Windows平台，例如：Perl、PHP......等等。最特殊的是，遠端列印現在也可以在網頁上直接管理了，這項功能更是前所未有的妙點子。
　　DNS和DHCP的改變幅度也相當大，真正做到在UNIX上面還很難達成的動態DNS。也就是能夠讓DNS與DHCP相互溝通，在不需要人力介入的情況下，自動管理電腦主機的正反解紀錄。
　　三、解決上網連線問題
　　Win2000除了以內建伺服器程式來擴大Win2000的打擊面以外，在網路機制方面，Win2000也揚棄舊有的NetBEUI通訊協定，全面改採TCP/IP通訊協定，並新增許多在UNIX世界行之多年的網路機制。其中對網路建置最有幫助的網路位址轉譯（NAT）及IP防火牆功能，則已內建在Win2000裡面。
　　所謂網路位址轉譯（NAT），就是用一台NAT Router來擔任內部網路與外部網路的中介者（白手套啦），NAT Router在接收到內部網路送來的封包時，會改寫封包裡頭的TCP/UDP標頭（header），將假IP改為合法IP之後再傳輸出去，同樣的從外部網路進來的封包，也會經過轉譯，再傳輸給相對應的內部工作站或伺服器。
　　NAT的機制又可區分為一對一，多對一，多對多三種。一對一是一個假IP對應成一個合法IP，主要用來做對外服務伺服器的對應（詳見後文）；多對一是把整個內部網路的假IP對應成設定在NAT Router上的合法IP，對外部網路來說所有的網路服務要求都來自NAT Router，而實際上是來自整個內部網路；多對多也是用來做大批工作站的對應，和多對一對應一樣其目的就是要解決合法IP不足的困境，例如：內部250台電腦共用6個合法IP，以便向外部網路取得服務。
　　
　　Win2000裡面依據不同需求，將NAT功能細分成兩種，較簡單的是用來作數據機分享的ICS，以及較複雜的全功能NAT；前者是以多對一的機制來實作，後者則三種對應都可以使用。這兩種NAT功能都可以應用來解決上網連線問題，底下就模擬兩種常見的狀況，來說明如何使用Win2000的NAT機制。
　　注意：這些例子裡所引用的網域名稱以及IP位址都是筆者假設的，請依照您自已的狀況來設定，不要完全照著做。
　　模擬狀況一：分享Modem撥接服務（ICS）
　　A公司為某企業加盟店，公司內部僅有五台工作站，而且只有一台Modem，想讓其他電腦也能上網瀏覽網頁或收發電子郵件，該怎麼辦？
　　　
　　解決方式：
　　
　　1.架構一個區域網路，以HUB連接所有的工作站。
　　2.架設一台Win2000並安裝Modem，接著使用連線精靈設定ISP的撥接帳號。
　　3.此台Win2000的IP設定為假IP 192.168.0.1。
　　4.請打開Win2000上面的「網路和撥號連線」視窗，在設定好的撥號連線上面，按右鍵選內容，在「共用」活頁中將共用功能開啟。
　　5.請執行Win2000上面的「路由及遠端存取」管理員，編輯「網路位址轉譯」的內容，將「內容」視窗裡面的「位址指派」功能開啟。此位址指派功能，是一個簡化版本的DHCP Server。
　　6.請將「內容」視窗裡面的「名稱解析」功能開啟。指定「當需要名稱解析時便連線到公共網路」，撥號介面指定為先前所設定的撥號連線。
　　7.所有工作站的IP設為自動取得。
　　8.現在您可以讓所有電腦透過同一個Modem上網了。
　　　
　　　
　　模擬狀況二：以網路位址轉譯來分享連線（NAT）
　　B公司為小型企業，公司內現有三十台辦公用電腦，並且已申請HiFly，以ADSL方式連線至Internet，但是中華電信所配的合法IP只有五個（210.68.0.1~5），想讓其他電腦也能上網瀏覽網頁或收發電子郵件，該怎麼辦？
　　　
　　解決方式：
　　1.將Win2000安裝在一台插有兩片網路卡的電腦上，第一片網路卡IP設定210.68.0.1（合法IP），第二片網路卡的IP設為192.168.0.1（假IP）。
　　2.將ADSL數據機（ATU-R習稱'小烏龜'）連進來的網路線，接在Win2000的第一片網路卡上面；第二片網路卡則連接到HUB上。
　　3.所有工作站接上HUB，組成公司內部區域網路。
　　4.在Win2000伺服器上安裝DHCP服務，將192.168.0.2~255這群IP指派給DHCP管理。
　　5.所有工作站的IP設為自動取得，DNS可以設定到ISP所提供的DNS伺服器上面，例如：168.95.192.1（這是HINET的DNS伺服器位址）。預設閘道請設定為192.168.0.1。
　　6.請執行Win2000上面的「路由及遠端存取」管理員，「設定含有網路位址轉譯路由通訊協定的路由器」，將此路由器設定在第一片網路卡上面。
　　7.安裝完畢以後，不需做任何設定，您的工作站已經通通可以上網了。
　　　
　　　
　　四、解決伺服器對外服務問題
　　由於NAT機制的作用，所有使用假IP的電腦會在Win2000上面將IP轉譯為合法IP（Win2000對外網卡的IP），進而達成共享連線的目的。但是內部網路所有的電腦都採行假IP，那又要如何架設對外服務的伺服器呢？
　　
　　對外服務的伺服器必須使用合法IP才能讓外界連通，Win2000提供的做法有兩種，一種是使用埠轉送（Port Forwarding）的功能，另一種是使用NAT的一對一對應。
　　
　　埠轉送是將送到NAT Router的某個特定埠的封包，轉送給內部特定伺服器作處理。轉送的埠號與伺服器所提供的服務類型相依存，例如：網頁伺服器（HTTP）使用TCP Port 80、收取電子郵件（POP3）使用TCP Port 110......等等。對於外部網路來說，它們認為所有的服務都是由NAT Router這台電腦所提供，實際上卻是
--------------------next---------------------