编者按:如何控制员工的上网行为，方法已经有不少了，今天介绍一种通过设置DNS的方式的控制办法，其实际效率相对比较高。

    许多单位上网都是通过局域网共享上网的，在使用这种方式上网时，局域网中的每台工作站基本都是利用服务器的路由功能实现网络访问目的的。为了有效控制员工在上班期间随意进行上网聊天或从事其他与工作无关的事情，单位老板常常会要求网络管理人员在上班期间将服务器的路由功能暂时关闭，或者强行要求网络管理员将出口线缆从路由器或交换机中拔出来。不过，这种控制员工上网的方法显然有点不太“礼貌”，很容易引起员工的抵触情绪，而且频繁插拔网络出口也容易损坏网络接口。其实，在共享服务器路由功能的网络环境中，网络管理员只要在DNS参数上做一番“文章”，就能让员工上网尽在自己的控制中；并且使用这种控制方法不会影响单位局域网服务器的正常运行，而且也比较文明礼貌，控制上网的效率也比较高！

员工上网访问环境

    假设某单位局域网由一台服务器和36台普通工作站组成，其中服务器安装了Windows 2003操作系统，并且在该服务器系统中启用了DHCP服务功能，而且所有工作站与服务器都被同时连接到局域网的两台交换机中；为了提高局域网网络管理效率，每一台工作站都被设置成自动从DHCP服务器中获得IP地址，并且将单位的服务器作为局域网网关，确保所有工作站必须通过Windows 2003服务器的路由功能进行共享上网访问，而Windows 2003服务器直接通过单位租用的2M宽带光纤接入到Internet网络中。

    为了保证局域网中所有工作站都能快速访问网络内容，我们希望在Windows 2003服务器中架设好DNS服务器，并且要求局域网中的所有工作站将该DNS作为域名解析服务器。日后，要想控制员工在上班期间随意上网，我们只要在Windows 2003服务器中设置一下DNS参数，确保员工在访问网络内容时由于无法成功解析网站域名而无法顺利上网。

设置DNS服务参数

    为了通过DNS参数控制员工的上网权限，我们应该先在Windows 2003服务器系统中设置好DNS参数。我们知道，Windows 2003服务器系统在缺省状态下并没有启用DNS服务功能，为此我们应该先将该功能启用起来。在启用DNS服务功能时，我们可以在服务器系统中逐一单击“开始”、“设置”、“控制面板”菜单选项，打开服务器的控制面板窗口，双击该窗口中的“添加或删除程序”图标，之后再单击其后界面中的“添加/删除Windows组件”选项卡，进入到如图1所示的系统组件添加向导设置界面；

    选中图1界面中的“网络服务”项目，再单击其中的“详细信息”按钮，打开本地系统的网络服务列表窗口，选中该窗口中的“DNS服务”项目，之后按照向导提示不停单击“下一步”按钮，就能完成DNS服务功能的启用操作了。

图1:

    DNS服务功能被启用后，我们打开服务器系统的“开始”菜单，就能从中看到“DNS控制台”这样的菜单命令了，单击该命令选项，进入到DNS服务器控制台窗口；之后，在该控制台窗口中单击“操作”菜单项，从弹出的下拉菜单中选择“配置服务器”选项，再按照屏幕上弹出的向导提示依次设置好DNS服务器的网络标识、区域名称等参数，同时将相关的主机记录添加设置好。也许，有的朋友会纳闷，他们单位并没有真正的DNS服务器，因此他们会感觉到这里的网络标识、区域名称等参数不知道该如何设置，相关的主机记录不知道该如何添加设置；事实上，我们可以对这些DNS参数进行随意设置，主机记录也可以任意添加，毕竟我们并不是真正想使用自己架设的DNS服务器，而是想使用它的DNS转发功能，以便通过DNS转发功能控制网站域名的解析，从而达到控制员工上网的目的。

启用DNS转发功能

    在启用并设置好DNS服务器后，将屏幕切换到DNS服务器控制台界面，用鼠标右击之前配置好的新DNS服务器，并执行右键菜单中的“属性”命令，打开目标DNS服务器的属性窗口；在该窗口中单击“转发器”选项卡，进入到如图2所示的选项设置页面，检查其中的“启用转发器”项目选中，要是没有选中的话，那就说明当前DNS服务器的转发功能并没有启用；此时，我们应该及时重新选中“启用转发器”项目，同时在对应该项目的“IP地址”文本框中，正确输入真正能够提供地址解析服务的DNS服务器地址，一般来说，我们只要将本地ISP提供的DNS服务器地址填写在这里就可以了，最后单击“确定”按钮，这样的话Windows 2003服务器中的DNS服务器收到来自局域网的地址解析请求时，就会自动将该请求借助转发器转发给本地ISP提供的DNS服务器去处理，如此一来局域网工作站就能正常访问网络内容了。

图2:

设置员工上网参数

    为了让局域网中所有工作站的上网权限受到Windows 2003服务器的控制，我们应该对所有工作站的上网参数进行合适配置，确保它们都要使用指定的DNS服务器进行地址解析操作。在对普通工作站的网络参数进行配置时，我们可以依次单击“开始”/“设置”/“网络连接”命令，在弹出的网络连接列表窗口中用鼠标右键单击“本地连接”图标，并执行快捷菜单中的“属性”命令，进入到本地连接属性窗口，选中该窗口中的“Internet协议（TCP/IP）”项目，并单击该项目下面的“属性”按钮，打开TCP/IP属性界面；选中“自动获得IP地址”项目，并将“使用下面的DNS服务器地址”项目也选中，同时在DNS服务器地址框中输入Windows 2003服务器与内网相连的网卡IP地址，也就是我们先前架设的内网DNS服务器地址（如图3所示），再单击“确定”按钮，完成普通工作站的网络参数配置任务。例如，要是Windows 2003服务器与内网相连的网卡IP地址为“10.176.63.12”，那么我们应该将普通工作站的DNS服务器地址也设置为“10.176.63.12”。在完成上网参数设置操作后，我们最好重新启动一下工作站系统，这样上网配置就能开始生效了。

图3：

控制员工上网访问

    完成上述所有设置操作后，我们现在就能通过DNS转发功能来控制员工上网访问了。正常情况下，局域网用户通过IE浏览器访问网站内容时，IE浏览器会把网站地址解析请求发送给我们在Windows 2003服务器中架设的DNS服务器，该DNS服务器又会通过转发器将解析任务转给本地ISP提供的DNS服务器；等到解析任务完成后，转发器又会将本地ISP的DNS服务器返回过来的解析结果转发给普通工作站的IE浏览器，如此一来IE浏览器就能正常打开网页内容了。

    日后，我们要想控制员工进行网络访问时，我们只要在Windows 2003服务器系统中，进入到DNS服务器属性设置界面，取消“启用转发器”项目的选中状态，那样一来局域网工作站就会由于域名解析失败而无法访问到目标网站内容了，那么局域网用户的上网权限自然就受到控制了。等到下班时间到了，网络管理员只需要重新将“启用转发器”项目选中，就能恢复员工上网权限了。