📄 201002.htm
字号:
<html><body><span id=Layer1><a name=201002><font color=#3e70d7 face=arial size=5><b>基础架构服务</span><span id=Layer2></b></font><p><font size=2 color=#3c3c3c face=arial>在任何的分散式环境中,许多服务都可以被视为基础架构的一部份。举例来说,一个允许存取其它机器上的档案之分散式档案服务,若能提交工作到远端的印表机是很好的。不过因为它们是这个版本的新特色,也因为它们解决了许多关键性的问题,因此在Windows 2000中提供两个重要的基础架构服务:目录服务与分散式安全性服务。</span><span id=Layer3></font></p><p><font size=2 color=#3c3c3c face=arial>好的目录服务与分散式安全性服务是基本的</span><span id=Layer4></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>好的目录服务与分散式安全性服务是基本的</span><span id=Layer5></font></p><hr><font color=#3e72d7 face=arial size=4><b>目录服务</span><span id=Layer6></b></font><p><font size=2 color=#3c3c3c face=arial>定义上,一个分散式环境中拥有使用者、应用程式与电脑凌乱地分布。若要有效地使用这个环境的资源,在上述这些东西需要时便能够找到必要的资源。举例来说,分散式应用程式的某个部份可能需要找寻执行在不同系统的其它资源。印表机可能随意地分散在不同的地方,不过必须要让这个环境中的使用者存取。这些使用者应该能够从许多工作站上登入,而仍旧能够看到自己熟悉的环境,因此便需要找寻每个使用者个人喜好的资讯。</span><span id=Layer7></font></p><p><font size=2 color=#3c3c3c face=arial>在分散式环境中必须能够存取许多的资讯</span><span id=Layer8></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>在分散式环境中必须能够存取许多的资讯</span><span id=Layer9></font></p><hr><p><font size=2 color=#3c3c3c face=arial>这些东西可以使用目录服务来达成。目前在资料网路上最广泛使用的目录服务是网域命名系统(Domain Name System ,DNS),而Windows 2000密集地使用DNS。不过Windows 2000同样也包含Active Directory,一个崭新的目录服务,实作了Lightweight Directory Access Protocol (LDAP)。若要知道DNS和Active Directory一起运作的情形,参考看看在Windows 2000中网域是如何组成的将会相当的有用。</span><span id=Layer10></font></p><p><font size=2 color=#3c3c3c face=arial>Windows 2000同时依赖 DNS与 Active Directory</span><span id=Layer11></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>Windows 2000同时依赖 DNS与 Active Directory</span><span id=Layer12></font></p><hr><p><font size=2 color=#3c3c3c face=arial><font size=2 face=arial color=#3e80d7><b> Windows 2000中的网域</span><span id=Layer13> </b></font>和前版的Windows NT一样,Windows 2000允许你将使用者与电脑组成一个网域。当然不一定要使用网域,所有的电脑与使用者也不一定要属於一个网域,不过若要使用到Windows 2000的分散式服务,网域几乎是义不容辞的选择。图1-2显示一个Windows 2000网域的例子,网域中安装一个虚拟的财务服务公司,名称为QwickBank。虽然一个网域中可以混用Windows 2000系统和执行Windows 9x,或旧版Windows NT的电脑,这个范例假设这个网域是一个纯粹Windows 2000的网域。</span><span id=Layer14></font></p><p><font size=2 color=#3c3c3c face=arial>使用者与电脑可以组成一个网域</span><span id=Layer15></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>使用者与电脑可以组成一个网域</span><span id=Layer16></font></p><hr><br><center><a target=_new href=imagesh/1-2.gif><img border=0 src='imagesl/1-2.gif'></a></center></span><span id=Layer17><center><table border=0 ><td align=center><font color=#3c3c3c face=arial size=2><font size=2 face=arial color=#3e80d7><b> 图1-2</span><span id=Layer18> </b></font>工作站、成员伺服器与一台或多台网域控制主机能够组成一个网域。</span><span id=Layer19></td></table></font></center><p><font size=2 color=#3c3c3c face=arial>如图1-2所显示,一个网域可以包含许多电脑,每台电脑扮演着不同的角色,包含:</span><span id=Layer20></font></p><font size=2 color=#3c3c3c face=arial><ul><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b> 工作站</span><span id=Layer21> </b></font>这些系统扮演客户端,在一个完全的Windows 2000环境中通常都是执行Windows 2000 Professional系统。</span><span id=Layer22></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b> 成员伺服器</span><span id=Layer23> </b></font>通常这些系统都是执行Windows 2000 Server,其上可能会执行某些应用程式。而Web伺服器、资料库管理系统,如Oracle或Microsoft SQL Server或其它类型的伺服器应用程式也可能执行在成员伺服器之上。</span><span id=Layer24></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b> 网域控制主机</span><span id=Layer25> </b></font>(</span><span id=Layer26><font size=2 face=arial color=#3e80d7><b> Domain controller</span><span id=Layer27> </b></font>) 每一个网域至少都必须拥有一台网域控制主机,大部份的网域会有两台或更多台网域控制主机。一个网域控制主机必须执行某个版本的Windows 2000 Server,简短地说,它扮演着让网域能运作的重要角色。</span><span id=Layer28></li><br></font></ul></font><p><font size=2 color=#3c3c3c face=arial>网域中的电脑实际所在位置并没有特别的需求。这些机器可能在同一个房间内,或可能跨越在不同的国家。不过不管它是存放在哪一个地理位置,每个网域都要有一个名称。在前版的Windows NT,网域的名称是采用NetBIOS名称指定的,它只是一个简单的字元字串。不过在Windows 2000中,每一个网域都必须指定一个DNS名称。举例来说,在图1-2是QwickBank公司部署的情况,网域名称为qwickbank.com。在特定公司中的Windows 2000网域有可能指定一个配置给这家公司的DNS名称。在</span><span id=Layer29> <a target='_new' href=202.htm#>第二章</span><span id=Layer30></a> 将描述,Windows 2000网域有可能会组织程树状或森林结构,允许网域以许多方式组织在一起。</span><span id=Layer31></font></p><p><font size=2 color=#3c3c3c face=arial>每一个Windows 2000 网域都被指定一个DNS名称</span><span id=Layer32></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>每一个Windows 2000 网域都被指定一个DNS名称</span><span id=Layer33></font></p><hr><p><font size=2 color=#3c3c3c face=arial><font size=2 face=arial color=#3e80d7><b> Active Directory</span><span id=Layer34> </b></font>就像所有的目录服务一样,Active Directory提供一个资料库来储存网域的资讯,并提供一些协定可让客户端存取或修改资料库中的资讯。每一个网域控制主机都拥有一份这个网域的完整目录资料库,在每一份复本中对资料的变动会自动地复制到所有的复本上。在这个资料库上的资讯都会组织成阶层状,使用最自然的方法来命名。</span><span id=Layer35></font></p><p><font size=2 color=#3c3c3c face=arial>Active Directory提供一个复写的资料库可在整个网域中存取</span><span id=Layer36></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>Active Directory提供一个复写的资料库可在整个网域中存取</span><span id=Layer37></font></p><hr><p><font size=2 color=#3c3c3c face=arial>若要找寻特定的网域在Active Directory资料库的复本,客户端可以使用DNS。在今日DNS是一个广泛分布的技术,提供Internet以及无国界的私人网路後端的目录。如图1-3所示,客户端向DNS要求提供特定网域的网域控制主机的位置。DNS伺服器回应这台机器的IP位址,然後客户端便与此台机器取得连系以得到想要的资讯。(客户端将网域控制主机的位址暂存起来,因此不需要每回都发出一个DNS查询。)</span><span id=Layer38></font></p><p><font size=2 color=#3c3c3c face=arial>DNS可用来找寻适当的Active Directory伺服器</span><span id=Layer39></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>DNS可用来找寻适当的Active Directory伺服器</span><span id=Layer40></font></p><hr><br><center><a target=_new href=imagesh/1-3.gif><img border=0 src='imagesl/1-3.gif'></a></center></span><span id=Layer41><center><table border=0 ><td align=center><font color=#3c3c3c face=arial size=2><font size=2 face=arial color=#3e80d7><b> 图1-3</span><span id=Layer42> </b></font>客户端使用DNS来找到正确的网域控制主机</span><span id=Layer43></td></table></font></center><p><font size=2 color=#3c3c3c face=arial>若要取得Active Directory中的资讯,客户端可以使用LDAP。LDAP是一个许多厂商共同制定,已成为Internet Engineering Task Force (IETF) 的标准,当然今日已有许多主要的目录服务厂商也支援这个服务。在许多方面,LDAP和DNS是互补的。DNS简单、执行快速,它是一个很有效率的技术能够简化工作,如将机器的名称对照到机器个别的位址。在Windows 2000,这些传统的功能仍旧由DNS掌控,Active Directory并没有改变这个事实。不过DNS在存取目录资料库这方面并没有控管的很好,这也是LDAP光彩夺人的其中一个理由。Active Directory储存的资讯包含使用者 、印表机、分散式应用程式...等等,可透过LDAP存取;DNS则只用来找寻正确的网域控制主机。</span><span id=Layer44></font></p><p><font size=2 color=#3c3c3c face=arial>Active Directory与DNS是互补的</span><span id=Layer45></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>Active Directory与DNS是互补的</span><span id=Layer46></font></p><hr><p><font size=2 color=#3c3c3c face=arial>在一个分散式环境中只有一个目录服务是很吸引人的目标。由於在这个领域竞争技术的众多,这是一个很难达到的目标。然而在DNS与LDAP标准的出现,这个目标可能有希望实现。若要得到DNS与Active Directory更详细的资讯,请参考</span><span id=Layer47> <a target='_new' href=202.htm#>第二章</span><span id=Layer48></a> 。</span><span id=Layer49></font></p><font color=#3e72d7 face=arial size=4><b>分散式安全服务</span><span id=Layer50></b></font><p><font size=2 color=#3c3c3c face=arial>拥有一个好的目录服务是一项很大的恩惠,它让使用分散式环境的每一个人之生活变得更容易。不过在这个环境中有许多潜在的使用者他们的生活却愈来愈糟。几乎每一个Windows 2000 的网域都有吸引骇客的可能,这些骇客希欢进行不当的存取、修改动作或搅乱网域的资讯。因为这样的结果,在网域基础架构中包含良好的分散式安全服务是很重要的。</span><span id=Layer51></font></p><p><font size=2 color=#3c3c3c face=arial>好的安全性服务是很基本的</span><span id=Layer52></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>好的安全性服务是很基本的</span><span id=Layer53></font></p><hr><p><font size=2 color=#3c3c3c face=arial>分散式安全服务是由许多不同的服务组成的。最重要的服务包含:</span><span id=Layer54></font></p><font size=2 color=#3c3c3c face=arial><ul><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b> 验证</span><span id=Layer55> </b></font>(</span><span id=Layer56><font size=2 face=arial color=#3e80d7><b> Authentication</span><span id=Layer57> </b></font>) 证明你的身份。举例来说,当你登入时,通常会要求你输入密码,一个只有你知道的值。因为只有你知道这个值,正确的输入它便能更验你的身份。</span><span id=Layer58></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b> 授权</span><span id=Layer59> </b></font>(</span><span id=Layer60><font size=2 face=arial color=#3e80d7><b> Authorization</span><span id=Layer61> </b></font>) 决定你可以做的事。一旦伺服器知道你是谁,这也就是说一旦你被验证了,下一个问题便是决定允许你做什麽事-授权。你可以读取档案吗?可以修改目录项目?授权有时也称为存取控制(Access Control)。</span><span id=Layer62></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b> 资料完整性</span><span id=Layer63> </b></font>(</span><span id=Layer64><font size=2 face=arial color=#3e80d7><b> Data integrity</span><span id=Layer65> </b></font>) 确保资料在传输中没有被修改。骇客可能会从线路中读取封包,修改之,然後再送回去。若资料的接收者无法辨识取得的资料不是原始传送的内容,问题就会发生。资料完整性服务允许一个接收者侦测接收到的资料是否被修改。</span><span id=Layer66></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b> 资料私密性</span><span id=Layer67> </b></font>(</span><span id=Layer68><font size=2 face=arial color=#3e80d7><b> Data privacy</span><span id=Layer69> </b></font>) 确保资料在传输时不会被读取。为了达到这的目的,传送端会加密资料,然後在接收端的系统解密。这个服务有时也称作机密性(confidentiality)。</span><span id=Layer70></li><br></font></ul></font><p><font size=2 color=#3c3c3c face=arial>加密是一个基本的安全性机制,重要性不下於资料私密性。它的概念很简单:它代表将资料转换成另一种无法读取的形式,直到它被解密为止。通常加密演算法使用一把金钥来执行这项转换,金钥是某个长度的位元组字串。在Windows 2000 中的分散式安全服务使用两种金钥加密:秘密金钥(secret key encryption)加密与公开金钥(public key encryption) 加密。秘密金钥是使用同一把金钥来加密与解密,而公开金钥是使用不同的金钥来加密与解密。</span><span id=Layer71></font></p><p><font size=2 color=#3c3c3c face=arial>加密是许多分散式安全性的基础</span><span id=Layer72></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>加密是许多分散式安全性的基础</span><span id=Layer73></font></p><hr><p><font size=2 color=#3c3c3c face=arial>秘密金钥加密也称为私密金钥(private key),它是对称式的,使用一把金钥和共享的秘密加密(secret encryption),不过我在本书中称之为秘密金钥。同样地,公开金钥是非对称式的加密,不过我会继续使用公开金钥这个名词。</span><span id=Layer74></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b>附注 </b></font><p><font size=2 color=#3c3c3c face=arial>秘密金钥加密也称为私密金钥(private key),它是对称式的,使用一把金钥和共享的秘密加密(secret encryption),不过我在本书中称之为秘密金钥。同样地,公开金钥是非对称式的加密,不过我会继续使用公开金钥这个名词。</span><span id=Layer75></font></p><hr><p><font size=2 color=#3c3c3c face=arial>为了提供分散式安全服务,就要有安全性协定。Windows 2000 内建支援了叁种主要的安全性协定:</span><span id=Layer76></font></p><font size=2 color=#3c3c3c face=arial><ul><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b> NTLM</span><span id=Layer77> </b></font>它是NT LAN Manager这几个字的缩写。这是Windows NT早期版本标准的安全协定,Windows 2000 也支援这个协定以便提供向下相容性。</span><span id=Layer78></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b> Kerberos</span><span id=Layer79> </b></font>Windows 2000 中核心的安全协定,Kerberos主要是依赖於秘密金钥加密。</span><span id=Layer80></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b> Secure</span><span id=Layer81> </b></font>Sockets Layer(SSL) 这是Internet标准的安全协定,SSL也可以应用在其它的环境中。SSL同时使用公开金钥与秘密金钥加密。有一个版本的SSL已成为IETF标准,命名为Transport Layer Security (TLS),而Windows 2000 同时支援SSL与新版的TLS。</span><span id=Layer82></li><br></font></ul></font><p><font size=2 color=#3c3c3c face=arial>Windows 2000支援许多协定以提供分散式技术</span><span id=Layer83></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>Windows 2000支援许多协定以提供分散式技术</span><span id=Layer84></font></p><hr><p><font size=2 color=#3c3c3c face=arial>在一个纯粹Windows 2000 的网域中,使用者依赖於Kerberos来进行登入-NTLM已不再必要。不过有许多,甚至是大多数的公司都使用SSL来满足他们的分散式安全性需求。这两个协定是Windows 2000 分散式安全性的核心。</span><span id=Layer85></font></p><p><font size=2 color=#3c3c3c face=arial><font size=2 face=arial color=#3e80d7><b> Kerberos</span><span id=Layer86> </b></font>Kerberos是由Massachusetts Institute of Technology公司在1980年初期建立的,它是一个行之有年的开放式协定。虽然Windows 2000 Kerberos并没有使用这个法规-它完全是由Microsoft重新设计的-因为Kerberos在公共的网域已发展多年,这是它吸引人的其中一个特性。不过目前没有人知道如何证明它是完全安全的,因此我们最好让世界最好的安全性专家(与骇客)来检验或攻击这个协定。因为它存在许久,Kerberos已引起很大的注意。更重要的是,它能禁得起攻击所以也赢得了许多安全组织的信赖。而Kerberos像LDAP一样,目前也是IETF的标准了。</span><span id=Layer87></font></p><p><font size=2 color=#3c3c3c face=arial>Kerberos是一个受信任、易了解的技术</span><span id=Layer88></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>Kerberos是一个受信任、易了解的技术</span><span id=Layer89></font></p><hr><p><font size=2 color=#3c3c3c face=arial>通常,Kerberos使用秘密金钥加密来提供验证,虽然是一个较新的Kerberos选项,但Windows 2000也支援之。Kerberos也增加了可让使用者使用公开金钥登入的能力。若客户端要求的话,Kerberos也可以提供资料完整性与资料私密性,这两者永远都是依赖於秘密金钥加密。若要提供这些服务,Kerberos 必须知道许多有关於特定网域的使用者、电脑与应用程式资料。因此Kerberos软体需使用Active Directory资料库,它代表的意义是Windows 2000 中的安全性服务与目录服务是紧密地结合在一起的。</span><span id=Layer90></font></p><p><font size=2 color=#3c3c3c face=arial>Kerberos 提供验证、资料完整性与资料私密性</span><span id=Layer91></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>Kerberos 提供验证、资料完整性与资料私密性</span><span id=Layer92></font></p><hr><p><font size=2 color=#3c3c3c face=arial>使用Kerberos,一个使用者可以取得一个位元组字串称ticket,然後将这张ticket展示给伺服器以可靠地证明自己。如图1-4所示,客户端连系执行在网域控制主机上Kerberos的Key Distribution Center (KDC)以取得一张这个网域中特定伺服器应用程式的ticket。然後客户端将这张ticket展示给这个应用程式,应用程式便可以使用它来验证客户端的身份。</span><span id=Layer93></font></p><p><font size=2 color=#3c3c3c face=arial>Kerberos客户端使用tic-ket来证明他们的身份</span><span id=Layer94></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>Kerberos客户端使用tic-ket来证明他们的身份</span><span id=Layer95></font></p><hr><br><center><a target=_new href=imagesh/1-4.gif><img border=0 src='imagesl/1-4.gif'></a></center></span><span id=Layer96><center><table border=0 ><td align=center><font color=#3c3c3c face=arial size=2><font size=2 face=arial color=#3e80d7><b> 图1-4</span><span id=Layer97> </b></font>Kerberos允许使用者取得ticket,然後展示这张Ticket以证明它们的身份。</span><span id=Layer98></td></table></font></center><p><font size=2 color=#3c3c3c face=arial>虽然图中并没有显示这个部份:取得一张ticket同样牵涉到安全地取得用来确保客户端与伺服器之间资料的完整性与资料私密性的加密金钥。如何完成这个动作将於</span><span id=Layer99> <a target='_new' href=203.htm#>第叁章</span><span id=Layer100></a> 中描述。</span><span id=Layer101></font></p><p><font size=2 color=#3c3c3c face=arial><font size=2 face=arial color=#3e80d7><b> 公开金钥技术</span><span id=Layer102> </b></font>Kerberos 在一个定义良好的环境中(如公司或学校)是安全性服务的好选择。在一个巨大的、匿名的公开Internet世界,Kerberos就不太适合。SSL协定最早是由Netscape建立的,它是非结构式环境较为普遍的选择。</span><span id=Layer103></font></p><p><font size=2 color=#3c3c3c face=arial>就像Kerberos一样,SSL可以提供验证、资料完整性与资料私密性。同样地,SSL也使用秘密金钥加密来提供资料完整性与资料私密性。不过和Kerberos不同的是,SSL永远依赖公开金钥技术来进行验证。使用了公开金钥加密技术,希望证明身份的使用者或伺服器便可以在讯息中加入数位签章。然後客户端可以将签章过的讯息和凭证一起展示,允许接收端来验证传送端。图1-5显示一个简化的流程,说明SSL如何使用数位签章和凭证来允许一个客户端向伺服器证明自己的身份。</span><span id=Layer104></font></p><p><font size=2 color=#3c3c3c face=arial>SSL也可以提供验证、资料完整性与资料私密性</span><span id=Layer105></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>SSL也可以提供验证、资料完整性与资料私密性</span><span id=Layer106></font></p><hr><br><center><a target=_new href=imagesh/1-5.gif><img border=0 src='imagesl/1-5.gif'></a></center></span><span id=Layer107><center><table border=0 ><td align=center><font color=#3c3c3c face=arial size=2><font size=2 face=arial color=#3e80d7><b> 图1-5</span><span id=Layer108> </b></font>SSL可以使用凭证与数位签章来验证。</span><span id=Layer109></td></table></font></center><p><font size=2 color=#3c3c3c face=arial>就如图1-5所示,SSL并没有像Kerberos一样在客户端与伺服器之间得依赖一个共享的伺服器。取代的做法,凭证是由凭证机构发行的,和ticket不同的是,ticket会在一段时间後过期,而凭证的期限可以是几个月甚至几年。这个机制需要发行、使用和管理凭证,有时也称为公开金钥基础架构(public key infrastructure,PKI)。它并不是一个简单的技术,而Windows 2000中包含了许多技术以因应这个诉求。这项技术以及公开金钥基础加密,和SSL协定将在</span><span id=Layer110> <a target='_new' href=204.htm#>第四章</span><span id=Layer111></a> 描述。</span><span id=Layer112></font></p><p><font size=2 color=#3c3c3c face=arial>SSL依赖於公开金钥技术,包含凭证与凭证机构</span><span id=Layer113></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>SSL依赖於公开金钥技术,包含凭证与凭证机构</span>
</body></html>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -