管理 QoS 策略

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

可以使用本主题了解如何使用 QoS 策略向导创建、编辑或删除 QoS 策略。

注意

除了本主题,还提供了以下 QoS 策略管理文档。

在 Windows 操作系统中,QoS 策略结合了基于标准的 QoS 的功能性和组策略的可管理性。 这种组合的配置使 QoS 策略更易于应用到组策略对象。 Windows 随附有 QoS 策略向导,可帮助你执行以下任务。

创建 QoS 策略

在创建 QoS 策略之前,请务必了解用于管理网络流量的两个关键 QoS 控件:

  • DSCP 值

  • 限制速率

使用 DSCP 确定流量优先级

如前面的业务线应用程序示例中所述,可以使用“指定 DSCP 值”来配置具有特定 DSCP 值的 QoS 策略,从而定义出站网络流量的优先级。

如 RFC 2474 中所述,DSCP 允许在 IPv4 数据包的“TOS”字段和 IPv6 的“流量类”字段中指定 0 到 63 之间的值。 网络路由器使用 DSCP 值对网络数据包进行分类并适当地进行排队。

注意

默认情况下,Windows 流量的 DSCP 值为 0。

队列的数量及其优先级行为需要设计为你组织的 QoS 策略的构成部分。 例如,组织可以选择拥有五个队列:延迟敏感型流量、控制流量、业务关键型流量、尽力流量和批量数据传输流量。

流量节流

除了 DSCP 值,中止功能是管理网络带宽的另一个关键控件。 如前所述,可以使用“指定中止值等级”来配置具有出站流量中止值等级的 QoS 策略。 通过使用中止功能,QoS 策略将传出网络流量限制到一个指定的中止值等级。 DSCP 标记和节流同时使用能够有效地管理流量。

注意

默认情况下,“指定节流率”复选框为未选中状态。

若要创建 QoS 策略,可从组策略管理控制台 (GPMC) 工具中编辑组策略对象 (GPO) 的设置。 GPMC 随后将打开组策略对象编辑器。

QoS 策略的名称必须是唯一的。 策略如何应用于服务器和最终用户取决于 QoS 策略在组策略对象编辑器中的存储位置:

  • 位于“计算机配置\Windows 设置\QoS 策略”中的 QoS 策略应用于计算机,而与当前登录的用户无关。 对于服务器计算机,一般使用基于计算机的 QoS 策略。

  • 位于“用户配置\Windows 设置\QoS 策略”中的 QoS 策略在用户登录后应用于用户,而与其登录的计算机无关。

使用 QoS 策略向导创建新的 QoS 策略

  • 在组策略对象编辑器中,右键单击任一“QoS 策略”节点,然后单击“创建新策略”。

向导第 1 页 - 策略配置文件

在 QoS 策略向导的第一页上,可以指定策略名称和配置 QoS 控制传出网络流量的方式。

若要配置基于 QoS 的策略向导的策略概述页面

  1. 在“策略名称”中,键入 QoS 策略名称。 名称必须唯一地标识策略。

  2. 另外,请使用“指定 DSCP 值”来启用 DSCP 标记并配置一个 0 到 63 之间的 DSCP 值。

  3. 或者,使用“指定节流率”启用流量限制功能并配置节流率。 节流率的值必须大于 1,可以将其单位指定为 KBps 或 MBps。

  4. 单击“下一步”。

向导第 2 页 - 应用程序名称

在 QoS 策略向导的第二页中,可以将策略应用于所有应用程序、由其可执行名称标识的特定应用程序、路径和应用程序名称或者处理特定 URL 请求的 HTTP 服务器应用程序。

  • “所有应用程序”表示 QoS 策略向导第一页中的流量管理设置将应用到所有应用程序。

  • “仅限具有此可执行名称的应用程序”表示 QoS 策略向导第一页中的流量管理设置将应用到某个特定应用程序。 可执行文件的名称必须以 .exe 文件名扩展名结尾。

  • “仅 HTTP 服务器应用程序响应此 URL 的请求”指定 QoS 策略向导第一页上的流量管理设置仅适用于某些 HTTP 服务器应用程序。

或者,你可以输入应用程序路径。 若要指定一个应用程序路径,则包含带有该应用程序名称的路径。 路径可以包含环境变量。 例如,%ProgramFiles%\My Application Path\MyApp.exe 或 c:\program files\my application path\myapp.exe。

注意

应用程序路径不能包含解析为符号链接的路径。

URL 必须符合 RFC 1738,格式为 http[s]://<hostname\>:<port\>/<url-path>。 可以使用通配符 ‘*'(表示 <hostname> 和/或 <port>),例如 https://training.\*/, https://\*.\*,但该通配符不能表示 <hostname><port> 的子字符串。

换句话说,https://my\*site/https://\*training\*/ 都是无效的。

(可选)可以选中“包含子目录和文件”,以对 URL 后面的所有子目录和文件执行匹配。 例如,如果选中了此选项并且 URL 为 https://training,则 QoS 策略会认为 https://training/video 请求是合适的匹配项。

配置 QoS 策略向导的应用程序名称页

  1. 在“此 QoS 策略应用于”中,选择“所有应用程序”或“仅限具有此可执行名称的应用程序”。

  2. 如果选择“仅限具有此可执行名称的应用程序”,请指定一个以 .exe 文件扩展名结尾的可执行文件名。

  3. 单击“下一步”。

向导第 3 页 - IP 地址

在 QoS 策略向导的第三页中,可以指定 QoS 策略的 IP 地址条件,包括:

  • 全部的源 IPv4 或 IPv6 地址或特定的源 IPv4 或 IPv6 地址

  • 所有目标 IPv4 或 IPv6 地址,或特定的目标 IPv4 或 IPv6 地址

如果选择了“仅限下列源 IP 地址”或“仅限下列目标 IP 地址”,则必须键入以下内容之一:

  • IPv4 地址,例如 192.168.1.1

  • 使用网络前缀长度符号的 IPv4 地址前缀,例如 192.168.1.0/24

  • IPv6 地址,例如 3ffe:ffff::1

  • IPv6 地址前缀,例如 3ffe:ffff::/48

如果同时选择“仅用于以下源 IP 地址”和“仅用于以下目标 IP 地址”,则地址和地址前缀必须都是基于 IPv4 或 IPv6 的地址。

如果在上一个向导页中指定了 HTTP 服务器应用程序的 URL,则会注意到此向导页上的 QoS 策略源 IP 地址是灰显的。

之所以如此,是因为源 IP 地址是 HTTP 服务器地址,无法在此处进行配置。 另一方面,仍然可以通过指定目标 IP 地址来自定义策略。 这样,你就可以使用相同的 HTTP 服务器应用程序为不同的客户端创建不同的策略。

配置 QoS 策略向导的 IP 地址页

  1. 在“此 QoS 策略应用于”(源)中,选择“任意源 IP 地址”或“仅限下列 IP 源地址”。

  2. 如果选择“仅限下列 IP 源地址”,请指定一个 IPv4 或 IPv6 地址或前缀。

  3. 在“此 QoS 策略应用于”(目标)中,选择“任意目标地址”或“仅限下列 IP 目标地址”。

  4. 如果选择“仅限下列 IP 目标地址”,请指定一个与为源地址指定的地址或前缀类型相对应的 IPv4 或 IPv6 地址或前缀。

  5. 单击“下一步”。

向导第 4 页 - 协议和端口

在 QoS 策略向导的第四页上,可以指定由向导第一页上的设置控制的流量类型和端口。 可以指定:

  • TCP 流量、UDP 流量或两者兼而有之

  • 全部源端口、一系列源端口或某个特定源端口

  • 所有目标端口、一系列目标端口或特定目标端口

配置 QoS 策略向导的协议和端口页

  1. 在“选择本 QoS 策略适用的协议”中,选择“TCP”、“UDP”或“TCP 和 UDP”。

  2. 在“指定源端口号”中,选择“从任意源端口”或“从此源端口号”。

  3. 如果选择了“从该源端口号”,则需要键入一个 1 到 65535 之间的端口号。

    或者,可以采用“低:高”的格式指定一个端口范围,其中低值和高值分别表示端口范围的下限和上限,上下限均包含在范围之内。 上下限值必须为 1 到 65535 之间的数字。 在冒号 (:) 字符及数字之间不允许有空格。

  4. 在“指定目标端口号”中,选择“到任意目标端口”或“到此目标端口号”。

  5. 如果在上一步选择了“到此目标端口号”,则需要键入一个端口号,范围为 1 到 65535。

若要完成新 QoS 策略的创建,请单击 QoS 策略向导的“协议和端口”页上的“完成”。 完成后,新的 QoS 策略就会在组策略对象编辑器的详细信息窗格中列出。

若要将此 QoS 策略设置应用到用户或计算机,请将 QoS 策略所在的 GPO 链接到某个 Active Directory 域服务容器,如域、站点或组织单位 (OU)。

查看、编辑或删除 QoS 策略

上述 QoS 策略向导的页面与你查看或编辑某个策略的属性时显示的属性页面相对应。

若要查看 QoS 策略的属性

  • 在组策略对象编辑器中的详细信息窗格中右键单击策略名称,然后单击“属性”。

    组策略对象编辑器显示带有以下标签的属性页:

    • 策略概述

    • 应用程序名称

    • IP 地址

    • 协议和端口

若要编辑 QoS 策略

  • 在组策略对象编辑器中的详细信息窗格中右键单击策略名称,然后单击“编辑现有策略”。

    组策略对象编辑器将显示“编辑一个现有的 QoS 策略”对话框。

若要删除 QoS 策略

  • 在组策略对象编辑器中的详细信息窗格中右键单击策略名称,然后单击“删除策略”。

QoS 策略 GPMC 报告

在组织中应用多个 QoS 策略后,定期查看策略的应用情况可能很有用或有必要。 可以使用 GPMC 报告查看特定用户或计算机的 QoS 策略摘要。

运行组策略结果向导以生成 QoS 策略报告

  • 在 GPMC 中,右键单击“组策略结果”节点,然后选择“组策略结果向导”的菜单选项。

生成组策略结果后,单击“设置”选项卡。在“设置”选项卡上,可以在“计算机配置\Windows 设置\QoS 策略”和“用户配置\Windows 设置\QoS 策略”节点下找到 QoS 策略。

在“设置”选项卡上,QoS 策略按其 QoS 策略名称列出,其 DSCP 值、中止值等级、策略条件和获胜的 GPO 列在同一行中。

组策略结果视图会唯一地标识获胜的 GPO。 当多个 GPO 拥有具有相同 QoS 策略名称的 QoS 策略时,将应用 GPO 优先级最高的 GPO。 这就是获胜的 GPO。 不会应用附加到优先级较低的 GPO 的冲突 QoS 策略(由策略名称标识)。 请注意,GPO 优先级定义在站点、域或 OU 中部署哪个 QoS 策略(视情况而定)。 部署完成后,在用户或计算机级别,QoS 策略优先规则会确定允许和阻止的流量。

QoS 策略的 DSCP 值、中止值等级和策略条件也显示在组策略对象编辑器 (GPOE) 中

漫游和远程用户的高级设置

使用 QoS 策略,目标是管理企业网络上的流量。 在移动方案中,用户可能会在企业网络上或企业网络外发送流量。 由于 QoS 策略在企业网络外不起作用,因此对于 Windows 8、Windows 7 或 Windows Vista,仅在连接到企业的网络接口上启用 QoS 策略。

例如,用户可能通过咖啡店的虚拟专用网络 (VPN) 将便携式计算机连接到其企业网络。 对于 VPN,物理网络接口(如无线)不会应用 QoS 策略。 但是,VPN 接口将应用 QoS 策略,因为它连接到企业。 如果用户稍后进入另一个没有 AD DS 信任关系的企业网络,则不会启用 QoS 策略。

请注意,这些移动方案不适用于服务器工作负载。 例如,具有多个网络适配器的服务器可能位于企业网络的边缘。 IT 部门可以选择通过 QoS 策略限制流出企业的流量;但是,发送此出站流量的网络适配器不一定连接回企业网络。 因此,始终在运行 Windows Server 2012 的计算机的所有网络接口上启用 QoS 策略。

注意

选择性启用仅适用于 QoS 策略,不适用于本文档中接下来讨论的高级 QoS 设置。

高级 QoS 设置

高级 QoS 设置为 IT 管理员提供了更多控制,以管理计算机网络消耗情况和 DSCP 标记。 高级 QoS 设置仅在计算机级别应用,而 QoS 策略可以在计算机级别和用户级别应用。

配置高级 QoS 设置

  1. 单击“计算机配置”,然后单击“组策略中的 Windows 设置”。

  2. 右键单击“QoS 策略”,然后单击“高级 QoS 设置”。

    下图显示了两个高级 QoS 设置选项卡:“入站 TCP 流量”和“DSCP 标记覆盖”。

注意

高级 QoS 设置是计算机级别的组策略设置。

高级 QoS 设置:入站 TCP 流量

“入站 TCP 流量”控制接收方端的 TCP 带宽消耗情况,而 QoS 策略影响出站 TCP 和 UDP 流量。

通过在“入站 TCP 流量”选项卡上设置较低的吞吐量级别,TCP 将限制其播发的 TCP 接收窗口的大小。 此设置的效果将提高具有较高带宽或延迟(带宽延迟乘积)的 TCP 连接的吞吐量和链路利用率。 默认情况下,运行 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows Server 2008 和 Windows Vista 的计算机设置为最大吞吐量级别。

与以前版本的 Windows 相比,Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows Server 2008 和 Windows Vista 中的 TCP 接收窗口已发生更改。 以前版本的 Windows 将 TCP 接收方窗口限制为最多 64 KB,而 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows Server 2008 和 Windows Vista 动态地将接收方窗口大小设置为 16 MB。 在“入站 TCP 流量”控制中,可以通过将 TCP 接收窗口设置为可以增长到的最大值来控制入站吞吐量级别。 级别对应于以下最大值。

入站吞吐量级别 最大
0 64 KB
1 256 KB
2 1 MB
3 16 MB

实际窗口大小可以是等于或小于最大值的值,具体取决于网络条件。

设置 TCP 接收方窗口

  1. 在“组策略对象编辑器”中,依次单击“本地计算机策略”、“Windows 设置”、“QoS 策略”和“高级 QoS 设置”。

  2. 在“TCP 接收吞吐量”中,选择“配置 TCP 接收吞吐量”,然后选择所需的吞吐量级别。

  3. 将 GPO 链接到 OU。

高级 QoS 设置:DSCP 标记覆盖

“DSCP 标记覆盖”限制应用程序指定(或“标记”)DSCP 值(而不是 QoS 策略中指定的值)的能力。 通过指定允许设置 DSCP 值的应用程序,应用程序可以设置非零 DSCP 值。

通过指定“忽略”,使用 QoS API 的应用程序的 DSCP 值将设置为零,并且只有 QoS 策略可以设置 DSCP 值。

默认情况下,运行 Windows Server 2016、Windows 10、Windows Server 2012 R2、Windows 8.1、Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows Server 2008 和 Windows Vista 允许应用程序指定 DSCP 值;不会覆盖未使用 QoS API 的应用程序和设备。

无线多媒体和 DSCP 值

Wi-Fi 联盟为无线多媒体 (WMM) 建立了认证,该认证定义了四个访问类别 (WMM_AC),用于确定在 Wi-Fi 无线网络上传输的网络流量的优先级。 访问类别包括(按优先级从高到低的顺序):语音、视频、尽力和背景,分别缩写为 VO、VI、BE 和 BK。 WMM 规范定义了哪些 DSCP 值分别与四个访问类别中的各个类别相对应:

DSCP 值 WMM 访问类别
48-63 语音 (VO)
32-47 视频 (VI)
24-31, 0-7 尽力 (BE)
8-23 背景 (BK)

可以创建使用这些 DSCP 值的 QoS 策略,以确保具有 Wi-Fi Certified™ for WMM 无线适配器的便携式计算机在与 Wi-Fi Certified for WMM 接入点相关联时优先得到处理。

QoS 策略优先规则

与 GPO 的优先级类似,当多个 QoS 策略应用于一组特定流量时,QoS 策略具有解决冲突的优先规则。 对于出站 TCP 或 UDP 流量,一次只能应用一个 QoS 策略,这意味着 QoS 策略没有累积效果,例如对中止值等级进行求和的情况。

通常,具有匹配度最高的条件的 QoS 策略获胜。 当应用多个 QoS 策略时,规则分为三类:用户级别与计算机级别,应用程序与网络五元组,以及网络五元组内部。

网络五元组是指源 IP 地址、目标 IP 地址、源端口、目标端口和协议 (TCP/UDP)。

用户级 QoS 策略优先于计算机级 QoS 策略

此规则极大地方便了网络管理员管理 QoS GPO,尤其是基于用户组的策略。 例如,如果网络管理员想要为用户组定义 QoS 策略,则只需创建 GPO 并将其分发到该组。 他们无需担心这些用户登录到哪些计算机,以及这些计算机是否定义了冲突的 QoS 策略,因为如果存在冲突,则用户级策略始终优先。

注意

用户级 QoS 策略仅适用于该用户生成的流量。 特定计算机的其他用户和计算机本身将不受为该用户定义的任何 QoS 策略的约束。

应用程序具体性,优先于网络五元组

当多个 QoS 策略与特定流量匹配时,将应用更具体的策略。 在标识应用程序的策略中,包含发送应用程序的文件路径的策略被认为比仅标识应用程序名称(没有路径)策略更为具体。 如果包含应用程序的多个策略仍然适用,则优先规则将使用网络五元组来查找最佳匹配项。

或者,通过指定不重叠的条件,多个 QoS 策略可以应用于同一流量。 在应用程序条件与网络五元组之间,指定应用程序的策略被视为更为具体并加以应用。

例如,policy_A 仅指定应用程序名称 (app.exe),policy_B 指定目标 IP 地址 192.168.1.0/24。 当这些 QoS 策略发生冲突(app.exe 将流量发送到 192.168.4.0/24 范围内的 IP 地址)时,将应用 policy_A。

网络五元组内更具体优先

对于网络五元组内部的策略冲突,具有匹配度最高的条件的策略优先。 例如,假设 policy_C 指定源 IP 地址“any”、目标 IP 地址 10.0.0.1、源端口“any”、目标端口“any”和协议“TCP”。

下一步,假设 policy_D 指定源 IP 地址“any”、目标 IP 地址 10.0.0.1、源端口“any”、目标端口 80 和协议“TCP”。 然后,policy_C 和 policy_D 都与目标 10.0.0.1:80 的连接匹配。 由于 QoS 策略会应用具有最具体匹配条件的策略,因此在此示例中,policy_D 优先。

但是,QoS 策略可能具有相等数量的条件。 例如,多个策略可能每个仅指定网络五元组中的一个(但不是同一个)部分。 在网络五元组中,以下顺序按优先级从高到低排列:

  • 源 IP 地址

  • 目标 IP 地址

  • 源端口

  • 目标端口

  • 协议(TCP 或 UDP)

在特定条件(如 IP 地址)中,更具体的 IP 地址具有更高的优先级:例如,IP 地址 192.168.4.1 比 192.168.4.0/24 更具体。

尽可能具体地设计 QoS 策略,以便于组织了解哪些策略在起作用。

有关本指南中的下一主题,请参阅 QoS 策略事件和错误

有关本指南中的第一个主题,请参阅服务质量 (QoS) 策略