中小企业网络特点为和管理技能要求(DOC 52页).doc

第1章 中小企业网络特点为和管理技能要求网络基础知识：l 计算机网络的概念、基本组成和主要应用l 主要以太局域网拓扑结构类型及各自的主要优缺点l OSI/RM分层结构、各层的主要功能和工作原理l LAN/RM分层结构、各层的主要功能和工作原理l 主要以太网标准特性及各自的物理层、MAC子层结构和帧格式l 主要WLAN标准及帧格式l CSMA、CSMA/CD、CSMA/CA的工作原理和应用l 数据通信基本模型l 主要数据传输技术和原理l 主要数制类型和相互转换方法l 主要数字编码方式和计算l IPV4和IPV6协议的主要功能、数据包格式l IPV4和IPV6的地址类型及配置方法l IPV4协议子网划分与聚合计算方法l TCP协议的主要特点和分段格式l TCP协议的主要特点和分段格式l TCP连接的建立与释放原理l UDP、HTTP、ARP、PPP等觉通信协议的基本工作原理和包（帧）格式l 交换机、路由器和防火墙技术l VLAN、STP、RSTP、MST、VTP等设备的技术原理和应用l 其他网络基础知识需求第2章 双绞网络和信息模块的制作1、 在6类和6a类的连接器也是RJ-45，与5类和5e（超5类）类的差别：一是除了主体的拔插接头外，还有一个分线器的附件，用于固定8根芯线的位置；二是6类和6a类双绞线的RJ-45连接器的铜片更粗、更光滑，用于提高接触性能。2、 千兆以太网排线顺序可以任意，但是两端得一样3、 国际影响力的三家综合布线标准发布组织是：l ANSI（American National Standard Institute,美国国家标准化组织）l TIA（Telecommunication Industry Association,电信工业协会）l EIA（Electronic Industries Alliance,电信工业协会）4、 EIA/TIA-568A的排列序列：白绿、绿、白橙、蓝、白蓝、橙、白棕、棕EIA/TIA-568B的排列序列：白橙、橙、白绿、蓝、白蓝、绿、白棕、棕实际用到的只有4根传输，即1、2、3、65、 双绞线分为直通网线和交叉网线，直通网络即水晶头两端排列顺序一样6、 直通线连接不同网络设备间的连接，交叉线用于同种设备的连接7、 如果是直通双绞线网络的测试，正常情况下，测试仪的4个指示灯为绿色并从上至下依次闪过。如果有提示灯为黄色或红色，则证明相应引脚的网线制作不良第3章 有线工作网络组建与配置1. 网络工作组的主要特点：l 工作组主机间是平等的l 管理和安全边界为各成员计算机l 采用NetBIOS名称解析l 在一个工作组网络中可以有多个工作组l 不同工作组是可以相互访问的2. 工作组优缺点l 安全管理简单（优点）l 网络性能比较高（优点）l 网络管理不方便（缺点）l 网络公共应用配置比较烦琐（缺点）3. 域是一种基于对象（用户、组、计算机等账户都是对象）和安全策略的分布式数据库系统4. 域网络最大的特点就是可以实现用户、计算机等对象账户，以及网络安全策略的集中管理和部署5. 活动目录数据库中包括了3个表格：schema表（包含了所有可以在活动目录中创建的对象信息以及他们之间的相互关系，包括各种类型对象的可选及不可选 的各种属性）、link表（包含所有属性的关联，包括活动目录中所有对象的属性的值）、data表（活动目录中用户、组、应用程序的特殊数据和其他的数据全部保存在DATA表）6. 域网络的主要特点：l 集中管理l 多级账户和安全策略 组策略的应用顺序是：本地组策略-站点组策略-域组策略-组织单位（OU）组策略-了OU组策略l 默认信任l 集中存储l 单点登录l 采用DNS解析协议l 支持漫游配置7. 域网络的主要优缺点：l 管理更方便（优点）l 安全性更高（优点）l 网络访问更方便（优点）l 需要专门的高性能服务器（缺点）l 安全配置更复杂（缺点）l 网络性能较低（缺点）8. 工作组与域的先把主要考虑以下几个方面：l 安全策略的复杂性l 有无全局、集中管理需求l 有无基于活动目录的应用与管理需求l 首要考虑9. netsh工具配置windows系统的TCP/IP协议netsh interface ip set /? 查看该命令的主要参数及对应功能的帮助说明配置IP地址。设置接口IP地址的命令格式如下：Netsh interface ip set address name=InterfaceName source=dhcp | static addr=ipaddress mask=subnetmask gateway=none|defaultgatewaygwmetric=gatewaymetric下面是各命令参数的说明name=InterfaceName 为必需配置项，指定要配置其地址和网关信息的接口名称。InterfaceName参数必须与图3-1所示“网络连接”窗口中对应的接口名称匹配。如果InterfaceName含有空格，则请将文本置于引号之中(例如“InterfaceName 1”)source=dhcp | static addr=ipaddress mask=subnetmask gateway=none|defaultgatewaygwmetric=auto|gatewaymetric为必需配置项，指定是通过DHCP服务器配置IP地址，还是使用静态IP地址。如果使用静态地址，那么IPAddress将指定要配置的地址，而subnetmask将指定所配置IP地址的子网掩码。如果使用静态地址，那么还必须同时指定是保留当前默认的网关（如果有），还是为该地址配置一个网关。如果配置默认网关，则利用DefaultGateway变量指定要配置的默认网关的IP地址，而gatewaymetric指定要配置的默认网关的跃点数（通常都是0，指的是网关与接口处于同一网段），也可以先把自动获得方式；如果不配置网关，则选择none选项。如要为“本地连接”配置采用DHCP服务器分配的IP地址，则键入以下命令：Netsh interface ipset address name=本地连接 sourcd=dhcp如果为“本地连接”配置静态IP地址为00，子网掩码为，默认网关为，则键入以下命令： Netsh interface ip set address name=本地连接 source=static addr=00 mask= gateway= gwmetric=auto注：如果是静态IP地址配置，则必须要同时为addr、mask、gateway和gwmetric关键字指定设置，不能遗漏，否则会不能成功配置。接口名，如果中间没有空格，则可以不用引号括住（当然也可以用引号括住），但如果名称中包括了空格，则一定要用引号括住。另外，在命令格式中，等号（=）两端不要留空格，而在各关键词前面要有空格。DNS服务器地址的命令格式为：Netsh interface ip set dns name=InterfaceName source=dhcp | static addr=dnsaddress |noneregister=none|primary|bothname=InterfaceName为必需配置项，指定要设置其DNS信息的接口的名称。InterfaceName参数必须与图3-1所示“网络连接”窗口中指定的的接口名称匹配。如果InterfaceName含有空格，则请将文本置于引号之中(例如“InterfaceName 1”)source=dhcp | static addr=dnsaddress |none 为必需配置项，指定DNS服务器的IP地址是通过DHCP配置的还是为静态地址。如果是静态IP地址，则用DNSaddress变量指定要配置的DNS服务器的IP地址，如果先把none选项，则指定删除的DNS配置。register=none|primary|both 为可选配置项，指定计算机注册方式。如果选择none选项，则表示该计算机禁用动态DNS注册完整的计算机名；如果选择primary选项，则指定只在主DNS服务器后缀下注册完整的计算机名；如果选择both选项，则同时在主DNS和其他指定DNS服务器后缀下注册完整的计算机名。自动获得DNS键入的命令：netsh interface ip set dns name=本地连接 source=dhcp设置首先静态DNS服务器地址为，则键入以下格式的命令：netsh interface ip set dns name=本地连接 source=static addr= register=primary为接口配置多个IP地址：Netsh interface ip add address name=InterfaceName addr=ipaddress mask=subnetmask gateway=defaultgatewaygwmetric=gatewaymetric如向本地连接中再添加一个不同网段的IP地址00，子网掩码为，跳点2的默认网关为，则可键入以下格式的命令：Netsh interface ip add address name=本地连接 addr=00 mask= gateway= gwmetric=2删除IP地址Netsh interface ip delete address name=InterfaceName addr=ipaddress gateway=defaultgateway|allAll选项表示删除所有默认网关，只想删除一个默认网关，则Defaultgateway变量将指定要删除的默认网关的IP地址如要删除在前面为本地连接添加的00这个IP地址和这个默认网关，则键入以下格式的命令Netsh interface ip delete address name=本地连接 addr=00 gateway=添加DNS服务器地址Netsh interface ip add dns name=InterfaceName addr=dnsaddress index=dnsindex Dnsindex是用来指定添加的DNS服务器地址接口中的DNS服务器列表的位置。如在本地连接中添加第二个备用DNS服务器地址0，刚可键入以下格式的命令：Netsh interface ip add dns name=本地连接 addr=0 index=2删除DNS服务器地址：Netsh interface ip delete dns name=InterfaceName addr=dnsaddress|allAll表示用来删除所有DNS服务器地址如：netsh interface ip delete dns name=本地连接 addr=0利用netsh工具导出/导入IP配置导出格式：netsh c interface ip dump脚本文件路径和文件名导入格式：netsh f 设置脚本文件10. 工作组名称是NetBIOS名称，最多只能是15个数字、字符，或者7个纯汉字。11. 强制某台机器为主浏览器的方法：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesbrowserparameters注册表位置上将isdonainmaster键值改为True 12. 如果想让某台机器 永远不能成为主浏览器：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesbrowserparameters注册表位置上将maintainserverlist键值改为no , 此时COMPUTER BROWSER服务也将无法启动 13. 网上邻居 正常工作的必要条件：l 客户机要配置了用于名称解析的NetBIOS协议。一般情况下TCP/IP协议就内置并且启动了NetBIOS协议l 客户端启用了“microsoft网络的文件和打印机共享”服务l 网络中至少有一台机器启动了计算机浏览（Computer Browser）服务。要看网络中是否有浏览器主机，nbtstat a连接网络的网卡IP地址命令实现，主浏览器的标识是含有_msbrowse_这样的标识l 启动workstation或server服务14. 造成“网上邻居”访问不成功的原因l 对方计算机上的防火墙阻止了。137端口在局域网中提供计算机的名字或IP地址查询服务，一般安装了NETBIOS协议后，该端口会自动处于开放状态。138端口是为NETBIOS datagram Service(netbios数据报服务)提供的，主要作用就是提供netbios环境下计算机名浏览功能，也就是browser服务有关。139端口是为netbios session service(netbios会话服务)提供的，主要用于提供windows文件和打印机共享以及unix中的samba服务。445端口，也是提花局域网中文件或打印机共享服务l 组策略限制了。IP安全策略中主要看是否限制了上面介绍的这些网上邻居访问端口的通信。经典访问模式中，需要访问者在对方计算机上有合法的用户账户才能访问对方的共享资源，需要经过明确的身份验证；而来宾模式则用户访问时是以来来宾guest账户进行身份验证，澡需要输入账户和密码（前提是启用来宾用户）。如果把windows XP或以后 版本系统中的guest账户也像以前系统那样放进everyone组中，享受同样的权限，那就是组策略中的“让每个人的权限应用于匿名用户”策略。空密码账户的访问限制-使用空白密码的用户只允许进行控制台登录。从网络上访问此计算机，拒绝从网络上访问此计算机l 用户的共享文件夹权限和NTFS文件访问权限限制了l 工作组网络用户访问域网络用户。工作组网络用户无法访问域网络中的计算机。反过来域网络用户访问工作组网络用户则可以15. 桌面或者“开始”菜单上没有“网上邻居”快捷项要在桌面上显示“网上邻居”，只需要在桌面的空白处右击，选 属性桌面自定义桌面 开始菜单中显示“网上邻居”快捷键，只需在状态栏的空白处右击，属性【开始】菜单自定义高级网上邻居复选框确定16. 在“网上邻居”中没有“整个网络”l HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork位置，查看是否有一个名为noentirenetwork的dword键项，如果有将其值设为0，没有就新建l HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesexplores位置看一下是否有noentirenetwork的DWORD键项，值改为0l HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesexplores位置下新建一个nonethood的dword键项，将其值设为0即可取消“网上邻居”在桌面和菜单中的显示。以上是针对当前用户的设备，如果想要使计算机上的所有用户都采用以上设置，则需要在hey_users.defaultsoftwaremicrosoftwindowscurrentversionpoliciesnetwork(或explorer)位置查看地是否有noentirenetwork键项，如果没有则新建network(或explorer)主键，然后再新建noentirenetwork双字节键项，并将其设置为0.17. 网上邻居中可以看到自己，却看不到其他联网的计算机从以下几个方面找原因1） 查看网络中是否只有这一台计算机存在这种问题：如果只有个别计算机存在这种问题，则可以肯定的是与其他计算机无关，只与本机软件配置和相连接网卡、网线、集线器等设备端口有关2） 确定属于本机或与有关的硬件故障有关后，先排除自身的软件配置问题。在此还要特别提醒各位以下几点：l 查看所有计算机IP地址是否都配置在同一网段上l 在网络组件中是否安装了“网络客户”选项l 在“服务”控制台中检查计算机是否已启动了computer browser service服务3） 如果软件配置没问题，则需要进一确认硬件部分所存在的问题了。l 用ping.exe命令Ping其它主机的IP地址，检查其他计算机连接速度是否正常l 检查网卡状态指示灯是否闪烁l 检查集线器上的端口和其他计算机端口的指示灯是否正常l 如果还怀疑其它计算机有软件配置或硬件故障，则可进一步检查18. 在网上邻居中可以看到其它机器，却看不到自己没有正常启动server(服务器)服务，还要检查下computer browser ，net logon服务19. 当双击访问“网上邻居”中的“整个网络”时弹出如下错误提示“无法浏览网络。网络末连接或启动”，这是因为workstation服务没有启动，相关联是computer browser service、net logom20. 已启用guest账户，仍不能访问“网上邻居”中的其他计算机如果要使用guest用户访问windows XP系统，则要进行上面的3个设置：启用guest账户；修改安全策略允许guest从网络访问（在本地组策略中的“用户权利指派”项下的“从网络访问此计算机”选项中添加guest账户，但一定不要在“拒绝从网络访问这台计算机”选项中有guest账户；在“网络安全”项下启用是“让每个人权限应用于匿名用户”选项），禁用“安全选项”中的“账户：使用空密码用户只能进行控制台登录”安全策略，或者给guest加个密码21. 网络访问windows xp系统主机的时候，总是出现输入用户名进行身份验证的对话杠，或者登录圣诞在框中的用户是灰的，始终以guest用户访问，不能输入别的用户账号，为什么本地安全策略中的“安全选项”项下的“网络访问：本地账户的共享和安全模式”中，如果是“仅来宾模式，这样就固定为guest账户，如果是经典模式，就要输入用户名与密码最简单的解决办法就是：不用启用guest账户，仅修改上面安全策略为“经典”模式即可，别的系统访问xp时只需要输入有效的本地账户即可，这样更安全，但有时显示比较麻烦第4章 WLAN无线网络连接配置1. 在WLAN中，有两种连接方式，采用DCF（Distributed coordination function,分布式协调功能）机制无中心控制设备的点对点Ad Hoc（是一种拉丁语）结构WLAN网络和采用PCF（point coordination function,点调功能）机制有中心控制设备（如WLAN AP）的点对多点infrastructure结构wlan网络2. AD hoc WLAN网络中，只需在计算机上的WLAN网上中进行WLAN无线连接和用户访问身份验证配置，基本配置如下：l SSID(Service set identifier,服务集合标识符)l 安全访问微分验证方式l WLAN网络类型3. 通常采用1、6、11，2，7、12，3、8、13这3个信道组合，否则就会有重叠。注意不能与同一无线网络中的其他AP所设置的信道重复。第5章 共享上网方案与配置1、 最简单上网方案就是利用微软windows2000以后版本系统中推出的ICS（internet connection sharing,internet连接共享）方式，但在部署ICS共享上网之前需要注意以下几点：l 如果网络中已有DHCP服务器，而且已采用该DHCP服务器自动分配IP地址，则要禁用该DHCP服务器。因为安装ICS后，也会提供DHCP服务，而且网络中的ICS客户机均必须采用ICS自带的DHCP服务获得IP地址，否则就会发生冲突l 如果网络中已安装了其他共享上网应用软件，如sygate/wingate/ccproxy等，则要卸载它们，因为这些应用程序安装后会控制计算机上安装的网卡，而在安装ICS后也要控制你的计算机网上，不卸载那些应用软件，就会发生网上控制冲突问题l 如果公司是采用ADSL之类需要安装接入终端设备的互联网接入方式，则采用ICS共享上网时，在ICS服务器端要安装两块网卡2、 ICS共享上网方式性能也不是很好，一般公用于20台机器以内的网络先把使用，毕竟采用的是软件NAT技术。一个最大的优点：配置简单，配置成功后不会对任何应用进行限制，所有互联网应用直接应用即可，无须任何特别配置。3、 ICS共享上网的设置通常不单独手动设置，而是通过运行“设置家庭或小型办公网络”向导（通常把它称为“ICS设置向导”）来进行。（只适合小型网络，一般仅用于20台机器以内）4、 启用ICS共享后自动配置的项目自动配置的项目项目操作说明IP地址在连接到家庭或小型办公室网络的LAN适配器上用子网掩码进行配置自动拨号功能已启用静态默认IP路由建立拨号连接时创建Internet连接共享服务已启动DHCP分配程序对于默认范围和子网掩码启用。将54范围中的唯一地址分配给专用网络客户端DNS代理已启用5、“设置家庭或小型办公网络”向导设置法需要分别在网络中的每台计算机上运行。6、如果采用的是网络安装磁盘向导运行方式，则可以直接双击网络安装磁盘（或者已复制到硬盘中的）netsetup.exe程序。7、如果先把电信的E家ADSL宽带方案，则不能采用路由共享方式上网。破解方式：像sniffer之类的抓包工具，在进行PPPoE协议包，sniffer就会把加密前后的密码都呈现在你面前，这样就可以获得这个加密后的密码了。8、一般半径为50米以内的区域中，只请允许我有3个无线AP9、“开放系统”是指用户端无须输入密钥，直接与无线网络连接的方式，这种方式在较大的安全隐患，在企业网络中通常不采用。“共享密钥”方式则需要用户端在进行无线连接时输入接入点预设的密钥，只有正确输入密钥的用户才能与无线接入点连接，确保了用户的合法性。“自动选择”方式则是由路由器自动为无线客户端分配密钥，出于安全考虑不宜先把，特别是在企业网络中10、代理服务器共享上网方式也要分别对服务器端和客户端进行配置11、中小型企业网络通常是对等网，所以不选择NT服务，这样就不会把这项代理服务当作NT域中的一项服务，不会随系统自动启动、自动运行。对等网络中通常也不需要DNS进行名称解析，所以也不要选择“DNS”复选项。12、CCProxy默认采用的HTTP协议端口为808第6章 域控制器的安装、配置与管理1、 如果是新安装的Windows Server 2003系统，而且没做其他任务配置，则可直接安装第一台服务器，否则需要满足以下条件才能进行：l 该计算机上运行的不是Windows Server 2003 Datacenter Edition或Windows Server2003 WEB Edition版本系统l 已安装并配置网卡的TCP/IP协议，并且要分配静态IP地址l 计算机上必须至少有一个NTFS分区l 该计算机没有加入到其他域中，当然该计算机更不能已经配置为域控制器l 在该计算机上没有启动过“Active Directory安装向导”，没有运行“路由和远程访问”服务，但配置域控制器后可重新配置和运行“路由和远程访问”服务l 该计算机上没有证书颁发机构（CA），如果安装了，要先卸载“证书服务”组件，但配置域控制后可以重新安装“证书服务”组件，并配置成证书颁发机构l 该计算机没有配置为DNS服务器或DHCP服务器2.额外域控制器的作用l 提供服务器容错l 为现有域控制器提供负载均衡l 更易于用户的连接和访问2、 额外域控制器的安装有两种方式：在线安装方式和离线安装方式3、 要进行在线额外域控制器安装，首先要把该台成员服务器的DNS指向当前域网络中的DNS服务器，当然还得连接在域网络中（但可以不事先加入域）4、 安装离线额外域控制器的两大步骤：l NTBACKUP.exe工具从现有域控制器上获得活动目录配置信息文件l 利用活动目录配置信息文件，通过高级Active Directory安装向导完成额外域控制器的安装5、 Active Directory配置信息文件是备份工具中System state(系统状态)的一部分，整个System state的内容分为5部分：Active Directory(活动目录，主要是包括了NTDS这个数据库文件夹)、Boot Files（引导文件）、COM+Class Registration Database(组件类注册数据库)、Registry(注册表)和SYSVOL（系统卷）。离线方式安装额外域控制器时只需要Active Directory、Registry和SYSVOL三部分6、 离线安装额外域控制器：安装、配置好DNS服务器后，现在就可以使用dcpromo/adv这个带有高级参数的活动目录运行向导来安装额外域控制器了。7、 重命名域控制器有一个前提条件，即该域的域功能级别设置必须为windows server 20038、 重命名域名前的准备：域控制器、域、林功能提升到windows server 20039、 重命名域的工具是Rendom.etx,操作系统安装光盘上：Valueadd/Msft/Mgmt/domren目录上，网上下载的名称为domainrename.exe（网上安装后产生一个组策略修改工具gpfixup.exe）10、 重命名域方法如下：（1） 先找到rendom.exe程序文件（2） 在主域控制器、额外域控制器或者任意一台成员服务器的命令提示符下输入rendom /list命令，然后按回车。运行成功后，会在该工具所在的文件夹下产生一个名为domainlist.xml文件，用记事本打开，进行修改（3） 输入rendom /upload命令。同时会产生一个dclist.xml文件（4） 输入rendom /prepare命令。检验是否已全部准备好 （如果出错可用rendom /end结束）（5） 输入rendom /execute命令（6） 到了这里有一些细节需要处理。（7） 进一步消除Active Directory中的旧域名。在命令提示符下进入rendom文件所在的目录，输入rendom/clean命令，按回车。最后修改域组策略（工具gpfixup）。（8） 在命令提示进入这个目录，键入gpfixup /?命令，查看该命令格式和可用参数（9） 具体的命令：gpfixup /olddns:lycb.local /newdns:lycb_gz.local /oldnb:lycb /newnb:lycb_gz /dc:lycb-dc1.lycb_gz.local11、 无法正常删除，还是强制删除，当域控制器上安装了“证书”服务时，不能删除域控制器，必须先卸载证书服务组件。另外 ，如果域控制器是某个服务器群集的节点之一，也不能删除域控制器，得先通过群集管理器把该服务器从群集中退出。也不能成功退出，则可使用以下命令从群集中清除该服务器节点：cluster node 节点服务器名称 /forcecleanup12、 配置全局控制器为全局编录角色的方法是在：“Active Directory站点和服务”管理单元控制台中Default-First-Site下面的server节点下单击选择相应的域控制器，然后在右侧窗格中的NTDS Settings项上右击，在“常规”选项卡中选择“全局编录”复选项13、 强制删除方式包括两个主要步骤：一是利用dcpromo /forceremoval 强制删除命令强制删除域控制器上的活动目录；二是利用ntdsutil工具命令清除域网络中这台已被删除的域控制器的相关信息14、 具体清除Active Directory元数据的步骤如下：（1） 命令符下输入ntdsutil命令，然后在ntdsutil提示符下输入“？”，用来清理Active Directory元数据的子命令是metadata cleanup（2） 在metadata cleanup命令，按回车进入metadata cleanup命令执行环境，准备清除已强制删除的域控制器上不再使用的Active Directory数据（3） metadata cleanup提示符下输入“？”，首先用到的是connections子命令，连接到要清除元数据的对象（4） metadata cleanup提示符下输入connections命令，按回车进入connections命令执行环境。然后再在server connections提示符下输入“？”（5） 在server connections提示符下输入connect to server lycb-dc2命令，绑定连接到要清除元数据的那台降级了的域控制器（6） 再在server connections提示符下输入quit，退回到上级的metadata cleanup命令环境，正式对lycb-dc2服务器上的元数据进行清除工作。注意：对象的定位是遵循从大到小规则的，先查找清理对象所在的站点，再在站点中找到对应的域，最终在域中找到对应的服务器（7） 在metadata cleanup提示符下输入Select operation target命令，进入Select operation target命令操作环境。（8） 在Select operation target中输入 list sites命令，查看当前网络中的所有站点，看要清理的对象在哪个站点上（9） 在Select operation target输入listdomain in site命令，查看各站点中所有的域（10） 在Select operation target提示符下输入select domain 0命令，锁定对应的域（11） 在Select operation target输入list server for domain insite命令，查看上次锁定的域 中的所有控制器序号（12） 在Select operation target提示符下输入select server 1命令，锁定要清理的服务器（13） 在Select operation target提示符下输入quit命令，退出Select operation target定位命令环境，因为要清理元数据的服务器已最终锁定（14） 在metadata cleanup提示符下输入remove selected server命令，对锁定的服务器执行正式的元数据清理工作。（15） 在“Active Directory用户和计算机”管理单元控制台的Domain Controllers容器下删除该域控制器。在SP2版本中，这里的删除 不是那么简单，不能像以前版本那样直接删除。在弹出框中要选择：“这台域控制器永远为脱机并且不能再用Active Directory安装向导（DCPROMO）将其降级”单选项。第7章 DNS和DHCP服务器安装、配置与管理1、 存根区域与辅助区域不同同时创建相同的区域名2、 顾要区域和辅助区域有类似之处，都要从对应区域的主要区域的DNS服务器上复制数据。不同之处在于，辅助区域复制区域中的所有记录，但存根区域只复制区域的SOA（起始授权机构）记录、NS（名称服务器）记录和解析NS记录的A记录（主机地址记录）3、 区域创建原则l 可以划分主DNS服务器和辅助DNS服务器，也可以不划分，全部作为主DNS服务器（但不可能全部是辅助DNS服务器）。每台DNS服务器一开始都是把自己当作主DNS服务器的，直到创建了辅助区域l 对于某个特定的区域（如正向查找区域和反射查找区域）来说，主DNS服务器上通常只要创建主要区域，而不创建辅助区域，除非所创建的辅助区域要从另一台主DNS服务器上复制数据，否则主、辅DNS服务器和主、辅区域都在同一台机器上就没有意义了。在辅助DNS服务器上，不要创建主要区域，否则就不是辅助DNS服务器而是主DNS服务器了l 虽然在同一台DNS服务器的正向查找区域和反射查找区域中可以创建不同类型的区域（如主要区域、辅助区域、存根区域），但是通常是在一台DNS服务器上只创建同一类区域。这样更容易划分主DNS服务器和辅助DNS服务器l 在正、反向查找区域中都可以分别创建主要区域或辅助区域（要根据以上服务器角色原则来创建），也就是说，可以同时在正向查找区域和反射查找区域创建主要区域或辅助区域l 不能在同一台计算机上同时创建相同区域的辅助区域和存根区域，但存根区域同样可以在正向查找和反射查找区域中分别创建l 每个区域名只能有一条正向或反向查找区域，不能有相同 区域的多个同类型的查找区域。但是在区域下面还可以创建子区域（也就是子域）的各类区域。4. 当DNS服务器与域控制器在同一台机器上时，要选：Active Directory中存储区域5. “只允许安全动态更新的方式”只有在选择了，Active Directory中存储区域 复选项后才支持的，对于不是在域控制器上的DNS服务器是不可选该项动态更新方式的；允许非安全的动态更新，存在安全风险，特别是在广域网中。如果在这种公开网络环境下，通常选择不允许动态更新。但在局域网中，如果DNS服务器不是安装在域控制器之上，则只能选择第二种同时支持非安全和安全动态更新方式。6. 内网的DNS服务器地址旋转在“转发器：选项卡中。7. 常见的DNS资源记录如下：l 主贡（A）记录：用于将计算机的完整DNS域名映射到计算机所使用的IP地址。是一种正向解析记录。l 别名（CNAME）记录：用于将计算机的DNS域名映射到一个看似无关的别名（相当于每个人的“小名”）。一是简化名称输入，二是起到屏蔽真实名称，增加安全性的作用l 邮件交换器（MX）记录：用于将计算机的DNS域名映射为交换或转发邮件的计算机（邮件服务器）的名称。l 名称服务器（NS）服务：用于指示区域中有哪些DNS服务器l 指针（PTR）记录：用于将计算机的IP地址映射到计算机的DNS域名。是一种反射解析记录l 起始授权机构（SOA）记录：指示区域中是主DNS服务器l 服务位置（SRV）记录：用于将计算机的DNS域名映射到指定的DNS主机列表，该DNS主机提供诸如Active Directory域名控制器之类的特定服务8. 在DNS中，代表当前区域第8单 域网络加入和域用户管理1. 域网络加入典型故障排除1） 在客记机加入域时找不到网络路径或者活动目录缺少DNS记录引起此原因有如下几点：l 客户机的TCP/IP协议配置中没有把主要DNS服务器IP地址指向域网络DNS服务器的IP地址l 域网络中没有工作正常的DNS服务器。可以在DNS服务器上运行netdiag/fix命令（需要事先安装系统支持工具程序包SUPTOOLS.MSI，在源程序光盘中）修复一下l DNS服务器上没有域控制器的SRV记录，或者是错误的。查看DNS服务器上有没有这个记录。Active Directory在下列文件夹下创建其SRV记录：_msdcs/dc/_sites/default-first-site-name/_tcp _msdcs/dc_tcpl 客户机上没有启用TCP/IP NetBIOS Helper服务 2） 加入域时出现找不到域控制器的错误原因：l 计算机中的防火墙，特别是Windows防火墙阻止通信 l DNS服务器配置不正确在DC中运行netdiag/fix后再测试这个问题是否存在。完成以下两个方面的目标： DNS测试。Netdiag命令可以验证netlogon.dns文件来确定它们是否含有正确的所有DNS项，如果有问题更新相应条目 域控制器测试。如果主域上缓存在本地计算机中的域GUID不同于域控制器上保存的域GUID,Netdiag将尝试更新本地计算机上的域GUID。l 输入的是域的NetBIOS名称，而在客户机上没有启动前面说到的TCP/IP NetBIOS Helper服务，也可能出现这种故障 l 如果网络中安装了像ISA之类的防火墙，而在没安装ISA之前加入域是没问题的，则是因为在ISA中没有配置网络规则。最好是先安装ISA然后再配置域3） 加入域时提示“依存服务不存在，或已被标记为删除”服务Net Logon服务没有开启，到Hkey_local_MACHINESYSTEMCurrentControlSetNetlogon下查看设置Net Logon服务依存服务的键项DependOnService（这里除了Workstaion外应该无其它项）2. Windows安全系统按照以下原理使用SID：l 在“安全描述”（security descriptor）部分标识了对象和主要组的拥有者l 在“访问控制条目”（Access control entrie）部分标识了谁被允许访问、谁被禁止访问、谁的访问将被审计这样的信任树l 在“访问令牌”（Access token）部分标识了用户和用户所隶属的组3. whoami命令查看当前用户的SID信息格式：l Whoami/upn|/fqdn|/logonid:这是用来查看当前用户的UPN（user principal,用户主体名称）、FQDN（fully qualified,完全合格的域名）或LOGONID(登录ID)，不是本节所要查询的SIDl Whoami/user|/groups|/priv/fo format:这是我们所需要的，可用来查看当前用户或当前用户所属组的SID、安全属性、组类型信息l Whoami /all /fo format:这也可以用来查看用户和组的SID，因为这种语法格式可以查看当前用户名、所属组，以及它们的SID和当前用户访问信息的特权等所有信息参数说明：l /user:查看当前用户账户信息和SIDl /groups:查看当前用户账户所属账户类型、属性和SIDl /all：查看当前用户名、所属组、SID，以及当前用户访问令牌的特权l /fo format:指定要显示的输出格式，有table(表格)、list（列表）、csv（类似 execl的表格）。4PSTOOLS工具包后，解压后释放到系统安装目录下的system32目录下。语法格式：psgetsidcomputer1 ,computer2,|file-u username -p passwordaccount|SID4. acctinfo.dll链接库文件，双击ALTools.exe文件，然后把它安装到windows系统的system32目录下然后通过运行 regsvr32 acctinfo.dll命令注册表中注册，此方法不支持组账户和计算机账户SID的查看5. 默认域用户账户6默认域组账户默认用户账户描述Administrator账户Administrator账户具有对域的完全控制权，可在必要时为域用户指派用户权利和访问控制权限。该账户只用于需要管理凭据的任务。推荐为此账户设置强密码Administrator账户是Active Directory中 Administrators、 Domain Admins、 Enterprise Admins、 Group Policy Creator Owners 和Schema Admins组默认成员。虽然无法从Administrator组中删除 Administrator账户，但是可以重命名或禁用些账户。但当Administrator账户被禁用时，仍然可以在安全模式下访问域控制器。众所周知，Windows的许多版本都包括Administrator账户，所以重命名或禁用些账户会使恶意用户获得访问它的权限变得更加困难Guest账户Guest账户由该域中的临时用户使用，如账户被禁用（但末被删除）的用户也可以使用Guest用户。Guest账户默认是没有密码的，但可以为它设置密码，以降低安全风险。一般现在都是禁用该账户，也可以像设置任意用户账户一样来设置Guest账户的权利和权限。在默认情况下，Guest账户设置是内置Guest组和Domain Guest全局组的成员，它允许用户登录到域HelpAssistant账户（同“远程协助”会话一起安装）该账户可用于建立“远程协助”会话，只具有对计算机的受限访问权限。当请求“远程协助”会话时，系统将自动创建该账户，在没有远程协助请求等待响应时，系统又将自动删除该账户7.主要默认域组账户 Builtin容器