金牌网管师初级中小型企业网络组建配置与管理笔记整理

1、第 1 章 中小企业网络特点为和管理技能要求网络基础知识：计算机网络的概念、基本组成和主要应用 主要以太局域网拓扑结构类型及各自的主要优缺点 OSI/RM 分层结构、各层的主要功能和工作原理 LAN/RM 分层结构、各层的主要功能和工作原理 主要以太网标准特性及各自的物理层、 MAC 子层结构和帧格式主要 WLAN 标准及帧格式CSMA、CSMA/CD、CSMA/CA的工作原理和应用 数据通信基本模型主要数据传输技术和原理 主要数制类型和相互转换方法 主要数字编码方式和计算IPV4和IPV6协议的主要功能、数据包格式IPV4和IPV6的地址类型及配置方法IPV4协议子网划分与聚合计算方法TCP

2、协议的主要特点和分段格式TCP协议的主要特点和分段格式TCP连接的建立与释放原理UDP、HTTP、ARP、PPP等觉通信协议的基本工作原理和包（帧）格式交换机、路由器和防火墙技术VLAN、STP、RSTP、MST、VTP 等设备的技术原理和应用其他网络基础知识需求第 2 章 双绞网络和信息模块的制作1、 在6类和6a类的连接器也是 RJ-45,与5类和5e （超5类）类的差别：一是除了主体的 拔插接头外，还有一个分线器的附件，用于固定8根芯线的位置；二是 6类和6a类双 绞线的RJ-45连接器的铜片更粗、更光滑，用于提高接触性能。2、千兆以太网排线顺序可以任意，但是两端得一样3、国际影响力的三

3、家综合布线标准发布组织是：ANS（I American National Standard Institute, 美国国家标准化组织）TIA（ Telecommunication Industry Association, 电信工业协会）EIA（ Electronic Industries Alliance, 电信工业协会）4、EIA/TIA-568A 的排列序列：白绿、绿、白橙、蓝、白蓝、橙、白棕、棕EIA/TIA-568B 的排列序列：白橙、橙、白绿、蓝、白蓝、绿、白棕、棕实际用到的只有 4 根传输，即 1、2、3、65、双绞线分为直通网线和交叉网线， 直通网络即水晶头两端排列顺序一样6、

4、直通线连接不同网络设备间的连接， 交叉线用于同种设备的连接7、如果是直通双绞线网络的测试，正常情况下，测试仪的 4 个指示灯为绿色并从上至下依 次闪过。如果有提示灯为黄色或红色， 则证明相应引脚的网线制作不良第 3 章 有线工作网络组建与配置1. 网络工作组的主要特点： 工作组主机间是平等的 管理和安全边界为各成员计算机 采用 NetBIOS 名称解析 在一个工作组网络中可以有多个工作组 不同工作组是可以相互访问的2. 工作组优缺点 安全管理简单（优点） 网络性能比较高（优点） 网络管理不方便（缺点） 网络公共应用配置比较烦琐（缺点）3. 域是一种基于对象（用户、组、计算机等账户都是对象）和安

5、全策略的分布式数据 库系统4. 域网络最大的特点就是可以实现用户、计算机等对象账户，以及网络安全策略的集 中管理和部署5. 活动目录数据库中包括了 3 个表格： schema 表（包含了所有可以在活动目录中创建 的对象信息以及他们之间的相互关系， 包括各种类型对象的可选及不可选 的各种属、dataDATA表）性）、 link 表（包含所有属性的关联，包括活动目录中所有对象的属性的值）表（活动目录中用户、组、应用程序的特殊数据和其他的数据全部保存在6. 域网络的主要特点：集中管理多级账户和安全策略 组策略的应用顺序是： 本地组策略 -站点组 策略-域组策略-组织单位（0U）组策略-了 OU组策略

6、默认信任集中存储单点登录采用DNS解析协议支持漫游配置7. 域网络的主要优缺点：管理更方便（优点）安全性更高（优点） 网络访问更方便（优点） 需要专门的高性能服务器（缺点） 安全配置更复杂（缺点） 网络性能较低（缺点）8. 工作组与域的先把主要考虑以下几个方面：安全策略的复杂性有无全局、集中管理需求 有无基于活动目录的应用与管理需求 首要考虑9. netsh工具配置windows系统的TCP/IP协议netsh interface ip set /? 查看该命令的主要参数及对应功能的帮助说明配置IP地址。设置接口 IP地址的命令格式如下：Netsh interface ip set addre

7、ss name=InterfaceName source=dhcp | staticaddr=ipaddress mask=subnetmaskgateway=none|defaultgatewaygwmetric=gatewaymetric 下面是各命令参数的说明name=InterfaceName 为必需配置项，指定要配置其地址和网关信息的接口名称。 InterfaceName 参数必须与图 3-1所示“网络连接”窗口中对应的接口名称匹配。如 果 InterfaceName 含有空格，则请将文本置于引号之中（例如“ InterfaceName 1 ”）source=dhcp | stati

8、c addr=ipaddress mask=subnetmask gateway=none|defaultgatewaygwmetric=auto|gatewaymetric为必需配置项，指定是通过DHCP服务器配置IP地址，还是使用静态IP地址。如果使用静态地址，那么IPAddress将指定要配置的地址，而sub netmask将指定所配置IP地址的子网掩码。如果使用静态地址，那么还必须同时指定是保留当前默认的网 关（如果有），还是为该地址配置一个网关。 如果配置默认网关， 则利用 DefaultGateway 变量指定要配置的默认网关的IP地址，而gatewaymetric指定要配置的默认

9、网关的跃点数（通常都是 0，指的是网关与接口处于同一网段） ，也可以先把自动获得方式； 如果不配置网关，则选择none选项。如要为“本地连接”配置采用DHCP服务器分配的IP地址，则键入以下命令：Netsh interface ipset address name= 本地连接 sourcd=dhcp 如果为“本地连接”配置静态 IP 地址为 00，子网掩码为 ， 默认网关为 ，则键入以下命令：Netsh interface ip set address name= 本地连接 source=static addr=192.1

10、68.1.200 mask=gateway= gwmetric=auto注：如果是静态IP地址配置，则必须要同时为addr、mask、gateway和gwmetric关键字指定设置，不能遗漏，否则会不能成功配置。接口名，如果中间没有空格，则 可以不用引号括住 （当然也可以用引号括住） ，但如果名称中包括了空格， 则一定要 用引号括住。另外，在命令格式中，等号（=）两端不要留空格，而在各关键词前面要有空格。DNS 服务器地址的命令格式为：Netsh in terface ip set dnsn ame=I nterfaceNamesource=dh

11、cp | static addr=dnsaddress |noneregister=none|primary|bothname=lnterfaceName为必需配置项，指定要设置其DNS信息的接口的名称。InterfaceName 参数必须与图 3-1 所示“网络连接”窗口中指定的的接口名称匹配。如果 InterfaceName 含有空格，则请将文本置于引号之中（例如“ InterfaceName 1 ” ）source=dhcp | static addr=d nsaddress |non e为必需配置项，指定DNS 服务器的IP地址是通过 DHCP配置的还是为静态地址。如果是静态IP地址，

12、则用 DNSaddress变量指定要配置的DNS服务器的IP地址，如果先把none选项，则指定删除的 DNS配置。register=none|primary|both 为可选配置项， 指定计算机注册方式。 如果选择 none 选项，则表示该计算机禁用动态DNS注册完整的计算机名；如果选择primary选项，则指定只在主DNS服务器后缀下注册完整的计算机名；如果选择 both选项，则同 时在主DNS和其他指定DNS服务器后缀下注册完整的计算机名。自动获得 DNS 键入的命令：n etsh in terface ip set dns name=本地连接 source=dhcp设置首先静态 DNS服

13、务器地址为，则键入以下格式的命令：netsh in terface ip set dns n ame=本地连接 source=static addr= register=primary为接口配置多个IP地址：Netsh interface ip add address name=InterfaceName addr=ipaddressmask=subnetmask gateway=defaultgatewaygwmetric=gatewaymetric如向本地连接中再添加一个不同网段的 IP 地址 00，子网掩码为255.255.

14、0.0 ，跳点 2 的默认网关为 ，则可键入以下格式的命令：Netsh interface ip add address name= 本地连接 addr=00 mask= gateway= gwmetric=2删除 IP 地址Netsh interface ip delete address name=InterfaceName addr=ipaddressgateway=defaultgateway|allAll 选项表示删除所有默认网关，只想删除一个默认网关，则 Defaultgateway 变量将 指定要删

15、除的默认网关的 IP 地址如要删除在前面为本地连接添加的00这个IP地址和这个默认网关，则键入以下格式的命令Netsh interface ip delete address name= 本地连接 addr=00gateway=添加 DNS 服务器地址Netsh interface ip add dns name=InterfaceName addr=dnsaddressindex=dnsindexDnsindex是用来指定添加的DNS服务器地址接口中的DNS服务器列表的位置。如在本地连接中添加第二个备用DNS服务

16、器地址0，刚可键入以下格式的命令：Netsh in terface ip add dns name=本地连接 addr=0 in dex=2删除DNS服务器地址：Netsh interface ip delete dns name=InterfaceName addr=dnsaddress|allAll表示用来删除所有 DNS服务器地址如： netsh interface ip delete dns name= 本地连接 addr=0利用netsh工具导出/导入IP配置导出格式：n etsh -c in terface ip d

17、ump脚本文件路径和文件名导入格式：netsh -设置脚本文件10. 工作组名称是NetBIOS名称，最多只能是15个数字、字符，或者 7个纯汉字。11. 强制某台机器为主浏览器的方法：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesbrowserparameters 注册表位置上将 isdonainmaster 键值改为 True12. 如果想让某台机器 永远不能成为主浏览器：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesbrowserparameters 注册 表位置上将 maintain

18、serverlist键值改为no ,此时COMPUTER BROWSE服务也将无 法启动13. 网上邻居 正常工作的必要条件：客户机要配置了用于名称解析的NetBIOS协议。一般情况下 TCP/IP协议就内置并且启动了 NetBIOS协议客户端启用了“ microsoft 网络的文件和打印机共享”服务网络中至少有一台机器启动了计算机浏览（ Computer Browser）服务。要看网 络中是否有浏览器主机，nbtstat -a连接网络的网卡IP地址命令实现，主浏览器 的标识是含有 _msbrowse_ 这样的标识启动 workstation 或 server 服务14. 造成“网上邻居”访问

19、不成功的原因对方计算机上的防火墙阻止了。137端口在局域网中提供计算机的名字或IP地址查询服务，一般安装了NETBIOS协议后，该端口会自动处于开放状态。138端口是为 NETBIOS datagram Service（netbios 数据报服务 ）提供的，主要作用就 是提供 netbios 环境下计算机名浏览功能，也就是 browser 服务有关。 139 端口 是为 netbios session service（netbios 会话服务 ）提供的，主要用于提供 windows 文件和打印机共享以及 unix中的samba服务。445端口，也是提花局域网中文 件或打印机共享服务组策略限制了

20、。 IP安全策略中主要看是否限制了上面介绍的这些网上邻居访问 端口的通信。经典访问模式中，需要访问者在对方计算机上有合法的用户账户 才能访问对方的共享资源，需要经过明确的身份验证；而来宾模式则用户访问 时是以来来宾guest账户进行身份验证，澡需要输入账户和密码（前提是启用 来宾用户）。如果把windows XP或以后 版本系统中的guest账户也像以前系统 那样放进 everyone 组中，享受同样的权限，那就是组策略中的“让每个人 的权限应用于匿名用户” 策略。 空密码账户的访问限制 使用空白密码的用户只允许进行控制台登录。从网络上访问此计算机，拒绝从网络上访问此计算机用户的共享文件夹权限

21、和NTFS文件访问权限限制了工作组网络用户访问域网络用户。 工作组网络用户无法访问域网络中的计算机。 反过来域网络用户访问工作组网络用户则可以15. 桌面或者“开始”菜单上没有“网上邻居”快捷项要在桌面上显示“网上邻居” ，只需要在桌面的空白处右击，选 属性桌面自定 义桌面开始菜单中显示“网上邻居”快捷键，只需在状态栏的空白处右击，属性【开 始】菜单自定义高级网上邻居复选框确定16. 在“网上邻居”中没有“整个网络”HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesNet work 位置，查看是否有一个名为 noen

22、tirenetwork 的 dword 键项，如果有将其 值设为 0，没有就新建HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesexpl ores 位置看一下是否有 noentirenetwork 的 DWORD 键项，值改为 0HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesexpl ores 位置下新建一个 nonethood 的 dword 键项，将其值设为 0 即可取消“网上 邻居”在桌面和菜单中的显示。以上是针对当前用户的设备

23、，如果想要使计算 机上的所有用户都采用以上设置，则需要在 hey_users.defaultsoftwaremicrosoftwindowscurrentversionpoliciesnetwork( 或 explorer) 位置查看地是否有 noentirenetwork 键项，如果没有则新建 network( 或 explorer) 主键，然后再新建 noentirenetwork 双字节键项，并将其设 置为 0.17. 网上邻居中可以看到自己，却看不到其他联网的计算机 从以下几个方面找原因1) 查看网络中是否只有这一台计算机存在这种问题：如果只有个别计算机存在这 种问题，则可以肯定的是与

24、其他计算机无关，只与本机软件配置和相连接网卡、 网线、集线器等设备端口有关2) 确定属于本机或与有关的硬件故障有关后，先排除自身的软件配置问题。在此 还要特别提醒各位以下几点：查看所有计算机 IP 地址是否都配置在同一网段上 在网络组件中是否安装了“网络客户”选项 在“服务”控制台中检查计算机是否已启动了 computer browser service 服务3) 如果软件配置没问题， 则需要进一确认硬件部分所存在的问题了。用 ping.exe 命令 Ping 其它主机的 IP 地址，检查其他计算机连接速度是否正常检查网卡状态指示灯是否闪烁 检查集线器上的端口和其他计算机端口的指示灯是否正常如

25、果还怀疑其它计算机有软件配置或硬件故障， 则可进一步检查18. 在网上邻居中可以看到其它机器，却看不到自己没有正常启动server(服务器)服务，还要检查下computer browser , net logon服务19. 当双击访问“网上邻居”中的“整个网络”时弹出如下错误提示“无法浏览网络。 网络末连接或启动” ，这是因为 workstation 服务没有启动，相关联是 computer browser service 、 net logom20. 已启用 guest 账户，仍不能访问 “网上邻居” 中的其他计算机如果要使用 guest 用户访问 windows XP 系统， 则要进行上面

26、的 3 个设置： 启用 guest 账户；修改安全策略允许 guest 从网络访问（在本地组策略中的“用户权利指派” 项下的“从网络访问此计算机”选项中添加guest 账户，但一定不要在“拒绝从网络访问这台计算机” 选项中有 guest 账户；在“网络安全” 项下启用是“让每个人 权限应用于匿名用户”选项） ，禁用“安全选项”中的“账户：使用空密码用户只能 进行控制台登录”安全策略，或者给 guest 加个密码21. 网络访问 windows xp 系统主机的时候， 总是出现输入用户名进行身份验证的对话杠， 或者登录圣诞在框中的用户是灰的，始终以guest 用户访问，不能输入别的用户账号，为什

27、么 本地安全策略中的“安全选项”项下的“网络访问：本地账户的共享和安全模式” 中，如果是“仅来宾模式，这样就固定为guest 账户，如果是经典模式，就要输入用户名与密码 最简单的解决办法就是：不用启用 guest 账户，仅修改上面安全策略为“经典”模 式即可，别的系统访问 xp 时只需要输入有效的本地账户即可， 这样更安全， 但有时 显示比较麻烦第 4 章 WLAN 无线网络连接配置1. 在 WLAN 中，有两种连接方式，采用 DCF（ Distributed coordination function, 分布 式协调功能）机制无中心控制设备的点对点Ad Hoc （是一种拉丁语）结构WLAN网

28、络和采用 PCF（ point coordination function, 点调功能） 机制有中心控制设备 （如WLAN AP）的点对多点infrastructure结构wlan网络2. AD hoc WLAN网络中，只需在计算机上的WLAN网上中进行 WLAN无线连接和用户访问身份验证配置，基本配置如下：SSID（Service set identifier服务集合标识符）安全访问微分验证方式WLAN 网络类型3. 通常采用 1、6、11， 2， 7、12， 3、8、13这 3个信道组合，否则就会有重叠。注意不能与同一无线网络中的其他AP所设置的信道重复。第 5 章 共享上网方案与配置1、

29、 最简单上网方案就是利用微软win dows2000以后版本系统中推出的ICS （in ternetconn ection shari ng,i nternet连接共享）方式，但在部署ICS共享上网之前需要注意以下几 占：八、如果网络中已有 DHCP服务器，而且已采用该 DHCP服务器自动分配IP地址，则要 禁用该DHCP服务器。因为安装ICS后，也会提供DHCP服务，而且网络中的ICS客 户机均必须采用ICS自带的DHCP服务获得IP地址，否则就会发生冲突如果网络中已安装了其他共享上网应用软件，如sygate/wingate/ccproxy等，则要卸载它们，因为这些应用程序安装后会控制计算机

30、上安装的网卡，而在安装ICS后也要控制你的计算机网上，不卸载那些应用软件，就会发生网上控制冲突问题如果公司是采用ADSL之类需要安装接入终端设备的互联网接入方式，则采用ICS共享上网时，在ICS服务器端要安装两块网卡2、 ICS共享上网方式性能也不是很好，一般公用于20台机器以内的网络先把使用，毕竟采 用的是软件NAT技术。一个最大的优点：配置简单，配置成功后不会对任何应用进行限 制，所有互联网应用直接应用即可，无须任何特别配置。3、ICS共享上网的设置通常不单独手动设置，而是通过运行“设置家庭或小型办公网络”向导（通常把它称为“ ICS设置向导”）来进行。（只适合小型网络，一般仅用于20台机

31、器以内）4、启用ICS共享后自动配置的项目自动配置的项目项目操作说明IP 地址 在连接到家庭或小型办公室网络的LAN适配器上用子网掩码 进行配置自动拨号功能已启用静态默认IP路由建立拨号连接时创建In ternet连接共享服务已启动DHCP分配程序对于默认范围和子网掩码启用。将54范围中的唯一地址分配给专用网络客户端DNS代理已启用5、“设置家庭或小型办公网络”向导设置法需要分别在网络中的每台计算机上运行。6、如果采用的是网络安装磁盘向导运行方式，则可以直

32、接双击网络安装磁盘（或者已复制 到硬盘中的） netsetup.exe程序。7、 如果先把电信的E家ADSL宽带方案，则不能采用路由共享方式上网。破解方式：像sniffer 之类的抓包工具，在进行 PPPoE协议包，sniffer就会把加密前后的密码都呈现在你面前，这样就可以获得这个加密后的密码了。&一般半径为50米以内的区域中，只请允许我有3个无线AP9、“开放系统”是指用户端无须输入密钥，直接与无线网络连接的方式，这种方式在较大的 安全隐患，在企业网络中通常不采用。“共享密钥”方式则需要用户端在进行无线连接时输 入接入点预设的密钥， 只有正确输入密钥的用户才能与无线接入点连接， 确保了用户

33、的合法 性。“自动选择”方式则是由路由器自动为无线客户端分配密钥，出于安全考虑不宜先把， 特别是在企业网络中10、代理服务器共享上网方式也要分别对服务器端和客户端进行配置11、中小型企业网络通常是对等网，所以不选择 NT 服务，这样就不会把这项代理服务当作NT域中的一项服务，不会随系统自动启动、自动运行。对等网络中通常也不需要DNS进行名称解析，所以也不要选择“DNS复选项。12、CCProxy默认采用的HTTP协议端口为808第 6 章 域控制器的安装、配置与管理1 、 如果是新安装的 Windows Server 2003 系统，而且没做其他任务配置，则可直接安装第 一台服务器，否则需要满

34、足以下条件才能进行：该计算机上运行的不是 Windows Server 2003 Datacenter Edition 或 Windows Server2003 WEB Edition 版本系统已安装并配置网卡的 TCP/IP协议，并且要分配静态IP地址计算机上必须至少有一个NTFS分区该计算机没有加入到其他域中，当然该计算机更不能已经配置为域控制器在该计算机上没有启动过“ Active Directory 安装向导”，没有运行“路由和远程访问”服务，但配置域控制器后可重新配置和运行 “路由和远程访问” 服务该计算机上没有证书颁发机构（CA）,如果安装了，要先卸载“证书服务”组件，但配置域控制

35、后可以重新安装“证书服务”组件，并配置成证书颁发机构 该计算机没有配置为 DNS服务器或DHCP服务器2. 额外域控制器的作用 提供服务器容错 为现有域控制器提供负载均衡 更易于用户的连接和访问2、额外域控制器的安装有两种方式： 在线安装方式和离线安装方式3、 要进行在线额外域控制器安装，首先要把该台成员服务器的DNS指向当前域网络中的 DNS服务器，当然还得连接在域网络中（但可以不事先加入域）4、安装离线额外域控制器的两大步骤：NTBACKUP.exe 工具从现有域控制器上获得活动目录配置信息文件 利用活动目录配置信息文件， 通过高级 Active Directory 安装向导完成额外域控制

36、器 的安装5、 Active Directory配置信息文件是备份工具中System state(系统状态)的一部分，整个System state的内容分为5部分：Active Directory(活动目录，主要是包括了NTDS这个数据库文件夹)、Boot Files (引导文件)、COM+Class Registration Database(组件类注册数据 库)、Registry(注册表)和SYSVOL(系统卷)。离线方式安装额外域控制器时只需要ActiveDirectory、Registry 和 SYSVOL三部分6、 离线安装额外域控制器：安装、配置好DNS服务器后，现在就可以使用dc

37、promo/adv这个带有高级参数的活动目录运行向导来安装额外域控制器了。7、重命名域控制器有一个前提条件，即该域的域功能级别设置必须为windows server 20038、重命名域名前的准备： 域控制器、 域、林功能提升到 windows server 20039、 重命名域的工具是 Rendom.etx, 操作系统安装光盘上：Valueadd/Msft/Mgmt/domren 目录 上，网上下载的名称为 domainrename.exe (网上安装后产生一个组策略修改工具 gpfixup.exe)10、重命名域方法如下：( 1)先找到 rendom.exe 程序文件( 2)在主域控制器

38、、额外域控制器或者任意一台成员服务器的命令提示符下输入 rendom /list 命令，然后按回车。运行成功后，会在该工具所在的文件夹 下产生一个名为 domainlist.xml 文件，用记事本打开，进行修改( 3)输入 rendom /upload 命令。同时会产生一个 dclist.xml 文件( 4)输入 rendom /prepare 命令。检验是否已全部准备好 ( 如果出错可用 rendom/end 结束)( 5)输入 rendom /execute 命令( 6)到了这里有一些细节需要处理。(7)进一步消除 Active Directory 中的旧域名。 在命令提示符下进入 ren

39、dom 文件所在的目录，输入 rendom/clean 命令，按回车。最后修改域组策略(工具 gpfixup )。( 8)在命令提示进入这个目录，键入 gpfixup /? 命令，查看该命令格式和可用参数( 9)具体的命令： gpfixup /olddns:lycb.local /newdns:lycb_gz.local /oldnb:lycb/newnb:lycb_gz /dc:lycb-dc1.lycb_gz.local11、无法正常删除，还是强制删除，当域控制器上安装了“证书”服务时，不能删除域控制器，必须先卸载证书服务组件。另外 ，如果域控制器是某个服务器群集的节点之 一，也不能删除域

40、控制器，得先通过群集管理器把该服务器从群集中退出。也不能成功 退出，则可使用以下命令从群集中清除该服务器节点：cluster node 节点服务器名称/forcecleanup12、配置全局控制器为全局编录角色的方法是在：“Active Directory 站点和服务”管理单元控制台中 Default-First-Site 下面的 server 节点下单击选择相应的域控制器， 然后在右 侧窗格中的NTDS Settings项上右击，在“常规”选项卡中选择“全局编录”复选项13、强制删除方式包括两个主要步骤：一是利用 dcpromo /forceremoval 强制删除命令强制删除域控制器上的活

41、动目录；二是利用 ntdsutil 工具命令清除域网络中这台已被删 除的域控制器的相关信息14、具体清除 Active Directory 元数据的步骤如下：（ 1） 命令符下输入 ntdsutil 命令，然后在 ntdsutil 提示符下输入 “？”，用来清理 Active Directory 元数据的子命令是 metadata cleanup（ 2） 在 metadata cleanup 命令，按回车进入 metadata cleanup 命令执行环境，准备清 除已强制删除的域控制器上不再使用的 Active Directory 数据（ 3） metadata cleanup 提示符下输入

42、“？” ，首先用到的是 connections 子命令，连接 到要清除元数据的对象（ 4） metadata cleanup 提示符下输入 connections 命令，按回车进入 connections 命令 执行环境。 然后再在 server connections 提示符下输入 “？”（ 5） 在 server connections 提示符下输入 connect to server lycb-dc2 命令，绑定连接到 要清除元数据的那台降级了的域控制器（6） 再在 server connections 提示符下输入 quit ，退回到上级的 metadata cleanup 命令 环境

43、，正式对 lycb-dc2 服务器上的元数据进行清除工作。 注意： 对象的定位是遵 循从大到小规则的，先查找清理对象所在的站点，再在站点中找到对应的域， 最终在域中找到对应的服务器（ 7） 在 metadata cleanup 提示符下输入 Select operation target 命令，进入 Select operation target 命令操作环境。（8） 在 Select operation target 中输入 list sites 命令， 查看当前网络中的所有站点， 看 要清理的对象在哪个站点上（ 9） 在 Select operation target 输入 listdom

44、ain in site 命令，查看各站点中所有的域（10 ） 在 Select operation target 提示符下输入 select domain 0 命令，锁定对应的域（11 ） 在 Select operation target 输入 list server for domain insite 命令，查看上次锁定的 域 中的所有控制器序号（12 ） 在 Select operation target 提示符下输入 select server 1 命令，锁定要清理的服务 器（13 ） 在 Select operation target 提示符下输入 quit 命令，退出 Select

45、 operation target 定 位命令环境，因为要清理元数据的服务器已最终锁定（14 ） 在 metadata cleanup 提示符下输入 remove selected server 命令，对锁定的服务器 执行正式的元数据清理工作。（15） 在“ Active Directory 用户和计算机”管理单元控制台的 Domain Controllers 容器 下删除该域控制器。在 SP2版本中，这里的删除 不是那么简单，不能像以前版 本那样直接删除。在弹出框中要选择： “这台域控制器永远为脱机并且不能再用 Active Directory安装向导（DCPROMO将其降级”单选项。第7章

46、DNS和DHCP服务器安装、配置与管理1、存根区域与辅助区域不同同时创建相同的区域名2、顾要区域和辅助区域有类似之处，都要从对应区域的主要区域的 DNS 服务器上复制数据。不同之处在于，辅助区域复制区域中的所有记录，但存根区域只复制区域的 SOA（起始授权机构）记录、 NS （名称服务器）记录和解析 NS记录的A记录（主机地址记录）3、区域创建原则可以划分主DNS服务器和辅助 DNS服务器，也可以不划分，全部作为主DNS服务器（但不可能全部是辅助 DNS服务器）。每台DNS服务器一开始都是把自己当作主 DNS服务器的，直到创建了辅助区域对于某个特定的区域（如正向查找区域和反射查找区域）来说，主

47、DNS服务器上通常只要创建主要区域，而不创建辅助区域，除非所创建的辅助区域要从另一台主DNS服务器上复制数据， 否则主、辅DNS服务器和主、辅区域都在同一台机器上就 没有意义了。在辅助 DNS服务器上，不要创建主要区域，否则就不是辅助DNS服务器而是主DNS服务器了虽然在同一台DNS服务器的正向查找区域和反射查找区域中可以创建不同类型的区域（如主要区域、辅助区域、存根区域），但是通常是在一台 DNS服务器上只创建同一类区域。这样更容易划分主 DNS服务器和辅助 DNS服务器在正、反向查找区域中都可以分别创建主要区域或辅助区域（要根据以上服务器角 色原则来创建） ，也就是说，可以同时在正向查找区

48、域和反射查找区域创建主要区 域或辅助区域不能在同一台计算机上同时创建相同区域的辅助区域和存根区域，但存根区域同样可以在正向查找和反射查找区域中分别创建每个区域名只能有一条正向或反向查找区域，不能有相同区域的多个同类型的查找区域。但是在区域下面还可以创建子区域（也就是子域）的各类区域。4. 当DNS服务器与域控制器在同一台机器上时，要选： Active Directory中存储区 域5. “只允许安全动态更新的方式”只有在选择了， Active Directory 中存储区域 复选项后才支持的，对于不是在域控制器上的DNS服务器是不可选该项动态更新方式的；允许非安全的动态更新，存在安全风险，特别

49、是在广域网中。如果在这种公开网络环境下，通常选择不允许动态更新。但在局域网中，如果DNS服务器不是安装在域控制器之上，则只能选择第二种同时支持非安全和安全动态 更新方式。6. 内网的DNS服务器地址旋转在“转发器：选项卡中。7. 常见的DNS资源记录如下：主贡（A）记录：用于将计算机的完整 DNS域名映射到计算机所使用的 IP地 址。是一种正向解析记录。别名（CNAME）记录：用于将计算机的DNS域名映射到一个看似无关的别名（相当于每个人的“小名” ）。一是简化名称输入，二是起到屏蔽真实名称， 增加安全性的作用邮件交换器（MX）记录：用于将计算机的DNS域名映射为交换或转发邮件的计算机（邮件服

50、务器）的名称。名称服务器（NS）服务：用于指示区域中有哪些 DNS服务器指针（PTR记录：用于将计算机的IP地址映射到计算机的 DNS域名。是一种 反射解析记录起始授权机构（SOA）记录：指示区域中是主 DNS服务器服务位置（SRV记录：用于将计算机的 DNS域名映射到指定的 DNS主机列表, 该DNS主机提供诸如Active Directory域名控制器之类的特定服务8. 在DNS中，代表当前区域第 8 单 域网络加入和域用户管理1. 域网络加入典型故障排除1）在客记机加入域时找不到网络路径或者活动目录缺少DNS记录引起此原因有如下几点：客户机的TCP/IP协议配置中没有把主要DNS服务器I

51、P地址指向域网络DNS服务器的IP地址域网络中没有工作正常的DNS服务器。可以在DNS服务器上运行netdiag/fix 命令（需要事先安装系统支持工具程序包SUPTOOLS.MS，I 在源程序光盘中）修复一下DNS服务器上没有域控制器的 SRV记录，或者是错误的。查看 DNS服务 器上有没有这个记录。Active Directory在下列文件夹下创建其 SRV记录: _msdcs/dc/_sites/default-first-site-name/_tcpmsdcs/dc_tcp 客户机上没有启用 TCP/IP NetBIOS Helpe服务2) 加入域时出现找不到域控制器的错误原因：计算机

52、中的防火墙， 特别是 Windows 防火墙阻止通信DNS服务器配置不正确在DC中运行netdiag/fix后再测试这个问题是否存在。完成以下两个方 面的目标：? DNS测试。Netdiag命令可以验证 netlogon.dns文件来确定它们是否 含有正确的所有 DNS项，如果有问题更新相应条目?域控制器测试。如果主域上缓存在本地计算机中的域GUID不同于域控制器上保存的域 GUID,Netdiag 将尝试更新本地计算机上的域GUID。输入的是域的NetBIOS名称，而在客户机上没有启动前面说到的TCP/IPNetBIOS Helper 服务，也可能出现这种故障如果网络中安装了像ISA之类的防

53、火墙，而在没安装 ISA之前加入域是没 问题的，则是因为在ISA中没有配置网络规则。最好是先安装ISA然后再配置域3) 加入域时提示 “依存服务不存在， 或已被标记为删除”服务 Net Logon 服务没有开启，到Hkey_local_MACHINESYSTEMCurrentControlSetNetlogon 下查看设置 Net Logon服务依存服务的键项DependOnService (这里除了 Workstaion外应该无其它项)2. Windows 安全系统按照以下原理使用SID：在“安全描述” ( security descriptor )部分标识了对象和主要组的拥有者在“访问控制

54、条目” (Access control entrie )部分标识了谁被允许访问、谁 被禁止访问、谁的访问将被审计这样的信任树在“访问令牌” (Access token)部分标识了用户和用户所隶属的组3. whoami命令查看当前用户的SID信息格式：Whoami/upn|/fqdn|/logonid:这是用来查看当前用户的 UPN( userprincipal,用户主体名称)、FQDN( fully qualified,完全合格的域名)或 LOGONID登录ID),不是本节所要查询的SIDWhoami/user|/groups|/priv/fo format:这是我们所需要的， 可用来查看当前

55、用户或当前用户所属组的 SID安全属性、组类型信息Whoami /all /fo format:这也可以用来查看用户和组的SID,因为这种语法格式可以查看当前用户名、所属组，以及它们的SID和当前用户访问信息的特权等所有信息 参数说明：/user:查看当前用户账户信息和SID/groups:查看当前用户账户所属账户类型、属性和SID/all :查看当前用户名、所属组、SID,以及当前用户访问令牌的特权/fo format:指定要显示的输出格式，有table（表格卜list （列表）、csv（类似execl的表格）。4. PSTOOLST具包后，解压后释放到系统安装目录下的system32目录下

56、。语法格式：psgetsidcomputer1 ,computer2, |file-u user name -p passwordacco un t|SID4. acctinfo.dll链接库文件，双击ALTools.exe文件，然后把它安装到 windows系统的system32目录下然后通过运行regsvr32 acctinfo.dll命令注册表中注册，此方法不支持组账户和计算机账户SID的查看5. 默认域用户账户6 默认域组账户默认用户账户描述Administrator 账户Administrator账户具有对域的完全控制权，可在必要时为域用户指派用户 权利和访问控制权限。该账户只用于需要管理凭据的任务。推荐为此账 户设置强密码Administrator 账户是 Active Directory 中 Administrators、 Domain Admins、 Enterprise Admins、 Group Policy Creator Owners 禾口 S