网络工程师培训-第七章课件

7.1网络操作系统概述功能特征安全性分层常见系统17.1网络操作系统概述功能17.1.1网络操作系统功能除单机操作系统功能（进程管理，存储管理，文件系统，设备管理）外，主要网络功能：网络通信通信双方无差错、透明的数据传输主要由传输层、网络层、数据链路层实现资源共享及管理统一管理软、硬件资源实现远程访问资源的透明性27.1.1网络操作系统功能除单机操作系统功能（进程管理，存7.1.1网络操作系统功能37.1.1网络操作系统功能37.1.2网络操作系统的特征并发、资源共享、虚拟与异步性开放性ISO—OSI-RM参考模型一致性通过OSI-RM模型中的接口实现透明性各种网络服务实现细节的不可见47.1.2网络操作系统的特征并发、资源共享、虚拟与异步性47.1.3NOS的安全性用户帐户的安全性密码加密时间限制访问的时间间隔限制站点限制创建安全的访问区域磁盘空间管理磁盘配额传输介质的安全性加密审核57.1.3NOS的安全性用户帐户的安全性57.1.4NOS与OSI/RM网络驱动程序介于网卡（NIC）与网络协议之间物理层、链路层网络协议软件数据传送实现2~7层应用程序接口软件（API）实现应用软件与网络协议软件的通信67.1.4NOS与OSI/RM网络驱动程序67.1.5常见的NOSUNIXWINDOWSLINUX77.1.5常见的NOSUNIX7(1)WindowsServer2003特性多任务大内存最大512G多处理器最多64个即插即用群集多机备份文件系统压缩、加密、磁盘配额8(1)WindowsServer2003特性多任务8服务质量—WMS9较好的通讯带宽远程管理—在异地进行服务器管理远程安装—一次性为多台计算机安装系统活动目录—数据库，存储整个网络的资源、配置组策略—用户行为控制邮件服务—系统内置IPv6支持—128位地址无线网络—不需安装第三方软件Microsoft.NET—微软新标准9服务质量—WMS9较好的通讯带宽9(2)LinuxGNU成员，遵循GPL及开放源代码原则。GNU是“GNU'sNotUnix”的递归缩写GNU计划，又称革奴计划GPL：GNU通用公共许可证“反版权”Linux是一种新型的网络操作系统，最大的特点是开放源代码，并可得到许多免费应用程序。目前有中文版本的Linux，如RedHat（红帽子），红旗Linux等，其安全性和稳定性较好，在国内得到了用户的充分肯定。与Unix有许多类似之处，主要用于中、高档服务器中。10(2)LinuxGNU成员，遵循GPL及开放源代码原则。17.2网络操作系统基本配置117.2网络操作系统基本配置117.2.1Server2003用户与组什么是用户账户存在于windows2000、XP、2003系统中的一种对象包含多种属性：用户名、密码不同用户账户配置环境不同不同用户账户的用户名和密码不同不同用户账户的SID不同127.2.1Server2003用户与组什么是用户账户1SID：SecurityIdentifiersSID也就是安全标识符（SecurityIdentifiers），是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的SID。Windows2000中的内部进程将引用帐户的SID而不是帐户的用户或组名。如果创建帐户，再删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有授权给前一个帐户的权力或权限，原因是该帐户具有不同的SID号。安全标识符也被称为安全ID或SID。*管理员的SID结尾是1F4，转换为十进制就是50013SID：SecurityIdentifiersSID也就是用户帐号种类域用户帐号可以访问网络域中的共享资源存储在ActiveDirectory本地用户帐号可以访问本地计算机的资源存储在SAM文件中内置帐号Administror：内置管理员帐号Guest：方便来宾临时访问共享资源不能删除Administrator

andGuest14用户帐号种类域用户帐号可以访问网络域中的共享资源本地用户帐号用户账户的类型：本地用户账户使用“本地用户和组”创建存储在SAM数据库中（system32\config\sam）,一部分信息存储在注册表中HKEY_LOCAL_MACHINE\SAM\Domains\Users）登陆时进行本地身份验证域用户账户使用“AD用户和计算机”创建存储在ActiveDirectory数据库中（windows\NTDS\ntds.dit）登陆时进行网络身份验证15用户账户的类型：本地用户账户15创建用户账户：本地用户账户“本地用户和组”——lusrmgr.mscNetuser：netuserabc123/addnetuserabc456netuserabc/del脚本域用户账户“AD用户和计算机”——dsa.mscUseradd脚本16创建用户账户：本地用户账户16创建和管理组组一组相关账号的集合。在管理网络时，可按照不同用户的操作需求和资源访问需求来创建不通的组，以实现对多个用户的统一配置和管理。创建方法：运行MMC添加“本地用户和组”组件17创建和管理组组17创建和管理组组的类型工作组中的组（本地组）创建于非域控制器计算机，控制对本机资源的访问。域中的组创建于域控制器，控制对域资源的访问。server2003的内置组AdministratorPowerUsers(域控制器上为ServerOperators)BackupOperatorsGutstsUsers(不用来授权，只表明是否属于该域)18创建和管理组组的类型18使用组的规则本地在管理网络时，管理员可按以下规则使用组（1）将用户加入组（2）给组授权19使用组的规则本地在管理网络时，管理员可按以下规则使用组197.2.2活动目录和域域与活动目录活动目录AD是windows网络中的目录服务AD是一个大型数据库AD是一种服务207.2.2活动目录和域域与活动目录20ActiveDirectory（活动目录）?活动目录功能组织管理控制资源集中管理单点管理管理员单点登录普通用户21ActiveDirectory（活动目录）?活动目录功能组域与活动目录域与域控制器域：windows环境种组建C/S网络的实现方式由网络管理员定义的一组计算机的集合域控制器：存储网络用户账号及目录数据库，即AD管理员通过修改AD的配置来实现对网络的管理和控制22域与活动目录域与域控制器22Domains域域是一个安全边界域的管理员只能在本域内实施管理权限域是一个复制单元每台域控制器DC保存域内全部数据的一个副本Windows2000

DomainUser1User2User1User2Replication23Domains域域是一个安全边界Windows2000

D域与活动目录组织单元OU是AD中的一个子对象，也成为容器。创建组织单元的目的是对活动目录对象进行分类。24域与活动目录组织单元OU24组织单元OUOrganizationalStructureSalesVancouverRepairUsersSalesComputersNetworkAdministrativeModel使用OU将域划分为合理的逻辑管理层次在OU上可以委派管理权限在OU上可以实现单独的策略25组织单元OUOrganizationalStructure使用活动目录来集中化管理OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2DomainOU2OU1User1Computer1Printer1User2SearchActiveDirectory:使管理员集中管理网络资源更容易的定位信息以OU的方式管理资源使用组策略管理网络中计算机26使用活动目录来集中化管理OU1DomainComputers域与活动目录域目录树具有连续的域名空间的多个域组成域目录树(root)au.asia.TreeTwo-WayTransitiveTrusts27域与活动目录域目录树(root)au.asia域与活动目录信任关系是网络中不同域之间的一种内在联系只有在两个域之间创建了信任关系，这两个域才可以互相访问。单向信任关系双向信任关系可传递信任关系不可传递信任关系28域与活动目录信任关系28TreesandForests（树与森林）contoso.msft(root)au.contoso.msftasia.contoso.msftTreeTwo-WayTransitiveTrustsau.nwtraders.msftasia.nwtraders.msftnwtraders.msftForestTreeTwo-WayTransitiveTrust多域的环境29TreesandForests（树与森林）contoso四种基本的域结构：单一域模型主域模型多主域模型完全信任模型不同的域结构适用与不同的网络规模、地理分布以及其他资源条件。在一个域模型中不允许包括多个主域控制器。30四种基本的域结构：30真题例：在Windows网络操作系统通过域模型实现网络安全管理策略。下列除（1）以外都是基于域的网络模型。在一个域模型中不允许包括（2）。（1）A．单域模型B．主域模型C．从域模型D．多主域模型（2）A．多个主域控制器B．多个备份域控制器C．多个主域D．多个服务器31真题例：在Windows网络操作系统通过域模型实现网络安全创建WindowsServer2003域创建域的条件版本不能是web版。域控制器计算机中至少有一个NTFS分区，用于存储活动目录的SYSVOL文件夹。有合法的DNS域名及DNS服务器。server2003采用DNS命名规则为解析域名，必须有DNS服务器必须有管理员权限，普通用户不能安装域控制器。32创建WindowsServer2003域创建域的条件32创建WindowsServer2003域创建域的步骤安装域控制器（dcpromo命令）检查域控制器的配置待客户机加入域33创建WindowsServer2003域创建域的步骤33创建WindowsServer2003域排除常见的故障网络不通输入的域名错误输入的用户名密码错误或没有权限加入客户机DNS未正确指向34创建WindowsServer2003域排除常见的故障37.2.3Server2003文件服务器文件服务器提供并管理对文件的访问安装：管理您的服务器-添加删除角色功能：为用户设置默认的磁盘配额设置共享文件夹357.2.3Server2003文件服务器文件服务器提供7.2.4Server2003终端服务远程桌面允许管理员登录到一台计算机，并像在本地一样管理计算机。终端服务一方面允许管理员远程管理计算机。一方面也允许多个用户同时运行终端服务器中的程序。367.2.4Server2003终端服务远程桌面36终端服务如何工作MyDocumentsMyComputerMyNetworkPlacesInternetExplorerRecycleBinStart12:00PMRDPTCP/IPTerminalServerClient37终端服务如何工作MyDocumentsMyCompute7.2.5Server2003远程管理MMC远程桌面连接终端服务远程协助Telnet……387.2.5Server2003远程管理MMC387.2.6Linux网络配置网络配置文件大多位于/etc目录下配置文件提供IP地址、主机名、域名脚本实现网络接口的初始化运行时修改立即生效397.2.6Linux网络配置网络配置文件3940401、/etc/sysconfig/network文件指定服务器上的网络配置信息netowrk=yes/no表示网络是否配置hostname=hotname服务器主机名gateway网关IP地址forward_IPV4=yes/no是否开启IP转发gatewaydev=gw-dev网关设备名字hostname=hostname主机的全限定域名NISDOMAIN=dom-nameNIS域411、/etc/sysconfig/network文件指定服务2、/etc/hostname文件Linux主机名称

主机名称，启动时从/etc/sysconfig/network的hostname中得到。用于启动时设置主机名。422、/etc/hostname文件Linux主机名称423、/etc/hosts文件包括IP地址与主机名之间的映射配置后重启网络/etc/rc.d/init.d/networkrestart433、/etc/hosts文件包括IP地址与主机名之间的映射44、/etc/host.conf指定如何解析主机名，默认内容orderhosts,bind#order:指定主机名查询顺序multion指定是否"/etc/hosts"文件中指定的主机可以有多个地址mospoofoff指定是否允许对该服务器进行IP地址欺骗，recorderoff是否所有的查询将被重新排序，ON表示可以，即在同一子网中的主机首先被选中444、/etc/host.conf指定如何解析主机名，默认内容5、/etc/resolv.conf455、/etc/resolv.conf456、/etc/rc.d/init.d/network文件可以通过编辑这个文件来进行网络主机地址，子网掩码和网关等参数的配置。466、/etc/rc.d/init.d/network文件可以7.2.6Linux网络配置安装网卡第一块网卡：eth0网卡模式：设定为Jumpless(NE2000网卡）大部分为Pnp模式启动时出现eth0:NE2000foundat0X300usingIRQ5启动文件/ect/rc.d/rc.modules#/sbin/modprobeneio=0X300#NE2000at0X300477.2.6Linux网络配置安装网卡47编绎网卡适配器内核进入/usr/src/linux目录运行makemenuconfig，进行内核配置菜单，找到networkdecivesupport，选择EhterNet，再选择相关芯片型号运行：makedepmakemakezlilo48编绎网卡适配器内核进入/usr/src/linux目录48网络配置命令:ifconfig功能：设置、显示TCP/IP网络参数格式：ifconfiginterface-nameip-addressup|down例：ifconfigeth0netmaskupifconfigeth0downifconfigeth0upifconfig49网络配置命令:ifconfig功能：49网络配置命令:route功能：查看并编辑计算机的IP路由表格式：route[参数：adddel……]例：显示IP路由表的全部内容：routeprint添加带有默认网关地址的默认路由：routeaddmask50网络配置命令:route功能：50网络配置命令:ping功能：网络测试格式：ping[选项]-t（直到用户中断）-a（解析为主机名）-ncount(发送由COUNT指定的ECHO报文）-l（指定长度）-ittl生存时间51网络配置命令:ping功能：51网络查询命令:netstat功能：显示内核路由表、活动网络连接状态、接口信息格式：netstat[选项]-a显示所有socket，包括正在监听的。-c每隔1秒就重新显示一遍，直到用户中断。-i显示所有网络接口的信息。-n以网络IP地址代替名称，显示出网络连接情形。-r显示核心路由表，格式同“route-e”。52网络查询命令:netstat功能：52文件的概念计算机中的所有信息保存在文件中如：通知、程序、文本文件是： 数据集合 字符流，或称为字节流 操作系统不对文件进行任何结构化在Linux系统中，文件是字节序列53文件的概念计算机中的所有信息保存在文件中537.2.7Linux文件和目录管理EXT2，虚拟文件系统VFS每一个分区都是一个文件系统。使用索引结点来记录文件信息，索引结点是一个数据结构，它包含一个文件的文件名、位置、大小、建立或修改时间、访问权限、所属关系等信息。一个文件对应一个唯一的索引节点号一个索引节点号可对应多个文件名547.2.7Linux文件和目录管理EXT2，虚拟文件系统V7.2.7Linux文件和目录管理Linux文件结构树形层次结构将软件、硬件都作为文件来处理多个磁盘分区只对应一个目录树557.2.7Linux文件和目录管理Linux文件结构55Linux文件挂载挂载：将一个文件系统的顶层目录挂到另一个文件系统的子目录上，使他们成为一个整体，上一层文件系统的子目录就称为挂载点。挂载点必需是一个目录而不能是一个文件。一个分区挂载在一个已存在的目录上，这个目录可以不为空，但挂载后这个目录下以前的内容将不可用。56Linux文件挂载挂载：56Linux文件类型和访问权限文件名最长为255个字符五种类型：普通文件:文本数据或代码数据目录文件:将所有内容组织成一个表链接文件：建立文件的链接设备文件:在/dev目录中管道文件:在进程间传递文件，也称FIFO文件文件和目录访问权限：-rwxrwx57Linux文件类型和访问权限文件名最长为255个字符57ls显示目录中的各项格式：ls[dir_name]作用：显示（列表list）目录命令选项：-a，-R举例：cd,ls（显示用户主目录中的内容）ls-a（显示所有文件）文件名以.开头的文件是隐藏文件ls-R（显示所有子目录的内容）58ls显示目录中的各项格式：ls[dir_name]58列出目录中文件的详细信息(ls)格式：ls–l作用：列出目录中的文件的详细信息说明：字段1显示是文件还是目录；读写权限。字段2显示了链接数字段3显示了该文件的拥有者的名称字段4显示了用户组权限所作用的用户组的名称。字段5显示了该文件的字节数字段6显示了该文件被最后修改的时间字段7显示了该文件或目录的名称

59列出目录中文件的详细信息(ls)格式：ls–l59ls-ldatatotal28-rwxrw-r–1zhangstudent259Jul1118:23file1-rw-rw1zhangstudent76Sep0509:56file2drwxr-xr-x2zhangstudent48Sep0516:39hist文件类型-:普通d:目录c:字符设备b:块设备p:管道文件保护模式-:无权r:可读w:可写x:可执行文件名最后修改时间大小所属用户组文件所有者文件链接数60ls-ldata-rwxrw-r–1zhangstuls命令的命令选项 -a列出所有文件，包括隐藏文件-C以多列的格式列表，按列排序-F如果是目录，文件名后加/；如果是可执行文件，加*表示-l按照长格式列表，显示文件的详细信息-m按页宽列文件，以逗号分隔61ls命令的命令选项 -a61ls命令的命令选项

-p如果是目录，文件名后加/-r以字母反序列表-R循环列出子目录的内容-s以文件块为单位显示文件大小-x以多列的格式列表，按行排序62ls命令的命令选项 -p62[说明]每个选项字母前需要加连字符。命令名和选项之间必须要有空格。加目录的路径名列出其他目录的文件。一行命令中可以多于一个选项。63[说明]每个选项字母前需要加连字符。63文件和目录操作命令cat显示、创建或者合并文件more分屏显示文本，空格继续less分屏显示文本，可向前(B)、向后(P)翻页64文件和目录操作命令cat64cp复制文件，对文件备分。用户可把文件从某个目录复制到另一个目录格式：cpsourcetargetcpfile1file2...Target-dir

选项:-i:如果目标文件存在，请求确认-a:复制整个目录65cp复制文件，对文件备分。用户可把文件从某个目录复制到另一个mv作用：文件移动，或更改文件、目录的名字格式：move[-选项]sourcetarget-i:用户交互，请求确认-f:禁止交互说明：source可以是一个文件，也可是多个文件。如果是多个文件，参数target必须是一个目录。target可以是一个文件，也可以是一个目录文件数量不变，只改变文件名或文件所处的目录。66mv作用：文件移动，或更改文件、目录的名字66rm作用：删除文件或目录格式：rm[-选项]fileName|directory-i:用户交互，请求确认-f:禁止交互说明：文件一旦删除，不可恢复67rm作用：67mkdir格式：mkdir[-选项]dir_name作用：创建一个子目录，或一次创建多个子目录。注意：创建的目录应该不存在。可以在任何一级用mkdir，而不一定要在当前目录下创建。68mkdir格式：68rmdir格式：rmdir[-选项]dir_name作用：除不需要的目录。注意：dir_name参数必须有dir_name参数不能被指定为当前目录（即：要在父目录中删除子目录）69rmdir格式：69cd格式：cddir_name作用：从一个目录改变到另一个目录。注意：cd不带任何参数时，回自己的用户主目录（即用户登录时自动进入的第一个目录）cd..至当前目录的父目录中。70cd格式：70pwd格式：pwd作用：列出正在工作的目录，用于显示你当前所处的目录名（完全路径名）。71pwd格式：71路径名

由斜杠/分隔的由目录名组成的一个序列，它指示找到一个文件所必须经历的目录。两种类型：全路径（绝对路径）：由根目录/开始相对路径：由当前目录开始72路径名由斜杠/分隔的由目录名组成的一个序列，它指示找到一个路径名举例.表示当前目录；..表示上级（父）目录例：当前目录是/home/team01/home/team01/doc/mon_reportdoc/mon_report../team03/pgms/suba./test173路径名举例.表示当前目录；73文件权限对任何类型的Linux文件，可以设置三种权限:读(r)权限：可读取文件的内容写(w)权限：可修改文件的内容执行(x)权限：对普通文件:文件内容可被装入内存直接运行或逐条解释执行对目录文件:可在分析路径名的过程中检索该目录74文件权限对任何类型的Linux文件，可以设置三种权限:74文件保护/权限

rwxrwxrwx文件属主用户(u)

用户组(g)

其它用户(o)普通文件：r(read)是指能够看文件的内容w(write)是指能够改变和删除文件的内容x(execute)是指能够将文件名当作命令执行（需要同时具备r）75文件保护/权限rwx目录文件：

r是指能够查看目录中有哪些文件w是指能够在目录中创建或删除文件x是指能够进入到目录之中（使用cd命令进入到目录中，或者访问目录中的文件）当想要访问目录中的任何一个文件或者子目录时，x权限都是必须的。如果想使w权限起作用，则它必须同时具备x权限。76目录文件：76chmod格式：chmod[-选项]modefileName作用：改变文件或目录的访问权限。例：将档案file1.txt设为所有人皆可读取:chmodugo+rfile1.txtchmoda+rfile1.txt77chmod格式：777.2.8Linux用户和组用户和组管理用户标识UID用户主目录登陆Shell用户组/组群组标识UID787.2.8Linux用户和组用户和组管理78用户管理配置文件/etc/passwd最重要，对所有用户都是可读的，有七个用“:”分开的域：用户名加密的口令用户ID组ID用户名或描述登陆目录登陆SHELL79用户管理配置文件/etc/passwd最重要，对所有用户都用户管理配置文件/etc/shadow文件只有超级用户能读，每个用户对应一行。用于存放加密后的用户口令。80用户管理配置文件/etc/shadow文件80用户管理配置文件/etc/group文件用户组名：加密后的口令：组ID：组成员列表例：sys:x:3:root,bin,adm81用户管理配置文件/etc/group文件81用户和组管理命令adduseruserdelsugroupaddgroupdel82用户和组管理命令adduser827.3配置web服务器837.3配置web服务器83建立网站的方式虚拟主机购买别人的web空间，自己没有服务器适合小型网站主机托管和主机租用购买自己的服务器，交予web运营商租用运营商的服务器适合中、大型网站完全自己建立必须有自己的专线和公用IP地址84建立网站的方式虚拟主机84概述IIS概述为IIS的安装作准备安装IIS配置Web站点管理IIS查找和解决IIS中的问题85概述IIS概述85IIS概述

~~~~~~~~~

~~~~~~~~~

~~~~~~~~~IntranetInternet86IIS概述~~~~~~~~~~~~~~~为IIS的安装作准备配置静态的IP地址33建立域名安装TCP/IP配置NTFSNTFS87为IIS的安装作准备配置静态的IP地址192.168安装IIS执行安装:把“internet服务管理器”添加到“管理工具”菜单中。建立“默认的web站点”和“默认的ftp站点“。88安装IIS执行安装:88配置Web站点配置web站点的标识配置主目录介绍身份验证的方法选择一种身份验证方法配置身份验证指派默认文档89配置Web站点配置web站点的标识89配置web站点的标识DefaultWebSitePropertiesDirectorySecurityHTTPHeadersCustomErrorsWebSiteOperatorsPerformanceISAPIFiltersHomeDirectoryDocumentsServerExtensionsWebSiteIdentificationConnectionsEnableLoggingActivelogformat:W3CExtendedLogFileFormatProperties...OKCancelApplyHelpUnlimitedLimitedTo:1000connections900secondsConnectionTimeout:HTTPKeep-AlivesEnabledAdvanced...Description:IPAddress:TCPPort:80(AllUnassigned)DefaultWebSiteSSLPort:90配置web站点的标识DefaultWebSitePro配置主目录DefaultWebSitePropertiesWebSiteOperatorsPerformanceISAPIFiltersHomeDirectoryDocumentsDirectorySecurityHTTPHeadersCustomErrorsWhenconnectingtothisresource,thecontentshouldcomefrom:AdirectorylocatedonthiscomputerAsharelocatedonanothercomputerAredirectiontoaURLScriptsourceaccessReadWriteDirectorybrowsingLocalPath:Browse...LogvisitsIndexthisresourceC:\inetpub\wwwrootApplicationname:ApplicationSettingsStartingpoint:ExecutePermissions:ApplicationProtection:DefaultApplication<DefaultWebSite>NoneRemoveConfiguration...UnloadOKCancelApplyHelpMedium(Pooled)ServerExtensionsDirectoryon

localcomputerSharedfolder91配置主目录DefaultWebSiteProperti介绍身份验证的方法匿名访问基本身份验证文摘身份验证集成式Windows身份验证92介绍身份验证的方法匿名访问92选择一种身份验证方法匿名访问基本身份验证1.如果你想允许用户访问你的web站点的公共区域。2.完全不提供任何身份验证功能。你想对通过任何浏览器或代理服务器访问你的web站点的用户进行身份验证。身分验证的方法文摘身份验证你向针对你的web站点实现可靠的身份验证，而且你必须经过代理服务器的时候。何时应用集成式Windows身份验证你正在配置一个intranet，其中的用户和web服务器在同一个域中，或在多个域中，但是这些域之间存在信任关系。93选择一种身份验证方法匿名访问基本身份验证1.如果你想允许用户指派默认文档DefaultWebSitePropertiesEnableDefaultDocumentDefault.htmAdd...RemoveDefault.aspiisstart.aspBrowse...EnableDocumentFolderWebSiteOperatorsPerformanceISAPIFiltersHomeDirectoryDocumentsDirectorySecurityHTTPHeadersCustomErrorsServerExtensionsWelcometoMicrosoft’sHomeMicrosoftInternetExplorerFileEditViewFavoritesToolsHelpBackForwardStopRefreshHomeSearchFavoritesHistoryMailPrintEdit/HomeHomeEvents&TrainingSubscribeAboutMicrosoftU.S.&InternationalAboutOurSiteSeepagecustomizedfor:AllProductFamiliesBusinessCustomersDevelopersEducationHomeUserIPProfessionalsPartners&ResellersAreYouReadytoTakeontheChessMaster?FindOutWhat’sHappeningatPCExpoinNewYorkRickRashid:TheSteadyHandBehindMicrosoftResearchEntertoWinaGatewayPCLoadedwithOffice2000DownloadOutlookUpdatesfortheE-mailAttachmentsVirus94指派默认文档DefaultWebSitePropert在一台服务器建立多个网站95在一台服务器建立多个网站95管理IIS使用Internet服务管理器管理远程web服务器使用系统监视器监控IIS性能96管理IIS使用Internet服务管理器管理远程web服务7.5配置DNS服务器DNS服务器域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名（主机名）转换为IP地址功能的服务器。977.5配置DNS服务器DNS服务器97DNS域名系统(DomainNameSystem)由解析器和域名服务器组成。其中域名必须对应一个IP地址，而IP地址不一定有域名。域名系统采用类似目录树的等级结构。98DNS域名系统(DomainNameSystem)由子域二级域顶级域什么是域名空间？根域FQDN=

Host=Computer1·.99子域二级域顶级域什么是域名空间？根域FQDN=compuDNSClientDNSServerDNS的各种组件DNSServersontheInternetResourceRecordRoot

·.ResourceRecord100DNSClientDNSServerDNS的各种组件DNDNS的查询过程查找类型正向查询：要求进行“名称到地址”的解析反向查询：要求进行“地址到名称”的解析查询类型迭代查询：DNS服务器在没有其它服务器帮助的情况下返回它能提供的最佳答案递归查询：DNS服务器为查询返回一个完全的答案，而不仅仅是一个指向另一个服务器的指针101DNS的查询过程查找类型101创建查找区域正向查找DNSServerIPaddressfornwtraders.msft?IPaddress=0反向查找DNSServerNamefor0?Name=nwtraders.msft102创建查找区域正向查找DNSServerIPaddressDNS的查询方法递归查询DNS客户端直接要求得到完整的解析结果computer1本地DNSServerResourceRecord44103DNS的查询方法递归查询compu迭代（循环）查询客户端可能得到下一个DNS服务器的地址computer1本地DNSServerResourceRecord44Root

·.com查询.com回答.com查询回答查询44123104迭代（循环）查询computer1根服务器：目前互联网上有13台根提示（属于迭代查询中的一步）DNS服务器中保存着有关根服务器的记录根提示不可用原因win2003既是域控制器又是DNS服务器时，会自动创建一个区域，叫做.域，因为.域的存在服务器会默认自己就是根域，所以根提示就不可用。如果在内网部署一台DNS服务器，想让内网计算机既可以访问内网计算机，又可以访问外网服务，就需要在内部的DNS服务器启动根提示。105根服务器：目前互联网上有13台105名称解析过程*EnterCommand1LocalHostName2HOSTSFIle3DNSServer4NetBIOSNamecache5WINSServer6Broadcast7LMHOSTSFIle8106名称解析过程*EnterCommand1LocalHos名称解析过程注：Hosts文件位于C:\windows\system32\drivers\etc下；如果将常用的网站网址与对应IP地址填写到HOSTS文件中，可以提高网络访问速度；NetBIOSNameCache，存放到客户端中，存放的是最近一段时间内和我成功通讯的计算机与IP地址对应关系；WINS服务器，和DNS服务器功能相近，但解析的是NetBIOS名与IP地址对应关系；LMHosts文件与HOSTS文件存放位置相同。107名称解析过程注：107配置DNS服务器配置本机为固定IP注意DNS服务器自身的DNS地址应指向自己安装DNS服务添加windows组件-网络服务-DNS创建DNS区域正向查找区域一般填入服务器的域名反向查找区域填入服务器IP的网络地址部分108配置DNS服务器配置本机为固定IP108创建DNS区域区域（Zone）是DNS树状结构的一部分，它可将DNS的域名空间分为较小的区段，以方便管理。每个DNS区域都对应一个区域文件，用于保存DNS区域内的资源记录。这些区域文件可以文本形式存储，也可以保存于活动目录数据库中。区域文件存储该区域的资源记录，即该区域的主机信息。109创建DNS区域区域（Zone）109根据DNS区域的用途，可将DNS区域分为：正向查找区域：负责将主机名解析为IP地址反向查找区域：负责将IP地址解析为主机名110根据DNS区域的用途，可将DNS区域分为：110DNS支持多种资源记录类型A记录主机名与IP地址的对应记录，用于解析主机名到IP地址（存在于正向查找区域）PTR记录IP地址与主机名的对应记录，用于解析IP地址到主机名（存在于反向查找区域）SOA记录又称起始授权记录，是任何DNS区域中的第一条记录，该记录保存了所在区域的初始设置。111DNS支持多种资源记录类型A记录111DNS支持多种资源记录类型NS记录指明所在区域的DNS服务器SRV记录（服务器资源井）该记录提供相应服务的服务器由系统自动创建MX记录指明邮件服务器CNAME记录负责将主机名解析为另一个主机名112DNS支持多种资源记录类型NS记录112创建资源记录113创建资源记录113创建辅助区域*当网络中一台DNS服务器过载，可在另一台计算机中建立辅助区域，帮助主要区域所在的DNS服务器进行域名解析，以减轻主DNS服务器的负担。辅助服务器将用于解析的记录进行复制，但不能修改。创建方法：新建辅助区域区域属性-允许区域复制114创建辅助区域*当网络中一台DNS服务器过载，可在另一台计算机配置转发器（转发服务器）*当DNS服务器不能解析客户端发送的解析请求时，会向其它的DNS服务器询问。DNS转发可以让本地DNS服务器将查询请求转发到其他DNS服务器条件转发配置：DNS-主机-转发器115配置转发器（转发服务器）*当DNS服务器不能解析客户端发送的测试DNS服务器116测试DNS服务器116为客户计算机配置名称解析功能InternetProtocol(TCP/IP)PropertiesGeneralYoucangetIPsettingsassignedautomaticallyifyournetworksupportsthiscapability.Otherwise,youneedtoaskyournetworkadministratorfortheappropriateIPsettings.ObtainanIPaddressautomaticallyUsethefollowingIPaddress:IPaddress:Subnetmask:Defaultgateway:500UsethefollowingDNSserveraddresses:PreferredDNSserver:AlternateDNSserver:ObtainDNSserveraddressautomaticallyAdvanced...OKCancel客户机可以由DHCP服务器提供IP地址，也可以人工配置IP地址117为客户计算机配置名称解析功能InternetProtoco关于AD和DNS的讨论：若不是AD集成区域，DNS数据库在system32\dns文件夹下，以dns为扩展名创建AD集成区域如果区域创建成AD集成区域，DNS数据库会在活动目录数据库中；优点：一个区域内有多台DC并且都是DNSserver时，DNS的复制会随着DC的复制而自动完成，不需要人工的干预注：主辅区域同步时，所有操作需要在主区域上去做，会自动同步到辅助区域上；两个区域服务器会公用一个DNS服务器数据库118关于AD和DNS的讨论：若不是AD集成区域，DNS数据库在DNS和活动目录的关系活动目录依赖DNS客户端登录域网络资源访问DC间复制活动目录......域要想正常工作，必须保证DNS是好的DNS中的SRV记录解析DC地址119DNS和活动目录的关系活动目录依赖DNS119活动目录中DNS的角色名字解析DNS将计算机名称转化为IP地址计算机使用DNS在网络中互相查找WindowsServer2003域的命名协定WindowsServer2003使用DNS的域名命名标准DNS域和活动目录域共享一个公共的分层命名结构查找活动目录的物理成分DNS通过提供的服务来验证域服务器计算机使用DNS来查找域控制器和全局目录服务器120活动目录中DNS的角色名字解析120DNS和活动目录的域名空间sales.training.trainingmicrosoftDNSNamespaceActiveDirectoryNamespace=DNSnode(domainorcomputer)=ActiveDirectorydomainsalescomputer1(DNSrootdomain)“.”com.Internet121DNS和活动目录的域名空间salDNS的主机名和Windows2000计算机名DNS主机记录和活动目录对象表示的是相同的物理主机DNS允许计算机在活动目录中查找域控制器ActiveDirectoryBuiltinComputersComputer1Computer2DNS“.”com.salestrainingcomputer1microsoftFQDN=

Windows2000ComputerName=Computer1122DNS的主机名和Windows2000计算机名DNS计算机如何使用DNS来查找域控制器DNSServerZoneDatabaseSRV

Records客户端连接域控制器6域控制器回应7LDAP服务运行在域控制器上LightweightDirectoryAccessProtocol8客户端向域控制器发送申请登录域，开始活动目录的搜索1发送DNS查询3网络登录收集客户机信息2返回IP地址列表5DNS查询匹配的服务记录4Client123计算机如何使用DNS来查找域控制器DNSServerZon7.6配置DHCP服务器动态主机设置协议DynamicHostConfigurationProtocol,DHCP是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段1247.6配置DHCP服务器动态主机设置协议124DHCP图示IPAddress1IPAddress2IPAddress3DHCP

DatabaseIPAddress2IPAddress1DHCPClient:

IPconfiguration

from

DHCPserverDHCP

ServerNon-DHCPClient:

staticIP

configurationDHCPClient:

IPconfiguration

fromDHCPserver125DHCP图示IPAddress1DHCP

DatabasDHCP租约生成过程1IP请求3IP选择2IP提供4IP确认DHCPClient:DHCPServer:126DHCP租约生成过程1IP请求3IP选择2IP提供4DHCP租约刷新过程DHCPREQUESTSourceIPAddress=7Dest.IPAddress=08RequestedIPAddress=7HardwareAddress=08004DHCPACKSourceIPAddress=08Dest.IPAddress=7OfferedIPAddress=7ClientHardwareAddress=08004...SubnetMask=LengthofLease=8daysServerIdentifier=08DHCPOption:Router=DHCPClientDHCPServer127DHCP租约刷新过程DHCPREQUESTSourceI配置DHCP服务器确保服务器为固定IP安装DHCP服务添加win组件-网络服务-DHCP为DHCP服务器授权防止用户随意配置DHCP服务器开始-程序-管理工具-DHCP创建并激活作用域128配置DHCP服务器确保服务器为固定IP128授权DHCP在有域的环境中没有授权DHCP服务

不可以正常响应授权后DHCP服务

可以正常启动DHCPServiceChecksForAuthorizationClientsDHCPServerDomainController/

DHCPserverDHCPServer129授权DHCP在有域的环境中没有授权DHCP服务

客户端验证DHCP配置ipconfig/all客户机是否获得IP地址ipconfig/release释放IPipconfig/renew重新申请IP130客户端验证DHCP配置ipconfig/all130配置DHCP选项默认情况下DHCP只分配IP地址，子网掩码等参数可通过配置DHCP选项为客户机提供其他TCP/IP参数默认网关地址（003）DNS服务器地址（006）注意区分：作用域选项服务器选项131配置DHCP选项默认情况下DHCP只分配IP地址，子网掩码等为客户机保留IP地址客户机每次获得同一个IP地址132为客户机保留IP地址客户机每次获得同一个IP地址132配置DHCP中继代理可使本子网中的计算机从其他子网中获得IP地址BroadcastRouter子网1子网2DHCPClientDHCPRelayAgentDHCPServer133配置DHCP中继代理可使本子网中的计算机从其他子网中获得IP配置DHCP代理开始-程序-管理工具-路由和远程访问配置启用路由和远程访问-自定义-LAN路由IP路由选择-常规-新增路由协议-DHCP中继代理协议DHCP中继代理程序-属性-填入代理服务器IP地址DHCP中继代理程序-右击-新增接口-选择网卡134配置DHCP代理开始-程序-管理工具-路由和远程访问134DHCP服务器的维护DHCP数据库文件默认位于X:\Windows\system32\dhcpdhcp.mdb数据库文件可备份与恢复数据库碎片整理netstopdhcpservercdX:\Windows\system32\dhcpjetpackdhcp.mdbtempnetstartdhcpserver135DHCP服务器的维护DHCP数据库文件默认位于135演讲完毕，谢谢观看！演讲完毕，谢谢观看！7.1网络操作系统概述功能特征安全性分层常见系统1377.1网络操作系统概述功能17.1.1网络操作系统功能除单机操作系统功能（进程管理，存储管理，文件系统，设备管理）外，主要网络功能：网络通信通信双方无差错、透明的数据传输主要由传输层、网络层、数据链路层实现资源共享及管理统一管理软、硬件资源实现远程访问资源的透明性1387.1.1网络操作系统功能除单机操作系统功能（进程管理，存7.1.1网络操作系统功能1397.1.1网络操作系统功能37.1.2网络操作系统的特征并发、资源共享、虚拟与异步性开放性ISO—OSI-RM参考模型一致性通过OSI-RM模型中的接口实现透明性各种网络服务实现细节的不可见1407.1.2网络操作系统的特征并发、资源共享、虚拟与异步性47.1.3NOS的安全性用户帐户的安全性密码加密时间限制访问的时间间隔限制站点限制创建安全的访问区域磁盘空间管理磁盘配额传输介质的安全性加密审核1417.1.3NOS的安全性用户帐户的安全性57.1.4NOS与OSI/RM网络驱动程序介于网卡（NIC）与网络协议之间物理层、链路层网络协议软件数据传送实现2~7层应用程序接口软件（API）实现应用软件与网络协议软件的通信1427.1.4NOS与OSI/RM网络驱动程序67.1.5常见的NOSUNIXWINDOWSLINUX1437.1.5常见的NOSUNIX7(1)WindowsServer2003特性多任务大内存最大512G多处理器最多64个即插即用群集多机备份文件系统压缩、加密、磁盘配额144(1)WindowsServer2003特性多任务8服务质量—WMS9较好的通讯带宽远程管理—在异地进行服务器管理远程安装—一次性为多台计算机安装系统活动目录—数据库，存储整个网络的资源、配置组策略—用户行为控制邮件服务—系统内置IPv6支持—128位地址无线网络—不需安装第三方软件Microsoft.NET—微软新标准145服务质量—WMS9较好的通讯带宽9(2)LinuxGNU成员，遵循GPL及开放源代码原则。GNU是“GNU'sNotUnix”的递归缩写GNU计划，又称革奴计划GPL：GNU通用公共许可证“反版权”Linux是一种新型的网络操作系统，最大的特点是开放源代码，并可得到许多免费应用程序。目前有中文版本的Linux，如RedHat（红帽子），红旗Linux等，其安全性和稳定性较好，在国内得到了用户的充分肯定。与Unix有许多类似之处，主要用于中、高档服务器中。146(2)LinuxGNU成员，遵循GPL及开放源代码原则。17.2网络操作系统基本配置1477.2网络操作系统基本配置117.2.1Server2003用户与组什么是用户账户存在于windows2000、XP、2003系统中的一种对象包含多种属性：用户名、密码不同用户账户配置环境不同不同用户账户的用户名和密码不同不同用户账户的SID不同1487.2.1Server2003用户与组什么是用户账户1SID：SecurityIdentifiersSID也就是安全标识符（SecurityIdentifiers），是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的SID。Windows2000中的内部进程将引用帐户的SID而不是帐户的用户或组名。如果创建帐户，再删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有授权给前一个帐户的权力或权限，原因是该帐户具有不同的SID号。安全标识符也被称为安全ID或SID。*管理员的SID结尾是1F4，转换为十进制就是500149SID：SecurityIdentifiersSID也就是用户帐号种类域用户帐号可以访问网络域中的共享资源存储在ActiveDirectory本地用户帐号可以访问本地计算机的资源存储在SAM文件中内置帐号Administror：内置管理员帐号Guest：方便来宾临时访问共享资源不能删除Administrator

andGuest150用户帐号种类域用户帐号可以访问网络域中的共享资源本地用户帐号用户账户的类型：本地用户账户使用“本地用户和组”创建存储在SAM数据库中（system32\config\sam）,一部分信息存储在注册表中HKEY_LOCAL_MACHINE\SAM\Domains\Users）登陆时进行本地身份验证域用户账户使用“AD用户和计算机”创建存储在ActiveDirectory数据库中（windows\NTDS\ntds.dit）登陆时进行网络身份验证151用户账户的类型：本地用户账户15创建用户账户：本地用户账户“本地用户和组”——lusrmgr.mscNetuser：netuserabc123/addnetuserabc456netuserabc/del脚本域用户账户“AD用户和计算机”——dsa.mscUseradd脚本152创建用户账户：本地用户账户16创建和管理组组一组相关账号的集合。在管理网络时，可按照不同用户的操作需求和资源访问需求来创建不通的组，以实现对多个用户的统一配置和管理。创建方法：运行MMC添加“本地用户和组”组件153创建和管理组组17创建和管理组组的类型工作组中的组（本地组）创建于非域控制器计算机，控制对本机资源的访问。域中的组创建于域控制器，控制对域资源的访问。server2003的内置组AdministratorPowerUsers(域控制器上为ServerOperators)BackupOperatorsGutstsUsers(不用来授权，只表明是否属于该域)154创建和管理组组的类型18使用组的规则本地在管理网络时，管理员可按以下规则使用组（1）将用户加入组（2）给组授权155使用组的规则本地在管理网络时，管理员可按以下规则使用组197.2.2活动目录和域域与活动目录活动目录AD是windows网络中的目录服务AD是一个大型数据库AD是一种服务1567.2.2活动目录和域域与活动目录20ActiveDirectory（活动目录）?活动目录功能组织管理控制资源集中管理单点管理管理员单点登录普通用户157ActiveDirectory（活动目录）?活动目录功能组域与活动目录域与域控制器域：windows环境种组建C/S网络的实现方式由网络管理员定义的一组计算机的集合域控制器：存储网络用户账号及目录数据库，即AD管理员通过修改AD的配置来实现对网络的管理和控制158域与活动目录域与域控制器22Domains域域是一个安全边界域的管理员只能在本域内实施管理权限域是一个复制单元每台域控制器DC保存域内全部数据的一个副本Windows2000

DomainUser1User2User1User2Replication159Domains域域是一个安全边界Windows2000

D域与活动目录组织单元OU是AD中的一个子对象，也成为容器。创建组织单元的目的是对活动目录对象进行分类。160域与活动目录组织单元OU24组织单元OUOrganizationalStructureSalesVancouverRepairUsersSalesComputersNetworkAdministrativeModel使用OU将域划分为合理的逻辑管理层次在OU上可以委派管理权限在OU上可以实现单独的策略161组织单元OUOrganizationalStructure使用活动目录来集中化管理OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2DomainOU2OU1User1Computer1Printer1User2SearchActiveDirectory:使管理员集中管理网络资源更容易的定位信息以OU的方式管理资源使用组策略管理网络中计算机162使用活动目录来集中化管理OU1DomainComputers域与活动目录域目录树具有连续的域名空间的多个域组成域目录树(root)au.asia.TreeTwo-WayTransitiveTrusts163域与活动目录域目录树(root)au.asia域与活动目录信任关系是网络中不同域之间的一种内在联系只有在两个域之间创建了信任关系，这两个域才可以互相访问。单向信任关系双向信任关系可传递信任关系不可传递信任关系164域与活动目录信任关系28TreesandForests（树与森林）contoso.msft(root)au.contoso.msftasia.contoso.msftTreeTwo-WayTransitiveTrustsau.nwtraders.msftasia.nwtraders.msftnwtraders.msftForestTreeTwo-WayTransitiveTrust多域的环境165TreesandForests（树与森林）contoso四种基本的域结构：单一域模型主域模型多主域模型完全信任模型不同的域结构适用与不同的网络规模、地理分布以及其他资源条件。在一个域模型中不允许包括多个主域控制器。166四种基本的域结构：30真题例：在Windows网络操作系统通过域模型实现网络安全管理策略。下列除（1）以外都是基于域的网络模型。在一个域模型中不允许包括（2）。（1）A．单域模型B．主域模型C．从域模型D．多主域模型（2）A．多个主域控制器B．多个备份域控制器C．多个主域D．多个服务器167真题例：在Windows网络操作系统通过域模型实现网络安全创建WindowsServer2003域创建域的条件版本不能是web版。域控制器计算机中至少有一个NTFS分区，用于存储活动目录的SYSVOL文件夹。有合法的DNS域名及DNS服务器。server2003采用DNS命名规则为解析域名，必须有DNS服务器必须有管理员权限，普通用户不能安装域控制器。168创建WindowsServer2003域创建域的条件32创建WindowsServer2003域创建域的步骤安装域控制器（dcpromo命令）检查域控制器的配置待客户机加入域169创建WindowsServer2003域创建域的步骤33创建WindowsServer2003域排除常见的故障网络不通输入的域名错误输入的用户名密码错误或没有权限加入客户机DNS未正确指向170创建WindowsServer2003域排除常见的故障37.2.3Server2003文件服务器文件服务器提供并管理对文件的访问安装：管理您的服务器-添加删除角色功能：为用户设置默认的磁盘配额设置共享文件夹1717.2.3Server2003文件服务器文件服务器提供7.2.4Server2003终端服务远程桌面允许管理员登录到一台计算机，并像在本地一样管理计算机。终端服务一方面允许管理员远程管理计算机。一方面也允许多个用户同时运行终端服务器中的程序。1727.2.4Server2003终端服务远程桌面36终端服务如何工作MyDocumentsMyComputerMyNetworkPlacesInternetExplorerRecycleBinStart12:00PMRDPTCP/IPTerminalServerClient173终端服务如何工作MyDocumentsMyCompute7.2.5Server2003远程管理MMC远程桌面连接终端服务远程协助Telnet……1747.2.5Server2003远程管理MMC387.2.6Linux网络配置网络配置文件大多位于/etc目录下配置文件提供IP