计算机网络技术第7章

第7章网络操作系统1/11/20231第7章网络操作系统

教学目标（1）了解网络操作系统的基本概念与功能；（2）了解常用网络操作系统的特点；（3）掌握WindowsServer2003服务器的安装与维护；（4）了解WindowsServer2003域的管理；（5）掌握WindowsServer2003用户的管理；（6）掌握IIS服务器的安装与配置；（7）了解DNS服务器、邮件服务器的安装与配置。1/11/20232第7章网络操作系统教学内容7.1网络操作系统的基本概念与功能7.2常用网络操作系统简介7.3WindowsServer2003服务器的安装7.4活动目录7.5用户管理7.6组的管理7.7DNS服务器7.8IIS服务器7.9FTP服务器7.10邮件服务器1/11/202337.1网络操作系统的基本概念与功能网络操作系统，就是利用局域网低层提供的数据传输功能，为高层网络用户提供网络资源共享管理服务、以及其他网络服务功能的操作系统。负责管理整个网络资源和服务网络用户的软件集合网络操作系统是以使网络相关服务最佳为目的的非对等网络中的联网结点分为服务器、工作站1/11/202347.1网络操作系统的基本概念与功能具有基本操作系统的特征，如支持处理机、协议、自动硬件监测以及应用程序的多重处理。具有较完备的安全保障措施，如认证、授权、登录限制和访问控制。提供文件、打印、Web服务支持和复制服务。支持Internet网络如路由选择和广域网端口。支持用户管理、系统管理、用户登录和下网、远程访问和审计工具。具有集群能力和高效的容错能力。1/11/202357.2常用网络操作系统简介目前局域网的应用中，主要有Windowsserver，Unix，Linux网络操作系统。WindowsServer2003操作系统NT技术.Net架构1/11/202367.3WindowsServer2003服务器的安装

7.3.1与硬盘相关的基础知识7.3.2文件系统7.3.3安装的主要步骤7.3.4WindowsServer2003启动过程7.3.5系统维护和性能监测1/11/202377.3.1与硬盘相关的基础知识物理驱动器只有通过低级格式化、分区、格式化后才能被操作系统使用。一个基本磁盘最多可以有4个分区，其中扩展分区最多为一个，主分区最多4个。主分区可以标识为活动分区。活动分区是计算机启动时查找启动文件（即用于启动操作系统的文件）的分区。扩展分区要划分为多个逻辑分区，每个逻辑分区要指派一个驱动器盘符，并用一个文件系统进行格式化，称为逻辑驱动器。1/11/202387.3.2文件系统WindowsServer2003支持硬盘的三种文件系统：NTFS、FAT、FAT32。NTFS如果需要在分区执行文件和文件夹安全、磁盘压缩、磁盘配额或加密，就应当使用NTFS文件系统。如果计划将一台WindowsServer2003服务器用作域控制器，就必须创建至少一个NTFS分区，以存储ActiveDirectory数据库。FAT、FAT32允许其他操作系统访问。1/11/202397.3.3安装的主要步骤WindowsServer2003的安装有两种：升级安装全新安装Microsoft公司推荐的最佳做法是全新安装。1/11/2023107.3.3安装的主要步骤：全新安装须知检查系统需求和硬件兼容性信息。阅读安装光盘根目录的Read1st.txt和Readme.doc。确定使用的文件系统。确定是否要重新分区，要安装在什么分区上。确定使用的授权模式。设置管理员密码。确定安装什么组件（也可以在安装后通过“控制面板”的“添加/删除程序”添加）。配置TCP/IP属性。确定为服务器创建域还是工作组。1/11/2023117.3.3安装的主要步骤：具体过程BIOS配置为了使计算机能从光盘启动，需要对计算机的BIOS进行配置一般采用“安装光盘”启动后选择安装，然后根据安装向导的提示进行。1/11/2023127.3.4WindowsServer2003启动过程1．预启动阶段2．启动阶段3．内核调用阶段4．服务调用阶段5．Win32子系统启动阶段6．用户登录阶段1/11/2023131．预启动阶段(1)开机自检。自检的最后一步是将控制权转交给BIOS中的INT13例程。(2)一旦自检完成，计算机查找启动设备，并将MBR（MasterBootRecord-主引导记录）调入内存。开机后蓝屏的原因(3)计算机查找活动分区，引导扇区，并将其装入内存。1/11/2023142．启动阶段(1)Ntldr运行之后，首先将处理器的实模式改为32位平滑内存模式。(2)启动文件系统，以便从磁盘上访问文件。(3)Ntldr访问第一个文件Boot.ini，并且根据文件的内容在屏幕上显示启动菜单。(4)如果用户选择的不是Windows2003操作系统，那么NTLDR将调用Bootsect.dos，将控制权移交给它，并且启动所选择的系统。否则，NTLDR将运行N

文件。(5)N

收集计算机硬件方面的信息1/11/2023153．内核调用阶段在这个阶段NTLDR调用Ntoskrnl.exe，并将N

收集的硬件信息传递给它，同时被调用的还有Hal.dll文件和显示驱动程序Bootvid.dll。辅助启动加载程序将核心文件加载到内存中，但暂不执行它们。如果有多个硬件配置文件，当运行到这一步时，就会在屏幕上看到要求选择硬件配置文件的信息。1/11/2023164．服务调用阶段首先启动操作系统的会话管理器程序Smss.exe，会话管理器从注册表的HKLM/Syetem/CurrentControlSet/Control/SessionManager中读取它自己的设置项，检查BootExecute的设置。默认情况下，启动时执行AUTOCHK检查。会话管理器还要设置Pagefile.sys，然后设置内存分页并且启动Win32子系统。1/11/2023175．Win32子系统启动阶段加载控制台登陆服务程序Winlogon.exe，从而启动身份验证过程,同时启动本地安全管理程序Lsass.exe，并且显示登录对话框。之后运行服务控制器SCREG.EXE，服务控制器检查注册表中启动值为0x0的服务项目，然后调用这些服务（启动值为0x3的服务表示需要手动启动，启动值为0x4的服务表示禁用）。启动脱机打印程序SPOOLSS.EXE及其支持函数库。1/11/2023186．用户登录阶段WindowsServer2003为了加快对控制台的访问，即使许多服务尚未初始化，也允许用户登录。一旦用户登录进入系统，就表明整个启动过程已经结束。成功登录之后，会话管理器采取的行动之一就是将用于启动系统的ControlSet拷贝到ControlSet2中，即将当前的设置自动保存为“最后一次正确的配置”以备以后使用。1/11/2023197.3.5系统维护和性能监测主要的系统维护和性能监测工具有事件查看器、系统监视器、性能日志和警报、网络监视工具。1/11/202320事件查看器WindowsServer2003记录的事件日志类型有三种：应用程序日志、安全日志、系统日志。可以通过单击“开始”|“程序”|“管理工具”|“事件查看器”，打开“事件查看器”管理控制台，如图7-1所示；也可以通过计算机管理来查看，如图7-2、7-3所示。1/11/202321系统性能监视单击“开始”|“程序”|“管理工具”|“性能”，打开“性能”管理控制台，如图7-4所示。单击“系统监视器”工具栏的添加按钮【＋】，打开“添加计数器”对话框，可以添加相关的性能对象的性能计数器。1/11/202322网络监视工具单击“开始”|“程序”|“管理工具”|“网络监视器”，可以打开“网络监视器”窗口，如图7-5所示。从中可了解到整个网络的网络利用率、每秒帧数、每秒字节数、连接的网络地址等信息。1/11/202323安装“网络监视工具”单击“开始”|“设置”|“控制面板”，然后双击“添加/删除程序”，打开“添加/删除程序”窗口。在“添加/删除程序”窗口中单击“添加/删除Windows组件”，打开“Windows组件向导”对话框；选择“管理和监视工具”，单击【详细资料】，在随后出现“管理和监视工具”对话框中，选中“网络监视工具”复选框，单击【确定】。单击【下一步】开始安装，按提示操作即可完成安装过程。1/11/2023247.4活动目录7.4.1相关的基本概念7.4.2活动目录的基本概念7.4.3活动目录的安装7.4.4组织单位1/11/2023257.4.1相关的基本概念1．权限权限是与对象关联的规则，用来控制谁（哪些用户或哪些组）可以访问哪些对象及访问的方式如何，权限由对象的所有者授予或拒绝。2．用户权利允许用户在计算机系统或域上执行的任务。由管理员指派给各个用户或组。3．验证用于识别当前用户是谁。通常根据用户唯一识别号和所属组唯一识别号来识别当前用户。通常利用安全标识符（SID）来识别用户、组和计算机帐户。SID是一种数据结构，网络上每一个初次创建的帐户都会收到一个唯一的SID。Windows中的内部进程引用帐户的SID而不是帐户的用户名或组名。1/11/2023267.4.1相关的基本概念4．授权规范本用户可以访问什么资源，即访问列表。5．活动目录

活动目录是以目录的形式唯一标识域管理相关的对象，包括网络中的所有实体，如计算机、用户、打印机、文件等等。6．域域的概念：域（Domain）是共享公用目录数据库的计算机集合，是一个安全边界。域中所有的对象都存储在ActiveDirectory下，域名根据Internet的DNS标准命名。用户登录到相应的域，则拥有该域管理所设定的相应权限。1/11/202327域根域与子域树林及域的信任关系图7-7树林及域的信任关系1/11/2023287.4.2活动目录的基本概念

域结构的网络中的计算机1．域控制器安装了活动目录的服务器称为域控制器。一个域内可以有多台域控制器，每台域控制器的地位是平等的，它们各存储着一份相同的ActiveDirectory。2．成员服务器未安装活动目录的域服务器称为成员服务器。未加入域的服务器称为独立服务器。3．其他计算机操作系统为Windows2000Professional、XP的计算机加入域后才能利用域上的账户登录；操作系统为Windows98的计算机则不用加入到域，在网络登录时选择登录到域即可。1/11/2023297.4.2活动目录的基本概念活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器，从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别；目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问。1/11/2023307.4.2活动目录的基本概念

服务器角色在WindowsServer2003服务器上可以运行一个或多个服务器角色。运行的服务器角色有：文件服务器角色、打印服务器角色、应用程序服务器角色、邮件服务器角色、终端服务器角色、远程访问/VPN服务器角色、域控制器角色、DNS服务器角色、DHCP服务器角色、流式媒体服务器角色、WINS服务器角色。要配置服务器角色，使用“配置您的服务器向导”安装服务器角色，使用“管理您的服务器”管理服务器角色。1/11/2023317.4.3活动目录的安装Windows2003支持两种网络结构类型：工作组和域。工作组网络也被称为“对等式”的网络，因为网络上的每台计算机的地位都是平等的，它们的资源与管理分散在网络内的各台计算机上。其结构如图7-8所示。域内所有计算机共享一个集中式的目录数据库，它包括整个域内的用户帐号与安全数据。1/11/202332工作组

图7-8工作组网络示意1/11/202333域

图7-9域管理网络示意1/11/202334ActiveDirectory安装要点启动“ActiveDirectory安装向导”的方法有两种：(1)选择“开始”|“程序”|“管理工具”|“配置服务器”命令，启动“配置服务器”。(2)选择“开始”|“运行”命令，打开“运行”对话框。输入“dcpromo”并按回车键。具体安装过程按照“ActiveDirectory安装向导”的提示进行。1/11/202335降级域控制器若某台域控制器没有特别的要求而不需当作域服务器使用，则可以将该服务器上的目录删除，使其降级为独立服务器或成员服务器。启动降级域控制器的方法：单击“开始”|“运行”命令，打开“运行”对话框。输入“dcpromo”并按回车键，启动“ActiveDirectory安装向导”，然后按提示操作。1/11/202336域控制器的主要管理功能(1)ActiveDirectory用户和计算机管理(2)管理域和信任关系(3)站点管理(4)组策略1/11/2023377.4.4组织单位组织单位是可以指派组策略设置或委派管理权限的最小作用域或单元，每一个组织单位可以有自己的管理员并具有相应的管理权限，从而实现对资源和用户的分级管理。组织单位是活动目录的细分，组织单位是一个逻辑单位，是可将用户、组、计算机、文件与打印机资源等对象放入其中的ActiveDirectory容器。组织单位中还可以再划分为一级组织单位。1/11/2023387.4.4组织单位1．添加组织单位

2．设置组织单位的属性1/11/2023397.5用户管理7.5.1用户账户的概念7.5.2内置的用户账户7.5.3建立域用户账户7.5.4建立本地用户账户1/11/2023407.5.1用户账户的概念1．域用户账户域用户账户建立在域控制器的ActiveDirectory数据库内，用户利用域用户账户可以登录到相应的域，访问该域的资源。2．本地用户账户本地用户账户建立在WindowsServer2003独立服务器、成员服务器或WindowsXP的本地安全数据库内。用户利用本地用户账户只能登录此账户所在的计算机，只能访问这台计算机内的资源。1/11/2023417.5.2内置的用户账户WindowsServer2003安装完毕后,它会自动建立一些内置账户，其中比较常用的为Administrator、Guest两个。AdministratorAdministrator是系统管理员账户，拥有最高的权限，可以用它来管理计算机与域内的设置。GuestGuest是客户账户，供用户临时使用，

1/11/2023427.5.3建立域用户账户在建立用户账户时，必须选择一个组织单位（OU），以便将用户账户建立到此组织单位内。可以将账户建立在内置的Users组织单位或其他自行建立的组织单位内。1．建立域用户账户(1)单击“开始”|“程序”|“管理工具”|“ActiveDirectory用户与计算机”命令，打开“ActiveDirectory用户和计算机”控制台，如图7-13所示。(2)在需建立域用户的“域名”对应的“组织单位”名上单击右键，选择快捷菜单的“新建”|“用户”，出现“新建对象用户”的向导，如图7-14所示。1/11/202343域用户账户的操作

设置域用户的账户属性每个域用户账户内都有一些相关的属性可供设置，例如，用户的地址、电话、传真、电子信箱、账户的有效期限、登录时间、只能从某些工作站登录等等。要设置用户账户的属性，可通过选择相应的“用户”，单击鼠标右键，选择快捷菜单的“属性”进行修改，如图7-15所示。1/11/202344域用户账户的操作

更改域用户的账户单击“开始”|“程序”|“管理工具”|“ActiveDirectory用户与计算机”命令，打开“ActiveDirectory用户和计算机”控制台，选定要修改的用户账户，单击鼠标右键或单击左上角的【操作】按钮，弹出快捷菜单，如图7-16所示。可进行的设置包括更改域用户账户名称、删除账户、停用账户、启用账户、更改密码与解除锁定账户等。1/11/2023457.5.4建立本地用户账户

本地用户账户的特点本地用户账户建立在WindowsServer2003独立服务器、WindowsServer2003成员服务器或WindowsXP的本地安全数据库内。成员服务器提升为域控制器后，就无法使用“本地用户和组”查看本地用户和组帐户。用户可以利用本地用户账户登录此账户所在的计算机，但是无法登录域，同时只能够访问这台计算机内的资源，无法防问域上的资源。1/11/2023467.5.4建立本地用户账户1．在WindowsServer2003上建立本地用户账户参照图7-18所示

2．在WindowsXP上建立本地用户账户参照图7-19所示

1/11/2023477.6组的管理组是集中用户帐户、计算机帐户和其它组帐户方便管理的一个单元，利用组可以提高个人用户账户的管理效率。具体操作：1．建立域组内置的全局组2．添加组成员1/11/2023487.7DNS服务器域名系统DNS(DomainNameSystem)是一种分布式网络目录服务，主要用来把主机名转换为IP网络地址。用户在输入计算机的域名后，DNS服务将域名解析成IP地址，计算机再使用IP地址去访问计算机。1/11/202349DNS命名格式URL格式：<URL的访问方式>://<主机>例如，http：//其中，http为超文本传输协议，用于传送网页为完全有效域名(FQDN)FQDN即计算机的全称域名或计算机的全名；WWW为主机名，为区域名。1/11/2023507.7.3DNS服务器的配置及测试DNS服务器安装完成后，需要对其进行配置才能使用，可按下列操作进行配置：参照图7-23DNS控制台“新建区域”“欢迎使用新建区域向导”1/11/2023512.DNS服务测试DNS服务器配置完成后，在客户端的TCP／IP属性对话框中，要设置DNS服务器的地址，或利用DHCP服务器动态分配DNS服务器的IP地址。然后，在命令提示符下键入“nslookup”命令，输入待解析的域名，可以测试DNS服务是否正常，如图7-31所示。1/11/2023527.8IIS服务器IIS组件是Internet信息服务（InternetInformationServices，简称IIS）组件。WWW（WorldWideWeb，简称Web，又称万维网）服务是以超文本标记语言（HyperTextMarkupLanguage，HTML）与超文本传输协议（HyperTextTransferProtocol，HTTP协议）为基础，提供界面一致的Internet信息服务。WWW服务是互联网上应用最广的服务之一。1/11/202353WEB服务与客户端程序WEB服务与客户端程序共同构成客户-服务工作模式。它们都工作在网络协议的应用层，它们之间利用HTTP协议进行交流。其工作模式如图7-32所示。客户机运行浏览器，负责发送HTTP请求，及解析显示服务器返回的HTML网页文件；WEB服务负责响应客户机的HTTP请求。1/11/2023547.8.3IIS组件的安装如果在安装WindowsServer2003操作系统时未选择安装IIS，或者要在IIS服务器上安装附加的子组件，可以选择三种方法：利用“管理您的服务器”向导；利用控制面板“添加或删除程序”的“添加/删除Windows组件”功能；或者执行无人值守安装。安装时要求以Administrator身份登录。具体参照图7-33至图7-41。1/11/2023557.8.4Web服务器的配置

Web服务器的配置工作主要包括：1．IIS创建一个新的Web站点

2．定义默认文档

3．启动/停止站点4．Web站点的访问控制级别5．指定Web站点操作员

1/11/202356关于虚拟服务器通常一个域名表示一台计算机。现在，很多Web服务器产品都可以在一台计算机上同时容纳多个Web站点或FTP站点，且每个Web站点容纳一个或多个域名。由于每个站点都向Web客户端模仿单个计算