《Windows server操作系统》Windows Server 2019全套教学课件

WindowsServer操作系统

全套可编辑PPT课件项目一WindowsServer2019的安装项目二磁盘的配置与管理项目三用户和组的创建与管理项目四管理文件系统与共享资源项目五服务器的配置与管理项目六服务器的配置与管理项目七服务器的配置与管理项目八FTP服务器的配置与管理项目九VPN服务器的配置与管理项目一WindowsServer2019的安装全套可编辑PPT课件安装和设置VMware1安装和配置WindowsServer20192目录第一部分安装和设置VMware全套可编辑PPT课件任务描述职业学院2021级网络专业的肖强进入了一家IT企业实习，成为一名网络管理员，部门经理要求肖强为物理服务器安装WindowsServer2019，于是他去请教了网络专业的蒋老师。蒋老师告知肖强利用虚拟机技术构建WindowsServer2019的方法，先安装VMware虚拟软件，再安装WindowsServer2019，下面我们陪同肖强从安装虚拟机开始吧！知识链接一、虚拟机简介虚拟服务器是指在计算机上建立一台或多台虚拟机并由虚拟机来完成服务工作的服务器。（一）虚拟服务器目前，主流的虚拟软件有VMware、VirtualBox、VirtualPC和Bochs，它们都能在Windows上虚拟出多台计算机。（二）虚拟软件知识链接一、虚拟机简介（一）桥接模式桥接模式是比较容易实现的网络连接模式。01（二）NAT模式NAT，网络地址转换）的主要任务是使虚拟机通过宿主机连接到Internet，也就是说，虚拟机自己不能连接Internet，只有通过宿主机才能连接到网络。02（三）Host-only模式采用Host-only模式的虚拟网络适配器仅对宿主机可见，并在虚拟机和宿主机系统之间提供网络连接。03任务实施1（1）双击VMwareWorkstation安装文件，打开安装向导。3（3）单击“创建新的虚拟机”按钮，并在弹出的“新建虚拟机向导”对话框中选中“典型（推荐）”单选按钮。5（5）选择客户机操作系统的类型为“MicrosoftWindows”，版本为“WindowsServer2019”，单击“下一步”按钮。2（2）安装VMwareWorkstation16Pro。4（4）选择虚拟机的安装来源，选中“稍后安装操作系统”单选按钮，单击“下一步”按钮。6（6）进入“命名虚拟机”界面，填写“虚拟机名称”字段，选择安装位置，单击“下一步”按钮。任务实施（7）虚拟机系统“最大磁盘大小”的默认值为60GB，为了后续工作方便，建议设置硬盘大小为200GB，如图1-6所示，单击“下一步”按钮。（8）进入“已准备好创建虚拟机”界面，单击“自定义硬件”按钮，如图1-7所示。任务实施（9）进入“硬件”界面，设置内存量，建议将虚拟机系统内存的可用量设置为2GB，最小不应低于1GB。（13）返回到虚拟机配置向导界面后，单击“完成”按钮。（12）把USB控制器、声卡、打印机等不需要的设备移除后，单击“关闭”按钮，最终的虚拟机配置情况。（10）光驱设备此时应在“使用ISO映像文件”选项中选中已下载好的WindowsServer2019映像文件。（11）VMware为用户提供了3种可选的网络连接模式，分别为桥接模式、NAT模式与仅主机模式。0910111213第二部分安装和配置WindowsServer2019任务描述肖强安装好了虚拟机软件，新建了一台虚拟机，也准备好了WindowsServer2019映像文件，准备安装WindowsServer2019到虚拟机中。让我们陪同肖强，将WindowsServer2019安装到虚拟机中。知识链接1（一）ServerCore应用兼容性按需功能ServerCore应用兼容性按需功能（FOD）包含带桌面体验的WindowsServer的一部分二进制文件和组件，无须添加WindowsServer桌面体验图形环境。2（二）WindowsDefender高级威胁防护（ATP）ATP的深度平台传感器和响应操作可暴露内存和内核级别的攻击，并可抑制恶意文件和终止恶意进程。3（三）软件定义网络（SDN）的安全性不管是在本地运行，还是作为服务提供商在云中运行，SDN提供的多种功能提高了客户运行工作负荷的安全。4（四）Windows上的Linux容器可以使用相同的Docker守护程序在同一容器主机上运行基于Windows和Linux的容器，这样不仅可以使用异构容器的主机环境，而且也具有一定的灵活性。一、WindowsServer2019系统简介知识链接二、WindowsServer2019的版本（三）DatacenterEdition（数据中心版）WindowsServer2019数据中心版可以提供企业级平台，可以在服务器上部署企业关键应用及大规模虚拟化服务。（一）EssentialsEdition（基本版）适用于最多25个用户或最多50台设备的小型企业。该版本基于插槽授予许可证，在物理或虚拟环境中仅允许运行一个WindowsServer实例。（二）StandardEdition（标准版）对于大部分想要利用多个WindowsServer2019功能的数据中心来说，WindowsServer2019标准版应该是一个良好的基础操作系统。知识链接三、WindowsServer2019系统的最低配置要求知识链接三、WindowsServer2019系统的最低配置要求拓展知识Windows虚拟化技术当谈到在Windows10上使用Docker，对于大多数用户来说，这里的windows10指的是家庭版或专业版。Gemfield使用的是家庭版，因此本文步骤均是基于家庭版。并且一个好消息是，家庭版如果支持的特性，专业版大抵也支持。三个Windows系统上的虚拟化概念：WSL1，WindowsSubsystemforLinux1，添加了一个内核API翻译层，将Linuxsystemcall翻译成Windows内核可以识别的调用；WSL2，WindowsSubsystemforLinux2，基于Hyper-V虚拟机的一个极轻量的子集（家庭版也支持）；Hyper-V，Windows的虚拟机解决方案。家庭版不支持，专业版支持。任务实施（1）运行VMwareWorkstation。在“安装客户机操作系统”界面中，选择“安装程序光盘映像文件（iso）”单选按钮。（6）选择“自定义（高级）”选项，进入“你想将Windows安装在哪里？”界面，该界面显示了当前计算机硬盘的分区信息。（2）安装启动程序以后，打开“Windows安装程序”窗口，选择安装语言并设置输入法后单击“下一步”按钮。（5）单击“下一步”按钮，勾选“我接受许可条款”复选框接受许可协议，单击“下一步”按钮，进入“你想执行哪种类型的安装？”界面。（3）在打开的询问是否立即安装WindowsServer2019的窗口中单击“现在安装”按钮。（4）进入“选择要安装的操作系统”界面，“操作系统”列表框中列出了可以安装的网络操作系统，这里选择“WindowsServer2019Datacenter（桌面体验）”选项，安装WindowsServer2019数据中心版。任务实施（8）完成分区创建后的界面。（9）选择“分区4”来安装网络操作系统，单击“下一步”按钮。（10）在安装过程中，系统会根据需要自动重新启动。（7）对硬盘进行分区。单击“新建”按钮，在“大小”文本框中输入分区大小，如100000MB，（12）选择VMware菜单栏中的“虚拟机”→“安装VMwareTools”选项，在计算机的文件资源管理器窗口中双击“DVD驱动器（D:）VMwareTools”选项。（11）按要求输入密码，按Enter键，即可完成WindowsServer2019的安装。任务实施（13）激活WindowsServer2019。选择“开始”→“Windows系统”→“控制面板”→“系统和安全”→“系统”选项，打开“系统”窗口。（18）配置虚拟内存。选择“开始”→“Windows系统”→“控制面板”→“系统和安全”→“系统”→“高级系统设置”选项，弹出“系统属性”对话框，选择“高级”选项卡。（14）以管理员身份登录Server1，选择VMware菜单栏中的“虚拟机”→“快照”→“拍摄快照”选项。（15）打开“服务器管理器”窗口，选择该窗口左侧的“本地服务器”选项，进入本地服务器界面。（16）单击“确定”按钮，弹出“欢迎加入COMP工作组”提示。（17）配置TCP/IP。打开“网络和共享中心”窗口，单击“Ethernet0”按钮，弹出“Ethernet0状态”对话框。感谢观看WindowsServer操作系统

项目二磁盘的配置与管理基本磁盘的配置与管理1动态磁盘的配置与管理2目录第一部分基本磁盘的配置与管理任务描述公司新购置了一台服务器，规划作为公司新的文件服务器。考虑到公司文件系统中数据的安全性、稳定性和可靠性等多重因素，公司希望系统管理员肖强尽快熟悉WindowsServer2019系统在本地磁盘管理方面的管理与配置业务，以便为后续文件服务器的数据和服务迁移做好准备。接下来让我们同管理员肖强一起，根据公司业务需要部署相应的磁盘管理系统和文件系统吧！知识链接（一）FAT文件系统FAT是文件分配表，是一个由微软公司发明并拥有部分专利的文件系统，供MS_x0002_DOS使用，也是所有非NT核心的微软窗口使用的文件系统。FAT文件系统包括FAT16和FAT32两种，现在一般说的FAT专指FAT32。（二）NTFS文件系统NTFS是WindowsNT内核的系列操作系统支持的一种特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式，提供了长文件名、数据保护和恢复功能，能通过目录和文件许可实现安全性，并支持跨越分区。一、文件系统（三）ReFS文件系统ReFS（ResilientFileSystem）称为弹性文件系统，是新引入的一个文件系统。目前只能用于存储数据，还不能引导系统，并且在移动媒介上也无法使用。知识链接二、基本磁盘0103050204（一）初始化磁盘安装新磁盘之后，首次启动“磁盘管理”会出现一个向导，列出操作系统检测到的新磁盘。（二）主磁盘分区在早期的MBR模式分区中，1个基本磁盘可以创建4个主分区，或者3个主分区和1个扩展分区。（三）扩展磁盘分区扩展磁盘分区不是一个具有实际意义的分区，它仅仅是一个指向下一个分区的指针，这种指针结构将形成一个单向链表。（四）逻辑驱动器在每块磁盘上创建的逻辑驱动器的数目不受限制。逻辑驱动器可以被格式化并分配驱动器号。（五）磁盘格式化指对磁盘或磁盘中的分区进行初始化的一种操作，这种操作通常会导致现有的磁盘或分区中所有的文件被清除。任务实施1.对系统盘的未分配空间创建一个分区E，并格式化为

NTFS格式（1）右击开始按钮，在弹出快捷菜单中选择“磁盘管理”命令，打开“磁盘管理”界面。（2）选择磁盘0的未分配空间，在右键快捷菜单中选择“新建简单卷”命令。（3）在打开的“新建简单卷向导”对话框中，在“简单卷大小（MB）”文本框中输入需要创建卷的大小（默认值为可用磁盘空间的最大值，单位为MB）。（4）在“新建简单卷向导—分配驱动器号和路径”对话框中，选择驱动器号E，然后单击“下一页”按钮。（5）在“新建简单卷向导—格式化分区”对话框中，设置“文件系统”为NTFS，其他选项按默认选项设置，然后单击“下一页”按钮。（6）在“新建简单卷向导—正在完成新建简单卷向导”对话框中，核对新建简单卷的相关设置信息，确认无误后单击“完成”按钮，即可完成新建简单卷的操作。任务实施2.在E盘创建一个测试数据文件，然后对E盘进行磁盘压缩操作当我们需要减少卷的磁盘空间时，可以采用压缩卷的方式来释放磁盘空间，该操作不会导致数据丢失，但是在进行压缩卷时，可压缩的空间大小最大为压缩前总空间的50%，并且不得超过可用空间的大小。接下来将对刚刚新建的E盘进行压缩，并在释放的空间中新建磁盘F。操作前先在E盘新建了一个文本文件——压缩卷测试.txt，文件内容任务实施3.对磁盘压缩释放出来的未分配空间创建分区F参照上述任务的操作步骤，在压缩后的未分配空间中创建简单卷F，结果如图2-11

所示。任务完成后管理员查看E盘分区的数据文件，结果从中可以看到数据既没有丢失也没有损坏，可见磁盘压缩不会造成数据的损坏。第二部分动态磁盘的配置与管理任务描述公司的服务器磁盘空间很快就要满了，公司采购了3块大容量磁盘，并且准备将磁盘转换为动态磁盘，在动态磁盘上分别创建简单卷（SimpleVolume）、扩展卷（ExtendVolume）、跨区卷（SpannedVolume）、带区卷（StripedVolume）、镜像卷（MirroredVolume）和RAID-5卷，为了使员工更高效地使用磁盘，公司准备给每个员工设置磁盘配额，让我们随网络管理员肖强一起完成动态磁盘的配置与管理吧。知识链接1（1）卷集或分区的数量。动态磁盘在一个硬盘上可创建的卷集个数没有限制，而基本磁盘在一个硬盘上最多只能有4个主分区。2（2）磁盘空间管理。动态磁盘可以把不同磁盘的分区创建成一个卷集，并且这些分区可以是非邻接的，这样磁盘空间就是几个磁盘分区空间的总和。3（3）磁盘容量管理。动态磁盘允许在不重新启动机器的情况下调整动态磁盘的容量，而且不会丢失和损坏已有的数据。4（4）磁盘配置信息管理和容错。动态磁盘将磁盘配置信息存放在磁盘中，如果是RAID容错系统，这些信息将会被复制到其他动态磁盘上。一、动态磁盘的优势知识链接二、动态磁盘的卷类型23145（五）RAID-5卷RAID-5卷又叫作“廉价磁盘冗余阵列”或者“独立磁盘冗余阵列”，是数据和奇偶校验间断分布在3块或多块物理磁盘上的容错卷。（四）镜像卷镜像卷又被称为RAID-1卷，它通过使用卷的两个副本或镜像复制存储在卷上的数据，提供数据的冗余性，但磁盘的空间利用率只有50%，实现的成本较高。（二）跨区卷跨区卷可以将多块磁盘（至少2块，最多32块）上的未分配空间合并成一个逻辑卷。（三）带区卷带区卷又被称为条带卷，最大支持32块磁盘，写入时将数据分成64KB大小相同的数据块，同时写入卷的每块磁盘成员的空间上。（一）简单卷简单卷与基本磁盘的分区类似，只是其空间可以扩展到非连续的空间上。知识链接三、磁盘配额WindowsServer2019中，对于跟踪磁盘配额以及控制磁盘空间的使用量，系统管理员可将Windows配置为两种情况。（1）当用户超出所指定的磁盘空间限制时，阻止其进一步使用磁盘空间并记录事件。（2）当用户超过指定的磁盘空间警告等级时，记录事件。磁盘配额是以文件所有权为基础的，并且不受卷中用户文件的文件夹位置的限制，如果用户在同一个卷中的文件夹之间移动文件，则卷空间用量不变。磁盘配额只适用于卷，且不受卷的文件夹结构及物理磁盘布局的限制，如果卷有多个文件夹，则卷的配额将应用于该卷中的所有文件夹。如果单块磁盘有多个卷，并且配额是针对每个卷的，则卷的配额只适用于特定的卷。任务实施1.初始化硬盘磁盘1～磁盘4，并转换为动态磁盘（1）将4块硬盘全部安装在存储服务器，重启进入WindowsServer2019后，在“计算机管理”界面中选择“磁盘管理”命令，即可进入如图2-13所示的“磁盘管理”界面，从图中可以看到有4块新硬盘，磁盘容量均为120GB，且都为没有初始化状态。（2）对所有新硬盘进行联机操作后，右击“磁盘1”图标，在弹出的快捷菜单中选择“初始化磁盘”命令，打开“初始化磁盘”对话框。勾选磁盘1～磁盘4，分区形式选择“MBR（主启动记录）”选项，单击“确定”按钮，完成磁盘的初始化，此时4块硬盘的状态基本磁盘模式。（3）右击“磁盘1”图标，在弹出的右键快捷菜单中选择“转换到动态磁盘”命令，在打开对话框中勾选“磁盘1”“磁盘2”“磁盘3”和“磁盘4”复选框，单击“确定”按钮，完成基本磁盘到动态磁盘的转换。任务实施2.使用磁盘1的全部空间创建简单卷G，大小约为120GB，然后利用磁盘

2将卷G扩展到150GB（1）右击“磁盘1”的“未分配”区域，在弹出的右键快捷菜单中选择“新建简单卷”命令，在弹出的对话框中单击“下一页”按钮。（6）打开“磁盘管理”界面，可以看到原来120GB的简单卷G已变成容量为150GB的跨区卷。（2）将磁盘1分配为G盘，文件格式为NTFS，格式化完成后，可以看到在磁盘1中创建了一个大小为120GB的G

盘。（5）在确认相关操作信息无误后，单击“完成”按钮即可完成G卷磁盘空间的扩展。（3）选择磁盘1的“新加卷（G）”区域，在弹出的右键快捷菜单中选择“扩展卷”命令。（4）系统弹出的“扩展卷向导”对话框，在“可用（V）”磁盘列表中列出了可用于扩展的磁盘。任务实施3.使用磁盘2和磁盘3创建一个带区卷H，大小为60GB带区卷是由两个或两个以上物理磁盘的等容量可用空间组成的一个逻辑卷，它的空间大小是所有物理磁盘空间大小的总和。因此，要在两个磁盘上创建一个

60GB的带区卷，则每个磁盘使用的空间大小应为30GB，具体操作步骤如下。（1）在磁盘2中选择“未分配空间”区域，在弹出的如图2-24所示的右键快捷菜单中选择“新建带区卷”命令。（2）系统弹出的“欢迎使用新建带区卷向导”对话框，单击“下一页”按钮。在“新建带区卷”对话框中，添加“磁盘2”和“磁盘3”到已选的磁盘列表中，然后在“选择空间量（MB）（E）”文本框中输入“30720”（约30GB）。（3）单击“下一页”按钮，设置驱动器号为H，然后单击“完成”按钮完成带区卷的创建，结果如图2-26所示。任务实施4.使用磁盘2和磁盘3创建一个镜像卷I，大小为30GB（1）选中磁盘2的“未分配空间”区域，在弹出的右键快捷菜单中选择“新建镜像卷（R）”命令，打开“欢迎使用新建镜像卷向导”对话框。（2）单击“下一页”按钮，在“新建镜像卷”对话框中，添加“磁盘2”和“磁盘3”到“已选的（S）”磁盘列表中，然后在“选择空间量（MB）（E）”文本框中输入“30720”（约30GB）。（3）单击“下一页”按钮，设置驱动器号为H，单击“完成”按钮完成镜像卷的创建，结果如图2-29所示。任务实施5.使用磁盘2、磁盘3和磁盘4创建一个RAID-5卷J，大小为60GB使用3块磁盘创建RAID-5卷的磁盘利用率为2/3，因此创建一个60GB的RAID-5卷磁盘每个磁盘，需要提供约30GB的磁盘空间。本任务的操作步骤如下。（1）选中磁盘2的“未分配空间”区域，在弹出的如图2-30所示的右键快捷菜单中选择“新建RAID-5卷”命令，打开“欢迎使用新建RAID-5卷向导”对话框。（2）单击“下一页”按钮，在“新建带区卷—选择磁盘”对话框中，添加“磁盘2”“磁盘3”和“磁盘4”到“已选的（S）”磁盘列表中，然后在“选择空间量（MB）（E）”文本框中输入“30720”（约30GB）。（3）单击“下一页”按钮，设置驱动器号为H，然后单击“完成”按钮完成RAID-5卷的创建，结果如图2-32所示。拓展知识动态磁盘转换为基本磁盘动态磁盘转换为基本磁盘的步骤如下：确保没有任何正在使用的分区或卷在动态磁盘上。如果有，请备份数据并删除所有分区和卷。打开磁盘管理工具。可以通过按下Win+X键，然后选择"磁盘管理"来打开。在磁盘管理中，找到要转换的动态磁盘。它将被标记为"动态"。右键点击该磁盘，并选择"转换为基本磁盘"选项。在弹出的对话框中，确认转换操作并点击"确定"。转换的过程需要一些时间，取决于磁盘的大小和数据量。请耐心等待转换完成。一旦转换完成，动态磁盘将会变成基本磁盘，你可以重新创建分区和卷来使用它。请注意，在转换过程中，可能会有数据丢失的风险。所以在进行转换之前，请务必备份重要的数据。感谢观看WindowsServer操作系统

项目三用户和组的创建与管理新建本地用户和组1创建组织单位与域用户账户2目录第一部分新建本地用户和组任务描述WindowsServer2019是微软的一个多用户多任务服务器操作系统，管理员通过创建用户账户为每个用户提供系统访问凭证。为了满足公司信息中心对安装了WindowsServer2019的服务器的访问需求，公司要求网络管理员为每个员工创建用户账户，并通过用户属性管理界面设置账户的相关信息。接下来我们和网络管理员肖强一起完成新建本地用户和组这一任务吧。知识链接一、默认本地用户和组WindowsServer2019安装完成后，有四个默认的本地用户账户。管理员可以根据需要继续进行本地用户和组的创建。默认的本地用户账户和创建的本地用户账户在“计算机管理”窗口中显示，Administrator和Guest是最重要的两个。如图3-1所示为默认的本地用户账户。知识链接二、创建本地用户和组本地用户和组位于“计算机管理”窗口中，用户可以使用该窗口中的管理工具来管理单台本地或远程计算机；可以使用本地用户和组保护并管理存储在本地计算机上的用户账户和组；可以在特定计算机上（只能是这台计算机）分配本地用户账户或组账户的权限和权利。本地用户和组可以为用户和组分配权限和权利，从而限制用户和组执行某些操作的能力。权利的作用是授权用户在计算机上执行某些操作，如备份文件和文件夹或关机。权限是与对象（通常是文件、文件夹或打印机）相关联的一种规则，它规定哪些用户可以访问该对象以及以何种方式访问。任务实施用户可以在MS1上以本地管理员账户登录，使用“计算机管理”中的“本地用户和组”选项来创建本地用户账户，且用户必须拥有管理员权限。1.创建本地用户账户用户账户不只包括用户名和密码等信息，为了管理和使用方便，一个用户还包括其他属性，如用户隶属的用户组、用户配置文件、用户的拨入权限、终端用户设置等。2.设置本地用户账户任务实施当用户不再需要使用某个账户时，可以将其删除。因为删除用户账户会导致与该账户有关的所有信息遗失，所以在删除之前，最好确认操作的必要性或者考虑使用其他方法，如禁用账户。许多企业给临时员工设置了Windows账户，当临时员工离开企业时将账户禁用，新来的临时员工需要用该账户时只需改名。3.删除本地用户账户WindowsServer2019计算机在运行某些特殊功能或应用程序时，可能需要特定的权限。为这些任务创建一个组并将相应的成员添加到组中是一个很好的解决方案。对计算机被指定的大多数角色来说，系统会自动创建一个组来管理该角色。5.创建本地组重新以管理员的身份登录MS1，并使用命令行方式创建一个新用户。4.使用命令行创建用户030504拓展知识Administrators与PowerUsers的区别Users用户无法进行有意或无意的改动。因此，用户可以运行经过证明的文件，但不能运行大多数旧版应用程序；比如，不能更改大部分组策略、注册表键项，不能对网络属性等重要选项进行修改所以，以Users账户登陆系统时，中毒后，病毒获得的也是受限账户的权限，即使它可以运行，如果不能提升权限，就难以对系统造成大的破坏。PowerUser拥有大部分管理权限，但也有限制。因此，PowerUser可以运行经过验证的应用程序，也可以运行旧版应用程序；用这类账户登陆系统时，病毒仍然受到一些限制。Administrators管理员对计算机/域有不受限制的完全访问权，也称超级管理员账户组。用此类账户登陆系统时，一旦中毒，病毒会立即获得管理员权限甚至提升到系统权限，对系统造成严重破坏，甚至完全控制系统。但是，如果系统有安全漏洞，即使病毒获得的是guest账户的权限，也会利用系统漏洞提升到管理员权限或系统权限，在这种情况下，不论是何种账户类型，病毒一样容易发作。第二部分创建组织单位与域用户账户任务描述公司目前正在实施某工程，该工程需要总公司工程部和分公司工程部协同，需要创建一个共享目录，供总公司工程部和分公司工程部共享数据，公司决定在子域控制器上临时创建共享目录，并完成共享目录的共享权限设置。接下来让我们和管理员肖强一起完成创建组织单位与域账户的任务吧。网络拓扑结构如图3-11所示。知识链接（一）创建组织单位建立用户账户可以将用户账户创建到任何一个容器或组织单位内。下面先创建名称为“网络部”的组织单位，再在其内建立域用户账户Rose、Jhon、Mike、Bob、Alice。（二）用户登录账户域用户可以在域成员计算机上（域控制器除外）利用两种账户登录方式来登录域，它们分别是用户UPN登录与用户SamAccountName登录。一、组织单位与域用户账户知识链接（三）域用户账户的一般管理一般管理是指重设密码、禁用（启用）账户、移动账户、删除账户、更改登录名称与解除锁定筹。可以在“ActiveDirectory管理中心”窗口中选择想要管理的用户账户后通过右侧的选项来进行设置。（四）域用户账户的设置每一个域用户账户内都有一些相关的属性信息，如地址、电话号码与电子邮件地址等，域用户可以通过这些属性来查找ActiveDirectory域服务数据库内的用户。一、组织单位与域用户账户二、域组账户ActiveDirectory域服务的域组分为以下两种类型，且它们可以相互转换。（1）安全组（SecurityGroup）。（2）通信组（DistributionGroup）。（一）域内的组类型从组的使用范围来看，域内的组分为本地域组（DomainLocalGroup）、全局组（GlobalGroup）和通用组（UniversalGroup）3种。（二）组的使用范围三、建立与管理域组账户要创建域组时，可选择“服务器管理器”→“工具”→“ActiveDirectory管理中心”选项，打开“ActiveDirectory管理中心”窗口，展开域名，单击容器或组织单位（如网络部），选择右侧任务窗格中的“新建”→“组”选项。（一）组的新建、删除与重命名将用户、组等加入组内的方法如下：选择“成员”节点，单击“添加”→“高级”→“立即查找”按钮，选取要被加入的成员（按住Shift键或Ctrl键可同时选择多个账户），单击“确定”按钮。（二）添加组的成员ActiveDirectory域服务有许多内置组，它们分别隶属于本地域组、全局组、通用组与特殊组。（三）ActiveDirectory域服务内置的组四、掌握组的使用原则为了让网络管理更为容易，也为了减轻以后维护的负担，在利用组来管理网络资源时，建议尽量采用下面的原则，尤其是大型网络。·A、G、DL、P原则。·A、G、G、DL、P原则。·A、G、U、DL、P原则。·A、G、G、U、DL、P原则。其中，A代表用户账户（UserAccount），G代表全局组（GlobalGroup），DL代表本地域组（DomainLocalGroup），U代表通用组（UniversalGroup），P代表权限（Permission）。任务实施1在总公司的Server1上创建Project组织单位，在总公司的Project组织单位中创建Project_userA和Project_userB工程部员工用户（选中“Project”选项并单击鼠标右键，在弹出的快捷菜单中选择“新建”→“用户”选项。2在分公司的Server2上创建Project组织单位，在分公司的Project组织单位中创建Project_userA和Project_userB工程部员工用户。3在总公司的Server1上创建全局组Project_long_Gs，并双击该全局组，选择“成员”选项，单击“添加”→“高级”→“立即查找”按钮。4在分公司的Server2上创建全局组Project_china_Gs，并将分公司工程部用户加入该全局组。任务实施（10）测试验证。在客户机MS1上（DNS服务器的IP地址一定要设为和）选中“开始”并单击鼠标右键。（9）分公司管理员直接对工程部用户进Project_china_Gs全局组的加入与退出。（8）总公司管理员直接对工程部用户进行Project_long_Gs全局组的加入与退出。（5）在总公司的Server1（林根）上创建通用组Project_long_Us，并双击前面创建的全局组，选择“成员”选项，单击“添加”→“高级”按钮。（6）在分公司的Server2上创建本地域组Project_china_DLs，并将通用组Project_long_Us加入本地域组（加入时，查找位置是“整个目录”。（7）在分公司的Server2上创建共享目录Projects_share，选中该目录并单击鼠标右键，在弹出的快捷菜单中选择“属性”选项。感谢观看WindowsServer操作系统

项目四管理文件系统与共享资源设置资源共享1配置NTFS权限2目录第一部分设置资源共享知识链接公司在2022年业务量增加明显，公司各部门员工的人数也增加了很多。公司网络部员工在维护公司内部网络和计算机时，还需要填写维护日志文档，员工希望在该文件服务器上建立个人目录用于存放该文档。为满足员工对存储文档的需求，文件服务器将为部门的每位员工创建共享，用户可以将文件上传至自己的共享文件夹。本任务我们与网络管理员肖强一起在WindowsServer2019系统中设置资源共享。本项目所有实例都部署在图4-1所示的环境下。知识链接一、共享文件夹概述简单来说，共享文件夹就是在一台计算机上要共享给其他计算机访问的文件夹。在一台计算机上把某个文件夹设为共享文件夹，用户就可以通过网络远程访问这个文件夹，从而实现文件资源的共享。把文件夹作为共享资源供网络上的其他计算机访问，必须考虑访问权限，否则很可能给共享文件夹甚至整个操作系统带来严重的安全隐患。共享文件夹支持灵活的访问权限控制功能，该功能可以允许和拒绝某个用户或用户组访问共享文件夹，或者对共享文件夹进行读/写等操作。知识链接一、共享文件夹概述简单来说，共享文件夹就是在一台计算机上要共享给其他计算机访问的文件夹。在一台计算机上把某个文件夹设为共享文件夹，用户就可以通过网络远程访问这个文件夹，从而实现文件资源的共享。把文件夹作为共享资源供网络上的其他计算机访问，必须考虑访问权限，否则很可能给共享文件夹甚至整个操作系统带来严重的安全隐患。共享文件夹支持灵活的访问权限控制功能，该功能可以允许和拒绝某个用户或用户组访问共享文件夹，或者对共享文件夹进行读/写等操作。知识链接二、共享文件夹权限（1）读取。用户对共享文件夹具有读取权限意味着可以查看该文件夹下的文件名称和子文件夹名称，还可以查看这些文件的内容或运行文件。读（2）更改。更改权限除了包括读取权限，还增加了一些权限，包括在共享文件夹下创建文件和子文件夹、更改文件的内容、删除文件和子文件夹。（3）完全控制。完全控制权限包括读取权限和更改权限。通过分配完全控制权限，用户可以更改文件和子文件夹的权限，以及获得文件和子文件夹的所有权。知识链接三、特殊的共享资源后面在实际操作中会看到一些比较“奇怪”的共享资源，名称一般是“ADMIN$”“IPC$”等。其实这是操作系统为了自身管理的需要而创建的一些特殊的共享资源，不同的操作系统创建的特殊共享资源有所不同，不过这些共享资源有一个共同的特点，即共享名的最后一个字符是“$”。为了不影响操作系统的正常使用，建议读者不要修改或删除这些特殊的共享资源。表4-1显示了几个常用的特殊共享资源。知识链接四、文件服务器概述虽然共享文件夹是一种很好的实现资源共享的方式，不过在WindowsServer2019中还有一种更加专业的方法，即文件服务器，这是通过文件和存储服务角色实现的。在实际的生产应用场景中，如果一台服务器专门用于文件的存储、管理和共享，那么可以把它设置为文件服务器。WindowsServer2019通过文件和存储服务角色来支持文件服务器的发布和管理。WindowsServer2019提供的文件和存储服务角色用于支持共享资源的发布和管理。通过安装文件和存储服务角色，用户可以更有效地管理和控制共享文件夹，还可以将其发布到基于域的分布式文件系统中。拓展知识文件服务器和ftp服务器的区别第一个关键区别是可问性。如果您的公司使用FTP服务器,则只要您有网并且连上网登陆后,就可以从世界任何地方访问文件。相反,文件服务器是本地服务器,因此只能在企业内部网络中访问。如果基本数据只能在办公室范围内访问，这将严重限制公司进行远程工作的能力。另一个不同之处是FTP服务器和文件服务器的安全要求。FTP服务器需要多层安全保护和加密,以确保数据安全。这是因为文件是共享的,并因此暴露在网络(外网)中的。文件服务器仍然需要安全措施,但是如何保持数据安全有不同的考虑因素。文件恢复是这两种解决方案不同的另一个方面。使用FTP服务器,所有内容都存储在云中,因此,由于用户错误或灾难(例如停电)而丢失的任何文件都易于恢复。使用文件服务器,文件恢复受到限制。由于数据存储在服务器上,因此如果服务器发生故障,您的文件可能会永远丢失。任务实施（1）在Server1上选择“服务器管理器”→“工具”→“计算机管理”选项，打开“计算机管理”窗口，展开左侧窗格中的“共享文件夹”选项，选择“共享”选项，如图4-2所示。该“共享文件夹”中提供了有关本地计算机上的所有共享、会话和打开文件的信息，可以查看本地和远程计算机的连接和资源使用概况。1.在“计算机管理”窗口中设置共享资源任务实施企业网络中的客户端计算机可以根据需要采用不同的方式访问网络共享资源。下面介绍两种访问网络共享资源的方法。（1）利用网络发现访问网络共享资源。（2）使用UNC访问网络共享资源。通用命名标准（UniversalNamingConversion，UNC）是用于命名文件和其他资源的一种约定，以两个反斜杠“＼”开头，指明该资源位于网络计算机中。2.访问网络共享资源第二部分配置NTFS权限知识链接在企业网络中完成资源共享设置后，公司的网络管理员肖强在Server1服务器上对文件服务器进行重新梳理，为保证数据的规范和可靠性，需给用户配置NTFS权限。接下来随管理员肖强一起完成NTFS权限配置并将公用文件夹进行压缩加密任务。知识链接一、认识NTFS权限1.NTFS文件夹权限2.NTFS文件权限（一）NTFS权限的类型1.权限是可累积的2.文件权限优先于文件夹权限3.拒绝权限优先于其他权限（二）多重NTFS权限要为共享文件夹设置NTFS权限，可在共享文件夹的属性对话框中依次单击“共享”→“高级共享”→“权限”按钮，在弹出的权限对话框中进行设置。（三）共享文件夹权限与NTFS权限的组合（Server1）010203二、继承与阻止继承NTFS权限（一）使用权限的继承性当授予访问某个文件夹的NTFS权限时，就将授予该文件夹的NTFS权限授予了该文件夹中任何现有的文件和子文件夹，以及在该文件夹中创建的任何新文件和新的子文件夹。（二）阻止权限的继承性（Server1）阻止权限的继承也就是阻止子文件夹和文件从父文件夹继承权限。为了阻止权限的继承，要删除继承来的权限，只保留被明确授予的权限。知识链接知识链接（一）复制文件和文件夹当从一个文件夹向另一个文件夹复制文件或文件夹时，或者从一个磁盘分区向另一个磁盘分区复制文件或文件夹时，这些文件或文件夹具有的权限可能发生变化。复制文件或文件夹将对NTFS权限产生下述效果。（1）当在单个NTFS磁盘分区内或在不同的NTFS磁盘分区之间复制文件夹或文件时，复制的文件夹或文件将继承目的地文件夹的权限。（2）当将文件或文件夹复制到非NTFS磁盘分区（如FAT格式的磁盘分区）中时，因为非NTFS磁盘分区不支持NTFS权限，所以这些文件夹或文件就丢失了它们的NTFS权限。三、复制和移动文件及文件夹知识链接（二）移动文件和文件夹（1）当在单个NTFS磁盘分区内移动文件夹或文件时，文件夹或文件保留它原来的权限。（2）当在NTFS磁盘分区之间移动文件夹或文件时，文件夹或文件将继承目的地文件夹的权限。在NTFS磁盘分区之间移动文件夹或文件实际是将文件夹或文件复制到新的位置，并从原来的位置删除。（3）当将文件夹或文件移动到非NTFS磁盘分区时，因为非NTFS磁盘分区不支持NTFS权限，所以这些文件夹或文件就丢失了它们的NTFS权限。复制和移动规则如图4-8所示。三、复制和移动文件及文件夹知识链接（三）文件复制或移动时压缩属性的变化当NTFS磁盘内的文件被复制或移动到另一个文件夹中后，其压缩属性的变化如图4-9所示。三、复制和移动文件及文件夹知识链接四、NTFS文件系统的压缩和加密加密文件系统（EncryptingFileSystem，EFS）提供了一种核心文件加密技术。EFS仅用于NTFS卷上的文件和文件夹加密。（二）NTFS文件系统的加密NTFS文件系统的压缩过程和解压过程对用户而言是完全透明的，用户只需对数据文件应用压缩功能即可。（一）NTFS文件系统的压缩任务实施1.授予标准NTFS权限授予标准NTFS权限包括授予NTFS文件夹权限和授予NTFS文件权限。（1）授予NTFS文件夹权限。①打开Server1的“文件资源管理器”窗口，选中要设置权限的文件夹（如network）并单击鼠标右键，在弹出的快捷菜单中选择“属性”选项，弹出“network属性”对话框，选择“安全”选项卡，如图4-10所示。②默认已经有了一些权限设置，这些权限是从父文件夹（或磁盘）继承来的。例如，在Administrators组用户的权限中，灰色阴影√标记的权限就是继承的权限。③如果要给其他用户指派权限，则可单击“编辑”按钮，弹出“network的权限”对话框。任务实施1.授予标准NTFS权限④单击“添加”→“高级”→“立即查找”按钮，弹出“选择用户、计算机、服务账户或组”对话框，从本地计算机上添加拥有对该文件夹访问和控制权限的用户或用户组。⑤选择好后单击两次“确定”按钮，拥有对该文件夹访问和控制权限的用户或用户组就被添加到“组或用户名”列表框中。特别注意，如果新添加的用户的权限不是从父项继承的，那么其所有的权限都可以被修改。⑥如果不想继承上一层的权限，可在该文件夹的“属性”对话框中选择“安全”选项卡，再单击“高级”→“权限”按钮，弹出高级安全设置对话框。（2）授予NTFS文件权限。文件权限的授予与文件夹权限的授予类似。要想对NTFS文件指派权限，直接在文件上单击鼠标右键，在弹出的快捷菜单中选择“属性”选项，在弹出的对话框中选择“安全”选项卡，即可为该文件设置相应权限。任务实施2.授予特殊访问权限标准的NTFS权限通常能提供足够的权限，用以控制对用户资源的访问，以保护用户的资源。但是，如果需要更为特殊的访问级别，则可以使用NTFS的特殊访问权限。选择文件或文件夹（如network）属性对话框中的“安全”选项卡，单击“高级”→“权限”按钮，弹出“network的高级安全设置”对话框，选择“sales”选项，如图4-13所示。任务实施3.NTFS压缩文件（1）对NTFS磁盘内的文件进行压缩的方法如下：选中相应文件并单击鼠标右键，在弹出的快捷菜单中选择“属性”选项，弹出属性对话框，单击“高级”按钮，在弹出的对话框中勾选“压缩内容以便节省磁盘空间”复选框，如图4-15所示。（2）若要压缩文件夹，则选中相应文件夹并单击鼠标右键，在弹出的快捷菜单中选择“属性”选项，弹出属性对话框，单击“高级”按钮。（3）也可以针对整个磁盘进行压缩：选中磁盘（如C盘）并单击鼠标右键，在弹出的快捷菜单中选择“属性”选项，在弹出的对话框中勾选“压缩此驱动器以节约磁盘空间”复选框。（4）当用户或应用程序要读取压缩文件时，系统会将文件从磁盘内读出、自动将解压缩后的内容提供给用户或应用程序，但存储在磁盘内的文件仍然是处于压缩状态的；而将数据写入文件时，它们也会被自动压缩后再写入。任务实施4.压缩（zipped）文件夹（1）打开“文件资源管理器”窗口，双击“network”文件夹，在界面右侧空白处单击鼠标右键，在弹出的快捷菜单中选择“新建”→“压缩（zipped）文件夹”选项来新建压缩（zipped）文件夹，如图4-18所示。（2）也可以在需要压缩的文件上单击鼠标右键，在弹出的快捷菜单中选择“发送到”→“压缩（zipped）文件夹”选项，建立一个保存这些文件的压缩（zipped）文件夹。（3）压缩（zipped）文件夹的扩展名为“.zip”，但系统默认会隐藏扩展名，如果要显示扩展名，则可选择“开始”→“Windows系统”→“文件资源管理器”→“查看”选项，勾选“文件扩展名”复选框。任务实施5.加密文件系统（1）对文件加密。选中相应文件并单击鼠标右键，在弹出的快捷菜单中选择“属性”选项，弹出属性对话框，单击“高级”按钮，在弹出的“高级属性”对话框中勾选“加密内容以便保护数据”复选框，单击“确定”按钮，再单击“应用”按钮。（2）对文件夹加密。选中文件夹并单击鼠标右键，在弹出的快捷菜单中选择“属性”选项，弹出属性对话框，单击“高级”按钮，在弹出的“高级属性”对话框中勾选“加密内容以便保护数据”复选框，单击“确定”按钮，单击“应用”按钮，将弹出图4-21所示的对话框，选中“将更改应用于此文件夹、子文件夹和文件”单选按钮。任务实施6.备份EFS证书（1）在“运行”对话框中执行certmgr.msc命令，展开“个人”→“证书”选项，选中预期目的为“加密文件系统”的证书并单击鼠标右键，在弹出的快捷菜单中选择“所有任务”→“导出”选项，如图4-24所示，单击“下一步”按钮，选中“是，导出私钥”单选按钮，单击“下一步”按钮，选择默认的“.pfk”格式，选中“组或用户名”单选按钮，也可以设置密码（以后只有该用户有权导入，否则需要输入此处的密码）。建议将此证书文件备份到一个安全的地方。如果有多个EFS证书，则应全部导出并存档。（2）如果用户Alice的EFS证书丢失或损毁，造成文件无法读取，则可以将备份的

EFS证书导入。在图4-24所示界面中，选中“证书”选项并单击鼠标右键，在弹出的快捷菜单中选择“所有任务”→“导入”选项，根据向导完成证书导入即可。感谢观看WindowsServer操作系统

项目五DHCP服务器的配置与管理添加并授权DHCP服务1配置DHCP中继2目录第一部分添加并授权DHCP服务任务描述公司初步建立了企业网络，并将计算机接入企业网中。在网络管理中，管理员经常需要为内部计算机配置IP地址、默认网关、DNS等TCP/IP选项，由于公司计算机数量多，并且还有大量的移动PC，公司希望能尽快部署一台DHCP服务器，实现企业网普通计算机IP、DNS、默认网关等选项的自动配置，提高网络管理与维护的效率。接下来要随公司网络管理员肖强一起完成添加并授权DHCP服务任务。以下为公司3个部门的IP地址规划，如表5-1所示。知识链接一、DHCP的概述手动配置TCP/IP参数的工作非常烦琐而且效率低下，DHCP则专门用于为TCP/IP网络中的主机自动分配TCP/IP参数。DHCP客户端在初始化网络配置信息（启动操作系统、手动接入网络）时会主动向DHCP服务器请求TCP/IP参数，DHCP服务器收到DHCP客户端的请求信息后，会将管理员预设的TCP/IP参数发送给DHCP客户端，DHCP客服端便可自动获得相关网络的配置信息（IP地址、子网掩码、默认网关等）。知识链接一、DHCP的概述（1）对于园区网的管理员，DHCP可以给内部网络的众多客户端主机自动分配网络参数，提高了工作效率。（2）对于网络服务供应商ISP，DHCP可以给客户计算机自动分配网络参数。通过DHCP，可以简化管理工作，达到中央管理、统一管理的目的。（3）可以在一定程度上缓解IP地址不足的问题。（4）方便了经常需要在不同网络间移动主机的联网。（二）部署DHCP服务的优势（1）网络中的主机较多，手动配置的工作量很大，因此需要采用DHCP。（2）网络中的主机多而IP地址数量不足时，采用DHCP能够在一定程度上缓解IP地址不足的问题。（3）一些PC经常在不同的网络中移动，通过DHCP它们可以在任意网络中自动获得IP地址而无须任何额外的配置，从而满足了移动用户的需求。（一）DHCP的应用场景知识链接二、IP地址分配方式（二）动态分配地址（一）静态分配地址当采用静态分配IP地址方式时，网络管理员必须知道网络中的各种参数，如网关的地址、DNS服务器的地址等。DHCP协议可以为用户自动分配IP地址、子网掩码、默认网关和DNS服务器地址等参数。知识链接三、DHCP的工作过程DHCP采用客户端/服务器通信模式，客户端向服务器提出配置申请，服务器返回IP地址等相应的配置参数，以实现IP地址等参数的动态配置。在DHCP的典型模型中，一般包含一台DHCP服务器和多台客户端，如图5-3所示。知识链接三、DHCP的工作过程（一）客户端发送DHCP发现报文——DHCPDiscovery报文当DHCP客户端首次登录网络时，它发现本机上没有任何IP地址设定，将以广播方式发送DHCPDiscovery报文来寻找DHCP服务器，即向55发送特定的广播消息，如图5-4所示。网络上每一台安装了TCP/IP协议的主机都会收到这个广播消息，但只有DHCP服务器才会做出响应。首先客户端发送DHCP请求报文，源IP地址为，目的IP地址为55。DHCP在传输层是基于UDP协议工作的，目标端口号为67，源端口号为68。知识链接三、DHCP的工作过程（二）DHCP服务器响应请求——DHCPOffer报文本地网络上的所有主机都能收到DHCPDiscovery报文，但只有DHCP服务器才会回答此广播报文，如图5-5所示。DHCP服务器收到DHCPDiscovery报文后，先在其数据库中查找该计算机的配置信息，若找到，则返回找到的信息；如果没找到，说明这是一个新用户，就从IP地址池中取一个地址分配给该计算机，并通过DHCPOffer报文返回。这里需要说明一点，在IP地址实际分配过程中，DHCP服务器在发送DHCPOffer报文之前，会先广播一个ARP报文来确认要分配的IP地址是否有客户端已经私下配置了，如果没有客户端私下配置，那么这时才会广播DHCPOffer报文，否则会以同样的过程再分配另一个IP地址。知识链接三、DHCP的工作过程（三）客户端请求DHCP提供的IP地址——DHCPRequest报文如果网络上有多台DHCP服务器，则客户端可能会收到多条DHCPOffer消息。如果有多台DHCP服务器向DHCP客户端发来DHCPOffer消息，则DHCP客户端只接收第一个收到的DHCPOffer消息，然后以广播方式回答一个DHCPRequest请求消息，如图5-6所示，该消息中包含向它所选定的DHCP服务器请求IP地址的内容。与DHCPDiscovery一样，DHCPRequest请求也是广播消息，目的IP地址为55，源IP地址为（因为此时客户端还没有IP地址，所以源IP地址是），DHCPRequest格式与DHCPDiscovery格式一致。知识链接三、DHCP的工作过程（四）DHCP服务器确认所提供的IP地址——DHCPAck报文当DHCP服务器收到客户端的请求后，会广播并返回客户端一个DHCP确认消息，如图5-7所示，表明已经接受客户端的选择，并且将这一IP地址的合法租用信息都放入该广播报文中发送给客户端。客户端在收到DHCPAck广播后，会向网络发送三个针对此IP地址的ARP解析来执行冲突检测，查询网络上是否有其他机器使用该IP地址。知识链接四、DHCP租约1.DHCP客户端持续在线时进行IP租约的更新2.DHCP客户端重新启动时进行IP租约的更新（一）DHCP客户端IP租约的更新DHCP客户端在发出IP租用请求的DHCPDiscover广播包后，将花费1秒钟的时间等待DHCP服务器的回应，如果等待1秒钟后没有收到服务器的回应，它会将这个广播包重新广播4次（以2、4、8和16秒为间隔，加上1～1000毫秒随机长度的时间）。（二）DHCP客户端租用失败的自动配置知识链接五、DHCP作用域参数用作DHCP服务器的计算机需要安装TCP/IP协议，并需要设置静态IP地址、子网掩码、默认网关等参数。DHCP作用域常用的基本参数如下。（1）作用域名称：要确保局域网内所有地址都能分配到一个IP地址，首先要创建一个作用域。（2）地址分发范围（地址池）：确定DHCP地址池范围，其中可以排除网关地址等。（3）路由器（默认网关）：编号“003”，网络的出口网关IP地址。（4）DNS服务器：编号“006”，客户端使用的DNS服务器地址。（5）DNS域名：编号“015”，客户端使用的DNS名称。（6）租约时间：默认将客户端获取的IP地址使用期限限制为8天。知识链接六、DHCP服务器授权在网络中安装了DHCP服务器后，网络中的客户端就可以通过DHCP服务器获取IP地址，如果网络中的DHCP服务器不止一台，客户端就可能从非法的DHCP服务器中获取错误的IP地址，从而导致网络故障。为了解决这种问题，Windows在DHCP服务器中引入了“授权”功能。它要求加入ActiveDirectory的DHCP服务器必须在ActiveDirectory中经过“授权”，才能提供地址分配服务，但如果DHCP服务器没有加入ActiveDirectory，那么仍然可以在“未授权”的情况下分配IP地址。任务实施2.配置DHCP服务器作用域和作用域选项在“DHCP”窗口的左侧窗格中，右击“IPv4”选项，在弹出的快捷菜单中选择“新建作用域”命令，打开“作用域名称”界面。4.配置DHCP客户端目前常用的操作系统均可以作为DHCP客户端，本任务使用Windows平台作为客户端进行配置。3.授权DHCP服务器重启WindowsServer2019虚拟机后用域账户登录系统，然后打开“DHCP”窗口，右击要授权的DHCP服务器，在弹出的快捷菜单中选择“授权”命令。1.安装DHCP服务器将WindowsServer2019虚拟机设置成DHCP服务器，最简单的方法是通过“添加角色和功能向导”窗口添加DHCP服务器角色，通过“开始”菜单打开“添加角色和功能向导”窗口，选择目标服务器并添加DHCP服务器角色。第二部分配置DHCP中继任务描述上一任务中通过部署DHCP服务，实现了信息中心客户端IP地址的自动配置，并能正常访问信息中心和外部网络，提高了信息中心IP地址的分配与管理效率。但公司网络中存在多个子网，而DHCP服务器与客户端处于不同的子网中，这样还需要配置

DHCP中继代理，让DHCP中继代理来转发DHCP报文到DHCP服务器。接下来让我们和网络管理员肖强一起完成配置DHCP中继服务任务。这一批部署的部门是研发部，其网络拓扑如图5-23所示。知识链接一、DHCP中继代理DHCPRelay（DHCPR）也被称为DHCP中继。DHCP中继代理实际上是一种软件技术，安装了DHCP中继代理的计算机称为DHCP中继代理服务器，它承担不同子网间DHCP客户端和DHCP服务器的通信任务。中继代理负责转发不同子网间客户端和服务器之间的DHCP/BOOTP消息。简言之，中继代理就是DHCP客户端与DHCP服务器通信的中介，即中继代理接收到DHCP客户端的广播型请求消息后，将请求信息以单播的方式转发给DHCP服务器；同时，它也接收DHCP服务器的单播回应消息，并以广播的方式转发给DHCP客户端。知识链接二、DHCP中继的工作过程（1）当DHCP客户端启动并进行DHCP初始化时，它会在本地网络上广播配置请求报文。（2）如果本地网络存在DHCP服务器，则可以直接进行DHCP配置，不需要设置DHCP中继。（3）如果本地网络不存在DHCP服务器，则与本地网络相连的具有DHCP中继功能的网络设备收到该广播报文后，将进行适当处理并转发给指定的其他网络上的DHCP服务器。（4）DHCP客户端向指定的DHCP服务器发送请求获取IP地址的报文。任务实施1.在DHCP服务器上为研发部配置DHCP作用域根据研发部的网络拓扑，在DHCP服务器中，按照之前的方法添加新的作用域。为研发部新建一个作用域,IP地址范围是/24～00/24（其中003作用域选项IP为54），如图5-24所示。任务实施2.在路由器上配置DHCP中继服务查看路由器接口状态。打开路由器的路由和远程访问服务，查看“IPv4”选项的“常规”选项。在如图5-25所示的界面中，我们可以看到路由器的两个接口分别连接了信息中心网络和研发部网络，IP地址分别为54和54。拓展知识新手配置DHCP中继易犯错误大家可以试一试，完成配置后，DHCP依然不能正常工作。这也是新手在配置DHCP中继时常常犯的错误。对于R1，目前已经能够正常运行DHCP中继功能，对于R2，也已经能够正常运行DHCPServer功能。但是，很可惜，由于在R2收到R1发送的DHCP报文后，想要发送DHCP响应报文的时候，却发现自己的路由表中没有网段的路由信息，因此，R2就不知道应该将该DHCP响应报文该发送给谁，因此R2就不会发DHCP响应报文。感谢观看WindowsServer操作系统

项目六DNS服务器的配置与管理安装DNS服务器1部署DNS服务器2目录第一部分安装DNS服务器任务描述为了方便员工及时地了解企业内部信息，公司需要搭建一台Web服务器，但员工只能通过IP地址访问站点，而服务器的IP地址并不容易记忆，使用很不方便。因此，公司领导找到网络管理员肖强，想要其实现域名访问的功能，需要在企业内部网络中配置一台DNS服务器来实现。接下来我们和肖强一起完成DNS服务器的安装任务吧。知识链接1（一）根域位于层次结构最顶端的是域名树的根，提供根域名服务，用“.”表示。2（二）顶级域顶级域位于根域之下，数目有限，且不能轻易变动。3（三）子域在DNS域名空间中，除了根域和顶级域之外，其他域都称为子域。4（四）主机在域名层次结构中，主机可以存在于根以下的各层上。一、域名空间知识链接二、DNS名称的解析方法通过DNS服务器进行解析是目前Internet中最常用也是最便捷的名称解析方法。全世界有众多DNS服务器各司其职，互相呼应，协同工作，构成了一个分布式的DNS名称解析网络。（二）通过DNS服务器进行解析通过hosts文件进行解析只是Internet中最初使用的一种查询方式。采用hosts文件进行解析时，必须由人工输入、删除、修改所有DNS名称与IP地址的对应数据，即把全世界所有的DNS名称写在一个文件中，并将该文件存诸到解析服务器中。如果客户端需要解析名称，则到解析服务器中查询hosts文件。（一）通过hosts文件进行解析知识链接三、DNS名称解析的查询模式（一）递归查询递归查询是最常见的查询方式，域名服务器将代替提出请求的客户端（下级DNS服务器）进行域名查询。若域名服务器不能直接回答，则域名服务器会在域的各树中的各分支的上下层上进行递归查询，最终将查询结果返回给客户端。在域名服务器查询期间，客户机完全处于等待状态。（二）转寄查询当服务器收到DNS工作站的查询请求后，如果在DNS服务器中没有查到所需数据，则该DNS服务器便会告诉DNS工作站另外一台DNS服务器的IP地址，并由DNS工作站自行向此DNS服务器进行查询，以此类推，直到查到所需数据为止。知识链接四、正向解析和反向解析DNS系统提供了正向解析和反向解析服务，正向解析是指将域名转换为IP地址，例如，DNS客户端发起请求解析域名为的IP地址。要实现正向解析服务，必须在DNS服务器内部创建一个正向解析区域。反向解析是指将IP地址映射为域名。要实现反向解析，必须在DNS服务器中创建反向解析区域。反向解析由两部分组成：网络ID反向书写与固定的域名。例如，解析0的域名，则此反向域名需要写成60.100.202.。由此可以看出，是反向解析的顶级域名。知识链接五、区域类型（三）存根区域存根区域是一个区域副本，与辅助区域不同的是，存根区域仅标识该区域内的DNS服务器所需的资源记录。（一）主要区域主要区域用于保存域内所有主机数据记录的正本。一般来说，DNS服务器的设置，就是指设置主要区域数据库的记录，即创建主要区域之后，管理员可直接在此区域内新建、修改和删除记录。（二）辅助区域辅助区域用于保存域内所有主机数据记录的副本。辅助区域内的文件是从主要区域传送过来的。任务实施1.安装DNS服务器角色在

DNS1上通过“服务器管理器”窗口安装DNS服务器角色。选择“服务器管理器”→“仪表板”→“添加角色和功能”选项，持续单击“下一步”按钮。3.创建反向查找区域反向查找区域用于通过IP地址来查询DNS名称，在“DNS管理器”窗口中，选中“反向查找区域”选项并单击鼠标右键，在弹出的快捷菜单中选择“新建区域”选项。2.创建正向查找区域DNS服务器上创建正向主要区域“”，在DNS1上，选择“服务器管理器”→“工具”→“DNS”选项。4.创建资源记录DNS服务器需要根据区域中的资源记录提供该区域的名称解析。因此，在区域创建完成之后，需要在区域中创建所需的资源记录。拓展知识递归解析的查询过程1.客户端向本机配置的本地域名服务器发起DNS域名查询请求；2.本地域名服务器收到请求后，会先查询本地缓存，如果有记录值会直接返回给客户端；如果没有记录，则本地域名服务器会向根域名服务器发起请求；3.根域名服务器收到请求后，会根据所要查询域名中的后缀将所对应的顶级域名服务器（如.com、.cn等）返回给本地域名服务器；4.本地域名服务器根据返回结果向所对应的顶级域名服务器发起查询请求；5.对应的顶级域名服务器在收到DNS查询请求后，也是先查询自己的缓存，如果有所请求域名的解析记录，则会直接将记录返回给本地域名服务器，然后本地域名服务器再将记录返回给客户端，完成整个DNS解析过程。6.如果顶级域名服务器没有记录值，就会将二级域名对应的服务器地址返回给本地域名服务器，本地域名服务器再次对二级域名服务器发起请求，如此类推，直到最终对应区域的权威域名服务器返回结果给本地域名服务器。然后本地域名服务器将记录值返回给DNS客户端，同时缓存本地查询记录，以便在TTL值内用户再次查询时直接将记录返回给客户端。第二部分部署DNS服务器任务描述公司为了使企业中的计算机简单快捷地访问本地网络及Internet中的资源，在校园网中架设了DNS服务器，用来提供将域名转换成IP地址的功能。在企业网络中，常根据企业的地理位置和其管理域名的数量，部署不同类型的DNS服务器来解决域名解析问题，常见的DNS服务器的角色包括主DNS服务、委派DNS服务、辅助DNS服务等。接下来让我们和网络管理员肖强一起完成DNS服务器的部署任务吧。知识链接一、子域资源记录一台服务器所授权的范围叫作区域（Zone）。在一个单位中服务器所管理的域如果没有划分更小的范围，那么域可以直接等同于区域。如果服务器将域划分成一些子域，并将子域的部分服务授权并委托给了其他服务器，那么域和区域就不是同一个概念了。域和子域的关系如图6-22所示。DNS服务器除了可以分为主服务器、辅助服务器，还提供上层、下层的关系。例如，公司各个部门都有自己的DNS服务器（子域）。因此，各个部门的设置会比较灵活。知识链接二、区域委派DNS名称解析是通过分布式结构来管理和实现的，它允许将DNS名称空间根据层次结构分割成一个或多个区域，并将这些区域委派给不同的DNS服务器进行管理。例如，某区域的DNS服务器（以下称“委派服务器”）可以将其子域委派给另一台DNS服务器（以下简称“受委派服务器”）全权管理，由受委派服务器维护该子域的数据库，并负责响应针对该子域的名称解析请求。而委派服务器则无须进行任何针对该子域的管理工作，也无须保存该子域的数据库，只需保留到达受委派服务器的指向，即当DNS客户端请求解析该子域的名称时，委派服务器将无法直接响应该请求，但其明确知道应由哪个受委派服务器来响应该请求。知识链接三、辅助区域DNS服务器内的辅助区域用来存储本区域内的所有资源记录的副本，辅助区域中的资源记录都是只读的，管理员不能修改。辅助区域内的所有信息都是利用区域传送的方式从主DNS服务器中复制过来的。执行区域传送的方式可以是手动执行或者通过配置起始授权机构（SOA）周期性地执行，从而将资源记录复制