计算机网络技术基础章

第十章WindowsServer2003

网络操作系统

10.1活动目录(ACTIVEDIRECTORY)的管理

10.2WINDOWSSERVER2003在网络中的角色

10.3安装WINDOWSSERVER2003系统

10.4配置活动目录

10.5DHCP服务

10.6WINS服务

10.7DNS服务

10.8IIS的设置与管理

本章小结

习题

10.1活动目录(ActiveDirectory)的管理

ActiveDirectory目录服务是Windows平台的一个核心组件，它提供了管理构成网络环境的身份和关系的方法。WindowsServer2003使ActiveDirectory的管理更简单，从而简化了迁移和部署。

1.工作组工作组(Workgroup)模型是资源和管理都分布在整个网络上的一种网络模式。这种网络被称为“对等网”，即在工作组模型中，每台计算机的地位都是平等的，每台计算机既可用作服务器，也可用作工作站，每台计算机都有自己的帐号和对象。属于工作组的帐号只能在某一台计算机上登录，实现分布式管理(对等)，每台计算机上都有本地安全数据库。

2.域域是一组计算机构成的逻辑组织单元，管理员通过它对网络上的计算机系统进行安全管理。可以通过域把若干计算机组织起来构成一个计算机信息网络系统，域成员中的计算机有域控制器、域成员服务器和域成员计算机三种。没有加入域的计算机也可以像访问工作组一样访问域，但不能获得完全的服务。域的成员包括：

(1)主域控制器(PDC，可修改用户数据库)；

(2)现有域的额外域(是PDC的备份，可有多台，定期与PDC同步，只能用于认证不能修改用户数据库。安装时要有PDC的管理员帐号和密码，并且DNS要指明能解析该域，NT中为备份域控制器)；

(3)成员服务器：不存储帐户数据库副本，只处理专项功能(如打印、文件服务器)。

(4)独立域控制器：非域成员，包括独立服务器和工作组计算机。域具有如下特点：单一登录(多域之间建立信任关系)；单用户帐号(在多台计算机上以同一个帐号登录到域)；集中化管理(在活动目录中管理)；可伸缩性(扩展到超大规模)；登录到域(若域为ABC.COM，则用U1@ABC.COM登录)。

3.域树当域中用户创建了根域并在其下创建子域时，根域及其子域就组成了一个域树，一个域树必须有一个相邻的名字空间，并把根域名作为域名。按树结构组织目录为用户带来了许多好处，在树结构中所有子域与父域之间都具有双向委托关系，并且这种委托关系具有可传递性，由此说明域树中的用户和组均可被授权访问树中的任何对象。

4.域林在一个结构中如果包含多个域树并且希望在多个域树间共享资源，用户可以通过在域树间建立双向委托关系将它们联合在一起，即形成所谓的域林。这些树没有形成一个相邻的名字空间。在建立域林后，所有树拥有一个公共的全局目录，映射域林中每个对象的特定信息。

5.组组(Group)是活动目录或者本地计算机对象，它包含用户、联系人、计算机和其他组，用于分组管理用户和计算机对共享资源的访问。通常可将用户或计算机分为若干个组，授予每个组的权力和权限也自动授予该组的成员，而不是具体授予每个成员。这样可使管理员将许多用户、计算机当做一个帐户来管理。

6.活动目录

ActiveDirectory(活动目录)的出现是为了解决基于域的网络环境对大型网络的应用过于复杂，无法满足扩展需要这一问题的，其总目标是为了减少用户和管理员在网络方面的工作负荷。为了达到这一目的，ActiveDirectory通过提供通用的网络资源接口和直观的网络资源访问界面，使用户能够以一致的方式管理自己的整个网络。

ActiveDirectory用简单直观的“由下而上”的方法来建置一个大型树形结构。ActiveDirectory中的单一域就是一个完整的目录分割区。为了便于管理，域被细分成一个个的组织单位(OU，OrganizationalUnits)。单一域可能很小，但可以包含非常多的对象。如果需要更复杂的组织结构或需要存储大量对象，可以把多种WindowsServer2003域结合成一棵树(Tree)。如果再将域树结合，则可形成域林(Forest)。域树中的第一个域称为根域(RootDomain)。同一域树中的额外域为子域。同一域树中，紧接在域上面的域是子域的父系域。域是ActiveDirectory中逻辑结构的核心。一般而言，域适合大型组织的企业网络，因为可提供帐户的管理与对等的数据共享。在Windows2000中，所谓域是由一台以上的Windows2000Server所组成的组，其中有一台需规划为域控制站。该控制站可以对用户进行认证，只有通过认证的用户才可以顺利登录域，登录域之后即可在规定的权限内使用域上的资源。在WindowsServer2003的域结构中所有域控制器的地位都是平等的，且域控制器之间会定期进行数据复制以保持一致性。由一个以上的Windows2000域组成层次式排列，但这些域需分享一个连续的名称空间。由一个以上互不相连的名称空间的域树组成层次式排列。当建立域林时，每一个域树内的根域之间会自动建立双向可传递的信任关系，因此每一个域内的使用者只要具备足够的权限就可以存取其他域树内的资源。10.2WindowsServer2003在网络中的角色

根据不同需要，运行WindowsServer2003操作系统的计算机可以在网络中充当域控制器、成员服务器和独立服务器三种角色。

1.域控制器

域控制器是具有以下特点的计算机：运行WindowsServer2003操作系统；使用ActiveDirectory存储域数据库的读/写副本、参与多主机复制并验证用户。域控制器存储目录数据并管理用户和域之间的通信，包括用户登录进程、身份验证和目录搜索。域控制器使用多主机复制来同步目录数据，从而确保前后信息的一致。

2.成员服务器成员服务器是具有以下特点的计算机：运行WindowsServer2003操作系统；属于某个域；不是域控制器；成员服务器不处理帐号登录、不参与ActiveDirectory复制，也不存储安全策略信息。成员服务器通常用作以下几种类型的服务器：文件服务器、应用程序服务器、数据库服务器、Web服务器、证书服务器、防火墙和远程访问服务器。成员服务器遵循为站点、域或OU定义的组策略设置，并且拥有对资源的访问控制，成员服务器用户具有指派的用户权利，包含本地安全帐户数据库，即安全帐户管理器(SAM)。

3.独立服务器独立服务器是指运行WindowsServer2003但不参与域的服务器。独立服务器只有其自身的用户数据库，并且自己处理登录请求。独立服务器不与其他计算机共享帐户信息，并且不提供对域帐户的访问权限，但它能够加入工作组。10.3安装WindowsServer2003系统

10.3.1系统主要需求

安装WindowsServer2003的硬件需求：

最小CPU速度 基于X86的计算机：133MHz基于Itanium的计算机：733MHz

推荐CPU速度 基于X86的计算机：2.0GHz

最小RAM容量 基于X86的计算机：256M基于Itanium的计算机：1G

推荐RAM容量 基于X86的计算机：1024MB

最大RAM 基于X86的计算机：32G基于Itanium的计算机：64G

多处理器支持 基于X86的计算机：最多8个处理器基于Itanium的计算机：最多8个处理器

安装所需的磁盘空间 基于X86的计算机：3～4GB基于Itanium的计算机：5～6GB

安装或升级WindowsServer2003的注意事项：最好不要在正在使用的服务器上安装新操作系统；做好数据备份；注意多系统共存。

10.3.2主要安装步骤

(1)将WindowsServer2003的安装光盘放入计算机光驱中，使计算机从光驱启动系统。系统启动后显示安装界面，如图10-1所示。图10-1安装界面

(2)按回车键开始WindowsServer2003安装，显示软件授权协议，如图10-2所示。图10-2软件授权协议

(3)按F8键同意其协议后进入下一步，安装程序会自动搜索系统中已安装的操作系统。提示用户选择安装操作系统的分区，如图10-3所示。图10-3选择安装分区

(4)选择后，系统会询问采用何种文件补充方式格式化分区。若要发挥WindowsServer2003安全稳定的特点，则选择NTFS，如图10-4所示。图10-4选择NTFS格式

(5)设置相关安装信息后，安装程序开始从光盘复制系统文件到硬盘上，如图10-5所示。图10-5复制系统文件

(6)复制文件后，安装程序会提示重启计算机，如图10-6所示。图10-6提示重启计算机

(7)重启后安装程序开始收集必要的安装信息，并在左下角提示完成安装的时间，如图10-7所示。图10-7完成安装的时间

(8)基本安装完成后，系统会显示如图10-8所示的“区域和语言选项”对话框。一般单击“下一步”按钮，选择默认设置进入下一步。图10-8“区域和语言选项”对话框

(9)系统显示“自定义软件”对话框，输入用户姓名和单位信息，如图10-9所示。图10-9输入用户姓名和单位信息

(10)单击“下一步”按钮，系统提示输入产品密钥，如图10-10所示。若无法提供正确的产品密钥，系统将无法继续安装。图10-10提示输入产品密钥

(11)输入密钥后单击“下一步”按钮，系统显示“授权模式”对话框，要求设置授权模式，如图10-11所示。WindowsServer2003支持两种授权模式，即每用户模式和每服务器模式。

每用户模式：在每用户模式中，每个访问或使用服务器的设备或用户都需要单独的客户端访问许可证。使用一个客户端访问许可证，特定的设备或用户可以连接到环境中任何数量的服务器。

每服务器模式：在每服务器模式许可中，每个连接到特定服务器的并发连接都需要一个单独的客户端访问许可证。也就是说，这台服务器在任何时刻都只能支持固定数量的连接。图10-11设置授权模式

(12)单击“下一步”按钮，系统显示“计算机名称和管理员密码”对话框。设置计算机名和管理员密码，如图10-12所示。图10-12设置计算机名及管理员密码

(13)单击“下一步”按钮，系统显示“网络设置”对话框。可选择“典型设置”按系统默认方式设置，或者选择“自定义设置”手动设置网络，如图10-13所示。图10-13选择网络设置方式

(14)单击“下一步”按钮，系统显示“工作组或计算机域”对话框。设置计算机所在的工作组或计算机域，如图10-14所示。图10-14设置工作组或计算机域

(15)单击“下一步”按钮，安装程序将开始安装“开始”选项并对组件进行注册等。经过一段时间的等待，进入系统登录界面，如图10-15所示。图10-15系统登录界面

(16)按Ctrl+Alt+Delete组合键进入系统，显示“管理您的服务器”窗口，如图10-16所示。在其中可以配置文件服务器、打印服务器、IIS服务器、邮件服务器、域控制器、DNS服务器及DHCP服务器等。图10-16“管理您的服务器”窗口10.4配置活动目录

10.4.1安装前的准备

1．了解ActiveDirectory

ActiveDirectory存储有关网络上的对象的信息，并使管理员和用户更方便地查找和使用这种信息。ActiveDirectory使用结构化的数据存储作为目录信息的逻辑化及分层结构的基础。

ActiveDirectory还包括：

(1)一套规则，即架构。定义了包含在目录中的对象类和属性，以及这些对象实例的约束和限制及其名称的格式。

(2)包含目录中每个对象信息的全局编录。允许用户和管理员查找目录信息，而与目录中实际包含数据的域无关。

(3)查询和索引机制的建立，可以使网络用户或应用程序发布并查找这些对象及其属性。

(4)通过网络分发目录数据的复制服务。域中的所有域控制器参与复制并包含它们所控制的域的所有目录信息的完整副本。对目录数据所做的任何更改都被复制到域中的所有域控制器。

(5)支持ActiveDirectory客户端软件，使得运行Windows95、Windows98和WindowsNTServer4.0的计算机可使用MicrosoftWindows2000Professional或WindowsXPProfessional上的许多功能。对于没有运行ActiveDirectory客户端软件的计算机，目录的显示形式将与WindowsNT的目录相似。

2．ActiveDirectory的安装条件如果存在下列任一种或几种情况，将无法安装ActiveDirectory：

(1)该计算机正在运行WindowsServer2003WebEdition。

(2)该计算机已加入到域中或已配置为域控制器。

(3)该计算机不是域控制器，但已启动“ActiveDirectory安装向导”。

(4)该计算机是证书颁发机构(CA)。

(5)该计算机已在运行“路由和远程访问”。

(6)该计算机的当前会话是远程会话。10.4.2活动目录的安装在安装ActiveDirectory之前，首先应该规划ActiveDirectory的逻辑结构和名称结构，逻辑结构是指一个企业中的域数量以及域之间的关系。名称结构在ActiveDirectory规划的时候特别重要，虽然管理员可以在规划之后修改域的名称，但是根域的名称是不允许修改的，所以在创建ActiveDirectory之前，应该先进行正确、有效的逻辑结构和名称结构的规划。

ActiveDirectory的安装步骤如下：

(1)选择菜单“开始→所有程序→管理工具→管理你的服务器”命令(或者选择菜单“开始→运行”命令，并在文本框中输入“dcpromo”，单击“确定”按钮执行输入的命令)，出现如图10-17所示的ActiveDirectory安装向导。图10-17ActiveDirectory安装向导

(2)单击“下一步”按钮，出现如图10-18所示的“操作系统兼容性”提示对话框。图10-18“操作系统兼容性”提示

(3)单击“下一步”按钮，出现如图10-19所示的“域控制器类型”对话框。选中“新域的域控制器”单选按钮。图10-19选择域控制器类型

(4)单击“下一步”按钮，出现如图10-20所示的“创建一个新域”对话框。选中“在新林中的域”。图10-20选择建新域的类型

(5)单击“下一步”按钮，出现如图10-21所示的“新的域名”对话框。在“新域的DNS全名”文本框中输入完整的DNS名称，如“”。图10-21输入新的域名

(6)单击“下一步”按钮，出现如图10-22所示的“NetBIOS域名”对话框。系统自动将DNS名称的前半部分作为NetBIOS名称。图10-22输入NetBIOS域名

(7)单击“下一步”按钮，出现如图10-23所示的“数据库和日志文件文件夹”对话框。图10-23选择数据库文件夹和日志文件夹

(8)单击“下一步”按钮，出现如图10-24所示的“共享的系统卷”对话框。图10-24输入“共享的系统卷”的位置

SYSVOL文件夹是存放域公用文件的服务器副本。可在文本框中输入SYSVOL文件夹的位置，或者单击“浏览”按钮并选择SYSVOL文件夹的位置。

(9)单击“下一步”按钮，出现如图10-25所示的“DNS注册诊断”对话框。图10-25“DNS注册诊断”对话框通过诊断结果可以查看产生的错误，并可以单击列表框中的“帮助”链接获得纠正错误的步骤。错误问题纠正后，选中“我已经更正了错误，再次执行DNS诊断测试”单选按钮，并单击“下一步”按钮，系统再次出现诊断结果对话框。重复以上操作，直到诊断结果没有出现错误提示。选中“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器”单选按钮。

(10)单击“下一步”按钮，出现如图10-26所示的“权限”对话框。图10-26选择兼容权限如果域中有Windows2000之前的服务器操作系统，选中“与Windows2000之前的服务器操作系统兼容的权限”；如果域中不需要与Windows2000之前的服务器操作系统兼容，则选中“只与Windows2000或WindowsServer2003操作系统兼容的权限”。

(11)单击“下一步”按钮，出现如图10-27所示的“目录服务还原模式的管理员密码”对话框。输入“还原模式密码”和“确认密码”。还原模式的密码在该服务器目录服务还原时使用。图10-27密码输入对话框

(12)单击“下一步”按钮，出现如图10-28所示的“摘要”信息对话框。可查看域服务器的配置内容，如果需要修正，可单击“上一步”按钮返回。图10-28“摘要”信息对话框

(13)单击“下一步”按钮，开始配置ActiveDirectory。

(14)完成ActiveDirectory配置后，出现如图10-29所示的“正在完成ActiveDirectory安装向导”对话框。单击“完成”按钮，出现如图10-30所示的重新启动计算机对话框。图10-29完成安装向导对话框图10-30系统提示重新启动Windows单击“立即重新启动”按钮，重新启动Windows系统，完成ActiveDirectory和域控制器的安装。10.4.3删除活动目录

卸载ActiveDirectory其实就是将一台域控制器(DC)降级为独立服务器或成员服务器的过程，这种操作往往在网络进行调整或更换服务器时会遇到。卸载ActiveDirectory时需要遵循一定的顺序。例如在ActiveDirectory中存在多个子域，一般应依次卸载子域、树根域、林根域，否则将导致子域无法卸载。在只有一台域控制器的网络环境中卸载ActiveDirectory的步骤如下：

(1)以系统管理员身份登录域控制器，在开始菜单单击“管理工具”打开“配置用户的服务器向导”，在“服务器角色”对话框中选中角色列表中的“域控制器(ActiveDirectory)”→“配置您的服务器向导”菜单项。打开“配置您的服务器向导”对话框，在“服务器角色”列表中选中“域控制器”选项，并单击“下一步”按钮，如图10-31所示。图10-31选中“域控制器”选项

(2)打开“角色删除确认”对话框，选中“删除域控制器角色”复选框，并单击“下一步”按钮，如图10-32所示。图10-32选中“删除域控制器角色”复选框除

(3)打开“ActiveDirectory安装向导”，在欢迎页中单击“下一步”按钮。此时可能会弹出一个提示框，提示管理员应保证删除该域控制器后，域用户可以访问其他全局编录服务器以登录到域。确认符合此要求后单击“确定”按钮。

(4)在打开的“删除ActiveDirectory”对话框中会提示用户所删除的DC是否是域中的最后一个域控制器。如果选中“这个服务器是域中的最后一个域控制器”复选框，则这个DC被删除后ActiveDirectory将不复存在，该DC将降级成为一台独立服务器。本例所述的网络环境只有一个域控制器，因此选中该复选框，并单击“下一步”按钮，如图10-33所示。图10-33选中“这个服务器是域中的最后一个域控制器”复选框

(5)打开“应用程序目录分区”对话框，这里只是提示保留有关目录分区副本的信息，单击“下一步”按钮。在打开的“确认删除”对话框中作最后的确认，单击“下一步”按钮，如图10-34所示。图10-34确认删除应用程序目录分区

(6)在打开的“管理员密码”对话框中需要重新设置系统管理员密码。输入新的管理员密码(必须符合密码策略)，单击“下一步”按钮，如图10-35所示。图10-35“管理员密码”对话框

(7)打开“摘要”对话框，确认操作准确无误后单击“下一步”按钮，安装向导开始卸载ActiveDirectory。细心的用户会发现，对话框中的橡皮擦在不断擦去笔记本中的内容。卸载过程所需时间较长，完成卸载后需要重新启动计算机，如图10-36所示。图10-36正在卸载ActiveDirectory10.5DHCP服务

10.5.1DHCP服务简介动态主机配置协议(DynamicHostConfigurationProtocol，DHCP)是Windows2000Server和WindowsServer2003系统内置的服务组件之一。DHCP服务能为网络内的客户端电脑自动分配TCP/IP配置信息(如IP地址、子网掩码、默认网关和DNS服务器地址等)，从而帮助网络管理员省去手动配置相关选项的工作。

DHCP用于为TCP/IP网络中的计算机自动分配TCP/IP参数。DHCP被设计成客户端/服务器模式，DHCP服务器使用租约方式在指定时间段内自动为客户端计算机分配TCP/IP参数，并将这些参数发送给DHCP客户端。每个DHCP客户端在初始化网络配置时都会向网络中发送有关TCP/IP参数的请求，DHCP服务器收到请求后，会根据网络环境为客户端分配包括IP地址、子网掩码、默认网关和DNS服务器等的TCP/IP地址参数。客户端计算机收到并确认这些参数后，会使用这些参数完成客户端计算机的配置，进行网络通信。10.5.2运行DHCP服务的前提要求要建立DHCP服务器，必须在运行WindowsServer2003的计算机上安装DHCP服务。在指定为DHCP服务器的计算机上安装DHCP服务之前，必须为其绑定到TCP/IP网络适配器指定静态IP地址、子网掩码和默认网关。

DHCP服务的安装、启动和停止有两种方式：方法一：通过“配置您的服务器向导”，如图10-37所示。图10-37配置您的服务器向导方法二：通过“添加删除应用程序”，如图10-38所示。图10-38添加删除应用程序10.6WINS服务

10.6.1WINS简介

WindowsInternet名称服务(WINS)为注册和查询网络上计算机和用户组NetBIOS名称的动态映射提供分布式数据库。WINS将NetBIOS名称映射为IP地址，并设计为解决路由环境的NetBIOS名称解析中所出现的问题。

1．NetBIOS名称解析

NetBIOS名是惟一用于标识网络上NetBIOS资源的16位字符，该名字由计算机名(15个字符)加上服务类型(1个字符)组成。当网络上的其他计算机使用服务器的名称连接到该服务器时，系统将使用一个名称查询请求来搜索该NetBIOS名称。该查询通过与WINS服务器直接联系，或到本地网络的广播来处理查询。当找到与名称匹配的服务器进程时，该名称记录中包含的IP地址将被返回给请求计算机，然后，就可以使用下层网络传输协议服务来建立通信。

WINS服务由WINS服务器、WINS客户机、WINS代理和WINS数据库组成。

(1) WINS服务器。WINS服务器处理来自WINS客户端的名称注册请求，注册其名称和IP地址，并响应客户提交的NetBIOS名称查询，如果该名称在服务器数据库中，则返回该查询名称的IP地址。

(2) WINS客户机。WINS的客户机是指那些能够配置成直接使用WINS服务器的计算机。

(3) WINS数据库。WINS服务器上存储WINS客户机注册信息的数据库称为WINS数据库。

(4) WINS代理。WINS服务是在Windows网络环境下使用的，如果要在一些非Windows网络客户机和没有安装WINS客户机软件的计算机上使用WINS服务，则需要将其中的一台WINS客户机设置为WINS代理，由WINS代理来代理其他客户机向WINS服务器发出请求，WINS代理再将返回的结果“翻译”给其他客户机使用。

2．WINS的解析机制

WINS客户机主要使用四种不同的工作模式进行名称解析：

(1) B节点方式(broadcastnode)。客户机之间不通过WINS服务器，只会以广播方式查询IP地址；广播消息在网络上频繁出现会增加网络的负担，消耗带宽，降低网络通信效率；广播不能跨越路由器传送，只能找到同一个子网络的计算机。

(2) P节点方式(pointtopoint)。客户机以点对点的方式向WINS服务器查询IP地址；所有的WINS客户机都要进行配置，每个WINS客户机都必须知道WINS服务器的地址。

(3) M节点方式(mixednode)。先以B节点方式广播查询，如果查不到，再使用P节点方式向WINS服务器查询。

(4) H节点方式(hybridnode)。先采用P节点方式查询，如果查不到，再使用B节点方式广播查询。

3. WINS的基本服务

(1)注册：当WINS客户机开机的时候，会以点对点方式传送NetBIOS名称与IP地址到WINS服务器，在WINS服务器的数据库中注册其计算机名称和IP地址，以供其他计算机查询。

(2)更新记录：WINS服务器数据库中的每个记录都有保存期限，WINS客户机会定期更新数据，记录过期之后，WINS服务器便会删除该记录。

(3)释放记录：当客户机关机时，会以点对点方式通知WINS服务器，将记录从数据库中删除释放掉。

10.6.2WINS服务的安装

WINS服务器安装步骤如下：

(1)点击“开始”→“管理您的服务器”，点击“添加或删除角色”，如图10-39所示。图10-39管理您的服务器

(2)添加/删除服务器角色，如图10-40所示。图10-40配置服务器向导

(3)“选择总结”对话框，如图10-41所示。图10-41选择总结对话框

(4)配置安装组件，如图10-42所示。图10-42配置安装组件(5)显示此服务器现在是WINS服务器，如图10-43所示。图10-43显示此服务器是WINS服务器

10.6.3WINS服务的配置

WINS服务器安装好后，可以利用服务器的“属性”对服务器进行设置，在服务器列表中选择服务器，然后在操作中单击“属性”，之后出现服务器的属性对话框。对于WINS数据库中的动态记录都需要进行周期性的更新，以便验证记录的有效性，清除无效的记录。用户可以通过设置更新间隔、消失间隔、消失超时、验证间隔对记录的更新和检查进行管理。10.6.4WINS客户机的配置在“本地连接属性”对话框的常规选项卡上，选中“TCP/IP”，右击，在弹出的快捷菜单中选择“属性”，打开“高级TCP/IP设置”对话框，如图10-44所示。启用或禁用TCP/IP上的NetBIOS，执行下列操作：

(1)要启用TCP/IP上的NetBIOS，请勾选“启用TCP/IP上的NetBIOS”；

(2)要禁用TCP/IP上的NetBIOS，请勾选“禁用TCP/IP上的NetBIOS”；

(3)要让DHCP服务器决定是启用还是禁用TCP/IP上的NetBIOS，请勾选“默认”。图10-44高级TCP/IP设置—WINS选项卡10.7DNS服务

10.7.1DNS服务简介

DNS是域名系统(DomainNameSystem)的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。DNS命名用于TCP/IP网络，如Internet用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入DNS名称时，DNS服务可以将这些名称解析成与此名称相关的其他信息，如IP地址。

1.域名系统(DNS)中的基本概念

(1)域名空间：指Internet上所有主机惟一的和比较友好的主机名所组成的空间。

(2) DNS服务器：运行DNS服务器程序的计算机，其上有关于DNS域树结构的DNS数据库信息。

(3) DNS客户端：也称为解析程序，是使用DNS查询从服务器查询信息的程序。

(4)资源记录：DNS数据库中的信息集，可用于处理客户机的查询。

(5)区域：服务器是其授权的DNS名字空间的连续部分。

(6)区域文件：包含区域资源记录的文件。

2．DNS域名解析的方法

DNS域名解析的方法主要有：递归查询法、叠代查询法和反向查询法。

1)递归查询法如果DNS服务器无法解析出DNS客户机所要求查询的域名所对应的IP地址时，DNS服务器代表DNS客户机来查询或联系其他DNS服务器，以完全解析该名称，并将应答返回给客户机，这个过程称为递归查询法。递归查询的DNS服务器的工作量大，担负解析的任务重。

2)叠代查询法采用叠代查询法解析时，DNS服务器如果没有解析出DNS客户机的域名，就将可以查询的其他DNS服务器的IP地址告诉DNS客户机，DNS客户机再向其他DNS服务器发出域名解析请求，直到有明确的解析结果。如果最后一台DNS服务器也无法解析，则返回失败信息。叠代查询中DNS客户机也承担域名解析的部分任务，DNS服务器只负责本地解析和转发其他DNS服务器的IP地址，因此又称为转寄查询。

3)反向查询递归查询和叠代查询都是正向域名解析，即从域名查找IP地址。DNS服务器还提供反向查询功能，即通过IP地址查询域名。

3．DNS域名解析过程

DNS域名采用客户机/服务器模式进行解析。客户机由网络应用软件和DNS客户机软件构成。DNS服务器上有两部分资料：

域名数据库：存储的是由本机解析的域名；

域名缓存：存储的是从其他DNS服务器解析的历史记录。10.7.2DNS服务的安装安装DNS服务器的步骤如下：

(1)依次单击“开始→管理工具→配置您的服务器向导”，在打开的向导页中依次单击“下一步”按钮。配置向导自动检测所有网络连接的设置情况，若没有发现问题则进入“服务器角色”向导页。

(2)在“服务器角色”列表中单击“DNS服务器”选项，并单击“下一步”按钮，打开“选择总结”向导页，如果列表中出现“安装DNS服务器”和“运行配置DNS服务器向导来配置DNS”，则直接单击“下一步”按钮，如图10-45所示。图10-45“服务器角色”页面(3)“选择总结”页面，如图10-46所示。图10-46“选择总结”页面(4)开始安装DNS服务器，如图10-47所示。图10-47“配置组件”页面10.7.3DNS服务器的设置

DNS服务器安装完成以后会自动打开“欢迎使用配置DNS服务器向导”页面，如图10-48所示。图10-48配置服务器向导欢迎页面

(1)在“欢迎使用配置DNS服务器向导”页面中单击“下一步”，打开“选择配置操作”向导页，如图10-49所示。图10-49选择配置页面(2)主服务器位置选择，如图10-50所示。图10-50主服务器位置选择页面(3)设定区域名称，如图10-51所示。图10-51设定区域名称页面(4)确定是否允许动态更新，如图10-52所示。图10-52动态更新页面(5)设置DNS转发器，如图10-53所示。图10-53设置DNS转发器页面(6)完成DNS服务器配置，如图10-54所示。图10-54完成DNS服务器配置页面10.7.4配置辅助服务器和区域传输

1．辅助域名服务器

DNS划分为若干区域进行管理，每个区域由一个或多个域名服务器负责解析。如果采用单独的DNS服务器而该服务器没有响应，那么该区域的域名解析就会失败。因此每个区域建议使用多个DNS服务器，可以提供域名解析容错功能。对于存在多个域名服务器的区域，必须选择一台主域名服务器(master)保存并管理整个区域的信息，其他服务器称为辅助域名服务器(slave)。创建辅助DNS服务器必须在另一台运行WindowsServer2003的服务器中进行，其步骤如下：

(1)完成DNS服务器的安装，并进入“配置DNS服务器向导”。在“选择配置操作”向导页中保持“创建正向查找区域”单选框处于选中状态，并单击“下一步”按钮。

(2)在打开的“主服务器位置”向导页中点选“ISP维护该区域，一份只读的次要副本常驻在这台服务器上”。选择该选项可以将计算机设置为辅助DNS服务器，单击“下一步”按钮，如图10-55所示。图10-55主服务器位置向导页面

(3)打开“区域名称”向导页，在“区域名称”编辑框中键入和主要区域完全一致的域名，单击“下一步”按钮。如图10-56所示。图10-56区域名称页面

(4)在打开的“主DNS服务器”向导页中键入主DNS服务器的IP地址，以便使辅助DNS服务器从主DNS服务器中复制数据，并依次单击“添加→下一步”按钮，如图10-57所示。图10-57主DNS服务器向导页面

(5)打开“转发器”向导页，设置本地ISP提供的DNS服务器IP地址，并单击“下一步”按钮，如图10-58所示。图10-58配置转发器页面

(6)最后打开“正在完成新建区域向导”向导页，确认设置结果准确无误后单击“完成”按钮完成创建过程。

2．区域传输为了保证DNS数据相同，所有服务器必须进行数据同步，辅助域名服务器从主域名服务器获得区域副本，这个过程称为区域传输。区域传输有两种方式：完全区域传输和增量区域传输。10.7.5DNS与WINS的集成通过检查WINS管理的NetBIOS命名空间，DNS服务器可以使用WindowsInternet名称服务(WINS)服务器查找域名系统(DNS)域命名空间中找不到的名称。若要使用WINS查找集成，则可以使用两种特殊的资源记录类型(WINS和WINS-R资源记录)，并将它们添加到区域中。使用WINS资源记录时，会将未能在区域中找到主机(A或AAAA)的DNS查询转发到WINS资源记录中配置的WINS服务器。对于反向查找区域，可采用WINS-R资源记录，并使用它来解析反向域中无应答的反向查询。10.8IIS的设置与管理

10.8.1IIS概述

IIS是InternetInformationServer的缩写，它是微软公司主推的服务器，其最新版本是WindowsServer2003里面包含的IIS6.0，IIS与WindowsNTServer完全集成在一起，因而用户能够利用WindowsNTServer和NTFS(NTFileSystem，NT的文件系统)内置的安全特性，建立强大、灵活而安全的Internet和Intranet站点。

1．IIS6.0的两种操作模式

IIS6.0在两种不同的操作模式下运行，它们是：工作进程隔离模式和IIS5.0隔离模式。这两种模式都要依赖于HTTP.sys作为超文本传输协议(HTTP)侦听程序，然而，它们内部的工作原理是截然不同的。

2．IIS6.0的重要特性

IIS6.0相比IIS5.0有了重大的提高和改进，具有很多优秀的特性：

(1)应用程序池：IIS6.0可以将单个的Web应用程序或多个站点分隔到一个独立的进程(称为应用程序池)。

(2) IIS6.0还提供状态监视功能以发现、恢复和防止Web应用程序故障。

(3)集成的 .NET框架(DOTNET)。Microsoft.NET框架是用于生成、部署和运行Web应用程序、智能客户应用程序和XMLWeb服务的Microsoft.NET连接的软件和技术的编程模型，这些应用程序和服务使用标准协议(例如SOAP、XML和HTTP)在网络上以编程的方式公开它们的功能。

(4)连接并发数、网络流量等监控。这样可以使不同网站完全独立开，不会因为某一个网站的问题而影响到其他网站。

(5) IIS6.0提供了更好的安全性。通过将运行用户和系统用户分离的方式，IIS服务运行权限和Web应用程序权限分开，保证Web应用的足够安全。10.8.2安装IIS安装IIS的步骤如下：运行“控制面板”中的“添加或删除程序”，选择“添加/删除Windows组件”，选择“应用程序服务器”→“详细信息”，出现“应用程序服务器”对话框，如图10-59所示，选择“Internet信息服务(IIS)”复选框，单击“详细信息”按钮，出现“Internet信息服务(IIS)”对话框，如图10-60所示。图10-59应用程序服务器组件

图10-60Internet信息服务对话框

10.8.3IIS的启动安装好IIS后，接着配置Web服务器，具体做法为：

(1)在“开始”菜单中选择“管理工具”→“Internet信息服务(IIS)管理器”；

(2)在“Internet信息服务(IIS)管理器”中双击“本地电脑”；

(3)右击“网站”，在弹出菜单中选择“新建”→“网站”，打开“网站创建向导”；

(4)依次填写“网站描述”、“IP地址”、“端口号”、“路径”和“网站访问权限”等；

(5)为了便于访问还应配置默认文档(Index.asp、Index.htm)。在Internet信息服务的工具栏中提供有启动与停止服务的功能，单击可启动IIS服务器。10.8.4建立Web服务器

1．简述

WorldWideWeb(也称Web、WWW或万维网)是Internet上集文本、声音、动画、视频等多种媒体信息于一身的信息服务系统，整个系统由Web服务器、浏览器(Browser)及通信协议三部分组成。

WWW采用超文本传输协议HTTP(HyperTextTransferProtocol)，实现文本、图形、图像、视频等多种媒体分布式存储与应用。

2．建立Web服务器

(1)网站基本配置。在“默认网站”的右键菜单中选择“属性”进入“默认网站属性”窗口，在“网站”选项卡上的“描述”里可以为网站取一个标示名称。

(2)网站性能配置。进入“性能”选项卡，在这里可以对网站访问的带宽和连接数进行限定，以更好地控制站点的通信量。

(3)网站的安全性配置。为了保证Web网站和服务器的运行安全，可以在“目录安全性”选项卡上为网站进行“身份验证和访问控制”、“IP地址和域名限制”的设置。10.8.5Web站点的管理和虚拟目录

1．设置Web站点启动“管理工具”中的IIS管理控制台，如图10-61所示。图10-61IIS管理控制台页面使用IIS的默认站点，将制作好的主页文件(html文件)复制到Web服务器的\Inetpub\wwwroot目录下。将主页文件的名称改为Default.htm，则缺省文件名时，浏览器自动浏览该文件。打开本机或客户机浏览器，在地址栏中输入此服务器的IP地址或主机的FQDN名字(DNS服务器中有该主机的A记录)，就可以浏览站点，测试Web服务器是否安装成功、WWW服务是否运行正常。

2．添加新的Web站点打开“Internet信息服务(IIS)管理器”管理控制台，右击“网站”，在弹出菜单中选择“新建”→“网站”选项，出现“网站创建向导”对话框，单击“下一步”继续，如图10-62所示。图10-62设置网站IP地址和端口对话框在“网站说明”文本框中输入说明文字，单击“下一步”继续，出现设置IP地址和端口对话框，输入新建Web站点的IP地址和TCP端口地址，如图10-63和图10-64所示。图10-63确定网站主目录路径

图10-64设置网站访问权限

3．Web站点的管理

1)“网站”选项卡

描述：在文本框中输入对该站点的说明文字，用它表示站点名称，这个名称会出现在IIS的树状目录中，通过它来识别站点，如图10-65所示。图10-65Web站点属性对话框

IP地址：设置此站点使用的IP地址，如果构架此站点的计算机中设置了多个IP地址，可以指定Web服务IP地址，若不指定，可以使用多个IP地址访问该Web站点。

TCP端口：默认情况下Web缺省连接端口为80。如果设置了其他端口如8080，则用户在浏览该站点时，必须输入端口号，如。

2)“主目录”选项卡“主目录”选项卡用来设置网站所提供的内容来自何处，内容的访问权限以及应用程序在此站点的执行许可。网站的内容包含各种供用户浏览的文件，例如HTML文件、ASP程序文件等，这些数据必须指定一个目录来存放，如图10-66所示。图10-66“主目录”选项卡

主目录位置三种选择：

此计算机上的目录：表示站点内容来自本地计算机；

另一计算机上的共享：站点的数据可以在局域网上其他计算机中的共享位置，注意要在网络目录文本框中输入路径，并单击“连接为”按钮设置有权访问此资源的域用户帐号和密码；

重定向到URL(U)：表示将连接请求重新定向到别的网络资源，如某个文件、目录、虚拟目录或其他站点等。

3)“性能”选项卡

带宽限制：如果计算机上设置了多个服务，如WWW、FTP、E-mail等，有必要根据实际需要，限制每个站点可以使用的带宽。

网站连接：“不受限制”表示允许同时发生的连接数不受限制；“连接限制为”表示限制同时连接到该站点的连接数，在对话框中键入允许的最大连接数。

4)“文档”选项卡启动默认内容文档：默认文档可以是HTML文件或ASP文件，当用户通过浏览器连接至Web站点时，若未指定要浏览哪一个文件，则Web服务器会自动传送该站点的默认文档供用户浏览。

5)“目录安全性”选项卡在“目录安全性”选项卡中，选择“身份验证和访问控制”中的“编辑”按钮，该对话框中可以设置启用匿名访问，或设置匿名访问使用的用户名和密码。

IP地址和域名控制：设定客户访问FTP站点的范围，其方式为授权访问和拒绝访问，如图10-67所示。图10-67IP地址和域名控制界面

授权访问：开放访问此站点的权限给所有用户，并可以在“下列除外”列表中加入受限制的用户IP地址。

拒绝访问：不开放访问此站点的权限，默认所有人不能访问该站点，在“下列除外”列表中加入允许访问站点的用户IP地址，使它们具有访问权限。

6)“HTTP头”选项卡在“HTTP头”选项卡上，如果选择了“启用内容过期”选项，便可进一步设置此站点内容过期的时间，当用户浏览此站点时，浏览器会对比当前日期和过期日期，来决定显示硬盘中的网页暂存文件，或是向服务器要求更新网页。

4．创建虚拟目录虚拟目录对应于服务器上的一个物理目录。当要发布不在站点主目录中的内容时，就可以使用虚拟目录。通过使用虚拟目录，可以对站点进行组织，并且可以简化URL。虚拟目录的创建方式有两种：使用IIS管理器创建虚拟目录和使用资源管理器创建虚拟目录。

1)使用IIS管理器创建虚拟目录操作步骤如下：

(1)打开“Internet信息服务(IIS)管理器”窗口，选择要添加虚拟目录的站点，右击该站点名称，在弹出的快捷菜单中选择“新建”命令，在弹出的级联菜单中选择“虚拟目录”命令，如图10-68所示。图10-68添加虚拟目录页面

(2)弹出“虚拟目录创建向导”对话框，如图10-69所示，单击“下一步”按钮。图10-69虚拟目录创建向导

(3)弹出“虚拟目录别名”对话框，如图10-70所示，指定虚拟目录别名，别名用于浏览者访问，尽量简单明了，单击“下一步”按钮。图10-70指定目录别名页面

(4)弹出“网站内容目录”对话框，如图10-71所示，在“路径”文本框中输入真实物理路径，或使用“浏览”按钮进行选择，然后单击“下一步”按钮。图10-71网站内容目录页面

(5)弹出“虚拟目录访问权限”对话框，如图10-72所示，设置用户对该目录具有的权限，然后单击“下一步”按钮。图10-72设置权限目录(6)向导提示虚拟目录创建完成，如图10-73所示，单击“完成”按钮完成创建。图10-73完成向导页面虚拟目录安装完成后，返回“Internet信息服务管理器”窗口，在左侧窗格中可以看到虚拟目录的图标为一个小齿轮，如图10-74所示。图10-74Internet信息服务管理窗口

2)使用资源管理器创建虚拟目录操作步骤如下：

(1)打开Windows资源管理器，找到要设置为虚拟目录的物理目录，右击该目录名，在快捷菜单中选择“属性”命令，选择“属性”对话框中的“Web共享”选项卡，如图10-75所示。在“共享位置”下拉列表中，指定要添加到的目标站点。图10-75共享位置页面

(2)选中“共享文件夹”，弹出“编辑别名”对话框，如图10-76所示。设置虚拟目录的别名、访问权限和应用程序权限。设置完成后单击“确定”按钮，可以将该目录作为虚拟目录添加到指定站点中。图10-76编辑别名对话框10.8.6FTP服务

FTP(FileTransferProtocol)是文件传输协议，FTP服务是指使用文件传输协议进行通信服务，由FTP服务器与FTP客户端构成。客户端使用FTP命令，将文件上传到服务器或从服务器下载文件。

FTP系统是一个通过Internet传送文件的系统。FTP客户程序必须与远程的FTP服务器建立连接并登录后，才能进行文件的传输。大多数站点提供匿名(Anonymous)FTP服务。匿名FTP服务器建立连接时，用户名一般是anonymous，口令是任意字符串，常用电子邮件地址作为口令。

FTP基于客户/服务器模式，由客户软件、服务器软件和FTP通信协议三部分组成，如图10-77所示。图10-77FTP站点页面

1．设置IIS默认的FTP站点建立FTP站点最快的方法就是直接利用IIS默认建立的FTP站点。下载文件分门别类地放在该站点默认的FTP根目录\InterPub\ftproot下。

2．添加及删除站点

IIS允许在一台计算机上同时构架多个FTP站点(以不同端口区别)，添加站点时，在IIS管理服务目录中选取“FTP站点”，执行菜单“操作”→“新建”→“FTP站点”，运行FTP安装向导。安装向导要求输入新站点的IP地址、TCP端口、存放文件的主目录路径，并设置访问权限。删除FTP站点时，选取要删除的站点，再执行“删除”命令即可。一个站点若被删除，只是该站点的设置被删除，站点对应目录下的文件仍然存在，不会被删除。10.8.7NNTP服务器

NNTP(NetworkNewsTransferProtocol)是网络新闻传输协议。早期(WWW出现之前)的Internet上，新闻组是流行的信息交换方式，也是Internet提供的主要服务之一。

1．设置NNTP服务器相对于Web服务器和FTP服务器而言，NNTP服务器的创建和设置是相当简单的。创建和管理NNTP的工作大部分是在IIS管理控制台(MMC)中完成的，也可以采用HTML形式的ISM进行远程管理。

2．创建NNTP服务器一台计算机上能实现多个NNTP站点，这就是NNTP虚拟服务器。虚拟服务器可以采用IP地址和TCP端口号的方式进行惟一性区分。在IIS中创建NNTP虚拟服务器的方法如下：

(1)打开IIS管理控制界面，展开管理控制树，右击计算机图标，在弹出菜单中单击“新建”，单击“nntp虚拟服务器”，打开新建NNTP虚拟服务器向导。

(2)如图10-78所示，在新建NNTP虚拟服务器向导中输入虚拟服务器描述信息，该信息用于在IIS内部标识NNTP虚拟服务器，而非服务器域名，单击“下一步”。图10-78新建NNTP虚拟服务器向导界面

(3)指定用于此虚拟服务器的IP地址和TCP端口号，单击“下一步”。

(4)在选择内部文件路径端口号中选择指定用于存放当前虚拟服务器内部工作文件的目录，例如，默认NNTP虚拟服务器的内部文件目录为inetpub\nntpfile。注意，仅能指定NTFS分区上的目录。单击“下一步”继续。

(5)如图10-79所示，选择用于保存新闻内容的存储媒体，即“文件系统”或“远程系统”。前者将文件保存在本地磁盘；后者则保存到远程计算机。单击“下一步”继续。

(6)指定新闻存储路径，单击“完成”。图10-79选择存储媒体界面10.8.8SMTP服务器除了使用专门的邮件服务器软件如ExchangeServer实现邮件服务器之外，WindowsServer2003内置了一个简单并与Windows操作系统密切联系的邮件内送服务器，可以安装和配置SMTP服务和POP3服务来实现简单的邮件服务器功能。

SMTP服务是使用SMTP协议将电子邮件从发件人路由到收件人的电子邮件传输系统。POP3服务是使用POP3协议将电子邮件从邮件服务器下载到用户本地计算机上的电子邮件检索系统。默认安装中没有安装SMTP和POP3服务，要安装WindowsServer2003的邮件服务，可以遵循以下步骤进行：

(1)在开始菜单的管理工具级联菜单中选择“配置您的服务器向导”。打开“配置您的服务器向导”对话框。

(2)与安装IIS步骤相同，直到“服务器角色”对话框，如图10-80所示。在“配置您的服务器向导”中选择邮件服务器(POP3，SMTP)，在打开的对