《计算机网络管理》课件第7章

第七章Windows网络管理7.1IP地址和路由器配置7.2动态主机配置协议7.3名字解析服务7.4域名服务器7.5终端服务7.6远程管理7.7WindowsSNMP服务7.1IP地址和路由器配置7.1.1动态IP地址为了简化网络管理工作，通常在大型网络中采用动态地址配置方式。动态地址是客户端从DHCP服务器获取的IP地址。 客户端配置动态地址的方法如图7.1所示。WindowsServer2003默认“自动获得IP地址”。在配置动态地址的“Internet协议(TCP/IP)属性”窗口中有一个“备用配置”选项(见图7.2)，这是在客户机找不到DHCP服务器而无法获得动态地址时的备用功能。如果选择“用户配置”标签，则可以指定一个备用的静态地址，使客户机在一个固定地址的网络中运行。图7.1配置动态IP地址图7.2备用配置窗口

自动专用IP地址(AutomaticPrivateIPAddress，APIPA)是当客户机无法从DHCP服务器中获得IP地址时自动配置的地址。IANA(InternetAssignedNumbersAuthority)为APIPA保留了一个B类地址块～55。当网络中的DHCP服务器失效，或者由于网络故障而找不到DHCP服务器时，这个功能开始生效，使得客户机可以在一个小型局域网中运行，与其他自动或手工获得APIPA地址的计算机进行通信。下面是使用APIPA的几种情况。

(1)以前没有IP地址，也找不到DHCP服务器。当配置为动态地址的计算机启动时，它至少要广播3次Discover报文。如果没有得到DHCP服务器的响应，则计算机在网络/16中寻找一个没有冲突的APIPA地址，并显示一条连接错误信息。随后每三分钟发送一次discover报文，再次试图与DHCP服务器进行通信。

(2)以前获得了动态IP地址，但找不到DHCP服务器。如果计算机找不到DHCP服务器，则试图与默认网关进行联系。如果得到了默认网关的应答，则计算机继续使用以前租用的IP地址；如果没有收到默认网关的响应，则计算机自动配置一个APIPA地址，并发出连接错误信息。随后每三分钟发出一个Discover报文，继续寻找DHCP服务器。一旦与DHCP服务器取得联系，则显示信息，说明重新建立了网络连接。

(3)租用期到限，但找不到DHCP服务器。在租用的IP地址到期时，计算机试图与DHCP服务器重新建立联系。如果不能发现DHCP服务器，则计算机自行配置一个APIPA地址，并发送错误报文。随后每三分钟广播一次Discover报文。待到与DHCP服务器建立联系后，发送重新建立连接的通知。

APIPA寻址功能是默认开启的。要知道计算机是否开启了APIPA功能，可在DOS窗口中键入ipconfig/all命令，如果参数AutoconfigurationEnabled的值为Yes，则APIPA功能是开启的，如图7.3所示。图7.3APIPA功能开启如果要关闭APIPA寻址功能，可以采取以下步骤：

(1)以系统管理员身份登录，打开注册表编辑器(RegistryEditor)；

(2)找到下面的注册键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\Tcpip\Parameters\Interfaces\adapter_name。

(3)在编辑菜单中选择“新建”命令，单击“DWORD值”，输入IPAutoconfigurationEnabled；

(4)设置其值为0x00000000；

(5)关闭注册表编辑器。7.1.2IP路由表在DOS窗口中键入routeprint或netstat–r命令可以显示WindowsServer2003的路由表，如图7.4所示。其中的路由类型有5种，见表7.1。当收到一个IP数据包时，路由器将其中的目标地址与路由表项进行比较，选择适当的路由，将IP数据包转发出去。查找路由表的过程如下：

(1)查找主机路由。如果找到匹配的主机路由，就把数据包转发到相应的接口(Interface)上；如果找不到匹配的主机路由，则转(2)。

(2)查找网络路由。如果找到多个匹配的网络地址，则按照“最长匹配”的原则(在网络掩码列有最多的“1”)进行转发；如果有多个最长匹配的网络地址，则选择其中跃点数(Metric)最小的选项进行转发；如果找不到匹配的网络地址，则转(3)。

(3)查找默认路由，把数据包转发到默认网关。如果没有默认路由，则转(4)。

(4)系统产生一个错误消息。如果是路由器，则丢弃数据包，向终端发送ICMP“目标不可到达”报文；如果是源主机，则向上层应用程序发送错误消息。图7.4路由表图7.5删除路由表项图7.6增添路由表项7.1.3路由和远程访问服务器

WindowsServer2003的“路由和远程访问服务器”可以在企业网中连接不同的LAN网段，可以将分支机构连接到企业网络中，也可以使远程计算机能够访问企业的网络资源。可以按以下步骤配置路由和远程访问服务器：

(1)在“开始”菜单中找到管理工具，选择“管理您的服务器”。

(2)在“管理您的服务器”工具中单击“增添或删除角色”。

(3)在“配置您的服务器向导”页面中单击“下一步”。

(4)在“服务器角色”页面中选择“远程访问/VPN服务器”，单击“下一步”。这时出现“路由和远程访问服务器安装向导”页面，其中有5个选项：●远程访问(拨号或VPN)；●网络地址转换(NAT)；●虚拟专用网络访问和NAT；●两个专用网络之间的安全连接；●自定义配置。可以根据预订的配置方案选择相应的选项。例如选择了“自定义配置”，则出现5个选项：● VPN访问；●拨号访问；●请求拨号连接；● NAT和基本防火墙；● LAN路由。如果选择了“LAN路由”，单击“下一步”，再单击“完成”，则远程访问/VPN服务器就开始运行了。在远程访问/VPN服务器启用以后就可以为其增添路由协议了。在“开始”菜单中选择“管理工具”，选择“路由和远程访问”，则出现如图7.7所示的控制台窗口。图7.7“路由和远程访问”窗口右击“常规”，选择“新增路由协议”，在新路由协议窗口中出现5个选项：● DHCP中继代理程序；● IGMP路由器以及代理服务器；● NAT/基本防火墙；●开放式最短路径优先(OSPF)；●用于Internet协议的RIP版本2。可以选择合适的协议，然后单击“确定”按钮。为了使路由器能够正常工作，必须把路由协议添加到接口上，操作步骤如下：

(1)在“路由和远程访问”控制台中右击要添加的协议，然后单击“新增接口”按钮。

(2)在“新增接口”对话框中选择适当的接口，单击“确定”按钮。

(3)出现协议属性对话框，完成协议的配置。7.1.4数据包筛选器可以为每个接口指定数据包筛选器，使其允许或阻止某些类型的数据包通过路由和远程访问服务器。这样做的目的有二：一是防止未被授权的用户访问网络资源；二是优化网络传输性能。例如，若允许Internet用户通过路由和远程访问服务器访问内部网络上的Web服务器，则可以配置一个入站筛选器，仅允许TCP端口80的数据包访问Web服务器的IP地址；若要限制内部网络用户只能访问Internet上的Web站点，则可以创建一个出站筛选器，只允许指向TCP端口80的数据包流出，其他数据包不允许通过路由和远程访问服务器。要配置数据包筛选器，可以在“路由和远程访问”控制台右边的详细资料窗口中右击要添加筛选器的接口，然后选定“属性”，则出现图7.8所示的对话框。在“常规”选项卡中单击“入站筛选器”或“出站筛选器”，然后单击“新建”按钮，则出现“添加IP筛选器”对话框，如图7.9所示。图7.8“本地连接属性”对话框图7.9“添加IP筛选器”对话框在“添加IP筛选器”对话框中可以指定源地址、目标地址和协议。如果指定TCP或UDP，还需指定端口号。若没有指定端口号，则默认端口号为0，表示任何端口。 所谓TCP(已建立的)(参见图7.9)，是指对先前建立的TCP连接上的数据包进行过滤。如果指定ICMP协议，则还需指定类型和代码(即选定ICMP报文类型)；如果没有指定类型和代码，则默认为255，指所有ICMP报文。如果选择“任何”协议，则表示所有上层协议；如果选择“其他”协议，则还需选定“协议号”。Windows系统兼容的协议列表包含在文件%Systemroot%\System32\Drivers\Etc\Protocol中，如图7.10所示。如果要求加入新的协议，可以重新编辑这个文件。图7.10协议列表图7.11入站筛选器7.1.5网络监视器

Microsoft的网络监视器是一种协议分析器，它是WindowsServer2003中的系统管理工具，其作用是：●检查客户端到服务器的连接；●查找发出过多请求的计算机；●从网络中捕获数据包；●筛选数据包；●查找网络中未经授权的用户。图7.12网络监视器使用网络监视器可以收集网络通信的有关信息，控制网络平稳地运行。网络监视器提供了计算机网络适配器的通信情况，通过捕获和分析这些信息，可以诊断和解决许多网络问题。网络监视器复制帧的过程称为捕获。可以设置一个筛选程序来捕获帧的子集。还可以指定一组条件来触发某个事件，使网络监视器自动启动或停止捕获过程。例如，可以使网络监视器在检测到某种特定情况时自动启动某个可执行文件。网络监视器可以将捕获的原始数据转换为逻辑帧结构，以便用户查看。网络监视器的“捕获”窗口显示帧的统计数据，分为以下四个窗格。●图表：本地计算机发出/接收的帧的图形化表示；●会话统计：当前各个会话的相关统计信息；●机器统计：统计运行网络监视器的计算机发出/接收的帧；●统计总数：本地计算机发出/接收的帧的摘要统计。 7.2动态主机配置协议7.2.1DHCP协议原理

DHCP使用了BOOTP协议的报文格式。BOOTP只有Request(请求)和Replay(响应)两种报文，DHCP在此基础上定义了8种语义不同的报文，实现了更加复杂的交互过程。DHCP的报文格式如图7.13所示。图7.13DHCP报文格式对DHCP报文中的字段解释如下：● op操作码，指明报文类型，1 = BOOTRequest，2 = BOOTReplay● htype硬件地址类型，1 = Ethernet● hlen硬件地址长度● hops跳数，由客户端设置为0● xid事务标识(TransactionID)，由客户机指定的一个随机数，用于识别请求报文对应的响应报文● secs客户端获取IP地址消耗的时间(秒)● flags标志字段的最左位设置为1(表示广播)，其余位为0(保留未用)● ciaddr客户端IP地址● yiaddr你的IP地址● siaddr服务器IP地址● giaddr中继代理的IP地址● chaddr客户端硬件地址● sname服务器名(任选)● file

Boot文件名● options可变长的任选参数字段，可扩展，主要内容有：requestedIPaddress、IPaddressleasetime、use'file'/'sname'fields、DHCPmessagetype、parameterrequestlist、message

clientidentifier、vendorclassidentifier、serveridentifier、maximummessagesize

DHCP使用UDP作为传输协议，服务器端口是67，客户机端口是68。客户机在没有分配地址之前，把自己的IP地址设置为，采用广播方式向服务器发送报文，即目标IP地址设置为55。客户机和服务器进行网络地址分配和释放的交互过程如下：

(1)客户机在本地子网中广播一个DHCPDISCOVER报文，其中包含了想要获取的网络地址和租约期(任选项)，BOOTP中继代理可以把这个报文转发到不在同一子网中的DHCP服务器。图7.14给出了一个客户机发出的DHCPDISCOVER报文的主要内容。图7.14DHCPDISCOVER报文

(2)收到广播包的每一个服务器都以DHCPOFFER报文响应之，其中的yiaddr字段包含了可提供的网络地址。服务器并不保留这个地址，只是在交互过程的最后阶段才检查被分配的网络地址是否已经在使用。

(3)客户机可能接收到一个或多个服务器的响应报文。客户机只选择其中一个服务器的配置参数，然后广播DHCPREQUEST报文，其中的serveridentifier字段指示了它选择的服务器，requestedIPaddress选项被设置为DHCPOFFER报文中yiaddr字段的值。DHCPREQUEST应该被广播到所有接收过DHCPDISCOVER的服务器。

(4)没有被选择的服务器把接收到的DHCPREQUEST当作一个拒绝通知。被选择的服务器则发送DHCPACK报文，其中包含了分配给客户机的配置参数，clientidentifier(或chaddr)字段和被授予的网络地址构成了客户机租约期的专用标识。如果被选择的服务器不能满足DHCPREQUEST提出的请求(例如请求的地址已经被分配)，则以DHCPNAK响应之。

(5)客户机接收到了DHCPACK报文后就进行实际的网络配置。如果客户机发现得到的网络地址已经在用，则发送DHCPDECLINE报文，重启配置过程。在重新配置之前要等待10秒钟，以避免由于循环而引起过多的网络流量。如果客户机收到DHCPNAK报文，也要重启配置过程。

(6)客户机如果要废弃租约，则向服务器发送DHCPRELEASE报文。客户机用clientidentifier(或chaddr)字段和DHCPRELEASE报文中的网络地址来标识要废弃的租约。图7.15是客户机与服务器交互过程的图形表示。

DHCP的租约周期是IP地址的有效期。租约周期可长可短，取决于用户的上网环境和工作性质。当客户机重新启动或租约期达到50%时，客户机向提供租约的服务器发送DHCPREQUEST报文，提出更新租约的请求。如果DHCP服务器接收到更新请求，它就给客户机发送DHCPACK报文，其中包含新租约的持续时间和需要更新的参数。如果客户机续订租约失败，则在租约期到达87.5%时客户机进入重新申请租约的状态，它向网络上所有服务器广播DHCPDISCOVER报文，以便更新现有的地址租约。图7.15DHCP客户机与服务器的交互过程

DHCP的作用域是服务器可分配的IP地址范围。DHCP服务器应该至少配置一个作用域，各作用域的地址范围不能重叠。另外还有一些地址是保留的，保留的IP地址用于提供特定服务的计算机，必须把保留的IP地址与客户机的MAC地址进行绑定。如果DHCP服务器的硬件配置较低，地址缓冲池不能太大，可提供的IP地址就较少，要让较多的客户机轮换使用较少的IP地址，则必须使用较短的租约期。7.2.2DHCP服务器的安装和配置

1.安装DHCP服务器

(1)在控制模板中选择“管理工具”，右键单击“管理您的服务器”，然后选择“添加或删除角色”。

(2)在“配置您的服务器向导”中，选择“DHCP服务器”，单击“下一步”按钮。这时可能要插入系统光盘，在Windows组件向导中选择“网络服务”，打开后选择“动态主机配置协议”，单击“下一步”按钮。

2.在DHCP控制台面板中配置DHCP服务器的作用域和选项

(1)在“操作”菜单中选择“新建作用域”，在“新建作用域向导”中单击“下一步”按钮。

(2)填写作用域的“名称”和“描述”。

(3)输入作用域的“起始IP地址”和“结束IP地址”，指定子网掩码长度。

(4)添加排除的“起始IP地址”和“结束IP地址”。

(5)在租约期限页面中选择天、小时和分钟。

(6)进入“配置DHCP选项”页面。

(7)输入路由器(默认网关)的IP地址。

(8)进入域名和DNS服务器页面，输入“父域”、DNS“服务器名”及其“IP地址”。

3.激活作用域在DHCP控制面板中，右击作用域，选择“激活”。 7.3名字解析服务7.3.1名字解析服务概述名字解析服务就是通过软件将计算机的名字转换为IP地址的过程。Windows中使用两类名字：主机名和NetBIOS名字。主机名是按照域名服务(DNS)规则设定的主机标识，包括计算机名和后缀(suffix)两部分。例如server.trainnig.trader.msft是一个主机名，其中server是计算机名，其余部分是后缀。所谓完全合格的域名(FullyQualifiedDomainName，FQDM)，是指在DNS名称空间中已经声明的名称标识，表明了它在域名树中的绝对位置。通过FQDN可以找到全世界任何网络中的资源。DNS名字解析通过DNS服务器实现。可以把多个主机名映射到同一IP地址，也可以把一个主机名映射到多个IP地址。在后一种情况下，当进行名字解析时，由一个主机名可以得到对应的多个IP地址。

NetBIOS是IBM和Microsoft创建的网络协议，运行在网络层和应用层之间，实现名字注册、名字更新、名字解析，以及建立/终止会话等功能。NetBIOS是一种进程间的通信机制，也是应用编程接口(API)，它使得分布式应用软件能够进行远程通信，彼此访问对方的网络资源。

NetBIOS名字是NetBIOS服务使用的网络标识， 由16个字符组成， 前15个字符以ASCII编码表示，最后一个字符以十六进制符号表示，代表提供的服务。NetBIOS名字是一种扁平的名字，没有任何层次结构，因而无法区分不同网络中具有相同名字的两台计算机。Windows2000以后的计算机都使用DNS域名来实现大多数功能，但是如果网络中包含运行较早版本Windows的计算机，则必须使用NetBIOS名字进行通信。可以用hostname实用程序查看主机名，也可以用ipconfig/all命令查看主机名和DNS后缀，见图7.16。命令nbtstat–n显示在系统中注册的NetBIOS名字；命令nbtstat–c则显示NetBIOS缓存中的内容，包括网络中其他主机的NetBIOS名字与IP地址的映射，参见图7.17。图7.16主机名和DNS后缀图7.17NetBIOS名字缓存7.3.2NetBIOS名字解析由NetBIOS名字求取对应的IP地址的过程叫做NetBIOS名字解析。在TCP/IP网络中，使用协议NetBT(NetBIOSoverTCP/IP)实现NetBIOS会话。NetBT可以广播名字解析请求以获取对方主机的响应，也可以在NBNS(NetBIOSNameServer)中查找需要的IP地址映射，其工作方式取决于网络结点的类型。NetBT划分的网络设备类型表示在表7.2中。

NetBIOS名字解析的过程如下：

(1)当应用程序发出NetBIOS名字解析请求时，首先在NetBIOS缓存中搜索对应的IP地址。

(2)如果NetBIOS缓存中没有需要的地址映射，则查询NBNS。

(3)如果没有找到对应的IP地址，则广播NetBIOS名字解析请求，并接收对方的响应。

(4)如果没有得到需要的响应，则搜索本地的Lmhosts文件。

(5)如果还没有得到需要的IP地址，则发出错误信息。图7.18Lmhosts文件7.2.3WINS服务器在Windows系统中，通常用于NetBIOS名字解析的NBNS是WINS(WindowsInternetNameService)服务器。WINS服务器提供了一个集中式名字数据库，通过专用的协议进行名字解析。WINS服务器不需要Lmhosts文件的辅助，它可以跨路由器工作，使用单播的方式传递名字解析请求和响应，并且能与DHCP服务器取得同步，跟踪动态分配的IP地址。如果配置了WINS服务器，每个客户端启动时都要向WINS服务器注册它的NetBIOS名字。由于客户端的注册是临时的，所以还要定期进行更新，否则租约就会过期。当客户端关机时，WINS数据库中的记录就作废了。通过WINS进行NetBIOS名字解析的过程如下：

(1)如果客户端不能从NetBIOS缓存中解析名字，则向主WINS服务器发出名字解析请求；如果没有响应，还会再发送两次请求。

(2)如果主WINS服务器没有给出响应，则客户端向机器中配置的其他WINS服务器发出名字解析请求。

(3)如果所有的WINS服务器都没有能够进行名字解析，客户端就使用已配置的其他方法进行名字解析。7.3.4DNS主机名解析

DNS主机名解析的查找顺序是，先查找客户端解析程序缓存；如果没有成功，则向DNS服务器发出解析请求；如果还没有成功，则尝试使用NetBIOS名字解析方法取得结果。客户端解析程序缓存是内存中的一块区域，保存着最近被解析的主机名及其IP地址映射。可以用ipconfig/displaydns命令查看其中的内容，参见图7.19。由于解析程序缓存常驻内存中，所以比其他解析方法速度快。解析程序缓存把最近未能解析或无效的DNS名字存放在负缓存项(negativecacheentry)中，当客户端从DNS服务器接收到否定应答时，会添加这些项目。负缓存项要保存一段时间，这样它就不会再次被查询。通过刷新和重置缓存，可以去除负缓存项以及任何动态添加的项目。清除解析程序缓存的命令是ipconfig/flushdns。图7.19解析程序缓存图7.20hosts文件 7.4域 名 服 务 器7.4.1域名系统域名系统(DomainNameSystem，DNS)通过层次结构的分布式数据库建立了一致性的名字空间，用来定位网络资源。DNS最早的技术规范出现在1983年的RFC882和RFC883文档中，1987年发布的RFC1034和RFC1035文档对其进行了修订，此后又发布了一系列补充和扩展的技术规范。由于保存主机名的DNS数据库分布在多个服务器中，从而减少了任何一台服务器的负载。由于DNS数据库是分布式的，所以规模大小不受限制，性能也不会因为服务器数量的增加而显著下降。

DNS的逻辑结构是一个分层的域名树，Internet网络信息中心(InternetNetworkInformationCenter，InterNIC)管理着域名树的根，称为根域。根域没有名称，用英文句号“.”表示，这是域名空间的最高级别。在DNS的名称中，有时在末尾附加一个“.”，就表示根域，但其经常是省略的。DNS服务器可以自动补上结尾的句号，也可以处理结尾带句号的域名。根域下面是顶级域(Top-LevelDomains，TLD)，分为国家顶级域(countrycodeTopLevelDomain，ccTLD)和通用顶级域(genericTopLevelDomain，gTLD)。国家顶级域名包含243个国家和地区代码，例如cn代表中国，uk代表英国等。最初的通用顶级域有7个，即com(商业公司)、net(网络服务)、org(组织协会)、gov(政府部门)、edu(教育机构)、mil(军事领域)和int(国际组织)。这些顶级域名原来主要供美国使用，随着Internet的发展，com、org和net成为全世界通用的顶级域名，就是所谓的“国际域名”，而edu、gov和mil则限于美国使用。负责互联网域名注册的服务商ICANN(InternetCorporationforAssignedNamesandNumbers)在2000年11月决定，从2001年开始使用新的国际顶级域名，共有7个：biz(商业机构)、info(网络公司)、name(个人网站)、pro(医生和律师等职业人员)、aero(航空运输业专用)、coop(商业合作社专用)和museum(博物馆专用)，其中前4个是非限制性域名，后3个限于专门的行业使用，受有关行业组织的管理。

2008年6月，ICANN在巴黎年会上通过了个性化域名方案，最早将于2009年开始会出现以公司名字为结尾的域名，例如ibm、hp、qq等。可以认为，这些域名的所有者在某种意义上就是一个域名注册机构，以后将会有无穷多的国际域名。顶级域下面是二级域，这是正式注册给组织和个人的唯一名称，例如中的micotsoft就是微软注册的域名。在二级域之下，组织机构还可以划分子域，使其各个分支部门都获得一个专用的名称标识，例如中的sales是微软销售部门的子域名称。划分子域的工作可以一直延续下去，直到满足组织机构的管理需要为止。但是标准规定，一个域名的长度通常不超过63个字符，最多不能超过255个字符。7.4.2域名服务器

1.区域

DNS域名树的一个连续部分被称为区域(zone)，图7-21显示出划分区域的例子，其中有3个区域：● ● ● 其中区域包含和两个相邻的子域。这里要区别两个不同的概念，通常说的“域”是DNS域名树中的一个结点，可以把域名树中相邻的一些结点的配置信息保存在一个文件中，这就是区域文件。所以域是名字空间的一部分，而“区域”是一个存储的概念，是存储空间的一部分。图7.21DNS的区域

2.资源记录同一个区域文件可以保存主、辅两份拷贝，这样做的目的主要是冗余容错。如果把主、辅两个文件分别保存在两个单独的服务器中，分别称为主服务器和辅助服务器，则这样做还可以起到负载分担的作用。区域文件是由资源记录(ResourceRecord)组成的文本文件。资源记录分为许多不同的类型，常用的有(参见表7.3)：

(1) SOA(StartOfAuthoritative)：开始授权记录，是区域文件的第一条记录，指明区域的主服务器，指明区域管理员的邮件地址，并给出区域复制的有关信息，包括：●序列号。当区域文件改变时，序列号要增加，辅助服务器把自己的序列号与主服务器的序列号比较，以确定是否需要更新数据。●刷新间隔，即辅助服务器更新数据的时间间隔(秒)。●重试间隔。当辅助服务器不能连接主服务器进行更新时，必须每隔一定时间间隔(秒)重新试图连接。●有效期。如果辅助服务器不能更新自己的区域文件，超过有效期(秒)后就不再提供查询服务。●生命期(TTL)：资源记录在其他名字服务器缓存中保存的最少有效时间(秒)。

(2) A(Address)：地址记录表示主机名到IP地址的映射。

(3) PTR(Pointer)：指针记录是IP地址到主机名的映射。

(4) NS(NameServer)：给出区域的授权服务器。

(5) MX(MaileXchanger)：定义了区域的邮件服务器及其优先级(搜索顺序)。

(6) CNAME：为正式主机名(canonicalname)定义了一个别名(alias)。

3.区域的类型在WindowsServer2003中，区域分为以下3种类型。

(1)主区域：在名字服务器中，区域信息被存储在一个可写入的文本文件中。

(2)辅助区域：在名字服务器中，区域信息被存储在一个只读的文本文件中。

(3)存根区域，只包含3种记录(称粘连记录)：●关于一个区域的SOA记录；●该区域所有授权服务器的A记录；●该区域所有授权服务器的NS记录。在RFC1034和RFC1035提出的实现方案中，只有主区域和辅助区域，WindowsNT称其为标准区域(StandardZone)。一种典型的情况是，假设某公司部署了一个WindowsNT域，在网络中建立了两个名字服务器：一个包含主区域，称为主服务器(PrimaryServer)；另一个包含辅助区域，叫做辅助服务器(SecondaryServer)。当一个新的主机加入网络时，名字服务器必须更新它们的区域信息，使得用户可以通过DNS访问新的主机。这时网络管理员在主服务器中生成一个新的A记录，随之启动区域传输，使得辅助服务器从主服务器中复制数据，直到辅助服务器与主服务器的区域信息完全一致。在进行区域传输时，主服务器代表该区域的宿主服务器(Master)，而辅助服务器则是从属服务器(Slaver)。这种配置的主要问题是，如果主服务器出了故障，则资源记录就无法修改了。同时，由于所有网络资源配置的变化都必须通过唯一的主服务器进行修改，如果公司网络分布在几个不同的地理位置，则这样做是很不方便的。从Windows2000开始引入了活动目录(ActiveDirectory)，有关区域的资源记录可以存储在活动目录中，而不是文本文件中。这样做的优点是，可以利用活动目录复制来传递区域信息，并且允许在运行DNS的任何域控制器中添加或修改资源记录。换言之，所有与活动目录集成的域都是主区域，都包含了一个可写入的区域数据库拷贝。使用活动目录集成的区域也会出现一些问题。假设A公司有一部分业务与B公司联系密切，为了使A公司的用户能够访问B公司的内部资源，通常的做法是，由A公司的管理员在该公司的每个名字服务器中添加一个辅助区域，这些辅助区域都把B公司的名字服务器当作宿主服务器，通过区域传输获取B公司的区域信息。这样做会在两个公司之间产生大量的区域传输通信量，如果两个公司通过慢速的广域网(WAN)连接，则通信性能会受到很大影响。另外可能出现的问题是，如果B公司关闭了它的一个名字服务器而没有通知对方，那么在A公司名字服务器上运行的辅助区域就会失去宿主服务器，一旦它们的资源记录过期，A公司的客户就不能访问B公司的资源了。引入存根区域是以上方法的补充。存根区域就像辅助区域一样，从其他的名字服务器复制资源信息。存根区域也是只读的，所以管理员不能人工地添加、删除或者修改其中的资源记录。但是存根区域与辅助区域有两个重要差别。首先是存根区域只从宿主服务器中获取3种资源记录，无论公司的网络多么庞大，存根区域的信息量都是很小的，由存根区域传输引起的通信量也是很小的。其次是存根区域复制不像传统的DNS区域传输那样使用UDP协议，而是使用TCP协议传输比较大的(大于512字节)数据包。如果典型的DNS区域复制要传输大量UDP数据包的话，那么存根区域复制只需传输少量的数据包。尤其重要的是，存根区域可以与活动目录集成到一起，利用活动目录复制来传递资源记录，而通过活动目录复制来实现辅助区域传输在有些情况下是很难实现的。

4.域名查询

DNS服务器可以实现正反两个方向的查询。正向查询是检查地址记录(A)，把名字解析为IP地址；反向查询是检查指针记录(PTR)，把IP地址解析为主机名。每个DNS服务器中有一个高速缓存区(Cache)，每次查询出来的主机名及对应的IP地址都会记录到高速缓存区中。下一次查询时，服务器先查找高速缓存，以加速查询速度。如果高速缓存查询不成功，再向其他服务器发送查询请求。

DNS客户端都配置了一个或多个DNS服务器的地址，无论是静态或动态配置的，这些DNS服务器都是用户所在域的授权服务器，而用户主机则是该域的成员。当用户在浏览器地址栏键入一个域名时，客户端就可以向本地的DNS服务器发出查询请求。查询过程分为两种方式：●递归查询。当用户发出查询请求时，本地服务器要进行递归查询。这种查询方式要求服务器彻底地进行名字解析，并返回最后的结果——IP地址或错误信息。如果查询请求在本地服务器中不能完成，那么服务器就根据它的配置向域名树中的上级服务器进行查询，在最坏的情况下可能要查询到根服务器。每次查询返回的结果如果是其他名字服务器的IP地址，则本地服务器要把查询请求发送给这些服务器做进一步的查询。●迭代查询。服务器与服务器之间的查询采用迭代的方式进行，发出查询请求的服务器得到的响应可能不是目标的IP地址，而是其他服务器的引用(名字和地址)，那么本地服务器就要访问被引用的服务器，做进一步的查询。如此反复多次，每次都更接近目标的授权服务器，直至得到最后的结果——目标的IP地址或错误信息。

5.转发服务器

DNS服务器收到查询请求后，首先在自己的区域文件中查找，再在高速缓存中查找。如果查不到，可能是因为该服务器不是请求域的授权服务器，并且以前查询的缓存中没有需要的记录，这时DNS服务器必须向其他服务器发送请求。在Internet中，对本地网之外的DNS查询要通过广域网(WAN)进行通信，与远程服务器协同工作。DNS转发器由特定的名字服务器担任，它的作用就是负责处理基于WAN的DNS通信。图7.22画出了转发器的工作过程。首先是客户机向本地服务器进行递归查询，本地服务器查找不到需要的记录，则向转发器发出递归查询请求。转发器通过迭代查询得到需要的结果后，转发给本地DNS服务器，并返回客户机。图中提到的根提示(roothint)是存储在DNS服务器中的一种资源记录，指出了DNS根服务器的名字和地址。根提示用于解析Internet上的外部主机名。图7.22转发器工作过程

6.区域传输把一个区域的名字服务器分为主服务器和辅助服务器，可以实现冗余容错的功能。主、辅两个服务器都是该区域的授权服务器，都提供域名查询服务，这样还可以实现负载分担的功能。主、辅两个服务器必须进行区域传输和复制，随时保持区域信息的一致。如果网络中添加了一个新的辅助服务器，那么它要从主服务器中复制全部资源记录。对于网络中已有的辅助服务器，只是在主服务器的区域信息改变时才复制部分资源记录。前者叫做完全复制，使用AXFR(Allzonetransfer)协议，后者叫做渐增复制，使用IXFR(Incrementalzonetransfer)协议。AXFR和IXFR都是BIND中的协议(RFC1995)，用于区域复制。资源记录SOA中的序列号可以指示主、辅服务器中的区域信息是否一致。图7.23是一个区域传输的例子。区域传输过程总是从辅助服务器开始的，当主服务器收到辅助服务器的询问时，要根据资源记录改变的历史做出响应，以确定是否进行完全复制或渐增复制。具体的传输过程如下：

(1)新配置的辅助服务器向主服务器发送AXFR请求。

(2)主服务器以完全复制响应之。于是，区域资源信息被传输给辅助服务器，其中包括SOA记录中的序列号和刷新时间(通常设置为900秒，即15分钟)。

(3)当刷新时间间隔超过时，辅助服务器向主服务器发出SOA询问。

(4)主服务器返回的应答中包含了它的序列号。

(5)辅助服务器把得到的序列号与自己的序列号比较，如果两者相同，则不需要进行区域复制，但是要根据应答中得到的刷新时间重置自己的刷新时间。

(6)如果从主服务器得到的序列号大于自己的序列号，则要更新区域信息。辅助服务器发送IXFR请求，其中包含本地的序列号。

(7)如果主服务器支持渐增复制，并且保存着最近更新资源记录的历史信息，则以IXFR响应，并启动区域传输过程；如果主服务器不支持渐增复制，则以AXFR响应，并启动区域传输过程。图7.23区域传输

7. DNS通知基于Windows的DNS服务器支持DNS通知。RFC1996文档给出了主服务器向辅助服务器发送通知的技术规范。DNS通知是一种“推进”机制，使得辅助服务器能及时更新区域信息。DNS通知也是一种安全机制，只有被通知的辅助服务器才能进行区域复制，这样可以防止没有授权的服务器进行非法的区域复制。按照RFC1996技术规范，被通知的服务器的IP地址必须出现在主服务器的通知列表中，在DNS控制台，可以通过“通知对话框”添加被通知的目标服务器。图7.24给出了DNS通知的操作过程。图7.24DNS通知7.4.3DNS服务器的安装和配置安装DNS服务器与安装DHCP服务器一样，在“管理您的服务器”窗口中根据提示进行操作，最后在“配置您的服务器向导”窗口中单击“完成”，安装就结束了。在安装完成后，下一步就是根据网络环境来配置DNS服务器。所有的配置工作都可以通过DNS控制台进行。在“管理您的服务器”窗口中找到“DNS服务器”，单击“管理此DNS服务器”，就打开了DNS控制台窗口。在“操作”菜单上选择“配置DNS服务器”，根据“配置DNS服务器向导”中的提示可以创建正向查找区和反向查找区，还可以指定根提示和转发器，以及更新DNS缓存等。配置完成后，在%Systemroot%\System32\dns目录下可以看到高速缓存文件cache.dns，其中列出了有关通用顶级域的13个根服务器，如图7.25所示。如果要配置的DNS服务器只是作为内部网的根服务器，不需要这些缓冲的内容，则可以对cache.dns文件进行编辑，删除这些项目。图7.25cache.dns文件7.5终端服务7.5.1终端服务器的安装终端服务器的安装步骤如下：

(1)依次单击“开始”、“管理工具”、“配置您的服务器向导”。

(2)点击“下一步”按钮，显示“预备步骤”，提示调制解调器、网卡、电缆、外设以及有无WindowsServer2003安装盘等情况。

(3)点击“下一步”按钮，进行系统检测。检测完成后，出现“配置选项”对话框，选择“自定义配置”选项，如图7.26所示。图7.26“配置选项”页面

(4)点击“下一步”按钮，显示“服务器角色”页面，在列表中选择“终端服务器”，如图7.27所示。图7.27“服务器角色”页面

(5)单击“下一步”按钮，出现“选择总结”页面，显示了之前所作的选择。

(6)单击“下一步”按钮，开始安装终端服务器，显示重启计算机提示框，如图7.28所示。图7.28安装终端服务器提示框

(7)单击“确定”按钮，系统将所选择的角色添加到服务器，完成后自动重启计算机。安装完成后的终端服务器如图7.29所示。图7.29安装完成后的终端服务器7.5.2终端服务器的配置

1.用户权限的配置在使用终端服务器之前需进行一些设置，尤其是对客户端权限的设置。设置步骤如下：

(1)依次单击“开始”、“程序”、“管理工具”和“终端服务配置”，显示如图7.30所示的“终端服务配置”窗口。图7.30“终端服务配置”窗口

(2)单击“树”列表框中的“连接”选项，鼠标右击右侧列表框中的“RDP-Tcp”，选择“属性”选项，点击“权限”选项卡，该选项卡对管理员Administrator的访问权限进行了一定的限制。管理员可以有“完全控制”、“用户访问”以及“来宾访问”三种权限，通过选中或取消各项的复选框来确定相应的权限，如图7.31所示。

(3)单击“高级”按钮，显示所有用户的权限，如图7.32所示。图7.31RDP-Tcp属性设置图7.32所有用户的权限

(4)单击“添加”按钮，增加一个新用户，如图7.33所示。图7.33增加新用户

(5)单击“编辑”按钮，即可修改某一选定用户的权限，如图7.34所示。图7.34修改用户权限

2.终端服务高级设置

1)更改加密级别在“RDP-Tcp属性”对话框中，选择“常规”选项卡，如图7.35所示。图7.35“常规”选项卡在“加密”栏中，单击“加密级别”下拉按钮，其中有四种加密级别。●低：使用56位密钥，对从客户端传输到服务器的数据进行加密。●客户端兼容：使用客户端所支持的最大长度的密钥，对从客户端传输到服务器的数据进行加密。●高：使用128位密钥的强加密算法，对从客户端传输到服务器的数据进行加密。●符合FIPS标准：使用Microsoft加密模块的联邦信息处理标准(FIPS)，对从客户端传输到服务器的数据进行加密。此外，如果希望此连接实现标准的Windows验证，选中“使用标准Windows验证”复选框。

2)允许用户自动登录到服务器在“RDP-Tcp属性”对话框中，选择“登录设置”选项卡，如图7.36所示。默认情况下使用客户端提供的登录信息。选中“总是使用下列登录信息”复选框来设置允许用户登录的信息。在“用户名”文本框中填入允许登录到服务器的用户名称，在“域”中填入计算机所属域的名称，在“密码”和“确认密码”栏中填入该用户登录时所采用的密码。如果要求用户在登录到服务器之前始终被提示输入密码，则选中“总是提示密码”复选框。图7.36“登录设置”选项卡

3)配置终端服务超时和重新连接在“RDP-Tcp属性”对话框中，选择“会话”选项卡，如图7.37所示。●选中第一个“替代用户设置”复选框，允许用户配置此连接的超时值；●在“结束已断开的会话”下拉框中选择断开连接的会话存留在服务器上的最长时间；●在“活动会话限制”下拉框中选择用户会话在服务器上持续的最长时间；●在“空闲会话限制”下拉框中选择空闲会话在服务器上持续的最长时间；●选中第二个“替代用户设置”复选框，设置到达会话限制时或者连接被中断时进行的操作。图7.37“会话”选项卡

4)管理远程控制在“RDP-Tcp属性”对话框中，选择“远程控制”选项卡，如图7.38所示。图7.38“远程控制”选项卡7.6远程管理7.6.1远程管理功能的改进

1.管理远程桌面管理远程桌面功能属于改进型的远程管理功能，它在原来的Windows2000Server远程管理模式中称为“终端服务”。这一远程管理功能可以提供对任何运行WindowsServer2003操作系统的计算机桌面的远程访问，并允许从网络中的任一虚拟计算机上管理WindowsServer2003服务器。通过管理远程桌面，几乎可以实现从网络上的任何计算机对其他计算机进行管理。

2.远程协助远程协助功能虽然在WindowsXP就开始有了，但相对Windows2000Server来说，仍属于改进比较大的功能。如果用户发出了邀请，则远程协助是从运行WindowsXP或WindowsServer2003的计算机连接到远程计算机的方便途径。连接之后，即可查看远程计算机的屏幕，并可进行实时聊天。如果请求协助的人允许，甚至可以使用鼠标和键盘在远程计算机上进行操作。

3.远程管理的Web界面(仅限于WindowsServer2003WebEdition版本)这也是WindowsServer2003系统新增的一项管理功能。在WindowsServer2003Web版上，用于远程管理的Web界面是基于超文本标记语言(HTML)的应用程序，用于从远程客户端配置和管理服务器。单个的服务器、整个服务器领域和每个服务器的多个站点都可以从单个远程工作站进行管理。

4.远程安装服务的改进功能远程安装服务(RIS)是从Windows2000系统就开始提供的，但在WindowsServer2003系统中又对这项管理功能进行了一些必要的改进。WindowsServer2003对远程安装服务的增强功能包括：对WindowsServer2003系列和WindowsXP相同远程安装的支持，对RIS安装的应答文件处理更强大的控制，以及对恢复模式下的网络文件的访问。使用WindowsServer2003操作系统光盘中包含的工具，可以远程管理运行Windows2000和WindowsServer2003的服务器系统；也可以从使用WindowsXPProfessional的计算机上远程管理运行WindowsServer2003计算机。在WindowsServer2003操作系统中，进行远程管理的方法是多种多样的，主要包括：微软管理控制台、远程桌面连接、管理远程桌面、管理工具包、远程协助、Telnet、远程管理Web和远程存储等。当然这么多种不同的远程管理方法都有其适用的范围，并不是任何一种方法都适用于所有远程管理领域。7.6.2微软管理控制台微软管理控制台(MicrosoftManagementConsole，MMC)集成了用来管理网络、计算机、服务及其他系统组件的管理工具。MMC可以运行在各种Windows9x/NT操作系统上，以及WindowsXPHomeEdition/XPProfessional和WindowsServer2003家族任何的操作系统上。

MMC不执行管理功能，但集成管理工具。可以添加到控制台的主要工具类型称为管理单元，其他可添加的项目包括ActiveX控件、网页的链接、文件夹、任务和任务板视图。使用MMC有两种方法：●在用户模式中使用已有的MMC控制台管理系统；●在作者模式中可创建新的MMC控制台或修改已有的MMC控制台。若需要经常对多台计算机进行“远程桌面”管理，用户可以进行如下的添加操作：

(1)单击“开始”、“运行”，输入命令MMC，系统显示控制台窗口，如图7.39所示。

(2)单击“文件”菜单，选择“添加/删除管理单元”选项，打开如图7.40所示的对话框。图7.39MMC控制台窗口图7.40“添加/删除管理单元”对话框

(3)单击“添加”按钮，选择“远程桌面”选项，单击“关闭”按钮，结果如图7.41所示。

(4)右键点击控制台根结点中的“远程桌面”，选择“添加新连接”，在如图7.42所示的界面中依次添加目标IP、名称、用户名、口令、域，完成一个用户的添加。

(5)重复步骤(3)，将目标计算机逐个添加到控制台。图7.41添加了“远程桌面”选项图7.42“添加新连接”对话框7.6.3远程桌面连接

1．配置远程桌面连接在“控制面板”中双击“系统”图标，在“系统属性”对话框中选择“远程”选项卡，在“远程桌面”栏中选中“允许用户远程连接到您的计算机”，如图7.43所示。图7.43“系统属性”对话框之“远程”选项卡在“控制面板”中双击“网络连接”图标，鼠标右击“本地连接”图标，选择“属性”项，选择“高级”选项卡，如图7.44所示。在“Internet连接防火墙”栏中取消选择“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机网络”复选框。单击“确定”允许远程访问。图7.44“本地连接属性”之“高级”选项卡

2.使用远程桌面连接“远程桌