Windows server 2012r2网络配置与管理

1 Week 1

中英结合学习笔记
官方文档：Windows Server 文档 | Microsoft Learn
题目资料：链接：https://pan.baidu.com/s/1-s1oUpDiOJx2HsNUtVm9Iw
提取码：a015

2 Week 2

2.1 安装、升级到或迁移到 Windows Server

参考文档：https://learn.microsoft.com/zh-cn/windows-server/get-started/install-upgrade-migrate

3 Week 3

3.1 服务器核心版本比较

Windows Server 2012 R2 Core Editions
	Datacenter （数据中心）	Standard （标准）	Essentials （基本要点）	Foundation （基础）
授权方式	OEM、零售、VOL	OEM、零售、VOL	OEM、零售、VOL	仅限OEM
处理器上限	64	64	2	1
授权用户限制	无限	无限	25	15
文件服务限制	无限	无限	1个独立DF8根目录	1个独立DFS根目录
网络策略和访问控制	无限	无限	250个RRAS连报、50个IAS连级以及2个1AS服务姐	50个RRAS连接以及 1个AS连报
远程真面服务限制	无限	无限	250个连接	20个连接
虚拟化	无限	2个虚拟机	1个虚拟机或者物理服务器，两者不能同时存在	无
Active Directory域服务	有	有	有限制	有限制
Active Directory证书服务	有	有	只作为颁发机构	只作为颁发机构
Active Directory联合服务	有	有	无	有
服务器核心模式	有	有	无	无
Hyper-V	有	有	无	无
价格	4809美元	882美元	425美元	仅限OEM

3.2 支持服务器角色（Supporting Server Roles）

3.2.1 目录服务（Directory services roles）

概述：存储，组织和提供有关网络及其资源的信息

• Active Directory Certificate Services AD CS
  Active Directory证书服务ADCS识别并授权

Active Directory证书服务（AD CS）是Active Directory工具，管理员可以通过该工具自定义服务以发布和管理公钥证书。添加它对Windows域类型网络中的所有用户和计算机进行身份验证和授权-为所有计算机分配和实施安全策略以及安装或更新软件。

• Active Directory Domain Services (AD DS)
  Active Directory域服务（AD DS）资源数据库

ADDS是Active Directory中的服务器角色，它允许管理员在分布式数据库中管理和存储有关网络资源以及应用程序数据的信息。一种简单的方法来管理网络上的所有用户和设备。

• Active Directory Federation Services AD FS
  Active Directory联合身份验证服务AD FS（一键登录即可享受多种服务）

ADFS对跨组织边界的系统和应用程序的单点登录访问。

• Active Directory Lightweight Directory Services (ADLDS)
  Active Directory轻型目录服务（AD LDS）（一种向安全目录发送和接收信息的方法。）

AD LDS是与Active Directory对话的一种方式。
LDAP是许多不同的目录服务和访问管理解决方案都可以理解的协议。
https://www.varonis.com/blog/the-difference-between-active-directory-and-ldap/

• Active Directory Rights Management Services (ADRMS)
  Active Directory权限管理服务（AD RMS）（简单管理许多用户，计算机）

AD RMS轻松批量管理Active Directory用户，组，计算机，GPO和OU。
GPO:制定规则来限制一组用户访问计算机上的某些功能，以使其更安全。

3.2.2 基础设施服务（Infrastructure Services）

概述：为网络客户端提供支持服务

• DHCP (Dynamic Host Configuration Protocol) IP

DHCP（动态主机配置协议）根据请求提供 IP 地址。

• DNS 服务器 将 URL 和计算机名称与 IP 地址匹配。
• Hyper-V （虚拟化）允许您制作虚拟机
• NPAS（网络策略和访问服务）提供本地和远程网络访问。 Windows Server 2012 NPAS可用于配置网络访问保护（NAP），安全的有线和无线访问点以及远程身份验证拨入用户服务（RADIUS）服务器和代理。健康注册机构：颁发给NAP客户端计算机的证书，用于提供其符合网络健康要求的证明。 NAP客户端计算机通过提供其健康状况的声明（称为健康声明（SoH））来获取健康证书。
• Health Registration Authority (HRA) 卫生注册局健康证明
• Remote Access 远程访问：能够通过网络连接远程访问计算机或网络。远程访问使用户能够在物理上无法直接连接时访问所需的系统;换句话说，用户可以通过电信或互联网连接远程访问系统。
• Volume Activation Services 批量激活服务

使用此工具，您可以在整个组织中安装和管理产品密钥。

• Windows Deployment Services Windows部署服务（WDS）：Windows部署服务是一个服务器角色，使管理员能够远程部署Windows操作系统。批量安装
• Windows Server Update Services Windows Server更新服务（WSUS）：部署最新的Microsoft产品更新。您可以使用WSUS完全管理通过Microsoft Update发布的更新到网络上计算机的分发。

3.2.3 申请服务（Application Services ）

概述：为特定应用程序提供通信服务，操作环境或编程接口
Application Server应用服务器

Fax Server 传真服务器传真

File and Storage Services 文件和存储服务

Print and Document Services印刷和文件服务

Remote Desktop Services 远程桌面服务

Web Server (IIS) Web服务器（IIS）

3.3 服务器最低硬件要求

Windows Server 2012 R2所有版本的最低系统要求：

处理器:1.4 GHz 64位
内存:512mb
磁盘空间:32gb
DVD或u盘
超级VGA或更高分辨率的显示器

Processor: 1.4 GHz 64-bit
RAM: 512 MB
Disk space: 32 GB
DVD or USB flash drive
Super VGA or higher resolution monitor

3.4 无界面服务的优势（Advantages of Server Core）

Hardware resource conservation硬件资源节约节约资源

Reduced disk space减少磁盘空间小

Reduced patch frequency降低补丁频率

Reduced attack surface减少攻击面减少病毒风险

4 Week 4

4.1 Using PowerShell

• Set-Date -Date (Get-Date).AddDays(3)

• Start-Process -FilePath “notepad” -Verb runAs打开记事本

Start-Process (Microsoft.PowerShell.Management) - PowerShell | Microsoft Learn

• Stop-Process -Name notepad关闭记事本
• **Get-Volume **

• **Sconfig **

使用文档：使用服务器配置工具 (SConfig) 配置 Windows Server 和 Azure Stack HCI 的 Server Core 安装 | Microsoft Learn

• Restart-Computer重启电脑

4.2 CMD的使用

4.2.1 Windows系统中For循环查询局域网中在用的IP地址

• windows系统For循环命令格式

具体命令格式如下：
for /l %variable in (start,step,end) do command [command-parameters]
注释：
%variabel //variable为变量参数，一般参数为26个字母；
do command //do：执行； command为执行的命令；
start //起始值
step //步长
end //结束值；
start,setp,end均为整数，正负均可。step值不能为0；
循环执行命令，从start开始计数，以step为步长，执行值end值为止。

• 执行命令详细解释

for /l %i in (1,1,254) do ping -n 1 -w 60 192.168.1.%i | find “回复”>>aaa.txt
命令解释：
%i //变量参数为i
in（1,1,254） //从1开始，步长为1，终止为254，因为主机地址最小为1，最大254。
find "回复” //意思查找ping测试的地址有回复的，即可以ping通的地址。也可以为TTL，根据实际情况筛选。
>> aaa.txt //将执行的结果保存到aaa.txt文档中
执行的命令为ping命令。
ping 后跟的参数：
-n //要发送的回显请求数
-w //等待每次回复的超时时间(毫秒)。
参考文档：https://jingyan.baidu.com/article/ae97a6461cd610bbfc461d63.html

4.3 MBR and GPT

	MBR	GPT（支持现代GUI引导界面）
Maximum Partition Capacity 最大分区容量	2TB	9.4ZB(1 ZB is 1 billion terabytes)
Maximum Partition Number 最大分区数	4 primary partitions (or 3 primary partitions + an infinite number of logical partitions) 4个主分区(或3个主分区+无限多个逻辑分区)	128 primary partitions （128个主分区）
Firmware Interface Support （固件接口支持）	BIOS	UEFI
Operating System Support 操作系统支持	Windows 7 and older systems like Windows 95/98. Windows XP 32-bit. Windows 2000.Windows 2003 32-bit	new systems like Windows 10 32bit.Windows 8/8.1/10 64-bit

4.4 主分区（Primary Partitions）

可以有一个操作系统
The only partition that can be set active. 唯一可以设置为活动的分区。设为有效。
Active = BIOS can locate to start your OS.活动= BIOS可以找到启动您的操作系统的位置。连接到BIOS
Only one primary partition on one hard disk can be set active.一个硬盘上只能有一个主分区激活

4.5 磁盘管理方式

4.5.1 动态磁盘与基本磁盘对比:

一块基本磁盘只能包含4个分区，它们是最多三个主分区和一个扩展分区，扩展分区可以包含数个逻辑盘。而动态磁盘没有卷数量的限制，只要磁盘空间允许，可以在动态磁盘中任意建立卷。

在基本磁盘中，分区是不可跨越磁盘的,一个分区就是一个逻辑盘。而动态磁盘可以将数块磁盘中的空余磁盘空间扩展到同一个卷中来增大卷的容量。

基本磁盘无容错功能，如果磁盘损坏数据将可能不可恢复。动态磁盘提供了磁盘容错能力，防止单分区损坏导致数据丢失。

基本磁盘读写相对稳定和较小。动态磁盘提供带区卷能提高磁盘读写性能。

4.5.2 五种卷

1、简单卷（Simple volume）：简单卷是物理磁盘的一部分，但它工作时就好像是物理上的一个独立单元。电脑基本上使用的都是简单卷；你可以通过从同一磁盘或另一磁盘增加可以空间来扩展简单卷。
2、跨区/跨度卷（Spanned volume）：跨区卷必须建立在动态磁盘上，是一种和简单卷结构相似的动态卷。跨区卷将来自多个磁盘的未分配空间合并到一个逻辑卷中（可扩展到多个硬盘），这样您可以更有效地使用多个磁盘系统上的所有空间和所有驱动器号。跨区卷是先将一个磁盘上为卷分配的空间充满，然后从下一个磁盘开始，再将该磁盘上为卷分配的空间充满；（其实还是简单卷的联合）
3、带区卷/条带/条状卷（Striped）（RAID-0）：带区卷是由两块或两块以上硬盘所组成，是每块硬盘所贡献的空大小必须相同，是一个动态卷（可扩展可缩小），必须创建在动态磁盘上。带区卷使用 RAID-0，从而可以在多个磁盘上分布数据。带区卷不能被扩展或镜像，并且不提供容错，但带区卷在所有 Windows 磁盘管理策略中的性能最好，同时它通过在多个磁盘上分配 I/O 请求从而提高了 I/O 性能；（重点测试性能）
4、镜像卷（Mirrored volume）（RAID-1）：镜像卷是具有容错能力的动态卷。它通过使用卷的两个副本或镜像复制存储在卷上的数据从而提供数据冗余性。写入到镜像卷上的所有数据都写入到位于独立的物理磁盘上的两个镜像中，类似于RAID-1；（存储太奢侈，不考虑）
5、RAID-5卷：RAID-5卷中通过给该卷的每个硬盘分区中添加奇偶校验信息带区来实现容错。如果某个硬盘出现故障，Win10便可以用其余硬盘上的数据和奇偶校验信息重建发生故障的硬盘上的数据。（服务器版有此功能）
RAID-5 卷——带区状在三个或者三个以上的动态磁盘存储数据。如果部分数据丢失，RAID-5 卷提供恢复数据的方法。

1、简单卷：只有一个动态磁盘只能创建简单卷
2、跨区卷：至少两个动态卷，相当于将磁盘合并
3、带区卷：至少两个动态卷，以最小的磁盘为空间大小，为了提高效率
4、镜像卷：相当于RAID-1，备份不提高效率，提供可靠性
5、RAID-5卷：提高读取效率的同时，提供可靠性，但是写入的效率降低

Which of the NTFS volume is the fastest for multiple users? 哪个NTFS卷对多个用户最快？
Striped volume 条状

5 Week 5

127.0.0.1 回送地址

6 Week 6

6.1 文件共享类型

Types of Folder Shares

6.1.1 服务器消息块（SMB）

Server Message Blocks
Windows所有版本使用的标准文件共享协议。
需要文件服务器角色服务。

6.1.2 网络文件系统（NFS）

Network File System
大多数UNIX和Linux发行版使用的标准文件共享协议。
需要NFS服务器角色服务。

6.1.3 苹果电脑文件系统（AFS）

6.2 四个权限系统

The four permissions systems:

1. 共享权限：控制通过网络对文件夹的访问。
2. NTFS权限：控制对使用NTFS文件系统格式化的磁盘卷上存储的文件和文件夹的访问。
3. 注册表权限：控制对Windows注册表特定部分的访问。
4. Active Directory权限：控制对Active Directory域服务（AD DS）层次结构的特定部分的访问。

Share permissions: Control access to folders over a network.
NTFS permissions: Control access to the files and folders stored on disk volumes formatted with the NTFS file system.
Registry permissions: Control access to specific parts of the Windows registry.
Active Directory permissions: Control access to specific parts of an Active Directory Domain Services (AD DS) hierarchy.

6.3 文件系统

6.3.1 ReFS和NTFS

NTFS（New Technology File System）最早应用于Windows NT系列操作系统，是一种具备磁盘配额管理和文件加密等安全特性的磁盘格式；ReFS 弹性文件系统（Resilient File System）则是基于 NTFS 构建，只是增加了一些新的存储技术和应用架构调整；NTFS 是当下使用最为广泛的Windows文件系统，ReFS则可以兼容NTFS格式。

6.3.2 FAT

FAT是文件分配表(File Allocation table)的缩写 [5] ，FAT32指的是[文件分配表](https://baike.baidu.com/item/%E6%96%87%E4%BB%B6%E5%88%86%E9%85%8D%E8%A1%A8/10059712?fromModule=lemma_inlink" \t “_blank)是采用32位[二进制数](https://baike.baidu.com/item/%E4%BA%8C%E8%BF%9B%E5%88%B6%E6%95%B0/108101?fromModule=lemma_inlink” \t “_blank)记录管理的磁盘文件管理方式，因FAT类[文件系统](https://baike.baidu.com/item/%E6%96%87%E4%BB%B6%E7%B3%BB%E7%BB%9F/4827215?fromModule=lemma_inlink” \t “_blank)的核心是文件分配表，命名由此得来。FAT32是从[FAT](https://baike.baidu.com/item/FAT/267561?fromModule=lemma_inlink” \t “_blank)和[FAT16](https://baike.baidu.com/item/FAT16/5136658?fromModule=lemma_inlink” \t “_blank)发展而来的，优点是稳定性和[兼容性](https://baike.baidu.com/item/%E5%85%BC%E5%AE%B9%E6%80%A7/1446869?fromModule=lemma_inlink” \t "_blank)好，能充分兼容Win 9X及以前版本，且维护方便。缺点是安全性差，且最大只能支持32GB分区，单个文件也只能支持最大4GB。
参考文档：https://baike.baidu.com/item/FAT32/827339

6.3.2.1 exFAT

exFAT是近年才出现的格式，主要针对移动存储设备，什么闪存、U盘等。因为FAT32格式单个文件不能超过4G，使用NTFS格式又容易损坏闪存芯片，所以才开发EXFAT格式来解决这些问题。

exFAT文件系统优点：分区大小和单文件大小最大可达16EB（16×1024×1024TB）；簇大小非 常灵活，最小0.5KB，最高达32MB；采用了剩余空间分配表，空间利用率更高；同一目录下最大文件数可达65536个；支持访问控制；支持 TFAT(WINCE早期文件系统)。可以看出，ExFAT就是闪存专用的文件系统，只有U盘和存储卡才能格式化成exFAT，传统硬盘是无法格式化成 exFAT格式的，因为exFAT的特性其实并不比NTFS强，但却比NTFS及FAT32更适合闪存使用。

exFAT文件系统缺点：exFAT作为一种全新的文件系统，在电脑上的兼容性却不太好，目前主流的XP和Vista默认都不支持ExFAT，XP需升级至SP3补丁、Vista需升级至SP1补丁才能支持它。当然微软也提供了exFAT的单独更新文件，Win7默认支持。

6.3.3 Ext

Ext系列的文件系统是基于UFS文件系统而设计的，所以它们具有UFS的很多特性，Ext3也同样跟UFS有许多相似之处，下面首先谈一谈Ext3文件系统的结构特点。
①Ext3文件系统所在区域首先被划分为一个个的块（Block），每个块大小都是一样的，但是对于不同的Ext3文件系统，块的大小可以有区别。典型的块大小是1024字节、2048字节或者4096字节。这个大小在创建文件系统的时候被决定，它可以由系统管理员指定，也可以由文件系统的创建程序根据硬盘分区的大小，自动选择一个较合理的值。
②块是文件系统中数据的分配单元，每个块都有一个唯一的编号，第一个块的编号为0，然后依次往后编，0号块起始于文件系统的开始扇区。
③Ext3文件系统的块被组合在一起分成几个大的块组（Block Group），每个块组中块数是相同的，不过，由于文件系统的总扇区数并不一定是块组所包含扇区数的整数倍，这将导致最后一个块组的大小与其他块组不同，也就是说文件系统的最后一个块组往往会小于其他块组。
④每个块组都相对应一个块组描述符（Group Descriptor），这些块组描述符统一放在文件系统的前部，对块组进行管理。
⑤Ext3文件系统用i-节点描述文件的时间信息、大小、块指针等信息；用目录项描述文件名和节点号，通过节点号就能访问其节点信息了。
⑥在文件系统的头部，是超级块，用以描述文件系统的综合信息。
Ext3文件系统的前身是Ext2。Ext2的设计者主要考虑的是文件系统性能方面的问题，而在写入文件内容的同时，并没有写入文件的元数据（和文件有关的信息，例如权限、所有者及创建和访问时间）。换句话说，Linux先写入文件的内容，然后等到空闲的时候才写入文件的元数据。如果出现文件内容已经写入，但在写入文件的元数据之前系统突然断电，就可能造成文件系统处于不一致的状态。在一个有大量文件操作的系统中，出现这种情况会导致很严重的后果。
Ext3是Ext2的升级版本，它在Ext2的基础上加入了记录元数据的日志功能，努力保持向前和向后的兼容性，也就是在保有目前Ext2的格式之下再加上日志功能。和Ext2相比，Ext3提供了更佳的安全性。
摘自：https://www.dgxue.com/huifu/300.html

6.3.4 权限如何工作

Access Control List (ACL) (访问控制列表)Can I see the file or folder? 我可以看到文件或文件夹吗?
Security principal(安全主体)Do I have permissions to access the file or folder? 我是否有权访问文件或文件夹?
Access Control Entries (ACEs) (访问控制项)What can I do once I have gained access to the file or folder 获得文件或文件夹的访问权限后该怎么办？

6.4 NTFS共享文件夹权限

List Folder Contents: View the names of the files and subfolders contained in the folder. 查看文件夹中包含的文件和子文件夹的名称.
Read and Execute:Navigate through restricted folders to reach other files and folders.浏览受限制的文件夹以访问其他文件和文件夹
Read: See the files and subfolders contained in the folder. 查看文件夹中包含的文件和子文件夹

List Folder Contents / Read——The user can see and open the file and read the document 用户可以查看并打开文件并阅读文档
List Folder Contents / Read / Write——I can find open and make changes to the file and save it 我可以找到打开的文件并进行更改并保存。
Modify——I can delete the file or folder 我可以删除文件或文件夹
Full control——I can take ownership of the file at an admin level.我可以在管理员级别获取文件的所有权。

权限分类	具体权限
完全控制（full control）	遍历文件夹/执行文件 列出文件夹/读取数据 读取属性 读取扩展属性 创建文件/写入数据 创建文件夹/附加数据 写入属性 写入扩展属性 删除子文件夹及文件 删除 读取权限 更改权限 取得所有权
修改（Modify）	遍历文件夹/执行文件 列出文件夹/读取数据 读取属性 读取扩展属性 创建文件/写入数据 创建文件夹/附加数据 写入属性 写入扩展属性 删除 读取权限
读取和执行（Read and Execute）	遍历文件夹/执行文件 列出文件夹/读取数据 读取属性 读取扩展属性 读取权限
读取（read）	列出文件夹/读取数据 读取属性 读取扩展属性 读取权限
写入（write）	创建文件/写入数据 创建文件夹/附加数据 写入属性 写入扩展属性
特别的权限	读取权限 更改权限 取得所有权

参考文档：(35条消息) Windows NTFS权限_Naive`的博客-CSDN博客

List Folder Contents（遍历目录/列出文件夹目录/内容）
遍历文件夹: 就是能浏览文件夹中的所有文件。
这么说吧，如果你没勾遍历文件夹/运行文件，你的新建文件夹中的exe点击会报错提示没有权限运行。
如果你没勾列出文件夹/读取数据，你就无法点击进入新建文件夹，会报错。
参考资料：https://zhidao.baidu.com/question/1605180148530106667.html

6.5 题目

7 Week 7

dcpromo：将Windows Server 2012升级为域控制器
参考文档：安装新的 Windows Server 2012 Active Directory 林（级别 200） | Microsoft Learn

7.1 DHCP服务

• 端口68是计算机客户端DHCP地址端口。

端口67是DHCP服务器地址端口。
这些端口仅用于此特殊功能。

• DHCP发现 (DHCP discover)

从端口68到端口67。广播。我可以有一个IP地址吗？

• DHCP反应 (DHCP Response)

从端口67到端口68。广播。我有这个IP。

• DHCP请求 (DHCP request)

I see the ip you have available. Can I have that IP address? 我看到您有可用的IP。我可以拥有那个IP地址吗？

• DHCP确认 (DHCP ack)

I acknowledge your request. I have registered the IP address to your mac address. You can use it now. 我确认您的要求。我已将IP地址注册到您的mac地址。您现在可以使用它。

• Which of these DHCP setting limits the amount of possible dynamic IP clients? 这些DHCP设置中的哪一个限制了可能的动态IP客户端的数量？

1. Maximum number of users 最大用户数
2. IP Starting address IP启动地址
3. subnet mask 子网掩码

• Static :Web，DHCP,DNS，Domain servers, Printers

Dynamic ：Cellphones / Laptops / User PC

DHCP服务器会在固定时间内发出IP地址。此后，将IP地址释放给他们。

7.2 APIPA（自动专用IP寻址）

自动专用IP寻址（[APIPA](https://baike.baidu.com/item/APIPA" \t “_blank)）是DHCP故障转移机制。[APIPA](https://baike.baidu.com/item/APIPA” \t “_blank)允许在[DHCP服务器](https://baike.baidu.com/item/DHCP%E6%9C%8D%E5%8A%A1%E5%99%A8/9956953” \t “_blank)和客户端程序的使用功能,当服务器的IP地址。
DHCP服务器故障时,一种窗口操作系统。[APIPA](https://baike.baidu.com/item/APIPA” \t "_blank) 169.254.0.1-169.254.255.254（范围）私人空间分布的地址。调整其客户使用它的地址是用只有当ARP局域网这DHCP服务器再次请求服务客户,会自动更新他的地址

7.3 DNS域名解析顺序

DNS解析顺序是“先查缓存，再递归解析”，查询顺序为：浏览器缓存—系统缓存—路由器缓存—递归服务器缓存—递归查询。
我们以http://www.example.com这个域名为例进行查询，具体流程如下：
（1）搜索浏览器自带的DNS缓存
当收到访问请求后，浏览器首先会查询浏览器自身的DNS缓存，这个缓存时间比较短（chrome://net-internals/#dns 这里可以查询缓存的dns记录），且只能容纳 1000条缓存，如果缓存中有对应条目，返回结果，解析到此结束。
（2）查询操作系统缓存和hosts本地文件
如果浏览器缓存中没有找到对应条目（ipconfig /displaydns可以查看），操作系统也会有一个域名解析的过程，浏览器会先搜索操作系统的DNS缓存中是否有这个域名解析记录，如果有返回结果，解析结束。
此外，电脑本地文件HOSTS中可以设定域名到IP地址的指向关系。如果HOSTS文件中保存有该域名的记录，浏览器会首先使用这个IP地址，并将其结果缓存下来，缓存时间同样受域名失效时间和缓存空间大小决定。
（3）查询路由器缓存
如果浏览器和操作系统中没有域名解析记录，就会查询路由器中的DNS缓存，如果路由器DNS缓存中有解析条目，直接返回结果，解析结束。

（4）递归解析服务器缓存
如果本机和路由器DNS缓存中没有该域名的解析记录，浏览器就会向递归服务器发起请求，如果递归服务器缓存有该域名解析条目，返回结果，解析结束。

（5）查询根域名服务器
如果递归服务器缓存中没有结果，就会委托递归服务器发起全球查询，首先递归服务器会向根域名服务器发起解析请求。根域名服务器告知.com顶级域名服务器地址。
（6）查询顶级域名服务器
递归服务器向.com顶级域名服务器发起DNS请求，.com顶级服务器告知http://example.com所属权威域名服务器地址。
（7）查询权威域名服务器
递归服务器向http://example.com的权威域名服务器地址发起请求，权威服务器告知http://www.example.com所对应的IP地址。
（8）返回解析结果
得到http://www.example.com的IP地址后，递归服务器将结果告知客户端，客户端对该IP地址发起访问。整个DNS解析流程到此结束。
参考文档：DNS解析顺序是怎样的？ - 知乎 (zhihu.com)
(35条消息) DNS查找顺序_dns服务器查找顺序是_宇龍_的博客-CSDN博客

7.3.1

1. Check your DNS Computer cache 检查您的DNS计算机缓存
2. DNS Resolver (Server/ISP) DNS解析器(服务器/ISP)
3. Root server 根服务器
4. Top level domain server 顶级域服务器
5. second level domain server二级域服务器
6. Subdomains 子域
   

7.3.2 ipconfig /displaydns

The ip address of the websites you have in your DNS cache 您在DNS缓存中拥有的网站的IP地址
The length of time the IP address record is valid for IP地址记录有效的时间长度
The name of the websites you have the IP address for 您拥有IP地址的网站名称

7.3.3 TLL

TTL(Time-To-Live)
DNS TTL——how long to cache a query before requesting a new one. The information gathered is then stored in the cache of the recursive or local resolver for the TTL before it reaches back out to collect new. updated details. 在请求新查询之前缓存查询多长时间。然后，收集的信息将存储在 TTL 的递归或本地解析器的缓存中，然后再返回以收集新的更新详细信息。
Ping TTL
Each router that touches the packet decrements the TTL. If the TTL ever reaches zero, the packet is discarded. It is also a measure of how many hops the packet took.每个接触数据包的路由器都会递减 TTL。如果 TTL达到零，则丢弃数据包。它也是数据包经过多少跳的度量。

TTL internet	255
TTL LAN Linux	64
TTL LAN Windows	128

参考文档：(35条消息) 不同操作系统的默认TTL（生存时间）值_ttl默认值_allway2的博客-CSDN博客

7.3.4 Zone Types（区域类型）

Primary Zone：master copy of the zone database, where administrators make all changes to the zone’s resource records. 包含主区域数据库的副本，管理员在其中对区域的资源记录进行所有更改。
Secondary Zone: contains a backup copy of the primary master zone database file 包含主区域数据库文件的备份副本
Active Directory Integrated Zone（活动目录集成区域）：Only available on a domain controller. Good redundancy and fault tolerance.仅在域控制器上可用，良好的冗余和容错能力。
Stub Zone（存根区域/虚实常设区域）：Only a copy of the primary zone key resources. The stub forwards requests,仅主区域密钥资源的副本。存根转发请求。contains the key resource records that identify the authoritative servers for the zone forwards or refers requests.包含标识区域权威服务器的关键资源记录。转发或引用请求。

8 Week 8

参考资料：什么是ARP？它是如何进行地址解析的？ - 华为 (huawei.com)
彻底搞懂系列之：ARP协议 - 知乎 (zhihu.com)
(37条消息) ARP协议报文格式及ARP表_arp报文格式_changsoon的博客-CSDN博客
ARP（地址解析协议）_百度百科 (baidu.com)
肝了，整理了8张图详解ARP原理，连我妈都能看懂了！ - 知乎 (zhihu.com)

8.1 ARP（地址解析协议）

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。arp协议在TCP/IP模型中属于IP层（网络层），在OSI模型中属于链路层。它可以解决同一个局域网内主机或路由器的IP地址和MAC地址的映射问题。
主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；如果给出的IP地址在网络上不存在，那么就不会受到相应的恢复信息。

8.1.1 Arp命令

8.1.2 Arp的类型

动态ARP适用于拓扑结构复杂、通信实时性要求高的网络。

8.1.2.1 免费Arp

设备主动使用自己的IP地址作为目的IP地址发送ARP请求，此种方式称免费ARP。
免费ARP有如下作用：

• IP地址冲突检测：当设备接口的协议状态变为Up时，设备主动对外发送免费ARP报文。正常情况下不会收到ARP应答，如果收到，则表明本网络中存在与自身IP地址重复的地址。如果检测到IP地址冲突，设备会周期性的广播发送免费ARP应答报文，直到冲突解除。
• 用于通告一个新的MAC地址：发送方更换了网卡，MAC地址变化了，为了能够在动态ARP表项老化前通告网络中其他设备，发送方可以发送一个免费ARP。
• 在VRRP备份组中用来通告主备发生变换：发生主备变换后，MASTER设备会广播发送一个免费ARP报文来通告发生了主备变换。
  

8.1.2.2 ARP代理(Proxy ARP)

8.1.2.3 路由式ARP代理

8.1.2.4 VLAN内ARP代理

8.1.2.5 VLAN间ARP代理

8.1.3 Arp报文格式

8.1.4 Arp表

主机或三层网络设备上会维护一张ARP表，用于存储IP地址和MAC地址的映射关系，一般ARP表项包括动态ARP表项和静态ARP表项。
网络设备一般都有一个ARP缓存（ARP Cache），ARP缓存用来存放IP地址和MAC地址的关联信息。在发送数据前，设备会先查找ARP缓存表。如果缓存表中存在对方设备的MAC地址，则直接采用该MAC地址来封装帧，然后将帧发送出去。如果缓存表中不存在相应的信息，则通过发送ARP request报文来获得它。学习到的IP地址和MAC地址的映射关系会被放入ARP缓存表中存放一段时间。在有效期内，设备可以直接从这个表中查找目的MAC地址来进行数据封装，而无需进行ARP查询。过了这段有效期，ARP表现会被自动删除。如果目标设备位于其他网络则源设备会在ARP缓存表中查找网关的MAC地址，然后将数据发送给网关，网关再把数据转发给目的设备。

8.1.4.1 动态ARP表项

动态ARP表项由ARP协议通过ARP报文自动生成和维护，可以被老化，可以被新的ARP报文更新，可以被静态ARP表项覆盖。每个动态ARP缓存项的潜在生命周期是10分钟。新加到缓存中的项目带有时间戳，如果某个项目添加后2分钟内没有再使用，则此项目过期并从ARP缓存中删除；如果某个项目已在使用，则又收到2分钟的生命周期；如果某个项目始终在使用，则会另外收到2分钟的生命周期，一直到10分钟的最长生命周期。

8.1.4.2 静态ARP表项

静态ARP表项通过手工配置和维护，不会被老化，不会被动态ARP表项覆盖。直到重新启动计算机为止。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址，此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系，从而保护了本设备和指定设备间的正常通信。
静态ARP表项分为短静态ARP表项和长静态ARP表项。
在配置长静态ARP表项时，除了配置IP地址和MAC地址项外，还必须配置该ARP表项所在VLAN和出接口。长静态ARP表项可以直接用于报文转发。
在配置短静态ARP表项时，只需要配置IP地址和MAC地址项。如果出接口是三层以太网接口，短静态ARP表项可以直接用于报文转发；如果出接口是VLAN虚接口，短静态ARP表项不能直接用于报文转发，当要发送IP数据包时，先发送ARP请求报文，如果收到的响应报文中的源IP地址和源MAC地址与所配置的IP地址和MAC地址相同，则将接收ARP响应报文的接口加入该静态ARP表项中，之后就可以用于IP数据包的转发。
一般情况下，ARP动态执行并自动寻求IP地址到以太网MAC地址的解析，无需管理员的介入。
当希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信时，可以配置短静态ARP表项，当进一步希望限定这个用户只在某VLAN内的某个特定接口上连接时就可以配置长静态ARP表项。

ARP表
IP地址	MAC地址	类型	老化时间
192.168.1.1	Mac1	动态	180s
10.1.1.1	Mac2	静态	永久

8.1.5 Arp欺骗

8.1.6 题目

Arp表：IP和MAC地址
交换机表：Mac和端口地址

Why does a computer choose to reply to an ARP request? 为什么计算机选择答复ARP请求？
Because it identifies its own IP address in the message. 因为它在消息中标识了自己的IP地址。

9 Week 9

9.1 DNS 管理器

9.1.1 Forward Lookup Zones（正向查找域）

9.1.2 Reverse Lookup Zones（反向查找域）

10 Week 10

容器对象可以有其他从属于它的对象： 域 组织单位
叶对象不能有从属对象： 用户 计算机 组 应用 网络资源

10.1 Forest 林

Active Directory林由一个或多个独立的域组成，同一林中的两个域具有相同的双向信任关系。

10.2 Domain 域

DC1.com
可以创建多个域并将它们分组为站点，树和林。

10.3 Organizational Units (OUs) 组织单位

是域中的容器对象，用于在多个部门或部门之间划分安全和管理职责
可以包含其他OU以及叶对象（用户，计算机，组）
它允许 GPO 与其链接以实现高效的分散控制
它用于委托对象的管理。

10.3.1 题目

10.4 Groups 组

组作用域分为三类：Domain Local Group（本地域），Global Group（全局），Universal（通用）。这三类之间的区别，又要分为两种域模式Native Mode（本地模式）和Mixed Mode（混合模式）；是两种域的操作模式，默认新建的域为混合模式。如可在 Active Directory 域和信任关系中查到当前域的操作模式。

组对象来自单个或多个域或OU，包含用户

应用场景：
安全组（Security Groups）：用于授予对软件/远程/ftp等资源的访问权限
通讯组（Distribution Groups）:用于向一组人发送电子邮件通知。

迁移的 类型	B域新建用户	迁移到B域的用户
本地域组	加入迁移过来的本地域组不能访问A域资源	能访问A域资源，访问权限以其在A域的所在组为准
全局组	加入迁移过来的全局组能访问A域资源	能访问A城资源，访问权限以其在B域的所在组为准
通用组	加入迁移过来的通用组能访问A域资源	能访问A域资源，访问权限以其在B域的所在组为准

分类区别：

组分类	区别
通用作用域	在本机模式域中，可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。在本机模式域中，不能创建有通用作用域的安全组。组可被放入其他组（当域处于本机模式时）并且在任何域中指派权限。不能转换为任何其他组作用域。 作用范围：森林中所有的域 ，来自全林用于全林，通用组和它的成员被列在全局编目里 (GC)，每次对通用的修改（成员增加/删除），都会引发GC复制流量，切记谨慎选择和使用，一般通用组的成员不要经常频繁的发生变化
全局作用域	在本机模式域中，可将其成员作为来自相同域的帐户和来自相同域的全局组。在本机模式域中，可将其成员作为来自相同域的帐户。组可被放入其他组并且在任何域中指派权限。只要它不是有全局作用域的任何其他组的成员，则可以转换为通用作用域。全局组:可以全局使用。即:可在本域和与其有信任关系的其它域中使用，体现的是全局性作用范围: 本域和所有被信任的域，来自本域用于全林，单域环境下直接把用户账号加入全局组，给全 局组赋予权限就可以。组在GC里，但成员并不列在GC中
域本地作用域	在本机模式域中，可将其成员作为来自任何域的帐户、全局组和通用组，以及来自相同域的域本地组。在本机模式域中，可将其成员作为来自任何域的帐户和全局组。组可被放入其他域本地组并且仅在相同域中指派权限。只要它不把具有域本地作用域的其他组作为其成员，则可转换为通用作用域。 本地域组: 只能在本域的域控制器DC上使用作用范围: 本域，主要用于权限访问的ALP策略，来自全林用于本域，组在GC里，但成员并不列在GC中

参考文档：(40条消息) AD中组的分类区别_本地域组,全局组和通用组的区别_羌俊恩的博客-CSDN博客

10.4.1 题目

10.5 Global Catalog 全局编录

每个目录林都有一个全局目录，该目录是目录林中所有对象的列表，以及每个对象属性的子集。（Each forest has a global catalog, which is a list of all of the objects in the forest, along with a subset of each object’s attributes.）

11 Week 11

(40条消息) Windows Server 2012R2 组策略_windows2012 组策略_搬码日记的博客-CSDN博客
You create a new group policy. You want it take effect immediately. Which command should you use? 您创建一个新的组策略。您希望它立即生效。您应该使用哪个命令？
Gpupdate

11.1 GPO（组策略对象）

Group Policy Objects 一个Active Directory GPO中有5000+个设置
GPO:制定规则来限制一组用户访问计算机上的某些功能，以使其更安全。
当您将GPO链接到容器对象时，该容器中的所有对象都会收到您在GPO中配置的设置。

组策略对象(gpo)包含管理员可以部署到站点、域或组织单位内的用户和计算机对象的所有组策略设置。
要部署GPO，管理员必须将其与部署GPO的容器关联(链接)。

组策略的管理任务包括:
创建gpo
指定gpo的存储位置
管理AD DS链路
Default Domain Policy 默认域策略
Default Domain Controllers Policy默认域控制器策略

11.2 GPO的类型

本地GPO：仅在本地计算机上
域GPO：在Active Directory中创建
链接到站点，域或OU
入门（Starter）GPO：基于标准设置集合的模板GPO

11.3 配置中心存储

中央存储是管理模板(ADMX文件)的集中副本。
集中存储和访问这些文件意味着不必将它们复制到域控制器上的SYSVOL卷。
防止维护相同数据的多个副本。

11.4 使用组策略管理控制台

组策略管理控制台是Microsoft管理控制台(MMC)管理单元，管理员使用该管理单元创建组策略对象并管理将其部署到Active Directory域服务对象。
组策略管理编辑器是一个单独的管理单元，它可以打开GPO并允许您修改它们的设置。

11.5 创建和链接非本地GPO

11.6 使用安全过滤

默认情况下，将GPO链接到容器会使该容器中的所有用户和计算机接收GPO设置。
安全筛选是一种用于修改默认权限分配的技术，以便只有某些用户和计算机才能获得GPO的权限。

11.7 管理入门GPO

Starter GPOs are templates that you can use to create multiple GPOs with the same set of baseline Administrative Templates settings
You create and edit starter GPOs just as you would any other Group Policy object.
入门GPOs是可以使用相同的基线管理模板设置创建多个GPOs的模板

您可以像创建其他组策略对象一样创建和编辑入门 GPOs。

11.8 配置组策略

使用组策略设置，您可以自定义用户桌面，环境和安全设置的配置。
设置分为两个子类别：“计算机配置”和“用户配置”。
子类别称为组策略节点。
节点是父结构，其中包含特定于计算机配置和用户配置的所有相关设置。

在计算机配置节点和用户配置节点中，有如下子节点。
软件设置
窗口设置
管理模板

11.8.1 基于位置的设计

11.8.2 基于组织的设计

11.9 创建多个本地GPO

当涉及到组策略配置时，作为AD DS域成员的计算机可以从极大的灵活性中获益。
独立的(非ad DS)系统可以实现这种灵活性，只要它们至少运行Windows Vista或Windows Server 2008 R2。这些操作系统使管理员能够创建多个本地GPOs，根据用户身份为用户提供不同的设置。
支持多个本地GPOs的Windows系统有三层组策略支持:
本地组策略:包括计算机设置和用户设置，适用于所有系统用户，包括管理员用户和非管理员用户。这是唯一包含计算机设置的本地GPO，因此要应用计算机配置策略，必须使用此GPO。
管理员和非管理员组策略:由两个GPOs组成，一个适用于本地Administrators组的成员，另一个适用于所有非本地Administrators组的用户。
针对用户的组策略:由GPOs组成，适用于计算机上创建的特定本地用户帐户。这些GPOs只能应用于个人用户，而不能应用于本地组。

11.10 题目

12 Week 12

12.1 文件重定向

通过文件夹重定向功能，可以将用户配置文件中的特定文件夹的位置重定向到新位置，如共享网络位置。在管理用户配置文件和漫游用户配置文件的过程中，将使用文件夹重定向功能。可以使用组策略管理控制台来配置文件夹重定向以重定向特定的用户配置文件文件夹，以及编辑文件夹重定向策略设置。
文件夹重定向的优势：
即使用户登录到网络上的不同计算机，其数据也始终是可用的。
a.脱机文件技术(默认情况下处于打开状态)允许用户访问文件夹，即使他们没有连接到网络。对于使用便携式计算机的人来说，该技术尤其有用。
b.存储在网络文件夹中的数据可以作为例行系统管理的一部分进行备份。这样更安全，因为它不需要用户进行操作。
c.如果您使用漫游用户配置文件，则可以使用文件夹重定向功能减小漫游配置文件的总大小，并使最终用户的用户登录和注销过程效率更高。在使用漫游用户配置文件部署文件夹重定向时，通过文件夹重定向同步的数据不是漫游配置文件的一部分，这些数据是在用户登录后使用脱机文件在后台进行同步的。因此，在使用漫游用户配置文件的情况下，用户在登录或注销时不必等待数据同步。
d.特定于某个用户的数据可以从拥有操作系统文件的硬盘重定向到用户本地计算机上的其他硬盘。这会让用户的数据更加安全，以防必须重新安装操作系统的情况。
e.作为管理员，您可以使用组策略来设置磁盘配额，从而限制由用户配置文件文件夹占用的空间量。
测试环境：
三台虚拟机，一台DC(R201.easthome.com)，2台加域客户端。
步骤：
1.创建用于文件夹重定向的安全组。
新建全局安全组，添加图中用户到组


2.为文件夹重定向创建共享。
打开服务器管理器-文件和存储服务-共享-任务下新建共享

SMB共享-快速

指定路径

指定共享名称，通这使用$建立隐藏共享

为实施数据安全，启用枚举和加密功能。
使用自定义权限，禁用继承将权限转换为显式权限

权限设置如下：


确认以完成向导。
3.创建文件夹重定向策略
打开gpmc.msc。导航到OU-右键选择在这个域中创建GPO并在此处链接，

设置名称

设置安全筛选让指定用户生效

配置文件夹重定向策略为如图所示：(以文档重定向为例)
如需设置重定向在早期操作系统生效，请选择第3项;同时定义策略删除时采取动作。

完成设置，因图片、音乐、视频、默认设置为跟随“文档”文件夹设置。所以以上操作已定义4项
确认设置，退出策略，DC刷新策略以测试结果。

4.客户端测试文件夹重定向
我这里简单说说3种方法看结果，
a.直接看文档属性，如我使用user1登录系统，打开文档属性

b.DC共享生成user1数据

c.开启2台客户端，一台上传数据，另一台看数据是否存在以证明文件夹重向定成功。
顺带测试了直接删除策略，客户端重定向的文件夹按策略设置自动移回本地用户配置文件位置
转载连接：https://blog.csdn.net/weixin_36245032/article/details/119587416?spm=1001.2014.3001.5506

12.2 在文件服务器上为每位域用户创建个人文件夹homefolder

需求：为每个域用户设置一个独立主文件夹，文件夹有2G空间，且该文件夹只能管理员和用户自己能读取和写入。简单来说就是在文件服务器创建每个用户的个人空间。

1.创建共享目录
先在文件服务器创建homefolder文件夹并共享，如果想要在网络上隐藏这个文件夹的话可以在homefolder后面加上$，也就是说将文件夹命名为homefolder$

设置访问权限，这里把此文件夹只给域用户读取和执行权限，目的是为了防止域用户误删此文件夹

2.设置配额，限定用户主文件夹为2G空间
打开文件服务器资源管理器

设置配额模板，下面的通知阈值可以按需配置

创建配额

3.设置主文件夹
到域控选定一个OU里的所有用户可以进行批量配置

路径要填写网络路径，我这里的是\CNSZAD01\homefolder%username%，%username%是系统变量，代表的是用户名，确定后系统会自动创建好与用户名相对应的文件夹

文件夹自动创建好了，此时可以看到这些文件夹的权限是符合我们的要求的

4.客户端验证
客户端运行gpupdate /force，强制更新组策略后可以看到主文件夹已经自动映射上去了，空间有2G，符合预期的效果

原文链接：https://blog.csdn.net/Junson142099/article/details/108847854