敬请关注 Windows 2008 视频突击系列教材 清华大学出版社
2009-12-27
《Windows 2003网络基础架构》
DHCP服务器
DNS服务器
WINS服务器
邮件服务器
CA证书颁发机构
IPSec 网络传输安全
RAS远程访问服务器
站点间***
路由器
Web站点
FTP站点
NLB
群集技术 Web群集 数据库群集
《Windows 2003网络基础架构》
DHCP服务器
DNS服务器
WINS服务器
邮件服务器
CA证书颁发机构
IPSec 网络传输安全
RAS远程访问服务器
站点间***
路由器
Web站点
FTP站点
NLB
群集技术 Web群集 数据库群集
DHCP
计算机的地址分配 两种方式
静态 服务器 或 台式计算机 人工指定容易冲突
动态 无线 无线笔记本 DHCP客户端
计算机的地址分配 两种方式
静态 服务器 或 台式计算机 人工指定容易冲突
动态 无线 无线笔记本 DHCP客户端
DHCP服务器
1.客户端广播包请求IP地址 逆向ARP 目标IP地址255 源IP 0.0.0.0
2.DHCP提供地址租约
3.客户端选择第一个响应的
4.确认提供租约 配置网关 DNS 子网掩码
1.客户端广播包请求IP地址 逆向ARP 目标IP地址255 源IP 0.0.0.0
2.DHCP提供地址租约
3.客户端选择第一个响应的
4.确认提供租约 配置网关 DNS 子网掩码
租约更新
不关机 50% 续约 75% 续约 广播请求地址 100% 释放地址 169.254.0.0 5分钟 广播请求地址
重启时 ping 网关 不通 广播请求地址
人工更新租约 ipconfig /renew
释放租约 ipconfig /release
不关机 50% 续约 75% 续约 广播请求地址 100% 释放地址 169.254.0.0 5分钟 广播请求地址
重启时 ping 网关 不通 广播请求地址
人工更新租约 ipconfig /renew
释放租约 ipconfig /release
安装和配置DHCP服务器
单网段DHCP配置注意事项
1.DHCP服务器地址固定 且 配置正确
2.地址池 作用域 网段必须正确
3.DHCP容错 地址范围不重叠 配置DHCP冲突检测
route(config-if)# ip helper address 172.17.20.100
为计算机保留地址
route add 172.17.10.0 mask 255.255.255.0 172.17.80.3
单网段DHCP配置注意事项
1.DHCP服务器地址固定 且 配置正确
2.地址池 作用域 网段必须正确
3.DHCP容错 地址范围不重叠 配置DHCP冲突检测
route(config-if)# ip helper address 172.17.20.100
为计算机保留地址
route add 172.17.10.0 mask 255.255.255.0 172.17.80.3
DNS
域名 .根 edu org cn au com net 顶级域名 辅助域名
域名 .根 edu org cn au com net 顶级域名 辅助域名
安装企业内网域名解析服务器场景
1.内网规模大 安装自己的DNS服务器 降低域名解析的流量
2.有自己的网站 安装自己的DNS服务器实现内网域名解析
3.内网有域环境 使用DNS定位域控制器
1.内网规模大 安装自己的DNS服务器 降低域名解析的流量
2.有自己的网站 安装自己的DNS服务器实现内网域名解析
3.内网有域环境 使用DNS定位域控制器
DNS缓存
根提示
监视DNS工作
根提示
监视DNS工作
创建正向查找区
条件转发
条件转发
host文件和域名解析
1.缓存 ipconfig /displaydns
ipconfig /flushdns
ipconfig /registerdns 强制计算机向DNS注册名称 全称
2.hosts文件 本地 域名和IP地址的对应关系
3.DNS查找
2010-1-10
上午
WINS服务器 实现局域网内计算机跨网段名称注册 名称解析 名称注销
计算机名 单网段计算机名称注册 解析 注销过程
配置WINS服务器容错
配置计算机使用DNS进行计算机名称解析
jsk.com
上午
WINS服务器 实现局域网内计算机跨网段名称注册 名称解析 名称注销
计算机名 单网段计算机名称注册 解析 注销过程
配置WINS服务器容错
配置计算机使用DNS进行计算机名称解析
jsk.com
邮件服务器
安全
下午
PKI
加密 对称 效率高 不适合在Internet环境中传递 密钥维护困难
非对称加密 公钥和私钥 成对使用
安全
下午
PKI
加密 对称 效率高 不适合在Internet环境中传递 密钥维护困难
非对称加密 公钥和私钥 成对使用
加密
数字签名 不加密文件 确认签名人身份 确保未被更改
数字签名 不加密文件 确认签名人身份 确保未被更改
证书颁发机构CA
证书颁发机构类型
独立根CA 互联网 开放式用户 需要颁发
独立子CA
企业根CA 域中用户 内网用户 联机 默认自动颁发
企业子CA
数字签名
数字加密
安装子证书颁发机构
为Web站点配置加密通信
https 1.向客户端出示数字证书 证明自己的身份
2.加密客户端和Web站点之间的流量 在登录时使用https
证书颁发机构类型
独立根CA 互联网 开放式用户 需要颁发
独立子CA
企业根CA 域中用户 内网用户 联机 默认自动颁发
企业子CA
数字签名
数字加密
安装子证书颁发机构
为Web站点配置加密通信
https 1.向客户端出示数字证书 证明自己的身份
2.加密客户端和Web站点之间的流量 在登录时使用https
配置Web站点只允许有数字证书的用户能够访问
客户端证书
证书映射
2010-1-17
IPSec实现通信安全
网络层安全 应用层安全PKI数字签名数字加密 需要应用程序支持
可以控制进出计算机的流量 基于源IP地址 目标IP地址 协议和端口
允许 or 拒绝 or 加密通信(需要身份验证)
身份验证 1.共享密钥 2.数字证书 3.Kerberos
IPSec的应用场景
实验1 只允许某些通信
其他拒绝
实验2 加密通信 共享密钥实现身份验证
实验1 只允许某些通信
其他拒绝
实验2 加密通信 共享密钥实现身份验证
实验3 使用IPSec证书实现身份验证
NAT
把私网地址转化成公网地址
把私网地址转化成公网地址
RAS远程访问
拨号
*** 通过Internet传输私网数据 加密和身份验证
*** PPTP点到点隧道协议(加密和身份验证) TCP 1723端口
L2TP 第二层隧道协议 需要和IPSec结合保证安全 支持更广泛的网络
SSL *** 443
拨号
*** 通过Internet传输私网数据 加密和身份验证
*** PPTP点到点隧道协议(加密和身份验证) TCP 1723端口
L2TP 第二层隧道协议 需要和IPSec结合保证安全 支持更广泛的网络
SSL *** 443
配置***服务器
1.启用路由和远程访问
2.配置地址范围
3.创建用户允许拨入
1.启用路由和远程访问
2.配置地址范围
3.创建用户允许拨入
远程用户拨入内网 就等于 远程用户搬到内网
1.更改上网的地址
2.远程技术支持
***拨号的默认网关
1.更改上网的地址
2.远程技术支持
***拨号的默认网关
单网卡远程访问服务器
由DHCP服务器为远程用户分配IP地址
远程访问策略
站点间*** DDR
站点间*** DDR