Windows网络服务(WNS BENET2.0 S2)
第一章:配置DHCP服务器
1.DHCP:动态主机配置协议:为客户端提供TCP/IP参数
2.DHCP优点
- 减小管理员的工作量,减小输入错误的可能,避免IP冲突。
- 计算机移动不必重新配置IP地址,当网络更改IP地址段时,不需要重新配置每台计算机的IP地址,提高IP地址的利用率。
3.DHCP服务的工作过程:
DHCP租约过程:
- DHCP Discover 源地址:0.0.0.0 目的地址:255.255.255.255(客户端)
- DHCP offer 源地址:服务器IP地址 目的地址:255.255.255.255(服务器)
- DHCP request 源地址:0.0.0.0 目的地址:255.255.255.255(客户端)
- DHCP ack 源地址: 服务器IP地址 目的地址:255.255.255.255(服务器)
查询某IP的mac地址:nbtstat -an IP地址
4.DHCP服务器的要求
- 静态IP地址,子网掩码和其他的TCP/IP参数
- 要安装DHCP服务
- 使用活动目录服务授权DHCP服务器
- 建立作用域(发给客户端一段的IP地址)
5.安装DHCP服务
- 开始--运行--appwiz.cpl---添加/删除windows组件---网络服务---详细信息---动态主机配置协议---确定(须要放入安装光盘)
- 授权DHCP服务器(防止捣蛋DHCP进入域里),如果在工作组搭建一台DHCP,再在域里搭建一台DHCP授权,工作组DHCP会不能工作,右击DHCP--管理授权的服务器--授权--输入IP地址--确定---选择它授权---确定
- 配置作用域,右击DHCP服务器名称---新建作用域---输入相应的名称---输入须要分配的地址池----进一步配置可选项--完成--激活作用域
6.服务器选项,作用域选项和保留选项之间的关系
范围由大到小依次为:服务器选项,作用域选项,保留选项。
优先级由高到低依次为:保留选项,作用域选项,服务器选项。
7.DHCP客户端获取IP
ipconfig /renew 更新IP地址租约
ipconfig /release 释放IP租约
8.IP租约更新:租期达50%时(4天)发DHCP request包,租期到达87.5%(7天)发送DHCP Discover包更新申请。
9.DHCP中继代理配置:
如图:
- 配置DHCP服务器(指网关)
- 配置server 2003模拟路由,并且配置两个网卡的地址,开始--程序--管理工具--路由和远程访问---启用--自定义配置---LAN路由--选择是--右击常规---新增路由协议--确定--选择DHCP中继代理程序---新增接口---选择相应的接口--确定。
- 右击DHCP中继代理程序---属性--输入DHCP IP地址---添加。
第二章:配置DNS服务器
DNS的前身为hosts文件:c:\windows\system32\drivers\etc
1.域名空间结构
采用分层结构:根域,顶级域,二级域和主机名称,倒置的树
根域:全球13台根域,美国10台,日本1台,英国2台。
顶级域:组织域,国家域或地区域,反向域。
2.DNS服务的作用
域名解析成IP地址,IP地址解析成域名,FQDN(完全合格的域名)包括主机名和DNS后缀。
3.域名查询过程
两种类型的查询:递归查询和迭代查询
递归查询:有一个最终的结果
迭代查询:有一个最佳的结果,DNS与DNS之间查询
内容上分:正向查询和反向查询
正向查询由域名查找IP地址
反向查询由IP地址查找域名
4.配置DNS服务器步骤:
- 必要条件:有固定的IP地址,安装并启动DNS服务,有区域文件或者配置转发器,或者配置根提示。
- 开始---运行appwiz.cpl--添加或删除windows组件--网络服务--详细信息--域名系统打上“√”---确定(须放入安装光盘,才能完成)
- 打开开始---程序---管理工具---DNS----打开DNS管理控制台
- 新建区域--打开管理控制台---右击“正向查找区域”---新建区域--主要区域---下一步--输入区域名称---下一步---完成
- 新建反向查找区域:打开DNS管理控制台---右击反向查找区域---新建区域--主要区域--输入网络ID---下一步---完成
- 新建主机记录:右击区域--新建主机--输入主机名称,IP地址---添加---完成
- 新建别名记录:首先新建一个主要区域--右击新建别名---输入主机名称--目标主机FQDN浏览--找到所要对应的另一个FQDN--确定
主要资源记录
SOA(起始授权机构):定义了该域中的哪个名称服务器是权威名称服务器
NS(名称服务器):表示某区域的权威服务器和SOA中指定的该区域的主服务器和辅助服务器
A(主机):列出了区域中FQDN到IP地址的映射
PTR(指针):PTR记录把IP地址映射到FQDN
MX(邮件交换记录):向指定邮件交换主机提供消息路由
SRV服务:列出了哪些服务器正在提供特定的服务
转发器(属于递归查询,自己查不到的区域交给别人)右击本地服务器---属性--转发器---选择所选域的转发器的IP地址列表--输入另一台DNSIP地址--添加--确定
5.配置DNS客户机
右击本地连接--属性--Internet协议/(TCP/IP)---属性---输入DNS服务器的IP地址--确定
6.DNS高级设置
一.配置辅助区域:实现负载分担,容错功能
- 选中主服务器上须要复制的区域---属性--区域复制---勾选“允许区域复制”--选择只允许到下列服务器--输入IP地址---添加---确定
- 新建一台DNS服务器,新建辅助区域--输入主DNS服务器IP地址---添加---下一步--确定(如出现红色错误,重启DNS或刷新,关闭窗口在)
二.子域与委派
子域与委派可以扩展区域的域名空间
子域:右击主要区域---新建域----输入域名如sh---确定,就可以在子域中新建主机了。
委派:新建主机记录(在主区域上)---输入名称---输入IP地址(此IP为新DNSIP地址)---添加---完成,右击主要区域---新建委派----输入名称如sh----下一步---添加创建的主机记录---下一步---完成,在服务器上新建区域sh.benet.com.cn为主要区域
子域与委派的区别:
相同点:都会创建一个新的域
创建子域时,权威服务器就是父区域中的权威服务器,委派:新域指定权威服务器。
7.域名解析排错
域名解析顺序:本机DNS缓存,本机hosts文件,DNS服务器
如何排错:
- 检查客户机设置
- 检查DNS服务器上的资源记录
- 检查DNS服务是否启动
- 检查hosts文件
- 检查本机DNS缓存
查看DNS缓存:ipconfig /displaydns
清空DNS缓存:ipconfig /flushdns
第三章:配置WEB站点
1.WWW服务
指在网上发布的,并可以通过浏览器观看的图形化页面的服务,通过建立Web站点来实现的。
2.IIS 6.0(最新版IIS7.5)
windows server 2003操作系统中的组件,IIS主要包含www,FTP,SMTP,NNTP等服务。
3.IIS6.0安装
开始---运行--appwiz.cpl--添加或删除windows组件--应用程序服务器--详细信息--勾选Internet信息服务--确定--下一步--完成
4.配置WEB站点
开始--管理工具--Internet信息服务(IIS)管理器,右击默认网站--属性--主目录--选择本地路径--浏览--找到站点目录,默认为c:\inetpub\wwwroot选择文档将网页名称添加进来(须有后缀名)
5.配置虚拟目录
虚拟目录的优点:
- 将数据分散保存到不同的磁盘或者计算机上,便于分别开发与维护
- 当数据移动到其他物理位置时,不会影响到WEB站点的逻辑结构,不须要改链接
- 创建虚拟目录,右击默认网站--虚拟目录--输入别名--下一步--选择目录路径--浏览--完成
- 如编辑一个网页来测试虚拟目录:格式为<a href=news(虚拟目录)/ww.htm(网页)>新闻</a> 链接
6.配置虚拟主机
- 使用不同的IP地址
- 使用相同的IP地址,不同的TCP端口
- 使用相同的IP地址和TCP端口,不同的主机头
一.不同IP地址的网站配置
将主机配置两个IP地址,新建一个网站,选择不同的IP地址--下一步--找到主目录路径--下一步--完成,客户端通过IE浏览器输入http: // IP地址或另一个IP就可访问到网页
二.相同IP,不同TCP端口配置
新建站点---右击属性---将TCP端口改为81---确定---客户端输入http: // IP地址:81就可访问到网页
三.配置主机头(须靠DNS进行域名解析)
右击站点---属性--高级--编辑--输入主机头为FQDN---确定,客户端只能输入FQDN才能访问
7.WEB站点的安全性
一.身份验证和访问控制
选择默认网站属性---目录安全性---身份验证和访问控制---编辑---将启用匿名访问勾去掉---确定,这时客户端须要验证才能访问。
二.IP地址和域名限制
右击网站---属性---IP地址和域名限制---如要拒绝一个IP地址选择授权访问---输入IP地址--确定
8.配置日志
打开IIS管理器---右击属性---启用日志记录---属性---就能进行相应的配置---保存路径可以自己选择,日志中显示windows+NT+5.2代表是一个windows server 2003系统,W3VCI代表默认网站,get,post上传数据方式,200访问成功
9.安全性总结
当客户机访问网站时
- 服务器先检查客户机IP地址是否授权
- 检查用户账户和密码是否正确(匿名不须要)
- 检查主目录是否设置了“读取”权限
- 检查网站文件的NTFS权限
401.2:未经授权:访问由于服务器配置被拒绝
解决方法:右击站点属性---勾上集成windows身份验证,在服务器上创建用户--测试
403.2:禁止访问:读取访问被拒绝
解决方法:找到主目录,勾选读取--确定
403.6:禁止访问:客户端的IP地址被拒绝
解决方法:找到站点右击属性---单击IP地址和域名IP限制---编辑将授权访问的地址删除--确定
10.配置远程管理站点和远程桌面
一.在服务器上开始---运行---appwiz.cpl---添加或删除windows组件--应用程序服务器--详细信息--勾选远程管理--勾选远程桌面WEB连接---确定---下一步
二.打开IIS信息服务窗口---右击administration--属性---选择IP地址---右击目录安全性---安全通信---编辑--将勾去掉安全通道SSL--确定
三.客户端访问,打开IE浏览器http: // IP地址:8099,远程桌面须在服务器上启用,http: // IP地址/tsweb
第四章:配置FTP服务
1.安装和配置FTP服务
开始----运行appwiz.cpl---添加或删除windows组件----应用程序服务器---详细信息---Internet信息服务---详细信息---文件传输协议(FTP)服务打上勾----确定---下一步
2.配置默认FTP站点
- 开始---程序---管理工具---IIS信息管理器---右击默认站点---属性---进行相应的配置
- 安全账户--如须身份验证--只须去掉勾允许匿名连接---确定
- 消息:公司比较规范可以填入相关内容
- 主目录:本地路径---浏览---找到相应的主目录---权限相应设置---确定
- 目录安全性,授权访问就是拒绝某一个IP或一个网段不能访问,拒绝访问就是哪些能够访问的
3.FTP客户端
- FTP命令行:打开---开始---运行cmd---进入dos界面---输入FTP---输入open 主机IP地址(如有端口 open IP地址 端口号),输入用户名和密码(匿名为anonymous)---回车--成功登录,上传文件put ---接着输入本地路径如c:\web\index.htm---回车---完成,下载文件get 文件名---回车---完成,一次下载多个文件使用mget ,一次上传多个文件使用mput,设置文件传送类型asccii码和二进制。
- Web方式:打开IE浏览器---输入FTP: // serverIP地址或者输入FTP: // 用户名:密码@IP地址:端口号/虚拟目录
- FTP客户端软件(cute FTP)安装cute FTP---双击cuteFTP.exe安装文件--next--yes--next--完成,打开该软件---文件---新建FTP站点---输入服务器IP地址---用户名---密码(若为匿名无须输入)--连接,若须下载文件--只需把文件拖到本机目录中即可,如须上传文件--方法同上,只是拖到方向相反而已,是从左到右。
4.serv-u 配置(FTP服务软件)
serv-u包括两个组件:服务组件和管理组件,能够限制用户的下载或上传速度进行限制。
- 安装serv-u软件,双击server-u的安装文件---next---选择I accept the agreement---next--完成(安装汉化包,须停止进程serv-u的进程)
- 配置serv-u,打开serv-u管理员--右击域--新建域--选择IP地址--下一步--输入域名--下一步--输入端口号--下一步--完成,新建用户--右击用户---新建用户--输入用户名---密码---找到主目录---下一步---完成,配置用户:常规,目录访问,配额等。
5.远程管理serv-u
- 在serv-u服务器上授权用户为系统管理员
- 在另一台计算机上安装管理组件---打开serv-u管理员工具---右击serv-u服务器--新建服务器--输入服务器IP地址---端口号---下一步---输入相应的名称---下一步---用户名和密码--完成(该用户为授权用户)
- 进行远程管理服务
6.DFS分布式文件系统(实现两台文件服务器数据同步)
- 搭建环境,两台文件服务器并加入到域里
- 在DC创建一个共享文件夹为benet,配置DFS,开始--程序---管理工具---分布式文件系统---右击新建根目录---下一步---下一步---服务器名---浏览---找到域控制器--下一步--输入名称--共享的文件夹浏览找到DC上的共享目录---下一步---新建链接--浏览---找文件服务器上的共享目录---确定--输入相应的链接名称--确定,右击该链接--新建目标---浏览---找到第二台服务器的共享目录---确定--确定复制--下一步--完成。
- 重启两台文件服务器,然后创建文件,就可以数据同步了
- 客户端输入\\ DCIP地址,即可访问
7.配置SMTP,NNTP,POP3服务器
- 安装SMTP,NNTP,POP3服务,开始---运行appwiz.cpl--添加或删除windows组件---电子邮件服务打勾---点击应用程序服务器---详细信息---Internet信息服务IIS---详细信息---勾选NNTP,SMTP---确定
- 开始---程序---管理工具---POP3服务---单击名称---新建域---输入一个域名--确定---点击该域名---添加邮箱---输入用户名和密码--确定(创建两个用户来测试)
- 在客户端打开---outlook express---输入用户名--输入邮件地址---下一步---输入POP3和SMTP IP地址---下一步--输入账户名和密码--下一步--完成。
- 两个客户端就能发送邮件了,创建邮件---输入主题---输入收件人地址--发送,在收件人--点击发送/接收--即可查看到
- 创建NNTP新闻组,打开服务器,开始---程序---管理工具---IIS管理器---选择默认NNTP虚拟服务---新闻组---右击新建新闻组---输入名称---下一步---输入相应的描述--确定。
- 打开客户端outlook express---工具---账户---新闻---添加---新闻---下一步---下一步---输入NNTP服务器IP地址---下一步---关闭---是---选择名称---订阅---确定---右击新投递---输入主题---输入内容---发送。
- 在另一台客户端上也依次类推,只须点击NNTP IP地址---选择同步账户--就可看到。
第5章:配置远程访问服务
1.×××组件:
×××客户端,×××服务器,隧道,×××连接,隧道协议,传输互联网络。
2.配置远程访问服务(须要两个网卡)
开始---程序---管理工具---路由和远程访问----右击服务器---配置并启用路由和远程访问--下一步---选中远程访问---下一步---选中×××---下一步---选择连接Internet的接口----下一步---如内网有DHCP服务器,则选择自动,若没有则选择来自一个指定的地址范围--新建一个地址段--下一步---选择否(若有radius服务器则选择是,在输入相应的配置)--下一步---完成。
3、配置远程访问服务:
在“路由和远程访问”管理控制中,右击服务器--属性--有5个选项卡,常规、安全、IP、PPP和日志①属性:改变服务器的角色,如RAS、RRAS(两个选项中)②安全:可以选择身份验证。如Windows身份验证,RADIVS验证还可以选择IPSEC,预共享的确密钥③IP:可以选择DHCP攻取,还可以添加静态IP④PPP:多重链接LCP扩展,软件压缩等⑤日志:,默认位置为C:\WINDOWS\SYSTEMVOST\TRACING配置端口,PPTP和22TP总256个端口,配置用户拨入属性,如域控制器上,AD中选择用户右击属性--拨入属性(通过远程访问策略控制访问须要提升域功能级别,混合模式不能)
4、配置客户机网络连接:
开始--控制面板--网络连接--右击新建连接向导-=新建连接--下一步--选中连接到我的工作场所的网络--下一步--选中虚拟专用网络连接--下一步--输入公司名--下一步--输入×××外网的IP地址==下一步--完成。双击专用网络连接,输入用户名和密码--连接成功后,查看IP地址IPVONFIG/AU
5、远程访问策略:
①远程访问策略的组成:条件:远程访问权限,配置文件②远程访问策略的应用规则:1、检查远程访问策略的应用规则,如果没有,则拒绝2、如果策略的所有条件并不与连接尝试完全匹配,则转到下一策略3、如果策略的所有条件与连接尝试匹配,检查忽略用户帐户上的拨入属性,4、如果忽略用户的拨入属性为FALSE,则检查用户帐户上的拨入属性,如果拒绝访问,则断开连接,如果允许访问,则检查配置文件,如果是访问策略,则先检查访问权限,如果为拒绝,那么断开连接,如果为允许,则检查配置文件5、如果忽略用户的拨入属性为TRUE,则检查访问权限设置,如果拒绝远程访问权限,则将拒绝连接,如果受予远程访问权限,则检查配置文件
6、常见故障及解决方法:
①错误649:本帐户没有拨入的权限原因4种:用户帐户拨入属性中设置拒绝访问没有远程访问策略,远程访问策略中的条件不满足远程访问策略,远程访问策略中的条件不满足远程访问策略中设置为拒绝访问②错误800原因:客户机与外网接口设置错误,配置××× SENER IP地址选错,路由服务没有启来③错误919原因:客户端与远程访问服务器身份验证方式不匹配④故障现象:在拨入时,总是示重新输入用户名和密码原因,该×××为域成员机,在此服务器上创建用户,须输入计算机名\用户名格式
7、INTERNER认证服务(RADIVS服务)身份认证:
配置IAS服务:开始--运行--APPWIZ.CPL--添加或删除WINDIWS组件--网络服务--详细信息--INTERNET认证服务--确定--下一步--完成。
配置INTERNET认证服务:开始--程序--管理工具--INTERNET认证服务--右击新建RADIUS客户端--输入一个名称--输入×××内部IP地址--下一步--输入共享的密码--完成
补全SRV记录
NET STIP NETLOGON && NET START NETLOGON
第6章:PKI与证书服务应用
1.什么是PKI
通过使用公钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。
PKI由公钥加密技术,数字证书,CA(证书颁发机构),PA(注册机构)
PKI体系能够实现的功能有:身份认证,数据完整性,数据机密性,操作的不可否认性。
公钥基础结构:公钥加密技术和数字签名
2.公钥加密技术
数据加密:功能:数据机密性
如图:
数字签名:功能:数据的完整性,身份验证,操作的不可否认性
如图:
3.CA(证书颁发机构)(类似于公安局)
CA是PKI公钥基础结构中的核心部分,数字证书:就是身份标识(类似于×××)
CA的作用:核心功能就是颁发和管理数字证书
- 处理证书申请,鉴定申请者是否有资格接收证书
- 证书的发放:向申请者颁发,拒绝颁发数字证书
- 证书的更新,接收最终用户数字证书的查询,撤销
- 产生和发布证书吊销列表,数字证书的归档,密钥归档,历史数据归档
4.证书的发放过程
如图所示:
1.证书申请 2.RA确认用户 3.证书策略处理 4.RA提交用户申请信息到CA
5.申请过程中生成密钥对,并用CA的签名密钥对用户信息ID进行签名,生成电子证书
6.CA将电子证书传送给批准用户的RA 7.RA将电子证书传送给用户
8.用户验证CA颁发的证书
5.安装证书服务:
- 首先安装IIS
- 安装证书服务,开始---运行appwiz.cpl---添加或删除windows组件---选中证书服务--下一步--是--选中企业根---下一步--下一步--是--完成
- 申请证书 打开IE浏览器输入http : // 服务器IP地址/certsrv 选择申请一个证书---下载--保存本地路径
6.在WEB服务器上设置SSL
- 生成证书申请:打开IIS管理器--选择属性---目录安全性---服务器证书---下一步---新建证书---下一步---现在准备证书请求,但稍后发送---下一步---输入名称---下一步---在输入FQDN名称--下一步--下一步--浏览本地路径---下一步---完成
- 提交证书申请:打开IE浏览器--输入证书服务器IP/certsrv单击申请一个证书--选择高级证书申请---选择第二项---下一步---单击base64编码的证书---将证书复制,然后粘贴到里面---证书模板选择web服务器---提交
- 颁发证书,下载证书,如果是独立CA,则不会自动颁发证书,需要在“挂起的申请”中选择申请的证书,然后颁发,下载证书选择base64编码--下载证书
- 在Web服务器上安装证书,打开IIS管理器--右击网站--属性--目录安全性--服务器证书--下一步--选择处理挂起的请求---下一步---找到下载的证书---下一步---下一步--完成
- 启用安全通道(SSL)打开IIS管理器--目录安全性--安全通信---编辑--选中要求安全通道---确定
- 客户端须输入https : // 网站域名或IP形式访问
7.证书的导出与导入
导出证书:打开“IIS管理器”---属性---目录安全性---单击服务器证书---下一步---选中将当前证书导出到一个.pfx文件---下一步---选择本地路径--下一步---完成。
第七章:Windows群集
1.Windows群集分为:网络负载平衡群集和服务器群集
服务器群集与NLB群集对比
- NLB群集:Windows server 2003四个版本都支持,用来实现前端服务,如Web,FTP,ISA,×××等负载均衡,一个NLB群集中最多支持32台计算机,必须条件,网卡上添加网络负载平衡服务。
- 服务器群集:Windows server 2003只有两个版本支持,企业版和数据中心,实现DHCP,文件共享,后台打印MS SQL Server,exchange server服务的可靠性。服务器群集最多可由8个节点组成(也就是8台计算机),必要条件:活动目录环境,仲裁设备(或共享磁盘),必须有两块网卡(一定要在域环境中)
2.配置网络负载平衡群集
- 启用网络负载平衡
- 连接到现存的群集
- 添加主机到群集
若在虚拟机里配置:环境为两台windows server 2003 的服务器,一台DC,须改SID,两块网卡,NLB网卡为host only类型
3.启用网络负载平衡
开始---运行---输入nlbmgr---确定---打开NLB窗口右击网络负载平衡群集---新建群集---输入虚拟IP地址(与NLB网卡同一网段)---输入FQDN名称---选择多播---下一步---下一步---下一步---输NLB服务器名称或IP地址---连接---选择外部接口---下一步---完成
4.连接到现存的群集
在第二台服务器上---打开NLB窗口---右击NLB--连接到现存的---输入第1台NLB网卡的IP地址---连接---完成
5.添加主机到群集
打开NLB管理窗口---右击群集名称---添加主机到群集---输入另一台主机名称---连接---选择NLB接口---下一步--完成
6.验证网络负载平衡群集
验证群集的IP地址,是否“勾”网络负载平衡
验证Web服务器NLB群集,安装IIS服务
7.网络负载平衡最佳操作
- 正确保护网络负载平衡主机和经过负载平衡的应用程序
- 如果可能,在每个群集主机上至少使用两个网络适配器,但并非必要条件
- 在群集适配器上只使用TCP/IP协议
- 确保群中的所有主机属于同一个子网并且客户机能够访问子网
- 使用网络负载平衡管理器配置NLB群集
- 不要启用网络负载平衡远程控制
- 启用日志记录
- 独立使用NLB群集和服务器群集
8.服务器群集
环境:在域环境下,创建一个用户并授权管理员权限,配置共享磁盘(仲裁设备)关闭一台主机,添加两块scsi硬盘,选择编辑虚拟机设置---选择添加硬盘---高级--选择scsi1:1---确定。修改第一台主机vmx配置文件,在文件尾添加disk.locking = "false"保存,这样避免磁盘被一台服务器锁定,启动该虚拟机,配置磁盘分区(注意不能使用动态磁盘)须改网卡类型,真机不须要,关闭,配置第二台主机,添加一块已存在的硬盘,找到第一台的硬盘,后面配置一样,(须设置心跳线禁用netbios,DC接口,高级里面提升)
①配置、服务器群集
打开--开始--运行--输入XLUADMIN--创建新群集--确定--下一步--输入虚拟NETBIOS名--下一步--绿色--下一
步--输入虚拟IP地址--下一步--输入用户名和密码--下一步--仲裁--下一步--完成
②创建服务器群集中的第二节点
右击服务器名--新建--节点--下一步--输入另一台主机名--添加--下一步--输入密码--下一步--完成
③配置专用网络
单击群集配置--单击网络--右击心跳线--属性--选中吸用于内部群集通迅--应用==确定
④验证服务器群集(文件共享验证)
单击群集组--新建--资源--输入名称--类型为文件共享--在输入共享名--本地路径--设置权限--完成,然后
禁用活跃服务器上公用网络网卡。
补全SRV记录,DNS:NET STOP NETLOGON &NET START NETLOGON 注册DNS IPCONFIG/REGISTERDNS
9. WINDOWS SERVER 2000 DC提升到WINDOWS SERVER 2003 DC
①安装2000为DC
②将WINDOWS SERVER 2003加入到该域中
③在SERVER 2000中放入2003安装光盘,打开命令提示符,进入光盘的盘符如E:,CD:i386--①SDPREP.EXE
/FORESTPREP(扩展活动目录架构)②ADPREP /DOMAINPREP /GPPREP(更新组策略)③ADPRER /DOMAINPREP
④在SERVER 2003中安装额外控制器DCPRIMI,按下来就是DNS安装强占FSMO,清除原数据,提升GC。
第8章:多域间的访问
1.林,域树和子域的概念
林:单个域树或者多个域树构成林,林中的不同域树不共用连续的域名空间,林中的所有域共用相同的配置,架构和全局编录。
域树:是共用连续域名空间的Windows域,域树的第一个域是该域树的根,向域树中添加的任何新域都叫子域。
2、两个组的作用
Enterprise Admins(企业管理组):可以对活动目录中整个林作修改,例如添加子域。
Schema Admins(架构管理组):可以对活动目录中整个林作架构修改。
3、安装DC须具备的条件
①必须具有本地管理员权限
②操作系统版本(除Windows Server 2003 Web版)
③有一个静态IP地址
④有相应的DNS服务器支持
⑤主少一分区为NTFS(为什么要有一个NTFS文件系统,系统卷有GPT,还有筛选须要权限)
⑥有足够的可用空间
4、创建文域(DNS指向子域的DNS)
开始--运行dcpromo--确定--下一步--选中新域的域控制器--下一步==选中在现有域树中的子域--下一步--输入管理员--密码--子域的域名--下一步--子域选择浏览--子域输入前面一部分--下一步--保持默认--完成。
5、创建林中域树(子域与该域须要做转发器)
开始--运行--输入dcpromo--选中新域的域控制器==下一步--选中现在的林中的域树--下一步--输入管理员用户和密码--输入林中第一台域的域名--下一步--输入新域的名称--下上步--完成。
6、在一个林中创建多个域的原因有
①部门之间有不同的安全策略要求,可以针对部门创建域
②有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少
③分散的网络管理,而不是由一个域管理员管理,多个域意味着有多个域管理员
④对复制进行更多的控制
7、林中的默认信任关系类型有
树根信任:在同一个林中的两个域树之间存在父子信任:在同一个域树中父域和子域之间存在《自动建立,传递信息,双向信任》
林中跨域访问:AGDLP规则
8、林之间的信任:外部信任的林信任(两个家庭的信任)
外部信任是指在不同林的域之间创建的不可传递的信任。
林信任是林根域之间建立的信任,单向或双向的可传递信任关系
①创建外部信任<帐户域benet.com.cn--资源域project.lvm>,需要配置DNS的转发器,实现两方域名解析
在priject域的DC,打开AD域和信任关系,右击project属性--信任-- 选择新建信任--下一步--输入benet.com.cn--下一步--选择单向外传(我信任别人,别人到我这里验证访问资源)。双向,我信任你,你信任我,单向内传:别人信任我,我到别人那访问资源--下一步--选中这个域和指定的域--下一步--输入benet.com.cn的管理员和密码--下一步--下一步--选择是,确定传入信任--下一步--完成《跨域访问资源AGDLP》
(手动建立,信任关系不可传递,信任方向有单向和双向两种,内传:别人信任我。外传;我信任别人)
②创建林信任
首先提升域功能级别为Windows Server 2003模式,然后提升林功能级别为Windows Server 2003 。
条件:必须要根域上设置,必须林功能级别为Windows Server 2003。假设priject.com信任benet.com.cn的林信任:在priject域的DC,打开AD域和信任关系--右击该域名--属性--信任--新建信任--下一步--下一步--选择林信任--下一步--选择单向外传--下一步--选择这个域和指定的域--下一步--选择全林性身份验证--下一步--下一步--完成。
林中:父子、树根 林间:外部、林信任
Windows手台命令配置IP地址dns,网关等.
netsh--interface--ip--add addrns?
第9章 操作主机与活动目录数据库维护
1、操作主机角色:(FSMO)www.winsrv.org
林中:架构主机,域命名主机
域中:PDC仿真主机,RID主机,基础结构主机
①架构主机作用:控制整个林的架构的全部更新AD架构须要注册,运行regsvr32(mmc打开)
②域命名主机控制林中域的添加或删除,可以防止林中的域名重复,要整个林中只能有一个域命名主机
③PDC仿真机:①管理来自客户端的密码更改。②最小化密码变化的复制等待时间。③同步整个域内所有域控制器上的时间。④支持NT4.0M 同步域的数据。
④RID主机:将相对ID(RID)序列分配给域中每个域控制器,SID包括两部分,域SIDRID,域SID-S-1-5-21RID为500为管理员帐号
⑤基础结构主机:负责更新从它所在的域中的对象到其他域中对象的引用。
使用基础结构主机的要点:
①除非域中只有一个域控制器,否则不应将基础结构主机角色指派给全局编录所在的域控制器,(gc与基础结构主机在一起,基础结构主机将不会生效)。
②如果域中的所有域控制器都存有全局编录,则所有域控制器都将拥有最新数据,因而无论哪个域控制器承担基础结构主机角色均不重要。
③基础结构主机还负责在重命名或更改组成员时更新“组到用户”的引用。(gc在森林根域的第一台DC上,查看gc站点和服务--defavlts--servers--右击域--属性是否有“√”全局编录)
2、转移操作主机角色
①windows图形界面:打开AD用户和计算机--右击AD用户和计算机--连接到域控制器--输入另一个域控制器的名称,然后右击AD用户和计算机--所有任务--操作主机--PDC--更改--是(RID和基础结构主机类似)。转移架构主机角色:运行regsvr32注册--输入mmc--文件--添加或删除管理单元--找到AD架构--添加--右击AD架构--更改域控制器--选中指定名称--输入另一台域控制器的名称--确定,右击AD架构--单击操作主机--更改。转移域命名主机角色:打开AD域和信任关系管理单元--右击AD域和信任关系--单击连接到域控制器--输入另一台名称--单击“操作主机”--更改。
②命令行方式:打开命令提示符ntdsutil--roles--connection--connet to sever 主机名称--quit--transfer RID master--transfer PDC等按“?”帮助。
3、占用操作主机角色(有一台出现故障,无法恢复)
①安装DNS、②抢占FSMO、③提升GC、④清除原数据、⑤修改客户机DNS(以上为主要步骤)。①安装DNS:benet.com 和msdcs.benet.com。②命名为ntdsutil--roles--connection--connect to server主机名称--quit--seize RID master--seize pdc--seize schema master--seize dimain naming master--seize infrastructure master。③打开--开始--程序--管理工具--站点和服务--defaults--servers--右击域属性--是否全局编录打上“√”,打“√”为gc。④清除原数据步骤:命令提示符下ntdsutil--riles--metad to deanup--connections--connet to server--主机名--quit--sdect opearation target--list sites--sdect site 0--list domain in site sdect domain 0--list servers for domsin in site--sdect server 0(第一台服务器)--quit--remove sdect server(然后在站点和服务中删除不要的服务器)。测试telnet 127.0.0.1 3268是否连接上,重启net logon服务:net stop netlogon&net start netlogon。
4、活动目录数据库维护:(nubackup)
DC中系统状态数据包括以下内容:①注册表、②COM+类注册数据库、③启动文件、④活动目录、⑤系统卷、
(非DV中没有④⑤)。
非授权还原:还可以恢复活动目录到备份时的状态重启DC--按F8键--选择“目录服务还原模式”--输入administrator--还原密码--进入系统--开始--程序--附件--系统工具--备份--选择还原和签理媒体--选择原位置--确定,重启DC。
授权还原:可以恢复活动目录的特定对象。①重启DC,按F8进入目录还原模式、②非授权还原后不要重启计算机、③打开命令提示符ntdsutil--authoritative restore--restore subtree"ou=名称,dc=benet,dc=local",如还原users组"cn=users还原某个用户"cn=用户名、④重启DC:查看Fsmoy主机角色须安装1386中的support中support tools netdom query fsmo。查看用户SID whoami luser。
诊断DC健康状况:dcdiag /√,详细诊断、格式:查询RID getsid\\域名、用户名,能查询到有几台DC。
第10章:监控服务器
1.事件查看器:查看计算机中产生的日志。
应用程序日志:包含由应用程序或系统程序记录的事件
安全性日志:记录诸如有效和无效的登录尝试等事件
系统日志:包含windows系统组件记录的事件
打开事件查看器--右击事件查看器(本地)--单击连接到另一台计算机--输入IP地址--查看另一台日志。
系统日志保存在c:\windows\system32\config\sysevent.evt如果日志满了,能拨号上去,就是不能上网。
如果事件ID为1053错误。sysvol系统没有共享,解决方法,运行regedit打开注册表\HKEY_local_MACHINE\SYSTEM\Current contro\set\services\ntfrs\parameters\backup\restore\
process at startup 将burflags设置为d4(十六进制)重启ntfrs服务,net ntfrs start 解决错误事件网站:support.microsoft.com
2.性能控制台
性能监视是监视系统或者服务如何使用系统资源,如磁盘,内存,处理器和网络组件等。包括两个工具:系统监视器,性能日志和警报。
开始--管理工具--性能--系统监视器,常见问题及其应该使用的计数器
处理器速度慢:性能对象:processor 计数器:process time
system process queue length(队列长度)
内存问题: memory page/sec
网络性能慢: network interface bytes total/sec
磁盘性能问题: logicaldisk %free space disk bytes/sec
Web服务性能问题: web service connection attempts/sec
新建警报:打开窗口---选择警报--常规---添加--对象如cpu process\%process time --超过80--间隔15---单位分钟(15分钟之内CPU利用率超过80%就发出警报)--确定
--操作发送网信息--输入另一台IP地址(须在此台开启message服务)可以运行services.msc进入服务管理器窗口
3.任务管理器
提供当前运行的应用程序,进程和内存使用或关于进程的其他数据,启动方法:ctrl+shift+esc ctrl+alt+del
5个选项卡:应用程序,进程,性能,联网和用户。任务管理器taskmgr查看本机所有进程task list 杀死进程taskkill /pid ID进程
若出现桌面上没有任何图标须添加explorer进程,按住ctrl+alt+del--文件--新建任务--浏览--我的电脑--c:\windows\explorer--打开--确定
4.网络监视器
捕获本地计算机上发送或接收的网络传输(帧)包括广播帧和多播帧
安装网络监视器:开始--运行appwiz.cpl--添加或删除windows组件--选择管理和监视工具--详细信息--选择网络监视工具--确定(须放入安装光盘)查看捕获详细信息,如源mac地址,目标mac
地址,协议,其他源地址,其他目标地址等。
5.PC Anywhere的使用(远程控制软件)
如图所示:
双击pcanywhere安装程序---next---选择 i accept the ....---next---finish,安装汉化补丁
设置被控端 打开pcanywhere窗口--选择被控制端--右击network cable DSL--属性--连接信息为TCP/IP--设定值选择与windows一起启动--呼叫者--选择验证类型为pcanywhere--单击呼叫者列表
第一个图标--输入呼叫者用户名和密码---加密---可选择相应级别(与主控制端须一致)--确定--应用
设置主控制 打开pcanywhere窗口--选择主控端--右击network cable DSL ---属性--选择设定值---选择IP地址并输入被控制端IP地址---登入信息输入在被控端所建的用户和密码--应用--确定
在服务器上启动被控制端
在被控制端启动远程遥控
文件传输 选择任务--文件传送--选择一个本地文件--单击--传送给对方--选择远程文件--单击--传送到本地目录.
转载于:https://blog.51cto.com/liweizhong/448264
154
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
