一.虚拟机
二.部署xp和windows老版本(2003或者win7)
一二.虚拟化技术 格式化
企业enterprise 专业professional 服务器server 客户端client c/s--BS
虚拟机克隆:链接克隆 完全克隆
三.IP地址详解
IP地址都是三十二位,二进制
ip正确性就是0到255
ip+子网掩码
ip分类
网关
dns(域名解析):本地dns缓存 本地hosts文件 找dns服务器
四.进制转换
二进制
五.基本dos命令
1.重定向符号:(eg:修改hosts文件)
echo 1>正确输出
2>错误输出
>>为追加
>为覆盖
3. rd . /s /q
4. type文件名.拓展名; | more分页显示; 展示c盘里面目录 dir c:\windows |more|
(copy con qingshu.txt (con是屏幕) )
type作用就是浏览一个文件内容
5.创建文件
md创建文件夹 rd删除文件
attrib隐藏文件(对文件或者文件夹属性进行修改,attrib +属性,attrib +h 文件名隐藏文件夹)
+h隐藏 +s提升到系统保护的文件夹 +a只读属性(别人不能进行修改)
1)echo
2)copy con 文件名.拓展名
开始编辑内容
CTRL+z回车结束编写
6.del是清空 删除文件
按类别删除 *代表所有
del *.txt #删除所有txt结尾的文件
del *.* #删除所有文件
del *.* /s /q #无提示删除所有文件(不要随便去添加)
注释:*为通配符,代表任意字符,任意长度
7.fsutil file createnew c:\windows\system.ini 409600000(瞬间生成409600000字节的空文件)
8.assoc修改关联性 assoc .txt=exefile
9.shutdown -s(/s) -t 100
-s代表要关机 -t代表还有多少秒关机
shutdow -a代表取消所有计时
定时关机 shutdown -s -f -t 100 (-f表示强制)
-c “” 表示消息
shutdown -l表示注销,同logoff命令相同
10.ren 旧名 新名
六.批处理编写(脚本){批处理编写在Windows叫dos或批处理,在linux叫shell脚本}
1.批处理作用 自上而下成批处理每一个命令
不管程序成功与否都会一直执行到最后一条
如何创建批处理 :新建一个记事本文件,然后将扩展名改成.bat
内容如下:d: ; ) cd/ ;) cd tmp;)del./s/q;)
批处理命令 echo是显示命令用于输出内容 pause暂停(批处理才有意义,就是发出指令后有命令也不会执行)
@echo off屏蔽执行过程(固定格式)就是关闭回显功能,也就是屏蔽过程,建议放在批处理的首行
echo可以和客户进行互动,在批处理里有用的
pause就是暂停批处理
color **(前面*是背景颜色,后面*是文字,可以cmd用color ?来查询颜色具体代表的数字和字母)
安全性操作维护批处理和shell脚本很有用
title给批处理加标题
set:设置变量,常用于在脚本中的互动赋值(互动赋值set \p time=请输入: 引用变量:%time%)
批处理处理程序分先后顺序,批处理处理先后顺序很重要
ping -n 10 1**.**.*.*>nul 2>nul(屏幕卡住了,但是是在执行的)清理垃圾,ping错误地址会一直ping
{d:
cd \
rd . /s/q}约等于格式化d盘会有提示报错
{d: >nul 2>nul
cd \ >nul 2>nul
rd . /s/q >nul 2>nul}在末尾添加这段命令就不会显示东西
(1)>nul就是不显示正确命令 2>nul就是不显示错误命令
而>nul 2>nul则是正确的错误的都不显示
dos批处理 冒号是用来定义命令区间的 用冒号来划分区块 每个冒号之间都是区块
( :)冒号不是命令,但是系统会识别冒号,会识别成区间
go to 空格 数字(跳转到识别的区间,跳转数字是名字)
(一个简单的病毒){:d
start (start就是打开巴拉巴拉,如果没有写打开什么,就是打开cmd)
go to 3}
在:d前面打copy加这个文件的名字,就是****.bat
开机启动,就是打开win里面的启动目录里面进行添加,这个就是开机启动
不知道对象用的什么用户名,可以用变量,就是当前用户的家目录路径就是%userprofile%
windows启动默认家目录路径就是%userprofile%
ntsd -c -q -pn windows.ese 针对xp或2003的蓝屏命令
taskkill /im explorer.exe/f(taskkill杀死进程,explorer就是任务管理或资源管理)
案例:@echo off
color 0a
taskkill /im explorer.exe /f >nul 2>nul //杀死进程
echo 卡了
ping -n 10 1**.**.*.* >nul 2>nul //-n就是卡住屏幕,10就是10s,后门nul就是隐藏
start c:\windows\explorer.exe //start就是打开后面的那个
echo 吓你
pause}
七.用户与组管理
1. 服务器系统版本 windows服务器系统:win2000 win2003 win2008 win2012;linux服务器系统:redhat centos
2.1用户概述
·每一个用户登录系统后,拥有不同的操作权限
·每个用户拥有自己唯一的sid(安全标识符)
使用多个用户,可以更改权限设置,避免破坏
攻击服务器选择权限高的去攻击
用户sid(s-*-----500) 系统sid(s-*-----)
系统安全标识符都是随机生成的,数字庞大,用户uid是系统后加-***
这里的用户uid就是500(500是固定给windows管理员的),普通用户的uid是从1000开始的
不同的账户拥有不同的权限,为不同的账户赋权限,也就是为不同账户的sid赋权限
查看sid值:whoami/user
账户储存位置:c:\windows\system32\cinfig\sam #暴力破解/撞库
哈希算法hash,是不可逆算法,只能正向加密,算法目的就是为了验证完整性,只能暴力破解或撞库
去网站www.cmd5.com进行撞库
windows系统上,默认密码最长有效期是42天
2.2内置账户
·给人使用的账户:
administrator #管理员账户
guest #来宾账户
计算机服务组件相关的系统账号
system #系统账号===最高权限
local services #本地服务账户==权限等于普通用户
network services #网络服务账户===权限等于普通用户
新建用户权限都是普通用户,但是高于guest用户
2.3配置文件
每个用户都有自己的配置文件(家目录),在用户第一次登录时自动产生,路径是:
win7/win2008 c:\用户\
xp/win2003 c:\documents and settings\
2.4用户管理命令
net user #查看用户列表
net user用户名 密码 #改密码
net user用户名 密码 #创建一个新用户
net user用户名 密码 #删除一个用户
net user用户名 密码 #激活或禁用账户
组管理
3.1组概述
作用:简化权限的赋予
赋权限的方式:
1)用户-组-赋权限
2)用户-赋权限
3.2内置组
内置组的权限默认已经被系统赋予
administrators 管理员组 管理系
power users 超级用户组 管理系统
users 普通用户组 默认新建用户都在这个组中
guests 来宾用户组
print 打印机组
remote desktop 远程桌面组
一个用户可以加入多个组
3.3组管理命令
net localgroup #列出该计算机上的组列表
net localgroup 组名 #列出该组的详细信息
如:net localgroup administrators #列出administrators组的详细信息
net localgroup 组名 用户名 /add #将用户添加到组中
如:net localgroup administrators shimisi /add #将shimisi用户添加到administrators组中
net localgroup 组名 用户名 /del #将用户从该组中删除
如:net localgroup administrators shimisi /del #将shimisi用户从administrators组中删除
net localgroup 组名 /del #删除组
net localgroup 新组名 /add #创建新的组
如:net localgroup CEO /add
3.4用户管理命令
net user #查看用户列表
net user用户名 密码 #改密码
net user用户名 密码 /add #创建一个新用户
net user用户名 /del #删除一个用户
net user用户名 /active:yes/(no) #激活或禁用账户
八.服务器远程管理
1.远程桌面(只要地址可以ping通,然后远程开启的桌面开启远程管理就可以实现服务器远程管理)
配置网络,实现客户机与服务器互相连通
mstsc 远程桌面连接(连接对方的ip地址),如果对面没有反应就说明对面没有开启远程桌面
步骤:1)首先将配置网络,并实现客户机和服务器互通;2)服务器开启允许被远程控制:桌面右键属性--远程设置--选择允许--确定。
3)客户机上:开始--运行---输入mstsc打开远程连接工具;4)在mstsc工具上输入服务器的ip并点击确认
5)输入服务器账号和密码
注意:如果使用的不是管理员账户登录远程,需要在服务器上将用户加入到远程桌面内置组的remote desktop users中。
2.telnet
打开services.mas服务管理窗口,启用telnet
使用得ping通
组管理的telnetClients得有目标客户
打开cmd输入telnet IP地址
可以扫描端口号扫描外来客户,端口号类似对外打开的大门,可以通过进行查询来核实外来客户
netstat -an查看本地所有开放的端口;
telnet:23; 远程桌面协议:3389;
3.破解系统密码
1)利用五次shift粘滞按键以确认有无
·在未登录系统时连续按五次shift,弹出程序c;\windows\system32\sethc.exe
·部分win7和win10系统在未进入系统时,可以通过系统修复漏洞篡改系统文件名
注意,如果win7和win10已经修补漏洞2就无法利用
破解需要的知识:cmd工具路径 c:\windows\system32\cmd //
用户/账户密码储存位置c:\windows\system32\config\sam //
修改账户密码net user 用户名 新密码//
在虚拟机win7出现windows图标的时候虚拟机关机(就类似于关机),然后重启就会进入错误恢复(如果没有进入就多试几次)
出现系统提示还原提示,点击取消,等待几分钟后,会出现问题原因,点击查看详细信息,然后打开最后一个链接即一个记事本
漏洞就在记事本里面,记事本里点打开,选择打开显示所有文件,会打开目录里面就以摸到c盘里面去,
找到sethc并改名sethc -bak,再找到cmd,复制一份改名为sethc
全部关闭然后重启,系统启动完毕后,连续按五次shift键,将会弹出cmd工具,
使用命令“net user 用户名 新密码”,将当前用户密码修改掉就行,
或者另外建立一个用户,并提升为管理员,注销后,可再删除新建的用户,这样的好处就是不修改当前用户的密码就可以登录系统
2)利用pe破解系统密码(要是windows系统,得有u盘,在windows安装一个微型的windows修复系统)
开机一般先从硬盘引导,改成U盘引导,就会用U盘的系统。【用u深度增强版(就是用pe制作软件制作pe)】
开机的时候按f2打开开机目录,把开机读取优先读取u盘,f10或fn+f10保存,重新开机打开U盘里的pe直接修改用户和密码就行
九.ntfs安全权限(针对文件和文件夹)
1.ntfs权限概述
·通过设置ntfs权限,实现不同的用户访问不同的权限
·分配了正确的访问权限后,用户才可以访问其资源
·设置权限防止资源被篡改和删除
2.文件系统概述
文件系统类型就是格式化的一种方式
文件系统就是再外部储存设备上组织文件的方法
常见的文件系统:fat(windows) ntfs(windows) ext(linux常见)
ntfs最小的文件是4kb
fat转换成ntfs:convert盘符:/fs:ntfs #数据不丢失,但是不可逆
3.ntfs文件系统的特点
·提高磁盘读写性能
·可靠性 加密文件系统 acl访问控制列表(设置权限)
·磁盘利用率 压缩 磁盘配额
·支持单个文件大于四个g
4.修改ntfs权限
4.1取消权限继承:取消后可以任意修改权限列表(没有成功可能是user没有删除,因为有这个用户所以全部的权限会累加)
文件夹右键--安全--高级--去掉第一个对号--选择复制即可
在文件夹安全属性高级里下“允许父项的继承权限传播到该对象和所有子对象,包括那些再次明确定义的项目”给取消勾选
(脱离父子关系,复制和删除权限,不同系统有不同说法,可能是复制和添加,但是意思是一样的,要注意分辨)
4.2文件和文件夹权限
文件权限:
完全控制 拥有读取 写入 修改 删除文件 及特殊权限
修改 拥有读取 写入 修改 删除文件的权限
读取和执行 拥有读取和执行文件的权限
写入 拥有修改文件内容的权限
特殊权限 控制文件权限列表的权限
文件夹权限:
完全控制 拥有对文件和文件夹的读取 写入 修改 删除文件和特殊的权限
修改:拥有对文件和文件夹读取写入修改删除文件的权限
读写和执行 拥有对文件夹的下载读取和执行的权限
列出文件夹内容 可以列出文件夹内容
读取 拥有对文件的文件下载 读取的权限
写入 拥有在文件夹里创建新的文件权限
特殊权限 控制文件夹权限列表的权限
案例:建立jimi文件夹 并设置ntfs权限 要求a用户只能读取文件夹文件 不能在jimi文件夹中创建文件 b用户只能在jimi文件夹中创建新的文件 不能读取文件
4.3权限累加
当用户同时属于多个组时,权限时累加的(累加允许)
案列:a属于it组和hr组,it对文件夹jimi可以读取,hr可以对其写入·,则a可以读取和写入
4.4拒绝最大
当用户权限累加时,如遇到拒绝权限相同允许一起时,拒绝最大
4.5取得所有权
默认只有administrator有这个权限:可以将任何文件夹的所有者改为administrator
在高级里面可以更改所有者(管理员才可以更改,并且记得勾选“替换子容器及对象的所有者”)
案列:a离职了,但是xxx文件夹的属主还是a,由于a对xxx文件夹做过权限修改,导致其他用户对xxx文件夹没有任何权限,
现需要管理员administered用户对xxx文件夹重新修改权限
4.6强制继承
对下强制继承父子关系
方法:文件夹右键属性--安全--高级--勾上第二个对号(用在此的显示的可以应用到子对象的项目替代所有子对象的权限项目)
案列:xxx文件夹下有多个子文件及文件 由于长时间权限管理 多个子文件夹权限都做过不同的权限修改 现需要xxx下的所有子文件及文件夹的权限全部统一
4.7文件复制对权限的影响
文件复制后,文件的权限会被目标文件的权限覆盖(移动文件,跨分分区就会覆盖,同一分区就得保留)
九.文件共享服务器(一般服务器是ftp服务器,文件共享服务器是cifs服务器,对外更多的用ftp服务器,对内则是cifs服务器)
本地ntfs权限仅限本地登录的用户控制(安全里面的用户权限),远程登录受本地ntfs和共享权限共同影响
1.通过网络提供的文件共享服务,提供文件下载和上传服务(类似于ftp服务器)
2.创建共享 :文件夹右键--共享--开启共享--设置共享名--设置共享权限
注:在本地登录时,只受ntfs权限的影响;在远程登录时,将共享及ntfs权限的共同影响,且取交集(ntfs权限和远程访问权限);
所以建议设置共享权限为everyone完全控制(一个都不用加,保留权限,一个都不动),然后具体的权限需要在ntfs权限中设置即可
3.访问共享(注意可能开着防火墙,创建用户ip密码,给人进行共享)
在开始运行时/或我的电脑地址栏中,输入unc地址(两个反斜杠夹ip就是unc地址):
\\文件共享服务器ip
\\文件共享服务器ip\共享名
服务器上有某文件夹:d:\didi
服务器ip:10.1.1.1
共享名:f
以下可以正常访问该共享的是:\\10.1.1.1\f(因为通过网络共享,所以无关使用哪个盘,也不管文件在盘里叫啥,只关心是什么服务器和共享名)
案例:开两台虚拟A机,并可以互相ping通;设置win2003为共享服务器,并在客户机上可以访问共享,要求在aa账户只能下载,bb账户只能上传,cc账户可以上传下载和删除
4.创建隐藏的共享:就是共享名$
5.访问隐藏共享的方法:就是\服务器ip\共享名$
6.共享相关指令
net share #列出共享列表
net share 共享名 /del #删除共享
7.屏蔽系统隐藏共享自动产生
7.1打开注册表 打开注册表编辑器:regedit
7.2定位共享注册表位置 HKEY-local-MAcHINE\System\CurrentControlset\Services\LanmanServer\Parameters\
右键新建reg_dword类型的autoshareserver键,值为0
8.查看本地网路连接状态:netstat -an
9.关闭445服务
可以通过关闭455端口来频闭病毒传入(如勒索病毒等)
方法1:打开services.mac,并停止及禁止server服务(关闭这个服务相当于关闭了445端口号,注意修改恢复)
方法2:禁止被访问445端口,配置高级安全windows防火墙-入站规则(在win7及以上系统,win2008及以上系统)
十一.DHCP部署与安全(dynamic host configure protocol服务器)
1.DHCP作用 自动分配IP地址
2.DHCP相关概念 地址池/作用域:(ip 子网掩码 网关 dns 租期),正常上网需要ip 子网掩码 网关 dns,dhcp协议端口是udp
3.DHCP优点 减少工作量,避免ip冲突,提高地址利用率
4.DHCP原理 也称为dhcp租约过程,分为四个步骤(哪个相应先到先用哪个)
1)客户机发送dhcp discovery广播包
客户机广播请求IP地址(包含客户机的amc地址)
2)服务器响应dhcp offer广播包
服务器响应提供的IP地址(也可以确认使用哪个ip)
3)客户机发送dhcp request广播包
客户机选择ip(也可以认为确认了要使用哪个ip)
4)发送dhcp ack广播包
服务器确认了租约,并提供网卡详细参数ip 掩码 网关 dns 租期等
5.DHCP续约(客户机有ip之后再发送request包目的就是续约)
当过50%后,客户机会再次发送dhcp request包,进行续约,如服务器无响应,
则继续使用并在87.5%再次发送dhcp request包,进行续约,如果仍然无响应,
并释放IP地址,及重新发送dhcp discovery广播包来获取IP地址
当无任何服务器响应时,自动给自己分配一个169.254.x.x/16,属于全球统一无效地址,用于临时内网通信!
6.部署DHCP服务器(小公司可以用路由器做,中大型企业一般单独做,建议做多几个)
先桥接网络
1)IP地址固定(服务器必须固定静态ip)(动态服务,固定地址)
{配置IP地址在本地连接属性里打开tcp/ip(在加载软件包里可以实现)}
2)安装DHCP服务插件
3)新建作用域及作用域选项(右键服务器新建作用域)
新建作用域向导:起始ip 10.1.1.21 结束IP 10.1.1.250 (IP地址不确定,自己考量进行范围分配)长度可以是24 子网掩码是会根据长度自动改变的
地址排除(防止特殊ip,自己的ip或者服务器的ip) -- 租约修改
路由器ip(网关)要和公司的网关相吻合,不能瞎写 -- 域名称和dns服务器 写几个服务器无响应后可以使用的IP地址
wins服务器(可以直接忽略,已经被淘汰了,是dns的上一代产品)
4)激活
5)客户机验证:
ipconfig /release 释放IP (取消租约或者是改为手动配置ip也可以释放租约)
ipconfig /renew 重新获取IP (有ip时,发送request续约,没有ip时发送discovery重新获取)
7.地址保留(保证可以一直获取这个状态并且可以一直获取这个地址)
对指定的mac地址固定动态分配IP地址
8.选项优先级
作用域选项>服务器选项(dns服务器)
**当服务器上有多个作用域时,可以在服务器选项上设置dns服务器,这样所有作用域都会继承dns服务器了
9.DHCP备份(右键备份还原)
10.练习部署DHCP服务器,并在客户机上验证,并练习ipconfig /release 与 ipconfig /renew
设置DHCP地址保留 联系备份和还原
删除服务器和作用域要区分开再删除,别删错,删除服务器,正在使用的IP地址仍可以使用
保留的使用的IP地址是在地址池里的就不用单独再进行配置,直接分配
11.DHCP的攻击和防御
1)攻击DHCP服务器:频繁发送伪装的DHCP请求(伪装假的mac地址),将DHCP的地址池的资源耗尽(就是公司员工无法上网)
防御:在交换机(管理型)的端口上做动态mac地址绑定
2)伪装DHCP服务器攻击:hack通过将自己部署为DHCP服务器,为客户机提供非法的IP地址
防御:在交换机(管理型),除合法的DHCP服务器所在的接口外,全部设置为禁止发送
十二.dns部署与安全
1.dns:domain mame service 域名服务,为客户机提供域名解析服务
2.域名组成
2.1域名组成
sina.com是一个域名严格来说是sina.com.cn才被称作域名(全球唯一),www是主机名
“主机名.域名”称为完全限定域名(fqdn),一个域名下可以有许多主机,域名全球唯一,那么“主机名.域名”肯定也是全球唯一
以"sina.com.cn"域名为例,一般管理员在命名的时候会根据其主机的共能而命名,比如网站是www,博客是blog,
论坛是bbs,那么对应的fadn是www.sina.com.cn即可
2.2域名组成
树形域名 由根(根就是点“.”)到各个顶级域名(aero com net org...)到一级域名(cctv ibm huawei)到二级域名(mail www)到三级域名(mail www)到四级域名到五级域名
在万网购买的是一级域名
根域 .
顶级域 国家顶级域(cn jp hk uk) 商业顶级域(com 商业机构)edu 教育机构)org 民间组织架构)net 互联网)
如:www.baidu.com. ‘.’为根域 ‘.com’是顶级域 baidu是一级域名 www是主机名
fqdn.主机名.dns后缀
fqdn(完整的合格域名)
3.监听端口
tcp53和udp53
4.dns解析种类
4.1按照查询方法分类
1)递归查询:客户机和本地dns服务器之间
2)迭代查询:本地dns服务器和根等其他dns服务器的解析过程(一般发生在根之间的解析)
dns解析过程就是 客户机发送请求访问(先看本地有没有缓存,再看host,没有再发送请求)到本地dns服务器(本地就是直接提供的就是那个服务器,离最近的服务器),
本地dns服务器再进行迭代查询,一个一个查询到找到为止,如果没有找到,负责这个分支的服务器(在这个服务器里没有找到)会引导去找负责此域名服务器,如果恰好有就会返回此域名的地址,
dns再给客户机,客户机再缓存解析,这就是一个完整的解析
客户机发送收到(所问即所答)的就是递归解析(所问非所答),本地dns和负责的域名服务器就是迭代解析
4.2按照查询内容分类:
1)正向解析:已知域名,解析ip地址
2)反向解析:已知IP地址,解析域名
配置反向解析 新建指针ptr-配置反向解析(通过访问ip可以解析到该服务器名)
与ptr记录相对应的就是a记录 地址记录,两者组成邮件交换记录;ptr解析IP地址到域名,而a记录解析域名到IP地址。
vmnet0是真实交换机(连接网线,桥接vmnet0),连接网线后,去除客户机的交换机会更快连接到成为dns服务器的系统
5.dns服务器搭建过程(搭建完记得刷新,就是ipconfig /flushdns)
1)要求网卡ip是静态IP网址(固定IP)
2)安装dns组件(一般安装包都在光盘镜像中,win2008安装包在电脑中),打开我的电脑,双击光盘
3)选择安装可选的windows组件
4)网络服务-域名系统
5)打开dns服务:开始-所有程序-管理工具-dns(端口打开)
6.正向查询
6.1新建正向区域:邮件正向查询区域-新建区域 (主要区域:主服务器;辅助区域:备份;存根区域:根域;)
新建区域引导(告诉大家以后xxxx的解析由我进行)
xxx.dns是区域解析文件,不需要改也不能改
然后就是不做更改进行下一步--完成创建
6.2新建主机(a记录)-填入主机名称时,fqdn将自动补全
6.3验证解析 在客户机手动配置dns,使其指向服务器地址
解析成功,在客户机终端端口输入nslookup xxx.xxx.com
同样,用客户机ping这个地址一样可以解析ip,可能ping不通(这个时候就是因为dns缓存在搞鬼,删除缓存就好了)
ipconfig /flushdns #清除本地dns缓存
ipconfig /displaydns #查看本地dns缓存
7.反向解析 nslookup手工解析时,会进行一个反向解析
7.1命名服务器 新建服务器-新建服务器命名,使用服务器本身的IP地址(创建指针记录)
7.2新建反向查找区域 仍选择主要区域 正向填入ip(即自身为10.1.1.x),则填入10.1.1-完成创建
7.3配置反向解析 新建指针(ptr)-配置反向解析(通过访问ip可以解析到服务器名)-验证nslookup xxx.com
此时域名为xxxxxx.com交给IP地址为10.1.1.x的服务器名为xxx.xxx.com去解析,解析出来的IP地址为1.1.1.1
8.dns服务器对域名请求的处理顺序:dns高速缓存-dns本地区域解析文件-转发器-根提示
9.辅助dns服务器
在另一台服务器(固定IP为10.1.1.3)上新建一个正向查找区域,qq.com,并新建一个主机www,IP地址为3.3.3.3
此时,若在客户机上手动解析www.qq.com的IP地址将会解析失败(询问IP为10.1.1.2的服务器dns1.baidu.com)
9.1转发器:打开第一台服务器(10.1.1.2),dns控制台—服务器名称—右键—属性—转发器
—将第二台服务器(10.1.1.3)的IP地址添加进列表—确定
注意:所有机器均需要在同一网段!!!服务器需要固定IP!!!
9.2辅助区域
9.2.1、在辅助服务器上备份区域
1)选中所要备份区域—右键—属性—区域复制—只允许下列服务器(辅助服务器)
2)在辅助服务器上新建正向区域—辅助区域—填入名称(baidu.com)—添加主服务器IP
3)完成创建
10.清除dns缓存 :客户机上清除缓存 ipconfig /flushdns;
Windows服务器:DNS工具---查看---高级,调出缓存,然后右键清除缓存;
11.域名解析记录类型
A记录:正向解析记录
CNAME记录:别名
PTR记录:反向解析记录
*MX:邮件交换记录 (mail exchange也是域名解析的,也是一种记录类型,负责邮箱方面的)
*NS:域名服务器解析
SOA:起始授权机构(权威服务器)
NS:名称服务器
12.服务器分类 :主要名称服务器 辅助名称服务器(辅助dns服务器,备份) 根名称服务器 高速缓存服务器
13.客户机域名请求解析顺序:dns缓存-本地区域解析文件(host文件)-找本地dns服务器
14.服务器对域名请求的处理顺序:DNS高速缓存-本地区域解析文件-转发器-根
15.别名(CNAME)在一个正向区域中新建一个主机名为www(IP地址为1.1.1.1)—在正向区域右键—新建别名
起一个不一样的名字—点击浏览找到目标域名-在客户机上验证–在正向区域右键—新建别名(客户机里nslookup xxxx后时,aliases就是别名)
练习:主要dns服务器:员工都要指向dns,练习清空dns缓存(ipconfig /flushdns),练习nslookup手工解析
辅助dns服务器:成功更新区域解析记录; 反向解析 别名(cname) 转发器/根
dns复习演示所有实验
转换器 根 正常上网
自己创建的域名,这个时候用自己的服务器,已经进行dns拦截,在其他地方或者广域网就用不了
注意指针(ptr)的创建和区分
正向解析和反向解析
别名就是aliases(linux也是经常出现)
十三.web服务器和ftp服务器
*******
web服务器
1.web服务器也称为网页服务器或者http服务器,www服务器(万维网就是www)
2.又称为http服务器,web服务器使用的协议是http或者https(工作方式上除了加密没什么区别),浏览器就是http客户端,可以上网就是有http客户端
3.http协议端口号:tcp 80; https协议端口号:tcp 443;
4.web服务器发布软件:
微软:iis(可以发布web网站和ftp站点);
linux:Apache/lamp/tomcat/nginx.etc;
(仅限自己使用,测试会比上面的快一点)第三方:PHPstudy/xampp
5.部署web服务器:
1)配置静态IP地址
2)安装iis-web插件
应用程序服务器里的--iis--万维网服务
3)停用默认站点
4)新建网站-地址端口绑定-指定站点路径-设置权限
网站默认路径:C:\Inetpub\wwwroot
5)设置默认文档(设置首页)
**
6.一台服务器同时发布多个web站点:
1)不同ip,相同端口
2)相同ip,不同的端口(测试时经常使用此方法)
3)相同ip,相同端口,不同的域名(主机口)
7.网站类型
1)静态网站:一般扩展名为.html或.htm
无后台数据库
2)动态网站:一般扩展名为.html或.php(可以在静态网站的基础上进行互动)
有后台数据库,asp或php可以连接前台页面和后台数据库
asp页面的网站金阿姨在微软的iis发布,php的页面建议在linux的apache发布
8.发布动态网站要注意
1)web服务扩展中的asp服务需要开启
2)配置时,读取,运行脚本,执行,权限都要开启
3)网站右键属性--主目录--配置--选项--启用父路径
网页的简单制作.
网页的扩展名为html.
index:意味着是你的首网页
*****
iis之ftp服务器
1.文件传输协议:File Transfor Protocol
2.端口号:tcp 20/21
3.FTP工作模式
1)主动模式
2)被动模式
4.默认站点
当iid管理器安装好之后,将自动生成ftp默认站点
存在于C盘下inetpub目录中的ftproot文件夹
在iis管理器中,右键默认ftp站点,属性,可以查看或者修改默认站点的详细信息
5.配置FTP服务器
·首先要配置静态ip
·安排iis-ftp软件(参考iis-web服务器,只安装iis两个就都有了)
1)新建ftp站点
设置ip
设置主目录路径
在此我们新建一个名为ftp的文件夹,里面有上传和下载两个子文件夹
(顾名思义,上传文件夹只允许客户机上传文件,下载文件夹只允许客户机下载)
设置路径
!和远程权限相同,ftp权限也是ntfs权限取【交集】 !
所以在此我们为赋予文件夹所有ftp权限,到时只需设置本地ntfs权限即可
详细ntfs权限内容可见前面笔记有关 ”九.“nftp权限””
2)为ftp服务器设置权限
由于我们不可能将服务器账号给客户使用,所以我们为客户新建账户(用户名123,密码123)来访问ftp服务器
(具体新建用户的操作详见前面笔记 “用户与组管理”)
同时,如果我们要将该ftp站点交由他人管理,再新建一个账户(用户名admin,密码admin)供其使用
当然,我们不会给他管理员,只是让他权限比别人高,要记得避免给该账户管理员权力
3)用户协议
此时为两文件夹分别设置ntfs权限(ntfs权限详见 “九.”ntfs权限““)
·取消继承父文件夹权限
·删除用户组users(因为刚刚建立的两个用户都属于users组,但是要分别赋权)
·添加分别用户123和admin
点击检查名称写全对象(可有可无)
分别为两个账户赋权
下载文件夹同理,admin账户完全控制,123只能浏览、下载
4)客户机验证
在此之前,一定一定记得:禁止该站点的匿名访问
我们登录不同的账户即可用不同的权限访问ftp服务器
\我们在已登录好的账户中,右键有登录选项,可随时切换账户
//小结tip:
FTP服务器:
1.文件传输协议:File Transfor Protocol
2.端口号:TCP 20/21
3.FTP工作方式:
1)主动模式
21端口:控制端口
20端口:数据端口
2)被动模式
21端口+随机端口作为数据传输端口(有工作运行的原理图,可以去网上找原理图)
【
主动模式:
1)服务器一开始只开启端口20。客户机在拨号一瞬间,会产生一个随机端口号(一般在50000以上),
这个端口号是由ftp客户端生成,此时客户机给服务器一个信号(我要连你了,切主动模式),
然后服务器给客户机一个回应(请输入账号密码),服务器返回验证账号密码结果,并列出ftp列表
2)客户机给服务器一个信号,下载某文件,请把数据发到50002端口,(此时瞬间开启另一个端口),
这时服务器临时开启端口20,这个过程客户机让服务器主动连接自己。这两个端口(50002,20)
只是暂时开启,数据传输完毕就会关闭
主动模式不适用于客户机开启防火墙,因为服务器不能向50002发包
被动模式:
1)客户机生成端口50001,服务器开启端口21,客户机向服务器发送信号(被动模式连接),输入账号密码,验证,返回结果
2)客户机发出信号,下载文件,此时服务器发放随机端口20001并返回信号(我开启了端口20001,你连我吧),
然后客户机开启端口50002拨号20001服务器返回数据
不适用于服务器开启防火墙】
注意:主被动模式,阐述的是数据传输过程
主被动模式,选择权在客户机上!由客户机主导!
最终结果是服务器主被动,也就是说客户机想让服务器主被动
主被动模式,所谓主动或被动是站在服务器的角度
6.配置FTP服务器
1)配置静态ip
2)安装iis-ftp软件
3)使用默认站点或创建新的站点
注意:用户最终权限为ftp权限与ntfs权限取【交集】
建议:ftp权限全部勾选,然后具体的在ntfs里做
4)去掉匿名访问对勾
十四.域
14.1 域的基本概念和分类特点
1.域:Domain
2.内网环境分类:
(1)工作组:默认模式,人人平等。
(2)域:不平等,优点:集中管理、统一管理。
查看方式:右键计算机→属性
域的组成
(1)域控制器,DC(Domain Controller)一般是服务器,可以设置多个。
(2)成员机,成员机之间平等。
本地管理员组:administrators
域管理员组:Domain admins
152
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
