Windows网络服务.docx
《Windows网络服务.docx》由会员分享,可在线阅读,更多相关《Windows网络服务.docx(13页珍藏版)》请在冰豆网上搜索。
Windows网络服务
DHCP
DynamicHostConfigureProtocol动态主机配置协议
DHCP是用于简化IP配置的TCP/IP配置管理的TCP/IP标准,对客户机动态分配TCP/IP信息。
DHCP提供安全、可靠的且简单的TCP/IP网络设置,避免TCP/IP网络中地址的冲突,降低管理IP地址设置的负担。
DHCP服务的工作过程(四种广播包)
1、客户机请求IP地址(DHCPDiscover包)2、服务器响应(DHCPOffer包)
3、客户机选择IP地址(DHCPRequest包)4、服务器确认IP租约(DHCPAcknowledge包)
DHCP中继代理工作原理
1、DHCP客户机申请IP租约,发DHCPDiscover包。
2、中继代理收到该包,并转发给另一个网段的DHCP服务器。
3、DHCP服务器收到该包,将DHCPOffer包发送给中继代理。
4、中继代理将地址租约(DHCPOffer)转发给DHCP客户端。
DNS
DomainNameSystem域名系统
通过为每台主机建立IP地址与域名之间的映射关系,用户在网上可以避开难记的IP地址,而使用域名来唯一标识网络中的计算机。
DNS服务的主要作用就是将域名解析为IP地址。
DNS区域
DNS区域(简称区域)是域名空间中的连续的一部分。
DNS服务器以区域为单位来管理域名空间,区域的数据保存在区域文件中。
DNS服务器
DNS服务器是运行DNS服务的计算机,它包含部分域名空间信息来响应查询。
每个DNS服务器只对域名空间的一部分进行管理,即只包含整个域名数据库的一部分信息。
递归查询和迭代查询
递归查询是指当DNS接收到查询请求时,要么做出查询成功的响应,要么作出查询失败的响应。
迭代查询又称简单查询,是指DNS服务器根据自己的高速缓存或区域的数据,以最佳结果作答。
DNS主要资源记录及说明
SOA(起始授权机构)
定义了该域中的哪个名称服务器是权威名称服务器
NS(名称服务器)
表示某区域的权威服务器和SOA中指定的该区域的主要服务器和辅助服务器
A(主机)
列出了区域中FQDN(完全合格的域名)到IP地址的映射
PTR(指针)
相对于A资源记录,PTR记录把IP地址映射到FQDN
MX
邮件交换记录,向指定邮件交换主机提供消息路由
SRV(服务)
列出了哪些服务器正在提供特定的服务
转发器
将本地DNS服务器无法解析的查询转发给网络上的其他DNS服务器,该服务器即被指定为转发器。
当DNS服务器将查询转发给转发器时,这种查询为递归查询。
DNS区域传输
将一个区域文件复制到多个服务器的过程叫做区域传输。
是通过从主服务器上将区域文件的信息复制到辅助服务器来实现的。
可以将一个区域的文件传输到另一个区域,从而实现该区域的可用性和容错。
主服务器是区域传输的来源服务器,它既可以是主要区域,又可以是辅助区域。
如果主服务器是主要区域,区域传输则直接从主要区域取得区域文件。
如果主服务器是辅助区域,区域传输仅传输区域文件的一个只读副本。
子域与委派
在区域中可以创建子域来扩展域名空间,通过在区域中新建委派可以将子域委派到其他服务器维护。
子域的信息都存放在父区域文件中,当区域中的子域过多时,维护起来不方便,并且还会遇到域名查询量的瓶颈,通过新建子域可以很好地解决这一问题。
根提示
根提示使非根域的DNS服务器可以查找到根域DNS服务器。
根域DNS服务器在互联网上有许多台,分布在世界各地。
默认配置,共有13个根服务器。
域名解析排错
1、检查客户机设置2、检查DNS服务器上的资源记录3、检查DNS服务是否启动
4、检查host文件5、检查本机DNS缓存
WWW服务
WorldWideWeb万维网服务
指在网上发布的,并可以通过浏览器观的图形化页面的服务。
万维网服务是通过建立Web站点实现的。
IIS
InternetInformationServiceInternet信息服务
IIS为用户提供了含集成、可靠、可扩展、安全及可管理的Web服务器解决方案。
主目录
网站属性之一
用以将已制作好的网页发布到Web站点。
默认网站的主目录的本地路径为C:
\Inetpub\wwwroot.
虚拟目录
因主目录的空间可能不足,需要将多个网页文件放置在不同的分区或不同的计算机上,而用户访问时文件夹在逻辑上还归属于网站之下,这种归属网站之下的目录称为虚拟目录。
可以利用虚拟目录将一个网站的文件分散存储在同一计算机的不同路径和其他计算机中,这些文件在逻辑上归属于主目录,成为Web站点的内容。
其优点如下:
1、将数据分散保存到不同的磁盘或者计算机上,便于分别开发与维护。
2、当数据转移到其他物理位置时,不会影响到Web站点的逻辑结构。
虚拟主机及实现方式
为了提高硬件资源的利用率,可以在一如计算机上运行多个网站,而不需要另加什么硬件,这种网站称为虚拟主机。
其实现方式有以下三种:
1、使用不同的IP地址。
2、使用相同的IP地址、不同的TCP端口。
3、使用相同的IP地址和TCP端口、不同的主机头。
FTP
FileTransferProtocol文件传输协议
是Internet上使用非常广泛的一种协议,它建立在传输层TCP协议之上,利用FTP可以给用户提供上传和下载文件的服务。
FTP服务器
FTP服务器就是互联网及LAN中提供FTP服务并提供一定存储空间的计算机,它可以是专用的服务器,也可以是个人计算机。
其登录方式有二:
匿名登录和使用授权账户登录。
FTP客户端
FTP客户端可以通过3种方式连接FTP服务器:
1、利用FTP命令行连接。
2、利用浏览器以Web方式连接。
3、运用在本地安装的FTP客户端软件连接。
FTP客户端及服务器软件
CuteFTP是一款FTP客户端软件
Serv-u是一款共享软件,它是专业的FTP服务器软件,可以用来搭建一个FTP服务器。
远程访问服务
RemoteAccessService,RAS即远程访问服务
让远程用户能够安全登录企业网络从而安全使用网络资源。
远程访问连接方式
1、拨号网络:
使用电信提供商提供的服务,远程客户端使用非永久的拨号连接到远程访问服务器的物理接口上,这时使用的网络就是拨号网络。
2、虚拟专用网(VirtualPrivateNetwork,VPN):
VPN是穿越公用网络(如Internet)的、安全的、点对点的连接。
虚拟专用网客户端使用特定的,称为隧道协议的基于TCP/IP的协议,与虚拟专用网服务器连接。
WAN结构
RAS服务器与客户机之间可以建立不同类型的拨号连接,而不同的连接类型提供了不同的速度。
这些连接包括:
公共交换电话网(PublicSwitchTelephoneNetwork,PSTN)、综合业务数字网(IntegratedServiceDigitalNetwork,ISDN)、非对称数字用户钱(AsymmetricDigitalSubscriberLine,ADSL)等。
远程访问协议
远程访问协议用来控制连接的建立以及数据在WAN链路上的传输。
WindowsServer2003远程访问支持3种类型的远程访问协议:
1、点到点协议(Point-to-PointProtocol,PPP)是一种应用非常广泛的工业标准协议。
2、串行线路网际协议(SerialLineInternetProtocol,SLIP)是一种在运行老式UNIX操作系统远程访问服务上使用的协议。
3、MicrosoftRAS协议是一种在运行Microsoft操作系统远程访问客户机上使用的远程访问协议。
LAN协议
LAN协议是远程访问客户用来访问连接到远程访问服务器是的网络资源而使用的协议。
WindowsServer2003中的远程访问服务支持TCP/IP、IPX以及NetBEUI等协议。
远程访问策略的组成
1、条件:
在远程客户机请求与RAS服务器建立连接时所必须匹配的条件。
2、远程访问权限:
通过选择“授予远程访问权限”或“拒绝远程访问权限”单选按扭,来授予或拒绝用户的远程访问权限。
3、配置文件;远程访问策略配置文件是应用于连接上的一组属性,当通过了匹配的远程访问的策略条件和远程访问权限的设置时,服务器就会使用配置文件。
远程访问策略的应用规则
1、检查远程访问策略表中的第一个策略。
如果没有策略,则拒绝连接尝试。
2、如果策略的所有条件并不与连接尝试完全匹配,则转到下一个策略。
如果没有其他策略,则拒绝连接尝试。
3、如果策略的所有条件与连接尝试匹配,检查“Ignore-User-Dialin-Properties”属性的值。
4、如果“Ignore-User-Dialin-Properties”属性被设置为False,则检查尝试连接的用户账户“拨入”属性的设置。
5、如果“Ignore-User-Dialin-Properties”属性设置为True,检查策略的远程访问权限设置。
远程访问排错检查步骤
1、硬件是否正常。
2、远程访问服务是否启动。
3、如果启动,则检查服务器设置,如端口是否允许远程访问连接。
4、用户账户的拨入属性配置是否正确。
5、远程访问策略是否存在。
6、客户端的配置是否正确。
公钥基础结构(PKI)
PublicKeyInfrastructure公钥基础结构
是通过使用公钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。
PKI让人个或企业安全地从事其商业活动,企业员工可以在互联网上安全地发送电子邮件而不必担心其发送的信息被非法的第三方(竞争对手)截获,企业可以建立安全的电子商务网站,保证客户交易的安全性。
在PKI中,各参与方都信任同一个CA(证书颁发机构),由该CA来核对和验证各参与方的身份。
PKI由公钥加密技术、数字证书、CA(证书颁发机构)、RA(注册机构)等共同组成。
PKI体系能够实现的功能有:
1、身份认证:
确认用户的身份标识。
2、数据完整性:
保证数据在传送过程中没有被修改。
3、数据机密性:
防止非授权用户获取数据。
4、操作的不可否认性:
确保用户不能冒充其他用户身份。
公钥加密技术:
公钥加密技术是PKI的基础,这种技术需要2种密钥:
公钥(PublicKey)和私钥(PublicKey)。
公钥和私钥的关联是:
1、密钥是成对生成的,这两个密钥互不相同,两个官钥可以互相加密和解密。
2、不能根据一个密钥来推算得出另一个密钥。
3、公钥对外公开,私钥只有私钥的持有者才知道。
4、操作应该由密钥的持有人妥善保管。
5、私钥的持有者只能有一个私钥,但可能获得与其他私钥成对的多个公钥。
公钥与配对使用,如果用公钥对数据进行加密,只有用相对应的私钥才能解密;如果用私钥对数据进行加密,那么只有用对应的公钥才能解密。
根据两种密钥的使用的先顺序可以分为数据加密和数字签名。
数据加密
数据加密确保只有预期的接收者才能够解密和查看原始数据,从而提供了机密性。
传送数据时,发送方使用接收方的公钥加密数据,并传送它。
当接收方收到数据后,使用自己的私钥解密这些数据。
数据加密能保证所发送数据的机密性,却不能完全保证数据的完整性和不可抵赖性,即不能保证数据在传送过程中不被他人篡改和不被人冒名顶替发送。
数字签名
过程:
发送方使用自己的私钥加密,接收方使用发送方的公钥解密。
功能:
<1>身份验证:
接收方可确认该发送方的身份标识。
<2>数据的完整性:
证实消息在传送过程中内容没有被修改。
<3>操作的不可否认性:
其他用户不可能冒充该发送方发送消息。
用户可以通过数字签名实现数据的完整性和有效性,只需采用私钥对数据进行加密处理,由于私钥仅为用户个人拥有,从而能够证实签名消息的唯一性,即保证:
消息由签名者即发送方自己签名发送,签名者不能否认也难以否认;消息由签发到接收这段过程中未曾作过任何修改,签发的消息是真实的。
CA(证书颁发机构)
CertificateAuthority证书颁发机构
是PKI公钥基础结构中的核心部分,负责管理PKI结构下所有用户(包括各种应用程序)的数字证书,指用户的分钥与用户的其他信息捆绑在一起,在网上验证用户的身份。
要任何一个PKI中,CA都是一个可信的实体,它根据CA颁发策略负责发布、更新和取消证书。
证书
PKI系统中的数字证书简称证书,它把公钥和拥有对应私钥的主体标识信息(如名称、电子邮件、身份证号等)捆绑在一起。
其主体可以是用户、计算机、服务等。
数字证书是由权威公正的第三方机构即CA签发的,以数字证书为核心的的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及通信双方身份的真实性、签名信息的不可否认性,从而保障网络应用的安全性。
CA的作用
CA分为不同的层次,各层CA按照目录结构形成一棵树。
在CA体系结构中,根CA处于核心地位,功能是认证授权,CA的核心功能就是颁发和管理数字证书。
企业CA的特点
企业CA需要AD服务,即计算机在活动目录中才可以。
当安装企业根CA时,对于域中的所有用户和计算机,它都会自动添加到受信任的根证书颁发机构的证书存储区中。
必须是域管理员,或是对AD具有写权限的管理员,才能安装企业根CA。
独立CA的特点
独立CA不需要使用AD目录服务。
向独立CA提交证书申请时,证书申请必须在证书申请中提供所有关于自己的标识信息以及证书申请所的证书类型。
默认情况下,发送到独立CA的所有证书申请都被设置为挂起,一直到独立CA的管理员验证申请者的身份并批准申请。
SSL
SecureSocketsLayer安全套接字层
SSL是一套身份验证、保密性和数据完整性的加密技术。
最常用来在Web浏览器和Web服务器之间建立安全通信通道,以实现高安全性。
网络负载平衡群集
NetworkLoadBalancing,NLB网络负载平衡
网络负载平衡群集增强了Web、FTP、ISA、VPN等服务的可靠性和可伸缩性。
在NLB群集中,当其中的某个服务器出现故障或脱机时,将在继续运行的计算机间自动重新分配负载,访问该服务器的客户机感觉不到有服务器出现了故障。
一个NLB群集中最多支持32台计算机。
一般地,利用NLB群集用来实现前端服务,如Web、FTP、ISA、VPN等负载均衡。
服务器群集
服务器群集是由独立的计算机系统(称为节点)构成的组,不同节点协议同工作,就像单个系统一样,从而确保关键的应用程序和资源始终可由客户端使用。
服务器群集最多可以由8个节点组成。
一般地,利用服务器群集技术可实现DHCP、文件共享、后台打印、MSSQLServer、ExchangeServer等服务的可靠性。
网络负载平衡最佳操作
1、正确保护网络负载平衡主机和经过负载平衡的应用程序
2、如果可能,在每个群集主机上到少使用两个网络适配器,但并非必要条件。
3、在群集适配器上只使用TCP/IP协议。
4、确保群集中的所有主机属于中一个子网并且客户机能够访问该子网。
5、使用网络负载平衡管理器配置NLB群集。
6、不要启用网络负载平衡远程控制。
7、启用日志记录。
8、独立使用NLB群集和服务器群集。
服务器群集特点
1、服务器群集可通过资源故障转移而为应用程提供高可用性的服务,它侧重于保护客户端对应用程序和系统服务的访问。
2、服务器群集最多可以组合8个节点。
3、服务器群集可以使用WindowsServer2003DatacenterEdition或WindowsServer2003EnterpriseEdition系统。
网络负载平衡群集特点
1、网络负载平衡群集为基于TCP和UDP的服务和应用程序提供可伸缩性和高可用性的服务。
2、网络负载平衡群集可以将多达32个服务器合并杨一个群集。
3、网络负载平衡群集可以使用WindowsServer2003系统的多个版本。
服务器群集的准备条件
1、活动目录环境。
2、网卡准备。
3、服务器群集专用账户。
4、仲裁设备。
域树与子域
域树是共用连续域名空间的Windows域,也就是说在一个域树中,所有域名的后缀都相同。
域树的第一个域是该域树中的根。
单个域构成一个单域的域树。
林及其根域
单个域树或者多个域树构成林,林中的不同域树不共用连续的域名空间,林中的所有域共用相同的配置、架构和全局编录。
在林中创建的第一个域叫做林的根域。
创建林必须先安装一台DC,要安装成功必须具备以下几个条件
1、安装者必须具有本地管理员权限。
2、操作系统版本必须满足条件(WindowsServer2003除Web版外都满足)。
3、本地磁盘至少有一个分区是NTFS文件系统。
4、有TCP/IP设置(IP地址、子网掩码等)。
5、有相应的DNS服务器支持。
6、有足够的可用的空间。
在一个林创建多个域的原因有
1、部门(或分公司)之间有不同的安全策略(如密码策略)要求,可以针对部门(或分公司)创建域。
2、有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少。
3、分散的网络管理,而不是由一个域管理员管理,多个域意味着有多个域管理员。
4、对复制进行更多的控制。
默认信任关系和特点
1、自动建立:
林中的域之间的信任关系是在创建子域或者域树时自动创建的。
2、传递信任:
林中的域的信任关系是可传递的。
3、双向信任:
双向信任是指在两个域之间有两个方向上的两条信任路径。
AGLP规则的含义
1、将用户账户加入全局组。
2、将全局组加入本地域组。
3、给本地域组赋权限。
林之间的信任
林之间的信任分为外部信任和林信任。
外部信任是指在不同的林的域之间创建的不可传递的信任,林信任是WindowsServer2003林特有的信任,是WindowsServer2003林根域之间建立的信任,在两个WindowsServer2003林之间创建林信任可为任一林内的各个域之间提供一种单向或双向的可传递的信任关系。
跨域访问资源实现的方法
1、被信任域的账户加入到本域的全局组。
2、被信任域的全局组加入到信任域的本地域组。
3、给信任域的本地域组设置权限。
创建林信任
创建林信任之前要升级林功能级别为WindowsServer2003,这是创建林信任的前提条件,而升级林功能级别之前,需要将林中的域功能级别设置为WindowsServer2003。
一旦提升域功能级别之后,就不能再将运行旧版操作系统的域控制器引入该域中。
林信任的特点是:
1、林功能级别为WindowsServer2003才能创建。
2、只有在林根域之间才能创建。
3、在建立林信任的两个林中的每个域之间的信任关系是可传递的。
4、信任方向有单向和双向两种。
操作主机角色
在每个林中有5种操作主机角色,其中在林范围内的操作主机角色有:
架构主机和域命名主机;在域范围内的操作主机角色有:
主域控制器仿真主机(PDCEmulator)、相对ID(RID)主机、基础结构主机。
在每个域中的这些角色都必须是唯一的。
架构主机(SchemaMaster)
架构主机控制整个林的架构的全部更新,在整个林中,只能有一个架构主机。
域命名主机(DomainNamingMaster)
域命名主机控制林中域的添加或删除,可以防止林中的域重复。
在整个林中只能有一个域命名主机。
PDC仿真主机(PDCEmulatorMaster)
PDC仿真主机作为混合模式域中的WindowsNTPDC(主域控制器)。
林中的每个域中只能有一个PDC仿真主机。
其主要作用有:
1、管理来自客户端的密码更正。
2、最小化密码变化的复制等待时间。
3、负责整个域内所有域控制器上的时间。
RID主机((RIDMaster)
RID主机相对ID(RID)序列分配给域中的每个域控制器。
林中的每个域只能有一个RID主机。
基础结构主机(InfrastructureMaster)
基础结构主机负责更新从它所在的域中的对象到其他域中的对象的引用,每个域中只能有一个基础结构主机。
基础结构主机将其数据与全局编录的数据进行比较。
全局编录通过复制操作接收所有域中对象的定期更新,从而使全局编录的数据始终保持最新。
如果基础结构主机发现数据已过时,则它会从全局编录请求更新的数据,然后,基础结构主机再将这些更新的数据复制到域中的其他域控制器。
转移主机角色
1、要转移主机角色过程中,相关DC始终联机,没有数据的损失。
2、要转移角色过程中要注意执行者是否有权限。
占用主机角色
1、由于操作主机角色所在的DC出故障,因此占用操作主机角色可能会有数据的损失。
2、在占用主机角色过程中要注意执行者是否有权限。
活动目录数据库维护
当活动目录由于硬件或者软件的原因发生故障时,就需要还原数据。
目录数据库的还原的前提条件是域控制器的系统能正常工作,只是活动目录数据不正确。
活动目录的数据库的还原有两种:
非授权还原和授权还原。
非授权还原(NonauthoritativeRestore)步骤:
1、重启DC,在显示启动菜单进按下F8键。
2、选择“目录服务还原模式”。
3、在登录提示符处,输入账户administrator,输入还原密码,进入系统。
4、单击“开始”—“程序”—“附件”—“系统工具”—“备份“,选择”还原和管理媒体“选项卡。
5、单击适当的备份媒体和要还原的系统状态,单击“开始还原”按钮按提示完成还原。
6、重启DC。
授权还原(AuthoritativeRestore)还原步骤:
说明:
授权还原可以恢复活动目录的特定对象。
(例如,对OU的误删除进行还原)
1、重启DC,在显示启动菜单时按下F8键,进入“目录服务还原模式”。
2、使用备份工具恢复活动目录到原始位置,完成该操作后不要重启计算机。
3、打开命令提示符,键入“ntdsutil”命令。
4、在ntdsutil提示符下,键入“authoritativerestore”命令。
5、在authoritativerestore提示符下,键入“restoresubtree“ou=ou名,dc=域名,dc=com,dc=cn’”命令,按回车键后,单击“是”按钮。
6、键入“quit”命令,然后按回车键,再次键入“quit”命令,再次按回车键,退出ntdsutil。
7、重启DC。
Windows常用工具
事件查看器、性能监视器、任务管理器、网络监视器、pcAnywhere等。
事件查看器
事件查看器用来查看计算机中产生的日志,可以查看3种类别的日志:
1、应用程序日志:
应用程序日志包含由应用程序或系统程序记录的事件。
2、安全性日志:
安全性日志记录诸如有效和无效的登录尝试等事件,以及记录与资源使用相关的事件。
3、系统日志:
系统日志包含Windows系统组件记录的事件。
]
性能控制台
性能监视是对计算机系统进行防护性维护的必要部分,通过监视,可以:
1、获得对诊断系统问题以及时对规划系统资源的增长需求有用的性能数据。
2、了解工作负载及其对系统资
升级会员 