Windows-Server-2012網(wǎng)絡服務架構課件(完整版)

1、項目一 用戶與組Windows Server 2012系統(tǒng)是一個多用戶多任務的分時操作系統(tǒng)，每一個使用者都必須申請賬號才能登錄進入系統(tǒng)使用資源。用戶使用賬號登錄一方面可以幫助管理員對進入系統(tǒng)的用戶賬戶進行跟蹤，并控制他們對系統(tǒng)資源的訪問，另一方面也可以利用組賬戶幫助管理員簡化對同類用戶的控制操作，降低管理的難度。1.1用戶與組知識概述本地用戶賬戶對應對等網(wǎng)的工作組模式，建立在非域控制器的Windows Server 2012獨立服務器、成員服務器以及其他Windows客戶端。本地賬戶只能在本地計算機上登錄，無法訪問域中其它計算機資源。本地計算機上都有一個管理賬戶數(shù)據(jù)的數(shù)據(jù)庫，稱為安全賬戶管理器

2、SAM。SAM數(shù)據(jù)庫文件路徑為系統(tǒng)盤下Windowssystem32configSAM。在SAM中，每個賬戶被賦予唯一的安全識別號SID，用戶要訪問本地計算機，都需要經(jīng)過該機SAM中的SID驗證。本地用戶賬戶Windows Server 2012中還有一種賬戶叫內(nèi)置賬戶，它與服務器的工作模式無關。當Windows Server 2012安裝完畢后，系統(tǒng)會在服務器上自動創(chuàng)建一些內(nèi)置賬戶，Administrator和Guest是最重要的兩個：Administrator（系統(tǒng)管理員）擁有最高的權限，管理著Windows Server 2012系統(tǒng)和域。系統(tǒng)管理員的默認名字是Administrator

3、，可以更改系統(tǒng)管理員的名字，但不能刪除該賬戶。該賬戶無法被禁止，永遠不會到期，不受登錄時間和只能使用指定計算機登錄的限制。Guest（來賓）是為臨時訪問計算機的用戶提供的，該賬戶自動生成，且不能被刪除，可以更改名字。Guest只有很少的權限，默認情況下，該賬戶被禁止使用。例如當希望局域網(wǎng)中的用戶都可以登錄到自己的計算機，但又不愿意為每一個用戶建立一個賬戶時，就可以啟用Guest。內(nèi)置賬戶為了簡化對用戶賬戶的管理工作，Windows Server 2012中提供了組的概念。組是指具有相同或者相似特性的用戶集合，當要給一批用戶分配同一個權限時，就可以將這些用戶都歸到一個組中，只要給這個組分配此權限

4、，組內(nèi)的用戶就都會自動擁有此權限。這里的組就相當于一個班級或一個部門，班級里的學生、部門里的工作人員就是用戶。在Windows Server 2012中，用組賬戶來表示組，用戶只能通過用戶賬戶登錄計算機，不能通過組賬戶登錄計算機。組的概念內(nèi)置本地組是在系統(tǒng)安裝時默認創(chuàng)建的，并被授予特定權限以方便計算機的管理，常見的內(nèi)置本地組有下面幾個：Administrators：在系統(tǒng)內(nèi)有最高權限，擁有賦予權限，可添加系統(tǒng)組件，升級系統(tǒng)，配置系統(tǒng)參數(shù)，配置安全信息等。內(nèi)置的系統(tǒng)管理員賬戶是Administrators組的成員。如果這臺計算機加入到域中，則域管理員自動加入到該組，并且有系統(tǒng)管理員的權限。屬于A

5、dministrators組的用戶，都具備系統(tǒng)管理員的權限，擁有對這臺計算機最大的控制權，內(nèi)置的系統(tǒng)管理員Administrator就是此本地組的成員，而且無法將其從此組中刪除。Guests：內(nèi)置的Guest賬戶是該組的成員。一般被用于在域中或計算機中沒有固定賬戶的用戶臨時訪問域或計算機時使用的。該賬戶默認情況下不允許對域或計算機中的設置和資源做更改。出于安全考慮Guest賬戶在Windows Server 2012安裝好之后是被禁用的，如果需要可以手動地啟用。應該注意分配給該賬戶的權限，因為該賬戶經(jīng)常是黑客攻擊的主要對象。IIS_IUSRS：這是Internet信息服務（IIS）使用的內(nèi)置組

6、。Users：是一般用戶所在的組，所有創(chuàng)建的本地賬戶都自動屬于此組。Users組權限受到很大的限制，對系統(tǒng)有基本的權力，如運行程序，使用網(wǎng)絡，但不能關閉Windows Server 2012，不能創(chuàng)建共享目錄和本地打印機。如果這臺機加入到域，則域用戶自動被加入該組。內(nèi)置本地組除了以上所述的內(nèi)置本地組和內(nèi)置域組外，還有一些內(nèi)置的特殊組。特殊組存在于每一臺Windows Server 2012計算機內(nèi)，用戶無法更改這些組的成員，也就是說，無法在“Active Directory用戶和計算機”或“本地用戶與組”內(nèi)看到、管理這些組。這些組只有在設置權限時才看得到，以下列出兩個常用的特殊組。Everyo

7、ne：包括所有訪問該計算機的用戶，如果為Everyone指定了權限并啟用Guest賬戶時一定要小心，Windows會將沒有有效賬戶的用戶當成Guest賬戶，該賬戶自動得到Everyone的權限。Creator Owner：文件等資源的創(chuàng)建者就是該資源的Creator Owner。不過，如果創(chuàng)建是屬于Administrators組內(nèi)的成員，則其Creator Owner為Administrators組。內(nèi)置的特殊組公司為后續(xù)部署windows server 2012系統(tǒng)在一臺計算機上安裝了windows server 2012系統(tǒng)做系統(tǒng)測試。為滿足不同部門網(wǎng)絡管理人員對該計算機的訪問，需要為這些

8、部門管理員創(chuàng)建訪問賬戶和配置訪問權限。項目描述windows server 2012是微軟的一個多用戶多任務服務器系統(tǒng)，使用者可以通過創(chuàng)建賬戶實訓對該系統(tǒng)的訪問。windows server 2012內(nèi)置了大量的組賬戶，每一個組賬戶對應著系統(tǒng)特定的權限。因此對用戶賬戶的授權其實是通過設置用戶賬戶隸屬組來完成。項目分析任務背景為滿足公司網(wǎng)絡部員工對windows server 2012的初步了解需求，公司希望創(chuàng)建1個普通用戶賬戶test1供網(wǎng)絡部員工訪問該服務器，做簡單體驗，創(chuàng)建一個網(wǎng)絡管理賬戶test2供網(wǎng)絡部系統(tǒng)管理組用戶訪問該服務器，做管理體驗。任務分析在windows server 20

9、12的用戶和組管理界面可以非常方便的對用戶和組做如下操作：1、用戶賬戶操作新建、刪除、設置密碼、屬性的修改等。2、組賬戶操作新建、刪除、修改組的隸屬組等。在本任務中需要創(chuàng)建2個賬戶，test1用于界面體驗，test2用于系統(tǒng)管理體驗。新建的賬戶登錄后可以滿足界面體驗，但要做系統(tǒng)管理就需要將用戶加入到管理員組中。任務1-1 用戶的創(chuàng)建及管理任務操作1.創(chuàng)建本地用戶（1）以【Administrator】身份登錄到服務器，在【服務器管理器】主窗口中，單擊【工具】按鈕，再單擊【計算機管理】，打開【計算機管理】主窗口，找到【本地用戶和組】，單擊【用戶】，如圖1-1所示。 圖1-1 用戶1.創(chuàng)建本地用戶（

10、2）用鼠標右鍵單擊【用戶】，再單擊【新用戶(N)】，彈出【新用戶】對話框，如圖1-2所示。 圖1-2 新用戶test1和test2該對話框中的選項如下:用戶名：系統(tǒng)本地登錄時使用的名稱。全名：用戶的全稱，屬于輔助性的描述信息，不影響系統(tǒng)的功能。描述：關于該用戶的說明文字，方便管理員識別用戶，不影響系統(tǒng)的功能。密碼：用戶登錄時使用的密碼。確認密碼：為防止密碼輸入錯誤，需再輸入一遍。用戶下次登錄時須更改密碼：用戶首次登錄時，使用管理員分配的密碼，當用戶再次登錄時，強制用戶更改密碼，用戶更改后的密碼只有自己知道，這樣可保證安全使用。當去除【用戶下次登錄時須更改密碼】前的勾選后，【用戶不能更改密碼】和

11、【密碼永不過期】這兩個選項將由灰變實。用戶不能更改密碼：只允許用戶使用管理員分配的密碼。密碼永不過期：密碼默認的有限期為42天，超過42天系統(tǒng)會提示用戶更改密碼，選中此項表示系統(tǒng)永遠不會提示用戶修改密碼。賬戶已禁用：選中此項表示任何人都無法使用這個賬戶登錄，適用于企業(yè)內(nèi)某員工離職時，防止他人冒用該賬戶登錄。 任務操作2. 設置本地賬號屬性打開【計算機管理】主窗口，找到【本地用戶和組】，單擊【用戶】，在用戶賬戶【test1】上右擊，在彈出的菜單中根據(jù)實際需要選擇菜單中的命令對賬戶進行操作，如圖1-3所示。 圖1-3 單擊用戶zhangsan彈出右鍵菜單 任務操作選擇【設置密碼】命令可以更改當前用

12、戶賬戶的密碼。選擇【刪除】命令可以刪除當前用戶賬戶。選擇【重命名】命令或更改當前用戶賬戶的名稱。選擇【屬性】命令，可以禁用或激活用戶，把用戶加入某個組等。例如停用zhangsan賬戶，則在【常規(guī)】選項卡中選中【賬戶已禁用】復選框，然后單擊【確定】按鈕返回計算機管理控制臺，可以看到停用的賬戶是以藍色的向下箭頭來標記。 2. 設置本地賬號屬性(1)在test2賬戶的右鍵菜單中選擇【屬性】進入【test2屬性】對話框，在該對話框選擇【隸屬于】選項卡，并點擊選項卡中的【添加】按鈕可以彈出【選擇組】對話框中，如圖1-4所示。 圖1-4 配置用戶隸屬組 任務操作2. 設置本地賬號屬性(2)在【選擇組】對話

13、框中中輸入“administrators”組完整名稱，然后點擊【檢查名稱】按鈕完成管理員組的自動添加，點擊【確定】后就完成用戶添加入管理員組的操作，結果如圖1-5所示。 圖1-5 test2用戶隸屬組界面 任務操作任務驗證（1）以【test1】賬戶登錄到服務器，可以查看系統(tǒng)的大部分功能，但無法對系統(tǒng)進行配置。例如使用【test1】賬戶修改系統(tǒng)時間時，會提示輸入管理員密碼，說明【test1】沒有配置系統(tǒng)時間權限，如圖1-6所示。（2）以【test2】身份登錄服務器，則不存在上述警告界面，說明【test2】賬戶具有系統(tǒng)時間管理權限。 （3）也可以用【test1】和【test2】這兩個用戶做創(chuàng)建用戶

14、實驗，結果應為test1無法創(chuàng)建而test2可以創(chuàng)建。 圖1-6 用戶test1無法修改系統(tǒng)日期界面任務背景公司網(wǎng)絡部員工試用windows server 2012一段時間后，決定現(xiàn)在windows server 2012系統(tǒng)上部署業(yè)務系統(tǒng)做系統(tǒng)測試，等確定該系統(tǒng)能穩(wěn)定支撐公司業(yè)務后再做業(yè)務系統(tǒng)遷移，并在這臺服務器上創(chuàng)建共享，并將系統(tǒng)測試文檔統(tǒng)一存放在網(wǎng)絡共享中。公司業(yè)務系統(tǒng)的管理涉及網(wǎng)絡部的網(wǎng)絡管理組和系統(tǒng)管理組的所有員工，公司需要為每一位員工創(chuàng)建賬戶并授予管理權限，網(wǎng)絡部結構如圖1-7所示。任務1-2 組的創(chuàng)建及管理圖1-7 網(wǎng)絡部結構圖任務分析本任務需要在windows server 2

15、012系統(tǒng)中為網(wǎng)絡部所有員工創(chuàng)建賬戶，并為這些賬戶授予管理權限，同時為方便對文件共享的訪問授權，需要創(chuàng)建組賬戶，并將用戶加入到對應組中。用戶的權限具有繼承性特點，即用戶的權限是其本身權限和隸屬組權限之和。如果有大量的用戶需要授權（文件共享的訪問），則管理員需要做大量的用戶授權的配置，解除授權的操作也是一樣，而如果這些用戶都隸屬于一個組賬戶，則只需對這個組賬戶進行授權或解除授權，不僅簡化操作并能有效管理和控制。任務操作1、創(chuàng)建用戶以【Administrator】身份登錄windows server 2012服務器，在【服務器管理器】主窗口中，單擊【工具(T)】按鈕，再單擊【計算機管理】，打開【計

16、算機管理】主窗口，找到【本地用戶和組】，單擊【用戶】，創(chuàng)建網(wǎng)絡組用戶n1和n2，系統(tǒng)管理組用戶s1和s2，結果如圖1-8所示。 圖1-8 計算機管理的用戶管理界面 任務操作2、創(chuàng)建本地組，并將用戶加入到本地組中（1）以【Administrator】身份登錄windows server 2012服務器，在【服務器管理器】主窗口中，單擊【工具(T)】按鈕，再單擊【計算機管理】，打開【計算機管理】主窗口，找到【本地用戶和組】，單擊【組】，在右鍵菜單中單擊【新建組(N)】，彈出【新建組】對話框，輸入組名【sysadmins】，并將用戶【s1】和【s2】加入到【sysadmins組】，如圖1-9所示。

17、圖1-9 新建組 任務操作2、創(chuàng)建本地組，并將用戶加入到本地組中（2）單擊【創(chuàng)建】完成【sysadmins】組及成員的加入操作，以類似操作完成【netadmins】組及成員的創(chuàng)建與加入操作，結果如圖1-10所示。 圖1-10 組賬戶管理視圖 任務操作在組管理界面中，除了可以新建組，還可以對現(xiàn)有組進行編輯修改，點擊需要修改的組，在右鍵菜單中可以進行【添加到組】、【刪除】等操作，具體操作說明如下：選擇【添加到組】命令可以更改當前組的成員，增加成員或刪除成員。選擇【刪除】命令可以刪除當前組賬戶。選擇【重命名】命令或更改當前組賬戶的名稱。選擇【屬性】命令，可以修改組的【描述】，更改當前組的成員，增加成

18、員或刪除成員。任務驗證 用戶創(chuàng)建后，注銷【administrator】后，在windows server 2012登錄界面可以看到【s1】、【s2】、【n1】、【n2】賬戶，點擊任意一個賬戶，錄入密碼后就可以以管理員身份管理該服務器了。如圖1-11所示 圖1-11 windows server 2012 登錄界面 項目二 文件共享服務文件共享是指在計算機上共享的文件供局域網(wǎng)其它計算機使用。在windows server 2012的文件夾右鍵快捷菜單中提供了目錄的共享設置鏈接，在配置用戶共享時，系統(tǒng)會自動安裝文件共享服務角色和功能。在網(wǎng)絡中專門用于提供文件共享服務的服務器稱為文件服務器。1、文件

19、共享在文件服務器上部署共享可以提供多種用戶訪問權限，常見的有讀取和寫入權限。讀取權限：允許用戶瀏覽和下載共享目錄及子目錄的文件。寫入權限：用戶除具備讀取權限的權限外，還可以新建、刪除和修改共享目錄及子目錄的文件和文件夾。2、文件共享權限文件服務器針對訪問用戶賬戶設置了兩種類型：匿名賬戶和實名賬戶。匿名賬戶：在windows系統(tǒng)中匿名賬戶一般指“guest”賬戶，但在匿名共享目錄中授權時通常用“everyone”賬戶進行授權。實名賬戶：顧名思義，用戶在訪問共享目錄時需要輸入特定的賬戶名稱和密碼。默認情況下這些賬戶都是由文件服務器創(chuàng)建的，并用于共享目錄的授權。如果有大量的賬戶則一般會新建組賬戶，然

20、后在共享中只需對組賬戶授權即可（用戶賬戶繼承組的權限）。3、文件共享的訪問賬戶類型在文件服務器中可以通過文件共享權限配置用戶對共享目錄的訪問權限，但是如果該共享目錄所在磁盤為NTFS文件系統(tǒng)磁盤，則該目錄的訪問權限還會受到NTFS權限的限制。此時，用戶對共享目錄的訪問權限為文件共享權限和NTFS權限的并集，例如：用戶user對共享目錄share具有寫入權限，但NTFS權限限制user寫入，則用戶user將不具備該共享目錄的寫入權限，也就是只有文件共享權限和NTFS權限都允許是，用戶才允許，其它情況為拒絕。在實際應用中，經(jīng)常在文件共享權限中配置較大的權限，然后通過NTFS做針對性的限制權限來實現(xiàn)

21、用戶對文件服務器共享目錄的訪問權限配置。4、文件共享權限與NTFS權限項目描述圖2-1 公司網(wǎng)絡部結構公司網(wǎng)絡部由網(wǎng)絡管理組和系統(tǒng)管理組構成，負責公司基礎網(wǎng)絡和應用服務的日常維護與管理。維護與管理公司網(wǎng)絡的過程需要填寫大量的紙質(zhì)日志記錄和文檔，為方便這些日志和文檔的管理，部門決定采用電子文檔方式存放在公司的文件服務器上。公司網(wǎng)絡部結構如圖2-1所示。在文件服務器建立共享目錄，并配置寫入權限，用戶可以隨時上傳文件（文檔）到該目錄中，這樣就可以實現(xiàn)網(wǎng)絡管理組和系統(tǒng)管理組員工將日常維護與管理文檔集中存放在文件服務器上。項目分析任務背景公司網(wǎng)絡部需要在文件服務器上創(chuàng)建網(wǎng)絡共享存儲，并將日常運維工具放置

22、在該共享存儲上，以方便員工在維護和管理公司網(wǎng)絡和計算機時下載安裝。任務分析在Windows Server 2012文件服務器上創(chuàng)建文件夾，并將該文件夾共享并賦予Everyone用戶讀取寫入權限，使得網(wǎng)絡部所有用戶都能夠訪問讀取并且具備寫入權限。任務2-1 部署匿名共享(1)在IP為的文件服務器的D盤下創(chuàng)建名為【share】的文件夾，對share右鍵【共享】選擇【特定用戶】，如圖2-2所示。任務操作 圖2-2 共享特定用戶選項 (2)在下拉列表中將【Everyone】添加到共享用戶列表中，并在賦予【Everyone】用戶組具備讀取/寫入權限，如圖2-3所示。任務操作圖2-3 共享特定用戶選項 (

23、3)點擊共享，在彈出的【網(wǎng)絡發(fā)現(xiàn)和文件共享】中選擇【是，啟用所有公用網(wǎng)絡的網(wǎng)絡發(fā)現(xiàn)和文件共享】。再點擊share文件夾，右鍵選擇【屬性】，我們可能看到【Everyone】具備完全控制權限，如圖2-4所示。任務操作圖2-4 查看Everyone的NTFS權限 在PC1上輸入訪問文件服務器上share共享文件夾，并將test.txt文件上傳到share共享目錄中，如圖2-5所示。任務驗證圖2-5 測試訪問共享 任務2-2 部署非匿名共享任務背景公司網(wǎng)絡部員工在維護公司內(nèi)部網(wǎng)絡和計算機時，還需要填寫維護日志文檔，員工希望在該文件服務器上建立個人目錄用于存放該文檔。為滿足員工需求存儲文檔的需求，文件服

24、務器將為部門的每一位員工創(chuàng)建共享，用戶可以將文件上傳至自己的共享文件夾，并且該共享文件夾只有用戶本人具備讀取/寫入權限，其他人不能訪問。任務分析要實現(xiàn)本任務的文件共享服務，需要通過以下幾個步驟來完成：(1)在文件服務器為每一位員工創(chuàng)建用戶賬戶，本任務中將創(chuàng)建n1、n2、s1和s2賬戶。(2)在文件服務器創(chuàng)建【維護日志文檔】目錄用于存放員工的個人文檔，然后在該目錄下為每一位員工創(chuàng)建個人文件夾，文件夾建議以用戶名命名。(3)將這些個人文件夾配置為共享，并配置共享權限：僅允許對應賬戶讀取和寫入。(4)用戶訪問共享目錄，測試是否符合工作需求。任務操作1、創(chuàng)建用戶在文件服務器上創(chuàng)建網(wǎng)絡組用戶n1和n2，

25、系統(tǒng)管理組用戶s1和s2，結果如圖2-6所示。 圖2-6 計算機管理的用戶管理界面 2、創(chuàng)建文件夾在文件服務器的D盤下創(chuàng)建名為【維護日志文檔】的目錄，并在該目錄下創(chuàng)建【n1】、【n2】、【s1】和【s2】4個子文件夾，結果如圖2-7所示。 任務操作圖2-7 【維護日志文檔】目錄及其子目錄界面 3、為每一個文件夾配置共享，權限為僅允許對應賬戶讀取和寫入，下面僅以【n1】目錄為例。（1）配置【n1】目錄只有n1用戶能對其有讀取/寫入權限，如圖2-8所示。任務操作圖2-8 配置n1用戶具備讀取寫入權限 3、為每一個文件夾配置共享，權限為僅允許對應賬戶讀取和寫入，下面僅以【n1】目錄為例。（2）查看n

26、1文件夾的NTFS權限，如圖2-9所示。（3）用同樣的方法新建n2、s1、s2文件夾，并只允許同名用戶具備讀取寫入權限。 任務操作圖2-9 查看n1用戶的NTFS權限 在PC1上用n2用戶訪問文件服務器上n1共享文件夾，系統(tǒng)將提示“你沒有權限訪問n1”，如圖2-10所示。任務驗證圖2-10 n2用戶訪問共享文件夾n1 在PC1上用n2用戶訪問文件服務器上n2共享文件夾，可以正常訪問，并可以寫入和刪除數(shù)據(jù)，如圖2-11所示。 任務驗證圖2-11 n2用戶訪問的共享文件夾n2 任務2-3 部署部門（組）資源共享任務背景網(wǎng)絡部有網(wǎng)絡管理組和系統(tǒng)管理組兩個組，每個組在運維時也希望通過網(wǎng)絡共享存儲存放相

27、關日志文檔，各組的日志文檔權限為：組內(nèi)部成員具備讀取和寫入權限，其它組成員僅具備讀取權限。任務分析要實現(xiàn)本任務的文件共享服務，需要通過以下幾個步驟來完成：（1）在文件服務器為每一位員工創(chuàng)建用戶組賬戶，本任務中將創(chuàng)建netadmins和sysadmins兩個組賬戶。（2）將n1和n2用戶加入到netadmins組，將s1和s2用戶加入到sysadmins組。（3）在文件服務器創(chuàng)建【網(wǎng)絡部日志文檔】目錄用于存放網(wǎng)絡部的日志文檔，然后在該目錄下創(chuàng)建【網(wǎng)絡管理組】和【系統(tǒng)管理組】子目錄用于存放對應小組的日志文檔。（4）將【網(wǎng)絡部日志文檔】文件夾配置為共享，并配置netadmins和sysadmins兩

28、個組具有讀取權限。（5）對【網(wǎng)絡管理組】和【系統(tǒng)管理組】子目錄配置權限，增加對應組賬戶讀取和寫入權限。（6）用戶訪問共享目錄，測試是否符合工作需求。1、創(chuàng)建用戶組創(chuàng)建網(wǎng)絡管理組和系統(tǒng)管理組的組賬戶netadmins和sysadmins，并將n1和n2添加到網(wǎng)絡管理組中，將s1和s2添加到系統(tǒng)管理組中，如圖2-12所示。任務操作 圖2-12 創(chuàng)建組賬戶 2、在文件服務器創(chuàng)建【網(wǎng)絡部日志文檔】目錄和【網(wǎng)絡管理組】和【系統(tǒng)管理組】子目錄。在文件服務器的D盤創(chuàng)建【網(wǎng)絡部日志文檔】目錄，并在該目錄下創(chuàng)建【網(wǎng)絡管理組】和【系統(tǒng)管理組】子目錄，結果如圖2-13所示。任務操作 圖2-13 文件服務器新建的目錄

29、 3、配置共享和權限(1)將【網(wǎng)絡部日志文檔】目錄配置為共享，并授權給兩個組賬戶讀取權限，如圖2-14所示。 任務操作 圖2-14 【網(wǎng)絡部日志文檔】的共享權限設置 3、配置共享和權限(2)管理【網(wǎng)絡管理組】文件夾的NTFS權限，為netadmins組增加寫入權限，使得網(wǎng)絡管理組用戶具備讀取和寫入程序。在【網(wǎng)絡管理組】子目錄的右鍵菜單中點擊【屬性】打開【網(wǎng)絡管理組】目錄的屬性對話框中，并點擊【安全】選項卡，點擊【編輯】按鈕進入【網(wǎng)絡管理組的權限】對話框中，在該對話框中選擇netadmins組，并追加修改和寫入權限,如圖2-15所示。注意：在NTFS權限中，子目錄默認繼承父目錄的權限，因此【網(wǎng)絡

30、管理組】子目錄無需再對netadmins和sysadmins組授權，僅需增加netadmins組的讀取和寫入權限即可。在本任務中也可以預先給【網(wǎng)絡部日志文檔】目錄配置讀取和寫入權限，而在圖2-15所示的對話框中配置sysadmins組拒絕修改和寫入權限。任務操作圖2-15 設置【網(wǎng)絡管理組】目錄sysadmins組的NTFS權限 任務操作 圖2-16 配置【系統(tǒng)管理組】目錄中sysadmins組的權限 3、配置共享和權限(3)同理，為【系統(tǒng)管理組】目錄增加sysadmins組的讀取和寫入權限，結果如圖2-16所示。 在PC1上輸入訪問文件服務器上【網(wǎng)絡部日志文檔】共享文件夾，在彈出的對話框中輸

31、入用戶n1的賬戶名和密碼。訪問【系統(tǒng)管理組】文件夾并嘗試刪除該目錄的文件時，系統(tǒng)會提示拒絕，如圖2-17所示。這是由于netadmins組僅能讀取【系統(tǒng)管理組】目錄的文件，但拒絕寫入和修改文件，而n1隸屬于netadmins組。 任務驗證 圖2-17 系統(tǒng)管理組用戶無法刪除文件 訪問【系統(tǒng)管理組】文件夾，并能成功上傳一個測試文檔，這是由于netadmins組對該目錄具有讀取和寫入權限，顯然n1用戶繼承了組的權限，如圖2-18所示。任務驗證圖2-18 網(wǎng)絡管理組用戶可以寫入文件 項目三 路由和遠程訪問服務的部署3.1 路由和路由器的概念圖3-2 主機1到主機2的路由選擇3.1.1 路由簡言之，從

32、源主機到目標主機的數(shù)據(jù)包轉發(fā)過程就稱為路由。在圖3-2所示的網(wǎng)絡環(huán)境中，主機1和主機2進行通信時就要經(jīng)過中間的路由器，當這兩臺和主機中間有多臺路由器時，就會面臨著一個選擇：是沿著R1R2R4的路徑，還是按R1R3R4的路徑進行轉發(fā)。在實際應用中，Internet上路由器的數(shù)目會更多，兩臺主機之間數(shù)據(jù)包轉發(fā)存在的路徑也就更多，為了盡可能地提高網(wǎng)絡訪問速度就需要一種方法來判斷從源主機到達目標主機所經(jīng)過的最佳路徑，從而進行數(shù)據(jù)轉發(fā)，這就是路由技術。路由器時用來進行數(shù)據(jù)包轉發(fā)的設備，是網(wǎng)絡的中轉站，用來連接不同的邏輯子網(wǎng)，路由器可以分為硬件路由器和軟件路由器。（1）硬件路由器：專門設計用于路由的設備。

33、例如思科、銳捷等公司生產(chǎn)的系列路由器產(chǎn)品。硬件路由器實質(zhì)上也是一臺計算機，不同于普通計算機的是它運行的操作系統(tǒng)主要用來進行路由維護，不能運行程序。硬件路由器的優(yōu)點是路由效率高，但其缺點是價格較昂貴，配置也較為復雜。（2）軟件路由器：通過對一臺計算機進行配置讓其擁有路由器的功能，這臺計算機就稱為軟件路由器。由于路由器必須有多個接口連接不同的IP子網(wǎng)，所以充當軟件路由器的計算機一般安裝有多個網(wǎng)卡。軟件路由器的優(yōu)點是價格相對較低，且配置簡單，但其缺點是路由效率低，一般只在較小型網(wǎng)絡中使用。3.1.2 路由器3.1.3 路由表圖3-3 路由器中的路由表在每臺計算機中都維護著去往一些網(wǎng)絡的傳輸路徑，這就

34、是路由表。在現(xiàn)實生活中，人們?nèi)绻肴ツ骋粋€地方，在大腦中就會有一張地圖，其中包含到達目的可以走的多條路。路由器中的路由表就相當于人腦中的地圖。這是由于路由表的存在，路由器才可以依據(jù)路由表進行數(shù)據(jù)包的轉發(fā)，如圖3-3所示。在路由表中有該路由器掌握的所有目的網(wǎng)絡地址，以及通過路由器到達這些網(wǎng)絡的最佳路徑。最佳路徑指的是路由器的某個接口或與其相鄰的下一跳路由器的接口地址。當路由器收到一個數(shù)據(jù)包時，它會將數(shù)據(jù)包目標IP地址的網(wǎng)絡地址和路由表中的路由條目進行對比，如果有去往目標網(wǎng)路的路由條目，就根據(jù)該路由條目將數(shù)據(jù)包轉發(fā)到相應的接口；如果沒有相應的路由條目，則根據(jù)路由器的配置將數(shù)據(jù)包轉發(fā)到默認接口或者丟

35、棄。利用route print命令查看路由表3.1.4 路徑選擇過程有無否有無與目的主機地址完全匹配的條目返回“主機不可到達”或“網(wǎng)絡不可達”的信息開始搜索路由表有無與目的網(wǎng)絡地址相匹配的條目有無默認路由條目無無有有路由搜索結束將報文發(fā)送給該條目指定的下一站路由器或直接連接的網(wǎng)絡接口3.2 路由的類型圖3-6 利用route add 命令添加靜態(tài)路由圖3-7 利用route delete命令刪除靜態(tài)路由3.2.1 靜態(tài)路由靜態(tài)路由是由管理員手工進行配置的，在靜態(tài)路由中必須明確指出從源到目標所經(jīng)過的路徑，一般來所在網(wǎng)絡規(guī)模不大，拓撲結構相對穩(wěn)定的網(wǎng)絡中配置靜態(tài)路由，其優(yōu)缺點如下：靜態(tài)路由的優(yōu)點：

36、由于由管理員手工配置，因此可以減輕路由器的開銷。靜態(tài)路由的缺點：當網(wǎng)絡發(fā)生變化時，靜態(tài)路由不能反映網(wǎng)絡結構的變化，而且網(wǎng)絡規(guī)模很大時，配置靜態(tài)路由會增加管理員的工作負擔。使用具有管理員權限的用戶賬戶登錄Windows Server 2012計算機，打開命令提示窗口，利用route add命令可以添加靜態(tài)路由，如圖3-6所示。利用route delete命令可以手工刪除一條路由條目，如圖3-7所示。C:route add mask metric 3C:route print .(省略部分顯示信息) 在鏈路上 3.(省略部分顯示信息)C: route delete 3.2.2 默認路由圖3-8 利

37、用route add 命令添加默認路由默認路由是一種特殊的靜態(tài)路由，也是由管理員手工配置的，為那些在路由表中沒有找到明確匹配的路由信息的數(shù)據(jù)包指定下一跳地址。在Windows Server 2012的計算機上配置默認網(wǎng)關時就為該計算機指定了默認路由，獲知利用route add命令也可以添加默認路由，如圖3-8所示。C: route add mask 54 metric 3C:route print (省略部分顯示信息) 54 33(省略部分顯示信息)當網(wǎng)絡規(guī)模很大，且網(wǎng)絡結構經(jīng)常發(fā)生變化時就需要使用動態(tài)路由。通過在路由器上配置路由協(xié)議可以自動搜集網(wǎng)絡信息，并且放映網(wǎng)絡結構的變化，動態(tài)地維護路由

38、表中的內(nèi)容。其優(yōu)缺點如下：動態(tài)路由的優(yōu)點：由于動態(tài)路由是靠路由協(xié)議自動維護的，因此減輕了管理員的工作負擔，而且可以自動反映網(wǎng)絡結構的變化。動態(tài)路由的缺點：增大了路由器為處理路由所花費的開銷，對路由器的硬件要求比較高。3.2.3 動態(tài)路由路由協(xié)議（Routing Protocol）運行在路由器上，它通過提供一種共享路由選擇信息的機制，允許路由器與其它路由器通信以更新和維護自己的路由表，并確定最佳的路徑。通過路由協(xié)議，路由器可以了解未直接連接的網(wǎng)絡的狀態(tài)，當網(wǎng)絡發(fā)生變化時，路由表中的信息可以隨時更新，以保證網(wǎng)絡上的路徑處于可用狀態(tài)。3.2.4 路由協(xié)議（1）內(nèi)部網(wǎng)關協(xié)議和外部網(wǎng)關協(xié)議根據(jù)工作范圍，

39、路由協(xié)議可以分為內(nèi)部網(wǎng)關協(xié)議（IGP）和外部網(wǎng)關協(xié)議（EGP）。內(nèi)部網(wǎng)關協(xié)議：在一個自治系統(tǒng)內(nèi)進行路由信息交換的路由協(xié)議，如：RIP、IGRP、EIGRP、OSPF、ISIS等。外部網(wǎng)關協(xié)議：在不同自治系統(tǒng)間進行路由信息交換的路由協(xié)議，如BGP。（2）距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議根據(jù)工作原理，路由協(xié)議可以分為距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議。距離矢量路由協(xié)議：通過判斷數(shù)據(jù)包從源主機到目的主機所經(jīng)過的路由器的個數(shù)來決定選擇哪條路由，如RIP、IGRP等。鏈路狀態(tài)路由協(xié)議：不是根據(jù)路由器的數(shù)目選擇路徑，而是綜合考慮從源主機到目的主機間的各種情況（如帶寬、延遲、可靠性、承載能力和最大傳輸單元

40、等），最終選擇一條最優(yōu)路徑，如OSPF、ISIS等。RIP協(xié)議RIP協(xié)議最初是為Xerox網(wǎng)絡系統(tǒng)的Xerox parc通用協(xié)議而設計的，是Internet中常用的路由協(xié)議。RIP通過技術從源主機到目標主機經(jīng)過的最少跳數(shù)（hop）來選擇最佳路徑，它支持的最大跳數(shù)為15跳，即從源主機到目標主機的數(shù)據(jù)包最多可以被15個路由器轉發(fā)，如果超過15跳，RIP協(xié)議就認為目的地不可達。由于單純地以跳數(shù)作為路由的依據(jù)，不能充分描述路徑特性，可能會導致所選的路徑不是最優(yōu)，因此RIP協(xié)議只適用于中小型的網(wǎng)絡中。運行RIP協(xié)議的路由器默認情況下每隔30秒會自動向它的鄰居發(fā)送自己的全部路由表信息，因此會浪費較多的帶寬

41、資源。同時，由于路由信息是一跳一跳地進行傳遞，因此RIP協(xié)議的收斂速度會比較慢。當網(wǎng)絡拓撲結構發(fā)送變化時，RIP協(xié)議通過觸發(fā)更新的方式進行路由更新，而不必等待下一個發(fā)送周期。例如，當如路由器檢測到某條鏈路失敗時，它將立即更新自己的路由表并發(fā)送新的路由，每個接收到該觸發(fā)更新的路由器都會立即修改其路由表，并繼續(xù)轉發(fā)該觸發(fā)更新。OSPF協(xié)議0SPF是一種基于鏈路狀態(tài)的路由協(xié)議，需要每個路由器向其同一管理域的所有其它路由器發(fā)送鏈路狀態(tài)廣播信息。在OSPF的鏈路狀態(tài)廣播中包括所有接口信息、所有的量度和其它一些變量。利用OSPF的路由器首先必須收集有關的鏈路狀態(tài)信息，并根據(jù)一定的算法計算出到每個節(jié)點的最短

42、路徑。而基于距離向量的路由協(xié)議僅向其鄰接路由器發(fā)送有關路由更新信息。與RIP不同，OSPF將一個自治域再劃分為區(qū)，相應地即有兩種類型的路由選擇方式：當源和目的地在同一區(qū)時，采用區(qū)內(nèi)路由選擇；當源和目的地在不同區(qū)時，則采用區(qū)間路由選擇。這就大大減少了網(wǎng)絡開銷，并增加了網(wǎng)絡的穩(wěn)定性。當一個區(qū)內(nèi)的路由器出了故障時并不影響自治域內(nèi)其它區(qū)路由器的正常工作，這也給網(wǎng)絡的管理、維護帶來方便。項目描述圖3-1 公司網(wǎng)絡拓撲某公司擁有業(yè)務部、行政部和生產(chǎn)部，每個部門都建好了局域網(wǎng)，為滿足公司業(yè)務發(fā)展需求，公司希望能將各局域網(wǎng)互聯(lián)及接入互聯(lián)網(wǎng)，實現(xiàn)公司內(nèi)部的相互通信、資源共享和Internet接入，公司網(wǎng)絡拓撲如

43、圖3-1所示。在網(wǎng)絡中，路由器用于實現(xiàn)局域網(wǎng)的互聯(lián)，通過在各局域網(wǎng)部署路由器可以輕松實現(xiàn)不同局域網(wǎng)的互聯(lián)。通過路由器互聯(lián)起來的各部門網(wǎng)絡實現(xiàn)了部門間的相互通信和資源共享。本項目中公司內(nèi)的各部門建立了自身的局域網(wǎng)，可以使用windows server 2012的路由和遠程訪問服務可以作為公司的路由器來互聯(lián)各部門局域網(wǎng)，實現(xiàn)各部門的相互通信和資源共享。項目分析任務背景公司內(nèi)的技術部和業(yè)務部都各自組建了局域網(wǎng)，您是該公司的網(wǎng)絡管理員，公司希望通過一臺裝有windows server 2012的雙網(wǎng)卡計算機實現(xiàn)這兩個局域網(wǎng)的互聯(lián)，公司網(wǎng)絡拓撲圖 如圖3-9所示。任務3-1實現(xiàn)兩個局域網(wǎng)的互聯(lián)圖3-9

44、任務3-1的網(wǎng)絡環(huán)境通過在雙網(wǎng)卡計算機上安裝windows server 2012，同時部署和啟用路由與遠程訪問服務，可將該計算機配置為路由器，并實現(xiàn)兩個局域網(wǎng)的互聯(lián)（直連網(wǎng)絡）。任務分析1.PC1和PC2的配置（1）使用具有管理員權限的用戶賬戶登錄PC1和PC2，將IP地址、子網(wǎng)掩碼和網(wǎng)關配置到本地連接中，如圖3-10和圖3-11所示。任務操作圖3-10 PC1的TCP/IP配置圖3-11 PC2的TCP/IP配置1.PC1和PC2的配置(2)在PC1中打開命令提示符窗口，利用Ping 54命令檢查到其默認網(wǎng)關的連接，如果連接成功且TTL值為128,；利用Ping 命令檢查與另一子網(wǎng)的PC2

45、的連接，發(fā)現(xiàn)返回信息Request timed out，表明連接失敗，如圖3-12所示。任務操作C:ping 54.(省略部分顯示信息)Reply from 54: bytes=32 timeping .(省略部分顯示信息)Request timed out.(省略部分顯示信息)圖3-12 PC1的ping命令測試結果置1.PC1和PC2的配置(3)同理可以在PC2做類似的測試，可以發(fā)現(xiàn)局域網(wǎng)內(nèi)部和網(wǎng)關的通信良好，但是無法和另一個局域網(wǎng)的計算機通信。任務操作2、路由和遠程訪問服務的安裝（1）在【服務器管理器】主窗口的【角色摘要】下，單擊【添加角色】按鈕。 （2）在【添加角色向導】中，單擊【下一

46、步】按鈕。（3）在服務器角色列表中，選擇【網(wǎng)絡策略和訪問服務】和【遠程訪問】兩個服務，并選取默認的配套服務和功能，單擊【下一步】按鈕，如圖3-13所示。任務操作圖3-13角色選擇2、路由和遠程訪問服務的安裝（4）在【遠程訪問】的【角色服務】選項卡中，應勾選【路由】選項卡，以便支持RIP協(xié)議，如圖3-14所示。（5）繼續(xù)執(zhí)行“添加角色向導”中的步驟，完成“路由和遠程訪問”服務的安裝。任務操作圖3-14 遠程訪問的路由選項卡3、路由和遠程訪問服務的配置（1）在【服務管理器】中打開【路由和遠程訪問】控制臺，選擇【ROUTER】服務器，在右鍵菜單中選擇【配置并啟用路由和遠程訪問】，如圖3-15所示任務

47、操作圖3-15路由和遠程訪問控制臺3、路由和遠程訪問服務的配置（2）在彈出的安裝向導窗口中，選擇【自定義配置】，然后單擊【下一步】按鈕，如圖3-16所示。任務操作圖3-16 自定義配置3、路由和遠程訪問服務的配置（3）在自定義配置窗口中，選擇【LAN路由】，然后單擊【下一步】按鈕，如圖3-17所示任務操作圖3-17 LAN路由3、路由和遠程訪問服務的配置（4）按照缺省步驟完成路由和遠程訪問服務的啟動，如圖3-18所示任務操作圖3-18 路由和遠程訪問啟動后界面（1）在PC1上利用ping命令再次檢查與PC2的連接，發(fā)現(xiàn)可以正常通信，如圖3-19所示。（2）同理，可以再PC2上利用ping命令檢

48、查與PC1的連接， TTL應為127，完成兩個子網(wǎng)的互聯(lián)。任務驗證C:ping .(省略部分顯示信息)Reply from : bytes=32 timeping .(省略部分顯示信息)Reply from : bytes=32 timeping .(省略部分顯示信息)Reply from : bytes=32 timeping .(省略部分顯示信息)Reply from : bytes=32 timenet start已經(jīng)啟動以下 Windows 服務:（省略部分顯示信息） DNS Server （省略部分顯示信息）主要DNS服務的配置DNS 服務器需要通過DNS區(qū)域管理DNS名稱空間，因此

49、還需要在DNS 服務器上創(chuàng)建相應的DNS區(qū)域。正向區(qū)域用于DNS名稱到IP地址的正解析，如果DNS服務器上創(chuàng)建了一個DNS區(qū)域的主要區(qū)域，則該DNS服務器即成為該DNS區(qū)域的主DNS服務器。任務操作3、添加正向查找區(qū)域(1)打開DNS管理器，在【服務器管理器】主窗口下，單擊【工具】在下拉列表中選擇【DNS】。 (2)在控制臺樹中，右鍵單擊【正向查找區(qū)域】，然后單擊【新建區(qū)域】以打開新建區(qū)域向導。(3)在出現(xiàn)的新建區(qū)域向導中，選擇【主要區(qū)域】，然后單擊【下一步】。(4)在接下來出現(xiàn)的區(qū)域名稱窗口中，輸入我們要新建的區(qū)域名稱：。任務操作3、添加正向查找區(qū)域(5)在DNS服務器中，每一個區(qū)域都會對應

50、有一個文件，文件名我們使用缺省的文件名，即.dns。 (6)在接下來的動態(tài)更新對話窗口中，通常情況下，基于安全的考慮，我們選擇【不允許動態(tài)更新】，單擊【下一步】完成新建。任務操作添加資源記錄創(chuàng)建區(qū)域后，必須向區(qū)域中添加更多資源記錄。添加的最常見資源記錄包括下列各項：主機 (A) 資源記錄： 用于將域名系統(tǒng) (DNS) 域名映射到計算機使用的IP地址。別名 (CNAME) 資源記錄： 用于將別名DNS映射到另一個主機名或其他名稱。郵件交換器 (MX) 資源記錄： 用于告知郵件服務器進程將郵件發(fā)送到指定的另一臺郵件服務器。指針 (PTR) 資源記錄：用于映射基于某臺計算機的 IP 地址的反向 DN

51、S 域名，該 IP 地址指向該計算機的正向DNS域名，用于反向解析。任務操作4、配置根域（1）在建立的區(qū)域上，單擊右鍵，然后選擇【屬性】，在彈出的窗口中選擇【名稱服務器】選項卡，并單擊【添加】按鈕配置根域記錄,如圖4-14所示。任務操作圖4-14 配置根域4、配置根域（2）FQDN欄中輸入根域，并在IP地址中輸入對應的IP：，如圖4-15所示。任務操作圖4-15 編輯名稱服務器記錄（根域注冊）5、注冊web服務器（添加A記錄）（1）在建立的區(qū)域上，單擊右鍵，然后選擇【新建主機（A或AAAA）】，如圖4-16所示。任務操作圖4-16 新建主機記錄5、注冊web服務器（添加A記錄）(2)在新建主機

52、對話窗口中，名稱輸入www，則完全合格的域名，就是.，IP地址中輸入0，最后單擊【添加主機】，完成主機記錄的添加,如圖4-17所示。任務操作圖4-17 添加主機6、注冊web記錄（別名）(1)在建立的區(qū)域上，單擊右鍵，然后選擇【新建別名（CNAME）】；如圖4-18所示。任務操作圖4-18 新建別名記錄6、注冊web記錄（別名）（2）在新建別名記錄的對話窗口中，輸入一個新的名稱web，在目標主機的完全合格的域名（FQDN）一欄中，我們輸入 (也可以通過單擊【瀏覽】，查找到想要建立別名的主機)，單擊【確定】完成別名記錄的添加。完成后，和就對應到了同一IP地址，如圖4-19所示。任務操作圖4-19

53、 添加別名記錄7、客戶機的配置在客戶機網(wǎng)卡的TCP/IP選項中，配置dns地址指向主DNS服務器IP，結果如圖4-20所示。任務操作圖4-20 客戶機dns的配置DNS的測試通常通過ping、nslookup、ipconfig/displaydns命令進行。（1）ping在客戶機上打開命令行工具，通過ping命令測試域名是否能正常解析，圖4-21所示，域名已經(jīng)正確解析為IP：0 。任務驗證圖4-21 DNS的Ping測試（2）nslookup更為專業(yè)的測試命令是nslookup，在命令行窗口中，輸入nslookup ，可以看到服務器的返回結果，如圖4-22所示，對應的IP為0，并且是的別名。任

54、務驗證圖4-22 DNS的nslookup測試（3）ipconfig/displaydns通用用ping命令測試各條域名解析結果后，可以輸入ipconfig/displaydns查看客戶機本地的dns緩存記錄，如圖4-23所示。任務驗證圖4-23 通過ipconfig命令查看本地dns記錄緩存任務4-2實現(xiàn)子公司DNS委派服務器的部署圖4-24 廣州子公司拓撲任務背景廣州子公司內(nèi)擁有2臺windows server 2012服務器分別負責域名解析和文件管理，域名服務器管理的域名是由公司總部委派給子公司管理，子公司各服務器域名名稱如圖4-24所示，公司希望通過部署DNS服務實現(xiàn)公司內(nèi)部基于域名的

55、相互訪問。任務分析在子公司部署DNS服務可以加快子公司計算機域名的解析速度，如果子公司可以自己管理自己的域名，則子公司域名的注冊效率因無需向總公司申請，可提升注冊效率。通過在公司總部委派這個域名給廣州子公司的DNS服務器進行管理，可實現(xiàn)子公司內(nèi)部域名的管理。在客戶端配置DNS服務器地址為公司總部DNS服務器的IP地址，能夠實現(xiàn)公司內(nèi)基于域名的相互訪問。任務4-2實現(xiàn)子公司DNS委派服務器的部署1、總公司委派（1）在總公司的DNS服務器中打開【DNS 管理器】。（2）在控制臺樹中，右鍵單擊，然后單擊【新建委派】命令，如圖40-25所示。任務操作圖4-25 新建委派1、總公司委派（3）在如圖4-2

56、6所示的對話框中，在【委派的域】中輸入要委派的子域gz，然后單擊【下一步】按鈕。任務操作圖4-26 gz子域委派1、總公司委派（4）然后輸入子域的FQDN和IP地址，其中（FQDN是 主機名 + 域名）這里就是（WIN-UAR34A8GQAD.和00），如圖4-27所示。（5）最后，單擊【完成】，完成DNS子域的委派。任務操作圖4-27 子域委派服務器2、子公司管理域名（1）在廣州子公司的DNS服務器上安裝【DNS服務器】。（2）新建剛剛總公司委派的域名，如圖4-28所示。任務操作圖4-28 子域2、子公司管理域名（3）添加文件服務器的主機記錄，如圖4-29所示。任務操作圖4-29 添加文件服

57、務器主機記錄在客戶機上進行測試，客戶機的首選DNS仍然是，我們可以看到在子域DNS服務器上有一個主機記錄對應01，這里我們使用nslookup命令測試，解析是成功的，如圖4-30所示。但是提示非權威應答，因為首選DNS是，這個DNS沒有子域的區(qū)域文件，所以是非權威的應答。任務驗證圖4-30 子域委派測試任務4-3實現(xiàn)香港辦事處輔助DNS服務器的部署任務背景香港辦事處擁有1臺windows server 2012服務器，該DNS服務器作為北京總部DNS服務器的輔助DNS服務器，只負責從北京總部拷貝DNS記錄到自己的輔助DNS中，不能對域名記錄的添加和刪除，公司網(wǎng)絡拓撲如圖4-31所示，實現(xiàn)香港辦

58、事處能通過本地域名解析以便快速訪問公司資源。圖4-31 香港辦事處網(wǎng)絡拓撲任務4-3實現(xiàn)香港辦事處輔助DNS服務器的部署任務分析要實現(xiàn)香港辦事處能通過本地域名解析以便快速訪問公司資源，這要求香港辦事處的DNS服務器必須擁有全公司所有的域名數(shù)據(jù)。在公司中域名的數(shù)據(jù)存儲在北京總公司的主域控制器和廣州子公司的額外域控制器中，因此香港輔助DNS服務器必須復制北京和廣州兩臺DNS服務器的數(shù)據(jù)，才能實現(xiàn)香港辦事處計算機域名的快速解析，提高對公司網(wǎng)絡資源訪問的效率。1、配置香港辦事處為北京總公司輔助DNS1）輔助DNS服務的配置（1）在香港辦事處的DNS服務器上安裝【DNS服務器】。（2）在控制臺樹中，右擊

59、 DNS 服務器，然后單擊【新建區(qū)域】以打開新建區(qū)域向導。（3）在出現(xiàn)的新建區(qū)域向導中，選擇【輔助區(qū)域】，然后單擊【下一步】。（4）在接下來的區(qū)域名稱窗口中，輸入要建立的輔助區(qū)域的名稱；（注意：輔助區(qū)域的名稱要和主要區(qū)域的名稱相同），如圖4-33所示。任務操作圖4-33 輔助區(qū)域名稱1、配置香港辦事處為北京總公司輔助DNS1）輔助DNS服務的配置（5）添加建立的輔助區(qū)域要從哪些DNS服務器上進行DNS數(shù)據(jù)的復制（可以是多個）；這里，我們輸入北京總部的DNS服務器的IP地址，如圖4-34所示。（6）最后，單擊【完成】，完成輔助DNS服務器的創(chuàng)建。任務操作圖4-34 輔助區(qū)域創(chuàng)建之主DNS-IP輔

60、助DNS服務的配置注意：通常情況下，經(jīng)過上述的步驟后，我們創(chuàng)建的輔助區(qū)域是無法進行區(qū)域數(shù)據(jù)復制的，也就是說，我們創(chuàng)建的輔助區(qū)域無法正常提供服務。造成這個問題的原因是，我們還沒有在主DNS服務器的相應區(qū)域上允許輔助DNS服務器進行數(shù)據(jù)復制。任務操作1、配置香港辦事處為北京總公司輔助DNS2）主DNS服務器允許復制（1）在主DNS服務的相應區(qū)域上，單擊右鍵，然后選擇【屬性】；如圖4-35所示。任務操作圖4-35 查看區(qū)域屬性1、配置香港辦事處為北京總公司輔助DNS2）主DNS服務器允許復制（2）在區(qū)域屬性窗口中，選擇【區(qū)域傳送】，這里，我們選擇到【所有服務器】，最后單擊【確定】完成設置，如圖4-3