7-8mcse2003視頻及筆記第二課創(chuàng)建和管理用戶賬戶

1、第二課 創(chuàng)建和管理用戶賬戶1、在 active directory 中創(chuàng)建域用戶與賬號2、創(chuàng)建本地賬戶： 快捷啟動命令：lusrmgr.msc命令：net user用戶名/add ; 刪除是/del ;修改直接 net user 用戶名 新命令行下輸入：Netuser 查看本地有多少用戶創(chuàng)建域賬戶 ：快捷命令 ：dsa.msc命令：user add3、一部分用戶信息存在表里HKEY_LOCAL_MACHINESAMSAM 里，右擊你正在操作的用戶勾上控制和權限，然后刷新目錄就出來了HKEY_LOCAL_MACHINESAMSAMsAccountUsersNames存放了本機的用戶名 以及用戶S

2、IDadministrator 默認用戶的 sid 的結(jié)尾數(shù) 10 進制數(shù)是 500，這個十六進制是 1f4，User 項下有和每個用戶 sid 數(shù)值對應的一些項，比如右圖雙擊 00001f4 中有兩個值雙擊f 中的內(nèi)容到任何一個用戶對應的 sid 值 0000*的f 中，這個用戶就成了管理員，并且和 1f4 有相同的權限和桌面等。利用這個方法，可以創(chuàng)建隱藏賬戶，新建一個賬戶 aaa$并且把管理員 1f4 中的f 值到aaa$對應的 f 中，然后導出 name下 aaa$和 aaa$對應的 sid 值這個項，在命令行下刪除 aaa$，并從新導入這 2 個表項，然后在命令行和添加用戶和組的窗口下

3、都看不到這個 aaa$，但是 aaa$能登陸并且只在表這個位置能看到，這就創(chuàng)建了一個和管理員一樣的隱藏賬戶。4、用戶賬戶的 Windows 最長方法較弱，是是 127 個字符，存在 sam 數(shù)據(jù)庫中或 ad 中，windows 默認現(xiàn)有湊足 14 位，并改成大寫，分成 2 段加密再合并起來是加密的，但是加密。直接命令行運行 syskey 可以加強 windows 自帶的5、用戶配置文件 包含用戶的桌面、開始菜單、加密算法文檔、等分本地配置文件 ：在 c:s and Settings下相應的用戶名目錄下漫游配置文件 在域用戶下，先在 ad 的用戶和計算機管理中添加域用戶配置文件的路徑為，域控制器

4、機器上的一個 everyone 權限的文件夾，比如路徑是2doc%username%變量的意思是在 doc 下建立相應用戶名的文件夾。強制漫游配置文件 選擇顯示隱藏文件和后綴，把用戶配置目錄下 C:s and Settings 下某個用戶名中 netuser.dat 改為netuser.man 并且把ad 端也改動，即可實現(xiàn)這個用戶以后在每次登陸中所做的配置文件中桌面、程序等的改動不生效。Net use 2務器 2 建立陸。/user:用戶名 這個命令的作用是在管理員用戶下用某個用戶的和服接，然后在通過網(wǎng)上鄰居登陸服務器共享文件夾就會用這個用戶登多個用戶用同一個配置文件，把表HKEY_LOCA

5、L_MACHINESOFTWAREWindows NTCurrentVerProfileList 這個位置下相應的 sid 項中 ProfileImagePath 這個字符串值改為相同的路徑即可，然后需要設置一下相應用戶都有權限來寫入這一個文件即可。第三課 Nfts 特性在 win2003 上的體現(xiàn)1、2003 的文件系統(tǒng)2003 支持的文件系統(tǒng)，文件分配表系統(tǒng) FAT、磁盤文件系統(tǒng) CDFS（cdorm 所有文件系統(tǒng)）、通用磁盤格式文件系統(tǒng)UDF（DVD 格式文件系統(tǒng)）、NTFS 文件系統(tǒng)Ntfs 的特性：文件與文件夾精細的安全權限、支持加密文件系統(tǒng)、文件壓縮、設置磁盤限額、聯(lián)結(jié)點。命令行下

6、 set u 命令行下查看當前用戶用 windows 自帶工具 convert 可將 fat 轉(zhuǎn)變?yōu)?ntfs 系統(tǒng)第四課 網(wǎng)絡共享資源的各種1、方法容易的方法便捷的方法直接的方法專業(yè)的方法網(wǎng)上鄰居網(wǎng)絡驅(qū)動器通過 UNC 路徑 直接在運行中輸入地址通過命令 net use2、Net use 的用處 建立接確立你的net use 2ipc$/user 用戶名驅(qū)動器 net use 盤符: 2共享文件夾名建立一個網(wǎng)絡3、尋找網(wǎng)絡中的共享文件夾通過 DFS （分布式文件共享） 域環(huán)境下用戶在運行 輸入即可顯示所有共享文件root（分布式文件共享的更目錄名稱）目錄發(fā)布 在域服務器上點擊ad 用戶和計算

7、機 在users 上右擊選擇新建共享文件夾輸入名稱和 ip、文件夾目錄即可，域環(huán)境下用戶在網(wǎng)上鄰居搜索 ad 即可搜索出來。權限設置方面，在 ad 中選擇查看-高級功能選項在選擇剛才發(fā)布的文件夾屬性就有了安全選項，即可在里面設置權限。4、如何確保共享文件安全共享權限NTFS 權限AD享文件夾的權限設置5、Windows2003改后無法還原新特性 卷影副本 功能，是定期備份 2003 上的共享文件，以方便通過網(wǎng)絡誤刪除修。客戶機 需要安裝一個客戶端默認在 2003 的c:windowssystem32cntstwcntx86twcli32服務器 需要共享文件所在 ntfs 分區(qū)，并且啟用卷影副本

8、功能。在盤符右擊屬性選擇卷影副本稍加設置即可?？蛻魴C使用此功能時安裝了客戶端后直接在要還原的共享文件上右擊屬性有個以前的版本，選擇需要的時刻到本地或者還原到原地都可以。6、隱藏共享 在需要共享的文件夾加上$，比如共享aa 文件夾，共享時名寫成 aa$即可在客戶端通過網(wǎng)絡時看不到這個aa 文件夾，直接通過 UNC 方式直接輸入地址aa 才能。第五課 windows2003 安全策略使用安全模板有關安全配置和分析縱深防御？使用分層方法：增加降低者被檢測到的風險、者的成功幾率。注：右圖中 NIDS 是網(wǎng)絡測系統(tǒng)檢安全策略中賬戶策略：對照說明很簡單的應用策略賬戶鎖定策略 xp 的工作組模式下輸錯一次相

9、當于 2 次在 2003DC（Controller）上，相對應的是域控制器安全設置和域安全設置安全模板Default security（setup security.inf）默認安全模板controller default security（ecurity.inf）域控制 DC 默認安全模板Compatiable（compatws.inf） 兼容安全模板 Secure（securedc.inf and securews.inf）增強的安全模板 Highly secure (hisecdc.inf and hisecws.inf )高安全的安全模板 System root security(ro

10、otsec.inf)查看系統(tǒng)自帶的一些安全模板可以在 mmc 中添加刪除管理單元選擇安全模板查看和修改以及增加?？梢栽诮M策略里的安全設置位置右擊導入這些安全模板，安全配置和分析，可以分析當前計算機策略板和選擇要更換的策略模板的區(qū)別，并且可以選擇立即配置馬上生效。第六課 2003 的磁盤管理1、Windows2003 的磁盤特性-支持動態(tài)磁盤-本地和管理-Mount Drivers-區(qū)域網(wǎng)絡（SANs）磁盤管理工具介紹-Disk Managemaent windows 自帶，1電腦右鍵 2、mmc 進入、3、diskmgmt.msc 也可打開。-DiskPart命令行管理工具2、基本磁盤與動態(tài)磁

11、盤動態(tài)磁盤 ：創(chuàng)建動態(tài)卷、卷的數(shù)目不受限制、可擴容、提高磁盤讀寫性能、使用容錯磁盤確保數(shù)據(jù)完整性基本磁盤：數(shù)據(jù)、數(shù)據(jù)備份動態(tài)磁盤支持 win2000 以后的NTFS 分區(qū),并且不支持群集服務。動態(tài)磁盤分為：簡單卷、跨區(qū)卷、帶區(qū)卷、鏡像卷、RAID-5 卷簡單卷：類似基本磁盤的基本卷，只有一個磁盤時只能創(chuàng)建簡單卷，無大小和數(shù)量限制，可擴容，可以被鏡像?？鐓^(qū)卷： 至少需要 2 塊磁盤、最多支持 32 塊磁盤、無法被鏡像磁盤 0 滿了后寫到磁盤 1 上-帶區(qū)卷(調(diào)帶卷)： 至少需要 2 塊磁盤、最大支持 32 塊磁盤、Raid-0將數(shù)據(jù)分成 64k 的塊每個磁盤寫入一塊、提高性能、無法容錯。優(yōu)點可以

12、提高性能，但容易出錯有。鏡像卷Raid-1：至少需要 2 塊磁盤、可以容錯、浪費磁盤空間。RAID-5 卷： 既可以容錯又可以提高性能（redundant arrays of indexpensive disks）廉價磁盤冗余陣列至少三塊磁盤、最多 32 塊磁盤、可以容錯、提高讀寫性能、浪費磁盤空間動態(tài)磁盤故障恢復恢復鏡像卷恢復 RAID-5 卷更換磁盤或修復磁盤后直接在新磁盤上點擊重新激活即可自動修復同上桌面工具令：mstsc.exe第七講 win 2003恢復-備份備份的重要性：及時保存重要數(shù)據(jù)及時保存系統(tǒng)狀態(tài)在緊急時刻提供恢復數(shù)據(jù)的可能可以使的系統(tǒng)啟動起來Windows 備份工具的優(yōu)勢可

13、以備份系統(tǒng)狀態(tài)可以定制計劃任務可以備份到多種上：軟盤、優(yōu)盤、光盤、磁帶機、網(wǎng)絡上的共享文件夾等支持圖形及命令行模式利用 ASR 修復系統(tǒng)，asr:全稱是自動系統(tǒng)修復多種備份方式Ntbackup 備份工具令存檔標記：在文件屬性-高級屬性中有-可以存檔的勾，如果勾上就是說明這個文件沒有備份沒勾說明這個文件已經(jīng)用 ntbackup 備份過正常備份差異備份增量備份副本備份備份不清除存檔標記，正常備份+最后一天的差異備份就可以還原到最后一天狀態(tài)還原時需要正常備份+每天的備份才能還原不清楚存檔標記 其余和正常備份一樣所有文件都備份不清除存檔標記 只備份當天修改過的文件在 2003 下活動目錄可以用備份工具

14、備份，還原活動目錄時需要在啟動 2003 時 f8 選擇目錄還原模式Automatic system recoveryASR 功能備份重要系統(tǒng)文件需要軟盤修復系統(tǒng)啟動故障不會還原數(shù)據(jù)文件第八講 使用 ipsec 加強系統(tǒng)安全性常用的網(wǎng)絡：局域網(wǎng)中傳送數(shù)據(jù)時網(wǎng)卡是以廣播形式發(fā)送數(shù)據(jù)，所有網(wǎng)卡都會收到數(shù)據(jù)，在一個局域網(wǎng)計算機上安裝上 sniffer 就可以抓到所有流到這個網(wǎng)卡的數(shù)據(jù)包，不管他是不是發(fā)給這個 ip 的，如果此時這些數(shù)據(jù)沒有加密，就可以讀出來。數(shù)據(jù)篡改 ： 發(fā)動，在時把發(fā)送 ip 更改成別的 ip，時被時的附屬方發(fā)現(xiàn)不了數(shù)據(jù)包來源，包括 ip 地址、arp 地址、dns中間人：網(wǎng)絡和數(shù)

15、據(jù)篡改聯(lián)合的法，：最常用的法的設計緩沖區(qū)溢出：結(jié)合程序或來實現(xiàn)的，每種在設計時都會設定緩沖區(qū)存放臨時數(shù)據(jù)并定義其長度和限制，在程序員大意沒有做很嚴格的限制時，會把其設計的代碼放到這些沒做限制的緩沖區(qū)中，使其大于設計時的長度和限制就會溢出。范疇的四大標準性：加密數(shù)據(jù)數(shù)據(jù)完整性：為了防止數(shù)據(jù)在傳輸過程被篡改，給數(shù)據(jù)加上校驗。認證：不可否定性驗證Ipsec 能夠幫助完成這四大標準ipsec 策略 Ipsec 使用策略和規(guī)則規(guī)則包含篩選器篩選器動作驗證方法性默認策略（windows 默認自帶 3 個安全策略）Cnt（respond only） Server（request security） Secu

16、re server（require security） Ipsec 能做什么加密數(shù)據(jù)關閉端口禁用協(xié)議驗證ipsec 只能限制本機，如果你的機器做路由或墻來限制。不能限制局域網(wǎng)內(nèi)其他計算機，還需要防火包超過 65500 字節(jié) windows 會藍屏，是由于 tcp/ip 協(xié)議造成的，只允許內(nèi)所以會藍屏包在 65500 以1、 關在本地安全策略的 ip 安全策略中或 mmc 中添加 ip 安全策略，右邊 3 個是自帶策略，可以在右邊新建一個名字為no的新策略，不激活默認規(guī)則，然后編輯-添加規(guī)則去掉添加向?qū)У墓?在則屬性中選擇添加一個篩選器和篩選器操作，篩選器規(guī)定了 ip 地址和協(xié)議，篩選器操作規(guī)定

17、如何操作（通過或或協(xié)商安全即加密），在篩選器添加 no名字，地址任何 ip 到ip，協(xié)議選擇 icmp，鏡像不用勾，（鏡像的意思是對雙方都有效，因為本身就是需要雙方響應，如果別人自己，自己別人只能出去回來的還是收不到，所以勾不勾效果一樣只是提示不一樣）然后確定，在添加篩選器操作名字寫 no-安全措施選確定即可，然后把no和 no 勾上點擊應用，新的 no的 ip 策略就生成了，需要使用時右擊指派即可生效。2、 關端口 用 netsna 查看開放端口 listening 是開放并的 establishend 是已經(jīng)連接的Time wait 別人和你連過現(xiàn)在已經(jīng)斷了和新建 no策略一樣，新建no

18、139，只是在添加篩選器時規(guī)定協(xié)議時改成 tcp 協(xié)議，端口寫從任意端口到 139，篩選器操作還用剛才的 no 即可，然后點擊 no 139 和 no 應用即可生成新的 no139策略，點擊指派即可生效。3加密 和驗證Netmontor 微軟（2003 或 server 系列系統(tǒng)）自帶抓包des 加密算法 把一個數(shù)據(jù)分成 64k 一塊的數(shù)據(jù)塊，把每個 64k 的塊在分成 2 個塊，對每個塊的數(shù)據(jù)用一個魔法數(shù)字和密鑰做加密，2 個塊做完一次后合并在做一次一直做 16 次，最后把數(shù)據(jù)合并。3des 是做 3 輪這個加密Md5 加密算法 把任意數(shù)字生成 128 位的密鑰也叫哈希算法加密命令所有數(shù)據(jù)包

19、 如不加密時用 netmon 抓包會看出所用的 32byte 數(shù)據(jù)所用是abcdefg 等 26 個英文字母加密時在 2 個計算機都要做相同的策略和設置，加密時別的和上面限制全在 添加上加密一樣，在篩選器選擇所有到本機，協(xié)議 icmp，篩選器操作選擇協(xié)商安完整性，驗證方法選擇添加一個使用字符串，然后 2 個計算機要設置相同的任意字符竄做密匙 ，最后都勾上應用即可生成新的加密命令的策略，在 2 個計算機都需要做次設置，然后在用抓包工具抓下來的包就是加密不是明文內(nèi)容的。第九講 Tcp/ip 協(xié)議基礎Osi 參考模型 Tcp/ip 協(xié)議族常見協(xié)議Ip 地址規(guī)范相關概念簡介Osi 參考模型 open

20、systemerconnection reference medel之間的接口服務 （應用層-會話層包括 Http、FTp、SMTP應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層提供網(wǎng)絡與用戶應用提供格式化的表示和轉(zhuǎn)換數(shù)據(jù)服務DNSRIP SNMP)應用之間通信的機制提供提供建立、驗證和會話管理在內(nèi)的建立和和取消傳輸連接功能，負責可靠的傳輸數(shù)據(jù)TCP UDParp ip IGMP ICMP處理網(wǎng)絡間路由，確保數(shù)據(jù)及時傳送負責無錯傳輸數(shù)據(jù)，確認幀、發(fā)錯重傳等提供機械、電器、功能和過程特性數(shù)據(jù)傳輸過程 在 TCP/IP 協(xié)議棧中表述方式ApplicationApplicationTransport

21、校驗并去掉 tcp 報頭ernet 校驗并去掉 ip 報頭Link校驗并去掉幀的控制信息把數(shù)據(jù)分段并加上 tcp 報頭上層數(shù)據(jù)加上 ip 報頭成幀Transporternet Link常見協(xié)議介紹網(wǎng)際協(xié)議 ip 協(xié)議：負責在主機和網(wǎng)絡之間尋址和路由數(shù)據(jù)包地址協(xié)議 arp：獲得同一物理網(wǎng)絡中的硬件主機地址網(wǎng)際控制消息協(xié)議 ICMP：發(fā)送消息，并有關數(shù)據(jù)包傳送錯誤互聯(lián)組管理協(xié)議 IGMP：ip 主機向本機多路廣播路由器主機組成員Tracert 命令 可以查看數(shù)據(jù)包到達目的地通過多少個路由傳輸控制協(xié)議 TCP:為程序提供可靠的通信連接，要求得到響應，建立好連接才會開始傳輸，先握手用戶數(shù)據(jù)報協(xié)議 UD

22、P: 提供五連接通信，且不對傳送包進行可靠的保證，可靠性由應用層來負責不握手Ip 地址規(guī)范ip 地址：32 位二進制地址 用點分十進制表示mac 地址：48 位二進制地址 常用 12 位 16 進制表示二進制轉(zhuǎn)十進制方法：點分十進： 把第一個小數(shù)點左邊 8 位按 2 的 0 次方到 2 的 7 次方排好，有 1 對應的數(shù)全加起來就是十進制數(shù)了。IP 地址分類A 類地址主機位開頭是 0 的 即001111111 開頭的，0127B類 地 址 主 機 位 是 10開 頭 即1000000010111111，十進制為 128-191C類地址主機位為 110開頭即 1100000011011111，十

23、進制為 192-223Ip 地址規(guī)范公網(wǎng) ip 和私網(wǎng) ip公網(wǎng) ip 需要申請、可以被公網(wǎng)上的計算機直接私網(wǎng) ip 不需申請、免費、不能被公網(wǎng)上的計算機直接A 類 /8B 類 /16/16C 類 /24/24其他非公網(wǎng) ip 也不能在公網(wǎng)出現(xiàn)賄賂即地址 /8自動私有地址(APIPA) /16相關概念簡介靜態(tài) ip 與動態(tài) ip默認網(wǎng)關 DHCP DNSWINS 提供系統(tǒng)里 netbios 名稱用于局域網(wǎng)，現(xiàn)在局域網(wǎng)中可通過 dns 來hostname，來實現(xiàn)網(wǎng)絡互訪，win2000 以后的系般不用 netbios 了，第十講服務應用大全之 DNS 服務使用詳解Dns：是公網(wǎng)上的一個服務，名稱

24、服務DNS 的查詢類型和方法遞歸查詢：在遞歸查詢中，dns 客戶端直接要求得到完整的結(jié)果。迭代查詢：在迭代查詢中，客戶端能得到下一 dns 服務器的地址，首先發(fā)送到本地 dns，本地不知道時會向 13 個。域服務器發(fā)送遞歸查詢，。域服務器也不知道會。Com 域的服務器知道，并。Com 域的地址，然后他。Com 域的服務器，。Com 域服務器在Nwtraders。coom 域根提示 ：根提示可以讓本地域服務器查詢?nèi)?13 個根域服務器的 ip 地址根提示在 2003 的DNS 控制器中計算機屬性去查看配置，默認系統(tǒng)在安裝 dns 時已經(jīng)配置好在一個網(wǎng)絡中如果一臺機器既是域控制器又是域服務器，那

25、么在 dns 組件中會自動產(chǎn)生一個。域，他會認為自己就是。域，當然就不用在添加并轉(zhuǎn)發(fā)到別的根提示服務器了，這就會導致根提示是灰色不可用，無法名稱，這種情況只要把。域刪除即可。轉(zhuǎn)發(fā)： 轉(zhuǎn)發(fā)可以讓本地DNS 服務器將查詢請求轉(zhuǎn)發(fā)到其他 DNS 服務器。轉(zhuǎn)發(fā)也在服務器屬性中設置，需自己設址，域服務器如果設置了轉(zhuǎn)發(fā)會大大減輕負擔，轉(zhuǎn)發(fā)在 2003 以后系統(tǒng)中可以設置條件轉(zhuǎn)發(fā)，例如某個某些例如轉(zhuǎn)發(fā)到特定dns 地址，其他 all 轉(zhuǎn)發(fā)另一個 dnsDNS 客戶端配置方法：手動指定、DHCP 自動獲取、輔助 DNS 服務器使用場景：、加入域、瀏覽網(wǎng)頁、收發(fā)郵件、等清除客戶端DNS 緩存：ipconfig/

26、flashdns加入域時，如果在網(wǎng)卡 ip 屬性里填寫了 dns 地址，則輸入域的全名如則會顯示加入框，如果沒有填寫 dns 地址，則輸入全名會報錯，這時輸入 netbios 名 cent 也可以加入。名稱過程：經(jīng)過右圖 8 步。DNS 數(shù)據(jù)庫下圖中被選擇部分就是一個區(qū)域，區(qū)域一般就是一個域或，區(qū)域的右側(cè)是區(qū)域類型：正向、反向、主、輔助、AD集成類型：A、PTR、AME、SOA、 SRV、MX 等建成 DNS 服務器后，可在正向區(qū)域某個區(qū)域右側(cè)點擊新建主機（A）和別名（CNAME）,也可在反向區(qū)域里新建反向查找（PTR）用來從 ip 查詢名稱NSSOA用來告訴這個域的DNS 服務器是誰中序列號

27、：表示這個域的新舊程度，這個域做了更改后序列 序列號新 號會加大，當 2 臺 dns 需要做舊來選擇的時候會按照主服務器：是來表示這個域的 dns 服務器是誰刷新時間重試時間過期時間：在需要做同步的時時間，如果過期事件還同步不了就會過期，就不候的間隔 可用了。在你的服 這個 SRV：該域的 DC（域控制器）是誰，務器既是 dns,又是 dc 時，會有這個，如果不全，客戶端在登陸時就會在 dns 上找不到 dc 導致無法登陸域，如果 srv不全，可在服務中重啟 NET LOGIN 服務即可自動補全，srv無法手動填寫補全在新建主DNS 區(qū)域時，不選擇 AD 集成，dns 數(shù)據(jù)庫會是 system

28、dns區(qū).dns 文件如果選擇AD 集成 dns 數(shù)據(jù)庫就會和AD 數(shù)據(jù)庫集成在一起，在windowsNTDSntds.dat,選擇 AD 集成的好處是AD 自己有能力，如果你在一個域內(nèi)有多個 DC 并且都是 dns 服務器，就可以在做 dns 時做成ad 集成，dns 的就會隨著AD 的自發(fā)完成了不需人工干預。DNS 和活動目錄的關系活動目錄依賴 DNS客戶端登陸域/加入域，需要 dns網(wǎng)絡資源DC 間需要 dns需要 dns活動目錄DNS 中的 srvDC 地址第十一講 win2003 服務之 DHCP 服務詳解DHCP 服務器如何配置DHCP Dhcp 的中繼DHCP 數(shù)據(jù)庫的備份和還原

29、DHCP （動態(tài)主機配置協(xié)議）：最大的作用是給客戶端配置 ip 地址DHCP 是怎么工作的如網(wǎng)絡內(nèi)有多個 dhcp 服務器，哪個先回復客戶端就從哪個租dhcpdhcpdhcpdhcpa DHCPdiscovacket客戶端廣播服務器廣播客戶端廣播服務器廣播a dhcpoffacketa dhcp request packeta dhcpack packet這就申請到了一個 ip 地址，dhcp 默認租約為 8 天，到第四天（即租約一半）時5 dhcp 客戶端會 send a dhcprequest packet 6 dhcp 服務器會 send a dhcppack packet如果成功 租約

30、就又變成默認的 8 天，并繼續(xù)使用原 ip。如果不成功客戶端會在到了 3/4 時間時，在進行續(xù)租，如果成功就變成 8 天如不成功就回第一步重新進行廣播租地址，哪個服務器先回復客戶端就從哪個租。Dhcp 的在工作組環(huán)境下 dhcp 直接按上述模式工作。在域環(huán)境下，dhcp 服務器先查看 DC 上的AD（活動目錄），看自己是否被，如右圖，只有被的 dhcp 服務器才能開始服務。如何去一臺 DHCP 服務器操作在 DHCp 服務器上進行即可，dhcp 上右擊選擇即可。如何配置一臺 DHCP 服務器作用域（scopes）-一段 ip 地址的集合。Dhcp 的保留-為一些有特殊作用的服務器或工作站配置固

31、定的 ip 地址dhcp 的選項可以配置網(wǎng)絡中的網(wǎng)關(即路由)、子網(wǎng)掩碼、dns 服務器的地址、域、wins 服務器 ip 并告訴客戶端，Dhcp 選項中可以配置的有 3 種：服務器選項、作用域選項、保留選項。其中服務器選項權限最大，如果保留和作用域選項不設置會繼承服務器選項的設置內(nèi)容。如果設置的話就會變成你設置的內(nèi)容。保留和作用域選項的優(yōu)先級比服務器選項高，因為一個 dhcp 服務器上可以設置多個作用域。如設置選項設置。都使用的地址如dns 可以在服務器類級別 把 2 個或多個作用域里的 xp 客戶端作為一類，或 98 的客戶端作為一類，這一類使用相同的配置，或者把某個作用域中的一些計算機設

32、置為同一類級別，給他們設置上相同的配置。這些配置在選項中的高級中設置。并且需要先在客戶端網(wǎng)卡中設上類級別?？蛻舳嗽O置類級別：在命令行下，使用 ipconfig /setcla名(任意設置能記住的英文即可)“網(wǎng)卡名稱（本地連接幾）” 類別服務器設置類級別：和 dhcp 的配置類似，也可以在服務器選項、作用域選項、保留選項中設置，先在服務器右擊，選定義用戶類別添加顯示名稱-ASCII 碼處填入網(wǎng)卡那填入的類別名確定即可。 然后在服務器選項中右擊選擇配置高級用戶類別選擇你先前設置的cal，在在下面可設置和普通 dhcp 配置一樣的各個設置了。其優(yōu)先級和 dhcp 普通配置一樣，都是如果不配置保留和作

33、用域，服務器選項是全局的，如果配置了保留和作用域，保留優(yōu)先級最高、作用域其次。中繼（relay agent）：幫助通過 2 個路由器相連的 2 個子網(wǎng)中一個子網(wǎng)的機器去個子網(wǎng)的 dhcp 服務器來達到自動配址的目的。另一因為路由器是默認不轉(zhuǎn)發(fā)廣播包的，所以子網(wǎng) A的機器就無法通過廣播去 B 網(wǎng)獲得DHCP 配給的地址。除非支持 RFC 1542 的路由器是可以轉(zhuǎn)發(fā)DHCP 的廣播包的。跳點（hop count）：中繼支持 16 個路由。需要通過多少個路由器才能到達 dhcp 服務器所在的網(wǎng)段，最大如果真的通過 16 個路由倒不如給中繼所在網(wǎng)段配置一臺 dhcp，否則太影響性能和速度。啟動閥值（

34、boot threshold）：設置中繼時可以設置一個等待時間，如果本地 dhcp 服務器存在就從本地獲得 ip 地址，如果不存在或當?shù)袅?，就通過中繼時間就是啟動閥值。來獲得 ip 地址。這個等待因為 dhcp 是根據(jù)時間先后來確定的，如果本地有存在 dhcp 肯定會在等待時間之內(nèi)就能從本地獲得 ip 地址，如果本地不存在或當機，在等待時間之后就會通過中繼來獲得。配置中繼在路由和務器中。服務器來配置，不是在 dhcp 服在一個啟了路由的服務器中，打開路由配置界面，在服務器ip路由選擇右擊選擇添加路由協(xié)議選擇dhcp 中繼程序-然后右擊屬性添加要轉(zhuǎn)的 dhcp 服務器地址即可然后右擊 dhcp中

35、繼程序選擇新增端口-選擇你要連接本地子網(wǎng)的網(wǎng)卡可以設置跳躍點數(shù)和啟動閥值。如何備份還原 dhcp 服務器數(shù)據(jù)庫Dhcp 的所有數(shù)據(jù)庫文件存放在c:windowssystem32dhcp文件夾下。平時dhcp 自動 24 小時備份一次放在dhcpbackup目錄下,或者手動右擊dhcp 服務器選擇備份和還原。還可以利用windows 自帶的 ntbackup 工具來實現(xiàn)放到別的位置（盤符或機器）來提高安全保障。Dhcp 的，如果希望一個用戶對 dhcp 服務器只有只讀權限，可以加入 dhcp user 組，如果希望他可以配置 dhcp 服務器，可以加入 dhcp administrator 組命

36、令行下，清空網(wǎng)卡緩存可用 ipconfig /release重新獲得 dhcp 分配的 ip 可用 ipconfig /renewDhcp 服務器在地址用到 90%時會在作用域下面給出提示黃色感嘆號，如果已經(jīng)用完會給出藍色感嘆號如果在一個子網(wǎng)內(nèi)有 2 個作用域，比如 100，100，會發(fā)生所有機器會先從 192.168.1 的作用域內(nèi)取得 ip，取完后才從 2 的取得 ip，這種情況下要想讓子網(wǎng)內(nèi)客戶端從 2 個作用域分別取得 ip，可以在服務器上右擊新建一個超級作用域，并且把這 2 個作用域都添加進這個超級作用域，即可。第十二講 WINS 服務使用詳解名字Wins 服務原理Wins 服務wi

37、ns 服務名字：在大型網(wǎng)絡中，知道計算機名（netbios 名）來獲得對應 ip 地址的過程Netbios 名在什么地方會看到：工作組模式-網(wǎng)上鄰居看到的名字廣播是netbios 名的方式之一。Netbios 名最長 16 個字符但只能用 15 個主機名比netbios 長度要長的多，當主機名小于 15 個字符時，主機名和netbios 名一樣查看主機名和 netbios 名的方式：1、 右擊電腦屬性-計算機名點擊更改看到的是主機名-在點擊其他看到的是 netbios 名2、 主機名命令行下輸入 hostname 即可Netbios 名-命令行輸入 nbtsn 或當主機名小于 15 位時就是用

38、 hostname 查出的主機名Nbts查出來的 netbios 名有很多行，這些前 15 位相同第 16 位是不同的，對應的服務不同第 16 位也不同。右圖中用 nbtsn查出的 netbios 名都是 server2，第 16 位 00 代表 works ion服務、20 代表 server 服務、01 代表 messenger 服務。WINS 服務原理2 個網(wǎng)段或計算機很多的一個子網(wǎng)中，可以配置一臺 wins 服務器，以縮短廣播形式查詢 netbios 名的時間。在 2 個網(wǎng)段中，網(wǎng)段 1 的計算機是不到網(wǎng)段 2 的計算機的，因為路由默認是不轉(zhuǎn)發(fā)廣播包，這時候在網(wǎng)段 1 中可以設置1 臺

39、計算機為 wins proxy 可以將本網(wǎng)段內(nèi)的廣播上來實現(xiàn)通過路由發(fā)送到wins server網(wǎng)段 2 的目的。成為 wins proxy 很簡單需要修改表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi的鍵值為 1 即可NetBTParametersEnableproxyNetbios 的節(jié)點類型配置 wins 客戶端-在網(wǎng)卡 tcp/ip 屬性里高級填入 wins 服務器 ip 地址即可配置完后用 ipconfig /all 查看網(wǎng)卡時會發(fā)現(xiàn)里面有個 Node Type （節(jié)點類型） -Hybrid節(jié)點類型分為 4 種，是應用在在 wins 客

40、戶端的1、B-node 基于廣播的方式（性能不好）2、P-node 基于點對點方式per to per 即找服務器3、M-node 先廣播在去找服務器（性能也不好）4、H-node 先服務器在去廣播一般都配置成基于H-node 的，性能好又兼顧 2 種方式WINS server 可以看成一個數(shù)據(jù)庫，里面存放了一張表，存放了對應的 netbios 名和 ip配置 wins server 在服務器-wins 服務右擊活動選擇顯示，點擊立即查找，就會把網(wǎng)絡內(nèi)所有客戶端的 netbios 名和對應 ip 找到并存放到wins 服務器中Wins Clent 在 server 的和注銷的流程Wins cl

41、ent 開機時（進行網(wǎng)絡連接，進桌面前一步）會在 wins server名和 ip并告訴 server 其 netbiosWins clent 關機時（正在關閉網(wǎng)絡連接）會告訴 wins server 并客戶端就查找不到標記的netbios 名和 ip其 netbios 名和 ip，這時別的WINS server 對并發(fā)連接的處理問題比如幾千臺客戶端同時開機，或斷電后來電時所有客戶端同時開機的場景。如果什么也不做 wins 的性能很很受影響，也會導致有的客戶端變慢導致登陸變慢。Wins server 定義了高中低三個級別，高：前 1000 個客戶端直接中： 500低： 300并登陸，后面的客戶

42、端先給一個令牌，讓其先登陸過一會在服務器默認設置是中，在服務器屬性高級中配置。一個 cnt 可以配置多個 server，按順序查找，當?shù)谝粋€找了 3 次還沒有響應時才會尋找第二個。：可以手動添加一個 netbios也不會被刪掉（非靜態(tài)記靜態(tài)，錄在后面有個日期， 過期就會被刪掉）。在服務器的表中新建靜態(tài) ip 填入 netbios 和域的名稱，選擇唯一，在填入 ip 即可。WINS 服務的兩個不同網(wǎng)段的 wins 服務器，設置復制后，可以使網(wǎng)段 1 的計算機查看網(wǎng)上鄰居是看到網(wǎng)絡 2 的客戶端，并。方式：推、拉。推發(fā)生條件：滿足其中一個就會發(fā)生推當 wins 服務器啟動時。當信息改動的項數(shù)達到一

43、定數(shù)量時當wins 服務器數(shù)據(jù)庫內(nèi)有一項信息中的 ip 地址發(fā)生變動時系統(tǒng)管理員手動方式進行立即的操作時當配置伙伴服務器時要在 2 臺 wins 服務器上相互配置，并設置相同的推拉伙伴類型拉發(fā)生條件：滿足其中一個就會發(fā)生Wins 服務器啟動所配置的間隔時間到了管理員手動進行拉操作時WINS 服務手動備份或用計劃任務用 windows 自帶的備份工具 ntbackup 來自動備份還原時需要先停止服務在進行還原整理 WINS 數(shù)據(jù)庫如果網(wǎng)絡較大，時間長了后，數(shù)據(jù)庫數(shù)據(jù)多了，wins 服務會慢慢變慢cd %systemroot% system32wins net stop winsjetpack w

44、ins.mdb temp.mdb進入系統(tǒng)目錄下wins 目錄停止wins 服務整理 wins 數(shù)據(jù)庫，wins.mdb 名字任意起，整理后數(shù)據(jù)庫排列會合理整齊net start wins啟動 wins 服務Lmhost 文件用？lmhost 文件是在選擇網(wǎng)絡節(jié)點是 b 節(jié)點廣播形式時，如果廣播沒有找到netbios 信息，就會查看本機的 Lmhost 文件看里面是否有定義，如果有也是可以稱的。netbios 名如何設置節(jié)點類型？有 2 種方法修改表這個鍵值下HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiNetBTParameters有個 nodet

45、ype 的 dword 值，如沒有新建一個即可，對應鍵值 1、2、4、8 為 B、P、M、H 類型通過 dhcp 服務器強制定義第 13 講 如何搭建服務器有關網(wǎng)絡如何配置的基礎結(jié)構(gòu)如何控制哪些用戶可以IAS 服務器你的網(wǎng)絡一種企業(yè)網(wǎng)的模型網(wǎng)絡的過程有 2 種：驗證（authentication）（authorization）一臺計算機要連入公司網(wǎng)絡，驗證發(fā)生在 DC 上，要提供自己的用戶名和在 dc 上通過驗證，通過后 dc 把信息返回給服務器（服務器），由檢查你是否符合（如撥入的時間或是否屬于允許撥入的用戶組等撥入條件），如符合你就可以成功撥入。所以發(fā)生在服務器上。如果是工作組模型，驗證就

46、在本地服務器上的 sam 數(shù)據(jù)庫來驗證，工作組模型驗證可以在計算機管理的用戶和組里面配置用戶。驗證的機制：CHAP服務器默認支持以下驗證方法PAP SPAPMS-CHAP v2較早的 不加密明文傳送MS 消息摘要協(xié)議 v2 版本 推出比 MS-CHAP 時間早 win2000 默認使用協(xié)議但是僅局限在 2000、xp、2003 使用，不支持 98、nt 等較老客戶端后來推出的新版本的 MS-CHAP 協(xié)議，向下兼容 98、nt 客戶端MS-CHAP EAP-TLSPEAP智能卡驗證協(xié)議，智能卡較安全，使用時你需要卡和卡的 pin 碼。MD-5 challenge如何用連入公司內(nèi)網(wǎng)1234客戶端

47、向服務器發(fā)起連接請求服務器應答請求服務器對客戶端進行驗證和服務器通過請求并開始傳輸數(shù)據(jù)連接所用的協(xié)議1、 PPTP的默認使用協(xié)議，一種點對點協(xié)議，內(nèi)置加密算法（MPPEpo-to-poencryption），針對以太網(wǎng)（ ernet）生效2、 L2Tp/IPSec不是默認使用協(xié)議，如想使用需在客戶端指定，默認不加密，如想加密需搭配 Ipsec 使用， 除了以太網(wǎng)還對 x.25、ATM（異步傳輸模式）的網(wǎng)絡的應用場合1、 用戶客戶端到服務器之間連接2、 2 個子網(wǎng)之間站點到站點的（2 個之間）最簡單的方式建立并允許一個用戶撥入服務器配置路由和那里建立一個服務器，建立時選擇撥號或）-選擇一個方式選

48、擇會啟用簡單的幾個方式-選擇一個接入公網(wǎng)的網(wǎng)卡（勾上通過設置靜態(tài)數(shù)據(jù)包篩選器。濾，比如）-選擇一個對客戶端指派 ip 的方式，-是否選用 radius 服務器一起工作，先選否客戶端配置-新建一個撥號連接即可， 在網(wǎng)絡選項卡中的網(wǎng)絡類型下面有上面提到的 2 中協(xié)議類型，默認的是 PPTP，而在安全的高級設置中有上面提到的一些等，用默認即可。驗證方式如 CHAP V2默認用 administrator 撥入，在域環(huán)境下，要先在域控制器上的 user 中把 administrator 設置允許撥入，否則客戶端撥不進去。如何控制用戶你的網(wǎng)絡權限：在dc 的 ad 控制臺上，右擊把域級別到 2000 或

49、 2003 的純模式，在 user 中選擇一個用戶屬性-撥入選項卡下的-通過路由等配置策略控制就可選了。下面還可以配置應用靜態(tài)條件：在服務器的-策略中默認有 2 條，比如到其他服務器的連接屬性中上面的指定連接請求必須匹配的條件-選擇編輯，就是編輯撥入時間這個條件。配置文件：而同一選項卡下面的-編輯配置文件，有很多配置的項可以控制如在服務器策略中新建一個策略時有很多條件可以選擇，最后還可以配置配置文件。策略-右邊的策略有順序，如果第一項條件滿足就不再查看后面的策略，直接去 dc 上的權限去驗證如果也通過再去看這條策略下的配置文件副不符合，如都符合用戶就可以撥入了。服務器驗證是按照：條件-權限配置

50、文件的順序來驗證的。路由和中端口選項：通過更改端口數(shù)，可以控制撥入服務器的人數(shù)通過 IAS管理IAS： ernet 驗證服務器、也叫 Radius（讀音 ruidiers）服務器，radius 是一種工業(yè)標準，通過radius 標準做的驗證管理，radius 標準在 windows 上的實現(xiàn)就是 IAS，即裝了 IAS 組件的服務器就是 radius 服務器。當有多個服務器時可用radius 服務器來管理。服務器上在添加刪除處安裝上ernet 驗證服務這個組件后就變成 radius 服務器了配置 radius 服務器，添加ernet 驗證服務后，在管理中啟動ernet 驗證服務控制臺新建一個r

51、adius 客戶端輸入名稱和客戶端 ip 地址-輸入一個共享就是服務器和客戶端都需要填的一個，（任意填即可，只要客戶端和服務器填的一樣）服務器端就配置好了配置 radius 客戶端，在服務器上，右擊服務器-屬性安全選項卡改成 radius驗證碼確定點擊配置添加上 radius 服務器的 ip那點擊更改輸入和服務器端一樣的返回安全選項卡記賬（日志）選項卡也選成 radius 記賬，同樣添加radius 服務器 ip 和填入機。這樣就完成了客戶端的配置，重啟服務程序后，服務器端出現(xiàn)。策略就會，變到在radius這時可以在radius 服務器上配置的策略，日志也會在。-本地文件屬性設置中：記賬請求何

52、時開始或停止；驗證請求接入請求被允許或；周期性狀態(tài)表示如客戶端突然斷電掉線，服務器會周期性發(fā)送狀態(tài)檢測包，如果狀態(tài)檢測包沒有被響應，服務器就認為客戶端已經(jīng)掉線，選上這個就表示態(tài)。這個狀服務器可以放在相應端口即可。后面，pptp 開放 1723 端口 ，L2TP 開放 1701 端口，在開放撥入時如果是域環(huán)境，可以在客戶端撥號屬性的選項中，勾上包含 windows 登陸域，就和在內(nèi)網(wǎng)進入域網(wǎng)絡時一樣，如果是工作組模型，可以把這個勾去掉即可。第十四講 利用 sus 實現(xiàn)自動補丁管理各種補丁的安裝方法及必要性Sus 的簡介如何配置 sus，以實現(xiàn)向所有客戶端自動分發(fā)補丁了解時間線打補丁方式1、 wi

53、ndows update、automatic update更新解決方案Sus 只能向客戶端分發(fā)補丁。Sms 類似一個控。制管理，需Sus 全稱：software update serviSus 流程 ：1、sus 服務器從互聯(lián)網(wǎng)2、 管理員測試安裝補丁是否兼容或3、 沒有問題后，管理員發(fā)布補丁windows 的更新和補丁問題4、 客戶端開啟自動更新服務，并指定從內(nèi)網(wǎng) sus 服務器獲取補丁5、 客戶端設定何時安裝。完成安裝重啟。Sus 服務器條件：需要安裝在服務器版本的系統(tǒng)、需要 IIS 組件、需要NTFS 分區(qū)最后安裝 software update servi（可從微軟免費）安裝時選擇一下

54、需要的語言，否則會把所有語言版本的補丁都下來。-自定義安裝-安裝位置-存放補丁位置-選擇支持語言版本如何向客戶端發(fā)布更新（自動或手動測試后發(fā)布）-告訴你如何sys 服務器。 HYPERLINK http:/服務器名/susadmin http:/服務器名/susadmin 來設置 sus 服務器：設置同微軟服務器同步更新的方法和時間-發(fā)布更新-設置選項可以查看日志等-查看服務器：可以查看服務器可以哪些更新。總的來說設置很簡單DC 上配置組策略實現(xiàn)客戶端自動到 sus 來更新-AD 用戶和計算機-域?qū)傩赃x擇組策略編輯-計算機配置管理模板-windows 組件最后的 windows update-

55、配置自動更新啟用并選擇安裝方式指定ernt更新服務器位置：啟用并填寫 sus 服務器的完整，統(tǒng)計服務器也填寫這個重新計劃自動更新計劃安裝：啟用并設置一個時間，就是上次沒裝下次啟動后多長時間提醒計劃的自動更新不重新啟動：只有在計劃安裝被啟用時，設置為啟用，在更新完后不會強制重啟計算機，否則會強制通知用戶 5 分鐘后重啟?？蛻舳藯l件：首先需要啟用自動更新才能從實現(xiàn)。組策略生效后客戶端的更新選項就會看到已經(jīng)被設置，并不可更改。這時即可自動從 sys 服務器更新如組策略沒有立即生效可以在客戶端輸入 gpupdate /force 來更新組策略Sus 備份：1、備份 web 站點的目錄，iis 中的目錄

56、2、 sus下的補丁文件3、iis 的原數(shù)據(jù)，類似windows表，存在 windowssystem32 下第十五講活動目錄的設計和部署方法活動目錄的設計活動目錄的部署1、活動目錄的設計活動目錄 what doeive directory do?是從目錄服務演變過來的，活動目錄可以理解為一本書或者一本字典的索引，理解為網(wǎng)絡中所有資源的快捷方式，通過快捷方式來找到和使用網(wǎng)絡資源。可以集中管理網(wǎng)絡資源可以分散管理集中控制資源可以所有對象（安全主體），在邏輯結(jié)構(gòu)里使網(wǎng)絡性能最優(yōu)化在域環(huán)境里，有臺DC了一個數(shù)據(jù)庫，這個數(shù)據(jù)庫就是活動目錄數(shù)據(jù)庫。搭建域環(huán)境的條件：單域如果公司計算機不多，有 20 臺，想

57、搭建一個域環(huán)境，也是可以的，但是dc 最好不要只有一個，如果 dc 當?shù)粽麄€域的計算機都無法登陸，所以這種小規(guī)模的單域環(huán)境也要有 2 臺服務器做 DC，好有個備份。子域-如果以后公司發(fā)展壯大了，在又成立了，想把和總公司之間的計算機都放到域中控制，這樣可以在在搭建一個子域，不建議把 2 個地方的計算機都搭建到一個單域環(huán)境里，因為兩地通過互聯(lián)網(wǎng)相連，單域內(nèi) DC 做同步和的頻率會很頻繁，會很的做父域（根域），的做子域，2 個域環(huán)境的 dc 不一定完全一占用網(wǎng)絡資源和帶寬，樣，所以同步的頻率會降低。域是安全的邊界和的單元，域內(nèi)的管理經(jīng)常是通過組策略來完成的，父域的組策略不能影響子域的組策略（子域不繼

58、承），子域需要單獨去配置和管理自己的組策略。右圖分別有 a 的 4 個域和 b 的三個域分別叫做 a和 b 兩個樹模型，所有三角形加在一起叫做一個森林，在一個森林內(nèi)所有計算機是相互信任關系，信任關系是雙向可傳遞的，共享資源不需要（驗證）輸用戶名。一個樹內(nèi)的名稱是連續(xù)的，兩棵樹之間的名稱不一定是連續(xù)的，2 個樹連起來叫做一個森林。什么時候去搭建出另外一個樹，比如企業(yè)兼并，a企業(yè)兼并了 b 企業(yè)，這時可以保留的名稱空間，可以方便原來企業(yè)員工的登陸方式，減少對 b 企業(yè)員工的影響。也可以保留 b 企業(yè)的的品牌和價值。一個企業(yè)一個是森林就足夠了，不需要多個森林，因為森林之間默認是不信任的。什么叫做 O

59、U：OU 叫做組織單元。劃分 OU 可以根據(jù)企業(yè)實際管理結(jié)構(gòu)去劃分，例如不同部門可以劃分為不同的 OU，總經(jīng)理一個 OU，副總一個OU，財務部門一個OU，生產(chǎn)部門一個 OU 等。OU 也可以按地理位置來劃分，例如公司很大，一個 OU 包括的所有員工，部門一個OU，部門一個 OU，但是不建議這么做，從網(wǎng)絡流量、速度等方面原因來說，域可以按地理位置來劃分，OU 就按照一個位置里面的實際管理結(jié)構(gòu)去劃分，不建議按地址位置劃分。OU、域、森林都叫做容器。組是一種權利權限的集合。例如管理員組、組，一個用戶賬號可以屬于不同的組。OU 是管理層次的體現(xiàn)，不同用戶屬于不同的OU，例如一個用戶屬于生產(chǎn)部門的OU，

60、就不能屬于銷售部門的 OU，因為 OU 是容器，可以把 OU 想象成一個房子，一個人在這個屋子里就不能同時在那個屋子?？偨Y(jié)：域模型可以按照地理位置、實際管理模型來分都可以，建議父子域按照地理位置來分，在一個域內(nèi)按照實際管理模型來劃分OU。GC（Global Catalog）：全局邊錄服務器，一個森林內(nèi)肯定會有一個 GC，默認森林里第 DC 服務器就是 GC，GC 中會存森林中所有域?qū)ο蟮母北荆瑫嬖?GC 的活動目錄數(shù)據(jù)庫里，只會存所有子域?qū)ο笾兴袑傩缘淖蛹?，大概會?4%的常用屬性會存到 GC 中，所以從 GC 就可以查整個森林中的對象。在 AD 站點和服務下打開一個服務器的-ntds s