计算机网络(8WindowsServer的配置).ppt

第七章Windows 2000/3/8 Server的安装与网络配置 P139,局域网可以采用不同的拓扑结构和协议，但目前主要采用的以太网。因为以太网不提供高层协议服务，因而局域网主机的网络层到应用层的功能是由各种单机或网络操作系统来承担的。 目前网络操作系统有Windows 2000/3/8 Server系列（常用），各种版本的Unix,Linux（常用）,采用网络操作系统组建局域网的原因（特点）,(硬件和软件)资源共享: 硬盘，打印机，软件 高可靠（容错）性 协同工作，数据同步 完善的安全措施：包括用户口令、目录的权限、文件和目录的属性以及对用户登录工作站点和时间的限制。管理员拥有整个网络资源的管理权。用户只能在自己有权的目录下使用网络资源和给其它的用户授权。 集成了许多标准化应用，例如Web服务、FTP服务、网络管理服务等等,安装2000/3/8server的一些必备知识,硬盘分区(硬盘存储的边界）格式： P144 FAT32早期Windows系列操作系统常用的分区 NTFS格式，如果想安装能建立、管理用户账户且有更强安全性的服务器，必须使用NTFS文件系统 域的概念：域是帐户、组、计算机等网络资源的安全边界，同一域内的网络资源具有相同的域名与安全性管理，用户只需单一网络登录就可以使用所有它具有权限的网络资源，管理员对整个域的帐户与网络资源具有至高无上的管理权。P147,2000/3/8/2003 Server的二种域模式,域的混合模式：Window NT的域控制器可以存在于2000/3/8 Server域中 本机模式：只有Windows 2000/3/8 Server系列的域控制器可以存在于该域中。 改变为本机模式之后，系统就不能逆转回到混合模式了,2000/3/8 Server服务器分为三类,主域控制器，存有它所控制的域中的用户账户信息和其他的Active Directory数据； 成员服务器，它属于某一个域但没有Active Directory数据, 能为域中用户提供网络资源； 独立服务器，它不属于某个域而属于某个工作组。 一个域必须至少有一个主域控制服务器。,使用何种许可证方式P149,Windows 2000/3/8 Server支持两种许可证方式：每客户方式和每服务器方式。 每客户方式（许可证用于客户端）：每一台访问Windows 2000/3/8 Server的计算机都需要一个单独的客户访问许可证，但一个客户计算机可以连接到任意多的Windows 2000/3/8 Server。,每服务器方式（许可证应用于服务器端）Windows 2000/3/8 Server只能支持固定数目的并发连接。例如，如果选择每服务器方式并选择五个并发连接，任何客户机不需要任何附加的许可证，但这台服务器最多只能同进连接五个客户。这种方式适合于用户数目多，但同时登录的人数相对地少的情形,每服务器方式经常被那些只有一台Windows 2000/3/8 Server的公司使用。 对于Internet或远程访问服务器来说该种方式也是适合的，远程访问情况下客户计算机不能被授权为Windows 2000/3/8 Server网络客户端。管理员可以设置并发连接服务器的最大数目并拒绝其他多余的登录，用以保证客户的访问速度。 如果用户不能确定使用何种方式，则请选择每服务器方式，因为系统可以在每客户方式和每服务器方式之间进行转变。,为新的安装规划磁盘空间,一般情况下至少划分为两个分区，主分区用来安装操作系统和应用程序，另一分区作为数据区域，提供给登录上域的用户使用。这样可尽量地保护主分区的系统和程序。,创建域还是工作组P147,“域”是账户和网络资源的集合，具有统一的域名和安全性。 “工作组”是更加基本的逻辑模型，它的作用仅仅是帮助用户在该组之内寻找打印机以及共享文件夹之类的资源。 如果网络非常小，用户也极少，各个用户相对独立，可选用工作组（即对等网）方式。 “域”是推荐的选择，因为域让用户访问资源步更加方便和容易，具有良好的安全性，管理者也能够方便地监测整个网络。,如果打算在计算机上配置域以及活动目录，则需要对域控制器和成员服务器进行规划，用户可以参考以下几项内容进行此项工作： 域控制器还是成员服务器（两者在安装后可转换） 用户在运行安装程序之前应该仔细考虑好域控制器的名称。服务器作为域控制器时，是不能改变名称的(2003可以）。如果非要改变，则必须首先将域控制器降级设置成员服务器或者独立服务器，改变名称后，再使该服务器重新设置成为域控制器。,“主控器”角色的分配。主控器是在Active Directory域中分配给一个或多个域控制器的特殊角色。这些域控制器负责对某些操作进行“单主控” (指同一时间该操作不允许在网络中其他地方进行)。例如，为新的资源(诸如新计算机之类)创建安全标识必须由单个服务器监控，以保证该标识惟一。 域中安装的第一个域控制器将自动成为所有操作的主控器。安装完成之后可以改变主控器的分配，但大多数情况下是不必要的。当某个操作的主控器出现问题，或者用户打算取消某项服务时，要特别注意主控器的分配。 ,74启动2000/3/8 Server,第一次安装Windows 2000/3/8 Server时，该主机只是作为一台独立服务器，如果要成为域控制器，需要以该机的Administrator用户账户登录，并在其上安装活动目录（ Active Directory ）简称AD。 7.5、7.6的内容较简单（略）,77添加域控制器,为了在网络中可以进行正常的数据交换和资源共享，实行用户及权限管理，必须至少有一个主域控制服务器。这就要求管理员在Windows 2000/3/8 Server上创建活动目录， 系统将要求用户首先创建一个域控制器，作为该活动目录的主域控制器，运行Active Directory安装向导，用户就可以在该向导的帮助下，安装活动目录并创建域控制器，如果运行Windows 2000/3/8 Server的计算机是网络中的惟一服务器，该服务器将作为新建域的第一个域控制器。,配置服务器，安装AD（实验）,安装AD前的准备： 规划好AD的域名：.loc 如果DNS先于AD安装，则要在DNS服务器上建立主区域.loc并在区域内增加主机记录（域名与IP对应关系），如本机域名拟用智.loc 对应IP地址： 将本机网络连接的TCP/IP属性中的DNS地址指向DNS服务器的IP， DNS服务器也可以在安装AD的同时安装DNS服务器,安装AD的步骤 2000/03/08界面有所不同,在服务安装单击“开始”“程序”“管理工具”“配置服务器”选项，打开“配置服务器”窗口，在“配置服务器”窗口中单击超级链接“Active Directory”，打开活动目录管理页面。 “配置服务器”的“Active Directory”页面如图7-15所示。 （也可以在运行对话框中输入：dcpromo进行安装和删除AD）,2 用鼠标拖动“ActiveDirectory”页面右边的滚动条，显示页面中的有关步骤，单击“启动”超级链接启动Active Directory向导，该向导将帮助用户在服务器中安装活动目录服务，并使服务器成为活动目录中的域控制器。 3. 单击“下一步”按钮，打开“域控制器类型”对话框，指定本服务器要担任的角色。如果用户想创建一个新的域控制器，请选择第一项，如果想使本服务器成为现存域的额外域控制器（加入已有域），则选择第二项，如图7-16所示。 ,4 在弹出的“创建或加入目录林”对话框中，见图7-17，安装向导要求用户选择是创建新的域目录林还是放入现有的目录林中。这里，为了创建主域控制器，选择第一项“创建新的域目录林”，如图7-18所示。 （目录林与目录树的含义见第8章课件）,5 按下一步，弹出图7-18的设置域名对话框，如果已经在Internet的命名机构获得了DNS域名，可以在“新域的DNS全名”文本框中输入已经获得的DNS域名。 也可以自己为新建的域命名(如.loc)，并将新的域名输入到“新域的DNS全名”文本框中。要注意，如果添加是自己命名的域名，当开启服务器时，服务器会到Internet上搜索能解释该域名的DNS，由于DNS采用是递归查询，会使开机时间长达3060分钟。为了避免这种情况发生，可在域名最后加上.loc或.local，意思为“本地”，域名解析由本域的DNS完成（如.loc）,2000/3/8 Server的域名采用了Internet的命名方式，采用了DNS的分层结构： 假如一个名为.loc的域名，在2000/3/8 Server中识别名称为: .loc为根域， mm域是.loc的子域 mm域中的一台名为happy的计算机，记为 .loc mm域中的一个帐号为 .loc 在Windows 2000/3/8 Server中，还支持使用在Internet名称机构注册的DNS域名，因此不管作为企业的内部网络服务器还是Internet中的站点服务器，可以使用同一个域名。例如：注册了正式域名后，可以使用; ; ; 等（只要本域安装了DNS服务器并添加了主机记录，DNS服务器与上层DNS服务器进行了关联）,6 单击“下一步”按钮，打开“NetBIOS域名”对话框，在该步骤中，用户可以输入新建域的NetBIOS名称，如图7-19。 NetBIOS名称是指通过NetBEUI协议连接到该域中的用户用来识别该域的名称。 必须指定新建域的NetBIOS名称，使Windows 98/95或者其他使用该协议的操作系统可以登录到活动目录的域中。,7 单击“下一步”按钮，打开“数据库和日志文件位置”对话框，在该步骤中，用户可以确定活动目录的数据库和日志文件的位置，如图7-20所示。 “数据库位置”文本框用于输入活动目录数据库所在的目录的路径，“日志位置”文本框用于输入活动目录的日志文件所在的位置。 可以将这两个文件存放在Windows 2000/3/8 Server所在的硬盘之外的硬盘中。,8 单击“下一步”按钮，打开“共享的系统卷”对话框，在此对话框中选择域中的共享文件(系统卷文件)所在的SYSVOL文件夹所在的位置，如图7-21所示。 SYSVOL文件夹用于存放域中的公用文件的副本，如果域中存在多个域控制器，该文件夹中的内容将会被域中的所有域控制器相互复制。由于该文件夹的特殊性，系统要求该文件夹必须存放在NTFS文件系统的驱动器中,9 单击“下一步”按钮，如果创建的是活动目录的第一个域控制器，并且系统中不存在与新创建的域名同名的DNS服务器，系统会出现一个提示窗口，提示还没有配置好DNS，如图7-22所示。 10. 在该提示窗口中单击“确定”按钮，打开“配置DNS”对话框，如图7-23所示。如果用户还没有配置好DNS，可以选中“是，在这台机器上安装和配置DNS”单选框，如果已经配置好DNS或者希望另外配置DNS，可以选中“否，我将自己安装和配置DNS”单选框。,11. 单击“下一步”按钮，打开Active Directory安装向导的“权限”对话框，如图7-24所示，通过该对话框可以为用户和组对象选择默认权限。这里选由Windows 2000/3/8服务器之前的版本相兼容的权限。 12. 单击“下一步”按钮，打开“目录服务恢复模式的管理员密码”对话框，用户可在对话框中输入并确认一个密码，该密码会在目录服务恢复模式下启动时用到。用于目录服务出现故障时。,13. 单击“下一步”按钮，系统将显示用户在活动目录向导中进行的设置的摘要，可以在此检查以前的设置是否正确，如果有设置错误的地方，可以回到相应的步骤进行更改，如图7-25所 14. 如果设置完全正确，单击“下一步”按钮，系统将开始配置活动目录，显示“正在配置Active Directory”对话框，并显示系统正在进行的任务 15. 根据用户的选项，安装向导可能要用比较长的时间来配置Active Directory，这个步骤需要几分钟的时间。完成配置后，系统显示“完成Active Directory安装向导”。单击“完成”按钮，Active Directory安装向导最后提示用户必须重新启动2000/3/8 Server才能使所做的修改生效。,Windows 2000/3/8 Server新增加的活动目录，在Windows服务器体系中占据着非常重要的位置，是其他服务的基础，Windows 2000/3/8 Server的其他服务大多都是建立在活动目录的基础上，通过活动目录来设置和管理的。配置好活动目录，是Windows 2000/3/8组网的关键。 配置好活动目录后，服务器启动的时间明显变长，如果使用的不是向互联网的正式管理机构申请到的域名，服务器启动时要进行域名搜索，这个启动过程要3060分钟，机器的硬盘灯不紧不慢地一会亮一下，不知道的用户还会以为死机了。这种情况可以在设置自己命名的域名后加的.loc或.local得到解决。,目录是活动的，所以它是动态的，它是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射，如找到了一个用户名，就可联想到它的账号、出生信息、E-mail、电话等所有基本信息，虽然组成这些信息的文件可能不在一块。同时不同应用程序之间还可以对这些信息进行共享，减少了系统开发资源的浪费，提高了系统资源的利用效率。 活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器，从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别；而目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问,活动目录的成员有：计算机，域控制器，组织单位，用户，组,如何卸载Active Directory,在“开始/运行”对话框中输入dcpromo命令， 点击“确定”按钮后开始卸载Active Directory。卸载Active Directory后，存在本机的域用户信息将全部被消除，如果本机为最后一个域控制器，整个域的组织将消失。,Q21: MESC试题,作为Windows 2000/3/8网络的管理员,你负责配置所有运行在Windows 2000/3/8域控制器上的所有服务。网络中有3台Windows 2000/3/8域控制器， 2台Windows NT 4.0成员服务器，50台Windows 98客户机，50台Windows 2000/3/8 Professional计算机。你做了下述操作： a)在每个子网中增加一台DHCP服务器， b)把客户机配置为自动分派IP地址。 c)把Windows 2000/3/8域控制器环境为在混合模式下操作。 d)在安装DHCP服务器的一台域控制器上，你在运行命令行中键入“dcpromo.exe”。 e.)在客户机和服务器中安装NetBEUI网络协议 在下面括名中填入相应的字母（a-e），以指示相应操作的功效 1在你的计算机环境中实现Active Directory，所有客户都能访问域的资源_ 2所有客户机自动获取IP地址_,1. Windows Server Core 全新简化的服务器核心选项，能让您只安装自己需要的服务与功能。更少内核的攻击面，增强系统对黑客入侵、恶意攻击和宕机的防护能力，用最低限度的环境运行你所需要的角色：Windows Server 2008允许你可以只执行一个Windows服务器的核心安装，并且启动之后，你看到的只是一个命令行和最精简的用户界面UI。,Windows 2008的新特性,2.脚本语言PowerShell 在Windows环境下编写任务脚本，用于批处理的自动运行许多Windows管理任务，实现系统管理管理任务的自动化，可与Unix或Linux相媲美。全面兼容当前脚本。在Windows环境编写任务脚本， 3.网络访问保护（NAP） NAP（Network Access Protection）的网络访问保护系统，先发制人”的保护手段将那些不符合您安全策略的电脑拒之门外。它要求想连入网络个人计算机必须先通过一系列的管理性测试和任务，可以有效地保护你的服务器使它免受猖獗的网