《Widows服务》知识点总结.doc

Widows服务知识点总结 第一章 配置DHCP服务 知识点1、DHCP服务的作用是什么？动态主机分配（DHCP）是一个简化主机分配管理的标准协议。用户可以利用管理动态的IP地址分配及其他相关的环境工作（如：、Gateway的设置）。2、作用域是什么？作用域是一个网络中的所有可分配的 IP 地址的连续范围。作用域主要用来定义网络中单一的物理子网的 IP 地址范围。作用域是服务器用来管理分配给网络客户的 IP 地址的主要手段。3、超级作用域的作用？超级作用域是一组作用域的集合，它用来实现同一个物理子网中包含多个逻辑 IP 子网。在超级作用域中只包含一个成员作用域或子作用域的列表。然而超级作用域并不用于设置具体的范围。子作用域的各种属性需要单独设置。4、排除范围应用在什么样的环境及作用？排除范围是不用于分配的 IP 地址序列。它保证在这个序列中的 IP 地址不会被 DHCP 服务器分配给客户机。5、什么是地址池？在用户定义了 DHCP 范围及排除范围后，剩余的地址欧成了一个地址池，地址池中的地址可以动态的分配给网络中的客户机使用6、租约的作用是什么？租约是 DHCP 服务器指定的时间长度，在这个时间范围内客户机可以使用所获得的 IP 地址。当客户机获得 IP 地址时租约被激活。在租约到期前客户机需要更新 IP 地址的租约，当租约过期或从服务器上删除则租约停止。7、DHCP租约过程分为哪四个部分组成（请写出中英文对照）？客户机请求IP地址 DHCPDiscover服务器响应请求 DHCPOffer客户机选择IP地址 DHCPRequest服务器确认租约 DHCPAck8、当DHCP客户机租期达50时和87.5%时，客户端会做哪些操作？当DHCP客户机租期达50时客户机发送DHCPRequest更新租约当DHCP客户机租期达到87.5时客户机再次发送DHCPRequest更新租约如果没有响应，进入重新申请状态，客户机发送DHCPDiscover包9、客户端保留的作用？如何进行操作？客户端保留可以确保客户机总是获得同一IP地址把客户端的MAC地址与IP地址绑定第二章 配置DNS服务 知识点1、DNS服务的作用？DNS，DomainNameSystem或者DomainNameService（域名系统或者余名服务）。域名系统为Internet上的主机分配域名地址和IP地址。用户使用域名地址，该系统就会自动把域名地址转为IP地址。域名服务是运行域名系统的Internet工具。执行域名服务的服务器称之为DNS服务器，通过DNS服务器来应答域名服务的查询。 2、DNS域名空间结构分为几层？包括根域、顶级域、二级域和主机名3、DNS查询类型有哪些？从查询方式上分递归查询：客户端得到结果只能是成功或失败 迭代查询：服务器以最佳结果作答 从查询内容上分正向查询：由域名查找IP地址 反向查询：由IP地址查找域名 4、DNS区域文件中包含的资源记录的类型有哪些？SOA（起始授权机构）指定该区域的权威名称服务器NS（名称服务器）表示某区域的权威服务器和SOA中指定的该区域的主服务器和辅助服务器A（主机）列出了区域中FQDN（完全合格的域名）到IP地址的映射PTR（指针）相对于A资源记录，PTR记录把IP地址映射到FQDNMX邮件交换器记录，向指定邮件交换主机提供消息路由SRV（服务）列出了哪些服务器正在提供特定的服务CNAME（别名）将多个名字映射到同一台计算机，便于用户访问5、转发器的作用是什么？DNS服务器可以解析自己区域文件中的域名，对于本服务器上没有的域名查询请求，本地DNS服务器无法解析的查询转发给网络上的其他DNS服务器，该DNS服务器即被指定为转发器。当DNS服务器将查询转发给转发器时，这种查询通常为递归查询。6、根提示的作用是什么？根提示使非根域的DNS服务器可以查询到根域DNS服务器。根域DNS服务器在互联网上有许多台，分布在世界各地。为了定位这些根域服务器，需要在非根域服务器上配置根提示。7、子域的作用是什么？在DNS区域中可以通过创建子域来扩展域名空间，例如，在区域“”中创建子域“”用来表示北京分公司的域名信息。8、委派的作用是什么？子域的信息都存储在父区域文件中，当区域中的子域过多时，维护起来很不方便，并且会遇到域名查询的凭颈。能否让子域的信息存储到其他DNS服务器呢？通过在区域中新建委派，就可以将子域委派到其他服务器上。第三章搭建WEB和FTP站点 知识点1、IIS下的WEB站点有几种身份验证验证方式，分别是什么？（1）匿名身份验证 IIS 创建 IUSR_计算机名称帐户（其中计算机名称是正在运行 IIS 的服务器的名称），用来在匿名用户请求 Web 内容时对他们进行身份验证。此帐户授予用户本地登录权限。你可以将匿名用户访问重置为使用任何有效的 Windows 帐户。 （2）基本身份验证 使用基本身份验证可限制对 NTFS 格式 Web 服务器上的文件的访问。使用基本身份验证，用户必须输入凭据，而且访问是基于用户 ID 的。用户 ID 和密码都以明文形式在网络间进行发送。 （3）Windows 集成身份验证 Windows集成身份验证比基本身份验证安全，而且在用户具有Windows域帐户的内部网环境中能很好地发挥作用。在集成的Windows 身份验证中，浏览器尝试使用当前用户在域登录过程中使用的凭据，如果尝试失败，就会提示该用户输入用户名和密码。如果你使用集成的Windows身份验证，则用户的密码将不传送到服务器。如果该用户作为域用户登录到本地计算机，则他在访问此域中的网络计算机时不必再次进行身份验证。 （4）摘要身份验证 摘要身份验证克服了基本身份验证的许多缺点。在使用摘要身份验证时，密码不是以明文形式发送的。另外，你可以通过代理服务器使用摘要身份验证。摘要身份验证使用一种挑战/响应机制（集成 Windows 身份验证使用的机制），其中的密码是以加密形式发送的。 2、在一台IIS服务器中同时运行多个WEB站点有哪几种方式？实现虚拟主机的三种方式使用不同的IP地址 使用相同IP、不同的TCP端口使用相同IP和相同TCP端口、不同的主机头3、简述当客户机访问网站时，服务器先后检查哪些内容才能使客户机成功访问网页？客户机访问网站时，Web服务器检查以下信息包括：客户机IP地址是否授权用户帐户和密码是否正确主目录是否设置了“读取”权限网站文件的NTFS权限4、FTP客户端可以通过哪几种方式来连接FTP站点？FTP客户端的三种连接方式：命令行方式WEB方式FTP客户端软件5、FTP服务器可以使用哪两种登陆方式？1、匿名登陆：一般匿名登陆只能下载FTP服务器的文件，而且传输速度相对要慢一些当然，这需要在FTP服务器上进行设置。针对这类用户，在FTP服务器上需要加以限制，不宜开启过高的权限，带宽应尽可能小。2、授权帐户登陆：需要管理员将帐户与密码告诉用户。管理员对这些帐户进行设置，例如他们能访问到哪些资源，下载与上传速度如何等。6、FTP的中英文全称?FTP全称为文件传输协议利用FTP可以给用户提供上传和下载文件的服务 采用客户机/服务器模式7、FTP虚拟目录的作用是什么？虚拟目录能实现本地目录映射到FTP站点的目录也可以将网络共享目录映射到虚拟目录FTP站点的虚拟目录与Web站点的虚拟目录类似访问时须指定虚拟目录的名称第四章配置远程访问服务 知识点1、远程访问的连接方式有哪些？概述：远程访问是允许客户机通过拨号连接或虚拟专用连接登录网络。远程访问服务（RAS）提供了两种连接:拨号连接，VPN（虚拟专用）连接2、VPN的中文意识是什么，有哪些组成要素？VPN虚拟专用网络组成要素：VPN客户端VPN服务器隧道VPN连接隧道协议PPTPL2TPSSTP传输互联网络3、什么是远程服务？远程访问服务（remote access service,RAS）允许客户机通过拨号连接或虚拟专用连接登陆网络，远程客户机一旦得到RAS服务器的确认，就可以访问网络资源，就好象客户机直接连接在局域网上一样4、配置远程访问服务器主要有哪些步骤？安装路由与远程访问角色服务激活路由与远程访问服务配置远程访问服务器属性配置端口配置用户拔入权限配置客户端连接5、简述网络策略（NPS）的应用规则？可以将网络策略视为规则。每个规则都具有一组条件和设置。NPS将规则的条件与连接请求的属性进行对比。如果规则和请求相匹配，则规则中定义的设置会应用于连接当NPS中配置了多个网络时，他们是一组有序的规则。NPS根据列表中的第一个规则检查每个连接请求，然后根据第二个规则进行检查，依次类推，直到找到匹配项为止每个网络策略都有“策略状态”设置，使用该设置可以启用或禁用策略。如果禁用某个网络策略，则授权连接请求时，NPS不评估该策略。6、什么是RADIUS服务RADIUS是远程用户拔入认证系统，一种C/S模式，客户端可以是远程访问服务器，当远程访问服务器接收到用户拔入请求，远程访问服务器提交用户信息给RADIUS服务器，由RADIUS服务器对用户名和密码的合法性进行检验，如果合法，允许用户进行下一步工作。RADIUS记账功能记录数据服务的始与终，记录会话之中所使用的标志资源（如：时间、包、字节等等），可以使用记账软件来进行金额统计。7、将 NPS 用作 RADIUS 服务器时，RADIUS 消息将采用哪些方式为网络访问连接提供身份验证、授权和记帐功能？1.访问服务器（如拨号网络访问服务器、VPN 服务器和无线访问点）从访问客户端接收连接请求。 2.访问服务器（配置为使用 RADIUS 作为身份验证、授权、记帐协议）将创建访问请求消息并将其发送给 NPS 服务器。 3.NPS 服务器将评估访问请求消息。 4.如果需要，NPS 服务器会向访问服务器发送访问质询消息。访问服务器将处理质询，并向 NPS 服务器发送更新的访问请求。 5.系统将检查用户凭据，并使用指向域控制器的安全连接来获取用户帐户的拨入属性。 6.系统将使用用户帐户的拨入属性和网络策略对连接尝试进行授权。 7.如果对连接尝试进行身份验证和授权，则 NPS 服务器会向访问服务器发送访问接受消息。 8.如果不对连接尝试进行身份验证或授权，则 NPS 服务器会向访问服务器发送访问拒绝消息。 9.访问服务器将完成与访问客户端的连接过程，并向 NPS 服务器发送记帐请求消息，在那里记录消息。 10.NPS 服务器会向访问服务器发送记帐响应消息。 第五章PKI与证书服务应用 知识点1、什么是PKI？PKI的中英文对照？Public Key Infrastructure，公钥基础结构通过公钥技术与数字证书确保信息安全的体系由公钥加密技术、数字证书、CA、RA等共同组成2、PKI体系能够实现的哪些功能？身份认证数据完整性数据机密性操作的不可否认性3、什么是公钥加密技术？公钥加密技术是PKI的基础公钥（Public Key）和私钥（Private Key）公钥和私钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密 不能根据一个密钥而推算出另外一个密钥公钥对外公开，私钥只有私钥的持有人才知道 私钥应该由密钥的持有人妥善保管 根据实现的功能不同，可以分为数据加密和数字签名4、简述数据加密的概念数字加密确保只有预期的接收者才能够解密和查看原始数据，从而提高了机密性。传送数据时，发送方使用接收方的公钥加密数据，并将它传送。当接收方收到数据后，再使用自己的私钥解密这些数据。发送方使用接收方的公钥加密数据接收方使用自己的私钥解密数据数据加密能保证所发送数据的机密性5、简述数字签名的概念用户可以通过数字签名确保数据的完整性和有效性，只需采用私钥对数据进行加密处理，由于私钥仅为用户个人拥有，从而能够证实签名消息的唯一性，即验证以下两个方面，消息由签名者即发送方自己签名发送，签名者不能否认也难以否认。消息自签发到接收这段过程中是否发生过修改，签发的消息是否是真实的。发送方对原始数据执行HASH算法得到摘要值发送方用自己私钥加密摘要值将加密的摘要值与原始数据发送给接收方接收方用发送方公钥解密摘要值；同时对收到的原始数据同样执行HASH产生另一摘要值将解密的摘要值与产生的摘要值对比数字签名保证数据完整性、身份验证和不可否认6、什么是证书？证书中通常会包含哪些信息？证书用于保证密钥的合法性证书把公钥与拥有对应私钥的主体标识信息捆绑在一起证书的主体可以是用户、计算机、服务等证书格式遵循X.509标准X.509是由国际电信联盟制定的数字证书标准使用者的公钥值使用者标识信息（如名称和电子邮件地址）有效期（证书的有效时间）颁发者标识信息颁发者的数字签名 7、CA的作用是什么？CA（Certificate Authority，证书颁发机构） CA的核心功能是颁发和管理数字证书 CA的作用处理证书申请鉴定申请者是否有资格接收证书证书的发放证书的更新接收最终用户数字证书的查询、撤销产生和发布证书吊销列表（CRL）数字证书的归档密钥归档历史数据归档8、证书发放过程（并且画图说明）？用户RACA1证书申请2RA确认用户3处理策略4RA提交申请信息到CA56CA将证书传给RA7RA将证书传给用户/用户自己取回证书验证根据图示讲解证书发放的过程。1.用户生成密钥对，根据个人信息填好申请证书的信息，并提交证书申请信息。2.在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性。3.如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等。4.RA用自己的私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的。5.CA用自己的私钥对用户的公钥和用户信息ID进行签名，生成电子证书。这样，CA就将用户的信息和公钥捆绑在一起了，然后，CA将用户的数字证书和用户的公用密钥公布到目录中。6.CA将电子证书传送给批准该用户的RA。7.RA将电子证书传送给用户（或者用户主动取回）。8.用户验证CA颁发的证书，确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发。9、在安装微软的证书服务时，企业CA和独立CA有什么区别？企业根CA与企业从属CA需要AD服务自动颁发证书有证书模板独立根CA与独立从属CA不需要AD服务需要管理员手工颁发证书没有证书模板用户申请证书时，必须提供身份信息并指定所需的证书类型10、在网站上启用安全通道（SSL）重要有哪些步骤？信任CA生成证书申请提交证书申请安装证书启用SSL使用HTTPS协议访问网站第六章 配置WINDOWS群集 知识点1、简述网络负载平衡群集的特点？NLB群集允许用户把两台或更多服务器结合起来使用一个NLB群集最多支持32台计算机NLB群集只能用于节点的服务与数据完全相同的情况可以增强 Web、ISA、VPN等服务的可靠性和可伸缩性2、搭建NLB群集的注意事项在群集网卡上只使用TCP/IP协议确保群集中的所有主机属于同一个子网，并且客户机能够访问该子网 正确配置网卡的单播与多播模式 不要启用网络负载平衡远程控制 独立使用NLB群集和故障转移群集 3、网卡单播模式和多播模式的区别？网卡的“单播”模式：群集MAC地址会覆盖每个节点的MAC地址，同时所有节点发送的数据包源MAC地址为群集MAC，因此交换机不能把群集MAC地址绑定于某个端口，根据该特性，单播模式会有两个缺点（1.群集MAC没有绑定交换端口，所有的NLB通信均在交换机所有端口广播，而不管该端口是否连接了NLB节点，造成额外的网络流量。2.所有节点有相同的MAC地址，节点之间不能通过原有的IP进行通信）网卡的“多播”模式：NLB不会修改NLB节点上用于群集的网络适配器的MAC地址，而是为它再分配一个二层多播MAC地址（群集MAC地址）专用于NLB的通信，这样NLB节点之间可以通过自己原有的IP地址进行通信。但是在多播模式中，NLB节点可以将针对群集IP地址的ARP请求映射到多播MAC地址（群集MAC地址），而许多交换机或者路由器默认不会学习多播MAC地址，所以必须手工在交换机或路由器上添加群集IP地址和群集MAC地址的映射，否则无法进行ARP解析客户将不能通过群集IP地址访问。4、简述故障转移群集的特点？故障转移群集是由独立的计算机系统构成的组，不同节点协同工作节点通过物理电缆和软件连接，增强应用程序和服务的可靠性包含一个连接到所有节点的存储设备用于存储公用数据和仲裁数据群集内只一个节点处于主动模式，其余节点处于被动模式节点1共享总线或iSCSI连接用户节点2心跳线共享总线或iSCSI连接存储设备故障转移群集主要通过心跳线和仲裁盘检测群集故障 心跳线用于在各个节点定期交换数据报消息如果备用节点在周期内没收到主动节点消息，会进行故障转移仲裁磁盘保存群集配置数据库一致性（检查每节点配置是否一致）斡旋作用（保证任何群集资源只在某一节点进入联机状态）5、见证盘四种仲裁模式分别是什么？有什么特点？见证盘的四种仲裁模式：节点多数仲裁配置：可以承受的故障节点数为节点数的一半（四舍五入）减去一。如七个节点的群集可以承受三个节点出现故障。(推荐用于含有奇数个节点的群集）节点和磁盘多数仲裁配置：在见证盘保持联机时可以承受的故障节点数为节点数的一半(四舍五入)，如见证盘联机时，六个节点的群集可以承受有三个节点出现故障；在见证盘脱机或出现故障时可以承受的故障节点数为节点数的一半(四舍五入)减去一，如见证盘有故障时，六个节点的群集可以承受两个节点故障。(推荐用于含有偶数个节点的群集)节点和文件共享多数仲裁配置：与“节点和磁盘多数”仲裁配置类似，只不过见证盘是群集中所有节点可以访问的文件共享，而不是群集存储中的磁盘。(适合有特殊配置的群集)无多数（仅磁盘）仲裁配置：节点数不影响如何实现仲裁，磁盘就是仲裁，如果失去与磁盘的通信，群集将不可用，建议不使用此配置，因为磁盘可能成为单一故障点。 一般故障转移群集在配置过程中，会自动根据节点数目的个数而配置为相应的仲裁模式，管理员也可以在搭建好故障转移后自行更改仲裁模式。6、部署故障转移群集的要求？硬件要求服务器硬件配置相同或相似网卡与电缆兼容Windows Server 2008，网卡不同时用于通信和iSCSI存储设备兼容Windows Server 2008、包含两个独立的卷、只能使用基本磁盘软件要求服务器运行相同版本的Windows Server 2008具有相同的软件更新和 Service Pack网络基础结构和域帐户要求使用相同的网卡，并且使用相同的通信设置不要为用于不同目的网络指定相同的网段 群集中的服务器必须使用DNS来进行名称解析 所有服务器必须处于相同的域中管理群集的账户必须是每台服务器的Administrators组成员，并且具有在域中“创建计算机对象”的权限 7、故障转移群集与NLB群集对比？故障转移群集NLB群集服务种类SQL ServerExchange文件和打印服务Web /FTPISA VPN最多节点数8(X64平台支持16)32存储设备需要 不需要Windows Server 2008数据中心版企业版 所有版本第七章 多域间访问 知识点1、 创建多域的原因是什么？域在活动目录中充当管理边界的作用域作为活动目录的容器，存放计算机、用户等对象a) 有大量的活动目录对象，可以分解成多个域，使每个域活动目录对象较少b) 部门（或分公司）之间有不同的密码要求，可以针对部门（或分公司）创建域c) 分散的网络管理，而不是由一个域管理员管理，多个域意味着有多个域管理员d) 对复制进行更多的控制2、简述域树、子域和林的概念？域树是共用连续域名空间的Windows域 向域树中添加的任何新域都叫做子域单个域树或者多个域树构成林林中的不同域树不共用连续的域名空间3、 林中信任关系特点是什么？自动建立a) 在创建子域或域树时自动创建双向信任b) 在两个域之间有两个方向上的两条信任路径c) 例如：域A信任域B，域B信任域A传递信任d) 信任关系是可传递的e) 例如：域A直接信任域B，域B直接信任域C,则域A信任域C4、简述非林之间的信任特点？林之间的信任分为外部信任与林信任外部信任是指在不同林的域之间创建的不可传递的信任创建外部信任需要两个域能互相解析对方互设条件转发器5、外部信任的特点？手工建立林之间的信任关系需要手工创建信任关系不可传递信任方向有单向和双向单向分为内传和外传两种内传指指定域信任本地域外传指本地域信任指定域6、林信任的意义？如果两个林中有许多域，要跨域访问资源就需要创建很多个外部信任在林根域之间建立林信任就不需要创建多个外部信任，因为林信任是可传递的7、林信任的特点？林功能级别为Windows Server 2003或更高才能创建只有在林根域之间才能创建建立林信任后，两个林中每个域之间的信任关系是可传递的信任方向有单向和双向两种8、AGDLP规则的含义如下？将用户帐户加入全局组将全局组加入本地域组给本地域组赋权限第八章 活动目录维护 知识点1、Active Directory 五种操作主机角色（又称）分别是什么？请写出中英文对照？ 1.架构主机 schema master2.域命名主机 domain naming master3.相对标识号 (RID) 主机 RID master4.主域控制器模拟器 (PDCE) 5.基础结构主机 infrastructure master每种操作主机角色负担不同的工作，具有不同的功能：2、简述架构主机、域命名主机、RID主机、PDC主机和基础结构主机角色的主要作用是什么？1.架构主机具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的，整个目录林中只有一个架构主机。2.域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC： 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 3.相对标识号 (RID) 主机此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。 每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机4.PDCE 主域控制器模拟器提供以下主要功能： 向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。 本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。 时间同步 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。PDCE是基于域的，目录林中的每个域都有自己的PDCE。 5.基础结构主机基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的全局唯一标识符