计算机通信原理硬件手册.doc

此文档收集于网络，如有侵权，请联系网站删除路由交换部分什么是三层交换，说说和路由的区别在那里？ 三层交换机和路由器都可工作在网络的第三层，根据ip地址进行数据包的转发（或交换），原理上没有太大的区别，这两个名词趋向于统一，我们可以认为三层交换机就是一个多端口的路由器。但是传统的路由器有3个特点：基于CPU的单步时钟处理机制；能够处理复杂的路由算法和协议；主要用于广域网的低速数据链路 在第三层交换机中，与路由器有关的第三层路由硬件模块也插接在高速背板/总线上，这种方式使得路由模块可以与需要路由的其他模块间高速的交换数据，从而突破了传统的外接路由器接口速率的限制(10Mbit/s-100Mbit/s)。对路由知识的掌握情况，对方提出了一个开放式的问题：简单说明一下你所了解的路由协议。路由可分为静态&动态路由。静态路由由管理员手动维护；动态路由由路由协议自动维护。路由选择算法的必要步骤：1、向其它路由器传递路由信息；2、接收其它路由器的路由信息；3、根据收到的路由信息计算出到每个目的网络的最优路径，并由此生成路由选择表；4、根据网络拓扑的变化及时的做出反应，调整路由生成新的路由选择表，同时把拓扑变化以路由信息的形式向其它路由器宣告。两种主要算法：距离向量法（Distance Vector Routing）和链路状态算法（Link-State Routing）。由此可分为距离矢量（如：RIP、IGRP、EIGRP）&链路状态路由协议（如：OSPF、IS-IS）。路由协议是路由器之间实现路由信息共享的一种机制，它允许路由器之间相互交换和维护各自的路由表。当一台路由器的路由表由于某种原因发生变化时，它需要及时地将这一变化通知与之相连接的其他路由器，以保证数据的正确传递。路由协议不承担网络上终端用户之间的数据传输任务。简单说下OSPF的操作过程路由器发送HELLO报文；建立邻接关系；形成链路状态SPF算法算出最优路径形成路由表OSPF路由协议的基本工作原理，DR、BDR的选举过程，区域的作用及LSA的传输情况（注：对方对OSPF的相关知识提问较细，应着重掌握）。特点是：1、收敛速度快；2、支持无类别的路由表查询、VLSM和超网技术；3、支持等代价的多路负载均衡；4、路由更新传递效率高（区域、组播更新、DR/BDR）；5、根据链路的带宽（cost）进行最优选路。通过发关HELLO报文发现邻居建立邻接关系，通过泛洪LSA形成相同链路状态数据库，运用SPF算法生成路由表。DR/BDR选举：1、DR/BDR存在-不选举；达到2-way状态Priority不为0-选举资格；3、先选BDR后DR；4、利用“优先级”“RouterID”进行判断。1、 通过划分区域可以减少路由器LSA DB，降低CPU、内存、与LSA泛洪带来的开销。2、可以将TOP变化限定在单个区域，加快收敛。LSA1、LSA2只在始发区域传输；LSA3、LSA4由ABR始发，在OSPF域内传输；LSA5由ASBR始发在OSPF的AS内传输；LSA7只在NSSA内传输。OSPF有什么优点？为什么OSPF比RIP收敛快？ 优点：1、收敛速度快；2、支持无类别的路由表查询、VLSM和超网技术；3、支持等代价的多路负载均衡；4、路由更新传递效率高（区域、组播更新、DR/BDR）；5、根据链路的带宽进行最优选路采用了区域、组播更新、增量更新、30分钟重发LSA RIP版本1跟版本2的区别？ 答：RIP-V1是有类路由协议，RIP-V2是无类路由协议RIP-V1广播路由更新，RIP-V2组播路由更新RIP-V2路由更新所携带的信息要比RIP-V1多描述RIP和OSPF，它们的区别、特点RIP协议是一种传统的路由协议，适合比较小型的网络，但是当前Internet网络的迅速发展和急剧膨胀使RIP协议无法适应今天的网络。OSPF协议则是在Internet网络急剧膨胀的时候制定出来的，它克服了RIP协议的许多缺陷。RIP是距离矢量路由协议；OSPF是链路状态路由协议。RIP&OSPF管理距离分别是：120和110 1RIP协议一条路由有15跳（网关或路由器）的限制，如果一个RIP网络路由跨越超过15跳（路由器），则它认为网络不可到达，而OSPF对跨越路由器的个数没有限制。2OSPF协议支持可变长度子网掩码（VLSM），RIP则不支持，这使得RIP协议对当前IP地址的缺乏和可变长度子网掩码的灵活性缺少支持。3RIP协议不是针对网络的实际情况而是定期地广播路由表，这对网络的带宽资源是个极大的浪费，特别对大型的广域网。OSPF协议的路由广播更新只发生在路由状态变化的时候，采用IP多路广播来发送链路状态更新信息，这样对带宽是个节约。4RIP网络是一个平面网络，对网络没有分层。OSPF在网络中建立起层次概念，在自治域中可以划分网络域，使路由的广播限制在一定的范围内，避免链路中继资源的浪费。5OSPF在路由广播时采用了授权机制，保证了网络安全。上述两者的差异显示了OSPF协议后来居上的特点，其先进性和复杂性使它适应了今天日趋庞大的Internet网，并成为主要的互联网路由协议。什么是静态路由？什么是动态路由？各自的特点是什么？ 静态路由是由管理员在路由器中手动配置的固定路由，路由明确地指定了包到达目的地必须经过的路径，除非网络管理员干预，否则静态路由不会发生变化。静态路由不能对网络的改变作出反应，所以一般说静态路由用于网络规模不大、拓扑结构相对固定的网络。静态路由特点1、它允许对路由的行为进行精确的控制； 2、减少了网络流量； 3、是单向的； 4、配置简单。动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。是基于某种路由协议来实现的。常见的路由协议类型有：距离向量路由协议（如RIP）和链路状态路由协议（如OSPF）。路由协议定义了路由器在与其它路由器通信时的一些规则。动态路由协议一般都有路由算法。其路由选择算法的必要步骤1、向其它路由器传递路由信息； 2、接收其它路由器的路由信息； 3、根据收到的路由信息计算出到每个目的网络的最优路径，并由此生成路由选择表； 4、根据网络拓扑的变化及时的做出反应，调整路由生成新的路由选择表，同时把拓扑变化以路由信息的形式向其它路由器宣告。动态路由适用于网络规模大、拓扑复杂的网络。 动态路由特点： 1、无需管理员手工维护，减轻了管理员的工作负担。2、占用了网络带宽。3、在路由器上运行路由协议，使路由器可以自动根据网络拓朴结构的变化调整路由条目； VLAN和VPN有什么区别？分别实现在OSI的第几层？ VPN是一种三层封装加密技术，VLAN则是一种第二层的标志技术（尽管ISL采用封装），尽管用户视图有些相象，但他们不应该是同一层次概念。VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN在交换机上的实现方法，可以大致划分为2大类：基基于端口划分的静态VLAN；2、基于MAC地址|IP等划分的动态VLAN。当前主要是静态VLAN的实现。跨交换机VLAN通讯通过在TRUNK链路上采用Dot1Q或ISL封装（标识）技术。VPN（虚拟专用网）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN使用三个方面的技术保证了通信的安全性：隧道协议、数据加密和身份验证。VPN使用两种隧道协议：点到点隧道协议（PPTP）和第二层隧道协议（L2TP）。VPN采用何种加密技术依赖于VPN服务器的类型，因此可以分为两种情况。对于PPTP服务器，将采用MPPE加密技术 MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份验证被协商之后，数据才由 MPPE 进行加密，MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。对于L2TP服务器，将使用IPSec机制对数据进行加密 IPSec是基于密码学的保护服务和安全协议的套件。IPSec 对使用 L2TP 协议的 VPN 连接提供机器级身份验证和数据加密。在保护密码和数据的 L2TP 连接建立之前，IPSec 在计算机及其远程VPN服务器之间进行协商。IPSec可用的加密包括 56 位密钥的数据加密标准DES和 56 位密钥的三倍 DES (3DES)。以思科路由器为例,你写下单臂路由的配置命令？ 答：router(config)#interface f0/1.1 router(config-if)#encapsulation dotlQ 100 router(config-if)#ip add router(config-if)#no shutdown router(config-if)#interface f0/1.2 router(config-if)#i encapsulation dotlQ 200 router(config-if)#i ip add router(config-if)#no shutdown STP协议的主要用途是什么？为什么要用STP 主要用途：1、STP通过阻塞冗余链路，来消除桥接网络中可能存在的路径回环；2、当前活动路径发生故障时，STP激活冗余链路恢复网络连通性。原因：交换网络存在环路时引起：广播环路（广播风暴）；桥表损坏。 介绍一下ACL和NAT？NAT有几种方式？ ACL：1、访问控制列表（ACL）是应用在路由器接口的指令列表（规则），用来告诉路由器哪些数据包可以接收转发，哪些数据包需要拒绝；2、ACL的工作原理：读取第三层及第四层包头中的信息，根据预先定义好的规则对包进行过滤；3、使用ACL实现网络控制：实现访问控制列表的核心技术是包过滤；4、ACL的两种基本类型（标准访问控制列表；扩展访问控制列表） NAT：改变IP包头使目的地址，源地址或两个地址在包头中被不同地址替换。静态NAT、动态NAT、PAT STP的判定过程？ 答： STP判定步骤为：确定根网桥，使用网桥ID；计算到根网桥的最小根路径成本； 确定最小的发送方网桥ID；确定最小的端口ID。STP过程为：选根网桥在每个非根网桥上选择根端口在每个网段上标定一个指定端口 HSRP是什么?它是如何工作的？ 答：HSRP是热备份路由协议，思科专有。通过HSRP，一组路由器可以一起协同工作，来代表一台虚拟路由器，备份组像一台路由器一样工作，一个虚拟IP 地址和MAC地址，从末端主机来看，虚拟主路由器是一台有自己IP地址和MAC地址的路由器，它不同于实际物理路由器，那么该组中一台路由器失效则另一台路由器接替工作，路由选择照常。Windows服务部分Windows平台是目前应用最广的服务器平台之一，因此Windows网络服务器的管理也是网络管理员进行日常网络管理的重点和难点之一。Windows网络服务器的管理涉及到许多方面，其中主要包括域管理、域控制器管理、用户和组管理、文件和磁盘系统管理、远程服务器管理和组策略管理等。在各类网管考试和面试题中占有最多的部分，所以本章所占的篇幅也是最多的。Windows网络服务器基础面试题1：Windows Server 2003系统的4个主要版本中，不能作为域控制器来部署的是（ ）。A. Web EditionB. Standard EditionC. Enterprise EditionD. Datacenter Edition 解析：只要知道Windows Server 2003系统有哪4个版本和每个版本的主要用途，就可以很容易地答出本题。Windows Server 2003系统有4个主要版本（实际上是6个版本）：Windows Server 2003 Web服务器版本（Web Edition）、Windows Server 2003标准版（Standard Edition）、Windows Server 2003企业版（Enterprise Edition，包括32位和64位两个版本）以及Windows Server 2003数据中心版（Datacenter Edition，包括32位和64位两个版本）。Windows Server 2003 Web Edition版本是专门针对Web服务优化的。它支持双路处理器，2GB的内存。Windows Server 2003 Web Edition唯一和其他版本不同的是：它只能是AD域中的成员服务器，而不能够做DC（域控制器）。Windows Server 2003 Standard Edition是专门针对中小型企业应用需求而优化。它支持双路处理器，4GB的内存。它除了具备Windows Server 2003 Web Edition所有功能外，还支持像证书服务、UDDI服务、传真服务及IAS因特网验证服务等许多功能，当然最大的区别就是，它可以成为DC。Windows Server 2003 Enterprise Edition是直接针对大中型企业应用的高端产品。它最多能够支持8路处理器，32GB内存和28节点的集群。它是Windows Server 2003 Standard Edition的扩展版本，增加了终端服务会话目录、集群和热添加（Hot-AdD.内存和NUMA非统一内存访问存取）等技术的支持。这个版本还另外增加了一个支持64位计算的版本。Windows Server 2003 Datacenter Edition是Windows Server 2003家族中性能最高的产品。它的市场对象一直定位在最高端应用上，支持高达832路处理器，64GB的内存和28节点的集群。与Windows Server 2003 Enterprise Edition相比，Windows Server 2003 Datacenter Edition增加了一套Windows Datacenter Program程序包，这个产品同样也为另外一个64位版本提供。由此，可以很容易得到本题的正确答案为A，也就是只有Windows Server 2003 Web Edition版本不支持DC。因为Windows Server 2003 Standard Edition版本都已开始支持DC了，而后面的Windows Server 2003 Enterprise Edition和Windows Server 2003 Datacenter Edition两个版本都是基于Windows Server 2003 Standard Edition的扩展，所以同样支持DC功能。答案：A。面试题2：域与工作组相比，主要优势在哪里？解析：这是管理员经常问到的，也是在各种考试和面试中经常考到的。但多数人是答不全的。答案：工作组和域是两种不同的网络管理模式。工作组（Work Group）就是将不同的计算机按功能分别列入不同的组中，以方便管理。加入工作组的方法只需本机管理员在Windows桌面上的“网上邻居”单击鼠标右键，在弹出菜单中选择【属性】命令，然后在“标识”选项卡的“计算机名”文本框中添入你想让自己计算机在工作组网上邻居中显示的计算机名称，在“工作组” 文本框中添入想加入的工作组名称即可，无须任何权限审核。如果输入的工作组名称是一个不存在的工作组，那么就相当于新建一个工作组，当然在组中也只有用户自己的计算机。不过要注意，计算机名和工作组名称的长度都不能超过15个英文字符，可以输入汉字，但是也不能超过7个汉字。域（Domain）是一种更加严格的网络管理模式，要把一台计算机加入到某域中，不仅需要进行比较复杂的配置，而且还仅允许域中有权限的账户进行操作。域相对工作组来说主要有以下几个方面的优势。1集中用户账户管理在工作组中，用户账户是不进行强度极限中管理的，用户账户仍然由工作组中的计算机各自负责管理，彼此互不信任。所以，在访问工作组中不同的计算机时，需要输入对方不同计算机上的合法账户信息（通过配置也可以是匿名访问）。而域用户账户是集中管理的，所有域用户账户都是在域控制器上集中管理的，而且各客户机都信任域控制器上管理的域账户，但各客户机都不具有域账户的管理权限。而且域账户是单击登录方式，这样做的好处是，用户一旦登录到域，则具有访问域中所有计算机共享资源的账户权限，无须输入任何账户信息。当然最后能否访问还是要看具体被访问计算机上共享资源的访问权限设置。2集中资源管理尽管在工作组网络中也可以配置集中的资源服务器，如文件服务器、打印服务器等，但是服务器的访问权限和访问管理比较麻烦，需要针对不同计算机上的账户进行设置；而如果是域网络中的这些服务器，则只需要对域账户进行设置。3统一安全策略部署在域网络中，可以通过域组策略对整个域网络中成员计算机的安全策略进行统一部署。如用户账户权利、密码策略和安全选项等。只要在域组策略中统一部署即可在全网络中生效。对于外部网络的远程访问，还可以进行统一的安全认证，确保整个网络计算机的安全。面试题3：利用IIS不能创建（ ）。A. WWW服务器 B. DNS服务器C. FTP服务器 D. SMTP服务器解析：这道题其实很简单，只要有过使用IIS组建各种服务器经验即可答出。用IIS可以组建网站的Web服务器（也就是WWW服务器）、用于文件传输的FTP服务器和SMTP虚拟邮件发送服务器。但是DNS服务器却不是在IIS中创建的。答案：B。面试题4：下列关于全局编录服务器的说法正确的是（ ）。A. 它是一台独立服务器，保存有域内对象的所有属性B. 它是一台独立服务器，保存有域内对象的最常用属性C. 它是一台域控制器，保存有域内对象的所有属性D. 它是一台域控制器，保存有域内对象的最常用属性解析：全局编录是存储林中所有Active Directory对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本，以及林中所有其他域中所有对象的部分副本。全局编录中包含的所有域对象的部分副本是用户搜索操作中最常使用的部分。作为其架构定义的一部分，这些属性被标记为包含到全局编录中。在全局编录中存储所有域对象的最常搜索的属性，可以为用户提供高效的搜索，而不会以不必要的域控制器参考影响网络性能。答案：D。面试题5：什么是只读域控制器？它有什么好处？解析：这是最新的Windows Server 2008才出现的新技术。但由此可以了解应试者对新技术和知识的学习能力。答案：只读域控制器（RODC）是Windows Server 2008操作系统中提供的一种新类型的域控制器，主要用于在分支环境中进行部署。通过RODC，集团公司可以降低在无法保证物理安全的远程位置（如分支机构）中部署域控制器的风险。因为除了账户密码外，RODC可以驻留可写域控制器驻留的所有Microsoft Active Directory域服务（AD DS）对象和属性。不过，客户端无法将更改直接写入RODC。由于更改不能直接写入RODC，因此不会发生本地更改，作为复制伙伴的可写域控制器不必从RODC导入更改。管理员角色分离指定可将任何域用户委派为RODC的本地管理员，而无须授予该用户对域本身或其他域控制器的任何用户权限。网络服务器的基本管理面试题6：Windows Server 2008的活动目录中包括的身份验证方式是（ ）。A. 本地身份验证 B. 交互式登录 C. 网络身份验证 D. 匿名身份验证解析：这道题并不容易答出，因为许多人并没有对活动目录所支持的身份验证类型进行总结。其实在Windows Server 2008家族的活动目录服务中所支持的身份验证方式就只包括：交互式登录和网络身份验证两种。交互式登录就是由用户通过系统的登录界面，输入用户账户和密码的方式进行的登录，这种登录方式只限于域控制，因为只有在域控制器上才拥有域账户，才会需要用到活动目录。其他主机上的本地交互登录是不用活动目录的，因为在这些主机上不具有域账户。网络身份验证向用户尝试访问的任何网络服务确认用户的身份。要提供这种类型的身份验证，安全系统将包括下面这些身份验证机制：Kerberos V5、公钥证书、安全套接字层/传输层安全性（SSL/TLS）、摘要和NTLM与Windows NT 4.0系统兼容。答案：B C。面试题7：下面关于“运行方式”的说法正确的是（ ）。A. 使用“运行方式”有助于提高计算机的安全性B. 使用“运行方式”后，普通用户也可以执行管理员的管理任务C. “运行方式”只能由管理员使用D. “运行方式”只能在本地运行解析：题中所说的“运行方式”是指用户登录的一种方式，其英文名称为“runas”。在使用该方式时，只需在相应程序上单击鼠标右键，并在弹出菜单中选择【运行方式】命令，打开如图12-1所示的对话框。在其中选择要使用的用户名（账户）即可。注意账户的格式是：计算机或域名用户账户名。图12-1 “运行身份”对话框 在使用“运行方式”时，可以使用不同于登录所用的账户和安全上下文的方式打开并运行程序。因此，可以使用普通用户账户登录，然后使用“运行方式”在管理账户上下文中打开管理程序。尽管runas通常由Administrator账户使用，但并非仅限于Administrator账户。任何拥有多个账户的用户均可以利用备用凭据，使用runas运行程序、MMC控制台或“控制面板”选项。可以使用“运行方式”来完成管理任务，而无须使用管理凭据登录计算机，使得当前计算机更加安全。而且“运行方式”可以在本地，工作组和域网络中使用。答案：A B。面试题8：在Windows Server 2003系统中，如何制作密钥盘?解析：在Windows XP/Server 2003中（Windows 2000系统也一样），尽管在登录系统前需要输入用户账户和密码，但这种安全保障还是比较低的，特别是在登录Windows XP系统时，在默认账户的情况下无须输入账户和密码，便可直接进入系统桌面。为了提高系统的安全性，一方面，可以对现有的账户文件（SAM）进行二次加密；另一方面，还可以在用户启动计算机前设置一道安全屏障，把整个计算机进行加密，要启动系统必须插入相应的密钥盘。这个加密工具就是syskey。但要注意，并不是在BIOS中设置的。答案：Syskey工具的具体使用方法如下。（1）在Windows 2000/XP/Server 2003系统的“运行”窗口中输入syskey命令，打开如图12-2所示的对话框（此处以Windows XP系统为例进行介绍）。选择“启用加密”单选按钮，并单击【确定】按钮，虽然看不到任何提示，但其实已经完成了对账户数据库SAM文件的二次加密。图12-2 “保证Windows XP账户数据库的安全”对话框 （2）如果在图12-2中单击【更新】按钮，则打开如图12-3所示的对话框。在该对话框中，可以为计算机设置双启动密码，选择“密码启动”单选按钮，并在下面的文本框中输入启动计算机时所需输入的密码，最后单击【确定】按钮即可。这样下次在启动计算机时就会要求用户输入启动密码，否则系统无法启动。这就相当于在输入登录账户信息前多加了一个保护密码，使系统更加安全。图12-3 “启动密码”对话框 （3）设置了双重启动密码后在一定程度上增强了安全性，但是要真正做到绝对安全，最好还要随身带上一把系统开机“钥匙”。利用Syskey还能创建“开机钥匙”，在开机时，只有插入这把“钥匙”才能进入系统。方法是在“启动密码”对话框中选择“系统产生的密码”单选按钮，如果选择的是“在软盘上保存启动密码”单选按钮，并根据提示插入空白的软盘，系统就会自动产生一个密码并保存在软盘上。这样下次启动时就需要插入这个密钥盘（无须输入密码，因为密码是由系统自动产生的）。如果选择的是“在本机上保存启动密码”单选按钮，则只是可以限制远程在其他机上非法启动本机。面试题9：可以把Windows XP直接升级为Windows Server 2008系统吗? 如果不能请简单说明理由。解析：这道题考的是不同系统之间的升级问题。因为Windows XP与Windows Server 2008分属于不同的操作系统，核心有很大区别：前者属于桌面操作系统，而后者属于网络服务器操作系统。桌面版是不能直接升级到服务器版的，例如，Windows 2000 Profeesional不能直接升级到Windows 2000 Server或Windows 2000 Advanced Server。答案：不能直接从Windows XP系统升级到Windows Server 2003系统。因为Windows XP与Windows Server 2003分属于不同的操作系统，核心有很大区别：前者属于桌面操作系统，而后者属于网络服务器操作系统。面试题10：Windows Server 2003能默认安装IIS吗？如果不能请简单说明理由。解析：这道题是考应试者对知识点细节的用心程度。因为一般人很少注意，操作系统默认安装了哪些组件。微软出于安全考虑，在Windows Server 2003系统中，默认是没有安装IIS的。如需要使用IIS，则选择【控制面板】【添加或删除程序】命令来手动添加IIS组件。答案：Windows Server 2003默认不安装IIS组件，这是出于安全考虑的，因为开启IIS后，如果不进行详细的安全配置，很容易成为黑客入侵的跳板。面试题11：通过设置策略是否可以实现在关闭Windows Server 2003系统时，不需要选择关机的理由？如果不能请说明理由，如果能请简要给出配置方法。解析：在Windows Server 2003系统中，发现每次在关闭计算机时，系统总会弹出关机原因提示窗口，而且如果不说明原因就无法将计算机关闭。其实我们自己可以通过组策略来屏蔽这项功能，使关机恢复成以前版本系统那样的快捷。答案：可通过组策略设置来取消选择关机的理由。具体方法如下。（1）在Windows Server 2003系统计算机的“运行”窗口中输入组策略编辑命令“gpedit.msc”，然后单击【确定】按钮，打开如图12-4所示的本地计算机组策略辑控制台。（2）在左侧导航栏中，依次展开：计算机配置管理模板系统，然后在右侧详细窗口中找到“显示关闭事件跟踪程序”策略选项，参见图12-4。（点击查看大图）图12-4 组策略中的“显示关闭事件跟踪程序”策略选项（3）鼠标左键双击显示“显示关闭事件跟踪程序”策略选项，打开如图12-5所示的属性设置对话框，选择“已禁用”单选按钮，并单击【确定】按钮就能使设置生效了。下次关机时就不用再选择关机理由了。图12-5 显示“关闭事件跟踪程序”属性对话框如果选择“未配置”单选按钮，也将出现关闭事件跟踪程序的默认行为。在默认情况下，在Windows XP Professional上不显示关闭事件跟踪程序，而在Windows Server 2003家族上则显示。域和林的管理面试题12：创建域和删除域的命令是（ ）。A. dcpromote B. dcpromo C. promote D. promo解析：这道题也很简单，只要是通过命令方式安装和删除域的都知道，那就是dcpromo命令。不过，现在大多数都不是通过命令方式来创建和删除域的，而是直接通过“配置您的服务器向导”进行。答案：B。面试题13：在Windows Server 2008域网络中，父域和子域的默认信任关系是（ ）。A. 双向可传递 B. 双向不可传递C. 单向可传递 D. 单向不可传递解析：这道题考的是域信息关系方面的知识。信任是在域之间建立的关系，它可使一个域中的用户由处在另一个域中的域控制器来进行验证。Windows NT中的信任关系与Windows 2003和Windows Server 2008操作系统中的信任关系不同。在Windows NT 4.0及其以前版本中，信任仅限于两个域之间，而且信任关系是单向且不可传递的。在Windows 2003和Windows Server 2008林中的所有信任都是可传递的双向信任。因此，只要创建了信任，信任关系中的两个域就都是受信任的。从“双向信任”这一特点我们就可以排除C和D两个选项，从“可传递”这一特点又可以排除选项B。事实上也是这样的，默认的父、子域之间具有双向可传递的信任关系，林中各域树的树根也将是默认双向可传递的信任关系。答案：A。面试题14：只有（ ）组的成员，才有权对林的架构做出修改，并影响到林中所有的域。A. AdministratorsB. Domain AdminsC. Enterprise AdminsD. Schema Admins解析：这道题其实考的是应试者对几类域管理员组账户权限的理解。在Windows Server 2003域网络中，有几种管理员权限的组账户，它们是域控制器管理员组Administrators、本地域管理员组Domain Admins、林管理员组Enterprise Admins和林架构管理员组Schema Admins。但要注意的是，它们之间并没有我们通常所误认为的权限包含关系，而是各具特定的权限。也就是说，它们的权限分工是不一样的。Administrators具有域中所有域控制器的完全控制权限，是本地内置作用域类型的安全组。在默认情况下，Domain Admins和Enterprise Admins组是Administrators组的成员。Domain Admins具有对本地域管理的完全控制权限，是全局作用域类型的安全组。在默认情况下，该组是加入到该域中的所有域控制器、所有域工作站和所有域成员服务器上的Administrators组的成员。在默认情况下，Administrator账户也是该组的成员。Enterprise Admins组的成员具有对林中所有域的完全控制作用，是通用作用域类型的安全组。默认情况下，该组是林中所有域控制器上Administrators组的成员。在默认情况下，Administrator账户也是该组的成员。Schema Admins组的成员可修改Active Directory架构，也是通用作用域类型的安全组。在默认情况下，Administrator账户也是该组的成员。答案：D。面试题15：下面关于域和林关系的说法正确的是（ ）。A. 一个域可以属于多个林之中B. 一个林中可以有多个域C. 一个域中的多个子域可以有连续的名称空间D. 一个林中的多个域树可以有连续的名称空间解析：在Active Directory中，域树是由一个或多个Windows 2000或Windows Server 2003域通过传递、双向信任，共享公用架构、配置和全局分类连接起来的。域树中域的分层结构形成了连续的名称空间，可以将多个域树连接起来形成林。域树中的第一个域称为根域。在相同域树中的其他域为子域。相同域树中直接在另一个域上层的域称为子域的父。如，为的子域及的父域，而域为的父域，同时它也是该域树的根域。林包括多个域树。林中的域树不形成邻接的名称空间。例如，虽然和两个域树都是support的子域，而子域的DNS名称却分别为和，它们之间没有共享的名称空间。答案：B C。面试题16：某大学用Windows Server 2003系统创建了一个林。甲机是域的DC，乙机是域的DC。而丙机完整的计算机名为C，则下列说法正确的是（ ）。A. 若A用户属于域，则可以在域内的任一计算机上登录域。B. 若A用户属于域，则可以在域内的任一计算机上登录域。C. 由于域是整个目录林的根域，所以丙机C的详细资料都保存在甲机上。D. 由于丙机C属于域，所以丙机的详细资料都保存在乙机上。解析：对于这类题只能对各个选项进行一一分析和排除。因为在Windows Server 2003域网络中，父域和子域之间默认是双向信任的，所以A选项是正确的。B选项肯定是正确的，因为域用户本来就可以在域中任何计算机上进行域登录。C和D选项也是正确的，因为域根和相应域的DC上都保存了整个域树中各计算机对象的详细资料。答案：A B C D。面试题17：甲域内的A用户要想访问乙域内的共享资源，则（ ）。A. 乙域必须针对甲域有信任关系。B. 甲域必须针对乙域有信任关系。C. A用户必须从甲域的DC上获取访问该共享资源的访问授权。D. A用户必须从乙域的DC上获取访问该共享资源的访问授权。解析：这是考查域之间的信任关系的题。当A域信任B域时，则B域中的用户就可以访问A域中的资源。所以A选项是正确的。同时，可以得出B选项是错误的，信任关系反了。C选项明显是错误的，因为所要访问的共享资源不是甲域的，也就没办法从甲域上获得所需访问的共享资源的访问权限。同时可以得出D选项是正确的。答案：A D。面试题18：一台计算机已经加入了某个域，但此时该计算机的本地管理员在该计算机上进行了本地登录，则对于该域的域管理员来说，（ ）。A. 可以同时管理该计算机与该计算机的本地管理员用户B. 无法管理该计算机，也无法管理该计算机的本地管理员用户C. 可以管理该计算机，但不可以管理该计算机的本地管理员用户D. 可以管理该计算机的本地管理员用户，但不可以管理该计算机解析：这道题考的是本机管理员和域管理员之间的关系。本地管理员只能在本地计算机和用户账户拥有完全控制权限，而域管理员只对域网络中的计算机账户实行管理权限，而没有对域网络中计算机的本地用户账户具有管理权限。答案：C。12.2.3 域控制器管理面试题19：为Windows Server 2003域控制器改名可用的命令是（ ）。A. dcpromo B. netdom computername C. Ntdsutil D. Rendom解析：这道题与上题类似，但考的是域控制器的重命名命令。我们只要对这些命令都很熟悉就可以很容易得出正确答案。A选项是域安装与删除命令，C选项是活动目录数据删除和服务器角色转移等功能的命令，D选项是域重命名的命令。所以，B选项才是域控制器重命名工具命令。答案：B。面试题20：下面命令中可以用于把Windows 2000 Server成员服务器升级为域控制器的是（ ）。A. PROMOTE.EXE B. DCPROMO.EXEC. DCUPGRADE.EXE D. 以上都不是解析：这道题其实与上面的面试题19是一样的，只是问法不一样。要注意不同的提问形式。这里所问的其实就是域控制器的创建，或者说是安装活动目录所需用到的命令。答案：B。面试题21：架构主机和（ ）是专属于林中的主机角色的。A. 域命名主机B. PDC仿真主机C. 相对ID主机D. 基础结构主机解析：这道题考的是应试者对操作主机角色知识点的掌握。所以要求应试者对各种操作主机的角色有一个较全面的掌握。在Windows Server 2003系统中，操作主机角色有5种：架构主机角色、域命名主机角色、RID主机角色、PDC仿真主机角色和结构主机角色。其中前两个是林中的，后三者是域中的。在每个林中，林范围的操作主机角色必须只能出现一次。而在林中的每个域中，域范围的操作主机角色必须在每个域中出现一次。答案：A。相关链接：每个林必须具有“架构主机”和“域命名主机”两种角色。架构主机域控制器控制对架构的全部更新和修改。要更新林的架构，必须拥有架构主机的访问权。域命名主机控制林中域的添加或删除。在林中这些角色必须是唯一的，这意味着在整个林中，只能有一个架构主机和一个域命名主机。林中的每个域都必须有“相对ID（RID）主机”、“主域控制器（PDC）仿真主机”和“结构主机”3种主机角色。同样，在每个域中这些角色都必须是唯一的。RID主机将相对ID分配给域中每个不同的域控制器。在任何时候，林中的每个域中只能有一个域控制器作为RID主机。如果域包含在没有Windows 2000或Windows XP Professional客户端软件情况下运行的计算机，或者包含Windows NT备份域控制器（BDC），则由PDC仿真主机担当Windows NT的主域控制器。它处理来自客户端的密码更改并将其复制到BDC中。在任何时候，林中的每个域中只能有一个域控制器作为PDC仿真主机。基础结构主机负责更新从它所在的域中的对象到其他域中对象的引用。基础结构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作定期接受所有域中对象的更新，从而使全局编录的数据始终保持最新。如果结构主机发现数据过时，则它从全局编录中申请更新的数据。基础结构主机再将这些更新的数据复制到域中的其他域控制器。在任何时候，每个域中只能有一个域控制器作为基础结构主机。用户和组管理面试题22：在配置漫游用户配置文件和主文件夹时，账户名可使用（ ）变量替代。A. username B. %username% C. %username D. username%解析：这道题比较简单，在4个答案选项中的主体部分都相同，即使真的不知道是哪个正确，只要知道变量的表示方法就知道正确答案了。变量两端都是有“%”符号的。所以本题正确答案为B。答案：B。面试题23：对于Windows 2000 Server和Windows Server 2003域，默认普通域用户可以加入计算机到域中吗？并简要说明。解析：这道题考的是域网络管理的基本常识。在Windows 2000 Server和Windows Server 2003域中，默认普通用户只能加入10个计算机账户到域中。而管理员组（Administrators）成员不受此限制。在本题中要明确的一点就是，用户计算机加入域中不一定非要域管理员组成员才有资格，任意普通用户，只要在域中有合法账户都可以加入计算机账户到域中的，只不过在数量上是有限制的。答案：可以，但最多只能是把10台计算机加入到域中。而管理员组成员允许加入到域的计算机数量不受限制。面试题24：在“活动目录用户和计算机”中，有关用户对象的说法正确的是（ ）。A. 可以同时位于多个用户组或多个容器中B. 可以同时位于多个用户组，但只能位于一个容器中C. 可以同时位于多个容器，但只能位于一个用户组中D. 只能位于一个容器或一个用户组中解析：这道题的关键是要理解，域用户账户只能由域控制器来进行统一管理，其他组织单位均无权管理域账户。所以，在一个域中，用户账户是唯一的。但用户和组的关系不是一一对应的，一个用户可以隶属于多个组中。根据以上分析就可以很容易地得出本题的正确答案。答案：B。面试题25：对于域内用户和计算机这两个对象的具体管理，你认为下述哪种做法不妥当？（ ）A. 如果某用户已从公司辞职则应暂时将其域账户停用而不是立即删除B. 应当提醒用户经常性地按要求定期更换自己的账户密码C. 为了防止域内用户非法登录本地计算机，最好将域内计算机的本地账户停用 D. 域内用户可以被施以组策略来实现管理，但不要对域内计算机对象采用组策略管理解析：这是一道与实际网络管理经验结合的用户管理知识题。下面直接给出正确答案。A、B、C选项都是正确的，D选项不正确，因为计算机账户同样可以通过组策略来管理，而且更方便。答案：D。面试题26：一位域内用户试图通过一台域内计算机登录其所属域时，在他输入用户名和密码后，系统提示“找不到域或域不存在”，发生这种故障现象的原因可能是（ ）。A. 用户输入的用户名和密码不匹配或不正确B. 用户在“登录到”对话框中选择了错误的域名C. 为该域负责域名解析的DNS服务器损坏或DC死机D. 用户计算机与域网络的网络连接已断开解析；这也是一道与实际网络管理经验结合的用户管理知识题。A选项不正确，因为如果是输错了用户和密码，不会提示“找不到域或域不存在”，而是直接告诉用户名和密码错误。B选项与A选项基本上是一样，如果选错了域，同样会出现用户名和密码错误提示，而不会出现“找不到域或域不存在”。C选项是可能的原因之一，因为当DNS或者DC工作不正常时，在进行域网络连接时得不到正确的域名解析，或者找不到DC，这样就会出现域找不到或不存在的错误的提示。D选项也是可能的原因之一，因为用户计算机与域网断开后就得不到DNS服务提供的名称解析，也找不到DC。答案：C D。面试题27：在Windows 2000/Server 2003域中，下列关于本地组与全局域网之间的关系说法正确的是（ ）。A. 本地组可以被赋予权限，但全局组不可以被赋予权限B. 本地组不可以被赋予权限，但全局组可以