金牌网管师初级中小型企业网络组建配置与管理笔记整理

1、第1章 中小企业网络特点为和管理技能要求网络基础知识：计算机网络的概念、基本组成和主要应用主要以太局域网拓扑结构类型及各自的主要优缺点OSI/RM分层结构、各层的主要功能和工作原理LAN/R帕层结构、各层的主要功能和工作原理主要以太网标准特性及各自的物理层、MAC?层结构和帧格式主要WLANS准及帧格式CSMA CSMA/CD CSMA/CA勺工作原理和应用数据通信基本模型主要数据传输技术和原理主要数制类型和相互转换方法主要数字编码方式和计算IPV4和IPV6协议的主要功能、数据包格式IPV4和IPV6的地址类型及配置方法IPV4协议子网划分与聚合计算方法TCP协议的主要特点和分段格式TCP协

2、议的主要特点和分段格式TCP连接的建立与释放原理UDP HTTP ARP PPP等觉通信协议的基本工作原理和包（帧）格式交换机、路由器和防火墙技术VLAN STR RSTP MST VTP等设备的技术原理和应用其他网络基础知识需求第2章 双绞网络和信息模块的制作在6类和6a类的连接器也是RJ-45,与5类和5e （超5类）类的差别：一是除了 主体的拔插接头外，还有一个分线器的附件，用于固定8根芯线的位置；二是6类和6a类双绞线的RJ-45连接器的铜片更粗、更光滑，用于提高接触性能。千兆以太网排线顺序可以任意，但是两端得一样国际影响力的三家综合布线标准发布组织是：ANSI （American N

3、ational Standard Institute,美国国家标准化组织）TIA （Telecommunication Industry Association,电信工业协会）EIA （Electronic Industries Alliance,电信工业协会）EIA/TIA-568A的排列序列：白绿、绿、白橙、蓝、白蓝、橙、白棕、棕EIA/TIA-568B的排列序列：白橙、橙、白绿、蓝、白蓝、绿、白棕、棕实际用到的只有4根传输，即1、2、3、6双绞线分为直通网线和交叉网线，直通网络即水晶头两端排列顺序一样直通线连接不同网络设备间的连接，交叉线用于同种设备的连接如果是直通双绞线网络的测试，正常

4、情况下，测试仪的4个指示灯为绿色并从上至下依次闪过。如果有提示灯为黄色或红色，则证明相应引脚的网线制作不良第3章有线工作网络组建与配置网络工作组的主要特点：工作组主机间是平等的管理和安全边界为各成员计算机采用NetBIOS名称解析在一个工作组网络中可以有多个工作组不同工作组是可以相互访问的工作组优缺点安全管理简单（优点）网络性能比较高（优点）网络管理不方便（缺点）网络公共应用配置比较烦琐（缺点）域是一种基于对象（用户、组、计算机等账户都是对象）和安全策略的分布式数据库系统域网络最大的特点就是可以实现用户、计算机等对象账户，以及网络安全策略的集中管理和部署活动目录数据库中包括了 3个表格：sch

5、ema表（包含了所有可以在活动目录中创建的对象信息以及他们之间的相互关系，包括各种类型对象的可选及不可选的各种属性）、link表（包含所有属性的关联，包括活动目录中所有对象的属性的值）、data表（活动目录中用户、组、应用程序的特殊数据和其他的数据全部保存在DATA表）域网络的主要特点：集中管理多级账户和安全策略组策略的应用顺序是：本地组策略-站点组策略-域组策略-组织单位（OU组策略-了 OU组策略默认信任集中存储单点登录采用DNS军析协议支持漫游配置域网络的主要优缺点：管理更方便（优点）安全性更高（优点） 网络访问更方便（优点）需要专门的高性能服务器（缺点）安全配置更复杂（缺点）网络性能较

6、低（缺点）工作组与域的先把主要考虑以下几个方面：安全策略的复杂性有无全局、集中管理需求有无基于活动目录的应用与管理需求首要考虑netsh工具配置 windows系统的TCP/IP协议netsh interface ip set /?查看该命令的主要参数及对应功能的帮助说明配置IP地址。设置接口 IP地址的命令格式如下：Netsh interface ip set address name=InterfaceName source=dhcp | staticaddr=ipaddress mask=subnetmaskgateway=none|defaultgatewaygwmetric=gate

7、waymetric下面是各命令参数的说明name=InterfaceName为必需配置项，指定要配置其地址和网关信息的接口名称。InterfaceName参数必0K与图3-1所示“网络连接”窗口中对应的接口名称匹配。如果InterfaceName 含有空格，则请将文本置于引号之中（例如“InterfaceName 1 ”）source=dhcp | static addr=ipaddress mask=subnetmaskgateway=none|defaultgatewaygwmetric=auto|gatewaymetric为必需配置项，指定是通过DHCFW务器配置IP地址，还是使用静态I

8、P地址。如果使用静态地址，那么IPAddress将指定要配置的地址，而 subnetmask将指定所配置 IP地址的子网掩码。如果使用静态地址，那么还必须同时指定是保留当前默认的网 关（如果有），还是为该地址配置一个网关。如果配置默认网关，则利用 DefaultGateway 变量指定要配置的默认网关的IP地址，而gatewaymetric 指定要配置的默认网关的跃点数（通常都是 0,指的是网关与接口处于同一网段），也可以先 把自动获得方式；如果不配置网关，则选择 none选项。如要为“本地连接”配置采 用DHCP艮务器分配的IP地址，则键入以下命令： Netsh interface ipse

9、t address name=本地连接 sourcd=dhcp如果为“本地连接”N注：如果是静态IP地址配置，则必须要同时为addr、mask、gateway和gwmetric关键字指定设置，不能遗漏，否则会不能成功配置。接口名，如果中间没有空格，则可以不用引号括住（当然也可以用引号括住），但如果名称中包括了空格，则一定要用引号括住。另外，在命令格式中，等号（ =）两端不要留空格，而在各关键词前 面要有空格。DNSI艮务器地址的命令格式为：Netsh interface ip set dns name=InterfaceNamesource=dhcp | static addr=dnsaddr

10、ess|noneregister=none|primary|bothname=InterfaceName 为必需配置项，指定要设置其DNS言息的接口的名称。InterfaceName参数必0K与图3-1所示“网络连接”窗口中指定的的接口名称匹配。如果InterfaceName 含有空格，则请将文本置于引号之中 （例如“ InterfaceName 1”） source=dhcp | static addr=dnsaddress |none为必需配置项，指定 DNS服务器的IP地址是通过DHCPE置的还是为静态地址。如果是静态IP地址，则用DNSaddress变量指定要配置的 DNS服务器的IP

11、地址，如果先把none选项，则指定 删除的DNSffi置。register=none|primary|both为可选配置项，指定计算机注册方式。如果选择none选项，则表示该计算机禁用动态 DNSft册完整的计算机名；如果选择 primary 选项，则指定只在主 DNS服务器后缀下注册完整的计算机名；如果选择 both选项， 则同时在主DNSffi其他指定DNS服务器后缀下注册完整的计算机名。自动获得 DNS入的命令：netsh interface ip set dns name4地连接 source=dhcp 为接口配置多个IP地址：Netsh interface ip add addres

12、s name=InterfaceName addr=ipaddress mask=subnetmask gateway=defaultgatewaygwmetric=gatewaymetricN删除IP地址Netsh interface ip delete address name=InterfaceName addr=ipaddress gateway=defaultgateway|allAll选项表示删除所有默认网关，只想删除一个默认网关，则 Defaultgateway变量 将指定要删除的默认网关的IP地址N添加DNS服务器地址Netsh interface ip add dns nam

13、e=InterfaceName addr=dnsaddressindex=dnsindexDnsindex是用来指定添加的DNS1务器地址接口中的 DNS服务器列表的位置。N删除DNS服务器地址：Netsh interface ip delete dns name=InterfaceName addr=dnsaddress|allAll表示用来删除所有DNS服务器地址利用netsh工具导出/导入IP配置导出格式：netsh - c interface ip dump脚本文件路径和文件名导入格式：netsh - f设置脚本文件工作组名称是NetBIOS名称，最多只能是15个数字、字符，或者 7个

14、纯汉字。强制某台机器为主浏览器的方法：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesbrowserparameters注册表位置上将isdonainmaster 键值改为True如果想让某台机器永远不能成为主浏览器：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesbrowserparameters 注册表位置上将maintainserverlist键值改为no ,止匕时COMPUTER BROWSER也将无法启动网上邻居正常工作的必要条件：客户机要配置了用于名称解析的NetBIOS协议。一般情

15、况下 TCP/IP协议就内置并且启动了 NetBIOS协议客户端启用了 “ microsoft网络的文件和打印机共享”服务网络中至少有一台机器启动了计算机浏览( Computer Browser)服务。要看 网络中是否有浏览器主机，nbtstat -a连接网络的网卡IP地址命令实现，主浏 览器的标识是含有_msbrowse_这样的标识启动workstation 或server月艮务造成“网上邻居”访问不成功的原因对方计算机上的防火墙阻止了。137端口在局域网中提供计算机的名字或IP地址查询服务，一般安装了NETBIO附议后，该端口会自动处于开放状态。138端口是为NETBIOS datagra

16、m Service(netbios数据报服务)提供的，主要作用就是提供netbios环境下计算机名浏览功能，也就是 browser服务有关。139端口是为 netbios session service（netbios会话月艮务）提供的， 主要用于提供 windows文件和打印机共享以及 unix中的samba服务。445端口，也是提花局域网中文件 或打印机共享服务组策略限制了。IP安全策略中主要看是否限制了上面介绍的这些网上邻居访问端口的通信。经典访问模式中，需要访问者在对方计算机上有合法的用户账户才能访问对方的共享资源，需要经过明确的身份验证；而来宾模式则用户访问时是以 来来宾guest账

17、户进行身份验证，澡需要输入账户和密码（前提是启用来宾用户）。如果把windows XP或以后 版本系统中的guest账户也像以前系统那样放进 everyone组中，享受同样的权限，那就是组策略中的“让每个人的权限应用 于匿名用户”策略。空密码账户的访问限制-使用空白密码的用户只允许进行控制台登录。从网络上访问此计算机，拒绝从网络上访问此计算机用户的共享文件夹权限和 NTFSt件访问权限限制了工作组网络用户访问域网络用户。工作组网络用户无法访问域网络中的计算机。反过来域网络用户访问工作组网络用户则可以桌面或者“开始”菜单上没有“网上邻居”快捷项要在桌面上显示“网上邻居”，只需要在桌面的空白处右击

18、，选属性一桌面一自定义桌面开始菜单中显示“网上邻居”快捷键，只需在状态栏的空白处右击，属性一一【开始】菜单一一自定义一一高级一一网上邻居复选框一一确定在“网上邻居”中没有“整个网络”1）HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPolicies Network位置，查看是否有一个名为 noentirenetwork 的dword键项，如果有将其值设为0,没有就新建2）HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesexplores 位置看一下是否

19、有 noentirenetwork 的DWORD项，值改为03）HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPolicies explores 位置下新建一个nonethood的dword键项，将其值设为0即可取消“网 上邻居”在桌面和菜单中的显示。以上是针对当前用户的设备，如果想要使计算 机上的所有用户都采用以上设置，则需要在 hey_users.defaultsoftwaremicrosoftwindowscurrentversionpolicies network(或explorer) 位置查看地是否有 noentire

20、network 键项，如果没有则新 建 network( 或 explorer) 主键，然后再新建 noentirenetwork 双字节键项，并将 其设置为0.网上邻居中可以看到自己，却看不到其他联网的计算机从以下几个方面找原因查看网络中是否只有这一台计算机存在这种问题：如果只有个别计算机存在这种问题，则可以肯定的是与其他计算机无关，只与本机软件配置和相连接网卡、网线、集线器等设备端口有关确定属于本机或与有关的硬件故障有关后，先排除自身的软件配置问题。在此还要特别提醒各位以下几点：查看所有计算机IP地址是否都配置在同一网段上在网络组件中是否安装了 “网络客户”选项在“服务”控制台中检查计算机

21、是否已启动了computer browser service 服务如果软件配置没问题，则需要进一确认硬件部分所存在的问题了。用ping.exe命令Ping其它主机的IP地址，检查其他计算机连接速度是否正检查网卡状态指示灯是否闪烁检查集线器上的端口和其他计算机端口的指示灯是否正常如果还怀疑其它计算机有软件配置或硬件故障，则可进一步检查在网上邻居中可以看到其它机器，却看不到自己没有正常启动 server（服务器）服务，还要检查下 computer browser , net logon服 务当双击访问“网上邻居”中的“整个网络”时弹出如下错误提示“无法浏览网络。网络末连接或启动”，这是因为work

22、station 服务没有启动，相关联是 computer browser service 、net 10gom已启用guest账户，仍不能访问“网上邻居”中的其他计算机如果要使用guest用户访问windows XP系统，则要进行上面的3个设置：启用guest 账户；修改安全策略允许 guest从网络访问（在本地组策略中的“用户权利指派” 项下的“从网络访问此计算机”选项中添加guest账户，但一定不要在“拒绝从网络访问这台计算机”选项中有 guest账户；在“网络安全”项下启用是“让每个人 权限应用于匿名用户”选项），禁用“安全选项”中的“账户：使用空密码用户只能 进行控制台登录”安全策略，

23、或者给 guest加个密码网络访问windows xp系统主机的时候，总是出现输入用户名进行身份验证的对话杠，或者登录圣诞在框中的用户是灰的，始终以 guest用户访问，不能输入别的 用户账号，为什么本地安全策略中的“安全选项”项下的“网络访问：本地账户的共享和安全模式” 中，如果是“仅来宾模式，这样就固定为 guest账户，如果是经典模式，就要输入 用户名与密码最简单的解决办法就是：不用启用 guest账户，仅修改上面安全策略为“经典”模式即可，别的系统访问 xp时只需要输入有效的本地账户即可，这样更安全，但有时显示比较麻烦第4章WLANE线网络连接配置在 WLAN3,有两种连接方式，采用

24、DCFDistributedcoordination function,分布式协调功能）机制无中心控制设备的点对点 Ad Hoc（是一种拉丁语）结构WLAN 网络和采用 PCF （point coordination function, 点调功能）机制有中心控制设备（如 WLAN AP的点对多点infrastructure 结构wlan网络AD hoc WLAN网络中，只需在计算机上的 WLA啊上中进行 WLANE线连接和用户访问身份验证配置，基本配置如下：SSID（Service set identifier,服务集合标识符）安全访问微分验证方式WLA啊络类型通常采用1、6、11, 2, 7

25、、12, 3、8、13这3个信道组合，否则就会有重叠。注意不能与同一无线网络中的其他AP所设置的信道重复。第5章共享上网方案与配置最简单上网方案就是利用微软 windows2000以后版本系统中推出的ICS （internet connection sharing,internet连接共享）方式，但在部署 ICS共享上网之前需要注意以下几点：如果网络中已有DHCPI艮务器，而且已采用该 DHCP艮务器自动分配IP地址，则要禁 用该DHCPR务器。因为安装ICS后，也会提供DHCPI艮务，而且网络中的ICS客户 机均必须采用ICS自带的DHCPE务获得IP地址，否则就会发生冲突如果网络中已安装了

26、其他共享上网应用软件，如sygate/wingate/ccproxy 等，则要卸载它们，因为这些应用程序安装后会控制计算机上安装的网卡，而在安装ICS后也要控制你的计算机网上，不卸载那些应用软件，就会发生网上控制冲突问题如果公司是采用ADS此类需要安装接入终端设备的互联网接入方式，则采用ICS共 享上网时，在ICS服务器端要安装两块网卡ICS共享上网方式性能也不是很好，一般公用于20台机器以内的网络先把使用，毕竟采用的是软件 NAT技术。一个最大的优点：配置简单，配置成功后不会对任何应用进行限制，所有互联网应用直接应用即可，无须任何特别配置。ICS共享上网的设置通常不单独手动设置，而是通过运行

27、“设置家庭或小型办公网络”向导（通常把它称为“ ICS设置向导”）来进行。（只适合小型网络，一般仅用于 20 台机器以内）启用ICS共享后自动配置的项目自动配置的项目项目操作说明自动拨号功能已启用静态默认IP路由建立拨号连接时创建Internet连接共享服务已启动DHC的配程序DNS弋理已启用5、“设置家庭或小型办公网络”向导设置法需要分别在网络中的每台计算机上运行。6、如果采用的是网络安装磁盘向导运行方式，则可以直接双击网络安装磁盘（或者已复制 到硬盘中的）netsetup.exe 程序。7、如果先把电信的E家ADS电带方案，则不能采用路由共享方式上网。 破解方式：像sniffer 之类的抓

28、包工具，在进行 PPPoEB议包，sniffer 就会把加密前后的密码都呈现在你面前， 这样就可以获得这个加密后的密码了。8、一般半径为50米以内的区域中，只请允许我有3个无线AP9、“开放系统”是指用户端无须输入密钥，直接与无线网络连接的方式，这种方式在较大的安全隐患，在企业网络中通常不采用。“共享密钥”方式则需要用户端在进行无线连接时输入接入点预设的密钥，只有正确输入密钥的用户才能与无线接入点连接，确保了用户的 合法性。“自动选择”方式则是由路由器自动为无线客户端分配密钥，出于安全考虑不宜先 把，特别是在企业网络中10、代理服务器共享上网方式也要分别对服务器端和客户端进行配置11、中小型企

29、业网络通常是对等网，所以不选择NT服务，这样就不会把这项代理服务当作NT域中的一项服务，不会随系统自动启动、自动运行。对等网络中通常也不需要DNS进行名称解析，所以也不要选择“ DNS复选项。12、CCProxy默认采用的 HTT的议端口为808 第6章域控制器的安装、配置与管理如果是新安装的 Windows Server 2003系统，而且没做其他任务配置，则可直接安 装第一台服务器，否则需要满足以下条件才能进行：该计算机上运行的不是 Windows Server 2003 Datacenter Edition 或 Windows Server2003 WEB Edition 版本系统已安装

30、并配置网卡的 TCP/IP协议，并且要分配静态IP地址计算机上必须至少有一个 NTFS分区该计算机没有加入到其他域中，当然该计算机更不能已经配置为域控制器在该计算机上没有启动过“ Active Directory安装向导”，没有运行“路由和远程访问”服务，但配置域控制器后可重新配置和运行“路由和远程访问”服务该计算机上没有证书颁发机构（CA）,如果安装了，要先卸载“证书服务”组件，但配置域控制后可以重新安装“证书服务”组件，并配置成证书颁发机构该计算机没有配置为DN哪务器或DHCPI艮务器2.额外域控制器的作用提供服务器容错为现有域控制器提供负载均衡更易于用户的连接和访问额外域控制器的安装有两

31、种方式：在线安装方式和离线安装方式要进行在线额外域控制器安装，首先要把该台成员服务器的DNq旨向当前域网络中的DNS!务器，当然还得连接在域网络中（但可以不事先加入域）安装离线额外域控制器的两大步骤：NTBACKUP.ex丈具从现有域控制器上获得活动目录配置信息文件利用活动目录配置信息文件，通过高级Active Directory 安装向导完成额外域控制器的安装Active Directory 配置信息文件是备份工具中System state（系统状态）的一部分，整个System state 的内容分为5部分：Active Directory（ 活动目录，主要是包括了 NTDS 这个数据库文件

32、夹）、Boot Files（引导文件）、COM+Class Registration Database（ 组件类注册数据库）、Registry（注册表）和SYSVOL系统卷）。离线方式安装额外域控制器 时只需要 Active Directory 、Registry 和 SYSVOLE部分离线安装额外域控制器：安装、配置好DNS务器后，现在就可以使用dcpromo/adv 这个带有高级参数的活动目录运行向导来安装额外域控制器了。重命名域控制器有一个前提条件，即该域的域功能级别设置必须为windows server2003重命名域名前的准备：域控制器、域、林功能提升到windows server

33、2003重命名域的工具是Rendom.etx,操作系统安装光盘上：Valueadd/Msft/Mgmt/domren 目录上，网上下载的名称为domainrename.exe （网上安装后产生一个组策略修改工具gpfixup.exe ）重命名域方法如下：(1)先找到rendom.exe程序文件(2)在主域控制器、额外域控制器或者任意一台成员服务器的命令提示符下输入 rendom /list 命令，然后按回车。运行成功后，会在该工具所在的文件夹下 产生一个名为domainlist.xml 文件，用记事本打开，进行修改(3)输入rendom /upload 命令。同时会产生一个 dclist.xm

34、l 文件(4)输入rendom /prepare命令。检验是否已全部准备好(如果出错可用rendom/end结束)(5) 输入 rendom /execute 命令(6)到了这里有一些细节需要处理。(7)进一步消除Active Directory 中的旧域名。在命令提示符下进入rendom文件所在的目录，输入rendom/clean命令，按回车。最后修改域组策略(工具 gpfixup ) 0(8)在命令提示进入这个目录，键入 gpfixup /?命令，查看该命令格式和可用参 数(9) 具体的命令： gpfixup /olddns:lycb.local /newdns:lycb_gz.local

35、/oldnb:lycb /newnb:lycb_gz /dc:lycb-dc1.lycb_gz.local无法正常删除，还是强制删除，当域控制器上安装了 “证书”服务时，不能删除域控制器，必须先卸载证书服务组件。另外 ，如果域控制器是某个服务器群集的节点之 一，也不能删除域控制器，得先通过群集管理器把该服务器从群集中退出。也不能成功 退出，则可使用以下命令从群集中清除该服务器节点：cluster node节点服务器名称/forcecleanup配置全局控制器为全局编录角色的方法是在：Active Directory 站点和服务”管理单元控制台中 Default-First-Site 下面的se

36、rver节点下单击选择相应的域控制器， 然后在右侧窗格中的 NTDS Settings项上右击，在“常规”选项卡中选择“全局编录”复选项强制删除方式包括两个主要步骤：一是利用dcpromo /forceremoval强制删除命令强制删除域控制器上的活动目录；二是利用ntdsutil工具命令清除域网络中这台已被删除的域控制器的相关信息具体清除Active Directory元数据的步骤如下：1、命令符下输入ntdsutil命令，然后在ntdsutil提示符下输入”，用来 清理Active Directory元数据的子命令是 metadata cleanup2、在 metadata cleanup

37、命令，按回车进入 metadata cleanup 命令执行环境， 准备清除已强制删除的域控制器上不再使用的Active Directory 数据3、metadata cleanup提示符下输入“？ ”，首先用到的是 connections 子命令， 连接到要清除元数据的对象4、metadata cleanup 提示符下输入 connections 命令，按回车进入 connections 命令执行环境。然后再在server connections 提示符下输入”5、在 server connections 提示符下输入 connect to server lycb-dc2 命令， 绑定连接到

38、要清除元数据的那台降级了的域控制器6、再在server connections提示符下输入 quit ,退回到上级的 metadatacleanup命令环境，正式对lycb-dc2服务器上的元数据进行清除工作。注意：对 象的定位是遵循从大到小规则的，先查找清理对象所在的站点，再在站点中找到 对应的域，最终在域中找到对应的服务器7、在 metadata cleanup 提示符下输入 Select operation target 命令，进入 Select operation target命令操作环境。8、在Select operation target 中输入list sites 命令，查看当前

39、网络中的 所有站点，看要清理的对象在哪个站点上9、在 Select operation target 输入 listdomain in site 命令，查看各站点中所有的域10、在 Select operation target提示符下输入 select domain 0 命令，锁定对应的域11、在 Select operation target输入 list server for domain insite 命令，查看上次锁定的域中的所有控制器序号12、在 Select operation target提示符下输入 select server 1 命令，锁定要清理的服务器13、在 Selec

40、t operation target提示符下输入 quit 命令，退出 Selectoperation target定位命令环境，因为要清理元数据的服务器已最终锁定14、在 metadata cleanup 提示符下输入 remove selected server 命令，对锁 定的服务器执行正式的元数据清理工作。15、在“Active Directory用户和计算机”管理单元控制台的 DomainControllers 容器下删除该域控制器。在SP2版本中，这里的删除不是那么简单， 不能像以前版本那样直接删除。在弹出框中要选择：“这台域控制器永远为脱机并且不能再用Active Directo

41、ry安装向导（DCPROMO等其降级”单选项。第7章DNS和DHC用艮务器安装、配置与管理存根区域与辅助区域不同同时创建相同的区域名顾要区域和辅助区域有类似之处，都要从对应区域的主要区域的DNSI艮务器上复制数据。不同之处在于，辅助区域复制区域中的所有记录，但存根区域只复制区域的SOA（起始授权机构）记录、NS （名称服务器）记录和解析 NS记录的A记录（主机地址记录）区域创建原则可以划分主DNSI艮务器和辅助DNS服务器，也可以不划分，全部作为主DNSI艮务器（但不可能全部是辅助 DNS1务器）。每台DNSI艮务器一开始都是把自己当作主DNS服务器的，直到创建了辅助区域对于某个特定的区域（如

42、正向查找区域和反射查找区域）来说，主DNS!务器上通常只要创建主要区域，而不创建辅助区域，除非所创建的辅助区域要从另一台主DNS服务器上复制数据，否则主、辅DNS!务器和主、辅区域都在同一台机器上就没有意义了。在辅助DNS!务器上，不要创建主要区域，否则就不是辅助DNS服务器而是主DNS服务器了虽然在同一台DNS 服务器的正向查找区域和反射查找区域中可以创建不同类型的区域（如主要区域、辅助区域、存根区域），但是通常是在一台 DNS!务器上只创建同 一类区域。这样更容易划分主 DNS服务器和辅助DNS!务器在正、反向查找区域中都可以分别创建主要区域或辅助区域（要根据以上服务器角色原则来创建），也

43、就是说，可以同时在正向查找区域和反射查找区域创建主要区域 或辅助区域不能在同一台计算机上同时创建相同区域的辅助区域和存根区域，但存根区域同样可以在正向查找和反射查找区域中分别创建每个区域名只能有一条正向或反向查找区域，不能有相同 区域的多个同类型的查找区域。但是在区域下面还可以创建子区域（也就是子域）的各类区域。当DNS务器与域控制器在同一台机器上时，要选：Active Directory 中存储区域“只允许安全动态更新的方式”只有在选择了，Active Directory 中存储区域复选项后才支持的，对于不是在域控制器上的 DNS服务器是不可选该项动态更 新方式的；允许非安全的动态更新，存在

44、安全风险，特别是在广域网中。如果在 这种公开网络环境下，通常选择不允许动态更新。 但在局域网中，如果DNS!务 器不是安装在域控制器之上，则只能选择第二种同时支持非安全和安全动态更新 方式。 内网的DNS!务器地址旋转在“转发器：选项卡中。常见的DN砥源记录如下：主贡（A）记录：用于将计算机的完整 DNS名映射到计算机所使用的IP 地址。是一种正向解析记录。别名（CNAME记录：用于将计算机的 DNS名映射到一个看似无关的别 名（相当于每个人的“小名”）。一是简化名称输入，二是起到屏蔽真实名称， 增加安全性的作用邮件交换器（MX记录：用于将计算机的 DN洞名映射为交换或转发邮 件的计算机（邮件

45、服务器）的名称。名称服务器（NS服务：用于指示区域中有哪些 DNS!务器指针（PTR）记录：用于将计算机的IP地址映射到计算机的 DNSS名。 是一种反射解析记录起始授权机构（SOA记录：指示区域中是主 DNS服务器服务位置（SRV记录：用于将计算机的 DNS名映射至ij指定的 DNSi机 列表，该DNS主机提供诸如Active Directory域名控制器之类的特定服务在DNS,旗表当前区域第8单 域网络加入和域用户管理1）域网络加入典型故障排除1) 在客记机加入域时找不到网络路径或者活动目录缺少DNSE录引起此原因有如下几点：客户机的TCP/IP协议配置中没有把主要 DNS服务器IP地址指

46、向域网络 DNS 服务器的IP地址域网络中没有工作正常的 DNSE务器。可以在DNSE务器上运行netdiag/fix 命令（需要事先安装系统支持工具程序包SUPTOOLS.MSI在源程序光盘中）修复一下DNS服务器上没有域控制器的SRVE录，或者是错误的。查看DNS!务器上有没有这个记录。Active Directory在下列文件夹下创建其 SRVE录：_msdcs/dc/_sites/default-first-site-name/_tcp _msdcs/dc_tcp客户机上没有启用 TCP/IP NetBIOS Helper 服务2) 加入域时出现找不到域控制器的错误原因：计算机中的防火

47、墙，特别是Windows防火墙阻止通信DNS服务器配置不正确在DC中运行netdiag/fix后再测试这个问题是否存在。完成以下两个方面的目标：DNSM试。Netdiag命令可以验证netlogon.dns 文件来确定它们是否含 有正确的所有DNSM,如果有问题更新相应条目域控制器测试。如果主域上缓存在本地计算机中的域GUID不同于域控制器上保存的域GUID,Netdiag将尝试更新本地计算机上的域GUIQ输入的是域的NetBIOS名称，而在客户机上没有启动前面说到的TCP/IPNetBIOS Helper服务，也可能出现这种故障如果网络中安装了像ISA之类的防火墙，而在没安装ISA之前加入域

48、是没问 题的，则是因为在ISA中没有配置网络规则。最好是先安装 ISA然后再配置 域3) 加入域时提示“依存服务不存在，或已被标记为删除”服务Net Logon服务没有开启，到Hkey_local_MACHINESYSTEMCurrentControlSetNetlogon 下查看设置Net Logon服务依存服务的键项 DependOnService （这里除了 Workstaion 外应该无其它项） 2）Windows安全系统按照以下原理使用SID：在“安全描述” （security descriptor ）部分标识了对象和主要组的拥有者在“访问控制条目（Access control en

49、trie ）部分标识了谁被允许访问、谁被禁止访问、谁的访问将被审计这样的信任树在“访问令牌 （Access token ）部分标识了用户和用户所隶属的组3）whoami命令查看当前用户的 SID信息格式：Whoami/upn|/fqdn|/logonid:这是用来查看当前用户的UPN （userprincipal,用户主体名称）、FQDN（fully qualified,完全合格的域名）或LOGONID登录ID）,不是本节所要查询的SIDWhoami/user|/groups|/priv/fo format:这是我们所需要的，可用来 查看当前用户或当前用户所属组的SID、安全属性、组类型信息W

50、hoami/all /fo format:这也可以用来查看用户和组的SID,因为这种语法格式可以查看当前用户名、所属组，以及它们的SID和当前用户访问信息的特权等所有信息 参数说明：/user:查看当前用户账户信息和 SID/groups:查看当前用户账户所属账户类型、属性和 SID/all :查看当前用户名、所属组、SID,以及当前用户访问令牌的特权/fo format:指定要显示的输出格式，有 table（表格）、list （列表）、csv（类似execl的表格）。4. PSTOOLS：具包后，解压后释放到系统安装目录下的system32目录下。语法格式: psgetsidcomputer

51、1 ,computer2, |file-u username -p passwordaccount|SID4）acctinfo.dll链接库文件，双击 ALTools.exe文件，然后把它安装到windows系统的system32目录下然后通过运行 regsvr32 acctinfo.dll 命令注 册表中注册，此方法不支持组账户和计算机账户SID的查看5）默认域用户账户6 .默认域组账户默认用户账户描述Administrator账户Administrator账户具后对域的元全控制权，可在必要时为域用户指派用户权利和访问控制权限。该账户只用于需要管理凭据的任务。推荐为此账户设置强密码Admin

52、istrator 账户是 Active Directory 中Administrators 、 Domain Admins、 Enterprise Admins 、 Group Policy Creator Owners和 Schema Admins 组默认成员。虽然无法从 Administrator 组中删除 Administrator 账户，但是可以重命名或禁用些账户。但当Administrator账户被禁用时，仍然可以在安全模式下访问域控制器。众 所周知，Windows的许多版本都包括 Administrator 账户， 所以重命名或禁用些账户会使恶意用户获得访问它的权限 变得更加困难G

53、uest账户Guest账户由该域中的临时用户使用，如账户被禁用（但末被删除）的用户也可以使用 Guest用户。Guest账户默认是没有密码的，但可以为它设置密码，以降低安全风险。一般现在都是禁用该账户，也可以像设置任意用户账户一样来设置Guest账户的权利和权限。在默认情况卜， Guest账户设置是内置 Guest组和Domain Guest全局组的成员，它允许用户登录到域HelpAssistant账户（同“远程协助”会评卷安装）该账户可用于建立“远程协助”会话，只具有对计算机的 受限访问权限。当请求“远程协助”会话时，系统将自动 创建该账户，在没有远程协助请求等待响应时，系统又将 自动删除该

54、账户7 .主要默认域组账户Builtin容器中的主要默认域组账户及其应用说明组描述应用说明Account Operators该组默认没有成员，加入该组成员可以创建、修改和删除位于Users或computers容器中的用户、组和计算机的账户以及该域中除domain controllers 夕卜的组织单位。但该组的成员无权修改administrators 或 domain admins 组，也无权修改这些组的成员 账户。该组的成员可本地登录到该域的域控制可以把委派非管理员组 成员账户，非域控制器 OU创建、修改和删除等 管理工作的用户或组账 户加入到该组中，减轻 管理员的管理负担，同 时又提供了最

55、终的安全 保障器中，并可将其关闭AdministratorsDomain admins 组、enterprise admins 组 和 administrator 用户 账户是该组的成员。该 组成员具有对域中所有 域控制器的完全控制权 限，包括修改文件夹和文件的所有者权限可以担当域网络中的一 切管理工作，但通常是 把一些基础性的管理工 作委派给其他非管理用 户，如上面的account operators 组成员Backup operators该组默认没有成员，加 入该组的成员可备份和 还原该域控制器上的所 有义件，不论其各自对 这些文件的权限如何。Backup operators 还可 以本地登录到域控制器 并关闭域控制器把担当公司网络备份与 恢复兼职管理员加入到 此组中，使他（她）们 具有备份与还原域控制 器的权利，减轻管理员 的工作负担GuestsDomain guests 组，用于匿名访问iis的内置账户iusr账户和匿名访问 windows mediaservices 的内置账户wmu既户，guest账户默认都是该