培训大纲课件

12五月2024培训大纲关于windows2000Windows2000的网络层次ActiveDirectory组策略证书服务身份验证Windows2000网络体系是按分层结构实现的，通过定义各层的功能，指定各的接口，可实现各层的相对独立，当某个层被替换时，不会影响到其它层，例如，改变网卡驱动程序不会影响到TCP/IP协议。Windows2000网络层次WinSock应用程序NetBIOS应用程序WinSock接口NetBIOS接口其他应用程序和服务程序传输驱动程序接口（TDI）NetBEUITCP/IPIPX/SPXAppleTalk网络驱动程序接口规范（NDIS）网卡驱动程序网络接口网卡驱动程序网络接口Windows2000网络层次示意图许多应用程序通过网络应用程序接口实现通信，在windows环境中广为使用的是NetBIOS和WinSock。NetBIOS独立于网络协议，基于NetBIOS的应用程序可以在TCP/IP、NetBEUI、IPX/SPX协议的计算机上工作，因为名称空间仅为16个字符，无法支持大型网络。Windows2000网络层次NetBT(NBT)在TCP/IP协议的基础上实现了NetBIOS编程接口的功能，从而将NetBIOS客户和服务程序的运行范围延伸到大型网络，并提供了与其他操作系统之间的互操作性。Windows2000配置有NetBIOS仿真器，负责从NetBIOS程序接收标准的NetBIOS请求，再将请求传送给TDI。Windows2000网络层次WinSock是专为TCP/IP协议提供的应用程序接口，windows应用程序大多数通过WinSock来使用TCP/IP通信协议。Windows2000网络层次ActiveDirectory是一种超级目录服务，便于集中管理网络资源，能够减轻网络管理负担，提高管理效率。这里的知识点非常多，本着够用的原则，介绍一些基本知识和基本操作，能够组建ActiveDirectory的网络，能够应用组策略和证书服务。ActiveDirectory的几个知识点 ActiveDirectory目录服务 ActiveDirectory配置 组策略及应用 建立windows2000证书服务 申请和管理证书 windows2000的身份验证ActiveDirectory目录服务基本概念：

域，组织单位，域树，域树林

域控制器，成员服务器，独立服务器ActiveDirectory目录服务OUOUOUMYCOMPANY.COMActiveDirectory域中的组织单位ActiveDirectory目录服务MTCGActiveDirectory域树ActiveDirectory目录服务MTCG信任关系AActiveDirectory域树林ActiveDirectory管理工具基本管理：

用户帐户，计算机帐户，

组，组织单位，对象ActiveDirectory安装了解windows2000服务器角色域控制器：存储目录数据并管理用户域的交换，其中包括用户登录过程、身份验证和目录搜索。成员服务器：一般用作文件服务器、应用服务器、数据库服务器、WEB服务器、证书服务器、防火墙和远程访问服务器等。独立服务器：可与网络上其他计算机共享资源，但不从属于ActiveDirectory。ActiveDirectory站点可以看作是一个或多个IP子网中的一组计算机的定义。ActiveDirectory站点的主要作用是使ActiveDirectory适应复杂的网络连接环境，一般只有在多种网络连接存在的环境（如广域网）中才规划站点。ActiveDirectory允许单个站点中有多个域，单个域中有多个站点。组策略既可以应用于用户，也可以应用于计算机。用户和计算机是接收策略的唯一ActiveDirectory对象类型。组策略可以针对用户和计算机的配置，相应地称为用户策略和计算机策略。组策略执行顺序为：本地组策略对象ActiveDirectory站点ActiveDirectory域ActiveDirectory组织单位组策略组策略证书服务公钥基础结构（简称PKI）涉及到一对密钥，即公钥和私钥，私钥由用户独立掌握，无须在网上传输；而公钥是公开的，需要在网上传送，PKI的密钥管理主要是针对仅钥的管理问题，目前较好的解决方案是数字证书机制，通过证书服务来交换公钥。数字证书也称为数字ID，是公钥基础结构的上种管理媒介。数字证书采用公钥密码机制，即采用一对互相匹配的密钥进行加密和解密。每个用户拥有一把仅为自己掌握的私钥，用它进行解密和签名；同时拥有一把可以对外公开的公钥，用于加密和验证签名。当发送一份机密文件时，发送方使用接收方的公钥对数据进行数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。证书服务通过数字的手段保证加密过程是一个不可逆过程，即只有私钥才可解密。数字证书是由权威公正的第三方机构（即CA中心）签发的；证书服务可使用windows2000的证书来创建自己的证书颁发机构，接受证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书、发布证书吊销列表。证书服务身份验证分两个过程：交互式登录和网络身份验证。用户身份验证的成功与否，同时取决于这两个过程。证书服务基于证书的身份验证。一般情况下，计算机系统使用集中式帐户数据库管理用户、用户特权及其访问控制。当用户越来越多且颁范围越来越广时，采用这种集中控制方式将越来越难。如果采用公钥证书，有助于解决这个问题，因为证书可以由众多合作伙伴广泛颁发，并通过简单检查证书即可进行验证。问题是：现有操作系统和管理工具只能处理帐户，而不能处理证书。证书服务基于证书的身份验证。折衷方案是：在证书和用户帐户之间创建映射，使得系统可使用公钥加密技术来验证使用相应证书的用户身份，最终结果与用户提供了用户帐和密码一样，而且庐过程易于管理。证书服务证书服务-分层次的证书颁发体系根CA从属CA授权颁发证书授权证书服务-安装网络基础知识OSI模型和TCP/IP模型故障诊断IP地址和子网划分广域网路由器应用层主机A会话层表示层链路层传输层物理层网络层应用层会话层表示层链路层传输层物理层网络层主机B相应的排查措施链路层传输层物理层网络层应用层TCP/IP应用程序测试协议分析IP地址指派、路由、连通性ARP检测(ip和mac动态映射检测连接线路OSI七层模型、TCP/IP模型、各层的基本排查措施OSI模型和TCP/IP模型当A和B进行通信时，数据(data)自应用层向下，逐层进行处理，在传输层成为数据报，在网络层成为数据包，在数据链路层称为数据帧，并且逐层进行封装，到了物理层变化电信号进行传输。在主机B侧，相反的过程被执行，最终打开层封装，还原出数据本身，传给应用程序使用。OSI模型和TCP/IP模型常用网络层协议-IP协议工作于OSI的网络层，是可以被路由的协议（RoutedProtocol）。常用的有以下三种：IP协议：即InternetProtocol，是最流行的开放系统协议簇，可以在任何相互连接的网络之间通信，包括LAN和WAN。由一套通信协议组成，其中最重要的是TCP（TransmissionControlProtocol）和IP。常用网络层协议-IPX协议IPX(InternetworkPacketExchange，网际包交换)协议是无连接的数据报协议，流行程度仅次于IP协议。一台网上设备的IPX协议地址必须唯一。以20位十六进制表示，由网络号（网管分配，长32位）和节点号（网卡MAC地址，长48位）组成。常用网络层协议-AppleTalk协议是一种即插即用的网络协议，目的是使AppleTalk用户能够直接将一台Macintosh计算机连接到网络上，并通过最少配置即可通信。IP、TCP、UDP这三个协议在TCP/IP协议集中占有相当重要的位置，后两者工作于传输层。IP协议被认为是提供了无连接、不可靠的传递服务。可靠的传递是由TCP处理的。其著名在于路由功能。使用TCP的网络服务：TELNET、DNS、SMTP、FTP、HTTP、NNTP等。UDP主要用于面向查询-应答的服务，包括DNS、NTP、SNMP、TFTP。IP地址分配和子网划分IP的原始版本为IPv4，使用32位二进制地址，每个地址组织成由点分隔的8位数，每个8位数称为8位位组，1个IP地址即为4个8位位组，每个8位位组转化为1个十进制数。IP地址分配和子网划分起止保留为内部网络使用A类地址-55B类地址-55C类地址-55D类地址54用于IP网络中的组播。E类地址55被定义用作网络研究的IP地址空间。IP地址分配和子网划分A类和B类的空缺，即网络号为127的网络，这一地址专门用于标志本地环路的地址，用于测试设备本地IP协议栈是否正常工作。一个IP地址由网络地址+主机地址组成。IP地址分配和子网划分所谓子网，是把一个“有类”（ABC类）的网络地址，再分成若干小的网段，这些网段就是子网。划分方法：通过设定子网掩码不确定网络位、子网位和主机位的多少，从而确定子网的数量和每个子网内的可容纳主机数量。IP地址分配和子网划分一个被子网化的IP地址由三部分构成：网络号、子网号、主机号。子网号和主机号是由原先IP地址的主机地址部分分成两部分得到。子网由子网掩码标识。用十进制表示的32位二进制数。网络前缀位数子网掩码可用子网地址数子网内主机数2216382368190414409453020466621022712651082542549285101261092102262112420463012404094141348819061452163822B类IP地址子网和子网内主机数路由协议是通过在相邻路由器上启动相同的路由选择进程软件，使得路由器之间可以传递本身所拥有的网络信息，通过相应运算，在每路由器上构建路由表，用以作为信息包传输路径的选择标准。常见有：RIP、OSPF、IGRP、EIGRP、BGP等。在实际应用中，往往从网络层开始排查。首先测试网络连通性，如果网络不能连通，再从物理层（测试线路）开始排查；如果网络能够连通，再从应用层（测试应用程序本身）开始排查。在TCP/IP网络中，排查网络的第一步从ping开始。故障诊断故障诊断故障诊断故障诊断故障：主机A、B无法连通ping路由1；ping环回地址；ping路由2；ping主机B；应用程序测试；主机A0主机B0网络示意图arp/a/dinte_addr/sinte_addr用于查看和修改本地计算机上的arp（地址解析协议）表项，庐表项用于缓存最近将ip地址转mac（媒体访问控制）地址的ip地址/MAC地址对。故障诊断ipconfig/all/renew/release主要用来显示当前的tcp/ip配置，也用于手动释放和更新dhcp服务器指派的tcp/ip配置。对于windows9x/me计算机，使用winipcfg命令。故障诊断Ping用于测试ip网络的连通性。故障诊断Tracert路由跟踪实用程序，用于确定ip数据包访问目的主机所采取的路径。故障诊断Pathping用于跟踪数据包到达目标所采取的路由，并显示路径中每个路由器的数据包损失信息，也可以用于解决QoS连通性的问题。将ping和tracert的功能和其他信息结合起来。由于该命令显示数据包在任何给定路由器或链路上丢失的程度，困此很容易在确定可能导致问题的路由或链路。

Windows9x/me、nt不提供此工具。故障诊断Netstat用于显示协议统计和当前的tcp/ip网络连接。该命令只有安装tcp/ip后才可以使用。故障诊断其它命令nbstatnslookuproute故障诊断Netdiag安装路径：\support\tools\setup.exe安装后：\programfiles\supporttools\不管哪种命令，可以用-?或/?查看相关的帮助信息故障诊断事件查看器在windows2000网络中诊断故障时，事件查看器往往是首选工具。事件查看器使用事件日志收集关于硬件、软件和系统问题的信息，还可查看安全事件。事件查看器用3种方式：应用程序日志：包含由应用程序或系统程序记录的事件，如数据库程序错误；系统日志：包含由windows2000系统组件记录的事件，例如，在启动过程中将加载的驱动程序或其他系统组件的失败事件记录在系统日志中。已预先确定由系统组件记录的事件类型。安全日志：记录安全事件，如有效的和无效的登录尝试，以及创建、找开或删除文件等资源使用相关联的事件。管理器可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，登录系统的尝试将记录在安全日志里。事件查看器只有管理员才能访问安全日志。在默认情况下，安全日志是关闭的，可以使用组策略来启用安全日志，以监视安全事件。事件查看器网络监视器网络监视器广域网 广域网（WAN，WideAreaNetwork）是指地理位置相对较广的数据数据通信网络，它通常是利用公共载波（如电信营运商）提供的便利条件进行传输，在OSI模型的下三层发挥作用，即物理层、数据链路层、网络层。三种通信方式：点到点连接，也称为租用线，是由电信运营商为两个用户节点提供专用的连接通道，此通道是永久的、常通的，是被用户长期占用的物理通道。典型例子：DDN。电路交换：网络通过介质电路上的载波为每个通信会话临时性建立一条专用物理链路，并维持此电路直到通信结束后终止这一连接。典型例子：PSTN、ISDN。分组交换：通过使用多路复用技术使多路传输共享相应的电路，从而实现一点对多点的同时信息传输。典型例子：帧中继、X.25和ATM。广域网 广域网几种典型的广域网技术：数字数据网（DDN）X.25网帧中继网（FRAME）综合业务数字网（ISDN）数字用户线路（双芯电话线）

广域网-应用示图1广域网-应用示图2广域网-应用示图3广域网-应用示图4广域网 路由器（Router）路由器，可以实现不同类型的网络互联、进行最佳路径选择和转发数据包，是典型的网络层调和，即第三层设备。最常见的用途是广域网的接入。通常配置两个以上网络接口。广域网 所谓实现不同类型网络的互联，就是指实现以太网、令牌环、ATM、FDDI、DDN、FR、X25、ISDN等不同局域网和广域网网络类型之间的互联。广域网 路由器充当一个桥梁，把各种物理层、数据链路层协议不同的网络连接起来，也称为介质转换。这种连接的实质是：路由器把来自不同类型网络的数据帧解为数据包，再把数据包封装成为相应介质的数据帧从对应接口传送出去。广域网 最佳路径（路由）的计算是路由器的重要功能，路由形式有静态路由、动态路由、缺省路由，其中前两者是由人工设置完成的，而动态路由是通过在路由上启用相应的路由选择进程，实现路由器之间自动学习彼此之间的路由信息，通过计算在每台路由上构造出路由表而实现的。动态路由可以随网络拓扑和链路状态而变化，用时反应网络的变化，是路由器智能能力的表现。广域网路由器按功能分类：通用路由器专用路由器访问服务器VPN路由器语音网关路由器广域网CISCO路由器按性能分类：高端；7500、7600、12000系列中端；3600-7200系列低端：2600、1700、1600、800、700系列广域网路由器相关技术：路由技术；接口技术；包转发技术；广域网路由器相关技术：服务质量（QoS）：是一个反映传输系统性能的概念，反映了其传输质量和服务的可获得性。针对路由设备，主要包括拥塞管理技术、拥塞避免技术、数据流整型和策略技术、带宽预留技术等。省工商网络介绍概况陕西省工商行政管理内部业务信息网络系统是国家工商局内部业务信息网络的一个组成部份，建成后为陕西工商局网络一级节点，采用256k帧中继上联国家工商局，下联2M数字电路至地市、区县工商局形成二级节点相连，主要任务是在业务处理应用系统基础上建立信息存储、处理、使用的内部业务网。同时建立对外的“红盾信息网”，提供外界信息交流。省工商网络介绍国家工商行政管理总局[2002]262号文件规定了全国工商行政管理系统红盾工程（二期）总体方案，方案指出：省工商网络介绍二种支撑平台之一：统一的安全支撑平台；-安全防御系统-网络信任服务系统-故障恢复与容灾备份系统根据实际情况，采用防火墙、物理隔离网闸、入侵检测、漏洞扫描、安全审计、病毒防治、WEB信息防篡改、物理安全等基础技术。省工商网络介绍二种支撑平台之一：统一的安全支撑平台；-安全防御系统-网络信任服务系统-故障恢复与容灾备份系统以密码技术为核心，基于公钥基础设施PKI，提供证书服务、密码管理、密码服务、授权、可信时间戮、安全数据交换、网络信任域等信息安全服务。省工商网络介绍二种支撑平台之一：统一的安全支撑平台；-安全防御系统-网络信任服务系统-故障恢复与容灾备份系统总局统一统一规划网络信任服务系统的密码体制，负责建立全系统的统一的密码管理系统和网络信任服务根系统，建立全局安全认证系统，实现全网的集中认证与管理。省工商网络介绍二种支撑平台之一：统一的安全支撑平台；-安全防御系统-网络信任服务系统-故障恢复与容灾备份系统各地按照总局的技术规范，以总局的根系统为依托，建立省级局的网络信任服务系统。省工商网络介绍二种支撑平台之一：统一的安全支撑平台；-安全防御系统-网络信任服务系统-故障恢复与容灾备份系统关键设备双机备份、重要数据冷备份、异地容灾备份。省工商网络介绍二种支撑平台之二：统一的应用支撑平台；基于安全支撑平台、目录服务系统和标准规范的信息交换格式，构建应用支撑平台，覆盖安全传输、安全接入、安全服务等方面，为业务系统提供安全服务和可信应用环境，实现全系统安全互联互通和安全信息共享。省工商网络介绍二级数据中心：总局省级省工商网络介绍三种基本类型的数据库业务类数据库政务类数据库汇总分析类数据库由工商综合业务管理系统生成和管理、与市场主体和市场行为相关的工商业务数据。按主体和行为可继续分为企业、个人、申（投）诉举报、案件、市场、其它数据库等。省工商网络介绍三种基本类型的数据库业务类数据库政务类数据库汇总分析类数据库公文、行政办公、人事、档案、财务、固定资产等数据库。省工商网络介绍三种基本类型的数据库业务类数据库政务类数据库汇总分析类数据库是对业务类数据库进行汇总、分类、整合、挖掘、再加工后形成的结果数据库。省工商网络介绍三个网络系统：政务内网工商行政管理网公众服务网是以国务院办公厅统一的安全支撑平台和应用平台为依托、主要为党政系统办公业务资源共享的网络系统。副省级以上分：-机关政务信息局域网-政务专网副省以上通过政务专网，与国办、省政府、有关政府部门、副省以上工商局实现安全互联互通、公文交换、指挥调度、信息共享。省工商网络介绍三个网络系统：政务内网工商行政管理网公众服务网建立在公共通信平台上，以国家工商总局为主节点、以副省级以上工商局为下一级节点，向下延伸，树形结构，五层四级。-总局-副省级-省局-市地局-市地局-区县-工商所省工商网络介绍三个网络系统：政务内网工商行政管理网公众服务网在互联网上通过一个政府安全门户网