《Windows Server 2022网络服务器配置与管理》课件 项目1-4 安装虚拟机及操作系统-配置活动目录域服务

项目一安装虚拟机及操作系统1VMwareWorkstation的安装2WindowsServer2022的安装目录CONTENTS21Windows11客户端的安装3某企业要升级现有的网络服务器，在调试之前需要对当前生产环境进行模拟测试。由于无法直接在生产环境中进行调试，因此决定使用虚拟化技术搭建一个与现有生产环境高度相似的测试环境，测试环境包括多台虚拟化的Windows服务器及Windows客户端。如图所示为模拟测试环境的架构，通过在工作站主机/笔记本计算机中搭建虚拟环境，安装WindowsServer2022和Windows11操作系统虚拟机，模拟网络拓扑结构、业务应用部署等，在模拟环境中测试现有生产环境。34模拟测试环境的架构任务1VMware Workstation的安装5●能描述VMwareWorkstation软件的用途。●能了解VMwareWorkstation软件的硬件要求。●能通过官方网站下载VMwareWorkstation软件。●能完成VMwareWorkstation软件的安装和使用。6通过学习虚拟机的基础知识，能描述VMwareWorkstation软件的用途，并了解VMwareWorkstation软件的硬件安装要求，访问其官方网站，根据自身的操作系统类型或版本，选择并下载对应的VMwareWorkstation软件版本，并完成安装。7一、虚拟机的组成和工作原理1. 虚拟机的组成虚拟机由虚拟硬件（包括处理器、内存、硬盘、网络适配器等）和虚拟化层（hypervisor）组成。虚拟硬件模拟物理计算机的各个组件，而虚拟化层负责创建和管理虚拟机。虚拟化层包括原生和托管两种类型，原生是直接运行在物理硬件上的，而托管是运行在操作系统上的。82. 虚拟机的工作原理虚拟机是通过硬件虚拟化技术将单个物理硬件资源虚拟为多个独立的虚拟资源。每台虚拟机使用这些虚拟资源，可以在同一台主机上同时运行多个虚拟机；每台虚拟机彼此相互隔离，拥有独立的虚拟硬件（包括处理器、内存、硬盘、网络适配器等）。虚拟机具有封装完整硬件系统环境的优势，可以在其中安装不同的虚拟机操作系统，并根据需要进行备份、迁移等操作。9二、VMware Workstation软件的功能和硬件要求1. VMware Workstation软件的功能（1）虚拟机创建用户可以在其台式计算机或笔记本计算机上创建和运行虚拟机，每台虚拟机可以运行不同的操作系统。（2）快照和克隆VMwareWorkstation软件允许用户在不同时间点拍摄虚拟机快照，该功能对于开发和测试很有用，因为它允许用户在需要时返回先前的状态，快照和克隆功能可以快速复制虚拟机。10（3）兼容性VMwareWorkstation软件支持多种操作系统，并与各种虚拟机和宿主机的操作系统组合兼容。（4）集成VMwareWorkstation软件与宿主机的操作系统集成，允许在虚拟机和宿主机的操作系统之间进行文件共享，同时支持拖放功能。11（5）网络用户可以为虚拟机配置不同的网络设置，包括桥接、NAT和仅主机模式等网络方式。（6）高级功能VMwareWorkstation软件包括3D图形支持、USB设备支持以及为虚拟机分配多个处理器核心等高级功能。122. VMware Workstation软件的硬件要求（1）处理器需要使用具有虚拟化技术的多核心处理器，VMwareWorkstationPro通常对具有更多核心和较高时钟速度的处理器表现更好。（2）内存建议至少需要8GB内存，对于更复杂的虚拟机场景，可能需要容量更大的内存。（3）硬盘空间至少需要几十GB的可用硬盘空间用于安装操作系统和虚拟机，虚拟机文件的大小也会占用相应的硬盘空间。13（4）图形处理器支持3D图形的虚拟机通常要求具备较新的图形处理器，且需要相应的驱动程序。（5）操作系统VMwareWorkstationPro通常支持多种主流的操作系统，包括Windows和Linux，确保宿主机的操作系统符合软件要求。14（6）网络对于网络功能，确保网络适配器和驱动程序在主机上正常工作。（7）虚拟化技术确保主机的BIOS/UEFI启用了虚拟化技术。（8）其他高分辨率显示器能提高用户体验，尤其是在同时运行多个虚拟机时。15三、控制虚拟机的网络连接方式VMwareWorkstation软件提供了多种虚拟机的网络连接类型，每种类型在网络配置和连接方面有不同的特点，应根据不同应用条件和场景进行选择，虚拟机的网络连接方式见下表。1617拟机的网络连接方式四、虚拟机快照虚拟机快照是虚拟机在特定时间点的状态恢复点，它捕获了虚拟机当时的状态和数据，包括内存、虚拟硬盘和设备配置。这种功能常用于虚拟机的迁移、创建多个实例、系统调试或数据保护，特别是在进行重大更改前创建快照，以便在出现问题时可以快速回滚到之前的状态。181. 虚拟机快照的状态虚拟机快照只是在给定时间点捕获和存储的虚拟机状态和数据的增量记录，对虚拟机本身没有任何影响。但是，如果在需要反复回滚到虚拟机特定状态的环境中工作，虚拟机快照可以允许这样操作，而无需创建多个虚拟机。2. 虚拟机快照的限制（1）不支持使用独立磁盘的已打开电源或挂起的虚拟机快照，在捕获快照之前，必须关闭虚拟机的电源。（2）不建议将快照用作备份和恢复方式，因为其会消耗大量磁盘空间并影响虚拟机的性能。（3）捕获硬盘大于2TB的虚拟机快照可能需要较长时间。19任务2Windows Server 2022的安装20●能熟悉WindowsServer2022的硬件要求。●能在微软官网下载最新版的WindowsServer2022镜像文件。●能在VMwareWorkstation环境下创建WindowsServer2022虚拟机。●能在VMwareWorkstation环境下安装WindowsServer2022操作系统。21通过对本任务的学习，熟悉WindowsServer2022的硬件需求，理解不同版本之间的差异，并掌握安装操作系统的硬件要求。此外，学会在微软官网上获取最新版本的服务器系统镜像文件，以及在VMwareWorkstation环境下创建和安装WindowsServer2022操作系统的虚拟机。2223一、Windows Server 2022概述WindowsServer2022是微软推出的服务器操作系统，于2021年8月发布。WindowsServer2022引入了高级多层安全性、Azure混合功能以及灵活的应用程序平台，此系统版本引入安全核心功能，以帮助保护硬件、固件和WindowsServerOS功能免受高级安全威胁。安全核心服务器基于WindowsDefenderSystemGuard和虚拟化的安全性等技术构建，可最大程度地降低固件漏洞和高级恶意软件带来的风险。二、Windows Server 2022的版本WindowsServer2022提供标准版、数据中心版和数据中心Azure版3个版本，WindowsServer2022不同版本对比见下表。24WindowsServer2022不同版本对比三、Windows Server 2022的硬件要求运行WindowsServer2022的计算机必须满足最低硬件要求，这些要求适用于所有安装选项（服务器核心和具有桌面体验的服务器）以及标准版和数据中心版，处理器最低要求为1.4GHz64位、内存最低要求为512MB（带桌面体验的服务器为2GB）、磁盘空间至少需要32GB。此外，计算机还必须支持安全启动的固件、受信任的平台模块、支持1024×768或更高分辨率的图形设备。如果未达到上述要求，将无法正确安装WindowsServer2022。25任务3Windows 11客户端的安装26●能熟悉Windows11客户端的系统硬件要求。●能在微软官网下载最新版的Windows11镜像文件。●能在VMwareWorkstation环境下安装Windows11虚拟机。●能在VMwareWorkstation环境下安装Windows11操作系统。27通过对本任务的深入学习，能够熟悉Windows11的硬件需求，理解不同版本之间的差异，并掌握其硬件要求。此外，还应学会在微软官网上获取最新版本的客户端系统镜像文件，以及在VMwareWorkstation环境下创建和安装Windows11操作系统的虚拟机。2829一、Windows 11概述Windows11是微软于2021年6月发布的操作系统，作为Windows10的继任者，它改进和引入了许多新的功能，其主要变化包括重新设计的开始菜单和任务栏，带来更简洁的布局，提升了多任务处理效率。触摸体验也得到了优化，更适合触摸屏设备。在游戏方面，DirectX12Ultimate的支持，带来了更好的图形性能，进一步提升了游戏体验。二、Windows 11的最低系统要求计算机要运行Windows11，必须满足最低硬件要求，处理器最低要求为1GHz，内存最低要求为4GB，磁盘空间至少需要64GB，要求显示器需要支持96DPI的1366×768或更高分辨率，并且需要支持Windows显示驱动模型2.0的图形卡。此外，计算机必须具备统一可扩展固件接口（UEFI），并支持安全启动和受信任的平台模块（TPM）版本2.0。需要注意的是，Internet连接是执行更新以及下载和使用某些功能所必须的；Windows11家庭版在首次使用时，需要Internet连接和Microsoft账户才能完成设置。如果未达到这些要求，将无法正确安装Windows11。30项目二配置DHCP服务31静态网络地址的配置2DHCP服务的安装与配置目录CONTENTS321DHCP服务的备份与还原3某小型企业有员工200人，其企业网络连接方式采用有线与无线相结合，涵盖计算机、笔记本计算机及手机等各类联网设备，其企业网络拓扑的简化版本如图所示，其中WIN11-PC模拟企业工作站客户端，WINSRV1模拟企业DHCP服务器，在实验环境中两者通过VMwareWorkstation虚拟交换机进行连接。3334企业网络拓扑的简化版本任务1静态网络地址的配置35●能熟悉IPv4地址的组成和分类。●能进行IPv4地址子网划分。●能配置Windows操作系统的静态IPv4网络地址。36通过学习IPv4的基础知识，能够在Windows操作系统中配置静态网络地址、DNS服务器地址，以确保主机的稳定连接，并且能够使用常用网络指令工具检查配置是否正确。37一、IP地址概述IP是英文internetprotocol的缩写，其含义是“网络之间互连的协议”，也就是为计算机网络相互连接进行通信而设计的协议，其能使连接到网上的所有计算机实现相互通信，并规定了计算机在互联网上进行通信时应当遵守的规则。目前，IP地址有两个主要的版本，分别是IPv4（internetprotocolversion4）和IPv6（internetprotocolversion6）。381. IPv4协议IPv4是最早的IP版本，它使用32位地址，通常以点分十进制表示。IPv4支持约42亿个不同的地址，这在今天的互联网环境中已经不够用。由于IPv4地址空间的有限性，随着互联网的发展，IPv4地址用尽成为一个问题。392. IPv6协议为了解决IPv4地址空间不足的问题，IPv6协议被引入。IPv6使用128位地址，以冒号分隔的八组十六进制数字表示。IPv6的引入是为了支持更多的设备连接到互联网，并提供更好的网络性能、安全性和配置管理。然而，由于历史原因，IPv4和IPv6在互联网中仍然共存，并通过各种技术和协议相互兼容，这被称为IPv4和IPv6的共存与过渡技术。40二、IPv4地址的格式1. 数制的计算二进制、八进制、十进制和十六进制是不同的进制系统，用于表示数字。进制系统有不同的基数，表示每个进制中的有效数字和它们的权重。下表为数制的计算示例。4142数制的计算示例2. 书写格式IPv4地址由4个字节32位二进制数字组成，每一位二进制数被称为一个比特，8个比特组成一个字节。IPv4地址分为网络部分和主机部分。其中网络部分用于标识网络，区分不同的网段，主机部分用于标识具体的设备，可分配给当前网段中的某台终端使用。43三、IPv4地址的分类1. 按照用途和网络规模划分IPv4地址根据其用途和网络规模被划分为不同的类别，主要目的是根据网络的规模和需求对地址进行有效的管理和分配，如图所示。44按照用途和网络规模划分示意图IPv4地址分类采用了二进制最高位的数值范围来确定地址的类别，包括A、B、C、D、E5个主要类别，其中A、B、C类地址主要供普通的网络设备使用，D类地址为组播地址，E类地址为实验室保留地址，仅供互联网实验和开发使用。452. 按照地址中的可用地址划分（1）公有地址公有地址是全球唯一的IP地址，用于直接连接到互联网。公有地址是由互联网注册管理机构和互联网服务提供商分配的，以确保在全球范围内的唯一性。公有地址可用于直接在互联网上进行通信，是全球可见和可访问的。46（2）私有地址私有地址是为组织内部网络而保留的地址，不可在全球互联网上直接访问。私有地址允许在组织内部网络中自由分配IP地址，而无需担心与全球互联网上的其他设备发生冲突。IPv4的私有地址范围包括三个段：A类地址范围为到55；B类地址范围为到55；C类地址范围为到55。473. 子网掩码子网掩码又叫网络掩码、地址掩码，用于将某个IPv4地址划分为网络地址和主机地址两部分。子网掩码和IPv4地址相同，由4个字节32位二进制数字组成。子网掩码不能单独存在，它必须结合IP地址一起使用。48四、以太网适配器属性的管理1. 以太网适配器属性的管理方式在Windows操作系统中以太网适配器是计算机连接网络的重要硬件设备，其属性设置决定了网络连接的行为和性能。Windows操作系统提供了多种方法来管理以太网适配器属性，包括控制面板、命令行和WindowsPowerShell等。492. 以太网适配器属性中常见的功能和协议（1）Microsoft网络客户端该组件负责提供网络文件夹和打印机访问的客户端功能。它允许设备访问共享在局域网上的文件夹和打印机，使设备能够与其他设备进行文件夹共享和打印机共享，这是局域网内资源共享的基础。（2）Microsoft网络的文件夹和打印机共享该组件负责启用或禁用文件夹和打印机共享功能。通过此设置，用户可以控制设备是否对其他设备共享其文件夹或打印机。启用后，设备可以成为局域网中的资源提供者。50（3）Internet协议版本4（TCP/IPv4）TCP/IPv4是互联网上广泛使用的协议。它负责为设备提供IPv4地址、子网掩码、默认网关和DNS服务器等网络配置信息，这是设备在互联网上进行通信所需的基本设置。（4）Internet协议版本6（TCP/IPv6）TCP/IPv6是IPv6的协议，作为IPv4的下一代协议，支持更多的IP地址。类似于IPv4，它提供了设备的IPv6地址、默认网关和DNS服务器等配置信息，以确保设备能够在IPv6网络上进行通信。51（5）VMware桥接协议（bridgeprotocol）VMware桥接协议是VMware虚拟网络设备中的一种协议，用于实现虚拟机与物理网络之间的桥接连接，桥接连接使虚拟机能够通过主机的物理网络适配器直接与局域网中的其他设备进行通信。52任务2DHCP服务的安装与配置53●能描述DHCP服务的工作原理与过程。●能安装DHCP服务器角色。●能部署和配置DHCP作用域。●能描述DHCP客户端获取IP地址的过程。54通过学习WindowsServer2022上的DHCP服务器配置，能够部署DHCP服务器，为网络客户端提供IP地址、子网掩码、默认网关及DNS服务器等关键配置信息，并使用常用网络指令工具验证配置的准确性，确保网络高效安全运行。5556一、DHCP服务概述1. DHCP网络服务动态主机配置协议（dynamichostconfigurationprotocol，DHCP）是一种网络协议，主要用于在IP网络中自动为设备分配IP地址及其他网络参数，如网关、域名服务器等。网络管理员可以通过DHCP实现IP地址的集中管理和自动分配，确保每个连接到网络的设备都具有唯一的IP地址。当设备移动到网络中的其他位置时，DHCP能够自动为其分配新的IP地址，实现网络中IP地址的动态管理。引导协议（bootstrapprotocol，BOOTP）和DHCP都是网络IP管理协议，用于为网络上的设备分配IP地址。DHCP作为BOOTP的扩展版本，在功能上有了显著的增强和拓展。BOOTP主要用于为无盘工作站分配IP地址等基本网络配置信息，而DHCP不仅继承了BOOTP的这一功能，还增添了许多实用的特性，如支持动态分配IP地址，它可以根据网络中设备的连接和断开情况，灵活地分配和回收IP地址，极大提高了IP地址的利用率。相比之下，BOOTP通常是静态地分配IP地址，缺乏这种灵活性。572. DHCP服务器角色在WindowsServer2022中，DHCP服务器角色是一种网络服务，可以自动分配IP地址和其他网络配置参数给客户端。DHCP服务器角色使用DHCP，该协议定义了客户端和服务器之间的通信方式。DHCP和BOOTP的应用场景有所不同；DHCP主要用于为已安装操作系统的设备分配IP地址，也支持无系统的PXE引导；BOOTP主要用于为无系统的设备分配IP地址，用于网络引导，如通过网络的形式安装操作系统就需要使用BOOTP。583. DHCP服务的功能WindowsServer2022DHCP服务的功能见下表。59WindowsServer2022DHCP服务的功能60WindowsServer2022DHCP服务的功能二、DHCP服务的作用域DHCP服务的作用域是指DHCP服务器可以向客户端租用IP地址的特定子网上的计算机管理分组，作用域的选项可以为DHCP客户端配置网络参数，如DNS服务器和网络网关，为所有客户端提供一致的网络参数设置。在分配IP地址之前，作用域还可以通过名称、MAC地址甚至操作系统来筛选主机。此外，还可以为每个作用域配置特定的策略，增加了灵活性和定制性。DHCP服务器包括单一作用域和DHCP超级作用域等，在DHCP服务器上定义一个或多个作用域，能够有效地管理IP地址的分发和分配给DHCP客户端。611. 单一作用域单一作用域是DHCP中最简单的配置，代表了一个特定子网中DHCP客户端可以获取IP地址和相关配置选项，DHCP作用域常见的属性和用处见下表。62DHCP作用域常见的属性和用处在部署DHCP服务器之前，要列出每个子网以及为每个子网规划的IP地址范围。此外，经过授权的DHCP服务器可以支持其他类型的作用域，提供更多的扩展功能，具体取决于用户需求和特定的部署要求。通过清晰地定义单个作用域及其属性，确保DHCP服务器能够有效地管理IP地址分配，满足网络中各个子网的需求。632. DHCP超级作用域DHCP超级作用域是DHCP服务器的一项管理功能，可用于将多个作用域分组为单个管理实体，超级作用域可以更轻松地识别作用域驻留的网络。在单个物理网络上定义了多个子网的环境中，超级作用域使DHCP服务器能够向子网向客户端分配租约。64三、DHCP服务的工作过程1. 发现阶段（discover）当设备加入网络或者重新连接到网络时，需要获取一个IP地址以便能够与网络进行通信。在这个阶段，设备通过广播发送一个DHCP发现消息，该消息指示设备正在寻找DHCP服务器。2. 提供阶段（offer）DHCP服务器收到发现消息后，会回应一个DHCP提供消息，其中包含可用的IP地址以及其他网络配置信息。由于可能存在多个DHCP服务器，设备可以收到多个提供消息。653. 选择阶段（request）设备在收到多个提供消息后，会选择其中一个DHCP服务器提供的配置。设备向所选择的DHCP服务器发送一个DHCP请求消息，确认使用该服务器提供的IP地址和配置信息。4. 确认阶段（acknowledge）DHCP服务器收到请求消息后，确认设备的选择，然后回应一个DHCP确认消息，其中包含最终的IP地址和配置信息。设备在接收到确认消息后，使用分配的IP地址和其他配置信息来配置自己的网络接口，从而完成DHCP过程。66DHCP使用租约机制，即分配给设备的IP地址和配置信息是有期限的，设备在租约到期之前需要定期与DHCP服务器进行更新或续约，以保持网络配置的有效性，如图所示为DHCP服务的工作流程。67DHCP服务的工作流程四、APIPA地址自动专用IP寻址（APIPA）是一种用于解决DHCP故障转移的机制，当DHCP服务器出现故障时，APIPA会在至54的私有地址范围内分配地址，所有设备均采用默认的网络掩码。客户机调整地址以确保在使用了ARP的局域网中具有唯一性，APIPA能为未配备DHCP服务器的单网段网络提供自动配置TCP/IP的功能。68在默认情况下，Windows计算机优先尝试与网络中的DHCP服务器建立联系，以从DHCP服务器获取自身的IP地址等信息，并对TCP/IP进行配置；若无法与DHCP服务器建立连接，或与本地DHCP服务器通信失败，无法更新租约，计算机将转为采用APIPA自动寻址方式并自动配置TCP/IP；计算机将使用APIPA分配的地址，并每隔5分钟尝试与外界的DHCP服务器联系一次，直至成功与DHCP服务器通信为止；一旦恢复正常服务的DHCP服务器可提供请求服务，客户机将自动更新其地址。69APIPA的地址范围是从到55，这个范围内的地址永远不会作为默认网关使用。使用APIPA的计算机会定期尝试与DHCP服务器进行联系，以便在DHCP服务器可用时更新其IP配置设置。APIPA允许计算机在没有DHCP服务器或静态IP地址的网络环境中自动配置IP地址，从而实现设备间的通信。70任务3DHCP服务的备份与还原71●能备份DHCP服务器的配置文件和数据库。●能使用备份文件恢复DHCP服务器。72为winsrv1上的DHCP服务器配置备份，并模拟故障出现后对DHCP服务器进行还原。7374一、DHCP服务器的备份DHCP服务器的备份是一项至关重要的工作，用于保护DHCP配置数据免受硬件故障、人为错误或其他潜在原因导致的数据丢失风险。在WindowsServer2022中，DHCP服务器的备份涵盖了其所有作用域、地址分发范围、保留地址、作用域选项以及租约信息，一旦数据丢失或DHCP服务器发生故障，该备份文件能迅速用于恢复服务器的配置。二、DHCP服务器的配置文件在WindowsServer2022中，DHCP服务器的主要配置文件和文件夹默认存储在“C：\Windows\System32\dhcp\”目录下，该目录包含DHCP服务器的数据库文件、审计日志文件以及配置文件等。75三、DHCP服务器的还原DHCP服务器的还原是指利用先前创建的备份来恢复DHCP服务器的配置和数据，为确保备份文件的完整性和可用性，并保障还原过程顺利进行，定期测试还原过程至关重要。此外，还需制定相应的灾难恢复计划，以最大限度降低服务中断的风险。76项目三配置DNS服务77DNS服务的安装与配置2辅助DNS服务的安装与配置目录CONTENTS781某小型企业拥有200名员工，由于大多数员工难以记住常用服务器的IP地址，该企业急需部署DNS服务器以提供域名解析服务。为确保高可用性并防止单点故障带来的服务中断，该企业计划配置两台DNS服务器：一台作为主DNS服务器，另一台作为备用DNS服务器。这两台服务器将通过实时同步机制，保持域名解析数据的一致性。企业网络拓扑的简化版本如图所示，其中WIN11-PC模拟企业员工的工作站客户端，NS1模拟企业主DNS服务器，NS2模拟企业备用DNS服务器。在实验环境中，所有设备通过VMwareWorkstation虚拟交换机进行连接。7980企业网络拓扑的简化版本任务1DNS服务的安装与配置81●能描述DNS服务工作原理和作用。●能安装DNS服务角色。●能创建正向、反向查找区域提供域名和IP地址的解析功能。●能在客户端上检查域名解析是否正常工作。82通过学习WindowsServer2022中的DNS服务角色安装与管理，掌握创建DNS正向、反向查询区域，以及管理DNS的地址记录、邮件交换记录、指针记录和规范名称记录等，以满足企业资源访问需求。83一、DNS服务概述域名系统（DNS）是互联网的一项核心服务，作为将域名与IP地址相互映射的分布式数据库，DNS有助于提高用户访问互联网的便利性。84DNS的主要职能是将便于记忆的域名转换为IP地址，并可反向解析IP地址为域名，提供DNS服务的主机称为DNS服务器，负责正向和反向解析。DNS域名采用分布式层次结构，根域名以“.”表示。根域名下是顶级域名，包括地理域和通用域。地理域根据国家和地区划分，如cn（中国）、us（美国）、jp（日本）等；通用域按机构类别划分，如com（商业组织）、edu（教育机构）等。顶级域名下可进一步定义次级域名，如cn下有com、net、org等。域名空间是所有主机名组成的树状层次结构，表示DNS分布式数据库。完整的域名包括从树叶节点到根节点的路径，各节点以“.”分隔。8586域名结构二、DNS服务器的类型1. 根服务器根服务器用“.”表示，位于整个域名空间的最上层，主要用来管理根域和顶级域名；目前，世界上一共有13组根服务器。2. 缓存域名服务器在域名系统中，所有的域名服务器都将非授权管理的远程域名信息保存在自己的缓存中；遇到域名查询时，首先查找缓存中的记录，如果发现该记录，将结果返回客户端；如果没有找到，按照DNS的查找规则进一步查找；缓存服务器只用来缓存DNS域名的信息，而没有本地的域名数据库，不管理任何域名信息。873. 主域名服务器每个域都必须有一个主域名服务器，该域的所有DNS数据库文件的修改都在此服务器上进行；主域名服务器管理对其子域的授权，并且对该域中的辅助域名服务器进行周期性的更新和同步。4. 辅助域名服务器每个域至少应该有一个辅助域名服务器，辅助域名服务器从相应主域名服务器获得域名数据库文件的拷贝，并对所服务的域提供和主域名服务器一样的授权信息。88三、域名查询解析的过程如图所示为域名查询解析的过程。89域名查询解析的过程在计算机系统中，hosts文件作为一种域名解析工具，能够对域名进行解析。通常情况下，系统会优先查找hosts文件，一旦在hosts文件中找到对应的域名记录，例如，便直接返回相应的结果。如果hosts文件中没有所需域名的记录，系统会将查询指令转发至指定的域名服务器，进行DNS查询，域名服务器会在自身的缓存中查找相应的域名记录。如果找到该记录便返回结果，否则将该查询指令转发至根服务器。90根据递归查询规则，根服务器仅能返回顶级域名com，并告知客户机能够解析com的域名服务器地址；客户机依据返回的信息，继续向com域名服务器发送递归请求；收到请求并能正确返回

域名信息的域名服务器，将相关信息返回客户机。最后，客户机再次向

的域名服务器发送递归请求，收到请求的服务器进一步进行解析，此时已能将

域名完全解析为一个IP地址，并将该IP地址返回客户机。91任务2辅助DNS服务的安装与配置92●能描述辅助DNS服务器的重要性。●能实现辅助DNS服务器向主DNS服务器同步DNS数据。93本任务为部署辅助DNS，用于同步主DNS服务器的所有解析记录，并为DNS客户端提供冗余和负载均衡。9495一、主DNS服务器主DNS服务器是负责管理和维护DNS记录的主要服务器，包含域名与IP地址的映射关系，并提供查询响应，负责接收DNS记录的更新请求，如添加、修改或删除记录，这些更新可以来自域名所有者或DNS管理员，主DNS服务器通常具有最新的域名数据，并用于正常的域名解析服务。二、辅助DNS服务器辅助DNS服务器在DNS架构中主要用于提供冗余和负载均衡，从主DNS服务器处获取区域文件的副本，并对外提供解析服务。然而，为了确保DNS数据的一致性和安全性，辅助DNS服务器通常不具备写入和修改的权限。96三、DNS数据同步数据同步是主辅DNS服务器之间的关键过程，辅助DNS服务器需要定期从主DNS服务器获取最新的DNS记录，以保持数据的一致性，数据同步可以通过DNS的全量区域传输（AXFR）或增量区域传输（IXFR）来实现，IXFR只传输发生更改的记录，而不是整个区域，数据同步的频率可以根据需求进行设置，通常是每隔一段时间或在DNS记录发生更改时进行。97项目四配置活动目录域服务98活动目录域服务的安装与配置2额外域控制器的安装与配置目录CONTENTS991域用户和组的管理34域快照的管理某小型企业，员工规模达到200人，当前拥有丰富的公司资源，迫切需要构建一套高效的员工账号管理体系。为此，公司决定在WindowsServer2022平台上部署活动目录域控制器，实现对员工账号的统一管理。企业网络拓扑的简化版本如图所示，在DC1服务器上部署和设置域控制器，用于基本账号的管理，为避免单点故障风险，还将配置DC2服务器作为备用域控制器，确保主域控制器出现故障时，其能迅速接管工作，保障企业网络的正常运行。在实验环境中，所有设备通过VMwareWorkstation虚拟机进行连接。100101企业网络拓扑的简化版本本项目中DC1担任主域控制器，DC2作为备用域控制器。它们的职责在于存储和管理网络中的用户身份数据，并提供认证和授权服务，以确保企业网络的安全性与稳定性。任务1活动目录域服务的安装与配置102●能描述活动目录的基本概念。●能区分域和林。●能理解林信任和域信任。●能安装和配置主域控制器。103在本任务中，学习在WindowsServer2022平台上安装活动目录域服务，并将服务器晋升为域控制器。104一、活动目录概述活动目录（activedirectory，AD）最初与WindowsServer2000一同发布，并在WindowsServer2008中进行了功能修订。活动目录是一种分层数据库，在活动目录数据库中，可以查询到计算机网络中的各类信息，如用户账户、计算机名称、证书、安全策略等。活动目录的本质就在于其分层数据库特性，使得通过单点登录管理用户账户、计算机及其他网络资源变得更为便捷。105二、域控制器安装活动目录的服务器被称为域控制器（DC），它是用来管理其他客户机的服务器，是整个域的核心，每个域控制器都包含了活动目录数据库。1. AD架构AD架构（ADschema）对存储在目录中所有对象的信息都有相应的定义，每个活动目录林都有自己相应的架构。1062. AD架构主机或AD操作主机角色在活动目录中，所有域控制器均采用对等的多主机复制模型。为协调特定操作，设立了灵活单主操作（FSMO）角色，其中“PDC模拟器”角色最为常用。活动目录中的所有域控制器都包含可写的目录数据库副本，均能验证用户身份和处理目录更新等操作。如果承担“PDC模拟器”角色的域控制器故障，管理员可将此角色转移到另一台正常的域控制器上。域控制器之间通过自动的多主复制来同步数据更新，其延迟极小，通常不会造成数据丢失。角色转移后，原域控制器仍是普通的域控制器。1073. 全局目录活动目录是一种分布式存储数据库，在多域名AD域服务林中，各个域内的每个对象均能被全局编录（globalcatalog，GC）检索并呈现相应的简称。存储在域控制器上的全局编录又称作全局编目服务器，全局编录采用多主机复制模式以实现多用户访问，搜索结果无需涉及其他域控制器，因此其搜索速度较快。1084. 活动目录对DNS系统的依赖性活动目录对DNS系统有很强的依赖性，因此在没有选好域名前，不要安装活动目录。安装活动目录时的域名不需要独一无二，如果使用的是公有域名，在安装活动目录时可以使用同样的域名，如公有域名是，那么活动目录的域名可以是

或类似的名字。活动目录需要DNS服务器，如果在安装活动目录时没有DNS服务器，可以将安装活动目录的服务器设置为DNS服务器。109三、活动目录树和活动目录林1. 活动目录林活动目录林是活动目录逻辑分层结构的最高层次，活动目录林是一个独立的、完整的目录。活动目录林是一个安全边界，活动目录林管理员对访问存储在林上的信息和对运行林的域控制器有着绝对的控制权限。如图所示，

和

属于两个活动目录林的最高层，它们之间可以建立林信任，后续两个域林的用户可以在林间进行身份验证和访问林内的资源。110111活动目录林结构2. 活动目录树活动目录树由多个有信任关系的域组成，这些域被称为子域，子域都是根域的分支。上图中

和

是

活动目录树的子域，

是

活动目录树的子域。112四、林和根域的功能级别域功能级别是活动目录中的一个关键概念，决定域内可用功能和特性的范围。通过升级域功能级别，域可以获得新的功能和特性，包括改进的安全性、管理工具和性能优化。升级还可以改善与新版本WindowsServer和其他Microsoft产品的兼容性，可简化管理，提升效率。此外，较高的域功能级别支持混合环境，帮助组织在过渡期间维护不同版本操作系统的兼容性和稳定性。113五、目录服务还原模式（DSRM）密码DSRM密码是用于安全地修复或还原域控制器的密码，当域控制器出现问题，例如无法正常启动或需要进行故障排除时，DSRM密码是一个重要的凭据，其只能由域管理员或企业管理员进行管理，它不同于普通用户密码，并且用于特殊情况下的域控制器维护和修复。DSRM密码通常在安装域控制器时进行设置，在需要时用于登录到目录服务还原模式。114任务2额外域控制器的安装与配置115●能区分额外域控制器和只读域控制器。●能在WindowsServer2022系统环境下部署额外域控制器。116在本任务中，将学习在WindowsServer2022平台上安装活动目录域服务，并将服务器提升为额外域控制器。117118一、额外域控制器额外域控制器（additionaldomaincontroller，ADC）又称为备份域控制器（backupdomaincontroller，BDC），是指在WindowsServer网络环境中增设的域控制器，它并非域中的主要域控制器（primarydomaincontroller，PDC）或关键域控制器，而是扮演着域内辅助角色的存在。二、只读域控制器只读域控制器（r