搭建网络服务

第7章搭建网络效劳本章主要内容7.1网络效劳概述 7.1.1网络操作系统 7.1.2域控制器 7.1.3DNS效劳 7.1.4DHCP效劳 7.1.5WINS效劳7.2网络效劳器的配置与使用 7.2.1配置效劳器 7.2.2创立与管理用户 7.2.3创立和管理组本章主要内容〔续〕7.3从工作站登录到效劳器的方法 配置客户端网络 7.3.2将客户端参加活动目录7.4网络资源共享的方法 7.4.1共享资源的方法 7.4.2共享打印机的方法习题与思考题七7.1网络效劳概述7.1.1网络操作系统网络操作系统的英文缩写为NOS〔NetworkOperatingSystem〕，是使网络上各计算机方便而有效地共享网络资源，为网络用户提供所需的各种效劳软件和有关规程的集合。网络操作系统除了具有通常操作系统所具有的处理机管理、存储器管理、设备管理和文件管理功能外，还应具有两种功能，即提供高效、可靠的网络通信能力和提供多种网络效劳功能，如远程作业录入并进行处理的效劳功能，文件传输效劳功能，电子邮件效劳功能，远程打印效劳功能。一个典型的网络操作系统一般具有以下特征：〔1〕硬件独立。〔2〕多用户支持。〔3〕网络管理。〔4〕平安和存取控制。〔5〕用户界面。〔6〕桥/路由连接。图7-1网络操作系统管理的资源网络打印机路由器效劳器网络操作系统

〔NOS〕硬件远程文件

系统RAM小型机大型机7.1.2域控制器1．ActiveDirectoryActiveDirectory〔活动目录，可简称为AD〕是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录效劳。ActiveDirectory可以存储各种对象的有关信息，并使该信息易于管理员和用户查找及使用，它使用结构化的数据存储作为目录信息的逻辑层次结构的根底，同时将平安性集成到ActiveDirectory中，通过网络登录，系统管理员能够管理整个网络中的目录数据和单位，而且获得授权的网络用户也可以访问网络上的任何地方的资源。ActiveDirectory包括两个方面：目录和与目录相关的效劳。ActiveDirectory的功能很多，在此仅把它的主要功能列举如下：〔1〕简化管理。〔2〕增强信息的平安性。〔3〕智能的信息复制能力。〔4〕与DNS集成紧密。〔5〕灵活的查询功能。2．域域是由集中共享的帐户数据管理的用户和计算机的逻辑组。域和ActiveDirectory是密切相关的两个概念。从域的角度来看，ActiveDirectory是由至少一个域构成的集合；从ActiveDirectory的角度看，域是ActiveDirectory的分区单位。在域中，帐户数据库位于中央效劳器，该效劳器称做“域控制器”，处理所有登录要求、资源认证和管理任务。帐户管理通过域控制器中存储的中心帐户数据库来完成。当一个用户的帐户在域控制器中创立后，他便可使用网络中的任何一项被授权的资源。3．域控制器在WindowsServer2003的网络环境中，各域必须至少有一台域控制器〔DomainController，简写为DC〕，存储此域中的ActiveDirectory信息，并提供域的相关效劳，例如，登录验证、名称解析等。换言之，没有域控制器，就没有所谓的域。在域中，可以同时存在多台域控制器，各域控制器都处于平等关系。设置多台域控制器主要是为了提高域的容错能力.7.1.3DNS效劳DNS效劳器几乎是所有域网络中除了域控制器以外最重要的效劳器角色，因为它担负着整个网络中用户计算机的名称解析。没有正确的名称解析，效劳器就无法识别各客户机，客户机也无法与网络进行连接，更别说进行文件访问。早期的Internet规模较小，主机名字管理由Internet的网络信息中心NIC集中完成，采用一种无层次名字命名机制。InternetNIC维护一个名为hosts.txt的文件，该文件中包含了所有主机的信息及每台主机名字到IP地址的映射，NIC根据网络的变化不断改动文件hosts.txt，并定期向全网传递。随着Internet的规模不断扩大，网络节点不断增加，主机命名冲突的可能性不断增加，保持主机命名的唯一性变得越来越困难。为了解决这个问题，Internet管理机构提出了一个新系统的设计思想，并于1984年公布，这就是域名系统DNS。DNS采用了层次化、分布式、面向客户机/效劳器模式的名字管理来代替原来的集中管理，并允许命名管理者在较低的结构层次上管理他们自己的名字。这样就可以把名称空间划分得足够小，由不同的组织进行分散管理，使名字管理更加灵活、方便。DNS的分层管理机制使它形成了一个规那么的树型结构的名字空间，如图7-2所示。图7-2Internet的域名结构示意图rootgoveducomcn……ibmmitmiccomedunjjventdc顶级域名如表7-1所示，它有两种主要模式：组织模式和地域模式。组织模式域名含义地域模式域名含义com商业机构cn中国edu教育机构ca加拿大gov政府部门us美国mil军事部门jp日本net主要网络支持中心uk英国org非商业组织hk中国香港arpa临时arpanet域（未用）tw中国台湾int国际组织ru俄罗斯域名解析有两个方向：从主机域名到IP地址的正向解析；从IP地址到主机域名的反向解析。域名的解析是由一系列的域名效劳器DNS完成的，如图7-3所示。…comabcxyzabcxy因特网uvwxyz.com顶级域名服务器本地域名服务器

授权域名服务器树根.edu顶级域名服务器y…本地域名服务器

授权域名服务器

本地域名服务器

授权域名服务器

②③④⑤⑥⑦⑧

①的IP地址是什么？…edu1．DNS的名称空间规划在网络上开始使用DNS之前，请先确定DNS域名称空间的规划。提知名称空间规划包括决定如何使用DNS命名，以及通过使用DNS要到达什么目的。在这一阶段要解决以下问题：〔1〕选择第一个DNS域名。配置DNS效劳器时，建议首先选择和注册一个可用于维护Intranet或者Internet上单位的唯一的DNS域名，例如microsoft。该名称是在Intranet或者Internet上使用的一个顶级域内的二级域。一旦选择了父域名，就可以将该名称与单位内使用的位置或单位名称组合起来形成其他子域名。例如，如果添加了子域，如itg.example〔针对单位的信息技术组使用的资源〕，那么可使用该名称组成附加的子域名。〔2〕选择名称。在DNS名称中，允许使用的字符在RFC1123中定义如下：所有大写字母〔A-Z〕、小写字母〔a-z〕、数字〔0-9〕和连字符〔-〕。对于以前投资使用NetBIOS技术的单位，现有的计算机名称可能不符合NetBIOS命名标准。如果出现这种情况，就考虑根据InternetDNS标准修改计算机名称。完整的计算机名称是计算机名和计算机的主要DNS后缀的结合。该计算机的DNS域名是计算机系统属性的一局部并且与任何特定安装的网络组件没有关系。但是，既不使用网络，也不使用TCP/IP的计算机没有DNS域名。〔3〕综合规划：支持多名称空间。在决定如何集成名称空间的过程中，确定下面的哪种方案最符合实际情况和使用DNS的目的。仅在自己的网络上使用的内部DNS名称空间。具有对外部名称空间引用和访问权限的内部DNS名称空间，例如，对Internet上DNS效劳器的引用或转发。只在诸如Internet的公用网络上使用的外部DNS名称空间。2．DNS的区域规划尽管DNS在设计上有利于减少本地子网之间的播送通信，但它在效劳器和客户端之间产生了一些应检查的通信量。在DNS用于路由网络的情况下，尤其会出现这种情况。要检查DNS通信，可以使用系统监视器提供的DNS效劳器统计信息或DNS性能计数器。除路由通信外，还需要考虑以下DNS相关通信的公用类型的影响，尤其在广域网上通过慢速链路操作时。〔1〕由与其他DNS效劳器进行的区域传送和其他DNS效劳器的互操作引起的效劳器到效劳器的通信。〔2〕由DNS客户端或DHCP效劳器发送的加载和动态更新引起的客户端到效劳器的通信。对于小型的平面式名称空间，可以使用网络中所有DNS区域到所有的DNS效劳器的完全复制功能。对于大型的纵深式名称空间，这是不可能的，也是不推荐的。在大型网络中，经常需要根据观察或估计到的通信模式研究、测试、分析和修正区域规那么。经过仔细的分析之后，可以根据为每个位置和站点提供高效和容错的名称效劳而需要的数据将DNS区域分区及委派DNS区域。3．DNS效劳器的规划对DNS效劳器进行规划时，以下考虑非常重要：进行容量规划，并检查效劳器的硬件要求。确定要使用的DNS效劳器的数量时，需要决定哪些效劳器将存放区域的主要副本和辅助副本。根据通信负载、复制和容错问题，确定在网络上放置DNS效劳器的位置。确定是对所有DNS效劳器仅使用运行WindowsServer2003的DNS效劳器，还是混合运行Windows和其他DNS效劳器系统。7.1.4DHCP效劳虽然DHCP效劳器不像DNS效劳器那样必不可少，但它在大中型企业网络中同样非常重要。它担负的是自动为网络中的端计算机分配临时IP地址的责任。这样一方面可以节省有限的IP地址资源，另一方面也大大减轻了网络配置负担。1．DHCP简介TCP/IP网络上的每台计算机都必须有唯一的IP地址。IP地址〔及与之相关的子网掩码〕用来标识主机及其连接的子网，在将计算机移动到不同的子网时，必须更改IP地址。DHCP允许通过本地网络上的DHCP效劳器IP地址数据库为客户端动态指派IP地址。对于基于TCP/IP的网络，DHCP降低了重新配置计算机的难度，减少了涉及的管理工作量。WindowsServer2003提供了一种符合RFC的DHCP效劳，该效劳可用于管理网络上的IP客户端配置及自动完成IP地址指派。DHCP使用客户/效劳器模型。网络管理员建立一个或多个维护TCP/IP配置信息并将其提供给客户端的DHCP效劳器。效劳器数据库包含以下信息：网络上所有客户端的有效配置参数。在指派到客户端的地址池中维护的有效IP地址，以及用于手动指派的保存地址。效劳器提供的租约持续时间。租约定义了指派的IP地址可以使用的时间长度。通过在网络上安装和配置DHCP效劳器，DHCP的客户端可在每次启动并参加网络时动态地获得其IP地址和相关配置参数。DHCP效劳器以地址租约的形式将该配置提供给发出请求的客户端。DHCP的工作原理如图7-4所示。DHCP为管理基于TCP/IP的网络提供了以下好处：〔1〕提供了平安而可靠的配置。〔2〕减少了配置管理。2．规划DHCP网络〔1〕确定要使用的DHCP效劳器的数目。在确定要使用的DHCP效劳器数目时，最主要的考虑因素是网络体系结构和效劳器硬件。〔2〕路由DHCP网络的规划。在路由网络中，一个DHCP效劳器必须至少位于一个子网中。为了使DHCP效劳器能支持其他被路由器分开的远程子网上的客户端，必须使用路由器或远程计算机作为DHCP和BOOTP中继代理程序以支持子网之间DHCP通信。图7-5由DHCP实现的简单路由网络7.1.5WINS效劳WINS效劳为注册和查询网络上计算机和用户组NetBIOS名称的动态映射提供了分布式数据库。WINS将NetBIOS名称映射为IP地址，并设计为解决路由环境的NetBIOS名称解析中所出现的问题。WINS对于使用TCP/IP上的NetBIOS路由网络中的NetBIOS名称解析是最正确选择。通过WINS效劳，可减少使用NetBIOS名称解析的本地IP播送，并允许用户很容易地定位远程网络上的系统，这就是WINS效劳的最根本作用，也是WINS效劳之所以在至今最新的Windows操作系统中仍不可或缺的根本原因。1．WINS解析〔1〕名称注册〔2〕名称更新。〔3〕名称查询。〔4〕名称释放。2．WINS网络规划在进行WINS网络规划时，要进行如下规划任务：〔1〕决定需要的WINS效劳器的数量。〔2〕方案复制伙伴关系。〔3〕评价低速链接上的WINS通信影响。〔4〕评价WINS网络的容错级别。〔5〕测试并修改方案的WINS安装。7.2网络效劳器的配置与使用这里以WindowsServer2003操作系统为例来讲解网络效劳器的配置与使用方法。下面从网络效劳器的配置开始讲起。7.2.1配置效劳器在安装WindowsServer2003后，开机时会自动运行“管理您的效劳器”对话框，单击其中任何一项，开始运行效劳器配置向导进行配置。具体步骤如下：〔1〕运行配置效劳器向导，如图7-6所示。〔2〕单击“下一步”按钮，提示配置前应做好的准备工作，如图7-7所示。〔3〕确认所需准备工作已做好，单击“下一步”按钮，检测网络设置。〔4〕检测完网络设置，显示如图7-8所示的对话框。由于刚安装完WindowsServer2003，还未安装任何效劳器角色，因此这里选择“第一台效劳器的典型配置”。选择此项，可以通过安装活动目录效劳以及域名解析效劳器DNS和DHCP效劳器将此效劳器设为域控制器。之后单击“下一步”按钮。〔5〕翻开如图7-9所示的对话框。域是WindowsServer2003目录效劳的根本逻辑单位，因此，这里需要输入一个新的域名。这里域名通过DNS名称识别，默认使用.local后缀，使自己的内部域与Internet域分开。之后单击“下一步”按钮。〔6〕运行非Windows2000、WindowsXP和WindowsServer2003的客户端需要使用NetBIOS域名。DNS自动生成一个域名，可以更改。这里的域名不可以与上面新建的DNS域名相同，而且区分大小写。如图7-10所示，这里的DNS的wfu与NetBIOS的WFU为不同的域名。单击“下一步”按钮。〔7〕在效劳器收到不能解析的地址时，可以向另一台效劳器设置转发，只要设置转发的IP地址即可，如图7-11所示。单击“下一步”按钮。〔8〕如图7-2所示，向导会提示前面做过的选择结果，并要求确认。〔9〕确认选择后，等待向导添加角色到效劳器。安装过程中可能会重启机器，以及需要插入WindowsServer2003的安装光盘，如图7-13至图7-15所示。〔10〕安装ActiveDirectory和DNS，如图7-16和图7-17所示。〔11〕等到所选效劳配置好时，单击“完成”按钮，结束安装，退出配置向导，如图7-18所示。至此，已经完成了对效劳器的根本配置：安装了DHCP效劳器，安装了活动目录，并进行了相关的配置，如指定为域控制器，指定域名为wfu.local等，同时安装了DNS效劳器，设置了不能解析地址的转发效劳器地址。并设置了当遇在本地DNS效劳器上不设置了7.2.2创立与管理用户用户帐户是活动目录最根本的对象，也是登录网络和访问网络资源的根底。用户必须拥有一个域的用户帐户才能访问域资源。管理员的主要任务就是创立和管理帐户。在网络中没有域的情况下，用户使用本机帐户登录计算机，可以使用和管理本地计算机的资源。当用户需要访问网络中其他计算机的资源时，必须提供本地帐户。当网络中存在域时，想要访问网络中的资源，用户就不能使用本地帐户，必须使用域帐户登录。在域控制器中，本地帐户是被禁止的，取而代之的是域帐户。当有新的用户需要访问网络上的资源时，管理员必须在域控制器上为其创立一个对应的用户帐户，否那么该用户将无法访问域中的资源。创立用户帐户采用如下步骤：〔1〕翻开“开始”→“所有程序”→“管理工具”→“ActiveDirectory用户和计算机”控制台，在任意目录上右击，选择“新建”→“用户”命令，执行新增用户帐户功能，如图7-19所示。〔2〕在弹出的对话框中，输入用户信息。这里的用户登录名是作为登录和验证用，如果这个帐户需要在Windows2000以前版本中使用，必须提供对应的名称，如图7-20所示。〔3〕单击“下一步”按钮，输入用户的密码并设置密码选项。密码必须重复输入以确认，选项包括用户下次登录时须更改密码、用户不能更改密码、密码永不过期和帐户已禁用等，如图7-21所示。〔4〕最后完成设置并查看设置选项，单击“完成”按钮即可创立这个帐户，如图7-22所示。新增用户以后，其帐户的很多属性都使用系统默认值或空白，系统管理员或帐户管理员需要为这个用户帐户设置各种属性，包括常规、帐户、隶属于等属性。在用户帐户上右击，在弹出的菜单中选择“属性”命令，可以查看及设置相关选项。在“常规”选项卡可以设置与帐户有关的一些描述性信息，包括姓、名、显示名称、描述、办公室、号码、电子邮件和网页等，如图7-23所示。在“帐户”选项卡中可以修改用户的登录名称和Windows2000以前版本的登录名称，还可以限制这个帐户的登录时间和登录到的计算机，如图7-24所示。此外，在“帐户选项”中可以设置密码和帐户过期时间，“帐户过期”可以限制帐户的有效使用期限。7.2.3创立和管理组组帐户是ActiveDirectory的根本对象之一，组可以方便地帮助活动目录组织用户帐户和赋予用户访问资源的权限。WindowsServer2003内置了很多组并默认设置了相应的计算机管理的权限。如果内置的组不能满足特殊平安和灵活性的需要，那么必须根据网络具体情况新增一些组并设置其属性。翻开“ActiveDirectory用户和计算机”控制台后，在任意目录右击，执行“新建组”命令，如图7-26所示。在翻开的“新建对象－组”对话框中，指定组名和Windows2000以前版本的组名称，并且指定组作用域和组类型，然后单击“确定”按钮创立组帐户，如图7-27所示。这里，ActiveDirectory的组作用域可分为三种。本地域：只能在本域中使用，用于赋予访问资源权限或组织用户帐户。全局：只有域的功能级别为WindowsServer2003才能使用的一种组。可以在整个ActiveDirectory中使用，用于组织用户帐户。通用：可以在本域或信任域之间使用，用于组织用户帐户。PLGA策略在ActiveDirectory中，单域的情况下通常是使用PLGA策略〔P代表权限，L代表域区域组；G代表通用组；A代表用户帐户〕，也就是将用户帐户参加通用组中，然后将通用组参加到域区域组，再将访问资源的权限赋予域区域组，这样用户就可以访问资源了。在多个域的情况下通常使用PLGGA策略，就是将第一个域的用户帐户参加本域的通用组中，然后将这个组参加第二个域的通用组中，再在第二个域中将该通用组参加域区域组，最后将访问资源的权限赋予域区域组，这样第一个域用户就可以访问第二个域的资源了。根据组类型，ActiveDirectory中的组可以分为两种。平安组：平安组可以赋予其访问资源的权限，这是WindowsServer2003最常使用的一种组，所有的内置组都是平安组。通讯组：主要作用是作为联系人，让协助软件〔如MicrosoftExchange2003〕可以使用这种组集中发送电子邮件，但是这种类型的组不能赋予访问资源的权限。7.3从工作站登录到效劳器的方法配置客户端网络要想从工作站登录到效劳器，使用效劳器上的资源，首先要保证网卡已正确安装，并安装了相关的协议。WindowsXP工作站可以在“本地连接属性”对话框中，选择“安装”按钮，通过添加“协议”来安装相关的协议。如图7-28和图7-29所示。另外，还要在工作站上安装“Microsoft网络客户”，方法同上，只是在单击选择要安装的网络组件类型时，选择“客户端”即可。安装完成后，单击“Microsoft网络客户端”，选择“属性”按钮，再选择登录区域。要想正确登录效劳器，还需要有对应的帐户和密码。其他系统的工作站设置大致相同。7.3.2将客户端参加活动目录在客户端完成网络配置后，就可以将客户端参加到相应的域。右击“我的电脑”，选择“属性”命令，在翻开的对话框中选择“计算机名”选项卡，如图7-30所示。单击“更改”按钮，将此计算机参加到域中，如图7-31所示。在“隶属于”选项组中选择“域”，并输入域名，单击“确定”按钮即可。客户端安装及配置完成后，就可以以域用户的身份登录网络并使用网络中的资源。7.4网络资源共享的方法7.4.1共享资源的方法在企业网络中最根底最常见的应用就是共享文件和打印机。前面已经讲过文件的共享，即通过将文件夹设为共享，并赋予其他用户一定的访问权限来实现。除此之外，使用域用户帐户登录到域中，就可以访问网络中的任何资源。虽然企业的电子化程度越来越高，但对打印效劳的要求不降反升。WindowsServer2003支持功能强大的打印效劳，可以使企业的打印机资源尽可能地得到利用。下面来看如何共享打印机。7.4.2共享打印机的方法要想共享打印机，在效劳器中必须安装并配置好打印机，客户端也需要做相应的设置。1．安装打印机〔1〕确保打印机与计算机连接正确，开启电源。选择“开始”→“打印机和”命令，在翻开的窗口中双击“添加打印机”项，翻开“添加打印机向导”对话框，如图7-32所示，单击“下一步”按钮，翻开如图7-33所示的对话框。〔2〕这里选择本地打印机，如果不想让计算机自动检测，可去除复选框中的对勾，并单击“下一步”按钮，翻开的对话框如图7-34所示。〔3〕指定打印机所连接到的端口，单击“下一步”按钮，翻开的对话框如图7-35所示。〔4〕选择打印机的厂商和型号，如果是非WindowsServer2003支持的打印机，那么单击“从磁盘安装”按钮，使用厂商提供的驱动程序安装，如图7-36所示。〔5〕安装驱动程序后要指定打印机名称，如图7-37所示，单击“下一步”按钮。〔6〕