WindowsServer系统配置管理项目化教程（WindowsServer2025）课件全套 简碧园 项目1-14 安装Windows Server 2025系统 - 部署信息中心虚拟化服务

项目1安装WindowsServer2025系统WindowsServer2025系统简介WindowsServer2025系统简介

WindowsServer2025是微软于2024年11月发布的全新服务器操作系统，专注于性能优化、安全性增强和现代化应用支持。其核心改进涵盖虚拟化、存储、网络、自动化管理等多个领域，旨在为企业提供更高效、更安全的IT基础设施解决方案。

虚拟化与存储性能飞跃Hyper-V可扩展性显著提升，支持更大规模的虚拟机部署；NVMe硬盘I/O性能优化，结合存储迁移服务改进，大幅降低数据迁移时间，满足高性能计算需求。

网络与安全管理全面升级新增网络ATC、HUD及SDN多站点功能，显著提升网络性能与灵活性；同时强化数据加密、恶意软件防御及备份优化，为企业提供全方位的信息保护。

应用兼容性与开发支持增强兼容传统应用程序的同时，深度优化对现代应用的支持，特别是针对最新.NET版本的适配，助力企业快速构建并部署云端与本地的现代化应用。WindowsServer2025版本解析

标准版适用场景WindowsServer2025Standard适用于小型环境，支持最多两个虚拟机，适合物理或轻量虚拟化部署，功能满足基础需求。

数据中心版核心优势WindowsServer2025Datacenter提供无限虚拟化支持，包含存储副本和软件定义网络等高级功能，专为大规模虚拟化设计。

版本选择的关键考量选择版本需根据虚拟化规模和功能需求，标准版经济高效，数据中心版则适合复杂企业级应用。

高级功能对比分析数据中心版独有网络控制器和存储空间直通等功能，显著提升多主机环境的灵活性与性能表现。WindowsServer2025系统最低配置要求处理器需求系统最低需要1.4GHz的64位处理器，确保基础性能满足运行条件，建议更高频率以优化体验。内存规格最低内存为1024MB，但桌面体验版本推荐2GB起步，实际部署中建议配置4GB以提升稳定性与效率。存储空间安装需预留至少32GB硬盘空间，用于系统文件存储及后续扩展需求，避免因空间不足导致问题。网络适配器要求需配备千兆速率以太网适配器，保障网络通信流畅性，尤其在高负载环境下表现更为关键。项目2管理信息中心的用户与组本地用户账户本地用户账户解析本地用户账户仅限于创建该账户的计算机登录，无法访问域内其他资源。每个账户通过安全标识符（SID）唯一标识，存储在本地SAM数据库中，确保系统资源的安全性与独立性。本地账户特性01安全账户管理器（SAM）位于系统盘“C:\Windows\system32\config\”目录下，负责管理本地账户数据。用户访问计算机时需通过SAM中的SID验证，保障本地资源的安全访问控制。SAM数据库作用02本地账户的使用范围严格受限于本机，无法跨设备访问域资源。这种设计强化了单机环境的安全性，但限制了网络化协作场景下的灵活性与扩展性。登录权限限制03内置账户内置账户01WindowsServer2025系统中还有一种账户叫作内置账户，它与服务器的工作模式无关。当WindowsServer2025系统安装完毕后，会在服务器上自动创建一些内置账户，Administrator（系统管理员）和Guest（来宾）是其中最重要的两个。02Administrator：拥有最高的权限，管理着WindowsServer2025系统和域。系统管理员账户的默认名字是Administrator，系统管理员账户的名字可以被更改，但该账户不能被删除。该账户可以被永久禁用，且不受登录时间和登录计算机的限制。03Guest：为临时访问计算机而设置的账户。该账户由系统自动生成，可以更改名字，但不能被删除，默认情况下，该账户被禁用。Guest账户只有很小的权限，例如，当临时的工作人员需要登录公司的计算机时，可以提供Guest账户给该工作人员使用，而不需要单独建立一个新的账户。组的概念组的概念为了简化用户账户的管理工作，WindowsServer2025系统提供了组的概念。组是指具有相同或者相似特性的用户集合，当要给一批用户分配同一个权限时，就可以将这些用户归到一个组中，只要给这个组分配此权限，组内的用户就都会拥有此权限。例如，一个班级或一个部门就相当于一个组，班级里的学生或部门里的成员就是用户。同一个班级的学生可能需要访问很多相同的资源，这时不用逐个向该班级的学生授予对这些资源的访问权限，而可以将这些学生归到同一个组中，从而使这些学生自动获得该组的权限。如果某个学生要退学或转专业，只需将该学生从组中删除，其所拥有的所有访问权限就会随之撤销。与逐个撤销该学生对各类资源的访问权限相比，这种方式实现起来更方便，大大减少了管理员的工作量。在WindowsServer2025系统中，用组账户来表示组，用户只能通过用户账户登录计算机，而不能通过组账户登录计算机。内置本地组内置本地组Administrators：在系统内具有最高权限，可赋予权限、添加系统组件、升级系统、配置系统参数、配置安全信息等。内置的系统管理员账户是Administrators组的成员，而且无法将其从此组中删除。如果将这台计算机加入域中，则域管理员自动加入该组，并且拥有系统管理员的权限。Administrators组中的成员都具备系统管理员的权限，拥有对这台计算机最大的控制权。Guests：内置的Guest账户是该组的成员，一般被用于在域中或计算机中没有固定账户的用户临时访问域或计算机。默认情况下不允许Guest账户对域或计算机中的设置和资源做出更改，且出于安全考虑，Guest账户在WindowsServer2025系统安装好之后是被禁用的，如果需要可以手动启用。应该注意分配给Guest账户的权限，因为其是黑客攻击的主要对象。内置本地组是在系统安装时默认创建的，并被授予特定权限以便于管理计算机，常见的内置本地组有下面几个。内置本地组IS_IUSRS：这是互联网信息服务（InternetInformationService，IIS）使用的内置组。Users：一般用户所在的组，所有创建的本地账户都默认属于此组。Users组的权限受到很大的限制，只有基本的系统权限，如可以运行程序、使用网络，但不能关闭WindowsServer2025系统，不能创建共享目录和使用本地打印机。如果这台计算机加入域，则域用户自动加入该组。NetworkConfigurationOperators：该组的成员可以更改TCP/IP设置，并且可以更新和发布TCP/IP地址。该组没有默认的成员。内置特殊组内置特殊组Everyone：包括所有访问该计算机的用户账户。如果为Everyone组指定了权限，那么在启用Guest账户时一定要小心，系统会将没有有效账户的用户当成Guest账户，Guest账户会自动得到Everyone组的权限。除了以上所述的内置本地组以外，还有一些内置特殊组，他们存在于每一台装有WindowsServer2025系统的计算机内。用户无法更改内置特殊组的成员，也就是说，无法在“ActiveDirectory用户和计算机”或“本地用户与组”内看到并管理这些组。用户只有在设置权限时才能看到这些组，以下列出3个常用的内置特殊组。内置特殊组CreatorOwner：文件等资源的创建者就是该资源的CreatorOwner。不过，如果创建者是Administrators组内的成员，则资源的CreatorOwner为Administrators组。Hyper-VAdministrators：一般来说，都是系统管理员进行虚拟机设置，但是有时候也需要一些受限用户（也就是普通用户）操作虚拟机。默认情况下，普通用户没有虚拟机管理权限，可以通过添加用户（aaa）或添加Hyper-V管理员组（Hyper-VAdministrators组，简称HVA组）的方式，将普通用户添加为Hyper-V管理员。项目3管理信息中心服务器的本地磁盘磁盘分区表磁盘分区表解析MBR分区表采用64字节存储分区信息，每个分区占用16字节，因此仅支持最多4个主分区。若需更多分区，则必须创建扩展分区，并在其内部划分逻辑分区。这种机制限制了磁盘的灵活性，尤其在现代大容量存储设备中显得不足。此外，MBR分区表最大支持2TB磁盘容量，超过此范围将无法正常使用，这成为其主要缺陷之一。MBR分区限制全局唯一标识符分区表（GPT）突破了MBR的诸多限制。GPT支持高达128个主分区，且理论上无容量上限，兼容现代大容量硬盘。同时，GPT采用冗余设计，分区表信息存储在磁盘开头和结尾，增强了数据安全性。对于需要高效管理和高可靠性的场景，GPT成为更优选择。GPT分区优势MBR与GPT在分区结构上有显著差异。MBR依赖单一分区表，易受损坏影响；而GPT通过冗余存储提升可靠性。此外，GPT支持GUID标识分区，避免冲突，适合多系统环境。然而，MBR仍广泛应用于老旧系统，因其兼容性更强，特别是在不支持UEFI引导的设备上表现稳定。分区结构对比MBR分区方案的容量限制问题MBR分区的核心瓶颈MBR分区表使用4字节存储总扇区数，最多支持2^32个扇区。按每扇区512字节计算，单个分区最大容量被限制在2TB以内。对于现代大容量磁盘，这一限制导致超过2TB的部分无法被识别或使用，因此MBR已逐渐无法满足需求。GPT分区的优势对比与MBR不同，GPT分区采用64位寻址，理论上支持高达9.4ZB的磁盘容量。此外，GPT还提供冗余备份和更强的数据完整性保护，使其成为替代MBR的理想选择，尤其适用于大容量存储设备。解决方案与升级建议对于超过2TB的磁盘，建议采用GPT分区方案以突破容量限制。升级前需注意，GPT兼容性要求系统支持UEFI启动模式，且转换过程可能导致数据丢失，因此务必提前备份重要数据。图3-1

主分区、扩展分区与逻辑分区GPT磁盘的核心优势支持超大容量存储GPT磁盘突破传统限制，支持超过2TB的大容量存储，满足现代数据增长需求。分区数量显著提升每块GPT磁盘最多可创建128个分区，支持18PB,远超MBR磁盘的4个主分区限制，提供更灵活的磁盘管理方案。数据安全性增强分区表自带备份机制，在磁盘首尾各保存一份相同分区表，即使一份损坏也能快速恢复，确保数据安全。分区命名功能每个分区支持独立命名（不同于卷标），便于用户清晰标识和管理多个分区内容。磁盘配置类型磁盘配置类型011．基本磁盘在Windows操作系统中，磁盘默认为基本磁盘。在基本磁盘下划分的分区称为主分区（MBR分区表下还有扩展分区和逻辑分区），基本磁盘不能跨磁盘分区，并且要求分区必须是连续的空间，因此，每个分区的容量最大只能是单个磁盘的最大容量。人们平时使用的磁盘一般都是基本磁盘。022．动态磁盘动态磁盘没有分区的概念，它以“卷”命名。卷和分区差别很大：同一分区只能存在于一个物理磁盘上，而同一个卷却可以跨越多达32个物理磁盘。基于此，服务器可以拥有大容量存储的卷（跨区卷），这是非常实用的功能。卷还可以提供多种卷集（Volume），卷集分为简单卷、跨区卷、带区卷、镜像卷、RAID5卷。根据使用方式，磁盘可以分为两类：基本磁盘和动态磁盘。基本磁盘与动态磁盘对比动态磁盘具备更强的容错能力，其配置信息存储在磁盘中并可复制到其他动态磁盘，确保RAID系统中数据的可靠性。而基本磁盘将配置信息存放在引导区，缺乏容错机制，一旦引导区损坏可能导致数据丢失。此外，动态磁盘支持在线调整容量，而基本磁盘需借助第三方工具才能实现类似操作。容错与配置优势动态磁盘支持无限制卷集创建，突破了基本磁盘（MBR分区表）最多4个主分区的限制。这一特性使得动态磁盘在复杂存储环境中更具灵活性，尤其适合需要划分多个逻辑分区的场景。相比之下，基本磁盘的分区数量限制可能导致存储规划受限，需借助扩展分区等方式间接实现更多分区需求。卷集数量差异动态磁盘允许跨磁盘创建非邻接分区的卷集，将多个磁盘的空间整合为一个逻辑卷，从而突破单个磁盘容量限制。而基本磁盘要求分区必须连续且无法跨磁盘，导致其存取性能仅限于单个磁盘的能力。这种差异使动态磁盘在大规模数据存储和管理中表现更优。空间管理能力磁盘容量大小管理动态磁盘允许在不重新启动机器的情况下调整容量大小，而且不会丢失和损坏已有的数据。而基本磁盘的分区一旦创建，就无法更改容量大小，除非借助第三方磁盘工具软件，例如PQMagic。卷集卷集卷集主要用于将多个磁盘整合为一个统一的逻辑存储单元，以实现更灵活、高效的存储资源管理。它并非直接对磁盘进行操作，而是将分散的磁盘“虚拟”组合成一个或多个逻辑卷，用户在使用时无需关注底层物理设备的数量、型号或位置，只需与逻辑卷交互即可。卷集根据工作模式分为简单卷、跨区卷、带区卷、镜像卷和RAID-5卷等。1．简单卷简单卷是动态磁盘中的一个独立单元，它由一块磁盘的一个连续存储单元构成。扩展相同磁盘的简单卷后，该卷仍然为简单卷，且可以继续进行扩展、镜像等操作。简单卷结构示意图如图3-2所示。图3-2

简单卷结构示意图跨区卷存储特性与管理跨区卷基本原理跨区卷由多个物理磁盘空间组成，用于扩展存储容量。数据按顺序填满一个磁盘后再写入下一个，无法提升读写性能，但能整合未分配空间形成逻辑连续存储。管理限制与操作创建跨区卷后，无法单独删除其部分磁盘空间，只能通过删除整个卷来释放空间。系统管理员可通过扩展卷将简单卷升级为跨区卷以满足扩容需求。实际应用场景跨区卷适合需要大容量存储但对性能要求不高的场景，例如归档数据或备份存储，能够有效利用多磁盘的未分配空间实现容量最大化。图3-3

跨区卷结构示意图__________带区卷的核心特性与应用场景3．带区卷带区卷（RAID0）是由两个或两个以上物理磁盘的等容量可用空间组成的一个逻辑卷。系统在带区卷上读写时，会均衡地同时在多个磁盘上进行读写数据操作，从而提高了卷的I/O性能。但是，如果其中一个磁盘出现故障，将导致整个带区卷不可用。带区卷结构示意图如图3-4所示。因此，带区卷主要用于对磁盘读写速率要求较高且需要大容量存储空间的场合，如视频监控服务、视频点播服务等。图3-4

带区卷结构示意图数据安全的保障：镜像卷技术解析镜像卷的核心原理镜像卷（RAID1）通过两个物理磁盘同步存储相同数据，形成逻辑卷，具备强大的容错能力。即使一个磁盘故障，数据仍可从另一磁盘读取，确保业务连续性。其结构简单但高效，特别适用于对数据安全性要求极高的场景，如金融系统或医疗数据库。性能特点与优势镜像卷写入性能与简单卷相当，但读取性能显著提升，因其支持同时从两块磁盘读取数据。这种特性不仅提高了效率，还增强了系统的可靠性，是关键业务环境中数据存储的理想选择。应用场景与价值在需要高数据安全性的场景中，镜像卷展现其独特价值。例如，企业核心数据库、在线交易系统等均依赖镜像卷实现数据冗余与快速恢复。它为业务稳定运行提供了坚实保障，有效降低因硬件故障导致的数据丢失风险。图3-5

镜像卷结构示意图RAID5卷集特性RAID-5卷是由3个或3个以上物理磁盘的等容量可用空间组成的一个逻辑卷，它将数据分成大小相同的数据块，均匀保存到各磁盘中。同时，为实现容错性，它按特定的规则把用于奇偶校验的冗余信息也均匀保存到各磁盘中。这些校验数据是由被保存的数据通过计算得来的，当一个磁盘损坏或部分数据丢失时，可以通过剩余数据和校验信息来恢复丢失的数据。因此，RAID-5卷可确保在其中一个磁盘发生故障时，保存的数据仍可以被读取。RAID-5卷的核心特性与应用场景

数据写入的代价RAID-5卷在写入数据时需计算奇偶校验信息，导致写入速率较简单卷稍慢，但这一机制确保了数据冗余和可靠性。

高效的读取性能读取数据时，RAID-5卷可同时从多个磁盘读取数据，显著提升读取性能，尤其适合高并发访问场景。

存储成本与利用率相较于镜像卷，RAID-5卷在磁盘利用率和存储成本上表现更优，是目前应用最广泛的存储方案之一。

广泛适用的应用场景凭借其均衡的性能与成本优势，RAID-5卷适用于数据库、文件服务器及虚拟化环境等多种业务需求。图3-6

RAID-5卷结构示意图文件系统文件系统在Windows操作系统中，文件系统是用于命名、存储、组织文件的综合结构。WindowsServer2025系统主要支持FAT、NTFS和ReFS这3种类型的文件系统。FATFAT（FileAllocationTable）是“文件分配表”的意思。顾名思义，就是用来记录文件所在位置的表格。FAT又分为FAT16、FAT32和exFAT（ExtendedFileAllocationTableFileSystem）。exFAT也是目前最为广泛使用的FAT文件系统。多用于移动存储设备（如SD卡和USB闪存驱动器），旨在为这些移动存储设备提供更好的性能、兼容性和可靠性。FAT32与exFAT文件系统对比

FAT32分区格式支持最大2TB硬盘，但单文件大小限制为4GB，且易产生磁盘碎片。由于性能问题，已逐渐被NTFS取代，仅在小容量U盘中仍有应用，适用场景有限。01FAT32的局限性

exFAT支持128PB大分区和超大单文件，兼容Windows、macOS、Linux等多平台，无需额外驱动即可原生读写，适合跨平台数据共享，是现代大容量存储设备的理想选择。02exFAT的优势

随着存储需求增长，exFAT因高性能和跨平台特性成为主流，而FAT32仅适用于特定场景。选择合适文件系统需综合考虑设备用途和兼容性要求。03文件系统的未来趋势文件系统2．NTFSNTFS（NewTechnologyFileSystem，新技术文件系统）是一种能够提供各种FAT版本所不具备的性能，以及安全性、可靠性与先进特性的高级文件系统。例如，NTFS可通过标准事务日志功能与恢复技术确保卷的一致性，即如果系统出现故障，NTFS能够使用日志文件与检查点信息来恢复文件系统的一致性；NTFS可为共享资源、文件夹及文件设置访问许可权限；NTFS还可使用磁盘配额对用户使用磁盘空间进行管理等。NTFS还提供了安全性和在所有FAT版本中没有的高级功能。例如为共享资源、文件夹以及文件设置访问许可权限；使用磁盘配额对用户使用磁盘空间进行管理等。NFTS文件系统下，最大支持256TB的分区大小，支持单文件大小最大为256TB。文件系统ReFS（ResilientFileSystem，弹性文件系统）是新引入的一种文件系统，目前只能应用于存储数据，还不能引导系统，并且在移动媒介上也无法使用。01ReFS与NTFS大部分是兼容的，其主要目的是保持较高的稳定性，可以自动验证数据是否损坏，并尽力恢复数据。如果和引入的存储空间（StorageSpaces）联合使用，则可以提供更佳的数据防护，同时针对大文件的处理性能也有所提升。023．ReFS项目4部署业务部局域网以太网以太网以太网最早由Xerox公司创建。1980年，DEC、lntel和Xerox这3家公司联合开发出以太网的统一标准。以太网是应用最为广泛的局域网，包括标准以太网（10Mbit/s）、快速以太网（100Mbit/s）、吉比特以太网（1Gbit/s）和10吉比特以太网（10Gbit/s），它们采用的是CSMA/CD访问控制法，都符合IEEE802.3标准。IEEE802.3标准规定了包括物理层的连线、电信号和介质访问层协议的内容。以太网是当前应用最普遍的局域网技术之一。20世纪末，快速以太网飞速发展，目前吉比特以太网甚至10吉比特以太网正在国际组织和企业的推动下不断拓展应用范围。Internet1．标准以太网标准以太网只有10Mbit/s的吞吐量，使用的是带有冲突检测的载波侦听多路访问（CSMA/CD）的访问控制方法。标准以太网可以使用粗同轴电缆、细同轴电缆、非屏蔽双绞线、屏蔽双绞线和光纤等多种传输介质进行连接，IEEE802.3标准为不同的传输介质制定了不同的物理层规范。常见的标准以太网所使用的规范如下。10Base-5：使用阻抗为50Ω的粗同轴电缆，也称粗缆以太网，最大网段长度为500m，基带传输，拓扑结构为总线型。10Base-2：使用阻抗为50Ω的细同轴电缆，也称细缆以太网，最大网段长度为185m，基带传输，拓扑结构为总线型。10Base-T：使用3类以上双绞线电缆，最大网段长度为100m，拓扑结构为星型。10Base-F：光纤传输，传输速率为10Mbit/s，拓扑结构为星型。随着网络的发展，传统的标准以太网已难以满足日益增长的网络带宽需求。1993年10月，GrandJunction公司推出了世界上第一台快速以太网集线器FastSwitch10／100和网络接口卡FastNIC100，快速以太网得以实现。而后在1995年3月，IEEE发布了IEEE802.3u100Base-T快速以太网（FastEthernet）标准。1快速以太网可以有效地保障用户在布线基础实施上的投资，它支持3、4、5类双绞线及光纤的连接，能有效地利用现有的设施。常见的快速以太网规范如下。22．快速以太网100Base-TX：一种使用5类以上双绞线的快速以太网。它使用两对双绞线，一对用于发送，一对用于接收数据，支持全双工的数据传输，信号频率为125MHz。它的最大网段长度为100m，拓扑结构为星型。3100Base-FX：一种使用光缆的快速以太网，可使用单模和多模光纤（62.5μm和125μm），多模光纤连接的最大距离为550m，单模光纤连接的最大距离为3000m。它支持全双工的数据传输，拓扑结构为星型。100Base-FX特别适合有电气干扰的环境、较大距离连接或高保密环境等场合下使用。4吉比特以太网提供1Gbit/s的通信带宽，继承了标准以太网和快速以太网的协议、帧格式及帧长，技术规范完全兼容。其平滑升级、易实施、高性价比和易管理的特点，使其成为园区网主干的理想选择。尤其值得注意的是，它支持“吉比特主干、百兆交换到桌面”的主流网络模式，适用于大中规模园区网，为高效数据传输提供了可靠保障。因此，无论是性能还是成本控制，吉比特以太网都展现了卓越的价值。3．吉比特以太网吉比特以太网技术有两个标准：IEEE802.3z和IEEE802.3ab。IEEE802.3z制定了光纤和短距离铜线连接方案的规范；IEEE802.3ab制定了5类双绞线上较长距离连接方案的规范。（1）IEEE802.3zIEEE802.3z定义了基于光纤和短距离铜线的全双工链路规范，实现了1000Mbit/s的传输速率。IEEE802.3z的吉比特以太网规范如下。1000Base-SX：传输介质为直径62.5μm或50μm的多模光纤，传输距离为220～550m。1000Base-LX：传输介质为直径9μm或10μm的单模光纤，传输距离为5000m。1000Base-CX：传输阻挠为150Ω的屏蔽双绞线（STP），传输距离为25m。1000Base-TX：传输介质为6类以上双绞线，用两对线发送，两对线接收，每对线支持500Mbit/s的单向数据速率，速率为1Gbit/s，最大线缆长度为100m。由于每对线缆本身不进行双向的传输，线缆之间的串扰就能大大降低。这种技术对网络的接口要求比较低，不需要非常复杂的电路设计，降低了网络接口的成本。但要达到1000Mbit/s的传输速率，要求带宽超过100MHz，所以要求使用6类以上双绞线两对线接收，两对线发送，网络设备无须回声消除技术，这只有6类或更高的布线系统才能支持。吉比特以太网的标准及定义（2）IEEE802.3abIEEE802.3ab定义了基于5类UTP的1000Base-T规范，其目的是在5类UTP上实现1000Mbit/s的传输速率。IEEE802.3ab标准的意义主要有以下两点。保护用户在5类UTP布线系统上的投资。1000Base-T是100Base-T的自然扩展，与10Base-T、100Base-T完全兼容。不过，在5类UTP上达到1000Mbit/s的传输速率需要解决5类UTP的串扰和衰减问题。IEEE802.3ab的吉比特以太网规范为1000Base-T。1000Base-T的传输介质为5类以上双绞线，用两对线发送，两对线接收，每对线支持250Mbit/s的双向数据速率（半双工），速率为1Gbit/s，最大线缆长度为100m。如果要全双工传输数据，则要求网络设备支持串扰/回声消除技术，并且布线系统必须为超5类以上。1000Base-T不支持8B/10B编码方式，而是采用更加复杂的编码方式。1000Base-T的优点是用户可以在原来100Base-T的基础上平滑升级到1000Base-T。10吉比特以太网标准与应用分类标准发展历程自2002年起，IEEE陆续发布多项10吉比特以太网标准，包括802.3ae、802.3ak、802.3an和802.3aq，这些规范逐步完善了技术框架并推动其在不同场景中的广泛应用。传输介质分类根据局域网中的实际需求，10吉比特以太网的规范可按传输介质分为铜缆和光纤两类，分别适用于短距离高密度连接与长距离高性能传输。技术复杂性挑战繁多的标准与规范为技术选型带来挑战，需结合带宽需求、成本预算及部署环境综合评估，以确保最佳方案落地。应用场景展望随着数据中心和云计算的快速发展，10吉比特以太网正成为核心网络架构的关键支撑，未来将进一步向更高速率演进以满足流量增长需求。10GBase-SR中的SR是ShortRange（短距离）的缩写，表示仅用于短距离连接。10GBase-SR10GBase-LRM中的LRM是LongReachMultimode（长距离延伸多点模式）的缩写，表示主要用于长距离的多点连接模式；它在连接长度方面不如10GBase-LX4，但是它的光纤模块比10GBase-LX4的光纤模块具有更低的成本和更低的电源消耗。10GBase-LRM10GBase-LR中的LR是LongRange（长距离）的缩写，表示主要用于长距离连接。10GBase-LR10GBase-ZR中的ZR是ZebestRange（最长距离）的缩写，表示连接距离最长，可达80km。10GBase-ZR10GBase-ER中的ER是ExtendedRange（超长距离）的缩写，表示连接距离可以非常长，有效传输距离为2m～40km。10GBase-ER10GBase-LX4规范在IEEE802.3ae标准中发布，使用多模或单模暗光纤，主要适用于需要在一个光纤模块中同时支持多模和单模光纤的环境。多模光纤传输距离为240m～300m，单模光纤10km以上。10GBase-LX4（1）基于

的局域网10吉比特以太网规范光纤（2）基于

的10吉比特以太网规范0110GBase-CX4：短距离高效连接10GBase-CX4采用屏蔽双绞线，传输距离仅15米，适用于数据中心内部设备间的短距离高速互联，结合XAUI接口与InfiniBand4X连接器，确保低延迟和高可靠性。02背板以太网：设备内部集成10GBase-KX4和10GBase-KR专为背板设计，支持刀片服务器、路由器等设备内部的高速通信，解决集群线路卡间的数据传输需求，显著提升设备整体性能。0310GBase-T：局域网革命性突破10GBase-T基于6类及以上双绞线，传输距离达100米，通过损耗消除、编码改进等技术克服高频损耗问题，实现局域网中经济高效的10吉比特传输。04技术创新推动铜线应用铜线在10吉比特以太网中的广泛应用得益于四大技术构件，包括模拟到数字转换与线缆增强，显著降低高频信号损耗，为局域网提供高性价比解决方案。双绞线（铜缆）IP与IP地址互联网协议核心IP协议定义互联网协议（IP）是Internet通信的基础，它规定了设备间数据传输的规则与格式。作为计算机的“共同语言”，IP确保不同硬件和操作系统能够无缝交互。其灵活性使其适用于各种网络环境，只要能传输二进制数据即可接入Internet。IP的核心功能包括信息格式标准化、特殊情境下的响应机制以及接收方的应答规则，从而实现高效可靠的数据交换。要在Internet中实现通信，每台设备必须运行IP软件以支持数据发送与接收。IP对底层硬件几乎没有限制，这使得无论是局域网还是广域网都能轻松接入。这种普适性让IP成为连接全球网络的关键协议，同时也为未来新型网络硬件的兼容提供了保障。任何希望加入Internet的设备，都需严格遵守IP协议的约定。通信基础要求IP通过定义明确的规则来管理数据包的传输路径与处理方式。例如，它规定了如何封装数据、如何路由以及如何确认接收。这些规则确保即使在网络条件复杂或硬件差异较大的情况下，信息仍能准确无误地送达目标设备。IP的这一特性使其成为现代互联网不可或缺的技术支柱。数据传输机制IP对于网络通信有着重要的意义：网络中的计算机通过安装IP软件，使许许多多的局域网组成了一个庞大而又严密的通信系统，从而使Internet看起来好像是真实存在的，但实际上它是一种并不存在的虚拟网络，只不过是利用IP把所有愿意接入Internet的局域网连接起来，使得它们彼此之间能够进行通信。IP意义IP地址及其分类IP地址定义IP地址是为每个接入Internet的主机分配的唯一通信标识，采用32位二进制值表示。IPv4是目前主流版本，本书内容默认基于IPv4协议进行讲解，确保全球网络设备间的互联互通。点分十进制为便于记忆，IP地址通常以点分十进制形式表示，将32位划分为4个8位组，每组用0～255的十进制数表示，并用“.”分隔，如。编址逻辑IP地址不仅标识主机，还包含网络与主机信息。通过子网掩码划分，可实现高效路由寻址和网络管理，支持复杂网络结构的构建与扩展。IP地址转换主机地址由网络号（netid）和主机号（hostid）两部分构成。网络号确定了该台主机所在的物理网络，它的分配必须全球唯一；主机号确定了在某一物理网络上的一台主机，它可由本地分配，不需要全球唯一。__________IP地址编址方法根据网络规模，IP地址分为A～E共5类，其中A、B、C类地址称为基本类，用于主机地址，大量IP地址都属于此类；D类地址用于多播地址；E类地址为保留地址，

用于研究，如图4-3所示。图4-3

IP地址编址方案A类地址A类地址适用于超大型网络，前8位为网络号，后24位为主机号。A类地址的特点如下。第1位为0。网络号的范围为～。子网掩码为。最大网络数为127个（1～126是可用的，127为测试使用的环回地址）。网络中的最大主机数为16777214（即224-2）个，减2的原因是去掉一个主机号全0的地址和主机号全1的地址。全0的主机地址表示该网络的地址，全1的主机地址表示该网络的广播地址。B类地址B类地址适用于中等规模的网络，前16位为网络号，后16位为主机号。B类地址的特点如下。前两位为10。网络号的范围为～。子网掩码为最大网络数为16384。网络中的最大主机数为65534（即216-2）个。C类地址C类地址适用于小规模的网络，前24位为网络号，后8位为主机号。C类地址的特点如下。

前3位为110。

网络号的范围为～。

子网掩码为

最大网络数为254。

网络中的最大主机数为254（即28-2）个。D类地址D类地址用于多播，多播就是同时把数据发送给一组主机，只有那些已经登记可以接收多播地址的主机才能接收多播数据包。D类地址的特点如下。

前4位为1110。

网络号的范围为～55。

子网掩码为55。（5）E类地址E类地址为保留地址，其特点如下。

前4位为1111。专用地址与特殊地址1.专用IP地址IP地址中,还存在3个地址段,它们仅在内部网中使用,不会被路由器转发到公网中。这些IP地址被称为专用IP地址(PrivateIPAddress)或者私有IP地址。假如一个内部网络也采用TCP/IP,那么对于内部的计算机也必须为其分配IP地址,也就是说,这些计算机的IP地址仅用于内部通信,而无须向互联网管理机构申请全球唯一的IP地址。这样处理可以节约大量的IP地址。为避免内部地址和全球地址相冲突,IP地址管理机构规定了下列地址仅用于内部通信而不作为全球地址。A类地址中的~55。B类地址中的~。C类地址中的~55。专用地址与特殊地址2．特殊IP地址除了以上介绍的各类IP地址外，还有一些特殊的IP地址，它们中有的不能用作设备的IP地址，也不能用于互联网，具体如下。（1）环回地址。127网段的所有地址都称为环回地址，主要用于测试网络协议是否正常工作。例如执行ping命令就可以测试本地TCP/IP是否已经正常加载。在系统内部，环回地址还可用于机器内进程间的通信。在Windows系统中，环回地址还称为localhost，127网段不允许出现在任何网络上。（2）。该地址用于表示默认路由，如果网络中设置了网关，系统就会自动产生一条目标地址为的默认路由。此外，还可以在IP数据包中用作源IP地址。例如在DHCP环境中，客户机启动时还没有IP地址，它在向DHCP服务器申请IP时，就可以把作为自己的IP地址，目标地址为55。专用地址与特殊地址2．特殊IP地址（3）55。该地址用于向局域网内所有主机通信，路由器会过滤这样的数据包，所以该地址仅用于局域网内部，如（2）中的示例。（4）主机号全为1的地址。全为1的主机地址称为多播地址，主机用这类地址将一个IP数据包发送到本地网络的所有设备上，通常路由器会过滤这类地址，但是允许通过配置，将该数据包发送到特定网络的主机上。多播地址只能用作目标地址。（5）主机号全为0的地址。全为0的主机地址称为网络地址，用于表示本地网络。（6）/16。如果局域网中没有部署DHCP服务，那么客户机在试图自动获取IP地址时会因没有响应而为自己随机分配一个该网段（/16）的IP地址，以用于与相同状况的客户机通信。如果网络中的主机的IP地址属于该网段，那么网络很可能出现了故障。除了专用IP地址和特殊IP地址外，其余的A、B、C类地址可以在互联网上使用，它们被称为公网IP地址（PublicIPAddress）。MAC地址与ARPMAC地址的核心特性与应用

MAC地址的定义与结构MAC地址是烧录在网卡中的48位物理地址，由十六进制数字组成（如00-1F-3B-43-CF-97），用于网络底层的物理传输识别，具有全球唯一性，如同设备的“身份证号码”。

MAC地址的分配机制以太网地址管理机构将48位地址划分为独立连续组，厂商购买后逐一赋值，确保每块网卡的MAC地址唯一且不可重复。

MAC地址的功能意义在数据链路层中，MAC地址用于主机间的直接通信，是设备在网络中被识别和定位的关键标识，保障了网络数据传输的准确性。

MAC地址的实际应用场景从局域网通信到设备管理，MAC地址广泛应用于网络配置、安全控制及流量追踪等领域，是现代网络基础设施的重要组成部分。2．ARPIP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们以48位以太网地址传输以太网数据包。因此，必须把IP目标地址转换成以太网目标地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它是通过地址解析协议获得的。ARP（AddressResolutionProtocol，地址解析协议）用于将网络中的IP地址解析为硬件地址（MAC地址），以保证通信的顺利进行。2．ARP（1）ARP报文结构

硬件类型：指明了发送方想知道的硬件接口类型，以太网的值为1。

协议类型：指明了发送方提供的高层协议类型，IP为0800（十六进制）。

硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用。

操作类型：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。

发送方的硬件地址（0～3字节）：源主机硬件地址的前4个字节。

源物理地址（4～5字节）：源主机硬件地址的后两个字节。

源IP地址（0～1字节）：源主机硬件地址的前两个字节。

源IP地址（2～3字节）：源主机硬件地址的后两个字节。

目标硬件地址（0～1字节）：目标主机硬件地址的前两个字节。

目标硬件地址（2～5字节）：目标主机硬件地址的后4个字节。

目标IP地址（0～3字节）：目标主机的IP地址。2．ARP（2）ARP的工作原理ARP工作流程如图4-5所示。①

每台主机都会在自己的ARP缓冲区（ARPCache）中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。

②

当源主机需要将一个数据包发送到目标主机时，会先检查自己的ARP列表中是否存在该IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目标主机对应的MAC地址。此ARP请求数据包包括源主机的IP地址、硬件地址，以及目标主机的IP地址。2．ARP③

网络中所有的主机收到这个ARP请求后，会检查数据包中的目标IP地址是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机就将发送端的MAC地址和IP地址添加到自己的ARP列表中。如果ARP表中已经存在该IP地址的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址。

④

源主机收到这个ARP响应数据包后，将得到的目标主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。项目5部署信息中心文件共享服务文件共享文件共享与文件服务器的核心概念

文件共享的基本操作在WindowsServer中，通过右击文件夹并选择“共享”或“属性”，可快速配置文件夹的共享设置，系统会自动安装相关服务角色和功能以支持共享需求。

文件服务器的定义与作用文件服务器是专门用于提供文件共享服务的网络设备，集中存储和管理共享文件，提升资源利用效率和安全性。

共享服务的角色安装配置文件共享时，系统会自动添加必要的服务角色，如文件共享功能模块，确保资源共享的稳定性和兼容性。

文件共享的应用场景文件共享广泛应用于团队协作、数据备份及跨设备访问，帮助企业实现高效的信息传递与资源整合。文件共享权限文件共享权限除具备更改权限外，还可以更改其他用户的访问权限、取得文件所有权。3.完全控制权限：允许用户浏览和下载共享文件夹及子文件夹的文件和文件夹。1.读取权限：除具备读取权限外，还可以新建、删除和修改共享文件夹及子文件夹的文件和文件夹。2.更改权限：020103文件服务器共享权限文件共享的访问账户类型实名账户：用户在访问共享目录时需要输入特定的账户名称和密码。默认情况下这些账户都是由文件服务器创建的，并用于共享目录的授权。如果有大量的账户需要授权，则一般会新建组账户，然后在共享中对组账户授权来间接完成用户账户的授权（用户账户继承组账户的权限）。匿名账户：在Windows系统中匿名账户一般指Guest账户，但在匿名访问的共享目录中授权时通常用Everyone账户进行授权。客户端要访问共享目录，需要在文件服务器启用Guest账户。文件服务器账户访问类型解析文件服务器针对访问账户类型NTFS权限NTFS权限读取：用户可以查看目录中的文件和子文件夹，还可以查看文件的属性、权限和所有权。写入：用户可以创建新文件和子文件夹，还可以更改文件夹的属性及查看文件夹权限和所有权。列出文件夹目录：用户除了拥有“读取”的所有权限，还可以遍历子文件夹。读取和执行：用户除了“读取”的所有权限，还可以运行文件夹下的可执行文件，权限和“列出文件夹目录”的相同，只是权限继承方面有所区别。“列出文件夹目录”权限只能由文件夹继承，而“读取和执行”是由文件夹和文件同时继承。修改：除了能够执行“读取”“写入”“列出文件夹目录”“读取和执行”权限提供的操作，用户还可以删除、重命名文件和文件夹。完全控制：用户可以执行所有其他权限的操作，可以取得所有权、更改权限及删除文件和子文件夹。遍历文件夹/运行文件：该权限允许用户在文件夹及其子文件夹之间移动（遍历），即使这些文件夹本身没有访问权限。对于文件来说，还允许用户执行程序文件。列出文件夹/读取数据：该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据。读取属性：该权限允许用户查看文件或文件夹的属性（如只读、隐藏等属性）。

读取扩展属性：允许或拒绝查看文件或文件夹的扩展属性。创建文件/写入数据：该权限允许用户在文件夹中创建新文件，也允许将数据写入现有文件并覆盖现有文件中的数据。创建文件夹/附加数据：该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据，但不能对文件现有的数据进行覆盖、修改，也不能删除数据。写入属性：该权限允许用户更改文件或文件夹的属性，例如只读或隐藏。写入扩展属性：该权限允许用户对文件或文件夹的扩展属性进行修改。删除子文件夹及文件：该权限允许用户删除文件夹中的子文件夹及文件。删除当前文件夹及文件：该权限允许用户删除当前文件夹及文件。读取权限：该权限允许用户读取文件或文件夹的权限列表。更改权限：该权限允许用户改变文件或文件夹上的现有权限。取得所有权：该权限允许用户获取文件或文件夹的所有权，一旦获取了所有权，用户就可以对文件或文件夹进行全权控制。标准访问权限特殊访问权限NTFS具有支持长文件名、数据保护、数据恢复、更大的磁盘/卷空间、文件加密、磁盘压缩、磁盘限额等功能。因此，NTFS目前已成为Windows服务器常用的文件系统。NTFS权限的配置与管理通常分为两类：

和

。标准访问权限特殊访问权限文件共享权限与NTFS权限文件共享权限与NTFS权限01在文件服务器中可以通过文件共享权限配置用户对共享目录的访问权限，但是如果该共享目录所在磁盘为NTFS磁盘，则该目录的访问权限还会受到NTFS权限的限制。02因此，用户访问NTFS共享文件夹时，将受到NTFS权限和共享权限的双重约束。例如：用户user对共享目录share具有写入权限，但NTFS权限限制user写入，则用户user将不具备该共享目录的写入权限，也就是只有当文件共享权限和NTFS权限都允许写入时，用户才被允许写入。03在实际应用中，经常在文件共享权限中配置较大的权限，然后通过限制NTFS权限来实现用户对文件服务器共享目录的访问权限的配置。这个原则可以用一句话来概括：共享权限最大化，NTFS权限最小化。项目6实现公司各部门局域网互联互通路由和路由器的相关概念路由和路由器的相关概念路由在网络通信中，路由（Route）是一个网络层的术语：作为名词，它是指从某一网络设备出发去往某个目的地的路径；作为动词，它是指跨越一个从源主机到目标主机的网络来转发数据包。简言之，从源主机到目标主机的数据包转发过程就称为路由。在图6-2所示的网络环境中，主机1和主机2进行通信时就要经过中间的路由器，当这两台主机中间存在多条链路时，就会面临多个数据包转发链路选择问题。例如是按R1→R2→R4的路径，还是按R1→R3→R4的路径进行转发。在实际应用中，Internet上路由器的数目会更多，两台主机之间数据包转发存在的路径也就更多。为了提高网络访问速度，就需要一种方法来判断从源主机到达目标主机的最佳路径，从而进行数据转发，这就是路由技术。图6-2

主机1到主机2的路径选择路由和路由器的相关概念硬件路由器：专门设计用于路由的设备。如锐捷、华为等公司生产的系列路由器产品。硬件路由器实质上也是一台计算机，不同于普通计算机的是，它运行的操作系统主要用来进行路由维护，不能运行程序。硬件路由器的优点是路由效率高，但其缺点是价格较昂贵，配置也较为复杂。软件路由器：在一台安装有WindowsServer2025系统的计算机上启用路由和远程访问服务功能，则这台计算机就可以称为软件路由器。由于路由器必须有多个接口连接不同的IP子网，所以充当软件路由器的计算机一般安装有多个网卡。软件路由器的优点是价格相对较低且配置简单，但其缺点是路由效率低，一般只在较小型网络中使用。路由器（Router）是执行路由动作的一种网络设备，它能够将数据包转发到正确的目的地，并在转发过程中选择最佳的路径。路由器工作在网络层，用来连接不同的逻辑子网，它分为硬件路由器和软件路由器两种。路由和路由器的相关概念3．路由表路由表（RoutingTable）是若干条路由信息的一个集合体。在路由表中，一条路由信息也被称为一个路由项或一个路由条目，路由设备根据路由表的路由信息做路径选择。在现实生活中，人们如果想去某一个地方，在大脑中就会有一张地图，其中包含到达目的地可以走的多条路径。路由器中的路由表就相当于人脑中的地图。正是由于路由表的存在，路由器才可以依据路由表进行数据包的转发。路由器如何处理数据包在路由表中有该路由器掌握的所有目标网络地址，以及通过路由器到达这些地址的最佳路径。最佳路径指的是路由器的某个接口或与其相邻的下一跳路由器的接口地址。当路由器收到一个数据包时，它会将数据包目标IP地址的网络地址和路由表中的路由条目进行对比，如果有去往目标网络地址的路由条目，就根据该路由条目将数据包转发到相应的接口；如果没有相应的路由条目，则根据路由器的配置将数据包转发到默认接口或者丢弃。C:\>routeprint……(省略部分显示信息)IPv4路由表====================================================================================活动路由:

网络目标

网络掩码

网关

接口

跃点数

0030

在链路上

30655在链路上

306

在链路上

0028655在链路上

002865555在链路上

00286

在链路上

306

在链路上

002865555在链路上

3065555在链路上

00286====================================================================================永久路由:

网络地址

网络掩码

网关地址

跃点数

54默认……(省略部分显示信息)图6-4

执行routeprint命令查看路由表路由表的结构解析每一台计算机上都维护着一张路由表，由路由表的内容控制计算机与其他主机的通信，执行routeprint命令可以查看计算机的路由表，如图6-4所示。路由器路径选择的核心流程4．路径选择过程一般地，路由器会根据图6-5所示的步骤进行路径选择。4．路径选择过程一般地，路由器会根据图6-5所示的步骤进行路径选择。图6-5

路径选择过程路由和路由器的相关概念路由通常可以分为静态路由、默认路由和动态路由。1.静态路由静态路由是由管理员手动进行配置的,在静态路由中必须明确指出从源主机到目标主机所经过的路径,一般在网络规模不大,且拓扑结构相对稳定的网络中常使用静态路由。使用具有管理员权限的用户账户登录WindowsServer2025服务器,打开命令提示符窗口,使用routeadd命令可以添加静态路由,如图6-6.路由和路由器的相关概念C:\>routeaddmaskmetric3C:\>routeprint……(省略部分显示信息)

在链路上

33……(省略部分显示信息)图6-6

使用routeadd命令添加静态路由使用routedelete命令可以手动删除一条路由信息，如图6-7所示。路由和路由器的相关概念2．默认路由默认路由是一种特殊的静态路由，也是由管理员手动配置的，它为那些在路由表中没有找到明确匹配的路由信息的数据包指定下一跳地址。在WindowsServer2025服务器上配置网关时，就为其指定了默认路由，也可以通过执行routeadd命令来添加默认路由，如图6-8所示。C:\>routedelete图6-7

使用route

delete命令删除静态路由图6-8

使用routeadd命令添加默认路由C:\>routeaddmask54metric3C:\>routeprint……(省略部分显示信息)5433……(省略部分显示信息)3．动态路由当网络规模较大，且网络结构会经常发生变化时通常使用动态路由。通过在路由器上配置路由协议可以自动搜集网络信息，并且能及时根据网络结构的变化，动态地维护路由表中的路由信息。路由和路由器的相关概念路由协议路由协议的核心分类与应用

路由算法的两种核心方式路由协议根据算法可分为距离矢量和链路状态两类：前者通过计算路由器跳数选择路径，如RIP；后者综合带宽、延迟等多因素选择最优路径，如OSPF。

工作范围决定协议类型根据路由协议作用范围，分为内部网关协议（IGP）和外部网关协议（EGP），前者如RIP、OSPF用于自治系统内，后者如BGP用于跨自治系统通信。

静态与动态路由的选择路由表可通过静态路由手动配置或动态路由自动学习构建，静态适合简单网络，动态如RIP、OSPF则适应复杂环境并实时更新路径信息。

路由协议的实际价值路由协议是实现高效数据转发的基础，其分类与特性决定了网络性能与可靠性，合理选择协议可优化资源利用并提升传输效率。RIPRIP最初是为Xerox网络系统的Xeroxparc通用协议而设计的，是Internet中常用的路由协议。RIP通过记录从源主机到目标主机经过的最少跳数（hop）来选择最佳路径，它支持的最大跳数为15跳，即从源主机到目标主机的数据包最多可以被15个路由器转发，如果超过15跳，RIP就认为目标主机不可达。由于单纯地以跳数作为路由的依据，不能充分描述路径特性，可能会导致所选的路径不是最优路径，因此RIP只适用于中小型的网络。运行RIP的路由器默认情况下每隔30秒会自动向它的邻居发送自己的全部路由表信息，因此会消耗较多的带宽资源。同时，由于路由信息是一跳一跳地进行传递，因此RIP的收敛速度会比较慢。当网络拓扑结构发生变化时，RIP通过触发更新的方式进行路由更新，而不必等待下一个发送周期。例如，当路由器检测到某条链路失败时，它将立即更新自己的路由表并发送新的路由，每个接收到该触发更新的路由器都会立即修改其路由表，并继续转发该触发更新。0102RIP协议特性与局限性分析项目7部署企业DNS服务DNS的基本概念DNS的基本概念在TCP/IP网络中，计算机之间需要依靠IP地址进行通信。然而，由于IP地址是一些数字的组合，对于普通用户来说，记忆和使用都非常不方便。为解决该问题，需要为用户提供一种友好且方便记忆和使用的名称，还要能够将该名称转换为IP地址以实现网络通信。DNS就是一套用简单易记的名称映射IP地址的解决方案。1．DNSDNS是DomainNameSystem（域名系统）的缩写。域名虽然便于人们记忆，但计算机只能通过IP地址来通信，它们之间的转换工作称为域名解析。域名解析需要由专门的域名解析服务器来完成，DNS服务器就是进行域名解析的服务器。DNS名称采用全限定域名（FullyQualifiedDomainName，FQDN）的形式，由主机名和域名两部分组成。例如，就是一个典型的FQDN，其中，是域名，表示一个区域；www是主机名，表示区域内的一台主机。DNS的基本概念图7-2

域名体系层次结构2．域名体系层次结构DNS的域名体系层次结构是一种分布式的层次结构。DNS域名结构包括根域（RootDomain）、顶级域（Top-LevelDomain）、二级域（Second-LevelDomain）及子域（Subdomain）。例如，中域名中最右侧的“.”代表根域，cn为顶级域，com为二级域，ptpress为子域，www为主机名，如图7-2所示。需要说明的是，com、edu可作为顶级域，也可作为二级域。图7-2

域名体系层次结构DNS的基本概念DNS规定，域名中的标号（Label）都由英文字母和数字组成，每一个标号不超过63个字符，其中的英文字母不区分大小写。标号中除了连字符（-），不能使用其他的标点符号。级别最低的域名写在最左边，而级别最高的域名写在最右边。由多个标号组成的完整域名总共不超过255个字符。顶级域主要有两种类型：机构域和地理域。表7-2所示为常用的机构域和地理域。机构域地理域.com商业组织.cn中国.edu教育组织.us美国.net网络支持组织.org非商业性组织.gov政府机构.int国际组织表7-2

常用的机构域和地理域DNS服务器的类型DNS服务器的核心功能与分类辅助DNS服务器辅助DNS服务器不创建区域数据，它的区域数据是从主DNS服务器复制来的，因此，区域数据只能读不能修改，也称为副本区域数据。当启动辅助DNS服务器时，辅助DNS服务器会和主DNS服务器建立联系，并从主DNS服务器中复制数据。辅助DNS服务器在工作时，会定期地更新副本区域数据，以尽可能地保证副本和正本区域数据的一致性。辅助DNS服务器除了可以从主DNS服务器复制数据，还可以从其他辅助DNS服务器复制区域数据。在一个区域中设置多个辅助DNS服务器可以提高容错性，减轻主DNS服务器的负担，同时可以加快DNS解析的速度。转发DNS服务器转发DNS服务器用于将DNS解析请求转发给其他DNS服务器。当DNS服务器收到客户端的请求后，它会尝试从本地数据库中查找，找到后将解析结果返回给客户端；若未找到，则需要向其他DNS服务器转发解析请求，其他DNS服务器完成解析后会返回解析结果，转发DNS服务器会将该结果存储在自己的缓存中，同时返回给客户端。之后如果客户端再次请求解析相同的名称，转发DNS服务器会根据缓存记录回复该客户端。主DNS服务器主DNS服务器是特定DNS域内所有信息的权威性信息源。主DNS服务器保存着自主生产的区域文件，该文件是可读写的。当DNS区域中的信息发生变化时，这些变化都会保存到主DNS服务器的区域文件中。唯缓存DNS服务器唯缓存DNS服务器可以提供域名解析服务，但没有任何本地数据库文件。唯缓存DNS服务器必须同时是转发DNS服务器，它将客户端的解析请求转发给其他DNS服务器，并将解析结果存储在缓存中。其与转发DNS服务器的区别在于没有本地数据库文件。唯缓存服务器不是权威性的服务器，因为它所提供的所有信息都是间接信息。DNS服务器用于实现域名和IP地址的双向解析，将域名解析为IP地址的称为正向解析，将IP地址解析为域名的称为反向解析。在网络中，主要存在4种DNS服务器：

、

、

和

。主DNS服务器辅助DNS服务器转发DNS服务器唯缓存DNS服务器DNS委派DNS委派DNS委派是指将特定的域名下的子域名管理权委托给另外一台或多台DNS服务器。在域名系统中，当一个域名的所有权者决定将子域名的管理权委托给其他DNS服务器时，就需要进行委派。委派的过程是通过在上级域名服务器中设置NS记录来实现的。NS记录指定了一个域名的主DNS服务器，也就是负责管理该域名的DNS服务器。例如，域名的主DNS服务器1，将子域名委派给另一台DNS服务器2。则DNS服务器1是的主DNS服务器，DNS服务器2是的主DNS服务器。委派的好处是可以将域名的管理分散到不同的服务器上，提高系统的可扩展性和可靠性。例如，当一个域名的流量很大时，可以将其子域名的解析交给不同的服务器处理，以减轻单个服务器的负载。此外，委派还可以实现灵活的域名管理，例如，将不同子域名的解析交给不同的组织或个人来管理。DNS域名的类型与解析DNS域名的类型与解析DNS服务器是目前广泛采用的一种域名解析方法，全世界有大量的DNS服务器，它们协同工作构成一个分布式的DNS解析网络。例如，N的DNS服务器只负责本域内数据的更新，而其他DNS服务器并不知道也无须知道N域内有哪些主机，但它们知道N域的位置；当需要解析www.N时，它们就会向N域的DNS服务器发出请求以完成该域名的解析。通过采用这种分布式DNS解析结构，DNS数据的更新只需要在一台或者几台DNS服务器上进行，从而使得整体的解析效率大大提高。02DNS服务器解析在Windows系统中有一个Hosts文件（“%systemroot%\system32\drivers\etc”），它在本地存储了IP地址和Hostname（主机名）的映射关系。根据系统规则，Windows系统在进行DNS请求之前，会先检查自己的Hosts文件中是否有这个地址映射关系，如果有则调用这个IP地址映射，如果没有则继续在以前的DNS查询应答的响应缓存中查找，如果缓存没有就向DNS服务器请求域名解析，也就说明Hosts的请求级别比DNS高。01本地解析DNS的查询模式DNS的正向解析和反向解析DNS客户端提交域名查询IP地址时，DNS服务器通过递归或迭代方式响应，此过程称为正向解析。它帮助用户将易记的域名转换为机器可识别的IP地址，是互联网访问的基础。当DNS客户端提交IP地址查询域名时，DNS服务器通过反向解析返回对应域名。这一过程常用于网络诊断与安全验证，确保IP地址的可信性。正向解析反向解析域名解析的两种核心方式

01

发生在DNS客户端向DNS服务器发出解析请求时，DNS服务器会向DNS客户端返回两种结果：查询到的结果或查询失败。如果当前DNS服务器无法解析名称，它不会告知DNS客户端，而是自行向其他DNS服务器查询并完成解析，并将解析结果反馈给DNS客户端。互联网中存在的公共DNS大多都是采用递归查询的模式。例如阿里云公共DNS为，当需要查询时，DNS客户端向发起查询，阿里云公共DNS会自动完成查询，最后将解析结果反馈给DNS客户端，期间不需要DNS客户端进行其他查询。

02

通常在一台DNS服务器向另一台DNS服务器发出解析请求时使用。发起者向DNS服务器发出解析请求，如果当前DNS服务器未能在本地查询到请求的数据，则当前DNS服务器将另一台DNS服务器的IP地址告知查询DNS服务器；然后由发起查询的DNS服务器自行向另一台DNS服务器发起查询；以此类推，直到查询到所需数据为止。迭代查询一般用于根DNS服务器或DNS请求域名的上级权威域名服务器，将查询的域名权威服务器告知给查询DNS服务器。例如，查询者向域名的主服务器1发起域名查询，主服务器1将的主DNS服务器2的IP地址