leo

添加删除组件：sysocmgr /i:sysoc.inf命令

DHCP默认租约：8天

客户端：自动获取0.0.0.0--没有DHCP服务器时--私有169.254.0.0

 ipconfig/release(释放IP)  IPCONFIG/RENEW(租约)

 注意：vmware上自带的vnet1\vnet8 DHCP一定要删掉

DHCP的申请过程：

客户端（68）1.发出广播DHCP discover

服务器端（67）2.回应广播提供包DHCP OFFER

客户端（68）  3.发出广播申请dhcp request

服务器端（67）4.确认IP发出确认包 dhcp ack

注意：当客户端向服务器申请租约达到50%时——>服务器给客户端提示

1.同一网段只能建立一个作用域        2.为某用户单独建立一个静态的IP: 放出广播后用： arp -a

最多可创建1000个作用域，10000客户端

超级作用域： 当多个作用域使用时必须加入超级作用域\能跨网段

关于DHCP数据库的存放启动或停止问题：services.msc

A.%systemroot%\windows\system32\dhcp\dhcp.mdb

B.C:\windows\system32\dhcp\dhcp.mdb

DHCP服务器的开启/关闭    net start dhcpserver          net stop dhcpserver

低 服务器选项：配置003.006是为所有作用域提供服务。1.0.0.10

    中作用域选项：是单个作用域使用1.0.0.20

    高保留-----右键----配置选项1.0.0.30

DHCP总结： 通常使用2/8原则赋予两台DHCP服务器。

DNS ：Domain  Name  server (workgroup)

1.完全限定的域名FQDN:=主机名+域名  www(主机名).baidu.com

作用：指IP地址与 域名的精确关系。

2.netbios=netbeui:解析计算机名称的。

NetBIOS名称有16字符 ，其中合格的计算机名称有15个，第16个是指一项服务。

3.hosts  c:\windows\system32\drivers\etc\hosts

注意：在网络环境中 每台电脑HOSTS都有相同的域名记录。例如：www.sohu.com

4.方式安装DNS服务

正向查询区域作用：把域名------->解析成IP

反向查询区域作用：IP解析成-----〉 域名

客户端：必须填入DNS地址——>DNS服务器IP地址

测试工具：NSLOOKUP

打开DNS对话框命令：dnsmgmt.msc

dns查询方式：

.递归查询：客户端--------服务器之间    2.迭代查询：服务器--------服务器之间

查询过程:  本机缓存-àHOSTS--àdns管辖的范围

清除客户端缓存：IPCONFIG/flushdns      清除服务端缓存：右击服务器清除

 dns1（主区域）——负载整个网络平衡——dns2（辅助区域只读不可写）

注意：一定要设置主区域的：区域复制

委派：父域委派子域

1.在父域上建立一个子域的相关记录注意：相关记录是和子域IP相关的。

2.DNS1 和DNS2之间要设置委派----转发器-。

3.多个dns之间使用转发器：

转发器：当客户端查询服务器时，多个区域之间没有对方区域时，必须要设转发器。4.单个dns区域之间使用

dns查询步骤：

缓存---à本机---àHOSTS---àdns管辖范围---à转发器---à.（root）查询完毕

WINS服务

windows internet name services(网际名称服务)

作用：解析ip地址和计算机名称的对应关系

netbios名称有16字符 ，其中合格的计算机名称有15个，第16个是指一项服务。

1.LMHOSTS.SAM改为LMHOSTS

#PRE  预装载入缓存

2.nbtstat –n             nbtstat -r

3.WINS服务的四种查询方式

 B(BROADCAST)         P(peer to peer)

 M (mixed)(先B后P)     H( hybrid) (先P后B)

 默认就是H查询

注意 ：必须结合DHCP服务一同使用

IIS(internet  information  services)

01.   IIS:Internet 信息服务

02.   IIS组件：

    a)    FTP 20 、21（file  transfer  protocol）：文件传输协议的意思。

    b)    WEB  80服务：用于发布网站（万维网服务）。

    c)    SMTP：25 simple mail  transfer  protocol 简单邮件传输协议的意思。（发邮件）

    d)    NNTP：网络新闻传输协议。用来建立新闻组，国内不常用。

03.   IIS四个组件的安装（ASP.NET也安装）。

04.   FTP站点的建立。

  20(数据端口)21   （控制端口）

05.非域下工作的非隔离

客户端访问方法：1.FTP://服务器IP:2012（默认是匿名访问）

                2.FTP://用户名：密码@服务器IP

                3.FTP://用户名：密码@服务器IP:2012（2012为端口号）

查看当前所有的端口号查看：netstat -na

非域下工作的隔离试验：

1.FTP服务器端：在FTP主目录下——建立LocalUser----->为每个部门建立相应的文件夹

2.为每个部门建立与文件夹名字相同的用户名称

3.新建站点——》隔离站点

万维网WWW站点的建立。

a)    多IP地址。可以建立网站，但不常用。

b)    多端口。难于记忆，不常用。访问方式：http://172.16.210.173:8080。主机头=dns中的FQDN 例如：www.baidu.com

c)    多主机头。访问方式：http://www.xlinux.cn。

19.   更改网站的访问方式。

20.   PKI与 SSL共同使用：Security socket layer，安全套接字的意思。默认端口：443。

21.   URL：统一资源定位器，可以理解为网址。

后台：安装IIS时必须安装应用程序服务器---ASP.NET组件

必须启用 ACTIVE SERVER PAGE

客户端访问服务器：http://www.sina.com/别名（0712A）

邮件服务器

smtp(25 )simple mail  transfer  protocol （发）简单邮件传输协议的意思

pop3(110)POST(投递)OFFICE(办公室)protocol 邮局协议（接收）。

服务器端：安装POP3   建立域名和  邮箱名

客户端：用OUTLOOK（系统自带）或FOXMAIL等软件收发邮件。

服务(public key infrainstrution)

01.   什么是PKI：公共密钥基础结构。

02.   PKI主要作用：用于进行加密数据传输的。

03.   加密：对称式加密和非对称式加密。

04.   对称式加密：加密密钥和解密密钥是一样的。加密就是一种算法：一堆杂乱无章的代码。

05.   非对称式加密：它使用一对密钥，即公钥和私钥。

06.   密钥对是通过密钥生成器生成的。

07.   公钥：可以发给网络上的任何用户。

08.   私钥：只能保存在自己的机器上。

注意：每一个用户都有一对密钥：公钥和私钥

09.   公钥的作用：加密、身份验证。

10.   私钥的作用：解密、数字签名。

11.   数字签名使用哈唏算法，它的目的确认信息来源的真实性和可靠性（未篡改）

12.   CA：认证中心。网络中最高权威机构。

13.   CA可以分为企业级CA和独立级CA。

14.   企业级CA需要活动支持，独立级CA不需要活动目录支持。

15.   企业级CA可以自动颁发证书，独立级CA需要管理员手动颁发。

16.   CA可以分为根CA和子CA。子CA与根CA之间双向绝对信任关系。

17.   证书服务器的安装（添加／删除程序）。注意：1.必须先安装IIS。2.再安装证书服务

18.   客户机申请证书的方式：http://CA ip/certsrv。（必须已经安装了IIS）通过IE浏览器检验颁发机构。

19.在第一次使用邮件时 先签名  后  加密   以后，加密或签名就随意了。

20.   客户机与网站之间进行安全的通信

启用服务器的证书：站点属性--à目录安全性--à服务器证书

NAT(network address translation)

注意：1. lan  可以ping通wan广域网的任何一个IP

2. Wan  不可以ping通Lan局域网的任何一个IP （包括NAT服务器在内都不能ping通）

选中WAN的公网IP地址右键属性。

端口映射：向internet发布企业内部服务器例如：FTP 或WEB  mail等服务器

作用：1.省钱节省公网IP   2.网络安全

VPN服务器

01.   VPN：虚拟专用网络。(virtual private network)

02.   VPN使用PPTP、L2TP做为自成的专用协议。

03.   PPTP是点对点传输协议（默认使用的协议）。

04.   L2TP是第二层遂道协议。

05.   VPN服务器的建立（VPN服务器必需安装两块网卡）

VPN的两大协议：PPTP  L2TP

VPN:1.在没有拨号成功的情况下。lan不能ping通wan但是wan不能ping通lan

  2.1.如果拨号成功的情况下。lan能ping通wan中的被DHCP分配出去的局域网ip但是lan还是不能ping通wan的IP地址。

FTP: File Transfer Protocol          

HTTP: Hybrid Text Transfer Protocol

POP3：Post  Office  Protocol     

SSL: Security Socket Layer

WINS： Windows Internet Name Services （网际名称服务）解析IP地址和计算机名称的对应关系

Active Directory的配置与管理

名词解释：

活动目录：将网络中的资源统一组织存储到一个数据库中去，以方便我们集中式或分散式的管理，活动目录是微软提提供的一种目录服务。

属性：属性是描述对象特征       架构：架构是属性类的模板

逻辑结构： Organazition Uint 、Tree 、Domain 、 Forest

物理结构： Site 、 DC 、Wan Link

RDN:相对可辨别名称

Site站点：一组高速可靠的物理连接一个或多个IP子网相当与LAN，作用优化复制流量,优化登陆.

Domain：安全的边界管理的范围复制的单元

树:具有连续名字空间，具有层次结构的多个域的组合

LDAP ：全称为(Light Directory Access Protocol)，轻型目录访问协议：  是用来查询与更新AD的服务协议，在Windows 2003 域中是利用LDAP命名路径表示对象在AD中的位置，以便用它来访问活动目录中的对象。

GC：全称为(Global  Catalog) : 有DC实现，包含AD的每一个对象，只存储一部分属性，方便快速找到所需的对象。

                         系统管理（网络中的系统）                

Active Directory的优点：   安全管理（网络传输的加密）            

                         交互管理（客户端对服务器）    

站点的特性：                                                   

同一站点：不可控、15s传输一次、不压缩                             

异地站点：可控、180分钟传输一次、压缩10%~15%                   

Active Directory的复制模式：

单主机复制模式：NT时代的PDC为复制源复制给站点没所以DC

多主机复制模式：由KCC一致性检查过程，来建立“复制拓扑”决定哪些是直连复制伙伴哪些是间接复制伙伴。

KCC：跳跃不过三（主机之间不过三台）原则                              

DN：（可辨别名称）cn=xyl,ou=0712A

                  OU=wanggong,ou=wg,dc=bw,dc=com

LDAP：四种名称:  RDN：(相对可辨别名称) 

                  UPN：（用户规则名称）用户名@域名

                  SPN：（服务规则名称）SPN    

Active Directory Database Directory Partition

架构分区schema partition:存储着整个森林所有活动目录对象的架构信息(一个森林共享同一个活动目录架构)

配置分区configuration directory partition存储着整个森林的活动目录配置,规划信息(例多少个域有哪些站点等信息)

域目录分区domain directory partition:存储着本域内的所有目录对象信息(例本域内的用户,组,计算机,打印机等等)

应用程序分区application directory partition:存储着活动目录程序相关信息,例DNS信息                                        

安装域控制器

DNS中“_msdcs.域名”的区域存储着所有的SRV记录，该区域是做为一个单独区域存在才正确。如果没有"_msdcs.域名"的区域，那就新建该区域。注意：新建时选择“至活动目录林中所有的DNS服务器上”

SRV记录作用是：告诉网络中的客户端哪台服务器提供的哪种服务。例如：告诉客户端，网络中哪台是DC，哪台负责身份验证，哪台是PDC，哪台是GC等等信息.该记录只会在DNS与DC集成的计算机上出现。如果该记录不完整，那么域将无法正常工作。

如果SRV记录不完整:打开服务控制台(services.msc),重启net logon服务，然后再看是否完整。

主DC的安装：

1、  DNS指向自己的IP  2、运行“DCPROMO”命令 3、安装主DC

安装额外DC独立DNS时的操作步骤：

1、安装DNS、DNS指向自己

2、新建辅助区域。名称与主DNS一致，输入主DC  IP

3、到主DC的DNS设置允许区域复制，并且通知辅助DNS   

5、到额外DC的DNS检查DNS记录是否和主DNS一致,若一致表示成功.

额外DC的安装（共用一个DNS）

1、  DNS指向DC的IP地址 2、运行“DCPROMO”命令 3、安装额外DC

额外DC的安装（独立DNS）

1、  DNS指向自己的IP

2、  在添加/删除windows组件中添加DNS组件并

3、  安装DNS—>建立辅助区域

4、  到主DC上允许区域复制

5、  运行“DCPROMO”安装DCà选择额外DC

安装异地额外DC

一、在主DC进行的操作

1、运行“NTBACKUP”命令

2、高级选项à备份-system state (系统状态)、备份位置选择下面的备份媒体或文件名à浏览

3、如果要只备份AD  应该在点击开始备份后点击“高级”去掉"同时备份系统状态"的勾

二、在异地DC上进行的操作

1、运行“NTBACKUP”命令或者直接双击备份文件

2、点击“高级”à “还原”在文件编录上面单击鼠标右键“文件编录”

3、找到你的备份文件选中备份文件，下面有个“选择位置”还原到备用位置  

4、建立DNS辅助区域

5、在主DC设置成允许复制 à “并且通知”

6、运行命令“DCPROMO /ADV”

新建立一个森林

1、第一台DC与DNS一起安装 、域名:bw.com 、IP地址:192.168.1.10

1、子DC的名字:bj.bw.com、IP:192.168.1.20

2、安装ＤＮＳà建立一个主要区域：bj.bw.com、允许非安全更新

3、在子域下做一个“转发”       4、同时在bw.com下做“委派”

5、重启后要改“允许安全更新”   6、子域的子域ＤＣ名：sd.bj.bw.com 、IP:192.168.1.30

7、安装DNSà建立“转发” 

8、在bj.bw.com上建立“委派”

信任关系

信任关系可以是双向的，也可以是单向的、信任关系有些是自动建立的，有些需要手工建立

信任关系有些是可传递的，有些是不可传递的

创建信任关系是为了实现不同域之间的资源互访问 、被信任对象(TDO)可以访问信任对象的资源

父子信任：双向、可传递并自动建立的父子域之间的信任

树根信任：双向、可传递并自动建立的森林内多棵域树根域之间的信任

快捷信任：可传递的、手工创建的并方向手工指定的、可以使用在森林之内域之间的信任

森林信任：两个或多个森林的根域之间的信任(是手工建立的、可传递的、方向手工指定的信任)

外部信任：多个森林中任意域之间的信任(是手工建立的、不可传递的、方向手工指定的信任)

领域信任：windows kerberos协议与非windows kerberos协议之间的信任。

其中：父子信任、树根信任、快捷信任可以使用在森林之内。而森林信任、外部信任可以使用在森林之间。如果需要手工建立任何信任关系，两个域之间必须能够相互解析。

域用户

域组的类型：安全组、通迅组。

域组的作用范围：本地域组、全局组、通用组。

全局组：只可以包含本域的全局组、用户

本地域组：本地域的全局组、通用组、本地域组、可以包含其他域的全局组、通用组不可以包含本地域组

通用组：所有域的全局组所有域的通用组，但是不可以包含本地域组（无论本地和其他域都不可以包含）

如果在一个工作组中，授权时可以使用ALP的策略(规则)。将多个user Account 加入到Local group，然后再对local group进行Permission

如果在一个单域的情况下，授权时建议使用：AGDLP规则，将多个user AccountàGlobal groupàDomain Local groupàPermission

组策略

组策略是AD的核心内容。

组策略的设置是通过一个策略对象来实现的。它被称为组策略对象(GPO)。

组策略对象(GPO)包括：组策略模板(GPT)和组策略容器(GPC)

GPT存储在sysvol文件夹中。

GPC存储在注册表与活动目录数据库中。

GPO只能在AD容器上进行设置(如：站点、域、OU)，说明：站点下可以有多个域，每个域内又可以有多个OU，每个OU内可以存储用户、组、其它的OU、打印机、共享文件夹、计算机等。

GPO的内容可以“计算机配置”，也可以“用户配置”。

如果设置了“用户配置”，只要用户注销即可生效。

如果设置了“计算机配置”，计算机必须重新启动才能生效。

如果组策略的内容修改完毕后，要想让该容器下的对象生效有以下三种方法：

1、等待(DC需要等待5分钟以上的时间，非DC需要等待90到120分钟的时间，因为组策略的默认刷新时间为90~120分钟)

2、重新启动DC和客户端

3、输入组策略的刷新命令 GpUpdate /force强制

GpUpdate /target:user 让用户配置生效    GpUpdate /target:computer 让计算机配置生效

如果在DC上组策略的内容没有变化，非DC的计算机会每隔16个小时重新应用(刷新)一次组策略。

修改完"用户配置"中的内容，只会根据该容器下的用户名生效。

修改完“计算机配置”中的内容，只要该计算机存放在本容器内，无论如何更换用户，它都会生效。

用户配置:1、管理模板  2、windows 设置

每一项的值为：未配置、启用、禁用

脚本：类型有VBScript与JavaScript两种，*.vbs、*.js

脚本的执行顺序：启动脚本à登录脚本à注销脚本à关机脚本(其中启动脚本与关机脚本是在"计算机配置"中设置，必须重启生效)

文件夹的重定向：将“我的文档”或“桌面”的位置不再指向本地的C：盘，将它们的位置指向一台服务器的共享文件夹即可。

软件的发布

首先支持软件部署的文件后缀名为"msi"

1、打开组策略,在软件设置里面点击属性选择网络位置.

2、建立一个共享文件夹,把要部署的软件放到文件夹下

3、右击软件安装,新建程序包-选择程序包的网络位置

4、刷新组策略

5、客户端下面访问控制面板,填加新程序进行安装

发布:并没有安装,需要用户到控制面板手动安装

非MSI文件部署

EXE文件的部署

[application]

friendlyname="rar"

setupcommand="\\Bawei1\software\rar\rar.exe"

当组策略冲突的依据以下原则处理:

1父子冲突时:子策略优先

2.计算机配置与用户配置冲突时候:计算机配置优先

3.当阻止继承与禁止替代冲突的时候:禁止替代优先

4.当有多个GPO时执行顺序是:从上到下

主机角色：

架构主机：它主要是存储整个森林中所有活动目信息录对象的架构。如果要想修改森林中任何对象的架构，必须在架构主机上操作。

域命名主机：它主要是控制着整个森林中任何一个域、子域、额外DC的建立或删除。也就说：在森林中要安装、删除任何一个域树或子域或额外DC都要通知域命名主机，必须得到它的允许

PDC模拟仿真主机：兼容NT时单主机模式、刷新组策略、所有计算机的时间同步、减少有密码延迟引起的错误

RID主机：保证SID安全主体不重复。

基础结构主机：更新成员列表

对象SID=域的SID+RID         RID=Relitive ID 

额外DC转为主DC的步骤

1、在额外DC上将DNS的辅助区域改为主要区域并且与AD集成,更新改为安全的

2、运行“NTDSUTIL”命令

roles

connections

connect to server bawei1.bw.com

seize domain naming master

seize schema master

seize pdc

seize  rid master

seize infrastructure master

3、把额外DC设为全局编录 运行：“dssite.msc”命令、在站点和服务下找到额外DC的名字展开-NTDS SETTING 右键à属性à全局编录在上面打上勾。

Ntdsutil命令

roles(管理主机角色)

connections(连接)

connect to server 对方的计算机名或IP　（连接到欲传递的目标DC）

quit (返回上一级菜单)

transfer pdc (传递PDC角色到对方的计算机上)

transfer rid master (传递RID角色到对方的计算机上)

transfer domain naming master     (传递域命名角色到对方的计算机上)

transfer schema master   (传递架构角色到对方的计算机上)

transfer infrastructure master (传递基础结构角色到对方的计算机上)

可以将各种主机角色从一台DC上传递到另外一台DC上。

架构命令：

MMCà添加删除管理单元à添加àactive directory 架构

注册架构组件           regsvr32 schmmgmt.dll

查看操作主机的扮演者   netdom query fsmo

对域控测试 dcdiag       网络测试 netdiag

查看当前同步服务器     net time /querysntp

更改时间同步服务器     net time /setsntp:time.nist.gov

马上同步               w32tm /resync

重设目录还原模式的密码: Ntdsutilà set dsrm passwordàreset password on server 计算机全名

活动目录数据库的维护：

活动目录的数据库文件:NTDS.dit  记录了活动目录中所有对旬的信息

变动记录文件:edb.log(他的文件个数是动态的)记录了我们活动目录的变更信息

检查文件:edb.chk 记录了我们变动是否已经写入了数据库当中去.

预留文件:res1.log,res2.log当磁盘空间不足时会使用到这两个文件默认大不小是10M

还原方式(开机按F8进入到目录还原模式) :

主要还原:将还原数据做为复制的源数据

强制还原:将版本号增加100000  当复制时以版本号为标准

标准还原:备份还原的过程