leo
来源:百度文库 编辑:神马文学网 时间:2024/04/29 18:11:24
添加删除组件:sysocmgr /i:sysoc.inf命令
DHCP默认租约:8天
客户端:自动获取0.0.0.0--没有DHCP服务器时--私有169.254.0.0
DHCP的申请过程:
客户端(68)1.发出广播DHCP discover
服务器端(67)2.回应广播提供包DHCP OFFER
客户端(68)
服务器端(67)4.确认IP发出确认包 dhcp ack
注意:当客户端向服务器申请租约达到50%时——>服务器给客户端提示
1.同一网段只能建立一个作用域
最多可创建1000个作用域,10000客户端
超级作用域: 当多个作用域使用时必须加入超级作用域\能跨网段
关于DHCP数据库的存放启动或停止问题:services.msc
A.%systemroot%\windows\system32\dhcp\dhcp.mdb
B.C:\windows\system32\dhcp\dhcp.mdb
DHCP服务器的开启/关闭
低 服务器选项:配置003.006是为所有作用域提供服务。1.0.0.10
DHCP总结: 通常使用2/8原则赋予两台DHCP服务器。
DNS :Domain
1.完全限定的域名FQDN:=主机名+域名
作用:指IP地址与 域名的精确关系。
2.netbios=netbeui:解析计算机名称的。
NetBIOS名称有16字符 ,其中合格的计算机名称有15个,第16个是指一项服务。
3.hosts
注意:在网络环境中 每台电脑HOSTS都有相同的域名记录。例如:www.sohu.com
4.方式安装DNS服务
正向查询区域作用:把域名------->解析成IP
反向查询区域作用:IP解析成-----〉 域名
客户端:必须填入DNS地址——>DNS服务器IP地址
测试工具:NSLOOKUP
打开DNS对话框命令:dnsmgmt.msc
dns查询方式:
.递归查询:客户端--------服务器之间
查询过程:
清除客户端缓存:IPCONFIG/flushdns
注意:一定要设置主区域的:区域复制
委派:父域委派子域
1.在父域上建立一个子域的相关记录注意:相关记录是和子域IP相关的。
2.DNS1 和DNS2之间要设置委派----转发器-。
3.多个dns之间使用转发器:
转发器:当客户端查询服务器时,多个区域之间没有对方区域时,必须要设转发器。4.单个dns区域之间使用
dns查询步骤:
缓存---à本机---àHOSTS---àdns管辖范围---à转发器---à.(root)查询完毕
WINS服务
windows internet name services(网际名称服务)
作用:解析ip地址和计算机名称的对应关系
netbios名称有16字符 ,其中合格的计算机名称有15个,第16个是指一项服务。
1.LMHOSTS.SAM改为LMHOSTS
#PRE
2.nbtstat –n
3.WINS服务的四种查询方式
注意 :必须结合DHCP服务一同使用
IIS(internet
01.
02.
03.
04.
05.非域下工作的非隔离
客户端访问方法:1.FTP://服务器IP:2012(默认是匿名访问)
查看当前所有的端口号查看:netstat -na
非域下工作的隔离试验:
1.FTP服务器端:在FTP主目录下——建立LocalUser----->为每个部门建立相应的文件夹
2.为每个部门建立与文件夹名字相同的用户名称
3.新建站点——》隔离站点
万维网WWW站点的建立。
a)
b)
c)
19.
20.
21.
后台:安装IIS时必须安装应用程序服务器---ASP.NET组件
必须启用 ACTIVE SERVER PAGE
客户端访问服务器:http://www.sina.com/别名(0712A)
邮件服务器
smtp(25 )simple mail
pop3(110)POST(投递)OFFICE(办公室)protocol 邮局协议(接收)。
服务器端:安装POP3
客户端:用OUTLOOK(系统自带)或FOXMAIL等软件收发邮件。
服务(public key infrainstrution)
01.
02.
03.
04.
05.
06.
07.
08.
注意:每一个用户都有一对密钥:公钥和私钥
09.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.在第一次使用邮件时 先签名
20.
启用服务器的证书:站点属性--à目录安全性--à服务器证书
NAT(network address translation)
注意:1. lan
2. Wan
选中WAN的公网IP地址右键属性。
端口映射:向internet发布企业内部服务器例如:FTP 或WEB
作用:1.省钱节省公网IP
VPN服务器
01.
02.
03.
04.
05.
VPN的两大协议:PPTP
VPN:1.在没有拨号成功的情况下。lan不能ping通wan但是wan不能ping通lan
FTP: File Transfer Protocol
HTTP: Hybrid Text Transfer Protocol
POP3:Post
SSL: Security Socket Layer
WINS: Windows Internet Name Services (网际名称服务)解析IP地址和计算机名称的对应关系
Active Directory的配置与管理
名词解释:
活动目录:将网络中的资源统一组织存储到一个数据库中去,以方便我们集中式或分散式的管理,活动目录是微软提提供的一种目录服务。
属性:属性是描述对象特征
逻辑结构: Organazition Uint 、Tree 、Domain 、 Forest
物理结构: Site 、 DC 、Wan Link
RDN:相对可辨别名称
Site站点:一组高速可靠的物理连接一个或多个IP子网相当与LAN,作用优化复制流量,优化登陆.
Domain:安全的边界管理的范围复制的单元
树:具有连续名字空间,具有层次结构的多个域的组合
LDAP :全称为(Light Directory Access Protocol),轻型目录访问协议:
GC:全称为(Global
Active Directory的优点:
站点的特性:
同一站点:不可控、15s传输一次、不压缩
异地站点:可控、180分钟传输一次、压缩10%~15%
Active Directory的复制模式:
单主机复制模式:NT时代的PDC为复制源复制给站点没所以DC
多主机复制模式:由KCC一致性检查过程,来建立“复制拓扑”决定哪些是直连复制伙伴哪些是间接复制伙伴。
KCC:跳跃不过三(主机之间不过三台)原则
DN:(可辨别名称)cn=xyl,ou=0712A
LDAP:四种名称:
Active Directory Database Directory Partition
架构分区schema partition:存储着整个森林所有活动目录对象的架构信息(一个森林共享同一个活动目录架构)
配置分区configuration directory partition存储着整个森林的活动目录配置,规划信息(例多少个域有哪些站点等信息)
域目录分区domain directory partition:存储着本域内的所有目录对象信息(例本域内的用户,组,计算机,打印机等等)
应用程序分区application directory partition:存储着活动目录程序相关信息,例DNS信息
安装域控制器
DNS中“_msdcs.域名”的区域存储着所有的SRV记录,该区域是做为一个单独区域存在才正确。如果没有"_msdcs.域名"的区域,那就新建该区域。注意:新建时选择“至活动目录林中所有的DNS服务器上”
SRV记录作用是:告诉网络中的客户端哪台服务器提供的哪种服务。例如:告诉客户端,网络中哪台是DC,哪台负责身份验证,哪台是PDC,哪台是GC等等信息.该记录只会在DNS与DC集成的计算机上出现。如果该记录不完整,那么域将无法正常工作。
如果SRV记录不完整:打开服务控制台(services.msc),重启net logon服务,然后再看是否完整。
主DC的安装:
1、
安装额外DC独立DNS时的操作步骤:
1、安装DNS、DNS指向自己
2、新建辅助区域。名称与主DNS一致,输入主DC
3、到主DC的DNS设置允许区域复制,并且通知辅助DNS
5、到额外DC的DNS检查DNS记录是否和主DNS一致,若一致表示成功.
额外DC的安装(共用一个DNS)
1、
额外DC的安装(独立DNS)
1、
2、
3、
4、
5、
安装异地额外DC
一、在主DC进行的操作
1、运行“NTBACKUP”命令
2、高级选项à备份-system state (系统状态)、备份位置选择下面的备份媒体或文件名à浏览
3、如果要只备份AD
二、在异地DC上进行的操作
1、运行“NTBACKUP”命令或者直接双击备份文件
2、点击“高级”à “还原”在文件编录上面单击鼠标右键“文件编录”
3、找到你的备份文件选中备份文件,下面有个“选择位置”还原到备用位置
4、建立DNS辅助区域
5、在主DC设置成允许复制 à “并且通知”
6、运行命令“DCPROMO /ADV”
新建立一个森林
1、第一台DC与DNS一起安装 、域名:bw.com 、IP地址:192.168.1.10
1、子DC的名字:bj.bw.com、IP:192.168.1.20
2、安装DNSà建立一个主要区域:bj.bw.com、允许非安全更新
3、在子域下做一个“转发”
5、重启后要改“允许安全更新”
7、安装DNSà建立“转发”
8、在bj.bw.com上建立“委派”
信任关系
信任关系可以是双向的,也可以是单向的、信任关系有些是自动建立的,有些需要手工建立
信任关系有些是可传递的,有些是不可传递的
创建信任关系是为了实现不同域之间的资源互访问 、被信任对象(TDO)可以访问信任对象的资源
父子信任:双向、可传递并自动建立的父子域之间的信任
树根信任:双向、可传递并自动建立的森林内多棵域树根域之间的信任
快捷信任:可传递的、手工创建的并方向手工指定的、可以使用在森林之内域之间的信任
森林信任:两个或多个森林的根域之间的信任(是手工建立的、可传递的、方向手工指定的信任)
外部信任:多个森林中任意域之间的信任(是手工建立的、不可传递的、方向手工指定的信任)
领域信任:windows kerberos协议与非windows kerberos协议之间的信任。
其中:父子信任、树根信任、快捷信任可以使用在森林之内。而森林信任、外部信任可以使用在森林之间。如果需要手工建立任何信任关系,两个域之间必须能够相互解析。
域用户
域组的类型:安全组、通迅组。
域组的作用范围:本地域组、全局组、通用组。
全局组:只可以包含本域的全局组、用户
本地域组:本地域的全局组、通用组、本地域组、可以包含其他域的全局组、通用组不可以包含本地域组
通用组:所有域的全局组所有域的通用组,但是不可以包含本地域组(无论本地和其他域都不可以包含)
如果在一个工作组中,授权时可以使用ALP的策略(规则)。将多个user Account 加入到Local group,然后再对local group进行Permission
如果在一个单域的情况下,授权时建议使用:AGDLP规则,将多个user AccountàGlobal groupàDomain Local groupàPermission
组策略
组策略是AD的核心内容。
组策略的设置是通过一个策略对象来实现的。它被称为组策略对象(GPO)。
组策略对象(GPO)包括:组策略模板(GPT)和组策略容器(GPC)
GPT存储在sysvol文件夹中。
GPC存储在注册表与活动目录数据库中。
GPO只能在AD容器上进行设置(如:站点、域、OU),说明:站点下可以有多个域,每个域内又可以有多个OU,每个OU内可以存储用户、组、其它的OU、打印机、共享文件夹、计算机等。
GPO的内容可以“计算机配置”,也可以“用户配置”。
如果设置了“用户配置”,只要用户注销即可生效。
如果设置了“计算机配置”,计算机必须重新启动才能生效。
如果组策略的内容修改完毕后,要想让该容器下的对象生效有以下三种方法:
1、等待(DC需要等待5分钟以上的时间,非DC需要等待90到120分钟的时间,因为组策略的默认刷新时间为90~120分钟)
2、重新启动DC和客户端
3、输入组策略的刷新命令 GpUpdate /force强制
GpUpdate /target:user 让用户配置生效
如果在DC上组策略的内容没有变化,非DC的计算机会每隔16个小时重新应用(刷新)一次组策略。
修改完"用户配置"中的内容,只会根据该容器下的用户名生效。
修改完“计算机配置”中的内容,只要该计算机存放在本容器内,无论如何更换用户,它都会生效。
用户配置:1、管理模板
每一项的值为:未配置、启用、禁用
脚本:类型有VBScript与JavaScript两种,*.vbs、*.js
脚本的执行顺序:启动脚本à登录脚本à注销脚本à关机脚本(其中启动脚本与关机脚本是在"计算机配置"中设置,必须重启生效)
文件夹的重定向:将“我的文档”或“桌面”的位置不再指向本地的C:盘,将它们的位置指向一台服务器的共享文件夹即可。
软件的发布
首先支持软件部署的文件后缀名为"msi"
1、打开组策略,在软件设置里面点击属性选择网络位置.
2、建立一个共享文件夹,把要部署的软件放到文件夹下
3、右击软件安装,新建程序包-选择程序包的网络位置
4、刷新组策略
5、客户端下面访问控制面板,填加新程序进行安装
发布:并没有安装,需要用户到控制面板手动安装
非MSI文件部署
EXE文件的部署
[application]
friendlyname="rar"
setupcommand="\\Bawei1\software\rar\rar.exe"
当组策略冲突的依据以下原则处理:
1父子冲突时:子策略优先
2.计算机配置与用户配置冲突时候:计算机配置优先
3.当阻止继承与禁止替代冲突的时候:禁止替代优先
4.当有多个GPO时执行顺序是:从上到下
主机角色:
架构主机:它主要是存储整个森林中所有活动目信息录对象的架构。如果要想修改森林中任何对象的架构,必须在架构主机上操作。
域命名主机:它主要是控制着整个森林中任何一个域、子域、额外DC的建立或删除。也就说:在森林中要安装、删除任何一个域树或子域或额外DC都要通知域命名主机,必须得到它的允许
PDC模拟仿真主机:兼容NT时单主机模式、刷新组策略、所有计算机的时间同步、减少有密码延迟引起的错误
RID主机:保证SID安全主体不重复。
基础结构主机:更新成员列表
对象SID=域的SID+RID
额外DC转为主DC的步骤
1、在额外DC上将DNS的辅助区域改为主要区域并且与AD集成,更新改为安全的
2、运行“NTDSUTIL”命令
roles
connections
connect to server bawei1.bw.com
seize domain naming master
seize schema master
seize pdc
seize
seize infrastructure master
3、把额外DC设为全局编录 运行:“dssite.msc”命令、在站点和服务下找到额外DC的名字展开-NTDS SETTING 右键à属性à全局编录在上面打上勾。
Ntdsutil命令
roles(管理主机角色)
connections(连接)
connect to server 对方的计算机名或IP (连接到欲传递的目标DC)
quit (返回上一级菜单)
transfer pdc (传递PDC角色到对方的计算机上)
transfer rid master (传递RID角色到对方的计算机上)
transfer domain naming master
transfer schema master
transfer infrastructure master (传递基础结构角色到对方的计算机上)
可以将各种主机角色从一台DC上传递到另外一台DC上。
架构命令:
MMCà添加删除管理单元à添加àactive directory 架构
注册架构组件
查看操作主机的扮演者
对域控测试 dcdiag
查看当前同步服务器
更改时间同步服务器
马上同步
重设目录还原模式的密码: Ntdsutilà set dsrm passwordàreset password on server 计算机全名
活动目录数据库的维护:
活动目录的数据库文件:NTDS.dit
变动记录文件:edb.log(他的文件个数是动态的)记录了我们活动目录的变更信息
检查文件:edb.chk 记录了我们变动是否已经写入了数据库当中去.
预留文件:res1.log,res2.log当磁盘空间不足时会使用到这两个文件默认大不小是10M
还原方式(开机按F8进入到目录还原模式) :
主要还原:将还原数据做为复制的源数据
强制还原:将版本号增加100000
标准还原:备份还原的过程