Windows Server 2012 从入门到精通系列之 DNS服务器2013-04-02 14:22:25 标签:DNS Windows2012添加标签>> 原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。https://www.doczj.com/doc/da8789677.html,/12728/1169181 首先,我先来问问大家在平常上网时,访问网站用的是IP地址还是域名?大家一般都会回答是域名,因为域名要比IP地址好记忆。但大家知道吗?最终访问服务器时都是需要IP 地址的,那么怎么能够把用户输入的域名相应的解析成IP地址呢?那就是DNS服务器的作用了!今天我们就来学习一下在Windows Server 2012服务器中如何搭建管理DNS服务器。 早期使用Hosts文件解析域名,它的缺点是:1)主机名称重复。2)主机维护困难。DNS(Domain Name System域名系统)的优点:1)分布式。2)层次性。 DNS服务主要起到两个作用: 1)可以把相对应的域名解析为对应的IP地址,这叫正向解析。 2)可以把相对应的IP地址解析为对应的域名,这叫反向解析。
域名空间采用分层结构: 1、根域(root) 2、顶级域 组织域
国家或地区域 3、二级域 4、主机名 FQDN(full qualified domain name 完全合格域名)=主机名.DNS后缀,如https://www.doczj.com/doc/da8789677.html,,其中www为主机名,https://www.doczj.com/doc/da8789677.html,为DNS后缀名。DNS的区域,DNS的管理是按照区域进行管理的。 1.域名空间树形结构的一部分 2.将域名空间根据需要划分为较小区域
目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………
一、活动目录配置基本知识 1、活动目录的重要概念 (1)目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中,目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络(如Internet)中,就有许多用户感兴趣的对象,如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象,而管理人员则想管理对这些对象的使用。 在此文档中,术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于,它既是目录的信息源,而它的服务又可以使用户得到和利用信息。 (2)什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务,还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作,从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性,使得在大规模信息的管理及在其中漫游变得很简单,为管理者和终端用户都节省了时间。 (3)为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性,而且可以查询目录来得到符合属性的对象列表,例如:"查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以: ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时,目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的,而另外一些则不是。不幸的是,一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前,理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围
网络组建安装活动目录服务 活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。 1.DNS与活动目录 由于活动目录与DNS是集成的,并且共享相同的名称空间结构,因此注意两者之间的差异非常重要: ●DNS是一种名称解析服务 DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询,并且解析名称查询,或者进行名称解析。DNS不需要活动目录可以独立运行。 ●活动目录是一种目录服务 活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)”向活动目录服务器发送查询。然后要定位活动目录服务器,活动目录客户机将查询DNS。即活动目录用于组织资源,而DNS用于查找资源;只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。2.规划活动目录 为了让用户和管理员操作更为方便,在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计。 ●规划DNS 如果用户准备使用活动目录,则需要首先规划名称空间。在Windows 2003中,用DNS 名称命名活动目录域。选择DNS名称用于活动目录域时,以保留在Internet上使用的已注册DNS域名后缀开始(如https://www.doczj.com/doc/da8789677.html,),并将该名称和单位中使用的地理(部门)名称结合起来,组成活动目录域的全名。 ●规划用户的域结构 最容易管理的域结构就是单域。规划时,用户应从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。在一个域中,可以使用组织单元(OU,Organizational Units)来实现这个目标。然后,可以指定组策略设置并将用户、组和计算机放在组织单元中。 ●规划用户的委派模式 用户可以将权限下派给单位中最底层,方法是在每个域中创建组织单元树,并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限,用户不再需要那些定期登录到特定账户的人员,这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组,可以仍保留这些账户以备少数管理员使用。 3.安装活动目录服务 首先,用户必须有安装活动目录的管理员权限,否则无法安装。在安装活动目录之前,要确保系统盘为NTFS分区。同时,已做好了DNS服务器的解析,如https://www.doczj.com/doc/da8789677.html,。 在安装活动目录前首先确定DNS服务正常工作,下面我们来安装根域为https://www.doczj.com/doc/da8789677.html,的域控制器。其操作步骤如下: (1)执行【开始】|【控制面板】|【管理工具】|【配置您的服务器向导】命令,打开【配置您的服务器向导】对话框,如图6-13所示。
第二单元测试题 一、填空题 (1)Windows Server 2008 中的角色和功能,相当于Windows Server 2003 中的Windows组件,其中重要的组件划分成了角色,不太重要的服务和增加服务器的功能被划分成了功能。 (2)系统变量中,Path 变量定义了系统搜索可执行文件的路径, Windir定义了Windows的目录。 (3)用户配置文件其实是一个文件夹,这个文件夹位于 “\Documents and Settings”下,并且以用户名来命名。 (4)通过 MMC,用户可以将常用的管理工具集中到一个窗口界面中, 从而通过一个窗口就可以管理不同的管理工具。 (5) 一般情况下,建议用户将显示刷新频率设置为75Hz以上。 (6)Windows Server 2008 系统登录成功后将显示“初始配置任务” 窗口,通过此窗口用户可以根据需要对系统进行初始配置,包括3个任务:提供计算机信息、更新服务器、自定义服务器。 (7)页面文件夹的最大值可以设置得越大越好,通常建议将它设置为 最小值的2~3倍。 (8)set命令不仅可以显示当前的环境变量,也可以删除和修改变量。 (9)“自定义服务器“包括启用添加角色、添加功能、启用远程桌面、 配置Windows防火墙4个方面。 (10)管理员添加功能不会作为服务器的只要功能,但可以增强安装 的角色的功能。 (11)如果列表中没有75Hz及其以上的刷新频率,则需要先适当调低 显示器分辨率,然后再进行刷新的设置。
(12)MMC由分成两个窗格的窗口组成,左侧窗格为控制台树,显示 控制台中可以使用的项目;右侧窗格则列出左侧项目的详细信息和有个功能,包括网页、图形、图表、表格和列。 二、选择题 (1)在Windows Server 2008 系统中,如果要输入DOS命令,则在 “运行”对话框中输入(A)。 A . CMD B . MMC C . AUTOEXE D . TTY (2)Windows Server 2008 系统安装时生成的 Documents and Settings、Windows 以及Windows\System32文件夹是不能随意更改的,因为它们是(D) A . Windows的桌面 B . Windows正常运行时所必需的应用软件文件夹 C . Windows 正常运行时所必需的用户文件夹 D . Windows正常运行时所必需的系统文件夹 (3)启用Windows自动更新和反馈功能,不能进行手动配置设置的是 (C) A . Windows自动更新 B . Windows 错误报告 C . Windows激活 D . 客户体 验改善计划 (4)远程桌面被启用后,服务器操作系统被打开的端口为(B) A . 80 B . 3389 C . 8080 D . 1024
实验二Windows Server 2008的基本配置 一、实验目的 1、掌握Windows Server 2008的基本配置 2、掌握MMC控制台的使用 二、实验环境 1、安装有Windows Server 2008虚拟机软件的计算机 三、实验作业 将操作结果数据保存到WORD文档中,名称为班级-姓名-学号.doc,例如1班张三1号的文件名为:1-张三-01.doc。 操作结束将实验作业文档提交。 四、实验内容 1、修改计算机名 在桌面中选择【计算机】图标右击选择【属性】,单击【高级系统设置】,打开【系统属性】对话框,选择【计算机名】选项卡,单击【更改】按钮,更改计算机名称,命名为student班级学号,例如1班一号的计算机名称为:student101。 将修改后计算机名的【系统属性】的【计算机名】选项卡截图到实验作业中。 2、配置TCP/IP参数 (1)查看当前计算机的TCP/IP参数 右键单击桌面上的【网络】,选择【属性】,或者在桌面右下角单击【网络连接】图标,选择【网络和共享中心】,则打开【网络和共享中心】
对话框。 单击【查看状态】,显示【本地连接状态】对话框
单击【详细信息】,可以查看当前计算机TCP/IP的配置信息,截图记录到实验作业中。 (2)设置静态IP地址 在上图中选择【属性】单击,打开【本地连接属性】对话框
双击Internet协议版本4(TCP/IPV4)或单击后选择【属性】
自己设置静态IP信息:IP地址:192.168.0.XXX(XXX为本人的班级学号,例如1班1号为192.168.0.101);子网掩码:255.255.255.0。设置结束,再次查看当前计算机的TCP/IP参数,并将查看结果截图到实验作业中。 3、设置网络发现和共享 (1)打开【网络和共享中心】,设置网络发现、文件共享的启用。
域控制器管理--活动目录之用户配置文件 首先,什么是用户配置文件?根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合,它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢?那么用户配置文件包括哪些内容呢?来给大家看一副截图: 用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Setting s”文件夹下,有一个和你的登陆用户名相同的文件夹,该用户配置文件就保存在这里,顺便提示一下,如果本机和域上有一个同名用户,并且都登陆过的话,那么就会出现在同名文件夹后面拖后缀的情况,举个例子:比如在一个域(https://www.doczj.com/doc/da8789677.html,)里面有一台计算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,并且都登陆过这台计算机,那么会发生如下情况: 本地帐号先登陆:那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为swg.demo。 域帐号先登陆:那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为swg.testxp。 通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹,如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都有这个文件,所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。
当网络变成域构架后,所有的域用户可以在任意一台域内的计算机登陆,当你在一台计算机上的用户配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并没有发生修改,这是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”: 请注意“类型”里用红框标出的部分,全部是“本地”,这就说明用户配置文件保存在本地,那么如何才能让用户的配置文件随着帐号走,也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢?为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保存在一个网络的公共位置,当用户在计算机上登陆里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效性,以便下一次使用。那么如何来实现这个功能呢?现在就来实践一下: 首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实验里,就在域控制器上开设一个为share的共享文件夹,并开放权限:
Windows Server 2008 R2之活动目录服务部署 测试环境: 服务器:计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。 IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1 管理员:Bill.XU 实验要求:安装第一个企业根据域控制器域名为https://www.doczj.com/doc/da8789677.html,。 部署过程: 以下操作都是以管理员Bill.XU登录完成 方法一:手动部署 1、使用事件查看器(EventVWR.MSC),查看日志情况。并要所查看情况,进行系统诊断,确保安装前系统的状态正常 2、打开网络连接,设置网卡的IP4地址为一静态地址,同时将DNS服务器地址设置为127.0.0.1 3、运行DCPROMO,出现设置向导。设置过程如下图 检测系统是否安装AD域服务二进制文件,如果没有,系统会自动安装(也可以在运行命令之前,通过服务器管理器,添加活动目录域服务角色来安装) 出现活动目录域服务安装向导,选择高级模式(如果不选择此项,安装过程中将无法对有些设置进行更改,如域Netbios名的更改等)
由于这是森林中的第一台服务器,所以选择在新林中新建域。
功能级别,所提供的功能不同。如要使用R2新增的活动目录回收站功能,必须将功能级别提升到2008 R2功能级别。要使用棵粒化密码策略,须将功能级别提升到2008。R2新增了一种功能级别即2008 R2级别。注意功能级别的操作是单向,即当提升到一个高功能级别后,它不能再降为低功能级别。除非得新安装AD域服务 具体见: Appendix of Functional Level Features
●Server 2008下安装“安装增强功能”的方法:保持虚拟光驱为空,鼠标单击 “安装增强功能”,然后操作如下: 进行增强功能插件的安装即可。 ●Server 2008 R2可扮演很多角色,如:DNS、DHCP服务器等,当你安装这 些角色后,系统会自动创建用来管理这些角色的工具(即:开始/管理工具/下的“服务器管理器”); ●Win 7同样也有这个功能,但要求下载安装工具:Remote Server Administrator Tools for Windows 7(Windows 7的远程服务器管理工具),安装完成之后:开始/控制面版/程序/打开或关闭Windows功能,即可正常使用。 ●若安装Server 2008时是采用.iso的镜像文件分别进行安装,则不存在Mac 地址冲突的可能性,但该方法较慢;若是先安装好一台机器,再进行“导出” 后再“导入”的方法得到另一台机器,会比较快,但由于两台机器的“Mac 地址”相同(虚拟机环境下不会报错,就如同实际当中的“机器名相同”、“IP 地址冲突”时导致两台机器不能相互通讯一样),会导致这两台机器不能通信,则必须进行“Mac地址”的刷新才行,具体如下图:
要保证两台虚拟机能正常通讯,必须满足下列几个条件: 1、Mac地址不能相同; 2、机器名不能重名; 3、IP地址不能相同; 4、虚拟机的网卡模式:Bridge(桥椄); 5、防火墙处于关闭状态; 6、Routing and Remote Access服务处于开启状态(不是必需的),如下:
●DNS主服务器(Primary Server)可直接在该管辖区域内添加、删除和修改记录, 存储着区域数据资源的主副本(Master copy),而辅助服务器(Secondary Server)则只能从主服务器复制数据,且对这些记录无修改权限,存储着副本记录(replica)。 一般了解:主机服务器(Master Server) 可能是存储该区域主副本的主服务器,也可能是存储副本数据的辅助服务器。 唯缓存服务器(Caching-only Server):无任何新建区域,当它接收到dns客户端的查询请求时,它会帮助dns客户端向其它dns服务器来查询,然后将查询到的记录存储到缓存区,并将该记录提供给客户端。当再次有客户查询该记录时,能够快速地提供给客户。适于远端分公司的安装。 ●递归查询发生在dns客户端向dns服务器提出查询请求时; 迭代查询发生在dns服务器与dns服务器之间的查询; ●使用Hosts文件进行解析:一般用于客户端。该文件用来存储主机名与IP的 对应数据。事实上DNS客户端在查找主机的IP地址时,它会先检查自己计算机内的HOSTS文件,看看文件内是否有该主机的IP地址,若找不到数据,才会向DNS服务器提交查询。 如:在hosts文件末加了一条记录“113.92.32.12 https://www.doczj.com/doc/da8789677.html,” 验证方法: C:\Users\Administrator>ping https://www.doczj.com/doc/da8789677.html, 正在Ping https://www.doczj.com/doc/da8789677.html, [113.92.32.12] 具有32 字节的数据: 来自192.168.10.130 的回复: 目标主机无法访问。 来自192.168.10.130 的回复: 目标主机无法访问。 来自192.168.10.130 的回复: 目标主机无法访问。 来自192.168.10.130 的回复: 目标主机无法访问。 113.92.32.12 的Ping 统计信息: 数据包: 已发送= 4,已接收= 4,丢失= 0 (0% 丢失) ●客户端在进行域名解析时,若使用TCP/IP程序(如:浏览器、telnet程序、
活动目录服务的基本安装和配置 Active Directory 是用于Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 Active Directory 是用于Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。Active Directory 的优点:信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS 集成、与其他目录服务的互操作性、灵活的查询。 本章主要内容: 1、活动目录的基本概念及其作用 2、在安装活动目录前的目录规划 3、活动目录工具 6.1 活动目录的概念 6.1.1 域 域提供了多项优点: §组织对象。 §发布有关域对象的资源和信息。 §将组策略对象应用到域可加强资源和安全性管理。 §委派授权使用户不再需要大量的具有广泛管理权利的管理员。 要创建域,用户必须将一个或更多的运行Windows 2000 Server 的计算机升级为域控制器。域控制器为网络用户和计算机提供Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用,包括用户登录过程、验证和目录搜索。每个域至少必须包含一个域控制器。 域树和域林 活动目录中的每个域利用DNS 域名加以标识,并且需要一个或多个域控制器。如果用户的网络需要一个以上的域,则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如图6.1 中所示,如果树林中的多个域有连续的DNS 域名,则该结构称为域树。
金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日
Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件: (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤: (4) 1.首先是“开始>运行”打开运行窗口 (4) 2.运行当中输入“dcpromo”开始安装活动目录 (5) 3.进入安装界面 (5) 4.新建域控制器 (6) 5.设置域控制器的域名 (7) 6.设置林功能级别 (8) 7.安装DNS服务器和全局服务 (9) 8.设置保存数据库、日志文件和SYSVOL的位置 (10) 9.设置目录还原模式的Administrator密码 (11) 10.安装完成自动重启 (12) 11.安装完成后的登陆界面 (13) 12.查看安装AD后的相关的服务,AD活动目录安装完成 (14)
安装部署活动目录条件: 硬件需求 硬件 需求 处理器 最低:1.4 GHz(x64处理器) 注意:Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低:512 MB RAM 最大:8 GB(基础版)或32 GB(标准版)或2 TB(企业版、数据中心版及 Itanium-Based Systems 版) 可用磁盘空间 最低:32 GB或以上 基础版:10 GB或以上 注意:配备16 GB以上RAM的计算机将需要更多的磁盘空间,以进行分页处理、休眠及转储文件。 显示器 VGA(800 × 600)或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标(或兼容的指针设备) 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件(除web版以外) 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间
计算机网络原理安装活动目录服务 活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。 1.DNS与活动目录 由于活动目录与DNS是集成的,并且共享相同的名称空间结构,因此注意两者之间的差异非常重要: ●DNS是一种名称解析服务 DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询,并且解析名称查询,或者进行名称解析。DNS不需要活动目录可以独立运行。 ●活动目录是一种目录服务 活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)”向活动目录服务器发送查询。然后要定位活动目录服务器,活动目录客户机将查询DNS。即活动目录用于组织资源,而DNS用于查找资源;只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。2.规划活动目录 为了让用户和管理员操作更为方便,在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计。 ●规划DNS 如果用户准备使用活动目录,则需要首先规划名称空间。在Windows 2003中,用DNS 名称命名活动目录域。选择DNS名称用于活动目录域时,以保留在Internet上使用的已注册DNS域名后缀开始(如https://www.doczj.com/doc/da8789677.html,),并将该名称和单位中使用的地理(部门)名称结合起来,组成活动目录域的全名。 ●规划用户的域结构 最容易管理的域结构就是单域。规划时,用户应从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。在一个域中,可以使用组织单元(OU,Organizational Units)来实现这个目标。然后,可以指定组策略设置并将用户、组和计算机放在组织单元中。 ●规划用户的委派模式 用户可以将权限下派给单位中最底层,方法是在每个域中创建组织单元树,并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限,用户不再需要那些定期登录到特定账户的人员,这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组,可以仍保留这些账户以备少数管理员使用。 3.安装活动目录服务 首先,用户必须有安装活动目录的管理员权限,否则无法安装。在安装活动目录之前,要确保系统盘为NTFS分区。同时,已做好了DNS服务器的解析,如https://www.doczj.com/doc/da8789677.html,。 在安装活动目录前首先确定DNS服务正常工作,下面我们来安装根域为https://www.doczj.com/doc/da8789677.html,的域控制器。其操作步骤如下: (1)执行【开始】|【控制面板】|【管理工具】|【配置您的服务器向导】命令,打开【配置您的服务器向导】对话框,如图11-13所示。
《Windows Server 2012服务器系统管理》单科测试 考试说明: 1. 考试形式为闭卷,考试时间为150分钟。 2. 考试内容包括15道选择题(30分)和1道机试题(70分),满分合计100分。 3. 请将选择题的答案写在答题纸上,机试题提交电子档实验报告。 一、选择题(共15题,每题2分) 1)下面关于Windows Server 2012 R2说法错误的是()。(选择一项) a) 支持故障转移群集 b) 标准版支持两个虚拟授权 c) 核心安装能减小受攻击面积 d) 数据中心版支持两个虚拟授权 2)在Windows Server 2012 R2中使用wbadmin命令制作备份脚本的文件格式为()。 (选择一项) a) .txt b) .bta c) .inf d) .bat 3)查看计算机的IP地址可以使用命令()。(选择一项) a) I pconfig b) Hostname c) Config d) Ipconfig /renew 4)关于NTFS文件系统中的权限继承,下面说法正确的是()。(选择一项) a) 子文件夹会继承上级文件夹的权限 b) 上级文件夹不能强制子文件夹继承其权限 c) 如果用户对子文件夹没有任何权限,也能够强制其继承上级文件夹的权限 d) 新建文件夹不会自动继承上级的权限 5)以下不属于Windows内置账户的是()。(选择一项) a) Administrator b) Administrators c) Guest d) SYSTEM
6)以下关于Windows内置账户和组说法正确的是()。(选择两项) a) Everyone包含任何用户(包括来宾用户),设置开放的权限时经常使用 b) Users组的用户账户都具备管理员权限 c) Power Users用户组是新用户的默认组,可以运行大部分的应用程序 d) NETWORK SERVICE账户为Windows的一部分服务提供访问系统的权限 7)NTFS是微软公司随着Windows NT推出的文件系统,以下不是NTFS特性的有()(选择一项) a) 压缩,压缩文件、文件夹 b) 磁盘配额 c) 访问控制列表 d) 采用16位和32位编址 8)有一台Windows Server 2012 R2的文件服务器名为FileServer,在D盘中设置了共享文件夹share,共享名为share$。通过()路径可以访问共享文件夹。(选择一项) a) \\FileServer\share$ b) \\FileServer c) \\FileServer\share d) \\d:\\software 9)Vnet公司有一台Windows Server 2012 R2的文件服务器abcd,小张通过\\abcd访问计算机,如图所示,照成这种情况的原因是()。(选择一项) a) 小张的客户端网络出现问题,不能和文件服务器进行通信 b) 小张的客户端开启了防火墙,禁止对外访问 c) 在文件服务器的“用户权限分配”中将小张的账户添加到“拒绝从网络访问这台计算 机”中 d) 文件服务器没有设置共享文件夹 10)Vnet公司有一台Windows Server 2012 R2的FTP服务器,员工可以使用()连接FTP服务器(选择两项) a) Serv-U b) IE浏览器 c) RaidenFTPD d) FlashFXP 11)Windows Server 2012 R2上安装的FTP服务,默认的存储路径是()。(选择一项)
实验二:活动目录域服务的安装与配置 实训课时:2 实训目的: 1、理解域环境中计算机4种不同的类型。 2、熟悉Windows Server 2008域控制器、额外域控制器以及子域的安装。 3、掌握确认域控制器安装成功的方法。 实训要求: 这个项目需要分组来完成完成。 1、安装5 台独立服务器win2008-1、win2008- 2、win2008- 3、win2008-4 和win2008-5 要求: 把win2008-1 提升为域树https://www.doczj.com/doc/da8789677.html, 的第一台域控制器; 把win2008-2 提升为https://www.doczj.com/doc/da8789677.html, 的额外域控制器; 把win2008-4 提升为域树https://www.doczj.com/doc/da8789677.html, 的第一台域控制器; https://www.doczj.com/doc/da8789677.html, 和https://www.doczj.com/doc/da8789677.html, 在同一域林中; 把win2008-3 提升为https://www.doczj.com/doc/da8789677.html, 的域控制器, 把win2008-5 加入到https://www.doczj.com/doc/da8789677.html,中,成为成员服务器。 各服务器的IP 地址自行分配。实训前一定要分配好IP 地址,组与组间不要冲突。 2、请读者上机实训前,一定做好分组方案。分组IP 方案举例(以第10 组为例,每 组 3 人):5 台计算机的IP 地址依次为:192.168.10.1/24、192.168.10.2/24、 192.168.10.3/24、192.168.10.4/24、192.168.10.5/24。 3、在上面项目完成的基础上建立https://www.doczj.com/doc/da8789677.html,和https://www.doczj.com/doc/da8789677.html,域的双向的快捷信任关系。 4、在任一域控制器中建立组织单元outest,建立本地域组Group_test,域账户User1 和 User2,把User1和User2加入到Group_test;控制用户User1 下次登录时要修改密码,用户User2可以登录的时间设置为周六、周日8:00~12:00,其他日期为全天。 实验设备和环境 安装虚拟机和WindowsServer2008系统的计算机5台 实训内容: 1.创建第一个域https://www.doczj.com/doc/da8789677.html, ①在win2008-1上设置TCP/IP 协议,并且确认DNS 指向了自己。 ②在win2008-1上安装AD 域服务。 ③在win2008-1上安装活动目录(dcpromo.exe)。注意将DNS服务器一同安装。 2.安装后检查 ①查看计算机名。 ②查看管理工具。 ③查看活动目录对象。 ④查看Active Directory 数据库。 ⑤查看DNS 记录。 3.安装额外的域控制器win2008-2 ①首先要在win2008-2 服务器上检查“本地连接”属性,确认win2008-2 服务器和现在 的域控制器win2008-1 能否正常通信;更为关键的是要确认“本地连接”属性中TCP/IP
Windows Server 2008安全配置基础 一、及时打补丁 二、阻止恶意Ping攻击 我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击: 首先以特权身份登录进入Windows Server 2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口; 其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows 防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目; 接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;
协议类型列表中选中“ICMPv4”, 之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping 测试攻击了。 小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作: 首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallR ules注册表子项,该子项下面保存有很多安全规则;
Windows Server 2012基础系列课程(共33个课时) windows server 2012包含了大量的功能,可解决现代化IT基础架构与员工所面临的各种需求。这一体验的核心在于,需要将更多负载,应用程序,一级服务通(查看全部) 课程标签: windows server 课时相关:共33 课时总时长341 分钟 付费服务:24小时内答疑;所有课时永久观看(不提供下载);专属课件下载;购买送学分。12分钟 Hyper-V 3.0提供的复制特性,允许管理员为现有的虚拟机创建副本,提供了一种简单而实用的故障转移和灾难恢复的方案。 15分钟 Hyper-V 不仅仅给用户提供了一种简单高效的灾难恢复方案,同时在安全性上支持证书身份验证,在副本初始化时,也提供了离线副本的选项,适用于真实的生产环境。 13分钟 虚拟机运行,需要主机计算资源和存储资源,而在Hyper-V 3.0 中,管理员可以根椐需要,非常轻松地随时地对于虚拟机进行自由的移动,包括主机资源的移动和存储资源的移动,并且虚拟机移动过程中,并不会中断提供的服务,实现了实时迁移。 6分钟 在Windows 8 系统之上,用户可以轻松启用集成的Hyper-V 虚拟化平台,相比于Virtual PC,更快更高效地构建各种测试或是演示环境。 8分钟 Hyper-V 3.0中,虚拟机的导入和导出功能得到进一高山茶 https://www.doczj.com/doc/da8789677.html,步的增强,管理员将虚拟机导入到目标服务器之前,不必需在源服务器上导出,它同时提供一个更强大的导入向导,智能地修复可能出现的各种问题。 9分钟 从Windows Server 2008 R2 SP1 开始,Hyper-V 提供了动态内存的特性,以便使Hyper-V 虚拟机平台能够更加适用于虚拟桌面VDI方案,而在Windows Server 2012 的Hyper-V 3.0 中,对于动态内存提供了最低RAM 选项,进一步提高内存利用率,运行更多的虚拟桌面。 7分钟 使用Hyper-V 的快照功能,管理员可以方便的保留当前虚拟机的运行状态,而在Windows Server 2012 中,对于快照的删除,将立即完成合并,简化快照文件管理。
实验五活动目录服务(AD的安装、加入和退出域、域用户的管理和配置) 【实验目的】 1、理解域的概念,掌握AD的安装方法。 2、掌握加入和退出域的方法。 3、掌握域用户的管理和配置,组的规划和建立。 4、了解Windows Server 2003域用户和本地用户的区别。 5、理解组的概念和作用,认识组的类型。 【实验内容】 1、练习AD的安装方法, 2、练习加入和退出域的方法。 3、练习域用户的管理和配置,组的规划和建立 【实验步骤】 一、安装活动目录 1)新建DC的角色。在开始菜单中点击“管理您的服务器”,在打开的画面中点击“添加或删除角色”。 2)在“预备步骤”对话框中,单击[下一步]按钮,出现“服务器角色”对话框后,选择“域控制器”,按[下一步]继续。 3)在“选择总结”对话框中,单击[下一步]按钮,随后会进入AD安装向导过程,(如果直接执行“dcpromo”命令也可以启动AD安装向导,则可以省略前三个步骤),单击[下一步]按钮。 4)出现“操作系统兼容性”对话框,单击[下一步]按钮,在“域控制器类型”对话框中,我们将在这个向导中建立一个新域的DC和林,所以我们选择“新域的域控制器”,按[下一步]按钮继续。 5)选择“在新林中的域”,按[下一步]按钮继续,。 6)出现如下图所示,在“新域的DNS全名”文本框中输入新建域的DNS全名,例如:https://www.doczj.com/doc/da8789677.html, 或者https://www.doczj.com/doc/da8789677.html,或者https://www.doczj.com/doc/da8789677.html,之类的DNS全名。按[下一步]按钮继续。 7)在“NetBIOS域名”对话框中,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。 8)在出现“数据库和日志文件夹”的对话框中(如下图),这些文件夹必须放在NTFS分区上,注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。按[下一步]按钮继续。 9)在出现“共享的系统卷”对话框中,该文件夹必须放在NTFS分区上,在Windows Server 2003中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。按[下一步]按钮继续。 10)在出现“DNS注册诊断”对话框中,这里我们选择为新域安装和配置D N S服务器,选择“在这台计算机上安装并配置D N S……”单选按钮(推荐),按[下一步]按钮继续。 11)在出现“权限”对话框中,选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”,按[下一步]按钮继续。 12)在出现“目录服务还原模式的管理员密码”对话框中(修复目录服务都必须在DC的“目录服务还原模式”下来完成,因为当目录服务正在工作的情况下是不能对它修改的)。这里我们不用填写密码,按[下一步]按钮继续。 13)在出现“摘要”对话框中,详细记录着AD安装信息,按[下一步]按钮继续。
Windows Server 2008是微软下一个服务器操作系统的名称,它将会继承Windows2003。WindowsServer2008在进行开发及测试时的代号为"Windows Server Longhorn"。 Windows Server 2008将会是一套相等于Windows Vista(代号为Longhorn)的服务器系统,两者很可能将会拥有很多相同功能;Vista 及Server2008与XP及Server2003间存在相似的关系。(XP和Server 2003的代号分别为Whistler及Whistler Server) Microsoft Windows Server 2008代表了下一代Windows Server。使用Windows Server 2008,IT专业人员对其服务器和网络基础结构的控制能力更强,从而可重点关注关键业务需求。Windows Server 2008通过加强操作系统和保护网络环境提高了安全性。通过加快IT 系统的部署与维护、使服务器和应用程序的合并与虚拟化更加简单、提供直观管理工具,Windows Server2008还为IT专业人员提供了灵活性。Windows Server 2008为任何组织的服务器和网络基础结构奠定了最好的基础。 Microsoft Windows Server2008用于在虚拟化工作负载、支持应用程序和保护网络方面向组织提供最高效的平台。它为开发和可靠地承载Web应用程序和服务提供了一个安全、易于管理的平台。从工作组到
数据中心,Windows Server2008都提供了令人兴奋且很有价值的新功能,对基本操作系统做出了重大改进。 更强的控制能力 [编辑本段] 使用Windows Server 2008,IT专业人员能够更好地控制服务器和网络基础结构,从而可以将精力集中在处理关键业务需求上。增强的脚本编写功能和任务自动化功能(例如,WindowsPowerShell)可帮助IT专业人员自动执行常见IT任务。通过服务器管理器进行的基于角色的安装和管理简化了在企业中管理与保护多个服务器角色的任务。服务器的配置和系统信息是从新的服务器管理器控制台这一集中位置来管理的。IT人员可以仅安装需要的角色和功能,向导会自动完成许多费时的系统部署任务。增强的系统管理工具(例如,性能和可靠性监视器)提供有关系统的信息,在潜在问题发生之前向IT人员发出警告。 增强的保护 [编辑本段] WindowsServer2008提供了一系列新的和改进的安全技术,这些技术增强了对操作系统的保护,为企业的运营和发展奠定了坚实的基础。WindowsServer2008提供了减小内核攻击面的安全创新(例如PatchGuard),因而使服务器环境更安全、更稳定。通过保护关键