WINDOWS2003笔记

希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 1 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， WINDOWS2003 笔记 DHCP DHCP：动态主机配置 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 1、DHCP 工作流程 （1）客户机请求 IP（DHCPDISCOVER） （2）服务器响应（DHCPOFFER） （3）客户机选择 IP（DHCPREQUEST） （4）服务器确认 IP 租约（DHCPACK/DHCPPNAK） 2、IP 租约更新 当客户机重新启动或租期达 50%时，就需要重新更新租约，如果客户机无法与提 供租约的服务器取得联系，刚客户机一直等到租期到达 87.5%时，进入到一种重 新申请的状态，向网络上所有的服务器广播 DHCPREQUEST。 使用 Ipconfig /renew（更新）命令可以向 DHCP 服务器发送一则 DHCPREQUST 消息。 3、IP 租约释放 使用 Ipconfig /release（释放）命令使 DHCP 客户机向 DHCP 服务器发送 DHCPRELEASE 消息并租约，当移动客户机到不同的网络并且客户机不需要以 前的租约时这是很有用的。发布该命令后，客户机的 TCP/IP 通信联络停止。 Lease 是用单播形式发送的。 169．254 开头的地址是说明没有正常联系到 DHCP。 类级别选项： 客户端设置：用 ipconfig /setclassid “网卡的名称” ID（随便启）查看：ipconfig /all 如成功里面会有一条 DHCP classid 记录 服务器端设置：右击服务器，选定义用户类别—添加—显示名称（随便添）--在 ASCII 是输入 classid，然后就可以在服务器选项、作用域选项、保留选项中配置 的高级上进行配置了。主要作用是让一类拿到不同的 DNS、网关等配置。 英文单词： 客户机请求 IP（DHCPDISCOVER） 服务器响应（DHCPOFFER） 客户机选择 IP（DHCPREQUEST） 服务器确认 IP 租约（DHCPACK/DHCPPNAK） Manual 手动 Automatic 自动 Client 客户端 Static 静态 configuration 构造、配置 Lease Generation 租约产生 broadcasts 广播 packet 包 send 发送 Authorized 授权、批准 scope 作用域 reservation 保留 relay agent 中继代理 boot threshold 启动阀值 命令： IP 租约更新 Ipconfig /renew IP 租约释放 Ipconfig /release 备份：ntbackup 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 2 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 第二章 DNS DNS（Domain Name System，域名系统） FQDN（Fully Qualified Domain Name，完全合格域名） 如果 DNS 里面点域的话，其中的根提示和转发都不能用，因为自己是点域了就 不用根提示和转发了，解决办法删除点域。 使用场景： PING： 加入域： 浏览网页 收发电子邮件 …………………… 名称解析过程： 第一步在IE输入www.baidu.com一回车，客户端就会提交一个查询请求，第二步， 首先会看看要查询的是不是自己（Local Host Name），第三步会查询有一个文件 是HOSTS FILE（有一些文本记录）里面如果有也能解析成功（文件在 C:\windows\system32\Drivers\etc中的HOSTS可以做解析,可以把经常的网站加入 到HOSTS中,可以减短查询的延迟）,第四步:查找DNS服务器,都没查到(一般情况 是计算机不在公网上),第五步,查NetBIOS Name Cache(NetBIOS名称缓存就在客 户端,有在最近时间内有和我成功通讯过的计算机IP地址),第六步WINS Server(解 析NetBIOS和IP的关系)还查不到,第七步,广播,还查不到,第八步查LMHOSTS File(和HOSTS File存在同一位置,写法也一样).都不成功,解析失败. DNS 数据库 正向查找区域:是由 Computer name 解析到 IP 地址 反向查找区域:是由 IP 地址解析到 Computer name 新建区域 主要区域:一般在建区域的情况下用到的都是主要区域,主要区域和辅助区域可以 一起做复制(同步).例:有两台 2003,一个 A 一个 B,在 A 上建一个 ZXY.COM 主要 区域,然后再在 B 上建一个辅助区域也叫 ZXY.COM,必须指定主区域 DNS 是谁. 这样 A 和 B 两台 DNS 就为主辅关系了.搭建好后,这两台 DNS 为共用一份 DNS 数据库.所有对 DNS 的更改,都要在主区域上进行操作.对主区域的更改会自己的 复制到,辅助区域上. 最常用的就是主机记录和 CNAME 记录 Nslookup 命令可以让我们连接到一个服务器上再去查询. NS 记录,查询结果该域的 DNS 是谁. SOA 记录 DNS 一些刷新的时间值.序列号用是 DNS 进行复制的时候,标识那个数 据库更新,那个更旧.刷新时间,是我需要做同步的时候,第多少分钟做一次,重试间 隔,如同步不成功,多少时间重试一次.过期时间重试多少时间还不成功,这个区域 就不可用了. SRV记录叫做服务资源记录只在DNS服务器是同一台服务器的时候才会有,作用 告诉客户端该域的 DC 是谁.例:客户端加入到域,在开机登陆的时候选择登录到域, 希望大家一起学习交流 邮箱：zxy_c@163.com 因为客户端并知道 DC 是谁,此时就会把登录请求发往 DNS,让 DNS 查找 SRV 记 录来告诉客户端DC是谁.如果SRV记录没有,就会倒至客户端无法登录到域,如果 里面 SRV 记录不全的话(MSDCS 最重要的)或没有,可以把 Net Logon 服务重 启,SRV 记录应该就可以创建出来了.不能自己建.建了也不行. 在Active Directory中存储区域:如果把勾勾上数据库都存在活动目录中.如果不勾 数据库存在 WINDOWS 中,是个文本文件,%systemroot%\system32\dns 中. 如果勾上,文件就在%systemroot%ntds 中的 ntds.dit(就不能用记事本打开了) 好外,AD 有自己复制的能力,这样 DNS 的复制就随 AD 一起复制,比较方便了. 别名记录(CNAME)就是主机记录的另外一个名字. 客户端 在 DNS 中注册此连接地址 那个勾最重要的.勾上,这个 客户端就自动的把自己的 计算机名和 IP 地址自动的 注册到 DNS 服务器里.前提 是这个客户端已经属于了 域.这个功能我们叫做自动 更新.在 DNS 上也要设置. 点属性,动态更新,选安全和 非安全都能自己更新成功, 如果选无,即便客户端勾着 那个勾,也无法自动更新进 来. 谢谢！ - 3 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 4 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 如果建 DC 的时候，选择以后配置 DNS，DNS 那几个 AD 文件夹没有出来，第 一步在 DNS 建立出来，以域名为名称的区域，比如域名叫 A.COM 就应该在 DNS 正向查找中建一个叫 A.COM 的 AD 集成区域，在这台 DC 兼 DNS 服务器网卡的 属性里面把 DNS 指成自己，第三步重启 Net Logon 服务，就应该出来了。 Computer 计算机、电脑 enter command 进入命令 Cache 缓存 Alias 别名 清除查询 DNS 缓存：ipconfig /flushdns 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 5 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 2003 的安装 Windows Server 2003 系列产品 1、Windows Server 2003 Enterprise Edition（企业版） 2、Windows Server 2003 Datacenter Edition（数据中心版） 3、Windows Server 2003 Standard Edition（标准版） 4、Windows Server 2003 Web Edition（Web 版） RTM=Release To Manufacture（公开发行批量生产）是给硬件制造商的版本，是 做光盘的母盘的，不用以销售。（厂商制造 OEM 版使用的） OEM=Original Equipment Manufacturer 只能全新安装，内容与 RTM 差不多，用 以与设备一同销售。（安装自己品牌电脑上的） RTL=retail (零售)正式零售版，可以升级或者全新安装。 VLK=Volume License 大量授权版，又称企业版。 在安装时对分区格式化一定要选择完全格式化，对磁盘进行一次完整的检查。 无人值守的安装准备 1、准备安装盘 2、Unattend.txt 文件（CD：SUPPORT\TOOLS\deploy.cab\ref.chm 描述文件）无人值守缺 省的文件,把无人值守的一些信息全部放在这个文件里面,当 2003安装的时候自动的从这 个文件里面读取所需要的信息. 3、Setupmgr.exe(CD:\SUPPORTTOOLS\deploy.cab\setupmgr.exe)运行这个文件, 希望大家一起学习交流 邮箱：zxy_c@163.com 创建和管理用户帐户 用户帐户的类型 1、本地用户帐户（在工作组下创建） （1）使用“本地用户和组”创建 （2）存储在 SAM 数据库中（C:\windows\system32\config 在登录的时候用户名 和密码会发送到 SAM 数据库中去验证密码） （3）登录时进行本地身份验证 2、域用户帐户 （1）使用“AD 用户和计算机”创建 （2）存储在 Active Directory 数据库中（C:\windows\ntds\tds.dit） （3）登录时进行网络身份验证(通过网络发送到 AD 上去验证密码) 创建用户帐户 1、本地用户帐户 （1）本地用户和组——lusrmgr.msc （2）Net user net user 可以看到本地用的列表 net user name password /add 创建用户 net user name 新的 password 就可以改用户密码（不用输旧密码） net user name /del 删除用户 （3）脚本 2、域用户帐户 （1）“AD 用户和计算机”——dsa.msc （2）User add （3）脚本 有关本地用户帐户的讨论 不仅存在 SAM 数据库里，一部分信息存储在注册表里。 Regedit—HKEY_LOCAL_MACHINE—SAM 下 SAM—DOMAINS—Users—names 下就有电脑里所有用户。 SID 的结尾一般都是几百 或几千的数字，现在类型 所显示的值就是该用户 SID 结尾的那个数。 1F4=500，也就是说管理员 的 SID 的结尾就是 500（所 有计算机管理员的 SID 结 尾都是 500） 谢谢！ - 6 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 希望大家一起学习交流 邮箱：zxy_c@163.com 用户在注册表里有两项与用户对应，淡蓝色标注的。 如果把与管理员对应的 F 值复制到任意一个用户的 F 值，那么这个用户也就拥 有被复制管理员的一切权限、桌面等。 创建隐藏帐号： 用命令提示符：1、net user zxy$ 123 /add 创建一个 zxy$的用户 2、打开注册表， 在里面可以看到 zxy$这个用户，再把管理员的 F 值复制到 zxy$的 F 值 3、把注 册表里对应的两项注册表值导出，在 zxy$上右键导出，再把和 zxy$对应 User 下 的值导出。3、在命令提示符下用 net user zxy$ /del 删除 zxy$，去看注册表，里 面就没有了。4、把导出的两个注册表项再导进去，注册表里的用户又回去了， 可是在命令提示符下用 net user 查看用户里面没有 zxy$这个用户了，本地用户和 组里面同样看不到 zxy$，不过 zxy$是可以登录的。 （问题：在建好 zxy$的时候用命令行 net user 怎么看不到 zxy$的用户，用 lusrmgr.msc 里可以看到，把管理员的 F 值复制过去用 zxy$登录桌面跟管理员的 一样，可是在 lusrmgr.msc 里的隶属里还是 user，权限是管理员的权限）。 用户帐户的密码 1、最长 127 个字符 2、存储在 SAM 数据中或 AD 中 3、默认较弱的加密方法（加强 windows 加密密码方法，直接运行 syskey） 4、空密码的问题（对 XP 和 2003 讲相对比 1234567 的密码显得更安全，最好还 是设的够长够复杂） 5、密码策略 谢谢！ - 7 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 希望大家一起学习交流 邮箱：zxy_c@163.com 用户配置文件 1、什么是用户配置文件（不用身份登录的时候，像桌面、IE 配置、开始菜单、 我的文档等等都不一样。） 2、用户配置文件的类型 本地：在 C:\Documents and Settings 漫游： 1、在存在漫游配置的电脑上建一个共享文件夹 zxy（权限所有人完全控制） 2、在用户上点属性—配置文件（\\存放 zxy 文件电脑的名或 IP\zxy\%username%） 强制漫游： 在存放漫游配置文件的电脑上，改那个用户文件夹中的 NTUSER.DAT 文件改成 NTUSER.MAN 就成了强制漫游配置文件了。 无论在桌面添加什么，注销再登录都又回复到原样了。 3、如何使多个用户使用同一个用户配置文件 改 注 册 表 ： HKEY_LOCAL_MACHINE---SOFTWARE---Microsoft---Windows NT---CurrentVersion---Profilelist 里。 红色部分就是 SID 号（结尾是 500 的就是 Administrator）， 右边的 Profileimagepath 的值来 指明配置路径，如果想让多个人 拥有一个配置文件路径，把多个 人的 Profileimagepath 值用同一 个值来替代（如都想用管理员的 配置文件，就用管理员的值替代）。注意，多个用户必须有权力读写共用配置文 件夹的权限。 如果在 XP 上只能选用户，不能自己输用户的话，按住 Ctrl+Alt 再按两下 Delete 键就可以了。 谢谢！ - 8 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 9 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， NTFS 特性在 2003 上的体现 Windows 2003 支持的文件系统 1、文件分配表文件系统（FAT） 2、紧致磁盘文件系统（CDFS 就是 CD-ROM） 3、通用磁盘格式文件系统（UDF 针对 DVD 格式） 4、NTFS 文件系统 NTFS 的目标 1、文件与文件夹精细的安全权限 2、支持加密文件系统 3、文件压缩（自动） 4、设置磁盘限额 5、联结点 命令： Set U 显示当前的 USERDOMAIN、USERNAME、USERPROFILE Convert F: /fs:ntfs 单词： Everyone 每个人 creator 创建者 owner 所有 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 10 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 网络共享资源的各种访问方法 1、容易的方法：通过网上邻居 2、便捷的方法：映射网络驱动器 3、直接的方法：通过 UNC 路径 4、专业的方法：通过命令 Net use m: \\192.168.3.3\共享名（M代表映射的盘符） 通过 DFS（分布式文件共享） 通过活动目录发布 如何确保共享文件夹的安全 1、共享权限（通过网络访问的形式共享权限生效） 2、NTFS 权限（从本地访问会生效） 3、AD 中共享文件夹的权限设置（活动目录访问生效） 网络互访可能出现的问题 可能导致问题的原因 1、默认情况下的简单文件共享（用 Guest 用户进行访问） 2、组策略中相关的安全设置 运行 gpedit.msc—计算机配置—Windows 设置—安全设置—本地策略—用户权利 指派中的“拒绝从网络访问这台计算机”中把 Guest 用户给删除（如果用的是简 单文件共享，在用户中启用 Guest 用户，系统默认是禁止 Guest 用户，在这里要 把 Guest 给删除再能正常访问）。 运行 gpedit.msc—计算机配置—Windows 设置—安全设置—本地策略—安全选项 里面的网络访问：本地帐户的共享和安全模式改为经典（要重新启动才能生效） 帐户：使用空白密码的本地账户只允许进行控制台登录（控制台就是指坐在电脑 前面进行操作） 3、防火墙设置 开启防火墙—例外把“文件和打印机共享”给勾上 2003 网络互访新特性 卷影副本： 客户端设置：部署卷影副本客户端，在 2003 的 C 盘下（可以通过 UNC 路径去 访问 2003 下的 C 盘），在 Windows—system32—clients—twclient—x86j 里的 twcli32.msi(MSI 格式的可以通过组策略去部署)安装就可以了。 服务器端设置：右击所要启用卷影副本的分区，选属性，只有 NTFS 分区才支持。 （修改的多，可以把时间设置的短一些，修改的少可以设置的比较长一些）。 Client 客户 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 11 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 活动目录的 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 及部署方法 活动目录的设计 What Does Active Directory Do?(活动目录是干什么用的) Centralizes control of network resources(集中管理网络资源) Centralizes and decentralizes resource management(管理集中资源和分散的控制) Stores objects securely in a logical structure(存储对象也叫安全主体) Optimizes network traffic(优化网络性能) The logical structure of active directory (活动目录逻辑结构) 在一个域内数据必须是一样的,在两个域内数据可以不一样,会有些区别. 安全策略只能应用在域级别 OU 跟据企业中的实际情况创建，例：总经理一个 OU，副总经理一个 OU，财务、 生产等等一个 OU，不同的部门可以划分不同的 OU，跟实际的管理模型十分贴 近的。也可以根据地理位置划分，不过考虑复制流量等问题，最好还是按部门进 行划分。 OU 和组的区别：OU 是体现管理模型的，组用于集中权利和权限的管理。 如果属于生产部门的 OU，就不能属于财务部门的 OU，因为 OU 是容器。 组：我一个人可以属于不同的组。属于不同组，可以继承不同组权利的集合。 What ls the Global Catalog？(什么是 GC)GC 全局编目服务器，一个森林里一定有 一个 GC，默认森林的第一个 DC 就是 GC。在 GC 会存域对象的副本会丰在 GC 上，GC 只存所有子域对象的一个子集，只有 4%的会存到 GC 上。可以查 GC， 可以查所有森林中的对象。 通用组：组成员身份都会存在 GC 上。如果 GC 坏了，会倒至所有通用组的成员 无法正常登录。 建意一个森林至少有一台 GC。 The physical structure of active directory(AD 的物理结构) Sites:站点（一组高速的物理链路）站点与站点复制是压缩的 15%，采用通知机 制的。 Domain controllers：DC 域管理员 WAN links：宽带链接 What ls Replication Topology?什么是复制拓扑 是靠 KCC（知识一致性检查）组件，统一生成复制拓扑。搭建好域就自动产生 了。当森林结构发生变化，KCC 就重新计算，重新生成。 站点之间复制：site link Requirements for installing active directory(安装活动目录的要求) A computer running windows server 2003(计算机运行 windows 2003) 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 12 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， Minimum disk space of 250 MB and a partition formatted with NTFS(要求磁盘空间 250MB 和分区必须是 NTFS 格式) Administrative privileges for creating a domain （创建域需要有管理员权利） TCP/IP that is installed and configured to use DNS An authoritative DNS server that supports SRV resource records NDS and active directory namespaces How（方式） to create（搭建） active directory（怎么样搭建域） 直接搭建：Dcpromo 通过媒体：Dcpromo /adv(从所备份的媒体中搭建活动目录) 1、运行 ntbackup—选择备份 把 system state(系统状态)备份，然后拿到需要装 这些数据的地方，解压，再用 Dcpromo /adv 进行搭，好处省了大部的数据同步 过程。 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 13 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 创建 Windows server 2003 AD 域 目录服务 结构化的网络资源（如：计算机、用户、打印机……）信息库 AD 能做什么？ 1、逻辑组织网络资源 2、集中控制网络资源 3、集中、分散资源管理 如想容错和负载均衡，可以选现在有域的额外域控制器。 建立活动目录数据库和日志文件放置在不同磁盘里，有利于提升活动目录的工作 性能。 目录服务还原模式起动了 DC，目录服务是不起动的。建议设置强密码。 检验 AD 安装 1、SYSVOL （是否安装正确，还有个子 SYSVOL 是否共享，会有一个以域名命的子文 件夹，子文件夹下还有 policies 文件夹和 scripts 共享文件夹，scripts 存放着一些 开机关机一些注册脚本） 2、AD 数据库文件、日志文件（看一下文件是否安装正确） 3、SRV 在 DNS 里以域名命令的区域，_msdcs.domain name.com 和 domain name.com 两个正向查找区域，在_msdcs.domain name.com 下有一条与 FQDN 对应的记录 要 存 在 ， domain name.com 下 面 有 _msdcs\_sites\_tcp\_udp\_domainDnsZones\ForestDnsZones 在_sites\_tcp\_udp 中有 相应的 SRV 记录） 4、缺省 AD 结构 打开 DC 命令：dsa.msc 打开活动目录和计算机：有 Builtin 文件夹存内在的安全组，Computers 文件 夹内存计算机，Domain controllers“缺省 OU” 如果创建额外 DC 从这里 COPY 目录就有些不一样了。 5、事件日志 打开命令：eventvwr.msc 去看一下安装是否产生错误 移除 AD AD 安装向导 如果删除一个子域，至少是企业管理员组的成员 解决常见问题： 1、访问拒绝（创建添加 DC） 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 14 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， （1）未以本地 Administrators 组成员身份登录（无法创建根域） （2）所提供凭证不是 Domain Administrators 或 Enterprise Admins 组成员身份（无 法添加子域或一棵树） 2、NDS 或 NetBIOS 名称不唯一 3、不能联系到域 （1）网络通讯问题（不能联系到主 DC、不能联系到 DNS，查看一下通讯） （2）DNS 错误（指向域内的 DNS） 4、磁盘空间不足 组类型： 分发组：用于 e-mail 应用程序 与安全权限无关 安全组：用于分配权力、权限 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 15 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 组策略的配置与排错技巧 什么是组策略 组策略可以： 1、集中化管理 2、管理用户环境 3、降低管理用户的开销 4、强制执行企业策略 组策略的组成 Group Policy(策略) Object(物体\目标):组策略对象简称 GPO,每一个 GPO 都由两 部分组成,都分别存放在两个位置.(GPC 和 GPT) 包括组策略设置 存储在两个位置 Group Policy container(容器):组策略容器,存放在活动目录数据库中. 存储在 Active Directory 中 保存版本信息 Group Policy Template(模板):组策略模板,主要保存在组策略里所有调整工作,包 括设置的桌、IE 的设置、软件分发等都存在在 GPT 里， 存储在 SYSVOL 文件夹中 保存组策略设置 注：备份组策略不能通过仅仅把 SYSVOL 文件夹备份下来实现，它还存在 GPC 里也有。 组策略都有两部分设置：一部分计算机设置，一部分用户设置。 GPMC——强大的组策略编辑器 1、更简单的管理界面 2、更直观的视图 3、支持拖曳 4、备份、还原 5、导入、导出 6、WMI 筛选器 组策略的继承关系 1、默认继承 2、阻止继承 3、强制继承 4、设置权限（如果想让 OU 里某个单独用户不继承 OU 上的组策略，可以在那 个用户委派里设置拒绝应用组策略） 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 16 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 活动目录的维护、备份与修复 What are Operations(操作) Masters（主控）？ 五种操作主控 1、schema master 架构操作主控 2、Domain naming（命名） master 域命名主控 3、PDC emulator PDC 仿真器 4、RID master RID 主控 5、Infrastructure master 基础结构主控 schema master 和 Domain naming master 只有根域 DC 才会去存。 PDC emulator PDC 和 RID master 和 Infrastructure master 在所有森林域都会存， 每个域都会有一台 DC 去维护这三个角色。 默认情况下 GC 会拥有这五种角色，子域第一台 DC 会拥有这三种角色。 Schema master 主要存储 AD 数据库原始数据，有关如何定义 AD 数据库的数据，修改 schema master 需要在有架构主控的 DC 上去完成。 如何查看 schema master 在命令提示符下输入：regsvr32schmmgmt.dll（要先注册这个动态链接库）然后在 MMC 中添加删除管理单元，找到 AD 架构。分成两项：类别和属性 有关 Domain Naming Master 由他来查看，新建域的域名是不是和以有域的域名重复。 查看 Domain Naming master 在 AD 域和信任关系，右击操作主机。 搭建新域的时候会用到 Domain naming master。 PDC Emulator 除了存在当前森林的第一台 DC 上，还会存在整个森林每个子域的 第一台 DC 上。 1、有两台 DC，DC1 和 DC2，如果用户需要更改密码，是到 DC1 上去改呢？还 是到 DC2 上去改呢，他会到 PDC Emulator 上改密码。 2、设置组策略也是在 PDC Emulator 上去做的，看上去在那台 DC 都可以改，可 实际上是系统后台连接到 PDC Emulator 上，由它去修改组策略的以及由它做组 策略的生效操作。 3、是当前域内的时间服务器，同步时间时去使用的，域内的复制时间是 5 分钟， 谁去同步域内的时间？是由 PDC Emulator 去做。 4、如果一些老的客户端，也要用到 PDC Emulator 去验证登录。 查看 PDC Emulator 打开 AD 用户和计算机，右击域选择操作主机。同样可以看 到 RID master 和 Infrastructure master RID Master (Object SID=Domain SID+RID) 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 17 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 操作系统不是去认你的用户帐号，而是去认你的相对的 SID，在森林中有很多的 域，我们去创建不同的帐号，如何去维护在两台 DC 中创建帐号，所使用的 SID 不重复，就由 RID Master 去管理了。 查 SID：whoami /all 其中有一行是 SID 中间三段长的，是标识你的域的，不同的 域标识会不一样。开头都一样 S-1-5-21，最后的是域内的由 RID 去做标识，最近 一段我们就叫 RID，由域的标识符和 RID 统一构成了 SID，由 RID Master 来决定 RID 的分配，避免重复的发生。 Infrastructure master 负责 AD 模式，也就是组嵌套的关系。 注意：如果当前不是单域模式，是多域模式，建议把 GC 和结构主控分开，如果 不分开，那么结构主控不会生效。 用命令查看当前域的 master 都在那台服务器上 命令提示符：netdom query fsmo(要装一个东西现在还不知道) 活动目录的备份和还原 1、移动活动目录数据库 （需要进入活动目录恢复模式，活动目录数据库是不工作的，开机按 F8） 打开命令提示符：ntdsutil—files—move db to %s(%s 例 d:\)，日志文件不会移动， 只是把数据库文件移动过去了。 移回去 ntdsutil—files—move db to c:\windows/ntds 2、压缩活动目录数据库 必须进入目录还原模式。 Ntdsutil—files—compact to %s 压缩成功后把旧的数据库给替换掉。 3、如何备份活动目录数据库 （不用进活动目录恢复模式）用 ntbackup 备份系统状态数据。 4、如何还原活动目录数据库 还原也是进入目录还原模式，同样使用 ntbackup 主还原（当前服务器全都坏了，连操作系统和活动目录数据一块还原） 正常还原（操作系统正常，进行活动目录数据还原） 授权还原 正常还原后，命令提示符：ntdsutil—authoritative restore(可以简写)—选择要授权 还原的数据库或对象或一个子树目录。 Functionality 功能性 问题：第一台 DC 是 GC，那么想再让一台 DC 做为备份的 GC，是用这个森林里 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 18 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 子域服务器做好，还是用森林里中另外一个域做好，如果给第一台 DC 做了一个 额外控制器了，那么那台额外控制器是不是就自动成为 GC 了？ 多域指的是什么？例如有一台根域还有一台域的额外控制器叫不叫多域，或一个 要域和一个子域，或一个根域和另外一个根域现个根域属于同一个森林，或一个 根域和另外一个域不属于同一森林，但建立的信任关系，上面的是不是多域模 式？ 五种主机：架构主机在整个森林中的第一台 DC 上，RID 主机、PDC 仿真主机、 结构主机默认是域的第一台 DC 上，其中的域指的是不是根域（abc.com）算是 一个域，里面有后面三种主机，根域(abc.com)的子域(zxy.abc.com)的第一台 DC 上有三种主机，根域的再一个子域(bj.abc.com)还具有三种主机角色？ 如果 zxy.abc.com 怎么再建一个 zxy.abc.com 域进行主机角色的传递。是不是就是 再建个 zxy.abc.com 域的额外控制器啊？再进行传递。（域的额外控制器不就是域 的一个备份形式的吗？那么如果给 GC 做一个域的额外控制器，那这个额外控制 器是不是 GC 的角色和同样具有五种主机角色） 结构主机的传递实验怎么做？ 如果是多域的模型，结构主机不能和 GC 是同一台服务器，那么要进行结构主机 的传递，实验怎么做？要建几个域，我建的了一个根域 abc.com 和一个子域 zxy.abc.com,查看结构主机的时候两个域都有结构主机的角色。 备份活动目录数据库： 1、可不可以在目录还原模式下直接把 ntds.dit 复制出来。 2、用 ntbackup 备份系统状态数据，在恢复的时候除了活动目录数据库恢复回去 外，那其的 boot files\com+\registry 也都恢复到原来的地方，会对系统有什么 影响吗？ 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 19 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 如何使用 2003 搭建 VPN 服务器 Agenda(议程) 1、Introduction（初步、入门） to a Netword Access（访问） infrastructure（下部 结构、基础下部组织） 网络访问基础结构 2、Configuring a VPN Connection（连接） 如何配置 VPN 连接 3、Controlling（控制） User Access to a Netword 如何控制用户访问网络 4、Centralizing（集中） Network Acess Authentication（验证、证明签定） and Policy （政策、方针） Management by using IAS Components(组成) of a Network Access Infrastructure 网络访问的基础结构 1、Network access service 2、Network access clients 3、Authentication( 验证、签定、证明) service 4、Active Directory(not 不 required 必需) VPN 默认的 Authentication 传送是 MS-CHAP v2 加密的 如果是工作组模型身份验证发送给本地的 SAM 数据库。 Encryption(加密) Protocols for a VPN connection（连接） VPN 连接用到的加密协议 ppt 关于艾滋病ppt课件精益管理ppt下载地图下载ppt可编辑假如ppt教学课件下载triz基础知识ppt P：点对点传输协议，默认采用，内置一套加密算法。 只针对以太网。 L2TP/IPSec：不是默认启动，默认不加密，如果要加密，需要和 IPSec 一起使用。 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 20 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， 2003 安全策略 在工作组模式下，输错一次密码相当于输错两次，因为在工作组模式下去登 录的话，他会首先采取 kerberos 的验证方法，kerberos 是域环境下的验证方法， 其次他才会使用 ntlm,ntlm 是工作组模式验证机制，在你输错的时候，这两种方 式他都会验证一遍。所以就倒至了输错一次，就相当于输错两次。 DC 上有域安全策略和域控制器安全策略两项 默认域控制器安全策略：当你去搭建一台 DC 之后，是对 DC 的一些安全设置， 都会存在这个默认域控制器安全策略上面。 默认域安全策略：就是域策略。对域生效的安全策略。 What Are Security Templates?(什么是安全模板) 安全模版 系统为我们内置好了的一些设置。 MMC 打开安全模板可以通过定制这些安全模板，来在计算机生效。 怎么把定制的安全模板导放到组策略里。 打开 AD 用户与计算机，右击域选属性，点组策略标签，新建组策略 test（避 免不破坏默认的域策略），选择编辑打开组策略，右击安全设置（安全模板就是 跟安全设置相关的内容）选择导入策略，就会弹出安全模板中的那些定制好的设 置，这样安全设置都变成模板里的设置的。 另外一种对安全模板的 使用方法 消防栓的使用方法指针万用表的使用方法84消毒液使用方法消防灭火器使用方法铁材计算器使用方法 ，如果我不想把安全模板应用到所有用户， 只希望用到几到 DC 服务器上，就用到“安全配置和分析”这个了。 打开 MMC，添加管理单元，添加安全模板和添加安全配置和分析，安全配 置和分析可以把模板里所配置的直接应用到本计算机，就是你要配谁就在那台使 用安全配置和分析，配置完是即刻生效，他的原理是：安全配置和分析有个数据 库，然后有个安全模板，把安全模板里定制的一条条的策略，导入到数据库当中， 然后在数据当中做分析，如果分析结果还可以的话，把他直接配置到客户端口的 计算机上面。右击选打开数据库，当前数据库是没有的，要先创建一个数据库， 紧接着就弹出一个导出安全模板的对话框，点要导入的安全模板，现在就要分析 一下当前的定制和计算机里的策略有那些区别，在安全配置和分析右击打立即分 析计算机，然后打开里面的设置看，如果是绿勾就说明安全模板里的设置和当前 计算机设置是一样的，如果是红叉就说明不一样，如果是问号则说明没有去分析， 因为计算机没有做这项设置或数据库没有做这项设置。 可以通过安全设置和分析知道那些设置将发生更改。 如果满意就可以右击安全设置和分析，选择立即配置计算机。 注：如果安全配置和分析的数据库设置的是没有定义，那么他不会去覆盖计 算机的设置，计算机继续保留原来的设置。 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 21 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， Secedit（安全编辑器）这个命令是跟安全配置和分析相关的。 使用 IPSec 加强系统安全性 Internet 的美妙之处在于你和第个人都能互相连接 Internet 的可怕之处在于每个人都能和你互相连接 脆弱的网络 1、网络本身的脆弱 2、病毒、蠕虫泛滥 3、攻击事件越来越多 4、攻击方法越来越多 5、网络信息资源的风险性 6、人为因素 黑客常用攻击手段 1、网络监听 2、数据篡改 3、欺骗 4、中间人攻击 5、密码破解 6、缓冲溢出 网络安全范畴的四大标准 1、数据保密性 一般指的加密。 2、数据完整性 防止数据篡改，例啥唏算法。 3、认证 身体验证，例密码身份验证、智能卡、指纹等等 4、不可否定性 指干了一件事，但我想不承认。 IPSec 可以帮助我们完成上面四大标准 什么 IPSec IPSec 是网络安全业内的一个标准，这个标准不但 windows 支持，像 unix、liunx 等等都支持。 就 windows 来讲从 2000 就内置了这个功能。 什么 IPSec 策略 1、IPSec 使用策略和规则提升网络安全性 2、规则包含 （1） 筛选器 希望大家一起学习交流 邮箱：zxy_c@163.com 谢谢！ - 22 - “走在左边”根据 TECHNET 老师讲课整理，能对大家有所帮助，如果转贴请保留完整文档， （2） 筛选器动作 （3） 身份验证方法 3、默认策略(windows 自带的) （1） Client(Respond Only) （2） Server(Request Security) （3） Secure Server(Require Security) IPSec 能做什么 1、加密数据 2、关闭端口 例：利用 IPSec 关端口 先看看系统上那些端口开着呢，用 netstat –na(-na 是两个参数)，state 例下如 果是 listening 就说明这个端口是开着的。 新建一个 IPSec 安全策略，名称 close 139 下一步，不激活默认响应规则， 完成。规则下点添加，寻址，从任何地址到我的地址，协议 TCP，设置 IP 协议端口，从任意端口到 139 端口。确定，筛选器操作不让通过。 3、禁用协议 例如 PING，如果 PING 的包足够大的话，被 PING 的 windows 机器就蓝屏，是 TCP/IP 协议所导致的。超过 65500 就会蓝屏。 Ping 192.168.1.1 –l 65500(windows 规定-L 值最大到 65500)超过 65500windows 不 会让 PING 的。 打开 IPSec—MMC，添加 IP 安全策略管理，可以管理本地计算机、AD 域、另 一个 AD 域、另一台计算机的 IPSec。在 MMC 里就打开了 IP 安全策略了，右边 有三个默认的安全策略，如果想用默认的右击点指派就可以了。 例：自己设置 IPSec，做一个不让别人 PING 我的策略。 在 MMC 中右击，选创建 IP 安全策略，下一步，起个名（NO PING），下一 步把激活默认响应规则去掉，因为他里面有些默认的规则，我们现在不用， 下一步，是否编辑属性，如果不勾，策略建出来了，但什么也没有，是空的。 编辑 NO PING，双击打开属性界面，选添加，如果不想让别人 PING 我，一 是定义数据类型，二定义这种数据类型通过的动作。在筛选器下面定义的就 是数据类型，选添加，给筛选器取个名字（PING），再选添加（就是添加筛 选器的内容），寻址标签下，源地址选从任何地址，目标地址选我的地址， （注意：镜像的意思是，如果勾上，别人 PING 不了我，那么我也 PING 不 了任何人了）。协议标签下，选择协议类型，先 ICMP，确定。 数据类型定完了，那么要定义这