第五章：
文件系统：是文件存储在介质上的一种格式，没有文件系统的介质是不能使用的，常见的文件系统有很多，但是Windows系统可以支持FAT,FAT32,NTFS,NTFS的优点比较多，所以微软推荐我们采用NTFS文件系统作为首选。
在2000的操作系统上NTFS的版本为ntfs 5.0;XP的操作系统上NTFS的版本为ntfs 5.1;在2003的操作系统上NTFS的版本为ntfs 5.2
转化FAT文件系统成为NTFS文件系统的命令convert x:/fs:ntfs 经过转化的分区文件是不会丢失的（格式化会丢失文件），并且只能将FAT转化为NTFS而不能将NTFS转化为FAT
NTFS权限：是一种限制用户谁能访问和怎么访问的方法，对文件夹来讲共有6个，另外还包含一个“特别权限”。
1读取权限：限制用户谁能够读取文件内容
默认情况下一个普通的USERS组的用户是没有权限在磁盘的根目录下创建单个文件的，但是可以创建文件夹
打开权限的属性后会发现有两部分组成，其中包含很多用户和组的部分，把它称为ACL（访问控制列表），包含权限的具体设置的部分，把它称为ACE(访问控制进入)，ACL确定了谁能够访问文件，而ACE确定了究竟有什么权限能够访问
2写入权限：限制用户谁能够进行修改文件内容，创建文件夹和子文件
实验：体会写入权限和强制继承的功能
jack用户在E:\根目录下创建一个file文件夹，在文件夹中创建一个文件xiaoshou,此刻利用文件权限，jack在"xiaoshou"文件上设置权限，只允许jack用户读取，其他任何人都不能访问（包括管理员），使用administrator登陆计算机访问该文件，发现不能访问，使用jack用户登陆计算机，设置file文件夹的权限，使用户jack完全控制该文件夹，而administrator对文件夹和文件夹中的所有文件都具备读取权限（将权限强制到所有的文件中），使用administrator登陆计算机，发现可以对xiaoshou文件进行访问，但是不能修改其中内容
3读取及运行权限：可以使用户读取文件内容并且可以运行可执行文件
实验：创建一个a.bat的可执行文件，允许jack用户读取和运行，administrator只能读取和写入文件
权限的属性：
权限是累积的 （权限最大化）
拒绝优先（拒绝权限选项将忽略在特定对象上准许用户的权限）
实验：
对“销售”文件设置权限，可以由任何用户（ereryone）进行访问,只有jack不能进行访问，此时可以使用拒绝优先的特点
权限的继承：对给定文件夹分配的权限能够默认传播给子文件夹和文件
权限的所有者：每个对象都有所有者，所有者控制如何设置对象的权限以及将权限授予谁，创建对象的人将自动成为其所有者，当前所有者可以授予其他用户“获得所有权”权限，管理员可以获得其管理级控制下的任何对象的所有权，具备完全控制权限的用户也可以成为所有者
特别权限：NTFS 5.2中提供了13个权限细致项目，通过权限的细致项目可以调整权限成为特殊权限，其实标准的NTFS权限也是由这些权限组成的
文件的审核：管理员设置某个文件在被其他用户访问时记录这些访问的事件
1首先需要设置NTFS审核
2将本地的安全策略对象审核机制打开
3通过事件查看器查看发生事件
第六章：存储管理
基本存储和动态存储
基本存储采用基本磁盘，分区
动态存储采用动态磁盘，动态卷
MBR磁盘利用DPT分区表进行分区记载，GPT磁盘采用GPT分区表进行分区记载，DPT分区表最多可以分4个主分区，而GPT磁盘最多可以分128个主分区
分区类型：主分区，扩展分区，逻辑分区
主分区主要负责操作系统的引导，一般在硬盘最前面的区域，主分区以外的分区都是扩展分区，在扩展分区中包含逻辑分区
实验：
在虚拟计算机上添加四块磁盘，打开磁盘管理控制台，diskmgmt.msc;初始化磁盘，不要升级
动态磁盘使用动态卷，也就是往往说到的RAID（廉价冗余磁盘阵列），RAID能够将很多的磁盘构成由一个逻辑驱动器号字母表示，可以将很多的磁盘容量聚合在一起，同时RAID有不同的形式，不同的RAID可以实现冗余备份或容量聚合的功能，常用的RAID技术分为硬件 RAID和软件RAID，2003上提供的是软件RAID，软件RAID使用简单灵活，成本低，但是功能不是特别完善，硬件RAID功能完善但是造价高
2003提供的动态卷有五种类型
简单卷
跨区卷
带区卷RAID-0
镜像卷RAID-1
RAID-5卷

 

VM采用桥接方式连网，虚拟机将采用虚拟计算机自己的虚拟网卡，和物理计算机的物理网卡进行通讯，保证虚拟计算机和物理计算机使用桥接连网必须保证物理网卡启用并且连接，与虚拟计算机网卡在同一个网段
VM采用的仅主机连接，使虚拟计算机只能和当前物理计算机通讯，并且将采用的物理计算机的VMNET1这块网卡和虚拟计算机的网卡进行通讯，
BOOT.ini文件的作用：Windows操作系统的系统启动菜单装载的文件，此文件只存在于计算机的C:\目录下，主要由两个部分组成，全局参数和局部参数，不要在这个文件某一个完整行内进行硬回车
[boot loader]          #启动装载项#
timeout=30  #系统等待用户选择的时间为30秒（如果计算机安装只有一个操作系统，此项不生效），timeout=-1操作系统将永远等待用户选择操作，timeout=0操作系统将直接进入默认的操作系统#
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS   #此路径被称为ASR路径，default表示默认进入的操作系统所在的位置，multi(0)表示磁盘的接口类型为IDE（IDE集成驱动设备接口，SCSI小型计算机接口，ISCSI,ESCSI,SATA）磁盘的编号从0开始算第一块scsi(0:2)表示第一个scsi卡上的第三块磁盘，disk(0)表示当前磁盘的编号，rdisk(0)启动磁盘的编号partition(2)表示系统文件所在的分区为D:盘，分区是从1开始算C:，2开始算d:盘，windows所表示的含义为系统文件夹的名称叫windows,(如果使用2000的服务器ASR路径中系统文件夹名为winnt,XP操作系统的文件夹名为windows)#
[operating systems]  #当前计算机上所有的操作系统#
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows Server 2003, Enterprise" /noexecute=optout /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows Server 2003, Enterprise" /noexecute=optout /fastdetect
C:\="Microsoft Windows"
第三章：系统环境
打开控制面板：control
打开服务管理控制台services.msc
开启许可证服务license logging
将物理计算机的主题更改为“XP风格”
如何将可移动磁盘自动挂载到2003服务器上 mountvol /e
如何使用添加删除组件完成工具或服务的添加
微软管理控制台：mmc,可以将很多的微软管理工具集合在一个窗口中，进行集中配置，系统中会内置一些MMC（管理工具中），几乎所有的mmc都可以通过命令来打开，以.msc结尾的文件就是控制台文件，打开空的控制台可以通过mmc直接打开
实验：1将“计算机管理控制台”，“本地用户控制台”，“性能控制台”添加到新的控制台中2在计算机管理单元上添加“管理模板”，同时在模板中添加“任务”，任何在系统盘windows\system32\下的.exe程序都可以作为shell命令添加到模板中，
MMC有两种模式：用户模式和作者模式
windows注册表：是Windows系统特有的一种工具，包含了几乎所有硬件和软件的信息，是一个二进制的数据库，只能够通过注册表编辑器编辑，打开注册表编辑器的方法有两个，regedit和regedt32都可以打开注册表的编辑器，分为：五个配置单元，若干项，若干子项，以及若干的值
服务的管理：services.msc,服务可以启动，停止，暂停，禁用；服务的禁用需要考虑服务之间的依存关系，workstation服务是系统作为工作站访问的一个服务，如果此服务停止，那么此计算机就不能访问其他计算机的网络资源，server服务是系统作为服务器的一个服务，如果此服务停止那么此计算机就不能被别的计算机访问
第四章：本地帐户和组
如果两台计算机本地帐户名和密码一致，相互访问时不需要输入对方用户名和密码，用户名的表示方法是：计算机名\用户名（pc4\administrator）
查看当前登陆用户的SID号可以使用whoami /user命令
SID安全标识符，记录系统上对象的一种方法，一台计算机上的不同用户SID肯定不同，不同计算机上的同名用户SID也不同，因为SID是由计算机ID，组ID，用户ID构成，所以导致了唯一性；默认情况下，Windows操作系统上的administrator用户ID为500
帐户分为两类：本地帐户和域帐户，本地帐户存在于本地计算机上（可以在独立服务器上和域成员服务器上存在），域帐户只能存在于域控制器上，但是域帐户可以使用户登陆到整个网络
密码的策略：
考虑到网络上黑客进行攻击时采用的密码破解方法（穷举法和字典攻击），我们的密码要尽量复杂，并且不要使用固定的单词或词组，有以下的规则可以遵循：
密码长度的设置：密码的位数必须符合计算机的安全策略设置长度
密码复杂性设置：用户的密码必须包含“大写字母，小写字母，数字，标点符号”四个当中的任何三个，并且密码中不能包含administrator和admin
密码最长使用期限：密码的最长使用期限为42天，当超过28天的时候系统会提示你修改你的密码，如果不修改那么当超过了42天时计算机强迫你修改密码
密码最短使用期限：当设置密码后，不能立即修改需要经过几天才能修改
密码历史：系统会机住你曾经使用过的几个密码
密码重设盘：使用软盘创建密码重设盘，防止密码在忘记的时候可以进行重新设置密码
系统的内置帐户：安装系统后出现的帐户，系统上自带的帐户administrator是系统上的管理员，具备对计算机的完全操作权，guest表示来宾帐户，该帐户只具备对计算机的基本访问，根本没有权利去修改计算机任何内容，默认情况下被禁用，为匿名访问IIS和终端服务的用户提供的内置的帐户，如：IUSR_computer _name：
实验：
创建一个帐户tom密码为123456Aa,并且该用户第一次登陆系统需要修改密码，创建一个帐户jack密码为123456Aa，第一次登陆系统不需要修改密码，并且密码永不过期，同时对计算机的所有帐户开启“帐户锁定”功能
本地组不能添加到另一个本地组
默认可以创建用户和组的内置组Administrators 和Power Users, Administrators组可以创建和删除内置组以外的组,Power Users只能删除Power Users创建的组
默认创建的用户隶属于Users组
一个用户可以同时隶属于多个组且此用户的权力是这两个组权限的叠加
一个组被删除之后组中的成员不会被删除
实验：
创建两个组caiwu 和xiaoshou 将 tom 和jack分别加入到这两个组中，同时分配给caiwu 组用户具备关闭计算机的权限

 

革命尚未成功同志们仍需努力!

2003的课终于在今天结束了,我觉得大家还是比较努力的,最后送大家一句话,"拼搏才能实现心中梦想,心有多大舞台就有多大",往后学习的路还长,希望大家再接再厉,取得成功!!!表现好了以后再给你们上课!!哈哈!!!

帐户：在域中有计算机帐户和域用户帐户，域用户帐户是存在域控制器上的，可以使用域帐户登陆到任何一个域中的计算机帐户中,在管理工具中的AD用户和计算机，“computer”的容器就是默认计算机帐户存在的容器，“users”容器就是默认帐户所存在的容器，为了更好的进行企业的网络管理，仅仅这两个默认的容器是不够的，需要我们创建新的组织单元，将用户帐户和计算机帐户进行管理，经常使用的创建组织单元的思想可以按照：地理位置、部门职能等等
实验：在DC上创建组织单元，并按照地理位置和部门职能的方式将用户帐户和计算机帐户移动到相应的组织单元中
第八章：域帐户
域帐户分为两种，计算机帐户和用户帐户，计算机帐户是组成这个域的基本的元素，用户帐户是登陆到域的基本元素
域组的分类：
1按照组的使用范围划分：
全局组：组的成员来自于整个森林，可以访问整个森林资源
域本地组：组的成员只能来自于本地这个域，只能访问本地域资源
分布式组（通用组）：组的成员仍然来自于整个森林，访问整个森林
2按照组的类型（是否可以设置权限）划分：
通用组：不能设置权限
安全组：可以设置权限
微软在用户使用资源的时候给我们推荐了策略，在AD中使用的策略是AGDLP；在本地计算机上使用的策略是ALP
ALP：A(account帐户),L(localgroup本地组),p(permission权限)，将帐户添加到本地组中，然后为本地组设置权限，这样在同一个组中的用户就具备同一种权限
AGDLP:A(account帐户)，G(global group全局组)，DL(domain localgroup域本地组),P(permission权限)，将域帐户添加到全局组中，然后将全局组组添加到域本地组中，最后对域本地组设置权限
实验：在组织单元中进行域帐户和组的创建，将帐户添加到组中，对用户帐户进行配置，要求特定帐户只能登陆到特定计算机（默认情况下，一个域用户帐户可以登陆域中除了DC以外的其他任何计算机）；限制用户登陆计算机的时间只能是某一个时间段；对域中的计算机进行管理，添加域成员的本地帐户和进行强制注销用户；使用域成员计算机控制域控制器。
分布式文件系统(DFS)：基于共享的服务
优点：1能够易于文件访问，避免了网上邻居访问的麻烦，用户不需要知道整个物理网络的环境，只需要知道分布式文件系统服务器的位置；2提供了网络的负载均衡，避免了访问单一服务器所带来的网络负载；3增加了文件的可访性，可以设置分布式文件系统根的副本和链接的副本，当服务器关闭时仍然可以访问到资源
分布式文件系统的必须组件：
1分布式文件系统的根
2分布式文件系统的链接
3分布式文件系统的根目录和链接目录都需要共享
实验：在域控制器上创建分布式文件系统的根，在2000的域成员计算机上创建分布式文件系统的链接；新建一个链接的副本放置在网络中的其他计算机上，以免链接的服务器损坏时仍然可以访问文件；将分布式文件系统的根共享发布到AD中
实验：调整域和森林的功能级别为2003模式
第九章：组策略
组策略可以应用的位置
本地计算机、站点、域、组织单元，并且组策略的应用顺序也是按照本地计算机-站点-域-组织单元的顺序应用
本地计算机上打开组策略的方法：gpedit.msc
在活动目录中可以在相应的位置上打开组策略
3．组策略包含的内容：
1>计算机策略：桌面操作系统的行为、安全设置、计算机启动和关机命令
2>用户策略：指定操作系统行为、桌面行为、安全性设置、用户的登陆和注销的命令
实验：
1为zhang3用户登陆计算机后将注销添加到开始菜单中
2理解组策略顺序：对一个对象设置了多个组策略时。如果设置发生了冲突，那么在组策略列表中位置比较高的组策略对象具有最高的优先权，设置两个组策略，一个是"将注销添加到开始菜单"，另一个是禁用用"将注销添加到开始菜单"，调整顺序，查看结果。
3组策略的继承性，组策略是按照站点、域、OU、子OU的顺序进行生效的，默认情况下组策略是具有继承的特性。
4禁止替代的设置：子容器设置了“阻止策略继承”，而在父容器上设置了“禁止替代时，“禁止替代”优先级最高。
5禁止组策略中的用户配置，将会忽略用户配置的设置。
6组策略回环处理模式：在OU“北京贸易公司”,下边有两个OU“财务部”和“销售部”，“财务部”OU中有一个计算机帐号DLSrv和一个用户帐号“li4”,“销售部”OU中有一个用户帐号“wang2”,在默认情况下没有对这两个OU进行特殊设置时，用户li4和wang2都会继承“北京贸易公司”的策略，计算机上都有“关闭计算机”选项，在“财务部”OU上设置用户组策略，管理模板中“删除和阻止访问关机”启用策略，此时li4登陆 dlsrv时受到了该策略影响，开始菜单中就没有“关机”，但wang2登陆dlsrv时不受策略影响，开始菜单中就有“关机”，重新配置策略，在计算机策略中的管理模板中找到“组策略”的“用户组策略环回处理模式”策略，指定为替换，当重新启动计算机dlsrv时，就会发现wang2登陆此计算机时没有“关机”命令
7组策略的生效问题：
配置组策略后，对计算机配置都需要进行重新启动计算机后才能生效，对用户配置只要注销就可以生效，如果还是没有生效就可能用到组策略的刷新命令，在2000的计算机上组策略刷新命令secedit /refreshpolicy user_policy /enforce强制用户策略生效
secedit /refreshpolicy machine_policy /enforce 强制计算机策略生效，在XP和2003的计算机上使用gpupdate /force就可以使计算机配置和用户配置都生效
8组策略的慢速连接，计算机配置策略中的管理模板中的组策略，同时还可以设置刷新速率和使用gpupdate
9策略的结果集（正在计划）：可以在AD中模拟任何一个用户帐号放在域中的任何容器内或者在域中的任何一台计算机上登陆时所得到的组策略结果集，在组织单元上和用户或计算机上都可以设置，策略的结果集（正在记录日志）：可以模拟用户帐号在指定计算机上登陆的组策略结果集，只能查看计算机或用户的结果集，可以使用gpresult查看

 

十六章：终端服务TS
一.TS的作用
更快地显示 Windows Server 2003 的桌面
终端服务提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的能力；充分利用已有的硬件；程序的集中配置
；远程管理
二.远程管理的方法：
1.telnet:使用字符界面，用户需要掌握大量的命令；不适合现阶段远程管理
2.TS：使用终端服务，用户可以对图形化界面的操作，方便和快捷
3.管理软件：功能比较强大，针对性比较强，例如PCanywhere,Remotelyanywhere都可以进行远程管理
三.终端服务模式
1远程管理模式：在远程管理模式下，任何服务器都可以被访问和操作，就好像坐在控制台前一样
2应用服务器模式：在应用服务器模式下，许多不同类型的客户都可以通过任意类型的网络连接起来访问应用程序
四.TS服务的特征
1.TS采用基于TCP/IP的RDP（远程桌面协议）将远程计算机的桌面传输到本地计算机上，远程管理用户仅仅使用本地计算机显示器作为输出设备
2.TS服务的端口号是TCP3389
3.TS服务是C/S结构的，被管理的远程计算机上需要安装服务器端程序，而管理远程计算机的本地计算机需要安装客户端程序
实验：
在2003上安装TS，使用XP远程登陆2003,在2003上创建用户jackal,使用刚刚创建的jackal用户登陆2003，是否可以登陆，将jackal添加到remote desktop users组是否可以登陆，打开管理工具中的“终端服务管理器”，查看当前登陆的用户和曾经登陆的用户，再打开“终端服务配置”，调整当前的终端服务
第十章：
1.2003中内置的协议：如何安装
2.ping命令的返回消息
十八章：
1使用任务管理器
2使用事件查看器
3系统监视器
4备份和还原：ntbackup
第七章：活动目录
活动目录是Windows操作系统的精华，活动目录的简称AD
目录服务：在NT4.0的时代就有了目录服务，在Unix和Netvell操作系统上也具备目录服务，但是在Windows2000上第一次引入了活动目录的概念,2003也使用活动目录
一.活动目录所使用的协议：LDAP轻量级目录访问协议
二.活动目录包含两个方面的内容：
1目录：就是在网络中存放什么样的资源和信息（计算机，用户帐号，文件，打印机等）
2目录服务：如何让网络中存放的资源更好的发挥作用的服务（怎么样使用计算机和文件以及用户帐号）
总之活动目录是将网络资源，计算机，用户帐号最佳访问使用的一种方法，活动目录的应用主要是在大型的网络中，计算机数量用户数量比较多的情况下使用
一活动目录的逻辑结构：
1.域：域是AD中最基本的复制单元，域是一个安全的边界也是管理的边界，默认情况不同域不能相互访问和管理，在森林中第一个创建的域叫根域，a.com和a.a.com是父子域，a.a.com和b.a.com是兄弟域
2.组织单元：管理员为了满足管理的需要而建立的一些逻辑管理单元，管理单元中可以存放用户和计算机等资源
3.域树：域和域之间可以通过相互的信任关系进行连接，多个有信任关系的域就构成了域树
4.森林：域树和域树之间通过信任关系可以建立森林
信任关系包括了方向性和传递性
方向性A--->B表示A信任B，但不能代表B-->A也就是单向信任关系;A<-->B表示A和B相互信任，也就是双向信任
传递性A-->B,B-->C,如果能证明A-->C那么就是可传递信任关系，反之则是不可传递信任关系
信任关系提供了不同域是否可以相互访问
二活动目录的物理结构：
1.域控制器(DC)是存储活动目录数据的服务器，一个域可以有多个DC，负责进行用户登陆时的身份验证等功能
2.全局编目服务器（GC）是存储本域中所有活动目录的完整信息和森林中其他域部分备份信息的服务器
3.站点是一个高带宽连接的网络区域，站点决定了目录复制的效率
域的功能级别（域的级别）
2003的域的模式有：纯模式（域控制器是2000或2003版本）；混合模式（域中的域控制器的操作系统有低于2000的版本）；2003模式（域中域控制器的操作系统都是2003）
帐户：在域中有计算机帐户和域用户帐户，域用户帐户是存在域控制器上的，可以使用域帐户登陆到任何一个域中的计算机帐户中
三.实验：
1.使用命令dcpromo将2003服务器安装成为AD中的域控制器.(注意计算机名,IP地址都不能冲突，要把首选DNS服务器指向本机，安装过程中的还原模式密码是将来AD出错时进入AD的安全模式修复密码，而不是登陆密码)
2.启动DC，查看不同的地方（登陆对话框；本地用户和组；管理工具添加；DNS服务添加）
3.配置2000计算机，将首选DNS服务器指向2003，将2000计算机添加到2003所在的域中，2000计算机就成为该域的成员计算机
4.启动域成员计算机2000，查看不同的地方（登陆对话框，可以使用本地用户帐户登陆本机，使用域帐户登陆到域）

 

 

第十一章：DHCP（Dynamic Host Configration Protocol动态主机配置协议）
一IP地址的分配方式：
1手工分配：具有管理员权限的用户或者是network configration operators组的用户能够进行手工更改IP地址，手工分配小型网络中主机，比较灵活方便，但是对于大型网络主机数量比较多的网络进行IP地址手工分配就不太适合了，手工输入容易出错，而且更改整个网段的时候就比较麻烦了
2动态分配：动态IP地址分配适合大中型网络的地址分配，只需要在网络中建立一个动态分配Ip地址的服务器（DHCP服务器），而后将所有客户机的IP地址设置为自动获得，就可以做到将IP地址分配到所有客户机上，只要在服务器上稍做修改，就可以将整个网络中计算机的IP配置信息改掉，适合于网络中计算机比较多的情况，而且也避免了IP地址的输入错误
二DHCP分配IP地址时四线会话过程（原理）
1配置DHCP服务器的要求：服务器必须是静态IP地址，不能是动态的IP地址；服务器上必须安装DHCP服务；配置DHCP的地址池（作用域）
2配置DHCP客户机的要求：将IP地址设置为自动获得
3四线会话过程：
每个计算机在启动过程中都需要完成TCP/IP协议栈初始化过程（检查主机IP配置信息，包括IP,子网掩码，默认网关，首选DNS服务器等信息是否配置，配置为什么），由于DHCP客户机没有配置IP信息，所以客户机想网络中发送整网广播0.0.0.0---255.255.255.255（discover）寻找网络中是否有DHCP服务器，网络中的DHCP服务器收到广播，返回一个广播（offer）提供给客户机IP信息，表明服务器可以给客户机暂时租借一个IP地址，客户机收到广播，就再次发出广播（request）请求，希望能够想服务器租借此IP地址,服务器收到此广播后来确定是否给予客户机租借IP地址，如果允许租借，那么服务器就发出了广播（ACK,ACK可以包含IP地址，子网掩码，网关，租约等信息）,来确认客户机得到IP地址，那么此时客户机就完成IP地址的租借，也就拥有了IP地址，如果服务器不允许租借，那么就会发出广播（NAK），此时客户机就没有Ip地址，就需要完成新的“四线会话”
实验：
1在2003服务器上安装DHCP服务
2将2003服务器配置一个静态的IP地址
3配置2003DHCP服务器，创建作用域net1,地址池中只包含一个IP地址，并且和服务器网卡在同一个网段
4将2000计算机设置为DHCP客户机
三：IP地址的续租过程
如果客户机得到了IP地址，那么这个Ip地址是有租约期限的，默认的租约是8天（可以调整），当客户机租约使用了一半的时候，客户机就需要想服务器提出续租，如果续租成功，那么就可以继续使用，如果续租不成功就会租约履行了87.5%的时候，再去续租，如果成功，继续使用，不成功就需要重新四线会话
四：作用域选项
可以配置额外的TCP/IP属性，包括网关地址，首选DNS服务器等，常用作用域选项有003路由器，006DNS服务器，044WINS服务器
五：客户机如何释放和刷新IP地址
ipconfig/release进行释放得到的Ip地址
ipconfig/renew重新刷新以便得到IP地址
六：超级作用域
能够把不同物理网络的客户机分配一个IP 地址，分配的IP地址可以和服务器不在同一个网段
七：多播作用域
多播作用域分配的IP地址范围224.0.0.0--239.255.255.255
八：专用IP自动编址
当客户机从服务器获得IP地址的时候，如果服务器地址池中的地址已经分配完毕，没有可以使用的IP地址，此时根据客户端的操作系统类型会有不同IP地址获得，如果客户机操作系统是低于XP版本的，那么它就会得到169.254.0.0---169.254.255.255范围中的一个地址，这个B类地址不是DHCP服务器分配的，而是客户机操作系统自己分配的，得到这样地址的计算机将会在每隔5分钟，主动去DHCP服务器上查看是否有可以租借的IP地址，并且得到此类IP地址的计算机无法和DHCP服务器分配IP地址的计算机通讯，但是所有的得到专用IP自动编址的计算机相互可以通讯，如果客户机是XP或2003操作系统，在服务器IP地址不够用的情况下，而且已经配置过备用IP地址，此时它就使用了备用IP地址作为计算机的IP地址，如果没有配置备用IP地址，它才会得到专用IP自动编址的地址
九：保留地址
如果在网络中某个计算机需要一个相对固定的IP地址时，可以通过保留设定，设定后，在此计算机得到IP地址后，其他计算机将不能得到这个被保留的IP地址，但是需要知道客户机的MAC地址才能做保留
十：DHCP的授权
默认情况下，如果在网络中有多个DHCP服务器存在，那么客户机将得到哪个服务器提供的IP地址取决于服务器的offer是否能够先到客户机，谁的offer先到客户机，客户机就选择谁的IP地址，所以为了保证网络中客户机正常得到IP地址，就需要进行授权，只有被授权的服务器才能够进行IP地址分配（在工作组中不适用，只有在域中才能用）
十一：无限期租约
可以调整租约到2038年
十二：冲突检测：
服务器在给客户机分配IP地址的时候，当发送IP地址时，先把这个IP地址使用ping命令检测此IP是否已经被使用，如果没有被使用才能将IP地址租给客户机
十三：服务器选项和作用域选项和保留选项
保留选项优先于作用域选项，作用域选项优先于服务器选项
十四：80/20原则，网络中存在两个DHCP服务器的时候，一台服务器分配整个网络中80%的地址，而另一台服务器分配整个网络中20%的地址，50/50原则，网络中的两个DHCP服务器，分别分配50%的地址
第十四章：WINS服务器
WINS服务是Windows操作系统的一种特有的服务，WINS服务能够将计算机的NETBIOS名字解析为IP地址，其实就是一种租借名字的服务，NETBIOS名是一个16个字符的名字，它由计算机名和服务位组成，计算机名共15个字符，服务位一个字符（比如：wnt-lab1  00H就是NETBIOS名，表示wnt-lab1计算机上的工作站服务，可以通过nbtstat查看）
一名字在网络中的两种方法：
1主机名：主要在DNS中用
2NETBIOS名：主要在WINS中用
二局域网中名字解析的方法：
1广播方式查找名字，broadcast也叫做B节点类型
2点到点方式查找名字，point to point也叫做P节点类型，Wins客户机点到点Wins服务器进行查询
3混合方式查找名字，mixed也叫做M节点类型，M=B+P，先使用广播再使用点到点
4杂和方式查找名字，hybrid也叫做H节点类型，H=P+B先点到点再使用广播
三NETBIOS名在哪使用
网上邻居是使用NETBIOS最频繁
四网上邻居的形成
如果网络中没有Wins服务器的话，那么每个计算机在启动过程中都要进行广播自己的名字和IP地址，以便让网络上所有计算机都知道，并且在广播的同时，在网络中找到一个计算机作为计算机浏览器（负责形成网上邻居列表，并且同步给所有计算机），计算机之间相互访问就可以通过网上邻居完成了；如果网络中存在Wins服务器的话，那么每个Wins客户机在启动过程中就主动到Wins服务器上去注册自己的名字和IP，并且形成对应关系，计算机之间相互访问就可以通过Wins服务器进行查找，也就是P节点模式，但是如果Wins服务器不可用或联系不到，那么就可以再通过广播的方式进行查找，也就是B节点模式，整体的过程应该是属于H节点类型的
实验：
在2003上安装Wins服务器，2000计算机上将Wins服务器指向Wins服务器，然后在Wins服务器查看记录的添加
五：Wins服务器的推拉伙伴
网络如果存在多个Wins服务器的话，每个Wins服务器上都有记录，创建Wins的推拉伙伴关系就可以将每个Wins 服务器上的记录进行相互复制，保证每个Wins客户端可以在任何一个Wins服务器上都可以找到需要的记录，有三种伙伴关系可以创建，推伙伴；拉伙伴；推拉伙伴，推伙伴是将当前Wins 服务器的记录复制到其他Wins服务器上，拉伙伴是将其他Wins服务器的记录复制到当前服务器上，推拉伙伴是指相互的复制记录
六：创建静态映射
有时客户机启动时记录不能自动的添加到Wins服务器上，需要在服务器上建立静态映射将Wins记录添加在服务器上
七：主Wins和辅助Wins
网络上存在多于一台Wins服务器时，可以建立主Wins服务器和辅助Wins服务器，主要目的是当客户机在主Wins服务器上无法找到的记录可以在辅助Wins服务器上进行查找，在客户机的网卡配置中可以进行设置，另外的一个作用就是如果客户机租约的如果快要到期时，客户机可以到辅助Wins服务器上进行名字续租
八：Wins代理
Wins服务器的查询可以跨越路由器，如果需要在其他子网中进行Wins查询，需要设置Wins代理，将另外一个网络中的服务器设置为Wins代理服务器，修改注册表HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NetBT\parameters中找到EnableProxy的值设置为1

 

 

实验：
1配置DNS服务器，创建正向区域ibm.com,和反向区域1.168.192.in-addr.arpa,正向区域中创建www主机记录（2000计算机的IP地址），和qqq（www主机的）别名记录，创建dns主机记录（dns服务器的IP地址），在反向区域中创建指针记录，分别指向主机记录，将2003的网卡“首选DNS服务器”指向自己
2将正向区域和反向区域中SOA记录和NS记录都设置完整的FQDN名（区域属性中指定）
3在2000服务器上创建一个WWW站点
4通过IE浏览器访问www.ibm.com
二。使用nslookup工具进行DNS的故障查找，使用nslookup就可以找到故障点是否出现在DNS服务器，nslookup工具是内置在系统上的工具，它有两种模式：非交互式和交互式
1交互式：
C:\>nslookup www.ibm.com
Server:  dns.ibm.com      #dns服务器
Address:  192.168.1.214

Name:    www.ibm.com      #解析的主机
Address:  192.168.1.242
2非交互式：
C:\>nslookup
Default Server: dns.ibm.com #网卡指向
Address:  192.168.1.214

> www.ibm.com
Server:  dns.ibm.com          #DNS
Address:  192.168.1.214

Name:    www.ibm.com
Address:  192.168.1.242
nslookup的参数:
set type的含义是指定要查看的某一类型记录set type=soa;ns;a;ptr;cname;hinfo
三。主辅DNS服务器
主DNS服务器是区域中必须创建的DNS服务器，而辅助DNS服务器是区域中保存主DNS服务器中记录的备份DNS服务器。
实验：
在2003上创建hp.com的正向标准主要区域，在区域中创建www主机记录，aaa别名记录，dns主机记录，在2000上创建hp.com的正向标准辅助区域，查看在辅助区域中的记录的出现（由于2003基于安全性考虑所以默认不允许进行区域复制，需要手工配置）
详细说明SOA记录属性：
序列号：确定主辅DNS服务器之间有没有记录差异
负责人：管理DNS服务器的管理员邮箱
刷新时间：辅助DNS服务器向主DNS服务器查询记录是否修改的时间间隔
重试时间：辅助DNS服务器如果没有联系到主DNS服务器，将重新连接的时间间隔
过期时间：辅助DNS服务器与主DNS服务器无法连接后，辅助DNS服务器的记录会失效的时间间隔
最小生存周期：记录存储在DNS服务器的时间
2003的DNS条件转发：对于某一特定的域名进行转发到某一特定的DNS服务器上
DNS循环复用：往往在DNS服务器上同一个域名会出现多个主机，dns在解析过程中会按照顺序去解析主机，有利于服务器负载均衡
记录DNS查询数据报详细信息
WWW的虚拟主机：在一台物理的服务器上通过建立多个站点，实现虚拟主机，外部用户访问时根本不知道站点是否在一台服务器上创建，在现实网络中虚拟主机的应用以主机头方式最多最实用（需要DNS和WWW一起配置）
实验：
在2003服务器上创建DNS区域为ms.com,2000的服务器上创建WWW站点三个，通过配置主机头的方式建立虚拟主机，访问http://xiaoshou.ms.com看到网页内容为“欢迎来到销售部”http://caiwu.ms.com看到网页内容为“欢迎来到财务部”，http://renshi.ms.com看到网页“欢迎来到人事部”，如何建立DNS服务器和如何建立WWW服务器
第十五章：邮件服务器
MTA:邮件传输代理，往往邮件服务器的软件被称为邮件传输代理（Exchange,Sendmail,Qmail,Mdaemon,Imail,winmail），MUA：邮件用户代理，往往是指邮件客户端(Outlook,Outlook Express,Foxmail)
邮件服务器在邮件传输过程中起着非常重要的作用，建立邮件服务器使用的协议SMTP（简单邮件传输协议），ESMTP（增强性邮件传输协议），POP3（邮局协议第三版），IMAP4.现在的邮件服务器使用的协议为IMAP4(将邮件传输到客户机)和ESMTP（接收客户机传送的邮件和将接收到的邮件传送到其他的邮件服务器）
邮件服务器是一种存储转发异步通讯的网络服务
理解用户邮件发送的过程：alice@wnt.com用户给jackal@wnt.com发送邮件的过程和alice@wnt.com给bob@ibm.com发邮件的过程是不同的
使用Mdaemon万能邮件服务器建立企业内部的邮件服务器，建立邮件服务器时一般需要DNS服务器，而且DNS服务器中需要有MX（邮件交换器记录）,MX记录有优先级，数字越小优先级越高，表明如果在网络中存在多个邮件服务器时，默认将使用优先级高的作为默认邮件发送的邮件服务器
实验：
通过配置2003和2000服务器建立邮件服务器和DNS服务器
1.2000服务器安装邮件服务器软件Mdaemon，2003服务器配置DNS
2.首先在2003上建立DNS区域名为wnt.com,区域中创建主机记录mail.wnt.com和邮件交换器记录
3在2000服务器上安装Mdaemon
4通过网页访问邮件服务器http://mail.wnt.com:3000
5配置邮件服务器使邮件服务器WEB Mail的端口为80（把当前服务器上所有IIS中的WWW站点都停止掉），并且显示为中文，可以由用户在网页上申请邮箱
6申请邮箱alice@wnt.com使用该用户和jackal@wnt.com相互发送邮件，测试邮件服务器是否工作正常
7在邮件服务器上配置打开密码
8用户申请邮箱时可以不使用复杂性密码
9给新申请的邮箱用户配置邮箱配额50M，配置alice用户的邮箱配额100M
10设置邮件服务器可以和其他网络中的邮件服务器进行邮件传输
11配置多域进行邮件发送

 

 

第十二章：DNS域名系统
计算机在Internet中唯一的定位方法就是通过计算机的IP地址，客户机访问时也需要找到相应IP的计算机，事实上在互连网中进行访问服务器时用户都是通过名字进行访问的，也就是通过在IE浏览器中键入http://www.***.com/public/default.asp地址访问服务器，这样就需要名字的解析服务
1URL：统一资源定位器“协议：//主机名.域名/虚拟目录/文件名”
2名字服务：计算机的IP地址和计算机的名字之间的映射关系
3域名系统的发展：
1）利用hosts文件进行解析的方法（在客户机中hosts文件中进行记录的添加，完成IP地址和域名的映射），hosts文件是最早的一种名字和IP地址映射的方法，在Windows操作系统上存放在%systemroot%\system32\drivers\etc目录下，同样在linux系统中也有该文件，虽然hosts文件一直存在系统中并且可以使用，但是由于hosts文件内容是一种平面结构，文件中的记录相互的关系不能够体现出来，同时现在网络的发展规模非常庞大，这个文件需要计算机管理员进行手动的修改，所以已经不适合在现在的网络中使用了。
2）继hosts文件之后，我们采用NIS系统进行名字和IP地址的解析，NIS就是网络中存在一个服务器，这个服务器中存在一个与hosts文件功能一致的文件，所有的客户机在上网时都需要联系NIS服务器进行名字和IP地址的解析，这种方法虽然比hosts文件方便，但是由于仍然需要手工编辑，所以也不适合现在的网络的发展需求
3）现在我们使用DNS（Domain Name System 域名系统）进行互连网的名字解析，使用DNS优点很多，它采用树状的层次的逻辑的一种名字结构，非常适合现代互连网的发展需求。
4域名空间：
DNS的命名系统是一个层次的逻辑树结构，称为域名空间，计算机和DNS域是根据它们在域树中的位置命名的，DNS域树上的每个结点可以由一个完全正式域名(FQDN)标识，(FQDN命名规则中只允许域名中包含大写字母，小写字母，数字，减号-，"."点号只能在父子域之间存在，例如：www.???.com是不存在的)Internet域名空间Internet域名空间的根(最顶级)由Internet名字注册授权机构（InterINC）管理，根域下面是顶级域，根域共由全球的13台根DNS服务器维护，顶级域也由Internet名字授权机构管理，在顶级域以下，Internet名字授权机构把域授权给连到Internet的各种组织。
5域和区域：
区域是DNS名字空间的一个连续部分 ，区域包含一组存储在DNS服务器上的记录 ，DNS域是名字空间的一个分枝，而区域一般是存储在文件中的DNS名字空间的某一部分，可以包括多个域
6DNS服务器类型：
1主DNS服务器：一个区域中主要的DNS服务器（每个区域必须要有主DNS服务器）
2辅助DNS服务器：主DNS服务器的备份或副本
3惟高速缓存DNS服务器：依靠服务器的缓存进行记录解析
个人的技术再强也不能建立公网DNS服务器，因为没有权利去建立
DNS的查询过程：递归和迭代
总结性的讲：之所以DNS服务器能够进行IP地址和域名的解析，是因为在DNS服务器中存在区域文件，而区域文件中包含资源记录
区域文件：在DNS服务器中创建区域的时候会生成一个扩展名为.dns的区域文件，区域文件分为两种：正向区域文件和反向区域文件，如同DNS的解析包含正向解析（将FQDN解析为IP地址）和反向解析（将IP地址解析为FQDN）,正向区域文件就是完成正向解析的区域文件，反向区域文件就是完成反向解析的区域文件
资源记录：存在于DNS区域文件中的记录，常用的记录如下
A记录：主机资源记录，存在于正向区域文件中，能够将FQDN解析为IP地址的记录。
SOA记录：起始授权机构记录，是DNS区域中第一个资源记录，也是最重要的一个资源记录，它可以存在于正向和反向区域文件中，不需要手动创建，当区域创建完成后就会创建。
NS记录：名称服务器资源记录，不需要手动创建，可以存在于正向和反向区域文件中，表示在当前区域中究竟有哪些DNS服务器，当区域创建完成后会自动创建
CNAME记录：别名记录，是某个主机的另外一个名字
MX记录：邮件交换器资源记录，表示邮件服务器的资源记录
HINFO记录：主机信息记录，记载当前服务器具体配置信息的资源记录
PTR记录：指针记录，只能存在反向区域文件中，进行反向解析（IP解析为FQDN）
实验：
配置DNS服务器IP地址为192.168.1.x,将网卡属性中首选DNS服务器设置为自己的IP地址创建dns正向区域ibm.com,建立主机A记录www，IP地址为192.168.1.214,建立反向区域1.168.192.in-addr.arpa区域，建立指针指向WWW主机