(
知识点: ● 网络操作系统 ● 用户和组、权限配置 ● DNS 服务器、DHCP 服务器、Web 服务器、FTP 服务器、邮件服务器配置~
难点: ● Web 服务器、FTP 服务器配置 ● DNS 服务器配置◆
要求 熟练掌握以下内容: ● Windows Server 2003 的安装 ● 用户、组的创建与管理 ● 共享权限、NTFS 权限、分布式文件系统的创建与管理 ● DHCP 服务器、DNS 服务器配置 ● Web 服务器、FTP 服务器配置 了解以下内容: ● 活动目录与域 ● 邮件服务器配置3.1 常用网络操作系统简介
操作系统是用户和计算机之间的接口,网络操作系统则是网络用户与计算机网络之间的接口。 网络操作系统的基本任务是屏蔽本地资源与网络资源的差异性, 对整个计算机网络实施管理,并为 用户提供统一的、方便的网络接口。网络操作系统控制和管理计算机系统内各种硬件和软件资源、 有效地组织多道程序运行的系统软件,提供网络通信、资源管理、网络服务、网络管理、交互操作 等功能。目前常用的网络操作系统平台有 NetWare、Windows 2000 Server、Windows Server 2003/2008 UNIX、Linux 等。
1.Windows Server
20 世纪末,微软公司为了抢占网络操作系统中高端市场,在 Windows NT 4.0 基础上开发,并 倾力推出了 Windows 2000 Server。在 2003 年 4 月,在 Windows 2000 Server 的基础上,对服务器 的可靠性、可伸缩性、可用性、安全性、方便管理方面进行提升,推出了 Windows Server 2003, 在 2007 年推出了 Windows 2008 Server。目前 Windows Server 2003 是微软公司应用最广泛的网络 操作系统。
Windows Server 2003 支持即插即用、多任务、大内存、多处理器,采用了 NTFS 文件系统、 活动目录、文件加密、集群、XML Web 服务等多项新技术,操作简便、扩展性强、支持软件丰富、 兼容性好、安全可靠,成为目前市场上主流的网络操作系统。 2.Linux Linux 是一种“自由软件” ,源代码公开,支持多种硬件平台、多种协议、多种文件系统,安 全可靠,具有良好的可移植性。它完全遵循 POSLX 标准,是真正的多任务、多用户系统,内置网 络支持,能与 NetWare、Windows NT、OS/2、UNIX 等无缝连接。由于是开源系统,其开发版本较 多,但配套软件不太丰富,限制了其应用。 3.UNIX 1970 年,美国的电报电话公司(AT&T)在 Bell 实验室首先在 PDP7 机器上实现了 UNIX 系 统。1973 年 Ritchie 又用 C 语言对 UNIX 进行了重写。1976 年正式公开发表了 UNIX V6 版本,并 开始向美国各大学及研究机构颁发 UNIX 的许可证并提供了源代码。 UNIX 系统是为多用户环境设计的,支持多用户、多任务的运行环境,具有内建的 TCP/IP 支 持。采用模块化设计,文件系统可随意卸载,具有良好的开放性、稳定性和可移植性,采用完善的 安全机制,集成多种功能,成为事实上的多用户、多任务操作系统的标准。目前 UNIX 系统有多个 版本,但版本之间并不兼容,适合于科学计算、大型网站等,是大型服务器操作系统的首选。 4.NetWare NetWare 是美国 Novell 公司的产品,1983 年,伴随着 Novell 公司的面世,NetWare 局域网操 作系统出现了。Novell 的 NDS 目录服务及后来的基于 Internet 的 eDirectory 目录服务是 NetWare 中最具特色的功能。它提供优秀的文件服务和完善的打印服务,可靠性高,是 20 世纪 90 年代的主 导网络操作系统。由于其主要是基于命令行方式,不易于使用,目前市场占用率不高。 综合以上各种网络操作系统的特点,基于易用性、安全性、可靠性、兼容性、软件的支持等 因素,Windows Server 已成为目前市场主流产品,本章主要讲述 Windows Server 2003 网络操作系 统的应用。
3.2 Windows Server 2003 配置
Windows Server 2003 主要版本有 Windows Server 2003 标准版、Windows Server 2003 企业版、 Windows Server 2003 Web 版、Windows Server 2003 Datacenter 版,如图 31 所示。
图 31 Windows Server 2003 主要版本 Windows Server 2003 标准版 服务器 服务器 Windows Server 2003 Datacenter 版 Windows Server 2003 企业版 Windows Server 2003 Web 版 Web 服务器 服务器
l Windows Server 2003 标准版 Windows Server 2003 标准版主要面向小企业及部门级应用。 l Windows Server 2003 企业版 Windows Server 2003 企业版面向中型企业,支持 8 路 CPU、32GB 内存、8 节点集群。 l Windows Server 2003 Datacenter 版 Windows Server 2003 Datacenter 版可以满足大型企业的各种网络应用,为大负载、关键性应用 而设计,支持 32 路 CPU、64GB 内存、8 节点集群。 l Windows Server 2003 Web 版
Windows Server 2003 Web 版针对 Web 应用服务的企业, 专为用作 Web 服务器而构建的操作系 统,通过 IIS 6.0 服务器的部署,使用.NET 框架技术提供一个快速开发和部署 XML Web 服务和应 用程序的平台。
3.2.1 Windows Server 2003安装
Windows Server 2003 的安装对硬件有一个基本的要求,最小 CPU 主频为 133MHz,建议 550MHz 以上,内存最小 128MB,建议 256MB 以上,硬盘剩余空间在 2GB 以上。Windows Server 2003 支持大多数的最新硬件设备,安装过程中会自动检测硬件兼容性。如果有不在列表中的硬件 设备,须找硬件厂家获取相应的驱动程序方可使用。 一、安装前的规划 在安装 Windows Server 2003 之前须对系统进行规划, 主要包括磁盘分区选择、 文件系统选择、 工作组和域的选择以及授权模式的选择 4 个方面。 1.磁盘分区选择 如果执行全新安装,根据实际需求划分磁盘分区的大小即可;如果安装双系统,则需要提前 预留足够的剩余硬盘空间,并在安装系统时选择对应的硬盘空间创建分区。 图 32 是在安装 Windows Server 2003 时,选择准备安装系统的磁盘分区的界面。 图 32 选择磁盘分区界面 2.文件系统选择 Windows Server 2003 支持 FAT、FAT32、NTFS 三种文件系统,如果需要运行早期的操作系统, 则需将分区的文件系统设置为 FAT 或 FAT32, 否则选择 NTFS 文件系统。 NTFS 支持活动目录、 域、
文件加密、单个文件权限设置、远程存储、磁盘活动恢复记录、磁盘配额等多项功能,并可以更好 地支持大驱动器, 它是安装 Windows Server 2003 的首选文件系统。 图 33 是在安装 Windows Server 2003 时选择文件系统的界面。 图 33 选择文件系统界面 3.工作组和域的选择 对于不需要集中管理的小型网络,可以选用工作组方式。工作组方式各成员之间平等,网络 资源分散存放,配置简单,但安全可靠性较差,不便于管理。采用域方式,网络资源统一存放在域 控制器的 AD 中,便于管理,安全可靠,是安装 Windows Server 2003 的首选。图 34 是工作组和 域的选择界面。 图 34 工作组和域的选择界面 需要注意的是:在安装网络中的第一台 Windows Server 2003 服务器时,只能将其选为工作组 方式,然后通过运行 Dcpromo 命令安装活动目录后,方可将其加入域中。安装其他服务器时,可 以直接将其加入网络已有的域中。
4.授权模式的选择 在 Windows Server 2003 中可以选择“每设备或每用户”授权模式和“每服务器”授权模式。 l “每设备或每用户”授权模式。 要求每台客户端计算机都需要一个“客户端访问许可证” (CAL)。使用一个 CAL,一个特定 的客户端计算机可以连接到任意数量的 Windows Server 2003 上。 l “每服务器”授权模式。 要求与服务器的每个并发连接都需要一个“客户端访问许可证” (CAL)。这意味着在任何时 候,这台 Windows Server 2003 都可以支持固定数量的连接。图 35 是安装 Windows Server 2003 时 授权模式的选择界面。 图 35 授权模式的选择界面 二、Windows Server 2003 的安装 Windows Server 2003 的安装方法比较简单,常用的有光驱安装、直接安装和网络安装 3 种, 建议采用光驱安装。使用光驱安装 Windows Server 2003 的安装过程可以分为字符界面安装和图形 界面安装两大部分,主要步骤如下: (1)设置计算机的启动顺序。将光驱设置为第一个启动的设备,插入 Windows Server 2003 安装光盘,启动计算机开始安装。 (2)选择安装 SCSI 或者 RAID 设备,加载必要驱动。如果服务器中安装有 RAID 卡、SCSI 等设备时,在安装过程中需要安装相应驱动,在复制文件之前安装向导会提示按 F6 键。然后在随 后的操作界面中按 S 键,从服务器自带的驱动盘中安装相应的设备驱动程序。 (3)磁盘分区、文件系统选择并格式化硬盘。根据安装前的规划,选择相应的磁盘分区和所 需的文件系统,然后格式化硬盘。相关操作界面如图 32 和图 33 所示。 (4)复制系统文件,输入产品密钥。 (5)选择授权模式。根据安装前的规划选择相应的授权模式,相关操作界面如图 35 所示。 (6)设置计算机名称和管理员密码。 (7)选择工作组或计算机域。根据安装前的规划进行工作组和域的模式选择,相关操作界面 如图 34 所示。
三、注意事项 (1)多操作系统的安装。安装多操作系统时,先安装低版本系统,再安装高版本系统。尽量 不要把多个操作系统安装在同一个分区,以免把先前的操作系统或应用程序覆盖掉。 由于无法共享 应用程序,因此应该为每一套操作系统分别安装所需要的应用程序。 (2)及时安装最新的系统补丁程序 Service Pack。 (3) 关闭事件跟踪程序。Windows Server 2003 安装完后,每次关闭或重启系统都要说明理由, 如图 36 所示。这种方式使用起来比较麻烦,为了恢复简洁的关闭系统界面,可以在“组策略编辑 器”窗口中关闭事件跟踪程序来方便使用。 图 36 关闭系统界面 具体操作步骤如下: (1)运行 gpedit.msc 程序,打开“组策略编辑器”窗口。 (2)在“组策略编辑器”窗口中选择“本地计算机策略”中的“计算机配置”,展开“管理 模板” ,从“系统”中选择“显示‘关闭事件跟踪程序’ ”选项,如图 37 所示。 图 37 “组策略编辑器”窗口 (3)双击‘显示“关闭事件跟踪程序’ ”选项,打开其属性界面,选择“已禁用”单选项, 如图 38 所示。 以后关闭或重启系统将不再要求说明原因,出现图 39 所示界面,可以直接关闭或重新启动系统。
图 38 “显示‘关闭事件跟踪程序’属性”对话框 图 39 简洁关闭系统界面 四、活动目录及域控制器的安装 在网络操作系统中,目录服务是指系统存取信息的方式。活动目录是一种分布式的目录服务, 以树型目录的形式显示网络上的可用资源, 实现资源的动态管理。 活动目录的逻辑结构有域、 域树、 森林。 (1)域。域是安全的边界,是一个区域的资源的目录汇总。域内的资源统一由域控制器管理。 用户一次登录就可访问所有的网络资源。在 Windows Server 2003 中安装活动目录后就构成了域, 安装了活动目录的服务器称为域控制器。 域控制器的主要功能是为网络用户和计算机提供目录服务、存储目录数据、 管理域用户和域 之间的交互作用(包括用户登录过程、验证和目录搜索)等。 在基于域的 Windows 2003 网络中,必须最少有一个域控制器,可以有多个域控制器,多个域 控制器相互之间通过“复制”机制进行数据库的同步。 由于域管理的资源众多,为了方便管理,可以在域中将不同的资源进行逻辑组合,这就是组 织单元(OU)。 (2)域树。共用连续名字空间的域就组成了一个目录树,称为域树。目录树中的第一个域被 称为目录树的根域,同一目录树中的其他域则被称为子域。域树是由一个根域和多个子域构成的。 (3)森林。共享相同的活动目录架构、目录配置和复制信息,但不共享连续的 DNS 名称空 间的域树构成森林。 森林中第一棵域树的根域称为森林的根域, 森林根域的管理员称为森林管理员, 森林管理员在森林中权利最大。拥有不同域树的公司之间合并将构建一个森林,这是一个典型的森 林应用实例。 1.安装域控制器的要求 在 Windows Server 2003 中,安装域控制器的服务器需要满足如下要求: l 必须拥有固定的 IP 地址。 l 安装 TCP/IP 协议。 l 配置了 DNS。 l 采用 NTFS 文件系统。 l 有足够的磁盘剩余空间。 l 安装的用户账号有足够的权限,建议采用管理员 Administrator。
2.安装域控制器前的规划 (1)规划 DNS。如果已经在互联网中注册 DNS 域名,建议使用已注册的 DNS 域名。今后该 服务器连入互联网后就可直接使用;否则,需要卸载活动目录并重新安装,才可以修改域名。 (2)规划域的结构。活动目录的逻辑结构可以选择单域和多域,多域是指创建域树和森林。 对于小型网络一般采用单域模式,但在下列情况下建议采用多域模式: l 由于数据安全的需要,部门之间要求使用不同的密码。 l 网络管理的资源、对象众多。 l 各部门要求拥有不同的互联网注册域名。 l 网络中计算机地理位置分布分散。 (3)注意事项。 l 每个域中至少创建一个域控制器。 l 限制域使用的个数,在满足需要的前提下越少越好。 l 组织单位的层次、包含对象不要过多。 l 安装活动目录后,服务器的开机和关机时间变长,且系统的执行速度变慢。 3.域控制器的安装 域控制器可以使用 Dcpromo 命令安装,也可以在“配置服务器向导”中启动“Active Directory 安装向导”来完成。图 310 是安装域控制器时选择域控制器类型的界面。 图 310 选择域控制器类型界面 3.2.2 用户与组的管理 一、用户账号 用户账号是用户在网络上的标识号,它赋予每个用户使用网络资源的权限,为了方便使用和 管理,建议给每个用户单独创建一个用户账户。 1.用户账号的分类 在 Windows Server 2003 中,用户账号分为两类:本地用户账号和域用户账号。 l 本地用户账号 本地用户账号是在 Windows Server 2003 本地建立的用户账户。 用户拥有使用本地资源的权限,
l 域用户账号 域用户账号存在于域控制器的活动目录中,如果网络中有多个域控制器,可以在任何域控制器 上创建新的域用户账户,因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时, 这个域控制器会把信息复制到其他域控制器,从而确保该用户可以登录并访问任何一个域控制器。 2.内置的用户账号 Windows Server 2003 安装后会自动创建多个用户账号,并且赋予其相应的权限,这些用户账 号称为内置账号, 内置账号是不允许用户删除的。最常用的两个内置账号是 Administrator 和 Guest。 l Administrator 初次安装系统后的预设系统管理员具有对服务器的完全控制权限,并可以根据需要向用户指派 用户权利和访问控制权限。由于该用户账户为大家共知,权限最高,但无法删除和禁用,因此它是 黑客非法进入系统的首选破解目标。为了系统安全,建议将 Administrator 改名,设置复杂密码。 l Guest Guest(来客)账号是为临时需要使用网络资源的用户设置的,它不能删除,但可改名与禁用。 系统安装后,Guest 账户默认状态是禁用的。因此如果无特殊需要,建议不要启用。 通常,我们使用管理员账号(Administrator)管理计算机,进行相应的 Server 配置。在域或计 算机中没有固定账号的用户临时访问域或计算机时使用来宾账号(Guest)。 3.用户账户的使用与管理 本地用户账户可以通过“计算机管理”窗口中的“本地用户和组”进行设置和管理,如图 311 所示。图 312 是创建一个用户名为 user1、密码为 1234 的“新用户”设置对话框。 图 311 本地用户配置窗口 图 312 “新用户”对话框 域用户账户则需要通过“管理工具”中的“Active Directory 用户和计算机”窗口进行配置, 如图 313 和图 314 所示。 (1)用户名。用户账户具有唯一性,不能与被管理的计算机的其他用户或组名称相同。用户 名不区分大小写,最长 20 个字符,可以使用 26 个字母(大小写均可)、数字、符号等,但特殊字 符如" / \ [ ] : ; | = , + * ? < >不可用。 (2)用户密码。用户密码是用来保护用户账户不被非法使用,其严格区分大小写,密码长度 建议 8 位以上,最长允许 128 位。在创建用户账号时有四个密码相关选型,配置时需要合理选择。
图 313 域用户和组配置窗口 图 314 创建域用户对话框 l 用户下次登录时须更改密码 这是默认选项,强迫用户在初次登录系统时自己更改密码,更改后,管理员也无法知晓其密 码。既保证了密码的安全,又便于用户记忆。 l 用户不能更改密码 “用户不能更改密码”是针对共享账号,为了方便大家访问,不允许用户更改密码,更改密 码工作由管理员来完成。 l 密码永不过期 密码默认 42 天过期,设置“密码永不过期” ,则密码不受时间限制。为了系统安全,建议不 要对管理员账户启用“密码永不过期” 。 l 账户已锁定 用户无法以该账户登录,但该用户账号数据仍存在账户数据库内,需管理员将该账户重新启 用后方可使用。为新员工提前创建的用户账号、暂时不用的用户账号建议禁用。 (3)用户账号属性。本地用户账号属性比较简单,这里重点分析一下域用户账号属性。域用 户账号属性选项比较多,如图 315 所示。 图 315 域用户属性对话框
在图 315 中,可以设置用户账号的过期时间,方便用户账号的管理。需要注意的是,对管理 员账号的过期时间设置一定要慎重, 避免出现管理员账号过期而无法管理系统的情况出现。 单击 “登 录时间”按钮,进入“用户的登录时间”对话框,如图 316 所示。 默认情况下,系统的用户账号可以随时访问网络,在图 316 中设置该用户账号使用网络的时 间为工作日的 8:00~19:00,避免用户在非指定时间段访问网络,加强了网络的安全。 在图 315 中,单击“登录到”按钮,进入“登录工作站”对话框,如图 317 所示。默认情况 下,用户账号可以访问域中所有的计算机,如果有特殊需要,可以在图 317 中进行设置。 图 316 “用户的登录时间”对话框 图 317 “登录工作站”对话框 4.命令实现本地用户账号的创建与管理 (1)查看当前系统现有的用户账户:net user。 示例:输入命令,查看当前系统现有的本地用户账户信息(黑体字为命令,下同) 。 C:\> net user \\XHZD2C85610BDD 的用户账户
Administrator Guest liu_wdong SUPPORT_388945a0 user1
(2)查看用户账户信息:net user 用户名。 示例:输入命令查看用户账户 user1 的相关信息。 C:\>net user user1 用户名 user1 全名 user1 注释 测试用户 用户的注释 国家(地区)代码 000 (系统默认值) 账户启用 Yes 账户到期 从不 上次设置密码 201355 16:04 密码到期 2013617 14:51 密码可更改 2013515 16:04 需要密码 Yes 用户可以更改密码 Yes 允许的工作站 All 登录脚本 用户配置文件 主目录 上次登录 从不 可允许的登录小时数 All 本地组成员 *Users 全局组成员 *None 以上是用户账号 user1 的信息,包括用户名、全名、设置密码时间、密码到期时间等。 (3)创建用户账户:net user 用户名 密码 /add
示例:创建一个用户名为 user2、密码为 123456 的用户,并测试是否创建成功。
C:\> net user user2 123456 /add C:\> net user
\\XHZD2C85610BDD 的用户账户
Administrator Guest liu_wdong SUPPORT_388945a0 user1 user2
以上信息表明,用户账户 user2 已成功创建。 (4)修改用户账户密码:net user 用户名 密码。 示例:修改用户 user2 的密码为 1111。
C:\> net user user2 1111
(5)禁用用户账户: net user 用户名 /active:no。 示例:禁用用户 user2。
C:\>net user user2 /active:no
(6)启用用户账户: net user 用户名 /active:yes。 示例:启用用户 user2。
C:\> net user user2 /active:yes
(7)删除用户账户: net user 用户名 /del。 示例:删除用户 user2。
二、组账号 组账号是用来管理对共享资源进行访问的用户账户的集合。组内的用户账户会获得组的所有 权限。一个用户账户可以同时属于多个组,它将获得多个组的权限。 1.组账号的分类 与用户账号一样,在 Windows Server 2003 中,组账号也分为两类:本地组账号和域中的组。 l 本地组账号 本地组账号是在 Windows Server 2003 本地建立的组,只允许使用本地资源的权限,存在于本 地数据库“安全账户管理器”SAM 中。 l 域中的组 域中的组用于访问域中的资源,存在于域控制器的活动目录中。 2.内置的本地组 内置的本地组的功能是可以将内置的使用权利指派给用户,使这些用户直接具有本地全部或部 分的系统管理控制权。内置的本地组主要有 Administrators、Backup Operators、Guests 和 Users 等。 l Administrators 系统管理员组,可以给自己赋予所有自己没有的权力,可以完全不受限制地存取本地计算机 的资源。 l Backup Operators 备份操作员组,可以忽略文件系统的权利,使用 Windows 备份工具进行备份/还原。即使是加 密文件也可做备份,这样既可以保证文件系统的安全,又完成了备份/还原操作。 l Guests 来宾组,组内成员是临时用户,只能享有管理员授予的存取指定权限的资源。 l Users 普通用户组,每个新建的用户账号默认都属于该组。 3.系统组 系统组无法在 Windows Server 2003 所提供的工具中管理这些组的成员,Windows Server 2003 为了某些管理上的方便,会使用系统组自动组织用户,这些组在设置权限时会看到。常用的系统组 有 Everyone、Interactive、Network、Anonymous Logon 和 Dialup 等。 l Everyone
任何一个可以访问该计算机的用户都属于 Everyone 组,Guest 也是 Everyone 的成员。指定 Everyone 组权限时一定要小心,避免安全隐患。 l Interactive 任何在本地登录的用户都属于 Interactive 组。 l Network 通过网络连接到本地的用户都属于 Network 组。 l Anonymous Logon 匿名登录的用户都属于 Anonymous Logon 组。 l Dialup 任何利用拨号方式连接本地的用户都属于 Dialup 组。 4.组账户的使用与管理 本地组账户可以通过“计算机管理”窗口中的“本地用户和组”进行设置和管理,如图 318
所示。图 319 是创建一个组名为 group1、成员包含用户 user1 的组的对话框。 图 318 “计算机管理”窗口 图 319 创建本地组的对话框 域中的组则需要通过“管理工具”中的“新建对象-组”进行配置,如图 320 所示。 图 320 “新建对象-组”对话框 从图 320 中可以看出,组的性质由“组作用域”和“组类型”共同决定。组作用域指定该组 的适用范围,分为本地域、全局、通用 3 种。组类型包括安全组和通讯组。 5.命令实现本地组的创建与管理 同用户账号一样,本地组账号也可以通过命令来创建与管理。 (1)查看当前系统现有的组账户:net localgroup。 示例:输入命令,查看当前系统现有的本地组(黑体字为命令,下同) 。 C:\> net localgroup \\XHZD2C85610BDD 的别名 *Administrators *Backup Operators *Distributed COM Users *group1 *Guests
*HelpServicesGroup *Network Configuration Operators *Performance Log Users *Performance Monitor Users *Power Users *Print Operators *Remote Desktop Users *Replicator *TelnetClients *Users 以上信息表明,本机共有 15 个本地组。 (2)查看指定组账号信息:net localgroup 组名。 示例:输入命令,查看本地组 group1 的相关信息。 C:\> net localgroup group1 别名 group1 注释 成员 user1 以上信息表明,本地组 group1 只有 1 个成员 user1。 (3)创建组账户:net localgroup 组名 /add。 示例:输入命令,创建本地组 group2。
C:\> net localgroup group2 /add
(4)将用户加入组:net localgroup 组名 用户名 /add。 示例:输入命令,将 user2 加入本地组 group1。
C:\> net localgroup group1 user2 /add
此时输入命令,查看 group1 显示以下信息: C:\> net localgroup group1 别名 group1 注释 成员 user1 user2 以上信息表明,user2 已经加入到 group1 中。 (5)删除组账户:net localgroup 组名 /del。 示例:输入命令,删除本地组 group2 的相关信息。
C:\> net localgroup group2 /del
三、注意事项 (1)每个用户或组都有唯一的 SID。 (2)本地用户和组不是 AD 的一部分,在域控制器中, “本地用户和组”是禁用的。在“计 算机管理”窗口中已经没有“本地用户和组”工具,如图 321 所示。 (3)不要直接给用户设置权限,可以先将用户加入指定的组,然后设置组权限,从而实现用 户的权限。 (4)OU 是组织单元,注意其与组的区别。
图 321 禁用的本地用户和组 3.2.3 权限管理 一、共享权限 在 Windows Server 2003 中,为了实现文件的共享,使多个用户可以通过网络同时访问一个文 件,需要对该文件所在的文件夹配置共享权限。注意不能设置共享文件,只能设置共享文件夹,共 享权限对本地用户不起作用。 1.共享文件夹配置 共享文件夹的配置是在文件夹的“属性”对话框中选择“共享”选项卡进行设置的,如图 322 所示。 共享文件夹默认以文件夹名为共享名, 对网络访问用户数没有限制, 可以根据需要进行修改。 单击“权限”按钮,进入权限设置对话框,如图 323 所示。系统默认 Everyone 组拥有读的权限。 文件夹共享可以设置三种权限:读取、更改、完全控制,其相关含义如表 31 所示。 图 322 共享文件夹设置对话框 图 323 共享权限设置对话框
表 31 共享权限含义 权限 允许用户执行的操作 读取 查看文件名和子文件夹名、查看文件中的数据、运行程序文件,是指派给 Everyone 组的默 认权限 更改 添加文件和子文件夹、更改文件中的数据、删除子文件夹和文件以及所有“读取”权限允 许的操作,不是任何组的默认权限 完全控制 所有“更改”和“读取”权限所允许的操作,对于 NTFS 文件和文件夹还拥有更改权限, 是指派给本机上的 Administrators 组的默认权限 实际应用中,要根据需要设置合理的权限,图 324 中设置组 group2 对 test 共享“读取”权限, 则该组的成员用户通过网络访问时,只能执行“读取”权限允许的操作,如果其在该共享文件夹内 创建文件夹,系统将提示如图 325 所示的错误信息。 图 324 设置读取权限窗口 图 325 权限错误提示对话框 2.访问共享文件夹 设置好共享后,从网络访问共享文件夹的常用方法有网上邻居、网络映射和 UNC 访问 3 种。 (1)网上邻居。通过“网上邻居”查找到指定的计算机,访问其共享文件夹。在图 326 中, 通过网上邻居查找到计算机 Xhzd2c85610bdd 后,打开其共享文件夹,如图 327 所示。 图 326 网上邻居窗口
图 327 打开共享文件夹窗口 (2)网络映射。将共享文件夹映射为本地的一个盘符,访问该资源就如同访问本地盘一样方 便。在图 328 中,将计算机 Xhzd2c85610bdd 的共享文件夹映射为本地的 T 盘,并选择登录时重 新连接,保证下次登录时该映射仍然有效。 (3)UNC 访问。在命令行中输入“\\计算机名或者 IP 地址\共享名”命令即可访问对应的共 享文件夹,图 329 中输入\\Xhzd2c85610bdd\test 就可以访问计算机 Xhzd2c85610bdd 上共享 test 文件夹。 图 328 “映射网络驱动器”对话框 图 329 UNC 访问对话框 3.隐含共享 如果设置的共享名的最后一个字符是“$” ,则该共享为隐含共享,通过网上邻居是无法看到 的。在图 327 中只显示了计算机 Xhzd2c85610bdd 上的普通共享,通过这种方式是无法访问隐含 共享的。用户访问隐含共享必须知道共享名,可以利用 UNC 方式访问。 4.管理共享文件夹 通过“计算机管理”窗口中的“共享文件夹”可以方便地管理共享。在图 330 中显示了该计 算机所有的共享(包括隐含共享)以及客户端的连接数。 如果想断开某个用户对本机的共享连接,可以在“会话”中选择该用户并右击,从弹出的快 捷菜单中选择“关闭会话”命令即可完成,如图 331 所示。
图 330 共享管理工具窗口 图 331 会话管理工具窗口 5.网络命令实现共享 (1)显示本机的共享资源:net share。 示例:输入命令显示本机的共享资源(黑体字为命令,下同) 。 C:\> net share 共享名 资源 注释 C$ C:\ 默认共享 ADMIN$ C:\WINDOWS 远程管理 IPC$ 远程 IPC lx C:\lx test C:\test 以上信息显示,本机共有 5 个共享,其中包括 3 个隐含共享。 (2)创建共享资源:net share 共享名=路径。 示例:输入命令,将本机的 C:\kh 创建为共享,共享名为 hhh。 C:\> net share hhh=c:\kh hhh 共享成功。 C:\> net share
共享名 资源 注释 C$ C:\ 默认共享 ADMIN$ C:\WINDOWS 远程管理 IPC$ 远程 IPC hhh C:\kh lx C:\lx test C:\test (3)删除共享资源:net share 共享名 /delete。 示例:输入命令,删除本机的共享 hhh。
C:\> net share hhh /del
hhh 已经删除。 6.用户的有效权限 当用户属于多个组,而多个组都对某个文件夹拥有不同的权限时,该用户对这个文件夹的有 效权限采用累加和拒绝优先原则。 l 累加原则 用户对某个文件夹的有效权限是分配给这个用户和该用户所属的所有组的共享权限的总和。 l 拒绝优先原则 当用户对某文件夹拥有拒绝权限和其他权限时,拒绝权限优先于其他权限。
例如,user1 同时是组 group1、group2 的成员,group1、group2 分别对共享文件夹 test 拥有读 和完全控制的权限,则 user1 将继承组 group1、group2 的权限,采用累加原则,其对共享文件夹 test 拥有完全控制的权限。 二、NTFS 权限 在 Windows Server 2003 中,针对 NTFS 文件系统可以设置文件和文件夹的 NTFS 权限,该权 限可以控制网络用户和本地用户对该文件或文件夹的访问权限。 1.NTFS 文件权限 NTFS 文件权限有 5 种,其含义如表 32 所示。 表 32 NTFS 文件权限 权限名称 权限含义 读取 读文件以及查看文件的属性、所有权和权限等 写入 可以覆盖文件、更改文件的属性以及查看文件的所有权和权限,但不可以更改文件内的数据 读取及运行 执行应用程序以及“读取”权限所允许的操作 修改 拥有“写入”权限和“读取并运行”权限所允许的操作,可以修改和删除文件、更改文件名 完全控制 拥有所有 NTFS 文件权限,包括修改权限、取得所有权等 2.NTFS 文件夹权限 NTFS 文件夹权限有 6 种,其含义如表 33 所示。 表 33 NTFS 文件夹权限 权限名称 权限含义 读取 查看文件夹内的文件和子文件夹,查看文件夹属性、所有权和权限等 写入 在文件夹内创建新文件和子文件夹、更改文件夹属性以及查看文件夹的所有权和权限等
续表 权限名称 权限含义 列出文件夹目录 拥有“读取”权限所允许的操作以及进入子文件夹功能 读取及运行 拥有“读取”权限和“列出文件夹目录”权限所允许的所有操作,并具备运行权限 修改 拥有“写入”权限和“读取及运行”权限所允许的所有操作,并具备删除文件夹、改变 子文件夹名等功能 完全控制 拥有所有 NTFS 权限,包括修改权限、取得所有权等 3.NTFS 权限的配置 NTFS 权限的配置是在文件或文件夹的属性对话框中选择“安全”选项卡进行设置的。 NTFS 文件夹权限设置界面如图 332 所示。可以看出,文件夹权限包括“完全控制” 、 “修改” 、 “读取和运行” 、 “列出文件夹目录” 、 “读取” 及 “写入” 。 如果还想进一步细分权限, 可以在图 332 中单击“高级”按钮,打开如图 333 所示的“高级安全设置”对话框。单击“编辑”按钮,就可 以打开“权限项目”对话框,如图 334 所示。在“权限项目”对话框中,可以灵活地选择权限、 组合权限。 图 332 NTFS 文件夹权限设置对话框 图 333 “高级安全设置”对话框 图 334 “权限项目”对话框
4.用户的有效权限 当用户属于多个组,而多个组都对某个文件或文件夹拥有不同的 NTFS 权限时,该用户对这 个文件或文件夹的有效 NTFS 权限采用累加性、拒绝优先、文件权限优先于文件夹权限的原则。 5.共享与 NTFS 权限的配合 如果某个文件夹同时设置了共享权限和 NTFS 权限,则最终权限选择二者中最严格的设置。 三、分布式文件系统 当需要频繁访问多个网络共享文件夹时,用网上邻居、网络映射、UNC 访问都不太方便。此 时可以采用 Windows Server 2003 中的分布式文件系统来实现。 分布式文件系统(DFS)可以使用户方便地访问和管理物理上分布在网络各处的文件。通过 DFS,可以使分布在多个服务器上的文件挂接在统一命名空间下,如同位于网络上的一个位置一样 显示在用户面前。用户在访问文件时不再需要知道和指定它们的实际物理位置。更为方便的是,目 标的物理位置的更改也不会影响用户访问文件夹。例如,某公司承接了一个设计项目,由一个项目 经理和不同部门的 3 个设计师共同完成,每人负责一个模块,并且相互之间有很多数据、资料需要 共享。4 个设计师设计的资料分别存放在网络中不同的服务器上,设置 DFS,如图 335 所示,使 得所有资料如同存储在一个本地计算机上一样。这样,用户可避免为查找需要的信息而访问网络上 的多个位置。为了保证数据安全,DFS 管理使用标准 NTFS 权限和文件夹共享权限,确保只有授 权的用户才能访问敏感数据。 图 335 DFS 设置示意图 1.分布式文件系统的类型 实施分布式文件系统有两种方式:独立的根目录分布式文件系统和域根目录分布式文件系统。 后者将分布式文件系统放置在活动目录中,安全性能更高。 2.分布式文件系统操作 (1)创建一个共享文件夹。在 NTFS 分区上创建一个空文件夹,例如 DFSLX,将其设置为共 享文件夹,作为分布式文件系统的容器,存放网络中需要访问的共享文件夹的链接。 (2)建立 DFS 根目录。运行“管理工具”的“分布式文件系统” ,新建 DFS 根目录,可以选 择建立独立的根目录或者域根目录的选项,如图 336 所示。
图 336 DFS 根目录类型选择对话框 如果希望利用活动目录统一管理 DFS,则选择域根目录,否则选择独立根目录,图 336 中选 择的是“独立的根目录”单选项。然后需要在其后的对话框中将 DFS 根目录指向前面已创建的共 享文件夹,如图 337 所示。必须为该根目录设置一个唯一的名称,该名称就是共享文件夹的名称。 图 337 DFS 根目录名称设置对话框 (3)建立 DFS 链接。DFS 根目录创建后,需在 DFS 根目录新建 DFS 链接,为网络中需要访 问的共享文件夹指定链接名称。在图 338 中新建了一个 DFS 链接 p1,其对应的共享文件夹是计算 机 XHTHINK 上的 Users。图 339 是创建完所需的 DFS 链接后的界面,图中创建了两个 DFS 链接 p1、p2。 图 338 “新建链接”对话框 图 339 创建好 DFS 链接后的界面
(4)访问 DFS 根目录。由于 DFS 根目录中存放的是需要访问的共享文件夹的链接,因此直 接打开共享文件夹是不能访问 DFS 根目录的,图 340 是直接打开 DFS 根目录报错的界面。访问 DFS 根目录可以利用网络映射、UNC 路径等方法,图 341 是利用网络映射将分布式文件系统 DFSLX 映射为本地的 X 盘,打开 X 盘就可以直接访问该系统了。 图 340 直接打开 DFS 根目录报错的界面 图 341 网络映射 DFS 根目录的界面 3.2.4 DNS 服务器配置 在 TCP/IP 网络中,IP 地址是用来区分网络中每一台计算机的。每个网站都有一个 IP 地址, 但人们访问它时却很少使用 IP 地址, 而使用的是方便易记的域名, 二者之间的桥梁就是 DNS, DNS 的作用就是域名解释,可以实现域名与 IP 地址之间的转换。 一、DNS 域名空间 域名采用层次的和逻辑的树形结构,其基本格式是:域主机名.… .三级域名.二级域名.顶级域 名。域名内不分大小写。域名分为绝对域名和相对域名。为了简化实现,整个域名的长度不得大于 255 个字节。域名空间有根域、顶层域、二级域、子域、区域之分。 (1)根域是没有命名的树根,它是所有域的汇总。 (2)顶层域有几百个,分为三种:普通域、国家域、反域。 (3)二级域。位于顶层域下面的域,可以顺序下排,称为二级域、三级域、四级域等。一个 域如果是在另一个域下,则称它为这个域的子域。即使是顶层域也是根域的子域。 (4)主机名称。主机名称是在域名系统(DNS)中用来唯一标识某个域中的计算机的。它与 计算机名不同,计算机名是在 Windows 系统中用来唯一标识网络中的计算机的。 二、DNS 服务器的管理 DNS 服务器以区域为单位进行管理,区域是一个独立管理的 DNS 子树。基于区域方式的域名 有两种常用的划分方式。 1.主机名+区域名
例如,域名 www.xhsq.edu.cn 中可以将 xhsq.edu.cn 设置为区域,www 则为区域 xhsq.edu.cn 下 的主机。 2.主机名+子域名+区域名 例如, 域名 www.xhsq.edu.cn 中可以将 edu.cn 设置为区域, xhsq 设置为子域, www 为子域 xhsq 下的主机;或者将 cn 设置为区域,edu 设置为一级子域,xhsq 设置为二级子域,www 为二级子域 xhsq 下的主机。 三、DNS 服务器的类型 DNS 服务器的类型主要有主 DNS 服务器、辅 DNS 服务器、前向 DNS 服务器、从属 DNS 服
务器和只缓存 DNS 服务器 5 种。 四、主 DNS 服务器的安装与配置 1.DNS 组件的安装 在 Windows Server 2003 中, 为了实现域名解析, 需要通过 Windows 组件向导安装 “网络服务” , 如图 342 所示,然后单击“详细信息”按钮,在“网络服务”对话框中选中“域名系统(DNS) ” 复选项,如图 343 所示,单击“确定”按钮,开始安装 DNS 组件。安装过程中,系统会提示插入 Windows Server 2003 系统光盘,从中选择系统文件进行安装。 图 342 选择网络服务组件对话框 图 343 选择域名系统(DNS)组件对话框 2.添加 DNS 服务器 安装 DNS 组件后,在“管理工具”窗口中就添加了 DNS 工具,选择 DNS 工具进入 DNS 配 置界面,默认状态是系统将本机添加为 DNS 服务器。需要注意的是,DNS 服务器必须使用固定 IP 地址,以便于网络访问。图 344 是安装 DNS 组件后进入 DNS 工具显示的界面。 图 344 DNS 工具管理界面 3.添加 DNS 的正向区域 右击“正向查找区域” ,在弹出的快捷菜单中选择“新建区域”命令,出现“新建区域向导” 对话框,如图 345 所示。区域的类型有主要区域、辅助区域、存根区域 3 种,选择“主要区域” 是创建主 DNS 服务器的区域,选择“辅助区域”是创建辅助 DNS 服务器的区域,选择“存根区域”
则含有该区域的服务器对该区域没有管理权。 选中“主要区域”单选项,进入“区域名称”对话框。假如需要创建域名 www.xhsq.edu.cn, 则可以将区域设置为 xhsq.edu.cn,如图 346 所示。 图 345 “区域类型”选择对话框 图 346 “区域名称”对话框 单击“下一步”按钮,系统将自动创建以该区域名命名的区域文件,完成区域的创建,本例 的区域文件为 xhsq.edu.cn.dns。图 347 是创建完区域后的界面。可以看到,在正向查找区域下面已 经添加了 xhsq.edu.cn 区域。 图 347 创建完区域后的界面 4.新建主机名和 IP 的对应 在对应的区域或者子域中需要添加主机,并指定其对应的 IP 地址。选择对应的区域并右击, 在弹出的快捷菜单中选择“新建主机”命令,在图 348 所示的“新建主机”对话框中输入主机名 称 www 和 IP 地址 192.168.41.129,则新建的域名为 www.xhsq.edu.cn,其与 IP 地址 192.168.41.129 建立了一一对应的关系。图 349 是域名创建成功的提示对话框。 5.工作站的 DNS 设置 在客户端,为了使用 DNS 服务器上的域名解析,必须在其 TCP/IP 属性中指定为其做域名解 析的服务器的 IP 地址,设置界面如图 350 所示。该图表明即使本机是 DNS 服务器,也需要在首 选 DNS 服务器中指定 DNS 服务器的 IP 地址,即本机 IP。
图 348 “新建主机”对话框 图 349 域名创建成功提示对话框
图 350 客户端指定 DNS 服务器对话框
6.域名测试
域名可以使用 ping 命令或者 nslookup 命令来测试。
(1)ping 命令。使用 ping 命令查看解析结果是否符合要求,其格式是“ping 域名” ,如果能
够解析为对应的 IP 地址,证明域名解析成功。下面是测试 www.xhsq.edu.cn 的过程: C:\ping www.xhsq.edu.cn Pinging www.xhsq.edu.cn [192.168.41.129] with 32 bytes of data: Reply from 192.168.41.129: bytes=32 time<1ms TTL=60 Reply from 192.168.41.129: bytes=32 time<1ms TTL=60 Reply from 192.168.41.129: bytes=32 time<1ms TTL=60 Reply from 192.168.41.129: bytes=32 time<1ms TTL=60 Ping statistics for 192.168.41.129: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milliseconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 以上信息显示,www.xhsq.edu.cn 已经正确地解析为 192.168.41.129。需要注意的是,ping 不 通不代表 DNS 服务器一定有问题,只要能解析出 IP 地址,就表示 DNS 服务器是正常的。
(2)nslookup 命令。使用 nslookup 命令查看解析结果是否符合要求,其格式是“nslookup 域 名” ,如果能够解析为对应的 IP 地址,证明域名解析成功。下面是测试 www.xhsq.edu.cn 的过程: C:\> nslookup www.xhsq.edu.cn Server: www.xhsq.edu.cn Address: 192.168.41.129 Name: www.xhsq.edu.cn Address: 192.168.41.129 以上信息显示,www.xhsq.edu.cn 已经正确地解析为 192.168.41.129。 五、DNS 子域的配置 1.添加 DNS 的子域 如果域名中存在子域,则需要在创建区域后右击该区域,在弹出的快捷菜单中选择“新建域” 命令,在该区域下创建子域。图 351 是在 xhsq.edu.cn 区域下新建子域 cwb 的界面。 图 351 “新建 DNS 域”对话框 2.在子域下新建主机 子域下新建主机与区域下新建主机类似,右击相应的子域,在弹出的快捷菜单中选择“新建 主机”命令,在弹出的“新建主机”对话框中输入主机名和对应的 IP 地址即可。图 352 所示对话 框是在 cwb 子域下创建主机 www 与 IP 地址 192.168.41.1 对应的界面。其最后生成的域名为 www.cwb.xhsq.edu.cn,如图 353 所示。 图 352 “新建主机”对话框 图 353 域名创建成功提示对话框 3.域名测试 图 354 是域名 www.cwb.xhsq.edu.cn 的测试界面,从图中可以看到,用两种方法都测试成功。 六、别名的设置 为了使用方便,有些域名需要设置别名。别名的创建比较简单,其操作步骤如下: 1.新建别名 选择域名所在的区域或者子域,右击新建别名,在弹出的快捷菜单中选择相应命令,随后出 现“新建资源记录”对话框,如图 355 所示,输入别名和其对应的域名即可,在图 355 中为域名 www.cwb.xhsq.edu.cn 新建的别名为 pc1。图 356 是别名创建成功后的界面,可以看出在 cwb 子域 中增加了一条别名记录。
图 354 测试域名的窗口 图 355 “新建资源记录”对话框 图 356 别名创建成功窗口 2.测试别名 别 名 的 测 试 与 域 名 测 试 一 样 , 可 以 用 ping 命 令 和 nslookup 命 令 。 图 357 是 测 试 www.cwb.xhsq.edu.cn 的别名 pc1 的界面。从图中可以可看出,别名测试成功。 图 357 测试别名的窗口
七、辅助 DNS 服务器的配置 辅助 DNS 服务器的配置比主 DNS 服务器更简单。首先,新建区域,在“区域类型”对话框 中选择“辅助区域”单选项,如图 358 所示。 图 358 选中“辅助区域”单选项 然后,单击“下一步”按钮,在弹出的“主 DNS 服务器”对话框中输入需要备份的主区域的 IP 地址和区域名即可, 如图 359 和图 360 所示。 这样主 DNS 服务器的数据将备份到辅助 DNS 服务器上。 图 359 输入主 DNS 服务器 IP 地址对话框 图 360 输入主 DNS 服务器区域名称对话框
八、反向区域的配置 DNS 的域名解析分为两类:一类是域名翻译成 IP 地址,这是正向解析,对应的区域是正向区 域;另一类是将 IP 地址翻译成域名,称为反向解析,对应的区域为反向区域。 在 DNS 中选择反向查找区域,右击“新建区域” ,将出现如图 358 所示的“区域类型”对话 框,选择“主要区域”单选项,单击“下一步”按钮,随后出现“反向查找区域名称”对话框,输 入反向区域的网络号,如图 361 所示。单击“下一步”按钮,生成反向区域文件,完成反向区域 的创建。 在反向区域中可以创建指针,建立 IP 地址与域名的对应关系,如图 362 所示,建立了 IP 地 址 192.168.41.129 与域名 www.xhsq.edu.cn 的对应关系。 图 361 输入反向区域网络号对话框 图 362 创建指针对话框 3.2.5 DHCP服务器配置 TCP/IP 网络中的所有计算机都是通过 IP 地址进行标识的。一台主机获得 IP 地址的方法有两 种:静态 IP 和动态 IP。静态 IP 必须手工在每一台计算机上分配 IP 地址,动态 IP 则由 DHCP 服务 器自动分配 IP 地址。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)的作用是向主机动态分配 IP 地址及其他相关信息,DHCP 采用客户端/服务器模式,DHCP 服务器能够从预先设置的 IP 地址 池里自动给主机分配 IP 地址,它不仅能够保证 IP 地址不重复分配,也能及时回收 IP 地址,以提 高 IP 地址的利用率。 当网络中需要分配 IP 地址的客户端较多时,采用静态分配 IP,需要为每一个客户端固定地分 配一个 IP 地址,工作量大、占用 IP 地址资源多、容易出错;而采用动态 IP 配置时,由服务器自 动地分配 IP 地址、子网掩码、默认网关等相关信息,可以保证客户端总是使用正确的 IP 地址配置。 最重要的一点是,由于是动态获取,没有必要为每一台客户端固定地分配一个 IP 地址,提高了 IP 地址的使用效率,并且特别适合移动办公。 一、DHCP 的工作原理 DHCP 服务器通过广播方式与客户端通信,完成 IP 地址的动态分配,其工作过程分为 DHCPDISCOVER、DHCPOFFER、DHCPREQUEST 和 DHCPACK 4 个步骤。
1.DHCP 客户机首次登录网络 (1)DHCPDISCOVER。需要申请 IP 地址的客户端使用 0.0.0.0 作为源地址,255.255.255.255 为目标地址,发送广播帧申请 IP,为了便于识别,广播帧中包含该客户端的硬件地址和主机名称, 发送间隔为 1s、9s、13s 和 16s。如果在指定时间内无法获得 IP 地址,则该客户端将使用保留的私 有 IP 地址 169.254.x.y,子网掩码为 255.255.0.0。 (2)DHCPOFFER。网络中的 DHCP 服务器收到客户端发来的申请 IP 地址广播帧后,将使用 自己的 IP 作为源地址,255.255.255.255 为目标地址,发送广播帧,该广播帧中包括它准备分配给 指定客户端(通过硬件地址识别)的 IP 地址、子网掩码、IP 地址的有效时间等信息。 (3)DHCPREQUEST。客户端收到服务器发来的广播帧后,接收第一台 DHCP 服务器分配的 IP 作为自己的 IP 地址,然后向网络中所有的 DHCP 服务器广播它准备接收的 IP 地址及 IP 提供者 (DHCP 服务器)的 IP 地址。 (4)DHCPACK。网络中的 DHCP 服务器收到该客户端发回的反馈广播帧后,按照以下方式 进行处理: l IP 提供者的 IP 与自己的 IP 不同 证明客户端没有接受自己分配的 IP 地址,则撤消提供的信息,收回准备分配的 IP 地址。 l IP 提供者的 IP 与自己的 IP 相同 证明客户端接受自己分配的 IP 地址,则发送 DHCPACK 消息,确认给该客户端分配 IP 地址。 这样该客户端将获得一个 IP 地址、一个子网掩码、租约、某些可选值,如默认的网关、DNS 服务 器的 IP 地址、WINS 服务器的 IP 地址等配置信息。 2.DHCP 客户端再次登录网络 当 DHCP 客户端再次登录网络时,就不必重复上述 4 个过程,而是直接发送一个包含前一次 所获得 IP 地址的 DHCPREQUEST 信息, 分配其 IP 地址的 DHCP 服务器会尝试让 DHCP 客户端继 续使用原有 IP。如果该 IP 地址目前尚未分配给其他客户端,则 DHCP 服务器回答一个 DHCPACK 确认信息,分配原有 IP 给该客户端;否则发送 DHCPNACK 信息,此时客户端需要发送 DHCPDISCOVER 广播帧重新申请 IP。 二、IP 地址的租约 DHCP 服务器分配的 IP 地址默认的租约为 8 天,如果需要继续使用,需要提前更新 IP 地址租 约。当客户端重新启动、IP 地址已释放时,IP 地址租约也会进行同步更新。 三、DHCP 服务器配置 1.添加 DHCP 作用域 作用域是 DHCP 服务器分配的 IP 地址范围,需要先安装 DHCP 服务器,然后在 DHCP 服务器 中添加作用域。 可以通过“控制面板”中的“添加/删除程序”安装 DHCP 组件,然后进入“DHCP 管理工具” 进行 DHCP 服务器的安装;也可以通过“管理工具”窗口中的“管理您的服务器”来完成。下面 是使用“管理工具”窗口中的“管理您的服务器”来配置 DHCP 作用域的操作过程。 (1)添加“DHCP 服务器角色” 。在图 363 所示的“管理您的服务器”窗口中单击“添加或 删除角色”链接,在随后出现的“配置您的服务器向导”对话框中选中“DHCP 服务器”选项,如 图 364 所示,单击“下一步”按钮,系统将自动安装 DHCP 组件。 (2)添加 DHCP 服务器作用域 IP 地址范围。随后将出现“作用域名”对话框。首先输入作 用域的名称和描述,描述此作用域,如图 365 所示,图中设置作用域的名称为 test。
图 363 “管理您的服务器”窗口 图 364 “配置您的服务器向导”对话框 图 365 “作用域名”对话框 接下来设置作用域分配的 IP 地址范围,如图 366、图 367 所示。图中设置的 IP 地址范围是 192.168.41.1~192.168.41.100, 子网掩码是 255.255.255.0, 排除范围是 192.168.41.10~192.168.41.20, 即该作用域分配的 IP 地址是 192.168.41.1~192.168.41.9、192.168.41.21~192.168.41.100。
图 366 “IP 地址范围”对话框 图 367 “添加排除”对话框 (3)设置作用域租约期限。为客户端指定从此作用域获得 IP 地址的使用期限,默认值为 8 天,如图 368 所示。 图 368 “租约期限”对话框 图 369 “配置 DHCP 选项”对话框 (4)配置 DHCP 选项。客户端动态获得 IP 地址的同时也会被指定 DHCP 选项,DHCP 选项 可以在创建作用域时配置,也可以创建后配置。在图 369 中选中“是,我想现在配置这些选项” 单选项,即在创建作用域时配置 DHCP 选项。DHCP 选项包括默认网关、DNS 服务器、WINS 服 务器等。 图 370 “路由器(默认网关) ”对话框 图 371 “域名称和 DNS 服务器”对话框
在图 370 中设置默认网关为 192.168.41.129, 在图 371 中设置 DNS 服务器为 192.168.41.129, 在图 372 中设置 WINS 服务器为 192.168.41.129。最后选中“是,我想现在激活此作用域”单选项 来完成作用域的创建,如图 373 所示。 图 372 “WINS 服务器”对话框 图 373 “激活作用域”对话框 进入 DHCP 管理工具,可以看见 test 作用域已创建成功,在此作用域的地址池中显示了其可 以分配的 IP 地址范围,如图 374 所示。 图 374 作用域创建成功窗口 图 375 “新建保留”对话框 2.为特定计算机分配指定的 IP 地址 针对有固定 IP 地址需求的客户端,通过新建保留,可将 IP 地址与指定的客户端的 MAC 地址 捆绑,实现动态分配固定的 IP 地址给指定的客户端。 右击此作用域中的“保留”选项,在弹出的快捷菜单中选择“新建保留”命令,在图 375 所 示对话框中输入需要保留的 IP 地址、计算机的 MAC 地址等信息,就可以完成动态分配固定 IP 地 址操作。 3.作用域选项 “作用域选项”是针对当前作用域设置对应的选项信息,作用于单个作用域,适合不同子网 有不同配置的网络。 “作用域选项” 如图 376 所示, 图中显示出在创建作用域时已创建的各个选项, 如需修改或新建,则可以右击“作用域选项” ,在弹出的快捷菜单中选择“配置选项”命令,出现 如图 377 所示对话框,在“常规”选项卡中选择需要配置的“可用选项”进行相关配置。在图 377 中新建了一个时间服务器选项,指定的服务器 IP 地址是 192.168.1.210。
图 376 “作用域选项”窗口 图 377 “作用域 选项”对话框 各作用域选项相同的项目可以在“服务器选项”中配置, “服务器选项”针对所有从该 DHCP 服务器获得 IP 地址的 DHCP 客户机,适合所有子网配置相同的网络。 4.客户端配置及调试 客户端的配置很简单,只需将 TCP/IP 属性设置成“自动获得 IP 地址”即可,如图 378 所示。 在客户端的命令行方式下,使用 ipconfig 命令可以对申请到的 IP 地址信息进行查看和简单管理。 图 378 选中“自动获得 IP 地址”单选项
(1)ipconfig/all 命令。可以查看其获得的 IP 地址配置信息,下面是客户端执行 ipconfig/all 命令显示的信息: Windows IP Configuration Host Name . . . : xhzd2c85610bdd Primary Dns Suffix . . . : Node Type . . . : Unknown IP Routing Enabled. . . : No WINS Proxy Enabled. . . : No Ethernet adapter 本地连接: Connectionspecific DNS Suffix . : Description . . . : Intel(R) PRO/1000 MT Network Connection Physical Address. . . : 000C29D8ACDC DHCP Enabled. . . : No IP Address. . . : 192.168.41.5 Subnet Mask . . . : 255.255.255.0 Default Gateway . . . : 192.168.41.129 DHCP Class ID . . . : computer DNS Servers . . . : 192.168.41.129 以上信息表明,该计算机申请到的 IP 地址是 192.168.41.5,默认网关是 192.168.41.129,DNS 服务器是 192.168.41.129。
(2)ipconfig/release。可以释放所获得的 IP 地址,下面是客户端执行 ipconfig/ release 命令显 示的信息: Windows IP Configuration Ethernet adapter 本地连接: Connectionspecific DNS Suffix . : IP Address. . . : 0.0.0.0 Subnet Mask . . . : 0.0.0.0 Default Gateway . . . : DHCP Class ID . . . : computer 以上信息表明,该计算机已经释放所获得的 IP 地址,目前没有 IP 地址。 (3) ipconfig/renew。 可以重新向 DHCP 服务器申请 IP 地址, 下面是客户端执行 ipconfig/ renew 命令显示的信息: Windows IP Configuration Ethernet adapter 本地连接: Connectionspecific DNS Suffix . : localdomain IP Address. . . : 192.168.41.5 Subnet Mask . . . : 255.255.255.0 Default Gateway . . . : 192.168.41.129 以上信息表明,该计算机已经重新从 DHCP 服务器上获得的 IP 地址为 192.168.41.5,默认网 关为 192.168.41.129。 5.“用户类”的使用 DHCP 客户端可以通过指定“用户类”选项区分自己,DHCP 服务器可以针对“用户类”来 组合作用域中有相似配置需求的客户端。例如,将频繁移动或经常用于远程访问的便携计算机设置 为一个“用户类” ,为该“用户类”提供较短的租约时间。 (1)定义 “用户类”。在 DHCP 管理工具中右击 DHCP 服务器, 在弹出的快捷菜单中选择“定 义用户类别”命令,将出现如图 379 所示“DHCP 用户类别”对话框,该对话框列出 DHCP 服务
器已有的可用类别。单击“添加”按钮,出现如图 380 所示的“新建类别”对话框,图中新建了 一个 computer 用户类。 图 379 “DHCP 用户类别”对话框 图 380 “新建类别”对话框 (2)为作用域指定用户类。右击需设定用户类别的作用域的“作用域选项” ,在弹出的快捷 菜单中选择“配置选项”命令,修改对话框中“高级”选项卡的“用户类别” ,如图 381 所示,将 “用户类别”修改为 computer。 图 381 修改作用域的用户类别对话框 (3)客户端配置。客户端设置用户类别,需执行以下命令:ipconfig/setclassid "本地连接" " 用户类别",下面是将客户端配置为 computer 用户类的命令及执行后显示的相关信息。 C:\> ipconfig/setclassid "本地连接" "computer" Windows IP Configuration Successfully set the class id for adapter 本地连接. 通过命令 ipconfig/all 可以查看到配置后的信息如下: Windows IP Configuration Host Name . . . : xhzd2c85610bdd
Primary Dns Suffix . . . : Node Type . . . : Unknown IP Routing Enabled. . . : No WINS Proxy Enabled. . . : No Ethernet adapter 本地连接: Connectionspecific DNS Suffix . : Description . . . . . . . : Intel(R) PRO/1000 MT Network Connection Physical Address. . . : 000C29D8ACDC DHCP Enabled. . . : No IP Address. . . : 192.168.41.5 Subnet Mask . . . : 255.255.255.0 Default Gateway . . . : 192.168.41.129 DHCP Class ID . . . : computer DNS Servers . . . : 192.168.41.129 以上信息表明,该客户端的用户类别已定义为 computer。 6.超级作用域配置 超级作用域可以将多个作用域组合为单个管理实体。超级作用域主要用于如下情形: l 当前活动作用域的可用地址池几乎已耗尽,而且需要向网络添加更多的计算机。 l 客户端必须根据时间迁移到新作用域,例如重新为当前 IP 网络编号,从现有的活动作用 域中使用的地址范围到包含另一个 IP 网络地址范围的新作用域。 l 在同一物理网段上使用两个 DHCP 服务器以管理分离的逻辑 IP 网络。 配置超级作用域的步骤如下: (1)创建作用域。创建超级作用域管理的各个作用域,并进行相应的作用域选项配置。 (2) 新建超级作用域。 在 DHCP 管理工具中右击 DHCP 服务器, 在弹出的快捷菜单中选择 “新 建超级作用域”命令,将出现如图 382 所示“新建超级作用域名”对话框,输入超级作用域名, 单击“下一步”按钮,在随后出现的对话框中选择该超级作用域需管理的作用域,如图 383 所示。 图 382 “超级作用域名”对话框 图 383 “选择作用域”对话框 单击“下一步”按钮,完成新建超级作用域操作。图 384 是创建后的效果。 7.监视 DHCP 服务器性能 在 “管工具理” 窗口的性能工具中添加 DHCP SERVER 计数器可以监控 DHCP 服务器的性能, 如图 385 所示。
图 384 创建完成超级作用域后的界面
图 385 监控 DHCP 服务器的性能窗口
3.2.6 Web 服务器配置
Internet 信息服务(Internet Information Services,IIS),实际上是一组以 TCP/IP 为基础的服务, 它们都运行在相同的系统上,但在功能上彼此还是不同的。IIS 有不同的因特网的功能,以满足人 们不同的需要。
在 Windows Server 2003 中,IIS 版本为 6.0,IIS 6.0 提供多种服务,主要有 WWW 服务、FTP 服务、SMTP 服务、NNTP 服务、Internet 信息服务管理器和 Internet 打印服务等。 l WWW 服务 WWW 服务是指在网上发布可以通过浏览器查看的用 HTML 标识语言编写的图形化页面的服 务,即网页服务,客户端使用 HTTP 协议可以浏览其提供的信息服务。 l FTP 服务 FTP 服务是一种文件传输协议,主要用于实现网络中文件的上传和下载。 l SMTP 服务 SMTP 服务允许基于 Web 的应用程序传送和接收邮件,实现邮件的中继。 l NNTP 服务 网络新闻传输协议服务。
l Internet 信息服务管理器 提供 IIS 管理界面的 Microsoft 管理控制台管理单元。 l Internet 打印 提供基于 Web 的打印机管理,并能够通过 HTTP 协议将数据打印到共享打印机上。 一、IIS 6.0 的安装 方法一:使用“配置您的服务器向导”来安装 IIS 在“服务器角色”对话框中添加服务器角色“应用程序服务器(IIS,ASP.NET) ” ,如图 386 所示,按照提示即可完成 IIS 6.0 的安装。 图 386 安装应用程序服务器(IIS,ASP.NET)角色对话框 方法二:在“添加/删除程序”中添加 IIS 组件。 在“控制面板”中运行“添加/删除程序” ,单击“添加/删除组件” ,打开如图 387 所示的 “Windows 组件”对话框,选中“应用程序服务器”组件,单击“详细信息”按钮,确保已选中
“Internet 信息服务(IIS) ”复选框,如图 388 所示,单击“确定”按钮,开始安装 IIS 组件。
图 387 “Windows 组件”对话框 图 388 “应用程序服务器”对话框
二、默认的 Web 站点
IIS 6.0 安装后,系统会默认创建一个 Web 网站,该网站默认端口为 80,默认主目录为 C:\intepub\wwwroot,默认的首页文件为 Default.htm 或 Default.asp,如图 389 所示。
图 389 IIS 中的默认网站 三、新建 Web 站点 默认的 Web 站点采用系统的默认参数,存在一定的安全隐患,一般将其停用,通过新建站点 来完成 Web 服务器的发布。新建 Web 站点的步骤如下。 1.创建 Web 服务器发布的网站 利用相关工具创建网站,将相关内容统一放置在一个文件夹内,并设置一个首页。 2.在 IIS 中新建一个 Web 站点 在图 389 中,右击“网站” ,在弹出的快捷菜单中选择“新建网站”命令,出现“网站描述” 对话框,输入网站描述,如图 390 所示。该描述信息是设置网站的标识信息的名称,一定要唯一, 图中输入的名称是 lx。然后出现“IP 地址和端口设置”对话框,如图 391 所示。在图中,需要设 置 Web 站点的标识特征:IP 地址、端口和主机头,不同的 Web 站点的 3 项特征必须有一项与其他 站点不同方可创建。如果只有一个 Web 站点,可以使用默认值。 图 390 “网站描述”对话框 图 391 “IP 地址和端口设置”对话框 单击“下一步”按钮,在“网站主目录”对话框中指定网站存放的路径,设置是否允许匿名 访问,默认是允许的,如图 392 所示。单击“下一步”按钮,在“网站访问权限”对话框中指定 网站允许的权限,读取权限是最基本的,必须设置,其他权限视网站的需要而设置。在图 393 中 选择了默认的读取权限,单击“下一步”按钮,完成“网站创建向导”的设置。
图 392 “网站主目录”对话框 图 393 “网站访问权限”对话框
3.停止默认的 Web 站点
如果采用默认的 Web 站点的标识信息,则其标识特征“IP 地址、端口和主机头”与默认的 Web 站点一致,二者存在冲突,需要停止默认的 Web 站点,方可启动新建的 Web 站点。
4.设置 Web 站点的首页 进入新建 Web 站点的属性对话框,在“文档”选项卡中添加首页文件,并将其上移到最上面, 如图 394 所示。 图 394 设置网站首页对话框 5.访问 Web 站点 完成上述设置后,网络中的客户端在浏览器中输入 Web 站点的 IP 地址、计算机名或者域名均 可通过网络访问该 Web 站点。图 395 是访问的界面。 图 395 访问网站的界面
四、Web 站点属性 1. “网站”选项卡 “网站”选项卡如图 396 所示,包含“网站标识” 、 “连接” 、 “启用日志记录”三部分内容。 图 396 “网站”选项卡 图 397 “日志记录属性”对话框 (1)网站标识。 l 描述 用户对网站的描述,设置一个唯一的名称,以便识别。 l IP 地址 用户分配给该网站的 IP 地址。 如果未指定, 则安装该网站的计算机的所有 IP 地址均可以使用。 l TCP 端口 默认值为 80,用户可以根据自己的需要进行改动。如果不用默认的 80 端口,访问该网站必须 指定端口值方能访问,格式为“http://IP 地址(或者计算机名或者域名):端口值” ,图 398 是设置 端口为 90 后访问时的界面。 图 398 指定端口访问网站的界面
l SSL 端口 指定使用安全套接层(SSL)的端口,使用安全套接字可提高传输的安全,默认值为 443。 (2)连接。需要指定连接超时的时间,如果访问用户在指定的时间范围内没有发出新的访问 请求(超时),Web 服务器将自动中断与该用户的连接。 (3)启用日志记录。启用网站的日志记录功能,该功能可记录用户活动的细节,并根据需要 选择记录用户活动日志的格式。常用的日志格式有 W3C 扩展日志文件格式、IIS 日志文件格式、 NCSA 公用日志文件格式、ODBC 日志记录等。图 397 是 W3C 扩展日志文件格式设置日志属性的 界面,可以设置记录日志的时间间隔、日志文件大小限制、存放路径等信息。 2. “性能”选项卡 “性能”选项卡如图 399 所示,可以限制网站使用的网络带宽及网站连接的用户数。 图 399 “性能”选项卡 图 3100 “主目录”选项卡 3.“主目录”选项卡 “主目录”选项卡如图 3100 所示,主目录是 Web 站点上发布文件的中心位置,每个 Web 站点 必须有一个主目录。 (1)此资源的内容来自。 设置存储 Web 站点内容的位置,有 3 种选择。 l 本计算机上的目录:\Inetpub\wwwroot 为默认主目录。 l 另一台计算机上的共享。 l 重定向到 URL:指向其他 Web 站点。 (2)权限选项。 l 脚本资源访问:允许用户访问已经设置了“读取”或“写入”权限的资源代码。 l 读取:允许用户读取或下载文件(目录)及其相关属性。 l 写入:允许用户将文件及其相关属性上传到服务器上已启用的目录,或者更改可写文件 的内容。 l 目录浏览:允许用户浏览该目录中的文件。 l 记录访问:在日志文件中记录对该站点的访问。 l 索引资源:允许将该目录包含在 Web 站点的全文本索引中。
