Windows-Server-2012網(wǎng)絡(luò)服務(wù)架構(gòu)課件(完整版)

1、項(xiàng)目一 用戶(hù)與組Windows Server 2012系統(tǒng)是一個(gè)多用戶(hù)多任務(wù)的分時(shí)操作系統(tǒng)，每一個(gè)使用者都必須申請(qǐng)賬號(hào)才能登錄進(jìn)入系統(tǒng)使用資源。用戶(hù)使用賬號(hào)登錄一方面可以幫助管理員對(duì)進(jìn)入系統(tǒng)的用戶(hù)賬戶(hù)進(jìn)行跟蹤，并控制他們對(duì)系統(tǒng)資源的訪問(wèn)，另一方面也可以利用組賬戶(hù)幫助管理員簡(jiǎn)化對(duì)同類(lèi)用戶(hù)的控制操作，降低管理的難度。1.1用戶(hù)與組知識(shí)概述本地用戶(hù)賬戶(hù)對(duì)應(yīng)對(duì)等網(wǎng)的工作組模式，建立在非域控制器的Windows Server 2012獨(dú)立服務(wù)器、成員服務(wù)器以及其他Windows客戶(hù)端。本地賬戶(hù)只能在本地計(jì)算機(jī)上登錄，無(wú)法訪問(wèn)域中其它計(jì)算機(jī)資源。本地計(jì)算機(jī)上都有一個(gè)管理賬戶(hù)數(shù)據(jù)的數(shù)據(jù)庫(kù)，稱(chēng)為安全賬戶(hù)管理器

2、SAM。SAM數(shù)據(jù)庫(kù)文件路徑為系統(tǒng)盤(pán)下Windowssystem32configSAM。在SAM中，每個(gè)賬戶(hù)被賦予唯一的安全識(shí)別號(hào)SID，用戶(hù)要訪問(wèn)本地計(jì)算機(jī)，都需要經(jīng)過(guò)該機(jī)SAM中的SID驗(yàn)證。本地用戶(hù)賬戶(hù)Windows Server 2012中還有一種賬戶(hù)叫內(nèi)置賬戶(hù)，它與服務(wù)器的工作模式無(wú)關(guān)。當(dāng)Windows Server 2012安裝完畢后，系統(tǒng)會(huì)在服務(wù)器上自動(dòng)創(chuàng)建一些內(nèi)置賬戶(hù)，Administrator和Guest是最重要的兩個(gè)：Administrator（系統(tǒng)管理員）擁有最高的權(quán)限，管理著Windows Server 2012系統(tǒng)和域。系統(tǒng)管理員的默認(rèn)名字是Administrator

3、，可以更改系統(tǒng)管理員的名字，但不能刪除該賬戶(hù)。該賬戶(hù)無(wú)法被禁止，永遠(yuǎn)不會(huì)到期，不受登錄時(shí)間和只能使用指定計(jì)算機(jī)登錄的限制。Guest（來(lái)賓）是為臨時(shí)訪問(wèn)計(jì)算機(jī)的用戶(hù)提供的，該賬戶(hù)自動(dòng)生成，且不能被刪除，可以更改名字。Guest只有很少的權(quán)限，默認(rèn)情況下，該賬戶(hù)被禁止使用。例如當(dāng)希望局域網(wǎng)中的用戶(hù)都可以登錄到自己的計(jì)算機(jī)，但又不愿意為每一個(gè)用戶(hù)建立一個(gè)賬戶(hù)時(shí)，就可以啟用Guest。內(nèi)置賬戶(hù)為了簡(jiǎn)化對(duì)用戶(hù)賬戶(hù)的管理工作，Windows Server 2012中提供了組的概念。組是指具有相同或者相似特性的用戶(hù)集合，當(dāng)要給一批用戶(hù)分配同一個(gè)權(quán)限時(shí)，就可以將這些用戶(hù)都?xì)w到一個(gè)組中，只要給這個(gè)組分配此權(quán)限

4、，組內(nèi)的用戶(hù)就都會(huì)自動(dòng)擁有此權(quán)限。這里的組就相當(dāng)于一個(gè)班級(jí)或一個(gè)部門(mén)，班級(jí)里的學(xué)生、部門(mén)里的工作人員就是用戶(hù)。在Windows Server 2012中，用組賬戶(hù)來(lái)表示組，用戶(hù)只能通過(guò)用戶(hù)賬戶(hù)登錄計(jì)算機(jī)，不能通過(guò)組賬戶(hù)登錄計(jì)算機(jī)。組的概念內(nèi)置本地組是在系統(tǒng)安裝時(shí)默認(rèn)創(chuàng)建的，并被授予特定權(quán)限以方便計(jì)算機(jī)的管理，常見(jiàn)的內(nèi)置本地組有下面幾個(gè)：Administrators：在系統(tǒng)內(nèi)有最高權(quán)限，擁有賦予權(quán)限，可添加系統(tǒng)組件，升級(jí)系統(tǒng)，配置系統(tǒng)參數(shù)，配置安全信息等。內(nèi)置的系統(tǒng)管理員賬戶(hù)是Administrators組的成員。如果這臺(tái)計(jì)算機(jī)加入到域中，則域管理員自動(dòng)加入到該組，并且有系統(tǒng)管理員的權(quán)限。屬于A

5、dministrators組的用戶(hù)，都具備系統(tǒng)管理員的權(quán)限，擁有對(duì)這臺(tái)計(jì)算機(jī)最大的控制權(quán)，內(nèi)置的系統(tǒng)管理員Administrator就是此本地組的成員，而且無(wú)法將其從此組中刪除。Guests：內(nèi)置的Guest賬戶(hù)是該組的成員。一般被用于在域中或計(jì)算機(jī)中沒(méi)有固定賬戶(hù)的用戶(hù)臨時(shí)訪問(wèn)域或計(jì)算機(jī)時(shí)使用的。該賬戶(hù)默認(rèn)情況下不允許對(duì)域或計(jì)算機(jī)中的設(shè)置和資源做更改。出于安全考慮Guest賬戶(hù)在Windows Server 2012安裝好之后是被禁用的，如果需要可以手動(dòng)地啟用。應(yīng)該注意分配給該賬戶(hù)的權(quán)限，因?yàn)樵撡~戶(hù)經(jīng)常是黑客攻擊的主要對(duì)象。IIS_IUSRS：這是Internet信息服務(wù)（IIS）使用的內(nèi)置組

6、。Users：是一般用戶(hù)所在的組，所有創(chuàng)建的本地賬戶(hù)都自動(dòng)屬于此組。Users組權(quán)限受到很大的限制，對(duì)系統(tǒng)有基本的權(quán)力，如運(yùn)行程序，使用網(wǎng)絡(luò)，但不能關(guān)閉Windows Server 2012，不能創(chuàng)建共享目錄和本地打印機(jī)。如果這臺(tái)機(jī)加入到域，則域用戶(hù)自動(dòng)被加入該組。內(nèi)置本地組除了以上所述的內(nèi)置本地組和內(nèi)置域組外，還有一些內(nèi)置的特殊組。特殊組存在于每一臺(tái)Windows Server 2012計(jì)算機(jī)內(nèi)，用戶(hù)無(wú)法更改這些組的成員，也就是說(shuō)，無(wú)法在“Active Directory用戶(hù)和計(jì)算機(jī)”或“本地用戶(hù)與組”內(nèi)看到、管理這些組。這些組只有在設(shè)置權(quán)限時(shí)才看得到，以下列出兩個(gè)常用的特殊組。Everyo

7、ne：包括所有訪問(wèn)該計(jì)算機(jī)的用戶(hù)，如果為Everyone指定了權(quán)限并啟用Guest賬戶(hù)時(shí)一定要小心，Windows會(huì)將沒(méi)有有效賬戶(hù)的用戶(hù)當(dāng)成Guest賬戶(hù)，該賬戶(hù)自動(dòng)得到Everyone的權(quán)限。Creator Owner：文件等資源的創(chuàng)建者就是該資源的Creator Owner。不過(guò)，如果創(chuàng)建是屬于Administrators組內(nèi)的成員，則其Creator Owner為Administrators組。內(nèi)置的特殊組公司為后續(xù)部署windows server 2012系統(tǒng)在一臺(tái)計(jì)算機(jī)上安裝了windows server 2012系統(tǒng)做系統(tǒng)測(cè)試。為滿(mǎn)足不同部門(mén)網(wǎng)絡(luò)管理人員對(duì)該計(jì)算機(jī)的訪問(wèn)，需要為這些

8、部門(mén)管理員創(chuàng)建訪問(wèn)賬戶(hù)和配置訪問(wèn)權(quán)限。項(xiàng)目描述windows server 2012是微軟的一個(gè)多用戶(hù)多任務(wù)服務(wù)器系統(tǒng)，使用者可以通過(guò)創(chuàng)建賬戶(hù)實(shí)訓(xùn)對(duì)該系統(tǒng)的訪問(wèn)。windows server 2012內(nèi)置了大量的組賬戶(hù)，每一個(gè)組賬戶(hù)對(duì)應(yīng)著系統(tǒng)特定的權(quán)限。因此對(duì)用戶(hù)賬戶(hù)的授權(quán)其實(shí)是通過(guò)設(shè)置用戶(hù)賬戶(hù)隸屬組來(lái)完成。項(xiàng)目分析任務(wù)背景為滿(mǎn)足公司網(wǎng)絡(luò)部員工對(duì)windows server 2012的初步了解需求，公司希望創(chuàng)建1個(gè)普通用戶(hù)賬戶(hù)test1供網(wǎng)絡(luò)部員工訪問(wèn)該服務(wù)器，做簡(jiǎn)單體驗(yàn)，創(chuàng)建一個(gè)網(wǎng)絡(luò)管理賬戶(hù)test2供網(wǎng)絡(luò)部系統(tǒng)管理組用戶(hù)訪問(wèn)該服務(wù)器，做管理體驗(yàn)。任務(wù)分析在windows server 20

9、12的用戶(hù)和組管理界面可以非常方便的對(duì)用戶(hù)和組做如下操作：1、用戶(hù)賬戶(hù)操作新建、刪除、設(shè)置密碼、屬性的修改等。2、組賬戶(hù)操作新建、刪除、修改組的隸屬組等。在本任務(wù)中需要?jiǎng)?chuàng)建2個(gè)賬戶(hù)，test1用于界面體驗(yàn)，test2用于系統(tǒng)管理體驗(yàn)。新建的賬戶(hù)登錄后可以滿(mǎn)足界面體驗(yàn)，但要做系統(tǒng)管理就需要將用戶(hù)加入到管理員組中。任務(wù)1-1 用戶(hù)的創(chuàng)建及管理任務(wù)操作1.創(chuàng)建本地用戶(hù)（1）以【Administrator】身份登錄到服務(wù)器，在【服務(wù)器管理器】主窗口中，單擊【工具】按鈕，再單擊【計(jì)算機(jī)管理】，打開(kāi)【計(jì)算機(jī)管理】主窗口，找到【本地用戶(hù)和組】，單擊【用戶(hù)】，如圖1-1所示。 圖1-1 用戶(hù)1.創(chuàng)建本地用戶(hù)（

10、2）用鼠標(biāo)右鍵單擊【用戶(hù)】，再單擊【新用戶(hù)(N)】，彈出【新用戶(hù)】對(duì)話框，如圖1-2所示。 圖1-2 新用戶(hù)test1和test2該對(duì)話框中的選項(xiàng)如下:用戶(hù)名：系統(tǒng)本地登錄時(shí)使用的名稱(chēng)。全名：用戶(hù)的全稱(chēng)，屬于輔助性的描述信息，不影響系統(tǒng)的功能。描述：關(guān)于該用戶(hù)的說(shuō)明文字，方便管理員識(shí)別用戶(hù)，不影響系統(tǒng)的功能。密碼：用戶(hù)登錄時(shí)使用的密碼。確認(rèn)密碼：為防止密碼輸入錯(cuò)誤，需再輸入一遍。用戶(hù)下次登錄時(shí)須更改密碼：用戶(hù)首次登錄時(shí)，使用管理員分配的密碼，當(dāng)用戶(hù)再次登錄時(shí)，強(qiáng)制用戶(hù)更改密碼，用戶(hù)更改后的密碼只有自己知道，這樣可保證安全使用。當(dāng)去除【用戶(hù)下次登錄時(shí)須更改密碼】前的勾選后，【用戶(hù)不能更改密碼】和

11、【密碼永不過(guò)期】這兩個(gè)選項(xiàng)將由灰變實(shí)。用戶(hù)不能更改密碼：只允許用戶(hù)使用管理員分配的密碼。密碼永不過(guò)期：密碼默認(rèn)的有限期為42天，超過(guò)42天系統(tǒng)會(huì)提示用戶(hù)更改密碼，選中此項(xiàng)表示系統(tǒng)永遠(yuǎn)不會(huì)提示用戶(hù)修改密碼。賬戶(hù)已禁用：選中此項(xiàng)表示任何人都無(wú)法使用這個(gè)賬戶(hù)登錄，適用于企業(yè)內(nèi)某員工離職時(shí)，防止他人冒用該賬戶(hù)登錄。 任務(wù)操作2. 設(shè)置本地賬號(hào)屬性打開(kāi)【計(jì)算機(jī)管理】主窗口，找到【本地用戶(hù)和組】，單擊【用戶(hù)】，在用戶(hù)賬戶(hù)【test1】上右擊，在彈出的菜單中根據(jù)實(shí)際需要選擇菜單中的命令對(duì)賬戶(hù)進(jìn)行操作，如圖1-3所示。 圖1-3 單擊用戶(hù)zhangsan彈出右鍵菜單 任務(wù)操作選擇【設(shè)置密碼】命令可以更改當(dāng)前用

12、戶(hù)賬戶(hù)的密碼。選擇【刪除】命令可以刪除當(dāng)前用戶(hù)賬戶(hù)。選擇【重命名】命令或更改當(dāng)前用戶(hù)賬戶(hù)的名稱(chēng)。選擇【屬性】命令，可以禁用或激活用戶(hù)，把用戶(hù)加入某個(gè)組等。例如停用zhangsan賬戶(hù)，則在【常規(guī)】選項(xiàng)卡中選中【賬戶(hù)已禁用】復(fù)選框，然后單擊【確定】按鈕返回計(jì)算機(jī)管理控制臺(tái)，可以看到停用的賬戶(hù)是以藍(lán)色的向下箭頭來(lái)標(biāo)記。 2. 設(shè)置本地賬號(hào)屬性(1)在test2賬戶(hù)的右鍵菜單中選擇【屬性】進(jìn)入【test2屬性】對(duì)話框，在該對(duì)話框選擇【隸屬于】選項(xiàng)卡，并點(diǎn)擊選項(xiàng)卡中的【添加】按鈕可以彈出【選擇組】對(duì)話框中，如圖1-4所示。 圖1-4 配置用戶(hù)隸屬組 任務(wù)操作2. 設(shè)置本地賬號(hào)屬性(2)在【選擇組】對(duì)話

13、框中中輸入“administrators”組完整名稱(chēng)，然后點(diǎn)擊【檢查名稱(chēng)】按鈕完成管理員組的自動(dòng)添加，點(diǎn)擊【確定】后就完成用戶(hù)添加入管理員組的操作，結(jié)果如圖1-5所示。 圖1-5 test2用戶(hù)隸屬組界面 任務(wù)操作任務(wù)驗(yàn)證（1）以【test1】賬戶(hù)登錄到服務(wù)器，可以查看系統(tǒng)的大部分功能，但無(wú)法對(duì)系統(tǒng)進(jìn)行配置。例如使用【test1】賬戶(hù)修改系統(tǒng)時(shí)間時(shí)，會(huì)提示輸入管理員密碼，說(shuō)明【test1】沒(méi)有配置系統(tǒng)時(shí)間權(quán)限，如圖1-6所示。（2）以【test2】身份登錄服務(wù)器，則不存在上述警告界面，說(shuō)明【test2】賬戶(hù)具有系統(tǒng)時(shí)間管理權(quán)限。 （3）也可以用【test1】和【test2】這兩個(gè)用戶(hù)做創(chuàng)建用戶(hù)

14、實(shí)驗(yàn)，結(jié)果應(yīng)為test1無(wú)法創(chuàng)建而test2可以創(chuàng)建。 圖1-6 用戶(hù)test1無(wú)法修改系統(tǒng)日期界面任務(wù)背景公司網(wǎng)絡(luò)部員工試用windows server 2012一段時(shí)間后，決定現(xiàn)在windows server 2012系統(tǒng)上部署業(yè)務(wù)系統(tǒng)做系統(tǒng)測(cè)試，等確定該系統(tǒng)能穩(wěn)定支撐公司業(yè)務(wù)后再做業(yè)務(wù)系統(tǒng)遷移，并在這臺(tái)服務(wù)器上創(chuàng)建共享，并將系統(tǒng)測(cè)試文檔統(tǒng)一存放在網(wǎng)絡(luò)共享中。公司業(yè)務(wù)系統(tǒng)的管理涉及網(wǎng)絡(luò)部的網(wǎng)絡(luò)管理組和系統(tǒng)管理組的所有員工，公司需要為每一位員工創(chuàng)建賬戶(hù)并授予管理權(quán)限，網(wǎng)絡(luò)部結(jié)構(gòu)如圖1-7所示。任務(wù)1-2 組的創(chuàng)建及管理圖1-7 網(wǎng)絡(luò)部結(jié)構(gòu)圖任務(wù)分析本任務(wù)需要在windows server 2

15、012系統(tǒng)中為網(wǎng)絡(luò)部所有員工創(chuàng)建賬戶(hù)，并為這些賬戶(hù)授予管理權(quán)限，同時(shí)為方便對(duì)文件共享的訪問(wèn)授權(quán)，需要?jiǎng)?chuàng)建組賬戶(hù)，并將用戶(hù)加入到對(duì)應(yīng)組中。用戶(hù)的權(quán)限具有繼承性特點(diǎn)，即用戶(hù)的權(quán)限是其本身權(quán)限和隸屬組權(quán)限之和。如果有大量的用戶(hù)需要授權(quán)（文件共享的訪問(wèn)），則管理員需要做大量的用戶(hù)授權(quán)的配置，解除授權(quán)的操作也是一樣，而如果這些用戶(hù)都隸屬于一個(gè)組賬戶(hù)，則只需對(duì)這個(gè)組賬戶(hù)進(jìn)行授權(quán)或解除授權(quán)，不僅簡(jiǎn)化操作并能有效管理和控制。任務(wù)操作1、創(chuàng)建用戶(hù)以【Administrator】身份登錄windows server 2012服務(wù)器，在【服務(wù)器管理器】主窗口中，單擊【工具(T)】按鈕，再單擊【計(jì)算機(jī)管理】，打開(kāi)【計(jì)

16、算機(jī)管理】主窗口，找到【本地用戶(hù)和組】，單擊【用戶(hù)】，創(chuàng)建網(wǎng)絡(luò)組用戶(hù)n1和n2，系統(tǒng)管理組用戶(hù)s1和s2，結(jié)果如圖1-8所示。 圖1-8 計(jì)算機(jī)管理的用戶(hù)管理界面 任務(wù)操作2、創(chuàng)建本地組，并將用戶(hù)加入到本地組中（1）以【Administrator】身份登錄windows server 2012服務(wù)器，在【服務(wù)器管理器】主窗口中，單擊【工具(T)】按鈕，再單擊【計(jì)算機(jī)管理】，打開(kāi)【計(jì)算機(jī)管理】主窗口，找到【本地用戶(hù)和組】，單擊【組】，在右鍵菜單中單擊【新建組(N)】，彈出【新建組】對(duì)話框，輸入組名【sysadmins】，并將用戶(hù)【s1】和【s2】加入到【sysadmins組】，如圖1-9所示。

17、圖1-9 新建組 任務(wù)操作2、創(chuàng)建本地組，并將用戶(hù)加入到本地組中（2）單擊【創(chuàng)建】完成【sysadmins】組及成員的加入操作，以類(lèi)似操作完成【netadmins】組及成員的創(chuàng)建與加入操作，結(jié)果如圖1-10所示。 圖1-10 組賬戶(hù)管理視圖 任務(wù)操作在組管理界面中，除了可以新建組，還可以對(duì)現(xiàn)有組進(jìn)行編輯修改，點(diǎn)擊需要修改的組，在右鍵菜單中可以進(jìn)行【添加到組】、【刪除】等操作，具體操作說(shuō)明如下：選擇【添加到組】命令可以更改當(dāng)前組的成員，增加成員或刪除成員。選擇【刪除】命令可以刪除當(dāng)前組賬戶(hù)。選擇【重命名】命令或更改當(dāng)前組賬戶(hù)的名稱(chēng)。選擇【屬性】命令，可以修改組的【描述】，更改當(dāng)前組的成員，增加成

18、員或刪除成員。任務(wù)驗(yàn)證 用戶(hù)創(chuàng)建后，注銷(xiāo)【administrator】后，在windows server 2012登錄界面可以看到【s1】、【s2】、【n1】、【n2】賬戶(hù)，點(diǎn)擊任意一個(gè)賬戶(hù)，錄入密碼后就可以以管理員身份管理該服務(wù)器了。如圖1-11所示 圖1-11 windows server 2012 登錄界面 項(xiàng)目二 文件共享服務(wù)文件共享是指在計(jì)算機(jī)上共享的文件供局域網(wǎng)其它計(jì)算機(jī)使用。在windows server 2012的文件夾右鍵快捷菜單中提供了目錄的共享設(shè)置鏈接，在配置用戶(hù)共享時(shí)，系統(tǒng)會(huì)自動(dòng)安裝文件共享服務(wù)角色和功能。在網(wǎng)絡(luò)中專(zhuān)門(mén)用于提供文件共享服務(wù)的服務(wù)器稱(chēng)為文件服務(wù)器。1、文件

19、共享在文件服務(wù)器上部署共享可以提供多種用戶(hù)訪問(wèn)權(quán)限，常見(jiàn)的有讀取和寫(xiě)入權(quán)限。讀取權(quán)限：允許用戶(hù)瀏覽和下載共享目錄及子目錄的文件。寫(xiě)入權(quán)限：用戶(hù)除具備讀取權(quán)限的權(quán)限外，還可以新建、刪除和修改共享目錄及子目錄的文件和文件夾。2、文件共享權(quán)限文件服務(wù)器針對(duì)訪問(wèn)用戶(hù)賬戶(hù)設(shè)置了兩種類(lèi)型：匿名賬戶(hù)和實(shí)名賬戶(hù)。匿名賬戶(hù)：在windows系統(tǒng)中匿名賬戶(hù)一般指“guest”賬戶(hù)，但在匿名共享目錄中授權(quán)時(shí)通常用“everyone”賬戶(hù)進(jìn)行授權(quán)。實(shí)名賬戶(hù)：顧名思義，用戶(hù)在訪問(wèn)共享目錄時(shí)需要輸入特定的賬戶(hù)名稱(chēng)和密碼。默認(rèn)情況下這些賬戶(hù)都是由文件服務(wù)器創(chuàng)建的，并用于共享目錄的授權(quán)。如果有大量的賬戶(hù)則一般會(huì)新建組賬戶(hù)，然

20、后在共享中只需對(duì)組賬戶(hù)授權(quán)即可（用戶(hù)賬戶(hù)繼承組的權(quán)限）。3、文件共享的訪問(wèn)賬戶(hù)類(lèi)型在文件服務(wù)器中可以通過(guò)文件共享權(quán)限配置用戶(hù)對(duì)共享目錄的訪問(wèn)權(quán)限，但是如果該共享目錄所在磁盤(pán)為NTFS文件系統(tǒng)磁盤(pán)，則該目錄的訪問(wèn)權(quán)限還會(huì)受到NTFS權(quán)限的限制。此時(shí)，用戶(hù)對(duì)共享目錄的訪問(wèn)權(quán)限為文件共享權(quán)限和NTFS權(quán)限的并集，例如：用戶(hù)user對(duì)共享目錄share具有寫(xiě)入權(quán)限，但NTFS權(quán)限限制user寫(xiě)入，則用戶(hù)user將不具備該共享目錄的寫(xiě)入權(quán)限，也就是只有文件共享權(quán)限和NTFS權(quán)限都允許是，用戶(hù)才允許，其它情況為拒絕。在實(shí)際應(yīng)用中，經(jīng)常在文件共享權(quán)限中配置較大的權(quán)限，然后通過(guò)NTFS做針對(duì)性的限制權(quán)限來(lái)實(shí)現(xiàn)

21、用戶(hù)對(duì)文件服務(wù)器共享目錄的訪問(wèn)權(quán)限配置。4、文件共享權(quán)限與NTFS權(quán)限項(xiàng)目描述圖2-1 公司網(wǎng)絡(luò)部結(jié)構(gòu)公司網(wǎng)絡(luò)部由網(wǎng)絡(luò)管理組和系統(tǒng)管理組構(gòu)成，負(fù)責(zé)公司基礎(chǔ)網(wǎng)絡(luò)和應(yīng)用服務(wù)的日常維護(hù)與管理。維護(hù)與管理公司網(wǎng)絡(luò)的過(guò)程需要填寫(xiě)大量的紙質(zhì)日志記錄和文檔，為方便這些日志和文檔的管理，部門(mén)決定采用電子文檔方式存放在公司的文件服務(wù)器上。公司網(wǎng)絡(luò)部結(jié)構(gòu)如圖2-1所示。在文件服務(wù)器建立共享目錄，并配置寫(xiě)入權(quán)限，用戶(hù)可以隨時(shí)上傳文件（文檔）到該目錄中，這樣就可以實(shí)現(xiàn)網(wǎng)絡(luò)管理組和系統(tǒng)管理組員工將日常維護(hù)與管理文檔集中存放在文件服務(wù)器上。項(xiàng)目分析任務(wù)背景公司網(wǎng)絡(luò)部需要在文件服務(wù)器上創(chuàng)建網(wǎng)絡(luò)共享存儲(chǔ)，并將日常運(yùn)維工具放置

22、在該共享存儲(chǔ)上，以方便員工在維護(hù)和管理公司網(wǎng)絡(luò)和計(jì)算機(jī)時(shí)下載安裝。任務(wù)分析在Windows Server 2012文件服務(wù)器上創(chuàng)建文件夾，并將該文件夾共享并賦予Everyone用戶(hù)讀取寫(xiě)入權(quán)限，使得網(wǎng)絡(luò)部所有用戶(hù)都能夠訪問(wèn)讀取并且具備寫(xiě)入權(quán)限。任務(wù)2-1 部署匿名共享(1)在IP為的文件服務(wù)器的D盤(pán)下創(chuàng)建名為【share】的文件夾，對(duì)share右鍵【共享】選擇【特定用戶(hù)】，如圖2-2所示。任務(wù)操作 圖2-2 共享特定用戶(hù)選項(xiàng) (2)在下拉列表中將【Everyone】添加到共享用戶(hù)列表中，并在賦予【Everyone】用戶(hù)組具備讀取/寫(xiě)入權(quán)限，如圖2-3所示。任務(wù)操作圖2-3 共享特定用戶(hù)選項(xiàng) (

23、3)點(diǎn)擊共享，在彈出的【網(wǎng)絡(luò)發(fā)現(xiàn)和文件共享】中選擇【是，啟用所有公用網(wǎng)絡(luò)的網(wǎng)絡(luò)發(fā)現(xiàn)和文件共享】。再點(diǎn)擊share文件夾，右鍵選擇【屬性】，我們可能看到【Everyone】具備完全控制權(quán)限，如圖2-4所示。任務(wù)操作圖2-4 查看Everyone的NTFS權(quán)限 在PC1上輸入訪問(wèn)文件服務(wù)器上share共享文件夾，并將test.txt文件上傳到share共享目錄中，如圖2-5所示。任務(wù)驗(yàn)證圖2-5 測(cè)試訪問(wèn)共享 任務(wù)2-2 部署非匿名共享任務(wù)背景公司網(wǎng)絡(luò)部員工在維護(hù)公司內(nèi)部網(wǎng)絡(luò)和計(jì)算機(jī)時(shí)，還需要填寫(xiě)維護(hù)日志文檔，員工希望在該文件服務(wù)器上建立個(gè)人目錄用于存放該文檔。為滿(mǎn)足員工需求存儲(chǔ)文檔的需求，文件服

24、務(wù)器將為部門(mén)的每一位員工創(chuàng)建共享，用戶(hù)可以將文件上傳至自己的共享文件夾，并且該共享文件夾只有用戶(hù)本人具備讀取/寫(xiě)入權(quán)限，其他人不能訪問(wèn)。任務(wù)分析要實(shí)現(xiàn)本任務(wù)的文件共享服務(wù)，需要通過(guò)以下幾個(gè)步驟來(lái)完成：(1)在文件服務(wù)器為每一位員工創(chuàng)建用戶(hù)賬戶(hù)，本任務(wù)中將創(chuàng)建n1、n2、s1和s2賬戶(hù)。(2)在文件服務(wù)器創(chuàng)建【維護(hù)日志文檔】目錄用于存放員工的個(gè)人文檔，然后在該目錄下為每一位員工創(chuàng)建個(gè)人文件夾，文件夾建議以用戶(hù)名命名。(3)將這些個(gè)人文件夾配置為共享，并配置共享權(quán)限：僅允許對(duì)應(yīng)賬戶(hù)讀取和寫(xiě)入。(4)用戶(hù)訪問(wèn)共享目錄，測(cè)試是否符合工作需求。任務(wù)操作1、創(chuàng)建用戶(hù)在文件服務(wù)器上創(chuàng)建網(wǎng)絡(luò)組用戶(hù)n1和n2，

25、系統(tǒng)管理組用戶(hù)s1和s2，結(jié)果如圖2-6所示。 圖2-6 計(jì)算機(jī)管理的用戶(hù)管理界面 2、創(chuàng)建文件夾在文件服務(wù)器的D盤(pán)下創(chuàng)建名為【維護(hù)日志文檔】的目錄，并在該目錄下創(chuàng)建【n1】、【n2】、【s1】和【s2】4個(gè)子文件夾，結(jié)果如圖2-7所示。 任務(wù)操作圖2-7 【維護(hù)日志文檔】目錄及其子目錄界面 3、為每一個(gè)文件夾配置共享，權(quán)限為僅允許對(duì)應(yīng)賬戶(hù)讀取和寫(xiě)入，下面僅以【n1】目錄為例。（1）配置【n1】目錄只有n1用戶(hù)能對(duì)其有讀取/寫(xiě)入權(quán)限，如圖2-8所示。任務(wù)操作圖2-8 配置n1用戶(hù)具備讀取寫(xiě)入權(quán)限 3、為每一個(gè)文件夾配置共享，權(quán)限為僅允許對(duì)應(yīng)賬戶(hù)讀取和寫(xiě)入，下面僅以【n1】目錄為例。（2）查看n

26、1文件夾的NTFS權(quán)限，如圖2-9所示。（3）用同樣的方法新建n2、s1、s2文件夾，并只允許同名用戶(hù)具備讀取寫(xiě)入權(quán)限。 任務(wù)操作圖2-9 查看n1用戶(hù)的NTFS權(quán)限 在PC1上用n2用戶(hù)訪問(wèn)文件服務(wù)器上n1共享文件夾，系統(tǒng)將提示“你沒(méi)有權(quán)限訪問(wèn)n1”，如圖2-10所示。任務(wù)驗(yàn)證圖2-10 n2用戶(hù)訪問(wèn)共享文件夾n1 在PC1上用n2用戶(hù)訪問(wèn)文件服務(wù)器上n2共享文件夾，可以正常訪問(wèn)，并可以寫(xiě)入和刪除數(shù)據(jù)，如圖2-11所示。 任務(wù)驗(yàn)證圖2-11 n2用戶(hù)訪問(wèn)的共享文件夾n2 任務(wù)2-3 部署部門(mén)（組）資源共享任務(wù)背景網(wǎng)絡(luò)部有網(wǎng)絡(luò)管理組和系統(tǒng)管理組兩個(gè)組，每個(gè)組在運(yùn)維時(shí)也希望通過(guò)網(wǎng)絡(luò)共享存儲(chǔ)存放相

27、關(guān)日志文檔，各組的日志文檔權(quán)限為：組內(nèi)部成員具備讀取和寫(xiě)入權(quán)限，其它組成員僅具備讀取權(quán)限。任務(wù)分析要實(shí)現(xiàn)本任務(wù)的文件共享服務(wù)，需要通過(guò)以下幾個(gè)步驟來(lái)完成：（1）在文件服務(wù)器為每一位員工創(chuàng)建用戶(hù)組賬戶(hù)，本任務(wù)中將創(chuàng)建netadmins和sysadmins兩個(gè)組賬戶(hù)。（2）將n1和n2用戶(hù)加入到netadmins組，將s1和s2用戶(hù)加入到sysadmins組。（3）在文件服務(wù)器創(chuàng)建【網(wǎng)絡(luò)部日志文檔】目錄用于存放網(wǎng)絡(luò)部的日志文檔，然后在該目錄下創(chuàng)建【網(wǎng)絡(luò)管理組】和【系統(tǒng)管理組】子目錄用于存放對(duì)應(yīng)小組的日志文檔。（4）將【網(wǎng)絡(luò)部日志文檔】文件夾配置為共享，并配置netadmins和sysadmins兩

28、個(gè)組具有讀取權(quán)限。（5）對(duì)【網(wǎng)絡(luò)管理組】和【系統(tǒng)管理組】子目錄配置權(quán)限，增加對(duì)應(yīng)組賬戶(hù)讀取和寫(xiě)入權(quán)限。（6）用戶(hù)訪問(wèn)共享目錄，測(cè)試是否符合工作需求。1、創(chuàng)建用戶(hù)組創(chuàng)建網(wǎng)絡(luò)管理組和系統(tǒng)管理組的組賬戶(hù)netadmins和sysadmins，并將n1和n2添加到網(wǎng)絡(luò)管理組中，將s1和s2添加到系統(tǒng)管理組中，如圖2-12所示。任務(wù)操作 圖2-12 創(chuàng)建組賬戶(hù) 2、在文件服務(wù)器創(chuàng)建【網(wǎng)絡(luò)部日志文檔】目錄和【網(wǎng)絡(luò)管理組】和【系統(tǒng)管理組】子目錄。在文件服務(wù)器的D盤(pán)創(chuàng)建【網(wǎng)絡(luò)部日志文檔】目錄，并在該目錄下創(chuàng)建【網(wǎng)絡(luò)管理組】和【系統(tǒng)管理組】子目錄，結(jié)果如圖2-13所示。任務(wù)操作 圖2-13 文件服務(wù)器新建的目錄

29、 3、配置共享和權(quán)限(1)將【網(wǎng)絡(luò)部日志文檔】目錄配置為共享，并授權(quán)給兩個(gè)組賬戶(hù)讀取權(quán)限，如圖2-14所示。 任務(wù)操作 圖2-14 【網(wǎng)絡(luò)部日志文檔】的共享權(quán)限設(shè)置 3、配置共享和權(quán)限(2)管理【網(wǎng)絡(luò)管理組】文件夾的NTFS權(quán)限，為netadmins組增加寫(xiě)入權(quán)限，使得網(wǎng)絡(luò)管理組用戶(hù)具備讀取和寫(xiě)入程序。在【網(wǎng)絡(luò)管理組】子目錄的右鍵菜單中點(diǎn)擊【屬性】打開(kāi)【網(wǎng)絡(luò)管理組】目錄的屬性對(duì)話框中，并點(diǎn)擊【安全】選項(xiàng)卡，點(diǎn)擊【編輯】按鈕進(jìn)入【網(wǎng)絡(luò)管理組的權(quán)限】對(duì)話框中，在該對(duì)話框中選擇netadmins組，并追加修改和寫(xiě)入權(quán)限,如圖2-15所示。注意：在NTFS權(quán)限中，子目錄默認(rèn)繼承父目錄的權(quán)限，因此【網(wǎng)絡(luò)

30、管理組】子目錄無(wú)需再對(duì)netadmins和sysadmins組授權(quán)，僅需增加netadmins組的讀取和寫(xiě)入權(quán)限即可。在本任務(wù)中也可以預(yù)先給【網(wǎng)絡(luò)部日志文檔】目錄配置讀取和寫(xiě)入權(quán)限，而在圖2-15所示的對(duì)話框中配置sysadmins組拒絕修改和寫(xiě)入權(quán)限。任務(wù)操作圖2-15 設(shè)置【網(wǎng)絡(luò)管理組】目錄sysadmins組的NTFS權(quán)限 任務(wù)操作 圖2-16 配置【系統(tǒng)管理組】目錄中sysadmins組的權(quán)限 3、配置共享和權(quán)限(3)同理，為【系統(tǒng)管理組】目錄增加sysadmins組的讀取和寫(xiě)入權(quán)限，結(jié)果如圖2-16所示。 在PC1上輸入訪問(wèn)文件服務(wù)器上【網(wǎng)絡(luò)部日志文檔】共享文件夾，在彈出的對(duì)話框中輸

31、入用戶(hù)n1的賬戶(hù)名和密碼。訪問(wèn)【系統(tǒng)管理組】文件夾并嘗試刪除該目錄的文件時(shí)，系統(tǒng)會(huì)提示拒絕，如圖2-17所示。這是由于netadmins組僅能讀取【系統(tǒng)管理組】目錄的文件，但拒絕寫(xiě)入和修改文件，而n1隸屬于netadmins組。 任務(wù)驗(yàn)證 圖2-17 系統(tǒng)管理組用戶(hù)無(wú)法刪除文件 訪問(wèn)【系統(tǒng)管理組】文件夾，并能成功上傳一個(gè)測(cè)試文檔，這是由于netadmins組對(duì)該目錄具有讀取和寫(xiě)入權(quán)限，顯然n1用戶(hù)繼承了組的權(quán)限，如圖2-18所示。任務(wù)驗(yàn)證圖2-18 網(wǎng)絡(luò)管理組用戶(hù)可以寫(xiě)入文件 項(xiàng)目三 路由和遠(yuǎn)程訪問(wèn)服務(wù)的部署3.1 路由和路由器的概念圖3-2 主機(jī)1到主機(jī)2的路由選擇3.1.1 路由簡(jiǎn)言之，從

32、源主機(jī)到目標(biāo)主機(jī)的數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程就稱(chēng)為路由。在圖3-2所示的網(wǎng)絡(luò)環(huán)境中，主機(jī)1和主機(jī)2進(jìn)行通信時(shí)就要經(jīng)過(guò)中間的路由器，當(dāng)這兩臺(tái)和主機(jī)中間有多臺(tái)路由器時(shí)，就會(huì)面臨著一個(gè)選擇：是沿著R1R2R4的路徑，還是按R1R3R4的路徑進(jìn)行轉(zhuǎn)發(fā)。在實(shí)際應(yīng)用中，Internet上路由器的數(shù)目會(huì)更多，兩臺(tái)主機(jī)之間數(shù)據(jù)包轉(zhuǎn)發(fā)存在的路徑也就更多，為了盡可能地提高網(wǎng)絡(luò)訪問(wèn)速度就需要一種方法來(lái)判斷從源主機(jī)到達(dá)目標(biāo)主機(jī)所經(jīng)過(guò)的最佳路徑，從而進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，這就是路由技術(shù)。路由器時(shí)用來(lái)進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)的設(shè)備，是網(wǎng)絡(luò)的中轉(zhuǎn)站，用來(lái)連接不同的邏輯子網(wǎng)，路由器可以分為硬件路由器和軟件路由器。（1）硬件路由器：專(zhuān)門(mén)設(shè)計(jì)用于路由的設(shè)備。

33、例如思科、銳捷等公司生產(chǎn)的系列路由器產(chǎn)品。硬件路由器實(shí)質(zhì)上也是一臺(tái)計(jì)算機(jī)，不同于普通計(jì)算機(jī)的是它運(yùn)行的操作系統(tǒng)主要用來(lái)進(jìn)行路由維護(hù)，不能運(yùn)行程序。硬件路由器的優(yōu)點(diǎn)是路由效率高，但其缺點(diǎn)是價(jià)格較昂貴，配置也較為復(fù)雜。（2）軟件路由器：通過(guò)對(duì)一臺(tái)計(jì)算機(jī)進(jìn)行配置讓其擁有路由器的功能，這臺(tái)計(jì)算機(jī)就稱(chēng)為軟件路由器。由于路由器必須有多個(gè)接口連接不同的IP子網(wǎng)，所以充當(dāng)軟件路由器的計(jì)算機(jī)一般安裝有多個(gè)網(wǎng)卡。軟件路由器的優(yōu)點(diǎn)是價(jià)格相對(duì)較低，且配置簡(jiǎn)單，但其缺點(diǎn)是路由效率低，一般只在較小型網(wǎng)絡(luò)中使用。3.1.2 路由器3.1.3 路由表圖3-3 路由器中的路由表在每臺(tái)計(jì)算機(jī)中都維護(hù)著去往一些網(wǎng)絡(luò)的傳輸路徑，這就

34、是路由表。在現(xiàn)實(shí)生活中，人們?nèi)绻肴ツ骋粋€(gè)地方，在大腦中就會(huì)有一張地圖，其中包含到達(dá)目的可以走的多條路。路由器中的路由表就相當(dāng)于人腦中的地圖。這是由于路由表的存在，路由器才可以依據(jù)路由表進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)，如圖3-3所示。在路由表中有該路由器掌握的所有目的網(wǎng)絡(luò)地址，以及通過(guò)路由器到達(dá)這些網(wǎng)絡(luò)的最佳路徑。最佳路徑指的是路由器的某個(gè)接口或與其相鄰的下一跳路由器的接口地址。當(dāng)路由器收到一個(gè)數(shù)據(jù)包時(shí)，它會(huì)將數(shù)據(jù)包目標(biāo)IP地址的網(wǎng)絡(luò)地址和路由表中的路由條目進(jìn)行對(duì)比，如果有去往目標(biāo)網(wǎng)路的路由條目，就根據(jù)該路由條目將數(shù)據(jù)包轉(zhuǎn)發(fā)到相應(yīng)的接口；如果沒(méi)有相應(yīng)的路由條目，則根據(jù)路由器的配置將數(shù)據(jù)包轉(zhuǎn)發(fā)到默認(rèn)接口或者丟

35、棄。利用route print命令查看路由表3.1.4 路徑選擇過(guò)程有無(wú)否有無(wú)與目的主機(jī)地址完全匹配的條目返回“主機(jī)不可到達(dá)”或“網(wǎng)絡(luò)不可達(dá)”的信息開(kāi)始搜索路由表有無(wú)與目的網(wǎng)絡(luò)地址相匹配的條目有無(wú)默認(rèn)路由條目無(wú)無(wú)有有路由搜索結(jié)束將報(bào)文發(fā)送給該條目指定的下一站路由器或直接連接的網(wǎng)絡(luò)接口3.2 路由的類(lèi)型圖3-6 利用route add 命令添加靜態(tài)路由圖3-7 利用route delete命令刪除靜態(tài)路由3.2.1 靜態(tài)路由靜態(tài)路由是由管理員手工進(jìn)行配置的，在靜態(tài)路由中必須明確指出從源到目標(biāo)所經(jīng)過(guò)的路徑，一般來(lái)所在網(wǎng)絡(luò)規(guī)模不大，拓?fù)浣Y(jié)構(gòu)相對(duì)穩(wěn)定的網(wǎng)絡(luò)中配置靜態(tài)路由，其優(yōu)缺點(diǎn)如下：靜態(tài)路由的優(yōu)點(diǎn)：

36、由于由管理員手工配置，因此可以減輕路由器的開(kāi)銷(xiāo)。靜態(tài)路由的缺點(diǎn)：當(dāng)網(wǎng)絡(luò)發(fā)生變化時(shí)，靜態(tài)路由不能反映網(wǎng)絡(luò)結(jié)構(gòu)的變化，而且網(wǎng)絡(luò)規(guī)模很大時(shí)，配置靜態(tài)路由會(huì)增加管理員的工作負(fù)擔(dān)。使用具有管理員權(quán)限的用戶(hù)賬戶(hù)登錄Windows Server 2012計(jì)算機(jī)，打開(kāi)命令提示窗口，利用route add命令可以添加靜態(tài)路由，如圖3-6所示。利用route delete命令可以手工刪除一條路由條目，如圖3-7所示。C:route add mask metric 3C:route print .(省略部分顯示信息) 在鏈路上 3.(省略部分顯示信息)C: route delete 3.2.2 默認(rèn)路由圖3-8 利

37、用route add 命令添加默認(rèn)路由默認(rèn)路由是一種特殊的靜態(tài)路由，也是由管理員手工配置的，為那些在路由表中沒(méi)有找到明確匹配的路由信息的數(shù)據(jù)包指定下一跳地址。在Windows Server 2012的計(jì)算機(jī)上配置默認(rèn)網(wǎng)關(guān)時(shí)就為該計(jì)算機(jī)指定了默認(rèn)路由，獲知利用route add命令也可以添加默認(rèn)路由，如圖3-8所示。C: route add mask 54 metric 3C:route print (省略部分顯示信息) 54 33(省略部分顯示信息)當(dāng)網(wǎng)絡(luò)規(guī)模很大，且網(wǎng)絡(luò)結(jié)構(gòu)經(jīng)常發(fā)生變化時(shí)就需要使用動(dòng)態(tài)路由。通過(guò)在路由器上配置路由協(xié)議可以自動(dòng)搜集網(wǎng)絡(luò)信息，并且放映網(wǎng)絡(luò)結(jié)構(gòu)的變化，動(dòng)態(tài)地維護(hù)路由

38、表中的內(nèi)容。其優(yōu)缺點(diǎn)如下：動(dòng)態(tài)路由的優(yōu)點(diǎn)：由于動(dòng)態(tài)路由是靠路由協(xié)議自動(dòng)維護(hù)的，因此減輕了管理員的工作負(fù)擔(dān)，而且可以自動(dòng)反映網(wǎng)絡(luò)結(jié)構(gòu)的變化。動(dòng)態(tài)路由的缺點(diǎn)：增大了路由器為處理路由所花費(fèi)的開(kāi)銷(xiāo)，對(duì)路由器的硬件要求比較高。3.2.3 動(dòng)態(tài)路由路由協(xié)議（Routing Protocol）運(yùn)行在路由器上，它通過(guò)提供一種共享路由選擇信息的機(jī)制，允許路由器與其它路由器通信以更新和維護(hù)自己的路由表，并確定最佳的路徑。通過(guò)路由協(xié)議，路由器可以了解未直接連接的網(wǎng)絡(luò)的狀態(tài)，當(dāng)網(wǎng)絡(luò)發(fā)生變化時(shí)，路由表中的信息可以隨時(shí)更新，以保證網(wǎng)絡(luò)上的路徑處于可用狀態(tài)。3.2.4 路由協(xié)議（1）內(nèi)部網(wǎng)關(guān)協(xié)議和外部網(wǎng)關(guān)協(xié)議根據(jù)工作范圍，

39、路由協(xié)議可以分為內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）和外部網(wǎng)關(guān)協(xié)議（EGP）。內(nèi)部網(wǎng)關(guān)協(xié)議：在一個(gè)自治系統(tǒng)內(nèi)進(jìn)行路由信息交換的路由協(xié)議，如：RIP、IGRP、EIGRP、OSPF、ISIS等。外部網(wǎng)關(guān)協(xié)議：在不同自治系統(tǒng)間進(jìn)行路由信息交換的路由協(xié)議，如BGP。（2）距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議根據(jù)工作原理，路由協(xié)議可以分為距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議。距離矢量路由協(xié)議：通過(guò)判斷數(shù)據(jù)包從源主機(jī)到目的主機(jī)所經(jīng)過(guò)的路由器的個(gè)數(shù)來(lái)決定選擇哪條路由，如RIP、IGRP等。鏈路狀態(tài)路由協(xié)議：不是根據(jù)路由器的數(shù)目選擇路徑，而是綜合考慮從源主機(jī)到目的主機(jī)間的各種情況（如帶寬、延遲、可靠性、承載能力和最大傳輸單元

40、等），最終選擇一條最優(yōu)路徑，如OSPF、ISIS等。RIP協(xié)議RIP協(xié)議最初是為Xerox網(wǎng)絡(luò)系統(tǒng)的Xerox parc通用協(xié)議而設(shè)計(jì)的，是Internet中常用的路由協(xié)議。RIP通過(guò)技術(shù)從源主機(jī)到目標(biāo)主機(jī)經(jīng)過(guò)的最少跳數(shù)（hop）來(lái)選擇最佳路徑，它支持的最大跳數(shù)為15跳，即從源主機(jī)到目標(biāo)主機(jī)的數(shù)據(jù)包最多可以被15個(gè)路由器轉(zhuǎn)發(fā)，如果超過(guò)15跳，RIP協(xié)議就認(rèn)為目的地不可達(dá)。由于單純地以跳數(shù)作為路由的依據(jù)，不能充分描述路徑特性，可能會(huì)導(dǎo)致所選的路徑不是最優(yōu)，因此RIP協(xié)議只適用于中小型的網(wǎng)絡(luò)中。運(yùn)行RIP協(xié)議的路由器默認(rèn)情況下每隔30秒會(huì)自動(dòng)向它的鄰居發(fā)送自己的全部路由表信息，因此會(huì)浪費(fèi)較多的帶寬

41、資源。同時(shí)，由于路由信息是一跳一跳地進(jìn)行傳遞，因此RIP協(xié)議的收斂速度會(huì)比較慢。當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)送變化時(shí)，RIP協(xié)議通過(guò)觸發(fā)更新的方式進(jìn)行路由更新，而不必等待下一個(gè)發(fā)送周期。例如，當(dāng)如路由器檢測(cè)到某條鏈路失敗時(shí)，它將立即更新自己的路由表并發(fā)送新的路由，每個(gè)接收到該觸發(fā)更新的路由器都會(huì)立即修改其路由表，并繼續(xù)轉(zhuǎn)發(fā)該觸發(fā)更新。OSPF協(xié)議0SPF是一種基于鏈路狀態(tài)的路由協(xié)議，需要每個(gè)路由器向其同一管理域的所有其它路由器發(fā)送鏈路狀態(tài)廣播信息。在OSPF的鏈路狀態(tài)廣播中包括所有接口信息、所有的量度和其它一些變量。利用OSPF的路由器首先必須收集有關(guān)的鏈路狀態(tài)信息，并根據(jù)一定的算法計(jì)算出到每個(gè)節(jié)點(diǎn)的最短

42、路徑。而基于距離向量的路由協(xié)議僅向其鄰接路由器發(fā)送有關(guān)路由更新信息。與RIP不同，OSPF將一個(gè)自治域再劃分為區(qū)，相應(yīng)地即有兩種類(lèi)型的路由選擇方式：當(dāng)源和目的地在同一區(qū)時(shí)，采用區(qū)內(nèi)路由選擇；當(dāng)源和目的地在不同區(qū)時(shí)，則采用區(qū)間路由選擇。這就大大減少了網(wǎng)絡(luò)開(kāi)銷(xiāo)，并增加了網(wǎng)絡(luò)的穩(wěn)定性。當(dāng)一個(gè)區(qū)內(nèi)的路由器出了故障時(shí)并不影響自治域內(nèi)其它區(qū)路由器的正常工作，這也給網(wǎng)絡(luò)的管理、維護(hù)帶來(lái)方便。項(xiàng)目描述圖3-1 公司網(wǎng)絡(luò)拓?fù)淠彻緭碛袠I(yè)務(wù)部、行政部和生產(chǎn)部，每個(gè)部門(mén)都建好了局域網(wǎng)，為滿(mǎn)足公司業(yè)務(wù)發(fā)展需求，公司希望能將各局域網(wǎng)互聯(lián)及接入互聯(lián)網(wǎng)，實(shí)現(xiàn)公司內(nèi)部的相互通信、資源共享和Internet接入，公司網(wǎng)絡(luò)拓?fù)淙?/p>

43、圖3-1所示。在網(wǎng)絡(luò)中，路由器用于實(shí)現(xiàn)局域網(wǎng)的互聯(lián)，通過(guò)在各局域網(wǎng)部署路由器可以輕松實(shí)現(xiàn)不同局域網(wǎng)的互聯(lián)。通過(guò)路由器互聯(lián)起來(lái)的各部門(mén)網(wǎng)絡(luò)實(shí)現(xiàn)了部門(mén)間的相互通信和資源共享。本項(xiàng)目中公司內(nèi)的各部門(mén)建立了自身的局域網(wǎng)，可以使用windows server 2012的路由和遠(yuǎn)程訪問(wèn)服務(wù)可以作為公司的路由器來(lái)互聯(lián)各部門(mén)局域網(wǎng)，實(shí)現(xiàn)各部門(mén)的相互通信和資源共享。項(xiàng)目分析任務(wù)背景公司內(nèi)的技術(shù)部和業(yè)務(wù)部都各自組建了局域網(wǎng)，您是該公司的網(wǎng)絡(luò)管理員，公司希望通過(guò)一臺(tái)裝有windows server 2012的雙網(wǎng)卡計(jì)算機(jī)實(shí)現(xiàn)這兩個(gè)局域網(wǎng)的互聯(lián)，公司網(wǎng)絡(luò)拓?fù)鋱D 如圖3-9所示。任務(wù)3-1實(shí)現(xiàn)兩個(gè)局域網(wǎng)的互聯(lián)圖3-9

44、任務(wù)3-1的網(wǎng)絡(luò)環(huán)境通過(guò)在雙網(wǎng)卡計(jì)算機(jī)上安裝windows server 2012，同時(shí)部署和啟用路由與遠(yuǎn)程訪問(wèn)服務(wù)，可將該計(jì)算機(jī)配置為路由器，并實(shí)現(xiàn)兩個(gè)局域網(wǎng)的互聯(lián)（直連網(wǎng)絡(luò)）。任務(wù)分析1.PC1和PC2的配置（1）使用具有管理員權(quán)限的用戶(hù)賬戶(hù)登錄PC1和PC2，將IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)配置到本地連接中，如圖3-10和圖3-11所示。任務(wù)操作圖3-10 PC1的TCP/IP配置圖3-11 PC2的TCP/IP配置1.PC1和PC2的配置(2)在PC1中打開(kāi)命令提示符窗口，利用Ping 54命令檢查到其默認(rèn)網(wǎng)關(guān)的連接，如果連接成功且TTL值為128,；利用Ping 命令檢查與另一子網(wǎng)的PC2

45、的連接，發(fā)現(xiàn)返回信息Request timed out，表明連接失敗，如圖3-12所示。任務(wù)操作C:ping 54.(省略部分顯示信息)Reply from 54: bytes=32 timeping .(省略部分顯示信息)Request timed out.(省略部分顯示信息)圖3-12 PC1的ping命令測(cè)試結(jié)果置1.PC1和PC2的配置(3)同理可以在PC2做類(lèi)似的測(cè)試，可以發(fā)現(xiàn)局域網(wǎng)內(nèi)部和網(wǎng)關(guān)的通信良好，但是無(wú)法和另一個(gè)局域網(wǎng)的計(jì)算機(jī)通信。任務(wù)操作2、路由和遠(yuǎn)程訪問(wèn)服務(wù)的安裝（1）在【服務(wù)器管理器】主窗口的【角色摘要】下，單擊【添加角色】按鈕。 （2）在【添加角色向?qū)А恐?，單擊【下?/p>

46、步】按鈕。（3）在服務(wù)器角色列表中，選擇【網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)】和【遠(yuǎn)程訪問(wèn)】?jī)蓚€(gè)服務(wù)，并選取默認(rèn)的配套服務(wù)和功能，單擊【下一步】按鈕，如圖3-13所示。任務(wù)操作圖3-13角色選擇2、路由和遠(yuǎn)程訪問(wèn)服務(wù)的安裝（4）在【遠(yuǎn)程訪問(wèn)】的【角色服務(wù)】選項(xiàng)卡中，應(yīng)勾選【路由】選項(xiàng)卡，以便支持RIP協(xié)議，如圖3-14所示。（5）繼續(xù)執(zhí)行“添加角色向?qū)А敝械牟襟E，完成“路由和遠(yuǎn)程訪問(wèn)”服務(wù)的安裝。任務(wù)操作圖3-14 遠(yuǎn)程訪問(wèn)的路由選項(xiàng)卡3、路由和遠(yuǎn)程訪問(wèn)服務(wù)的配置（1）在【服務(wù)管理器】中打開(kāi)【路由和遠(yuǎn)程訪問(wèn)】控制臺(tái)，選擇【ROUTER】服務(wù)器，在右鍵菜單中選擇【配置并啟用路由和遠(yuǎn)程訪問(wèn)】，如圖3-15所示任務(wù)

47、操作圖3-15路由和遠(yuǎn)程訪問(wèn)控制臺(tái)3、路由和遠(yuǎn)程訪問(wèn)服務(wù)的配置（2）在彈出的安裝向?qū)Т翱谥?，選擇【自定義配置】，然后單擊【下一步】按鈕，如圖3-16所示。任務(wù)操作圖3-16 自定義配置3、路由和遠(yuǎn)程訪問(wèn)服務(wù)的配置（3）在自定義配置窗口中，選擇【LAN路由】，然后單擊【下一步】按鈕，如圖3-17所示任務(wù)操作圖3-17 LAN路由3、路由和遠(yuǎn)程訪問(wèn)服務(wù)的配置（4）按照缺省步驟完成路由和遠(yuǎn)程訪問(wèn)服務(wù)的啟動(dòng)，如圖3-18所示任務(wù)操作圖3-18 路由和遠(yuǎn)程訪問(wèn)啟動(dòng)后界面（1）在PC1上利用ping命令再次檢查與PC2的連接，發(fā)現(xiàn)可以正常通信，如圖3-19所示。（2）同理，可以再PC2上利用ping命令檢

48、查與PC1的連接， TTL應(yīng)為127，完成兩個(gè)子網(wǎng)的互聯(lián)。任務(wù)驗(yàn)證C:ping .(省略部分顯示信息)Reply from : bytes=32 timeping .(省略部分顯示信息)Reply from : bytes=32 timeping .(省略部分顯示信息)Reply from : bytes=32 timeping .(省略部分顯示信息)Reply from : bytes=32 timenet start已經(jīng)啟動(dòng)以下 Windows 服務(wù):（省略部分顯示信息） DNS Server （省略部分顯示信息）主要DNS服務(wù)的配置DNS 服務(wù)器需要通過(guò)DNS區(qū)域管理DNS名稱(chēng)空間，因此

49、還需要在DNS 服務(wù)器上創(chuàng)建相應(yīng)的DNS區(qū)域。正向區(qū)域用于DNS名稱(chēng)到IP地址的正解析，如果DNS服務(wù)器上創(chuàng)建了一個(gè)DNS區(qū)域的主要區(qū)域，則該DNS服務(wù)器即成為該DNS區(qū)域的主DNS服務(wù)器。任務(wù)操作3、添加正向查找區(qū)域(1)打開(kāi)DNS管理器，在【服務(wù)器管理器】主窗口下，單擊【工具】在下拉列表中選擇【DNS】。 (2)在控制臺(tái)樹(shù)中，右鍵單擊【正向查找區(qū)域】，然后單擊【新建區(qū)域】以打開(kāi)新建區(qū)域向?qū)А?3)在出現(xiàn)的新建區(qū)域向?qū)е?，選擇【主要區(qū)域】，然后單擊【下一步】。(4)在接下來(lái)出現(xiàn)的區(qū)域名稱(chēng)窗口中，輸入我們要新建的區(qū)域名稱(chēng)：。任務(wù)操作3、添加正向查找區(qū)域(5)在DNS服務(wù)器中，每一個(gè)區(qū)域都會(huì)對(duì)應(yīng)

50、有一個(gè)文件，文件名我們使用缺省的文件名，即.dns。 (6)在接下來(lái)的動(dòng)態(tài)更新對(duì)話窗口中，通常情況下，基于安全的考慮，我們選擇【不允許動(dòng)態(tài)更新】，單擊【下一步】完成新建。任務(wù)操作添加資源記錄創(chuàng)建區(qū)域后，必須向區(qū)域中添加更多資源記錄。添加的最常見(jiàn)資源記錄包括下列各項(xiàng)：主機(jī) (A) 資源記錄： 用于將域名系統(tǒng) (DNS) 域名映射到計(jì)算機(jī)使用的IP地址。別名 (CNAME) 資源記錄： 用于將別名DNS映射到另一個(gè)主機(jī)名或其他名稱(chēng)。郵件交換器 (MX) 資源記錄： 用于告知郵件服務(wù)器進(jìn)程將郵件發(fā)送到指定的另一臺(tái)郵件服務(wù)器。指針 (PTR) 資源記錄：用于映射基于某臺(tái)計(jì)算機(jī)的 IP 地址的反向 DN

51、S 域名，該 IP 地址指向該計(jì)算機(jī)的正向DNS域名，用于反向解析。任務(wù)操作4、配置根域（1）在建立的區(qū)域上，單擊右鍵，然后選擇【屬性】，在彈出的窗口中選擇【名稱(chēng)服務(wù)器】選項(xiàng)卡，并單擊【添加】按鈕配置根域記錄,如圖4-14所示。任務(wù)操作圖4-14 配置根域4、配置根域（2）FQDN欄中輸入根域，并在IP地址中輸入對(duì)應(yīng)的IP：，如圖4-15所示。任務(wù)操作圖4-15 編輯名稱(chēng)服務(wù)器記錄（根域注冊(cè)）5、注冊(cè)web服務(wù)器（添加A記錄）（1）在建立的區(qū)域上，單擊右鍵，然后選擇【新建主機(jī)（A或AAAA）】，如圖4-16所示。任務(wù)操作圖4-16 新建主機(jī)記錄5、注冊(cè)web服務(wù)器（添加A記錄）(2)在新建主機(jī)

52、對(duì)話窗口中，名稱(chēng)輸入www，則完全合格的域名，就是.，IP地址中輸入0，最后單擊【添加主機(jī)】，完成主機(jī)記錄的添加,如圖4-17所示。任務(wù)操作圖4-17 添加主機(jī)6、注冊(cè)web記錄（別名）(1)在建立的區(qū)域上，單擊右鍵，然后選擇【新建別名（CNAME）】；如圖4-18所示。任務(wù)操作圖4-18 新建別名記錄6、注冊(cè)web記錄（別名）（2）在新建別名記錄的對(duì)話窗口中，輸入一個(gè)新的名稱(chēng)web，在目標(biāo)主機(jī)的完全合格的域名（FQDN）一欄中，我們輸入 (也可以通過(guò)單擊【瀏覽】，查找到想要建立別名的主機(jī))，單擊【確定】完成別名記錄的添加。完成后，和就對(duì)應(yīng)到了同一IP地址，如圖4-19所示。任務(wù)操作圖4-19

53、 添加別名記錄7、客戶(hù)機(jī)的配置在客戶(hù)機(jī)網(wǎng)卡的TCP/IP選項(xiàng)中，配置dns地址指向主DNS服務(wù)器IP，結(jié)果如圖4-20所示。任務(wù)操作圖4-20 客戶(hù)機(jī)dns的配置DNS的測(cè)試通常通過(guò)ping、nslookup、ipconfig/displaydns命令進(jìn)行。（1）ping在客戶(hù)機(jī)上打開(kāi)命令行工具，通過(guò)ping命令測(cè)試域名是否能正常解析，圖4-21所示，域名已經(jīng)正確解析為IP：0 。任務(wù)驗(yàn)證圖4-21 DNS的Ping測(cè)試（2）nslookup更為專(zhuān)業(yè)的測(cè)試命令是nslookup，在命令行窗口中，輸入nslookup ，可以看到服務(wù)器的返回結(jié)果，如圖4-22所示，對(duì)應(yīng)的IP為0，并且是的別名。任

54、務(wù)驗(yàn)證圖4-22 DNS的nslookup測(cè)試（3）ipconfig/displaydns通用用ping命令測(cè)試各條域名解析結(jié)果后，可以輸入ipconfig/displaydns查看客戶(hù)機(jī)本地的dns緩存記錄，如圖4-23所示。任務(wù)驗(yàn)證圖4-23 通過(guò)ipconfig命令查看本地dns記錄緩存任務(wù)4-2實(shí)現(xiàn)子公司DNS委派服務(wù)器的部署圖4-24 廣州子公司拓?fù)淙蝿?wù)背景廣州子公司內(nèi)擁有2臺(tái)windows server 2012服務(wù)器分別負(fù)責(zé)域名解析和文件管理，域名服務(wù)器管理的域名是由公司總部委派給子公司管理，子公司各服務(wù)器域名名稱(chēng)如圖4-24所示，公司希望通過(guò)部署DNS服務(wù)實(shí)現(xiàn)公司內(nèi)部基于域名的

55、相互訪問(wèn)。任務(wù)分析在子公司部署DNS服務(wù)可以加快子公司計(jì)算機(jī)域名的解析速度，如果子公司可以自己管理自己的域名，則子公司域名的注冊(cè)效率因無(wú)需向總公司申請(qǐng)，可提升注冊(cè)效率。通過(guò)在公司總部委派這個(gè)域名給廣州子公司的DNS服務(wù)器進(jìn)行管理，可實(shí)現(xiàn)子公司內(nèi)部域名的管理。在客戶(hù)端配置DNS服務(wù)器地址為公司總部DNS服務(wù)器的IP地址，能夠?qū)崿F(xiàn)公司內(nèi)基于域名的相互訪問(wèn)。任務(wù)4-2實(shí)現(xiàn)子公司DNS委派服務(wù)器的部署1、總公司委派（1）在總公司的DNS服務(wù)器中打開(kāi)【DNS 管理器】。（2）在控制臺(tái)樹(shù)中，右鍵單擊，然后單擊【新建委派】命令，如圖40-25所示。任務(wù)操作圖4-25 新建委派1、總公司委派（3）在如圖4-2

56、6所示的對(duì)話框中，在【委派的域】中輸入要委派的子域gz，然后單擊【下一步】按鈕。任務(wù)操作圖4-26 gz子域委派1、總公司委派（4）然后輸入子域的FQDN和IP地址，其中（FQDN是 主機(jī)名 + 域名）這里就是（WIN-UAR34A8GQAD.和00），如圖4-27所示。（5）最后，單擊【完成】，完成DNS子域的委派。任務(wù)操作圖4-27 子域委派服務(wù)器2、子公司管理域名（1）在廣州子公司的DNS服務(wù)器上安裝【DNS服務(wù)器】。（2）新建剛剛總公司委派的域名，如圖4-28所示。任務(wù)操作圖4-28 子域2、子公司管理域名（3）添加文件服務(wù)器的主機(jī)記錄，如圖4-29所示。任務(wù)操作圖4-29 添加文件服

57、務(wù)器主機(jī)記錄在客戶(hù)機(jī)上進(jìn)行測(cè)試，客戶(hù)機(jī)的首選DNS仍然是，我們可以看到在子域DNS服務(wù)器上有一個(gè)主機(jī)記錄對(duì)應(yīng)01，這里我們使用nslookup命令測(cè)試，解析是成功的，如圖4-30所示。但是提示非權(quán)威應(yīng)答，因?yàn)槭走xDNS是，這個(gè)DNS沒(méi)有子域的區(qū)域文件，所以是非權(quán)威的應(yīng)答。任務(wù)驗(yàn)證圖4-30 子域委派測(cè)試任務(wù)4-3實(shí)現(xiàn)香港辦事處輔助DNS服務(wù)器的部署任務(wù)背景香港辦事處擁有1臺(tái)windows server 2012服務(wù)器，該DNS服務(wù)器作為北京總部DNS服務(wù)器的輔助DNS服務(wù)器，只負(fù)責(zé)從北京總部拷貝DNS記錄到自己的輔助DNS中，不能對(duì)域名記錄的添加和刪除，公司網(wǎng)絡(luò)拓?fù)淙鐖D4-31所示，實(shí)現(xiàn)香港辦

58、事處能通過(guò)本地域名解析以便快速訪問(wèn)公司資源。圖4-31 香港辦事處網(wǎng)絡(luò)拓?fù)淙蝿?wù)4-3實(shí)現(xiàn)香港辦事處輔助DNS服務(wù)器的部署任務(wù)分析要實(shí)現(xiàn)香港辦事處能通過(guò)本地域名解析以便快速訪問(wèn)公司資源，這要求香港辦事處的DNS服務(wù)器必須擁有全公司所有的域名數(shù)據(jù)。在公司中域名的數(shù)據(jù)存儲(chǔ)在北京總公司的主域控制器和廣州子公司的額外域控制器中，因此香港輔助DNS服務(wù)器必須復(fù)制北京和廣州兩臺(tái)DNS服務(wù)器的數(shù)據(jù)，才能實(shí)現(xiàn)香港辦事處計(jì)算機(jī)域名的快速解析，提高對(duì)公司網(wǎng)絡(luò)資源訪問(wèn)的效率。1、配置香港辦事處為北京總公司輔助DNS1）輔助DNS服務(wù)的配置（1）在香港辦事處的DNS服務(wù)器上安裝【DNS服務(wù)器】。（2）在控制臺(tái)樹(shù)中，右擊

59、 DNS 服務(wù)器，然后單擊【新建區(qū)域】以打開(kāi)新建區(qū)域向?qū)?。?）在出現(xiàn)的新建區(qū)域向?qū)е?，選擇【輔助區(qū)域】，然后單擊【下一步】。（4）在接下來(lái)的區(qū)域名稱(chēng)窗口中，輸入要建立的輔助區(qū)域的名稱(chēng)；（注意：輔助區(qū)域的名稱(chēng)要和主要區(qū)域的名稱(chēng)相同），如圖4-33所示。任務(wù)操作圖4-33 輔助區(qū)域名稱(chēng)1、配置香港辦事處為北京總公司輔助DNS1）輔助DNS服務(wù)的配置（5）添加建立的輔助區(qū)域要從哪些DNS服務(wù)器上進(jìn)行DNS數(shù)據(jù)的復(fù)制（可以是多個(gè)）；這里，我們輸入北京總部的DNS服務(wù)器的IP地址，如圖4-34所示。（6）最后，單擊【完成】，完成輔助DNS服務(wù)器的創(chuàng)建。任務(wù)操作圖4-34 輔助區(qū)域創(chuàng)建之主DNS-IP輔

60、助DNS服務(wù)的配置注意：通常情況下，經(jīng)過(guò)上述的步驟后，我們創(chuàng)建的輔助區(qū)域是無(wú)法進(jìn)行區(qū)域數(shù)據(jù)復(fù)制的，也就是說(shuō)，我們創(chuàng)建的輔助區(qū)域無(wú)法正常提供服務(wù)。造成這個(gè)問(wèn)題的原因是，我們還沒(méi)有在主DNS服務(wù)器的相應(yīng)區(qū)域上允許輔助DNS服務(wù)器進(jìn)行數(shù)據(jù)復(fù)制。任務(wù)操作1、配置香港辦事處為北京總公司輔助DNS2）主DNS服務(wù)器允許復(fù)制（1）在主DNS服務(wù)的相應(yīng)區(qū)域上，單擊右鍵，然后選擇【屬性】；如圖4-35所示。任務(wù)操作圖4-35 查看區(qū)域?qū)傩?、配置香港辦事處為北京總公司輔助DNS2）主DNS服務(wù)器允許復(fù)制（2）在區(qū)域?qū)傩源翱谥校x擇【區(qū)域傳送】，這里，我們選擇到【所有服務(wù)器】，最后單擊【確定】完成設(shè)置，如圖4-3