网络工程师教程
-
2023年3月5日发(作者:闽南建筑)【软考网络工程师教程-成功笔记】
第9章网络操作系统与应用服务器
9.1网络操作系统
9.1.1WindowsServer2008R2操作系统
WindowsServer2008R2是专为下一代网络、应用程序和Web服务的功能而设计,WindowsServer2008
R2是WindowsServer2008的升级版本。这个版本继续提升了虚拟化、系统管理弹性、网络存取方式,以及信
息安全等领域的应用,是一款仅支持64位操作系统,可以为大、中或小型企业搭建功能强大的网站和应用程序服
务平台。
WindowsServer2008R2主要新增功能:
(1)WEB应用程序平台。Internet信息服务IIS7.5
(2)应用服务和桌面虚拟化——hyper-v
(3)可靠性和扩展性
(4)管理智能
9.1.2Linux操作系统简介(11上34)
Linux是一个支持多用户、多任务、多进程和实时性较好的功能强大而稳定的操作系统,也是目前运行硬件平
台最广泛的操作系统。Linux最大的特点在于它是GNU的一员,遵循公共版权许可证(GPL)及开放源代码的原
则,从而使其成为发展最快、用有用户最多的操作系统之一。
RedHatLinux是目前世界上使用最多的Linux操作系统家族成员,提供了丰富的软件包,具有强大的网络服
务和管理功能。RedHatEnterpriseLinux7就是RedHatLinux的一个最新版本,内核为kernel3.1.0。集成了
应用程序虚拟化技术Docker,对systemd进程管理的支持,XFS成为RHEL默认的文件系统及监控系统PCP等
新功能特性。
9.2网络操作系统的基本配置
9.2.1WindowsServer2008R2本地用户与组(12上40,14上46,16下46)
为了保障计算机与网络的安全,WindowsServer2008为不同的用户设置不同的权限,同时通过将具有同一
权限的用户设置为一个组来简化对用户的管理。每一个登录到NTServer上的用户,必须有一个用户账号(User
Account)。用户账号包含用户名、密码、用户的说明和用户权限等信息。具有相同性质的用户归结在一起,统一
授权,组成用户组(Group)。
本地用户与组的创建:
“开始”→“程序”→“管理工具”→“计算机管理”,然后在打开的窗口选择”本地用户和组“
【真题2014年上半年】
在WindowsServer2003环境中有本地用户和域用户两种用户,其中本地用户信息存储在(46)。
(46)A.本地计算机的SAM数据库B.本地计算机的活动目录
C.域控制器的活动目录D.域控制器的SAM数据库中
【解析】:在WindowsServer2003环境中有本地用户和域用户两种用户,其中本地用户信息存储在本地计算机
的SAM数据库中,目录在:C:WINDOWSSYSTEM32config;域用户信息存储在域控制器的活动目录。
【参考答案】:(46)A
【真题2012年上半年】
在Windows系统中,默认权限最低的用户组是(40)。
(40)
【解析】:P363
在以上4个选项中,用户组默认权限由高到低的顺序是:
Administrator->poweruser->users->everyone
【参考答案】:(40)A
9.2.2WindowsServer2008R2活动目录
网络中计算机逻辑组合的两种模式:工作组模式和域模式。
1)工作组(Workgroup)模式(对等网络):所有计算机以同等的方式共享网络中的资源而没有专用的服务器。
工作组模式中的每台计算机都拥有一个自己的本地安全账户管理数据库,用于维护访问本地计算机的用户账户
信息以及维护本地计算机的安全性。
2)域模式可用于任何规模的网络环境,并且可以根据需要随时扩展。在域模式中,服务器和用户的计算机在同一
个域中,用户在域中只要拥有一个帐户,用该帐户登录后即取得一个身份,有了该身份便可以在域中漫游,访问域
中任意一台服务器上的资源。
在每一台存放资源的服务器上并不需要为每一个登录本机的用户创建帐户,而只需要把资源的访问权限分配给
用户在域中的帐户即可。
3)活动目录(ActiveDirectory,AD):对域中的帐户和资源对象进行存放并集中管理。
目录是任何文件系统中都具有的功能,在一般的操作系统中,目录是静态、集中存储在磁盘的系统/用户信息。
活动目录是一个动态的分布式文件系统,包含了存储网络信息的目录结构和相关的目录服务。
4)域控制器(DomainController,DC)在域中安装了活动目录的计算机。
每个域中都至少有一台(或多台)域控制器。有多台域控制器时,各个域控制器都是平等的(windowsNTServer
4.0中,不同的域控制器是不平等的),每个域控制器上都有所在域的全部用户信息。
活动目录存储着计算机网络的配置和安全信息,这些信息分散地存储在网络中的多个域控制器中,由多个网络
管理员进行管理和维护,操作系统对活动目录中的信息提供备份和选择性的复制功能,以维护信息的一致性,并提
供容错能力。
在活动目录中,对象的名字采用DNS域名结构,所以安装活动目录需要DNS服务器的支持。在一个面向的
树型目录结构中,所有叶子结点都是资源对象,树根节点和中间结点都是容器对象。
全局目录是包含对象属性信息的仓库,活动目录中的第一个域控制器自动成为全局目录,为了加速登录过程和
减少通信流量,还可以设置另外的全局目录。
构架是活动目录中的对象模型。构架包含了存储在活动目录中的对象的定义,也决定了活动目录的结构及其存
储的内容。构架由类、属性和句法的集合组成。用户、计算机和打印队列都是活动目录中的类的例子,用户账号Sue
和Mary则是用户类的实例。对象Mary可以包含一个叫做电话号码的属性,其值可能是555-0101,它的数据类
型(句法)为字符串类型或者数值类型。
构架建立的对象模型支持轻型目录访问协议(LDAP),安装了活动目录客户端组件的计算机通过LDAPv3访
问活动目录。
2.活动目录的逻辑结构
活动目录的逻辑结构用来组织网络资源。域是活动目录的核心单元,是共享一活动目录的一组计算机的集合。
一个域的管理员要管理其他的域,需要专门的授权。域也是复制的单位,一个域可以包含多个域控制器,当某个域
控制器的活动目录数据库改变以后,变化的部分会自动复制到其他域控制器中。
域树。是域的集合。在域树中,每个域都拥有自己的目录数据库副本来存储本域的局部对象,所有的子域共享
根域的共同配置和全部目录。
域林。是域树的集合,用信任关系相关联,共享一个公共的目录模式、配置数据、全局目录。域林中每一个域
树具有自己唯一独立的命名空间。在域林中创建的第一棵树默认的被创建为该域林的树根(RootTree)。域树和域
林的结构,可帮助活动目录使用容器层次结构来模拟一个企业的组织结构。
域树域林
在默认情况下,一个在域A中的用户,其身份的有效性也只限于域A。通过在域A或域B之间建立域信任关
系(DomainTrusts),从而使得域A的用户在本域登录后能够获得域B的信任。
域间信任关系总是涉及到两个域:施信域和受信域。施信域将自己对用户等对象的验证委托给受信域,而受信
域对用户身份有效性验证的结果得到施信域的认可。域间信任关系只影响用户身份有效性范围。
域是管理的边界,管理权限不会跨越域边界,也不会通过域树向下流动。
组织单元。是域下面的容器对象。是比域更小的管理边界。由于管理上的需要,把域内的对象组织成逻辑组,
如用户组、打印组等。OU也是一个对象的容器,用来组织、管理一个域内的对象,但OU不能包括来自其他域的
对象。
组织单元是可以配置组策略或委派管理权限的最小单位。类似于NT中的工作组。
3.活动目录的物理结构
(1)站点(Site)。活动目录中的站点与域是两个完全独立的概念。站点反映网站的物理结构,而域通常反映单位
的逻辑结构。一个站点可以有很多个域,多个站点也可以位于同一个域中。站点与域名之间也没有必然的联系。
站点由一个或多个IP子网组成,这些子网通过调整网络设备连接在一起。依据站点结构配置活动目录的访问
和复制拓扑关系,这样能使网络更有效的连接,并且便复制策略更合理,用户登录的速度更快。
(2)域控制器。是使用活动目录安装向导配置的Windows服务器。域控制器可以有多个,其作用为:域控制器
管理着目录信息的变化,并把这些变化复制到同一个域中的其他域控制器上。域控制器保存着目录信息并管理用户
域的交互以及其他与域有关的操作,其中包括用户登录过程、身份验证和目录搜索。
(3)活动目录的复制。Windows2003使用多宿主复制。多个域控制器具有修改活动目录数据的权限。Windows
2008开始,增加只读域控制器(RODC)功能,RODC提供了一种在要求快速、可靠的身份验证服务但不能确保
可写域控制器的物理安全性的位置中更安全地部署域控制器的方法。
4.活动目录中的对象
活动目录中的对象主要包括用户名、工作组、计算机和打印机,然而网络中所有的服务器、域和站点也可以成
为活动目录中的对象。
活动目录架构包含活动目录中所有对象的定义(类和属性)。在Windows2008网络中,整个森林只有一种构
架,构架保存在活动目录中。
活动目录的用户名分为以下两种:
主用户名:主用户名的格式与E-mail地址相同,例如john@,其中John是主用户名的前缀,
是主用户名的后缀(一般为根域名)。
用户登录名:是一般的字符串。
活动目录中的工作组分为以下几种:(下午题考过)★★★
全局组:来自本地域,可授权访问域林中的任何信任域。
域本地组:可来自任何域,但是只能访问本地域中的资源。
通用组:可来自域林中的任何域,访问权限可以达到域林中的任何域。通用组的成员信息保存在全局目录中,这是
通用组与全局组的主要区别。
为了使一个用户可以访问其他域中的资源,可以使用的组策略:★★★
A–G–DL–P策略;(15上34,17下61)
A–G–G–DL–P策略;
A–G–U–DL–P策略。
这里,A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。
如A–G–DL–P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限,
其余类推。
5.活动目录的安装
活动目录必须安装在NTFS分区,并且必须安装DNS服务器。
“开始”→“运行”,执行“”命令,启动安装向导。
图9-3域控制器类型图9-4选择林功能级别
图9-5安装DNS服务器图9-6活动目录数据库与活动目录日志的文件
图9-7还原模式密码图9-8域服务器安装完成后的登录界面
【真题2011年上半年】
下面关于域本地组的说法中,正确的是(45)。
(45)A.成员可来自森林中的任何域,仅可访问本地域内的资源
B.成员可来自森林中的任何域,可访问任何域中的资源
C.成员仅可来自本地域,仅可访问本地域内的资源
D.成员仅可来自本地域,可访问任何域中资源
【解析】:P368
【参考答案】:(45)A
【真题2010年下半年】
WindowsServer2003采用了活动目录(ActiveDirectory)对资源进行管理,活动目录需安装在(35)分区。
(35)
【解析】:P368
活动目录(ActiveDirectory)必须安装在WindowsServer2003的NTFS分区。
【参考答案】:(35)D
【真题2015年上半年】
在Windows用户管理中,使用组策略A-G-DL-P,其中P表示(34)。
(34)A.用户帐号B.资源访问权限C.域本地组D.通用组
【解析】:P368
【参考答案】:(34)B
9.2.3WindowsServer2008远程桌面服务
远程桌面服务(Windows2003称为终端服务)是Windows2008中的一个服务器角色,它提供的技术使用户
能够访问安装在RD会话主机服务器上的基于Windows的程序或整个Windows的界面。
在用户访问RD会话主机服务器上的程序时,程序会在服务器运行。每个用户只能看到各自的会话。服务器操
作系统有名的管理会话,与任何其他客户端会话无关。
1.远程桌面服务的安装(演示)
在WindowsServer2008R2中,默认情况下自带远程桌面连接,但是没有远程桌面服务,
远程桌面服务需要进行手动添加。
在WindowsServer2008中,已经内置了远程桌面连接功能,但是只允许不超过2个用户连接到器。
1.远程桌面服务安装演示
1)“开始”→“管理工具”→“服务器管理器”→“角色“→“添加角色”
2.远程桌面服务的配置与管理
1)赋予用户权限
默认情况下,只有系统管理员组用户(Administrators)和系统用户(SYSTEM)拥有访问和完全控制终端服
务器的权限,另外远程桌面用户组(RomoteDesktopUsers)的成员只拥有访问权限不具备完全控制权。而在很
多时候,默认的权限设置往往并不能完全满足我们的实际需求,因此还需要赋予某些特殊用户远程连接的权限。
(1)依次单击“开始”~“程序”~“管理工具”~“远程桌面服务”~“远程桌面会话主机配置“命令,显
示图9-9所示的“远程桌面会话主机配置”窗口。
(2)单击树型列表框中的“RD会话主机配置”选项,鼠标右击右侧列表框中的TDP-Tcp,从弹出的快捷菜
单中选择“属性”命令,在弹出的对话框中选择“安全”选项卡,该选项卡对管理员Administrator的访问权限进
行了一定的限制:管理员可以有“完全控制”、“用户访问”、“来宾访问”三种权限,通过选中或取消各项的复
选框来确定相应的权限,如图9-10所示。
(3)单击“高级”按钮,显示所有用户的权限,如图9-11所示。
图9-9
图9-10图9-11
2)终端服务高级设置
(1)更改加密级别。
在RDP-Tcp对话框中,选择“常规”选项卡,如图9-12所示。在“加密“选项区域中,”加密级别“下拉列
表中包括如下4种级别:
①低。使用56位密钥,对从客户端传输到服务器的数据进行加密。
②客户端兼容。使用客户端所支持最大长度的密钥,对从客户端传输到服务器的数据进行加密。
③高。使用128位密钥的强加密算法,对从客户端传输到服务器的数据进行加密。
④符合FIPS标准。使用Microsoft加密模块的联邦信息处理标准(FIPS),对从客户端传输到服务器的数据
进行加密。
如果希望此连接进行标准Windows验证,则选中”使用标准Windows验证“复选框。
(2)允许用户自动登录的服务器。在RDP-Tcp对话框中,选择”登录设置“选项卡,如图9-13示。
图9-12图9-13
(3)配置终端服务超时和重新连接功能。在RDP-Tcp对话框中,选择“会话”选项卡,如图9-14所示。选中
“替代用户设置”复选框,允许用户配置此连接的超时设置。
(4)管理远程控制。在RDP-Tcp对话框中,选择“远程控制”选项卡,如图9-15所示。
图9-14RDP-Tcp对话框中“会话”选项卡图9-15RDP-Tcp对话框中“远程控制”选项卡
9.2.4WindowsServer2008R2远程管理
oft管理控制台(MMC)
Microsoft管理控制台集成了用来管理网络、计算机、服务及其他系统组件的管理工具。可以使用MMC创建、
保存并打开管理工具单元,这些管理工具用来管理硬件、软件和Windows系统的网络组件。
MMC不执行管理功能,但集成管理工具。
图9-17MMC管理控制台图9-18添加远程桌面
2.远程桌面连接
“远程桌面连接”是为WindowsServer2008R2系统提供的一种连接远程工作站的远程管理工具。
(1)配置远程桌面连接。
在“控制面板”中双击“系统和安全”图标,在点击“允许远程和访问”图标,在“系统属性“对话框中选
择”远程“选项卡,”远程桌面“选项区域中,选中”允许用户远程连接到您的计算机“复选框,如图9-20所示。
选择”开始“→”控制面板“→”Windows防火墙“→”允许程序或功能通过Windows防火墙“,勾选”
远程桌面“,点击确定。
图9-20“系统属性“对话框中的”远程“选项卡图9-21防火墙”允许的程序“对话框
(2)使用远程桌面连接。
“远程桌面连接“工具,在”开始“→”所有程序“→”附件“→”远程桌面连接“,可直接单击打开。
随即弹出一个窗口,要求输入要远程连接的计算机名或IP地址,如图9-22所示。
图9-22“远程桌面连接”窗口
9.2.5Linux网络配置P50-107页(暂略)
9.3WindowsServer2008R2IIS服务的配置
9.3.1IIS服务器的基本概念(09上36,10下40,12上32,12下36)
在组建局域网时,可以用因特网信息服务器(InternetInformationServer,IIS)来构建WWW服务器、FTP
服务器和SMTP服务器等。WindowsServer2008R2中集成了IIS7.5。在IIS7.0模块化基础上,改进了管理性
和功能性,开始支持、更多的powerShell命令行和集成WdbDAV。
9.3.2安装IIS服务(演示)
“开始”→“管理工具”→“服务器管理”→“角色”,在打开的窗口中单击“添加角色”,然后在向导
中勾选“web服务器(IIS)“。
9.3.3配置Web服务器(11上28,11下29,16下42)
1、网站基本配置:
通过”管理工具“中的”Internet信息服务(IIS)管理器“
(1)基本设置
配置Web服务器(一)
(2)域名和IP绑定
配置Web服务器(二)
(3)文档设置
配置Web服务器(三)
2.网站的安全性配置(10上44,12上41,15上29)
为了保证Web网站和服务器的运行安全,可以在“身份验证”和“IP地址和域限制”为网站进行身份验证,
如果没有别的要求一般采用默认设置网站的匿名访问关系到网站的安全问题。可以编辑“匿名访问和身份验证控制”
来设置匿名访问的用户账号。
对于具有特殊权限、不允许匿名访问的用户要设置身份验证方案。两种身份验证方案如下:
(1)基本身份验证。(明文)
(2)集成Windows身份验证。在这种身份验证方式中,用户名和密码在发送前要经过加密处理,所以
是一种安全的身份验证方案。
图9-31配置身份验证图9-32配置IP地址和域限制
【真题2012年下半年】
在WindowsServer2003操作系统中,WWW服务包含在(36)。
(36)A、DNSB、DHCPC、FTPD、IIS
【解析】:P399
【参考答案】:(36)D
【真题2012年上半年】
IIS6.0支持的身份验证安全机制有4种验证方法,其中安全级别最高的验证方法是(41)。
(41)A、匿名身份验证B、集成Windows身份验证C、基本身份验证D、摘要式身份验证
【解析】:P403-404
【参考答案】:(41)B
【真题2011年下半年】
下图为web站点的默认网站属性窗口,如果要设置用户对主页文件的读取权限,需要在(29)选项卡中进行配
置。
(29)A、网站B、主目录C、文档D、HTTP头
【解析】:P402如果要设置用户对主页文件的读取权限,需要在【主目录】选项卡中进行配置。
【参考答案】:(29)B
9.3.4配置FTP服务器(11上32-33、11下36、12上30、14上36、14下40、16下49、18上39)
1.添加FTP站点
“开始”-“管理工具”-Internet信息服务(IIS)管理器“,在弹出的窗口右击”网站“,-选择”FTP站
点“。
地址和域限制
3.客户端访问FTP站点
在客户端打开IE浏览器,在地址栏输入FTP服务器的域名,例如FTP://192.168.1.25,则能够访问到FTP站
点。
在客户端还可以使用DOS命令进行文件下载和上传。
(1)在客户端计算机上打开DOS窗口,输入命令ftp192.168.1.25
(2)在弹出的界面中输入用户名anonymous,空码为“空”,连接到FTP服务器。
(3)在FTP提示符下输入“?”,系统会把所有FTP下可以使用的命令显示出来。
dir命令:用来显示FTP服务器端有哪些文件可供下载。如果在FTP服务器端选取UNIX的列表风格显示
FTP服务器端的文件信息,可使用FTP>ls–l命令显示。
get命令:用来从服务器端下载一个文件。
!dir命令:用来显示客户端当前目录中的文件信息。
put命令:用来向FTP服务器端上传一个文件。
lcd命令:用来设置客户端当前的目录。
bye命令:用来退出FTP连接。
FTP用户隔离模式的FTP站点可以在用户登录后直接进入属于该用户的目录中,该用户不能查看或修改其他用
户的目录。
1)创建两个系统用户,如qiang和rong
2)在FTP站点主目录中创建一个名为localuser子文件夹。在这个文件夹下创建跟用户名同名的用户主
目录,还可以创建匿名用户的主目录public。在每个用户目录中创建用于区别的文件(便于测试观察)。
3)修改用户账号对应同名文件夹的安全属性,用户分别对同名文件夹具有“完全控制权限”,为公用文
件夹添加everyone(匿名用户)的权限。
4)创建FTP站点,选择用户隔离模式,或在原FTP站点中设置为用户隔离模式。“将用户局限于以下目
录:用户名目录(禁用全局虚拟目录)“
5)客户端登录测试,若输入用户名和密码不能成功。检查是否启用了”基本身份验证“。
【真题2011年下半年】
配置FTP服务器的属性窗口如下图示,默认情况下“本地路径”文本框中的值为(36)。
(36)A、c:inetpubwwwrootB、c:inetpubftproot
C、c:wmpubliwwwrootD、c:wmpubliftproot
【解析】:P406FTP服务器的系统默认主目录为c:inetpubftproot。
【参考答案】:(36)B
【真题2011年上半年】
FTP客户上传文件时,通过服务器建立的连接是(32),FTP客户端应用进程的端口可以为(33)。
(32)A、建立在TCP之上的控制连接B、建立在TCP之上的数据连接
C、建立在UDP之上的控制连接D、建立在UDP之上的数据连接
(33)A、20B、21C、80D、4155
【解析】:P256,P405-406。
【参考答案】:(32)B,(33)D
9.4LinuxApache服务器的配置
9.4.1Apache的安装与配置
的启动与停止
的配置页面
9.4.2建立基于域名的虚拟主机
所谓虚拟主机服务,是指在一台物理机器上提供多个Web服务。
用Apache设置虚拟主机服务可采用两种方案:基于IP地址的虚拟主机和基于名字的虚拟主机。
9.4.3建立基于IP地址的虚拟主机
基于IP地址的虚拟主机服务实现需要在机器上配置多个IP地址,每个IP地址对应一个虚拟主机。
1、为网卡绑定多个IP地址;2、建立基于IP地址的虚拟主机。
9.4.4Apache中的访问控制
Apache实现身份认证的基本原理是:当系统管理员需要对某个目录设置身份认证,就在要限制的目录中添加
默认名.htaccess的配置文件。当用户访问该路径下的资源时,系统就会弹出一个对话框,要求用户输入“用户名/
口令”。用户输入口令后,传给www服务器。www服务器将验证它的正确性,如果正确,返回页面;否则返回
401错误。
Apache站点默认WEB根目录是/var/www/html(16上35)
9.5DNS服务器的配置
9.5.1DNS服务器基础
1、名字解析服务
域名系统是一种TCP/IP的标准服务,它是一种组织成域层次结构的计算机和网络服务命名系统,负责IP地址
和域名之间的转换。DNS服务允许网络上的客户端注册和解析DNS域名。
主机名:如
NETBIOS名字:用户早期版本的Windows计算机通信。
2、DNS主机名解析(11下37-38,14上37,14下35)
DNS主机名解析的查找是先查找客户端解析程序缓存,如果没有,则向DNS服务器发出解析请求;如果还没
有成功,则尝使用NetBIOS名字解析方法取得结果。
客户端解析程序缓存是内存的一块区域,保存着最近被解析的主机名及其IP地址映像。
Ipconfig/displaydns查看
Ipconfig/flushdns清除
文件hosts存储在:%systemroot%WINDOWSsystem32driversetc,其中包含了可以预加载到解析程序缓
存中的地址映像项目。
3、域名系统(11上68,15下36)
域名系统通过层次结构分布式数据库建立了一致性名字空间,用来定位网络资源。
最项层是根域,用句号“.”表示;
根域下面是顶层域,分为国家顶级域和通用顶级域;
顶级域下面是二级域。二级域下还可以划分子域。
DNS命名标准规定:域名只能使用ASCII字符集的有限子集,包含26个英文字母(不区别大小写)和10个
数字,以及连字符“-”,连字符不能作为域名的第一个和最后一个字符。后来的标准对字符集有所扩展。
4、域名服务器
1)区域:DNS域树的一个连续部分被称为区域。
2)资源记录(11上31、12上37、12下32、13下34、14上51-52、15下35、37、16上32-34、17下
35、37、18上37)★★★★★
SOA:指明区域的主服务器,指明管理员的邮件地址,并给出区域复制的有关信息。
A:表示主机名到IP地址的映像;
PTR:IP地址到主机名的映像;
NS:给出区域的授权服务器;
MX:定义区域的邮件服务器及其优先级;
CNNAME:为正式主机名定义了一个别名。
3)区域类型
主区域:区域信息被存储在一个可写入的文本文件中;
辅助区域:区域信息被存储在一个只读的文件文件中;
存根区域:只包含3种记录:
➢关于一个区域的SOA记录;
➢该区域所有授权服务器的A记录;
➢该区域所有授权服务器的NS记录。
4)域名查询(11上30,13上37,17下34,18上35)
递归查询:当用户发出查询请求时,本地服务器要进行递归查询。这种查询方式要求服务器彻底进行名字解析,
并返回最后的结果。如果查询请求在本地服务器中不能完成,那么服务器就根据它的配置向域名树中的上级服
务器进行查询,在最坏的情况下可能查询到根服务器。
迭代查询:服务器与服务器之间的查询才用迭代查询,发出查询请求的服务器得到的响应可能不是目标IP地
址,而是其他服务器的引用,那么本地服务器就要访问被引用的服务器,做进一步的查询,如此反复多次,每
次都更接近目标授权服务器,直到最后的结果。
5)转发服务器(11上29,13下33,16下34)
DNS服务器收到查询请求后,首先在自己的区域文件中查找,再在高速缓存中查找。如果查不到,可以是因
为该服务器不是请求域的授权服务器,并且以前查询的缓存中没有需要的记录,这时DNS服务器必须向其他服务
器发送请求。
6)区域传输
把一个区域的名字服务器分为主服务器和辅助服务器,可以实现冗余容错的功能,主、辅两个服务器都是该区
域的授权服务器,都提供域名查询服务,这样还可以实现负载分担的功能。主、辅两个服务器必须进行区域传输和
复制,以随时保持区域信息的一致性。
7)DNS通知(14上38)
DNS通知是一种“推进机制”,使得辅助服务器能及时更新区域信息。DNS通知也是一种安全机制,只有被
通知的辅助服务器才能进行区域复制,这样可以防止授权的服务器进行非法的区域复制。
【真题2016年上半年】
DNS反射搜索功能的作用是(32),资源记录MX的作用是(33),DNS资源记录(34)定义了区域的
反射搜索。
(32)A、定义域名服务器的别名B、将IP地址解析为域名
C、定义域邮件服务器地址和优先级D、定义区域的授权服务器
(33)A、定义域名服务器的别名B、将IP地址解析为域名
C、定义域邮件服务器地址和优先级D、定义区域的授权服务器
(34)A、SOAB、NSC、PTRD、MX
【解析】:P415-416
【参考答案】:(32)B(33)C(34)C
【真题2014年上半年】
在进行域名解析过程中,由(37)获取的解析结果耗时最短。
(37)A、主域名服务器B、辅域名服务器C、本地缓存D、转发域名服务器
【解析】:P412、418-421
【参考答案】:(37)C
【真题2015年上半年】
下图是DNS转发器工作的过程,采用迭代查询算法的是(35)。
A、转发器和本地DNS服务器
B、根域名服务器和本地DNS服务器
C、本地DNS服务器和域名服务器
D、根域名服务器和域名服务器
【解析】:P419
【参考答案】:(35)D
【真题2013年下半年】
以下关于DNS服务器的说法中,错误的是(33)。
(33)A、DNS的域名空间是由树状结构组织的分层域名
B、转发域名服务器位于域名树的顶层
C、辅助域名服务器定期从主域名服务器获得更新数据
D、转发服务器负责所有非本地域名的查询
【解析】:P419转发域名服务器负责非本地的域名的解析。
【参考答案】:(33)B
9.5.2WindowsServer2008R2DNS服务器的安装与配置(演示)
1、DNS服务器的安装
2、创建DNS解析区域
3、创建域名
9.5.3LinuxBINDDNS服务器的安装(14下38,15上31)
BIND(BerkeleyInternetNameDomain)是在UNIX/Linux系统上实现的域名解析服务软件包。在RedHat
Linux上使用BIND建立DNS服务器。
BIND最常见的两种用途之一是使用ISP类型的设置,DNS服务器接受并解析来自任何人(或者一组预先定义
的用户)的请求;另一种是Web主机方式,服务器只解析对服务器域名的请求。
1、配置DNS解析器;
2、调整缓存服务器的配置;
3、主服务器的配置;
4、从服务器的配置;
5、DNS的测试(13下38,14上35,15下33-34)
以超级用户权限登录,使用nslookup命令对BINDDNS服务器进行测试。
【真题2014年下半年】
在Linux操作系统中,采用(38)来搭建DNS服务器。
(38)A、SAMBLEB、TomcatC、bindD、apache
【解析】:教程P424
【参考答案】:(38)C
【真题2013年下半年】
在Windows的cmd命令窗口中输入(38)命令可以用来诊断域名系统基础结构的信息和查看DNS服务器
的IP地址。
(38)A、DNSserverB、DNSconfigC、NslookupD、DNSnamed
【解析】:教程P426
nslookup是Windows系统中命令提示符下专用的DNS诊断工具。
【参考答案】:(38)C
9.6DHCP服务器的配置
9.6.1DHCP服务器基础(09上21,10下37,11下30-31,12上28-29,13上36,13下46,14上40,
15上38-40,15下38,16上27、38,16下33、38、40,17下36-37,18上36、38、69)
常见的小型网络中,Ip地址的分配一般都采用静态方式,但在大中型网络中,为每一台计算机分配一个静态
IP地址,这样将会加重网络人员的负担,并且容易导致IP地址分配错误。
因此,在大中型网络中使用DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)服务是
非常有效率的。
DHCP服务的工作过程如下:
当租约期过了一半时(即4天),客户端将和设置它的TCP/IP配置的DHCP服务器更新租约。当租约期过
了87.5%时,如果客户端仍然无法与当初的DHCP服务器联系,它将与其他DHCP服务器通信,如果网络上再没
有任何DHCP服务器在运行时,该客户端必须停止使用该IP地址,并从发送一个dhcpdiscover数据包开始,再
一次重复整个过程。
9.6.2WindowsServer2008R2DHCP服务器的配置(演示)
1、创建DHCP作用域;
2、设置DHCP客户端;
3、备份、还原DHCP服务器配置信息;
4、DHCP服务器的IP地址与MAC地址绑定策略。
【真题2014年下半年】
以下关于DHCP的描述中,正确的是(40)。
(40)A、DHCP客户机不可以跨越网段获取IP地址;
B、DHCP客户机只能收到一个dhcpoffer;
C、DHCP服务器可以把一个IP地址同时租借给两个网络的不同主机;
D、DHCP服务器中可自行设定租约期。
【解析】:P427
借助DHCP中继代理,DHCP客户机可以从外网网段获取IP地址;DHCP不会同时租借相同的IP地址给两台
主机;默认情况下DHCP分配的IP地址租约期为8天,但是租约期限可以自行设定;DHCP客户机可以收到多个
DHCPoffer,通常从中选择最先到达的作为本机的IP地址。
【参考答案】:(40)D
【真题2012年上半年】
采用DHCP分配IP地址无法做到(28),当客户机发送dhcpdiscover报文时采用(29)方式发送。
(28)A、合理分配IP地址资源B、减少网管员工作量
C、减少IP地址分配出错可能D、提高域名解析速度
(29)A、广播B、任意播C、组播D、单播
【解析】:P427
【参考答案】:(28)D(29)A
【真题2014年上半年】
DHCP客户端启动时会向网络发一个DHCPdiscover包来请求IP地址,其源IP地址为(30)。
(30)A、192.168.0.1B、0.0.0.0C、255.255.255.0D、255.255.255.255
【解析】:P427
当DHCP客户端第一次登录网络时,它会向网络发出一个Dhcpdiscover包。因为客户端还不知道自己属于
哪一个网络,所以包的源地址为0.0.0.0,而目的地址为255.255.255.255,然后再附上Dhcpdiscover的信息,
向网络进行广播。
【参考答案】:(30)B
9.6.3LinuxDHCP服务器的配置(下午案例)
Linux下默认安装DHCP服务的配置文件为/etc/,dhcp配置通常包括三部分:parameters,
declarations,option。
(1)parameters:用于说明dhcp服务工作的网络配置参数:
(2)declarations:用来描述网络布局、提供dhcp客户的IP地址分配策略等信息:
(3)option(选项):用来配置DHCP可选参数,全部用option关键字作为开始:
9.7电子邮件服务器的配置(10上37,11下35,13下36-37,13下61-62、14下36-37,15下39-40)
电子邮件系统中有两个至关重要的服务器:SMTP(发送)服务器和POP3(收件)服务器。平时在发送邮件时,
其实只是把邮件发送到发件服务器上,而服务器使用一种叫做“存储转发”的技术,把它收到的电子邮件排队,依
次发次到收件服务器上,而邮件就一直存储在收件服务器上,直到收件人收集或直接删除。
9.7.1电子邮件服务器的安装;
9.7.2邮箱存储位置的设置;
9.7.3域管理;
9.7.4邮箱管理。
【真题2014年下半年】
某公司域名,其POP服务器域名为,SMTP服务的域名为,配置foxmail
邮件客户端时,发送邮件服务器栏应填写(36),接收邮件服务器栏就填写(37)。
(36)A、、、、
(37)A、、、、
【解析】:教程P433-436
【参考答案】:(36)B,(37)A
【真题2013年下半年】
POP协议采用(61)模式进行通信,当客户机需要服务时,客户端软件与POP3服务器建立(62)连接。
(61)A、BrowserB、Client/ServerC、PeertopeerD、peertoServer
(62)A、TCPB、UDPC、PHPD、IP
【解析】:P257,P433
POP3协议采用C/S模式进行通信,当客户机需要服务时,客户端软件与POP3服务器建立TCP连接,端口号是
110。
【参考答案】:(61)B、(62)A
9.8Samba服务器的配置
9.8.1Samba协议基础
20世纪80年代早期,IBM和Sytec合作开发了一套用于网路通信接口调用的NetBIOS协议。
Microsoft实现了一个基于NetBIOS协议的共享网络文件/打印服务系统,Microsoft称之为SMB(Server
MessageBlock)通信协议。
随着网络应用技术的发展和Internet的流行,Microsoft为了使SMB协议得到更广泛的应用,就将SMB协
议进行了整理,重新命名为CIFS(CommonInternetFileSystem),使其成为网络和Internet上计算机之间相互
共享数据的一个标准协议。它可以为网络内部的其他Windows和Linux机器提供文件系统、打印服务或其他一些
信息服务。
9.8.2Samba主要功能
为了实现网络中广大的基于Windows系统的客户端与越来越多的基于Linux系统的服务器之间的计算机系
统集成和数据共享,一个有效的办法就是在Linux系统中安装支持SMB/CIFS协议的软件,这样Windows客户端
就不需要更改设置,就能同使用Windows服务器一样地使用Linux系统上的资源了,Samba就是用来实现SMB
的一种软件。
具体来说,Samba主要有以下功能:
(1)Samba服务器向Linux或Windows系统客户端提供Windows风格的文件和打印机共享服务,实现安装
在Samba服务器上的打印机和文件系统的共享。
(2)支持WINS名字服务器解析及浏览;
(3)提供SMB客户功能。利用Samba提供的SMBClient程序可以从Liniux下以类似于FTP的方式访问Windows
的资源;
(4)备份PC上的资源。利用一个叫Smbtar的shell脚本,可以使用tar格式备份和恢复一台远程Windows上
的共享文件;
(5)支持Windows域控制器和Windows成员服务器对使用Samba资源的用户进行认证;
(6)支持安全套接层协议。
9.8.3Samba的简单配置:
9.9WindowsServer2003安全策略
1、本地安全策略:
本地安全策略可用来直接修改本地计算机的账户策略、本地策略、公钥策略和IPsec策略,通过本地安全策略
可以控制以下几项:
访问计算机的用户;
授权使用使用计算机上的资源;
是否在事件日志中记录用户或组的操作。
1)账户策略:
密码策略、
账户锁定策略、
Kerberos策略
2)本地策略:
审核策略、
用户权利指派、
安全选项
3)公钥策略:使用公钥策略设置可以做到以下几点:
让计算机自动向企业证书派发机构提交证书申请并安装合法的证书;
创建和分发证书信任列表CTL;
建议常见的受信任的根证书颁发机构;
添加加密数据恢复代理。
4)IPsec策略:
2、组策略
组策略设置定义了系统管理员需要管理用户桌面环境的多种组件,例如,用户可用的程序,用户桌面上出现的
程序以及“开始”菜单选项。
组策略包括影响用户的“用户配置”策略设置和影响计算机的“计算机配置”策略设置。WindowsServer
2008提供了本地组策略编辑器
9.9.2账户密码策略设置
密码策略作用于域账户或本地账户,主要包含以下几个方面:
强制密码历史;
密码最长存留期;
密码最短存留期;
密码长度最小值;
必须符合复杂性要求;
为域中的所有用户可还原的加密来存储密码。
一、“本地安全设置”中启用了“密码必须符合复杂性要求“功能启用该策略则密码必须符合以下最低要求:
(1)不得明显包含用户账户名或用户全名的一部分;
(2)长度至少为六个字符;
(3)包含来自以下四个类别中的三个字符:
①英文大写字母(从A到Z);
②英文小写字母(从a到z);
③10个基本数字(从0到9);
④非字母字符(例如!、¥、#、%)。
二、最短密码长度:此安全设置确定用户密码包含的最少字符数。
三、密码最短使用期限:此安全设置在用户更改某个密码之前,必须使用该密码一段时间(以天为单位)。将天
数设置为0,允许立即更改密码。
四、密码最长使用期限:此安全设置确定在系统要求用户更改某个密码之前,可以使用该密码的期限(以天为
单位)。将天数设置为0,指定密码永不过期。
五、强制密码历史:此安全设置确定再次使用某个旧密码之前,必须与某个用户帐户关联的唯一新密码数。
六、用可还原的加密来存储密码:此安全设置确定操作系统是否使用可还原的加密来储存密码。
9.9.3Ipsec策略设置
1、创建IPSEC策略:
2、创建筛选器列表:
3、配置隧道规则:
4、进行策略指派:
9.9.4WEB站点数字证书
Web站点数字证书使用包括申请数字证书、下载证书、安装证书3步:
1、添加CA证书服务:
图9-62选择服务器角色图9-63选择角色服务
图9-64选择安装类型图9-65选择CA类型
2、在WEB站点上配置CA证书
图9-68IIS功能视图图9-69创建证书申请
IIS服务器此时还不信任颁发证书的CA服务器。解决办法是将CA服务器添加到IIS服务器计算机“受信任的
根证书颁发机构”,“下载Ca证书、证书链或CRL”。然后双击安装。安装过程中把证书导入“受信任的根证书颁
发机构”中,注意勾选显示物理存储区,选择“本地计算机”如下图:
可以直接打开证书管理器来管理证书。
为了实验方便,可以关闭IE的增强的安全管理配置,可以在“服务器管理器”-“配置IEESC”,管理员和用户都
禁用。
图9-70配置证书保存文件图9-71申请证书
图9-72高级证书申请图9-73提交证书申请
图9-74BASE64编码证书申请图9-75提交证书申请
在IE浏览器地址栏中输入certificateservercomputerName/certsrv,可打开【欢迎】页面。其中,
certificateservercomputerName是安装了证书服务器的计算机名称。
3、配置HTTPS
图CA颁发证书图9-76Web站点下载证书
图9-78绑定HTTPS图9-79SSL设置
“要求SSL”选项,如果没有选中,则用户可以通过HTTPS,也可以通过Http来访问;如果“要求SSL”被
选中,则用户必须通过HTTPS访问。
“忽略”,则服务器不会去检查是否有客户证书。
“接受”,如果客户有证书,会自动跳出,让客户选择,如果没有,则正常转入原来的页面。
图9-80HTTPS测试页面