1、實驗二:集中控制式網(wǎng)絡(luò)平臺的搭建一 實驗?zāi)康募皩嶒瀮?nèi)容 (1二 實驗原理 (11.域、域控制器、活動目錄 (12.域控制器、成員服務(wù)器和獨立服務(wù)器 (13.軟件配置參數(shù) (14.活動目錄工具 (25.計算機加入域 (36.使用IIS架設(shè)FTP服務(wù)器 (4三 實驗器材 (4四 實驗要求 (51.實驗步驟要求 (52.實驗結(jié)果要求 (5五 實驗步驟 (51. 基本工作 (52. 域控制器配置 (53. 服務(wù)器安全配置 (5(1 配置web服務(wù)器 (5(2 配置Ftp服務(wù)器 (6(3 設(shè)置共享目錄 (6(4 關(guān)閉無需啟動的默認(rèn)服務(wù) (7(5 屏蔽不必要的協(xié)議 (74. 測試 (7六 實驗結(jié)果 (71

2、. 活動目錄的啟用 (72. 測試Web連通性 (83. 測試FTP的連通性 (84. 測試域連通性 (95. 測試文件共享 (9七 實驗思考題 (10八 實驗小結(jié) (13一實驗?zāi)康募皩嶒瀮?nèi)容1. 理解域控制器、成員服務(wù)器和獨立服務(wù)器的概念,掌握C/S結(jié)構(gòu)的網(wǎng)絡(luò)組方法;2. 熟練掌握windows2000的服務(wù)器和客戶端的安裝以及域服務(wù)器管理平臺的搭建;3. 掌握windows2000域控制器中與計算機賬戶的設(shè)置和使用;4. 掌握windows2000系統(tǒng)服務(wù)器安全、穩(wěn)定運行的基本配置方法;5. 掌握網(wǎng)絡(luò)資源的分配管理方法。二實驗原理1. 域、域控制器、活動目錄域的作用:如果資源分布在多臺服務(wù)

3、器上,要在每臺服務(wù)器分別為每一員工建立一個賬戶(共M*N,用戶則需要在每臺服務(wù)器上(共M臺登錄。服務(wù)器和用戶的計算機都在同一個域中,用戶在域中只要擁有一個賬號。用戶只需要在域中擁有一個域賬戶,只需要在域中登錄一次就可以訪問域中的資源。域控制器:用戶信息存放在域中的域控制器(DC,Domain Controller上。活動目錄:域控制器上存放有域中所有用戶、組、計算機等信息。域控制器就把這些信息存放在活動目錄中,活動目錄實際上就是一個特殊的數(shù)據(jù)庫。 2. 域控制器、成員服務(wù)器和獨立服務(wù)器Windows2000服務(wù)器在域中可以有三種角色:域控制器、成員服務(wù)器和獨立服務(wù)器。當(dāng)windows2000服

4、務(wù)器安裝了活動目錄,服務(wù)器就成為了域控制器,域控制器可以對用戶的登錄等進(jìn)行驗證。Windows2000 服務(wù)器可以僅僅加入到域中,而不安裝活動目錄,這時服務(wù)器的主要目的是為了提供網(wǎng)絡(luò)資源,服務(wù)器稱為成員服務(wù)器。獨立服務(wù)器和域沒有什么關(guān)系,當(dāng)服務(wù)器不加入到域中也不安裝活動目錄,服務(wù)器就稱為獨立服務(wù)器。 服務(wù)器角色的轉(zhuǎn)換3. 軟件配置參數(shù)計算機配置參數(shù)IP 用戶參數(shù)預(yù)覽域用戶Administrator zclxl_0 chenzhiqiong group8a zclxl_1 liuhaiyan group8b zclxl_2 本地用戶Client1Administrator 0_zclxl xie

5、yingli 1_zclxl Client2 Administrator 3_zclxl leie 2_zclxl 4. 活動目錄工具從上圖看出工具主要包括:Active Directory 用戶和計算機(簡稱ADUC:主要的管理工具,用戶統(tǒng)一域中用戶組計算機共享打印機。Active Directory 域和信任關(guān)系:主要用于多域之間的資源訪問。Active Directory 站點和服務(wù):主要用于多域之間組策略管理器,重要的管理用戶工具。5. 計算機加入域域控部署完成后,把網(wǎng)絡(luò)計算機加入到域中,讓整個網(wǎng)絡(luò)都受域的控制。把client1加入域中,client2的加入方法相同。(1 設(shè)置網(wǎng)絡(luò)把客

6、戶機client1的DNS指向網(wǎng)絡(luò)中的DNS服務(wù)器(即域控服務(wù)器,我們在安裝域控的時候把DNS部署到了域控服務(wù)器上 (2 把客戶機加入域a. 右擊我的電腦,選擇屬性-網(wǎng)絡(luò)標(biāo)識,點擊屬性。 b. 點擊隸屬于域,輸入域名。 c. 點擊確定,提示輸入用戶名和密碼。d. 輸入域中管理員Administrator和密碼zclxl_0(注意必須是域控的賬戶,或者在活動目錄用戶計算機創(chuàng)建的用戶也可以。完成后點擊確定,提示加入域成功。e. 重啟完成后計算機,選擇登陸到zn域中,輸入域用戶和密碼,就能登陸到域中。6.使用IIS架設(shè)FTP服務(wù)器(1安裝IIS的FTP服務(wù)Windows 2000默認(rèn)狀態(tài)是不安裝FT

7、P服務(wù)的, 需要手動添加安裝, 安裝過程如下:a.進(jìn)入控制面板, 找到“添加/刪除程序”, 打開選擇“添加/刪除Windows組件”。b. 在彈出的“Windows組件向?qū)А苯缑嬷? 在“組件”列表中選擇“Internet 信息服務(wù)(IIS”項, 單擊“詳細(xì)信息”按鈕, 顯示有關(guān)Internet信息服務(wù)的所有子組件。c. 構(gòu)選“文件傳輸協(xié)議(FTP服務(wù)”復(fù)選框, 單擊“確定”, 并根據(jù)提示插入系統(tǒng)安裝盤。FTP服務(wù)器安裝完畢。FTP服務(wù)器的標(biāo)識為"默認(rèn)FTP站點", 主目錄的文件夾為“C:InterpubFtproot”, IP地址為“全部為分配”。(2FTP服務(wù)器的設(shè)置電

8、腦重啟后, FTP服務(wù)就開始運行, 但是還要進(jìn)行一些設(shè)置. 開始->所有程序->管理工具->Internet信息服務(wù), 進(jìn)入后, 用鼠標(biāo)右鍵單擊"默認(rèn)FTP站點", 在彈出的菜單中選"屬性", 這里我們可以設(shè)置FTP服務(wù)器的名稱、IP、端口、訪問帳號、FTP目錄未知、用戶進(jìn)入FTP時接受的消息等。三實驗器材1.聯(lián)想開天4600主機三臺2.五類UTP網(wǎng)線3.壓線鉗、Hub、水晶頭、Windows2000 Server和Professional OS、驅(qū)動程序、集線器或交換機多組共用四實驗要求1. 實驗步驟要求(1各實驗組用網(wǎng)線把計算機與集

9、線器(或交換機連接起來。(2分別安裝好一臺windows2000 server服務(wù)器和二臺windows2000客戶機。(3安裝過程中,輸入預(yù)先規(guī)劃好的計算機名、系統(tǒng)管理員密碼、TCP/IP屬性設(shè)置等信息。(4驗證計算機間網(wǎng)絡(luò)的連通狀態(tài),確保三臺機器之間網(wǎng)絡(luò)暢通無阻。(5待計算機重新啟動時以系統(tǒng)管理員身份登錄,按方案配置好域控制器。(6在域控制器上新建Active Directory用戶和計算機賬戶。(7分別把二臺客戶機加入到設(shè)置好的域中,能夠通過域控制器管理整個網(wǎng)絡(luò)的資源。2. 實驗結(jié)果要求(1域控制器能管理登錄到域中的二臺客戶機的網(wǎng)絡(luò)資源。(2使用多種方法驗證網(wǎng)絡(luò)的連接情況并保存實驗結(jié)果,

10、把實驗結(jié)果附在實驗報告中。五實驗步驟1.基本工作(1 用網(wǎng)線把計算機與交換機連接起來,交換機燈顯示綠色恒亮為正常;(2 安裝好一臺windows 2000 server服務(wù)器和兩臺windows 2000客戶機,具體安裝步驟見實驗二預(yù)習(xí)報告,注意安裝過程中輸入預(yù)先規(guī)劃好的計算機名、系統(tǒng)管理員密碼、TCP/IP屬性設(shè)置等信息;(3 裝好系統(tǒng)后,驗證計算機間網(wǎng)絡(luò)的連通狀態(tài),確保三臺計算機之間網(wǎng)絡(luò)暢通無阻;2.域控制器配置(1 安裝活動目錄,詳細(xì)安裝步驟見預(yù)習(xí)報告;(2 新建Active Directory用戶和計算機賬戶;(3 分別把兩臺客戶機加入到設(shè)置好的域中;3.服務(wù)器安全配置(1配置web服

11、務(wù)器在控制面板管理工具Internet信息服務(wù)中配置默認(rèn)Web站點相關(guān)信息,如下圖所示 (2配置Ftp服務(wù)器在控制面板管理工具Internet信息服務(wù)中配置默認(rèn)Ftp站點相關(guān)信息,如下圖所示 (3設(shè)置共享目錄用戶共享權(quán)限在目錄屬性的“共享”選項卡中設(shè)置,而本地使用權(quán)限在目錄屬性的“安全”選項卡中設(shè)置。一般情況下,將共享權(quán)限設(shè)置為“完全控制”,不限制用戶對共享目錄的訪問,而對共享目錄中的子目錄與文件要設(shè)置本地訪問權(quán)限,以限制某些用戶對子目錄與文件的訪問權(quán)限。(4關(guān)閉無需啟動的默認(rèn)服務(wù)系統(tǒng)在運行后,自動啟動了許多有安全隱患的服務(wù),如:Telnet services、DHCP Client、DNS

12、Client、Print spooler、Remote Registry services、SNMP Services 、Terminal Services 等,這些服務(wù)在實際工作中如不需要,可以禁用。(5屏蔽不必要的協(xié)議對于服務(wù)器和主機來說,一般只安裝TCP/IP協(xié)議就夠了。在網(wǎng)上鄰居屬性本地連接屬性,卸載不必要的協(xié)議。NETBIOS是很多安全缺陷的源泉,對于不需要提供文件和打印共享的主機,還可以將綁定在TCP/IP協(xié)議的NETBIOS給關(guān)閉,避免針對NETBIOS的攻擊。選擇TCP/IP協(xié)議屬性高級,選擇“WINS”標(biāo)簽,勾選“禁用TCP/IP上的NETBIOS”一項,關(guān)閉NETBIOS。

13、4.測試對上述配置進(jìn)行檢查,查看配置是否成功,主要包括如下方面(1檢查活動目錄安裝成功與否查看兩臺客戶機是否成功添加到域中(2Web測試查看在客戶機中是否能訪問到服務(wù)器中預(yù)先設(shè)置的默認(rèn)主頁(3Ftp測試查看在客戶機上是否能從服務(wù)器上成功上傳下載文件(4域連通性測試使用Ping命令對域連通性進(jìn)行檢測,看是否能Ping通域名(5文件共享測試在客戶機上查看服務(wù)器上設(shè)置的共享文件,看是否能成功看到,若能,在服務(wù)器上更改客戶機的權(quán)限,再次查看是否能成功看到六實驗結(jié)果1.活動目錄的啟用 2. 測試Web 連通性 3. 測試FTP 的連通性(1 使用管理員用戶登錄時測試FTP: (2 使用group8a登錄

14、時測試FTP 4.測試域連通性 5.測試文件共享(1 共享文件:(client中能看到server共享的網(wǎng)絡(luò)資源 (2 當(dāng)改變server中client的權(quán)限時,client不能訪問server中網(wǎng)絡(luò)資源: 七 實驗思考題1. 對等網(wǎng)絡(luò)和C/S結(jié)構(gòu)的網(wǎng)絡(luò)各有什么特點和適用的場合?答:對等網(wǎng)絡(luò)又稱工作組,網(wǎng)上各臺計算機有相同的功能,無主從之分,任一臺計算機都是即可作為服務(wù)器,設(shè)定共享資源供網(wǎng)絡(luò)中其他計算機所使用,又可以作為工作站,沒有專用的服務(wù)器,也沒有專用的工作站。對等網(wǎng)絡(luò)是小型局域網(wǎng)常用的組網(wǎng)方式。對等網(wǎng)主要有如下特點:(1 網(wǎng)絡(luò)用戶較少,一般在20臺計算機以內(nèi),適合人員少,應(yīng)用網(wǎng)絡(luò)較多的中

15、小企業(yè)。(2 網(wǎng)絡(luò)用戶都處于同一區(qū)域中。(3 對于網(wǎng)絡(luò)來說,網(wǎng)絡(luò)安全不是最重要的問題。C/S 結(jié)構(gòu),即客戶機和服務(wù)器結(jié)構(gòu)。它是軟件系統(tǒng)體系結(jié)構(gòu),通過它可以充分利用兩端硬件環(huán)境的優(yōu)勢,將任務(wù)合理分配到Client端和Server端來實現(xiàn),降低了系統(tǒng)的通訊開銷。服務(wù)器通常采用高性能的PC、工作站或小型機,并采用大型數(shù)據(jù)庫系統(tǒng),如ORACLE、SYBASE、InfORMix或 SQL Server。客戶端需要安裝專用的客戶端軟件。C/S結(jié)構(gòu)有如下特點:交互性強、更安全的存取模式、利于處理大量數(shù)據(jù)、響應(yīng)速度快、操作界面漂亮,形式多樣,可以充分滿足客戶自身的個性化要求、缺少通用性,業(yè)務(wù)的變更,需要重新設(shè)

16、計和開發(fā),增加了維護和管理的難度,進(jìn)一步的業(yè)務(wù)拓展困難較多。對等網(wǎng)適用于在一個建筑物內(nèi)或不大的區(qū)域內(nèi)有多個定點或移動點要接入一個局域網(wǎng)的情況;C/S結(jié)構(gòu)適用于關(guān)鍵業(yè)務(wù)的快速操作、網(wǎng)速較快的網(wǎng)絡(luò)環(huán)境如:局域網(wǎng)。2. FAT、FAT32和NTFS三種文件系統(tǒng)各有什么特點和相互轉(zhuǎn)換的方法?答:文件分配表(FAT:一種供MS-DOS及其它Windows操作系統(tǒng)對文件進(jìn)行組織與管理的文件系統(tǒng)。文件分配表(FAT是當(dāng)您使用FAT或FAT32文件系統(tǒng)對特定卷進(jìn)行格式化時,由Windows所創(chuàng)建的一種數(shù)據(jù)結(jié)構(gòu)。Windows將與文件相關(guān)的信息存儲在FAT中,以供日后獲取文件時使用。FAT32 :一種從文件分配

17、表(FAT文件系統(tǒng)派生而來的文件系統(tǒng)。與FAT 相比,FAT32能夠支持更小的簇以及更大的容量,從而能夠在FAT32卷上更為高效的分配磁盤空間。NTFS文件系統(tǒng) :一種能夠提供各種FAT版本所不具備的性能、安全性、可靠性與先進(jìn)特性的高級文件系統(tǒng)。(1FAT主要具有以下特點:在于文件分配表(FAT,這是一個真正的表,位于位于卷的最“頂端”;最大支持2GB大小的分區(qū),只支持8.3格式的文件名,沒有對文件或目錄的安全保護性等功能,但FAT文件系統(tǒng)是目前大多數(shù)常用操作系統(tǒng)都支持的文件系統(tǒng)(如:Windows 2000/XP/2003、UNIX等。(2FAT32主要具有以下特點:a. 可以支持的磁盤大小

18、達(dá)到2TB(2047GB,但是不能支持小于512MB的分區(qū)。b. 基于FAT32的Win 2000可以支持分區(qū)最大為32GB;而基于 FAT16的Win 2000支持的分區(qū)最大為4GB。c. 由于采用了更小的簇,FAT32文件系統(tǒng)可以更有效率地保存信息。d. 可以重新定位根目錄和使用FAT的備份副本。另外FAT32分區(qū)的啟動記錄被包含在一個含有關(guān)鍵數(shù)據(jù)的結(jié)構(gòu)中,減少了計算機系統(tǒng)崩潰的可能性。(3NTFS主要具有以下特點:a. 通過NTFS許可保護網(wǎng)絡(luò)資源:在WindowsNT下,網(wǎng)絡(luò)資源的本地安全性是通過NTFS許可權(quán)限來實現(xiàn)的。在一個格式化為NTFS的分區(qū)上,每個文件或者文件夾都可以單獨的分

19、配一個許可,這個許可使得這些資源具備更高級別的安全性,用戶無論是在本機還是通過遠(yuǎn)程網(wǎng)絡(luò)訪問設(shè)有NTFS許可的資源,都必須具備訪問這些資源的權(quán)限。b. 使用NTFS對單個文件和文件夾進(jìn)行壓縮:NTFS支持對單個文件或者目錄的壓縮。這種壓縮不同于FAT結(jié)構(gòu)中,對驅(qū)動器卷的壓縮,其可控性和速度都要比FAT的磁盤壓縮要好的多。(4三種文件系統(tǒng)互換方法如下:a. 點擊桌面左下角的"開始",選擇"運行",在彈出的"運行"窗口中輸入cmd后單擊'確定'按鈕;b. 以D盤為例,假設(shè)需要轉(zhuǎn)換格式的磁盤分區(qū)為D盤,在出現(xiàn)的命令行窗口中輸入

20、convert d:/fs:ntfs后回車;c. 按照系統(tǒng)提示,輸入該磁盤的卷標(biāo)后回車;d. 系統(tǒng)進(jìn)行文件系統(tǒng)的轉(zhuǎn)換。轉(zhuǎn)換過程會持續(xù)一段時間,請耐心等待;e. 當(dāng)系統(tǒng)顯示"轉(zhuǎn)換完成"提示信息后,轉(zhuǎn)換完成。此時即可點擊此窗口的右上角的"×",關(guān)閉此窗口,返回Windows界面3. 客戶機出現(xiàn)不能加入域的情況時,如何制定排查策略?答:客戶機不能加入域的解決方法有以下幾種:(1解決辦法一:a. 將客戶機的第一DNS設(shè)為AD的IP,一般DNS都時和AD集成安裝的,清空緩存并重新注冊ipconfig /flushdns 清空DNSipconfig /re

21、gisterdns 重新申請DNSb. 關(guān)閉客戶端防火墻c. 只留IP為AD的第一DNS,第二DNS設(shè)為空d. 在AD服務(wù)器的DNS建立客戶機的SRV記錄e. 啟動DNS和TCP/IP NetBIOS Helper Service服務(wù)f. 更改主機名并在服務(wù)器上刪除已經(jīng)存在的DNS記錄,重啟g. 域中的客戶機的系統(tǒng)時間必須同步或慢于DC服務(wù)器的系統(tǒng)時間1分鐘(不得超過10分鐘(2解決辦法二:a. 您無法用NetBois域名加入域。b. 組策略無法正常應(yīng)用。c. 無法打開網(wǎng)上領(lǐng)居和訪問共享文件。這個問題有可能是Wins服務(wù)器沒有正確配置或TCP/IP NetBIOS沒有啟動造成的。可以做如下的檢

22、查:建議一:如果您的域中有Wins服務(wù)器,請檢查客戶機的Wins配置看是不是指向Wins服務(wù)器。另外,請打開Wins服務(wù)器,看記錄正確注冊。建議二:如果 TCP/IP NetBIOS Helper Service(TCP/IP NetBIOS 支持服務(wù)沒有在客戶端計算機上運行,可能會出現(xiàn)此問題。要解決此問題,請啟動 TCP/IP NetBIOS 支持服務(wù)。要啟動 NetBIOS 支持服務(wù),請按照下列步驟操作:a. 使用具有管理員權(quán)限的帳戶登錄到客戶機。b. 單擊“開始”,單擊“運行”,在“打開”框中鍵入 services.msc,然后單擊“確定”。c. 在服務(wù)列表中,雙擊“TCP/IP Net

23、BIOS Helper Service”。您看到的文章來自活動目錄seod. 在“啟動類型”列表中,單擊“自動”,然后單擊“應(yīng)用”。e. 在“服務(wù)狀態(tài)”下,單擊“啟動”以啟動 TCP/IP NetBIOS 支持服務(wù)。f. 當(dāng)該服務(wù)啟動后,請單擊“確定”,然后退出“服務(wù)”管理單元。建議三:請檢查是否安裝了客戶機上安裝了“Microsoft網(wǎng)絡(luò)的文件和打印機共享”a. 點擊“開始菜單控制面板網(wǎng)絡(luò)連接”。b. 在所出現(xiàn)窗口中的局域網(wǎng)連接(如“本地連接”右鍵選擇“屬性。c. 勾選常規(guī)標(biāo)簽下的“Microsoft網(wǎng)絡(luò)的文件和打印機共享”項。(3解決辦法三:修改本機的host文件,在里面增加一行域控制器名

24、稱與其IP 地址的對應(yīng)關(guān)系即可。(4解決辦法四:更改客戶機計算機名。4. 域和域名是一個概念嗎?答:不是一個概念。“域”是一個相對嚴(yán)格的組織,“域”指的是服務(wù)器控制網(wǎng)絡(luò)上的計算機能否加入的計算機組合;域?qū)嶋H上就是一組服務(wù)器和工作站的集合。“域名”是企業(yè)、政府、非政府組織等機構(gòu)或者個人在域名注冊商上注冊的名稱,是互聯(lián)網(wǎng)上企業(yè)或機構(gòu)間相互聯(lián)絡(luò)的網(wǎng)絡(luò)地址。5. 本次實驗可以采用DHCP的方法來完成,如何配置呢,嘗試一下,它的優(yōu)點在什么地方,更適用在什么場合?答:(1DHCP代表動態(tài)主機配置協(xié)議。DHCP是允許無盤工作站連接到網(wǎng)絡(luò)并且自動獲取一個IP地址的BOOTP協(xié)議的一個擴展。DHCP可以向每一個網(wǎng)絡(luò)