1、實驗二:集中控制式網絡平臺的搭建一 實驗目的及實驗內容 (1二 實驗原理 (11.域、域控制器、活動目錄 (12.域控制器、成員服務器和獨立服務器 (13.軟件配置參數 (14.活動目錄工具 (25.計算機加入域 (36.使用IIS架設FTP服務器 (4三 實驗器材 (4四 實驗要求 (51.實驗步驟要求 (52.實驗結果要求 (5五 實驗步驟 (51. 基本工作 (52. 域控制器配置 (53. 服務器安全配置 (5(1 配置web服務器 (5(2 配置Ftp服務器 (6(3 設置共享目錄 (6(4 關閉無需啟動的默認服務 (7(5 屏蔽不必要的協議 (74. 測試 (7六 實驗結果 (71

2、. 活動目錄的啟用 (72. 測試Web連通性 (83. 測試FTP的連通性 (84. 測試域連通性 (95. 測試文件共享 (9七 實驗思考題 (10八 實驗小結 (13一實驗目的及實驗內容1. 理解域控制器、成員服務器和獨立服務器的概念,掌握C/S結構的網絡組方法;2. 熟練掌握windows2000的服務器和客戶端的安裝以及域服務器管理平臺的搭建;3. 掌握windows2000域控制器中與計算機賬戶的設置和使用;4. 掌握windows2000系統服務器安全、穩定運行的基本配置方法;5. 掌握網絡資源的分配管理方法。二實驗原理1. 域、域控制器、活動目錄域的作用:如果資源分布在多臺服務

3、器上,要在每臺服務器分別為每一員工建立一個賬戶(共M*N,用戶則需要在每臺服務器上(共M臺登錄。服務器和用戶的計算機都在同一個域中,用戶在域中只要擁有一個賬號。用戶只需要在域中擁有一個域賬戶,只需要在域中登錄一次就可以訪問域中的資源。域控制器:用戶信息存放在域中的域控制器(DC,Domain Controller上?；顒幽夸?域控制器上存放有域中所有用戶、組、計算機等信息。域控制器就把這些信息存放在活動目錄中,活動目錄實際上就是一個特殊的數據庫。 2. 域控制器、成員服務器和獨立服務器Windows2000服務器在域中可以有三種角色:域控制器、成員服務器和獨立服務器。當windows2000服

4、務器安裝了活動目錄,服務器就成為了域控制器,域控制器可以對用戶的登錄等進行驗證。Windows2000 服務器可以僅僅加入到域中,而不安裝活動目錄,這時服務器的主要目的是為了提供網絡資源,服務器稱為成員服務器。獨立服務器和域沒有什么關系,當服務器不加入到域中也不安裝活動目錄,服務器就稱為獨立服務器。 服務器角色的轉換3. 軟件配置參數計算機配置參數IP 用戶參數預覽域用戶Administrator zclxl_0 chenzhiqiong group8a zclxl_1 liuhaiyan group8b zclxl_2 本地用戶Client1Administrator 0_zclxl xie

5、yingli 1_zclxl Client2 Administrator 3_zclxl leie 2_zclxl 4. 活動目錄工具從上圖看出工具主要包括:Active Directory 用戶和計算機(簡稱ADUC:主要的管理工具,用戶統一域中用戶組計算機共享打印機。Active Directory 域和信任關系:主要用于多域之間的資源訪問。Active Directory 站點和服務:主要用于多域之間組策略管理器,重要的管理用戶工具。5. 計算機加入域域控部署完成后,把網絡計算機加入到域中,讓整個網絡都受域的控制。把client1加入域中,client2的加入方法相同。(1 設置網絡把客

6、戶機client1的DNS指向網絡中的DNS服務器(即域控服務器,我們在安裝域控的時候把DNS部署到了域控服務器上 (2 把客戶機加入域a. 右擊我的電腦,選擇屬性-網絡標識,點擊屬性。 b. 點擊隸屬于域,輸入域名。 c. 點擊確定,提示輸入用戶名和密碼。d. 輸入域中管理員Administrator和密碼zclxl_0(注意必須是域控的賬戶,或者在活動目錄用戶計算機創建的用戶也可以。完成后點擊確定,提示加入域成功。e. 重啟完成后計算機,選擇登陸到zn域中,輸入域用戶和密碼,就能登陸到域中。6.使用IIS架設FTP服務器(1安裝IIS的FTP服務Windows 2000默認狀態是不安裝FT

7、P服務的, 需要手動添加安裝, 安裝過程如下:a.進入控制面板, 找到“添加/刪除程序”, 打開選擇“添加/刪除Windows組件”。b. 在彈出的“Windows組件向導”界面中, 在“組件”列表中選擇“Internet 信息服務(IIS”項, 單擊“詳細信息”按鈕, 顯示有關Internet信息服務的所有子組件。c. 構選“文件傳輸協議(FTP服務”復選框, 單擊“確定”, 并根據提示插入系統安裝盤。FTP服務器安裝完畢。FTP服務器的標識為"默認FTP站點", 主目錄的文件夾為“C:InterpubFtproot”, IP地址為“全部為分配”。(2FTP服務器的設置電

8、腦重啟后, FTP服務就開始運行, 但是還要進行一些設置. 開始->所有程序->管理工具->Internet信息服務, 進入后, 用鼠標右鍵單擊"默認FTP站點", 在彈出的菜單中選"屬性", 這里我們可以設置FTP服務器的名稱、IP、端口、訪問帳號、FTP目錄未知、用戶進入FTP時接受的消息等。三實驗器材1.聯想開天4600主機三臺2.五類UTP網線3.壓線鉗、Hub、水晶頭、Windows2000 Server和Professional OS、驅動程序、集線器或交換機多組共用四實驗要求1. 實驗步驟要求(1各實驗組用網線把計算機與集

9、線器(或交換機連接起來。(2分別安裝好一臺windows2000 server服務器和二臺windows2000客戶機。(3安裝過程中,輸入預先規劃好的計算機名、系統管理員密碼、TCP/IP屬性設置等信息。(4驗證計算機間網絡的連通狀態,確保三臺機器之間網絡暢通無阻。(5待計算機重新啟動時以系統管理員身份登錄,按方案配置好域控制器。(6在域控制器上新建Active Directory用戶和計算機賬戶。(7分別把二臺客戶機加入到設置好的域中,能夠通過域控制器管理整個網絡的資源。2. 實驗結果要求(1域控制器能管理登錄到域中的二臺客戶機的網絡資源。(2使用多種方法驗證網絡的連接情況并保存實驗結果,

10、把實驗結果附在實驗報告中。五實驗步驟1.基本工作(1 用網線把計算機與交換機連接起來,交換機燈顯示綠色恒亮為正常;(2 安裝好一臺windows 2000 server服務器和兩臺windows 2000客戶機,具體安裝步驟見實驗二預習報告,注意安裝過程中輸入預先規劃好的計算機名、系統管理員密碼、TCP/IP屬性設置等信息;(3 裝好系統后,驗證計算機間網絡的連通狀態,確保三臺計算機之間網絡暢通無阻;2.域控制器配置(1 安裝活動目錄,詳細安裝步驟見預習報告;(2 新建Active Directory用戶和計算機賬戶;(3 分別把兩臺客戶機加入到設置好的域中;3.服務器安全配置(1配置web服

11、務器在控制面板管理工具Internet信息服務中配置默認Web站點相關信息,如下圖所示 (2配置Ftp服務器在控制面板管理工具Internet信息服務中配置默認Ftp站點相關信息,如下圖所示 (3設置共享目錄用戶共享權限在目錄屬性的“共享”選項卡中設置,而本地使用權限在目錄屬性的“安全”選項卡中設置。一般情況下,將共享權限設置為“完全控制”,不限制用戶對共享目錄的訪問,而對共享目錄中的子目錄與文件要設置本地訪問權限,以限制某些用戶對子目錄與文件的訪問權限。(4關閉無需啟動的默認服務系統在運行后,自動啟動了許多有安全隱患的服務,如:Telnet services、DHCP Client、DNS

12、Client、Print spooler、Remote Registry services、SNMP Services 、Terminal Services 等,這些服務在實際工作中如不需要,可以禁用。(5屏蔽不必要的協議對于服務器和主機來說,一般只安裝TCP/IP協議就夠了。在網上鄰居屬性本地連接屬性,卸載不必要的協議。NETBIOS是很多安全缺陷的源泉,對于不需要提供文件和打印共享的主機,還可以將綁定在TCP/IP協議的NETBIOS給關閉,避免針對NETBIOS的攻擊。選擇TCP/IP協議屬性高級,選擇“WINS”標簽,勾選“禁用TCP/IP上的NETBIOS”一項,關閉NETBIOS。

13、4.測試對上述配置進行檢查,查看配置是否成功,主要包括如下方面(1檢查活動目錄安裝成功與否查看兩臺客戶機是否成功添加到域中(2Web測試查看在客戶機中是否能訪問到服務器中預先設置的默認主頁(3Ftp測試查看在客戶機上是否能從服務器上成功上傳下載文件(4域連通性測試使用Ping命令對域連通性進行檢測,看是否能Ping通域名(5文件共享測試在客戶機上查看服務器上設置的共享文件,看是否能成功看到,若能,在服務器上更改客戶機的權限,再次查看是否能成功看到六實驗結果1.活動目錄的啟用 2. 測試Web 連通性 3. 測試FTP 的連通性(1 使用管理員用戶登錄時測試FTP: (2 使用group8a登錄

14、時測試FTP 4.測試域連通性 5.測試文件共享(1 共享文件:(client中能看到server共享的網絡資源 (2 當改變server中client的權限時,client不能訪問server中網絡資源: 七 實驗思考題1. 對等網絡和C/S結構的網絡各有什么特點和適用的場合?答:對等網絡又稱工作組,網上各臺計算機有相同的功能,無主從之分,任一臺計算機都是即可作為服務器,設定共享資源供網絡中其他計算機所使用,又可以作為工作站,沒有專用的服務器,也沒有專用的工作站。對等網絡是小型局域網常用的組網方式。對等網主要有如下特點:(1 網絡用戶較少,一般在20臺計算機以內,適合人員少,應用網絡較多的中

15、小企業。(2 網絡用戶都處于同一區域中。(3 對于網絡來說,網絡安全不是最重要的問題。C/S 結構,即客戶機和服務器結構。它是軟件系統體系結構,通過它可以充分利用兩端硬件環境的優勢,將任務合理分配到Client端和Server端來實現,降低了系統的通訊開銷。服務器通常采用高性能的PC、工作站或小型機,并采用大型數據庫系統,如ORACLE、SYBASE、InfORMix或 SQL Server?？蛻舳诵枰惭b專用的客戶端軟件。C/S結構有如下特點:交互性強、更安全的存取模式、利于處理大量數據、響應速度快、操作界面漂亮,形式多樣,可以充分滿足客戶自身的個性化要求、缺少通用性,業務的變更,需要重新設

16、計和開發,增加了維護和管理的難度,進一步的業務拓展困難較多。對等網適用于在一個建筑物內或不大的區域內有多個定點或移動點要接入一個局域網的情況;C/S結構適用于關鍵業務的快速操作、網速較快的網絡環境如:局域網。2. FAT、FAT32和NTFS三種文件系統各有什么特點和相互轉換的方法?答:文件分配表(FAT:一種供MS-DOS及其它Windows操作系統對文件進行組織與管理的文件系統。文件分配表(FAT是當您使用FAT或FAT32文件系統對特定卷進行格式化時,由Windows所創建的一種數據結構。Windows將與文件相關的信息存儲在FAT中,以供日后獲取文件時使用。FAT32 :一種從文件分配

17、表(FAT文件系統派生而來的文件系統。與FAT 相比,FAT32能夠支持更小的簇以及更大的容量,從而能夠在FAT32卷上更為高效的分配磁盤空間。NTFS文件系統 :一種能夠提供各種FAT版本所不具備的性能、安全性、可靠性與先進特性的高級文件系統。(1FAT主要具有以下特點:在于文件分配表(FAT,這是一個真正的表,位于位于卷的最“頂端”;最大支持2GB大小的分區,只支持8.3格式的文件名,沒有對文件或目錄的安全保護性等功能,但FAT文件系統是目前大多數常用操作系統都支持的文件系統(如:Windows 2000/XP/2003、UNIX等。(2FAT32主要具有以下特點:a. 可以支持的磁盤大小

18、達到2TB(2047GB,但是不能支持小于512MB的分區。b. 基于FAT32的Win 2000可以支持分區最大為32GB;而基于 FAT16的Win 2000支持的分區最大為4GB。c. 由于采用了更小的簇,FAT32文件系統可以更有效率地保存信息。d. 可以重新定位根目錄和使用FAT的備份副本。另外FAT32分區的啟動記錄被包含在一個含有關鍵數據的結構中,減少了計算機系統崩潰的可能性。(3NTFS主要具有以下特點:a. 通過NTFS許可保護網絡資源:在WindowsNT下,網絡資源的本地安全性是通過NTFS許可權限來實現的。在一個格式化為NTFS的分區上,每個文件或者文件夾都可以單獨的分

19、配一個許可,這個許可使得這些資源具備更高級別的安全性,用戶無論是在本機還是通過遠程網絡訪問設有NTFS許可的資源,都必須具備訪問這些資源的權限。b. 使用NTFS對單個文件和文件夾進行壓縮:NTFS支持對單個文件或者目錄的壓縮。這種壓縮不同于FAT結構中,對驅動器卷的壓縮,其可控性和速度都要比FAT的磁盤壓縮要好的多。(4三種文件系統互換方法如下:a. 點擊桌面左下角的"開始",選擇"運行",在彈出的"運行"窗口中輸入cmd后單擊'確定'按鈕;b. 以D盤為例,假設需要轉換格式的磁盤分區為D盤,在出現的命令行窗口中輸入

20、convert d:/fs:ntfs后回車;c. 按照系統提示,輸入該磁盤的卷標后回車;d. 系統進行文件系統的轉換。轉換過程會持續一段時間,請耐心等待;e. 當系統顯示"轉換完成"提示信息后,轉換完成。此時即可點擊此窗口的右上角的"×",關閉此窗口,返回Windows界面3. 客戶機出現不能加入域的情況時,如何制定排查策略?答:客戶機不能加入域的解決方法有以下幾種:(1解決辦法一:a. 將客戶機的第一DNS設為AD的IP,一般DNS都時和AD集成安裝的,清空緩存并重新注冊ipconfig /flushdns 清空DNSipconfig /re

21、gisterdns 重新申請DNSb. 關閉客戶端防火墻c. 只留IP為AD的第一DNS,第二DNS設為空d. 在AD服務器的DNS建立客戶機的SRV記錄e. 啟動DNS和TCP/IP NetBIOS Helper Service服務f. 更改主機名并在服務器上刪除已經存在的DNS記錄,重啟g. 域中的客戶機的系統時間必須同步或慢于DC服務器的系統時間1分鐘(不得超過10分鐘(2解決辦法二:a. 您無法用NetBois域名加入域。b. 組策略無法正常應用。c. 無法打開網上領居和訪問共享文件。這個問題有可能是Wins服務器沒有正確配置或TCP/IP NetBIOS沒有啟動造成的?？梢宰鋈缦碌臋z

22、查:建議一:如果您的域中有Wins服務器,請檢查客戶機的Wins配置看是不是指向Wins服務器。另外,請打開Wins服務器,看記錄正確注冊。建議二:如果 TCP/IP NetBIOS Helper Service(TCP/IP NetBIOS 支持服務沒有在客戶端計算機上運行,可能會出現此問題。要解決此問題,請啟動 TCP/IP NetBIOS 支持服務。要啟動 NetBIOS 支持服務,請按照下列步驟操作:a. 使用具有管理員權限的帳戶登錄到客戶機。b. 單擊“開始”,單擊“運行”,在“打開”框中鍵入 services.msc,然后單擊“確定”。c. 在服務列表中,雙擊“TCP/IP Net

23、BIOS Helper Service”。您看到的文章來自活動目錄seod. 在“啟動類型”列表中,單擊“自動”,然后單擊“應用”。e. 在“服務狀態”下,單擊“啟動”以啟動 TCP/IP NetBIOS 支持服務。f. 當該服務啟動后,請單擊“確定”,然后退出“服務”管理單元。建議三:請檢查是否安裝了客戶機上安裝了“Microsoft網絡的文件和打印機共享”a. 點擊“開始菜單控制面板網絡連接”。b. 在所出現窗口中的局域網連接(如“本地連接”右鍵選擇“屬性。c. 勾選常規標簽下的“Microsoft網絡的文件和打印機共享”項。(3解決辦法三:修改本機的host文件,在里面增加一行域控制器名

24、稱與其IP 地址的對應關系即可。(4解決辦法四:更改客戶機計算機名。4. 域和域名是一個概念嗎?答:不是一個概念?！坝颉笔且粋€相對嚴格的組織,“域”指的是服務器控制網絡上的計算機能否加入的計算機組合;域實際上就是一組服務器和工作站的集合?！坝蛎笔瞧髽I、政府、非政府組織等機構或者個人在域名注冊商上注冊的名稱,是互聯網上企業或機構間相互聯絡的網絡地址。5. 本次實驗可以采用DHCP的方法來完成,如何配置呢,嘗試一下,它的優點在什么地方,更適用在什么場合?答:(1DHCP代表動態主機配置協議。DHCP是允許無盤工作站連接到網絡并且自動獲取一個IP地址的BOOTP協議的一個擴展。DHCP可以向每一個網絡