1、項目名稱：-1- 高職高專院校“十二五”精品示范系列教材（計算機網絡技術專業群）網絡操作系統項目教程-2-項目名稱：網絡虛擬實驗室的建立-3-網絡虛擬實驗室的建立了解網絡虛擬實驗室的基本概念掌握VMWare Workstation建立虛擬主機的方法掌握在VMWare平臺上建立Windows Server 2008和Red Hat Linux虛擬機的方法掌握建立橋接、NAT、獨立主機和虛擬網段類型虛擬網絡的方法學習目標-4-VMWare Workstation的安裝一、什么是網絡虛擬實驗環境 網絡操作系統課程以及其他網絡課程的學習都必須依賴真實的網絡設備，例如交換機、路由器等。但是這些網絡設備不

2、僅價格昂貴，而且不便于統一的管理維護。在目前各高校在開展網絡技術課程實驗時存在著以下的不足：（1）網絡物理線路連接水平低，容易出錯。（2）網絡儀器設備使用不當，容易損壞。 （3）學生使用設備的效率不高， -5- 虛擬實驗環境允許根據提供的虛擬器材，自由搭建任意合理的典型實驗或實驗案例，這一點是虛擬實驗環境有別于傳統物理實驗環境的重要特征。基于虛擬技術的虛擬實驗室相對于傳統的網絡實驗室具有如下的優勢：（1）虛擬網絡實驗環境無需價格昂貴的網絡實體設備，節省了教學經費的投入，實現了儀器設備的集成共享；（2）虛擬網絡實驗環境無需考慮網絡設備及物理線路的連接問題，對于沒有故障排除經驗的學生來說較為方便；

3、（3）虛擬網絡實驗環境能夠避免學生在實驗過程中為頻繁變化調整配置而要不停往返于設備之間的環節；（4）教師在虛擬網絡實驗環境下授課可以采用廣播的方式實時進行操作的演示與講解，改變傳統的抓圖和PPT等方式，更易于學生的理解和接受。 VMWare Workstation的安裝-6-二、VMWare Workstation 簡介 VMware Workstation 是一款功能強大的桌面虛擬計算機軟件，提供用戶可在單一的桌面上同時運行不同的操作系統，是進行軟件開發、測試 、部署新的應用程序的最佳解決方案。VMware Workstation可在一部實體機器上模擬完整的網絡環境，這個環境和真實的計算機一

4、樣，都有芯片組、CPU、內存、顯卡、聲卡、網卡、軟驅、硬盤、光驅、串口、并口、USB控制器、SCSI控制器等設備，并且提供這個應用程序的窗口就是虛擬機的顯示器。VMWare Workstation的安裝-7-三、VMWare Workstation 9.0介紹 VMWare Workstation 軟件從推出到現在已經有了9個版本，每個版本所實使用的操作系統都與當時的主流配置相適應。VMWare Workstation 9.0為微軟的最新操作系統Windows 8系統環境以及運行Win8虛擬機而全新設計。VMWare Workstation在虛擬網絡方面雖然具有非常強大的功能，但是各個版本的V

5、MWare Workstation對主機內存的依賴仍然是非常高的。 VMWare Workstation的安裝-8-VMWare Workstation的安裝-9- 在VMWare Workstation 的安裝過程中，物理主機會自動安裝兩塊虛擬網卡（如圖1-7所示），如果物理主機是Windows XP系統則會默認在新增加的網卡上自動啟用防火墻。為了讓虛擬機正常工作，我們可以在物理主機上的Windows XP操作系統上對防火墻進行必要的人工配置。VMWare Workstation的安裝-10-VMWare Workstation的安裝-11- VMWare Workstation 9.0可以

6、安裝Windows系列、Linux、Novell Network、SUN Solaris等主流的操作系統。其中Widnows 家族的操作系統包括Windows 95及后面的更高版本的操作系統，甚至包括微軟最新的Windows 8及 Windows Server 2008等操作系統。 安裝Windows Server 2008-12-安裝Windows Server 2008-13- 在網絡服務器領域，大多數的中低端服務器都是采用的Windows 各類網絡操作系統，而在市場的中高端的服務器仍大量采用Linux各個系統。因此我們也需要掌握在虛擬機中安裝Linux操作系統的方法。 Linux是一套免

7、費使用和自由傳播的類Unix操作系統，它主要用于基于Intel x86系列 CPU的計算機上。這個系統是由世界各地的成千上萬的程序員設計和實現的。其目的是建立不受任何商品化軟件版權制約的、全世界都能自由使用的 Unix兼容產品。 安裝Red Hat Linux9.0 -14-安裝Red Hat Linux9.0 -15-安裝Red Hat Linux9.0 -16-安裝Red Hat Linux9.0 -17- 在VMWare Workstation在安裝完成之后，在宿主機的“網絡連接”屬性對話框內自動出現了兩個虛擬交換機（也可以理解為虛擬網卡），分別是VMware Network Adapt

8、er VMnet1和VMware Network Adapter VMnet8。這兩個虛擬交換機究竟有什么樣的功能呢？ VMWare的虛擬網絡類型主要有三種:（1）橋接網絡（Bridged）（2）網絡地址轉換（NAT）（3）獨立主機（Host-only）模式虛擬網絡類型 -18-1、橋接網絡（Bridged）模式 在這種模式下，虛擬機就像是局域網中的一臺獨立的主機，與它所依賴的宿主主機平等的存在于網絡中，管理員必須像對待局域網中其他真正的物理主機一樣來對待虛擬機（例如為虛擬機分配局域網所要求的網絡地址、子網掩碼、網關等）。 虛擬網絡類型 -19-1、橋接網絡（Bridged）模式設置虛擬網絡類

9、型 -20-1、橋接網絡（Bridged）模式設置虛擬網絡設備配置 完成虛擬橋接網絡實驗，除了需要設置虛擬網卡類型之外，我們還需要添加虛擬機交換機。添加虛擬網絡連接設備是在VMWare的虛擬網絡編輯器（Virtual Network Edior）內進行配置的。 虛擬網絡類型 -21-2、獨立主機模式（Host-only） Host-only顧名思義就是獨立主機模式。這種模式提供的是主機和虛擬機之間的網絡互訪，而不是虛擬機訪問Internet的技術。在某些特殊的網絡調試環境中，我們往往需要將真實環境和虛擬環境隔離開，這時就可采用Host-only模式。在Host-only模式中，所有的虛擬主機是

10、可以相互通信的，但虛擬系統和真實的網絡是被隔離開的。 虛擬網絡類型 -22-2、獨立主機模式（Host-only） 配置虛擬網絡類型 -23-2、獨立主機模式（Host-only）虛擬網絡設備配置 將虛擬機網卡設置為Host-Only工作方式之后，就需要添加虛擬交換機實現虛擬機與宿主主機的連接。 虛擬網絡類型 -24-3、網絡地址轉換（NAT）方式 如果希望虛擬機通過宿主主機訪問外部網絡，但是卻不希望外部網絡訪問虛擬的私有網絡，那么設置NAT方式就可以實現其功能。NAT這種模式最簡單，虛擬系統不用做任何網絡設置就可以訪問外部網絡，但是外部網絡卻不能訪問私有網絡內的虛擬機。 虛擬網絡類型 -25

11、-3、網絡地址轉換（NAT）方式的配置（1）虛擬機網卡類型設置虛擬網絡類型 -26-3、網絡地址轉換（NAT）方式的配置（2）虛擬網絡設備配置虛擬網絡類型 -27-4、LAN Segment類型 在前面談論過的三種虛擬網絡類型NAT、Host-only和Bridged都具有一個共同的特點，即宿主主機均可以訪問虛擬機。如果我們需要一個完全被隔離的網絡，只允許該網絡內的虛擬機相互通信，而不允許包括宿主主機在內的所有主機訪問。那么以上三種方式是無法實現該功能的。要實現此功能，只有采用虛擬網段類型的網絡（即LAN Segment） 虛擬網絡類型 -28-4、LAN Segment類型的設置（1）虛擬網

12、段配置虛擬網絡類型 -29-4、LAN Segment類型的設置（2）虛擬機網卡類型設置虛擬網絡類型 -30-項目名稱：DHCP服務器的配置與管理-31-學習目標 理解DHCP協議的工作原理 掌握DHCP服務組件的安裝和啟用方法 掌握DHCP服務器的配置方法 掌握DHCP客戶端的設置方法 掌握DHCP服務器設置超級作用域的配置 方法 掌握DHCP中繼代理服務器的配置方法-32-認識DHCP服務 DHCP是動態主機配置協議的簡稱，用于給網絡內的主機動態分配IP地址。DHCP服務器除了可以分配IP地址和子網掩碼這兩個必選項以外，還可以根據要求分配默認網關地址、DNS服務器地址、WINS服務器地址。

13、 減小管理員的工作量減小輸入錯誤的可能避免IP沖突當網絡更改IP地址段時，不需要重新配置每臺計算機的IP計算機移動不必重新配置IP-33-DHCP的工作過程 ：（1）DHCP客戶端請求（DHCP Discover） （2）DHCP服務器響應（DHCP Offer） （3）DHCP客戶端選擇（DHCP Request） （4）DHCP服務器確認（DHCP ACK） 認識DHCP服務-34-（5）重新申請 此后DHCP客戶機每次重新登陸網絡申請地址時，就不需要再發送DHCP Discover發現信息了，而是直接發送包含前一次所分配的IP地址的DHCP Request請求信息。當DHCP服務器收到這

14、一信息后，它會嘗試讓DHCP客戶機繼續使用原來的IP地址，并回答一個DHCP ACK確認信息。（6）更新租約 DHCP客戶機啟動時和IP租約期限過50%時，DHCP客戶機都會自動向DHCP服務器發送更新其IP租約的信息。如果更新失敗，則繼續等待直到租約達到87.5%時，進入重新申請狀態，需要客戶機重新發送DHCP Discover包開始重新申請地址。認識DHCP服務-35-1查看主機IP地址和物理地址2綁定IP地址和物理地址認識DHCP服務-36-1DHCP中繼代理的功能 DHCP中繼代理服務就是在網絡中設置DHCP中繼代理服務器，通過它將不同子網的客戶端主機與DHCP服務器聯系起來，借助于這

15、個媒介間接實現地址申請和分配任務。2DHCP中繼代理的工作過程（1）DHCP客戶端廣播DHCP Discover包；（2）DHCP中繼代理收到DHCP Discover包，以單播發送給DHCP 服務器；（3）DHCP服務器收到數據包，以單播發送DHCP Offer包給DHCP 中繼代理服務器；DHCP中繼代理-37-（4）DHCP中繼代理服務器廣播發送DHCP Offer包；（5）DHCP客戶端廣播DHCP Request包；（6）DHCP中繼代理服務器以單播轉發DHCP Request包給DHCP服 務器；（7）DHCP服務器以單播發送DHCP ACK包給DHCP中繼代理服務；（8）DHCP

16、中繼代理服務器廣播DHCP ACK包。DHCP中繼代理-38-3DHCP中繼代理的工作方式（1）路由器充當路由轉發和DHCP中繼代理功能（2）獨立的DHCP中繼代理服務器DHCP中繼代理-39-項目名稱：DNS服務器的配置與管理-40-學習目標 理解域名解析系統結構 理解DNS解析過程 理解DNS區域文件記錄類型 理解DNS子域基本概念 掌握DNS服務器正反向查找區域配置方法 掌握輔助DNS服務器配置方法 掌握建立DNS子域和子域權限委派的配置方法-41-DNS體系結構1.域名解析系統的發展 每臺主機利用一個 Hosts文件，在Host文件內記錄了當時互聯網上的所有主機名稱和IP地址的映射關系

17、。Hosts文件是一個完全的分散解析方案，每臺主機都自己負責名稱解析。每個主機利用這個Host文件就可以把互聯網上所有的主機都解析出來。 -42-2域名解析系統DNS的體系結構 DNS采用的是分布式的解析方案。互聯網管理委員會規定，域名空間的解析權都歸根服務器所有，也就是說，根服務器對互聯網上所有的域名都享有完全的解析權 。 根服務器把com結尾的域名解析權委派給其他的 DNS服務器，以后所有以com結尾的域名就不需要根服務器負責解析了，而由被委派的服務器負責解析。此外根服務器還把以 net，org，edu，gov等結尾的域名都一一進行了委派，這些被委派的域名被稱為頂級域名， DNS體系結構-

18、43- 每個被委派的DNS頂級域名可以按照委派的方式向下進行進一步的委派。例如，要使用域名，就需要向負責.com域名的DNS服務器進行申請。如果要使用子域名，只需要向負責域名的新浪公司DNS服務器進行申請。 值得注意的是，在二級域名以下就可以創建子域名或者主機名。 只要這種委派一級級發展下去，就會形成分層次的邏輯樹型結構。DNS體系結構-44-完全合格域名FQDN（完全合格域名）=主機名+.DNS后綴例如：在域內FTP服務器的完全合格域名就是. news服務器的完全合格域名就是. DNS體系結構-45-DNS的解析過程1DNS按照查詢方式 正向地址解析是指DNS客戶端向DNS服務器提交域名查詢

19、IP地址，或者是DNS服務器向另一臺DNS服務器提交域名查詢IP地址，被請求的DNS服務器作出響應的過程稱為正向解析。 反向解析是指DNS客戶端向DNS服務器提交IP地址而查詢域名的響應過程。-46-2DNS按照響應方式（1）遞歸查詢 遞歸查詢是指DNS客戶端發出查詢請求后，如果DNS服務器內沒有所需的數據，則DNS服務器會代替客戶端向其他DNS服務器進行查詢。在這種方式中，DNS服務器必須給DNS客戶端作出回答。（2）循環查詢（迭代查詢） 循環查詢是指每次請求一個服務器，不行再請求其他的服務器。 DNS的解析過程-47-DNS客戶機本地域名服務器根DNS服務器cnC234671遞歸查詢迭代查

20、詢Web服務器查詢域名：DNS的解析過程-48-3DNS的解析過程DNS的解析過程-49-1.DNS區域及文件記錄 DNS的區域有三種類型：主要區域、輔助區域和存根區域。 主要區域：主DNS服務器建立的區域 輔助區域：輔助DNS服務器建立的區域 存根區域：特殊的，簡化的輔助區域 DNS的區域文件-50-DNS的區域文件中常用的記錄 資源記錄說明SOA(起始授權機構) 定義了該區域中的哪個名稱服務器是權威名稱服務器 NS(名稱服務器) 表示該區域的權威服務器和SOA中指定的該區域的主服務器和輔助服務器 A(主機) 列出了區域中FQDN到IP地址的映射 PTR(指針) PTR記錄把IP地址映射到F

21、QDN MX郵件交換器記錄，向指定郵件交換主機提供消息路由（在后續課程使用） SRV(服務位置) 列出了哪些服務器正在提供特定的服務 DNS的解析過程-51-1.設置DNS輔助服務器的必要性容錯能力減少廣域鏈路的通信量減輕主服務器的負載2.主DNS服務器和從DNS服務器區域文件的同步 主DNS服務器保存著區域的所有文件記錄，輔助服務器定期與主服務器進行同步，從主服務器那里復制區域文件到本服務器上。 輔助DNS服務器-52-DNS子域和子域委派的基本概念 區域中的子域過多時，維護起來不方便，并且還會遇到域名查詢量的瓶頸。通過在區域中新建委派可以將子域委派到其他服務器維護。 子域與委派的對比 S子

22、域的資源在父區域文件中S委派有獨立的區域文件DNS子域和委派-53-1.DNS轉發器的基本概念和工作原理 將本地DNS服務器無法解析的查詢轉發給網絡上的其他DNS 服務器，該 DNS 服務器即被指定為轉發器。轉發給轉發器的查詢為遞歸查詢 。2.配置轉發器（1）假設本地DNS服務器的IP地址為（2）轉發器的IP地址為1（3）在本地DNS服務器上配置 DNS轉發器-54-1DNS服務器的安裝DNS服務器的基本配置-55-DNS服務器的基本配置2創建DNS服務器區域-56-3創建資源記錄DNS服務器的基本配置-57-4DNS客戶端的設置DNS服務器的基本配置-58-輔助DNS服務器配置1主DNS服務

23、器配置-59-2輔助DNS服務器的配置輔助DNS服務器配置-60-DNS子域和委派配置1成都子公司的子域創建-61-2南京子公司的子域創建DNS子域和委派配置-62-3.南京子公司DNS服務器配置 DNS子域和委派配置-63-項目名稱：應用程序服務器的配置與管理-64-教學目標 了解IIS基本功能和主要功能組件理解WWW和FTP服務基本概念理解虛擬主機技術基本原理和實現方式理解FTP用戶權限設置方法掌握WWW服務器的基本配置方法掌握FTP服務器的基本設置方法-65-IIS概述組件名稱功能萬維網（WWW）服務使用HTTP協議向客戶提供信息瀏覽服務文件傳輸協議（FTP）服務使用FTP協議向客戶提供

24、上傳和下載文件的服務SMTP Service簡單郵件傳輸協議服務，支持電子郵件的傳輸NNTP服務網絡新聞傳輸協議服務Internet 信息服務管理器IIS的管理界面的Microsoft管理控制臺管理單元Internet打印提供基于Web的打印機管理，并能夠通過HTTP打印到共享打印機IIS主要提供WWW、FTP、SMTP、NNTP等服務 -66-WWW服務 WWW服務，即萬維網服務 在網上發布的，并可以通過瀏覽器觀看的圖形化頁面的服務。常用的WWW服務軟件在Windows系統中是IIS在Linux系統中是Apache -67- Web服務Web服務基于客戶/服務器模型運行客戶端運行Web瀏覽器

25、程序，提供統一、友好的用戶界面服務器端運行Web服務程序，默認采用端口TCP 80偵聽并響應客戶端請求Web瀏覽器和服務器通過HTTP來建立連接、傳輸信息和終止連接HTTP即超文本傳輸協議，是一種通用的、無狀態的、與傳輸數據無關的應用層協議 Web概述-68-Web概述Web應用程序 Web應用程序是一組靜態網頁和動態網頁的集合 動態網頁可以指示應用程序服務器從數據庫中提取數據并將其插入網頁中 Web概述-69-WWW服務幾個概念HTTP（超文本傳輸協議）HTML(超文本標記語言)網頁（Web Page）統一資源定位器URL-70-HTTP（超文本傳輸協議）在Web上運行的協議是HTTP（HT

26、TP-Hypertext Transfer Protocol，超文本傳輸協議）協議，根據這個協議就可以在網絡上傳輸各種各樣的Web網頁文件。WWW采用的通信協議是超文本傳輸協議（HTTP，HyperTextTransfer Protocol），它可以傳輸任意類型的數據對象，是Internet發布多媒體信息的主要協議。WWW服務器是Intranet/Internet上處理HTTP請求的系統。http協議默認使用的TCP協議端口為80。-71-HTML(超文本標記語言)WWW中的信息資源主要由一篇篇的網頁為基本元素構成，所有網頁采用超文本標記語言（HTML，HyperText Markup Lan

27、guage）編寫，HTML對Web頁的內容、格式及Web頁中的超鏈進行描述。HTML文檔可以將聲音、圖像、視頻等多媒體信息集成在一 起，使得用戶在單一的瀏覽器界面中既可以閱讀到文字信 息，也可以欣賞到各種圖片、動畫，同時瀏覽器也會根據 HTML文檔中所集成的聲音和視頻信息的類型激活相應的程 序，讓用戶獲得相應媒體所表達的效果。HTML的結構包括頭部(head)和主體(body)。頭部描述瀏覽器所需信息，主體包含所要表達的具體內容。-72-網頁（Web Page） 網頁也稱為頁面，一個網頁是以一個HTML文檔的形式存放的。打開瀏覽器，第一個顯示的網頁叫主頁（起始頁）-73-統一資源定位器URLI

28、nternet中的網站成千上萬。為了準確查找。人們采 用了統一資源定位器（URL，Uniform Resource Locator）來在全世界唯一標識某個網絡資源。URL的表示形式主要由三部分組成： 協議、主機名和路徑及文件名。例如： http:/ 協議類型 主機名 路徑及地址 端口號-74-虛擬目錄物理目錄：實際存放在主目錄的子文件夾虛擬目錄：能將一個網站的文件分散存儲在同一計算機的不同 路徑和其他計算機中使用虛擬目錄的優點將數據分散保存到不同的磁盤或者計算機上，便于分別開發與維護當數據移動到其他物理位置時，不會影響到Web網站的邏輯結構 -75-Web服務器基本配置 -76-Web服務器的

29、管理 -77-虛擬主機指在一臺計算機上可以運行多個網站實現虛擬主機一般有3種方式使用不同的IP地址使用相同的IP地址、不同的TCP端口使用相同的IP地址和TCP端口、不同的主機頭虛擬主機技術 -78-建立不同IP地址的網站服務器上有2個IP地址和默認網站站用現在需要新建一個網站，IP地址為 -79-建立不同IP地址的網站-80-不同TCP端口的網站-81-配置主機頭相同IP相同TCP端口能運行多個網站嗎？可以使用不同的主機頭運行多個網站，主機頭需要DNS解析 1.DNS服務器配置-82-2Web服務器配置配置主機頭-83- 了解FTP概念理解FTP工作方式 掌握默認FTP站點的配置掌握FTP客

30、戶端的使用FTP概述-84-FTP基礎文件傳輸協議（File Transfer Protocol）利用FTP可以給用戶提供上傳和下載文件的服務采用客戶機/服務器方式 FTP服務器客戶機建 立 連 接傳 輸 請 求給 予 響 應-85-FTP基礎FTP工作過程：FTP采用客戶/服務器模式運行一個FTP會話中需要兩個獨立的網絡連接，FTP服務器需要監聽兩個端口一個端口作為控制端口（默認TCP 21），用來發送和接收FTP的控制信息另一個端口作為數據端口（默認TCP 20），用來發送和接收FTP數據FTP控制連接建立之后，再通過數據連接傳輸文件-86-FTP基礎主動模式 由FTP服務器發起到FTP客

31、戶端的數據連接，所以稱其為主動模式客戶端使用PORT指令聯系服務器，又稱為PORT模式。被動模式 由FTP客戶端發起到FTP服務器的數據連接，所以稱其為被動模式客戶端使用PASV指令聯系服務器，又稱為PASV模式。-87-項目名稱：基于活動目錄的網絡管理-88-教學目標 了解活動目錄與工作組模式的各自特點 理解活動目錄的基本結構 理解活動目錄分組設置的AGDLP原則 理解活動目錄組策略功能 掌握設置基于活動目錄網絡的基本配置方法 掌握活動目錄賬戶、組織單元和權限委派設置 掌握活動目錄組策略的配置方法-89-活動目錄基本概念 網絡中的目錄服務對于網絡的作用就像電話黃頁對于電話系統的作用一樣。目錄

32、服務將有關現實世界中的事物(如人、計算機、打印機等等)的信息存儲為具有描述性屬性的對象。人們可以使用該服務按名稱查找對象或者像使用黃頁一樣，使用它們的查找服務。Active Directory與域控制器 -90-DNS與活動目錄名稱空間的差異在于它們各自在名稱空間內保存了不同類型的數據，DNS保存了區域以及資源記錄，活動目錄保存了域與域的對象。DNS用來定位網絡上的資源和服務，活動目錄用來組織資源和服務。DNS可以獨立于活動目錄，但活動目錄則必須依賴DNS提供的定位服務。因此為了使活動目錄能夠正常工作，DNS服務器必須支持服務定位（SRV）資源記錄，SRV記錄可以把服務名字映射為提供服務的服務

33、器名字。活動目錄域DNS的關系-91-域是Active Directory的基本單位和核心單元域是Active Directory的分區單位Active Directory中必須至少有一個域共享同一個AD數據庫的計算機組成一個域活動目錄組織結構-92-活動目錄的邏輯結構-93-活動目錄的邏輯結構-94- 部署一個域大致要做下列工作： （1) DNS前期準備 （2 )創建域控制器 （3 )創建計算機賬號（即將計算機加入域） （4 )創建用戶賬號和組織單元 活動目錄的部署-95-DNS前期準備 DNS服務器對域來說是不可或缺的，一方面，域中的計算機使用DNS域名，DNS需要為域中的計算機提供域名解

34、析服務；另外一個重要的原因是域中的計算機需要利用DNS提供的SRV記錄來定位域控制器，因此我們在創建域之前需要先做好DNS的準備工作。那么究竟由哪臺計算機來負責做DNS服務器呢？一般工程師有兩種選擇，要么使用域控制器來做DNS服務器，要么使用一臺單獨的DNS服務器。活動目錄的部署-96- （2）創建域控制器 有了DNS的支持，我們現在可以開始創建域控制器了，域控制器是域中的第一臺服務器，域控制器上存儲著Active Directory，可以說，域控制器就是域的靈魂。活動目錄的部署-97- （2）創建域控制器 如下圖所示，在DC-Server上運行Dcpromo，開始域控制器的創建活動目錄的部署

35、-98-（2）創建域控制器 活動目錄的部署-99-（3）創建計算機賬號（即將計算機加入域） 創建計算機賬號就是把成員服務器和用戶使用的客戶機加入域，這些計算機加入域時會在Active Directory中創建計算機賬號。活動目錄的部署-100-（4）創建組織單位將域進一步劃分成多個組織單位（OU）組織單位是可將用戶、組、計算機和其他組織單位放入其中的Active Directory容器組織單位相當于域的子域，可以像域一樣包含各種對象組織單位本身也具有層次結構活動目錄的部署-101- （5）創建用戶賬號活動目錄的部署-102-活動目錄組策略管理主機（1） 基于活動目錄的組策略配置 -103-活動

36、目錄組策略管理主機（2）1. 設置將“我的文檔”重定向至文件服務器（1）在文件服務器上設置共享文件夾User-Folder（2）在域控制器上創建組策略對象“文件夾重定向”（3）編輯組策略對象“文件夾重定向”（4）鏈接組策略對象“文件夾重定向”。2. 設置統一的電腦桌面圖片（1）設置統一的桌面背景文件（2）創建組策略對象“統一桌面圖片”（3）編輯組策略對象“統一桌面圖片”（4）鏈接組策略對象“統一桌面圖片”。（5）在域控制器的命令對話框中，輸入指令gpupdate /force，強制刷新組策略。基于活動目錄的組策略配置 -104-基于活動目錄組策略的軟件部署 -105-項目名稱： Web服務器的

37、安全管理-106-教學目標 理解Web服務器的安全措施 掌握Web服務器的安全設置方法 掌握身份驗證的設置方法 掌握訪問控制的設置方法 掌握證書驗證的設置方法-107-IIS安全措施 在Web服務器上采取恰當的安全防護措施，可以減少和消除各種意外事件的發生。 Internet 服務管理器所提供之安全功能可以和Windows完全整合在一起。IIS目前共支持五種驗證方式，用以確認請求訪問Web站點的用戶身份。-108-身份驗證方式匿名驗證：任何用戶皆可讀寫，無須查證用戶姓名或密碼。基本驗證：用戶須提供用戶名及密碼，該資料僅僅編碼而不加密通過網絡傳送。摘要式驗證：這是IIS5.0的添加功能，用戶密碼

38、通過哈希算法生成數字摘要，以離散值傳送給服務器進行驗證。只有在域控制器中才能使用“摘要式驗證”。集成的Windows驗證：利用離散技術來驗證用戶，且不直接將密碼傳送到網絡上。證書：一種數字文件，用來建立安全套接層SSL連接，且也可作為驗證使用。-109-匿名驗證身份驗證IIS使用“IUSR_計算機名稱”帳戶訪問Web的過程如下：(1)當收到請求時，IIS在執行任何程序碼或訪問之前，會先模擬“IUSR_計算機名稱”帳戶。 (2)傳回網頁給用戶端之前，IIS檢查NTFS文件和目錄的權限，看是否允許“IUSR_ 計算機名稱帳戶”訪問這個文件。(3)若允許訪問，則驗證完成，且用戶可使用資源。 (4)若

39、不允許訪問，則IIS會嘗試使用其他的驗證方法。如果沒有選擇使用任何其他驗證方法，IIS會傳回一個“HTTP 403拒絕訪問”的錯誤信息給瀏覽器。 (5)若啟用“匿名”驗證的同時啟用了其他的授權方法，IIS會先使用“匿名”驗證。-110-基本身份驗證基本驗證工作過程：（1）用戶的Web瀏覽器會顯示出一個對話框，用戶可在其中輸入他們先前被指定之Windows 2000帳戶的用戶名稱和密碼。（2）然后Web瀏覽器會使用這項信息來嘗試建立連接。（3）如果Web服務器拒絕這項信息，Web瀏覽器會重覆地顯示該對話框，直到用戶輸入有效的用戶名稱和密碼或關閉對話框為止。 （4）當Web服務器確認用戶的名稱和密

40、碼對應到有效的Windows用戶帳戶之后，就會建立連接。-111-集成的Windows身份驗證 集成的Windows驗證是一種安全的驗證形式，當啟用集成的Windows驗證時，用戶的瀏覽器會通過一種加密機制來驗證計算機的Windows帳戶密碼。用戶的瀏覽器會通過一種加密機制(kerberos )來驗證計算機的Windows帳戶密碼。-112-Kerberros加密機制簡述 如何進行認證？我們采用這樣的方法：如果一個秘密（secret）僅僅存在于A和B，那么有個人對B聲稱自己就是 A，B通過讓A提供這個秘密來證明這個人就是他或她所聲稱的A。這個過程實際上涉及到3個重要的關于認證的方面：Secre

41、t如何表示A如何向B提供SecretB如何識別Secret-113- 整個過程涉及到Client和Server，他們之間的這個Secret我們用一個 Key來表示。Client為了讓Server對自己進行有效的認證，向對方提供如下兩組信息：(1)代表Client自身Identity的信息，為了簡便，它以明文的形式傳遞。(2)將Client的Identity使用Key作為Public Key、并采用對稱加密算法進行加密。Kerberros加密機制簡述-114- 由于Key僅僅被Client和Server知曉，所以被 Client使用Key加密過的Client Identity只能被Client和

42、Server解密。同理，Server接收到Client傳送的這兩組信息，先通過Key對后者進行解密，隨后將機密的數據同前者進行比較，如果完全一樣，則可以證明Client能過提供正確的Key，而這個世界上，僅僅只有真正的Client和自己知道Key，所以可以對方就是他所聲稱的那個人。Kerberros加密機制簡述-115-訪問控制流程-116-安全性總結 當客戶機訪問網站時，服務器驗證步驟客戶機IP地址是否授權用戶帳戶和密碼是否正確主目錄是否設置了“讀取”權限網站文件的NTFS權限 只有以上檢查都通過，才可以訪問網站內容 -117-IIS證書驗證1為什么要使用證書驗證？ （1）信息泄漏 （2）篡

43、改 （3）偽造 （4）信用威脅2公鑰基礎架構 Public Key Infrastructure，公鑰基礎結構。PKI由公鑰加密技術、數字證書、證書頒發機構（CA），注冊機構（RA）等共同組成。PKI體系能夠實現的功能有 身份認證數據完整性數據機密性操作的不可否認性-118-公鑰加密技術 公鑰（Public Key）和私鑰（Private Key） 密鑰是成對生成的，這兩個密鑰互不相同，兩個密鑰可以互相加密和解密不能根據一個密鑰來推算得出另一個密鑰公鑰對外公開；私鑰只有私鑰的持有人才知道私鑰應該由密鑰的持有人妥善保管 -119-數據加密 發送方使用接收方的公鑰加密數據當接收方使用自己的私鑰解密

44、這些數據數據加密能保證所發送數據的機密性 -120-數字簽名 發送方使用自己的私鑰加密接收方使用發送方的公鑰解密 身份驗證、數據的完整性 、操作的不可否認性 -121-證書通信的配置過程 (1) 在服務器上安裝證書頒發機構CA(2) Web服務器SWeb上向CA提交證書申請(3) CA頒發證書(4) 在SWeb上安裝數字證書，配站安全通信(5) 在客戶機上C1上的瀏覽器信任認證中心CA-122-配置Web安全訪問網站1配置CA服務器 -123-配置Web安全訪問網站2Web網站向CA提交證書申請-124-配置Web安全訪問網站3.CA服務器頒發證書-125-4.在Web網站上安裝數字證書配置W

45、eb安全訪問網站-126-5配置Web網站使用安全通信配置Web安全訪問網站-127-項目名稱：遠程訪問服務 -128-教學目標理解遠程訪問基本概念了解遠程訪問的類型理解虛擬專用網VPN的基本工作原理掌握VPN遠程訪問配置方法-129-認識遠程訪問服務1遠程訪問概述 遠程訪問是指遠程計算機通過撥號線路或公用網絡連接到本地網絡，從而可以像直接連接在本地網絡內部那樣使用內部網絡的相關資源。遠程訪問是通過廣域網訪問內部網絡的基本解決方案，遠程計算機通過遠程撥號接入本地網絡中，可以與本地的主機一樣共享本地網絡中的相關資源。2遠程訪問服務基本類型（1）遠程撥號網絡 一個完整的撥號網絡包含遠程撥號服務器、

46、撥號客戶端、撥號連接網絡、撥號網絡協議組件。遠程撥號訪問的拓補結構如圖7-2所示。-130-認識遠程訪問服務2）遠程撥號客戶端 作為遠程撥號的客戶端可以是任何采用PPP協議的客戶端。遠程撥號的客戶端必須要有調制解調器、模擬電話線或其他類型的WAN連接以及相應的遠程訪問協議軟件，通常采用Windows的PPP客戶端。3）公共網絡 作為遠程撥號訪問所使用的公共網絡可以是這幾種類型：PSTN（公共電話交換網）、ISDN（綜合業務數字網）和X.25網絡4）遠程訪問協議和LAN協議 遠程訪問功能的實現需要使用兩種類型的通信協議：遠程訪問協議和LAN之間的傳輸協議。 -131-虛擬專用網的基本類型 1虛擬

47、專用網絡概述（1）VPN介紹 虛擬專用網絡（Virtual Private Network，即VPN）是使用隧道協議在公用網絡建立邏輯上點對點專用鏈接來實現數據傳輸。在VPN連接中客戶端通過因特網與啟動遠程訪問服務的VPN服務器建立虛擬點對點連接。連接建立后VPN客戶端就可以與內部局域網相互通信，好像客戶端用戶直接連接在局域網內一樣。（2）VPN安全性 VPN技術實際上包含了遂道技術、加密技術、身份認證技術，以此來保證在公共網絡上構建出的企業網絡的有效連通性和網絡安全性。-132-VPN的訪問類型VPN的訪問類型主要有：遠程訪問和站點間的訪問。（1）遠程訪問 遠程VPN訪問是指遠端用戶在遠離內

48、部局域網的某處利用公用網絡（例如Internet）。提供的基礎通信手段來訪問內部局域網中的VPN服務器的一種實現方式。通過VPN連接的建立來實現對于內部局域網資源的訪問。 -133-（2）站點間的訪問 站點間的VPN訪問可以實現位于不同地理位置的內部局域網通過公用網絡來實現局域網之間的資源相互訪問。 VPN的訪問類型-134-基于PPTP協議的VPN遠程訪問服務1、安裝和配置VPN遠程訪問服務：-135-2、管理VPN遠程訪問服務基于PPTP協議的VPN遠程訪問服務-136-3、設置用戶訪問權限基于PPTP協議的VPN遠程訪問服務-137-4、設置VPN遠程訪問客戶端 基于PPTP協議的VPN

49、遠程訪問服務-138-項目名稱：Linux操作系統基礎-139-學習目標了解Linux操作系統發展史理解Linux操作系統的特點和優勢掌握Linux操作系統的基本安裝方法掌握Linux操作系統用戶和組管理基本方法掌握Linux操作系統基本文件和目錄基本方法掌握Linux操作系統常用網絡管理命令-140-Linux概述 Linux是一套免費使用和自由傳播的類Unix操作系統，它主要用于基于Intel x86系列CPU的計算機上。其目的是建立不受任何商品化軟件的版權制約的、全世界都能自由使用的Unix兼容產品。 Linux最早由芬蘭一位名叫Linus Torvalds的大學生在1991年開發并在I

50、nternet上發布-141-Linux概述為什么使用Linux？Linux是一套具有Unix全部功能的免費操作系統Linux不僅為用戶提供了強大的操作系統功能，而且還提供了豐富的應用軟件Linux為廣大用戶提供了一個在家里學習和使用Unix操作系統的機會Linux能與現有存在的操作系統共存 隨著各大公司的加盟，Linux將以更迅猛的勢頭發展，并最終成為一個多平臺的、市場占有率較高的、極其優秀的網絡操作系統。-142-Linux概述主要的Linux版本 Linux發行套件是以Linux Kernel為核心，搭配各種應用程序和工具的軟件集合。 發行套件的版本號隨不同發布者的而不同，與系統內核的版

51、本號是相對獨立的。-143-Linux安裝-144-Linux用戶和用戶組的管理 1Linux系統賬戶 Linux和Windows、Unix一樣，是一個多用戶、多任務的操作系統。多用戶的特點允許用戶在Linux創建個人賬戶來確保個人數據的安全性。Linux操作系統的每個用戶都有一個唯一的身份標識，即用戶ID號（UID）。 2Linux普通用戶賬號的屬性（1）用戶ID號：（2）用戶密碼： （3）用戶所屬的用戶組 （4）主目錄：-145-用戶賬戶的創建、刪除和修改：（1）添加新的用戶賬號：useradd 選項 用戶名（2）刪除用戶賬戶賬號：userdel 選項 用戶名（3）修改用戶賬戶屬性：use

52、rmod 選項 用戶名Linux用戶和用戶組的管理 -146-用戶組的創建、刪除和修改（1）用戶組的創建：groupadd 選項 用戶組（2）刪除用戶組：groupdel 用戶組（3）修改用戶組屬性：groupmod 選項 用戶組Linux用戶和用戶組的管理 -147-1Linux系統權限的常規表示方法（1）文件的權限表示Linux 文件和目錄管理 -148-2Linux系統文件和目錄訪問權限的設置方法 chmod 選項 文件名3Linux系統目錄管理常用命令（1）Linux目錄結構Linux 文件和目錄管理 -149-（2）目錄管理常用命令 1）ls或dir命令：Ls 選項 目錄或文件名 2

53、）cd 命令：cd 參數 3）cp命令：cp 選項 源文件或目錄 目標文件或目錄 4）rm命令：rm 選項 文件名 5）mkdir命令：mkdir 選項 目錄名 6）rmdir命令：rmdir 選項 目錄名Linux 文件和目錄管理 -150-（2）目錄管理常用命令 7）chown命令：chown 選項 用戶名 文件或目錄 8）chgrp命令：chgrp 選項 用戶組名 文件或目錄Linux 文件和目錄管理 -151-Linux 網絡管理常用命令1ifconfig命令：ifconfig 選項 無選項：顯示當前系統中活動的網卡信息 -a：顯示所有接口信息，包括活動和非活動的接口 -s：以短列表形

54、式顯示接口信息，每個接口只顯示一行摘要數據 up：激活一個不活動的指定接口 down：與up相反，關閉一個指定的接口 netmask IP地址：為一個指定的接口設置子網掩碼 broadcast IP地址：為一個指定的接口設置廣播地址 IP地址：設置指定接口的IP地址 接口：顯示一個指定的接口信息-152-2ifup 命令ifup命令用于啟動指定的非活動網卡，與命令“ifconfig up”類似。3ifdown命令Ifdown命令用于關閉指定的活動網卡，與命令“ifconfig down”類似。4route命令route命令用于顯示和修改系統當前的路由表。該命令的格式如下：route 選項 ad

55、d net 目標網絡地址 netmask 子網掩碼 網絡接口：在當前路由表中添加路由信息 del net 目標網絡地址 netmask 子網掩碼：在當前路由表中刪除路由信息 add default gw 網關IP地址 dev 網絡接口：在當前路由表中添加默認網關 del default gw IP地址 dev 網絡接口：在當前路由表中刪除默認網關Linux 網絡管理常用命令-153-項目名稱：DHCP服務器的配置與管理-154-學習目標理解Linux環境下DHCP服務組件的安裝和使用方法理解DHCP配置文件的主要內容掌握Linux 客戶端主機的設置方法-155-DHCP服務組件的安裝rootl

56、ocalhost root#rpm q dhcprootlocalhost rootrpm -ivh dhcp*.rpm表明未安裝服務組件-156-DHCP服務組件的安裝圖形化方式安裝dhcpd組件：-157-DHCP服務組件的安裝啟動和停止DHCP服務：rootlocalhost root#service dhcpd start啟動dhcpd 確定 rootlocalhost root#service dhcpd stop關閉dhcpd 確定-158-DHCP服務主配置文件 DHCP服務默認的配置文件名為dhcpd.conf,，它是一個文本文件，在本地的存儲路徑是/etc/dhcpd.con

57、f。但在/etc目錄下，并沒有存在這樣的配置文件，因此我們可以使用文本編輯器來創建該文件。但在安裝DHCP服務組件時，會自動創建一個樣本文件，該文件的存儲路徑是/usr/share/dco/dhcp-3.0pl1/dhcpd.conf.sample。可以將其復制到/etc的目錄下，然后再做相應修改就可快速完成配置文件的創建。-159-DHCP服務主配置文件dhcpd.conf配置文件的格式為： 選項/全局參數 聲明 選項/局部參數 聲明選項全部采用option關鍵字作為開始subnet-mask 為客戶端設定子網掩碼；domain-name 為客戶端指明DNS名字； domain-name-s

58、ervers 為客戶端指DNS 服務器IP地址routers 為客戶端設定默認網關；ddns-update-style 配置DHCP-DNS 更新模式，none 不支持動態更新；ad-hoc 特殊更新模式；interim 互動更新模式；shared-network 名稱 . 定義超級作用域；subnet 網絡號 netmask 子網掩碼 定義作用域（或IP子網）；range 起始IP地址 終止IP地址 定義作用域（或IP子網）范圍；host 主機名. 定義保留地址；-160-dhcpd.conf配置文件范例ddns-update-style interim； # 設置DNS更新模式#ignor

59、e client-updates； # 設置忽略客戶端DNS更新subnet netmask #聲明子網及掩碼# - default gateway option routers ； #設置客戶端主機默認網關 option subnet-mask ；#設置客戶端主機的子網掩碼# option nis-domain “”；#設置客戶端主機的NIS域# option domain-name ；#設置客戶端主機的域名 option domain-name-servers 8；#設置客戶端主機的 DNS服務器地址 option time-offset -18000； # 設置客戶端主機與格林尼治時間的偏移差-161-dhcpd.conf配置文件范例# option ntp-servers ； #設置客戶端主機的時間服務器地址# option netbios-name-servers ；#設置客戶端主機的WINS服務器地址# Selects point-to-point node (default is hybrid). Dont change this unless# you understand Netbios very well# option netbios-node-type 2； #動態IP地址池，設置可分配的IP地址范圍 range dynamic-bootp 00 99；