文章目录
9-1高频考点
考点分析
9-2本地用户和组
用户:包含用户名、密码、权限以及说明。
■ 用户组:具有相同性质的用户归结在一起,统一授权 ,组成用户组。
■ 创建用户和组:我的电脑-右键-管理-计算机管理-本地用户和组(****本地用户信息存储在本地SAM数据库)。
常见用户组与权限
9-3活动目录
活动目录
■ 网络中计算机逻辑组织的两种模式:工作组模式和域模式(活动目录AD)。
· 工作组模式 :每台计算机都拥有自己的本地安全账户管理数据库SAM。
。域模式 :用户信息存储在域控制器,可以在域中漫游 ,访问域中任意一台服务器上的资源。
■ 活动目录:对域中的账户和资源对象进行存放并集中管理。
。一个动态的分布式文件系统 ,包含存储网络信息的目录结构和相关目录服务。
域控制器( Domain Controller,DC) 域中安装了活动目录的计算机。 dcpromo
■ AD 存储的用户信息,分散在多个DC, 操作系统对信息进行备份和选择性复制,维护信息一致性 ,提 供容错能力。
活动目录中对象的名字采用DNS 域名结构,安装AD必须先安装DNS组件, 必须安装在NTFS分区。
活动目录工作组分类
全局组(G):来自本地域,可授权访问域林中的任何信任域。
域本地组(DL):来自任何域,只能访问本地域中的资源。
通用组(U):可来自域林中的任何域,访问权限可以达到域林中的任何域。
:::info
组策略(要记住)
A-G-DL-P策略
· A-G-G-DL-P策略
· A表示用户账号 G表示全局组U表示通用组DL表示域本地组P表示资源权限
· A-G-DL-P策略:将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权 限 。
:::
9-4远程桌面与Samba服务
远程桌面基础
■ 远程桌面协议****RDP, 基于TCP 3389。
■ 图形化远程桌面连接:开始-所有程序-附件-远程桌面连接 命令快捷键: mstsc
Samba
■ Samba: 向Linux 主机提供Windows 风格的文件和打印机共享服务。
■ 目的:现网Windows 居多,为了让Linux兼容与现网用户共享数据和服务。
9-5IIS服务器(Web与FTP)(重点)
Windows Server 2008R2 IIS服务器
IIS(Internet Information Server) 因特网信息服务器。
■ IIS可以搭建Web 服务器、 FTP服务器和SMTP 服务器。 【没有POP3 和IMAP 】
安 装IIS服务:开始→管理工具→服务器管理→角色→添加角色→Web 服务器 (IIS)。
网站安全性配置
Linux Apache服务器配置
:::info
Apache: 提供Web 和FTP等服务,其中Web 配置文件是httpd.conf 。
Apache 站点默认Web 根目录是/var/www/html 或/home/httpd ,不同版本有差异。
虚拟主机: 基于IP地址、基于端口、基于名字。
:::
FTP 服务器配置
FTP 端 口 :2 1 ( 控 制 ) TCP 20 ( 数 据 )数据端口比控制端口小1。
■ 添 加FTP站点:开始 → 管理工具 →IIS管理器 → 网站 →添加FTP站点。
FTP权限控制
FTP站点访问
客户端访问:浏览器或Windows 搜索 ftp://192.168.1.10
■ 命令行访问: DOS下ftp 命令访问
。 dir:展示目录下的文件
· get:从服务器端下载文件
· put:向FTP 服务器端上传文件
。 Icd: 设置客户端当前的目录
· bye:退出FTP连接
9-6DNS服务器(本章重点)
DNS 域名系统
:::info
域 名 系 统(Domain Name System,DNS)。
。 DNS 作用:把域名转换成IP地址。
· DNS/DHCP 服务器必须为静态IP地址,而Web/FTP 均可为动态IP。
· Linux 系统中提供DNS服务的组件为 bind , 主配置文件为named.conf 。
·诊断域名系统基础结构的信息和查看DNS服务器的IP地址命令是:nslookup 。
:::
DNS 域名系统结构
DNS 通过层次结构的分布式数据库建立一致性名字空间。
FQDN 完全合格域名,比如www.whu.edu.cn.
。最顶层是根域,用"."表示
根域下面是顶级域,分为国家顶级域和通用顶级域
顶级域下面是二级域,二级域下还可以划分子域
DNS 记录类型(重点记忆)
DNS 查询过程
DNS 查询方式
:::info
■ 递归查询: 域名服务器帮助用户进行名字解析,并返回最后的结果。【老好人】
■ 迭代查询: 域名服务器进行迭代访问,反复多次,直到最后找到结果。【踢皮球】
:::
辅助DNS 服务器
■ 辅助DNS 服务器是一种容错设计, DNS 主服务器出现故障或因负载太重无法及时响应客户机请求,辅 助服务器将挺身而出为主服务器排忧解难。
■ 辅助服务器的区域数据都是从主服务器复制而来, DNS 通知消息让辅助服务器能及时更新区域信息, 只有被通知的辅助域名服务器才能从主域名服务器进行区域复制。
DNS 配置文件
9-7DHCP服务器(本章重点)
DHCP 租期更新
:::info
· 当客户机的租约期到50%,会向DHCP 服务器发送DHCP REQUEST消息包。
· 如果客户机接收到该服务器回应的DHCP ACK消息包,客户机就根据包中所提供的新的租期以及其它已经更新的TCP/IP 参数,更新自己的配 置 ,IP 租用更新完成。
· 如果没有收到该服务器的回复,则客户机继续使用现有的IP 地址,因为租期还剩50%。
· 如果在租期过去50%的时候没有更新,则客户机将在租期过去87.5%的时候再次向为其提供IP 的DHCP 服务器联系。
· 如果还不成功,到租约的100%时候,客户机必须放弃这个IP地址,发送DHCP DISCOVER重新申请地址。
· 如果此时无DHCP 可用,客户机会使用169.254.0.0/16 中随机的一个地址,并且每隔5分钟再进行尝试。
:::
新建DHCP 地址池
客户端DHCP
Linux DHCP配置
华为DHCP 配置
DHCP报文格式
Option 43应用举例
· 在WLAN 三层组网中,当AP 上线时,需要获取AC 的IP地址,并与AC 之间建立CAPWAP 隧道。
· AP 的IP地址通过DHCP 服务器分配,当AC 的IP地址与AP 不在同一个广播域, AP 无法通过广播的方式获取AC 的IP地址,则CAPWAP 隧道无法建立成功。
· AP 通过DHCP 报文中的Option 43选项字段获取AC的IP地址,当AP获取AC的IP地址后,可以进一步完成CAPWAP 隧道的建立,从而实现AP 上线。
华为DHCP option43配置
DHCP 分配固定IP地址
DHCP 中继 (DHCP Relay)
· 随着网络规模的不断扩大,网络设备不断增多,企业内不同的用户可能分布在不同的网段, 一台DHCP 服务器在正常情况
下无法满足多个网段的地址分配需求。如果还需要通过DHCP 服务器分配IP地址,则需要跨网段发送DHCP 报文。
· DHCP Relay即DHCP 中继,它是为解决DHCP 服务器和DHCP 客户端不在同一个广播域而提出的,提供了对DHCP 广播报
文的中继转发功能,能够把DHCP 客户端的广播报文"透明地"传送到其它广播域的DHCP 服务器上,同样也能够把DHCP
服务器端的应答报文"透明地"传送到其它广播域的DHCP 客户端。
DHCP Relay工作原理
有中继场景时DHCP 客户端首次接入网络的工作原理:
- 发现阶段: DHCP 中继接收到DHCP 客户端广播发送的
DHCP DISCOVER报文后,通过路由转发将DHCP 报文单 播发送到DHCP 服务器或下一跳中继。
-
提供阶段: DHCP 服务器根据DHCP DISCOVER报文中的 Giaddr字段选择地址池为客户端分配相关网络参数,DHCP 中继收到DHCP OFFER报文后,以单播或组播方式发送给DHCP Client。
-
选择阶段:中继接收到来自客户端的DHCP REQUEST报文的处理过程同"发现阶段"。
-
确认阶段:中继接收到来自服务器的DHCP ACK报文的处理过程同"提供阶段"。
DHCP Relay配置举例
DHCP Snooping防止私接DHCP 服务器
DHCP Snooping配置
