02 win2003网管培训

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Windows 2003 Server,南京工业大学网络中心,崔北亮,全省校园网网管培训,内容提纲,第一讲 WIN2003特性介绍,1、特性简介：,2、与linux系统的比较,费用：必须考虑与管理网络服务器有关的全部费用，而不仅仅是采购软件的费用，,学习难度：WIN2003胜出,安装的难度：平手,技术支持： WIN2003胜出,性能及安全性：目前linux胜出,如果你是想建立一个个人或者小型商业服务器，那么Linux比较合适。其初始投资比较少；不过你要记住你金钱上的节省也许会导致时间上的损失。如果你是一个大公司的网络管理员，我猜你会选择Windows 2003。因大公司往往无法接受一个免费的操作系统来承担其关键任务。,3、IP地址的配置,网上邻居点右键，点属性，在弹出的“网络和拨号连接”窗口中的本地连接图标上点右键（左图），会弹出右图，选TCP/IP后，再点属性,弹出如左图所示窗口，埴入IP地址，子网掩码，网关，DNS等，如要进行多IP地址的配置可点击“高级”，在弹出的窗口中进行配置（如图）,1、用户和组的管理：,管理工具计算机管理本地用户和组,组的管理：如多个用户有相似的权限，则用组管理来实现，建立相应的用户组，并对组授与相应的权限，然后将用户加入到组中来。,说明：用户自动继承所在组的权限，如属于多个组，则用户最终的权限是多个组权限的组合；有一种情况除外，拒绝访问具有最高的优先级，可以覆盖其它的任何权限,用户的管理：可以新建、删除、更改用户，默认的超户只能改名和改密码，不能删除；可以将用户加入用户组，则用户就继承该用户组的所有权限,二、管理工具的使用,2、文件系统的管理：两种不同文件系统的比较：硬盘分区的比较：FAT32 NTFS: NT file system,更主要的一点是NTFS的管理可以到文件级，而且具有更好的安全性，比如：对于FAT32的系统，通过软盘引导也可以查看，而对于NTFS如进行加密，即使是其它的NT系统也无法查看。为了更好的发挥WIN2003的优势，应使用NTFS,NTFS权限的设置：,分为若干种，对于NTFS分区上的目录而言，可以给账号或组指定如下几种权限,1完全控制：具有对文件夹的全部操作能力。,2修改：能够更改、添加、读取文件。,3读取：能够读文件内容和查看文件目录。（包括6）,4写入：只能写入，不能查看文件内容，也不能浏览目录，没有2的权限高。,5读取及运行：同时包括3和运行。,6列出文件夹目录：能够查看文件夹内容，但不能访问文件。,7禁止访问：不具有如何权限。,读取,写入,最终的权限？,拒绝访问,完全控制,最终的权限？,注意,：远程共享用户对文件夹的最终权限是共享权限和安全权限中最严格的一种,读取,写入,本地权限,共享权限,读取,如用户从网上登录访问的最终权限？,3、磁盘管理和共享文件夹的管理：,磁盘管理：管理工具计算机管理磁盘管理,在此可以更改驱动器的盘符，找到未分区的硬盘空间,共享文件夹的管理：管理工具计算机管理共享文件夹,在此可查看已有的共享，以“$”结尾的共享为隐藏共享，查看当前来访的用户，查看被其他用户打开的文件,也可以停止共享、中断用户的会话、中断打开的文件,4、服务,管理工具服务,以Message服务为例：message服务主要用于信使服务，可以通过启、停来控制信息的传递；可以将一些服务从“自动”变成“手动”来实现避免“开机自启动”,5、本地安全策略,管理工具本地安全策略,使用简介：,一、Internet主机名与域名,root,com,edu,net,其它的顶级域,microsoft,update,bbs,主机名称 组织名称 代表该网站所属的组织为商业机构,第二讲 Windows 2003建站基础,三、IIS规划与实现 （,Internet Information Server,）,1、IIS安装,安装时应注意的安全问题：,（1）避免安装在主域控制器上（2）避免安装在系统分区上（3）缺省没随WIN2003一起安装,IIS的添加：,控制面板添加删除程序添加/删除windows组件选中第一项即可安装,一、 Web,站点基础,：,1、测试默认的WEB站点：在其它计算机IE地址栏中输入http:/ip地址,2、创建虚拟目录：通过指向一个新的文件夹，说明这个问题,3、创建WEB站点：,（1）增加本机IP地址的数量，为新建的WEB站点分配新的IP地址（虚拟服务器）,（2）改变WEB站点的TCP端口号，不同的WEB站点使用不同的TCP端口号，对于访问使用非默认端口的WEB站点时要注意，一定要在网址的后面加上端口号，如：:8080,例：把通讯录登记程序架设在每个人的虚拟机上,二、 管理Web站点：,1、配置Web站点属性 ：,在对应的WEB站点在点击右键，点属性,网站 的说明信息,该站点对应的IP,该站点对应的端口号,限制同时连接的用户数,记录访问的日志,设置记录的选项及日志的格式,规定时间内用户没有反应，则断开,选中能加快网站对用户的响应速度,可以按F1键查看更详细的帮助,2、配置主目录和内容权限,指定本地主目录路径,指定远程主目录,其他网站或其之下的目录,允许用户查看脚本资源，如ASP等,其它选项可以不用了解，如想进一步了解，可以查看联机帮助,3、分配站点管理员：,默认情况下，只有超级用户有权管理WEB站点，你可以添加其他的管理员,4、调整web站点性能,达到这一限制时，多出部分的请求将被拒绝,CPU使用的参考值，只会适当降低,如强制降低可能影响系统的稳定性,5、添加缺省主页,所谓缺省主页，是指用户在请求站点（例如在浏览器地址栏中输入站点域名）之后，所收到的默认网页。通常我们也将网站的首页称为主页。,通常客户机首先尝试加载优先级最高的主页，一旦不能成功下载，将降低优先级继续尝试。文档在列表中的位置越靠上意味着其优先级越高。,6、添加ISAPI筛选器,ISAPI筛选器 是一种服务器端应用程序的实现方式，ISAPI筛选器又名ISAPI应用程序，是指使用ISAPI技术开发的程序。ISAPI类似早期的CGI技术，能够实现简单的浏览器/服务器（Browser/Server构架）交互式应用。ISAPI占用服务器内存小，能够运行于独立的内存空间，具有极大的灵活性。故逐渐成为CGI的替代技术。,ISAPI应用程序以动态链接库，即.dll文件的形式实现，凡是连入网站的用户必须通过该.dll文件的处理，从而实现应用程序的运行，因此，这种类似过筛子的应用程序工作方式页被叫做ISAPI筛选器。,比如，适当配置后，可以让,IIS执行PHP的程序,7、自定义错误信息,HTTP协议提供了一系列标准的错误代码，分别指示出错原因以及错误对象、可能的处理方法等信息。例如404错误，代表客户机请求的文件不存在；401.2错误，代表客户没有相应权限访问指定资源。,对于一个追求个性或者更加体贴用户的网站而言，有必要重新编辑这些提示信息，使之变得对客户更加有用，而不是对这一大堆术语束手无策,除了更改错误号对应的文件外，我们还可以修改原文件，如401-3.htm,使用见 (修改了403-9.htm),8、设置内容过期策略和HTTP头,网站中的某些信息是对时间敏感的，诸如专门报价或通知公告，过期之后它们将失去存在价值。而客户机的本地缓存往往倾向于尽量多的将已经下载的网页保存在本地硬盘，以便客户机再次请求时直接从本地加载。这里提到的过期策略就是针对这一矛盾而开发的。它为当前主页预先定义过期时限，浏览器在加载网页时将当前日期与失效日期进行比较，以便确定是显示高速缓存页还是从服务器请求更新的页。(如想了解更多信息，请参考书本),9、目录安全性,用户的限制,IP地址的限制（我校VOD站点如何实现对校外校内进行限制）,一、多Web站点配置,在一台计算机上实现多个Web站点的方式称为虚拟服务器。尤其对于多个小型,站点，虚拟服务器可以极大的节省硬件成本，如图,同一台主机配置多WEB站点的方式有三种，1、多IP；2、更改端口方式(存在着一定的不足,要求用户在IP地址或域名的后面加上端口号),二、Web站点安全性设置,1、NTFS权限设置 （对不同用户设置不同的权限）,2、目录和访应用程序问权限设置 （IIS中配置）,3、匿名和授权访问控制,（ IIS中配置）,4、IP地址和域名访问控制 （ IIS中配置）,5、使用权限向导,6、综合安全访问控制,服务器接受请求,IP地址限制,用户认证,WEB权限,NTFS权限,允许访问站点,拒绝访问站点,允许,允许,允许,允许,拒绝,拒绝,拒绝,拒绝,一、FTP站点基础,FTP（File transport protocols），Internet上专用的文件传输协议，在文件传输上比HTTP具有更快的速度和更好的性能。在IE地址栏中输入FTP:/服务器IP地址后即可访问FTP服务器，记住FTP不能省略，如：,ftp:/,默认进入匿名用户的连接方式，当然你也可以用特定的用户名登录进入。客户,端的使用见最后一讲,二、创建FTP站点,1、规划FTP站点,计算机的选择：硬盘空间较大,摆放位置：位于主干上,TCP端口的配置：21为默认端口,2、创建FTP站点,3、创建虚拟目录,技巧:,当我们在IE中打开站点时，在IE窗口中却并未看见新建的虚拟目录 ,解决的,办法是“我们可以在主目录下创建一个与虚拟目录同名的假文件夹 ”,第五讲 实现FTP服务,三、管理FTP站点,1、FTP站点：打开IIS管理界面，右击管理控制树中的FTP站点图标，从弹出菜单中选择【属性】,2、安全账号：使用同WEB站点,3、消息：欢迎词、用户数已满、退出,4、主目录：使用同WEB站点,5、目录安全性：使用同WEB站点,四、FTP站点的安全性,IP地址限制用户认证FTP权限NTFS权限允许上传或下载,服务器接受请求,IP地址限制,用户认证,FTP权限,NTFS权限,允许上传或下载,拒绝访问站点,允许,允许,允许,允许,拒绝,拒绝,拒绝,拒绝,五、实用FTP服务器端软件Serv-U,Serv-U是一种被广泛运用的FTP服务器端软件，支持9x/ME/NT/2K/2003等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、下载的线程数、登录主目录及空间大小等，功能非常完备。,Serv-U的下载、安装、汉化、详细使用见教材和演示,一、DHCP的基本概念,1、DHCP：,动态主机分配协议，是一个简化主机IP地址分配管理的TCP/IP 标准协议,2、使用 DHCP的好处 ：,DHCP 避免了因手工设置IP地址及子网掩码所产生的错误，同时也避免了把一个IP地址分配给多台工作站所造成的地址冲突。降低了管理IP地址设置的负担使用DHCP 服务器大大缩短了配置或重新配置网络中工作站所花费的时间,第六讲 DHCP服务器的配置,二、DHCP的运行方式,三、DHCP的中继,具有DHCP/bootp中继功能的路由器,不具有HCP/bootp中继功能的路由器,添加具有DHCP中继代理的服务器,四、DHCP服务器的安装与配置,1、安装,2、添加DHCP服务器（DHCP服务器要有固定的IP地址）,3、为DHCP服务器添加作用域(地址池必须与DHCP服务器的IP地址在同一个子网),4、对DHCP服务器进行授权（属于域的DHCP服务器必须要有AD的授权）,5、保留特定的IP地址,6、配置作用域选项,五、DHCP客户机的设置,详细请参考书本,六、DHCP的人为干预,Ipconfig /all 查IP地址,Ipconfig /release 释放获取的IP地址,Ipconfig /renew 重新获取新的IP地址,一、DNS服务概述,1、DNS服务器的工作原理,第七讲 DNS服务器的配置,2、本节实验中要用到DNS拓扑,E,E,yizhong,tea,stu,二、DNS属性的配置,1、连接到计算机：,2、启用转发器：选中计算机，右键点击属性，点击转发器标签，在IP地址栏中填入你上一级DNS的IP地址,三、创建搜索区域,1、正向搜索区域：域名到IP地址的解析（必不可少）,a.标准主要区域,b.标准辅助区域,2、反向搜索区域：IP地址到域名的解析,四、添加资源记录,1、新加主机：student1,2、新建别名：s1使其等价于student1,3、新建域：当前域的子域，由本DNS管理,4、新建委派： 当前域的子域 ，由另一主机管理 ，比如在,中新建委派dell，将产生子的新DNS域 .,并由新的DNS主机来管理,一、客户端邮件的配置（outlook express）,1、账户的添加：,2、当一个账户想在多处同时使用时，只要按上所述重复配置即可，如一封来信想在多处都能收到时，则需如下配置：工具账号对应的邮件帐号属性高级选中在服务器上保留备份,3、工具中选项的使用,二、邮件服务器的搭建,见P139,三、远程管理的WEB桌面,第八讲 实现邮件服务,第九讲 路由和远程访问,Microsoft Windows 2003 Server 路由提供多协议 LAN 到 LAN、LAN 到 WAN、虚拟专用网络 (VPN) 和网络地址转换 (NAT) 路由服务。Windows 2003 Server 路由供已经熟悉路由协议和服务以及可路由协议（例如 TCP/IP、IPX 和 AppleTalk）的系统管理员使用。,一、路由的启用,管理工具路由和远程访问，打开如图所示的窗口，右键点击机器名，启用路由和远程访问功能,二、NAT地址转换,实现的功能是：通过一个IP地址，一条线路让内部的所有计算机同时上网,要求做为服务器的计算机配置两块网卡，图示如下：,要启用NAT请选择该选项，点击下一步,做为一个服务器来使用我们应该选择第二个选项（地址转换）,选择对外的网卡,选择对内的网卡,点下一步，再点完成即可,三、手动配置路由,选择手动配置路由，以缺省的路由配置启动，用户再自由的添加相应的路由选择协议,四、路由选择协议,1、静态路由：,A、为什么需要静态路由？,B、静态路由的配置,将子网192.168.2.0的数据包发往三层交换机,选择对内的网卡,C、路由表的检验,执行显示路由选择表,在弹出的窗口中查看路由表中现有的路由,当然静态路由的添加也可在DOS命令提示符下通过Route add命令实现,有关Route命令的使用请查看在线帮助.,、特殊的端口映射,对本机每一个公用的访问,上南的配置意义如下：外界对10.10.10.7的访问转向内部192.168.1.7主机,2、Rip和spf协议的使用,Rip,spf,Rip协议中加入左边的那块网卡,有关rip和ospf的更多知识在路由和交换中会涉及到,五、拨号的设置,1、修改用户属性，允许远程拨入,2、启动远程访问服务器,4、设置远程访问策略如下,选中,一、网上邻居的使用,在网上邻居中查找共享文件夹，共享打印机往往要花费很长的时间，尤其是在局域很大的情况下，等待的简直让人无法忍受，其实只要在资源管理中直接输入,例： pc_name,pc_name共享文件夹名,pc_name打印机共享名,如不再一个局域网内还可以用IP代替pc_name,例：ip 地址,第十讲 小应用,二、远程桌面,A、远程调试,B、文件传输,C、控制前台,三、 系统自带的Neetmeeting软件,可实现 ：网上电话、视频会议、共享程序、聊天等,使用见演示,