网络应用服务管理

网络应用服务管理网络应用服务管理是计算机网络管理的核心内容。它的主要内容包括：配置Web服务器、配置FTP服务器、配置电子邮件服务器、配置代理服务器、配置VPN安全接入服务器、服务器的安全分析与设计等等。通过本项目的学习，熟练掌握重要的网络应用服务管理，初步具备为网络用户提供网页浏览、文件传输、收发电子邮件、VPN接入服务以及安全访问Internet等功能的能力。本项目学习目标l 初步掌握计算机网络操作系统的知识l 了解常见网络服务的基本概念、服务功能及服务原理等相关知识l 初步掌握重要网络服务的配置管理与日常维护技能任务一、掌握DNS服务管理7.1.1 任务描述A学校是某市辖区内一所职业高级中学，全校有教职工：230多人，学生：2500多人。学校管理机构下设：办公室、教务处、后勤科等，主要负责日常学校各项事务管理。学校建有办公网，因各种原因网络还没有接入互联网，办公室及各部门通过连接办公网进行内部信息交流、文件传输、资料与打印机共享等。现在学校教务处为提升服务水平、公布最新信息，请软件服务公司制作了“教务处网站”，网站设“教务处通知”、“教务动态”、“最近事宜”等栏目，网站服务器放在教务处办公室的一台Server1电脑上（IP地址：192.168.10.1、操作系统：Windows server 2003），学校教师在校内均可通过 :/192.168.10.1地址访问教务处网站，查询相关信息。然而网站运行没多久网管员小C就发现自己最近 特别多，而且有很多是重复咨询 。原来都是大家普遍反映教务处网站 :/192.168.10.1地址复杂难记只好打 咨询，还有的是隔二天没使用又忘记了只好重复咨询小C。同时相关领导也发现了同样的使用问题，为更好促进网站的利用，方便广大教职工，交待给小C一个任务：要求利用现有网络技术，参考现有解决方案，为网站取一个简单易记的英文名称替换复杂的数字IP地址作为网站的使用名称，以方便广大教师的使用。7.1.2 方法与步骤7.1.2.1. 任务分析A学校小C的任务其实就是一个典型的域名解析服务（DNS）的应用案例。我们都知道网络中计算机之间的信息交流都是首先是通过双方的逻辑IP地址进行的，然后再翻译成网卡物理MAC地址进行实际传递信息的。可是IP地址的缺点是复杂且不方便记忆，所以为了解决这一问题就出现了DNS服务，专门用来解析名称与IP地址的映射关系。也就是说专门指定一台电脑负责名称与IP地址的映射关系查询，这样网络中计算机之间的信息交流就不局限于IP地址了，从而可以使用更形象、易记的名称取代IP来表示网站名称，如使用英文单词来表示学校网站名称、用部门字母简写表示网站名称等等。从本任务情况分析得出：A学校教务处网站访问采用最简单 :/192.168.10.1的方法，因为采用IP地址访问方法的固有缺点，导致用户使用不方便，因此要求对现有网络进行升级，架设网络应用服务中的DNS服务，并给教务处网站的网址重新命名： :/jwc.school 。如果把网址名称确定为这一方便、易记的新网站名称后，接下来的任务就是如何配置管理网络中的的DNS服务器，让DNS服务提供解析服务即：建立jwc.school 192.168.10.1 二者之间的映射关系，如实现这个任务，则小C的任务也就能顺利解决了。7.1.2.2. 安装DNS服务要在网络中实现DNS服务功能，就必须提供运行DNS服务的Windows 或Linux操作系统的服务器一台，本书选取安装容易、操作直观的图形化操作系统Windows server 2003服务器为例进行服务的管理配置。从任务中可知，Server1是教务处提供网站服务的一台服务器且操作系统为Windows Server 2003 ，所以鉴于网站访问流量不大，为节省硬件资源小C决定将DNS服务也同时安装在网站服务器上，安装及配置过程如下：由于Windows Server 2003服务器默认安装情况下不安装DNS服务器，所以在使用DNS域名解析服务器前，还要先进行DNS服务程序的安装操作。安装DNS服务器组件，使用“添加或删除程序”方式进行：1. 打开任务栏的“开始-控制面板-添加或删除程序”,单击“添加/删除Windows组件”，在组件向导中选择“网络服务”，如图7-1所示。2. 双击“网络服务”，弹出“网络服务”窗口，勾选“域名系统（DNS）”项,单击“确定”按钮，如图7-2所示。3. 返回前一个对话框，单击“下一步”按钮。4. 完成安装后，单击“完成”按钮。图7-1 安装网络服务图7-2 选择安装域名系统7.1.2.3. DNS服务的管理一. 管理DNS服务DNS服务管理包含二个方面内容：一是主机区域名的管理，另一个是主机域名和IP地址之间映射关系的管理。通常一台DNS服务器可以管理多个区域，一个区域可以也可以由多台服务器来管理，共同负责本域的主机与地址映射服务（例如由一个主DNS服务和多个辅助DNS服务来管理同一个区域）。域名解析有两个方向：将DNS名称解析成IP地址的过程称为正向解析，它的主要作用是提供容易用户记忆的名称转换为逻辑的用于TCP/IP协议通信的数字型IP地址；从IP地址解析成DNS域名的过程称为反向解析，它主要用作已知IP地址，反向查找出对应的主机名称，比如常使用于邮件服务器间反向验证域名等。正向解析的应用非常普遍，而反向解析则极少使用。根据任务分析可知，本次任务的主要内容：1)2) 解析主机：jwc.school 1. 创建正向区域的主要过程：配置DNS服务创建正向区域，实现从域名到IP地址的解析任务。1) 点击“开始-管理工具-DNS”，打开DNS管理器，右键单击“正向查找区域”，选择“新建区域”，然后单击“下一步”按钮，如图7-3所示 。图7-3 创建新区域2) 显示“区域类型”对话框，选择“主要区域”选项，单击“下一步”。3) 显示“区域名称”对话框，根据项目命名方案，输入区域名称：school ,如图7-4所示。图7-4 设置区域名称4) 打开“区域文件”对话框中，系统默认选中“创建新文件”，单击“下一步”按钮。5) 显示“动态更新”对话框，选择“不允许动态更新”，单击“下一步”按钮，完成。6) 鼠标右键单击新创建的:“”区域名，选择“新建主机”。输入名称：“jwc”,IP地址输入：“192.168.”，单击“添加主机”按钮，如图7-5所示，弹出“”提示框，单击“完成”按钮，完成该主机创建。图7-5 创建主机2. 创建反向区域的主要过程：配置DNS服务创建反向区域，反向区域用于IP地址到DNS名称的反向解析。1) 点击“开始-管理工具-DNS”，打开DNS管理器，右键单击“正向查找区域”，选择“新建区域”，然后单击“下一步”按钮，如图7-6所示 。图7-6 创建反向区域2) 显示“区域类型”对话框，选择“主要区域”选项，单击“下一步”。3) 显示“反向查找区域名称”界面，在此指定反向区域的网络ID，如图7-7所示。图7-7 输入反向区域网络ID4) 单击“下一步”按钮，显示“区域文件”界面。区域文件文件名称使用默认文件名，如图7-8所示。图7-8 选择反向区域文件名5) 显示“动态更新”对话框，选择“不允许动态更新”，单击“下一步”按钮，完成。6) 创建资源记录，反向区域资源记录可以直接在创建正向区域资源记录时，勾选创建相关指针（PTR）记录，即可同步完成创建反向区域的资源记录，如图7-9所示。图7-9 同步创建反向区域资源记录二. 配置客户端测试DNS服务器当DNS服务器上区域和资源记录建立结束后，客户端必须正确配置DNS服务器信息才能让DNS服务器为其提供解析服务，步骤如下：1) 用鼠标右键单击“网上邻居”，选择“属性”，打开网络连接窗口。2) 用右键单击“本地连接”图标，然后选择“属性”，打开“本地连接属性”对话框。3) 在“本地连接属性”对话框中，双击“Internet 协议TCP/IP”，打开“属性”对话框。4) 在Internet协议TCP/IP对话框中，填入如下信息，如图7-10所示：IP地址：192.168.10.1 (DNS服务器主机的IP地址) 网关: 192.168.10.1 首选DNS服务器： 192.168.10.1 图7-10 客户机IP地址配置到此，配置DNS服务器的过程就算全部完成了，现在可以测试DNS服务的配置了。打开命令提示符窗口，使用nslookup命令测试DNS服务器，正向与反向解析查询过程如下：1) 运行nslookup，测试正向解析，输入正向域名：jwc.school ，下面返回解析结果：192.168.10.1，结果正确，说明DNS服务正向解析服务工作正常，结果如图7-11所示。图7-11 正向解析查询结果2) 测试反向解析，输入反向解析IP地址：192.168.10.1，下面返回解析结果：jwc.school ，结果正确，说明DNS服务反向解析服务工作正常，结果如图7-12所示。图7-12 反向解析查询结果7.1.3 相关知识与技能1.3.1. DNS服务概述20世纪60年代末，美国资助建立了试验性广域计算机网Arpanet，到了20世纪70年代，Arpanet还只是一个拥有几百台主机的小网络。这样的小型网络仅需要一个HOSTS文件就可以容纳所有的主机信息(HOSTS提供的是主机名到IP地址的映射关系)，也就是说当时用主机名进行网络信息的共享，而不需要记住IP地址，更不需要DNS服务器的参与。然而，随着网络的迅速扩张，计算机网络几何倍数的增加，HOSTS文件日益庞大逐渐不能够快速完成解析任务，而且更新、维护也出现了相应的问题。于是为解决这一问题就出现了DNS服务器，专门用来解析名称与IP地址的映射关系。由于采用了分层、分级的方式，使得位于某节点上的服务器可以只响应一个特定名称组，从而使得DNS服务轻便、快捷，并能在最快时间内为用户提供DNS域名解析服务。在现在的Internet网络中，每台计算机都有一个自己的名称。通过这个易识别的名称，网络用户之间可以方便地进行互相访问。事实上，因为计算机硬件只能识别二进制的IP地址，所有网络中的计算机之间建立连接并不是真正通过这些大家熟悉的计算机名称，而是通过每台计算机各自独有的IP地址来完成的。因此，在Internet中就需要有许多服务器来完成将计算机名转换为对应IP地址的工作，以便实现网络中计算机的信息交换，这些服务器就叫做域名服务器，它们提供的服务称为域名服务。DNS是就是域名系统 (Domain Name System) 的缩写，它的主要作用就是将域名（比如 edu ）解析成机器能识别的IP地址（比如）。因为在网络中最终访问的都是IP地址，假设DNS服务器出了问题，那么就不能使用 :/ edu 进行访问，但是仍然可以使用 :/202.112.0.36进行网络访问。1.3.2. DNS的层次结构DNS服务是采用分层、分级方式组合的一套协议和服务，它由名字分布式数据库组成，通过建立逻辑树状的域名空间，来完成查询域名等一系列综合性服务。DNS系统的核心是位于各个层次上的DNS服务器。在INTERNET 上，一个完整的域名结构空间层次如图7-14所示组成：图7-14 域名层次结构图1) 根域DNS域名空间的最顶层被称为根域（Root Domain)，由Internet NIC 组织负责划分全世界的IP地址范围，同时又负责分配Internet 上的域名结构。根域是DNS命名体系中最高级别，只负责管理“com”、“net”等顶级域的DNS服务器位置，世界上任何一台DNS服务器都知道根DNS服务器地址。2) 顶级域DNS域名空间的第二层叫顶级域，是由常用的com、org、net、edu及国家代码us、cn等组成，用于指示国家或使用者的公司类型。3) 各级子域DNS域名空间的第三层是由各个组织或单位根据自己的需要而创建的域名称，需要在顶级域下注册成功后才能使用。比如对于sohu 来说，sohu是组织自行命名的域名称，他需要在com服务器下进行注册才能生效。4) 主机在DNS域名空间中，域名表示一个区域名称，主机名表示实际的计算机。如com顶级域下可能有sohu 和163 二个区域，在这两个区域中有可能都有一台计算机叫www，这样 sohu 和 163 表示的就是属于不同域的两台不同的主机，所以主机名一定要和域名加在一起使用。1.3.3. DNS的工作原理及过程图7-15 DNS服务的工作过程第一步：客户机提出域名解析请求，并将该请求发送给本地的域名服务器。 第二步：当本地的域名服务器收到请求后，就先查询本地的缓存，如果有该记录项，则本地的域名服务器就直接把查询的结果返回。 第三步：如果本地的缓存中没有该记录，则本地域名服务器就直接把请求发给根域名服务器，然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域) 的主域名服务器的地址。 第四步：本地服务器再向上一步从根域返回的域名服务器地址发送请求，收到请求的域名服务器查询自己的数据，如果没有该记录，则返回相关的下级子域名服务器的地址。 第五步：重复第四步，直到找到包含查询记录的域名服务器地址，向该服务器提出请求，服务器从数据库中取出记录，发送给本地域名服务器。 第六步：本地域名服务器把返回的结果保存到缓存，以备下一次使用，同时还将结果返回给客户机。 现在举一个例子来详细说明解析域名的过程:1) 假设我们的客户机要访问网站： sohu ，客户机向本地DNS服务器请求解析 sohu 的IP地址；2) 本地DNS服务器无法解析此域名，所以它首先向根域服务器发出查询请求，查询代理 域的DNS服务器IP地址；3) 根域DNS收到请求后将代理 域的DNS服务器IP地址发送给本地DNS服务器；4) 本地DNS服务器得到查询结果后接着向管理 域的DNS服务器发出进一步的查询请求，请求查询代理sohu 域的DNS服务器地址；5) 管理com域的服务器收到查询请求后，管理sohu 域的服务器IP地址返回给本地DNS服务器。6) 本地DNS服务器得到查询结果后接着向管理sohu 域的DNS服务器发出查询具体主机www的IP地址的请求；7) 管理sohu 域的服务器把查询结果返回给本地DNS服务器；8) 本地DNS服务器得到了最终的查询结果，它把这个结果缓存，然后将结果返回给客户机，从而使客户机能够和远程主机通信。1.3.4. 配置SOA资源记录DNS服务器加载区域时，会读取起始授权机构（SOA）资源记录中的设置来确定区域的授权属性。在默认情况下，添加新区域向导会自动创建这些记录及初始值。起始授权机构（SOA）资源记录在任何标准区域中都是第一个记录，内容包括服务器的名称，区域的基本属性，内容如图7-16所示。图7-16 SOA 资源记录SOA资源记录各属性功能、含义说明如下：序列号：表示该区域文件的修订版本号。每次区域中的资源记录改变时，该值便会增加。该值用来标识区域数据内容改动后的ID值，可提供用户判断区域数据的更新状态，以决定是否复制到其他辅助服务器上。主服务器：区域的主DNS服务器的主机名。负责人：管理区域的负责人的电子邮件地址，注意在该电子邮件名称中使用英文句点“.”代替符号“”。刷新间隔：以秒计算的时间，表示辅助DNS服务器更新的频率。当刷新间隔到期时,辅助DNS服务器将其本地SOA记录的序列号同主DNS服务器的当前SOA记录的序列号相比,如果二者不同，则辅助DNS服务器从主要DNS服务器请求区域更新。重试间隔：以秒计算的时间，是辅助服务器在重试失败的区域传送之前等待的时间。过期间隔：以秒计算的时间，是指在该区域数据没有从其源服务器刷新的最长期限，超过该期限，辅助DNS服务器将停止响应查询。默认情况下，该时间段为1天（24小时）。最小(默认)TTL：适用于区域内带有未指定记录特定TTL的所有资源记录的最小生存时间(TTL)值。此记录的TTL：表示该SOA资源记录在客户端存留的时间。名称服务器：该选项用于标记被指定为区域权威服务器的DNS服务器，这些服务器能给出权威性应答。在区域属性设置对话框中切换到【名称服务器】选项卡，即可编辑名称服务器列表，设置区域复制：DNS提供了将名称空间分割成一个或多个区域的选项，可以将这些区域存储、分配和复制到其他DNS服务器。标准的主区域在第一次创建时以文本文件形式存储，包含在单个DNS服务器上的所有资源记录信息。该服务器充当该区域的主服务器，区域信息可以复制到其他DNS服务器，以提高容错性能和服务器性能。任务二、掌握WEB服务的管理。7.2.1 任务描述A学校是某市辖区内一所职业高级中学，随着近几年信息化建设的快速发展，学校对信息化建设也越来越重视。A学校地处经济落后地区，学校信息化建设基础较差，全校建有一个局域网供内部教职工文件传输与资料共享用外，没有任何软件应用系统与信息化项目。学校办公室主要负责日常学校事务管理，通知文件的上传下发等。现在办公室电脑员小陈为提高办事效率，加快日常通知文件的下发速度，在Windows平台下开发设计了一个“办公室网站”，用于日常发布通知、上传资料、共享文件等。网站基本功能开发已经完成，接下来任务是根据任务信息及要求，进行操作系统的安装、WEB服务管理等操作，完成办公室网站的发布任务。任务信息：WEB服务器操作系统：Windows Server 2003WEB服务根目录：c:wwwroot7.2.2 方法与步骤7.2.2.1. 任务分析A学校小张的任务就是架设网站服务（WEB服务）的一个应用案例。网站服务的主要作用就是为用户提供网站发布服务器，Windwos Server 2003操作系统提供网站服务程序叫IIS组件。用户要对外发布网站首先要安装IIS服务，Windwos Server 2003操作系统提供的是IIS 6.0版本。在IIS6.0中提供了如下主要管理功能：管理网站标识、设置网站主目录、网站QoS配置、管理网站身份验证、虚拟目录等。由任务信息可知办公网站的开发运行平台是：Windows服务器操作系统；网站编程使用的是ASP编程，ASP程序目前普遍使用Windows的Internet 信息服务（IIS）编译执行，IIS优点是安装容易，使用简单；网站系统的IP地址是：192.168.1.3，因本服务器目前只有一个网站，则此IP地址可以用作访问本网站的网址，端口号使用 服务的默认端口80，所以办公网站的网址是： :/192.168.1.3。所以接下来任务就是如何配置管理网络中的WEB服务器发布办公室网站，如实现这个任务，则小张的工作任务也就完成了。7.2.2.2. 安装WEB服务Windows Server 2003 服务器为减少开启服务的数量，降低系统安全风险，在默认安装情况下是不安装IIS6.0组件的，所以在确定要配置一台Web服务器时，需要预先安装IIS6.0组件。安装IIS6.0组件，可以使用“添加或删除程序”方式进行：1) 通过任务栏的“开始-控制面板-添加或删除程序”,单击“添加/删除Windows组件”，在组件向导中选择“应用程序服务器”，如图7-17所示。图7-17 运行组件程序2) 双击“应用程序服务器”，在弹出对话框中勾选“Internet 信息服务（IIS）”，单击“确定”按钮，如图7-18所示。图7-18添加IIS组件3) 安装进程完成后，点击“完成”按钮就完成IIS6.0的安装。7.2.2.3. WEB服务的管理1、 创建网站根目录及首页文档由任务信息得知WEB网站内容存放在本地磁盘c:wwwroot目录下，系统中并无此目录所以在配置服务前先要在磁盘C中创建此目录，用作网站根目录。为便于网站配置测试，我们在网站根目录c:wwwroot下创建一个页面文件index.html。编辑index.html文件，在文件中输入内容为：“A学校办公室网站！服务器操作系统：Windows server 2003”。2、 用IIS管理WEB站点在系统中安装IIS服务后，会自动创建一个默认WEB站点。该站点使用默认设置，站点内容为空，用户可以在IIS中创建一个新的WEB站点。具体配置IIS服务器，完成办公网站发布任务过程如下：1) 点击“开始-管理工具-Internet信息服务（IIS）管理器”，右击“网站”，选择“新建”，选择“网站”命令，如图7-19所示:图7-19 新建站点2) 显示“网站创建向导”对话框，单击“下一步”按钮。3) 显示要求输入“网站描述”，以方便管理员识别站点内容。描述内容：“A学校办公网站”，然后单击“下一步”。4) 在“IP地址和端口设置”窗口中，设置网站IP地址：“全部未分配”，指定网站端口：“80”，网站主机头：“空”，然后单击“下一步”按钮，如图7-20所示。图7-20 网站Ip地址和端口设置5) 显示“网站主目录”窗口，设置网站主目录为：“c:wwwroot”，勾选“允许匿名访问”框，单击“下一步”按钮.6) 显示“网站访问权限”窗口，设置“运行脚本(如ASP)”权限，配置服务器允许解析ASP等类型的动态网页程序，如图7-21所示，然后单击“下一步”按钮。图7-21 设置网站访问权限7) 设置默认文档属性：双击刚创建的网站，弹出“A学校办公网站”窗口，点击“文档”页，在“启用默认文档”窗中添置：index.html、index.asp等常用网站首页文件,并将企业网站的程序代码复制到根目录c:wwwroot下。8) 启用新建站点：创建WEB站点后，在IIS管理器中看到新建的站点是停止的，默认站点则处于运行状态。要启用新站点，右击“默认网站”选择“停止”，右击“A学校办公网站”,选择“启动”。9) WEB服务器配置完成。3、 测试WEB站点IIS配置结束，在IIS中启动网站后，就可以进行测试。打开IE浏览器，网址中输入WEB服务器地址： :/ 192.168.1.3进行测试，如果网页内容显示“A学校办公网站”,则说明WEB服务配置成功，否则检查WEB设置是否有误或网页文件是否建立,结果如图7-22所示。图7-22 网站显示页面7.2.3 相关知识与技能7.2.3.1. WEB服务概述Web服务器是指使用超文本标记语言（Hyper Text Marked Language ,HTML）描述网络的资源。在目前的局域网或Internet中，Web服务是最流行、也是最重要的服务。个人或者公司利用Web服务能够迅速且有效地通过Internet向全球用户发布信息和获取信息。信息发布是Web服务的用途之一，它还可以作为数据处理、网络办公、视频点播、资料查询、论坛等诸多应用的基础服务平台，由此可以看出Web服务对于网络的重要性。7.2.3.2. 什么是IISIIS是Internet Information Service 的简称，也叫Internet信息服务。它提供强大的互联网和互联网之间的服务功能。同时也是Windows Server 2003 的一个重要的服务器组件，主要是负责向网络上的客户机提供各种Internet服务其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。Windows Server 2003 系统自身提供的组件版本是IIS6.0，集成的IIS6.0为用户提供了一个可靠、安全、可伸缩、可管理的Internet服务平台。新的IIS6.0版本与旧的系统提供的IIS 5.0相比，IIS6.0在安全性、性能改进、恢复和防止Web应用程序故障等方面都有新的特性和改善：1) 增强的安全性：IIS 6.0远比IIS 4 或 IIS 5 安全，它拥有很多新的功能特性，能够大大提高您的Web基础结构的安全性，IIS6.0的安全功能包括身份验证、访问控制、证书、加密与审核。为了减少系统向外界暴露不必要的服务与端口，IIS 6.0在默认情况下不会安装在Windows Server 2003之中，IIS 6.0缺省即处于锁定状态下，并仅仅能够为用户提供静态内容。通过使用Web服务扩展节点，Web站点的管理员可以根据组织的特殊需要，启用或禁用某些IIS功能。Web服务扩展列表 默认情况下的IIS安装不会编译、执行或者提交任何动态页面。为了向用户提供这些文件，您必须在Web服务扩展列表中添加每个允许提交的文件扩展名。这种做法可以防止某些人调用一些不够安全的动态页面。“网络服务”用户账户运行，这个在Windows Server 2003中新增加的账户类型是一种拥有有限操作系统权限的内置账户。2) 增强的服务性能相比旧版本，IIS 6.0的性能已经得到了很大的提高，服务器在相同条件下可托管更多的站点和执行更多的应用程序。IIS 6.0改进了操作系统使用内部资源的方法，比如：在初始化过程中，IIS 6.0不会预先分配资源，从而有效提高资源的利用。服务器的启动和关闭程序过程更加快捷，所有这些改进都使得IIS 6.0能够以更大的伸缩性对站点进行管理. Windows Server 2003引入了新的内核模式驱动程序，即 协议堆栈（ .sys），并使用它进行 的解析和缓存，从而大大提高了系统的伸缩性和性能表现。在IIS6.0中，Web应用程序可以有如下两种工作模式：工作进程隔离模式和IIS5.0隔离模式，这两种模式都要依赖于 .SYS 作为 协议的侦听程序。IIS 6.0便建立在 .sys的基础之上，并且针对提高Web服务器的吞吐量这一目的进行了特别的优化和调整。其中工作进程隔离模式是利用IIS6.0重新设计的体系结构，并且使用工作进程的核心组件，运行在工作进程中的应用程序的默认标识为NetworkService，所以工作进程隔离模式相对依赖于IIS5.0的IIS5.0隔离模式更可靠、更安全。 3) 更方便的应用程序开发通过提供一组全面完善的集成化应用程序及相关软件工具，Windows Server 2003应用程序环境大大提高了开发人员的工作效率。通过将ASP.NET和IIS的集成，以及Windows Server 2003的各种增强功能，为开发人员提供了高水平的功能特性，例如快速应用程序开发（RAD）和广泛灵活的语言选择。在Windows Server 2003中，使用ASP.NET和.NET Framework的体系得到了进一步优化，因为用来处理请求的体系架构与IIS 6.0紧密集成在一起，开发人员可以使用各种语言构建基于.NET的应用程序和服务。 IIS 6.0提供了一个高性能的XML Web服务平台。XML Web服务为用户远程访问服务器功能提供了手段。通过使用Web服务，企业可以将编程接口暴露给他们的数据或业务逻辑，也可以通过客户端和服务器应用程序获得和操纵这些数据和业务逻辑。 过去， 协议的非Unicode结构将开发人员限制在系统代码页上。现在，利用经过UTF-8（UCS Transformation Format 8）编码的URL ，Unicode成为了可能，它带来的好处之一便是：人们可以支持更复杂的语言了，例如中文。IIS 6.0允许用户使用Unicode访问服务器变量。此外，它还添加了新的服务器支持函数，允许开发人员访问以Unicode形式表述的URL地址，因此改善了产品的国际化支持能力。7.2.3.3. WEB服务的工作过程基于网络的体系结构是Web工作的基本环境，而TCP/IP网络更是理想的运行沃土.从某种意义上说，Web的工作方式非常简单，它实际处于OSI/ISO模型（或TCP/IP）模型的应用层，只是一种网络协议的高层应用。标准Web应用程序其实就是一些HTML文件和其它的一些资源文件组成的集合。一个Web站点则可以包含多个Web应用程序，它们位于Internet上的一个服务器中，一个Web站点其实就对应着一个网络服务器（Web服务器）。Web服务器实际上是一种连接在Internet上的计算机软件，它负责Web浏览器提交的文本请求。Web浏览器是阅读和浏览Web的工具，它是通过客户端/服务器方式（C/S方式）与Web服务器交互信息的。一般情况下浏览器就是客户端，通过它要求服务器把指定信息传送到客户端，然后再通过浏览器把信息显示在屏幕上，所以浏览器实际上是一种允许用户浏览Web信息的软件，只不过这些信息是由Web服务器发送出来的。让我们用一个简单的图形来演示一下他们的关系，如图7-23所示。上半部分图示说明了客户计算机与服务器（这里是一个硬件）交互的关系；下半部分图示则说明了浏览器与Web服务器交互的关系：图7-23 Web服务的工作过程客户端浏览器首先向Web服务器发出资源请求，Web服务器收到请求并对请求做出响应，将响应数据发送给客户端浏览器，通常是一个HTML文件或者是ASP、JSP等动态网页数据，然后通过浏览器把HTML文件信息显示在屏幕上。这是最基本的Web服务工作过程。7.2.3.4. TCP/IP协议概述 Internet实现互联的关键是TCP/IP协议。在Internet内部，计算机之间互相发送信息包进行通信，TCP/IP协议对这种信息包的传输方式作了具体的规定，在实现上分别由IP协议和TCP协议共同配合完成，下面分别对IP和TCP协议进行介绍。1. IP协议概述IP协议定义在OSI-RM第三层网络层，是Internet最重要的协议。在IP协议中规定了在Internet上进行通信时应遵守的规则，例如IP数据包的组成、路由器如何将IP数据包送到目的主机等。各种物理网络在链路层（二层）所传输的基本单元为帧（MAC帧），其帧格式随物理网络而异，各物理网络的物理地址（MAC地址）也随物理网络而异。IP协议的作用就是向传输层（TCP层）提供统一的IP包，即将各种不同类型的MAC帧转换为统一的IP包，并将MAC帧的物理地址变换为全网统一的逻辑地址（IP地址）。这样，这些不同物理网络MAC帧的差异对上层而言就不复存在了。正因为这一转换，才实现了不同类型物理网络的互联。IP协议面向无连接，IP网中的节点路由器根据每个IP包的包头IP地址进行寻址，这样同一个主机发出的属于同一报文的IP包可能会经过不同的路径到达目的主机。IP协议的主要功能:1） 寻址网络中的每台计算机至少要有一个唯一的IP地址，IP地址由网络部分和主机部分组成，为寻址提供了基础。寻址数据中必须包括源网络和目的网络的标识符，通过使用目的网络标识符，IP协议可以向目的网络发送数据。当数据分组到达目的网络相连接的路由器时，再定位与目的网络相连的主机，完成寻址功能。2） 路由选择路由选择是以单个IP数据包为基础的，概括而言是确定某个IP数据包到达目的主机需经过哪些路由器。路由选择可以由源主机决定，也可以由IP数据包所途经的路由器决定。在IP协议中，路由选择依靠路由表进行。在IP网上的主机和路由器中均保存了一张路由表，路由表指明下一个路由器（或目的主机）的IP地址。路由表由目的主机地址和去往目的主机的路径两部分组成。其中，去往目的主机的路径通常是下一个路由器的地址，也可是目的主机的IP地址。3） 分段与组装IP数据包在实际传送过程中所经过的物理网络帧的最大长度可能不同，当长IP数据包需通过短帧子网时，需对IP数据包进行分段与组装。IP协议实现分段与组装的方法是给每个IP数据包分配一个惟一的标志符，且报头部分还有与分段与组装相关的分段标记和位移。IP数据包在分段时，每一段需包含原有的标志符。为了提高效率、减轻路由器的负担，重新组装工作由目的主机来完成。2. TCP协议概述TCP协议位于OSI-RM第四层传输层，是一个端对端、面向连接的协议。该协议弥补了IP协议的某些不足，其中比较突出的有两个方面：一是TCP协议能够保证在IP数据包丢失时进行重发，能够删去重复收到的IP数据包，还能保证准确地按原发送端的发送顺序重新组装数据；二是TCP协议能区别属于同一应用报文的一组IP数据包，并能鉴别应用报文的性质。这一功能使得某些具有四层协议功能的高端路由器可以对IP数据包进行流量、优先级、安全管理、负荷分配和复用等智能控制。TCP协议的主要功能1） 保证传输的可靠性TCP协议是面向连接的。所谓连接，是指在进行通信之前，通信双方必须建立连接才能进行通信，而在通信结束后终止其连接。相对于面向无连接的IP协议而言，TCP协议具有高度的可靠性。当目的主机接收到由源主机发来的IP包后，目的主机将向源主机回送一个确认消息，这是依靠目的主机的TCP协议来完成的。TCP协议中有一个重传记时器（RTO），当源主机发送IP包即开始记时。如在超时之前收到确认信号，则记时器回零；如果记时器超时，则说明该IP包已丢失，源主机应进行重传。对于重传记时器，确定合适的记时时长是十分重要的，它由往返时间来决定。TCP协议能够根据不同情况自动调节记时时长。需要说明的是，TCP协议所建立的连接是端到端的连接，即源主机与目的主机间的连接。Internet中每个转接节点（路由器）对TCP协议段透明传输。总之，IP协议不提供差错报告和差错纠正机制，而TCP协议向应用层提供了面向连接的服务，以确保网络上所传送的数据包被完整、正确、可靠地接收。一旦数据有损伤或丢失，则由TCP协议负责重传，应用层不参与解决。2） 提供部分应用层信息的功能在TCP协议之上是应用层协议（如FTP、SMTP、TELNET等），最终需依靠它们实现主机间的通信。TCP协议携带了部分应用层信息，可用来区别同一报文数据流的一组IP包及其性质。TCP协议对这些应用层协议规定了整数标志符，称为端口序号。被规定的端口序号成为保留端口，其值在01 023范围内（如端口序号23，用于远程终端服务）。此外还有自由端口序号，供个人程序使用，或者用来区分两台主机间相同应用层协议的多个通信，即两台主机间复用多个用户会话连接。进行通信的每台主机的每个用户会话连接都有一个插口序号，它由主机的IP地址和端口序号组成。在internet中插口序号是惟一的，一对插口序号惟一地标识了一个端口的连接（发端插口序号源主机IP地址源端口序号，收端插口序号目的主机IP地址目的端口序号）。利用插口序号可在目的主机中区分不同源主机对同一个目的主机相同端口序号的多个用户会话连接。在TCP协议段的头部各域中具有码位项。其中，SYN码位为应用数据流的开始位（当SYN置1，表示该IP数据包为某一应用报文的第一份数据包），FIN码位为应用数据流的结束位（当FIN置1时，表示此时数据包为某应用报文的最后一份数据包）。因此可利用SYN/FIN两个码位来规定某一应用报文（或某一应用数据流）的开始与结束。TCP协议就是利用端口序号和SYN/FIN码位来区分应用数据流并判断其性质的，从而使具有四层功能的高端路由器具有某些对应用数据流的控制功能。信息化社会的基础是计算机和互连计算机的信息网络，信息网络已成为十分重要的基础设施。计算机网络源于计算机与通信技术的结合，始于 20 世纪 50 年代，在近 20 年得到迅猛发展。特别是在最近 10 年来，随着 TCP/IP 协议的广泛应用和 Internet 的飞速发展，计算机网络已经深入千家万户， TCP/IP 协议也已经成为计算机网络事实上的协议标准7.2.3.5. OSI七层参考模型在 80 年代初国际标准化组织（ International Organization for Standardization, ISO ）制定的“开放系统互连参考模型”（ Open System Interconnection Reference Model, OSI ），该模型在规范计算机网络体系结构方面起到了不可替代的作用。 现代计算机网络的设计都是按照OSI 七层参考模型高度结构化方式进行的，结构化设计的最为重要的手段就是分层。1. 网络协议与分层 计算机网络是为了实现计算机之间的通信，任何双方要成功地进行通信，必须遵守一定的信息交换规则和约定，这些信息交换规则和约定就称为通信协议（ protocol ）。计算机上的网络接口卡、通信软件、通信设备都是遵循一定的协议设计的，必须符合一定的协议规范。 为了减少协议设计的复杂性，大多数网络都按层或级的方式来组织，每一层都建立在它的下层之上。不同的网络在分层数量和各层的名字、内容与功能上都不尽相同，然而，在所有的网络中，每一层的目的都是向它的上一层提供一定的服务，而把这种服务是如何实现的细节对上层加以屏蔽。 层按功能来划分，每一层都有特定的功能，它一方面利用下一层所提供的功能，另一方面又为其上一层提供服务。通信双方在相同层之间进行通话，通话规则和协定的整体就是该层的协议。每一层都有一个或多个协议，几个层合成一个协议栈（ protocol stack ）。协议的分层模型便于协议软件按模块方式进行设计和实现，这样每层协议的设计、修改、实现和测试都可以独立进行，从而减少复杂性。 不同机器内包含相同协议层的实体叫做对等进程，对等进程是利用协议进行通信的主体。相邻层之间通过接口来定义相互关系，接口定义下层向上层提供的原语操作和服务。层和协议的集合叫做网络体系结构。 2. OSI 模型分层OSI 模型有七层，其分层原则如下： 根据不同层次的抽象分层； 每一层应当实现一个定义明确的功能； 每一层功能的选择应当有助于制定网络协议的国际标准； 各层边界的选择应尽量减少跨过接口的通信量； 层数应足够多，以避免不同的功能混杂在同一层中；但也不能太多，否则体系结构会过于庞大。 1) 物理层 物理层（ physical layer ）是 OSI 模型的最低层，它建立在物理通信介质的基础上，作为系统和通信介质的接口，用来实现数据链路实体间透明的比特流传输。在设计上必须保证一方发送出二进制“ 1 ”时，另一方收到的也是“ 1 ”而不是“ 0 ”。 物理层是 OSI 中唯一设计通信介质的一层，它提供与通信介质的连接，描述这种连接的机械、电气、功能和规程特性，以建 立、维护和释放数据链路实体之间的物理连接。物理层向上层提供位信息的正确传送。 物理层协议定义了硬件接口的一系列标准，典型地如用多少伏特电压表示“ 1 ”，多少伏特表示“ 0 ”；一个比特持续多少时间；传输是双向的还是单向的；最初的连接如何建立和完成通信后连接如何终止；一次通信中发送方和接收方如何应答；设备之间连接件的尺寸和接头数；每根线的用途等。2) 数据链路层数据链路层（ data link layer ）的主要任务是加强物理层传输原始比特的功能，使之对网络层显现为一条无错链路。它在相邻网络实体之间建立、维持和释放数据链路连接，并传输数据链路数据单元（帧， frame ）。它是将位收集起来，按包处理的第一个层次，它完成发送包前的最后封装，及对到达包进行首次检视。其主要功能为： 数据链路连接的建立与释放：在每次通信前后，双方相互联系以确认一次通信的开始和结束。数据链路层一般提供无应答无连接服务、有应答无连接服务和面向连接的服务等三种类型服务。 数据链路数据单元的构成：在上层交付的数据的基础上加入数据链路协议控制信息，形成数据链路协议数据单元。 数据链路连接的分裂：当数据量很大时，为提高传输速率和效率，将原来在一条物理链路上传输的数据改用多条物理链路来传输（与多路复用相反）。 定界与同步：从物理连接上传输数的比特流中，识别出数据链路数据单元的开始和结束，以及识别出其中的每个字段，以便实现正确的接收和控制。 顺序和流量控制：用以保证发送方发送的数据单元能以相同的顺序传输到接收方，并保持发送速率与接收速率的匹配。 差错的检测与恢复：检测出传输、格式和操作等错误，并对错误进行恢复，如不能恢复则向相关网络实体报告。3) 网络层网络层（ network layer ）关系到子网的运行控制，其关键问题之一是确定分组从源端到目的端如何选择路由。本层维护路由表，并确定哪一条路由是最快捷的，及何时使用替代路由。路由既可以选用网络中固定的静态路由表，几乎保持不变，也可以在每一次会话开始时决定（如通过终端协商决定），还可以根据当前网络的负载状况，高度灵活地为每一个分组决定路由。 网络层的另一重要功能是传输和流量控制，它在子网中同时出现过多的分组时，提供有效的流量控制服务来控制网络连接上传输的分组，以免发生信息“堵塞”或“拥挤”现象。 网络层提供两种类型的网络服务，即无连接的服务（数据报服务）和面向连接的服务（虚电路服务）。网络层使较高层与连接系统所用的数据传输和交换技术相独立。 IP 协议工作在本层，它提供“无连接的”或“数据报”服务。4) 传输层传输层（ transport layer ）的基本功能是从会话层接收数据，在必要时把它们划分成较小的单元传递给网络层，并确保到达对方的各段信息准确无误。而且，这些任务都必须高效率地完成。 传输层是在网络层的基础上再增添一层软件，使之能屏蔽掉各类通信子网的差异，相用户进程提供一个能满足其要求的服务，其具有一个不变的通用接口，使用户进程只需了解该接口，便可方便地在网络上使用网络资源并进行通信。 通常情况下，会话层每请求建立一个传输连接，传输层就为其创建一个独立的网络连接。如果传输连接需要较高的信息吞吐量，传输层也可以为之创建多个网络连接，让数据在这些网络连接上分流，以提高吞吐量。另一方面，如果创建或维持一个网络连接不合算，传输层可以将几个传输连接复用到一个网络连接上，以降低费用。在任何情况下，都要求传输层能使多路复用对会话层透明。 传输层是真正的从源到目标“端到端”的层，也就是说，源端机上的某程序，利用报文头和控制报文与目标机上的类似程序进行对话。在传输层以下的各项层中，协议是每台机器和它直接相邻的机器间的协议，而不是最终的源端机和目标机之间的协议，在他们中间可能还有多个路由器。图 1-1 说明了这种区别， 1 层 -3 层是链接起来的， 4 层 -7 层是端到端的。 TCP 协议工作在本层，它提供可靠的基于连接的服务。它在两个端点之间提供可靠的数据传送，并提供端到端的差错恢复与流控。5) 会话层会话层（ session layer ）允许不同机器上的用户之间建立会话关系，即正式的连接。这种正式的连接使得信息的收发具有高可靠性。会话层的目的就是有效地组织和同步进行合作的会话服务用户之间的对话，并对它们之间的数据交换进行管理。 会话层服务之一是管理对话，它允许信息同时双向传输，或任意时刻只能单向传输。约属于后者，则类似于单线铁路，会话层将记录此时该轮到哪一方了。一种与会话有关的服务是令牌管理（ token management ），令牌可以在会话双方之间交换，只有持有令牌的一方可以执行某种关键操作。 另一种会话服务是同步（ synchronization ）。同步是在连续发送大量信息时，为了使发送的数据更加精细地结构化，在用户发送的数据中设置同步点，以便记录发送过程的状态，并且在错误发生导致会话中断时，会话实体能够从一个同步点恢复会话继续传送，而不必从开头恢复会话。 TCP/IP 协议体系中没有专门的会话层，但是在其传输层协议 TCP 协议实现了本层部分功能。6) 表示层表示层（ presentation layer ）完成某些特定的功能，由于这些功能常被请求，因此人们希望找到通用的解决办法，而不 是要让每个用户来实现。值得一提的是，表示层以下的各层只关心可靠的传输比特流，而表示层关心的是所传输的信息的语法和语义。 表示层尚未完整定义和广泛使用，如 TCP/IP 协议体系中就没有定义表示层。表示层完成应用层所用数据所需要的任何转换，以提供标准化的应用接口和公共的通信服务。如数据格式转换、数据压缩 / 解压和数据加密 / 解密可能在表示层进行。7) 应用层 应用层（ application layer ）包含大量人们普遍需要的协议。本层处理安全问题与资源的可用性。最近几年，应用层协议发展很快，经常用到的应用层协议有： FTP 、 TELNET 、 、 SMTP 等。 OSI 模型的各层之间任务明确，它们只与上下相邻层打交道：接受下层提供的服务，向上层提供服务。由于所有的网络协议都是分层的，象堆栈一样，因此经常将协议各层统称协议栈。它们的工作模式一般为：发送时接收上层的数据，将其分割打包，然后交给下层；接收时接收下层的数据包，将其拆包重组，然后交给上层。这样，一个包的传输过程是：发送主机的应用程序将数据传递给网络协议栈实现（网络通信程序），网络协议栈实现将数据层层打包，最后交由物理层在数据链路上发送；接收主机收到数据后，逐层拆包向上传递，直到最后达到应用层，应用程序得到对等方的数据。 任务三、掌握DHCP服务的管理。7.3.1 任务描述A学校小王是某职业技校计算机中心网管员，随着近几年学校信息化建设的深入，学校局域网等基础设施建设渐趋完善，电脑等软硬件设备不断普及。学校现有行政办公楼3幢，已经通过光纤及交换机等设备接入局域网，部门及教师办公室30多个200台电脑左右，都已经通过网络接入点连接到局域网。学校现建设有办公系统（OA）一个，部门网站4个及各种业务应用系统3个，信息化在日常教学管理中重要作用逐渐体现，无纸化办公、网上办事等各种应用业务逐渐在学校中展开。网管员小王的日常工作就是负责维护网络及各部门计算机的正常使用，由于A学校目前每台计算机要接入局域网必须要手动设定静态IP地址，所以频繁的系统安装、加上部分用户没有遵循规定自行修改计算机的IP地址，导致目前A学校IP地址使用混乱，IP地址冲突现象严重，经常造成网络局部故障，极大影响用户正常使用。每次网络中出现IP地址问题，小王需要每个部门查看过去，直到找到非法设置IP的主机纠正错误，所以每次解决此类问题都要花费数天时间，而且会经常出现因系统重装而不按规定设置IP地址引起冲突的问题。为彻底解决此类问题，小王决定给学校架设动态分配IP地址服务（DHCP服务），用来为学校的200多台电脑分配TCP/IP参数服务。经过规划小王初步制定了地址分配服务的方案，其中任务相关参数计划如下：DHCP服务器操作系统：Windows Server 2003IP分配范围：192.168.1.11-192.168