网络管理技术(下).ppt

《网络管理技术(下).ppt》由会员分享，可在线阅读，更多相关《网络管理技术(下).ppt（288页珍藏版）》请在三一办公上搜索。

1、网络管理技术(下),第八讲 用户账号管理,一、Windows 2000网络中账号的种类,1域用户账号（Domain User Accounts）,域用户账号是用户访问域的唯一凭证，因此在域中必须是唯一的；,保存域用户账号的AD数据库称为安全账号管理器（SAM），SAM数据库位于在DC上的%systemroot%NTDSNTDS.DIT文件中。,2本地用户账号（Local User Accounts）,本地用户账号只能建立在Windows 2000独立服务器，Windows 2000成员服务器、或基于Windows 2000 Professional的计算机中，该账号的作用范围仅限于在创建该账号

2、的计算机上，以控制用户对该计算机上资源的访问。,由于本地用户账号的验证上由创建该账号的计算机来进行的，因此对于这种类型账号的管理是分散的。,3内置的用户账号（Built-in User Accounts）,内置的用户账号是Windows 2000操作系统自带的账号，在安装好Windows 2000之后这些账号就存在，并已经赋予了相应的权限。,1）Administrator账号,Administrator（管理员）账号被赋予在域中和在计算机中具有不受限制的权利，该账号被设计用于对本地计算机或域进行管理，可以从事创建其他用户账号、创建组、实施安全策略、管理打印机以及分配用户对资源的访问权限。,提示

3、：出于安全考虑，建议将该账号更名，以降低该账号的安全风险。,2）Guest账号,Guest（来宾）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。,提示：出于安全考虑，Guest账号在Windows 2000安装好之后是被屏蔽的，如果需要，可以手动启用，应该注意分配给该账号的权限，该账号也是黑客攻击的主要对象。,二、Windows 2000账号的约定,1Windows 2000的账号命名约定,域用户账号的用户登录名在AD中必须唯一；域用户账号的完全名称在创建该用户账号的域中必须唯一；本地用户账号在创建该账号的计算机上必须唯一；如果用户名称有重复，则应该在账号上区别出

4、来；对于临时雇员应该做出特殊的命名，以便标识出来；用户账户的登录名最多可以包含20个大小写字符和数字，不能使用系统保留字符：“”/：；|=，+*？,2Windows 2000的账号密码约定,尽量避免带有明显意义的字符或数字的组合，采用大小写和数字的无意义混合；在不同安全要求下，规定最小的密码长度。通常密码越长越不易被猜到（最长可以达到128位）；对于不同安全要求，确定用户的账号密码是由管理员控制还是由账号的拥有者控制；定期更改密码，尽量使用不同的密码。,提示：有关密码的策略可以在“本地安全设置”的“密码策略”中加以规定以保护系统的安全性。,二、Windows 2000域用户账号的建立,二、Wi

5、ndows 2000域用户账号的管理,中止账号的使用,更改用户账号密码,将用户加入到组中,删除用户账号,重命名用户账号,设置用户账号属性,常规：记录了用户的名称、个人描述、办公地点、电话号码、E-mail地址、主页地址信息等。,地址：记录用户所在的国家、省或州、城市、街道、邮箱和邮政编码等信息。,账号：记录用户的登录名，以及该用户的其他账号选项。,电话：记录各种与该用户的相关的电话号码。,单位：记录用户的职位、工作部门、公司领导以及顶头上司。,配置文件：记录用户配置文件的存放路径，以及登录脚本和用户主文件夹的位置。,成员属于：记录用户所属的组。,拨入：记录用户进行远程拨号访问网络的方式，以及各

6、种相关参数。,环境：记录用户登录系统时运行的应用程序和启用的设备。,会话：记录使用“终端服务”所需的参数。,远程控制：记录用户对“终端服务”远程控制的设置。,终端服务配置文件：记录用户使用“终端服务”时预先配置的信息。,用户登录名称,用户登录的域名,设置用户账号密码选项,设置用户登录时段,指出允许用户登录的服务器,作业：1说明域、树、林三者之间的关系。2在win2000中，账号有哪几类，它们之间有什么不同。,第九讲 组管理,组是在Windows 2000网络环境中的一个非常重要的概念，组将具有相同特点及属性的用户组合在一起，便于管理的使用。可以说组是用户账号的一种逻辑组合。在一个拥有众多用户的

7、网络中给每一个用户分别授予访问资源的权限将使工作量大幅增加，而具有相同身份的用户通常其权限也相同，对于众多账号所做的重复操作是十分繁琐的，因此通过将具有相同身份和属性的用户组合到一个逻辑的集合当中，并且一次赋予该集合访问资源的权限而不再单独给用户赋权限，从而大大地节省了工作量，简化了对访问网络中资源的管理，这里的集合就是组。,域模式中的组又称为域组，存储在域的活动目录中，因此用户和应用程序可以在任何地方使用域组。域组在域的DC上创建。域组是在Windows 2000域模式下管理用户访问资源的最佳途径。,一、域模式中的组类型作用域,1安全组,安全组顾名思义即实现与安全性有关的工作和功能，是属于W

8、indows 2000的安全主体。可以通过给安全组赋予访问资源的权限来限制安全组成员对域中资源的访问。,2分发组,分发组不是windows 2000的安全实体，没有SID，因此也不能被赋予访问资源的权限。如果应用程序想使用分发组，则应用程序必须支持活动目录。,二、域模式中的组类型作用域,1全局组作用域,全局组作用域中的成员是对网络具有相同访问权限的用户。全局组的作用范围是整个域树，因此全局组可以属于同一个域树中被赋予访问资源的权限。,2本地域组作用域,本地域组作用域可以被赋予访问域中任何地点的资源的权限，本地域组的权限作用范围仅限于创建该组的域中，即本地组只能够访问创建该组的域中的资源。,3通

9、用组作用域,通用组权限的作用范围是在整个域树中，通用组具有开放的成员资格可以接受任何一种账号成为该组的成员，并且通用组可以成为其他任何组的成员而无论是否属于同一个域中。,Administrators：它拥有对域或Windows2000计算机最大的控制权；,Server Operators：它拥有域的管理权限。建立、管理删除服务器中的共享目录与打印机；备份与还原文件、锁定与解开服务器；将服务器上的硬盘格式化；更改系统的时间以及在域的服务器上登录域，并将服务器关闭；,Account Operators：它可以利用“域用户管理器”添加用户账号与组，修改或删除大部分的用户账号和组；,Printer O

10、perators：此组的组员可以建立和管理在Windows2000上的共享打印机；,三、本地组,Users：拥有最少的访问权限；,Guests：只是供临时登录所需，其组员仅被赋予非常少的权限；,Replicator：此组的主要任务是进行目录复制的操作；,Powers Users：域上没有此组。此组中的用户除了具有User组所具有的功能外，这还可以建立用户账号，修改其所建立的用户账号。,Backup Operators：可以备份与还原服务器中的目录与文件。,四、创建域模式中的组 创建域模式中组要求操作者为Administrators组或Account Operators组的成员。,1）在“管理工

11、具”中双击“Active Directory用户和计算机”图标，打开“Active Directory用户和计算机”对话框；,2）单击User图标，在右侧的子窗口中可以看到本域中现有的用户和组；,3）在右侧的子窗口中右击，在弹出的快捷菜单中单击“新建”，在弹出菜单中单击“组”。打开“新建对象-组”对话框；,4）在“组名”编辑框中输入该组的名称，在“组名（windows2000以前版本）”编辑框中输入该组用于让旧操作系统访问的名称；,5）单击“确定”按钮，返回到“Active Directory用户和计算机”对话框，这时在右侧的子窗口中可以看到新建的组；,6）在Users列表中双击刚才创建的组；

12、,7）单击“添加”按钮，打开“选择用户、联系人或计算机”对话框；,8）在“名称”列表中选择要加入该组的用户，单击“添加”按钮添加该用户；,9）单击“确定”按钮，添加的用户将出现在“成员”列表中。,10）“成员属于”设置,11）管理者设置,第十讲 DHCP设置,动态主机配置协议(DHCP)是一种简化主机 IP 配置管理的 TCP/IP 标准。DHCP 标准为 DHCP 服务器的使用提供了一种有效的方法：即管理 IP 地址的动态分配以及网络上启用 DHCP 客户机的其他相关配置信息。TCP/IP 网络上的每台计算机都必须有唯一的计算机名称和 IP 地址。IP 地址（以及与之相关的子网掩码）标识主计

13、算机及其连接的子网。将计算机移动到不同的子网时，必须更改 IP 地址。DHCP 允许您从本地网络上的 DHCP 服务器 IP 地址数据库中为客户机动态指派 IP 地址。,一、使用 DHCP 的好处,1安全而可靠的配置DHCP 避免了由于需要手动在每个计算机上键入值而引起的配置错误。DHCP 还有助于防止由于在网络上配置新的计算机时重用以前指派的 IP 地址而引起的地址冲突。,2减少配置管理 使用 DHCP 服务器可以大大降低用于配置和重新配置网上计算机的时间。可以配置服务器以便在指派地址租约时提供其他配置值的全部范围。这些值是使用 DHCP 选项指派的。,3另外，DHCP 租约续订过程还有助于

14、确保客户机配置需要经常更新的情况（如使用移动或便携式计算机频繁更改位置的用户），通过客户机直接与 DHCP 服务器通讯可以高效自动地进行这些改动。,二、DHCP 术语,1作用域：作用域是用于网络的可能 IP 地址的完整连续范围。作用域通常定义提供 DHCP 服务的网络上的单独物理子网。作用域还为服务器提供管理 IP 地址的分配和指派以及与网上客户相关的任何配置参数的主要方法。,2超级作用域：超级作用域是可用于支持相同物理子网上多个逻辑 IP 子网的作用域的管理性分组。超级作用域仅包含可一起激活的成员作用域或子作用域。超级作用域不用于配置有关作用域使用的其他详细信息。如果想配置超级作用域内使用的

15、多数属性，您需要单独配置成员作用域。,3排除范围：排除范围是作用域内从 DHCP 服务中排除的有限 IP 地址序列。排除范围确保在这些范围中的任何地址都不是由网络上的服务器提供给 DHCP 客户机的。,4地址池：在您定义 DHCP 作用域并应用排除范围之后，剩余的地址在作用域内形成可用地址池。分池的地址适合于由服务器到您网络上 DHCP 客户机的动态指派。,5租约：租约是客户机可使用指派的 IP 地址期间 DHCP 服务器指定的时间长度。租用给客户时，租约是活动的。在租约过期之前，客户机一般需要通过服务器更新其地址租约指派。当租约期满或在服务器上删除时，租约是非活动的。租约期限决定租约何时期满

16、以及客户需要用服务器更新它的次数。,6保留：使用保留创建通过 DHCP 服务器的永久地址租约指派。保留确保了子网上指定的硬件设备始终可使用相同的 IP 地址。,7选项类型：选项类型是 DHCP 服务器在向 DHCP 客户机提供租约服务时指派的其他客户机配置参数。例如，某些公用选项包含用于默认网关（路由器）、WINS 服务器和 DNS 服务器的 IP 地址。通常，为每个作用域启用并配置这些选项类型。DHCP 控制台还允许您配置由服务器上添加和配置的所有作用域使用的默认选项类型。虽然大多数选项都是在 RFC 2132 中预定义的，但若需要的话，您可使用 DHCP 控制台定义并添加自定义选项类型。,

17、8选项类别：选项类别是一种可供服务器进一步管理提供给客户的选项类型的方式。当选项类别添加到服务器时，可为该类别的客户机提供用于其配置的类别特定选项类型。对于 Windows 2000，客户机也可指定与服务器通信时的类别 ID。对于不支持类别 ID 过程的早期 DHCP 客户机，服务器可配置成默认类别以便在将客户机归类时使用。选项类别有两种类型：供应商类别和用户类别。,二、DHCP 的租用过程,DHCP DISCOVER,DHCP OFFER,DHCP REQUEST,DHCP PACK/NPACK,DHCP客户机,DHCP服务器,1DHCP DISCOVER,当一个DHCP客户机引导并开始查找

18、DHCP服务器时，客户机处在所谓“初始化”姿态中，这时客户机的TCP/IP堆栈初始化加载，并用一具空的IP地址来进行初始化。,这时空的IP地址用来保护客户机知道它必须获得一个合法的IP地址。因为如果在该状态中分配了一个合法的IP地址，则会在网络上存在IP地址冲突的可能性。,DHCPDISCOVER,DHCP客户机,DHCP服务器,DHCP服务器,DHCP DISCOVER,DHCP客户机进行地址广播IP地址为：0.0.0.0目的地址为：255.255.255.255,3）一个相应的子网掩码。,4）一个服务器标识（提供IP地址的服务器）和租期长度。,注意：一个DHCP客户机将总是试图重新租用它所

19、接收过的最后一个地址，这会给网络提供 一定的稳定性。同时，客户机假定该地址是已知上次起作用的IP地址，而且该地址不会引起IP地址冲突。,1）DHCP客户机的MAC地址，用于正确标识客户机。,2）一个提供的IP地址。,2DHCP OFFER,网络上的DHCP服务器能够随时收听DHCPDISCOVER消息，如果DHCP服务器接收到这个请求，它就在地址数据库中查找他们是否有合法地址提供给予该客户机，如果有，DHCP服务器就从其数据库中选择一个可用的IP地址，作上标记，然后把它嵌入到DHCPOFFER消息中。,然后客户机返回一个DHCP REQUEST消息给DHCP服务器，接收所提供的IP地址。,3、

20、DHCP REQUEST,DHCP客户机接收所有的合法DHCP OFFER消息并选择所提供的一种。通常选择的合法提议就是第一个收到的提议。,DHCP客户机,DHCP服务器,DHCP服务器,DHCP REQUEST,DHCP客户机广播：DHCP服务器为SERVER1IP地址为：11.2.3.2子网掩码：255.255.255.0租期为：3天,4、DHCP PACK/NPACK,最后一步就是在DHCP客户机发送的DHCP REQUEST消息上，DHCP服务器用一个DHCP PACK消息响应客户机，以告知该客户机可以继续进行并使用该地址。,当客户机收到DHCP PACK消息时，它就完成了TCP/IP

21、的初始化，并且现在该考虑捆绑可以在网上使用TCP/IP通信的TCP/IP客户机了。该客户机也同样保存IP地址在注册表中。,DHCP客户机,DHCP服务器,DHCP服务器,DHCP PACK/NPACK,DHCP服务器确认：IP地址为：11.2.3.2子网掩码为：255.255.255.0,三、建立作用域,任务栏,开始,程序,管理工具,DHCP,建立作用域方法：,1、在工具窗口中右击“DHCP”，显示其快捷菜单；2、单击菜单中的“添加服务器”命令选项。3、在显示的对话框中单击“添加”按钮，然后输入该服务器的IP地址和名称。4、用鼠标右击添加到工具窗口中的服务器名称。5、指向快捷菜单中的“新建”选

22、项。6、在子菜单中单击“作用域”命令，将启动“创建作用域向导”。7、根据向导每一步提示完成作用域的创建。,四、配置作用域,在创建了DHCP作用域之后，管理员需要为DHCP客户配置选择项。有三种层次的作用域选项：GLOBAL（全局）、SCOPE（作用域）、CLIENT（客户）。,1、全局DHCP选项是在选中的DHCP服务器上设置所有作用域的选项。,2、作用域DHCP将只对当前选中的作用域设置选项，至于客户机对客户机的基础上安装DHCP服务选项。,全局选项对于所有的DHCP客户都是可用的；当所有的子网上所有客户需要相同的配置信息时，需使用全局选项；作用域选项仅对于从作用域租用地址的客户是可用的。,

23、要点提示：1）理论上一个单独的DHCP服务最多可以配置10000个DHCP客户；2）最大的租用时间为999天22小时59分；3）客户机DHCP选项优先于全局和作用域DHCP选项；4）作用域DHCP选项优先于全局DHCP选项；5）如果没有客户机或作用域DHCP选项，则全局DHCP选项生效。,3、客户选项对于一些特殊的客户来说是可用的，可以为使用预定的DHCP地址租用的特定客户创建客户选项。客户选项都是先于作用域或者全局选项被使用。,四、定制DHCP选项,如果要成功地初始化TCP/IP，DHCP服务器只需要为DHCP客户提供一个有效的IP地址和子网标记。尽管如此，还有许多TCP/IP设置，它们对于

24、TCP/IP协议在网络上有效工作是必须的。,DHCP选项003 路由器应该设置在任何一个有路由器的默认网关的网络上。,输入路由器的IP地址,五、建立超级作用域,超级作用域允许DHCP服务器支持在同一个网络连接上的多个逻辑IP子网。,要创建一个超级作用域，可以按照下列步骤进行：,1、打开“DHCP”管理工具；2、在工具窗口的控制台树中右击DHCP服务器名称；3、移动鼠标到快捷菜单的“新建”命令，显示其子菜单；4、单击子菜单中的“超级作用域”命令选项；5、启动“创建超级作用域向导”；6、经过确认后，成功地创建一个超作用域。,要点提示：在Windows NT 4.0中规定，加入作用域的顺序就是服务器

25、使用并分配IP地址的顺序。如果要为子网的分布加载平衡（让所有的子网对等分布），则需要在第二个服务器中创建一个以不同顺序的作用域构成的超级的作用域。然而真正要这样做时，却发现至今也没有关于超级作用域中作用域顺序对超级作用域的工作方式造成任何影响的报告。因此在Windows 2000中取消了作用域的顺序选择。,六、创建多址广播域,1、多址广播DHCP（MDHCP）是DHCP协议标准的扩充，它可以使用户在基于TCP/IP的网络上动态分配IP广播地址。,2、多址广播地址域概念的提出可以便利一组共享广播地址的TCP/IP主机进行多点通信，一台主机可以将数据同时向所有主机发送，只要它们的广播地址是一样的。

26、,3、这一组的主机组成一个广播组，广播组是动态的，这就意味着单个主机可以在任何时候加入或者离开广播组。广播组中各主机之间的成员关系很类似于电子邮件中的地址组，该组的大小是任意的，而且一个主机可以同时是多个广播组的成员。,第十一讲 DNS服务器,所谓DNS是“域名系统”（Domain Name System）的英文缩写，是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于TCP/IP网络，如Internet，用来通过用户友好的名称（比如）代替难记的IP地址（比如202.101.139.188）以定位计算机和服务。,一、DNS的优点,1、对用户友好的名称，因为名称比IP地址更易于记忆

27、；,2、名称比IP地址更具有持续性。主机的IP地址是可以改变的，但其名称依然可以保持不变；,3、DNS允许用户使用与Internet一样的命名约定来连接本地服务器。,gov,com,org,edu,intel,Microsoft,根域,顶层域,组织域,主机,WWW服务器,注意事项：,1、DNS主机记录应该是DNS层次结构下的3或4层，且不多于5层，层数增加将增加管理任务。,2、每个子域在其父域内必须有唯一的名字，以保证名字在整个DNS名字空间是唯一的。,3、使用简单的名字，使用户能够直观地搜索和定位Internet的WEB站点或内部网络上的计算机。,二、名称服务器,在DNS name serv

28、er（DNS名称服务器，或简称DNS服务器）中保存着域名空间的部分区域数据。如果DNS服务器负责管辖一个或多个区域，我们就称这个服务器为这些区域的授权名称服务器。DNS服务器可以分为三类：,1、主名称服务器：主名称服务器保存着区域中的相关设置数据，当区域数据更改（例如：添加主机）时，这些更改就被保存到主名称服务器中。,2、从名称服务器：它可以通过网络中的其他（在该区域具有权威性的）名称服务器取得其区域数据。当主名称服务器中的数据被修改时，主名称服务器把一个区域数据传输到从服务器。,3、只缓存服务器：是只进行询问、缓存回答然后返回结果的DNS名称服务器，它们对任何域都不是权威的。,只缓存服务器,

29、主名称服务器,从名称服务器,三、名称解析的过程,本地DNS服务器,根服务器,Microsoft服务器,WEB服务器,COM服务器,DNS客户机,1当名字服务器收到请求结果后，将查询结果缓存一段指定的时间，这一时间被称为TTL。,2TTL是由提供查询结果的区域来指定的。一旦名称服务器缓存了查询结果，TTL开始从其原始值递减计数，当TTL到期时，名称服务器就从缓存中删除查询结果。,3反向查找查询把IP地址映射到名字。,四、DNS中的文件,DNS是一种分层数据库，该数据库是由若干个文件组成的，其中保存着名称与IP地址的对应数据记录描述名称以及其他与计算机有关的数据。,1主名称服务器存储着最新的区域数

30、据。区域数据存储在一个ASCII文件，称为区域文件里，而区域文件是网络管理员建立并维护的，在大多数据情况下，无论是增加主机还是修改IP地址，都要编辑区域文件。,2区域文件中保存着DNS服务器所管辖的区域内的主机的相关记录，它也是DNS服务器的主要数据库文件。,3当你利用“DNS管理器”建立区域时，区域文件就自动的建立，默认的文件名为“区域名.dns”。缓存文件中保存着根域中的DNS服务器的名称与IP地址数据。,4在安装DNS服务器时，根域中的DNS服务器对应表文件就会被自动复制到systemrootsystem32dns目录中，其文件名为cache.dns。,五、安装并启动DNS,1、创建正向

31、搜索区,2、创建反向搜索区,六、管理DNS服务器,1、DNS中的记录,A记录：是DNS中的主机地址（Address）资源记录。将 DNS 域名映射到网际协议（IP）版本 4 的 32 位地址中。它是最基本的记录之一。,CNAME记录：是DNS中的规范名（Criterion NAME）资源记录。它可以为其他记录（比如A记录）建立一个别名。,PTR记录：PTR记录创建一个指向主机的指针，用以反向相看。必须使用“新建主机”和单独使用“新建其他记录”一起创建主机和指针。,新建记录在域中的位置,新建记录的名称，一般用主机名,主机的IP地址,创建反向搜索记录,MX记录：MX标识域 的邮件交换服务器，这此服

32、务器负责在域中处理或转发邮件。,1）用户创建MX记录时，必须规定邮件服务器的首选号码，优选数是一个从065535的值，表示域中邮件服务器的首选号码。,2）首选号码最低的邮件服务器有最高的首选号码，第一个接收邮件。如果提交邮件失败，次最低优选数的邮件服务器尝试接收。,七、配置区域属性,SOA（Start of Authority）称为起始颁发机构，它是用来标识哪个名字服务器是该域内数据信息的授权。区域数据库中第一个记录必须是SOA记录。而该记录是在你创建区域时自动增加上去的，同时增加的还有NS（名称服务器）记录。,“序号”表示DNS数据库文件的版本,注意：主名称服务器的序号必须比辅助服务器的大才

33、可以完成。,“主服务器”是名称的完全合格域名，后跟句点,“负责人”是指域负责人的个人电子邮件地址,“刷新间隔”是指辅助服务器检验区域更新的时间间隔,“重试间隔”是指下载区域数据库文件失败之后辅助服务器等待的时间,指设置辅助服务器上高速缓存记录的最小寿命值,指明此记录的TTL,指区域信息对辅助服务器为合法的时间周期,八、管理DNS的安全性,规定服务器只能响应来自特定IP地址的请求。,九、动态更新DNS,十、配置DNS客户机,假设有两个域分别是A和B。它们的DNS服务器分别是服务器A和服务器B。DNS工作站分别是a1、a2、b1、b2。,为了实现域名解析，域A中的计算机需作如下配置（域B类似）。工

34、作站a1的配置（a2类似）为：,主机名：a1IP地址：DHCP设置域：ADNS服务器搜索顺序：192.168.2.7,服务器A的配置：主机名：AIP地址：192.168.2.7域：ADNS服务器搜索顺序：192.168.2.7,注意：1NDS服务器本身具备DNS工作站的角色，服务器A、B作为DNS工作站也需要在TCPIP属性中指定DNS的属性；2如果DNS工作站b1是一个WWW、FTP或其他服务器，则为了让DNS工作站a1能访问到，其方法是将DNS服务器B选作转发器。3递归查询在TCPIP属性下的DNS中设置，而转寄查询在DNS服务中的设置。,十一、排除DNS服务故障,1日志文件,2NSLOO

35、KUP的使用,在诊断DNS的故障时，可以使用三条命令：IPCONFIG、PING和NSLOOKUP。,1）非交互模式：NSLOOKUP 主机名称IP地址,2）对话模式：输入NSLOOKUP即可，此时屏幕出现“”符号。,在提示符号后输入欲查询的主机的名称；在提示符下输入SET TYPEMX，表示你要查询为“邮件交换记录”，因此就可以查询相应区域下的邮件服务器的设置了。输入“EXIT”结束查询,第十三讲 共享资源,一、使用DFS管理和共享文件夹,Windows2000引入了Dfs，使得用户无须知道文件夹具体在哪台计算机上，Dfs将多个相关的共享文件夹集成到一个树状结构中供用户访问，使得用户就像访问

36、本地硬盘中的文件夹和子文件夹一样访问网络中的共享文件夹，这种树状结构就组成了Dfs。,1尽管DFS的实质仍然是通过网络路径（UNC）来建立和共享文件夹的连接，但对于用户而言只需知道DFS链接，由DFS自动解析为网络路径并引导系统去访问。,2需要指出的是DFS文件夹在本质上仍是共享文件夹，因此保护该文件夹的方法就是使用共享文件夹权限，如果要使用NTFS权限来保护共享文件夹，则必须将该文件夹置于NTFS分区中。就其本质而言，DFS链接所指向的文件夹是分布在网络中的服务器上的，因此各个文件夹可以有自己的权限设置，各自之间在权限上没有关系,二、DFS根的类型,1、独立DFS根：独立DFS根只存在于创建

37、的计算机的注册表中，不发布到AD中。,2、域DFS根：域DFS根必须放于域中的DC或成员服务器上，并被发布到AD中。,注意：在一个服务器上只能建立一个DFS根目录。如果域中有多台服务器，则可以建立多个基于域的DFS根目录在不同的服务器上。,三、通过DFS连接共享资源,1、当设置好DFS之后就可以像访问其他共享文件夹一样访问该DFS根文件夹及其之下的子文件夹，同时这些DFS链接所指向的共享文件夹的权限也仍然独立的起作用。,2、当用户第一次通过DFS根访问其下链接所指向的共享文件夹时，DFS会自动解析这些共享文件夹的网络路径（UNC）并将用户连接到这些共享文件夹上。当用户通过DFS根访问过某些共享

38、文件夹之后，DFS会自动存储这些网络路径在用户的计算机上，当用户下次再访问这些共享文件夹时将直接连接到相应的共享文件夹上以提高访问速度和减轻服务器的负载。,四、创建DFS根,创建DFS根的时候要考虑DFS的类型，还要选择DFS根所存在的域并在众多服务器中选择一个服务器作为DFS根的驻留服务器，最后指定DFS根一个名称（该名称必须唯一）。,1）控制面板 管理工具 分布式文件系统,2）在“分布式文件系统”对话框中的菜单栏上单击“操作”按钮，在弹出的菜单中选择“新建DFS根目录”。,3）单出“下一步”按钮，在“选择DFS根目录类型”向导中可以选择创建独立DFS根目录或是基于域的DFS根。,4）单击“

39、下一步”按钮，在“为此DFS根目录选择主持域”向导中输入要建立的DFS根目录所在域的名字。,5）单击“下一步”按钮，在“为此DFS根目录选择主持服务器”向导输入保存要建立DFS根目录服务器的名字。,6）单击“下一步”按钮，在“创建DFS根目录共享”向导中选择或建立一个目录作为DFS根目录。,7）单击“下一步”按钮，在“命名DFS根目录”向导中给该DFS根目录赋一个名，该名字将被发表在AD中。该名称默认与共享名一致，但可以改变。该名字将用来在网络中寻找该DFS根文件夹，因此与共享名可以不是一个名字。,8）单击“下一步”按钮，在完成向导中单击“完成”结束操作。,9）这时在“分布式文件系统”左侧的子

40、窗口中可以看见亲新建的DFS根，在右侧的子窗口中可以看到该DFS根的实际UNC路径。,五、为DFS添加链接,DFS链接就是将分散在网络中的共享文件夹资源与DFS根连接在一起的链接（类似HTML中的“超级链接”），当用户通过DFS根访问分布在网络中其他服务器上的共享文件夹时，实际上就是由DFS链接将用户的访问请求转移特定的共享文件夹中，并建立用户与该共享文件夹的连接。,1）在“分布式文件系统”对话框中单击将要加入DFS链接的DFS根。,2）在该DFS根上右击，在弹出的快捷菜单中选择“新建DFS链接”，打开“创建一个新的DFS链接”对话框。,提示：DFS链接的名称和其指向的共享文件夹的共享名是两个

41、独立的名字。,六、访问DFS下的共享文件夹,DFS的实质就是共享文件夹，因此对用户而言，访问DFS就像访问普通的共享文件夹。操作如下：,1）双击“网上邻居”，在“网上邻居”中找到并打开DFS根所在服务器；,2）在DFS根所在的服务器的窗口中可以看到刚才建立的DFS根文件夹，这个文件夹在显示上与其他普通的文件夹没有任何区别。双击该DFS根文件夹，可以看到其下的子文件夹即DFS链接。,3）接下来就可以像访问普通文件夹一样访问这些DFS链接。,七、使用DFS副本实现容错和负载均衡,当设置好DFS根和DFS链接之后就可以让用户访问了，但是为了实现容错和负载均衡还需要另外配置。DFS链接的副本指的就是原

42、有的DFS链接指向的共享文件夹在网络中有多个拷贝，可以分布在不同的服务器上。当一个DFS链接的副本所在的服务器因意外而停止工作时，DFS就可以将DFS链接指向保存在其他服务器上的相同的共享文件夹以保持用户的正常访问。并且当一个DFS链接有多个副本时，在用户访问时DFS就可以自动在这些副本中选取一个提供给用户访问以缓解某个服务器的负载。,1、创建DFS副本,1）手动复制：当其中一个副本中的数据内容发生变化时，需要由管理员手动地将各个副本中的数据保持致；自动复制：则DFS会自动跟踪各个 副本的数据变化情况，并及时在这些副本之间同步数据，以保证各个副本的一致性。,2）一个DFS链接最多可以有32个副

43、本。,3）操作方法：,2、设置DFS链接副本的复制策略,DFS链接的副本实际上是分布在网络中多人服务器上的共享文件，当用户访问DFS链接的时候，DFS会将用户的请求送往这些服务器上共享文件夹。对于用户而言并不知道访问哪个文件夹，在用户看来这些副本好像是一个文件夹。因此这些副本文件夹的内容需要保持一致，以便于用户的访问。为了将DFS链接的副本保持一致就要进行副本之间的复制。,惊叹号：表示副本不可用；对钩：表示该链接或副本正常工作；红叉：表示该链接或副本无法正常工作或无法连接上。,3、检查DFS状态,第14讲 管理打印服务,一、打印设备分类,1、本地打印设备：通过并口线或USB接口连接到计算机上的

44、打印设备，通常直接与计算机相连的打印机全是这种类型的打印设备。本地打印设备不与网络直接相连，而是先连接到一台计算机，先成为这台计算机的打印机，再通过计算机的网卡与网络相连并被共享出来供网络上的其他用户使用。,2、网络接口打印设备：本身就具有网卡（甚至还包括内存和处理器）可以与网络直接相连，在基于TCP/IP的网络上有自己的IP地址。这灯打印设备通常拥有更好的打印性能，并且其对于待打印的文档的处理不需要打印服务器来完成，而是靠自身的内存和处理器完成，因此不占用服务器的运算资源。,二、安装打印机,安装打印机必须由Administrators、Server Operators或Power Users

45、组的成员才能够进行。,1、安装本地打印设备2、安装网络打印设备,返回,三、连接共享打印机,1、使用添加打印机向导连接共享打印机2、使用网上邻居连接共享打印机3、通过WEB浏览器连接到共享打印机4、通过“运行”对话框连接到共享打印机,返回,返回,返回,打印服务器名字打印机共享名,四、管理共享打印机,在企业内部打印机是使用的最频繁的外设，对打印机实施有效的管理将可以提高打印机的利用率。,1、设置共享打印机安全权限,打印机与网络中的共享文件夹和文件一样是一种资源，为了控制资源的使用就需要为资源赋予权限来约束用户的使用。为打印机设置的安全权限与NTFS权限相似，分为标准的权限和特殊权限。其中标准的权限

46、是某项或某几项特殊权限的组合。,1）打印机的标准权限和它们的含义：,“打印”权限连接到共享打印机；将自己的打印作业发送到共享打印机打印；在共享打印机中暂停、继续、重新启动或取消自己的打印作业；,“管理打印机”权限连接到共享打印机；将自己的打印作业发送到共享打印机打印；共享或停止共享打印机；设置打印机的属性；删除打印机；修改打印机的安全权限；获得打印机的所有权。,“管理文档”权限更改文档的属性，改变文档的优先级；暂停、继续、重新启动或取消所有发送到该打印机的文档；,2）标准打印机权限实际上是由6个特殊权限组成的，其含义如下：,“打印”权限 拥有该权限的用户可以使用打印机打印自己的文档，并且可以对

47、属于自己的文档进行暂停、继续、重新启动或取消操作。,“读取权限”权限 拥有该权限的用户可以查看打印机的权限设置，但是不能更改。,“更改权限”权限 拥有该权限的用户可以更改打印机的权限设置。,“获得所有权”权限 取得打印机的所有权。,“管理文档”权限 拥有该权限的用户可以对所有发送到打印机的打印作业进行暂停、继续、重新启动或取消操作，并且还可以改变打印机作业的优先级和在打印队列中的排序。,“管理打印机”权限 可以设置打印机的“属性”对话框中的值。,第15讲 网络设计,本章介绍如何确定将网间网分成网络和子网，如何布置连线和数据链路设备，如何选择服务器位置。,计划基础网络设计选择核心技术估计网络要求

48、物理设计数据链与网络协议设计服务设计,一、计划基础,计划是成功建网的关键组件。创建新系统时，需要有下列条件：,限制选择的预算；要达到的目标；在预算限定范围内达到目标的计划。,1、预算,1）拥有总成本的计算方法,初始成本+维护成本 销售值 拥有总成本,网络人员工资顾问外援助（ISP，通信费等）替换硬件,维护成本的确定：,注意：对于大中型网络估计维护成本的行业规则是每年网络初始购买的六倍；小网络则为每年网络初始购买价格的二到四倍之间；选择易于支持和不易出故障的设备和技术，就可以节省时间和金钱,2）预算的基本规则,选择易于安装和维护的软件避免需要编程和专门配置的应用程序不要开发定制软件用快速应用程序

49、开发工具避免专用硬件（和软件）不要建自己的计算机和服务器,2、现有的条件,3、目标,1）网络计划阶段与用户交谈时要询问的问题,多少计算机连接网络？安全和易用哪个更重要？是否用Internet？如何使用（WEB、E-mail等）？是否请顾问、招人还是让现有人员维护网络？预算有何限制？是否连接远程办公室？是否要使用特定应用程序？,2）确定要求,兼容性应用程序用户连接平台服务安全性,4、计划图形化,二、网络设计,1、网络设计是有一定的方法的，网络设计的顺序如下,选择核心技术,估计网络要求,画出物理设备,计划网络连接,指定服务与资源,计划网络管理,2、这些设计元素根据网络操作的速度和距离分为三种层次：

50、子网、网络、网间网。,3、子网 通常为2到100台客户机的局域网。子网的所有计算机在相同媒介上通信，因此可以直接相互寻址。子网就是计算机之间的数据链。子网的重要特征是每个参与子网的设备可以直接相互通信，子网总带宽由子网上的设备数分隔，因为一次只能传输一个设备。子网是网络中的最少计算机群，物理上受到链路技术所支持距离的限制。,4、网络 通常为100到1000台客户机的网络。网络由各个媒介间的数据链网桥要求定义，网络广播转发到所有参与的计算机。网络的关键特点是所有计算机在同一个TCP/IP子网中。,多个子网通过网桥或路由生成网络。网桥是将两个子网连接起来的硬件设备。一个子网上的计算机要向外部子网上