1、 . . . 機電職業技術學院畢 業 論 文題 目 windows下構建服務器 35 / 37目 錄摘要1第一章電子概述11 電子系統發展簡史12 電子系統的作用33 電子系統的工作過程3第二章電子系統分析41 電子系統的需求分析42 構建系統的準備工作5（1）操作系統和軟件的選擇5（2）實驗的前期準備5（3）服務器的設置8第三章如何建立系統91配置dns服務器92 建立、配置dns服務器113與外網實現的收發21第四章服務器221 的意義222 構建證書服務223 用戶申請證書服務284 發送加密34結論36致36參考文獻36摘 要：在大學的三年中，從以前對電腦的一無所知到有所認識。所有的這

2、些，不僅是自身對知識的一種吸收，也離不開老師們的心血培養。因此，在這即將完成三年學業的時刻，以此篇論文來做為一份大學知識積累的一個總結，以回報教師的心血培養。在這篇論文中，我選擇了“windows下構建服務器”做為論文的一個主要課題來進行闡述，它的搭建平臺為windows server 2003，以與windows xp。這個課題是我在一家廣告公司實習期間，幫忙搭建起來并能應用的一個實例，具有一定的探索性與實用性。基于Web技術的服務平臺的開發主要包括服務器的安裝配置，用戶信息數據庫的建立，用戶訪問界面程序的開發三個方面。對于服務器需要穩定性好、安全可靠，負載能力強，對于數據庫需要安全可靠、數

3、據完整性強。而對于用戶界面應該具有能全面、友好易用等特點。經過分析，我使用Windows server 2003作為服務器，Windows xp 作為測試用戶，以實現對網外網的互發，CA認證等。關鍵詞：服務器，服務器，CA認證，第一章 電子概述1 電子系統發展簡史讓我們來看看早起的電子系統。與一般人想象的不同，其實最早的電子系統早在網絡形成就已經出現了。1961年的時候，麻省理工學院在7094大型機系統上開發出了一套兼容時分共享系統(CTSS)。這一允許許多用戶同事鞥路和使用主機的新能力，使用戶可以用新的方法來共享信息。當CTSS系統的用戶需要向其他用戶傳遞信息時，他們會在一個通用的目錄下以“

4、TO TOM”之類的文件名簡歷一個文件，查看或者打印其中的容。 在這種簡單的信息發送方法的基礎上，出現里第一個“”工具，通過這個工具，CTSS系統的管理員可以向用戶發送信息，例如同志某個用戶他丟失的文件已經通過備份找回。這是通過在目錄用戶中創建特定的文件來實現的。 這以后，CTSS系統上也出現了用于用戶之間信息傳遞的工具。在其他的多用戶系統上，也陸續開發和使用了類似的軟件。這些軟件的工作原理類似，都是在用戶目錄下設置一個特殊的目錄，一個用戶給另一個用戶發信時，就在收信者的牡蠣下建立一個新的文件，并在其中保存新建的容。 當收信者稍后登陸的主機上時，檢查該目錄就可以知道自己有新的，并可以打開和查看

5、容。 這些早期的系統雖然非常簡陋，也存在很多問題，但是其基本思想都是通過文件的傳遞來實現用戶之間的異步傳輸，和今天所用的電子系統基本一樣。現代電子系統正式在這些原始的軟件基礎上發展而來的。 到了20世紀60年代末70年代初，在美國國防部領導下，現代INTERNET 的前身-ARPANET 開始建立和運行，它將成員單位的多臺主機連接起來組成了一個打的網絡。當時，網絡的大部分主機上都已經有了部的系統，于是一個很自然的想法出現了，就是能否利用ARPANET使這些系統能夠相互通信？事實上，系統的互聯正式ARPANETA最早期的網絡應用嘗試之一。 1969年，在ARPANET原型網還在試驗的時候，拉里羅

6、伯特編寫了第一個通過網絡發送電子的程序。 1971年1月，ARPA RFC 196協議(Mail Box Protocol)中討論了如何通過ARPANET 發送的問題。之后有多個類似的RFC文件進行了這個方面的探討。 由于當時FTP協議已經比較成熟，而發送一直沒有成熟的協議，所以一些人開始研究利用FTP協議來發送的方法。1972年8月，在RCF385關于FTP協議的注釋中第一次提出通過擴展FTP協議的方法來發送電子。之后的一些RFC文件進一步對該方案進行了改進。在1973年一次會議上，大家統一在FTP命令中使用“用戶名主機名”形式的地址來標明地址，這被寫入了RFC469文件。RFC498則提出

7、了不用FTP協議進行傳輸的方法。這些方案由于各種原因都未能得到推廣使用，ARPANET上的系統一直處于各自為政的狀態。 除了收發的問題外，格式也是電子協議中的一個重要容。1977年，洛克等人提出來一個統一的格式標準，也就是后來的RFC733.但是這次統一格式標準的嘗試并未能獲得成功。這便是早起ARPNET上的電子系統。 早起的各種基于網絡的電子傳輸協議都存在這樣那樣的問題。要么功能不完善，要么過于復雜。人們需要的是一個全新的，易于實現而有功能強大的電子傳輸協議。1980年，RFC772傳輸協議發布了，其中描述了一個全新的傳輸協議。但是這個協議還是過于復雜了，于是人們在它的基礎上又進行了改進，縱

8、欲在1981年的RFC780中發布了簡單傳輸協議，經過一些曉得改進后，最總形成了RFC821SMTP協議，這也正是今天的電子系統的標準傳輸協議。 統一的傳輸協議自然需要統一的格式，1982年，克魯克在RFC733的基礎上編寫RFC822APRAInternet文本信息格式標準，他也最終成為電子的標準格式。但是在RFC822格式中，都是文本格式的，沒有考慮非文本的容問題。很快人們就對電子提出更多的要求，希望能用它來發送非文本格式的附件，如圖片，多媒體文件等。于是在1996年又發布了RFC20452049，規定了MIME編碼格式。通過這種格式，可以實現各種文件和文本信息之間的無損轉換，這樣就可以將

9、他們封裝在標準RFC822格式的文本中直接發送，從而使電子系統也可以發送非文本的信息了。 后來，人們根據系統中使用的問題，又陸續對SMTP協議以與其父樹協議進行了一些小的修改，如增加用戶身份認證功能等。到目前為止，SMTP協議的最新版本是RFC2821，格式規的最新版本是RFC2822。這便是現代電子系統的出現。 但是現代的系統仍然存在著許多缺陷。比如說，SMTP協議缺乏服務器之間的身份認證機制。SMTP協議完全依賴HELO或EHLO信息來獲取服務器的域名身份信息，沒有任何的手段來對這些信息進行核實，也就是根本無法保證這些信息的可靠性和真實性，也就很難對頭低的真實路徑進行追查。SMTP協議是基

10、于文本的，沒有任何的加密和校驗措施。這也就意味著SMTP通信本身非常容易被竊聽，劫持甚至偽造，而且這種偽造幾乎是沒有什么成本的。除了上述缺陷以外，投遞的過程中的開放式轉發是一個更為嚴重的安全缺陷。在介紹電子的投遞過程中，曾經介紹過，為了提高電子系統對網絡故障的容錯能力，SMTP協議規定電子在投遞時，如果寄信服務器無法直接投遞給收信服務器，可以投遞給第三方服務器，由第三方服務器嘗試著投遞給收信服務器。由于在電子的右箭頭中只保存了投遞路徑上各服務器上的域名，而沒有保存IP地址，加上域名信息是非常容易偽造的，因此經過中轉之后的很難追查其真實的源頭地址。近年來雖然大部分系統軟件開發者已經意識到了這個問

11、題，并在新版本中增加了對中轉的限制，但一方面由于很多實際運行的系統還在使用老版本得軟件，另一方面，由于很多系統管理員缺乏安全管理知識和意識，未能正確配置實用軟件，導致目前還是有很多系統依然工作在開放式轉發模式下。 從以上分析中可以得出這樣的結論，由于在電子系統存在的種種缺陷，我們學要重新設計一種全新的，通盤考慮并徹底解決各種安全問題和隱患的電子系統，并用它來代替現有的電子系統。但遺憾的是，由于各種現實的問題，在可預見的未來，這還是一個不可能實現的任務，無論如何，一個成功的或者試圖成功的電子系統，必須能夠較好的解決這些問題。2 電子系統的作用作為企業單位，擁有自己的電子系統可以方便管理，可以隨時

12、開啟或關閉公司職員的E-mail信箱，給每個有必要的員工分配有自己網絡通訊標識（域名）的Email地址，一方面可以增加企業形象宣傳力度；另一方面Email作為工作的工具或手段能為企業快速、高效的進行信息或數據的交換。使用系統后，所有的信箱都是name企業域名這種形式，從而可以樹立統一的企業品牌形象。一些意識超前的企業單位已開始注意用E-mail來塑造和提升自己的企業形象。總的來說，對于企業單位，電子系統的最主要的作用是兩個：一 方便企業部的管理，二 可以宣傳企業品牌形象。3 電子系統的工作過程電子系統識別接收者的地址，并向管理該地址的服務器（POP3服務器）發送消息。服務器識將消息存放在接收者

13、的電子信箱，并告知接收者有新到來。接收者通過客戶程序連接到服務器后，就會看到服務器的通知，進而打開自己的電子信箱來查收。 通常Internet上的個人用戶不能直接接收電子，而是通過申請ISP主機的一個電子信箱，由ISP主機負責電子的接收。一旦有用戶的電子到來，ISP主機就將移到用戶的電子信箱，并通知用戶有新。因此，當發送一條電子給一另一個客戶時，電子首先從用戶計算機發送到ISP主機，再到Internet，再到收件人的ISP主機，最后到收件人的個人計算機。 ISP主機起著“郵局”的作用，管理著眾多用戶的電子信箱。每個用戶的電子信箱實際上就是用戶所申請的名。每個用戶的電子信箱都要占用ISP主機一定

14、容量的硬盤空間，由于這一空間是有限的，因此用戶要定期查收和閱讀電子信箱中的，以便騰出空間來接收新的。在發件服務器將發送給收件人所在服務器這一步中，發見服務器會通過SMTP協議將提交給收件服務器。根據SMTP協議的規定，如果發件服務器無法直接連接收件服務器，可以請求其他的服務器幫助進行轉發。如果轉發的服務器也無法連接到收件服務器，也可以有其他服務器進一步轉發，以此類推，知道最終到達服務器，或者由于轉發時間過長或轉發次數過多，系統自動判定收件服務器不可能抵達為止。這種轉發的方法固然增加了系統的靈活性和對網絡故障的容錯能力，但也造成了嚴重的安全隱患。特別是許多服務器對轉發的來源不加限制，任何服務器都

15、可以通過他來轉發，即所謂的開放式轉發。由于在頭中只記錄了域名信息，而沒有IP地址信息，因此通過轉發之后無法得知初始發出的IP地址。很多垃圾制造者就利用這一點結合偽造域名信息來隱藏自己的實際發信地址。到達收件服務器后，收件服務器會按照系統和用戶設置的規則對進行處理。例如，安裝了反垃圾系統的服務器首先會對進行反垃圾檢查，通過檢查的正常才會被保存到用戶中，再如，有些開通了短信通知的服務器會在保存的同時，向用戶手機發送到達短信；還有，263等web 會按照用戶設置的過濾規則對進行相應處理。隨著技術的進步和用戶對功能需求的不斷增加，越來越多的處理步驟也被增加到這一環節中，并且絕大多數的反垃圾技術都是在這

16、一環節中應用的。從上面的介紹中可以看出來，的整個投遞過程是一個比較復雜的過程，中間涉與客戶端和服務器，以與多個服務器之間的相互協作，最終才能完成整個的投遞。特別是在服務器之間的投遞環節中，可能會涉與多個服務期間的投遞過程。第二章 電子系統分析1 電子系統的需求分析(1)方便性。電子系統可以像使用留言一樣，在自己方便的時候處理記錄下來的請求，通過電子可以方便地傳送文本信息、圖像文件、報表和計算機程序。(2)廣域性。電子系統具有開放性，許多非互聯網絡上的用戶可以通過網關(Gateway)與互聯網絡上的用戶交換電子。(3)快捷性。電子在傳遞過程中，若某個通信站點發現用戶給出的收信人的電子地址有錯誤而

17、無法繼續傳遞時，電子會迅速地將原信件逐站退回，并通知不能送達的原因。當 信件送到目的地的計算機后，該計算機的電子系統就立即將 它放人收信人的電子信箱中，等候用戶自行讀取。用戶只要隨時以計算機聯機方式打開自己的電子信箱，便可以查閱自己的。(4)透明性。電子系統采用“存儲轉發”的方式為用戶傳遞電子，通過在互聯網絡的一些通信節點計算機上運行相應的軟件，使這些計算機充當“郵局”的角色。當用戶希望通過互聯網絡給某人發送信件時，首先要與為自己提供電子的計算機聯機，然后把要發送的信件與收信人的電子地址發給電子系統。電子系統會自動地把用戶的信件通過網絡一站一站地送到目的地，整個過程對用戶來說是透明的。(5)廉

18、價性。互聯網絡的空間幾乎是無限的，公司可以將不同詳細程度的有關產品、服務的信息放在網絡站點上，這時顧客不僅可以隨時從網上獲得這些信息，而且在網上存儲、發送信息的費用都低于印刷、郵寄或的費用。在公司與顧客“一對一”關系的電子服務中，費用低廉，從而節約大量費用。(6)全天候。對顧客而言，電子的優點之一是沒有任何時間上的限制。一天24小時，一年365天，任何時間都可發送電子。比如，當顧客發生問題時，他們隨時都可以把發生的問題發送給公司，而公司有關負責人可以在他方便的時候，查閱這些信件，決定哪些信件必須首先處理，哪些可以稍后處理，哪些應該轉發給其他部門去承辦。而以前沒有電子時，顧客的產品本身或產品在使

19、用過程中發生了問題，需要等到公司人員上班時，才能給公司打。而且什么時候打也很講究，打早了，公司負責人還沒有上班，打晚了公司負責人又可能出去開會了。電子的全天候服務，從根本上解決了這種狀況，大大改善了公司與顧客的關系，改善了公司對顧客的服務。2 構建系統的準備工作（1） 操作系統和軟件的選擇為了更好的保證實驗的成功，使用Windows server 2003經典的服務器版本作為服務平臺的服務器操作系統。使用Windows xp 系統作為測試機。當然Windows server 2003 也參與到測試的一部分中。本實驗是在虛擬的環境中做的。使用的是vm虛擬機，本想在單位的電腦中做一個服務器，但是由

20、于條件不成熟，只能在虛擬機中進行實驗了。（2） 實驗的前期準備首先是vm虛擬機的安裝。Vm虛擬機安裝，只需下載好安裝文件，然后按照操作步驟即可完成。新建虛擬機按照提示，選擇個人制定模式和稍后創建系統選擇操作系統 Windows server 2003 Enterprise Edition版本。選擇安裝方式和鏡像文件的地址。開始安裝，安裝的過程一樣。開始安裝在安裝的過程中會出現一些信息 ，密碼在這里使用統一的password1！。做為密碼。安裝成功。同樣的方法需要在裝一個Windows xp的操作系統，做為客戶機。與Windows server 2003 系統共同完成實驗。（3） 服務器的設置要

21、構建一個服務器首先建立一個dns服務器。然后要裝好服務器的相關容，具體操作如下。第三章 如何建立系統1配置dns服務器安裝服務器的時，dns服務器是必不可少的。首先要配置到dns服務器才能保證下一步實驗的進行。在管理工具中打開dns選項。在一個dns服務器下新建一個區域。創建主要區域，以區域名字以yxgg 為例。2 建立、配置dns服務器創建主機，主機名為mail.yxgg. ip地址為。建立好主機后然在添加交換器。指向主機記錄。然后用系統自帶的dos系統進行測試。簡單測試是否能夠ping通服務器。測試后，打開pop3服務，添加域，域名為yxgg.，設置后之后，添加aa

22、和bb兩個用戶。密碼均為password1！添加好之后，在server機上面打開outlook。建立aa的賬戶。接下來給自己發一封，可以的話會自己加收到這封。同樣的，在windows xp系統下建立一個，用戶為bbyxgg.。在建立用戶之前，提前設定好ip地址。保證windows server 2003和windows xp兩個系統在同一個網段中。建立好bb用戶時同樣，給自己發一封，自己接受。測試完成之后，說明兩個用戶給自己發是沒有問題的，接下來是給對方發，用bb用戶的賬戶，給aa發一封，然后回到aa賬戶那邊，接受。接受到后，在給bb用戶答復。如果bb用戶能夠收到，說明網之間的服務器已經建立好

23、了，可以實現網的的收發服務。 3與外網實現的收發在局域網搭建服務器并與外網連接，首先需要具備自建系統的四大條件：一臺服務器。現在市面上的主流服務器的硬件配置都能支持系統的運行，但每臺服務器所能支持的用戶數是有限的，對于擁有大量用戶的企業而言，可以考慮雙機架構或者做集群方案。域名：任何能進行公網收發的系統，都需要一個可以解析的域名，就相當于給自己的系統在互聯網上分配一個地址，讓外網的知道你的存在位置。IP地址。可使用靜態IP或者動態IP，動態IP需使用花生殼綁定你的IP地址。系統：根據服務器的操作系統安裝相應版本的系統。服務器放置在企業局域網，采用雙網卡結構，一端連接公網，另一端企業部網。端口映

24、射：部署好服務器后，接著修改路由器的端口映射，將以下端口映射到服務器上：8080端口：提供WEB服務；110端口：提供POP3讀信服務；25端口：提供客戶端smtp發信服務和接收外網服務；143端口：提供IMAP收件協議，可以將web所有的文件夾和客戶端同步。第四章 服務器1 的意義服務器證書簡稱SSL證書，證書通過在客戶端瀏覽器和Web服務器之間建立一條SSL安全通道確保數據在傳送中不被隨意查看、竊取、修改。經過身份驗證的SSL證書包含企業身份信息，網民可以查看該證書判斷身份。如果你的客戶來自國外，如果由于客戶不信任你的SSL證書，造成對的不信任，最終白白流失交易量就得不償失了。所以最好選擇

25、大品牌的、知名度較高的SSL證書產品，如VeriSign。SSL證書簽發一般由當地服務機構負責簽發證書。同樣為了保護服務器的安全我們可以在自己模擬證書服務器來進行保護。2 構建證書服務添加IIS組件：點擊確定，安裝完畢后，查看IIS管理器，如下：添加證書服務組件：如果您的機器沒有安裝活動目錄，在勾選以上證書服務時，將彈出如下窗口：由于我們將要安裝的是獨立CA，所以不需要安裝活動目錄，點擊是，窗口跳向如下：默認情況下，用自定義設置生成密鑰對和CA證書沒有勾選，我們勾選之后點擊下一步可以進行密鑰算法的選擇：Microsoft 證書服務的默認CSP為：Microsoft Strong Cryptog

26、raphic Provider，默認散列算法：SHA-1，密鑰長度：2048您可以根據需要做相應的選擇，這里我們使用默認。點擊下一步：填寫CA的公用名稱（以AAAAA為例），其他信息（如、單位、部門等）可在可分辨名稱后綴中添加，有效期限默認為5年（可根據需要作相應改動，此處默認）。點擊下一步：點擊下一步進入組件的安裝，安裝過程中可能彈出如下窗口：單擊是，繼續安裝，可能再彈出如下窗口：由于安裝證書服務的時候系統會自動在IIS中（這也是為什么必須先安裝IIS的原因）添加證書申請服務，該服務系統用ASP寫就，所以必須為IIS啟用ASP功能，點擊是繼續安裝：完成證書服務的安裝。開始 - 管理工具 -

27、證書頒發機構，打開如下窗口：我們已經為服務器成功配置完公用名為AAAAA的獨立根CA，Web服務器和客戶端可以通過訪問該服務器的IIS證書申請服務申請相關證書。此時該服務器（CA）的IIS下多出以下幾項：我們可以通過在瀏覽器中輸入以下網址進行數字證書的申請：hostname/certsrv或hostip/certsrv申請界面如下：這樣證書服務就構建完成了。3 用戶申請證書服務在IE地址欄中輸入證書服務系統的地址，進入服務主頁：我們可以通過在瀏覽器中輸入以下網址進行數字證書的申請：hostname/certsrv或hostip/certsrv點擊申請一個證書進入申請頁面：如果證書用作客戶端身份

28、認證，則可點擊Web瀏覽器證書或高級證書申請，一般用戶申請Web瀏覽器證書即可，高級證書申請里有更多選項，也就有很多專業術語，高級用戶也可點擊進入進行申請。這里我們以點擊申請Web瀏覽器證書為例：申請Web瀏覽器證書，是必填項，其他項目可不填，但由于CA服務器的管理員是根據申請人的詳細信息決定是否頒發的，所以請盡量多填，并且填寫真實信息，因為CA管理員會驗證申請人的真實信息，然后進行頒發。需注意的一點是，國家（地區）需用國際代碼填寫，CN代表中國。到這一步，申請人已經向CA服務器發送證書信息，并等待CA管理員對其進行核對，然后決定是否要頒發，如果CA管理員核對信息后決定頒發此證書，則申請人在其

29、頒發之后再次訪問該系統：點擊安裝此證書：您應該已經信任CA機構，所以請單擊是：您已經成功安裝數字證書。如果要找回您剛才安裝的數字證書，請單擊瀏覽器上的：工具 Internet選項- 容-證書，彈出如下窗口：此時您已經發現，在證書個人存儲區已經安裝了您剛剛申請并成功安裝的證書。單擊查看：這就是您的數字證書了。用同樣的方法給windows xp系統下的服務用戶申請一個證書。步驟基本等同。在xp系統下運行mmc，可以查詢到辦法的證書。4 發送加密在用aa給bb發送的時候可以選擇簽名和加密兩種模式，簽名模式是用aa自己的證書簽名的，而加密是aa使用bb的秘鑰進行加密的。在首次發送的是時候只能發送簽名的，在aa中沒有b