1、第1章 中小企業網絡特點為和管理技能要求網絡基礎知識：計算機網絡的概念、基本組成和主要應用主要以太局域網拓撲結構類型及各自的主要優缺點OSI/RM分層結構、各層的主要功能和工作原理LAN/R帕層結構、各層的主要功能和工作原理主要以太網標準特性及各自的物理層、MAC?層結構和幀格式主要WLANS準及幀格式CSMA CSMA/CD CSMA/CA勺工作原理和應用數據通信基本模型主要數據傳輸技術和原理主要數制類型和相互轉換方法主要數字編碼方式和計算IPV4和IPV6協議的主要功能、數據包格式IPV4和IPV6的地址類型及配置方法IPV4協議子網劃分與聚合計算方法TCP協議的主要特點和分段格式TCP協

2、議的主要特點和分段格式TCP連接的建立與釋放原理UDP HTTP ARP PPP等覺通信協議的基本工作原理和包（幀）格式交換機、路由器和防火墻技術VLAN STR RSTP MST VTP等設備的技術原理和應用其他網絡基礎知識需求第2章 雙絞網絡和信息模塊的制作在6類和6a類的連接器也是RJ-45,與5類和5e （超5類）類的差別：一是除了 主體的拔插接頭外，還有一個分線器的附件，用于固定8根芯線的位置；二是6類和6a類雙絞線的RJ-45連接器的銅片更粗、更光滑，用于提高接觸性能。千兆以太網排線順序可以任意，但是兩端得一樣國際影響力的三家綜合布線標準發布組織是：ANSI （American N

3、ational Standard Institute,美國國家標準化組織）TIA （Telecommunication Industry Association,電信工業協會）EIA （Electronic Industries Alliance,電信工業協會）EIA/TIA-568A的排列序列：白綠、綠、白橙、藍、白藍、橙、白棕、棕EIA/TIA-568B的排列序列：白橙、橙、白綠、藍、白藍、綠、白棕、棕實際用到的只有4根傳輸，即1、2、3、6雙絞線分為直通網線和交叉網線，直通網絡即水晶頭兩端排列順序一樣直通線連接不同網絡設備間的連接，交叉線用于同種設備的連接如果是直通雙絞線網絡的測試，正常

4、情況下，測試儀的4個指示燈為綠色并從上至下依次閃過。如果有提示燈為黃色或紅色，則證明相應引腳的網線制作不良第3章有線工作網絡組建與配置網絡工作組的主要特點：工作組主機間是平等的管理和安全邊界為各成員計算機采用NetBIOS名稱解析在一個工作組網絡中可以有多個工作組不同工作組是可以相互訪問的工作組優缺點安全管理簡單（優點）網絡性能比較高（優點）網絡管理不方便（缺點）網絡公共應用配置比較煩瑣（缺點）域是一種基于對象（用戶、組、計算機等賬戶都是對象）和安全策略的分布式數據庫系統域網絡最大的特點就是可以實現用戶、計算機等對象賬戶，以及網絡安全策略的集中管理和部署活動目錄數據庫中包括了 3個表格：sch

5、ema表（包含了所有可以在活動目錄中創建的對象信息以及他們之間的相互關系，包括各種類型對象的可選及不可選的各種屬性）、link表（包含所有屬性的關聯，包括活動目錄中所有對象的屬性的值）、data表（活動目錄中用戶、組、應用程序的特殊數據和其他的數據全部保存在DATA表）域網絡的主要特點：集中管理多級賬戶和安全策略組策略的應用順序是：本地組策略-站點組策略-域組策略-組織單位（OU組策略-了 OU組策略默認信任集中存儲單點登錄采用DNS軍析協議支持漫游配置域網絡的主要優缺點：管理更方便（優點）安全性更高（優點） 網絡訪問更方便（優點）需要專門的高性能服務器（缺點）安全配置更復雜（缺點）網絡性能較

6、低（缺點）工作組與域的先把主要考慮以下幾個方面：安全策略的復雜性有無全局、集中管理需求有無基于活動目錄的應用與管理需求首要考慮netsh工具配置 windows系統的TCP/IP協議netsh interface ip set /?查看該命令的主要參數及對應功能的幫助說明配置IP地址。設置接口 IP地址的命令格式如下：Netsh interface ip set address name=InterfaceName source=dhcp | staticaddr=ipaddress mask=subnetmaskgateway=none|defaultgatewaygwmetric=gate

7、waymetric下面是各命令參數的說明name=InterfaceName為必需配置項，指定要配置其地址和網關信息的接口名稱。InterfaceName參數必0K與圖3-1所示“網絡連接”窗口中對應的接口名稱匹配。如果InterfaceName 含有空格，則請將文本置于引號之中（例如“InterfaceName 1 ”）source=dhcp | static addr=ipaddress mask=subnetmaskgateway=none|defaultgatewaygwmetric=auto|gatewaymetric為必需配置項，指定是通過DHCFW務器配置IP地址，還是使用靜態I

8、P地址。如果使用靜態地址，那么IPAddress將指定要配置的地址，而 subnetmask將指定所配置 IP地址的子網掩碼。如果使用靜態地址，那么還必須同時指定是保留當前默認的網 關（如果有），還是為該地址配置一個網關。如果配置默認網關，則利用 DefaultGateway 變量指定要配置的默認網關的IP地址，而gatewaymetric 指定要配置的默認網關的躍點數（通常都是 0,指的是網關與接口處于同一網段），也可以先 把自動獲得方式；如果不配置網關，則選擇 none選項。如要為“本地連接”配置采 用DHCP艮務器分配的IP地址，則鍵入以下命令： Netsh interface ipse

9、t address name=本地連接 sourcd=dhcp如果為“本地連接”N注：如果是靜態IP地址配置，則必須要同時為addr、mask、gateway和gwmetric關鍵字指定設置，不能遺漏，否則會不能成功配置。接口名，如果中間沒有空格，則可以不用引號括住（當然也可以用引號括住），但如果名稱中包括了空格，則一定要用引號括住。另外，在命令格式中，等號（ =）兩端不要留空格，而在各關鍵詞前 面要有空格。DNSI艮務器地址的命令格式為：Netsh interface ip set dns name=InterfaceNamesource=dhcp | static addr=dnsaddr

10、ess|noneregister=none|primary|bothname=InterfaceName 為必需配置項，指定要設置其DNS言息的接口的名稱。InterfaceName參數必0K與圖3-1所示“網絡連接”窗口中指定的的接口名稱匹配。如果InterfaceName 含有空格，則請將文本置于引號之中 （例如“ InterfaceName 1”） source=dhcp | static addr=dnsaddress |none為必需配置項，指定 DNS服務器的IP地址是通過DHCPE置的還是為靜態地址。如果是靜態IP地址，則用DNSaddress變量指定要配置的 DNS服務器的IP

11、地址，如果先把none選項，則指定 刪除的DNSffi置。register=none|primary|both為可選配置項，指定計算機注冊方式。如果選擇none選項，則表示該計算機禁用動態 DNSft冊完整的計算機名；如果選擇 primary 選項，則指定只在主 DNS服務器后綴下注冊完整的計算機名；如果選擇 both選項， 則同時在主DNSffi其他指定DNS服務器后綴下注冊完整的計算機名。自動獲得 DNS入的命令：netsh interface ip set dns name4地連接 source=dhcp 為接口配置多個IP地址：Netsh interface ip add addres

12、s name=InterfaceName addr=ipaddress mask=subnetmask gateway=defaultgatewaygwmetric=gatewaymetricN刪除IP地址Netsh interface ip delete address name=InterfaceName addr=ipaddress gateway=defaultgateway|allAll選項表示刪除所有默認網關，只想刪除一個默認網關，則 Defaultgateway變量 將指定要刪除的默認網關的IP地址N添加DNS服務器地址Netsh interface ip add dns nam

13、e=InterfaceName addr=dnsaddressindex=dnsindexDnsindex是用來指定添加的DNS1務器地址接口中的 DNS服務器列表的位置。N刪除DNS服務器地址：Netsh interface ip delete dns name=InterfaceName addr=dnsaddress|allAll表示用來刪除所有DNS服務器地址利用netsh工具導出/導入IP配置導出格式：netsh - c interface ip dump腳本文件路徑和文件名導入格式：netsh - f設置腳本文件工作組名稱是NetBIOS名稱，最多只能是15個數字、字符，或者 7個

14、純漢字。強制某臺機器為主瀏覽器的方法：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesbrowserparameters注冊表位置上將isdonainmaster 鍵值改為True如果想讓某臺機器永遠不能成為主瀏覽器：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesbrowserparameters 注冊表位置上將maintainserverlist鍵值改為no ,止匕時COMPUTER BROWSER也將無法啟動網上鄰居正常工作的必要條件：客戶機要配置了用于名稱解析的NetBIOS協議。一般情

15、況下 TCP/IP協議就內置并且啟動了 NetBIOS協議客戶端啟用了 “ microsoft網絡的文件和打印機共享”服務網絡中至少有一臺機器啟動了計算機瀏覽( Computer Browser)服務。要看 網絡中是否有瀏覽器主機，nbtstat -a連接網絡的網卡IP地址命令實現，主瀏 覽器的標識是含有_msbrowse_這樣的標識啟動workstation 或server月艮務造成“網上鄰居”訪問不成功的原因對方計算機上的防火墻阻止了。137端口在局域網中提供計算機的名字或IP地址查詢服務，一般安裝了NETBIO附議后，該端口會自動處于開放狀態。138端口是為NETBIOS datagra

16、m Service(netbios數據報服務)提供的，主要作用就是提供netbios環境下計算機名瀏覽功能，也就是 browser服務有關。139端口是為 netbios session service（netbios會話月艮務）提供的， 主要用于提供 windows文件和打印機共享以及 unix中的samba服務。445端口，也是提花局域網中文件 或打印機共享服務組策略限制了。IP安全策略中主要看是否限制了上面介紹的這些網上鄰居訪問端口的通信。經典訪問模式中，需要訪問者在對方計算機上有合法的用戶賬戶才能訪問對方的共享資源，需要經過明確的身份驗證；而來賓模式則用戶訪問時是以 來來賓guest賬

17、戶進行身份驗證，澡需要輸入賬戶和密碼（前提是啟用來賓用戶）。如果把windows XP或以后 版本系統中的guest賬戶也像以前系統那樣放進 everyone組中，享受同樣的權限，那就是組策略中的“讓每個人的權限應用 于匿名用戶”策略。空密碼賬戶的訪問限制-使用空白密碼的用戶只允許進行控制臺登錄。從網絡上訪問此計算機，拒絕從網絡上訪問此計算機用戶的共享文件夾權限和 NTFSt件訪問權限限制了工作組網絡用戶訪問域網絡用戶。工作組網絡用戶無法訪問域網絡中的計算機。反過來域網絡用戶訪問工作組網絡用戶則可以桌面或者“開始”菜單上沒有“網上鄰居”快捷項要在桌面上顯示“網上鄰居”，只需要在桌面的空白處右擊

18、，選屬性一桌面一自定義桌面開始菜單中顯示“網上鄰居”快捷鍵，只需在狀態欄的空白處右擊，屬性一一【開始】菜單一一自定義一一高級一一網上鄰居復選框一一確定在“網上鄰居”中沒有“整個網絡”1）HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPolicies Network位置，查看是否有一個名為 noentirenetwork 的dword鍵項，如果有將其值設為0,沒有就新建2）HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesexplores 位置看一下是否

19、有 noentirenetwork 的DWORD項，值改為03）HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPolicies explores 位置下新建一個nonethood的dword鍵項，將其值設為0即可取消“網 上鄰居”在桌面和菜單中的顯示。以上是針對當前用戶的設備，如果想要使計算 機上的所有用戶都采用以上設置，則需要在 hey_users.defaultsoftwaremicrosoftwindowscurrentversionpolicies network(或explorer) 位置查看地是否有 noentire

20、network 鍵項，如果沒有則新 建 network( 或 explorer) 主鍵，然后再新建 noentirenetwork 雙字節鍵項，并將 其設置為0.網上鄰居中可以看到自己，卻看不到其他聯網的計算機從以下幾個方面找原因查看網絡中是否只有這一臺計算機存在這種問題：如果只有個別計算機存在這種問題，則可以肯定的是與其他計算機無關，只與本機軟件配置和相連接網卡、網線、集線器等設備端口有關確定屬于本機或與有關的硬件故障有關后，先排除自身的軟件配置問題。在此還要特別提醒各位以下幾點：查看所有計算機IP地址是否都配置在同一網段上在網絡組件中是否安裝了 “網絡客戶”選項在“服務”控制臺中檢查計算機

21、是否已啟動了computer browser service 服務如果軟件配置沒問題，則需要進一確認硬件部分所存在的問題了。用ping.exe命令Ping其它主機的IP地址，檢查其他計算機連接速度是否正檢查網卡狀態指示燈是否閃爍檢查集線器上的端口和其他計算機端口的指示燈是否正常如果還懷疑其它計算機有軟件配置或硬件故障，則可進一步檢查在網上鄰居中可以看到其它機器，卻看不到自己沒有正常啟動 server（服務器）服務，還要檢查下 computer browser , net logon服 務當雙擊訪問“網上鄰居”中的“整個網絡”時彈出如下錯誤提示“無法瀏覽網絡。網絡末連接或啟動”，這是因為work

22、station 服務沒有啟動，相關聯是 computer browser service 、net 10gom已啟用guest賬戶，仍不能訪問“網上鄰居”中的其他計算機如果要使用guest用戶訪問windows XP系統，則要進行上面的3個設置：啟用guest 賬戶；修改安全策略允許 guest從網絡訪問（在本地組策略中的“用戶權利指派” 項下的“從網絡訪問此計算機”選項中添加guest賬戶，但一定不要在“拒絕從網絡訪問這臺計算機”選項中有 guest賬戶；在“網絡安全”項下啟用是“讓每個人 權限應用于匿名用戶”選項），禁用“安全選項”中的“賬戶：使用空密碼用戶只能 進行控制臺登錄”安全策略，

23、或者給 guest加個密碼網絡訪問windows xp系統主機的時候，總是出現輸入用戶名進行身份驗證的對話杠，或者登錄圣誕在框中的用戶是灰的，始終以 guest用戶訪問，不能輸入別的 用戶賬號，為什么本地安全策略中的“安全選項”項下的“網絡訪問：本地賬戶的共享和安全模式” 中，如果是“僅來賓模式，這樣就固定為 guest賬戶，如果是經典模式，就要輸入 用戶名與密碼最簡單的解決辦法就是：不用啟用 guest賬戶，僅修改上面安全策略為“經典”模式即可，別的系統訪問 xp時只需要輸入有效的本地賬戶即可，這樣更安全，但有時顯示比較麻煩第4章WLANE線網絡連接配置在 WLAN3,有兩種連接方式，采用

24、DCFDistributedcoordination function,分布式協調功能）機制無中心控制設備的點對點 Ad Hoc（是一種拉丁語）結構WLAN 網絡和采用 PCF （point coordination function, 點調功能）機制有中心控制設備（如 WLAN AP的點對多點infrastructure 結構wlan網絡AD hoc WLAN網絡中，只需在計算機上的 WLA啊上中進行 WLANE線連接和用戶訪問身份驗證配置，基本配置如下：SSID（Service set identifier,服務集合標識符）安全訪問微分驗證方式WLA啊絡類型通常采用1、6、11, 2, 7

25、、12, 3、8、13這3個信道組合，否則就會有重疊。注意不能與同一無線網絡中的其他AP所設置的信道重復。第5章共享上網方案與配置最簡單上網方案就是利用微軟 windows2000以后版本系統中推出的ICS （internet connection sharing,internet連接共享）方式，但在部署 ICS共享上網之前需要注意以下幾點：如果網絡中已有DHCPI艮務器，而且已采用該 DHCP艮務器自動分配IP地址，則要禁 用該DHCPR務器。因為安裝ICS后，也會提供DHCPI艮務，而且網絡中的ICS客戶 機均必須采用ICS自帶的DHCPE務獲得IP地址，否則就會發生沖突如果網絡中已安裝了

26、其他共享上網應用軟件，如sygate/wingate/ccproxy 等，則要卸載它們，因為這些應用程序安裝后會控制計算機上安裝的網卡，而在安裝ICS后也要控制你的計算機網上，不卸載那些應用軟件，就會發生網上控制沖突問題如果公司是采用ADS此類需要安裝接入終端設備的互聯網接入方式，則采用ICS共 享上網時，在ICS服務器端要安裝兩塊網卡ICS共享上網方式性能也不是很好，一般公用于20臺機器以內的網絡先把使用，畢竟采用的是軟件 NAT技術。一個最大的優點：配置簡單，配置成功后不會對任何應用進行限制，所有互聯網應用直接應用即可，無須任何特別配置。ICS共享上網的設置通常不單獨手動設置，而是通過運行

27、“設置家庭或小型辦公網絡”向導（通常把它稱為“ ICS設置向導”）來進行。（只適合小型網絡，一般僅用于 20 臺機器以內）啟用ICS共享后自動配置的項目自動配置的項目項目操作說明自動撥號功能已啟用靜態默認IP路由建立撥號連接時創建Internet連接共享服務已啟動DHC的配程序DNS弋理已啟用5、“設置家庭或小型辦公網絡”向導設置法需要分別在網絡中的每臺計算機上運行。6、如果采用的是網絡安裝磁盤向導運行方式，則可以直接雙擊網絡安裝磁盤（或者已復制 到硬盤中的）netsetup.exe 程序。7、如果先把電信的E家ADS電帶方案，則不能采用路由共享方式上網。 破解方式：像sniffer 之類的抓

28、包工具，在進行 PPPoEB議包，sniffer 就會把加密前后的密碼都呈現在你面前， 這樣就可以獲得這個加密后的密碼了。8、一般半徑為50米以內的區域中，只請允許我有3個無線AP9、“開放系統”是指用戶端無須輸入密鑰，直接與無線網絡連接的方式，這種方式在較大的安全隱患，在企業網絡中通常不采用。“共享密鑰”方式則需要用戶端在進行無線連接時輸入接入點預設的密鑰，只有正確輸入密鑰的用戶才能與無線接入點連接，確保了用戶的 合法性。“自動選擇”方式則是由路由器自動為無線客戶端分配密鑰，出于安全考慮不宜先 把，特別是在企業網絡中10、代理服務器共享上網方式也要分別對服務器端和客戶端進行配置11、中小型企

29、業網絡通常是對等網，所以不選擇NT服務，這樣就不會把這項代理服務當作NT域中的一項服務，不會隨系統自動啟動、自動運行。對等網絡中通常也不需要DNS進行名稱解析，所以也不要選擇“ DNS復選項。12、CCProxy默認采用的 HTT的議端口為808 第6章域控制器的安裝、配置與管理如果是新安裝的 Windows Server 2003系統，而且沒做其他任務配置，則可直接安 裝第一臺服務器，否則需要滿足以下條件才能進行：該計算機上運行的不是 Windows Server 2003 Datacenter Edition 或 Windows Server2003 WEB Edition 版本系統已安裝

30、并配置網卡的 TCP/IP協議，并且要分配靜態IP地址計算機上必須至少有一個 NTFS分區該計算機沒有加入到其他域中，當然該計算機更不能已經配置為域控制器在該計算機上沒有啟動過“ Active Directory安裝向導”，沒有運行“路由和遠程訪問”服務，但配置域控制器后可重新配置和運行“路由和遠程訪問”服務該計算機上沒有證書頒發機構（CA）,如果安裝了，要先卸載“證書服務”組件，但配置域控制后可以重新安裝“證書服務”組件，并配置成證書頒發機構該計算機沒有配置為DN哪務器或DHCPI艮務器2.額外域控制器的作用提供服務器容錯為現有域控制器提供負載均衡更易于用戶的連接和訪問額外域控制器的安裝有兩

31、種方式：在線安裝方式和離線安裝方式要進行在線額外域控制器安裝，首先要把該臺成員服務器的DNq旨向當前域網絡中的DNS!務器，當然還得連接在域網絡中（但可以不事先加入域）安裝離線額外域控制器的兩大步驟：NTBACKUP.ex丈具從現有域控制器上獲得活動目錄配置信息文件利用活動目錄配置信息文件，通過高級Active Directory 安裝向導完成額外域控制器的安裝Active Directory 配置信息文件是備份工具中System state（系統狀態）的一部分，整個System state 的內容分為5部分：Active Directory（ 活動目錄，主要是包括了 NTDS 這個數據庫文件

32、夾）、Boot Files（引導文件）、COM+Class Registration Database（ 組件類注冊數據庫）、Registry（注冊表）和SYSVOL系統卷）。離線方式安裝額外域控制器 時只需要 Active Directory 、Registry 和 SYSVOLE部分離線安裝額外域控制器：安裝、配置好DNS務器后，現在就可以使用dcpromo/adv 這個帶有高級參數的活動目錄運行向導來安裝額外域控制器了。重命名域控制器有一個前提條件，即該域的域功能級別設置必須為windows server2003重命名域名前的準備：域控制器、域、林功能提升到windows server

33、2003重命名域的工具是Rendom.etx,操作系統安裝光盤上：Valueadd/Msft/Mgmt/domren 目錄上，網上下載的名稱為domainrename.exe （網上安裝后產生一個組策略修改工具gpfixup.exe ）重命名域方法如下：(1)先找到rendom.exe程序文件(2)在主域控制器、額外域控制器或者任意一臺成員服務器的命令提示符下輸入 rendom /list 命令，然后按回車。運行成功后，會在該工具所在的文件夾下 產生一個名為domainlist.xml 文件，用記事本打開，進行修改(3)輸入rendom /upload 命令。同時會產生一個 dclist.xm

34、l 文件(4)輸入rendom /prepare命令。檢驗是否已全部準備好(如果出錯可用rendom/end結束)(5) 輸入 rendom /execute 命令(6)到了這里有一些細節需要處理。(7)進一步消除Active Directory 中的舊域名。在命令提示符下進入rendom文件所在的目錄，輸入rendom/clean命令，按回車。最后修改域組策略(工具 gpfixup ) 0(8)在命令提示進入這個目錄，鍵入 gpfixup /?命令，查看該命令格式和可用參 數(9) 具體的命令： gpfixup /olddns:lycb.local /newdns:lycb_gz.local

35、/oldnb:lycb /newnb:lycb_gz /dc:lycb-dc1.lycb_gz.local無法正常刪除，還是強制刪除，當域控制器上安裝了 “證書”服務時，不能刪除域控制器，必須先卸載證書服務組件。另外 ，如果域控制器是某個服務器群集的節點之 一，也不能刪除域控制器，得先通過群集管理器把該服務器從群集中退出。也不能成功 退出，則可使用以下命令從群集中清除該服務器節點：cluster node節點服務器名稱/forcecleanup配置全局控制器為全局編錄角色的方法是在：Active Directory 站點和服務”管理單元控制臺中 Default-First-Site 下面的se

36、rver節點下單擊選擇相應的域控制器， 然后在右側窗格中的 NTDS Settings項上右擊，在“常規”選項卡中選擇“全局編錄”復選項強制刪除方式包括兩個主要步驟：一是利用dcpromo /forceremoval強制刪除命令強制刪除域控制器上的活動目錄；二是利用ntdsutil工具命令清除域網絡中這臺已被刪除的域控制器的相關信息具體清除Active Directory元數據的步驟如下：1、命令符下輸入ntdsutil命令，然后在ntdsutil提示符下輸入”，用來 清理Active Directory元數據的子命令是 metadata cleanup2、在 metadata cleanup

37、命令，按回車進入 metadata cleanup 命令執行環境， 準備清除已強制刪除的域控制器上不再使用的Active Directory 數據3、metadata cleanup提示符下輸入“？ ”，首先用到的是 connections 子命令， 連接到要清除元數據的對象4、metadata cleanup 提示符下輸入 connections 命令，按回車進入 connections 命令執行環境。然后再在server connections 提示符下輸入”5、在 server connections 提示符下輸入 connect to server lycb-dc2 命令， 綁定連接到

38、要清除元數據的那臺降級了的域控制器6、再在server connections提示符下輸入 quit ,退回到上級的 metadatacleanup命令環境，正式對lycb-dc2服務器上的元數據進行清除工作。注意：對 象的定位是遵循從大到小規則的，先查找清理對象所在的站點，再在站點中找到 對應的域，最終在域中找到對應的服務器7、在 metadata cleanup 提示符下輸入 Select operation target 命令，進入 Select operation target命令操作環境。8、在Select operation target 中輸入list sites 命令，查看當前

39、網絡中的 所有站點，看要清理的對象在哪個站點上9、在 Select operation target 輸入 listdomain in site 命令，查看各站點中所有的域10、在 Select operation target提示符下輸入 select domain 0 命令，鎖定對應的域11、在 Select operation target輸入 list server for domain insite 命令，查看上次鎖定的域中的所有控制器序號12、在 Select operation target提示符下輸入 select server 1 命令，鎖定要清理的服務器13、在 Selec

40、t operation target提示符下輸入 quit 命令，退出 Selectoperation target定位命令環境，因為要清理元數據的服務器已最終鎖定14、在 metadata cleanup 提示符下輸入 remove selected server 命令，對鎖 定的服務器執行正式的元數據清理工作。15、在“Active Directory用戶和計算機”管理單元控制臺的 DomainControllers 容器下刪除該域控制器。在SP2版本中，這里的刪除不是那么簡單， 不能像以前版本那樣直接刪除。在彈出框中要選擇：“這臺域控制器永遠為脫機并且不能再用Active Directo

41、ry安裝向導（DCPROMO等其降級”單選項。第7章DNS和DHC用艮務器安裝、配置與管理存根區域與輔助區域不同同時創建相同的區域名顧要區域和輔助區域有類似之處，都要從對應區域的主要區域的DNSI艮務器上復制數據。不同之處在于，輔助區域復制區域中的所有記錄，但存根區域只復制區域的SOA（起始授權機構）記錄、NS （名稱服務器）記錄和解析 NS記錄的A記錄（主機地址記錄）區域創建原則可以劃分主DNSI艮務器和輔助DNS服務器，也可以不劃分，全部作為主DNSI艮務器（但不可能全部是輔助 DNS1務器）。每臺DNSI艮務器一開始都是把自己當作主DNS服務器的，直到創建了輔助區域對于某個特定的區域（如

42、正向查找區域和反射查找區域）來說，主DNS!務器上通常只要創建主要區域，而不創建輔助區域，除非所創建的輔助區域要從另一臺主DNS服務器上復制數據，否則主、輔DNS!務器和主、輔區域都在同一臺機器上就沒有意義了。在輔助DNS!務器上，不要創建主要區域，否則就不是輔助DNS服務器而是主DNS服務器了雖然在同一臺DNS 服務器的正向查找區域和反射查找區域中可以創建不同類型的區域（如主要區域、輔助區域、存根區域），但是通常是在一臺 DNS!務器上只創建同 一類區域。這樣更容易劃分主 DNS服務器和輔助DNS!務器在正、反向查找區域中都可以分別創建主要區域或輔助區域（要根據以上服務器角色原則來創建），也

43、就是說，可以同時在正向查找區域和反射查找區域創建主要區域 或輔助區域不能在同一臺計算機上同時創建相同區域的輔助區域和存根區域，但存根區域同樣可以在正向查找和反射查找區域中分別創建每個區域名只能有一條正向或反向查找區域，不能有相同 區域的多個同類型的查找區域。但是在區域下面還可以創建子區域（也就是子域）的各類區域。當DNS務器與域控制器在同一臺機器上時，要選：Active Directory 中存儲區域“只允許安全動態更新的方式”只有在選擇了，Active Directory 中存儲區域復選項后才支持的，對于不是在域控制器上的 DNS服務器是不可選該項動態更 新方式的；允許非安全的動態更新，存在

44、安全風險，特別是在廣域網中。如果在 這種公開網絡環境下，通常選擇不允許動態更新。 但在局域網中，如果DNS!務 器不是安裝在域控制器之上，則只能選擇第二種同時支持非安全和安全動態更新 方式。 內網的DNS!務器地址旋轉在“轉發器：選項卡中。常見的DN砥源記錄如下：主貢（A）記錄：用于將計算機的完整 DNS名映射到計算機所使用的IP 地址。是一種正向解析記錄。別名（CNAME記錄：用于將計算機的 DNS名映射到一個看似無關的別 名（相當于每個人的“小名”）。一是簡化名稱輸入，二是起到屏蔽真實名稱， 增加安全性的作用郵件交換器（MX記錄：用于將計算機的 DN洞名映射為交換或轉發郵 件的計算機（郵件

45、服務器）的名稱。名稱服務器（NS服務：用于指示區域中有哪些 DNS!務器指針（PTR）記錄：用于將計算機的IP地址映射到計算機的 DNSS名。 是一種反射解析記錄起始授權機構（SOA記錄：指示區域中是主 DNS服務器服務位置（SRV記錄：用于將計算機的 DNS名映射至ij指定的 DNSi機 列表，該DNS主機提供諸如Active Directory域名控制器之類的特定服務在DNS,旗表當前區域第8單 域網絡加入和域用戶管理1）域網絡加入典型故障排除1) 在客記機加入域時找不到網絡路徑或者活動目錄缺少DNSE錄引起此原因有如下幾點：客戶機的TCP/IP協議配置中沒有把主要 DNS服務器IP地址指

46、向域網絡 DNS 服務器的IP地址域網絡中沒有工作正常的 DNSE務器。可以在DNSE務器上運行netdiag/fix 命令（需要事先安裝系統支持工具程序包SUPTOOLS.MSI在源程序光盤中）修復一下DNS服務器上沒有域控制器的SRVE錄，或者是錯誤的。查看DNS!務器上有沒有這個記錄。Active Directory在下列文件夾下創建其 SRVE錄：_msdcs/dc/_sites/default-first-site-name/_tcp _msdcs/dc_tcp客戶機上沒有啟用 TCP/IP NetBIOS Helper 服務2) 加入域時出現找不到域控制器的錯誤原因：計算機中的防火

47、墻，特別是Windows防火墻阻止通信DNS服務器配置不正確在DC中運行netdiag/fix后再測試這個問題是否存在。完成以下兩個方面的目標：DNSM試。Netdiag命令可以驗證netlogon.dns 文件來確定它們是否含 有正確的所有DNSM,如果有問題更新相應條目域控制器測試。如果主域上緩存在本地計算機中的域GUID不同于域控制器上保存的域GUID,Netdiag將嘗試更新本地計算機上的域GUIQ輸入的是域的NetBIOS名稱，而在客戶機上沒有啟動前面說到的TCP/IPNetBIOS Helper服務，也可能出現這種故障如果網絡中安裝了像ISA之類的防火墻，而在沒安裝ISA之前加入域

48、是沒問 題的，則是因為在ISA中沒有配置網絡規則。最好是先安裝 ISA然后再配置 域3) 加入域時提示“依存服務不存在，或已被標記為刪除”服務Net Logon服務沒有開啟，到Hkey_local_MACHINESYSTEMCurrentControlSetNetlogon 下查看設置Net Logon服務依存服務的鍵項 DependOnService （這里除了 Workstaion 外應該無其它項） 2）Windows安全系統按照以下原理使用SID：在“安全描述” （security descriptor ）部分標識了對象和主要組的擁有者在“訪問控制條目（Access control en

49、trie ）部分標識了誰被允許訪問、誰被禁止訪問、誰的訪問將被審計這樣的信任樹在“訪問令牌 （Access token ）部分標識了用戶和用戶所隸屬的組3）whoami命令查看當前用戶的 SID信息格式：Whoami/upn|/fqdn|/logonid:這是用來查看當前用戶的UPN （userprincipal,用戶主體名稱）、FQDN（fully qualified,完全合格的域名）或LOGONID登錄ID）,不是本節所要查詢的SIDWhoami/user|/groups|/priv/fo format:這是我們所需要的，可用來 查看當前用戶或當前用戶所屬組的SID、安全屬性、組類型信息W

50、hoami/all /fo format:這也可以用來查看用戶和組的SID,因為這種語法格式可以查看當前用戶名、所屬組，以及它們的SID和當前用戶訪問信息的特權等所有信息 參數說明：/user:查看當前用戶賬戶信息和 SID/groups:查看當前用戶賬戶所屬賬戶類型、屬性和 SID/all :查看當前用戶名、所屬組、SID,以及當前用戶訪問令牌的特權/fo format:指定要顯示的輸出格式，有 table（表格）、list （列表）、csv（類似execl的表格）。4. PSTOOLS：具包后，解壓后釋放到系統安裝目錄下的system32目錄下。語法格式: psgetsidcomputer

51、1 ,computer2, |file-u username -p passwordaccount|SID4）acctinfo.dll鏈接庫文件，雙擊 ALTools.exe文件，然后把它安裝到windows系統的system32目錄下然后通過運行 regsvr32 acctinfo.dll 命令注 冊表中注冊，此方法不支持組賬戶和計算機賬戶SID的查看5）默認域用戶賬戶6 .默認域組賬戶默認用戶賬戶描述Administrator賬戶Administrator賬戶具后對域的元全控制權，可在必要時為域用戶指派用戶權利和訪問控制權限。該賬戶只用于需要管理憑據的任務。推薦為此賬戶設置強密碼Admin

52、istrator 賬戶是 Active Directory 中Administrators 、 Domain Admins、 Enterprise Admins 、 Group Policy Creator Owners和 Schema Admins 組默認成員。雖然無法從 Administrator 組中刪除 Administrator 賬戶，但是可以重命名或禁用些賬戶。但當Administrator賬戶被禁用時，仍然可以在安全模式下訪問域控制器。眾 所周知，Windows的許多版本都包括 Administrator 賬戶， 所以重命名或禁用些賬戶會使惡意用戶獲得訪問它的權限 變得更加困難G

53、uest賬戶Guest賬戶由該域中的臨時用戶使用，如賬戶被禁用（但末被刪除）的用戶也可以使用 Guest用戶。Guest賬戶默認是沒有密碼的，但可以為它設置密碼，以降低安全風險。一般現在都是禁用該賬戶，也可以像設置任意用戶賬戶一樣來設置Guest賬戶的權利和權限。在默認情況卜， Guest賬戶設置是內置 Guest組和Domain Guest全局組的成員，它允許用戶登錄到域HelpAssistant賬戶（同“遠程協助”會評卷安裝）該賬戶可用于建立“遠程協助”會話，只具有對計算機的 受限訪問權限。當請求“遠程協助”會話時，系統將自動 創建該賬戶，在沒有遠程協助請求等待響應時，系統又將 自動刪除該

54、賬戶7 .主要默認域組賬戶Builtin容器中的主要默認域組賬戶及其應用說明組描述應用說明Account Operators該組默認沒有成員，加入該組成員可以創建、修改和刪除位于Users或computers容器中的用戶、組和計算機的賬戶以及該域中除domain controllers 夕卜的組織單位。但該組的成員無權修改administrators 或 domain admins 組，也無權修改這些組的成員 賬戶。該組的成員可本地登錄到該域的域控制可以把委派非管理員組 成員賬戶，非域控制器 OU創建、修改和刪除等 管理工作的用戶或組賬 戶加入到該組中，減輕 管理員的管理負擔，同 時又提供了最

55、終的安全 保障器中，并可將其關閉AdministratorsDomain admins 組、enterprise admins 組 和 administrator 用戶 賬戶是該組的成員。該 組成員具有對域中所有 域控制器的完全控制權 限，包括修改文件夾和文件的所有者權限可以擔當域網絡中的一 切管理工作，但通常是 把一些基礎性的管理工 作委派給其他非管理用 戶，如上面的account operators 組成員Backup operators該組默認沒有成員，加 入該組的成員可備份和 還原該域控制器上的所 有義件，不論其各自對 這些文件的權限如何。Backup operators 還可 以本地登錄到域控制器 并關閉域控制器把擔當公司網絡備份與 恢復兼職管理員加入到 此組中，使他（她）們 具有備份與還原域控制 器的權利，減輕管理員 的工作負擔GuestsDomain guests 組，用于匿名訪問iis的內置賬戶iusr賬戶和匿名訪問 windows mediaservices 的內置賬戶wmu既戶，guest賬戶默認都是該