全省校园网网管培训

《全省校园网网管培训》由会员分享，可在线阅读，更多相关《全省校园网网管培训（139页珍藏版）》请在装配图网上搜索。

1、Windows 2000 Server南京工业大学网络中心南京工业大学网络中心崔北亮崔北亮邮件：邮件： 电话：电话：3587667 3587667 -8011-8011全省校园网网管培训全省校园网网管培训内容提纲：内容提纲：1、WIN2K特性介绍特性介绍2、建站基础、建站基础 3、实现、实现WWW服务服务4、WWW服务的高级配置服务的高级配置 5、实现、实现FTP服务服务 6、实现、实现DHCP服务服务7、实现、实现DNS服务服务8、邮件服务器的使用、邮件服务器的使用9、系统监视与性能优化、系统监视与性能优化10、IIS排错排错11、代理服务器的使用、代理服务器的使用12、路由和远程访问、路由

2、和远程访问13、AD的使用的使用14、网络安全防范及灾难恢复、网络安全防范及灾难恢复15、日积月累（、日积月累（DOS上网、远程管理、小技巧等）上网、远程管理、小技巧等）内容提纲第一讲第一讲 WIN2KWIN2K特性介绍特性介绍一、WIN2K简介1、特性简介：http:/ 2、与linux系统的比较费用：必须考虑与管理网络服务器有关的全部费用，而不仅仅是采购软件的费用，学习难度：WIN2K胜出安装的难度：平手技术支持：WIN2K胜出性能及安全性：目前linux胜出如果你是想建立一个个人或者小型商业服务器，那么Linux比较合适。其初始投资比较少；不过你要记住你金钱上的节省也许会导致时间上的损失

3、。如果你是一个大公司的网络管理员，我猜你会选择Windows 2000。因大公司往往无法接受一个免费的操作系统来承担其关键任务。3、IP地址的配置网上邻居点右键，点属性，在弹出的“网络和拨号连接”窗口中的本地连接图标上点右键（左图），会弹出右图，选TCP/IP后，再点属性弹出如左图所示窗口，埴入IP地址，子网掩码，网关，DNS等，如要进行多IP地址的配置可点击“高级”，在弹出的窗口中进行配置（如图）1、用户和组的管理：管理工具计算机管理本地用户和组组的管理：如多个用户有相似的权限，则用组管理来实现，建立相应的用户组，并对组授与相应的权限，然后将用户加入到组中来。说明：用户自动继承所在组的权限，

4、如属于多个组，则用户最终的权限是多个组权限的组合；有一种情况除外，拒绝访问具有最高的优先级，可以覆盖其它的任何权限用户的管理：可以新建、删除、更改用户，默认的超户只能改名和改密码，不能删除；可以将用户加入用户组，则用户就继承该用户组的所有权限二、管理工具的使用2、文件系统的管理：两种不同文件系统的比较：硬盘分区的比较：FAT32 NTFS:NT file system更主要的一点是NTFS的管理可以到文件级，而且具有更好的安全性，比如：对于FAT32的系统，通过软盘引导也可以查看，而对于NTFS如进行加密，即使是其它的NT系统也无法查看。为了更好的发挥WIN2K的优势，应使用NTFSNTFS权

5、限的设置：分为若干种，对于NTFS分区上的目录而言，可以给账号或组指定如下几种权限1完全控制：具有对文件夹的全部操作能力。2修改：能够更改、添加、读取文件。3读取：能够读文件内容和查看文件目录。（包括6）4写入：只能写入，不能查看文件内容，也不能浏览目录，没有2的权限高。5读取及运行：同时包括3和运行。6列出文件夹目录：能够查看文件夹内容，但不能访问文件。7禁止访问：不具有如何权限。读取写入最终的权限？拒绝访问完全控制最终的权限？注意：远程共享用户对文件夹的最终权限是共享权限和安全权限中最严格的一种读取写入本地权限共享权限读取如用户从网上登录访问的最终权限？3、磁盘管理和共享文件夹的管理：磁盘

6、管理：管理工具计算机管理磁盘管理在此可以更改驱动器的盘符，找到未分区的硬盘空间共享文件夹的管理：管理工具计算机管理共享文件夹在此可查看已有的共享，以“$”结尾的共享为隐藏共享，查看当前来访的用户，查看被其他用户打开的文件也可以停止共享、中断用户的会话、中断打开的文件4、服务管理工具服务以Message服务为例：message服务主要用于信使服务，可以通过启、停来控制信息的传递；可以将一些服务从“自动”变成“手动”来实现避免“开机自启动”5、本地安全策略管理工具本地安全策略使用简介：一、Internet主机名与域名 rootcomedunet其它的顶级域主机名称 组织名称 代表该网站所属的组织为

7、商业机构 第二讲第二讲 Windows 2000Windows 2000建站基础建站基础二、IP寻址与DNS DNS的作用：实现域名解析，也就是将域名对应到相应的IP地址使用DNS名称服务器进行名称解析的基本过程如下：客户机如何配置DNS：WIN9X及WIN2KIP地址与域名的对应关系三、IIS规划与实现（Internet Information Server）1、IIS安装安装时应注意的安全问题：（1）避免安装在主域控制器上（2）避免安装在系统分区上（3）缺省随WIN2K一起安装，建议安装时断开网络，安装完成后暂停IIS，到微软下载相应补丁，安装病毒防火墙，启动IIS；如WIN2K已经安装，

8、则先微软下载相应补丁，安装病毒防火墙后再添加IIS程序IIS的添加：控制面板添加删除程序添加/删除windows组件选中第一项即可安装2、IIS的安全性（1）、以Windows NT的安全机制为基础（第十二讲中有专门的阐述）（2）、设置IIS的安全机制 （可以参考书本，我将在以后逐步讲解）一、Web站点基础：1、测试默认的WEB站点：在其它计算机IE地址栏中输入http:/ip地址2、创建虚拟目录：通过指向一个新的文件夹，说明这个问题3、创建WEB站点：（1）增加本机IP地址的数量，为新建的WEB站点分配新的IP地址（虚拟服务器）（2）改变WEB站点的TCP端口号，不同的WEB站点使用不同的T

9、CP端口号，对于访问使用非默认端口的WEB站点时要注意，一定要在网址的后面加上端口号，如：http:/:8080例：通过用frontpage2000新建一个个人网站说明这个问题第三讲第三讲 实现实现WWWWWW服务服务二、管理Web站点：1、配置Web站点属性：在对应的WEB站点在点击右键，点属性网站 的说明信息该站点对应的IP该站点对应的端口号限制同时连接的用户数记录访问的日志设置记录的选项及日志的格式规定时间内用户没有反应，则断开选中能加快网站对用户的响应速度 可以按F1键查看更详细的帮助2、配置主目录和内容权限 指定本地主目录路径 指定远程主目录 其他网站或其之下的目录 允许用户查看脚本

10、资源，如ASP等 其它选项可以不用了解，如想进一步了解，可以查看联机帮助3、分配站点管理员：默认情况下，只有超级用户有权管理WEB站点，你可以添加其他的管理员4、调整web站点性能 达到这一限制时，多出部分的请求将被拒绝 CPU使用的参考值，只会适当降低 如强制降低可能影响系统的稳定性 5、添加缺省主页所谓缺省主页，是指用户在请求站点（例如在浏览器地址栏中输入站点域名）之后，所收到的默认网页。通常我们也将网站的首页称为主页。通常客户机首先尝试加载优先级最高的主页，一旦不能成功下载，将降低优先级继续尝试。文档在列表中的位置越靠上意味着其优先级越高。6、添加ISAPI筛选器 ISAPI筛选器 是一

11、种服务器端应用程序的实现方式，ISAPI筛选器又名ISAPI应用程序，是指使用ISAPI技术开发的程序。ISAPI类似早期的CGI技术，能够实现简单的浏览器/服务器（Browser/Server构架）交互式应用。ISAPI占用服务器内存小，能够运行于独立的内存空间，具有极大的灵活性。故逐渐成为CGI的替代技术。ISAPI应用程序以动态链接库，即.dll文件的形式实现，凡是连入网站的用户必须通过该.dll文件的处理，从而实现应用程序的运行，因此，这种类似过筛子的应用程序工作方式页被叫做ISAPI筛选器。比如，适当配置后，可以让IIS执行PHP的程序7、自定义错误信息 HTTP协议提供了一系列标准

12、的错误代码，分别指示出错原因以及错误对象、可能的处理方法等信息。例如404错误，代表客户机请求的文件不存在；401.2错误，代表客户没有相应权限访问指定资源。对于一个追求个性或者更加体贴用户的网站而言，有必要重新编辑这些提示信息，使之变得对客户更加有用，而不是对这一大堆术语束手无策除了更改错误号对应的文件外，我们还可以修改原文件，如401-3.htm使用见 http:/(修改了403-9.htm)8、设置内容过期策略和HTTP头 网站中的某些信息是对时间敏感的，诸如专门报价或通知公告，过期之后它们将失去存在价值。而客户机的本地缓存往往倾向于尽量多的将已经下载的网页保存在本地硬盘，以便客户机再次

13、请求时直接从本地加载。这里提到的过期策略就是针对这一矛盾而开发的。它为当前主页预先定义过期时限，浏览器在加载网页时将当前日期与失效日期进行比较，以便确定是显示高速缓存页还是从服务器请求更新的页。(如想了解更多信息，请参考书本)9、目录安全性用户的限制IP地址的限制（我校VOD站点如何实现对校外校内进行限制）一、多Web站点配置 在一台计算机上实现多个Web站点的方式称为虚拟服务器。尤其对于多个小型站点，虚拟服务器可以极大的节省硬件成本，如图 同一台主机配置多WEB站点的方式有三种，1、多IP；2、更改端口方式(存在着一定的不足,要求用户在IP地址或域名的后面加上端口号)第四讲第四讲 WWW服务

14、的高级配置3、主机标头方式：一个IP，一个80端口实现多个域名(即虚拟主机)配置：右键单击“站点名称”，在弹出菜单中选择属性”;在“Web 站 点”选项卡中单击“高级”，然后双击第一栏中有IP地址的第一行，添加IP地址，添加端口号，在主机标识名（Host Header Name）中键入：,单击“确 定”。不足：实现如上所建立的虚拟服务器需要支持HTTP1.1的浏览器，IE3.0以上，Netscape 3.0以上都支持HTTP1.1。IIS4的虚拟服务器功能只支持Web服务，不支持FTP服务。如IP数量允许的情况下，我推荐使用第一种二、Web站点安全性设置 1、NTFS权限设置（对不同用户设置不

15、同的权限）2、目录和访应用程序问权限设置（IIS中配置）3、匿名和授权访问控制（IIS中配置）4、IP地址和域名访问控制（IIS中配置）5、使用权限向导 6、综合安全访问控制 服务器接受请求IP地址限制用户认证WEB权限NTFS权限 允许访问站点拒绝访问站点允许允许允许允许拒绝拒绝拒绝拒绝三、远程管理Web站点 端口号在IE地址栏中输入本机“IP地址：端口号”后就可以WEB方式管理IIS，但是在其它机器上输入后却是错误的提示，原因何在呢？选中管理WEB站点属性目录安全性IP地址及域名限制现在明白了吧，具体的操作按书本的指示进行吧当然除此之外，你还可以安装其它的远程控制软件直接操作服务器（见最后

16、一讲），WIN2K自带的服务器组件“远程终端”就能很好的实现这一功能一、FTP站点基础FTP（File transport protocols），Internet上专用的文件传输协议，在文件传输上比HTTP具有更快的速度和更好的性能。在IE地址栏中输入FTP:/服务器IP地址后即可访问FTP服务器，记住FTP不能省略，如：ftp:/默认进入匿名用户的连接方式，当然你也可以用特定的用户名登录进入。客户端的使用见最后一讲二、创建FTP站点1、规划FTP站点计算机的选择：硬盘空间较大摆放位置：位于主干上TCP端口的配置：21为默认端口2、创建FTP站点3、创建虚拟目录技巧:当我们在IE中打开站点时，

17、在IE窗口中却并未看见新建的虚拟目录,解决的办法是“我们可以在主目录下创建一个与虚拟目录同名的假文件夹”第五讲第五讲 实现实现FTPFTP服务服务三、管理FTP站点1、FTP站点：打开IIS管理界面，右击管理控制树中的FTP站点图标，从弹出菜单中选择【属性】配置基本与WWW的相同，多了一个“当前会话”按钮，点击后弹出右边的画面，可以在此中断当前用户的连接2、安全账号：使用同WEB站点3、消息：欢迎词、用户数已满、退出4、主目录：使用同WEB站点5、目录安全性：使用同WEB站点四、FTP站点的安全性IP地址限制用户认证FTP权限NTFS权限允许上传或下载服务器接受请求IP地址限制用户认证FTP权

18、限NTFS权限允许上传或下载拒绝访问站点允许允许允许允许拒绝拒绝拒绝拒绝五、实用FTP服务器端软件Serv-U Serv-U是一种被广泛运用的FTP服务器端软件，支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、下载的线程数、登录主目录及空间大小等，功能非常完备。Serv-U的下载、安装、汉化、详细使用见教材和演示一、DHCP的基本概念 1、DHCP：动态主机分配协议，是一个简化主机IP地址分配管理的TCP/IP 标准协议2、使用 DHCP的好处：DHCP 避免了因手工设置IP地址及子网掩码所产生的错误，同时也避免了把一个IP地址分配给多台工

19、作站所造成的地址冲突。降低了管理IP地址设置的负担使用DHCP 服务器大大缩短了配置或重新配置网络中工作站所花费的时间 第六讲第六讲 DHCPDHCP服务器的配置服务器的配置二、DHCP的运行方式三、DHCP的中继具有DHCP/bootp中继功能的路由器不具有HCP/bootp中继功能的路由器添加具有DHCP中继代理的服务器四、DHCP服务器的安装与配置1、安装2、添加DHCP服务器（DHCP服务器要有固定的IP地址）3、为DHCP服务器添加作用域(地址池必须与DHCP服务器的IP地址在同一个子网)4、对DHCP服务器进行授权（属于域的DHCP服务器必须要有AD的授权）5、保留特定的IP地址6

20、、配置作用域选项五、DHCP客户机的设置详细请参考书本六、DHCP的人为干预Ipconfig/all 查IP地址Ipconfig/release 释放获取的IP地址Ipconfig/renew 重新获取新的IP地址一、DNS服务概述 1、DNS服务器的工作原理第七讲第七讲 DNSDNS服务器的配置服务器的配置2、本节实验中要用到DNS拓扑EEyizhongteastu二、DNS属性的配置 1、连接到计算机：2、启用转发器：选中计算机，右键点击属性，点击转发器标签，在IP地址栏中填入你上一级DNS的IP地址三、创建搜索区域 1、正向搜索区域：域名到IP地址的解析（必不可少）a.标准主要区域b.标

21、准辅助区域 2、反向搜索区域：IP地址到域名的解析四、添加资源记录 1、新加主机：student1 2、新建别名：s1使其等价于student1 3、新建域：当前域的子域，由本DNS管理 4、新建委派：当前域的子域，由另一主机管理，比如在 中新建委派dell，将产生子的新DNS域,并由新的DNS主机来管理一、客户端邮件的配置（outlook express）1、账户的添加：演示一遍2、当一个账户想在多处同时使用时，只要按上所述重复配置即可，如一封来信想在多处都能收到时，则需如下配置：工具账号对应的邮件帐号属性高级选中在服务器上保留备份3、工具中选项的使用二、Post office 邮件系统的使

22、用 见实验讲义第八讲第八讲 实现邮件服务实现邮件服务一、事件查看器单击【开始】、【程序】、【管理工具】、【事件查看器】打开事件查看器 1、应用程序日志：包含由应用程序或系统程序记录的事件。2、系统日志：包含Windows 2000的系统组件记录的事件。3、安全日志：记录安全事件，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。比如增加对登录失败和成功的审核：【开始】、【程序】、【管理工具】、【本地安全策略】、【本地策略】、【审核策略】、【审核登录事件】。当然还可以审核目录的访问，操作同上。比如你要审核特定用户对D盘的访问，如下操作：右键点击D盘属性安全高级审核添加，

23、以后对D盘的操作将被记录。第九讲第九讲 系统监视与性能优化系统监视与性能优化处理日志 1、查看详细日志：双击即可 2、保存日志 3、打开日志 4、清除日志 5、常规设置 6、筛选日志二、任务管理器右击任务栏空白处，选择【任务管理器】查看当前正在运行的程序，是不是有没有响应的应用程序，可以在此强行结束查看当前正在运行的进程，每个进程对内存、CPU等的占用，可以结束一些非系统进程CPU使用和内存使用两个主要的实时图形窗口，以曲线的形式显示当前的CPU使用率和内存占用数量 三、系统性能监视1、性能监视器：单击【开始】、【程序】、【管理工具】、【性能】，在【性能】工具的控制树中选择【系统监视器】添加计

24、数器查看选中计数器的详细说明详细的性能指标请参考教材2、性能日志和警报A、计数器日志：产生日志文件，便于分析。比如，产生当前服务器匿名访问的用户数日志文件，并通过ASP程序让它显示在网页上。Function counterDim file,countfile,f,num,icountfile=server.mappath(当前匿名用户数_000001.tsv)指定文件名Set fs=CreateObject(Scripting.FileSystemObject)Set f=fs.OpenTextFile(countfile)do while not f.atendoflinei=i+1num=

25、f.readline 读入一行loopf.closeset countfile=nothingcounter=num 返回numEnd Function%;人在线 以上程序原文件是FTP：/中的Welcome.aspb、跟踪日志c、建立性能警报：具体使用参考教材四、网络监视器网络监视器能提供网络利用率和数据流量方面的一般性数据，还能够从网络中捕获数据帧，并能够筛选、解释、分析这些数据的来源、内容等信息。单击【开始】、【程序】、【管理工具】、【网络监视器】，打开如图所示的为了监视器窗口。单击【捕获】菜单，选择【开始】，启动网络监视器捕获功能。一、IIS服务器排错 1、查看事件日志，找原因所在2、

26、重新启动IIS解决软件问题二、备份/还原IIS 1、备份IIS：默认情况下，备份文件将保存在 Winntsystem32inetsrvMetaBack目录中2、还原IIS：普通的还原很简单重装IIS后的还原步骤如下：见教材三、网络故障的排除（由专门的章节介绍）第十讲第十讲 IISIIS排错排错一、代理服务器的工作机制 第十一讲第十一讲 代理服务器的使用代理服务器的使用ABC二、代理服务器存在的理由 1、局域局内没有与外网相连的机器通过内网的代理服务器连接到 外网 2、为了获得更大的速度，通过频宽较大的proxy与目标主机连接3、同一地区未互联的不同网络通过代理建立连接 4、可以免费访问因特网

27、三、谁架设了代理服务器1、是大型机关、企业事业、教育机构 2、ISP 四、WinRoute共享代理上网详解 主要功能1、DNS缓存和转发DNS域名查询信息2、可以端口映射实现反向代理功能，让外部访问受NAT保护的内部网络所提供的一些功能3、它具有路由器的寻径功能，让局域网里的多台计算机使用同一个IP地址访问因特网，还能自动保护内部网络不受到外部的攻击4、该软件支持基于IP地址的过滤和限制，提供限制可访问的URL的安全功能、利用该软件提供的DHCP服务器功能，可以动态分配局域网上的计算机的TCP/IP地址。、为保证安全，用户可以通过该软件定义一个过滤规则，对经过代理服务器的数据信息进行过滤、它能

28、提供代理服务器功能，并且可以设置缓存这样就可以大幅度提高游览的速度。(这个功能是非常有用的)、它还可以作为电子邮件服务器来使用，利用它来接受和发送电子邮件。（基本不用）winroute的安装1、安装前：在安装WinRoute4.1代理服务器软件之前，必须要求所在的机器应既能连接到因特网又能被局域网内的机器访问 2、安装：到站点下载后，双击“wrp41en.exe”进行安装，安装完后不要重新启动3、汉化：双击“HBC-WinRoutePro4127-Ronnier.exe”弹出如下窗口，选择winroute的安装路径，汉化成中文，重新启动即可使用4、初始化设置：右键点击任务栏上的winroute

29、图标，选启动参数设置，弹出如下如图所示的窗口，点选所需的选项参数设置1、登录：右键点击 任务栏上的winroute图标，选winroute管理，弹出如左图所示的界面，新安装的winroute4。1的admin用户密码是没有你可以直接按确定就可以了。2、改变管理员密码：单击“设置”账号，在右图所示的窗口中点击“编辑”按钮，改变Admin的密码3、拨号设置：因现在基本是宽带，用时可参考教材4、双网卡设置：在网络属性中对两块网卡的Tcp/ip属性进行设置网卡1：ip地址 202.119.249.16 掩码：255.255.255.0 网关：202.119.249.2 Dns:202.119.248.

30、66网卡1直接与internet相连网卡2：ip地址 10.10.10.1 掩码：255.255.255.0 网关：空 Dns:202.119.248.66网卡2与内部局域网相连5、接口表设置：设置接口表，如左图所示，为了启用地址转换功能，需打开连接外网网卡的NAT功能。选中下面的网卡，点属性，弹出右图，选中上面的复选框。是否对本机进行特殊处理6、代理服务器设置：设置代理服务器本机的代理端口本机上一级代理的IP地址和端口在访问界面中可设置使用代理的情况下，限制用户对外网的访问比如：所有用户都可访问*.*只有imacbl和yyyhan可以访问*.*网址7、DHCP服务器设置：设置DHCP服务器，

31、弹出左图所示窗口，查看已有的租用，可点击“新建范围”弹出右图所示窗口，添加新的租用范围：比如：添加IP：10.10.10.2-10.10.10.254掩码 ：255.255.255.0DNS :202.119.248.66网关 ：10.10.10.1(连接局域网网卡的IP地址)在上页左图中点击“添加租用”，可弹出下图，可以为一些机器保留固定的IP地址在上页左图中点击“编辑”，可对已有的一此设置进行修改8、DNS服务器设置DNS服务器，启用DNS转发winroute的高级设置1、数据包过滤器：如图所示打开数据包过滤器数据包过滤器配置举例，如下的配置将强制除192.168.1.1之外的所有局域网计

32、算机必须通过代理对外界的WEB服务器进行访问192.168.1.1可直接对外进行访问202.119.249.16可直接对外进行访问所有的计算机不允许对外界的80端口（即WEB）进行访问选择对内的网卡进行配置2、端口映射：对249.16的web访问转向内网中192.168.1.47对代理机器FTP的访问转向内网中192.168.1.47对249.17的web访问转向内网中192.168.1.1类似上述描述：3389端口为WIN2K的终端服务4899端口为下节课要讲的远程控制软件所用44333为WINROUTE的远程管理所用端口3、远程管理:A、设置高级远程管理，如图1B、设置高级端口映射，如图2

33、C、将WrAdmin.exe文件拷贝到远程要管理的计算机上，执行后，再图3的winroute主机处输入被管理的Winroute主机IP地址选中这一条必须加上禁止所有的用户在周一至周五的早晨8点下午5点对internet的访问不允许用户OICQ，协议类型UDP，端口：4000封联众游戏Winroute的强大功能远不止于此，更详细的使用请参考中文的帮助文件：到实验目录中去下载第十二讲第十二讲 路由和远程访问路由和远程访问Microsoft Windows 2000 Server 路由提供多协议 LAN 到 LAN、LAN 到 WAN、虚拟专用网络(VPN)和网络地址转换(NAT)路由服务。Wind

34、ows 2000 Server 路由供已经熟悉路由协议和服务以及可路由协议（例如 TCP/IP、IPX 和 AppleTalk）的系统管理员使用。一、路由的启用管理工具路由和远程访问，打开如图所示的窗口，右键点击机器名，启用路由和远程访问功能二、NAT地址转换实现的功能是：通过一个IP地址，一条线路让内部的所有计算机同时上网要求做为服务器的计算机配置两块网卡，图示如下：要启用NAT请选择该选项，点击下一步做为一个服务器来使用我们应该选择第二个选项（地址转换）选择对内的网卡选择对外的网卡点下一步，再点完成即可三、手动配置路由选择手动配置路由，以缺省的路由配置启动，用户再自由的添加相应的路由选择协

35、议四、路由选择协议1、静态路由：A、为什么需要静态路由？B、静态路由的配置将子网192.168.2.0的数据包发往三层交换机选择对内的网卡C、路由表的检验执行显示路由选择表,在弹出的窗口中查看路由表中现有的路由,当然静态路由的添加也可在DOS命令提示符下通过Route add命令实现,有关Route命令的使用请查看在线帮助.2、DHCP中继代理的配置在右边弹出的窗口中输入DHCP Server服务器的IP地址加入接收DHCP客户请求的端口3、Internet组管理的协议：多播路由，即传播多播侦听信息；多播转发，路由器将多播通信转发到节点侦听的网络或以节点侦听的方向转发。4、网络地址转换（NAT

36、）、启用地址转换对外的网卡选中此选项是否选中此选项要根据具体的可用IP数和需要数确定，一般都选中此选项、添加可用的地址（比如电信分配的）输入分配给你的地址在上面的地址中除去一个地址给内网中的特定计算机（比如服务器）、特殊的端口映射对本机每一个公用的访问上南的配置意义如下：外界对10.10.10.7的访问转向内部192.168.1.7主机、Rip和spf协议的使用RipspfRip协议中加入左边的那块网卡有关rip和ospf的更多知识在路由和交换中会涉及到四、拨号的设置1、修改用户属性，允许远程拨入2、超级终端连接到Modem口，进行设置ats0=1,把Modem设置成自动应答Ats0=1&d0

37、&w(实达modem的自动应答并保存)3、启动远程访问服务器4、设置远程访问策略如下选中第十三讲第十三讲 活动目录的使用活动目录的使用一、活动目录简介一、活动目录简介目录服务就是将网络系统中的各种网络设备、网络服务、网络账户等资源信息集中起来进行管理，为使用者提供一个统一的清单。二、活动目录的安装运行中输入dcpromo进行AD的添加和删除1、域中第一台域控制器的安装域中的每一台AD要选中此选项如果域在的机器数量过多，为减轻服务器的负担；或者出于安全的考虑，需安装一个附加域控制器Njna.eduNjut.njna.eduNjna.eduJsna.eduNjna.eduNjut.Jsna.edu

38、DNS域名，比如njna.edu主机名，比如master,经此操作后该主机的名字将变成：master.njna.eduWin2k中AD与DNS集成在一起，选此选项，AD将与DNS在一台服务器运行并非管理员密码，只是用于目录恢复如果域中有非win2K的服务器选此项2、现有域的额外域控制器的安装DNS配置成现有AD中的DNS，一般就是AD服务器的IP地址主域控制器的管理员用户名和密码主域控制器的域名3、将主机加入域中DNS配置成现有AD中的DNS，一般就是AD服务器的IP地址4、现有域的子域控制器的安装（略）5、组策略和使用简介6、是否安装AD在活动目录安装之后，不但服务器的开机和关机时间变长，而

39、且系统的执行速度也会变慢。所以，如果管理员对某个服务器没有特别要求或者不想把它作为域控制器来使用，可将该服务器上的活动目录删除，使其将为成员服务器或独立服务器。AD给访问带来方便的同时也对安全提出了挑战，如不能很好的管理将给用户带来灾难。我的个人风解是，AD不适合中国当前的国情和人情。7、集群服务简介第十四讲第十四讲 网络安全防范与备份网络安全防范与备份网络安全防范提纲网络攻击的基本原理网络攻击的防御措施几点建议资源推荐安全解决方案备份的使用网络攻击的基本原理一、攻击的目标漏洞系统漏洞和人为因素后门系统服务社会工程“红色代码”病毒的工作原理 1.病毒利用IIS的.ida 漏洞进入系统并获得 S

40、YSTEM 权限 (微软在2001年6月份已发布修复程序 MS01-033)2.病毒产生 100 个新的线程1.99 个线程用于感染其它的服务器2.第100个线程用于检查本机,并修改当前首页3.在 7/20/01 时所有被感染的机器回参与对白宫网站 www.whitehouse.gov的自动攻击.尼母达 Nimada的工作原理4 种不同的传播方式IE浏览器:利用IE的一个安全漏洞 (微软在2001年3月份已发布修复程序 MS01-020)IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.(微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案)电子邮件附件:(已被使用过无数

41、次的攻击方式)文件共享:针对所有未做安全限制的共享特洛伊木马现在互联网上有许多特洛伊木马程序，像著名的BO、Backdoor、Netbus及国内的Netspy等等。严格地说，它们属于（Client/Sever）程序，因为它们往往带有一个用于驻留在用户机器上的服务器程序，以及一个用于访问用户机器的客户端程序。所以不要运行来历不明的程序。个人防火墙FirewallInternet发布对应的清除工具和清除方法 http:/ 中下载相应的补丁程序，为避免流量花费，可在“北大天网”搜索国内的FTP下载，如没有出国帐号可上网查免费出国代理地址，速度可能会慢点。几点建议1.只装一个TCP/IP协议。IPX/

42、SPX和NetBEUI协议能不装就不装。2.硬盘共享不要设成完全访问。针对WIN9X的机密最好不要共享，或共享完后立即停止。3.收发E-mail时尽量采用文本形式，避免.doc，.exe附件。4.不要从ftp站点下载运行不明用途的软件。5.及时清空浏览器的缓存和历史纪录。6.不运行端口扫描程序，端口扫描会严重影响其它网络用户的使用 IP地址盗用盗用同一网段其它合法IP地址上网。IP 211.80.xxx.xxx与地址xx:xx:xx:xx:xx:xx冲突记下红色MAC地址，及时向网络中心报告。根本解决办法，将你个人的网卡MAC地址及IP地址在交换机上进行绑定资源推荐一、系统的安装（仅一、系统的

43、安装（仅WIN2KWIN2K）1 1、硬盘的分区、硬盘的分区 ：至少建立两个逻辑分区，一个用作系统分区，另一个用：至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区，再就是所有的分区应最好都是作应用程序分区，再就是所有的分区应最好都是NTFSNTFS格式格式 2 2、系统版本的选择、系统版本的选择：如果是在单位网络中用：如果是在单位网络中用Win2000Win2000，最好还是选用原英，最好还是选用原英文版的，这样选择的好处还在于将来升级、加补丁也远比其它语言版本快许多！文版的，这样选择的好处还在于将来升级、加补丁也远比其它语言版本快许多！3 3、正确的网络接入时间、正确的网络接入

44、时间 ：安装：安装Win2000Win2000系统时要注意，我们最好在系统系统时要注意，我们最好在系统未全部安装完全之前不要连入网络，特别是未全部安装完全之前不要连入网络，特别是Internet Internet 二、二、系统及应用软件安全设置（仅系统及应用软件安全设置（仅WIN2KWIN2K）（一）、用户账号的安全设置（一）、用户账号的安全设置1 1、改注册表、改注册表2 2、设置安全策略、设置安全策略3 3、文件和文件夹权限的设置、文件和文件夹权限的设置（二）、设置好（二）、设置好IISIIS1 1、要删除系统盘下的、要删除系统盘下的InetpubInetpub目录，在另一分区中新建一个目

45、录，在另一分区中新建一个InetpubInetpub，并使，并使IISIIS管理器中将主目录指向它管理器中将主目录指向它 2 2、记住一个原则，那就是：最小的权限、记住一个原则，那就是：最小的权限+最少的服务最少的服务=最大的安全。所以必需最大的安全。所以必需把把IISIIS安装时默认的安装时默认的scriptsscripts等虚拟目录也一概删除，如果你需要什么权限的目等虚拟目录也一概删除，如果你需要什么权限的目录可以以后再建（特别注意写权限和执行程序的权限）。录可以以后再建（特别注意写权限和执行程序的权限）。3 3、在、在IISIIS管理器中把无用映射都统统删除管理器中把无用映射都统统删除

46、；接着再在应用程序调试书签内，；接着再在应用程序调试书签内，将将“脚本错误消息脚本错误消息”改为改为“发送文本发送文本”4 4、为了保险起见，可以使用、为了保险起见，可以使用IISIIS的备份功能，将刚刚的设定全部备份下来，这的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复样就可以随时恢复IISIIS的安全配置。的安全配置。三、三、安装防火墙软件安装防火墙软件五、五、打补丁：打补丁：网站中下载最新补丁网站中下载最新补丁四、四、安装防病毒软件，打开实时监控安装防病毒软件，打开实时监控六、关闭不必要的端口：六、关闭不必要的端口：A A、扫描本地打开的所有端口（专用软件）、扫描本地打开的所有

47、端口（专用软件）B B、在、在TCP/IPTCP/IP属性中关闭不使用的端口属性中关闭不使用的端口一、人工备份：一、人工备份：如右图所示，进行备份操作，系统管理员最重要的工作就是做好备份二、自动备份二、自动备份：对重要的数据要定期备份，比如WEBMAIL上对E盘网站的数据每星期备份一次A、选择不同的备份向导按照屏幕的提示进行操作即可B、还原向导C、紧急修复磁盘举例对E盘的一个文件夹进行备份和恢复如担心磁盘受损，对重要的数据可采用磁盘镜像，见演示Copy.batCopy.bat的内容如一：的内容如一：net use 192.168.1.23ipcnet use 192.168.1.23ipc$w

48、lzx/user:administrator$wlzx/user:administratornet use z:192.168.1.23e$net use z:192.168.1.23e$xcopyxcopy e:hack e:hack*.*z:/s/y z:/s/yNet use z:/deleteNet use z:/deletenet use 192.168.1.23ipcnet use 192.168.1.23ipc$/delete$/delete三、重装系统时：三、重装系统时：Serv_u的备份：要备份serv_u 的用户数据：拷贝ServUDaemon.ini文件，然后覆盖新系统的

49、对应文件即可。IIS的备份：重新设定【IWAM_computername】用户的密码，备份IIS，重装系统只要更改【IWAM_computername】的密码，然后再还原即可四、磁盘镜像演示四、磁盘镜像演示一、Win9X与Winnt的互访 Winnt只要找到Win9X计算机输入相应的密码即可，但Win9X访问Winnt只输入密码则无法访问，因NT需要用户名和密码双重验证机制，Win9X只能根据密码提供访问权限，而NT把用户名和密码结合起来，解决的办法是WIN9X注销当前用户，以NT中的用户重新登录即可WIN9X访问WINNT时的界面 WINNT访问 WIN9X时的界面 第十五讲 日积月累二、网

50、上邻居的使用在网上邻居中查找共享文件夹，共享打印机往往要花费很长的时间，尤其是在局域很大的情况下，等待的简直让人无法忍受，其实只要在资源管理中直接输入例：pc_namepc_name共享文件夹名 pc_name打印机共享名如不再一个局域网内还可以用IP代替pc_name例：ip 地址 三、远程管理类（可用来进行远程调试和答疑）1、针对win2k可以使用远程终端：A、在服务器端添加远程终端服务（添加组件）B、在客户端安装客户端软件（拷贝到客户端安装即可）说明：不影响前台用户的操作，对前台用户而言，不可见2、针对目前微软的大部分产品都可以使用：Remote Administrator viewer

51、（远程控制软件）A、下载ftp:/B、安装C、远程控制输入正确密码后就如同操作本机一样操作远程主机说明：该远程控制软件是对对方主机的前台操作，如对方安装了防火墙，往往会影响使用D、文件传输E、Telnet四、Neetmeeting软件可实现：网上电话、视频会议、共享程序、聊天等使用见演示五、几个有用的DOS命令Ipconfig/all 查本机IP，MAC，DHCP，DNS等配置Nbtstat a Ip地址，查远程计算机的netbios名及网卡MAC地址Tracert Ip地址/域名，可查出到目的的路由，及网络问题所在Arp a,可查出与本机有通讯的同一网段的网卡MAC地址Netstat a,可

52、查出本机当前正在打开的端口及所处状态六、DOS上网软盘的制作，系统恢复的方法详见文章六、零碎技巧WIN98更改配置后如何避免重起（比如改IP，安装软件），Win98登录界面的意义，QQ用于文件传输。网络不通有时是因网卡的速度设定七、课件下载中的说明Cuteftp：FTP下载软件EasyRecovery：恢复已删除文件的软件Guest：客户留言ASP代码Hack：黑客软件post office：邮件服务器软件Pws：WIN98中的个人WEB服务器Remote Administrator：远程控制软件serv-u 4.0.0.4：FTP服务端软件Vmware：虚拟机软件WIN2K远程服务客户端：W

53、IN2K终端服务的客户端WinRoute4.1.27Cr：代理软件安全：有关安全的文章课件：讲课中的PPT文件Copy：远程自动备份批处理文件的编写FireBird3.0W（七月版）安装程序：WIN2K下的Telnet方式的BBSflashget1.3简体中文版：网际快车，用于各种协议的下载，如http,ftp等Foxmail：很好的邮件客户端软件Reg：注册表的文章Welcome.asp:统计服务器联接人数的程序Windows优化大师：系统性能的调整winrarc3.0 简体中文正式版：解压缩软件WinZip 8.1 Build 4331 简体中文企业版：解压缩软件删除广告及查对方IP：Oicq软件可删除广告并能显示在线好友IP地址天网防火墙 2.48 正式版注册表编辑手册：注册表的文章