网络操作系统与应用服务器

🕐本地用户与组

1️⃣Windows server 2008R2 本地用户与组

• 用户：包含用户名、密码、权限以及说明。
• 用户组：具有相同性质的用户归结在一起，统一授权，组成用户组。
• 创建用户和组：我的电脑-右键-管理-计算机管理-本地用户和组（本地用户信息存储在本地SAM数据库）。

2️⃣常见用户组与权限

• 权限顺序由高到低：Administrator>Power users>Users>Everyone

🕑活动目录

1️⃣活动目录

• 网络中计算机逻辑组织的两种模式：工作组模式和域模式（活动目录AD）。
• 工作组模式：每台计算机都拥有自己的本地安全账户管理数据库SAM。
• 域模式：用户信息存储在域控制器，可以在域中漫游，访问域中任意一台服务器上的资源。

2️⃣活动目录（Active Directory，AD)

• 活动目录：对域中的账户和资源对象进行存放并集中管理。
  • 一个动态的分布式文件系统，包含存储网络信息的目录结构和相关目录服务。
• 域控制器(Domain Controller,DC)域中安装了活动目录的计算机。dcpromo
• AD存储的用户信息，分散在多个DC,操作系统对信息进行备份和选择性复制，维护信息一致性，提供容错能力。
• 活动目录中对象的名字采用DNS域名结构，安装AD必须先安装DNS组件，必须安装在NTFS分区。

3️⃣活动目录工作组分类

• 全局组(G):来自本地域，可授权访问域林中的任何信任域。
• 域本地组(DL):来自任何域，只能访问本地域中的资源。
• 通用组(U):可来自域林中的任何域，访问权限可以达到域林中的任何域。

• 组策略（要记住）
  • A-G-DL-P策略
  • A-G-G-DL-P策略
  • A表示用户账号 G表示全局组 U表示通用组 DL表示域本地组 P表示资源权限
  • A-G-DL-P策略：将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

🕒远程桌面与 Samba 服务

1️⃣远程桌面基础

• 远程桌面协议RDP,基于TCP3389。
• 图形化远程桌面连接：开始-所有程序-附件-远程桌面连接命令快捷键：mstsc

2️⃣Samba

• Samba:向Linux主机提供Windows风格的文件和打印机共享服务。
• 目的：现网Windows居多，为了让Linux兼容与现网用户共享数据和服务。

🕓IIS 服务器（Web 与 FTP)

1️⃣Windows Server 2008R2 IIS服务器

• IIS( Internet Information Server)因特网信息服务器。
• IIS可以搭建Web服务器、FTP服务器和SMTP服务器。【没有POP3和IMAP】
• 安装IIS服务：开始→管理工具→服务器管理→角色→添加角色→Web服务器(IIS)。

2️⃣网站安全性配置

3️⃣Linu*Apache 服务器配置

• Apache:提供Web和FTP等服务，其中Web配置文件是http d.cosf 。
• Apache站点默认Web根目录是/var/www/html或/home/httpd,不同版本有差异。
• 虚拟主机：基于IP地址、基于端口、基于名字。

4️⃣FTP服务器配置

• FTP端口：21（控制）TCP20(数据)数据端口比控制端口小1。
• 添加FTP站点：开始→管理工具→IS管理器→网站→添加FTP站点。

5️⃣FTP权限控制

6️⃣FTP站点访问

• 客户端访问：浏览器或Windows搜索ftp://192.168.1.10
• 命令行访问：DOS下ftp命令访问
  • dir:展示目录下的文件
  • get：从服务器端下载文件
  • put：向FTP服务器端上传文件
  • lcd:设置客户端当前的目录
  • bye:退出FTP连接

🕔DNS 服务器

1️⃣DNS域名系统

• 域名系统(Domain Name System,DNS )。
  • DNS作用：把域名转换成IP地址。
  • DNS/DHCP服务器必须为静态IP地址，而Web/FTP均可为动态IP。
  • Linux系统中提供 DNS 服务的组件为bind,主配置文件为named.conf。
  • 诊断域名系统基础结构的信息和查看DNS服务器的IP地址命令是：nslookup。

2️⃣DNS域名系统结构

• DNS通过层次结构的分布式数据库建立一致性名字空间。
  • FQDN完全合格域名，比如www.whu.edu.cn.
  • 最顶层是根域，用“.”表示
  • 根域下面是顶级域，分为国家顶级域和通用顶级域
  • 顶级域下面是二级域，二级域下还可以划分子域

3️⃣DNS记录类型

4️⃣DNS查询方式

• 递归查询：域名服务器帮助用户进行名字解析，并返回最后的结果。 【老好人】
• 迭代查询：域名服务器进行迭代访问，反复多次，直到最后找到结果。 【踢皮球】

5️⃣DNS查询过程

6️⃣辅助DNS服务器

• 辅助DNS服务器是一种容错设计，DNS主服务器出现故障或因负载太重无法及时响应客户机请求，辅助服务器将挺身而出为主服务器排忧解难。
• 辅助服务器的区域数据都是从主服务器复制而来，DNS通知消息让辅助服务器能及时更新区域信息，只有被通知的辅助域名服务器才能从主域名服务器进行区域复制。

7️⃣DNS配置文件

• (1)/etc/resolv.conf:DNS服务器配置文件，包含了主机的域名搜索顺序和DNS服务器地址。
  • [root@localhost ~]# cat /etc/resolv.conf//查看该文件中的内容

  • Generated by Network Manager

  • nameserver 8.8.8.8 //google DNS
  • nameserver 8.8.4.4//google 用DNS
• (2)/etc/named.conf:DNS主配置文件，存放各类DNS记录，比如A记录、PTR记录。
• (3)/etc/hosts:存放主机DNS解析缓存，包含IP地址、主机名。
  • C:\Windows\System32\drivers\etc\hosts

  • For example:

  • 102.54.94.97 rhino.acme.com

  • 38.25.63.10 x.acme.com

• (4)host.conf:解析器查询顺序配置文件。
  • vi /etc/host.conf
  • order hosts bind//表示先查询本地hosts文件，如果没有结果，再尝试查找BINDDNS服务器。

🕕DHCP 服务器

1️⃣DHCP工作原理

2️⃣DHCP租期更新

• 当客户机的租约期到50%，会向DHCP服务器发送DHCP REQUEST消息包。
• 如果客户机接收到该服务器回应的DHCP ACK消息包，客户机就根据包中所提供的新的租期以及其它已经更新的TCP/IP参数，更新自己的配置，IP租用更新完成。
• 如果没有收到该服务器的回复，则客户机继续使用现有的IP地址，因为租期还剩50%。
• 如果在租期过去50%的时候没有更新，则客户机将在租期过去87.5%的时候再次向为其提供IP的DHCP服务器联系。
• 如果还不成功，到租约的100%时候，客户机必须放弃这个IP地址，发送DHCP DISCOVER重新申请地址。
• 如果此时无DHCP可用，客户机会使用169.254.0.0/16中随机的一个地址，并且每隔5分钟再进行尝试。

3️⃣新建DHCP地址池

4️⃣客户端DHCP

5️⃣Linux DHCP配置

• Dhcpd. conf的配置文件例子进行说明
  • subnet 192.168.0.0 netmask 255.255.255.0 {
  • range 192.168.0.200 192.168.0.254;
  • ignore client-updates;
  • default-lease-time 3600;
  • max-lease-time 7200;
  • option routers 192.168.0.1;
  • option domain-name"test.org" ;
  • option domain-name-servers 192.168.0.2;
  • host test1 { hardware ethernet 00:E0:4C:70:33:65;fixed-address 192.168.0.8;}
• DHCP可分配地址为192.168.0.200-254，网关为192.168.0.1，DNS地址为192.168.0.2
• 同时对主机test1 提供固定的IP地址192.168.0.8

6️⃣华为DHCP配置

• 华为路由器/三层交换机DHCP配置
• [dhcp] dhcp enable//开DHCP功能
• [dhcp] ip pool vlan10 //DHCP地址vlan10
• [dhcp-ip-pool-vlan10] network 192.168.10.0 mask 24
• [dhcp-ip-pool-vlan10] gateway-list 192.168.10.254//指定网关地址
• [dhcp-ip-pool-vlan10] dns-list 8.8.8.8 //指定DNS地址
• [dhcp-ip-pool-vlan10] quit
• [dhcp] ip pool vlan20 //DHCPvlan10
• [dhcp-ip-pool-vlan20] network 192.168.20.0 mask 24
• [dhcp-ip-pool-vlan20] gateway-list 192.168.20.254
• [dhcp-ip-pool-vlan20] dns-list 8.8.8.8

7️⃣DHCP报文格式

• DHCP除了标准字段，还包含可选部分Option(用户自定义)。
  • Option 82:称为中继代理 DHCPRe|ay 信息选项。
  • Option 43:为AP分配IP地址的同时，通告AC的地址。

8️⃣Option 43应用举例

• WLAN三层组网中，当AP上线时，需要获取AC的IP地址，并与AC之间建立CAPWAP隧道。
• AP的IP地址通过DHCP服务器分配，当AC的IP地址与AP不在同一个广播域，AP无法通过广播的方式获取AC的IP地址，则CAPWAP隧道无法建立成功。
• AP通过DHCP报文中的Option43选项字段获取AC的IP地址，当AP获取AC的IP地址后，可以进一步完成CAPWAP隧道的建立，从而实现AP上线。

9️⃣华为DHCP option43配置

• DHCP常规配置，为AP分配IP地址。
  • [DHCP-HW] dhcp enable
  • [DHCP-HW] ip pool huawei
  • [DHCP-HW-ip-pool-huawei] network 192.168.100.0 255.255.255.0
  • [DHCP-HW-ip-pool-huawei] gateway-list 192.168.100.1
• 配置Option43,使AP能够获得AC的IP地址，假设AC的IP地址是10.10.10.1。
  • [DHCP-HW-ip-pool-huawei] option 43 sub-option 3 ascii 10.10.10.1

🔟DHCP分配固定IP地址

1️⃣1️⃣DHCP中继 (DHCPRe|ay)

• 随着网络规模的不断扩大，网络设备不断增多，企业内不同的用户可能分布在不同的网段，一台DHCP服务器在正常情况下无法满足多个网段的地址分配需求。如果还需要通过 DHCP| 服务器分配IP地址，则需要跨网段发送DHCP报文。
• DHCPRe|ay 即DHCP中继，它是为解决DHCP服务器和DHCP客户端不在同一个广播域而提出的，提供了对DHCP广播报文的中继转发功能，能够把DHCP客户端的广播报文“透明地”传送到其它广播域的DHCP服务器上，同样也能够把DHCP服务器端的应答报文“透明地”传送到其它广播域的DHCP客户端。

1️⃣2️⃣DHCP Relay工作原理

• 有中继场景时DHCP客户端首次接入网络的工作原理：
  • 1.发现阶段：DHCP中继接收到DHCP客户端广播发送的DHCP DISCOVER报文后，通过路由转发将DHCP报文单播发送到DHCP服务器或下一跳中继。
  • 2.提供阶段：DHCP服务器根据DHCP DISCOVER报文中的Giaddr字段选择地址池为客户端分配相关网络参数，DHCP中继收到DHCPOFFER报文后，以单播或组播方式发送给DHCPClient。
  • 3.选择阶段：中继接收到来自客户端的DHCPREQUEST报文的处理过程同“发现阶段”。
  • 4.确认阶段：中继接收到来自服务器的DHCPACK报文的处理过程同“提供阶段”。

1️⃣3️⃣DHCPRe|ay 配置举例

• 配置要求：
  • R1通过DHCP获取IP地址。
  • R2的GE0/0/0接口开启DHCP Relay功能，并且指定DHCP Server的IP地址为10.1.1.2。
  • R3创建地址池名字为"HW-1"，地址范围为192.168.10/24,网关为192.168.1.1。

1️⃣4️⃣DHCP Snooping防止私接DHCP服务器

1️⃣5️⃣DHCP Snooping配置

• [Huawei] dhcp snooping enable
• [Huawei] int GigabitEthernet0/0/1
• [Huawei-GigabitEthernet0/0/1] dhcp snooping trusted
• [Huawei] int GigabitEthernet0/0/2
• [Huawei-GigabitEthernet0/0/2] dhcp snooping untrusted