Windows Server 2008 R2之网络管理与架站
- Windows Server 2008 R2網絡管理與架站
Windows Server 2008 R2網絡管理與架站
另见TechNet Library 已安装的 Windows Server 2008 R2 产品帮助 Web 服务器 (IIS) 管理 MSDN 或 TechNet
第一章:Windows Server 2008 R2基本网络概念
摘要:Windows Server 2008 R2的网络功能 TCP/IP协议简介 IPv6基本概念 Windows Server 2008 R2的管理工具
HP Thin Clients HP/惠普T510瘦客户机终端机,参数:处理器主频 1GHz;操作体统:HP ThinPro和Windows Enbedded Standard 2009;内存:2GB;闪存:1GB;集成显卡; 底层Linux系统。
HP-FTP
HP ThinPro 6 Operating System下载(系统要求)
服务器无法联接外部网络的原因是没有为“本地连接”启用DHCP(即没有设置自动获得IP,而是之前手动配置的IP);选择自动获得IP地址即可。
1.1 Windows Server 2008 R2的网络功能
Windows Server 2008 R2支持的网络技术与服务,它可以提供如下网络环境:
- 企业内部网络(Intranet):公司内部的私有局域网。通过企业内部网络,用户可以将文件、打印机等资源共享给其它网络用户访问。
- 因特网(Internet)
- 企业外部网络(Extranet):企业可以将其局域网与客户、供应商、合作伙伴的网络通过因特网技术串联成企业外部网络,以便相互共享资源。
- 远程访问:它让用户可以通过远程访问技术,来连接、管理公司内部网络。企业内两个位于不同地点的局域网,也可以通过VPN串连在一起,以访问对方网络内的资源。
Windows Server 2008 R2提供了各种不同的技术和服务,让你架构上述的网络环境:
- 同时支持IPv4与IPv6
- DHCP服务器、DNS服务器、WINS服务器
- PKI与IPSec
- 路由和远程访问、RADIUS服务器、DirectAccess与网络访问包含
- 路由器、NAT与虚拟专用网VPN
- QoS
- Windows防火墙、远程桌面服务、Windows部署服务
- IIS网站、SSL网站、FTP服务器
- WSUS
- 网络负载均衡与Web Farm
第二章:利用DHCP自动分配IP地址
2.1 主机IP地址的设置
每台主机的IP地址可以通过以下两种方法来设置:
- 手动输入
- 自动向DHCP服务器申请。必须有DHCP服务器,而客户端必须支持自动申请IP地址功能(这些客户端叫DHCP客户端)。
DHCP服务器只是将IP地址租给DHCP客户端一段时间,若客户端未即时更新租约,租约到期时,DHCP服务器会收回该IP地址的使用权。 除了IP地址外,DHCP服务器还可以提供如默认网关的IP地址、DNS服务器的IP地址等。
2.2 DHCP的工作原理
2.2.1向DHCP服务器申请IP地址
DHCP客户端与DHCP服务器之间会通过以下4个数据包来相互通信:
- DHCPDISCOVER(用广播): DHCP客户端 –> DHCP服务器;作用搜索DHCP服务器
- DHCPOFFER(用广播):DHCP客户端 <– DHCP服务器;作用将IP地址发送给DHCP客户端,为其保留IP地址。
- DHCPREQUEST(用广播): DHCP客户端 –> DHCP服务器;回复消息给DHCP服务器,IP地址已接收且可用。
- DHCPACK(用广播):DHCP客户端 <– DHCP服务器;完成申请,此消息包含DHCP客户端所需设置,如:IP地址,子网掩码,默认网关,DNS服务器。
更新IP地址的租约
在如下情况会自动进行更新租约:
- DHCP客户端计算机重启时
- IP地址租约期过半
- .
手动更新租约与释放IP地址:
DHCP客户端用户也可使用 ipconfig /renew 命令来更新IP租约。
还可使用ipconfig /release命令自行将IP地址释放,释放后,客户端会每隔5分钟自动寻找DHCP服务器,或手动使用ipconfig /renew命令来租用IP地址。
APIPA
Windows客户端无法从DHCP服务器获取IP地址时,它们会自动创建一个网络号为169.254.0.0/16的专用IP地址。但它仍会每5分钟进行寻找。
DHCP服务器的授权
为了避免多个DHCP服务器分配的IP地址产生混乱,在安装好DHCP服务器后,还必须经过一个授权的程序,未经授权的DHCP服务器不会将IP地址租给DHCP客户端。
DHCP服务器授权原理与注意事项:…
DHCP服务器的安装与测试
安装DHCP服务器角色:安装之前,先完成以下工作:
- 建议为DHCP服务器指定静态IP地址,并设置子网掩码,首选DNS服务器等
- 事先规划要出租给客户端计算机的IP地址范围(IP作用域)
…
测试客户端是否可租到IP地址
先确认该计算机IP地址是自动获得。
在“本地连接 状态”界面,单击“详细信息”来进行查看。
或使用ipconfig /all命令进行查看。
客户端的其它设置
在未租到IP地址之前,客户端可以暂时使用其它IP地址,此IP地址可以通过“Internet协议版本4属性”|“备用配置” 处进行设置。
IP作用域的创建与管理
您必须在DHCP服务器中创建一个或多个IP作用域,以便在DHCP客户端要租用IP地址时,DHCP服务器就可从这些作用域内,选择一个适当的、尚未出租的IP地址,然后租出给客户端。
在一台DHCP服务器内,一个子网只能有新建一个作用域。例如已经有一个范围为192.168.8.10~192.168.8.200的作用域后,就不能再有一个范围为192.168.8.210~192.168.8.240的作用域(两者的子网掩码都为255.255.255.0)。但可以利用排除某IP范围的方法来创建两个相关作用域。
DHCP服务器可事先检测要出租的地址是否已经被其它计算机占用;它是利用ping该IP地址的方式来检测。但是它会减低效率,一般怀疑IP重复时才启用该功能。
创建多个IP作用域
多个IP作用域之间通过路由器连接,有着不同的网络号。客户机连接到不同的网段时只能申请对应的IP作用域内的地址。 DHCP服务器通过路由器的协助来进行分辨。
保留特定IP地址给客户端
保留特定IP地址给特定客户端来使用,也就是说当这个客户端向DHCP服务器租用IP地址或更新租约时,DHCP服务器会将这个特定的IP地址租出给此客户端。
“保留”|新建保留|填写:
- “保留名称”:用来辨别DHCP客户端
- IP地址:为其保留的IP地址
- MAC地址:客户端网卡的物理地址。
- 支持的类型:设置是否客户端必须为DHCP客户端。
安装多台DHCP服务器
子网延迟配置
备用服务器通过设置子网延迟来尽量让主要服务器为客户端分配IP地址。
2.6 DHCP的选项设置
选项指默认网关、DNS等。 不同级别的DHCP选项:(都有继承性;且优先级依次增高)
- 服务器选项:该选项会被所有作用域继承。即它会被应用到此服务器内的所有作用域。因此DHCP客户端无论从哪个作用域租到IP地址,都会得到这些选项。
- 作用域选项:该选项只会适用于该作用域
- 保留:针对某个保留IP地址所设置的选项
- 类选项:还可在服务器、作用域、保留中(理解这个范围,比如针对服务器所设置的类选项),针对某些特定类的计算机来设置选项。WinServer2008支持两种类型的选项:用户类和供应商类。(设置用户类的方法见书)
2.7 DHCP中继代理
若DHCP服务器与DHCP客户端分别位于不同网段,由于DHCP消息是以广播为主,而连接这两个网络的路由器不会将此广播消息发送到另外一个网段,因而限制了DHCP的有效使用范围。 可以使用如下方法来解决此问题:
- 每一个网段都安装一台DHCP服务器
- 选择符合RFC 1542规范的路由器,此路由器可以将DHCP消息发送到不同的网段。
- 如果路由器不符合规范,也可以在没有DHCP服务器的网段内将一台Windows服务器级别的计算机设置成DHCP中继代理程序来解决问题(DHCP中继代理程序具备将DHCP消息直接转发给DHCP服务器的功能)
需在某台服务器上安装网络策略和访问服务角色,然后通过其提供的路由和远程访问服务来设置DHCP中继代理程序。
2.8 超级作用域与多播作用域
超级作用域可以解决一个IP作用域内的IP地址不够用的困扰;而多播作用域这适用于一对多的数据包发送,例如视频会议、网络广播。
超级作用域
超级作用域是由多个作用域组合而成,它可以被用来支持multinets的网络环境,所谓multinets就是在一个网络内有多个逻辑的IP网络。如果一个网络内的计算机数量较多,以至于一个网络号(network ID)所提供的IP地址不够使用的话,此时可以采用以下两种方法之一来解决问题:
- 利用路由器将这个网络分隔成多个单独的子网。
- 直接提供多个网络号给这个网络,让不同计算机可以有不同的网络号,也就是实际上这些计算机还在同一个网段内,但是逻辑上它们却是分别隶(li)属于不同的网络。WinServer的DHCP服务器可以通过超级作用域来将IP地址租给multinets内的DHCP客户端。
多播作用域
多播作用域让DHCP服务器可以将多播地址租出给网络中的其他计算机。(多播地址就是D类地址,范围为224.0.0.0~239.255.255.255)
2.9 DHCP数据库的维护
DHCP服务器的数据库文件存储着DHCP的配置数据。
dhcp.mdb文件(辅助文件)
该数据库备份、还原、迁移
同时相关摘要信息存储在注册表数据库中。
2.10 监视DHCP服务器的运行
…
第三章:解析NetBIOS名称
NetBIOS名称是传统的老名称,一早就该被DNS名称替代,而还在使用是为了支持Windows 2000以前的系统与传统应用程序。
何谓NetBIOS名称
NetBIOS名称是一个占用了16个字符的字符串,在Microsoft网络中会用到NetBIOS名称的有计算机名、域名、工作组名等。
使用 nbtstat -n命令查看此计算机当前所注册的NetBIOS名称:
NetBIOS 本地名称表
名称 类型 状态
---------------------------------------------
DESKTOP-AHSVF2U<20> 唯一 已注册
DESKTOP-AHSVF2U<00> 唯一 已注册
WORKGROUP <00> 组 已注册
通过NetBIOS名称来解析IP地址
…
第四章:解析DNS主机名
本章介绍如何利用域名系统(Domain Name System,DNS)来解析DNS主机。Active Directory域也与DNS紧密集成在一起,例如域成员计算机必须依赖DNS服务器来查找域控制器。
- DNS概述
- DNS服务器的安装与客户端的设置
- DNS区域的创建
- DNS区域的高级设置
- 动态更新
- “单一标签名称”解析
- 求助于其他DNS服务器
- 检查DNS服务器
- 清除过期记录
DNS概述
DNS域名空间
DNS架构是一个层次树状结构,这个树状结构称为DNS域名空间。
根: 树状结构的最上层是DNS域名空间的根(root),一般用句点(.)来代表根,根内有多台的DNS服务器,分别由不同机构来负责管理。
最高层(顶级)域: 每个最高层域内都有多台的DNS服务器。最高层域用来将组织分类。
第2层域: 它是提供公司或组织来申请使用,例如microsoft.com是微软公司申请的域名。
第2层之下的子域: 例如sayms.com之下为业务部sales新建一个子域,其域名为sales.sayms.com。 又如主机www与ftp是sayms这家公司的主机,他们的完整名(FQDN)称分别为www.sayms.com与ftp.sayms.com。其中www和ftp是这些主机的主机名。pc1~pc50等主机位于子域sales.sayms.com内,其FQDN分别为pc1.sales.sayms.com~pc50.sales.sayms.com
使用命令hostname来查看计算机的DNS主机名。
DNS区域
DNS区域(zone)是域名空间树状结构的一部分,通过它来将域名空间划分为比较容易管理的小区域。 在这个DNS区域内的主机数据,是被存储在DNS服务器内的区域文件或Active Directory数据库内。
DNS服务器
DNS服务器内存储着域名空间的部分域记录。一台DNS服务器可以存储一个或多个区域内的记录。
反向查询
反向查询: 反向查询(reverse lookup)是利用IP地址来查询主机名。
你必须在DNS服务器内创建反向查找区域,其区域名称最后为in-addr.arpa。 比如可以针对网络标识符为192.168.8的网络来提供反向查询服务。
DNS服务器的安装
。。。
DNS客户端的设置
设置首选DNS服务器,或设置备用DNS服务器。也可通过点击“高级”来设置两个以上的DNS服务器的IP地址。
使用Hosts文件
hosts文件是用来存储主机名与IP的对应数据。DNS客户端在查找主机的IP地址时,它会先检查自己计算机内的hosts文件。
。。。
第五章:IIS网站的架设
Internet Information Services (IIS)网站(Web服务器)。
5.1 环境设置与安装IIS
环境设置:省略DNS服务器,直接在hosts文件中配置,
比如添加127.0.0.1 www.example.com;然后可通过ping www.example.com检测。(另注意防火墙,它会阻挡ping命令的数据包)
安装:IIS
要通过添加Web服务器角色的方式来添加。服务器管理器|角色|添加角色|Web服务器|… ( IIS 默认安装,即安装最小的一组可用功能包。)
测试IIS网站是否安装成功:管理IIS网站:
- 开始|管理工具|Internet信息服务管理器
- 服务器管理器|角色|Web服务器
然后通过以下几种方式之一来连接网站:
- 利用DNS网址
http://www.sayms.com/ - 利用IP地址
- 利用计算机名
http://web1/(适合局域网,可能需要NetBIOS广播方式来查找网站web1的IP地址,而防火墙会阻挡此广播)
5.2 网站的基本设置
网页的存储地点与默认首页
主目录默认是被设置到文件夹%SystemDrive%\inetpub\wwwroot
可以更改此文件夹位置。比如将网页存储在网络上其它计算机的共享文件夹内;不过网站必须提供有权访问此共享文件夹的用户名与密码,设置方法为在设置物理路径时点击“连接为”|“特定用户”|… (即设置物理路径的凭据)
默认的首页文件:
一般是主目录下的Default.htm文件
HTTP重定向
如果网站内容正在搭建或维护中,可以将连接暂时导向到另外一个网站。
导出配置与使用共享的配置
。。。
物理目录与虚拟目录
推荐
每个虚拟目录都有一个别名,用户通过访问别名来访问这个文件夹内的文件。
新建网站
IIS支持在一台计算机上同时新建多个网站的功能。可以通过如下信息来识别每个网站:
- 主机名
- IP地址
- TCP端口号
网站安全性
通过IP地址来限制连接
5.8 网站的其它设置
文件页尾
可以让网页在将任何一个网页内容发送给浏览器时,自动将一个HTML文件插入网页的最后,这个文件被称为页尾文件(footer)。
启用连接日志
这些信息包含有谁连接此网站、访问了哪些网页等。
性能设置
限制宽带使用,限制连接数。。。
自定义错误页
错误页是用来显示在客户端的浏览器界面上,以便让用户了解连接网站发送错误的原因。
ASP.NET
如果要在IISWeb服务器来执行ASP.NET应用程序的话,必须先安装ASP.NET角色服务。
第六章:PKI、SSL网站与邮件安全
PKI(Public Key Infrastructure,公开密钥基础架构)。
PKI提供了以下两种功能确保数据发送的安全性:
- 将发送的数据加密
- 接受者的计算机收到数据后,会验证该数据是否由发件人本人所发送,同时还可以确认数据的完整性。
PKI根据Public Key Cryptography(公开密码编码学)来提供相关功能;而用户需要拥有公钥和私钥来支持这些功能。
用户需要通过证书颁发机构(Certification Authority, CA)申请证书的方法来拥有与使用这一组密钥。
公钥加密
公钥加密,私钥解密;非对称加密。
公钥验证
私钥签名,公钥验证 发件人可以利用公钥验证来将要发送的数据“数字签名”,而接收方在收到数据后,便能够通过此数字签名来验证数据是否确实是由发件人所发送,同时还会检查数据在发送的过程中是否被修改。
发件人是利用自己的私钥将数据签名,而接收方会利用发件人的公钥来验证此份数据。
SSL网站安全连接
SSL(Secure Socket Layer)是一个以PKI为基础的安全协议,若要让网站拥有SSL安全连接的功能的话,就必须为网站向证书颁发机构(CA)申请SSL证书(网站服务器证书),证书内包含了公钥、证书有效期限、发放此证书的CA、CA的数字签名等数据。
网站拥有SSL证书之后,客户端与网站之间就可以通过SSL安全连接来通信,也就是将URL路径中的http改为https。
SSL安全连接细则见书。
6.2 证书颁发机构(CA)概述与根CA的安装
…
商业CA 或利用Windows Server 2008 R2的Active Directory证书服务(AD CS)来自行假设CA。
安装AD CS与架设根CA: 。。。
第七章:Web Farm与网络负载平衡(NLB)
通过将多台IIS Web服务器组成Web Farm的方式,可以提供一个具备排错与负载平衡的高可用性网站。 Windows网络负载平衡(Windows Network Load Balancing)。
第八章:SMTP服务器的架设
SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)是用来发送与接收电子邮件的协议。 Windows Server 2008 R2已内置SMTP服务器,因此你可以让IIS网站内的ASP.NET应用程序通过SMTP服务器来发送邮件,也可以让SMTP服务器扮演SMTP Relay(中转站)的角色来接收传入邮件或发送待发邮件。
SMTP服务器主要的工作是提供电子邮件发送与接收的服务:
- 发送待发邮件:发件人可以利用邮件软件将邮件发送给SMTP服务器,再由它将邮件发送给目的地SMTP服务器。
- 接收传入邮件:SMTP服务器也负责接收由其它SMTP服务器送来的邮件。
内部网络 DMZ网络 外部网络
---------- || ------------ ||
| -- | || | -- | ||
| -- | || | -- | || 公用网络
---------- || ------------- ||
电子邮件服务器 后端防火墙 SMTP Relay 前端防火墙
(可能是Exchange Server)
8.3.6 TLS安全连接设置
用户或远程SMTP服务器可以采用TLS(Transport Layer Security)安全连接来连接到您的SMTP服务器,也就是将所有发送的数据经过TLS加密。TLS是一种类似SSL的安全协议。(需启用此项功能)
第九章:FTP服务器的架设
匿名帐号: anonymous,密码随意输入
Windows Server内置的是增强功能的新版FTP服务器。它充分与IIS集成。
安装FTP:
|服务器管理器|添加角色|网页服务器(IIS)|FTP服务器|
新建新的FTP站点: 需要一个主目录,内置的为C:\intepub\ftproot;此文件夹默认是赋予Users组读取的权限。
|管理工具|Internet信息服务管理器|单击网站右边的“添加FTP站点”|…
新建集成到网站的FTP站点:
这个FTP站点的主目录就是网站的主目录,此时你只需通过同一个站点来同时管理网站与FTP站点。
… |单击Default Web Site(任意网站)右边的“添加FTP发布…”| …
测试FTP站点:
防火墙会阻挡FTP的相关流量,所以关闭防火墙(简便做法)。
虽然安装好FTP服务器后,系统默认会在防火墙内自动新建规则来开放与FTP有关的流量,但这些规则实际上并没有发挥作用(除非这台FTP服务器有加入AD域) FTP相关的防火墙设置比较麻烦,见书。
三种方式来连接FTP站点:
ftp ftp1.sayms.comftp 192.168.8.1ftp ftp1
FTP站点的基本设置
物理目录与虚拟目录
每个虚拟目录都有一个别名,用户通过访问别名来访问这个文件夹内的文件。
虚拟主机名
通过虚拟主机名来在一台计算机内创建多个FTP站点。
第十章:IPSec与网络安全
之前介绍过利用PKI来确保数据在网络上传输的安全,本章将介绍另外一种可在IP网络上使用的安全协议:IPSec(Internet Protocol Security)。
第十一章:路由器与网桥的设置
不同网络之间通过路由器(router)或网桥(bridge)串接后,便可以让分别位于不同网络内的计算机通过路由器或网桥来通信。
11.1 路由器的原理
你可以利用硬件路由器来串接不同的网络,也可以让Windows Server 2008 R2计算机来扮演路由器的角色。
一般主机的路由表
使用命令 route print 查看路由表。
| 在防火墙中启用,入站规则 | 文件和打印机共享(回显请求-ICMPv4-In)。如果没有启用,他会阻挡ping命令所发出的数据包。 |
新建静态路径
第十二章:网络地址转换(NAT)
第十三章:虚拟专用网络(VPN)
第十四章:RADIUS服务器的架设
第十五章:网络访问保护(NAP)
网络访问保护(Network Access Protection, NAP)可以让您根据客户端的健康情况决定其访问网络资源的范围,以增强网络的安全性。
15.1 网络访问保护(NAP)概述
Windows客户端基本上都支持NAP功能。
NAP根据以下几个条件来决定客户端是否为健康的计算机:
- 客户端计算机是否安装并开启防火墙
- 是否安装、开启、更新防病毒软件
- …反间谍软件
- … 系统自动更新