1、-,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,项目名称:,-,1,-,高职高专院校“十二五”精品示范系列教材(计算机网络技术专业群),网络操作系统项目教程,-,2,-,项目名称:,网络虚拟实验室的建立,-,3,-,网络虚拟实验室的建立,了解网络虚拟实验室的基本概念,掌握,VMWare Workstation,建立虚拟主机的方法,掌握在,VMWare,平台上建立,Windows Server,2008,和,Red Hat Linux,虚拟机的方法,掌握建立桥接、,NAT,、独立主机和虚拟网段类型虚拟网络的方法,学习目标,-,4,-,VMWare Wo
2、rkstation,的安装,一、什么是网络虚拟实验环境,网络操作系统课程以及其他网络课程的学习都必须依赖真实的网络设备,例如交换机、路由器等。但是这些网络设备不仅价格昂贵,而且不便于统一的管理维护。在目前各高校在开展网络技术课程实验时存在着以下的不足:,(,1,)网络物理线路连接水平低,容易出错。,(,2,)网络仪器设备使用不当,容易损坏。,(,3,)学生使用设备的效率不高,,-,5,-,虚拟实验环境允许根据提供的虚拟器材,自由搭建任意合理的典型实验或实验案例,这一点是虚拟实验环境有别于传统物理实验环境的重要特征。基于虚拟技术的虚拟实验室相对于传统的网络实验室具有如下的优势:,(,1,)虚拟网
3、络实验环境无需价格昂贵的网络实体设备,节省了教学经费的投入,实现了仪器设备的集成共享;,(,2,)虚拟网络实验环境无需考虑网络设备及物理线路的连接问题,对于没有故障排除经验的学生来说较为方便;,(,3,)虚拟网络实验环境能够避免学生在实验过程中为频繁变化调整配置而要不停往返于设备之间的环节;,(,4,)教师在虚拟网络实验环境下授课可以采用广播的方式实时进行操作的演示与讲解,改变传统的抓图和,PPT,等方式,更易于学生的理解和接受。,VMWare Workstation,的安装,-,6,-,二、,VMWare Workstation,简介,VMware Workstation,是一款功能强大的桌
4、面虚拟计算机软件,提供用户可在单一的桌面上同时运行不同的操作系统,是进行软件开发、测试、部署新的应用程序的最佳解决方案。,VMware Workstation,可在一部实体机器上模拟完整的网络环境,这个环境和真实的计算机一样,都有芯片组、,CPU,、内存、显卡、声卡、网卡、软驱、硬盘、光驱、串口、并口、,USB,控制器、,SCSI,控制器等设备,并且提供这个应用程序的窗口就是虚拟机的显示器。,VMWare Workstation,的安装,-,7,-,三、,VMWare Workstation 9.0,介绍,VMWare Workstation,软件从推出到现在已经有了,9,个版本,每个版本所实
5、使用的操作系统都与当时的主流配置相适应。,VMWare Workstation 9.0,为微软的最新操作系统,Windows 8,系统环境以及运行,Win8,虚拟机而全新设计。,VMWare Workstation,在虚拟网络方面虽然具有非常强大的功能,但是各个版本的,VMWare Workstation,对主机内存的依赖仍然是非常高的。,VMWare Workstation,的安装,-,8,-,VMWare Workstation,的安装,-,9,-,在,VMWare Workstation,的安装过程中,物理主机会自动安装两块虚拟网卡(如图,1-7,所示),如果物理主机是,Windows
6、XP,系统则会默认在新增加的网卡上自动启用防火墙。为了让虚拟机正常工作,我们可以在物理主机上的,Windows XP,操作系统上对防火墙进行必要的人工配置。,VMWare Workstation,的安装,-,10,-,VMWare Workstation,的安装,-,11,-,VMWare Workstation 9.0,可以安装,Windows,系列、,Linux,、,Novell Network,、,SUN Solaris,等主流的操作系统。其中,Widnows,家族的操作系统包括,Windows 95,及后面的更高版本的操作系统,甚至包括微软最新的,Windows 8,及,Windows
7、 Server 2008,等操作系统。,安装,Windows Server 2008,-,12,-,安装,Windows Server 2008,-,13,-,在网络服务器领域,大多数的中低端服务器都是采用的,Windows,各类网络操作系统,而在市场的中高端的服务器仍大量采用,Linux,各个系统。因此我们也需要掌握在虚拟机中安装,Linux,操作系统的方法。,Linux,是一套免费使用和自由传播的类,Unix,操作系统,它主要用于基于,Intel x86,系列,CPU,的计算机上。这个系统是由世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件版权制约的、全世界都能自由使
8、用的,Unix,兼容产品。,安装,Red Hat Linux9.0,-,14,-,安装,Red Hat Linux9.0,-,15,-,安装,Red Hat Linux9.0,-,16,-,安装,Red Hat Linux9.0,-,17,-,在,VMWare Workstation,在安装完成之后,在宿主机的“网络连接”属性对话框内自动出现了两个虚拟交换机(也可以理解为虚拟网卡),分别是,VMware Network Adapter VMnet1,和,VMware Network Adapter VMnet8,。这两个虚拟交换机究竟有什么样的功能呢?,VMWare,的虚拟网络类型主要有三种,
9、:,(,1,)桥接网络(,Bridged,),(,2,)网络地址转换(,NAT,),(,3,)独立主机(,Host-only,)模式,虚拟网络类型,-,18,-,1,、桥接网络(,Bridged,)模式,在这种模式下,虚拟机就像是局域网中的一台独立的主机,与它所依赖的宿主主机平等的存在于网络中,管理员必须像对待局域网中其他真正的物理主机一样来对待虚拟机(例如为虚拟机分配局域网所要求的网络地址、子网掩码、网关等)。,虚拟网络类型,-,19,-,1,、桥接网络(,Bridged,)模式设置,虚拟网络类型,-,20,-,1,、桥接网络(,Bridged,)模式设置,虚拟网络设备配置,完成虚拟桥接网络
10、实验,除了需要设置虚拟网卡类型之外,我们还需要添加虚拟机交换机。添加虚拟网络连接设备是在,VMWare,的虚拟网络编辑器(,Virtual Network Edior,)内进行配置的。,虚拟网络类型,-,21,-,2,、独立主机模式(,Host-only,),Host-only,顾名思义就是独立主机模式。这种模式提供的是主机和虚拟机之间的网络互访,而不是虚拟机访问,Internet,的技术。在某些特殊的网络调试环境中,我们往往需要将真实环境和虚拟环境隔离开,这时就可采用,Host-only,模式。在,Host-only,模式中,所有的虚拟主机是可以相互通信的,但虚拟系统和真实的网络是被隔离开的
11、。,虚拟网络类型,-,22,-,2,、独立主机模式(,Host-only,)配置,虚拟网络类型,-,23,-,2,、独立主机模式(,Host-only,),虚拟网络设备配置,将虚拟机网卡设置为,Host-Only,工作方式之后,就需要添加虚拟交换机实现虚拟机与宿主主机的连接。,虚拟网络类型,-,24,-,3,、网络地址转换(,NAT,)方式,如果希望虚拟机通过宿主主机访问外部网络,但是却不希望外部网络访问虚拟的私有网络,那么设置,NAT,方式就可以实现其功能。,NAT,这种模式最简单,虚拟系统不用做任何网络设置就可以访问外部网络,但是外部网络却不能访问私有网络内的虚拟机。,虚拟网络类型,-,2
12、5,-,3,、网络地址转换(,NAT,)方式的配置,(,1,)虚拟机网卡类型设置,虚拟网络类型,-,26,-,3,、网络地址转换(,NAT,)方式的配置,(,2,)虚拟网络设备配置,虚拟网络类型,-,27,-,4,、,LAN Segment,类型,在前面谈论过的三种虚拟网络类型,NAT,、,Host-only,和,Bridged,都具有一个共同的特点,即宿主主机均可以访问虚拟机。如果我们需要一个完全被隔离的网络,只允许该网络内的虚拟机相互通信,而不允许包括宿主主机在内的所有主机访问。那么以上三种方式是无法实现该功能的。要实现此功能,只有采用虚拟网段类型的网络(即,LAN Segment,),虚
13、拟网络类型,-,28,-,4,、,LAN Segment,类型的设置,(,1,)虚拟网段配置,虚拟网络类型,-,29,-,4,、,LAN Segment,类型的设置,(,2,)虚拟机网卡类型设置,虚拟网络类型,-,30,-,项目名称:,DHCP,服务器的配置与管理,-,31,-,学习目标,理解,DHCP,协议的工作原理,掌握,DHCP,服务组件的安装和启用方法,掌握,DHCP,服务器的配置方法,掌握,DHCP,客户端的设置方法,掌握,DHCP,服务器设置超级作用域的配置,方法,掌握,DHCP,中继代理服务器的配置方法,-,32,-,认识,DHCP,服务,DHCP,是动态主机配置协议的简称,用于
14、给网络内的主,机动态分配,IP,地址。,DHCP,服务器除了可以分配,IP,地址和子,网掩码这两个必选项以外,还可以根据要求分配默认网关地,址、,DNS,服务器地址、,WINS,服务器地址。,减小管理员的工作量,减小输入错误的可能,避免,IP,冲突,当网络更改,IP,地址段时,不需要重新配置每台计算机的,IP,计算机移动不必重新配置,IP,-,33,-,DHCP,的工作过程:,(,1,),DHCP,客户端请求(,DHCP Discover,),(,2,),DHCP,服务器响应(,DHCP Offer,),(,3,),DHCP,客户端选择(,DHCP Request,),(,4,),DHCP,服
15、务器确认(,DHCP ACK,),认识,DHCP,服务,-,34,-,(,5,)重新申请,此后,DHCP,客户机每次重新登陆网络申请地址时,就不需要再发送,DHCP Discover,发现信息了,而是直接发送包含前一次所分配的,IP,地址的,DHCP Request,请求信息。当,DHCP,服务器收到这一信息后,它会尝试让,DHCP,客户机继续使用原来的,IP,地址,并回答一个,DHCP ACK,确认信息。,(,6,)更新租约,DHCP,客户机启动时和,IP,租约期限过,50%,时,,DHCP,客户机都会自动向,DHCP,服务器发送更新其,IP,租约的信息。如果更新失败,则继续等待直到租约达到
16、,87.5%,时,进入重新申请状态,需要客户机重新发送,DHCP Discover,包开始重新申请地址。,认识,DHCP,服务,-,35,-,1,查看主机,IP,地址和物理地址,2,绑定,IP,地址和物理地址,认识,DHCP,服务,-,36,-,1,DHCP,中继代理的功能,DHCP,中继代理服务就是在网络中设置,DHCP,中继代理服务器,通过它将不同子网的客户端主机与,DHCP,服务器联系起来,借助于这个媒介间接实现地址申请和分配任务。,2,DHCP,中继代理的工作过程,(,1,),DHCP,客户端广播,DHCP Discover,包;,(,2,),DHCP,中继代理收到,DHCP Disc
17、over,包,以单播发送给,DHCP,服务器;,(,3,),DHCP,服务器收到数据包,以单播发送,DHCP Offer,包给,DHCP,中继代理服务器;,DHCP,中继代理,-,37,-,(,4,),DHCP,中继代理服务器广播发送,DHCP Offer,包;,(,5,),DHCP,客户端广播,DHCP Request,包;,(,6,),DHCP,中继代理服务器以单播转发,DHCP Request,包给,DHCP,服,务器;,(,7,),DHCP,服务器以单播发送,DHCP ACK,包给,DHCP,中继代理服务;,(,8,),DHCP,中继代理服务器广播,DHCP ACK,包。,DHCP,中
18、继代理,-,38,-,3,DHCP,中继代理的工作方式,(,1,)路由器充当路由转发和,DHCP,中继代理功能,(,2,)独立的,DHCP,中继代理服务器,DHCP,中继代理,-,39,-,项目名称:,DNS,服务器的配置与管理,-,40,-,学习目标,理解域名解析系统结构,理解,DNS,解析过程,理解,DNS,区域文件记录类型,理解,DNS,子域基本概念,掌握,DNS,服务器正反向查找区域配置方法,掌握辅助,DNS,服务器配置方法,掌握建立,DNS,子域和子域权限委派的配置方法,-,41,-,DNS,体系结构,1.,域名解析系统的发展,每台主机利用一个,Hosts,文件,在,Host,文件内
19、记录了当时互联网上的所有主机名称和,IP,地址的映射关系。,Hosts,文件是一个完全的分散解析方案,每台主机都自己负责名称解析。每个主机利用这个,Host,文件就可以把互联网上所有的主机都解析出来。,-,42,-,2,域名解析系统,DNS,的体系结构,DNS,采用的是分布式的解析方案。互联网管理委员会规定,域名空间的解析权都归根服务器所有,也就是说,根服务器对互联网上所有的域名都享有完全的解析权。,根服务器把,com,结尾的域名解析权委派给其他的,DNS,服务器,以后所有以,com,结尾的域名就不需要根服务器负责解析了,而由被委派的服务器负责解析。此外根服务器还把以,net,,,org,,,
20、edu,,,gov,等结尾的域名都一一进行了委派,这些被委派的域名被称为顶级域名,,DNS,体系结构,-,43,-,每个被委派的,DNS,顶级域名可以按照委派的方式向下进行进一步的委派。例如,要使用,域名,就需要向负责,.com,域名的,DNS,服务器进行申请。如果要使用,子域名,只需要向负责,域名的新浪公司,DNS,服务器进行申请。,值得注意的是,在二级域名以下就可以创建子域名或者主机名。,只要这种委派一级级发展下去,就会形成分层次的逻辑树型结构。,DNS,体系结构,-,44,-,完全合格域名,FQDN,(完全合格域名),=,主机名,+.DNS,后缀,例如:,在,域内,FTP,服务器的完全合
21、格域名就是,.,news,服务器的完全合格域名就是,.,DNS,体系结构,-,45,-,DNS,的解析过程,1,DNS,按照查询方式,正向地址解析是指,DNS,客户端向,DNS,服务器提交域名查询,IP,地址,或者是,DNS,服务器向另一台,DNS,服务器提交域名查询,IP,地址,被请求的,DNS,服务器作出响应的过程称为正向解析。,反向解析是指,DNS,客户端向,DNS,服务器提交,IP,地址而查询域名的响应过程,。,-,46,-,2,DNS,按照响应方式,(,1,)递归查询,递归查询是指,DNS,客户端发出查询请求后,如果,DNS,服务器内没有所需的数据,则,DNS,服务器会代替客户端向其
22、他,DNS,服务器进行查询。在这种方式中,,DNS,服务器必须给,DNS,客户端作出回答。,(,2,)循环查询(迭代查询),循环查询是指每次请求一个服务器,不行再请求其他的服务器。,DNS,的解析过程,-,47,-,DNS,客户机,本地域名服务器,根,DNS,服务器,cn,C,2,3,4,6,7,1,递归查询,迭代查询,Web,服务器,5,查询域名:,DNS,的解析过程,-,48,-,3,DNS,的解析过程,DNS,的解析过程,-,49,-,1.DNS,区域及文件记录,DNS,的区域有三种类型:主要区域、辅助区域和存根区域。,主要区域:主,DNS,服务器建立的区域,辅助区域:辅助,DNS,服务
23、器建立的区域,存根区域:特殊的,简化的辅助区域,DNS,的区域文件,-,50,-,DNS,的区域文件中常用的记录,资源记录,说明,SOA(,起始授权机构,),定义了该区域中的哪个名称服务器是权威名称服务器,NS(,名称服务器,),表示该区域的权威服务器和,SOA,中指定的该区域的主服务器和辅助服务器,A(,主机,),列出了区域中,FQDN,到,IP,地址的映射,PTR(,指针,),PTR,记录把,IP,地址映射到,FQDN,MX,邮件交换器记录,向指定邮件交换主机提供消息路由(在后续课程使用),SRV(,服务位置,),列出了哪些服务器正在提供特定的服务,DNS,的解析过程,-,51,-,1.,
24、设置,DNS,辅助服务器的必要性,容错能力,减少广域链路的通信量,减轻主服务器的负载,2.,主,DNS,服务器和从,DNS,服务器区域文件的同步,主,DNS,服务器保存着区域的所有文件记录,辅助服务器定期与主服务器进行同步,从主服务器那里复制区域文件到本服务器上。,辅助,DNS,服务器,-,52,-,DNS,子域和子域委派的基本概念,区域中的子域过多时,维护起来不方便,并且还会遇到域名查询量的瓶颈。通过在区域中新建委派可以将子域委派到其他服务器维护。,子域与委派的对比,S,子域的资源在父区域文件中,S,委派有独立的区域文件,DNS,子域和委派,-,53,-,1.DNS,转发器的基本概念和工作原
25、理,将本地,DNS,服务器无法解析的查询转发给网络上的其他,DNS,服务器,该,DNS,服务器即被指定为转发器。转发给转发器的查询为递归查询。,2.,配置转发器,(,1,)假设本地,DNS,服务器的,IP,地址为,192.168.1.2,(,2,)转发器的,IP,地址为,192.168.1.11,(,3,)在本地,DNS,服务器上配置,DNS,转发器,-,54,-,1,DNS,服务器的安装,DNS,服务器的基本配置,-,55,-,DNS,服务器的基本配置,2,创建,DNS,服务器区域,-,56,-,3,创建资源记录,DNS,服务器的基本配置,-,57,-,4,DNS,客户端的设置,DNS,服务
26、器的基本配置,-,58,-,辅助,DNS,服务器配置,1,主,DNS,服务器配置,-,59,-,2,辅助,DNS,服务器的配置,辅助,DNS,服务器配置,-,60,-,DNS,子域和委派配置,1,成都子公司的子域创建,-,61,-,2,南京子公司的子域创建,DNS,子域和委派配置,-,62,-,3.,南京子公司,DNS,服务器配置,DNS,子域和委派配置,-,63,-,项目名称:,应用程序服务器的配置与管理,-,64,-,教学目标,了解,IIS,基本功能和主要功能组件,理解,WWW,和,FTP,服务基本概念,理解虚拟主机技术基本原理和实现方式,理解,FTP,用户权限设置方法,掌握,WWW,服务
27、器的基本配置方法,掌握,FTP,服务器的基本设置方法,-,65,-,IIS,概述,组件名称,功能,万维网(,WWW,)服务,使用,HTTP,协议向客户提供信息浏览服务,文件传输协议(,FTP,)服务,使用,FTP,协议向客户提供上传和下载文件的服务,SMTP Service,简单邮件传输协议服务,支持电子邮件的传输,NNTP,服务,网络新闻传输协议服务,Internet,信息服务管理器,IIS,的管理界面的,Microsoft,管理控制台管理单元,Internet,打印,提供基于,Web,的打印机管理,并能够通过,HTTP,打印到共享打印机,IIS,主要提供,WWW,、,FTP,、,SMTP,
28、、,NNTP,等服务,-,66,-,WWW,服务,WWW,服务,即万维网服务,在网上发布的,并可以通过浏览器观看的图形化页面的服务。,常用的,WWW,服务软件,在,Windows,系统中是,IIS,在,Linux,系统中是,Apache,-,67,-,Web,服务,Web,服务基于客户,/,服务器模型运行,客户端运行,Web,浏览器程序,提供统一、友好的用户界面,服务器端运行,Web,服务程序,默认采用端口,TCP 80,侦听并响应客户端请求,Web,浏览器和服务器通过,HTTP,来建立连接、传输信息和终止连接,HTTP,即超文本传输协议,是一种通用的、无状态的、与传输数据无关的应用层协议,W
29、eb,概述,-,68,-,Web,概述,Web,应用程序,Web,应用程序是一组静态网页和动态网页的集合,动态网页可以指示应用程序服务器从数据库中提取数据并将其插入网页中,Web,概述,-,69,-,WWW,服务几个概念,HTTP,(超文本传输协议),HTML(,超文本标记语言,),网页(,Web Page,),统一资源定位器,URL,-,70,-,HTTP,(超文本传输协议),在,Web,上运行的协议是,HTTP,(,HTTP-Hypertext Transfer,Protocol,,超文本传输协议)协议,根据这个协议就可以在网络上传输各种各样的,Web,网页文件。,WWW,采用的通信协议是
30、超文本传输协议(,HTTP,,,HyperTextTransfer Protocol,),它可以传输任意类型的数据对象,是,Internet,发布多媒体信息的主要协议。,WWW,服务器是,Intranet/Internet,上处理,HTTP,请求的系统。,http,协议默认使用的,TCP,协议端口为,80,。,-,71,-,HTML(,超文本标记语言,),WWW,中的信息资源主要由一篇篇的网页为基本元素构成,所有网页采用超文本标记语言(,HTML,,,HyperText Markup,Language,)编写,,HTML,对,Web,页的内容、格式及,Web,页中的超链进行描述。,HTML,文
31、档可以将声音、图像、视频等多媒体信息集成在一,起,使得用户在单一的浏览器界面中既可以阅读到文字信,息,也可以欣赏到各种图片、动画,同时浏览器也会根据,HTML,文档中所集成的声音和视频信息的类型激活相应的程,序,让用户获得相应媒体所表达的效果。,HTML,的结构包括头部,(head),和主体,(body),。头部描述浏览器所需信息,主体包含所要表达的具体内容。,-,72,-,网页(,Web Page,),网页也称为页面,一个网页是以一个,HTML,文档的形式存放的。打开浏览器,第一个显示的网页叫主页(起始页),-,73,-,统一资源定位器,URL,Internet,中的网站成千上万。为了准确查
32、找。人们采,用了统一资源定位器(,URL,,,Uniform Resource Locator,)来在全世界唯一标识某个网络资源。,URL,的表示形式主要由三部分组成:,协议、主机名和路径及文件名。,例如:,/,/,index.html:port,协议类型,主机名,路径及地址 端口号,-,74,-,虚拟目录,物理目录:实际存放在主目录的子文件夹,虚拟目录:能将一个网站的文件分散存储在同一计算机的不同,路径和其他计算机中,使用虚拟目录的优点,将数据分散保存到不同的磁盘或者计算机上,便于分别开发与维护,当数据移动到其他物理位置时,不会影响到,Web,网站的逻辑结构,-,75,-,Web,服务器基本
33、配置,-,76,-,Web,服务器的管理,-,77,-,虚拟主机,指在一台计算机上可以运行多个网站,实现虚拟主机一般有,3,种方式,使用不同的,IP,地址,使用相同的,IP,地址、不同的,TCP,端口,使用相同的,IP,地址和,TCP,端口、不同的主机头,虚拟主机技术,-,78,-,建立不同,IP,地址的网站,服务器上有,2,个,IP,地址,192.168.1.2,和,192.168.1.3,默认网站站用,192.168.1.2,现在需要新建一个网站,,IP,地址为,192.168.1.3,-,79,-,建立不同,IP,地址的网站,-,80,-,不同,TCP,端口的网站,-,81,-,配置主机
34、头,相同,IP,相同,TCP,端口能运行多个网站吗?,可以使用不同的主机头运行多个网站,主机头需要,DNS,解析,1.DNS,服务器配置,-,82,-,2,Web,服务器配置,配置主机头,-,83,-,了解,FTP,概念,理解,FTP,工作方式,掌握默认,FTP,站点的配置,掌握,FTP,客户端的使用,FTP,概述,-,84,-,FTP,基础,文件传输协议(,File Transfer Protocol,),利用,FTP,可以给用户提供上传和下载文件的服务,采用客户机,/,服务器方式,FTP,服务器,客户机,建 立 连 接,传 输 请 求,给 予 响 应,-,85,-,FTP,基础,FTP,工
35、作过程:,FTP,采用客户,/,服务器模式运行,一个,FTP,会话中需要两个独立的网络连接,,FTP,服务器需要监听两个端口,一个端口作为控制端口(默认,TCP 21,),用来发送和接收,FTP,的控制信息,另一个端口作为数据端口(默认,TCP 20,),用来发送和接收,FTP,数据,FTP,控制连接建立之后,再通过数据连接传输文件,-,86,-,FTP,基础,主动模式,由,FTP,服务器发起到,FTP,客户端的数据连接,所以称其为,主动模式,客户端使用,PORT,指令联系服务器,又称为,PORT,模式。,被动模式,由,FTP,客户端发起到,FTP,服务器的数据连接,所以称其为,被动模式,客户
36、端使用,PASV,指令联系服务器,又称为,PASV,模式。,-,87,-,项目名称:,基于活动目录的网络管理,-,88,-,教学目标,了解活动目录与工作组模式的各自特点,理解活动目录的基本结构,理解活动目录分组设置的,AGDLP,原则,理解活动目录组策略功能,掌握设置基于活动目录网络的基本配置方法,掌握活动目录账户、组织单元和权限委派设置,掌握活动目录组策略的配置方法,-,89,-,活动目录基本概念,网络中的目录服务对于网络的作用就像电话黄页对于电话系统的作用一样。目录服务将有关现实世界中的事物,(,如人、计算机、打印机等等,),的信息存储为具有描述性属性的对象。人们可以使用该服务按名称查找对
37、象或者像使用黄页一样,使用它们的查找服务。,Active Directory,与域控制器,-,90,-,DNS,与活动目录名称空间的差异在于它们各自在名称空间内保存了不同类型的数据,,DNS,保存了区域以及资源记录,活动目录保存了域与域的对象。,DNS,用来定位网络上的资源和服务,活动目录用来组织资源和服务。,DNS,可以独立于活动目录,但活动目录则必须依赖,DNS,提供的定位服务。因此为了使活动目录能够正常工作,,DNS,服务器必须支持服务定位(,SRV,)资源记录,,SRV,记录可以把服务名字映射为提供服务的服务器名字。,活动目录域,DNS,的关系,-,91,-,域是,Active Dir
38、ectory,的基本单位和核心单元,域是,Active Directory,的分区单位,Active Directory,中必须至少有一个域,共享同一个,AD,数据库的计算机组成一个域,活动目录组织结构,-,92,-,活动目录的逻辑结构,-,93,-,活动目录的逻辑结构,-,94,-,部署一个域大致要做下列工作:,(,1,),DNS,前期准备,(,2,),创建域控制器,(,3,),创建计算机账号(即将计算机加入域),(,4,),创建用户账号和组织单元,活动目录的部署,-,95,-,DNS,前期准备,DNS,服务器对域来说是不可或缺的,一方面,域中的计算机使用,DNS,域名,,DNS,需要为域中
39、的计算机提供域名解析服务;,另外一个重要的原因是域中的计算机需要利用,DNS,提供的,SRV,记录来定位域控制器,,,因此我们在创建域之前需要先做好,DNS,的准备工作。那么究竟由哪台计算机来负责做,DNS,服务器呢?一般工程师有两种选择,要么使用域控制器来做,DNS,服务器,要么使用一台单独的,DNS,服务器。,活动目录的部署,-,96,-,(,2,)创建域控制器,有了,DNS,的支持,我们现在可以开始创建域控制器了,域控制器是域中的第一台服务器,域控制器上存储着,Active Directory,,可以说,域控制器就是域的灵魂,。,活动目录的部署,-,97,-,(,2,)创建域控制器,如下
40、图所示,在,DC-Server,上运行,Dcpromo,,开始域控制器的创建,活动目录的部署,-,98,-,(,2,)创建域控制器,活动目录的部署,-,99,-,(,3,)创建计算机账号(即将计算机加入域),创建计算机账号就是把成员服务器和用户使用的客户机加入域,这些计算机加入域时会在,Active Directory,中创建计算机账号。,活动目录的部署,-,100,-,(,4,)创建组织单位,将域进一步划分成多个组织单位(,OU,),组织单位是可将用户、组、计算机和其他组织单位放入其中的,Active Directory,容器,组织单位相当于域的子域,可以像域一样包含各种对象,组织单位本身也
41、具有层次结构,活动目录的部署,-,101,-,(,5,)创建用户账号,活动目录的部署,-,102,-,活动目录组策略管理主机(,1,),基于活动目录的组策略配置,-,103,-,活动目录组策略管理主机(,2,),1.,设置将“我的文档”重定向至文件服务器,(,1,)在文件服务器上设置共享文件夹,User-Folder,(,2,)在域控制器上创建组策略对象“文件夹重定向”,(,3,)编辑组策略对象“文件夹重定向”,(,4,)链接组策略对象“文件夹重定向”。,2.,设置统一的电脑桌面图片,(,1,)设置统一的桌面背景文件,(,2,)创建组策略对象“统一桌面图片”,(,3,)编辑组策略对象“统一桌面
42、图片”,(,4,)链接组策略对象“统一桌面图片”。,(,5,)在域控制器的命令对话框中,输入指令,gpupdate/force,,强制刷新组策略。,基于活动目录的组策略配置,-,104,-,基于活动目录组策略的软件部署,-,105,-,项目名称:,Web,服务器的安全管理,-,106,-,教学目标,理解,Web,服务器的安全措施,掌握,Web,服务器的安全设置方法,掌握身份验证的设置方法,掌握访问控制的设置方法,掌握证书验证的设置方法,-,107,-,IIS,安全措施,在,Web,服务器上采取恰当的安全防护措施,可以减少和消除各种意外事件的发生。,Internet,服务管理器所提供之安全功能可
43、以和,Windows,完全整合在一起。,IIS,目前共支持五种验证方式,用以确认请求访问,Web,站点的用户身份。,-,108,-,身份验证方式,匿名验证:任何用户皆可读写,无须查证用户姓名或密码。,基本验证:用户须提供用户名及密码,该资料仅仅编码,而不加密,通过网络传送。,摘要式验证:这是,IIS5.0,的添加功能,用户密码通过哈希算法生成数字摘要,以离散值传送给服务器进行验证。,只有在域控制器中才能使用“摘要式验证”。,集成的,Windows,验证:利用离散技术来验证用户,且不直接将密码传送到网络上。,证书:一种数字文件,用来建立安全套接层,SSL,连接,且也可作为验证使用。,-,109,
44、-,匿名验证身份验证,IIS,使用“,IUSR_,计算机名称”帐户访问,Web,的过程如下:,(1),当收到请求时,,IIS,在执行任何程序码或访问之前,会先模拟“,IUSR_,计算机名称”帐户。,(2),传回网页给用户端之前,,IIS,检查,NTFS,文件和目录的权限,看是否允许“,IUSR_,计算机名称帐户”访问这个文件。,(3),若允许访问,则验证完成,且用户可使用资源。,(4),若不允许访问,则,IIS,会尝试使用其他的验证方法。如果没有选择使用任何其他验证方法,,IIS,会传回一个“,HTTP 403,拒绝访问”的错误信息给浏览器。,(5),若启用“匿名”验证的同时启用了其他的授权方
45、法,,IIS,会先使用“匿名”验证。,-,110,-,基本身份验证,基本验证工作过程:,(,1,)用户的,Web,浏览器会显示出一个对话框,用户可在其中输入他们先前被指定之,Windows 2000,帐户的用户名称和密码。,(,2,)然后,Web,浏览器会使用这项信息来尝试建立连接。,(,3,)如果,Web,服务器拒绝这项信息,,Web,浏览器会重覆地显示该对话框,直到用户输入有效的用户名称和密码或关闭对话框为止。,(,4,)当,Web,服务器确认用户的名称和密码对应到有效的,Windows,用户帐户之后,就会建立连接。,-,111,-,集成的,Windows,身份验证,集成的,Windows
46、,验证是一种安全的验证形式,当启用集成的,Windows,验证时,用户的浏览器会通过一种加密机制来验证计算机的,Windows,帐户密码。用户的浏览器会通过一种加密机制,(,kerberos,),来验证计算机的,Windows,帐户密码。,-,112,-,Kerberros,加密机制简述,如何进行认证?我们采用这样的方法:如果一个秘密(,secret,)仅仅存在于,A,和,B,,那么有个人对,B,声称自己就是,A,,,B,通过让,A,提供这个秘密来证明这个人就是他或她所声称的,A,。这个过程实际上涉及到,3,个重要的关于认证的方面:,Secret,如何表示,A,如何向,B,提供,Secret,
47、B,如何识别,Secret,-,113,-,整个过程涉及到,Client,和,Server,,他们之间的这个,Secret,我们用一个,Key,来表示。,Client,为了让,Server,对自己进行有效的认证,向对方提供如下两组信息:,(1),代表,Client,自身,Identity,的信息,为了简便,它以,明文,的形式传递。,(2),将,Client,的,Identity,使用,Key,作为,Public Key,、并采用对称加密算法进行加密。,Kerberros,加密机制简述,-,114,-,由于,Key,仅仅被,Client,和,Server,知晓,所以被,Client,使用,Key
48、,加密过的,Client Identity,只能被,Client,和,Server,解密。同理,,Server,接收到,Client,传送的这两组信息,先通过,Key,对后者进行解密,随后将机密的数据同前者进行比较,如果完全一样,则可以证明,Client,能过提供正确的,Key,,而这个世界上,仅仅只有真正的,Client,和自己知道,Key,,所以可以对方就是他所声称的那个人。,Kerberros,加密机制简述,-,115,-,访问控制流程,-,116,-,安全性总结,当客户机访问网站时,服务器验证步骤,客户机,IP,地址是否授权,用户帐户和密码是否正确,主目录是否设置了“读取”权限,网站文
49、件的,NTFS,权限,只有以上检查都通过,才可以访问网站内容,-,117,-,IIS,证书验证,1,为什么要使用证书验证?,(,1,)信息泄漏,(,2,)篡改,(,3,)伪造,(,4,)信用威胁,2,公钥基础架构,Public Key Infrastructure,,公钥基础结构。,PKI,由公钥加密技术、数字证书、证书颁发机构(,CA,),注册机构(,RA,)等共同组成。,PKI,体系能够实现的功能有,身份认证,数据完整性,数据机密性,操作的不可否认性,-,118,-,公钥加密技术,公钥(,Public Key,)和私钥(,Private Key,),密钥是成对生成的,这两个密钥互不相同,两个密钥可以互相加密和解密,不能根据一个密钥来推算得出另一个密钥,公钥对外公开;私钥只有私钥的持有人才知道,私钥应该由密钥的持有人妥善保管,-,119,-,数据加密,发送方使用接收方的公钥加密数据,当接收方使用自己的私钥解密这些数据,数据加密能保证所发送数据的机密性,-,120,-,数字签名,发送方使用自己的私钥加密,接收方使用发送方的公钥解密,身份验证、数据的完整性、操作的不可否认性,-,121,-,证书通信的配置过程,(1),在服务器上安装证书颁发机构,CA,(2)Web,服务器,SWeb,上向,CA,提交证书申请,(3)CA,颁发证书,(4),在,SWeb,上安装数字证书,配站安全通信,