|
Chap1
1.使用DHCP的理由
2.DHCP租约过程
3.租约更新的时间和命令
4.租约释放的命令
5.授权DHCP服务器的作用是什么
6.服务器选项、作用域选项和保留选项有什么关系
答案:
1.减小管理员的工作量
减小输入错误的可能
避免IP冲突
提高了IP地址的利用率
2.客户机请求IP地址 DHCPDiscover 源ip:0.0.0.0 目标ip:255.255.255.255
服务器响应请求 DHCPOffer 源ip:服务器ip 目标ip:255.255.255.255
客户机选择IP地址 DHCPRequest 源ip:0.0.0.0 目标ip:255.255.255.255
服务器确认租约 DHCPAck 源ip:0.0.0.0 目标ip:255.255.255.255
如果网络中没有DHCP服务器的响应,根据客户机的配置会自动获得169.254.X.X的IP地址或启用备用配置。
在下次客户机更新租约时,如果因为某些原因可能不能向客户机提供这个网络地址或参数,服务器向客户端发送DHCPNack包。
DHCP租约过程的四个数据包全部是广播,是针对于windows平台的DHCP服务器,如果DHCP服务器是linux系统,则第二与第四个数据包应该是单播。
3.50% 客户机发送dhcprequest包,87.5%客户机先发送dhcprequest包如果没有回应就发送dhcpdiscover包。
命令是ipconfig /renew
4. ipconfig /release
5.一种安全措施,避免未经授权的DHCP服务器在网络中运行
6.作用是一样,都用来动态分配某些可选参数
作用的范围不一样:服务器选项>作用域选项>保留选项
优先级不一样:服务器选项<作用域选项<保留选项
chap2
1.dns命名空间结构
2.dns查询类型
3.dns资源记录的类型
4.子域与委派的区别
5.域名的解析顺序是什么样,查看和删除dns缓存的命令
答案:
1.根域,顶级域,二级域,三级域和主机名
2.从查询方式上分
递归查询:客户端得到结果只能是成功或失败
迭代查询:服务器以最佳结果作答
从查询内容上分
正向查询:由域名查找IP地址
反向查询:由IP地址查找域名
3.SOA(起始授权机构) 指定该区域的权威名称服务器
NS(名称服务器) 表示某区域的权威服务器和SOA中指定的该区域的主服务器和辅助服务器
A(主机) 列出了区域中FQDN(完全合格的域名)到IP地址的映射
PTR(指针) 相对于A资源记录,PTR记录把IP地址映射到FQDN(反向域记录)
MX 邮件交换器记录,向指定邮件交换主机提供消息路由
SRV(服务) 列出了哪些服务器正在提供特定的服务
CNAME(别名) 将多个名字映射到同一台计算机,便于用户访问
4.子域的资源在父区域文件中,子域的权威服务器是父区域的权威服务器
委派有独立的区域文件,给新域指定新的权威服务器
5.顺序:本机缓存,本机Hosts文件,DNS服务器
显示缓存:ipconfig/displaydns
清除缓存:ipconfig/flushdns
hosts文件位置:%SystemRoot%\system32\drivers\etc(其中%SystemRoot%表示系统存放路径,一般为c:\windows)
chap3
1.虚拟目录的特点
2.实现虚拟主机的方式(一台服务器上运行多个网站)
3.iis身份验证方式比较
4.其他的安全防护措施
5.ftp服务器匿名访问用户名及相关命令
答案:
1.能将一个网站的文件分散存储在同一计算机的不同目录和其他计算机中
将数据分散保存到不同的磁盘或计算机上,便于分别开发和维护
当数据移动到其他物理位置时,不会影响Web站点的逻辑结构
2.使用不同的IP地址
使用相同IP、不同的TCP端口
使用相同IP和相同TCP端口、不同的主机头(需要dns服务器)
3.匿名身份验证(无身份验证)
默认启用的身份验证模式
用户无需输入用户名或密码便可以访问Web站点
映射到IUSR
Windows身份验证(相对安全,不能通过代理)
使用 NTLM 或 Kerberos 协议对客户端进行身份验证
适用于 Intranet 域环境
基本身份验证(有身份验证,但不安全)
要求用户提供有效的用户名和密码才能访问
在网络上传输弱加密的密码
可以跨防火墙和代理服务器工作
摘要式身份验证(安全,可通过代理)
使用Windows 域控制器来对请求访问服务器的用户进行身份验证
密码不是以明文形式发送,比基本身份验证安全
可以通过代理服务器使用
4.IP地址和域名限制
允许或拒绝某些客户端访问网站
url授权
允许或拒绝某些账户或组访问网站
注意:客户机访问网站时,Web服务器检查以下信息:
1.客户机IP地址是否授权
2.用户帐户和密码是否正确
3.网站文件的NTFS权限
(注意1,2,3没有通过的话页面显示是不一样的)
5. 匿名账户:anonymous
列出ftp服务器目录:dir
下载:get
下载多个:mget
上传:put
上传多个:mput
chap4
1.远程访问服务器的连接方式
拔号网络:双方都需要安装modem
VPN:穿越公用网络(如Internet)、安全的、点对点的连接 ,通过隧道协议与远程访问服务器连接
两种连接方式相比
拔号的费用贵,连接的时间越长,贵用就越高;拔号速度慢;数据传输不安全。
VPN相对成本低,只需要付上Internet的费用,而且速度比拔号要快很,传输的数据经过加密会更加安全。
2.比较pptp和l2tp
3.简述网络策略的组成。
4.用户连接到远程服务器的的过程
答案
1. 拔号网络:双方都需要安装modem
VPN:穿越公用网络(如Internet)、安全的、点对点的连接 ,通过隧道协议与远程访问服务器连接
两种连接方式相比
拔号的费用贵,连接的时间越长,贵用就越高;拔号速度慢;数据传输不安全。
VPN相对成本低,只需要付上Internet的费用,而且速度比拔号要快很, 传输的数据经过加密会更加安全。
2.L2TP支持加密,包头压缩支持更多的网络
3.条件、约束与设置
4.首先匹配连接请求策略,然后在匹配网络策略的条件,之后是约束,然后是用户权限和策略权限(注意用户权限可以忽略策略权限),最后应用策略属性设置
注意:如果允许远程客户访问远程访问服务器所连接的整个局域网,则勾选“启用IPv4转发”复选框,如果只允许远程客户访问该服务器,则清除“启用IPv4转发”复选框
关于用户属性中的回拨选项:主要是针对拔号连接的用户做的设置
不回拨:是指当用户拨号进来后,只要帐户正确就可以与网络连接。
由呼叫方设置:是指当远程访问服务客户机拨入远程访问服务服务器后,输入正确的帐户,服务器会要求用户输入回拨的电话号码,然后挂断电话,并由服务器对用户进行拨号,这种方法的显著优点就是为远程用户节省了电话费用。
总是回拨到:是指服务器对该用户的回拨号码做了事先规定,这样,即使该用户的帐户被人盗用,只要他使用的电话号码与服务器设置的不一样,依然无法访问,因此该设置大大提高了远程访问的安全性。
chap5
1.公钥加密技术如何实现数据加密和数字签名
2.证书颁发过程
3.企业ca和独立ca的区别
4.Web站点启用Https过程
答案:
1.数据加密:使用接收方的公钥
数字签名:使用发送法的私钥
数字签名可以实现身份验证,完整性和不可否认性
2.过程:(数字证书只是为了保证公钥的合法性)
1.用户生成密钥对,根据个人信息填好申请证书的信息,并提交证书申请信息。
2.在企业内部网中,一般使用手工验证的方式,这样更能保证用户信息的安全性和真实性。
3.如果验证请求成功,那么,系统指定的策略就被运用到这个请求上,比如名称的约束、密钥长度的约束等。
4.RA用自己的私钥对用户申请信息签名,保证用户申请信息是RA提交给CA的。
5.CA用自己的私钥对用户的公钥和用户信息ID进行签名,生成电子证书。这样,CA就将用户的信息和公钥捆绑在一起了,然后,CA将用户的数字证书和用户的公用密钥公布到目录中。
6.CA将电子证书传送给批准该用户的RA。
7.RA将电子证书传送给用户(或者用户主动取回)。
8.用户验证CA颁发的证书,确保自己的信息在签名过程中没有被篡改,而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发。
3.企业ca需要AD服务,自动颁发证书,有证书模板
4.信任CA
生成证书申请(iis生成申请文件)
提交证书申请(访问certsrv提交申请文件编码)
安装证书
启用SSL(有忽略,接受和必须三种方式)
使用HTTPS协议访问网站(必须使用https)
注意:如果服务器或客户机没有信任ca的话会造成web网站无法登录的问题,ssl为必须的时候客户端一定要申请用户证书并信任。
chap6
1.nlb群集和故障转移群集的比较
2.nlb群集的注意事项
3.四种仲裁模式
答案:
1. 故障转移群集 NLB群集
服务种 SQL ServerExchange 文件和打印服务 Web /FTP ISA VPN
最多节点数 8(X64平台支持16) 32
存储设备 需要 不需要
Windows Server 2008 数据中心版 企业版 所有版本
2.在群集网卡上只使用TCP/IP协议
确保群集中的所有主机属于同一个子网,并且客户机能够访问该子网
正确配置网卡的单播与多播模式
不要启用网络负载平衡远程控制
独立使用NLB群集和故障转移群集
3.节点多数仲裁配置:可以承受的故障节点数为节点数的一半(四舍五入)减去一。如七个节点的群集可以承受三个节点出现故障。(推荐用于含有奇数个节点的群集)
节点和磁盘多数仲裁配置:在见证盘保持联机时可以承受的故障节点数为节点数的一半(四舍五入),如见证盘联机时,六个节点的群集可以承受有三个节点出现故障;在见证盘脱机或出现故障时可以承受的故障节点数为节点数的一半(四舍五入)减去一,如见证盘有故障时,六个节点的群集可以承受两个节点故障。(推荐用于含有偶数个节点的群集)
节点和文件共享多数仲裁配置:与“节点和磁盘多数”仲裁配置类似,只不过见证盘是群集中所有节点可以访问的文件共享,而不是群集存储中的磁盘。(适合有特殊配置的群集)
无多数(仅磁盘)仲裁配置:节点数不影响如何实现仲裁,磁盘就是仲裁,如果失去与磁盘的通信,群集将不可用,建议不使用此配置,因为磁盘可能成为单一故障点。
一般故障转移群集在配置过程中,会自动根据节点数目的个数而配置为相应的仲裁模式,管理员也可以在搭建好故障转移后自行更改仲裁模式。
chap7
1.林根域有哪两个预定义的组
2.林中信任关系特点(包括父子信任和树根信任)
3.agdlp含义
4.外部信任的特点
5.林信任的特点
答案:
1.Enterprise Admins(在整个林中有完全控制权限)
Schema Admins(对架构进行管理)
2.自动建立
在创建子域或域树时自动创建
双向信任
在两个域之间有两个方向上的两条信任路径
例如:域A信任域B,域B信任域A
传递信任
信任关系是可传递的
例如:域A直接信任域B,域B直接信任域C,则域A信任域C
3.将用户账户加入全局组
将全局组加入本地域组
给本地域组赋权限
AG(人以群分)|DLP(物以类聚)。简化权限的管理。建立三个本地域组,针对资源分别赋予三个本地域组读取,修改,完全控制的权限,以后资源的权限不用修改,只需要把相应的全局组加入本地域组就可以。
4.手工建立
林之间的信任关系需要手工创建
信任关系不可传递
信任方向有单向和双向
单向分为内传和外传两种
内传指指定域信任本地域
外传指本地域信任指定域
5.林功能级别为Windows Server 2003或更高才能创建
只有在林根域之间才能创建
建立林信任后,两个林中每个域之间的信任关系是可传递的
信任方向有单向和双向两种
注意:在建立信任的时候需要设置为“此域和指定的域”
chap8
1.操作主机的作用
2.操作主机角色及功能
3.转移操作主机
4.占用操作主机
5.授权还原与非授权还原
6.授权还原命令
答案:
1.AD以单主机方式对某些对象执行更新
更新成功后复制到其它DC
防止域中的更新冲突
2.林范围
架构主机
域命名主机
域范围
主域控制器(PDC)仿真主机
相对ID(RID)主机
基础结构主机
架构主机:控制整个林的架构的全部更新(对象属性)
域命名主机:控制林中域的添加或删除,可以防止林中的域名重复
PDC仿真主机:更新密码,同步时间
RID主机:将相对ID(RID)序列分配给域中每个域控制器(t15班1号学员和t16班1号学员,rid主机负责分配1号给学员,但是学员编号不会混淆因为还有t15和t16这个域的编号是唯一的) 基础结构主机:负责在重命名或更改组成员时更新“组到用户”的引用(更新本域的组的修改)
3.无论是图形界面操作还是命令界面,过程都是:
1)连接要转移到的dc(比如dcx)
2)将角色转移到dcx
转移的命令:transfer 操作主机角色
4.过程同转移操作主机,但是只能使用命令界面
占用的命令:seize 操作主机角色
注意:架构,域命名,rid主机占用后源dc不能在连接到网络中,其他的可以
5.执行非授权还原后
如果域中只有一个域控制器,在备份之后的任何修改都将丢失
如果域中有多个域控制器,则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态(其他dc资源的版本后比较高会覆盖当前dc还原后的数据)
授权还原:恢复活动目录的特定对象
授权还原后,被还原的对象的版本号码会被增加
6.restore object “cn=a,cn=users,dc=benet,dc=com” cn表示ad中的数据对象
如果要还原某OU下的全部对象(如Sales财务OU),则命令是restore subtree “ou=sales,dc=benet,dc=com”。
整理:武汉北大青鸟光谷校区
关键词:北大青鸟,网络服务
| 
