培训大纲

培训大纲Windows2000操作系统网络基础、故障诊断工商网络结构和配置日常维护和管理关于windows2000Windows2000的网络层次ActiveDirectory组策略证书服务身份验证Windows2000网络体系是按分层结构实现的，通过定义各层的功能，指定各的接口，可实现各层的相对独立，当某个层被替换时，不会影响到其它层，例如，改变网卡驱动程序不会影响到TCP/IP协议。Windows2000网络层次WinSock应用程序NetBIOS应用程序WinSock接口NetBIOS接口其他应用程序和服务程序传输驱动程序接口（TDI）NetBEUITCP/IPIPX/SPXAppleTalk网络驱动程序接口规范（NDIS）网卡驱动程序网络接口网卡驱动程序网络接口Windows2000网络层次示意图许多应用程序通过网络应用程序接口实现通信，在windows环境中广为使用的是NetBIOS和WinSock。NetBIOS独立于网络协议，基于NetBIOS的应用程序可以在TCP/IP、NetBEUI、IPX/SPX协议的计算机上工作，因为名称空间仅为16个字符，无法支持大型网络。Windows2000网络层次NetBT(NBT)在TCP/IP协议的基础上实现了NetBIOS编程接口的功能，从而将NetBIOS客户和服务程序的运行范围延伸到大型网络，并提供了与其他操作系统之间的互操作性。Windows2000配置有NetBIOS仿真器，负责从NetBIOS程序接收标准的NetBIOS请求，再将请求传送给TDI。Windows2000网络层次WinSock是专为TCP/IP协议提供的应用程序接口，windows应用程序大多数通过WinSock来使用TCP/IP通信协议。Windows2000网络层次ActiveDirectory是一种超级目录服务，便于集中管理网络资源，能够减轻网络管理负担，提高管理效率。这里的知识点非常多，本着够用的原则，介绍一些基本知识和基本操作，能够组建ActiveDirectory的网络，能够应用组策略和证书服务。ActiveDirectory的几个知识点ActiveDirectory目录服务ActiveDirectory配置组策略及应用建立windows2000证书服务申请和管理证书windows2000的身份验证ActiveDirectory目录服务基本概念：域，组织单位，域树，域树林域控制器，成员服务器，独立服务器ActiveDirectory目录服务OUOUOUMYCOMPANY.COMActiveDirectory域中的组织单位ActiveDirectory目录服务Mycompany.comTest.mycompany.comChild.mycompany.comGrandchild.mycompany.comActiveDirectory域树ActiveDirectory目录服务Mycompany.comTest.mycompany.comChild.mycompany.comGrandchild.mycompany.com信任关系Abc.comActiveDirectory域树林ActiveDirectory管理工具基本管理：用户帐户，计算机帐户，组，组织单位，对象ActiveDirectory安装了解windows2000服务器角色域控制器：存储目录数据并管理用户域的交换，其中包括用户登录过程、身份验证和目录搜索。成员服务器：一般用作文件服务器、应用服务器、数据库服务器、WEB服务器、证书服务器、防火墙和远程访问服务器等。独立服务器：可与网络上其他计算机共享资源，但不从属于ActiveDirectory。ActiveDirectory站点可以看作是一个或多个IP子网中的一组计算机的定义。ActiveDirectory站点的主要作用是使ActiveDirectory适应复杂的网络连接环境，一般只有在多种网络连接存在的环境（如广域网）中才规划站点。ActiveDirectory允许单个站点中有多个域，单个域中有多个站点。•组策略既可以应用于用户，也可以应用于计算机。用户和计算机是接收策略的唯一ActiveDirectory对象类型。•组策略可以针对用户和计算机的配置，相应地称为用户策略和计算机策略。组策略执行顺序为：本地组策略对象ActiveDirectory站点ActiveDirectory域ActiveDirectory组织单位组策略组策略证书服务公钥基础结构（简称PKI）涉及到一对密钥，即公钥和私钥，私钥由用户独立掌握，无须在网上传输；而公钥是公开的，需要在网上传送，PKI的密钥管理主要是针对仅钥的管理问题，目前较好的解决方案是数字证书机制，通过证书服务来交换公钥。数字证书也称为数字ID，是公钥基础结构的上种管理媒介。数字证书采用公钥密码机制，即采用一对互相匹配的密钥进行加密和解密。每个用户拥有一把仅为自己掌握的私钥，用它进行解密和签名；同时拥有一把可以对外公开的公钥，用于加密和验证签名。当发送一份机密文件时，发送方使用接收方的公钥对数据进行数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。证书服务通过数字的手段保证加密过程是一个不可逆过程，即只有私钥才可解密。数字证书是由权威公正的第三方机构（即CA中心）签发的；证书服务可使用windows2000的证书来创建自己的证书颁发机构，接受证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书、发布证书吊销列表。证书服务身份验证分两个过程：交互式登录和网络身份验证。用户身份验证的成功与否，同时取决于这两个过程。证书服务基于证书的身份验证。一般情况下，计算机系统使用集中式帐户数据库管理用户、用户特权及其访问控制。当用户越来越多且颁范围越来越广时，采用这种集中控制方式将越来越难。如果采用公钥证书，有助于解决这个问题，因为证书可以由众多合作伙伴广泛颁发，并通过简单检查证书即可进行验证。问题是：现有操作系统和管理工具只能处理帐户，而不能处理证书。证书服务基于证书的身份验证。折衷方案是：在证书和用户帐户之间创建映射，使得系统可使用公钥加密技术来验证使用相应证书的用户身份，最终结果与用户提供了用户帐和密码一样，而且庐过程易于管理。证书服务证书服务-分层次的证书颁发体系根CA从属CA授权颁发证书授权证书服务-安装网络基础知识OSI模型和TCP/IP模型故障诊断IP地址和子网划分广域网路由器应用层主机A会话层表示层链路层传输层物理层网络层应用层会话层表示层链路层传输层物理层网络层主机B相应的排查措施链路层传输层物理层网络层应用层TCP/IP应用程序测试协议分析IP地址指派、路由、连通性ARP检测(ip和mac动态映射检测连接线路OSI七层模型、TCP/IP模型、各层的基本排查措施OSI模型和TCP/IP模型当A和B进行通信时，数据(data)自应用层向下，逐层进行处理，在传输层成为数据报，在网络层成为数据包，在数据链路层称为数据帧，并且逐层进行封装，到了物理层变化电信号进行传输。在主机B侧，相反的过程被执行，最终打开层封装，还原出数据本身，传给应用程序使用。OSI模型和TCP/IP模型常用网络层协议-IP协议工作于OSI的网络层，是可以被路由的协议（RoutedProtocol）。常用的有以下三种：IP协议：即InternetProtocol，是最流行的开放系统协议簇，可以在任何相互连接的网络之间通信，包括LAN和WAN。由一套通信协议组成，其中最重要的是TCP（TransmissionControlProtocol）和IP。常用网络层协议-IPX协议IPX(InternetworkPacketExchange，网际包交换)协议是无连接的数据报协议，流行程度仅次于IP协议。一台网上设备的IPX协议地址必须唯一。以20位十六进制表示，由网络号（网管分配，长32位）和节点号（网卡MAC地址，长48位）组成。常用网络层协议-AppleTalk协议是一种即插即用的网络协议，目的是使AppleTalk用户能够直接将一台Macintosh计算机连接到网络上，并通过最少配置即可通信。IP、TCP、UDP这三个协议在TCP/IP协议集中占有相当重要的位置，后两者工作于传输层。IP协议被认为是提供了无连接、不可靠的传递服务。可靠的传递是由TCP处理的。其著名在于路由功能。使用TCP的网络服务：TELNET、DNS、SMTP、FTP、HTTP、NNTP等。UDP主要用于面向查询-应答的服务，包括DNS、NTP、SNMP、TFTP。IP地址分配和子网划分IP的原始版本为IPv4，使用32位二进制地址，每个地址组织成由点分隔的8位数，每个8位数称为8位位组，1个IP地址即为4个8位位组，每个8位位组转化为1个十进制数。IP地址分配和子网划分起止保留为内部网络使用A类地址1.0.0.0126.0.0.010.0.0.0-10.255.255.255B类地址128.1.0.0191.254.0.0172.16.0.0-172.31.255.255C类地址192.0.1.0223.255.254.0192.168.0.0-192.168.255.255D类地址224.0.0.0239.255.255.254用于IP网络中的组播。E类地址240.0.0.0255.255.255.255被定义用作网络研究的IP地址空间。IP地址分配和子网划分A类和B类的空缺，即网络号为127的网络127.0.0.0，这一地址专门用于标志本地环路的地址，用于测试设备本地IP协议栈是否正常工作。一个IP地址由网络地址+主机地址组成。IP地址分配和子网划分所谓子网，是把一个“有类”（ABC类）的网络地址，再分成若干小的网段，这些网段就是子网。划分方法：通过设定子网掩码不确定网络位、子网位和主机位的多少，从而确定子网的数量和每个子网内的可容纳主机数量。IP地址分配和子网划分一个被子网化的IP地址由三部分构成：网络号、子网号、主机号。子网号和主机号是由原先IP地址的主机地址部分分成两部分得到。子网由子网掩码标识。用十进制表示的32位二进制数。网络前缀位数子网掩码可用子网地址数子网内主机数2255.255.192.02163823255.255.224.0681904255.255.240.01440945255.255.248.03020466255.255.252.06210227255.255.254.01265108255.255.255.02542549255.255.255.12851012610255.255.255.19210226211255.255.255.22420463012255.255.255.24040941413255.255.255.2488190614255.255.255.252163822B类IP地址子网和子网内主机数路由协议是通过在相邻路由器上启动相同的路由选择进程软件，使得路由器之间可以传递本身所拥有的网络信息，通过相应运算，在每路由器上构建路由表，用以作为信息包传输路径的选择标准。常见有：RIP、OSPF、IGRP、EIGRP、BGP等。在实际应用中，往往从网络层开始排查。首先测试网络连通性，如果网络不能连通，再从物理层（测试线路）开始排查；如果网络能够连通，再从应用层（测试应用程序本身）开始排查。在TCP/IP网络中，排查网络的第一步从ping开始。故障诊断故障诊断故障诊断故障诊断故障：主机A、B无法连通ping路由1；ping环回地址127.0.0.1；ping路由2；ping主机B；应用程序测试；主机A192.168.1.10主机B192.168.3.30192.168.1.1192.168.2.2网络示意图arp/a/