金牌网管师初级中小型企业网络组建配置与管理笔记整理.docx
《金牌网管师初级中小型企业网络组建配置与管理笔记整理.docx》由会员分享,可在线阅读,更多相关《金牌网管师初级中小型企业网络组建配置与管理笔记整理.docx(88页珍藏版)》请在冰点文库上搜索。
金牌网管师初级中小型企业网络组建配置与管理笔记整理
第1章中小企业网络特点为和管理技能要求
网络基础知识:
●计算机网络的概念、基本组成和主要应用
●主要以太局域网拓扑结构类型及各自的主要优缺点
●OSI/RM分层结构、各层的主要功能和工作原理
●LAN/RM分层结构、各层的主要功能和工作原理
●主要以太网标准特性及各自的物理层、MAC子层结构和帧格式
●主要WLAN标准及帧格式
●CSMA、CSMA/CD、CSMA/CA的工作原理和应用
●数据通信基本模型
●主要数据传输技术和原理
●主要数制类型和相互转换方法
●主要数字编码方式和计算
●IPV4和IPV6协议的主要功能、数据包格式
●IPV4和IPV6的地址类型及配置方法
●IPV4协议子网划分与聚合计算方法
●TCP协议的主要特点和分段格式
●TCP协议的主要特点和分段格式
●TCP连接的建立与释放原理
●UDP、HTTP、ARP、PPP等觉通信协议的基本工作原理和包(帧)格式
●交换机、路由器和防火墙技术
●VLAN、STP、RSTP、MST、VTP等设备的技术原理和应用
●其他网络基础知识需求
第2章双绞网络和信息模块的制作
●在6类和6a类的连接器也是RJ-45,与5类和5e(超5类)类的差别:
一是除了主体的拔插接头外,还有一个分线器的附件,用于固定8根芯线的位置;二是6类和6a类双绞线的RJ-45连接器的铜片更粗、更光滑,用于提高接触性能。
●千兆以太网排线顺序可以任意,但是两端得一样
●国际影响力的三家综合布线标准发布组织是:
●ANSI(AmericanNationalStandardInstitute,美国国家标准化组织)
●TIA(TelecommunicationIndustryAssociation,电信工业协会)
●EIA(ElectronicIndustriesAlliance,电信工业协会)
●EIA/TIA-568A的排列序列:
白绿、绿、白橙、蓝、白蓝、橙、白棕、棕
EIA/TIA-568B的排列序列:
白橙、橙、白绿、蓝、白蓝、绿、白棕、棕
实际用到的只有4根传输,即1、2、3、6
●双绞线分为直通网线和交叉网线,直通网络即水晶头两端排列顺序一样
●直通线连接不同网络设备间的连接,交叉线用于同种设备的连接
●如果是直通双绞线网络的测试,正常情况下,测试仪的4个指示灯为绿色并从上至下依次闪过。
如果有提示灯为黄色或红色,则证明相应引脚的网线制作不良
第3章有线工作网络组建与配置
●网络工作组的主要特点:
●工作组主机间是平等的
●管理和安全边界为各成员计算机
●采用NetBIOS名称解析
●在一个工作组网络中可以有多个工作组
●不同工作组是可以相互访问的
●工作组优缺点
●安全管理简单(优点)
●网络性能比较高(优点)
●网络管理不方便(缺点)
●网络公共应用配置比较烦琐(缺点)
●域是一种基于对象(用户、组、计算机等账户都是对象)和安全策略的分布式数据库系统
●域网络最大的特点就是可以实现用户、计算机等对象账户,以及网络安全策略的集中管理和部署
●活动目录数据库中包括了3个表格:
schema表(包含了所有可以在活动目录中创建的对象信息以及他们之间的相互关系,包括各种类型对象的可选及不可选的各种属性)、link表(包含所有属性的关联,包括活动目录中所有对象的属性的值)、data表(活动目录中用户、组、应用程序的特殊数据和其他的数据全部保存在DATA表)
●域网络的主要特点:
●集中管理
●多级账户和安全策略组策略的应用顺序是:
本地组策略-站点组策略-域组策略-组织单位(OU)组策略-了OU组策略
●默认信任
●集中存储
●单点登录
●采用DNS解析协议
●支持漫游配置
●域网络的主要优缺点:
●管理更方便(优点)
●安全性更高(优点)
●网络访问更方便(优点)
●需要专门的高性能服务器(缺点)
●安全配置更复杂(缺点)
●网络性能较低(缺点)
●工作组与域的先把
主要考虑以下几个方面:
●安全策略的复杂性
●有无全局、集中管理需求
●有无基于活动目录的应用与管理需求
●首要考虑
●netsh工具配置windows系统的TCP/IP协议
netshinterfaceipset/?
查看该命令的主要参数及对应功能的帮助说明
配置IP地址。
设置接口IP地址的命令格式如下:
Netshinterfaceipsetaddress[name=]InterfaceName[source=]{dhcp|static[addr=]ipaddress[mask=]subnetmask[gateway=]{none|defaultgateway[[gwmetric=]gatewaymetric]}}
下面是各命令参数的说明
[name=]InterfaceName为必需配置项,指定要配置其地址和网关信息的接口名称。
InterfaceName参数必须与图3-1所示“网络连接”窗口中对应的接口名称匹配。
如果InterfaceName含有空格,则请将文本置于引号之中(例如“InterfaceName1”)
[source=]{dhcp|static[addr=]ipaddress[mask=]subnetmask[gateway=]{none|defaultgateway[[gwmetric=]auto|gatewaymetric]}}
为必需配置项,指定是通过DHCP服务器配置IP地址,还是使用静态IP地址。
如果使用静态地址,那么IPAddress将指定要配置的地址,而subnetmask将指定所配置IP地址的子网掩码。
如果使用静态地址,那么还必须同时指定是保留当前默认的网关(如果有),还是为该地址配置一个网关。
如果配置默认网关,则利用DefaultGateway变量指定要配置的默认网关的IP地址,而gatewaymetric指定要配置的默认网关的跃点数(通常都是0,指的是网关与接口处于同一网段),也可以先把自动获得方式;如果不配置网关,则选择none选项。
如要为“本地连接”配置采用DHCP服务器分配的IP地址,则键入以下命令:
Netshinterfaceipsetaddressname=本地连接sourcd=dhcp
如果为“本地连接”
N
注:
如果是静态IP地址配置,则必须要同时为addr、mask、gateway和gwmetric关键字指定设置,不能遗漏,否则会不能成功配置。
接口名,如果中间没有空格,则可以不用引号括住(当然也可以用引号括住),但如果名称中包括了空格,则一定要用引号括住。
另外,在命令格式中,等号(=)两端不要留空格,而在各关键词前面要有空格。
DNS服务器地址的命令格式为:
Netshinterfaceipsetdns[name=]InterfaceName[source=]{dhcp|static[addr=]dnsaddress|none}}[register=]{none|primary|both}
[name=]InterfaceName为必需配置项,指定要设置其DNS信息的接口的名称。
InterfaceName参数必须与图3-1所示“网络连接”窗口中指定的的接口名称匹配。
如果InterfaceName含有空格,则请将文本置于引号之中(例如“InterfaceName1”)
[source=]{dhcp|static[addr=]dnsaddress|none}}为必需配置项,指定DNS服务器的IP地址是通过DHCP配置的还是为静态地址。
如果是静态IP地址,则用DNSaddress变量指定要配置的DNS服务器的IP地址,如果先把none选项,则指定删除的DNS配置。
[register=]{none|primary|both}为可选配置项,指定计算机注册方式。
如果选择none选项,则表示该计算机禁用动态DNS注册完整的计算机名;如果选择primary选项,则指定只在主DNS服务器后缀下注册完整的计算机名;如果选择both选项,则同时在主DNS和其他指定DNS服务器后缀下注册完整的计算机名。
自动获得DNS键入的命令:
netshinterfaceipsetdnsname=本地连接source=dhcp
为接口配置多个IP地址:
Netshinterfaceipaddaddress[name=]InterfaceName[addr=]ipaddress[mask=]subnetmask[gateway=]defaultgateway[gwmetric=]gatewaymetric]
N
删除IP地址
Netshinterfaceipdeleteaddress[name=]InterfaceName[addr=]ipaddress[[gateway=]{defaultgateway|all}]
All选项表示删除所有默认网关,只想删除一个默认网关,则Defaultgateway变量将指定要删除的默认网关的IP地址
N
添加DNS服务器地址
Netshinterfaceipadddns[name=]InterfaceName[addr=]dnsaddress[[index=]dnsindex]
Dnsindex是用来指定添加的DNS服务器地址接口中的DNS服务器列表的位置。
N
删除DNS服务器地址:
Netshinterfaceipdeletedns[name=]InterfaceName[addr=]dnsaddress|all}
All表示用来删除所有DNS服务器地址
利用netsh工具导出/导入IP配置
导出格式:
netsh–cinterfaceipdump>脚本文件路径和文件名
导入格式:
netsh–f设置脚本文件
●工作组名称是NetBIOS名称,最多只能是15个数字、字符,或者7个纯汉字。
●强制某台机器为主浏览器的方法:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\browser\parameters注册表位置上将isdonainmaster键值改为True
●如果想让某台机器永远不能成为主浏览器:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\browser\parameters注册表位置上将maintainserverlist键值改为no,此时COMPUTERBROWSER服务也将无法启动
●网上邻居正常工作的必要条件:
●客户机要配置了用于名称解析的NetBIOS协议。
一般情况下TCP/IP协议就内置并且启动了NetBIOS协议
●客户端启用了“microsoft网络的文件和打印机共享”服务
●网络中至少有一台机器启动了计算机浏览(ComputerBrowser)服务。
要看网络中是否有浏览器主机,nbtstat–a连接网络的网卡IP地址命令实现,主浏览器的标识是含有\_msbrowse_这样的标识
●启动workstation或server服务
●造成“网上邻居”访问不成功的原因
●对方计算机上的防火墙阻止了。
137端口在局域网中提供计算机的名字或IP地址查询服务,一般安装了NETBIOS协议后,该端口会自动处于开放状态。
138端口是为NETBIOSdatagramService(netbios数据报服务)提供的,主要作用就是提供netbios环境下计算机名浏览功能,也就是browser服务有关。
139端口是为netbiossessionservice(netbios会话服务)提供的,主要用于提供windows文件和打印机共享以及unix中的samba服务。
445端口,也是提花局域网中文件或打印机共享服务
●组策略限制了。
IP安全策略中主要看是否限制了上面介绍的这些网上邻居访问端口的通信。
经典访问模式中,需要访问者在对方计算机上有合法的用户账户才能访问对方的共享资源,需要经过明确的身份验证;而来宾模式则用户访问时是以来来宾guest账户进行身份验证,澡需要输入账户和密码(前提是启用来宾用户)。
如果把windowsXP或以后版本系统中的guest账户也像以前系统那样放进everyone组中,享受同样的权限,那就是组策略中的“让‘每个人’的权限应用于匿名用户”策略。
空密码账户的访问限制-----使用空白密码的用户只允许进行控制台登录。
从网络上访问此计算机,拒绝从网络上访问此计算机
●用户的共享文件夹权限和NTFS文件访问权限限制了
●工作组网络用户访问域网络用户。
工作组网络用户无法访问域网络中的计算机。
反过来域网络用户访问工作组网络用户则可以
●桌面或者“开始”菜单上没有“网上邻居”快捷项
要在桌面上显示“网上邻居”,只需要在桌面的空白处右击,选属性—桌面—自定义桌面
开始菜单中显示“网上邻居”快捷键,只需在状态栏的空白处右击,属性——【开始】菜单——自定义——高级——网上邻居复选框——确定
●在“网上邻居”中没有“整个网络”
1)HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Network位置,查看是否有一个名为noentirenetwork的dword键项,如果有将其值设为0,没有就新建
2)HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\explores位置看一下是否有noentirenetwork的DWORD键项,值改为0
3)HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\explores位置下新建一个nonethood的dword键项,将其值设为0即可取消“网上邻居”在桌面和菜单中的显示。
以上是针对当前用户的设备,如果想要使计算机上的所有用户都采用以上设置,则需要在hey_users\.default\software\microsoft\windows\currentversion\policies\network(或explorer)位置查看地是否有noentirenetwork键项,如果没有则新建network(或explorer)主键,然后再新建noentirenetwork双字节键项,并将其设置为0.
●网上邻居中可以看到自己,却看不到其他联网的计算机
从以下几个方面找原因
●查看网络中是否只有这一台计算机存在这种问题:
如果只有个别计算机存在这种问题,则可以肯定的是与其他计算机无关,只与本机软件配置和相连接网卡、网线、集线器等设备端口有关
●确定属于本机或与有关的硬件故障有关后,先排除自身的软件配置问题。
在此还要特别提醒各位以下几点:
●查看所有计算机IP地址是否都配置在同一网段上
●在网络组件中是否安装了“网络客户”选项
●在“服务”控制台中检查计算机是否已启动了computerbrowserservice服务
●如果软件配置没问题,则需要进一确认硬件部分所存在的问题了。
●用ping.exe命令Ping其它主机的IP地址,检查其他计算机连接速度是否正常
●检查网卡状态指示灯是否闪烁
●检查集线器上的端口和其他计算机端口的指示灯是否正常
●如果还怀疑其它计算机有软件配置或硬件故障,则可进一步检查
●在网上邻居中可以看到其它机器,却看不到自己
没有正常启动server(服务器)服务,还要检查下computerbrowser,netlogon服务
●当双击访问“网上邻居”中的“整个网络”时弹出如下错误提示“无法浏览网络。
网络末连接或启动”,这是因为workstation服务没有启动,相关联是computerbrowserservice、netlogom
●已启用guest账户,仍不能访问“网上邻居”中的其他计算机
如果要使用guest用户访问windowsXP系统,则要进行上面的3个设置:
启用guest账户;修改安全策略允许guest从网络访问(在本地组策略中的“用户权利指派”项下的“从网络访问此计算机”选项中添加guest账户,但一定不要在“拒绝从网络访问这台计算机”选项中有guest账户;在“网络安全”项下启用是“‘让每个人’权限应用于匿名用户”选项),禁用“安全选项”中的“账户:
使用空密码用户只能进行控制台登录”安全策略,或者给guest加个密码
●网络访问windowsxp系统主机的时候,总是出现输入用户名进行身份验证的对话杠,或者登录圣诞在框中的用户是灰的,始终以guest用户访问,不能输入别的用户账号,为什么
本地安全策略中的“安全选项”项下的“网络访问:
本地账户的共享和安全模式”中,如果是“仅来宾模式,这样就固定为guest账户,如果是经典模式,就要输入用户名与密码
最简单的解决办法就是:
不用启用guest账户,仅修改上面安全策略为“经典”模式即可,别的系统访问xp时只需要输入有效的本地账户即可,这样更安全,但有时显示比较麻烦
第4章WLAN无线网络连接配置
●在WLAN中,有两种连接方式,采用DCF(Distributedcoordinationfunction,分布式协调功能)机制无中心控制设备的点对点AdHoc(是一种拉丁语)结构WLAN网络和采用PCF(pointcoordinationfunction,点调功能)机制有中心控制设备(如WLANAP)的点对多点infrastructure结构wlan网络
●ADhocWLAN网络中,只需在计算机上的WLAN网上中进行WLAN无线连接和用户访问身份验证配置,基本配置如下:
●SSID(Servicesetidentifier,服务集合标识符)
●安全访问微分验证方式
●WLAN网络类型
●通常采用1、6、11,2,7、12,3、8、13这3个信道组合,否则就会有重叠。
注意不能与同一无线网络中的其他AP所设置的信道重复。
第5章共享上网方案与配置
●最简单上网方案就是利用微软windows2000以后版本系统中推出的ICS(internetconnectionsharing,internet连接共享)方式,但在部署ICS共享上网之前需要注意以下几点:
●如果网络中已有DHCP服务器,而且已采用该DHCP服务器自动分配IP地址,则要禁用该DHCP服务器。
因为安装ICS后,也会提供DHCP服务,而且网络中的ICS客户机均必须采用ICS自带的DHCP服务获得IP地址,否则就会发生冲突
●如果网络中已安装了其他共享上网应用软件,如sygate/wingate/ccproxy等,则要卸载它们,因为这些应用程序安装后会控制计算机上安装的网卡,而在安装ICS后也要控制你的计算机网上,不卸载那些应用软件,就会发生网上控制冲突问题
●如果公司是采用ADSL之类需要安装接入终端设备的互联网接入方式,则采用ICS共享上网时,在ICS服务器端要安装两块网卡
●ICS共享上网方式性能也不是很好,一般公用于20台机器以内的网络先把使用,毕竟采用的是软件NAT技术。
一个最大的优点:
配置简单,配置成功后不会对任何应用进行限制,所有互联网应用直接应用即可,无须任何特别配置。
●ICS共享上网的设置通常不单独手动设置,而是通过运行“设置家庭或小型办公网络”向导(通常把它称为“ICS设置向导”)来进行。
(只适合小型网络,一般仅用于20台机器以内)
●启用ICS共享后自动配置的项目
自动配置的项目
项目操作说明
自动拨号功能
已启用
静态默认IP路由
建立拨号连接时创建
Internet连接共享服务
已启动
DHCP分配程序
DNS代理
已启用
5、“设置家庭或小型办公网络”向导设置法需要分别在网络中的每台计算机上运行。
6、如果采用的是网络安装磁盘向导运行方式,则可以直接双击网络安装磁盘(或者已复制到硬盘中的)netsetup.exe程序。
7、如果先把电信的E家ADSL宽带方案,则不能采用路由共享方式上网。
破解方式:
像sniffer之类的抓包工具,在进行PPPoE协议包,sniffer就会把加密前后的密码都呈现在你面前,这样就可以获得这个加密后的密码了。
8、一般半径为50米以内的区域中,只请允许我有3个无线AP
9、“开放系统”是指用户端无须输入密钥,直接与无线网络连接的方式,这种方式在较大的安全隐患,在企业网络中通常不采用。
“共享密钥”方式则需要用户端在进行无线连接时输入接入点预设的密钥,只有正确输入密钥的用户才能与无线接入点连接,确保了用户的合法性。
“自动选择”方式则是由路由器自动为无线客户端分配密钥,出于安全考虑不宜先把,特别是在企业网络中
10、代理服务器共享上网方式也要分别对服务器端和客户端进行配置
11、中小型企业网络通常是对等网,所以不选择NT服务,这样就不会把这项代理服务当作NT域中的一项服务,不会随系统自动启动、自动运行。
对等网络中通常也不需要DNS进行名称解析,所以也不要选择“DNS”复选项。
12、CCProxy默认采用的HTTP协议端口为808
第6章域控制器的安装、配置与管理
●如果是新安装的WindowsServer2003系统,而且没做其他任务配置,则可直接安装第一台服务器,否则需要满足以下条件才能进行:
●该计算机上运行的不是WindowsServer2003DatacenterEdition或WindowsServer2003WEBEdition版本系统
●已安装并配置网卡的TCP/IP协议,并且要分配静态IP地址
●计算机上必须至少有一个NTFS分区
●该计算机没有加入到其他域中,当然该计算机更不能已经配置为域控制器
●在该计算机上没有启动过“ActiveDirectory安装向导”,没有运行“路由和远程访问”服务,但配置域控制器后可重新配置和运行“路由和远程访问”服务
●该计算机上没有证书颁发机构(CA),如果安装了,要先卸载“证书服务”组件,但配置域控制后可以重新安装“证书服务”组件,并配置成证书颁发机构
●该计算机没有配置为DNS服务器或DHCP服务器
2.额外域控制器的作用
●提供服务器容错
●为现有域控制器提供负载均衡
●更易于用户的连接和访问
●额外域控制器的安装有两种方式:
在线安装方式和离线安装方式
●要进行在线额外域控制器安装,首先要把该台成员服务器的DNS指向当前域网络中的DNS服务器,当然还得连接在域网络中(但可以不事先加入域)
●安装离线额外域控制器的两大步骤:
●NTBACKUP.exe工具从现有域控制器上获得活动目录配置信息文件
●利用活动目录配置信息文件,通过高级ActiveDirectory安装向导完成额外域控制器的安装
●ActiveDirectory配置信息文件是备份工具中Systemstate(系统状态)的一部分,整个Systemstate的内容分为5部分:
ActiveDirectory(活动目录,主要是包括了NTDS这个数据库文件夹)、BootFiles(引导文件)、COM+ClassRegistrationDatabase(组件类注册数据库)、Registry(注册表)和SYSVOL(系统卷)。
离线方式安装额外域控制器