2012计算机网络实验指导书

《计算机网络》
实验指导书
作者:刘桂江江伟
计算机与信息学院
2012.5
实验环境
项目型号数量
微机/服务器清华同方/15’/多媒体 48台网卡RealTek 48块Windows2000/2003 SERVER中文版安装盘（自启动）多套交换机S2126G 多台交换机S3550G 多台路由器R1762 多台
说明
网络实验所需要的软件存放于FTP://219.231.57.57目录下。

实验一Windows 2000/2003 Server的安装和管理
一、实验目的
1．熟悉Windows2000/2003 Server的安装；
2．掌握配置TCP/IP协议及测试其连通性的方法；
3．掌握Windows2000 Server的基本管理功能；
4．熟悉网络操作系统的特点。

二、实验任务
1．Windows2000/2003 Server的安装；
2．使用ping测试机器间的连通性；
3．使用Windows2000/2003 Server管理工具。

包括：账号管理、日志文件管理、服务管理，重点掌握Windows2000/2003 Server中账号管理；
4．使用资源管理器对Windows2000/2003 Server文件权限进行管理。

三、实验步骤
（一）Windows2000 Server安装
1、Windows2000 Server系统安装盘目录结构：
●BOOTDISK 内含系统引导软盘制作工具以及创建引导软盘所用的Img文件；
●Clients 内含用于Windows95/98系统的客户端增强程序；
●I386 内含Windows 2000 在Intel平台上的安装文件；
●Printers 内含Windows 2000/NT/9X工作站的部分打印驱动程序；
●Setup.txt Windows 2000 的安装说明文档；
●Supper Windows2000 Server Resource Kit工具、应用程序兼容性检查工具、版
本号检查工具以及硬件兼容性列表；
●Valueadd 内含Windows 2000 server 的一些没有经过完全测试的组件，包括
Microsoft提供的部分，以及由第三方提供的部分。

2、硬件配置要求
为充分发挥性能，请确保要安装Windows 2000 Server的计算机满足以下要求：
●奔腾133-MHz或更高的中央处理器(CPU)。

每台计算机最多可支持四路CPU。

●建议最少有256 MB RAM（最少128 MB；最多4 GB）。

●硬盘分区有足够的可用空间来执行安装程序。

至少需要大约1 GB 的空间。

也可能
需要更多的空间，这取决于以下因素：
✓所安装的组件：组件越多，需要的磁盘空间就越大。

✓所使用的文件系统：FAT需要的可用磁盘空间比其他文件系统多100-200 MB。

✓安装方法：如果从网络安装，需要比从CD-ROM 安装多100-200 MB 的可用磁盘空间。

（从网络安装时，安装过程中需要使用更多的驱动程序文件。

）✓页面文件的大小。

另外，升级比全新安装需要更多的磁盘空间，因为在升级过程中，增加Active Directory 功能时，现有的用户账号数据库可能会扩大十倍。

注意：安装过程需要上述可用磁盘空间。

安装完成后，操作系统实际使用的硬盘空间（不包括用户账号）通常比安装所需的可用空间少，这取决于所安装的系统组件。

3、选择文件系统
对于运行Windows 2000 Server 计算机上的分区，可以在三个文件系统之间选择NTFS、FAT 和FAT32。

建议使用NTFS 系统。

FAT 和FAT32 相似，只不过FAT32 可用于比FAT 更大的磁盘。

（在大磁盘上最好用的文件系统是NTFS）。

NTFS 是比FAT 和FAT32 功能更强大的文件系统。

Windows 2000 Server 包括NTFS 的新版本，支持各种功能，包括域、用户账号及其他重要安全功能所需的Active Directory。

安装程序可以很容易将分区转换成新版本的NTFS，即使以前使用的是FAT 或FAT32这种转换可以保持文件的完整性（和格式化分区不同）。

如果不需要保持文件的完整性，并且有FAT 或FAT32 分区，建议用NTFS 格式化分区，而不要从FAT 或FAT32 转换。

有一种情况，可能要选择FAT 或FAT32 作为文件系统。

如果计算机必须有时运行较早版本的操作系统，有时运行Windows2000，则需要FAT 或FAT32 分区作为硬盘的主（或启动）分区。

这是因为较早版本的操作系统不能访问使用NTFS 最新版本的分区，但有一种情况例外。

这个例外就是带有Service Pack 4的Windows NT 4.0 或更新版本，它可以访问使用NTFS 最新版本的分区，但有一些限制。

Windows NT 4.0 无法访问使用Windows NT 4.0 发行时还没有的NTFS 功能存储的文件。

对于多操作系统之外的其他任何情况，建议使用NTFS 文件系统。

表1描述了每个文件系统与各种操作系统的兼容性。

表2
选择NTFS 时能够实现的功能是：
●Active Directory，可用来方便地查看和控制网络资源。

●域，Active Directory 的一部分，可用来调整安全选项，同时保持管理的简单性。

域控制器要求NTFS。

●文件加密，可以显著地增强安全性。

●不仅可以在文件夹上，还可以在单个文件上设置权限。

●稀疏文件。

这些是应用程序以一种只需要有限磁盘空间方式创建的大文件。

也就是
说，NTFS 只对写入的文件部分分配磁盘空间。

●远程存储，可以通过更多地访问可移动媒体（如磁带）来扩展磁盘空间。

●磁盘操作的故障恢复日志记录，在停电或出现其他系统问题时可以帮助迅速恢复信
息。

●磁盘配额，可用来监视和控制单个用户使用的磁盘空间量。

●对于大驱动器有更好的可扩展性。

NTFS 驱动器大小的最大值比FAT 大得多，随
着驱动器大小的增加，使用NTFS 的性能不会象使用FAT 那样降低。

4、网络安装Windows2000 Server （了解）
在要安装Windows 2000 的计算机上，连接到共享的安装文件夹I386（服务器上）。

进入共享的文件夹I386，运行Winnt.exe。

注意：为了获得最高的效率，可以使用磁盘高速缓存。

否则安装过程（从Winnt.exe 安装）要花很长时间。

在运行Windows 3.x 或MSDOS 的计算机上启用磁盘缓存的常用方法是使用SmartDriver。

5、安装过程中一些设置规定：
●计算机名：machineN（机器号）；域名：domainN；系统管理员账号：Administrator
密码：计算机名
注意：不要自己任意设置管理员帐号和密码。

●独立服务器方式，组名：workgroupN；
●IP地址设定：219.231.57.1─219.231.57.48(机器号) , 255.255.255.0(netmask),
219.231.57.254(gateway)
●DNS：210.45.168.1
●其它设置：采用默认设置。

6、使用ping测试到网关或机器间的连通性
如：ping 219.231.57.254
（二）Windows 2000 Server 管理工具(选做)
1、账号管理工具
Windows 2000 server 是典型的多用户操作系统。

每个用户拥有自己的系统配置以及权限许可，通过相应的设置可进行基本的用户和组的管理操作。

用户是Windows 2000 server中一个很重要的概念，用户权限好比员工在公司有不同的业务，有不同的活动范围，要保证工作组织的有序，最基本的要求就是要标识不同的员工，并保证不同员工从事他们应该的工作。

在启动windows 2000 的登陆界面上，系统要求我们提供用户名和口令，登陆到系统中我们就可以以当前登陆的身份访问计算机。

1）在Windows 2000 中建立账户
从开始――程序――管理工具――计算机管理打开窗口，显示为本地，即用此工具管理本地的用户和组。

此外在“运行”处键入MMC, 激活控制台在控制台下选中“添加/删除管理单元”打开选项卡，选择“添加”显示出二十多个独立管理单元，选中本地用户和组，即可以对账号进行修改、管理，也可以达到同样目的。

如果选择“选择目标机器”则可以用这个管理单元进行对其他机器的管理，达到远程管理。

①本地用户
图1
大家可以看到：进入账号管理器时，即使没有建立任何账号和组，也会看到许多用户和组，称之为内置账号和组。

下面分别对内置的几个账号进行描述：
Administrator是本地管理员账号。

在安装windows2000系统后，第一次都需要使用管理员账号。

Administrator拥有管理用户账号、管理共享资源、管理磁盘和文件系统、系统配置和管理、以及软件和硬件的安装权限。

总之管理员拥有对系统完全控制的权利，所以密码应妥善保管。

Guest是客户的访问账号，Guest账号在系统被要求可以被所有人都可以访问时是非常有效的。

Windows2000提供基于用户的安全性，任何人访问某一主机时，都必须有一种身份，也就是账号。

当用户访问网络中的某一台主机身份不能被验证时，如果此时Guest账号被Enable，则系统会自动赋予他Guest账号的身份，让他以Guest 账号访问主机。

例如：你在一个工作组方式的网络中，你希望网络中的任何主机都可访问你的Windows 2000服务器，最简单的做法是将服务器上的Guest 账号Enable，这样通过网络连接你的服务器而身份验证不能通过的用户，都会当作Guest账户处理。

所以这是一种带有安全隐患的解决方案。

②创建本地用户账号
过程如下：
●激活“新用户”对话框：鼠标右键单击“新用户”
●登录名长度：不得超过20个字符
●登录名使用的字符：不包括“/ \ : ; │═, + ─? * [] ”这十二个字符
●命名习惯：如果Windows 2000 server 中需要设置大量的本地用户账号，建议使用
实际的名字作为登录名
●输入密码和确认密码：必须为用户建立密码，从而保护未授权用户访问他人的资源，
密码作为身份验证的关键信息，应该避免过于简单，用户必须注意以下问题：
✓密码长度：Windows2000 server 中支持用户使用最多长大128 字符的密码，推荐使用最短密码长度为8 个字符
✓字符的使用：建议用户使用大写、小写字母，符号以及数字组成密码。

③更名和删除用户账号
在Windows 2000 创建用户账号后，系统会分配给此账号以一个唯一的安全标识码SID （Security Identifier）。

它与用户名无关，重命名操作不会修改SID，因此能够继承原有用户名所对应的权限，避免管理员重新为其分配权限。

如果公司内发生人事调动，不必创建新用户，只需修改原有的用户名，并将其分配给代替者即可。

由于不是永久性的原因，Windows 2000 一般不推荐使用删除操作。

删除账号，实际删除了账号对应的SID，即使用户再次创建同一用户名的本的账号，其所获的SID 也不同，原先的权限及许可都会丢失，需要重新分配。

④本地用户的属性
对账号创建完之后，双击用户账号，弹出用户的属性对话框，管理员可以进行以下配置：
在“常规”栏下有5个选择栏。

“用户下次登录时需修改密码”如果选中用户登录时系统会自动提示修改密码，更改后此选项会自动去掉；
“用户不能更改密码”管理员可以决定是否不允许用户修改密码，一般情况下，建议将修改密码的权利赋予用户；
“密码永不过期”用户账号是否受密码过期策略的限制；
“账号已停用”如果组织成员或公司职员离职，可以不删除账号，新的替代者到来后，可以方便的通过修改用户名和密码，将此账号分配给替代者并使其继承原有用的权限；
“锁定账号”账号只有锁定时才可选，当用户账号因为一定次数的登录失败记录而被锁定时，管理员可以清除此复选框，解除用户的锁定，这个账号便可以重新使用。

“隶属于”可以把选定的账号加入到不同的组中。

2）Windows 2000 本地中的组
①组的概念
组是用户账号的集合。

用组来组织是一种有效的管理手段，组可以向用户一样被赋予权限和许可，组内的用户可获得组所具有的权限和许可。

管理员可以使用简化用户对资源的管理，避免多次此重复操作。

本地组是本地用户账户的集合，与域中基于AD（活动目录）的组相区别，本地组仅存在于本地，本地组是非域控制器的Windows2000 上创建的，所以本地组就像本地用户一样，只存在于本地计算机中，只在本地起作用。

②组的管理
图2
Windows 2000 在安装后除本地账户外系统还内建了本地的组，这些本地的组是根据用户访问系统资源的权限划分的，内置本地组包括：
Administrator 管理员组是系统中权限最高的组，让一个用户成为系统管理员的方法就是让用户成为这个组的成员。

管理员组的成员可以进行以下工作：
●安装服务包例如Service Pack
●升级操作系统
●修复操作系统
●配置操作系统的关键设置例如：密码策略，访问控制
●获得无访问权的所有权，管理员组成员并不能无条件的访问所有资源，在NTFS文
件系统中，文件所有权可能会限制管理员的访问，此时管理员可以通过获得所有
权的操作来访问到这些资源。

●管理安全日志和审计日志
●备份和恢复系统
●安装操作系统和组件，包括硬件驱动程序和系统服务
Backup operators 备份操作组是系统中实现安全性管理中很重要的组，他的成员可以不受文件访问权限的限制，备份和恢复计算机上的文件。

这意味着，系统中任何关键文件，数据，这个组的成员都可以进行备份，所以这个组的成员应该严格控制。

Power user组的成员的权限介于用户组和管理员组之间，可进行系统中一般的管理工作。

他不能通过获得文件所有权的办法在NTFS分区上访问其他用户的数据，不能对Administrator ，Backup Operators组的成员进行修改。

2、安全策略管理
安全策略和NTFS文件系统的权限是Windows 2000 的系统安全性两个首要条件。

NTFS 文件系统的权限设置，是用来提供对文件访问的安全性的，同时通过对Windows 2000 系统文件的权限的设置也提供对系统一定程度的保护。

而安全策略则是直接对系统本身的一些操作提供的安全性保护，用来实现Windows 2000 计算机和用户的控制。

图3
本地安全设置：
本地安全策略控制的是系统本身的安全特性和用户的一些行为。

按下面步骤，可以打开本地安全策略：
①点击“开始”，选择“程序”
②把鼠标滑向“管理工具”
③选择“本地安全策略”
在本地安全策略中，最基本的是“账户策略”和“本地策略”
1）账户策略
定义的是用户账号安全性的增强，包括：“密码策略”、“账号锁定策略”。

密码策略：
●“密码必须符合复杂性要求”
●“密码长度最小值”
●“密码最长保留期”
●“密码最短保留期”
●“强制密码历史”
●“为域中所有用户使用可以还原的加密储存密码”
账号锁定策略：
账号锁定策略是用来对付试探口令的黑客行为。

账号可以在指定的次数的口令试探后锁定，也就是不能再使用。

对一般的账号可以设定在一段时间后解锁，这样就可以大大减慢试探口令的速度。

对于关键账号可以一直锁定到管理员来处理。

包括：
“账号锁定阀值”当用户开始输入口令时，系统内部有一个计数器开始记录错误的口令的次数，当这个次数达到这个阀值参数后，账号就被锁定。

这个值0 表示不锁定。

（在锁定计算机和屏幕保护中输入的错误口令不在计数器的记录范围中）
“账号锁定时间”这个时间是用户的账号被锁定后自动解开锁需要的时间。

可以选择的范围是1－99999分钟，0表示一直保持锁定直到管理员在“用户管理”工具中手工解除锁定。

“复位账号锁定计数器”这个设置用来指定账号锁定计数器的复位时间，范围也是1―99999分钟。

这个值不能大于锁定时间的值，也就是要在账号解锁之前复位。

2）本地策略
对本机系统的安全性的配置，包括：“审核策略”“用户权利指派”和“安全选项”。

审核策略配置的是对系统行为的审核，也就是将某些操作的成功或失败记录在事件日志中。

一般情况下可以对操作的成功和失败都进行记录，主要有：
审核登录事件：用户在本机的登录；
审核账号登录事件：用户在其他计算机上登录，但是用户的身份验证是在这台计算机上进行的；
审核账号管理：对账号的管理操作，如建立用户和组，修改重命名用户和组，修改和重置口令；
审核对象访问：用户对对象的访问（文件，文件夹，系统注册表，打印机）具体到某个对象，如某个文件的审核，还需要在文件本身的属性安全性选项中指定审核；
审核系统事件：系统的启动和关机，对系统安全性产生影响的一些事件。

用户权利用来对计算机上进行某种操作进行授权。

用户权利可以分为两种类型：登录权利和特权。

登录权利可以控制用户和其他对象访问计算机，可以通过键盘登录或是通过网络连接登录；登录者可以是一个用户也可以是一个服务，或者是某个批处理的作业。

特权可以控制用户操作系统资源，例如：装载或是卸载驱动程序，备份或是恢复文件和文件夹。

允许用户本地登录：为了保证系统的安全，不让所有用户都能够在服务器上登录，只有需要完成必要任务的用户才可以在服务器上本地登录。

注：默认情况下Administrator组和Account Operators组，Backup Operators组，Server Operators组的成员有本地登录的权利。

图4
点击“在本地登录”（logon local）会出现“本地安全策略设置”表框，显示不同的用户和用户组的权限，点“添加”则可为某个用户和用户组添加登录的权限。

如果要取消某个用户和用户组的登录权限，清除“本地策略设置”所对应的选框即可。

用户权利还有其他的一些策略配置如“允许用户关闭系统”“备份文件和目录”
根据以上的描述，分别进行以下设置和测试，设计测试方案，记录结果。

①设置账号策略；
②建立账号，设置权限；
③建立组，设置权限；
④将账号划入组，测试账号的相应的权限，设计不同权限，测试并记录最终用户获得的权限。

根据需要，可以进行其它设置和实验，注意记录测试结果。

3）服务管理
每种类型的对象都由对象管理器控制。

每种类型的对象都有不同的对象管理器。

对象类型、其对象管理器以及用于管理这些对象的工具如下所示：
表3
4）日志文件查看器
作为一个网络操作系统，跟踪并记录服务器中发生的事件很必要，将记录操作系统发生事件的文件，称之为日志文件。

根据日志文件，可以发现很多有用的信息和线索，为管理员正确掌握服务器工作情况提供了第一手资料，虽然微软的日志内容含义不明确，但还是有可取之处。

进入日志文件管理器：
从开始――程序――管理工具――计算机管理――事件查看器。

进入管理界面后，可以根据界面以及鼠标右键提示进行操作，进行日志查看、备份和设置等操作。

日志文件管理界面如图5所示。

图5
通过实验说明：哪些事件可以被事件查看器记录？
（三）文件访问的权限
表4
文件权限包括完全控制、修改、读取和执行、读取、写入。

每个权限均由特殊权限逻辑组组成。

表4列出了每个文件权限并指出了与该权限相关联的特殊权限。

注意：无论有什么权限保护文件，被准许对文件夹进行“完全控制”的组或用户都可以删除该文件夹内的任何文件。

通过共享文件夹或驱动器可以为文件和文件夹设置下列共享文件夹权限。

表5显示了共享文件夹权限及每种权限下用户可以对共享文件夹进行的操作。

表5
根据以上说明，将具有NTFS格式的某一个文件夹进行安全属性的设置，利用不同账号进行登录，体会文件安全属性的作用。

（实际上对于网络访问也是如此）。

同理，可以进行共享设置，通过网络访问方式进行安全属性测试。

（四）思考题：
1、如何将一个账号加入到一个组？
2、什么是本地组和全局组？各有什么作用？
3、如何禁止一个账号在本服务器登录？
4、账号属性中，以下设置有何作用？
1）用户下次登陆必须更改密码；
2）用户已停用；
5、自定义控制台
什么是控制台？有何作用？如何生成控制台？具体要求：添加“Internet管理工具”到控制台。

6、需要使用Windows 2000文件安全属性时，对文件格式有何要求？
7、当某一个文件夹共享的权限和此文件夹自身的安全属性权限不一致时，操作系统是如何确定最终的共享权限？
实验二DNS、Web、FTP、Email服务的配置
一、实验目的
1．掌握Web站点的基本架构技术；
2．掌握DNS服务的安装和配置方法以及DNS的故障诊断；
3．掌握IIS5信息发布技术及其管理；
4．掌握虚拟主机的概念以及实现；
5．掌握易邮建立邮件服务器的方法。

二、实验任务
1．编辑简单的主页；
2．在IIS5下实现主页发布；
3．在IIS5下实现FTP服务；
4．实现虚拟主机；
5．DNS实现；
6．安装和配置IMAIL实现邮件服务。

三、实验步骤
（一）准备工作
1、TCP/IP设置
对于所有机器，更改设置如下（只使用一块网卡）：
IP地址设定：219.231.57.1─219.231.57.48 (机器号) ；255.255.255.0（子网掩码），219.231.57.254（网关）
DNS设置为本机IP。

2、在D盘根目录下建立两个目录，分别是htmlpub和ftproot。

3、DNS配置和实现
通过Win2000的“程序----管理工具-----DNS”，添加“DNS服务”；
进入DNS服务管理，“新建区域.”：
1）区域类型：主要，正向,反向；
2）正向区域：区域名；区域文件：.dns（自动生成）；选定，单击右键，“新建主机”：主机名为：WWW，IP为本机第一个IP。

3）反向区域：新建区域后网络ID中输入：219.231.57 创建一个新的默认文件: 219.231.57.in-addr.arpa.dns 选定219.231.57.x Subnet，单击右键，“新建指针”：主机IP号：机器号,主机名选择正向区域中()
4）检测本机的DNS是否可以进行解析工作。

（如何检测？）
在上述域名解析设置完成后，可以在IE浏览器和FTP工具的地址栏中键入相应的域名进行访问。

(注意:在IE浏览器中,可以不设置为代理服务器,操作:“工具”——“Internet选项”——“连接”——“局域网设置”)
5）同理，建立域名 的域名解析，IP为本机第二个IP；
的域名解析IP地址为本机第一个IP； 的域名解析IP地址为本机的第二个IP。

（二）WWW服务的实现
1）利用FrontPage2000或DREAMWEA VER编辑自己的主页
2）保存在D:\htmlpub目录下
在IIS5中，更改默认WWW服务的主目录为D：\htmlpub（开始默认的目录是Inetpub\wwwroot）。

注意区分什么是“新建虚拟目录”和“新建主机”？
3）根据需要进行其它IIS WWW服务的配置
4）确定目录结构后，利用客户机访问如下的地址
http://服务器IP地址[：端口号]/[主页文件名]
问题：此时的URL（Uniform Resource Locator）是什么?如何确定？和设定的主目录有何关系？如果想增加目录，比如http://服务器IP地址[：端口号]/myweb/，如何进行操作？（三）建立WWW虚拟主机(选做)
现在，要在IIS创建的主服务器下创建一个虚拟的WWW服务器。

我们在一个物理主机上建立两个虚拟主机，它们各自分别对应一个IP地址（或域名）。

对于外面的用户而言，好像是两台独立的主机。

为此，我们要先建立虚拟主机的路径，也就是虚拟主机的实际目录。

在浏览器的URL中只要输入虚拟主机名，就会显示出它的实际目录下的缺省的页面文件。

在\Htmlpub目录下，创建两个子目录，把它们分别作为两个虚拟主机的实际目录，比如：\Htmlpub\aaa ；\Htmlpub\bbb 。

然后将自己编好的可以区别开来的不同主页放到两个目录下。

有了虚拟主机的实际路径，接下来就可以在IIS中新建和配置虚拟主机了，步骤如下：1）在Windows2000的“程序”中选择“管理工具”－> “Internet服务管理器”。

2）在图所示窗口的计算机名上单击鼠标右键，从弹出选单中选择“新建”下的“Web站点”，弹出新建站点向导，在站点说明中输入。

3）单击“下一步”，在IP地址栏中输入新站点的IP地址，我们在这里选择本机第一个IP地址。

4）单击“下一步”，在主目录栏中输入新建站点对应的主目录，我们在这里输入的主目录为\Htmlpub\aaa。

5）单击“下一步”，选择“结束”，则在IIS上创建了一个新站点，此时，在“Microsoft管理控制台”窗口中将出现站点。

6）站点上单击鼠标右键，从弹出选单中选择“属性”，则弹出 站点的属性对话框。

选择“Web站点”属性页，可以在出现的IP地址选项中修改IP地址，然后点击“高级”，对已有的内容进行“编辑”，键入主机头名称“”。

再单击“确认”返回。

通过以上步骤，我们建立了一个Web站点，它是一个虚拟主机。

重复上面的步骤2～6，注意把替换为，对应的主目录为\Htmlpub\bbb，以及将主机头名称改为“”。

这样，我们就在一台IIS主机上新建并配置完成了两个虚拟主机和，各自分别对应本机的一个IP地址。

7）测试
我们可以把一些主页放在虚拟主机的主目录下，如在D:\Htmlpub\ aaa下放置了一个名为index.htm的页面文件，打开浏览器，在URL中输入/[index.htm]就可以浏览该主页了。

（四）FTP服务的实现
进入“Internet管理”；右击“默认的FTP站点”；新建“虚拟目录”，按提示进行。

注意区分什么是“新建虚拟目录”和“新建主机”？
（五）建立FTP虚拟主机(选做)。