网络服务器操作系统-

网络服务器操作系统-WINDWS2000SERVER一、服务内容：1ActiveDirectoryActiveDirectory是一种灵活的企业级目录服务，它使用Internet标准技术构建，并完全集成在操作系统层次上。ActiveDirectory简化了系统管理，并使用户可以轻松地用它查找到资源。ActiveDirectory提供了广泛的功能和能力。包括组策略、易于实现可扩展性、支持多种身份验证协议以及使用Internet标准2.ActiveDirectory服务接口ActiveDirectoryServiceInterfaces（ActiveDirectory服务接口）是一个目录服务模型和一套COM接口。它允许Windows95、Windows98、WindowsNT和Windows2000应用程序访问多个网络目录服务，包括ActiveDirectory。并且，它还可作为一种软件开发工具包(SDK)提供给用户。3异步传输模式异步传输模式(ATM)是一个高速面向连接的协议，专为在网络上传输多种类型的业务而设计。它既可用在LAN中，又可用在WAN中。利用ATM，网络可以同时传输各种网络业务：语音、数据、图像和视频。4证书服务使用Windows2000中的证书服务和证书管理工具，可以实施自己的公用密钥结构。利用公用密钥结构，可以执行一些标准的技术，例如智能卡登录功能、客户端身份验证（通过安全套接字层协议和传输层安全保护）、安全电子邮件、数字签名和安全连接（使用Internet协议安全保护）。使用证书服务，可以安装和管理用于发布和取消X.509V3证书的证书颁发机构。这意味着无需依靠商业的客户端身份验证服务，如果愿意，还可以将商业的客户端身份验证集成到自己的公用密钥结构中。5组件服务组件服务是一套基于扩展组件对象模型(COM)和MicrosoftTransactionServer的服务，后者是基于组件的事务处理系统的早期版本。组件服务改进了线程和安全性、事务管理、应用程序管理和封装。6磁盘配额支持可以在NTFS文件系统格式化过的卷上使用磁盘配额来监视和限制每个用户可用的磁盘空间量，也可定义当用户使用的磁盘空间超过指定的阈值时，如何做出响应。7带有DNS和ActiveDirectory的DHCP动态主机配置协议(DHCP)与IP网络上的DNS和ActiveDirectory一同作用，可以把您从分配和跟踪静态IP地址中解脱出来。DHCP为计算机和其他连接到某个IP网络的资源动态分配IP地址。8加密文件系统Windows2000的加密文件系统(EFS)补充了现有的访问权限控制，并为数据添加了一级新的保护措施。加密文件系统作为一个完整的系统服务运行，它易于管理、很难受到攻击，但对用户而言是透明的。9索引服务使用索引服务，可以使用户以快速、轻松和安全的方式搜索本地或网络上的信息。用户可以使用强大的查询功能搜索不同格式和语言的文件，既可以通过“开始”菜单的“搜索”命令，也可以通过在浏览器上查看HTML页进行搜索。10Internet验证服务Internet验证服务(IAS)提供了管理身份验证、授权、记帐、审核拨号或VPN用户的集中功能。IAS使用被称为远程身份验证拨号用户服务(RADIUS)的Internet工程任务标准协会(IETF)协议。11Internet连接共享利用“网络和拨号连接”的Internet连接共享功能，可以使用Windows2000将家庭网络或小型办事处网络与Internet相连。例如，通过拨号连接与Internet相连的家庭网络。通过在使用拨号连接的计算机上启用Internet共享功能，可以为家庭网络的所有计算机提供网络地址转换、寻址和名称解析服务。12Internet信息服务5.0版Internet信息服务(IIS)的强大功能，是MicrosoftWindows2000Server的一部分，使得用户可以在公司Intranet或Internet上轻松地共享文档和信息。使用IIS，可以部署灵活可靠、基于Web的应用程序，并可将现有的数据和应用程序转移到Web上。IIS包括ActiveServerPages和其他功能。13Internet协议安全保护支持可以使用Internet协议安全(IPSec)保护Intranet内的通讯，并在Internet上创建安全的虚拟专用网络解决方案。IPSec由Internet工程任务标准协会(IETF)设计，已成为加密TCP/IP通讯的业界标准。14KerberosV5协议支持KerberosV5是一个成熟的，并已是业界标准的网络身份验证协议。在KerberosV5协议的支持下，快速、单一的登录过程，让用户可访问基于Windows2000Server的企业资源，以及其他支持此协议的资源。支持KerberosV5协议也具有其他好处，例如相互身份验证（客户端和服务器都必需提供身份验证）和委派身份验证（自始至终都要跟踪用户的凭据）。15第二层隧道协议第二层隧道协议(L2TP)，是一种比点对点隧道协议(PPTP)更安全的版本，用于隧道操作、地址分配和身份验证。16轻量目录访问协议支持轻量目录访问协议(LDAP)是一个业界标准，它是ActiveDirectory的主要访问协议。LDAP版本3由Internet工程任务协会(IETF)定义。17消息队列集成的消息队列功能可帮助开发人员构建和部署可在网络上（包括Internet）更可靠运行的应用程序。这些应用程序可以与运行在不同平台（例如大型机和基于UNIX的系统）上的应用程序互相操作。18公用密钥结构和智能卡结构使用Windows2000中的证书服务和证书管理工具，可以实施自己的公用密钥结构。利用公用密钥结构，可以执行一些标准的技术，例如智能卡登录功能、客户端身份验证（通过安全套接字层协议和传输层安全保护）、安全电子邮件、数字签名和安全连接（使用Internet协议安全保护）。使用证书服务，可以安装和管理用于发布和取消X.509V3证书的证书颁发机构。这意味着无需依靠商业的客户端身份验证服务，如果愿意，还可以将商业的客户端身份验证集成到自己的公用密钥结构中。19路由和远程访问服务路由和远程访问服务是一种单一集成的服务，它既可终结来自拨号或VPN客户端的连接，又可提供路由选择（IP、IPX和AppleTalk），或两者兼有。使用路由和远程访问服务，Windows2000Server可以当作远程访问服务器、VPN服务器、网关或分支办公室路由器来使用。20TAPI3.0TAPI3.0统一了IP和传统的电话服务，使得开发人员可以创建新一代强大的计算机电话应用程序，这种程序工作在Internet或Intranet上，与工作在传统的电话网络上一样有效。21终端服务Windows2000Server系列是唯一集成了终端仿真服务的服务器操作系统。使用终端服务，用户可以从各种早期的设备上访问在服务器上运行的应用程序。例如，用户可以从无法在本地运行软件的硬件设备上访问虚拟Windows2000Professional桌面和32位Windows应用程序。终端服务可以为Windows和非Windows的客户端设备提供这种功能（非Windows设备需要CitrixSystems的附加软件）。22虚拟专用网络通过实施虚拟专用网络(VPN)，可以使用户随时访问网络（即使他们不在办公室），并可降低这种访问的费用。利用VPN，用户可以方便安全地连接到企业网上。由于这种连接可通过本地ISP完成，从而降低了连接时间的费用。23WindowsMedia服务利用WindowsMedia服务，可以将高质量的流式多媒体传送给Internet和Intranet上的用户。二、ActiveDirectory概述ActiveDirectory是用于Windows2000Server的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。ActiveDirectory目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。通过登录验证以及目录中对象的访问控制，将安全性集成到ActiveDirectory中。通过一次网络登录，管理员可管理整个网络中的目录数据和单位，而且获得授权的网络用户可访问网络上任何地方的资源。基于策略的管理减轻了即使是最复杂的网络的管理。1ActiveDirectory的优点ActiveDirectory提供：信息安全性基于策略的管理可扩展性可伸缩性信息的复制与DNS集成与其他目录服务的互操作性灵活的查询ActiveDirectory简介目录是存储有关网络上对象信息的层次结构。目录服务，如ActiveDirectory，提供了用于存储目录数据并使该数据可由网络用户和管理员使用的方法。例如，ActiveDirectory存储了有关用户帐户的信息，如名称、密码、电话号码等，并允许相同网络上的其他已授权用户访问该信息。目录服务、域概述域树和树林域信任关系组织单位ActiveDirectory站点和服务概述组ActiveDirectory架构概述服务器角色目录服务ActiveDirectory目录服务具有下列功能：•数据存储，也称为目录，它存储着与ActiveDirectory对象有关的信息。这些对象通常包括共享资源，如服务器、文件、打印机、网络用户和计算机帐户。•一套规则，即架构，定义了包含在目录中的对象类和属性、这些对象实例的约束和限制及其名称的格式。•查询和索引机制的建立，可以使网络用户或应用程序发布并查找这些对象及其属性。•通过网络分发目录数据的复制服务。域中的所有域控制器参与复制并包含它们所控制的域的所有目录信息的完整副本。•与网络安全登录过程的安全子系统的集成，以及对目录数据查询和数据修改的访问控制。域概述域定义了安全界限。目录包含一个或多个域，每个域均有自己的安全策略以及与其他域的信任关系。域有几个优点•安全策略和设置（如管理权利和访问控制表）不会从一个域移至另一个域。•向域或组织单位委派管理权限消除了对具有广泛管理授权的大量管理员的需要。•域可帮助组织您的网络以更好的反映您单位的组织结构。•每个域仅存储该域中各对象的有关信息。通过这样区分目录，ActiveDirectory可将规模扩展到拥有大量对象。域是复制的单位。特定域中的所有域控制器可接收更改内容并将这些内容复制到域中的所有其他域控制器中。单域可跨越多个物理位置或站点。使用单域极大地简化了管理的开销。域树和树林简介多个域构成树林。域也可合并为称作域树的层次结构。域树域树中的第一个域称作根域。相同域树中的其他域为子域。相同域树中直接在另一个域上层的域称为子域的父。具有公用根域的所有域构成连续名称空间。这意味着子域的域名就是添加到父域名中的那个子域的名称。在此例中，child.microsoft.com为microsoft.com的子域及grandchild.child.microsoft.com的父域。microsoft.com域为child.microsoft.com的父域，它也是该域树的根域。域树中的Windows2000域通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传递的，因此在域树或树林中新创建的Windows2000域可以立即与域树或树林中每个其他的Windows2000域建立信任关系。这些信任关系允许单一登录过程在域树或树林中的所有域上对用户进行身份验证。树林树林包括多个域树。树林中的域树不形成邻接的名称空间。例如，虽然两个域树，microsoft.com和microsoftasia.com都具有称作support的子域，而子域的DNS名称为support.microsoft.com和support.microsoftasia.com。没有共享的名称空间。然而，树林都有根域。树林内所有域树中的所有Windows2000域都共享下列特征：•域之间的可传递信任关系•域树之间的可传递信任关系•公用架构•公用配置信息•公用全局编录组织单位包含在域中的特