Windows Server 2012 R2網路管理與架站

首先要感謝讀者長久以來的支持與愛護！這一系列書籍仍然採用我一貫的編寫風格，也就是完全站在讀者立場來思考，並且以實務的觀點來編寫這幾本WindowsServer2012R2書籍。我花費了相當多時間在不斷地測試與驗證書中所敘述的內容，並融合多年的教學經驗，以最容易理解的方式將其寫到書內，希望能夠協助你迅速學會WindowsServer2012R2。

本套書的宗旨是希望能夠讓讀者通過書中完整與清楚的實務操作，充分了解WindowsServer2012R2，進而能夠輕鬆地配置WindowsServer2012R2的網路環境，因此書中不但理論解說清楚，而且範例充足。對需要參加微軟認證考試的讀者來說，這套書更是不可或缺的實務參考書籍。

本書由知名的微軟系統工程師資深顧問戴有煒先生傾力編著，是他最新改版升級的WindowsServer2012R2三卷力作中的網路管理與架站篇。

書中延續了作者一貫的寫作風格：大量的系統配置實例兼具理論，完整清晰的操作過程，以簡單易懂的文字進行描述，內容豐富且圖文並茂。本書共分12章，內容包括WindowsServer2012R2網路的基本概念、利用DHCP自動分配IP位址、解析DNS主機名、IIS網站的架設、PKI與SSL網站、WebFarm與網路負載均衡（NLB）、FTP伺服器的搭建、路由器與網橋的配置、網路地址轉換（NAT）、虛擬專用網（VPN）、通過DirectAccess直接訪問內部網路資源以及RADIUS伺服器的搭建。

本書既適合廣大初、中級網路技術人員學習，也適合網路管理和維護人員參考，也可作為高等院校相關專業和技術培訓班的教學用書，還可作為微軟認證考試的參考用書。

第1章WindowsServer2012R2網路的基本概念1

1.1WindowsServer2012R2的網路功能2

1.2TCP/IP通信協定簡介2

1.2.1IP位址3

1.2.2IP分類3

1.2.3子網掩碼5

1.2.4默認網關6

1.2.5私有IP的使用7

1.3IPv6的基本概念7

1.3.1IPv6地址的語法7

1.3.2IPv6地址的分類9

1.3.3IPv6地址的自動設定18

1.4WindowsServer2012R2的管理工具21

第2章利用DHCP自動分配IP位址24

2.1主機IP位址的設定25

2.2DHCP的工作原理26

2.2.1向DHCP伺服器申請IP位址26

2.2.2更新IP位址的租約27

2.2.3AutomaticPrivateIPAddressing（APIPA）28

2.3DHCP伺服器的授權29

2.4DHCP伺服器的安裝與測試30

2.4.1安裝DHCP伺服器角色31

2.4.2DHCP伺服器的授權與解除授權33

2.4.3建立IP作用域34

2.4.4測試客戶端是否可租用到IP位址37

2.4.5客戶端的其他設定39

2.5IP作用域的管理39

2.5.1一個子網只可以建立一個IP作用域40

2.5.2租期該設定多久41

2.5.3建立多個IP作用域42

2.5.4為客戶端保留特定IP位址42

2.5.5篩選客戶端計算機44

2.5.6多台DHCP伺服器的splitscope高可用性45

2.5.7子網延遲配置47

2.5.8DHCP拆分作用域配置嚮導48

2.6DHCP的選項設定50

2.6.1DHCP選項設定的級別50

2.6.2通過策略來分配IP位址與選項52

2.6.3DHCP伺服器處理策略的方式57

2.6.4DHCP的類別選項58

2.7DHCP中繼代理64

2.8超級作用域與多播作用域70

2.8.1超級作用域71

2.8.2多播作用域73

2.9DHCP資料庫的維護74

2.9.1資料庫的備份75

2.9.2資料庫的還原75

2.9.3作用域的協調76

2.9.4將DHCP資料庫移動到其他伺服器77

2.10監視DHCP伺服器的運行77

2.11IPv6地址與DHCPv6的設定80

2.11.1手動設定IPv6地址81

2.11.2DHCPv6的設定83

2.12DHCP故障轉移85

第3章解析DNS主機名93

3.1DNS概述94

3.1.1DNS域名空間94

3.1.2DNS區域96

3.1.3DNS伺服器97

3.1.4“唯快取”伺服器97

3.1.5DNS的查詢模式98

3.1.6反向查詢99

3.1.7動態更新99

3.1.8快取檔案99

3.2DNS伺服器的安裝與客戶端的設定100

3.2.1DNS伺服器的安裝100

3.2.2DNS客戶端的設定101

3.2.3使用HOSTS檔案102

3.3DNS區域的建立104

3.3.1DNS區域的類型104

3.3.2建立主要區域105

3.3.3在主要區域內添加資源記錄108

3.3.4建立輔助區域114

3.3.5建立反向查找區域與反向記錄119

3.3.6子域與委派域123

3.3.7存根區域128

3.4DNS區域的高級設定134

3.4.1更改區域類型與區域檔案名稱134

3.4.2SOA與區域傳送135

3.4.3名稱伺服器的設定136

3.4.4區域傳送的相關設定137

3.5動態更新138

3.5.1啟用DNS伺服器的動態更新功能138

3.5.2DNS客戶端的動態更新設定139

3.5.3DHCP伺服器的DNS動態更新設定142

3.5.4DnsUpdateProxy組143

3.5.5DHCP名稱保護145

3.6“單標籤名稱”解析146

3.6.1自動附加後綴146

3.6.2GlobalNames區域149

3.7求助於其他DNS伺服器152

3.7.1“根提示”伺服器152

3.7.2轉發器設定153

3.8檢查DNS伺服器155

3.8.1監視DNS設定是否正常155

3.8.2利用Nslookup命令來查看記錄156

3.8.3清除快取158

3.9DNS的安全防護——DNSSEC158

3.9.1DNSSEC的基本概念159

3.9.2DNSSEC實例演練160

3.10清除過期記錄172

第4章IIS網站的架設175

4.1環境設定與安裝IIS網站176

4.1.1環境設定176

4.1.2安裝Web伺服器（IIS）178

4.1.3測試IIS網站是否安裝成功179

4.2網站的基本設定180

4.2.1網頁存儲位置與默認主頁180

4.2.2新建default.htm檔案183

4.2.3HTTP重定向184

4.2.4導出設定與使用共享設定185

4.3物理目錄與虛擬目錄186

4.3.1物理目錄實例演練186

4.3.2虛擬目錄實例演練188

4.4建立新網站190

4.4.1利用主機名來標識網站191

4.4.2利用IP位址來標識網站194

4.4.3利用TCP連線埠來標識網站196

4.5網站的安全性198

4.5.1添加或刪除IIS網站的角色服務198

4.5.2驗證用戶名與密碼198

4.5.3通過IP位址來限制連線204

4.5.4通過NTFS或ReFS許可權來增加網頁的安全性208

4.6遠程管理IIS網站與功能委派208

4.6.1IISWeb伺服器的設定209

4.6.2執行管理工作的計算機的設定212

4.7通過WebDAV管理網站上的檔案215

4.7.1網站的設定216

4.7.2WebDAV客戶端的WebDAVRedirector設定219

4.7.3WebDAV客戶端的連線測試220

4.8網站應用程式的設定222

4.8.1ASP.NET應用程式222

4.8.2PHP應用程式227

4.8.3快速安裝應用程式233

4.9網站的其他設定238

4.9.1啟用連線日誌239

4.9.2性能設定239

4.9.3自定義錯誤頁240

4.9.4SMTP電子郵件設定241

第5章PKI與SSL網站242

5.1PKI概述243

5.1.1公鑰加密243

5.1.2公鑰驗證244

5.1.3SSL網站安全連線245

5.1.4伺服器名稱指示（SNI）246

5.2證書頒發機構（CA）概述與根CA的安裝247

5.2.1CA的信任248

5.2.2ADCS的CA種類249

5.2.3安裝ADCS與搭建根CA249

5.3SSL網站證書實例演練257

5.3.1讓網站與瀏覽器計算機信任CA258

5.3.2在網站上建立證書申請檔案259

5.3.3申請證書與下載證書260

5.3.4安裝證書264

5.3.5建立網站的測試網頁266

5.3.6SSL連線測試268

5.4從屬CA的安裝270

5.4.1搭建企業從屬CA270

5.4.2搭建獨立從屬CA271

5.5證書的管理279

5.5.1CA的備份與還原279

5.5.2管理證書模板281

5.5.3自動或手動頒發證書282

5.5.4吊銷證書與CRL283

5.5.5導出與導入網站的證書287

5.5.6續訂證書288

第6章WebFarm與網路負載均衡（NLB）291

6.1WebFarm與網路負載均衡概述292

6.1.1WebFarm的架構292

6.1.2網頁內容的存儲位置294

6.2Windows系統的網路負載均衡概述295

6.2.1WindowsNLB的冗餘容錯功能296

6.2.2WindowsNLB的相關性296

6.2.3WindowsNLB的操作模式297

6.2.4IIS的共享設定303

6.3IISWeb伺服器的WebFarm實例演練303

6.3.1WebFarm的軟硬體需求304

6.3.2準備網路環境與計算機305

6.3.3DNS伺服器的設定306

6.3.4檔案伺服器的設定307

6.3.5Web伺服器Web1的設定309

6.3.6Web伺服器Web2的設定310

6.3.7共享網頁與共享配置311

6.4WindowsNLB群集的高級管理325

第7章FTP伺服器的搭建329

7.1安裝FTP伺服器330

7.1.1測試環境的建立330

7.1.2安裝FTP服務與建立FTP站點331

7.1.3測試FTP站點是否搭建成功336

7.2FTP站點的基本設定338

7.2.1檔案存儲位置338

7.2.2FTP站點的綁定設定339

7.2.3FTP站點的訊息設定340

7.2.4驗證用戶名與許可權設定343

7.2.5查看當前連線的用戶344

7.2.6通過IP位址來限制連線345

7.3物理目錄與虛擬目錄346

7.3.1物理目錄實例演練346

7.3.2虛擬目錄實例演練347

7.4FTP站點的用戶隔離設定349

7.4.1不隔離用戶，但是用戶有自己的主目錄351

7.4.2隔離用戶、有專屬主目錄，但無法訪問全局虛擬目錄353

7.4.3隔離用戶、有專屬主目錄，可以訪問全局虛擬目錄356

7.4.4通過ActiveDirectory來隔離用戶357

7.5具備安全連線功能的FTPoverSSL362

7.6防火牆的FTP設定364

7.6.1FTP主動模式364

7.6.2FTP被動模式366

7.7虛擬主機名369

第8章路由器與網橋的配置371

8.1路由器的原理372

8.1.1一般主機的路由表372

8.1.2路由器的路由表376

8.2設定WindowsServer2012R2路由器380

8.2.1啟用WindowsServer2012R2路由器381

8.2.2查看路由表383

8.2.3添加靜態路由384

8.3篩選進出路由器的數據包387

8.3.1入站篩選器的設定388

8.3.2出站篩選器的設定389

8.4動態路由RIP390

8.4.1RIP路由器概述390

8.4.2啟用RIP路由器392

8.4.3RIP路由接口的設定393

8.4.4RIP路由篩選395

8.4.5與相鄰路由器的互動設定395

8.5網橋的設定396

第9章網路地址轉換（NAT）398

9.1NAT的特色與原理399

9.1.1NAT的網路架構實例圖399

9.1.2NAT的IP位址401

9.1.3NAT的工作原理401

9.2NAT伺服器架設實例演練404

9.2.1路由器、固接式xDSL或電纜數據機環境的NAT設定404

9.2.2非固接式xDSL環境的NAT設定409

9.2.3內部網路包含多個子網415

9.2.4新增NAT網路接口416

9.2.5內部網路的客戶端設定417

9.2.6連線錯誤排除418

9.3DHCP分配器與DNS中繼代理419

9.3.1DHCP分配器419

9.3.2DNS中繼代理420

9.4開放網際網路用戶來連線內部伺服器421

9.4.1連線埠映射421

9.4.2地址映射423

9.5網際網路連線共享（ICS）425

第10章虛擬專用網（VPN）427

10.1虛擬專用網（VPN）概述428

10.1.1VPN的部署場合428

10.1.2遠程訪問協定429

10.1.3驗證協定429

10.1.4VPN協定430

10.2PPTPVPN實例演練434

10.2.1準備好測試環境中的計算機435

10.2.2域控制器的安裝與設定435

10.2.3架設PPTPVPN伺服器436

10.2.4賦予用戶遠程訪問的權利443

10.2.5PPTPVPN客戶端的設定443

10.2.6NetBIOS計算機名稱解析448

10.2.7VPN客戶端為何無法上網——Part1450

10.2.8VPN客戶端為何無法上網——Part2452

10.3L2TPVPN實例演練——預共享密鑰454

10.4L2TPVPN實例演練——計算機證書456

10.4.1建立初始測試環境456

10.4.2安裝企業根CA457

10.4.3L2TPVPN伺服器的設定457

10.4.4L2TPVPN客戶端的設定460

10.4.5測試L2TPVPN連線463

10.5SSTPVPN實例演練465

10.5.1建立初始測試環境465

10.5.2安裝企業根CA465

10.5.3SSTPVPN伺服器的設定467

10.5.4SSTPVPN客戶端的設定476

10.5.5測試SSTPVPN連線477

10.6IKEv2VPN實例演練——用戶驗證480

10.6.1建立初始測試環境480

10.6.2安裝企業根CA480

10.6.2IKEv2VPN伺服器的設定485

10.6.4IKEv2VPN客戶端的設定489

10.6.5測試IKEv2VPN連線490

10.7IKEv2VPN實例演練——計算機驗證494

10.7.1IKEv2VPN伺服器的設定494

10.7.2IKEv2VPN客戶端的設定494

10.8站點對站點PPTPVPN實例演練497

10.8.1請求撥號498

10.8.2A網路VPN伺服器的設定499

10.8.3B網路VPN伺服器的設定505

10.8.4測試請求撥號功能是否正常507

10.8.5設定請求撥號篩選器與撥出時間508

10.9站點對站點L2TPVPN——預共享密鑰509

10.9.1建立初始測試環境509

10.9.2由VPNS1通過請求撥號來發起連線到VPNS2509

10.9.3由VPNS2通過請求撥號來發起連線到VPNS1511

10.10站點對站點L2TPVPN——計算機證書513

10.10.1建立初始測試環境514

10.10.2在Server1上安裝獨立根CA514

10.10.3VPN伺服器VPNS1的設定514

10.10.4VPN伺服器VPNS2的設定515

10.10.5測試採用計算機證書的站點對站點L2TPVPN516

10.11利用瀏覽器申請計算機證書517

10.11.1VPN伺服器所需的計算機證書518

10.11.2利用瀏覽器申請計算機證書518

10.11.3將證書遷移到計算機證書存儲區域523

10.12網路策略526

10.12.1新建網路策略528

10.12.2是否接受連線的詳細流程533

第11章通過DirectAccess直接訪問內部網路資源536

11.1DirectAccess概述537

11.2DirectAccess實例演練1——內部網路僅包含IPv4主機541

11.2.1準備好測試環境中的網路環境541

11.2.2準備好測試環境中的計算機545

11.2.3域控制器的安裝與設定546

11.2.4資源伺服器APP1的設定547

11.2.5DirectAccess客戶端Win8PC1的設定548

11.2.6在DC1針對DirectAccess客戶端建立安全組549

11.2.7將DirectAccess伺服器加入域550

11.2.8DNS與DHCP伺服器SERVER1的設定551

11.2.9客戶端Win8PC1的基本網路功能測試552

11.2.10在DirectAccess伺服器DA1安裝與設定“遠程訪問”553

11.2.11將客戶端Win8PC1移動到內部網路來套用組策略設定560

11.2.12將客戶端Win8PC1移動到網際網路來測試DirectAccess563

11.3DirectAccess實例演練2——客戶端位於NAT之後568

11.4DirectAccess實例演練3——內部網路包含IPv4與IPv6主機573

11.4.1準備好測試環境中的計算機574

11.4.2域控制器DC1的設定575

11.4.3資源伺服器APP1的設定584

11.4.4IPv4資源伺服器APP2的設定587

11.4.5DirectAccess伺服器DA1的設定589

11.4.6將客戶端Win8PC1移動到內部網路來套用組策略設定600

11.4.7將客戶端Win8PC1移動到網際網路來測試DirectAccess603

11.4.8將客戶端Win8PC1移動到客戶網路來測試DirectAccess609

11.4.9啟用對Windows7客戶端的支持614

第12章RADIUS伺服器的搭建616

12.1RADIUS概述617

12.1.1RADIUS伺服器617

12.1.2RADIUS代理伺服器618

12.2安裝網路策略伺服器（NPS）619

12.2.1安裝網路策略伺服器（NPS）620

12.2.2登錄網路策略伺服器622

12.3RADIUS伺服器與客戶端的設定623

12.3.1RADIUS伺服器的設定623

12.3.2RADIUS客戶端的設定625

12.4RADIUS代理伺服器的設定627

12.4.1連線請求策略627

12.4.2建立遠程RADIUS伺服器組629

12.4.3修改RADIUS伺服器組的設定629