以前我们也说过linux服务器配置和管理，但是有的时候呢，我们不得不使用WINDOWS服务器，那么来看看Windows服务器配置与管理，这里介绍了几个常见的WINDOWS服务器搭建方法，有需要的来看看吧。

其实一般来说，我们建议使用linux服务器，毕竟linux服务器它是比win更强一些，从很多方面上来说，是更强一些，但是有的时候吧，咱不得不使用WINDOWS，其实WINDOWS安装这些服务也更简单一些，全是可视化，非常简单。

DHCP服务器

DHCP（动态主机配置协议）的好处：

• 减少管理员的工作量
• 避免输入错误的可能
• 避免IP地址的冲突
• 当网络更改IP地址段时，不需要再重新配置每个用户的IP地址
• 提高了IP地址的利用率
• 方便客户端的配置

DHCP的分配方式：

自动分配：当客户机获取到一个IP地址后，地使用

手动分配：由DHCP服务器管理员专门指定IP地址

动态分配：获取到IP地址后使用完会释放这个IP地址，供其他客户端使用

DHCP的租约过程

• 客户机通过广播（发送DHCP discover包）向DHCP服务器请求IP地址
• 服务器响应（通过广播发送DHCP offer包给客户机进行响应）
• 客户机选择IP地址（客户机选择好IP地址后广播发送DHCP request包给服务器确认）
• 服务器确定租约（广播确认租期）

客户机重启

不需要发送DHCP discover 直接发送带有IP的DHCP request消息

更新租约

IP地址租期达到50%时，需要发送DHCP request包更新地址租约

DHCP服务器的安装要求

• 服务器应具有静态的IP地址
• 在域环境下需要使用活动目录服务器授权DHCP服务
• 建立作用域并激活

在安装DHCP服务之前，需要规划以下信息：

确定发给客户机的IP地址范围

确定正确的子网掩码

保留一些固定的IP地址给打印机服务器等设备使用

决定IP地址的租用期限（默认8天）

维护DHCP服务器

备份DHCP服务器

还原DHCP服务器

监视DHCP服务器

ipconfig /all 显示客户机详细的TCP/IP配置

ipconfig /renew 更新IP地址租约

ipconfig /release 释放获得的IP地址

DNS服务器

DNS（domain name system 域名解析系统）的功能：

将主机名解析成IP地址

具有层次性、分布式管理

DNS的概述：

• 早期使用host文件解析域名
• 主机名称重复
• 主机维护困难

DNS的组成：

• DNS服务器（主机名与相对应IP地址的映射表）
• 域名空间结构

域名空间结构：

• 根域
• 域（组织域、国家/地区域名）
• 二级域名
• FQDN=主机名.DNS后缀

DNS的区域

• Zone是域名空间树形结构的一部分
• 将域名空间根据需要划分为较小区域
• 一台DNS服务器内可存放多个区域文件
• 一个区域所包含的范围在一个域名空间中是连续的

DNS服务器的分类

主要名称服务器

存放该区域中相关设置的DNS服务器

其存放的是区域文件的正本数据

辅助名称服务器

从其他服务器中复制数据（同步）

数据为副本无法修改

主控名称服务器

提供趋于数据复制的DNS服务器

Cache-only名称服务器

只负责查询数据，将查询到的数据保存在高速缓存中

DNS查询过程

其中1、8、9是递归查询

1~5是迭代查询

递归查询：结果只能是成功或者失败

迭代查询：简单查询，当无法解析时返回一个指针，指向别的有可能解析的DNS服务器

查询形式：

正向查询：由域名查找IP地址

反向查询：由IP地址查找域名

配置DNS服务器具备条件：

• 有固定的IP地址
• 安装并启动DNS服务
• 有区域文件，配置转发器或配置根提示

资源记录

SOA（起始授权机构）	定义了该域中的权威名称服务器
NS（名称服务器）	表示了某区域的权威服务器和SQA中指定的该区域的主要服务器和辅助服务器
A（主机）	列出了区域中FQDN（完全合格的域名）到IP地址的映射
PTR（指针）	相对于A资源记录，PTR记录是把IP地址映射到FQDN
MX	邮件交换器记录，为指定的邮件交换主机提供消息路由
SRV（服务）	列出了正在提供特定服务的服务器
CNAME（别名）	将多个名称映射到同一台计算机上，便于访问

管理DNS

子域

对区域中的资源记录进行逻辑分类

委派

区域中的子域过多时维护起来不方便

新建委派可以将子域委派到其他服务器维护

创建子域时，子域的权威域是父区域中的权威域，而在创建委派时需要给新域指定权威服务器

区域传送

将一个区域文件复制到多个DNS服务器的过程

是从主服务器将区域文件的信息复制到辅助服务器上

DNS转发器

具有特殊功能和应用的DNS服务器

对于本服务器查询不了的域名，直接转发查询请求到其他服务器

可以设置条件转发器，进行更的控制

部署WEB服务

WWW（万维网服务）

internet上广泛应用的一种信息服务技术

采用客户机\服务器架构

客户机通过浏览器可以观看服务器上图形化页面

WWW服务软件

APache（UNIX、Linux、Windows） IIS（Windows）

Apache

开源软件，用户免费下载使用，支持UNIX、Linux、Windows等操作系统，特点是简单、高效、性能稳定

IIS

微软公司的web服务产品，提供了一个图形化界面的管理工具，称为internet服务管理器，用于配置和管理internet服务；IIS中包含WEB和FIP服务

IIS相对于以前的改进：

• 集成并支持了HTTP/2协议，允许IIS 10搭建的网站为HTTP/2请求服务
• 在Nano Server中运行和管理IIS 10
• 支持通配符主机名，可以为域部署web服务器，并让其为子域的请求提供服务
• powershell中添加了IIS模块

web站点的物理路径和连接限制

站点的物理路径是存放该站点页面文件的本地或远程路径，默认为“%Systemdrive%\inetpub\wwwroot”

连接限制通过“连接超时”、“大URL段数”、“大并发连接数”和“大带宽”四方面限制站点的网络连接

• 连接超时：是设置服务器在断开与非活动用户的连接之前所需要等待的时间，默认120秒
• 大URL段数：为避免过长的URL影响服务器查询性能，默认为32
• 大并发连接数：限制站点可以接收的大并发连接数，防止系统负荷过重
• 大带宽：限制站点的网络带宽，防止web服务占用过多的网络带影响其他网络服务

默认文档

当用户没有指定要访问的页面文件时，站点使用默认文档来响应用户的请求

虚拟目录

• 通过别名方式挂载到网站根目录下的其他目录
• 将一个网站的文件分散存储在同一台计算机的不同路径或不同计算机中，这种归属网站之下的目录称为虚拟目录

虚拟目录的优点：

• 便于分散管理和维护
• 当数据移动时，不会影响到web站点的逻辑结构

虚拟主机

在一台服务器上运行多个网站，这些网站称为虚拟主机

实现虚拟主机的方式：

• 使用不同的IP地址
• 使用相同的IP地址和不同的TCP端口号
• 使用相同的IP地址相同的TCP端口号，不同的主机名

配置WDS服务

WDS（Windows weployment Services）概述

Windows部署服务（WDS）

主要用于大中型网络的计算机操作系统的批量化部署

WDS主要优势：

• 降低部署的复杂程度及手动安装过程效率低下而付出的成本
• 允许基于网络安装Windows 操作系统
• 可以将Windows映像部署到未安装操作系统的计算机上
• 支持Windows各个版本的混合环境
• 基于标准的Windows server 安装技术（包括Windows PE、.wim文件和基于映像的安装）

WDS工作原理

客户端启动，通过DHCP服务器得到IP地址配置信息

WDS客户端通过广播或DHCP查找WDS服务器

客户端会尝试连接它，并启动特定的启动映像（PE）

WDS部署模式

独立模式

与AD集成模式

独立模式不依赖AD活动目录，不用事先安装AD服务

部署先决条件：

• DHCP服务
• 用户必须是服务器上的本地administrator组的成员
• 需要NTFS文件系统卷来存放映像，存放在非系统卷的卷中
• 网卡支持PXE功能

与AD集成模式，是在域的环境下部署WDS服务的

• DHCP服务
• DNS服务
• AD服务
• 用户必须是服务器上的本地administrator组的成员，若要初始化服务器，必须是domain admins组的成员
• 需要NTFS文件系统卷来存放映像，存放在非系统卷的卷中
• 网卡支持PXE功能

PXE功能：支持计算机通过网络从远程服务器下载映像，并因此支持通过网络启动操作系统

网络准备：建议使用千兆网络

完全无人安装准备：

全自动PXE网刻工具

.GHO系统文件

操作使用软件的IP地址段

部署远程访问服务

RAS（远程访问服务）

1.拨号网络 2.VPN（虚拟专用网）

• 允许客户机通过拨号连接或虚拟专用网连接到公司区域网，访问局域网的内部资源
• 允许公司与公司之间专线访问
• 允许出差员工访问公司局域网

拨号网络组件

• 拨号网络客户端
• 远程访问服务器
• WAN结构
• 远程访问协议（PPP、SLIP、RAS、Microsoft）
• LAN协议

VPN虚拟专用网

穿越公用网络、安全的、点对点的连接

基于公共网络，在两个或两个以上的局域网之间创建传输数据的网络隧道，当数据通过网络隧道时，进行安全的VPN数据加密

VPN的优点：

• 降低成本：节省大量的通信费用，减少人力、物力的维护和安装
• 传输数据安全可靠：VPN采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性
• 连接方便灵活：只需要配置安全连接信息即可
• 安全控制

VPN的组件

• VPN客户端
• VPN服务器
• 隧道
• VPN连接
• 传输互联网络
• 隧道协议（PPTP、L2TP、SSTP、IKEv2）

PPTP（点对点隧道协议）

L2IP（第二层隧道协议）

SSTP（安全套接字隧道协议）

IKEv2（互联网密钥交换协议v2）

NPS（网络策略服务器）

限制用户的登录时间、指定数据传输的加密方式

RADIUS服务器

访问用户账户信息的权限，并可以检查网络访问身份及验证凭据

RADIUS代理

作为RADIUS代理，NPS将身份验证和记账消息转发到其他RADIUS服务器以平衡连接

RADIUS记账

可以将NPS的事件记录到本地日志或Microsoft SQL Server的本地或远程实例

部署PKI与证书服务

PKI（公钥基础设施）

• 通过使用公钥技术和数字签名来确保信息安全
• 由公钥加密技术、数字证书、CA（认证机构）、RA（注册机构）等组成

PKI体系能够实现的功能

• 身份验证
• 数据完整性
• 数据机密性
• 操作的不可否认性

公钥加密技术是PKI的基础

公钥与私钥的关系

• 公钥和私钥是成对生成的，互不相同，互相加密和解密
• 不能根据一个密钥推算出另一个密钥
• 公钥对外公开，私钥只有私钥持有人知道
• 私钥应该由密钥的持有人妥善保管

根据实现的功能不同，可分为数据加密和数字签名

数据加密

• 发送方使用接收方的公钥加密数据
• 接收方使用自己的私钥解密数据
• 数据加密能保证数据的机密性

数字签名

• 对原始数据执行HASH算法得到摘要值
• 发送方用自己私钥加密摘要值
• 将加密的摘要值与原始数据方式给接收方

数字签名保证数据完整性、身份验证和不可否认性

X.509

• 由ITU-T（国际电信联盟）制定的数字证书标准
• 规定了实体鉴别过程中广泛适用的证书和数据接口

PKI协议

SSL

HTTPS

IPSec

什么是证书

• 证书用于保证密钥的合法性
• 证书的主体可以是用户、计算机、服务等
• 证书格式遵循X.509标准

数字证书包含信息

• 使用者的公钥值
• 使用者的标志信息
• 有效期（证书的有效时间）
• 颁发者的标志信息
• 颁发者的数字签名

数字证书由权威公正的第三方机构即CA签发的证书

CA（证书颁发机构）的作用

CA的核心功能是颁发和管理数字证书，具体如下：

• 处理证书申请
• 鉴定申请者是否有资格接收证书
• 证书的发放，即向申请者颁发或拒绝颁发数字证书
• 证书的更新，即接收、处理终用户的数字证书更新请求
• 接收终用户数字证书的查询、撤销
• 产生和发布证书吊销列表（CRL）
• 数字证书的归档
• 密钥归档
• 历史数据归档

部署WSUS服务

WSUS的概述

免费的Windows更新服务管理软件

通过微软官方网站为操作系统和软件分发更新补丁包

WSUS的特点

• 集中管理和更新
• 根据需要有选择性的更新关键性的程序
• 对网络中的客户端进行分组
• 控制更新程序在不同客户端的分况

WSUS常见部署环境

• 简单WSUS部署（一台）
• 多台WSUS服务部署（多台上下游）
• 断开internet下的WSUS服务部署

WSUS规划

管理模式

一集中管理 一分部管理

数据存储

一WSUS数据库主要存储WSUS服务器配置

批准更新

一只有更新经过批准才可以进行后续的安装或检测工作

部署RDS服务

RDS概述

微软公司推出的RDS（远程桌面服务），管理员可以在RDS服务器上集中部署应用程序，以虚拟化的方式为用户提供访问，用户不必在自己的计算机上再次安装应用程序

用户通过远程桌面调用位于RDS服务器上的应用程序时，使用的是服务器的资源

提高了用户的工作效率，有效地节约企业的生产成本，还可以简化IT管理，减少维护成本和复杂度

终端

终端是指与计算机主机相连的用户端设备

常见的终端设备

• 瘦客户机
• PC
• 手机终端

Windows远程桌面服务

• 使用RDP协议
• RemoteApp

使部署在终端服务器上的应用程序能够整合到用户自己的桌面中，如同该应用程序运行在用户的本地计算机上

• RD Web访问

使用户能够通过WWW浏览器访问终端服务器上的应用程序

Citrix XenApp 和 XenDesktop

思杰公司的跨平台桌面虚拟化解决方案，可同时支持Windows、Linux、web、SaaS的虚拟桌面或应用程序，向任何地点、使用任何设备的任何用户交付

会话

• 是一个逻辑
• 它包括一个或多个可提供远程桌面会话的主机（RD会话主机）、具有访问权限的用户组，以及用户配置文件和数据存放的磁盘上位置

RD

允许授权用户通过internet连接到企业局域网的虚拟桌面、remoteApp程序和基于会话的远程桌面

RD授权

可管理连接到远程桌面会话主机服务器或虚拟桌面所需的许可证

NIC组合

允许将多个网卡组合成一个逻辑的网卡，进而提供负载均衡、高可用性和高聚合的带宽