旅行者〞克里的部落格

DHCP 自動設定DHCP Client端的TCP/IP設定資料，如果IP位置；預設閘道(GW)、DNS設定、WINS設定...等

DNS   名稱解析

WINS 名稱解析，但僅針對主機名稱的NetBIOS轉換，舊時代(NT4.0 95 98 2000)用

NAP   監控用戶端的電腦健康狀況

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

動態主機設定通訊協定 Dynamic Host Configuration Protocol (DHCP)

DHCPv6 Stateless mode : 不會指派IP給用戶，但是可以指派其他設定給用戶

DHCPv6 Stateful mode   :會指派IP給用戶，包含其他設定

DHCP沒有相容模式

有專屬群組 DHCP admin

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

DHCP領域(Scope)

設定領域來決定IP的範圍指派給用戶，一個領域代表一個子網路，而一個子網路能有多個領域

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

網域名稱系統 Domain name system (DNS)

三種名稱:

1.主機名稱：用於網際網路以及網域內辨識，最多可包含256個字元，支援IPv4以及IPv6，同一空間必須是唯一，但不同空間可以重復，無大小寫區分

完整網域名稱 Fully Qualified Domain Name (FQDN)

2.NetBIOS名稱：只能內部使用，16字元組合，前15個字元跟名稱有關，最後一個字元用來辨識電腦上的服務，為單一名詞，不含網域，不支援IPv6

3.全域名稱：WS2008新功能，可利用Golbal Name區域來解析名稱，目的用來協助企業淘汰舊時代WINS，而WINS在WS2008是功能而不是角色，不支援動態更新，紀錄必須手動新增，只能建立在有授權的DNS伺服器上，且DNS安裝於WS2008的網域控制站，建議為AD整合區域，並設定複寫至樹系上所有DNS伺服器，而所有DNS必須為WS2008，建立前需要指令啟動，CMD下指令：Dnscmd servername /cinfig /enablegolbalnamessupport 1，指令不分大小寫

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

DNS三區域

1.主要區域：表示DNS為該區域之主要來源、授權，如果不是AD整合區域，則主要DNS擁有該資料庫的唯一可讀寫副本，如為AD整合就擁有多個DNS區域，但每一個DNS都必須與AD整合

2.次要區域：在不同DNS上建立，主要目的是提供主要DNS的負載平衡，次要區域的資料為唯讀副本，不能直接修改，需透過區域轉送修改

3.虛設常式：另一區域的主要紀錄副本，目的是要確認DNS為該區授權，但不包含該DNS的紀錄

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

AD整合區域：主要區域以及虛設常式都可以整合，好處是跟DNS區域轉送結合，會自動加密，也提供容錯，當一台DNS故障，則會有其他DNS承接

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

AD複寫三選項

1.樹系中所有DNS伺服器：將區域資料複寫至樹系中所有具DNS服務以及網域控制站身分的WS2003&WS2008

2.網域中所有DNS伺服器：將區域資料複寫至網域中所有具DNS服務以及網域控制站身分的WS2003&WS2008

3.網域中所有網域控制站：WS2000用

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

啟用安全動態更新需求：DNS安裝於網域控制站上，AD整合啟用，區域內容中的動態更新設定為Secure Only

如要管理DNS，則成員必須加入DNS Administrator群組內

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

區域檔案的兩個對應區域

1.正向對應區域：用於主機紀錄解析IP，任何類型的DNS至少有一個正向對應區域檔案，不包含PTR

2.反向對應區域：主要為PTR紀錄，用IP向DNS查詢，而DNS用主機名稱回應，反向對應非必要，用於安全性目的，但是不能只有反向沒有正向

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

DNS內的紀錄資訊

1.A：IPv4的主機紀錄，執行動態更新會自動建立，可手動建立

2.AAAA：IPv6的主機紀錄，執行動態更新會自動建立，可手動

3.PTR：位於反向對應區域，提供IP解析名稱，A以及AAAA建立時也能自動建立，手動建立時可勾選建立關聯PTR建立

4.SOP：紀錄DNS的資訊

5.SRV：辨識AD網域中執行特定服務的伺服器紀錄，SRV內沒有IP資訊，只有名稱，透過服務Netlogon建立，如SRV沒有自動建立，可於服務中重新啟動或者用Cmd下指令，SRV記錄一定要有

Net stop Netlogon

Net start Netlogon

6.NS：用來辨識DNS伺服器

7.MX：用來辨識郵件伺服器，其值越低越優先

8.CHNAME：允許單一伺服器對應多個名稱，EX：如果一台伺服器Svr1有Exchange服務，可建立Exchange的CHNAME對應Svr1的A紀錄，則查詢Exchange或者Svr1都會回應同一個IP

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

唯讀網域控制站(RODCs)：當設定一台RDDCs時也要設定相對應DNS server，不建議在RODCs上設定管理者權限以及認證，以免危害網路環境，(因為設備不是放在總公司)

DNS設定：

1.在RODCs上安裝DNS並設定AD整合

2.允許動態更新

3.設定用戶指向當地DNS server

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

網路存取保護(NAP)：用來確認用戶端電腦健康狀態，如果符合管理者所設定的健康原則就可以瀏覽網路，如不健康則會變導向道有限制的網路，內含補救伺服器，需經由補救伺服器確定安全後才會被導向到安全網路

強制執行四個方法

1.VPN

2.IPSec：電腦之間的通訊相關

3.802.1x ：網際網路相關

4.DHCP：公司內部給予IP相關

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

DHC強制執行需求：DHCP Server必須要WS2008、DHCP必須是一台安裝NPS的代理伺服器或是一台代理伺服器、用戶端必須執行NPS

用戶端執行NPS的作業系統：XP SP3、Vista、WS2008，目前不支援其他廠牌的作業系統，如Linux、MAC