swg網路安全

A. nginx與奇安信SWG的區別

nginx是用C語言寫的，自定義擴展的話，要麼寫C要麼寫luaSWG是java語言的一個框架，
可以在框架上進行代碼的擴展與控制，例如：安全控制，統一異常處理，XXS,SQL注入等；許可權控制，黑白名單，性能監控，日誌列印等；SWG的主要功能有，路由，斷言，過濾器，利用它的這些特性，可以做流控。nginx做網關，更多的是做總流量入口，反向代理，負載均衡等，還可以用來做web伺服器。

B. 誰能給我推薦幾款網路信息安全的軟體

你要的：sniffer （網路搜就有了）

呵呵。 朋友啊，我有些直言，若怪罪，我也接受。

如果你是公司老總，那麼你至少還不成熟，你如果照你說的做了，那麼嚴格的說你違法了，並且你還沒悟到經營之道、管理之道。

如果你是員工，那麼你就有不良的動機了，我也不多說，大家都知道。

如果你是學生或技術員，這個技術希望您好好的研究，做到正道上。

希望大家愉快，再見。

C. 新手請問SWG，BWG，BG，AWG是什麼意思

swg是指標准線規 是GoogleToolbarNotifier 的插件。
Google工具欄的伴隨產品。要啟用工具欄的搜索設置通知程序功能，需要此可執行程序。
BWG，應該是指的伯明翰線規（Birmingham wire gauge)，在這里應該是表示的換熱管壁厚。線規號16相當於壁厚為0.065inch。

BG是Border Gateway的縮寫，是一個通信領域用語。
Border Gateway 邊界網關,用於PLMN間GPRS骨幹網的互連，它應具有基本的安全功能，此外還可以根據運營商之間的漫遊協定增加相關功能。（位於自治域之間的路由器）
查看 BGP邊界網關協議(Border Gateway Protocol)
AWG（American wire gauge）美國線規，是一種區分導線直徑的標准，又被稱為 Brown & Sharpe線規。這種標准化線規系統於1857年起在美國開始使用。AWG前面的數值（如24AWG、26AWG）表示導線形成最後直徑前所要經過的孔的數量，數值越大，導線經過的孔就越多，導線的直徑也就越小。粗導線具有更好的物理強度和更低的電阻，但是導線越粗，製作電纜需要的銅就越多，這會導致電纜更沉、更難以安裝、價格也更貴。電纜設計的挑戰在於使用盡可能小直徑的導線（減小成本和安裝復雜性），而同時保證在必要電壓和頻率之下實現導線的最大容量。

D. 內網用戶連接遠程域伺服器

看一下如何把下面的工作站加入到域。
由於從網路安全性考慮，盡量少的使用域管理員帳號，所以先在域控制器上建立一個委派帳號，登陸到域控制器，運行「dsa.msc」，出現「AD用戶和計算機」管理控制台:
先來新建一個用戶，展開「demo.com」，在「Users」上擊右鍵，點「新建」-「用戶」:
然後出現一個新建用戶的向導，在這里，我新建了一個名為「swg」的用戶，並且把密碼設為「永不過期」。

這樣點「下一步」，直到完成，就可以完成用戶的創建。然後在「demo.com」上點擊右鍵，先擇「委派控制」:
就會出現一個「委派控制向導」:
點擊「下一步」:
點擊中間的「添加」按鈕，並輸入剛剛創建的「swg」帳號:
然後點「確定」:
再點「下一步」:
選擇「將計算機加入到域」，然後點「下一步」:
最後是一個信息核對畫面，要是沒有什麼問題的話，直接點「完成」就可以了。
接下來轉到客戶端，看看怎麼把XP進來，在實驗中採用的客戶端操作系統是Windows XP專業版，需要大家注意的是Windows XP 的Home版由於針對的是家庭用戶，所以不能加入域，大家別弄錯了喲，我們先來設置一下這台XP的網路:
計算機名:TestXP
IP:192.168.5.5
子網掩碼:255.255.225.0
DNS伺服器:192.168.5.1，
設置完網路以後，在「我的電腦」上擊右鍵，選「屬性」，點「計算機名」。
在這里把「隸屬於」改成域，並輸入:「demo.com」，並點確定，這是會出現如下畫面:
輸入剛剛在域控上建的那個「swg」的帳號，點確定就可以進入伺服器起系統

如此循環，有幾台電腦要使用到與伺服器，就建立幾個賬戶。。。重復上邊的伺服器和客戶端的用戶添加就可以了。。。

PS：伺服器2003操作系統為例， 客戶端WINDOWSXP為例

E. 網域控制器的配置問題

看看你設置的這個電腦的網域有沒有錯,這里給你一些參考資料,你看方法對不對.
把一台成員伺服器提升為域控制器
目前很多公司的網路中的PC數量均超過10台:按照微軟的說法，一般網路中的PC數目低於10台，則建議采對等網的工作模式，而如果超過10台，則建議採用域的管理模式，因為域可以提供一種集中式的管理，這相比於對等網的分散管理有非常多的好處，那麼如何把一台成員伺服器提升為域控?我們現在就動手實踐一下:
本篇文章中所有的成員伺服器均採用微軟的Windows Server 2003，客戶端則採用Windows XP。
首先，當然是在成員伺服器上安裝上Windows Server 2003，安裝成功後進入系統，
我們要做的第一件事就是給這台成員伺服器指定一個固定的IP，在這里指定情況如下:
機器名:Server
IP:192.168.5.1
子網掩碼:255.255.255.0
DNS:192.168.5.1(因為我要把這台機器配置成DNS伺服器)
由於Windows Server 2003在默認的安裝過程中DNS是不被安裝的，所以我們需要手動去添加，添加方法如下:「開始—設置—控制面板—添加刪除程序」，然後再點擊「添加/刪除Windows組件」，則可以看到如下畫面:

向下搬運右邊的滾動條，找到「網路服務」，選中:

默認情況下所有的網路服務都會被添加，可以點擊下面的「詳細信息」進行自定義安裝，由於在這里只需要DNS，所以把其它的全都去掉了，以後需要的時候再安裝:

然後就是點「確定」，一直點「下一步」就可以完成整個DNS的安裝。在整個安裝過程中請保證Windows Server 2003安裝光碟位於光碟機中，否則會出現找不到文件的提示，那就需要手動定位了。

安裝完DNS以後，就可以進行提升操作了，先點擊「開始—運行」，輸入「Dcpromo」，然後回車就可以看到「Active Directory安裝向導」
在這里直接點擊「下一步」:

這里是一個兼容性的要求，Windows 95及NT 4 SP3以前的版本無法登陸運行到Windows Server 2003的域控制器，我建議大家盡量採用Windows 2000及以上的操作系統來做為客戶端。然後點擊「下一步」:

在這里由於這是第一台域控制器，所以選擇第一項:「新域的域控制器」，然後點「下一步」:

既然是第一台域控，那麼當然也是選擇「在新林中的域」:

在這里我們要指定一個域名，我在這里指定的是demo.com，

這里是指定NetBIOS名，注意千萬別和下面的客戶端沖突，也就是說整個網路里不能再有一台PC的計算機名叫「demo」，雖然這里可以修改，但個人建議還是採用默認的好，省得以後麻煩。
在這里要指定AD資料庫和日誌的存放位置，如果不是C盤的空間有問題的話，建議採用默認。

這里是指定SYSVOL文件夾的位置，還是那句話，沒有特殊情況，不建議修改:

第一次部署時總會出現上面那個DNS注冊診斷出錯的畫面，主要是因為雖然安裝了DNS，但由於並沒有配置它，網路上還沒有可用的DNS伺服器，所以才會出現響應超時的現像，所以在這里要選擇:「在這台計算機上安裝並配置DNS，並將這台DNS伺服器設為這台計算機的首選DNS伺服器」。

「這是一個許可權的選擇項，在這里，我選擇第二項:「只與Windows 2000或Window 2003操作系統兼容的許可權」，因為在我做實驗的整個環境里，並沒有Windows 2000以前的操作系統存在」

這里是一個重點，還原密碼，希望大家設置好以後一定要記住這個密碼，千萬別忘記了，因為在後面的關於活動目錄恢復的文章上要用到這個密碼的。

這是確認畫面，請仔細檢查剛剛輸入的信息是否有誤，尤其是域名書寫是否正確，因為改域名可不是鬧著玩的，如果有的話可以點上一步進入重輸，如果確認無誤的話，那麼點「下一步」就正式開安裝了:

幾分鍾後，安裝完成:

點完成:
點「立即重新啟動」。

然後來看一下安裝了AD後和沒有安裝的時候有些什麼區別，首先第一感覺就是關機和開機的速度明顯變慢了，再看一下登陸界面:

多出了一個「登陸到」的選擇框:
進入系統後，右鍵點擊「我的電腦」選「屬性」，點「計算機」

怎麼樣?和安裝AD以前不一樣吧，其它的比如沒有本地用戶了，在管理工具里多出么多圖標什麼的，這些將在以後的文章里講述，這里就不再詳談了。

把一台成員伺服器提升為域控制器(二)
在我的上一篇文章中，已經把一台名為Server的成員伺服器提升為了域控制器，那我們現在來看一下如何把下面的工作站加入到域。
由於從網路安全性考慮，盡量少的使用域管理員帳號，所以先在域控制器上建立一個委派帳號，登陸到域控制器，運行「dsa.msc」，出現「AD用戶和計算機」管理控制台:

先來新建一個用戶，展開「demo.com」，在「Users」上擊右鍵，點「新建」-「用戶」:

然後出現一個新建用戶的向導，在這里，我新建了一個名為「swg」的用戶，並且把密碼設為「永不過期」。

這樣點「下一步」，直到完成，就可以完成用戶的創建。然後在「demo.com」上點擊右鍵，先擇「委派控制」:

就會出現一個「委派控制向導」:

點擊「下一步」:

點擊中間的「添加」按鈕，並輸入剛剛創建的「swg」帳號:

然後點「確定」:

再點「下一步」:

在上面的畫面中，暫時不需要讓該用戶去「管理組策略鏈接」，所以在這里，僅僅選擇「將計算機加入到域」，然後點「下一步」:

最後是一個信息核對畫面，要是沒有什麼問題的話，直接點「完成」就可以了。

接下來轉到客戶端，看看怎麼把XP進來，在實驗中採用的客戶端操作系統是Windows XP專業版，需要大家注意的是Windows XP 的Home版由於針對的是家庭用戶，所以不能加入域，大家別弄錯了喲，我們先來設置一下這台XP的網路:
計算機名:TestXP
IP:192.168.5.5
子網掩碼:255.255.225.0
DNS伺服器:192.168.5.1，

設置完網路以後，在「我的電腦」上擊右鍵，選「屬性」，點「計算機名」。

在這里把「隸屬於」改成域，並輸入:「demo.com」，並點確定，這是會出現如下畫面:

輸入剛剛在域控上建的那個「swg」的帳號，點確定:

出現上述畫面就表示成功加入了，然後點確定，點重啟就算OK了。來看一下登陸畫面有沒有什麼不一樣:

看到那個「登陸到」了吧，可以選擇域登陸還是本機登陸了，在這里選擇域「DEMO」，這樣就可以用域用戶進行登陸了。進入系統後，在「我的電腦」上擊右鍵，選「屬性」，點「計算機名」:

看到用黑框標出來的地方和沒有加入到域的時候的區別的吧?
當把下面的客戶端加入到域後，如果域控制器處於關閉狀態或者死機的話，那麼，會發現下面的客戶機無法登陸到域，所以再建立一台域控制器，用來防止其中一台出現意外損壞的情況是很有必要的。後來建立的那台域控制器叫額外域控制器。來看看額外域控制器的建立過程吧:
當然網路設置永遠是在第一步的:
計算機名:Bserver
IP:192.168.5.2
子網掩碼:255.255.255.0
DNS:192.168.5.1
既然是提升為域控制器，那麼DNS組件也是要添加的，添加方法和我的第一篇文章中所定的一樣，這里就不再重復了。添加完成後，同樣是點擊「開始」-「運行」-「dcpromo」:
出現的向導和操作系統兼容性同安裝第一台域控時是一樣的，唯一要注意的是下面的那個畫面:

安裝第一台時選擇的是「新域的域控制器」，這里要選擇的是「現有域的額外域控制器」，然後點「下一步」:

在這里，輸入域的管理員帳號的密碼，在「域」里填入相應域的DNS全名或NetBios名，點「下一步」:

在這里一定要填入現有域的DNS全名，然後再點「下一步」，接下去的操作和安裝第一台域控制器時是一樣的，所以就不再寫下去了，直到完成就可以了。

活動目錄之用戶配置文件
關於域用戶的開設在前面的文章中(如何把一台成員伺服器提升為域控制器(一)、(二))已經涉及過了，所以在這里開設用戶的方法就不再重復了，本篇文章主要向大家介紹一下用戶配置文件。
首先，什麼是用戶配置文件?根據微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統載入所需環境的設置和文件和集合，它包括所有用戶專用的配置設置。用戶配置文件存在於系統的什麼位置呢?那麼用戶配置文件包括哪些內容呢?來給大家看一副截圖:

用戶配置文件的保存位置在:系統盤(一般是C盤)下的「Documents and Settings」文件夾下，有一個和你的登陸用戶名相同的文件夾，該用戶配置文件就保存在這里，順便提示一下，如果本機和域上有一個同名用戶，並且都登陸過的話，那麼就會出現在同名文件夾後面拖後綴的情況，舉個例子:比如在一個域(demo.com)裡面有一台計算機(testxp)，本地有一個swg的帳號，域上也有一個swg的帳號，並且都登陸過這台計算機，那麼會發生如下情況:
本地帳號先登陸:那麼本地的swg的用戶配置文件夾為swg，而域用戶的用戶配置文件夾為swg.demo。
域帳號先登陸:那麼域用戶的用戶配置文件夾為swg，本地用戶的配置文件夾為swg.testxp。
通過上面的截圖，我們可看出，用戶配置文件包括桌面設置、我的文檔、收藏夾、IE設置等一些個性化的配置。另外需要說明的是在「Documents and Settings」文件夾下有一個名為「All Users」的文件夾，如果你在這個文件夾下的「桌面」文件夾下新建一個文件的話，你會發現所有用戶在登陸時的桌面上都有這個文件，所以這個文件夾里的配置是對這台計算機的每個用戶均起作用的。
當網路變成域構架後，所有的域用戶可以在任意一台域內的計算機登陸，當你在一台計算機上的用戶配置文件修改後，你會發現到另一台計算機上登陸時，所有的設置還是原來的，並沒有發生修改，這是因為用戶的配置文件是保存在本地的，不管是域用戶還是本地用戶，都是保存在那台登陸的計算機上。我們可以在「我的電腦」上擊「右鍵」，選「屬性」，點「高級」，然後在「用戶配置文件」里點「設置」:

請注意「類型」里用紅框標出的部分，全部是「本地」，這就說明用戶配置文件保存在本地，那麼如何才能讓用戶的配置文件隨著帳號走，也就是不管用戶在哪台計算機上登陸都能保持用戶配置文件一致呢?為了解決這個問題，就要用到漫遊用戶配置文件，原理就是把用戶配置文件保存在一個網路的公共位置，當用戶在計算機上登陸里，會從網路公共位置把用戶配置文件下載到本地並加以應用，然後當用戶注銷時，會把本地的用戶配置文件同步到網路公共位置，以保證公共位置用戶配置文件的有效性，以便下一次使用。那麼如何來實現這個功能呢?現在就來實踐一下:
首先，要在一個網路的公共位置開設一個共享文件夾，用來存放用戶配置文件，在個實驗里，就在域控制器上開設一個為share的共享文件夾，並開放許可權:

然後，點擊「開始-設置-控制面板-管理工具」，雙擊「AD用戶和計算機」，並選中相應的用戶，這里以「swg」帳號為例:

在「swg」帳號上雙擊，然後選「配置文件」，在「用戶配置文件-配置文件路徑」里輸入:\\192.168.5.1\share\%username%，「192.168.5.1」是域控制器的IP地址，如下圖所示:

然後點確定，接下去就到客戶端去，用「swg」帳號登陸一下，看看會發生什麼變化。

如上圖所示，DEMO\swg的狀態由剛剛的「本地」變成了「漫遊」，此時注銷一下用戶，那麼就會自動的將該用戶的本地用戶配置文件同步到網路公共位置，如果再用「swg」到另外的域內計算機上去登陸的話，會發現所有的用戶配置文件和這台計算機上是一樣的。那麼伺服器上發生了些什麼變化呢?

如上圖所示，伺服器的「share」文件夾里會自動創建一個和用戶名一樣的「swg」文件夾，默認情況下這個文件夾只允許對應的用戶打開:

畫面很熟悉吧?
目前很多公司的IT Pro都有共同的感嘆，就是用戶喜歡把自己的桌面什麼的搞得亂七八糟，雖然通過組策略可以限制掉一部份，但總覺得不是很完善，在這里，向大家推薦使用強制用戶配置文件，用戶可以對自己個人配置文件任意修改，但是一旦注銷後，這些修改將不會被保存，這樣用戶下次登陸里，用戶的配置文件還是保持和原來一樣，那麼如何實現這個功能呢?其實只要將用戶配置文件夾下的「Ntuser.dat」改成「Ntuser.man」就可以了，來看一下修改過程:
首先，在顯示隱藏文件和已知文件的擴展名，可以在「工具-文件夾選項-查看」里進行修改：
~
點「確定」後，就可以在看到那個「Ntuser.dat」文件了，但此時會有一個問題，如果去修改C:\Documents and Settings\swg下的「Ntuser.dat」，會發現根本沒有辦法修改這個文件，因為文件在使用中，無法修改;如果去修改網路公共位置的「Ntuser.dat」，也就是\\192.168.5.1\share\swg下的「Ntuser.dat」，修改當然可以修改，但是由於在「swg」用戶注銷的時候，本地的「Ntuser.dat」會把網路公共位置的「Ntuser.man」覆蓋掉，也就是等於沒有修改。很多人都想直接在伺服器上更改 「swg」文件夾的所有者，然後給管理員帳號添加許可權，這樣就可以直接在伺服器上把「Ntuser.dat」改掉，但本人實踐過幾次，都發現這樣的操作會引起一些許可權無法繼承，而導致出錯的情況，所以不建議大家使用，這里推薦一種方法:
先把「swg」帳號注銷掉，然後用另外一個帳號登陸，比如管理員，當然，如果在登陸成功後直接去訪問\\192.168..5.1\share\swg以試圖修改的話，那麼你將會感到失望，因為還是拒絕訪問的，那麼如何訪問並修改呢，可以這樣操作，「開始-運行-cmd」然後回車，這樣就啟動了命令行，在命令行下輸入:net use \\192.168.5.1 password /user:swg，顯示「命令成功完成」，這樣就利用「swg」和伺服器建立一個連接，此時就可以\\192.168.5.1\share\swg，里進行修改了，

然後再注銷管理員帳號，用「swg」登陸，看看有沒有成功:

看到了吧，類型由「漫遊」變成了「強制」，現在可以在桌面這些地方進行任意的修改，你會發現注銷再登陸，又恢復到了原樣。這種設置在多人使用同一個帳號的情況下非常有用。
最後再請大家注意兩個問題:
1、 在配置強制用戶配置文件時，當用其它用戶登陸修改時，請保證被修改的用戶處於注銷狀態，為什麼?大家不妨自己想一想!
2、 當使用漫遊用戶配置文件時，請不要在桌面等地方存放一些大型的程序或文件，因為用戶在登陸和注銷過程中會下載和上傳配置文件，如果文件過大，會影響登陸和注銷的速度。

F. 單位內部有區域網。單位要搭建域，搭建域伺服器的利弊誰能詳細說明一下

首先介紹一下windows2003的版本
windows2003版本識別分類
1.Windows Server 2003, Standard Edition 標准版:

針對中小型企業的核心產品，他也是支持雙路處理器，4GB的內存。它除了具備 Windows Server 2003 Web Edition 所有功能外，還支持像證書服務、UDDI服務、傳真服務、IAS網際網路驗證服務、可移動存儲、RIS、智能卡、終端服務、WMS和 Services for Macintosh。

支持文件和列印機共享。

提供安全的網路聯接。

2.Windows Server 2003, Enterprise Edition 企業版

這個產品被定義為新一帶高端產品，它最多能夠支持8路處理器，32 GB內存，和28個節點的集群。它是 Windows Server 2003 Standard Edition 的擴展版本，增加了 Metadirectory Services Support、終端服務會話目錄、集群、熱添加（ Hot-Add）內存和 NUMA非統一內存訪問存取技術。這個版本還另外增加了一個支持64位計算的版本。

全功能的操作系統支持多達8個處理器。

提供企業級的功能例如8節點的集群，支持32GB內存。

支持英特爾 安騰Itanium 處理器。

將推出支持64位計算機的版本，可以支持8個64位處理器以及64GB的內存。

3.Windows Server 2003, Datacenter Edition 數據中心

像以往一樣，這是個一直代表微軟產品最高性能的產品，他的市場對象一直定位在最高端應用上，有著極其可靠的穩定性和擴展性能。他支持高達8-32路處理器，64GB的內存、2-8節點的集群。與 Windows Server 2003 Enterprise Edition 相比， Windows Server 2003 Datacenter Edition 增加了一套 Windows Datacenter Program 程序包。這個產品同樣也為另外一個64位版本做了支持。

微軟迄今為止提供的最強大、功能最為強勁的伺服器操作系統。

支持32路處理器和64GB內存。

同時提供8點集群和負載均衡。

將提供64位處理器平台，可支持驚人的64路處理器和512GB的內存。

4.Windows Server 2003, Web Edition Web版

這個版本是專門針對Web服務優化的，它支持雙路處理器，2GB的內存。該產品同時支持ASP.NET、DFS分布式文件系統、EFS文件加密系統、IIS6.0、智能鏡像、ICF網際網路防火牆、IPv6、Mircrosoft.Net Framework、NLB網路負載均衡、PKI、Print Services for UNIX、RDP、遠程OS安裝（非RIS服務）、RSoP策略的結果集、影子拷貝恢復（Shadow Copy Restore)、VPN和WMI命令行模式等功能。Windows Server 2003 Web Edition 唯一和其他版本不同的是它僅能夠在AD域中做成員伺服器，而不能夠做DC域控制器。

可以架構各種網頁應用，XML頁面服務。

IIS 6.0。

輕松迅速開發各種基於 XML以及 ASP.NET服務項目的平台。

5.Windows Server 2003,64-bit Edition 64位版本

專門針對64位處理器 安騰Itanium而開發的版本。

包括兩個版本：

Windows Server 2003 Enterprise Server

64-bit Edition。

Windows Server 2003 Datacenter Server

64-bit Edition。

註：除web版外其餘版本均支持域模式

域可以提供一種集中式管理，這相比於對等網的分散管理有非常多的好處，那麼如何把一台成員伺服器提升為域控，我們用一台Windows Server 2003伺服器進行示例：
首先，當然是在伺服器上安裝上Windows Server 2003，安裝成功後進入系統，
第一件事是給這台成員伺服器指定一個固定的IP，指定情況如下:
機器名:DemoServer
IP:192.168.5.1 （地址隨便寫）
子網掩碼:255.255.255.0
DNS:127.0.0.1 (因為我要把這台機器配置成DNS伺服器)
由於Windows Server 2003在默認的安裝過程中DNS是不被安裝的，所以我們需要手動去添加，添加方法如下:「開始—設置—控制面板—添加刪除程序」，然後再點擊「添加/刪除Windows組件」，找到「網路服務」，選中 （默認情況下所有的網路服務都會被添加，可以點擊下面的「詳細信息」進行自定義安裝，由於在這里只需要DNS，所以把其它的全都去掉，需要的時候再安裝）
安裝完DNS以後，就可以進行提升操作了，先點擊「開始—運行」，輸入「Dcpromo」，然後回車就可以看到「Active Directory安裝向導
按照想到做~
兼容性的要求，Windows 95及NT 4 SP3以前的版本無法登陸運行到Windows Server 2003的域控制器，我建議大家盡量採用Windows 2000及以上的操作系統來做為客戶端。然後點擊「下一步」:

在這里由於這是第一台域控制器，所以選擇第一項:「新域的域控制器」，然後點「下一步既然是第一台域控，那麼當然也是選擇「在新林中的域」
（在這里我們要指定一個域名，我在這里指定的是demo.com ）
這里是指定NetBIOS名，注意千萬別和下面的客戶端沖突，也就是說整個網路里不能再有一台PC的計算機名叫「demo」，雖然這里可以修改，但個人建議還是採用默認的好，省得以後麻煩。在這里要指定AD資料庫和日誌的存放位置，如果不是C盤的空間有問題的話，建議採用默認。 這里是指定SYSVOL文件夾的位置，還是那句話，沒有特殊情況，不建議修改:

第一次部署時總會出現上面那個DNS注冊診斷出錯的畫面，主要是因為雖然安裝了DNS，但由於並沒有配置它，網路上還沒有可用的DNS伺服器，所以才會出現響應超時的現像，所以在這里要選擇:「在這台計算機上安裝並配置DNS，並將這台DNS伺服器設為這台計算機的首選DNS伺服器」。

我選擇第二項:「只與Windows 2000或Window 2003操作系統兼容的許可權」，因為在我做實驗的整個環境里，並沒有Windows 2000以前的操作系統存在」

還原密碼，希望大家設置好以後一定要記住這個密碼，千萬別忘記了，因為在後面的關於活動目錄恢復的文章上要用到這個密碼的。

請仔細檢查剛剛輸入的信息是否有誤，尤其是域名書寫是否正確，因為改域名可不是鬧著玩的，如果有的話可以點上一步進入重輸，如果確認無誤的話，那麼點「下一步」就正式開安裝了大概需要10分鍾左右
點「立即重新啟動」,點完成

登陸到域控制器，運行「dsa.msc」，出現「AD用戶和計算機」管理控制台:

先來新建一個用戶，展開「demo.com」，在「Users」上擊右鍵，點「新建」-「用戶」:

然後出現一個新建用戶的向導，在這里，我新建了一個名為「swg」的用戶，並且把密碼設為「永不過期」。

密碼策略

開始--程序--管理工具--域控安全策略--密碼策略
密碼必須符合復雜性要求（禁用）
最小字元長度（0）
運行--gpupdate(刷新策略）
創建帳戶，無需輸入秘密，因為實驗所以這么改，建議默認密碼策略

把另一台電腦與域控設置成同一網短，dns指向域控這里是192.168.5.1

右鍵--我的電腦--屬性--計算機名-更改--在域的選項中--輸入demo.com
單擊確定，提示輸入用戶~把剛建的swg用戶和密碼輸入，從新啟動電腦，在登錄界面再次輸入swg域用戶和密碼，登錄域控~

註：把所有的防火牆關閉~以免網路不通導致實驗失敗

G. windows server2003提示未安裝tcp ip網路傳輸

我來回答，在WINDOWS平台下域的安裝配置：

把一台成員伺服器提升為域控制器(一)

目前很多公司的網路中的PC數量均超過10台:按照微軟的說法，一般網路中的PC數目低於10台，則建議建議采對等網的工作模式，而如果超過10台，則建議採用域的管理模式，因為域可以提供一種集中式的管理，這相比於對等網的分散管理有非常多的好處，那麼如何把一台成員伺服器提升為域控?我們現在就動手實踐一下:

本篇文章中所有的成員伺服器均採用微軟的Windows Server 2003，客戶端則採用Windows XP。

首先，當然是在成員伺服器上安裝上Windows Server 2003，安裝成功後進入系統，

我們要做的第一件事就是給這台成員伺服器指定一個固定的IP，在這里指定情況如下:

機器名:Server

IP:192.168.5.1

子網掩碼:255.255.255.0

DNS:192.168.5.1(因為我要把這台機器配置成DNS伺服器)

由於Windows Server 2003在默認的安裝過程中DNS是不被安裝的，所以我們需要手動去添加，添加方法如下:「開始—設置—控制面板—添加刪除程序」，然後再點擊「添加/刪除Windows組件」，則可以看到如下畫面:

向下搬運右邊的滾動條，找到「網路服務」，選中:

默認情況下所有的網路服務都會被添加，可以點擊下面的「詳細信息」進行自定義安裝，由於在這里只需要DNS，所以把其它的全都去掉了，以後需要的時候再安裝:

然後就是點「確定」，一直點「下一步」就可以完成整個DNS的安裝。在整個安裝過程中請保證Windows Server 2003安裝光碟位於光碟機中，否則會出現找不到文件的提示，那就需要手動定位了。

安裝完DNS以後，就可以進行提升操作了，先點擊「開始—運行」，輸入「Dcpromo」，然後回車就可以看到「Active Directory安裝向導」

在這里直接點擊「下一步」:

這里是一個兼容性的要求，Windows 95及NT 4 SP3以前的版本無法登陸運行到Windows Server 2003的域控制器，我建議大家盡量採用Windows 2000及以上的操作系統來做為客戶端。然後點擊「下一步」:

在這里由於這是第一台域控制器，所以選擇第一項:「新域的域控制器」，然後點「下一步」:

既然是第一台域控，那麼當然也是選擇「在新林中的域」:

在這里我們要指定一個域名，我在這里指定的是demo.com，

這里是指定NetBIOS名，注意千萬別和下面的客戶端沖突，也就是說整個網路里不能再有一台PC的計算機名叫「demo」，雖然這里可以修改，但個人建議還是採用默認的好，省得以後麻煩。

在這里志要指定AD資料庫和日的存放位置，如果不是C盤的空間有問題的話，建議採用默認。

這里是指定SYSVOL文件夾的位置，還是那句話，沒有特殊情況，不建議修改:

第一次部署時總會出現上面那個DNS注冊診斷出錯的畫面，主要是因為雖然安裝了DNS，但由於並沒有配置它，網路上還沒有可用的DNS伺服器，所以才會出現響應超時的現像，所以在這里要選擇:「在這台計算機上安裝並配置DNS，並將這台DNS伺服器設為這台計算機的首選DNS伺服器」。

「這是一個許可權的選擇項，在這里，我選擇第二項:「只與Windows 2000或Window 2003操作系統兼容的許可權」，因為在我做實驗的整個環境里，並沒有Windows 2000以前的操作系統存在」

這里是一個重點，還原密碼，希望大家設置好以後一定要記住這個密碼，千萬別忘記了，因為在後面的關於活動目錄恢復的文章上要用到這個密碼的。

這是確認畫面，請仔細檢查剛剛輸入的信息是否有誤，尤其是域名書寫是否正確，因為改域名可不是鬧著玩的，如果有的話可以點上一步進入重輸，如果確認無誤的話，那麼點「下一步」就正式開安裝了:

幾分鍾後，安裝完成:

點完成:

點「立即重新啟動」。

然後來看一下安裝了AD後和沒有安裝的時候有些什麼區別，首先第一感覺就是關機和開機的速度明顯變慢了，再看一下登陸界面:

多出了一個「登陸到」的選擇框:

進入系統後，右鍵點擊「我的電腦」選「屬性」，點「計算機」

怎麼樣?和安裝AD以前不一樣吧，其它的比如沒有本地用戶了，在管理工具里多出么多圖標什麼的，這些將在以後的文章里講述，這里就不再詳談了。

把一台成員伺服器提升為域控制器(二)

在我的上一篇文章中，已經把一台名為Server的成員伺服器提升為了域控制器，那我們現在來看一下如何把下面的工作站加入到域。

由於從網路安全性考慮，盡量少的使用域管理員帳號，所以先在域控制器上建立一個委派帳號，登陸到域控制器，運行「dsa.msc」，出現「AD用戶和計算機」管理控制台:

先來新建一個用戶，展開「demo.com」，在「Users」上擊右鍵，點「新建」-「用戶」:

然後出現一個新建用戶的向導，在這里，我新建了一個名為「swg」的用戶，並且把密碼設為「永不過期」。

這樣點「下一步」，直到完成，就可以完成用戶的創建。然後在「demo.com」上點擊右鍵，先擇「委派控制」:

就會出現一個「委派控制向導」:

點擊「下一步」:

點擊中間的「添加」按鈕，並輸入剛剛創建的「swg」帳號:

然後點「確定」:

再點「下一步」:

在上面的畫面中，暫時不需要讓該用戶去「管理組策略鏈接」，所以在這里，僅僅選擇「將計算機加入到域」，然後點「下一步」:

最後是一個信息核對畫面，要是沒有什麼問題的話，直接點「完成」就可以了。

接下來轉到客戶端，看看怎麼把XP進來，在實驗中採用的客戶端操作系統是Windows XP專業版，需要大家注意的是Windows XP 的Home版由於針對的是家庭用戶，所以不能加入域，大家別弄錯了喲，我們先來設置一下這台XP的網路:

計算機名:TestXP

IP:192.168.5.5

子網掩碼:255.255.225.0

DNS伺服器:192.168.5.1，

設置完網路以後，在「我的電腦」上擊右鍵，選「屬性」，點「計算機名」。

在這里把「隸屬於」改成域，並輸入:「demo.com」，並點確定，這是會出現如下畫面:

輸入剛剛在域控上建的那個「swg」的帳號，點確定:

出現上述畫面就表示成功加入了，然後點確定，點重啟就算OK了。來看一下登陸畫面有沒有什麼不一樣:

看到那個「登陸到」了吧，可以選擇域登陸還是本機登陸了，在這里選擇域「DEMO」，這樣就可以用域用戶進行登陸了。進入系統後，在「我的電腦」上擊右鍵，選「屬性」，點「計算機名」:

看到用黑框標出來的地方和沒有加入到域的時候的區別的吧?

當把下面的客戶端加入到域後，如果域控制器處於關閉狀態或者死機的話，那麼，會發現下面的客戶機無法登陸到域，所以再建立一台域控制器，用來防止其中一台出現意外損壞的情況是很有必要的。後來建立的那台域控制器叫額外域控制器。來看看額外域控制器的建立過程吧:

當然網路設置永遠是在第一步的:

計算機名:Bserver

IP:192.168.5.2

子網掩碼:255.255.255.0

DNS:192.168.5.1

既然是提升為域控制器，那麼DNS組件也是要添加的，添加方法和我的第一篇文章中所定的一樣，這里就不再重復了。添加完成後，同樣是點擊「開始」-「運行」-「dcpromo」:

出現的向導和操作系統兼容性同安裝第一台域控時是一樣的，唯一要注意的是下面的那個畫面:

安裝第一台時選擇的是「新域的域控制器」，這里要選擇的是「現有域的額外域控制器」，然後點「下一步」:

在這里，輸入域的管理員帳號的密碼，在「域」里填入相應域的DNS全名或NetBios名，點「下一步」:

在這里一定要填入現有域的DNS全名，然後再點「下一步」，接下去的操作和安裝第一台域控制器時是一樣的，所以就不再寫下去了，直到完成就可以了。至於在兩台域控制器的域環境下，其中一台損壞，如何讓另一台接替工作，我將在以後的文章一一詳解。如果大家在前面的配置中碰到什麼問題，歡迎大家給我發來E-Mail,，我的E-Mail地址是:[email protected]。如果本人的文章中有什麼錯誤之處，也請大家來信指正，謝謝!

活動目錄之用戶配置文件

關於域用戶的開設在前面的文章中(如何把一台成員伺服器提升為域控制器(一)、(二))已經涉及過了，所以在這里開設用戶的方法就不再重復了，本篇文章主要向大家介紹一下用戶配置文件。

首先，什麼是用戶配置文件?根據微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統載入所需環境的設置和文件和集合，它包括所有用戶專用的配置設置。用戶配置文件存在於系統的什麼位置呢?那麼用戶配置文件包括哪些內容呢?來給大家看一副截圖:

用戶配置文件的保存位置在:系統盤(一般是C盤)下的「Documents and Settings」文件夾下，有一個和你的登陸用戶名相同的文件夾，該用戶配置文件就保存在這里，順便提示一下，如果本機和域上有一個同名用戶，並且都登陸過的話，那麼就會出現在同名文件夾後面拖後綴的情況，舉個例子:比如在一個域(demo.com)裡面有一台計算機(testxp)，本地有一個swg的帳號，域上也有一個swg的帳號，並且都登陸過這台計算機，那麼會發生如下情況:

H. windows server 2003怎麼安裝域控制器

為了域控制器，那我們現在來看一下如何把下面的工作站加入到域。
由於從網路安全性考慮，盡量少的使用域管理員帳號，所以先在域控制器上建立一個委派帳號，登陸到域控制器，運行「dsa.msc」，出現「AD用戶和計算機」管理控制台:

先來新建一個用戶，展開「demo.com」，在「Users」上擊右鍵，點「新建」-「用戶」:

然後出現一個新建用戶的向導，在這里，我新建了一個名為「swg」的用戶，並且把密碼設為「永不過期」。

這樣點「下一步」，直到完成，就可以完成用戶的創建。然後在「demo.com」上點擊右鍵，先擇「委派控制」:

就會出現一個「委派控制向導」:

點擊中間的「添加」按鈕，並輸入剛剛創建的「swg」帳號:

在下面的畫面中，暫時不需要讓該用戶去「管理組策略鏈接」，所以在這里，僅僅選擇「將計算機加入到域」，然後點「下一步」:

最後是一個信息核對畫面，要是沒有什麼問題的話，直接點「完成」就可以了。

接下來轉到客戶端，看看怎麼把XP進來，在實驗中採用的客戶端操作系統是Windows XP專業版，需要大家注意的是Windows XP 的Home版由於針對的是家庭用戶，所以不能加入域大家別弄錯了，我們先來設置一下這台XP的網路:
計算機名:TestXP
IP:192.168.5.5
子網掩碼:255.255.225.0
DNS伺服器:192.168.5.1，

設置完網路以後，在「我的電腦」上擊右鍵，選「屬性」，點「計算機名」把「隸屬於」改成域，並輸入:「demo.com」

點確定，這是會出現如下畫面:

輸入剛剛在域控上建的那個「swg」的帳號，點確定，重啟動計算機

啟動機器後看到那個「登陸到」了吧，可以選擇域登陸還是本機登陸了，在這里選擇域「DEMO」，這樣就可以用域用戶進行登陸了。

進入系統後，在「我的電腦」上擊右鍵，選「屬性」，點「計算機名」:看到用黑框標出來的地方和沒有加入到域的時候的區別的吧?

看完這些相信大家明白如何建立域，如何加入域和分配域成員了吧。

I. 下一代防火牆的用途

如果大部分數據都存儲在私有數據中心，那麼使用下一代防火牆（NGFW）和網路訪問控制（NAC）的邊界安全性就是一種重要的數據保護措施。防火牆將防止企業網路之外的用戶接觸到數據，而NAC則負責保證用戶與設備有正確的數據訪問許可權。
另一方面，如果數據目前或將來存儲在雲中，那麼整體架構安全性則應該重要關注於兼容雲平台的安全工具。例如，許多NGFW都支持用虛擬防火牆來兼容雲平台。類似地，網路安全措施還應該注重使用安全的Web網關（SWG）和惡意軟體沙箱來防止網路之間發生數據丟失。此外，這些工具能限制可能滋生惡意軟體的數據在企業網路、各種雲服務提供商及互聯網之間傳輸。許多SWG和惡意軟體沙箱都提供了雲服務，因此它們更適合那些將數據存儲在雲中的企業。

J. 確保組織網路邊界安全,使其免受網路攻擊或入侵以及,

1. 數據丟失防護（DLP）
第一個關鍵構建塊是DLP產品和應用，它們的形式包括硬體設備、軟體應用和基於雲的服務。它們可監控結構化數據（資料庫、電子表格）以及非結構化數據（電子郵件、Word文檔、多媒體文件）以確保只有具有訪問許可權的人可以查看或修改這些信息。假如索尼影業部署有效的DLP系統，他們就可以避免破壞性的攻擊事故。DLP產品供應商包括：Blue Coat Systems、思科、Code Green Networks、GTB Technologies、McAfee、Sophos、賽門鐵克、趨勢科技、Digital Guardian和Websense。DLP產品中的主要功能包括實時性能、全面支持各種文件格式、協議、語言（並非所有文件都是英文）、易於管理和配置，以及有效整合政策。
2. 安全Web網關
與DLP產品一樣，安全Web網關（SWG）的形式包括硬體設備、軟體應用和基於雲的服務。DLP與SWG的區別在於，雖然DLP產品監控企業的資產來抵禦不當的查看、修改或共享，SWG還會流量來抵禦惡意軟體。SWG供應商包括Barracuda、Blue Coat、思科、McAfee、iSheriff、Sophos、賽門鐵克、趨勢科技、Websense和Zscaler。這些產品的主要功能包括實時性能、支持多種協議（IPSex和SSL）、沙箱技術、整合社交媒體以及支持移動設備。
3. 安全分析產品和框架
分析工具是安全信息和事件管理（SIEM）產品市場的產物。與SIEM產品一樣，安全分析工具旨在發現安全事件，最好是在實時。而與這些工具不同的是，現代安全分析工具通常是基於大數據技術，例如Hadoop。它們通常會結合各種設備與產品來提供對企業安全狀態的持續分析。安全分析產品供應商包括Agiliance、Blue Coat、Damballa、FireEye、Guidance Software、HP Arcsight、IBM、Lastline、LogRhythm、McAfee和Splunk。這些產品的主要功能包括與在線數據源的實時整合（保持更新的重要方式）、實時性能和警報，以及修復功能。