Active Directory 管理工的問題，透過圖書和論文來找解法和答案更準確安心。 我們找到下列懶人包和總整理

Windows Server 2016 Active Directory配置指南

為了解決Active Directory 管理工的問題，作者戴有煒 這樣論述：

本書由臺灣知名的微軟技術專家戴有煒先生傾力編著，是他最新推出的Windows Server 2016三卷力作中的Active Directory配置指南篇。   本書延續了作者的一貫寫作風格：大量的實例演示兼具理論，以及完整清晰的操作過程，以簡單易懂的文字進行描述，內容豐富，圖文並茂。本書共分13章，內容包括Active Directory域服務、建立AD DS域、域用戶與組賬戶的管理、利用組策略管理用戶工作環境、利用組策略部署軟件、限制軟件的運行、建立域樹和林、管理域和林信任、AD DS數據庫的複製、操作主機的管理、AD DS的維護、將資源發佈到AD DS以及自動信任根CA。   本書面向廣

大初、中級網絡技術人員、網絡管理和維護人員，也可作為高等院校相關專業和技術培訓班的教學用書，同時可以作為微軟認證考試的參考用書。 第1章    Active Directory域服務（AD DS） 1 1.1    Active Directory域服務概述 2 1.1.1    Active Directory域服務的適用範圍（Scope） 2 1.1.2    名稱空間（Namespace） 2 1.1.3    對象（Object）與屬性（Attribute） 3 1.1.4    容器（Container）與組織單位（Organization Units，O

U） 3 1.1.5    域樹（Domain Tree） 4 1.1.6    信任（Trust） 5 1.1.7    林（Forest） 5 1.1.8    架構（Schema） 6 1.1.9    域控制器（Domain Controller） 6 1.1.10    只讀域控制器（RODC） 7 1.1.11    可重啟的AD DS（Restartable AD DS） 9 1.1.12    Active Directory回收站 9 1.1.13    AD DS的複製模式 9 1.1.14    域中的其他成員計算機 10 1.

1.15    DNS服務器 11 1.1.16    輕型目錄訪問協議（LDAP） 11 1.1.17    全局編錄（Global Catalog） 12 1.1.18    站點（Site） 12 1.1.19    目錄分區（Directory Partition） 13 1.2    域功能級別與林功能級別 14 1.2.1    域功能級別（Domain Functionality Level） 14 1.2.2    林功能級別（Forest Functionality Level） 14 1.3    Active Directory輕型目錄服務

15   第2章    建立AD DS域 17 2.1    建立AD DS域前的準備工作 18 2.1.1    選擇適當的DNS域名 18 2.1.2    準備好一台支持AD DS的DNS服務器 18 2.1.3    選擇AD DS數據庫的存儲位置 20 2.2    建立AD DS域 21 2.3    確認AD DS域是否正常 27 2.3.1    檢查DNS服務器內的記錄是否完備 27 2.3.2    排除註冊失敗的問題 30 2.3.3    檢查AD DS數據庫文件與SYSVOL文件夾 30 2.3.4    新增的管理工

具 32 2.3.5    查看事件日誌文件 33 2.4    提升域與林功能級別 33 2.5    新建額外域控制器與RODC 34 2.5.1    安裝額外域控制器 35 2.5.2    利用安裝媒體來安裝額外域控制器 40 2.5.3    更改RODC的委派與密碼複制策略設置 42 2.6    RODC階段式安裝 44 2.6.1    建立RODC賬戶 44 2.6.2    將服務器附加到RODC賬戶 48 2.7    將Windows計算機加入或脫離域 51 2.7.1    將Windows計算機加入域 52 2.7.

2    利用已加入域的計算機登錄 55 2.7.3    離線加入域 57 2.7.4    脫離域 58 2.8    在域成員計算機內安裝AD DS管理工具 59 2.9    刪除域控制器與域 61   第3章    域用戶與組賬戶的管理 66 3.1    管理域用戶賬戶 67 3.1.1    創建組織單位與域用戶賬戶 68 3.1.2    用戶登錄賬戶 69 3.1.3    創建UPN後綴 70 3.1.4    賬戶的常規管理工作 72 3.1.5    域用戶賬戶的屬性設置 73 3.1.6    搜索用戶賬戶 75

3.1.7    域控制器之間數據的複製 80 3.2    一次同時新建多個用戶賬戶 81 3.2.1    利用csvde.exe來新建用戶賬戶 82 3.2.2    利用ldifde.exe來新建、修改與刪除用戶賬戶 83 3.2.3    利用dsadd.exe等程序添加、修改與刪除用戶賬戶 84 3.3    域組賬戶 86 3.3.1    域內的組類型 86 3.3.2    組的作用域 86 3.3.3    域組的創建與管理 88 3.3.4    AD DS內置的組 88 3.3.5    特殊組賬戶 90 3.4    組的

使用原則 91 3.4.1    A、G、DL、P原則 91 3.4.2    A、G、G、DL、P原則 91 3.4.3    A、G、U、DL、P原則 92 3.4.4    A、G、G、U、DL、P原則 92   第4章    利用組策略管理用戶工作環境 93 4.1    組策略概述 94 4.1.1    組策略的功能 94 4.1.2    組策略對象 95 4.1.3    策略設置與首選項設置 98 4.1.4    組策略的應用時機 98 4.2    策略設置實例演練 99 4.2.1    策略設置實例演練一：計算機配置

99 4.2.2    策略設置實例演練二：用戶配置 102 4.3    首選項設置實例演練 105 4.3.1    首選項設置實例演練一 105 4.3.2    首選項設置實例演練二 109 4.4    組策略的處理規則 112 4.4.1    一般的繼承與處理規則 112 4.4.2    例外的繼承設置 113 4.4.3    特殊的處理設置 116 4.4.4    更改管理GPO的域控制器 120 4.4.5    更改組策略的應用間隔時間 122 4.5     利用組策略來管理計算機與用戶環境 124 4.5.1   

計算機配置的管理模板策略 124 4.5.2    用戶配置的管理模板策略 126 4.5.3    賬戶策略 127 4.5.4    用戶權限分配策略 130 4.5.5    安全選項策略 132 4.5.6    登錄/注銷、啟動/關機腳本 133 4.5.7    文件夾重定向 136 4.6    利用組策略限制訪問可移動存儲設備 142 4.7    WMI篩選器 144 4.8    組策略建模與組策略結果 149 4.9    組策略的委派管理 154 4.9.1    站點、域或組織單位的GPO鏈接委派 155 4.9.2 

  編輯GPO的委派 155 4.9.3    新建GPO的委派 156 4.10    StarterGPO的設置與使用 157   第5章    利用組策略部署軟件 159 5.1    軟件部署概述 160 5.1.1    將軟件分配給用戶 160 5.1.2    將軟件分配給計算機 160 5.1.3    將軟件發佈給用戶 160 5.1.4    自動修復軟件 161 5.1.5    刪除軟件 161 5.2    將軟件發佈給用戶 161 5.2.1    發佈軟件 161 5.2.2    客戶端安裝被發佈的軟件 16

4 5.2.3    測試自動修復軟件的功能 165 5.2.4    取消已發佈的軟件 166 5.3    將軟件分配給用戶或計算機 167 5.3.1    分配給用戶 167 5.3.2    分配給計算機 168 5.4    將軟件升級 168 5.5    部署Adobe Acrobat 172 5.5.1    部署基礎版 172 5.5.2    部署更新程序 174   第6章    限制軟件的運行 177 6.1    軟件限制策略概述 178 6.1.1    哈希規則 178 6.1.2    證書規則 178

6.1.3    路徑規則 179 6.1.4   網絡區域規則 179 6.1.5    規則的優先級 179 6.2    啟用軟件限制策略 180 6.2.1    建立哈希規則 181 6.2.2    建立路徑規則 183 6.2.3    建立證書規則 185 6.2.4    建立網絡區域規則 188 6.2.5    不要將軟件限制策略應用到本地系統管理員 188   第7章    建立域樹與林 190 7.1    建立第一個域 191 7.2    建立子域 191 7.3    建立林中的第二個域樹 198 7.

3.1    選擇適當的DNS架構 198 7.3.2    建立第二個域樹 200 7.4    刪除子域與域樹 206 7.5    更改域控制器的計算機名稱 210   第8章     管理域與林信任 214 8.1    域與林信任概述 215 8.1.1    信任域與受信任域 215 8.1.2    跨域訪問資源的流程 215 8.1.3    信任的種類 218 8.1.4    建立信任前的注意事項 221 8.2    建立快捷方式信任 223 8.3    建立林信任 229 8.3.1    建立林信任前的注意事項 2

29 8.3.2    開始建立林信任 230 8.3.3    選擇性身份驗證設置 238 8.4    建立外部信任 240 8.5    管理與刪除信任 242 8.5.1    信任的管理 242 8.5.2    信任的刪除 244   第9章    AD DS數據庫的複製 247 9.1    站點與AD DS數據庫的複製 248 9.1.1    同一個站點之間的複製 248 9.1.2    不同站點之間的複製 250 9.1.3    目錄分區與複制拓撲 251 9.1.4    複製通信協議 251 9.2    默認

站點的管理 252 9.2.1    默認的站點 252 9.2.2    Servers文件夾與複製設置 253 9.3    利用站點來管理AD DS複製 256 9.3.1    建立站點與子網 257 9.3.2    建立站點鏈接 259 9.3.3    將域控制器移動到所屬的站點 261 9.3.4    指定首選的bridgehead服務器 262 9.3.5    站點鏈接與AD DS數據庫的複製設置 264 9.3.6    站點鏈接橋 265 9.3.7    站點鏈接橋的兩個範例討論 267 9.4    管理全局編錄服務器

269 9.4.1    向全局編錄內添加屬性 270 9.4.2    全局編錄的功能 270 9.4.3    通用組成員緩存 272 9.5    解決AD DS複製衝突的問題 274 9.5.1    屬性標記 274 9.5.2    衝突的種類 274   第10章    操作主機的管理 278 10.1    操作主機概述 279 10.1.1    架構操作主機 279 10.1.2    域命名操作主機 279 10.1.3    RID操作主機 280 10.1.4    PDC模擬器操作主機 280 10.1.5 

  基礎結構操作主機 283 10.2    操作主機的放置優化 284 10.2.1    基礎結構操作主機的放置 284 10.2.2    PDC模擬器操作主機的放置 284 10.2.3    林級別操作主機的放置 285 10.2.4    域級別操作主機的放置 285 10.3   找出扮演操作主機角色的域控制器 286 10.3.1    利用管理控制台找出扮演操作主機的域控制器 286 10.3.2    利用命令找出扮演操作主機的域控制器 288 10.4    轉移操作主機角色 289 10.4.1    利用管理控制台 290

10.4.2    利用Windows PowerShell命令 292 10.5    奪取操作主機角色 293 10.5.1    操作主機停擺所造成的影響 293 10.5.2    奪取操作主機角色實例演練 295   第11章    AD DS的維護 297 11.1    系統狀態概述 298 11.1.1    AD DS數據庫 298 11.1.2   SYSVOL文件夾 299 11.2    備份AD DS 299 11.2.1    安裝Windows Server Backup功能 299 11.2.2   備份系統狀態 30

0 11.3    還原AD DS 303 11.3.1    進入目錄服務修復模式的方法 303 11.3.2    執行AD DS的非授權還原 304 11.3.3    針對被刪除的AD DS對象執行授權還原 309 11.4    AD DS數據庫的移動與整理 312 11.4.1    可重新啟動的AD DS（Restartable AD DS） 313 11.4.2    移動AD DS數據庫文件 313 11.4.3    重整AD DS數據庫 317 11.5    重置“目錄服務修復模式”的系統管理員密碼 320 11.6    更改可

重新啟動的AD DS的登錄設置 321 11.7    Active Directory回收站 322   第12章    將資源發佈到AD DS 326 12.1    將共享文件夾發佈到AD DS 327 12.1.1  利用Active Directory用戶和計算機控制台 327 12.1.2    利用計算機管理控制台 329 12.2    查找AD DS內的資源 329 12.2.1    通過網絡 330 12.2.2    通過Active Directory用戶和計算機控制台 331 12.3    將共享打印機發佈到AD DS 33

2 12.3.1    發佈打印機 332 12.3.2    通過AD DS查找共享打印機 333 12.3.3    利用打印機位置來查找打印機 333   第13章    自動信任根CA 338 13.1    自動信任CA的設置準則 339 13.2    自動信任內部的獨立CA 339 13.2.1    下載獨立根CA的證書並保存 340 13.2.2    將CA證書導入到受信任的根證書頒發機構 341 13.3    自動信任外部的CA 344 13.3.1    下載獨立根CA的證書並保存 344 13.3.2    建立證書信

任列表（CTL） 347   附錄A    AD DS與防火牆 35 A.1    AD DS相關的端口 352 A.1.1    將客戶端計算機加入域、用戶登錄時會用到的端口 352 A.1.2    計算機登錄時會用到的端口 353  

Windows Server 2016網路管理與架站

為了解決Active Directory 管理工的問題，作者戴有煒 這樣論述：

本書是微軟系統資深工程師顧問戴有煒先生最新改版升級的Windows Server 2016三卷力作中的網路管理與架站篇。 書中秉承了作者的 一貫寫作風格：大量的網路管理與架站實例兼具扎實的理論，以及完整清晰的操作過程，以簡單易懂的文字進行描述，內容豐富且圖文並茂。作者將多年的實戰經驗 通過12章內容講述，主要包括Windows Server 2016網路的基本概念、利用DHCP自動分配IP位址、解析DNS主機名稱、IIS網站的架設、PKI與SSL網站、Web Farm與網路負載均衡（NLB）、FTP伺服器的搭建、路由器與橋接器的配置、網路位址轉譯（NAT）、虛擬私人網路（VPN）、通過 Di

rectAccess直接訪問內部網路資源以及RADIUS伺服器的搭建。 本書既適合廣大初、中級網路技術人員學習，也適合網路管理和維護人員參考，也可作為高等院校相關專業和技術培訓班的教學用書，還可作為微軟認證考試的參考用書。 戴有煒，台灣微軟認證系統工程師(MCSE)，微軟認證講師(MCT)，微軟資深顧問。歷任IT部門主管、研發部門主管、技術總監、講師等。精通Windows Server技術，Windows Server系列暢銷書作者。 第1章 Windows Server 2016基本網路概念 1 1.1 Windows Server 2016

的網路功能 2 1.2 TCP/IP通信協議簡介 2 1.2.1 IP地址 3 1.2.2 IP分類 3 1.2.3 子網路遮罩 5 1.2.4 預設閘道器 6 1.2.5 私有IP位址的使用 7 1.3 IPv6基本概念 7 1.3.1 IPv6位址的語法 7 1.3.2 IPv6地址的分類 9 1.3.3 IPv6位址的自動設置 18 1.4 Windows Server 2016的管理工具 21 第2章 利用DHCP自動分配IP位址 24 2.1 主機IP位址的設置 25 2.2 DHCP的工作原理 26 2.2.1 向DHCP伺服器申請IP地址 26 2.2.2 更新IP位址的租約 2

7 2.2.3 Automatic Private IP Addressing 28 2.3 DHCP伺服器的授權 29 2.4 DHCP伺服器的安裝與測試 30 2.4.1 安裝DHCP伺服器角色 31 2.4.2 DHCP伺服器的授權、撤銷授權 33 2.4.3 建立IP作用域 34 2.4.4 測試用戶端是否可以租用到IP位址 36 2.4.5 用戶端的備用設置 37 2.5 IP作用域的管理 38 2.5.1 一個子網只可以建立一個IP作用域 38 2.5.2 租期該設置多久 39 2.5.3 建立多個IP作用域 40 2.5.4 保留特定的IP位址給用戶端 41 2.5.5 篩選用戶

端電腦 42 2.5.6 多台DHCP伺服器的split scope高可用性 43 2.5.7 子網延遲設置 45 2.5.8 DHCP拆分作用域配置嚮導 46 2.6 DHCP的選項設置 48 2.6.1 DHCP選項設置的級別 48 2.6.2 通過策略分配IP位址與選項 50 2.6.3 DHCP伺服器處理策略的方式 53 2.6.4 DHCP的類別選項 54 2.7 DHCP中繼代理 59 2.8 超級作用域與多播作用域 65 2.8.1 超級作用域 65 2.8.2 多播作用域 67 2.9 DHCP資料庫的維護 68 2.9.1 資料庫的備份 69 2.9.2 資料庫的還原 69

2.9.3 作用域的協調 70 2.9.4 將DHCP資料庫移動到其他的伺服器 70 2.10 監視DHCP伺服器的運行 71 2.11 IPv6位址與DHCPv6的設置 73 2.11.1 手動設置IPv6位址 74 2.11.2 DHCPv6的設置 75 2.12 DHCP容錯移轉 77 第3章 解析DNS主機名稱 84 3.1 DNS概述 85 3.1.1 DNS功能變數名稱空間 85 3.1.2 DNS區域 87 3.1.3 DNS伺服器 88 3.1.4 “唯緩存”伺服器 88 3.1.5 DNS的查詢模式 89 3.1.6 反向查詢 90 3.1.7 動態更新 90 3.1.8 快

取檔案 90 3.2 DNS伺服器的安裝與用戶端的設置 91 3.2.1 DNS伺服器的安裝 91 3.2.2 DNS用戶端的設置 92 3.2.3 使用HOSTS檔 93 3.3 建立DNS區域 95 3.3.1 DNS區域的類型 95 3.3.2 建立主要區域 96 3.3.3 在主要區域內新建資源記錄 98 3.3.4 新建輔助區域 104 3.3.5 建立反向查找區域與反向記錄 108 3.3.6 子域與委派域 112 3.3.7 存根區域 116 3.4 DNS區域的高級配置 122 3.4.1 更改區欄位型別與區域檔案名 122 3.4.2 SOA與區域傳輸 122 3.4.3 名

稱伺服器的設置 124 3.4.4 區域傳輸的相關設置 125 3.5 動態更新 126 3.5.1 啟用DNS伺服器的動態更新功能 126 3.5.2 DNS用戶端的動態更新設置 126 3.5.3 DHCP伺服器的DNS動態更新設置 130 3.5.4 DnsUpdateProxy組 131 3.5.5 DHCP名稱保護 132 3.6 “單標籤名稱”解析 133 3.6.1 自動附加尾碼 134 3.6.2 GlobalNames區域 136 3.7 求助於其他DNS伺服器 139 3.7.1 “根提示”伺服器 139 3.7.2 轉發器的設置 140 3.8 檢測DNS伺服器 142

3.8.1 監視DNS配置是否正常 142 3.8.2 利用nslookup命令查看記錄 142 3.8.3 清除DNS緩存 144 3.9 DNS的安全防護——DNSSEC 145 3.9.1 DNSSEC基本概念 145 3.9.2 DNSSEC實例演練 147 3.10 清除過期記錄 158 第4章 架設IIS網站 161 4.1 環境設置與安裝IIS 162 4.1.1 環境設置 162 4.1.2 安裝“Web伺服器（IIS）” 164 4.1.3 測試IIS網站是否安裝成功 164 4.2 網站的基本設置 166 4.2.1 網頁存儲位置與預設首頁 166 4.2.2 新建defa

ult.htm文件 168 4.2.3 HTTP重定向 169 4.2.4 匯出配置與使用共用配置 170 4.3 物理目錄與虛擬目錄 171 4.3.1 物理目錄實例演練 172 4.3.2 虛擬目錄實例演練 173 4.4 建立新網站 175 4.4.1 利用主機名稱來識別網站 176 4.4.2 利用IP位址來識別網站 179 4.4.3 利用TCP埠來識別網站 181 4.5 網站的安全性 182 4.5.1 添加或刪除IIS網站的角色服務 182 4.5.2 驗證使用者的名稱與密碼 183 4.5.3 通過IP位址來限制連接 188 4.5.4 通過NTFS 或ReFS許可權來增加網

頁的安全性 192 4.6 遠端系統管理IIS網站與功能委派 192 4.6.1 IIS Web伺服器的設置 192 4.6.2 執行管理工作的電腦的設置 196 4.7 通過WebDAV來管理網站上的文件 198 4.7.1 網站的設置 198 4.7.2 WebDAV用戶端的WebDAV Redirector設定 201 4.7.3 WebDAV用戶端的連接測試 202 4.8 ASP.NET、PHP應用程式的設置 205 4.8.1 ASP.NET應用程式 205 4.8.2 PHP應用程式 208 4.9 網站的其他設置 213 4.9.1 啟用連接日誌 213 4.9.2 性能設置

213 4.9.3 自訂錯誤消息頁面 214 4.9.4 SMTP電子郵件設定 215 第5章 PKI與SSL網站 216 5.1 PKI概述 217 5.1.1 公開金鑰加密法 217 5.1.2 公開金鑰驗證法 218 5.1.3 SSL網站安全連接 219 5.1.4 伺服器名稱指示（SNI） 220 5.2 憑證授權單位（CA）概述與根CA的安裝 221 5.2.1 CA的信任 222 5.2.2 AD CS的CA種類 222 5.2.3 安裝AD CS與架設根CA 223 5.3 SSL網站證書實例演練 230 5.3.1 讓網站與流覽器電腦信任CA 231 5.3.2 在網站上建立

證書申請文件 231 5.3.3 證書的申請與下載 232 5.3.4 安裝證書 236 5.3.5 建立網站的測試網頁 238 5.3.6 SSL連接測試 240 5.4 從屬CA的安裝 241 5.4.1 搭建企業從屬CA 242 5.4.2 搭建獨立從屬CA 243 5.5 證書的管理 250 5.5.1 CA的備份與還原 250 5.5.2 管理憑證範本 251 5.5.3 自動或手動頒發證書 253 5.5.4 吊銷證書與CRL 253 5.5.5 匯出與導入網站的證書 257 5.5.6 更新證書 258 第6章 Web Farm與網路負載均衡 261 6.1 Web Farm與網

路負載均衡概述 262 6.1.1 Web Farm的架構 262 6.1.2 網頁內容的存儲位置 263 6.2 Windows系統的網路負載均衡概述 265 6.2.1 Windows NLB的冗余容錯功能 266 6.2.2 Windows NLB的相關性 266 6.2.3 Windows NLB的操作模式 267 6.2.4 IIS的共用設置 273 6.3 IIS Web伺服器的Web Farm實例演練 273 6.3.1 Web Farm的軟硬體需求 274 6.3.2 準備網路環境與電腦 275 6.3.3 DNS伺服器的設置 276 6.3.4 檔案伺服器的設置 277 6.

3.5 Web伺服器Web1的設置 279 6.3.6 Web伺服器Web2的設置 280 6.3.7 共用網頁與共用配置 281 6.3.8 建立Windows NLB群集 289 6.4 Windows NLB群集的進階管理 295 第7章 FTP伺服器的搭建 299 7.1 安裝FTP伺服器 300 7.1.1 測試環境的建立 300 7.1.2 安裝FTP服務與建立FTP網站 301 7.1.3 測試FTP網站是否搭建成功 306 7.2 FTP網站的基本設置 308 7.2.1 檔存儲位置 308 7.2.2 FTP網站的綁定設置 309 7.2.3 FTP網站的消息設置 310 7

.2.4 用戶身份驗證設置 313 7.2.5 查看當前連接的用戶 314 7.2.6 通過IP位址來限制連接 315 7.3 物理目錄與虛擬目錄 315 7.3.1 物理目錄實例演練 315 7.3.2 虛擬目錄實例演練 317 7.4 FTP網站的用戶隔離設置 319 7.4.1 不隔離用戶，但是使用者有自己的主目錄 320 7.4.2 隔離使用者、有專用主目錄，但無法訪問全域虛擬目錄 323 7.4.3 隔離使用者、有專用主目錄，可以訪問全域虛擬目錄 326 7.4.4 通過Active Directory隔離用戶 327 7.5 具備安全連接功能的FTP over SSL 332 7.

6 防火牆的FTP設置 334 7.6.1 FTP主動模式 334 7.6.2 FTP被動模式 336 7.7 虛擬主機名稱 339 第8章 路由器與橋接器的設置 341 8.1 路由器的原理 342 8.1.1 普通主機的路由表 342 8.1.2 路由器的路由表 346 8.2 設置Windows Server 2016路由器 349 8.2.1 啟用Windows Server 2016路由器 350 8.2.2 查看路由表 352 8.2.3 添加靜態路徑 353 8.3 篩選進出路由器的數據包 357 8.3.1 入站篩選器的設置 357 8.3.2 出站篩選器的設置 358 8.4

動態路由RIP 359 8.4.1 RIP路由器概述 360 8.4.2 啟用RIP路由器 361 8.4.3 RIP路由介面的設置 363 8.4.4 RIP路徑篩選 364 8.4.5 與鄰居路由器的交互設置 365 8.5 橋接器的設置 366 第9章 網路位址轉譯 368 9.1 NAT的特色與原理 369 9.1.1 NAT的網路架構實例圖 369 9.1.2 NAT的IP地址 371 9.1.3 NAT的工作原理 371 9.2 NAT伺服器搭建實例演練 374 9.2.1 路由器、固接式xDSL或纜線數據機環境的NAT設置 374 9.2.2 非固接式xDSL環境的NAT設置

378 9.2.3 內部網路包含多個子網 385 9.2.4 新增NAT網路介面 385 9.2.5 內部網路的用戶端設置 386 9.2.6 連接錯誤排除 387 9.3 DHCP分配器與DNS中繼代理 388 9.3.1 DHCP分配器 388 9.3.2 DNS中繼代理 389 9.4 開放Internet用戶連接內部伺服器 390 9.4.1 埠映射 390 9.4.2 位址映射 392 9.5 Internet連接共用 394 第10章 虛擬私人網路 397 10.1 虛擬私人網路（VPN）概述 398 10.1.1 VPN的部署場合 398 10.1.2 遠端存取通信協議 399

10.1.3 驗證通信協議 399 10.1.4 VPN通信協議 401 10.2 PPTP VPN實例演練 404 10.2.1 準備好測試環境中的電腦 405 10.2.2 網域控制站的安裝與設置 405 10.2.3 搭建PPTP VPN伺服器 406 10.2.4 賦予用戶遠端存取的許可權 413 10.2.5 PPTP VPN用戶端的設置 413 10.2.6 NetBIOS電腦名稱解析 418 10.2.7 VPN用戶端為何無法上網——Part 1 419 10.2.8 VPN用戶端為何無法上網——Part 2 421 10.3 L2TP VPN實例演練——預共用金鑰 424 10

.4 L2TP VPN實例演練——電腦證書 427 10.4.1 建立初始測試環境 427 10.4.2 安裝企業根CA 427 10.4.3 L2TP VPN伺服器的設定 428 10.4.4 L2TP VPN用戶端的設置 431 10.4.5 測試L2TP VPN連接 434 10.5 SSTP VPN實例演練 436 10.5.1 搭建初始測試環境 436 10.5.2 安裝企業根CA 437 10.5.3 SSTP VPN伺服器的設置 439 10.5.4 SSTP VPN用戶端的設置 447 10.5.5 測試SSTP VPN連接 449 10.6 IKEv2 VPN實例演練——使用

者驗證 452 10.6.1 建立初始測試環境 452 10.6.2 安裝企業根CA 452 10.6.3 IKEv2 VPN伺服器的設置 456 10.6.4 IKEv2 VPN用戶端的設置 460 10.6.5 測試IKEv2 VPN連接 461 10.7 IKEv2 VPN實例演練——電腦驗證 465 10.7.1 IKEv2 VPN伺服器的設置 465 10.7.2 IKEv2 VPN用戶端的設置 466 10.8 網站對網站PPTP VPN實例演練 469 10.8.1 請求撥號（demand.dial） 470 10.8.2 A網路VPN伺服器的設置 471 10.8.3 B網路V

PN伺服器的配置 477 10.8.4 測試請求撥號功能是否正常 479 10.8.5 設置請求撥號篩選器與撥出時間 481 10.8.6 支持VPN用戶端 481 10.9 網站對網站L2TP VPN——預共用金鑰 483 10.9.1 建立初始測試環境 483 10.9.2 由VPNS1通過請求撥號來發起連接到VPNS2 483 10.9.3 由VPNS2通過請求撥號來發起連接到VPNS1 485 10.10 利用流覽器申請電腦證書 487 10.10.1 VPN伺服器所需的電腦證書 488 10.10.2 利用流覽器申請電腦證書 488 10.10.3 將證書移動到電腦憑證存放區 493

10.11 網路策略 496 10.11.1 新建網路策略 498 10.11.2 是否接受連接的詳細流程 502 第11章 直接訪問內部網路資源 505 11.1 DirectAccess概述 506 11.2 DirectAccess實例演練1——內部網路僅含IPv4主機 510 11.2.1 準備好測試環境中的網路環境 510 11.2.2 準備好測試環境中的電腦 514 11.2.3 網域控制站的安裝與設置 515 11.2.4 資原始伺服器APP1的設置 516 11.2.5 DirectAccess用戶端Win10PC1的設置 517 11.2.6 在DC1針對DirectAcc

ess用戶端建立安全性群組 519 11.2.7 將DirectAccess伺服器加入域 519 11.2.8 DNS與DHCP伺服器SERVER1的設置 520 11.2.9 用戶端Win10PC1的基本網路功能測試 521 11.2.10 在DirectAccess伺服器DA1安裝與設置“遠端存取” 522 11.2.11 將用戶端Win10PC1移動到內部網路應用群組原則設置 529 11.2.12 將用戶端Win10PC1移動到Internet測試DirectAccess 532 11.3 DirectAccess實例演練2——用戶端位於NAT之後 537 11.4 DirectAcc

ess實例演練3——內部網路包含IPv4與IPv6主機 543 11.4.1 準備好測試環境中的電腦 543 11.4.2 網域控制站DC1的設置 545 11.4.3 資原始伺服器APP1的設置 553 11.4.4 IPv4資原始伺服器APP2的設置 556 11.4.5 DirectAccess伺服器DA1的設置 558 11.4.6 將用戶端Win10PC1移動到內部網路應用群組原則設置 569 11.4.7 將用戶端Win10PC1移動到Internet中測試DirectAccess 573 11.4.8 將用戶端Win10PC1移動到客戶網路來測試DirectAccess 578

11.4.9 啟用對Windows 7用戶端的支持 583 第12章 RADIUS伺服器的搭建 585 12.1 RADIUS概述 586 12.1.1 RADIUS伺服器 586 12.1.2 RADIUS代理伺服器 587 12.2 安裝網路策略伺服器（NPS） 589 12.2.1 安裝網路策略伺服器（NPS） 589 12.2.2 註冊網路策略伺服器 591 12.3 RADIUS伺服器與用戶端的設置 592 12.3.1 RADIUS伺服器的設置 592 12.3.2 RADIUS用戶端的設置 594 12.4 RADIUS代理伺服器的設置 596 12.4.1 連接請求策略 597

12.4.2 建立遠端RADIUS伺服器組 598 12.4.3 修改RADIUS伺服器組的設置 599 附錄A 解析NetBIOS名稱 601 （PDF電子檔，見下載資源） 附錄B IPsec與網路安全 633 （PDF電子檔，見下載資源）

企業內滲透攻擊之縱深防禦機制

為了解決Active Directory 管理工的問題，作者魏得恩 這樣論述：

由於 “進階持續性威脅” (APT) 是駭客長期連續性的隱匿攻擊 步驟。因此，檢測企業內部的威脅攻擊就像在大海撈針一樣。在 入侵企業環境之前，駭客會發現並利用入口點中存在的漏洞。其 中，Web 伺服器是駭客在入侵企業環境前常見的攻擊入口點。在 入侵到企業內部時，Active Directory (AD) 則是駭客首要的入侵標 的，由於企業內的使用者帳戶、用戶端電腦、工作站、伺服器、 儲存設備和印表機等資源與時俱增，而 AD 的設計是為了統一集 中控管、簡化管理工作和加強網路安全性，其保存企業內部所有 資源的資訊。駭客為了實現資料洩露，常使用隱匿技術 (如:偽 造標頭) 透過 HTTP 協定的

C&C 伺服器進行通訊和資料收發。因 此，本篇論文提出四種機制以在企業實現多層安全防護的目的。 在 Web 伺服器的防護中，本篇論文提出名為 WebHound 的非監督 式且資料驅動的異常偵測。它不僅識別駭客的偵察行為，並透過 分析大規模的 Web 訪問日誌來檢測駭客的部署策略和入侵手段。 此外，本篇論文亦提出一個名為 ChainSpot 的 AD 異常帳號偵測的 機制。透過綜整 AD 用戶於應用層服務的存取行為順序建模，並 評估行為偏離以偵測帳號是否遭到感染。為了偵測駭客是否連線HTTP 協定的 C&C 伺服器，本篇論文提出一個 HTTP 流量監控機 制，其分析主機上運行的瀏覽器和應用程式

的指紋，以檢測企業 內對外的 HTTP 流量異常。惡意程式分類對於病毒偵測技術來說 佔有一席之地，為了準確的分類，本篇論文透過非監督式群聚動 靜態行為以萃取行為特徵，並在各式病毒家族間透過詞嵌入的方 式找出其語意分析後的相似行為。最後，實驗結果顯示本篇論文 提出的技術有更好的準確率，並減輕專家知識的需求和監控人員 在企業中檢測網絡攻擊的大量人力。