第一部分 寻址和数据流基础结构第1章 IPv4 1
1.1 概念 1
1.1.1 网络层 1
1.1.2 IPv4寻址 1
1.1.3 私有IPv4地址 4
1.1.4 自动专用IP地址(APIPA) 4
1.1.5 多播地址 4
1.1.6 网络地址转换 5
1.1.7 第2层和第3层寻址 6
1.1.8 第4层协议:UDP和TCP 7
1.2 规划和设计要点 8
1.2.1 设计Internet连接 8
1.2.2 创建IPv4寻址方案 10
1.2.3 规划主机地址 10
1.2.4 使用VPN 11
1.2.5 规划冗余 12
1.2.6 使用多宿主计算机 13
1.3 部署步骤 13
1.3.1 手动配置IPv4客户端 14
1.3.2 配置DHCP服务器不可用时的客户端行为 14
1.3.3 增加路由到路由表 14
1.4 日常维护 15
1.5 疑难解答 15
1.5.1 ARP 15
1.5.2 Ipconfig 15
1.5.3 Netstat 16
1.5.4 PathPing 17
1.5.5 性能监测器 18
1.5.6 Ping 18
1.5.7 任务管理器 19
1.5.8 Windows网络诊断 20
1.6 本章小结 20
1.7 其他信息 20
第2章 IPv6 21
2.1 概念 21
2.1.1 IPv4到IPv6的变化 21
2.1.2 IPv6寻址 22
2.1.3 IPv6自动配置 26
2.1.4 DHCPv6 27
2.1.5 邻居发现 28
2.1.6 IPv6安全性 28
2.1.7 IPv6过渡技术 28
2.2 规划和设计要点 33
2.2.1 迁移到IPv6 34
2.2.2 获得IPv6地址 35
2.2.3 规划网络基础结构升级 35
2.2.4 规划IPv6过渡技术 35
2.3 部署步骤 36
2.3.1 禁用IPv6 36
2.3.2 手动配置IPv6 37
2.3.3 从脚本配置IPv6 37
2.3.4 启用ISATAP 37
2.3.5 启用6to4 38
2.3.6 启用Teredo 39
2.3.7 配置IPv6计算机为IPv6路由器 40
2.4 日常维护 43
2.5 疑难解答 43
2.5.1 Netsh 43
2.5.2 Ipconfig 44
2.5.3 Nslookup 44
2.5.4 Teredo疑难解答 44
2.6 本章小结 45
2.7 其他信息 45
第3章 动态主机配置协议 46
3.1 概念 46
3.1.1 DHCP地址分配过程 46
3.1.2 DHCP生命周期 47
3.2 规划和设计要点 47
3.2.1 DHCP服务器 48
3.2.2 DHCP中继代理 48
3.2.3 DHCP租期 49
3.2.4 规划作用域 49
3.2.5 DHCP服务器群集 50
3.2.6 动态DNS 50
3.3 部署步骤 51
3.3.1 DHCP服务器 51
3.3.2 DHCP中继代理 57
3.3.3 DHCP客户端配置 58
3.4 日常维护 58
3.4.1 监视DHCP服务器 59
3.4.2 手动备份和还原DHCP服务器 60
3.5 疑难解答 60
3.5.1 DHCP客户端疑难解答 60
3.5.2 DHCP服务器疑难解答 61
3.5.3 使用审核日志分析DHCP服务器行为 61
3.6 本章小结 62
3.7 其他信息 62
第4章 高级安全Windows防火墙 63
4.1 概念 63
4.1.1 使用Windows防火墙筛选通信 63
4.1.2 使用IPsec保护通信 64
4.2 规划和设计要点 67
4.2.1 规划Windows防火墙策略 67
4.2.2 使用IPsec保护通信 69
4.3 部署步骤 74
4.3.1 使用组策略配置防火墙设置 74
4.3.2 IPsec连接安全规则 79
4.4 日常维护 81
4.5 疑难解答 82
4.5.1 Windows防火墙日志 83
4.5.2 监视IPses安全关联 85
4.5.3 使用Network Monitor 85
4.6 本章小结 85
4.7 其他信息 86
第5章 基于策略的服务质量 87
5.1 概念 87
5.1.1 产生网络性能问题的根源 87
5.1.2 QoS提供的帮助 88
5.1.3 出站流量的QoS 89
5.1.4 入站流量的QoS 90
5.1.5 QoS实现 91
5.2 规划和设计要点 91
5.2.1 设置QoS目标 91
5.2.2 规划DSCP值 91
5.2.3 规划流量调节 93
5.2.4 硬件和软件需求 93
5.2.5 规划GPO和QoS策略 94
5.2.6 用于Windows Vista便携式计算机的QoS策略 95
5.3 部署步骤 95
5.3.1 使用组策略配置QoS 95
5.3.2 配置系统范围QoS设置 98
5.4 日常维护 99
5.4.1 删除QoS策略 99
5.4.2 编辑QoS策略 100
5.4.3 监视QoS 100
5.5 疑难解答 102
5.5.1 分析QoS策略 102
5.5.2 验证DSCP恢复能力 103
5.5.3 隔离网络性能问题 104
5.6 本章小结 105
5.7 其他信息 105
第6章 可伸缩网络 106
6.1 概念 106
6.1.1 TCP烟囱卸载 106
6.1.2 接收端缩放 108
6.1.3 NetDMA 109
6.1.4 IPsec卸载 110
6.2 规划和设计要点 110
6.2.1 评估网络可伸缩性技术 110
6.2.2 负载测试服务器 111
6.2.3 监视服务器性能 112
6.3 部署步骤 114
6.3.1 配置TCP烟囱卸载 114
6.3.2 配置接收方缩放 114
6.3.3 配置NetDMA 115
6.3.4 配置IPsec卸载 115
6.4 日常维护 115
6.5 疑难解答 116
6.5.1 TCP烟囱卸载疑难解答 116
6.5.2 IPsec卸载疑难解答 117
6.6 本章小结 117
6.7 其他信息 118
第二部分 名称解析基础结构 119
第7章 域名系统 119
7.1 概念 119
7.1.1 DNS层次结构 119
7.1.2 DNS区域 120
7.1.3 DNS记录 120
7.1.4 动态DNS更新 120
7.1.5 DNS名称解析 121
7.2 规划和设计要点 122
7.2.1 DNS区域 122
7.2.2 DNS服务器位置 123
7.2.3 DNS区域复制 124
7.2.4 DNS安全性 125
7.2.5 GlobalNames区域 126
7.3 部署步骤 127
7.3.1 DNS服务器配置 127
7.3.2 DHCP服务器配置 134
7.3.3 DNS客户端配置 135
7.3.4 配置冗余DNS服务器 136
7.4 日常维护 136
7.4.1 添加资源记录 136
7.4.2 维护区域 137
7.4.3 自动监视 137
7.4.4 提升辅助区域为主要区域 139
7.5 疑难解答 140
7.5.1 事件日志 140
7.5.2 使用Nslookup 140
7.5.3 服务器调试日志 143
7.5.4 使用DNSLint 143
7.5.5 使用DCDiag 144
7.5.6 使用Network Monitor 146
7.6 本章小结 146
7.7 其他信息 146
第8章 Windows Internet名称服务 147
8.1 概念 147
8.1.1 历史 147
8.1.2 NetBIOS名称 148
8.1.3 WINS名称解析 148
8.1.4 WINS客户端注册 149
8.2 规划和设计要点 149
8.2.1 WINS服务器位置 150
8.2.2 WINS复制 150
8.3 部署步骤 151
8.3.1 配置WINS服务器 151
8.3.2 配置WINS复制 152
8.3.3 WINS客户端配置 152
8.4 日常维护 154
8.4.1 备份WINS服务器数据库 154
8.4.2 压缩WINS数据库 155
8.4.3 执行一致性检查 155
8.4.4 监视WINS服务器 156
8.4.5 添加静态WINS记录 157
8.4.6 删除WINS记录 158
8.5 疑难解答 158
8.5.1 WINS服务器疑难解答 158
8.5.2 WINS客户端疑难解答 160
8.6 本章小结 162
8.7 其他信息 163
第三部分 网络访问基础结构 165
第9章 身份验证基础结构 165
9.1 概念 165
9.1.1 活动目录域服务 165
9.1.2 公钥基础结构 168
9.1.3 组策略 171
9.1.4 RADIUS 173
9.2 规划和设计要点 177
9.2.1 活动目录 177
9.2.2 PKI 178
9.2.3 组策略 179
9.2.4 RADIUS 179
9.3 部署步骤 185
9.3.1 部署活动目录 185
9.3.2 部署PKI 185
9.3.3 组策略 191
9.3.4 RADIUS服务器 191
9.3.5 使用RADIUS代理实现跨林身份验证 196
9.3.6 使用RADIUS代理扩展身份验证 202
9.4 日常维护 205
9.4.1 活动目录 205
9.4.2 PKI 205
9.4.3 组策略 205
9.4.4 RADIUS 206
9.5 疑难解答工具 207
9.5.1 活动目录 207
9.5.2 PKI 207
9.5.3 组策略 207
9.5.4 RADIUS 207
9.6 本章小结 208
9.7 其他信息 209
第10章 IEEE 802.11无线网络 211
10.1 概念 211
10.1.1 对IEEE 802.11标准的支持 212
10.1.2 无线安全 213
10.1.3 802.11无线网络的组件 215
10.2 规划和设计要点 216
10.2.1 无线安全技术 217
10.2.2 无线身份验证模式 218
10.2.3 Intranet基础结构 219
10.2.4 无线AP布局 220
10.2.5 身份验证基础结构 224
10.2.6 无线客户端 224
10.2.7 PKI 232
10.2.8 使用NAP的802.1X强制 234
10.3 部署受保护的无线访问 234
10.3.1 部署证书 234
10.3.2 配置活动目录的用户账户和组 236
10.3.3 配置NPS服务器 236
10.3.4 部署无线AP 237
10.3.5 配置无线客户端 239
10.4 日常维护 243
10.4.1 管理用户账户和计算机账户 243
10.4.2 管理无线AP 244
10.4.3 更新无线配置文件 244
10.5 疑难解答 244
10.5.1 Windows中的无线疑难解答工具 245
10.5.2 Windows无线客户端疑难解答 250
10.5.3 无线AP疑难解答 251
10.5.4 身份验证基础结构疑难解答 254
10.6 本章小结 258
10.7 其他信息 258
第11章 IEEE 802.1X身份验证有线网络 260
11.1 概念 260
11.2 规划和设计要点 261
11.2.1 有线身份验证方法 261
11.2.2 有线身份验证模式 263
11.2.3 身份验证基础结构 264
11.2.4 有线客户端 265
11.2.5 PKI 269
11.2.6 使用NAP的802.1X强制 271
11.3 部署802.1X身份验证有线访问 271
11.3.1 部署证书 271
11.3.2 配置活动目录的账户和组 273
11.3.3 配置NPS服务器 273
11.3.4 配置支持802.1X的交换机 274
11.3.5 配置有线客户端 275
11.4 日常维护 278
11.4.1 管理用户账户和计算机账户 278
11.4.2 管理支持802.1X的交换机 278
11.4.3 更新有线XML配置文件 279
11.5 疑难解答 279
11.5.1 Windows中的有线疑难解答工具 279
11.5.2 Windows有线客户端疑难解答 283
11.5.3 支持802.1X的交换机疑难解答 284
11.5.4 身份验证基础结构疑难解答 286
11.6 本章小结 290
11.7 其他信息 290
第12章 远程访问VPN连接 292
12.1 概念 292
12.2 规划和设计要点 294
12.2.1 VPN协议 295
12.2.2 身份验证方法 298
12.2.3 VPN服务器 299
12.2.4 Internet基础结构 302
12.2.5 Intranet基础结构 303
12.2.6 VPN客户端并发访问Intranet和Internet 306
12.2.7 身份验证基础结构 307
12.2.8 VPN客户端 308
12.2.9 PKI 311
12.2.10 使用NAP的VPN强制 313
12.3 其他安全要点 314
12.3.1 强链路加密 314
12.3.2 VPN服务器上的VPN通信包筛选 314
12.3.3 用于VPN通信的防火墙包筛选 314
12.3.4 多用途的VPN服务器 321
12.3.5 阻止VPN客户端的通信路由 322
12.3.6 并发访问 322
12.3.7 未使用的VPN协议 323
12.4 部署基于VPN的远程访问 323
12.4.1 部署证书 323
12.4.2 配置Internet基础结构 325
12.4.3 配置活动目录的用户账户和组 326
12.4.4 配置RADIUS服务器 326
12.4.5 部署VPN服务器 327
12.4.6 配置Intranet网络基础结构 331
12.4.7 部署VPN客户端 332
12.5 日常维护 336
12.5.1 管理用户账户 337
12.5.2 管理VPN服务器 337
12.5.3 更新CM配置文件 338
12.6 疑难解答 338
12.6.1 疑难解答工具 338
12.6.2 远程访问VPN疑难解答 342
12.7 本章小结 346
12.8 其他信息 346
第13章 站点间VPN连接 348
13.1 概念 348
13.1.1 请求拨号路由概述 348
13.1.2 Windows站点间VPN的组件 352
13.2 规划和设计要点 352
13.2.1 VPN协议 353
13.2.2 身份验证方法 355
13.2.3 VPN路由器 356
13.2.4 Internet基础结构 359
13.2.5 站点网络基础结构 360
13.2.6 身份验证基础结构 362
13.2.7 PKI 364
13.3 部署站点间VPN连接 366
13.3.1 部署证书 366
13.3.2 配置Internet基础结构 369
13.3.3 配置活动目录的用户账户和组 370
13.3.4 配置RADIUS服务器 370
13.3.5 部署应答路由器 371
13.3.6 部署呼叫路由器 376
13.3.7 配置站点网络基础结构 380
13.3.8 配置站点间网络基础结构 382
13.4 日常维护 383
13.4.1 管理用户账户 384
13.4.2 管理VPN路由器 384
13.5 疑难解答 385
13.5.1 疑难解答工具 385
13.5.2 站点间VPN连接疑难解答 385
13.6 本章小结 391
13.7 其他信息 392
第四部分 网络访问保护基础结构第14章 网络访问保护概述 393
14.1 网络访问保护的必要性 393
14.1.1 恶意软件及其对企业计算的影响 393
14.1.2 企业网恶意软件防护 394
14.1.3 NAP的角色 397
14.1.4 NAP的商业收益 398
14.2 NAP的组件 399
14.2.1 系统健康代理和系统健康验证程序 400
14.2.2 强制客户端和强制服务器 401
14.2.3 NPS 401
14.3 强制方法 402
14.3.1 IPsec强制 402
14.3.2 802.1X强制 402
14.3.3 VPN强制 403
14.3.4 DHCP强制 403
14.4 NAP的工作机制 403
14.4.1 IPsec强制的工作机制 404
14.4.2 802.1X强制的工作机制 405
14.4.3 VPN强制的工作机制 405
14.4.4 DHCP强制的工作机制 406
14.5 本章小结 407
14.6 其他信息 407
第15章 准备网络访问保护 409
15.1 评估当前网络的基础结构 409
15.1.1 Intranet计算机 409
15.1.2 第2层接入Intranet 410
15.1.3 网络支持基础结构 411
15.2 NAP健康策略服务器 411
15.2.1 规划和设计要点 412
15.2.2 部署步骤 413
15.2.3 日常维护 414
15.3 健康要求策略配置 414
15.3.1 健康要求策略的组件 415
15.3.2 NAP健康评估工作机制 420
15.3.3 健康要求策略的规划和设计要点 423
15.4 更新服务器 424
15.4.1 更新服务器和NAP强制方法 425
15.4.2 更新服务器的规划和设计要点 426
15.5 本章小结 426
15.6 其他信息 427
第16章 IPsec强制 428
16.1 了解IPsec强制 428
16.1.1 IPsec强制逻辑网络 429
16.1.2 使用IPsec强制的通信建立过程 429
16.1.3 IPsec强制的连接安全规则 432
16.2 规划和设计要点 433
16.2.1 活动目录 433
16.2.2 PKI 434
16.2.3 HRA 438
16.2.4 IPsec策略 442
16.2.5 NAP客户端 443
16.3 部署IPsec强制 444
16.3.1 配置活动目录 444
16.3.2 配置PKI 445
16.3.3 配置HRA 447
16.3.4 配置NAP健康策略服务器 452
16.3.5 在边界网络上配置更新服务器 455
16.3.6 配置NAP客户端 455
16.3.7 报告模式的IPsec强制部署检查点 458
16.3.8 配置和应用IPsec策略 458
16.4 日常维护 462
16.4.1 添加NAP客户端 462
16.4.2 添加新的SHA和SHV 462
16.4.3 管理NAP CA 463
16.4.4 管理HRA 464
16.5 疑难解答 465
16.5.1 疑难解答工具 465
16.5.2 IPsec强制疑难解答 467
16.6 本章小结 471
16.7 其他信息 471
第17章 802.1X强制 473
17.1 802.1X强制概述 473
17.1.1 使用ACL 475
17.1.2 使用VLAN 476
17.2 规划和设计要点 476
17.2.1 NAP免除安全组 476
17.2.2 802.1X身份验证方法 477
17.2.3 802.1X强制类型 477
17.2.4 802.1X访问点 477
17.2.5 NAP客户端 478
17.3 部署802.1X强制 479
17.3.1 配置活动目录 479
17.3.2 配置基于PEAP的身份验证方法 480
17.3.3 配置802.1X访问点 480
17.3.4 配置受限网络上的更新服务器 481
17.3.5 配置NAP健康策略服务器 481
17.3.6 配置NAP客户端 487
17.3.7 报告模式的802.1X强制部署检查点 490
17.3.8 测试受限访问 490
17.3.9 为不相容NPA客户端配置用于延迟强制模式的网络策略 491
17.4 日常维护 492
17.4.1 添加NAP客户端 492
17.4.2 添加新的SHA和SHV 493
17.4.3 管理802.1X访问点 493
17.5 疑难解答 493
17.5.1 疑难解答工具 493
17.5.2 802.1X强制疑难解答 495
17.6 本章小结 497
17.7 其他信息 497
第18章 VPN强制 499
18.1 了解VPN强制 499
18.2 规划和设计要点 501
18.2.1 网络访问隔离控制的使用 501
18.2.2 NAP免除安全组 502
18.2.3 包筛选类型 502
18.2.4 VPN身份验证方法 503
18.2.5 VPN服务器 503
18.2.6 NAP客户端 503
18.3 部署VPN强制 505
18.3.1 配置活动目录 505
18.3.2 配置VPN服务器 506
18.3.3 配置基于PEAP的身份验证方法 506
18.3.4 配置更新服务器 506
18.3.5 配置NAP健康策略服务器 507
18.3.6 配置NAP客户端 512
18.3.7 配置报告模式的VPN强制部署检查点 513
18.3.8 测试受限访问 513
18.3.9 配置延迟强制 514
18.3.10 配置强制模式的网络策略 515
18.4 日常维护 516
18.4.1 添加NAP客户端 516
18.4.2 添加新的SHA和SHV 516
18.5 疑难解答 516
18.5.1 疑难解答工具 516
18.5.2 VPN强制疑难解答 518
18.6 本章小结 520
18.7 其他信息 520
第19章 DHCP强制 522
19.1 了解DHCP强制 522
19.2 规划和设计要点 523
19.2.1 NAP免除安全组 524
19.2.2 DHCP服务器 524
19.2.3 NAP健康策略服务器 525
19.2.4 用于特定DHCP作用域的健康要求策略 525
19.2.5 NAP客户端的DHCP选项 525
19.2.6 NAP健康策略服务器不可达时DHCP强制的动作 525
19.2.7 NAP客户端 525
19.3 部署DHCP强制 527
19.3.1 配置更新服务器 527
19.3.2 配置NAP健康策略服务器 527
19.3.3 配置NAP客户端 531
19.3.4 配置DHCP服务器 532
19.3.5 报告模式的DHCP强制部署检查点 534
19.3.6 测试受限访问 535
19.3.7 配置延迟强制 536
19.3.8 配置强制模式的网络策略 536
19.4 日常维护 537
19.4.1 添加NAP客户端 537
19.4.2 添加新的SHA和SHV 537
19.5 疑难解答 538
19.5.1 疑难解答工具 538
19.5.2 疑难解答DHCP强制 539
19.6 本章小结 541
19.7 其他信息 542
术语表 543