第7章 局域网常见故障的检测与排除.ppt

1、局域网常见故障的检测与排除,网络故障及分类,表7-1 网络故障分类,局域网常见故障检测,常用故障检测工具 1传输介质测试工具 （1）网络测线仪 （2）时域反射仪 2网络协议、数据流量分析工具协议分析仪 （1）协议分析仪概述 （2）协议分析仪工作原理 （3）协议分析仪的常见形式,常用故障检测命令,1ping 2Ipconfig/Winipcfg （1）获得Ipconfig的使用帮助 （2）Ipconfig命令的语法格式 Ipconfig /all/batch file/renew all/release all/renew n/release n （3）Ipconfig命令的参数选项 （4）Ip

2、config/Winipcfg与ping的比较 利用Ipconfig/Winipcfg可以让用户很方便地了解到所用Ipconfig/Winipcfg机的IP地址的实际配置情况，尤其当用户的网络中设置的是DHCP（动态IP地址配置协议）时。因为有一个“/all”参数，所以可侦查到本机上所有网络适配的IP地址分配情况，比ping命令更为详细。当然与ping相比也有它的不足之处，就是它只能在本机上测试，不能运用网络功能来测试。,3网络状态查询命令Netstat,（1）Netstat命令的语法格式 （2）参数选项 （3）netstat的应用,netstat工具至少有以下几方面的应用： 显示本地或与之相

3、连的远程机器的连接状态，包括TCP、IP、UDP、ICMP的使用情况，了解本地机开放的端口情况； 检查网络接口是否已正确安装，如果在用netstat命令后仍不能显示某些网络接口的信息，则说明这个网络接口没有正确连接，需要重新查找原因。 通过加入“-r”参数查询与本机相连的路由器地址分配情况； 还可以检查一些常见的木马等黑客程序，因为任何黑客程序都需要通过打开一个端口来达到与其服务器进行通信的目的，这首先要使你的这台机连入互联网才行，不然这些端口是不可能打开的，这些黑客程序也就不会达到入侵的目的。 （4）netstat应用实例,4路由分析诊断命令traceroute/tracert,（1）获取帮

4、助信息 （2）语法格式 tracert -d -h maximum_hops -j host-list -w timeout target_name （3）参数选项解释 （4）应用实例, 在DOS提示符下输入tracert ，如图7-11所示。,图7-11 实例应用, tracert是跟踪数据包到达目的主机的路径命令，如果在使用ping 命令发现网络不通，就可以用tracert跟踪一下包到达哪一级出现了故障。例如：,tracert Tracing route to 211.100.31.131 -解析出站点()的主机IP地址； over a maximum of 30 hops: -最多记

5、录30跳 1 1 ms 2 ms 2 ms 202.201.3.1 2 2 ms 2 ms 2 ms 210.202.88.126 3 3 ms 4 ms 4 ms 210.112.46.13 4 5 ms 5 ms 6 ms 210.112.46.149 5 * * * Request timed out. -说明从202.112.46.149到上一级路由器之间发生了故障，导致连接不了在线站点。,5ARP,（1）获取帮助信息 （2）常用参数选项 注意：arp -a 命令只能够看到同一个VLAN（就是子网掩码相同，网关地址相同）下IP地址对应的MAC地址。,6pathping,（1）获取帮助信

6、息 （2）参数选项 （3）实例,（4）Pathping与tracert的比较,Pathping命令的测试结果与tracert相同，除了显示路由外，还提供一个时间段的分析，计算丢失包的百分比。,8Nslookup,注意：Nslookup必须要安装了TCP/IP协议的网络环境之后才能使用。 实例1：网络中已经架设好了一台DNS服务器，主机名称为lanzujian，它可以把域名 解析为192.168.0.23的IP地址，这就是正向解析功能。 实例检测步骤如下。 （1）正向解析 （2）反向解析 （3）常见错误解释, 在DOS提示符下键入Nslookup ，出现如下结果： Server: lanzuji

7、an Address: 192.168.0.5 * lanzujian cant find : Non-existent domain, 在DOS提示符下键入Nslookup ，出现如下结果： * Cant find server name for domain: No response from server * Cant find : Non-existent domain,故障检测方法,1网络连接结构的分析方法 （1）客户端模块 （2）网络链路模块 （3）服务器端模块 2工具型分析方法 3综合及经验型分析方法,故障检测实例,实例2：故障现象是网络中一台计算机无法访问互联网。 检测步骤如

8、下。 （1）使用ipconfig/winipcfg查看IP地址配置是否正确，如不正确则重新配置IP。 （2）用“ping本机IP地址”命令查看返回信息是否正确，如不正常则从网卡和TCP/IP的安装寻找原因。 （3）通过“ping网关地址”查看返回信息是否正常，如不正常则从网卡和网线寻找原因。,（4）用“ping外网IP地址”查看返回信息是否正常，如不正常则检查网关设置。 （5）使用nslookup检查DNS是否工作正常，如不正常则检查DNS设置。 （6）检查防火墙策略是否有限制。 实例3：故障现象是局域网网络是通的，但网速很慢，或者是网络节点数少时没问题，而节点多则网速变慢。,故障分析如下。

9、（1）网线问题双绞线是由4对线严格而合理地紧密缠绞和在一起，从而减少串扰和背景噪音的影响。在T568A标准和T568B标准中，仅使用了双绞线的1、2和3、6四条线。其中，1、2用于发送，3、6用于接收，1、2必须来自一个绕对，3、6必须来自一个绕对。只有这样，才能最大限度的避免串扰，保证数据传输。如不按正确标准（T586A、T586B）制作网线，就有可能开始时使用正常，但过了一段时间后，性能就会下降，网速变慢。,（2）回路问题,网络较小涉及的节点数不是很多、结构不很复杂时，回路现象很少发生。但在比较复杂的网络中，由于一些原因经常有多余的备用线路，则会构成回路，数据包会不断发送和校验数据，从而影

10、响整体网速。为避免这种情况发生，要求我们在铺设网线时一定要养成良好的习惯，网线打上明显的标签，有备用线路的地方要做好记载。,（3）广播风暴,广播方式是发现未知设备的主要手段，但随着网络计算机数量的增多，广播包的数量会急剧增加。当广播包的数量达到30%时，网络传输效率将会明显下降。当网卡或网络设备损坏后，会不停地发送广播包，从而导致广播风暴，使网络通信陷于瘫痪。因此，当网络设备硬件有故障时也会引起网速变慢。在怀疑有此类故障时，先可采用置换法替换集线器或交换机来排除集线设备故障。然后关掉集线器的电源用ping命令对所涉及计算机逐一测试，找到有故障网卡的计算机，更换新的网卡后就可恢复网速正常。,局域

11、网常见故障的排除,网络故障分析及处理,实例4：网络不通时的故障分析与处理。 （1）收集信息 （2）根据收集的信息确定故障环节 （3）尝试修复并排除故障 （4）验证是否正常,故障排除方法,1分层故障排除法 （1）分层排除方式 逐层排除方式 相应的工具和措施 （2）分层排除实例 实例5：环境构建如图所示，要测试主机A和主机B之间能否正常通信。,本 章 学 习 目 标,（1）了解局域网内存在的安全威胁和隐患 （2）掌握病毒、木马、黑客的概念和工作原理 （3）掌握简单的安全技术 （4）熟悉Windows Server 2003的安全性设置 （5）熟悉常用的安全防范软件的使用,局域网的安全威胁与隐患,计

12、算机病毒 1病毒定义中华人民共和国计算机信息系统安全保护条例，在第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”,2病毒特征,（1）传染性 （2）隐蔽性 （3）潜伏性 （4）破坏性 （5）不可预见性 （6）可触发性,3病毒分类,病毒基本类型,网络木马,木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。其中客户端用于攻击者远程植入木马的计算机；服务端即是木马程序，用于进行控制被种植了木马客户端的计算机。,6.1.3 黑客攻击,黑客（Hacker）源于英语动词Ha

13、ck，意为“劈，砍”，中文译为“黑客”或“骇客”，一个真正的Hacker应该具备两个条件： （1）高超的专业技术，热衷于解决问题、克服限制、超越极限，对操作系统神秘深奥的工作十分感兴趣； （2）遵守Hacker行为准则，从来没有也永远不会恶意破坏造成他人或社会损失。,1黑客常用的攻击工具黑客常用的攻击工具有扫描器、口令攻击器、特洛伊木马、网络嗅探器等。 2常用的攻击技术黑客常用的攻击技术主要有缓冲区溢出攻击、IP欺骗攻击、Web欺骗攻击、电子邮件攻击、拒绝服务攻击等技术。,3攻击步骤,第一步：寻找可入侵目标主机并分析目标主机 第二步：入侵有安全漏洞的主机并获取账号和密码，登录主机 第三步：得到

14、超级用户权限，控制主机 第四步：隐藏自己,局域网中常用的安全技术,防病毒技术 1感染病毒的征兆 （1）键盘、打印、显示有异常现象 （2）运行速度突然减慢 （3）计算机系统出现异常死机或死机频繁 （4）文件的长度、内容、属性、日期无故改变 （5）丢失文件、丢失数据 （6）系统引导过程变慢 （7）磁盘上出现坏簇 （8）存储系统的存储容量异常减少或有不明常驻程序,（9）系统的RAM空间变小 （10）系统不认识磁盘或是硬盘不能开机 （11）整个目录变成一堆乱码 （12）硬盘的指示灯无缘无故点亮 （13）计算机系统蜂鸣器出现异常声响 （14）没做写操作时出现“磁盘写保护”信息 （15）异常要求用户输入口

15、令 （16）程序运行出现异常现象或不合理的结果,2病毒感染后的一般修复处理方法,（1）对系统破坏程度先有一个全面了解，根据破坏程度决定方法对策：重装系统、启用杀毒软件、或请防病毒专家进行清除和数据恢复操作。 （2）修复前，尽可能再次备份重要的数据文件，不与平时的常规备份混在一起。 （3）启动杀病毒软件，对整个硬盘进行扫描。使用事先准备的干净DOS系统软盘启动系统。 （4）如果可执行文件中的病毒不能被清除，一般应将其删除，然后重装相应的应用程序。,（5）杀毒完成后，重启计算机，再次用杀毒软件检查系统。 （6）对无法杀除的病毒，应将病毒样本送交杀毒软件厂商的研究中心，以供详细分析。 计算机病毒是多

16、变的，会有不断创造出来的新病毒，任何防毒技术都存在时间和技术上的局限性。让杀毒软件不断升级，仍是目前比较流行的好办法。,3防病毒技术,（1）特征代码法 （2）校验和法 （3）行为监测法 （4）软件模拟法 （5）启发式扫描技术,防火墙技术,1防火墙定义防火墙是置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策（允许、拒绝、监视、记录）控制进出网络的访问行为。防火墙本身具有较强的抗攻击能力，是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控内部网和Internet之间的各种活动

17、，保证内部网络的安全。,2防火墙分类,（1）按形态可将防火墙分为软件防火墙和硬件防火墙两种，如表6-3所示。,表6-3 防火墙按形态划分,（2）按保护对象可将防火墙分为网络防火墙和单机防火墙两种，如表6-4所示。,表6-4 防火墙按保护对象划分,（3）按使用的核心技术，可将防火墙分为包过滤防火墙（根据流经防火墙的数据包头信息，决定是否允许该数据包通过）、状态检测防火墙、应用代理防火墙、复合型防火墙等四种。,3防火墙的局限性,（1）防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。 （2）防火墙不能防范利用E-mail夹带的病毒等恶性程序。 （3）防火墙不能解决来自内部网络的攻击和安全问

18、题。 （4）防火墙不能防止策略配置不当或错误配置引起的安全威胁。,（5）防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 （6）防火墙不能防止利用服务器系统漏洞所进行的攻击。 （7）防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上被执行时，可能会发生数据驱动式的攻击。 （8）防火墙不能防止本身安全漏洞的威胁。,6常用的防火墙实现策略,（1）允许所有除明确拒绝之外的通信或服务 （2）拒绝所有除明确允许之外的通信或服务,实训19 杀毒软件、防火墙的安装与配置,技能目标 （1）了解、熟悉常见的防火墙产品及杀毒软件 （2）掌握防火墙基本结构、安全性能指标及接口，掌握典

19、型防火墙的主要功能 （3）了解防火墙管理方式，初步掌握防火墙用户界面的使用方法 （4）掌握瑞星杀毒软件的安装和配置,实训环境,（1）接入网络的计算机至少两台。 （2）一台安装有Windows Server 2000的计算机。 （3）正版的瑞星个人防火墙软件和端口扫描软件（X-Scan，Scan-Port等）。 （4）正版的瑞星杀毒软件。,实训任务,任务一：防火墙的安装和配置 （1）安装、设置个人防火墙 （2）根据实际情况，设置相应的安全策略 （3）掌握基本的包过滤规则设置 （4）验证规则的设置 任务二：杀毒软件的安装和使用 （1）安装、设置瑞星杀毒软件 （2）根据实际应用设置相应的安全策略 （

20、3）掌握瑞星杀毒软件的基本操作：漏洞扫描、病毒隔离、硬盘数据备份等工具的使用,实训步骤,实训任务一：瑞星个人防火墙的安装和配置 1瑞星个人防火墙的安装 （1）启动安装程序。 下载瑞星个人防火墙软件或者直接从光盘安装，双击运行瑞星个人防火墙下载版安装程序，根据安装向导进行逐步安装。 （2）填写“产品序列号”和“用户ID”。 （3）填写完毕，“下一步”按钮变成黑色。单击“下一步”按钮，一步步进行直至安装完成，就会出现 “结束”对话框。,2瑞星个人防火墙的配置,（1）启动瑞星个人防火墙。单击“开始”“所有程序”“瑞星个人防火墙”“瑞星个人防火墙”，启动瑞星个人防火墙软件。 （2）设置。,3验证防火墙

21、规则,实训任务二：瑞星杀毒软件的安装和配置 1瑞星杀毒软件的安装 （1）启动安装程序。 （2）填写“产品序列号”和“用户ID”。 （3）填写完毕，“下一步”按钮变成黑色。单击“下一步”按钮，直至安装完成。,2瑞星杀毒软件设置,（1）启动瑞星杀毒软件。 （2）设置。 实训总结如果原来已经安装有杀毒软件或个人防火墙，需要将原来的版本卸载后才能进行安装。,VPN技术,1VPN技术虚拟专用网（Virtual Private Network，VPN）是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。IETF草案理解基于IP的VPN为：“使

22、用IP机制仿真出一个私有的广域网”，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。,这有如下三层含义。 （1）VPN是虚拟的，不是真的专用网络。任意两个节点之间的连接并没有传统专网所需的端到端的固定物理链路，而是利用某种公众网的资源动态组成的，网路只有用户需要时才建立。 （2）能实现专用网络的功能，用户可以为自己制定一个最符合自己需求的网络。 （3）VPN实际上是一种服务，用户感觉好像直接和个人网络相连，但实际上是通过服务商来实现连接的。,2VPN工作原理,VPN采用Client/Server工作模式，在有应用需求时，VPN客户机通过电话线路或LAN接入本地Internet，然

23、后利用Internet或其他公共互联网络的基础设施为用户创建“隧道”。当数据在Internet上传输时，VPN协议对数据进行加密和鉴别，以保证数据的安全性，使客户机与服务器的连接如同建立了专用的安全通道一样。,3VPN的分类,VPN分类,4VPN应具备的几个特点,（1）安全保障 （2）服务质量保证（QoS） （3）可扩充性和灵活性 （4）可管理性,5VPN安全技术,（1）隧道技术 （2）加解密技术 （3）密钥管理技术 （4）身份认证技术,实训20 虚拟局域网的配置,技能目标 （1）了解VLAN定义和功能 （2）掌握VLAN的划分方法 （3）熟悉VLAN的配置方法和具体配置,理论基础,1通过路由

24、器实现VLAN间的通信 第一种：通过路由器的不同物理接口与交换机上的每个VLAN分别连接,第二种：通过路由器的逻辑子接口与交换机的各个VLAN连接，如图6-14所示。,2用交换机代替路由器实现VLAN间的通信,第一种：启用交换机的路由功能，这种方式的实现方法可采用以上介绍的路由器方式的任一种。 第二种：利用某些高端交换机所支持的专用VLAN功能来实现VLAN间的通信。 实训环境 硬件环境：交换机，计算机，传输介质 实训任务 （1）本地VLAN间的通信。,（2）跨交换机VLAN间的通信。,实训步骤,实训任务一 （1）按照图6-15给出的网络拓扑结构连接好设备。 （2）规划IP地址与VLAN。 将

25、网络划分为两个VLAN，PC1和PC2为一个VLAN，PC3 为另一个VLAN。,（3）配置IP地址和网关。, S3550交换机设置VLAN2（172.16.2.1/24）、VLAN3（172.16.3.1/24）两个VLAN。 将PC1（172.16.2.12/24）、PC2（172.16.2.13/24）加入VLAN2，PC1与PC2网关均为172.16.2.1；PC3（172.16.3.12/24）加入VLAN4，PC4网关为172.16.3.1。,（4）配置交换机。,Switchen 由用户模式进入特权模式 Switch# conf t 由特权模式进入配置模式 Switch(confi

26、g)#hostname C3550 在配置模式下修改主机名 C3550(config)#exit C3550#vlan database 进入VLAN配置模式 C3550(vlan)#vlan 2 name student 创建了一个编号为2 名字为student的 VLAN C3550(vlan)#vlan 3 name teacher创建了一个编号为3 名字为teacher的 VLAN C3550(vlan)#exit C3550#conf t C3550(config)#int fastethernet 0/1 进入快速以太口 C3550(config-if)#switchport ac

27、cess vlan 2 将快速以太口划分入VLAN2,C3550(config-if)#exit C3550(config)#int fastethernet0/2 C3550(config-if)#switchport access vlan 2 C3550(config-if)#exit C3550(config)#int fastethernet0/12 C3550(config-if)#switchport access vlan 3 C3550(config-if)#end C3550#write 保存配置信息,C3550#conf t C3550(config)# int vlan

28、 2 给VLAN2 的所有节点分配静态IP地址 C3550(config-if)# ip add 172.16.2.1 255.255.255.0 C3550(config-if)#no shut C3550(config-if)#exit C3550(config)# int vlan 3 C3550(config-if)# ip add 172.16.3.1 255.255.255.0 C3550(config-if)#no shut C3550(config-if)#end C3550#conf t C3550(config)# ip routing 启用路由 C3550(config)

29、#end C3550# write,（5）测试。 在PC1 上ping PC2，能ping 通； 在PC1 上ping PC3，能ping 通； 在PC2 上ping PC3，能ping 通。 （6）结论：从测试结果可得知，VLAN 2和VLAN 3间实现了通信。,实训任务二 （1）按照图6-16给出的网络拓扑结构连接好设备。 （2）规划IP地址与VLAN。 将网络划分为两个VLAN，PC1和PC3为一个VLAN，PC2和PC4为另一个VLAN。,（3）配置IP地址和网关, S1交换机上设置VLAN2（172.16.2.1/24），S2 交换机上设置VLAN3（172.16.3.1/24）两个

30、VLAN。 将PC1（172.16.2.12/24）、PC3（172.16.2.13/24）加入VLAN2，PC1与PC3网关均为172.16.2.1； PC2（172.16.3.12/24）、PC4（172.16.3.14/24）加入VLAN3，PC2、PC4网关均为172.16.3.1。,（4）在交换机上配置。, 设置VTP DOMAIN（管理域）。VTP是VLAN Trunking Protocol的缩写，是VLAN链路聚集协议，用于在建立了汇聚链路的交换机之间同步和传递VLAN配置信息的协议，以在同一个VTP域中维持VLAN配置的一致性。VTP有三种工作模式，分别为serverclie

31、nttransparent。,S1#vlan database 进入VLAN配置模式 S1(vlan)#vtp domain S1 设置VTP管理域名称 S1 S1(vlan)#vtp server 设置交换机为服务器模式 S2#vlan database 进入VLAN配置模式 S2(vlan)#vtp domain S1 设置VTP管理域名称S1 S2(vlan)#vtp Client 设置交换机为客户端模式, 配置中继（保证管理域能够覆盖所有的分支交换机）。 在核心交换机端配置如下：,S1(config)#interface FastEthernet 0/5 S1(config-if)#s

32、witchport trunk encapsulation dot1q配置中继协议,S1(config-if)#switchport mode trunk,在分支交换机端配置如下：,S2(config)#interface FastEthernet 0/5 S2(config-if)#switchport mode trunk, 创建VLAN。,S1#vlan database S1(vlan)#Vlan 2 name vlan2 创建一个编号为2、名字为vlan2的 VLAN S1(vlan)#Vlan 3 name vlan3 创建一个编号为3、名字为vlan3的 VLAN, 将交换机端口

33、划入VLAN。,S1#conf t S1(config)#interface fastEthernet 0/1 配置端口1 S1(config-if)#switchport access vlan 2 归属VLAN2 S1(config-if)#exit S1(config)#interface fastEthernet 0/3 配置端口2 S1(config-if)#switchport access vlan 3 归属VLAN3 S1(config-if)#end S1#write S2#conf t,S2(config)#interface fastEthernet 0/2 配置端口1

34、S2(config-if)#switchport access vlan 2归属VLAN2 S2(config-if)#exit S2(config)#interface fastEthernet 0/4 配置端口2 S2(config-if)#switchport access vlan 3 归属VLAN3 S2(config-if)#end S2#write, 配置三层交换，给VLAN所有的节点分配静态IP地址。 在核心交换机上分别设置各VLAN的接口IP地址： S1(config)#interface vlan 2 S1(config-if)#ip address 172.16.2.1

35、255.255.255.0 VLAN2接口IP S1(config)#interface vlan 3 S1(config-if)#ip address 172.16.3.1 255.255.255.0 VLAN3接口IP, 测试。,在PC1上ping PC3，能通，表示同一VLAN内可以实现通信； 在PC1上ping PC4，能通，即VLAN2与VLAN3可以通信，表示不同VLAN间实现了通信。 还可以在PC2上对PC3、PC4进行连通性测试，比较测试结果是否相同。,实训总结,（1）VLAN内部可以直接通信，VLAN间的通信必须通过路由。 （2）VLAN间的通信需要进行路由，但并不一定需要路

36、由器，可以通过具有路由功能的三层交换机解决。,Windows Server 2003的安全性设置,1账户策略 （1）密码策略设定 （2）账户锁定策略设定 （3）Kerberos策略设定,2本地策略,选择“开始”“管理工具”“本地安全策略”。 （1）审核策略 （2）用户权利分配 （3）安全选项 （4）禁用不必要的服务 （5）启用防火墙 （6）事件日志 （7）受限制的组 （8）系统服务 （9）IP安全策略,实训21 Windows Server 2003的安全策略设置,技能目标 （1）了解Windows Server 2003的安全策略 （2）熟悉掌握Windows Server 2003的安全策

37、略设置,理论基础,1密码策略的设置 （1）强制密码历史 （2）密码最长使用期限 （3）密码最短使用期限 （4）密码长度最小值 （5）密码必须符合复杂性要求 （6）用可还原的加密来存储密码,2账户锁定策略,（1）账户锁定时间 （2）账户锁定阈值 （3）复位账户锁定计数器 实训任务 Windows Server 2003安全设置 （1）账户策略设置 （2）本地策略设置,实训步骤,1账户策略设置 （1）本地计算机密码策略设置 第1步：选择“开始”“管理工具”“本地安全策略”“账户策略”“密码策略”，在对话框右边窗格中显示的是密码策略选项的当前配置情况。对于本地计算机中用户的“账户和本地策略”，都在此

38、管理工具中进行配置。 第2步：具体设置密码策略的各项,（2）账户锁定策略设置,第1步：选择“开始”“管理工具”“本地安全策略”“账户策略”“账户锁定策略”，在对话框右边窗格中显示的是账户锁定策略选项的当前配置情况。 第2步：具体设置账户锁定策略的各项（下面以“账户锁定阈值”为例，其余各项设置与此相同）。 （3）Kerberos策略设置,2本地策略设置,（1）本地计算机审核策略。 （2）其余的“用户权限分配”等策略的设置与此基本相同。不再一一重复。 实训总结 （1）要进行安全性设置，必须将Windows Server 2003操作系统安装时选择NTFS分区上。 （2）在域账户中只能有一个账户策略，且在默认的域策略中也必须定义账户策略。,