商业源码服务器教程 2023-11-30 16:20:01

认证系统，如活动目录AD、LDAP、Radius这些，究竟是做什么用的。谢谢你。

AD、LDAP提供目录服务，即类似于企业、人员黄页的东西，用户和组织的信息都被存放在上面，查找起来十分快捷，也可以理解成一种特殊的数据库。

RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

用户是指访问网络资源的主提，表示“谁”在进行访问，是网络访问行为的重要标识。

用户分类：

上网用户

内部网络中访问网络资源的主体，如企业总部的内部员工。上网用户可以直接通过FW访问网络资源。

接入用户

外部网络中访问网络资源的主体，如企业的分支机构员工和出差员工。接入用户需要先通过SSL ***、L2TP ***、IPSec ***或PPPoE方式接入到FW，然后才能访问企业总部的网络资源。

管理用户

认证分类：

防火墙通过认证来验证访问者的身份，防火墙对访问正进行的认证方式有：

本地认证

访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW，FW上存储了密码，验证过程在FW上进行，该方式称为本地认证。

服务器认证（Radius，LDAP等）

访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW，FW上没有存储密码，FW将用户名和密码发送至第三方认证服务器，验证过程在认证服务器上进行，该方式称为服务器认证。

RADIUS（Remote Authentication Dial In User Service）、HWTACACS（HuaWei Terminal Access Controller Access Control System）、AD、LDAP（Lightweight Directory Access Protocol）认证服务器，并在认证服务器上存储了用户/组和密码等信息。对于RADIUS、HWTACACS服务器，管理员需要根据现有的组织结构，在FW上手动创建或者使用文件批量导入相应的用户/组。对于AD或LDAP服务器，管理员可以将AD或LDAP服务器中的用户信息导入到FW上，以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。

单点登录

访问者将标识其身份的用户名和密码发送给第三方认证服务器，认证通过后，第三方认证服务器将访问者的身份信息发送给FW。FW只记录访问者的身份信息不参与认证过程，该方式称为单点登录（Single Sign-On）。

短信认证

访问者通过Portal认证页面获取短信验证码，然后输入短信验证码即通过认证。FW通过校验短信验证码认证访问者。

认证的目的：

在FW上部署用户管理与认证，将网络流量的IP地址识别为用户，为网络行为控制和网络权限分配提供了基于用户的管理维度，实现精细化的管理：

基于用户进行策略的可视化制定，提高策略的易用性。基于用户进行威胁、流量的报表查看和统计分析，实现对用户网络访问行为的追踪审计。解决了IP地址动态变化带来的策略控制问题，即以不变的用户应对变化的IP地址。上网用户访问网络的认证方式：

免认证：

FW通过识别IP/MAC和用户的双向绑定关系，确定访问者的身份。进行免认证的访问者只能使用特定的IP/MAC地址来访问网络资源。

会话认证：

当用户访问HTTP业务时，FW向用户推送认证页面，触发身份认证。

一般指的都是本地认证） ----内置Portal认证

先发起HTTP/HTTPS业务访问-------防火墙推送重定向认证页面-----------客户输入用户名和密码----------认证成功，如果设置跳转到最近的页面，就跳转。如果没有设置跳转，就不跳转

事前认证

当用户访问非HTTP业务时，只能主动访问认证页面进行身份认证。

单点认证

AD单点登录：企业已经部署了AD（Active Directory）身份验证机制，AD服务器上存储了用户/组和密码等信息。管理员可以将AD服务器上的组织结构和账号信息导入到FW。对于AD服务器上新创建的用户信息，还可以按照一定的时间间隔定时导入。以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。

认证时，由AD服务器对访问者进行认证，并将认证信息发送至FW，使FW能够获取用户与IP地址的对应关系。访问者通过AD服务器的认证后，就可以直接访问网络资源，无需再由FW进行认证，这种认证方式也称为“AD单点登录”。

Agile Controller单点登录

RADIUS单点登录

RADIUS认证原理：

图：旁路模式下RADIUS单点登录示意图

RADIUS单点登录交互过程如下:

访问者向接入设备NAS发起认证请求。

NAS设备转发认证请求到RADIUS服务器，RADIUS服务器对用户账号和密码进行校验，并将认证通过的结果返回给NAS设备。NAS设备向RADIUS服务器发送计费开始报文，标识用户上线。

FW解析计费开始报文获取用户和IP地址的对应关系，同时在本地生成在线用户信息。不同部署方式，FW获取计费开始报文的方式不同：

直路：FW直接对经过自身的RADIUS计费开始报文进行解析。

旁路：NAS设备向RADIUS服务器发送计费开始报文的同时还会向FW发送一份，FW对计费开始报文进行解析并对NAS设备做出应答。

此种部署方式需要NAS设备支持向FW发送计费开始报文的功能。

镜像引流：NAS设备和RADIUS服务器之间交互的计费开始报文不经过FW，需要通过交换机镜像或分光器分光的方式复制一份计费开始报文到FW。FW对计费开始报文进行解析后丢弃。

访问者注销时，NAS设备向RADIUS服务器发送计费结束报文，标识用户下线。FW获取计费结束报文并解析用户和IP对应关系，然后删除本地保存的在线用户信息，完成注销过程。

另外在用户在线期间，NAS设备还会定时向RADIUS服务器发送计费更新报文维持计费过程，FW获取计费更新报文后将刷新在线用户的剩余时间。

接入用户访问网络资源的认证方式：

使用SSL *** 技术

访问者登录SSL ***模块提供的认证页面来触发认证过程，认证完成后，SSL ***接入用户可以访问总部的网络资源。

使用IPSec ***技术

分支机构与总部建立IPSec ***隧道后，分支机构中的访问者可以使用事前认证、会话认证等方式触发认证过程，认证完成后，IPSec ***接入用户可以访问总部的网络资源。

L2TP ***接入用户

用户认证原理用户组织结构：

用户是网络访问的主体，是FW进行网络行为控制和网络权限分配的基本单元。

认证域：用户组织结构的容器。区分用户，起到分流作用

用户组/用户：分为：父用户组子用户组。

注意：一个子用户组只能属于一个父用户组

用户：必配：用户名密码，其它都可以可选

用户属性：账号有效期允许多人登录 IP/MAC绑定（不绑定单向双向）

安全组：横向组织结构的跨部门群组。指跨部门的用户

规划树形组织结构时必须遵循如下规定：default认证域是设备默认自带的认证域，不能被删除，且名称不能被修改。设备最多支持20层用户结构，包括认证域和用户，即认证域和用户之间最多允许存在18层用户组。每个用户组可以包括多个用户和用户组，但每个用户组只能属于一个父用户组。一个用户只能属于一个父用户组。用户组名允许重名，但所在组织结构的全路径必须确保唯一性。用户和用户组都可以被策略所引用，如果用户组被策略引用，则用户组下的用户继承其父组和所有上级节点的策略。用户、用户组、安全的来源：手动配置CSV格式导入（批量导入）服务器导入设备自动发现并创建在线用户：

用户访问网络资源前，首先需要经过FW的认证，目的是识别这个用户当前在使用哪个IP地址。对于通过认证的用户，FW还会检查用户的属性（用户状态、账号过期时间、IP/MAC地址绑定、是否允许多人同时使用该账号登录），只有认证和用户属性检查都通过的用户，该用户才能上线，称为在线用户。

FW上的在线用户表记录了用户和该用户当前所使用的地址的对应关系，对用户实施策略，也就是对该用户对应的IP地址实施策略。

用户上线后，如果在线用户表项超时时间内（缺省30分钟）没有发起业务流量，则该用户对应的在线用户监控表项将被删除。当该用户下次再发起业务访问时，需要重新进行认证。

管理员可以配置在线用户信息同步，查看到已经通过认证的在线用户，并进行强制注销、全部强制注销、冻结和解冻操作。

用户认证总体流程：

图：认证流程示意图认证策略:

认证策略用于决定FW需要对哪些数据流进行认证，匹配认证策略的数据流必须经过FW的身份认证才能通过。

缺省情况下，FW不对经过自身的数据流进行认证，需要通过认证策略选出需要进行认证的数据流。

如果经过FW的流量匹配了认证策略将触发如下动作：

会话认证：访问者访问HTTP业务时，如果数据流匹配了认证策略，FW会推送认证页面要求访问者进行认证。事前认证：访问者访问非HTTP业务时必须主动访问认证页面进行认证，否则匹配认证策略的业务数据流访问将被FW禁止。免认证：访问者访问业务时，如果匹配了免认证的认证策略，则无需输入用户名、密码直接访问网络资源。FW根据用户与IP/MAC地址的绑定关系来识别用户。单点登录：单点登录用户上线不受认证策略控制，但是用户业务流量必须匹配认证策略才能基于用户进行策略管控。

认证匹配依据：

源安全区域、目的安全区域、源地址/地区、目的地址/地区。

注意：认证策略在匹配是遵循从上往下的匹配策略。

缺省情况下，FW通过8887端口提供内置的本地Portal认证页面，用户可以主动访问或HTTP重定向至认证页面（https://接口IP地址:8887）进行本地Portal认证。

在线用户信息同步功能的服务端口，缺省值是8886。

用户认证配置思路会话认证配置思路：第一步：基本配置（通信正常）第二步：新建用户（供本地认证使用）第三步：认证选项设置重定向跳转到最近的页面注意：要点应用第四步：默认重定向的认证端口为8887，需要放行安全策略 ip service-set authro_port type object service 0 protocol tcp source-port 0 to 65535 destination-port 8887 sec-policy rule name trust_loacl source-zone trust destination-zone local service authro_port action permit 第五步：配置认证策略 auth-policy rule name trust_untrust source-zone trust destination-zone untrust source-address 10110 mask 2552552550 action auth -------------------默认不认证，修改为认证第六步：检查成功以后必须要有在线用户 12345678910111213141516171819202122232425262728291234567891011121314151617181920212223242526272829免认证配置思路：配置： auth-policy rule name no_auth source-zone trust destination-zone untrust source-address 10112 mask 255255255255 action no-auth 12345671234567AD单点登录配置流程：

插件

Server服务器部分

第一步：安装AD域

第二步：安装DNS服务器----配置转发器

第三步：下载AD SSO（在防火墙下载）

第四步：AD域新建组织单元，新建组，新建用户（关联权限）

第五步：PC 加域（DNS修改为服务器地址）

第六步：安装AD SSO (建议安装二次AD SSO）

联动AD域联动FW

第七步：组策略配置登录和注销脚本

调用AD SSO产生的login

格式;

服务器地址运行端口（AD SSO是一样） 0/1 设置密钥（Huawei@123）

第八步：PC刷新组策略

防火墙部分

第一步：新建防火墙与AD服务器联动

第二步：新建认证域

第三步：把AD服务器用户导入FW ，新建导入策略

第四步：修改认证域新用户，新用户调用导入策略

第五步：导入用户，到用户列表检查

第六步：配置认证策略

Trust区域到服务器区域（DMZ）不能做认证

第七步：配置安全策略，匹配条件只能是AD域的用户

注意：

FW本地到AD服务器的安全策略

AD服务器到FW本地安全策略

DNS的策略

检查：

一定要看到在线用户-----采用单点登录

参考文档：华为HedEx防火墙文档。

微软MCSE认证各科考试的重点和常见题型

70-210：

该科主要考核WIN2000 ROFESSIONAL 的安装和管理，一般来说在准备70-210的同时一定需要将70-215的知识一并复习，正因为它是我们ITExamPrepcom推荐参加考试的第一个科目，考生对考试环境需要一个熟悉的过程，所以并没有想象中的简单，这也是我们把70-210考试难度列为适中的原因。wwwitexamprepcom

可能微软将70-210的考试设定为客户端方面的问题，所以大家觉得比较刁钻。其准备方式和后面的70-215大同小异，在考试前的操作重点主要放在控制台里面项目的使用和排错（要将其选项熟悉，否则会不明不白的错掉考题）。wwwitexamprepcom

70-210是整个MCSE认证过程中的第一科，熟悉考试环境，培养考试心态都是在这一科完成的，而且对以后的士气很有用，加之考试内容与平时实践结合较多，必须一次性通过。

70-210考试中经常涉及的考点和题型:

硬件冲突：其中以网卡、显卡、I/O设备为最常出现。

打印机的设置和排错：网络打印机的安装设置、排除故障问题以及打印权限和打印优先级的问题。

文件夹的性质问题：加密和压缩的差异，以及复制和移动后的存取问题。

文件夹的存取问题：NTFS的权限问题。

安全策略的问题：安全策略设置。

离线文件夹的问题：离线文件夹的使用、设置和排错。

70-215：

该科主要考核WIN2000 SERVER的安装和管理，这科的内容在以后的日常工作中实践的机会最多，应该具备有十分纯熟的操作能力及日后工作管理上的应变能力，所以我们ITExamPrepcom建议时间充裕的学员可以把70-215 TRAINING KIT上的习题认真做一遍，也为后来的考试科目打下扎实的基础。 wwwitexamprepcom

建议学员在准备70-215的考试时务必仔细学习教材，认真实践教材上的实验，你在这门课上多花点时间是绝对值得的，因为后面的考试都是以WIN2000 SERVER为基础展开的。如果这科你没掌握好，后面的学习会非常辛苦；相反这科研究透彻了，后面的学习则会得心应手。wwwitexamprepcom

70-215所考的范围十分的广同时书也是最厚的，基本上WIN2000 SERVER有的几乎都有考到，所以说简单也不简单，说难又没有70-210难。

70-215考试中经常涉及的考点和题型:

磁盘的管理和应用：在此要注意RAID的种类和分别以及RAID还原方式，还有动态磁盘和基本磁盘的差异性及CRASH如何还原修复，考试比例大概10%。

NTFS权限和共享权限的重叠问题：在此要注意两种权限NTFS是AND 取最大权限以及SHARE FLODER 是AND 取最大权限，和NTFS与SHARE FLODER 重叠时必须取最大限制。

RIS（远程安装服务）的应用：建议各位查阅一下RIS的部分(基本上RIS在70-210、70-215、70-216、70-217都多少会涉及)。 wwwitexamprepcom

RIS的排错：在这里会考核RIS部署的基本要素，有AD、RIS SERVER、DHCP、DNS缺一不可，还有RIS对于网卡的需求（有无PXE的部署方式）。

此外70-215也会涉及一点70-217中AD（活动目录）和70-216网络部份的内容，不多也较简单。

MST和MSI的部署及差异性：在70-215的部份大概只有一到两题，主要是在70-217会涉及。

70-216：

该科主要考核运行和管理微软Windows2000网络基本构造，包括对Windows2000网络服务器的深入了解以及它的运作原理：DHCP, WINS, DNS IPSEC CA和RRAS等是贯穿整个考试的中心内容，同时也需要了解实际子网的运作方式，要看一些配置网络协议安全和认证服务器的资料。wwwitexamprepcom

由于你掌握了70-210和70-215的内容，所以基本上能够理解Windows 2000操作系统的细节，了解Windows 2000网络服务器功能的基本知识。由于70-216内容繁多，这就需要集中精力进行大量的重点学习和实际操作来熟练以达到70-216考试的要求。建议先将相关教材看熟，再来多看有关排错的部分，这对分析考试题目很有帮助。

70-216考试中经常涉及的考点和题型:

DNS：70-216的考试中DNS、DHCP、RRAS是考得最多的，其常出现的题型大都是混合DNS、RRAS、DHCP，再加上长长的叙述和多选题。

DHCP：DHCP在此考了将近1/3是有着很重的比例，建议熟读。常考的有DNS、WINS、DEFAULT GETWAY的分配，以及DHCP RELAY AGENT（要判断其使用DHCP RELAY AGENT时机和位置）。wwwitexamprepcom

WINS：主要考备份和还原，以及一些管理上的小问题和WINS PROXY的题目。

RRAS：通常与DNS、DHCP、OSPF合在一起考，答题需仔细。

其它题型：例如局域网络IP的规划，子网掩码的算法，区网IP分割等和TCP/IP有关的计算和规划，大概3~4题左右。

70-217:

该科主要考核AD（活动目录）的使用和管理，AD是自WINDOWS NT40 以后微软管理上一个很大的突破，具备良好的AD管理基础也是一位真正MCSE所必须要掌握的技能之一。此科目和70-219最大差别为70-217为AD的安装和管理以及问题排除，而70-219为AD的建置计画（也就是规划公司企业的AD结构），所以有心将70-219一起准备的朋友，70-217的基础打好的话，考70-219还是很简单的。wwwitexamprepcom

70-217考试中经常涉及的考点和题型:

DNS：设置A活动目录一定涉及DNS，所以DNS在70-217的考试中也有举足轻重的地位，在此要注意AD和DNS结合的细节（包BIND的相关知识）以及DNS的安装设置。

RIS：其重要性不再赘述；wwwitexamprepcom

AD的备份和还原：注意授权还原和非授权还原的差异及步骤；

AD的数据库压缩： wwwitexamprepcom

MSI和MST的差异：注意MSI和MST的差别以及部署差异以及相关问题排除。

权限的设定和继承关系：SITE-->DOMAIN-->OU-->USER。

帐号群组建立原则：A-->G-->G-->U->DLG<--P。

70-219：

该科主要考核AD（活动目录）的设计，70-219基本上来说是一个综合科目，再加上前面70-217的基础踏实，考70-219就比较简单了，219之所以被列为“设计”，自有它的道理，给你一个案例比如一个有多个分部的公司环境，要求你做某些事情，技术要求不算难，应该讲219是一个关于AD设计与规划的大体轮廓，主要还是要理解问题给出的环境以及需要做到哪些要求。wwwitexamprepcom

70-219考试中经常涉及的考点和题型:

主要考核DNS ZONE与AD域的规划和设计。wwwitexamprepcom

70-228:

该科主要考核SQL SERVER 2000的安装、管理、及问题排除，因为和以前的考试没有太多的联系，等于重新开一科，所以还是多下点功夫才能过关。但是终究无非开帐号、建数据库、修复与备份和还原数据库，配合教材找出重点，并多多上手实际操作，也可以高分通过。

70-228考试中经常涉及的考点和题型:

T-SQL的程序设计：考的比较多的是有关SQL SERVER的管理应用语法，开帐号、建数据库等。

SQL的安装和升级:

数据库的建立：T-SQL的建立语法和ENTERPRISE MANAGER的建立方式。

监控程序的分析和解决效能瓶颈：要会分析数据和解决题目所给出的问题。

DTS的使用：wwwitexamprepcom

权限的问题：大致和70-210或70-215的权限出法差不多，但要熟悉每种角色身分的差异。wwwitexamprepcom

使用者自订函数和使用者自订预存程序的差别：

70-229:

该科主要考核SQL SERVER 2000数据库的配置和管理，考了很多T-SQL的程序设计，要求熟悉，否则容易失手，感觉70-229比70-228难得多，学员学习时要多多注意。

在真正的工作中为SQL Server做开发不是一件容易的事，要让SQL Server 运行得尽可能高效、快速不算容易，SQL Server开发人员除了要掌握好现有的技术、利用好现有的资源以外，还应该不断观察、了解SQL Server，掌握它的运行状态，在必要的时候找出影响运行效率的瓶颈所在。wwwitexamprepcom

70-229考试中经常涉及的考点和题型:

T-SQL的程序设计：考T-SQL语法的试题在70-229的考试中占据了相当多的题量，而且出题的方式有除错、修改、增加、判断使用语法是否正确等的很多种。

对于相关数据库需求的考题：这种类型的考题会有一段叙述，要注意其文字叙述内容，加以推敲答案就会浮现出来。

XML和SQL结合的程序设计

MCSE2000认证专题

测定掌握微软WindowsNT服务器和微软Backoffice集成系列服务器产品的熟练程度，凡有志于掌握计算机网络相关技术，熟知相关产品技术性能和操作方法的人，最好先考虑此项认证。

微软认证系统工程师（MCSE)需要五门核心课程及两门选考课程，分别如下：

第一科考试：Win 2000基础

需要进行70-210考核，安装、配置和管理Windows 2000，这是你想要获得MCSE认证的最基本的要求。在你为这项考核做准备的时候，你将会对客户端的Windows 2000管理任务十分熟悉，诸如安装（维护型和非维护型），硬盘配置和网络协议中疑难问题的解决。当要测试远程安装服务（RIS）、DHCP服务器、DNS（域名）服务器、国际互联网信息服务等时，就不可避免地要转到对Windows 2000服务器的学习。当你通过基础考核，会发现你已经为攻克Windows 2000服务器的考核迈出了一大步。你那学习的“雪球”已经开始形成了。

第二科考试：Win 2000服务器

通过了基础考核之后，应该进行70-215考核——安装、配置和管理Windows 2000服务器。这个考核你不是对之一无所知，因为你那“学习雪球”已包含了大量关于服务器的内容，当你在做准备的时候，也许是在你研读第一本参考书或者在你进入Windows 2000测试实验室时，你将会发现在基础考核与服务器考核之间有很多内容是重叠的，事实上你会发现许多二者公用的知识，所以你如果只把这次考核所知道的知识作为你仅有的才能，那么就会在这次服务器的考核当中呈现出很大的弱势。你应该从现有的知识基础之上出发，并且在你用服务器的知识形成新的概念性基础时，应该逐渐扩大你的知识面，充实你的雪球。一些你需要掌握的新的内容包括：RAID的配置、分布式文件系统、资源访问控制、终端服务配置和认证服务器执行。

第三科考试：网络的基本构造

70-216考核是测试运行和管理微软Windows 2000网络基本构造，比基础和服务器的考核都难得多。比起初学者，那些已有了大量对Windows NT或Windows 2000网络亲身操作经验的人有更多的优势，当然，大多数的人还是要集中精力进行大量的重点学习和实验室的实际工作来达到熟练掌握以达到考核水平。

网络基础考核的内容包括对Windows 2000网络服务器的深入了解以及它的运作原理：DHCP, WINS, DNS 和 RRAS。同时也需要了解实际子网的运作方式。你要看一些配置网络协议安全和认证服务器的资料。然而，由于你掌握了专业和服务器的内容，所以能够理解Windows 2000操作系统的细节，明白Windows 2000网络服务器功能的基本知识。通过网络基础考核只是对你现有知识内容继续进行拓宽和加深。第四项考核：目录服务器基本结构

第四科考试：目录服务器管理

下一个MCSE考核是#70-217考核，它是关于运行和管理微软Windows 2000目录服务器的基本结构。对于这次考核你需要稍稍“调低挡速”，因为目录服务器基本结构的考核涉及到管理活动目录服务器而不是管理Windows 2000操作系统的具体细节。然而，即使你现在对DNS、DHCP、审核、OUS以及管理用户和小组账目有了深刻的理解，要完全吃透目录服务器基本结构仍需要花费较长时间。你那“雪球”需要融入的新内容包括活动目录的相关术语、生成和管理站点、站点间的连接以及执行小组决策和管理活动目录数据库。当你拿到你的目录服务器基本结构的考试成绩单，那么你现在就已经通过了MCSE考核的最核心的四步。

第五科考试：目录服务器设计

通过了核心四步，便是转到Windows 2000认证过程中十分令人担心的第二个阶段的时候了，即设计考核。你需要通过可供选择的三种考核的一种来达到要求。基于这些情况，建议参加#70-219考核，它是关于设计微软Windows 2000目录服务器基本结构。建议你参加#70-219考核是因为你刚刚达到了对目录服务器的全面了解的较高水平，事实上，为通过这项考核，你所应具有的知识都已经包括在你那内容“雪球”中了。目前你应该特别注意要掌握的领域知识是小组决策。你需要进一步深化的是你的鉴别性思考能力和分析性阅读能力。目录服务器考核是由四个案例研究组成的，每一个案例研究都由多项选择和相互制约的条目组成，鉴别性思维是这个考核中重要的方面。你应该深思熟虑之后去挑选一些关于鉴别性思维的书，从中找到可以给你启示的东西，教你如何能从冗长乏味的原文内容中鉴别和提炼出关键性内容。

第六科考试：安全设计

设计微软Windows 2000网络的70-221考核大约为九级，而关于设计微软Windows 2000网络安全的70-220考核大约为四、五级。现在听起来笔者是一个对简单易行方式的倡导者，但有时你不得不需要看一看自己的日程安排、经济状况，并问自己还可以在这件事情上投入多少的时间和金钱？安全考核是由四个案例研究组成的，这就意味着所有适用于目录服务器考核的规则在这个考核中也可以拿来用。至于考核内容，你不必太担心，你的“雪球”在这一点上就可以发挥作用了。由于这是关于对安全的考核，所以你应该拓宽和加深对如下概念的理解：虚拟个人网络的鉴定协议、数据加密、公共密钥的构成（PKI）、加密文件系统(EFS)以及资源审核。安全考核中另一个难点是要应付大量的烦人的相互联系、彼此制约的选择条目。总之，安全考核是一个比较简单易过的测试。当你通过了这项考核，你就已经完成了两种可供选择的考核的一种。你几乎就可以称作MCSE了！

第七科考试：移植

在讨论移植考核之前，首先要提醒你，你已经明确掌握了重要的东西：通过了大量的可以有资格成为Windows 2000 MCSE选修科目的考核。在你准备报下一个考核之前，看看你的MCP抄本或者在microsoftcom/trainingandservices网址看看MCSE选修科目。

对于继承以前的考核来选择自己目前想要参加考核的做法，需要提醒你的是：你不知道微软在什么时候作废了某项考核。如果你决定去参加另一项Windows 2000考核，建议你参加70-222考核，它是关于将微软 Windows NT 40 移植到微软 Windows 2000上。接下来我们将进一步讨论选择这项考核的原因以及应付考核的方法。

移植考核使用了混合的形式。在考试当中你将会遇到许多案例研究以及互不相干的多项选择题目，那些曾经在Windows NT平台上进行工作的人，此时，就有一定的优势，因为在该考核中涉及到许多的Windows NT基本概念：域结构、对安全账号管理的数据库、PDCs（嵌入式分布式控制系统）和 BDCs等。而那些加入到MCSE的人会焦虑地道：仅具有Windows 2000的知识看来是跟不上时代的潮流了，应该尽快学习NT的相关知识。现在你可以在许多书店十分便宜地就能买到NT的书籍。

为了通过移植考试，你需要具有对几种Windows 2000工具包中新加的一些工具的应用知识，例如：Netdom, ClonePrincipal, Movetree 和活动目录移植工具(ADMT)。你也需要了解与域结构调整相对应的复杂的域升级知识，在NT和2000之间移动用户和小组账号，以及实施故障排除、系统恢复的计划，这些都是十分重要的部分。当计划实施到这个阶段时，你自然就明白了微软是如何利用案例研究这种形式的，同时你也已经有了一个足够大的、内容扎实的“雪球”来应付所有涉及到Windows 2000系统的问题。移植考核的挑战就是你要有必要的Windows NT技术以及理解微软将Windows NT移植过来的方法。

希望在你领悟了如何构造自己的内容扎实的雪球，并利用它在朝着取得MCSE认证的努力过程中，获得许多的乐趣。

以怎样的顺序参加考试？

现在是决定参加考试的顺序的时候了。很明显，虽然这是一个很主观的问题，但仍就有一些必须考虑的建议：考试顺序上，我们建议按照考试科目的增加顺序来考，即按70-210，70-215，70-216，70-217，70-219，70-220，70-221的顺序。

为什么选择这种考试顺序？

为什么选择 70-220、70-221作为选考科目？

这主要是应为此两门课程所涉及的知识于前面几门必修课程是相接合的，是前面知识的应用和实践，同先修的必修课一起是WIN2K体系中最主要、最常用的部分。而其它的选修课程则是讲述的除上述WIN2K体系主干外的一些特殊技能。在国外，各种技术的分工比较细，所以这些课程就是针对各种专项能力设计的，而且用人的公司对流行IT认证也是非常熟悉的，所以应聘者不但要拿出MCSE证书，而且还要说明是通过考那几门课程得到的（与大学毕业生要把自己所修的主要课程写在自荐书上是一个道理）。

如选修中的70-223: Clustering Services with Windows 2000 Advanced Server 主要讲的是Advanced Server的Clustering 服务，这主要用在ISP上。

Windows 2000 MCSE经验谈

有备而战

在开始学习微软认证课程之前我们需要了解一些事情。

首先，我们来探讨一下微软认证学习所需的基础技能。有很多人想要获得微软认证，但是因为某些原因而放弃了。根据我们的了解，这“某些原因”主要是两个方面，一是计算机基础的差异，二是英语水平的高低。

也许有人要问，微软认证考试到底需要什么程度的计算机基础和英语水平呢？我们要知道科技英语与文学英语是有差异的。科技英语语法简单，不用什么推敲就能明白其意思，重要的是对于相关科技术语的掌握，其他方面的要求我们觉得具备高中生的英语水平就足够了。也就是说，虽然微软认证考试是全英文的（也有中文考试，但一般是后于英文考试出现，并且由于中文翻译等方面的原因我们建议选择英文考试），微软认证参考书籍大部分也是全英文，但这些并不可怕，当你阅读完一本参考书籍时，心里的感受套用一句广告词来说就是：“就这么简单！” 我们在讨论获得微软认证需要什么样的计算机基础之前，首先要明了微软认证其实是证明应试者在特定环境下使用微软产品的能力，也就是说只要把微软产品搞清楚，通过考试还是有把握的。请注意，我们这里是说通过考试是有把握，如果没有一定的计算机和网络基础即使获得了微软认证也不利于自身的发展，况且，有一定的计算机和网络基础对于微软认证相关课程的学习大有好处，主要体现在学习的效率上。其次，正如前面所提到的，微软认证是测试应试者使用微软产品的能力，实际操作的能力，这一点可以从认证考题中读懂一二，而且我们也坚决相信“实践出真知”的硬道理。如果学习微软的产品只是纸上谈兵，不仅学习效率不高，而且没有培养出实际操作的能力等等。所以我们建议组建一小型Windows 2000的局域网，这大概需要2-3台计算机。这样我们就可以完成从Windows 2000的安装，Windows 2000活动目录的配置，Windows 2000 DNS和DHCP的配置到Windows 2000策略设计等等的试验操作。

最后，我们还要定制一适合于本人的学习计划。据心理学家分析，一个人如果没有压力或压力过大，是会影响其学习和工作效率的。制定学习计划的目的是给予我们一定的压力，当然这需要足够的本人监督。一般的，我们建议两周学习一门微软认证相关课程。我们可以在最初的两周学习过程中，一边学习，一边检讨，找出最适合自己的学习时间长度和学习方法。

只言片语

前面已经提到对于认证相关术语的掌握是非常重要的。在微软认证相关参考书籍中有大量的术语和英语缩写，一些可以通过上下文了解，一些在文中没有作出解释的我们可以通过字典工具了解。现在比较流行的字典工具软件是金山词霸，详细叙述请访问金山词霸在线，我们不推荐使用全屏汉化软件，因为这样只会使事情变得糟糕。另外微软出版社出版的微软网络百科全书（Microsoft®Encyclopedia of Networking）也有非常高的参考价值。微软网站上是这样描述该书的：Get the A-to-Z details you need about Microsoft networking technologies—straight from the source

通过以前章节的介绍我们知道Windows 2000途径的MCSE认证考试是从70-210直接开始的，就算在70-216中对于网络基础有所提及但叙之甚少。这些是由于微软认为参加Windows 2000途径的认证考试的应试者已经具备相当的网络知识和实际操作经验。但是每个应试者的情况肯定有所不同，所以我们建议计算机和计算机网络基础比较薄弱的朋友，可以阅读下面的认证书籍。wwwITExamPrepcom防伪标记版权所有

MCSE Training Kit: Networking Essentials Plus, Third Edition

MCSE Readiness Review, Exam 70-059, Internetworking with TCP/IP on Microsoft® Windows NT® 40

由简入深易，由深入简难。知识的获得总是循序渐进，不断积累的。成为MCP同样是一个获得知识的学习过程。我们建议从最容易的地方下手，就从70-210开始认证之路。

认证考试的范围在“考试细节”中已经给出，所以这里就不再累述了。只是要注意的是在真正的考试之前一定要确信已经非常熟悉的掌握了“考试细节”中提出的问题。在微软的认证考试中，可以针对一个考点变换多种试题形式，如单选，定项多选，不定项多选，拖拽等类型，但万变不离其宗，有了“金钢钻”就无所畏惧。至于学习提纲可以浏览“考试重点”，其中的内容虽说只是点到为止，没有详尽的叙述，但高屋建瓴的作用不容忽视。在认证的学习中，正如前面所提到的应当注重理论与实践相结合。一般的认证书籍针对考点分章节写成，每一节末尾都有试验操作，一些人认为这无关痛痒，只是草草的看过。我们不赞成这种做法，须知实际的动手操作是对所学的一种巩固和消化，况且这对于以后的工作也是大有好处的。同样，每一章完结后是有练习题的，通过这些练习题我们基本上可以了解这一章的掌握情况，对于不足之处应多多学习。空格总结上面的废话，学习的步骤其实就是Study －>Operation －>Question。

在这里我们不打算占用篇幅来说明认证学习中什么是重点等等，因为“考试细节”和“考试重点”中已经提到，我们只是觉得大家应该注意下面的问题。70-210，70-215，70-216和70-217有许多章节是重叠的，不同的只是在于重点和深度不一样。而在微软的认证考试中我们遇到这样的情况，如在70-210的考试中会出现与70-215关系紧密的题目，但是在70-210的参考书籍中与该题相关的叙述只是一笔带过，或甚至是没有，如果应试者只是阅读了70-210的相关书籍资料，就很有可能在这道题上被终结。

所以我们建议大家将70-210到70-217通看一遍。虽然70-210和70-215在于系统的安装，硬件，文件系统，资源管理和客户服务等；70-216在于网络基础，包括：DNS, DHCP, WINS, 协议和路由, 远程存取访问,网络安全等；70-217在于活动目录等，但是当从头到尾学习完这四门课程以后，我们确信你将会对Windows 2000的网络有一个完整的认识。

在Windows 2000途径的MCSE认证考试中，70-219，70-220和70-221出题类型与前面提到的考试有所不同，是情景题即Case Question。这种方式体现在一般考试有四个左右的Case，每个Case分为两部分，前一部分是情景叙述，后一部分是针对叙述中出现的文字提出的问题，问题一般在十道左右，作一个比方来说，这很象英语考试中的阅读理解。70-219，70-220和70-221是以70-210到70-217为基础的，所以前面学习的好坏直接影响到后面学习的效率。

这里没有提及的微软认证考试情况都大同小异，切记只有准备充分，才能参加考试。写出来的东西是“仁者见仁，智者见智”的，如果这篇心得体会对你有所帮助的话，我们就心满意足了。