Comptia-服务器认证指南-全-

Comptia 服务器认证指南（全）

原文：annas-archive.org/md5/07644eedeea0121cba48385937ebfb1c

译者：飞龙

协议：CC BY-NC-SA 4.0

前言

CompTIA Server+认证是五大 IT 认证之一，且不偏向任何供应商。系统管理员选择 CompTIA Server+认证，以深入了解故障排除和网络等概念。

本书将从基本网络服务器的配置及其各种角色的配置开始。接下来的章节将概述系统管理员管理和维护网络服务器所需的职责和任务。继续往下，你将学习可以应用于服务器及其网络的基本安全技术、方法和程序。

接下来，你将学习一般的故障排除程序和方法，特别是针对硬件、软件、网络、存储设备和安全应用程序的故障排除方法。在本书的最后，你将学习一些故障排除和安全缓解的概念，以便轻松管理管理员服务器。本指南包含了测试题和模拟试卷，帮助你通过考试。

本书结束时，你将能够轻松通过 CompTIA Server+认证考试。

本书适合谁阅读

本书面向寻求获得 CompTIA Server+认证的专业人士。来自微软背景、具备基本操作系统和网络技能的人也会发现本书非常有用。必须具备一定的系统管理经验。

为了充分利用本书

本书中，你需要以下内容：

一台具备正常网络连接的 PC
Windows 系统，最好是 Windows Server，但 Windows 10 也可以。你还需要管理员权限。
一台 Linux 系统或在 Windows 上运行的模拟器也可以。

下载彩色图像

我们还提供了一个包含本书中使用的截图/图表的彩色图像的 PDF 文件。你可以在这里下载：www.packtpub.com/sites/default/files/downloads/9781789534818_ColorImages.pdf。

使用的约定

本书中使用了许多文本约定。

CodeInText：表示文中的代码词汇、数据库表名、文件夹名、文件名、文件扩展名、路径名、虚拟 URL、用户输入和 Twitter 账号。这里是一个示例：“在这个条目中，162.29.5.12是源 IP 地址，而0.0.0.0是通配符掩码。”

代码块如下所示：

11111111.11111111.11111111.11111111 (decimal 255.255.255.255)

任何命令行输入或输出都按如下方式书写：

$ nslookup packt.com

粗体：表示一个新术语、一个重要的词汇，或者屏幕上出现的词汇。例如，菜单或对话框中的词汇将在文中以这种方式出现。这里是一个示例：“消息‘服务无法启动，可能是因为它被禁用，或因为没有与之关联的启用设备’表明一个或多个服务、程序或脚本未能启动。”

警告或重要说明以这种形式出现。

提示和技巧以这种形式出现。

联系我们

我们始终欢迎读者的反馈。

一般反馈：如果您对本书的任何内容有疑问，请在邮件主题中提及书名，并通过 customercare@packtpub.com 与我们联系。

勘误：虽然我们已经尽力确保内容的准确性，但错误还是可能发生。如果您在本书中发现错误，我们将非常感激您向我们报告。请访问 www.packt.com/submit-errata，选择您的书籍，点击“勘误提交表单”链接，并填写相关信息。

盗版：如果您在互联网上发现我们的作品以任何形式的非法复制，我们将感激您提供该资料的位置地址或网站名称。请通过copyright@packt.com与我们联系，并附上相关资料的链接。

如果您有兴趣成为作者：如果您在某个领域有专业知识，并且有意向撰写或参与编写一本书，请访问 authors.packtpub.com。

反馈

请留下评价。阅读并使用完本书后，为什么不在您购买书籍的网站上留下评价呢？潜在读者可以通过您的公正评价来做出购买决策，Packt 也能了解您对我们产品的看法，而我们的作者则可以看到您对其书籍的反馈。感谢您的支持！

欲了解更多关于 Packt 的信息，请访问 packt.com。

第一部分：系统架构

本部分内容涵盖了基本网络服务器的配置以及适合其多种角色的配置。此部分的章节讨论了硬件、操作系统、数据存储、网络地址分配和布线。

以下章节包含在此部分中：

第一章，服务器硬件
第二章，服务器内部结构
第三章，数据存储
第四章，服务器操作系统
第五章，地址分配
第六章，布线

第一章：服务器硬件

通常认为计算机网络服务器，至少在我们讨论的方式中，是硬件优先，软件其次。虽然更容易将计算机设想为网络服务器，事实上，服务器是运行在计算机上的一款软件。严格来说，服务器是指任何提供服务以满足向其提出请求的设备。因此，在餐厅中接单并将餐食送到我们面前的人也是服务器，同样，在计算机上运行并处理数据库中 SQL 请求、并将数据返回给请求者的软件也是服务器。无论你如何设想一个服务器，为了学习服务器的概念，我们可以达成共识：一个运行服务器软件并向网络提供服务的集中式计算机就是服务器。

理解了这一点后，我们来看一下计算机网络服务器所履行的各种角色，以及典型计算机在作为服务器角色时的硬件配置。

本章将涵盖以下主题：

服务器角色
形式因素
服务器电源系统
系统散热

服务器角色

运行在服务器上的软件定义了该服务器的角色。实际上，服务器有时可能会承担两个或更多不同的角色，这取决于所使用的软件。服务器可能承担的不同角色很多，但为了 Server+ 考试的需要，你应该了解以下每种服务器类型的角色和功能：

应用服务器
数据库服务器
目录服务器
文件服务器
邮件服务器
消息服务器
网络服务服务器
打印服务器
路由和远程访问服务器
Web 服务器

以下部分将解释每个服务器角色。

应用服务器

在当前基于云的 web 启用或 软件即服务 (SaaS) 应用程序的环境中，应用服务器的功能类似于上面给出的通用描述。应用服务器通常为一个或多个应用程序提供服务，并充当用户请求与其他服务器或网络功能（如数据库系统）之间的中级服务。应用服务器有三种基本类型。它们的区别在于它们的功能以及它们在流程中的位置。这三种应用服务器类型如下：

局域网应用服务器：这种类型的应用服务器可以存在于组织的内部网络中，为网络用户在一个或多个应用程序中提供数据处理支持。它们可能会托管整个应用程序的处理，或与用户计算机共享处理。此类应用服务器的常见实现方式是三层客户端/服务器环境，其中应用服务器作为网络用户与数据库管理系统之间的中间件。以下图示展示了三层客户端/服务器系统：

在三层客户端/服务器系统中，应用服务器为用户和数据库管理系统或其他功能特定的服务器提供服务。

基于查询的应用服务器：这种类型的应用服务器托管一个或多个用于从数据库请求数据的脚本或编程语言服务。用户的计算机可能具有一个活跃的仪表板、状态板，或一个特定的脚本或服务请求系统，例如Active Server Page（ASP）、JavaServer Pages（JSP）、Django 或 Ruby on Rails。应用服务器访问数据库并将当前或实时数据返回给客户端软件。
应用/网页服务器：在许多情况下，应用服务器正逐渐成为网页服务器，反之亦然。任一类型的服务器都可以支持超文本传输协议（HTTP）的请求与响应流量，并与客户端浏览器互动。独立的网页服务器（也称为 HTTP 服务器）通常除了执行基本的网页服务器职责外，还包含多个专用脚本和数据库查询服务。具备网页功能的应用服务器包括向客户端浏览器传送网页内容的能力。网页/应用服务器的例子有 IBM WebSphere、Oracle iPlanet、Apache Tomcat 和微软的Internet Information Services（IIS）。

数据库服务器

如前图所示，在应用服务器部分，数据库服务器提供了客户端请求与数据库管理系统及其数据库之间的接口，无论是直接连接还是通过应用服务器。在大多数情况下，应用服务器将数据请求传递给数据库服务器，以处理和检索请求的数据。然后，数据库服务器将数据返回给请求节点。在数据库客户端/服务器环境中，执行数据库输入/输出操作的数据库管理系统是后端。运行在主机计算机或应用服务器上的软件是前端。数据请求从前端流向后端，然后再返回。

目录服务器

目录服务器支持目录服务。好的，那么什么是目录服务呢？ 你是否曾进入一栋非常高的建筑物，使用目录板找到你需要寻找的人员或组织所在的位置？ 通常，你会找到名称，并且同一行上有位置。听起来是不是很熟悉？ 目录服务交叉引用或映射计算机或网络资源的名称、指定或位置到它们各自的本地或网络地址。

通常识别和寻址的资源包括磁盘卷、目录、文件夹、文件、输入设备、输出设备以及系统上连接或安装的任何其他设备。这项服务在网络中至关重要。有了这些信息，资源就可以被定位、使用和管理。如果没有目录服务，网络资源的寻址就像一个没有街道地址的城市。高效的网络操作将变得不可能。目录服务也被称为名称服务，因为它们管理一个命名空间。命名空间是一种数据抽象，保存系统资源的名称或身份列表，并且这些资源的网络地址或位置。在命名空间中，用户、应用程序和其他服务可以访问资源，而无需事先知道其位置。目录服务器或名称服务器是一个服务器应用程序，它提供目录或名称服务的组织、管理和安全性，例如，微软的 Active Directory、Red Hat 目录服务器、Lotus Domino。

文件服务器

文件服务器顾名思义——就是一个用于文件的服务器。文件服务器有多种类型，但通常来说，文件服务器为网络上的其他节点提供数据资源。文件服务器的配置是多个因素的组合，包括存储容量、访问时间、安全性、容错能力，当然还有预算。为了最好地满足组织的数据需求，文件服务器必须根据这些因素的合适组合进行设置。文件服务器可以扮演两种角色之一：

专用文件服务器：这种类型的文件服务器专门为客户端提供文件或数据库内容。专用文件服务器仅在这个角色下运行。
非专用文件服务器：这种类型的文件服务器支持两个或更多的服务器服务或功能。

定义这些角色的是数据共享的方法。文件服务器可以是文件传输协议（FTP）服务器、服务消息块/公共互联网文件系统（SMB/CIFS）协议服务器、HTTP 服务器，或网络文件系统（NFS）服务器。另一种文件服务器的形式是网络附加存储（NAS）系统。

邮件服务器

邮件服务器，也被称为电子邮件服务器或邮件传输代理（MTA），处理并传输网络上的电子邮件信息，直到互联网。邮件服务器模拟人类邮递员的功能，接收传入邮件并将其转发到目的地，通常是另一个邮件服务器。邮件服务器与邮件传输的两个主要协议是简单邮件传输协议（SMTP）和邮局协议 3（POP3）。SMTP 在邮件服务器之间传输消息。POP3 是一个客户端协议，它与邮件服务器交互，发送和接收指向特定用户的消息。

消息服务器

消息服务器是一个中间件服务，接收、转发或保存客户端应用程序和服务之间的消息。这些消息在运行在网络上的客户端进程之间通信请求、响应和状态更新。消息服务器主要有两种类型：

点对点消息服务器：这种消息传递是一个客户端通过消息服务器与单个收件人客户端之间的通信。尽管其他客户端可能在监控消息通道，但只有被寄信客户端会收到消息。点对点消息服务的一个例子是 Java 消息服务。
发布-订阅消息服务器：这种消息传递方式从客户端（发布者）通过消息服务器传递到包含多个订阅客户端的消息类别。订阅者指示希望接收哪些消息类别。然后客户端只接收他们已订阅的类别的消息。发布-订阅消息服务的例子包括 Faye、NATS 和 Redis。

网络服务服务器

网络服务是网络服务器向网络客户端提供核心服务的服务，如数据存储输入/输出（I/O）操作、信息显示、点对点通信等。网络服务在 OSI 应用层上运行。

尽管网络操作系统（NOS）提供了大部分网络服务、协议和服务，如域名系统（DNS）、动态主机配置协议（DHCP）、即时通讯、网络语音传输协议（VoIP）、网络时间协议（NTP）和电子邮件可以从集中式网络服务服务器运行。

打印服务器

打印服务器是一种设备（计算机、设备或软件），接受客户端的打印请求并提供对网络连接的打印机、绘图仪或其他成像设备的排序和管理。直接连接到台式计算机的打印机可以通过打印队列管理打印功能，通常按先到先服务的原则进行。在网络上，有任意数量的客户端请求打印服务时，对打印机的访问有时可能会引起争议。除了管理网络的打印队列外，打印服务器还可以管理或执行打印策略，例如打印量、彩色打印等。今天的打印服务器是专门用于单一打印功能的独立网络设备。以下图示显示了包括打印服务器的无线网络：

包括打印服务器的无线局域网

代理服务器

代理服务器是中介网络服务，它接受来自远程服务器的网络客户端请求资源。代理服务器检查客户端的请求并确定提供请求资源的最有效方式。客户端的请求可以是服务、文件或网页等各种基于网络的资源。在今天的网络中，代理服务器通常是 Web 代理，提供多种功能，例如减少网络流量、隐藏请求者身份和绕过 IP 地址屏蔽等。代理服务器不一定需要中央网络计算机来操作。代理服务器可以位于一个或多个用户的工作站上，网络中的一台服务器，或介于两者之间的多个位置。代理服务器的位置远不如其将用户工作站连接到互联网上所需服务器的能力重要。代理服务器有多种类型，每种类型提供一种主要服务。最常见的代理服务器类型有：

网关代理服务器：这种类型的代理服务器，也称为应用级网关或隧道代理服务器，作为本地网络与互联网之间的门户，发送和接收未修改的客户端请求和响应。
面向互联网（转发）代理服务器：这种类型的代理服务器促进内部网络向互联网请求资源。
开放代理服务器：这些是转发代理服务器，将请求和响应消息发送到或从任何地方的内部网络传输。
内部代理服务器：这种类型的代理服务器提供多种方式来保护和服务其内部网络。反向代理服务器可以执行身份验证、授权、缓存、解密和负载均衡。
反向代理服务器：内部代理服务器的一个常见用途是作为反向代理服务器。此类代理服务器接受来自互联网的请求，例如 HTTP 请求，并将其传递给适当的内部网络服务器进行处理。

路由与远程访问服务（RRAS）

RRAS 是一套微软协议，旨在提供三种基本功能：

防火墙：Windows Server 2008 中的 Windows 防火墙替代了 RRAS 中的基本防火墙功能。
路由器：配置为运行 RRAS 的服务器可以执行多协议路由，包括 IP、IPX、AppleTalk、路由信息协议（RIP）、开放最短路径优先（OSPF）和互联网组管理协议（IGMP）的路由。
远程访问：为拨号和虚拟私人网络（VPN）客户端提供远程访问连接，支持 AppleTalk、IP 或 IPX。

RRAS 采用点对点协议（PPP）作为其传输协议。这使得 RRAS 能够结合路由器和远程访问功能。

虚拟服务器

虚拟的东西就像某物，但它实际上并不等同于那个东西。所以，虚拟服务器就像是一个服务器，但它并不真正是服务器。嗯，差不多。虚拟服务器是一个软件支持的逻辑对象，运行在物理计算机的内存中。只要物理计算机具备足够的硬件资源，特别是内存，它可以支持多个虚拟服务器。如下图所示，一台物理计算机可以支持一个、两个甚至更多虚拟服务器。除了硬件和适当的设备驱动程序外，虚拟化层——称为虚拟机监控程序（Hypervisor），直接为虚拟服务器提供支持，每个虚拟服务器都在内存中占据一个外壳。每个虚拟服务器都可以支持多个虚拟机，这些虚拟机可以安装在同一台主机硬件上，或者其他网络计算机上：

一台物理计算机可以承载一个或多个虚拟服务器

外形规格

对于计算硬件，外形规格指的是计算机机箱及其内部组件的尺寸、形状和其他物理特性，包括电源、内部存储设备的安装支架、主板及其支架、内存、扩展卡、微处理器插槽及其他插槽和支架。接下来的图像展示了多种主板外形规格，每种规格的主板都被设计成适配相同外形规格的计算机机箱。例如，一块 ATX 主板安装在 ATX 计算机机箱中：

五种不同外形规格的主板

图片来源：VIA Technologies, Inc

塔式服务器

在较小的网络和一些家庭网络中，常见的做法是将一台塔式计算机作为网络服务器。像下面图片中的塔式计算机，通常是放置在一个立式机箱或柜子中的。塔式计算机常用作网络服务器。这意味着塔式计算机通常会比小型办公室/家庭办公室（SOHO）计算机拥有更多不同的组件和连接器，哪怕它们也位于塔式机箱中：

一台塔式网络服务器

塔式机箱的直立高大设计提供了更好的内部组件散热。然而，当塔式计算机被集群使用时，它们占用更多空间并可能造成复杂的布线安排。此外，塔式计算机通常并不是最安静的设备。

机架式安装

服务器运行的计算机硬件被安装在一个纤薄的机箱内，固定在机架系统中。机架本身通常是一个两轨或四轨的垂直结构。服务器或其他机架安装设备通过安装支架固定在垂直轨道上，支架由水平安装的轨道组成，设备坐落于其上，并有紧固件将两者固定在垂直支柱上。连接到机架安装设备后部的电缆可能会安装在一个电缆管理臂上，这有助于 1）整理设备上的电缆，2）在维修或升级设备时避免电缆阻碍。机架安装设备的高度以机架单元（U）为单位进行衡量。一个机架单元等于 1.75 英寸（44.45 毫米）高。机架安装设备的尺寸是以其在垂直机架中占用的 U 数为标准。下图展示了1U、2U、3U和4U半机架安装设备的相对尺寸。服务器最常见的尺寸为1U或2U：

机架式服务器的尺寸以机架单元（U）为单位

电子工业联盟（EIA）已为机架系统设定了一个标准，高度为 42U，宽度为 19 英寸或 23 英寸（48.3 厘米至 58.4 厘米）。机架的深度可以根据整体结构或机柜的大小而有所不同，如下图所示：

安装在机架系统中的 1U 机架服务器

图片来源：2018 年 FatCow Web Hosting

刀片技术

刀片服务器机箱容纳多个服务器刀片，每个刀片是一个缩小版的计算机，可以插入机架可安装的刀片机箱槽中。刀片设计的目的是减少物理体积、减少直接接口的数量，并降低服务器系统的整体功耗。为了实现这一目标，每个刀片都配备了执行内部处理所需的组件。冷却、电力、网络、布线和管理系统都集成在刀片机箱中或由机架或机柜中的其他设备提供。如以下图片所示，一个刀片服务器机箱支持多个服务器刀片。每个安装在刀片服务器中的服务器刀片，实际上是一个独立的服务器，具有处理器、内存、网络适配器和主机总线适配器（HBA）。通常，一个服务器刀片仅支持一个应用或服务：

机架安装的刀片服务器机箱中的多个服务器刀片

图片来源：超微计算机公司

服务器电力系统

无论服务器系统的形态如何，其电力需求都高于桌面或笔记本电脑。吉尔斯特法则（关于计算的一切）指出：

"你永远无法确定，一切都取决于情况。"

这基本概述了服务器的电力和冷却系统。服务器所需的功率（以瓦特为单位）由安装的组件和附加设备决定。冷却也是如此。所需的冷却量和种类取决于电力驱动下组件产生的热量。然而，无论服务器是独立计算机还是数据中心的刀片服务器，设备的电力和冷却系统必须提供足够的服务来驱动和通风其组件。选择和安装适当设备的挑战在于预见系统的增长或对这些服务的需求增加。网络服务器的事实标准机型是标准 ATX（如之前在机型部分的图片中所示）。ATX 标准设定了服务器主要组件的外形、尺寸和功能，主要是主板、电源单元（PSU）和机箱。这确保了这些组件的兼容性和互操作性。

电力

在我们深入讨论电气系统和电力之前，先来了解一些你在讨论中会遇到的术语：

电流：电荷的流动或运动
电阻：反对电流流动的电线特性
安培：电流流动的速率
电压：电流电力的标准测量单位
瓦特：辐射、吸收或散发的能量输出率
接地：与地球之间通过导电连接的保护措施

这些术语及其含义对于讨论电源供应和冷却系统非常重要。接下来的章节将探讨网络服务器电力的不同特性和应用。

交流电与直流电 / 110V 与 230V

电源单元（PSU）的主要功能是将交流电（AC）或直流电（DC）转换为低电压的直流电，以供服务器内部组件使用。在北美，主要的家庭电力服务是 120V 交流电（通常称为 110V），其实际电压范围为 115V 至 127V。世界其他地区（包括美国的一些商业数据中心）使用的直流电主电源标准是 230V，±10%。在美国，电源单元（PSU）的输出电压符合 ATX 标准：+3.3VDC、+5VDC 和±12VDC，无论电力输入如何。由于电压在一定范围内波动，因此某些系统使用不同的数字，但它们指代的是相似的系统。例如，美国的标准家庭电压是 120V 交流电。请注意，在下面的表格中，星形电压栏中的 120V 根据电路连接方式，可能提供 208V 或 240V：

星形电压	三角电压
120	208
120	240
230	400
240	415
277	480
347	600

美国常见的星形接法和三角接法电压

星形接法与三角接法

在电气电路图中有两种标准配置——星形（Wye）和三角形（Delta）。这些名称描述了它们在电路图中大致的形状。星形配置将带电线路连接到中性线，形成一种Y形状。三角形配置将两根带电线路连接在一起，形成一个三角形。记住它们的简单方法是，星形电路使用中性线，而三角形电路则不使用。

负 48V

电信信号的电压标准，包括无线网络，是负 48V 电源。所有电气电路都以正（+）和负（-）极性运行，形成一个带电侧和一个接地侧。110V 和 230V 系统将接地连接到负（-）极侧。负 48V 电源将其接地连接到正（+）极侧。如果你想知道为什么电信系统使用负电压标准，那是因为这种电压对人类更安全，尤其是对于那些爬电线杆的人来说。

一相与三相

电气电路以三种配置之一传输——单相、分相或三相。以下是这些术语的基本定义：

单相电：一种二线交流电配电系统，其中一根电缆承载电流，另一根电缆为中性线。下图展示了单相线路的波形。
分相电：一种三线单相交流电配电系统，其中两根电缆承载电流，第三根电缆为中性线。分相电配电在家庭和小型商业建筑中较为常见。
三相电：一种四线系统，其中三根重叠的电缆承载交流电流。每根电缆及其电流相对于其他电缆有所偏移，如下图所示。第四根电缆作为中性线。三相电是大型电网、工业用途和数据中心的传输标准：

单相和三相电流

电源单元（PSU）

让我们从内到外看看服务器的电力系统，从安装在服务器机箱内的电源单元（PSU）开始。PSU 模块通常在制造时安装在系统机箱上。然而，由于 PSU 是计算机系统中最常见的故障点，即便是制造时附加的 PSU 也是可以更换的。服务器的电力需求取决于其大小及已安装或附加的组件。随着磁盘驱动器、网络适配器和内存的数量增加，服务器所需的电力也会增加。服务器的 PSU 需要比标准台式机或便携式计算机中包含的 PSU 更强大且在操作上更高效。由于服务器对网络至关重要，它们必须保持可用，这意味着它们的电源单元必须持续稳定地提供所需的电压，以便为服务器供电。

功率

市面上大多数电源，除了一些有信誉的厂商的产品，可能使用劣质组件，并宣称过高的性能指标。虽然电源的瓦特数只是衡量其性能的一个指标，但许多计算机用户仅依赖电源的瓦特数作为选择电源的决定性因素。制造商明白瓦特数对消费者的重要性，因此会确保它在包装和电源本身上都十分显眼，如下图所示：

一款 600 瓦酷冷至尊电源的产品标签

图片来源：酷冷至尊科技公司

80-plus 认证

80-plus 认证计划是基于电源效率的计算机电源自愿认证。80代表设定为不同负载水平下的最小运行效率标准。根据电源的性能水平，提供六个认证级别。符合每个认证级别要求的产品可以在包装、市场营销和产品标签上附上徽章，如下图所示。第一个级别是基本的 80-plus 认证（称为White），验证电源在 20%、50%和 100%负载下的效率为 80%。中等级别是Gold，认证电源在这三个负载下的效率至少为 87%。最高级别是Titanium，验证电源在所有负载下的效率超过 90%。下面的图像展示了 80-plus 计划的各个认证级别：

80-plus 计划的电源认证级别

选择合适的电源

在选择服务器电源时，除了考虑所需的瓦特数外，你还应考虑几个其他因素。以下列出了选择适合你服务器的电源时应考虑的特点和功能：

瓦特数：这个数字代表服务器对电源的功率需求，以瓦特为单位。有多个在线瓦特数计算器（见下方截图）可以帮助你计算服务器所需的总瓦特数。建议在初步计算中加上计划中的服务器或网络扩展的瓦特数：

基于网络的互动电源计算器

图片来源：eXtreme Outer Vision, LLC

连接器与模块化：确保电源供应器附带的连接器与将要连接的组件兼容。模块化电源供应器没有内置电缆，只有插座。这可以最大限度地减少电源上电缆的数量，只保留必要的连接，避免杂乱。非模块化电源则有不同数量和类型的标准连接器。目前大多数电源供应器常见的连接器包括：
- ATX 24 针或 ATX 20+4 针主电源线连接器
- 8 针 入门级电源供应 (EPS) +12 伏特
- 4+4 针 +12 伏特电源线连接器
- 6 针 PCI express (PCIe)
- 8 针 PCIe
- 6+2 针 PCIe 电源线连接器
- 4 针外设电源线连接器
- SATA 电源线连接器
高效能评级：80plus 认证是一个很好的指导标准，但你应当验证电源供应器的效率评级，这应该是在实际负载模拟下测试得出的结果。80% 的效率评级意味着电源供应器的 20% 能量（瓦特）以热量的形式损失。
轨道：在电源供应器的上下文中，轨道指的是单一电压输出的电流。例如，ATX 电源供应器有一个 3.3V 轨道，两个 5V 轨道（分别用于 +5V 和 -5V），两个 12V 轨道（分别用于 +12V 和 -12V），以及一个 5V 待机轨道。
外部连接：这听起来可能微不足道，但如果没有适合你所在地区（国家）的外部电源线及相应的连接器，所有你精心策划和选择的努力将付之东流。如果你在美国，使用符合 国家电气制造商协会 (NEMA) 标准的电源线和插头。NEMA 5-15P 插头是美国最常见的连接器。在如数据中心等功率需求更高的场合，选择更强力的连接器是明智的。在这些场合，像 NEMA 5-30R 这样的旋锁连接器可以将插头牢牢固定在电源插座中。
电压切换：许多电源供应器（PSU）包含电压传感器，能够自动检测电流并切换到其适当的电压和模式。然而，并非所有电源供应器都具备此功能——有些具有手动开关，有些则根本没有开关，仅支持单一电力服务。

冗余

确保服务器或服务器集群具备容错能力并提供高可用性的一种方式是采用冗余电源系统。冗余电源系统可以在主电源出现故障时提供安全保障。最基本的冗余电源形式包括两个独立的电源供应器（PSU），它们可以一起为服务器提供电力，交替工作，或一个电源处于工作状态，另一个处于待机模式。本节中的图像展示了一个四单元冗余电源供应系统。冗余单元之间的切换使用三种配置之一：

OR：OR 是一种数学过程，用于在两个（或更多）选项之间进行选择，类似于要么...要么...。在这种配置中，两个 PSU 可以共享电力负载任务，或者其中一个 PSU 可以处于待机模式。在这两种情况下，当金属氧化物半导体场效应晶体管（MOSFET）检测到某个单元的电力输出下降时，它会切换到备用 PSU。
N+1：N+1 切换方法通常用于具有三个或更多电源的冗余系统。在这种安排中，+1 电源是备用单元，N 个电源共享电力转换操作。
N+1 的 OR：这种方法常用于 PSU 刀片系统。每个刀片是 N+1 分组的一部分，并与两个或更多电源总线相连。与其他冗余配置一样，每个 N+1 分组可以共享电力转换或处于待机模式：

四单元冗余电源

图片来源：Zippy Technology Corp.

系统散热

所有电子设备都会产生热量。某些设备产生的热量比其他设备更多，因此必须通过散热来降低热量的影响，以避免故障或间歇性问题。服务器内部的电子组件（大多数位于主板上）中产生大量热量的包括微处理器、图形处理单元（GPU）、芯片组、内存和电压调节模块（VRM）。其中，微处理器（CPU）和 GPU 是服务器内部产生最多热量的组件。高温环境或被称为热应力的情况可能会影响电子组件的使用寿命或运行状态。物理学告诉我们，当物体变热时，它们会膨胀；当它们冷却时，会收缩。任何在热与冷循环中持续扩展与收缩的电子组件都会受到压力，这可能导致性能问题。热与冷之间的温差越大，损害的严重程度越高。现在，大多数新型计算机系统和处理器都具有一种称为热设计功率（TDP）的等级，该等级表示系统或单元产生的热量。下表列出了一些处理器的最大 TDP 等级示例。该值表示散热系统必须散发的热量，以保持系统的正常运行。尽管目前没有统一标准来解释 TDP，较低的值意味着功耗和产生的热量较低。TDP 只是系统散热需求的一个一般指标。

处理器	最大 TDP
Intel Atom Z3740	4W
AMD A10 Micro-6700T	5W
Intel Core i3-5020U	15W
Intel Xeon E5-2630L v4	55W
AMD Ryzen 5 PRO 2600	65W
Intel Core i5-7600K	91W
AMD Ryzen 7 2700X	105W
Intel Core i9-7980XE	165W

微处理器及其 TDP 等级示例

散热系统

无论是形状、形式、大小还是用途，计算机都需要冷却系统。在台式机、塔式机和一些笔记本电脑中，冷却系统位于机箱内部。对于刀片服务器，冷却可能在刀片柜、机架柜或整个计算机房中。为冷却计算机系统的内部组件，存在多种不同的方法。其中一些是传统方法，另一些是新型方法。在 Server+ 考试中，您需要理解以下章节中描述的冷却系统。

空气冷却和气流

一个基础的空气冷却系统通常是计算机机箱和内部组件中默认配置的系统。它最简单的形式由散热片、导热膏和计算机的机箱风扇组成。散热片直接连接到 CPU，两者之间涂有少量的导热膏，以提供热传导。散热片和 CPU 之间的空气间隙可能会起到热绝缘作用，因此导热膏可以消除这种可能性。散热片是带肋的金属挤出物，延伸了 CPU 的表面，允许更多的空气带走热量。一个或多个机箱风扇的气流穿过散热片的鳍片，带走热量。这种散热方式被称为被动冷却。通过添加隔板或气流偏导器，将气流特别引导到被动冷却系统中，可以增强空气冷却系统的效果。

一些高端机箱不仅包括多个风扇（两个或更多的机箱风扇和一个显卡风扇），还配有一个导风系统，将气流引导至 CPU 和机箱中的其他热点。与使用气流来冷却计算机的方式相对的是液体冷却，它利用冷却液将热量从 CPU 中带走。液体冷却应用了热力学原理，即热量会从温暖的物体转移到较冷的物体上。CPU 液体冷却系统的工作原理类似于汽车的冷却系统。液体冷却剂，在这种情况下是蒸馏水，通过 CPU 附件泵送。水的冷却作用将 CPU 的热量带走，并通过气流散发出去。

下图展示了散热器（左侧）和 CPU 附件（右侧）：

一个 CPU 液体冷却系统

图片来源：Asetek

总结

在本章中，你了解到计算机上运行的软件确立了它作为服务器的角色。服务器可以为网络的客户端提供多种服务，包括：应用程序服务器、文件服务器、邮件服务器、消息服务器、网络服务器、打印服务器、RRAS 以及 Web 服务器。不同类型的应用程序服务器有局域网应用程序服务器、基于查询的应用程序服务器以及应用程序/Web 服务器。文件服务器可以是专用的，也可以是非专用的。网络服务服务器提供 OSI 应用层上的核心服务。虽然操作系统提供了许多网络服务和协议，但如 DNS、DHCP、IM、VoIP 和 NTP 等服务可能来自网络服务服务器。代理服务器是中间网络服务器，它接受、履行、过滤并转发远程客户端的请求。代理服务器的类型有：网关型、面向互联网型、开放型、面向内部型和反向型。在 Server+ 考试中，你可能会遇到另外两种服务器类型：RRAS，它是一种提供防火墙、路由器和远程访问服务的网络服务服务器，以及虚拟服务器，它是一个在物理计算机内存中运行的软件启用逻辑对象。服务器和计算机通常遵循特定的外形标准。外形标准规定了计算机外壳的尺寸、形状、物理特性、电源和冷却性能，以及电源、主板、内存和其他组件的安装方式。

服务器的外形标准是 ATX。塔式计算机有一个立式机箱或机柜，台式机和笔记本设计也是如此。机架可安装服务器通常为 1U 或 2U 高度，其宽度与机架或机柜的宽度匹配。刀片服务器外壳是一种类似机柜的设备，用于容纳服务器刀片，每个刀片都是一台服务器。电源单元（PSU）将国内的交流电或直流电（110V 或 230V）转换为 +3.3VDC、+5VDC 和 +/- 12VDC，电信设备使用 -48V 电源。选择服务器电源单元时需要考虑的因素包括功率、连接器和模块化、效率等级、轨道、外部连接和电压切换。冗余电源具有两个或更多电源单元，它们可以结合使用、交替使用或通过活动和备用方式提供电力。服务器内部的组件，尤其是 CPU、GPU、芯片组、内存和 VRM，产生的热量可能会对某些组件造成热应力。热应力可能并且通常会影响电子组件。

服务器常见的两种冷却系统是被动冷却（空气冷却）和液体冷却系统。被动系统包括散热器、热导膏和机箱风扇。液体冷却系统通过管道和散热器泵送蒸馏水，水吸收的热量在冷却后再循环使用。在下一章中，我们将详细了解服务器的关键内部组件，这些组件需要电力并且需要冷却，包括 CPU、RAM、各种总线结构、BIOS/UEFI 和 CMOS。这些内部服务器组件对服务器的整体操作至关重要，因此在 Server+ 考试中会特别强调它们。

问题

以下哪项不是常见的应用服务器类型？
1. 局域网应用服务器
2. 网络服务器
3. DHCP 服务器
4. 基于查询的应用服务器
以下哪项关于文件服务器的说法是正确的？
1. 文件服务器只能是专用服务器
2. 文件服务器可以是专用的或非专用的
3. 文件服务器不能虚拟化
4. 文件服务器和数据库服务器本质上是相同的
什么类型的服务器托管像 DNS、DHCP、VoIP 和 NTP 这样的协议？
1. 代理服务器
2. 文件服务器
3. 消息服务器
4. 网络服务服务器
你有任务需要在内部网络上安装和配置一个代理服务器，以减少从局域网到广域网的流量。你应该使用哪种常规配置？
1. 网关
2. 面向互联网
3. 内部面向
4. 开放
5. 反向
对还是错：虚拟服务器是任何托管虚拟专用网络的服务器。
1. 对
2. 错
以下哪项是网络服务器的事实标准机箱规格？
1. LTX
2. AT
3. ATX
4. Mini-ATX
机架单元或“U”的标准高度是多少？
1. 1.75 英寸
2. 2.75 英寸
3. 3.50 英寸
4. 50 毫米
ATX 电源单元为服务器硬件的内部组件提供哪些电压？请选择所有适用项。
1. +3.3VDC
2. 110VAC
3. +5VDC
4. +/- 12VDC
5. -48VDC
6. 230VDC
服务器的空气冷却系统是什么类型的系统？
1. 活跃
2. 被动
3. 液冷
4. 隔板

第二章：服务器内部结构

在上一章中，我们讨论了服务器的电源和冷却系统。现在，让我们来看看服务器的关键内部组件。你知道，就是那些需要供电和冷却的部分。这包括 CPU、RAM、各种总线结构、基本输入输出系统 (BIOS)/统一可扩展固件接口 (UEFI)和互补金属氧化物半导体 (CMOS)。我们还将讨论 BIOS/UEFI 服务器固件。在本章中，我们将涉及以下内容：

中央处理单元 (CPU)
主存储器
总线、通道和扩展插槽
BIOS/UEFI 配置

CPU

CPU 有许多名称（也叫微处理器、处理器、大脑等），它是执行程序指令、执行算术运算并控制数据的流动以及与计算机连接或安装的外设输入输出功能的电子组件。但这些你肯定已经知道了。

对于 Server+考试，你需要了解的更多是 CPU 的特性，而不是它的工作原理，包括其安装插槽、时钟频率、核心数、步进等。所以，让我们开始吧。

多处理器

多处理器环境是一个拥有两个或更多集成 CPU 的单一计算机系统。CPU 共享计算机的内存、总线和其他资源。各 CPU 协同工作，按顺序执行程序指令，其中一个 CPU 执行一条指令，而其他 CPU 同时执行另一条指令。这个过程的目的是让计算机比单处理器（单处理机）运行得更快：

一个简化的双处理器多处理系统视图

对称多处理（SMP）与非对称多处理（ASMP）

多处理器系统中的 CPU 可以设置为对称或非对称的多处理方式。在 SMP 中，CPU 平等共享操作系统、主存储器、总线、输入/输出驱动程序和设备。SMP 系统的目标是平衡处理器之间的计算负载并加速处理速度。然而，建议 SMP 系统中的处理器数量不超过 16 个。

在 ASMP 中，一个 CPU 是主控 CPU，所有其他 CPU 为从属 CPU。主控 CPU 处理操作系统任务并将进程请求分配给从属 CPU。从属 CPU 可以是通用的，也可以专门用于特定的处理任务。主控处理器在必要时借助从属处理器来控制系统功能。

SIMD、MISD 和 MIMD

多处理器系统可以执行并行处理，其中每个处理器执行相同的指令或一组独特的指令，操作相同的数据集或多个数据集。今天的多处理计算机支持不同类型的并行处理，三种主要形式为：

单指令多数据（SIMD）：多个处理器在不同的数据源块上执行相同的指令。SIMD 加速了多媒体处理。
多指令单数据（MISD）：多个处理器在同一个数据源上执行不同的指令。MISD 计算不常见，因为这种并行处理方式通常只适用于特定的问题。
多指令多数据（MIMD）：多个处理器在不同的数据源块上执行不同的指令。MIMD 就是大多数人所理解的并行计算。

多核处理

多处理器处理是指多个微处理器作为一个整体单元进行工作，而多核处理则是一个微处理器内部包含多个处理器或核心。每个核心都是一个微处理器，能够处理与其他核心不同的指令流，且这些核心都位于同一集成电路（IC）芯片上。

如果你拥有一个四核处理器，那么你的 CPU 内部包含了四个独立的处理器。这意味着你可以同时查看电子邮件、观看视频、在电子表格中处理预算和收听音乐流。每个动作都在自己的核心上独立运行：

双核微处理器结构的简化视图

CPU 封装和插槽

CPU 的形状和结构就是它的封装。几乎所有的服务器 CPU 都采用土地网格阵列（LGA）封装。在这种封装中，安装引脚是插槽的一部分，CPU 上有接收孔（端口）可以插入每个引脚。下图展示了 LGA 封装的 CPU 底部的端口：

显示 LGA 封装的 CPU 底部，展示安装端口

图片来自：AnandTech

CPU 插槽的种类几乎和 CPU 的种类一样多。下图展示了主板上的 LGA 插槽。注意锁定臂，它将 CPU 固定在插槽中：

在主板上安装的 LGA 插槽

图片来自：AnandTech

下表列出了一些为多种处理器设计的插槽示例：

插槽	推出年份	兼容 CPU	封装	引脚数	最大速度
LGA 771/Socket J	2006	英特尔 Xeon	LGA	771	1600 MHz
Socket 1207FX	2006	AMD Athlon 64 FX	LGA	1207	2000 MHz
Socket G34	2010	AMD Opteron (6000 系列)	LGA	1974	3200 MHz
LGA 1248	2010	英特尔 Itanium 9300 系列	LGA	1248	1.47 GHz
LGA 1567/Socket LS	2010	英特尔 Xeon 6500/7500 系列	LGA	1567	2.66 GHz
Socket SP3	2017	AMD Epyc	LGA	4094	2.9 GHz
LGA 2066/Socket R4	2017	英特尔 Skylake	LGA	2066	4.2 GHz

常见服务器插槽及其支持的 CPU

例如，2010 年推出的 LGA 1564 或 Socket LS 插槽与 Intel Xeon 6500 系列 CPU 兼容。以下图所示，Socket SP3 插槽适配 AMD EPYC 处理器。通常，一个新的处理器和新的插槽会一起发布。然而，一个新的 CPU 型号或版本也可能适配现有的插槽标准：

一个 AMD SP3 插槽

图片来自：AnandTech

缓存内存

缓存（发音为cash），根据字典的定义，是你为将来使用而储藏的东西。在计算机系统中，有几种类型的缓存：

浏览器缓存：当你下载一个网页时，浏览器会存储该页面的一部分或全部内容，尤其是那些不太可能变化的部分，如图片、标题、文本、脚本等。这可以避免在浏览网站时重复下载这些内容。
磁盘缓存：许多较大的硬盘驱动器包括少量 RAM，作为缓存功能。例如，一个 1TB 的硬盘驱动器有 32MB 的磁盘缓存，用于提高磁盘的 I/O 性能。
内存缓存：不要与处理器缓存混淆，要求大量数据的应用软件（如图形编辑器）会在 RAM 中创建缓存，以减少 I/O 操作并加快处理速度。
处理器缓存：在 CPU 和服务器的上下文中，这种类型的缓存（也称为 CPU 内存或缓存内存）为 CPU 提供数据和指令，避免访问较慢的主内存。关于这一点，下一节会进一步介绍。

CPU 缓存内存

CPU 有一小部分内存供其使用，这部分内存被称为 CPU 内存或缓存内存，由多个层次的静态 RAM（SRAM）组成，通常有三层，如下图所示。这个缓存的目的是以比主内存 DRAM 更快的速度为 CPU 提供数据和指令。CPU 的缓存系统还会尝试预测 CPU 接下来会请求什么内容，并且基于当前的处理情况，大多数情况下预测是正确的，这使得处理速度更快：

缓存为 CPU 提供了快速的多级缓冲

缓存内存有几个重要的特性：

时间局部性：缓存内存保存了不变的图像、数据和指令，从而避免了再次从源或主内存中获取它们的需要。
空间（序列）局部性：通常，CPU 下一个对指令或数据块的请求已经存在于缓存中。如果 CPU 请求的内容不在缓存中，就会发生缓存未命中。如果 CPU 请求的是缓存中的内容，就会发生缓存命中，这种情况更为常见。

CPU 缓存内存层次

如在CPU 缓存内存部分所示，大多数 CPU 系统包括三种级别的缓存内存。三级缓存（L3）较慢，但比主内存快，并且是三者中最大的。二级缓存（L2）比 L3 快，但较小。而一级缓存（L1）是三者中最快的，且最小。

如前所述，在CPU 缓存内存部分，指令和数据从主内存传到 L3，L3 的大小足以包含足够的活动程序或数据，从而预测 L2 及以上级别的下一个请求。多核处理器通常共享 L3 缓存内存。L2 利用空间局部性来预测 L1 会请求什么，并从 L3 请求包含预测项的块。L1 通过更精确地预测 CPU 下一个请求的项，并向 L2 请求该项，继续这个过程。

写回/写直通缓存

缓存内存系统利用 CPU 可能空闲的时间——我们这里指的是毫秒级的时间——将从 CPU 或更高级别缓存传下来的数据写入。数据被传送到主内存或直接传送到二级存储设备。这一操作称为写回。

在某些情况下，CPU 会直接将数据写入主内存或存储设备。当这种情况发生时，CPU 也会将数据传递到缓存内存。这一操作称为写直通。额外的写入步骤会减缓处理速度，但如果下一个 CPU 请求导致缓存命中，系统将获得时间上的好处。

高级 RISC 机器（ARM）服务器

看起来，从一开始，Intel x86 系列处理器就一直是网络的核心和大脑。这并不是坏事。只是现在可能有一个新的“新面孔”——ARM。简化指令集计算机（RISC）是一种专用技术，涉及使用更强大的指令集，指令数量较少。手机和其他移动设备依赖 ARM 处理器来处理许多与内存和存储相关的功能。

由于其简化指令集，ARM 处理器通常比传统处理器体积小，容易适配到处理器核心。现在运行最多 12 核处理器的服务器同样可以使用 ARM 来运行，这可能涉及到多个不太复杂的处理器，它们可以共享计算任务。虽然 12 个处理器会导致服务器性能显著提升，但在 x86 服务器中，处理器仍然可能成为瓶颈，具体取决于其负载。

CPU 倍频器

与其支持系统相比，CPU 的速度非常快。它的速度或频率（以 MHz 为单位）是计算机前端总线（FSB）的函数，前端总线将 CPU 与芯片组的北桥（内存控制器中心）连接起来。为了设置其内部频率，CPU 会将一个倍频器应用于 FSB 的实际频率。

倍频是一个比率，通常称为 CPU 倍频、时钟倍频或时钟比率，它被应用于前端总线（FSB）的频率，以确定和设置 CPU 的内部频率。比如对于一个 100 MHz 的 CPU，如果其 BIOS 中定义了 40 倍（40X）的倍频，则该 CPU 的内部时钟频率为 4.0 GHz。

CPU 倍频是超频或降频计算机的关键。要超频计算机，常见于游戏中，只需提高倍频的值。要降频计算机，即减慢其速度，则需要降低倍频的值。超频通常需要额外的散热能力，而降频有助于节省便携设备的电池。

CPU 修订

CPU 修订是指对 CPU 进行修订和编号，以修复错误或改进功能。当制造商发布新的 CPU 时，其修订等级通常为零，或者是零的变体，如A0。例如，英特尔将修订版本称为规格更新，并提高修订等级或步骤。AMD 发布修订号，每个修订号都比上一个版本的修订号要高。

主内存

主存储器、主内存、主存储或 RAM，所有这些名称指的都是计算机的“心脏”。如果 CPU 是大脑，那么 RAM 就提供了计算机中指令、数据、地址和所有其他信息流动的循环。

RAM

随机存取内存（RAM）允许直接定位和访问数据、指令、地址或状态信息。RAM 中的每个字节都可以被独立地寻址和访问，或者以数据块的形式访问。其随机访问能力有助于提高计算机的整体速度。RAM 的类型如下：

动态 RAM（DRAM）是电气易失性的，必须定期接受刷新电信号才能保持其状态（正或负）。RAM 由数百万个单一的电子组件（晶体管）组成，每个组件只能存储一个单一的值，我们用二进制的两个值之一—0或1来表示。RAM 由数百万个晶体管组成，每个晶体管可以存储正电或负电的电荷。
静态 RAM（SRAM）是非易失性的，这意味着它不需要刷新，且在计算机供电时能够保持其电荷。当电源关闭后，SRAM 会失去其存储的电荷和所代表的数据。

双倍数据速率（DDR）RAM

像处理器一样，RAM 也经历了一些进化阶段。以下是 RAM 的一个简短时间线：

动态 RAM（DRAM）：DRAM 的一个特点是它与处理器独立操作，这可能会导致在两个组件等待对方时出现延迟，最终导致其没能长久存在。
同步动态随机存取内存（SDRAM）：SDRAM 与系统总线上的控制信号协调操作，使其能够保持领先一步。然而，SDRAM 是单数据速率（SDR），意味着在一个系统时钟周期内，它只能在时钟周期的开始或结束时进行一次读写。随着处理器变得更加复杂，尤其是更快速，SDRAM 证明自己过于缓慢。
DDR-SDRAM：DDR 内存改进了 SDR 技术，允许在时钟周期的开始和结束时进行数据输入输出，从而实现了数据传输速率的翻倍。
DDR2/DDR3：这两项技术在原始 DDR 内存的基础上加入了内部时钟，分别在 DDR2 和 DDR3 中将时钟速度分别降低为原来的一半和四分之一。DDR3 提升了内存容量至最多 8 GB，数据传输速率提高至最高 2133 Mbps，并且降低了功耗至 1.5V。
DDR4-SDRAM：DDR，第四代（DDR4）SDRAM 是 DDR 技术的最新发展。DDR4 相较于 DDR3 的主要改进有：内存上限翻倍（最多 16 GB），数据传输速率最高可达 3200 Mbps，并且功耗更低（1.2V）。

RAM 封装

家用和桌面计算机上安装的 RAM 模块的封装形式为插槽安装的集成电路板，带有边缘连接器，内存大小（以兆字节为单位）和引脚数量（针脚）各不相同。自从 DDR 规范的发展以来，内存板已经采用了双列直插内存模块（DIMM）、小型外形双列直插内存模块（SO-DIMM）和 MicroDIMM 形式：

DDR4 SO-DIMM 内存卡

图片提供：金士顿科技公司

下表列出了各种内存模块的边缘连接器引脚数量：

DIMM 模块	SDR	DDR	DDR2	DDR3	DDR4
双列直插内存模块（DIMM）	168	184	240	240	288
SO-DIMM	100	200	200	204	256
MicroDIMM	172	214	214	214	-
注册 DIMM（RDIMM）	-	184	240	240	288
降载 DIMM（LRDIMM）	-	184	240	240	288

不同 DIMM 板的引脚数量

然而，除了最新的处理器，制造商还发布了新版本的 DIMM。两种较新的 DIMM 版本是 RDIMM 和 LRDIMM。RDIMM 中的寄存器在内存控制器和 DIMM 上的 DRAM 之间充当缓冲。这使得服务器能够支持更多的 RDIMM，但也可能增加功耗和额外的延迟。LRDIMM 使用内存缓冲器将其 DRAM 的电信号合并为单一信号，这允许 DIMM 支持最多 8 个 DRAM 单元。然而，功耗和延迟的增加比 RDIMM 更为显著：

一个 1.32 GB 的 LRDIMM

图片提供：金士顿科技公司

内存时序

在 RAM 中的一个常见经验法则是 数值越低越好，但是 低多少？ 内存的运作方式并不像我们通常所描述的那样。我们认为，一次操作涉及从 CPU 请求数据、内存控制器定位数据并将请求的数据传送上来。这是一个简单的三步过程，对吧？ 其实不是。CPU 从内存请求数据或指令的过程比我们想象的要复杂得多。无论如何，内存 I/O 请求所需的时间越短，计算机的整体速度就会越快。

当你购买服务器内存时，可能会注意到一组数字类似于 9-10-11-24。在这些测量值的缩写中，t 在 tRCD、tRP 和 tRAS 中表示时间。这一串数字代表内存时序中的四个主要测量值：

CAS 延迟（CL）：内存时序中的第一个数字代表 列地址选通（CAS）延迟或 CL，即接收并完成数据请求所需的时间，单位是纳秒（ns）。

下表显示了不同内存技术的 CL 示例。请注意，实际延迟是时钟周期与 CL 的乘积。

内存技术	时钟周期（ns）	CL	实际延迟（ns）
SDR	7.50	3	22.50
DDR	5.00	3	15.00
DDR2	2.50	6	15.00
DDR3	1.25	11	13.75
DDR4	0.75	18	13.50

各种内存技术中 CL 的示例

RAS 到 CAS 延迟（tRCD）：内存中的数据排列类似于一个包含行和列的电子表格。内存时序中的第二个数字是 行地址选通（RAS），它表示定位请求数据所在行所需的时间。接着，列地址选通（CAS）表示移动到相应列的时间。换句话说，如果请求的数据位于 C15，RAS 就是移动到第 15 行的时间，而 CAS 则是移动到 C 列并获取 C15 位置数据的时间。
RAS 预充电（tRP）：尽管它的功能听起来几乎与其相反，RAS 预充电会释放内存中的活动行，tRP 是内存时序中的第三个值，表示执行此操作所需的时间。
行激活时间（tRAS）：也叫做 激活到预充电延迟，第四个值 tRAS 是关闭活动行并打开新行所需的时间。你还可能看到 tRAS 被描述为完成一个指令的时间，以及请求并接收下一个指令的时间。

错误校正码（ECC）与非 ECC

ECC 内存在处理高价值或机密数据的计算机中比较常见，例如支持一个或多个服务器的计算机。ECC 内存与非 ECC 内存的不同之处在于，ECC 内存模块包括一个专门的内存单元，用于为模块的其他内存单元提供奇偶校验和错误修正。ECC 内存保证了数据的完整性。在 ECC 技术出现之前，错误修正方法是使用奇偶校验，分为偶校验和奇校验。非 ECC 内存没有错误修正功能，仅仅是响应处理器的请求。

双通道内存

你可能听说过内存配对的必要性，也听说过内存插槽的颜色编码。这似乎很重要，但是这与在服务器中升级内存有什么关系呢？

许多新型主板拥有彩色编码的双通道 RAM 插槽。当这些插槽中插入匹配的内存模块时，系统可以同时在两个内存板之间传输数据，从而减少访问时间。实际上，匹配内存可以促进双通道模式的提高访问速度，虽然相对于单通道模式和不匹配的内存对，其改善并不显著。但当安装了匹配的内存对时，性能会更快。

彩色编码的 RAM 插槽

尽管不同制造商在主板上设置的内存插槽颜色可能有所不同，但基本的规则是内存插槽成对、成三、成四，或根据主板的内存通道技术发展，未来可能有其他安排。例如，在双通道模式下，成对的内存插槽会被标为黄色、橙色或红色，以表示这是匹配的内存对插槽。

对于成三、成四等情况也是如此：

主板上的彩色编码内存插槽

图片由：技嘉科技股份有限公司提供

总线、通道和扩展插槽

计算机主板上的组件以及连接到主板的设备，不断地相互传递数据和指令。就像任何其他形式的通信一样，它们之间必须有一个媒介来连接。这种媒介，在这里就是总线通道，它为数据、地址和指令的传输提供了路径。

在计算机中，通常有两类总线通道：内部总线和外部总线。内部总线仅存在于主板上，用于主板的各个组件之间传递数据和指令。外部总线则为外设和扩展组件提供与主板上其他组件进行通信的途径。

总线一词来源于拉丁语单词omnibus，意为为所有人。计算机中的连接链路承载着一切，因此它们被称为总线。总线不应与buss混淆，后者是“吻”的另一种说法。

一个总线结构由三条协调工作的总线线组成（见下文总线宽度部分的图示）：

控制总线：CPU 向组件或设备传输命令和指令，这些组件或设备需要接收数据或执行命令。这是一个专用的单向总线，承载着在地址总线上指定的地址处内容所需的命令。
地址总线：CPU 向组件或设备传输需要服务的数据地址。地址总线也是单向的。
数据总线：CPU 从内存或设备控制器发送或接收数据。

总线宽度

一条总线通道由若干条电路迹线组成，每条迹线传输一个信号（位）到设备引脚。总线通道的迹线通常是 8 的倍数，如 8、16、24、32、64 等等，迹线的数量控制着系统内存的大小。总线通道中位数或迹线数限制了高端地址值。例如，一个 8 位地址总线只能寻址到最大为 28 或 256 的内存单元。如果总线为 32 位，那么它能够引用的内存中最高的地址是 232 或 4,294,967,296（稍多于 4GB 或 500MB）。显然，总线通道越宽（即越多位宽），它在二进制中能表示的数字就越大。

微处理器的描述和规格包括其兼容的总线宽度。例如，Intel Xeon 和 AMD Athlon 是流行的服务器 CPU，两者都是 64 位处理器：

系统总线结构的组成部分

外围组件互连（PCI）总线

并不是每块主板都配有你喜爱的外设、控制器或接口，事实上，很少有主板会完全具备这些功能。为了帮助你解决这一问题，主板包括了一些扩展槽，你可以在这些插槽中插入所需的设备和功能接口卡。多年来，在计算机和服务器的发展过程中，多个扩展卡标准出现并逐渐淘汰，新的标准或扩展标准取而代之。本章前面提到的彩色编码内存插槽部分展示了一块配有两组扩展卡插槽（蓝色和白色）的主板。

对于 Server+考试，你需要详细了解的总线通道和扩展槽技术清单很短，且属于同一家族：PCI—也称为PCI 常规、PCI 扩展（PCI-X）和PCI-Express（PCI-e）。这些标准的 PCI 插槽和扩展卡在多个方面有所不同，但最显著的差异体现在插槽和卡的高度和长度、总线宽度以及信号电压上。

PCI 尺寸和适配标准

所有 PCI 及其变种都适用相同的物理板卡格式标准。PCI 板卡的标准规定了四种尺寸和适配格式：全高、低型、全长和半长。不过也有一些例外：

一张全高扩展卡无法适配低型插槽
一张半高扩展卡可以适配全长插槽
半高扩展卡无法插入全高插槽
一张全长扩展卡无法插入半长插槽

好吧，最后一个是显而易见的！最佳做法是将 PCI 扩展卡与其对应的 PCI 插槽匹配。

PCI 传统

总线通道的总线宽度是通道中轨道的数量。一般来说，PCI 总线及其变种的总线宽度为 32 或 64 条轨道。为了避免重复，通道中的一条轨道传输总线中传输的一个数据位。PCI 标准的信号电压是 5V 或 3.3V 之一。

PCI 常规标准的常见变种（见下图）包括：

32 位 PCI—5V 信号电压：这是桌面计算机主板上常见的 PCI 插槽。它的时钟频率为 33 MHz，最大数据传输速率（DTR）为 1 Gbps。
64 位 PCI—5V 信号电压：通常用于服务器和双处理器主板扩展插槽，其时钟频率为 33 MHz，最大 DTR 为 2.1 Gbps。
64 位 PCI—3.3V 信号电压：也称为 PCI-X，这种 PCI 扩展插槽通常用于服务器主板。它的最大时钟频率范围为 66 到 533 MHz，最大数据传输速率（DTR）为 4.3 Gbps（在 533 MHz 时）：

从左到右：PCI 32 位 33 MHz 插槽，PCI 64 位 66 MHz 插槽，以及 64 位 33 MHz 插槽

下表列出了每种 PCI 总线标准的最大数据传输速率（DTR）：

技术	最大 DTR（Mbps）
并行	串行（半双工）
PCI（传统）	132
PCI Express 2x	500
PCI Express 4x	1000
PCI Express 8x	2000
PCI Express 16x	4000
PCI Express 32x	8000

PCI 和 PCI-e 总线技术的数据传输速率（DTR）

PCI-e

PCI-e 总线标准替代了传统的 PCI 和 PCI-X 总线标准。PCI-e 和 PCI 的主要区别在于总线拓扑（信号格式）。PCI-e 总线使用点对点串行通信通道，而 PCI 使用共享的并行总线。另一个区别是，PCI 总线的速度仅与连接的最慢设备一样快，而 PCI-e 支持端点设备之间的全双工通信：

PCIe 4X 标准扩展卡和接口示例

图片来源：金士顿科技公司

扩展卡

所以，什么类型的卡适合插入主板扩展插槽？ 接下来的部分将介绍你在 Server+考试中应该了解的扩展卡功能。

网络接口控制器（NIC）

大多数较新的主板将 NIC（也称为网络适配器）的所有或部分功能集成到芯片组中。无线通信尤其如此。许多活动网络服务器通过安装为扩展卡的一个或多个网络适配器连接到网络或通信链路。

网络接口卡（NIC）的主要功能是为其主机计算机与网络之间提供连接和接口。NIC 将计算机发送的数据转换为与网络协议和标准兼容的格式。

主机总线适配器（HBA）

HBA 提供了外设与计算机之间的连接点。HBA 通常是插入主板插槽的扩展卡。HBA 卡作为外部设备与计算机之间进行通信的通道。也许在服务器中最常见的 HBA 是硬盘控制器卡，它包含磁盘控制器，并提供一个或多个硬盘驱动器的接口。HBA 提供的硬盘接口包括以太网、并行高级技术附件（PATA）/集成驱动电子（IDE）、串行高级技术附件（SATA）和小型计算机系统接口（SCSI）设备等。

独立磁盘冗余阵列（RAID）控制器

另一种类型的 HBA 是 RAID 控制器，也称为磁盘阵列控制器。磁盘阵列控制器提供多个硬盘驱动器的管理，它将硬盘驱动器作为逻辑单元而非物理单元呈现给 CPU。RAID 技术的使用必须与 RAID 控制器和磁盘驱动器相同。例如，RAID O控制器无法与任何涉及容错的 RAID 技术配合使用。

上升卡

上升卡是一种插入系统板并提供额外插槽以供适配卡使用的板卡。由于它位于系统板之上，因此可以以与系统板平行的方向将额外适配器连接到系统，从而节省机箱内部空间。上升卡通常用于机架式服务器中。一个 1U 机架单元系统可以在主板上集成单槽上升卡，从而使扩展卡能够适应机箱内。而 2U 计算机可以像 1U 那样集成上升卡，或者为 3.5 英寸上升卡提供一个扩展插槽，并配有三个插槽。以下图像展示了一个带有两个 PCI-e 8x 端口的 2U 上升卡示例：

带有 2 个 PCI-e 插槽的 2U 上升卡

图片来源：超级微型计算机公司

USB 接口和端口

USB 标准有多种，每种都有不同的尺寸、形状和用途。所有 USB 标准都定义了通信协议、物理电缆和一个或多个连接器及端口。每种 USB 连接器和端口的形状与大小，不论其版本如何，都是几种连接器类型中的一种。只要使用的连接器和端口类型相同，一些标准在功能上是兼容的。

不同的 USB 连接器类型（至少是当前仍在使用的）包括：

A 型：A 型连接器和端口是大多数人认为的 USB。无论计算机是否便携，这种连接器类型几乎出现在每台计算机上。它还出现在许多游戏主机、电视机、音频设备等设备上。A 型连接提供外围设备与主机之间的下行连接，主机向连接的设备提供 5V 直流电源。
B 型：B 型连接器和端口常见于打印机、外部磁盘驱动器及其他外围设备的设备端电缆连接。
C 型：USB C 型连接器和端口尚未在网络服务器中找到应用。C 型已经成为手机、笔记本电脑和其他便携设备的常见连接方式。其优点在于 C 型连接器不受方向限制（没有上下之分），电缆的任一端都可以连接到主机系统：

从左到右：A 型、B 型和 C 型 USB 连接器

图片提供：Newnex 科技公司

还有其他 USB 连接器和端口类型，如迷你、微型和内部连接器。每种连接器都有其特定的用途，但不要担心在考试中看到它们。

配置

任何服务器管理中一个极其重要的部分是其配置设置。记住，计算机只是由一堆电气和电子组件通过互联来完成重复任务的设备。服务器的配置设置最初是在其固件中设置的，当主板和只读存储器（ROM）制造时就已经设置好了。然而，在任何服务器的生命周期中，某些配置设置总会发生变化。新的外围设备、存储设备、内存大小或其他添加或调整可能会使服务器继续支持网络的需求。

BIOS

BIOS 自 1975 年起就已存在，并且功能上基本没有太大变化。BIOS 存储在计算机主板上的非易失性存储器（ROM）中，是计算机启动时执行的第一个指令集，并为操作系统提供输入和输出操作的支持。

BIOS 的主要作用是提供初始化系统所需的信息，为所有连接的存储设备和外围设备加载设备驱动程序，并加载和启动操作系统。引导过程使用的配置数据存储在 CMOS 芯片上的少量内存中。为了确保配置设置始终可用于系统启动过程，使用了一个硬币形状的平面电池，称为 CMOS 电池，其使用寿命大约为 10 年。

BIOS 读取主硬盘驱动器的第一个扇区，以访问启动设备的地址（通常是硬盘驱动器）或初始化指令（代码）的地址。然后，它初始化启动设备并启动操作系统。然而，BIOS 有一个大限制——它仅支持 16 位数据传输，这限制了从 ROM 读取的数据量。

UEFI

现在许多作为服务器使用的新型计算机都采用了 UEFI 来替代 BIOS，甚至有些系统同时拥有两者。UEFI 是一种用于替代 BIOS 的系统配置技术。虽然 UEFI 和 BIOS 本质上执行相同的基本功能，但 UEFI 将其配置数据存储在硬盘驱动器上的.EFI文件中，位于一个称为EFI 系统分区（ESP）的特殊区域内。加载和初始化操作系统所需的文件也位于 ESP 中。

摘要

CPU 是执行程序、执行算术功能并管理计算机数据和输入/输出功能的电子组件。多处理器是一台配备两个或更多 CPU 的计算机，可以是对称或非对称的。在对称多处理（SMP）中，CPU 是平等的并共享资源，而在非对称多处理（ASMP）中，一个 CPU 是主控，所有其他 CPU 都是从属。在多处理计算机中支持 SIMD、MISD 和 MIMD。多核处理涉及一个包含多个处理器或核心的单一微处理器。

计算机系统使用多种类型的缓存内存，包括浏览器缓存、磁盘缓存、内存缓存和处理器缓存。缓存内存提供的数据访问速度比从主内存中获取数据快。CPU 系统包括三级缓存内存：L3、L2 和 L1。

CPU 的速度，以 MHz 为单位，是前端总线（FSB）的函数。CPU 的内部频率将 CPU 倍频器应用于 FSB 的频率。步进是对 CPU 进行修订的过程。DRAM 是易失性的；SRAM 是非易失性的，但在没有系统电源的情况下会丢失其存储内容。内存时序测量包括 CL、tRCD、tRP 和 tRAS。ECC 内存有一个专用内存单元，提供奇偶校验和错误修正。

总线通道分为内部总线和外部总线。内部总线位于主板上，在各组件之间传递数据和指令。外部总线为外围设备和扩展卡提供通信链接。总线结构包括控制总线、地址总线和数据总线。你应该了解的总线通道和扩展插槽有 PCI、PCI-X 和 PCI-e，以及它们之间的重要差异。

BIOS 永久存储在 ROM 中，并包含计算机开机时执行的第一条指令。BIOS 启动系统，加载设备驱动程序，并启动操作系统。启动过程的配置信息存储在 CMOS 中。较新的计算机使用 UEFI 代替 BIOS。

问题

什么是执行程序、执行算术功能并管理计算机中的数据和输入/输出功能的电子组件？
1. GPU
2. 控制单元
3. CPU
4. 内存
以下哪种说法描述了对称多处理？
1. CPU 是不平等的，并按比例分配系统资源
2. CPU 是平等的，并共享系统资源
3. 一个 CPU 是主控，所有其他 CPU 为从属
4. 每个 CPU 处理相同的指令
以下哪项描述了非对称多处理？
1. CPU 是不平等的，并按比例分配系统资源
2. CPU 是平等的，并共享系统资源
3. 一个 CPU 是主控，所有其他 CPU 为从属
4. 每个 CPU 处理相同的指令
一个具有两个或更多 CPU 的单一计算设备，无论是对称还是非对称，称为：
1. 微处理器
2. 多处理器
3. 单处理器
4. 以上都不是
在这种微处理器类型中，多个处理器在单一数据源上执行不同的指令：
1. SIMD
2. MISD
3. MIMD
4. UEFI
以下哪个不是 CPU 系统中缓存内存的级别？
1. 三级缓存
2. 二级缓存
3. 一级缓存
4. 零级缓存
CPU 的速度与哪个系统特性有关？
1. CPU 倍频和 FSB 的频率
2. ECC 和内存奇偶校验
3. BIOS 和 DRAM
4. 内存时序和 CL
以下哪个不是 PCI 总线通道？
1. PCI
2. PCI-X
3. PCI-e
4. PCIC
以下哪两个包含 PC 的配置数据，并在计算机开机时激活？
1. BIOS
2. CMOS
3. BOOTP
4. UEFI
从内存接收和处理数据请求所需的时间是多少？
1. CAS 延迟 (CL)
2. RAS 到 CAS 延迟 (tRCD)
3. RAS 预充电 (tRP)
4. 行激活时间 (tRAS)

第三章：数据存储

网络中至关重要的一部分是数据存储设备，它们使数据能够以有序、分类和映射的形式永久存储，以便于保存和检索。在我们日常使用计算机时，我们几乎将桌面或便携计算机中的硬盘驱动器视为理所当然。毕竟，它就在那儿。网络上的数据存储，虽然使用与桌面计算机中硬盘驱动器相同的基本存储技术，但更加复杂，确实需要更多关注。

本章将重点讨论网络数据存储的技术、设备、协议、介质和应用。为此，我们将讨论以下主题：

数据存储设备的硬件规格
硬盘驱动器的主要接口协议
数据存储系统
文件系统
独立磁盘冗余阵列（RAID）
数据存储需求的容量规划

数据存储设备及其规格

数据已经成为个人、企业、公司、企业集团、公司或组织最有价值的资产之一，并且必须加以保护。处理和存储数据的计算设备和存储设备必须可靠且可用，最重要的是，必须是安全的。

在本节中，我们将研究磁盘驱动器硬件和配置、数据存储和传输协议及技术，并深入探讨 RAID。

硬盘规格

在最基本的功能层面上，所有形状和大小的硬盘驱动器中的技术基本相同。下图展示了一个基本硬盘驱动器的核心内部组件。如图所示，一个执行器臂，通过执行器轴连接并定位，伸出并缩回读写磁头，以便将其放置在适当的磁道/圆柱和扇区上：

硬盘驱动器的主要组件

如前所述，硬盘驱动器有各种尺寸。在这里，尺寸有不同的含义：高度、周长和容量。硬盘驱动器的外形规格决定了前两个特性。硬盘驱动器的容量与硬盘的外形规格有关，但更多的是使用技术的功能。

外形规格

正如我们在前一章中讨论的那样，外形因素（form factor）决定了计算机机箱、主板、电源等的外形和尺寸。然而，对于硬盘驱动器，外形因素决定了硬盘的高度、宽度、长度，以及其与主机计算机连接器的类型和位置。以下部分将讨论服务器中常见的硬盘外形规格。

小型外形规格（SFF）

SFF 比大多数其他常见形式要小。内部磁盘盘片的直径平均为 2.5 英寸。SFF 标准规定驱动器的宽度为 2.7 英寸，总长度为 100 毫米（或 3.93 英寸），高度范围从 5 毫米（0.20 英寸）到 15 毫米（0.59 英寸）。由于其紧凑的尺寸，SFF 硬盘驱动器在笔记本电脑和其他便携式计算机中非常常见。SFF 驱动器也可以用于桌面计算机，但需要安装支架以填充 3.5 英寸的硬盘位。

由于其存储容量可达到 5 TB，SFF 驱动器在某些服务器环境中得到了应用。在这些系统中，交互式和事务处理系统使用 SFF 驱动器，而备份、归档和大容量备份则使用更大的驱动器或技术。

大型外形因子（LFF）

大型外形因子（LFF）硬盘驱动器的高度维度可以从 19.9 毫米（0.78 英寸）到 26.1 毫米（1.03 英寸）不等。虽然这看起来并不大，但最新的 LFF 驱动器可以存储多达 100 TB，具体取决于其技术（稍后会详细介绍）。LFF 驱动器的长度为 146 毫米（5.75 英寸），宽度为 101.6 毫米（4.0 英寸）。下图展示了 SFF 和 LFF 大小的差异：

3.5 英寸 LFF（左）与 2.5 英寸 SFF（右）对比

图片来源：Seagate Technology, LLC

HDD 规格与配置

HDD 的技术规格描述了其技术、接口、容量和操作速度。对于任何 HDD，都有两组规格：设备规格和配置规格。设备规格表示磁盘驱动器组件和操作的原始或未格式化的测量值。配置规格，也称为逻辑配置，反映了在格式化或分区磁盘介质后对设备规格所做的任何更改。

与内部或外部磁盘驱动器相关的重要设备规格如下：

每分钟转速（RPM）：HDD 的两种主要转速为 7,200 和 5,400，这表示磁盘驱动器中的磁盘盘片每分钟旋转的次数。更高的转速意味着更快的磁盘驱动器。例如，7,200 RPM 的驱动器大约比 5,400 RPM 的驱动器快三分之一。在这种情况下，更快意味着磁盘盘片上的存储位在读写头下移动的速度更快，从而加快了数据传输过程。
接口：驱动器支持的通信接口类型可以指示驱动器的容量、用于传输数据到或从 HDD 的总线宽度以及其最大（原始）数据存储容量。下表显示了目前流行的硬盘总线接口的传输速率和最大容量（有关更多信息，请参阅本章后面的硬盘接口部分）：

HDD 接口	最大传输速率（Mbps）	最大容量（TB）
PATA	133	1
SCSI	320	1
SATA	600	12
SAS	750	12

常用硬盘接口的特点

访问时间：这是磁盘控制器启动 I/O 操作后，直到数据可以从磁盘介质读取或写入之前所发生的各个时序元素的总和。访问时间包括以下内容：
- 寻道时间：是指执行器臂将读/写磁头定位到合适的磁盘盘片上，并将其移动到包含目标数据扇区的盘片上的磁道所需的时间。
- 旋转延迟：也叫做旋转延迟或延迟，是指旋转的磁盘盘片将目标数据扇区移动到读/写磁头下所需的时间。
- 命令执行时间 和 稳定时间：这些测量通常非常小，可能不会包含在制造商的硬盘驱动器性能规格中。命令执行时间是指建立各个元素之间的连接所需的时间，这些元素涉及数据从内存或硬盘驱动器的传输。稳定时间是指将读/写磁头放置到位置，以便将数据写入磁盘介质或从磁盘介质读取数据所需的时间。大多数硬盘驱动器规格将稳定时间计入寻道时间。
吞吐量：也叫做 数据传输速率 (DTR)，这是指在特定操作中，将数据从一个位置移动到另一个位置所需的时间。在硬盘驱动器的上下文中，吞吐量分为 读取吞吐量 和 写入吞吐量。在这两种情况下，它表示从读/写磁头到内存（读取吞吐量），或从内存到读/写磁头（写入吞吐量）所需的时间。
每秒 I/O 操作数（IOPS）：读作 eye-ops，IOPS 衡量硬盘驱动器每秒从随机非连续地址读取和写入操作的次数。这个测量的结构可能会因不同制造商而有所不同，因此它可能不是一个可靠的指标来比较硬盘驱动器。

磁盘容量 – 十进制与二进制

存储设备（如硬盘驱动器）的存储容量既以十进制值也以二进制值表示，这可能会让设备上实际可用的空间产生混淆。例如，1000¹⁰ 或 1 KB 的十进制值常常与 2¹⁰ 或 1024¹⁰ 交换使用，后者也被称为 1 KB。

硬盘驱动器和其他一些存储设备在格式化后，通常会显示出约七个百分点的容量损失。例如，一个新的 1 GB 硬盘驱动器格式化后只剩下大约 938 MB。这一差异代表了总存储容量的七百分比，似乎消失了。

产生混淆的原因在于，计算机由于其设计的原因，使用二进制来表示数值，比如将 2²⁰视为与 10⁶相等，或者将 1,048,576 视为与 1,000,000 等价，实际上 1MB 等于 1MB。

以下表格列出了更常用的前缀符号及其等效值：

前缀	值	十进制指数	十进制值	二进制指数	二进制值
Kilo	千	10³	1,000	210	1,024
Mega	百万	10⁶	1,000,000	220	1,048,576
Giga	十亿	10⁹	1,000,000,000	230	1,073,741,824
Tera	万亿	10¹²	1,000,000,000,000	240	1,099,511,627,776
Peta	千万亿	10¹⁵	1,000,000,000,000,000	250	1,125,899,906,842,624
Exa	百万亿	10¹⁸	1,000,000,000,000,000,000	260	1152921504606846976
Zetta	十亿亿	10²¹	1,000,000,000,000,000,000,000	270	1180591620717411303424
Yotta	十亿亿亿	10²⁴	1,000,000,000,000,000,000,000,000	280	1,208,925,819,614,629,174,706,176

数字表示法前缀

硬盘驱动器（HDD）与固态硬盘驱动器（SSD）

机械硬盘（HDD），或常见的硬盘，至少有八个主要的活动部件，其中一些部件在硬盘驱动器的主要组件图像中有所展示，该图像出现在本章前面的硬盘规格部分。仅仅是“活动部件”一词就足以让人警觉，因为任何活动的部件都可能损坏或磨损。当然，并不是很多硬盘由于执行臂卡住或偶尔的读写间隙错误而发生故障，但它们是有可能发生的。理想情况下，硬盘应该没有活动部件，这样就不会有机械故障的威胁。而 SSD 就是这样的设备。

SSD 的工作原理与 USB 闪存驱动器类似，二者都将数据存储在半导体芯片中（见下图）。固态（Solid-state）这一术语自晶体管收音机时代便开始流行，指的是由半导体组成的电路。固态还意味着没有活动部件。SSD 大多设计为便携式或紧凑型计算机的内部安装设备，但也可以作为外部设备使用，类似于非常大的闪存驱动器。SSD 通常使用 SAS 或 SATA 接口：

SSD 的爆炸视图。

图片提供：英特尔公司

使用 SSD 相较于 HDD 的好处主要体现在三方面：可靠性、速度和减少的能耗。如下面的表格所示，SSD 在某些极端情况下优于 HDD。平均而言，SSD 的速度是 HDD 的四倍左右，并且功耗仅为 HDD 的一半。另一方面，SSD 的存储容量尚未赶上 HDD，其每 GB 的成本也要高得多。这意味着，SSD 存储设备在可靠性、速度和操作成本方面更具优势。然而，初期成本较高：

特性	HDD	SSD
故障率	150 万小时 MTBF*	200 万小时 MTBF*
读/写速度	50 – 120 MBps	200 – 550 MBps
电力使用	6 – 7 瓦特	2 – 3 瓦特
最大容量	10 TB	4 TB
成本	$ 0.03/GB \| $ 0.20/GB

HDD 与 SSD 的物理特性比较

MTBF = 平均故障间隔时间

SSD 规格和配置

比较 HDD 与 SSD 的速度时很简单——SSD 更快。问题的答案是，HDD 和 SSD 之间的区别是什么？ 其实是几乎所有的东西。嗯，也许不是所有的。毕竟，SSD 没有所有的运动部件，实际上它没有任何 HDD 的运动部件。这排除了某些性能规格的比较，例如转速（RPM）、旋转延迟、稳定时间等。

虽然 HDD 是串行访问设备，但 SSD 是随机访问设备。你可以随机访问 HDD，但访问数据时会有延迟。而在 SSD 上，你可以直接访问数据。与 HDD 相关的物理延迟问题不会影响 SSD 的性能。像 IOPS、访问时间和吞吐量等指标，可能高出或低于 HDD 许多倍。也要记住，SSD 目前仍然更贵。

硬盘接口

虽然 HDD 可能位于系统机箱内部，但它是与主板和 CPU 连接的外围设备。HDD 与计算机进行通信，即通过驱动接口交换数据。驱动接口是设备驱动程序、硬盘设备、内存和控制器用来传递数据请求及所请求数据的总线结构。

HDD 接口可以是字串行的，也可以是比特串行的。字面导向接口通过并行比特信号传输数据，数据位宽为 8 位、16 位或 32 位。字面导向接口的例子包括小型计算机串行接口（SCSI）和并行高级技术附件（PATA）。比特导向接口通过主机总线适配器（HBA）进行互联。比特导向接口的例子有光纤通道（FC）、串行 ATA（SATA）和串行附加 SCSI（SAS）。

安全+考试中你需要了解的 HDD 驱动接口如下：

PATA：PATA 使用并行比特信号在 HDD 与控制器和驱动器之间传输数据。它通过 80 针电缆与系统连接，电缆传递 5V 信号。并不是每根导线都传输数据。事实上，每两根导线中的一根是接地线。由于连接电缆的尺寸，PATA 硬盘是内置设备。PATA 设备能够以最高 80 MBps 的数据速率传输数据。
SATA：SATA 使用串行位信号在硬盘驱动器（HDD）与主板、控制器和驱动器之间传输数据。SATA 通过 7 根导线的电缆以更高的速度传输数据。SATA 的出现主要是因为 PATA 标准无法支持更大容量磁盘驱动器的更高数据传输速率（DTRs）。SATA 设备的数据传输速率最高可达 600 MBps。
SCSI：SCSI（scuzzy）为多种设备提供了多连接接口，包括硬盘驱动器（HDD）、光驱、打印机、扫描仪及其他外设。最多可以连接 15 个设备到一个 SCSI 接口，而该接口仅占用主机计算机中的一个 HBA 插槽。SCSI 使用并行位信号传输，数据传输速率（DTR）可达到 80 MBps。
SAS：SAS 在其基础接口 SCSI 的基础上进行了改进，扩展了其多项能力和容量。SAS 控制器直接连接到 SAS 硬盘驱动器（HDD）。SAS 可以在单个接口上连接最多 128 个不同的设备。它是一个全双工接口，数据传输速率（DTR）可达到 3.0 GBps。SAS 的另一个重要特点是它是热插拔技术。
FC：FC 技术主要是一种在数据中心和服务器农场中常用的通信协议。尽管其名称表明它基于光纤电缆，但由于它是基于协议的，因此所使用的传输介质可以是同轴电缆、铜双绞线或光纤电缆。使用的电缆类型决定了 FC 连接设备之间的分离长度。铜连接节点的最大距离应在 100 英尺以内，而多模光纤电缆连接的设备可以相隔最长 10 公里（6.67 英里）。由于其可靠性、灵活性、速度和传输距离，FC 技术正在替代数据中心中的 SCSI。目前，FC 的最大数据传输速率（DTR）可以达到 128 GBps。

数据存储系统

在这一点上，我们需要简要介绍一些基本的磁盘存储术语和概念。在 Server+考试中，通常假定你已经掌握这些术语和概念，因此这是我们需要覆盖的内容。在接下来的几节中，我们将探讨数据存储和检索方法、技术及系统的技术组织。

直接附加存储（DAS）

DAS 的名称应该不言而喻。DAS 是任何直接连接或附加到计算机上的存储设备，包括 HDD、SSD、USB、磁带、光盘、闪存驱动器等。安装在计算机机箱内的硬盘驱动器就是 DAS；通过 USB 连接的外部硬盘驱动器也是 DAS；USB 磁带驱动器也是 DAS。换句话说，如果一个数据存储设备直接连接到计算机及其总线，那么它就是 DAS。

网络附加存储（NAS）

如下图所示，NAS 是一个或多个附加到网络上的数据存储设备，网络客户端可以共享这些设备。NAS 对于网络用户来说，看起来类似于 DAS，尤其是当使用网络文件系统（NFS）时。NFS 是一种网络文件共享协议，允许经过认证和授权的用户访问网络文件系统和资源，如 NAS。虽然 NFS 是 NAS 系统的常见组成部分，但它也可以与无结构的 HDD 集群一起使用，这些集群通常被称为一堆磁盘（JBOD）。在 JBOD 配置中，磁盘作为独立设备运行：

一台 16 盘位的 NAS 设备

图片来源：Infortrend 科技公司

存储区域网络（SAN）

FC 通信的一个常见应用，特别是在大型网络和数据中心中，是 SAN。SAN 是一个独立的存储设备网络和专用交换机网络，它为连接的网络节点提供高速数据访问。对于网络服务器来说，SAN 的一部分看起来就像直接连接到该服务器一样。每个连接到 SAN 的服务器都有相同的视图。SAN 为网络服务器提供了在存储设备之间移动数据的能力，并执行备份和恢复操作，此外，还为多个服务器提供数据访问。

SAN Fabric

如下图所示，最简单的 SAN 由一个或多个网络服务器组成，这些服务器通过一个或多个专用交换机连接到由两个或更多硬盘驱动器组成的数据存储阵列。在此图中，红色虚线框框住了所谓的Fabric，即 SAN 中由交换机控制的磁盘驱动器网络：

SAN 的组成部分

SAN 通信

大多数 SAN 使用两种通信技术中的一种：FC 和互联网 SCSI（iSCSI）：

FC SAN： FC 是最常用的 SAN 通信技术。基于 FC 的 SAN 包含 FC 交换机，用于互联存储设备，并配有 FC HBA（主机总线适配器），将 FC 交换机连接到网络服务器。
iSCSI SAN： iSCSI 替代方案不需要基于 FC 的 SAN 中的专用设备。iSCSI SAN 可以在以太网交换机和物理连接到存储设备及网络服务器上运行。其结果是一个低成本、但性能较低的 SAN 解决方案。

另一种 SAN 选项是以太网光纤通道（FCoE）。FCoE 将以太网和 FC 信号合并到一个共同的网络介质中。然而，并非所有的以太网网络设备都支持 FCoE 标准。

逻辑单元号（LUN）区域划分与屏蔽

在基于任何通信技术的存储区域网络（SAN）中，一个关键元素是 LUN。LUN 是分配给 SAN 存储单元的身份标识，它可以是硬盘驱动器（HDD）的一个部分、整个 HDD，甚至多个 HDD，尤其是在 RAID 配置中。LUN 代表存储介质与网络客户端之间的映射，指示哪些网络主机可以访问哪些由 SAN 管理的数据。

在 FC SAN 中，设置 LUN 分区明确指定哪些网络服务器/主机可以访问特定的 LUN 及其内容。如下面的示意图所示，左侧的服务器具有访问第一个和第三个 LUN 的区域权限，而右侧的服务器可以访问第二个和第四个 LUN。LUN 分区是 FC SAN 特有的。iSCSI 和 FCoE 由于使用以太网技术，设置方式与虚拟局域网（VLAN）类似：

LUN 分区确定哪些主机可以访问哪些 LUN

一旦 LUN 分区配置完成，LUN 掩蔽会应用额外的限制，能够将 LUN 从特定的服务器和主机中隐藏。虽然 LUN 掩蔽可以作为许多数据中心中的安全策略的一部分，但其主要用途通常是限制访问，仅允许网络服务器或主机（及其用户）访问所需的数据。

文件系统

任何计算机，无论是独立的还是网络连接的，都会使用文件系统来组织它在辅助存储上存储的数据。文件系统不仅仅是用于存储数据文件的模式，它还包括命名、存储、定位和检索数据所使用的过程、方法和结构。尽管它也被一些人用来指代磁盘分区。

操作系统和文件系统

网络服务器可以使用各种各样的文件系统，一些是操作系统专有的，另一些则是标准或更通用的。例如，以下表格显示了来自不同供应商的几种 Linux 版本都使用了扩展文件系统版本 3（ext3）和后来的ext4。Windows 系统依赖于新技术文件系统（NTFS）多年，并且至今仍在使用，但新的文件系统正在不断出现：

发布年份	操作系统	文件系统
2000	Windows Server 2000	NTFS
2005	Fedora/Ubuntu/Debian Linux	ext3
2006	Windows Vista	NTFS
2009	Windows 7	NTFS
2012	Windows Server 2012	弹性文件系统（ReFS）
2013	Fedora/Ubuntu/Debian Linux	扩展文件系统版本 4（ext4）
2015	OpenSUSE 42.1	更好的文件系统（Btrfs）/扩展文件系统（XFS）
2017	macOS	苹果文件系统（APFS）

各种操作系统及其相关文件系统的历史示例

文件共享

服务器消息块（SMB）是一种文件共享协议，它赋予应用程序访问网络上文件和其他网络资源的能力。网络客户端能够在任何配置为响应 SMB 客户端请求的网络服务器上创建、打开、读取、写入或移动数据文件。SMB 协议有一个标准的 SMB 请求消息格式，但针对不同的操作系统或系统要求，开发了不同的方言和格式变化。其中一种方言，实际上是最早的方言之一，就是通用互联网文件系统（CIFS），这是微软为访问网络上的文件和打印服务所使用的 SMB 版本。微软用自己版本的 SMB 取代了 CIFS。

另一个常见的 SMB 方言是Samba，它使 Windows 计算机能够与运行 UNIX 或 Linux 操作系统的计算机共享文件。Samba 结合了多种不同的协议和服务，包括 SMB 和NetBIOS over TCP/IP（NBT）。

RAID

数据中心和服务器管理中的一个重要元素是可用性，因为在一个网络中，数据存储和通信链路总是可用的，这意味着全天候、每周 7 天都有可用。在一个电力驱动的世界中，使电气设备始终可用，不仅仅是依赖备份电源单元、不间断电源系统（UPSs）和发电机。即使电力保证始终可用，仍然有许多其他威胁可能影响系统或网络的可用性。然而，在你为 Server+考试做准备时，我们应重点关注数据存储设备和系统的可用性，特别是它们的可靠性。

RAID 是一种技术方法，用于提高数据存储系统的可用性、可靠性和性能，尤其是在大型数据中心、云系统和高吞吐量事务处理系统（TPSs）中。一般来说，RAID 系统建立在两个或更多的 HDD 或 SSD 卷上，这些卷同步运行。没有 RAID 标准，每个提供 RAID 解决方案的公司都可以提供自己的规格和级别。然而，通常会实施一些常见的做法和配置。

条带化和镜像

条带化和镜像是 RAID 系统用于创建数据冗余的方法：

条带化将数据分成块，存储在两个或更多的磁盘驱动器或存储卷上。这些块的大小根据提供商不同而有所变化，从单个字节和固定长度的块到整个分区。例如，一个有 5 个硬盘的 RAID 系统可能会将 128 KB 的数据块条带化到每个驱动器上，如果需要，还会通过重复顺序来继续进行。一个有 10 个磁盘的 RAID 系统可能会将一个 10 MB 的文件条带化到每个磁盘上，每个磁盘的条带大小为 1 MB。
镜像本质上是将数据复制或拷贝到两个或更多驱动器上。镜像的主要目的是提供数据文件的准确副本，例如，以便当原始文件或存储它的驱动器发生故障时，它可以作为故障转移。尽管镜像类似于备份，但它是在线并立即可用的，而备份则需要更多的步骤。镜像文件通常是同步的，这意味着对原始文件的更新也会同步到镜像中。这还可能加速数据访问操作，因为可以从两个副本中读取数据文件的不同部分。

RAID 级别

RAID 级别是一种功能性方法，结合了数据条带化或镜像，或者两者兼有，并且可能会应用奇偶校验，也可能不使用。多年来，厂商和供应商定义了 10 个或更多 RAID 级别，其中一些仍然作为准标准在使用，而另一些则已经过时。

下表列出了常见的 RAID 级别，这些级别可能会出现在 Server+考试中：

RAID 级别	描述	最小磁盘数
0	数据条带化；无奇偶校验	2
1	镜像；无奇偶校验	2
5	数据条带化；有奇偶校验	3
6	数据条带化；双重奇偶校验	4
1+0 (10)	数据条带化与镜像结合；无奇偶校验	4

活跃的 RAID 级别

RAID 0：RAID 级别 0 并不是一种冗余或数据恢复方法，它更像是一种性能增强工具。通过将数据条带化到多个磁盘驱动器中，数据的 I/O 处理速度得以提升。下图展示了在三个磁盘上进行条带化的示意图：

RAID 0 将数据块条带化到多个磁盘上

RAID 1：RAID 级别 1 提供数据块的镜像或副本，如果磁盘驱动器发生故障或主数据副本损坏，镜像可以用于继续处理。下图展示了 RAID 1 镜像的示意图：

RAID 1 将数据镜像保存到另一块磁盘上

RAID 5：RAID 级别 5 看起来像是 RAID 0 加上奇偶校验（见下图）。相似之处仅此而已，因为 RAID 5 是企业网络和数据中心中最常见的 RAID 实现，它利用条带化的数据和奇偶校验信息，从出现故障的磁盘中恢复数据块，以便处理可以不中断地继续进行。RAID 5 实现的缺点是，在 I/O 密集型环境中，尤其是有大量写操作的环境下，延迟可能成为一个问题：

RAID 5 将数据和奇偶校验信息条带化到多个驱动器上

RAID 6：RAID 级别 6 本质上是 RAID 5 的双倍奇偶校验版本，这意味着可以有两个或更多磁盘驱动器故障，而处理仍能继续。也就是说，前提是阵列中有两个以上的磁盘。RAID 6 也在企业网络和数据中心中广泛使用。
RAID 10：RAID 级别 1+0 或 10 将级别 1 的镜像与级别 0 的条带化结合在一起，但没有奇偶校验。该 RAID 级别在较小的网络和服务器中很受欢迎，并通过软件 RAID 应用程序进行应用。

RAID 实现

RAID 系统可以在服务器、SAN 或 NAS 上以硬件 RAID 或软件 RAID 形式实现。从操作上讲，两个 RAID 类型之间并没有太大区别，尽管许多专家更倾向于使用硬件 RAID。如果存在差异，它们主要体现在 RAID 处理的位置。在软件 RAID 实现中，RAID 处理由服务器的（通常是 RAID 主机服务器的）CPU 执行。硬件 RAID 的实现方式有多种：可以通过安装在主机服务器中的 RAID 控制器扩展卡（如下图所示）；也可以是独立的 RAID 控制器设备；或是具有嵌入式 RAID 控制器的磁盘驱动器。性能通常是两者之间的主要区别，硬件 RAID 有优势。然而，这些差异取决于磁盘驱动器的数量、格式化方式和使用的 RAID 级别：

一张硬件 RAID 控制器扩展卡

图片来源：HighPoint 公司

数组控制器，也称为磁盘阵列控制器、RAID 控制器和存储处理器（SP），管理和控制磁盘驱动器阵列，并将其呈现给服务器和主机作为一个或多个逻辑单元。磁盘阵列可以是一个大的 JBOD，也可以配置为 NAS 或 SAN。一个数组控制器通常有三个主要组件：处理器、RAM 和 I/O 接口。处理器解析传入的数据请求，决定数据是要提供还是要存储。数据移动所需的指令和寻址信息存储在 RAM 中。I/O 组件通常至少有一个前端端口与主机计算机的主机适配器通信，以及一个后端端口与磁盘驱动器连接。

RAID 系统通常包括电池备份缓存内存。该缓存提供了一个缓冲区，使 RAID 控制器能够比将数据写入磁盘的速度更快地处理 I/O 操作的双向数据。电池供电可确保在发生断电时数据得以保留。在更大的 RAID 实现中，冗余磁盘阵列控制器（RDAC）与主磁盘阵列控制器共享一个双端口连接，在主控制器发生故障时提供即时备份和故障切换。如果没有这种冗余，磁盘阵列控制器故障将导致磁盘阵列无法访问。

磁盘配额

系统和网络管理员不仅需要确保系统或网络的运行，并保持对用户的可用性。其职责还包括管理、控制和分配系统资源。多用户系统上的硬盘空间可能需要设置使用限制，以为所有用户提供足够的存储空间。实现这一目标的一种方法是设置磁盘配额。

磁盘配额，即在用户或组级别设置的配额，限制写入硬盘的单个文件或数据块的最大大小。通常，磁盘配额是针对个人用户或组的，分为两种配额设置类型：用户配额或数据块配额，文件配额或 inode 配额（UNIX）。用户配额限制个人或组账户的最大磁盘使用量。文件配额限制用户或组创建的文件数量和/或大小。

此外，磁盘配额的类型是特定于文件系统的。磁盘配额可以在大多数操作系统中设置，包括 Windows（参见下图）、UNIX 和 Linux：

在 Windows 系统上设置磁盘配额

磁盘压缩

许多管理员将磁盘压缩视为减少数据文件在硬盘上占用空间的一种方式。甚至有人声称，磁盘压缩可能会加快 I/O 过程，因为压缩/解压缩操作发生在内存中。事实上，这正是吉尔斯特定律（Gilster's Law）适用的另一个场所：

“你永远无法确定，一切都取决于情况。”

一般来说，磁盘压缩可能会略微增加 I/O 过程的时间，无论是读取还是写入。根据以压缩形式存储的数据的性质，存储在磁盘上的数据量增加可能会减轻压缩带来的延迟。在高容量 I/O 系统中，压缩磁盘可能不是最佳解决方案。然而，在 I/O 活动较少的数据归档或数据仓库中，压缩磁盘则是更合适的选择。

磁盘压缩减少了存储数据在磁盘介质上占用的空间。磁盘压缩不同于文件压缩，后者仅压缩单个文件，而磁盘压缩压缩写入磁盘的所有数据。当启用磁盘压缩时，操作系统和硬盘控制器之间的一个数据压缩工具会拦截写入或读取受影响硬盘的任何数据。根据需要，数据会被压缩或解压缩，并传递给下一个环节。

高可用性 (HA)

网络服务器及所有其他网络连接系统的一个极其重要的特性就是高可用性（HA）。具有 HA 特性的系统在大部分时间内处于运行和可用状态。HA 通过系统应该或实际实现的正常运行时间百分比来衡量。你可能听说过表达“四个九（9999）”。这指的是在表示正常运行时间百分比时，小数点右侧的数字个数（如下面的表格所示）：

可用性	常见名称	每年停机时间	每月停机时间	每周停机时间	每天停机时间
99.9999999%	9 个九	31.56 毫秒	2.63 毫秒	604.80 微秒	86.40 微秒
99.999%	5 个九	5.26 分钟	26.30 秒	6.05 秒	864.00 毫秒
99.99%	4 个九	52.60 分钟	4.38 分钟	1.01 分钟	8.64 秒
99%	2 个九	3.65 天	7.31 小时	1.68 小时	14.40 分钟
55.5555555%	9 个五	162.33 天	13.53 天	74.92 小时	10.67 小时

一些常用的高可用性措施及其时间等效

ms: 毫秒
µs: 微秒
sec: 秒
min: 分钟
hrs: 小时

九个 9（9-nines）

如前表所示，高可用性的含义可能会根据网络服务器和网络连接设备的用途和使用而有所不同。网络中的每个支持设备，如 RAID、NAS、SAN、路由与远程访问服务（RRAS）等，通常都对数据中心管理员和用户有一定的高可用性期望。9 个 9的目标可能对于大多数服务器操作来说过于激进，每年仅允许 31.56 毫秒的停机时间。然而，许多服务级别协议（SLA）或客户或订阅者支持承诺，通常为四个或五个 9，承诺每年停机时间不超过 5 到 52 分钟。这些承诺通常是来自服务器或数据中心实际结果的平均值，或是网络配置中为提供所需可用性而设定的目标。

容错

高可用性的目标是保持系统的可用性和可访问性，而容错的目标是在组件或系统故障的情况下保留所有进行中的数据和操作。容忍故障或失败对于任何服务器或服务器连接存储阵列都是至关重要的。容错集成到系统中的程度取决于所提供服务的性质以及涉及数据的敏感性。一个需要全天候高需求的系统，必须始终可用，结合了高可用性和容错原则。在另一个极端，系统的容错可能更多是一个软着陆，提供所需的时间以保存所有进行中的数据。

任何级别的容错都有三个一般特点：

没有单点故障：任何可能故障并导致系统崩溃的系统元素都有一个故障转移或冗余元素来进行备份。
组件故障不应该导致系统停机：如果组件发生故障，替换组件不需要关闭任何或所有系统的电源。
任何故障或失败都能轻松识别和隔离：故障组件不会导致数据或处理丢失或中断。

这些原则可以应用于任何系统的三大故障领域：硬件、软件和电力。

更换故障组件

替换或使故障组件脱机而不影响用户或操作的能力是高可用性和容错的主要目标。避免因替换故障组件而需要关闭整个系统是最终目标。然而，并非在所有情况下都需要关闭整个系统或仅仅是故障组件。一些组件具备在运行中替换的能力，随时更换。

无论如何，硬件故障和电源组件更换有三种常见的方法：

热交换：热交换涉及在系统运行并完全操作的情况下，立即切换或物理更换故障组件。热交换设备的例子，称为热备件，包括音频设备、显示器、USB 设备、SATA 硬盘和网络插口。
温交换：温交换要求在替换或切换过程中暂停系统或故障组件的操作。通常，温交换涉及介质的更换，而不是整个组件。
冷交换：冷交换涉及完全关闭系统，通过应用冷备件来进行升级、更换或修理。

磁盘存储容量规划

预测计算机、系统或数据中心未来需要多少存储空间，无论是近期还是远期，都是一项棘手的任务。一方面，您不想不必要地引入过多的存储容量，浪费原本可以用于其他地方的资金。另一方面，存储空间不足可能意味着系统中断和更高的紧急价格。诀窍是找到一个平衡点，在特定的时间框架内拥有适当的磁盘空间，并制定清晰的计划，确定何时需要增加或减少存储空间。

大多数硬盘制造商提供磁盘容量规划工具，您可以用来预测未来的存储需求。此外，还有一些系统管理软件包包含容量规划功能（见下图）。但是，在开始预测未来需求之前，请确保您了解磁盘存储需求的来源，以及其他技术或方法如何解决容量需求。磁盘存储技术和方法，如分层存储、数据压缩、虚拟化、SAN 和 NAS，可能是更好且更经济的选择：

磁盘空间容量规划报告

图片来源：Power Admin, LLC

其他存储设备

其他不适合高效数据检索的数据存储设备适用于数据备份、文件存档和灾难恢复。在这些设备中，磁带可能是最常用的介质，原因有二：便携性和成本。

磁带

磁带是一种涂有铁氧体或铬层的塑料或镁带，可以通过磁化或去磁来表示数据位，这些数据被写入磁带上，采用最多 128 条轨道的平行或螺旋模式。最初，磁带存储在卷轴上，但今天，它通常包装在塑料盒（磁带盒）内。

数据是顺序地写入或从磁带中读取的，这意味着要从磁带的末端检索数据，必须跳过前面的所有数据。历史上，磁带并不是一种随机访问的介质。然而，新的技术，如线性磁带开放标准（LTO），通过将数据对象与其元数据分开存储，表现得像随机访问。LTFS 组织允许磁带存储多达 220 TB 的数据。

企业或其他任何组织通常将其记录的磁带存储在磁带库中，无论是用于常规系统备份、数据档案，还是灾难恢复。

磁带库可以是一个有组织的存储设施或柜子，按时间顺序、目的或内容顺序存储磁带。然而，能够按设定的时间表顺序旋转几个磁带盒的磁带设备也被称为磁带库。

光学存储

另一种用于数据备份、存储大文件、从一台计算机转移数据或编程到另一台计算机，或商业软件应用程序的光学数据存储技术。光盘驱动器（ODD）可以读取或写入光盘，但大多数情况下，光盘作为输入设备使用。

常见的光盘类型包括紧凑型光盘（CD）、数字多功能/视频光盘（DVD）和蓝光光盘。曾几何时，光盘被认为比大多数便携式磁带介质更好。一个 CD 可以存储多达 700 MB 的数据；一个 DVD 可以容纳最多 8.4 GB；而一个蓝光光盘最多可以包含 50 GB 的数据。然而，随着 USB 闪存驱动器（U 盘/闪存驱动器）现在可以存储多达 256 GB 的数据，光盘驱动器作为备份介质的能力可能有限。

摘要

形状因素决定了计算机外壳、主板、电源和磁盘存储驱动器的外形和适配性，形状因素设置了高度、宽度、长度以及连接到主机计算机的连接器的类型和位置。HDD 设备规格包括 RPM、接口、访问时间、吞吐量和 IOPS。HDD 是顺序设备，而 SSD 是随机访问设备。

SSD 通过固态半导体芯片存储数据，并且没有活动部件。SSD 使用 SAS 或 SATA 接口。磁盘驱动器接口是字串行或比特串行和比特导向的接口，通过 HBA、FC、SATA 和 SAS 连接。PATA 使用并行比特信号传输。SATA 使用串行比特信号传输。SCSI 为多个设备提供连接接口。SAS 扩展了 SCSI。NAS 是将存储设备集群化并显示为网络共享的设备。SAN 是一个存储设备和交换机的网络，提供对连接网络节点的访问。LUN 标识一个 SAN 存储单元。数据在二级存储上以文件系统组织。SMB 帮助应用程序访问网络上的文件和网络资源。SMB 有不同版本或方言，特定操作系统有其独特的实现方式，例如 CIFS。

RAID 系统是由两个或多个同步操作的 HDD 或 SSD 卷构建的。RAID 系统通过条带化（striping）和镜像（mirroring）方法创建数据冗余。条带化将数据分割成条带，存储在两个或多个硬盘驱动器上；镜像则将数据复制到两个或多个硬盘驱动器上。RAID 级别包括条带化或镜像，或者两者兼有，也可能使用奇偶校验。RAID 0 使用条带化，但不是冗余方法；RAID 1 提供镜像功能，可以在磁盘驱动器故障或数据损坏时保持数据可用；RAID 5 类似于 RAID 0，但增加了奇偶校验，使用条带化的数据和奇偶校验信息来重建故障硬盘上的数据块；RAID 6 相当于 RAID 5，但奇偶校验信息被加倍，通常应用于更大的网络中；RAID 1+0 或 10 结合了 RAID 1 的镜像和 RAID 0 的条带化，但不使用奇偶校验。硬件 RAID 通过主机服务器中的控制卡、独立的 RAID 设备，或通过带有嵌入式控制器的硬盘实现。磁盘压缩可以减少数据在磁盘介质上占用的空间。磁盘压缩与文件压缩不同。操作系统与硬盘之间的数据压缩工具拦截传输中的数据，并根据需要进行压缩或解压，然后继续传送数据。

HA（高可用性）是指系统的正常运行时间占比很高的状态。容错系统能够在组件或系统故障时继续运行。热插拔是指在系统保持完全正常运行的情况下，立即切换或更换故障组件。温插拔要求暂停操作，虽然系统仍然通电，但需要停机更换故障组件。冷插拔需要关机才能更换或修复组件。其他介质和存储设备，如磁带和光存储设备，也可以用来存储数据。

问题

以下哪些是 HDD 和 SSD 之间的区别？请选择所有适用项：
1. 旋转延迟
2. 访问时间
3. 存储容量
4. 以上所有
SSD 设备使用以下哪两种接口？请选择两种。
1. PATA
2. SATA
3. SCSI（小型计算机系统接口）
4. SAS
以下哪项存储技术描述的是多个独立磁盘未配置成阵列的情况？
1. RAID（冗余磁盘阵列）
2. DAS（直接附加存储）
3. SAN（存储区域网络）
4. JBOD（独立磁盘冗余阵列）
以下哪项最佳描述了 SAN？
1. 一个或多个直接连接到计算机的存储设备
2. 一个数据存储设备集群，看起来像是直接附加存储
3. 一个自包含的存储设备网络和交换机，提供高速数据访问
4. 用于识别服务器和主机访问权限的分区
以下哪两项描述了在 SAN 中服务器和主机访问数据资源的方式？
1. 文件权限
2. LUN 分区
3. LUN 掩蔽
4. 文件系统
Linux 和 Windows 常见的文件系统分别是：
1. Linux 和 UNIX
2. DOS 和 Windows
3. ext3 和 NTFS
4. EFS 和 RAID
SAMBA 是哪种应用层协议的实现？
1. HTTP/FTP
2. IPSec/WPA
3. SBA/TCP
4. SMB/CIFS
在不同的 RAID 级别中，应用了哪两种冗余方法？选择两项。
1. 镜像
2. 压缩
3. 加密
4. 条带化
以下哪项不是 RAID 的数据冗余级别？
1. RAID 0
2. RAID 1
3. RAID 5
4. RAID 10
一个系统如果在相当长的一段时间内保持完全运行并能被用户访问，则被认为是：
1. 容错
2. 抗故障
3. 高可用性
4. 极高可用性
将左边的名称与右边最能描述它的描述匹配。

a. 热插拔

b. 冷插拔

c. 温插拔

1. 需要关闭系统电源才能进行替换或修复

2. 在系统保持完全运行的情况下，立即切换或替换故障组件

3. 在系统仍然通电的情况下暂停操作，以便替换故障组件

第四章：服务器操作系统

计算机系统有五个主要组件：硬件、软件、人员、文档和数据。缺少其中任何一个组件，系统的意义就会大大降低。当然，还有一种版本识别输入–处理–输出（IPOS）模型，它由输入、处理、输出和存储（指主内存，而非磁盘驱动器）组成。在这两种模型中，软件和处理虽然与其各自模型的其他组件同样重要，但它们代表了让我们在计算机上完成任务的催化剂。

在本书的前三章中，我们研究了网络服务器的典型硬件，包括其外部和内部硬件以及用于存储数据的硬件。在本章中，我们将继续探讨所有计算机系统的主要软件——操作系统，特别是网络操作系统（NOSes）。在本章中，我们将重点讨论三种最流行的操作系统（也是你在 Server+考试中会遇到的）：Windows Server、Linux Enterprise 和 macOS Server。

在本章中，我们将涵盖以下主题：

网络服务器
操作系统与硬件
启动顺序
文件系统
网络配置
用户帐户
网络操作系统优化

网络服务器

首先，让我们达成共识，明确网络服务器是什么，它的功能是什么。正如我们在第一章《服务器硬件》中讨论的那样，服务器从技术上来说是一种在网络计算机上运行的软件包，它处理并响应来自主机的请求，为网络客户端提供资源以满足请求。服务器有许多不同的类型，每种都有自己的目的和功能。在接下来的章节中，我们将研究你在 Server+考试中可能遇到的各种服务器。

服务器功能

网络服务器的一般功能是为网络客户端提供服务。从最基本的层面来看，服务器就像餐厅中的服务员，满足客户的需求。就像餐厅中的服务员一样，不同职责有不同的专门化服务器，例如酒水服务员、厨师和端盘员，每个人都专注于某一个目的或相关的任务群体。

然而，如果我们将网络服务器的定义扩展到包括硬件、操作系统、管理工具、协议、数据存储和通信，它的功能将包括为网络客户端提供管理、安全、资源和其他服务。一个网络服务器可能支持单一角色、功能或应用程序。一台网络连接的计算机可能支持多个服务器角色和应用程序。

无论服务器硬件上运行着什么服务器软件，且服务器在网络中担任何种角色，有一件事在每个服务器上都是常见的——即网络操作系统（NOS）。并不是每个支持某种类型服务器软件的网络节点都需要一个网络操作系统，但那些负责用户账户、访问权限和安全性的服务器当然需要。

网络服务器操作系统

我们所说的操作系统与网络操作系统之间有几个区别。这些区别不仅仅局限于，但直接与标题中“网络”的包含有关。像几乎所有的计算机操作系统一样，如 Windows、Linux 和 macOS，网络操作系统提供系统控制和管理功能，但面向多个工作站。

操作系统（OS）功能

计算机的操作系统是提供用户利用计算机硬件的手段的系统软件。操作系统管理、控制、保护并维护计算机的物理电子设备。大多数情况下，我们往往把操作系统视为理所当然，很少考虑它是如何工作的，或者它到底做了什么。毕竟，它使我们所做的一切成为可能！

操作系统有五个主要功能：

用户/计算机通信
内存管理
硬件的控制与协调
内部和网络文件管理
用户、数据、应用程序和资源的安全

用户/计算机通信

用户通过图形用户界面（GUI）或命令行界面（CLI）与操作系统或应用程序进行交互。促进这种交流是任何操作系统的主要功能。以下截图展示了用户如何通过 GUI 和 CLI 选择或输入请求或命令：

图形用户界面（左）和命令行界面（右）示例

内存管理

操作系统，无论是网络操作系统还是其他类型，都负责为用户或系统启动的程序分配内存。当用户启动一个不属于操作系统内核的进程或程序时，也就是说，这个程序已经在内存中（很可能是这样），它会从二级存储复制到主内存中分配的空间。分配的内存空间作为程序指令和数据的存储区域，在将这些数据传递到缓存内存和 CPU 之前和之后。

动态加载和链接

操作系统通常将较小的程序（仅由一个模块组成的程序）和数据块完全加载到内存中。然而，较大的程序，特别是那些有多个模块的程序，无法完全适应可分配的内存空间，因此操作系统使用一种叫做动态加载的过程。动态加载会先加载程序的第一个模块，即包含第一条指令的模块，然后在需要时将其他模块加载到同一空间中。

另一种内存管理方法是动态链接。许多程序，尤其是那些采用面向对象编程（OOP）的方法，具有相关联的定义、方法和函数库。程序执行时，操作系统会创建一个链接，将模块中调用的任何对象与其在库中的定义相连接以进行执行。这避免了将整个库加载到内存中的需要。

内存分配

内存分配是操作系统用于分配和分配内存空间给程序的过程。通常，内存分配过程有四种方法：

首次适配：内存可用表中第一个足够大以满足程序或模块需求的内存空间块
下一个适配：紧接着上一个分配内存块之后的下一个内存空间块，满足程序或模块的需求
最佳适配：足够大以满足程序或模块需求的最小可用内存块
最差适配：任何可用的内存块，大小大于程序或模块的需求

操作系统的内存管理功能可以采用前述的任何内存分配方法。无论如何，内存分配要么是静态的，要么是动态的。编译器通常确定程序及其模块的静态分配。动态分配是灵活的。动态加载和链接是两种动态内存分配的方式。

硬件的控制与协调

操作系统能够通过计算机的 BIOS 与一些设备（例如键盘）进行通信，因为有标准的设备使用简单的标准命令集。然而，许多设备和组件具有独特的命令和指令集，这些命令和指令集通常与其他设备不兼容。操作系统几乎不可能包含与计算机上安装的每种内外部设备的所有型号和品牌通信所需的命令。因此，设备驱动程序软件，针对特定设备的品牌或型号，充当操作系统与设备控制器之间的中介。设备驱动程序使操作系统能够协调硬件组件和设备的操作。

一些硬件设备驱动程序在操作系统中，而一些则在基本输入输出系统（BIOS）和互补金属氧化物半导体（CMOS）中，还有一些位于主板芯片组中。然而，大多数情况下，设备驱动程序的安装发生在计算机上安装相关设备之前或之后。有些设备软件程序协助设备配置和设备驱动程序的安装。

系统资源的使用

操作系统与设备驱动程序的通信比仅仅传输数据更加复杂。设备驱动程序或操作系统如何知道需要执行某个操作？ 它们如何相互通信，表示请求的操作已经完成，如果涉及数据，数据在哪里？

系统资源是最常见的答案。系统资源实际上是计算机中任何可寻址的元素。系统资源是主内存 (RAM) 的一部分，专门用于操作系统与设备之间的交互。系统资源还可以由 CPU、主板、芯片组及其他系统组件提供。然而，与设备控制和通信相关的系统资源是那些位于 RAM 中的资源。

系统资源分为四类：

中断请求 (IRQ)：在教室或小组会议中，如果你想提问，可能会把手举过头顶并等待被认出。IRQ 的工作原理基本相同——当设备或操作系统需要 CPU 执行某个任务时，它通过设置一个分配好的 IRQ 开启，就像是举手一样。CPU 会频繁检查 IRQ，如果发现某个 IRQ 已被开启，CPU 就会中断当前的任务，去处理这个请求，这也是 “中断” 一词的来源。任务完成后，IRQ 会被设置为关闭。以下截图展示了 Windows 系统上的 IRQ：

Windows 系统的 IRQ 分配

I/O 地址：计算机上每个安装的 I/O 设备都有一个或多个分配给它的地址。这个地址有多个名称，包括 I/O 端口、端口地址，或简称端口，用于特定地指定一个设备，并不是内存中的地址。这个地址就像是房屋的街道地址。主板的地址总线在 I/O 地址和内存地址之间切换。当总线设置为 I/O 地址时，硬件设备控制器会监视总线上的各自地址。如果设备看到自己的 I/O 地址，它就会做出相应的回应。以下截图展示了 Windows 系统的 I/O 地址分配：

Windows 系统的 I/O 地址分配

内存地址：除了 I/O 地址外，I/O 设备还可以被分配一块内存作为数据缓冲区或临时存储空间。并不是每个设备都会得到一个内存地址，且分配的空间也不会很大。正如以下截图所示，某些物理和逻辑设备有多个内存地址分配：

Windows 系统的内存地址分配

直接内存访问 (DMA) 地址：DMA 设备是计算机的 I/O 或存储设备，能够直接从主内存读取和写入数据。DMA 传输不涉及 CPU，从而使 CPU 可以处理其他任务：

Windows 系统中 DMA 设备的属性对话框

以下截图展示了一个开源实用程序，可用于检查 Linux 系统的信息，包括系统资源：

KInfocenter 提供关于 Linux 系统的信息，包括系统资源

内部和网络文件管理

数据文件的管理，无论是在内部存储设备、网络附加存储（NAS）还是存储区域网络（SAN）中，都是操作系统的主要功能。文件管理包括数据单元的创建、修改、传输和删除，这些数据单元以完整块的形式存储。在执行文件管理时，操作系统与硬件控制器、驱动程序软件，甚至可能与数据管理系统（如数据库管理系统 DBMS）进行交互。

操作系统的文件管理功能执行的任务包括以下内容：

创建新数据文件并记录它们在存储介质上的位置
提供修改数据文件的功能，并在必要时进行重新定位
执行删除数据文件及其所有引用
将数据文件组织到文件系统、目录或文件夹中，以便于访问
促进多个用户访问数据文件

用户、数据、应用程序和资源安全

操作系统的安全条款包括操作系统为实现和维护机密性、完整性和可用性（CIA）而应用的规则、功能、过程和设置。组织的安全政策必须包括对操作系统及其物理和环境安全的保护，包括防盗、防损坏或防销毁。然而，操作系统安全的主要关注点必须是执行规则并执行防止未经授权入侵或干扰的任务。

操作系统的安全性要求某些活动成为正常操作的一部分，包括以下内容：

执行补丁和更新管理
应用防病毒和恶意软件更新
检查所有网络流量，进出流量，通过防火墙和/或其他安全设备
定期检查和管理用户及组账户的权限和权限

硬件配置

要理解操作系统与硬件配置设置和规范之间的关系，你需要明白，操作系统天生是简洁的，而硬件则笨拙。操作系统的很大一部分工作是使硬件看起来比实际更为简洁。

在接下来的部分中，我们将探讨操作系统、其各个部分，以及它与硬件的关系。

操作系统的主要部分

一个操作系统有三个主要部分：

内核：现代操作系统是模块化的，这意味着大多数基本服务，如内存管理、I/O 处理和 CPU 交互，都包含在启动时加载并保持在内存中的模块——内核。其他功能和工具根据需要加载到内存中。如以下图所示，操作系统内核有两种类型——单体内核和微内核。单体操作系统，如 Windows、macOS 和 Linux，包含计算机和用户启动软件所需的基本功能。正如以下图所示，微内核操作系统将对用户启动程序的支持推向用户空间。目前，尚未有广泛使用的微内核系统：

两种类型的操作系统内核

Shell：操作系统 shell 是一个程序，操作系统启动它来提供用户界面，通常以命令行界面（CLI）的形式，如下图所示。在 UNIX/Linux 系统中，有几个 shell，每个都有自己的一组命令和功能，如 Bourne-Again Shell（Bash）、C shell 和 Korn shell。在 Windows 系统中，桌面上显示的 GUI 代表了一个 shell。Windows 命令提示符也代表了一个 shell：

在 Linux shell 的命令提示符下输入的命令

文件系统：当你创建一个文件并将其存储到硬盘时，你会假设将来能够找到它。文件系统维护文件或数据块在磁盘驱动器上的物理位置，并保持位置与文件名的交叉引用索引。文件系统以目录、文件夹、文件和对象的形式组织数据存储。常用的文件系统有 Windows 的 NTFS 和 Linux 系统的 ext3 和 ext4。

操作系统与硬件

计算机硬件、软件和固件的配置指定了其功能和操作的参数和设置。计算机 BIOS 或 统一可扩展固件接口（UEFI）、操作系统和支持系统中的硬件配置设置，定义了计算机的启动、已安装的设备以及若干性能和操作参数。

不是每个程序或应用程序都会使用计算机上的每个硬件组件。任何程序使用的硬件将取决于其功能和目的。如果一个程序只接受两个数字从用户输入，将它们相加并将结果显示到显示设备，而不存储结果，那么程序的需求和用户的操作会影响所使用的硬件。在这个特定的情况下，所涉及的硬件如下：

HDD：程序加载到 RAM
RAM：程序被分配了一个指定空间，指令被传递给 CPU
CPU：指令被执行
显示：结果被传递给控制器并显示

当然，操作系统是引导该顺序的催化剂，但在此过程中，操作系统只涉及完成任务所需的硬件。那么，操作系统如何知道它可以使用哪些硬件呢？ 这就是 BIOS/UEFI 存储在 CMOS 中的内容。这些信息为操作系统提供了它可以使用的硬件设备列表，以及如何以及在哪里访问每个设备。

引导顺序

计算机系统启动的一个主要部分，即其启动过程，是将操作系统内核加载到 RAM 中，以便 CPU 能将控制权交给操作系统。为了执行此过程，引导程序必须知道在哪里查找操作系统，这可以是 HDD、CD、闪存驱动器或任何可启动设备。在 BIOS/UEFI 设置中，可以设置引导过程应查找设备的顺序，以定位主引导记录（MBR）。引导程序将按照优先顺序查看每个设备，并从第一个找到引导信息的设备启动计算机。以下截图显示了一个简单的 UEFI 引导顺序列表：

UEFI 配置的引导优先级对话框

固件

自计算机诞生以来，我们根据计算机指令和组件的存放位置或其一般特征对其进行分类。我们能触摸和感受到的组件是硬件。那些我们不能实际触摸、感受或持有，但可以改变的，则称为软件。然而，在计算机系统中，有一个我们无法触摸、感受或改变的组件，特别是在老式系统中。这个组件存在于硬件和软件之间，我们称之为固件。

我们今天所说的固件可以分为两种主要技术：

BIOS：一种传统技术，它使用在制造过程中永久加载（烧录）到半导体中的数据和指令。这些指令启动 BIOS 开始启动过程并加载引导程序以完成启动过程。这种低级别的固件形式是主板的一部分，属于只读存储器（ROM）/可编程只读存储器（PROM）、一次性可编程（OTP）和可编程逻辑阵列（PLA）芯片。
UEFI：这项新技术正在取代大多数计算机上的 BIOS，但基本上执行相同的功能。事实上，UEFI 依赖 BIOS 来进行开机自检（POST）功能和配置规范（通常称为 CMOS）。几乎所有 2010 年以后生产的计算机都具有 UEFI，有些还包含 BIOS。以下截图显示了包含 BIOS/UEFI 设置的系统信息：

系统信息对话框中的 BIOS/UEFI 设置

尽管固件通常是永久的，但大多数计算机系统的固件是可以升级的。具体的操作流程因主板制造商、操作系统或系统的年代不同而有所差异，但以下步骤通常是用来更新系统固件的过程：

验证你是否正在安装更新版本的 UEFI/BIOS。在 Windows 系统中，运行MSINFO32。在 Linux 系统中，如果/sys/firmware/efi目录存在，则系统正在使用 UEFI。如果该目录不存在，则系统正在使用 BIOS。记录版本号和日期，并将其与主板制造商网站上的信息进行比较。
启动计算机，当显示屏提示按哪个键进入 UEFI/BIOS 设置时，按下该键。某些系统在 UEFI/BIOS 工具中包括固件更新功能。
如果没有更新工具，下载并解压更新文件，并将其存储在 USB 闪存驱动器或外部硬盘驱动器上。
重启系统并在 UEFI/BIOS 设置页面访问固件更新或闪存工具。将现有固件备份到外部驱动器，以防更新过程中出现问题。
使用固件更新工具，选择更新的版本镜像并开始更新。升级过程应该只需几分钟，但无论如何，在升级过程完成之前，绝对不要重新启动、关闭或断电计算机。

准备操作系统的磁盘

安装新版本的现有操作系统或完全更换操作系统有两种方法。如果你继续使用相同的操作系统并仅安装一个更新版本，例如将 Windows 10 升级到 Windows 某版本，你可以选择执行更新，或者进行所谓的全新安装。本质上，全新安装会删除旧版本中任何过时或不再适用的元素，并将其替换为新版本。全新安装也可以意味着硬盘驱动器是新的，且安装在全新的磁盘驱动器上。从一个版本升级到另一个版本意味着不需要进行全新安装，安装将使用发布商的安装程序或设置程序。另一方面，如果你是用一个操作系统替换另一个操作系统，例如将 Windows 替换为 Linux，那么在安装新操作系统之前有一些事项你需要了解，并且需要采取一些步骤。

准备硬盘驱动器的方法取决于系统配置和使用的启动过程。BIOS 创建 MBR，而 UEFI 创建GUID 分区表（GPT）。MBR 创建传统的 BIOS 分区表，而 GPT 创建 UEFI 分区表。GUID 是微软术语，表示全球唯一标识符，仅适用于其系统。其余操作系统世界使用术语通用唯一标识符（UUID），其结构与 GUID 基本相同。GPT（UEFI）系统能够在 HDD 上定义和创建超过四个分区，并且如果磁盘驱动器为 4TB 或更大，则必须使用 GPT。低于这些阈值时，如果存在，MBR（BIOS）系统仍然有效。以下截图展示了 Windows 系统硬盘的分区表类型：

显示硬盘驱动器（HDD）分区样式的属性对话框

以下步骤是为安装操作系统准备磁盘的常规过程：

验证进行安装的计算机是否符合或超过操作系统发布者发布的系统要求。
如果硬盘驱动器上有你希望保留的数据，请将整个系统备份到外部介质，如外部硬盘驱动器或云服务。
如果你希望从 Windows 系统上的硬盘驱动器中删除所有之前的数据和内容，请使用磁盘管理格式选项。在 Linux 系统上，使用fdisk命令。
使用磁盘管理工具或在 Windows 命令提示符下使用DISKPART.EXE命令创建安装所需的磁盘分区。以下截图展示了DISKPART命令的示例。在 Linux 系统中，使用fdisk命令。
创建分区后，将其格式化为适当的分区表标准：

显示 DISKPART.EXE 命令

文件系统

当你将数据存储在硬盘驱动器（HDD）、USB 连接存储设备或任何其他数据存储设备时，它需要有一个组织结构，以便将来能够找到单个文件。文件系统组织并结构化存储介质，并跟踪存储在其上的文件。除了位置外，文件系统还会为每个文件目录化标识数据，包括文件名、大小、状态、创建和修改日期、访问权限、所有权、文件类型等。

格式化

文件系统在数据存储设备上的位置，可能有多个分区或只有一个大分区，是通过格式化过程完成的。每个分区可以拥有不同的文件系统。格式化一个驱动器通常会执行三件事：识别一个分区作为一个有界结构；删除（擦除）分区中的所有现有数据和索引（如果有的话）；并在分区中初始化一个文件系统及其索引。每个主要操作系统都有一个格式化磁盘驱动器分区的工具：Windows 磁盘管理、Linux 的 GParted和Mac OS 磁盘工具。

操作系统下的文件系统

在 Server+ 考试中，您将遇到有关 Windows、Linux 和 macOS 文件系统的问题和参考资料。以下是包含的文件系统：

Windows：
- 文件分配表 32（FAT32）：曾一度是 Windows 系统的默认标准，主要用于闪存驱动器的格式。
- 新技术文件系统（NTFS）：Windows 系统的默认文件系统。Windows 系统分区必须使用 NTFS。
Linux/Unix：
- 更好的文件系统（Btrfs）：为 Linux 添加了池化、快照、校验和等功能。
- 扩展文件系统版本 2、3 和 4（ext2、ext3 和 ext4）：基于Unix 文件系统（UFS）的文件系统，用于追踪单个文件。
- Reiser 文件系统（ReiserFS）：为 Linux 提供的一个日志文件系统。
- Z 文件系统（ZFS）：最初为 Solaris 操作系统开发，Linux 系统常常支持 NAS。
Mac OS：
- 苹果文件系统（APFS）：在后期的 Mac OS X 系统中替代了 HFS+ 操作系统。
- 分层文件系统 Plus（HFS+）：旧版 Mac OS 系统的事实标准文件系统。

日志记录

有些文件系统执行日志记录操作，而有些则不执行，尽管大多数这类文件系统属于遗留文件系统。日志文件系统在将更改应用到介质之前，会将文件系统更改记录到一个日志中，日志实际上是一个文件系统活动日志。通常，日志文件会存放在一个独立于文件系统的设备上。如果文件系统损坏，日志文件提供恢复数据。日志文件系统的示例包括 NTFS、ReiserFS、ext3 和 ext4。

特殊功能文件系统

有时，一个文件系统实际上并不完全是文件系统，而是可能执行某些文件系统功能。虚拟机文件系统（VMFS）与虚拟化系统的虚拟机监控器一起工作，用于存储和管理虚拟机的快照和镜像。交换空间，也称为交换空间，是操作系统用来将不活跃的内存页存储到二级存储设备的专用分区中，从而释放内存资源（根据需要）。闪存友好文件系统（F2FS）是一个开源的闪存驱动器文件系统。

网络配置

安装和激活任何网络操作系统（NOS）的一个重要步骤是为其配置支持的网络。在接下来的章节和步骤中，我们将介绍配置 Windows Server 系统和 Linux 系统的一些重要设置和值的过程。

配置主机名

服务器（或任何网络节点）的主机名用于标识该节点，以便计算机网络能够与其他节点进行通信并访问网络外的设备和服务。实际上，设备的主机名就是其昵称。

在 Windows Server 上配置主机名

设置 Windows Server 安装的主机名，请按照以下步骤操作：

点击 Windows 图标以显示开始菜单。
右键点击“此电脑”选项以显示系统窗口。
在系统窗口的右侧，点击“更改设置”按钮以显示系统属性对话框：

该电脑选项的属性窗口

在计算机名称文本框中输入你希望分配给服务器的名称。唯一的硬性规定是名称中不能有空格：

为系统分配主机名

在 Linux 服务器上配置主机名

在 Linux 服务器上，有两个主机名需要配置：一个与网络相关的主机名和一个本地主机名。设置主机名的步骤如下：

以 root 管理员身份（超级用户）登录系统。
进入/etc/sysconfig目录，查找网络文件并显示其内容，应该如下所示：

# cat network
NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=localhost.localdomain

cat命令显示文件网络的内容。注意文件的最后一行包含主机名设置。

使用 Linux 编辑器（如 vi 或 edit）将HOSTNAME值更改为你希望使用的主机名。编辑完成后，保存文件。
编辑后的文件现在应包含更新后的主机名值。例如，网络文件现在可能包含如下内容：

# cat network
NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=server+os1

localhosts文件中的主机名也需要设置。进入/etc目录查找hosts文件。其内容应该类似如下：

# cat hosts
127.0.0.1 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6

使用编辑器，将localhost.localdomain localhost值替换为新的主机名，并保存文件。更改后，hosts 文件应包含如下内容：

# cat hosts
127.0.0.1 server+os1
::1 localhost6.localdomain6 localhost6

你可能还想将终端身份设置为服务器的主机名。局域网使用终端名称来定位服务器。要更改终端的主机名，请使用hostname命令：

# hostname server+os1

要验证更改，使用不带参数的hostname命令。

用户账户

在 Windows Server 系统中，用户可能有一种或两种账户类型：本地账户或域用户账户。本地用户账户仅限用户访问在单个网络节点上，由文件和文件夹权限授予访问权限的资源，或任何该用户是其成员的组资源。域用户账户可以根据为用户或用户所在组分配的访问权限访问本地资源、网络资源或两者。

创建本地用户账户

在 Windows Server 上设置本地用户账户，按照以下步骤操作：

右键点击开始图标或按 Windows 键 + x 打开开始右键菜单。
选择“计算机管理”选项以显示其窗口。
在左侧导航窗格中，点击“本地用户和组”选项下的“用户”。然后会显示如下截图所示的视图：

通过计算机管理窗口添加新用户

在右侧的操作面板中，点击“更多...”打开选项列表。在该列表中，点击“新建用户...”打开新用户对话框：

新用户对话框

填写新用户的信息并点击“创建”按钮。对话框将清空并准备好使用，以便你可以添加其他用户。如果完成，点击“关闭”。注意，新的用户现在已经出现在计算机管理窗口的用户列表中。请记住，本地用户账户的密码无法恢复，因此你可能需要提醒用户使用他们能记住的密码。

如果新用户需要管理员权限或属于其他组，请使用以下步骤将该用户添加到适用的组：

- 1. 在计算机管理窗口的中心窗格中，右击新用户的名称，并从出现的选项列表中选择“属性”，以显示该用户的属性对话框：

在用户属性对话框中将用户添加到一个组

- 1. 从“成员：”列表中点击一个组名，这里是“管理员”，然后点击“添加”。你可以重复此操作，将用户添加到更多组中。

创建域用户账户

创建域用户账户假设网络中至少存在一个域。在 Windows 环境中，域是一个网络，其中一个中央域控制器的数据库包含所有域用户账户、安全配置以及网络中硬件设备的信息。网络的活动目录（AD）服务管理域用户账户。要在 Windows Server 系统上创建新的域用户账户，请按照以下步骤操作：

从开始菜单中，打开服务器管理器并下拉“工具”菜单。
在“工具”菜单中，选择“活动目录用户和计算机”选项，显示其对话框。
在左侧导航窗格中，点击“用户”文件夹。在出现的选项列表中，点击“新建”。在其选项列表中，点击“用户”以显示“新对象 - 用户”对话框，如下图所示：

新对象 – 用户对话框

填写新用户的信息后，点击“下一步”按钮，进入另一个“新对象 – 用户”对话框并输入用户的密码。点击“下一步”进入“新对象 – 用户”摘要对话框。
如果显示的所有信息正确，请点击“完成”按钮。如果需要更正，使用“返回”按钮。

将工作站添加到域

要在任何网络上进行通信，PC 必须加入该网络，这意味着 PC 的网络接口必须连接并加入到网络服务器的管理系统中。在 Windows 系统中，PC 加入域。将 PC 添加到域的过程如下：

在控制面板上，点击“系统”选项，并在左侧面板的选项中选择“关于”。
点击“加入域”按钮会打开第一个域识别对话框。
在接下来的步骤中，你将看到三到四个“加入域”对话框。第一个对话框，如下图所示，会询问你要将 PC 添加到哪个域。如果域名有效，请输入你（个人）用于登录该域的用户名和密码。在系统验证你输入的信息时，可能会显示第一个屏幕的空白副本：

域名对话框

如果你输入的信息有效，下一步的对话框将询问将使用此 PC 的人的用户名以及用户的账户类型，例如管理员、用户、标准用户等。

连接到网络

将 PC 加入域是一回事，但将 PC 实际连接到网络进行主动通信则是另一回事。一旦 PC 进入域，下一步就是验证所有电子设备是否同步并能相互操作。换句话说，PC 能与网络进行通信吗？

当然，用于网络通信的介质确实会影响网络通信的设置，正如你所预期的那样。然而，你会惊讶地发现，实际影响其实非常小。无论是物理电缆还是射频（RF）通信，它们主要都是以以太网为基础的网络。

将 PC 连接到网络

为了确保 PC 能连接到网络，需要在测试通信之前验证必要的元素是否已激活。第一个要检查的元素是连接服务。通过电缆连接的网络需要将“有线自动配置”服务的启动类型设置为自动，如下图所示。如果工作站连接到无线局域网，则应设置 WLAN 自动配置服务；如果工作站连接到无线广域网，则需要配置 WWAN 自动配置服务。无论这三种网络服务中的哪一个被激活，其他两个都应该被禁用：

Windows 服务维护窗口

添加服务器角色和功能

服务器角色是一个或多个程序或工具集，服务器可以使用它们为用户、计算机组或应用程序提供特定的功能或服务。服务器角色和功能确定了服务器的目的或角色。例如，一个 Windows 服务器可能只有单一的角色，或者配置为 AD 域服务器，或者它可能具有多个不同的角色。

若要在 Windows Server 系统中添加或移除角色和功能，请按照以下步骤操作：

在 Windows Server 系统上，打开服务器管理器。
点击“管理”菜单选项，然后选择“添加角色和功能”，如以下截图所示，打开“开始之前”页面，进入添加角色和功能向导。此页面列出了一系列在添加、修改或删除服务器角色和功能之前，您应该考虑执行的任务：

Windows 2012 R2 系统的服务器管理器页面

点击“下一步”以进入选择安装类型页面。选择基于角色或基于功能的安装选项。点击“下一步”按钮以继续。
在“选择目标服务器”页面，点击左侧导航窗格中的“服务器选择”选项，然后从网络中选择一台服务器或虚拟硬盘。
点击“下一步”进入选择服务器角色页面，如以下截图所示。在此页面的主要区域中，列出了分配给在前一步中选择的服务器或虚拟磁盘的角色和功能列表。完成选择后，点击“下一步”进入选择功能页面。根据所选角色，可能会首先显示“角色服务”页面：

添加角色和功能向导的选择服务器角色页面

在“选择功能”页面，选择任何您希望添加到目标服务器的功能。完成后，点击“下一步”按钮进入安装进度页面，页面中包含所选角色和功能的摘要，如以下截图所示。如果列表正确，点击“下一步”按钮进入安装页面并开始安装过程：

添加角色和功能向导的安装进度页面

安装完成后，点击“关闭”返回服务器管理器。

无人值守和远程安装

网络管理员经常需要因各种原因访问远程计算机。网络管理员面临的常见任务之一是软件升级，包括操作系统或运行诊断工具。过去，这些任务需要通信行业所称的拖车访问，即到远程位置进行实地访问。如果远程指的是大楼内其他地方，通常不会有太大问题。然而，如果远程指的是另一个州、国家或大陆，所需的时间和成本可能会显著增加。目前有许多不同的标准、软件和技术，可以让网络管理员在无需离开办公桌、只需访问网络工作站的情况下进行这些更改。

其中第一个工具是英特尔的Wired for Management（WfM）规范，它允许网络管理员创建自动化程序，通过网络完成客户端的维护和管理。你还可以与其他工具配合使用，例如LANDesk 客户端管理器（LDCM），它是一个监控网络客户端硬件问题的软件工具，以及桌面管理接口（DMI），它是一个应用程序编程接口（API），允许软件对网络客户端进行清单管理，比如查看客户端的主板、扩展总线卡和应用软件等细节。

另一个与 WfM 配合使用的工具是预启动执行环境（PXE），发音为pixi。PXE 使得网络管理员能够通过仅与客户端启用 PXE 的网络接口卡（NIC）或网络适配器交互，从服务器启动网络客户端。即使 PC 关闭电源，PXE 客户端也能通过其 NIC 连接到网络。PXE 客户端不需要操作系统或任何其他软件，即使它在客户端上，也无需这些就能进行远程启动。网络管理员可以使用如简易文件传输协议（TFTP）等工具将软件或数据传输到客户端。

Windows 系统和 Linux 系统大多数都提供 PXE 网络启动程序（NBP）。Windows 系统提供远程安装服务（RIS），该服务集成了 PXE 标准。Linux 系统支持PXELINUX和gPXE工具。

NOS 优化

网络用户期望网络能够满足他们在带宽、速度和响应性方面的个性化需求。这三个期望对于用户来说是一个整体——一个持续稳定运行的网络，能够提供他们所期望的服务。网络管理员可以使用多种流程、技术和方法，在任何层级上促进网络的效率和效果。

网络管理员确保网络始终满足用户需求的一些方法包括：

带宽：网络管理员充分理解，10 Gbps 的网络并不意味着用户，无论是单独还是集体，都能享受到如此大的带宽。每个网络在提供可用网络的同时，必须考虑带宽损失。对于用户来说，网络管理员的主要工作是保持高带宽，以满足每个人的需求。
高可用性和容错性：正如本章前面讨论的，高可用性（HA）和容错性可以是用户依赖的网络的关键特性。系统设计时实现的每年 525,600 分钟的可用时间目标，都是重要的设计目标。
负载均衡：在大型网络和数据中心中，服务器通常是集群或分布式的，负载均衡能够接受多个输入源并将它们分配给多个处理器，从而平衡负载的处理和出站流量。
服务质量（QoS）：尽管其名称反映了用户如何衡量网络的性能，但 QoS 是指网络通过多种通信方式提供各种服务的能力，能够满足组织的需求。一个支持数据、语音和视频的网络就具备了 QoS。

总结

网络操作系统（NOS）为网络客户端和资源提供系统控制和管理功能，并为网络客户端提供管理、安全、资源和其他服务。操作系统有五个主要功能：用户/计算机通信、内存管理、控制和协调硬件、内部和网络文件管理，以及用户、数据、应用程序和资源的安全。系统资源分为四类：IRQ、中断地址、内存地址和直接内存访问（DMA）地址。

操作系统的文件管理功能包括创建新文件、提供文件修改功能、执行文件删除、组织文件以便于访问，以及促进多个用户的访问。操作系统的安全性要求进行补丁和更新管理、病毒和恶意软件更新、安全设备检查所有流量，并定期审查用户和组账户的权限和权利。操作系统有三个主要部分：内核、外壳和文件系统。文件系统组织存储介质并跟踪存储在其中的文件。它还为每个文件编目标识文件的数据。格式化驱动器会将分区识别为一个有界的结构，删除现有的数据和索引，并在该分区内初始化文件系统及其索引。

BIOS 或 UEFI 中的硬件配置设置、操作系统和支持系统定义了启动、已安装设备以及性能和操作参数。固件是两种通用技术之一：BIOS 和 UEFI。WfM 允许自动化程序通过网络进行客户端维护和管理。DMI 允许软件对网络客户端的硬件和软件进行清单管理。PXE 使网络管理员能够远程启动网络客户端。TFTP 将软件或数据传输到远程客户端。

问题

网络服务器的基本功能是什么？
1. 与互联网通信
2. 向网络客户端提供服务
3. 入侵检测与防御
4. 提供代理服务器功能
以下哪项不是网络服务器的功能？
1. 管理
2. 安全
3. 缓存
4. 资源分配
以下哪项不是操作系统管理的系统资源？
1. IRQ
2. I/O 地址
3. 设备驱动程序
4. DMA 地址
操作系统的文件管理功能包括创建、修改和删除数据文件，还包括什么？
1. 文件可访问性
2. 限制访问为单个用户
3. 对所有文件应用加密
4. 转换文件名
操作系统有三个主要部分。以下哪个不是这些部分之一？
1. 设备驱动程序
2. 内核
3. Shell
4. 文件系统
两种最常见的固件系统配置系统是什么？（选择两项）
1. CMOS
2. BIOS
3. FAT32
4. UEFI
5. APFS
在 Linux 系统上配置的文件系统可能是以下哪种？
1. NTFS
2. APFS
3. BTRFS
4. HFS+
哪个标识符用于标识服务器，以便进行通信和访问网络资源？
1. 用户帐户名
2. 主机名
3. 服务器名称
4. 群组帐户名
在 Windows Server 网络中，网络管理员可以授予域用户哪种访问权限？（选择所有适用项）
1. 本地计算机资源
2. 基于服务器的资源
3. 网络附加资源
4. WAN 资源
网络管理员希望开启并启动连接到组织网络的远程 PC。以下哪项服务可以实现这一操作？
1. QoS
2. DMI
3. PXE
4. TFTP

第五章：寻址

如果仅依靠一般的房屋描述，你很难在大城市中找到一个特定的地址。同样，如果你只知道文件中的内容，计算机的 操作系统（OS）也会很难为你找到数据文件。

在过去，当次级存储较小的时候，在软盘或硬盘上找到文件相对容易。通过点对点网络连接另一台 PC 也很简单，并不需要太多的地址——只需用到并行端口的内部地址。

然而，在当今庞大的网络和存储技术中，各层次的寻址是计算中的一个基本部分。

本章中，我们将探讨计算和网络中使用的各种寻址方案——它们的结构、表示方式以及目的。我们还将讨论计算机与网络之间的接口，以及提供连接、传输和安全的协议与服务。

我们采用从外到内的方式来进行寻址，从 互联网协议（IP）寻址开始，最终到 媒体访问控制（MAC）和端口寻址。

本章将涵盖以下主题：

IP 寻址
IP 版本 4
IP 版本 6
MAC 寻址
地址解析
端口和协议

IP 寻址

对于 Server+ 考试，我们其实不需要覆盖网络寻址的整个历史，从 50 多年前的分组交换技术发展到今天的 IPv6 寻址。

当 TCP 于 1974 年取代了早期的 网络控制协议（NCP）时，它既执行数据传输，也负责消息路由。后来，这两项功能被拆分，形成了我们今天所知的 TCP 和 IP，即 TCP/IP 协议套件。

IP 版本 4

IP 的主要目的是在通过通信链路互联的计算和路由设备网络中提供一条路径，这些设备以非结构化的方式连接。

早期，互联网的一个核心设计特点便是它没有单点故障。这促成了其故意散乱的结构，以及对灵活寻址方案的需求。

TCP/IP 协议经过多年的发展，成为了今天仍然广泛使用的标准。由于开发者面临来自大型通信公司、政府机构以及中小型企业的压力，一个地址类系统被引入，将可用的地址范围划分开来，以便为所有方提供充足的网络地址——至少在最初是如此。

IPv4 地址结构

我们通常所称的 IP 地址，即 IPv4 地址，由 32 位二进制组成，分为四个八位的八位组（即每组八个比特）。为了方便人类使用，一种名为 点分十进制 的格式将二进制地址转换成四个十进制数，每个数字之间用点（句点）分隔。

例如，以下显示了一个 IP 地址的二进制数字版本及其对应的十进制数字：

Binary value: 10101001.1110011.00011001.11011010
Decimal value: 169\. 115.25.218

每一组四个八位字节代表一个可寻址的网络位置。

一个八位字节可以存储从 00000000 到 11111111 的二进制值，或者在十进制中从 0 到 255。因此，IPv4 地址的总范围从以下地址开始：

00000000.00000000.00000000.00000000 (decimal 0.0.0.0)

范围可达到以下：

11111111.11111111.11111111.11111111 (decimal 255.255.255.255)

该范围内有相当数量的地址被预留用于特殊用途。这意味着并不是所有该范围内的地址都可以分配给网络节点。我们稍后会在本节中详细讨论。

类别化 IP 地址

如下表所示，IPv4 地址方案包括五种地址类别，尽管只有三种类别已被广泛使用。D类和E类地址分别为 IPv4 下的多播和研究实验用途预留：

地址类别	起始地址	结束地址	网络地址	每个网络的主机数量
A	`1.0.0.0`	`126.255.255.255`	126	16,777,214
B	`128.0.0.0`	`191.255.255.255`	16,382	65,534
C	`192.0.0.0`	`223.255.255.255`	2,097,150	254
D	`224.0.0.0`	`239.255.255.255`	保留用于多播
E	`240.0.0.0`	`254.255.255.255`	实验和研究

IPv4 地址类别

表格中显示的地址类别简化了地址分配给各种通信、制造、服务、政府机构和希望成为互联网服务提供商（ISP）的公司的过程。如果一个组织能够基于其网络或商业模式的规模证明其有一定的需求，它将从相应的地址类别中获得一个地址块。

局域网地址

然而，像所有美好的事物一样，IPv4 地址（所有 40 亿个地址）很快就开始枯竭。IPv6 正在开发中，但技术和网络管理员还没有准备好进行升级。

因此，为了避免 IPv4 地址的完全耗尽，出现了多种技术来最大化 IP 地址的使用，并尽量减少对额外地址的需求。这些发展包括私有 IP 地址、子网划分、CIDR、NAT、PAT 等。

私有 IP 地址

在某个时刻，有人意识到，在组织的网关路由器（边缘路由器）背后的网络附加设备中，局域网（LAN）中的设备实际上不需要分配公共 IP 地址。大多数局域网流量是在其节点之间传输的，并发生在数据链路层（第二层），使用媒体访问控制（MAC）子层地址（物理地址）。

但是，如果一个拥有多个局域网的组织没有足够的公共 IP 地址来为每个网络节点配置独立的 IP 地址，该怎么办？ 找到足够的 IPv4 地址仅是其中一个问题。

尽管它减少了可分配 IPv4 地址池中的地址数量，但仍有三个地址块，分别来自 A、B 和 C 类，被保留用于作为私有地址使用。互联网号码分配局（IANA）为任何位于网关路由器或网络地址转换（NAT）设备后的网络指定了私有 IP 地址（稍后会详细介绍）。根据定义，私有 IP 地址是不可路由的。

如下表所示，每个可分配的地址类别（A、B、C）都有一系列私有 IP 地址：

IPv4 地址类别	私有地址范围	可用的私有地址数量
A	`10.0.0.0`-`10.255.255.255`	16,777,216
B	`172.16.0.0`-`172.31.255.254`	1,048,576
C	`192.168.0.0`-`192.168.255.254`	65,536

IPv4 私有地址

如你所见，每个地址块提供了足够数量的可分配私有地址，几乎适用于所有的局域网。

一个组织也可以将同一组私有地址分配给其两个或更多的网络，只要每个网络都通过路由器或 NAT 设备访问外部网络。

网络和主机 ID

IP 地址包含两部分重要信息——网络标识符和主机标识符。每个 IPv4 地址类别使用不同数量的位来表示每个标识符。

下表展示了每个类别中网络（n）和主机（h）所使用的位数：

地址类别	第一字节的高位	地址掩码模式	网络 ID 位	主机 ID 位	默认地址掩码
A	0	`n.h.h.h`	7	24	`255.0.0.0`
B	10	`n.n.h.h`	14	16	`255.255.0.0`
C	110	`n.n.n.h`	21	8	`255.255.255.0`

地址掩码和类别 ID 从 IPv4 地址中提取网络 ID

第一（最左边）八位字节中的高位（最左侧）位或位组合表示 IPv4 地址的地址类。为什么？ 简单的回答是，从 IPv4 地址中提取网络 ID 需要使用适当的地址掩码。

提取 IPv4 地址的网络 ID 过程是对地址与对应于地址类别的掩码进行按位与（AND）操作。下表展示了执行的步骤：

IPv4 地址（十进制）	`10.25.115.88`
IPv4 地址（二进制）	`00001010.00011001.01110011.01011000`
A 类默认掩码	`11111111.00000000.00000000.00000000`
网络 ID（二进制）	`00001010.00000000.00000000.00000000`
网络 ID（十进制）	`10.0.0.0`

从 A 类 IPv4 地址中提取网络 ID 的步骤

首先，将IPv4 dot.decimal地址转换为二进制。然后，默认的 A 类地址（第一位为0）的二进制地址掩码与 IPv4 地址进行按位与（AND）运算。

按位与运算过程比较两个比特，如果两个比特的值都是 1，则结果为 1。所有其他比特组合的结果为零。例如，在上表中，IPv4 地址的二进制值为 00001010，默认的 Class A 掩码的二进制值为 11111111。按位与运算比较这两个值；只有当两个比特（上位和下位，地址和掩码）都为 1 时，结果才会设置为 1。

该操作类似于以下内容：

IPv4 地址和地址掩码的按位与运算

网络地址转换（NAT）

由于私有 IPv4 地址不可路由，具有私有地址的局域网节点无法从互联网请求内容。对互联网服务器的任何内容请求都必须包含请求者的 IP 地址。

如果源地址是私有地址，服务器或服务器与请求者之间的任何中间设备都无法知道请求节点所在的 192.168.0.0 私有网络。

为了解决这个问题，配置在网关路由器上的 NAT 协议使用公共 IP 地址作为请求者私有地址的别名。NAT 将分配的公共地址和匹配的私有地址之间的配对记录在一个表中。当响应到达时，NAT 使用其源地址（发送方）查找请求者/目标的私有地址，并转发信息。

下图展示了这一过程的各个元素：

NAT 协议的功能元素

虽然图示展示了具有多个别名地址的 NAT 操作，但许多 NAT 实现仅使用一个公共地址（通常是路由器的地址），并以图示相同的方式跟踪请求。

启用单一公共地址使用的主要机制是端口地址转换（PAT），也称为 NAT 过载。为了区分出站请求，PAT 将一个唯一的端口号应用于请求的局域网节点的私有地址。

碰撞域

以太网局域网中常见的两个问题是碰撞和广播消息。碰撞发生在两个（或更多）节点尝试同时在网络介质上传输时，从而有效地破坏了这两个消息。

广播消息是以太网网络操作的正常部分，但减少网络的规模也可以减少这些消息对网络性能的影响。

以太网网络使用一种名为碰撞感知多重访问/碰撞检测（CSMA/CD）的程序来检测网络介质上是否发生了碰撞。CSMA/CD 使用退避计时器来错开碰撞节点的重传。在无线网络上，CSMA/碰撞避免（CSMA/CA）程序尝试在碰撞发生之前避免碰撞。

无论网络介质是电缆还是无线电频率波，网络节点都必须共享公共介质，并且通常是同时进行。

通过集线器或中继器连接的网络节点组是一个碰撞域。如下面的示意图所示，网络集线器后面的网络段是碰撞域，在这种情况下，网络交换机后面存在三个碰撞域：

局域网中的碰撞域和广播域

事实上，所有在交换机后面的节点都属于一个大的碰撞域。如果这些工作站位于无线网络上，这种情况尤其成立。

广播域

另一方面，广播域包括所有能够相互通信的网络节点。在几乎所有网络中，广播域包含了所有碰撞域，如前面的示意图所示。

在计算机网络中，广播基本上与无线电或电视中的广播含义相同。网络节点将消息（通常是请求）广播到整个网络，意味着每个活跃的连接设备。

在大多数情况下，局域网上的广播消息会导致每个接收节点发送出自己的广播消息。这就是网络管理员试图限制广播域整体大小的原因。

广播消息的两个最常见用途如下：

启动：当你启动或重启计算机时，其操作系统会在网络上发送广播消息，请求其 IP 地址配置。它发送广播消息是因为此时它还没有动态主机配置协议（DHCP）服务器的地址。如果一切正常，DHCP 服务器只会向请求的节点返回其配置数据。任何具有非常专门功能或设置的计算机可能不使用或不应使用 DHCP 配置。在这些情况下，节点应使用静态配置设置进行配置。
地址解析：地址解析协议（ARP）及其镜像协议反向地址解析协议（RARP）使用广播消息请求网络节点告知它们是否具有某个特定的 MAC 地址（稍后会详细说明），并返回其 IP 地址。请求也可以是反向的，即 RARP 请求某个 IP 地址对应的 MAC 地址。

广播消息携带一个独特的 IP 地址，该地址专门为此目的保留：255.255.255.255。当网络设备看到此目标地址的消息时，它们会知道这是广播消息。

无类域间路由（CIDR）

另一种表示 IPv4 地址的方法是 CIDR 地址表示法，它消除了大多数对地址掩码的需求。

CIDR（可发音为 cedar、cider 或 kidder，也称为 超级网络）表示 IPv4 地址中指定网络 ID 的位数，而不考虑它属于哪个地址类。

例如，标准的 A 类地址具有以下模式：

nnnnnnnn.hhhhhhhh.hhhhhhhh.hhhhhhhh

这里，n 表示网络 ID，h 表示主机 ID。

因此，在地址 101.15.105.10 中，网络 ID 是 101.0.0.0。它的地址掩码是 255.0.0.0。该地址以 CIDR 表示法表达为 101.15.105.10/8，这表示最左侧的八位是网络 ID。

CIDR 提供了更大的灵活性，使得在不需要额外的 IPv4 地址的情况下扩展网络。

子网划分

子网络（子网）是一个较大网络的逻辑分段，能够为网络提供多种好处，包括以下内容：

限制广播消息：子网划分将网络划分为更小的广播和冲突域
扩展网络规模：子网划分促进了网络的扩展，而无需购买额外的 IP 地址
安全性：子网划分允许将受保护的部门或功能进行隔离，例如会计或研究

子网划分是一种逻辑寻址技术，通过使用现有的 IPv4 地址创建更小的子网络。子网划分的基本原理是重新分配地址掩码中的一个或多个位，这些位在此情况下成为 子网掩码，以提供额外的网络（子网络），如下图所示：

从主机 ID 中借用一个或多个位，在 IPv4 地址中创建子网 ID

子网和主机

首先，我们确定子网的数量以及每个子网上可用的主机数量。通常，这部分计算可能需要一点试验和错误。

下表列出了 ServersRUs 公司的各个部门，以及每个部门所需的工作站（主机）数量：

部门	主机数量
会计	7
客户支持	18
IT	8
管理	6
人力资源	4

ServersRUs 的子网和主机需求

如果我们希望为每个部门设置一个子网，我们需要能够划分五个子网。在一般的子网划分方法中，每个子网将具有相同数量的主机，在此情况下，主机数量至少需要是 18 台。

记住，在确定从主机 ID 中取多少位并应用到子网 ID 时，2 的借用位数次方即为它所创建的子网数。例如，ServersRUs 需要五个子网，而 5 不是 2 的幂次。在 2 的幂次序列中，最小值为 1 (2⁰)、2 (2¹)、4 (2²) 和 8 (2³)。

在这些中，只有 2³ 或 8，提供了所需的五个子网，剩余的三个子网在需要时可以使用。

我们已经确定要从主机 ID 中移走三个位，用于子网 ID。这使得每个子网内的主机 ID 留下了五个位。五个位足够为每个子网提供所需的主机数吗？ 客户支持部门需要 18 个主机，这应该是我们的目标数。所以，如果我们将 2 的 5 次方（位数）进行计算，我们可以在每个子网上提供 32 个主机。

子网划分中有一个公式，用于计算可用子网数和每个子网可用的主机数：2n-2 = 可寻址的子网或主机数。在此公式中，n 表示借用的位数（子网）或剩余的位数（主机）。稍后我们将讨论这个 -2。

以下表格展示了 IPv4 C 类子网地址：

借用的位	子网数	每个子网的主机数	子网掩码	CIDR
0	1	254	`255.255.255.0`	/24
1	2	126	`255.255.255.128`	/25
2	4	62	`255.255.255.192`	/26
3	8	30	`255.255.255.224`	/27
4	16	14	`255.255.255.240`	/28
5	32	6	`255.255.255.248`	/29
6	64	2	`255.255.255.252`	/30

IPv4 C 类子网地址

子网掩码

如前表所示，借用位改变了地址掩码/子网掩码的值。如果我们不借用任何位，我们就有一个标准的 C 类网络，包含一个网络和 254 个主机。然而，如果我们重新分配了四个位，我们就可以为每个子网提供 14 个可用主机，总共可以使用 16 个子网。

因为我们在已有的 C 类地址掩码 24 位基础上增加了四个位，现在我们网络的网络 ID 中有 28 位（/28）。以下表格展示了这如何影响子网掩码的值：

十进制值	`255.255.255.0`	C 类地址掩码
二进制值	`11111111.11111111.11111111.00000000`	C 类地址掩码
借用的位	`.11100000`	23 = 8 个子网
新的二进制值	`11111111.11111111.11111111.11100000`
新的十进制值	`255.255.255.224`	128+61+32 (27+26+25)

构建子网掩码

网络和广播地址

在任何网络中，整个网络的地址始终是分配的地址范围中的第一个地址。例如，IPv4 地址 10.0.14.210 是一个网络主机的 C 类地址，而它的网络地址，通常分配给网关路由器，是 10.0.0.0。

在 ServersRUs 示例中，每个子网都有一个分配的地址范围。该范围中的第一个地址是其网络地址。网络或子网的广播地址是其地址范围中的最后一个地址。

在10.0.14.210示例中，广播地址是10.255.255.255，它是10.0.0.0地址范围内某个子网（具有 16,777,214 个主机）的最后一个地址。

以下表格显示了 ServersRUs 网络中的完整地址范围：

子网网络 ID	子网主机地址	子网广播 ID
`192.168.32.0`	`192.168.32.1` 到 `192.168.32.30`	`192.168.32.31`
`192.168.32.32`	`192.168.32.33` 到 `192.168.32.62`	`192.168.32.63`
`192.168.32.64`	`192.168.32.65` 到 `192.168.32.94`	`192.168.32.95`
`192.168.32.96`	`192.168.32.97` 到 `192.168.32.126`	`192.168.32.127`
`192.168.32.128`	`192.168.32.129` 到 `192.168.32.158`	`192.168.32.159`
`192.168.32.160`	`192.168.32.161` 到 `192.168.32.190`	`192.168.32.191`
`192.168.32.192`	`192.168.32.193` 到 `192.168.32.222`	`192.168.32.223`
`192.168.32.224`	`192.168.32.225` 到 `192.168.32.254`	`192.168.32.255`

服务器 RUs 网络的子网寻址

请注意，第一个子网的网络 ID 是整个地址范围的第一个地址（192.168.32.0 – 192.168.32.255）。其他七个子网的网络 ID 是其范围中的第一个地址，广播地址是其范围中的最后一个地址。

每个前面表格中显示的子网都有 30 个可寻址主机，一个网络 ID 和一个广播地址。子网掩码（255.255.255.224）对于所有子网都是相同的。

互联网协议版本 6（IPv6）

IPv6 首次引入于 1998 年，已慢慢取代或补充 IPv4 地址，特别是在过去几年中加速了普及。IPv6 的发展原因是为了预防 IPv4 地址的快速枯竭。

IPv6 结构扩展了可用的网络和主机地址数量，应该足够满足可预见的未来需求。IPv6 地址空间提供了 2,128 个地址，即大约 340,282,366,920,938,463,463,374,607,431,768,211,456（340+无穷大）个单独的地址。

目前，这些地址中大约只有 20%是可用的。不过不用担心，我们不会很快用完这些地址，因为目前的地址池足够为地球上每个人分配超过 3,000 个地址。

IPv6 地址结构

IPv6 将 IP 地址长度增加到 128 位，分为八个 16 位块。每个 16 位块表示四个十六进制值，称为十六位块。以下表格显示了四位二进制表示的十六进制值：

十六进制值	二进制值
0	0000
1	0001
2	0010
3	0011
4	0100
5	0101
6	0110
7	0111
8	1000
9	1001
A	1010
B	1011
C	1100
D	1101
E	1110
F	1111

十六进制和二进制值的等效项

地址 FE80:0000:0000:0000:0202:FFFA:C4DD:7435 是 IPv6 格式的一个示例。

请注意，尽管 IPv4 使用点号/句点分隔其各个部分，IPv6 使用冒号 (:)。

IPv6 地址的前三个位设置为 0012，这导致所有公共 IPv6 地址的第一个十六进制组只有四个十六进制值，并且以 2 或 3 开头。例如，1234:5678:98A4::ABCD 不是有效的公共 IPv6 地址，因为它以 1 开头，而 234:5678:98A4::ABCD 也不是有效地址，因为它的第一个十六进制组只有三个数字。

IPv6 地址范围从 2000:: 到 3FFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF，将地址池的大小缩小到 2125。

保留前缀

IPv6 地址的第一个十六进制组可能包含某些值，以表示某种指定类型的事务或消息。IPv6 中常用的保留前缀如下：

2002::/16—6to4 路由。通过 IPv4 隧道提供 IPv6 消息的路由。
fe80::/10—链路本地地址。主要用于本地网络内的配置和发现；路由器不转发此类地址。
ff00::/8—多播地址。请参见下表，了解一些保留的多播地址：

地址	描述
`ff02::1`	本地网络段上的所有节点
`ff02::2`	本地网络段上的所有路由器
`ff02::5`	OSPFv3 所有 SPF 路由器
`ff02::9`	RIP 路由器
`ff05::1:3`	本地网络站点上的所有 DHCP 服务器
`ff0x::fb`	多播 DNS
`ff0x::114`	用于实验

IPv6 多播消息的保留前缀示例

IPv6 地址压缩

IPv6 允许压缩只有零的部分，将两个或更多连续的十六进制组替换为双冒号 (::)。例如，前面的地址压缩为 FE80::0202:FFFA:C4DD:7435。

然而，一个 IPv6 地址只能包含一个双冒号。这意味着，如果一个地址有两个或更多全为零的十六进制组，则压缩只能应用于其中一个。例如，地址 FE80:0000:0000:0000:0202:0000:0000:7435 压缩为 FE80::0202:0000:0000:7435。

IPv6 前导零压缩

一个十六进制组的最左侧（最重要的）位置如果有一个或多个零，则该组可以被压缩，去掉零。例如，十六进制组 00A7 会变成 A7，或者十六进制组 0000 会压缩为 0。地址 FE80::0202:0000:0000:7435 进一步压缩为 FE80::202:0:0:7435，这显示了两种压缩方法的应用。

IPv6 网络 ID

因为 IPv6 没有定义地址类别，所以地址的一个固定部分表示网络标识符。按照标准，IPv6 地址的前 64 位标识消息源或目的地的网络地址，但这可以有所变化。

单主机的网络有一个 128 位的网络 ID。IPv6 使用 CIDR 表示法来表示地址中的网络 ID。一个/64 的地址其前 64 位为网络地址。

IPv6 还保留了某些特定的位长度用于特殊目的。下表列出了其中的一些：

前缀	CIDR 表示法	用途
`::`	/96	兼容 IPv4 的地址
`::`	/128	用于软件内部地址的未指定地址
`::1`	/128	回环地址，指向本地主机，相当于 IPv4 的本地主机地址`127.0.0.1`
`fc00::`	/7	一个唯一本地地址（ULA），仅在协调站点内部路由
`fe80::`	/10	链路本地地址，仅在本地物理链路上有效

保留的 IPv6 地址和 CIDR 表示法

地址类别

IPv6 地址通常属于以下三种地址类别之一：

Unicast：一个 IPv6 单播地址标识单一目的地，带有该单播地址的数据包将发送到该地址。
Multicast：一个 IPv6 多播地址标识一组可能分布在多个网络中的节点。每个包含在多播地址中的节点都会接收该传输。
Anycast：一个带有 Anycast 地址的 IPv6 数据包只会发送到一组节点中的一个。接收节点通常是距离最短且最可用的节点。

下图展示了三种地址类别：

IPv6 地址类别

MAC 地址

IP 地址适用于局域网内部的地址分配，但实际上并不是内部通信所必需的。例如，以太网网络使用一种在 OSI 模型第 2 层（数据链路层）上运行的地址方案——MAC 地址，也叫数据链路控制（DLC）地址或物理地址。虽然这个号码更像是一个标识号码，但它的全球唯一性使其在局部网络中的地址分配中非常理想。

每个网络或通信设备的制造商，如网卡、交换机、调制解调器、路由器等，都将一个唯一的标识号码永久嵌入到他们生产的每一台设备中。制造商将这个号码嵌入到 ROM 或固件中，使其成为设备的一部分，永久存在。

一个 MAC/DLC 地址由 48 位组成，其十六进制值标识了制造商和设备。MAC/DLC 号码的前 24 位标识了制造商的组织唯一标识符（OUI）代码，由电气和电子工程师学会（IEEE）分配给生产商。

剩下的 24 位包含一个实质上是序列号的部分，该序列号对 OUI 是唯一的。OUI 和序列号的组合形成了一个唯一的标识号码。

例如，在笔记本电脑的网络适配器中有 MAC/DLC 地址5C-E0-C5-B6-B3-9A。这个数字的前三部分（5C-E0-C5）表示其制造商是英特尔公司（马来西亚）。将十六进制序列号转换为十进制得到值 11973530，不管这意味着什么。但是，这个独特的组合提供了一个不重复的值，第二层技术用作地址。

地址解析

当您拥有一种类型的地址，但需要另一种类型时，可以使用地址解析协议或服务。例如，当您拥有一个人的姓名和地址，但需要他或她的电话号码时。在这种情况下，地址解析方法是在电话目录中查找姓名和地址以找到您需要的号码。

在计算机网络上，有些设备或配置地址适合某些用途，但对其他用途则不适用。在以太网网络上，网络适配器的 MAC/DLC 地址足以进行网络内的通信。但是，发送到本地网络之外目的地的消息需要另一种级别的地址。

使用一个 OSI 层的地址来了解另一个 OSI 层上对应的地址称为地址解析。通常，这意味着将 MAC 地址解析为 IP 地址（或反之），或者将 Web 域名解析为 IP 地址。

执行地址解析的主要协议和网络服务，在本地网络上是地址解析协议（ARP），在公共网络上是域名系统（DNS）。

ARP

ARP 将 IPv4 地址（逻辑地址）转换为其对应的 MAC/DLC 地址（物理地址）。这使得从本地网络外部到达的消息能够转发到其目的地。ARP 是一个 OSI 第二层协议，通常是网络适配器的设备驱动程序的一部分。

需要路由的消息数据包不能使用 MAC 地址作为其源地址，必须使用 IP 地址。ARP 执行此查找，并提供相应的 IP 地址。

曾经有一个反向操作，逆地址解析（RARP），将 IP 解析为 MAC 地址。然而，这项服务现在是动态主机配置协议（DHCP）的一部分。

DNS

如果所有站点仅使用 IP 地址，互联网将变得更加复杂。记住所有数字 IP 地址，尤其是 IPv6 地址，将会很困难。为了解决这个潜在问题，我们使用域名和顶级域名设计符号的组合，例如packt.com，其中packt是域名，.com是顶级域名（TLD）标识。

DNS 搜索

域名标识了网络上的特定权威或自治领域。域名是唯一的，并且只分配给单个实体，尽管有些实体试图在拼写或发音上接近其他人的域名。熟悉的域名示例包括google、amazon、euronews和baidu。最受欢迎的顶级域包括.com、.net、.info、.gov和.edu。

在美国之外，许多域名还包括国家代码作为 TLD，例如.uk、.ca、.cn或.de。

DNS 搜索通常工作如下：

用户在浏览器的位置栏中输入网站的完全合格域名（FQDN），例如www.packt.com，其中www是分配给packt.com的 Web 服务器的主机名。
浏览器检测到必须将 FQDN 解析为 IP 地址，并向其指定的 DNS 服务器发送查询。
DNS 服务器在其.com条目中搜索packt，并将相应的 IP 地址（52.216.233.42）返回给浏览器。
然后，浏览器为所请求的页面向 IP 地址52.216.233.42发出 HTTP 请求。

域后缀

默认的域后缀搜索列表允许一个或多个不合格的单一名称或标识词来启动 DNS 搜索。该列表包含应作为 IP 地址的 DNS 搜索一部分的域。

例如，如果generic.mysite.info是要解析的 FQDN，并且mysite.info搜索域包含其他主机名，如 normal、usual 或 occasional，使用搜索域后缀进行域搜索对用户更为方便。通过将mysite.info包含在域搜索列表中，用户只需输入主机名。同样，只需在地址栏中输入generic，浏览器就会在向 DNS 服务器发送请求之前将搜索域/域后缀附加到主机名。

域后缀搜索列表可能包含多个搜索域，每个域会生成一个向 DNS 服务器的单独请求。

Windows Internet 名称服务（WINS）

在 Windows 系统中，DNS 和 WINS 都可以解析设备和网络名称。但是，这两个服务有很大的不同。WINS 是一个仅在 Windows 系统上运行的 Microsoft 实用程序，而 DNS 是系统和平台无关的。

此外，在以下表中列出了几个其他区别：

特性	DNS	WINS
IP 地址分配	静态 IP 地址	动态 IP 地址
名称解析	主机名到 IP 地址	NetBIOS 名称到 IP 地址
数据库修改	复制整个数据库	增量修改
TCP/IP 应用服务	支持所有服务	不支持 TCP/IP 服务

DNS 与 WINS 基本特性

在 Windows 操作系统的后续版本中，对 WINS 的改进导致了基于 TCP/IP 的 WINS，使其与 DNS 更兼容（以及 DNS 与 WINS）。传统的 WINS 仍在使用中，但正在逐渐消失。

端口和协议

另一种网络寻址方式使用传输层端口来指定特定网络数据包要发送到的端点。端口一词可以指以下任意一种：

一个硬件连接点，例如交换机或路由器上的 RJ-45 连接插孔。
一个定义的软件结构，它与 IP 地址一起建立一个 套接字，即处理传入数据包的软件的完整地址。

我们这里使用的是第二种定义。

数据通过网络以 协议数据单元 (PDU) 形式传输。在 OSI 模型的不同层次，PDU 被赋予不同的名称——例如，在网络层上，PDU 被称为 数据包，在数据链路层，它被称为帧。

在传输层，PDU 有两个名称——段（TCP 协议）和数据报（UDP 协议）。这一点的要旨在于端口与 TCP 和 UDP 相关联，并与每个协议的段和数据报有关。

知名端口

IANA 可分配的端口号范围从 0 到 65535。其中，端口 0 到 1023 是知名端口。知名端口是指在私有网络或公共互联网中存在的服务或协议，且是常见的基于服务器的应用程序。

如下表所示，每种协议/端口组合都与一个数字端口相关联：

协议	TCP 端口号	UDP 端口号
域名系统 (DNS)	`53`	`53`
动态主机配置协议 (DHCP)		`67` 和 `68`
文件传输协议 (FTP)		`20` 和 `21`
FTP over TLS/SSL (FTPS)	`989`/`990`	`989`/`990`
HTTP over TLS/SSL (HTTPS)	`443`
超文本传输协议 (HTTP)	`80`
互联网邮件访问协议 v4 (IMAP4)	`143`	`143`
轻量级数据访问协议 (LDAP)	`389`	`389`
网络时间协议 (NTP)		`123`
邮局协议 3 (POP3)	`110`
安全 FTP (SFTP)
安全外壳 (SSH) / 安全复制 (SCP) / 安全 FTP (SFTP)	`22`	`22`
简单邮件传输协议 (SMTP)	`25`	`25`
简单网络管理协议 (SNMP)	`161`	`161`
Telnet	`23`	`23`

知名的 TCP/UDP 端口

端口号附加在地址的末尾，指定了处理软件、协议或服务。例如，将一个段定向到 10.0.0.20:80 表示它是一个 HTTP 消息。IP 地址与端口号的组合创建了一个套接字。

注册端口

接下来的端口号范围是 1024 到 49151 的注册端口，这些是个人和公司可以注册用于特定软件包或应用程序的端口号。

在 Server+ 考试中，你可能会遇到以下两个注册端口：

协议	TCP 端口号	UDP 端口号
LDAP—AD	`3268`	`3268`
远程桌面协议 (RDP)	`3389`	`3389`

Server+考试注册的 TCP/UDP 端口

最后一组端口号，从 49152 到 65535，是动态（或私有）端口。IANA 不注册这些端口号；它们可供公众一般使用，主要用于内部目的。

总结

在本章中，我们讨论了 IPv4 地址是 32 位，分为四个八位字节，采用点十进制格式表示。一个八位字节可以保存从 0 到 255 的值。

我们讨论了 IPv4 地址如何具有 A、B、C、D 和 E 等地址类别。私有地址用于局域网。每个 IPv4 地址类别都有一个标准子网掩码来标识其网络 ID：A 类——8 位；B 类——16 位；C 类——24 位。NAT 设备用公共地址来掩码私有地址，而 PAT 则对私有地址应用端口号。

接下来，我们讨论了节点尝试同时传输时如何发生碰撞。广播消息的影响在较小的网络中减少。CSMA/CD 检测碰撞，并使发生碰撞的节点的重传错开。无线网络使用 CSMA/CA 来避免碰撞。常见的广播有启动和地址解析。CIDR 表示 IPv4 地址的网络 ID 中包含的位数。

接着，我们讨论了子网，它是一个更大网络的逻辑分段。子网划分通过更改子网掩码来提供额外的子网 ID。子网地址范围内的第一个地址是它的网络地址。子网的广播地址是它地址范围内的最后一个地址。

接下来，我们讨论了 IPv6。这将地址长度增加到 128 位，分为八个 16 位块，称为 hextets。前 64 位标识网络 ID。IPv6 地址可以是单播、组播或任播。以太网网络使用 MAC/DLC 地址来识别制造商和设备。前 24 位是 OUI；剩余 24 位是序列号。

我们继续研究了执行地址解析的协议和网络服务，分别是 ARP、WINS 和 DNS。ARP 将 IP 地址转换为相应的 MAC 地址，WINS 将 NetBIOS 名称转换为 MAC 地址，DNS 将 FQDN 转换为 IP 地址。

最后，我们讨论了端口——这些是软件定义的标识符，与 IP 地址结合使用，以标识套接字，指定处理传入数据包的软件。端口号范围从0到65535。端口0到1023是知名端口。

问题

以下哪个最能描述 IPv4 地址？
1. 无类
2. 五个 32 位的类别，分布在四个八位字节中
3. 八个 16 位块中的 128 位
4. 网络标识符具有固定大小
哪个 IPv4 地址类别使用 16 位来标识地址的网络部分？
1. A 类
2. B 类
3. C 类
4. D 类
5. IPv4 是无类的
哪个网络服务为内部网络节点提供别名公共地址，而这些节点具有私有局域网地址？
1. DHCP
2. DNS
3. WINS
4. NAT
在下图显示的子网中，红色虚线包含了以下哪一部分？
1. 广播域
2. IPv4
3. 碰撞域
4. IPv6

有线以太网网络使用哪种技术来管理消息碰撞？
1. CSMA/CA
2. TCP/IP
3. CSMA/CD
4. NAT
以下哪项可能是子网的广播地址？
1. 10.0.0.0
2. 192.168.32.10
3. 201.255.255.255
4. 168.92.15.0
以下哪项是 CIDR 表示法的示例？
1. 2020::15AD:0:25FF
2. 201.110.25.16/24
3. 10.0.0.0
4. 198.168.32.10:80
双冒号插入 IPv6 地址中意味着什么？
1. 它掩码了一个或多个不用于路由的部分
2. 它掩码了包含所有零的一个或多个部分
3. 它掩码了包含 FFFF16 的一个或多个部分
4. 它表示一个 TCP/UDP 端口号
以下哪项不是 IPv6 地址类别？
1. 多播
2. 单播
3. 任播
4. 广播
以下哪项是公认的 TCP/UDP 端口号范围？
1. 0 到 65535
2. 1024 到 49151
3. 0 到 1023
4. 49152 到 65535

第六章：电缆

为了让网络设备能够相互通信，必须有某种形式的通信介质。无论介质类型或技术如何，它都提供了一个通道，通过这个通道，传输的信号从一个节点传递到另一个节点。

除了涉及的物理介质外，用于有线和无线网络通信的技术没有太大区别。

Server+ 认证考试包括有关不同连接介质、其连接器和正确安装程序的问题。

本章我们将讨论连接有线网络的物理介质，以及连接无线网络的射频（RF）信号，无论范围是局部还是广泛。我们将回顾提供网络与网络服务器连接的材料、结构、连接方式、安装和技术。

本章我们将讨论以下主题：

铜双绞线和同轴电缆的结构、连接器和使用
光纤电缆的结构、连接器和使用
电缆安装方法和管理设备
网络电缆标签

铜缆

铜缆以其各种形式，自计算机在商业中应用初期（甚至更早，如果算上电话服务提供商的电缆系统）以来，一直是连接网络设备的事实标准。

铜缆在早期网络中几乎是直觉上的选择，那时大多数网络采用对等拓扑结构。它相对便宜，容易获取，易于安装，并且对传输的电信号有低的电阻。另一方面，它的传输范围有限，并且容易受到外部电气干扰或噪声的影响。

当铜缆正确安装时，它既可靠又易于维护。

双绞线电缆

用于局域网（LANs）的铜缆主要是双绞线束。

一个重要的要点是，双绞线（TP）线路即使有绝缘涂层，也依然是一个电磁干扰（EMI）海绵。早在 1880 年代末，电话行业的人发现将两根导线缠绕或扭绞在一起，有助于减少电缆外部吸收的噪声。然而，扭绞导线对电气噪声的抗干扰能力仅仅是减少了其敏感性。

双绞铜电缆有两种类型（以及各种变体）：

非屏蔽双绞线（UTP）：非屏蔽并不意味着裸线；它意味着除了每根导线的绝缘外，电缆内部没有其他屏蔽来阻挡电磁干扰（EMI）。与其他选项相比，UTP 便宜，在住宅和小型办公室等通常安全的环境中，它的低成本弥补了其缺点。
屏蔽双绞线（STP）：屏蔽意味着除了每根电线的绝缘外，还使用金属箔或编织网等屏蔽层包围内部电缆结构，以偏转或吸收干扰。

下图显示了 UTP 和 STP 之间的物理差异。请注意 UTP 没有屏蔽，而 STP 则有大量屏蔽：

UTP 与 STP 铜缆

网络中每段电缆都有一个或多个规格、标准或配置。此外，一些电缆配置有特殊的用途，不仅规定了各个导线的排列和位置，还决定了它们如何连接到插座。

扭绞电缆的终端和引脚排列受 电子工业协会（EIA）/电信行业协会（TIA）标准 568A 和 568B 的规范。通常，人们将这两个标准分别称为商业型和住宅型。

在任何有线网络中，几种不同类型的电缆，即具有不同连接器配置的电缆，将网络的各个元素和设备连接在一起。你在 Server+ 考试中可能会遇到的电缆类型如下：

交叉电缆：这种电缆结合了两种 568 标准，两端分别连接各自标准的电缆。该电缆通常用于连接两个同类型的通信设备，如两个路由器或两个交换机。交叉电缆的一端引脚 1 和 3 交换，引脚 2 和 6 交换。下图说明了这一配置：

直通电缆和交叉电缆的引脚排列

跳线：这是一个通用术语，用来描述任何类型的电缆，包括交叉电缆、回绕电缆和直通电缆，通常用于在两台电子设备之间建立连接。
回绕电缆：这种电缆也称为 Yost 电缆，它们具有反向或回绕的引脚排列，通常不用于数据传输，而是用于在两个设备之间创建接口。该电缆类型的引脚排列列在下表中：

电缆端 1	电缆端 2
引脚 1	引脚 8
引脚 2	引脚 7
引脚 3	引脚 6
引脚 4	引脚 5
引脚 5	引脚 4
引脚 6	引脚 3
引脚 7	引脚 2
引脚 8	引脚 1

直通电缆：这种电缆两端的连接遵循相同的标准，568a 或 568b，连接器引脚一一对应——即引脚 1 对引脚 1，引脚 2 对引脚 2，依此类推。这种电缆类型通常用于将网络适配器连接到路由器等网络设备。

同轴电缆

同轴电缆有两个信道——核心导线和金属的、通常是铜的网状层，它们各自传递相同的信号。带电载体会产生电磁场，相互抵消另一个信道的辐射，形成屏障，外部干扰无法穿透该屏障，从而不会改变传输信号。

以下图示显示了同轴电缆的主要层次结构：

同轴电缆的横截面图

网络连接器

连接终止网络电缆的连接器与电缆的线型和针脚排列一起，都是标准定义的。对于双绞线布线，EIA/TIA 568 标准规范了注册插孔-45（RJ-45）连接器，这是一种八位八接触（8P8C）连接器，如下图所示：

8P8C 连接器（RJ-45）

该连接器是网络电缆连接到墙面插座、配线架和其他网络设备的标准。RJ-45 的较小版本是 RJ-11，它是一个四线连接器，主要用于电话连接。

网络同轴电缆使用两种不同风格的连接器。最常见的同轴连接器是 F 型连接器。这对大多数人来说是熟悉的，因为它是将电视服务连接到有线电视供应商的连接器，也用于将同轴网络电缆连接到网络适配器。

另一种常用的数据网络同轴连接器是贝叶网·尼尔-康塞尔曼（BNC）连接器。两者中哪个更适合计算机网络取决于选择——两者各有优缺点。

以下图展示了这两种连接器类型：

同轴电缆连接器——BNC 和 F 型

EIA/TIA 568 设施标准

EIA/TIA 568 布线标准还定义了与电缆安装位置相关的布置、距离和使用标准。这些标准包括以下内容：

骨干电缆：这是将设施或校园内的主要、主分配和中间分配设施（电信和设备室）互联起来的主要通信电缆。网络连接之间安装的双绞线电缆最大长度为 90 米（约 300 英尺）。
入口设施：也叫做分界点，或demark。这是服务提供商的网络与用户的骨干网络连接的地方。分界点应距离服务线进入设施的地方至少 12 英寸。
交叉连接：568 标准要求设有一个设备室，用于终止网络骨干，并作为设施整个网络的交叉连接点。
水平电缆：该电缆将设施单层中的网络设备（如楼层或层级）连接到设施的主干网。此电缆在中继分配设施（IDF）或电信机柜的某一层终止。标准规定 IDF 与连接点之间的最大距离为 90 米。然而，不超过六米（约 20 英尺）的跳线可将网络设备连接到每端的水平电缆连接点。互联跳线的总长度不得超过 10 米。
电信机房/IDF：电信机房或机柜提供了在设施单层中各个水平电缆段之间无限制的互联连接。
工作区域：568 标准要求每个工作站或网络节点位置都能访问两个网络连接，一个用于语音，一个用于数据——每个连接都通过水平布线直接连接到 IDF 或电信机柜。

类别电缆

电缆标准还将网络双绞线电缆分为不同的类别（CATs）。这主要与以太网电缆相关，但也已扩展到其他类型的网络应用。每个 CAT 类别定义了网络电缆能力的一个演进步骤，基于其频率范围、带宽和数据传输速率（DTRs）。

目前，标准定义了七个类别，以及一些子类别。然而，CAT 1 和 CAT 2 不是网络电缆类别，CAT 4 仅适用于环形拓扑结构，CAT 7 仍在开发中。因此，您需要了解的唯一以太网电缆类别如下：

Category 3（CAT 3）电缆：一种八线（四对）UTP 电缆，支持 10 Mbps 的数据传输速率和 16 MHz 的带宽。它也被称为站点线。CAT 3 仍然可以用于旧版以太网网络，但已经被 CAT 5 及更高版本所取代。
Category 5（CAT 5）电缆：一种八线（四对）UTP 电缆，支持 10 Mbps 和 100 Mbps 的数据传输速度，以及以太网网络上的 100 MHz 带宽。它还支持语音和视频传输。CAT 5 仍在使用，但 CAT 5e 标准已取代它。
Category 5 增强型（CAT 5e）电缆：这种对 CAT 5 标准的升级减少了通道串扰，并将其数据传输速度提高至 1 Gbps，带宽为 100 MHz。CAT 5 和 CAT 5e 都使用 24–26 AWG 的铜线。CAT 5e 电缆与 CAT 5 向下兼容。
Category 6（CAT 6）电缆：该类别将带宽提高至 250 MHz，并支持千兆以太网速度。它还具有更好的外部护套和绝缘层，采用更细的铜线（22–24 AWG），改进了信噪比（SNR），并且更不容易受到电磁干扰（EMI）。CAT 6 规定了 UTP 和 STP 两种类型，并向下兼容 CAT 5 和 5e。
增强型类别 6（CAT 6a）电缆：这是对 CAT 6 标准的升级，将 DTR 提高到 10 Gbps，带宽提高到 500 MHz。CAT 6a 电缆是 STP 类型，并且需要提供接地的特殊连接器。

以下表格提供了以太网类别电缆标准的对比：

类别	电缆	最大 DTR	最大带宽
CAT 3	UTP	10 Mbps	16 MHz
CAT 5	UTP	10/100 Mbps	100 MHz
CAT 5e	UTP	1000 Mbps	100 MHz
CAT 6	UTP/STP	1000 Mbps	250 MHz
CAT 6a	STP	10,000 Mbps	500 MHz

以太网电缆标准

除了前面讨论的类别电缆标准外，IEEE 802.3 还规定了其他电缆标准。这些标准与类别电缆标准有重叠，但为每种电缆类型提供了一个自描述的缩写，使得更容易了解其性能。

IEEE 以太网标准中电缆的命名约定由三个主要部分组成：DTR，信号模式和电缆标识。例如，10BaseT 代表一种 10 Mbps 的基带（Base）双绞线（T）电缆。

IEEE 以太网电缆标准指定了以下电缆类型：

10Base2：一种仍在使用的旧标准，代表一种 10 Mbps 的基带同轴电缆，衰减距离为 185 米（约 607 英尺），或其有效范围的近似值为 100 米的倍数。10Base2 也被称为Thinnet。
10Base5：另一种同轴电缆，传输速率为 10 Mbps，基带信号传输距离为 500 米。像 10Base2 一样，5 代表传输范围的 100 米倍数。10Base5 也被称为Thicknet。
10BaseT：一种 10 Mbps 基带 UTP 或 STP 电缆。CAT 3 及以上标准支持 10BaseT。所有双绞线电缆的标准传输距离或衰减距离为 90 米。
10Base-FL：一种 10 Mbps 基带标准，运行在光纤链路（FL）上。由于使用光纤介质，其传输距离为 2 公里。
100BaseTX：一种快速以太网规范，使用 100 Mbps 基带信号在 UTP 电缆上传输，通常是 CAT 5 或更高版本。
100BaseT4：一种规范，基本与 100BaseTX 相同，但增加了 STP 电缆。
100BaseFX：一种光纤电缆规范，可以使用单模或多模电缆。其传输距离取决于特定介质。单模光纤电缆的传输距离为 10,000 米（约 6 英里），多模电缆的传输距离为 412 米（不到四分之一英里）。
1000BaseT：一种千兆以太网标准，与 1000BaseTX 一起使用。两者都在 CAT 5 或更高版本的 UTP 电缆上传输。但是，随着速度的增加，其传输距离减少至 75 米（约 246 英尺）。
1000BaseCX：另一种千兆以太网标准，使用 STP 电缆，传输距离仅为 25 米（82 英尺）。
1000BaseSX：一种光纤标准，在 50 微米或 62.5 微米的电缆上传输短波激光信号。在 50 微米的光纤上，它的传输距离可达 550 米（1850 英尺）；在 62.5 微米的光纤上，其范围是 50 微米电缆的一半。这两种距离均为全双工模式。
1000BaseLX：与 1000BaseSX 标准类似，但传输长波激光信号，能达到 5,000 米（3.1 英里）的距离。
10GbE：一种传输速率为 10 Gbps，或相当于 10,000 Mbps 的标准。它使用与 1000BaseLX 相同的媒介规范，但采用能够将传输距离扩展至 40 公里（约 25 英里不到）的技术。

光纤电缆

需要比铜电缆提供更长距离和更高带宽的网络适合使用光纤电缆。光纤电缆相较于铜双绞线电缆有两个优势：范围和带宽。

光纤线路的最大传输距离约为 20 公里，而铜双绞线电缆的最大传输距离标准为 100 米或更短。带宽是光纤电缆超过铜电缆的另一个领域。有些光纤电缆的带宽可达到 60 Tbps，但光纤网络电缆一般在 10 Gbps 到 100 Gbps 范围内。

以下表格总结了光纤电缆与铜 twisted-pair 电缆在能力上的差异：

特性	光纤电缆	双绞线电缆
最大带宽	60 Tbps	10 Gbps
最大范围	20 公里	90 米
干扰	不适用	电磁干扰（EMI）/射频干扰（RFI）、串扰、电压波动
使用寿命	30-50 年	五年

光纤电缆与铜 twisted-pair 电缆的比较

光纤电缆共有五层，以下图示展示：

光纤电缆光纤的层次结构

从中心开始，向外依次是：

光学核心：一种透明的玻璃或塑料光纤，通过它，光流可以被传输。
包层：通常是包裹在核心光纤上的高度反射性材料。包层的作用类似于镜子背面的材料，能够将光反射回其来源。包层的目的是确保光流始终保持在核心内。
保护层（缓冲层）：许多光纤和单根光纤线都有一层保护涂层，包裹在包层和核心周围，以防止弯曲损坏核心。
凯夫拉层：一层加强的凯夫拉纤维织物包裹在内层（核心、包层和可能的缓冲层）外面，为电缆提供额外的加强和强度，以防止安装时出现意外。
外护套：外护套或外层保护光纤电缆组件，防止它在安装过程中受到切割、割伤或磨损。

光纤电缆模式

光纤电缆有两种模式：单模（SM）和多模（MM）。

单模光纤电缆

单模光纤电缆的中心只有一个光纤细丝，传输单一的传输模式或光流。由于其核心直径相对较小，只有一种信号模式能够通过它。这个小核心和它所传输的单一光波相结合，有效避免了传输光脉冲的问题。

单模光纤的带宽比多模光纤高，衰减点可达到多模光纤的 50 倍远。然而，您确实需要为这种速度和距离支付更多费用。单模光纤也被称为单模光波导。

多模光纤电缆

如其名称所示，多模光纤能够同时传输多个光流。多模光纤提供更高的带宽和更快的速度，但仅适用于中等距离。

与单模光纤相比，多模光纤将光波分散成多个模式或路径进行传输。而单模光纤能够传输单一光波并支持更长的距离，而多模光纤的光流在较长的距离上会发生失真，从而限制其传输距离。

两种电缆模式如以下图所示：

单模光纤传输单一光流；多模光纤传输多个光流

选择哪种电缆适合某一特定网络，首先取决于预算，其次是传输距离，具体如下：

如果传输距离小于 100 米且在室内使用，使用铜缆
对于超过 100 米但不到几英里的距离，如果您希望避免使用中继器等设备，多模光纤（MM）是一个理智的选择。
如果传输距离为两英里或更长，最好使用单模光纤（SM）

光纤电缆连接器

市面上有许多不同类型的光纤连接器，每种连接器都专门用于特定用途，并支持某种传输模式。光纤网络的部署中使用的连接器将取决于成本、经验、可用性等因素。

每种连接器都有其优缺点。如果网络中使用的连接器不理想，随着时间的推移，网络的性能可能会下降。TIA 在《光纤电缆互连标准》（FOCIS）中定义了光纤电缆的规格，规定了各种连接器标准的插头和插座。

常见的光纤连接器如以下图所示：

常见光纤连接器

图片来源：L-com Global Connectivity

你可能在 Server+ 考试中遇到的光纤连接器如下所示：

Lucent 连接器 (LC)：LC 光纤连接器比大多数其他连接器小，但仍然包括一个标准的陶瓷插芯连接器（插芯是保护光纤的连接器部件）。FOCIS-10 定义了 LC 连接器的标准。
标准连接器（SC）：这种连接器采用推拉式锁定机制，具有弹簧加载的套圈。SC 连接器近几年在光纤连接器类型中占据主导地位，尤其与 ST 连接器一起，因为其优异的性能。FOCIS-3 定义了 SC 连接器的标准。
直插式连接器（ST）：ST 连接器是 MM 光纤电缆中最常用的连接器，在商业光纤网络中非常常见。FOCIS-2 定义了 ST 连接器的标准。
小型可插拔光模块（SFP）：SFP 接口规范定义了一种用于将光纤通道（FC）和千兆以太网（GbE）电缆连接到网络交换机和其他互联设备的收发器，采用 LC 连接器。四联 SFP（QSFP）标准是 SFP 标准的流行版本。

网络电缆安装

安装物理网络电缆时，无论是双绞线、电缆同轴线还是光纤，都有一些注意事项和做法，如果遵循这些原则，可以确保电缆系统的完整性和正常工作。

每种类型的电缆介质都有自己特殊的处理要求和安装指南。这些指南解决了由于安装不当可能出现的电缆问题，如干扰、电缆损坏和信号丢失。以下章节将介绍成功安装每种电缆类型的注意事项、做法和指南。

有一些特定于铜双绞线和同轴电缆的安装指南，涉及电缆布置、电缆捆绑和电缆悬挂。许多相同的指南和建议也适用于光纤电缆。

以下步骤、流程、程序和做法有助于避免双绞线电缆传输问题：

在任何电缆经过、上方或下方穿越的材料上安装电缆时，要以 90 度角（垂直进出）进行安装。如果需要弯曲电缆，重要的是不要超过电缆的弯曲半径规范，依据 EIA/TIA 568b 标准，弯曲半径为 1 英寸（如以下图所示）。许多认证安装人员建议使用 2 英寸弯曲半径作为最佳做法：

UTP/STP 电缆的标准弯曲半径

使用可预测的电缆路径，例如沿着走廊、主要墙壁和其他重要的结构组件布线。如果可能，避免穿越走廊和大型办公室或生活空间。
在开阔区域（如地下室、阁楼和爬行空间）内安装电缆时，使用电缆支撑。每隔四到五英尺在开阔空间内放置吊架、挂钩和其他电缆支撑。拉紧电缆以消除电缆下垂。市面上有多种电缆支撑设备，包含以下几种：
- 电缆管道：通常是用于电缆安装（拉动）、组织和重新布线的电缆槽道或槽形物。大多数电缆管道系统的侧面有槽口，通过这些槽口电缆可以重新引导到电缆路径上的掉线点。还可以提供盖子和实心管道，以增加额外保护。
- 电缆吊架：这些设备可以支持电缆穿越空旷的空间，或在管道或托盘无法使用的地方支撑电缆。不同类型的电缆吊架包括环形吊架、马鞍吊架、马具环和 J 型挂钩，所有这些都可以支撑裸露的电缆或管道。电缆吊架还提供了电缆垂直、水平、墙顶、天花板以及几乎任何其他表面的布置灵活性。
- 电缆槽道：任何固体的、类似盒子的刚性通道，只要它是完全或部分封闭的，并能隐藏、隔离或保护电缆，就本质上是一个电缆槽道。电缆槽道的不同类型包括带扣槽、J 型槽、J 型挂钩、拐角槽和电力槽道。
- 电缆护套：许多人将电缆护套和管道互换使用，但实际上有几种其他类型的支撑方式，包括编织护套、螺旋包裹和电缆管。电缆管和护套包裹电缆和电线，以防止损坏和恶劣天气的影响。编织护套可以是金属的，也可以由碳纤维、玻璃纤维、凯夫拉等材料制成，能根据所包裹物体的形状提供保护。
- 电缆扎带：也称为拉链带，这种电缆支撑实际上更像是一个电缆捆扎器，它将一组电缆合理地捆绑在一起，作为一个电缆来保持电缆束。电缆扎带由尼龙、金属或其他材料（包括织物）制成，具有一个锁定头，可以通过卡入条带上的凹槽来保持位置。在需要重复使用的情况下，魔术贴电缆扎带更为适用。
- 电缆托盘：这种类型的电缆支撑最好用于支撑大量的电缆，可以从天花板或地下支撑。它们的名字来源于它们的开放通道形状，但它们也可以是篮式托盘、电缆梯和干线。
保持电缆两端相对松弛，并尽可能保持电缆路径中的松弛。避免或消除分配设施与墙板之间电缆上的任何分接、接合或修复，以避免连接到工作站的电缆发生问题。
保持电缆与以下安全距离：
- 距离 2 kVA 或更低电流的任何电力线至少 3 英寸。
- 距离其他高压源至少 12 英寸，特别是荧光灯具。
- 距离 5 kVA 或更高电流的电力线至少 3 英尺。
- 距离任何变压器或电动机至少 3.5 英尺，例如软饮料机。
至少在每根电缆的两端标注标签。最好在电缆拉动的中间位置一两个地方也进行标注。
安装在建筑物的供暖、通风和空调（HVAC）系统的管道或其他空间中的电缆（通常位于建筑物的天花板或墙壁内），必须符合气流评级标准。气流评级电缆有防火涂层，通常为特氟龙，能够防止电缆在燃烧时释放有毒气体和烟雾。

总结

在这一章中，我们首先看了局域网布线，主要是 TP 线。TP 有两种类型：UTP 和 STP。网络电缆的安装和配置遵循 EIA/TIA 568A/B 标准。网络连接之间安装的电缆长度不得超过 90 米（大约 300 英尺）。

我们接着看了不同类型的电缆。交叉电缆连接相同类型的设备。跳线电缆是一个通用术语，指任何用于连接两个设备的电缆类型。回转电缆具有反向引脚排列，能够在两个不同类型的设备之间创建接口。直通电缆的两端具有相同的引脚排列标准，用于将网络适配器连接到设备，如路由器。

双绞线电缆使用 RJ-45 连接器，即 8P8C，用于电缆连接、墙插座、配线面板等。

同轴电缆有两个通道：核心导线承载传输信号，金属网承载相同的信号。每个通道都会产生一个电磁场，从而抵消对方的辐射。同轴电缆使用 F 型和 BNC 连接器。

接下来，我们讨论了 EIA/TIA 568 布线标准。主干电缆连接分配设施。进入设施是服务提供商网络和用户主干网络连接的地方。水平电缆连接单层中的网络设备。IDF/通信机房为水平布线段之间的互联提供了设施。

然后我们看了类别布线，它定义了以太网双绞线布线。CAT 3 是四对 UTP 电缆，支持 10 Mbps 和 16 MHz 带宽。CAT 5 是四对 UTP 电缆，支持 10 Mbps 或 100 Mbps 和 100 MHz 带宽。CAT 5e 减少串扰，支持 1 Gbps 和 100 MHz。CAT 6 支持 250 MHz 带宽和千兆速度。CAT 6a 是 STP 电缆，具有专用连接器，支持 10 Gbps 和 500 MHz。

我们接着讨论了 IEEE 802.3 标准，该标准规定了一个包含三个主要部分的电缆标识约定：DTR、信号模式和电缆标识。10BaseT 代表一个 10 Mbps 的基带（Base）双绞线（T）电缆。其他标准包括 10Base2、10Base5、10Base-FL、100BaseTX、100BaseT4、100BaseFX、1000BaseT、1000BaseCX 和 10GbE。

接下来，我们转向了光纤布线。与铜双绞线电缆相比，光纤电缆有两个优势：范围和带宽。光纤线路的最大传输范围约为 20 公里，通常支持 10 Gbps 到 100 Gbps 范围的带宽。光纤电缆有五层：核心、包层、保护层（缓冲层）、凯夫拉层和外护套。

我们查看了光纤电缆在两种模式下的工作方式：SM 和 MM。SM 有一根光纤纤维，承载单一传输。SM 的带宽比 MM 高，并且衰减点可达到更远的 50 倍。MM 同时传输多个光流。

接下来，我们查看了光纤电缆连接器。FOCIS 为连接器的插头和插座指定了标准。LC 连接器比其他连接器更小，但包含一个标准的陶瓷插芯连接器。SC 和 ST 因为其高性能而成为主流光纤连接器。SFP 是用于通过 LC 连接器将 FC 和 GbE 连接到交换机及其他设备的收发器。

最后，我们讨论了每种物理电缆介质都有其自身的处理和安装指南，以防止因安装不当而导致的干扰、电缆损坏和信号丢失。安装电缆时，应按电缆的弯曲半径规范以 90 度角安装，弯曲半径不得小于 1 英寸。遵循电缆路径，避免跨越走廊和大型开放区域。

应在开放区域安装电缆支撑。常见的电缆支撑包括电缆槽、吊架、电缆桥架、护套、扎带和托盘。电缆应至少与低压电力线路保持 6 英寸的距离，与高压电力线路和设备保持 12 英寸的距离。每端都要标记电缆路径。安装在 HVAC 管道中的电缆必须是空气管道等级的。

问题

以下哪两种是常见的 TP 电缆类型？
1. 同轴电缆
2. 光纤
3. UTP
4. STP
5. FDDI
EIA/TIA 568 电缆标准规定的网络站点之间的最大电缆长度是多少？
1. 500 米
2. 185 米
3. 100 米
4. 90 米
5. 10 米
以下哪种电缆配置通常用于连接两种不同的网络设备？
1. 直通电缆
2. 跳线
3. 交叉电缆
4. 回绕电缆
5. 同轴电缆
哪种注册插孔连接器是以太网网络的标准？
1. RJ-11
2. RJ-31
3. RJ-45
4. RS-232
以下哪两种是常用于细网同轴电缆的连接器？
1. RJ-11
2. F 型
3. USB
4. BNC
5. RJ-45
水平电缆通常终止于哪个电缆结构？
1. 骨干电缆
2. MDF
3. IDF
4. 入口设施
以下哪两种 TP 电缆类别被认为是当前的事实标准？
1. CAT 3
2. CAT 5
3. CAT 5e
4. CAT 6
5. CAT 7
以下哪三种 IEEE 802.3 电缆设计标识符组件代表千兆以太网 UTP 电缆？

速度	信号	介质
(1) 10	(2) BASE	(3) T
(4) 100	(5) 广泛	(6) F
(7) 1000	(8) 狭窄	(9) L

1. (1)(2)(3)
2. (1)(5)(6)
3. (4)(2)(9)
4. (7)(5)(3)
5. (4)(5)(3)
6. (7)(2)(3)

以下哪种光纤电缆传输模式具有最长的衰减值？
1. SM
2. MM
3. SC
4. SFP
安装网络电缆时，EIA/TIA 568 电缆标准关于电缆绕过物体或角落的要求是什么？
1. 12 英寸的弯曲半径
2. 在弯曲处接合电缆
3. 1 英寸的弯曲半径
4. 电缆无弯曲
5. 安装集线器

第二部分：管理

本书的第二部分概述了系统管理员在管理和维护网络服务器过程中所承担的责任和执行的任务。本部分的章节涉及一般管理、维护、性能监控、容错与可用性、网络虚拟化以及灾难恢复。

本节包括以下章节：

第七章，服务器管理
第八章，服务器维护
第九章，虚拟化
第十章，灾难恢复

第七章：服务器管理

网络管理员工作的一大部分是管理网络服务器。此章节将介绍管理和维护服务器所使用或执行的工具、组件、任务、流程和管理责任。

服务器管理员（即系统管理员或网络管理员）的职责和责任在不同的组织中可能有所不同，但大多数情况下，他们执行或监督的核心任务是任何环境中都必不可少的。这些任务和责任通常包括监控硬件和软件性能、用户管理、备份和恢复程序管理，以及应用修复和补丁，仅举几例。此部分的 Server+认证考试以过程为导向，这意味着它更关注你做什么（虽然知识仍然重要），而非你知道什么。让我们开始吧！

在本章节中，我们将涵盖以下主题：

网络硬件管理
服务器和网络资产管理
服务器和系统文档

硬件管理

网络管理员的日常责任归结为监控、审查、响应和在需要时进行安装。你需要明白，网络管理员和系统管理员并不完全相同，但在工作场所，这两个职位的名称常常互换使用。系统管理员的职责通常包括网络管理员的职责，但大多数组织将网络管理员的职责范围限制在网络硬件的配置、操作和安装。因此，既然我们在谈论硬件管理，我们就使用网络管理的职位名称。

网络管理

网络管理员的主要责任是确保组织的计算机网络符合保密性、完整性和可用性（CIA）模型。为了实现这一目标，管理员必须保持网络组件的更新、功能正常并符合要求的性能。无论管理员的职责是单独的职位描述，还是嵌入在系统管理员（sysadmin）职位描述中，网络硬件管理都是一项绝对必要的活动。无论组织如何定义管理员的职责，定义中应包括以下责任：

配置、更新和维护网络硬件
排除网络故障
设计网络模型
实施和监控硬件安全策略
配置、管理和监控数据存储系统

其他系统和网络领域也可能属于管理员或系统管理员的职责范围。这些包括以下内容：

测试和安装网络软件
管理和维护网络操作系统（NOS）
实施和监控网络操作系统及软件安全策略
管理和协调云计算服务

让我们简要了解一下这些领域及管理员的职责。

配置、更新和维护网络硬件

管理员的职责范围通常围绕网络硬件展开。大部分网络硬件，从运行服务器软件的计算机到连接外部网络的网关路由器，都配有内建的性能和管理工具，用于监控其操作。在某些情况下，像 简单网络管理协议（SNMP）这样的协议允许网络设备共享关于状态和预设条件的信息，如下图所示：

SNMP 允许网络设备传递状态和问题信息。

图片来源：Ron Price

为了执行网络硬件管理所需的任务，管理员几乎可以从任何网络工作站与监控软件互动。然而，在更大的网络中，如服务器农场或数据中心，管理员通常需要通过一个控制台站点访问各个服务器。这种交互可以通过几种不同的技术实现——键盘、视频、鼠标（KVM）切换器、串行连接和虚拟管理控制台。

KVM 接口

一款 KVM 切换器，如下图所示，允许位于中央位置的管理员通过单一的键盘、视频显示器和鼠标分别控制多台计算机。结果是，管理员的本地设备替代了远程计算机的设备，并且其功能就像是直接连接到远程设备一样：

KVM 设备：16 口 KVM 切换器的前（上）视图和后（下）视图

图片来源：Raloy, Inc.

KVM 切换器通过一个输入/输出设备集（包括键盘、视频显示器和鼠标）提供对连接组内各个计算机的点对点管理访问，管理者可以从中央管理站点进行控制。实际上，KVM 替代了选定计算机的设备。例如，前述图像中显示的 KVM 切换器能够连接最多 16 台计算机。管理员可以选择哪台计算机处于活动状态，并像坐在计算机前一样与之互动。

KVM 设备主要分为两大类——访问与控制类和应用与技术类。这两类有重叠，KVM 切换器通常属于不止一类：

访问与控制： 根据需要访问的操作员数量，有两种类型的 KVM 访问与控制方式：
- 单用户 KVM，是最常见的，连接一个管理员通过中央点控制多台远程计算机
- 多用户 KVM，通常用于较大的数据中心，其中多个管理员需要访问网络计算机，本质上提供了每个用户似乎是单用户 KVM 的功能。
应用与技术： 在某些网络中，连接到 KVM 的所有计算机都是本地的，而在另一些网络中，连接的设备是远程的。此类别中的主要两种类型的 KVM 是单用户模拟设备和多用户数字设备：
- 模拟 KVM 通过非屏蔽双绞线（UTP）或同轴电缆直接连接到计算机。KVM 切换器和连接的计算机通常位于同一局域网（LAN）中。
- 数字 KVM 通过互联网连接，使用互联网协议（IP）地址连接本地和远程计算机。数字 KVM 能够与隔壁房间或遥远的全球另一端的计算机进行交互。

另一种类型的 KVM 切换器是USB 枚举 KVM 切换器，即基于集线器的 KVM。当多端口 USB 设备的活动端口发生变化时，会进行枚举过程。这个过程也会在插入或移除 USB 设备时发生，启动并激活端口。在这个过程中会有一个小的延迟，但这种类型的 KVM 在小型办公室/家庭办公室（SOHO）环境中表现良好。

连接到 KVM 的三种设备的通信范围相对较短。传统和当前键盘与鼠标的 PS/2（迷你 DIN）和 USB 接口，以及大多数当前显示器的数字视频，在大约 5 米（10 英尺）时开始减弱。一些设备能够维持信号至多 10 米（33 英尺），但这取决于多个因素。在希望扩展这些设备有效范围的情况下，KVM 延长器，类似于以太网网络中继器的工作原理，可以将设备信号的范围扩展至 150 米（大约 500 英尺）通过 UTP，并在光纤电缆上传输得更远。

串行接口

几乎所有服务器级计算机至少都有一个串口，即 COM 端口。通常，该端口的连接器是D-小型 9（DB-9）公头连接器，如下图所示。在其名称中，D 代表其形状，小型代表其较小的形状，9 表示连接器中的引脚数量。COM 端口通常是新型计算机上的 DB-9 连接器。另一种较为少见的端口是 DB-25 串行端口，这是一种具有 25 个引脚的 D 形连接器。

DB 连接器分为公头或母头，意味着它们有引脚，就像下图中的顶部连接器，或者它们有插针插座，就像下图中的底部连接器，这通常被称为 PC 上的 VGA 连接器：

DB-9 连接器，公头（上）和母头（下）

系统和网络管理员通常通过串口接口连接到网络设备和互联设备，以便使用系统控制台访问系统和网络资源进行配置、监控、故障排除和维护，即根控制台或管理员控制台。通常，系统控制台是一个文本输入和显示设备，例如 PC 或终端，具有数据输入功能。Windows 和 Linux 操作系统提供终端仿真软件，如 Windows 的Cmder和Console2，或者 Linux 的 Terminator 和Guake，使 PC 能够通过串行连接与网络设备通信。

基于网络的硬件管理

在硬件的系统和网络管理中，主要涉及管理员通过软件或硬件进行远程访问。在 Server+考试中，你可能会遇到的三种基于网络的硬件/软件管理工具如下：

KVM over IP 交换机：这使得管理员能够通过网页浏览器通过 IP 网络访问本地或远程系统。使用 KVM over IP 交换机，管理员可以监控和管理远程硬件和软件、电源管理以及网络设备。一些型号还可以录制视频显示，从而显示执行的操作。
HP 集成 Lights-Out（iLO）：一款由 HP 提供的网络硬件和系统管理工具，能够通过互联网进行系统管理。
集成戴尔远程访问控制器（iDRAC）：另一种专有的网络管理工具，是戴尔 EMC 企业基础设施管理系统的一部分。像 iLO 一样，管理员可以完全管理远程网络资源。

基于网络的操作系统管理

在一个广泛分布的网络中，位于中心位置的管理员能够远程管理、配置和监控运行远程服务器和工作站的操作系统。管理员可以使用的一些工具来管理远程系统上的操作系统如下所示：

远程服务器管理工具（RSAT）：这个微软包使管理员能够从 Windows 操作系统 Vista 及以后版本的系统中管理 Windows Server 2008 R2 之后版本的配置和功能。
远程桌面协议（RDP）：这是另一个微软的系统，提供对网络连接系统的远程访问，这些系统提供图形用户界面（GUI）。以下截图显示了 RDP 的启动对话框：

RDP 对话框

图像来源：Ron Price

安全外壳（SSH）：一款软件工具，可通过安全的远程连接方便地进行操作系统管理和文件传输。
虚拟网络计算（VNC）：这通过 远程帧缓冲区（RFB）协议提供图形用户界面（GUI）桌面，使管理员能够通过网络控制和管理远程系统。VNC 将所有的键盘和鼠标操作传输到远程系统，并将所有生成的视频返回到控制系统。以下截图显示了 VNC 服务器的连接对话框：

VNC 服务器的连接对话框

图片来源：Ron Price

命令行/脚本命令：Windows 和 Linux 都有能力从命令行或通过脚本控制远程系统。在 Windows 系统中，PowerShell 提供了远程访问和控制功能。在 Linux 系统中，SSH 上的命令行功能提供了远程系统管理。

资产管理

在任何组织中，计算和网络功能的资产通常是最昂贵的，并且通常对其使命最有价值。当然，这是一个普遍化的说法，但数据及其存储、保护和处理成信息的系统需要特别处理、安全和维护。

信息技术资产管理（ITAM）

一个 ITAM 项目应包括应用于组织任何主要资产组的财务、采购和管理活动。ITAM 的主要目的是支持组织的 IT 和网络功能的短期和长期（分别是战术性和战略性）生命周期和应用。

任何成功的 ITAM（信息技术资产管理）项目的核心是有关硬件和软件及其库存的详细信息。这些信息为 IT 硬件和软件组件的使用、采购、替换和退役提供了基础。大多数组织独立管理硬件资产和软件资产。通常，IT 硬件资产管理活动包括采购、应用、退役和处置。根据资产类型，IT 资产也可能是可以折旧的。相比之下，并非所有软件资产都符合管理资产属性的指导方针。软件资产，通常是软件许可证、升级和安装，绝对是资产，无论是否可以折旧。

一个 IT 资产管理项目在每个组织中可能是不同的。有多个因素、组件和元素可能包含在 ITAM 中。一些差异可能很大，例如包括什么和不包括什么，或者很小，如序列号、标签和其他识别项目。然而，ITAM 项目是关于管理 IT 资产生命周期的。

IT 生命周期资产管理

一个 IT 生命周期资产管理（LCAM）项目为 ITAM 提供了有价值的初步和持续信息，告知现有设备处于生命周期的何时以及组织应该何时采购替代设备或新技术。LCAM 有五个一般阶段：

采购：当一个组织采购新设备时，它会被加入到 ITAM（资产管理）清单中并分配一个资产标识。
实施：任何必要的建筑改动或员工培训都会在新设备安装的同时进行。
维护：定期的预防性维护计划能够确保资产按预期正常运行。
支持：定期评估资产的价值和贡献，决定该资产是否仍在为组织的整体使命做出贡献。如果没有，它的生命周期可能会缩短。
处置：并非所有在生命周期结束的资产都准备好扔进垃圾堆。特别是 IT 资产，许多仍然有剩余的使用寿命或价值，回收可能比丢弃它们更好。一些 IT 资产中含有稀有金属或其他化合物，回收商可以从主板和其他设备中提取。

当然，一旦某个产品在其购买和处置之间已经发挥了作用，它可能会被替换资产或全新的技术所替代，从而重新启动这一周期。

其他 ITAM 术语

以下是与资产管理相关的几个你应该了解的额外内容，适用于 Server+考试：

资产清单：资产管理的另一个术语是资产清单，意味着定期收集现有和新 IT 资产的详细数据。
资产标签：一种相对持久的贴纸或标签，带有独特的识别号码，用于标记任何物理资产为可追溯资产。
处置/回收：IT 资产处置（ITAD）计划应该包括回收可用 IT 资产和适当处置每种物品类型的选项。因此，如果无法将设备捐赠给当地慈善组织或学校，或进行交换，请联系当地政府，了解如何回收电子设备或在您所在地区处置它们。
生命周期结束（EOL）：这主要是一个营销术语，指的是某个产品或服务在生命周期的末端，并且在某个日期之后将无法继续提供。安装了 EOL 设备的组织知道，新型号、版本或版本更新将替换掉 EOL 设备。在大多数情况下，EOL 产品的服务和支持也可能即将结束。

系统文档

文档对系统或网络管理员来说既是福音也是灾难。发生故障时，它极为宝贵。当需要创建或更新文档时，它也可能成为一种麻烦。不管你怎么看，它，爱它或恨它，文档都是一种宝贵的资源，需要积极支持。本节将探讨网络服务器、互联设备、工作站以及实际上几乎所有连接到网络的设备应有的各种文档类型和内容。

Server+考试的目标识别了九种不同类型的系统文档。以下部分概述了 Server+目标中识别的每种文档类型。

服务手册

每个添加到系统中的硬件组件都应该附带一本服务手册，通常也称为用户手册或所有者手册。在某些情况下，服务手册更像是一本安装指南，除了包括一些小问题的故障排除方法外，大部分服务、维修或配置信息可以通过制造商的网站获取。

服务手册通常包含以下部分内容中的一些或全部：

前言：这是手册第一页上的识别信息，通常包括封面、简介、产品型号和序列号，以及目录。
安装/配置指南：一些服务手册提供安装指南和配置选项及流程。根据设备或组件的不同，安装和配置过程是一个综合过程。
故障排除：一般来说，服务手册的这一部分重点介绍设备的常见错误或问题的识别方法，及其解决步骤。该部分可能包含有关识别故障及其解决方案的详细信息。也可能仅列出服务中心的位置或维修前需联系的客户支持电话号码。
常见问题解答：与设备的安装、配置和操作相关的常见问题，通常会附带简短的答案或解释。
术语表和索引：有时，服务手册可能会包含一个术语表，用于定义和解释手册中包含的任何技术或特定产品的术语，以及按字母顺序排列的关键术语和流程的页面索引。

系统和网络文档

在许多情况下，系统管理员对各种服务器的配置、虚拟化网络环境、附加存储网络以及连接到互联网的互联设备具有极其详细的知识。在工作中，没有什么是管理员不知道的，凭借已获得的知识，也能修复、更换或排除故障。该管理员坚信文档其实并不必要，因为管理员的知识可以涵盖任何可能发生的事情。而且，保持文档的最新状态是个大麻烦，浪费时间。通常，在这种情况下，管理层会将系统和网络管理交给管理员处理，至少直到某种伤病使管理员无法执行职责时。

虽然这种情况看起来像是一种恐吓策略，用来让你相信系统和网络文档的重要性（因为它确实是这样），但其真正的重点在于制定一个正式的流程来创建、更新和管理系统和网络文档。

系统图示

在网络硬件中，尤其如此，一张图胜过长篇解释。一个系统架构的图示、网络拓扑图或数据库系统的数据流图可以迅速解释 IT 系统的结构、配置和功能。对于 Server+考试，你应该熟悉以下图示：

架构图：系统架构在以下图示中展示。这些图示描绘了基础设施、系统甚至应用程序的主要组件。在系统开发之前，架构图用于模拟预期的开发。
数据流图（DFD）：描述数据如何在系统、网络或数据库中流动的图形表示。通常，设计师会在系统设计的早期阶段创建数据流图。在硬件上下文中，数据流图显示数据如何从一个设备流向另一个设备。
网络图：本地网、广域网或其他网络中设备和服务的图形表示。网络图可能显示操作系统、路由协议以及其他包含的服务：

系统架构图示例

图片来源：Ron Price

系统文档

组织生成和维护的文档与其数据中心、网络和应用程序的规模和复杂性直接相关。较小的组织需要与较大的组织相同的核心文档，但更大的网络通常有额外的领域需要文档。至少，计算机系统或网络的文档应该包括两个主要组成部分：基线和恢复。

基线文档规范了已安装在系统中的设备、设备、软件、布线以及所有其他组件，并在主要子系统中进行了文档记录。基线还记录了新配置系统或子系统的性能水平，这将为未来的性能测量提供对比基准。

恢复文档，如灾难恢复计划或业务连续性计划，包含用于在不同级别的中断事件中恢复操作的过程、位置、人员配置和程序的详细信息。

有效的文档具有四个主要特征：

简明语言：文档的语言和风格允许所有相关方完全理解其目的、规格、要求和指令。
相关信息：与其包含额外的内容，不如引用任何与特定文档主题相关或关联的其他文档。
完整性：每份具体的文档应包含所有相关信息，以便读者了解操作的各个方面，无论好坏。
及时与准确：在对系统进行修改、扩展、升级或修补后，在合理的时间内更新所有受影响的文档。同时包括已解决问题的故障排除结果。

此外，系统文档应具备四个通用特性：目的、有效性、预期受众和完整性。目标是尽可能达到这四个特性。让我们来看一下这些特性：

目的：文档的目的是提供所需的信息，详细说明系统的构成和配置，创建系统利益相关者的培训，概述潜在的组件升级或更换，以及指定团队成员的职责。
有效性：除了我们刚刚列出的主要特性外，文档还必须包含适当的标识和复制程序，以及有效的故障排除和解决步骤。
受众：语言应避免技术性行话和术语，以便目标受众能够理解你在讲什么。
完整性：信息系统或网络的文档必须包含系统各方面、组件、操作和用途的适当信息。

一定有某人曾经说过，你永远不会拥有足够的文档！ 这句话可能是对的，但前提是文档必须是最新的。

其他文档和文档化资料

还有其他类型的文档与特定活动相关，例如系统配置的详细信息、操作系统的设置、布线规范、服务水平协议、变更政策、人员政策、权限结构等。这些文档通常需要的更新频率低于主要系统文档，但像系统文档一样，必须保持最新。

存储敏感文档

有些文档可能具有敏感性或机密性质，或者直接涉及分类或分级文档、数据和输出的处理。在这些情况下，政府、其机构、军事部门以及各种规模的企业，必须拥有关于文档存储、保护和运输的独立、具体且已文档化的政策。

美国军方定义了一种名为敏感隔离信息设施（SCIF）的安全设施，其中的文档可以是开放存储、封闭存储或持续操作的形式。许多非政府组织将敏感文档和其他文档存储在锁闭的防火柜中，或是类似银行保险库的小型柜中。无论哪种方式，敏感文档都需要与其所涉及的敏感数据或材料相同级别的保护。

总结

服务器管理员有多项职责和责任，包括维护网络和存储硬件、故障排除网络问题以及实施和监控安全政策。管理员的职责还可能包括安装软件、维护操作系统以及实施软件安全政策。

KVM 开关为个别本地或远程计算机提供访问和控制。我们研究了两种类型的 KVM 设备——访问和控制以及应用与技术。基于网络的硬件/软件管理工具的示例包括 IP 上的 KVM、iLO 和 iDRAC。用于管理远程系统操作系统的工具包括 RSAT、RDP 和 SSH。VNC 提供 GUI 桌面。命令行/终端命令也可以控制远程系统。Windows PowerShell 设施提供远程访问和控制，在 Linux 系统上，通过 SSH 的命令行提供远程系统管理。ITAM 程序管理主要资产组和 IT 资产生命周期。LCAM 提供有关生命周期和替换设备的信息，涵盖采购、实施、维护、支持和处置。

文档应包括网络服务器、互联设备和工作站。文档类型包括服务手册、系统和网络文档、架构图、数据流图、网络图、基准文档和恢复文档。有效的文档具有清晰的语言、相关信息、完整性、及时和准确，并具备明确目的、有效性、预期受众和完整性。文档可能包括配置、电缆规范、SLA 和政策。敏感或机密的文档、数据和输出需要特别处理。

问题

以下哪些通常是系统或服务器管理员的职责和责任？
1. 配置
2. 监控
3. 实施
4. 构建
5. 仅 4
6. 1 到 4
7. 仅 1、2 和 3
哪种设备允许管理员使用本地输入输出设备来控制远程系统？
1. COM
2. ITAM
3. KVM
4. LCAM
在 PC 背面的 DB-9 或 DB-25 母连接器通常属于哪种通用端口类型？
1. USB
2. COM
3. PS/2
4. Mini-DIN
IP 上的 KVM、iLO 和 iDRAC 是属于哪种类型的设备或服务？
1. 本地主机
2. 基于网络的管理
3. GUI
4. SSH
系统管理员可以使用以下哪项来管理远程工作站的操作系统？
1. RSAT
2. 通过 SSH 的 CLI
3. VNC
4. RDP
5. 上述所有
6. 以上都不是
信息技术资产的管理活动被称为：
1. LCAM
2. ITAM
3. RSAT
4. iDRAC
哪个缩写指的是 IT 资产的采购、实施、维护、支持和处置？
1. LCAM
2. ITAM
3. RSAT
4. iDRAC
以下哪项不是常见的系统文档形式？
1. 服务手册
2. 架构图
3. 恢复计划
4. 打字练习
有效的文档具有四个特性：清晰的语言、相关信息、______ 和及时性。
1. 政策
2. 完整性
3. 适当性
4. 长时间
系统文档有四个特点：
1. 目的
2. 效果
3. 目标读者
4. 完整性
5. 上述都包括
6. 上述都不是

第八章：服务器维护

请记住，计算机无论多么复杂或昂贵，依然只是机器，尽管它们是电子设备。电子设备的活动部件非常少。事实上，除去二级存储设备中的读/写磁头、光存储设备中的开关抽屉，以及可能的几个其他可移动部件，计算机的整体设计并没有太多活动部件。我们可以说，计算机中流动的电信号是活动部件，但是比特及其传输介质实际上不会导致太多故障问题，服务器维护的核心就是防止故障并在故障发生时解决问题。

本章介绍与网络服务器维护相关的系统管理员职责和活动。这包括定义和执行变更和补丁应用管理程序，监控服务器外部组件的性能和健康状况，故障排除和解决网络服务器问题的过程，以及应用故障容错和高可用性技术。

本章将涵盖以下主题：

变更和补丁管理
性能监控
硬件维护
故障容错

变更和补丁管理

在系统和服务器管理的背景下，变更管理程序，通常被称为变更控制程序，有一个最重要的目的——确保适当和必要的补丁、更新和配置变更的应用遵循一个正式的、受控的、协调的和一致的方法论。两个术语——变更管理和变更控制——通常分别指服务维护和软件维护。然而，在 Server+考试中，变更管理通常指的是服务器和硬件维护，特别是操作系统维护。

一个正式化的变更管理或控制程序是一个书面、分发、审查、批准并实施的文档。根据组织的规模，程序不同阶段的参与人员包括 IT 人员、变更审查委员会或委员会成员，以及可能受到变更影响的利益相关者。当然，在较小的组织中，由于变更的范围和影响有限，通常仅涉及两到三名 IT 人员。在较大的组织中，参与者的数量会随着变更的潜在范围和影响而增加。在任何情况下，流程结构都会指导任何系统变更的审查、测试和应用。

在服务器管理环境中，变更管理程序的目的是包括以下步骤：

确定拟议的变更是否是必要的或适用的
确定拟议变更的影响及其将影响的人或事物
在非生产环境中测试变更
审查测试结果
获得批准以在生产环境中应用变更
应用变更
对变更后环境进行基准测试

变更控制过程

变更管理和控制程序应包括六个阶段。这些阶段如下：

目的：了解供应商关于拟议变更要修正、修补、修复或改进的内容，并决定该变更是否必要。
范围：任何变更都会对数据中心的当前操作产生主要和次要影响。因此，在继续之前，了解拟议变更的全部影响至关重要。这些知识应包括谁，以及什么。
审批：应由系统管理员以外的人员审核前面步骤的分析，并批准继续进行或确定需要进一步分析的领域。
测试：在将拟议变更实施到生产系统之前，先在非生产系统上进行测试。
实施：如果非生产环境测试的结果符合预期，则将变更应用于生产环境。在应用变更后，对系统性能进行基准测试。
审查：在一定时间内，检查已应用变更的结果，以确保其持续成功。

补丁管理

补丁管理是变更管理和控制的一部分，但其对操作系统任务和功能的重要性不及对系统安全性的影响。大多数补丁（供应商提供的更新和修复）解决了软件产品中发现的漏洞，例如操作系统或主要应用程序包。补丁的应用通常应遵循前两部分中讨论的方法。然而，补丁管理确实有一些独特的要求：

补丁管理应优先进行
维护准确的 IT 资产清单
制定并应用彻底的测试过程
分配责任
记录过程、行动和结果

在当今充斥着恶意软件、黑客、蠕虫、木马和其他恶意行为者的环境中，从发现漏洞（系统中的弱点或缺陷，黑客可能利用这一点）到发布修补程序进行修复的时间框架可能只有几个小时。在需要高可用性（HA）的系统环境中，应用修补程序可能会导致系统不可用一段不确定的时间。系统管理员必须分析修补程序是否适合系统，然后决定最佳的实施方式。

在大型分布式数据中心，尤其是那些从中心站点管理的远程位置，补丁管理（以及变更管理）会变得更加复杂。因此，许多人使用软件工具，如微软的安全配置与分析（SCA）工具、Windows Server 更新服务（WSUS）或系统中心配置管理器（SCCM）。第三方补丁管理系统也可作为本地或基于云的系统提供，如 SolarWinds Patch Manager（本地）、ManageEngine Patch Manager Plus 或 NinjaRMM（基于云）。

以下截图展示了 NinjaRMM 系统的补丁管理显示：

补丁管理调度显示。图像由 NinjaRMM 提供

操作系统更新

除了了解操作系统是否是最新且没有已知的错误或漏洞外，应用修复、补丁和更新是服务器及其网络安全的关键。操作系统更新修正了报告的代码错误，并在被利用之前或由于被利用而关闭漏洞。

大多数操作系统，包括 Windows、macOS 和许多 Linux 发行版，都包含自动更新功能。然而，组织的更新政策应决定是否启用该功能。禁用自动更新并不会消除管理员应用更新的能力；它只是不会自动进行。有些操作系统更新可能与为修复补丁所解决的问题插入的修正或操作步骤发生冲突。在应用更新或补丁之前，对其影响进行彻底分析，并进行前后测试，应该是任何变更管理流程的一部分。

要启用或禁用 Windows、macOS 和 Linux 中的自动更新功能，请遵循以下指南：

Windows Server: 在活动目录（AD）系统中，自动更新功能的控制可能是在组级别。组策略中的 WSUS 以及 Windows 更新和维护调度器设置了操作系统更新的时间、内容和方式的参数。也可以使用这些设置禁用自动更新。除了操作系统更新外，WSUS 还会更新 Microsoft 应用程序。
Windows 7 和 8：启用和禁用 Windows 7 或更早版本的自动更新功能位于控制面板中的“系统和安全”选项下，名为“Windows 更新”。该功能提供三个选项：
- 开启或关闭自动更新：如果关闭，可以通过开始菜单中的 Windows 更新选项手动更新。
- 检查更新：此选项会搜索未应用的可用更新，包括 Windows 操作系统、Microsoft Office 和其他 Microsoft 服务的手动应用更新。
- 查看已安装的更新：此选项列出了操作系统中已安装的更新，包括它们的覆盖范围和发布时间。
Windows 10：自动更新的控制可以通过设置 | Windows 更新功能启用或禁用（请参见以下截图）：

Windows 10：Windows 更新页面

macOS：自动或手动操作系统更新的控制通过苹果商店中的一个页面实现。如下面的截图所示，控制有三个层级——自动检查更新；下载并可能安装更新；以及下载并安装在另一个 macOS 上购买的已安装软件：

苹果 macOS 自动更新配置

Linux：每个 Linux 发行版都有一个自动更新工具。例如，Ubuntu 和 Debian Linux 版本有 unattended-upgrades 工具，它下载并应用安全更新和系统补丁。另一个用于自动更新的 Linux 工具是 yum-cron 命令和 Red Hat 企业版 Linux 及相关发行版中的参数。

设备驱动程序更新

在 Windows 系统中，设备驱动程序的更新也可以自动化或关闭，无论情况如何。

若要设置自动设备驱动程序更新（开启或关闭），请按照以下步骤操作：

运行 gpedit.msc 工具以打开组策略编辑器（请参见以下截图）。
导航到计算机配置 | 管理模板 | 系统 | 设备安装（如果您要关闭此设置，还需要设备安装限制）。
在设置窗口中，选择您希望激活的策略设置：

使用组策略编辑器配置自动设备驱动程序更新设置

固件更新

许多系统管理员遵循“如果没有坏，就不要修”的固件更新方法，并且只考虑那些改进或添加安全功能的更新。然而，即使安全性不是问题，仍然有更新固件的理由。例如，当您向一台较老的计算机添加一个更新的硬件组件时，这台计算机很可能需要进行 BIOS/UEFI 更新，以启用与该组件的兼容接口。请将固件更新视为操作系统或应用程序更新的方式。固件更新可能不会影响特定的服务器或网络，也可能没有必要。同样重要的是要记住，固件更新若是为了修复某个漏洞，可能会引入新的漏洞。

在将计算机构建为服务器时，或者当计算机或主板制造商建议您更新固件时，更新计算机固件也是一种良好的做法。无论是哪种情况，固件更新的操作方式因主板和计算机制造商的不同而有所不同。请查阅制造商的网站了解更新流程和应用程序说明。

硬件维护

在需要高可用性的网络中，网络和系统管理员必须依赖各种监控、错误通知和故障排除指南，以在出现问题时进行检测并发出警报。在高可用性系统中，停机不可接受。所有支持和维护活动都专注于确保正常运行时间和可用性。以下章节将介绍一些帮助管理员实现这些目标的工具。

服务器监控系统

服务器监控器为系统管理员提供自动化报告、计划设备检查和警告，提醒设备或系统可能接近或已经达到预设的阈值或上限设置，需要进行前瞻性故障排除。大多数服务器监控系统包括对网络服务器的主要系统、子系统和组件进行检查、测量并在必要时报告，内容包括以下：

CPU 使用率：高 CPU 利用率可能影响响应时间和生产力。
硬盘空间：低磁盘空间可能导致性能下降、缺失更新、高度碎片化和索引搜索变慢。
磁盘输入/输出操作每秒（IOPS）：磁盘 IOPS 是一个基准测量，表示二级存储设备的运行效率。
RAID 健康状况：RAID 系统可能会遇到各种问题，如控制器故障、分区错误，当然，还有一个或多个物理磁盘驱动器故障。
RAM 利用率：高 RAM 利用率可能导致运行时间延长、吞吐量降低，甚至可能导致系统或应用程序崩溃。
硬件状态：性能不佳的硬件组件可能会减慢或停止网络服务器的运行。主动检查硬件健康状况和处理能力可以避免系统停机。
系统温度：服务器（或网络节点）中的多个组件对高温敏感，包括微处理器，这就是为何系统温度需要监控的原因（见下方截图）：

一个硬件状态监控器示例

网络利用率：此指标是当前网络流量负载与网络介质最大吞吐量的比率，用以指示在任何给定时刻，网络介质的繁忙程度。以下截图显示了一个网络利用率程序的仪表板显示示例：

ColaSoft Capsa 软件的仪表板显示截图

虚拟机性能：一个活跃的虚拟机可以启用计数器来追踪其活动和性能水平，例如，输入/输出操作到虚拟磁盘、使用的内存量以及其网络流量。

发光二极管（LED）服务器状态指示器

设计用于网络服务器的计算机系统在主板、后面板或前面板上至少有一组 LED，或者这些位置的某种组合。LED 显示颜色和/或闪烁模式以指示系统的状态，从一切正常到现在关闭电源不等。服务器制造商在 LED 位置及其颜色和闪烁组合上存在差异。

下表显示了 Intel 服务器主板 LED 服务器状态指示器的示例。

颜色	显示	含义	操作
绿色	稳定	系统正常	无
绿色	缓慢闪烁	系统降级	内存错误主板管理控制器（BMC）检测到错误
琥珀色	缓慢闪烁	非致命缺陷	内存错误—错误阈值超过
琥珀色	稳定	致命	系统故障—CPU 配置错误
无	N/A	系统未准备好	AC 电源关闭

服务器主板 LED 状态指示灯示例

液晶显示器（LCD）消息

除了 LED 指示灯之外，一些服务器系统还在小型 LCD 上显示服务器状态信息，通常一行文本限制在 25 至 65 个字符之间。如果在 POST 过程中或后续配置中出现问题，LCD 屏幕会显示一个简短的消息，例如下表中的示例。此显示通常仅限于服务器显示，不会显示在管理员控制台上。某些服务器（例如戴尔 PowerEdge 服务器 R-和 Tx20 系列）会在显示中的背景上着色，以指示问题的严重性，类似于以下图像的说明：

服务器 LCD 显示器示例

服务器 LCD 错误代码和消息示例如下表所示：

错误代码	消息	含义
`E1114`	环境温度	环境系统温度超出可接受范围
`E1210`	CMOS 电池	CMOS 电池丢失或电压超出可接受范围
`E1410`	CPU # IERR	微处理器#报告内部错误
`E1714`	未知错误	出现错误，但 BIOS 无法确定其来源
`E1810`	硬盘##故障	硬盘##发生故障
`E2014`	CMOS 失败	CMOS RAM 功能异常
`E2019`	奇偶校验错误	主内存奇偶校验错误
`E201E`	POST 内存测试	BIOS POST 内存测试失败

服务器 LCD 错误代码和消息示例

来源: https://www.dell.com/support/

蜂鸣代码

当你启动 PC 时，一个固件工具，称为开机自检（POST），会检查 BIOS 或 UEFI 配置中包含的内部硬件组件。POST 会检查每个组件的存在（连接）、兼容性和功能（响应）。如果一切正常，POST 会发出清除信号并继续启动过程。一般来说，发出的信号是单次的蜂鸣音，但有些系统可能会发出两次蜂鸣。

然而，如果 POST 遇到问题，意味着 PC 无法通过 POST，可能会发生两种情况——发出一个蜂鸣代码模式，指示检测到的问题类型，或者在没有发出蜂鸣音的情况下断电。蜂鸣代码，也称为 POST 错误代码，在使用时，提供了一个大致的指示，表明导致 POST 失败的组件。可能是连接不良、设备被移除，或者是设备故障。蜂鸣代码的目的是为故障排除提供起点。

蜂鸣代码是存储在 ROM 或 NVRAM 芯片中的 BIOS/UEFI 模块的一部分。不幸的是，目前并没有统一标准，每个制造商可以在其计算机中使用不同的蜂鸣代码模式。即便是同一公司不同的 BIOS 产品，其代码含义也可能完全不同。如以下表所示，三家厂商虽然使用相同的蜂鸣代码模式，但他们为其代码分配了不同的问题或条件。短音是指约十分之一秒的快速蜂鸣音，而长音则大约是短音的两倍长：

故障/问题	AMIBIOS（美国兆芯）	Award BIOS（凤凰科技）	IBM 公司	戴尔电脑
DRAM	1 次蜂鸣	连续音调	-	2 次短音
CPU	5 次蜂鸣	重复的低音和高音	1 长音，1 短音	7 次蜂鸣
键盘	6 次蜂鸣	1 短音，2 短音，2 短音，1 短音	3 次长音	-
CMOS	10 次蜂鸣	1 长音，4 短音	2 次短音	1 次短音
显示器	8 次蜂鸣	1 长音，3 短音	1 长音，3 短音	6 次短音

每个厂商可能有完全不同的蜂鸣音调

更换故障组件

构成网络服务器硬件的组件分为两大类，每类都有自己的处理、安装程序和复杂性。下表展示了几种服务器组件的分类。

客户可更换单元（CRU）：这些是用户/客户能够移除和更换的组件。CRU 根据更换难度分为不同等级，例如 CRU 1 更换起来相对简单，而 CRU 3 则较为复杂。在某些系统中，CRU N 或 CRU X 表示用户不应尝试更换的组件。CRU 的例子包括显示器、键盘、电池以及所有外部设备。
现场可更换单元（FRU）：这些是仅限合格现场服务代表移除和更换的组件。FRU 的示例包括硬盘、主板、内部控制单元、风扇、背板和内存：

组件	CRU/FRU
CMOS 电池	FRU
DIMM 内存条	FRU
硬盘	CRU
内部电缆	CRU
内存卡	FRU
微处理器	FRU
电源单元	CRU
RAID 控制器	FRU
SSD 硬盘	CRU

服务器组件的 CRU/FRU 设计示例

预防性维护

不幸的是，计算机，尤其是服务器，并不是设定好就忘记它们的设备。它们需要持续的监控和管理。这些努力中的一个非常重要部分是组织一个预防性维护活动的计划，并严格遵守和记录。这些活动几乎适用于每个调度频率：每日、每周、每月、每季度、每年，甚至在这些之间。

预防性维护的主要目的是避免设备或组件故障，这会导致纠正性或恢复性维护。就像接种流感疫苗帮助预防感染流感一样，一个强有力的预防性维护（PM）计划可以避免未来出现严重问题。当然，PM 计划通常因系统、数据中心和网络的不同而有所不同，但有一份任务清单是任何 PM 计划都应该包括的。

以下表格列出了这些操作的示例：

频率	任务
每日	检查服务器错误和使用日志，识别潜在问题
每周

检查服务器的磁盘空间
清理打印机中的纸屑灰尘
检查适当的空气流通
确保杀毒软件是最新的
审核系统用户，确保遵守病毒防护政策
确认操作系统的补丁和关键修复程序已更新并安装
检查事件日志中的错误
检查系统资源，如硬盘、RAM 和 CPU，确保其可用性和性能

每月

检查笔记本电脑和移动设备的电池
监控并收集内存、CPU 和磁盘使用趋势的数据

每季度

清洁冷却系统和风扇上的灰尘
清洁键盘、鼠标和其他活动部件

每年

测试不间断电源
检查网络布线
审查预防性维护计划的有效性

服务器预防性维护示例计划

容错性和高可用性

用来描述能够抵抗故障的服务器系统的术语之一是硬化。虽然硬化通常与关闭未使用的端口和其他漏洞有关，但要实现真正硬化的系统，通常需要应用容错技术。

当一个组件发生故障时，它可能会影响另一个组件的功能，进而影响到另一个组件的功能。这种故障组件的连锁反应会导致级联故障，这是不利的。有几种方法可以使服务器具备容错能力（故障耐受性），意味着服务器能够承受组件故障并保持可用，从而实现高可用性。

集群

一台服务器通常是运行服务器软件的单个计算机，而服务器集群则由一组互动的服务器组成。服务器集群的主要目的是提高处理吞吐量和用户响应能力。一个服务器集群由两个或更多互联的服务器组成，在主服务器或负载均衡服务器/控制器的控制下，作为一个单一的单元运行。

服务器集群提供的主要好处如下：

可扩展性：在网络或用户需求超出现有集群能力的情况下，将额外的服务器加入集群以处理增加的负载相对容易。
可靠性：单台服务器既是单点故障源，有时也是瓶颈。服务器集群将处理负载分散到多个服务器上，这样即使集群中的单台服务器发生故障，也有可能继续正常运行。
可管理性：对单台服务器进行维护通常需要停机。然而，服务器集群能够保持操作的连续性，即使其中一个或多个集群设备正在接受维护。

然而，服务器集群也有一些缺点，包括以下几点：

基础设施：服务器集群需要更多的计算机和支持基础设施，这增加了维护系统的开销。
兼容性：并非所有设计为服务器的计算机都适合集群使用。集群是一种相对固定的结构，超出附加扩展性后就不太灵活。一些软件应用程序也不兼容集群。
成本：集群可能很昂贵，且其设计必须精心设置以确保高效运行，从而增加了管理和运维成本。

主动/主动与主动/被动集群

服务器集群的两种主要配置是主动/主动和主动/被动。这两种配置都是高可用性的策略。主动/主动服务器集群通常是负载均衡解决方案，它将两个或多个执行相同处理步骤的计算机互联。如下图所示，一个刀片服务器机箱包含几个活跃的服务器。负载均衡设备或服务器负责管理任务分配到服务器，从而优化网络的响应时间：

一个主动/主动服务器集群的示例

相比之下，如下图所示，主动/被动服务器集群配置也有两个或多个互联的服务器，并且可能有一个或多个主动服务器共享处理负载，以及一个或多个故障转移、备份或待命服务器，准备替换已失败的服务器或因维护而暂时停用的服务器：

一个主动/被动服务器集群的示例

负载均衡

如上所述，负载均衡是一种将传入网络流量分配到池、农场或集群中两个或更多服务器的功能。负载均衡可以通过特定的软件、硬件设备或专用计算机来执行。负载均衡服务器或设备使客户端/服务器应用程序或内容提供商能够通过将传入的服务请求分散到服务器组的可用容量上来平衡高流量。实际上，负载均衡器是一种路由器。路由器根据最佳路径将流量导向目的地，而负载均衡器则将流量导向具有适当软件或数据的服务器，或者像路由器一样，负载均衡器将流量导向最佳可用服务器。

负载均衡应用程序或设备的主要功能是将传入的客户端服务请求分配到服务器集群，以实现效率，通过仅将流量均衡到活动服务器来提供高可用性，并通过允许管理员根据需要向集群中添加或删除服务器来提供灵活性。

负载均衡器使用多种算法来确定传入消息应发送到集群或组中的哪台服务器进行处理。常用的负载均衡算法包括以下几种：

基于代理的自适应负载均衡：这是与加权算法一起使用的补充算法。集群中的每台服务器都有一个代理，与负载均衡器交互，实时更新其服务器的状态。负载均衡器利用这些数据来确定哪个服务器处理请求。
链式故障转移：处理组或集群中的服务器形成一个串行链。传入的消息首先到达链中的第一台服务器。如果该服务器无法处理该消息，则将其传递给下一台服务器进行处理。如果该服务器也无法处理该消息，则继续传递，直到有服务器能够处理它。
最少连接：圆形轮询算法在决定消息发送到哪里时，并不考虑服务器组的当前负载。然而，最少连接算法会查看每台服务器的负载，并将消息分配给活跃进程最少的服务器。
轮询：在一个活动/活动集群中，每个服务器都能平等地处理消息流量。尽管所有负载均衡器和每台服务器共享相同的域名，但每台服务器都会分配一个唯一的 IP 地址。该域名的主 DNS 服务器会将域名与集群中的每个 IP 地址关联。当请求该集群域名的 IP 地址时，将提供一个服务器 IP。每次 DNS 请求后，提供的 IP 地址会轮换。
软件定义网络（SDN）自适应：该负载均衡技术结合了来自表示层和传输层的网络数据，以及来自数据链路层和网络层的网络数据，以了解服务器及其活动应用的状态、网络本身的状态，以及是否存在网络拥塞或阻塞，从而做出负载均衡决策。
源 IP 哈希：该算法将客户端和服务器的源地址与目标地址转换并一起哈希，生成一个密钥，负载均衡器利用该密钥将消息转发到特定服务器。若处理过程被中断并重新启动，则可以重新计算哈希密钥。
加权最少连接：集群或组中的服务器根据其资源和能力接收一个加权值。具有更多资源的服务器会收到更高的值。该值与每个服务器的连接数结合起来，用于确定服务器的优先级。具有更多资源的服务器会承担更多负载。
加权响应时间：间歇性服务器响应时间检查根据服务器的响应时间为服务器设置排名。负载较重的服务器响应较慢，而负载较轻的服务器响应较快，导致响应时间最快的服务器接收更多的消息——至少直到响应时间检查重新进行。
加权轮询：除了基本的轮询算法外，每个服务器会收到一个权重因子。具有较高权重的服务器会接收更多的消息。

心跳

心跳机制，也称为心跳网络或心跳协议，是一种常见的集群服务器分发方法。集群中的每台服务器通过共享心跳消息与同步服务器（或同步）进行通信，表明其处于活动状态。

集群中的每个活动服务器定期向同步服务器发送心跳消息，指示其健康状态。同步服务器将这些心跳消息添加到先进先出（FIFO）推送堆栈的底部。FIFO 堆栈中的顶部条目会向负载均衡器或集群管理器指示哪个活动服务器将接收下一个消息请求。然而，如果某个服务器未在规定时间内提供心跳消息，系统会认为该服务器没有心跳，因此不可用。

热的与不热的

高可用性（HA）策略旨在保持服务器、网络或云服务持续运行并对用户和订阅者可用，无需关闭服务器即可更换故障或空闲的组件。HA 程序可以解决服务器可用性的多个方面，包括数据恢复、服务器故障切换、组件替换和灾难恢复。在 Server+考试中，你应该会看到一两个问题，涉及组件替换以及热插拔和非热插拔设备和程序之间的区别。

热交换

尽管热插拔被广泛使用，但它并不是热交换。通常，热插拔设备会通过即插即用与系统连接，但通常仍然需要另一个步骤才能完成安装。另一方面，热交换设备可以在运行中的计算机上安装并立即使用。

可能最常见的热插拔设备是通用串行总线（USB）闪存驱动器。虽然 USB 闪存驱动器通常不是网络服务器上的二级存储，但其他 USB、FireWire、Thunderbird 和 eSATA 设备，如外部存储设备、网络适配器和其他外设设备，通常是可热插拔的。通常被认为是内部设备的组件，如电源和硬盘驱动器，也可以是热插拔的。然而，并非所有电源和硬盘驱动器都是热插拔的，也并非所有计算机都支持热插拔。

非热交换

热插拔设备和非热插拔设备之间的主要区别在于，非热插拔设备的替换通常需要重启计算机。无论系统重启多么快速，在此过程中系统对用户是不可用的。这种设备替换方法称为温插拔。

另一种非热插拔设备替换方法是冷交换，这需要系统关闭（断电）。

服务水平协议（SLA）

服务水平协议（SLA）是服务提供商向服务订阅者提供的一种常见工具。信息系统 SLA 的基本要素如下：

各方：协议各方或其代理人的具体身份，列出其在协议下的权限和能力。
服务：协议特别涵盖的服务，按功能、程序、行动、时间和相关指标定义。
性能：对时间、容量、持续时间、可接受的性能、不可接受的性能、正常运行时间承诺、停机限制以及约定的指标和阈值的规范。
实施：如果所覆盖服务的实施有时间表，协议必须指定时间、任务、目标以及验收或完成标准。

SLA 中常见的其他领域如下：

计划停机时间：对任何约定的计划系统停机时间的划分，在此期间无法访问。
非计划停机：在系统遭遇非计划性、长期或灾难性停机时，服务订阅者有哪些权利，且服务提供商约定的恢复要求是什么？
客户通知：SLA 应详细说明服务提供商将使用何种方式通知订阅者系统状态的变更，并定义在计划停机事件中通知的时间要求。
平均修复/恢复时间（MTTR）：在非预期停机情况下，承诺的停机时长，可以是历史数据、估算值或行业数据。

摘要

变更管理程序确保必要的补丁、更新和变更遵循受控和一致的过程。服务器环境中的变更管理应遵循六个阶段——目的、范围、批准、测试、实施和审查。补丁管理是变更管理和控制的一部分。补丁管理应当是优先事项。固件更新通常是修复错误。

服务器监控器提供自动报告、定期设备检查、阈值警告和故障排除警告，涵盖 CPU 使用率、硬盘空间和利用率、磁盘 I/O、RAM 使用率和网络流量等内容。网络服务器的组件可以是 CRU 或 FRU。预防性维护可以避免设备或组件故障。

服务器集群的目的是通过两个或更多互联的服务器在主服务器或负载均衡服务器的控制下作为一个整体来提高处理能力和响应用户的能力。服务器集群的两种配置是主动/主动和主动/被动。主动/主动服务器集群是一种负载均衡解决方案，将两台或更多执行相同处理步骤的计算机连接在一起。主动/被动服务器集群包含互联的服务器和一个备用服务器，在服务器发生故障时替换它。

负载均衡将传入的网络流量分配到两个或更多的服务器上，以将传入的服务请求分布到服务器组的容量上。高可用性（HA）策略在更换故障组件时保持服务器对用户可用。热插拔设备可以在运行中的计算机上安装并立即使用。非热插拔设备需要重启计算机。

服务水平协议（SLA）是服务提供商提供给服务订阅者的常见工具。信息系统 SLA 的基本元素包括各方、服务、性能和实施。SLA 的其他典型内容包括计划停机、非计划停机、客户通知和 MTTR。

问题

以下哪项不是变更控制过程的阶段？
1. 批准
2. 即时应用
3. 实施
4. 目的
5. 范围
6. 测试
变更管理程序与补丁管理程序之间的一个区别如下：
1. 补丁管理应当是优先事项
2. 补丁应当使用与主要操作系统更新相同的变更管理过程
3. 补丁管理不需要测试
4. 软件补丁仅影响用户界面
什么类型的软件提供定期的设备检查，包括对预设阈值、硬盘利用率、磁盘 IOPS 和其他服务器系统健康指标的检查？
1. 资产管理系统
2. SNMP-MIBs
3. 服务器监控
4. 数据包嗅探器
IOPS 指标的重要性是什么？
1. 它是最大通道/总线带宽的估算值
2. 它代表了对二级存储设备上非连续存储位置进行的最大读写（输入/输出操作）次数
3. 它反映了 CPU 每秒执行的独立操作数量
4. 它衡量 CPU 每秒进行的 I/O 操作次数
如果 BIOS/UEFI 启动过程中检测到错误或潜在错误，它会发出代码来识别问题及其来源。这些可听见的信号通常被称为什么？
1. 错误指示灯
2. 故障报警
3. 蜂鸣代码
4. POST 警报
一种可以由服务器所有者的员工安装、配置或拆卸的服务器组件或外设被归类为哪种类型的设备？
1. 现场可更换单元（FRU）
2. 用户可更换单元（URU）
3. 远程可更换单元（RRU）
4. 客户可更换单元（CRU）
预防性维护程序的目标是：
1. 为了延长服务器组件的使用寿命
2. 为了避免组件故障
3. 为了保持服务器的正常运行时间承诺
4. 以上所有
通过将两台或更多服务器互联，作为单一设备进行操作，来提高处理过程的吞吐量和响应能力，这描述了哪种服务器配置？
1. 主动/主动
2. 主动/被动
3. 被动/被动
4. 热插拔
服务器集群配置中，如果需要，备用服务器或故障转移服务器可以替换故障服务器，这种配置是：
1. 主动/主动
2. 主动/被动
3. 被动/被动
4. 热插拔
在系统仍然运行并保持生产力的情况下，管理员可以更换的故障服务器设备或组件是：
1. 冷插拔
2. 温插拔
3. 热插拔
4. 恰到好处的交换

第九章：虚拟化

当某物是虚拟的时，它是存在的，但又不完全存在。虚拟计算机存在于一台实际的、可以触碰的物理计算机中。好吧，它其实并不完全“真实”，但它在一台计算机里？是的，你明白了！不过，为了确保我们彼此的理解，Merriam Webster 字典在计算机领域中对“虚拟”的定义是在计算机或计算机网络上存在或被模拟的。这个定义很好地描述了虚拟设备是如何产生的，以及它存在的地方。

虚拟化网络环境为组织提供了创建多个虚拟机（VMs）的能力，每个虚拟机运行不同的操作系统和应用程序。这使得组织能够通过扩展单台计算机的功能，最大化其 IT 资源的容量，从而为多个用户同时提供直接计算能力。

本章将介绍计算机网络环境中虚拟化的概念和应用。内容包括术语、拓扑、组件（虚拟与物理）、它们的配置和目的。了解了这些虚拟化环境的要素后，我们就能理解虚拟化网络的目的和运作方式。我们将讨论的具体内容如下：

虚拟环境
虚拟机管理程序和虚拟网络管理器
虚拟主机与虚拟客机
虚拟环境的硬件配置
虚拟网络中的资源分配

虚拟网络

网络中使用的虚拟化有三种类型，每种类型都有其特定的目的和操作：

虚拟私人网络（VPN）：通过使用隧道协议，在互联网上建立安全连接
虚拟局域网（VLAN）：在逻辑域中对网络节点进行分组
虚拟网络：不要与 VLAN 混淆，虚拟网络使用虚拟的、软件生成的组件，来扩展物理计算设备的能力

VPN 通过互联网建立一个虚拟化的直接连接，将远程设备与内部网络连接。VPN 的目的是提供与直接有线连接相同的保护和安全性。VLAN 则创建一个网络节点的逻辑安排，无论它们的位置如何，都能形成一个单一的域结构。VLAN 是一个网络的虚拟子集，属于碰撞域。不过，不要把 VLAN 和子网混淆。

虚拟网络组件

如下图所示，虚拟化网络环境的基本组成部分包括物理硬件、虚拟网络服务器和一个或多个虚拟机，每个虚拟机运行一个客操作系统，并支持在虚拟空间中运行的应用程序。

在任何虚拟环境下面都是必须支持你设想的虚拟化环境资源需求的物理基础设施。在讨论虚拟环境的组件时，请牢记物理硬件的重要性：

虚拟化环境的结构

虚拟设备

无论网络是物理的还是虚拟的，它都需要连接网络设备的功能，如交换机、路由器和网络接口。虚拟网络与物理网络的不同之处在于，许多甚至所有连接设备本身都是物理设备的虚拟化版本，并具有相同的功能。

在虚拟网络中，基本的虚拟设备包括虚拟服务器、虚拟机、虚拟网络接口、虚拟交换机和虚拟路由器。在物理网络中需要的任何物理组件在虚拟环境中都有对应的虚拟版本。

虚拟服务器

网络增长，添加节点、应用程序和范围。过去，管理网络增长意味着添加一个或多个物理服务器来处理现有服务器的额外需求。添加物理服务器在硬件获取、配置和停机时间方面可能会很昂贵。另一方面，添加虚拟服务器只需配置时间，实施成本大大降低，服务中断也少得多。

服务器虚拟化是将物理服务器分割成两个或更多虚拟服务器。服务器虚拟化隐藏了物理硬件，用户只能看到分配给正在使用的虚拟机的资源。服务器虚拟化主要有三种类型：

全虚拟化: 这种服务器虚拟化形式用专门的操作形式取代了物理服务器的操作系统，通过监管器或虚拟化管理器实现。虚拟化管理器充当虚拟服务器和虚拟机之间的中介，它们在其环境中运行并且互不感知，而物理计算机及其资源则在背后提供支持。全虚拟化系统的例子包括 Adeos、Mac-on-Linux、Parallel Desktop for Mac、VMware ESXi、VirtualBox、Win4BSD 以及快速仿真器（QEMU）或 Microsoft Hyper-V。
Para-virtualization: 在这种形式的服务器虚拟化中，一个虚拟化管理器（VMM）支持已经修改以在这个环境中运行的虚拟服务器。这种虚拟化方法允许两个或更多不同的操作系统共享一个物理计算机及其资源。这种虚拟化形式的一个主要例子是 Xen 项目虚拟化管理器。
操作系统级虚拟化：这种形式的服务器虚拟化创建了一个环境，其中多个处理空间，称为容器、区域、虚拟化引擎或监狱，是独立的处理空间，它们都在同一个操作系统上运行。代替虚拟机管理程序，本地操作系统为虚拟化环境提供支持。此类型的服务器虚拟化示例包括 Linux V-Server、FreeBSD Jail、AIX 工作负载分区和 Solaris 容器。

虚拟机管理程序（Hypervisor）

虚拟化的一个关键部分是虚拟机管理程序（Hypervisor），或虚拟机监控器（VMM），它是低级软件，允许多个虚拟机在单一物理计算机上运行。虚拟机管理程序有两种类型，以及一种将两者融合的混合类型。两种虚拟机管理程序类型如下：

类型 I：这些是裸机型、嵌入式或原生虚拟机管理程序。这种类型的虚拟机管理程序直接安装在物理硬件上，或者安装在计算机的裸金属上，如下图所示。
类型 II：这些是托管型虚拟机管理程序。如以下图所示，类型 II 虚拟机管理程序在主机计算机的操作系统上运行：

类型 I 虚拟机管理程序配置（左）和类型 II 虚拟机管理程序配置（右）

如前图所示，类型 I 和类型 II 虚拟机管理程序的主要区别在于，一个在没有底层主机操作系统的情况下运行（类型 I），而另一个则有（类型 II）。

尽管技术上不属于独立的虚拟机管理程序类别，但一些公司发现根据不同的工作负载配置不同的虚拟机管理程序能为他们提供更高效的计算解决方案。第三方软件可以管理多虚拟机管理程序环境，从而创建混合虚拟机管理程序部署。

主机和客户机

经常混淆或互换使用的三个虚拟化术语是虚拟机、主机和客户机。虚拟机和客户机是同一个概念的不同表达。每个术语指的是在主机计算机上由软件创建和管理的工作空间，它模拟一个虚拟计算机。术语主机可以指主机硬件，或指虚拟系统运行的计算机，或者在类型 II 环境中的主机操作系统。主机系统通常能够支持多个客户机系统。

虚拟机（VM）

虚拟机是一个完整的计算机系统，包括其设备、操作系统、应用软件等，它通过软件创建并在物理计算机上运行，可能与其他虚拟机一起运行。虚拟机能够像在物理计算机上运行一样运行程序或应用，尽管这些程序或应用在虚拟配置的计算机上运行：

主机系统上的虚拟机

虚拟机管理界面（VMMI），即 VM 控制面板，允许管理员在虚拟化环境中监控、创建、删除、暂停、启动和停止虚拟机。有些工具还提供了重新配置主机系统物理资源分配给一个或多个虚拟机的功能。主要的虚拟化系统开发商（Citrix、Microsoft 和 VMWare）都提供 VMMI 软件，作为其服务器虚拟化包的一部分。也有一些第三方和开源的 VMMI 软件包，兼容许多虚拟化系统，包括一些基于简单网络管理协议（SNMP）的系统。

虚拟环境的硬件配置

支持虚拟服务器、虚拟机或其他虚拟设备的硬件配置取决于每个网络环境，而每个网络环境又取决于每个独立的组织。主要的虚拟化软件提供商都有网站，用户可以通过这些网站确定最适合自己需求、硬件和计划的硬件配置。然而，虽然这些并不是标准，但仍然有一些通用的指南，用于配置计算机以支持虚拟环境。需要考虑的主要组件包括 CPU、内存、BIOS/UEFI 和物理网络容量。

和计算机中的其他内容一样，您所需的计算能力和内存实际上取决于您计划做什么。您的选择可能取决于能够定义您组织需求和近期需求的问题的答案。一些需要考虑的因素包括以下内容：

CPU：与主内存一起，需要一个或多个足够支持虚拟化系统大小和容量的处理器：
- 如果虚拟化网络中有多个物理计算机，您应确保每台计算机都使用相同的 CPU 平台（Intel 与 AMD）。虚拟机可以轻松地从一台物理计算机迁移到另一台，但前提是计算机必须使用相同的 CPU 平台。
- 仅选择那些为硬件虚拟化支持进行了优化并包含 Intel-VT 或 AMD-V 的处理器。
- 多核处理器可以提供额外的处理能力，尤其是在较大的虚拟化环境中。
内存：主机计算机上可以运行的虚拟机数量取决于主机上可用的内存量。内存是虚拟化环境中最限制性的资源。
BIOS/UEFI：在带有 AMD-V 的 AMD 处理器上，此功能会自动启用。然而，在 Intel 处理器上，Intel-VT 功能初始状态为禁用，必须通过 BIOS 或 UEFI 启用。
物理网络：无论虚拟化的软件定义网络（SDN）结构如何覆盖物理网络硬件，物理网络都承担网络流量的传输。物理网络需要足够的容量，以支持虚拟服务器和虚拟机产生的所有流量，就像它们直接作为物理网络的一部分一样。

虚拟资源分配

在虚拟化环境中，资源（如 CPU、内存和数据存储）会根据每个虚拟机的资源共享、预留和限制设置进行分配。虚拟数据中心管理资源池，并根据需要为每个虚拟机提供初始资源配额和按需资源，直到分配达到上限。资源池由主机计算机的物理资源组成，减去操作系统（如有）和虚拟化管理程序的资源需求。

当主机的物理资源无法满足其虚拟机的资源需求时，可能需要对资源进行分配或设定限制。管理员可以采取以下措施为一个或多个虚拟机分配资源：

为一台或多台虚拟机创建一个物理资源预留，资源来自主机计算机或服务器集群。
为虚拟机分配固定的物理资源共享
为虚拟机分配一个优先级，确保其获得更多的物理资源共享
设置虚拟机资源分配的上限

用于平衡物理系统资源分配和虚拟机使用的主要分配方法如下：

资源分配共享：共享表示虚拟机对特定资源的优先级或重要性。共享分为三个级别——高、正常或低，对应的共享数为：高共享为4，正常共享为2，低共享为1。管理员也可以设置自定义级别，并为虚拟机分配特定数量的共享，设定与其他虚拟机共享的比例。
资源分配预留：资源预留设置分配给虚拟机的物理资源的最小数量（以 MB 或 MHz 为单位）。如果预留的资源量不可用，虚拟机将以较低的共享开始，直到预留资源变得可用为止。
资源分配限制：分配限制设置了可以分配给虚拟机的物理资源的上限。虚拟服务器可以分配多个资源分配预留量，但在设置了分配限制后，不能超过该限制（以 MB、MHz 或 IOPS 为单位）。默认情况下，CPU、内存和数据存储的限制是无限制的。

网络连接

网络连接性和带宽是宿主资源，可能会分配给在其上运行的虚拟机。分配的数量可以预设，类似于前述资源，也可以根据特定传输的通信需求进行分配。

虚拟机上的网络连接可以有三种配置：

直接访问（桥接）：拥有分配 IP 地址的虚拟机可以直接访问外部网络。虚拟机能够通过宿主计算机的网络适配器与物理网络进行通信，并直接与网络节点交互。
网络地址转换（NAT）：在此配置中，虚拟机使用宿主计算机的 IP 地址与网络进行通信。如果虚拟机没有自己的 IP 地址，则此选项最为合适。
仅主机：此配置创建宿主计算机的网络适配器与虚拟机之间的连接。换句话说，虚拟网络适配器对宿主系统可见。在此配置下，虚拟机只能与宿主机及宿主机上运行的其他虚拟机进行通信。

虚拟互联设备

虚拟网络使用的互连设备与物理网络基本相同——网络接口控制器（NIC）、网络交换机和网络路由器。在虚拟网络中，这些设备（以及其他一些设备）是软件定义且虚拟的。它们分别是虚拟 NIC（vNICs）、虚拟交换机（vSwitches）和虚拟路由器（vRouters）。虚拟机通过其 vNIC 连接到虚拟网络，vNIC 在逻辑上连接到宿主机的物理 NIC（pNICs）。

在许多虚拟网络中，vNIC 连接到 vSwitch，vSwitch 又连接到 vRouter。这些虚拟连接设备的功能与它们的物理对应设备相似。然而，像所有虚拟设备一样，它们最终会与物理网络进行互连。

摘要

网络中使用了三种虚拟化，每种虚拟化都有其特定的目的和操作——VPN、VLAN 和虚拟网络。虚拟化网络环境的组成部分包括物理硬件、虚拟网络服务器和虚拟机。在虚拟网络中，设备包括虚拟服务器、虚拟机、虚拟网络接口、虚拟交换机和虚拟路由器。服务器虚拟化将物理服务器分割为虚拟服务器。服务器虚拟化有三种类型：完全虚拟化、半虚拟化和操作系统级虚拟化。

虚拟机监控程序是一个软件，可以使多个虚拟机在单个物理计算机上运行。虚拟机监控程序有两种类型——类型 I 或裸金属虚拟机监控程序和类型 II 或托管虚拟机监控程序。类型 I 和类型 II 虚拟机监控程序的区别在于，类型 I 在没有底层宿主操作系统的情况下运行，而类型 II 虚拟机监控程序是在宿主操作系统之上运行的。

虚拟机（VM）是一个由软件创建和管理的工作空间，在主机计算机上模拟一个虚拟计算机。主机可以指计算机的物理硬件，或在二级环境下的主机操作系统（Host OS）。主机系统通常支持多个客户机（虚拟）系统。虚拟机是一个完整的计算机系统，运行在主机计算机上，通常与其他虚拟机一起运行。

配置虚拟环境所需的硬件配置包括 CPU（支持硬件虚拟化）、内存、BIOS/UEFI 和物理网络。资源通过共享、预留和限制进行分配。网络连接和带宽是主机资源，可以分配为直接访问、NAT 和主机专用。

第十章：灾难恢复

尽管灾难恢复的过程涉及诸多内容，但希望它永远不需要被使用。灾难恢复程序的复杂性随着所涉及系统的规模、位置、多样性和应用而起伏波动。较小的系统环境仅通过定期备份系统即可保护自己免受灾难。而支持分布式系统、大型网络、虚拟化以及可能包括云服务的大型数据中心环境，在识别业务持续性所需元素及其恢复顺序时面临的任务更加复杂——更不用说具体的恢复时机和地点了。中型操作则介于这两者之间。

在本章中，我们将回顾灾难恢复与业务持续性规划与执行中涉及的定义、方法、产品和应用。我们将讨论以下主题：

业务持续性
恢复
备份与复制

恢复计划

完整的灾难恢复计划不仅仅是确定恢复硬件、加载数据并恢复在线这么简单。一个恢复计划至少应包含以下元素：

范围：识别所涵盖的事件、原因或情况
评估：用于确定损害程度并采取适当恢复行动的过程
阶段：适应损害的恢复行动所需的材料、设备、人员和应急准备
恢复：恢复、重新安装和恢复系统、应用程序和数据的详细步骤
重新评估：审查和评估恢复过程以及对计划进行调整和改进的计划

任何组织的灾难恢复规划中的首要目标是制定一个计划。该计划应具体，但也应现实，并仅涵盖该特定地点可能发生的灾难事件。例如，堪萨斯的一家公司可能不需要在其灾难恢复计划中包含火山喷发，而位于夏威夷的组织则可能不需要涵盖暴风雪。

灾难恢复计划（DRP）实际上可能是几个共享部分或全部阶段的计划。例如，关于飓风的灾难恢复计划部分可能会与暴雨或强风部分共享。无论是天气、战争还是更糟糕的事件，计划中的每一部分都必须具体说明用于从中恢复的流程。

恢复站点

灾难恢复的首要任务之一是选择恢复站点。对于一些组织来说，灾难恢复可能需要多个站点，这取决于损害的严重性或恢复计划的优先级。虽然存在一些重叠，但实际上有三个级别的恢复站点，每个站点都有其特定的需求和响应能力。恢复站点分为热站点、温站点或冷站点：

热站点：这种恢复站点本质上是一个生产系统及其环境的副本，在某些情况下甚至包括办公家具。热站点的目的是为破坏或瘫痪的计算环境提供故障切换的安全网。热站点的系统与生产系统并行运行，从而确保在切换过程中最小化停机时间。热站点的地点必须考虑可能导致其必要性的威胁。灾难事件可能需要将热站点设置在地理位置较远的地方。
温站点：这种恢复站点包含支持生产系统基本组件所需的设备和环境。然而，在开始处理之前，必须安装最新的数据和系统。当计算操作丧失不是紧急情况时（如行政系统），温站点是合适的选择。
冷站点：这种恢复站点本质上是一个配备必要环境和电力系统的办公空间，用于支持计算服务的恢复。显然，冷站点支持的恢复操作并不属于紧急情况。许多情况下，冷站点会成为临时操作中心，直到主要设施恢复或搬迁完成。

组织在灾难恢复计划中选择何种恢复站点的策略，取决于其业务连续性需求，这些需求又依赖于组织的使命、目标、产品和服务。

问题

以下哪项不是用于计算机网络中的虚拟化技术？
1. 虚拟私人网络
2. 虚拟现实
3. 虚拟局域网
4. 虚拟服务器
以下哪项不是服务器虚拟化的类型？
1. 半虚拟化
2. 完全虚拟化
3. 准虚拟化
4. 操作系统级虚拟化
以下哪项是促进创建和系统服务虚拟机的软件？
1. 内核
2. 设备驱动程序
3. 模拟器
4. 虚拟机监控器
裸金属虚拟机管理器是哪种以下选项？
1. 类型 I
2. 类型 II
3. 混合
4. UEFI
哪种类型的虚拟化运行在主机操作系统上？
1. 类型 I
2. 类型 II
3. 混合
4. UEFI
用于描述物理硬件、托管系统上的操作系统或两者的术语是哪个？
1. 虚拟
2. 客户机
3. 主机
4. 幽灵
以下哪项不是分配物理或虚拟硬件资源给虚拟机的方法？
1. 共享
2. 分配
3. 限制
4. 保留
直接访问、NAT 和仅主机是分配哪些资源的方法？（请选择所有适用项）
1. 网络连接
2. 双工
3. 带宽
4. 磁盘存储
如 Intel-VT 和 AMD-V 等技术使处理器在什么适应方面得到优化？
1. 远程通信
2. 聚类
3. 硬件虚拟化
4. 软件虚拟化
哪种硬件资源比任何其他资源更能影响主机计算机上可用的虚拟机数量？
1. 处理器
2. 硬盘驱动器
3. 内存
4. NIC

业务连续性计划（BCP）

灾难性事件很少提前提供警告。这就是为什么任何组织都应该有一个正式的书面计划，以便在灾难事件期间或之后继续其运营。拥有这样一个计划可以帮助组织保持生存并继续运营。BCP 概述了在干扰事件后重启或继续组织尽可能正常运营所需的目标、程序和逐步行动。BCP 与灾难恢复计划（DRP）不同。DRP 侧重于恢复计算基础设施及其相关服务。而 BCP，则包括 DRP，广泛地考虑了整个组织的恢复或连续性，包括其运营流程、设备、人员和库存。

下图说明了 BCP 的组成部分：

商业影响分析输入到 DRP 中，两者都成为 BCP 的一部分

网上有多个示例、模板和最佳实践可供准备 BCP，但没有一个公认的标准格式以及所需内容的列表。然而，无论形式如何，BCP 都侧重于使业务尽快恢复运行。在大多数情况下，BCP 开发的第一阶段是进行商业影响分析（BIA）。

BIA

BIA 密切审视一个组织，并预测任何极端事件对其运营的潜在财务影响。BIA 应该识别破坏性和毁灭性事件如何影响一个组织。BIA 识别不同事件和严重性等级可能影响的内容。以下表格展示了一个 BIA 示例（当然是虚构数据）：

事件	受影响的资产	操作损失	财务损失	恢复时间
服务器农场火灾/水灾	数据中心的所有资产	计算过程丧失	每天损失 1,000 美元	12 – 24 小时
3 级及以上飓风	建筑结构、窗玻璃、屋顶、标识	所有业务操作	每天损失 10,000 美元	1 – 2 周
电力中断	计算、电子元件、照明、暖通空调	所有业务操作	每小时损失 800 美元	0 – 12 小时

通常，BIA 项目涉及四个阶段：

收集：此阶段收集来自所有来源的信息，涉及脆弱性、威胁、损失和恢复
评估：此阶段评估收集到的信息，确定优先级、损失程度和对业务运营的重要性
记录：收集到的信息、分析过程及影响分析的结论的总结报告
展示：报告提交给高层管理和利益相关者

风险评估

制定业务连续性计划的另一个步骤是风险评估，这通常是 BIA（业务影响分析）的更详细版本。通过高层管理和受影响区域的利益相关者对 BIA 报告中的事件和结果的批准，风险评估成为该过程的下一步。在较小的组织中，BIA 可能包括风险评估所涉及的结果。然而，在较大的组织中，BIA 中的事件和威胁被扩展，以识别在每种情况下可能丧失的具体资产或服务。

正如其名称所示，风险评估的目的是预测在极端事件中，哪些资产（设备、人员、工具、库存等）可能面临损失或损害。根据风险评估的结果，可以制定减缓计划，以消除或减少任何已识别的漏洞的暴露。

运营连续性

几乎所有遭受某种形式灾难性损害并导致运营中断的组织，都会立即集中精力恢复其基础设施，使其能够恢复提供产品或服务。没有任何标准或一成不变的方法适用于任何组织来恢复运营。每个组织在其结构、运营程序和所需服务方面都是相对独特的，且这些因素影响着所需的功能级别。

无论是自然灾害还是人为灾害，灾后有效而高效的恢复都需要预先规划。在一次破坏性灾难的后果中，清晰的思维或理性的行动几乎不会存在。即使是一个稍微过时的计划，拥有一个计划总比没有计划要好得多。接下来的章节中，我们将讨论任何企业（是的，即使是那些只有一个人承担所有职能的企业）应该考虑制定的计划。

DRP

虽然一些可能导致计算资源损坏的灾难性事件可能发生，也可能不会发生，但另一些则可能发生。如果一个组织选择忽视可能发生的损害，那么他们就等于置身于风险之中，换句话说，就是自负其责。那么，什么样的损害会如此严重，以至于一个组织可能失去继续运营的能力呢？ 在一场暴雨中，屋顶漏水，水滴直接滴到一家企业唯一的计算机上，而该计算机正在运行且无人看管。最终，它的电源供应、主板和内部组件发生短路，实质上摧毁了企业的数据及其恢复能力。

另外，如果飓风彻底摧毁了一个大型都市医院的数据中心，数据和系统依然可以通过备份访问，包括物理备份和云备份，但恢复需要计算机硬件来提供医院运营的连续性。计算机系统的可用性和位置，如果有一个能够在短时间内支持医院系统的计算机系统，并且系统就在附近，定能解决医院的即时问题。

复制与备份

备份和复制是两种常用的数据完整性和恢复方法，常被互换使用。然而，它们实际上是非常不同的。数据的备份副本仅仅是副本而已。备份通常写入可移动存储介质，并存储在异地位置，可能是物理存储或云存储。复制也是一种数据复制过程。然而，复制的数据是为了在组织内部或订阅的云服务上存储数据副本而进行复制的。

备份通常是周期性创建的，比如每天、每周或更长时间间隔进行。复制通常是在线进行的，实时或接近实时。恢复备份可能需要一些时间，尤其是当备份需要从远程存储设施提取、从云端下载并恢复到系统时。而恢复复制数据则是立即可用的，所需的时间仅为传输时间。

作为灾难恢复计划的一部分，或作为数据完整性策略的核心，数据复制过程确保组织的电子数据中丢失一份备份或副本时，不意味着所有数据都丢失。

数据复制

数据复制有多个定义和目标，取决于其应用方式和目的。在一种用法中，数据复制指的是数据库的持续更新，使得数据库的两个或多个副本在不同地点可供处理。数据复制的目的是在分布式位置提供一致的处理，或保持数据在当前的热备份站点。

同步与异步

数据复制的两种主要类型是同步和异步。同步复制同时写入两个存储设备，这保证了实时分布式数据源或热备份。通常，同步过程是单向的，如下图所示。该图示显示了此过程中的以下步骤：

主机服务器写入主存储（硬盘驱动器（HDD）、网络附加存储（NAS）、存储区域网络（SAN））。
主存储写入辅助存储。
辅助存储向主存储设备确认已接收到记录。
主存储设备向主机服务器发送确认。同步复制系统中的存储设备可以分布在远程，但存储设备之间的距离可能会受到该距离所引入的延迟限制：

同步复制系统的过程步骤

异步复制是远程复制中更常用的方法，是灾难恢复策略的主要组成部分。当同步两个数据存储设备时，延迟是一个问题，异步复制通过缓冲磁盘存储数据操作来忽略延迟。通常，次级存储设备在主存储设备之后执行几个操作。在操作上，同步和异步复制的区别在于复制事件的顺序。

以下图示说明了异步复制的过程步骤。该图示显示了此过程中以下步骤：

主机服务器写入主存储设备
主存储设备确认该操作
主存储单元将记录写入次级存储设备
次级存储设备随后确认该操作：

异步复制系统的过程步骤

一种新兴的复制方法是近同步复制。近同步复制仅将数据更改复制到次级存储单元，通常延迟仅为几秒钟。由于近同步复制直接将每个数据更改写入冗余站点，主系统可以继续处理，而无需等待次级存储单元的确认。

复制方法

数据复制存在几种源到目标的变体，但主要方法如下：

磁盘到磁盘：这种复制方法将数据从一个存储设备复制到另一个存储设备。在某些方面，这种复制形式本质上可以视为一种备份策略，但两个存储设备之间的数据复制是实时或近实时的过程。
基于服务器：这种复制形式通常是高可用性或灾难恢复策略的组成部分。基于服务器的复制系统可以是以下任何一种：
- 服务器到自我：一个磁盘卷复制到同一服务器上的另一个卷。
- 集群到集群：一个磁盘集群在故障转移设置中替代另一个磁盘集群。
- 服务器到服务器：这种复制形式可以是同步或异步，如前所述。这种复制形式也被称为站点到站点复制。

数据备份

正如我们之前讨论的，数据备份是将一些或所有数据从二级存储复制到可移动介质，并安全存储在异地物理或逻辑位置。然而，实际上，有几种方法可以遵循，每一种方法都可以成为几乎任何组织备份策略的一部分。

存档位

备份软件和工具大多数使用文件的存档位来判断文件是否需要写入备份介质。当存档位设置为开启时，表示该文件应被归档，但并非所有备份方法都会在将文件复制到备份介质后将存档位设置为关闭。以下部分包含了每种备份方法如何处理存档位的信息。

备份方法

数据备份可以在不同的范围和频率下进行创建。你在 Server+考试中会遇到的备份方法如下：

完全备份 （正常备份）：此备份方法将存储在二级存储设备上的所有内容复制，并将其压缩后通常写入可移动介质，用于存储和归档目的。完全备份通常在预定时间间隔内自动进行，通常是每周、每月或财务报告期结束时。完全备份会关闭存档位。
复制备份：此备份方法用于创建存储在二级存储上的全部或部分数据的归档副本。复制备份只是数据的一个副本，不会以任何方式影响存档位。
增量备份：此备份方法仅复制自上次完全备份或增量备份以来已修改或创建的文件。这意味着只有那些被标记为开启存档位的文件会被捕捉。通常，增量备份会在完全备份之间每天进行。然而，要恢复系统，你需要恢复最后一次完全备份，以及自上次完全备份以来的每个增量备份。增量备份会将存档位重置为关闭。
差异备份：此备份方法复制自上次完全备份以来已修改或创建的文件。在完全备份之间的每个差异备份都捕捉了由开启存档位标记的数据变化积累。然而，差异备份不会重置存档位，直到下次完全备份为止。要恢复系统，仅需要恢复最后一次完全备份和最后一次差异备份。
快照：快照（镜像）是系统在特定时刻状态的捕捉。在服务器、磁盘阵列或虚拟机上，存储快照是一种变种备份，包含将数据恢复到恢复点（即快照拍摄时间）的所需信息。快照文件，如以下图中的快照后图像，不包含数据的副本。相反，它包含数据的位置及其组织结构：

这两张图片展示了数据文件系统快照的前后结构

选择性备份（部分备份）：这种备份方法要求管理员预先选择、列出或标记要在备份中捕获的文件、文件夹等。只有被列出或标记的文件和文件夹会被捕获到备份介质中。
裸机备份：尽管我们已经讨论过完全备份和其他存储备份方法，这种备份方法实际上会捕获系统上的所有内容，包括操作系统、存储的应用程序、系统软件和数据。其命名来源和目的为“裸机备份”，用于将整个系统加载到裸机计算机上。
开放文件备份：在进行系统备份时，理想情况下计算机上除了备份系统外不应有其他正在运行的任务。虽然这并非总是可能，但系统中应没有打开的文件。在某些情况下，两者都无法实现。有多种附加软件产品具备将开放文件捕获到备份介质的能力。几乎所有适用于 Windows 的软件产品都要求启用卷影复制服务（VSS）。一些 Linux 备份软件也可以捕获开放文件。

数据恢复与操作系统恢复

如果需要从备份介质恢复部分或全部系统，实际上有两种恢复过程——数据恢复和操作系统恢复。正如其名称所示，数据恢复会重新加载备份介质上的所有或部分数据，而操作系统恢复则会重新加载或重置操作系统及其设置到原始状态。

当辅助存储设备上的部分或全部数据遭到损坏、删除或泄露时，应该使用数据恢复程序来重新加载特定文件、整个卷或全部数据内容。操作系统恢复可以恢复被误删的功能或将系统软件重置到某个版本。

备份介质

几乎任何磁介质都可以作为备份存储介质，但大多数情况下，三种常见的介质类别如下：

线性访问：真正只有一种线性访问存储介质——磁带。线性访问指的是访问磁带总是从头到尾、顺序访问。磁带或线性磁带开放（LTO）可能是最常用的备份数据存储介质。当前标准 LTO-6 提供 2.5 TB 的数据存储，但通过更高的数据压缩，LTO-6 磁带卡带最多可容纳 6.25 TB。磁带是标准备份介质中成本最低的，也是最容易存储的。
随机访问：在许多情况下，归档数据和备份数据是两个不同的功能，尽管两者都创建数据和文件的副本。磁带备份更适合用于归档数据，归档数据需要较长时间的存储，并且通常是整体恢复。磁盘或固态硬盘（SSD）通常是外部外设，更适合用于备份那些可能需要在近期恢复的数据，特别是当只需要访问备份内容的一部分时。
可移动介质：除非设置了专门用于存储复制或备份数据的 NAS 或 SAN，否则用于存储数据的介质是一种可移动介质。磁带、外部硬盘、外部固态硬盘、光盘介质（CD-ROM、DVD、蓝光、一次写入，多次读取（WORM）等）和 USB 连接的闪存设备等都是可移动介质的形式，可以存储归档、备份或复制的数据。

媒体存储

无论使用何种类型的存储介质来备份系统，组织在选择备份介质存储位置时必须考虑两个计算因素：

恢复时间目标（RTO）：RTO 表示恢复失败系统所需的时间。如果在发生灾难性系统故障时需要恢复备份或复制数据，无论原因如何，归档介质的异地位置是一个重要考虑因素。如果该地点离恢复地点较远，则 RTO 需要更长。但是，如果存储地点靠近恢复地点，则可以实现较短的 RTO。
恢复点目标（RPO）：RPO 是通过数据恢复为失败系统重新建立的目标时间点，例如，如果灾难恢复要求 RPO 不超过事件发生前的两天。

在 RTO 和 RPO 指导下选择备份或复制介质的存储位置时，其他同样重要的问题如下：

访问：无论存储位置是物理的还是逻辑的，都必须在需要恢复系统时可访问。如果存储位置仅在白天开放，如果系统在夜间崩溃，可能会成为问题。云存储位置也需要考虑相同的因素，但谁有访问权限、如何访问以及可访问的内容应与灾难恢复计划（DRP）的需求一致。
安全性：在选择存储位置时，存储位置的安全性应该是一个主要考虑因素。物理存储位置必须具备与所存储数据的关键性相匹配的安全设备和程序。云存储服务应提供其物理和逻辑安全信息，包括在发生安全事件时的相关程序。
环境要求：存储站点可能是可访问并且安全的，但如果环境中有灰尘、极高或极低的温度，或者物理结构不安全或有危险，那么它很可能不是一个适合存储备份的好选择。站点（无论是物理的还是逻辑的）应具备足够的空调、空气过滤和监控设施，以防止存储介质及其磁性内容受到损坏。

备份介质完整性

备份介质单元需要两个操作来验证其完整性和可恢复性。第一个要素是身份。备份存储单元上的标签应包括以下内容：

存储在介质上的数据，应根据需要列得足够具体，以便恢复时定位特定数据。单元标签必须比日常备份更具描述性。
数据写入介质的日期、时间和具体时刻。如果涉及多个单元，应按照Unit n of x 单元格式，包括该集合的序列号。
创建备份或复制的人员身份。
任何其他与根据组织标准识别内容、安全性或保留相关的信息。

第二个验证和完整性程序应包括测试备份数据的完整性及其可恢复性的程序。许多数据备份或复制软件包包括计算并存储循环冗余校验（CRC）的能力，可以在稍后的日期进行验证，以测试介质上数据的完整性。此外，应定期在非生产系统或恢复站点系统上进行测试恢复。

备份介质保留

有几种备份数据存储介质的保留和轮换策略，大多数都基于数据的机密性或敏感性以及其 RTO/RPO 指标。然而，3-2-1 备份策略或许是大多数备份计划的基础。3-2-1 备份策略要求创建三份备份或复制数据。两份副本（例如一份在磁带上，另一份在云中）保存在本地，而一份或多份副本则保存在异地。

许多备份策略还包括一个轮换计划，在一定时间后回收备份介质。例如，周一创建的备份介质可能在三天后再次使用，或者也许是在两周后。轮换介质有助于降低成本和存储需求。

总结

一个组织应当拥有一份正式的书面计划，详细说明在干扰事件发生后，如何重新启动或继续运营。BCP（业务连续性计划）详细阐述了组织的流程、设备、人员、库存等的恢复或持续性。完善的 DRP（灾难恢复计划）不仅仅涉及恢复硬件、加载数据和重新上线。DRP 着重于计算基础设施及其相关服务的恢复，并应包括其范围说明、损害评估、各损害级别的分阶段计划、恢复程序及计划效果评审。DRP 的一个重要部分是指定恢复站点，这些站点分为热站点、温站点和冷站点。

BIA 通过识别不同事件和严重程度的影响，预测极端事件引发的运营中断的潜在影响。BIA 项目分为四个阶段：收集、评估、文档化和呈现。风险评估识别事件和威胁，以及每种情况下可能丧失的具体资产或服务。

备份被写入可移动媒体并存储在异地位置，可以是物理位置或云端。复制则是在分布式位置单独存储数据副本。备份是定期创建的，而复制则是主数据存储的在线、实时副本。数据复制可以是同步的或异步的。同步复制同时写入两个存储设备，异步复制则用于远程复制。同步复制存在延迟问题，而异步复制则没有。常见的复制方法包括磁盘到磁盘、基于服务器的复制、服务器到自我、集群到集群和服务器到服务器，而常见的数据备份方法包括全备份、复制备份、增量备份、差异备份和快照。常见的备份介质包括线性访问、随机访问和可移动媒体。

可以确定数据存储介质位置的计算公式是 RTO 和 RPO。备份介质需要验证其完整性和可恢复性。其标识标签应包括介质上的数据、备份的日期和时间，以及创建备份的人。大多数备份保留策略基于 3-2-1 策略。

问题

以下哪项详细说明了在干扰事件后恢复或继续运营的行动？
1. BIA
2. DRP
3. BCP
4. RPO
哪项计划详细说明了在灾难事件后恢复计算基础设施？
1. BIA
2. DRP
3. BCP
4. RPO
以下哪项不是灾难恢复站点的类型？
1. 冷
2. 温暖
3. 热
4. 实时
BIA 识别了在灾难事件发生时，服务中断的潜在影响。哪项研究识别了特定的威胁及其对特定资产的影响？
1. 业务影响评估
2. 灾难恢复计划
3. 风险评估
4. 恢复时间目标
数据备份和数据复制之间，哪一种选项能够存储实时或近实时的重复数据？
1. 数据备份
2. 数据复制
3. 两者
4. 既不
哪种复制方法可能会受到延迟的影响？
1. 同步
2. 异步
3. 近同步
4. 近异步
以下哪些是复制方法？（选择所有适用项）
1. 磁盘到磁盘
2. 集群到集群
3. 服务器到服务器
4. 以上所有
5. 以上都不是
哪种数据备份方法会在上次完整备份后重置已开启的存档位？
1. 完整备份
2. 增量备份
3. 快照
4. 差异备份
5. 复制
以下哪项不是数据备份介质的类别？
1. 顺序访问
2. 随机访问
3. 分层访问
4. 可移动介质
何为灾难恢复计划的预期完成时间的度量标准？
1. 3-2-1
2. 恢复时间目标（RTO）
3. 恢复点目标（RPO）
4. R2D2

第三部分：安全

本书的这一部分探讨了可应用于保护服务器及其网络的基本安全技术、方法和程序。

以下章节包括在本节中：

第十一章，安全系统和协议
第十二章，物理安全和环境控制
第十三章，逻辑安全

第十一章：安全系统与协议

本书的这一部分涵盖了在 Server+认证考试中可能遇到的物理和逻辑安全概念、程序和设备。保护网络服务器及其直接和远程连接所需的安全性涉及到专门用于安全的系统；安全协议、安全设备，以及用于物理保护数据和设备的实践；当然，还有用于保护数据的各种数据保护技术，如加密，这些技术用于保护使用中的数据、存储中的数据和传输中的数据。

服务器的任何部分或配置都没有比安全性更重要。任何安全设置、配置或程序都必须防止外部和内部的入侵、数据破坏以及由恶意软件引起的损坏。任何计算机网络安全程序的目标都是 CIA 三位一体，包括机密性、完整性和可用性。

在本章中，我们将探讨可以组合起来创建安全系统的设备、软件、方法和协议，以保护网络服务器及其数据和主要系统。以下主题将会涵盖：

安全区域
认证协议
端口安全

安全区域

网关安全设备，如防火墙，定义安全区域以应用安全策略到进出网络流量。换句话说，安全区域是由一个或多个设备端口/接口创建的逻辑结构，这些端口/接口应用相同的安全策略。一个安全区域可以只有一个接口，或者如果接口应用相同的策略，可以包括多个接口。每个接口也可以是一个安全区域，一个安全区域也可以包括两个或更多接口。然而，一个接口只能属于一个安全区域。

防火墙区域

许多防火墙（硬件或软件）预定义了一组安全区域，以便于初始配置。大多数安装需要额外的安全区域，但对于某些情况，预设的仅一个安全区域可能就足够了。最常见的预定义安全区域包括以下内容：

安全区域	描述
LAN	最高级别的信任；包括 VLAN
VPN/SSLVPN	最高外部信任级别；加密的 VPN 流量
Multicast	IP 组播
DMZ/public	公开访问的服务器
WAN	连接到 WAN；影响进出流量
Untrusted	最低级别的信任

前表中列出的安全区域可以是私有安全区域或公有安全区域。前两个区域（LAN 和 VPN）是私有安全区域，其余的区域是公有区域。

安全区域的配置应用了两个主要策略：

安全策略：这些是基于源地址、目标地址、协议、端口号和内容来控制是否允许进出流量的规则。
访问控制策略：这些策略定义了谁或什么可以获得穿越防火墙访问资源的权限。

非军事区（DMZ）

DMZ 或外围网络可以是物理的或逻辑的网络段或子网，用作外部 WAN 流量的默认着陆空间，这些流量试图从组织的网站获取组织信息，该网站对不受信任的 WAN 安全区域开放。

浏览器区域

在本地网络以及各个工作站上，可以通过网页浏览器设置安全策略。例如，微软的 Internet Explorer (IE) 浏览器提供了设置，以限制对一个或多个预定义安全区域的访问，如下图所示：

在 IE 中定义的安全区域

如前所示的截图所示，IE 定义了四个安全区域——互联网、局域网、受信任站点和受限站点。每个区域可以应用安全级别，以控制访问和从每个区域内的源或网络下载内容的级别和类型。

安全设备

防火墙和其他执行入侵检测和防御的设备是关键的安全设备。此外，这些设备可以是硬件设备，也可以是独立的软件或附加软件。此外，防火墙还可以是 基于主机的 或 基于网络的。它们各有优势，但应用场景大不相同：

基于主机的：这种类型的防火墙或安全设备最常见，无论是软件还是硬件，通常位于连接网络的主机上。主机可以是网络节点或服务器，包括代理服务器，允许或拒绝进出消息流量。基于主机的设备更适用于小型网络的定制需求。
基于网络的：这就是大多数人设想的防火墙或入侵安全设备：一种允许或拒绝入站流量的安全过滤设备。网络防火墙、入侵检测系统或入侵防御系统就是基于网络的安全设备的例子。基于网络的设备由于能够提供广泛系统的保护，因此更适合于全网范围的保护。

防火墙，无论其在网络中的位置如何，本质上只是防火墙。然而，入侵检测和防御系统通常会在其设备名称中包含其在网络中的位置。基于主机的入侵检测系统是 HIDS，而基于网络的入侵检测系统是 NIDS。

认证协议

AAA 程序的第一部分是认证（后面是授权和审计），其目的是验证试图访问的用户是否提供了可验证的凭证或生物识别信息，以证明他们就是自己声称的身份。换句话说，如果提供的密码和用户名在有效身份数据的列表中，那么一切正常。

这可能不是在所有情况下最复杂的安全级别，但它是最常用的用户身份验证方法。许多使用类似方法的协议都进行身份验证。在接下来的部分中，我们将探讨最常用的身份验证协议。

身份验证方法

身份验证使用用户提供的输入数据或图像，以验证数据或图像是否与为该特定用户预先存储的数据或图像匹配。最常见的这些输入值包括以下几种：

密码：这是最常见的身份验证输入形式，通常与用户名、单词、短语、令牌、卡片或其他身份标识信息结合使用，以验证提供数据的人员是否为已认证用户。
一次性密码：顾名思义，一次性密码只使用一次。一次性密码可以是挑战-响应密码，也可以是来自预定义密码列表的密码。挑战-响应密码生成一个值，用户根据此值计算出响应值或在表格中查找响应。密码列表包含一次性输入进行身份验证的值。
公钥：使用一对密钥，一个是私钥，一个是公钥，来加密、解密和验证为身份验证提供的数据。
零知识证明：用户会收到一个问题或数学难题，要求回答或解决，该问题或难题每次都是唯一的。验证码（CAPTCHA）身份验证方法就是这种类型的一个例子。

如前所述，身份验证协议验证用户提供的身份数据是否有效。更重要的是，这一过程是开放且可访问网络的第一道安全防线。身份验证协议可以分为两组——点对点协议（PPP）和 AAA。

以下部分描述了最常用的身份验证协议，顺序不分先后。

点对点身份验证协议

这一类别的身份验证协议是识别请求访问系统或网络的用户的常见方式。客户端与身份验证服务器直接通信，并输入身份短语、单词或值以及密码。如果服务器能够验证这些信息，用户便能获得访问权限。此类别中包含的身份验证协议如下：

密码身份验证协议（PAP）：这是一种遗留协议，执行最基本的身份验证步骤——用户的用户名和密码发送到身份验证服务器。如果服务器在其密码表中找到这些值，则会返回一个接受（允许进入）消息。由于客户端和服务器之间的传输是明文的，因此 PAP 并不是一个安全的选择。
挑战握手认证协议（CHAP）：在接收到连接信号后，CHAP 服务器（认证方）会将其主机名和一个随机生成的数据字符串（挑战）发送给请求的客户端。客户端然后使用该挑战值确定相应的密钥值。服务器接收到一组数据，包括密钥值、原始挑战值——这两者都经过单向哈希加密——以及客户端的主机名。服务器重复客户端执行的过程。如果结果与客户端提供的相同，客户端便获得访问权限。此外，CHAP 握手过程可能会定期重复，以重新建立安全连接。
可扩展认证协议（EAP）：EAP 是一种通用协议，可与不同的认证方法结合使用，包括 Kerberos、一次性密码、数字证书、智能卡、公钥基础设施（PKI）等。EAP 的各个版本支持有线和无线局域网。EAP 与其他认证协议的区别在于，EAP 本质上作为客户端和认证服务器（如 RADIUS）之间的中间件。EAP 的不同版本包括 EAP-TLS、EAP-FAST、PEAP 和 LEAP。

AAA 认证协议

三重-A（AAA） 协议提供了强制执行、管理和监控用户访问系统或网络的机制。认证强制执行谁有访问权限。授权规定用户可以执行的操作，而记账则跟踪每个已认证和授权用户的操作。最常见的 AAA 协议包括以下内容：

Kerberos：虽然它远不如其名字来源——守护冥界之门的三头犬 Cerberus 那样凶猛，但 Kerberos 仍然是一种安全的认证协议。Kerberos 使用一种称为票证的加密身份验证证明，用于识别用户或本地网络节点。Kerberos 用于在多个系统上进行用户认证，而不仅仅是单一系统。
轻量级目录访问协议（LDAP）：LDAP 是一种用于目录服务的开放标准，在存储和验证用户账户的认证过程中非常常见。LDAP 维护一个用户凭据的数据库（目录树）。用户在尝试登录系统或网络时输入其凭据，LDAP 会在其目录树中进行搜索。如果 LDAP 找到该凭据，用户便可以访问。
远程认证拨号用户服务（RADIUS）：该认证协议提供集中式的网络访问控制，尽管在大多数情况下并不是通过拨号服务来实现。当用户尝试登录系统时，其凭据会通过访问请求消息发送到 RADIUS 服务器。根据用户凭据的有效性，RADIUS 服务器会响应 Access-Accept、Access-Reject 或 Access-Challenge 消息。
终端访问控制器访问控制系统 (TACACS)：这是另一种传统的 AAA 协议，类似于 RADIUS，将用户凭据转发给认证服务器进行验证，并授权访问系统或网络。更新版本的扩展 TACACS（XTACACS）包括了授权和计费功能。请注意，TACACS 与 TACACS+是完全不同的协议，不应混淆。
TACACS+：这是由 Cisco 系统开发的 TACACS 版本，能够在将数据包转发到认证服务器之前对其进行完全加密。TACACS+通过 TCP 传输，而 TACACS/XTACACS 则使用 UDP。

安全套接字层（SSL）/传输层安全（TLS）

SSL 和 TLS（SSL 的更新版本）用于保护 TCP 通信，尤其是 HTTP 消息。

下图展示了客户端和服务器之间使用 SSL/TLS 协议进行握手的过程：

SSL/TLS 握手过程的步骤

让我们逐步了解这个握手过程：

步骤 A：客户端向目标服务器发送Hello消息。此消息包括客户端所使用的 SSL 或 TLS 版本、客户端对加密算法（密码套件）的偏好、压缩方法以及用于计算的随机字符串值。
步骤 B：如果一切顺利，服务器将用Hello消息作出回应，该消息包含服务器从客户端列表中选择的密码套件、会话 ID 和服务器自己的随机字符串值。然后，服务器将向客户端提供数字证书。服务器可能会要求客户端提供证书。
步骤 C：客户端验证服务器的证书。如果验证通过，客户端将用服务器的公钥加密随机字符串值并发送给服务器。此值将用于生成随后的消息加密密钥。
步骤 D：在交换加密的finished消息以标志握手创建结束后，客户端和服务器开始传输通过共享密钥加密的数据和消息。

网络协议安全（IPSec）

IPSec 定义了一系列标准，用于加密和传输 OSI 网络层数据包的完整性，这些数据包通过传输层协议传输。IPSec 使用隧道协议来安全地传输数据，并防止数据在传输过程中被破坏。

安全策略定义了网络的安全要求，并定义了 IPSec 功能。每个安全策略定义了一个过滤器。这些过滤器与源 IP 地址、目标 IP 地址、传输层端口号或数据包的封装协议相关。当数据包中的数据与过滤器匹配时，过滤器的动作就会生效。

IPSec 策略

IPSec 策略包含规则和筛选器，这些规则和筛选器定义了保护传输网络流量的内容、时间和方式。规则和筛选器涉及特定类型的网络流量，并且要求一定的安全级别。

IPSec 系统的功能和操作是通过它被配置遵循的规则来设置的。Windows 操作系统包含一组示例安全规则，但这些规则严格来说只是示例。它们实际上并没有提供太多的实际安全性。IPSec 规则特别定义了其适用的域，并指明它是处于传输模式还是隧道模式（稍后详细讲解）。

以下截图显示了用于定义新安全规则的对话框：

在 Windows 操作系统上定义新的 IPSec 策略规则

IPSec 策略规则可以由一个或多个筛选器组成（之所以称为筛选器，是因为它们实际上执行数据包筛选）。每个筛选器可能包含以下信息：

筛选器列表：这是一个列出要应用筛选器操作的传入或传出的网络消息的列表。
筛选器操作：筛选器可以对消息应用三种基本功能——允许、阻止或协商安全。允许和阻止操作应该不言自明。协商安全筛选器操作应用 IKE 来确定安全模式（认证头（AH）或封装安全有效载荷（ESP））、加密方法以及其他会话安全数据。
筛选认证方法：Kerberos、CA 证书或预共享安全密钥在安全协商中对每个端点进行认证。
隧道端点：如果此值存在，则有两个目的：指示正在使用隧道协议，并提供其中一个隧道端点的 IP 地址。隧道模式使用两个筛选器，一个用于隧道的每一端（及方向）。
连接类型：这是指示筛选器应用于哪种连接类型的指示符，可能是局域网、远程连接（VPN）或两者。
默认响应规则：如果 IPSec 会话中的一个端点没有定义安全规则，默认响应规则将提供缺失的筛选器。

筛选器操作在筛选器列表（以及可能的其他规则）匹配数据包中的相应数据时应用，如 IP 地址、端口号和协议。

IPSec 模式

IPSec 可以在两种主要模式下运行——传输模式或隧道模式。在传输模式下，这是 IPSec 的默认模式，消息安全性是在网络客户端和网络服务器之间通过两种方法——有效载荷加密或安全通信来实现的。IPSec 可以使用以下模式中的任意一种配置：

AH 传输模式：顾名思义，AH 模式会在每个数据包中插入一个头部，其中包含一个键控哈希总值以确保数据包的完整性。AH 模式默认不加密数据包，但本地管理可提供自定义数据检查和加密规则。
ESP 传输模式：ESP 模式本质上包括 AH 模式的消息操作，并且仅加密消息中的有效负载（数据）部分：

AH 和 ESP 消息格式的比较

上图显示了 IPSec 传输模式的数据包格式。正如我们所看到的，主要区别在于 ESP 会加密原始消息，并向数据包中添加附加信息以进行身份验证和完整性检查。

每种传输模式都有一个相关的隧道模式。在任一格式中，IPSec 在将消息格式化为 AH 或 ESP 传输模式的数据包后，对整个消息进行加密。加密消息封装后，添加一个包含源端点和目的端点 IP 地址的 IP 头部。

如下图所示，AH 隧道模式将 AH 头部放置在原始数据包内容之前。加密此头部和数据包内容后，AH 会添加一个包含相关 IP 地址的 IP 头部：

AH 协议传输和隧道模式消息格式

IPSec 的另一种操作模式是互联网密钥交换（IKE），它可以监督 IPSec 交互中每一方的身份验证、安全策略和规则的应用以及密钥交换活动。

端口安全

许多交换机和路由器在出厂时默认启用所有接口。如我们所讨论的，强化安全——即关闭未使用的端口——通过关闭可能的入口点来帮助保护网络。为确保网络设备的安全，尤其是路由器和交换机，采用了多种方法、标准和手段，其中大多数是基于端口的网络访问控制（PNAC）方法。

基于端口的安全

一般来说，基于端口的安全通过限制可转发数据包或帧到一个或多个端口的设备数量或特定设备来保护交换机的接口（端口）。端口安全有两种方法：

动态锁定：设置设备可学习的最大 MAC 地址数量。达到限制后，设备将忽略任何额外的未知 MAC 地址以及来自这些设备的任何消息。
静态锁定：设备仅转发手动配置的静态地址列表中包含的 MAC 地址。

IEEE 802.1x

也称为dot1x，IEEE 802.1x 定义了一个 PNAC 标准，在允许访问设备接口端口之前执行认证过程。IEEE 802.1X 提供了在 IEEE 802 网络中，无论是有线还是无线的认证和加密密钥管理。802.1x 基于 EAP，并通过局域网 EAP（EAPoL）和无线 EAP（EAPoW）协议应用。

在下图中，802.1x 认证过程中，无线工作站和局域网工作站上的客户端软件是请求者，无线 AP 和局域网交换机作为认证设备，认证服务器就是认证服务器：

IEEE 802.1x 认证过程的流程

IEEE 802.1x 认证过程如下：

局域网工作站（无线或有线）上的客户端软件（请求者）向接入点（AP）或交换机上的接口端口发送一个 EAPoL 启动包。
无线接入点（AP）或交换机（认证设备）回复一个 EAPoL 身份请求。
请求者返回其身份，通常是一个用户名或身份码。
认证设备将请求者的信息转发给认证服务器（通常为 RADIUS 或 DIAMETER 服务器）。
认证服务器在验证请求者身份后，将其首选的认证方式发送给认证设备，认证设备再将其转发给请求者。本标准支持的认证方法包括隧道传输层安全（TTLS）、传输层安全（TLS）、信息摘要版本 5（MD5）、受保护的 EAP（PEAP）等。
请求者通过认证设备向认证服务器回复其访问凭据，如用户名和密码或数字证书。
认证服务器验证请求者提供的信息，并决定是否允许访问。

访问控制列表（ACL）

ACL 是由互联设备，特别是路由器、防火墙和交换机应用的过滤器，用于识别并允许或拒绝对内部网络的访问，控制进入的消息流量。大多数情况下，ACL 与设备上的接口端口相关联，并假设进入该接口的消息流量可以通过源、目的地、协议或端口号来定义。

路由器 ACL

Server+认证考试的目标指出，路由器 ACL 是考试中会遇到的内容。路由器上的 ACL 执行与我们在上一节描述的相同基本功能。然而，路由器 ACL 提供特定或针对性的访问权限，以允许或拒绝过滤。路由器 ACL 的一个非常常见的应用是作为入站 DMZ 的一部分，如下图所示：

ACL 可以作为 DMZ 设置中的控制机制

一台配置了一个或多个严格 ACL 的路由器，在许多方面可以首先充当防火墙，其次才是路由器。基于其 ACL 中的过滤器，防火墙/路由器可以处理任何带有未知或被阻止数据的传入消息。

网络 DMZ 并不一定是拒绝消息的死胡同。常见的做法是将未知来源地址和特定协议路由到 DMZ。它可能包括 Web 服务器、远程访问服务器等。

访问列表内容

通常，不同路由器供应商的 ACL 可能具有不同的功能或控制，但几乎所有路由器都支持以下 ACL 特性：

ACL 标识：在不同的路由器中，ACL 的身份可以是一个名称、一个字母数字字符组合或一个数字，这些值可能具有一定的意义。
访问控制条目（ACE）：ACL 可能包含一个或多个 ACE，每个 ACE 标识一组特定条件，用于判断传入（或可能是传出的）消息的内容是否允许通过、拒绝或重定向。
源地址和目标地址：ACL 和 ACE 通过消息的源 IP 地址或目标 IP 地址来决定允许（Permit）或拒绝（Deny）。ACL 将消息的地址与 ACE 中定义的地址进行比较，这些地址可能是一个地址范围。

以下图示说明了网络结构中不同部分如何对不同类型的消息、发起者、目的地和协议施加限制：

在网络基础设施中应用的 ACL

ACL 类型

与其他不同供应商的路由器功能一样，ACL 的类型或类别也可能有所不同。然而，最常见的 ACL 类型通常是标准或扩展型。

标准 ACL

标准 ACL 仅使用其源（发起）地址过滤消息。标准 ACL 可能是最简单的使用和创建方式，但其简单性也限制了它的有效性。标准 ACL 中的 ACE 仅包含以下内容：

访问控制列表编号：标准 ACL 必须有一个编号范围在 1 至 99（含）或 1,300 至 1,999（含）之间。这些编号范围将其标识为标准 ACL。
源 IP 地址：这是与传入消息的源 IP 地址进行比较的特定 IP 地址或地址范围。如果匹配，则会执行相应的允许或拒绝操作。
通配符掩码：ACL 条目可能包括一个通配符掩码，其使用方式类似于子网掩码。稍后在 通配符掩码 部分会详细介绍。
允许或拒绝：这是当源 IP 地址与地址或地址范围进行比较时，如果条件成立，将采取的操作。

扩展 ACL

扩展 ACL 提供了通过源和目标地址，甚至 TCP/UDP 端口号来过滤消息流量的能力。换句话说，它扩展了标准 ACL 的功能。扩展 ACL 中的 ACE 可以包含以下任何内容：

访问控制列表编号：扩展 ACL 必须具有 100 到 199（包括）或 2,000 到 2,699（包括）的 ACL 编号。这些编号范围标识其为扩展 ACL。
允许或拒绝：如果消息内容与 ACE 内容的比较结果为真，则执行此操作。
协议：这些协议包括互联网协议（IP）、传输控制协议（TCP）、用户数据报协议（UDP）、互联网控制消息协议（ICMP）、通用路由封装协议（GRE）和互联网网关路由协议（IGRP）。
源 IP 地址：这是消息发起的公有 IP 地址。
源地址掩码：这是与源 IP 地址的网络或子网相关的子网掩码。
操作员源端口：这表示涉及端口号的比较测试的条件，包含条件操作符和端口号。条件操作符可以是小于（lt）、大于（gt）、等于（eq）或不等于（neg），并包含 TCP/UDP 端口号。
目标 IP 地址：这是接收消息的公有 IP 地址。
目标地址掩码：这是与目标 IP 地址的网络或子网相关的子网掩码。
操作员目标端口：与操作员源端口相同。

其他 ACL 类型

除了标准和扩展 ACL 外，某些路由器还实现了另外两种 ACL 类型：

以太网类型：这允许或拒绝第 2 层（以太网）帧。
Web 类型：有两种不同的 Web 类型 ACL——基于 URL 的 ACL 过滤特定协议和 URL 组合；基于 TCP 的 ACL 过滤允许或拒绝特定 IP 地址和 TCP 端口号。
反射型：这种 ACL 类型，即 IP 会话，为响应出站消息创建一个允许的入站 ACL。
动态：这种类型的 ACL，即锁和钥匙，允许用户访问特定的源或目标 IP 地址。

此外，ACL 还可以分为两种一般类型：

任意 ACL (DACL)：这种类型的 ACL 特别指定了具有权限访问资源的 IP 地址、用户或组账户、端口号和协议。
系统 ACL (SACL)：这种类型的 ACL 控制路由器功能，生成日志或审计条目，并详细记录访问资源的尝试。

作为 ACL 编号系统的示例，思科公司使用如下表格中所示的编号方式：

协议	范围
标准 IP	1–99 和 1,300–1,999
扩展 IP	100–199 和 2,000–2,699
以太网类型码	200–299
AppleTalk	600–699
以太网地址	700–799
互联网络数据包交换 (IPX)	800–899

ACE 类型

正如我们已经讨论过的，ACL 由一个或多个 ACE 组成。每个 ACE 有三个基本目的之一，具体如下：

访问拒绝 ACE：DACL 中的一个条目，基于请求者的信息专门拒绝访问。
访问允许 ACE：DACL 中的一个条目，基于请求者的信息专门允许访问。
系统审计 ACE：SACL 中的一个条目，当请求者尝试访问资源时，会生成一个跟踪条目。

每个 ACE 的测试及其产生的动作是逐一进行的。几乎就像 ACL 中没有其他条目一样。每个 ACE 之间没有任何关系，除了它在 ACL 顺序中的位置外，前后没有任何关联。

ACL 中 ACE 的顺序至关重要。测试条件及其结果应当是逻辑的，并且不应相互矛盾。例如，如果一个 ACE 拒绝来自某个 IP 地址的所有消息，而在 ACL 后面的另一个 ACE 仅允许该地址的 ICMP 消息，那么拒绝 ACE 会使得允许 ACE 变得无效。在拒绝一切之后，就没有什么可以允许的了。我提到这一点不仅是为了强调顺序问题，还为了引出隐式和显式拒绝操作的目的。

隐式任何结果是默认发生的结果。显式任何结果是特定的。隐式是一个假设，显式是一个陈述事实。例如，如果一个导游有一份可以登上旅游巴士的参与者名单，那么不在名单上的人会被隐式拒绝登车。然而，竞争的旅游公司有一份绝对禁止某些人登车的名单。在这种情况下，出现在名单上的人会被显式拒绝参与。

几乎所有的路由器、防火墙、活动目录服务器和其他访问控制设备都会在 ACL 末尾自动包含一个隐式拒绝。这个隐式拒绝的作用是阻止所有不在 ACL 中的访问请求，也就是说，阻止那些已经通过了 ACL 中所有 ACE 的请求。作为 ACL 中最后一个条目的隐式拒绝表示，它拒绝所有已经到达这一点的请求。

显式拒绝可以出现在 ACL 中的任何位置，这取决于其具体性。对于特定的 IP 地址，显式拒绝应当排在任何一般的允许条目之前。ACL 末尾的显式拒绝通常是一个 deny any 条目，其功能与捕获所有隐式拒绝类似。

通配符掩码

也称为反向掩码，ACL 中的 IP 地址条目可以包含并应用通配符掩码，其作用与 Windows 世界中的通配符字符截然不同。实际上，ACL 通配符掩码的工作原理与子网掩码基本相反。

在子网掩码中，掩码过程仅提取出 IP 地址中包含 1 值的二进制位。然而，在 ACL 通配符掩码中，二进制零表示必须匹配的地址位置。换句话说，掩码中的零位意味着消息地址中的对应位必须匹配（以创建真实条件），而一位表示在地址中被忽略的位置。

例如，在标准 ACL 条目中，源 IP 地址及其通配符掩码会依次出现，格式为162.29.5.12 0.0.0.0。在此条目中，162.29.5.12是源 IP 地址，0.0.0.0是通配符掩码。通配符掩码中的零表示每个八位字节都包含零。否则，通配符掩码应为00000000.0000000.00000000.00000000。表示相同设置的另一种方式是将host2术语放在 IP 地址之前：host 162.29.5.12。

通配符掩码的更常见用法是在扩展 ACL 中，用于标识整个或主要子网。例如，如果 ACL 条目允许某个网络上的所有地址，通配符掩码中的一位表示允许的地址部分，零位则表示被忽略的地址部分。如果我们希望允许210.20.158.0网络上的所有节点，通配符掩码将是0.0.0.255。掩码中的255部分意味着无论第四个八位字节中的主机 ID 是什么，都允许它。

公钥基础设施（PKI）

从本质上讲，PKI 就像是你的一位亲密朋友将你介绍给他们的其他朋友。官方来说，PKI 是一套规则、指南和政策的集合，定义、颁发、管理、应用、存储和撤销数字证书，以及使用公共密钥加密。简单来说，PKI 是一种加密和安全方法，比起简单的方法（例如密码），它能为通信双方的身份和数据内容提供更高的安全性。

实际上，PKI 是其四个组成部分的协调互动，分别如下：

证书颁发机构（CA）：一个受信的组织，提供唯一的数字证书给订阅者，并管理用于数据加密的公共密钥和身份凭证，这些加密内容包括存储数据、网站和电子邮件
注册机构（RA）：一种网络服务，批准并转发身份验证（数字证书）的请求，以及颁发证书的证书颁发机构
证书请求数据库：存储数字证书的请求
证书存储：存储数字证书

PKI 功能

PKI 描述以下过程和程序，以提供安全的基础设施：

访问控制：通过使用公私钥对，PKI 确保只有被识别的各方才能访问文档
身份验证：PKI 通过数字证书提供身份验证
机密性：PKI 通过加密保护传输文档，防止未经授权的访问
完整性：PKI 确保传输的数据通过消息哈希保持其完整性
不可否认性：文档的数字证书永久地标识其所有权

加密与认证

这些是提供数据加密和身份验证的安全协议，用于网络上传输的消息。它们的差异不大，但它们不可互操作。然而，由于 TLS 是 SSL 的替代品，您通常会看到它们被列为 SSL/TLS。

数字证书不依赖于特定的协议。启用的协议是系统或网络配置的属性，而不是正在使用的安全证书的属性。例如，SSL 数字证书不只要求 SSL 协议，而 TLS 数字证书也不只要求 TLS 协议。事实上，大多数情况下，证书颁发机构将这些证书称为 SSL/TLS 证书。

虚拟专用网络（VPN）

VPN 通过不安全的网络，主要是通过互联网，创建加密的端到端连接。VPN 在公司中很常见，供远程授权用户使用，例如远程分公司员工，以访问总部的应用程序和其他资源。

VPN 通过加密隧道协议在网络上连接两个位置。事实上，VPN 加密了私人网络和用于完成连接的公共网络的元素。用于 VPN 的三种主要协议类型如下：

IP 安全（IPSec）：一组保护通过网络传输的 IP 数据包的安全和加密协议，使用传输模式或隧道模式
点对点隧道协议（PPTP）：用于创建 VPN 的协议
第二层隧道协议（L2TP）：允许互联网服务提供商（ISP）向订阅者提供 VPN 的协议

虚拟局域网（VLAN）

VPN 允许在公共网络上建立安全连接，而 VLAN 是一个逻辑内部网络配置，可以为用户和管理员提供多个好处。VLAN 将一组网络节点组成一个逻辑网络。这是一个虚拟网络，因为包含的节点可能位于不同的物理网络上。

VLAN 可以是两种类型之一：

静态 VLAN：也称为基于端口的 VLAN，它由一个或多个已配置为 VLAN 的网络交换机接口端口组成。任何连接到已配置为静态 VLAN 的端口的设备，都会自动加入该 VLAN。
动态 VLAN：在动态 VLAN 中，节点的标识是通过其物理地址（MAC 地址）或网络用户名来实现的。VLAN 成员策略服务器（VMPS）提供属于动态 VLAN 的节点列表，并向相关网络交换机提供配置数据。

总结

安全区域是一种逻辑结构，由一个或多个接口组成，这些接口应用相同的安全策略。许多防火墙预定义了安全区域，最常见的包括 LAN、VPN、DMZ 和 WAN。安全区域应用安全策略和访问控制策略。

安全设备，如防火墙和入侵检测与预防设备，可以是硬件或软件。安全设备可以是基于主机的，也可以是基于网络的。基于主机的入侵检测系统是 HIDS，基于网络的系统是 NIDS。

身份验证协议验证用户提供的凭证是否有效，并作为开放网络的第一道安全防线。身份验证协议可以是 PPP 或 AAA。最常见的 AAA 协议包括 Kerberos 和 IPSec。IPSec 策略定义了特定类型的网络流量和安全级别的规则与过滤器。IPSec 可以在传输模式或隧道模式下运行，并在每种模式中使用 AH 或 ESP 模式。

基于端口的安全性有两种方法：动态锁定和静态锁定。IEEE 802.1x PNAC 在允许访问接口之前执行身份验证。802.1x 基于 EAP。

ACL 允许或拒绝通过传入消息访问网络。ACL 与接口关联，并适用于使用源和/或目标地址、协议或端口号的消息。路由器 ACL 包括 ACL ID、ACE 以及源和目标地址。标准 ACL 使用源地址过滤消息。扩展 ACL 使用源和目标地址以及 TCP/UDP 端口号过滤消息。两种常见类型是 DACL 和 SACL。

路由器和其他访问控制设备会在 ACL 的末尾自动包含隐式拒绝。显式拒绝可以出现在 ACL 的任何位置。

PKI 是一种加密和安全方法，保护消息或文档的源和接收者。PKI 有四个部分—CA、RA、证书请求数据库和证书存储。PKI 提供访问控制、身份验证、机密性、完整性和不可否认性。

VPN 通过隧道协议在互联网中创建加密的端到端连接。与 VPN 一起使用的协议有 IPSec、PPTP 和 L2TP。VLAN 是一种逻辑网络配置，可以是静态的或动态的。

问题

什么是具有相同安全策略的一个或多个接口的逻辑结构？
1. HIDS
2. NIDS
3. 控制区
4. 安全区域
以下哪两项是安全设备的分类？
1. 基于主机
2. 主机附加
3. 基于网络
4. 基于网络
验证用户凭证的协议执行 AAA 功能的哪一部分？
1. 授权
2. 计费
3. 身份验证
4. 关联
IPSec 协议中最常见的两种是 Kerberos 和哪种？
1. L2TP
2. EAP
3. IPSec
4. PNAC
以下哪种模式与 IPSec 相关？
1. AH
2. 传输
3. ESP
4. 隧道
5. 以上所有
6. 以上都不是
IEEE 802.1x 基于哪种协议标准？
1. IPSec
2. L2TP
3. EAP
4. DACL
基于端口的安全性有哪些两种方法？
1. 动态锁定
2. 静态锁定
3. 证书锁定
4. 接口锁定
以下哪项是标准 ACL 用来过滤消息的数据？
1. 源地址
2. 端口号
3. ACL 标识号
4. 协议
在 ACL 的末尾自动添加的、用于拒绝任何未被其他条目匹配的消息的 ACL 条目是什么？
1. 显式拒绝
2. 显式允许
3. 隐式拒绝
4. 隐式允许
以下哪项不是 PKI 模型的四个组成部分之一？
1. CA
2. RA
3. 证书存储
4. PPTP

第十二章：物理安全和环境控制

并非所有安装在、连接到或与计算机硬件和软件集成的网络和服务器安全设备和方法都能有效工作。任何基于服务器的系统、数据中心或设施的第一道防线是它的物理安全。物理安全的核心是保护计算资产的安全、功能、运作正常，并防止任何入侵者的进入。虽然我们将其视为一个单独的话题，但物理环境的环境系统和控制应当是组织安全政策的一部分。

本章将讨论保护计算系统的物理安全和环境控制。覆盖的主题如下：

多因素认证（MFA）
一般的物理安全概念
环境控制
物理安全问题

MFA

多年来，用户访问计算机、系统和网络的身份验证系统经历了从几乎没有身份验证到结合多个身份因素的演变。这一过程始于要求用户身份代码，然后是与用户名一起输入的秘密密码，如今已经发展到结合两种或更多的身份因素。这些层级的主要目的都是为了尽可能确定地验证寻求访问的用户身份。

密码

也许第一个密码，至少是第一个被记载下来的密码，是阿里巴巴用来打开宝藏的语音命令——芝麻开门。曾几何时，用户账户或身份代码用于标识谁在访问一个系统，通常是大型机或小型计算机。最终，由于同事之间共享且内容简单，这些代码不再能提供任何安全的访问控制。用户账户代码，也就是用户名，通常由每个有权限访问系统的用户的名字首字母和姓氏组成，例如rprice。这是一种标准做法，至今仍在使用。用户名在过去 50 年里几乎没有变化，它们提供的安全性也几乎没有，基本上是没有的。

你必须记住，早期应用系统的主要数据存储介质主要是可移动介质，如硬盘盘片、主轴包、磁带和软盘。阻止访问物理介质的物理安全是访问控制的重要组成部分。

随着应用系统的复杂化，数据存储逐渐转移到附加或内部的磁盘存储设备。这意味着安全性必须成为绝对必要的要求。保持数据的完整性和安全性需要更强的认证方法。登录过程添加一个秘密密码，有助于验证请求访问系统的用户是否真的是他或她所声称的那个人。基本假设是，如果用户知道密码，那么用户就是用户名所标识的人。

使用用户名仅仅是身份验证过程中的一步（即识别步骤）。将密码与用户名配对创建了一个数据包，作为单因素身份验证（SFA）值。如果输入的密码与系统安全文件中与用户名配对的值匹配，系统便会允许访问。

最终，使用组合的用户名和密码不再提供曾经的访问控制和安全性。密码破解工具、社交工程、恶意软件和其他不正当手段能够获取用户密码，从而访问用户的个人数据。这就是 MFA（多因素身份验证）出现的原因。

身份验证因素

MFA 结合两种或更多的身份验证因素来验证尝试登录系统或网络的用户（请求者）。MFA 过程涉及两个或更多因素的组合，来唯一识别请求者。到目前为止，MFA 能够处理五种身份验证因素的各种组合，分别是：

你知道的某些东西：这一类包括你已经记住并能在需要时回忆的各种数据、短语、数字或它们的组合。这可以是密码、PIN 码、问题的答案、乔治·华盛顿拥有的狗的数量（50）等等。尽管用户名和电子邮件地址是你知道的内容，它们是标识代码，我们正在尝试验证这些代码。
你拥有的某些东西：这一类的因素是包含信息的物理物品，确保持有者/用户确实是他们所声称的人。这可以是一个小型塑料令牌，比如 RSA SecurID，或是通过银行应用在手机上生成的数字，一个个人身份验证（PIV）智能卡或员工证，或者可能是一个 RFID 接近卡。
你是的某些东西：许多人将这一类与你拥有的或你是的类别混淆，但本质上这一类是生物特征识别。生物特征使用身体的一部分来唯一识别你。你的身体特征，包括指纹、手印、视网膜和虹膜扫描、声纹和面部扫描等，建立了一个与登录时对比的二进制编码模式。
你拥有的某些东西：这种类型的身份验证最常使用 IP 地址来识别用户请求的来源或位置。地理位置服务验证请求来源的地点是否与预设的用户位置一致。
你做的某些事：这一类包括触摸板和触摸屏的动作（手势），例如一个秘密手势。Windows 8 引入了一个名为图片密码的功能，允许用户录制手势用于身份验证。

仅使用一个因素，如密码，就是简单身份验证（SFA）。仅使用两个因素就是双因素认证（2FA）。如你所料，超过两个因素的认证就是多因素认证（MFA）。你需要了解的关于认证因素的一点是，使用的因素越多，你的数据就越安全。

一般物理安全概念

任何组织的物理安全必须定义与安全、保护和完成组织使命相关的事件、原因、行为者、防范、恢复、缓解及其他相关程序。

任何 IT 组织的物理安全计划都基于整体组织的安全政策和计划。IT 安全政策必须认识到物理安全对计算资产和功能的需求与目的。定义 IT 物理安全计划的政策应包括以下目标，以及根据组织性质可能存在的其他目标：

已经到位的物理保护措施，如消防安全、入侵预防、业务连续性和灾难恢复
对组织的威胁来源和类型
物理安全监控系统的组成部分
公用事业服务中断（如电力、天然气、水等）的影响及恢复
针对未经授权的入侵、破坏或计算资源盗窃所定义或实施的对策

物理安全计划通常有两个重点领域——威慑和检测。威慑程序、方法和设备旨在阻止或防止威胁转变为安全事件。检测当然涉及用于发现威胁或破坏物理安全措施的设备、程序和方法。

对物理安全的威胁

对任何组织物理安全的威胁可分为四大类——环境、人为、特定地点和技术。以下部分将列举这些类别中一些威胁的例子。

环境威胁

环境威胁是指天气、自然灾害、灾难性事件以及来自自然界的其他事件。它们包括以下内容：

灰尘：空气中的灰尘可能导致计算机中的电气问题，更不用说会阻塞主板和 CPU 的气流和冷却系统了。
地震：地震的损害威胁通常是结构性的，但随之可能出现电气、管道，当然还有通风方面的问题。
极端天气：这种威胁可能包括各种灾难性的天气事件，包括强风、大雨、龙卷风、飓风/台风、冰、雪、冰雹等。
火灾/爆炸：除了火灾可能对计算设备造成的损害外，还可能由于灭火剂、抑制剂和灭火器中的化学物质造成损害，更不用说水了。
洪水：洪水通常是由其他气象事件引起的，比如极端天气、地震或你所在社区的火山爆发。
雷电：电气风暴是一个真实且严重的威胁。雷电直接击中一个数据中心所在的建筑，可能会通过即便是保护设备也无法承受的电流冲击。
害虫：不幸的是，一只老鼠咬坏了通信电缆或电源电缆，可能会给服务器及其节点带来难以检测的问题。

人为威胁

正如其名称所示，这些物理安全威胁通常是由于疏忽、疏漏或无知造成的，或者它们来自恶行之人的恶意行为。它们包括以下内容：

事故：事故可能无法完全避免，但可以采取一些措施来帮助减少其发生：如层压地板表面的安全踏步、设备和柜子之间的适当间距、为所有员工提供安全意识培训等。
恶意软件：计算机病毒、木马、根套件、机器人以及其他恶意软件是任何联网设备，特别是网络服务器的严重威胁。
盗窃：这不仅仅是外部人员入侵安全场所的行为。员工、供应商、承包商和访客等人也在设备、文档和资源盗窃中扮演了重要角色。
未经授权的访问：黑客获得程序、数据和其他资源的访问权限是一种安全政策和程序必须应对的威胁。然而，未经授权的物理访问同样构成威胁，这意味着入侵者已物理入侵并接触到设备、数据存档、文件和表单及其他计算资产。
破坏行为：虽然通常被认为是对外部表面的损坏或毁损，破坏行为也可以包括窗户和围栏的破坏、火灾，以及设备和建筑物的随机毁坏。

特定站点的威胁

这一类物理安全威胁的范围通常是单一站点、建筑或周边区域。大多数情况下，它们涉及到购买或外包的系统或服务。以下是一些例子：

通信系统故障：由于通信服务涉及多种通信技术，这些技术可能会影响或破坏语音、数据传输和反馈系统的性能和可靠性。
计算设备故障：显然，任何网络的主要风险因素之一就是设备和组件的故障。物理安全政策应解决由于某些设备故障可能出现的所有潜在漏洞。
灭火系统故障：如果在一个受保护区域发生火灾，并且灭火系统出现故障，应当有相关程序来尽可能减少总体损害。技术人员可能只能切断所有设备的电源并撤离设施。
供暖、通风和空调（HVAC）故障：此事件的严重性取决于设施的位置。在温度和湿度通常较高的地区，HVAC 故障可能导致计算设备的严重热损害。另一方面，在极寒的情况下，失去供暖可能会降低关键组件的性能。
关键人员辞职/离职：许多组织无法为每个关键职位配备后备人员。当一名重要且难以替代的员工离开组织时，特别是当该员工是某些活动的唯一负责人时，若没有额外帮助，可能无法从安全事件中恢复。
停电/电压降低：我们都知道，失去建筑、楼层、房间或电路的电力服务的威胁，以及由此带来的操作中断。频繁的停电（黑暗期），通常涉及电压下降后紧接着的电压激增，和电压降低（俗称电压下陷）或低电压期，都可能降低计算机电源的性能和效率，最终导致设备故障。

技术威胁

物理安全威胁通常以某种形式涉及人为因素，但通常是因为人为因素利用了技术漏洞或程序上的缺口所创造的机会。一些技术威胁的例子如下：

未授权访问：这种情况确实发生过！ 一个毫无防备的网络用户登录系统后，突然发现自己获得了之前无法访问的机密数据。如果用户报告此情况，系统管理可以进行调查并采取纠正措施。然而，如果没有报告，应立即进行用户和用户组账户权限及权限的审计和复查，并定期进行。
入侵者攻击：计算机网络的攻击面是外部入口点或内部访问点，外部和内部威胁代理可以利用这些点进行攻击。入侵检测系统（IDS）、入侵防御系统（IPS）或结合检测和防御的混合设备可以分别检测或防止攻击。
硬件故障：根据故障的硬件组件，故障可能影响生产、安全或两者。例如，身份验证服务器的故障或生物识别设备的故障可能会产生可利用的漏洞。
缺失或不充分的操作程序：无论事件类型是物理访问事件还是逻辑安全事件，如果没有现成且更新的程序来处理该情况，采取的行动可能会造成额外损害，甚至使问题无法恢复。
未授权的软件或硬件修改：这也许应该算作人为威胁，但无论如何，未经授权和未记录的生产软件或硬件更改可能会造成各种物理或逻辑安全漏洞。

物理安全设备

Server+ 认证考试涉及多种物理安全概念和对策。以下列出了考试目标中具体列出的那些项目或概念，并对每个项目进行了简要说明或定义，及其在物理安全应用中的作用：

徽章和卡片：正如我们在本章前面讨论的那样，员工徽章可能包括射频识别（RFID）芯片或其他嵌入式电路，这些电路可以是带有少量内存的微控制器，或者仅仅是存储身份数据的内存电路。智能卡和个人身份验证卡（PIV）就是这种技术的例子。
生物识别设备：最常见的基于 PC 的生物识别设备是指纹扫描仪，它可以是外部设备也可以是内置设备。然而，还有几种物理安全生物识别设备，涵盖了从指纹和掌纹、手和手指几何形状、视网膜和虹膜扫描仪，到语音识别和血管图案扫描（扫描手部以匹配内部血管图案）的技术。
可锁柜和保险箱：在数据中心，某些可移动介质、表格（如支票或订单表格）、热插拔组件以及其他重要物品应放在锁住的、最好是防火的柜子或保险箱中。
锁和钥匙：也许最古老的物理安全设备就是门锁和其他锁具，以及能打开它们的钥匙。这项技术的扩展是键盘，在这种键盘上，寻求进入某个区域的人输入安全通行码。
人身防护门：这也被称为空气锁或缓冲区，提供了进入建筑物或安全区域的通道，通道内有一个小空间，某些人称之为房间或前厅，两个相互锁定的门分别作为入口和出口。这种锁定机制使得任何时候只有一扇门（或一组门）可以打开。人身防护门常见于外部温度远低于或高于建筑物内温度的地方，或者是两个门之间存在某种环境或安全程序的地方。
机架式柜：在较大的数据中心，计算和互联设备通常是机架安装的框架和柜子。有关机架式柜的更多信息，请参见第一章，服务器硬件。
监控摄像头和传感器： 安全摄像头扩展了安全人员（如保安）可以监控多个摄像头图像的视野。安全摄像头还可以提供视频流，以便存储在磁介质上供以后回放。安全传感器包括运动探测器，能够激活其他安全设备，门窗开关传感器，玻璃破损传感器，以及各种入侵检测装置。

环境控制

数据中心或计算设施中的温度、湿度和气流，可以像门锁一样成为物理安全计划的一部分。系统安全的一个原则是可用性，计算设备和服务器所在的环境必须支持所有设备的高效运行。环境控制实现并维持每个空间中设备和装置的最佳运行环境。环境控制的各个组成部分包括：

HVAC（供暖、通风和空调系统）： 除了供暖和制冷，HVAC 系统还必须为整个数据中心维持恒定的温度和湿度范围。HVAC 系统还应与火灾控制系统连接，以便在发生火灾时，空气流通系统不会继续向火源提供氧气。
机房、机架和机架温度： 如本书前面所讨论的，许多大型数据中心通常有一排排安装服务器、电源和网络附加存储的开放式机架或封闭式机架柜。由于不同的设备有不同的冷却需求，一排机架可能是冷区或热区。HVAC 系统可以通过空气流向挡板和机架遮挡板，利用这些板件在机架设备之间创造空隙，将冷空气引导到某一排机架，将温暖空气引导到另一排。

环境监测

许多可测量的条件和持续的功能共同影响计算机服务器房或数据中心的环境。由于外部天气和环境的变化、设施的 HVAC 系统以及专门为数据中心设计的 HVAC 系统，这一环境是一个动态的目标。

环境监测系统应检测和报告的条件包括：

温度： 大多数计算机房和数据中心的环境指南将温度范围设定为 68 至 77 华氏度或 20 至 25 摄氏度。长时间将环境温度保持在这个范围之外可能会损坏电子组件。
湿度： 根据数据中心的位置，湿度可能存在过高或过低的问题。高湿度环境可能会导致电子电路和组件的氧化和腐蚀。极端情况下，低湿度可能会产生静电问题。数据中心相对湿度的标准推荐值为 45% 至 55%。
电压和功率：电压传感器和功率监测传感器监测电力电压水平和功率消耗，超出预定义的高低限制、停电或电力中断时，系统会触发各种警报。
物理入侵：数据中心在正常工作时间应保持锁闭的门应安装开门或门未关紧的警报。这些警报可以让数据中心工作人员知道门已打开，并且可能正在发生入侵。
烟雾：正如俗话所说，有烟就有火。烟雾和一氧化碳烟雾可能对数据中心的工作人员构成危险。与电力系统和环境监控及报警系统互联的烟雾报警器和化学探测器可以在检测到烟雾或烟雾时关闭电源并触发警报。

电力供应

没有电力，至少到目前为止，电脑是无法运行的。也许某天，电脑可以通过空气或香蕉皮来运行，就像某个“融合反应器家用能量反应堆”的时光电容器一样，但现在，它们仍然是电气设备，依赖于电网或电池供电。在本章中，由于我们关注的是物理安全，因此我们将重点讨论计算机的电力来源及其最佳管理方式。

不间断电源（UPS）

保护数据中心设施的电力供应是物理安全计划的另一个重要考虑因素。然而，物理安全计划应认识到，通常 UPS 能够充分保护单独的计算机和外设。UPS 系统的基本操作功能是将交流电源传递给交流电动设备，同时为电池充电直流电。

UPS 的主要目的是，不论是独立的还是多功能数据中心 UPS，稳定电力波动，提供电力，在断电时仍能保持电力供应。持续的电力波动和电力故障可能会损坏或摧毁电气组件，甚至可能导致数据中心未能达到其 SLA（服务水平协议）。当 UPS 检测到电力事件发生时，它会启动所需的缓解措施。这可能是抑制电力尖峰，增强电力衰退，或者切换到电池电力来应对停电。

通常，UPS（不间断电源）有多个内部电路和一块电池：

整流器：将交流电源转换为直流电，为电池充电
逆变器：将直流电转换为交流电，并通过 UPS 的电气插座输出
旁路：将交流电直接传送到 UPS 的电气插座
开关：用于切换逆变器电路输出和旁路电路输出的电路

以下图示展示了典型 UPS 的电路：

在线 UPS 的电路

UPS 主要有两种类型——离线型和在线型。离线 UPS，也称为待机 UPS，将市电交流电通过其自身的交流电插座传输。当市电电源稳定时，UPS 将电力传递到输出电气插座，仅使用足够的电量来给电池充电。如果市电电源断电，离线 UPS 将使用逆变器将储存的直流电转换为交流电。

在线 UPS，如前面图示所示，使用整流器将市电交流电转换为直流电，从而稳定电流并充电电池。然后，UPS 将直流电转换为清洁且稳定的交流电。在线 UPS 系统提供持续的交流电电力，即使在电源掉电时也不会中断电流。

UPS 评级

通常，UPS 的评级有最大伏安 (VA) 数值、最大瓦特数或两者兼有。这些数值表示 UPS 的能力上限，电力需求不应超过这些评级。对于较小的电力需求（如单台计算机）来说，确定 UPS 大小的经验法则是，瓦特数不应超过 VA 评级的约 60%。然而，在较大系统中，瓦特数和 VA 评级通常是相等的。

另外两个表示 UPS 性能的评级值是容量和运行时间。容量是 UPS 能输出的最大 VA 数值。运行时间则取决于 UPS 电池的大小，是指 UPS 能为连接的设备提供足够电力的时间长度。

附加设备的自动关机

一些 UPS 单元可以向连接的设备发出关机命令，这可以防止数据丢失或处理损失；一种紧急模式活动可以安全地关机服务器和存储设备，或避免长时间的系统恢复。有两种方式实现此功能——通过为 UPS 添加网络适配器将其连接到网络，或者将 UPS 连接到每个设备，以便在市电断电时使用。

电力分配

电源供应单元可能是 PC 最重要的组成部分！这个说法当然有争议，但试想一下，如果没有它，PC 就只是一堆塑料和金属，可能变成船锚或者非常大的纸镇。电源供应单元将市电交流电 120 伏或 240 伏转换为直流电，通常为 3.3 伏和 5 伏用于内部电路，以及 12 伏供内部安装的外设（如磁盘驱动器和冷却风扇）使用。

电源供应在桌面、塔式和便携式计算机中至关重要。然而，机架或机柜式系统，如服务器、磁盘驱动器和网络设备（如路由器、交换机和防火墙）则在最大化计算能力的同时，最小化所需的地面空间。这些设备大多数需要外部电源，该电源可以专门为某个设备提供，或由多个设备共享。在任何情况下，外部电力分配设备就是 电力分配单元 (PDU)。

电源排插（左）和 16 插口 PDU（右）

图片来源：Tripp Lite

电源排插或浪涌抑制器通常用于家庭和办公室系统。然而，尽管有些 PDU 看起来像电源排插，它们之间还是有一些区别。像电源排插一样，PDU 有多个电源插座和一个主电源线，将设备连接到交流电墙插座、UPS 或其他电力分配设备。PDU 是机架或机柜中设备的常见电源单元。

PDU 通过多个插座将电力分配到两种主要设备样式：

落地式：这种 PDU 将原始电力源（未调节的交流电源）转换为多个低电压电源插座。落地式 PDU 通常是独立的单元，用于为多个设备、机架或机柜提供电力。
机架安装型：这种 PDU 为多个插座提供市电。某些机架安装型 PDU 包括监控和控制功能，管理员可以远程访问以跟踪电源供应情况。

PDU 类型

PDU 有七种配置，有些是落地式或机架安装单元：

标准（基础）PDU：这种 PDU 类型通常是一个电源插座排，放置在电源设备（如 UPS、电源发电机或市电插座）与布线机房、数据中心或单个机架或机柜之间。它通常有多个低电流插座，用于为多个机架安装的设备提供电力。
计量型 PDU：这种机架安装的 PDU 类型包括一个数字电流计，用于监控电气负载，避免电力浪涌和过载。
监控型 PDU：这是一种机架安装的 PDU，增加了通过网络连接监控电源的功能，扩展了计量型 PDU 的功能。
交换式 PDU：也称为交换式机架 PDU，这种机架安装的 PDU 将监控型 PDU 的功能与能够开关单独插座以通过网络重启设备的功能结合在一起。
自动切换开关（ATS）PDU：这种 PDU 类型可以具有两个（或更多）独立电源。在其中一个电源失效时，ATS PDU 可以自动切换到备用电源。
热插拔 PDU：像 ATS PDU 一样，这种 PDU 类型连接到两个不同的电源，以便在需要时可以通过手动开关在输入电源之间切换，而不会中断电力供应。
双回路 PDU：实际上，这种 PDU 相当于将两个 PDU 合并为一个单元，节省空间并提供冗余支持，适用于具有双电源供应的设备。

PDU 额定值

在美国，PDU 的输入电源通常是单相或三相 208V 电源。简单来说，三相电力和单相电力的区别在于供电电缆的数量。单相电路使用其中一根 120V 的热电线和一根中性线提供 120V 电流，如下图所示。三相电缆有三根 120V 的热电线和一根中性线。如以下图所示，任何一根热电线和中性线都可以提供相当于单相电路的电力。更常见的是，两根热电线合并提供 208V：

单相和三相电路结构的比较

在较大的数据中心和服务器机房中，三相电力是最常用的。单相电力通常用于家庭或小型办公室环境。

PDU 的能力可分为两大类——功率额定值和负载能力：

功率额定值：功率额定值以安培、电压和瓦特为单位。这些额定值表示由 PDU 提供的电力特性。安培表示每个 PDU 插座上可用的电流强度。电压衡量通过电路、电缆或电线推动安培所需的压力。在美国，电压额定值通常为 110V 或 120V。瓦特额定值指定了满足连接到 PDU 设备需求的电力。
负载能力：PDU 应与其所服务设备的电力需求相匹配。PDU 的负载能力是 PDU 能够支持的最大功率。例如，一台机架式服务器可能需要 600 至 900 瓦的工作范围，相当于 5 至 7.5A 的电流。建议 PDU 插座的需求不应超过其能力的 80%。这意味着一个 20 安培的插座的负载不应超过 16 安培。以下表格展示了这些计算：

设备	额定功耗	最低功耗（-20%）	最高功耗（+20%）	电流（W/V）
1U 服务器	750W	600W	900W	5A-7.5A
4U 服务器	800W	640W	960W	5.3A-8A
路由器	660W	530W	800W	4.5A-6.6A
防火墙	275W	250W	300W	2.1A-2.5A

机架式设备的电力需求示例

身体安全问题

数据中心和服务器机房必须是安全可靠的工作环境和工作空间。有各种各样的指南和标准列出了创建一个功能性、安全且可靠的区域的要求。以下是服务器机房和数据中心的空间和安全要求：

空间：用于容纳服务器、网络设备、UPS、PDU，以及可能的冷却设备、配电面板和布线的区域或房间，应提供设备之间或设备与设备之间的间隙，以便进行维护、服务、安装、拆除和通行。设备、机架或柜子之间的通道应至少为 3.2 英尺（1 米），但机架和柜子前后至少应有 4 英尺的间隙。若一排机架或柜子位于另一排的后面，前后间隙应均为 4 英尺。出入口应符合当地法规。
照明：无论服务器机房或数据中心的大小，所有电子设备都应有良好的照明，以确保安全并提供良好的工作区域。照明应照亮机架和柜子的前后面，以及设备内部。应设置紧急照明，以便在停电时提供安全的撤离通道。
电气安全：服务器机房或数据中心的电气密度平均不应超过每平方英尺 300 瓦。机房内的 PDU 和 UPS 设备额定功率不应超过 100 kVA，如果更大，应安装在单独的空间内。
消防安全：封闭的服务器机房或数据中心应配备灭火系统，且空间内所有布线应具有防火等级或气流等级。灭火器应随时可用。
安全性：只有授权的员工或供应商才能进入服务器机房或数据中心。日志文件会记录进入和退出空间的情况。作为紧急预防措施，该空间应至少配备一个通信设备，用于与外部联系。

更大的服务器机房和数据中心通常会安装架空地板，至少是为了将设备的布线放在地板下。然而，架空地板是安装在网格框架上的，并用地板瓷砖填充，其承重能力无法与混凝土地面相比。架空地板在实际使用中与混凝土地面一样永久，这意味着随着企业的扩展和计算设备的增加，地面上的负荷也会相应增加。

架空地板有三种主要的负载类型（重量测量）：

点负载：指物体在其任何一个支撑点上的重量。例如，如果一个机架柜子放置在四个滚轮上，则该柜子的点负载就是放置在任何一个滚轮上的重量。地板必须能够承受将占用该空间的最重设备或机柜的点负载。
静态负载：指特定地板瓷砖上所有点负载的总和。如果两个（或更多）机柜的支腿或轮子放在同一块地板瓷砖上，则静态负载就是这些设备点负载的总和。
滚动负载：通常，这个因素适用于穿孔地板瓷砖，表示一台设备或机架柜在瓷砖上移动时的重量。瓷砖上的滚动负载是设备两个点负载的总和。

总结

MFA（多因素认证）结合两种或多种因素来验证用户身份。MFA 使用五个认证因素：你知道的事情、你拥有的东西、你自身的特征、你所在的位置以及你所做的事情。

物理安全基于组织的安全政策和计划。物理安全计划应涵盖以下内容——物理保护、漏洞和威胁、监控系统、服务和公共设施中断以及未经授权的入侵、破坏或盗窃。物理安全应着重于预防措施，以防止安全事件发生，并通过检测措施发现威胁组织的事件。威胁有四大类——环境、人为、特定地点和技术。

环境控制是物理安全的一部分。服务器和网络设备可能有多种冷却要求，如冷排或热排。环境监控系统应检测并报告：温度、湿度、电压和电力、物理入侵、烟雾和化学气体。

物理安全计划包括 UPS 单元，用于保护计算机和外设。UPS 将市电通过交流插座传递并为内置的直流电池充电。离线 UPS 将市电通过旁路电路传递到交流插座，同时也为电池充电。在线 UPS 将交流电转换为直流电，再将直流电转换为交流电。UPS 单元的额定值以伏安（VA）、瓦特、容量和运行时间为单位。

许多机架式设备需要外部电源，通常是 PDU。PDU 具有多个交流电插座和连接到交流电插座的电源线。PDU 可以是地面安装或机架安装。PDU 有七种配置：标准型、计量型、监控型、切换型、自动转接开关型、热插拔型和双回路型。PDU 的额定值还包括功率额定值和负载能力。

数据中心和服务器机房必须是安全、可靠的环境和工作场所。创建一个功能性、安全、可靠的区域的指南和标准如下：空间、照明、电气安全、防火安全和安全性。服务器机房通常有架空地板，地板承载有三种负载类型——点负载、静态负载和滚动负载。

问题

使用多个认证因素验证申请人的方法是什么？
1. SFA
2. CHAP
3. DHCP
4. MFA
以下哪项不是身份验证中使用的因素类型？
1. 你知道的事情
2. 你拥有的东西
3. 关于你的事情
4. 你所做的事情
什么是防止未经授权进入、访问和恶意行为到私密区域的安全措施？
1. 逻辑安全
2. 物理安全
3. 入侵检测
4. 人体通道
以下哪项不是私密区域的通用威胁类别？
1. 网络
2. 环境
3. 技术性的
4. 人为的
CompuGood 公司拥有一个大型服务器机房，内有几排机架式服务器、电源单元和网络附加存储。它将设备按行排列，以便 HVAC 系统为每一行提供合适的冷却。该服务器机房使用的环境控制方法是什么？
1. 区域调节
2. 隔间化
3. 冷行/热行
4. 行内/行外
以下哪项通常不包含在环境监控系统中，既不被扫描也不被报告？
1. 温度
2. 逻辑入侵
3. 烟雾和化学气体
4. 湿度
哪种设备能够电气保护计算机和外围设备，并在停电时提供电力？
1. PDU
2. HVAC
3. UPS
4. PSU
哪种设备通过多个交流电源插座为机架式设备提供电力分配？
1. PDU
2. HVAC
3. UPS
4. PSU
以下哪项不是 PDU 的配置类型？
1. 标准
2. 热插拔
3. 双回路
4. 切换式
服务器机房中的架空地板应满足三种主要负载类型。以下哪项不是架空地板的负载类型等级？
1. 广泛负载
2. 点载荷
3. 静态负载
4. 滚动负载

第十三章：逻辑安全

物理安全（参见第十二章，物理安全和环境控制）保护组织及其计算资产和资源免受损害、破坏和盗窃。逻辑安全不是物理安全的对立面，而是安全整体的另一个部分。逻辑安全与物理安全具有相同的总体目标——保护、预防、检测和阻止对任何组织极为重要的资源的入侵。

在本章中，我们将探讨用于实施逻辑安全政策以保护组织数据、软件和计算资产的各种方法、程序和技术。我们将涵盖以下主题：

访问控制
数据加密
数据保留和处置
物理销毁磁盘驱动器
操作系统、系统、应用程序和硬件强化

访问控制

我们之前谈到了在路由器上的访问控制（参见第十一章，安全系统和协议）及访问控制列表（ACLs）的使用。然而，在逻辑安全的背景下我们谈论的访问控制，虽然在结构和程序上有所不同，但其总体目标是相同的——防止未经授权访问系统软件和数据资产。

访问控制是一种逻辑安全方法，用于确定个人用户可以访问、修改、创建或移除哪些资源。通过使用访问控制，系统管理员可以基于个人或群组的基础允许或限制对某些系统资产和资源的访问。每个经过身份验证和授权的用户或群组都被分配一个安全标识符（SID），它是详细说明用户或群组访问权限和权限的系统记录的标识；也就是说，它们的安全主体。

当用户作为个人或作为群组的成员请求访问系统资源或资产时，SID 记录告知操作系统（OS）授予该用户的访问权限和权限。通常，请求的访问以读取或写入资源的形式进行。作为响应，操作系统扫描相应的 SID 来确定是否可以允许请求的访问。

访问控制标准

授予系统资源访问权限可以基于几种不同的标准。虽然访问权限和权限可能仅基于用户身份，向个别用户授予访问权限的管理——称为自主访问控制（DAC）——在小型组织中可能是可行的。然而，在更大规模的企业，特别是地理上分散的企业中，分配权限的标准可能来自各种识别因素，例如以下内容：

组访问控制：组访问定义了系统管理员分配给该组的单个用户的共同权限和权利。组账户通常是通用的，例如普通用户组账户或会计部门账户。组账户和组访问控制允许管理员对需要相同权限集的用户组实施访问控制策略。
基于角色的访问控制 (RBAC)：用户的行为——即其职称、工作、任务、职责或责任——可以定义该用户执行或完成任务所需的权限和权利。通常，RBAC 定义了一些执行相同任务并需要相同资源的用户组。
特定标准访问控制：尤其是在地理分布广泛的网络中，某些标准可能定义组账户的访问标准。以下是一些常见的标准：
- 位置：位置访问控制可以基于用户的位置限制访问，例如分公司或远程制造站点。
- 时间：在此情况下，访问只能在特定的日期和时间段内进行。例如，公司政策可能限制财务数据的访问仅限于周一至周四，并且仅在每天的上午 10:00 到下午 2:00 之间，且可能仅限于财务组的用户。
- 事务类型：在在线事务处理系统中，访问支持数据库元素的权限是特定于各个事务类型的。权限也可以与用户的身份或组账户相关联。
- 应用程序：访问控制还可以根据在线或离线应用程序的类型和目的定义权限和权利。通常，登录用户的权限和权利扩展到用户执行的任何应用程序。如果禁用此控制，即用户帐户控制（UAC），则应用程序的权限将超出用户的权限范围。

访问控制级别

除了在不同上下文中对用户应用访问控制外，访问控制还可以应用于系统的硬件和软件组件，且用途相同。访问控制机制可以限制对软件和硬件组件的访问和使用。

文件系统访问控制

除了分配给单个目录、文件夹和文件的权限外，文件系统（如 Windows NTFS、Unix POSIX 和 Linux NFS）还具有 ACL，它指定了用户和组对文件系统内程序和文件的权限。文件系统中的每个项都有一个访问控制条目（ACE），该条目定义了与每个单独项目相关联的权限。

ACE 中的权限与单个文件系统元素的权限非常相似，指定了谁具有访问权限以及每个组或用户可以对元素执行什么操作。以下截图显示了 Windows 高级安全设置中的文档对话框，权限和权限可以在该对话框中分配给文件夹和文件上的组和用户：

Windows 高级安全设置用于为文件夹和文件设置权限和权限

以下截图显示了 Linux 系统中/usr目录的 ACL 内容：

getfacl命令显示 Linux 系统中目录或文件的权限和权限

如上图所示，该目录的权限和权限属于三种不同的访问级别——文件所有者、组所有者（即文件所有者所属的组）和其他所有用户，在本例中分别是root、root和other。表示读取（r）、写入（w）和执行（x）的字符代表每个级别的权限。前述截图中/usr目录的用户/所有者具有读取、写入和执行权限。写入权限包括修改和删除。root组以及所有其他用户和组仅具有读取和执行权限，这意味着他们可以打开、扫描、显示，如果文件是程序或脚本，还可以运行它。

外部设备的访问控制

控制服务器及其他网络设备（如路由器或交换机）的内部或外部设备访问，必须是任何网络安全策略的关键部分。现代外部设备本质上就是计算机，这使得它们成为网络攻击的潜在目标。以下是一些限制对这些设备未经授权访问的方法：

管理员密码：所有外部设备都包含一个配置过程，用于设置其性能和安全设置，包括管理员级密码。设置此密码有助于防止未经授权访问设备的配置。
应用补丁和固件升级：大多数内部和外部设备都有相关软件，它提供了与计算机或操作系统的接口。保持这些软件的最新版本可以确保安全功能也能及时更新。
禁用未使用的功能：像任何系统一样，计算机设备和外部设备可能包含一些未使用的功能。禁用这些功能可以增强设备的安全性。
限制访问控制：这些包括任何允许用户登录以修改设置和配置的访问功能。只有管理员应有权限访问这些功能，打印服务器、直接将打印任务发送到设备的网络节点以及管理设备及其网络的管理员工作站也应具有访问权限。
隔离设备：外部无法访问的内部网络应包含外围设备。

管理访问控制

定义和规范谁可以访问组织的服务器和网络，以及他们可以做什么，应该在安全或访问控制政策中。该政策应详细说明各个用户和管理员组的访问权限和特权。管理员访问控制应限制仅那些安装、配置、管理和监控执行访问控制系统资源的软件或硬件的技术人员才能访问。即使在系统管理员的总体组内，访问权限也会根据责任、职位、技能和知识有所不同。

安全组和分发组

Windows 操作系统在其活动目录（AD）服务中提供了两种类型的组帐户。新建的组必须有一个组类型，可以是安全组或分发组。安全组允许你分配访问控制、文件和文件夹的权限。分发组仅用于分发电子邮件信息。安全组通常反映组织的组策略，并在用户和硬件安全设置上提供灵活性。另一方面，分发组仅用于分发信息，不用于安全目的。

网络访问控制（NAC）

NAC 是一种软件或集成设备，顾名思义，它控制对网络的访问。NAC 实现了组织的安全政策，执行逻辑合规性，并管理网络访问控制规则。NAC 适用于有线和无线网络，以及云计算。

NAC 基本上只允许经过身份验证的设备和笔记本访问网络资源，并监控对受保护设备的任何访问。因为 NAC 由政策、程序、工具和应用软件组成，它能够限制用户和设备对网络连接设备和资源的访问及活动。NAC 涵盖了网络上所有连接的设备。

数据加密

数据或文件加密是将加密算法应用于数据或文件，使其在存储或传输时，只有具有适当访问权限的用户或收件人才能打开、执行或应用其内容。加密和密码学是广泛的术语，涵盖了多种方法、应用和手段，用于保护数据和文件资产。接下来的讨论中，我们将使用加密这个术语来涵盖通过应用密码学对数据进行转换。

在最基本的层面上，加密有三个主要目标——机密性、完整性和可用性（CIA）。此外，CIA 三元组通常会扩展以包括身份验证、授权和不可否认性。加密是数据完整性和机密性保护机制。

存储加密

在计算机系统或网络中，数据（包括数字媒体、文档和编程）可以处于三种状态之一：使用中、传输中和静止中。使用中的数据已被解密，并通常复制到内存中以进行逻辑操作。传输中的数据在通过传输线路时需要防范各种拦截技术（这些技术都是不安全的）。同样的保护（甚至更强的保护）对于存储在某种数据存储介质上的敏感或机密数据也是必需的，例如硬盘、闪存驱动器，甚至可能是磁带。

存储设备上静态数据加密可能具有不同级别的数据安全性。加密几乎应用于存储设备的所有层次，包括整个硬盘驱动器，在某些情况下也包括可移动介质。全盘加密 (FDE) 本质上在存储介质和主内存之间创建了一个通道。当数据传输到磁盘进行存储时，它会被加密；当数据传输到内存时，它会被解密。实际上，相同的加密/解密过程可以保护磁盘分区、文件系统、单个文件或单个数据元素，例如电子表格或数据库中的一列、一行或一个单元格。

数据保留与处置

有时，确保数据的安全意味着需要将其删除。当数据不再需要时，通常取决于数据类型、其操作环境、安全级别以及任何要求特定处理或保留的法律或法规。以下表格显示了一些常见数据保留政策项目及其保留期限的示例：

类别	项目	保留期限	销毁日期	处置方法
组织记录	IRS 表格 1023	永久	不适用	不适用
财务记录	财务报表	永久	不适用	不适用
财务记录	银行存款	7 年	2024 年 1 月 1 日	销毁
税务记录	薪资税扣缴—2015	7 年	2022 年 4 月 30 日	焚烧
人事记录	I-9 表格	终止后 5 年	变化	销毁
基于计算机的通讯	内部电子邮件	12 年	每月月底	电子软清除

擦除磁盘

根据你的目标，移除硬盘驱动器上数据的方式有几种不同的级别。最低级别（破坏性最小）是删除，而最高级别（破坏性最大）是清除。介于这两者之间的是擦除和粉碎。用户通常将这些术语（及其操作）视为移除某些东西的不同名称，无论是半永久性移除还是永久性移除：

删除：通常，删除操作适用于移除一个或多个文件、目录或文件夹。然而，与彻底擦除相比，删除命令本质上是软删除。在从磁盘删除对象后，构成数据的电信号（比特）仍然保留在原地。删除功能移除文件在磁盘上的位置索引指针，并将其空间标记为可用。在新数据覆盖该空间之前，恢复删除操作将通过替换其索引指针来恢复文件。
擦除：虽然用户可能认为删除和擦除基本相同，但擦除会永久删除文件和文件夹，因此它们将永远消失。从磁盘擦除数据涉及使用专门的软件工具，例如Darik's Boot and Nuke（DBAN）2.3.0、Eraser 和 CBL 数据粉碎器。这些工具通过随机字符或二进制零（空值）覆盖磁盘，从而永久摧毁磁盘上的数据。
清除：清除磁盘驱动器比擦除要更具破坏性。当你清除一个存储设备时，无论是计算机中的二级存储、手机上的存储还是闪存驱动器，你不仅会移除活动数据，还会移除任何可能仍然可恢复的数据。执行擦除的软件下载工具也会执行清除操作。一些磁盘清除软件工具包括远程格式化、擦除或清除硬盘的功能。
粉碎：粉碎操作基本上是一种清除，但仅限于单个文件或文件夹。像擦除或清除操作一样，数据会被随机字符或零值覆盖。

格式化

许多用户认为格式化会删除存储介质上的所有数据或文件。事实上，格式化磁盘的效果与删除文件几乎相同——所有受影响的文件和数据看起来都已消失。就像删除单个文件一样，数据仍然存在。然而，格式化命令会移除所有索引条目，实际上删除了对现有数据的所有引用，并将所有存储位置标记为可用。与单个文件删除一样，格式化磁盘上的数据是可以恢复的。

数据存储设备有两种不同级别的格式化：

低级格式化（LLF）：通常，硬盘制造商在将存储设备安装到计算机机箱之前执行此过程。低级格式化会在磁盘上放置数字扇区标记，将存储介质映射到柱面、磁道和扇区。
高级格式化（HLF）：在低级格式化之后，磁盘仍然需要为操作系统使用进行准备。高级格式化为操作系统提供了分区或逻辑卷所需的结构。通常，高级格式化发生在操作系统安装过程中，或者在安装一个全新的未使用的硬盘后。

那么，格式化磁盘会删除或擦除数据和文件吗？ 这取决于情况。Windows 操作系统提供了一种名为快速格式化的工具，实际上这是一种对整个分区或磁盘的软擦除。快速格式化只是一种大规模删除，只是去掉了索引，因此是快速的。Windows 还提供了一种格式化功能，它做的是一些人称为硬擦除的操作，因为它会对整个磁盘进行一次彻底的擦写，将零写入所有位。

物理摧毁硬盘驱动器

在至少擦除一次磁盘后，如果你希望百分之百、毫无疑问地确定磁盘及其现在已经遗忘的数据永远消失，你应该物理摧毁硬盘驱动器。有多种方法可以做到这一点。以下是你可以使用的几种方法，确保磁盘永远无法读取：

移除并摧毁磁盘盘片：假设我们正在查看的硬盘驱动器是将数据存储在涂有铁氧化物的盘片上，我们可以使用星形螺丝刀打开驱动器的外壳和固定盘片在轴上的卡环。移除盘片并将其打碎，焚烧，或使用任何你希望的方式摧毁它们。如果你愿意，也可以不移除盘片而直接用锤子敲打它们。无论哪种方式，都可以将驱动器外壳、任何松动的电子部件和盘片碎片送到电子废料回收处。
穿透硬盘驱动器：通过钻孔（当然是使用电动钻）、用大螺丝或钉子穿透外壳，或使用任何能让驱动器无法使用的工具穿透外壳，未必能确保数据无法读取。
销毁硬盘：这种方法适用于所有类型的数据存储设备，包括内外部硬盘驱动器（HDD 或 SSD）、闪存驱动器、CD-ROM 和 DVD-ROM。当然，对于 CD-ROM 和 DVD-ROM，只需要销毁已记录的介质。工业碎纸服务可以将这些设备粉碎成小块，并收取少量费用，这能提供最高的保障，确保任何数据无法访问。

强化

通常来说，强化是为了通过减少工作站、服务器和网络的漏洞，增加其安全性，防止被利用。强化有多个层级，但你在 Server+ 考试中可能会遇到的有操作系统强化、系统强化、应用强化和硬件强化。

操作系统强化

加固操作系统在确保计算机安全的过程中起着重要作用。客户端操作系统和服务器操作系统的加固过程略有不同。虽然两者的大部分步骤相同，但我们将重点讨论网络服务器操作系统的加固。基本上，加固操作系统包括四个主要步骤：禁用不必要的服务、禁用未使用的 TCP/UDP 端口、仅安装支持任务所需的软件，并通过应用补丁和更新保持操作系统的最新状态。

每个主要操作系统都有自己特定的加固实践，但有些措施适用于任何操作系统。这些措施包括以下内容：

未使用的软件：你出于好奇或为了解决一次性问题下载的免费应用程序，像几乎所有软件一样，都可能成为黑客入侵的途径。移除任何未使用或不必要的软件，并确保你的策略限制用户在工作站上安装非标准软件的能力。
组和用户账户：服务器常见的安全隐患之一是由于管理错误，用户发现自己能够访问机密或私人信息。所有用户密码应遵循统一的密码策略。定期审查所有组和用户账户的权限和权利。
补丁管理：虽然保持操作系统更新，应用最新的补丁、错误修复、服务包和更新是一个好习惯，但确保补丁适用于你的系统也很重要。这可能需要在应用补丁前后进行测试和审计。
建立并监控基线：基线是为服务器（或客户端）的操作系统和组件设定的标准性能或容量水平。安装时生成的操作基线并在每次系统修改后更新，作为与当前性能水平对比的标准。与基线的较大偏差可能表示潜在的安全事件。

系统加固

系统加固，也称为工作站或 PC 加固，是提高网络节点安全性的过程。加固措施适用于工作站的几乎每个部分，包括主要硬件和软件组件，并涉及整体安全性。除了适用于服务器的加固步骤外，还有一些专门针对网络工作站的步骤，包括以下内容：

用户账户策略：尽管技术上这是一个服务器级别的策略，但用户账户策略和权限会影响用户访问网络的能力，以及本地主机上的软件和数据。密码策略应要求定期更换密码、设定密码长度、密码重用政策和登录失败锁定标准。用户权限也应符合安全政策和访问控制模型。
物理安全：用户应了解并理解适用于其工作站的物理安全政策。这应包括对建筑物、工作室或办公室或隔间的出入口控制的政策。整洁办公桌政策要求保护物理文档和计算机的访问权限。用户还应了解在发生灾难性事件时的责任。
日志记录：除了键盘记录器，记录用户的所有系统和网络交互，包括登录和登出时间、访问的应用程序和数据，以及任何与安全相关的程序或数据访问尝试、成功和失败。
自动补丁应用：对工作站操作系统和应用程序执行的修复和补丁可以自动发布。
禁用共享：禁用文件和设备共享，以防止通过共享系统进行基于网络的访问。

应用程序加固

应用程序加固也被称为应用程序防护，因为这一过程改变了应用程序或工具的二进制代码，使其更能抵御篡改。应用程序软件可能会受到反向工程、入侵以及在某些情况下的代码注入。加固过程不仅保护了应用程序代码本身，而且在许多情况下，它还保护了数据不被应用程序访问。应用软件常见的威胁包括漏洞发现、病毒和其他恶意软件攻击，以及可能的应用程序和数据窃取。

硬件加固

除了操作系统和应用程序软件的加固，系统或网络的安全性还可以通过对工作站和网络上的某些硬件设备进行加固来增强。

主机硬件加固

大多数主机系统的硬件加固过程都在 BIOS/UEFI 配置设置中。设置访问配置设置的密码、禁用 Wake-on-LAN（WOL，如果可用）并设置启动设备顺序，以消除远程启动的初始化，这些都是帮助防止主机系统入侵的设置之一。

网络设备加固

加固网络的一项重要组成部分是通过加固网络设备来保护网络的基础设施。然而，不同制造商的网络设备可能需要稍微不同的步骤来加固。一般来说，加固路由器、防火墙、交换机、桥接器和其他设备使用大致相同的过程来实现相同的目标。用于加固网络设备的一些常见步骤包括：

备份配置：将设备操作系统的当前配置和设置的副本存储在安全位置。
禁用管理协议：禁用未使用的任何管理协议，例如 Telnet 和 文件传输协议（FTP）。
禁用未使用或不必要的服务和协议：禁用不使用的设备服务和协议，例如任何发现协议、HTTP、SNMP 和 引导协议（BOOTP）
加密配置文件：在传输配置文件时，应用加密以保护其内容
安全访问：使用强密码策略访问设备控制台及其辅助和虚拟终端接口
定义安全标准：为网络设备及其操作定义安全标准和程序

端点安全

即使对服务器和网络进行了硬化，额外的措施也可以增强其整体安全性。当客户端连接到主机时，连接会创建两个终止点：一个入口点和一个端点。入口点在连接的客户端端口打开，服务器（其接口端口）成为端点。由于日益增多的 自带设备（BYOD）政策，端点安全迅速成为一个问题。在这些环境中以及多种远程访问形式中，端点安全必须集中于检测和防止入侵和恶意软件。

入侵检测系统（IDS）可以是硬件或软件。无论如何，IDS 扫描网络流量（入站或出站），以识别恶意软件或可疑行为模式，并监视系统配置设置以防止意外更改。端点 IDS 是 安全信息和事件管理（SIEM）应用程序，用于监视、扫描和收集有关端点流量的信息。一些 IDS 允许设置性能和事件阈值，超过这些阈值时会向管理员发送警报。在网络上，端点和入口点 IDS 设备分别被称为 基于网络的入侵检测系统（NIDS）或 基于主机的入侵检测系统（HIDS）。NIDS 是一种独立设备，用于监视网络流量，使其在传递到网络设备之前可以被检测到。HIDS 可以是连接到主机计算机的硬件或软件，也可以在主机上运行的软件。

IDS 主要有两种类型 — 签名和 启发式：

签名型 IDS 从可疑消息中提取一段代码，对其进行算法处理，然后与已知恶意软件数据库进行比较。如果匹配成功，将删除消息，创建相关日志条目，并通常禁止发送者访问网络。
启发式 IDS，即异常基础 IDS，将可疑程序的操作与可接受操作模型进行比较。如果匹配成功，可能会出现误报（匹配成功，但消息有效且非恶意）或漏报（不匹配，但消息无效且可能是恶意软件），否则 IDS 可能会阻止源地址进入网络。

概要

访问控制确定单个用户可以访问、修改、创建或删除的资源。访问控制允许或限制对系统资产和资源的访问。在大型组织中，分配权限的标准可能来自不同的识别因素，如群组、角色、位置、时间、日期、交易类型或正在使用的应用程序。

访问控制可以应用于硬件和软件。文件系统 ACL（访问控制列表）指定权限和授权。每个文件或对象都有一个 ACE（访问控制条目），定义其拥有者、组和其他用户的权限。每个级别可以有读取、写入和执行权限。设备的访问控制通过管理员密码、应用补丁和升级、禁用未使用的功能、限制访问以及通过隔离设备来实现。

加密应用一种加密算法对数据或文件进行加密，以限制其内容仅对具有适当访问权限的人员可见。加密和安全性有三个主要目标：保密性、完整性和可用性。CIA（保密性、完整性、可用性）扩展为包括身份验证、授权和不可否认性。数据可以处于使用中、传输中或静态状态。

有几种方法可以从硬盘中删除数据——删除、擦除、清除和粉碎。

格式化会移除所有索引条目，但数据本身仍保留在磁盘上。格式化磁盘上的数据是可以恢复的。低级格式化会在磁盘上放置数字扇区标记，将存储介质映射为圆柱、轨道和扇区。高级格式化会添加操作系统用于分区或逻辑卷的结构。销毁硬盘有几种方法：移除并销毁盘片、穿透硬盘或粉碎硬盘等。

加固通过减少系统或设备的漏洞来提高其安全性。不同类型的加固包括操作系统加固、系统加固、应用程序加固和硬件加固。加固操作系统包括禁用不必要的服务和未使用的 TCP/UDP 端口，只安装所需的软件，并应用补丁和更新。此外，加固还可能包括删除未使用的软件、审核组和用户权限、执行补丁管理、建立和监控基准线。

系统加固提高了网络节点的安全性。这可以包括强制执行用户账户策略、实施强密码策略、遵守物理安全政策、启用系统日志记录、禁用文件和设备共享。应用程序加固通过修改应用程序的二进制代码，使其抵抗篡改、逆向工程、入侵和代码插入。主机系统的硬件加固通过 BIOS/UEFI 配置设置来完成，包括设置 BIOS/UEFI 密码、禁用 WoL 和设置启动顺序以消除远程启动。硬化网络设备包括备份设备配置、禁用未使用的管理协议和服务、加密配置文件以及确保访问安全。

IDS 是一种硬件或软件，用于扫描网络流量中的恶意软件或可疑行为模式。端点 IDS 监控、扫描并收集端点流量的信息。NIDS 在网络设备之前监控网络流量。HIDS 是一种在主机计算机上的硬件或软件。IDS 的两种类型是特征匹配和启发式。

问题

以下哪项不是常用的访问控制识别因素？
1. 组
2. 角色或分配
3. 应用程序类型
4. 计算机名称
分配给特定用户或组的权限和权利定义在什么元素中？
1. ACL
2. ACX
3. ACE
4. ACR
将加密算法应用于数据以限制访问其内容的目的是什么？
1. 保密性
2. 身份验证
3. 授权
4. 加密
以下哪项是从磁盘驱动器中删除数据的方法？
1. 删除
2. 擦除
3. 擦除
4. 擦除
5. 以上所有
6. 以上都不是
以下哪项描述了磁盘驱动器格式化后任何数据的状态？
1. 不可恢复
2. 销毁
3. 可恢复
4. 不可读
系统或设备加固的目标是什么？
1. 延长服务寿命
2. 加强其案例
3. 降低漏洞
4. 使其离线
应用程序加固修改应用程序的二进制代码：
1. 正确
2. 错误
设置 BIOS/UEFI 密码和禁用 WoL 是以下哪种操作的例子？
1. 应用程序加固
2. 操作系统加固
3. 网络加固
4. 硬件加固
当 IDS 将消息中的内容与身份代码数据库进行比较时，它正在执行什么操作？
1. 启发式扫描
2. 特征匹配
3. 二进制匹配
4. 数据扫描
哪种软件或硬件设备可以通过实施组织的安全策略来控制网络上的访问？
1. NAC
2. SAC
3. UPS
4. IPSec

第四部分：故障排除

本部分内容涵盖了故障排除的一般流程和方法，特别针对硬件、软件、网络、存储设备和安全应用的故障排除。

本节包含以下章节：

第十四章，故障排除方法
第十五章，常见硬件问题
第十六章，常见软件问题
第十七章，常见网络问题
第十八章，常见存储问题
第十九章，常见安全问题

第十四章：故障排除方法

在本章中，我们将审查标准故障排除方法和程序以及由硬件、软件、网络、存储设备和安全系统引起的常见服务器问题。

在本章中，我们将回顾用于识别、隔离、重现、应用和测试任何一般硬件、软件、网络、存储设备和安全策略及设备的故障或故障的一般程序和方法。本书的此部分的后续五章分别涵盖了这些子系统的具体故障排除过程。本章的主题是适用于任何故障排除情况的故障排除程序的回顾，如下所示：

故障排除步骤
识别问题
建立和测试原因理论
制定解决问题的行动计划
记录发现和结果

故障排除步骤

在计算机、服务器和网络环境中，故障排除是一种结构化过程，用于识别、隔离和解决性能问题或故障组件。无论计算机的大小、用途、使用情况或位置如何，其问题对其用户、运营商和利益相关者都很重要。计算机维修技术员的责任其实很简单——识别问题、解决问题，并记录这两个动作。是的，这个过程还有几个步骤，但它们大多是为了验证假设和测试解决方案。

尽管没有真正的用于故障排除过程中使用的步骤标准，但详细说明了在 Server+考试目标中列出的故障排除步骤如下：

确定问题并确定范围
建立可能原因的理论
测试理论以确定原因
建立解决问题并通知受影响用户的行动计划
实施适当的解决方案或升级
验证系统功能完整性，并在适用时实施预防措施
在整个过程中记录发现、行动和结果

请理解，这些步骤的应用可能在每个故障排除情况下都不一定是必要的。例如，常见组件的故障易于识别、更换、测试和记录。在其他不那么明显的情况下，每个故障排除步骤都是必要且重要的。

技术人员对计算机系统的知识是解决计算机问题的重要工具。然而，技术人员的人际交往能力可能同样重要，甚至更重要。与沮丧或慌乱的最终用户、监督者或一般利益相关者互动以更多了解问题的本质，是计算机维修技术员的重要技能。此外，技术人员的工作习惯和职业道德贯穿整个故障排除和修复过程。执行的工作应该是高效、有效和正确的。

确定问题

确定问题的实际原因是排除故障的第一步。然而，这第一步的第一步应该是验证问题是否真实存在。通常，问题会在对硬件或软件进行更改后不久，甚至是立即发生。或者用户或相关方认为发生了某些事情，但无法重现他们认为看到、听到或闻到的情况。为了验证问题是否真实存在，可以尽量重现问题——如果可能的话——或者花时间通过开放性问题（不能简单回答是或不是的问题）向用户提问。记住，用户、主管或相关方通常没有你对计算机系统的了解或理解。

确认有问题后，无论是报告的问题还是其他原因，开始确定问题的来源、原因和位置。大多数 PC 硬件问题相对明显，但看似硬件问题的问题很可能是软件问题。或者症状可能与多个组件的问题有关，或者一个问题表现为多个不同的问题。

无论问题的来源如何，如果可能的话，你应该备份硬盘并记录已安装组件的清单，至少这样可以在系统出现问题时恢复到没有问题的状态。

硬件还是软件？

虽然这个问题看起来很简单，但一些问题仅凭症状可能难以确定。排除故障的方法以及可能使用的工具在这两个领域是不同的。如果你明确无法确定问题的来源，可以凭借你的知识和经验开始排查你认为可能是问题的地方。

硬件问题

为了判断报告的问题是硬件问题，还是看似软件问题但实际上是硬件问题（例如，死机蓝屏 (BSoD)），最好的方法是采取系统化的方法。实际上，硬件问题通常与松动的连接器或跳线、脏污的风扇和组件，或者因软件错误而导致的硬件组件故障有关。在排除硬件问题时，首先要处理任何明显的问题，无论你是否认为它们与问题有关。一台不干净的 PC，只有在清洁后才更容易进行维修；灰尘可能会导电。

硬件问题的常见领域包括以下几个方面：

主内存
电源
散热风扇
硬盘驱动器 (HDD)
显卡或图形卡
扩展卡、插槽和端口
电缆连接

软件问题

软件问题比硬件组件问题更为频繁。计算机上的软件可以分为三种类型：系统软件（例如操作系统）、应用软件（例如 LibreOffice）和工具软件（例如设备驱动程序）。每种软件类型都可能有自己的一套问题。操作系统问题通常是由于配置不当、设置错误或兼容性问题引起的。操作系统问题可能需要轻微调整或完全重新安装。应用软件问题可能有一些相同的问题，但通常一个严重问题可以通过更新、补丁或修复注册表来解决。工具软件问题主要是版本问题，通常通过替换安装来轻松解决。

常见软件问题的一些原因如下：

丢失或损坏的系统或配置文件
恶意软件攻击
安装或移除软件不当
损坏的文件系统或注册表

确定可能的原因

识别问题是一方面，通常是显而易见的，但有时识别根本原因则更具挑战性。确定可能的原因是一个过程，它识别出问题的可能原因，分析它们成为原因的可能性，最终确定一个或多个原因进行进一步调查。该过程的总体目标是确定问题的可能根本原因。列出可能的原因，简单或更明显的问题排在顶部，复杂且不太可能的排在底部。

根据优先级列表，从上到下开始测试每一个可能的原因，以证明或排除你所识别的可能原因。列表顶部的可能原因应该是最简单的测试项。如果其中一个可能性被证明是问题的根源，下一步是制定解决问题的计划。然而，如果在测试了所有可能的原因后，仍未能找到问题的确切根源，你应该重新审视问题，并在可能的情况下，制定另一个可能原因的列表。如果你穷尽了所有可能的原因——至少是你能想到的原因——可能需要将调查升级到更有经验的技术人员，或许是制造商。

制定行动计划

在绝大多数情况下，解决问题的方案通常只是移除硬件组件、应用程序补丁，或重置或重新配置系统设置或参数。涉及的基本过程是获取替换部件或软件（如果解决方案需要替换硬件组件）、清除工作区域的静电以防止电静电损害内部组件、收集所需工具、进行必要的修复，并彻底测试修复后的系统。

如果您正在解决多个问题，影响修复并分别测试每一个问题。随着您的进行，每个后续测试步骤都会重新测试之前的修复，因此您希望考虑您的工作顺序以累计兼容。如果在进行更改或一系列更改后，问题仍然存在或出现新问题，您应撤销到目前为止所做的更改，并重新考虑您的解决方案。完成修复并成功测试后，请通知其用户或利益相关者，并简要介绍问题的原因、您如何确定原因、您采取的解决方案以及您如何测试解决方案。

验证功能

在这一点上，您已经测试了用于缓解问题的修复或解决方案，并且现在是完全测试整个系统功能的时候，如果适用，还要测试系统与其交互的任何设备的交互。最好由指定用户、监督员或了解情况的利益相关者进行此测试。如果这个测试在任何级别上失败，请记录失败点，并重新启动整个故障排除过程，重点关注新的故障。

如果测试成功并且系统正常运行，确定是否有可能的预防措施可以帮助避免将来发生相同或类似的故障。这些预防措施可能是简单的改进备份程序或调整供暖、通风和空调（HVAC）系统，也可能是计划尽快更换整个系统。

记录发现、行动和结果

从网络服务器或主机的初始安装开始，全面文档记录应与系统的任何硬件和软件一样重要。个别计算机、网络和系统连接设备的文档应记录其修复和维护历史。此记录必须详细描述任何故障排除活动（无论成功与否）、任何修复、升级、补丁、修复、添加甚至从每个系统中删除的内容。其作为修复和维护记录的重要性在于，通常只有一名技术人员执行几乎所有计算机或系统的故障排除、修复和维护操作。

整理故障排除、修理和维护的完整文档对下一个将要处理该系统的技术员来说，比对你或其他任何人更为重要。由于该文档包含了任何报告的问题及其解决方案的书面记录，它减少了未来技术员的猜测工作。完整的修理和维护文档应包括：故障现场的日期、地点和联系人；报告的问题/技术员访问的原因；进行的故障排除描述；所做修理的描述以及任何被更换、添加或移除的组件的身份；任何软件更改的描述或身份，包括更新、配置、安装或移除；执行的测试的详细描述及每次测试的结果；以及此次访问未涵盖的任何疑似问题或需后续关注的潜在维护或修理问题。

从第十五章《常见硬件问题》到第十九章《常见安全问题》，每一章都专注于计算机的单一主要子系统或组件类别，常见的修理和维护问题，以及故障排除过程的步骤。

总结

故障排除是一个结构化的过程，用于识别、隔离并解决性能问题或故障组件。在 Server+的目标中，故障排除的步骤包括：首先，识别问题及其影响；识别一个或多个可能的原因；选择最可能的原因并验证其是否为问题的根源；规划解决问题所需的步骤；向任何受影响的用户解释应采取的步骤；执行解决方案计划；测试修复结果及整个系统；最后，当然，记录这个过程中的每一步以及你的操作。计算机系统的知识对故障排除非常重要，但人际沟通技巧同样重要。技术员良好的工作习惯和职业道德，以及其工作应该是高效、有效且正确的。

确定问题的原因是故障排除的第一步，而这第一步中的第一步是验证是否确实存在问题。通常，问题会在硬件或软件更改后出现。用户报告了一个问题，但无法重现它。你可以通过重现该问题来验证它。大多数 PC 硬件问题都很明显。然而，看似硬件问题的情况，实际上可能是软件问题。备份硬盘并记录已安装的组件。

常见的硬件问题包括主内存（RAM）；电源；散热风扇；硬盘驱动器；视频或图形卡；扩展卡、插槽和端口；以及电缆和连接。计算机软件分为系统软件、应用软件和实用软件。常见的软件问题包括丢失或损坏的系统或配置文件；恶意软件攻击；安装不当的软件；以及损坏的文件系统或注册表项。

确定可能原因的过程是识别问题的可能原因及其概率。从优先级排序的列表开始，测试每一个识别出的可能性。解决问题后，彻底测试修订后的系统。全面测试整个系统并让用户参与。文档应包括故障排除和执行工作时的完整记录。

问题

哪种诊断活动是一种结构化过程，用于识别和隔离计算机问题？
1. 维护
2. 分析
3. 故障排除
4. 系统测试
什么提问技巧最适合从报告计算机问题的用户那里获取信息？
1. 是/否
2. 闭合性提问
3. 多项选择
4. 开放性提问
除了计算机系统的技术知识外，计算机维修技术员应该具备哪些技能？
1. 使用修理工具
2. 人际交往技能
3. 人际交往技能
4. 使用诊断设备
确定计算机性能问题的源头或原因的过程中的第一步是什么？
1. 识别问题
2. 重启计算机
3. 关闭计算机
4. 测试一个可能的解决方案
验证报告的问题是否存在的最佳方式是做以下哪项？
1. 确定问题是硬件还是软件
2. 移除疑似的硬件或软件
3. 重新创建问题
4. 重启系统
在开始对计算机进行工作以隔离和识别问题之前，您应该采取什么警示性措施？
1. 打开命令提示符窗口
2. 备份整个硬盘
3. 移除硬盘驱动器
4. 从软盘启动计算机
以下哪项不是计算机软件的通用类别？
1. 系统软件
2. 娱乐软件
3. 实用软件
4. 应用软件
以下哪些组件类别是常见的硬件问题领域？选择所有适用项。
1. 主内存
2. 系统案例
3. 电源
4. 外部连接器
5. 冷却系统
6. 图形卡
以下哪些是常见的软件问题？选择所有适用项。
1. 损坏的系统文件
2. 安装不当的软件
3. 恶意软件攻击
4. 以上所有
5. 以上都不是
在对系统进行硬件或软件更改后执行完整系统测试时，应该包括以下哪些步骤？
1. 制定测试计划
2. 吸引用户参与
3. 记录结果
4. 以上都是
5. 以上都不是

第十五章：常见硬件问题

尽管大多数计算机问题与软件相关且容易解决，但硬件组件也可能出现问题，通常这些问题的影响最小，或在极端情况下可能是灾难性的。你排除故障、解决问题和记录硬件问题的能力，直接影响硬件问题可能带来的干扰程度。在本章中，我们将讨论相对常见的 PC 硬件问题。这些问题是你在作为认证服务器管理员的角色中，最有可能遇到的。

本章将讨论以下内容：

常见的硬件问题及其原因
环境问题

硬件问题

硬件问题可能是电气或电子组件中的故障，也可能与组件的设置、安装或配置有关，这可能导致整个计算机的故障或失效。然而，看起来像硬件问题的故障也可能是由软件引起的。为了避免显得过于显而易见，硬件问题和软件问题的一个主要区别在于，硬件问题通常需要你打开或拆除系统机箱，而不仅仅是应用一个补丁。

识别硬件问题

有些计算机问题很难确定是软件问题还是硬件问题。虽然有些问题很明显，比如机箱冒烟，但对于其他问题，你可能根本无法判断。以下是一些有助于你将问题识别为硬件问题的条件：

间歇性故障：一种不规则发生但每次以相同方式发生的问题，可能是硬件或软件相关的问题。如果该问题在安装新软件、补丁或对现有操作系统或应用程序进行升级后立即（或很快）出现，那么它很可能是软件问题。然而，如果问题发生在没有任何软件更改的时期，那么你猜对了——这很可能是硬件问题。
访问失败：如果问题出现在任何组件的使用或外设设备的 I/O 操作之后，那么问题很可能是由于硬件故障引起的。然而，问题也可能是由于软件缺陷导致的。在测试软件问题之前，你应该首先排除硬件问题。
随机停止或重启：如果你正在处理一个极为宝贵的文档、论文、学位论文或游戏，而计算机突然冻结并关机或随意重启，那么你遇到的就是硬件问题。
POST 故障：启动过程的一部分是开机自检（POST），它验证在 BIOS/UEFI 配置设置中识别到的设备的存在和功能。如果启动过程失败，POST 会在显示器上显示错误信息或代码，或在系统扬声器上发出一系列蜂鸣声（表示特定的错误状态）。显然，这是一个硬件问题，通常发生在新硬件安装之后。

其他通常表示硬件问题的症状如下：

BSoD/RSoD：蓝屏或红屏死机表示操作系统与硬件配置之间的错误
I/O：对二级存储的读取和写入非常慢
数据完整性：文件莫名其妙地损坏、损坏或丢失
混乱的显示：显示缺失部分图像；显示混乱或不是预期的图像或内容
异常噪音：来自系统机箱的刮擦声、磨擦声、敲击声，甚至可能有蜂鸣声

常见问题

大多数（但并非所有）计算机硬件问题相对容易诊断，并且在许多情况下容易解决。否则，为什么专注于网络服务器的认证考试会包括故障排除和修复信息呢？ 作为系统管理员，你的技能应包括识别和解决常见硬件问题的能力。以下各节列出了几类硬件组件的常见故障。请注意，这些问题很可能以某种形式出现在认证考试中。

POST 故障

正如我们之前讨论的，启动过程中的 POST 阶段出现故障可能会导致启动过程停止。虽然 POST 会传达它检测到的任何问题，但这种通信的形式在不同的 BIOS/UEFI 版本之间有所不同。Windows PC 和 macOS 计算机都在启动过程中执行 POST 作为初步步骤。POST 验证了基本组件和设备的存在和功能，例如电源供应单元（PSU）、主内存（RAM）以及系统总线结构等。如果这些设备中的任何一个未能响应 POST，系统扬声器会发出一系列可听的蜂鸣声来提醒用户。

在 POST 运行期间，唯一可用的输出设备是系统扬声器。因此，POST 使用短促或长鸣的蜂鸣声模式来指示它发现的任何问题。这些代码通常是主板或计算机制造商特有的。没有统一的蜂鸣代码，每个制造商都有自己独特的代码。因此，在一个环境中，技术员可能需要具备多厂商蜂鸣声知识。

下表是使用蜂鸣代码的示例，并附有一些说明它们含义的插图。如所示，蜂鸣音有短和长两种。短蜂鸣音通常持续一秒钟，而长蜂鸣音持续两秒钟：

数量和长度	含义
1 短音	内存刷新故障
2 短音	POST 故障
4 短音	系统定时器故障
5 短音	CPU 故障
8 短音	显卡故障
10 短音	CMOS 故障
1 长音，3 短音	内存故障
1 长音	POST 成功

过热

计算机过热的原因有很多，但通常是由于忽视了预防性维护。灰尘在通风口和散热器上积累，以及系统机箱内部的灰尘可能会阻塞或限制原本用于冷却发热元件的气流。系统机箱内部的热量慢慢上升到超出安全工作范围的程度，也可能会慢慢导致主板上的电子元件和已安装设备的性能下降。损坏的原因是灰尘形成了绝缘层，导致热量无法散发，从而引起了热量积聚。

另一个可能导致计算机过热问题的因素是其位置与通风和气流的结合。一个良好的通风空间提供了一个基础环境，有助于计算机冷却系统工程设计时所假设的条件。其他因素包括直射阳光、靠近外部窗户、或者家具或物体阻塞气流。

对于一台存在过热问题的计算机，无论是间歇性还是持续性，解决方案基本上是逆转导致计算机过热的条件。用压缩空气清洁系统机箱内部，吹走任何积尘，特别是冷却系统的通风口、风扇、散热器和空气通道。你可以使用吸尘器清理灰尘，但确保使用的是不会产生静电的吸尘器。换句话说，千万不要使用家用吸尘器！

如果清洁后问题仍未解决，检查计算机的位置以及其对周围通风系统的访问情况。将计算机移出直射阳光下，并远离任何阻碍气流的物体。若问题依旧，可能是机箱风扇故障，散热器或 CPU 风扇安装不当，或者导热膏过多或过少。你需要逐一排查这些问题，消除它们作为可能的原因。

处理器故障

如果计算机的微处理器出现故障，这通常是其他问题的很好的迹象——不过到那个时候也无关紧要。处理器出现故障的原因只有几个，比如极端的电力冲击或雷击、尝试超频 CPU 失败，或者长时间过热造成的累积损害。大多数处理器现在都包含一种保护机制，当其工作温度过高时，会使其速度减慢或完全停止。虽然这个功能可以保护处理器免受突发和剧烈温度升高的影响，但从长远来看，尤其是对高负荷使用的处理器而言，它仍然可能逐渐开始出现故障。

监控新组装的商业计算机上 CPU 的温度可以建立一个可靠的基准。然而，如果你安装了新的 CPU 或冷却设备，任何不注意的错位或不正确的应用都会导致一个错误的基准。定期检查系统与这个基准的对比，实际上就是在追踪故障时间（TTF）。

那么，你如何 测量 CPU 的温度呢？ 而应该是多少温度呢？ 这在不同处理器之间略有差异，但一般来说，处理器应该在 45^o 到 50^o 摄氏度（C）的范围内工作，相当于 113^o 到 122^o 华氏度（F）。在满负荷状态下，比如玩游戏时，CPU 的温度不应超过 75^o C（167^o F）。某些处理器可以在更高的温度下运行，但不能维持太长时间，否则会损坏 CPU。

以下截图展示了三种不同软件工具的捕获画面——Core Temp、CPUID HWMonitor 和 Open Hardware Monitor，按顺时针方向从左上角开始。这些工具和其他类似工具报告了多个操作参数来进行监控：

监控处理器和核心温度的实用软件示例

内存故障

一台计算机，像人类一样，当其内存开始出现问题时，就无法正常运行。计算机中的内存相关错误和故障并不总是显而易见，而且在大多数情况下，似乎表明其他组件可能是问题所在。常见的内存问题包括：

逐渐变慢：当你第一次开机时，一切都运行得很快。然而，随着时间的推移，计算机变得越来越慢，直到下载一个网站或打开一个文档可能需要几分钟，而不是几秒钟。
随机重启：在你工作时，计算机会不定时地重启，重启之间的时间不固定，或者计算机会卡住，键盘和鼠标似乎无法工作。
文件损坏：虽然这通常看起来像是磁盘驱动器问题（也可能是），它也可能是内存问题。常见的内存故障可能会损坏一个常用的单个文件或文件系统，直到使磁盘驱动器无法使用。
安装失败：在安装或重新安装软件时，包括操作系统或大型应用程序，安装过程会停止、冻结，或者显示一个可能与实际问题无关的随机错误信息，这个问题很可能是内存问题。
蓝屏死机/红屏死机：蓝屏死机（BSoD）或它的“亲戚”红色屏幕，会迅速闪现显示器，告诉你可能存在问题（通常是内存问题），然后继续启动过程。

大部分情况下，内存问题的原因与影响 CPU 的原因基本相同——热量、电涌、电静电损伤、不当安装、超频 CPU、内存插槽损坏，或内存模块故障。

主板和组件问题

坏消息是，你可能认为主网络服务器的问题是主板问题。好消息是，问题可能并非真正是主板；它只是看起来像是主板的问题。记住，主板上有些组件是固定的，也有一些是安装在主板上的。附加组件、处理器、内存、散热系统等，可能是问题的根源，但不幸的是，最终问题可能确实是主板。

不必在意主板可能是计算机中最昂贵的组件这一事实——它可能是最难更换的组件。一旦你确信问题绝对是主板的问题，务必小心行事。在拆卸旧主板之前，标记每根电缆和线缆，注明它连接的设备、连接位置以及重新组装顺序。你会感激自己这样做的，相信我。

计算机的主要组件很少会突然完全故障。一般来说，它会随着时间的推移逐渐故障，发出一些警告信号，表明可能有问题，你应该去调查。以下部分列出了可能出现主板或其组件问题的几种迹象，顺序无关频率或重要性。

电容问题

主板上的三个主要电子组件是变压器、整流器和电解电容器。计算机电源中的变压器降低输入电力的电压。降压后的电力通过整流器将交流电转化为直流电。由于交流电波动，整流器产生的直流电也会波动。电容器，也被称为电解电容器或电容器，储存静态电荷。当主板上的直流电波动时，具有等效串联电阻（ESR）的电容器会提供足够的电流来升压电流。

一个可能的主板问题是电容器的故障。如下面的图片所示，故障的电容器可能会开始膨胀或顶端凸起，泄漏电解质材料，甚至发生火灾。电容器的故障不一定是紧急情况，但未经调节的直流电源可能开始损坏主板上的其他组件，包括处理器：

主板上的电容器显示膨胀的电容

图片来源：Wikipedia.com (https://commons.wikimedia.org/wiki/File:Defekte_Kondensatoren.jpg)

烧伤

如果电气组件，如电容器，发生爆裂或烧毁，结果通常是显而易见的：有电烧味（臭氧味）或主板上有烧毁的组件或电路的迹象。电子组件不一定需要起火才能看起来像是烧坏了。电气短路也能造成同样的效果。

USB 无法识别

你正在处理一台网络服务器，需要安装一个文件。你插入一个 USB 闪存驱动器，但屏幕上出现错误提示：“USB 设备无法识别：连接到此计算机的某个设备发生故障，Windows 无法识别它”。出现此错误可能有多种原因。然而，最好的方法是从最可能的原因开始排查。以下是一个处理过程：

验证闪存驱动器是否在其他端口或计算机上工作。如果在其他地方也无法工作，那就说明问题所在。
现在你已经确认闪存驱动器正常，检查 USB 端口是否有视觉上的损坏，尤其是如果它是外部设备，必要时更换它。
验证 USB 驱动器和 USB 根集线器（参考下面的截图）的设备驱动程序的有效性和版本（如果根集线器比实际 USB 端口多，不用担心）。如果需要，重新安装或更新设备驱动程序。
检查是否有松动的电缆、连接器或没有正确插入的线缆。替换或修复你发现的问题。

如果这些情况似乎是导致问题的原因，请采取适当的措施。然而，如果问题似乎不是硬件故障，那么问题可能出在操作系统、设备控制器、固件或根集线器设置上。请应用任何待安装的操作系统更新或补丁。更新系统固件，特别是如果更新涉及到 USB 或扩展总线。检查根集线器是否将 USB 设备置于选择性挂起状态：

检查 USB 根集线器设备驱动程序

扩展总线

扩展总线，也称为外部总线，提供了扩展插槽（以及插入其中的扩展卡）与系统总线之间的连接。大多数主板通常会包含多个扩展总线标准，以提供向后兼容性和组件灵活性。目前大多数主板上的扩展总线包括加速图形端口（AGP）、外设组件互联（PCI）、PCI 扩展（PCI-X）和PCI Express（PCIe）。PCI 总线是最流行的，通常出现在 PC 和 Macintosh 主板上。

与扩展卡和总线相关的常见问题之一是芯片松动。这种情况，也被称为电力松动，是由扩展插槽中金属连接器的温度变化引起的。随着时间的推移，扩展卡可能会开始晃动并逐渐从扩展插槽中脱落。解决这个问题的方法是将卡片牢牢地插入扩展插槽（当然，要在关机状态下进行）。

如果一张扩展卡在正确安装时没有问题，那么故障或性能问题很可能出现在与该卡相关的区域。扩展卡通常与一个或两个功能、组件或外部设备相关，如显卡、声卡和网络接口卡。因此，如果卡片出现问题，通常会表现为支持的设备出现问题。

如果一张正常运行的扩展卡突然出现问题，最常见的原因是过热和电源问题。过热可能会损坏卡片上的元件；不良的电源可能会造成严重影响；或者大范围的电涌可能会影响所有内部电子元件。另一种看似扩展卡问题的情况，可能是因为主板和芯片组包含了与已安装扩展卡相同的功能。移除该卡片可能会消除问题。

将卡片移到相同类型的不同扩展插槽中，可以验证故障是出在卡片、扩展插槽，还是与总线、设备驱动程序或芯片组有关。然而，解决扩展卡问题的最常见方法是将卡片更换为一个已知良好的卡片。

电源单元（PSU）

如果没有完全功能的电源单元（PSU），计算机就无法运行。计算机内部或连接的电子元件所需的电力，与其他任何电气设备的电力要求完全不同。是的，计算机确实通过插座连接电源，获得 110 伏或 220 伏的交流电，但其内部组件运行在+/- 3.3 伏、+/- 5 伏和+/- 12 伏的直流电上。交流电从插座转换为计算机所需的直流电，正是电源单元（PSU）的工作原理。

尽管电源单元（PSU）是计算机的主要组成部分，并且故障率最高，但当电源单元开始故障时，它是一件大事，而当它完全失效时则更为严重。早期检测到的电源问题可以防止其他内部组件出现严重问题，这些问题通常更难诊断。故障排除的最大挑战是，电源故障可能是计算机中任何电气问题的根源，而且往往的确是。以下是一些常见的迹象，表明电源单元可能正在故障或已经故障：

系统机箱背部靠近电源线连接处发出不寻常的噪音。
打开电源开关后，计算机没有启动，但计算机前面或后面会亮起闪烁的指示灯。
启动后计算机在非常短的时间内自动关机。
在玩游戏或使用应用程序时，计算机突然断电且没有任何警告，可能还会显示蓝屏（BSoD）。
新游戏的画面显示出现扭曲，电源单元的功率和电流不足以支持显卡。
计算机启动时，硬盘驱动器和冷却系统没有启动，导致系统死机。
接触金属机箱会产生电击。

解决电源故障的方法是更换电源，即使只是为了确认电源是否是检测到问题的根源。

硬盘驱动器（HDD）

机械故障是硬盘（HDD）问题最常见的原因，甚至在一定程度上也会影响固态硬盘（SSD）。硬盘的机械内部组件也是其运动部件，随着时间的推移，运动部件可能会磨损并故障。硬盘的故障几乎没有预兆。固态硬盘的故障周期要长得多，固态硬盘的常规保修期为十年，制造商声称固态硬盘可以保持功能超过 300 年。所以，我们还是聚焦于硬盘及其故障原因。

硬盘问题的常见原因包括以下几点：

热量：到现在为止，你应该已经意识到，计算机内部过高的温度是一个坏信号，而且长时间的高温会损坏或摧毁系统的关键组件。
湿气：似乎很合理，当硬盘浸泡在水中时，它可能会遇到一些问题。然而，问题不一定出现在硬盘外壳周围的主轴、磁头和盘片上，但水和电子组件的结合并不好。在没有完全干燥的情况下开机可能会导致电子组件短路，而不仅仅是硬盘上的组件。
静电放电（ESD）：另一方面，极度干燥的环境几乎能造成与潮湿环境相同的损害。静电积累可能导致组件或电路故障，包括硬盘。
电涌：交流电源中的常规电涌会随着时间的推移降低计算机的整体性能，但严重的电涌，例如雷击，可能会轻易摧毁硬盘驱动器以及计算机的所有电子元件。
物理损坏：硬盘驱动器的内部部件在精密公差下运行，设计上并不适应突然的震动、跌落或撞击。如果计算机，甚至仅是硬盘驱动器，被摔落、撞击或受到了足够的冲击力，硬盘很可能会发生故障。

如果你认为计算机问题可能是由硬盘驱动器引起的，可以使用自我监控、分析和报告技术（SMART）工具来显示其状态。此工具几乎在所有操作系统中都可以使用，包括 Windows、Linux 和 macOS X。以下截图显示了 SMART 硬盘错误 301 的结果，这表明硬盘驱动器出现故障，应立即进行备份：

显示 SMART 硬盘错误

视频显示

显然，如果计算机的视频显示上有垂直或水平线条或条纹，正如下面的截图所示，说明出现了问题。此情况可能是由硬件或软件问题引起的。请根据情况选择一种方法开始排查：

显示器上出现垂直线条和条纹，表示存在问题

如果你开始将显示问题排查为软件问题，请按照以下步骤操作：

访问显示器制造商的网站，进入支持页面，下载适用于你型号的图形设备驱动程序
如果有多个驱动程序，请一次安装一个，完成所有驱动程序后重启计算机

如果这些步骤解决了问题，那就是软件问题，很可能是操作系统与之前版本的设备驱动程序之间的冲突或不兼容造成的。

如果你首先将问题排查为硬件问题，或者软件排查步骤没有解决问题，请使用以下步骤排查带有分离显示器的系统：

重启计算机并打开 BIOS/UEFI 配置系统。如果问题与硬件相关，启动进入 BIOS/UEFI 设置会将视频显示从与操作系统关联的视频驱动程序和芯片组功能中隔离开来，并仅通过基本驱动程序支持显示。
如果在 BIOS/UEFI 系统中显示问题仍然存在，那就是硬件问题。不同制造商甚至同一制造商的不同型号修复方法不同。请访问制造商的网站，找到解决问题的具体操作流程。

无论显示器的品牌或型号如何，有几个通用的检查步骤。检查电缆，确保它在每一端都正确连接。验证显示器是否连接到计算机的正确插头和视频标准。检查电源线和视频连接电缆是否有 sharp 弯曲、物理损伤以及松动的电线连接。

最后一点——如果视频问题出现在笔记本电脑、平板电脑或其他集成显示屏的计算机上，最好将其送到专业维修技术人员处，最好是厂家授权的维修人员。

其他常见问题

除了我们已经讨论过的问题和原因外，计算机系统中还可能出现其他一些不太具体的问题。这些问题包括以下几点：

兼容的组件：如果必须更换计算机的主要组件，则更换件与现有或其他新组件的兼容性对于计算机性能的提升非常重要。有一些网站可以帮助你验证组件是否兼容。以下截图展示了其中一个网站的示例，pcpartpicker.com/：

在 PCPartPicker.com 上进行兼容性检查的示例

不兼容的 BIOS：当安装或升级 Windows 系统时，如果升级软件停止并显示 Windows 和计算机上的 BIOS 不兼容，问题可能是一个名为 非执行 (NX) 位的 CPU 设置。这是一个控制内存用于各种功能的开关设置，它会阻止部分安装程序的运行。要启用 NX 位，打开命令提示符（具有管理员权限），输入 exe /set {current} nx AlwaysOn 命令并按 Enter 键。关闭计算机（不要重启），然后重新启动。一切应该就绪。
服务器背板故障：背板是一块带有多个扩展槽的电路板，允许多个组件共享公共总线结构和电源。背板的质量取决于其插槽连接器，如果发生故障，某个插槽将被空置，从而允许更换背板。

环境问题

无论服务器机房或数据中心的地理位置如何，其环境应该基本相同。一个问题是，外部环境可能会出现温度、空气质量、湿度和极端天气条件等极端情况。服务器机房或数据中心必须提供一个有利于电子设备操作的环境，同时也要考虑到人类管理员的需要。

服务器机房的主要环境威胁包括温度、湿度、空气中的污染物以及电源的剧烈波动。以下是每个因素的简要说明：

温度：服务器房间的环境温度应始终保持在 50° F (10° C) 到 82° F (28° C) 之间，最佳温度范围是 68° F (20° C) 到 71° F (22° C) 之间。计算机可以在温度稳定的环境中运行，无论是冷还是热。当温度快速或频繁变化时，可能会出现如系统机箱内结露等问题。
空气质量：空气中的污染物，如灰尘、绝缘物以及其他颗粒，如果没有控制或清洁，可能会积聚在冷却系统、主板和计算机、存储设备、电源供应以及其他设备的电子元件上。空气中的水分也是一种污染物，可能会逐渐饱和内部组件。此类污染可能导致过热、电气短路和腐蚀等问题。
电力：电力服务电流的波动可能会损坏并可能摧毁服务器房间中的设备。电力浪涌、电压跌落、低电压和停电可能会给设备造成压力，甚至烧毁或短路电动机、控制器和其他电子元件。应该使用电源调节器和不间断电源供应（UPS）设备来平稳电力服务。

总结

电子组件中的计算机硬件故障是由设置、安装或配置中的问题引起的，这些问题导致其故障或失效。硬件问题包括间歇性故障、访问失败、随机重启和开机自检（POST）失败。系统管理员应具备识别和解决常见硬件问题的能力。

POST 过程验证了基本组件和设备的存在与功能。如果设备没有响应，会发出一系列可听的哔哔声来提醒用户。POST 使用短促或长音的哔哔声来指示问题。没有标准的哔哔声代码。

计算机常常因忽视预防性维护而过热。机箱内的灰尘会阻碍空气流通，而空气流通本应用于冷却组件。系统机箱内的热量会逐渐损坏电子元件。解决过热问题的方法是用压缩空气清洁通风口、风扇、散热片和空气通道。

处理器失败有几个原因：极端电力浪涌、超频或过热。测量 CPU 温度可以设定基准。任何不对齐的情况都可能造成错误的基准。处理器应在 45° 至 50° 摄氏度（113° 至 122° 华氏度）之间工作，且不应超过 75° C（167° F）。

常见的内存问题包括逐渐变慢、随机重启、文件损坏、安装失败和蓝屏死机（BSoD）。内存问题的原因与 CPU 问题相同：热量、电力波动、静电损伤、安装不当、超频、内存插槽损坏或内存模块故障。

主板上的三种电子组件分别是变压器、整流器和电解电容器。变压器将输入的电压降低，整流器将交流电转换为直流电。电容器储存静电电荷，ESR 用它来提升电流中的电压下陷。故障的电容器会膨胀顶部、泄漏电解物质或着火。

当前大多数主板上的扩展总线包括 AGP、PCI、PCI-X 和 PCIe。PCI 总线是最常用的，PC 和 Macintosh 主板上都有。

电源供应单元（PSU）将 110 伏或 220 伏的交流电转换为 3.3 伏、5 伏和 12 伏的直流电。PSU 可能出现故障的常见迹象包括奇怪的噪音、开机时不启动计算机、计算机自动关机、硬盘驱动器（HDD）和冷却系统无法启动。硬盘驱动器的机械故障是最常见的问题原因。硬盘问题的原因包括高温、潮湿、静电放电、电源浪涌和物理损坏。

服务器机房或数据中心必须提供一个有利于电子设备运行的环境，同时也要考虑到人类管理员的需求。服务器机房的主要环境威胁包括温度、湿度、空气中的污染物以及电力源的极端波动。

问题

负责管理和维护一组服务器的系统管理员必须具备的核心技能是什么？
1. 应用程序编程
2. 识别常见硬件问题
3. 修理 HVAC 系统故障
4. 监控环境条件
以下哪项不是常见的计算机硬件故障？
1. 缓冲区溢出
2. POST 失败
3. USB 设备无法识别
4. 访问失败
开机后立即运行并验证硬件组件和设备存在的过程是以下哪个？
1. BOOTP
2. DHCP
3. POST
4. AGP
POST 过程发出的声音，用于指示错误来源的声音叫做以下哪个？
1. 嘀嗒声
2. 迪菲-赫尔曼（Diffie-Hellman）
3. 状态警报
4. 蜂鸣代码
以下哪个是计算机过热的常见原因？
1. 阻塞的气流通风口
2. 一个坏的 CPU 风扇
3. 被忽视的预防性维护
4. 以上所有
处理器应该在计算机机箱内部的哪个温度范围内工作？
1. 10°C 到 45°C
2. 45°F 到 50°F
3. 113°F 到 122°F
4. 75°C 到 85°C
以下哪个不是内存问题的常见原因？
1. 静电放电（ESD）
2. 超频
3. 一个故障的内存模块
4. 一个坏的 PCI 插槽
以下哪个不是计算机中常见的电子组件？
1. 一个变压器
2. 一个电容器
3. 一个 CMOS
4. 整流器
5. 以上所有
6. 以上都不是
缩写 PCI-X 代表以下哪个？
1. 外围组件接口扩展
2. 外围集群互联扩展
3. 外围组件互联扩展
4. 打印机指令电子
以下哪项通常不被认为是服务器机房或数据中心的潜在环境危害？
1. 灰尘
2. 湿度
3. 阳光
4. 电涌

第十六章：常见的软件问题

许多软件问题是由硬件问题引起的。然而，软件本身也可能创造、引发或产生与硬件问题相关，或者完全独立于硬件问题的故障、缺陷和错误。在本章中，我们将回顾常见的软件问题、其原因以及一些用于故障排除的工具和实用程序。

本章我们将探讨的具体主题领域如下：

常见软件问题
常见问题原因

软件问题

通常情况下，当一个应用程序或某些系统软件在服务器上运行时，它已经在测试环境中经过充分测试，经过模拟生产环境的运行，并在密切监控下发布到生产环境。当然，好的。也许并非所有软件都经历了如此严格的测试和试用过程，尽管它们应该如此。除了逻辑错误、编程结构和接口问题，貌似是软件错误的情况，也可能是硬件故障通过软件表现出来的，或者该软件与安装的平台不兼容。

软件问题不仅仅是应用软件的专属领域。问题和错误可能是由于系统软件、设备驱动程序、实用软件，甚至诊断和分析软件配置不当、安装不当或不兼容所导致的，当然，应用软件也可能是原因。在接下来的部分中，常见的软件问题分为两大类——与硬件相关的软件问题和操作系统问题。

Windows 文件恢复

Windows 系统上有四种类型的文件恢复：

系统文件检查器（SFC）：sfc.exe 文件会扫描硬盘，查找损坏的系统文件和文件夹。SFC 与 Windows 资源保护 (WRP) 协同工作，后者保护注册表文件和其他重要的系统文件。SFC 也可以在 Windows 安全模式下执行，以消除与第三方软件的冲突。以下截图显示了 sfc.exe 的典型结果：

SFC 工具的输出

部署映像服务与管理（DISM）：该命令行工具基本上是一个多功能工具，可以扫描、检查、恢复和修复硬盘上的损坏文件或作为映像文件的一部分存储的文件。以下截图显示了 DISM 的示例：

DISM.exe 工具

替换损坏的文件：如果有损坏文件的最后一个已知良好副本的备份，可以直接用该良好文件的副本覆盖损坏的文件。请记住，可能需要首先取得损坏文件的所有权（takeown）并获得完全的管理员权限（icacls）。
恢复系统：如果其他所有方法都无法恢复损坏的文件，或者损坏的文件、文件系统或分区过大，那么最佳的解决方案可能是将系统恢复到最后一个已知的良好状态。

Linux 文件恢复

Linux 系统上有多个数据和文件恢复工具。这些工具从能够从损坏的分区或卷中找出并复制可恢复的数据和文件到良好的存储介质（如Ddrescue）开始，还有一些工具尝试修复损坏的文件结构并恢复损坏文件和图像中的数据，如TestDisk。许多在 Linux 上运行的相同工具也可以在 macOS 上使用。

与硬件相关的软件问题

首先，某些软件问题实际上是硬件问题，甚至可能是恶意软件问题。在某些情况下，可能难以立即确定问题的根本原因，你只能做出最佳猜测。然而，下次你会有更好的思路来处理这个问题。你首先应该关注的故障排除内容，正如吉尔斯特法则所解释的，内容如下：

"你永远无法预测；一切都取决于情况。"

常见的与硬件相关的问题，可能表现为软件问题，包括以下内容：

死蓝屏（BSoD）：BSoD 是 Windows 的错误报告屏幕（见下方截图），它通知计算机操作员发生了停止错误，这会使操作系统停止运行。此状况表示操作系统发生了与特定硬件组件或该硬件的设备驱动程序相关的操作错误。Windows 会收集与故障相关的数据并重新启动。BSoD 也可能由操作系统内核的组件显示。应用软件通常不会导致 BSoD，除非它引发硬件或操作系统错误。然而，当应用程序崩溃时，它通常不会影响操作系统或硬件：

Windows 10 系统的蓝屏（BSoD）

磁盘启动失败：这也称为操作系统启动失败。造成此错误的最常见原因可能是 BIOS/UEFI 中的启动顺序将 CD 或 DVD 驱动器设置为主要启动设备，而该驱动器为空，或者里面放的不是启动盘。在这种情况下，用户应移除 CD 或更改 BIOS 启动顺序并重启计算机。然而，问题也可能是新购买的未格式化硬盘，或者硬盘未连接电源。
无法挂载驱动器：此错误的原因取决于你使用的操作系统。在 Windows 系统上，这个问题很可能是与外部硬盘（很可能是 USB 硬盘）有关的硬件问题，具体问题可能出在 USB 端口、连接线或外部驱动器上。而在 Linux 系统上，这个问题可能是文件系统损坏，或者是文件系统表（fstab）文件出现问题。

常见的操作系统问题

尽管我们希望操作系统是非常稳定且没有错误的，但现实和经验告诉我们，事实并非如此。操作系统和所有软件一样，在与不同的、且常常不兼容的资源结合时，可能会出现问题和错误。

以下是您可能在 Server+ 考试中遇到的常见操作系统问题和错误：

用户无法登录：用户登录问题在所有主要操作系统—Windows、macOS 和 Linux 上基本相同：
- Windows：请参阅下表，了解常见的操作系统相关登录问题。以下截图所示的错误消息框是 Windows 登录失败的常见示例：

Windows 登录错误消息框

- macOS：像其他操作系统一样，macOS 不要求用户设置密码，但强烈推荐使用密码。然而，如果忘记了密码或用户名，可以通过管理员模式、单用户模式或 Apple ID 账户重置其中之一或两者。
- Linux：大多数 Linux 版本和发行版采用 可插拔认证模块（PAM）来验证用户名和密码凭据。如果用户无法使用有效凭据登录，可能需要使用 pam-auth-update –package 命令重建 PAM 表。

常见的 Windows 用户登录错误及其可能的原因包括以下内容：

消息	问题
Windows 无法登录到您的账户。	密码已更改或已安装升级。
Windows 无法使用密码登录。	文件中的密码与输入的密码不同。
我们无法登录到您的账户。	用户配置文件丢失或损坏。Windows 升级可能会导致用户登录问题。
用户配置文件服务未能登录。	用户配置文件无法加载。
无法显示登录屏幕。	这很可能是启动（启动）问题。

用户无法访问资源：如果此错误表示拒绝访问单台计算机上的资源或共享网络资源上的资源，那么很可能是个别用户账户或用户所在组账户的权限问题。然而，如果错误是关于拒绝访问对等网络上的资源，问题可能是 TCP/IP 配置问题或某个对等工作站上的浏览器错误。
用户无法打印：在大多数情况下，这个问题可能仅仅是受影响计算机上的打印机驱动程序不正确，或者可能是组策略问题。通过使用一个已知的账户登录来隔离问题，确定问题是本地的还是全局的。
驱动程序问题：新设备如果使用旧型号的驱动程序，可能无法获得最佳效果。驱动程序问题通常是与其关联的设备驱动程序的兼容性问题。这些问题也可能由 BIOS/UEFI 配置中的错误引起。
无法写入系统日志：用户必须具备写入系统日志文件的授权。在 Windows 系统中，您需要在注册表中编辑要授予用户写入权限的日志文件条目，路径为 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。在 Linux 系统中，应创建一个由用户拥有的日志文件目录。
操作系统性能变慢：当一个或多个程序占用系统资源，尤其是 CPU、内存和二级存储时，所有操作系统都会变慢。使用适当的工具，如 Windows 的任务管理器、macOS 的活动监视器和 Linux 的 systemctl 命令，结束那些不重要的资源占用进程，并可能查看启动文件中的程序和服务。
进程失控：任何进入无限循环并可能启动其他任务的程序或服务都属于失控进程。在 Windows 系统中，打开任务管理器并结束该进程。在 macOS 系统中，使用活动监视器结束该进程。在 Linux 系统中，使用 ps 命令来杀死该进程。
补丁更新失败：如果在应用补丁后，操作系统中的一个或多个组件、服务或应用程序出现问题，并且您确定问题出在更新或补丁上，使用系统的备份工具恢复到先前的状态。在 Windows 中，这个功能是在设置菜单中的“返回到先前版本”。在 macOS 系统中，从恢复模式运行重新安装 macOS 工具。在 Linux 系统中，使用 GRUB 菜单中的“最后已知良好”选项。
服务失败：消息“服务无法启动，可能是因为它被禁用或没有启用的设备与之关联”表示一个或多个服务、程序或脚本未能启动。您需要隔离该服务并重新加载它，或者更新到新版本。
关机时挂起：如果操作系统在关机时无法正常关闭，通常是以下三种基本问题之一：某个进程或服务无法停止，设备驱动程序卡住或正在占用设备，或者恶意软件导致操作系统挂起。
内存泄漏：当程序在不再需要时未能释放其分配的部分或全部内存时，便会发生内存泄漏。内存泄漏也发生在软件将一个无法通过其编程代码访问的对象加载到内存中时。如果执行了多个导致问题的程序实例，系统最终可能会耗尽可用内存。像 Windows 内存诊断工具（见下图）这样的工具可以帮助解决这些错误：

Windows 内存诊断工具可以用来解决内存泄漏问题

常见问题原因

前面部分讨论的许多问题有不同的原因，有些问题甚至会导致其他问题。在接下来的部分中，我们将讨论常见的服务器硬件问题原因，特别是你可能在 Server+考试中遇到的那些问题。

用户账户控制（UAC）

在 Windows 计算机上，这个控制功能是 UAC。在 Linux 计算机上，相应的控制功能是sudo命令，它比 Windows UAC 出现得早得多。

Windows UAC

UAC（和sudo）的目的是限制对系统的更改，只有那些被授权的人才能进行更改。在大多数情况下，这应该是使用管理员级别账户的管理员的责任。启用 UAC 时的问题在于，每次安装新的或修改过的软件时，用户都必须输入管理员密码。UAC 可以设置为四个级别之一，从“始终通知”到“从不通知”，如以下截图所示。

根据系统管理员设置的 UAC 级别，用户必须输入管理员账户密码（始终通知）或者永远不会要求输入密码（从不通知）。过多的用户账户控制可能导致安装错误、恶意软件以及严重的应用程序或系统错误：

Windows UAC 设置系统更改控制级别

访问控制

虽然它们使用稍微不同的格式，但 Windows、Linux/Unix 和 macOS 本质上使用相同的访问权限结构。访问权限和权限在三个层次上指定——所有者（创建者）、所有者的组以及其他所有人。Linux 和 macOS，作为基于类 UNIX 的系统，使用相同的权限方案。而 Windows 虽然相似，但以非常不同的方式呈现。

在 Windows 系统中，定义用户或组可以访问、打开、修改、写入或删除的权限的等效访问控制列表，是在用户或组的权限中定义的。以下截图显示了 Windows 高级安全设置对话框，它提供了对所有用户或组现有权限的访问，以及管理员修改权限的权限：

Windows 高级安全设置对话框

因为 macOS 操作系统是建立在可移植操作系统接口（POSIX）之上，而 POSIX 是一个类 UNIX/Linux 系统，因此 macOS 和 Linux 基本上使用相同的命令和权限集来允许或限制用户访问资源。系统管理员不仅可以指定文件所有者、所有者所在的组以及其他所有人的访问级别，还可以控制谁能够执行可能更改或操作文件、目录或内容的特定命令。

Linux/UNIX/POSIX 文件或目录的文件权限呈现形式如以下截图所示。在显示的最左边部分，共有四个部分。第一个是一个字符，表示是目录 (d) 还是文件 (-)。接下来的九个字符是三组权限指示符，从左到右，分别表示文件所有者、所有者所属组和所有其他用户的权限。例如，apps 目录的第一个位置是 d，且三个权限组都有读取 (r) 和执行 (x) 权限。game1 文件不是目录（-），并且所有者和组拥有读、写 (w) 和执行权限。其他用户的权限只有读和执行：

一个显示类型、权限、所有者、组、大小和创建信息的 Linux 目录文件列表

在任何操作系统中，如果用户尝试访问或执行他们没有权限的文件或目录，系统会要求用户输入密码，或者至少会询问他们是否确实想要进行这个操作。

损坏的文件

文件、文件系统，甚至，天哪，硬盘分区损坏的原因有很多种，且各不相同。不幸的是，通常你会在数据或程序需要使用的那个关键时刻才发现这个问题。虽然并非所有损坏的文件都能恢复，但大多数是可以的，具体取决于损坏的程度以及在某些情况下，是什么原因造成的。不过，也有些情况，即使硬盘盘片破裂、遭遇严重的水灾或火灾等灾难，数据也能被恢复。大多数情况下，像你这样的服务器管理员可能只会遇到一些系统无法找到或读取的文件。

硬盘空间问题

你正在安装新的关键任务软件时，出现了类似下图所示的错误通知。快速反应（这可能是正确的反应）通常是删除硬盘上不再使用或已被遗忘的文件。然而，也有其他的选择需要考虑：

Windows Server 中的低磁盘空间弹窗

在 Windows 中，要释放磁盘空间，你可以使用以下选项：

压缩：压缩硬盘上所有或大部分文件可以释放空间。在某些情况下（这实际上取决于被压缩的数据），甚至可以释放高达 20%的硬盘容量。不过，请记住，这可能会减慢 I/O 操作。
磁盘管理工具：Windows 磁盘管理工具允许你重新分配健康的磁盘空间，但该空间没有分配驱动器字母。请确保已备份整个磁盘，以防忘记有关该空间的某些内容。无论如何，你可以将这些空间添加到系统磁盘分区中。
临时文件夹：磁盘空间不足的问题可能是由于Temp文件夹最近没有清空，甚至从未清空过。
存储感知：这是另一个 Windows 工具，它可以识别占用不成比例磁盘空间的临时文件，并提供删除它们的机会。
磁盘清理：这是另一个 Windows 工具，它报告几个临时数据存储正在使用的空间量，并提供清除所有或部分空间的选项。

在 Linux 和 macOS 上，以下选项可用：

磁盘使用/磁盘空闲：这两个命令（du 和 df）分别列出当前挂载的文件系统中使用和空闲的磁盘空间。
列出打开的文件：另一个可以帮助你找到空闲空间或可以释放的空间的命令是 lsof 命令。该命令有十多种选项，可以列出当前正在使用并由运行中的任务打开的文件。这个列表会标识出那些可能不应该删除的文件。

系统资源不足

不幸的是，系统资源 这个术语不够具体，当它出现在错误信息中时，比如内存错误 或 系统资源不足，可能并没有提供任何具体的信息。例如，内存错误并不意味着你已经用尽了所有可用的主内存。在大多数情况下，它实际上意味着计算机已经用尽或耗尽了系统为其预留的、称为堆的内存区域。堆是一个运行中的任务动态分配的内存区域，它位于从系统分配的内存之外。当为堆保留的内存区域用完时，就会生成内存错误。堆也被认为是系统资源的一部分。

在大多数情况下，因系统资源不足而导致的错误的直接修复方法是重新启动计算机。然而，要追踪问题并修复它以避免它继续发生，你需要隔离出问题的根本原因。如果每次运行某个特定应用程序时都会出现此问题，请注意其他正在运行的程序。你可能存在兼容性或资源争用问题。

无论如何，你应该使用事件日志和任务管理器（参见以下截图）来调查问题发生时正在运行的内容，以及哪些任务主导了 CPU 和主内存。你知道，问题也可能是你需要更多的 RAM：

Windows 任务管理器可以帮助识别资源利用率

虚拟内存问题

虚拟内存，像所有虚拟的东西一样，根本不是内存。它只是操作系统将一部分辅助存储视为主内存扩展的空间。虚拟内存，也叫做交换文件，允许计算机运行更多的任务。操作系统将空闲任务的一部分从主内存移到虚拟内存中，以便让正在运行的任务使用现在可用的内存空间。虚拟内存的缺点是大多数辅助存储设备，比如硬盘驱动器（HDD），比 RAM 慢得多，这可能会增加处理过程的延迟。

一个常见的虚拟内存问题是在显示“虚拟内存不足”警告时出现，如下面的截图所示。这种错误意味着主内存中运行的任务太多，结果导致 RAM 不够用。如果这个问题频繁发生，最好的解决方案是增加 RAM 容量。其次的解决方案是增加虚拟内存的大小。关于虚拟内存的配置没有硬性规定，但其大小不应超过计算机上安装的 RAM 的 150%。准确地配置虚拟内存的大小是一个挑战。太多或太少都可能适得其反，并且拖慢计算机运行速度：

Windows 低虚拟内存警告

启用虚拟内存时可能出现的另一个问题是由损坏的页面文件引起的。虚拟内存实际上是一个页面文件（准确地说是pagefile.sys），它是在硬盘上分配的一个空间，操作系统可以将空闲的程序和数据临时存储在这里。当你最小化桌面上的窗口或暂停应用程序时，部分或全部任务变为空闲任务。通过将它从 RAM 中移到页面文件中，其他竞争 RAM 的任务可以运行得更快。那么，如果页面文件损坏了会怎样？ 好消息是，虚拟内存只有在没有足够的 RAM 来支持计算机上的任务时才会被使用。如果你从来不缺少 RAM，页面文件本身就会处于空闲状态。否则，可以运行我们之前讨论的sfc /scannow命令来修复页面文件。

碎片化

当一个非常小的文件写入硬盘时，它会被放置在一个称为扇区的小磁盘区域内，通常该扇区的大小为 512 字节。如果一个更大的文件，比如 1MB 大小的文件，写入硬盘，它显然不能完全放入一个扇区。因此，磁盘控制器会将文件分成约 2,000 个片段，并将每个片段存储到一个扇区中。并非所有可用的扇区都是连续的，因此文件片段最终会被分散存储在磁盘的各个位置。随着其他大文件和小文件占用磁盘中的扇区，以及我们第一个文件的片段逐渐变化、增大或消失，扇区会被释放或创建新的扇区。随着扇区的更替，文件片段的原始位置变得更加分散和随机。这就是碎片化。

硬盘碎片化可能导致可靠性问题，如启动失败、文件损坏、系统挂起以及数据错误或丢失。它还可能导致性能问题，如 I/O 操作变慢、磁盘扫描时间延长和磁盘抖动现象加剧。碎片整理工具会重新排列文件片段，使得文件的片段尽可能接近连续的扇区和连续的磁道。

打印问题

各种类型的打印机仍然是任何网络中不可或缺的部分，无论是大规模网络还是小型网络。然而，技术的发展使得更少的打印机可以为更大的用户群体提供服务。这是因为多种相关技术的发展，主要是由于打印服务器的演变。

打印服务器是提供网络客户端与一个或多个网络打印机之间接口的软件或专用设备。它在大多数情况下也是一个单点故障（SPOF）。与软件和硬件一样，目前没有统一的标准协议用于将打印任务发送到打印服务器，再由打印服务器传递给打印机。将打印服务器添加到网络中可以解决许多打印问题，不仅对用户有帮助，也能帮助管理员解决问题。

打印服务器常见的问题是变慢。有多个原因可能导致打印服务器运行缓慢，包括一些特定于特定安装的原因，但也有一些原因如下：

瓶颈：如果打印服务器在队列中有多个打印任务时似乎会锁死，可能是内存或某个服务正在消耗其资源。了解可能导致此问题的最佳方法是，在没有打印任务运行时监控 Windows 任务管理器，然后在运行一个打印任务和多个打印任务时再进行监控。在此过程中，您应该能够找到罪魁祸首。
打印管理：你可以在 Windows 打印管理页面访问网络打印服务器的设置，如以下截图所示。将每个打印机的选项设置为在缓冲后打印、优先打印缓冲的作业并为其分配相对优先级，可以建立一个排队系统，避免竞争。

显示打印服务器支持的打印机属性的 Windows 打印管理页面

其他补救措施：每个网络都有一定的独特性，尤其是在涉及打印机时。为了加速基于网络的打印，可以采取多种措施，但这些措施可能对某些特定的网络有效，也可能无效。以下是其中的一些措施：
- 专用存储上的打印缓冲：在支持活跃或大规模应用程序的计算机上进行打印作业缓冲可能会减慢相关的 I/O 操作。将一个独立的硬盘专门用于打印缓冲器可以加速处理。
- 为打印服务器添加存储：大多数用户并未考虑到这一点，或者即使知道，也忽略了，打印作业在为打印机渲染时会增大大小。如果多个打印作业争夺打印服务器上的存储空间，可能会导致瓶颈，进而减慢打印服务器的整体性能。为打印服务器添加额外的辅助存储可以避免此问题。
- 清空队列：有时，打印作业会在打印队列中卡住，阻塞所有其他排队的打印作业。有几种方法可以强制清空打印队列——结束打印缓冲服务，或从命令行运行 net stop spooler，然后删除缓冲区中的队列。

日志文件

操作系统会保留日志文件，这是一件好事。日志文件提供了事件、操作、错误以及需要警告的操作的历史记录，同时也记录了一些好的事件。排查操作系统或应用程序问题时，通常应从查看和分析系统的一个或多个日志文件开始。以下截图展示了 Windows 事件查看器，它提供了查看各种系统日志文件内容的功能：

Windows 事件查看器可以用来扫描日志文件以查找问题

在 Linux 或 macOS（POSIX）系统上，系统日志会集中保存在 /var/log 目录中。以下截图展示了在 Linux 系统上列出并显示一个日志文件的命令行输入。所有三个操作系统都有用于查看和分析日志文件的第三方软件包：

从命令行显示的 Linux 日志文件

操作系统监控工具

Windows、Linux 和 macOS 都包括一组可以监控服务器全部或部分性能的命令或窗口。虽然有一些第三方工具可能更强大且直观，但如果你需要检查操作系统和计算机的一个或多个活动或条件，系统自带的实用工具应该能胜任。下表展示了每个系统用于监控不同性能领域的一些命令或工具：

组件/功能	Windows	Linux	macOS
活动进程	任务管理器	`ps`	活动监视器
磁盘剩余空间/使用情况	文件资源管理器	`df`/`du`	关于本机/存储
可用内存/使用情况	资源监视器	`free`	活动监视器
系统状态	任务管理器	`top`	关于本机/更多信息

Windows、Linux 和 macOS 中用于监控性能领域的工具或命令

摘要

系统软件问题可能源于设备驱动程序、实用软件、诊断软件和应用软件的配置错误、安装不当或不兼容。常见的硬件相关问题可能表现为软件问题，包括蓝屏死机（BSoD）、磁盘启动失败和驱动器挂载问题。常见的操作系统问题包括用户无法登录、用户无法访问资源、用户无法打印、设备驱动程序问题、系统日志错误、性能缓慢、进程失控、服务故障和内存泄漏。

Windows 定义了对用户或组的访问权限。macOS 和 Linux 允许或限制用户访问并控制用户对文件的操作能力。Windows 的文件恢复选项包括 SFC、DISM、替换损坏的文件以及将系统恢复到早期的检查点。Linux 系统使用工具从损坏的介质中查找并复制可恢复的数据，以及从损坏的文件中恢复和修复数据。许多 Linux 实用程序也可以在 macOS 上运行。Windows 上的磁盘空间不足警告和错误可以通过压缩、Windows 磁盘管理工具以及清理临时文件或搜索工作文件中的不必要数据来解决。在 Linux 和 macOS 上，du 和 df 命令显示使用的磁盘空间和剩余的空间，lsof 命令则显示不应删除的文件。

解决系统资源短缺的方法是重启计算机。使用事件日志和任务管理器查看问题发生时正在运行的进程，以及哪些进程占用了 CPU 和主内存。虚拟内存的常见问题是“虚拟内存不足”警告，意味着没有足够的 RAM 来支持当前的需求。硬盘碎片化可能导致启动失败、文件损坏和数据错误。磁盘碎片整理工具通过将文件块尽量排列在连续的扇区和轨道上来减少碎片。

打印服务器是一个单点故障（SPOF），可以解决许多打印问题。打印服务器的一个常见问题是性能变慢，可能是由于瓶颈、缺乏打印机管理或打印缓存所需的存储空间不足所导致的，可以通过为打印服务器添加存储并清理打印队列来解决。日志文件记录了计算机上运行的作业的事件、操作、错误和警告。排查任何软件问题时，应该从查看系统日志文件开始。在 Linux 和 macOS 上，系统日志位于 /var/log 目录。

问题

你正在培训一位新的网络服务器操作员和技术员。不幸的是，他无法登录服务器。而你可以成功登录。可能是什么问题？
1. 服务器已关闭。
2. 他正在使用错误的用户名和密码凭据。
3. 他没有访问服务器的权限。
4. 每次只能有一个管理员账户处于活动状态。
如果你能访问远程网络服务器上的文件夹及其文件，但无法删除过期的文件，那么你缺少什么文件夹权限？
1. 执行
2. 读取
3. 写入
4. 删除
由多种问题引起的通知显示，包括设备驱动程序问题、硬件故障或组件超出其操作限制？
1. 蓝屏死机（BSoD）
2. POST 响应码
3. 闪烁的控制台灯
4. 桌面卡死
当程序未能释放不再使用的分配内存时，出现的条件是以下哪种情况？
1. 内存溢出
2. 内存奇偶校验错误
3. 内存崩溃
4. 内存泄漏
以下哪项可以用来识别硬盘分区上的损坏文件？
1. systemctl
2. GRUB
3. SFC
4. 用户帐户控制（UAC）
以下哪些方法可以用来释放 HDD 上的空间？
1. Windows 磁盘管理
2. 磁盘压缩
3. 虚拟内存
4. fdisk
在 Linux 系统中，哪个命令行命令可以显示文件系统中可用磁盘空间的位置和数量？
1. du
2. df
3. lsof
4. fs
什么功能可以保留硬盘的一部分来扩展主内存的大小和容量？
1. 虚拟机
2. 虚拟内存
3. 虚拟磁盘
4. 虚拟局域网
以下哪个系统工具尝试将文件扇区移动到硬盘驱动器的顺序位置？
1. 降磁
2. 解压
3. 解密
4. 磁盘碎片整理
操作系统创建并维护一个记录，记录了系统上运行的应用程序和服务的事件、操作、错误和警告。这些记录保存在什么类型的文件中？
1. 缓存
2. 队列
3. 日志
4. 索引
5. 注册表

第十七章：常见的网络问题

几乎每个企业和组织都依赖于计算机网络来进行信息处理、分析、应用和媒体共享，此外，还包括电子邮件、网页访问、日程安排和个人生产力应用程序。在大多数情况下，网络已经融入到这些组织的日常工作中，其可用性被视为理所当然。然而，当技术问题导致网络瘫痪时，网络管理员必须迅速识别问题、解决问题并确保网络的完整性——这一切都需要在最短的时间内完成。

本章中，我们将讨论一些常见的网络问题及其原因，以及一些常用的网络操作系统（NOS）工具和资源，这些工具通常是故障排除过程中常用的。将介绍的具体主题如下：

常见的网络问题及其原因
故障排除过程中使用的 NOS 资源

常见网络问题

常见的网络问题列表可能因组织而异。任何组织的常见问题是由多个变量决定的，例如预算、人员、培训和环境。以下部分列出的常见网络问题是 Server+ 认证考试中标明的问题。

Internet 连接

在某些工作环境中，丧失互联网连接可能不会构成太大问题，特别是当网络上的活动是本地的，不需要连接到广域网（WAN）时。然而，在某些时候，访问组织网关路由器之外的互联网是必要的，用户也期待服务可以正常使用。

局域网（LAN）和广域网（WAN）之间的通信链路包括多个组件，每个组件都有可能导致链路中断。以下列表包括这一链路的主要部分，以及它们可能导致互联网连接丢失的潜在原因。当然，在检查这些潜在原因之前，你首先需要检查电源线和插头：

电缆：在有线网络中，松动的连接或故障的连接器通常会导致连接问题。
连接：在无线网络中，主机可能无法连接到接入点或路由器，如果能够连接，则应能看到互联网。
网络接口控制器（NIC）故障：如果主机具有自动私人 IP 地址（APIPA）地址，接下来要检查的是网络接口卡（NIC）或网络适配器，看它是否正常工作。检查其状态的最简单方法可能是在 Windows 设备管理器中查看。如以下截图所示，打开网络适配器的属性可以查看其功能状态。如果它没有正常工作，下一步是确定原因：

设备管理器和网络适配器的属性框

网关配置：如果主机无法看到网关设备，但你知道网关有电并且应该正常工作，那么有可能是网关配置被更改、损坏或遭到黑客攻击。
服务可用性：无论你订阅的是哪种类型的互联网服务，如果主机能够连接到网关设备，但无法连接到互联网，问题可能是设备故障或服务提供商存在问题。如果连接的用户端没有任何故障，这可能意味着 ISP 的服务出现了故障。稍后在本章中我们将介绍更多网络状态检查命令。

配置

网络性能和连接的一个常见问题是各种组件的配置，包括硬件和软件。NOS（网络操作系统）、主机及其操作系统、所有网络设备中的网络适配器以及相互连接的交换和路由设备的配置必须兼容，并与网络的目的和功能保持一致。

以下各节介绍了网络中可能遇到的常见配置问题。

动态主机配置协议（DHCP）服务器

互联网，甚至某些内网地址问题的一个常见原因是 DHCP 服务器配置不正确。另一个常见的相关问题是域名系统（DNS），但稍后我们会详细讨论。完全有可能启动一个网络主机，但它没有从 DHCP 服务器接收 IP 配置。如果主机的用户从未尝试访问主机之外的任何资源，通常不会出现问题。然而，若没有有效的 IP 配置，主机在可访问范围方面将非常有限。

主机未能接收 IP 配置的常见原因有两个：没有网络连接和 DHCP 服务器问题。第十五章，常见硬件问题，讨论了网络接口卡（NIC）的问题，但让我们来看一下 DHCP 服务器问题。

APIPA

一个问题可能是，如果 Windows 主机有网络连接，但在启动后，它被配置了一个不寻常的 APIPA 默认地址。这个地址来自一个保留的 B 类地址组 169.254.0.0/16。APIPA 配置的目的是允许启动过程和 IP 配置完成，以便主机能够在本地网络上运行。路由器不会转发 APIPA 地址，但本地网络的资源应该是可以使用的。然而，这种访问依赖于局域网中任何交换机的配置。

在分配默认 IP 地址后，APIPA 服务大约每五分钟检查一次 DHCP 服务器的存在。当 DHCP 服务器再次上线时，它会用 DHCP 配置替换 APIPA 配置。

DHCP 地址

配置 DHCP 服务器时最常见的问题是发放重复的 IP 地址配置、地址池耗尽以及静态地址分配配置错误。

同一 IP 地址分配给两个或多个主机的问题，可能发生在多个设备（如路由器、交换机或网络服务器）启用了 DHCP 服务器功能，并使用重叠的地址范围（称为范围），导致之前分配给主机的静态地址被重复分配。

耗尽（或清空）地址池意味着下一个请求配置的主机将配置为 APIPA 地址。

DHCP 服务器通过三种方式之一将 IP 地址及其相关配置分配给网络主机：

自动：这种分配形式将一个 IP 地址永久分配给主机，即无限租期。
动态：在此分配选项中，DHCP 服务器从预定义的地址范围中分配 IP 地址，租期为预设的时间段。此选项允许进行续租。
静态：分配给主机的特定 IP 地址。静态 IP 地址是一个保留地址，并且永久链接到主机的 MAC 地址。

其他配置错误的设备

如果服务器或网络的一个或多个组件配置错误，可能完全没有影响。或者，它可能导致系统崩溃，通常情况下，根本无法得知原因。在 Server+认证考试中，您可能会遇到有关多个配置错误的设备、服务和协议可能产生的影响的问题。

以下部分将涵盖您可能遇到的问题。

电子邮件问题

大多数情况下，电子邮件问题通常是由于配置错误引起的。一个电子邮件系统通常涉及服务器、传输机制（或协议）和客户端，三者必须协同工作。一些常见的电子邮件系统问题包括以下几种：

客户端无法发送或接收消息：如果您的本地主机能够连接到互联网，那么问题可能出在邮件系统上，通常是用于识别邮箱身份的数据输入错误（如电子邮件地址和密码）。

在 Microsoft Office 中，Outlook 客户端的帐户信息对所有安装的 Office 软件都是通用的。然而，如果 Outlook 无法从服务器下载邮件，则 Office 365 的 Microsoft 支持和恢复助手工具可能能够识别问题，如下图所示：

Microsoft 支持和恢复助手可以扫描 Outlook 中的电子邮件错误

Linux 和 Windows 系统也可能使用共享软件或免费邮件客户端，如 Thunderbird（Mozilla）、KMail、Evolution 或 Geary。配置简单，通常只需要一个电子邮件地址和密码，如接下来的截图所示。

客户端可以接收邮件，但无法发送邮件：这种情况通常意味着客户端可能正在尝试将邮件转发到 TCP/UDP 端口 25。这个众所周知的端口曾经是几乎所有邮件客户端发送邮件的默认端口。然而，由于垃圾邮件发送者经常访问端口 25，大多数邮件服务器现在会阻止该端口，而改用端口 587。检查分配给发送邮件功能的端口。
客户端可以发送邮件，但无法接收邮件：这个问题通常由两个条件之一或两个条件共同造成。邮件服务器，尤其是支持互联网邮件访问协议（IMAP）的服务器，会在一个预定的存储空间内存储转发邮件的副本。如果存储空间被占满，邮件转发就会停止。解决方法是访问邮件服务器并删除不必要的邮件。另一个原因可能是入站帐户的配置。确保接收邮件服务器、端口号、电子邮件帐户和密码都正确。可以给自己发送一封测试邮件：

Thunderbird 邮件客户端是一个免费的电子邮件工具

主机文件配置

在 Windows 系统中，hosts 文件提供了类似本地 DNS 查询的功能，用来提供完全限定域名（FQDN）的 IP 地址。如以下屏幕截图所示，hosts 文件显示了域名及其对应的 IP 地址。此条目消除了与 DNS 服务器通信以获取 IP 地址的需求。如果 FQDN/IP 对的条目不正确，或者 hosts 文件丢失，或者文件保存时带有扩展名，系统将绕过 hosts 文件，发送 DNS 请求：

Windows 系统上的 hosts 文件

配置错误的网络接口卡（NIC）

尽管 NIC 卡、USB 驱动器和内置网络适配器很少会发生故障，但它们确实有可能出现问题。如果你怀疑网络卡或适配器影响了网络通信，通常问题出在两种情况之一——要么 NIC 卡或适配器损坏，要么 NIC 卡或适配器没有获取执行其工作的所需系统资源。

在大多数情况下，至少对于网卡来说，通常有 LED 指示灯帮助你判断是否工作正常。当系统开机并连接到网络时，如果没有看到绿色指示灯，你就找到了问题所在。不过，网卡可能并没有坏到需要更换的程度，可能是重新安装时出现了问题，或者跳线块或开关设置不正确。查看文档以确认这些可能性。另一个问题是网卡或适配器与另一个 I/O 设备共享相同的系统资源。在 Windows 系统中，设备管理器可以帮助识别资源分配问题，如下图所示。设备管理器还可以检查主板上的网络适配器。无论哪种情况，都要确保使用的是正确且最新的设备驱动程序。

设备管理器组件属性对话框

路由与交换问题

最重要的是，配置错误的路由器和交换机（以及防火墙）是安全隐患。这些设备最初配置正确，可以服务并保护其网络，且与外部网络交互。然而，网络更改、服务提供商的误导、输入错误以及网络管理员那种“既然进来了，看看还能做些什么”的心态，可能导致配置错误。

除了安全性外，互联设备配置错误也可能导致其后面设备的问题，如内容服务器、代理服务器和局域网交换机。排查这些设备的配置问题可能比在网络服务器上更为复杂。

VLAN 配置错误

在讨论一些与虚拟局域网（VLAN）相关的常见问题之前，让我们回顾一下它的一些术语。本质上，VLAN 是在网络交换机上配置的逻辑广播域。通过将一个（或多个）端口分配到一个 VLAN（除了默认所有端口都属于 VLAN1 外），配置到该端口的工作站现在就在该 VLAN 上。

如下图所示，分散在不同物理局域网段上的主机也可以位于同一个 VLAN 中。图中还显示了直接连接交换机和路由器的链路。这些链路被称为干线，连接干线的接口端口称为干线端口。干线端口运行一种特殊的协议，如 IEEE 802.1Q 或 Cisco 的交换机间链路（ISL）。

VLAN 的两个常见问题通常与 IP 地址有关，如下所示：

配置了错误 IP 地址的网络主机，如 APIPA 地址，或错误的子网地址或掩码，无法访问网络，更不用说 VLAN 了。
未能配置接口端口以支持每个 VLAN 作为网络段或子网。

除了 IP 地址之外，其他 VLAN 问题包括以下内容：

VLAN 被配置为停用状态
VLAN 的终止干道端口必须运行相同的干道协议，并具有相同的配置，无论是带标签（tagged）还是不带标签（untagged）VLAN。

一些 VLAN 问题源于干道端口故障，例如以下情况：

如果两个干道端口的干道模式不同，它们将无法建立连接。
如果一个 VLAN 不在可以访问特定干道端口的授权 VLAN 列表中，它将无法正常工作。
一个干道端口开始波动。这种情况通常与路由器端口有关，但交换机端口也可能发生波动。波动是硬件故障，导致端口交替开启和关闭。

下图显示了 VLAN 配置：

VLAN 配置

默认网关不可用

这可能是最常见的网络连接问题。其原因并不明显，而且这些问题都不是网关路由器本身的问题。你唯一知道的是，你突然无法访问互联网或网关之外的任何网站，并且系统提示默认网关不可用（见下图）。以下是导致此问题的常见原因：

杀毒软件或反恶意软件程序：已知这些软件会改变主机的网络配置，包括默认网关的 IP 地址。卸载此程序，并通过重启计算机来重置默认网关配置。如果这解决了问题（你可能需要等一会儿再确认），那就没问题了。
过时的网络适配器驱动程序：这可能会干扰计算机与网络连接之间的通信。在尝试以下修复方法后检查默认网关连接（停止修复时，如果问题似乎已解决）：重新安装驱动程序、更新驱动程序，或更换或添加网络适配器。
Windows 自动登录：已知该功能会在启动时搞乱主机的 IP 配置，包括默认网关的 IP 地址。虽然无法完全禁用自动登录功能，但可以将登录设置为需要用户名和密码，这似乎可以解决问题：

Windows 网络诊断对话框显示默认网关问题

网关错误的结果之一是，任何操作系统的 IP 配置中默认网关地址消失，导致显示消息资源不可用或无法访问。route命令，几乎所有操作系统都提供此命令，用于显示路由表内容，通常应该包括默认网关的地址，如下图所示。Windows 的ipconfig命令或 Linux/macOS 的ifconfig命令也会显示默认网关的地址（如果存在）：

Linux 的 route 命令结果，默认网关地址已突出显示

防火墙故障

网络防火墙可以是独立的硬件设备，也可以是路由器提供的服务，或者是一个独立的软件系统。无论是哪种方式，防火墙的目的和性能保持不变：保护网络、服务器或主机免受入侵或攻击。像计算机中的其他所有设备一样，防火墙也可能出现问题。以下是你可能遇到的一些防火墙问题：

配置问题：如果防火墙的配置过程过于依赖默认配置，那么最终的配置很可能过于宽泛，缺乏足够的细节。最好将配置过程限制在组织安全政策的核心功能上，作为基础。
货币问题：防火墙往往成为一个 设置后忘记 的设备，但实际上，持续的监控和维护，以确保防火墙与其设置、规则和更新保持同步，应该是正常的操作程序。
处理能力：如果软件防火墙安装在资源不足以应对高峰操作时段需求的计算机上，它可能会成为瓶颈。减少防火墙负载的一种方法是限制或移除那些对设备或软件的主要任务不必要的功能。
IP 地址有效性：一种常见的攻击方式是向本地网络的防火墙发送一条消息，其中源地址或目标地址（或两者）包含虚假的 IP 地址。如果防火墙上定义的允许/拒绝规则没有考虑到虚假或伪造的 IP 地址，且这些地址超出了 IP 标准的限制，那么带有可疑地址的入站消息可能会通过防火墙进入内部网络。

其他常见问题

除了上述问题外，Server+ 目标还列出了几个其他更通用的硬件或软件问题，你应该了解它们的原因和解决方法。你可能不会遇到一个专门涉及这些问题的问题，但如果它们出现在问题的情境中，或作为其中一个答案选项出现，也不要感到惊讶。它们按无特定顺序列出如下：

资源不可用：该错误非常具有上下文依赖性。如果是来自邮件客户端的错误，那就是邮件问题；如果是来自虚拟机的错误，那就是虚拟机问题；如果是网络访问问题，那可能是服务器或网络设备的问题。大多数用户将此错误与 HTTP 及 404 或 503 错误相关联。在任何情况下，这条信息的共同含义是：由于名称更改、文件删除或数据损坏，所请求的文件、服务或设备不可用。
目标主机不可达：该错误与 Linux 或 macOS 系统中的 Packet Internet Groper（ping 命令）相关。在 Windows 系统中，该消息通常是“请求超时”。问题在于，要么没有通向目标地址的清晰路径，要么目标地址不存在。
未知主机：此错误消息是由于目标地址无法访问引起的。这可能是 DNS 问题、配置问题（如 DNS 服务器地址）或目标地址不正确。
服务提供商故障：ISP 实际上是一个单点故障，如果由于某种原因 ISP 的路由服务不可用，访问互联网也会中断。解决这一潜在错误的一种方法是同时订阅多个 ISP 的服务。
无法解析主机名/FQDN：此错误消息表明 DNS 服务器中的信息或使用主机名或相应的 FQDN 访问远程站点时存在问题。

故障排除工具

尽管我们已经讨论了以下列表中的每个工具，但让我们再一次回顾它们在本章故障排除问题中的应用。你应该在 Server+ 考试的以下章节中看到这些工具。

ping

ping 是一个命令行工具，用于验证源主机和目标主机之间的连接。通过输入 FQDN、主机名、域名或 IP 地址，ping 向该目标发送一个 64 字节的 ICMP 回显请求消息。除 IP 地址外，其他地址会通过 DNS 或本地 hosts 文件进行解析。在发送 ICMP 消息后，ping 会等待目标的回显响应。当接收到响应时，ping 会显示传输和接收消息的度量值。

tracert/traceroute

此命令的目的是测试并显示源主机与目标主机或网络之间的通信链路。tracert 是 Windows 版本，traceroute 是 Linux/macOS 版本。此命令使用迭代过程，通过生存时间（TTL）值逐步测试到达目标的每个路由器的路径和连接。最初，它发送一个 TTL 值为 1 的 ICMP 回显请求消息。这意味着路由器在到达一个路由器（跳数）后丢弃该消息，且路径上的第一个路由器会响应回显消息。接着，tracert 发送另一个 ICMP 回显请求，这次 TTL 值为 2。此过程重复进行，直到 TTL 用尽（即跳数等于默认的跳数限制），或直到没有响应的跳数。

以下截图显示了 Windows tracert 命令的结果：

tracert 命令的结果

ipconfig/ifconfig

尽管 Windows 互联网协议配置（ipconfig）命令，或类似的接口配置（ifconfig）命令几乎在所有其他操作系统中都可用，但学习主机及其网络接口的配置元素仍然很有帮助。下图显示了其/all选项的摘录。此命令还允许释放或更新 DHCP 配置以及进行其他配置调整：

ipconfig命令显示的结果示例

nslookup

nslookup命令行工具在几乎所有操作系统中都可用，用于在域名服务器中查找名称和 IP 地址（因此得名）。使用nslookup，你可以查找网络上主机的 IP 地址或域名。下图显示了在 Linux 系统上执行nslookup的示例，它提供了域名的 IP 地址。如图所示，响应为“非权威答案”，这意味着这是当前 DNS 服务器中的信息：

在 Linux 系统上执行 nslookup 命令的结果

net use/mount

net 命令实际上更像是一组命令，用于创建连接或断开与网络共享资源的连接，显示主机上的所有当前连接，与其他主机共享资源，管理密码，控制打印缓存器等。

mount命令将文件系统或附加存储设备挂载（安装）。挂载设备将其添加到活动的目录结构中，并使其内容可供访问。要卸载一个已挂载的设备或文件系统，umount命令会通知操作系统完成该设备的所有 I/O 操作，然后将其从目录结构中移除。net和mount命令在 Windows、Linux 和 macOS 中均可使用。

nbtstat 和 netstat

TCP/IP 上的 NetBIOS 状态（nbtstat）是一个主要用于诊断或排查 NetBIOS 名称问题的命令行工具。它还可以显示在另一台主机上运行的 NetBIOS 服务，或显示是否有用户登录到特定主机。

网络状态（netstat）显示主机的 IP 配置相关信息，但进一步展示了其连接情况，包括端口、协议以及通信的度量信息。

概述

局域网（LAN）与广域网（WAN）之间的连接包括多个可能导致连接失败的组件，包括电缆、连接、网卡、网关和 ISP。常见的问题是硬件和软件的配置。配置问题常见的领域包括 DHCP 服务器、邮件服务器和客户端、hosts文件、网卡、路由器和交换机、VLAN、默认网关以及防火墙。

在许多情况下，显示的消息描述了一个问题，但不一定是其原因。这些消息包括资源不可用、目标主机不可达、未知主机、服务提供商故障以及无法解析主机名/FQDN。

一些可用的网络故障排除工具包括 ping、tracert/traceroute、ipconfig、nslookup、net use、mount、nbtstat 和 netstat。

问题

在本地网络中，用户可以访问局域网资源，但无法访问并下载网页。以下哪个区域可能是问题的原因？
1. 本地网络服务器
2. 远程 Web 服务器
3. DHCP 服务器
4. Internet 网关
本地网络主机在与 DHCP 服务器成功交互之前无法完成启动过程。对还是错？
1. 真
2. 错
在 Windows 系统中，Class B 网络 169.254.0.0/16 上的地址叫什么？
1. EGRP
2. FDDI
3. APIPA
4. Anycast
替代端口 25 用于 SMTP 电子邮件接口的 TCP/UDP 端口是什么？
1. 端口 80
2. 端口 587
3. 端口 1024
4. 端口 20
Windows 文件中包含一个主机名及其相关 IP 地址的列表，操作系统使用它来查找主机的身份和位置，这个文件是什么？
1. 主机
2. 页面文件
3. WinSxS
4. 注册表
什么是通过交换机端口逻辑上创建广播域的虚拟结构的正式名称？
1. VPN
2. 虚拟机
3. VLAN
4. ISL
连接两个交换机接口端口并运行 IEEE 802.1Q 协议的通信链路被称为什么？
1. 帧中继
2. 标记端口
3. 波动端口
4. 干道端口
以下哪个可能是默认网关变得不可用的原因？
1. 防病毒软件
2. 网络适配器设备驱动程序
3. 自动登录服务
4. 以上所有
5. 以上都不是
一名网络技术员在另一个州的新分公司安装了多个网络主机。为了验证每个新主机是否能够看到总部的网络服务器，应该使用哪个命令行工具？
1. nslookup
2. ping
3. tracert/traceroute
4. ARP/RARP
5. ping 或 tracert/traceroute，或两者
6. 以上都不是
用于显示和修改网络接口配置设置的 Linux 命令行工具是什么？
1. ifconfig
2. ipconfig
3. net config
4. net setup

第十八章：常见存储问题

到目前为止，尚不存在一种能够抵御损坏并能承受意外或恶意删除的磁性存储技术——至少现在没有。与此同时，磁盘、磁带和光学存储设备仍然存在问题、故障和缺陷。在本章中，我们将探讨在 Server+ 考试中你可能会遇到的数据存储问题及其各自的原因。

本章将涵盖以下主题：

数据存储设备问题
常见问题的原因
管理工具
存储监控工具

数据存储设备问题

防止任何数据存储设备发生故障的最终保障是正式定义并严格遵循的数据备份政策和程序。完整的系统备份以及增量备份或差异备份是我们对任何数据存储设备故障的保险政策。为什么我们需要保险政策？ 嗯，我们将组织中最宝贵的资产之一（数据）存储在我们认为可靠的设备上。然后，我们使用计算机中最不可靠、经常发生故障的设备——电源为其提供电力。如果电源没有出现问题，它可能会遭受病毒、物理损坏、不良应用软件和错误的设备驱动程序的影响。除此之外，还有人为因素。难怪数据存储设备会出现问题。

在接下来的章节中，我们将讨论三种主要存储设备类型——硬盘驱动器（HDD）、光存储驱动器和磁带盒驱动器的常见问题。

以下表格列出了一些你应该知道的数据存储设备常见故障原因：

问题	原因	恢复机会
删除的文件，格式化的驱动器	人为错误	良好
数据库或文件损坏或丢失	恶意软件、软件错误	良好
文件系统损坏	媒体逻辑故障	良好
无法访问磁盘驱动器或数据乱码	媒体物理故障——磁头、主轴电机、执行器	一般到良好
设备水损	自然灾害	一般
损坏的设备	外部硬盘或笔记本电脑跌落	一般
闪存介质故障	闪存设备覆盖限制超出*	一般
存储数据乱码	磁带介质退化、故障或损坏*	一般
存储数据无法读取	CD/DVD 媒介故障*	差

数据存储介质常见故障原因

一些数据存储单元的介质，如闪存、磁带和光学介质，确实会随着时间的推移而磨损，退化到存储在介质上的任何数据都会变得乱码、无法读取或完全丢失。

常见的硬盘问题

很难识别某些硬盘性能问题。有时，故障硬盘的表现可能与恶意软件攻击、内存问题、电源故障，或者可能是太多下载同时进行的症状非常相似。故障硬盘的症状可能是这些问题中的任何一个，甚至更多。你应该了解的硬盘问题包括：

操作系统未找到：计算机启动时，BIOS/UEFI 首先会访问系统硬盘上的操作系统，将其内核加载到内存中并启动系统。此错误表示以下三种情况之一——存在严重的 BIOS 错误，硬盘的全部或部分损坏，或主引导记录（MBR）损坏或丢失。
文件访问慢：当打开文件以进行显示、编辑、打印或其他任何操作时，如果文件显示之前似乎有比平常更长的暂停或迟疑，显然的问题是存储设备变慢了。实际上，存储驱动器需要更长时间来访问、读取和将数据传输到内存及请求程序，可能有几个原因。导致 I/O 操作变慢的最常见原因如下：
- 空间不足：如果显示错误信息说某个驱动器的磁盘空间不足，如以下截图所示，则表示该数据存储驱动器几乎已满。许多进程使用辅助存储，如果没有足够的空间，它们可能无法正常执行：

Windows 的低磁盘空间警告

- 损坏的数据：磁盘扇区或簇可能由于多种原因而损坏。硬盘上的损坏数据可能导致数据传输速度变慢。使用错误检查工具，如以下截图所示，检查有问题的硬盘，查找该驱动器上的损坏数据：

显示错误检查工具的 Windows 硬盘属性对话框

文件/数据/对象不可用：尽管不常见，文件、数据，甚至文件系统可能会突然从存储设备中消失——看似没有理由。为了讨论方便，我们假设计算机内部没有任何事情是自己发生的。文件，包括文档、图像、视频、程序、游戏等等，可能变得不可用，找不到，或以其他方式表示它不见了。造成这个问题的潜在原因有很多：
- 自动操作系统（OS）更新：这主要是一个 Windows 问题，但自动下载并应用的升级、补丁或修复程序可能会删除桌面文件和已安装的应用程序，具体取决于它们的存储位置。
- 恶意软件/病毒：是的，这些邪恶的恶作剧者确实可以并且会删除或隐藏系统、应用程序和个人文件。
- 登录：有时，用户使用不同的用户名凭证登录计算机。一个不可用的文件可能确实存在，但其他用户名可能没有权限查看该文件。
- 硬盘故障：硬盘有可能在逻辑或机械上出现故障。总是应该假设硬盘故障，并立即进行备份。
硬盘逻辑问题：如果出现类似驱动器不可用、无法访问逻辑驱动器或无法挂载设备的消息，显然存在问题。有几种可能的原因导致无法访问硬盘上的文件系统、文件或数据。以下是一些常见原因：
- 驱动器字母丢失：硬盘驱动器分区的驱动器字母（例如 C:或 H:）丢失。这可能是病毒的结果，或者是用户无意中操作的结果。
- 隐藏分区：为了保护个人或敏感文件，用户可能决定隐藏某个分区。要访问其内容，必须先取消隐藏文件系统。
- 分区无法访问：此状态表示三种可能原因之一——特定分区的访问权限已损坏或完全丧失；操作系统通过循环冗余校验（CRC）检测到一个错误值；或者主文件表（MFT）或文件分配表（FAT）已损坏，需要重建。
- RAW 分区：RAW 分区不是某种特定文件系统格式，如 NTFS、EXT4 等。之前格式化的文件系统可能会因病毒或格式化过程中出现中断而变成 RAW 格式。
- 未分配的分区：电力突波或电涌可能会损坏硬盘驱动器（HDD）的逻辑分区。一个分区及其内容可能会变成未分配状态。
备份/恢复问题：严格遵循的备份程序为灾难性损坏和丢失提供了保险保障。然而，备份介质可能会故障并损坏。如果电源中断或其他事件导致备份过程被中断，特别是在备份未监控运行的情况下，最终的备份可能毫无价值。发现备份失败可能要等到需要恢复损坏或受损的文件时才会发生。
缓存故障：在数据存储的上下文中，缓存是指磁盘缓存，也称为磁盘缓冲区或缓存缓冲区，这是硬盘上的一小部分磁盘空间。当硬盘繁忙时，磁盘缓存接收并保存数据，以便在读写机制可用时使用。缓存故障可能由于电力故障或任何导致系统停止的错误，如 Linux 或 macOS 系统的内核恐慌或 Windows 系统的蓝屏死机（BSoD）引起。无论如何，当 I/O 操作中断时，缓存会被清空，数据将丢失。
多个硬盘故障：这个故障情况有两种看法——单个硬盘在计算机中逐个故障，或一个硬盘阵列在一个结构中，例如独立磁盘冗余阵列（RAID）、网络附加存储（NAS）或存储区域网络（SAN），所有硬盘同时发生故障。在这两种情况下，首先要怀疑的是电源供应单元（PSU）。
状态/错误灯：大多数机架式或塔式服务器在前面有 LED 灯，显示其内部硬盘的活动、状态和错误情况。大多数硬盘托架和多盘驱动器机箱设备，如 NAS 或 SAN 设备，都有每个托架的指示灯，或者可以独立检查每个托架。

以下表格展示了 LED 状态灯的含义示例：

模式	颜色	含义
关闭	-	空槽
稳定	绿色	在线
闪烁缓慢	绿色	驱动器管理正在进行中
闪烁快速	黄色	驱动器已故障
闪烁非常慢	绿色/黄色交替	硬盘即将故障

常见的硬盘状态灯颜色、模式和含义

常见问题的原因

正如你作为计算机技术员的经验所表明的，导致大多数计算机、软件和组件故障、问题的原因其实并不多。识别设备或组件问题的来源通常涉及寻找一组常见的系统问题。在本节中，我们将列出在 Server+认证考试中可能出现的常见存储设备问题。

媒体故障

存储介质是我们多少有些理所当然的东西，但它其实非常重要。毕竟，数据就存储在这里。然而，由于我们不能，也不应该，看到、触摸甚至闻到存储介质，所以它往往是一个典型的眼不见，心不烦的例子。

硬盘介质

尽管硬盘驱动器外观坚固、金属外壳封闭，但无论是内部还是外部硬盘，实际上都是相对脆弱的设备。其内部组件之间的距离非常小，并且工作速度非常高。任何对系统机箱或机架托盘的外力或突然震动，都可以并且通常会导致磁盘及其存储介质的损坏。停留在磁盘表面的崩溃磁头可能会刮掉基底上的介质材料，带走任何数据。硬盘介质常见的故障之一就是磁盘上出现坏道。坏道有两种类型：

物理坏道：硬盘介质的一部分由于磁头崩溃或磁盘外壳内部的污染物（如灰尘、头发等，通常是制造过程中产生的）而损坏。磁盘控制器和操作系统都无法读写这些区域。硬盘上的物理坏道通常无法修复。
逻辑坏道：与物理坏道不同，硬盘上的这些区域，也被称为软坏道，虽然可访问，但可能会导致 I/O 问题，如延迟增加或读取错误。磁盘控制器和操作系统可以访问逻辑坏道，甚至可以对其进行写入并尝试读取。逻辑坏道是可以修复的。

SSD 介质

SSD 相较于 HDD 的一个优点是没有移动部件。这意味着没有磁头碰撞或污染问题。然而，SSD 是一种电子设备，虽然它的存储介质相对没有错误，但其周围的电子元件却可能出现问题。电容、电路和电源已知会发生故障，如果支持 SSD 的这些元件之一或全部发生故障，SSD 也会随之失效。

SSD 没有坏道问题，但可能会有坏块。以下是一些可能出现的症状：

磁盘控制器无法向存储介质写入或读取数据
I/O 密集型应用程序可能会冻结
复制或移动文件导致系统错误
访问较大的文件比平时花费更多时间

磁带介质

磁带，主要是卡带形式，在数据完整性和系统恢复中扮演着有限但非常重要的角色，特别作为备份介质。不管是哪种版本的备份磁带，都是必要的，但当主要存储设备出现故障时，备份就变得至关重要。不过，磁带也有其问题。以下是你可能会在考试中遇到的最常见问题：

人为错误：操作员、技术人员和那些善意但未受过训练的助手是磁带问题的主要原因。忘记更换或加载磁带、在当前周期放入错误的磁带、将磁带使用时间过长以及将磁带存放在不合适的地方，这些都是人为因素造成的问题。
脚本错误：在某些系统上，系统备份是通过脚本执行的，而不是使用像Bacula或Duplicati（适用于 macOS 和 Linux），以及Windows Server Backup（WSB）和Acronis（适用于 Windows）等软件工具。脚本中的错误、SAN 或 NAS 地址错误，或者文件夹不可用，可能会导致备份不完全，从而无法完全恢复系统。
硬件错误：磁带驱动器和磁带介质可能会发生故障。实际上，其中一个常常是另一个故障的原因。磁带驱动器的问题可能会影响磁带介质的传送，导致磁带拉伸、撕裂或解开，通常发生在卡带外部。

光驱

光盘驱动器，也就是 CD 和 DVD，要么工作，要么不工作。通常，没有任何提示表明光盘或驱动器可能正在出现故障。通常是那种“昨天还好好的”的情况。光驱常见的问题如下：

启动时没有硬盘：如果在启动过程中 BIOS/UEFI 突然无法识别光驱，那么很可能是光驱的电子元件出现问题。试着重新启动。如果这还不能恢复光驱，那么它可能已经损坏。
读取 DVD，不读取 CD：如果光驱能够正常读取 DVD，但完全无法读取 CD，可能是其中一个读取激光器发生了故障。试着清洁光盘和驱动器并重新尝试。如果仍然不行，那么你可能需要更换光驱。
读取错误：通常，读取错误表示光盘脏污。请清洁光盘并重新尝试。如果仍然存在问题，尝试换一张光盘。如果读取错误持续发生，清洁驱动器。
操作不一致：如果您最近对操作系统进行了升级或打了补丁，并且此后光驱的操作变得不稳定，那么请检查光驱的制造商，看是否有固件更新可以修复此问题。

常见存储问题原因

虽然我们在前一节中讨论了一些存储设备问题的原因，但现在让我们聚焦于特定设备或组件故障的具体原因。我将问题的原因分为以下几类——硬盘和连接器故障、控制器和缓存故障以及RAID 和阵列故障。控制器和缓存故障以及 RAID 和阵列故障将在本章后面的硬件相关问题部分中讨论。

硬盘和连接器故障

存储设备问题的潜在风险几乎存在于设备安装后的每个阶段。实际上，仅仅安装设备就可能引入一些最初看不出问题的隐患，随着时间的推移，这些问题可能会发展成严重问题。我们讨论了电源问题对存储设备的影响，但即便是在日常的使用过程中，仍然有很多问题可能导致存储设备无法使用、表现异常或完全故障。

硬盘问题

除了人为错误、电源问题、物理损坏等少数因素外，还有一些问题可能由操作系统、应用软件以及任何需要从存储设备获取数据的程序引起。这些问题的原因如下：

损坏或丢失的 MBR：MBR 提供了启动过程所需的关于硬盘的信息。当启动过程首次访问硬盘以加载操作系统时，它会请求该硬盘的 MBR。MBR 包含关于磁盘大小、逻辑分区的数量和类型等信息。然而，如果 MBR 损坏或丢失，启动过程将忽略该硬盘，基本上就像它不存在一样。MBR 丢失或损坏的三大主要原因是计算机病毒或恶意软件、程序错误地覆盖了 MBR、硬盘丢失了包含 MBR 的簇，或者硬盘完全损坏。
损坏的文件系统表：MBR 的一部分是主文件表或文件系统表，描述了磁盘上的逻辑分区。下表显示了 MBR 文件系统表的内容。MBR 损坏通常也会影响文件系统表。文件系统表通常像下面这样：

字节	长度（字节）	内容
0	1	启动标志
1	3	圆柱-磁头-扇区（CHS）起始值
4	1	分区类型
5	3	CHS 结束值
8	4	第一个扇区
12	4	分区大小（以扇区为单位）

16 字节文件系统表项的内容

不当磁盘分区：磁盘驱动器上有两种类型的分区，即系统分区和一个或多个数据分区。操作系统位于系统分区，通常被指定为 C:盘。数据分区存储其他内容，指定为 D:、E:、F:等。如果在一个分区上安装大量软件、创建大型数据库或主要保存数据，可能会导致该分区满。所有操作系统中都会出现的“磁盘空间不足”提示表明，分区大小可能不适合计算机所需支持的内容。

电缆和连接器问题

在数据中心、机架式服务器、磁盘及磁盘阵列中，磁盘驱动器通过以太网连接器或串行附加 SCSI（SAS）连接到网络。这些系统的电缆和连接器可能会遇到与独立服务器连接相同的问题，但通常发生的频率较低。

独立服务器，无论是独立塔式服务器还是机架式服务器，通常都在系统机箱内安装了某种形式的本地硬盘。此类服务器也可以通过网络连接到 SAN 或 NAS 系统。无论大小和技术如何，存储驱动器故障在各类系统中都会发生。这些故障的原因，在所有系统中基本相同。具体原因包括：

电缆问题：如果内部存储驱动器的电缆安装正确，系统应保持正常运行。如果系统未识别存储设备，请检查连接器和电缆是否存在电源或连接问题。如有必要，重新插拔连接器或更换电缆。由于加热和冷却，连接器的金属接触部分会膨胀和收缩，导致连接器可能从插座中松动。即使是新的电缆，故障电缆也可能导致间歇性问题，或引导过程无法识别设备。
终止不当：这个问题通常与 SCSI 和 SAS 设备以及连接它们的链有关。为了防止信号反弹回链上并创建幽灵设备，需要正确终止每个 SCSI 和 SAS 链的两端。
串行高级技术附件（SATA）连接：大多数时候，SATA 硬盘不自带电缆。确保电缆与特定硬盘制造商和型号匹配。电缆长度不应超过 1 米，否则可能会导致间歇性的数据问题。确保所有连接器干净且插入稳固。

存储系统问题

数据存储设备故障可以分为两类——软件相关故障和硬件相关故障。

软件相关故障

存储在数据存储设备上的数据（即静态数据）就像是一个比喻中的坐鸭子。许多因素可能影响数据的质量、可用性和可访问性。一些常见的软件相关或逻辑存储数据问题如下：

格式化：格式化数据存储设备，无论是故意还是意外，都会删除分区表和文件位置数据。存储在设备上的数据仍然完好无损，但我们无法访问它，因为丢失了存储的地图。
已删除的数据：当删除文件、文件夹或文件系统时，不管是故意还是无意，数据仍然保留在存储介质上。在大多数情况下，这些数据是可以恢复的，尽管操作系统无法找到它。删除文件系统会移除指向文件夹或其中文件的文件索引。然而，在大多数情况下，这些数据仍然是可以恢复的。
损坏的数据：错误的编程指令、病毒或恶意软件感染以及硬件问题都可能是数据损坏的原因。

硬件相关问题

由于其操作距离较近，硬盘驱动器（HDD）几乎是脆弱的，这意味着它相对容易损坏。大多数数据存储设备问题发生在系统启动时。这些问题通常出现在硬盘控制器上，但也可能出现在 HDD 上。然而，其他类型的数据存储设备也可能遇到大部分类似问题。你应当预期看到与 HDD 问题及其对存储数据的影响相关的问题。以下是你可能遇到的问题：

控制器故障：在 SATA 和 IDE 硬盘上，磁盘控制器可能位于磁盘外壳内或作为芯片组的一部分位于主板上，控制器故障会导致操作系统无法从磁盘介质读写数据。硬盘控制器充当操作系统与硬盘设备之间的中介服务。通常，尽管显示的消息表明控制器失败，但故障可能是硬盘设备本身。
主机总线适配器（HBA）故障：HBA 是一个电子电路板，它将 CPU 从数据存储系统的通信和操作中解放出来，这些存储系统可能是光纤通道（FC）SAN、NAS、RAID 或板载数据存储设备。HBA 控制器的故障可能表示安装问题、卡上的组件故障，或者 SAN 控制器的故障。
磁盘缓存关闭：默认情况下，磁盘缓冲或磁盘缓存功能已启用，以帮助硬盘驱动器在忙于其他任务时接收系统数据并写入磁盘，如下图所示。如果在内部硬盘驱动器上禁用此功能，I/O 速度可能会变慢。在外部硬盘上，禁用磁盘缓存是默认设置：

Windows 设备管理器中的写入缓存策略设置

缓存电池故障：RAID 系统通过电池为其写入缓存内存供电，以便在电力故障时，系统能够在关机前清空缓存。当缓存电池电量下降时，缓存中的任何数据将会丢失。

存储阵列问题

网络上可实现的技术和机制通常能有效提高数据 I/O 速度、可靠性、冗余性和可用性，且大多数情况下没有问题。然而，不当配置、不兼容的设备或硬件问题可能会使阵列失效。可能出现的具体问题如下：

不当的 RAID 配置：RAID 是一种磁盘存储技术，它创建一个硬盘驱动器（HDD）网络，用以协调防止数据丢失，同时提高可靠性、性能和冗余性。然而，如果 RAID 配置存在问题，系统可能会适得其反。如果性能是优先考虑的目标，故障发生时可能导致数据丢失。反之亦然。RAID 配置应与系统目标及组织目标相匹配。
RAID 重建：如果 RAID 系统中的某个存储设备发生故障，并且有替换驱动器可用，RAID 阵列将根据其奇偶校验数据在新驱动器上重建丢失的数据部分。不幸的是，在此过程中，用户会看到比正常情况更长的延迟。
不匹配的硬盘：在某些数据存储配置中，如 NAS 或 SAN，大小不同的硬盘可以正常工作，和相同的硬盘一样。但 RAID 要求所有磁盘驱动器的大小一致。如果 RAID 阵列中有大小不同的硬盘，所有硬盘将仅使用最小硬盘的存储大小。
背板故障：实施 RAID 系统的一种常见方法是通过背板电路或卡，如下图所示。背板通常是卡封装的一部分。每个磁盘驱动单元都连接到背板上的插槽或连接器，这样可以消除多个硬盘的电缆杂乱。如果单个背板连接器发生故障，其连接的硬盘将无法访问。如果整个背板故障，与之连接的所有硬盘都无法访问。通常情况下，硬盘本身是没问题的：

一个数据存储设备背板卡

图片来源：kisspng.com

管理工具

管理连接到服务器的数据存储的复杂性取决于多个因素，包括大小、技术、布局以及——别忘了——安全性。根据复杂性，存储管理员的工作可以从一个管理员的兼职职责到多个技术员的全职工作不等。有多种磁盘或存储管理软件包可供选择，其中包括执行以下部分描述的大多数任务所需的功能。

磁盘管理

磁盘管理这个术语有几个含义，但最常用的是指 Windows 操作系统中的一项任务或工具功能。实际上，后者可以帮助你完成前者的任务。如以下截图所示，Windows 磁盘管理工具提供了创建、修改、删除、扩展和重命名磁盘卷和分区的功能。对于 Linux 系统，fdisk 和 disk 命令提供了许多相同的功能：

Windows 磁盘管理工具

磁盘分区工具

如上图所示，Windows 磁盘管理工具用于管理磁盘分区。然而，也有许多免费的和非免费的工具包可用于此目的，包括MiniTool Partition Wizard和AOMEI Partition Assistant。在 Linux 系统上，fdisk 命令一直是标准工具，但如以下截图所示，GParted 也是一个非常出色的开源工具。

GParted 分区工具用于 Linux

图片来源：gparted.org

映射、挂载与网络使用

映射网络资源的过程与挂载存储设备或连接/创建网络资源共享是完全不同的操作。但这三者常常被混淆。我们分别来看一下每个操作：

驱动器映射：映射数据存储资源是通过为其分配一个驱动器标识符（例如 E:）来标识它，并使其对本地网络用户可用。实际上，驱动器映射创建了一个共享，但比仅在一个节点上与特定用户共享的资源要更广泛。不过，在大多数情况下，将资源的快捷方式添加到 Windows 文件资源管理器的网络文件夹中可能是更好的选择。
挂载命令：Windows 和 Linux 都使用 mount 命令使存储设备、文件系统或一组文件对一个或多个用户可访问，并将其连接到活动目录结构中。然而，Linux 的 mount 命令具有更多选项，使其可以与 Windows 的 net use 命令相媲美。
Net use：use选项是 20 多种选项中的一种，帮助管理网络的各个部分，包括设置网络共享、管理用户及其权限等。net use命令可以创建、配置或删除与网络共享资源的连接，包括数据存储驱动器和打印机。net use命令产生的结果与 Windows 文件资源管理器中的“映射网络驱动器”选项基本相同。

磁盘阵列

磁盘阵列，也称为存储阵列，将多个硬盘驱动器（HDD）组合成一个独立于网络服务器运行的单一数据存储系统。存储阵列还将存储设备集中化，以便进行单一资源管理。存储阵列为 SAN（存储区域网络）和 NAS（网络附加存储）提供了基础。

大多数磁盘阵列系统制造商提供一种形式的存储管理软件。此外，还有第三方存储管理软件包：

常见磁盘阵列管理软件的示例

RAID 阵列

另一种类型的存储设备阵列是 RAID 阵列，与普通磁盘阵列一样，RAID 实施也有特定的软件管理工具。在 Linux 系统中，RAID 管理通过mdadm命令进行。下图显示了该命令的帮助显示：

mdadm Linux 命令的帮助显示

在 Windows Server 和其他 64 位 Windows 版本中，如下图所示的 HP 阵列配置实用程序等工具，支持 RAID 和其他磁盘阵列的创建、管理和监控：

HP 阵列配置实用程序是 RAID 阵列管理软件的一个示例

存储监控工具

所有操作系统都会记录信息性、警告性和错误报警事件到系统日志文件中。Windows 具有强大的日志系统。Windows 事件查看器工具提供了一种查看、管理、归档和自定义每个日志文件内容和显示方式的工具。下图显示了 Windows 事件查看器的屏幕截图：

Windows 事件查看器显示系统日志文件的内容

在 Linux 系统中，日志文件位于/var/log目录下。下图显示了sysinfo.log文件中的日志条目的显示内容，记录了系统的常规活动：

Linux sysinfo.log 文件的内容

除了板载日志文件工具外，还有几个第三方系统可用于日志文件监控、分析和报告。下图显示了一个事件日志分析工具。监控服务器的日志文件是一项重要任务。正如俗话所说，魔鬼藏在细节中，这在日志文件中尤为明显：

Splunk Enterprise 日志文件分析工具

总结

防止存储设备故障和数据丢失的措施是正式的数据备份程序。系统备份提供了对存储设备故障的保险。一些你应该了解的硬盘驱动器问题包括操作系统未找到、文件访问慢、空间不足、数据损坏和文件/数据/对象不可用。

常见的磁盘故障是硬盘盘片上出现物理或逻辑坏扇区。物理坏扇区是由于读/写磁头接触到磁盘介质表面造成的。逻辑坏扇区可能导致 I/O 问题，包括延迟增加或读取错误。固态硬盘（SSD）的优点是没有活动部件，但其电子元件可能会故障，并且可能有坏块。磁带卡带是常见的备份介质，备份磁带至关重要。磁带确实存在一些问题，包括人为错误、脚本错误和硬件故障。光驱的常见问题包括启动时无法检测到驱动器、只能读取 DVD 但不能读取 CD、读取错误和操作不一致。

设备或组件故障的原因可分为四组——驱动器和连接器故障、控制器和缓存故障、RAID 和阵列故障。硬盘驱动器故障的原因包括损坏或丢失的 MBR、损坏的文件系统表和不正确的磁盘分区。电缆和连接器故障的原因包括电缆问题、不正确的终端和 SATA 连接问题。

存储系统问题的原因可能与软件或硬件相关。软件故障的原因包括格式化、数据删除和数据损坏。与硬件相关的故障原因包括控制器故障、HBA 故障、磁盘缓存关闭和缓存电池故障。存储阵列问题的原因包括 RAID 配置不当、RAID 重建、驱动器不匹配和背板故障。

存储管理软件提供执行以下磁盘管理任务的功能：管理分区、映射网络资源、挂载文件系统以及添加、配置和移除分区。

存储阵列将存储驱动器组合成一个独立于网络服务器操作的数据存储单元。存储阵列是 SAN 和 NAS 的基础。磁盘阵列制造商提供存储管理软件，RAID 实现有特定的软件工具，操作系统在日志文件中记录事件。

问题

以下哪项不是硬盘驱动器的常见问题？
1. 访问缓慢
2. 数据损坏
3. 太快
4. 坏扇区或簇
以下哪种数据存储设备没有与存储相关的活动部件？
1. 硬盘驱动器（HDD）
2. 固态硬盘（SSD）
3. 数字视频光盘（DVD）
4. 光盘（CD）
缩写 HBA 代表什么？
1. 层次化二进制阵列
2. 主机基础算法
3. 主机总线适配器
4. 层次化总线适配器
缩写 RAID 最常接受的含义是以下哪项？
1. 独立磁盘的响应式阵列
2. 冗余独立磁盘阵列
3. 重建的独立磁盘阵列
4. 可读的独立磁盘阵列
以下哪一项是备份失败的常见原因？（请选择所有适用项）
1. 磁带驱动器错误
2. 人为错误
3. 操作系统错误
4. 磁盘错误
以下哪一项不是设备或组件故障类型？
1. 驱动器故障
2. 连接器故障
3. 控制器故障
4. 缓存故障
5. RAID 和阵列故障
6. 电缆终端故障
7. 以上所有
8. 以上都不是
启动过程所需的硬盘分区信息在哪个数据块中找到？
1. 注册表
2. MBR
3. 文件系统
4. 磁盘缓冲区
在 Windows 系统中，哪种系统工具可以用来查看系统日志文件的内容？
1. 任务管理器
2. 设备管理器
3. 控制面板
4. 事件查看器
哪种逻辑结构将存储设备组合成一个独立于网络服务器操作的单元？
1. 数据阵列
2. iSCSI 链
3. 存储或磁盘阵列
4. 数据库

第十九章：常见的安全问题

数据安全需要持续关注和审查，以确保存储的数据、传输中的数据和使用中的数据符合机密性、完整性和可用性（CIA）模型。本章将探讨保护网络数据、软件和硬件资源的安全问题、挑战以及安全措施缺失或漏洞所带来的后果。本章讨论的问题、原因和工具是你在 Server+ 考试中应期待看到的主题和概念。本章涉及的主要内容如下：

常见的数据安全问题
常见安全问题的原因
常用的安全工具及其使用

常见的数据安全问题

网络服务器，无论其应用如何，都必须处理各种安全问题、攻击，有时甚至是损害。这些问题与硬件或软件没有特别关系，但它们确实是问题。你应该了解的安全问题包括以下内容：

文件完整性：文件完整性意味着数据和程序文件未成为攻击的目标，也没有被未经授权的人或功能修改。无论是内部还是外部攻击者，都可能故意或意外地破坏文件的完整性。监控存储数据和程序的完整性应成为标准监控程序的一部分。文件完整性监控（FIM）软件使用校验和和哈希值来检测文件的变化。最常用的哈希算法是消息摘要 5（MD5）。
特权提升：这是对系统或网络资源的攻击，攻击者能够扩展或提升其权利和权限，以访问具有更高限制的资源。特权提升有两种类型：
- 垂直：这是名义上的特权提升，也称为特权提升，指的是一个具有低权限的用户（攻击者）或应用程序（恶意软件）能够访问具有更高权限、权利和许可的数据、程序或其他内容。
- 水平：在这种特权提升攻击中，用户增加其权限和权利，以便能够访问保留或分配给另一个用户或用户组的资源。
应用程序无法加载：在 Windows 系统的安全设置中，资源的所有权会影响应用程序从该资源加载的表现。一个常见问题是 Windows 更新服务未运行。尽管这看起来很可疑，但问题也可能出在资源的所有权上。磁盘分区、文件夹或文件的所有权控制谁能读取、写入或执行其内容。

要更改所有权，请在文件资源管理器中访问硬盘的属性（见下图）。此外，恶意软件可能已删除、重命名或损坏了磁盘、分区或文件。在 Linux 系统中，问题可能也是一样的，解决方法也是如此。请按以下步骤更改文件系统、目录或文件的所有权：

更改磁盘驱动器的所有权

无法访问网络文件/共享：在网络服务器和主机之间的一系列对象、元素和设备中，请求访问共享资源时失败。这意味着，计算机上的网络适配器、服务器上远程用户的权限、资源的权限，以及资源是否真正设置为共享都可能是问题所在。
无法打开文件：此错误及其他类似消息通常是以下原因造成的：
- 文件、应用程序或服务本身的问题（见下图）
- 与操作系统不完全兼容的第三方应用程序
- 新安装的应用程序或文件与防恶意软件软件发生冲突

在 Windows 系统中，还有一些可能导致此错误的原因：

- 用户账户控制（UAC）未启用。
- 某些应用程序无法为内置管理员（BIA）账户打开；请注销并更改登录账户。

在 Linux 或 macOS 系统中，问题可能是已安装服务的冲突：

被阻止打开的文件

过度访问：资源访问的核心原则之一是最小权限原则，该原则要求用户只应访问完成或执行其分配任务所必需的资源。如果某个特定用户账户，尤其是远程用户账户，访问某个数据资源超过合理范围，则可能需要进一步调查。日志文件应提供所需的信息，帮助判断是否存在过度访问。另外，还需确认该访问确实是由某人进行的。
过度内存利用：高内存消耗可能表明存在安全问题，如恶意软件或未授权用户访问数据，或者可能是过度的内存泄漏。在 Windows 系统中，可以使用 Windows 内存诊断工具查看内存占用情况。在 Linux 或 macOS 中，syslog日志文件可能包含内存不足的相关信息，而free -m命令则可以查看内存使用分配情况。

常见安全问题的原因

当你检测到正在进行的安全事件时，你能做的仅限于停止它、阻止其破坏并立即缓解被利用的漏洞。恢复或修复损害后，你的下一个任务是识别漏洞及其被利用的原因。常见安全问题的根本原因是 Server+考试关注的一个领域，因此可以预见会有与下列主题相关的问题。

活动服务：操作系统在启动时都会启动一组服务，这些服务可能会启动其他服务（依赖关系）。任何服务器的安全程序之一应该是定期审计其正在运行的服务。服务审计还应记录哪些 TCP/UDP 端口正在使用以及由哪些服务使用。更多的活动服务可能意味着更多的漏洞和威胁。在服务审计中获得的信息还可以帮助构建网络的防火墙和路由器规则。在 Windows 系统中，使用net start命令列出活动服务（见下图）：

Windows 系统上一部分活动服务的列表

在 Linux 系统中，service --status-all命令列出活动服务（见下图）：

Linux 系统上的活动服务

非活动账户：非活动账户和禁用账户之间有很大的区别。非活动账户在定义的时间段内未登录或未活动。禁用账户在未启用的情况下无法使用。管理员应该密切监控非活动账户，因为它们是可以使用的账户，可能成为一个完全开放的漏洞入口。
反恶意软件配置：除了为组织的计算和网络需求选择最佳的杀毒或反恶意软件软件外，软件的配置和应用到防火墙与路由器的规则一样重要，甚至更为重要。在网络环境中，反恶意软件系统是基于服务器的，能够自动扫描并保护所有网络节点。但是，该保护的质量直接取决于反恶意软件系统的配置。最基本的，反恶意软件的配置应解决以下问题：
- 计划：每天对网络上的所有计算机进行全面扫描。这包括服务器，但也包括网络主机。在人类最少的网络时段安排扫描。
- 更新：一旦更新可用，自动从发布者的网站更新恶意软件数据库或签名文件。
- 设备：所有允许的可移动数据存储设备应尽可能包含在反恶意软件扫描中。
- 审查：每天审查所有反恶意软件日志文件，检查警报、漏检、误报及其他与配置相关的错误。
错误配置的权限：在较大的网络中，用户账户权限与用户所属的组权限发生冲突是常见的情况。无论是组权限还是用户权限，应用最小权限原则可以防止用户或组的成员访问超出其需要的资源。
开放端口：开放端口是已启用并监听传入的 IP 地址和端口号组合（套接字）。每个开放端口本质上都是一个入侵者可以利用的开放门。加固服务器的措施包括禁用所有不必要的开放端口。以下截图展示了netstat命令列出 Windows 系统上活动端口的情况：

使用 netstat 列出活动端口

恶意进程/服务：恶意进程或服务是指那些在用户或操作员未启动的情况下运行在计算机上的进程，它们会消耗资源、造成破坏并制造混乱。无论它在做什么，杀掉它，但不是以物理和暴力的方式，而是以人道、理性的方式。杀掉它的关键是先获取它的进程 ID（PID）。在 Windows 中，可以使用任务管理器（你也可以尝试结束它），在 Linux 或 macOS 中，ps命令会列出相关信息。以下截图分别展示了 Windows 任务管理器中的 PID 号码和 Linux ps命令的输出。得到 PID 后，你可以在 Windows 中使用taskkill <PID>命令（在命令行中），或在 Linux/macOS 中使用kill命令：

Windows 任务管理器

以下截图展示了 Linux ps命令的输出：

Linux ps 命令

安全工具

就像任何一位熟练的专业人士，比如水管工、木匠或机械师一样，系统管理员也有一套专门用于执行其任务和过程的工具箱。以下列表展示了你需要熟悉的工具，以备通过 Server+考试：

端口扫描器：这是一款扫描服务器（或主机）以识别任何开放的 TCP/UDP 端口的软件应用程序。开放端口是外部攻击者可能进入的入口点。端口扫描器允许服务器管理员确保服务器的状态符合其组织的安全政策。并非所有的端口扫描器都会扫描完整范围的 TCP/UDP 端口号。有些只扫描已知端口，有些扫描最常被利用的端口，而另一些扫描完整的端口号范围（最多至65536）。

端口扫描会为每个端口分配三种状态之一——开放（接受）、关闭（拒绝）或过滤（阻塞）。开放端口是最高的安全漏洞。以下截图展示了端口扫描工具的一个示例：

SolarWind 端口扫描器

嗅探器：也称为数据包嗅探器，嗅探器是检查网络数据包流量内容的实用软件。嗅探器的作用取决于谁在使用它。系统和网络管理员使用嗅探器来监视进入的网络流量，这可能是入侵检测或预防目标的一部分。攻击者使用嗅探器来获取密码、用户名、账户号码和其他个人可识别信息（PII）。嗅探器可以是硬件设备或软件程序。嗅探服务器是配置为混杂模式的嗅探器，它捕获并检查所有网络流量。只有目标节点在非混杂模式下检查数据包。嗅探也可以是主动的或被动的。
密码：在服务器安全的背景下，这个术语指的是用于将明文转换为密文的算法。换句话说，就是加密或解密数据的过程。密码有两种基本类型——换位密码和替代密码。换位密码通过改变字符串中字符的位置来隐藏它们的原始顺序。例如，ABCDE 可能变成 EACBD。更复杂的换位密码可能会改变字符串字符的位数。

替代密码在最简单的情况下，为每个字符分配一个替代值，替代字符串中的原始字符。以下截图展示了一个替代密码的示例：

替代密码的使用示例

校验和：这是由算法生成的一个值，由一系列字符组成，表示原始字符串的内容。对原始文件、数据包、字符串或任何其他数字对象的副本计算出的校验和应与原始校验和匹配，表明它们是相同的。常用的校验和算法包括 MD5、安全哈希算法（SHA）-1、SHA-256 和 SHA-512。它们名称中的数字代表不同的含义。MD5 中的5是版本号，SHA-1 中的1也是版本号。SHA-256 和 SHA-512 中的数字表示它们生成的签名（哈希值）中的位数。

以下表格展示了从上述校验和算法生成的签名示例：

校验和算法	校验和
MD5	`E4D909C290D0FB1CA068FFADDF22CBD0`
SHA-1	`22B759D30862CC7C7EB3CE9616A9D4E853B1E14D`
SHA-256	`EF537F25C895BFA782526529A9B63D97AA631564D5D789C2B765448C8635FB6C`
SHA-512	91EA1245F20D46AE9A037A989F54F1F790F0A47607EEB8A14D12890CEA77A1BB``C6C7ED9CF205E67B7F2B8FD4C7DFD3A7A8617E45F3C463D481C7E586C39AC1ED

“The quick brown fox jumps over the lazy dog”的校验和结果

Telnet：Telnet 是“远程终端网络”的缩写，自 1960 年代末以来便存在，并一直用于在远程设备上建立命令行界面，这也是它今天的主要用途。几乎所有操作系统都可以使用 Telnet 客户端，包括 Windows、Linux，甚至一些访问点、路由器、防火墙和其他网络设备。由于 Telnet 在大多数互联网协议发展之前就已出现，它不提供任何形式的加密，这意味着其通信是明文的。与 Telnet 功能相似的其他工具包括 PuTTY，它是一个类似 Telnet 的工具，添加了安全外壳协议（SSH）加密。其他替代工具包括 Windows 的 Microsoft PowerShell 和 macOS 的 netcat。以下截图显示了 telnet 命令的命令集和选项：

Windows Telnet 的命令集

总结

你应该了解的服务器和网络安全问题包括文件完整性、特权提升、应用程序无法加载、网络文件/共享访问、无法打开文件、过度访问和过度内存使用。常见安全问题的原因包括活动服务、非活动账户、反恶意软件配置、权限配置错误、开放端口和恶意进程。

系统管理员的工具箱应包括端口扫描器、嗅探器、Telnet 客户端以及密码工具和校验和的应用。

问题

哪种保障或安全条件表明文件未被未授权的用户或程序修改？
1. 保密性
2. 可用性
3. 可靠性
4. 完整性
攻击者能够修改他或她使用的用户账户权限，从而提供对具有更高权限和权限资源的访问。这是以下哪种情况的例子？
1. 水平特权提升
2. 垂直特权提升
3. 最小特权原则
4. 账户欺骗
你尝试打开一个 Windows 应用程序，但显示消息称应用程序无法加载。以下哪个可能是问题所在？
1. Windows 更新服务未运行
2. 应用程序的所有权不正确
3. 恶意软件可能已删除或重命名应用程序
4. 应用程序的硬盘位置已损坏
5. 以上所有
6. 以上都不是
在无法从辅助存储中打开文件时，以下哪个不太可能是问题？
1. 文件本身的问题
2. UAC 设置不正确
3. 文件可能与反恶意软件冲突
4. 文件正被远程连接使用
远程用户似乎正在过度访问某个特定的数据资源。你应该使用哪个系统工具来确定你的怀疑是否正确？
1. 磁盘管理
2. 任务管理器
3. 事件查看器
4. 控制面板
哪个 Linux 命令显示可用主内存的数量？
1. avlmain
2. mem
3. free
4. dfsk
以下哪种资源漏洞可能被外部黑客利用以获取对服务器的访问权限？
1. 网络浏览器
2. TCP/UDP 端口
3. 防火墙
4. 开关
长时间未活动的用户登录账户应被视为处于什么状态？
1. 已禁用
2. 被阻止
3. 处于空闲状态
4. 不活动
以下哪项不是反恶意软件系统管理的一部分？
1. 更新签名数据库
2. 建立扫描计划
3. 审查误报
4. 在高峰时段让反恶意软件软件处于空闲状态
扫描系统以识别可能造成漏洞的开放端口的设备或软件工具是：
1. 数据包嗅探器
2. 系统监视器
3. 端口扫描器
4. 套接字嗅探器

第二十章：CompTIA Server+ 考试

通过参加 CompTIA Server+ 认证考试并获得 750 分或更高的成绩，您将被认证为具有必要知识和技能的信息技术专家，能够担任网络服务器管理员的职位。这也证明您掌握了服务器基础知识、虚拟化、数据存储技术、安全性、故障排除和灾难恢复等方面的知识。

Server+ 考试是供应商中立的，涵盖了主要操作系统、网络服务、互联网络设备和内部网络通信的相关问题和挑战。作为一名认证的 Server+ 专业人士，您不局限于与单一厂商或服务提供商合作。

考试

当前版本的 Server+ 认证考试是 SK0-004。该版本于 2015 年 7 月发布，计划在 2020 年进行更新。考试共 100 道题，按各大主题区域的覆盖百分比进行分配。所有题目均为多项选择题。一旦开始测试，您有 90 分钟的时间完成，时间结束时，考试自动关闭。

考试在线进行，每次显示一个问题。您可以标记您想稍后回顾的问题。在时间耗尽之前，您可以通过提交完成考试来结束考试。完成考试后，您几乎立即会看到自己的得分。

考试的 100 道题目按照各个考试领域的权重分配。对于当前的考试版本，您可以预期在每个领域中的题目数量如下：

领域	考试百分比	题目数量
1.0 服务器架构	12%	12
2.0 服务器管理	24%	24
3.0 存储	12%	12
4.0 安全性	13%	13
5.0 网络	10%	10
6.0 灾难恢复	9%	9
7.0 故障排除	20%	20

在实际考试开始之前，您必须阅读 CompTIA 候选人协议，并表示理解并同意遵守该协议。您有 28 分钟的时间来查看该协议。

在考试期间，您不允许使用任何笔记或参考资料。事实上，尽管考试是在线进行的，您也无法访问互联网查找信息。考试期间会提供一些纸张供您做笔记，但必须在考试结束后交回。

Server+ 考试提供四种语言版本——英语、日语和简体中文。注册考试时，您可以选择自己偏好的语言。

所以，最终就是您与考试的较量，单挑。

注册考试

您可以在 CompTIA 官网注册 Server+ 考试，您可以购买该考试的测试凭证，网址如下所示：

CompTIA 商店网页

或者访问 Pearson VUE (www.pearsonvue.com)，如下图所示：

Pearson VUE 安排考试的网页

在任一站点上，你可以选择自己想要使用的现场考试中心，安排一个可用的日期和时间，并支付考试凭证费用。你也可以在许多考试中心购买考试凭证。对于 Server+ 考试，考试费用为 319.00 美元。

准备考试

CompTIA 推荐，为了准备参加 Server+ 认证考试，你应当拥有 18 至 24 个月的信息技术经验，最好是与服务器和网络相关的工作经验。CompTIA 还建议你在参加 Server+ 考试之前获得 A+ 认证。拥有 Network+ 认证也不失为一个好主意。然而，这些推荐并非强制要求。如果你相信自己有能力通过考试，那就尝试一下。不过，记住每次考试的费用是 319.00 美元。

在你开始考试前的 CompTIA 考生协议中，规定了你不能使用脑力转储以及其他未授权的、所谓的真实考试内容来源。你应该在开始认真准备和学习考试之前阅读考生协议。这样可以保护你的认证。

认证

通过 Server+ 考试可以证明你具备作为服务器管理员所需的知识和技能，包括：

执行所有服务器管理方面的工作：服务器硬件、软件的安装、维护、故障排除和安全性，包括虚拟化
识别服务器类型及其在计算环境中的角色和相互作用
指定并管理与服务器相关的环境问题
执行并遵守业务连续性、灾难恢复和设备故障的相关规定

拥有 Server+ 认证的人（我相信你也会包括在内）会有更多的就业机会。Server+ 考试让你有资格从事的职位包括服务器支持技术员或管理员、服务器管理员、数据存储系统管理员等多个职位。

通过访问以下链接，测试你对 CompTIA Server+ 考试所需概念的理解：

第二十一章：词汇表

0-9

1000BaseT：千兆以太网标准，传输范围缩短至 75 米。
100BaseFX：一种光纤电缆规格，可在单模或多模电缆上实现。单模下的传输范围为 10,000 米，多模下为 412 米。
100BaseTX：一种快速以太网规格，在 UTP 电缆上具有 100 Mbps 基带信号传输。
10Base2：一种 10 Mbps 的基带同轴电缆，衰减距离为 185 米。
10Base5：另一种 10 Mbps 基带同轴电缆，传输距离为 500 米。
10Base-FL：一种在光纤链路（FL）上运行的 10 Mbps 基带标准。
10BaseT：代表 10 Mbps 基带 UTP 或 STP 电缆。
10GbE：该标准以 10 Gbps 的速度传输，范围可达 40 公里。
80-plus：这是对计算机电源供应器（PSU）电气效率的自愿认证。

A

AAA 过程：身份验证、授权和计费。
访问控制条目（ACE）：ACL 中的一条条目。
访问控制列表（ACL）：允许或拒绝对进出网络消息流量的访问。
访问控制策略：定义谁或什么有权限访问防火墙后面的资源。
访问时间：磁盘控制器发起 I/O 操作之后到数据可以读取或写入之前的总时间。
主动/主动服务器集群：一种负载均衡解决方案，连接两个或更多执行相同处理步骤的计算机。
主动/被动服务器集群：两个或更多相互连接的服务器：一个或多个活动服务器和一个或多个故障转移服务器。
地址总线：需要服务的数据的地址。
地址解析协议（ARP）：用于将 IP 地址转换为 MAC 地址的协议。
高级 RISC 机器（ARM）：使用先进指令集的专业技术。
安培/安培（Amps）：电流流动的速率。
Anycast：具有 Anycast 地址的 IPv6 数据包只会发送到标识的节点集合中的一个节点。接收节点通常是“最接近”的节点，无论是距离还是可用性。
应用服务器：为一个或多个应用提供服务，并作为用户请求与其他服务器或网络功能之间的中介服务。
应用/网页服务器：一种能够将网页内容传递到客户端浏览器并提供其他应用功能的服务器。
架构图：展示基础设施、系统甚至应用程序的主要组件。
非对称多处理（ASMP）：一个 CPU 处理操作系统任务并将进程请求分配给从属 CPU，所有其他 CPU 负责其他任务。
异步复制：一种跨距离复制的方法，作为灾难恢复策略的一部分。
身份验证：通过登录请求中提供的数据或图像对用户进行验证。
身份验证头（AH）传输模式：IPSec AH 模式在每个数据包中插入一个包含带有密钥的哈希总和的头部，以确保数据包的完整性。
自动私有 IP 地址配置（APIPA）：来自保留的 B 类地址组169.254.0.0/16的默认地址。

B

骨干电缆：一种主要的通信电缆，用于连接主要、主干和中间分配设施。
后台服务器：执行数据库 I/O 操作的服务器。
挡板：空气流动偏转器，旨在引导气流以增强空冷系统。
裸金属备份：系统上所有内容的备份，包括操作系统、存储的应用程序、系统软件和数据。
电池备份缓存内存：使 RAID 控制器能更快地处理 I/O 操作中的数据交换，而不需要等到数据写入磁盘。
BNC 连接器 (Bayonet Neill Concelman, BNC)：同轴电缆常用连接器。
蜂鸣代码：启动过程中发出的声音，表示出现故障。
基本输入/输出系统（BIOS）：存储启动时的第一条指令、硬件配置以及对 I/O 操作的支持。
刀片服务器：一种细长的计算机卡片，安装在刀片机箱的插槽中。
蓝屏死机（BSoD）：表示操作系统与硬件配置之间的错误。
广播：一种向所有节点发送的消息类型，通常用于请求信息。
广播地址：网络范围内最高（最后）可分配的地址。
广播域：局部网络中能接收到广播信息的部分。
浏览器缓存：存储下载网页内容的缓存。
总线通道：提供数据、地址和命令传输的路径。
总线宽度：总线通道中的痕迹数量。
业务连续性计划（BCP）：概述了在发生破坏性事件后，重新启动或继续组织运营所需的目标、程序和逐步操作。
业务影响分析（BIA）：一项研究，预测任何极端事件对企业运营中断的潜在财务影响。

C

电缆类别 (cat)：定义网络电缆的能力，基于其频率范围、带宽和数据传输速率（DTRs）。
缓存内存：一种特殊用途存储，用于多种用途，包括暂存指令、预加载数据，或在使用前缓冲数据或指令。
3 类电缆 (CAT 3)：一种八线（4 对线）UTP 电缆，支持 10 Mbps 的 DTR 和 16 MHz 带宽。
5 类电缆 (CAT 5)：一种四对（8 根线）UTP 电缆，支持 10 Mbps 和 100 Mbps 的数据速率，以及 100 MHz 的带宽，在以太网网络中使用。
增强型 5 类电缆 (CAT 5e)：CAT 5 标准的增强版，减少了信道串扰，并将数据传输速度提升至 1 Gbps，同时在以太网网络中提供 100 MHz 的带宽。
类别 6 增强型电缆（CAT 6a）：CAT 6 的增强版，将 DTR 提升至 10 Gbps，带宽提高至 500 MHz。
类别 6 电缆（CAT 6）：将带宽提升至 250 MHz，支持千兆以太网速度。
中央处理单元（CPU）：执行程序指令、进行算术运算，并控制数据的移动及连接或安装在计算机中的外部设备的输入输出功能的电子组件。
证书颁发机构（CA）：一个受信任的组织，为订阅者提供唯一的数字证书，并管理用于数据加密存储数据、网站和电子邮件的公钥和身份凭证。
挑战握手认证协议（CHAP）：接收到连接信号后，CHAP 服务器向请求客户端传输其主机名和随机生成的挑战信息。
校验和：由算法生成的一个值，包含一系列字符，表示原始字符串的内容。
机密性、完整性和可用性（CIA）模型：网络安全的核心模型。
密码：用于将明文转换为密文的算法。
包层：包裹光纤核心的反射材料。
类划分 IP 地址：一种 IPv4 地址方案，定义了五种地址类别：A、B、C、D 和 E。
无类域间路由（CIDR）：IP 地址的附加部分，表示网络的数量。
集群：由一组互动服务器组成。
同轴电缆：具有两条通道的铜芯电缆：实心核心电缆传输信号，金属网状层也传输相同的信号，起到防止电磁干扰（EMI）的屏蔽作用。
冷备份站点：这种类型的恢复站点仅具备支持计算服务恢复所需的环境和电力系统。
冷插拔：完全关闭系统以进行升级、更换或修理。
碰撞域：当两个节点在同一网络段上尝试同时进行网络传输时发生碰撞。
碰撞感知多重访问/碰撞避免（CSMA/CA）：在无线网络中使用，用来避免传输碰撞。
碰撞感知多重访问/碰撞检测（CSMA/CD）：以太网网络中用来在发生碰撞后清除通信介质的方法。
列地址选通（CAS）延迟（CL）：接收并满足数据请求所需的时间（以纳秒为单位）。
COM 端口：一种串行接口，通常带有 D-子型 9 针（DB-9）连接器。
配置规格：反映在格式化或分区磁盘介质后设备规格的任何更改。
控制总线：一个专用的单向总线，用来传输命令并作用于地址总线上的数据。
复制备份：在辅助存储设备上创建数据的归档副本。
Cor****e：一种微处理器，能够处理与 CPU 其他核心不同的独立指令流。
CPU 倍频：应用于前端总线（FSB）频率的因子，用于确定和设置 CPU 的内部频率。
CPU 步进：对 CPU 进行的修订。
交叉连接：网络骨干终止的地方，是设施网络的连接点。
交叉电缆：此电缆结合了两个 568 标准，并将每个标准连接到电缆的两端。
电流：电荷的流动或运动。
客户可更换单元（CRU）：用户或客户可以移除和更换的组件。

D

数据总线：CPU 从内存或设备控制器发送或接收数据。数据中心和服务器机房必须是安全的环境和工作空间。
数据加密：将加密算法应用于数据，使其在存储或传输时，只有具有适当访问权限的人才能打开、执行或应用其内容。
数据流图（DFD）：图形化展示数据如何在系统、网络或数据库中流动。
数据传输速率（DTR）：在特定操作中，移动数据从一个位置到另一个位置所需的时间。
数据库服务器：托管数据库管理系统及其数据库的服务器。
专用文件服务器：仅向客户端提供文件或数据库内容。
三角形连接：连接两条带电线，形成一个三角形的形状。
部署映像与服务管理（DISM）：一种工具，可以扫描、检查、恢复和修复硬盘上损坏的文件，或作为映像文件的一部分存储的文件。
设备规格：指示磁盘驱动器组件和操作的原始或未格式化的测量值。
差异备份：复制自上次完整备份以来已修改或创建的文件。
直接内存访问（DMA）地址：一种 I/O 设备，可以在不依赖 CPU 的帮助下，直接从主内存读取或写入数据。
直接附加存储（DAS）：直接连接到计算机的存储设备。
目录服务器：支持跨参考或映射计算机或网络资源的名称、标识或位置到其相应的本地或网络地址的目录服务。
灾难恢复计划（DRP）：用于恢复计算基础设施及其相关服务的计划。
自主访问控制列表（DACL）：标识具有访问资源权限的 IP 地址、用户或组帐户、端口号和协议。
磁盘缓存：硬盘驱动器有一小部分 RAM，作为 I/O 操作的缓冲区。
磁盘压缩：减少存储在磁盘介质上的数据所占用的空间。
磁盘镜像：将数据复制到两个或更多驱动器上。
磁盘条带化：将数据分割成块，存储在两个或更多磁盘驱动器或卷上。
磁盘使用/磁盘空闲：这两个命令（du 和 df）分别列出了当前挂载文件系统上使用和空闲的磁盘空间。
磁盘到磁盘复制：将数据从一个数据存储设备复制到另一个设备。
DMZ：用于外部流量的默认着陆空间的物理或逻辑网络段或子网。
域名服务 (DNS)，域名系统 (DNS)：一种协议，用于将 FQDN 转换为 IP 地址。
驱动器接口：磁盘驱动器支持的通信接口。
动态主机配置协议 (DHCP)：一种协议，从可用 IP 地址池中为主机提供网络配置。
动态加载：加载程序的第一个模块，并在需要时加载其他模块。
动态随机存取存储器 (DRAM)：一种电气易失性存储器。

E

EIA/TIA 568A/568B：商业和住宅安装中 RJ-45 连接器和双绞线电缆的标准。
封装安全载荷 (ESP) 传输模式：IPSec ESP 模式包括 AH 模式的消息操作，仅加密载荷部分。
入口设施：服务提供商的网络与订阅者骨干网络互联的位置。
环境威胁：天气、自然灾害、灾难性事件以及其他来自自然界的事件。
错误修正码 (ECC) 内存：包括一个专用内存单元，为其他内存单元提供奇偶校验和错误修正。
可扩展认证协议 (EAP)：与认证方法结合使用，并作为客户端与认证服务器之间的中间件。
外部总线：为外设和扩展组件提供与主板上组件通信的手段。

F

容错：在组件或系统故障时，保持所有进程数据和操作的策略。
光纤通道 (FC)：用于数据中心和服务器农场的通信协议。
现场更换单元 (FRU)：只能由合格的现场服务代表移除和更换的组件。
文件完整性：意味着数据和程序文件未受到攻击，且没有被未经授权的人或功能修改。
文件服务器：为网络中的其他节点提供数据资源。
文件系统：用于在次级存储设备上组织数据的系统。
文件传输协议 (FTP) 服务器
外形因子：确定计算机硬件的尺寸、形状及其他物理特征。
前端服务器：请求数据库数据的客户端主机或应用服务器。
前端总线 (FSB)：连接 CPU 与芯片组北桥的总线。
F 型连接器：同轴电缆常用的连接器。
完全备份：将所有内容从次级存储设备复制并通常以压缩形式写入可移动介质。
完全合格域名（FQDN）：网站的完整文本名称，如 www.packt.com

G

网关代理服务器：也称为应用层网关或隧道代理服务器，作为本地网络和互联网之间的门户，发送和接收客户端请求和响应。
吉尔斯特法则（计算的所有事物）：你永远无法预料，一切都取决于情况。
接地：一种通过导电连接到地球的保护措施。

H

强化：通过减少工作站、服务器和网络易受攻击的风险来提高安全性。
散热片：直接附着于 CPU 上的设备，用于散发过多的热量。
十六进制段（Hextet）：表示 4 个十六进制值的 16 位分组。
高可用性（HA）：系统大部分时间运行并可用。
高级格式化（HLF）：为操作系统用于分区或逻辑卷的结构添加支持。
水平电缆：连接一个设施单一层级（如一层或一栋楼）上网络设备到设施主干的电缆。
主机总线适配器（HBA）：为外部设备提供连接计算机的接口。
基于主机的防火墙：一种在网络连接的主机上运行的防火墙或安全设备。
HOSTS 文件：在 Windows 系统上，此文件提供本地 DNS 查找功能，用于提供 FQDN 的 IP 地址。
热站：这种类型的恢复站点本质上是生产系统及其环境的副本。
热插拔：在系统运行且完全操作时，立即切换或物理更换已损坏的组件。
虚拟机管理程序（Hypervisor）：为虚拟服务器提供直接支持，每个虚拟服务器在内存中占据一个壳层。

I

I/O 地址：已安装的 I/O 设备会分配一个或多个地址用于引用和寻址。
每秒 I/O 操作次数（IOPS）：衡量硬盘在一秒钟内能够执行的从随机、非连续地址读取和写入操作的次数。
IEEE 802.1x：定义了基于端口的网络访问控制（PNAC），在允许访问设备接口端口之前对进程进行身份验证。
增量备份：仅复制自上次完整备份或增量备份以来已修改或创建的文件。
中间配线设施（IDF）：提供在设施单一层级之间的水平电缆段之间的无限连接。
内部总线：主板组件之间用来传输数据和指令的总线。
内部代理服务器：为其内部网络提供保护和服务。
互联网组管理协议（IGMP）消息
互联网密钥交换（IKE）：监督 IPSec 交互双方的身份验证、安全策略和规则的应用，以及密钥交换活动。
互联网协议版本 6（IPv6）：替代 IPv4 的协议，使用 128 位。
互联网安全区：Windows 定义了四个安全区：互联网、本地内网、受信任的站点和受限站点。
面向互联网（前向）代理服务器：为其内部网络的请求提供互联网资源。
中断请求（IRQ）：程序与操作系统之间的信号设备，请求服务。
入侵检测系统（IDS）：扫描网络流量以查找恶意软件，追踪可疑行为模式，并监控配置设置以防止无意的更改。
ipconfig/ifconfig：显示主机及其网络接口的 IP 配置。

J

日志记录：一种文件系统，在将更改应用到介质之前，先记录这些更改。

K

Kerberos：一种安全的身份验证协议，使用加密的身份证明来识别用户或本地网络节点。
内核：操作系统模块，在启动时加载并一直驻留在内存中。
键盘-视频-鼠标（KVM）切换器：允许位于中心位置的管理员通过单一的键盘、视频显示器和鼠标独立控制多台计算机。

L

局域网应用服务器：为网络节点提供一个或多个应用的支持。
陆地栅格阵列（LGA）封装：安装针脚位于插座上，CPU 有接收每个针脚的端口。
大尺寸外形（LFF）：一种硬盘尺寸形式，适用于能存储高达 100 TB 的数据驱动器。
第 2 层隧道协议（L2TP）：一种允许互联网服务提供商（ISP）为用户提供 VPN 的协议。
第 1 级（L1）：这是三种级别中最快的，且最小。
第 2 级（L2）：这比 L3 更快，但尺寸更小。
第 3 级（L3）缓存：这是最慢的，但比主内存快，是三种级别中最大的一种。
轻量级目录访问协议（LDAP）：在身份验证过程中常用于存储和验证用户账户。
线性访问介质：指磁带和串行访问。
线性磁带开放（LTO）：将数据对象与元数据分开存储，以便可以随机访问数据。
液体冷却：使用冷却液将热量从 CPU 中带走。
负载均衡：一种将进入的网络流量分配到两个或多个服务器（组成池、农场或集群）的功能。
逻辑单元号（LUN）：分配给 SAN 单元的身份标识。
低级格式化（LLF）：在磁盘上放置数字扇区标记，将存储介质映射到圆柱、磁道和扇区。

M

邮件传输代理（MTA）：处理并传输电子邮件消息，涵盖网络直至互联网。
内存地址：分配给 I/O 设备用于数据缓冲的内存块。
内存分配：用于为程序分配内存空间的过程。
内存缓存：需要大量数据的应用软件，如图形编辑器，会在 RAM 中创建一个缓存，以减少 I/O 操作并加速处理。
内存泄漏：当程序未能释放不再需要的部分或全部已分配内存时，发生内存泄漏。
内存时序：以四个数值表示，分别代表四个内存时序测量值：CL、tRCD、tRP 和 tRAS。
消息服务器：在客户端应用程序和服务之间接收、转发或保存消息。
挂载：将文件系统附加并添加到活动目录结构中，使其内容可供访问。
多播：IPv6 多播地址标识一组可能分布在多个网络中的节点。所有包含在多播地址中的节点都接收该传输。
多核处理：一个微处理器包含多个核心。
多因素认证：结合两种或更多身份识别因素，以验证请求登录系统或网络的用户。
多模光纤电缆：一种能够同时传输多个光流的电缆。
多指令多数据（MIMD）：多个处理器对不同数据源的不同块执行不同指令。MIMD 是大多数人认为的并行计算。
多指令单数据（MISD）：多个处理器对单一数据源执行不同指令。MISD 计算不常见，因为这种并行处理方式通常非常特定于某个问题。
多处理：具有两个或更多集成 CPU 的单一计算机系统。

N

Net use：一组命令，用于创建与网络共享资源的连接或断开连接、显示主机上的所有当前连接、与其他主机共享资源、管理密码、控制打印队列等。
网络适配器：参见网络接口控制器（NIC）
网络地址：网络范围内最低可分配的地址。
网络地址转换（NAT）：一种协议，它将公共 IP 地址作为私有地址的别名。
网络图：本地、广域或其他网络中设备和服务的图形表示。
网络文件系统（NFS）服务器
网络接口控制器（NIC）：提供主机计算机与网络之间的连接和接口。
网络操作系统（NOS）：通过集中服务器提供网络服务和协议支持。
网络服务：在 OSI 应用层上提供给网络客户端的核心服务。
网络附加存储（NAS）：附加到网络上的数据存储设备，网络客户端可以共享这些设备。
基于网络的防火墙：一种安全过滤设备，用于允许或拒绝传入流量。
非专用文件服务器：支持两个或多个应用程序以及文件或数据库服务。
北桥：芯片组中的（内存控制器集线器）。
nslookup：一种命令行工具，用于在名称服务器中查找名称和 IP 地址。

O

八位字节：一个由 8 位组成的分组，表示从 0 到 255 的值。
一次性密码：一种挑战-响应密码或来自预定义密码列表的密码。
开放代理服务器：向任何地方发送请求和响应消息，或从任何地方接收请求和响应。
组织唯一标识符（OUI）：由 IEEE 分配给网络设备制造商的 24 位代码。

P

封装：CPU 的形状和结构。几乎所有服务器 CPU 都采用封装形式。
串行高级技术附件（PATA）：使用并行比特信号在硬盘驱动器（HDD）和控制器及驱动器之间传输字长数据。
并行处理：多个处理器执行相同的指令或一组唯一的指令。
被动冷却：通过对流来冷却 CPU 和计算机。
密码认证协议（PAP）：一种旧版协议，执行基本的认证步骤。
跳线电缆：一种常见的电缆类型，用于建立两个电子设备之间的连接。
补丁管理：变更管理和控制的一部分，专注于系统的安全性。
外围组件互连（PCI）：一种扩展卡标准。
物理安全：一个涉及安全、保护和运营的事件、原因、行为者、防范、恢复、缓解和其他相关程序的项目，旨在实现组织使命。
Ping：一种命令提示工具，用于验证源主机和目标主机之间的连接。
点对点消息服务器：在消息服务器和单一收件人客户端之间进行通信。
端口地址转换（PAT）：一种协议，给请求的局域网节点的私有地址分配一个唯一的端口号。
端口扫描器：一种软件应用程序，用于扫描服务器以识别任何开放的 TCP/UDP 端口。
邮局协议版本 3（POP3）：一种基于客户端的协议，和邮件服务器交互，以发送和接收针对特定用户的邮件。
电源分配单元（PDU）：一种带有多个电气插座和主交流电连接的设备，将原始电源转化为多个较低电压的电气插座。
开机自检（POST）：作为启动过程的一部分，检查包含在 BIOS 或 UEFI 配置中的内部硬件组件。
预防性维护：定期清洁和测试的程序，以避免设备或组件故障。
打印服务器：接受来自客户端的打印请求，并提供网络连接打印机、绘图仪或其他成像设备的排队和管理功能。
私有 IP 地址：来自 A、B 和 C 类的三个地址块被保留用于任何本地网络。
特权提升：攻击者能够扩展或提升其权限，访问更高限制的资源。
处理器缓存：缓冲数据和指令传送至 CPU，避免访问主内存。
协议数据单元（PDU）：在网络上传输的结构化数据的通用名称。
代理服务器：一种中介网络服务，接受客户端向远程服务器请求资源。
公钥基础设施（PKI）：一组规则、政策和程序，用于创建、管理、分发、使用、存储和撤销数字证书，并管理公钥加密。
公钥：由一对密钥组成，一把私钥和一把公钥，用于加密、解密和验证用于身份验证的数据。
发布-订阅消息服务器：通过消息服务器将客户端消息传递给多个已订阅的客户端。

Q

基于查询的应用服务器：托管一个或多个脚本或编程语言服务，用于从数据库请求数据。

R

机架单元（U）：一种机架安装的高度测量单位，等于 1.75 英寸（44.45 毫米）。机架设备的高度通常以 U 为单位，例如 1U、2U、3U 或 4U 半机架安装。
机架式安装：一种用于服务器和其他机架设备的两轨或四轨垂直结构。
RAID 0：对多个磁盘驱动器进行磁盘条带化。
RAID 1：将数据镜像到另一磁盘卷。
RAID 10：将 RAID 1 的镜像与 RAID 0 的条带化结合，但不使用奇偶校验。
RAID 5 – 在 RAID 0 的基础上增加了奇偶校验。
RAID 6 – 在 RAID 5 的基础上将奇偶校验加倍。
随机存取存储器（RAM）：一种易失性存储区域，用作程序指令、数据和从 CPU 传入或传出的地址的传输通道。
RAS 预充电（tRP）：释放内存中活动行所需的时间。
恢复点目标（RPO）：通过数据恢复重新建立的故障系统的目标时间点。
恢复时间目标（RTO）：恢复故障系统所需的时间长度。
注册插口 45（RJ-45）连接器：EIA/TIA 568 标准规定了一个八位位置/八接触（8P8C）连接器，用于双绞线布线。
注册端口：TCP/UDP 参考编号，指向在 1024 到 49151 范围内的服务应用或协议。
注册机构（RA）：一种网络服务，批准并转发身份验证请求（数字证书）及其颁发的证书授权。
远程认证拨入用户服务（RADIUS）：用于集中式网络访问控制的认证协议。
远程桌面协议（RDP）：微软提供的服务，允许远程访问网络连接的系统，提供图形用户界面。
远程服务器管理工具（RSAT）：微软提供的一个包，用于管理 Windows Server 的配置和功能。
电阻：电线的性质，抵抗电流流动。
反向地址解析协议（RARP）：一种用于将 MAC 地址转换为 IP 地址的协议。
反向代理服务器：执行身份验证、授权、缓存、解密或负载均衡。
精简指令集计算机（RISC）：一种精简指令集计算机。
风险评估：一种研究，预测在极端事件中哪些资产可能面临丧失或损坏的风险。
基于角色的访问控制（RBAC）：基于用户职责的访问控制。
回绕电缆：这种电缆反转部分引脚定义，以创建两个设备之间的接口。
旋转延迟：也称为旋转延迟或延迟，这是旋转磁盘盘片将目标数据扇区移动到读/写头下方所需的时间。
路由和远程访问服务：一套提供防火墙、路由器和远程访问连接的协议。
行活动时间（tRAS）：关闭活动行并打开新行所需的时间。
行地址选通（RAS）到列地址选通延迟（tRCD）：将数据访问请求转移到目标行所需的时间。

S

安全外壳协议（SSH）：一种软件工具，通过安全的远程连接便于操作系统管理和文件传输。
安全套接字层（SSL）/传输层安全协议（TLS）：确保 TCP 通信安全的协议，特别是超文本传输协议（HTTP）消息。
安全策略：基于源和目标地址、协议、端口号和内容控制进出流量的允许或拒绝的规则。
安全区域：由一个或多个设备端口/接口组成的逻辑结构，这些端口/接口应用相同的安全策略。
寻道时间：硬盘驱动器的执行器臂将读/写头定位到合适的磁盘盘片上，然后再定位到包含目标数据扇区的磁盘轨道上所需的时间。
选择性备份：仅复制预先选择或标记的文件和文件夹。
串行 ATA（SATA）：使用串行位信号传输数据，连接硬盘驱动器（HDD）与主板、控制器和驱动程序之间。
串行附加 SCSI（SAS）：通过直接连接 SAS 硬盘驱动器来改进 SCSI。
服务器：运行服务器软件并为网络客户端提供服务的集中式计算机。
服务器消息块（SMB）：一种文件共享协议，使应用程序能够访问网络上的文件和其他网络资源。
服务器监控：提供自动报告、定时设备检查和设备故障警告的软件。
基于服务器的复制：高可用性或灾难恢复策略的一部分。基于服务器的复制系统可以是服务器对自身、集群对集群、以及服务器对服务器。
服务水平协议（SLA）：服务提供商为服务订阅者提供的常见工具，详细说明服务的范围及其性能水平。
服务消息块/公共互联网文件系统 (SMB/CIFS)：协议服务器。
屏蔽双绞线 (STP)：在每根导线的绝缘层之外，所有或部分内部线对都包裹有金属外层。
简单邮件传输协议 (SMTP)：在邮件服务器之间传输消息。
简单网络管理协议 (SNMP)：一种允许网络设备共享状态信息和与预设条件对比的度量信息的协议。
单指令多数据 (SIMD)：多个处理器对数据源的不同数据块执行相同的指令。SIMD 加速了多媒体处理。
单模光纤：一种只有一根光纤传输模式或光流的电缆。
单相电力：一种两线交流分配系统，其中一根线承载电流，另一根线为中性线。
小型计算机串行接口 (SCSI)：为最多 15 个设备提供多连接接口，通过一个 HBA 槽位连接到 SCSI 接口。
小型外形尺寸 (SFF)：常见形态中最小的，通常用于便携式计算机。
快照：捕捉系统在特定时间点的状态。
嗅探器：一种实用软件，用于检查网络数据包流量的内容。
固态硬盘 (SSD)：将数据存储在半导体芯片中。
分相电力：一种三线单相交流分配系统，其中两根线传输电流，第三根线为中性线。
静态随机存取存储器 (SRAM)：非易失性内存。
存储区域网络 (SAN)：由存储设备和专用交换机构成的独立网络，为连接的网络节点提供高速数据访问。
直通电缆：电缆的两端接头的针脚一一对应。
子网掩码：一种布尔代数掩码值，用于从 IPv4 地址中提取网络地址。
子网络 (子网)：一个较大网络的逻辑分段，创建一个较小的广播域和碰撞域。
对称多处理 (SMP)：两个或更多 CPU 是平等的，并共享操作系统和系统资源。
同步复制：同时写入两个存储设备，以提供实时分布式数据源或热备份。
系统访问控制列表 (SACL)：控制路由器功能，生成日志或审计条目，详细记录访问资源的尝试。
系统文件检查器 (SFC)：扫描硬盘，查找损坏的系统文件和文件夹。

T

TACACS+：在将数据包转发到认证服务器之前，完全加密其数据包。
终端接入控制访问控制系统 (TACACS)：将用户凭证转发到认证服务器进行验证，并授权访问系统或网络。
互联网协议安全 (IPSec)：一系列标准，用于加密和传输数据包的完整性保护。
热设计功率 (TDP)：计算机系统产生的热量量。
导热膏：用于将散热器或风扇与 CPU 密封连接。
三相电源：一种四线系统，其中三根重叠的电线传输交流电流。
三层客户端/服务器：一种网络环境，其中应用服务器作为网络用户和数据库管理系统之间的中间件。
塔式计算机：一种垂直放置的计算机机箱，通常用作网络服务器。
Tracert/traceroute：一种命令行工具，用于测试并显示源主机与目标主机或网络之间的路由路径。
双绞线电缆：一种网络电缆，具有多个铜线对，每对电线相互扭绕以减少串扰。

U

单播：IPv6 单播地址标识单一目的地。带有该单播地址的数据包将发送到该地址。
统一扩展固件接口 (UEFI)：替代 BIOS 的配置技术。
不间断电源 (UPS)：一种电器，能够平衡电力浪涌和下降，并在电力中断时提供电力。
非屏蔽双绞线 (UTP)：没有额外屏蔽层的双绞线电缆，仅有每根电线的外部护套。
用户帐户控制 (UAC)：限制对系统的更改，仅允许授权人员进行更改。

V

虚拟局域网 (VLAN)：逻辑创建的局部网络段。
虚拟机：在虚拟服务器控制下运行的软件创建的处理对象。
虚拟网络计算 (VNC)：通过 远程帧缓冲区 (RFB) 协议提供图形用户界面桌面，使管理员能够通过网络控制和管理远程系统。
虚拟专用网络 (VPN)：一种通过不安全网络建立的加密连接。
虚拟服务器：一种支持虚拟机的逻辑对象，运行在物理计算机的内存中。一个虚拟服务器可以支持多个虚拟机。
电压切换：一种电压传感器，能够自动检测电流并切换到适当的电压和模式。

W

热备站点：这种恢复站点包含支持生产系统必要组件的设备和环境。
热交换：在替换或切换过程中，要求暂停系统或故障组件的操作。
瓦特：辐射、吸收或耗散的能量输出率。
知名端口：用于服务应用程序或协议的 TCP/UDP 参考号，范围从 0 到 1023。
Windows 互联网名称服务 (WINS)：一种 Windows 服务，用于解析设备和网络名称。
直写：CPU 直接将数据写入主内存或存储设备，绕过缓存内存。
Wye：将带电线路以 Y 形连接到中性线。

Z

零知识认证：用户每次都会收到一个独特的问题或算术问题，需进行回答或解决。

第二十二章：评估

第一章：服务器硬件

DHCP 服务器
文件服务器可以是专用或非专用
网络服务服务器
内部面向
错误
ATX
1.75 英寸
+3.3VDC，+5VDC，+/- 12VDC
被动

第二章：服务器内部

CPU
CPU 相等，共享系统资源
一个 CPU 是主控，其它所有为从控
多处理器
MISD
级别 0
CPU 乘数与 FSB 的频率
PCIC
BIOS，UEFI
CAS 延迟（CL）

第三章：数据存储

旋转延迟，访问时间
SATA，SCSI
JBOD
一个自包含的存储设备网络和交换机，提供高速的数据访问
LUN 区域化，LUN 掩蔽
ext3 和 NTFS
SMB/CIFS
镜像，条带化
RAID 0
高可用性
配对如下：
- (a) 热备换-(2) 在系统保持完全运行的同时，立即切换或更换故障组件
- (b) 冷备换-(1) 需要关闭系统电源才能进行替换或修理
- (c) 热备换-(3) 挂起操作，尽管仍供电，但影响更换故障组件

第十章：灾难恢复

BCP
DRP
实时
风险评估
数据复制
同步
上述所有（磁盘到磁盘，集群到集群，服务器到服务器）
差分
分层访问
RTO

第四章：服务器操作系统

提供网络客户端服务
缓存
设备驱动程序
文件可访问性
设备驱动程序
BIOS，UEFI
BTRFS
主机名
本地计算机资源，网络附加资源
PXE

第五章：地址分配

四个八位组中的五类 32 位
B 类
NAT
碰撞域
CSMA/CD
201.255.255.255
201.110.25.16/24
它会屏蔽一个或多个包含全零的部分
广播
0 到 1023

第六章：电缆布线

UTP，STP
100 米
翻转电缆
RJ-45
F 型，BNC
IDF
CAT 5e，CAT 6
(7)(2)(3)
SM
1 英寸的弯曲半径

第七章：服务器管理

配置，监控，实施
KVM
COM
基于网络的管理
上述所有（RSAT，CLI 通过 SSH，VNC，RDP）
ITAM
LCAM
打字练习
完整性
上述所有（目的，效果，目标受众，完整性）

第八章：服务器维护

即时应用
补丁管理应优先考虑
资产管理系统
它代表最大读取和写入次数（输入/输出操作），指向从二级存储设备上的非连续存储位置
蜂鸣代码
客户可更换单元 (CRU)
上述所有（延长服务器组件的使用寿命，避免组件故障，保持服务器正常运行时间承诺）
主动/主动
主动/被动
热插拔

第九章：虚拟化

虚拟现实
准虚拟化
虚拟机监控程序
类型 I
类型 II
主机
分配
网络连接性，带宽
硬件虚拟化
内存

第十一章：安全系统与协议

安全区
基于主机，基于网络
身份验证
IPSec
上述所有（AH，传输，ESP，隧道）
EAP
动态锁定，静态锁定
源地址
隐式拒绝
PPTP

第十二章：物理安全与环境控制

多因素认证（MFA）
关于你的某些事
物理安全
网络安全
冷区/热区
逻辑入侵
不间断电源（UPS）
配电单元
热插拔
广泛负载

第十三章：逻辑安全

计算机名称
ACE
加密
上述所有（删除，擦除，抹去，粉碎）
可恢复
减少漏洞
正确
硬件加固
签名匹配
NAC

第十四章：故障排除方法

故障排除
开放式提问
人际交往技巧
识别问题
重新创建问题
完整备份整个硬盘
娱乐软件
主内存，系统机箱，散热系统，显卡
上述所有（系统文件损坏，软件安装不当，恶意软件攻击）
上述所有（制定测试计划，涉及用户，记录结果）

第十五章：常见硬件问题

识别常见硬件问题
缓冲区溢出
开机自检（POST）
蜂鸣代码
上述所有（堵塞的空气流通口，损坏的 CPU 风扇，忽视的预防性维护）
113°F 到 122°F
错误的 PCI 插槽
以上都不是
外设集群互连扩展
阳光

第十六章：常见软件问题

他没有访问服务器的权限。
写入
蓝屏死机（BSoD）
内存泄漏
系统文件检查器（SFC）
Windows 磁盘管理，磁盘压缩
df
虚拟内存
磁盘碎片整理
日志

第十七章：常见网络问题

互联网网关
错误
APIPA
端口 587
主机
虚拟局域网
交换端口
上述所有（杀毒软件，网络适配器设备驱动程序，自动登录服务）
要么 ping 或 tracert / traceroute，或两者都用
ifconfig

第十八章：常见存储问题

太快
固态硬盘（SSD）
主机总线适配器
独立磁盘冗余阵列
磁带驱动器错误，人为错误
上述所有（硬盘故障，连接器故障，控制器故障，缓存故障，RAID 和阵列故障，电缆终端故障）
主引导记录（MBR）
事件查看器
存储或磁盘阵列

第十九章：常见安全问题

完整性
垂直权限提升
上述所有（Windows 更新服务未运行，应用程序的所有权不正确，恶意软件可能已删除或重命名应用程序，应用程序的硬盘位置已损坏）
文件正在被远程连接使用
事件查看器
free
TCP/UDP 端口
非活动状态
高峰时段闲置的反恶意软件
端口扫描仪

posted @ 2025-07-05 15:45 绝不原创的飞龙阅读(22) 评论(0) 收藏举报

刷新页面返回顶部

龙哥盟

掠夺·扩张·投机·博弈

Comptia-服务器认证指南-全-

Comptia 服务器认证指南（全）

前言

本书适合谁阅读

为了充分利用本书

下载彩色图像

使用的约定

联系我们

反馈

第一部分：系统架构

第一章：服务器硬件

服务器角色

应用服务器

数据库服务器

目录服务器

文件服务器

邮件服务器

消息服务器

网络服务服务器

打印服务器

代理服务器

路由与远程访问服务（RRAS）

虚拟服务器

外形规格

塔式服务器

机架式安装

刀片技术

服务器电力系统

电力

交流电与直流电 / 110V 与 230V

星形接法与三角接法

负 48V

一相与三相

电源单元（PSU）

功率

80-plus 认证

选择合适的电源

冗余

系统散热

散热系统

空气冷却和气流

总结

问题

第二章：服务器内部结构

CPU

多处理器

对称多处理（SMP）与非对称多处理（ASMP）

SIMD、MISD 和 MIMD

多核处理

CPU 封装和插槽

缓存内存

CPU 缓存内存

CPU 缓存内存层次

写回/写直通缓存

高级 RISC 机器（ARM）服务器

CPU 倍频器

CPU 修订

主内存

RAM

双倍数据速率（DDR）RAM

RAM 封装

内存时序

错误校正码（ECC）与非 ECC

双通道内存

彩色编码的 RAM 插槽

总线、通道和扩展插槽

总线宽度

外围组件互连（PCI）总线

PCI 尺寸和适配标准

PCI 传统

PCI-e

扩展卡

网络接口控制器（NIC）

主机总线适配器（HBA）

独立磁盘冗余阵列（RAID）控制器

上升卡

USB 接口和端口

配置