项目目标.docx
《项目目标.docx》由会员分享,可在线阅读,更多相关《项目目标.docx(19页珍藏版)》请在冰豆网上搜索。
项目目标
项目目标:
1、DHCP的搭建和原理
2、配置DNS服务器,完成域名解析
3、利用IIS6.0配置企业Web网站
4、配置和管理FTP服务器
5、在企业网络中实现IP地址的动态分配
6、实现企业网络的RAS(远程访问服务)
7、利用证书服务实现安全性
8、网络负载平衡和服务器群集提高可靠性
9、多域间的访问
10、操作主机维护
11、活动目录数据库维护
12、监控服务器
一、项目所需设备
七台计算机
一条直通线
三、网络拓扑图
四、实验要求:
五、实验步骤:
1.IP地址规划
设备
Ip地址
网关
Dns
B
172.16.1.1
172.16.1.254
172.16.1.1
G
172.16.1.2
172.16.1.254
172.16.1.2
Client
172.16.1.3
172.16.1.254
172.16.1.2
S
172.16.1.4
172.16.1.254
172.16.1.4
B
172.16.1.5
172.16.1.254
192.168.8.1
独立根ca
172.16.1.6
172.16.1.254
192.168.8.1
根dns
172.16.1.7
172.16.1.254
172.16.1.7
顶级域名(.com)
172.16.1.8
172.16.1.254
172.16.1.8
vpnClient
172.16.1.9
172.16.1.254
Vpn服务器
网卡1:
172.16.1.254
网卡2:
192.168.8.254
192.168.8.1
S(dc1)
192.168.8.1
192.168.8.254
192.168.8.1
Dc2
192.168.8.2
192.168.8.254
192.168.8.1
NodeWeb1
Public:
192.168.8.3
Heatbeat:
1.1.1.1
群集ip:
192.168.8.88
192.168.8.254
192.168.8.1
NodeWeb2
Public:
192.168.8.4
Heatbeat:
1.1.1.2
192.168.8.254
192.168.8.1
子ca
192.168.8.5
192.168.8.254
192.168.8.1
Cluster1
Public:
192.168.8.6
Heatbeat:
10.0.0.1
群集ip:
192.168.8.99
192.168.8.254
192.168.8.1
Cluster2
Public:
192.168.8.7
Heatbeat:
10.0.0.2
192.168.8.254
192.168.8.1
ftpserver
192.168.8.8
192.168.8.77
192.168.8.254
192.168.8.1
Dhcpserver
192.168.8.9
192.168.8.254
192.168.8.1
client1
动态获取
Dhcp中继
内网:
192.168.8.10
外网:
10.0.0.1
Dhcpclient2
动态获取
2.搭建dns服务
根dns上:
安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→.—→允许非安全和安全的动态更新—→完成。
右击根域—→新建委派—→下一步—→.com—→下一步—→添加.com的主机名和ip—→完成。
顶级域.com上:
安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→.com—→允许非安全和安全的动态更新—→完成。
右击.com—→新建委派—→下一步—→—→下一步—→添加的主机名和ip—→完成。
右击.com—→新建委派—→下一步—→—→下一步—→添加的主机名和ip—→完成。
右击.com—→新建委派—→下一步—→—→下一步—→添加的主机名和ip—→完成。
右击.com—→新建委派—→下一步—→—→下一步—→添加的主机名和ip—→完成。
右击服务器—→属性—→根提示—→删除十三个默认根提示—→添加根dns的ip地址和主机名
B上:
安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→—→允许非安全和安全的动态更新—→完成。
右击服务器—→属性—→根提示—→删除十三个默认根提示—→添加根dns的ip地址和主机名
G上:
安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→—→允许非安全和安全的动态更新—→完成。
右击服务器—→属性—→根提示—→删除十三个默认根提示—→添加根dns的ip地址和主机名
S上:
安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→.com—→允许非安全和安全的动态更新—→完成。
右击服务器—→属性—→根提示—→删除十三个默认根提示—→添加根dns的ip地址和主机名
Dc1上:
安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→—→允许非安全和安全的动态更新—→完成。
右击服务器—→属性—→根提示—→删除十三个默认根提示—→添加根dns的ip地址和主机名
S上(子域):
开始—→运行dhsmgmt.msc—→右击—→新建域—→名称:
bj—→确定
3.搭建企业内网
Dc1上:
开始—→运行dhsmgmt.msc—→新建A记录dc1的计算机名和ip地址—→双击soa添加后缀。
开始运行dcpromo—→新林中的域—→—→重启
Dc2上:
开始运行dcpromo—→现有域的额外域控制器—→administrator123—→重启
Dc1上:
开始—→运行dsa.mac—→创建用户vpnserver、nlbweb1、nlbweb2、cluster1、cluster2、ftpsever、zica、dhcpsever、client、qq、pp密码均为
将它们加入Enterpriseadmins(除client外),还将它们加入相应的服务器的本地管理员组。
内网里的所有pc都加入域,并用相应的域用户登陆。
Dhcp服务器上:
安装dhcp组件—→开始—→运行dhcpmgmt.msc—→右击服务器—→授权—→192.168.8.9—→确定—→新建作用域—→ip地址范围192.168.8.11~192.168.8.254—→完成—→激活作用域。
右击作用域选项—→006DNS服务器ip:
192.168.8.1—→添加—→确定
右击服务器—→新建作用域—→ip地址范围:
10.0.0.1~10.0.0.254—→完成—→激活作用域右击作用域选项—→003路由器ip:
10.0.0.1006DNS服务器ip:
192.168.8.1
Client1ip为自动获取—→开始—→运行cmd—→ipconfig/release;ipconfig/renew—→获得ip地址192.168.8.11动态获取ip后将client1加入域
Dhcp中继上:
开始—→管理工具—→打开:
路由和远程访问服务—→右击服务器—→配置并启用路由和远程访问—→安装向导—→自定义—→LAN—→下一步—→完成(启动服务)右击常规—→新增路由协议—→dhcp中继代理程序—→确定
右击dhcp中继代理程序—→属性—→常规—→服务器地址:
192.168.8.9—→确定右击dhcp中继代理程序—→新增接口—→添加外网网卡:
10.0.0.1—→确定
Client2ip为自动获取—→开始—→运行cmd—→ipconfig/release;ipconfig/renew—→获得ip地址10.0.0.2并将client2加入域
此时,client2能够和搜狐内网通信。
根ca:
先安装ASP.net、IIS服务—→再安装证书服务—→独立根ca—→确定
子ca:
先安装ASP.net、IIS服务—→再安装证书服务—→独立从属ca—→确定
子ca要想正常运行必须在命令提示符下作如下操作:
Certutil–setregca\crlflags+crlf_revcheck_ignore_offline
注:
子ca需要向根ca申请证书,建立信任关系。
朱海花(基于证书的VPN、服务器群集)
Vpn服务器:
打开路由和远程服务控制台—→右击服务器配置并启用路由和远程访问—→安装向导—→远程访问—→勾选vpn—→选择“外网连接b网卡”—→ip动态获取方式
vpnClient:
右击网上邻居—→属性→新建连接向导→连接到我的工作场的网络→虚拟专用网络连接→搜狐→vpn服务器连接:
172.16.1.254→完成
右击客户端——属性——网络——VPN类型:
L2TPIPSecVPN——确定
1.首先让从属CA和根CA信任:
在从属CA上打开IE浏览器输入根CA的IP地址/certsrv——下载:
下载一个CA证书——保存——运行输入:
MMC——文件——添加删除管理单元添加证书——我的用户账户和计算机账户——在当前用户打看受信任的根证书颁发机构——证书看看有没有根CA的证书如果没有右击证书——所有任务-导入——把刚才下载的证书导入到里面!
展开受信任的根证书颁发机构——证书查看有没有根的证书,如果没有把刚才下载的证书导入里面(根信任从属同理,只不过把受信任的根证书颁发机构换成了中级证书颁发机构)
2.为VPN服务器申请证书:
(1.)用户账户:
打开IE浏览器输入根CA的IP地址/certsrv——申请一个证书高级证书申请——创建并向CA提交一个申请——姓名:
VPN,国家:
cn,需要证书类型:
服务器身份验证证书,导出私钥,提交(根CA颁发一下)——主页——查看挂起的证书状态——服务器身份验证证书——安装此证书。
打开MMC添加证书:
我的用户账户和计算机账户——查看受信任的根证书颁发机构(有没有根CA的证书)和中级证书颁发机构(有没有从属CA的证书)如果没有打开IE浏览器输入根CA或从属CA的IP/certsrv下载一个CA证书将其导入。
(2.)计算机账户:
打开IE浏览器输入根CA的IP地址/certsrv——申请一个证书高级证书申请——创建并向CA提交一个申请——姓名:
VPN,国家:
cn,需要证书类型:
服务器身份验证证书,导出私钥,将证书导入到本地计算机,提交(根CA颁发一下)——主页——查看挂起的证书状态——服务器身份验证证书——安装此证书。
打开MMC添加证书:
本地计算机——查看受信任的根证书颁发机构(有没有根CA的证书)和中级证书颁发机构(有没有从属CA的证书)如果没有打开IE浏览器输入根CA或从属CA的IP/certsrv下载一个CA证书将其导入。
(有时不需要这么麻烦只需申请用户证书就行,可有时不行)
3.为VPN客户端申请证书:
(1.)用户账户:
打开IE浏览器输入根CA的IP地址/certsrv——申请一个证书高级证书申请——创建并向CA提交一个申请——姓名:
Client,国家:
cn,需要证书类型:
客户端身份验证证书,导出私钥,提交(根CA颁发一下)——主页——查看挂起的证书状态——服务器身份验证证书——安装此证书。
打开MMC添加证书:
我的用户账户和计算机账户——查看受信任的根证书颁发机构(有没有根CA的证书)和中级证书颁发机构(有没有从属CA的证书)如果没有打开IE浏览器输入根CA或从属CA的IP/certsrv下载一个CA证书将其导入。
(2.)计算机账户:
打开IE浏览器输入根CA的IP地址/certsrv——申请一个证书高级证书申请——创建并向CA提交一个申请——姓名:
Client,国家:
cn,需要证书类型:
客户端身份验证证书,导出私钥,将证书导入到本地计算机,提交(根CA颁发一下)——主页——查看挂起的证书状态——服务器身份验证证书——安装此证书。
打开MMC添加证书:
本地计算机——查看受信任的根证书颁发机构(有没有根CA的证书)和中级证书颁发机构(有没有从属CA的证书)如果没有打开IE浏览器输入根CA或从属CA的IP/certsrv下载一个CA证书将其导入。
(如果用拨不到VPN就重启以下VPN可能是证书还没验证成功)
服务器群集
登录:
用cluster1用户登录(主要组:
enterpriseadmin组)
仲载设备
服务器1:
不启动。
添加scsi硬盘
用记事本编辑vmx配置文件具体为在末尾添加disk.lacking=“false”
硬盘2scsi2:
2硬盘2——高级——scsi——确定
启动
配置磁盘分区,使用磁盘管理器,初始化新增磁盘,盘符Q。
(不能为动态磁盘,格式化为NTFS格式)
关闭服务器1不启动服务器2
服务器2上编辑——添加硬盘——使用已存在服务器1主机的SCSI磁盘————按服务器1更改VMX配置文件
启动服务器2
以用户cluster2登录然后打开磁盘管理不格式化只需给该磁盘盘符Q
启动两台服务器
打开群集服务器开始——程序——管理工具——群集服务器或者运行CLUADMIN.EXE
C创节点1:
文件——打开练级——创建新群集——sohu.COM;QQ——下一步——确定——群集ip192
.168.8.99——用户名:
CLUSTER_——完成
活动资源磁盘q
群集IP地址
群集名
创节点2
文件——打开链接——打开到群集的链接
在已有的群集中新建节点根据向导完成
群集管理器有两台主机
检验:
模拟服务器1网卡脱机
刷新
活动资源会出现在第二台服务器的活动资源上
网络负载平衡
Web服务器
1.第一个节点上启用网络负载平衡:
右击网络负载平衡群集→新建群集→群集ip:
192.168.8.88(注:
完整internet名称:
空)、多播→删除默认的一条“端口规则”→键入成员heatbeat:
1.1.1.1、连接、选中public:
192.168.8.3→完成
2.添加第二个节点:
右击服务群集→添加主机到群集→heatheat:
1.1.1.2、连接、public:
192.168.8.4→完成
web服务器:
两个节点的操作相同
(1)安装IIS组件→打开IIS控制台→创建第一个网站:
主机头和网站同名、dns已做好A记录,ip地址选择“未分配”,属性“文档”中添加首页,并创建web站点权限:
读/写
NTFS权限:
删除默认组、用户,添加本域adminusers组
(2)创建第二个网站:
主机头和网站同名、dns已做好A记录,ip地址选择“未分配”,属性“文档”中添加首页,web权限:
读/写NTFS权限:
删除默认组、用户,添加本域adminusers组
(3)web服务器分别向根CA、子ca申请一个证书并安装,在mmc控制台中导入受信任的证书颁发机构(根ca和子ca),web客户端只向子ca申请证书,也导入本地计算机受信任的证书颁发机构(子CA)即可
(4)在第二个站点目录安全属性中启用ssL,在客户端采用https访问验证即可。
FTP服务器
1.安装IIS服务组件—→ftp服务
2.新建ftp站点:
右击ftp站点—→新建ftp站点—→内部不隔离站点ftp(dns已做了A记录—→ip:
192.168.8.8权限:
读/写,端口号默认—→路径D:
\ftp(事先建好ftp文件夹)—→完成
3.新建虚拟目录adminftp权限:
读/写NTFS权限(只针对admin文件夹):
删除默认组、用户,添加本域domainusers组,权限:
读写
4.新建第二个ftp2站点:
右击ftp站点—→新建ftp站点—→内部不隔离站点ftp2(dns已做了A记录)—→ip:
192.168.8.77权限:
读/写,端口号默认—→路径D:
\ftp2(事先建好ftp2文件夹)—→完成NTFS权限(只针对ftp2文件夹):
删除默认组、用户,添加本域domainadmins组,权限:
读写
验证:
在客户端client用不同身份的域用户登陆,验证效果。
4.搭建多域环境
B上:
开始—→运行dhsmgmt.msc—→新建A记录的计算机名和ip地址—→双击soa添加后缀。
B上—→运行dcpromo—→新林中的域—→—→完成—→重启。
G上:
开始—→运行dhsmgmt.msc—→新建A记录的计算机名和ip地址—→双击soa添加后缀。
G上—→运行dcpromo—→新林中的域—→—→完成—→重启。
B上—→运行dcpromo—→现有域中的子域—→网络凭证—→用户名qq;密码;域—→子域安装—→父域子域bj—→完成—→重启
S上:
开始—→运行dhsmgmt.msc—→新建A记录的计算机名和ip地址—→双击soa添加后缀。
S上—→运行dcpromo—→现有域中的域树—→网络凭证—→用户名pp;密码;域—→域名—→完成—→重启
创建林信任(和)
打开上的ad域和信任关系—→分别右击;;—→提升域功能级别—→windowsserver2003—→确定
打开上的AD域和信任关系—→提升林功能级别—→windowsserver2003—→确定
打开上的AD域和信任关系—→右击—→提升域功能级别—→windowsserver2003—→确定
打开上的AD域和信任关系—→提升林功能级别—→windowsserver2003—→确定
右击—→属性—→信任—→新建信任—→新建信任向导—→输入信任名称:
—→林信任—→这个域和指定的域—→用户:
zz(的有Enterpriseadmins或domainadmins权限的用户)密码:
—→全林身份验证—→是—→完成
AGDLP规则:
(1)在的AD用户和计算机上新建用户lily;
(2)又新建全局组XX组,将lily加入XX组;
(3)在的AD用户和计算机上新建本地组local1
(4)将XX组加入local1
(5)在的dc1上新建tools共享文件夹,添加local1,那么属于的域用户lily也将有访问tools文件的权限了。
创建外部信任(和)
在上打开AD域和信任关系—→右击—→属性—→信任—→—→单项:
外传—→只是这个域—→tom(的有Enterpriseadmins或domainadmins权限的用户)密码:
—→是,确认传入信任—→完成
在上创建信任关系—→单项:
内传。
可采用AGDLP规则来验证,不再赘述。
操作主机与和活动目录数据库备份
1.转移架构主机、域命名主机
(1)dc1和dc2都运行命令:
regsvr32schmmgmt.dll来注册“架构管理工具”
(2)dc1和dc2都打开mmc控制台,添加“AD域和信任关系”、“架构管理工具”
(3)右击“架构管理工具”—→更改域控制器—→指定“”
右击“架构管理工具”—→更改—→是
(4)右击“AD域和信任关系”—→链接到域控制器—→指“”
右击“AD域和信任关系”—→更改—→是
2.全局编录服务器
(1):
打开AD站点和服务—→sites—→default-fist—→servers—→ntdssete右击—→属性—→全局编录
(2):
打开AD站点和服务—→sites—→default-fist—→servers—→ntdssete右击—→属性—→全局编录
3.授权还原
(1)在的dc1上新建市场部ou,等dc2学习到
(2)备份活动目录:
运行ntbackup—→system32—→备份到桌面
(3)删除市场部ou,等待dc2同步
(4)重启dc1
(5)在系统进入图形界面之前按住F8,进入字符界面
(6)选择“目录服务还原模式”
(7)输入administrator和还原密码进入系统
(8)选中桌面备份,进行还原到原位置
(9)稍后重启
(10)打开命令提示符:
Ntdsutil
Authoritativerestore
Restoresubtree“ou=shichangbu,dc=sohu,dc=com”回车
单击“是”
Quit
Quit
Exit
(11)重启dc1
(12)打开dc1的AD用户和计算机查看该ou是否恢复
监控服务器
1.打开dc1性能控制台:
开始—→管理工具—→性能
2.展开性能日志和警报—→警报
3.右击警报—→新建警报设置—→名称cpu警报—→添加:
对象“process”,计数器“processtime”—→超过80%—→操作—→将项计入应用程序事件日志—→发从网络信息到:
192.168.8.2—→确定
4.注:
192.168.8.2主机上的messenger服务必须开启
Pcanywhere远程管理:
1.Client和都安装pcanywhere软件
2.client端为主控端,是被控端
3.创建了专用连接的用户aa,密码123,给与管理员权限,启动连接
4.client可以通过这个用户aa远程管理的dc
六.实验总结
1.用过DHCP服务器的分配,主机可以自动的分配到IP地址。
2.创建子域和创建委派都会创建一个新的域,二者的区别是:
创建子域时,子域的权威服务器就是父区域中的权威服务器,
而在创建委派时可以给新域指定权威服务器
3.可以在一台计算机上运行多个网站,这些网站称为虚拟主机。
实现虚拟主机的方式有3种方式:
1、使用不同的ip地址
2、使用相同的i
升级会员 