【正文】 ..........................................................................................................92 部署 TMG 防火墻 .....................................................................................................96 針對域用戶創(chuàng)建 Web 訪問規(guī)則 ............................................................................1054 維護(hù)設(shè)計 ...................................................................................................................................112軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項目設(shè)計3 AD 的日常數(shù)據(jù)備份 .........................................................................................................112 安裝 Windows Server Backup ..............................................................................112 備份 ..........................................................................................................................113 文件服務(wù)器日常備份 ......................................................................................................123軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項目設(shè)計41 實施環(huán)境拓?fù)渑c說明? 網(wǎng)絡(luò)總體架構(gòu)圖? 活動目錄邏輯結(jié)構(gòu)根據(jù)軟工中心的實際情況，為了實現(xiàn)方便和靈活統(tǒng)一的管理策略，我們將中心的活動目錄設(shè)計為單域架構(gòu)，其活動目錄邏輯架構(gòu)如下圖所示：軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項目設(shè)計5r g c e n t e r . c n業(yè) 務(wù) 部成 員 服 務(wù) 器客 戶 端 計 算 機(jī) 和 用 戶文 件 / 打 印 服 務(wù) 器電 子 郵 件 服 務(wù) 器 辦 公 室工 程 部研 發(fā) 部客 戶 端 計 算 機(jī)? 活動目錄站點拓?fù)溆捎谲浌ぶ行牡木W(wǎng)絡(luò)集中在同一辦公樓內(nèi)，各子網(wǎng)均由高速鏈路連接，所以我們將該中心的活動目錄物理架構(gòu)只設(shè)一個站點?，F(xiàn)在的服務(wù)器只有三臺，分別作為域控制器、文件服務(wù)器和郵件服務(wù)器，為避免活動目錄服務(wù)的單點故障，建議利用現(xiàn)有的一臺普通計算機(jī)作為輔助域控制器。默 認(rèn) 站 點RGDC1 RGDC2活動目錄物理架構(gòu)如圖如示? 網(wǎng)段劃分與 IP 的分配實現(xiàn) IP 地址自動化管理。服務(wù)器手動設(shè)置 IP 地址，客戶端實現(xiàn) DHCP 自動分配 IP 地址。服務(wù)器地址有 ，，客戶端的軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項目設(shè)計6地址范圍為：，具體規(guī)劃如下：默認(rèn)網(wǎng)關(guān)：計算機(jī)名稱 角色 IP 地址/FQDN DNSrgdc1 DC/DNS/DHCP/GC/CA文件/打印服務(wù)器 Rgdc2 Clients ISAras 防火墻/VPN內(nèi)網(wǎng)：DMZ：外網(wǎng)：ISP 提供DMZ（默認(rèn)網(wǎng)關(guān)：）計算機(jī)名稱 角色 IP 地址 DNSDMZWEB 外網(wǎng) Web 服務(wù)器 DMZDNS DNS 轉(zhuǎn)發(fā)器 2 活動目錄和網(wǎng)絡(luò)基本架構(gòu)的任務(wù)描述 DNS 部署任務(wù)描述軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項目設(shè)計7為了保證用戶對內(nèi)網(wǎng)資源的正常訪問，客戶機(jī)上仍配置為使用企業(yè)內(nèi)網(wǎng)的DNS 服務(wù)器地址，另外需要在 DNS 服務(wù)器上設(shè)置轉(zhuǎn)發(fā)器，將除了內(nèi)部域名之外的所有查詢都轉(zhuǎn)發(fā)到 DMZ 區(qū)域的 DNS 服務(wù)器上，讓 DMZ 區(qū)域的 DNS 服務(wù)器幫內(nèi)網(wǎng)客戶機(jī)完成域名解析。同時在內(nèi)網(wǎng) DNS 服務(wù)器刪除根提示，以使其將除內(nèi)部域之外的所有域名解析轉(zhuǎn)發(fā)到 DMZ 區(qū)域的 DNS 根服務(wù)器。在 ISA Server 2022 只需要制定兩條關(guān)于 DNS 查詢轉(zhuǎn)發(fā)的策略即可，一條是允許內(nèi)網(wǎng) DNS 服務(wù)器與 DMZ 區(qū)域的 DNS 服務(wù)器的 DNS 協(xié)議進(jìn)行通訊，另一條是允許 DMZ 區(qū)域的 DNS 服務(wù)器與外部網(wǎng)絡(luò)進(jìn)行 DNS 協(xié)議通訊即可。? DMZ 安裝 DNS 轉(zhuǎn)發(fā)器? DNS 轉(zhuǎn)發(fā)器新建兩條轉(zhuǎn)發(fā)策略，一條轉(zhuǎn)發(fā)內(nèi)網(wǎng)，一條轉(zhuǎn)發(fā)外網(wǎng)；? 在主域 DNS 服務(wù)器刪除跟提示；? 在主域 DNS 上新建轉(zhuǎn)發(fā)器，把內(nèi)部域名之外的所有查詢都轉(zhuǎn)發(fā)到 DMZ 區(qū)域的 DNS 服務(wù)器上； 用戶與計算機(jī)對象命名規(guī)范任務(wù)描述為方便管理，客戶機(jī)命名按部門標(biāo)識加編號的方式進(jìn)行命名，如銷售部的客戶機(jī)：sales01；對于服務(wù)器的命名則按照該服務(wù)器所承擔(dān)的角色進(jìn)行命名，如果相同角色的服務(wù)器有多臺還可加相應(yīng)的編號，而對于不同地區(qū)相同角色的服務(wù)器，還可以加上相應(yīng)位置前綴進(jìn)行標(biāo)識。用戶命名實行實名制，即以用戶的真實軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項目設(shè)計8姓名的拼音作為用戶賬戶，如果有重名可加部門或編號標(biāo)示。? 先制定全劇組和域本地組? 根據(jù)部門的角色建立相關(guān)的用戶和計算機(jī)名，并設(shè)置密碼； “我的文檔”的管理任務(wù)描述通過組策略將用戶的“我的文檔”進(jìn)行重定向到域控制器上指定的磁盤中。這樣可以對用戶的數(shù)據(jù)進(jìn)行集中管理，并防止用戶將數(shù)據(jù)丟失。? 新建共享文件夾，并設(shè)置所有用戶讀取的權(quán)限；? 新建組策略，并相關(guān)聯(lián)起來；? 編輯組策略，設(shè)置文件夾重定向；? 客戶機(jī)測試； 用戶配置文件管理任務(wù)描述通過漫游用戶配置文件將用戶配置文件統(tǒng)一存儲在域控制器上指定的磁盤中，從而實現(xiàn)域用戶無論在域內(nèi)的任何一臺計算機(jī)登錄時，系統(tǒng)都采用本用戶自己的工作環(huán)境，方便用戶使用自己習(xí)慣的桌面設(shè)置。? 在文件服務(wù)器新建共享文件夾，設(shè)置相關(guān)用戶共享權(quán)限? 設(shè)置用戶配置文件及文件路徑 客戶機(jī)軟件的管理任務(wù)描述對于客戶機(jī)都通用的軟件通過組策略將軟件指派給計算機(jī)，從而實現(xiàn)軟件的自動安裝；對于某些用戶特定需求的軟件，我們通過組策略將軟件發(fā)布給用戶，從而實現(xiàn)根據(jù)用戶的需求進(jìn)行軟件安裝及使用。所有客戶計算機(jī)都必須安裝 ISA客戶端軟件。? 新建遠(yuǎn)程共享文件，并賦予用戶讀取權(quán)限? 給用戶新建組策略，并關(guān)聯(lián)上；? 編輯組策略，在用戶配置新建數(shù)據(jù)包；? 分配相關(guān)程序數(shù)據(jù)包；? 用戶測試；軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項目設(shè)計9 打印服務(wù)的任務(wù)描述由于軟工中心只有一臺打印機(jī)設(shè)備，則在打印服務(wù)器上創(chuàng)建一臺共享打印機(jī)，并將該共享打印機(jī)發(fā)布到 AD 中,從而實現(xiàn)用戶對打印服務(wù)器的快捷訪問。? 安裝打印服務(wù)? 創(chuàng)建相關(guān)組策略，把用戶關(guān)聯(lián)到已部署的打印機(jī)；? 成員機(jī)測試； 文件服務(wù)器任務(wù)描述在文件服務(wù)器下以部門名稱為名規(guī)劃多個共享文件夾，并賦予各部門的用戶組相對應(yīng)的權(quán)限，為實現(xiàn)眾多共享文件夾的統(tǒng)一管理，通過配置 Microsoft Windows Server 2022 文件服務(wù)器的分布式文件系統(tǒng)（DFS） ，將各部門的共享文件夾都鏈接到 DFS 根目錄下，這樣可以對用戶的數(shù)據(jù)進(jìn)行集中管理，并防止用戶將數(shù)據(jù)丟失，同時方便用戶訪問，然后再通過啟用卷影副本來對共享文件夾進(jìn)行版本管理。? 安裝配置文件服務(wù)器；? 配置命名空間，在服務(wù)器和客戶機(jī)分別創(chuàng)建共享文件夾；? 使用復(fù)制文件向?qū)О芽蛻魴C(jī)文件夾復(fù)制到服務(wù)器； ? 測試 網(wǎng)絡(luò)安全任務(wù)描述 CA 的部署任務(wù)描述為確保數(shù)據(jù)靜態(tài)存儲安全，及保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)陌踩裕A(yù)先在此網(wǎng)絡(luò)中部署企業(yè) CA（命名為 rgca） ，為今后需要實現(xiàn)數(shù)據(jù)的安全保護(hù)做好鋪墊。預(yù)先配置密鑰恢復(fù)代理和數(shù)據(jù)恢復(fù)代理。? CA 證書服務(wù)器安裝；? 在內(nèi)網(wǎng)里選擇安裝企業(yè)根證書；? 在 DMZ 區(qū)上選擇安裝獨立根證書；軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項目設(shè)計10 域密碼安全策略任務(wù)描述軟工中心需要通過組策略來管理中心內(nèi)部工作人員的密碼策略。具體策略設(shè)置如下： ? 強(qiáng)制密碼歷史 2 ? 最大密碼時長 60 天 ? 最小密碼長度 7個字符 ? 密碼必須符合復(fù)雜性需求 可用 ? 使用可逆加密算法存儲密碼 不可用 ? 利用組策略配置密碼策略? 在帳號策略上設(shè)置密碼要求 企業(yè)敏感數(shù)據(jù)保護(hù)任務(wù)描述假設(shè)軟工中心每個部門都有自己比較敏感的數(shù)據(jù)需要通過 EFS 來加密保護(hù)，每個部門需要有自己的數(shù)據(jù)恢復(fù)代理人；各部門的敏感數(shù)據(jù)統(tǒng)一保存在文件服務(wù)器上，各部門在文件服務(wù)器上都有相應(yīng)的文件夾來實現(xiàn)本部門敏感數(shù)據(jù)的安全共享；為了防止數(shù)據(jù)的丟失，所有數(shù)據(jù)恢復(fù)代理人的私鑰需要存檔。? 請為每部門建立至少三個用戶帳號，一個為數(shù)據(jù)恢復(fù)代理，兩個普通帳號，用以測試在遠(yuǎn)程文件服務(wù)器上實現(xiàn)的 EFS 加密文件的共享。? 請為 EFS 加密文件安全地在客戶機(jī)與文件服務(wù)器之間的安全傳輸提供解決方案。? 請測試數(shù)據(jù)恢復(fù)代理人的私鑰是可恢復(fù)的。? 新建文件夾，啟用 EFS 加密內(nèi)容? 備份密匙