【正文】 ..........................................................................................................92 部署 TMG 防火墻 .....................................................................................................96 針對(duì)域用戶創(chuàng)建 Web 訪問規(guī)則 ............................................................................1054 維護(hù)設(shè)計(jì) ...................................................................................................................................112軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項(xiàng)目設(shè)計(jì)3 AD 的日常數(shù)據(jù)備份 .........................................................................................................112 安裝 Windows Server Backup ..............................................................................112 備份 ..........................................................................................................................113 文件服務(wù)器日常備份 ......................................................................................................123軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項(xiàng)目設(shè)計(jì)41 實(shí)施環(huán)境拓?fù)渑c說明? 網(wǎng)絡(luò)總體架構(gòu)圖? 活動(dòng)目錄邏輯結(jié)構(gòu)根據(jù)軟工中心的實(shí)際情況，為了實(shí)現(xiàn)方便和靈活統(tǒng)一的管理策略，我們將中心的活動(dòng)目錄設(shè)計(jì)為單域架構(gòu)，其活動(dòng)目錄邏輯架構(gòu)如下圖所示：軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項(xiàng)目設(shè)計(jì)5r g c e n t e r . c n業(yè) 務(wù) 部成 員 服 務(wù) 器客 戶 端 計(jì) 算 機(jī) 和 用 戶文 件 / 打 印 服 務(wù) 器電 子 郵 件 服 務(wù) 器 辦 公 室工 程 部研 發(fā) 部客 戶 端 計(jì) 算 機(jī)? 活動(dòng)目錄站點(diǎn)拓?fù)溆捎谲浌ぶ行牡木W(wǎng)絡(luò)集中在同一辦公樓內(nèi)，各子網(wǎng)均由高速鏈路連接，所以我們將該中心的活動(dòng)目錄物理架構(gòu)只設(shè)一個(gè)站點(diǎn)。現(xiàn)在的服務(wù)器只有三臺(tái)，分別作為域控制器、文件服務(wù)器和郵件服務(wù)器，為避免活動(dòng)目錄服務(wù)的單點(diǎn)故障，建議利用現(xiàn)有的一臺(tái)普通計(jì)算機(jī)作為輔助域控制器。默 認(rèn) 站 點(diǎn)RGDC1 RGDC2活動(dòng)目錄物理架構(gòu)如圖如示? 網(wǎng)段劃分與 IP 的分配實(shí)現(xiàn) IP 地址自動(dòng)化管理。服務(wù)器手動(dòng)設(shè)置 IP 地址，客戶端實(shí)現(xiàn) DHCP 自動(dòng)分配 IP 地址。服務(wù)器地址有 ，，客戶端的軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項(xiàng)目設(shè)計(jì)6地址范圍為：，具體規(guī)劃如下：默認(rèn)網(wǎng)關(guān)：計(jì)算機(jī)名稱 角色 IP 地址/FQDN DNSrgdc1 DC/DNS/DHCP/GC/CA文件/打印服務(wù)器 Rgdc2 Clients ISAras 防火墻/VPN內(nèi)網(wǎng)：DMZ：外網(wǎng)：ISP 提供DMZ（默認(rèn)網(wǎng)關(guān)：）計(jì)算機(jī)名稱 角色 IP 地址 DNSDMZWEB 外網(wǎng) Web 服務(wù)器 DMZDNS DNS 轉(zhuǎn)發(fā)器 2 活動(dòng)目錄和網(wǎng)絡(luò)基本架構(gòu)的任務(wù)描述 DNS 部署任務(wù)描述軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項(xiàng)目設(shè)計(jì)7為了保證用戶對(duì)內(nèi)網(wǎng)資源的正常訪問，客戶機(jī)上仍配置為使用企業(yè)內(nèi)網(wǎng)的DNS 服務(wù)器地址，另外需要在 DNS 服務(wù)器上設(shè)置轉(zhuǎn)發(fā)器，將除了內(nèi)部域名之外的所有查詢都轉(zhuǎn)發(fā)到 DMZ 區(qū)域的 DNS 服務(wù)器上，讓 DMZ 區(qū)域的 DNS 服務(wù)器幫內(nèi)網(wǎng)客戶機(jī)完成域名解析。同時(shí)在內(nèi)網(wǎng) DNS 服務(wù)器刪除根提示，以使其將除內(nèi)部域之外的所有域名解析轉(zhuǎn)發(fā)到 DMZ 區(qū)域的 DNS 根服務(wù)器。在 ISA Server 2022 只需要制定兩條關(guān)于 DNS 查詢轉(zhuǎn)發(fā)的策略即可，一條是允許內(nèi)網(wǎng) DNS 服務(wù)器與 DMZ 區(qū)域的 DNS 服務(wù)器的 DNS 協(xié)議進(jìn)行通訊，另一條是允許 DMZ 區(qū)域的 DNS 服務(wù)器與外部網(wǎng)絡(luò)進(jìn)行 DNS 協(xié)議通訊即可。? DMZ 安裝 DNS 轉(zhuǎn)發(fā)器? DNS 轉(zhuǎn)發(fā)器新建兩條轉(zhuǎn)發(fā)策略，一條轉(zhuǎn)發(fā)內(nèi)網(wǎng)，一條轉(zhuǎn)發(fā)外網(wǎng)；? 在主域 DNS 服務(wù)器刪除跟提示；? 在主域 DNS 上新建轉(zhuǎn)發(fā)器，把內(nèi)部域名之外的所有查詢都轉(zhuǎn)發(fā)到 DMZ 區(qū)域的 DNS 服務(wù)器上； 用戶與計(jì)算機(jī)對(duì)象命名規(guī)范任務(wù)描述為方便管理，客戶機(jī)命名按部門標(biāo)識(shí)加編號(hào)的方式進(jìn)行命名，如銷售部的客戶機(jī)：sales01；對(duì)于服務(wù)器的命名則按照該服務(wù)器所承擔(dān)的角色進(jìn)行命名，如果相同角色的服務(wù)器有多臺(tái)還可加相應(yīng)的編號(hào)，而對(duì)于不同地區(qū)相同角色的服務(wù)器，還可以加上相應(yīng)位置前綴進(jìn)行標(biāo)識(shí)。用戶命名實(shí)行實(shí)名制，即以用戶的真實(shí)軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項(xiàng)目設(shè)計(jì)8姓名的拼音作為用戶賬戶，如果有重名可加部門或編號(hào)標(biāo)示。? 先制定全劇組和域本地組? 根據(jù)部門的角色建立相關(guān)的用戶和計(jì)算機(jī)名，并設(shè)置密碼； “我的文檔”的管理任務(wù)描述通過組策略將用戶的“我的文檔”進(jìn)行重定向到域控制器上指定的磁盤中。這樣可以對(duì)用戶的數(shù)據(jù)進(jìn)行集中管理，并防止用戶將數(shù)據(jù)丟失。? 新建共享文件夾，并設(shè)置所有用戶讀取的權(quán)限；? 新建組策略，并相關(guān)聯(lián)起來；? 編輯組策略，設(shè)置文件夾重定向；? 客戶機(jī)測(cè)試； 用戶配置文件管理任務(wù)描述通過漫游用戶配置文件將用戶配置文件統(tǒng)一存儲(chǔ)在域控制器上指定的磁盤中，從而實(shí)現(xiàn)域用戶無論在域內(nèi)的任何一臺(tái)計(jì)算機(jī)登錄時(shí)，系統(tǒng)都采用本用戶自己的工作環(huán)境，方便用戶使用自己習(xí)慣的桌面設(shè)置。? 在文件服務(wù)器新建共享文件夾，設(shè)置相關(guān)用戶共享權(quán)限? 設(shè)置用戶配置文件及文件路徑 客戶機(jī)軟件的管理任務(wù)描述對(duì)于客戶機(jī)都通用的軟件通過組策略將軟件指派給計(jì)算機(jī)，從而實(shí)現(xiàn)軟件的自動(dòng)安裝；對(duì)于某些用戶特定需求的軟件，我們通過組策略將軟件發(fā)布給用戶，從而實(shí)現(xiàn)根據(jù)用戶的需求進(jìn)行軟件安裝及使用。所有客戶計(jì)算機(jī)都必須安裝 ISA客戶端軟件。? 新建遠(yuǎn)程共享文件，并賦予用戶讀取權(quán)限? 給用戶新建組策略，并關(guān)聯(lián)上；? 編輯組策略，在用戶配置新建數(shù)據(jù)包；? 分配相關(guān)程序數(shù)據(jù)包；? 用戶測(cè)試；軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項(xiàng)目設(shè)計(jì)9 打印服務(wù)的任務(wù)描述由于軟工中心只有一臺(tái)打印機(jī)設(shè)備，則在打印服務(wù)器上創(chuàng)建一臺(tái)共享打印機(jī)，并將該共享打印機(jī)發(fā)布到 AD 中,從而實(shí)現(xiàn)用戶對(duì)打印服務(wù)器的快捷訪問。? 安裝打印服務(wù)? 創(chuàng)建相關(guān)組策略，把用戶關(guān)聯(lián)到已部署的打印機(jī)；? 成員機(jī)測(cè)試； 文件服務(wù)器任務(wù)描述在文件服務(wù)器下以部門名稱為名規(guī)劃多個(gè)共享文件夾，并賦予各部門的用戶組相對(duì)應(yīng)的權(quán)限，為實(shí)現(xiàn)眾多共享文件夾的統(tǒng)一管理，通過配置 Microsoft Windows Server 2022 文件服務(wù)器的分布式文件系統(tǒng)（DFS） ，將各部門的共享文件夾都鏈接到 DFS 根目錄下，這樣可以對(duì)用戶的數(shù)據(jù)進(jìn)行集中管理，并防止用戶將數(shù)據(jù)丟失，同時(shí)方便用戶訪問，然后再通過啟用卷影副本來對(duì)共享文件夾進(jìn)行版本管理。? 安裝配置文件服務(wù)器；? 配置命名空間，在服務(wù)器和客戶機(jī)分別創(chuàng)建共享文件夾；? 使用復(fù)制文件向?qū)О芽蛻魴C(jī)文件夾復(fù)制到服務(wù)器； ? 測(cè)試 網(wǎng)絡(luò)安全任務(wù)描述 CA 的部署任務(wù)描述為確保數(shù)據(jù)靜態(tài)存儲(chǔ)安全，及保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)陌踩?，預(yù)先在此網(wǎng)絡(luò)中部署企業(yè) CA（命名為 rgca） ，為今后需要實(shí)現(xiàn)數(shù)據(jù)的安全保護(hù)做好鋪墊。預(yù)先配置密鑰恢復(fù)代理和數(shù)據(jù)恢復(fù)代理。? CA 證書服務(wù)器安裝；? 在內(nèi)網(wǎng)里選擇安裝企業(yè)根證書；? 在 DMZ 區(qū)上選擇安裝獨(dú)立根證書；軟件技術(shù)與工程中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)項(xiàng)目設(shè)計(jì)10 域密碼安全策略任務(wù)描述軟工中心需要通過組策略來管理中心內(nèi)部工作人員的密碼策略。具體策略設(shè)置如下： ? 強(qiáng)制密碼歷史 2 ? 最大密碼時(shí)長(zhǎng) 60 天 ? 最小密碼長(zhǎng)度 7個(gè)字符 ? 密碼必須符合復(fù)雜性需求 可用 ? 使用可逆加密算法存儲(chǔ)密碼 不可用 ? 利用組策略配置密碼策略? 在帳號(hào)策略上設(shè)置密碼要求 企業(yè)敏感數(shù)據(jù)保護(hù)任務(wù)描述假設(shè)軟工中心每個(gè)部門都有自己比較敏感的數(shù)據(jù)需要通過 EFS 來加密保護(hù)，每個(gè)部門需要有自己的數(shù)據(jù)恢復(fù)代理人；各部門的敏感數(shù)據(jù)統(tǒng)一保存在文件服務(wù)器上，各部門在文件服務(wù)器上都有相應(yīng)的文件夾來實(shí)現(xiàn)本部門敏感數(shù)據(jù)的安全共享；為了防止數(shù)據(jù)的丟失，所有數(shù)據(jù)恢復(fù)代理人的私鑰需要存檔。? 請(qǐng)為每部門建立至少三個(gè)用戶帳號(hào)，一個(gè)為數(shù)據(jù)恢復(fù)代理，兩個(gè)普通帳號(hào)，用以測(cè)試在遠(yuǎn)程文件服務(wù)器上實(shí)現(xiàn)的 EFS 加密文件的共享。? 請(qǐng)為 EFS 加密文件安全地在客戶機(jī)與文件服務(wù)器之間的安全傳輸提供解決方案。? 請(qǐng)測(cè)試數(shù)據(jù)恢復(fù)代理人的私鑰是可恢復(fù)的。? 新建文件夾，啟用 EFS 加密內(nèi)容? 備份密匙