【正文】 0 1臺服務(wù)器宏基P42臺計算機(jī)宏基P44臺服務(wù)器操作系統(tǒng)Windows Server20032可使用虛擬機(jī)環(huán)境服務(wù)器操作系統(tǒng)CentOS 2可使用虛擬機(jī)環(huán)境216。實訓(xùn)項目中服務(wù)器命名規(guī)則建議如下：SrvDHCP01序號服務(wù)器功能 服務(wù)器功能中，Srv表示服務(wù)器、DHCP表示服務(wù)器功能。216。地址租期為1天 注：由于模擬環(huán)境不好操作，所以全部采用同一個網(wǎng)段的IP作為分配地址。 實施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝服務(wù)器操作系統(tǒng)3）安裝配置DHCP、DNS、WEB、FTP等網(wǎng)絡(luò)服務(wù)4）配置計算機(jī)參數(shù)并根據(jù)需求驗證實現(xiàn)的功能5）完成項目文檔資料 實施步驟（請將主要實施步驟整理列出）一．DHCP服務(wù)器的配置（1）根據(jù)實訓(xùn)拓?fù)鋱D進(jìn)行交換機(jī)、計算機(jī)的線纜連接，配置DHCPSERVER的IP地址。l DHCP服務(wù)器本身的IP地址必須是靜態(tài)的，也就是其IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等信息必須以手工的方式輸入。單擊“開始”→“管理工具”→“配置您的服務(wù)器向?qū)А?，選中“DHCP服務(wù)器”，然后單擊“下一步”按鈕，開始安裝DHCP服務(wù)器。填寫新建作用域的名稱和說明文字。此處，將作用域名稱填成“總經(jīng)理”，說明性文字為“總經(jīng)理辦公室”.如圖39所示：圖39再點“下一步”，進(jìn)入設(shè)置IP地址范圍和子網(wǎng)掩碼的對話框，在“起始IP地址”項中填寫該IP地址段的起始IP地址長就為18。如圖311所示圖311填寫完成后點“下一步”進(jìn)入IP租期設(shè)置對話框了。當(dāng)客戶機(jī)使用分配到的IP地址時間超過了此租期，服務(wù)器將強行收回分配給客戶機(jī)的IP地址。如圖312所示：圖312單擊“下一步”進(jìn)入配置DHCP選項的對話框。在大型網(wǎng)絡(luò)中，特別是與internet 互聯(lián)的網(wǎng)，這些服務(wù)都是很重要的。如圖313所示：圖313單擊“下一步”進(jìn)入設(shè)置路由器（即網(wǎng)關(guān)）的設(shè)置。此處填寫為：。如圖314所示：圖314單擊“下一步”進(jìn)入域名和DNS服務(wù)器的設(shè)置對話框了。在“父域”選項中填寫DNS的父域名（參考DNS服務(wù)器配置實訓(xùn)）“服務(wù)器名”選項中填寫DNS服務(wù)器的服務(wù)器名稱。在“IP地址”項中填寫DNS服務(wù)器的 IP地址。如圖315所示：圖315點擊“下一步”，進(jìn)入WINS服務(wù)器的設(shè)置對話框。在此對話框中將選擇“是，我想現(xiàn)在就激活此作用域”。如圖318所示：二．DNS 服務(wù)器的設(shè)置在主機(jī)上安裝DNS配置軟件，然后創(chuàng)建區(qū)域l 圖311單擊“下一步”進(jìn)入?yún)^(qū)域名稱設(shè)置對話框。此處填寫為“”。在此對話框中指定創(chuàng)建的區(qū)域是否支持動態(tài)更新，此處選擇“不允許動態(tài)更新”如圖314所示：l 圖314單擊“下一步”選擇是否創(chuàng)建反向查找區(qū)域。如圖316所示：圖316單擊“下一步”進(jìn)入“反向查找區(qū)域名稱”對話框。如圖317所示：ll 圖317l 單擊“下一步”區(qū)域文件對話框。如圖318所示：l 圖318l 單擊“下一步”配置轉(zhuǎn)發(fā)查詢，此處選擇“否，不向前轉(zhuǎn)發(fā)查詢”。如圖319所示：圖319（3）在Server1上創(chuàng)建資源記錄：打開DNS管理控制臺，在左側(cè)控制臺樹中選擇要創(chuàng)建資源記錄的正向主要區(qū)域，然后在右側(cè)控制臺窗口的空白處右擊，在彈出菜單中選擇相應(yīng)功能項即可創(chuàng)建資源記錄。如圖單擊“確定”，完成配置，然后采用同樣的方法在反向主要區(qū)域上指定輔助DNS服務(wù)器，如圖（5）在Server2上安裝輔助DNS服務(wù)器：參考步驟1，安裝DNS服務(wù)。在此對話框中指定DNS服務(wù)器的IP地址，如圖單擊“下一步”完成輔助DNS配置，返回DNS管理控制臺，此時能夠看到從主DNS服務(wù)器復(fù)制而來的區(qū)域數(shù)據(jù)。三．FTP 服務(wù)器的創(chuàng)建1）根據(jù)實訓(xùn)拓?fù)鋱D進(jìn)行交換機(jī)、計算機(jī)的線纜連接，配置PCPCWebServer的IP地址。單擊“開始”→“管理工具”→“配置您的服務(wù)器向?qū)А?，選中“DHCP服務(wù)器”，然后單擊“下一步”按鈕，開始安裝DHCP服務(wù)器。單擊“開始”→“管理工具”→“Internet信息服務(wù)（IIS）管理器”，打開“Internet信息服務(wù)（IIS）管理器”控制臺。單擊“下一步”按鈕，將出現(xiàn)“IP地址和端口設(shè)置”對話框，在此對話框中設(shè)置網(wǎng)站IP地址“”，TCP端口號“80”，主機(jī)頭、“”（主機(jī)頭即網(wǎng)站的FQDN，），如圖單擊“下一步”按鈕，將出現(xiàn)“網(wǎng)站主目錄”對話框，在此對話框設(shè)置網(wǎng)站主目錄“E:\practrainweb”和是否允許以匿名方式訪問此網(wǎng)站。（6）WebServer上安裝FTP服務(wù)。選中“文件傳輸協(xié)議（FTP）服務(wù)”復(fù)選框，如圖點擊“確定”按鈕，返回“Windows組件”對話框；單擊“下一步”按鈕，開始安裝FTP服務(wù)。單擊“開始”→“管理工具”→“Internet信息服務(wù)（IIS）管理器”，打開“Internet信息服務(wù)（IIS）管理器”控制臺。選擇“本地用戶和用戶組”→“用戶”，右擊新建“admin”用戶，如圖選中E盤下“web”文件夾右擊選擇“屬性”，彈出“web屬性”對話框中選擇“安全”，點擊添加按鈕，如圖選擇“admin”用戶，點擊確定，如圖添加“admin”用戶的“修改”和“寫入”權(quán)限，如圖點擊確定，完成設(shè)置。 WEB跟FTP服務(wù)器的配置相對簡單，F(xiàn)TP服務(wù)器的權(quán)限是要注意的重點。針對某集團(tuán)公司辦公區(qū)網(wǎng)站建設(shè)任務(wù)內(nèi)容和目標(biāo)，通過需求分析進(jìn)行了實訓(xùn)的規(guī)劃和實施，通過本任務(wù)進(jìn)行了DNS ,DHCP、WEB、FTP基礎(chǔ)配置等方面的實訓(xùn)。 項目流程 圖61 項目流程圖 項目調(diào)查與需求分析 項目目標(biāo)本項目針對集團(tuán)軍公司的網(wǎng)絡(luò)進(jìn)行管理，實現(xiàn)使用統(tǒng)一賬號訪問公司資源，并提供操作系統(tǒng)的補丁更新。2）具體需求216。216。216。3）需求分析216。 分析2：創(chuàng)建一個帳號，使全公司成員都能登錄進(jìn)域中216。 要求1（必做）：模擬本項目的網(wǎng)絡(luò)服務(wù)組建并完成項目的需求分析、規(guī)劃、實施文檔。 要求2（必做）：模擬本項目的網(wǎng)絡(luò)組建并完成項目實施的文檔，模擬實現(xiàn)企業(yè)網(wǎng)總部及1個分公司區(qū)域的網(wǎng)絡(luò)，實現(xiàn)統(tǒng)一管理和站點登錄。 要求3（選做）：在以上基礎(chǔ)上實現(xiàn)公司微軟操作系統(tǒng)補丁服務(wù)器的架設(shè)和配置。2．安全性各項服務(wù)應(yīng)考慮和保證其安全性，避免出現(xiàn)網(wǎng)絡(luò)安全事故而影響企業(yè)網(wǎng)服務(wù)。4．實用性 應(yīng)能使用戶方便實用地訪問各種企業(yè)網(wǎng)服務(wù)并接受管理。 活動目錄（Active Dirctory）活動目錄（Active Directory）是Windows 2003完全實現(xiàn)的目錄服務(wù)，也是Windows 2000網(wǎng)絡(luò)體系的基本結(jié)構(gòu)模型，是Windows 2003網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機(jī)構(gòu)。Active Directory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。活動目錄采用了Internet的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對象的屬性或者添加新的對象類型。用戶可以利用域用戶賬戶登錄域，并利用它訪問網(wǎng)絡(luò)上的資源， 本地用戶賬戶：本地用戶賬戶是創(chuàng)建在非域控制器的“本地安全賬戶數(shù)據(jù)庫”內(nèi)，而不是域控制器的Active Directory數(shù)據(jù)庫內(nèi)。安全組也可以用在與安全無關(guān)的任務(wù)上，例如，可以通過電子郵件軟件將電子郵件發(fā)送給安全組。用戶無法設(shè)置分布式組的權(quán)限。 域是邏輯的分組，站點是物理的分組。同一個站點內(nèi)的同一個域控制器會自動設(shè)置執(zhí)行復(fù)制，其默認(rèn)的復(fù)制頻率比不同站點之間快。通過復(fù)制，Active Directory目錄服務(wù)在多個域控制器上保留目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄可用性和性能。Active Directory 依靠站點概念來保持復(fù)制的效率，并依靠知識一致性檢查器 (KCC) 來自動確定網(wǎng)絡(luò)的最佳復(fù)制拓?fù)?。通過使用組策略可以設(shè)置各種軟件、計算機(jī)和用戶策略，可以完成用戶所需軟件的自動安裝、自動定制用戶環(huán)境、自動將用戶的文件夾重定向等一系列高級功能。此外,還可添加在計算機(jī)上（在計算機(jī)啟動或停止時，以及用戶登錄或注銷時）運行的腳本，甚至可配置Internet Explorer等多種功能。216。通過使用 Windows Server 更新服務(wù) (WSUS)，管理員可以快速而可靠地將 Windows 2000 操作系統(tǒng)和更高版本、Office XP 和更高版本、Exchange Server 2003 以及 SQL Server 2000 的最新關(guān)鍵更新和安全更新部署到 Windows 2000 和更高版本的操作系統(tǒng)。使用自動更新可以在第一時間更新操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，保護(hù)計算機(jī)安全。但在大中型的網(wǎng)絡(luò)當(dāng)中，如果每臺計算機(jī)都單獨去微軟更新補丁，那么則會極大的影響企業(yè)的外部網(wǎng)絡(luò)帶寬。這樣也既不會浪費外部網(wǎng)絡(luò)帶寬，也能讓所有的計算機(jī)得到更新。 實訓(xùn)設(shè)備與軟件設(shè)備類型設(shè)備型號數(shù)量（每組）備注交換機(jī)H3C3100 1臺服務(wù)器宏基P43臺計算機(jī)宏基P43臺服務(wù)器操作系統(tǒng)Windows Server20033可使用虛擬機(jī)環(huán)境216。 實施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝配置Windows Server 2003活動目錄（用戶管理、計算機(jī)加入域、站點與復(fù)制）3）安裝配置WSUS服務(wù)器（WSUS、組策略）4）配置計算機(jī)參數(shù)并根據(jù)需求驗證實現(xiàn)的功能5）完成項目文檔資料 實施步驟（請將主要實施步驟整理列出），用來集中管理 項目驗收 設(shè)備驗收 功能驗收兩臺服務(wù)器的域控制器站點驗證統(tǒng)一管理用戶驗證安全策略驗證 項目總結(jié)通過這次實訓(xùn)，讓我了解到在企業(yè)里面應(yīng)用域來管理計算機(jī)能大大的節(jié)省人力和時間，并能夠增強安全。才知道以前我們上課掌握的知識真的是太少了 ，在這之前我對于一些服務(wù)器安裝和配置都有一些陌生，在建立域之前，應(yīng)收集實際環(huán)境的信息，按照實際來設(shè)計和配置每個服務(wù)器和個人電腦的角色。在實際的環(huán)境中也能揮曬自如。 項目流程 圖71 項目流程圖 項目調(diào)查與需求分析7. 3. 1 項目目標(biāo)本項目針對校園園區(qū)網(wǎng)的網(wǎng)絡(luò)安全進(jìn)行建設(shè)和管理，提供內(nèi)外網(wǎng)轉(zhuǎn)換和外部安全訪問校園網(wǎng)內(nèi)部，并進(jìn)行防病毒系統(tǒng)的部署。其中互聯(lián)網(wǎng)線路分配的其中部分IP地址范圍為：— 。 需求1：采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)和合理的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行校園網(wǎng)出口部分的建設(shè)，實現(xiàn)內(nèi)部用戶快捷安全訪問互聯(lián)網(wǎng)和教育網(wǎng)。 需求2：一些校園網(wǎng)服務(wù)器需提供外部的公共訪問服務(wù)（WWW、FTP等服務(wù)），使互聯(lián)網(wǎng)用戶能安全方便地訪問學(xué)校的公共資源和信息。 需求3：一些校園網(wǎng)內(nèi)部的資源（例如辦公系統(tǒng)、電子圖書等）需要提供學(xué)校的教職員工在外安全訪問。 需求4：保障和加強服務(wù)器安全性，對校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，為校園網(wǎng)系統(tǒng)提供穩(wěn)定的網(wǎng)絡(luò)服務(wù)。 需求5：為保障校園網(wǎng)全網(wǎng)安全，加強各用戶計算機(jī)的安全防護(hù)，安裝使用防病毒軟件。 分析1：使用合理規(guī)劃的ＩＰ地址和路由協(xié)議使校園網(wǎng)用戶可以連接到Ｉｎｔｅｒｎｅｔ,并通過專線連接到教育網(wǎng)216。216。216。提供私有地址與公共IP地址轉(zhuǎn)換。 分析5：安裝必要的殺毒軟件 項目實訓(xùn)要求216。216。216。（主機(jī)安全）216。216。 項目實施 實施原則1．可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡(luò)服務(wù)。3．可擴(kuò)充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實施的各項網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。 項目知識點216。在網(wǎng)絡(luò)上防火墻簡單的可以只用路由器實現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個子網(wǎng)來實現(xiàn)。防火墻是一種高級訪問控制設(shè)備，置于不同安全域之間，是不同安全域之間的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策執(zhí)行允許，拒絕，監(jiān)視，記錄進(jìn)出網(wǎng)絡(luò)的行為。1） 防火墻技術(shù)防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測、代理服務(wù)。包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。狀態(tài)檢測是比包過濾更為有效的安全控制方法。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。每個客戶機(jī)／服務(wù)器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務(wù)器。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點。根據(jù)防火墻和內(nèi)外網(wǎng)絡(luò)的結(jié)構(gòu),防火墻具有三種工作模式透明模式、路由模式和混合模式。網(wǎng)絡(luò)設(shè)備和所有計算機(jī)的設(shè)置（包括IP地址和網(wǎng)關(guān)）無須改變，同時解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度。 傳統(tǒng)防火墻一般工作于路由模式，防火墻可以讓處于不同網(wǎng)段的計算機(jī)通過路由轉(zhuǎn)發(fā)的方式互相通信并可將內(nèi)部私有IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址?；旌夏Ｊ椒阑饓Y(jié)構(gòu)如下圖所示:3） 防火墻產(chǎn)品簡介1．阿姆瑞特防火墻阿姆瑞特防火墻為無系統(tǒng)內(nèi)核，即：防火墻沒有操作系統(tǒng)，因此不會存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的安全性；同時，因為操作系統(tǒng)需要不斷地去維護(hù)、升級，無操作系統(tǒng)就不存在此類問題，這也排除了因為系統(tǒng)升級、打補丁破壞防火墻功能、性能的問題。2．ISA（Internet Security and Acceleration Server）ISA Server是微軟公司出品的企業(yè)級別的路由軟件防火墻，它可以讓