视频操作链接:biubiu1980的个人空间_哔哩哔哩_bilibili
一、题目说明
(一)考核时间
考核时间为100分钟。
(二)考核结果文件的提交
按照题目要求,所有截图有14张,能在客户端上测试的就一定要在终端上测试并截图上传云班课,否则不得分,截图时打开cmd,执行hostname & echo 你的姓名 & date /t & time /t。
二、项目任务描述
你作为一名网络技术工程师,被指派去构建ChinaSkills.cn的网络。你必须在规定的时间内完成要求的任务,并进行充分的测试,确保设备和应用正常运行。
(一)基本配置
服务器和客户端
Device
Hostname
System
FQDN
IP Address
DCserver
DCserver
Windows server(预装)
DCserver.ChinaSkills.cn
172.16.100.201
SDCserver
SDCserver
Windows server(预装)
SDCserver.ChinaSkills.cn
172.16.100.202
Server01
Server01
Windows server(预装)
Server01.ChinaSkills.cn
192.168.10.251
server01
server01
Windows server(预装)
server01.ChinaSkills.cn
192.168.10.252
Server03
Server03
Windows server(预装)
Server03.ChinaSkills.cn
192.168.10.253
GWserver
GWserver
Windows server(预装)
GWserver.ChinaSkills.cn
172.16.100.254
192.168.10.254
60.10.100.254
Client
Client
Windows server(预装)
60.10.100.x
网络
Network
CIDR
办公区域
60.10.100.0/24
服务区
172.16.100.128/25
应用区域
192.168.10.240/28
(二)拓扑图
DCserver01
SDCserver
Server01
server01
Client
GWserver
Server03
三、项目任务清单
注:本题目中没特别说明的密码皆为:Chinaskills22。
(一) DCserver配置任务
*1 在DCserver*上配置以下服务与设置
为 ChinaSkills.cn 安装和配置活动目录域服务;
**2 ****创建全局 AD 组IT与用户(IT001-100); **
for /l %i in (1,1,9) do net user IT00%i ChinaSkills22 /add /expires:never /active:yes
for /l %i in (1,1,9) do net group IT IT00%i /add
for /l %i in (10,1,99) do net user IT0%i ChinaSkills22 /add /expires:never /active:yes
for /l %i in (10,1,99) do net group IT IT0%i /add
net user IT100 ChinaSkills22 /add /expires:never /active:yes
net group IT IT100 /add
打开cmd,执行net group IT(图1)
**3 **在GWserver安装和配置路由功能
**4 **在DCserver安装和配置DFS功能
(1)为所有域用户设置漫游文件,漫游文件放于\ChinaSkills.cn\ Chinaskills22\Roaming Profile\ 目录中;
**a **在DCserver安装DFS
**b **配置DFS管理,新建命名空间\chinaskills.cn\ChinaSkills22(采用系统自动生成的ChinaSkills22文件夹共享)
**c **在DCserver执行命令mkdir “C:\DFSsharedir\Roaming Profile”和mkdir C:\DFSsharedir\IT\backup ,或者图形界面操作创建,并且设置共享,DFS管理选中刚建立的命名空间,添加文件夹映射到Roaming Profile和backup
**d **批量选中IT组的所有用户,右键属性--配置文件--\chinaskills.cn\ChinaSkills22\Roaming Profile
**e **从GWserver用IT001登录,个性化设置--背景--高对比度设置--白色,注销,然后从server01再用IT001登录,发现应用了之前的设置,打开\chinaskills.cn\ChinaSkills22\Roaming Profile.V6文件夹,拍照内容。(图2)
(2)把域控组策略及域控配置信息每天自动备份到本地的D盘根目录
**a **在DCserver添加两块1G硬盘后,格式化为D盘和E盘;
**b **在功能位置选中安装"windows server 备份";
**c **打开"windows server 备份",设置备份的项为C:\windows目录下的NTDS和SYSVOL;(域控组策略及域控配置信息)
**d **指定快到的时间备份到卷D盘,也可以执行time命令修改时间;(查看备份的数据,图3)
(3)并同步复制到DFS目录下\DFSsharedir\IT\backup 目录
**a **在server01执行命令mkdir C:\DFSsharedir\IT\backup ,或者图形界面操作创建,并且设置共享;
**b **在server01安装DFS,然后DFS管理添加要显示ChinaSkills22命名空间,添加文件夹映射C:\DFSsharedir\IT\backup;
**c **新建复制组,选择多用途复制组--名称设置为域控信息备份--添加server01和dcserver服务器,要复制的文件夹为DC的D:\,目标为server01的C:\DFSsharedir\IT\backup;
**d **打开C:\DFSsharedir\IT\backup(隐藏属性,修改显示出来),查看复制过来的数据。(图4)
5.DNS SERVICE配置工作任务
- 安装及配置 DNS 服务;
- 创建必要的ChinaSkills.cn正向区域,添加web.ChinaSkills.cn--192.168.10.254和print.ChinaSkills.cn--192.168.10.251域名解析记录;
- 配置TXT记录,配置主时间控制服务记录;配置域名反向PTR;
a 添加文本txt.chinaskills.cn记录,查询命令nslookup -type=txt txt.ChinaSkills.cn,结果信息是"TimeServer:172.16.100.201";
b为当前域网络创建反向查找区域,网段172.16.100.0和192.168.10.0;
- 在GWserver打开cmd,执行nslookup web.ChinaSkills.cn和192.168.10.251。(图5)
6.为ChinaSkills.cn域配置安全策略
- 所有的域计算机和域用户都能自动注册证书,证书颁发机构已经颁发过一次就不再重复颁发,除非证书文件丢失或者失效;
**a **在DCserver打开组策略--default group police--计算机配置--windows设置--安全设置--公钥策略--启用包含证书的三个对象;
- 使IT(IT001-100)登录系统后自动映射网络驱动器X盘
**a **在DCserver执行命令mkdir e:\share\sd2020\users ,或者图形界面操作创建,并且设置共享;
*b 在DCserver打开组策略管理--选中IT右键--新建GPO--用户配置--首选项--windows设置--驱动器映射为X盘;(两个策略截图合并为图6*)
(二) GWserver配置任务
1****.服务器磁盘配置工作任务
- 安装及配置软 RAID5;
- 在安装好的GWServer虚拟机中添加四块10G虚拟磁盘;
- 组成RAID5,磁盘分区命名为卷标H盘:Raid5;
- 手动测试破坏一块磁盘,做RAID磁盘修复;确认RAID5配置完毕。(图7)
2****.ISCSI
(1)创建10G的ISCSI磁盘,存储到H盘目录下的iSCSI文件夹;
(2)启用Mutual CHAP认证;
(3)server01为iSCSI客户端,连接成功后,格式化挂载到F盘。
**a **在GWserver的H盘新建iscsi共享文件夹,然后安装iscsi目标服务器,新建iscsi虚拟磁盘,输入与此服务器建立连接的电脑IP,启用mutual双向认证,用户名iscsi,密码Chinaskills22和Chinaskills22!;
**b **在server01打开iscsi发起程序,配置反向chap密码Chinaskills22!,设置服务器IP,然后在连接目标高级设置对话框中,勾选启动 CHAP 登录,并设置名称和目标机密,在名称框中输入创建iSCSI卷时设置的入站CHAP用户名iscsi,在目标机密框中输入创建iSCSI卷时设置的入站CHAP密码Chinaskills22;
**c **连接成功后,打开磁盘管理,格式化为F盘。
**d **在GWserver打开powershell,执行Get-IscsiVirtualDisk 和Get-IscsiServerTarget(图8)
3.WEB环境配置工作任务(IIS+CA)
- 配置证书服务器,提供CA自动申请证书;实现证书颁发机构及机构WEB注册服务;
- 配置为企业CA域成员;CA类型:根CA中心;加密类型SHA256位,密钥长度2048位;CA共用名称: Chinaskills.cn; 可分辨后缀:DC= Chinaskills,DC=local;有效期为1年;
- 证书数据存储路径:H:\DFSsharedir\CA。
**a **在GWserver选择角色“证书颁发机构”、“证书颁发机构web注册”、(证书注册策略web服务和联机响应程序),使用“域管理员"(本地管理员操作会报错)登录后配置CA服务器--选企业CA--CEP身份验证用win集成身份验证--选择证书稍后为SSL分配;
**b **打开证书颁发机构--“证书模板”右键管理报错找不到模板时,注销用域管理员登录再打开--复制user新建模板(名称为autouser,一年有效期,勾选不重复注册,应用后再修改安全选项卡,修改domain users权限自动注册);
**c **“证书模板”右键新建证书模板--选择autouser
(4) 所有的域计算机和域用户都能自动注册证书,证书颁发机构已经颁发过一次就不再重复颁发,除非证书文件丢失或者失效;
**a **在DCserver打开组策略--default group police--计算机配置--windows设置--安全设置--公钥策略--启用包含证书的三个对象;
**b **在GWserver注销再用域管理员登录查看,打开证书颁发机构,等待2分钟左右,发现DC已经自动注册了。(图9)
- 在服务器上装Web 服务器,启用HTTPS 服务;
- 在服务器上为“web.Chinaskills.cn”创建相应的Web 站点包含DNS相关记录;
- 站点首页采用asp.net技术,首页设置为index.aspx;
- 添加显示当前日期和主机的静态页面内容;
**a **在GWserver打开IIS管理器--选GWserver--双击证书--创建证书申请--通用名称web.Chinaskills.cn,组织JX201,单位NCDX,城市ZHUZHOU,省份HUNAN,保存到我的文档,文件名为web_request.txt
**b **在GWserver打开IE浏览器,输入192.168.10.254/certsrv,输入域管理员账号密码,申请证书,把web_request.txt中base64内容全选复制,在线提交,下载证书到我的文档,修改证书文件名为cert_web.cer;
**c **打开IIS管理器--选GWserver--双击证书--完成证书申请--导入cert_web.cer证书作为网站https://web.ChinaSkills.cn域证书,域证书名称为gwserver_web;
**d (**如果手工申请失败,就直接生成域证书)在GWserver打开IIS管理器--选GWserver--双击证书--新建域证书--通用名称web.Chinaskills.cn,组织JX201,单位NCDX,城市ZHUZHOU,省份HUNAN,域证书名称为gwserver_web,颁发给web.Chinaskills.cn;
**e **在web服务器安装绑定证书,选中default web site(或新建站点)--添加网站绑定--类型https,选IP 192.168.10.254,主机名填web.Chinaskills.cn,SSL证书选gwserver_web;
**f **默认文档添加index.aspx,浏览网站文件夹,新建编辑这个文件,输入 <%Response.Write("日期"+date.now+"主机"+request.userhostname)%>,如果是asp文件,输入 Response.Write(Date()),在server01用IP可以访问显示日期和访问者主机IP,但是会提示站点不安全,证书错误(防止假冒网站,因为真的证书用的是web.Chinaskills.cn通用名称生成的);
**g **在DCserver添加web.Chinaskills.cn对应192.168.10.254的DNS记录,打开AD用户和计算机管理,新建IT001用户;用浏览器访问https://web.Chinaskills.cn,如果提示站点不安全,需要手工导入cert_web.cer证书到受信任的根证书颁发机构,再次打开就没有提示风险了;(图10)
**h **如果不识别aspx文件报HTTP404错误,需要安装asp.net组件(挂载光盘,指定备用源D:\sources\sxs);安装asp.net 4.0组件(安装3.5会报HTTP404错误)
4****.安装及配置NAT服务
(1)在GWserver打开路由和远程访问,选IPV4 --> 常规 --> 新增路由协议--> 选择NAT项 ;
(2)指定NAT协议运行的网络接口,eth0和eth1是连接到企业内部网络的接口,因此勾选“专用接口连接到专用网络”;
(3)外网接口 eth2, 添加外网接口,勾选公共接口连接到Internet”。同时也需要选择“在此接口上启用NAT”选项;
(4)内网主机server01就应该可以访问外网client了,通过ping包测试成功,返回GWserver查看NAT转换的数值;(图11)
5****.安装及配置VPN 服务
(1)仅允许 Layer 2 Tunneling Protocol连接;
(2)为保障认证的安全性,采用预共享密钥或证书作为Layer 2 Tunneling Protocol认证手段;
(3)客户端连接成功后获得的内部地址范围为:172.16.100.210-172.16.100.220;
(4)在client创建一个名为SD-VPN的拨号适配器连接,用于建立VPN连接。
**a **在GWserver用域管理员登录,安装路由和VPN,打开路由和远程访问,设置gwserver的属性常规,选局域网和请求拨号路由和IPV4远程访问服务器;设置安全,选windows身份验证,记账,预共享密钥12345,证书选chinaskills.cn;设置IPV4,静态地址池172.16.100.210-172.16.100.220,名称解析适配器选外网网卡ethernet2;
**b **在GWserver打开路由和远程访问,选中“远程访问日志记录和策略”右键--启动NPS--设置“路由和远程访问服务器的连接”策略--启用,授权访问(如果不启用,VPN客户端会报拒绝连接错误,还有需打开services.msc,查看VPN服务Remote access auto connection manager是否自动运行);
**c **在client找到网络和internet,左侧选中VPN,添加VPN连接,连接名称为SD-VPN,其他按照服务器设置填写,打开cmd,执行ipconfig(图12)
(三) server01配置任务
1****.server01系统基础环境配置
2.DFS member端配置工作任务
3****.Iscsi客户端配置工作任务
4. AD****域打印机
(1)添加一台虚拟打印机,名称为“SD-Print”;
(2)发布到 AD 域;
(3)客户端们都能够通过访问https://print.ChinaSkills.cn查看打印机。
**a **在server01添加打印和文件服务中的打印服务器和Internet打印--web服务器角色勾选ASP.NET4.7;
**b **打开控制面板添加打印机--手动添加--现有端口打印到文件--厂商microsoft,驱动IPP CLASS--命名为SD-Print,设置打印机属性--共享选项卡勾选三个;
**c **打开IIS,浏览printers虚拟目录,发现IE浏览器打开了http://localhost/Printers/;
**d **在server01打开IIS管理器--选GWserver--双击证书--创建证书申请--通用名称print.Chinaskills.cn,组织JX201,单位NCDX,城市ZHUZHOU,省份HUNAN,保存到我的文档,文件名为print_request.txt
**e **在server01打开IE浏览器,输入https://web.ChinaSkills.cn/certsrv,输入域管理员账号密码,申请证书,把print_request.txt中base64内容全选复制,在线提交,下载证书到我的文档,修改证书文件名为cert_print.cer;
**f **打开IIS管理器--选GWserver--双击证书--完成证书申请--导入cert_print.cer证书作为网站https://print.ChinaSkills.cn域证书,域证书名称为gwserver_print;
**g **用域管理员登录,打开打印管理,选中SD-Print右键--使用组策略部署--用default GPO发布到AD域,单击已部署打印机截图;(图13)
**h **在DCserver打开DNS,添加print.ChinaSkills.cn对应192.168.10.251记录,打开AD用户和计算机管理,新建IT001用户;
**i **在GWserver用IT001登录,打开控制面板打印机,发现了域策略部署的SD-Print打印机,用IE浏览器打开https://print.ChinaSkills.cn/printers,查看打印机; (图14)
(四) Client配置任务
1****.Client系统基础环境配置
**2. **创建一个名为SD-VPN的拨号适配器连接,建立VPN连接。
版权归原作者 biubiu1980 所有, 如有侵权,请联系我们删除。