Windows网络服务搭建管理之3.《WEB/FTP(服务器群集)CA证书配置
详解》
O3 T* t$ ?7 N6 P3 n/ h; s2 P
实验名称: 2.WEB/FTP(服务器群集/负载平衡)CA证书服务器的搭建
和配置
7 n0 w, Z& x$ |# H; Q
实验任务和目标:《总的目标》
v 在企业网络中实现IP地址的动态分配
v 配置DNS服务器,完成域名解析 v 利用IIS6.0配置企业Web网站
v 配置和管理FTP服务器
v 实现企业网络的RAS(远程访问服务)
v 利用证书服务实现安全性
8 Y( ^/ L e9 M9 F/ p) L |3/ I2 q. ]; Q& Z+ s. o
v 网络负载平衡和服务器群集提高可靠性
v 多域间的访问
8 ?8 M8 V% ^! e( y
v 操作主机维护 v 活动目录数据库维护
v 监控服务器
2 t' g, o8 d\ l* x, Y- c% e- O1 {
有两个域一个是sjdwm.cn是公司主域另一个是收购一家公司的域
sjd.com用信任关系使它们互相访问
1、DHCP
% n w0 M5 l0 R) Z$ S; {+ u5 W; {) j0 ], r3 c6 [
a.两个作用域
b.按80/20规则建立两台DHCP
# p) R: P' y0 }. a6 y7 n
c.授权
. \\; i: Z0 @9 k6 |, l) q$ I2 c
d.为DNS,WEB,FTP等站点保留IP地址
e.作用域选项 f.DHCP数据库的备份
. v7 y! ^4 `) f# W: _9 F- J\# T! Z& }4 t% h9 S. Z
) z* j) U& q$ G; y! C: f! Q2、DNS
a.独立建立两台DNS,作为域的DNS和其它域名解析
b.建立辅助DNS服务器
z1( O* O\ x( N' ]4 `% J1 s; x: I\J* @2 H9 }
c.在每个DNS上建立转发器,互相转发解析请求
d.建立反向区域,为以后增加邮件做准备,并增加MX纪录
e.设置区域复制要求,一个域中的DNS记录只能被它的辅助DNS复制 f.假设公司马上要下设两个子公司,域名分别是wm.sjdwm.cn和
sjd.sjdwm.cn,
给sjd做子域,给wm做委派
: Z# z9 {' k& K( f8 q! C
3、web站点
a.做一个外部web站点,域名是www.sjdwm.cnb.做一个内部站点,域名是www.sjd.com
- D, e9 |. p\ Y9 `6 s: ?7 \\ Q4 w2 F# W
c.为sjd域建立一个站点,通过不同的端口访问,可以达到简单的隐蔽
作用
d.在其它的计算机建立隐含共享,在web中建立虚拟目录,来访问其它
计算机上的资源
$ _5 X5 k, ?* F1 L( R; t
本身站点匿名访问,虚拟目录要输入用户名和密码来进行访问,基本站
点都可以访问,虚拟目录只能本公司内的员工访问
; Y4 x. }* \\( g
% n3 e9 y9 v+ o: n$ u1 ?9 G- Ze.为虚拟目录加上ca证书,来保证数据传输的安全
f.使用负载均衡来保证WEB的安全
- G6 b' F6 _: c2 X* f1 X6 h* B. {* d\N# Z
g#0 Y3 |5 T( U+ A2 q4、FTP站点
a.为sjdwm使用serv-u建立ftp,建立一个总目录,目录下是每部门的
目录,对于总目录结构任何人不能
进行修改,也不能在总目录下添加或删除东西;每部门员工只能在自己
部门下上传东西,部门有一个
8 N# G8 O3 @# T! e; g0 O
该部门的目录管理人员,此人可以整理目录内容;每人使用自己的账号
登录FTP服务器,对主管的上传
V'( y ?) [( a* K
下载速度限制为40k,普通员工是20k,每个用户只能打开一个FTP连
接,空闲5分钟就断开连接
y$# H0 r6 P1 z2 G U: Z1 e3 g8 J
b.为sjd建立普通FTP,使用域来隔离用户 c.使用一个服务器来对serv-u进行远程管理
% {! U! d, n- m( W3 t+ w
, A# f% Z0 R7 `3 [# _4 K, q5、DC
a.建立域
8 n% M( O2 r# V8 |. Vb.为每部门建立OU
y! {$ l9 x+ i4 H9 ~1 vc.OU中委派管理权
d.每个部门建立一个全局组,将本部门的员工加入到全局-安全组中
& {. a) m9 q3 }: ?% o9 n1 u1 v
e.建立全局的通讯组,将本部门员工加入到全局-通讯组中,为以后的
exchange做准备
f.在sjdwm.cn中建立一个全局-安全组,名字是sjd,目的是为本公司
支持sjd.com域的人员建立组便于
q8. Y5 Z3 b( C9 w2 \\5 m t9 X! s! _
限制这些人使用sjdwm.com域中资源,在sjd.com域中建立本地域组,
把sjd加入到本组,并对某个资料文件夹
设置权限
& i0 W( J0 I3 B: s9 _; W8 m. \\& D
e.建立额外DC,将基础结构主机转移到额外DC上
g.在DC上使用NTBACKUP建立计划备份任务,周一进行常规,周二到周
五进行差异,便于以后进行授权和
非授权的还原
0 E1 ^7 F' l% k; \\3 ^9 Z% F, f* ?
h.sjd.com域要信任sjdwm.cn域
! ~1 y1 v) ]' U0 ~6、建立一台VPN服务器
a.为企业出差用户访问公司网络提供服务,IP地址由DHCP提供 b.要求外部用户只能在周一到周五的早8点到晚6点之间进行访问,必
须属于一个vpn组
- l6 ]7 z4 G4 h$ \\9 X$ @+ V% V
7、CA
a.建立一个企业CA,为web站点颁发证书
8、远程管理及性能监测
a.对所以上述服务器进行pcanywhere的远程管理
b.在web上启+用web应答和FTP的性能警报,启用三大硬件的警报;
D+* [/ U+ Y! _( G! |
\ u9 c7 a' ]& R实验环境描述:
2台路由,3台交换机,10台服务器,3台PC机
实验拓扑及网络规划:总的拓扑图
# c* T! g5 b( `+ G
实验操作过程及配置说明: 1、 PKI系统中的数字证书简称证书
它把公钥和拥有对应私钥的主体的标识信息(如名称、电子邮件、身证号等)捆绑在一起,证书的主体可以是用户、计算机、服务等,证书可以用于很多方面,Web 用户身份验证,Web 服务器身份验证,安全电子邮件 Internet 协议安全(IPSec) ;数字证书是由权威公正的第三方机构即
CA签发的 证书包含以下信息 § 使用者的公钥值