《Windows 网络操作系统》集中实训任务书

一、项目实施目的

通过一个以企业为背景的网络项目的实训,综合运用本课程知识和技术,使学生学会在Windows Server 2012 R2环境下,掌握搭建一个小型企业网的设计细节和实施流程,为今后构建和实施综合性网络系统平台、大数据应用平台和云计算数据中心打下基础。

二、项目施工方式与要求

  1. 项目实训前必须仔细阅读《综合项目施工任务书》,明确实训的目的、要求和任务,制定好上机步骤。
  2. 每人配备一台电脑(至少16 GB内存容量)。

三、项目施工规划与环境

本项目(必作题部分)中,由一台物理机(能接入互联网)、7台虚拟机及4台虚拟交换机构成一个独立的网络,设备及IP地址分配见表15-1

image-20210611114325457

中小型企业网络施工示意图(拓扑结构)如图15-2所示。

image-20210611114425678

四、项目施工任务

任务1:配置网络和软路由器,实现四个内部子网及外网的互联互通

(1)在虚拟机①~虚拟机④上按表15-1或图15-2添加所需数量的网卡并将各网卡连接至相应的虚拟交换机,配置各网卡的IP地址和子网掩码等参数

(2)在虚拟机①上,安装“远程访问”服务角色,设置“配置并启用路由和远程访问”中的“LAN路由”服务项目,添加静态路由使其数据包能到达子网4和外网(目标网络号和子网掩码均为0.0.0.0时表示是默认路由,此处将到达外网的路由设为默认路由)

image-20210608090234278

image-20210608090547162

image-20210608090939913

(3)在虚拟机②上,安装“远程访问”服务角色,设置“配置并启用路由和远程访问”中的“LAN路由”服务项目,添加静态路由使其数据包能到达子网1、子网2和外网(其中,将到达外网的路由设为默认路由)

与上同理

(4)在虚拟机③上使用route命令添加3条永久静态路由,使其数据包能到达子网2、子网3、子网4。在安装Windows系统的主机上添加的静态路由、显示路由的命令格式分别为:

route  -p  add  目标网络号  mask 目标网络的子网掩码 下一跳的IP地址
route  print

(5)在虚拟机④上使用route命令分别添加能到达子网2、子网3、子网4和外网的永久静态路由(其中,将到达外网的路由设为默认路由)。

任务2:配置DHCP及中继代理,为子网2、3、4中的客户机自动分配IP地址等参数

(1)在虚拟机①中安装DHCP服务角色,按不同部门创建3个作用域,并按表15-2所示配置其他参数。

image-20210608091131743

image-20210608091247731

image-20210608091325273

image-20210608091440322

  • 表15-2 DHCP服务器配置参数表

image-20210611114521126

(2)在虚拟机②中添加“DHCP中继代理程序”协议。

image-20210608091554111

(3)在子网2启动一台客户机(将该机的网卡连接至虚拟交换机VMnet2),检测能否实现动态分配IP地址等参数,能否对总经理使用的计算机实现保留地址的分配。

image-20210608091356964

任务3:安装与配置主DNS和辅助DNS

(1)在虚拟机③上安装DNS服务角色,创建主要区域“xunda.com”,添加资源记录见表15-3。

image-20210611114726576

安装DNS服务器

image-20210608091715156

创建正向区域 例:

image-20210608092049671

image-20210608092110095

image-20210608092129171

image-20210608092145162

image-20210608092536990

创建反向区域 例:

image-20210608093008806

image-20210608093034201

正向区域新建A记录:

image-20210608093326832

新建反向指针:

image-20210608093455297

  • 资源记录表

image-20210608100621521

(2)在虚拟机①上安装DNS服务角色,创建辅助区域“xunda.com”。

以正向区域为例:

image-20210608100255379

image-20210608100323318

image-20210608100411736

(3)在虚拟机③的主DNS上配置区域复制,使主DNS中的记录自动复制到辅助DNS中。

image-20210608100115851

反向区域传送同理

(4)在主DNS和辅DNS上分别设置转发器,转发的IP地址是公网上的DNS服务器的IP地址(如,8.8.8.8)。

image-20210608100819171

任务4:创建与配置Web站点

在虚拟机④上安装IIS组件,按表15-4所规划的参数创建两个Web站点。

  • 表15-4 Web站点配置参数

image-20210611114908467

image-20210608105320431

image-20210608105455579

添加默认首页文件名

image-20210608105627382

任务5:创建与配置FTP站点

安装FTP

image-20210608112701726

(1)在虚拟机④上按照表15-5所规划的参数创建本地组和本地用户。

  • 表15-5 本地组和本地用户
部门本地用户所属本地组
网络管理员admin1、admin2administrators
客户部zhang3khb_group
市场部li4scb_group
技术部wang5jsb_group
财务部zhao6cws_group

在计算机管理中添加用户和组

image-20210608113559340

(2)在虚拟机④中按照表15-6所规划的参数创建目录结构并设置访问权限。

  • 表15-6 目录结构及权限分配表
资源用途目录结构访问者NTFS权限/共享权限
共享文件夹E:xundadoc内网和VPN用户可访问可读可写
迅达公司的公共资源库E:xundapublic匿名用户(所有用户)可访问只读
迅达公司客户部的资料库E:xunda客户部客户部组成员可访问可修改
迅达公司市场部的资料库E:xunda市场部市场部组成员可访问可修改
迅达公司技术部的资料库E:xunda技术部技术部组成员可访问可修改
迅达公司财务部的资料库E:xunda财务部财务部组成员可访问可修改
业务Web站点的主目录E:xundaweb1只有网络管理员admin1可访问可修改
宣传Web站点的主目录E:xundaweb2只有网络管理员admin2可访问可修改
直播Web站点E:xundaweb3只有网络管理员admin1可访问可修改
点播Web站点E:xundaweb4只有网络管理员admin1可访问可修改

image-20210608114630005

image-20210608115510364

image-20210608115755286

(3)在虚拟机④上安装IIS FTP角色并启动FTP服务。

image-20210608144005112

(4)在虚拟机④中按表15-7所示的参数创建FTP站点及虚拟目录。

表15-7 FTP站点及虚拟目录

FTP站点或虚拟目录名称物理路径访问者
迅达公司FTP站点E:xundapublic匿名用户(所有用户)可访问
客户部(虚拟目录)E:xunda客户部客户部组成员可访问
市场部(虚拟目录)E:xunda市场部市场部组成员可访问
技术部(虚拟目录)E:xunda技术部技术部组成员可访问
财务部(虚拟目录)E:xunda财务部财务部组成员可访问
维护业务Web站点(虚拟目录)E:xundaweb1只有网络管理员admin1可访问
维护宣传Web站点(虚拟目录)E:xundaweb2只有网络管理员admin2可访问
直播发布点(虚拟目录)E:xundaweb3只有网络管理员admin1可访问
点播发布点(虚拟目录)E:xundaweb4只有网络管理员admin1可访问

image-20210608141839595

创建FTP站点

image-20210608142003990

image-20210608142939000

新建虚拟目录

image-20210608192144265

添加规则,授权相应用户组权限

image-20210608192000044

防火墙除了放行FTP端口,还需要放行相应程序

在防火墙的入站规则上新建规则,将C:WindowsSystem32svchost.exe程序开通允许

image-20210608191414575

(5)在E盘启用磁盘配额,将磁盘空间限制为“1GB”、警告等级设为“950MB”;对部门经理帐户设置配额项,将磁盘空间限制为“5GB”、警告等级设为“4900MB”;总经理无限制。

image-20210611115329226

<page>

任务6:配置NAT服务器,使内部各子网中的客户机均能访问外网,且外网用户能访问内网中的服务器

(1)在虚拟机③上安装“远程访问”服务角色,设置“配置并启用路由和远程访问”中的“网络地址转换(NAT)”服务。

image-20210609101055929

(2)在虚拟机③的外网卡上针对内网中的Web服务器、FTP服务器、DNS服务器(端口为53)和远程登录的服务器配置端口映射功能,以便让外网用户能通过域名访问内网中的服务器(外网用户只能通过访问虚拟机③上外网卡的IP地址,进而通过端口映射访问内网中的各种服务器)。

image-20210609101219856

image-20210609101316336

任务7:配置VPN服务器

(1)在虚拟机③上,设置“配置并启用路由和远程访问”,创建VPN服务器,新建VPN连接的地址范围为:192.168.1.201~192.168.1.205。

image-20210609110516538

若使用L2TP进行连接加密,则需要配置密钥(可选)

image-20210609114102328

(2)创建1个用户(远程连接的专门用户),并设置用户拨入属性。

image-20210609110730607

image-20210609111000077

(3)设置用户的“远程访问策略”:周一~周五的9:00~18:00允许访问。

image-20210609111342426

image-20210609111503048

image-20210609111527295

image-20210609111608946

image-20210609111652695

image-20210609111709125

image-20210609111726735

image-20210609111907160

完成后重启服务

image-20210609112711906

image-20210609112939195

将两个服务启动,这里我已经先启用了一个

(4)在模拟公网的客户机(物理机)上,新建“虚拟专用网络连接(VPN)”。

image-20210609140104041

(5)测试VPN服务:在客户机上启动VPN连接,输入用户名与密码,测试客户机能否连入VPN服务器,并使用UNC路径“\192.168.1.4doc”访问内网中的共享文件夹“E:xundadoc”。

在有共享文件的服务器上启用网络发现

image-20210609140226548

若无法启用,需开启三个服务

image-20210609140419908

image-20210609140607975

开启网络发现后,再到高级共享设置中关闭密码保护共享

image-20210609140802517

客户端测试

image-20210611113340772

(6) 在虚拟机④上创建具有管理员级别的账户,并用此账号在外网中的主机上通过远程桌面连接登录到内网中的虚拟机④。

image-20210611104032897

添加可以远程登录的用户

image-20210611104409927

客户端测试

image-20210611113721674

image-20210611113806643

成功登录

登陆后背景为黑色的解决方案

image-20210611113943144

<page>

任务8(选作题):安装配置域控制器(DC)

(1)在虚拟机⑥上安装活动目录,创建一个森林根域,域名为“xunda.com”。在安装活动目录的过程中,选择在这台计算机上安装DNS服务。

配置域前,首先需要将所有计算机的主机名进行更改

这里AD与DNS不在一台服务器上

首先对主DNS服务器进行操作

image-20210610105701232

image-20210610105526847

image-20210610110159530

配置AD

配置DNS为主DNS服务器的ip

image-20210610110847910

image-20210609151104502

image-20210610111927487

后面下一步安装即可

验证:

刷新区域后,DNS服务器的主要区域中会多出4个文件夹,证明安装成功

image-20210610112255246

(2)按照表15-8要求创建企业的组织单元(OU)、域组和域用户。

表15-8 组织单位(OU)、域组和域用户

image-20210610113255834

创建OU

image-20210610113444068

image-20210610113514032

创建域组

image-20210610114456088

组作用域和组类型,一般默认
本地域:来自全林用于本域
全局:来自本域用于全林
通用:来自全林用于全林
安全组:域中做权限设置用得到
通讯组:跟权限无关,主要用于设置exchange邮件群组

创建用户

image-20210610114932404

image-20210610114952626

用户添加到组

image-20210610115257377

image-20210610115335241

给server用户赋予管理员权限(将用户添加到Domain Admins组)

image-20210610152940492

任务9(选作题):配置域安全策略和防火墙

(1)在域控制器DC上,为公司的每台服务器创建一个域管理员用户,并将所有服务器加入到域(xunda.com)。

(2)在域控制器上,设置密码策略:密码长度最小值为7个字符,密码必须符合复杂性要求。

image-20210610141132133

image-20210610141321990

(3)设置帐户锁定策略:帐户锁定阀值为5、帐户锁定时间为30分钟。

(4)设置审核策略:启用帐户登录事件和对象访问的审核。

image-20210610141958996

(5)在域控制器DC上通过防火墙设置禁止在本机上使用浏览器上网。

先找到浏览器程序位置

image-20210610150050723

注意程序是在Program Files(x86)文件下

在防火墙的出站规则中新建规则

image-20210610150224975

选择浏览器程序

image-20210610150314279

image-20210610150344207

后面点下一步完成即可

<page>

任务10(选作题):安装与配置证书服务器

(1)在虚拟机⑥上安装证书服务角色,并配置独立根CA。

image-20210610153352985

image-20210610154155186

image-20210610163122135

image-20210610163158793

image-20210610163222183

image-20210610163315278

image-20210610163345552

新建一个密钥

image-20210610163441471

加密算法默认即可

image-20210610163543741

CA名称会自动生成,默认即可

image-20210610163641155

默认有效期5年,下一步

image-20210610163728723

image-20210610163821944

CEP身份验证是一种基于证书密钥的续订的设置,选择默认的集成身份验证即可

image-20210610163935017

现在还没有现有证书,选择稍后分配

image-20210610164111819

image-20210610164136816

image-20210610164243211

(2)在Web服务器上提交申请证书、在证书服务器上颁发证书、在Web服务器上下载并安装颁发的证书。

在Web服务器上进行证书申请

image-20210610225420135

image-20210610225603760

image-20210610225657084

image-20210610225753440

登录申请证书的网站,这里使用我自己设的域名访问

image-20210610230120353

image-20210610230217976

选择高级证书申请

image-20210610230302249

选择使用base64编码申请

image-20210610230353197

将之前创建的txt文本内容复制进Base-64的框中

image-20210610230828985

完成证书申请

image-20210610231105135

image-20210610231220585

添加https访问

image-20210610231440463

在Web服务器上添加可信任的根证书

image-20210610233115808

image-20210610233137998

image-20210610233224189

image-20210610233259685

导入证书链到受信任的根证书颁发机构

image-20210610234210039

image-20210610234141839

(3)将“业务Web站点”绑定SSL证书。

(4)在客户端访问启用了SSL安全通道的Web网站。

image-20210610234353013

最后修改:2021 年 07 月 08 日 03 : 56 PM
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏