项目目标

项目目标：1、DHCP的搭建和原理2、配置DNS服务器，完成域名解析3、利用IIS6.0配置企业Web网站4、配置和管理FTP服务器5、在企业网络中实现IP地址的动态分配6、实现企业网络的RAS（远程访问服务）7、利用证书服务实现安全性8、网络负载平衡和服务器群集提高可靠性9、多域间的访问10、操作主机维护11、活动目录数据库维护12、监控服务器一、项目所需设备七台计算机一条直通线三、网络拓扑图四、实验要求：五、实验步骤:1.IP地址规划设备Ip地址网关DnsBaidu.com172.16.1.1172.16.1.254172.16.1.1Google.com172.16.1.2172.16.1.254172.16.1.2Client172.16.1.3172.16.1.254172.16.1.2Sina.com172.16.1.4172.16.1.254172.16.1.4Bj.sohu.com172.16.1.5172.16.1.254192.168.8.1独立根ca172.16.1.6172.16.1.254192.168.8.1根dns172.16.1.7172.16.1.254172.16.1.7顶级域名（.com）172.16.1.8172.16.1.254172.16.1.8vpnClient172.16.1.9172.16.1.254Vpn服务器网卡1：172.16.1.254网卡2：192.168.8.254192.168.8.1Sohu.com(dc1)192.168.8.1192.168.8.254192.168.8.1Dc2192.168.8.2192.168.8.254192.168.8.1NodeWeb1Public：192.168.8.3Heatbeat：1.1.1.1群集ip：192.168.8.88192.168.8.254192.168.8.1NodeWeb2Public：192.168.8.4Heatbeat：1.1.1.2192.168.8.254192.168.8.1子ca192.168.8.5192.168.8.254192.168.8.1Cluster1Public：192.168.8.6Heatbeat：10.0.0.1群集ip：192.168.8.99192.168.8.254192.168.8.1Cluster2Public：192.168.8.7Heatbeat：10.0.0.2192.168.8.254192.168.8.1ftpserver192.168.8.8192.168.8.77192.168.8.254192.168.8.1Dhcpserver192.168.8.9192.168.8.254192.168.8.1client1动态获取Dhcp中继内网：192.168.8.10外网：10.0.0.1Dhcpclient2动态获取2.搭建dns服务根dns上：安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→.—→允许非安全和安全的动态更新—→完成。右击根域—→新建委派—→下一步—→.com—→下一步—→添加.com的主机名和ip—→完成。顶级域.com上：安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→.com—→允许非安全和安全的动态更新—→完成。右击.com—→新建委派—→下一步—→baidu.com—→下一步—→添加baidu.com的主机名和ip—→完成。右击.com—→新建委派—→下一步—→google.com—→下一步—→添加google.com的主机名和ip—→完成。右击.com—→新建委派—→下一步—→sohu.com—→下一步—→添加sohu.com的主机名和ip—→完成。右击.com—→新建委派—→下一步—→sina.com—→下一步—→添加sina.com的主机名和ip—→完成。右击服务器—→属性—→根提示—→删除十三个默认根提示—→添加根dns的ip地址和主机名Baidu.com上：安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→baidu.com—→允许非安全和安全的动态更新—→完成。右击服务器—→属性—→根提示—→删除十三个默认根提示—→添加根dns的ip地址和主机名Google.com上：安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→google.com—→允许非安全和安全的动态更新—→完成。右击服务器—→属性—→根提示—→删除十三个默认根提示—→添加根dns的ip地址和主机名Sina.com上：安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→.com—→允许非安全和安全的动态更新—→完成。右击服务器—→属性—→根提示—→删除十三个默认根提示—→添加根dns的ip地址和主机名Dc1上：安装dns组件—→开始—→运行dhsmgmt.msc—→正向区域—→新建区域—→主要区域—→sohu.com—→允许非安全和安全的动态更新—→完成。右击服务器—→属性—→根提示—→删除十三个默认根提示—→添加根dns的ip地址和主机名Sina.com上（子域）：开始—→运行dhsmgmt.msc—→右击sina.com—→新建域—→名称：bj—→确定3.搭建sohu.com企业内网Dc1上：开始—→运行dhsmgmt.msc—→新建A记录dc1的计算机名和ip地址—→双击soa添加后缀sohu.com。开始运行dcpromo—→新林中的域—→sohu.com—→重启Dc2上：开始运行dcpromo—→现有域的额外域控制器—→administrator123—→重启Dc1上：开始—→运行dsa.mac—→创建用户vpnserver、nlbweb1、nlbweb2、cluster1、cluster2、ftpsever、zica、dhcpsever、client、qq、pp密码均为123.com将它们加入Enterpriseadmins（除client外），还将它们加入相应的服务器的本地管理员组。内网里的所有pc都加入域sohu.com，并用相应的域用户登陆。Dhcp服务器上：安装dhcp组件—→开始—→运行dhcpmgmt.msc—→右击服务器—→授权—→192.168.8.9—→确定—→新建作用域—→ip地址范围192.168.8.11~192.168.8.254—→完成—→激活作用域。右击作用域选项—→006DNS服务器ip：192.168.8.1—→添加—→确定右击服务器—→新建作用域—→ip地址范围：10.0.0.1~10.0.0.254—→完成—→激活作用域右击作用域选项—→003路由器ip：10.0.0.1006DNS服务器ip：192.168.8.1Client1ip为自动获取—→开始—→运行cmd—→ipconfig/release;ipconfig/renew—→获得ip地址192.168.8.11动态获取ip后将client1加入域Dhcp中继上：开始—→管理工具—→打开：路由和远程访问服务—→右击服务器—→配置并启用路由和远程访问—→安装向导—→自定义—→LAN—→下一步—→完成（启动服务）右击常规—→新增路由协议—→dhcp中继代理程序—→确定右击dhcp中继代理程序—→属性—→常规—→服务器地址：192.168.8.9—→确定右击dhcp中继代理程序—→新增接口—→添加外网网卡：10.0.0.1—→确定Client2ip为自动获取—→开始—→运行cmd—→ipconfig/release;ipconfig/renew—→获得ip地址10.0.0.2并将client2加入域此时，client2能够和搜狐内网通信。根ca：先安装ASP.net、IIS服务—→再安装证书服务—→独立根ca—→确定子ca：先安装ASP.net、IIS服务—→再安装证书服务—→独立从属ca—→确定子ca要想正常运行必须在命令提示符下作如下操作：Certutil–setregca\crlflags+crlf_revcheck_ignore_offline注：子ca需要向根ca申请证书，建立信任关系。朱海花（基于证书的VPN、服务器群集）Vpn服务器：打开路由和远程服务控制台—→右击服务器配置并启用路由和远程访问—→安装向导—→远程访问—→勾选vpn—→选择“外网连接b网卡”—→ip动态获取方式vpnClient：右击网上邻居—→属性→新建连接向导→连接到我的工作场的网络→虚拟专用网络连接→搜狐→vpn服务器连接：172.16.1.254→完成右击客户端——属性——网络——VPN类型：L2TPIPSecVPN——确定1.首先让从属CA和根CA信任：在从属CA上打开IE浏览器输入根CA的IP地址/certsrv——下载:下载一个CA证书——保存——运行输入：MMC——文件——添加删除管理单元添加证书——我的用户账户和计算机账户——在当前用户打看受信任的根证书颁发机构——证书看看有没有根CA的证书如果没有右击证书——所有任务-导入——把刚才下载的证书导入到里面！展开受信任的根证书颁发机构——证书查看有没有根的证书，如果没有把刚才下载的证书导入里面（根信任从属同理，只不过把受信任的根证书颁发机构换成了中级证书颁发机构）2.为VPN服务器申请证书：（1.）用户账户：打开IE浏览器输入根CA的IP地址/certsrv——申请一个证书高级证书申请——创建并向CA提交一个申请——姓名：VPN，国家：cn，需要证书类型：服务器身份验证证书，导出私钥，提交（根CA颁发一下）——主页——查看挂起的证书状态——服务器身份验证证书——安装此证书。打开MMC添加证书：我的用户账户和计算机账户——查看受信任的根证书颁发机构（有没有根CA的证书）和中级证书颁发机构（有没有从属CA的证书）如果没有打开IE浏览器输入根CA或从属CA的IP/certsrv下载一个CA证书将其导入。(2.)计算机账户：打开IE浏览器输入根CA的IP地址/certsrv——申请一个证书高级证书申请——创建并向CA提交一个申请——姓名：VPN，国家：cn，需要证书类型：服务器身份验证证书，导出私钥，将证书导入到本地计算机，提交（根CA颁发一下）——主页——查看挂起的证书状态——服务器身份验证证书——安装此证书。打开MMC添加证书：本地计算机——查看受信任的根证书颁发机构（有没有根CA的证书）和中级证书颁发机构（有没有从属CA的证书）如果没有打开IE浏览器输入根CA或从属CA的IP/certsrv下载一个CA证书将其导入。（有时不需要这么麻烦只需申请用户证书就行，可有时不行）3.为VPN客户端申请证书：（1.）用户账户：打开IE浏览器输入根CA的IP地址/certsrv——申请一个证书高级证书申请——创建并向CA提交一个申请——姓名：Client，国家：cn，需要证书类型：客户端身份验证证书，导出私钥，提交（根CA颁发一下）——主页——查看挂起的证书状态——服务器身份验证证书——安装此证书。打开MMC添加证书：我的用户账户和计算机账户——查看受信任的根证书颁发机构（有没有根CA的证书）和中级证书颁发机构（有没有从属CA的证书）如果没有打开IE浏览器输入根CA或从属CA的IP/certsrv下载一个CA证书将其导入。(2.)计算机账户：打开IE浏览器输入根CA的IP地址/certsrv——申请一个证书高级证书申请——创建并向CA提交一个申请——姓名：Client，国家：cn，需要证书类型：客户端身份验证证书，导出私钥，将证书导入到本地计算机，提交（根CA颁发一下）——主页——查看挂起的证书状态——服务器身份验证证书——安装此证书。打开MMC添加证书：本地计算机——查看受信任的根证书颁发机构（有没有根CA的证书）和中级证书颁发机构（有没有从属CA的证书）如果没有打开IE浏览器输入根CA或从属C