WEB的、FTP、服务器群集、负载均衡配置详解.doc

Windows网络服务搭建管理之3.《WEB/FTP（服务器群集）CA证书配置详解》 实验名称： 2. WEB/FTP（服务器群集/负载平衡）CA证书服务器的搭建和配置 实验任务和目标： 配置DNS服务器，完成域名解析 利用IIS6.0配置企业Web网站 配置和管理FTP服务器 实现企业网络的RAS（远程访问服务） 利用证书服务实现安全性 网络负载平衡和服务器群集提高可靠性 多域间的访问 操作主机维护 活动目录数据库维护 监控服务器 有两个域一个是是公司主域另一个是收购一家公司的域用信任关系使它们互相访问1、DHCP a.两个作用域 b.按80/20规则建立两台DHCP c.授权 d.为DNS，WEB，FTP等站点保留IP地址 e.作用域选项 f.DHCP数据库的备份 2、DNS a.独立建立两台DNS，作为域的DNS和其它域名解析 b.建立辅助DNS服务器 c.在每个DNS上建立转发器，互相转发解析请求 d.建立反向区域，为以后增加邮件做准备，并增加MX纪录 e.设置区域复制要求，一个域中的DNS记录只能被它的辅助DNS复制 f.假设公司马上要下设两个子公司，域名分别是和， 给sjd做子域，给wm做委派 3、web站点 a.做一个外部web站点，域名是 b.做一个内部站点，域名是 c.为sjd域建立一个站点，通过不同的端口访问，可以达到简单的隐蔽作用 d.在其它的计算机建立隐含共享，在web中建立虚拟目录，来访问其它计算机上的资源 本身站点匿名访问，虚拟目录要输入用户名和密码来进行访问，基本站点都可以访问，虚拟目录 只能本公司内的员工访问 e.为虚拟目录加上ca证书，来保证数据传输的安全 f.使用负载均衡来保证WEB的安全 4、FTP站点 a.为sjdwm使用serv-u建立ftp，建立一个总目录，目录下是每部门的目录，对于总目录结构任何人不能 进行修改，也不能在总目录下添加或删除东西；每部门员工只能在自己部门下上传东西，部门有一个 该部门的目录管理人员，此人可以整理目录内容；每人使用自己的账号登录FTP服务器，对主管的上传 下载速度限制为40k，普通员工是20k，每个用户只能打开一个FTP连接，空闲5分钟就断开连接 b.为sjd建立普通FTP，使用域来隔离用户 c.使用一个服务器来对serv-u进行远程管理 5、DC a.建立域 b.为每部门建立OU c.OU中委派管理权 d.每个部门建立一个全局组，将本部门的员工加入到全局-安全组中 e.建立全局的通讯组，将本部门员工加入到全局-通讯组中，为以后的exchange做准备 f.在中建立一个全局-安全组，名字是sjd，目的是为本公司支持域的人员建立组便于 限制这些人使用域中资源，在域中建立本地域组，把sjd加入到本组，并对某个资料文件夹 设置权限 e.建立额外DC，将基础结构主机转移到额外DC上 g.在DC上使用NTBACKUP建立计划备份任务，周一进行常规，周二到周五进行差异，便于以后进行授权和 非授权的还原 域要信任域 6、建立一台VPN服务器 a.为企业出差用户访问公司网络提供服务，IP地址由DHCP提供 b.要求外部用户只能在周一到周五的早8点到晚6点之间进行访问，必须属于一个vpn组 7、CA a.建立一个企业CA，为web站点颁发证书 8、远程管理及性能监测 a.对所以上述服务器进行pcanywhere的远程管理 b.在web上启+用web应答和FTP的性能警报，启用三大硬件的警报； 实验环境描述： 2台路由，3台交换机，10台服务器，3台PC机 实验拓扑及网络规划：总的拓扑图 实验操作过程及配置说明： PKI系统中的数字证书简称证书 它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、身证号等）捆绑在一起,证书的主体可以是用户、计算机、服务等,证书可以用于很多方面,Web 用户身份验证,Web 服务器身份验证,安全电子邮件 Internet 协议安全 （IPSec） ; 数字证书是由权威公正的第三方机构即CA签发的 证书包含以下信息 使用者的公钥值 使用者标识信息（如名称和电子邮件地址） 有效期（证书的有效时间） 颁发者标识信息 颁发者的数字签名 CA的核心功能就是颁发和管理数字证书 具体描述如下 处理证书申请 鉴定申请者是否有资格接收证书 证书的发放 证书的更新 接收最终用户数字证书的查询、撤销 产生和发布证书吊销列表（CRL） 数字证书的归档 密钥归档 历史数据归档 证书的发放过程 1）证书申请 用户根据个人信息填好申请证书的信息并提交证书申请信息 2）RA确认用户