企业网络管理与安全实训(doc 95页).docx

第1部分 企业网络组建实训 95第二部分 企业网络管理与安全实训在企业组建网络基础设施后，还需要提供给用户各种的网络和信息服务，同时随着互联网各种应用的不断发展，大量的网络应用成为黑客/病毒制造者的攻击目标，需要企业采取必要的技术、设备和措施来保证企业网络的正常稳定运行，还需要运用各种网络管理工具、软件、设备对企业网络的交换设备、路由设备、服务器、防火墙等各种网络设备进行进行配置管理、性能管理、故障管理、安全管理和计费管理，保障网络的正常运行和性能优化。项目 5 校园网数据中心系统实施5.1 项目内容 某学院校园网基础设施已根据项目2组建完成，并通过两条线路分别接入了电信互联网和CERTNET教育网，现在需要提供校内外用户提供各种网络服务和信息服务，分别提供校园网IP地址分配、内外网域名解析、学院网站、FTP资源下载等服务，请给出解决方法并进行实施。5.2 项目流程 图5-1 项目流程图5.3 项目调查与需求分析5.3.1 项目目标 本项目针对学院需要提供各种基础网络服务，分别实现IP地址分配、内外网域名解析、学院网站、FTP资源下载等服务。5.3.2 需求与分析1）具体需求经调查和与用户沟通，具体的需求如下:Ø 需求1：为校园网各区域用户提供IP地址等参数分配，需要两台服务器提供服务，一台备用。Ø 需求2：为校园网各区域用户提供校园网各服务器的域名解析和互联网的域名解析，需要两台服务器提供服务，一台备用，学院的域名解析可根据校园网的两条线路分别对不同来源IP地址解析出对应线路的服务器IP以提高用户访问效率。Ø 需求3:架设校园网的WWW服务器提供信息访问、FTP服务器提供资源下载，WWW服务器需要为多个部门提供不同网站，并考虑服务器的安全和稳定性。3）需求分析Ø 分析1：按照要求 需要一台DHCP服务器为校园网用户分配IP地址、一台作为备用DHCP服务器。两台服务器分别位于不同的主机。Ø 分析2：需要为校园网用户的各个服务器提供域名解析系统（DNS），同样需要两台DNS服务器，一台主DNS服务器，一台辅助DNS服务器。Ø 分析3： 校园网WWW服务器，FTP服务器，WWW服务器可以通过FTP服务器上传或下载资料，管理员可以通过FTP服务器为WWW服务器更新信息。FTP服务器不允许匿名登录。两台服务器可以在同一台主机上完成。5.4 项目实训要求Ø 要求1（必做）：模拟本项目的网络服务组建并完成项目的需求分析、规划、实施文档。Ø 要求2（必做）：安装配置DHCP服务器、DNS服务器、WEB服务器、FTP服务器，分别在Windows Server和Linux环境下进行安装配置提供相同功能。Ø 要求3（选做）在Linux下实现DNS服务器对于同一域名根据来源不同的IP解析出不同的地址。5.5 项目实施5.5.1 实施原则1可靠性提供网络服务的服务器必须稳定可靠，为校园网用户和校外用户提供可靠的网络服务。2安全性各项服务应考虑和保证其安全性，避免出现网络安全事故而影响校园网服务。3可扩充性 校园网需要提供的服务将随着信息服务的需求和发展进行增加和扩充，规划和实施的各项网络服务应具有可扩充性。4实用性 校园网具有用户数量多、应用环境复杂的特点，应能使用户方便实用地访问各种校园网服务。5.5.2 项目知识点Ø DHCP服务器 DHCP（ Dynamic Host Configuration Protocol，动态主机配置协议） 可以减少管理的复杂性和负担，DHCP 使用了租约的概念，或称为计算机 IP 地址的有效期。租用时间是不定的，主要取决于用户在某地联接 Internet 需要多久，这对于用户频繁改变的环境是很实用的。通过较短的租期， DHCP 能够在一个计算机比可用 IP 地址多的环境中动态地重新配置网络。1）DHCP系统组成DHCP客户：DHCP客户通过DHCP来获得网络配置参数 Internet主机，通常就是普通用户的工作站DHCP服务器：DHCP服务器提供网络设置参数给DHCP客户Internet主机DHCP中继代理：在DHCP客户和服务器之间转发 DHCP 消息的主机或路由器2）DHCP 服务器DHCP服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。DHCP作用域是一个网络中的所有可分配的 IP 地址的连续范围。作用域主要用来定义网络中单一的物理子网的 IP 地址范围。作用域是服务器用来管理分配给网络客户的 IP 地址的主要手段。 DHCP服务器可以使用Windows Server、Linux等网络操作系统担当，也可以使用具有DHCP功能的交换机、路由器等设备。Ø DNS 服务器DNS（Domain Name System，域名系统）是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。DNS是一种包含 DNS 主机名到 IP 地址映射的分布式、分层式数据库，DNS 是 Internet 名称方案的基础和企业名称方案的基础。InterNIC 负责全球域名空间的委派管理和域名注册。1） DNS组件DNS 服务器：运行 DNS 服务的计算机，承载一个名称空间或部分名称空间（域）， 对名称空间或域具有权威性，负责解析 DNS 客户端（DNS 客户端即解析器）提交的名称解析请求。DNS 客户端：运行 DNS 客户端服务的计算机DNS 资源记录：DNS 数据库中将主机名映射到资源的项目因特网上的 DNS 服务器DNS 服务器DNS 客户端根 “.”.com.edu资源记录资源记录 图5-1 DNS组件2） DNS域名空间DNS 命名格式中，域名空间的授权以及域名与地址的转换采用的都是分层和分布式结构，一些授权的机构可以各自转换其权限以内的名字和 IP 地址。DNS 的命名是为全球性的网络设备分配名字，由分布式名字服务器组实施。区域是 DNS 名称空间的一个管理单元，它可以由单一的 DNS 域或者结合了部分或全部子域的域组成 ；DNS 服务器的管辖范围不是以“域”为单位，而是以“区域”为单位。图5-2 DNS域名空间结构3） DNS服务器的类型根域名服务器：根域名服务器是最重要的域名服务器。所有的根域名服务器都知道所有的顶级域名服务器的域名和 IP 地址。不管是哪一个本地域名服务器，若要对因特网上任何一个域名进行解析，只要自己无法解析，就首先求助于根域名服务器。在因特网上共有13 个不同 IP 地址的根域名服务器，它们的名字是用一个英文字母命名，从a 一直到 m（前13 个字母）。顶级域名服务器：负责管理在该顶级域名服务器注册的所有二级域名。当收到 DNS 查询请求时，就给出相应的回答（可能是最后的结果，也可能是下一步应当找的域名服务器的 IP 地址）。权限域名服务器：负责一个区的域名服务器。当一个权限域名服务器还不能给出最后的查询回答时，就会告诉发出查询请求的 DNS 客户，下一步应当找哪一个权限域名服务器。本地域名服务器：本地域名服务器对域名系统非常重要。当一个主机发出 DNS 查询请求时，这个查询请求报文就发送给本地域名服务器。每一个因特网服务提供者都可以拥有一个本地域名服务器，这种域名服务器有时也称为默认域名服务器。4） DNS查询 查询是向 DNS 服务器发出的名称解析请求。查询有两种类型：递归查询和迭代查询。递归查询：递归查找是将查询提交给 DNS 服务器，DNS 客户端需要 DNS 服务器提供一个完整的查询应答。迭代查询：迭代查询是 DNS 客户端向 DNS 服务器发出的查询请求，DNS 服务器无需通过其他 DNS 服务器而给出查询结果的查询。迭代查询通常发生在上级域指引到下级域。图5-3 DNS查询过程DNS服务器可以使用Windows Server2003安装和配置DNS服务作为DNS服务器，Linux服务器使用著名的BIND（Berkeley Internet Name Domain）软件实现，DNS客户端可通过DHCP服务器分配DNS参数或手动指定。Ø WEB服务器WEB服务器也称为 Wide Web)服务器，主要功能是提供网上信息浏览服务，是互联网发展最快和目前用的最广泛的服务。其应用层使用HTTP协议，使用HTML文档格式传输信息资源，客户机浏览器使用统一资源定位器(URL)来访问WEB服务器资源。目前使用最多的 web server 服务器软件有：微软的信息服务器（IIS）和Apache：1）IISIIS是英文Internet Information Server（Internet信息服务）的缩写，它是微软公司主推的WEB服务器， IIS与Window Server完全集成在一起，因而用户能够利用Windows Server和NTFS内置的安全特性，建立强大，灵活而安全的Internet站点。IIS支持HTTP（Hypertext Transfer Protocol，超文本传输协议）， Transfer Protocol，文件传输协议）以及SMTP协议，通过使用CGI和ISAPI，IIS可以得到高度的扩展。IIS支持与语言无关的脚本编写和组件，通过IIS，开发人员就可以开发新一代动态的，富有魅力的Web站点。IIS不需要开发人员学习新的脚本语言或者编译应用程序，IIS完全支持VBscript，Jscript开发软件以及Java，它也支持CGI和WinCGI，以及ISAPI扩展和过滤器。2）Apache HTTP ServerApache HTTP Server源于NCSAhttpd服务器，经过多次修改，成为世界上最流行的Web服务器软件之一。Apache的特点是简单、速度快、性能稳定，并可做代理服务器来使用。因为它是自由软件，所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache支持许多特性，大部分通过编译的模块实现。这些特性从服务器端的编程语言支持到身份认证方案。一些通用的语言接口支持Perl，Python， Tcl和 PHP。流行的认证模块包括 mod_access， mod_auth 和 mod_digest。其他的例子有 SSL 和 TLS 支持（mod_ssl）， 代理服务器 (proxy) 模块，很有用的URL重写（由 mod_rewrite 实现），定制日志文件（mod_log_config），以及过滤支持（mod_include 和 mod_ext_filter）。Apache日志可以通过网页浏览器使用免费的脚本AWStats或Visitors来进行分析。Ø FTP服务器文件传输协议 (FTP) 是一种常用的应用层协议。FTP 用于客户端和服务器之间的文件传输。FTP 客户端是一种在计算机上运行的应用程序。通过运行 FTP 守护程序 (FTPd)，FTP 客户端可以从服务器中收发文件。为了保障文件的成功传输，FTP 要求在客户端和服务器之间建立两条连接：一条是命令和回复连接，另一条是实际文件传输连接。客户端在 TCP 的 21 号端口建立第一条连接。该连接由客户端命令和服务器回复组成，用于管理传输流量；第二条连接建立在 TCP 的 20 号端口。每当有文件需要传输时建立该连接，用于实际文件传输。在两个方向上，都可以进行文件传输。即客户端可以从服务器中下载（取）文件，也可以向服务器中上传（放）文件。常用的组建FTP服务器方法有：Windows下使用IIS架设FTP站点、Linux下的wu-ftpd、vsftpd、使用FTP服务器软件（Serv-U、Gene6等）。5.5.3 项目实施规划Ø 实训设备与软件设备类型设备型号数量（每组）备注交换机H3C3100 1台服务器宏基P42台计算机宏基P44台服务器操作系统Windows Server20032可使用虚拟机环境服务器操作系统CentOS 5.22可使用虚拟机环境Ø 服务器命名规则服务器命名没有绝对的标准，一般都是按工程惯例和管理规范来进行命名，应本着明确、简洁、无二义性的原则。实训项目中服务器命名规则建议如下：SrvDHCP-01序号服务器功能 服务器功能中，Srv表示服务器、DHCP表示服务器功能。服务器序号中，01代表第一台，02代表第二台，依此类推。Ø 服务器参数及分配的网络参数规划表服务器名称 IP地址 SrvDHCP- 01 192.168.1.1/18SrvDHCP- 02 192.168.1.2 /18主DNS 192.168.1.1 /18辅助DNS 192.168.1.2/18WWW 192.168.1.1/18FTP 192.168.1.1/18DHCP地址分配范围为 192.168.1.0 192.168.60.0 /18 大约可同时为两万名用户提供上网需求。地址租期为1天 注：由于模拟环境不好操作，所以全部采用同一个网段的IP作为分配地址。分配区域IP地址分配范围默认网关服务器192.168.1.0 192.168.4.0/18192.168.1.1宿舍区192.168.5.0 192.168.24.0/18192.168.5.1教师办公区192.168.25.0 192.168.29.0/18192.168.25.1教学区192.168.30.0 192.168.39.0/18192.168.30.1教师公寓192.168.40.0 192.168.49.0/18192.168.40.1其它区域192.168.50.0 192.168.60.0/18192.168.50.1Ø 实施步骤规划1）规划分配服务器参数2）安装服务器操作系统3）安装配置DHCP、DNS、WEB、FTP等网络服务4）配置计算机参数并根据需求验证实现的功能5）完成项目文档资料5.5.4 实施步骤（请将主要实施步骤整理列出）一DHCP服务器的配置（1）根据实训拓扑图进行交换机、计算机的线缆连接，配置DHCPSERVER的IP地址。（2）在SERVER上安装DHCP服务器在安装DHCP服务器之前，请注意以下事项：l 只有服务器等级的计算机可以安装DHCP服务器，例如Windows Server 2003，而Windows XP等客户端计算机无此功能。l DHCP服务器本身的IP地址必须是静态的，也就是其IP地址、子网掩码、默认网关等信息必须以手工的方式输入。l 事先规划好可出租给客户端计算机的IP地址池（也就是IP作用域）。单击“开始”“管理工具”“配置您的服务器向导”，选中“DHCP服务器”，然后单击“下一步”按钮，开始安装DHCP服务器。如图3-7，图3-8所示：图3-7图3-8安装完成之后将弹出“新建作用域向导”对话框，使用此向导创建作用域。1、填写新建作用域的名称和说明文字。此名称和说明性文字并无特别要求，只是起一个区别于其他作用域的作用。此处，将作用域名称填成“总经理”，说明性文字为“总经理办公室”.如图3-9所示：图3-92、再点“下一步”，进入设置IP地址范围和子网掩码的对话框，在“起始IP地址”项中填写该IP地址段的起始IP地址长就为18。填写完后，如图3-10所示： 图3-103、单击“下一步”进入下一个对话框，设置想排除开不用于分配的IP地址范围。如图3-11所示图3-114、填写完成后点“下一步”进入IP租期设置对话框了。租期将设置客户机分配到IP地址的使用期限。当客户机使用分配到的IP地址时间超过了此租期，服务器将强行收回分配给客户机的IP地址。此处设置为1天。如图3-12所示：图3-125、单击“下一步”进入配置DHCP选项的对话框。在此对话框中，将选择是否需要对客户机分配DNS、路由器、WINNS等服务器的IP地址。在大型网络中，特别是与internet 互联的网，这些服务都是很重要的。在此选择“是”。如图3-13所示：图3-136、单击“下一步”进入设置路由器（即网关）的设置。在“IP地址”项中填写路由器的IP地址。此处填写为：192.168.1.1。填写完成后点“添加”按钮即。如图3-14所示：图3-147、单击“下一步”进入域名和DNS服务器的设置对话框了。此处设置的域名和DNS服务器的地址将被分配给客户机。在“父域”选项中填写DNS的父域名（参考DNS服务器配置实训）此处填写成在“服务器名”选项中填写DNS服务器的服务器名称。此处我们填写为dns。在“IP地址”项中填写DNS服务器的 IP地址。此处填写为192.168.1.1.填写完成后点“添加”按钮即可。如图3-15所示：图3-158、点击“下一步”，进入WINS服务器的设置对话框。可以不设置9、点击“下一步”进入激活作用域的对话框。在此对话框中将选择“是，我想现在就激活此作用域”。如图3-17所示：图3-1710、单击“下一步”再点“完成”即完成该作用域的建立了。如图3-18所示：二DNS 服务器的设置在主机上安装DNS配置软件，然后创建区域l 图3-11单击“下一步”进入区域名称设置对话框。此对话框指定正向区域名称（区域名称应与其管理的域相对应）。此处填写为“”。如图3-12所示：图3-12单击“下一步”进入动态更新的设置。在此对话框中指定创建的区域是否支持动态更新，此处选择“不允许动态更新”如图3-14所示：l 图3-14单击“下一步”选择是否创建反向查找区域。在此处，选择“是”如图3-10所示：l 图3-15单击“下一步”进入区域类型对话框，此处选择“主要区域”。如图3-16所示：图3-16单击“下一步”进入“反向查找区域名称”对话框。在此对话框中指定反向区域的名称（可以输入IP地址的网络ID，由系统自动指定反向区域名称；也可以自行输入反向区域名称），此处填写“192.168.1”。如图3-17所示：ll 图3-17l 单击“下一步”区域文件对话框。在此对话框中，将选择创建新的反向区域文件（名称可自行指定）或使用现存的反向区域文件，在此填写“1.168.192.in-addr.arpa.dns”。如图3-18所示：l 图3-18l 单击“下一步”配置转发查询，此处选择“否，不向前转发查询”。如图3-19所示：ll 图3-19l 单击“下一步”完成DNS向导配置。如图3-19所示：图3-19（3）在Server1上创建资源记录：打开DNS管理控制台，在左侧控制台树中选择要创建资源记录的正向主要区域，然后在右侧控制台窗口的空白处右击，在弹出菜单中选择相应功能项即可创建资源记录。如图l 选择“新建主机（A）”，打开“新建主机”对话框，通过此对话框创建“host”记录，如图选择“新建别名（CHANE）”，打开“新建资源记录”对话框， 在左侧控制台树中选择要创建资源记录的反向主要区域（4）在Server1上指定辅助DNS服务器：在正向主要区域上右击，在弹出的菜单中选择“属性”命令，如图在打开的区域属性对话框中单击“名称服务器”，将打开“名称服务器”选项卡；在该选项卡中单击“添加”，在此添加辅助DNS服务器。如图单击“确定”，完成配置，然后采用同样的方法在反向主要区域上指定辅助DNS服务器，如图（5）在Server2上安装辅助DNS服务器：参考步骤1，安装DNS服务。打开“区域类型”对话框；在此对话框中选择“辅助区域”如图单击“下一步”，“区域名称”对话框中，输入区域名称，该名称应与该DNS区域的主DNS区域的主DSN服务器上的主要区域名称完全相同， 如图单击“下一步”“主DNS服务器”对话框。在此对话框中指定DNS服务器的IP地址，如图单击“下一步”完成辅助DNS配置，返回DNS管理控制台，此时能够看到从主DNS服务器复制而来的区域数据。如图采用同样的方法，创建反向辅助区域。三FTP 服务器的创建1）根据实训拓扑图进行交换机、计算机的线缆连接，配置PC1、PC2、WebServer的IP地址。（2）WebServer上安装IIS服务。单击“开始”“管理工具”“配置您的服务器向导”，选中“DHCP服务器”，然后单击“下一步”按钮，开始安装DHCP服务器。如图3-7，图3-8所示：（3）WebServer上创建总公司网站。单击“开始”“管理工具”“Internet信息服务（IIS）管理器”，打开“Internet信息服务（IIS）管理器”控制台。右击“网站”，在弹出的菜单中选择“新建”“网站”，将打开“网站创建向导”对话框。单击“下一步”按钮，将出现“IP地址和端口设置”对话框，在此对话框中设置网站IP地址“192.168.1.1”，TCP端口号“80”，主机头、“”（主机头即网站的FQDN，参考5.2.3对DNS进行配置，实现对新主机头的解析），如图单击“下一步”按钮，将出现“网站主目录”对话框，在此对话框设置网站主目录“E:practrain-web”和是否允许以匿名方式访问此网站。如图单击“下一步”按钮，将出现“网站权限访问”对话框，在此对话框中可以设置网站的访问权限，如图单击“下一步”按钮，完成网站的创建。（6）WebServer上安装FTP服务。( 7 ) 双击“Internet信息服务器（IIS）”，将打开“Internet信息服务器（IIS）”对话框。选中“文件传输协议（FTP）服务”复选框，如图点击“确定”按钮，返回“Windows组件”对话框；单击“下一步”按钮，开始安装FTP服务。WebServer上创建FTP管理员站点并添加管理员用户（禁止匿名访问）。单击“开始”“管理工具”“Internet信息服务（IIS）管理器”，打开“Internet信息服务（IIS）管理器”控制台。右击“FTP站点”，在弹出菜单中选择“新建”“FTP站点”，打开“FTP站点创建向导”如图单击“下一步”按钮，将出现“IP地址设置和端口设置”对话框，在此对话框中设置FTP站点所使用的IP地址“192.168.1.1”及端口号“21”，如图 单击“下一步”按钮，将出现“FTP用户隔离”对话框，此对话框可以使设置FTP用户隔离的选项，如图单击“下一步”按钮，将出现“FTP站点主目录”对话框，此对话框设置FTP站点的主目录“WEB”，如图单击“下一步”按钮，将出现“FTP站点访问权限”对话框，此对话框设置FTP站点的访问权限，如图单击“下一步”按钮，完成FTP站点创建，如图右击“FTP站点”下“practrain”站点，在弹出菜单中选择“属性”，在弹出的属性对话框中选择“安全账户”，将允许匿名连接去掉，点击确定完成FTP站点配置，如图单击“开始”“管理工具”“计算机管理”，打开“计算机管理”控制台。选择“本地用户和用户组”“用户”，右击新建“admin”用户，如图选中E盘下“web”文件夹右击选择“属性”，弹出“web属性”对话框中选择“安全”，点击添加按钮，如图选择“admin”用户，点击确定，如图添加“admin”用户的“修改”和“写入”权限，如图点击确定，完成设置。单击“下一步”按钮，将出现“FTP站点内容目录”对话框，在“路径”文本框中输入虚拟目录映射的物理位置.如图单击“下一步”按钮，将出现“虚拟目录访问权限”对话框，在此处选择“读取”和“写入”复选框，如图5.3.1 任务验收配置验收 （1）查看DHCP配置信息打开“管理工具”中“DHCP”对话框，查看两个作用域中的各种配置选项，如图 图3-205.6 项目验收5.6.1 软件验收5.6.2 功能验收DHCP功能在PC1、上将本地网络连接设置为“自动获得IP地址”和“自动获得DNS服务器地址”， 图3-21在命令提示符界面中键入“ipconfig /all”敲Enter键将可查看到客户机获得IP地址等参数情况，如图3-22所示：图3-22DNS 验证：查看Internet信息服务（IIS）管理器配置 5.5.6.1 功能验收（1） 网站访问（2） FTP功能验收“admin”用户登录，拥有该目录下面所有文件及文件夹的修改删除权限（3） 管理员登录，拥有该目录下面所有文件及文件夹的修改删除权限删除文件夹5.7 项目总结实验过程没有划分为不同网段，如需划分网段需要添加DHCP服务器的网卡，并在其他主机上面配置DHCP中继代理，为了使不同网段能够通信，还要设置路由。 WEB跟FTP服务器的配置相对简单，FTP服务器的权限是要注意的重点。用户的访问是FTP服务器权限与文件夹权限的叠加。针对某集团公司办公区网站建设任务内容和目标，通过需求分析进行了实训的规划和实施，通过本任务进行了DNS ,DHCP、WEB、FTP基础配置等方面的实训。项目 6 集团公司网络集中管理6.1 项目内容 某集团公司一家在全国各地区有多个分公司的物流大型企业，在完成项目3内容的组建基础上，现需要对公司网络进行统一管理，总部和各地分公司都能使用统一账号访问公司资源，为了保证网络信息安全，需要提供公司各服务器和计算机微软操作系统的补丁自动更新，请进行规划和模拟实施。6.2 项目流程 图6-1 项目流程图6.3 项目调查与需求分析6.3.1 项目目标本项目针对集团军公司的网络进行管理，实现使用统一账号访问公司资源，并提供操作系统的补丁更新。6.3.2 具体调查与需求分析1)具体调查经具体调查和与用户的沟通，该集团公司分为总部和三个分公司网络，分公司通过专线与总部连接，总部约有400台计算机和多台服务器，各分公司分别有50-100台计算机，各分公司也各有1台服务器提供网络服务。2）具体需求Ø 需求1：采用先进的网络技术和合理的结构完成企业网的网络集中管理，以实现企业信息化的基础。Ø 需求2：在总部和各地分公司均使用统一账号高效稳定地登录和访问公司资源，简单有效。Ø 需求3：在总公司架设一台服务器以提供公司各服务器和计算机操作系统的补丁自动更新。3）需求分析Ø 分析1：需要建立一个域，并把公司计算机加入域中Ø 分析2：创建一个帐号，使全公司成员都能登录进域中Ø 分析3：需要用WSUS来进行全公司的系统更新6.4 项目实训要求Ø 要求1（必做）：模拟本项目的网络服务组建并完成项目的需求分析、规划、实施文档。Ø 要求2（必做）：模拟本项目的网络组建并完成项目实施的文档，模拟实现企业网总部及1个分公司区域的网络，实现统一管理和站点登录。Ø 要求3（选做）：在以上基础上实现公司微软操作系统补丁服务器的架设和配置。6.5 项目实施6.5.1 实施原则1可靠性提供网络服务的服务器必须稳定可靠，为企业网用户提供可靠的网络服务。2安全性各项服务应考虑和保证其安全性，避免出现网络安全事故而影响企业网服务。3可扩充性 企业网需要提供的服务将随着信息服务的需求和发展进行增加和扩充，规划和实施的各项网络服务应具有可扩充性。4实用性 应能使用户方便实用地访问各种企业网服务并接受管理。6.5.2 项目知识点Ø 活动目录（Active Dirctory）活动目录（Active Directory）是Windows 2003完全实现的目录服务，也是Windows 2000网络体系的基本结构模型，是Windows 2003网络操作系统的核心支柱，也是中心管理机构。 Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织Microsoft在Windows 2003中提供的活动目录是一个全面的目录服务管理方案，也是一个企业级的目录服务，具有很好的可伸缩性。活动目录采用了Internet的标准协议，它与操作系统紧密地集成在一起。活动目录不仅可以管理基本的网络资源，比如计算机对象、用户账户、打印机等，它也充分考虑了现代应用的业务需求，为这些应用提供了基本的管理对象模型，比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用可以直接利用系统提供的目录服务结构，而且活动目录也具有很好的扩充能力，允许应用程序定制目录中对象的属性或者添加新的对象类型。1） 活动目录用户与组Windows Server 2003所支持的用户账户分为以下两种类型：域用户账户：域用户账户存储在域控制器的Active Directory数据库内。用户可以利用域用户账户登录域，并利用它访问网络上的资源， 本地用户账户：本地用户账户是创建在非域控制器的“本地安全账户数据库”内，而不是域控制器的Active Directory数据库内。Windows Server 2003将位于域中的组分为以下两种类型：安全组：安全组可以被用来设置权限，例如，可以设置让安全组对文件具备“读取”的权限。安全组也可以用在与安全无关的任务上，例如，可以通过电子邮件软件将电子邮件发送给安全组。分布式组：分布式组是用在与安全（权限的设置等）无关的任务上，例如，可以通过电子邮件软件将电子邮件发送给分布式组。用户无法设置分布式组的权限。2） 活动目录站点与复制活动目录“站点”是由一个或多个IP子网所组成，这些子网络之间是通过高速连接所串接起来的，而这里所谓的“高速”是指这些子网之间的连接速度要够快才可以，否则应该将它们分别规划为不同的站点。 域是逻辑的分组，站点是物理的分组。每个站点可能包含多个域，一个域内的计算机可能同时分别属于不同的站点。同一个站点内的同一个域控制器会自动设置执行复制，其默认的复制频率比不同站点之间快。除了非常小的网络之外，目录数据必须驻留在网络上的多个位置，以便于所有用户均等地使用。通过复制，Active Directory目录服务在多个域控制器上保留目录数据的副本，从而确保所有用户的目录可用性和性能。Active Directory 使用一种多主机复制模型，允许在任何域控制器上（而不只是委派的主域控制器上）更改目录。Active Directory 依靠站点概念来保持复制的效率，并依靠知识一致性检查器 (KCC) 来自动确定网络的最佳复制拓扑。3） 组策略组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略，可以完成用户所需软件的自动安装、自动定制用户环境、自动将用户的文件夹重定向等一系列高级功能。例如，可使用“组策略”帮助用户自动安装软件、从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer等多种功能。要实现用“组策略”管理网络中的计算机和用户，需要网络中有Active Directory服务器，工作站须是Windows 2000、Windows XP或Windows Server2003等操作系统，并且加入到Active Directory域中，还需创建与配置“组织单位”的组策略。Ø Microsoft Windows Server Update Services (WSUS)Microsoft Windows Server Update Services (WSUS) 是设计用来大量精简IT系统在执行重大更新时的程序。通过使用 Windows Server 更新服务 (WSUS)，管理员可以快速而可靠地将 Windows 2000 操作系统和更高版本、Office XP 和更高版本、Exchange Server 2003 以及 SQL Server 2000 的最新关键更新和安全更新部署到 Windows 2000 和更高版本的操作系统。Windows 自动更新是Windows 的一项功能，当适用于您的计算机的重要更新发布时，它会及时提醒用户下载和安装。使用自动更新可以在第一时间更新操作系统，修复系统漏洞，保护计算机安全。在小规模的网络当中，客户端可以通过windows系统自带的自动更新来从微软下载补丁。但在大中型的网络当中，如果每台计算机都单独去微软更新补丁，那么则会极大的影响企业的外部网络带宽。WSUS的思路是先用一台计算机（wsus）去微软检测并选择要下载补丁，然后网络内其他的计算机从WSUS服务器来下载补丁，它也可直接下发补丁。这样也既不会浪费外部网络带宽，也能让所有的计算机得到更新。6.5.3 项目实施规划Ø 实训设备与软件设备类型设备型号数量（每组）备注交换机H3C3100 1台服务器宏基P43台计算机宏基P43台服务器操作系统Windows Server20033可使用虚拟机环境Ø 服务器参数及分配的网络参数规划表服务器名角色IP地址SrvAD-01域控制器192.168.150.10SrvAD-02域成员192.168.150.13