zz016网络建设与运维正式赛卷-2023年全国职业院校技能大赛赛项正式赛卷.docx

《zz016网络建设与运维正式赛卷-2023年全国职业院校技能大赛赛项正式赛卷.docx》由会员分享，可在线阅读，更多相关《zz016网络建设与运维正式赛卷-2023年全国职业院校技能大赛赛项正式赛卷.docx（34页珍藏版）》请在三一办公上搜索。

1、2023年全国职业院校技能大赛网络建设与运维赛项赛题2023年7月26日赛题说明一、竞赛项目简介“网络建设与运维”竞赛共分为模块一：网络理论测试；模块二：网络建设与调试；模块三：服务搭建与运维等三个模块。竞赛安排和分值权重见表1o表1竞赛时间安排与分值权重模块比赛时长分值答题方式模块一网络理论测试0.5小时10%在线测试模块二网络建设与调试6.5小时40%设备实操模块三服务搭建与运维50%设备实操合计7小时100%二、竞赛注意事项1 .禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2 .请根据大赛所提供的比赛环境，检查所列的硬件设备、软件及文档清单、材料清单是否齐全，计算机设备是否能

2、正常使用。3 .请参赛选手仔细阅读赛卷，按照要求完成各项操作。4 .操作过程中需要及时按照答题要求保存相关结果。比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和提交文档为最终结果。5 .竞赛完成后，竞赛设备、软件和赛题请保留在座位上，禁止将竞赛所用的所有物品（包括试卷等）带离赛场。6 .禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记，禁止在提交资料上填写与竞赛无关的标记，如违反规定，可视为。分。7 .与比赛相关的软件和文档存放在VU盘soft文件夹中。8,请在贴有“pel赛位号”U盘（赛位号从001/01变化）根目录新建，XXX”文件夹作为“选手目录”（XXX为赛位号。举例：

3、1号赛位，文件夹名称为“001”），按照U盘中“答案提交指南.txt”要求生成答案文档，将答案文档复制到选手目录。9. server1管理Web网址http:/192.168.100.100dashboardt管理员为admin,密码为admin。SerVerl底层操作系统root用户密码为Key-II22。WindOWS虚拟机中AdminiStratOr用户密码为Key-II22,题目中所有未指定的密码均用该密码。虚拟主机的IP地址必须手动设置为该虚拟机自动获取的IP地址。10. SerVer2管理Web网址http:192.168210,管理员为Admin,密码为Admin123。11.

4、使用完全合格域名访问网络资源。模块二：网络建设与调试（共计40分）任务背景描述：某集团公司原在城市A建立了总公司，后在城市B建立了分公司，又在城市C设立了办事处。集团设有产品、营销、法务、财务、人力5个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。随着企业数字化转型工作进一步推进，为持续优化运营创新，充分激活数据要素潜能，为社会创造更多价值，集团决定在总公司建立两个数据中心，在某省建立异地灾备数据中心，以达到快速、可靠交换数据，增强业务部署弹性的目的，完成向两地三中心整体战略架构演进，更好的服务于公司客户。集团、分公司及办事处的网络结

5、构详见拓扑图。编号为SWI的设备作为总公司1#DC核心交换机，编号为SW2的设备作为总公司2#DC核心交换机；编号为SW3的设备作为某省灾备DC核心、交换机；编号FWI的设备作为总公司互联网出口防火墙；编号为FW2的设备作为办事处防火墙；编号为RTI的设备作为总公司核心路由器；编号为RT2的设备作为分公司路由器；编号为ACl的设备作为分公司的有线无线智能一体化控制器，通过与API配合实现所属区域无线覆盖。注意：在此典型互联网应用网络架构中，作为IT网络运维人员，请根据拓扑构建完整的系统环境，使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后，需从客户端进行测试，确保能正常访问到

6、相应应用。网络拓扑图及IP地址表:1 .网络拓扑图2 .网络设备IP地址分配表设备名称设备接口IP地址SW1Loopbacklospfv2ospfv3bgp10.4.1.1/322001:10:4:1:1/128Loopback210.4.1.2/322001:10:4:1:2/128Vlanl110.4.11.1/242001:10:4:11:1/64Vlan1210.4.12.1/242001:10:4:12:1/64Vlan1310.4.13.1/242001:10:4:13:1/64Vlan1410.4.14.1/242001:10:4:14:1/64Vlan1510.4.15.1/2

7、42001:10:4:15:1/64Vlan101910.4.255.14/30Vlan102010.4.255.5/30Vlan102310.4.255.1/30Vlan1024vpn10.4.255.1/30SW2Loopbacklospfv2ospfv3bgp10.4.2.1/322001:10:4:2:1/128Loopback210.4.2.2/322001:10:4:2:2/128Vla2110.4.21.1/242001:10:4:21:1/64Vlan2210.4.22.1/242001:10:4:22:1/64Vlan2310.4.23.1/242001:10:4:23:1/

8、64Vlan2410.4.24.1/242001:10:4:24:1/64Vlan2510.4.25.1/242001:10:4:25:1/64Vla101910.4.255.22/30Vlan102010.4.255.9/30Vlan102310.4.255.2/30Vlan1024vpn6/3510.4.255.2/30设备名称设备接口IP地址SW3Loopbacklospfv2ospfv3bgp10.4.3.1/322001:10:4:3:1/128Vlan3110.4.31.1/242001:10:4:31:1/64Vlan3210.4.32.1/242001:10:4:32:1/64

9、Vla3310.4.33.1/242001:10:4:33:1/64Vlan3410.4.34.1/242001:10:4:34:1/64Vla101910.4.255.6/30Vlan102010.4.255.10/30SW3模拟办事处Loopback210.4.3.2/322001:10:4:3:2/128Vlanl1010.4.110.1/242001:10:4:110:1/64Vlan12010.4.120.1/242001:10:4:120:1/64Vlan101510.4.255.30/30SW3模拟InternetVlan1017200.200.200.1/30Vlan10182

10、00.200.200.5/30AC1Loopbacklospfv2ospfv31.oopback2ripripng10.4.4.1/322001:10:4:4:1/12810.4.4.2/322001:10:4:4:2/128Loopback310.4.4.3/322001:10:4:4:3/128Vlan100110.4.255.46/30VianI30无线管理VIanI40无线2.4G产品10.4.130.1/242001:10:4:130:1/6410.4.140.1/242001:10:4:140:1/64VlanI50无线5G营销10.4.150.1/242001:10:4:150:

11、11/64RT1Loopbacklospfv2ospfv3bgpmpls10.4.5.1/322001:10:4:5:1/128Loopback2ripripng10.4.5.2/322001:10:4:5:2/128设备名称设备接口IP地址Loopback3isis10.4.5.3/322001:10:4:5:3/128LOOPbaCk4集团与办事处互联10.4.5.4/322001:10:4:5:4/128Loopback5VPn财务10.4.5.5/322001:10:4:5:5/128GOZO10.4.255.33/30G0/110.4.255.18/30G0/210.4.255.21

12、/30G0/310.4.255.25/30S1/010.4.255.37/30S1/110.4.255.41/30RT2Loopbacklospfv2ospfv3bgpmpls10.4.6.1/322001:10:4:6:1/128Loopback2ripripng1.oopback3isis10.4.6.2/322001:10:4:6:2/12810.4.6.3/322001:10:4:6:3/128Loopback4ipsecvpnTunnel4ipsecvpn10.4.6.4/322001:10:4:6:4/12810.4.255.50/30Loopback5VPn财务10.4.6.5/

13、322001:10:4:6:5/128G0010.4.255.34/30G0110.4.255.45/30G02200.200.200.6/30S1010.4.255.42/30S1110.4.255.38/30FW1Loopbacklospfv2ospfv3trust10.4.7.1/322001:10:4:7:1/128Loopback2ripripngtrust10.4.7.2/322001:10:4:7:2/128Loopback3isistrust10.4.7.3/322001:10:4:7:3/128Loopback4ipsecvpntrust10.4.7.4/322001:10:

14、4:7:4/128Tunnel4ipsecvpnVPNHUB10.4.255.49/30EO/1trust10.4.255.13/30设备名称设备接口IP地址E02trust10.4.255.17/30E03untrust200.200.200.2/30FW2Loopbacklospfv2ospfv3trust10.4.8.1/322001:10:4:8:1/128E01dmz10.4.255.26/30E02trust10.4.255.29/30（一）工程统筹（本题共10分）1 .职业素养整理赛位，工具、设备归位，保持赛后整洁有序。无因选手原因导致设备损坏。恢复调试现场，保证网络和系统安全运

15、行。2 .网络布线机架立面示意图左侧面板编号101；右侧面板编号102。面对信息底盒方向左侧为1端口、右侧为2端口。所有配线架、模块按照568B标准端接。主配线区配线点与工作区配线点连线对应关系如下：序号彳手息点编号配线架编号底盒翁号信息点结吃号配线架端匚I编号1W1-02-101-1W11011022W1-06-102-1W1102206铺设线缆并端接。截取2根适当长度的双绞线，两端制作标签，穿过PVC线槽或线管。双绞线在机柜内部进行合理布线，并且通过扎带合理固定。将2根双绞线的一端，端接在配线架相应端口，另一端端接上RJ45模块，并且安装上信息点面板，并标注标签。跳线制作与测试。截取2根当

16、长度的双绞线，端接水晶头，所有网络跳线要求按568B标准制作，两端制作标签，连接网络信息点和相应计算机。根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，插入相应设备的相关端口上，实现PC、信息点面板、配线架、设备之间的连通。（二）交换配置（本题共10分）1.配置SW1、SW2、SW3的Vlan,二层链路只允许下面Vian通过，不限制VIan1。设备VIan编号端口说明SW1Vlanl1E1/0/1产品1段Vlan12E1/0/2营销1段Vlanl3E1/0/3法务1段Vlan14E1/0/4人力1段Vlanl5E1/0/5财务1段SW2Vla21E1/0/1产品2段Vlan22E1/

17、0/2营销2段设备VIan编号端口说明Vlan23E1/0/3法务2段Vlan24E1/0/4人力2段Vlan25E1/0/5财务2段SW3Vlan31E1/0/1产品3段Vlan32E1/0/2营销3段Vla33E1/0/3法务3段Vlan34E1/0/4人力3段Vlanl10E1/0/11办事处产品Vla120E1/0/12办事处营销2.SW1和SW2之间利用三条裸光缆实现互通，其中一条裸光缆承载三层IP业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离，财务业务VPN实例名称为FinanCe,RD为1:1。承载二层业

18、务的只有一条裸光缆通道，配置相关技术，方便后续链路扩容与冗余备份,编号为1,用LACP协议，SWI为active,SW2为PaSSiVe;采用目的、源IP进行实现流量负载分担。3 .为方便后续验证与测试，SW3的E1/0/22连接其他合适设备的一个接口，配置为trunk,允许Vlan3134、110、120通过。4,将SW3模拟办事处交换机，实现与集团其它业务路由表隔离，办事处路由表VPN实例名称为OffiCe,RD为1:1。将SW3模拟为Imernet交换机，实现与集团其它业务路由表隔离，Internet路由表VPN实例名称为Internet,RD为2:2。4 .SW1配置SNMP,引擎id

19、分别为1000;创建组GrOUPSkills,采用最高安全级别，配置组的读、写视图分别为：SkiIlS_R、Skills_W;创建认证用户为USerSkills,采用aes算法进行加密，密钥为Key1122,哈希算法为sha,密钥为KeyJ122;当设备有异常时，需要用本地的环回地址LOoPbaCkl发送v3TraP消息至集团网管服务器10.4.15.120s2001:10:4:15:120,采用最高安全级别；当法务部门的用户端口发生UPdoWn事件时禁止发送trap消息至上述集团网管服务器。6,对SWl与FWl互连流量镜像到SWlE1/0/1,会话列表为1。7.SW1和SW2E1/0/21-

20、28启用单向链路故障检测，当发生该故障时，端口标记为erasable状态，自动关闭端口，经过1分钟后，端口自动重启；发送HellO报文时间间隔为15s;8.SW1和SW2所有端口启用链路层发现协议，更新报文发送时间间隔为20s,老化时间乘法器值为5,TraP报文发送间隔为10s,配置三条裸光缆端口使能TraP功能。（三）路由调试（本题共10分）1 ,配置所有设备主机名，名称见网络拓扑”。启用所有设备的SSh服务，用户名和明文密码均为admin;配置所有设备SSh连接超时为9分钟，console连接超时为30分钟。2 .配置所有设备的时区为GMT+08:00。调整SWl时间为实际时间，SW1配置

21、为ntpserver,其他设备为ntpclient,请求报文时间间隔1分钟，用SWILOoPbaCk1IPv6地址作为mpSerVer地址。3 .配置接口IPv4地址和IPv6地址，互联接口IPv6地址用本地链路地址。FWl和FW2接口仅启用Ping功能以及Le）OPbaCkI的SSh功能。4.SW2配置DHCPV4和DHCPv6,分别为Vlanl1、Vlan21、Vlan130sVlan140.VIanI50分配地址。DHCPV4地址池名称分别为PC1、PC2、AP1、P00Lv4-VLAN11sPOOLv4-VLAN21sPOOLv4-VLAN130sP00Lv4-VLANI40、POOL

22、v4-VLAN150,排除网关，DNS为10.4.210.101和10.4.220.101oDHCPV6地址池名称分别为PooLV6-VLAN11、P00Lv6-VLAN21sPOOLv6-VLAN130sPOOLv6-VLAN140sPOOLv6-VLAN150,DHCPv6地址池用网络前缀表示,排除网关，DNS为2400:3200:1。PCI保留地址10.4.11.9（DHCPV4地址池名称为PCI）和2001:10:4:11:9,PC2保留地址10.4.21.9（DHCPV4地址池名称为PC2）和2001:10:4:21:9,APl保留地址10.4.130.9（DHCPV4地址池名称为A

23、P1）和2001:10:4:130:90SW1、ACl中继地址为SW2LOOPbaCkl地址。SW1启用DHCPV4和DHCPV6SnOOPing功能，如果E1/0/1连接DHCPV4服献VI则匏瓶目W按集朝瞰决踊钟RT2以太链路、FW1、FW2、ACl之间运行OSPFV2和OSPFV3协议（路由模式发布网络用网络地址，按照IP地址从小到大的顺序发布。每个PrefiX-list的序号从5开始，按照IP地址从小到大的顺序递增5；route-map的序号从10开始，递增10,routemap名称与PrefiX-IiSt名称相同。每个ACL序号从10开始，按照IP地址从小到大的顺序递增10）。SW1

24、、SW2、SW3、RT1、RT2、FWl之间OSPFV2和OSPFV3协议，process1,areaO1分别发布LoOPbaCkI地址路由和产品路由，FWl通告type1默认路由。RT2与ACl之间运行OSPFV2协议，process1,area1ssano-SUmmary;ACl发布LoOPbaCkI地址路由、管理、产品和营销路由，用PrefiXJist重发布LooPbaCk3,PrefiXJist名称为ACI-LoOPback3IPv4oRT2与ACI之间运行OSPFV3协议，process1,area1stubno-SUmmary;ACl发布LOoPbaCkl地址路由、管理、产品和营销

25、路由。RT1、FW2、SW3模拟办事处之间运行OSPFV2和OSPFV3协议，process2,area2oSW3模拟办事处发布LOOPbaCk2、产品和营销路由。FW2发布LoOPbaCkl路由。RTl发布LOOPbaCk4路由，向该区域通告type1默认路由；RTl用PrefiX-list匹配SW3模拟办事处LoOPbaCk2和产品路由、FW2LoOPbaCkI路由（PrefiX-list名称分别为SW3FW2IPv4和SW3-FW2-IPv6）sRTl与FW2直连IPv4路由（PrefiX-list名称为RT1-FW2-IPv4）l以上路由重发布到ProCeSS1。修改OSPfCOSt为

26、100,实现SWl分别与RT2、FW2之间IPv4和IPv6互访流量优先通过SW1SW2RT1链路转发，SW2访问InternetIPv4和IPv6流量优先通过SW2SW1FW1链路转发。6.RT1串行链路、RT2串行链路、FWkACl之间分别运行RlP和RIPng协议，分别发布L。PbaCk2地址路由（FWI的RlPng发布路由时用接名称）。RTI配置OffSet值为3的路由策略，实现RT1/S1/0-RT2/S1/1为主链路，RTIS11RT2S10为备份链路，IPv4的ACL名称为ACLRIPIPv4,IPv6的ACL名称为ACLRIPIPv6。RTl的S1/0与RT2的S1/1之间采用

27、ChaP双向认证，用户名为对端设备名称，密码为Key122。7.RT1以太链路（物理速率为2048000）、RT2以太链路、FWl之间运行ISIS协议，instance1,实现LOoPbaCk3之间IPv4互通和IPv6互通。RT1、RT2、FWl的NET分别为10.0000.0000.0005.00、10.0000.0000.0006.00s10.0000.0000.0007.00,路由器类型是1.evel-2,互联接口网络类型为点到点。8.SW1、SW2、SW3、RT1、RT2之间运行BGP协议，SW1、SW2、RT1AS号65001、RT2AS号65002、SW3AS号65003。SW1

28、、SW2、SW3、RT1、RT2之间通过LOOPbaCkl建立IPv4和IPv6BGP邻居。SW1和SW2之间贝才务通过LOOPbaCk2建立IPv4和IPv6BGP邻居。SW1和SW2的LOOPbaCk2IPv4互通采用静态路由；IPv6互通采用OSPFV3,process2,area2oSW1、SW2、SW3分别只发布营销、法务、人力、财务等IPv4和IPv6路由；RTl发布办事处营销IPv4和IPv6路由到BGP;RT2发布分公司营销IPv4和IPv6路由到BGPCSW3营销分别与SWI和SW2营销IPv4和IPv6互访优先在SWlSW3链路转发；SW3法务及人力分别与SWl和SW2法务

29、及人力IPv4和IPv6互访优先在SW26W3链路转发，主备链路相互备份；在SW3上用prefix-list,routemap和BGP路径属性进行选路，新增AS65000o（SWI和SW2营销路由PrefiX-list名称分别为SWISW2YXIPv口SW1-SW2-YX-IPv6x法务及人力路由PrefiX-list名称分别为SW1-SW2-FWRL-IPv4SW1-SW2-FWRL-IPv6;SW3营销路由PrefiX-list名称分别为SW3-YX-IPv4和SW3-YX-IPV6、法务及人力路由PrefiX-IiSt名称分别为SW3-FWRLIPv4和SW3FWRLIPv6）9利用BG

30、PMPLSVPN技术，RTl与RT2以太链路间运行多协议标签交换、标签分发协议。RTl与RT2间创建财务VPN实例，名称为FinanCe,RTl的RD值为1:1,exportF值为1:2,importrt值为2:1;RT2的RD值为2:2。通过两端LOOPbaCkl建立VPN邻居，分别实现两端LoopbackSIPv4互通和IPv6互通。10.RT2配置IPv4NAT,ACL名称为ACLNAT,实现AelIPv4产品用RT2外网接口IPv4地址访问Intemet。RT2配置NAT64,ACL名称为ACL-NAT64,实现AClIPv6产品用RT2外网接口IPv4地址访问Intemet,IPv4

31、地址转IPv6地址前缀为64:ff9b:/96。（四）无线部署（本题共5分）1.AC1与API相连接口只允许VIanI40和VIanI50通过。AC1LOOPbaCk1IPv4和IPv6地址分别作为ACl的IPv4和IPv6管理地址。AP二层自动注册，AP采用MAC地址认证。配置2个ssid,分别为SKlLLS2.4G和SKlLLS-5G。SKlLLS2.4G对应VlanI40,用NetWOrk140和radio1（profile1,moden-only-g）,用户接入无线网络时需要采用基于WPApersonal加密方式，密码为KeyJ122,用第一个可用VAP发送2.4G信号。SKILLS5

32、G对应VIanI50,用NetWork150和radio2（profile1,moden-only-a）,不需要认证，隐藏SSid,SKlLLS-5G用倒数第一个可用VAP发送5G信号。（五）安全维护（本题共5分）说明：按照IP地址从小到大的顺序用“IP/mask”表示，IPv4Any地址用00.000,IPv6Any地址用:/0,禁止使用地址条目。1 .FW1配置IPv4NAT,id为1,实现集团产品1段IPv4访问IntemetIPv4,转换ip/mask为200.200.200.16/28,保证每一个源ip产生的所有会话将被映射到同一个固定的IP地址。2 .FW1配置NAT64,2为2,

33、实现集团产品1段IPv6访问IntemetIPv4,转换为出接口IP,IPv4转IPv6地址前缀为64:ff9b:/96。3 .FW1和FW2策略默认动作为拒绝，FWl允许集团产品1段IPv4和IPv6访问Internet任意服务。4 .FW2允许办事处产品IPv4访问集团产品1段https服务，允许集团产品1段和产品2段访问SW3模拟办事处Loopback2IPv4.FW2LoopbacklIPv4s办事处产品IPV4。5 .FW1与RT2之间用Internet互联地址建立GREOverIPSecVPN1实现LOoPbaCk4之间的加密访问。RT2的ACL名称为ACL-VPN1transfo

34、rm-set名称为SET-1,CryPtomaP名称为MAP-1oFWl的isakmpproposal名称为P-1,isakmpPeer名称为PEERliPSeCPrOPOSal名称为P-2,tunnelipsec名称为IPSEe-1,tunnelgre称为GRE模块三：服务搭建与运维（共计50分）任务背景描述：随着信息技术更迭，集团计划2023年把部分业务由原有的X86架构服务器上迁移到ARM架构服务器上，同时根据目前的部分业务需求进行了部分调整和优化。（一）X86架构计算机安装与管理（本题共5分）1 .PC1系统为UbUntUdesktopamd64系统，登录用户为Xiao,密码为Key1

35、122,配置该用户免密码执行sud。命令。2 .安装remmina,用该软件连接SerVe门上的虚拟机，并配置虚拟机上的相应服务。（二）ARM64架构计算机操作系统安装与管理（本题共5分）1 .从U盘启动PC2,安装kylindesktoparm64（安装语言为英文），安装时创建用户为xia。，密码为Key1122,配置该用户免密码执行SUdo命令。2 .配置minicom,用该软件连接网络设备。（三）Windows云服务配置（本题共15分）1.创建实例网络信息表网络名称lan子网名称网关IPv4地址池Network2102105ubnet2100.4.210.1/2410.4.210.100

36、-10.4.210.199Network211211Jubnet211none10.4.211.100-10.4.211.199Network212212Subnet212none10.4.212.100-10.4.212.199实例类型信息表（提示：删除所有已有实例类型）名称idvcpu内存磁盘Skills144096MB100GB实例信息表实例名称镜像实例类型IPv4地址主机名称windows1windows2022Skills10.210.101windows1windows2windows2022Skills10.4.210.102windows2windows3windows2022

37、Skills10.4.210.103windows3windows4windows2022Skills10.4.210.104windows4windows5windows2022Skills10.4,210.10510.4.211.105windows5windows6windows2022Skills10.4.210.10610.4.211.106windows6windows7windows2022Skills10.4.210.10710.4.211.107windows7windows8windows2022Skills10.4.210.108windows8实例名称镜像实例类型IPv

38、4地址主机名称10.4.211.10810.4.212,108windows9windows2022Skills1010.4.210.109.211.109wind10.4.212.109ows92域服务任务描述：请采用域环境，管理企业网络资源。配置所有WindoWS主机IP地址和主机名称。配置WindOWSI为SkiIlS.Ian域控制器；安装dns服务，dns正反向区域在activedirectory中存储，负责该域的正反向域名解析。配置WindOWS2为SkiIlS.Ian辅助域控制器；安装dns服务，dns正反向区域在activedirectory中存储，负责该域的正反向域名解析。把其

39、他WindoWS主机加入到Sk川s.lan域。所有WindoWS主机（含域控制器）用SkilISAdministrator身份登陆。在WindOWSl上安装证书服务，为WindOWS主机颁发证书，证书颁发机构有效期为10年，证书颁发机构的公用名为WindOWSI.skills.lan复制“计算机”证书模板，名称为“计算机副本”，申请并颁发一张供WindoWS服务器使用的证书，证书友好名称为pc,（将证书导入到需要证书的WindoWS服务器），证书信息：证书有效期=5年，公用名=SkiIIsJan1国家=CN,省=Beijing,城市=Beijing,组织=SkiIls,组织单位=SyStem,

40、使用者可选名称=*.skills.Ian和skills.lano浏览器访问https网站时，不出现证书警告信息。在WindOWS2上安装从属证书服务，证书颁发机构的公用名为windows2.skills.Iano在WindOWSl上新建名称为manager、dev、SaIe的3个组织单元；每个组织单元内新建与组织单元同名的全局安全组；每个组内新建20个用户：行政部managerOOmanage门9、开发部dev00-dev19、营销5sale00-sale19,不能修改其口令，密码永不过期。manager。拥有域管理员权限。3 .组策略任务描述：请采用组策略，实现软件、计算机和用户的策略设置。

41、复制POWerShelI-7.3.6-WirbX64.ms倒WindoWSl的C:soft。域中主机自动安装PoWerShe117(提示：如果部署不成功，则需要每台WindOWS主机均手动安装，软件包在U盘SOft目录。导出答案时使用PWSh(PoWerShell7),而不是PoWerSheIl5。)域中主机自动申请“ipsec”模板证书。自动注册工作站身份验证”模板证书，该模板可用作服务器身份验证”，有效期5年。允许manager组本地登录域控制器，允许manager。用户远程登录到域控制器；拒绝dev组从网络访问域控制器。登录时不显示上次登录，不显示用户名，无须按Ctrl+agdel。登录

42、计算机时，在桌面新建名称为VCSC的快捷方式，目标为https:/WWW,快捷键为Ctrl+shift+f60为正在登录此计算机的所有用户设置漫游配置文件路径为Windowsl的C:profiles,每个用户提供单独的配置文件文件夹。4 .文件共享任务描述：请采用文件共享，实现共享资源的安全访问。在WindoWSl的C分区划分2GB的空间，创建NTFS主分区，驱动器号为D;创建用户主目录共享文件夹：本地目录为D:sharehome,共享名为home,允许所有域用户完全控制。在本目录下为所有用户添加一个以用户名命名的文件夹，该文件夹将设置为所有域用户的home目录，用户登录计算机成功后，自动映射

43、挂载到h卷。禁止用户在该共享文件中创建“*.exe”文件，文件组名和模板名为my。创建目录D:sharework,共享名为work,仅manager组和AdminiStratOr组有完全控制的安全权限和共享权限，其他认证用户有读取执行的安全权限和共享权限。在ADDS中发布该共享。5 .DFS月艮务任务描述：请采用DFS,实现集中管理共享文件。在WindoWS3windows5的C分区分别划分2GB的空间，仓J建NTFS主分区，驱动器号为D。配置WindoWS3为DFS服务器，命名空间为dfsroot,文件夹为pictures,存储在D:dfs,所有用户都具有读写权限；实现WindoWS4的D:

44、pics和WindOWS5的D:images同步。配置WindoWS4的dfsIPv4使用34567端口；限制所有服务的IPv4动态rpc端口从100Oo开始，共2000个端口号。6 .ASP月艮务任务描述：请采用IlS搭建Web服务，创建安全动态网站,。把WindOWS3配置为ASP网站，网站仅支持dotnetclrv4.0,站点名称为asp。http和https绑定本机与外部通信的IP地址仅允许使用域名访问（使用“计算机副本，证书模板）。客户端访问时，必需有SSI证书（浏览器证书模板为“管理员”）。网站目录为C:iiscontents,默认文档index.aspx内容为HelloAspxo

45、使用WindoWS5测试。7 .打印服务任务描述：请采用共享打印服务，实现共享打印的安全性。在WindOWS4上安装打印机，驱动程序为“MsPublisherColorPrinter；名称和共享名称均为“printer”；在域中发布共享；使用组策略部署在“DefaultDomainPOliCy”的计算机。网站名称为Primer,http和https绑定主机IP地址，仅允许使用域名访问，启用hsts,实现http访问自动跳转到https（使用“计算机副本”证书模板）。用浏览器访问打印机虚拟目录PrinterS时，启用匿名身份认证，匿名用户为manager。新建虚拟目录dev,对应物理目录C:development,该虚拟目录启用WindOWS身份验证，默认文档index.html内容为development”。8 .NLB月艮务任务描述：请采用NLB,实现负载平衡。配置WindoWS5和W