Windows网络服务搭建管理之3.《WEB/FTP(服务器群集)CA证书配置详解》
实验时间:2009-03-13 实验人:小风
实验名称: 2. WEB/FTP服务器群集/负载平衡)CA证书服务器的搭建和配置
实验任务和目标《总的目标》
v 在企业网络中实现IP地址的动态分配
v 配置DNS服务器,完成域名解析
v 利用IIS6.0配置企业Web网站
v 配置和管理FTP服务器
v 实现企业网络的RAS(远程访问服务)
v 利用证书服务实现安全性
v 网络负载平衡和服务器群集提高可靠性
v 多域间的访问
v 操作主机维护
v 活动目录数据库维护
v 监控服务器
有两个域一个是sjdwm.cn是公司主域另一个是收购一家公司的域sjd.com用信任关系使它们互相访问
1
DHCP
a.两个作用域
b.80/20规则建立两台DHCP
c.授权
d.DNSWEBFTP等站点保留IP地址
e.作用域选项
f.DHCP数据库的备份
2DNS
a.独立建立两台DNS,作为域的DNS和其它域名解析
b.建立辅助DNS服务器
c.在每个DNS上建立转发器,互相转发解析请求
d.建立反向区域,为以后增加邮件做准备,并增加MX纪录
e.设置区域复制要求,一个域中的DNS记录只能被它的辅助DNS复制
f.假设公司马上要下设两个子公司,域名分别是wm.sjdwm.cnsjd.sjdwm.cn
sjd做子域,给wm做委派
3web站点
a.做一个外部web站点,域名是www.sjdwm.cn
b.做一个内部站点,域名是www.sjd.com
c.sjd域建立一个站点,通过不同的端口访问,可以达到简单的隐蔽作用
d.在其它的计算机建立隐含共享,在web中建立虚拟目录,来访问其它计算机上的资源
本身站点匿名访问,虚拟目录要输入用户名和密码来进行访问,基本站点都可以访问,虚拟目录
只能本公司内的员工访问
e.为虚拟目录加上ca证书,来保证数据传输的安全
f.使用负载均衡来保证WEB的安全
4FTP站点
a.sjdwm使用serv-u建立ftp,建立一个总目录,目录下是每部门的目录,对于总目录结构任何人不能
进行修改,也不能在总目录下添加或删除东西;每部门员工只能在自己部门下上传东西,部门有一个
该部门的目录管理人员,此人可以整理目录内容;每人使用自己的账号登录FTP服务器,对主管的上传
下载速度限制为40k,普通员工是20k,每个用户只能打开一个FTP连接,空闲5分钟就断开连接
b.sjd建立普通FTP,使用域来隔离用户
c.使用一个服务器来对serv-u进行远程管理
5DC
a.建立域
b.为每部门建立OU
c.OU中委派管理权
d.每个部门建立一个全局组,将本部门的员工加入到全局-安全组中
e.建立全局的通讯组,将本部门员工加入到全局-通讯组中,为以后的exchange做准备
f.sjdwm.cn中建立一个全局-安全组,名字是sjd,目的是为本公司支持sjd.com域的人员建立组便于
限制这些人使用sjdwm.com域中资源,在sjd.com域中建立本地域组,把sjd加入到本组,并对某个资料文件夹
设置权限
e.建立额外DC,将基础结构主机转移到额外DC
g.DC上使用NTBACKUP建立计划备份任务,周一进行常规,周二到周五进行差异,便于以后进行授权和
非授权的还原
h.sjd.com域要信任sjdwm.cn
6、建立一台VPN服务器
a.为企业出差用户访问公司网络提供服务,IP地址由DHCP提供
b.要求外部用户只能在周一到周五的早8点到晚6点之间进行访问,必须属于一个vpn
7CA
a.建立一个企业CA,为web站点颁发证书
8、远程管理及性能监测
a.对所以上述服务器进行pcanywhere的远程管理
b.web上启+web应答和FTP的性能警报,启用三大硬件的警报;
实验环境描述
2台路由,3台交换机,10台服务器,3PC
实验拓扑及网络规划:总的拓扑图
clip_image002
实验操作过程及配置说明
1、 PKI系统中的数字证书简称证书
它把公钥和拥有对应私钥的主体的标识信息(如名称、电子邮件、身证号等)捆绑在一起,证书的主体可以是用户、计算机、服务等,证书可以用于很多方面,Web 用户身份验证,Web 服务器身份验证,安全电子邮件
Internet 协议安全 IPSec ; 数字证书是由权威公正的第三方机构即CA签发的
证书包含以下信息
§ 使用者的公钥值
§ 使用者标识信息(如名称和电子邮件地址)
§ 有效期(证书的有效时间)
§ 颁发者标识信息
§ 颁发者的数字签名
CA的核心功能就是颁发和管理数字证书
具体描述如下
v 处理证书申请
v 鉴定申请者是否有资格接收证书
v 证书的发放
v 证书的更新
v 接收最终用户数字证书的查询、撤销
v 产生和发布证书吊销列表(CRL
v 数字证书的归档
v 密钥归档
v 历史数据归档
证书的发放过程
clip_image004
1)证书申请
§ 用户根据个人信息填好申请证书的信息并提交证书申请信息
2RA确认用户
§ 在企业内部网中,一般使用手工验证的方式,这样更能保证用户信息的安全性和真实性
3)证书策略处理
§ 如果验证请求成功,那么,系统指定的策略就被运用到这个请求上,比如名称的约束、密钥长度的约束等
4RA提交用户申请信息到CA
§ RA用自己私钥对用户申请信息签名,保证用户申请信息是RA提交给CA
2.先安装CA证书服务器(这在里要注意,安装CA之前先要装好IIS因为CA要IIS的支持)
1.单击控制面板中的“添加或册除程序”,在windows组件向导中勾选“证书服务”复选框,单击“下一步”按钮。
clip_image006
2.选择CA类型为“企业根CA”,选中下面的“用自义设置生成密钥对和CA证书”复选框,单击中“下一步”按钮。
clip_image008
3.在出现的“公钥/私钥对”中保持默认值,单击“下一步”按钮
clip_image010
4.证书服务安装完成
clip_image012
5.生成证书申请《在这之前先把WEB服务器的IIS建起来》
在WEB/FTP服务器的IIS里添加证书

clip_image014
clip_image016
clip_image018
clip_image020
clip_image022
clip_image024
clip_image026
clip_image028
申请证书,是在WEB/FTP服务器上建好WEB服务后再申请(在域中证书服务器要设置密码)
在第一台WEB/FTP服务器上申请证书
clip_image030
C盘下的certreq.txt文件是申请证书时所填写的个人信息,通过加密后自动存放在c盘在申请证书时要用到
clip_image032
在域环境中提交申请后CA服务器会自动颁发,所以就可以直接下载证书了
clip_image034
clip_image036
2、 下载证书后在WEB服务器上安装
clip_image038
clip_image040
clip_image042
clip_image044
clip_image046
clip_image048
证书安装好了再在另一台机子上访问网页看看
clip_image050
如果想要让用户只能通过安全通道看网页就需要这样设置
clip_image052
然后再访问
clip_image054
这样就能够起到安全的做用了
clip_image056
3、 配置WEB服务器,先安装IIS服务
在windows组件中添加

clip_image058
建好的站点,建一个站点简单,但主要的是做到安全,下面来说一下怎样配置安全
clip_image060
使用证书可以让站点提高安全(在上面证书中以经说过怎样添加证书)
clip_image062
还可以IP地址限制,下面是不让192.168.1.9访问
clip_image064
结果显示无权查看,同样也可以设置只允许某些人访问或某些人不能访问
clip_image066
取消匿名访问,这样只有域中的用户才可以访问不是公司的用户就不可以访问
clip_image068
结果要输入用户名和密码才可以访问
clip_image070

在刚才新建的网站下创建虚拟目录,虚拟目录是解绝默认站点目录空间不足时可以用站点以外的空间来存放文件,可以在同一台主机或别的主机上
clip_image072
clip_image074
配置虚拟目录
clip_image076
clip_image078
clip_image080
在一个服务器上配置多个站点,通过主机头访问(要有DNS支持)
主机头的作用是
在同一台主机上放多个站点同一IP地址多个域名访问不同的网页
clip_image082
clip_image084
二、配置NLB群集网络负载均衡、配置服务器群集双机热备
windows群集技术能够独立使用或与其它产品联合使用,提供可缩放的、可用性高的服务。win2003支持两种类型群集:网络负载均衡,服务器群集。

做群集两台服务器都要两块网卡,一块两机互联,一块外网访问

在这里我把它单独出来做了,方法是一样的。

NLB群集最多可以32台服务器一个群集

服务器群集最多可以8台一个群集

实验名称:网络负载均衡,服务器群集
实验任务和目标
配置NLB群集网络负载均衡
配置服务器群集双机热备
1. 实验环境描述:三台虚拟机,一台做为IIS1和NLB1(两块网卡),另外一台作为IIS2和NLB2(两块网卡),用一台做DC和DNS,再把两台WEB机子加入域中,用真机做PC客户端
2. 实验拓扑及网络规划:
clip_image085
 
clip_image088
clip_image086
clip_image090
实验操作过程及配置说明
网络负载平衡(NLB)群集增强了web,ftp,isa,vpn等服务的可靠性和可伸缩性。
1. 建立DC和DNS服务器,在同一台机器上建立
clip_image092
clip_image094
3. 起两台虚拟机,一台做为IIS1和NLB1,另外一台作为IIS2和NLB2,首先把两台机子加入域中
clip_image096
clip_image098
4. 在第一台服务器上建立IIS1,在第二台服务器上建立IIS2,并进行测试
clip_image100
第一台主机上的网页
clip_image102
第二台主机上的网面
clip_image104
虚拟IP,也就是群集用的主IP,外网访问就是访问到这个IP地址,两个IIS都用172.16.0.128
clip_image106
5. 在第一台服务器上建立群集,添加自己到群集中,再添加另外一台机子到群集中
先建群集
clip_image108
虚拟IP, 域名sjdwm.cn ,选多播
clip_image110
删除默认规则
clip_image112
先将自己加入群集(在域里先加自己再加别人,在工作组里先加别人再加自己)1.0.0.1是两台服务器相连网卡的IP地址
clip_image114
添加主机的IP 和优先级
clip_image116
添加别的主机到此集里
clip_image118
要添加的主机IP
clip_image120
第二台主机IP 优先级为2
clip_image122
一共添加了两台,虚拟IP172.16.0.128
clip_image124
DNS上添加主机记录,用域名访问WEB www.sjdwm.cn
clip_image126
6. 利用http://www.sjdwm.cn进行测试
在真机上设DNS172.16.0.125,用真机来测试
clip_image128
再用www.sjdwm.cn访问
访问到的是第每一个网页
clip_image130
再把第一个主机网卡禁用再访问www.sjdwm.cn它就会自动访问第二台主机上的网页
clip_image132
也就说下双机热备吧,服务器群集(它最多可以8台主机群集)而且只有两个服务器版本可以做,一个是企业版一个是数据版(Datacenter Edition)
服务器群集是由独立的计算机系统(称为节点)构成的组,不同节点协同工作,就象单个系统一样,从面确保关键的应用程序和资源始终可由客户端使用。一般地,利用服务器群集技术可以实现DHCP、文件共享、后台打印、MS SQL SERVER、Exchange Server等服务的可靠性。
1. 搭建DC和DNS,在同一台机子上就可以
clip_image094[1]
2. 起两台虚拟机,第一台做为节点1,第二台作为节点2,把两台虚拟机加入到域中
clip_image096[1]
clip_image098[1]
3. 在两台虚拟机都启动起来后,都关闭,在第一台虚拟机上添加一块磁盘,并修改vmx文件,disk.locking=false加入在最后,启动,利用磁盘管理工具进行分区(如果是用真机做有仲裁磁盘就不用这了,Vmware中不支持仲裁磁盘的所以才要修改下文件)
clip_image134
4. 关闭第一台虚拟机,在第二台虚拟机上添加刚刚建立的那个虚拟磁盘,修改vmx文件,disk.locking=false加入上面那句话,修改完后启动,给刚刚的磁盘添加一个盘符即可(两台主机用的是同一磁盘使用同一数据)
clip_image136
clip_image138
5. 启动第一台虚拟机,在第一台使用管理工具里的群集管理器来创建群集
clip_image140
clip_image142
6. 在第二台虚拟机上,使用群集管理器来连接到第5步的群集上,添加自己到群集里即可
clip_image144
添加完后就完成了,测试就留给喜欢这个技术的人了
4、 配置FTP服务器
serv-u做ftp服务器
IIS中的ftp服务可以满足企业基本的需求,但如果ftp站点要求对用户的下载或上传速度进行限制等功能,单纯使用IIS就无能为力了,本节介绍一种在windows平台上经常使用的一款ftp服务的软件serv-u
实验操作过程及配置说明
1. ftp服务先说下(IIS) 的安装
clip_image146
第一步:配置默认站点
clip_image148
第二步:在客户机上访问ftp站点
clip_image150
第三步:配置隔离用户的FTP站点
clip_image152
2. 安装serv-u
clip_image154
clip_image156
第一步:新建域
clip_image158
clip_image160
clip_image162
clip_image164
第二步:新建用户
clip_image166
clip_image168
clip_image170
clip_image172
clip_image174
clip_image176
第三步:配置用户
clip_image178
clip_image180
clip_image182
clip_image184
clip_image186
clip_image188
第四步:安装并使用CuteFTP
clip_image190
clip_image192
clip_image194
3. 新建站点
clip_image196
clip_image198
clip_image200
clip_image202
4.传送文件
clip_image204
实验结果(可以是截屏图片):
在客户机使用web浏览器访问web站点,
clip_image206
通过命令行访问。
clip_image208
使用CuteFTP上传下载文件
下载
clip_image210
.传送文件
clip_image204[1]