一、 初始化环境

（一）默认账号及默认密码

二、项目任务描述

（一）基本配置

（二）拓扑图

三、项目任务清单

（一） DCserver配置任务

1．DCserver系统基础环境配置

2．ACTIVE DIRECTORY SERVICE主域控活动目录配置工作任务

3．DNS SERVICE配置工作任务

4．DHCP SERVICE配置工作任务

5．为ChinaSkills.cn域配置安全策略

6．AD域打印机

（二）SDCserver配置任务

1．SDCserver系统基础环境配置

2．ACTIVE DIRECTORY SERVICE 辅助域控活动目录配置工作任务

3.GPO:组策略与系统配置

4．服务器磁盘配置工作任务

5．辅助WINS SERVICE 配置工作任务

（三）Server01配置任务

1．Server01系统基础环境配置

2．WEB环境配置工作任务（IIS+CA）

（四）Server02配置任务

1．Server02 系统基础环境配置

2．DISK配置服务器软RAID工作任务

（五）Server03配置任务

1．Server03 系统基础环境配置

2．安装及配置VPN 服务

（六）GWserver配置任务

1．GWserver系统基础环境配置

2．安装和配置路由服务

（七）Client配置任务

1．对等网客户端配置

Username:  Administrator

Password: ChinaSkills22

Username: demo

Password: ChinaSkills22

你作为一名网络技术工程师，被指派去构建ChinaSkills.cn的网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。

1、服务器和客户端信息，各虚拟机已预装系统。

2、网络信息

构建ChinaSkills.cn的网络服务环境如下图所示。

注意：若题目中未明确规定，请使用默认配置。

虚拟服务器上，虚拟机名称为“DCserver”的为“DCserver”服务器系统，服务器已安装好基本的 Windows Server 操作系统环境，默认用户名为“administrator”，默认密码：Chinaskills22。

注：本题目中没特别说明的密码皆为：ChinaSkills22。

1. 请根据附件说明或提供的基础信息，配置服务器的主机名\IP 地址，创建要求的用户名及密码；
2. 配置Windows 防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求。

（1）在DCserver上配置以下服务与设置

• • • 为 ChinaSkills.cn 安装和配置活动目录域服务；
    • 只有域管理员和IT部门员工可以登陆服务器。

（2）创建以下全局 AD 组与用户

• • • Sales (Sales001-100)、IT（IT01-05）、Finance（F01-10）、Management（Manage01-05）；

• • • 创建ChinaSkills22 为GPO 管理员；加入到企业管理、域控管理员组；

• • • 为所有域用户设置漫游文件（除Management 外），漫游文件放于\\ChinaSkills.cn\ ChinaSkills22\Roaming Profile\ 目录中；

• • • 开启本地及域控用户登录操作日志审计记录；

本地

域用户

• • • 开启远程桌面服务及对应端口,让服务器可以被纳管到云堡垒机；仅允许本地管理员和域管理员登录；

• • • 配置域控组策略及域控配置信息备份；每天自动备份到本地的D盘根目录；并同步复制到DFS目录下:\DFSsharedir\IT\backup 目录。

1. 安装及配置 DNS 服务；

1. 创建必要的ChinaSkills.cn正向区域，添加必要的域名解析记录；
2. 配置TXT记录，配置主时间控制服务记录；配置域名反向PTR；

1. 为当前域网络创建反向查找区域；

1. 安装及配置 DHCP 服务；

1. 创建一个名为“ChinaSkills.cn”的 DHCP 作用域；

1. 保留地址172.16.100.129-139，起始地址172.16.100.140-254；绑定SDCserver的IP地址为 172.16.100.222/25；

1. 网关地址：172.16.100.254；

1. DNS服务器：172.16.100.221；8.8.8.8；

1. 限制 Management（Manage01-05）只能从Client登录；

1. 限制 Finance（F01-10），不能关闭计算机和重启计算机；

1. 所有的域计算机和域用户都能自动注册证书，证书颁发机构已经颁发过一次,就不再重复颁发，除非证书文件丢失或者失效；

1. 为普通用户配置密码策略，该策略要求密码为长度最小12位数的复杂性密码；

1. 对于Finance（F01-10），有一个例外，无需密码即可登录客户端；

1. 对IT（IT01-05） 用户启用桌面环境副本，移除回收站图表，统一添加 IE 浏览器快捷方式在桌面；

1. 禁止Sales (Sales001-010)使用注册表编辑工具、PowerShell 以及 Cmd。

1. 添加一台虚拟打印机，名称为“SD-Print”；

1. 发布到 AD 域；

注意：若题目中未明确规定，请使用默认配置。

虚拟服务器上，虚拟机名称为“SDCserver”的为“SDCserver”服务器系统，服务器上请安装基本的 Windows Server操作系统环境，默认用户名为“administrator”，默认密码：Chinaskills22。

注：本题目中没特别说明的密码皆为：ChinaSkills22。

1. 配置Windows 防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；

1. 安装Zabbix-Agent到Zabbix,用Zabbix检测域控服务器运行状态；执行文件在操作主机的D：/tools文件夹内；

1. 为安装和配置活动目录域服务：将SDCserver加入到Chinaskills.cn的域中，只有域管理员和IT部门员工,可以登陆服务器；

将服务器配置为辅助域控。DCserver主域控服务器；当DCserver离线时，SDCserver成为主服务器；

开启本地及域控用户登录操作日志审计记录；

1. 开启远程桌面服务及对应端口,让服务器可以被纳管到云堡垒机；仅允许本地管理员和域管理员登录；

1. 配置域控组策略及域控配置信息备份；自动备份到本地的D盘根目录；并同步复制到DFS目录下:\DFSsharedir\IT\backup 目录。

1. 所有的服务器不需要按ctrl+alt+del；

1. 关闭所有的机器的睡眠功能；

1. 对于IT组来说，所有站点都启用SSO；

1. 所有的计算机都不允许登录Microsoft账户；

1. 允许IT组进行系统时间更改；

1. 设定所有职务为managers的用户为本地管理员，除了域控制器；

1. 允许所有的Managers组在域控制器登录。

（1）安装及配置 RAID

• • • 配置系统软RAID；添加两块10G磁盘；

在服务器上为创建一个RAID-1 阵列；

• • • 格式化该磁盘挂载为I 盘，名称为：RAID1；

1. DCserver为主要的WINS服务器；

1. 定期复制主WINS服务器的记录；

1. DCserver离线后，自动切换为辅助服务器。

注意：若题目中未明确规定，请使用默认配置。

虚拟服务器上，虚拟机名称为“Server01”的为“Server01”服务器系统，服务器已安装好基本的  Windows Server操作系统环境，默认用户名为“administrator”，默认密码：Chinaskills22。

注：本题目中没特别说明的密码皆为：Chinaskills22。

1. 请根据附件说明或提供的基础信息，配置服务器的主机名，IP 地址，创建要求的用户名及密码；
2. 配置Windows 防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；
3. 将Server01加入到Chinaskills.cn的域中，只有域管理员和IT部门员工及本地管理员可以登陆服务器。

1. 在服务器上装Web 服务器，启用HTTPS 服务；
2. 在服务器上为“web.Chinaskills.cn”创建相应的Web 站点包含DNS相关记录；
3. 站点首页采用asp.net技术，首页设置为index.aspx；
4. 添加显示当前日期和主机的静态页面内容；
5. 配置证书服务器，提供CA自动申请证书；实现证书颁发机构及机构WEB注册服务；
6. 配置为企业CA域成员；CA类型：根CA中心；加密类型SHA256位，密钥长度2248位；CA共用名称:Chinaskills.cn; 可分辨后缀：DC=Chinaskills，DC=local；有效期为1年；
7. 证书数据存储路径：H：\DFSsharedir\CA。

注意：若题目中未明确规定，请使用默认配置。

虚拟服务器上，虚拟机名称为“Server02”的为“Server02”服务器系统，服务器需要安装，并完成配置基本的 Windows Server操作系统环境，默认用户名为“administrator”，默认密码：Chinaskills22。

注：本题目中没特别说明的密码皆为：Chinaskills22。

1. 请根据附件说明或提供的基础信息，配置服务器的主机名，IP 地址，创建要求的用户名及密码；
2. 配置Windows 防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；
3. 将Server02加入到Chinaskills.cn的域中，只有域管理员和IT部门员工及本地管理员可以登陆服务器。

1. 安装及配置 RAID；
2. 配置系统软RAID；添加两块10G磁盘；
3. 在服务器上为创建一个RAID-1 阵列；
4. 格式化该磁盘挂载为I 盘，名称为：RAID1；

注意：若题目中未明确规定，请使用默认配置。

虚拟服务器上，虚拟机名称为“Server03”的为“Server03”服务器系统，服务器需要安装，并完成配置基本的 Windows Server操作系统环境，默认用户名为“administrator”，默认密码：Chinaskills22。

注：本题目中没特别说明的密码皆为：Chinaskills22。

1. 请根据附件说明或提供的基础信息，配置服务器的主机名，IP 地址，创建要求的用户名及密码；
2. 配置Windows 防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；
3. 安装Zabbix-Agent到Zabbix,用Zabbix检测域控服务器运行状态；执行文件在操作主机的D：/tools文件夹内；
4. 将Server03加入到Chinaskills.cn的域中，只有域管理员和IT部门员工及本地管理员可以登陆服务器。

1. 仅允许 Layer 2 Tunneling Protocol连接；
2. 为保障认证的安全性，采用证书作为Layer 2 Tunneling Protocol认证手段；
3. 客户端连接成功后获得的内部地址范围为：192.168.10.241-192.168.10.248；
4. 使用域用户作为VPN登录认证用户。

注意：若题目中未明确规定，请使用默认配置。

虚拟服务器上，虚拟机名称为“GWserver”的为“GWserver”服务器系统，服务器已安装好基本的 Windows Server操作系统环境，默认用户名为“administrator”，默认密码：Chinaskills22。

注：本题目中没特别说明的密码皆为：Chinaskills22。

1. 请根据附件说明或提供的基础信息，配置服务器的主机名，IP 地址，创建要求的用户名及密码；

1. 配置Windows 防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求。

1. 请不要把该服务器加入到任何AD域；

1. 安装Remote Access服务并启用路由功能。

注意：若题目中未明确规定，请使用默认配置。

虚拟服务器上，虚拟机名称为“client”的为“client”服务器系统，服务器已安装好基本的 Windows Server操作系统环境，默认用户名为“administrator”，默认密码：Chinaskills22。

1. 请把该计算机留在工作组；
2. 设置电源配置，以便客户端在通电的情况下，永不进入睡眠；
3. 创建一个名为SD-VPN的拨号适配器连接，用于建立VPN连接。