建立WEBFTP（服务器群集）CA证书配置详解

WEB、 FTP 服务器群集 CA证书配置详解W i n dows网络服务搭建管理之3. 《WEB/FT P 服务器群集 CA证书配置详解》

O3 T* t$ ?7 N6 P3 n/ h; s2 P

实验名称 2.WE B/F TP 服务器群集/负载平衡 CA证书服务器的搭建和配置

7 n0 w, Z& x$ |# H; Q

实验任务和目标 《总的目标》v在企业网络中实现IP地址的动态分配v配置DNS服务器完成域名解析v利用I IS6.0配置企业Web网站v配置和管理F TP服务器v实现企业网络的RAS 远程访问服务v利用证书服务实现安全性

8 Y( ^/ L e9 M9 F/ p) L |3/ I2 q. ] ; Q& Z+ s. ov网络负载平衡和服务器群集提高可靠性v多域间的访问

8 ?8 M8 V% ^ ! e( yv操作主机维护v活动目录数据库维护v监控服务器

2 t' g, o8 d\ l* x, Y- c% e- O1 {

有两个域一个是sjdwm.cn是公司主域另一个是收购一家公司的域

sjd.com用信任关系使它们互相访问

1、 DHC P

% n w0 M5 l0 R) Z$ S; {+ u5 W; {) j0 ] , r3 c6 [a.两个作用域b.按80/20规则建立两台DHC P

# p) R: P' y0 } . a6 y7 nc.授权

. \\; i: Z0 @9 k6 | , l) q$ I2 cd.为DNS W EB FTP等站点保留I P地址e.作用域选项f.DHCP数据库的备份

. v7 y! ^4 ` ) f#W: _9 F- J\# T! Z& }4 t% h9 S. Z

) z* j) U& q$ G; y! C: f! Q 2、 DNSa.独立建立两台DN S作为域的DNS和其它域名解析b.建立辅助DNS服务器z1( O* O\ x( N' ]4 `% J1 s; x: I\J* @2 H9 }c.在每个DNS上建立转发器互相转发解析请求d.建立反向区域为以后增加邮件做准备并增加MX纪录e.设置区域复制要求一个域中的D NS记录只能被它的辅助DNS复制f.假设公司马上要下设两个子公司域名分别是wm. sjdwm.cn和sjd. sjdwm.cn

给sjd做子域给wm做委派

: Z# z9 {' k&K( f8 q! C

3、 web站点a.做一个外部web站点域名是www. sjdwm.cnb.做一个内部站点域名是www. sjd.com

- D, e9 | . p\ Y9 `6 s: ?7 \\ Q4 w2 F# Wc.为sjd域建立一个站点通过不同的端口访问可以达到简单的隐蔽

作用d.在其它的计算机建立隐含共享在web中建立虚拟目录来访问其它

计算机上的资源

$ _5 X5 k, ?* F1 L( R; t

本身站点匿名访问虚拟目录要输入用户名和密码来进行访问基本站

点都可以访问虚拟目录只能本公司内的员工访问

; Y4 x. }* \\( g

% n3 e9 y9 v+ o: n$ u1 ?9 G- Ze.为虚拟目录加上ca证书来保证数据传输的安全f.使用负载均衡来保证WEB的安全

- G6 b' F6_: c2 X* f1 X6 h* B. {* d\N# Zg#0 Y3 |5 T( U+ A2 q4、 FTP站点a.为sjdwm使用serv-u建立ftp建立一个总目录 目录下是每部门的

目录对于总目录结构任何人不能

进行修改也不能在总目录下添加或删除东西每部门员工只能在自己

部门下上传东西部门有一个

8 N# G8 O3 @# T! e; g0 O

该部门的目录管理人员此人可以整理目录内容每人使用自己的账号

登录FTP服务器对主管的上传

V' ( y ?) [ ( a* K

下载速度限制为40 k普通员工是20k每个用户只能打开一个FTP连

接空闲5分钟就断开连接y$# H0 r6 P1 z2 G U: Z1 e3 g8 Jb.为s j d建立普通FTP使用域来隔离用户c.使用一个服务器来对ser v-u进行远程管理

% { ! U! d, n-m( W3 t+w

, A# f% Z0 R7 `3 [#_4 K, q5、 DCa.建立域

8 n%M( O2 r# V8 | . Vb.为每部门建立OUy! {$ l9 x+ i4 H9 ~1 vc.OU中委派管理权d.每个部门建立一个全局组将本部门的员工加入到全局-安全组中

& {. a) m9 q3 } : ?% o9 n1 u1 ve.建立全局的通讯组将本部门员工加入到全局-通讯组中为以后的exchange做准备f.在sjdwm. cn中建立一个全局-安全组名字是sjd 目的是为本公司

支持sjd.com域的人员建立组便于q8. Y5 Z3 b( C9 w2 \\5 m t9 X! s! _

限制这些人使用sj dwm.com域中资源在s jd. com域中建立本地域组

把sjd加入到本组并对某个资料文件夹

设置权限

& i0 W( J0 I3 B: s9 _; W8 m. \\&De.建立额外DC将基础结构主机转移到额外DC上g.在DC上使用NTB ACKUP建立计划备份任务周一进行常规周二到周

五进行差异便于以后进行授权和

非授权的还原

0 E1 ^7 F' l% k; \\3 ^9 Z% F, f* ?h. sjd. com域要信任sjdwm. cn域

! ~1 y1 v) ] ' U0 ~6、建立一台VPN服务器a.为企业出差用户访问公司网络提供服务 I P地址由DHCP提供b.要求外部用户只能在周一到周五的早8点到晚6点之间进行访问必

须属于一个vpn组

- l6 ]7 z4 G4 h$ \\9 X$ @+ V% V

7、 CAa.建立一个企业CA为we b站点颁发证书

8、远程管理及性能监测a.对所以上述服务器进行pcanywhere的远程管理b.在web上启+用w eb应答和FTP的性能警报启用三大硬件的警报

D+* [/ U+ Y! _( G! |

\ u9 c7 a' ]& R实验环境描述

2台路由 3台交换机 10台服务器 3台PC机

实验拓扑及网络规划总的拓扑图

# c* T! g5 b( `+ G

实验操作过程及配置说明 1、 PKI系统中的数字证书简称证书

它把公钥和拥有对应私钥的主体的标识信息如名称、电子邮件、身证号等捆绑在一起,证书的主体可以是用户、计算机、服务等,证书可以用于很多方面,Web用户身份验证,Web服务器身份验证,安全电子邮件Internet协议安全IPSec ;数字证书是由权威公正的第三方机构即

CA签发的证书包含以下信息 §使用者的公钥值

感谢您的阅读祝您生活愉快。