weixin_46183247的博客

对于VPN客户端，请使用范围192.168.1.200-192.168.1.220/24。互联网区域客户端通过OpenVPN访问chinaskills域网络。VPN隧道通道使用三层点到点模式，使用TCP 2023进行连接。对于VPN服务器端使用固定地址192.168.1.1/24。设置OpenVPN，采用EasyRsa3进行部署。

基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现，门户网站绑定“下载速度”“响应代码”和“响应时间”的性能指标。通过新增WEB探测对象，监控门户网站http://www.chinaskills.com，查看运行状态。图形界面登陆IOMSrv运维平台，登陆地址http://192.168.200.200。通过Windows代理模板，添加DC1、DC2操作系统监控对象，查看运行状态。通过中间件IIS模板，添加IIS监控对象，查看运行状态。（五）服务器IOMSrv上的工作任务。

在DC1上备份系统状态到D:\，共享文件夹所有用户具有读/写权限。6.Windows备份。

IT组用户创建txt文件需要加密以保护数据，内容为“ChinaSkills Test”，仅administrator和文件所有者可以读取。manager，IT，sales用户仅能访问属于自己组的文件夹，不允许创建文件。在本组文件夹，可以创建文件和子文件夹，对此目录有除删除外的绝对控制权。路径为D:\data{manager;不允许打开其他组的文件夹，不允许删除。创建存放各个部门数据的文件夹。

FTP站点主目录为D:\ftproot，通过适当技术实现用户soft1与soft2通过匿名方式登录FTP站点时，只能浏览到“Public”子目录内容，若用个人账号登录FTP站点，则只能访问与用户名同名的自己的子文件夹。设置FTP最大客户端连接数为100。设置无任何操作的超时时间为5分钟，设置数据连接的超时时间为1分钟。安装FTP服务，新建一个FTP站点，并建立用户soft1、soft2，密码均为ftp123。FTP站点使用预共享密钥加密通信通道，否则将不能访问。拒绝上传“*.exe”后缀的文件。

对于 vpn 客户端，请使用DHCP提供 192.168.1.200-192.168.1.220/24的IP地址。使用后端 NPS 进行身份验证，仅允许manager 组内用户通过身份证验证；配置 SSTP/VPN，证书由 CSK2021-ROOTCA 进行签署颁发；vpn 连接地址为 sstp.chinaskills.cn；

配置网络地址转换，允许互联网区域客户端访问AppSrv上的HTTP资源。启用网络地址转换功能，实现内部客户端访问互联网资源。启用网络地址转换功能，实现内部客户端访问互联网资源。这一题在我的教程上有就不做配置了。

##因为这是单题的教程没有安装IspSrv，在我教程里有完整版IspSrv的DNS教程，将Ispsrv配置好后按照我画红圈的步骤可以做出来。配置TXT记录，配置主时间控制服务记录；配置域名反向PTR；无法解析的域名统一交由IspSrv进行解析。创建正向区域，添加必要的域名解析记录；RouterSrv主DNS服务器。为当前域网络创建反向查找区域；安装及配置DNS服务；

###如果在查看任何计算机的时候发现计算机名称前面有个黄色的警示标就去insidecli上关闭防火墙从新检查更新一次。更新服务器地址为“http://wsus.chinaskills.cn:8530”。安装WSUS更新服务，更新补丁目录设置为“c:\wsusbackup”。创建更新组名称为“CHINASKILLS-WSUS”。每天凌晨03:00下发自动更新。3.WSUS更新服务。

L2TP通道使用chinaskills.com域内用户进行身份验证，仅允许manager组内用户通过身份证验证。对于vpn客户端，请使用范围192.168.1.200-192.168.1.220/24。设置L2TP/IPSec，IKE通道采用证书进行验证。

除manager组，移除关机和重启按钮；除manager组，移除桌面垃圾桶按钮；除manager组，移除关机和重启按钮；除manager组，移除桌面垃圾桶按钮；

记录用户最后登录的信息以及登录失败的情况。记录用户最后登录的信息以及登录失败的情况。不允许登录和使用Microsoft账户。不允许登录和使用Microsoft账户。拒绝用户对任何可移动存储类的权限。拒绝用户对任何可移动存储类的权限。

在DC1和DC2服务器上安装活动目录域服务，并且提升该操作系统为域控制器。设置PDC主机为DC2。

客户端们都能够通过访问“http://print.chinaskills.cn/”查看打印机。添加一台虚拟打印机，名称为“GZ-Print”，发布到AD域；

ftp在登录前显示Banner消息：“Hello, unauthorized login is prohibited!匿名用户上传的文件都将映射为ftp2用户。

所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容。配置DFS复制，使用DC1作为次要服务器，复制方式配置为交错拓扑。在F：\DFSsharedir文件夹内新建所有部门的文件夹。Management用户组用户可以访问全局的文件夹。目录设置在F：\DFSsharedir。在AppSrv上安装及配置DFS服务。

iSCSI 磁盘提供给 DC1 使用，磁盘容量 500 G，启用 chap 验证；DC1 上连接成功后，把磁盘格式化为 NTFS 格式并挂载到卷标 D 盘。磁盘存储在F：\ISCSIFATA；

RouterSrv离线后，自动切换为主要DNS服务器。RouterSrv为主要DNS服务器，动态复制；###注意这一题是配置样题5的第4题做的。安装DNS并配置为辅助DNS服务器；定期复制主DNS服务器的记录；

DC2作为AppSrv的备份服务器，进行DNS信息同步；3.DNS（域名解析服务）

认证、授权日志将存储到DC1上的“C:\NPS\”目录下；仅允许PPTP/MPPEVPN进行VPN连接访问验证；在DC1上安装网络策略服务作为VPN用户登录验证；2.NPS（网络策略服务）

sales用户组的Internet Explorer默认将代理指向proxy.chinaskills.cn，端口号为8080。sales用户组的Internet Explorer默认将代理指向proxy.chinaskills.cn，端口号为8080。IT01用户登陆域后，会自动增加驱动器X，该驱动器自动关联DC1的C:\tools文件夹。

所有用户组织禁止修改Internet Explorer的代理服务器设置。所有用户组织禁止修改Internet Explorer的代理服务器设置。关闭所有的机器的睡眠功能。

仅允许L2TP/IPSEC VPN进行VPN连接访问验证。认证、授权日志将存储到DC1上的“C:\NPS\”目录下。在DC1上安装网络策略服务作为VPN用户登录验证。#对应RouterSrv的样题2第3题。2.NPS(网络策略服务)

用户配置 -> 管理模板 -> Windows 组件 -> 文件资源管理器 -> 隐藏“我的电脑”中的这些指定的驱动器。所有用户都应该收到登录提示信息：标题“登录安全提示：”，内容“禁止非法用户登录使用本计算机。所有用户的IE浏览器首页设置为“https://www.chinaskills.com”。所有用户的IE浏览器首页设置为“https://www.chinaskills.com”。除manager 组和IT组，所有普通给用户禁止使用cmd。许除manager 组和IT组，所有用户隐藏C盘。

Outside和Insidecli测试完 用命令访问网页后，再去AppSrv那把身份认证调回来，将匿名身份认证禁止掉。该客户端用于测试用户登录，Profiles，文件共享，安全策略，NFS客户端和RDS等功能。该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。添加openvpn，用于连接到chinaskills.com域网络。设置电源配置，以便客户端在通电的情况下，永不进入睡眠。设置电源配置，以便客户端在通电的情况下，永不进入睡眠。按照要求将该主机加入到对应区域的域。

在DC2驱动器C:\上设置磁盘配额，限制磁盘空间为5G，警告等级为3G，超出配额限制时记录事件，超出警告等级时记录事件。

手动测试破坏一块磁盘，做RAID磁盘修复，确认RAID 5配置完毕。组成RAID 5，磁盘分区命名为卷标H盘：Raid5。在安装好的DC2虚拟机中添加三块10G虚拟磁盘。在DC2上安装及配置软RAID 5。

无法解析的域名统一交由IspSrv进行解析。创建正向区域，添加必要的域名解析记录。配置TXT记录，配置域名反向PTR。为当前域网络创建反向查找区域。3.DNS（域名解析服务）安装及配置DNS服务。

启用身份验证，密码为“P@ssw0rd”。伙伴服务器“DC2”为“待机”状态。设置为“热备用服务器”模式。为备用服务器保留5%的地址。状态切换间隔为60分钟。

创建地址池名为inside_pool，地址池范围：192.168.0.1-192.168.0.100。安装和配置dhcp服务，为办公区域网络提供地址上网。根据题目要求正确配置网关和dns信息。

创建用户主目录共享文件夹：本地目录为d:\share\users\，允许所有域用户可读可写。创建public-share公共共享文件夹：本地目录为d:\ share\public-share，仅允许manager用户组成员拥有写入权限，其他认证用户只读权限，自己写入的文件或者创建的文件夹具有完全控制权限。创建manager组共享文件夹：本地目录为d:\ share\managers，仅允许manager用户组成员拥有写入权限，该共享文件对其他组成员不可见。#如果文件屏蔽器创建不了模板，就重启一下服务器。

如果InsideCli客户端不能申请计算机证书RPC错误的话 那就是系统出现问题了 恢复原来的快照从新加入域或者是 从新安装系统从新加入域 在重新加入 域的时候得需要把之前加入过的计算机名称数据和域名删除。为chinaskills.com域内的web站点颁发web证书。当前拓扑内所有机器必须信任该证书颁发机构。定义名称：CSK2023-ROOTCA。为域内所有计算机自动颁发一张计算机证书。证书颁发机构有效期：3 years。在DC1服务器上安装证书颁发机构。

域内所有计算机（dc除外），当dc服务器不可用时，禁止使用缓存登录。域内所有计算机（dc除外），当dc服务器不可用时，禁止使用缓存登录。ma01-ma10，请将该用户添加到manager用户组。ma01-ma10，请将该用户添加到manager用户组。sa01-sa20，请将该用户添加到sales用户组。sa01-sa20，请将该用户添加到sales用户组。创建一个名为“CSK”的OU，并新建以下域用户和组。it01-it20，请将该用户添加到IT用户组。it01-it20，请将该用户添加到IT用户组。

创建NFS共享文件夹，允许InsideCli可以远程挂载，映射挂载到D卷。共享文件夹路径为D:\shares\NFSshare。共享名称为NFSshare。允许未映射的用户访问。

将访问http://www.chinaskills.com的http的请求重定向到https://www.chinaskills.com站点。每天创建一个新的日志文件，文件名格式：日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号。启用Windows身份验证，只有通过身份验证的用户才能访问到该站点，manager用户组成员使用IE浏览器打开不提示认证，直接访问。设置“http://www.chinaskills.com/”网站的最大连接数为1000，网站连接超时为60s。

内部用户通过“https://app.chiaskills.com/rdweb/”进行访问，页面无证书警告。用户登录成功后可以通过RDS运行以下应用：notepad，wordpad。在RouterSrv和AppSrv上搭建RDS服务。资源服务器设定为AppSrv。

安装和配置DHCP relay服务，为办公区域网络提供地址上网。拆分DHCP服务器上的作用域，拆分的百分比为7:3。InsideCli优先从RouterSrv获取地址。DHCP服务器位于AppSrv服务器上。

安装Remote Access服务开启路由转发，为当前实验环境提供路由功能。启用网络地址转换功能，实现内部客户端访问互联网资源。

使用ispsrv.chinaskills.global站点模拟互联网检测服务器。为了模拟Internet访问测试，请搭建网卡互联网检测服务。允许互联网区域客户端访问AppSrv上的HTTP资源。配置检测文件内容为internet。2.互联网访问检测服务器。

把当前机器作为互联网根域服务器，创建test1.com~test100.com，并在所有正向区域中创建一条A记录，解析到本机地址。安装DNS服务器，根据题目创建必要正向区域和反向区域的DNS解析。