第二部分:云平台配置
http://192.168.100.100/dcncloud admin/dcncloud
1.创建外部网络
管理员—网络—创建网络
网络:Vlan10—Vlan50,勾选:共享的、外部网络
激活DHCP,分配地址池:172.19.10.100,172.19.10.200
2.创建云硬盘
普通用户—卷—创建卷
卷:hd1—hd5(3个10GB、2个15GB)
3.创建实例类型
管理员—实例类型—创建实例类型
实例类型:4个Windows、3个Linux
4.创建虚拟主机
普通用户—实例—创建实例
实例:6个Windows、5个Linux
Windows密码:Pass-1234、Qwer1234,Linux密码:Pass1234、root、dcncloud
5.所有云虚拟主机IP地址手动设置为DHCP获取的地址
第三部分:Windows系统配置
一、AD域配置
1.云主机1配置IP地址,更改计算机名,重启。
2.云主机1安装AD域服务,设置为域控制器,重启。
选择“添加新林”:jsskill.com;林域功能级别:Windows Server 2008 R2
3.同时完成:
云主机2—5更改SID,运行C:\windows\system32\sysprep\sysprep.exe(选中通用),配置IP地址,更改计算机名,重启。
(注:所有云主机的DNS设为云主机1的IP地址,服务器1、2、3的DNS设为服务器1的IP地址)
4.同时完成:云主机2—6加入域,重启。
加入域时输入:域控制器的administrator用户和密码(非本地)
成员服务器登录域:
用户名:jsskill.com\administrator、jsskill\administrator
密码:域控制器的密码(非本地)
5.同时完成:PC1中安装服务器1、2,配置IP地址,更改计算机名,重启。
6.云主机2安装AD域服务,设置为辅助域控制器,重启。
选择“将域控制器添加到现有域”,jsskill.com。
7.云主机3安装AD域服务,设置为只读域控制器,重启。
选择“将域控制器添加到现有域”,jsskill.com,勾选“只读域控制器”
8.服务器1安装AD域服务,设置为域控制器jiangsuskills.com,重启。
添加新林:jiangsuskills.com;
9.服务器2安装AD域服务,设置为子域cz.jsskill.com,重启。
服务器2加入域jsskill.com,安装AD,选择“将新域添加到现有林”,选择父域名jiangsuskills.com,输入子域名cz。
二、链路聚合(云主机1、云主机2)
云平台实例:连接接口,云主机1中以太网2的IP地址设为DHCP获取的地址。
服务器管理器—本地服务器—NIC组合启用—组:新建组
(注:截图后,删除组,NIC组合禁用,以太网禁用)
三、域用户管理(云主机1)
1.新建组织单元、全局安全组、用户
新建3个组织单位、3个全局安全组,使用命令新建90个用户,用户加入组。
设置用户相关属性(不能更改密码、登录时间)、移到相应组织单位。
新建adduser.ps1,并运行:
> for($a=101;$a -le 130;$a=$a+1){net user hr$a 2021NetW@rk /add}
> for($a=101;$a -le 130;$a=$a+1){net user tech$a 2021NetW@rk /add}
> for($a=101;$a -le 130;$a=$a+1){net user sale$a 2021NetW@rk /add}
2.配置用户密码策略
工具—组策略管理—Default domain Ploicy右键—编辑
计算机配置—策略—Windows设置—安全设置—账户策略:密码策略、账户锁定策略
3.配置组策略
C盘新建documents文件夹,设置共享(Everyone读取)。
组策略管理—Default domain Ploicy右键—编辑
用户配置—策略—Windows设置—文件夹重定向—文档右键—属性—设置:基本、根路径:\\dc\documents
组策略管理—sale右键—创建GPO—名称:sale1
sale1右键—编辑,计算机配置—策略—Windows设置—安全设置—本地策略—安全选项—交互式登录:消息标题、消息文本
> gpupdate /force
四、CA服务(云主机1、云主机2)
1.云主机1安装AD证书服务(证书颁发机构)
配置AD证书服务:证书颁发机构—企业CA—根CA—有效期5年
2.云主机2安装AD证书服务(证书颁发机构)
(注:配置AD证书服务在云主机1发布证书模板、云主机2申请证书后进行)
3.云主机1证书颁发机构
—证书模板—管理—从属证书颁发机构—复制模板
常规:有效期4年;扩展:“应用程序策略”添加服务器身份验证、客户端身份验证;安全:Domain Computers、Domain Controllers完全控制。
—证书模板—新建—要颁发的证书模板
Mmc添加证书管理单元(计算机帐户),个人—证书—申请新证书(新建的模板),证书属性—类型:公用名,值:subca-jsskills-ca(CN=subca-jsskills-ca)
4.云主机2配置AD证书服务
证书颁发机构—企业CA—从属CA—使用现有私钥—选择创建的证书
具体配置参考:从属证书配置中截图
五、DNS服务(云主机1)
(注:需完整完成正、反向解析区域,添加WWW主机对应云主机4的IP地址)
> dnscmd 172.19.10.179 /config /norecursion 1 //禁用DNS递归功能
(DNS—DC右键属性—高级—禁用递归)
DNS管理器中新建dnsn主机记录,jsskill右键—DNSSEC—对区域进行签名—使用默认设置对区域进行签名
DC右键—为所有区域设置老化/清理
六、磁盘管理、iSCSI存储部署(云主机2)
1.云主机2连接3个卷,新建跨区卷
安装重复数据删除(在文件和存储服务中),文件和存储服务—卷—E盘—配置重复数据删除
2.安装iSCSI目标服务器(在文件和存储服务中)、存储多路径(多路径I/O)
创建虚拟磁盘quorum、files:
服务器管理器—文件和存储服务—iSCSI—新建iSCSI虚拟磁盘
新建iSCSI目标—添加—查询发起程序计算机ID—www1、www2
七、DHCP、WDS服务(云主机3)
1.安装配置DHCP服务(DHCP需授权)
安装DHCP,按要求新建作用域,新建保留地址172.19.10.227(对应服务器3的MAC地址)
2.安装配置WDS服务
安装WDS,Windows部署服务—名称右键—配置服务器—响应所有客户端计算机
上传ISO镜像至云主机3,部署在D盘,分别添加启动和安装映像,启动服务。
属性—多播—从DHCP获取IP地址(此操作是否需要?)
八、WEB服务(云主机5)
1.添加安装三块网卡
2.安装多路径I/O、故障转移集群
工具—MPIO—发现多路径—勾选“添加对iSCSI设备的支持”—添加
工具—iSCSI发起程序—发现门户—目标已连接
磁盘管理—磁盘1(虚拟磁盘)分配盘符M、N,完成格式化
3.创建故障转移集群
4.安装文件服务器(在文件和存储服务中)
配置文件服务器角色
5.安装IIS,创建站点
Mmc添加证书管理单元(计算机帐户),个人—证书—申请新证书—输入证书必需信息,云主机1“证书颁发机构”中“颁发的证书”看到云主机4申请的证书。
创建www.jsskill.com站点,HTTPS,站点—日志。
九、PC1中虚拟机操作
1.配置连接安全规则(服务器2)
Windows防火墙—Windows Defender防火墙属性—IPSec设置—自定义
—秘钥交换:高级—自定义—添加—完整性算法SHA-256、加密算法AES-CBC 192
—身份验证方法:高级—自定义—添加—预共享秘钥skills2022(原有的删除)
新建连接安全规则—自定义—下列IP地址:加入服务器2、6的IP地址—入站和出站连接要求身份验证—高级:自定义—添加预共享秘钥skills2022—名称
4.配置RAID5卷,卷影副本(服务器1)
添加3块 5GSCSI 虚拟硬盘,虚拟磁盘联机,新建RAID-5卷,盘符为E。
E盘右键—配置卷影副本—设置:完成相应配置—启用,立即创建
5.域控制器信任(服务器1)
E:\option共享,everyone完全控制
服务器1和云主机1的DNS设置为对方的地址
AD域和信任关系—属性—信任:新建信任—域名、林信任、单向外传、此域和指定的域、选择性身份的权限,tech组option共享的权限为读取。
6.Core服务器配置(服务器3)
安装服务器3(core系统),通过云主机3的WDS服务进行网络引导和安装。
命令:sconfig
修改主机名、IP地址,加入域jiangsuskills.com
关闭防火墙:netsh advfirewall set allprofile state off
安装并启动DHCP服务:
install-windowsfeature dhcp
start|stop|get-service dhcpserver