22-23windows答案

需要的可以私聊

域服务

任务描述：请采用域环境，管理企业网络资源。配置所有windows 主机 IP 地址和主机名称。
配置windows1 为 skills.lan 域控制器；安装 dns 服务，dns 正反向区域在active directory 中存储，负责该域的正反向域名解析。 配置windows2 为 skills.lan 辅助域控制器；安装dns 服务，dns 正反向区域在active directory 中存储，负责该域的正反向域名解析。把其他 windows 主机加入到 skills.lan 域。所有 windows 主机（含域控制器）用skills\Administrator 身份登陆。
在 windows1 上安装证书服务，为 windows 主机颁发证书，证书颁发 机构有效期为 10 年，证书颁发机构的公用名为 windows1.skills.lan。复制“计算机”证书模板，名称为“计算机副本”，申请并颁发一张供 windows 服务器使用的证书，证书友好名称为 pc，（将证书导入到需 要证书的 windows 服务器），证书信息：证书有效期=5 年，公用名
=skills.lan，国家=CN，省=Beijing，城市=Beijing，组织=skills，组织单位=system，使用者可选名称=*.skills.lan 和 skills.lan。浏览器访问https 网站时，不出现证书警告信息。

在 windows2 上安装从属证书服务， 证书颁发机构的公用名为

windows2.skills.lan。

在windows1 上新建名称为 manager、dev、sale 的 3 个组织单元；每个组织单元内新建与组织单元同名的全局安全组；每个组内新建 20个用户：行政部 manager00-manager19、开发部 dev00-dev19、营销部 sale00-sale19，不能修改其口令，密码永不过期。manager00 拥有域管理员权限。
组策略

任务描述：请采用组策略，实现软件、计算机和用户的策略设置。复制PowerShell-7.3.6-win-x64.msi 到windows1 的C:\soft。域中主机自动安装 powershell7（提示：如果部署不成功，则需要每台 windows 主机均手动安装，软件包在 U 盘 soft 目录。导出答案时使用pwsh(powershell7)，而不是powershell5。）
域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证”模板证书，该模板可用作“服务器身份验证”，有效期 5 年。
允许manager 组本地登录域控制器，允许 manager00 用户远程登录到域控制器；拒绝dev 组从网络访问域控制器。
登录时不显示上次登录，不显示用户名，无须按ctrl+alt+del。 登录计算机时， 在桌面新建名称为 vcsc 的快捷方式， 目标为 https://www.vcsc.org.cn，快捷键为ctrl+shift+f6。

为正在登录此计算机的所有用户设置漫游配置文件路径为 windows1

的C:\profiles，每个用户提供单独的配置文件文件夹。

文件共享

任务描述：请采用文件共享，实现共享资源的安全访问。

在windows1 的C 分区划分 2GB 的空间，创建 NTFS 主分区，驱动器号为 D；创建用户主目录共享文件夹：本地目录为 D:\share\home，共享名为home，允许所有域用户完全控制。在本目录下为所有用户添加一个以用户名命名的文件夹，该文件夹将设置为所有域用户的 home目录，用户登录计算机成功后，自动映射挂载到 h 卷。禁止用户在该共享文件中创建“*.exe”文件，文件组名和模板名为 my。
创建目录 D:\share\work ， 共享名为 work ， 仅 manager 组和 Administrator 组有完全控制的安全权限和共享权限，其他认证用户有读取执行的安全权限和共享权限。在 AD DS 中发布该共享。
DFS 服务

任务描述：请采用DFS，实现集中管理共享文件。

在 windows3-windows5 的 C 分区分别划分 2GB 的空间，创建 NTFS 主分区，驱动器号为D。
配置 windows3 为 DFS 服务器，命名空间为 dfsroot，文件夹为 pictures，存储在 D:\dfs，所有用户都具有读写权限；实现 windows4的D:\pics 和windows5 的D:\images 同步。

配置 windows4 的 dfs IPv4 使用 34567 端口；限制所有服务的 IPv4

动态rpc 端口从 10000 开始，共 2000 个端口号。

ASP 服务

任务描述：请采用IIS 搭建 web 服务，创建安全动态网站，。

把windows3 配置为ASP 网站，网站仅支持 dotnet clr v4.0，站点名称为 asp。
http 和https 绑定本机与外部通信的 IP 地址，仅允许使用域名访问

（使用“计算机副本”证书模板）。客户端访问时，必需有 ssl 证书

（浏览器证书模板为“管理员”）。

网站目录为 C:\iis\contents ， 默认文档 index.aspx 内容为

"HelloAspx"。

使用windows5 测试。

打印服务

任务描述：请采用共享打印服务，实现共享打印的安全性。

在 windows4 上安装打印机，驱动程序为“Ms Publisher Color Printer”，名称和共享名称均为“printer”；在域中发布共享；使用组策略部署在"Default Domain Policy"的计算机。
网站名称为 printer，http 和 https 绑定主机 IP 地址，仅允许使用域名访问，启用 hsts，实现 http 访问自动跳转到 https（使用“计算机副本”证书模板）。

用浏览器访问打印机虚拟目录 printers 时，启用匿名身份认证，匿名用户为manager00。
新建虚拟目录 dev，对应物理目录 C:\development，该虚拟目录启用 windows 身份验证，默认文档index.html 内容为"development"。
NLB 服务

任务描述：请采用NLB，实现负载平衡。 配置windows5 和 windows6 为NLB 服务器。
windows5 群集优先级为 5，windows6 群集优先级为 6，群集 IPv4 地址为 10.4.210.60/24，群集名称为 www.skills.lan，采用多播方式。配置 windows5 为 web 服务器，站点名称为 www，网站的最大连接数为 10000，网站连接超时为 60s，网站的带宽为 100Mbps。
共享网页文件、共享网站配置文件和网站日志文件分别存储到 windows1 的 D:\FilesWeb\Contents 、 D:\FilesWeb\Configs 和 D:\FilesWeb\Logs。网站主页index.html 内容为"HelloNLB"。
使用W3C 记录日志，每天创建一个新的日志文件，日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器端口号。网站仅绑定 https，IP 地址为群集地址，仅允许使用域名加密访问，使用“计算机副本”证书。
配置 windows6 为 web 服务器，要求采用共享 windows5 配置的方式，使用“计算机副本”证书。

iSCSI 服务

任务描述：请采用iSCSI，实现故障转移。

在 windows7 上安装 iSCSI 目标服务器，并新建 iSCSI 虚拟磁盘，存储位置为 C:\iscsi；虚拟磁盘名称分别为 Quorum 和 Files，磁盘大小为动态扩展，分别为 1GB 和 5GB，目标名称为 win，访问服务器为 windows8 和 windows9，实行 CHAP 双向认证，Target 认证用户名和密码分别为 IncomingUser 和 IncomingPass，Initiator 认证用户名和密码分别为 OutgoingUser 和 OutgoingPass。目标 iqn 名称为 iqn.2008-01.lan.skills:server，使用 IP 地址建立目标。发起程序 iqn 名称分别为 iqn.2008-01.lan.skills:client1 和 iqn.2008- 01.lan.skills:client2。
在 windows8 和 windows9 上安装多路径 I/O ， 10.4.210.0 和

10.4.211.0 网络为MPIO 网络，连接windows7 的虚拟磁盘 Quorum 和 Files，初始化为 GPT 分区表，创建 NTFS 主分区，驱动器号分别为 M和N。
配置 windows8 和 windows9 为故障转移群集；10.4.212.0 网络为心跳网络。
在windows8 上创建名称为cluster 的群集，其IP 地址为10.4.210.70。在windows9 上配置文件服务器角色，名称为 clusterfiles，其 IP 地 址为 10.4.210.80。为 clusterFiles 添加共享文件夹，共享协议采用

“SMB”，共享名称为 clustershare，存储位置为 N:\share，NTFS 权限为仅域管理员和本地管理员组具有完全控制权限，域其他用户具有修改权限；共享权限为仅域管理员具有完全控制权限，域其他用户具有更改权限。