有需要看的,私信一下,图片没上传上来
先做DC目录域
克隆服务器
使用VMware创建多台虚拟机,
可以使用克隆,比较快。但是使用一台Windows server克隆多台windows server时,需要重置SID号,否则会因为SID影响域的设置。
重置SID
新建一台Windows server为模板机,安装完系统后重置它的SID
cmd -> whoami /all |more # 查看系统的SID
cmd -> sysprep
关机后就不要再打开了,此后以此机器为模板机,进行克隆操作。 开启虚拟机,需要我们重新设置管理员密码
(四)服务器DCServer&SDCServer 上的工作任务
!!!先做DC活动目录域
1、DCServer上的工作任务
- 在 DCServer 和 SDCServer 服务器上安装活动目录域服务,并且提升 该操作系统为域控制器;
- 活动目录域名为:chinaskills.com;
- 域用户能够使用[username]@csk.cn 进行登录;
- 创建一个名为“CSK”的 OU,并新建以下域用户和组:
- sa01-sa20,请将该用户添加到 sales 用户组;
- ma01-ma10,请将该用户添加到 manager 用户组;
- 除 manager 组以外的所有用户隐藏 C 盘;
- 除 manager 组以外的所有普通用户禁止使用 cmd。
- 为 sales 组用户启用桌面副本,用户登录成功后对桌面环境的更改在 注销之后自动恢复为默认值;
- 禁止通过 ctrl + alt + del 调用任务管理器;
- 禁止更改主题;
- 禁用可移动磁盘的执行权限;
- 域内的所有计算机(除 dc 外),当 dc 服务器不可用时,禁止使用缓 存登录;
- 现内网有 site-A 和 site-B 站点,搭建 AD 域站点服务,使得内网Insidecli 访问优先走 site-A 站点,
- 外网客户机通过 VPN 访问内网优先走 site-B 站点。
网卡配置
Win + R,ncpa.cpl
1、活动目录域服务
PS C:\Users\Administrator> Get-ADDomainController
PS C:\Users\Administrator> systeminfo
一、创建UPN后缀(登录域名)
二、创建组织单元,批量建立域用户并加入组
Win + R,dsa.msc
命令行创建
# 创建OU dsadd ou ou=CSK,dc=chinaskills,dc=com
图形化界面创建
第一种创建用户写法,自己学习使用,步骤被拆开了 # 创建sa用户 for /l %a in (1,1,9) do net user sa0%a ChinaSkill@ /add for /l %a in (10,1,20) do net user sa%a ChinaSkill@ /add for /l %a in (1,1,9) do net group sales sa0%a /add for /l %a in (10,1,20) do net group sales sa%a /add # 创建ma用户 for /l %a in (1,1,9) do net user ma0%a ChinaSkill@ /add net user ma10 ChinaSkill@ /add for /l %a in (1,1,9) do net group manager ma0%a /add net group manager ma10 /add # 为了更好的针对不同组实施相应的组策略,在CSK下创建两个OU(manager,sales),将用户和组加入到相应的OU中 dsadd ou ou=manager,ou=CSK,dc=chinaskills,dc=com dsadd ou ou=sales,ou=CSK,dc=chinaskills,dc=com
第二种创建用户写法,快速得分,一步到位 # 批量创建域用户及加入相应的域组 C:\Users\Administrator>for /l %a in (1,1,9) do dsadd user "cn=sa0%a,ou=sales,ou=CSK,dc=chinaskills,dc=com" -pwd ChinaSkill@ -memberof "cn=sales,ou=sales,ou=CSK,dc=chinaskills,dc=com" -upn sa0%a@csk.cn C:\Users\Administrator>for /l %a in (10,1,20) do dsadd user "cn=sa%a,ou=sales,ou=CSK,dc=chinaskills,dc=com" -pwd ChinaSkill@ -memberof "cn=sales,ou=sales,ou=CSK,dc=chinaskills,dc=com" -upn sa%a@csk.cn C:\Users\Administrator>for /l %a in (1,1,9) do dsadd user "cn=ma0%a,ou=manager,ou=CSK,dc=chinaskills,dc=com" -pwd ChinaSkill@ -memberof "cn=manager,ou=manager,ou=CSK,dc=chinaskills,dc=com" -upn ma0%a@csk.cn C:\Users\Administrator>dsadd user "cn=ma10,ou=manager,ou=CSK,dc=chinaskills,dc=com" -pwd ChinaSkill@ -memberof "cn=manager,ou=manager,ou=CSK,dc=chinaskills,dc=com" -upn ma10@csk.cn
三、除 manager 组以外的所有用户隐藏 C 盘
cmd -> gpmc.msc # 打开组策略
记住路径“用户配置-策略-管理模板-Windows组件-文件资源管理器-隐藏我的电脑中的这些指定的驱动器”
四、除manager组以外的所有普通用户禁用cmd
记住路径“用户配置-策略-管理模板-系统-阻止访问命令提示符”
五、为sales组启用桌面副本,退出不保存
记住路径“用户配置-策略-管理模板-桌面-退出时不保存”
六、禁止调用任务管理器
注意是在Default Domain Policies中
记住路径“用户配置-策略-管理模板-系统-Ctrl+Alt+Del选项-删除任务管理器”
七、禁止更改主题
注意是在Default Domain Policies中
记住路径“用户配置-策略-管理模板-控制面板-个性化-阻止更改主题”
InsideCli客户端测试
八、禁止可移动磁盘的执行权限
记住路径“计算机配置-策略-管理模板-系统-可移动存储访问-可移动磁盘拒绝执行权限”
九、禁止使用缓存登录
记住路径“计算机配置-策略-Windows设置-安全设置-本地策略-安全选项-交互式登录:之前登录到缓存的次数”
DCServer服务器配置
Win + R C:\Users\Administrator>gpupdate /force 正在更新策略... 计算机策略更新成功完成。 用户策略更新成功完成。
InsideCli客户端测试
十、搭建AD域站点服务
现内网有site-A 和 site-B站点,搭建AD域站点服务,使得内网InsideCli访问优先走site-A站点,外网客户机通过VPN访问内网优先走site-B站点
2、证书颁发机构
- 在 DCServer 服务器上安装证书颁发机构;
- 定义名称:CSK2022-ROOTCA;
- 证书颁发机构有效期:3 years;
- 为 chinaskills.com 域内的 web 站点颁发 web 证书;
- 当前拓扑内所有机器必须信任该证书颁发机构;
- 域内所有计算机自动颁发一张计算机证书。
一、安装及创建根证书
Win + R,certlm.msc
Win + R,gpmc.msc
二、为chinaskills.com域内的web站点颁发web证书
先在AppSrv上安装IIS服务
颁发VPN证书
颁发证书模板
三、当前拓扑内的所有机器必须信任该证书颁发机构
所有加入该域的主机都会信任此证书颁发机构,直接检查就行
win + r mmc
四、为域内计算机自动颁发一张计算机证书
Win + R,certsrv.msc
这四个给全部权限,不一一展示
再添加一个Everyone用户也给予全部权限
如果域内的计算机没有自动颁发计算机证书,请检查routersrv的路由转发功能是否开启,开启后再gpupdate更新策略,域控制的证书比较难颁发,还需要重启
win + r certsrv.msc
4、DNS
- 拓扑中所有主机的 DNS 查询请求都应由 IspSrv 进行解析;
- 配置 DNS 安全策略,限制 DNS 查询请求每秒只允许 10 个查询
在加入域的时候就已经生成了,需要手动创建反向解析区域
一、添加必要的正反向解析区域
反向解析区域、图形化界面创建
命令行创建
# 创建反向解析文件 dnscmd /zoneadd 0.168.192.in-addr.arpa /primary /file 0.168.192.in-addr.arpa dnscmd /zoneadd 100.168.192.in-addr.arpa /primary /file 100.168.192.in-addr.arpa dnscmd /zoneadd 200.168.192.in-addr.arpa /primary /file 200.168.192.in-addr.arap
正向解析、图形化界面创建
命令行创建
# 创建正向解析 dnscmd /recordadd chinaskills.com routersrv /createptr A 192.168.0.254 dnscmd /recordadd chinaskills.com routersrv /createptr A 192.168.200.254 dnscmd /recordadd chinaskills.com routersrv /createptr A 100.100.100.251
正向解析最终结果
剩下的反向解析只需在正向解析中更新PTR即可,若已经勾选,先取消再勾选
反向解析最终结果
二、配置所有DNS查询请求由ispsrv解析
- 在ispsrv中配置dns的一条解析 ispsrv.chinaskills.global,先安装dns正向和反向都配置 Ispsrv.chinaskills.global
ispsrvDNS服务器配置
删除原来的
测试
三、DNS安全策略
限制DNS查询请求每秒只允许10个查询
Set-DnsServerResponseRateLimiting -ResponsesPerSec 10 确认 这将会更新服务器 DCSERVER 上的 RRL 设置。是否继续? [Y] 是(Y) [N] 否(N) [S] 暂停(S) [?] 帮助 (默认值为“Y”): PS C:\Users\Administrator> Get-DnsServerResponseRateLimiting ResponsesPerSec : 10 <<<改为每秒限制10次查询请求 ErrorsPerSec : 5 WindowInSec : 5 IPv4PrefixLength : 24 IPv6PrefixLength : 56 LeakRate : 3 TruncateRate : 2 MaximumResponsesPerWindow : 1024 Mode : Disable
3、NPS
- 在DCServer上安装网络策略服务作为 VPN 用户登录验证;
- 仅允许 L2TP/IPSEC VPN 进行 VPN 连接访问验证;
- 认证、授权日志将存储到 DCServer 上的“C:\NPS\”目录下
一、安装NPS(网络策略服务)
二、新建RADIUS客户端
三、新建连接请求策略
L2TP-VPN
L2TP-VPN
L2TP-VPN验证
四、新建网络策略
L2TP-VPN
L2TP-VPN
五、认证、授权日志
日志到达10M后分片存储
2、SDCServer上的工作任务
0、基础配置
关闭防火墙,设置为永不休眠,不然老是黑屏,每次都得输入用户密码
Win + R,firewall.cpl
网卡配置
Win + R,ncpa.cpl
1、备份域控制器
- 在 DCServer 和 SDCServer 服务器上安装活动目录域服务,并且提升 该操作系统为备份域控制器;
- 活动目录域名为:chinaskills.com;
一、首先先加入活动目录域
首先能ping通主域控(DC),然后DNS指向主域控
加入域
Win + R,sysdm.cpl
shutdown -r -t 0
二、安装活动目录域服务
三、提升为备份域控制器
5、磁盘管理
- 在 SDCServer 上安装及配置软 RAID5;
- 在安装好的 SDCServer 虚拟机中添加三块 10G 虚拟磁盘;
- 组成 RAID5,磁盘分区命名为卷标H盘: Raid5。禁用 raid5 的写入缓存;
- 手动测试破坏一块磁盘,做 RAID 磁盘修复,确认 RAID5 配置完毕
一、添加磁盘
二、初始化磁盘
三、组成软Raid5
四、禁止Raid5的写入缓存
五、模拟Raid5磁盘修复
模拟磁盘修复: 将一块RAID5盘脱机,再联机,重新激活磁盘
6、虚拟内存
- 在 SDCServer 上设置虚拟内存初始大小为 600MB,最大为 1200MB。
Win + R,sysdm.cpl
不需要重启,解决截屏
7、AD域备份
配置 AD 域备份,备份文件存储到 C:\