测试项目 - 样题
全国第二届职业技能大赛
网络系统管理项目
模块B-Windows环境
《测试项目》简介
以下是所有《测试项目》提案中必须包含的章节或信息清单。
- 目录,包括组成《测试项目》的所有文件、图纸和照片的清单
- 介绍/概述
- 项目和任务的简短描述
- 项目要求
- 完成《测试项目》所需的设备、机械、装置和材料
介绍
此《测试项目》由以下文档/文件组成:
- 模块B-Windows-样题.docx
- WSCALLUsers.xlsx
准确和最新的文档一直是信息技术的挑战。由于在同一系统有很多工程师一起工作,这就使追踪是谁改变了什么内容变得很困难。Applix 公司决定处理这个问题,并雇佣你来对他们的基础设施进行现代化改造,强化和拓展。
WSCALLUsers.xlsx默认是无法直接导入的,有一些故障是需要选手进行修正的,这作为考核点之一。
sconfig应被禁用在所有的机器上。
项目和任务的描述
除了CLOUD-S1与CLOUD-S2没有安装,其他的VM都已完成了安装,注意安装CLOUD-S1与CLOUD-S2时候不要安装了错误的操作系统,若安装错误的操作系统,涉及CLOUD-S1与CLOUD-S2所有部分都不得分。
登录所有虚拟机和设备:
Windows用户名 : Administrator / skills
密码: Skills39.
选手须知
HQ-Domain Area
- HQ-DC
- 按照题目拓扑图、网络表更改基本的信息。
- 安装域控制器在HQ-DC,域名为WSC2023TJ.CN,本机不提供任何的 DNS 查询解析服务;
- 从WSCALLUsers.xlsx文件导入WSC2023GD表。
- 与wsc2025SH.China域建立信任关系,WSC2023TJ.CN的资源能够被wsc2025SH.China的用户使用。
- 配置所有用户主目录与Profile。
- 创建search.wsc2023tj.cn网站,通过用户证书验证,可以提供查询其他用户的联系方式以及邮箱,访问方法为search.wsc2023tj.cn/%username%,并将该连接显示在用户的web page栏。
- 安装证书颁发机构。
- 承担这个拓扑中唯一的企业证书颁发机构。
- 创建需要使用的证书模版。
- 自动颁发计算机证书和用户证书。
- 配置CA,用于WSC2023TJ.CN与WSC2025SH.China,WSC2025SH.China允许向WSC2023TJ.CN注册证书(MMC)。
- 设定每天23:00自动备份数据库到ftp://HQ-DC/CAbackup目录,或者访问https://management.wsc2023tj.cn/CAbackup站点,触发备份。
- 设定证书颁发机构数据备份,当 CA 服务器出现故障时,能够从备份数据中进行恢复,而不需要用户重新进行证书申请操作。
- 配置集中式审计策略收集访问日志,以便进行安全审计和合规性检查。
- 身份鉴别,根据行业要求提供合规的身份鉴别机制。
- 访问控制,防止远程或匿名访问注册表、共享文件夹、命名管道、账户。
- 入侵防范,服务器默认为阻止所有连接,仅允许必要访问。
- 用户启用桌面环境副本,在登录成功后对桌面环境的更改在注销后自动恢复为默认值,移除回收站图表,统一添加IE浏览器快捷方式在桌面。
- 设定HQ和BR中的客户端默认仅只能访问HQ-DC,受入侵防范限制可访问network.wsc2023tj.cn解除网络限制。
- 配置文档加密功能在WSC2023TJ.CN,用户可以通过使用Office系列软件将文档进行加密与授予相关用户权限使用,文档一旦离开WSC2023TJ.CN域将无法打开。
- 搭建NPS服务提供给HQ-EDGE作为VPN用户登录验证。仅允许SSTP VPN进行VPN连接访问验证,认证、授权日志将存储到HQ-DC上的“D:\NPS\”目录下。
- HQ-SRV1 & HQ-SRV2
- 按照题目拓扑图、网络表更改基本的信息。
- 增加创建NTFS文件系统的磁盘阵列容量为200GB作为D盘,并在此卷上启用重复数据删除功能。
- HQ-SRV1 & HQ-SRV2文件共享为DFS复制,以防文件丢失。
- 配置用户主文件夹,路径为\\wsc2023TJ.cn\share\home$\%username%,将其映射到相应用户的Z盘。
- 配置用户配置文件漫游,路径为\\wsc2023TJ.cn\share\Profile$\%username%。
- 配置组文件夹,路径为\\wsc2023TJ.cn\share\dept\%groupname%,将其映射到相应组的G盘。
- 限制每个用户仅允许使用5G大小空间,并且不允许存储任何的exe、bat、ps1文件。
- 每天24:00,将所有以“project”开头的txt文档进行转移,转移到D:\myproject 文件夹内,并且产生报告文档,公布到http://group-report.worldskills.wsc中,报告每天24:00自动更新,证书来自HQ-DC。
- 每天24: 00,将所有用户的配置文件备份到D:/backupluser-profile里,并且记录到https://backup-report.worldskills.wsc中,管理员可以通过访问https://backup-report.worldskills.wsc查看备份时间其它用户无法访问该站点,证书来自HQ-DC。
- 配置 FTP 服务器,实现用户隔离,目录为 D:\ftp,并在目录下创建各自以用户名命名的文件,配置SSL/TLS以实现FTP安全连接,域名为FTP.wsc2023tj.cn。
- 对 FTP 文件夹中所有内容应进行备份,实行异地灾备方案,在遇到灾难时可恢复至 4 小时以内状态,所有备份文件存于服务器 D:\backupftp 目录。
- 安装DNS服务器为HQ-Domain Area提供必要解析。
- HQ-SRV1为主,HQ-SRV2为辅,该DNS服务器担任着整个AD域的所有解析服务。
- 创建一个反向查找区域,为所有服务器创建PTR记录。
- 配置DNSSEC(域名系统安全扩展)以提高DNS查询的安全性。这将使用非对称加密技术保护。
- 配置DHCP服务,提供动态地址分发。
- 设置HQ-SRV1为主服务器。
- 根据拓扑配置DHCP地址池,将范围的70%给HQ-SRV1,其余的给HQ-SRV2。
- 配置故障切换为双机热备。
- 结合网络访问保护(NAP)以增加网络访问的安全性
- 配置DNS服务,当DHCP服务停止时,自动停止DNS服务,并且给当前正在登录的Administrator@wsc2023TJ.cn和administrator@WSC2025SH.China弹出一个html页面,页面显示为“The current DHCP service and DNS service have been stopped. Please check and fix it quickly”。
- 监测DHCP运行状况,当DHCP运行停止时,系统将自动重新尝试启动DHCP,并且将发送一条记录到https://dhcpmon.wsc2023tj.cn网站,当尝试启动 DHCP服务成功时,再发送一条记录到https://dhcpmon.wsc2023tj.cn。
- HQ-EDGE
- HQ-EDGE建立S2SVPN,应能自动建立SA。
- VPN域名为%hostname%.wsc2025.cn,配置流量分离。
- S2SVPN进传输必要流量其他都不允许通过该隧道传输。
- 配置VPN仅允许Secure Socket Tunneling Protocol,设定所有BR-DC用户都能拨入,仅为用户启用EAP-TLS身份验证。
- 配置RDS服务,在HQ-SERVER1,HQ-SERVER2,客户系统连接RDS的名称为hq-rds.wsc2025tj.cn:
- 发布资源有powershell、cmd、regedit。
- HQ-SERVER1与HQ-SERVER2作为资源服务器,启用资源负载均街。
- 客户端信任HQ-SERVER1与HQ-SERVER2作为资源发布者,并且启用SS0功能。
- 将资源直接发布wsc2025sh.china到所有用户的开始菜单。
- 将powershell发布到管理员组的用户桌面。
- HQ-EDGE建立S2SVPN,应能自动建立SA。
Router Area
- ISP-Router
- 启用路由,使区域间能够相互通信。
- 配置NCSI服务,用于所有区域的windows机器包括客户端。
- 配置NTP服务器,允许HQ和BR客户端同步时间,启用非对称式加密,证书来自HQ-DC。
- 配置ISCSI虚拟磁盘500GB,允许HQ区域进行连接,启用multiple chap。
- 设定ISCSI的连接安全功能,启用IPSec Over Pre-Share-Key技术,并且加入FPS机制,提供给HQ-DC作为D盘。
- IN-SRV1
- 部署域名为WSC2023.global域同步HQ-Domain area 区域用户。
- 部署WDS实现为CLOUD区域实现无人值守Server Core系统。
- 设定每天24:00自动与ISP-ROUTER同步时间,必须启用非对称加密。
- 启用webdav功能,配置信息如下:
- 创建站点ftp.wsc2023.global,启用SSL技术,所有在HOME-CLT登录的wsc2025SH.CHINA 域用户都自动挂载webdav到Z盘。
- 限制WEBDAV站点的CPU使用率不允许超过10%。
- IN-SRV2
- 使用bitlocker加密该卷的内容。将Bitlocker恢复密钥保存到MGMT上的 C:\bitkey\。使用密码“Skills39”进行bitlocker加密;
- 设定NFS服务,连接HQ-DC的ISCSI进行NFS的建立,ISCSI流量通过S2S进行传输:
- NFS名称:ISP_NFS。
- 仅允许管理员写入,允许所有用户访问。
- 设定BR-CLT作为NFS客户端,任何用户登录都将NFS映射到N盘。
- 配置ADLDS服务,同步wsc2023TJ.CN所有用户对象,域名为ISP.cloud,端口号使用389,每天24:00将从wsc2023TJ.CN域数据库更新对象。
- CLOUD-S1 & CLOUD-S2
- 将CLOUD-S1与CLOUD-S1加入WSC2023TJ.global。
- 配置Hyper-V HA在IN-SRV1和IN-SRV2 ,将虚拟机存储到ISP-Router上。
- 搭建IIS分别为在两台机器上创建%hostname%.wsc2025.global,内容为“WSC2023TJ %fqdn% !”
BR-Domain Area
- BR-EDGE
- BR-EDGE建立S2SVPN,应能自动建立SA;VPN域名为%hostname%.WSC2025.CN,配置流量分离,S2SVPN进传输必要流量其他都不允许通过该隧道传输。
- 配置Powershell远程访问,使用户能够在BR-CLT使用ssh命令进行管理,并且启用非对称式加密,证书来自HQ-DC.wsc2023TJ.CN的用户们也可以通过ssh进行远程管理此机器。(命令样式: ssh br-edge.wsc2025sh.china )
- 配置WSUS服务用于wsc2025sh.china:
- 将计算机进行分类,分别为server,clt。
- 域内机器自动识别加入相对应的组,补丁存放路径为:C:\WSuS-UpdateSoft。
- WSUS服务正常工作在域内所有机器。
- 配置VPN服务,使用IKEV2协议,证书来自HQ-DC,VPN连接名称为vpn.wsc2025sh.china,连接VPN时,需要用户提供用户证书,否则将连接失败,仅允许管理员用户进行连接VPN。
- 当有用户连接VPN时,自动写入一条记录到 http://vpn-c.wsc2025sh.china,并且仅当wsc2025sh.china的administrator在线时,站点才能够访问,当administrator下线,站点将无法访问,当administrator登录时,站点将自动弹出给administrator。
- BR-DC
- 将BR-DC提升为wsc2025sh.cn的域控制器,并且将BR-Domain Area设置为上海站(SH_Site)。
- 取消wsc2025.cn缓存登录功能。
- 设计跨林身份验证和资源访问,在两个AD林之间配置信任关系,实现跨林身份验证,设置跨林的权限管理,使WSC2025SH.china能够访问WSC2023TJ.CN的资源。
- 配置DA服务:
- DA连接名称为connect.wsc2025sh.china。
- DA客户端为BR-CLT1。
- NLS Server为 BR-DC。
- EFS加密文件
- 使用EFS加密方式加密DFS服务上的所有文件。
- 加密证书通过组策略下发到所有域用户组策略配置文件中。
- 文件离开域环境无法打开。
- 加密证书导入导出密码为:Skills46。
- 证书备份路径为:\DFSsharedir\backup。
- 全局用户采用一个证书加密方式加密文件。
- 不额外对每个部门的文件进行区分。
- 配置FTP服务,启用隔离功能。BR-CLT和 HQ-CLT作为客户端,使wsc2025sh.china能够登录并且使用FTP,在登录使用FTP时不需要提供域名后缀,若使用匿名登录FTP,匿名写入的所属文件依然隶属于wsc2025sh.china,FTP连接地址为ftp-server.wsc2025sh.china,对FTP的验证过程启用对称式加密,不加密无法进行连接。
客户端 HQ-CLT1、HQ-CLT2、BR-CLT1、MGMT
-
- 按照题目拓扑图、网络表更改基本的信息。
- 确保所有客户端不睡眠。
- 部分功能点评分将在客户端进行
所需的设备、机械、装置和材料
网络表
| 主机名 | IP地址/子网掩码 | 系统版本 | 区域 |
| ISP-ROUTER | 196.151.32.254/25 130.102.1.1/26 130.103.1.1/27 196.151.32.1/25 | Windows Server 2022 DC Core | Router Area |
| IN-SRV1 | 130.102.1.2/26 | Windows Server 2022 DC Core | |
| IN-SRV2 | 130.102.1.3/26 | Windows Server 2022 DC Core | |
| MGMT | 130.102.1.4/26 | Windows 10 Enterprise | |
| CLOUD-S1 | 130.103.1.2/27 | Windows Server 2022 DC Core | |
| CLOUD-S2 | 130.103.1.3/27 | Windows Server 2022 DC Core | |
| HQ-EDGE | 196.151.32.100/25 10.0.10.254/24 | Windows Server 2022 DC Core | HQ-Domain Area |
| HQ-DC | 10.0.10.10/24 | Windows Server 2022 DC GUI | |
| HQ-CLT1 | DHCP(10.0.10.201/24) | Windows 10 Enterprise | |
| HQ-CLT2 | DHCP(10.0.10.202/24) | Windows 10 Enterprise | |
| HQ-SRV1 | 10.0.10.100/24 | Windows Server 2022 DC Core | |
| HQ-SRV2 | 10.0.10.101/24 | Windows Server 2022 DC Core | |
| BR-EDGE | 196.151.32.200/25 10.1.10.254/24 | Windows Server 2022 DC Core | BR-Domain Area |
| BR-DC | 10.1.10.10/24 | Windows Server 2022 DC Core | |
| BR-CLT1 | DHCP(10.1.10.201/24) | Windows 10 Enterprise |
网络拓扑图

598

被折叠的 条评论
为什么被折叠?



