[建筑设计] 邮政信息网互联网统一出口改造工程-准入控制终端PC部署手册.doc

1.PC机环境1）如是WINXP HOME版，需要重装系统。2）在系统的服务中关闭自动更新的服务。在运行里面输入“services.msc”进入系统服务A.进入系统盘，找到C:WINDOWSSoftwareDistribution路径，删除里面所有文件（如果不关闭自动更新服务该目录下的文件删除不干净。）B.删除文件后再次进入系统服务启动自动更新服务，服务启动后在C:WINDOWSSoftwareDistribution会生成新的文件。如果有些终端pc的自动更新服务无法启动，因为导致自动更新服务无法启动的因素很多，去解决这类故障比较浪费时间，建议重装PC操作系统。C.把终端PC的winodws自动更新关闭。右击我的电脑属性-选择自动更新 -勾选关闭自动更新-点击应用保存。 2）如没有重装新系统则卸载旧趋势（卸载密码nd_xxzx_client）。3）修改终端PC的DNS：修改网卡参数中主用DNS为所在地市域控制器IP地址63，备用DNS为（全省主用DNS服务器）。4）开启TCP/IP NetBIOS Helper服务在我的电脑（右键）管理服务中确认TCP/IP NetBIOS Helper服务是否开启，并改为自动启动。5）修改计算机名 按工程统一命名规则修改计算机名，并重启计算机。2.终端PC加入域：确认加域前基本配置正常后，右键单击 我的电脑属性计算机名 单击该选项卡中的更改并选择域，填写并单击确定，在弹出的对话框中输入管理员账号、密码（如nda和密码）。注意：此处请务必输入域管理员的账号密码，否则将导致错误并无法正常加入域。填写并单击确定。对话框中输入管理员账号密码。完成后将出现：依照系统提示重新启动计算机。3. 将域账号赋予本地管理员权限由于域账户对本地计算机没有超级管理员的权限故无法安装卸载软件，这样对办公人员操作计算机造成很大不便，所以先将域账户添加进入本地管理员组使其有管理员的权限。使用超级管理员账号登陆本地：单击“我的电脑”右键管理本地用户和组双击本机超级管理员用户，单击“添加”，出现如下页面：单击“高级”，出现页面后单击“立即查找”，在下拉框中选择姓名并点击确定。在弹出的登录框中输入管理员账号和密码（与添加域时的一致）。点击确认后完成添加。此时在用域账号进入终端PC就相当于本地超级网管员，能进行安装卸载软件等超级管理员所能做的操作。4.重启完后终端PC已经加入域了，在进入登陆页面时点击选项：出现“登陆到”，点击登录到的下拉菜单会出现两个选项一个登陆本地计算机，一个登陆域fjpost。选择选择登陆域fjpost，输入用户名（如nds-xxxx）和密码（初始密码与用户名一致），初次登陆强制修改密码。5.安装新趋势在ie中输入61:8080/officescan，按照提示进行安装。注意安装新趋势要在计算机名修改生效后进行且安装时要登陆域。6. PC终端相关软件安装与卸载本工程中强制要求加入认证的PC必须安装趋势防病毒软件，趋势防病毒软件的安装请参见相关手册；卸载本次工程中定义的黑名单软件如P2P软件、炒股软件等，EAD用户大类中VIP类用户对黑名单软件没有强制要求。1）安装iNode客户端。2）用户进行拔号认证接入安装完iNode客户端，按提示重启计算机，然后打开iNode客户端程序进行相应拔号设置，按提示进行，先输入资产编号后新建连接，特别注意以下几步：A 如下图所示，选择802.1x协议。B如下图所示，在选择连接类型时，请选择为“单点登录连接”方式。C如下图，账号信息中“用户名”和“密码”填入登陆时的账号加上后缀（如nds-xxxxFJPOST-DOMAIN）和密码， D如下图，连接属性按上图所示进行勾选，本例中策略执行器为华三设备，非华三设备时，此步配置应有所不同，具体待补充。E.客户端设置时最后应该注意的一点，如下图，点击选项栏中“操作”，选择“客户端配置选项”，勾选“启动单点登录功能”。设置好iNode客户端后，开启策略执行器连接PC终端接口上的802.1X功能，重启计算机验证AD、EAD统一认证接入。8.进行拨号测试，右击刚才创建的单点连接点击“连接”，当提示用户名密码认证通过时表明用户认证成功，接下去将进行准入的检查，例如：是否安装趋势并运行，是都开启P2P下载软件，以及补丁的检查。一系列检查通过后会提示安全检查合格可以访问网络。这边需要注意：补丁检查时，由于有些PC机原本可能有到微软的官方网站下载过补丁，所以此时默认补丁下载会去微软官方网站下载，但是由于没通过安全检查不能上互联网，所以去外网更新补丁是不会成功的，因为邮政有部署一台wsus补丁服务器，正常情况下应该去这台补丁服务器下载补丁。这时我们可以通过在dos窗口下输入netstat p tcp命令查看是否有与：http的链接（各地市有各自的wsus服务器所以链接地址是不一样的），如果有则正常，但是如果补丁检查合格是不会有该链接的。如果此时PC一直停留在补丁检查，可通过netstat p tcp命令查看时候PC是否尝试以外网链接下载补丁，如果出现是与外网的链接更新补丁会在补丁检查时停留一段时间，则可断开连接，在dos窗口下多次运行wuauclt.exe /depectnow命令，然后再次进行认证查看是否有与：http 链接。如果有则正常，没有则继续运行wuauclt.exe /depectnow命令，多次重复操作，直到补丁检查合格。如果打好补丁检查合格后，重启计算机进行一次认证的测试（也就是在登录系统的界面上输入一次