09级网络操作系统实训教学计划.doc

网络操作系统实训计划 一、目的本实训环节目的在于通过对网络操作系统的工作原理、体系结构、关键技术、典型应用的讲解，帮助学员建立起网络操作系统的整体概念，使学员掌握目前在企业网络环境中广泛使用的Windows 2003 Server Enterprise的安装和配置、实际应用、系统管理及网络管理的基本技能。 二、内容1. 在Internet上创建自己的网站(申请免费域名空间、将所创建的网页发布到互联网上并用域名访问) 2. 证书服务 3. 虚拟专用网络4. IIS(FTP站点、WEB站点)5. 利用IPSEC配置网络安全6. 虚拟终端服务7. 活动目录建立域的信任关系 三、要求1 掌握证书的发放2. 将自己的简历以网站的形式发布到互联网上并用申请的域名访问3. 了解Windows 2003中的虚拟终端服务并会配置4 掌握利用IPSEC配置网络安全5 了解虚拟专用网络配置6 掌握FTP站点WEB站点的配置7 掌握如何建立域的信任关系 四、安排 时间内容12.27网页制作，申请免费域名空间12.28虚拟专用网络, 虚拟终端服务, 利用IPSEC配置网络安全12.39证书服务, IIS(FTP站点、WEB站点)12.30掌握如何建立域的信任关系12.31完成实训报告，检查网页具体安排如下表: 五、指导教师 徐涛、曹越 六、地点 3408 七、时间安排: 2010 12 27-12 31 任务书 实训题目1：终端服务实验目的：1、掌握终端服务的客户端与服务器端的配置,并会运用终端服务实现远程管理实验内容：一、按照远程管理模式添加“终端服务”。1. 以Administrator登录2. 在控制面板中，双击“添加/删除程序”3. 在“添加/删除程序”中，单击“添加/删除Windows 组件”4. 在“Windows 组件”页中，选择“终端服务”复选框，然后单击“下一步”按钮。5. 在“建立终端服务”页上，确认选中了“远程管理模式”，然后单击“下一步”按钮。6. 当完成配置过程中，单击“完成”按钮。7. 在“修改系统设置”对话框中，单击“是”重新启动你的计算机。二、从C:winntsystem32clientstsclient文件夹安装“终端服务”客户机软件。1 单击“开始”，然后单击“运行”2 在“打开框中，键入C:winntsystem32clientstsclientnetwin32setup.exe 然后单击”确定“按钮。3 在“安装终端服务客户机对话框中，单击“继续”。4 在“名称和机构”对话框中，输入你的名称和机构名称。5 在“确认名称和机构信息”对话框中，确认这些信息是正确的，然后单击“确定”按钮。6 在“许可证协议“对话框中，复查许可证协议，然后单击“我同意”按钮。7 在“安装终端服务客户机”对话框中，单击大按钮。8 在“安装终端服务客户机”对话框中，单击“是”按钮，用以将相同的配置应用于所有用户。9 在“安装终端服务客户”拷贝了所有需要的文件之后，单击“确定”按钮，用以关闭“安装终端服客户机”消息框。在开始下面的过程之前，确认你的伙伴计算机已经完成了前面的过程。1 单击“开始”，指向“程序”，指向“终端服务客户”，然后单击“终端服务客户机”。2 在“终端服务客户机”对话框中，在“服务器”框中，键入你的伙伴的计算机的名字。3 在“屏幕区域”框中，确认选中的是640*4804 确认选中了“启用数据压缩功能”复选框，选择“将位图高速缓存到磁盘”复选框，然后单击“连接”实训题目2：安装和配置证书服务实验实验目的：1、 安装一个独立存在的CA2、 从某个CA请求一个证书3、 发放证书实验内容：一、安装和设置证书服务证书授权服务器是Windows2000Server的一个附件，它放在Windows2000Server的安装盘上。它可让你为建立和管理X509版本3的数字证书创建一个自定制的服务以作证书之用。你可以为Internet或者公司的内部网创建服务器证书，从而可让你的组织完全控制它自己的证书管理策略它包含了一个向导来设置安装。要注意的是：你将需要在安装的时候提供精确的信息。在安装证书服务前先查看一下需要的信息。要使用常用的设置选项来安装证书授权服务器附件，你可以使用以下的步骤：1. 将Windows2000ServerCD-ROM放入光驱，然后选择InstallAdd-onComponents2. Windows组件向导将会提示你选择安装哪些组件。选择证书服务的选择框。你将会马上看到一个对话框，提示你一旦安装证书服务，该计算机将不能重命名，也不能加入或者由一个域中移走。在选择YES来继续前，你应该考虑一下以下几点：由于在安装证书服务后，除非你重新安装Windows2000，否则你将不能修改计算机的名字，因此你需要确保你对当前的名字感到满意，或者在继续前先换一个名字。在继续前你要确保计算机加入到适当的域中3. 接着，在Windows组件向导中选择证书授权类型，有四种类型： EnterpriserootCA EnterprisesubordinateCA Stand-alonerootCA Stand-alonesubordinateCA4. 一个网络上的第一个CA必须是一个rootCA。要创建一个EnterpriseCA，必须允许ActiveDirectory。一个Stand-aloneCA并不需要ActiveDirectory。在你的局域网中可选择Stand-aloneCA来实现证书服务。 证书授权服务不但定义证书服务功能如何在你的服务器上运作，还定义了你将需要如何来管理它。5. 在Windows组件向导中选择CAIdentifyingInformation。输入适当的数据然后继续安装。6. 在Windows组件向导中选择DataStorageLocation。我建议使用默认的位置就可以了。按Next继续。7. 如果你已经在你的计算机上安装并运行InternetInformationServices，按Yes继续。微软的证书服务将会提示你在继续安装前，必须停止InternetInformationServices。8. Windows组件向导将会设置组件，并且将文件拷贝到你的机器上。你可以通过安装进度条来监视安装的过程。9. 当Windows组件向导提示你已经完成配置所选的组件时，按Finish。二、如何在 Web 服务器上设置 SSL目标是： 获取 SSL 证书。 在 IIS 服务器上安装 SSL 证书。 配置虚拟目录以要求 SSL。摘要:安全套接字层 (SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道。它也可以在客户端应用程序和 Web 服务之间使用。为支持 SSL 通信，必须为 Web 服务器配置 SSL 证书。本章介绍如何获取 SSL 证书，以及如何配置 Microsoft Internet 信息服务 (IIS)，以便支持 Web 浏览器和其他客户端应用程序之间使用 SSL 安全地进行通信。生成证书申请此过程创建一个新的证书申请，此申请可发送到证书颁发机构 (CA) 进行处理。如果成功，CA 将给您发回一个包含有效证书的文件。 生成证书申请1.启动 IIS Microsoft 管理控制台 (MMC) 管理单元。2.展开 Web 服务器名，选择要安装证书的 Web 站点。3.右键单击该 Web 站点，然后单击“属性”。4.单击“目录安全性”选项卡。5.单击“安全通信”中的“服务器证书”按钮，启动 Web 服务器证书向导。注意：如果“服务器证书”不可用，可能是因为您选择了虚拟目录、目录或文件。返回第 2 步，选择 Web 站点。6.单击“下一步”跳过欢迎对话框。7.单击“创建一个新证书”，然后单击“下一步”。8.该对话框有以下两个选项： “现在准备申请，但稍后发送”该选项总是可用的。 “立即将申请发送到在线证书颁发机构”仅当 Web 服务器可以在配置为颁发 Web 服务器证书的 Windows 2000 域中访问一个或多个 Microsoft 证书服务器时，该选项才可用。在后面的申请过程中，您有机会从列表中选择将申请发送到的颁发机构。单击“现在准备申请，但稍后发送”，然后单击“下一步”。9.在“名称”字段中键入证书的描述性名称，在“位长”字段中键入密钥的位长，然后单击“下一步”。向导使用当前 Web 站点名称作为默认名称。它不在证书中使用，但作为友好名称以助于管理员识别。10.在“组织”字段中键入组织名称（例如 Contoso），在“组织单位”字段中键入组织单位（例如“销售部”），然后单击“下一步”。 注意：这些信息将放在证书申请中，因此应确保它的正确性。CA 将验证这些信息并将其放在证书中。浏览您的 Web 站点的用户需要查看这些信息，以便决定他们是否接受证书。11.在“公用名”字段中，键入您的站点的公用名，然后单击“下一步”。重要说明：公用名是证书最后的最重要信息之一。它是 Web 站点的 DNS 名称（即用户在浏览您的站点时键入的名称）。如果证书名称与站点名称不匹配，当用户浏览到您的站点时，将报告证书问题。如果您的站点在 Web 上并且被命名为 ，这就是您应当指定的公用名。如果您的站点是内部站点，并且用户是通过计算机名称浏览的，请输入计算机的 NetBIOS 或 DNS 名称。12.在“国家/地区”、“州/省”和“城市/县市”等字段中输入正确的信息，然后单击“下一步”。13.输入证书申请的文件名。该文件包含类似下面这样的信息。-BEGIN NEW CERTIFICATE REQUEST-MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy.-END NEW CERTIFICATE REQUEST-这是您的证书申请的 Base 64 编码表示形式。申请中包含输入到向导中的信息，还包括您的公钥和用您的私钥签名的信息。 将此申请文件发送到 CA。然后 CA 会使用证书申请中的公钥信息验证用您的私钥签名的信息。CA 也验证申请中提供的信息。当您将申请提交到 CA 后，CA 将在一个文件中发回证书。然后您应当重新启动 Web 服务器证书向导。14.单击“下一步”。该向导显示证书申请中包含的信息概要。15.单击“下一步”，然后单击“完成”完成申请过程。证书申请现在可以发送到 CA 进行验证和处理。当您从 CA 收到证书响应以后，可以再次使用 IIS 证书向导，在 Web 服务器上继续安装证书。二、提交证书申请此过程使用 Microsoft 证书服务提交在前面的过程中生成的证书申请。1. 使用“记事本”打开在前面的过程中生成的证书文件，将它的整个内容复制到剪贴板。2.启动 Internet Explorer，导航到 http:/hostname/CertSrv，其中 hostname 是运行 Microsoft 证书服务的计算机的名称。3.单击“申请一个证书”，然后单击“下一步”。4.在“选择申请类型”页中，单击“高级申请”，然后单击“下一步”。5.在“高级证书申请”页中，单击“使用 Base64 编码的 PKCS#10 文件提交证书申请”，然后单击“下一步”。6.在“提交一个保存的申请”页中，单击“Base64 编码的证书申请（PKCS #10 或 #7）”文本框，按住 CTRL+V，粘贴先前复制到剪贴板上的证书申请。 7.在“证书模板”组合框中，单击“Web 服务器”。8.单击“提交”。9.关闭 Internet Explorer。三、颁发证书1. 从“管理工具”程序组中启动“证书颁发机构”工具。2. 展开您的证书颁发机构，然后选择“挂起的申请”文件夹。3. 选择刚才提交的证书申请。 4. 在“操作”菜单中，指向“所有任务”，然后单击“颁发”。5. 确认该证书显示在“颁发的证书”文件夹中，然后双击查看它。6. 在“详细信息”选项卡中，单击“复制到文件”，将证书保存为 Base-64 编码的 X.509 证书。7. 关闭证书的属性窗口。8. 关闭“证书颁发机构”工具。三、在 Web 服务器上安装证书此过程在 Web 服务器上安装在前面的过程中颁发的证书。1.如果 Internet 信息服务尚未运行，则启动它。2.展开您的服务器名称，选择要安装证书的 Web 站点。3.右键单击该 Web 站点，然后单击“属性”。4.单击“目录安全性”选项卡。5.单击“服务器证书”启动 Web 服务器证书向导。6.单击“处理挂起的申请并安装证书”，然后单击“下一步”。7.输入包含 CA 响应的文件的路径和文件名，然后单击“下一步”。8.检查证书概述，单击“下一步”，然后单击“完成”。四、将资源配置为要求 SSL 访问1.如果 Internet 信息服务尚未运行，则启动它。2.展开您的服务器名称和 Web 站点。（这必须是已安装证书的 Web 站点）3.右键单击某个虚拟目录，然后单击“属性”。4.单击“目录安全性”选项卡。5.单击“安全通信”下的“编辑”。6.单击“要求安全通道 (SSL)”。现在客户端必须使用 HTTPS 浏览到此虚拟目录。7.单击“确定”，然后再次单击“确定”关闭“属性”对话框。9. 关闭 Internet 信息服务。五、在客户端计算机上安装证书颁发机构的证书此过程在客户端计算机上安装 CA 所颁发的证书，并将该 CA 作为受信任的根证书颁发机构。客户端计算机必须信任该颁发证书的 CA，以便接受服务器证书，但不显示“安全警报”对话框。1. 仅在您的 Web 服务器证书是由 Microsoft 证书服务 CA 颁发的情况下，才需执行此过程。否则，如果您有 CA 的 .cer 文件，请转到第 8 步。 2.启动 Internet Explorer 并浏览到 http:/hostname/certsrv，其中 hostname 是颁发服务器证书的 Microsoft 证书服务所在计算机的名称。3.单击“检索 CA 证书或证书吊销列表”，然后单击“下一步”。4.单击“安装此 CA 证书路径”。5.在“根证书存储”对话框中，单击“是”。6.使用 HTTPS 浏览到 Web 服务。例如：https:/WebServer/securemath/math.asmx浏览器中现在应该正确显示 Web 服务测试页，而不显示“安全警报”对话框。现在您已经在个人受信任根证书存储中安装了 CA 的证书。您必须将 CA 的证书添加到计算机的受信任根存储中，然后才能够从 ASP.NET 页成功调用 Web 服务。7.重复第 1 步和第 2 步，单击“下载 CA 证书”，然后将其保存到本地计算机上的某个文件中。8.现在执行其余步骤。如果有 CA 的 .cer 证书文件 10. 在任务栏上，单击“开始”，然后单击“运行”。11. 键入“mmc”，然后单击“确定”。12. 在“控制台”菜单上，单击“添加/删除管理单元”。13. 单击“添加”。14. 选择“证书”，然后单击“添加”。15. 选择“计算机帐户”，然后单击“下一步”。16. 选择“本地计算机 (运行这个控制台的计算机)：”，然后单击“完成”。17. 单击“关闭”，然后单击“确定”。18. 在 MMC 管理单元的左窗格中展开“证书 (本地计算机)”。18.展开“受信任的根证书颁发机构”。19. 右键单击“证书”，指向“所有任务”，然后单击“导入”。20. 单击“下一步”跳过“证书导入向导”的“欢迎”对话框。21. 输入 CA 的 .cer 文件的路径和文件名。22. 单击“下一步”。23. 选择“将所有的证书放入下列存储区”，然后单击“浏览”。24. 选择“显示物理存储区”。25.在列表中展开“受信任的根证书颁发机构”，然后选择“本地计算机”。25. 依次单击“确定”、“下一步”以及“完成”。26. 单击“确定”关闭确认消息框。27. 在 MMC 管理单元中刷新“证书”文件夹的视图，确认该 CA 的证书已列出。29.关闭 MMC 管理单元实训题目3：VPN服务的配置与使用实验目的： 实现VPN服务实验要求：在一台Windows 2000 server计算机上安装VPN服务，使所有用户在任何时间具有拨入权限，并将网段的IP地址分配给远程接入客户端。实验步骤：服务器端配置1、 将服务器的IP地址改为02、 安装VPN：开始-程序-管理工具-路由和远程访问-右击服务器-配置并启用路由和远程访问-下一步-选“虚拟专用网络（VPN）服务器”-下一步-选“无internet连接”-选“来自一个指定的地址范围”，并新建-100的地址范围-下一步至完成3、 右击我的电脑-管理-打开“administrator”的属性窗口-拨入-通过远程访问策略访问（此步如果选“允许访问”，那么下一步就没有必要配也可以访问了）-确定4、 开始-程序-管理工具-路由和远程访问-单击窗口左侧的“远程访问策略”-右击窗口右侧的默认远程访问策略-属性-选“授权远程访问权限”-确定客户端配置1、 右击网上邻居-属性-双击“新建连接”-下一步-通过Internet连到专用网络-在公用网络选项框中选“不拨初始连接”（局域网建立时不会出来这一步）-目标地址：0-下一步至完成2、双击刚建立的“虚拟专用连接”-输入用户名：administrator，和密码-连接实训四：利用Ipsec配置网络安全性实验目的：完成此实验后，你将能够：l 配置Ipsec策略l 指派Ipsec策略实验步骤:1. 利用实用程序Ping测试与你的合伙者之间的通信。2. 在MMC控制台中添加”IP安全性策略管理”a. 打开mmc控制台，单击“添加/删除插件”，然后单击“添加”按钮。b. 在“添加独立存在的插件”对话框中，确认“本地计算机”被选择，然后单击“完成”按钮。c. 在“添加独立存在的插件”对话框中，单击“服务“，然后单击“添加”按钮。d. 在“服务”对话框中，确认“本地计算机”被选择，然后单击“完成”按钮。e. 在控制台树中，单击“本地计算机上的安全性策略”f. 在详细资料窗格中，用鼠标右键单击“安全服务器（必需安全性）”，然后单击“属性”g. 在“安全服务器（必需安全性）属性”对话框中，单击“添加”按钮h. 利用下列信息完成“安全性规则”向导。如果未提供信息，则接受该默认选择：隧道端点页：确认“这一规则不指定隧道”被选择。网络类型页：确认“所有网络连接”被选择。在接下来的对话框中选择第三项。IP筛选器运作页：单击“必需安全性”o.单击“完成”按钮，以关闭该向导。此时，四个规则出现在“IP安全性规则”框中。p.在“安全服务器（必需安全性）属性”对话框中，除了在“验证”列显示为“证书”者之外，清除针对所有规则的复选框。q.单击“关闭”按钮，以关闭“安全服务器（必需安全性）属性”对话框。r.在详细资料窗格中，用鼠标右键单击“安全服务器（必需安全性）”，然后单击“指派”3先等你的合伙者完成了前面的过程，然后再启动下述过程。4利用ping 命令和IP安全性监视器测试Ipseca. 控制台树中，单击“服务（本地）”并在详细资料窗格中，用鼠标右键单击“IPSEC策略代理”，然后单击“重新启动”b. 最小化“控制1”窗口。c. 还原命令提示符合窗口，键入ping 邻居IP有一，两个合伙者将会见到“协商IP安全性”即Negotiating IP Security)消息。如果你接收到“协商安全性”（Negotiating IP Security）消息，则重复ping 命令，直到你接收到来自你的合伙者的计算机的回答为止。d. 在命脉令提示符下，对其它同学的计算机的IP地址进行几次ping 操作。看看是什么结果? 实训六：建立域的信任关系实验目的：1、掌握域的信任关系的建立实验内容：操作环境：windows 2000的两个独立域AA.com与BB.com（域已经建立好了）。 AA.com的网段为192.168.0.x，AA.com域管理服务器所在的IP为，机器名为aa。 BB.com的网段为192.168.3.x，BB