第七组构建域控制器网络实训方案(第一稿)讲解

构建域控制器网络解决方案项 目 名 称： 构建域控制器网络 公司名称： 地 址：联 系 人：电 话：日期：2009年11月18日目录一、 公司简介及需求分析. 31.项目需求2.项目需求分析二、 项目规划. 31、 网络建设目标2、 建设方案3、项目预算三、 项目实施. 61、 在Windows Server 2003上安装活动目录（AD）,并配置windows域控制器器。2、 创建Windows域3、 根据部门划分OU4、 创建用户账户和组5、 配置域安全策略6、 配置文件服务器7、 配置打印服务器8、 配置代理服务器四、 售后服务. 11一、公司简介及需求分析1.1 项目需求：Xx公司是一家网络项目集成企业。通过公司合理的运营和管理。发展迅速，员工人数已经有100人左右。为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业的网络。公司计划部署一个由约100台计算机组成的局域网。用于完成企业的数据通信和资源共享。部门划分 行政部：负责日常考勤、后勤服务等人事部：负责员工招聘、绩效考核、员工薪酬福利管理等工程部：负责对外网络工程项目、办公网络管理维护、售前售后技术支持等销售部：负责客户接洽、项目谈判、市场宣传等财务部：负责工资结算、公司账目管理等。1.2 项目需求分析针对以上情况，我们可以利用windows2003 server的“域“，以及OU可以使网络结构和公司的管理模型完全匹配。按照公司的管理层次来管理网络中的用户和计算机。我们划分ou是基于公司的部门来划分的，划分为5个ouIT状况：公司有一个局域网，运行约为100台计算机，服务器的操作系统是windowsserver2003.客户机的操作系统是windowsxp工作在工作组的模式下，员工一人一个机器办公。公司从ISP申请了ADSL线路。采用ICS技术共享上网。由于计算机较多。管理上缺乏层次。公司希望利用windows域环境管理所有的网络资源，提高办公效率。域：采用单域结构，域名为与多域结构相比，实现网络资源集中管理，并保障管理上的简单性和低成本在域内按照部门名称划分组织单位（OU）为保证可靠性，需要安装1台域控制器 二.项目规划1、 网络建设目标根据公司的具体情况，其计算机网络系统及上网工程的建设目标包括：1） 上网功能：网内的计算机均能同Internet连接,实现对外部资源的访问、利用，并对外发布信息，有利于提高公司的知名度，获取最大的利益。2） 通过交换机把公司局域网连接起来，实现资源共享、资料电子化，构建办公自动化系统，实现无纸办公。3） 远程控制功能：总经理可以远程控制各个工作站，实现远程对话、以及远程查账等功能。 2、建设方案 根据公司的具体情况及要求，对整个网络作了整体规划，以确保网络的先进性和良好的扩展性，以及可维护性等，并保证网络建设目标的实现。公司有一个局域网，运行约为100台计算机，服务器的操作系统是windows server2003.客户机的操作系统是windows x p工作在工作组的模式下，员工一人一个机器办公。公司从ISP申请了ADSL线路。采用ICS技术共享上网。由于计算机较多。管理上缺乏层次。公司希望利用windows域环境管理所有的网络资源。提高办公效率。3、项目预算1） 硬件部分(工作站）项目型号数量彩色显示器LG W1942SP100机箱电源戴尔TFX0250P5W100硬盘希捷320G100主板华硕P5Q100CPUAMD酷睿双核100显卡E5300100内存三星2G100光驱三星TS-H662A100鼠标可维520100网卡TEL9901G100键盘DELL SK-8115100声卡创新Sound Blaster X-Fi Surround 5.11002） 硬件部分（服务器）项目 型号数量（个）显示器IBM 94G74441 机箱电源 技展4U-500机箱HP 550W 稳压型电源 1键盘双飞燕KBS-31主板华硕p5n-VM WS1CPUIntel四核至强 E5310 1.6GHz1显卡七彩虹 逸彩9600GSO-GD21内存金士顿2G DDR2 6671硬盘希捷500GSTNS1鼠标双飞燕X5-70MD1软驱IBM软驱 36L8645 33P334114、软件部分 局域网的网络操作系统采用Windows Server 2003 的 NTFS 文件系统可保证安全性、可靠性及效率。采用Windows 强大的域用户管理，可保证不同部门、不同使用者对不同资源的支配情况。采用Windows Server 2003的优越性; Windows的可视化管理易于实现，易于掌握；易于与原有的各种网络操作系统互联；配套软件丰富，可实现丰富多彩的网络应用等。 工作站采用Windows XP。由于单位的网络规模，建议采用单一域模型(SIMGLEDOMAIN MODEL)这样即满足了内部网的需求又降低了对服务器的处理能力的需求。（注：SIMGLE DOMAIN MODEL 可满足小于200台工作的情况）。服务器由于数量较少，可以单独安装windows server 2003.为了节约成本，为了提高服务的保障性和反映快速性，我们考虑将主dc单独作为一台服务器，辅助dc也单独作为一台计算机。文件服务器和打印服务器我们考虑高保证服务质量的前提下，选择购买1台高性能的计算机,并通过在计算机上采用虚拟的技术实现文件服务和打印服务的整和管理策略。三、 项目实施1、 在Windows Server 2003上安装活动目录（AD）,并配置windows域控制器器。1）、 安装活动目录。 （1）启动windows2003系统，选择“开始”/“运行”，打开“运行”对话框，输入“dcpromo”命令，单击“确定”按钮。 （2）在AD安装向导对话框中，点击“下一步”按钮，打开“域控制器类型”选择界面，选择“新域的域控制器”，单击“下一步”按钮 （3）在“创建目录树或子域”的界面下，选择“创建一个新的目录树”，单击“下一步” （4）进入“创建或加入目录林”，选择“创建新的域或目录林”，单击“下一步” （5）打开“新域目录树”，在“输入新目录树的DNS全名”中输入“”，单击“下一步”进行一系列的设置。 （6）进入“配置DNS”界面下，选择“是，在这台计算机上安装和配置DNS“，点击”确定。 （7）在姓名和单位中输入“NXCY”，单击“下一步”，系统开始配置活动目录，经过几分钟后，配置完成，点击“完成”。然后重新启动计算机。2）、配置域安全策略 （1）单击“开始”/“管理工具”/“域安全策略”打开“域安全策略”。 （2）单击“密码策略”，设置密码长度最小值为8个字符，密码必须符合复杂性要求（由数字、字符、字母组成）。 （3）单击“帐户锁定策略”，设置帐户锁定阈值为5，账户锁定时间为默认值30分钟。 （4）单击“审核策略”，设置账户登录事件。2、创建Windows域在dc上执行命令”dcpromo”安装AD，提升为域控制器。为该公司创建一个新域。域名为。在安装AD的过程中安装DNS服务。保障域名解析服务正常运行。为了保证域的可靠性，和高效性。1）安装完域控制器之后，分别将其他的计算机加入该域。（1）将客户机的首选DNS改成服务器的IP地址（本机的IP必须和服务器的IP在同一个网段）为（2）我的电脑右键属性|计算机名|更改|选择域，输入服务器的域名，单击确定。（3）登录服务器后输入用户名wutao和密码wutao登录。（4）在网上邻居中查看服务器中的权限2) 创建域用户帐户 （1）在C盘下创建一个以Share为名的文件夹，右击“属性”打开，设置为“共享此文件夹”，权限设为“everyone”，并在此文件夹下新建文件夹分别重命名为“行政部”，“人事部”，“销售部”，“财务部”、“工程部”。 再在这五个部门下各建五个员工。 在这以行政部为例:（1）将行政部下的五个员工添加到share文件夹，使他具有完全控制的权限。 （2）单击“开始”/“程序”/“控制面板”/“Active Dirctory用户和计算机”命令，打开“Active Dirctory用户和计算机”窗口。 （3）在域“”下的User右击选择“新建”/“组”，打开“新建对象-组”创建全局、安全的组，组名分别为“行政部”、“行政部管理” （4）在域“”下的User右击选择“新建”/“用户”，打开“新建对象-用户”。将行政部里的五个员工新建在这里。并设置密码为wutao。在新建用户行政部经理和BOSST，同样设置密码为wutao （5）将那五个成员添加到行政部这个组中。将行政部经理和BOSST添加到行政部管理这个组中。 （6）在对share文件夹进行设置：在行政部中添加Administrator和行政部经理，使他们具有完全控制的权限，并添加组行政部使他具有读取的权限。 （7）在行政部文件夹下的成员中进行设置：在吴涛中添加Administrator和吴涛，同样使他们具有完全控制的权限，在添加组行政部，使他具有读取的权限。在部门中其他成员进行同样的设置即可。（注：其他的部门的设置和行政部的设置一样。进行一样设置即可完成。）最后配置的和下面的符合C:share 共享 读取 Everyone读取 C:share行政部 全局组xingzheng读取、本部门经理和总经理完全控制 C:share人事部 全局组renshi读取、本部门经理和总经理完全控制 C:share工程部 全局组gongcheng读取、本部门经理和总经理完全控制 C:share销售部 全局组xiaoshou读取、本部门经理和总经理完全控制 C:share财务部 全局组caiwu读取、本部门经理和总经理完全控制 c:share行政部某员工文件夹 全局组xingzheng读取、员工自己、本部门经理和总经理完全控制3) 配置服务器的IP （1）设置IP地址： IP地址： 子网掩码： 默认网关： 首选DNS服务器： （2）点击“我的电脑”/“属性”/“计算机名”/“更改”/“域”，输入域名“benet02”，单击“确定”，打开“用户访问”，输入“Adminitrtor”/“确定”。 （3）重启计算机或注销计算机。3、 根据部门划分OU为了匹配公司的管理模型，在域内按照部门名称划分组织单位（ou）,即创建5个组织单位，分别是：行政部。人事部，工程部，销售部，财务部。将来创建各个部门的用户帐户和组属于各个部门ou。使用AD活动目录里的“用户和计算机“工具创建部门ou.4、 创建用户账户和组使用【Active Directory 用户和计算机】工具在各个部门的ou中分别为该部门员工创建用户帐户，帐户名为员工的员工姓名的拼音。例如：“wutao “,为每个部门创建全局组，将同部门的员工帐户分别加入各个部门的全局组。注意：在创建完成之后要进行dc的数据备份即系统的状态数据。5、 配置域安全策略单击【开始】|【管理工具】|【域安全策略】打开域安全策略密码策略密码长度最小值为8个字符密码必须符合复杂性要求帐户锁定策略帐户锁定阈值为5账户锁定时间为默认值30分钟审核策略账户登录事件对象访问 6、 配置文件服务器创建共享文件夹配置共享权限和NTFS权限启用磁盘配额将磁盘空间限制为 “100MB”，将警告等级设为 “90MB”对部门经理添加配额项，将磁盘空间限制为 “1000MB”，将警告等级设为 “900MB”将总经理的域用户帐户添加到administrators组中在共享的工作文件夹的【安全】|【高级】|【审核】选项卡中，添加对所有域用户的审核选项 ，备份策略。7、 配置打印服务器在打印服务器Printsvr1上添加本地打印机HP1100_1、HP1100_2、HP1100_3并共享在打印服务器Printsvr2上添加本地打印机HP1100_1、HP1100_2并共享配置优先级和适当的打印权限在其他计算机上完成打印客户端配置（添加网络打印机）8. 配置代理服务器(1) 交换机的配置1).开启服务器的远程登陆打开“开始”/“程序”/“附件”/“通信”,单击”超级终端“进入对话框建立一个新的超级超级终端,在”名称“输入:RJ-1,选择图标，然后单击“确定”。在“连接时使用”下拉列表框中选择与交换机相连的计算机的串口。单击“确定”弹出一对话框在“每秒数”下拉列表框中选择“9600”单击“确定”如果通信正常的话就会出现主配置界面，并会显示交换机的初始配置情况（注：若是没有超级连接，在开始/“控制面板”/“添加删除组建”中安装超级终端）2)配置vlan开始前进行物理连接。器材：交换机两台，电脑若干。1、 在开始菜单中选择“运行”输入“cmd”，进入控制台，在控制台中输入“ping ”，测试局域网是否连通。2、 输入“telnet ”远程控制命令，按回车键输入密码“”进入用户模式。3、 键入“enable”按回车键，然后输入密码“”进入特权模式。4、 用“show vlan”命令显示默认局域网的名称、端口等相关的内容。5、 输入“canfigure terminal”进入全局配置模式，然后键入“vlan 2”创建一个新的vlan，然后键入“exit”返回特权模式。6、 输入“canfigure terminal”进入全局配置模式。输入要加入vlan的端口号“interface fa0/5”。7、 用“switchport mode access ”定义端口的模式。8、 输入“switchport access vlan 2”将fa0/5 端口分配给vlan 2.9、 键入“exit”返回到特权模式，输入“show vlan”按回车键可看到实验结果。3).聚合端口的配置1、 在开始菜单中选择“运行”输入“cmd”，进入控制台，在控制台中输入“ping 0”，测试局域网是否连通。2、输入“telnet ”远程控制命令，按回车键输入密码“”进入用户模式。3、键入“enable”按回车键，然后输入密码“”进入特权模式。4、用“show vlan”命令显示默认局域网的名称、端口等相关的内容。5、输入“canfigure terminal”进入全局配置模式，然后键入“vlan 10”创建一个新的vlan，然后键入“exit”返回特权模式。6、输入“canfigure terminal”进入全局配置模