《服务器综合实训》合集

服务器综合实训


HugeHard.TEC公司网络服务规划

2021年更新日志

更新了几处图片显示错误以及排版错误

将五篇文章聚合为一片,文章较长配合目录使用!

技术手册

image-20211214154531280

网络拓扑结构

虚拟机名称 IP地址 子网掩码 默认网关 DNS服务器
DC-SERVER 172.16.1.253 255.255.255.0 172.16.1.254 172.16.1.253
BDC-SERVER 172.16.1.252 255.255.255.0 172.16.1.254 172.16.1.253
BJ-SERVER 172.16.1.251 255.255.255.0 172.16.1.254 172.16.1.253
BJ-PC 172.16.1.1 255.255.255.0 172.16.1.254 172.16.1.253
HZ-SERVER 192.168.1.253 255.255.255.0 192.168.1.254 172.168.1.253
HZ-PC 192.168.1.1 255.255.255.0 192.168.1.254 192.168.1.253
SERVER 1.1.1.253 255.255.255.0 1.1.1.254 1.1.1.253
PC 1.1.1.1 255.255.255.0 1.1.1.254 1.1.1.253
BJ-R 172.16.1.254 255.255.255.0
11.1.1.1 255.255.255.0
HZ-R 192.168.1.254 255.255.255.0
13.1.1.2 255.255.255.0

(1)北京总部有BJ-R、BJ-SERVER.DC-SERVER和BDC-SERVER 4台服务器,杭州分部有HZ-R和HZ-SERVER两台服务器,互联网上有SERVER1和SERVER2两台服务器。

(2)配置路由器R1和R2,保证网络畅通,并配置服务器BJ-R和HZ-R,在北京总部和杭州分部之间建立端到端IPSECVPN隧道,实现北京总部和杭州分部的信息安全传输。

(3)配置服务器BJ-R和CQR的NAT,实现北京总部和杭州分部的计算机对互联网的访问;配置BJ-R的端口映射,实现互联网上的计算机对北京总部服务器相关服务的访问。

(4)在北京总部的DC-SERVER上建立主域控制器abc.com,在BDC-SERVER上建立备份域控制器,在重庆分部的HZ-SERVER上建立子域控制器HZ.abc.com,实现对企业资源的统一管理。

(5)在北京总部的DC-SERVER上建立DNS主域服务,并在DC-SREVER上建立辅助域服务实现北京总部的域名解析:在杭州分部的HZ-SERVER上建立DNS子域服务,实现杭州分部的域名解析,在互联网的server上建立DNS服务,实现对互联网的域名解析。

(6)在北京总部的DC-SERVER上建立DHCP服务为北京总部和重庆分部的计算机自动分配IP地址。

(7)在北京总部的DC-SERVER上建立证书服务,保护企业电子邮件服务和Web服务

的安全。

(8)在北京总部的BJ-SERVER上建立Web网站,让用户能通过浏览器查看企业主页;在互联网的SERVER上建立apache动态网站,让用户能访问互联网上的实时信息。

(9)在北京总部的BJ-SERVER和互联网的SERVER上建立FTP服务,让企业员工不仅能够从企业总部和互联网下载资源,而且能够上传数据到企业和互联网的个人空间进行备份。

(10)在北京总部的BJ-SERVER和互联网的SERVER上建立电子邮件服务,让企业员工和互联网用户之间能够相互收发邮件。

(11)在互联网的SERVER上建立负载平衡,实现服务器的冗余备份和负载分担。

项目准备


软件需求

  • VMware WorkStation Pro
  • eNsp 或 GNS3 及相应组件
  • Windows 2008 Server R2 虚拟机若干
  • Windows xp Professional 虚拟机

专题0


  • 在VMware WorkStation中创建虚拟网卡Vmnet 2-7 ,9-13 (0,1,8已占用不作修改并去除DHCP)
  • 部署网络设备
    • 3台交换机S5700(作二层交换机作用)
    • 2台AR1220并添加2SA模块(serial)
    • 7台Cloud并关联相应的虚拟网卡作服务器用途
    • 3台PC方便用于调试(非必要的)

完成相应的网络拓扑搭建

eNsp的Cloud绑定网卡的方法:

将Cloud绑定端口(Vmnet)相当于接入到一个独立的交换机

在Cloud上右击设置

出现的配置界面添加一个UDP端口(内部)

image-20211214155748599

添加指定的虚拟网卡

注意:端口类型保持相同

image-20211214160014919

设置端口映射

image-20211214160100708

使用网线连接到设备

注意:双网卡添加示意图

image-20211214160400363

  • 此处上下为两组
  • 第一张网卡接口为g0/0/1
  • 第二张网卡接口为g0/0/3
  • 相应的虚拟机应该添加两张网卡分别绑定对应的虚拟网卡

配置交换机


将接入的接口模式如数改为access模式

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
LSW1
#
sysname LSW1
#
undo info-center enable
#
interface Vlanif1
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type access
#
interface GigabitEthernet0/0/2
port link-type access
#
interface GigabitEthernet0/0/3
port link-type access
#
interface GigabitEthernet0/0/4
port link-type access
#
interface GigabitEthernet0/0/5
port link-type access
#
interface GigabitEthernet0/0/6
port link-type access
1
2
3
4
5
6
7
8
9
10
11
12
13
LSW2
sysname LSW2
#
undo info-center enable
#
interface GigabitEthernet0/0/1
port link-type access
#
interface GigabitEthernet0/0/2
port link-type access
#
interface GigabitEthernet0/0/3
port link-type access

配置路由器


  • 为相应接口配置对应的IP地址
  • 为AR1,AR2创建ospf动态路由使得拓扑图局部互联
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
AR1
#
interface Serial2/0/0
link-protocol ppp
ip address 12.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/0
ip address 11.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 1.1.1.254 255.255.255.0
#
ospf 1
area 0.0.0.0
network 1.1.1.0 0.0.0.255
network 11.1.1.0 0.0.0.255
network 12.1.1.0 0.0.0.255
#
1
2
3
4
5
6
7
8
9
10
11
AR2
interface Serial2/0/0
link-protocol ppp
ip address 12.1.1.2 255.255.255.0
interface GigabitEthernet0/0/0
ip address 13.1.1.1 255.255.255.0
ospf 1
area 0.0.0.0
network 12.1.1.0 0.0.0.255
network 13.1.1.0 0.0.0.255
#

测试网络连通性


为相应的虚拟网卡或设备添加IP地址

  1. BJ-PC ping 172.16.1.0
  2. HZ-PC ping 192.168.1.0
  3. R1 ping 11.1.1.1 & 12.1.1.2
  4. R2 ping 11.1.1.2 & 13.1.1.2
image-20211214162509555 image-20211214162905831 image-20211214163018887 image-20211214163053373

专题1


当前情况下HZ-PC以及BJ-PC的数据包只能在内网内畅通

  • BJ-SERVER不能访问11.1.1.1 (这里使用BJ-PC代替)
  • HZ-SERVER不能访问13.1.1.2 (这里使用HZ-PC代替)
image-20211214164650947 image-20211214164717163

为服务器启用远程路由访问实现HZ-R以及BJ-R对内网数据的转发

  • 启动一台虚拟机正确绑定虚拟网卡作为BJ-R

    image-20211214164848682
  • 为网卡设置正确的IP地址(先将外部vmnet网卡置空【地址设置为自动获取】)

    image-20211214165215153
  • 为服务器添加角色"路由和远程访问"(按向导完成即可)

image-20211214165311837 image-20211214165412806

成功安装后打开此项

image-20211214165519053

在主机名上右击配置

image-20211214165625382

在向导中选择自定义配置

image-20211214165721889

添加以下项目并启动服务

image-20211214165758951

HZ-R、BJ-R操作同理

添加完成后 BJ-R、HZ-R已具备数据包转发功能

验证

  • BJ-PC ping 11.1.1.1
  • HZ-PC ping 13.1.1.2
image-20211214171848911 image-20211214171900374

配置默认路由


当前局域网环境尚不能访问外网

为BJ-R、HZ-R配置路由

为BJ-R添加静态默认路由

image-20211214172242720
  • 网卡选择公网地址那张
  • 网关填写下一条地址(对端地址)
  • HZ-R同理

验证联通性

  • BJ-R ping 13.1.1.2/1.1.1.1
  • HZ-R ping 11.1.1.1/1.1.1.1
image-20211214173204881 image-20211214173232515

配置网络地址转换(NAT)

当前网关设备以实现公网访问

当前局域网设备尚不能访问公网设备

需要使用NAT技术将局域网IP转换为公网IP,此时局域网设备相当于以网关的公网IP身份访问公网,实现对公网的访问

  • 为本地接口创建NAT
  • 选用公用接口连接到Internet
  • 并启用子项(在此接口上启用NAT)
  • HZ-R同BJ-R
image-20211214173825504 image-20211214173950206

验证网络连通性

  • BJ-PC to 1.1.1.1/13.1.1.2
  • HZ-PC to 1.1.1.1/11.1.1.1
image-20211214174324820 image-20211214174344585

配置端口映射

内网服务存在有WEB、FTP、邮件等网络服务

外网尚不能直接链接,因此将端口映射到公网IP上,对方只需访问我方公**[网地址:端口**]即相当于访问这些对应的网络服务

  • 在NAT属性中勾选对应项目
  • FTP、WEB、POP3、SMTP
  • 添加对应的内网服务器IP地址
  • 应用保存信息
image-20211214175023825 image-20211214175039695

其它项类同

配置端到端VPN

当前BJ内网与HZ内网不能相互访问

通过在BJ-R和HZ-R上创建端到端VPN实现内网互联

VPN技术(虚拟专用网络连接)实现HZ-R与-BJ-R之间的隧道式连接(内网设备无需考虑路由及链路),连接建立后,各自的内网即可通过网关访问相互的内网设备

  • 新建网络接口 接口名称为vpn-hz

    image-20211214180047232
  • 使用虚拟专用网络连接(VPN)

    image-20211214180054544
  • 自动类型

    image-20211214180106723
  • 目标地址为对方VPN服务器的公网地址

    image-20211214180120750
  • 创建一个用户供对方连接

    image-20211214180134318
  • 添加对方内网的静态路由

    image-20211214180249383
  • 设置密码(必须项,且需符合复杂性要求)

    image-20211214180336495
  • 创建连接对方的凭据

    image-20211214180434725
  • 设置请求拨号筛选器

    image-20211214220118241
  • 设置本地VPN地址

  • BJ-R类同

  • 源网络为对方的网段

  • 目标网络为己方网络

  • 修改为仅用于下列通信

image-20211214220222650 image-20211214220401099
  • 设置IP地址

image-20211215142615732

连接VPN

image-20211214180809546

image-20211214180901190

image-20211214180911522

验证网络连通性


  • BJ-SERVER ping HZ-SERVER (这里用HZ-PC ping BJ-PC 代替)
image-20211215142855089

配置远程VPN


  • 为BJ-R添加地址池

  • 在BJ-R上建立用户VPN-user 供对方远程链接

  • 启动一台xp虚拟机作为HZ-PC

  • 添加VPN连接

    • 创建一个新的连接

    • 选择连接到我的工作场所

      image-20211215144820661
    • 选择虚拟专用连接

      image-20211215144831091
    • 添加服务器IP地址

      image-20211215144849509
    • 键入账号密码进行连接

      image-20211215144937625
  • 显示客户信息

image-20211215145025530

服务器综合实训专题(二)

在DC-SERVER上安装主域控制器


  • 安装DNS服务

    image-20211219193846506

  • 设置DC-SERVER的地址为自己的地址

    image-20211219194014669

  • 安装主域控制器

  • DNS正向域中已经自动添加了记录

    image-20211219195015678

  • 在Active Directory用户和计算机窗口已出现正确的信息

    image-20211219195451411

在BDC-SERVER上安装额外的域控制器


  • 设置BDC-SERVER的DNS服务器为DC-SERVER的IP地址

    image-20211219195400341

  • 检查安装结果

    • 在Active DirectoryActive Directory用户和计算机

      image-20211219200505553

    • 在DNS管理器中

      image-20211219200650407

在CQ-SERVER上安装子域控制器


  • 注意事项:

    修改重新生成新的安全标识符,否则域控制器将安装不成功

    由于Sid机制的改动,Win2008在Sp2后不再支持用Newsid.exe来更新系统Sid。

不要用NewSID 大概率会蓝屏

打开“CMD窗口”并进入到"C:\windows\system32\sysprep"目录后再

输入“sysprep /generalize /oobe /reboot”重新配置SID。

  • 安装DNS服务

  • 设置HZ-SERVER的DNS地址为172.16.1.253

    image-20211219201342970

  • 测试HZ-SERVER ping abc.com

    image-20211219201404040

  • 安装子域控制器

  • 验证安装结果

    • Active Directory 用户和计算机

      image-20211219205520229

    • DNS管理器

      image-20211219205924287

    • 在DC-SERVER 新增委派

      image-20211219210342883

    • Active Directory 域和信任关系

      image-20211219210434872

  • 将HZ-PC加入域 HZ.ABC.COM

    image-20211219223617744

image-20211219223921064

  • 将BJ-PC、BJ-SERVER加入域

image-20211219224700206

image-20211219225939603

image-20211219230020371

服务器综合实训专题(三)


配置DC-SERVER的DNS服务


当前情况:

image-20211219230243212

在DC-SERVER创建反向查找域

image-20211219230610880

创建DC-SERVER、BJ-SERVER、BDC-SERVER的指针

image-20211219231058594

验证

image-20211219231125510

创建主机WWW和EMAIL

image-20211219231500149

为WWW创建别名POP3和SMTP

image-20211219231618531

创建邮件交换器

image-20211219231720888

验证

image-20211219231826727

配置BDC-SERVER的辅助DNS任务

在BDC-SERVER添加一个辅助域

image-20211219232226485

在DC-SERVER中设置区域传送

image-20211221192858846

image-20211221193947620

image-20211219234306595

创建反向查找辅助区域

在DC-SERVER上执行操作

image-20211221194126666

image-20211221194137062

在BDC-SERVER上建立辅助反向域并从主服务器接收

image-20211221194225550

配置HZ-SERVER的DNS服务


  • 将HZ-SERVER的DNS设置为192.168.1.253

  • 创建WWW主机作为别名指向自己

    image-20211221195811874

  • 创建反向域1.168.192

  • 创建根区域.

  • 创建子域com

  • 创建下级子域Internet和abc

  • 给abc.com添加主机www 和 email 别名 web pop3 smtp ftp

    image-20211221200210539

  • 给internet.com添加主机server pc 和email 别名www pop3 smtp ftp

    image-20211221200440652

配置DC-SERVER的DNS转发器和委派


image-20211221200940978

  • 连接到dc-server.abc.com并为DC-SERVER配置转发器

image-20211221200912273

委派


配置HZ-SERVER的DNS转发器和根提示


配置条件转发器

配置根提示

DHCP


  • 安装DHCP服务

  • 建立作用域dhcp-bj 地址池为172.16.1.1-200/24

  • 网关为172.16.1.254 DNS为172.16.1.253和172.16.1.252

    image-20211221205620750

    image-20211221205844143

  • 测试BJ-PC能获取到地址

    image-20211221211655281

  • 显示地址租用

image-20211221211757126

  • 建立dhcp域dhcp-hz

    image-20211222162206767

  • 地址池为192.168.1.1-254/24

    image-20211222162258010

  • 排除192.168.1.252-254

    image-20211222162149090

  • 默认网关为192.168.1.254 DNS为192.168.1.253

    image-20211222162320210

    image-20211222162408386

  • 测试:HZ-PC不能获取地址

    • 失败原因:HZ-PC与DHCP不在同一网络,需要配置DHCP中继

配置DHCP中继


  • 在HZ-R上配置添加DHCP中继代理程序

    image-20211222163250269

  • 测试:

    • HZ-PC能获取地址

      image-20211222164343420

    • HZ-R中显示的DHCP请求收到和回复

      image-20211222165917355

    • BJ-SERVER的DHCP租用信息

      image-20211222165413896

备份和还原DHCP服务


  • 备份

    • 将dhcp配置备份成本地文件
      

      右击bj-server.abc.com选定备份目录

    • 生成的文件结构
      
    • new-dhcp.mdb dhcp.pat j5000001
      
    • dhcpCfg
      
  • 还原

    • 将dhcp从本地文件恢复
      
    • 右击bj-server.abc.com选定还原目录
      

服务器综合实训(四)


证书的综合配置和管理


在DC-SERVER上安装独立根证书服务

  • 选择服务器角色:Active Directory证书服务

    image-20211222231838761

  • 指定安装类型:独立

    image-20211222231923257

  • 指定CA类型:根CA

    image-20211222231951670

  • 配置CA名称:ABC-CA

    image-20211222232025780

  • 默认Web站点生成的虚拟目录CertSrv

    image-20211222232921217

    image-20211222232417428

  • 验证:访问http://dc-Server.abc.com/certsrv/

    image-20211222233223567

证书颁发机构的备份和恢复

  • 右击颁发机构ABC-CA-所有任务-备份命令 按照向导选择位置

    image-20211222233450745

    • 选择密码

      image-20211222233501549

  • 吊销DC-SERVER的证书

  • 还原证书

    • 右击颁发机构ABC-CA-所有任务-还原命令 按照向导选择位置

      image-20211222233752818

    • 键入密码

  • 恢复吊销的所有证书

    image-20211222233946726

HZ-SERVER安装独立从属证书服务

  • 安装证书服务

  • 指定CA类型:子级CA

    image-20211222234911260

  • 配置CA名称:HZ-ABC-CA

    image-20211222234936495

  • 安装完成后产生一个证书申请文件

    image-20211222235027347

  • 证书颁发机构处于停滞状态

    image-20211222235137608

  • 在HZ-SERVER上下载安装ABC-CA企业根证书

  • 将网站http://dc-server.abc.com 设置为可信站点

  • 打开网站http://dc-server.abc.com/certsrv

  • 下载安装证书

    image-20211223000104132

从属证书机构申请证书

  • 在网站上提交证书申请:base64 -cmc

    image-20211223000206770

  • 复制文件HZ-ABC-CA-req 的文件内容到Base64编码证书申请 完成提交

    image-20211223000328363

给从属机构颁发证书

  • 在DC-SERVER的挂起的申请进行颁发

    image-20211223000412035

  • HZ-SERVER下载从属机构证书

    • 打开证书颁发机构网站http://dc-server.abc.com/certSrv/ 
      
    • 查看挂起证书状态的申请
      

      image-20211223000506575

    • 保存为hz-abc-ca-cert
      

HZ-SERVER安装证书

  • HZ-SERVER-所有任务-安装证书
    • 类型为(X.509)
  • 启动证书颁发机构

HZ-PC申请身份验证证书

  • 在网站http://dc-server.abc.com/certSrv/ 上申请客户端验证证书

    • 申请证书-高级证书类型-创建并向此CA提交一个申请
    • 颁发证书

    image-20211225153348397

    image-20211225153430342

    image-20211225153450066

  • 单击“提交”按钮,再单击“是”按钮,选择高级安全级别。

  • 单击“下一步”按钮,输入保护密码,单击“完成”按钮,完成证书的申请。

  • HZ-ABC-CA 为HZ-PC 颁发身份验证证书。

image-20211225153659046

导出和导入证书

(1)导出电子邮件证书私钥

  • 打开HZ-PC的“证书“对话框

  • 单击“下一步”按钮,打开“导出私钥”对话框,选择“是,导出私钥”

  • 单击“下一步”按钮,打开“导出文件格式”对话框,保持默认值。

  • 单击“下一步”按钮,打开“密码”对话框,输入保护私钥。

  • 单击“下一步”按钮,打开“要导出的文件”对话框,输人电子邮件证书文件名

  • 单击“完成”,打开“正在导出专用交换密钥”,输入密码

  • 单击“确认”,完成证书的导出

    image-20211225153905608

(2)安装电子邮件证书

  • 将电子邮件证书复制到电脑上
  • 在 PC的“证书”对话框,单击“导人”按钮,选择电子邮件证书文件

image-20211225154013544

image-20211225154021714

image-20211225154037229

(3)认证机构导出电子邮件公钥

  • 打开DC-SEREVR的“证书颁发机构”窗口,选择颁发的证书,右击列表框中的证书,选择“所有任务|导出二进制数据,打开“导出二进制数据”对话框,选择“二进制证书

  • 单击“确认”按钮,打开“保存二进制数据”对话框,输入证书文件名,单击“保存”按钮完成证书的导出

    image-20211225154125616
    image-20211225154132692

服务器综合实训(五)


在SERVER上搭建apache动态网站


  • 安装DotNetFx40_Full_x86_64

  • 安装和配置Apache

    • 修改apache服务器的监听端口为8080

      image-20211225161053660

    • 修改apache服务器的名称和端口

      image-20211225161102851

    • 打开apache的网站

      image-20211225161114135

    • 将网站根目录修改为c:/ www-apache

      image-20211225161123693

    • 将网站路径改为c:/ www-apache

      image-20211225161135920

    • 修改默认网页为index.html

      image-20211225161143810

    • 修改语言,让网站支持中文

      image-20211225161150085

    • 在网站根目录下创建默认网页index.htm
      image-20211225161156825

    image-20211225161222720

  • PHP的配置

    • ①打开PHP.ini文件,加载MYSql模块

      image-20211225161624967

    • ②打开“系统属性”窗口,打开“高级”选项卡,单击“环境变量”按钮,打开“环境变量”窗口,将C:\php;C:\php\ext添加到 Path 变量原有值后面然后重新启动计算机,让系统变量生效。

      image-20211225161637206

      image-20211225161649250

    • ⑤打开 Apache 配置文件,定位到 173 行,加载PHP 模块,实现 Apache 和 PHP 融合

      image-20211225161658828

    • ⑥允许apache执行php类型的文件

      image-20211225162046288

    • ⑦将C:\www\index.htm 文件重命名为 C:\www\index. Php,并修改其内容
      image-20211225162056485

    image-20211225162118266

  • 配置Mysql

    • 打开mysql命令界面,连接数据库

      image-20211225162608854

    • 创建数据库,然后查看数据库

      image-20211225162616192

    • 进入数据库

      image-20211225162624255

      image-20211225162645140

    • 创建表

      image-20211225162655024

    • 显示数据库的表信息

      image-20211225162703095

    • 显示表结构

      image-20211225162714183

    • 向表中添加数据

      image-20211225162727639

    • 查询表数据

      image-20211225162736478

    • 将index.php文件的内容删除,输入其他内容

      image-20211225162744281

在SERVER上创建视频网站

  • 打开SERVER的“internet信息服务管理器”窗口,删除所有网站

    image-20211225163048818

  • 右击网站,选择添加网站,打开添加网站窗口,设置站点信息

    image-20211225163055342

    image-20211225163105635

配置BJ-SERVER虚拟目录

image-20211225163218386