WEB、FTP(服務(wù)器群集)CA證書(shū)配置詳解

Windows網(wǎng)絡(luò)服務(wù)搭建管理之3.《WEB/FTP（服務(wù)器群集）CA證書(shū)配置詳解》

實(shí)驗(yàn)名稱：2.WEB/FTP（服務(wù)器群集/負(fù)載平衡）CA證書(shū)服務(wù)器的搭建和配置

實(shí)驗(yàn)任務(wù)和目標(biāo)：《總的目標(biāo)》

v在企業(yè)網(wǎng)絡(luò)中實(shí)現(xiàn)IP地址的動(dòng)態(tài)分配

v配置DNS服務(wù)器，完成域名解析

v利用IIS6.0配置企業(yè)Web網(wǎng)站

v配置和管理FTP服務(wù)器

v實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的RAS（遠(yuǎn)程訪問(wèn)服務(wù)）

v利用證書(shū)服務(wù)實(shí)現(xiàn)安全性

v網(wǎng)絡(luò)負(fù)載平衡和服務(wù)器群集提高可靠性

v多域間的訪問(wèn)

v操作主機(jī)維護(hù)

v活動(dòng)目錄數(shù)據(jù)庫(kù)維護(hù)

v監(jiān)控服務(wù)器

有兩個(gè)域一個(gè)是是公司主域另一個(gè)是收購(gòu)一家公司的域用信任關(guān)系使它們互相訪問(wèn)

1、DHCP

a.兩個(gè)作用域

b.按80/20規(guī)則建立兩臺(tái)DHCP

c.授權(quán)

d.為DNS，WEB，F(xiàn)TP等站點(diǎn)保留IP地址

e.作用域選項(xiàng)

f.DHCP數(shù)據(jù)庫(kù)的備份

2、DNS

a.獨(dú)立建立兩臺(tái)DNS，作為域的DNS和其它域名解析

b.建立輔助DNS服務(wù)器

c.在每個(gè)DNS上建立轉(zhuǎn)發(fā)器，互相轉(zhuǎn)發(fā)解析請(qǐng)求

d.建立反向區(qū)域，為以后增加郵件做準(zhǔn)備，并增加MX紀(jì)錄

e.設(shè)置區(qū)域復(fù)制要求，一個(gè)域中的DNS記錄只能被它的輔助DNS復(fù)制

f.假設(shè)公司馬上要下設(shè)兩個(gè)子公司，域名分別是和，

給sjd做子域，給wm做委派

3、web站點(diǎn)

a.做一個(gè)外部web站點(diǎn)，域名是

b.做一個(gè)內(nèi)部站點(diǎn)，域名是

c.為sjd域建立一個(gè)站點(diǎn)，通過(guò)不同的端口訪問(wèn)，可以達(dá)到簡(jiǎn)單的隱蔽作用

d.在其它的計(jì)算機(jī)建立隱含共享，在web中建立虛擬目錄，來(lái)訪問(wèn)其它計(jì)算機(jī)上的資源

本身站點(diǎn)匿名訪問(wèn)，虛擬目錄要輸入用戶名和密碼來(lái)進(jìn)行訪問(wèn)，基本站點(diǎn)都可以訪問(wèn)，虛擬目錄

只能本公司內(nèi)的員工訪問(wèn)

e.為虛擬目錄加上ca證書(shū)，來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?/p>

f.使用負(fù)載均衡來(lái)保證WEB的安全

4、FTP站點(diǎn)

a.為sjdwm使用serv-u建立ftp，建立一個(gè)總目錄，目錄下是每部門(mén)的目錄，對(duì)于總目錄結(jié)構(gòu)任何人不能

進(jìn)行修改，也不能在總目錄下添加或刪除東西；每部門(mén)員工只能在自己部門(mén)下上傳東西，部門(mén)有一個(gè)

該部門(mén)的目錄管理人員，此人可以整理目錄內(nèi)容；每人使用自己的賬號(hào)登錄FTP服務(wù)器，對(duì)主管的上傳

下載速度限制為40k，普通員工是20k，每個(gè)用戶只能打開(kāi)一個(gè)FTP連接，空閑5分鐘就斷開(kāi)連接

b.為sjd建立普通FTP，使用域來(lái)隔離用戶

c.使用一個(gè)服務(wù)器來(lái)對(duì)serv-u進(jìn)行遠(yuǎn)程管理

5、DC

a.建立域

b.為每部門(mén)建立OU

c.OU中委派管理權(quán)

d.每個(gè)部門(mén)建立一個(gè)全局組，將本部門(mén)的員工加入到全局-安全組中

e.建立全局的通訊組，將本部門(mén)員工加入到全局-通訊組中，為以后的exchange做準(zhǔn)備

f.在中建立一個(gè)全局-安全組，名字是sjd，目的是為本公司支持域的人員建立組便于

限制這些人使用域中資源，在域中建立本地域組，把sjd加入到本組，并對(duì)某個(gè)資料文件夾

設(shè)置權(quán)限

e.建立額外DC，將基礎(chǔ)結(jié)構(gòu)主機(jī)轉(zhuǎn)移到額外DC上

g.在DC上使用NTBACKUP建立計(jì)劃備份任務(wù)，周一進(jìn)行常規(guī)，周二到周五進(jìn)行差異，便于以后進(jìn)行授權(quán)和

非授權(quán)的還原

域要信任域

6、建立一臺(tái)VPN服務(wù)器

a.為企業(yè)出差用戶訪問(wèn)公司網(wǎng)絡(luò)提供服務(wù)，IP地址由DHCP提供

b.要求外部用戶只能在周一到周五的早8點(diǎn)到晚6點(diǎn)之間進(jìn)行訪問(wèn)，必須屬于一個(gè)vpn組

7、CA

a.建立一個(gè)企業(yè)CA，為web站點(diǎn)頒發(fā)證書(shū)

8、遠(yuǎn)程管理及性能監(jiān)測(cè)

a.對(duì)所以上述服務(wù)器進(jìn)行pcanywhere的遠(yuǎn)程管理

b.在web上啟+用web應(yīng)答和FTP的性能警報(bào)，啟用三大硬件的警報(bào)；

實(shí)驗(yàn)環(huán)境描述：

2臺(tái)路由，3臺(tái)交換機(jī)，10臺(tái)服務(wù)器，3臺(tái)PC機(jī)

實(shí)驗(yàn)拓?fù)浼熬W(wǎng)絡(luò)規(guī)劃：總的拓?fù)鋱D

實(shí)驗(yàn)操作過(guò)程及配置說(shuō)明：

1、PKI系統(tǒng)中的數(shù)字證書(shū)簡(jiǎn)稱證書(shū)

它把公鑰和擁有對(duì)應(yīng)私鑰的主體的標(biāo)識(shí)信息（如名稱、電子郵件、身證號(hào)等）捆綁在一起,證書(shū)的主體可以是用戶、計(jì)算機(jī)、服務(wù)等,證書(shū)可以用于很多方面,Web用戶身份驗(yàn)證,Web服務(wù)器身份驗(yàn)證,安全電子郵件

Internet協(xié)議安全（IPSec）;數(shù)字證書(shū)是由權(quán)威公正的第三方機(jī)構(gòu)即CA簽發(fā)的

證書(shū)包含以下信息

§使用者的公鑰值

§使用者標(biāo)識(shí)信息（如名稱和電子郵件地址）

§有效期（證書(shū)的有效時(shí)間）

§頒發(fā)者標(biāo)識(shí)信息

§頒發(fā)者的數(shù)字簽名

CA的核心功能就是頒發(fā)和管理數(shù)字證書(shū)

具體描述如下

v處理證書(shū)申請(qǐng)

v鑒定申請(qǐng)者是否有資格接收證書(shū)

v證書(shū)的發(fā)放

v證書(shū)的更新

v接收最終用戶數(shù)字證書(shū)的查詢、撤銷

v產(chǎn)生和發(fā)布證書(shū)吊銷列表（CRL）

v數(shù)字證書(shū)的歸檔

v密鑰歸檔

v歷史數(shù)據(jù)歸檔

證書(shū)的發(fā)放過(guò)程

1）證書(shū)申請(qǐng)

§用戶根據(jù)個(gè)人信息填好申請(qǐng)證書(shū)的信息并提交證書(shū)申請(qǐng)信息

2）RA確認(rèn)用戶

§在企業(yè)內(nèi)部網(wǎng)中，一般使用手工驗(yàn)證的方式，這樣更能保證用戶信息的安全性和真實(shí)性

3）證書(shū)策略處理

§如果驗(yàn)證請(qǐng)求成功，那么，系統(tǒng)指定的策略就被運(yùn)用到這個(gè)請(qǐng)求上，比如名稱的約束、密鑰長(zhǎng)度的約束等

4）RA提交用戶申請(qǐng)信息到CA

§RA用自己私鑰對(duì)用戶申請(qǐng)信息簽名，保證用戶申請(qǐng)信息是RA提交給CA的

2.先安裝CA證書(shū)服務(wù)器（這在里要注意，安裝CA之前先要裝好IIS因?yàn)镃A要IIS的支持）

1.單擊控制面板中的“添加或冊(cè)除程序”，在windows組件向?qū)е泄催x“證書(shū)服務(wù)”復(fù)選框，單擊“下一步”按鈕。

2.選擇CA類型為“企業(yè)根CA”,選中下面的“用自義設(shè)置生成密鑰對(duì)和CA證書(shū)”復(fù)選框，單擊中“下一步”按鈕。

3.在出現(xiàn)的“公鑰/私鑰對(duì)”中保持默認(rèn)值，單擊“下一步”按鈕

4.證書(shū)服務(wù)安裝完成

5.生成證書(shū)申請(qǐng)《在這之前先把WEB服務(wù)器的IIS建起來(lái)》

在WEB/FTP服務(wù)器的IIS里添加證書(shū)

申請(qǐng)證書(shū)，是在WEB/FTP服務(wù)器上建好WEB服務(wù)后再申請(qǐng)（在域中證書(shū)服務(wù)器要設(shè)置密碼）

在第一臺(tái)WEB/FTP服務(wù)器上申請(qǐng)證書(shū)

C盤(pán)下的certreq.txt文件是申請(qǐng)證書(shū)時(shí)所填寫(xiě)的個(gè)人信息，通過(guò)加密后自動(dòng)存放在c盤(pán)在申請(qǐng)證書(shū)時(shí)要用到

在域環(huán)境中提交申請(qǐng)后CA服務(wù)器會(huì)自動(dòng)頒發(fā)，所以就可以直接下載證書(shū)了

2、下載證書(shū)后在WEB服務(wù)器上安裝

證書(shū)安裝好了再在另一臺(tái)機(jī)子上訪問(wèn)網(wǎng)頁(yè)看看

如果想要讓用戶只能通過(guò)安全通道看網(wǎng)頁(yè)就需要這樣設(shè)置

然后再訪問(wèn)

這樣就能夠起到安全的做用了

3、配置WEB服務(wù)器，先安裝IIS服務(wù)

在windows組件中添加

建好的站點(diǎn)，建一個(gè)站點(diǎn)簡(jiǎn)單，但主要的是做到安全，下面來(lái)說(shuō)一下怎樣配置安全

使用證書(shū)可以讓站點(diǎn)提高安全（在上面證書(shū)中以經(jīng)說(shuō)過(guò)怎樣添加證書(shū)）

還可以IP地址限制，下面是不讓訪問(wèn)

結(jié)果顯示無(wú)權(quán)查看，同樣也可以設(shè)置只允許某些人訪問(wèn)或某些人不能訪問(wèn)

取消匿名訪問(wèn)，這樣只有域中的用戶才可以訪問(wèn)不是公司的用戶就不可以訪問(wèn)

結(jié)果要輸入用戶名和密碼才可以訪問(wèn)

在剛才新建的網(wǎng)站下創(chuàng)建虛擬目錄，虛擬目錄是解絕默認(rèn)站點(diǎn)目錄空間不足時(shí)可以用站點(diǎn)以外的空間來(lái)存放文件，可以在同一臺(tái)主機(jī)或別的主機(jī)上

配置虛擬目錄

在一個(gè)服務(wù)器上配置多個(gè)站點(diǎn)，通過(guò)主機(jī)頭訪問(wèn)（要有DNS支持）

主機(jī)頭的作用是在同一臺(tái)主機(jī)上放多個(gè)站點(diǎn)同一IP地址多個(gè)域名訪問(wèn)不同的網(wǎng)頁(yè)

二、配置NLB群集網(wǎng)絡(luò)負(fù)載均衡、配置服務(wù)器群集雙機(jī)熱備ｗｉｎｄｏｗｓ群集技術(shù)能夠獨(dú)立使用或與其它產(chǎn)品聯(lián)合使用，提供可縮放的、可用性高的服務(wù)。ｗｉｎ２００３支持兩種類型群集：網(wǎng)絡(luò)負(fù)載均衡，服務(wù)器群集。做群集兩臺(tái)服務(wù)器都要兩塊網(wǎng)卡，一塊兩機(jī)互聯(lián)，一塊外網(wǎng)訪問(wèn)在這里我把它單獨(dú)出來(lái)做了，方法是一樣的。ＮＬＢ群集最多可以３２臺(tái)服務(wù)器一個(gè)群集服務(wù)器群集最多可以８臺(tái)一個(gè)群集

實(shí)驗(yàn)名稱：網(wǎng)絡(luò)負(fù)載均衡，服務(wù)器群集

實(shí)驗(yàn)任務(wù)和目標(biāo)：

配置NLB群集網(wǎng)絡(luò)負(fù)載均衡

配置服務(wù)器群集雙機(jī)熱備

1．實(shí)驗(yàn)環(huán)境描述：三臺(tái)虛擬機(jī)，一臺(tái)做為IIS1和NLB1（兩塊網(wǎng)卡），另外一臺(tái)作為IIS2和NLB2（兩塊網(wǎng)卡），用一臺(tái)做DC和DNS，再把兩臺(tái)WEB機(jī)子加入域中，用真機(jī)做PC客戶端

2．實(shí)驗(yàn)拓?fù)浼熬W(wǎng)絡(luò)規(guī)劃：

實(shí)驗(yàn)操作過(guò)程及配置說(shuō)明：

網(wǎng)絡(luò)負(fù)載平衡（ＮＬＢ）群集增強(qiáng)了ｗｅｂ，ｆｔｐ，ｉｓａ，ｖｐｎ等服務(wù)的可靠性和可伸縮性。

1.建立DC和DNS服務(wù)器，在同一臺(tái)機(jī)器上建立

3．起兩臺(tái)虛擬機(jī)，一臺(tái)做為IIS1和NLB1，另外一臺(tái)作為IIS2和NLB2，首先把兩臺(tái)機(jī)子加入域中

4．在第一臺(tái)服務(wù)器上建立IIS1，在第二臺(tái)服務(wù)器上建立IIS2，并進(jìn)行測(cè)試

第一臺(tái)主機(jī)上的網(wǎng)頁(yè)

第二臺(tái)主機(jī)上的網(wǎng)面

虛擬IP,也就是群集用的主IP，外網(wǎng)訪問(wèn)就是訪問(wèn)到這個(gè)IP地址，兩個(gè)IIS都用28

5．在第一臺(tái)服務(wù)器上建立群集，添加自己到群集中，再添加另外一臺(tái)機(jī)子到群集中

先建群集

虛擬IP,域名,選多播

刪除默認(rèn)規(guī)則

先將自己加入群集（在域里先加自己再加別人，在工作組里先加別人再加自己）是兩臺(tái)服務(wù)器相連網(wǎng)卡的IP地址

添加主機(jī)的IP和優(yōu)先級(jí)

添加別的主機(jī)到此集里

要添加的主機(jī)IP

第二臺(tái)主機(jī)IP優(yōu)先級(jí)為2

一共添加了兩臺(tái)，虛擬IP為28

DNS上添加主機(jī)記錄，用域名訪問(wèn)WEB

6．利用進(jìn)行測(cè)試

在真機(jī)上設(shè)DNS25，用真機(jī)來(lái)測(cè)試

再用訪問(wèn)

訪問(wèn)到的是第每一個(gè)網(wǎng)頁(yè)

再把第一個(gè)主機(jī)網(wǎng)卡禁用再訪問(wèn)它就會(huì)自動(dòng)訪問(wèn)第二臺(tái)主機(jī)上的網(wǎng)頁(yè)

也就說(shuō)下雙機(jī)熱備吧，服務(wù)器群集（它最多可以８臺(tái)主機(jī)群集）而且只有兩個(gè)服務(wù)器版本可以做，一個(gè)是企業(yè)版一個(gè)是數(shù)據(jù)版（ＤａｔａｃｅｎｔｅｒＥｄｉｔｉｏｎ）

服務(wù)器群集是由獨(dú)立的計(jì)算機(jī)系統(tǒng)（稱為節(jié)點(diǎn)）構(gòu)成的組，不同節(jié)點(diǎn)協(xié)同工作，就象單個(gè)系統(tǒng)一樣，從面確保關(guān)鍵的應(yīng)用程序和資源始終可由客戶端使用。一般地，利用服務(wù)器群集技術(shù)可以實(shí)現(xiàn)ＤＨＣＰ、文件共享、后臺(tái)打印、ＭＳＳＱＬＳＥＲＶＥＲ、ＥｘｃｈａｎｇｅＳｅｒｖｅｒ等服務(wù)的可靠性。1．搭建DC和DNS，在同一臺(tái)機(jī)子上就可以

2．起兩臺(tái)虛擬機(jī)，第一臺(tái)做為節(jié)點(diǎn)1，第二臺(tái)作為節(jié)點(diǎn)2，把兩臺(tái)虛擬機(jī)加入到域中

3．在兩臺(tái)虛擬機(jī)都啟動(dòng)起來(lái)后，都關(guān)閉，在第一臺(tái)虛擬機(jī)上添加一塊磁盤(pán)，并修改vmx文件，disk.locking=false加入在最后，啟動(dòng)，利用磁盤(pán)管理工具進(jìn)行分區(qū)（如果是用真機(jī)做有仲裁磁盤(pán)就不用這了，Vmware中不支持仲裁磁盤(pán)的所以才要修改下文件）

4．關(guān)閉第一臺(tái)虛擬機(jī)，在第二臺(tái)虛擬機(jī)上添加剛剛建立的那個(gè)虛擬磁盤(pán)，修改vmx文件，disk.locking=false加入上面那句話，修改完后啟動(dòng)，給剛剛的磁盤(pán)添加一個(gè)盤(pán)符即可（兩臺(tái)主機(jī)用的是同一磁盤(pán)使用同一數(shù)據(jù)）

5．啟動(dòng)第一臺(tái)虛擬機(jī)，在第一臺(tái)使用管理工具里的群集管理器來(lái)創(chuàng)建群集

6．在第二臺(tái)虛擬機(jī)上，使用群集管理器來(lái)連接到第5步的群集上，添加自己到群集里即可

添加完后就完成了，測(cè)試就留給喜歡這個(gè)技術(shù)的人了

4、配置FTP服務(wù)器

用serv-u做ｆｔｐ服務(wù)器ＩＩＳ中的ｆｔｐ服務(wù)可以滿足企業(yè)基本的需求，但如果ｆｔｐ站點(diǎn)要求對(duì)用戶的下載或上傳速度進(jìn)行限制等功能，單純使用ＩＩＳ就無(wú)能為力了，本節(jié)介紹一種在ｗｉｎｄｏｗｓ平臺(tái)上經(jīng)常使用的一款ｆｔｐ服務(wù)的軟件ｓｅｒｖ－ｕ

實(shí)驗(yàn)操作過(guò)程及配置說(shuō)明：

1.ftp服務(wù)先說(shuō)下（IIS）的安裝

第一步：配置默認(rèn)站點(diǎn)

第二步：在客戶機(jī)上訪問(wèn)ftp站點(diǎn)

第三步：配置隔離用戶的FTP站點(diǎn)