软件技术与工程中心网络基础架构项目设计文档广东科学技术职业学院指导老师： 完成人员： 目录1实施环境拓扑与说明42活动目录和网络基本架构的任务描述62.1DNS部署任务描述62.2用户与计算机对象命名规范任务描述72.3“我的文档”的管理任务描述82.4用户配置文件管理任务描述82.5客户机软件的管理任务描述82.6打印服务的任务描述92.7文件服务器任务描述92.8网络安全任务描述92.8.1CA的部署任务描述92.8.2域密码安全策略任务描述92.8.3企业敏感数据保护任务描述102.8.4系统补丁更新任务描述102.8.5网络边界安全架构部署防火墙任务描述112.9维护设计任务描述122.9.1AD的日常数据备份任务描述122.9.2文件服务器日常备份任务描述123活动目录和网络基本架构的实施133.1活动目录森林和域的实施133.2组织单元（OU）规划部署193.3DNS转发器安装部署223.4用户与计算机对象的创建和命名规范283.5“我的文档”的管理283.6用户配置文件管理333.7客户机软件的管理353.8打印服务的设计393.9文件服务器部署473.10网络安全设计593.10.1CA的部署593.10.2CA安装593.11企业敏感数据保护方案643.12域密码安全策略753.13WSUS服务器系统补丁更新实现763.14网络边界安全架构部署防火墙913.14.1DMZ区搭建安装配置913.14.2TMG安装923.14.3部署TMG 防火墙963.14.4针对域用户创建Web访问规则1054维护设计1124.1AD的日常数据备份1124.1.1安装 Windows Server Backup1124.1.2备份1134.2文件服务器日常备份1231 实施环境拓扑与说明l 网络总体架构图l 活动目录逻辑结构根据软工中心的实际情况，为了实现方便和灵活统一的管理策略，我们将中心的活动目录设计为单域架构，其活动目录逻辑架构如下图所示：l 活动目录站点拓扑由于软工中心的网络集中在同一办公楼内，各子网均由高速链路连接，所以我们将该中心的活动目录物理架构只设一个站点。现在的服务器只有三台，分别作为域控制器、文件服务器和邮件服务器，为避免活动目录服务的单点故障，建议利用现有的一台普通计算机作为辅助域控制器。活动目录物理架构如图如示l 网段划分与IP的分配实现IP地址自动化管理。服务器手动设置IP地址，客户端实现DHCP自动分配IP地址。服务器地址有192.168.1.2，192.168.1.3，192.168.1.4，客户端的地址范围为：192.168.1.101-124，192.168.1.131-170，具体规划如下：默认网关：192.168.1.254/24计算机名称角色IP地址/FQDNDNSrgdc1DC/DNS/DHCP/GC/CA文件/打印服务器192.168.1.1/24rgdc1.rgcenter.cn192.168.1.1Rgdc2192.168.1.3/24Rgdc2.rgcenter.cn192.168.1.1Clients192.168.1.4/24Clients.rgcenter.cn192.168.1.1ISA-ras防火墙/VPN内网：192.168.1.254/24DMZ：192.168.0.254/24外网：ISP提供DMZ（默认网关：192.168.0.254）计算机名称角色IP地址DNSDMZ-WEB外网Web服务器192.168.0.2/24192.168.0.1DMZ-DNSDNS转发器192.168.0.1/24192.168.0.12 活动目录和网络基本架构的任务描述2.1 DNS部署任务描述为了保证用户对内网资源的正常访问，客户机上仍配置为使用企业内网的DNS服务器地址，另外需要在DNS服务器上设置转发器，将除了内部域名之外的所有查询都转发到DMZ区域的DNS服务器上，让DMZ区域的DNS服务器帮内网客户机完成域名解析。同时在内网DNS服务器删除根提示，以使其将除内部域之外的所有域名解析转发到DMZ区域的DNS根服务器。在ISA Server 2004只需要制定两条关于DNS查询转发的策略即可，一条是允许内网DNS服务器与DMZ区域的DNS服务器的DNS协议进行通讯，另一条是允许DMZ区域的DNS服务器与外部网络进行DNS协议通讯即可。 DMZ安装DNS转发器 DNS转发器新建两条转发策略，一条转发内网，一条转发外网； 在主域DNS服务器删除跟提示； 在主域DNS上新建转发器，把内部域名之外的所有查询都转发到DMZ区域的DNS服务器上；2.2 用户与计算机对象命名规范任务描述为方便管理，客户机命名按部门标识加编号的方式进行命名，如销售部的客户机：sales01；对于服务器的命名则按照该服务器所承担的角色进行命名，如果相同角色的服务器有多台还可加相应的编号，而对于不同地区相同角色的服务器，还可以加上相应位置前缀进行标识。用户命名实行实名制，即以用户的真实姓名的拼音作为用户账户，如果有重名可加部门或编号标示。 先制定全剧组和域本地组 根据部门的角色建立相关的用户和计算机名，并设置密码；2.3 “我的文档”的管理任务描述通过组策略将用户的“我的文档”进行重定向到域控制器上指定的磁盘中。这样可以对用户的数据进行集中管理，并防止用户将数据丢失。 新建共享文件夹，并设置所有用户读取的权限； 新建组策略，并相关联起来； 编辑组策略，设置文件夹重定向； 客户机测试；2.4 用户配置文件管理任务描述通过漫游用户配置文件将用户配置文件统一存储在域控制器上指定的磁盘中，从而实现域用户无论在域内的任何一台计算机登录时，系统都采用本用户自己的工作环境，方便用户使用自己习惯的桌面设置。 在文件服务器新建共享文件夹，设置相关用户共享权限 设置用户配置文件及文件路径2.5 客户机软件的管理任务描述对于客户机都通用的软件通过组策略将软件指派给计算机，从而实现软件的自动安装；对于某些用户特定需求的软件，我们通过组策略将软件发布给用户，从而实现根据用户的需求进行软件安装及使用。所有客户计算机都必须安装ISA客户端软件。 新建远程共享文件，并赋予用户读取权限 给用户新建组策略，并关联上； 编辑组策略，在用户配置新建数据包； 分配相关程序数据包； 用户测试；2.6 打印服务的任务描述由于软工中心只有一台打印机设备，则在打印服务器上创建一台共享打印机，并将该共享打印机发布到AD中,从而实现用户对打印服务器的快捷访问。 安装打印服务 创建相关组策略，把用户关联到已部署的打印机； 成员机测试；2.7 文件服务器任务描述在文件服务器下以部门名称为名规划多个共享文件夹，并赋予各部门的用户组相对应的权限，为实现众多共享文件夹的统一管理，通过配置Microsoft Windows Server 2003文件服务器的分布式文件系统（DFS），将各部门的共享文件夹都链接到DFS根目录下，这样可以对用户的数据进行集中管理，并防止用户将数据丢失，同时方便用户访问，然后再通过启用卷影副本来对共享文件夹进行版本管理。 安装配置文件服务器； 配置命名空间，在服务器和客户机分别创建共享文件夹； 使用复制文件向导把客户机文件夹复制到服务器； 测试2.8 网络安全任务描述2.8.1 CA的部署任务描述为确保数据静态存储安全，及保护数据在网络传输的安全性，预先在此网络中部署企业CA（命名为rgca），为今后需要实现数据的安全保护做好铺垫。预先配置密钥恢复代理和数据恢复代理。 CA证书服务器安装； 在内网里选择安装企业根证书； 在DMZ区上选择安装独立根证书；2.8.2 域密码安全策略任务描述软工中心需要通过组策略来管理中心内部工作人员的密码策略。具体策略设置如下： l 强制密码历史 2 l 最大密码时长 60 天 l 最小密码长度 7个字符 l 密码必须符合复杂性需求 可用 l 使用可逆加密算法存储密码 不可用 利用组策略配置密码策略 在帐号策略上设置密码要求2.8.3 企业敏感数据保护任务描述假设软工中心每个部门都有自己比较敏感的数据需要通过EFS来加密保护，每个部门需要有自己的数据恢复代理人；各部门的敏感数据统一保存在文件服务器上，各部门在文件服务器上都有相应的文件夹来实现本部门敏感数据的安全共享；为了防止数据的丢失，所有数据恢复代理人的私钥需要存档。 请为每部门建立至少三个用户帐号，一个为数据恢复代理，两个普通帐号，用以测试在远程文件服务器上实现的EFS加密文件的共享。 请为EFS加密文件安全地在客户机与文件服务器之间的安全传输提供解决方案。 请测试数据恢复代理人的私钥是可恢复的。 新建文件夹，启用EFS加密内容 备份密匙； 申请导出个人证书； 设置数据恢复代理； 测试 2.8.4 系统补丁更新任务描述随着微软不断努力减少代码漏洞，软件更新也在不断进行并成为了企业系统管理和安全战略的重要部分。有效的补丁更新方案可以给企业网络带来以下好处：l 减少停机时间：系统遭受由于病毒或黑客攻击所造成的损害和死机的可能性大大减少。l 减少停机成本：网络管理员可以花更少的时间部署更新和更快地响应安全事故。l 增加了对知识产权的保护：机密的企业信息、商业秘密和个人数据将保持更高的机密性。通过部署SUS，利用SUS实现统一软件更新方案，确保能对所有计算机及时进行最新，以保护确保补丁更新的可控性，并优化网络流量。 条件准备，先安装Web服务器和应用程序服务器； 在Web服务器上添加ASP.NET”、“Windows 身份验证”、“动态内容压缩”和“IIS 6 管理兼容性”； 安装WSUS3.0； 配置网络连接，启动配置向导，直接从微软官方更新，选择一些必要的服务； 配置更新时间与同步； 客户端配置，新建更新组策略； 编辑组策略，配置计算机自动从服务器更新，注意设置更新时间一定要比服务器的更新时间慢； 配置计算机组，把用户计算机加入该组中； 审批和部署WSUS更新； 测试。2.8.5 网络边界安全架构部署防火墙任务描述按照计算机不同角色以及安全性要求，严格进行网络分区，把网络划分为受信任的内部网络、不信任的外部网络、公共服务器DMZ网络，并根据不同区域的不同安全需求，施行不同级别的安全保护措施。企业网络边界只有一个Internet出口，通过ISA Server防火墙将企业内网与外部网络隔离，及发布DMZ区域的公共资源服务器。并通过严格的防火墙策略限制网络之间的访问行为。 防火墙的安装配置； TMG防火墙部署，配置3向外围网络设置； 针对域用户创建Web访问规则；2.9 维护设计任务描述2.9.