“Windows Server服务器配置”的版本间的差异

2021年5月2日 (日) 02:41的版本 （查看源代码） Cloud17（讨论 | 贡献） （→‎项目六 证书服务器的配置与管理） ←上一编辑		2021年5月2日 (日) 02:44的版本 （查看源代码） Cloud17（讨论 | 贡献） （→‎项目六 证书服务器的配置与管理） 下一编辑→
第263行：		第263行：
	====公共密钥体系PKI====		====公共密钥体系PKI====
	CA是公钥基础设施（Public Key Infrastructure,PKI)的信任基础，PKI为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。		CA是公钥基础设施（Public Key Infrastructure,PKI)的信任基础，PKI为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
		+
		+	===任务1 证书服务器的安装===
		+
		+	===任务2 架设安全Web站点===
		+
		+	===任务3 数字证书的管理===

---

2021年5月2日 (日) 02:44的版本

项目一 部署虚拟环境

任务1：安装配置虚拟机

任务2：安装Windows Server 2016操作系统

安装步骤：

https://blog.51cto.com/15070901/2577780

密码设置要求：

https://zhidao.baidu.com/question/2138043109335809748.html

安装成功后 这里最好建立一个快照

方便后期克隆一个机器出来。

任务3：虚拟机组建简单网络

若仅向虚拟机发送 激活桌面命令，用ctrl +alt + insert

项目二 活动目录的配置和管理

任务1 创建网络中第一台域控制器

安装活动目录

不需要创建DNS委派

#
# 用于 AD DS 部署的 Windows PowerShell 脚本
#

Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "WinThreshold" `
-DomainName "abc.com" `
-DomainNetbiosName "ABC" `
-ForestMode "WinThreshold" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true

活动目录中用户和计算机管理

管理 -> Active Directory用户和计算机

nslookup

任务2 客户端加入活动目录

Win7以上系统如何生成新的SID号

https://jingyan.baidu.com/article/ca2d939d0f8ed1eb6c31cef9.html

项目3 DHCP服务器的配置与管理

知识引入

• 什么是DHCP
• DHCP的工作原理

DHCP服务器的安装

在安装之前，需要设置静态IP地址

创建和激活作用域

• 作用域分配地址范围
• 作用域排除地址范围

配置DHCP保留

• 什么是DHCP保留？
• DHCP配置选项

DHCP客户端的配置和测试

• 将DHCP客户端的ip地址设为自动配置

项目四 DNS服务器的配置与管理

案例场景

知识引入

• 什么是DNS
• DNS域名空间
• DNS查询模式：递归查询，迭代查询
• 域名查询过程

DNS服务器的安装

按照课本。

配置DNS区域

创建区域分为创建正向区域和创建反向区域

• 正向区域：域名到IP的解析

• 反向区域：IP到域名的解析

在区域中创建资源

资源记录是DNS数据库中一种标准结构单元，里面包含了处理DNS查询的信息

• 主机记录：A或AAAA ,把主机名2016srvA.company.com解析成IP地址：192.168.10.10
• SOA记录：主要负责把域名解析成主机名：company.com解析成2016srvA.company.com
• NS记录、SOA记录：NS记录和SOA记录是任何一个DNS区域都不可或缺的两条记录，NS记录也叫名称服务器记录，用于说明这个区域有哪些DNS服务器负责解析，SOA记录说明负责解析的DNS服务器中哪一个是主服务器。因此，任何一个DNS区域都不可能缺少这两条记录。

https://www.cnblogs.com/grhack/p/14484159.html

• CNAME记录：CNAME 把一个主机名解析成另外一个名字，例如：把www.company.com 解析成webserver.company.com

• MX记录：MX记录标识SMTP邮件服务器的存在，MX记录把域名解析为主机名

名词解释：MX（Mail Exchanger）记录

是邮件交换记录，它指向一个邮件服务器，用于电子邮件系统发邮件时根据 收信人的地址后缀来定位邮件服务器。通过MX记录，对方可以知道您邮局服务器所在位置，如果没有在DNS中设置MX记录，会导致对方找不到您邮局服务器地址，则您有可能收不到对方发过来的信件

转发器与根提示设置

DNS服务器可以解析自己区域文件中的域名，对于本服务器上没有的域名查询请求应如何处理呢？一种方法是直接转发查询请求到根域DNS服务器，进行迭代查询。还有一种方法，就是直接将请求转发给其它DNS服务器

根提示

根提示使非根域的DNS服务器可以查找到根域DNS服务器。根域DNS服务器在互联网上有许多台，分布在世界各地。

在名称服务器列表中，共有13个根服务器。根提示一般保持默认，不要轻易更改。

如果DNS服务器配置了转发器，则优先查询转发器。

转发器

将本地DNS服务器无法解析的查询转发给网络上的其它DNS服务器，该DNS服务器即被指定为转发器。其示意图如下所示，在本地DNS服务器上设置转发器，指向互联网上的ＤＮＳ服务器。

DNS客户端的设置

• 清除DNS客户端缓存区
• 清除DNS服务器缓存区

知识能力拓展

• DNS区域拓展：将一个DNS服务器上的区域文件复制到多个DNS服务器上
• DNS子域与委派：一台DNS服务器将自己无法解析的资源记录委派给网络中的另一台DNS服务器，一般发生在父域和子域之间。

项目五 Web和FTP服务器的配置与管理

知识引入

• 什么是Web和FTP服务器

Web服务器一般指网站服务器，是指驻留于因特网上某种类型计算机的程序，可以处理浏览器等Web客户端的请求并返回相应响应，也可以放置网站文件，让全世界浏览；可以放置数据文件，让全世界下载。目前最主流的三个Web服务器是Apache、 Nginx 、IIS

参考文档：https://baike.baidu.com/item/WEB%E6%9C%8D%E5%8A%A1%E5%99%A8/8390210?fr=aladdin

FTP服务器（File Transfer Protocol Server）是在互联网上提供文件存储和访问服务的计算机，它们依照FTP协议提供服务。 FTP是File Transfer Protocol(文件传输协议)。顾名思义，就是专门用来传输文件的协议。简单地说，支持FTP协议的服务器就是FTP服务器。

https://baike.baidu.com/item/FTP%E6%9C%8D%E5%8A%A1%E5%99%A8/1926327?fr=aladdin

如何处理宕机

步骤1：发生了什么事

系统管理员必须肩负起分析和判断Web服务器宕机原因的责任。需要解决如下的问题：

   是否是断电，发电机测试以及其他类似问题影响了整体物理环境？
   和Web服务器的通信是否已经完全被阻断，还是某些IP段依旧可以使用？
   是否还可以管理服务器？
   日志中是否有异常记录？

这些只是少部分管理员们需要立即回答的问题，在深入诊断问题之前，先解决上述问题。

步骤2：最简单的解决方案往往是最好的

有很多时候会陷入诊断高级问题的误区，分析各种可能的技术问题和疑难杂症。而实际上，退一步想，从宏观角度思考问题，可能解决已花费无数工时和成本却还未攻克的技术难题。例如，主机通电了吗，或者是否有人无意间碰掉了电源线？如果机器确实已经通电，但没有任何网络连接，需要检查网线或者光纤是否没有接上或者松动。是的，这些看似明显低级错误的解决方法，认为都不可能发生，但任何有经验的系统管理员会告诉你，这些状况的发生频率远比想的要多的多。 [1]

步骤3：基本故障处理方法没有效果怎么办

现在已经检查了所有电缆和其他外围设备，可以试着使用ping命令探测设备状况。幸运的是，ping命令是所有平台通用的，也是最简单的。如果可以在局域网内ping通服务器，接着可以试试从局域网外ping服务器进行检测。这样做可以迅速判断问题是否产生在交换和路由层面，而不是服务器级别。此外，如果Web服务器已经虚拟化，试着ping物理服务器自己的真实IP。这样可以帮助进一步隔离问题。如果完全无法ping同服务器，而且也已经确定完全检查了网络连接，那么就需要进行更深入的分析了。

步骤4：使尽浑身解数，服务器依然宕机

已经检查过网线。也试过了ping服务器，依旧无法访问服务器。好消息是，已经可以将问题定位到物理服务器或操作系统本身了。换句话说，已经可以开始集中经理对现存的问题进行排查。

接下来，才去从底层到高层的方式来逐层检查问题，首先检查网络接口和本地网络配置是否正常。DHCP是否启动？Web服务器是否指向正确的DNS服务器？如果是这样，可以根据使用的操作系统平台，检查Web服务是否正常开启。在Windows环境，需要检查服务器是否具有Web服务的角色。在Linux环境下，检查会更复杂，可以试试查找http相关的文件或服务来确保服务器是否正在运行。

步骤5：绝境下需要动用绝招

如果以上方法都不奏效，检查日志并尝试查明在Web服务器宕机时日志中记录的那些信息。将这些信息发给在故障处理和解决领域更有经验的专业人士，可能会获得更多的帮助。同样的，如果已经确认网络连接不是问题，就可以使用Wireshark抓包工具对网络中传输的数据进行抓取分析，以此协助处理问题。

总而言之，服务器宕机的原因多种多样。断电、配置错误、防火墙设置错误、甚至是来自互联网的恶意流量，都可能引发源站宕机并让系统管理员们抓狂。所有这些问题都足以让企业决策者对冗余解决方案的设计和实施加以重视，同样的针对故障处理流程的设计和制定，还需要根据企业自身网络的实际情况为依据。

Web和FTP服务器的安装

创建Web和FTP站点

配置客户端访问Web和FTP站点

web访问的两种方式：IP地址访问和域名访问

域名访问需要借助于DNS服务器

根据实际负载情况，可以选择在Web服务器上安装或选择单独在一台服务器上安装

在客户机上添加DNS服务器地址，访问、验证

知识能力拓展

Web站点安全加固

• 身份认证
• 编辑权限
• 日志记录

创建多个Web站点

在同一个服务器上部署多个网站

配置FTP站点用户隔离

FTP配置用户隔离后，当用户使用不同的用户名登陆后，会看到不同的文件目录，这些文件目录之间是相互隔离的，一个用户的操作只作用于他的目录内部，不会影响其他用户的目录下的文件。

项目六 证书服务器的配置与管理

案例背景

ABC公司的网络管理部门计划部署证书服务器来保护财务部的专用Web服务器，并且给财务部员工分发数字证书来鉴别员工身份。

知识引入

数据安全四大问题：

• 数据机密性：数据传输过程是否被窃听、拦截？
• 数据完整性：数据是否被篡改？
• 身份验证：对方身份是否合法？是否伪造？
• 不可抵赖性：是否发出/收到信息 ？

• 数据机密性的应对：通过对数据的加密解决，对称加密算法、非对称加密算法。
  • 对称加密算法：双方共享同一个保密参数作为加解密的密钥。
  • 非对称加密算法：公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。 非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将公钥公开，需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方；甲方再用自己私钥对加密后的信息进行解密。https://baike.baidu.com/item/%E9%9D%9E%E5%AF%B9%E7%A7%B0%E5%8A%A0%E5%AF%86%E7%AE%97%E6%B3%95/1208652?fr=aladdin

• 数据完整性的应对

数据完整性校验一般使用哈希算法对数据进行哈希得到数据的一个哈希值，然后将该哈希值和数据一块发送给对方，对方收到数据之后，对数据使用相同的哈希算法进行哈希得到哈希值，如果得到的哈希值和对方发过来的相同，那么就说明数据没有经过篡改。 

• 身份验证与不可抵赖：使用数字签名技术来实现。

 数字签名（又称公钥数字签名）是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术来实现的，

发送报文时，发送方用一个哈希函数从报文文本中生成报文摘要，然后用发送方的私钥对这个摘要进行加密，这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方，接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要，接着再公钥来对报文附加的数字摘要进行解密，如果这两个摘要相同、那么接收方就能确认该报文是发送方的。 

• 数字签名中如何保证公钥不是伪造的呢 ？

解决办法：数字证书。

参考文档：

[1] https://baike.baidu.com/item/%E6%95%B0%E5%AD%97%E7%AD%BE%E5%90%8D/212550?fr=aladdin#4

[2] http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html

数字证书

数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、 可信赖的第三方，其作用是至关重要的。

CA认证中心是什么

CA认证中心是负责签发，管理，认证数字证书的机构，是基于国际互联网平台建立的一个公正，权威，可信赖的第三方组织机构。

世界上的CA认证中心不止一间，那他们之间的关系是什么(CA认证中心之间的关系)？

回答这个问题之前可以先看看下图：

从图中可以看到，CA认证中心之间是一个树状结构，根CA认证中心可以授权多个二级的CA认证中心，同理二级CA认证中心也可以授权多个3级的CA认证中心...

参考文档：https://www.cnblogs.com/hyddd/archive/2009/01/07/1371292.html

公共密钥体系PKI

CA是公钥基础设施（Public Key Infrastructure,PKI)的信任基础，PKI为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

任务1 证书服务器的安装

任务2 架设安全Web站点

任务3 数字证书的管理