一. 分布式文件系统的使用

a) 什么是分布式文件系统：DFS，将网络中多个文件服务器上的文件通过共享链接到DFS服务器上，使访问更加方便

b) DFS的优点：

1） 解决服务器的网络负载：文件存在于多个服务器上，使用不同的文件将会将访问的流量分担

2） 增加文件的可访性：当某个服务器出现故障，可以通过事先的DFS“目标”进行访问，用户仍然可以访问到文件

3） 易于文件访问：用户不必再记忆具体文件存在的服务器位置，只需要访问DFS的服务器就可以找到需要的文件

c) DFS的必要条件

1） 服务器必须要有共享文件夹，DFS是基于共享的服务

2） 服务器创建DFS的根

3） 网络中其他的文件服务器需要和根建立DFS链接

d) 实验环境：

1） DC作为DFS根，创建f::\root目录，并且共享，同时也作为DFS目标位置，创建一个e:\backup目录也共享出来目的为存放副本备份文件

2） 域成员计算机作为DFS链接服务器，创建F:\file，并在目录中创建caiwu.txt

e) 实验步骤：

1） 以管理员进行登陆DC和域成员计算机，将文件夹分别共享，注意DC上由于E:\backup需要做自动复制的文件夹，所以必须有写入权限

2） 在DC上打开DFS管理工具，创建DFS根

3） 通过DFS根建立链接

4） 通过UNC路径进行访问，查看效果，在客户端使用UNC路径\\192.168.1.250访问DC上的DFS文件

5） 创建DFS的目标副本备份，以实现文件的可访性，同时查看时时备份

查看效果，现文件是在源和目标之间实时更新的

本博内容完全原创，谢绝转载或引用，谢谢，http://yuanjibiao.spaces.live.com

一. 基本的AD使用配置

a) 打开ADUC工具以地理位置、部门职能添加组织单元

b) 在组织单元中创建域帐户

c) 将客户计算机添加到域中成为域成员计算机

1） 客户机DNS指向DC（因为目前DC就是DNS服务器）

2） 使用新创建的帐户zhang3@yjb.com添加到域

输入有权限的域帐户名称，如果是administrator的话，可以无限制的将计算机添加到域中，如果是普通域用户只能将10台计算机添加到域中

d) 使用新创建的zhang3@yjb.com登陆到域成员计算机上，在成员计算机上看到可以选择登陆到域或本地计算机，使用域帐户登陆到域，也可以使用本地系统帐户登陆到本地计算机

二. 在DC上实现对域成员计算机的使用限制

a) 强制用户注销或关机

选择“启动和故障恢复”

b) 限制用户登陆时间

c) 限制用户的登陆计算机，保证每个人只使用自己的个人电脑

本博内容完全原创，谢绝转载或引用，谢谢，http://yuanjibiao.spaces.live.com

成为企业AD管理专家实验手册：

一. 实验环境：物理计算机一台、虚拟计算机一台

a) 物理计算机配置：

1） IP::192.168.1.250/24

2） Hostname: best-c1-01

3） DNS:192.168.1.250

b) 虚拟计算机配置

1） IP:192.168.1.254/24

2） Hostname:best-vm001

3） DNS:192.168.1.254

c) 虚拟计算机和物理计算机使用网桥连接

d) 操作系统都使用Windows 2003

二. 实验内容：创建AD

a) 在物理计算机上和虚拟计算机上分别创建AD的DC

b) 物理计算机上“运行”—“dcpromo”打开AD的创建向导

c) 创建新域域控制器

d) 新林中的域

e) 将公司在Internet上申请的域名输入到窗口中”yjb.com”

f) NetBios名默认就可以，NetBIOS名是为早期Windows系统识别新域的

g) AD数据库和日志的文件夹要求存放在NTFS文件系统上

h) DNS检测失败后选择第二项，使本地计算机作为DNS服务器，并自动配置

i) 选择域的功能级别（任意选择，因为将来可修改）

2003域的功能级别类型：

1） 混合模式：域中的DC可以是Windows 2003或低于2003的版本，如Win2000,功能和安全性都比较差

2） 纯模式：域中的DC可以是Windows 2003或Win2000，(NT4.0不行)，功能和安全性较好

3） .NET模式（2003模式）：域中DC的操作系统必须是2003，安全性最高，功能也最强，强烈推荐

j) 输入还原模式密码（是开机按F8进入目录还原模式登陆时的密码）

k) 确认信息无误开始完成

l) 完成后重新启动计算机

m) 以同样的步骤完成虚拟计算机的DC安装，域名为hx.com

三. 实现企业中两个森林的林信任创建

a) 分别将yjb.com和dl-yjb.com域的首选DNS指向对方的DNS服务器IP地址，备用DNS服务器的IP指向自身IP

b) 两个域的administrator用户名与密码必须相同

c) 升级当前两个域的功能级别为2003模式

“管理工具”—“AD域和信任关系”，只能从低级别提升到高级别，不能从高降低到低级别的模式

安装DC后管理工具中多了五个管理工具

d) 升级当前两个不同森林的林功能级别为2003模式

e) 创建林信任关系

选择新建信任

输入需要建立的信任域域名hx.com

f) 根据向导继续完成操作建立

g) 在hx.com的DC也需要完成信任关系的创建

选择信任的类型：林信任或外部信任，具体看企业需求

选择信任关系的方向性，为双向还是单向

选择是否可以传递信任关系

用户的身份验证是否是整个森林性质的

信任密码必须要一致

目前已经完全创建了林信任关系

最终的登陆结果是可以通过域中的成员登陆时看到选择域的下拉菜单

i) 输入用户名和密码发现不能登陆，因为目前实验环境是DC，而DC“不允许交互式登陆”

本博内容完全原创，谢绝转载或引用，谢谢，http://yuanjibiao.spaces.live.com

ISA:Internet Security and Acceleration(Internet 的安全和加速服务器)
一.ISA版本：
    1.ISA 2000    需要AD的支持
    2.ISA 2004    不需要AD支持可以在WorkGroup环境中
    3.ISA 2006    ISA2006 = ISA2004+SP3
二.如何在企业环境中部署ISA
    1.Windows 2003 Enterprise R2 + ISA 2006
三.ISA的防火墙的功能：
    1.ISA 的3DMZ模板环境：三个网络（一般是Internet 与 Intranet以及服务器所在的区域DMZ区域）
        实验环境：需要使用三个计算机，其中一个计算机有三块网卡分别连接内部网络（Intranet）和外部网络(Internet)，第三块网卡连接DMZ区域的服务器
        1）第一个服务器网卡配置：
            第一块网卡：网卡名“internet” IP地址 192.168.1.199/24
            第二块网卡：网卡名“intranet” IP地址 20.0.0.2/24
            第三块网卡：网卡名“DMZ”      IP地址 10.0.0.1/24
        2）第一个服务器系统配置：
            计算机名：ISA-S,安装ISA 2006
        3）第二个计算机配置：计算机名：Client 网卡IP 20.0.0.3/24 Gateway 20.0.0.2充当内部工作网络中的客户端计算机
        4）第三个计算机配置：计算机名：DMZ-S 网卡IP 10.0.0.2/24 Gateway 10.0.0.1同时安装IIS并配置WEB服务功能
    2.访问规则的实验步骤：
        1）创建网络模板3DMZ(ISA服务器管理-->阵列-->服务器-->配置-->网络)，选择右侧“模板”--“3 向外围网络”
        2）依照实际环境选择向导完成网络的创建后应用
    #*#注意：默认安装ISA，ISA服务器就是“本地主机”；企业内部的服务器所在的区域就是“外围网络”；企业内部办公区域是“内部网络”；而接入Internet的网络被称为“外部网络”，同时所有网络之间以及本地主机与所有网络的通信都被默认“Deny”,是处于安全考虑。
        3）创建基本的策略满足企业需求
            31）允许“本地主机”向外部网络的所有访问（阵列-->服务器-->防火墙策略-->新建策略）*不安全
            删除31的策略，重新创建以下策略
            32）允许“本地主机”向外部网络的WEB访问（阵列-->服务器-->防火墙策略-->新建策略）
            33）允许“内部网络”向Intenet的WEB访问（将访问源设置为“内部网络”）
            34）允许“内部网络”主机可以ping通“本地主机”以进行网络连通性测试
            35）拒绝“20.0.0.3”计算机访问www.qoq.com,(ISA服务器管理-->右侧工具箱-->网络对象-->新建计算机；新建URL集，“http://www.qoq.com/*”;再创建访问规则，源为计算机对象，应用上创建的URL集)，经过测试后发现访问http://news.qoq.com是可以访问的,再编辑URL集"http://*.qoq.com.cn/*"可以拒绝对该域名以及域名下所有的虚拟目录进行访问，但是仍然无法拒绝直接通过IP地址的访问，需要建立计算机集，限制目标主机的IP地址访问
            36）通过时间的限制拒绝用户对Internet的访问（新建“计划”时间应用到访问规则上）
            37）通过内容类型限制用户进行某类型文件的下载和使用（拒绝在网页上显示视频和图片以及声音，只允许html的类型文件）
            38）添加特殊应用程序的端口访问（可以限制QQ服务器的端口8000，但是通过代理服务器的QQ登陆无法进行限制，可以通过定义http头，如tencent等限制）
    #*#注意：阵列规则是Top-->Down（从上到下）应用生效，为了安全起见拒绝的策略要放置在允许的策略上边
    3.服务器发布的实验步骤：（也称为端口映射，其实也是一种DNAT）
        1）发布DMZ区域中的WEB服务器到ISA的本地主机上
            11）建立关于所发布的服务器端口的WEB侦听器（工具箱-->网络对象-->WEB侦听器）
            12）关闭当前“本地主机”的IIS自身的WEB功能，否则只能更改端口侦听
            13）在发布时，要注意可能会通过域名访问但是不能通过IP访问，需要对访问的公用名称进行添加IP访问
        2）发布DMZ区域中的WEB服务器到ISA本地主机将http://10.0.0.2:8080发布为http://192.168.1.199/china/dl
        3）发布Exchange Server
        4）发布FTP服务器
            11）建立关于FTP21端口的侦听器
            12）关闭当前“本地主机”的IIS自身FTP功能
            13）发布服务器规则
            14）设置只读FTP服务器（不论DMZ区域中的FTP是否允许上传，ISA已经将FTP设置为了只读）
        5）发布一个Telnet服务器
    4.企业策略和访问策略：
        1）企业策略：影响整个企业中所有阵列服务器的策略
            11）在防火墙策略之前应用的企业策略
            12）在防火墙策略之后应用的企业策略
    #*#仍然是由上到下的应用顺序，先生效11）再生效防火墙策略规则，最后在生效12）
        2）创建新的企业策略和访问规则
            21）创建“新企业策略”（企业-->企业策略-->新建企业策略），其中只包含默认拒绝的访问规则，所有的访问规则还需要重新创建
            22）将当前企业的策略更改为“新企业策略”（阵列-->服务器-->属性-->策略设置-->应用新企业策略）
            23）依照网络的需求创建适合网络使用的访问规则就可以
        3）创建在防火墙策略之前应用的企业策略规则优先生效
            31）创建新企业策略的访问规则（新企业策略-->新建访问规则）
            32）调整策略的上下位置，使之成为“防火墙访问规则之前生效的企业策略”或“防火墙访问规则之后生效的企业策略”
        4）策略的导入导出：进行备份       
推荐的学习网站：风间子老师的http://www.isacn.org

本博客所有内容均为原创,作者为袁佶彪,如需要转贴,请附上原作者和博客地址http://yuanjibiao.spaces.live.com