作者：叁玖

题目：

1.创建虚拟机

主机名称	镜像	IPV4地址
windows1	windows2022	10.0.210.101
windows2	windows2022	10.0.210.102
windows3	windows2022	10.0.210.103
windows4	windows2022	10.0.210.104
windows5	windows2022	10.0.210.105
windows6	windows2022	10.0.210.106
windows7	windows2022	10.0.210.107
windows8	windows2022	10.0.210.108 10.0.211.108
windows9	windows2022	10.0.210.109 10.0.211.109

2.域服务
(1)配置所有 windows 主机IP 地址和主机名称。(2)配置 windows1 为 skills.lan 域控制器;安装 dns 服务，dns 正反向区域在 active directory中存储，负责该域的正反向域名解析。
(3)配置 windows2 为 skills.lan 辅助域控制器;安装 dns 服务，dns 正反向区域在 activedirectory 中存储，负责该域的正反向域名解析。
(4)把其他windows主机加入到 skills.lan域。所有 windows主机(含域控制器)用skillsAdministrator 身份登陆。
(5)在 windows1上安装证书服务,为 windows 主机颁发证书,证书颁发机构有效期=10 年,证书颁发机构的公用名=windows1.skills.lan。复制 计算机”证书模板,名称为 计算机副本”,申请并颁发一张证书，证书友好名称为 windowspc，(将证书导入到需要证书的 windows服务器)，证书信息:证书有效期=10年,公用名=skills.lan,国家=CN,省=Beijing,城市=Beijing，组织=skills,组织单位=system，使用者可选名称=*.skills.lan和skills.lan。浏览器访问 https 网站时，不出现证书警告信息。

(6)在 windows2上安装从属证书服务，证书颁发机构的公用名=windows2.skills.lan。(7)在 windows1 上新建名称为 manager、dev、sale的3个组织单元;每个组织单元内新建与组织单元同名的全局安全组;每个组内新建 20个用户:行政部manager01-manager03、开发部dev01-dev03、营销部 sale01-sale03。manager01 拥有域管理员权限。

4.组策略
(1)设置用户 home目录为 windows1 D:sharehome。(2)复制 PowerShell-7.3.9-win-x64.msi到 windows1 的 D:sharehome。域中主机自动安装powershell-7(提示:如果部署不成功，则需要手动安装，软件包在D盘soft 目录。)(3)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证”模板证书，该模板可用作“服务器身份验证”，有效期5年。
(4)登录计算机时，在桌面新建名称为vcsc的快捷方式，目标为 https://www.vcsc.org.cn，快捷键为 ctrl+shift+f6。

5.WEB 服务
(1)把 windows6 配置为 ASP 网站，网站仅支持 dotnet clr v4.0，站点名称为 asp。(2)http 和 https 绑定本机与外部通信的IP 地址，仅允许使用域名访问(使用“计算机副本”证书模板)。客户端访问时，必需有ssl证书(浏览器证书模板为“管理员”)(3)网站目录为C:iiscontents，默认文档 index.aspx 内容为”HelloAspx”(4)使用 windows5 测试。

6.FTP 服务
(1)把 windows7 配置为 FTP 服务器，FTP 站点名称为 ftp，站点绑定本机 IP 地址，站点根目录为C:ftp。
(2)站点通过 Active Directory 隔离用户，用户目录为 C:ftp，用户目录名称与用户名相同，使用manager00 和manager01 测试。

7.NLB 服务
(1)配置windows8和windows9 为 NLB 服务器,(2)windows8 群集优先级为1,windows9 群集优先级为 2，群集IPv4 地址为 10.0.210.60/24，群集名称为 www.skills.lan，采用多播方式。
(3)配置 windows8为web服务器，站点名称为 www,网站的最大连接数为 10000,网站连接超时
为 60s，网站的带宽为100Mbps。
(4)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的D:FilesWebContents、D:FilesWebConfigs 和 D:FilesWebLogs。网站主页 index.html 内容为”HelloNLB”。

2.域服务

(1)

九台关闭所有防火墙，先配置静态ip 重新命名电脑

(2)

配置 windows1 为 skills.lan 域控制器;安装 dns 服务，dns 正反向区域在 active directory中
存储，负责该域的正反向域名解析。

安装域服务器

密码设置：Admin@123 你本机设置的密码

重启完成后

配置DNS

在正向解析中查看是否配置active directory，如图成功配置

设置反向查找区域

为了覆盖 10.0.210.0/24 网段，我们在 “网络ID” 中输入: `10.0.210 为什么不是10.0 因为Windows8和9的那两个IP没有用上所有是10.0.210

加一个反向指针，新建指针右键

(3)

配置 windows2 为 skills.lan 辅助域控制器;安装 dns 服务，dns 正反向区域在 active

跟上一步差不多先安装

设置DNSip

然后一直下一步就行

重启完，然后验证一下Windows2中是否已经加入了

正反向测试

nslookup skills.lan
nslookup 10.0.210.101

(4)

把其他 windows 主机加入到 skills.an域。所有 windows主机(含域控制器)用skilsAdIministrator 身份登陆。

打开Windows3

ping 10.0.210.101 可以ping通

然后DNS 指向正确：待加入域的计算机的首选 DNS 服务器必须设置为域控制器的 IP 地址 (10.0.210.101)。这是最关键的一步，如果DNS指错了，计算机会找不到域。备用DNS就是Windows2的10.0.210.102

如图

右键点击 开始菜单 (或按 Win + X)，选择 系统。

滚动找到并点击 高级系统设置 (通常在“相关链接”部分)

会打开“系统属性”窗口。切换到 计算机名 选项卡。

在 “计算机名” 字段中，确认或修改计算机名（例如 windows3在 “隶属于” 部分，选择 域。在旁边的输入框中，输入你的域名 skills.lan

skillsAdministrator

Admin@123

然后重启计算机

登录页面选择其他用户

Windows3中验证

发现已经加入到域中

在Windows1中打开Active Directory 用户和计算机” 管理工具点击 Computers 容器

能看到一台名为 WINDOWS3 (计算机名会自动大写) 的计算机对象。

然后 windows4 到 windows9 重复以上所有步骤

已经3-9全部加入到域中

(5)

在windows1 上安装证书服务,为 windows 主机颁发证书,证书颁发机构有效期=10年,证书颁发机构的公用名=windows1.skills.lan。复制 计算机”证书模板,名称为 计算机副本”,申请并颁发一张证书，证书友好名称为 windowspc，(将证书导入到需要证书的windows服务器)，证书信息:证书有效期=10年，公用名=skills.lan,国家=CN,省=Beiing,城市=Being，组织=skills,组织单位=system，使用者可选名称=*.skills.lan和 skills.lan。浏览器访问 https 网站时，不出现证书警告信息。

先添加服务

在 “角色服务” 页面，务必勾选“证书颁发机构”。点击 下一步

角色服务：确保勾选了 “证书颁发机构”，Web注册点击 下一步

设置类型：选择 “企业 CA” (因为你是域控制器)，点击 下一步

CA 类型：选择 “根 CA” (因为这是第一个CA)，点击 下一步。

私钥：选择 “创建新的私钥”，点击 下一步。

加密：使用默认的加密算法提供程序 (RSA)、密钥长度 (2048) 和哈希算法 (SHA256)，点击 下一步。

按照题目要求： CA 的公用名：输入 windows1.skills.lan

10年有效期

然后配置就行

也要改注册表

然后

在 windows1 上，打开 证书颁发机构 控制台：

点击 开始菜单 -> Windows 管理工具 -> 证书颁发机构。

右键点击 证书模板，选择 管理

在右侧窗格中，找到名为 计算机 的模板。右键点击它，选择“复制模板”。

常规 选项卡

使用者名称 选项卡

选择 “在请求中提供”。这是为了在后续申请时能手动输入我们需要的主题名称 (skills.lan)。

请求处理选项卡

选择 “签名和加密” 或保持默认。

安全性 选项卡：

添加 Domain Computers 组，并赋予其 “读取”、“注册” 权限。这样域内的计算机才能申请此模板的证书。

确保 域管理员 拥有 “完全控制” 权限。

启用证书模板

按 Win + R 键，输入 mmc 并回车，打开微软管理控制台。

点击 文件 -> 添加/删除管理单元。

在左侧列表中找到并选择 证书，点击 添加。

选择 计算机账户，点击 下一步 -> 完成 -> 确定

在控制台左侧，展开 证书(本地计算机) -> 个人。

右键点击 个人，选择 所有任务 -> 申请新证书。

公用名=skills.lan，国家=CN,省=Beijing,城市=Beijing,组织=skills,组织单位=system

使用者可选名称=*.skills.lan 和 skills.lan 两个类型都是DNS

然后应用确定

注册

然后证书友好windowspc

验证

添加web服务

配置完成后

发现http不安全

绑定一下

发现https://10.0.210.101 还是不安全

而访问https://skills.lan 安全的

(6)

在 windows2上安装从属证书服务，证书颁发机构的公用名=windows2.skills.lan。

跟上一个差不多

因为是从父请求，所以windows1要开启状态，不能关机

一直下一步，配置即可

然后就完成了

(7)

在 windows1 上新建名称为 manager、dev、sale的3个组织单元;每个组织单元内新建与组织单元同名的全局安全组;每个组内新建20个用户:行政部manager01-manager03、开发部dev01-dev03、营销部 sale01-sale03。manager01 拥有域管理员权限。

打开用户和计算机

新建组织单位

然后新建组

在每个组中创建用户

方法一：

打开 PowerShell（管理员身份）

点击“开始”，输入“PowerShell”，右键点击“Windows PowerShell”，选择“以管理员身份运行”。

执行 PowerShell 脚本

将以下完整的 PowerShell 脚本复制粘贴到 PowerShell 窗口中，然后按回车执行。

# 导入 Active Directory 模块
Import-Module ActiveDirectory

# 定义变量
$DomainDN = (Get-ADDomain).DistinguishedName # 自动获取当前域的 Distinguished Name
$Password = ConvertTo-SecureString "Admin@123" -AsPlainText -Force # 设置统一密码

# 1. 创建组织单元 (OU)
Write-Host "正在创建组织单元 (OU)..." -ForegroundColor Green
New-ADOrganizationalUnit -Name "manager" -Path $DomainDN -ProtectedFromAccidentalDeletion $false
New-ADOrganizationalUnit -Name "dev" -Path $DomainDN -ProtectedFromAccidentalDeletion $false
New-ADOrganizationalUnit -Name "sale" -Path $DomainDN -ProtectedFromAccidentalDeletion $false

# 2. 在每个OU中创建全局安全组
Write-Host "正在创建全局安全组..." -ForegroundColor Green
New-ADGroup -Name "manager" -GroupCategory Security -GroupScope Global -Path "OU=manager,$DomainDN"
New-ADGroup -Name "dev" -GroupCategory Security -GroupScope Global -Path "OU=dev,$DomainDN"
New-ADGroup -Name "sale" -GroupCategory Security -GroupScope Global -Path "OU=sale,$DomainDN"

# 3. 创建用户函数
function Create-Users {
    param (
        [string]$OUName,
        [string]$GroupName,
        [string]$UserPrefix
    )

    Write-Host "正在为 $OUName 部门创建用户并添加到组中..." -ForegroundColor Green

    for ($i = 1; $i -le 20; $i++) {
        $Username = $UserPrefix + "{0:D2}" -f $i # 格式化数字，例如 1 -> 01
        $DisplayName = $Username
        $UserPrincipalName = $Username + "@" + (Get-ADDomain).DNSRoot
        $UserPath = "OU=$OUName,$DomainDN"

        # 创建用户
        New-ADUser `
            -Name $DisplayName `
            -SamAccountName $Username `
            -UserPrincipalName $UserPrincipalName `
            -DisplayName $DisplayName `
            -GivenName $Username `
            -Path $UserPath `
            -AccountPassword $Password `
            -Enabled $true `
            -ChangePasswordAtLogon $false ` # 设置为false，用户首次登录不需改密码。如为提高安全性，可改为$true。
            -PasswordNeverExpires $true    # 密码永不过期。根据安全策略，可调整为$false。

        # 将用户添加到对应的组
        Add-ADGroupMember -Identity $GroupName -Members $Username
        Write-Host "已创建用户并添加到组: $Username" -ForegroundColor Yellow
    }
}

# 调用函数创建用户
Create-Users -OUName "manager" -GroupName "manager" -UserPrefix "manager"
Create-Users -OUName "dev" -GroupName "dev" -UserPrefix "dev"
Create-Users -OUName "sale" -GroupName "sale" -UserPrefix "sale"

# 4. 赋予 manager01 域管理员权限
Write-Host "正在将 manager01 添加到域管理员组 (Domain Admins)..." -ForegroundColor Green
Add-ADGroupMember -Identity "Domain Admins" -Members "manager01"
Write-Host "任务全部完成！manager01 现已具备域管理员权限。" -ForegroundColor Cyan

方法二：

直接在电脑上创建用户然后在移动到对应的组里面去

net user manager00 Aa123456! /add 

net user manager01 Aa123456! /add

.......

net user sale00 Aa123456! /add

net user sale01 Aa123456! /add

......

net user dev00 Aa123456! /add

net user dev01 Aa123456! /add

......

然后移动就行 添加到组就行

现在已经全部创建好了

要正常的话要将manager01添加到管理员但是那个指令已经添加好了

操作 选中manger01，右键-属性-隶属于-添加-高级-立即查找

然后要给密码永不过期勾选上用户不能更改密码
用户下次登录必须修改密码，取消勾选 全部选择 然后右键 属性 选择账户

然后三个都弄一遍就行

3.文件共享

(1)

在 windows1的C分区划分 2GB 的空间，创建 NTFS 主分区，驱动器号为 D。创建共享目录D:sharehome，共享名为 home，允许所有域用户完全控制。

开始，右键进入磁盘管理

将C盘 提出2048MB内存

将DVD转为E盘

然后新建卷

点高级共享

然后完成了

4.组策略

(1)

设置用户 home目录为 windows1 D:sharehome

(2)

复制 PowerShell-7.3.9-win-x64.msi到 windows1 的 D:sharehome。域中主机自动安装powershell-7(提示:如果部署不成功，则需要手动安装，软件包在D盘soft目录。)

PowerShell-7.3.9-win-x64.msi 没有这个版的使用的是PowerShell-7.5.2-win-x64.msi

将 PowerShell-7.3.9-win-x64.msi 文件复制到 D:sharehome 目录。

软件包在D盘soft目录

打开组策略 开始一栏有组策略

右键编辑

右键软件安装

复制路径

新建数据包

重启就会就会安装软件

(3)

域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证”模板证书，该模板可用作“服务器身份验证”，有效期 5年。

计算机配置–windows设置–安全设置–公钥策略–自动证书申请设置

进入证书颁发机构

选择 证书模板–管理–工作站身份验证

最后回到组策略编辑器中，公钥策略，证书服务客户端-自动注册

(4)

登录计算机时，在桌面新建名称为vcsc 的快捷方式，目标为 https://www.vcsc.org.cn，快捷键为 ctrl+shift+f6。

用户配置–首选项–windows设置–快捷方式

右键新建

5.WEB 服务

(1)

把 windows6 配置为 ASP 网站，网站仅支持 dotnet clr v4.0，站点名称为 asp。

先下载服务

改为true就是设置为了ASP网站这题要结合全部题目来做，不然没法做

创建文件目录

配置网站仅支持 dotnet CLR v4.0

(2)

http 和 https 绑定本机与外部通信的IP 地址，仅允许使用域名访问(使用“计算机副本”证书模板)。客户端访问时，必需有 ssl证书(浏览器证书模板为“管理员”)。

我们先运行打开mmc–添加管理删除单元–证书–添加–计算机账户–证书–个人–申请新证书–由管理员配置–选择计算机副本–配置设置–注册

注册完成

我们回到iis中去绑定SSL

客户端访问时，必需有 SSL 证书（浏览器证书模 板为”管理员”）。

(3)

网站目录为 C:iiscontents，默认文档 index.aspx 内容为”HelloAspX”

还需要再asp中添加mime类型，

(4)

使用 windows5 测试。

无法访问

在windws1中修改证书模板

把原来的管理员证书删了添加原来修改过的

这里报错没有权限，原因是我们没有SSL证书，我们需要去申请一张

打开mmc，然后添加删除管理单元–证书–我的用户账户–完成–个人–所有任务–高级操作–创建自定义请求–管理员

或者–所有任务–申请新证书–管理员–详细信息–属性

6.FTP 服务

(1)

把 windows7 配置为 FTP 服务器，FTP 站点名称为 ftp，站点绑定本机IP 地址，站点根目录为C:ftp。

安装服务

添加目录

(2)

站点通过 Active Directory隔离用户，用户目录为 C:ftp，用户目录名称与用户名相同，使用manager00 和manager01 测试。

用户名设置：

Administrator

密码：

Admin@123

设置完成后点击应用

然后创建以用户名为文件的名字

然后因为这个题有问题在2.（7）的问题中说话有问题manager01-manager03 我以为从01-20创建的用户，题目没有说清楚

所以这里用01和02来测试

右键ftp属性 文件夹共享

打开Windows1中打开 Active Directory 用户和计算机

进入属性编辑器

找到ftpRoot

设置你的计算机名字和主目录和文件夹

\windows7ftp

然后设置用户的目录

msllS-FTPDir

manager01

然后manager02也是一样的

然后重启Windows7

Windows1来测试

完成

7.NLB 服务

(1)

配置 windows8和 windows9 为 NLB 服务器。

安装 NLB 功能

打开 服务器管理器 → 添加角色和功能 → 选择 网络负载平衡 → 安装。

win8和win9安装一下

(2)

windows8 群集优先级为1,windows9 群集优先级为 2，群集IPv4地址为 10.0.210.60/24，群集名称为 www.skills.lan，采用多播方式

打开网络负载平衡管理器

右键单击「网络负载平衡群集」→「新建群集」

输入 Windows 8 的主机名 → 点击「连接」

选择要用于 NLB 的网络接口（10.0.210.108 所在的接口）

设置主机优先级：1

下一步

点击「添加」输入群集 IP 地址：10.0.210.60

子网掩码：255.255.255.0

完整 Internet 名称：www.skills.lan

选择「多播」操作模式

完成配置

添加 Windows 9 到群集：

1. 在 NLB 管理器中右键单击新建的群集
2. 选择「添加主机到群集」
3. 输入 Windows 9 的主机名 → 点击「连接」
4. 选择要使用的网络接口（10.0.210.109 所在的接口）
5. 设置主机优先级：2
6. 完成添加

跟上一个差不多

配置完成

(3)

配置 windows8为web 服务器,站点名称为 www,网站的最大连接数为 10000,网站连接超时为 60s，网站的带宽为100Mbps。

配置 Web 服务器（Windows 8）

安装 IIS：

1. 打开「服务器管理器」
2. 点击「添加角色和功能」
3. 选择「Web 服务器(IIS)」
4. 安装所需功能

打开「IIS 管理器」

1. 右键单击「站点」→「添加网站」
2. 配置网站参数：
   • 网站名称：www
   • 物理路径：使用网络路径 Windows1FilesWebContents
   • 绑定：保持默认（所有未分配，端口80）
3. 点击「确定」

在Windows1中创建 并分享

进入W8

右键高级设置

1. 找到”进程模型”部分的”标识”属性
2. 点击右侧的”…”按钮 → 选择”自定义账户” → 点击”设置”
3. 输入具有访问共享权限的域账户凭据（如 skillsAdministrator 和密码）
4. 点击”确定”保存更改

然后Windows8设置就行

配置网站限制：

1. 选择「www」网站
2. 在右侧操作栏点击「限制」
3. 设置：
   • 最大连接数：10000
   • 连接超时：60 秒
4. 点击「配置」→「编辑网站限制」
5. 设置带宽限制：100000 KB/秒（约100Mbps）

(4)

共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的D:FilesWebContents、D:FilesWebConfigs 和 D:FilesWebLogs。网站主页 index.html 内容为”HelloNLB”。

在 Windows1 上操作

1. 确保已创建以下文件夹：
   • D:FilesWebContents
   • D:FilesWebConfigs
   • D:FilesWebLogs
2. 设置共享权限：
   • 右键单击每个文件夹 →「属性」→「共享」→「高级共享」
   • 勾选「共享此文件夹」
   • 点击「权限」→ 添加「Everyone」并给予「完全控制」权限
3. 在 D:FilesWebContents 中创建 index.html 文件，内容为 “HelloNLB”

Windows1 测试

完成配置