2008R2Win7管理一创建域和加入域
008R2Win7管理一创建域和加入域
最近微软放出了2008R2和win7的中文版,呵呵,符合国人的习惯,2008R2最好玩的功能虚拟化高可用群集中的快速迁移和实时迁移我们在前面已经玩过了,高深的我们已经玩过了,没有玩过的也跟着我的博文一起玩过了,呵呵,本系列玩玩2008R2的基础功能和配套win7管理,例如域和一些其他管理上的新亮点和特性.
为什么要配套管理和做系列呢,因为相应的服务器版本是对应相应的客户端,例如windows 2000 server对windows 2000和windows server 2003对windows xp以及windows server 2008对windows vista.本年度微软发布的windwos server 2008 R2则是为windows 7量身定做的.
为什么要分版本对应呢,这里描述个简单的例子,假如域控使用windows server 2008构建,客户端使用windows xp来构建,某些组策略可能会无法套用,需要到微软下载专用的补丁才能正常套用,就像office2003要打开office2007创建的文档需要office兼容包,但是office兼容包不是随更新提供的,只是单独到微软网站下载的.如果网络上没有先例,可能只能将问题提到微软,如果是盗版用户,则无法获得微软的解答,到微软中文论坛提问则另当别论,呵呵,微软中文论坛的大牛多,运气好某个大牛在就给解答了.所以目前我公司的架构还没升级,域控为2003网域,其他服务器为2008,2008R2只是个人测试中.
不说废话了,先描述我的环境,
OS1安装windows server 2008 R2企业版
OS2安装windows 7 旗舰版
过程为创建域和用户以及加入域
1.创建2008R2网域和创建域用户
首先在server使用dcpromo开始安装网域操作,步骤跟2003和2008都没什么太大的差异,基本上一样,因此也就不截图了
有一点不一样而已-林功能级别!
安装好网域
然后看看效果图
创建个用户为win7加入网域做准备
先创建个公司的ou,然后在ou下建部门,部门下再建用户,本实例仅仅测试就不折腾那么多了,只创建了个office的ou,然后在ou下开工创建win7的登录账号
单击创建新用户
输入姓,然后输入登录名
输入密码,要求密码符合默认的域策略的强密码策略
信息预览
看看创建OK的test用户
2.将win7加入网域
下面我们去折腾7
看看7的样子
在系统属性中选择更改设置选项来更改计算机名
单击更改来直接加入网域或者使用网络ID以向导的方式加入网域
在隶属于选项,单击域,并输入域名的dns后缀,然后单击确定
输入有权限将计算机加入网域的网域账户,然后单击确认.
加入成功,出现成功提示.
要求重启计算机
打击关闭,
要求立即重启或者稍后重启
重启后出现的欢迎画面,默认是以本地管理员这个画面用户登录,我们需要单击切换用户来使用域用户登录
单击其他用户
默认已经有了登陆到ccfxny(ccfxny是ccfxny.com的netbios名称)的选项,输入创建的test账户和密码
在服务器的计算机OU下已经能看到计算机,还识别出了计算机版本
如果我们要针对计算机做策略,就需要将这个计算机从计算机这个默认的ou下移动到自己创建的ou下.不然默认的设置是只有全域策略中的计算机设置才能套用到computer这个OU.
登陆到win7后,在计算机上右键管理-出现要求输入有权限的账户才能正常使用,比2003改进不少,2003对没权限的用户直接不让打开.环境有了,下篇开始做点实际的,敬请期待.
2008R2Win7管理二组策略之控管USB及QQ等
2008R2Win7管理二组策略之控管USB及QQ等
上篇我们基本的应用已经有了,有兄弟说我的东西太基础了,哈,高楼都是从基础开始建的,其实我也有点迷惑,基础了嫌我写基础了,写点高深的又没人看.不过不管怎样,我还是会坚持自己的风格,我更希望的是我能起到一个抛砖引玉的作用,而不是一个讲师,什么玩意都告诉你们,怎么去折腾怎样怎样的,古人有云:”授人以鱼不如授人以渔”这句话用在如今的IT行业也很合适,我经常在论坛看见有求助的网友恨不得回答的人所有的都包办了,缺乏思考和自我学习.这是一种悲哀.
本篇仅为列举2个例子一个封锁qq,一个封锁USB,根据这个路线走可以封锁任何你想封锁的程序,以及封锁usb存储设备,光驱设备,以及软驱设备.
例子一为封锁qq等你想封锁的程序,例子二为封锁usb存储设备但不封锁usb鼠标等设备.
开始正题1.封锁QQ
首先单击组策略管理,来进行组策略管理
在组策略管理里面,新建一个组策略.
输入组策略的名称
创建完成.单击编辑来编辑组策略.
分为计算机策略和用户策略,计算机策略只针对OU里面有计算机对象的才能生效,如果OU里面没有计算机,做了计算机策略是不能生效的,用户策略则是针对用户的.
我们目前做针对用户的策略,来封锁程序,在软件限制策略上单击创建软件限制策略.
创建以后则有了默认级别的规则.
右键单击新建哈希规则
单击浏览找到QQ.exe单击确定则会自动读取QQ的哈希值
单击确定完成哈希规则的创建
新建路径规则也简单描述一番,路径可以用万有字符代替,只要路径中包含该字符,则无法访问.
这样做的目的是一旦QQ的哈希值大升级变更了哈希值,还能用路径规则限制QQ的访问
创建完成如图,下面我们要做的就是将office这个组策略套用到office这个ou上或者我们要控制的ou上,因为做的是用户策略,也要保证该OU下存在用户账户,并且客户端使用该账户登录.直接将office这个组策略向欲连接的ou上拖拽即可连接.
拖拽到office这个ou出现提示,是否连接,单击确定连接
连接完成,查看office这个ou连接的组策略,可以看到如图
查看继承,可以看到继承了默认的组策略.,也受全域策略限制
下面我们在客户端上手动刷新一下组策略
打开QQ程序,则出现阻止错误
2.USB存储封锁,在2008R2网域后,针对usb存储已经不像2003网域那样封锁比较麻烦,这里能很好的做封锁,也有针对计算机和针对用户.
针对用户的,不管他在何电脑都不能使用usb,针对计算机的则是不管是什么用户到该电脑都无法使用usb,各位酌情选择.
这是封锁前,插入的一个量产过的u盘,能正常识别出usb-cdrom和U盘设备.
下面开始做策略,这个是针对计算机的策略,位于计算机配置=策略-管理模版=系统-可移动存储访问
用户的位于用户配置-策略=管理模版-系统-可移动存储访问
编辑可移动磁盘拒绝读取权限,选择已启用
拒绝写入权限启用
设置2个策略完成如图
在客户端刷新一下,再插入U盘,看看,能正常识别,但是F这个U盘无法访问.
但是量产成光驱的还能正常读取
如果我们在上面设置了禁止存取光驱,那么光驱也会不能读取,看看简单的几步就能将在windows 2003环境中封锁U盘存储设备的困境解决,2003封锁U盘就是一刀切,连usb鼠标也封锁了,使用本文则不会,本文只针对usb存储设备!是不是很实用呢.
2008R2Win7管理三创建文件服务器
2008R2Win7管理三创建文件服务器
本系列写到今天,我打算做个完整的系列,从公司基本上能用得上的东西都写一写,在2008R2上有什么改变,能为大家带来何种易用性以及管理便捷性.有初级的也有高级,根据题目自行判断是否阅读.呵呵.
本篇简单描述下文件服务器,文件服务器基本上在每个公司都会用到,或者是ftp,很多内部使用ftp的原因是什么呢,那就是因为内部没有使用域,或者对2003和2008不了解.觉得难以操作,才选择了ftp.
本篇希望能对大家了解windows 文件服务器起到一定的帮助.
目前的结构是只有一台NS1和win7.
我们的环境随着公司的发展会越来多元化,目前还是基本的环境.
因为我们的环境中的公司刚起步,他的服务器还不完善,暂时使用仅有的一台ns1充当了域服务器,现在有文件的需求,只好在ns1使用文件共享来充当文件服务器.
本篇分为创建共享及配置权限和验证共享
1. 创建共享
首先我们在NS1的d盘或者其他的数据盘上创建一个文件夹,可以自行命名为data或者share,本例仅有一块C盘,所以在c盘创建了一个share文件夹.
然后我们在share上单击右键,选择共享,在权限里面将everyone设置为读取单击完成总的文件夹的配置.
然后我们在share里面为部门创建文件夹,本例假定我们已有的test是个部门,test1是另外一个部门.
文件夹创建完毕,我们就开始配置每个部门的权限,每个部门只能看到自己的文件夹和访问.在test这个文件夹中配置安全性.将系统system和administrator管理员之外的账户删除,然后将test账户加入安全权限,完全控制.
Test1文件夹,我们不给test这个账户权限,只保留管理员权限.
完成配置,我们在win7客户端上输入\\ns1访问 文件服务器出现如图.
单击share可以进入看到自己的test文件夹,但是test1不可见.这里说一下,如果需要经理可以查看所有的人的文件夹,则在安全里面加入经理的账户.
部门一般是有几个甚至几十的用户组成,可以将几十个用户都创建一个组,然后在安全里面配置这个组有完全控制权限即可,本例配置的是给与用户访问这个文件夹,授予某个用户组能访问某个部门文件夹的操作类似.
试下权限,在test中创建一个文本文件.
创建OK
试下删除
确认删除.
删除成功完成.
下面是在2008R2这台机器上访问\\NS1的情况,因为2008R2上登录的是管理员账户,可以看出有权限的用户能看见所有的文件夹.
并且打开也能看到内容.
2008R2Win7管理四迁移文件服务器
随着公司规模的扩大,NS1已经不能满足公司日益增加的文件共享需要
于是采购了一台新主机至强5500,2G内存,千兆网卡,2TB硬盘互相备份
首先将机器安装windows server 2008 SP2,本例没有安装2008R2,给大家看看有什么不同的,并且将NS1上的共享完美迁移到新的文件服务器上,安全权限不丢.
其实最好的做法是将新机器加入网域,然后将旧的ns1上的存放共享文件夹的硬盘拆下来,安装到新机器上即可,安全权限都还在,只是共享权限需要重新配置而已.
但是大多数公司服务器都是做了raid,不可能拆硬盘到新机器上,所以我们只能做迁移!微软提供了一个工具Microsoft File Server Migration Toolkit目前已经更新到1.2了,在2003的时代还是1.0呢,呵呵
可以从微软官网下载英文版的1.2,本工具分为64位和86位,大家自行根据需要来下载.
本篇分为1安装fsmt工具和2迁移文件服务器3验证迁移后的共享
特别说明:本工具是在新机器上安装,也就是要迁移到的目的地上安装,本例为在新机器file上安装
本例因为扩大的网络,增加了新服务器FILE,
1. 安装fsmt
从微软官方网站找到fsmt下载链接,单击download
出现版本选择,根据自己待转移的那台机器的版本来单击右边的download来下载.
下载完成的如图,32位和64位都下了,
双击相应版本的程序,单击next下一步
同意协议并下一步
输入用户信息并下一步
标准安装和自定义安装
本例选择的标准安装并单击next开始正式安装
安装完成,启动管理工具的连接.
打开了如图的能使用的工具连接.
2. 使用fsmt迁移文件服务器
单击上图的3-run server migration wizard或者在程序中找到这个工具
出现第一次配置向导,单击new,创建一个新项目
向导首页
输入日志文件夹的名称和存放日志文件的本地路径
提示该文件夹不存在,是否创建.单击是以创建该文件夹
还可以迁移dfs呢,本例没有dfs,就不用选择dfs了,然后next
这里选择的是迁移的目的的,比如我要讲ns1上的所有共享都迁移到本地的c盘,就选择c盘,或者d盘,前提是要保证该盘能存放ns1上的所有共享的文件夹.放到c盘即可,不用担心会将子文件夹也迁移到c了,迁移过程中会在C盘创建一个文件夹,名称为ns1的fqdn名称并在里面创建迁移过来的子文件夹.
单击finsh完成项目准备
单击完成后出现如图,我们单击add server来将要迁移的宿主也就是原来的文件服务器例如ns1添加到服务器池.
输入ns1的fqdn名称ns1.ccfxny.com
单击ok完成,如果系统默认的防火墙没关闭可能会出现rpc错误,只需要暂时关闭防火墙即可
选择好服务器后单击continue来继续下一步,验证设置
验证完成,再次continue下一步
拷贝文件夹中,再次continue继续下一步
提示操作过程会停掉共享,是否继续,单击是来继续操作
操作完成,可以退出工具了.迁移过程视
3. 验证迁移情况.
现在我们在file这台服务器上打开c盘,可以看到c盘下有个新目录ns1.ccfxny.com
打开该文件夹则发现ns1上的共享文件夹
打开后share里面的内容也跃然出现
再瞧瞧文件,也有了
直接输入\\file来访问共享看看,看到共享了,只是这共享名有点奇怪
进去后跟在ns1上打开share文件夹的效果是一样的
看看本地的权限,test文件夹正常.
Test1也是OK的
我们来重新更改下共享名即可.
<!--[endif]-->
单击高级共享,然后添加一个新的共享名并删除旧有的共享名,,然后为新的共享名配置之跟之前一样的共享权限,这样安全权限不会丢.如果想迁移的时候就迁移成跟之前一样的共享名,需要按如下步骤进行
|
1. |
创建迁移项目和添加源文件服务器。 |
|
2. |
关闭文件服务器迁移向导。 |
|
3. |
定位迁移项目的 .xml 项目文件。默认状态下,项目文件存储在名为 FileServerMigration 的文件夹中。 |
|
4. |
使用记事本打开 .xml 项目文件。 |
|
5. |
搜索 ‹TargetShare›Sharename_SourceServerName‹/TargetShare› 并根据需要删除 _SourceServerName。 例如,如果用户想要从目标共享名称中删除服务器名称 _MyOldFS,则需要使用 _MyOldFS‹/TargetShare› 字符串复制 ‹/TargetShare› 字符串的所有值。 注意: .xml 文件中的标记需要区分大小写。用户必须完全按照此处所显示键入标记。 |
|
6. |
保存并关闭 .xml 文件,重新启动文件服务器迁移向导,并选择修改的项目文件。 |
更改完成
在win7客户端上打开file共享
恩,看到俩文件夹了,跟2008R2不一样,2008R2只能看到自己的文件夹.
打开test1失败,因为没权权限.
我们来看下ns1这台2008R2的共享和存储管理中,单击share-属性,可以看到默认的基于访问权限的枚举,已经默认开启的
单击在file这台2008上是关闭的
我们单击高级-然后启用基于访问权限的枚举
启用完成
再来看共享,跟2008R2一样,看不到自己没权限访问的文件夹了.
2008R2Win7管理五安装wds和dhcp
2008R2Win7管理五安装wds和dhcp
应部分博友要求,本篇和未来几篇阐述一下使用wds来播发操作系统,也就是网络安装win7系统.准备是必要的,wds角色和dhcp作为基础环境在本篇中进行安装,wds角色提供wds服务,dhcp提供dhcp让客户端从网络启动时能获取到ip然后获取到启动映像并读取映像,接着启动win7的安装.高手和牛人略过本篇,本篇仅仅介绍安装角色而已,知道步骤也请跳过本文直接阅读下文的配置篇.wds部署要求网络环境存在域和dhcp和dns.
本例将dhcp和wds都安装在NS1,我们的环境没有扩大,只是增加一台wds客户端来测试安装.
使用服务器角色添加向导,选择windows部署服务和dhcp服务两项.
选中如图两项,然后下一步
信息确认
Wds的功能,默认都勾选,直接下一步
配置dhcp的选项
设置从哪个网卡做为和局域网连接
设置发起域和客户端的dns为192.168.10.2
Wins设置,没有这玩意,直接无视了
添加dhcp要播发的ip段,单击添加
设置要分配给客户端的ip段和网关以及子网如图
设置完成,下一步确认配置
没有ipv6环境,直接选择无状态了
这个也没有,也直接默认了
设定授权该dhcp以使其工作
信息总揽并确认.
开始安装,安装完成,最好重启一下,以免有什么意外.不过不重启好像也没什么问题
2008R2Win7管理六配置wds
2008R2Win7管理六配置wds
本篇中环境已经准备好了,那么开始配置wds了.
首先准备好win7的光盘,
放入光驱或者将所有文件拷贝到某个磁盘内备用
本篇分为配置wds以及添加映像和添加网卡驱动到映像
1.配置wds
首先在服务器管理器里面打开安装好的wds服务,在服务器上单击右键选择配置服务器,开始配置服务器
要求必须是域成员或者是域控,还要求有dhcp和有dns,和存储映像的ntfs分区
选择一个存放安装映像的文件夹.
放到C盘了,有提示,我的实验环境只存在一个盘,所以大家见谅,有条件的应该放在专用的其他数据盘
选中如图的两个选项,是设置dhcp的启动设置,等于在2004的dhcp上设置66和67
响应所有未知和已知的客户端,这样不需要手动审核.
开始配置服务器和启动服务器.
启动服务完成,这里有个立即添加映像,会启动添加映像向导,可以从这里启动来讲boot.win添加到启动映像和将install.wim添加到安装映像.或者手动去启动映像和安装中分别添加.我们一切以微软默认指导来运行
2.添加映像
关闭上图的对话框后出现下图的选择栏
这里指定一个存放win7的安装文件的存放位置,本例是将所有win7的文件解压到d盘了.大家可以自行设置,解压到d盘或者其他盘的win7目录等
给启动映像选择一个名字
确认信息并下一步
开始检查并将d盘的boot和install添加到启动和安装映像中
添加完成
完成后如图,在安装映射中有windows7和启动映像中有boot.wim,当然不使用向导,也可以手动在启动映像上右键=添加启动映像来添加boot.wim文件.
配置完毕,可以去客户端设置网络启动了,吼吼.
3.添加网卡驱动到启动映像
如果有不能正常启动客户端的,可能没网卡驱动,可能需要手动将网卡驱动也添加到启动映像中,下面介绍下将网卡驱动添加到启动映像
右键单击添加驱动程序包
驱动包要包含inf,不能是下载下来的exe的安装驱动程序包,可以先上官网下载客户端网卡的驱动或者使用一些雨林木风等的驱动包,本例将部分驱动拷贝到了c盘的networkdriver目录
在驱动选择中选择该目录,会自动读取该目录的所有驱动
读取到5个驱动程序
选择好包下一步
开始添加驱动程序包
为包创建一个组名称
创建添加完成,筛选就没必要了
然后在启动映像上单击右键将驱动程序包添加到映像
默认下一步,直接无视首页
选择我们的包,单击添加
添加OK
下一步继续
开始更新启动映像
更新完毕
2008R2Win7管理十八TS终端
2008R2Win7管理十八TS终端之一
本篇开始介绍R2上的远程终端和远程应用程序.R2有专为win7优化和设计,主要体现在远程桌面web访问上,
拓扑图增加一台ts服务器
本文仅介绍安装篇,安装必要的组件和组件说明.
在服务器管理中单击添加角色,打开添加角色向导,选择远程桌面服务
桌面服务简介
角色功能说明,远程桌面会话主机是以前的终端服务的升级
虚拟机主机需要主机上有hyper的支持
桌面授权,设置授权选项的功能
连接代理,支持负载均衡和设置remote app
Ts网关
为win7设计的web访问方式
安装角色,远程桌面网关需要添加必要的iis角色
Web访问页需要添加iis相应的角色
虚拟机主机需要hyper-v的支持
虚拟主机暂时玩不了,目前所有的机器都是在虚拟机里面,虚拟机开不了hyper-v,所以目前安装如下角色
建议是安装完了这些角色再去安装remoteapp要发布给客户端的应用程序
网络级别的身份验证,根据需要选择,目前xp不支持网络级别的身份验证,需要修改注册表实现.
授权模式,每设备或者每用户,根据许可证决定
选择rd主机的有权限的用户,单击添加以添加,默认已经设置为administrators组
选择远程连接上来后提供的桌面体验,在局域网内可以选上音视频和桌面元素,在广域网连接去掉这些会比较流畅一点.
配置授权许可证的访问
选择证书,有ad证书服务的则申请证书,或者创建如图的自签名证书
授权策略
选择账户
选择验证方式
选择允许访问的策略.比如我连接到ns1这台ts,是否允许访问和ts同一局域网的其他机器,在如下图中设置.
策略网络
安装该角色配置远程拨入或者别的
Iis角色添加
默认即可
确认之前的选项
开始安装
安装完成,单击关闭并重启
配置功能中
2008R2Win7管理九DNS冗余和恢复
2008R2Win7管理九DNS冗余和恢复
本文介绍如何在ad中的主dns崩溃后快速利用备份dns将主dns恢复.以及在主dns完好的时候进行dns冗余备份
本文在file这台服务器上安装好dns角色来作为主dns的备份,安装角色的过程不在详细描述,略过.相信大家都知道了.
本问对拓扑图略有改动,故再次更新发布
在file的dns管理器中,正向区域上单击右键=新建区域
默认的向导出来了
这次我们创建的是辅助区域,不再是主要区域了
输入跟主dns上一样的区域名称
然后设置要从哪个dns服务器上复制区域数据
本文设置从主dns192.168.10.2上获取区域数据
单击下一步继续
创建完成
按照上面的步骤,分别创建_msdsc.ccfxny.com这个辅助正向区域和192.168.10这个反向区域
创建完成,打开区域会报错,提示无权限加载
OK,现在我们回到主dns,在区域上单击右键=属性
切换到区域传送选项卡,单击允许区域传送
只允许到下列服务器,,单击编辑来添加file这台服务器
输入192.168.10.4这个ip,这是file的ip
单击确定,完成,并依上面的步骤在ns1的_msdsc.ccfxny.com和192.168.10区域上分别授予192.168.10.4以区域传送权限
我们回到file服务器,单击重新传送
OK了,能看到里面的数据都跟ns1一样,完全复制了过来
现在我们的区域是辅助区域,当抄写完毕后,我们可以讲辅助区域更改为主要区域,这样ns1挂了后,可以从file将dns的数据抄写回去,,当然ns1挂了后也是先创建辅助区域,然后从file抄写区域数据,然后更改为主要区域以及ad集成区域
单击属性,常规选项卡,更改
单击主要区域,以变更为主要区域,由于file不是域控,所以下面的”在ad中存储区域’不可用,如果file是域控,则可选
更新,选择为非安全
根据以上步骤,完成区域的类型更改,现在file成了一个备用dns.未来ns1的dns挂了可以从file抄写数据,当然也可以从我前文”灾难恢复某分公司主域控实录”中描述的从netlogon中拷贝数据到dns文件中来灾难恢复dns.
2008R2Win7管理十驱动器映射及本地账户管理
2008R2Win7管理十驱动器映射及本地账户管理
本篇抛砖引玉的介绍使用域策略的首选项来干活!实例1为将文件服务器的共享盘映射成一个网络盘,实例2为将文件服务器的共享文件夹创建一个快捷方式放到用户的桌面上实例3为管理win7客户端的本地用户组,在首选项可做设置的东西很多,包括创建和更新文件或者文件夹等,例如我们有一份公司内部电话表,我做个首选项设定,将该文件放到所有用户的桌面,每次内部电话号码和人名变更,我只需要变更该文件即可,是不是很方便呢.其他的注册表什么的也聚合到首选项了,在2003时代这些映射驱动器和更新注册表和文件,是靠将命令写成脚本,然后将脚本加到开机登录脚本里面来完成这些工作的.但是2008R2颠覆了这一观念,在这里已经聚合了很多脚本才能做的策略!不说废话,开始上正题
1. 网络共享文件夹映射成本地盘
有的公司喜欢将文件夹映射到客户端本地,有的为了网络着想和改善开机速度,将共享文件夹放到桌面了,本次两种方式都叙述,抛弃bat脚本吧,首选项可以为你做到一切!
打开该ou上的组策略,在用户配置-首选项-windows设置中能看到驱动器映射选项
右键单击-新建-映射驱动器
输入操作:创建和更新和删除,已有的可以进行更新操作,第一次则选择创建,输入位置以及映射的盘符,这样有利于公司内部统一讲法,比如说张三对李四说你看看,我放在z盘的123这个ai图档有问题.如果各自的盘符不一样,就会造成交流的不便.所以都固定为一个盘比较好,然后单击确定完成
完成如图
在win7客户端更新组策略,侦测到某些组策略需要注销才能生效,于是注销
重新登录
OK,已经有网络盘这个Z盘了
正常打开
2. 新建快捷方式到客户端
本例描述创建一个快捷方式到客户端的桌面,开始菜单,等等!
在快捷方式选项卡,内新建-快捷方式
可选的位置,桌面=开始菜单=等等!本例选择桌面,其他的童鞋们自行实验,
选择创建操作,路径输入共享路径,单击确定完成
完成如图
再次刷新客户端
注销后桌面有了快捷方式,打开正常.成功!
3管理客户端的本地用户,本例客户端的administrator账户默认是禁用的
在控制面板,本地用户和组中,新建本地用户
因为是对administrator操作,所以选更新
输入密码和勾选密码不过期,然后确定即可
完成如图
刷新组策略后,再次查看客户端的账号已经启用了!实验成功!根据这个思路可以在客户端上用组策略创建用户和修改用户以及将域用户加入本地管理员组或者power user组!
2008R2Win7管理十一活动目录回收站
2008R2Win7管理十一活动目录回收站
本篇为大家介绍2008R2网域中最负盛名的活动目录回收站的使用,回收站,顾名思义:即删除后还可以再恢复.不然在2008的网域中就只能先备份数据库,然后再删除,然后再从数据库恢复用户,具体做法可参考宋杨的博客.但是对于2008R2网域,有了活动目录回收站,我们测试以及误删除不再担忧啦!
只需要启用活动目录回收站功能即可.
必要条件:林和域的级别必须是2008R2级别,2008级别不能使用活动目录回收站,否则请将dc使用adprep升级架构和域.
如果2008R2dc安装时没选择2008R2级别,也需要事先提升至2008R2
本篇分为1环境准备2启用活动目录回收站和3测试删除恢复
1.环境准备
如下图,在用户和计算机的,域上单击右键-提升域功能级别,可见我的域级别已经是2008R2,无法再提升了,如果没提升的,则会在这里看到提升选项.
下图是林级别的提升操作,在域和信任关系上单击右键-提升林功能级别
2.启用活动目录回收站
启用活动目录回收站的方式有ldp.exe修改和用于power shell的ad模块,但CC只介绍最简单的power shell命令行启用,对ldp.exe启用感兴趣的请上微软官方网站查找资料.
单击管理工具中的用于power shell的ad模块,启动power shell
输入命令,命令如下:
Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=ccfxny,DC=com' –Scope ForestOrConfigurationSet –Target 'ccfxny.com'
大家只需要将命令中的ccfxny替换成你的网域的netbios名称,并将com替换成你的域的后缀即可.
输入命令后回车
要求确认操作,直接回车即为默认的Y启用功能
直接回车,启用了活动目录回收站功能.
3.测试删除恢复.
删除恢复也可使用ldp.exe和powershell来恢复,本例也只介绍power shell
本例在office这个ou下建立一个用户deltest
然后删除该用户
删除完毕
然后在powershell中输入如下命令:
Get-ADObject -Filter {displayname -eq "deltest"} -IncludeDeletedObjects | Restore-ADObject
将deltest替换成你的被删除的用户名即可.然后执行命令
执行完毕
在ou下刷新,deltest账户又回来了,呵呵,实验成功.
2008R2Win7管理十二只读域控及DNS
2008R2Win7管理十二只读域控及DNS
本篇为大家介绍AD自从升级到2008后的颇受赞誉的只读域控制器和只读dns
关于只读域控,在各种官方和非官方的介绍中都已经铺天盖地了,我就不解释了,我描述下作用好了:只读域控一般用于服务器环境不是很安全的远程分支机构,分支机构从只读域控获取域登陆信息以及验证信息.因为是只读的,即使损坏也与总部域控影响不大.只读dns从网域主dns获取dns区域和记录,以提供给分公司登陆域使用.
本系列的拓扑中增加一台NS2安装2008R2并加入网域,本篇将其升级为只读域控和只读dns.
本篇分为1安装只读域控和只读dns2验证只读域控和只读dns
1.安装只读域控和只读dns
NS2系统信息和ip确认和拓扑一直
开始-运行-dcpromo打开ad向导以将ns2升级成为网域的域控.
选择新建域控或是加入现有域
选择要加入的域的名称,默认已经选择了当前域
选择域
选择站台
选择域角色,设置为GC和只读域控,看dns信息,没选择dns角色的时候会提示安装dns,因为一旦远程分支机构出现无法连接到总部的dns,那么就会无法登陆域,
所以本例还是将只读dns安装
选择一个账户或一个组以授权成为只读域控制器的管理员
选择数据库文件存放位置
选择还原模式密码
确认所有信息
安装完成并重启电脑
2.验证只读域控和只读dns
重启完成,看看站点和服务
可以看到ns1下是没有复制来源的,也就是说ns2不会向ns1复制东西
NS2则有连接器,可以从ns1复制域信息
看看dns信息,在dns里也无法建立各种记录
在ccfxny.com这个区域也是同样如此
看看区域属性
发现了吧,来源是从ns1.ccfxny.com获取的区域信息
已经自动设置了将所有不能解析的请求转发到主dns
在用户和计算机上也没有新建的选项
在当前操作的目录服务器上可以看见,目前操作的是ns2,并且可以看到角色GC,RODC,我们切换到NS1看看
新建按钮又回来了,第一次的时候操作的是ns1,我奇怪了很久,为什么ns2是rodc,居然有新建按钮,后来才发现ad用户和计算机管理单元操作的是ns1这台可写域控,汗死.因为还没装rodc的时候,我用网域管理员打开过ad用户和计算机管理单元,当时只有一台域控,自动加载了ns1.然后安装rodc的时候设置domain admins来管理只读域控,也没换用户,所以安装完成rodc的时候,我操作的还是ns1,居然能写入,奇怪了好久,当rodc能写入用户,当南瓜不再是那个南瓜,汗,后来才发现当前连接的域控的问题,要是我们在授权的时候以一个域用户来作为rodc管理员,估计就不会有这种情况了
2008R2Win7管理十三WSUS攻略
2008R2Win7管理十三WSUS攻略之一
本攻略介绍1安装wsus,2配置wsus,3测试更新
本攻略为了在企业中使用统一的更新源,从wsus获取更新,以避免所有客户端都从网络更新所带来的下载流量对公司带宽的占用,有了wsus,所有客户端从wsus获取系统补丁即可,获取系统补丁是降低系统受攻击和毒害的有效办法.
本篇以2008R2自带的wsus 3.0 sp2最新版为例来进行安装部署介绍.
拓扑有增加一台wsus服务器,配置要求不同太高,奔腾级别的家用cpu均可.甚至一台虚拟机也行.
1. wsuS安装
首先需要安装iis角色,然后wsus使用iis来播放更新补丁.
然后使用系统自带的功能添加,添加wsus角色则会自动从网络下载wsus3.0sp2,为了加快部署,我们选择了从网络上下载wsus3.0 sp2的80多MB的安装包,直接安装,这样省略下载的步骤.
一路默认安装
同意协议并下一步
嘿,这次SP2将report给集成进去了,这样查看计算机报告不会再要求report2005了
更新的位置,最好存放一个单独的数据盘内,本例实验只有C盘,所以只能放C盘了
选择数据库,本例默认使用系统自带的微型数据库,或者使用域内其他sql服务器也行
wsus网站,这里使用iis的,这样便于管理
更新服务器信息总揽
安装中
安装完成
2008R2Win7管理十四WSUS攻略之二
本篇介绍如何配置wsus,在第一次安装完成后会要求配置wsus
配置向导
Windows改善计划,
选择服务器,默认从windwos更新,或者从其他wsus服务器更新
是否使用代理服务器连接internet
单击开始连接microsoft以获得更新的语言和产品
连接完成
选择要为域内客户端下载的语言,由于域内都是简体中文,所以只下载简体的更新包
选择要为哪些微软产品提供更新服务,例如os,sql,ex,office等微软的服务器产品
上图选择了为2008R2和7这两个系统下载更新包
选择下载哪些类型的更新包
同步时间,也就是wsus从微软官方或者上游的wsus侦测是否有新的更新的时间
配置完成
单击完成以完成配置
打开的控制台如图
首先单击自动审批,来修改审批规则,也就是说当wsus侦测到新的更新后,如果选择自动审批,那么自动审批后wsus就会进行下载更新动作,如果不选自动审批,那么wsus就会等待手动审核,在大企业中会对每个更新包进行测试,测试是否对现有业务有影响才会应用更新,大公司基本都是手动审批.另外担心wsus下载wga和oga的可以选择手动审批
单击分类,来选择要自动审批的更新类型
选择完毕,如果要手动审批,则将该默认的自动审批规则删除即可.
如果手动审批,则会在主界面看到等待审批的待办事项提醒,反之,则不会.
单击已审批,可对这些更新进行审批或者拒绝,例如下载了excel view这玩意的更新,我局域网内没这东西,不需要更新,那么我就可以拒绝该更新.审批后wsus就会下载,然后分发到客户端.
2008R2Win7管理十五WSUS攻略之三
本篇介绍在域内设置组策略来为将所有客户端的更新源设置为wsus服务器并在客户端检查是否套用
上次我们已经建立office这个组策略和ou
但是需要注意的wsus的设定的组策略属于计算机策略,所以要求ou内有计算机才会对计算机生效.office里面是没有计算机的.
那么我们从computers这个ou将office这个组应该有的计算机拖进来,本例将test账户所登录的client-pc这台计算机放到office这个ou里面去,这样我们修改office这个组组策略的计算机策略就会对client-pc这台计算机生效了.
OK,ou内计算机也有了,我们可以做策略了.\
OK,ou内计算机也有了,我们可以做策略了.\
当然因为域都需要更新,我们也可以对网域策略做wsus的更新源设定策略,或者是针对某ou做wsus策略都可以.
找到计算机配置-管理模版-windows组件-windows update
选择配置自动更新,配置为已启用.4.自动下载并安装更新,也就是自动从wsus下载和安装,不需要用户手动干预.
指定更新位置,本例为http://wsus这样的方式
选择客户端检索更新的频率,默认吧,并启用该策略
允许user用户收到更新通知
允许立即安装更新
启用建议的更新
不自动重启正在使用的客户端.
OK,设置完毕,看看客户端刷新组策略后,这里已经变成了我们设定的时间了
检查更新下,发现获取到了wsus下载的更新了,可以手动安装,也可以等待16:00自动安装.到此本篇的wsus配置完毕.
2008R2Win7管理十六杀毒软件MSE
2008R2Win7管理十六杀毒软件MSE
杀软可以使用网络版的,所有客户端从升级服务器升级,这样可以减小网络带宽的压力,推荐使用nod,占用内存小,资源占用也小.不过目前对win7支持的只有eset4.0以上版本.
Win7下可用的兼容的杀软目前还不多,国内有瑞星,国外有大家常见的nod32和卡巴,诺顿,麦咖啡,趋势科技,其他的企业版部署,大家可以参考官方的文档,下面来体验下微软自己的杀软吧
今天看新闻说微软正式推出自己的杀毒软件Microsoft Security Essentials 下载地址为http://www.microsoft.com/SECURITY_ESSENTIALS/
仅仅为通过正版验证的用户提供安装,下载倒是没限制,完成microsoft connect的调查即可下载
适用于32位xp和32/64位之vista和win7用户,都用中文和英文提供下载,没有网络媒体说的不能下载的情况,只是安装的时候会验证系统是否是正版,不是正版则无法安装.
上图吧,瞧瞧MSE的有啥魅力
打开下载下载下来的4M多的安装文件,开始进行安装
接受协议并下一步
验证系统是否正版,正版则会提示是正版并自动进行下一步,盗版则会无法继续安装
准备安装mse,单击安装开始正式安装
开始安装mse组件
安装完成
开始更新,有点BT,花了100分钟才更新完成
扫描系统是否有病毒
更新完成的病毒库,瞧瞧,没说库有多少样本
扫描过程中进程占用灰常高,cpu差点就百分之百了
3个进程60多MB的内存占用
桌面的mse图标
这个是任务栏的正在扫描的时候的图标
这个是任务栏的正在扫描的时候的图标
扫描完成花了12分钟
离开扫描状态后,mse占用cpu和内存对比,貌似有点高的说,下面红线的nod才占用那么点,mse非要占用那么高,还3进程.
体验完毕,发现mse的兼容性还是不错,界面也比较美观,不过可能更新和扫描速度貌似不佳,都10分钟以上,可能更新服务器不在国内,在美国,所以更新慢点.其他大家也看到了,内存和cpu占用高点,不过比卡巴貌似好有一点,嘿嘿.
2008R2Win7管理十七2K8网域升级R2网域
2008R2Win7管理十七2K8网域升级R2网域
本篇为企业管理员们将现有架构2008网域升级到2008R2网域提供了思路和实验步骤,升级你的架构到2008R2以使用2008R2网域带来的新功能和新体验,活动目录回收站,DA,ad控制台等令人惊喜的功能.
将2008sp2操作系统升级到2008R2,如果2008上没有ad角色,则直接升级即可,如果有ad角色则会要求升级ad的林架构和域架构,然后才能将系统升级到2008r2,并提升林架构和域架构到2008R2
另外要求系统盘有16169MB的空闲空间,否则无法顺利升级
实验环境:一台2008sp2的os
实验目标:将2008SP2升级到2008R2的os
需要注意的是:2008R2只有64位,所以无法将32位2008升级到2008R2.
现有os:2008SP2 NAME:ns1.ccfxny.com角色为ad和dns
备份现有系统的系统状态,并做好副域的备份.以防扩展林架构和域架构失败,有可能永久损坏网域.此操作有一定危险性,切记,切记.
放入对应的企业版安装光盘,单击开始安装,直接在现有系统下升级安装.
安装的时候选择升级安装.
会开始检查当前系统升级到2008r2的可行性并给出兼容性报告,第一次当然是失败了,因为我们还没扩展架构呢,另外提示C盘空间不足,直接将C盘扩展到了30GB,之前是24GB,只有12G的空闲空间,所以报错了.
看当前C盘空间
我们的光盘在D盘,所以打开cmd,进入D盘,再进入support目录,再进入adprep目录,利用adprep.exe这个程序来进行扩展架构操作.首先扩展林架构输入命令adprep /forestprep并单击回车以继续,
要求输入c并回车以继续,否则直接单击任意键或者enter退出该操作,我们输入c并回车确认操作
经过大约2分钟的时间,扩展完毕
命令完成
再次输入命令adprep /domainprep来扩展域
扩展完成,重新运行安装程序,升级后这里可以继续下一步,不会出现错误提示无法升级了,OK,开始下一步吧,直接升级系统咯
这里C盘已经扩展到30GB了,至于扩展,可以用第三方工具改变C盘大小,或者直接使用2008自带的磁盘管理器将空闲空间扩展到C盘.
单击下一步后出现了正常的复制安装步骤
拷贝文件和收集现有程序信息等
更新文件设置等.中间一共需要重启3次.都是自动的.
最后一次重启后,出现第一次配置
配置完毕,进入登陆页面
OK,登陆
看看升级完成,只是授权没了,需要重新获取KEY来激活当前系统
C盘剩余20GB可用空间,C盘占用10GB
管理器打开正常
提升林操作,已经能提升到R2了.
同样,提示域操作也是OK的了
2008R2Win7管理十八TS终端
2008R2Win7管理十八TS终端之一
本篇开始介绍R2上的远程终端和远程应用程序.R2有专为win7优化和设计,主要体现在远程桌面web访问上,
拓扑图增加一台ts服务器
本文仅介绍安装篇,安装必要的组件和组件说明.
在服务器管理中单击添加角色,打开添加角色向导,选择远程桌面服务
桌面服务简介
角色功能说明,远程桌面会话主机是以前的终端服务的升级
虚拟机主机需要主机上有hyper的支持
桌面授权,设置授权选项的功能
连接代理,支持负载均衡和设置remote app
Ts网关
为win7设计的web访问方式
安装角色,远程桌面网关需要添加必要的iis角色
Web访问页需要添加iis相应的角色
虚拟机主机需要hyper-v的支持
虚拟主机暂时玩不了,目前所有的机器都是在虚拟机里面,虚拟机开不了hyper-v,所以目前安装如下角色
建议是安装完了这些角色再去安装remoteapp要发布给客户端的应用程序
网络级别的身份验证,根据需要选择,目前xp不支持网络级别的身份验证,需要修改注册表实现.
授权模式,每设备或者每用户,根据许可证决定
选择rd主机的有权限的用户,单击添加以添加,默认已经设置为administrators组
选择远程连接上来后提供的桌面体验,在局域网内可以选上音视频和桌面元素,在广域网连接去掉这些会比较流畅一点.
配置授权许可证的访问
选择证书,有ad证书服务的则申请证书,或者创建如图的自签名证书
授权策略
选择账户
选择验证方式
选择允许访问的策略.比如我连接到ns1这台ts,是否允许访问和ts同一局域网的其他机器,在如下图中设置.
策略网络
安装该角色配置远程拨入或者别的
Iis角色添加
默认即可
确认之前的选项
开始安装
安装完成,单击关闭并重启
配置功能中
2008R2Win7管理十九TS终端之二remoteapp
本篇介绍ts终端中的remoteapp,远程应用发布,将本地程序通过remote和web发布出去,这样用户可以在远端通过web或者系统自带的remoted desktop连接上远程的应用来工作,比如将erp的客户端发布到远端,这算典型的应用.由于应用在远程运行,本地端只是图形显示界面而已,所以流量要求不大.
本篇分为1.安装应用程序2.创建remoteapp程序3.设置web显示4.web连接remoteapp 5.创建rdp包 6.rdp包连接测试 7.msi包创建 8.msi包安装使用和连接
开始上正题
1. 安装应用程序
在上篇将服务都安装完成后,本篇可以开始安装应用程序在ts这台机器上了,本例安装office2007吧.
安装过程不再详细描述
安装完成后就可以开始设置分发了,单击管理工具中的远程桌面服务-reoteapp管理器
2.创建remoteapp程序
打开管理器如图,单击添加remoteapp程序,来讲程序添加到remoteapp中来发布.
打开如图的向导
选择我们已经安装OK的程序,本例选择所有office程序
单击完成即可完成
3.设置web显示
可以在管理器里面看到程序已经添加到管理器,下面要做的就是将这些程序创建成rdp或者msi供客户端从共享打开该rdp或者msi来访问我们发布的应用程序,本例先来web访问,选中在web中显示
4.web连接remoteapp
然后我们在浏览器中打开https://ts.ccfxny.com/rdweb如果我们输入http的非加密页面也会自动跳转到该加密页面.
然后我们单击继续访问,出现如图的页面,单击证书错误
选择查看证书,然后我们安装证书
单击安装证书
导入证书向导
选择证书存放区域,放到受信任的根证书颁发机构
选择如图
单击下一步完成导入
单击完成
确认导入,单击是.
导入完成,单击确定,并重新打开ie
此时登陆即正常访问,不会有证书错误了
输入域用户名和密码登陆
登陆后如图,单击任一程序,打开远程程序.
我们单击word,出现连接选项,选择是否将本机资源也连接到远程,例如本机的磁盘等,选好后,单击连接
然后这里再次输入密码确认
开始连接
;连接OK,程序打开
单击打开,可以看到自动将本机上的磁盘给映射成网络盘了,名字为本机的名字上的各种盘符,例如本机是ns1,那么网络盘就是ns1上的c和ns1上的d这样的名字,我们可以从这里打开本机上的文件等.
5.创建rdp包
下面我们试试RDP,rdp文件创建后可以放到共享盘,提供给客户机来连接使用,和web比较各有各的优势.
右键单击-创建rdp文件
打开向导如图
选择创建的程序包存放位置
信息总揽以确认
单击完成,完成创建工作,我们打开该文件夹,可以看到创建OK的rdp文件.
6.rdp包连接测试
我们把它拷贝到共享中,从ns1访问ts
在nas1上打开某个rdp,例如图的excel,会提示如图警告,单击连接以继续.
输入域用户名和密码以确认
OK,连接上了,程序自动打开,可以看到如图,跟web打开的效果是一样的,本地盘等自动映射.
7.msi包创建
下面我们试试创建msi文件包,msi是做什么的呢,是将rdp快捷方式封装到一个程序包里面,这样在客户端的开始菜单中会产生一个快捷方式,这样客户机就不用每次都去打开rdp文件或者从web打开.我们同样是在这里打开右键-创建msi程序包
打开向导,跟上面一样的
选择包的位置
选择安装到客户端的何种位置
信息总揽确认
创建完成将文件再次拷贝到共享
8.msi包安装使用和连接
在客户端打开msi文件,
单击运行就开始安装,几秒就完成了,故没抓图,安装完成后可以看到开始菜单的快捷方式
\
打开excel,会要求密码
输入密码,同样自动连接并打开excel程序
Remoteapp实验基本完毕,令人遗憾的是远程发布的程序,貌似不能关联本地的office文件,例如我发布了word,可以先打开word再打开本机的word文件,但是不能直接打开word文件.值得欣喜的是microsoft一如既往的为大家提供易用性的操作,三种客户端部署方式带来的可选择性和管理便捷性的提升,使企业管理员可以灵活的应用remoteapp.
2008R2Win7管理二十TS终端之三
本篇介绍下TS终端授权服务器以及RD网关的一些配置
在安装了TS终端后,如果没有配置授权服务器,那么只能使用120天,120天后将不能再使用终端服务,所以有必要再安装完成后配置终端服务授权.
如果在大型局域网内,存在多台ts终端服务器,授权服务器则有必要单独一台机器以保证安全性
本篇分为1.激活授权服务器2.安装证书及设置授权服务器和测试3.rd网关设置介绍
1. 激活授权服务器
从管理工具-远程桌面服务-打开rd授权管理器
在服务器名称上右键单击-激活服务器
出现激活服务器向导
需要连接到网络,连接到微软
开始连接到微软的服务器
连接OK,输入国家和公司等信息
单击下一步开始激活服务器
激活完成,开始安装许可证
2.安装证书及设置授权服务器和测试
许可证的获得方式
选择许可证,取决于向微软购买的许可证数
测试环境中,随便选个
选择每设备方式,1000个客户端
开始安装许可证
安装完成
安装完成如图
接下来在远程桌面绘画主机配置中启用远程桌面授权服务器
双击远程桌面授权服务器选项,来开始设置,选择每设备模式,并单击添加,以添加服务器
将ts服务器添加到本地
单击确定完成授权服务器设置的配置
完成如图
再次连接ts服务器,会提示开始加密远程连接咯
通过web连接也是一样的
连接ok
4.rd网关设置介绍
下面看看rd网关管理器中的设置,首先是链接授权策略,双击默认的ts_cap_01策略,
要求的验证方式和能连接的用户组
设置客户端连接到本机后原有设备的重定向
超时设置断开或者别的
在资源授权策略中也创建了默认的策略TS_RAP_01
可以存取资源的组设置
设置可以存取的网络资源
端口设置
TS的属性,首页是连接数限制,默认是最大
证书设置
是否使用服务器上的策略
服务器场的添加,比如域中存在多台rd,可以斗添加到此处进行集中管理
审核记录并在事件日志中保存
SSl设置
客户端登陆TS后的消息设置,默认是没有的
2008R2Win7管理二十一Web之IIS7.5
2008R2Win7管理二十一Web之IIS7.5
本篇介绍简单web网站搭建以及单IIS多域名,另外介绍下2008R2上的iis已经更新到7.5了,那么7.5又为我们带来了哪些变化呢,下面转自网友们从msdn翻译过来的原文如下
虽然是更新到7.5了,但是仍然只是支持htm和asp和cgi至于目下正流行的php还得另辟蹊径.从php网站下载某文件,然后安装到iis才能让iis支持php
更新列表:
1. 内容发布扩展(FTP, WebDav)集成进Web服务器OS
2. 集成Administration Pack扩展到Windows Server OS
3. 新的IIS7 PowerShell Provider和Commandlet支持
4. 丰富的Server Core应用程序托管
5. 改进的FastCGI支持
6. IIS核心更改
支持配置系统的自定义追踪。
通过配置轮询来审核或追踪配置变更的能力——这是来自托管商们的要求,特别是想要监视客户们更改配置系统。
ASP.NET支持不同的CLR版本(例如,CLR4.0),随着多个CLR版本的使用,这个特性对开发者切换版本很重要。我们也将此功能向后移植到Windows Server 2008 SP2。
Application pools的更好控制,可以为每应用程序池指定CLR设置,可以用新的Application Pool性能计数器监视性能。
可委派自定义错误,这是来自开发者的最多要求,他们想让非管理员在本地或远程改变自定义错误。
IP restriction list的IPv6支持。
Request filtering的更细粒度控制,特别对query strings来帮助防止SQL注入式攻击。Request filtering现在也支持请求特定的规则,使SQL注入规则仅对特定请求适用。
Nego2支持,将允许内置支持LiveID providers,FedSSP,和更小粒的Kerberos/NTLM使能。
支持不要求密码的Managed Service Accounts域账号。
AppPool identity支持
支持application pool预热,大型应用程序会需要"起动"一个应用程序池,这样最初的请求们会有更好的性能。
7.IIS Best Practice Analyzer
如此看来更新的内容更加适合下一代互联网,IPV6的支持以及对webdav的支持.
本篇分为1.安装2.简单网站设置3.多域名
1. 安装web功能
首先是使用服务器管理中的添加角色向导来启动角色向导以添加web服务器角色
角色介绍,以前是叫iis,现在给加了个web服务器的名头在前面
所有功能都安装上,好好体验一把IIS7.5
所有选择上的角色确认
安装完成
已经安装如下的角色
图3
安装完成后管理工具可以找到iis管理和旧版的iis6.X系列的管理器
打开默认的管理器如图
看看IIS版本,版本为7.5 7600 16385
在win7客户端上以主机名打开默认网站可以看到iis7的欢迎页面
在dns上新建一个主机头,www,ip指向NS1的ip
在客户端win7上以www.ccfxny.om打开网站也能打开了
2. 网站设置
下面我们讲默认网站改成我们自己的网站,在默认网站是哪个单击管理网站-高级设置
在物理路径上单击浏览按钮,选择我们自己的网站,并确定
更改完成,单击确认生效
再打开网站已经是我们自己的网站啦!
另外给大家看下所有能设置的功能总揽,单击某选项进入设置即可,跟iis6.0系列完全不一样了.利用iis,我们可以将公司经常需要访问的网站自己利用word简单做个索引页面并设置为公司内部首页等.另外nod32升级服务器也可以使用iis来构建哦.本篇仅为简单抛砖引玉.
3. 多域名在同一IIS共存
在论坛经常有朋友问我说,在iis中有多个站点,都要占用80端口怎么办,那么下面的多主机头的解决方案就是一种,我们单击添加网站来添加一个新的网站,为大家演示一下
输入新网站的名称,和物理路径,类型默认http,选中本地IP,端口80默认,然后输入主机名,可以是二级域名也可以是顶级域名,然后辅以DNS将over.ccfxny.com解析到这个内部Ip或者外部IP即可正常访问,
网站创建完成
DNS中建立主机头,over主机头,指向内部的ip即可,外部的需要将10.2映射到外部IP上,再在外部dns上做主机名才可以再外部访问.
创建完毕,在win7这台域内的客户端实现访问正常!
2008R2Win7管理二十二ADCS新功能详解及安装
2008R2Win7管理二十二ADCS新功能详解及安装
本篇在上篇的基础上发展,有了web,甚至后续有exchange和ocs及其他微软产品,我们可能需要证书的配合才能工作,本篇将环境先做好然后下篇在web上配置和启用证书等.
2008R2上的ADCS的更新如下
Windows Server? 2008 R2 中的 Active Directory(R) 证书服务 (AD CS) 引入了许多功能和服务,这些功能和服务允许更加灵活的公钥基础结构 (PKI) 部署,降低了管理成本,并对网络访问保护 (NAP) 部署提供了更好的支持。
下表中的 AD CS 功能和服务是 Windows Server 2008 R2 中的新增功能。
功能 优点
功能1:证书注册 Web 服务和证书注册策略 Web 服务
优点1:支持在 HTTP 上的证书注册。
功能2:支持跨林证书注册
优点2:支持在多林部署中的证书颁发机构 (CA) 合并。
功能3:改进了对大批量 CA 的支持
优点3:减小了某些 NAP 部署和其他大批量 CA 的 CA 数据库大小。
证书注册 Web 服务和证书注册策略 Web 服务
证书注册 Web 服务是新增的 AD CS 角色服务,支持通过使用现有方法(如自动注册)在 HTTP 上的基于策略的证书注册。 Web 服务充当客户端计算机与 CA 之间的一个代理(这使得客户端计算机不必与 CA 直接通信),同时通过 Internet 进行证书注册和跨林证书注册。
证书注册 Web 服务代表客户端计算机提交请求,且必须信任该服务以进行委派。 此 Web 服务的 Extranet 部署扩大了网络攻击的威胁,某些组织可能会选择不信任该服务以进行委派。 在这些情况下,可以配置证书注册 Web 服务和颁发 CA 以仅接受使用现有证书签署的续订请求(不需要委派)。
证书注册 Web 服务还具有以下要求:
* 具有 Windows Server 2008 R2 架构的 Active Directory 林
* 运行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的企业 CA。
* 跨林证书注册需要运行 Windows Server 的 Enterprise 或 Datacenter 版的企业 CA。
* 运行 Windows? 7 的客户端计算机。
在 Windows Server 2008 R2 的所有版本中都提供证书注册 Web 服务。
支持跨林证书注册
在引入跨林注册之前,CA 仅可以向相同林的成员颁发证书,且每个林都有它自己的 PKI。 借助对 LDAP 引用的附加支持,Windows Server 2008 R2 CA 可以跨林颁发具有双向信任关系的证书。
通过支持跨林证书注册,具有多个 Active Directory 林且按林进行 PKI 部署的组织可以受益于 CA 合并。
注意:
* Active Directory 林要求 Windows Server 2003 林功能级别和双向可传递信任。
* 运行 Windows XP、Windows Server 2003 和 Windows Vista? 的客户端计算机不需要更新来支持跨林证书注册。
在运行 Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter 的企业 CA 上提供此功能。
改进了对大批量 CA 的支持
作用
已使用 IPsec 强制或其他大批量 CA 部署 NAP 的组织可以选择绕过某些 CA 数据库操作来减小 CA 数据库大小。
NAP 健康证书通常会在颁发后的几小时内到期,且 CA 可能会每天为每台计算机颁发多个证书。默认情况下,会将每个申请和已颁发证书的记录存储在 CA 数据库中。大批量的申请会提高 CA 数据库的增长速度和管理成本。
注意事项
因为颁发的证书并不存储在 CA 数据库中,所以不可能吊销证书。 但是,维护大批量短效证书的证书吊销列表通常不现实,也并无益处。 因此,某些组织可能会选择使用此功能并接受关于吊销的限制。
使用服务器管理角色来进行安装ADCS证书服务
证书服务简要说明,安装证书服务后无法再对计算机进行改名操作
选择证书服务功能,新功能中的-证书注册web服务需要在其他角色安装完毕才能安装,所以本篇先不安装.
选择类型,一般为企业
第一次配置为根CA,后续才有子ca
以前没有,那么新建吧
选择加冕服务提供程序
CA的名称,可进行自定义
证书有效日期
选择数据库存放地址,实验环境默认,生产环境建议单独存放
访问证书服务的时候使用的验证方式
服务器证书
角色确认
安装完成后重启电脑以免有其他意外.虽然adcs并不要求重启
2008R2Win7管理二十三证书申请及安装配置
2008R2Win7管理二十三证书申请及安装配置
本篇介绍为web站点申请证书并套用证书以及在客户端申请和安装客户端证书
1. 在web服务器上为web站点申请证书
单击服务器名称,找到iis选项下的服务器证书选项,单击打开
在右边的操作中找到创建证书申请或者右键选择创建证书申请
输入web站点名称和组织单位等其他信息
选择加密程序,一般为微软RSA
选择存放的文件,一般保存为TXT即可,待会需要打开该TXT拷贝东西的!
\现在打开web的证书申请页面,在adcs安装完成后已经将web的默认站点套用上证书和SSL了.所以大家不用奇怪为什么我这里的默认站点没配置ssl但是却在使用ssl了.
输入用户名和密码后,出现申请页面,单击申请证书
选择高级证书申请
选择使用base63编码的CMC或okcs#10文件提交一个证书申请,
然后然后用记事本 打开我们刚才保存的那个文件,将分割线内的字符全部copy
然后然后用记事本 打开我们刚才保存的那个文件,将分割线内的字符全部copy
Copy到编码内然后,证书模版选择web服务器,单击提交
然后选择是,允许该操作
单击下载证书,将证书保存到本地
保存到桌面了
然后回到iis控制台,单击完成证书申请.
选择我们刚才下载的证书,然后输入一个名称
现在可以看到我们的服务器有证书了
现在我们在加班网站over上单击编辑绑定
单击添加,添加一个HTTPS类型的网站绑定,并选择证书over.ccfxny.com
添加完成如图
然后ssl设置里面
设置要求ssl
2. 在客户端申请证书及下载安装证书
在win7上访问网站,要求证书,单击继续浏览
被拒绝.查看证书,可以看到无法验证证书的颁发机构,所以我们要先下载CA证书,然后将证书安装到受信任的证书颁发机构
打开证书申请网页,下载CA证书
下载CA证书
并将证书安装懂啊受信任的根证书颁发机构
可以看到证书安装完成
3.用户端证书申请
单击申请证书-用户证书
提交即可,无需填写信息
安装证书
\安装完成
再次访问网站,访问 OK
可以看见标示OK,能正常验证证书
用户证书如图
2008R2Win7管理二十四SQL2008
2008R2Win7管理二十四SQL2008
本来这篇是打算玩玩服务器功能中的第一个:adrms的,没想到装了几次都安装成功,但是有错误,后来没招了,打算将rms的数据库放到sql上来折腾折腾,所以为了不让大家觉得突兀,所以本篇介绍sql2008的安装.sql在企业中也是非常重要的应用,各种财务系统,erp系统,oa系统等都会用到sql数据库,甚至网站也可以用到数据库来作为网站的后台,也算基础的应用吧,咱也来体验下2008吧.
本例拓扑图再次扩大为如图增加一台sql2008服务器
下面上正菜,开始安装
放入Sql2008光盘,直接运行吧
要求安装.net那就装吧
嘣,出错了,不能这样装,╮(╯_╰)╭,那么去服务器管理器安装好了
打开功能安装向导,选择.net,要求安装.net所需要的其他角色
开始安装
Iis角色,默认好了,我们又不要iis
开始安装
安装完成.
再次运行sql安装
单击安装-全新的sql server独立安装,如果我们准备好了故障转移群集,那么我们就可以创建故障转移群集sql
常规检查
一笑而过
选择版本,或者输入密钥自动识别版本
授权协议
支持文件安装
安装完成开始检查自身
俩警告,一个是.net警告,说没网络会延迟,或者需要下载文件
一个数要打开端口,无视了,晚点再打开
选择安装的功能,sql数据库和管理工具
选择实例
驱动器检查
选择服务账户,如图选择的是本地系统账户
验证模式:sql和本地模式两种,输入密码,另外添加管理员,可以添加本地组或者当前用户
选择汇报微软选项
运行检查
信息预览确认
开始正式安装咯
安装完成
单击关闭完成
开始菜单中的sql2008
打开smse管理工具
打开管理工具如图
新建数据库选项居然有启动ps选项了,集成到sql2008了
新建数据库页面已经抛弃了sql7.0,只兼容sql2000了,其他的倒没什么大的变化
启动ps后如图
在防火墙中新建入站规则,端口选择1433
建立完成,可以在客户端作业了.呵呵,下篇试试rms是否还有错误,再有错误我也郁闷了.
2008R2Win7管理二十五ADRMS安装及侦错
2008R2Win7管理二十五ADRMS安装及侦错
本篇开始折腾adrms啦,HOHO,排错折腾俩天了,安装时一个警告困扰了很久,在网上找也没什么结果,看别人的rms安装有的没抓安装成功的图,不知道他们是不是有警告,我是追求完美的人,有警告我得解决,于是乎折腾几天了,呵呵,今天总算完成了,呵呵,可以下一步开始玩玩rms的文档权限控制了.
首先咱们的拓扑图也扩大了哦.
本篇单纯的介绍安装和安装排错,应用在后面的篇章介绍,hoho.,好戏在后头,不过本篇也不错哦,有侦错.不像其他人的文章,一路安装setup都OK完成,貌似没有错误的样子.
RMS机器加入网域.
添加rms角色.要求添加附属角色
下一步开始安装rms和rms需要的iis
Rms简介
角色服务
新建群集或者是加入旧有的ad rms群集
数据库选择,选额本地数据库,将不能创建群集,只能单一机器的rms,选择其他数据库(sql)才能做群集的哦
如果选择sql做群集,那么women在服务器里面输入sql服务器的名称,单击获取数据库实例,然后在下拉菜单选择默认或你安装的实例.
好,这里错误出来了,provider命名管道提供程序error40错误.
那么我们到sql服务器上,开始菜单中找到sql server配置编辑器.
找到协议中的=tcp-ip何named pipes这俩协议,然后启用.
Q启用这俩协议
重启mssqlserver服务,或者重启电脑也行.
然后再次回到rms这台电脑,在安装界面,单击验证,已经ok了,可以下一步了.,
这里输入一个服务账户,在非域控的机器上需要普通域用户,在域控的机器上需要域管理员
密钥存储
Ad群集的密码
网站
网站链接,使用https或者http,根据需要选择,然后单击验证.才能下一步
验证通过,单击下一步以继续
证书名称
服务连接点注册,可以这里就注册上,也可以后续再注册,都是一样的
Web角色安装
角色选择,asp是必须的
安装信息总揽
开始安装
安装完成,出错了,
安装成功,但有错误。信息全文如下:我换了很多方式重新安装均是类似错误,唉.
角色:
Active Directory Rights Management Services
错误: 尝试配置 Active Directory 权限管理服务器 失败。 调用的目标发生了异常。 在 System.DirectoryServices.DirectoryEntry.Invoke(String methodName, Object[] args)
在 Microsoft.RightsManagementServices.Admin.CommonUtility.EnsureGroupMembership(String targetComputer, String userName, String domain, String group, Boolean shouldBeMember)
在 Microsoft.RightsManagementServices.Configuration.ProvisioningBase.EnsureUser()
在 Microsoft.RightsManagementServices.Configuration.ProvisioningBase.Run()
在 Microsoft.RightsManagementServices.Configuration.ProvisionerBase.DoProvision()
在 Microsoft.RightsManagementServices.Configuration.ProvisionerHelper.Run(OperationType operationType, Object data)
在 Microsoft.RightsManagementServices.Configuration.CmdLineHandler.Run()
删除并重新安装 AD RMS 以尝试再次进行设置管理。
警告: 您必须首先注销并重新登录,然后才可以在此服务器上管理 AD RMS。
已安装以下角色服务:
Active Directory 权限管理服务器
后来将rms升级为域控,然后安装iis所有角色,并预先安装消息队列,再次安装rms
这次则安装成功了,总算没错误了.
经过这次诡异的安装错误,真让人头疼,居然宿主机是域控才没那个错误出现,在域成员机器上安装看来还是有问题,有警告信息,虽然也能运行啥的,但是有个警告,谁知道以后会不会跳出来捣乱呢,真够头疼的.所以还是没啥警告信息,成功安装的角色比较可靠,毕竟是服务器角色.
2008R2Win7管理二十六ADRMS客户端使用及侦错
2008R2Win7管理二十六ADRMS客户端使用及侦错
预计我以后都没太多时间专研新技术和写文啦,尽量挤时间吧,有一篇放一篇吧,呵呵
本篇介绍在win7客户端使用adrms来进行权限管理和侦错,在使用客户端的过程中居然也出错了,rms貌似不是一般的麻烦.
首先看看RMS管理控制台的一些简要功能介绍.
在rms主机上右键-属性,如果在安装的时候没有选择scp注册的同学选哦在这里单击更改scp来注册域中的scp
在使用adems客户端之前请将http和https的网站加入到客户端的本地或者可信站点中
在客户端win7上用test账户登录,创建一个word文档,
单击准备=限制权限-限制访问,
输入一个test的账户
开始配置
验证内容
验证完毕居然出现这个,单击使用windows账户吧
出现意外错误.```````````未知错误.
有点崩溃,这问题不知道咋发生的,都是干净安装的,甚至fw啥都关闭了还是不行,后来在事件中找到如下的一条信息
Active Directory Rights Management Services (AD RMS)无法查询 Active Directory 域服务(AD DS)。
参数引用
上下文: Pipeline[CertificationPipeline._GetPrincipalIdentifier]
RequestId: {072a21b5-531e-4a81-b4c2-32fe62809198}.7:1
principal: id=S-1-5-21-3304846223-2016067979-822783393-500
desiredIdentifier: primarymail
result: null
Microsoft.DigitalRightsManagement.Utilities.ADEntrySearchFailedException
Message: 在 Active Directory 中找不到条目: id=S-1-5-21-3304846223-2016067979-822783393-500。
Context: CertificationPipeline._GetPrincipalIdentifier
principal: id=S-1-5-21-3304846223-2016067979-822783393-500
desiredIdentifier: primarymail
result: null
看参数貌似是缺少对象,貌似要mail属性,有个primarymail
那么好吧,我们给使用rms的客户端的电子邮件属性手动添加一个mail地址,因为目前我们的本系列还没有mail服务器出现,先手动试试瞒天过海吧.
Test1账户同样如实操作
添加电子邮件属性完毕,再次重复如上的操作,居然成了,完美出现限制窗口,吼吼,兴奋,单击限制对此文档的权限,读取,和更改设置上就OK了
其实默认的是创建者拥有所有权限,我们需要设置的只是其他使用者的权限.
高级里面可以看到自身是完全控制的,以及可以设置其他复制和打印等权限.
设置完毕,有个限制访问提示啦
保存到C盘
换个test1账户登录,然后打开啊c盘的这个文件,提示账户密码
无法打开,要求验证,单击确定
出现更改有权限的用户来打开或者是发邮件要权限
至此本实验终于是完成了.高级应用及群集不再赘述,加入群集需要使用sql作为rms的数据载体,和需要安装的时候输入的加入群集密码来加入群集.
2008R2Win7管理二十七Mail之exchange2010
2008R2Win7管理二十七Mail之exchange2010
当我们的企业规模扩大到一定程度时处于安全性和监控的要求,不再满足于托管的企业邮箱或者是免费邮箱之列,我们有了企业自建邮件服务器的要求.并且要做监控,要自己做push mail等等,那么我们就要请出微软的产品-exchange,exchange2003开始支持push mail以来深受企业客户的欢迎,目前exchange已经升级到2010,貌似已经rtm了,我下载了泄露版的rtm版为大家演示,呵呵.之前我也做过一期exchange2010 BETA版本的安装教程,这章作为企业环境中的一章来介绍,何况2010 rtm和beta有所区别的说.
先上拓扑图,抓了个2008r2,为新增的server,ip为10
下面开始正主,安装exchange咯
看看ip和计算机名,并且我们已经放入ex光盘咯,单击setup.exe开始安装.
出现画面,要求咱们安装.net
从功能里面安装.net3.5然后顺便将iis所有功能也安装上,毕竟iis是owa的基础.
安装完成
选择语言选项,从dvd安装语言包
然后选择安装exchange,
直接下一步,无视提示了
许可协议,接受吧
错误报告,爱选不选
选择安装功能,边缘传输是第二台exchange才能安装的,统一消息是接合电话系统的,可有可无,第一次安装典型安装即可
组织名称
根据需要选择
是否面向外部
客户体验计划,无视了
呵呵,出错了,要求我们安装ldifde和扩展架构
另外要求安装2007 office system convert这么一个插件
OK,将iis所有角色都安装上
然后从微软下载2008office转换器
下载x64包
下载完成,开始安装
下一步默认选项咯
安装完成
下面使用命令servermanagercmd –I rsat-adds来安装ldifde
安装完成
当然也可以再功能安装安装向导中安装如下的功能,adds和ad lds工具和power shell
从服务中找到netrcpportsharing服务,将启动类型改成自动启动
OK,完成后重启系统,再次启动安装
这次就通过验证了,只是有提示说升级后,网域内无法再安装ex07服务器,没所谓了
安装完成
所有角色都安装完成
下篇咱们介绍下创建用户等操作.
2008R2Win7管理二十八Mail之基本使用
2008R2Win7管理二十八Mail之基本使用
上篇我们已经安装好了exchange2010,呵呵本片简单介绍和看下ex2010的基本界面和使用
安装完成打开exchange控制台如图所示
汗,有试用限制,4个月的评估版,基本界面看起来跟2007并无差别。
Owa登陆界面图上,跟2007略有不同,2007用的蓝紫基调,2010用的黄色基调
输入用户名和密码进行登陆
要选择时区,2003的owa是不需要选择时区的,而是需要自行到设置里面进行设置时区的
打开如图所示的常规功能选项
单击-新建邮件单击收件人,出现目前网域默认的地址列表,不像2003没有地址列表。
选中administrator自己给自己发个test邮件,
一会就收到了,速度还不错的说
、
另外发送邮件后还可以查看邮件送达报告,看看邮件时都到达收件人的信箱。貌似这功能不错,还能发送报告,这样发送邮件后,对方延误了处理,还能发送报告来举证啥的。
2008R2Win7管理二十九Mail之仲裁及存档等操作
2008R2Win7管理二十九Mail之仲裁及存档等操作
上篇基本证实我们的mail服务器正常使用,下面我们就来些常见操作吧.
本篇主要介绍创建用户邮箱和仲裁邮箱以及存档配置
名词:仲裁邮箱和存档配置
简单介绍如下:比如某员工要发邮件给boss或者外部,那么该邮件必须经过仲裁邮箱仲裁后才能到达boss或者外部的信箱,仲裁邮箱可以是他的上级经理或者XXX.这样可以防止未经授权的发往外部和越级向boss发邮件等情况.
存档邮箱的出现是为了解决目前大部分用户的邮件备份均为pst接收到本地保存,存档邮箱的出现是为了将邮件都保存在存档邮箱中,这样客户端不再有pst,也不用担心丢失,但是随之带来的是对数据中心的存储的安全的考验.大家酌情使用.
以上解说如不够详细请百度.
1. 邮箱创建操作:
打开收件人配置-邮箱-右键-新建邮箱来创建一个邮箱.
默认使用用户邮箱
这里可以选择新建一个域用户或者为现有的没有邮箱的域用户创建邮箱,我们是新域,还没账户,这一起包办了吧,创建与账户和邮箱,吼吼
输入域用户名信息和密码信息
邮箱名称和邮箱所在数据库设置,有需要设置监控的就在这里设置被监控的存储作为用户的邮箱吧
存档选择,这个我们呆会再讲,.
开始创建用户和邮箱,单击新建开始创建
创建完成
创建完成两个账户一个mis一个boss
2. 仲裁邮箱配置
Mis正常发送邮件至boss
西安在我们要对mis发往boss做仲裁
在组织配置-集线器传输,右键-新建传输规则
选择规则名称
选择条件,收件人为用户,然后单击下面的用户,选择添加,然后出现域内邮箱列表,选择boss
完成条件如图
选择操作方式,可以看到很多可操作的选项,我们本次置中次啊,就选择将邮件转发到地址以供仲裁
然后单击步骤2的地址选择添加-选择administrator用户或者其他用户
OK,完成
这里也有个例外,可以设置某个组或者杀的不需要经过这个规则筛选
规则明细
单击新建完成了创建如图
Ok,完成,并已启用
\
我们再次发邮件给boss
到administrator信箱看有风邮件要求做出决策
这里有个优先权问题,比如仲裁者是一个用户组,如果对新建的仲裁不一致,那么系统将会以先到达的为准.
我们打开右键,可以看到邮件内容,和审批以及决绝的选项,审批后邮件就会到boss信箱,当然拒绝了,邮件也就回到mis信箱了.
审批完成,邮件消失
到boss看信件,新建来啦
3. 存档邮箱配置
关于存档,如果建立用的时候没有选择启用,可以在操作中选择启用或者禁用,
启用存档后,在owa界面可以看到联机存档这么一个文件夹,可以设置规则,多少天以后自动存档收件箱的邮箱到存档邮箱.也可以直接拖动邮件到存档文件夹存放
另外也可以设置规则自动存档,使用默认的存档策略或者自定策略.
2008R2Win7管理三十防火墙TMG2010应用
2008R2Win7管理三十防火墙TMG2010应用
咱的TMG基本上工作正常了,这篇咱们试着在2008R2和win7这个环境玩玩,这个系列写到现在,咱们该有的貌似都有了,剩下的就是内外互通问题了.咱们这篇看看发布一些应用和设置策略瞧瞧tmg2010跟isa2006之前的版本有啥不同的.
咱们计算机组里面添加计算机,貌似跟以前没啥区别,还是只能添加ip来识别计算机以便设置权限,一直不能绑定mac是isa的硬伤,微软表示以前没有这个功能,以后也不会有,咱估计只能带着遗憾了,虽然有TX说用dhcp绑定,可那也只是在服务器上做绑定,不过没关系isa不支持mac,那么它还有神器-可以做到基于windows域的身份验证,只有ip和域账户和规则一致才能通过tmg访问网络.
本篇分为1.网络访问规则2.应用发布3.内部访问策略
1.网络访问规则
咱添加完成两个内部的服务器目标
新建访问规则,呵呵
\规则名称
规则类型,木有啥不一样的
通讯协议,正常来说为了安全我们要设置仅仅服务器需要的协议才能连接网络,比如dns需要用53去连接外部,mail需要25去连接外部.以最小的网络权限换取一定比例的网络安全比较好.咱们这里只是测试实验,关于安全另外讨论,咱们就所有协议默认出站啦.
这个是新东西,启用恶意软件检查,对于用户端来说启用这个比较好,对于服务器来说还是关闭好一点,以防服务器的正常出站被阻拦
\规则的来源,选择我们刚才的server组
目的选择外部网络
用户集,咱这里可以设置为domainadmins,也可以设置为默认的所有用户
完成创建
应用这事
现在在NS1访问网站ok了,因为我们开放了所有协议,当然我们只开通80和53和442,ns1也能访问外部网站.
2.应用发布
咱们发布个简单的应用,将我们内部的exchange这台mail服务器发布出去.
邮件发布规则名称
发布类型
客户端访问的类型.pop和smtp和exchange模式
服务器的ip地址
发布到的目的地-外部网络
完成规则
应用规则后如图,多了1-5的规则
3.内部访问策略
新建访问规则
通讯为所有通讯
不检查内部的通讯,也可以设置检查
来源为内部和本地主机
目的也一样
所有用户
完成配置
然后咱们应用并重启服务,看ns1已经能ping通isa了,在没有做这个策略前ns1和mai等其他主机都无法访问互相和ping通,做了策略后大家爱可以看到下面已经ping通了,很多tx也曾经败在这上面好像.呵呵.
