20CN网络安全小组论坛 - 系统集成 - 局域网服务器软件安装（精典篇）

论坛: 系统集成标题: 局域网服务器软件安装（精典篇）

作者: billchen [billchen]

论坛用户

随着计算机的不断普及，计算机网络化成为越来越紧迫的问题，大多数企事业单位的网络多为一百点左右的星型局域网，一般没有专业的网络管理人员，服务器软件的安装及权限设置的优劣直接关系到网络的安全与稳定。下面以中国石化集团武汉石油化工厂设计院（下称设计院）的局域网为例，简要介绍一下服务器软件安装与权限设置。
　　设计院局域网共有153个信息点，实际使用86点，4台3COM3C16980100M交换机两两堆叠，中间用级连。选用惠普LH3服务器2台，其中一台采用双CPU，512M内存，4块9.1GSCSI硬盘（命名为Server1），另一台单CPU，256M内存，一块9.1GSCSI硬盘（命名为Server2）。Server1上存放设计人员的个人文件及设计院内部主页，Server2上安装微软的Exchange5.5及SQLServer7.0（因为SQLServer7.0只用于建立内部的图纸档案管理系统，在此不作讨论）。整个网络使用TCP/IP协议，启用192.168.0.0C类网址，子网掩码为：255.255.255.0。192.168.0.31-192.168.0.50给内部Web、FTP及其他站点的使用；192.168.0.51-192.168.0.200用于客户机IP地址；192.168.0.241-192.168.0.254用于交换机管理。

　　两台服务器都安装Windows2000Server版，要求达到以下的功能
    1.每个设计人员在服务器上都拥有50M的个人空间，且不得超额使用，个别特殊情况可以申请额外空间。
    2.建立内部主页，各个专业室负责维护各自的内容。
    3.建立内部新闻讨论组。
    4.建立内部邮件系统。
    5.整个系统应安全可靠，当一台服务器失效时，应能保证整个网络仍然可用。
　

　　下面介绍服务器软件的安装及权限设置，以达到以上的目的。
　　一、网络操作系统的安装
　　1.在Server1及Server2上按照典型安装安装Windows2000（Server2上不安装IIS），服务器的所有磁盘分区都转化为NTFS格式。
　　2.在Server1上，开始à设置à控制面板à网络和拨号连接à本地连接à属性àInternet协议（TCP/IP）à属性，将IP地址设为192.168.0.1，子网掩码为255.255.255.0à高级，添加以下IP地址：192.168.0.31，192.168.0.32，192.168.0.33。将Server2的IP地址设为192.168.0.2，在Server2上添加以下IP地址：192.168.0.41。
　　3.在Server1上，开始à程序à管理工具à配置服务器àActiveDirectory，升级为域控制器，新建Windows2000域（因为局域网中没有Windows NT4.0的域控制器，所以不用兼容方式），域名为design.local，NetBIOS域名为：武汉石化设计院（Windows9.x登录时的域名），系统会自动安装DNS服务。

　　4.将Server2也升级为域控制器，加入到design.local中,系统会自动复制域控制信息到Server2。
　　5.开始à设置à控制面板à添加/删程序à添加/删除Windows组件à网络服务，在Server1及Server2上安装DHCP，WINS服务，在Server2上安装DNS服务。
　　6.在Server1上，开始à程序à管理工具àWINSàServer1à右击复制伙伴à新建复制伙伴à选择Server2。同样，在Server2上选择Server1为复制伙伴，建立相互复制关系。
　　7.在Server1上，开始à程序à管理工具àDNSàServer1à正向搜索区域à右击design.localà新建主机，加入如下的主机：
WWW192.168.0.31
FTP192.168.0.32　　　　　　　
news192.168.0.33
mail192.168.0.41

　　8.在Server1上，开始à程序à管理工具àDHCPà右击Server1à新建作用域，IP地址为192.168.0.51-192.168.0.150，加入DNS、WINS（DNS和WINS的IP地址都为（192.168.0.1，192.168.0.2）及节点类型（使用H节点）的配置。在Server2上建立辅作用域，IP地址为192.168.0.151-192.168.0.200，也加入相同的DNS、WINS及节点类型的配置。

    9.采用步骤2的方法，在Server1及Server2上添加DNS的IP地址192.168.0.1（主），192.168.0.2（辅）

注意：按照以上的系统安装方法，当任意一台服务器失效时，网络照样能够实现帐号登录、DNS解析，IP地址的动态分配及WINS服务，确保了网络的可靠性。

    10.Server1主要当作文件服务器使用，一个硬盘用于安装系统（C盘），其他三个做RAID5（D盘），用于存放设计人员的个人文件及设计院内部主页。在资源管理器中右击C盘à属性à安全à添加Administrator组，授予完全控制的NTFS权限，将其他的组或帐号删除，D盘也如此，Server2也如此。这样即使有些用户可以进入机房并登录上服务器，但是有限的权限不会造成服务器上数据的破坏。
    11.在Server1的D盘上建立名为"用户个人文件夹"的文件夹，右击属性à共享à权限，选择Everyone组有完全控制的共享权限à安全，添加Everyone组在此目录下有读、列目录的NTFS权限。
    12.在资源管理器中右击D盘à属性à配额à启用配额管理à拒绝将磁盘空间给超过配额限制的用户à设置限制空间为50M，报警空间为45M，超出配额限制时记录事件。若要对个别帐号调整限制空间，请点击配额项。
    13.打开ActiveDirectory用户和计算机，按专业室建立组织单元，如工艺室，设备室等，再建立名为"网络管理"的组织单元，用于局域网的管理。在"网络管理"组织单元中建立网管帐号，将其加入到Administrator本地组中。
    14.组织单元中先建立样板帐号，右击样板帐号à属性à配置文件à主文件à连接，输入\\server1\用户个人文件夹\%username%。复制样板帐号，这时仅需更改帐号名及初始的口令。系统自动地在Server1的用户个人文件夹目录下建立以用户帐号命名的文件夹。NTFS权限也自动设置为Administrator及此用户有完全控制权限。

    二、IIS5.0的安装及配置
    1.Web站点的建立
    l在Server1的D盘根上建立名为hompage的文件夹，将主页的所有文件拷入此文件夹（主页的首页文件更名为Default.htm）。开始à程序à管理工具àInternet服务器管理à右击Server1à新建àWeb站点à输入主页名称à将Web地址指向192.168.0.31（即WWW主机）à输入主目录的路径为d:\homepageà以下选择默认选项即可。
    l在资源管理器中右击d:\homepageà属性à安全à添加IUSR_SERVER1帐号，授予读、列目录、运行的NTFS权限。
　

    2.FTP站点的建立
    建立FTP站点的目的主要是用于Web主页的修改。为每一个专业室在d:\homepage下建一个文件夹，用于存放各自的文件，在设计院内部主页上指向它们即可。
    1)开始à程序à管理工具àInternet服务器管理à右击Server1à新建àFTP站点à输入FTP站点名称à将FTP地址指向192.168.0.32（即FTP主机）à输入主目录的路径为d:\homepageà允许读取及写入。
    2)在Internet服务器管理中，打开刚才建好的FTP站点的属性，在安全帐号选项卡中，勾去允许匿名连接，不允许匿名登录。
    3)用ActiveDirectory用户和计算机在"网络管理"这个组织单元中新建一个名为"Web管理组"的全局安全组，将需要Web站点管理的用户帐号加入。

    4)在资源管理器中，右击d:\homepageà属性à安全à添加Web管理组，授予读及列目录的权限。其子目录下的每个专业室的文件夹照此方法分别给相关帐号授予读、列目录、运行、写、修改的NTFS权限。
    5)开始à程序à管理工具à域控制器安全策略à安全设置à本地策略à用户权力指派，在关闭系统及在本地登录两策略中加入Web管理组。

    3.新闻讨论组的建立
    1)用资源管理器在Server1的D盘上建立newsys及news两个文件夹
    2)开始à程序à管理工具àInternet服务器管理à右击Server1à新建àNNTP虚拟服务器à输入NNTP站点名称à将NNTP地址指向192.168.0.33（即news主机），TCP端口为119à输入新闻组服务器内部文件存放路径为d:\newsysà选文件系统à输入新闻内容存放路径为d:\news，启动新闻组。
    3)在Internet服务器管理中，点击刚才建立的新闻组à右击新闻组à新建à新闻组，输入相关信息即可。注意，新闻组的名称不可为汉字。
    4)打开资源管理器，可以发现在news文件夹中多了个文件夹，这就是我们刚才新建的新闻组，对其设置相应的NTFS权限（主要是写权）就可以做到允许某些账户张贴帖子，某些账户只读。

    三、内部邮件系统的建立
    1.使用典型安装在Server2上安装微软的Exchange5.5。
    2.开始à程序àExchangeServeràExchangeServer管理工具，在接收器中建立邮箱，与相应的NT帐号对应。在接收器中还可以建立不同的分发组（如工艺室），将相应的邮箱放入，这样当您需要给工艺室所有人发信时，就只需给分发组发封信即可。
    3.在客户机上安装MicrosoftOffice97中的MicrosoftOutlook97。开始à设置à控制面板à电子邮件à添加àMicrosoft ExchangeServer，在服务器项中输入Server2，邮箱中输入相应的邮箱名。

    四、Windows9.x客户机安装注意事项
    1.Windows2000采用了ActiveDirectory技术，因此必须在Windows9.x安装ActiveDirectory客户机补丁。对于某些安装Win98第二版的计算机，打了补丁后，很长时间后甚至根本无法在网上邻居中看到Windows 2000服务器，而Win98第一版这不存在此问题，其中的缘由还望各位高手不吝赐教。
    2.新闻组的接受可使用Windows自带的OutlookExpress，从安全性的角度考虑，最好使用安全密码验证登录。注意：客户机中这时有两个Outlook，如果Exchange Server安装Internet协议，则可以不安装MicrosoftOutlook97。但是从功能，可扩展性及安全性角度考虑，我个人认为还是这样好。

地主发表时间: 06/16 10:11