有爱 有颜~

L2TP 通道使用 chinaskills.com 域内用户进行身份验证，仅允许 manager 组内用户通过身份证验证；对于VPN客户端，请使用IP范围 192.168.1.200-192.168.1.220/24。设置 L2TP/IPSec，IKE 通道采用证书进行验证；打开路由和远程访问->右键RouterSrv，属性，常规。完成该题目之前需要完成NPS网络策略服务器。

创建命名空间，服务器为Appsrv，文件夹名称为cskshare，目录设置为共享目录D:\DFSsharedir。新加一块磁盘，并新建目录DFSsharedir，添加本地路径D:\DFSsharedir；进入DFS分布式文件管理模块，新建复制组->多用途复制组->复制组名称cskshare；配置 DFS 复制，使用 DCServer 作为次要服务器，复制方式配置为交 错拓扑；Tips：权限方面投机取巧的方式，删掉其中一个文件夹，访问，再恢复，删除另一个。右键新建的命名空间->新建文件夹。

将访问 http://www.chinaskills.com 的 http 的请求重定向到 https://www.chinaskills.com 站点；设置“http://www.chinaskills.com/”网站的最大连接数为 800， 网站连接超时为 50s；回到IIS，点击完成证书申请，名称写作webcert，默认网站->选中https，修改SSL证书为webcert。回到IIS，设置网站的身份验证，将匿名身份验证禁用，启用windows身份验证。请注意，下方截图仅为答题卡要求，不要这样设置。

现内网有 site-A 和 site-B 站点，搭建 AD 域站点服务，使得内网 Insidecli 访问优先走 site-A 站点，外网客户机通过 VPN 访问内网优 先走 site-B 站点。所有计算机：Default组策略->计算机配置->策略->Windows设置->安全设置->本地策略->安全选项->交互式登录->之前登录到缓存的次数（域控制器不可使）属性；打开AD用户和计算机->右键->新建->组织单位->新建CSK组织单位(OU)；域用户能够使用[username]@csk.cn 进行登录；

提到Windows上备份，自然想到使用Windows Server Backup程序，将与AD相关的文件夹备份过去，但是本题需要备份到系统盘当中，推荐使用ntdsutil进行备份。② 进入ntdsutil工具，创建实例，并在实例内指定备份路径为C盘，查询备份信息。移除掉一块磁盘模拟磁盘故障，再新添加一块磁盘，将新磁盘格式化为MBR格式磁盘；打开磁盘管理工具，将所有新加入的磁盘联机并初始化，右键新建RAID5；找到任意一块显示“失败的重复”的磁盘，单击右键，修复卷。配置AD域备份，备份文件存储到C:\。

此处添加相应组的原因在于，RouterSrv上配置VPN服务器时要求仅允许manager组内用户通过身份验证，即使用RADIUS服务器进行身份认证。指定条件点击添加，选择用户组，并点击添加->添加组->；创建新的网络策略，添加相应的组，并设置相应的通信隧道；网络策略->右键点击新建，策略名称任意，点击下一步；回到指定条件，再次点击添加，选择隧道类型，点击添加；选择L2TP隧道类型，点击确定，设置完后单击下一步；点击完成，完成后最好关闭DCServer上的防火墙；选择已授权访问权限，不断单击下一步；

首先安装FTP服务，需要注意先勾选Web服务，然后在角色服务中勾选FTP服务；在 DCServer 服务器上安装证书颁发机构；计算机配置->策略->Windows设置->安全设置->公钥策略->受信任的根证书颁发机构；为 chinaskills.com 域内的 web 站点颁发 web 证书；进入自动证书申请设置，右键新建(重启才会出现，可能扣一些分，不影响)；接下来在同样的位置进行为域内所有计算机自动颁发证书的配置；当前拓扑内所有机器必须信任该证书颁发机构；点击工具->证书颁发机构。

该题涉及到定时执行任务，首先想到的就是使用计划任务解决该问题，计划任务中需要执行相应的操作脚本，因此需要调用磁盘相关脚本命令，与磁盘相关的命令为cleanmgr。① 使用组策略进行配置，开启NTP服务器，计算机配置->策略->管理模板->系统->Windows时间服务->时间提供程序->启用WindowsNTP服务器。② 在测试机上打开控制面板->日期和时间->Internet时间->Internet时间选项卡，点击立即更新即可。将本次实验中的域内服务器的时间同步指向该服务器，并进行时间同步。

① 安装WSUS服务，Windows Server Update Services(更新服务)。⑧ 切换到客户端InsideCli，使用gpedit.msc修改windows更新服务器的地址。更新服务器地址为“http://wsus.chinaskills.cn:8530”。安装 WSUS 更新服务，更新补丁目录设置为“c:\wsusbackup”；⑤ 在DCServer上添加DNS解析记录，点击开始连接，点击下一步。③ 打开windows server更新服务，点击运行。④ 设置更新服务器地址。

在本目录 下为所有用户添加一个以名称命名的文件夹，该文件夹将设置为所 有域用户的 home 目录，用户登录计算机成功后，自动映射挂载到 H 卷；本地目录为 d:\ share\public-share，仅允许 manager 用户组成员 拥有写入权限，其他认证用户只读权限，自己写入的文件或者创建 的文件夹具有完全控制权限；创建 manager 组共享文件夹： 本地目录为 d:\ share\managers，仅允许 manager 用户组成员拥有 写入权限，该共享文件对其他组成员不可见；

在C盘中新建一个文件夹用来存放日志文件，名称为WWWLogFile，新建完毕后回到IIS，选中www.chinaskills.com网站，双击日志；打开IIS，添加一个网站，网站名称为www.chinaskills.com，物理路径设置为d:\wwwroot，IP地址设置为本机；设置“http://www.chinaskills.com/”网站的最大连接数为 800， 网站连接超时为 50s；点击选择字段，选中日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号，其他取消勾选，最后点击应用；

在 AppSrv 安装和配置 RDS 服务，用户通过 “https://app.chinaskills.com/rdweb”进行访问；名称任意，此处设置为chinaskillsrds，设置会话主机服务器为本机；由于本机没有安装notepad，所以将模拟发布画图应用程序给用户使用；打开管理中心，点击远程桌面服务->点击创建会话合集；在InsideCli客户端上，浏览器取消勾选；RDS为远程桌面服务，需要选择远程桌面服务；打开IIS管理器，右键默认网站->编辑绑定；指定用户配置文件的存储路径，路径任意；

VPN在先前已经安装完毕，在RouterSrv上再添加一张VPN转换网卡，网卡的地址设置为OutsideCli的同网段地址，设置为100.100.100.200；win10系统->打开设置->网络和Internet->VPN->添加VPN连接，连接名称根据题目来(题目上是Connect-CSK)；AD用户和计算机->Users容器->右键用户Administrator属性(以域用户管理员为例)->拨入选项卡->允许访问。打开路由和远程访问工具，右键服务器->配置并启用远程访问->远程访问；

把当前机器作为互联网根域服务器，创建 test1.com-test150.com， 并在所有正向区域中创建一条 A 记录，解析到本机地址。接下来批量创建正向区域test1.com~test150.com，通过编写Bash完成该任务，通过powershell不要使用cmd；新建正向区域chinaskills.global和chinaskills.com。安装DNS服务器，根据题目创建必要正向区域和反向区域的DNS解析；创建所有网段的反向解析区域，并在各区域内新建指针。选择根提示选项卡，并点击添加；

另外需要了解该服务需要依赖哪些服务，首先需要访问站点域名，需要DNS的支持(DNS默认域名为msftncsi.com)，同时运行站点需要Web服务器。② 新建正向区域msftncsi.com，并在内部建立msftncsi的固定IP地址(131.107.255.255)主机记录。⑥ 在connecttest内写入内容：Microsoft Connect Test (区分大小写)，保存退出，并重启网卡；④ 配置Web服务器，新建一个站点，名称为www.msftconnecttest.com。