学习笔记-Windows 基础服务搭建

Windows 基础服务搭建

---

磁盘管理

例1

1. 新建两个 10G 的硬盘,名称为 A-10-1、A-10-2,挂载到主机;
2. 新建镜像卷,使用所有空间,驱动器号为 D.

1. 开始——管理工具——计算机管理——存储——磁盘管理
2. 把新建的磁盘 1 和 2 联机初始化
3. 右键磁盘 1——建立镜像卷——指定2个磁盘——分配盘符——一路下一步

例2

1. 新建一个 10G 的硬盘,名称为 A-10-1,挂载到主机;
2. 将该硬盘做如下配置:配置为动态磁盘,并创建一个普通卷,大小为 10G,文件系统为 NTFS,驱动器号为 D.

1. 开始——管理工具——计算机管理——存储——磁盘管理
2. 把新建的磁盘 1 联机初始化
3. 右键磁盘 1——转换成动态磁盘——新建简单卷——分配盘符——一路下一步

例3

1. 新建三个 10G 的硬盘,名称为 A-10-1、A-10-2、A-10-3,挂载到主机;
2. 新建 RAID-5 卷,使用所有空间,驱动器号为 D.

1. 开始——管理工具——计算机管理——存储——磁盘管理
2. 把新建的磁盘 1、2、3 联机初始化
3. 右键磁盘 1——建立 RAID-5 卷——指定 3 个磁盘——分配盘符——一路下一步

---

DNS

例1

1. 配置 abc.com 域的从 DNS 服务,主 DNS 为本机.
2. 配置 0.16.172 反向域的从 DNS 服务,主 DNS 为本机.

1. 服务器管理器——添加角色——DNS 服务器
2. 服务器管理器——角色——DNS 服务器
3. 正向查找区域——新建区域——辅助区域——abc.com——输入本机的 IP
4. 反向查找区域——新建区域——辅助区域——172.16.0——输入本机的 IP

例2

1. 将 ftp.abc.com 解析至本机 IP;
2. 将 www.abc.com 解析至本机 IP;
3. 建立反向简析区域完成 ftp.abc.com,www.abc.com,域名的反向解析;
4. 允许本机对 192.168.XX+1.33 的 ip 进行区域传送.

1. 服务器管理器——添加角色——DNS 服务器
2. 服务器管理器——角色——DNS 服务器
3. 正向查找区域——新建区域——主要区域——abc.com——一路下一步
4. abc.com——新建主机——略 (记得勾选"创建相关的指针记录")
5. 反向查找区域——新建区域——主要区域——172.16.0——一路下一步
6. abc.com——属性——区域传输——允许-只允许到下列服务器——192.168.XX+1.33
7. 0.16.172.in-addr.arpa——属性——区域传输——允许-只允许到下列服务器——192.168.XX+1.33

例3

1. 在 Windows 2008 R2 的 DNS 服务管理工具中添加四条主机记录,实现 vpn.abc.com,www.abc.com,web.abc.com,ftp.abc.com 域名的解析 (解析至 HTTP 服务虚机 IP) .并用 nslookup 验证;
2. 建立反向简析区域完成 vpn.abc.com,www.abc.com,web.abc.com,ftp.abc.com 域名的反向解析,并用 nslookup 验证;

同上,略

---

FTP

例1

1. FTP 站点名称为 abcftp,物理路径为 D:\ftpdata;
2. 允许匿名用户和普通用户 tom 登录,匿名用户对主目录只有读权限,tom 对主目录有读写权限,禁止上传 exe 后缀的文件;
3. 设置 FTP 最大客户端连接数为 100,设置无任何操作的超时时间为5分钟,设置数据连接的超时时间为1分钟.

1. 开始——管理工具——计算机管理——系统工具——本地用户和组——用户——新用户——tom
2. 服务器管理器——添加角色——web 服务器——ftp 服务器
3. 服务器管理器——角色——web 服务器——IIS 管理器——网站——添加 FTP 站点——指定名称,路径——指定IP地址—身份验证选择匿名和基本,授权选所有用户读取
4. abcftp——FTP 授权规则——添加允许规则——指定用户 tom——写入
5. abcftp——FTP 请求筛选——拒绝文件扩展名——exe
6. abcftp——高级设置——最大连接数100——控制通道超时 300——数据通道超时 60

例2

1. 安装 FTP 服务,新建一个 FTP 站点,主目录为 C:\ftproot,通过适当技术实现用户 soft1 与 soft2 通过匿名方式登录 FTP 站点时,只能浏览到"Public"子目录中的内容,若用个人账号登录 FTP 站点,则只能访问自己的子文件夹;
2. 设置 FTP 最大客户端连接数为 100.设置无任何操作的超时时间为5分钟,设置数据连接的超时时间为1分钟;

1. 开始——管理工具——计算机管理——系统工具——本地用户和组——用户——新用户——soft1
2. 新用户——soft2
3. 服务器管理器——添加角色——web 服务器——ftp 服务器
4. 服务器管理器——角色——web 服务器——IIS 管理器——网站——添加FTP站点——指定名称,路径——指定 IP 地址—身份验证选择匿名和基本,授权选所有用户读取
5. FTP 站点——添加虚拟目录——public、soft1、soft2
6. FTP 站点——public——FTP 授权规则——删除默认加上去的允许所有用户——读取
7. FTP 站点——public——FTP 授权规则——添加允许规则——所有匿名用户——读取
8. FTP 站点——soft1——FTP 授权规则——删除默认加上去的允许所有用户——读取
9. FTP 站点——soft1——FTP 授权规则——添加允许规则——soft1——读取
10. FTP 站点——soft2——FTP 授权规则——删除默认加上去的允许所有用户——读取
11. FTP 站点——soft2——FTP 授权规则——添加允许规则——soft2——读取
12. FTP 站点——高级设置——最大连接数 100——控制通道超时 300——数据通道超时 60

例3

1. FTP 需求说明

• 允许程序员 tom 通过 ftp 更新网站;
• 允许程序员 jack 通过 ftp 更新平台;
• 创建一个销售账户 sale,用于通过 FTP 下载产品说明书.

2. FTP服务的配置

• 创建三个用户 tom、jack 和 sale,密码均为 123456
• 创建 FTP 站点,具体要求如下
• 设置 FTP 主目录为:D:\web;
• 设置 FTP 主目录权限为:只允许 tom、jack、sale 和 administrator 用户访问 FTP,但不允许对FTP根目录内容进行修改;
• 设置目录 D:\web\cii_web的访问权限为:
• 仅允许用户 tom 和 administrator 读取和写入
• 设置目录 D:\web\cloud 的访问权限为:
• 仅允许用户jack和administrator 读取和写入
• 创建目录 D:\web\sale,并设置其访问权限为:
• 仅允许用户sale和administrator 读取和写入

1. 开始——管理工具——计算机管理——系统工具——本地用户和组——用户——新用户——tom
2. 新用户——jack
3. 新用户——sale
4. 服务器管理器——添加角色——web 服务器——ftp 服务器
5. 服务器管理器——角色——web 服务器——IIS 管理器——网站——添加 FTP 站点——指定名称,路径——指定 IP 地址—身份验证选择基本,授权选所有用户读取
6. FTP 站点——添加虚拟目录——cii_web、cloud、sale
7. FTP 站点——cii_web——FTP 授权规则——删除默认加上去的允许所有用户——读取
8. FTP 站点——cii_web——FTP 授权规则——添加允许规则——tom——读取
9. FTP 站点——cii_web——FTP 授权规则——添加允许规则——administrator——读取
10. FTP 站点——cloud——FTP 授权规则——删除默认加上去的允许所有用户——读取
11. FTP 站点——cloud——FTP 授权规则——添加允许规则——jack——读取
12. FTP 站点——cloud——FTP 授权规则——添加允许规则——administrator——读取
13. FTP 站点——sale——FTP 授权规则——删除默认加上去的允许所有用户——读取
14. FTP 站点——sale——FTP 授权规则——添加允许规则——sale——读取
15. FTP 站点——sale——FTP 授权规则——添加允许规则——administrator——读取

---

web服务

例1

• 站点名称为 abc.com
  • 在 D:\webdata 文件夹内中创建名称为 index.html 的主页,主页显示内容"fubuki!fubuki!fubuki!"
  • 配置站点 https 功能
  • 设置网站的最大连接数为 1000,网站链接超时为 60s,网站的带宽为 1000kB/s
  • 使用 W3C 记录日志;每天创建一个新的日志文件,使用当地时间作为日志文件名

1. 服务器管理器——添加角色——web 服务器
2. 服务器管理器——角色——web 服务器——IIS 管理器——网站——添加网站——指定名称和路径,http,IP 地址
3. 在 linux 中用 openssl 生成 pfx 证书文件,搞到win2008里来(自己想办法,步骤略)
4. 点击 IIS 管理器——WIN-xxxxxxxxxx主页(类似的那个东西)——服务器证书——右键导入 pfx 证书
5. abc.com——绑定——添加——https——选择导入的证书——无视报错信息——重启服务测试
6. abc.com——高级设置——最大并发连接数 1000——连接超时 60——最大带宽 1000000
7. abc.com——日志——勾选使用本地时间进行文件命名和滚动更新

例2

1. 安装 IIS 组件,创建 www.abc.com 站点,在 C:\MyShare 文件夹内中创建名称为 abc.html 的主页,主页显示内容"fubuki!fubuki!fubuki!";
2. 设置网站的最大连接数为1000,网站链接超时为60s,网站的带宽为 1000kB/s,使用 W3C 记录日志;每天创建一个新的日志文件,使用当地时间作为日志文件名;日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器端口号和方法;

1. 服务器管理器——添加角色——web 服务器
2. 服务器管理器——角色——web 服务器——IIS 管理器——网站——添加网站——指定名称和路径,http,IP 地址
3. www.abc.com——高级设置——最大并发连接数 1000——连接超时 60——最大带宽 1000000
4. www.abc.com——日志——选择字段——需要的勾不需要的不勾
5. www.abc.com——日志——勾选使用本地时间进行文件命名和滚动更新

例3

1. 安装 IIS 组件,创建 www.abc.com 站点,在 C:\MyShare 文件夹内中创建名称为 abc.html 的主页,主页显示内容"fubuki!fubuki!fubuki!",同时只允许使用 SSL 且只能采用域名方式进行访问;
2. 设置网站的最大连接数为 800,网站链接超时为 30s,网站的带宽为 2048kB/s,使用 W3C 记录日志;每天创建一个新的日志文件,使用当地时间作为日志文件名;日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器端口号和方法;

1. 服务器管理器——添加角色——web 服务器
2. 服务器管理器——角色——web 服务器——IIS 管理器——网站——添加网站——指定名称和路径,http,IP 地址
3. 在 linux 中用 openssl 生成 pfx 证书文件,搞到 win2008 里来(自己想办法,步骤略)
4. 点击 IIS 管理器——WIN-xxxxxxxxxx 主页(类似的那个东西)——服务器证书——右键导入 pfx 证书
5. www.abc.com——绑定——添加——https——选择导入的证书——无视报错信息——重启服务测试
6. www.abc.com——SSL 设置——要求 SSL——接受
7. www.abc.com——高级设置——最大并发连接数800——连接超时 30——最大带宽 2048000
8. www.abc.com——日志——选择字段——需要的勾不需要的不勾
9. www.abc.com——日志——勾选使用本地时间进行文件命名和滚动更新

---

CA证书

例1

1. 提供 Web 注册方式,可接受 CSR (证书请求文件) 并签发证书;
2. 加密服务提供程序为"RSA##Microsoft Software Key Storage Providew",密钥字符长度为"2048";
3. 颁发的签名证书的哈希算法为"SHA256";
4. CA 证书名称:ca.abc.com;
5. 为 Linux 主机的 web 服务提供证书,颁发的证书命名为 httpd.crt.

1. linux 生成 csr 文件传过来
2. 自己安装 AD 证书服务,详见 https://www.cnblogs.com/zhongweiv/archive/2013/01/07/https.html
3. 访问 localhost/certsrv——申请证书——高级证书申请——  使用 base64 编码的 CMC 或 PKCS ##10 文件提交 一个证书申请,或使用 base64 编码的 PKCS ##7 文件续订证书申请——将csr文件的内容粘贴,选择提交
4. 服务器管理器——角色——AD证书服务——ca.abc.com——挂起的申请——颁发
5. 访问 localhost/certsrv——查看挂起的证书申请的状态——basic64 编码——下载证书
6. 后缀 cer 改为 crt
7. 把 crt 证书传给 linux

---

Windows server Backup

例1

1. 配置安装 Windows server Backup 服务,新建备份计划备份路径为 c:\windows\system32\dns. 备份时间为每日 13 点和 0 点.备份到 目标卷 D;

1. 服务器管理器——添加功能——Windows server Backup
2. 服务器管理器——存储——Windows server Backup
3. 备份计划——自定义——选择文件夹——指定好时间——备份到专用于备份的硬盘——选择D盘

例2

1. 安装 Windows server Backup 服务,新建备份计划,备份路径为 C:\ MyShare. 备份时间为每日15点,备份目标为另一台机器的 C:\backup\website,备份传输链路为第二张网卡.

1. 服务器管理器——添加功能——Windows server Backup
2. 服务器管理器——存储——Windows server Backup
3. 备份计划——自定义——选择文件夹——指定好时间——备份到共享网络文件夹——路径为:\\公网IP\\backup\website

例3

1. 挂载一个硬盘,具体要求如下:
2. 将该硬盘做如下配置:配置为动态磁盘,并创建一个普通卷,文件系统为 NTFS,驱动器号为 D.
3. 备份目录:D:\Backup\Cloud

1. 服务器管理器——添加功能——Windows server Backup
2. 服务器管理器——存储——Windows server Backup
3. 备份计划——自定义——选择文件夹——高级设置——排除——添加排除——选择文件夹——.temp——指定好时间——备份到共享网络文件夹——路径为:\\IP\Backup\Cloud
4. 配置性能设置——本地磁盘D——增量备份

---

安全策略

例1

1. 配置安全策略,使得用户在登录错误尝试 3 次之后锁定,锁定时间为 5 分钟,锁定间隔为 2 分钟 并记录登录错误信息.

1. 开始——管理工具——本地安全策略 (或 win+r 输入 secpol.msc)
2. 账号策略——账户锁定策略——账户锁定阈值——3次
3. 账号策略——账户锁定策略——账户锁定时间——5分钟
4. 账号策略——账户锁定策略——重置账户锁定计数器——2分钟
5. 本地策略——审核策略——审核账号登录事件——失败

例2

1. 新建用户 user1、user2、user3 并限制 user1 的磁盘配额为 100MB,警告等级为 80M.user2 的配额为 500M,user3 为不限制.

1. 开始——管理工具——计算机管理——系统工具——本地用户和组——用户——新用户——user1
2. 新用户——user2
3. 新用户——user3
4. 右键磁盘——属性——配额——启动配额管理——配额项——配额——新建配额项
5. 剩下的略

---

telnet

例1

1. 配置 telnet 服务

1. 服务器管理器——添加功能——Telnet 服务器
2. 开始——管理工具——服务——Telnet——手动——开启

---

文件共享

例1

1. 创建文件共享,共享目录为:C:\backup

1. 右键 C:\backup——共享——高级共享——共享此文件夹
2. 右键 C:\backup——共享——共享——Administrator——共享

---

RDP

1. 点击'开始‘,右击’计算机‘-‘属性’-’远程‘-’允许允许任意版本远程桌面的计算机连接‘

连接被拒绝 因为没有授权此用户账户进行远程登录

1. 点击'开始‘,右击’计算机‘-‘属性’-’远程‘-’选择用户’-‘添加’
2. 在’输入对象名称来选择(示例)(E):‘ 那里输入你要赋予远程连接权限的用户名(如,test),然后点击’检查姓名‘,

多开

win+R
gpedit.msc
计算机配置->管理模板->Windows 组件->远程桌面服务->远程桌面会话主机->连接
将 "将远程桌面服务的用户限制到单独的远程桌面会话" 禁用

---

启动项

记录2种开启启动项的方法

• win+R,shell:startup
• msconfig

点击关注，共同学习！安全狗的自我修养

github haidragon

https://github.com/haidragon