文档介绍:Windows 域与 协议统一认证解决方案本帖最后由网络精灵于 2010-1-3 13:52 编辑 Windows 域与 协议统一认证解决方案【课程星级】★★★★★【实验名称】 Windows 域与 协议统一认证解决方案【实验目的】使管理人员了解 Windows 域与 协议结合进行统一认证的配置方法。【背景描述】随着局域网的迅速发展, 办公用户的网络安全问题日益突出。目前, 各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。在许多企业的 IT 管理过程中, 往往注重对来自因特网的外部威胁防御, 忽略了来自内部的非法访问威胁。这种威胁在大中型企业的 IT 环境中影响尤其明显。因此, 建立内部网络接入防御体系势在必行。很多企事业单位已经建立了基于 Windows 域的信息管理系统,通过 Windows 域管理用户访问权限和应用执行权限。然而,基于 Windows 的权限控制只能作用到应用层,而无法实现对用户的物理访问权限的控制,比如对网络接入权限的控制,非法用户可随意接入用户网络,这就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源, 提高网络接入的安全性, 很多政府和企业网络的管理者希望通过 认证实现对接入用户的身份识别和权限控制。通过 协议和活动目录技术相结合的方案, 来实现设备接入的合法验证和管理。只有通过了内部域用户验证的计算机才能正常进行网络通讯, 否则其接入端口数据将被阻隔。下面我们就来看一下 Windows 域与 协议统一认证解决方案的实现过程。【实验拓扑】实验环境说明:本实验需要用到 Windows 2003 Server , 并且在 Windows 2003 Server 安装 DNS 、 AD、 DHCP 、 CA、 IAS 等组件,并且要求交换机支持 协议与 Guest VLAN 功能。本文详细地记录了配置 Windows 2003 Server 和交换机每一个步骤的实现过程,并力求层次清晰。但还是希望没有接触过 Windows 2003 Server 的读者了解 Windows 2003 ServerDNS 、 AD、 DHCP 、 CA和 IAS 的相关知识,请参考相关书籍和网站。拓扑说明: Windows 2003 Server IP: 交换机 IP: 路由器 LAN 接口 IP: 橘红色端口所属的 VLAN 为 Guest VLAN, 名称为 V10, VID 为 10 蓝色端口所属的 VLAN 名称为 V20, VID 为 20 绿色端口为需要进行 认证的端口测试计算机的 IP 为从 Windows 2003 Server 自动获取根据上面的拓扑环境,测试 PC 通过了 windows 域的认证以后,自动在交换机端口上进行 认证, 认证通过以后, PC 被交换机自动分配到了 V20 里面, 从而可以接入到互联网中。若 PC 没有通过 认证,则只能访问 Guest VLAN 里面的资源。【实验设备】 Windows 2003 Server 1 台, DES-3526 1 台,路由器 1 台,测试 PC1 台,网线若干。【实验步骤】一. 配置 Windows 2003 Server 1. 安装 Windows 2003 Server AD (活动目录) 在 Windows 2003 Server 上,点击“开始”---- “运行”,输入“ dcpromo ”,点“确定”, 启动“活动目录安装向导”。如下图: 此处选择“新域的域控制器”,使此计算机作为此域的域控制器( DC )。此处选择“在新林中的域”。输入“ ”作为新建域的域名。 BIOS 域名,此处使用默认的“ TEST ”。设置数据库和日志文件的保存路径,此处选择默认设置。设置共享的系统卷,此处使用默认设置。 DNS 注册诊断, 由于此服务器还没有安装 DNS 服务器组件, 因此显示诊断失败, 这里选择“在这台计算机安装并配置 DNS 服务器, 并将这台 DNS 服务器设为计算机的首选 DNS 服务器”。设置用户和组对象的默认权限,此处选择默认设置。设置目录还原模式的管理员密码。开始安装和配置活动目录。活动目录安装完毕。点击“立即重新启动”,重启 windows 2003 server 。 2. 安装并配置 windows 2003 server DHCP 服务器