安全配置向导组件的使用

1．安装“安全配置向导”组件 默认情况下“安全配置向导”并没有被安装，用户需要通过Windows组件向导手动安装。在“控制面板”窗口中双击“添加或删除程序”图标，打开“添加或删除程序”窗口。然后单击左窗格中的“添加/删除Windows组件”按钮，打开“Windows组件向导”。在“组件”列表中选取“安全配置向导”复选框，并单击“下一步”按钮。在安装过程中需要插入系统安装光盘。 2创建安全策略 安全策略是服务器安全的重要保证，在这里需要创建一个新的安全策略。其创建步骤如下： 第1步：依次单击“开始→管理工具→安全配置向导”，启动安全配置向导，在打开的欢迎页中直接单击“下一步”按钮。 第2步：在打开的“配置操作”向导页中点选“创建新的安全策略”单选框，并单击“下一步”按钮。 第3步：打开“选择服务器”向导页，在“服务器”编辑框中输入提供Web服务的服务器名称（也可以单击“浏览”按钮查找服务器），并单击“下一步”按钮。 系统开始处理安全配置数据库，配置完成后单击“下一步”按钮。 3服务器角色配置 安全配置向导自动进入服务器角色配置向导页。所谓服务器角色就是服务器在网络中所承担的工作，也就是提供的服务类型。配置服务器角色的步骤如下： 第1步：在“基于角色的服务配置”向导页中单击“下一步”按钮，打开“选择服务器角色”向导页。在服务器角色列表中列出了选定服务器中已经安装的服务类型，用户可以根据需要选取合适的选项。在本例中，我们要配置的是安全的Web服务器和FTP服务器，因此只须保持选中“FTP服务器”和“Web服务器”两项即可。设置完毕单击“下一步”按钮。 第2步：打开“选择客户端功能”向导页。尽管本例要配置的是Web服务器和FTP服务器，但服务器本身可能同时又是一台客户机，因此必要的客户端功能还需要保留，否则将造成某些功能无法使用（譬如“新建网络连接”功能）。建议保持此处设置的默认设置，单击“下一步”按钮。 第3步：在打开的“选择管理和其他选项”向导页中，单击“查看”右侧的下拉三角，在下拉菜单中分别选择“Web服务器选项”和“FTP服务器选项”，将这两种服务器的选项全部选中。然后保持“IPSec服务”的选中状态，其余选项全部取消，并单击“下一步”按钮。 第4步：打开“选择其它服务”向导页，用户可以单击服务名称前面的小三角查看这些服务的用途。建议取消所有用途不大的服务，然后单击“下一步”按钮。 第5步：在打开的“处理未指定的服务”向导页中，点选“禁用此服务”单选框，并单击“下一步”按钮。 第6步：最后打开“确认服务更改”向导页，确认列表中列出的禁用或启动的服务无误后单击“下一步”按钮。 4网络安全配置 安全配置向导转入网络安全设置，从而针对选定服务器角色对Windows防火墙的入站端口进行配置。其配置步骤如下： 第1步：在说明向导页中单击“下一步”按钮，打开“打开端口并允许应用程序”向导页。在端口列表中取消除20端口、21端口和80端口以外的其他端口，并单击“下一步”按钮。 第2步：打开“确认端口配置”向导页，从列表中可以看到除了20、21和80端口，其他端口都被阻止了。确认设置无误，单击“下一步”按钮。 5配置IIS 因为本例选定的服务器角色是Web服务和FTP服务，因此会出现配置IIS向导页。这里主要用于设置与Web服务和FTP服务相关的IIS选项。其设置步骤如下： 第1步：在说明页中直接单击“下一步”按钮，打开“选择动态内容的Web服务扩展”向导页。一般情况下只须选取“Active Server Page”复选框就能满足Web服务的需求，单击“下一步”按钮。 第2步：如果Web服务目录中存在虚拟目录，则配置向导会提示选择要保留虚拟目录。用户可以根据实际需要只保留重要的虚拟目录，并单击“下一步”按钮。 第3步：在打开的“阻止匿名用户访问内容文件”向导页中，选取“拒绝匿名用户对内容文件的写权限”复选框，并单击“下一步”按钮。 第4步：打开“IIS设置摘要”向导页，确认设置无误后单击“下一步”按钮完成IIS设置。 6保存和应用安全策略 至此我们创建的安全策略基本完成，接着需要保存和应用该策略，其具体操作步骤如下： 第1步：在说明页单击“下一步”按钮，打开“安全策略文件名”向导页。为该安全策略命名（如“SecurityWeb”），并单击“下一步”按钮。 第2步：打开“应用安全策略”向导页，点选“现在应用”单选框，并单击“下一步”按钮。这时安全配置向导开始将该安全策略应用到选定的服务器，最后依次单击“下一步→完成”按钮完成Web服务器和FTP服务器安全策略的创建。 通过上述配置过程不难发现，“安全配置向导”几乎包含了涉及服务器安全设置的所有方面。在该向导的指引下，用户可以配置出较为安全的服务器系统，力争实现百密而无一疏。

方法/步骤

1

在安装DHCP服务之前，需要规划以下信息：

1确定DHCP服务器应分发给客户机的IP地址范围。

2为客户机确定正确的子网掩码。

3确定DHCP服务器不应向客户机分发的所有IP地址。（保留一些固定IP地址提供给打印服务器等使用）。

4决定IP地址的租期期限。默认值为 8 天。通常，租用期限应等于该子网上的客户端的平均活动时间。例如，如果客户端是很少关闭的桌面计算机，理想的期限可以比 8 天长，如果客户端是经常离开网络或在子网之间移动的移动设备，该期限可以少于 8 天。

5服务器应有自己固定的IP

2

打开服务器管理器

3

添加角色

4

添加DHCP服务器

5

DHCP服务器介绍

6

选择网络连接绑定

7

指定IPv4和DNS

8

指定WINS服务器设置

9

添加作用域

10

配置DHCP v6 无状态模式

11

确认安装

12

安装结果

为学习服务器管理，装上了Windows Server 2008R2但无法像Windows 7那样开启Windows Server 2008 R2的任务栏窗口缩略图效果在任务栏和开始菜单属性中的使用Areo Peek预览桌面选项为灰色不可选，在}生能选项的视觉效果中选择了调整为最佳外观并确定勾选了保存任务栏缩略图预览也不行。到底在Windows Server 2008R2要如何才能开启Areo Peek预览效果呢 在Windows 2008需要安装桌面体验功能，才能显示任务栏预览效果。打开服务器管理器，依次展开服务器管理器的角色一功能，在添加功能向导窗口中，勾选桌面体验，点击下一步安装。然后点击服务器管理器的配置一服务，打开服务列表，找到Themes服务，在属性中将启动类型设置为自动并手动启动该服务，然后到控制面板一外观和个性化一个性化，就可以选择Areo主题了。

要配置DNS服务器，首先必须添加角色。打开“服务器管理器”，在“仪表板”里面点击“添加角色和功能”。

2

进入“添加角色和功能向导”，检查到静态IP地址（为192168100100）已配置完成，管理员帐户使用的是强密码和最新的安全更新在实验中可以忽略，点击“下一步”。

3

我们在本地运行的物理计算机上安装，故安装类型选择第一项“基于角色或基于功能的安装”。

4

服务器选择服务器池中的本地服务器“dc”。

5

服务器角色中勾选上“DNS服务器”，同时也在该服务器上安装DNS服务器管理工具。

6

DNS服务器的安装不需要添加其他功能，功能安装页面直接点击“下一步”。

7

注意事项中说明当DNS服务器和Active Directory域服务器集成时，DNS服务器会自动复制DNS数据及其他目录服务数据；AD域服务器上必须安装DNS服务器。点击“下一步”。

8

确认选择无误，点击“安装”按钮开始安装，安装完毕关闭添加角色和功能向导。

9

由于这里没有上一级DNS服务器，只能将本地IP地址配置为主DNS服务器地址，在“Internet协议版本4(TCP/IPv4)属性”的“首选DNS服务器”中填“127001”。到此，DNS服务器配置完成。

客户端的DNS配置

首先测试客服端和DNS服务器的网络连接是否正常。在客户端中ping 192168100100，连接正常。

如果客户端无法ping通DNS服务器，请检查DNS服务器的防火墙是否配置正确。可以直接关闭DNS服务器的防火墙或者在防火墙的高级设置的入站规则中启用规则“文件和打印机共享(回显请求 - ICMPv4-In)”和“文件和打印机共享(回显请求 - ICMPv6-In)”。如下图所示：

在客户端相应网卡的“Internet协议版本4(TCP/IPv4)属性”的“首选DNS服务器”中填上DNS服务器的IP地址，到此客户端的DNS配置完成，客户端的域名请求就可以正常解析。