WINDOWS (SERVER 2003) 服务器部署标准

Windows server 2003 安全配置向导部署安全配置向导 (SCW) 是一个工具，可减少Windows Server 2003 的计算机的攻击面。

它可确定服务器的一个或多个角色所需的最少功能，并且禁用不需要的功能。

特别是，SCW 有助于创建和部署具有如下功能的安全策略：∙禁用不需要的服务。

∙阻止不使用的端口。

∙允许保持打开状态的端口的其他地址或安全限制。

∙禁止不需要的 Internet 信息服务 (IIS) Web 扩展（如果适用）。

∙减少对于服务器消息块 (SMB)、LAN Manager 和轻型目录访问协议 (LDAP) 的协议暴露。

∙定义高信噪比审核策略。

SCW 会指导您完成基于选定的服务器角色创建、编辑、应用或回滚安全策略的过程。

本部署指南将指导您完成将 SCW 和 SCW 策略部署到运行带有 SP1 的 WindowsServer 2003 的计算机上的过程。

安装和运行 SCW 的要求SCW 随 Windows Server 2003 SP1 一起提供，但是仅用于运行带有 SP1 的 Windows Server 2003 的计算机。

它并非旨在用于 Microsoft Small Business Server 或Windows XP Professional 之类的客户端操作系统。

SCW 部署概述SCW即为Security Configuration Wizard，安全配置向导。

SCW主要功能：配置服务（Services）、网络安全（Network security）、审核（Auditing）、注册表（Registry）…. 使用全策略来完成这些目标。

SCW安装步骤：1．添加删除Windows组件2．添加“安全配置向导”SCW 部署打开- 开始- 所有程序管理工具–安全配置向导，启动SCW后，将会看到下图的这样一个欢迎界面：在这里，我们可以创建一个安全策略（Create）；编辑一个安全策略（Edit）；应用现有安全策略（Apply）；回滚（Rollback）。

Windows Server 2003服务器配置一、DNS服务器的安装与配置实训目的1.掌握DNS服务器的相关配置。

2.完成DNS客户端的域名解析设置。

3.完成DNS服务的验证。

实训设备与环境一台Windows 2003 Server 域控制器，一台Windows xp Professional客户机。

两台机器按如图1所示，完成相关的设置。

图1 DNS服务配置实例图有图有真相实训内容1.DNS服务器的安装2.DNS客户端设置3.DNS服务器的配置与管理实训步骤1.如果在安装域控制器时，已经选择安装DNS服务器，则不需要再进行二次安装，如果原来没有DNS服务器；也可以单独安装DNS。

主要包括以下步骤：(1)选择一台已经安装好Windows 2003的服务器（名称为），确认其已安装了TCP/IP协议，先设置服务器自己TCP/IP协议的属性。

(2)运行【开始】/【设置】/【网络和拨号连接】，鼠标右键单击【本地连接】，选择【属性】/【Internet协议（TCP/IP）】/【属性】，设置IP地址为192.168.100.1，子网掩码为255.255.255.0，DNS服务器地址为192.168.100.1。

(3)运行【控制面板】中的【添加/删除程序】选项，选择【添加/删除Windows组件】。

(4)选择【网络服务】复选框，并单击【详细信息】按钮。

(5)在【网络服务】对话框中，选择【域名系统（DNS）】，单击【确定】按钮，系统开始自动安装相应服务程序。

除组件添加方式也可以采用网络服务管理器．．．．．．．实现添加DNS。

2.完成DNS客户端设置。

(1)选择一台装有Windows xp Professional的客户机（名称为work），确认其已安装了TCP/IP协议，设置TCP/IP协议的属性。

(2)运行【开始】/【设置】/【网络和拨号连接】，鼠标右键单击【本地连接】，选择【属性】/【Internet协议（TCP/IP）】/【属性】，设置IP地址为192.168.100.2，子网掩码为255.255.255.0，DNS服务器地址为192.168.100.1。

应用环境配置：1．戴尔服务器两台（A为主服务器，B为备服务器）：操作系统为Windows Server 2003 Enterprise Edition或Windows Server 2003 Datacenter Edition2．共享阵列柜一个（DELL POWERV ANLT 220S，5块73G SCSI 硬盘）：置于cluster模式3．心跳线一根（交叉线）：服务器相同型号网卡互连4．与阵列柜相连阵列卡两块：分别插于戴尔服务器5．数据线两根：分别连接服务器与阵列柜6．每台服务器网卡至少两块：一块用于连接公共网络（Public），一块用于服务器直连（Private）安装步骤第一步、配置服务器1、将两台服务器A和B连起来。

两块网卡（连接公网）连到交换机上；两块网卡（服务器直连通讯用）用心跳线连接起来。

磁盘柜用DELL的数据线接到两台服务器上。

2、两台服务器都开机，在两台服务器A和B上分别安装Windows Server 2003 Enterprise Edition。

注意：如果您试图将一个节点加入一个具有空白的本地管理员帐户密码的群集，安装将会失败。

基于安全原因，Windows Server 2003禁止使用空白的管理员密码。

3、配置两块连接公网网卡的IP地址，服务器A的IP地址为：172.116.2.3，服务器B的IP地址为：172.116.2.4。

配置两块私有网卡的IP 地址，服务器A的IP地址为：10.1.1.3，服务器B的IP地址为：10.1.1.4。

在两台服务器上的C:\WINDOWS\system32\drivers\etc\hosts中增加相应的主机和IP地址记录。

Oa1 172.116.2.3Oa2 172.116.2.4Oacluster 172.116.2.5Oa1.oaserver.local 172.116.2.3Oa2.oaserver.local 172.116.2.4Oacluster.oaserver.local 172.116.2.54、将服务器A配置为域控制器，取域名为（OASERVER.LOCAL）。

辽宁工程技术大学上机实验报告课程名称网络操作系统实验题目Windows Server 2003网络服务器安装与配置院系专业班级姓名学号实验日期实验目的安装IIS组件，建立及配置Web、FTP、SMTP服务器。

实验准备1.Windows Server 2003网络服务器安装与配置2.安装IIS组件，建立及配置Web、Ftp、SMTP服务器。

实验进度本次共有 3 个练习，完成 3 个。

实验内容1．安装IIS信息服务器一般情况下，Windows Server 2003服务器的默认安装，没有安装IIS6.0组件。

因此，IIS6.0需要另外单独安装。

安装方法如下：第1步：依次选择【开始】→【设置】→【控制面板】→【添加/删除程序】，第2步：在“添加/删除程序”对话框中选择【添加/删除Windows组件】，就会弹出的“Windows组件向导”对话框，添加或者删除程序对话框成绩Windows 组件向导对话框第3步：在Windows 组件向导对话框中选择“应用程序服务器”，单击【详细信息】，在其中选择“Internet 信息服务（IIS）”，单击【确定】，如图所示。

应用程序服务器对话框第4步：回到“Windows 组件向导”对话框中，单击【下一步】。

这时，需要在光驱中放入Windows Server 2003的系统安装盘，如图所示。

Windows 组件向导安装对话框第5步：安装完毕后，依次选择【开始】→【设置】→【控制面板】→【管理工具】→【Internet信息服务（IIS）管理器】，就会出现如图所示的“Internet信息服务”对话框。

图7-6 Internet信息服务对话框第6步：在IE浏览器的地址栏中输入“http://localhost”或者“http://你的计算机名字”或者“http://127.0.0.1”。

回车后，如果出现“建设中”字样，表示IIS安装成功，如图所示。

图7-7 成功安装IIS2．IIS的配置与管理基本Web站点的配置，操作步骤如下：第1步：依次选择【开始】→【设置】→【控制面板】→【管理工具】→【Internet信息服务（IIS）管理器】，展开“TEST（本地计算机）”（其中TEST为服务器的名称），然后展开“网站”。

Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services 中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

Windows Server 2003 配置规范1. 概述 本文档规定了公司范围内安装有 Windows Server 2003 操作系 统的主机应当遵循的操作系统设置规范， 旨在指导系统管理人员进行 Windows Server 2003 操作系统的配置。

1.1 适用范围本规范的使用者包括： 服务器系统管理员、应用管理员、网络安全管理员。

本规范适用的范围包括： 公司运行的 Windows Server 2003 服务器系统。

1.2 实施 本规范的解释权和修改权属信息技术中心， 在本标准的执行过程 中若有任何疑问或建议，应及时反馈。

本标准一经颁布，即为生效。

1.3 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明 业务需求和原因，送交信息技术中心进行审批备案。

1.4 检查和维护 根据公司经营活动的需要，每年检查和评估本标准，并做出适当 更新。

如果在突发事件处理过程中，发现需对本标准进行变更，也需第 1 页 共 12 页要进行本标准的维护。

2. 事件日志配置 2.1. 系统日志大小设置 所有日志的覆盖方式都设置为：按需要覆盖事件 大小设置为：应用程序 16384KB 16384KB 2.2. 修改事件日志的存放路径 在 D 盘建立目录： D:\Sec\syslog，其权限设置为： Administrators、System 完全控制 Power Users、Users 列出文件夹目录 CREATOR OWNER 权限为空 然后修改以下键值： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Eventlog\Security] file  D:\Sec\SysLog\SecEvent.Evt [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Eventlog\System] file  D:\Sec\SysLog\SysEvent.Evt [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Eventlog\Application] file  D:\Sec\SysLog\AppEvent.Evt第 2 页 共 12 页安全 16384KB系统2.3.系统审计日志应用程序、 安全性和系统事件日志的设置都应在域策略中配置并应用 到域中的所有成员服务器。

把一台成员服务器提升为域控制器目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows 组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

然后点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

Windows Deployment ServicesWindows Deployment Services（Windows部署服务，简称：WDS），是提供给计算机管理员在企业或组环境中为计算机部署操作系统的一种工具。

通过WDS我们可以轻松地为企业的客户端批量部署操作系统，并可管理映像和无人参与的安装脚本，或提供需人参与和无人参与的安装选项。

WDS对操作系统的要求：必须是Window Server 2008 code name Longhorn、Windows Server 2003 with SP1和Windows Server 2003 R2。

WDS对网络环境的要求：WDS必须是Active Directory域的成员，并且域中必须存在DHCP服务。

当WDS是混合模式时（混合模式同时支持WIM Image和RIS Image），如果我们启动的是基于Windows PE的引导，那么客户机的内存必须是在512M以上。

首先我们先把网络环境搭建一下，选用操作系统为Windows Server R2，并且升级为域环境（/192.168.1.1），在安装域的同时也将DNS安装设置好。

（在此，这一步骤就不再演示，请Active Directory参考相关资料）域环境完成后，我们就加一个DHCP服务。

由于客户端要设置为网络启动，所以DHCP是绝对不可以少的。

和2008的WDS服务相比，此设置更为烦琐，功能一样，缺点也一样1、打开“管理你的服务器”窗口。

2、点击“添加或删除角色”，进入配置服务器向导。

3、点击“下一步”，再选择“DHCP服务器”，点击“下一步”。

4、点击“下一步”，安装DCHP服务器。

5、点击“下一步”，进行配置DHCP服务器。

6、输入DHCP作用域的名称以及描述，点击“下一步”。

7、输入DCHP分发IP地址的范围，此范围内的IP是可用的。

如果有不可用的或是已经占用的，在之后的向导中输入。

点击“下一步”进入下一个向导。