基于 Windows Server 2016 和 CentOS 7 构建一个功能完整、权限可控、具备高可用和数据安全保障的综合性信息系统
基于 Windows Server 2016 和 CentOS 7 构建一个功能完整、权限可控、具备高可用和数据安全保障的综合性信息系统
28.7的博客虚拟主机信息表
该文档是一份详细的信息系统搭建操作指南,核心目标是基于 Windows Server 2016 和 CentOS 两类操作系统,在指定 VLAN 的多台虚拟主机上,部署域名解析、域控管理、网站服务、文件传输、邮件服务、数据库、集群高可用、磁盘冗余(RAID)等核心组件,最终构建一个功能完整、权限可控、具备高可用和数据安全保障的综合性信息系统,当然,本文内容较长,我们将分成几个大类,当然了,所有的内容都是在我验证过后写出来的
目标
该文档是一份详细的信息系统搭建操作指南,核心目标是基于Windows Server 2016和CentOS两类操作系统,在指定VLAN的多台虚拟主机上,部署域名解析、域控管理、网站服务、文件传输、邮件服务、数据库、集群高可用、磁盘冗余(RAID)等核心组件,最终构建一个功能完整、权限可控、具备高可用和数据安全保障的综合性信息系统。
一、基础环境:虚拟主机与网络规划
首先明确了系统的“硬件载体”——12台虚拟主机,按操作系统类型和VLAN划分,为后续服务部署划定网络边界,具体如下:
| 操作系统类型 | 虚拟主机名称 | 所属VLAN | 核心角色定位 |
|---|---|---|---|
| Windows 2016 | Win2016-A1/A2 | 省略 | 域控制器、DNS、DFS、CA证书 |
| Windows 2016 | Win2016-B1/B2/B3/B4 | 省略 | 网站、FTP、Tomcat、故障集群、RAID |
| CentOS | Centos-A3/A4 | 省略 | 子DNS、Linux网站服务 |
| CentOS | Centos-C1/C2/C3/C4 | 省略 | FTP、防火墙、邮件、NTP、Samba、数据库、RAID |
二、核心部署内容:分操作系统拆解
文档按“Windows操作系统”和“Linux操作系统”两大模块,明确每台主机的具体操作任务,涵盖服务部署、权限配置、功能验证、数据安全四大维度,以下是关键任务梳理:
(一)Windows Server 2016主机:侧重域控、微软生态服务
以“域管理”为核心,延伸出DNS、文件共享、网站、集群等服务,所有Windows主机需加入指定域(sec.com或win.sec.com),确保权限统一。
| 虚拟主机 | 核心任务(含关键要求) |
|---|---|
| Win2016-A1 | 1. 主域控制器:创建sec.com域(完全域名dc.sec.com),配置域用户/组(如adm、sale组)、账户策略(密码长度3位、锁定阈值7次等); 2. 主DNS:配置sec.com正向/反向解析,与AD集成,关闭掩码排序; 3. DFS服务器:与A2的sdc.win.sec.com同步C:\dfs-root,每天0点复制。 |
| Win2016-A2 | 1. 子域控制器:创建win.sec.com子域(完全域名sdc.win.sec.com); 2. CA证书服务:部署企业根CA(有效期5年),自动回复证书申请; 3. 子DNS:配置win.sec.com解析,添加iis、ftp等主机记录; 4. DFS同步:与A1的dc.sec.com同步文件夹。 |
| Win2016-B1 | 网站服务器: 1. 部署3个站点(web.win.sec.com、www.win.sec.com、sec.win.sec.com),分别配置主目录、默认文档、端口(如1080)、带宽(1000KB/S); 2. sec站点需通过CA证书(从A2获取)实现加密访问。 |
| Win2016-B2 | 1. FTP服务器:部署ftp1.win.sec.com(禁止匿名登录,用户仅读写权限),配置域用户隔离(ftpuser1/2); 2. RAID5:用3块虚拟硬盘(hd1/2/3)构建RAID5,盘符设为E。 |
| Win2016-B3 | 1. Tomcat服务器:安装JDK+Tomcat,配置环境变量,测试http://jdk.2020skills:8080; 2. iSCSI存储:创建Quorum(512M)、Files(3G)虚拟磁盘,供B4访问。 |
| Win2016-B4 | 1. 故障转移集群:与B3组建集群(名称cluster,IP 192.168.20.21),连接B3的iSCSI磁盘并初始化卷(M/N盘); 2. RAID1:用2块虚拟硬盘(hd4/5)构建RAID1,盘符设为F。 |
注:所有关键配置需截图保存(如账户策略截图1-1-1.jpg),部分步骤需生成文档(如CA安装步骤2-2-1.docx)。
(二)CentOS主机:侧重Linux生态服务
以“域名解析+服务支撑”为核心,部署网站、FTP、邮件、数据库、Samba等服务,同时通过防火墙、权限控制保障安全性。
| 虚拟主机 | 核心任务(含关键要求) |
|---|---|
| Centos-A3 | 1. 子DNS服务器:解析lin.sec.com域,禁止192.168.70.0/24网段访问,用nslookup验证; 2. Telnet远程:仅允许192.168开头IP登录,在C4上验证登录。 |
| Centos-A4 | Linux网站服务器: 1. 部署3个站点(8080端口HTTP、普通HTTP、HTTPS),其中HTTPS用openssl生成自签名证书; 2. 普通HTTP站点需用户认证(webuser1/2)。 |
| Centos-C1 | 1. FTP服务器:部署ftp.lin.sec.com(最大50人在线,单IP5连接,虚拟用户权限区分); 2. 防火墙:仅允许FTP访问,禁止ping Win2016-A1,强制转发80端口到A4的8080站点。 |
| Centos-C2 | 1. 邮件服务器:支持sec.com/lin.sec.com双域,创建winmail/linmail用户(邮箱30MB,附件5MB),配置邮件列表everyone; 2. NTP服务器:为Linux网络提供时间同步,在C3上验证校时。 |
| Centos-C3 | 1. Samba服务器:禁止172.16.0.0/16访问,按用户组(administration/sales/manager)分配共享目录权限; 2. RAID10:用3块硬盘(hd6/7/8)构建RAID10,划分1G swap分区并开机生效。 |
| Centos-C4 | 1. MySQL数据库:修改root密码为687145,创建myDB数据库及baseinfo表(含5条记录),导出数据到/root/mysql.sql; 2. RAID5:用2块硬盘(hd9/10)构建RAID5。 |
注:Linux服务需配置yum源、设置开机自启,关键功能通过命令验证(如nslookup、telnet、时间同步)。
三、系统整体目标:功能与安全的结合
这份搭建指南最终要实现的是一个“全功能+高可用+可管控”的信息系统,具体体现为:
- 域统一管理:通过Windows域控(A1/A2)实现用户、计算机的集中权限控制;
- 服务全覆盖:包含域名解析(DNS)、网站(HTTP/HTTPS)、文件传输(FTP/DFS/Samba)、邮件、数据库、时间同步(NTP)等核心服务;
- 高可用保障:通过故障转移集群(B3/B4)、RAID(RAID1/5/10)实现服务和数据的冗余;
- 安全可控:通过防火墙规则、用户认证、证书加密、网段访问限制,防止未授权访问;
- 可验证性:所有操作需截图或命令输出验证,确保部署结果可追溯。
| 虚拟主机名称 | 备注 |
|---|---|
| Win2016-A1 | |
| Win2016-A2 | |
| Win2016-B1 | |
| Win2016-B2 | |
| Win2016-B3 | |
| Win2016-B4 | |
| Centos-A3 | |
| Centos-A4 | |
| Centos-C1 | |
| Centos-C2 | |
| Centos-C3 | |
| Centos-C4 |
实验开始
一、在Win2016-A1上完成如下操作(完成主域控制器服务器的部署):
1.将其升级为sec.com的主域控制器,其完全域名为dc.sec.com;
2.按照“表9:域用户和组信息表”所示,创建域用户、域用户组等;
域用户信息表
| 域用户名 | 密码 | 登陆时间 | 域用户组 | 组作用域 | 组类型 |
|---|---|---|---|---|---|
| adm1 | sec.com | 周一至周五8点至17点 | adm | 全局 | 安全组 |
| adm2 | sec.com | 周一至周五8点至17点 | adm | ||
| sale1 | sec.com | 周一至周五8点至17点 | sale | 全局 | 通讯组 |
| sale2 | sec.com | 周一至周五8点至17点 | |||
| sys1 | sec.com | 周一至周六8点至20点 | sys | 本地域 | 安全组 |
| sys2 | sec.com | 周一至周六8点至20点 |
3.设置所有域用户账户策略,密码长度至少3位,最长使用期限60天,密码最短使用0天,账户锁定阈值7次,账户锁定时间30分钟,复位账户锁定计数器30分钟
4.创建组织单元,名称为:研发部,该组织单元包含sys组、adm1用户、Win2016-A1电脑和Win2016-A2电脑;设置该组织单元组策略,命名为“研发部GPO”,要求关闭windows自动更新,并禁止修改IE浏览器的主页(省略吧,没用)。
(二)完成域名服务器的部署
5.将此服务器配置为主DNS服务器,正确配置sec.com域名的正向及反向解析区域,按照“表10:域名信息表1”创建对应服务器主机记录,并关闭网络掩码排序功能。设置DNS服务正向区域和反向区域与活动目录集成,启用Active Directory的回收站功能;
表10:域名信息表1
| 虚拟机名称 | 完全限定域名 |
|---|---|
| Win2016-A1 | dc.sec.com. |
| Win2016-B3 | jdk.sec.com. |
| Win2016-B4 | cs.sec.com. |
| Centos-C2 | mail.sec.com. |
(三)完成分布式文件系统服务器部署
6.配置DFS服务,与sdc.win.sec.com做文件夹同步,在C盘创建文件夹dfs-root作为复制对象,复制组为dfs-backup,在每天0点复制。
操作方法
首先需要安装AD域服务以及DNS服务
4.2.2 修改电脑名称 Win2016-A1
右键 “此电脑”→“属性”→“更改设置”→“更改”;
修改后需要重启电脑
4.3.1、设置林
点击黄色感叹号,将其设置为根域名,点击添加新林,输入根域名sec.com
域功能级别默认同林级别,添加密码后其余保持默认@password:sec.com@2025
NetBiosb保持默认:SEC
数据库保存默认
检查配置,无误后下一步
片刻等待后即可安装,安装完成需要重启电脑,同时我们的管理员用户名会增加sec前缀
等待安装完成自动重启
密码还是原来那个不变
4.4、增加组与用户
创建组
打开 “服务器管理器”→“工具”→“Active Directory 用户和计算机”;
展开 “sec.com” 域,右键 “Users”→“新建”→“组”:
- 创建 adm 组:
组名:adm,组作用域选择 “全局”,组类型选择 “安全组”,点击 “确定”;
2.创建 sale 组:
组名:sale,组作用域选择 “全局”,组类型选择 “通讯组”,点击 “确定”;
- 创建 sys 组:
组名:sys,组作用域选择 “本地域”,组类型选择 “安全组”,点击 “确定”。
*** 创建用户到组 ***
右键 “Users”→“新建”→“用户”,按表 9 信息逐一创建:
- 创建 adm1用户:
姓名:adm1,用户登录名:adm1,点击 “下一步”;
密码:sec.com,取消 “用户下次登录时必须更改密码”,勾选 “密码永不过期”(或按实际需求,文档未禁止),点击 “下一步”;
点击 “完成”,返回 “Active Directory 用户和计算机”;
找到 “adm1” 用户,右键→“属性”→“隶属于”→“添加”,输入 “adm” 组,点击 “检查名称”→“确定”,将 adm1 加入 adm 组;
- 创建 adm2:
姓名:adm2,用户登录名:adm2,密码:sec.com(设置同 adm1),点击 “完成”;
将 adm2 加入 “adm 组”(步骤同 adm1 的 “隶属于” 设置);
此处省略两张与adm1同样的步骤图
- 创建 sale1:
姓名:sale1,用户登录名:sale1,密码:sec.com,点击 “完成”;
加入 “sale 组”(隶属于→添加 “sale”);
此处省略两张与adm1同样的步骤图
4.创建 sale2:
姓名:sale2,用户登录名:sale2,密码:sec.com,点击 “完成”;加入 “sale 组”;
此处省略两张与adm1同样的步骤图
- 创建 sys1:
姓名:sys1,用户登录名:sys1,密码:sec.com,点击 “完成”;
加入 “sys 组”;
此处省略两张与adm1同样的步骤图
- 创建 sys2:
姓名:sys2,用户登录名:sys2,密码:sec.com,点击 “完成”;
加入 “sys 组”;
4.5、设置域用户账户策略
- 打开 “服务器管理器”→“工具”→“组策略管理”;
- 展开 “林: sec.com”→“域”→“sec.com”,右键 “默认域策略”→“编辑”,打开 “组策略管理编辑器”;
依次展开 “计算机配置”→“策略”→“Windows 设置”→“安全设置”→“账户策略”:
密码策略: - 双击 “密码长度最小值”,输入 “3”,点击 “确定”;
- 双击 “密码最长使用期限”,输入 “60”(天),点击 “确定”;
- 双击 “密码最短使用期限”,输入 “0”(天),点击 “确定”;
- 账户锁定策略:
- 双击 “账户锁定阈值”,输入 “7”(无效登录次数),点击 “确定”(弹出提示,点击 “确定”);
- 双击 “账户锁定时间”,输入 “30”(分钟),点击 “确定”;
- 双击 “复位账户锁定计数器”,输入 “30”(分钟),点击 “确定”。
4.6、创建单位
创建 “研发部” 组织单元
1:创建 “研发部” 组织单元
打开 “Active Directory 用户和计算机”,展开 “sec.com”;
右键 “sec.com”→“新建”→“组织单元”,名称输入 “研发部”,取消 “保护组免受意外删除”(可选,方便后续操作),点击 “确定”。
2 将指定对象移入 “研发部” OU
2.1、 移动 sys 组:
展开 “Users”,找到 “sys” 组,右键→“移动”,选择 “sec.com\ 研发部”,点击 “确定”;
2.2 移动 adm1 用户:
展开 “Users”,找到 “adm1” 用户,右键→“移动”,选择 “sec.com\ 研发部”,点击 “确定”;
2.3 移动 Win2016-A1 电脑:
展开 “Computers”,找到 “Win2016-A1” 电脑,右键→“移动”,选择 “sec.com\ 研发部”,点击 “确定”;
2.4 移动 Win2016-A2 电脑(忘记了, 补充下)
移动 Win2016-A2 电脑(需 Win2016-A2 已加入域,若未加入,需先完成 Win2016-A2 的子域部署后再移动):展开 “Computers”,找到 “Win2016-A2” 电脑,右键→“移动”,选择 “sec.com\ 研发部”,点击 “确定”。
2.4.1、改名
ad计算机与用户管理
2.5、创建 “研发部 GPO” 并配置策略
打开 “组策略管理”,展开 “sec.com”→“研发部”,右键 “研发部”→“在此域中创建 GPO 并链接到此处”;
GPO 名称输入 “研发部 GPO”,点击 “确定”;
右键 “研发部 GPO”→“编辑”,打开 “组策略管理编辑器”:
关闭 Windows 自动更新:
展开 “计算机配置”→“策略”→“管理模板”→“Windows 组件”→“Windows 更新”;
双击 “配置自动更新”,选择 “已禁用”,点击 “确定”。
禁止修改 IE 浏览器主页:
展开 “用户配置”→“策略”→“管理模板”→“Windows 组件”→“Internet Explorer”;
双击 “禁用更改主页设置”,选择 “已启用”,点击 “确定”;
3.1 主 DNS 服务器部署
配置主 DNS(sec.com正向 / 反向解析、AD 集成、关闭掩码排序、启用 AD 回收站)
1:确认 DNS 服务已安装(域控部署时已默认安装)
打开 “服务器管理器”→“工具”→“DNS”,确认 “Win2016-A1” 已在 DNS 管理器中显示(若未显示,右键 “DNS”→“连接到 DNS 服务器”→“此计算机”,点击 “确定”)。
2:创建sec.com正向解析区域(与 AD 集成)
右键 “Win2016-A1”→“新建区域”,进入向导:
点击 “下一步”,区域类型选择 “主要区域”,勾选 “与 Active Directory 集成的区域”,点击 “下一步”;
区域名称输入 “sec.com”,点击 “下一步”;
区域文件默认(因 AD 集成,无需手动指定文件),点击 “下一步”;
动态更新选择 “只允许安全的动态更新(推荐用于 Active Directory)”,点击 “下一步”→“完成”。
3:创建反向解析区域(与 AD 集成)
右键 “Win2016-A1”→“新建区域”,向导中:
区域类型选择 “主要区域”,勾选 “与 Active Directory 集成的区域”,点击 “下一步”;
反向查找区域类型选择 “IPv4 反向查找区域”,点击 “下一步”;
网络 ID 输入 “192.168.10”(网段前 3 段),点击 “下一步”;
动态更新选择 “只允许安全的动态更新”,点击 “下一步”→“完成”。
4:添加主机记录
添加正向解析记录:
展开 “Win2016-A1”→“正向查找区域”→“sec.com”,右键空白处→“新建主机 (A 或 AAAA)”:
主机名:dc(对应 Win2016-A1),IP 地址:192.168.10.10(Win2016-A1 的静态 IP),点击 “添加主机”;
主机名:jdk(对应 Win2016-B3),IP 地址:192.168.20.3(假设 Win2016-B3 在 vlan20 的 IP,需与实际一致),点击 “添加主机”;
主机名:cs(对应 Win2016-B4),IP 地址:192.168.20.4(假设 Win2016-B4 在 vlan20 的 IP),点击 “添加主机”;
主机名:mail(对应 Centos-C2),IP 地址:192.168.30.2(假设 Centos-C2 在 vlan30 的 IP),点击 “添加主机”;
全部添加后点击 “完成”。
添加反向解析记录:
展开 “反向查找区域”→“10.168.192.in-addr.arpa”,右键空白处→“新建指针 (PTR)”:
IP 地址:192.168.10.10,主机名:dc.sec.com.(带后缀),点击 “确定”;
按表 10 中其他主机的 IP,依次添加 PTR 记录(如 Win2016-B3 的 192.168.20.3 对应jdk.sec.com.
步骤 5:关闭网络掩码排序功能
在 DNS 管理器中,右键 “Win2016-A1”→“属性”;
1切换到 “高级” 选项卡,取消勾选 “启用网络掩码排序”,点击 “确定”。
步骤 6:启用 Active Directory 回收站功能
打开 “服务器管理器”→“工具”→“Active Directory 管理中心”;
右键 “sec.com”(域名称)→“启用回收站”,弹出提示窗口,点击 “确定”(需域功能级别≥Windows Server 2008 R2,Win2016 满足);
等待启用完成,点击 “确定”。
创建Win2016-B为子域
首先我们需要加入父域,将其放入sec.com域中
在此之前,我们需要将dnc指向父域
如果指向正确,会需要我们输入父域的账户密码
完成后选择账户类型,这里选择管理员
此时需要重启
随后安装 dns服务以及ad 服务
这里忘记截图了,跟上面一样
我们选择在现有林中创建新的林,将其放入
键入密码
保持默认
等待检查完成后,安装并重启
创建复制组
一、前期准备
安装 DFS 复制功能(两台服务器均需操作)
分别在 Win2016-A2 和 Win2016-A1(dc.sec.com) 上打开「服务器管理器」→ 点击「管理」→「添加角色和功能」。
进入向导后,直接跳至「功能」选项卡,展开「远程服务器管理工具」→「角色管理工具」→「DFS 管理工具」,勾选 「DFS 复制」,[DFS 命名空间](这里我忘记选DFS复制了,*** 不要忘记!!!!***) 点击「下一步」→「安装」,完成后关闭向导。
创建本地复制文件夹
在 Win2016-A2 的 C 盘,右键空白处 →「新建」→「文件夹」,命名为 dfs-root。
同样在 Win2016-A1(dc.sec.com) 的 C 盘,创建同名文件夹 C:\dfs-root(用于接收同步数据)。(两台服务器均需操作)
创建命名空间
建立复制组
选择需要被复制的计算机
选择本地路径
完成在Win2016-A2中的域名解析
将Win2016-B1的dns指向Win2016-A2的Ip,以及加入sdc.sec.com 域
将Win2016-B2的dns指向Win2016-A2Ip,以及加入sdc.sec.com 域
