实验背景:
你的主管通过ICARE系统向你派发了一个AC实施项目,登录TCARE系统了解项目相关信息发现此项目是一个全新建项目。
该公司在各地有多个分支单位,领导和业务同事经常出差各地州克单位,目前出差到不同分支单位后需夏使用不同分支单位的账哥进行上网认证,无法有用总部账号进行认证。且近期公司的分支单位发机在上班时间经常出现过大的流
该公司运维希望可以解决日前问题同时满足以下有求:
公司在总部新购了一台AC,与原先的AC做高可用性儿坐,当三机土现羊点故障时自动切换到备机工作。
统一PC操作系统,对非统一操作系统进行记影。
限制用户使用部分软件,当用户使用限制软他时,禁上用户上网
项目的物料清单包含:
溪管聚AC3台、AD域服务器1台、总部/分支业务调试虚拟机名1台都暑调试闲的电脑一台,为虚拟化环境中的win10虚拟机
项目拓扑如下:
设备名称端口类型端口描述IP地址描述总部AC管理eth0172.16.0.20admin/Sxf@2022路由eth110.10.0.100 业务eth2172.16.10.1 心跳eth32.2.2.1/30 总部AC(备机)管理eth0172.16.0.23admin/Sxf@2022心跳eth32.2.2.2/30 分支AC管理eth0172.16.0.21admin/Sxf@2022路由eth110.20.0.100 业务eth2172.22.10.1 分支PC管理eth0172.16.0.30User/Win#@desk业务eth1172.22.10.100访问与联网需要配置DNS(114114.114.114)AD域服务器(DNS服务器)管理eth0172.16.0.32用户名:SANGFOR/Administrator(通常:用.\表示本地,netbios\表示域。简单点说就是这个用户名要么加上科杠连着输要么用administrator@sangfor.com)密码:123456业务eth1172.16.10.150 总部PC管理eth0172.16.0.33User/Win#@desk业务eth1172.16.10.1001、客户在总部添加了一台AC备机,希望和原先的总部AC组成主备模式。(主机管理地址为:172.16.0.20备机管理地址为:172.16.0.23)
注:不得更改任何设备ETHO管理口地址和其IP后带的后缭,部要模式禁止调整
## 主机配置:
## 备机配置:
2、客户希望设置总部AC为认证中心,分支配置认证托管
## 总部设置
## 分支设置
3、分文用户可以通过本地账号密码 (fenzhi)实现密码认证上网。(此处需要在总部创建用户,分支上网需要重定向到总部进行认证)
注意:需要在[接入管理]-[接入认证]-[认证高级选项]中勾选和。
## 创建一个用户
## 新建一个认证策略
4、总部用户可以通过域账号(zongbu) 使用单点登录认证。(域用户需要自行创建)
注意: 总部PC加入域后若无法远程,请用原先账户登录,在PC的远程桌面用户中添加域用户
## 新增LDAP认证服务器
## 两种登录方式
## 登录脚本模式:
### 先在AC上下载单点登录程序放到域控上
### 在域组策略创建gpo,编辑
## 域监控模式
## 配置单点认证策略
5、设置分支出口线路的流量上/下行为30Mbps,限制通道上下行带宽为10%。
## 新增一级通道
6、总部主机上网需要满足条件:
限制用户只能使用Win7系统,如果使用其他系统会进行记录
## 新增操作系统规则
限制用户使用Win10自带的计算器,如果打开进程将会禁止用户上网并提示。
## 新增进程规则
## 新增检查策略,适用对象为客户端pc
## 计算器同上