UsefulShare

在之前的公司使用过此方法来管理交换机，不过网络设备都是华为的，现在的公司大部分使用cisco设备，配置方法跟之前差不多，贴上来供大家参考吧。对于交换机的管理来说，nps为交换机提供外部的认证，可以为不同组建立不同权限，但是具体到视图权限的控制还是要在交换机上设定。

一、前提条件

服务器：Windows Server 2012 R2 NPS服务

交换机：Cisco3560

二、配置

1.配置NPS服务器

1.1安装角色

添加角色“网络策略和访问服务”中的网络策略服务器；

1.2添加网络策略

未加密的身份验证（PAP，SPAP）（S），其他都用默认即可。

保存重启服务器后才生效

1.3修改网络策略

a.概述->忽略用户账户的拨入属性

b.设置->Radius属性->标准只保留以下两项：

Service-Type->其他->Login

Login-Service->SSH

 

 

1.4添加Radius客户端

 

 

 

2.交换机配置

TIDE-CISCO3560#show run

Building configuration…

Current configuration : 14132 bytes

!

! Last configuration change at 13:42:15 BJ Tue Dec 2 2014 by wangchao3

! NVRAM config last updated at 13:42:13 BJ Tue Dec 2 2014 by wangchao3

!

version 12.2

no service pad

no service timestamps debug uptime

service timestamps log datetime msec

no service password-encryption

!

hostname TIDE-CISCO3560

!

boot-start-marker

boot-end-marker

!

enable secret 5 $1$T4Dh$cv/NDd0lGC86ifSjl3obD/

!

username admin privilege 5 secret 5 $1$O6Fj$Cdt5ifcPnRmpOl3PWjR4.1

!

!

aaa new-model

!

!

aaa group server radius Nps01

server-private 10.1.200.23 auth-port 1645 acct-port 1646 key 7 095C4F1A0A1218000F

!

aaa authentication login default group Nps01 local

aaa authorization exec default group Nps01 local

!

!

!

aaa session-id common

clock timezone BJ 0 8

system mtu routing 1500

ip routing

!

!

ip dhcp snooping vlan 144

ip dhcp snooping

no ip domain-lookup

ip domain-name tidepharm.com

ip arp inspection vlan 144

ip radius source-interface Loopback0

!

privilege interface level 5 switchport

privilege interface level 5 ip arp

privilege interface level 5 ip address

privilege configure level 5 interface

privilege configure level 5 vlan

privilege exec level 5 configure terminal

privilege exec level 5 show running

!

line con 0

line vty 0 4

exec-timeout 15 0

transport input ssh

line vty 5 15

exec-timeout 0 1

transport input ssh

 

主服务器

vi /etc/rsyncd.conf

#motd file = /etc/rsyncd.motd
hosts allow = 1.1.1.2
hosts deny =1.1.1.0/24
use chroot = no
max connections = 4
strict modes = yes
port = 873
pid file = /var/run/rsyncd.pid
lock file = /var/run/rsync.lock
log file = /var/log/rsyncd.log
#define dirctory for rsync
[zimbra]
path = /opt/zimbra/
comment = zimbra’s directory from 1.1.1.2
auth users = zimbra
uid = root
gid = root
secrets file = /opt/rsyncd.pwd
read only = no
list = no

vi /opt/rsyncd.pwd #同步密钥文件

输入 ：zimbra:zimbra 保存退出

chmod 400 /opt/rsyncd.pwd

chmod 600 /etc/rsyncd.conf

/usr/bin/rsync –daemon /etc/rsyncd.conf

备份服务器

vi /opt/rsyncd.pwd

chmod 400 /opt/rsyncd.pwd

nohup rsync -avzp –delete –progress –password-file=/etc/rsyncd.pwd zimbra@1.1.1.1::zimbra /opt/zimbra/ &>/opt/rsync.log&

定时执行

crontab -e

* * * */12 * nohup rsync -avzp –delete –progress –password-file=/etc/rsyncd.pwd zimbra@1.1.1.1::zimbra /opt/zimbra/ &>/opt/synclog&

将Sql server 迁移到hyper-v发现查询速度很慢：上传下载文件200k左右、物理机测试远程工具查询30万条数据只用两秒，虚拟机需要45秒钟左右，判断网卡方面的问题。

解决方法：

将虚拟机队列禁用后速度有明显提高

 

将红色部分替换成自己的域名即可。

pws

Install-WindowsFeature AD-Domain-Services
Import-Module ADDSDeployment
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath:”C:\Windows\NTDS” -LogPath “C:\Windows\NTDS” -SysvolPath “C:\Windows\SYSVOL” -DomainMode “Win2012″ -DomainName “nimei.com” -DomainNetbiosName “nimei” -ForestMode “Win2012″ -InstallDns:$true -NoRebootOnCompletion:$false -Force:$true

无管理工具运行：Install-WindowsFeature RSAT-ADDS

cmd

dcpromo /unattend /InstallDns:yes /dnsOnNetwork:yes /CreateDNSDelegation:No /replicaOrNewDomain:domain /newDomain:forest

/newDomainDnsName:nimei.com /DomainNetbiosName:nimei /databasePath:”c:\Windows\ntds” /logPath:”c:\Windows\ntdslogs”

/sysvolpath:”c:\Windows\sysvol” /safeModeAdminPassword:p@ssw0rd /forestLevel:3 /domainLevel:3 /rebootOnCompletion:yes

 

重启交换机，按住mode键。

flash_init

switch: dir flash: switch: rename flash:config.text flash:config.old

switch: boot Would you like to enter the initial configuration dialog? [yes/no]: no

Switch>en Switch#rename flash:config.old flash:config.text

Destination filename [config.text]?

Switch#copy flash:config.text system:running-config

Destination filename [running-config]?

修改telnet和console密码

至此密码恢复完成，reload验证一下即可。

Server 2012 WSUS配置

默认情况下，WSUS 3.0 使用端口 80。 但是，默认情况下，在 Windows Server 2012 中，WSUS 4.0 使用端口 8530。

所以Server 2012配置完WSUS后，组策略配置Windows更新的策略， Intranet 地址应该是http://servername:8530。

客户端刷新组策略后，执行wuauclt /detectnow生效。

批量新建OU

for /f  “tokens=1 delims=,” %a in (c:\ou.csv) do dsadd ou “ou=%a,ou=Beijing,dc=exw11,dc=local”

启用意外删除保护

1.Import-Module ActiveDirectory

2.Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | ft

查找未启动意外删除保护的OU

3.Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true

对OU启用意外删除保护

HP服务器ilo 100 默认用户名：admin，密码：admin，如果忘记，可以使用工具重置，制作DOS启动盘，将下载的ipmitool工具解压后放到DOS启动盘中，重启进入DOS，执行以下命令即可重置ilo 100的用户名密码。

ipmitool.exe 20 18 47 03 02 61 64 6d 69 6e 00 00 00 00 00 00 00 00 00 00 00

DNS攻击与防御

tasklist /svc
==================================================================================
svchost.exe 1520 CryptSvc, Dnscache, LanmanWorkstation,
NlaSvc, TermService
==================================================================================
netstat -ano
==================================================================================
TCP [::]:3389 [::]:0 LISTENING 1520