Issuu on Google+

網工班 79 期 MS LAB 報告 第一組

ISA 學生:吳舒庭 指導老師:戴有煒老師 劉家聖老師 楊宏文老師


第一章 環境簡介 KIKI 酒店總公司位於台中,分公司位於桃園,公司總人數約 200 人,而總公司要與分公司並未使用網域,而是使用工作群組,酒店營 運網站時常遭受攻擊,隨著公司規模越來越大,對於管理及安全已經 不容忽視,故由本公司為 KIKI 酒店規劃一個既安全又便於管理的網 路環境。

規畫目標:  建置 AD 服務  選用企業防毒軟體  建置營運網站  使用防火牆  建置 VPN


Back To Back 及 NLB 建構流程 1. 在安裝前,須先將網卡及 ip 設定好,並互相 ping 對方 ip 是否能正 常溝通,否則將會影響接下來所做的實驗。 2. 先在 DC2 Server DNS 的 kiki.com 內新增前端防火牆的主機紀錄 (192.168.4.101、192.168.4.102)及後端防火牆的主機記錄 (192.168.1.201、192.168.1.202)。

3. 安裝 CSS  將 CSS 電腦加入網域。


 向獨立 CA 申請憑證(注意『名稱』需輸入 CSS 的 FQDN), 安裝憑證後再將個人憑證匯出。  確認 CSS 電腦已經信任 CA  接下來安裝 CSS,安裝時,需選擇匯出的憑證。

 建立後端 ISA Server 陣列:名稱為『BackEndArray』 ,並在 DNS 內建立此筆主機紀錄(IP 位址的虛擬 IP192.168.1.200) ,並且 ping BackEndArray.kiki.com 測試是否有建立正確,完成後將 CSS 的驗證方式變更為『在 SSL 加密通道上驗證』。


 在 BackEndArray 陣列裡設定網路 → 建立後端 Intra-Array 網 路:Intra-Array1,IP 範圍 192.168.6.0 - 192.168.6.255。  建立前端 ISA Server 陣列:名稱為『FrontEndArray』 ,並在 DNS 內建立此筆主機紀錄(IP 位址的虛擬 IP 192.168.4.100),並且 ping FrontEndArray.kiki.com 測試是否有建立正確,完成後將 CSS 的驗證方式變更為『在 SSL 加密通道上驗證』。  在 FrontEndArray 陣列裡設定網路 → 建立前端 Intra-Array 網路:Intra-Array2,IP 範圍 192.168.5.0 - 192.168.5.255。  開放可以從 CSS 電腦來遠端管理兩個陣列內的 ISA Server (企業原則-->工具箱-->企業遠端管理加上 CSS 電腦) 4. 後端防火牆 ISA Server 陣列的設定  變更 BNode1、BNode2 的電腦名稱:增加尾碼 cchaha.com 後重 新開機。  分別在 CSS、BNode1、BNode2 電腦上利用 ping 對方的 DNS 主機名稱來確認可以透過 DNS 伺服器來得知對方的 IP 位 址,能得到 IP 表示正常。  分別在 BNode1 與 BNode2 上執行信任 CA 的步驟。 

到 BNode1 上安裝 ISA Server 服務:過程中請自行輸入 CSS 的 DNS 主機名稱、輸入用來連接 CSS 的帳戶(例如:


kiki\administrator)與密碼、加入到『BackEndArray』陣列內、 選擇透過 SSL 加密通道驗證、設定內部網路 IP 範圍 (192.168.1.0-192.168.1.255)。  執行 ISA 管理主控台將 BNode1 的陣列內通訊 IP 位址改為 Intra-Array1 網卡的 IP 位址(之後安裝 BNode2 時它會自動選 Intra-Array1 網卡的 IP 位址)。  接著到 BNode2 上安裝 ISA Server 服務。  完成後,將 BackEndArray 的『內部網路』與『外部網路』之 間的網路規則改為『路由』。  分別在 BNode1、BNode2 的本機安全性資料庫建立鏡像帳戶: 帳戶名稱都取相同的『Intra-Array』。  將陣列內部認證帳號設定為鏡像帳戶 Intra-Array。  指派角色:將鏡像帳戶指定為允許監視此陣列的帳戶(ISA Server 陣列系統管理員)。  啟動後端 ISA Server 陣列的 NLB,並耐心等待/檢查與 CSS 是否同卡、相關服務是否正常執行中。必要時重新啟動兩台 ISA Server 電腦。  後端防火牆所開放之規則,如下圖所示:


5. 前端ISA Server陣列的設定:

 變更FNode1、FNode2的電腦名稱:增加尾碼cchaha.com後重新 開機。  分別在FNode1、FNode2加上路由表新增往內部網路的路徑 route -p add 192.168.1.0 mask 255.255.255.0 192.168.4.200 if 0x10004  分別在CSS、FNode1、FNode2電腦上利用ping 對方的DNS主 機名稱來確認可以透過指揮部的DNS伺服器來得知對方的IP 位址表示正常。  分別在FNode1與FNode2上執行信任CA的步驟。  到FNode1上安裝ISA Server服務:過程中請自行輸入CSS的 DNS主機名稱、輸入用來連接CSS的帳戶(例如: cchaha\administrator)與密碼、加入到『FrontEndArray』陣列 內、選擇透過SSL加密通道驗證、設定內部網路IP範圍


(192.168.1.0-192.168.1.255與192.168.4.0-192.168.4.255)  執行ISA管理主控台將FNode1的陣列內通訊IP位址改為 Intra-Array2網卡的IP位址(之後安裝FNode2時它會自動選 Intra-Array2網卡的IP位址)。  請繼續到FNode2上安裝ISA Server服務。  完成後,分別在FNode1、FNode2的本機安全性資料庫建立鏡 像帳戶:假設帳戶名稱都是相同的『Intra-Array』。  將陣列內部認證帳號設定為鏡像帳戶Intra-Array。  指派角色:將鏡像帳戶指定為允許監視此陣列的帳戶(ISA Server陣列系統管理員)。  啟動後端ISA Server陣列的NLB:  如果總公司有多個網站需要發行的話(例如同時發行 OWA網站、CA網站、對外提供服務的Web Farm),則需 要在外部網路卡設定多個虛擬IP位址,每一個網站使用一 個虛擬IP位址,或是利用主機標頭名稱區分。  耐心等待/檢查與CSS是否同卡、相關服務是否正常執行 中。必要時重新啟動兩台ISA Server電腦


6. 在前端防火牆陣列中發行內部獨立根CA的Web:  讓VPN伺服器可以來申請L2TP/IPSec所需的憑證,建議發行 的『公用名稱』使用CA的FQDN (DC2.kiki.com)、 在對外的 DNS內建立一筆DC2的主機記錄其IP為前端防火牆的虛擬IP 位址,但在DNS裡要對應的獨立CA的IP位址。  因為申請憑證的HTTP要求還需要透過後端防火牆傳送到內 部CA,故還需在後端防火牆開放到內部的HTTP要求:請開放 前端ISA Server DMZ網卡到內部的HTTP流量,因為前端ISA Server的CA Web發行規則,會讓後端ISA Server 認為是從前 端ISA Server來的要求。  在前端ISA Server NLB陣列開放所需流量:如下圖


實驗時遇到的問題 問題一 無法安裝CSS,只要安裝到80%就會卡住,等待20分鐘仍無反應。

解決方案: 連續測試多次後,依然無法解決,也找不到任何因素導致這種 情況發生,故重新製作一份Base檔,就可安裝CSS。

問題二 DMZ的所有伺服器無法加入網域

解決方案: 經過一晚的檢查、測試,試圖找出原因所在,是設定問題或者是 其他因素所造成,經過再三確定後,安裝及設定並無問題,而在學長 的報告中發現也有人遇到跟我一樣的問題,學長是採用除了DC其他 全部重做,但根據我評估過後,最後在非常無奈的情況下,再度把 CSS與前後牆五台虛擬機器由Base檔重新載入,設定在重新設定一 遍,DMZ的伺服器就能加入網域。


問題三 原本DMZ區可以和前後牆及內部網路溝通,但在LAB幾乎要全 部完成的時候,發現到DMZ區突然無法與內部溝通,卻能與前牆溝 通的情況。

解決方法: 在檢查網卡、IP都正確無誤的情況下,也確認其他工程師所做的 設定並不會影響到DMZ與後端溝通的問題,原本懷疑是否是線路的 問題,但思考過後排除可能性,畢竟前後端防火牆與DMZ使用在同 一條線路上,沒理由一端通一端不通,而在最後找的問題,居然是讓 大家跌破眼鏡的答案,問題居然出在HUB的Port,原本使用的Port掛 點,換了一個Port就可正常連線溝通,這讓我了解到不要太鐵齒,什 麼事情都是有可能會發生的。


心得 在這次MS LAB中,我所負責的是ISA前後牆的建置與設定,在 與大家一起實驗前,我已先用個人的電腦利用Virtual server測試了好 幾次,深怕自己建置的ISA與規則有問題導致影響大家的進度,而當 大家的電腦同聚在宿舍後,從牽線到系統設定完成,經過這段時間, 發現大家都成長了不少,雖然在過程中,為了某些問題而有爭吵,但 這些都是讓我們成長的過程,有時候因為沒有備份,所以又要重頭 來,真的很花時間,所以備份的步驟,是絕對不可省略的。 當初在分誰要做ISA的時候,腦海裡所思考的只是想多學一點, 況且從以前也沒碰過防火牆,所以就毅然決然的投入下去,而在LAB 過後,感覺ISA的部份並沒有想像中的那麼困難,或許是經過了努力 吧! 經過了此次LAB實作,發現大家的感情變的更好了,一起為LAB 努力學習,互相支援到最後一刻,那種感覺真是好,接下來還有兩次 的LAB,我也還是會盡全力去完成,以達到自己所期許的目標。


網工79期MSLab第一組-吳舒庭(ISA)