Page 1

中壢資策會網工班第七十八期

MICROSOFT LAB 報告 第一組

姓名:陳伯奎 Email:Kuei750706@gmail.com 指導老師:戴有煒老師、劉家聖老師、楊宏文老

-1-


前言: 某某指揮部,因為營區擴編及電腦頻頻遭人入侵,但因為該 單位欠缺 IT 人員,故找到了 ITEMBA,於是委託本公司為 CCHAHA 指揮部做進一步的規劃。

拓樸圖

-2-


分工負責部分:

ISA Server的建置

指揮部

Back to Back Firewill

演習臨時辦事處

特戰營

(RODC)

ISA Server

ISA Server

前端,後端 ISA Server NLB

指揮部Site to SiteVPN 到特戰營與 RODC VPN Client連線(PPTP/L2TP)

Site to Site VPN到指揮部 VPN Clinet連線(PPTP/L2TP)

VPN隔離用戶端

-3-

Site to Site VPN到指揮部


Back To Back + NLB + Site To Site VPN 建構流程

實際架設前所有電腦的網路相關設定完成,在使用 ping 來測試同網段的網 路能正常溝通 指揮部 DC1-GC 架設由指揮部負責人完成 安裝 CSS、獨立 CA: 將 CSS 電腦加入網域、重新啟動 以網域系統管理員身分登入 確認指揮部裡 DNS 內 CcHaHa.com 區域內己經有 CSS 的主機記錄 安裝獨立 CA 替 CSS 向 CA 申請憑證(注意「名稱」需輸入 CSS 的 FQDN)、安裝憑 證、將憑證匯出存檔(含私密金鑰) 確認 CSS 電腦已經信任 CA(CSS 有安裝獨立 CA 所以會自動信任) 安裝 CSS:安裝過程中必須選擇之前匯出存檔的憑證檔,完成後建議重 新啟動電腦 建立後端 ISA Server 陣列:假設名稱為『BackEndArray』,並在指揮部 DNS 內建立此筆主機紀錄(IP 位址的虛擬 IP 192.168.12.200),並且 ping BackEndArray.cchaha.com 測試是否有建立正確,完成後將 CSS 的驗證方式變更為『在 SSL 加密通道上驗證』

-4-


在 BackEndArray 陣列裡設定->網路建立後端 Intra-Array 網 路:Intra-Array1,IP 範圍 192.168.5.0 - 192.168.5.255 建立前端 ISA Server 陣列:假設名稱為『FrontEndArray』,並在指揮 部 DNS 內建立此筆主機紀錄(IP 位址的虛擬 IP 192.168.4.200),並且 ping FrontEndArray.cchaha.com 測試是否有建立正確,完成後將 CSS 的驗證方式變更為『在 SSL 加密通道上驗證』

在 FrontEndArray 陣列裡設定->網路建立後端 Intra-Array 網 路:Intra-Array2,IP 範圍 192.168.10.0 - 192.168.10.255 開放可以從 CSS 電腦來遠端管理兩個陣列內的 ISA Server (企業原則-->工具箱-->企業遠端管理加上 CSS 電腦) 後端 ISA Server 陣列的設定: 變更 BNode1、BNode2 的電腦名稱:增加尾碼 cchaha.com 後重新開機 分別在 BNode1、BNode2 加上路由表新增往內部網路的路徑 route -p add 192.168.2.0 mask 255.255.255.0 192.168.12.254 if 0x1000? route -p add 192.168.11.0 mask 255.255.255.0 192.168.12.254 if 0x1000?

分別在 CSS、BNode1、BNode2 電腦上利用 ping 對方的 DNS 主機名 稱來確認可以透過指揮部的 DNS 伺服器來得知對方的 IP 位址表示正常

-5-


分別在 BNode1 與 BNode2 上執行信任 CA 的步驟 到 BNode1 上安裝 ISA Server 服務:過程中請自行輸入 CSS 的 DNS 主 機名稱、輸入用來連接 CSS 的帳戶(例如:cchaha\administrator)與密碼、 加入到『BackEndArray』陣列內、選擇透過 SSL 加密通道驗證、設定 內部網路 IP 範圍(192.168.2.0-192.168.2.255) (192.168.11.0-192.168.12.255) 安裝完成後再繼續以下的步驟 執行 ISA 管理主控台將 BNode1 的陣列內通訊 IP 位址改為 Intra-Array1 網卡的 IP 位址(之後安裝 BNode2 時它會自動選 Intra-Array1 網卡的 IP 位址) 請繼續到 BNode2 上安裝 ISA Server 服務 完成後,將 BackEndArray 的『內部網路』與『外部網路』之間的網路 規則改為『路由』 分別在 BNode1、BNode2 的本機安全性資料庫建立鏡像帳戶:假設帳戶 名稱都是相同的『Intra-Array』 將陣列內部認證帳號設定為鏡像帳戶 Intra-Array, 指派角色:將鏡像帳戶指定為允許監視此陣列的帳戶(ISA Server 陣列系 統管理員)

-6-


啟動後端 ISA Server 陣列的 NLB,並耐心等待/檢查與 CSS 是否同卡、 相關服務是否正常執行中。必要時重新啟動兩台 ISA Server 電腦 在後端 ISA Server NLB 陣列開放所需流量:如下圖

-7-


前端 ISA Server 陣列的設定: 變更 FNode1、FNode2 的電腦名稱:增加尾碼 cchaha.com 後重新開機 分別在 FNode1、FNode2 加上路由表新增往內部網路的路徑 route -p add 192.168.2.0 mask 255.255.255.0 192.168.4.100 if 0x1000? route -p add 192.168.11.0 mask 255.255.255.0 192.168.4.100 if 0x1000? route -p add 192.168.12.0 mask 255.255.255.0 192.168.4.100 if 0x1000?

分別在 CSS、FNode1、FNode2 電腦上利用 ping 對方的 DNS 主機名 稱來確認可以透過指揮部的 DNS 伺服器來得知對方的 IP 位址表示正常 分別在 FNode1 與 FNode2 上執行信任 CA 的步驟 到 FNode1 上安裝 ISA Server 服務:過程中請自行輸入 CSS 的 DNS 主 機名稱、輸入用來連接 CSS 的帳戶(例如:cchaha\administrator)與密碼、 加入到『FrontEndArray』陣列內、選擇透過 SSL 加密通道驗證、設定 內部網路 IP 範圍(192.168.2.0-192.168.2.255) (192.168.4.0-192.168.4.255) (192.168.11.0-192.168.12.255) 安裝完成後再繼續以下的步驟

-8-


執行 ISA 管理主控台將 FNode1 的陣列內通訊 IP 位址改為 Intra-Array2 網卡的 IP 位址(之後安裝 FNode2 時它會自動選 Intra-Array2 網卡的 IP 位址) 請繼續到 FNode2 上安裝 ISA Server 服務 完成後,分別在 FNode1、FNode2 的本機安全性資料庫建立鏡像帳戶: 假設帳戶名稱都是相同的『Intra-Array』 將陣列內部認證帳號設定為鏡像帳戶 Intra-Array, 指派角色:將鏡像帳戶指定為允許監視此陣列的帳戶(ISA Server 陣列系 統管理員) 啟動後端 ISA Server 陣列的 NLB: 

外部的虛擬 IP (獨立 CA:192.168.1.100)、(OWA:192.168.1.50)、 (WebFarm:192.168.1.51)

耐心等待/檢查與 CSS 是否同卡、相關服務是否正常執行中。必要 時重新啟動兩台 ISA Server 電腦

在指揮部前端防火牆陣列中發行內部獨立根 CA 的 Web: 讓特戰營與 Rodc 的 VPN 伺服器可以來申請 L2TP/IPSec 所需的憑證 建議發行的『公用名稱』使用 CA 的 FQDN(例如:cssmain.cchaha.com)、 在對外的 DNS 內建立一筆 cssmain 的主機記錄其 IP 為前端防火牆的 虛擬 IP 位址,但在指揮部內的 DNS 裡要對應的獨立 CA 的 IP 位址

-9-


因為申請憑證的 HTTP 要求還需要透過後端防火牆傳送到內部 CA,故 還需在後端防火牆開放到內部的 HTTP 要求:請開放前端 ISA Server DMZ 網卡到內部的 HTTP 流量,因為前端 ISA Server 的 CA Web 發行 規則,會讓後端 ISA Server 認為是從前端 ISA Server 來的要求

在指揮部後端 ISA Server 陣列完成建立遠端 VPN 站台與申請憑證等工作: 建立遠端 VPN 站台 branch 

靜態 IP 位址的指派:請指定每一台 ISA Server 都可以發放 IP 位址, 但是其發放的 IP 位址範圍不可以重複,例如分別給 BNode1 為 10.1.0.1-10.1.127.254 與 BNode2 為 10.1.128.1-10.1.255.254

建立遠端 VPN 站台 rodc 指定將驗證工作轉給 RADIUS Server(192.168.2.5) 在指揮部的 Active Directory 內䢖立具備『允許存耶』撥入權利的撥接 帳戶(branch、rodc) 替 BNode1、BNode2 申請與安裝憑證(向獨立 CA 申請,『用戶端驗證憑 證』)、確定己經信任 CA 重新啟動『路由及遠端存取服務』 設定讓 VPN 用戶端可以來連線:啟用 VPN 用戶端存取,並選用 PPTP、 L2TP/IPSec,並建立規則使 VPN 用戶端能與內部正常溝通

- 10 -


在前端 ISA Server NLB 陣列開放所需流量:如下圖

- 11 -


特戰營 VPN 伺服器安裝 ISA Server、建立遠端站台與申請憑證等: 安裝 ISA Server (同時安裝 ISA Server 服務與 CSS)、建立新的企業 建立 VPN 遠端站台 main 靜態 IP 位址集區範圍為 10.2.0.1-10.2.55.254 遠端網路的 IP 位址範圍為 192.168.2.0-192.168.2.255 在『遠端 NLB』畫面中需輸入指揮部前端防火牆外網卡的固定 IP 位址 (192.168.1.101-192.168.1.102) 在 ISA Server 電腦上建立具備『允許存取』撥入權利的撥接帳戶(main) 替特戰營 VPN Server 申請與安裝憑證、DNS 指向指揮部前端 ISA 的 虛擬 IP:192.168.1.100 或在 host 檔上加上一筆資料 (http://cssmain.cchaha.com/certsrv,因為是獨立 CA 所以申請『用戶 端驗證憑證』 執行信任 CA 的步驟(http://cssmain.cchaha.com/certsrv) 重新啟動『路由及遠端存取服務』 讓定讓 VPN 用戶端可以來連線:啟用 VPN 用戶端存取,並選用 PPTP、 L2TP/IPSec

- 12 -


利用 regedit.exe 加上 AssumeUDPEncapsulationContextOnSendRule 設定為 1 重開機 (\HLEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\IPSec) 測試 VPN Server 是否可以連線: 使用『路由及遠端存取』來測試連線,確定相互都能連線 建立特戰營的子網域控制站: 由該負責人員完成相關設定 將特戰營 VPN Server 改為利用 RADIUS 來驗證用戶端身份: 將特戰營的 VPN Server 指定為 RADIUS 用戶端

在特戰營的 DC 內建立具備『允許撥入』撥入權利的撥接帳戶(main) 特戰營 VPN Server 指定使用 RADIUS 驗證,並指定將驗證工作轉給 RADIUS(192.168.3.2) 指揮部 VPN Server 的 branch 連線帳戶改利用網域內的帳戶 main 連線到特 戰營 將現有連線中斷、測試是否可用新帳號連線成功

Rodc 的 VPN Server 設定同特戰營

- 13 -


隔離的 VPN 用戶端: 在 CSS 裡的 BackEndArray 陣列,設定裡的『網路』,啓用隔離控制 到 BNode1、BNode2 內安裝『遠端存取隔離服務』 下載 Remote Access Quarantine Tool for ISA Server 2006, 解壓縮後,編輯 ConfigureRQSForISA.vbs,修改相對應的中文字,執行 cscript ConfigureRQSforISA.vbs /install passed (BNode1、BNode2 都要做) 任何一台電腦安裝連線管理員系統管理組件建立連線設定檔程式,在將程式 複製到測試電腦,測試連線,如條件符合將脫離 VPN 隔離區

- 14 -


實作時遇到的問題:

問題 1:

指揮部 Site to Site VPN 到特戰營未使用 RADIUS 憑證連線成功,但是改為 RADIUS 憑證,就連線失敗,第一次連線憑證伺服器沒有回應,後來的連線都是 使用者與密碼有誤,反覆尋找確定相關設定都無誤,以及連線帳戶密碼都正確, 但是還是無法連線。

解決方法:

經過了一個夜晚的查詢,還是無法找尋到,隔天試著使用特戰營的帳戶登入,特 戰營的成員電腦無法登入,發覺負責特戰營網域控制站的人的通用類別目錄沒有 勾起來,導致 RADIUS 要驗證身份時無法驗證,勾起通用類別目錄後,過了一 段時間的複寫,VPN 測試連線就連線成功了。

- 15 -


問題 2: BNode1、BNode2 都加入到 BackEndArray 陣列內,啟動 NLB 前的相關設定都 完成了,但啟動 NLB 後負載平衡卻無法正常運作,寫著本機問題……,後來依 造著停用 NLB 的步驟停用後,相關檢查無誤後,又再度啟用,一樣無法正常運 作。

解決方法: 檢查了很多次設定都無誤,之後到 FNode1 與 FNode2 觀看時,出現 IP 重複的 訊息,於是尋找了一下,發現同學的 SMTP Relay 的 IP 位址設定錯誤設定到我 後牆的虛擬 IP 了導致 NLB 無法正常運作,SMTP Relay 的 IP 位址設定正確後, 後端防火牆的 NLB 也就正常的運作了。

問題 3: 實作期間很多人遇到 CSS 有加入企業遠端管理裡,但是卻無法管理到 CSS 裡 的陣列伺服器。

解決方法: 當時大家都找了很久一直找不到問題的答案,最後答案是,在安裝 BNode1 時, 輸入連接 CSS 帳戶與密碼,輸入的並不是網域裡的帳戶密碼,而是本機的帳戶 密碼,導致無法管理及監視,輸入確定的網域帳戶密碼後就正常運行了。

- 16 -


問題 4: CSS 無法管理 BackEndArray 的陣列或者任可加入 CSS 的陣列內的伺服器無法 同步與管理。

解決方法: 檢查企業遠端管理有沒有 CSS 電腦對應的 IP 加入

- 17 -


問題 5: 指揮部可以 Site to Site VPN 連到特戰營,特戰營無法連線到指揮部

解決方法: 因為指揮部有二道防火牆所以在特戰營的 ISA Server 加入 DWORD 的值,重新 開機就可以正常連線了。

- 18 -


心得 這次 MSLab 裡我是負責所有的 ISA Server 的建置,在實作前自己在一台電腦有 反覆的架出大概的架構與環境,之中如果有遇到問題比較好尋找及解決。當大家 的電腦都串在一起實作時,就會發現如果遇到問題去尋找時,步驟與設定都正確 但是就是沒有正常運作,所以每一個人建置時都要特別留意小心,一個不小心就 可能導致某些功能或服務無法啟動。我們這組一共架了六次,我的 ISA Server 也完完整整的架了六次,很忙很充實,但是發現了一件事情,我們完完全全沒有 做到一個階段後全部都停止動作備份起來,而是全部重來。因該要養成這個習慣, 還有測試都正常,但在老師們要來的前 10 鐘突然之前通的變不通了,還好提早 發現,把某些機器重開機就回復正常了,虛驚一場,還好沒發生關一台 ISA Server 整個倒掉。 經過這幾天實作,大家相處在一起感情也變的比較好,而且大家一起實作,一起 學習,一起打拼、互相救援的感覺真好,感覺大家經過這次都有所成長,每一個 人也努力的去完成,這一個階段暫時告了一段落,不管結果如何緊接著下一個階 段又是一個全新的開始,加油了奎寶寶。

- 19 -

ISA Server2006  

ISA Server2006

Read more
Read more
Similar to
Popular now
Just for you