Page 1

1


2


INDEX

Preface Topology Headquater Application Exchange TMG Front TMG Back DMZ Branch Worksheet

01 02 05 19 39 47 53 57 61 76

3


4


Preface 在日益競爭的商務環境中,如何實現一套高效能、高便利性的網路 環境是資訊從業人員畢生研究的課題,而我們瓦勒發資訊企圖提供一 套結合網管、資安、備份、VPN 的綜合解決方案,藉以降低行政資訊 化的門檻,提昇內部人員的行動力與生產力,從而創造獲利效率的雙 贏局面。 而在我們瓦勒發資訊所提供的『WTF』廣域網路傳輸架構之下,藉 由 Out Look 無所不在、Active Sync 的技術加持下,行動辦公室不再 只是空想。而 Windows 7 Base 的 IKEv2 VPN 傳輸架構,讓業務人員 無論是在公司外部的 3G 網路的環境、抑或是公司內部的無線網路都能 同步存取公司內部的資源,網段不再是問題,讓 金流、資訊流同時遨遊在雲端。 當然企業最關注的莫過於資訊的存放是否安全、是否妥適,畢竟有 好的流通方式,更需要有好的保護措施才能保護公司機敏資訊不受惡 意人士所用。我們瓦勒發資訊所提供的配套方案下,網路環境皆是受 到雙重防火牆的保護,公司內部則統一部屬企業級防毒軟體,從裡到 外形成無漏洞的隔離網。最後再透過沉默的守護神:企業級備份來保 護伺服器中、或者員工電腦中最重要的資料,迅速排除硬體損壞的風 險,並且讓 IT 人員能以最短的時間讓系統重新上線運作,維持公司營 運而不墜。

1


2


3


4


Headquater 陳其斌 5


Headquater

一、 建置目標  在 AD 網域中分別架設各兩台 DC Server、DNS Server、DHCP Server、和 WINS Server。  建立企業 CA 提供給其他 Server 使用  建立 WSUS Server 控管企業內部更新狀態  建立 Print Server 有效利用印表機資源  佈署企業防毒預防內部電腦中毒  佈署 OfficePowerPoint 2007 讓 Client 端自動安裝

6


Headquater

二、實作過程 1. AD 總公司和分公司各架設兩台 DC 互相備援,在 AD 站台及服務,分 別建立 SiteA 及 SiteB 將不同網段的 DC 區分開來。

AD 網域對整組的影響很大,所以對不清楚的物件不要亂刪,能不 關機也盡量不要關,如果網域出問題會拖慢大家的進度。

7


Headquater

可以在 AD 使用者和電腦建立一個 OU,把驗收要用的電腦放入,避免 建立群組原則的時候影響其他組員。

在佈署 Office 的時候 Client 端的反應可能會比較慢,要一直用 gpupdate /force 的指令,如果下完指令出現要求你重新啟動電腦, 那很高的機率是成功了(個人經驗)。

8


Headquater

2. DHCP 在總公司建立兩台 DHCP 互相備援,並且在路由及遠端存取建立 DHCP 轉送代理,可以和在不同網段的分公司作備援,但要注意不同 的 DHCP 之間(包括分公司的 DHCP)要互相排除對方擁有的 IP,不然 可能會導致不同電腦拿到同一個 IP。

9


Headquater

我在驗收過程中曾經發生,設定都沒問題,前一天也測試過沒問題, 但是驗收的時候 Client 端一直無法跟 DHPC 要到 IP,後來我試著重 新啟動 DHCP 的服務就正常了,在實作的時候不只是 DHCP,其他的 Server 都有可能會出現這種情況,之前我也常常把服務忽略掉,但很 多問題都有可能是它在搞鬼,所以要多注意。

10


Headquater

3. DNS 建立兩台 DNS 並且能解析到分公司的 FQDN。DNS 在網域中扮演 重要的角色,很多服務都需要 DNS,設定時要多加確認名稱和 IP 是否 有設對。

4 . WINS 建立兩台 WINS,利用複寫協力電腦的推入/提取功能,與分公司互 相複寫。

11


Headquater

5. 企業 CA 建立企業 CA 的好處是,AD 網域內的電腦會自動信任 CA,所以可 省下很多步驟

如果是沒有加入網域的電腦,也可以建立 IIS 讓其他電腦在網頁上 下載憑證,不過要注意建立 IIS 要在建立 CA 之前,或是同時也可以, 不然網站要自己手動加入很麻煩。

12


Headquater

6. Print Server 因為 Print Server 建立在 wsus1 這台主機,所以網址是” http://wsus1/printers/”

因為我的主機是用 2003, 所以記得加裝 IIS 裡面的網 際網路列印,因為它放在 IIS 裡面比較容易忽略, 2008R2 新增服務這方面 做的比好(個人感覺)。

13


Headquater

7. WSUS 建立 WSUS 群組原則,自動套用網域內的電腦。

核准 Client 端所需要的更新,注意不要核准到 Client 端不需要的更 新,不然測試的時候會試不出來。核准完並下載好後 Client 端的反應 可能有點慢,多下幾次 wuauclt /detectnow 的指令。

14


Headquater

8.企業防毒 企業防毒我是採用賽門鐵克,因為它佈署用戶端和管理介面都很 好用,很適合初學者使用。

用戶端佈署,我是用遠端推送這個功能,它可以找到網域內所有的 電腦,只要選擇需要佈署那些電腦就好了,這裡我為了不要影響其他 組員的電腦,所以只有佈署自己 Client 端的電腦。 在 Client 端這裡我有碰到一個問題,就是有時候重新開機會導致賽 門鐵克的服務出現錯誤,因為發現的時間太晚了,所以沒有去除錯有 點可惜。

15


Headquater

三、心得 我覺得對我來說最缺乏的就是實作經驗,雖然老師教得很詳細, 但不去實作根本不知道自己會了多少,這次的 MSLAB 就是個很好的機 會,一個禮拜的時間讓我對微軟系統更加了解。

在這次的 MSLAB 裡面我學到了很多東西,雖然上課的時候感覺自 己都聽懂了,可是真正在實作的時候不一定會做得很順利,上課的時 候可以跟老師的步驟一步一步走,比較不容易出錯,但當換成自己做

16


Headquater

的時候卻不一定做得出來,這時候就是考驗自己的除錯能力,是否能 把錯誤的地方找出來,可以去問別組負責同一區塊的同學、或是去找 課本、上網查等等,很多方法可以用,但就是不可以放棄不管,當解 決一個問題時不只會有成就感,自己的除錯能力也會跟著提升,我想 這應該是讓我們做 MSLAB 其中一個目的吧。

還有就是團隊合作,在作 MSLAB 的時候大家的電腦都是串在一起 的,所以很容易互相影響,像是我負責的總公司要如何跟分公司連結, 或是防火牆如果分成兩個人負責那要如何溝通,這些都要大家一起合 作解決的問題,我們這組也很團結,有時會互相討論,雖然出現了很 多問題,但大部分都順利解決了,在這些過程中可以培養我們的默契, 也可以訓練團隊合作的能力,同學間的感情也會越來越好。最後感謝 各位老師的指導,能讓我在短短一個多月學到那麼多東西。

17


Headquater

18


Application 洪建復 19


Application

一、建置目標  公司內部網站  FTP  RADIUS  IKEv2 VPN  NAP  ADRMS  無線基地台  企業備份

20


Application

二、實作過程 1. 公司內部網站 公司內部網站的 WEB SERVER 採用 NLB 來達成高可用性及 高可靠性。而網頁所需檔案則存放於兩台 FILESERVER 中,這兩 台 FILESERVER 則透過 DFS 複寫來達成檔案的一致性,並使用 RAID 1 磁碟系統避免因為單一磁碟損壞而造成伺服器的停擺。

▲公司內部網站首頁,欲驗收的部份設置為連結,方便使用

21


Application

▲兩台 WEB SERVER 建制 NLB 網路覆載平衡,模式為『多點傳輸』

▲兩台 FileServer 都指定為命名空間伺服器並使用 DFS 複寫來達成檔案的一致性

NLB 及 DFS 的部份上課都有講解過,在建置上並不困難,唯一要注 意的部份為 SSL 的憑證,發放的對象為『內部網頁的網址』 ,而此憑 證請務必安裝所有於 NLB 的節點上。

22


Application

▲如果 SSL 設定正確,進入網站應可看到此憑證資訊

此外,於 IIS 中設定網頁設定檔匯出時,不可直接指定匯出路徑為命名 空間的路徑,否則會出現『路徑無法操作』的警告,必須先將匯出路 徑指定為其中一台 FileServer 的實體路徑,匯出成功後,設定路徑再 指向命名空間的路徑即可。另外網頁檔案的存放路徑設置於命名空間 路徑時,使用 路徑測試時也會顯示『指定路徑無法存取』 ,但實際測試是可以變更及 讀取的,所以無需理會該測試結果。

23


Application

2.FTP SERVER FTP SERVER 的部份也是結合 NLB 達成高可用性及高可靠性, 實體路徑也是指定於 DFS 的命名空間中。而 FTP 站台則區分為公 用站台及 AD 使用者隔離站台(讓使用者只具有讀取及變更指定 FTP 目錄的權限),兩站台指定不同的 port 來作為區分。

▲FTP 路徑也指向命名空間

▲使用 AD 使用者隔離,需另配合 ADSI 編譯器來修改 AD 使用者 參數(請參考戴老師的 Windows Server R2 網路管理與架站)

24


Application

3. RADIUS SERVER RADIUS 提供我們這組網路架構的 Site To Site VPN、IKEv2 VPN 及無線基地台使用者驗證。關於 RADIUS 的部份沒什麼好談 的,唯一要做只是設定 RADIUS 用戶端而已。另外 RADIUS SERVER 基本上是建議把內建的 Windows 防火牆關閉,因為曾 發生過 RADIUS Server 把無線基地台請求驗證使用者帳號的流量 擋掉而造成無線網路連線失敗。

▲RADIUS 用戶端設定一覽

25


Application

4. IKEv2 VPN 我們這組另外建置一台 VPN Server 來提供 Windows 7 的用 戶端使用 IKEv2 的協定連入公司內部網路存取內部資源。IKEv2 VPN 的建置與 PPTP VPN 大同小異,唯一不同的地方在於 VPN 伺服器的伺服器憑證於預設的憑證範本並無此類型(需同時具有 伺服器驗證及 IKE 安全中繼驗證),所以要修改現有的範本以符合 需求,可透過修改 IPSec 範本並於新增應用程式延伸原則中新增 『伺服器驗證』 。至於 VPN 用戶端的連線設定則如下列截圖所 示:

▲WIN7 用戶端的驗證設定應設為 PEAP

26


Application

而 VPN 用戶端的 IP 則透過總公司的 DHCP 來負責配發,DHCP 轉送 代理設置如下:

▲輸入 DHCP 伺服器的位置即可

▲VPN 連線成功時的畫面

27


Application

5. NAP NAP 的建置重點無非是『連線要求原則是否設置正確』 、 『網 路原則』 、 『健康原則』是否設置妥當。此外要實現 NAP 的用戶端 也必須啟用 Network Access Protection Agent 服務(若用戶端 屬於網域環境時,可以使用群組原則來設定)。另外於設定 NAP 時,建議透過『NAP 設定精靈』來進行設置,之後在逐一修改各 項設定即可。

▲這次 LAB 有同時建置 VPN NAP 及 DHCP NAP

▲健康原則也會有兩組相對應的設定

28


Application

▲用戶端健康與否是以內建防火牆是否開啟為準, 也可以設定是否開啟防火牆、是否開啟自動更新

▲VPN 用戶端不符合健康原則時會限制存取

▲NPA Agent 顯示必須啟用內建防火牆

29


Application

▲可自行設計疑難排解頁面,搏君一笑

若 LAB 過程中已經開啟 DHCP NAP 時,請務必告知同組的同仁們, 避免有人的環境是使用 DHCP 取得 IP,若取得限制存取的 IP 時,只 能存取該 DHCP 伺服器的資源。

30


Application

6. 無線基地台 本組有建置無線基地台,讓使用者可以透過使用網域的帳號登入 無線網路(配合 RADIUS 伺服器驗證使用者) ,存取總公司內部的區域 網路。無線基地台的規格中,支援『WPA/WPA2 Enterprise』驗證法 的就可以支援 RADIUS 伺服器驗證網域使用者。

本組是使用 ASUS 的 WL-520GU 來進行建置,但受限於器材設計 的關係,若將基地台設置為 SWITCH 模式時,就無法指定基地台本機 的 IP 位置,自然無法將基地台設為 RADIUS 用戶端。所以只能使用『路 由模式』 ,將無線基地台的 WAN 端口指定一個總公司網段的 IP 位置, 而無線網路的用戶端實際係基地台的內部網路,需透過基地台路由至 總公司(此時相對於總公司的網段,無線網路用戶端都係透過 NAT 共 用基地台 WNA 端口所指定的 IP,實際上是兩個不同的網段) ,因為分 屬於不同網段的關係,所以無線用戶端也無法使用總公司的 DHCP 伺 服器來分派 IP(基地台中也沒有 DHCP Relay 的功能)。

31


Application

▲RADIUS 用戶端需設為無線基地台的 IP 位置,此外必須設置一組共用密碼 (無線基地台中也要輸入一樣的密碼)

▲連線要求原則中,關於驗證方法的設定

32


Application

▲無線網路用戶端的連線設定,必須與連線要求原則中的驗證方法相同

於設置過程中,建議將無線基地台中內建的防火牆關閉(如果有的 話) ,以本組使用 ASUS WL-520GU 為例,其預設的防火牆會擋 WAN 端口的 PING 流量,所以根本無從得知無線基地台是否可以總公司網 段的電腦溝通。另外設置都正確時,ANDROID 手機系統(無需信任 根 CA)跟 IOS 的手機系統(會自動下載信任的憑證)應該也都可以 連線。

33


Application

7. ADRMS 透過 ADRMS 可以限制 Office 文件的讀取、變更、或者列印等權 限。於建置過程中要特別注意的就是如果有移除 ADRMS 後再度重新 安裝時,會出現 SCP(服務發佈點)錯誤,此時要透過 ADSI 編輯器將 SCP 的屬性手動刪除:

CN=Configuration,DC=contoso,DC=com==>CN=Services==> CN=RightsManagementServices ▲(自己的網域名稱)

將 CN=RightsManagementServices 的屬性刪除後重新安裝 ADRMS 即可。

34


Application

8. 企業備份 企業備份本組選用的是賽門鐵克的 BackupExec,這套軟體最大 的特點就是入門門檻很低,另外試用版取得容易,加上也是老牌的備 份軟體,功能也算是很齊全。在備份的規劃中,總公司兩台 DC 會一個 禮拜進行一次完整備份,而每天會進行一次增量備份,另外於分公司 的 DC 也會每個禮拜進行一次完整備份以達成異地備援。建置備份儲存 容區的時候要注意,雖然採用增量備份,只會備份新增的檔案,但有 關於『系統狀態的部份』仍是每天進行完整備份的,以一臺 Windows Server 2008R2 來說,系統狀態少說 10GB 以上,所以在建置前就要 妥善規劃硬碟空間。

▲備份的伺服器一覽表,採總公司每天備份,分公司一星期備份一次的策略

35


Application

另外我還有實驗 BackupExec 的兩個進階功能:分別是實體備份轉 換成虛擬機器(Virtual To Physical)並同步掛載於 Windows Hyper-V Server 2008R2 藉以達成災害發生時零時差繼續提供服務,無奈一切 準備妥當後卻發生 Backup Exec 顯示無法轉換為虛擬機器的錯誤,估 計是在虛擬的環境無法達成的實驗,所以最後就忍痛放棄。 另外一個實驗的功能就是 Simplified Disaster Recovery 災害還原的 部份,可以透過製作 SDR 開機光碟,讓受損的電腦透過連線到備份伺 服器,遠端還原系統及磁碟資料。

▲使用 SDR 還原光碟的使用畫面

36


Application

三、心得 這次 MSLAB 在資策會半年的學習中佔了很重要的角色,因為這個 LAB 不但是驗收自己對於微軟系統的掌握程度,更很大幅度的反應了 自己對於網路基礎知識及架構的熟悉度,透過這兩到三個禮拜的準備 (包含實做和事前準備)讓自己有種功力提昇不只百倍的感覺(希望 不是錯覺) 。除了個人能力的精進,更重要的是培養團隊協作能力與溝 通能力,從事前的分配工作、準備口頭報告、LAB 時的 Trouble Shotting 等再再考驗團隊的默契與組員的配合程度,值得慶幸的是我們的組員 都克盡其職,相處也非常愉快,在非常順利的狀態下就把我們的 LAB 完成了。

而個人負責的部份沒有碰到什麼瓶頸,大部分的設定無論是在戴老 師的教科書、或者劉老師的上課筆記,又或者是網路上的資源都可以 找到解答。大部分問題其實都發生在自己觀念不清楚,或者基礎架構 就誤解了,只要按照程序一步驟一步驟的解決,所有功能就可以正常 運作。

最後要說的是,無論發生什麼事情,只要堅持下去,絕不放棄就一 定解決。如果自己碰到難以克服的問題,也一定要跟組員討論,一起 37


Application

解決,大家集思廣益絕對比一個人默默卡關還要來的快速,也給大家 一個學習的機會。還有要提醒大家的事情就是,在 LAB 的過程或者驗 收的時候,常保細心是不二法門,在 LAB 的時候我就因為粗心大意把 總公司電腦的插頭給拔掉了(囧) ,另外在驗收的時候也發生過災害還 原還原錯電腦,還原後的電腦無法開機(太囧) ,希望大家都不要犯如 此低級的錯誤,與各位共勉之。

38


Exchange

Exchange 蔡明憲 39


Exchange

一、建置目標 這次的 MSLAB 中,我所負責的是與 Exchange 相關部分的建置。 其中所需達到的目標包含以下幾點:  HTS:集線傳輸伺服器, 訂閱兩台 ETS 自動達成高可用性。  CAS:用戶端存取伺服器,採用 NLB 功能來提供高可用性。  MBS:信箱伺服器,採用 SCC 來提供高可用性。  ETS:邊際傳輸伺服器,採用 DNS Round Robin/MX 方式來提 供高可用性。並且,需具備防毒與反垃圾郵件功能  對內、對外都需支援 OWA、ActiveSync(Push Mail)。  對外需支援「Outlook Anywhere」。

關於 ETS 需具備防毒與反垃圾郵件功能,我是將他理解為「對於收到 的郵件,須能將帶有病毒的信件及垃圾郵件過濾掉。」因此,使用的 軟體也是以此來做為考量。

40


Exchange

二、實作過程 Exchange 的建置我把他分成三個階段:  第一階段:硬體環境及高可用性  第二階段:憑證及防火牆規則設定  第三階段:附加功能,防毒與反垃圾郵件

第一階段:硬體環境及高可用性 開始之前,確定自己每台機器的基本設定,並且總公司的 AD 環境 已經建置完畢。確認基本環境設定完成後,便可以開始建置 Exchange。 Exchange 的建置,第一步記得要從 HTS 開始。

HTS 的高可用性是經由訂閱兩台 ETS 來達成,因此將 ETS 產生的 訂閱檔加入訂閱即可完成。 CAS 是採用 NLB 功能來提供高可用性,因此,使用「網路負載平 衡管理員」來做設置。 Tip:如果使用「網路負載平衡管理員」無法連線到 CAS 的主機,可 能是虛擬網路卡的問題,可以嘗試更換虛擬網路卡來解決問題。

41


Exchange

MBS 是採用 SCC 來提供高可用性,因此要另外建立一台 Target 主 機,並使用「叢集系統管理員」來做設定。

ETS 採用 DNS Round Robin/MX 方式來提供高可用性,因此,需要 對 DMZ 區的 DNS 去做設定。

42


Exchange

由於 ETS 的預設閘道會設定為前牆的虛擬 IP,要使 HTS 與 ETS 之前 能正常溝通的話,必須在 ETS 的 RoutingTable 中額外增加設定。

完成之後,可以先測試高可用性,分別對 NLB 功能及 SCC 的功能 做測試,確認每台主機的功能皆可正常運作。

第二階段:憑證及防火牆規則設定 在這個階段,需要使用到總公司的憑證伺服器。藉由申請憑證、設 定規則,及設定防火牆流量,使 OWA、ActiveSync 及 Outlook Anywhere 可以在外部網路正常使用。

第三階段:附加功能,防毒與反垃圾郵件 Exchange 原本就已經有內建反垃圾郵件的功能,不過,我有在 ETS 上另外安裝 Microsoft Forefront Protection 2010 for Exchange Server 來使防毒與反垃圾郵件功能更加完善。

43


Exchange

三、心得 基本上,Exchange 部分的建置在課本中都有資料可以參考,只是 需要去將內容做一些組合,來達成我們所需要的架構。Exchange 的困 難點並不是在於建置的過程,而是在於發生問題的時候。尤其,如果 碰到與 AD 相關的部分,可能會有點棘手。所以在執行每個步驟的時候, 確認自己清楚其內含的意義。因此,在實際開始建置 MSLAB 的 Exchange 之前,我先花了一天的時間模擬我這次負責部分的第一階段: 硬體環境及高可用性,確認自己對整個環境的了解,並且每個部份都 可以達到高可用性。之後才正式在 MSLAB 環境底下進行實作。 如果真的碰到問題,也要冷靜面對。首先確認每台機器的狀況,診 斷切確的問題,並盡量以最小的代價來解決問題。如果真的有必要重 製機器,也請記得將有問題的機器以正常的程序移除軟體、離開網域, 以避免 AD 資料異常而使後續的處理更加艱難。 此外,如果有時間,除了基本的目標,也可以思考還有什麼功能是 可以加進去的。以我這次做的 Exchange 為例,由於我們的 MSLAB 並 不是架構在真正的實體網路中,也沒有在 DNS 上註冊,因此只能發出 郵件到外部網路,無法從外部網路中收取信件。但是對於某些項目的 驗收,如果可以收到從外部寄來的信件,可以讓過程更簡單、清楚。 所以,我在另外的網段中,簡單的架設另外的 AD 及 Exchange 伺服器, 44


Exchange

來達到「可以收到外部寄來的信件」這樣的功能。當然,請記得一件 事:我們真正要完成的是 MSLAB 的建置目標,不要本末倒置。

45


Exchange

46


TMG Front 歐逸中 47


TMG Front

一、前牆的規則

48


TMG Front

49


TMG Front

50


TMG Front

51


TMG Front

二、心得 經過這次實驗,獲得了許多經驗。愉快和挫折都有,加上一些解答 和更多的疑惑。TMG 會出問題,除了虛擬機器本身的相容性不佳,不 容易加入陣列之外,就是網路組態的設定不正確,或者憑證安裝錯誤。 網路組態方面的錯誤包含沒有設定預設閘道、指定錯誤的 DNS(或 DNS 對應錯誤)、未修改路由表或註冊碼、TMG 內外網段範圍錯誤、TMG 網路間的規則錯誤或存取/發行規則上的錯誤、或者接聽錯誤的來源(容 易發生在 VIP 上)。憑證方面容易出現忘記信任根 CA 的疏忽。至於憑 證的種類、權限、安裝時機等等,仍然不明就裡;驗證機制的種類和 特性也含含糊糊,有待進一步釐清。

52


TMG Back 王人囿 53


TMG Back

一、後牆規則

54


TMG Back

55


TMG Back

二、心得 來資策會的第一個大關卡終於圓滿的結束了,從跟房東喬房間、大 家搬電腦、串機等都是很新奇的體驗,尤其是串機

古云:串的好帶你

上天堂,串不好就準備住機房,幸虧 WTF 高手雲集很快就 OK 了! 還好我在 LAB 開始之前還好有先做了 TMG 後面的小作業,有大致 上了解了什麼功能要開什麼規則,當需要通過防火牆的時候也能減少 一些失誤,做 TMG 讓我感覺最重要的就是,要開始做下一步之前要先 確認目前的環境都是 OK 的,不然像我第一天沒跟前牆確認好,自己做 的很高興後牆兩台都加入陣列了,結果換前牆的時候卻怎麼樣都找不 到 EMS,只好 1234 重來一次……。 在實驗的過程中會發現到,像是平常上課沒有注意到的事情但是是 很重要的,在做實驗的時候遇到了!再經由大家的互相討論所得到的結 果就是自己的一次成長。 這次的加分題獨獨遺漏了 GFI,因為最後要做它的時候才發現需要 安裝.NET4.0,為了減少 TMG 突然失效的變數所以只好作罷。

56


DMZ 王譽璿 57


DMZ

一、建置目標  建置「Exchange 邊際傳輸伺服器(ETS)」  建置對外提供服務的 WebFarm、DNS 伺服器以及 FTP 伺服器  WebFarm 功能必須由 TMG 支援,並且必須支援 HTTPS

二、環境介紹 Web 伺服器:兩台皆使用 Windows Server 2008 R2 功能:對外提供公司的外部網頁,並且支援 HTTPS FTP 伺服器:使用 Windows Server 2008 R2 功能:對外提供檔案下載之服務(考慮安全因素有限制上傳功能) FileServer:兩台皆使用 Windows Server 2008 R2 功能:儲存 Web 伺服器的設定以及網頁內容,以及 FTP 伺服器的 檔案 DNS 伺服器:使用 Windows Server 2003 R2 功能:對外提供 DNS 解析服務 ETS 伺服器:兩台皆使用 Windows Server 2003 功能:Exchange 中的邊際傳輸伺服器 (各伺服器 IP 設定如拓樸圖所示)

58


DMZ

三、實作過程 Web 伺服器 兩台伺服器皆需安裝 IIS 角色服務,利用上課的範例先測試 IIS 是否 正常執行。在 FileServer 建置完成並做完 DFS 複寫後,再將設定檔以 及網頁內容轉移過去,以達到網頁設定以及網頁內容的高可用性。最 後在搭配 TMG 前牆陣列提供 NLB 功能,完成 WebFarm。

FTP 伺服器 安裝 IIS 角色服務以及 FTP 伺服器的功能,基本設定照著課本上的 步驟做就能完成,唯一不同的地方是要把檔案存製的地點轉移到 FileServer 上,以達到檔案的高可用性。

FileServer 使用網域型的 DFS 複寫功能,故其中一台必須扮演 DC 以及 DNS 的角色,採用自己獨立一個網域。

DNS 伺服器 紀錄了要對外發行的 Web 伺服器、FTP 伺服器以及 ETS 伺服器的 IP 位址。 59


DMZ

四、心得 這次 MS-LAB 負責 DMZ 區域的建置,原先大家都說這是比較輕鬆 的區域,但實際上也不是這麼的順利。 絕大部分的功能都能自己先在 DMZ 區域內測試,而且設置過程都 是上課有提過,或是課本上有 SOP,所以環境建置的部分非常順利。 不過,等 TMG 前牆陣列完成後,發行伺服器出去才是一串問題的 開始。一開始不知什麼原因,我們的前牆陣列非常不穩定,讓發行伺 服器多了一個很大的變數,設定完後沒辦法確定到底是否正確,有時 候這次測 OK,下一次就不 OK。又或者今天離開前 OK,明早一來就 整個掛掉,整個實驗大概重做了三次,挫折感非常大。 整體而言,DMZ 區域真的有如老師以及學長姐所說: 「DNS 發佈 正確就很簡單」 ,一開始在 DMZ 搭配 TMG 發佈的邏輯上卡了很久, 最後才搞清楚發行的規則,發佈出去的 IP 必須是 TMG 前牆陣列的虛 擬 IP,這樣外部才能正確的利用該 IP 解析 DMZ 區域伺服器的正確位 址。只要這部份的邏輯先釐清,再跟負責 TMG 的同學搭配好,實驗必 定能非常順利的完成。

60


Branch 王世家 61


Branch

一、建置目標  建置分公司 TMG 防火牆,設定基本規則和流量的開放,讓分公 司的能夠順利連接總公司和分公司的 Client 端電腦 連上 Internet。  分公司的 DC(DHCP、DNS、WINS)能夠正常與總公司 DC 複寫 和測試。  分公司與總公司 VPN Sit to Sit 連線。  架設分公司 WSUS 伺服器為總公司下游伺服器,和發佈微軟更 新到分公司 Client 端電腦上安裝。  Print Sever 讓分公司所有 Client 電腦可以進行安裝列印。  安裝企業備分軟體,定期更新備份,達到異地備援。

62


Branch

二、虛擬建置環境 TMG 2008R2 記憶體 2GB 硬碟:120GB 電腦名稱

Branch-TMG

外網卡

ip:192.168.8.200 Mask:255.255.0.0 預設閘道:192.168.1.1 DNS:8.8.8.8

內網卡

ip:192.168.6.200 Mask:255.255.255.0 DNS:192.168.6.1

192.168.6.2

DC3 2008R2 網域控制站

記憶體 2GB 硬碟:20GB

電腦名稱

Branch-TMG

網域

wtf.com

網卡

ip:192.168.6.1 Mask:255.255.255.0 預設閘道:192.168.6.200(防火牆內網卡) DNS:192.168.6.1

服務

DNS 已安裝 DHCP 已安裝 WINS 已安裝

63


Branch

DC3 2008R2 網域控制站

記憶體 2GB 硬碟:20GB

電腦名稱

Branch-TMG

網域

wtf.com

網卡

ip:192.168.8.2 Mask:255.255.255.0 預設閘道:192.168. 6.200(防火牆內網卡) DNS:192.168.8.2

服務

DNS 已安裝 DHCP 已安裝 WINS 已安裝

WSUS 2008R2 記憶體 2GB 硬碟:20GB 電腦名稱

Branch-WSUS

網卡

ip:192.168.6.3 Mask:255.255.255.0 預設閘道:192.168.6.200(防火牆內網卡) DNS:192.168.6.1

Backup 2008R2 記憶體 2GB 硬碟:20GB 電腦名稱

64

Branch-Backup

192.168.6.2


Branch

網卡

ip:192.168.6.4 Mask:255.255.255.0 預設閘道:192.168.6.200(防火牆內網卡) DNS:192.168.6.1

192.168.6.2

Print 2003 記憶體 1GB 硬碟:20GB 電腦名稱

Branch-Print

網域

wtf.com

網卡

ip:192.168.6.5 Mask:255.255.255.0 預設閘道:192.168.6.200(防火牆內網卡) DNS:192.168.6.1

192.168.6.2

Client windows7 和 XP 記憶體 1GB 硬碟:15GB 電腦名稱

Branch-Client 和 Branch-XPtest

網域

wtf.com

網卡

DHCP 自動配發 IP

本機電腦配備 電腦名稱

Intel(R)Core(TM)i5+3470 CPU @ 3.20GHZ

記憶體

32GB

作業系統

Windows 7 64 位元

虛擬機器

VirtualBox 4.16 r74713

65


Branch

三、實作過程 Branch-DC

分公司建立 2 台 DC 網域控制站,主要達到高可用性和具有容錯的 機制,並透過 Internet 或 VPN 連線與總公司 DC 互相複寫更新,達到 資料同步更新。 分公司架設 DC 網域控制站,在同樹系同網域不同網段,之前在 VPN 未連線成功,先將入總公司網域過程中,遇到很多無法預期的問題, 例如:此 DC 不在網域或未連線之類等等訊息,經測試過程中發現在服 務裡面 Netlogon 重新啟動或者在伺服器管理員點選功能重新選擇自 己網域控制站就可以。 等 VPN 連線成功之後,與總公司 DC 複寫更新設定就沒什麼太大問 題,所以先讓 VPN 連線正常,比較不容易發生錯誤,但基本小細節還 是要注意是否有設定錯誤,以免發生問題要除錯時,比較不容易判斷 找出問題所在。 66


Branch

Branch-TMG

分公司架設一道 TMG 防火牆,主要設定開放或拒絕基本的流量規 則,在測試過程中先開放 PING 規則,方便互相測試電腦彼此間是否有 通,以利於除錯。而且,此 TMG 當 VPN Sit to Sit 的 Client 端,設定開 放 VPN 連線規則。 本身我只是負責分公司架設網域環境之類,但老師要求都要有 TMG 防火牆,在測試設定過程中,花很久時間去了解,並在測試過程當中 常常遇到 TMG 非常不穩定,導致所有電腦無法正常測試和運作(組員 也一起幫忙除錯,但問題無法解決),讓我一直砍掉好幾次重新安裝 TMG 程式,光安裝部分就花很多時間,所以在設定安裝 TMG 過程中, 建議先了解開放或拒絕哪些規則並優先順序要清楚,因為不了解的話,

67


Branch

會導致後面測試無法正常,且每次變更設定,一定記得要套用設定和 TMG 設定畫面監視功能裡面的設定要重新整理,是否有更新同步,最 重要一點做完設定要檢查監視裡面的 TMG 應用程式服務是否正常啟 動或是重啟服務,這些會影響到在測試過程當中其他服務是否可以正 常運作執行(重點)。

Branch-TMG VPN

TMG VPN Sit to Sit 連線,設定基本畫面和最重要安裝總公司 TMG 後牆發行 CA 憑證之後,開啟遠端路由存取服務,直接選擇 Main 連線, 在測試過程中一般與總公司連線大約 4-5 秒就可以馬上連線成功,且 在 MSLAB 給老師驗收過程,非常順利且連線速度穩定和迅速。 68


Branch

Branch-DNS

分公司 DNS 主要透過複寫方式與總公司 DNS 資料做同步更新,可 以透過 FQDN 方式來解析總公司或分公司的電腦的 IP 位址或其他資 訊。

69


Branch

Branch-DHCP

主要是配發 IP 給分公司的 Client 端或其他電 腦使用,並且可以設定排除或發散 IP 位址,達到 方便管理和避免浪費 IP 使用的目的,而建立 2 台 DHCP Server 主要達到高可用性和互相備援機制, 以免有一台發生問題時,至少另一台可以發揮功用。

Branch-WINS

主要與總公司 WINS 成為複寫協力電腦,透過主機名稱來解析總公 司電腦的 IP 是否正確。 70


Branch

Branch-WSUS

成為總公司下游伺服器的選擇自治模式,來選擇微軟程式更新特 定群組下的電腦並透過 OU 群組原則和 WSUS 原則只安裝佈署限於分 公司的電腦與總公司做為區隔,以免互相影響彼此佈署原則。在測試 過程中,執行佈署給 Client 端電腦,有時更新畫面會比較慢跑出來, 建議輸入以下指令 wuauclt /detectnow 或重新啟動電腦,讓更新畫 面跑出來,來測試是否有佈署更新成功。

71


Branch

Branch-Print

建立 Print Server 讓 Client 端,且可以透過群組原則方式,讓 Client 端安裝印表機或透過網路列印的網頁來選擇使用印表機列印相關服務。

72


Branch

Branch-企業備份

分公司 DC 重要系統備份採用於總公司 Norton 企業備分軟體,來達到 異地備援機制,此款軟體滿多企業都在用,公司最重要就是資料備份, 此軟體經我們組員測試安裝,操作介面非常上手簡單,且功能操作設 定方式也簡單清楚。

73


Branch

四、心得報告 第一次做 MSLAB 串機實驗,我們這組很快將要架構的環境規劃出 來,在串機前,我們組員建議先把可能會影響到實驗的因素先全部關 閉,例如:本機防火牆、防毒軟體和自動更新之類,並逐步一一測試是 否電腦間運作是否正常,以免影響到後面 LAB 的測試,我在負責架設 分公司網域環境遇到很多問題和挫折,例如 TMG 安裝之後影響到我所 有電腦無法正常運作,也多虧我們這組大家互相研究和測試,找出是 否有方法可以解決,雖然宣告失敗,最後好幾次重新設定硬碟並安裝 TMG 防火牆(安裝時間花超久),但從除錯過程中學習很多的經驗,也 使大家彼此間了解可能做別的測試會遇到類似問題,並如何找尋方法 除錯。 自己在架設分公司 DC(DHCP、DNS、WINS) WSUS Print 和 VPN 等等環境,除了按老師所設定的步驟去架設,在過程當中也會遇到不 可預期的問題,導致服務無法正常執行運作,讓 MSLAB 測試實驗停擺 中,也透過上網找尋相關資料或參考學長姐的報告,是否可以找到解 決方法,且自己除錯測試過程中,我們這組組員雖都負責每個部分, 但大家彼此都互相研究和測試,是否可以找出問題來除錯。 這次 MSLAB 實驗,雖然大家都有負責區域要測試,但我覺得利用 之前老師給我們建立的觀念來做,讓我了解最重要一點,不是只要負 74


Branch

責自己部分就可以,而是透過這種團隊方式,讓大家互相補足能力所 不足的地方,不一定是技術方面,而是在做實驗過程中學習團隊的協 調性和合作性,除了讓自己專業技能更進一步,也深刻認知團隊的重 要性,這次是我做 MSLAB 最重要收穫的經驗。

75


76


指導老師 楊宏文、劉家聖、戴有煒

WTF 工作團隊 陳其斌

Headquater

洪建復

Application

Exchange

蔡明憲

TMG Front

歐逸中

TMG Back

王人囿

DMZ

Branch

王譽璿 王世家

77


78

[92-2]MSLABreport  

MSLAB report @ III