Issuu on Google+

資策會網工班 83 期 MS-LAB 第一組:威仁寶機場網路規劃

ISA、 Print Server

學生:陳昱杉 指導老師:劉家聖老師、 戴有煒老師、楊宏文老師

1


目 錄 公司簡介及需求 - - - - - - - - 3 拓樸規劃 - - - - - - - - - - - 4 ISA Server 2006 架構流程- - - -5 Print Server - - - - - - - - - 11 Lab 心得 - - - - - - - - - - - 16

2


公司簡介及需求 無敵科技公司(IT),接下威仁寶企業的委託,架構威仁寶機場的網路規 劃。內容包含第一航廈及第二航廈的重點項目:網站建置、系統維護、資源 管理、行動辦公室,以及資料安全防護。 其中,於機場資料安全防護上,本公司採用 ISA Server 來建構防火牆, 並在主要第一航廈以 Back-to-Back 的架設方式,讓防火牆達到更高的可用性 及安全性。 另外,用於公司內部資料列印上,分別於第一航廈及第二航廈各配置一台 Print Server,可經由內部網路芳鄰,或透過其他電腦,以網路連結的方式 連結印表機,更加方便內部資料列印上的使用。

3


拓樸規劃

4


ISA Server 2006 架構流程 (1)AD 網域環境建構 1.將 DC 升級為網域控制站並安裝 WINS、RADIUS (2003 為 IAS)、企業根 CA 及 IIS 等服務。 2. 因企業根 CA 未含伺服器驗證,所以必頇透過「複製範本」發行「網頁 伺服器」憑證。 3. 「RADIUS 用戶端」設定需包含兩台後牆內網卡固定 IP 位址。 4. DNS 於 air.com 內新增前後牆主機紀錄共四筆(IP 位址分別為後牆內網 卡固定 IP 及前牆 DMZ 區網卡固定 IP)。

5


(2)CSS

設定存放伺服器

1. 將 CSS 電腦加入網域。 2. 向 DC 申請「網頁伺服器」憑證,企業根 CA 在加入網域後會自動信任。 3. 安裝「設定存放區伺服器(CSS)」後,建立前後端防火牆陣列 DNS 名稱, 並於 DNS Server 上建立陣列名稱紀錄,IP 位址為內網卡 VIP 及 DMZ 網卡 VIP, 驗證方式採「SSL 驗證」 。 4. 將 CSS 電腦加入「企業遠端管理電腦組」 。

6


(3)後牆設定 1. 更改前後牆四台電腦名稱(增加 DNS 尾碼 air.com) 2. 前後牆必頇至 DC 執行信任 CA 之動作。(前牆電腦需先在路由表新增往 內部網路之路徑,透過後牆 NLB 陣列的 VIP:route –p add 192.168.0.0 mask 255.255.255.0 192.168.3.200)。 3. 安裝 ISA Server,步驟中需輸入 CSS 的 FQDN,並將前牆及後牆電腦分 別加入前牆或後牆陣列中,選擇「SSL 驗證」並設定內部網路 IP 範圍。 4. 前後牆電腦新增鏡像帳戶「IntraArray」作為監視前後牆陣列的管理 員。

7


(4)前後牆陣列啟動 1. 在 CSS 上啟動後端陣列「網路負載平衡整合」 ,執行修正程式將內部及 外部網路 NLB 模式設為「多點傳播模式」 (cscript kb938550x3wsf /array:BArray /nlb:multicast /net1:內部 /net2: 外部) 2. 啟用後端陣列負載平衡時,內外部 IP 位址採 VIP 設定。 3. 前牆亦做相同步驟

8


(5)開放防火牆流量設定 1. 開放前端節點至 CSS 之流量及 CSS 到前端陣列之流量 2. 開放連至 DNS 之流量 3. 開放前端兩節點至企業根 CA 所需之流量

<後牆>

9


<前牆>

10


Print Server (1)架設 Print Server 1. 安裝 IIS、列印伺服器服務 2. 新增印表機

11


(2)設定共用印表機 1. 開啟印表機的網路共用 2. 可利用群組原則將共用印表機部署給使用者電腦

12


(3)使用網芳連結印表機 利用網路芳鄰連至網域查看共用印表機

13


(4)使用網際網路連結印表機 1. 使用網路印表機來新增且需在 IIS 功能中額外加入網際網路列印服務 2. 選擇目錄上已設定好的共用印表機 3. 使用網路連結 Print Server 網頁輸入網域名稱認證 4. 選取共用印表機連線

14


15


Lab 心得 第一次作這樣不同實機的串連測試,實在是一項很有趣的挑戰。不同於在 自己的電腦上面架設整個環境,不同的電腦、不同的設備,在實際串連上會 遇到的問題實在是很難想像的。 由於我們這組在開始串機時,就已經陸續將不同電腦加入網域,導致 hub 以及網卡不時就出問題。前後加起來,我們多加入了兩張 D-Link 和兩張合勤 的網卡,以及兩台 Switch 來作測試,還是會有流量過大造成網卡停擺的現 象。所以只能暫時先停止對外網路的使用,以免造成電腦及網卡的負擔。 另外,在網域的名稱也遇到點小問題。居然有真的公司的網域名稱和我們 取相同,導致申請憑證時,電腦一直往外部去找那台神奇的”air.com”伺服 器(在對外網路還沒暫時中斷前),而且在測試網路連線時,還真的連上去了 那個不知道哪來的航空公司,讓測試半天不知道哪裡設定錯誤的我們哭笑不 得。 而不含電腦設備及架設分配上的調整所作的還原快照重架服務的次數 外,在驗收前一天就整個重頭架設兩次的我們,練習架設的經驗應該可以說 是十分”足夠”了。 今天回想起來,真的很佩服大家的毅力以及團結的態 度,也很感謝大家同心協力一起奮鬥到最後,讓這次的驗收能順利完成。 也特別感謝在驗收前一天砍掉企業 CA 讓大家體驗 24 小時地獄重架整個 Lab 的某組員!

16


網工83期MS-LAB第一組陳昱杉(ISA Server,Print Server)