Page 1

MSLAB 最後報告 TROUBLE SHOTING 指導老師: 戴有煒老師 劉家聖老師 楊宏文老師

網工班八十期

NAME:溫承凱

分區:DMZ


上次的報告結束後,從新考慮了接下來要進行的工作,決定把系統換成 2008, Server2008 中有內建一些建立 DMZ 區需要的功能,而這些功能在 2003 中是 需要自行安裝的,系統重灌完成後已經完成的部分也是整個重做,首先從安 裝需要的功能開始。


再來是解決驅動程式的問題,以網路卡的驅動優先。

這樣網路卡就算是 OK 了,PCI 的部分因為暫時不會用到就先不管他。


再來是網路連線的問 題。


把防火牆停用。

開始安裝需要的角色功能。


安裝完成。 路由器若是顯示停用,需要去服務中設定。


關閉 ICS。

安裝 DMZ 區需 要的功能。


安裝完成。

建立 DNS。


建立正向對應,注意取的名字會影響到網址。 建 立 F T P 。


於 IE 中連線 FTP。 餘命令提示字元中連 線 FTP。


開始建立 Web Farm。

建立共用資料夾。

建立使用者。


提升使用者。 提升使用者權限為參 與者。


建立子共用資料夾。

實體路徑設為共用資料夾。


實體路徑設置完成。


這時出現了一個問題。(如圖)

到服務內設定系統要求的服務項目。


所有虛擬機器的網路卡都使用和主機相同的實體網卡。 NLB:負載平衡的部分,我是使用 2008 內建的 NLB,也是有用 ISA 處理這一 段的作法,然而我對 ISA 沒興趣。


補上完整網際網路名稱。

繫結於站台。


錯誤 500,上網查了一 些文章,似乎是 ASP.Net 相關的問題,必須重新 開機才能解決。

接下來是 SSL 的部分。首先要申請 CA 憑證。

。下載控制項這段總是 要花很長的時間,猜測 是因為內部網路的硬體 不良有關


下載 CA 憑證連結。

選擇電腦用戶類。

將 WEB001 的憑證匯入 WEB002。


選擇要匯入的檔案,這裡選擇附檔名是 P7B 的。


選擇 CA 憑證存放區。

匯入完成。

最下方反白部分即是這次增加的 CA 憑證。


申請網

頁的憑證。


前往獨立根 CA 要求憑證。


將申請到的憑證建立於網頁。


建立 SSL 網頁。


無相同 CA 發給的憑證的主機連線至 SSL 網頁時會出現如上圖的錯誤。

有相同 CA 發給的憑證的主機連線至 SSL 網頁時會出現如上圖的結果。


檢視 SSL 網頁的憑證資料。

網頁憑證和 CA 憑證不相符合的結果。


將 WEB001 的網站憑證匯出。


把 WEB001 匯出的憑證匯入到 WEB002。


匯入成功後 WEB001 和 WEB002 將使用相同來源的網站憑證。


匯出 CA。


原本 SSL 的部分至此已經全部完成了,然而發放獨立根 CA 的主機在此時決 定砍掉重練,被告知我的 SSL 也要重新認證,於是把所有的憑證重新申請。 先申請 CA。


將 CA 下載。


將下載的 CA 匯入到信任的憑證授權。


可以看到 TWglass 的 CA 已經在授信任的憑證授權中建立了。


圖中是 IIS 中申請憑證的部分。


接下來是申請新的網站憑證。


將申請到的憑證匯入 IIS。


具備 SSL 的網站重建完成。


這張圖是在將 FTP 的完整網址設在 IIS 的 FTP 設定中。在 DNS 解析 FTP 網址 時會用到。

DMZ 總結: DMZ 區一般被稱為獨立區域,與總公司的內部網路相關連的部分相 對較少,在技術上來說也是比較簡單,通常會比總公司內部網域先 完成。

DMZ 區雖然是個相對來說較為獨立的區域,但是他終究是為了服務 總公司內部網域而存在的,在建立 DMZ 區時,必須先預想到完成後 和內部網域整合的問題。


DMZ 區和總公司內部網域關聯性最大的幾個部分,首先是 DMZ 區的 DNS 伺服器要和總公司內部網路的主要 DNS 伺服器相連,DMZ 區的 DNS 伺服器應指向總公司內部網路的主 DNS,總公司內部網路的主 DNS 應有 DMZ 區所有成員(如 Web Farm,FTP,SMTP relay 等)的 IP 和網址,在總公司內部網路的正向對應區域內,應有 DMZ 區的 DNS 正向對應區域內的所有主機的複寫。

DNS 之外還有預設閘道,DMZ 全體成員的預設閘道應指向防火牆(這 次 LAB 中防火牆使用的是 ISA,以下皆使用 ISA 代稱防火牆)開給 DMZ 區使用的通道,這通常是指一個 IP 位置,倘若 DMZ 區的全體成員的 預設閘道不是指向這個 IP,DMZ 區的網路封包無法進入總公司內部 網路。

DMZ 區內和總公司內部網路的第 3 個有重要聯繫的是 SMTP relay, SMTP relay 和總公司內部網路的 SMTP(這次 LAB 中使用的是 Exchange,以下皆已 Exchange 代稱)必須互相聯繫,這裡必須注意 進入和出來的 IP 是不同的,一個是設 Exchange 的叢集 IP,另一個 是設每台 Exchange 各自的 IP,智慧主機的設定也要注意,Exchange 端和 SMTP relay 端設定智慧主機的位置是不同的。


選擇建立 DMZ 區成員的軟體也是一件需要注意的事,我自己是選擇 IIS 和 FTP.exe 與 NLB 等 Server 2008 內建的程式,而課本上的作 法則是鼓勵我們使用 ISA 和 Exchange,雖然沒有什麼例子可以看, 自己摸索也沒有什麼困難,而課本上的作法則是一開始就會遇到 ISA 和 Exchange 的安裝問題,整合至總公司內部網路時也是一個問題, 之間的取捨必須好好考慮。

LAB 總結:  成員各自負責區域的選擇至為重要,非常現實的,最強的組 員必須被分配到整個 LAB 的關鍵點,以重要性和困難度來說, 1 是防火牆(ISA),2 是 VPN&RADIUS,3 是 AD 主機,這 3 樣 的比重都是 LAB 的其他部分無法相比的。

 首先說到 ISA,ISA 控制了整個系統的網路流通,這個部分 越早完成,其他組員的工作就能越早開始,ISA 一旦失敗, 整個 LAB 等於是半成品,這點是在 LAB 開始前就必須注意 的。

 再來是 VPN&RADIUS,這兩個部份由於建立時必須密切配合,


應將他們交給同一個(或是同一小隊)組員負責,VPN&RADIUS 控制了總公司和分公司之間的聯繫,總公司之中也有部分單 位是由 VPN 通過的,VPN&RADIUS 建立時還必須和 ISA 相配合, 因此必須把這項工作交給觀念清楚的組員。

 第三個是 AD 主機,一般看來他會是整個 LAB 的開始,然而 AD 和網域的建立在課堂上是老師們已經加入主要時數的部 分,因此要將 AD 主機建立至 LAB 中的其他成員能夠開始工 作的程度其實是比預計之中來的快,成功建立之後也不會像 ISA 一般掌控了其他成員的工作進度,因此我將他排到第 三。

 拓樸圖的部分,需要注意的是 LAB 中各單位實際連接的位置, 比如說 VPN 必須過雲端,所以 VPN 要畫的離雲朵近一點;以 及任務中實際會用到的機器數目和位置,比如說 WEB Farm 需要的機器,DFS 需要的機器,都要盡可能的畫清楚;此外, 打錯字絕對要避免,比如部署打成部屬;英文簡寫要注意大 小寫及縮寫,比如 Exchange。

 配置實體主機的時候,需要注意你的任務會用到效能到什麼


程度的主機,比如說建立 ISA 的主機 Ram 不可少於 8G,而建 立 DMZ 區的主機可能 4G Ram 就可以了。

 組員和組員之間盡可能保持可搜尋的狀態,避免其中有人失 聯了而其他人卻不知如何找起,集訓式合宿是一種解決方法, 但是使的組員失去太多個人空間會是個問題。

 該花的錢就要花,想省錢不想把電腦配備衝高只會苦了你自 己而已,整組人都不想花錢那就更尷尬了,除了主機之外, 該有的配備也不要省,沒網路線就買網路線,沒網路卡就買 網路卡,沒時間吃飯就叫外賣,沒地方放電腦就買房子。

最重要的一點,是你想在這次的 LAB 中學到什麼,所有的資 料都可以在課本+筆記+講義+學長的報告+google 中找到,把 這些全部都湊起來,差不多就是一個完整的系統了,IT 是一 門技術,然而高級網路工程師必須超越工匠的層次,過去的 資料可以幫你釐清觀念,只有用自己的做法做出來的 LAB 才 是真正屬與你自己的。


也有可能什麼都沒做出來就是了。

願你有個無悔的 MS LAB。

網工班八十期 MS LAB 個人報告 負責區域 DMZ NAME 溫承凱  

網工班八十期 MS LAB 個人報告 負責區域 DMZ NAME 溫承凱