VPN站台對站台的連線的驗收流程
Step1. 檢查總公司VPN站台對站台的設定
Step2. 總公司ISA前牆規則的發行
Step3. 中斷連線
Step4. 主動連線
Step5. 分公司驗收,角色對調
VPN Client連線的驗收流程
Step1. PPTP連線進入總公司
Step2. 申請憑證後L2TP連線進入總公司
總公司後牆NLB的驗收流程
Step1. 到兩台ISA開啟[遠端及路由存取]確認,VPN連線是由哪台負責
Step2. 關機負責VPN的那台,等待服務執行中
Step3. 讓接手的ISA主動連線
總公司前牆NLB的驗收流程
Step1. 運用外部網路隨便一台電腦開啟DMZ區網頁,戴老師指定的程式
Step2. 確定哪一台服務後關機
Step3. 再次開啟該網頁
總公司DMZ區Web驗收流程
Step1. 確認前牆Web Farm規則發行
Step2. 兩台Web Server同時關機,用外部網路電腦確定無法開啟網頁
Step3. 開啟其中一台Web Server,外部網路電腦確定可以成功開啟網頁
Step4. 關閉第一台Web Server後,清除外部網路電腦快取
Step5. 開啟另外一台Wev Server,外部網路電腦確定可以成功開啟網頁
Step6. 介紹Web Server的檔案系統模式(DFS or File Server)
總公司DMZ區FTP驗收流程
Step1. 確認前牆發行規則
總公司Exchange與DMZ區SMTP Relay驗收流程
Step1. 確認SMTP前牆與後牆所對應的相關規則與設定
Step2. 確認Exchange與SMTP Relay相關的規則
Step3. 確認OWA、Outlook、Outlook Express都可以正常收發信件
Step4. Push Mail是否成功
Step5. 叢集是否正常運作
DHCP驗收流程
Step1. 釋放IP,重新取得
Step2. 關閉配發IP那台的DHCP服務
Step3. 釋放IP,重新取得
Step4. 運用所MAC的方式,保留IP給特殊電腦
WINS驗收流程
Step1. 總公司用主機名稱的方式連線到分公司的電腦
Step2. 分公司用主機名稱的方式連線到總公司的電腦
Step3. 檢查WINS Server的表
WINS驗收流程
Step1. 總公司用FQDN的方式Ping到分公司的電腦
Step2. 分公司用FQDN的方式Ping到總公司的電腦
Step3. 檢查DNS Server的表
AD建置的驗收
Step1. 確認兩個不同站台,且總公司與分公司都有GC
Step2. 修改Schema,並立即站台對站台複寫
NAP的驗收
Step1. 確認強制關閉防火牆後,會被自動開啟
WSUS的驗收
Step1. 是否可以正常下載更新
Step2. 原則的發布設定
FCS的驗收
Step1. 部屬FCS與使用端
Step2. 強制掃描用戶端電腦及問題回報
備份的驗收
Step1. Backup的操作
其他
總公司內部網頁NLB
總公司內部網頁DFS複寫
--
文章總整理
http://life.iiietc.ncu.edu.tw/xms/content/show.php?id=25110
2009年11月20日 星期五
2009年11月18日 星期三
[MS_Lab] RADIUS & VPN Client
總公司:MainDC、CSS
分公司:BranchISA
總公司的RADIUS我們讓CSS擔任,
之後防火牆站台對站台連線,指定帳號認證給RADIUS
並且啟動VPN用戶端的服務,使用L2TP連線
CSS
1. 安裝網際網路驗證服務
2. 點選 [在AD中登入伺服器],確定有這台在服務
3. 把後端ISA加入RADIUS用戶端
4. 新增遠端存取原則給VPN Client
CSS管理ISAB
1. 修改VPN設定,使用RADIUS進行驗證
2. 啟用VPN用戶端服務,勾選L2TP協定
MainDC
1. 新增branch帳號
2. 允許VPN Client 帳號有撥入權限
* 網域等級必須在2000純粹模式以上才可以勾選VPN Client的撥入權限
BranchISA
1. VPN站台設定連線裡的網域打上lucky
防火牆的相關規則已經在稍前站台對站台VPN設定過了
這邊只是純粹把VPN的驗證授權給RADIUS,並且開放Client可以VPN進入總公司
分公司也用同樣的方法讓Client可以VPN進去分公司內部網路
只是分公司必須發行VPN伺服器,因為稍前並沒有相關設定
---------------------------------------------END-------------------------------------------------
分公司:BranchISA
總公司的RADIUS我們讓CSS擔任,
之後防火牆站台對站台連線,指定帳號認證給RADIUS
並且啟動VPN用戶端的服務,使用L2TP連線
CSS
1. 安裝網際網路驗證服務
2. 點選 [在AD中登入伺服器],確定有這台在服務
3. 把後端ISA加入RADIUS用戶端
4. 新增遠端存取原則給VPN Client
CSS管理ISAB
1. 修改VPN設定,使用RADIUS進行驗證
2. 啟用VPN用戶端服務,勾選L2TP協定
MainDC
1. 新增branch帳號
2. 允許VPN Client 帳號有撥入權限
* 網域等級必須在2000純粹模式以上才可以勾選VPN Client的撥入權限
BranchISA
1. VPN站台設定連線裡的網域打上lucky
防火牆的相關規則已經在稍前站台對站台VPN設定過了
這邊只是純粹把VPN的驗證授權給RADIUS,並且開放Client可以VPN進入總公司
分公司也用同樣的方法讓Client可以VPN進去分公司內部網路
只是分公司必須發行VPN伺服器,因為稍前並沒有相關設定
---------------------------------------------END-------------------------------------------------
[MS_Lab] NAP
分公司:MainDC、BranchDC、2008DC2、2008DHCP、2008NAP
BranchDC因為是使用2003為Base的,但是NAP必須存在於2008的網域環境
BranchDC必須adprep forest和domain,讓2008DC可以升級為網域控制站
Client端的限制也不少,必須XP SP3以上的作業系統
MainDC
1. 把網域功能等級提升至[Windows Server 2003]
如沒有提升,會無法跨網域尋找使用者加入跨網域的群組
2. 把very.lucky.com裡的administrator加入Schema admins
2. 把very.lucky.com裡的administrator加入Enterprise admins
BranchDC
1. adprep /forestprep
2. adprep /domainprep
2008DC2
1. dcpromo
2008DHCP、2008NAP
由於設定過於複雜,無法用一些點單的敘述表達
不過幾個重點在建置時還是要注意
1. DNS指向2008DC2,有些原則必須要用2008才能開啟
2. 用戶端要加入網域時也必須是指向2008DC2
3. 2003為基礎的環境DC的schema和網域等級要特別注意
4. 環境越複雜,越難去處理這個服務,部分機制會被破壞掉
以上實驗參閱
Windows Server 2008 網路管理與IIS架站 戴有煒 著
BranchDC因為是使用2003為Base的,但是NAP必須存在於2008的網域環境
BranchDC必須adprep forest和domain,讓2008DC可以升級為網域控制站
Client端的限制也不少,必須XP SP3以上的作業系統
MainDC
1. 把網域功能等級提升至[Windows Server 2003]
如沒有提升,會無法跨網域尋找使用者加入跨網域的群組
2. 把very.lucky.com裡的administrator加入Schema admins
2. 把very.lucky.com裡的administrator加入Enterprise admins
BranchDC
1. adprep /forestprep
2. adprep /domainprep
2008DC2
1. dcpromo
2008DHCP、2008NAP
由於設定過於複雜,無法用一些點單的敘述表達
不過幾個重點在建置時還是要注意
1. DNS指向2008DC2,有些原則必須要用2008才能開啟
2. 用戶端要加入網域時也必須是指向2008DC2
3. 2003為基礎的環境DC的schema和網域等級要特別注意
4. 環境越複雜,越難去處理這個服務,部分機制會被破壞掉
以上實驗參閱
Windows Server 2008 網路管理與IIS架站 戴有煒 著
[MS_Lab] WSUS & FCS 部屬
總公司:MainDC、WSUS
WSUS
1. 網路設定為總公司內部網路,加入網域從開機後,用網域帳號登入
2. 安裝IIS、ASP.NET
3. 安裝SQL選擇安裝
[SQL Server Database Services]
[Reporting Services]
[Integration Services]
[工作站元件、線上叢書、開發工具]
4. 安裝SQL SP3
5. 安裝GPMC SP1
6. 安裝Report Viewer 2008
7. 安裝WSUS 3.0 SP2
勾選[使用這部電腦現有的資料庫伺服器]
[產品選擇],勾選[Forefront Client Security]
[選擇分類],勾選[更新],FCS Client的軟體是屬於微軟的更新項目
8. 安裝FCS Server
勾選[分佈伺服器]
9. 發佈WSUS群組原則
系統管理範本 --> Windows元件 -->Windows Update
[設定自動更新]
[指定內部網路Micosoft更新服務的位置],給WSUS
[允許立即安裝自動更新]
10. 發佈FCS群組原則
WSUS
1. 網路設定為總公司內部網路,加入網域從開機後,用網域帳號登入
2. 安裝IIS、ASP.NET
3. 安裝SQL選擇安裝
[SQL Server Database Services]
[Reporting Services]
[Integration Services]
[工作站元件、線上叢書、開發工具]
4. 安裝SQL SP3
5. 安裝GPMC SP1
6. 安裝Report Viewer 2008
7. 安裝WSUS 3.0 SP2
勾選[使用這部電腦現有的資料庫伺服器]
[產品選擇],勾選[Forefront Client Security]
[選擇分類],勾選[更新],FCS Client的軟體是屬於微軟的更新項目
8. 安裝FCS Server
勾選[分佈伺服器]
9. 發佈WSUS群組原則
系統管理範本 --> Windows元件 -->Windows Update
[設定自動更新]
[指定內部網路Micosoft更新服務的位置],給WSUS
[允許立即安裝自動更新]
10. 發佈FCS群組原則
2009年11月16日 星期一
[MS_Lab] SMTP Relay & OWA
總公司:EXG1、EXG2、ISAB、ISAF
DMZ區:SMTP Relay、DNS
在DMZ區安裝SMTP伺服器主要是在於他Relay的功能,
當作公司內部EXG的智慧主機,以避免EXG暴露於Internet遭受直接的攻擊
並且在防火牆開放與發行相關規則,OWA
ISAB
1. 開放SMTP與總公司網域控制站之間AD流量
[DNS]、[LDAP]、[LDAP(UDP)]、[LDAP GCP(通用類別目錄)]
[Kerberos-Adm(UDP)]、[Kerberos-Sec(TCP)]、[Kerberos-Sec(UDP)]
[Microsoft CIFS(TCP)]、[NTP(UDP)]、[RPC(所有界面)]
2. 開放內部到外部的DNS要求
3. 開放內部到外部之間的POP3要求
4. 開放內部到外的SMTP要求
5. 開放SMTP Relay到Exchange伺服器之間的SMTP要求
SMTP Relay
1. 將網路設定到DMZ區網路,安裝SMTP服務
2. # route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.250
3. 加到網域後重新開機後,請用網域帳號登入
4. 設定內收轉寄相關選項
確認存取控制的授權有 [允許匿名存取]
IIS管理員新增SMTP網域lucky.com,並且允許將接收郵件轉寄此網域
轉送所有郵件至智慧主機的IP為兩台EXG的VIP[192.168.5.5]
5.設定外送轉寄相關選項
確認存取控制的授權有勾選 [整合的Windowsu驗證]
轉接限制的部分加入兩台EXG的DIP,不行用VIP
勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]
* 關於route table一定要新增這筆記錄,因為SMTP預設閘道為192.168.6.240前牆的DMZ卡
就算他知道.5.0的封包要往後牆丟也沒用,前牆會認為這是規則外的封包
所以就不傳了,因為前牆沒有開放AD相關流量,所以當封包到前牆的DMZ卡的時候
就會被認定為非法封包,丟
EXG1、EXG2
1. 打開EXG系統管理員裡的伺服器去設定 [預設SMTP虛擬伺服器]
確認存取控制的授權有 [整合的Windowsu驗證]
勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]
傳遞的進階傳遞裡智慧主機填入[192.168.6.6],中括號一定要有
DNS
1. 新增一筆MX的紀錄 smtp.lukcy.com 192.168.168.240
ISAF
1. 發行DMZ SMTP Relay
2. 發行內部POP3伺服器
3. 開放內部到外部的SMTP與POP3要求
4. 開放內部到外部的DNS要求
以上設定結束後,便可將郵件外送,外面郵件也可內寄
接著發行Exchange OWA
ISAF
1. 新增一個外部VIP,192.168.168.239
2. [發行Exchange網頁用戶端存取],全勾
監聽程式的驗證裡的進階,勾選[允許透過HTTP進行用戶端驗證]
驗證委派的地方選擇[沒有委派,但用戶端可以直接驗證]
ISAB
1. 開放ISAF到Exchange的網頁流量
DMZ區:SMTP Relay、DNS
在DMZ區安裝SMTP伺服器主要是在於他Relay的功能,
當作公司內部EXG的智慧主機,以避免EXG暴露於Internet遭受直接的攻擊
並且在防火牆開放與發行相關規則,OWA
ISAB
1. 開放SMTP與總公司網域控制站之間AD流量
[DNS]、[LDAP]、[LDAP(UDP)]、[LDAP GCP(通用類別目錄)]
[Kerberos-Adm(UDP)]、[Kerberos-Sec(TCP)]、[Kerberos-Sec(UDP)]
[Microsoft CIFS(TCP)]、[NTP(UDP)]、[RPC(所有界面)]
2. 開放內部到外部的DNS要求
3. 開放內部到外部之間的POP3要求
4. 開放內部到外的SMTP要求
5. 開放SMTP Relay到Exchange伺服器之間的SMTP要求
SMTP Relay
1. 將網路設定到DMZ區網路,安裝SMTP服務
2. # route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.250
3. 加到網域後重新開機後,請用網域帳號登入
4. 設定內收轉寄相關選項
確認存取控制的授權有 [允許匿名存取]
IIS管理員新增SMTP網域lucky.com,並且允許將接收郵件轉寄此網域
轉送所有郵件至智慧主機的IP為兩台EXG的VIP[192.168.5.5]
5.設定外送轉寄相關選項
確認存取控制的授權有勾選 [整合的Windowsu驗證]
轉接限制的部分加入兩台EXG的DIP,不行用VIP
勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]
* 關於route table一定要新增這筆記錄,因為SMTP預設閘道為192.168.6.240前牆的DMZ卡
就算他知道.5.0的封包要往後牆丟也沒用,前牆會認為這是規則外的封包
所以就不傳了,因為前牆沒有開放AD相關流量,所以當封包到前牆的DMZ卡的時候
就會被認定為非法封包,丟
EXG1、EXG2
1. 打開EXG系統管理員裡的伺服器去設定 [預設SMTP虛擬伺服器]
確認存取控制的授權有 [整合的Windowsu驗證]
勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]
傳遞的進階傳遞裡智慧主機填入[192.168.6.6],中括號一定要有
DNS
1. 新增一筆MX的紀錄 smtp.lukcy.com 192.168.168.240
ISAF
1. 發行DMZ SMTP Relay
2. 發行內部POP3伺服器
3. 開放內部到外部的SMTP與POP3要求
4. 開放內部到外部的DNS要求
以上設定結束後,便可將郵件外送,外面郵件也可內寄
接著發行Exchange OWA
ISAF
1. 新增一個外部VIP,192.168.168.239
2. [發行Exchange網頁用戶端存取],全勾
監聽程式的驗證裡的進階,勾選[允許透過HTTP進行用戶端驗證]
驗證委派的地方選擇[沒有委派,但用戶端可以直接驗證]
ISAB
1. 開放ISAF到Exchange的網頁流量
2009年11月15日 星期日
[MS_Lab] Web Farm & File Server(RAID 5)
DMZ區:DMZWeb1、DMZWeb2、FileServer、ISAF
DMZWeb1、DMZWeb2透過ISA Server發行Web Farm陣列來達到NLB的效果
DMZWeb1、DMZWeb2透過FileServer讀取共同資源,讓網頁內容一致
FileServer運用RAID5技術讓讀取更為快速,且達到資料容錯效果
FileServer
1. 新增三顆同樣大小的硬碟
2. 磁碟管理,初始化連線後轉為動態
指定為RAID 5 ,等待同步化結束
3. 在RAID5磁碟創造網頁根目錄 "www" 並共享,共享權限Full Control
DMZWeb1、DMZWeb2
1. 安裝IIS
2. 根目錄指定到FileServer所共享的目錄,\\fileserver\www
ISAF
1. 伺服器陣列新增一筆陣列 "網頁農場",並加入兩個DMZWeb
2. 發行負載平衡的Web伺服器的伺服器陣列
DMZWeb1、DMZWeb2透過ISA Server發行Web Farm陣列來達到NLB的效果
DMZWeb1、DMZWeb2透過FileServer讀取共同資源,讓網頁內容一致
FileServer運用RAID5技術讓讀取更為快速,且達到資料容錯效果
FileServer
1. 新增三顆同樣大小的硬碟
2. 磁碟管理,初始化連線後轉為動態
指定為RAID 5 ,等待同步化結束
3. 在RAID5磁碟創造網頁根目錄 "www" 並共享,共享權限Full Control
DMZWeb1、DMZWeb2
1. 安裝IIS
2. 根目錄指定到FileServer所共享的目錄,\\fileserver\www
ISAF
1. 伺服器陣列新增一筆陣列 "網頁農場",並加入兩個DMZWeb
2. 發行負載平衡的Web伺服器的伺服器陣列
2009年11月14日 星期六
[MS_Lab] Web NLB & DFS
總公司:MainDC、MainWeb1、MainWeb2、MainSpace
這邊使用的DFS為2003 R2版本之後的DFS
MainWeb1、MainWeb2、MainSpace升級為R2
MainSpace為命名空間用,拓樸上沒有,可以隨機指定任何一台安裝
MainDC使用2003非R2時會有錯誤訊息,文章後面會補上解決方法
MainWeb1、MainWeb2的NLB設定
1. 加入網域後,安裝IIS
2. 在MainWeb1開啟網路負載管理員,新增叢集
IP 192.168.5.22,為兩Web的虛擬IP
完整網域名稱空白,直接去MainDC登記一筆共用的FQDN
其他叢集IP空白,連接埠規則直接下一步
連線主機打MainWeb1的FQDN,選擇LAN網卡
其他預設,完成後等待
3. 新增叢集主機MainWeb2
連線主機打MainWeb1的FQDN,選擇LAN網卡
其他預設,完成後等待
* 這邊會有奇怪的現象,在新增第二台的時候會找不到網卡
會有一張網卡被吃掉,一定是第一張網卡,所以對調一下網卡的順序就可以解決
MainWeb1、MainWeb2的DFS設定
1. 安裝 [Distributed File System],安裝R2後多出來的那個DFS
同時系統會自動勾選 [.Net Framework 2.0] ,要點時間安裝
2. 將C:\Inetpub\wwwroot勾選共用,共用權限設定Full Control
MainSpace
1. 安裝 [Distributed File System],安裝R2後多出來的那個DFS
同時系統會自動勾選 [.Net Framework 2.0] ,要點時間安裝
2. 開啟[DFS管理],[新增名稱區]
名稱區伺服器,MainSpace這台
名稱區名稱及設定,webspace
名稱區類型,以網域為基礎的名稱區
3. 在新增的名稱區內新增 [新資料夾]
名稱 ,www
資料夾目標\\mainweb1\wwwroot、\\mainweb2\wwwroot
4. 複寫設定,採預設選項到完成
* 如果架設網域的DC是2003非R2等級以上的作業系統的話,複寫設定會產生錯誤
主要是Schema的地方有不相容的部分
放入2008光碟 到D:\sources\adprep,執行 adprep /forestprep
/forestPrep 更新樹系資訊,必須在架構角色主機上執行
PS 2003 R2那張光碟應該也有類似的東西,我們採用2008光碟的解法
這邊使用的DFS為2003 R2版本之後的DFS
MainWeb1、MainWeb2、MainSpace升級為R2
MainSpace為命名空間用,拓樸上沒有,可以隨機指定任何一台安裝
MainDC使用2003非R2時會有錯誤訊息,文章後面會補上解決方法
MainWeb1、MainWeb2的NLB設定
1. 加入網域後,安裝IIS
2. 在MainWeb1開啟網路負載管理員,新增叢集
IP 192.168.5.22,為兩Web的虛擬IP
完整網域名稱空白,直接去MainDC登記一筆共用的FQDN
其他叢集IP空白,連接埠規則直接下一步
連線主機打MainWeb1的FQDN,選擇LAN網卡
其他預設,完成後等待
3. 新增叢集主機MainWeb2
連線主機打MainWeb1的FQDN,選擇LAN網卡
其他預設,完成後等待
* 這邊會有奇怪的現象,在新增第二台的時候會找不到網卡
會有一張網卡被吃掉,一定是第一張網卡,所以對調一下網卡的順序就可以解決
MainWeb1、MainWeb2的DFS設定
1. 安裝 [Distributed File System],安裝R2後多出來的那個DFS
同時系統會自動勾選 [.Net Framework 2.0] ,要點時間安裝
2. 將C:\Inetpub\wwwroot勾選共用,共用權限設定Full Control
MainSpace
1. 安裝 [Distributed File System],安裝R2後多出來的那個DFS
同時系統會自動勾選 [.Net Framework 2.0] ,要點時間安裝
2. 開啟[DFS管理],[新增名稱區]
名稱區伺服器,MainSpace這台
名稱區名稱及設定,webspace
名稱區類型,以網域為基礎的名稱區
3. 在新增的名稱區內新增 [新資料夾]
名稱 ,www
資料夾目標\\mainweb1\wwwroot、\\mainweb2\wwwroot
4. 複寫設定,採預設選項到完成
* 如果架設網域的DC是2003非R2等級以上的作業系統的話,複寫設定會產生錯誤
主要是Schema的地方有不相容的部分
放入2008光碟 到D:\sources\adprep,執行 adprep /forestprep
/forestPrep 更新樹系資訊,必須在架構角色主機上執行
PS 2003 R2那張光碟應該也有類似的東西,我們採用2008光碟的解法
[MS_Lab] Exchange Cluster
總公司:MainDC、EXG1、EXG2、MS
網路環境:總公司內部、Heartbeat、Target
EXG1 、EXG2 準備三張網卡 LAN、Heartbeat、Target
MainDC
1. AD使用者及電腦,建立叢集共用帳號 ExgCluster
EXG1
1. 設定三張網卡
LAN
IP 192.168.5.3/24
DG 192.168.5.250
DNS 192.168.5.1
Heartbeat
IP 192.168.4.1/24
Target
IP 192.168.3.1/24
2. 加入網域重新開機
3. 用網域帳號登入後,安裝iSCSI Initiator
EXG2
1. 設定三張網卡
LAN
IP 192.168.5.4/24
DG 192.168.5.250
DNS 192.168.5.1
Heartbeat
IP 192.168.4.2/24
Target
IP 192.168.3.2/24
2. 加入網域重新開機
3. 用網域帳號登入後,安裝iSCSI Initiator
MS
1. 新增兩顆硬碟,Q(quorum)512MB、R(data)2GB
2. 開機後初始化並連線,不要轉動態也不給予磁碟機代號
3. MS設定為Target網路 IP 192.168.3.3/24
4. 安裝WinTarget,並設定如下
Host右鍵新增主機,點選Advanced,選取用IP指定主機
兩台EXG都必須加入
Device右鍵創造磁碟,兩個EXG結點都加入
先創仲裁磁碟,再創資料碟,忽略警告視窗
以上基本設定結束,以下設定必須要確實關機沒有指定到電腦
EXG1、EXG2
0. MS關機
1. 開啟網路連線視窗,進階功能表內的進階設定,改網卡順序
LAN、Target、Heartbeat,讓Heartbeat可以嚴密監控叢集的對方
2. Heartbeat網卡進去IP設定的進階
DNS,把勾勾拿掉
[在DNS中登錄這個連線網路的位址]
[在DNS登入中使用這個連線的DNS尾碼]
WINS,選取
[停用 NetBIOS Over TCP/IP]
3. EXG2關機
EXG1、MS
0. MS開機
1. EXG1存取iSCSI共用磁碟,打開iSCSI Initiator
Discovery標籤,新增MS那台的IP 192.168.3.3
Targets標籤,選區清單的物件後點選Log on,並勾選
[Automatically restore this connection when the system boots]
2. EXG1開啟磁碟管理,初始化並連線且不轉為動態,
格式化的同時,給予磁碟機代號Quorum(Q:)、Data(R:)
3. 等個1分鐘後關閉EXG1
EXG2、MS
0. EXG2開機
1. EXG2存取iSCSI共用磁碟,打開iSCSI Initiator
Discovery標籤,新增MS那台的IP 192.168.3.3
Targets標籤,選區清單的物件後點選Log on,並勾選
[Automatically restore this connection when the system boots]
2. EXG2開啟磁碟管理,初始化並連線且不轉為動態,
不用格式化,直接給予磁碟機代號Quorum(Q:)、Data(R:)
3. 等個1分鐘後關閉EXG2
EXG1、MS
0. EXG1開機,用網域Administrator帳號登入
1. 開啟叢集系統管理員,建立新叢集,叢集IP 192.168.5.6
帳號用MainDC新增的共用帳號 ExgCluster
並確認仲裁磁碟為Disk Q:
EXG1、EXG2、MS
0. EXG2開機
1. 在EXG1的叢集系統管理員新增節點EXG2
密碼為ExgCluster帳號的密碼
2. 加入後,修改叢集設定網卡優先順序,Heartbeat為最優先,以便嚴密監控
並且設定Heartbeat為[只供內部叢集通訊使用(私人網路)]
3. 安裝Exchange 四大元件 IIS、ASP.NET、NNTP、SMTP,一台一台裝
4. 回去叢集系統管理員,自動多出[MSDTC],讓他上線
沒有自動多出就請手動新增
EXG1、EXG2
1. EXG1安裝Exchange Server 2003,確認完全安裝結束後在安裝EXG2
2. EXG2安裝Exchange Server 2003
3. EXG1安裝SP2
4. EXG2安裝SP2
*如果先集中裝一台會出現一些版本不符合的錯誤訊息
Exchange虛擬伺服器
1. 群組右鍵新增群組 "群組Exchange",不須指定慣用擁有者
2. 新增資源,擁有者要確定為兩台Exchange Server
[IP位置],為兩台Exchange的虛擬IP,192.168.5.5
[網路名稱],FQDN用的,"MAIL",資源依存性選擇 "IP位置"
將 [群組 0] 內的 [磁碟R] 拖移到 [群組 Exchange]內
3. 整個群組上線,等一下
4. 新增資源,擁有者要確定為兩台Exchange Server
[Microsoft Exchange System Attendant],資源依存性 [網路名稱] 和 [磁碟R]
5. 等待,上線,等待
6. 開啟POP3,到 [服務] 設定 [Microsoft Exchange POP3] 為手動且啟動
Exchange預設為停用POP3
7. 新增資源,擁有者要確定為兩台Exchange Server
[Microsoft Exchange POP3 Server],資源依存性 [Microsoft Exchange System Attendant]
8. 上線
網路環境:總公司內部、Heartbeat、Target
EXG1 、EXG2 準備三張網卡 LAN、Heartbeat、Target
MainDC
1. AD使用者及電腦,建立叢集共用帳號 ExgCluster
EXG1
1. 設定三張網卡
LAN
IP 192.168.5.3/24
DG 192.168.5.250
DNS 192.168.5.1
Heartbeat
IP 192.168.4.1/24
Target
IP 192.168.3.1/24
2. 加入網域重新開機
3. 用網域帳號登入後,安裝iSCSI Initiator
EXG2
1. 設定三張網卡
LAN
IP 192.168.5.4/24
DG 192.168.5.250
DNS 192.168.5.1
Heartbeat
IP 192.168.4.2/24
Target
IP 192.168.3.2/24
2. 加入網域重新開機
3. 用網域帳號登入後,安裝iSCSI Initiator
MS
1. 新增兩顆硬碟,Q(quorum)512MB、R(data)2GB
2. 開機後初始化並連線,不要轉動態也不給予磁碟機代號
3. MS設定為Target網路 IP 192.168.3.3/24
4. 安裝WinTarget,並設定如下
Host右鍵新增主機,點選Advanced,選取用IP指定主機
兩台EXG都必須加入
Device右鍵創造磁碟,兩個EXG結點都加入
先創仲裁磁碟,再創資料碟,忽略警告視窗
以上基本設定結束,以下設定必須要確實關機沒有指定到電腦
EXG1、EXG2
0. MS關機
1. 開啟網路連線視窗,進階功能表內的進階設定,改網卡順序
LAN、Target、Heartbeat,讓Heartbeat可以嚴密監控叢集的對方
2. Heartbeat網卡進去IP設定的進階
DNS,把勾勾拿掉
[在DNS中登錄這個連線網路的位址]
[在DNS登入中使用這個連線的DNS尾碼]
WINS,選取
[停用 NetBIOS Over TCP/IP]
3. EXG2關機
EXG1、MS
0. MS開機
1. EXG1存取iSCSI共用磁碟,打開iSCSI Initiator
Discovery標籤,新增MS那台的IP 192.168.3.3
Targets標籤,選區清單的物件後點選Log on,並勾選
[Automatically restore this connection when the system boots]
2. EXG1開啟磁碟管理,初始化並連線且不轉為動態,
格式化的同時,給予磁碟機代號Quorum(Q:)、Data(R:)
3. 等個1分鐘後關閉EXG1
EXG2、MS
0. EXG2開機
1. EXG2存取iSCSI共用磁碟,打開iSCSI Initiator
Discovery標籤,新增MS那台的IP 192.168.3.3
Targets標籤,選區清單的物件後點選Log on,並勾選
[Automatically restore this connection when the system boots]
2. EXG2開啟磁碟管理,初始化並連線且不轉為動態,
不用格式化,直接給予磁碟機代號Quorum(Q:)、Data(R:)
3. 等個1分鐘後關閉EXG2
EXG1、MS
0. EXG1開機,用網域Administrator帳號登入
1. 開啟叢集系統管理員,建立新叢集,叢集IP 192.168.5.6
帳號用MainDC新增的共用帳號 ExgCluster
並確認仲裁磁碟為Disk Q:
EXG1、EXG2、MS
0. EXG2開機
1. 在EXG1的叢集系統管理員新增節點EXG2
密碼為ExgCluster帳號的密碼
2. 加入後,修改叢集設定網卡優先順序,Heartbeat為最優先,以便嚴密監控
並且設定Heartbeat為[只供內部叢集通訊使用(私人網路)]
3. 安裝Exchange 四大元件 IIS、ASP.NET、NNTP、SMTP,一台一台裝
4. 回去叢集系統管理員,自動多出[MSDTC],讓他上線
沒有自動多出就請手動新增
EXG1、EXG2
1. EXG1安裝Exchange Server 2003,確認完全安裝結束後在安裝EXG2
2. EXG2安裝Exchange Server 2003
3. EXG1安裝SP2
4. EXG2安裝SP2
*如果先集中裝一台會出現一些版本不符合的錯誤訊息
Exchange虛擬伺服器
1. 群組右鍵新增群組 "群組Exchange",不須指定慣用擁有者
2. 新增資源,擁有者要確定為兩台Exchange Server
[IP位置],為兩台Exchange的虛擬IP,192.168.5.5
[網路名稱],FQDN用的,"MAIL",資源依存性選擇 "IP位置"
將 [群組 0] 內的 [磁碟R] 拖移到 [群組 Exchange]內
3. 整個群組上線,等一下
4. 新增資源,擁有者要確定為兩台Exchange Server
[Microsoft Exchange System Attendant],資源依存性 [網路名稱] 和 [磁碟R]
5. 等待,上線,等待
6. 開啟POP3,到 [服務] 設定 [Microsoft Exchange POP3] 為手動且啟動
Exchange預設為停用POP3
7. 新增資源,擁有者要確定為兩台Exchange Server
[Microsoft Exchange POP3 Server],資源依存性 [Microsoft Exchange System Attendant]
8. 上線
2009年11月13日 星期五
[MS_Lab] DHCP & DHCP Relay Angent
總公司:MainDC、MainDC2
分公司:BranchDC
這邊只建置總公司的DHCP Relay Angent,分公司因為存在著NAP
且DHCP為強制執行點,Relay Angent的異地備援機制會失效
這邊同時整合DNS與WINS的分配,為分擔MainDC擔任GC的重擔
優先配發MainDC2上面的DNS和WINS服務,最後才考慮異地備援
MainDC為DHCP Relay Angent執行點,可以減輕MainDC的負擔
MainDC2
1. 安裝DHCP
2. 新增領域 192.168.5.51~200
路由 192.168.5.250
DNS 192.168.5.2、192.168.5.1、192.168.10.1
WINS 192.168.5.2、192.168.5.1、192.168.10.1
3. 授權並啟動領域
BranchDC
1. 安裝DHCP
2. 與MainDC2上的DHCP設定完全一樣
新增領域 192.168.5.51~200
路由 192.168.5.250
DNS 192.168.5.2、192.168.5.1、192.168.10.1
WINS 192.168.5.2、192.168.5.1、192.168.10.1
3. 授權並啟動領域
4. 等待授權成功,要一點時間
MainDC
1. 開啟路由及遠端存取,新增路由通訊協定[DHCP轉接代理]
2. 設定分公司DHCP伺服器位置 192.168.10.1
3. 新增介面[區域連線]
分公司:BranchDC
這邊只建置總公司的DHCP Relay Angent,分公司因為存在著NAP
且DHCP為強制執行點,Relay Angent的異地備援機制會失效
這邊同時整合DNS與WINS的分配,為分擔MainDC擔任GC的重擔
優先配發MainDC2上面的DNS和WINS服務,最後才考慮異地備援
MainDC為DHCP Relay Angent執行點,可以減輕MainDC的負擔
MainDC2
1. 安裝DHCP
2. 新增領域 192.168.5.51~200
路由 192.168.5.250
DNS 192.168.5.2、192.168.5.1、192.168.10.1
WINS 192.168.5.2、192.168.5.1、192.168.10.1
3. 授權並啟動領域
BranchDC
1. 安裝DHCP
2. 與MainDC2上的DHCP設定完全一樣
新增領域 192.168.5.51~200
路由 192.168.5.250
DNS 192.168.5.2、192.168.5.1、192.168.10.1
WINS 192.168.5.2、192.168.5.1、192.168.10.1
3. 授權並啟動領域
4. 等待授權成功,要一點時間
MainDC
1. 開啟路由及遠端存取,新增路由通訊協定[DHCP轉接代理]
2. 設定分公司DHCP伺服器位置 192.168.10.1
3. 新增介面[區域連線]
[MS_Lab] WINS & DNS
總公司:MainDC、MainDC2
分公司:BranchDC
在網域控制站升級的同時所有網域控制站都有加裝DNS的服務
MainDC
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.5.1
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.2、192.168.10.1
5. 執行[立即複寫],讓彼此同步
MainDC2
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.5.2
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.1、192.168.10.1
5. 執行[立即複寫],讓彼此同步
BranchDC
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.10.1
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.1、192.168.5.2
5. 執行[立即複寫],讓彼此同步
接著DNS的設定
MainDC2
1. MainDC為Active Directory主要整合區,且DC2為同一網域的網域控制站
所以一段時間後會自動複寫
2. 將[基礎結構操作主機]移到MainDC2,因為此操作主機不相容GC
BranchDC
1. 確認站台對站台複寫時只複寫了 _maindc.lucky.com.
2. 手動新增主網域的次要區域 lucky.com
3. 到MainDC手動允許轉送區域
4. 確認轉送成功
*此時可以將分司所有的機器指向分公司的DNS
若沒建立該次要區域,指向分公司DNS的機器欲加入網域,會找不到伺服器
分公司:BranchDC
在網域控制站升級的同時所有網域控制站都有加裝DNS的服務
MainDC
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.5.1
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.2、192.168.10.1
5. 執行[立即複寫],讓彼此同步
MainDC2
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.5.2
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.1、192.168.10.1
5. 執行[立即複寫],讓彼此同步
BranchDC
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.10.1
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.1、192.168.5.2
5. 執行[立即複寫],讓彼此同步
接著DNS的設定
MainDC2
1. MainDC為Active Directory主要整合區,且DC2為同一網域的網域控制站
所以一段時間後會自動複寫
2. 將[基礎結構操作主機]移到MainDC2,因為此操作主機不相容GC
BranchDC
1. 確認站台對站台複寫時只複寫了 _maindc.lucky.com.
2. 手動新增主網域的次要區域 lucky.com
3. 到MainDC手動允許轉送區域
4. 確認轉送成功
*此時可以將分司所有的機器指向分公司的DNS
若沒建立該次要區域,指向分公司DNS的機器欲加入網域,會找不到伺服器
[MS_Lab] Domain Controller
總公司:MainDC、MainDC2
分公司:BranchDC
網路環境:總公司內部網路、分公司內部網路
當站台對站台VPN建立的同時
防火牆規則會自動開放VPN與內部所有流量
網路規則也會變成路由規則
MainDC
0. 防火牆建置的時候,已經先將MainDC升級為Domain Controller了
1. 到DNS管理介面檢察相關_ldap是否有啟動
2. 利用Active Directory 站台及服務來建立兩個站台
建立子網路192.168.5.0/24、192.168.6.0/24屬於總公司站台
建立子網路192.168.10.1/24屬於分公司站台
3. 建立站台聯結
4. 把Default-First-Site-Name內的MainDC拉近總公司站台內
MainDC2
1. 將MainDC2設定為總公司內部網路,升級為第二台網域控制站
2. AD站台及服務可以看到MainDC2會自動放到總公司站台內
BranchDC
1. 安裝DNS服務
2. 將DNS設定指向MainDC的DNS後,升級為子網域的第一台網域控制站
3. AD站台及服務可以看到BranchDC會自動放到分公司站台內
4. 等待MainDC與BranchDC之間的[物件連結]自動建立完成
5. 等待MainDC內DNS紀錄複製到BranchDC內
6. 紀錄複寫過來後,將慣用DNS伺服器指向自己192.168.10.1
7. 分公司所有電腦慣用DNS伺服器都指向BranchDC 192.168.10.1
*分公司重新開機後幾次後,可以加速自動複寫
這一階段結束後
分開總公司內部、總公司DMZ區、分公司內部三個部分一起建置
分公司:BranchDC
網路環境:總公司內部網路、分公司內部網路
當站台對站台VPN建立的同時
防火牆規則會自動開放VPN與內部所有流量
網路規則也會變成路由規則
MainDC
0. 防火牆建置的時候,已經先將MainDC升級為Domain Controller了
1. 到DNS管理介面檢察相關_ldap是否有啟動
2. 利用Active Directory 站台及服務來建立兩個站台
建立子網路192.168.5.0/24、192.168.6.0/24屬於總公司站台
建立子網路192.168.10.1/24屬於分公司站台
3. 建立站台聯結
4. 把Default-First-Site-Name內的MainDC拉近總公司站台內
MainDC2
1. 將MainDC2設定為總公司內部網路,升級為第二台網域控制站
2. AD站台及服務可以看到MainDC2會自動放到總公司站台內
BranchDC
1. 安裝DNS服務
2. 將DNS設定指向MainDC的DNS後,升級為子網域的第一台網域控制站
3. AD站台及服務可以看到BranchDC會自動放到分公司站台內
4. 等待MainDC與BranchDC之間的[物件連結]自動建立完成
5. 等待MainDC內DNS紀錄複製到BranchDC內
6. 紀錄複寫過來後,將慣用DNS伺服器指向自己192.168.10.1
7. 分公司所有電腦慣用DNS伺服器都指向BranchDC 192.168.10.1
*分公司重新開機後幾次後,可以加速自動複寫
這一階段結束後
分開總公司內部、總公司DMZ區、分公司內部三個部分一起建置
2009年11月12日 星期四
[MS_Lab] ISA Server Back to Back & Site to Site VPN
總公司:MainDC、CSS(並且安裝獨立CA)、後牆兩面、前牆兩面
DMZ區:DNS
分公司:BranchDC、分公司牆
網路環境:總公司內部、總公司DMZ網路、外部網路、分公司內部
CSS存放區主要在存放前後兩牆的規則並且控制前後端防火牆NLB
CSS安裝獨立CA主要是,ISA與CSS分開安裝,需要透過憑證才能溝通
MainDC升級時順便安裝DNS服務,因為ISA與CSS溝通需要用FQDN
MainDC和BranchDC會另做說明
DNS為對外提供服務的DNS伺服器
MainDC
1. 將MainDC設定為總公司內部網路,升級
2. 在MainDC內安裝企業根CA,作為VPN Site to Site L2TP加密用憑證
CSS
1. 將CSS設定為總公司內部網路,加入網域後重新開機
主要用意在於DNS的紀錄,所以請確定已存在
2. 安裝獨立根CA,並且申請憑證(必須使用CSS的FQDN),安裝憑證
申請憑證請注意兩個選項,請務必勾選
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
3. 執行MMC,並匯出金鑰含私密金鑰
4. 安裝CSS,安裝過程請選擇第四步驟的金鑰,結束後重新開機
5. 建立後端陣列BackendArray,並請在DNS上登記此陣列的FQDN
IP設定為陣列的虛擬IP 192.168.5.250
將CSS驗證改為[在SSL加密通道上驗證]
6. 建立後端Intra-Array網路,隨便設定一段ClassC的內部網段即可
意在於兩道牆的彼此供通,詳細原理請看戴老師ISA單點傳輸的部分
7. 建立前端陣列FrontendArray,並請在DNS上登記此陣列的FQDN
IP設定為陣列的虛擬IP 192.168.6.240
將CSS驗證改為[在SSL加密通道上驗證]
8. 建立後端Intra-Array網路,隨便設定一段ClassC的內部網段即可
意在於兩道牆的彼此供通,詳細原理請看戴老師ISA單點傳輸的部分
9. 開放CSS電腦可以管理這兩個ISA陣列
[企業遠端管理電腦],在企業原則的網路物件內。
後端ISA Server陣列的設定
0. 設定三張網路卡分別屬於總公司內部網路、總公司DMZ網路、Intra-Array
1. 因為ISA不加入網域,所以兩台機器上變更尾碼,並登記於DNS內
2. 確認FQDN可以互相解到CSS和兩台機器的IP
3. 信任CA,下載CA鏈結,並使用MMC安裝於本機電腦的憑證信任區
4. 在結點1上安裝ISA Server
過程請輸入CSS的FQDN,及連結帳密(用網域的)
並且加入後端陣列BackendArray
選擇SSL加密通道驗證
設定總公司內部網路網段192.168.5.0/24
5. 執行ISA管理主控台將陣列內通訊IP改為Intra-Array
如此一來,結點2安裝的時候會自動選取。
6. 在結點1上安裝ISA Server,動作類似4.
7. ISA未加入網域,必須在兩台Server建立鏡像帳戶,隨便取,帳密一樣就好
8. 將陣列內部認證帳號設立為鏡像帳戶
9. 指派角色,將鏡像指定為允許間是此陣列的帳戶[ISA 陣列系統管理員]
10. 啟動後端陣列NLB,檢查CSS是否同步、相關服務是否正常執行中
內部虛擬IP 192.168.5.250
外部虛擬IP 192.168.6.250
* 內部對外部網路規則改為路由規則
後端ISA Server陣列開放前端陣列所需流量
1. 前端ISA到內部DNS伺服器查詢CSS主機IP位址所需的流量
2. 前端ISA到獨立CA所需的網頁流量,以便信任CA
3. 前端ISA到CSS所需的流量,來源端指定前端兩台ISA
[MS 防火牆存取區]
[Microsoft CIFS(TCP)]
4. CSS到前端ISA所需的流量,目的端指定前端兩台ISA
[MS防火牆控制]
[RPC(所有界面)]
前端ISA Server陣列的設定
0. 設定三張網路卡分別屬於總公司DMZ網路、外部網路、Intra-Array
1. 兩台機器上變更尾碼,並登記於DNS內
2. 在兩節點路由表新增發送到總公司內部網段所需經過的路由
route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.250 if 0x1000?
3. 確認FQDN可以互相解到CSS和兩台機器的IP
4. 信任CA,下載CA鏈結,並使用MMC安裝於本機電腦的憑證信任區
5. 在結點1上安裝ISA Server
過程請輸入CSS的FQDN,及連結帳密(用網域的)
並且加入後端陣列BackendArray
選擇SSL加密通道驗證
設定總公司內部網路網段 192.168.5.0/24、192.168.6.0/24
6. 執行ISA管理主控台將陣列內通訊IP改為Intra-Array
如此一來,結點2安裝的時候會自動選取。
7. 在結點1上安裝ISA Server,動作類似4.
8. 在兩台Server建立鏡像帳戶,推薦和後牆的鏡像帳戶一樣
9. 將陣列內部認證帳號設立為鏡像帳戶
10. 指派角色,將鏡像指定為允許間是此陣列的帳戶[ISA 陣列系統管理員]
11. 啟動後端陣列NLB,檢查CSS是否同步、相關服務是否正常執行中
內部虛擬IP 192.168.6.240
外部虛擬IP 192.168.168.240
*以上前牆和後牆的內網卡,請注意DNS必須指向內部的DNS
DNS
1. 將MainDC設定為總公司DMZ網路,安裝DNS服務
2. 建立lucky.com區域
3. 登記對外提供服務的主機資料
因為要讓分公司的牆去申請憑證及信任企業CA
先登記一筆MainDC.lucky.com 192.168.168.240
總公司前端ISA Server發行規則
1. 發行DNS 192.168.6.1
2. 發行企業根CA maindc.lucky.com
* 監聽程式的驗證裡的進階,勾選 [允許透過HTTP進行用戶端驗證]
驗證委派的地方選擇 [沒有委派,但用戶端可以直接驗證]
總公司後端ISA Server發行規則
1. 允許前端ISA Server到企業根CA網站的流量
因為網頁是由ISA監聽的,所以開放ISA到CA流量即可
總公司後端ISA Server建立VPN站台
1. 建立遠端VPN站台branch,靜態IP指派不可重複
2. 在兩台ISA Server本機建立具備[允許存取]撥入權力的著帳戶branch
3. 並且替兩台申請企業憑證並安裝且確認信任企業CA
因為是企業CA,請申請[系統管理員],並勾選以下兩個選項
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
先替一台申請,匯出後再去另外一台匯入
4. 重新啟動[路由及遠端存取的服務],在ISA主控台的服務
總公司前端防火牆開放VPN相關規則
1. 發行VPN Server。提供VPN 伺服器服務,讓分公司可以連線
[PPTP伺服器]
[IKE伺服器]
[IPSec NAT-T伺服器]
2. 允許VPN Client。讓後牆可以提出VPN要求,連線分公司
[PPTP]
[IKE用戶端]
[IPSec NAT-T用戶端]
分公司ISA Server安裝與VPN站台設定
0. 設定兩張網路卡分別屬於分公司內部網路、外部網路
外部網卡DNS請指向總公司所發行的DNS,這樣才能查到相對應的IP
1. 安裝ISA Server與CSS於同一台內
2. 建立遠端VPN站台main,靜態IP指派不可與總公司的重複
遠端站台設定為總公司前牆發行VPN伺服器的虛擬IP 192.168.168.240
遠端網路IP位置範圍選擇公司內部網路 192.168.5.0/24
[遠端NLB]必須輸入兩台前牆的實體IP 192.168.168.241-242
3. 在ISA Server本機建立具備[允許存取]撥入權力的著帳戶main
4. 替ISA Server申請企業憑證並信任企業CA
因為是企業CA,請申請[系統管理員],並勾選以下兩個選項
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
5. 重新啟動[路由及遠端存取的服務],在ISA主控台的服務
6. 利用Regedit.exe 修改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servies\IPSec
新增一筆 AssumeUDPEncapsulationContextOnSendRule 型態為DWORD
數值改為1,並重新啟動電腦
目的為了讓VPN站台可以連結NAT後面的VPN站台
BranchDC
1. 將BranchDC設定為分公司內部網路,尚未加入網域
2. 暫時為這一階段的測試電腦,確認兩個NAT電腦可以透過VPN互通
測試
1. 到系統管理工具的遠端及路由存取裡面彼此主動連線對方
2. MainDC與BranchDC彼此互ping對方
當站台對站台VPN建立的同時
防火牆規則會自動開放VPN與內部所有流量
網路規則也會變成路由規則
參考文獻 戴有煒老師上課的教材、ISA Server 2006 防火牆安裝與管理指南
DMZ區:DNS
分公司:BranchDC、分公司牆
網路環境:總公司內部、總公司DMZ網路、外部網路、分公司內部
CSS存放區主要在存放前後兩牆的規則並且控制前後端防火牆NLB
CSS安裝獨立CA主要是,ISA與CSS分開安裝,需要透過憑證才能溝通
MainDC升級時順便安裝DNS服務,因為ISA與CSS溝通需要用FQDN
MainDC和BranchDC會另做說明
DNS為對外提供服務的DNS伺服器
MainDC
1. 將MainDC設定為總公司內部網路,升級
2. 在MainDC內安裝企業根CA,作為VPN Site to Site L2TP加密用憑證
CSS
1. 將CSS設定為總公司內部網路,加入網域後重新開機
主要用意在於DNS的紀錄,所以請確定已存在
2. 安裝獨立根CA,並且申請憑證(必須使用CSS的FQDN),安裝憑證
申請憑證請注意兩個選項,請務必勾選
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
3. 執行MMC,並匯出金鑰含私密金鑰
4. 安裝CSS,安裝過程請選擇第四步驟的金鑰,結束後重新開機
5. 建立後端陣列BackendArray,並請在DNS上登記此陣列的FQDN
IP設定為陣列的虛擬IP 192.168.5.250
將CSS驗證改為[在SSL加密通道上驗證]
6. 建立後端Intra-Array網路,隨便設定一段ClassC的內部網段即可
意在於兩道牆的彼此供通,詳細原理請看戴老師ISA單點傳輸的部分
7. 建立前端陣列FrontendArray,並請在DNS上登記此陣列的FQDN
IP設定為陣列的虛擬IP 192.168.6.240
將CSS驗證改為[在SSL加密通道上驗證]
8. 建立後端Intra-Array網路,隨便設定一段ClassC的內部網段即可
意在於兩道牆的彼此供通,詳細原理請看戴老師ISA單點傳輸的部分
9. 開放CSS電腦可以管理這兩個ISA陣列
[企業遠端管理電腦],在企業原則的網路物件內。
後端ISA Server陣列的設定
0. 設定三張網路卡分別屬於總公司內部網路、總公司DMZ網路、Intra-Array
1. 因為ISA不加入網域,所以兩台機器上變更尾碼,並登記於DNS內
2. 確認FQDN可以互相解到CSS和兩台機器的IP
3. 信任CA,下載CA鏈結,並使用MMC安裝於本機電腦的憑證信任區
4. 在結點1上安裝ISA Server
過程請輸入CSS的FQDN,及連結帳密(用網域的)
並且加入後端陣列BackendArray
選擇SSL加密通道驗證
設定總公司內部網路網段192.168.5.0/24
5. 執行ISA管理主控台將陣列內通訊IP改為Intra-Array
如此一來,結點2安裝的時候會自動選取。
6. 在結點1上安裝ISA Server,動作類似4.
7. ISA未加入網域,必須在兩台Server建立鏡像帳戶,隨便取,帳密一樣就好
8. 將陣列內部認證帳號設立為鏡像帳戶
9. 指派角色,將鏡像指定為允許間是此陣列的帳戶[ISA 陣列系統管理員]
10. 啟動後端陣列NLB,檢查CSS是否同步、相關服務是否正常執行中
內部虛擬IP 192.168.5.250
外部虛擬IP 192.168.6.250
* 內部對外部網路規則改為路由規則
後端ISA Server陣列開放前端陣列所需流量
1. 前端ISA到內部DNS伺服器查詢CSS主機IP位址所需的流量
2. 前端ISA到獨立CA所需的網頁流量,以便信任CA
3. 前端ISA到CSS所需的流量,來源端指定前端兩台ISA
[MS 防火牆存取區]
[Microsoft CIFS(TCP)]
4. CSS到前端ISA所需的流量,目的端指定前端兩台ISA
[MS防火牆控制]
[RPC(所有界面)]
前端ISA Server陣列的設定
0. 設定三張網路卡分別屬於總公司DMZ網路、外部網路、Intra-Array
1. 兩台機器上變更尾碼,並登記於DNS內
2. 在兩節點路由表新增發送到總公司內部網段所需經過的路由
route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.250 if 0x1000?
3. 確認FQDN可以互相解到CSS和兩台機器的IP
4. 信任CA,下載CA鏈結,並使用MMC安裝於本機電腦的憑證信任區
5. 在結點1上安裝ISA Server
過程請輸入CSS的FQDN,及連結帳密(用網域的)
並且加入後端陣列BackendArray
選擇SSL加密通道驗證
設定總公司內部網路網段 192.168.5.0/24、192.168.6.0/24
6. 執行ISA管理主控台將陣列內通訊IP改為Intra-Array
如此一來,結點2安裝的時候會自動選取。
7. 在結點1上安裝ISA Server,動作類似4.
8. 在兩台Server建立鏡像帳戶,推薦和後牆的鏡像帳戶一樣
9. 將陣列內部認證帳號設立為鏡像帳戶
10. 指派角色,將鏡像指定為允許間是此陣列的帳戶[ISA 陣列系統管理員]
11. 啟動後端陣列NLB,檢查CSS是否同步、相關服務是否正常執行中
內部虛擬IP 192.168.6.240
外部虛擬IP 192.168.168.240
*以上前牆和後牆的內網卡,請注意DNS必須指向內部的DNS
DNS
1. 將MainDC設定為總公司DMZ網路,安裝DNS服務
2. 建立lucky.com區域
3. 登記對外提供服務的主機資料
因為要讓分公司的牆去申請憑證及信任企業CA
先登記一筆MainDC.lucky.com 192.168.168.240
總公司前端ISA Server發行規則
1. 發行DNS 192.168.6.1
2. 發行企業根CA maindc.lucky.com
* 監聽程式的驗證裡的進階,勾選 [允許透過HTTP進行用戶端驗證]
驗證委派的地方選擇 [沒有委派,但用戶端可以直接驗證]
總公司後端ISA Server發行規則
1. 允許前端ISA Server到企業根CA網站的流量
因為網頁是由ISA監聽的,所以開放ISA到CA流量即可
總公司後端ISA Server建立VPN站台
1. 建立遠端VPN站台branch,靜態IP指派不可重複
2. 在兩台ISA Server本機建立具備[允許存取]撥入權力的著帳戶branch
3. 並且替兩台申請企業憑證並安裝且確認信任企業CA
因為是企業CA,請申請[系統管理員],並勾選以下兩個選項
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
先替一台申請,匯出後再去另外一台匯入
4. 重新啟動[路由及遠端存取的服務],在ISA主控台的服務
總公司前端防火牆開放VPN相關規則
1. 發行VPN Server。提供VPN 伺服器服務,讓分公司可以連線
[PPTP伺服器]
[IKE伺服器]
[IPSec NAT-T伺服器]
2. 允許VPN Client。讓後牆可以提出VPN要求,連線分公司
[PPTP]
[IKE用戶端]
[IPSec NAT-T用戶端]
分公司ISA Server安裝與VPN站台設定
0. 設定兩張網路卡分別屬於分公司內部網路、外部網路
外部網卡DNS請指向總公司所發行的DNS,這樣才能查到相對應的IP
1. 安裝ISA Server與CSS於同一台內
2. 建立遠端VPN站台main,靜態IP指派不可與總公司的重複
遠端站台設定為總公司前牆發行VPN伺服器的虛擬IP 192.168.168.240
遠端網路IP位置範圍選擇公司內部網路 192.168.5.0/24
[遠端NLB]必須輸入兩台前牆的實體IP 192.168.168.241-242
3. 在ISA Server本機建立具備[允許存取]撥入權力的著帳戶main
4. 替ISA Server申請企業憑證並信任企業CA
因為是企業CA,請申請[系統管理員],並勾選以下兩個選項
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
5. 重新啟動[路由及遠端存取的服務],在ISA主控台的服務
6. 利用Regedit.exe 修改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servies\IPSec
新增一筆 AssumeUDPEncapsulationContextOnSendRule 型態為DWORD
數值改為1,並重新啟動電腦
目的為了讓VPN站台可以連結NAT後面的VPN站台
BranchDC
1. 將BranchDC設定為分公司內部網路,尚未加入網域
2. 暫時為這一階段的測試電腦,確認兩個NAT電腦可以透過VPN互通
測試
1. 到系統管理工具的遠端及路由存取裡面彼此主動連線對方
2. MainDC與BranchDC彼此互ping對方
當站台對站台VPN建立的同時
防火牆規則會自動開放VPN與內部所有流量
網路規則也會變成路由規則
參考文獻 戴有煒老師上課的教材、ISA Server 2006 防火牆安裝與管理指南
2009年11月11日 星期三
[MS_Lab] 建置流程
Step1
總公司Back to Back 防火牆,使用分離CSS並設定CSS可以集中控管
Step2
分公司防火牆,CSS與防火牆安裝於同一台
Step3
確認用本機帳號防火牆整合VPN可以正常連線
Step4
建置總公司內部伺服器
Step5
建置DMZ區所有服務
Step6
建置分公司內部伺服器
Step7
設定防火牆VPN帳號認證,轉由RADIUS負責
Step8
驗收
總公司Back to Back 防火牆,使用分離CSS並設定CSS可以集中控管
Step2
分公司防火牆,CSS與防火牆安裝於同一台
Step3
確認用本機帳號防火牆整合VPN可以正常連線
Step4
建置總公司內部伺服器
Step5
建置DMZ區所有服務
Step6
建置分公司內部伺服器
Step7
設定防火牆VPN帳號認證,轉由RADIUS負責
Step8
驗收
[MS_Lab] 拓樸解說
Lucky.com
組長: 廖英凱 組員: 吳文峻 呂學青 梁孝銘 陳紹唐
總公司內部,建置AD DS網域的環境,以便資源的集中控管及使用者權力的指派。為方便內部電腦的互連,架設了多台的WINS Server及DNS Server及網域控制站,可達到高可用性和負載平衡的效果。DHCP配發IP方面,我們使用了DHCP轉接代理的方式作為備援,經過VPN通道透過路由可轉送DHCP要求。同樣的我們在分公司也建立起AD DS網域的環境,並且隸屬於總公司的子網域,與總公司不同站台。在DNS備援方面,總公司是使用子網域委派分公司DNS;分公司設立總公司次要區域,並允許總公司區域轉送;WINS則互為協力電腦。
Exgchange、公司內部網頁、WSUS、FCS企業防毒部署等伺服器也架設於總公司內部,Exchange架設建立了叢集並且使用iSCSI存取技術。公司內部網頁,我們運用了Web NLB的功能,並且在網頁資料夾方面設定DFS複寫,確保資料即時的同步與網路的負載平衡。WSUS建置可以大幅降低微軟作業系統更新時龐大的網路載量,搭配群組原則可更有效的改善公司對外網路的流暢度。FCS企業防毒可以透過群組原則部署並且集中控管掃描用戶端電腦,並且確實的問題回報。而NAP伺服器的建置可以確保電腦的健康情況,讓公司內部更為安全。
接著介紹總公司DMZ區的建置,Web Server我們搭配ISA Server使用Web Farm的的規則發放,使之達到高可用性的效果,並且架設RAID5的File Server以提高網頁資料的讀取速度及資料容錯的功能。FTP Server方面,允許匿名登入以便使用者下載,主要的功用是在分攤網頁伺服器的負擔。SMTP Relay的架設,一來代替公司內轉寄外送的郵件,二來可以幫忙接受內收的郵件,三來所有信件都可以在此過濾,總結來說可以確保公司內部郵件伺服器的安全。
http://life.iiietc.ncu.edu.tw/xms/content/show.php?id=25125
訂閱:
文章 (Atom)
