#!/bin/bash
#判斷下列目錄是否存在,如不存在則建立
[ -d /var/backup ] || mkdir /var/backup
[ -d /var/log/backup ] || mkdir /var/log/backup
#完全備份,先把該資料夾所有的acl寫入至一個檔案。檢查snapshot_file是否存在,
#如果存在則刪除,主要是不影響完全備份。tar 照相snapshot_file並
#建立且壓縮full-date.tar.gz的tarball,運用tee把過程寫入輸出至last-backup且
#輸入至backup-date.log。$?=0 為真
full (){ getfacl -R /home > /home/acls-`date +%F`
[ -f /var/log/backup/snapshot_file ] && rm /var/log/backup/snapshot_file
tar -cz -g /var/log/backup/snapshot_file -f /var/backup/full-`date +%F`.tar.gz /home | tee /var/log/backup/last-backup > /var/log/backup/backup-`date +%F`.log
x=`echo $?`
touch /var/log/backup/last-backup
}
#增量備份,先把該資料夾所有的acl寫入至一個檔案。
#tar 比對之前的照相snapshot_file,比對後且重新照張相,並將比對出不一樣的檔案
#建立且壓縮incremental-date.tar.gz的tarball,運用tee把過程寫入輸出至last-backup且
#輸入至backup-date.log。$?=0 為真
incr (){ getfacl -R /home > /home/acls-`date +%F`
tar -cz -g /var/log/backup/snapshot_file -f /var/backup/incremental-`date +%F`.tar.gz /home | tee /var/log/backup/last-backup > /var/log/backup/backup-`date +%F`.log
x=`echo $?`
}
#取得今天是星期幾,存於DOW內
DOW=`date +%a`
#判斷DOW,只有星期一才要完全備份,其餘工作天都使用增量備份
case "$DOW" in
Mon) full ;;
Tue) incr ;;
Wed) incr ;;
Thu) incr ;;
Fri) incr ;;
esac
#用ssh連線遠端同步
rsync -a /var/backup -e ssh root@10.120.14.117:/root/
# x!=0 為偽。兩個函式執行完tar的$?的值
if [ $x -ne 0 ] ; then
echo "" | mail -s "Backup Failed!" root
fi
exit 0
#
2009年12月22日 星期二
2009年12月20日 星期日
[Linux] Apahce 整合到 syslog-ng
SLES 10
/etc/apache2/httpd.conf
--------------------------
| ErrorLog syslog:user
| LogLevel warn
上面那個LogLevel改不改無所謂 到最後會被覆蓋掉
/etc/sysconfig/apache2
---------------------------
| APACHE_ACCESS_LOG="syslog:user combined"
| APACHE_LOGLEVEL="[自選]"
以上大綱 剩下看文件
syslog-ng設定檔的部分就跟老師上課的一樣
不過最後訊息不能全部整合,訊息如下
Dec 20 21:40:47 Linux gconfd (root-13560): Resolved address "xml:readwrite:/root/.gconf" to a writable configuration source at position 0
Dec 20 21:40:51 Linux kernel: ISO 9660 Extensions: Microsoft Joliet Level 3
Dec 20 21:40:51 Linux kernel: ISO 9660 Extensions: RRIP_1991A
Dec 20 21:40:51 Linux zmd: NetworkManagerModule (WARN): Failed to connect to NetworkManager
Dec 20 21:40:58 Linux zmd: Daemon (WARN): Not starting remote web server
Dec 20 21:41:50 Linux httpd2-prefork[12891]: [error] [client 192.168.150.1] File does not exist: /srv/www/htdocs/index
但是apache原始的access_log,如下
192.168.150.1 - - [20/Dec/2009:21:17:32 +0800] "GET / HTTP/1.1" 200 553 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322)"
192.168.150.1 - - [20/Dec/2009:21:17:32 +0800] "GET /icons/folder.gif HTTP/1.1" 304 - "http://192.168.150.22/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322)"
192.168.150.1 - - [20/Dec/2009:21:17:32 +0800] "GET /icons/blank.gif HTTP/1.1" 304 - "http://192.168.150.22/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322)"
192.168.150.1 - - [20/Dec/2009:21:18:03 +0800] "GET /index.html HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322)"
也就是說不能整合進來資訊太多了,整能簡簡單單的看到user連結錯誤的網頁會有個error紀
錄,但是apache內建的資訊卻是相當龐大的,有連線回應和連線錯誤都有紀錄,再來還有很
多很多,有興趣的請看apache的log文件,有格式教學。
http://httpd.apache.org/docs/2.2/mod/mod_log_config.html
/etc/apache2/httpd.conf
--------------------------
| ErrorLog syslog:user
| LogLevel warn
上面那個LogLevel改不改無所謂 到最後會被覆蓋掉
/etc/sysconfig/apache2
---------------------------
| APACHE_ACCESS_LOG="syslog:user combined"
| APACHE_LOGLEVEL="[自選]"
以上大綱 剩下看文件
syslog-ng設定檔的部分就跟老師上課的一樣
不過最後訊息不能全部整合,訊息如下
Dec 20 21:40:47 Linux gconfd (root-13560): Resolved address "xml:readwrite:/root/.gconf" to a writable configuration source at position 0
Dec 20 21:40:51 Linux kernel: ISO 9660 Extensions: Microsoft Joliet Level 3
Dec 20 21:40:51 Linux kernel: ISO 9660 Extensions: RRIP_1991A
Dec 20 21:40:51 Linux zmd: NetworkManagerModule (WARN): Failed to connect to NetworkManager
Dec 20 21:40:58 Linux zmd: Daemon (WARN): Not starting remote web server
Dec 20 21:41:50 Linux httpd2-prefork[12891]: [error] [client 192.168.150.1] File does not exist: /srv/www/htdocs/index
但是apache原始的access_log,如下
192.168.150.1 - - [20/Dec/2009:21:17:32 +0800] "GET / HTTP/1.1" 200 553 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322)"
192.168.150.1 - - [20/Dec/2009:21:17:32 +0800] "GET /icons/folder.gif HTTP/1.1" 304 - "http://192.168.150.22/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322)"
192.168.150.1 - - [20/Dec/2009:21:17:32 +0800] "GET /icons/blank.gif HTTP/1.1" 304 - "http://192.168.150.22/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322)"
192.168.150.1 - - [20/Dec/2009:21:18:03 +0800] "GET /index.html HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322)"
也就是說不能整合進來資訊太多了,整能簡簡單單的看到user連結錯誤的網頁會有個error紀
錄,但是apache內建的資訊卻是相當龐大的,有連線回應和連線錯誤都有紀錄,再來還有很
多很多,有興趣的請看apache的log文件,有格式教學。
http://httpd.apache.org/docs/2.2/mod/mod_log_config.html
2009年12月19日 星期六
[Linux] Shell Script Homework2
2.設計一個名為manymaxmin的script,使其可以接收不固定的多個數字參數,顯示數字中最大的及最小的,如果都一樣大,則顯示都一樣大。
##########################################################
#!/bin/sh
for x in $@
do
if [ -z "$max" ]
then
max=$x
min=$x
fi
if [ $max -lt $x ]
then
max=$x
elif [ $min -gt $x ]
then
min=$x
else
continue
fi
done
if [ $min -eq $max ]
then
echo "equal"
else
echo "Max=$max"
echo "Min=$min"
fi
exit 0
##########################################################
3.設計一個名為createmyfiles的script,以迴圈配合touch指令,產生十個檔案,檔名分別為myprog1.c,myprog2.c,...,myprog10.c。
##########################################################
#!/bin/sh
for ((i=1;i<=10;i++))
do
touch myprog$i.c
done
exit 0
##########################################################
4.設計一個名為lastfiles的script,顯示目前目錄中最近被修改的n個檔案檔名。
##########################################################
#!/bin/sh
ls -t | head -n $1
exit 0
##########################################################
5.設計一個名為mvfiles的script,可以將所有副檔名為.c檔案,副檔名更名為.cpp,更名前後的副檔名均自命令列輸入。並將更名的結果顯示出來。
##########################################################
#!/bin/sh
for file in *$1
do
mv $file `basename $file $1`$2
echo renamed $file to `basename $file $1`$2
done
exit 0
#########################################################
##########################################################
#!/bin/sh
for x in $@
do
if [ -z "$max" ]
then
max=$x
min=$x
fi
if [ $max -lt $x ]
then
max=$x
elif [ $min -gt $x ]
then
min=$x
else
continue
fi
done
if [ $min -eq $max ]
then
echo "equal"
else
echo "Max=$max"
echo "Min=$min"
fi
exit 0
##########################################################
3.設計一個名為createmyfiles的script,以迴圈配合touch指令,產生十個檔案,檔名分別為myprog1.c,myprog2.c,...,myprog10.c。
##########################################################
#!/bin/sh
for ((i=1;i<=10;i++))
do
touch myprog$i.c
done
exit 0
##########################################################
4.設計一個名為lastfiles的script,顯示目前目錄中最近被修改的n個檔案檔名。
##########################################################
#!/bin/sh
ls -t | head -n $1
exit 0
##########################################################
5.設計一個名為mvfiles的script,可以將所有副檔名為.c檔案,副檔名更名為.cpp,更名前後的副檔名均自命令列輸入。並將更名的結果顯示出來。
##########################################################
#!/bin/sh
for file in *$1
do
mv $file `basename $file $1`$2
echo renamed $file to `basename $file $1`$2
done
exit 0
#########################################################
2009年12月9日 星期三
[Linux] SLES 10 安裝 Joomla 所需套件
Apache2所需套件與模組
apache2
apache2-devel
apache2-doc
apache2-mod_auth_mysql
apache2-mod_php5
apache2-prefork
libapr-util1
libapr-util1-devel
libapr1
libapr-devel
PHP所需套件與模組
apache2_mod_php5
php5
php5-bz2
php5-devel
php5-gd
php5-mysql
php5-zlib
MySql所需套件與模組
apache2-mod_auth_mysql
mysql
mysql-client
mysql-devel
mysql-shared
per1-DBD-mysql
php5-mysql
有些不一定是必要的,只是習慣裝一裝,日後問題也少
啟動apache2、mysql、解壓縮joomla至apache2網頁空間內
mysql啟動時,請設定root密碼,啟動時會有相關訊息
joomla相關檔案的owner和group改成 u: wwwrun g: www
configuration.conf資料夾內就有範例,補上Database的相關資訊及可
apache2
apache2-devel
apache2-doc
apache2-mod_auth_mysql
apache2-mod_php5
apache2-prefork
libapr-util1
libapr-util1-devel
libapr1
libapr-devel
PHP所需套件與模組
apache2_mod_php5
php5
php5-bz2
php5-devel
php5-gd
php5-mysql
php5-zlib
MySql所需套件與模組
apache2-mod_auth_mysql
mysql
mysql-client
mysql-devel
mysql-shared
per1-DBD-mysql
php5-mysql
有些不一定是必要的,只是習慣裝一裝,日後問題也少
啟動apache2、mysql、解壓縮joomla至apache2網頁空間內
mysql啟動時,請設定root密碼,啟動時會有相關訊息
joomla相關檔案的owner和group改成 u: wwwrun g: www
configuration.conf資料夾內就有範例,補上Database的相關資訊及可
2009年12月3日 星期四
[Linux] Shell Script Homework1
Linux Shell Script Programming hw 1
----
1.設計一個名為showme的script,藉由環境變數及一些Linux指令,使其可以顯示資訊如下:
##########################################################
#!/bin/sh
echo "Login ID: $LOGNAME"
echo "My Home: $HOME"
echo "List My Home Directory"
ls -l /root
echo "My Shell: $SHELL"
echo "Hostname: $HOSTNAME"
pwd
ls -l
exit 0
##########################################################
2.設計一個名為verbvar的script,利用read輸入一個簡單的英文動詞,在其前加入一個to印出
原形,字尾加ing印出作為進行式,字尾加ed印出作為過去式
##########################################################
#!/bin/sh
echo -n "Please Enter The Verb:"
read word
echo "Present tense: to ${word}"
echo "Past tense: ${word}ed"
echo "Progressive tense: ${word}ing"
exit 0
##########################################################
3.設計一個名為addtwo的script,使其可以接收兩個數字參數,並將其相加後的結果顯示出來,
如果參數個數不夠或太多,就不執行運算,而顯示一段訊息,提示出正確的執行方式必須給
兩個參數。
##########################################################
#!/bin/sh
if [ $# -eq 2 ]
then
echo "sum = `expr $1 + $2`"
else
echo "Usage: ./addtwo number1 number2"
fi
exit 0
##########################################################
4.設計一個名為mycal的script,使其可以接收三個數字參數,第一、三個參數為數字,第二
個參數為運算子(+-*/其中之一)以多層的if計算其結果,並將其結果顯示出來,如果參數個
數不夠或太多,就不執行運算,而顯示一段訊息,提示出正確的執行方式。如果中間的運
算子是/,而第三個參數是0,則顯示除數不可為0
##########################################################
#!/bin/sh
if [ $# -eq 3 ]
then
if [ "$2" = "+" ]
then
echo "result = `expr $1 + $3`"
elif [ "$2" = "-" ]
then
echo "result = `expr $1 - $3`"
elif [ "$2" = "*" ]
then
echo "result = `expr $1 \* $3`"
elif [ "$2" = "/" ]
then
echo "result = `expr $1 / $3`"
else
echo "you have worng format"
fi
else
echo "you have worng format"
fi
exit 0
##########################################################
5.設計一個名為getmax的script,使其可以接收兩個數字參數,將較大的數顯示出來,如果
都一樣大,則顯示都一樣大。
##########################################################
#!/bin/sh
if [ $1 -gt $2 ]
then
echo "Max = $1"
fi
if [ $1 -eq $2 ]
then
echo "Equals"
fi
if [ $1 -lt $2 ]
then
echo "Max = $2"
fi
exit 0
##########################################################
6.設計一個名為checkfile的script,使其可以接收一個檔案名稱作為參數,若此名稱不是目
前工作目錄的檔案或目錄,則顯示此名稱不存在,如果是檔案,則顯示其檔案內容,如
果是一目錄則顯示此目錄內的清單。
##########################################################
#!/bin/sh
if [ -e "$1" ]
then
if [ -f "$1" ]
then
cat $1
elif [ -d "$1" ]
then
ls -l $1
else
echo "permission deny"
fi
else
echo "no file or directory"
fi
exit 0
##########################################################
7.設計一個名為newerfile的script,使其可以接收兩個檔案名稱作為參數,並將日期較新的
檔案名稱顯示出來。
##########################################################
#!/bin/sh
if [ $1 -nt $2 ]
then
echo "$1 is newer"
else
echo "$2 is newer"
fi
exit 0
##########################################################
8.設計一個名為avglen的script,使其可以接收一個檔案名稱(文字檔)作為參數,計算此檔
平均每一列有多少bytes。提示:使用wc -l < 檔名; 用man查一下wc的用法
##########################################################
#!/bin/sh
x=`wc -l < $1`
y=`wc -c < $1`
echo "$y $x"
echo "average bytes per line is `expr $y / $x`"
exit 0
##########################################################
9.設計一個名為createtodayfile的script,以touch指令產生一個檔案,檔名中含有今天的日
期,例如myfile20090706.txt。date +%Y...., 其餘date的日期格式, 請以man指令查詢
##########################################################
#!/bin/sh
x=`date +%Y%m%d`
touch myfile$x.txt
exit 0
##########################################################
10.設計一個名為addfiles的script,可自命令列讀取參數產生檔案allfile,如下,每加入一個
檔案,隔2秒,如果重覆執行,則覆蓋原檔案。
##########################################################
----
1.設計一個名為showme的script,藉由環境變數及一些Linux指令,使其可以顯示資訊如下:
##########################################################
#!/bin/sh
echo "Login ID: $LOGNAME"
echo "My Home: $HOME"
echo "List My Home Directory"
ls -l /root
echo "My Shell: $SHELL"
echo "Hostname: $HOSTNAME"
pwd
ls -l
exit 0
##########################################################
2.設計一個名為verbvar的script,利用read輸入一個簡單的英文動詞,在其前加入一個to印出
原形,字尾加ing印出作為進行式,字尾加ed印出作為過去式
##########################################################
#!/bin/sh
echo -n "Please Enter The Verb:"
read word
echo "Present tense: to ${word}"
echo "Past tense: ${word}ed"
echo "Progressive tense: ${word}ing"
exit 0
##########################################################
3.設計一個名為addtwo的script,使其可以接收兩個數字參數,並將其相加後的結果顯示出來,
如果參數個數不夠或太多,就不執行運算,而顯示一段訊息,提示出正確的執行方式必須給
兩個參數。
##########################################################
#!/bin/sh
if [ $# -eq 2 ]
then
echo "sum = `expr $1 + $2`"
else
echo "Usage: ./addtwo number1 number2"
fi
exit 0
##########################################################
4.設計一個名為mycal的script,使其可以接收三個數字參數,第一、三個參數為數字,第二
個參數為運算子(+-*/其中之一)以多層的if計算其結果,並將其結果顯示出來,如果參數個
數不夠或太多,就不執行運算,而顯示一段訊息,提示出正確的執行方式。如果中間的運
算子是/,而第三個參數是0,則顯示除數不可為0
##########################################################
#!/bin/sh
if [ $# -eq 3 ]
then
if [ "$2" = "+" ]
then
echo "result = `expr $1 + $3`"
elif [ "$2" = "-" ]
then
echo "result = `expr $1 - $3`"
elif [ "$2" = "*" ]
then
echo "result = `expr $1 \* $3`"
elif [ "$2" = "/" ]
then
echo "result = `expr $1 / $3`"
else
echo "you have worng format"
fi
else
echo "you have worng format"
fi
exit 0
##########################################################
5.設計一個名為getmax的script,使其可以接收兩個數字參數,將較大的數顯示出來,如果
都一樣大,則顯示都一樣大。
##########################################################
#!/bin/sh
if [ $1 -gt $2 ]
then
echo "Max = $1"
fi
if [ $1 -eq $2 ]
then
echo "Equals"
fi
if [ $1 -lt $2 ]
then
echo "Max = $2"
fi
exit 0
##########################################################
6.設計一個名為checkfile的script,使其可以接收一個檔案名稱作為參數,若此名稱不是目
前工作目錄的檔案或目錄,則顯示此名稱不存在,如果是檔案,則顯示其檔案內容,如
果是一目錄則顯示此目錄內的清單。
##########################################################
#!/bin/sh
if [ -e "$1" ]
then
if [ -f "$1" ]
then
cat $1
elif [ -d "$1" ]
then
ls -l $1
else
echo "permission deny"
fi
else
echo "no file or directory"
fi
exit 0
##########################################################
7.設計一個名為newerfile的script,使其可以接收兩個檔案名稱作為參數,並將日期較新的
檔案名稱顯示出來。
##########################################################
#!/bin/sh
if [ $1 -nt $2 ]
then
echo "$1 is newer"
else
echo "$2 is newer"
fi
exit 0
##########################################################
8.設計一個名為avglen的script,使其可以接收一個檔案名稱(文字檔)作為參數,計算此檔
平均每一列有多少bytes。提示:使用wc -l < 檔名; 用man查一下wc的用法
##########################################################
#!/bin/sh
x=`wc -l < $1`
y=`wc -c < $1`
echo "$y $x"
echo "average bytes per line is `expr $y / $x`"
exit 0
##########################################################
9.設計一個名為createtodayfile的script,以touch指令產生一個檔案,檔名中含有今天的日
期,例如myfile20090706.txt。date +%Y...., 其餘date的日期格式, 請以man指令查詢
##########################################################
#!/bin/sh
x=`date +%Y%m%d`
touch myfile$x.txt
exit 0
##########################################################
10.設計一個名為addfiles的script,可自命令列讀取參數產生檔案allfile,如下,每加入一個
檔案,隔2秒,如果重覆執行,則覆蓋原檔案。
##########################################################
2009年12月1日 星期二
Linux的學習 常用指令與man
Linux常用指令就好比老婆的習慣
要記,不記就會不知所措,大眼瞪小眼
不過值得慶幸的是Linux最多就不理你;但老婆會生氣
Linux man查詢就像與老婆的對話
多多留心,方可以大事化小,水到渠成
不過Linux回應只有淡淡的一字done;但老婆笑容卻是無價的
要記,不記就會不知所措,大眼瞪小眼
不過值得慶幸的是Linux最多就不理你;但老婆會生氣
Linux man查詢就像與老婆的對話
多多留心,方可以大事化小,水到渠成
不過Linux回應只有淡淡的一字done;但老婆笑容卻是無價的
Linux的學習
想想想了很久
Linux到底要不要整理個什麼東西出來呢
Linux不像微軟,有戴老師SOP和官方的照著做就會錯的文獻
Linux很特別,有的是 自己的雙手 和 可靠的log
Guru老師最喜歡的一句話: " 去追 "
雖然不是女朋友或者老婆但是還是要去追
戲劇性的有趣結果
就像追女朋友一樣,有心人總會抱得美人歸
但也有不少人在裡面跌得滿頭包,不知不覺中也為下一段感情鋪路
畢竟每一段感情的追求過程,每個人的處理的方式也都不同
錯過的,不行再錯。做對的,持之以恆。
當然有時候也必須詢問情場高手,但高手總是大概講個方向
然後叫你多試試多失敗,就會變成高手了
所以想想想了很久,還是一句老話
" Linux就像老婆一樣,要花時間去陪她的 "
Linux到底要不要整理個什麼東西出來呢
Linux不像微軟,有戴老師SOP和官方的照著做就會錯的文獻
Linux很特別,有的是 自己的雙手 和 可靠的log
Guru老師最喜歡的一句話: " 去追 "
雖然不是女朋友或者老婆但是還是要去追
戲劇性的有趣結果
就像追女朋友一樣,有心人總會抱得美人歸
但也有不少人在裡面跌得滿頭包,不知不覺中也為下一段感情鋪路
畢竟每一段感情的追求過程,每個人的處理的方式也都不同
錯過的,不行再錯。做對的,持之以恆。
當然有時候也必須詢問情場高手,但高手總是大概講個方向
然後叫你多試試多失敗,就會變成高手了
所以想想想了很久,還是一句老話
" Linux就像老婆一樣,要花時間去陪她的 "
2009年11月20日 星期五
[MS_Lab] 驗收流程
VPN站台對站台的連線的驗收流程
Step1. 檢查總公司VPN站台對站台的設定
Step2. 總公司ISA前牆規則的發行
Step3. 中斷連線
Step4. 主動連線
Step5. 分公司驗收,角色對調
VPN Client連線的驗收流程
Step1. PPTP連線進入總公司
Step2. 申請憑證後L2TP連線進入總公司
總公司後牆NLB的驗收流程
Step1. 到兩台ISA開啟[遠端及路由存取]確認,VPN連線是由哪台負責
Step2. 關機負責VPN的那台,等待服務執行中
Step3. 讓接手的ISA主動連線
總公司前牆NLB的驗收流程
Step1. 運用外部網路隨便一台電腦開啟DMZ區網頁,戴老師指定的程式
Step2. 確定哪一台服務後關機
Step3. 再次開啟該網頁
總公司DMZ區Web驗收流程
Step1. 確認前牆Web Farm規則發行
Step2. 兩台Web Server同時關機,用外部網路電腦確定無法開啟網頁
Step3. 開啟其中一台Web Server,外部網路電腦確定可以成功開啟網頁
Step4. 關閉第一台Web Server後,清除外部網路電腦快取
Step5. 開啟另外一台Wev Server,外部網路電腦確定可以成功開啟網頁
Step6. 介紹Web Server的檔案系統模式(DFS or File Server)
總公司DMZ區FTP驗收流程
Step1. 確認前牆發行規則
總公司Exchange與DMZ區SMTP Relay驗收流程
Step1. 確認SMTP前牆與後牆所對應的相關規則與設定
Step2. 確認Exchange與SMTP Relay相關的規則
Step3. 確認OWA、Outlook、Outlook Express都可以正常收發信件
Step4. Push Mail是否成功
Step5. 叢集是否正常運作
DHCP驗收流程
Step1. 釋放IP,重新取得
Step2. 關閉配發IP那台的DHCP服務
Step3. 釋放IP,重新取得
Step4. 運用所MAC的方式,保留IP給特殊電腦
WINS驗收流程
Step1. 總公司用主機名稱的方式連線到分公司的電腦
Step2. 分公司用主機名稱的方式連線到總公司的電腦
Step3. 檢查WINS Server的表
WINS驗收流程
Step1. 總公司用FQDN的方式Ping到分公司的電腦
Step2. 分公司用FQDN的方式Ping到總公司的電腦
Step3. 檢查DNS Server的表
AD建置的驗收
Step1. 確認兩個不同站台,且總公司與分公司都有GC
Step2. 修改Schema,並立即站台對站台複寫
NAP的驗收
Step1. 確認強制關閉防火牆後,會被自動開啟
WSUS的驗收
Step1. 是否可以正常下載更新
Step2. 原則的發布設定
FCS的驗收
Step1. 部屬FCS與使用端
Step2. 強制掃描用戶端電腦及問題回報
備份的驗收
Step1. Backup的操作
其他
總公司內部網頁NLB
總公司內部網頁DFS複寫
--
文章總整理
http://life.iiietc.ncu.edu.tw/xms/content/show.php?id=25110
Step1. 檢查總公司VPN站台對站台的設定
Step2. 總公司ISA前牆規則的發行
Step3. 中斷連線
Step4. 主動連線
Step5. 分公司驗收,角色對調
VPN Client連線的驗收流程
Step1. PPTP連線進入總公司
Step2. 申請憑證後L2TP連線進入總公司
總公司後牆NLB的驗收流程
Step1. 到兩台ISA開啟[遠端及路由存取]確認,VPN連線是由哪台負責
Step2. 關機負責VPN的那台,等待服務執行中
Step3. 讓接手的ISA主動連線
總公司前牆NLB的驗收流程
Step1. 運用外部網路隨便一台電腦開啟DMZ區網頁,戴老師指定的程式
Step2. 確定哪一台服務後關機
Step3. 再次開啟該網頁
總公司DMZ區Web驗收流程
Step1. 確認前牆Web Farm規則發行
Step2. 兩台Web Server同時關機,用外部網路電腦確定無法開啟網頁
Step3. 開啟其中一台Web Server,外部網路電腦確定可以成功開啟網頁
Step4. 關閉第一台Web Server後,清除外部網路電腦快取
Step5. 開啟另外一台Wev Server,外部網路電腦確定可以成功開啟網頁
Step6. 介紹Web Server的檔案系統模式(DFS or File Server)
總公司DMZ區FTP驗收流程
Step1. 確認前牆發行規則
總公司Exchange與DMZ區SMTP Relay驗收流程
Step1. 確認SMTP前牆與後牆所對應的相關規則與設定
Step2. 確認Exchange與SMTP Relay相關的規則
Step3. 確認OWA、Outlook、Outlook Express都可以正常收發信件
Step4. Push Mail是否成功
Step5. 叢集是否正常運作
DHCP驗收流程
Step1. 釋放IP,重新取得
Step2. 關閉配發IP那台的DHCP服務
Step3. 釋放IP,重新取得
Step4. 運用所MAC的方式,保留IP給特殊電腦
WINS驗收流程
Step1. 總公司用主機名稱的方式連線到分公司的電腦
Step2. 分公司用主機名稱的方式連線到總公司的電腦
Step3. 檢查WINS Server的表
WINS驗收流程
Step1. 總公司用FQDN的方式Ping到分公司的電腦
Step2. 分公司用FQDN的方式Ping到總公司的電腦
Step3. 檢查DNS Server的表
AD建置的驗收
Step1. 確認兩個不同站台,且總公司與分公司都有GC
Step2. 修改Schema,並立即站台對站台複寫
NAP的驗收
Step1. 確認強制關閉防火牆後,會被自動開啟
WSUS的驗收
Step1. 是否可以正常下載更新
Step2. 原則的發布設定
FCS的驗收
Step1. 部屬FCS與使用端
Step2. 強制掃描用戶端電腦及問題回報
備份的驗收
Step1. Backup的操作
其他
總公司內部網頁NLB
總公司內部網頁DFS複寫
--
文章總整理
http://life.iiietc.ncu.edu.tw/xms/content/show.php?id=25110
2009年11月18日 星期三
[MS_Lab] RADIUS & VPN Client
總公司:MainDC、CSS
分公司:BranchISA
總公司的RADIUS我們讓CSS擔任,
之後防火牆站台對站台連線,指定帳號認證給RADIUS
並且啟動VPN用戶端的服務,使用L2TP連線
CSS
1. 安裝網際網路驗證服務
2. 點選 [在AD中登入伺服器],確定有這台在服務
3. 把後端ISA加入RADIUS用戶端
4. 新增遠端存取原則給VPN Client
CSS管理ISAB
1. 修改VPN設定,使用RADIUS進行驗證
2. 啟用VPN用戶端服務,勾選L2TP協定
MainDC
1. 新增branch帳號
2. 允許VPN Client 帳號有撥入權限
* 網域等級必須在2000純粹模式以上才可以勾選VPN Client的撥入權限
BranchISA
1. VPN站台設定連線裡的網域打上lucky
防火牆的相關規則已經在稍前站台對站台VPN設定過了
這邊只是純粹把VPN的驗證授權給RADIUS,並且開放Client可以VPN進入總公司
分公司也用同樣的方法讓Client可以VPN進去分公司內部網路
只是分公司必須發行VPN伺服器,因為稍前並沒有相關設定
---------------------------------------------END-------------------------------------------------
分公司:BranchISA
總公司的RADIUS我們讓CSS擔任,
之後防火牆站台對站台連線,指定帳號認證給RADIUS
並且啟動VPN用戶端的服務,使用L2TP連線
CSS
1. 安裝網際網路驗證服務
2. 點選 [在AD中登入伺服器],確定有這台在服務
3. 把後端ISA加入RADIUS用戶端
4. 新增遠端存取原則給VPN Client
CSS管理ISAB
1. 修改VPN設定,使用RADIUS進行驗證
2. 啟用VPN用戶端服務,勾選L2TP協定
MainDC
1. 新增branch帳號
2. 允許VPN Client 帳號有撥入權限
* 網域等級必須在2000純粹模式以上才可以勾選VPN Client的撥入權限
BranchISA
1. VPN站台設定連線裡的網域打上lucky
防火牆的相關規則已經在稍前站台對站台VPN設定過了
這邊只是純粹把VPN的驗證授權給RADIUS,並且開放Client可以VPN進入總公司
分公司也用同樣的方法讓Client可以VPN進去分公司內部網路
只是分公司必須發行VPN伺服器,因為稍前並沒有相關設定
---------------------------------------------END-------------------------------------------------
[MS_Lab] NAP
分公司:MainDC、BranchDC、2008DC2、2008DHCP、2008NAP
BranchDC因為是使用2003為Base的,但是NAP必須存在於2008的網域環境
BranchDC必須adprep forest和domain,讓2008DC可以升級為網域控制站
Client端的限制也不少,必須XP SP3以上的作業系統
MainDC
1. 把網域功能等級提升至[Windows Server 2003]
如沒有提升,會無法跨網域尋找使用者加入跨網域的群組
2. 把very.lucky.com裡的administrator加入Schema admins
2. 把very.lucky.com裡的administrator加入Enterprise admins
BranchDC
1. adprep /forestprep
2. adprep /domainprep
2008DC2
1. dcpromo
2008DHCP、2008NAP
由於設定過於複雜,無法用一些點單的敘述表達
不過幾個重點在建置時還是要注意
1. DNS指向2008DC2,有些原則必須要用2008才能開啟
2. 用戶端要加入網域時也必須是指向2008DC2
3. 2003為基礎的環境DC的schema和網域等級要特別注意
4. 環境越複雜,越難去處理這個服務,部分機制會被破壞掉
以上實驗參閱
Windows Server 2008 網路管理與IIS架站 戴有煒 著
BranchDC因為是使用2003為Base的,但是NAP必須存在於2008的網域環境
BranchDC必須adprep forest和domain,讓2008DC可以升級為網域控制站
Client端的限制也不少,必須XP SP3以上的作業系統
MainDC
1. 把網域功能等級提升至[Windows Server 2003]
如沒有提升,會無法跨網域尋找使用者加入跨網域的群組
2. 把very.lucky.com裡的administrator加入Schema admins
2. 把very.lucky.com裡的administrator加入Enterprise admins
BranchDC
1. adprep /forestprep
2. adprep /domainprep
2008DC2
1. dcpromo
2008DHCP、2008NAP
由於設定過於複雜,無法用一些點單的敘述表達
不過幾個重點在建置時還是要注意
1. DNS指向2008DC2,有些原則必須要用2008才能開啟
2. 用戶端要加入網域時也必須是指向2008DC2
3. 2003為基礎的環境DC的schema和網域等級要特別注意
4. 環境越複雜,越難去處理這個服務,部分機制會被破壞掉
以上實驗參閱
Windows Server 2008 網路管理與IIS架站 戴有煒 著
[MS_Lab] WSUS & FCS 部屬
總公司:MainDC、WSUS
WSUS
1. 網路設定為總公司內部網路,加入網域從開機後,用網域帳號登入
2. 安裝IIS、ASP.NET
3. 安裝SQL選擇安裝
[SQL Server Database Services]
[Reporting Services]
[Integration Services]
[工作站元件、線上叢書、開發工具]
4. 安裝SQL SP3
5. 安裝GPMC SP1
6. 安裝Report Viewer 2008
7. 安裝WSUS 3.0 SP2
勾選[使用這部電腦現有的資料庫伺服器]
[產品選擇],勾選[Forefront Client Security]
[選擇分類],勾選[更新],FCS Client的軟體是屬於微軟的更新項目
8. 安裝FCS Server
勾選[分佈伺服器]
9. 發佈WSUS群組原則
系統管理範本 --> Windows元件 -->Windows Update
[設定自動更新]
[指定內部網路Micosoft更新服務的位置],給WSUS
[允許立即安裝自動更新]
10. 發佈FCS群組原則
WSUS
1. 網路設定為總公司內部網路,加入網域從開機後,用網域帳號登入
2. 安裝IIS、ASP.NET
3. 安裝SQL選擇安裝
[SQL Server Database Services]
[Reporting Services]
[Integration Services]
[工作站元件、線上叢書、開發工具]
4. 安裝SQL SP3
5. 安裝GPMC SP1
6. 安裝Report Viewer 2008
7. 安裝WSUS 3.0 SP2
勾選[使用這部電腦現有的資料庫伺服器]
[產品選擇],勾選[Forefront Client Security]
[選擇分類],勾選[更新],FCS Client的軟體是屬於微軟的更新項目
8. 安裝FCS Server
勾選[分佈伺服器]
9. 發佈WSUS群組原則
系統管理範本 --> Windows元件 -->Windows Update
[設定自動更新]
[指定內部網路Micosoft更新服務的位置],給WSUS
[允許立即安裝自動更新]
10. 發佈FCS群組原則
2009年11月16日 星期一
[MS_Lab] SMTP Relay & OWA
總公司:EXG1、EXG2、ISAB、ISAF
DMZ區:SMTP Relay、DNS
在DMZ區安裝SMTP伺服器主要是在於他Relay的功能,
當作公司內部EXG的智慧主機,以避免EXG暴露於Internet遭受直接的攻擊
並且在防火牆開放與發行相關規則,OWA
ISAB
1. 開放SMTP與總公司網域控制站之間AD流量
[DNS]、[LDAP]、[LDAP(UDP)]、[LDAP GCP(通用類別目錄)]
[Kerberos-Adm(UDP)]、[Kerberos-Sec(TCP)]、[Kerberos-Sec(UDP)]
[Microsoft CIFS(TCP)]、[NTP(UDP)]、[RPC(所有界面)]
2. 開放內部到外部的DNS要求
3. 開放內部到外部之間的POP3要求
4. 開放內部到外的SMTP要求
5. 開放SMTP Relay到Exchange伺服器之間的SMTP要求
SMTP Relay
1. 將網路設定到DMZ區網路,安裝SMTP服務
2. # route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.250
3. 加到網域後重新開機後,請用網域帳號登入
4. 設定內收轉寄相關選項
確認存取控制的授權有 [允許匿名存取]
IIS管理員新增SMTP網域lucky.com,並且允許將接收郵件轉寄此網域
轉送所有郵件至智慧主機的IP為兩台EXG的VIP[192.168.5.5]
5.設定外送轉寄相關選項
確認存取控制的授權有勾選 [整合的Windowsu驗證]
轉接限制的部分加入兩台EXG的DIP,不行用VIP
勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]
* 關於route table一定要新增這筆記錄,因為SMTP預設閘道為192.168.6.240前牆的DMZ卡
就算他知道.5.0的封包要往後牆丟也沒用,前牆會認為這是規則外的封包
所以就不傳了,因為前牆沒有開放AD相關流量,所以當封包到前牆的DMZ卡的時候
就會被認定為非法封包,丟
EXG1、EXG2
1. 打開EXG系統管理員裡的伺服器去設定 [預設SMTP虛擬伺服器]
確認存取控制的授權有 [整合的Windowsu驗證]
勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]
傳遞的進階傳遞裡智慧主機填入[192.168.6.6],中括號一定要有
DNS
1. 新增一筆MX的紀錄 smtp.lukcy.com 192.168.168.240
ISAF
1. 發行DMZ SMTP Relay
2. 發行內部POP3伺服器
3. 開放內部到外部的SMTP與POP3要求
4. 開放內部到外部的DNS要求
以上設定結束後,便可將郵件外送,外面郵件也可內寄
接著發行Exchange OWA
ISAF
1. 新增一個外部VIP,192.168.168.239
2. [發行Exchange網頁用戶端存取],全勾
監聽程式的驗證裡的進階,勾選[允許透過HTTP進行用戶端驗證]
驗證委派的地方選擇[沒有委派,但用戶端可以直接驗證]
ISAB
1. 開放ISAF到Exchange的網頁流量
DMZ區:SMTP Relay、DNS
在DMZ區安裝SMTP伺服器主要是在於他Relay的功能,
當作公司內部EXG的智慧主機,以避免EXG暴露於Internet遭受直接的攻擊
並且在防火牆開放與發行相關規則,OWA
ISAB
1. 開放SMTP與總公司網域控制站之間AD流量
[DNS]、[LDAP]、[LDAP(UDP)]、[LDAP GCP(通用類別目錄)]
[Kerberos-Adm(UDP)]、[Kerberos-Sec(TCP)]、[Kerberos-Sec(UDP)]
[Microsoft CIFS(TCP)]、[NTP(UDP)]、[RPC(所有界面)]
2. 開放內部到外部的DNS要求
3. 開放內部到外部之間的POP3要求
4. 開放內部到外的SMTP要求
5. 開放SMTP Relay到Exchange伺服器之間的SMTP要求
SMTP Relay
1. 將網路設定到DMZ區網路,安裝SMTP服務
2. # route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.250
3. 加到網域後重新開機後,請用網域帳號登入
4. 設定內收轉寄相關選項
確認存取控制的授權有 [允許匿名存取]
IIS管理員新增SMTP網域lucky.com,並且允許將接收郵件轉寄此網域
轉送所有郵件至智慧主機的IP為兩台EXG的VIP[192.168.5.5]
5.設定外送轉寄相關選項
確認存取控制的授權有勾選 [整合的Windowsu驗證]
轉接限制的部分加入兩台EXG的DIP,不行用VIP
勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]
* 關於route table一定要新增這筆記錄,因為SMTP預設閘道為192.168.6.240前牆的DMZ卡
就算他知道.5.0的封包要往後牆丟也沒用,前牆會認為這是規則外的封包
所以就不傳了,因為前牆沒有開放AD相關流量,所以當封包到前牆的DMZ卡的時候
就會被認定為非法封包,丟
EXG1、EXG2
1. 打開EXG系統管理員裡的伺服器去設定 [預設SMTP虛擬伺服器]
確認存取控制的授權有 [整合的Windowsu驗證]
勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]
傳遞的進階傳遞裡智慧主機填入[192.168.6.6],中括號一定要有
DNS
1. 新增一筆MX的紀錄 smtp.lukcy.com 192.168.168.240
ISAF
1. 發行DMZ SMTP Relay
2. 發行內部POP3伺服器
3. 開放內部到外部的SMTP與POP3要求
4. 開放內部到外部的DNS要求
以上設定結束後,便可將郵件外送,外面郵件也可內寄
接著發行Exchange OWA
ISAF
1. 新增一個外部VIP,192.168.168.239
2. [發行Exchange網頁用戶端存取],全勾
監聽程式的驗證裡的進階,勾選[允許透過HTTP進行用戶端驗證]
驗證委派的地方選擇[沒有委派,但用戶端可以直接驗證]
ISAB
1. 開放ISAF到Exchange的網頁流量
2009年11月15日 星期日
[MS_Lab] Web Farm & File Server(RAID 5)
DMZ區:DMZWeb1、DMZWeb2、FileServer、ISAF
DMZWeb1、DMZWeb2透過ISA Server發行Web Farm陣列來達到NLB的效果
DMZWeb1、DMZWeb2透過FileServer讀取共同資源,讓網頁內容一致
FileServer運用RAID5技術讓讀取更為快速,且達到資料容錯效果
FileServer
1. 新增三顆同樣大小的硬碟
2. 磁碟管理,初始化連線後轉為動態
指定為RAID 5 ,等待同步化結束
3. 在RAID5磁碟創造網頁根目錄 "www" 並共享,共享權限Full Control
DMZWeb1、DMZWeb2
1. 安裝IIS
2. 根目錄指定到FileServer所共享的目錄,\\fileserver\www
ISAF
1. 伺服器陣列新增一筆陣列 "網頁農場",並加入兩個DMZWeb
2. 發行負載平衡的Web伺服器的伺服器陣列
DMZWeb1、DMZWeb2透過ISA Server發行Web Farm陣列來達到NLB的效果
DMZWeb1、DMZWeb2透過FileServer讀取共同資源,讓網頁內容一致
FileServer運用RAID5技術讓讀取更為快速,且達到資料容錯效果
FileServer
1. 新增三顆同樣大小的硬碟
2. 磁碟管理,初始化連線後轉為動態
指定為RAID 5 ,等待同步化結束
3. 在RAID5磁碟創造網頁根目錄 "www" 並共享,共享權限Full Control
DMZWeb1、DMZWeb2
1. 安裝IIS
2. 根目錄指定到FileServer所共享的目錄,\\fileserver\www
ISAF
1. 伺服器陣列新增一筆陣列 "網頁農場",並加入兩個DMZWeb
2. 發行負載平衡的Web伺服器的伺服器陣列
2009年11月14日 星期六
[MS_Lab] Web NLB & DFS
總公司:MainDC、MainWeb1、MainWeb2、MainSpace
這邊使用的DFS為2003 R2版本之後的DFS
MainWeb1、MainWeb2、MainSpace升級為R2
MainSpace為命名空間用,拓樸上沒有,可以隨機指定任何一台安裝
MainDC使用2003非R2時會有錯誤訊息,文章後面會補上解決方法
MainWeb1、MainWeb2的NLB設定
1. 加入網域後,安裝IIS
2. 在MainWeb1開啟網路負載管理員,新增叢集
IP 192.168.5.22,為兩Web的虛擬IP
完整網域名稱空白,直接去MainDC登記一筆共用的FQDN
其他叢集IP空白,連接埠規則直接下一步
連線主機打MainWeb1的FQDN,選擇LAN網卡
其他預設,完成後等待
3. 新增叢集主機MainWeb2
連線主機打MainWeb1的FQDN,選擇LAN網卡
其他預設,完成後等待
* 這邊會有奇怪的現象,在新增第二台的時候會找不到網卡
會有一張網卡被吃掉,一定是第一張網卡,所以對調一下網卡的順序就可以解決
MainWeb1、MainWeb2的DFS設定
1. 安裝 [Distributed File System],安裝R2後多出來的那個DFS
同時系統會自動勾選 [.Net Framework 2.0] ,要點時間安裝
2. 將C:\Inetpub\wwwroot勾選共用,共用權限設定Full Control
MainSpace
1. 安裝 [Distributed File System],安裝R2後多出來的那個DFS
同時系統會自動勾選 [.Net Framework 2.0] ,要點時間安裝
2. 開啟[DFS管理],[新增名稱區]
名稱區伺服器,MainSpace這台
名稱區名稱及設定,webspace
名稱區類型,以網域為基礎的名稱區
3. 在新增的名稱區內新增 [新資料夾]
名稱 ,www
資料夾目標\\mainweb1\wwwroot、\\mainweb2\wwwroot
4. 複寫設定,採預設選項到完成
* 如果架設網域的DC是2003非R2等級以上的作業系統的話,複寫設定會產生錯誤
主要是Schema的地方有不相容的部分
放入2008光碟 到D:\sources\adprep,執行 adprep /forestprep
/forestPrep 更新樹系資訊,必須在架構角色主機上執行
PS 2003 R2那張光碟應該也有類似的東西,我們採用2008光碟的解法
這邊使用的DFS為2003 R2版本之後的DFS
MainWeb1、MainWeb2、MainSpace升級為R2
MainSpace為命名空間用,拓樸上沒有,可以隨機指定任何一台安裝
MainDC使用2003非R2時會有錯誤訊息,文章後面會補上解決方法
MainWeb1、MainWeb2的NLB設定
1. 加入網域後,安裝IIS
2. 在MainWeb1開啟網路負載管理員,新增叢集
IP 192.168.5.22,為兩Web的虛擬IP
完整網域名稱空白,直接去MainDC登記一筆共用的FQDN
其他叢集IP空白,連接埠規則直接下一步
連線主機打MainWeb1的FQDN,選擇LAN網卡
其他預設,完成後等待
3. 新增叢集主機MainWeb2
連線主機打MainWeb1的FQDN,選擇LAN網卡
其他預設,完成後等待
* 這邊會有奇怪的現象,在新增第二台的時候會找不到網卡
會有一張網卡被吃掉,一定是第一張網卡,所以對調一下網卡的順序就可以解決
MainWeb1、MainWeb2的DFS設定
1. 安裝 [Distributed File System],安裝R2後多出來的那個DFS
同時系統會自動勾選 [.Net Framework 2.0] ,要點時間安裝
2. 將C:\Inetpub\wwwroot勾選共用,共用權限設定Full Control
MainSpace
1. 安裝 [Distributed File System],安裝R2後多出來的那個DFS
同時系統會自動勾選 [.Net Framework 2.0] ,要點時間安裝
2. 開啟[DFS管理],[新增名稱區]
名稱區伺服器,MainSpace這台
名稱區名稱及設定,webspace
名稱區類型,以網域為基礎的名稱區
3. 在新增的名稱區內新增 [新資料夾]
名稱 ,www
資料夾目標\\mainweb1\wwwroot、\\mainweb2\wwwroot
4. 複寫設定,採預設選項到完成
* 如果架設網域的DC是2003非R2等級以上的作業系統的話,複寫設定會產生錯誤
主要是Schema的地方有不相容的部分
放入2008光碟 到D:\sources\adprep,執行 adprep /forestprep
/forestPrep 更新樹系資訊,必須在架構角色主機上執行
PS 2003 R2那張光碟應該也有類似的東西,我們採用2008光碟的解法
[MS_Lab] Exchange Cluster
總公司:MainDC、EXG1、EXG2、MS
網路環境:總公司內部、Heartbeat、Target
EXG1 、EXG2 準備三張網卡 LAN、Heartbeat、Target
MainDC
1. AD使用者及電腦,建立叢集共用帳號 ExgCluster
EXG1
1. 設定三張網卡
LAN
IP 192.168.5.3/24
DG 192.168.5.250
DNS 192.168.5.1
Heartbeat
IP 192.168.4.1/24
Target
IP 192.168.3.1/24
2. 加入網域重新開機
3. 用網域帳號登入後,安裝iSCSI Initiator
EXG2
1. 設定三張網卡
LAN
IP 192.168.5.4/24
DG 192.168.5.250
DNS 192.168.5.1
Heartbeat
IP 192.168.4.2/24
Target
IP 192.168.3.2/24
2. 加入網域重新開機
3. 用網域帳號登入後,安裝iSCSI Initiator
MS
1. 新增兩顆硬碟,Q(quorum)512MB、R(data)2GB
2. 開機後初始化並連線,不要轉動態也不給予磁碟機代號
3. MS設定為Target網路 IP 192.168.3.3/24
4. 安裝WinTarget,並設定如下
Host右鍵新增主機,點選Advanced,選取用IP指定主機
兩台EXG都必須加入
Device右鍵創造磁碟,兩個EXG結點都加入
先創仲裁磁碟,再創資料碟,忽略警告視窗
以上基本設定結束,以下設定必須要確實關機沒有指定到電腦
EXG1、EXG2
0. MS關機
1. 開啟網路連線視窗,進階功能表內的進階設定,改網卡順序
LAN、Target、Heartbeat,讓Heartbeat可以嚴密監控叢集的對方
2. Heartbeat網卡進去IP設定的進階
DNS,把勾勾拿掉
[在DNS中登錄這個連線網路的位址]
[在DNS登入中使用這個連線的DNS尾碼]
WINS,選取
[停用 NetBIOS Over TCP/IP]
3. EXG2關機
EXG1、MS
0. MS開機
1. EXG1存取iSCSI共用磁碟,打開iSCSI Initiator
Discovery標籤,新增MS那台的IP 192.168.3.3
Targets標籤,選區清單的物件後點選Log on,並勾選
[Automatically restore this connection when the system boots]
2. EXG1開啟磁碟管理,初始化並連線且不轉為動態,
格式化的同時,給予磁碟機代號Quorum(Q:)、Data(R:)
3. 等個1分鐘後關閉EXG1
EXG2、MS
0. EXG2開機
1. EXG2存取iSCSI共用磁碟,打開iSCSI Initiator
Discovery標籤,新增MS那台的IP 192.168.3.3
Targets標籤,選區清單的物件後點選Log on,並勾選
[Automatically restore this connection when the system boots]
2. EXG2開啟磁碟管理,初始化並連線且不轉為動態,
不用格式化,直接給予磁碟機代號Quorum(Q:)、Data(R:)
3. 等個1分鐘後關閉EXG2
EXG1、MS
0. EXG1開機,用網域Administrator帳號登入
1. 開啟叢集系統管理員,建立新叢集,叢集IP 192.168.5.6
帳號用MainDC新增的共用帳號 ExgCluster
並確認仲裁磁碟為Disk Q:
EXG1、EXG2、MS
0. EXG2開機
1. 在EXG1的叢集系統管理員新增節點EXG2
密碼為ExgCluster帳號的密碼
2. 加入後,修改叢集設定網卡優先順序,Heartbeat為最優先,以便嚴密監控
並且設定Heartbeat為[只供內部叢集通訊使用(私人網路)]
3. 安裝Exchange 四大元件 IIS、ASP.NET、NNTP、SMTP,一台一台裝
4. 回去叢集系統管理員,自動多出[MSDTC],讓他上線
沒有自動多出就請手動新增
EXG1、EXG2
1. EXG1安裝Exchange Server 2003,確認完全安裝結束後在安裝EXG2
2. EXG2安裝Exchange Server 2003
3. EXG1安裝SP2
4. EXG2安裝SP2
*如果先集中裝一台會出現一些版本不符合的錯誤訊息
Exchange虛擬伺服器
1. 群組右鍵新增群組 "群組Exchange",不須指定慣用擁有者
2. 新增資源,擁有者要確定為兩台Exchange Server
[IP位置],為兩台Exchange的虛擬IP,192.168.5.5
[網路名稱],FQDN用的,"MAIL",資源依存性選擇 "IP位置"
將 [群組 0] 內的 [磁碟R] 拖移到 [群組 Exchange]內
3. 整個群組上線,等一下
4. 新增資源,擁有者要確定為兩台Exchange Server
[Microsoft Exchange System Attendant],資源依存性 [網路名稱] 和 [磁碟R]
5. 等待,上線,等待
6. 開啟POP3,到 [服務] 設定 [Microsoft Exchange POP3] 為手動且啟動
Exchange預設為停用POP3
7. 新增資源,擁有者要確定為兩台Exchange Server
[Microsoft Exchange POP3 Server],資源依存性 [Microsoft Exchange System Attendant]
8. 上線
網路環境:總公司內部、Heartbeat、Target
EXG1 、EXG2 準備三張網卡 LAN、Heartbeat、Target
MainDC
1. AD使用者及電腦,建立叢集共用帳號 ExgCluster
EXG1
1. 設定三張網卡
LAN
IP 192.168.5.3/24
DG 192.168.5.250
DNS 192.168.5.1
Heartbeat
IP 192.168.4.1/24
Target
IP 192.168.3.1/24
2. 加入網域重新開機
3. 用網域帳號登入後,安裝iSCSI Initiator
EXG2
1. 設定三張網卡
LAN
IP 192.168.5.4/24
DG 192.168.5.250
DNS 192.168.5.1
Heartbeat
IP 192.168.4.2/24
Target
IP 192.168.3.2/24
2. 加入網域重新開機
3. 用網域帳號登入後,安裝iSCSI Initiator
MS
1. 新增兩顆硬碟,Q(quorum)512MB、R(data)2GB
2. 開機後初始化並連線,不要轉動態也不給予磁碟機代號
3. MS設定為Target網路 IP 192.168.3.3/24
4. 安裝WinTarget,並設定如下
Host右鍵新增主機,點選Advanced,選取用IP指定主機
兩台EXG都必須加入
Device右鍵創造磁碟,兩個EXG結點都加入
先創仲裁磁碟,再創資料碟,忽略警告視窗
以上基本設定結束,以下設定必須要確實關機沒有指定到電腦
EXG1、EXG2
0. MS關機
1. 開啟網路連線視窗,進階功能表內的進階設定,改網卡順序
LAN、Target、Heartbeat,讓Heartbeat可以嚴密監控叢集的對方
2. Heartbeat網卡進去IP設定的進階
DNS,把勾勾拿掉
[在DNS中登錄這個連線網路的位址]
[在DNS登入中使用這個連線的DNS尾碼]
WINS,選取
[停用 NetBIOS Over TCP/IP]
3. EXG2關機
EXG1、MS
0. MS開機
1. EXG1存取iSCSI共用磁碟,打開iSCSI Initiator
Discovery標籤,新增MS那台的IP 192.168.3.3
Targets標籤,選區清單的物件後點選Log on,並勾選
[Automatically restore this connection when the system boots]
2. EXG1開啟磁碟管理,初始化並連線且不轉為動態,
格式化的同時,給予磁碟機代號Quorum(Q:)、Data(R:)
3. 等個1分鐘後關閉EXG1
EXG2、MS
0. EXG2開機
1. EXG2存取iSCSI共用磁碟,打開iSCSI Initiator
Discovery標籤,新增MS那台的IP 192.168.3.3
Targets標籤,選區清單的物件後點選Log on,並勾選
[Automatically restore this connection when the system boots]
2. EXG2開啟磁碟管理,初始化並連線且不轉為動態,
不用格式化,直接給予磁碟機代號Quorum(Q:)、Data(R:)
3. 等個1分鐘後關閉EXG2
EXG1、MS
0. EXG1開機,用網域Administrator帳號登入
1. 開啟叢集系統管理員,建立新叢集,叢集IP 192.168.5.6
帳號用MainDC新增的共用帳號 ExgCluster
並確認仲裁磁碟為Disk Q:
EXG1、EXG2、MS
0. EXG2開機
1. 在EXG1的叢集系統管理員新增節點EXG2
密碼為ExgCluster帳號的密碼
2. 加入後,修改叢集設定網卡優先順序,Heartbeat為最優先,以便嚴密監控
並且設定Heartbeat為[只供內部叢集通訊使用(私人網路)]
3. 安裝Exchange 四大元件 IIS、ASP.NET、NNTP、SMTP,一台一台裝
4. 回去叢集系統管理員,自動多出[MSDTC],讓他上線
沒有自動多出就請手動新增
EXG1、EXG2
1. EXG1安裝Exchange Server 2003,確認完全安裝結束後在安裝EXG2
2. EXG2安裝Exchange Server 2003
3. EXG1安裝SP2
4. EXG2安裝SP2
*如果先集中裝一台會出現一些版本不符合的錯誤訊息
Exchange虛擬伺服器
1. 群組右鍵新增群組 "群組Exchange",不須指定慣用擁有者
2. 新增資源,擁有者要確定為兩台Exchange Server
[IP位置],為兩台Exchange的虛擬IP,192.168.5.5
[網路名稱],FQDN用的,"MAIL",資源依存性選擇 "IP位置"
將 [群組 0] 內的 [磁碟R] 拖移到 [群組 Exchange]內
3. 整個群組上線,等一下
4. 新增資源,擁有者要確定為兩台Exchange Server
[Microsoft Exchange System Attendant],資源依存性 [網路名稱] 和 [磁碟R]
5. 等待,上線,等待
6. 開啟POP3,到 [服務] 設定 [Microsoft Exchange POP3] 為手動且啟動
Exchange預設為停用POP3
7. 新增資源,擁有者要確定為兩台Exchange Server
[Microsoft Exchange POP3 Server],資源依存性 [Microsoft Exchange System Attendant]
8. 上線
2009年11月13日 星期五
[MS_Lab] DHCP & DHCP Relay Angent
總公司:MainDC、MainDC2
分公司:BranchDC
這邊只建置總公司的DHCP Relay Angent,分公司因為存在著NAP
且DHCP為強制執行點,Relay Angent的異地備援機制會失效
這邊同時整合DNS與WINS的分配,為分擔MainDC擔任GC的重擔
優先配發MainDC2上面的DNS和WINS服務,最後才考慮異地備援
MainDC為DHCP Relay Angent執行點,可以減輕MainDC的負擔
MainDC2
1. 安裝DHCP
2. 新增領域 192.168.5.51~200
路由 192.168.5.250
DNS 192.168.5.2、192.168.5.1、192.168.10.1
WINS 192.168.5.2、192.168.5.1、192.168.10.1
3. 授權並啟動領域
BranchDC
1. 安裝DHCP
2. 與MainDC2上的DHCP設定完全一樣
新增領域 192.168.5.51~200
路由 192.168.5.250
DNS 192.168.5.2、192.168.5.1、192.168.10.1
WINS 192.168.5.2、192.168.5.1、192.168.10.1
3. 授權並啟動領域
4. 等待授權成功,要一點時間
MainDC
1. 開啟路由及遠端存取,新增路由通訊協定[DHCP轉接代理]
2. 設定分公司DHCP伺服器位置 192.168.10.1
3. 新增介面[區域連線]
分公司:BranchDC
這邊只建置總公司的DHCP Relay Angent,分公司因為存在著NAP
且DHCP為強制執行點,Relay Angent的異地備援機制會失效
這邊同時整合DNS與WINS的分配,為分擔MainDC擔任GC的重擔
優先配發MainDC2上面的DNS和WINS服務,最後才考慮異地備援
MainDC為DHCP Relay Angent執行點,可以減輕MainDC的負擔
MainDC2
1. 安裝DHCP
2. 新增領域 192.168.5.51~200
路由 192.168.5.250
DNS 192.168.5.2、192.168.5.1、192.168.10.1
WINS 192.168.5.2、192.168.5.1、192.168.10.1
3. 授權並啟動領域
BranchDC
1. 安裝DHCP
2. 與MainDC2上的DHCP設定完全一樣
新增領域 192.168.5.51~200
路由 192.168.5.250
DNS 192.168.5.2、192.168.5.1、192.168.10.1
WINS 192.168.5.2、192.168.5.1、192.168.10.1
3. 授權並啟動領域
4. 等待授權成功,要一點時間
MainDC
1. 開啟路由及遠端存取,新增路由通訊協定[DHCP轉接代理]
2. 設定分公司DHCP伺服器位置 192.168.10.1
3. 新增介面[區域連線]
[MS_Lab] WINS & DNS
總公司:MainDC、MainDC2
分公司:BranchDC
在網域控制站升級的同時所有網域控制站都有加裝DNS的服務
MainDC
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.5.1
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.2、192.168.10.1
5. 執行[立即複寫],讓彼此同步
MainDC2
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.5.2
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.1、192.168.10.1
5. 執行[立即複寫],讓彼此同步
BranchDC
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.10.1
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.1、192.168.5.2
5. 執行[立即複寫],讓彼此同步
接著DNS的設定
MainDC2
1. MainDC為Active Directory主要整合區,且DC2為同一網域的網域控制站
所以一段時間後會自動複寫
2. 將[基礎結構操作主機]移到MainDC2,因為此操作主機不相容GC
BranchDC
1. 確認站台對站台複寫時只複寫了 _maindc.lucky.com.
2. 手動新增主網域的次要區域 lucky.com
3. 到MainDC手動允許轉送區域
4. 確認轉送成功
*此時可以將分司所有的機器指向分公司的DNS
若沒建立該次要區域,指向分公司DNS的機器欲加入網域,會找不到伺服器
分公司:BranchDC
在網域控制站升級的同時所有網域控制站都有加裝DNS的服務
MainDC
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.5.1
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.2、192.168.10.1
5. 執行[立即複寫],讓彼此同步
MainDC2
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.5.2
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.1、192.168.10.1
5. 執行[立即複寫],讓彼此同步
BranchDC
1. 安裝WINS
2. 設定WINS Server指向本機 192.168.10.1
3. 確認WINS以登記到本機的所屬的WINS Table
4. 新增複寫協力電腦 192.168.5.1、192.168.5.2
5. 執行[立即複寫],讓彼此同步
接著DNS的設定
MainDC2
1. MainDC為Active Directory主要整合區,且DC2為同一網域的網域控制站
所以一段時間後會自動複寫
2. 將[基礎結構操作主機]移到MainDC2,因為此操作主機不相容GC
BranchDC
1. 確認站台對站台複寫時只複寫了 _maindc.lucky.com.
2. 手動新增主網域的次要區域 lucky.com
3. 到MainDC手動允許轉送區域
4. 確認轉送成功
*此時可以將分司所有的機器指向分公司的DNS
若沒建立該次要區域,指向分公司DNS的機器欲加入網域,會找不到伺服器
[MS_Lab] Domain Controller
總公司:MainDC、MainDC2
分公司:BranchDC
網路環境:總公司內部網路、分公司內部網路
當站台對站台VPN建立的同時
防火牆規則會自動開放VPN與內部所有流量
網路規則也會變成路由規則
MainDC
0. 防火牆建置的時候,已經先將MainDC升級為Domain Controller了
1. 到DNS管理介面檢察相關_ldap是否有啟動
2. 利用Active Directory 站台及服務來建立兩個站台
建立子網路192.168.5.0/24、192.168.6.0/24屬於總公司站台
建立子網路192.168.10.1/24屬於分公司站台
3. 建立站台聯結
4. 把Default-First-Site-Name內的MainDC拉近總公司站台內
MainDC2
1. 將MainDC2設定為總公司內部網路,升級為第二台網域控制站
2. AD站台及服務可以看到MainDC2會自動放到總公司站台內
BranchDC
1. 安裝DNS服務
2. 將DNS設定指向MainDC的DNS後,升級為子網域的第一台網域控制站
3. AD站台及服務可以看到BranchDC會自動放到分公司站台內
4. 等待MainDC與BranchDC之間的[物件連結]自動建立完成
5. 等待MainDC內DNS紀錄複製到BranchDC內
6. 紀錄複寫過來後,將慣用DNS伺服器指向自己192.168.10.1
7. 分公司所有電腦慣用DNS伺服器都指向BranchDC 192.168.10.1
*分公司重新開機後幾次後,可以加速自動複寫
這一階段結束後
分開總公司內部、總公司DMZ區、分公司內部三個部分一起建置
分公司:BranchDC
網路環境:總公司內部網路、分公司內部網路
當站台對站台VPN建立的同時
防火牆規則會自動開放VPN與內部所有流量
網路規則也會變成路由規則
MainDC
0. 防火牆建置的時候,已經先將MainDC升級為Domain Controller了
1. 到DNS管理介面檢察相關_ldap是否有啟動
2. 利用Active Directory 站台及服務來建立兩個站台
建立子網路192.168.5.0/24、192.168.6.0/24屬於總公司站台
建立子網路192.168.10.1/24屬於分公司站台
3. 建立站台聯結
4. 把Default-First-Site-Name內的MainDC拉近總公司站台內
MainDC2
1. 將MainDC2設定為總公司內部網路,升級為第二台網域控制站
2. AD站台及服務可以看到MainDC2會自動放到總公司站台內
BranchDC
1. 安裝DNS服務
2. 將DNS設定指向MainDC的DNS後,升級為子網域的第一台網域控制站
3. AD站台及服務可以看到BranchDC會自動放到分公司站台內
4. 等待MainDC與BranchDC之間的[物件連結]自動建立完成
5. 等待MainDC內DNS紀錄複製到BranchDC內
6. 紀錄複寫過來後,將慣用DNS伺服器指向自己192.168.10.1
7. 分公司所有電腦慣用DNS伺服器都指向BranchDC 192.168.10.1
*分公司重新開機後幾次後,可以加速自動複寫
這一階段結束後
分開總公司內部、總公司DMZ區、分公司內部三個部分一起建置
2009年11月12日 星期四
[MS_Lab] ISA Server Back to Back & Site to Site VPN
總公司:MainDC、CSS(並且安裝獨立CA)、後牆兩面、前牆兩面
DMZ區:DNS
分公司:BranchDC、分公司牆
網路環境:總公司內部、總公司DMZ網路、外部網路、分公司內部
CSS存放區主要在存放前後兩牆的規則並且控制前後端防火牆NLB
CSS安裝獨立CA主要是,ISA與CSS分開安裝,需要透過憑證才能溝通
MainDC升級時順便安裝DNS服務,因為ISA與CSS溝通需要用FQDN
MainDC和BranchDC會另做說明
DNS為對外提供服務的DNS伺服器
MainDC
1. 將MainDC設定為總公司內部網路,升級
2. 在MainDC內安裝企業根CA,作為VPN Site to Site L2TP加密用憑證
CSS
1. 將CSS設定為總公司內部網路,加入網域後重新開機
主要用意在於DNS的紀錄,所以請確定已存在
2. 安裝獨立根CA,並且申請憑證(必須使用CSS的FQDN),安裝憑證
申請憑證請注意兩個選項,請務必勾選
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
3. 執行MMC,並匯出金鑰含私密金鑰
4. 安裝CSS,安裝過程請選擇第四步驟的金鑰,結束後重新開機
5. 建立後端陣列BackendArray,並請在DNS上登記此陣列的FQDN
IP設定為陣列的虛擬IP 192.168.5.250
將CSS驗證改為[在SSL加密通道上驗證]
6. 建立後端Intra-Array網路,隨便設定一段ClassC的內部網段即可
意在於兩道牆的彼此供通,詳細原理請看戴老師ISA單點傳輸的部分
7. 建立前端陣列FrontendArray,並請在DNS上登記此陣列的FQDN
IP設定為陣列的虛擬IP 192.168.6.240
將CSS驗證改為[在SSL加密通道上驗證]
8. 建立後端Intra-Array網路,隨便設定一段ClassC的內部網段即可
意在於兩道牆的彼此供通,詳細原理請看戴老師ISA單點傳輸的部分
9. 開放CSS電腦可以管理這兩個ISA陣列
[企業遠端管理電腦],在企業原則的網路物件內。
後端ISA Server陣列的設定
0. 設定三張網路卡分別屬於總公司內部網路、總公司DMZ網路、Intra-Array
1. 因為ISA不加入網域,所以兩台機器上變更尾碼,並登記於DNS內
2. 確認FQDN可以互相解到CSS和兩台機器的IP
3. 信任CA,下載CA鏈結,並使用MMC安裝於本機電腦的憑證信任區
4. 在結點1上安裝ISA Server
過程請輸入CSS的FQDN,及連結帳密(用網域的)
並且加入後端陣列BackendArray
選擇SSL加密通道驗證
設定總公司內部網路網段192.168.5.0/24
5. 執行ISA管理主控台將陣列內通訊IP改為Intra-Array
如此一來,結點2安裝的時候會自動選取。
6. 在結點1上安裝ISA Server,動作類似4.
7. ISA未加入網域,必須在兩台Server建立鏡像帳戶,隨便取,帳密一樣就好
8. 將陣列內部認證帳號設立為鏡像帳戶
9. 指派角色,將鏡像指定為允許間是此陣列的帳戶[ISA 陣列系統管理員]
10. 啟動後端陣列NLB,檢查CSS是否同步、相關服務是否正常執行中
內部虛擬IP 192.168.5.250
外部虛擬IP 192.168.6.250
* 內部對外部網路規則改為路由規則
後端ISA Server陣列開放前端陣列所需流量
1. 前端ISA到內部DNS伺服器查詢CSS主機IP位址所需的流量
2. 前端ISA到獨立CA所需的網頁流量,以便信任CA
3. 前端ISA到CSS所需的流量,來源端指定前端兩台ISA
[MS 防火牆存取區]
[Microsoft CIFS(TCP)]
4. CSS到前端ISA所需的流量,目的端指定前端兩台ISA
[MS防火牆控制]
[RPC(所有界面)]
前端ISA Server陣列的設定
0. 設定三張網路卡分別屬於總公司DMZ網路、外部網路、Intra-Array
1. 兩台機器上變更尾碼,並登記於DNS內
2. 在兩節點路由表新增發送到總公司內部網段所需經過的路由
route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.250 if 0x1000?
3. 確認FQDN可以互相解到CSS和兩台機器的IP
4. 信任CA,下載CA鏈結,並使用MMC安裝於本機電腦的憑證信任區
5. 在結點1上安裝ISA Server
過程請輸入CSS的FQDN,及連結帳密(用網域的)
並且加入後端陣列BackendArray
選擇SSL加密通道驗證
設定總公司內部網路網段 192.168.5.0/24、192.168.6.0/24
6. 執行ISA管理主控台將陣列內通訊IP改為Intra-Array
如此一來,結點2安裝的時候會自動選取。
7. 在結點1上安裝ISA Server,動作類似4.
8. 在兩台Server建立鏡像帳戶,推薦和後牆的鏡像帳戶一樣
9. 將陣列內部認證帳號設立為鏡像帳戶
10. 指派角色,將鏡像指定為允許間是此陣列的帳戶[ISA 陣列系統管理員]
11. 啟動後端陣列NLB,檢查CSS是否同步、相關服務是否正常執行中
內部虛擬IP 192.168.6.240
外部虛擬IP 192.168.168.240
*以上前牆和後牆的內網卡,請注意DNS必須指向內部的DNS
DNS
1. 將MainDC設定為總公司DMZ網路,安裝DNS服務
2. 建立lucky.com區域
3. 登記對外提供服務的主機資料
因為要讓分公司的牆去申請憑證及信任企業CA
先登記一筆MainDC.lucky.com 192.168.168.240
總公司前端ISA Server發行規則
1. 發行DNS 192.168.6.1
2. 發行企業根CA maindc.lucky.com
* 監聽程式的驗證裡的進階,勾選 [允許透過HTTP進行用戶端驗證]
驗證委派的地方選擇 [沒有委派,但用戶端可以直接驗證]
總公司後端ISA Server發行規則
1. 允許前端ISA Server到企業根CA網站的流量
因為網頁是由ISA監聽的,所以開放ISA到CA流量即可
總公司後端ISA Server建立VPN站台
1. 建立遠端VPN站台branch,靜態IP指派不可重複
2. 在兩台ISA Server本機建立具備[允許存取]撥入權力的著帳戶branch
3. 並且替兩台申請企業憑證並安裝且確認信任企業CA
因為是企業CA,請申請[系統管理員],並勾選以下兩個選項
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
先替一台申請,匯出後再去另外一台匯入
4. 重新啟動[路由及遠端存取的服務],在ISA主控台的服務
總公司前端防火牆開放VPN相關規則
1. 發行VPN Server。提供VPN 伺服器服務,讓分公司可以連線
[PPTP伺服器]
[IKE伺服器]
[IPSec NAT-T伺服器]
2. 允許VPN Client。讓後牆可以提出VPN要求,連線分公司
[PPTP]
[IKE用戶端]
[IPSec NAT-T用戶端]
分公司ISA Server安裝與VPN站台設定
0. 設定兩張網路卡分別屬於分公司內部網路、外部網路
外部網卡DNS請指向總公司所發行的DNS,這樣才能查到相對應的IP
1. 安裝ISA Server與CSS於同一台內
2. 建立遠端VPN站台main,靜態IP指派不可與總公司的重複
遠端站台設定為總公司前牆發行VPN伺服器的虛擬IP 192.168.168.240
遠端網路IP位置範圍選擇公司內部網路 192.168.5.0/24
[遠端NLB]必須輸入兩台前牆的實體IP 192.168.168.241-242
3. 在ISA Server本機建立具備[允許存取]撥入權力的著帳戶main
4. 替ISA Server申請企業憑證並信任企業CA
因為是企業CA,請申請[系統管理員],並勾選以下兩個選項
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
5. 重新啟動[路由及遠端存取的服務],在ISA主控台的服務
6. 利用Regedit.exe 修改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servies\IPSec
新增一筆 AssumeUDPEncapsulationContextOnSendRule 型態為DWORD
數值改為1,並重新啟動電腦
目的為了讓VPN站台可以連結NAT後面的VPN站台
BranchDC
1. 將BranchDC設定為分公司內部網路,尚未加入網域
2. 暫時為這一階段的測試電腦,確認兩個NAT電腦可以透過VPN互通
測試
1. 到系統管理工具的遠端及路由存取裡面彼此主動連線對方
2. MainDC與BranchDC彼此互ping對方
當站台對站台VPN建立的同時
防火牆規則會自動開放VPN與內部所有流量
網路規則也會變成路由規則
參考文獻 戴有煒老師上課的教材、ISA Server 2006 防火牆安裝與管理指南
DMZ區:DNS
分公司:BranchDC、分公司牆
網路環境:總公司內部、總公司DMZ網路、外部網路、分公司內部
CSS存放區主要在存放前後兩牆的規則並且控制前後端防火牆NLB
CSS安裝獨立CA主要是,ISA與CSS分開安裝,需要透過憑證才能溝通
MainDC升級時順便安裝DNS服務,因為ISA與CSS溝通需要用FQDN
MainDC和BranchDC會另做說明
DNS為對外提供服務的DNS伺服器
MainDC
1. 將MainDC設定為總公司內部網路,升級
2. 在MainDC內安裝企業根CA,作為VPN Site to Site L2TP加密用憑證
CSS
1. 將CSS設定為總公司內部網路,加入網域後重新開機
主要用意在於DNS的紀錄,所以請確定已存在
2. 安裝獨立根CA,並且申請憑證(必須使用CSS的FQDN),安裝憑證
申請憑證請注意兩個選項,請務必勾選
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
3. 執行MMC,並匯出金鑰含私密金鑰
4. 安裝CSS,安裝過程請選擇第四步驟的金鑰,結束後重新開機
5. 建立後端陣列BackendArray,並請在DNS上登記此陣列的FQDN
IP設定為陣列的虛擬IP 192.168.5.250
將CSS驗證改為[在SSL加密通道上驗證]
6. 建立後端Intra-Array網路,隨便設定一段ClassC的內部網段即可
意在於兩道牆的彼此供通,詳細原理請看戴老師ISA單點傳輸的部分
7. 建立前端陣列FrontendArray,並請在DNS上登記此陣列的FQDN
IP設定為陣列的虛擬IP 192.168.6.240
將CSS驗證改為[在SSL加密通道上驗證]
8. 建立後端Intra-Array網路,隨便設定一段ClassC的內部網段即可
意在於兩道牆的彼此供通,詳細原理請看戴老師ISA單點傳輸的部分
9. 開放CSS電腦可以管理這兩個ISA陣列
[企業遠端管理電腦],在企業原則的網路物件內。
後端ISA Server陣列的設定
0. 設定三張網路卡分別屬於總公司內部網路、總公司DMZ網路、Intra-Array
1. 因為ISA不加入網域,所以兩台機器上變更尾碼,並登記於DNS內
2. 確認FQDN可以互相解到CSS和兩台機器的IP
3. 信任CA,下載CA鏈結,並使用MMC安裝於本機電腦的憑證信任區
4. 在結點1上安裝ISA Server
過程請輸入CSS的FQDN,及連結帳密(用網域的)
並且加入後端陣列BackendArray
選擇SSL加密通道驗證
設定總公司內部網路網段192.168.5.0/24
5. 執行ISA管理主控台將陣列內通訊IP改為Intra-Array
如此一來,結點2安裝的時候會自動選取。
6. 在結點1上安裝ISA Server,動作類似4.
7. ISA未加入網域,必須在兩台Server建立鏡像帳戶,隨便取,帳密一樣就好
8. 將陣列內部認證帳號設立為鏡像帳戶
9. 指派角色,將鏡像指定為允許間是此陣列的帳戶[ISA 陣列系統管理員]
10. 啟動後端陣列NLB,檢查CSS是否同步、相關服務是否正常執行中
內部虛擬IP 192.168.5.250
外部虛擬IP 192.168.6.250
* 內部對外部網路規則改為路由規則
後端ISA Server陣列開放前端陣列所需流量
1. 前端ISA到內部DNS伺服器查詢CSS主機IP位址所需的流量
2. 前端ISA到獨立CA所需的網頁流量,以便信任CA
3. 前端ISA到CSS所需的流量,來源端指定前端兩台ISA
[MS 防火牆存取區]
[Microsoft CIFS(TCP)]
4. CSS到前端ISA所需的流量,目的端指定前端兩台ISA
[MS防火牆控制]
[RPC(所有界面)]
前端ISA Server陣列的設定
0. 設定三張網路卡分別屬於總公司DMZ網路、外部網路、Intra-Array
1. 兩台機器上變更尾碼,並登記於DNS內
2. 在兩節點路由表新增發送到總公司內部網段所需經過的路由
route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.250 if 0x1000?
3. 確認FQDN可以互相解到CSS和兩台機器的IP
4. 信任CA,下載CA鏈結,並使用MMC安裝於本機電腦的憑證信任區
5. 在結點1上安裝ISA Server
過程請輸入CSS的FQDN,及連結帳密(用網域的)
並且加入後端陣列BackendArray
選擇SSL加密通道驗證
設定總公司內部網路網段 192.168.5.0/24、192.168.6.0/24
6. 執行ISA管理主控台將陣列內通訊IP改為Intra-Array
如此一來,結點2安裝的時候會自動選取。
7. 在結點1上安裝ISA Server,動作類似4.
8. 在兩台Server建立鏡像帳戶,推薦和後牆的鏡像帳戶一樣
9. 將陣列內部認證帳號設立為鏡像帳戶
10. 指派角色,將鏡像指定為允許間是此陣列的帳戶[ISA 陣列系統管理員]
11. 啟動後端陣列NLB,檢查CSS是否同步、相關服務是否正常執行中
內部虛擬IP 192.168.6.240
外部虛擬IP 192.168.168.240
*以上前牆和後牆的內網卡,請注意DNS必須指向內部的DNS
DNS
1. 將MainDC設定為總公司DMZ網路,安裝DNS服務
2. 建立lucky.com區域
3. 登記對外提供服務的主機資料
因為要讓分公司的牆去申請憑證及信任企業CA
先登記一筆MainDC.lucky.com 192.168.168.240
總公司前端ISA Server發行規則
1. 發行DNS 192.168.6.1
2. 發行企業根CA maindc.lucky.com
* 監聽程式的驗證裡的進階,勾選 [允許透過HTTP進行用戶端驗證]
驗證委派的地方選擇 [沒有委派,但用戶端可以直接驗證]
總公司後端ISA Server發行規則
1. 允許前端ISA Server到企業根CA網站的流量
因為網頁是由ISA監聽的,所以開放ISA到CA流量即可
總公司後端ISA Server建立VPN站台
1. 建立遠端VPN站台branch,靜態IP指派不可重複
2. 在兩台ISA Server本機建立具備[允許存取]撥入權力的著帳戶branch
3. 並且替兩台申請企業憑證並安裝且確認信任企業CA
因為是企業CA,請申請[系統管理員],並勾選以下兩個選項
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
先替一台申請,匯出後再去另外一台匯入
4. 重新啟動[路由及遠端存取的服務],在ISA主控台的服務
總公司前端防火牆開放VPN相關規則
1. 發行VPN Server。提供VPN 伺服器服務,讓分公司可以連線
[PPTP伺服器]
[IKE伺服器]
[IPSec NAT-T伺服器]
2. 允許VPN Client。讓後牆可以提出VPN要求,連線分公司
[PPTP]
[IKE用戶端]
[IPSec NAT-T用戶端]
分公司ISA Server安裝與VPN站台設定
0. 設定兩張網路卡分別屬於分公司內部網路、外部網路
外部網卡DNS請指向總公司所發行的DNS,這樣才能查到相對應的IP
1. 安裝ISA Server與CSS於同一台內
2. 建立遠端VPN站台main,靜態IP指派不可與總公司的重複
遠端站台設定為總公司前牆發行VPN伺服器的虛擬IP 192.168.168.240
遠端網路IP位置範圍選擇公司內部網路 192.168.5.0/24
[遠端NLB]必須輸入兩台前牆的實體IP 192.168.168.241-242
3. 在ISA Server本機建立具備[允許存取]撥入權力的著帳戶main
4. 替ISA Server申請企業憑證並信任企業CA
因為是企業CA,請申請[系統管理員],並勾選以下兩個選項
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
5. 重新啟動[路由及遠端存取的服務],在ISA主控台的服務
6. 利用Regedit.exe 修改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servies\IPSec
新增一筆 AssumeUDPEncapsulationContextOnSendRule 型態為DWORD
數值改為1,並重新啟動電腦
目的為了讓VPN站台可以連結NAT後面的VPN站台
BranchDC
1. 將BranchDC設定為分公司內部網路,尚未加入網域
2. 暫時為這一階段的測試電腦,確認兩個NAT電腦可以透過VPN互通
測試
1. 到系統管理工具的遠端及路由存取裡面彼此主動連線對方
2. MainDC與BranchDC彼此互ping對方
當站台對站台VPN建立的同時
防火牆規則會自動開放VPN與內部所有流量
網路規則也會變成路由規則
參考文獻 戴有煒老師上課的教材、ISA Server 2006 防火牆安裝與管理指南
2009年11月11日 星期三
[MS_Lab] 建置流程
Step1
總公司Back to Back 防火牆,使用分離CSS並設定CSS可以集中控管
Step2
分公司防火牆,CSS與防火牆安裝於同一台
Step3
確認用本機帳號防火牆整合VPN可以正常連線
Step4
建置總公司內部伺服器
Step5
建置DMZ區所有服務
Step6
建置分公司內部伺服器
Step7
設定防火牆VPN帳號認證,轉由RADIUS負責
Step8
驗收
總公司Back to Back 防火牆,使用分離CSS並設定CSS可以集中控管
Step2
分公司防火牆,CSS與防火牆安裝於同一台
Step3
確認用本機帳號防火牆整合VPN可以正常連線
Step4
建置總公司內部伺服器
Step5
建置DMZ區所有服務
Step6
建置分公司內部伺服器
Step7
設定防火牆VPN帳號認證,轉由RADIUS負責
Step8
驗收
[MS_Lab] 拓樸解說
Lucky.com
組長: 廖英凱 組員: 吳文峻 呂學青 梁孝銘 陳紹唐
首先,我們將拓樸分兩大部分探討,一是我們的總公司,另一個是我們的分公司。在總公司方面我們還建立了DMZ對外網路服務區,並且使用Back to Back的防火牆建模式來徹底區分公司內部與對外網路服務區;而分公司也以防火牆來保護內部。總公司與分公司彼此可以透過防火牆整合VPN來存取公司內部的資源,且使用L2TP加密的VPN通道,讓資訊的傳遞更為安全;外部使用者也可以透過VPN的連線直接存取公司的資源。同時在總公司前後牆都建立NLB來確保網路的正常運作。
總公司內部,建置AD DS網域的環境,以便資源的集中控管及使用者權力的指派。為方便內部電腦的互連,架設了多台的WINS Server及DNS Server及網域控制站,可達到高可用性和負載平衡的效果。DHCP配發IP方面,我們使用了DHCP轉接代理的方式作為備援,經過VPN通道透過路由可轉送DHCP要求。同樣的我們在分公司也建立起AD DS網域的環境,並且隸屬於總公司的子網域,與總公司不同站台。在DNS備援方面,總公司是使用子網域委派分公司DNS;分公司設立總公司次要區域,並允許總公司區域轉送;WINS則互為協力電腦。
Exgchange、公司內部網頁、WSUS、FCS企業防毒部署等伺服器也架設於總公司內部,Exchange架設建立了叢集並且使用iSCSI存取技術。公司內部網頁,我們運用了Web NLB的功能,並且在網頁資料夾方面設定DFS複寫,確保資料即時的同步與網路的負載平衡。WSUS建置可以大幅降低微軟作業系統更新時龐大的網路載量,搭配群組原則可更有效的改善公司對外網路的流暢度。FCS企業防毒可以透過群組原則部署並且集中控管掃描用戶端電腦,並且確實的問題回報。而NAP伺服器的建置可以確保電腦的健康情況,讓公司內部更為安全。
接著介紹總公司DMZ區的建置,Web Server我們搭配ISA Server使用Web Farm的的規則發放,使之達到高可用性的效果,並且架設RAID5的File Server以提高網頁資料的讀取速度及資料容錯的功能。FTP Server方面,允許匿名登入以便使用者下載,主要的功用是在分攤網頁伺服器的負擔。SMTP Relay的架設,一來代替公司內轉寄外送的郵件,二來可以幫忙接受內收的郵件,三來所有信件都可以在此過濾,總結來說可以確保公司內部郵件伺服器的安全。
http://life.iiietc.ncu.edu.tw/xms/content/show.php?id=25125
2009年10月26日 星期一
[微軟] Exchange Cluster with iSCSI
Exchange Cluster 建置 2003 base
1. 四台電腦,一台DC,兩台Server,一台iSCSI target
2. 另外準備兩顆磁碟,仲裁和資料碟
3. 建立DC
4. 兩台Exchange Server基本設定完成後加入網域
i.三張網卡,一與網域通,二監控對方server,三連接儲存媒介
ii.請安裝iSCSI initiator
5. 建立儲存媒介,安裝WinTarget並設定
以上基本設定結束,以下為了怕被干擾,要確實關機
6. 請確定節點二關機,設定節點一與儲存媒介的連線
發現、登入、格式化、給代號
7. 請確定節點一關機,設定節點二與儲存媒介的連線
發現、登入、給代號(請勿格式化了)
8. 請確定節點二關機,開始設定叢集
此時叢集要去DNS註冊一個IP,所以要稍微注意一下
9. 開啟節點二,加入叢集
10. 設定叢集內網路的資源。優先順序、網路型態
11. 測試叢集資源轉換是否正常,並分別在兩個節點安裝,Exchange必要原件
12. 在"叢集群組"內新增DTC(分散式交易協調器),依存: 叢集名稱、仲裁磁碟
13. 開始安裝Exchange,請確認第一台安裝完畢再安裝第二台
安裝完成後,Exchange服務都不會啟動,可以去確認一下
14. 創新叢集群組,並確認所有資源都在同一群組內
資源: IP address、Network name、Physical disk、System Attendant
IP address 和 Physical disk 沒有依存
Network name 依存於 IP address
Microsoft Exchange System Attendant 依存於 Network name 和 Physical disk
其他Exchange相關的服務依存於 System Attendant
15. Network name 和 Physical disk先上線,Attendant 都確認後也上線
16. Finshed
PS 請先確認叢集安裝後再安裝服務
如果先有服務,在設定叢集會怎麼樣,我也不知道
想試,等有時間吧
2. 另外準備兩顆磁碟,仲裁和資料碟
3. 建立DC
4. 兩台Exchange Server基本設定完成後加入網域
i.三張網卡,一與網域通,二監控對方server,三連接儲存媒介
ii.請安裝iSCSI initiator
5. 建立儲存媒介,安裝WinTarget並設定
以上基本設定結束,以下為了怕被干擾,要確實關機
6. 請確定節點二關機,設定節點一與儲存媒介的連線
發現、登入、格式化、給代號
7. 請確定節點一關機,設定節點二與儲存媒介的連線
發現、登入、給代號(請勿格式化了)
8. 請確定節點二關機,開始設定叢集
此時叢集要去DNS註冊一個IP,所以要稍微注意一下
9. 開啟節點二,加入叢集
10. 設定叢集內網路的資源。優先順序、網路型態
11. 測試叢集資源轉換是否正常,並分別在兩個節點安裝,Exchange必要原件
12. 在"叢集群組"內新增DTC(分散式交易協調器),依存: 叢集名稱、仲裁磁碟
13. 開始安裝Exchange,請確認第一台安裝完畢再安裝第二台
安裝完成後,Exchange服務都不會啟動,可以去確認一下
14. 創新叢集群組,並確認所有資源都在同一群組內
資源: IP address、Network name、Physical disk、System Attendant
IP address 和 Physical disk 沒有依存
Network name 依存於 IP address
Microsoft Exchange System Attendant 依存於 Network name 和 Physical disk
其他Exchange相關的服務依存於 System Attendant
15. Network name 和 Physical disk先上線,Attendant 都確認後也上線
16. Finshed
PS 請先確認叢集安裝後再安裝服務
如果先有服務,在設定叢集會怎麼樣,我也不知道
想試,等有時間吧
2009年10月21日 星期三
[微軟] Exchange 部署方式
發送面
• 各自獨立
Exg1 → 雲雲雲雲雲雲
Exg2 → 雲雲雲雲雲雲
Exg3 → 雲雲雲雲雲雲雲
每一台伺服器各自獨立,直接面對外面的雲,所以受到攻擊的風險比較高
• 指向智慧主機
Exg1 ↘
Exg2 →SMTP Relay → 雲雲雲雲雲
Exg3 ↗
所以Exg對外發送的郵件都丟改SMTP代理去轉送,所以隔開了外部網路和內部網路
不過每一台Exg都要自行設定所指向的智慧主機,有三台就要設定三次
• 設立Bridgehead Server
Exg1 ↘
Exg2 → 雲雲雲
Exg3 ↗
Exg2是橋頭伺服器,一樣隔開了內外部的網路,但只要在Exg2設定一次所有機器都套用
接收面
• 各自獨立
Exg1 ← 雲雲雲雲雲雲
Exg2 ← 雲雲雲雲雲雲
Exg3 ← 雲雲雲雲雲雲雲
使用者會知道自己的信箱在哪一台伺服器上面,但MX隨便一台都可,AD會自動轉網址
• 由智慧主機接收
Exg1 ↖
Exg2 <-- SMTP Relay ← 雲雲雲雲雲
Exg3 ↙
透過SMTP代理去接收,隨透過哪一台都一樣,AD會去幫你找相對應的信箱,所以會有虛線
• 設定前端伺服器
Exg1 ↖
Exg2 ← 雲雲雲
Exg3 ↙
前端和橋頭伺服器是不一樣的,一旦設定為前端,
很多功能就不能用,EX:離線通訊清單不能由此發放。
外部透過http/https運用OWA的方式來收信,
前端會先去後端抓資料,再送給OWA使用者。
而前端與後端正常的溝通是用http就可以了,內部不用加密。
且網址統一為Exg2的FQDN,使用者在使用上比較不會納悶。
缺點是Outlook用這種方法會有問題
• 各自獨立
Exg1 → 雲雲雲雲雲雲
Exg2 → 雲雲雲雲雲雲
Exg3 → 雲雲雲雲雲雲雲
每一台伺服器各自獨立,直接面對外面的雲,所以受到攻擊的風險比較高
• 指向智慧主機
Exg1 ↘
Exg2 →SMTP Relay → 雲雲雲雲雲
Exg3 ↗
所以Exg對外發送的郵件都丟改SMTP代理去轉送,所以隔開了外部網路和內部網路
不過每一台Exg都要自行設定所指向的智慧主機,有三台就要設定三次
• 設立Bridgehead Server
Exg1 ↘
Exg2 → 雲雲雲
Exg3 ↗
Exg2是橋頭伺服器,一樣隔開了內外部的網路,但只要在Exg2設定一次所有機器都套用
接收面
• 各自獨立
Exg1 ← 雲雲雲雲雲雲
Exg2 ← 雲雲雲雲雲雲
Exg3 ← 雲雲雲雲雲雲雲
使用者會知道自己的信箱在哪一台伺服器上面,但MX隨便一台都可,AD會自動轉網址
• 由智慧主機接收
Exg1 ↖
Exg2 <-- SMTP Relay ← 雲雲雲雲雲
Exg3 ↙
透過SMTP代理去接收,隨透過哪一台都一樣,AD會去幫你找相對應的信箱,所以會有虛線
• 設定前端伺服器
Exg1 ↖
Exg2 ← 雲雲雲
Exg3 ↙
前端和橋頭伺服器是不一樣的,一旦設定為前端,
很多功能就不能用,EX:離線通訊清單不能由此發放。
外部透過http/https運用OWA的方式來收信,
前端會先去後端抓資料,再送給OWA使用者。
而前端與後端正常的溝通是用http就可以了,內部不用加密。
且網址統一為Exg2的FQDN,使用者在使用上比較不會納悶。
缺點是Outlook用這種方法會有問題
[微軟] 用IIS架設網站
Internet Information Services, IIS
以2003為基礎。IIS server最好為靜態IP,也請再DNS server建立相對應正解,網頁的根目錄最好存放在NTFS磁碟分割區。
Step1. 開始 --> 控制台 --> 新增或移除程式 --> 新增/移除 Windows 元件
Step2. 點選Application Server
Step3. 勾選IIS後安裝
預設的網站右鍵內容 先介紹一下裡面的幾種設定
主目錄 --> 這台電腦上的目錄
這邊就是網頁在本機的目錄
主目錄 --> 另一台電腦上的共用位置
請打上UNC,並點取右邊的使用者名稱,設定連結的帳號密碼,此時不管是否兩台電腦擁有相同帳號及密碼,還是請大家把勾勾拿掉,從新輸入擁有資料夾來源端相對權限的帳密。如下圖
主目錄 --> 某個URL重新導向
使用時機是在網頁維修的時候,就自動導向某一特定網頁
主目錄 --> 應用程式設定值
如果有要跑ASP的一些東西,執行權限請選擇 "僅指令碼"
文件 --> 啟用預設內容頁
預設網頁會優先跑的檔案名稱,依個人喜好高興就好
文件 --> 啟用文件頁尾
大家可以研究一下yahoo網頁的最後一段,每一頁都有,每一頁都一樣,這邊的文件頁尾有點類似,只是有點類似,不過網頁設計師並不會真的勾選這選項,不加贅述,有興趣的人可以問網頁強者。
實體目錄和虛擬目錄
實體目錄為主目錄下設定的路徑下的所有目錄都稱之,本機或另一台伺服器都算是實體目錄,只要是根目錄以下非虛擬目錄的都算之。
而虛擬目錄是運用連結的觀念,讓使用者可以透過這個目錄,去開啟不是存在根目錄之下的目錄,或者縮短根目錄底下複雜連結的對應,在做連結的時候,相對的權限也會被賦予,所以不會有權限不對的問題。
虛擬目錄的建置,他可以是本機任何一個地方的目錄,當然也可以是網頁根目錄裡的目錄;運用最廣的莫過於虛擬其他台伺服器的目錄,建置會要求輸入來源端的帳號密碼,也請拿掉勾勾乖乖輸入。
建立新網站
如何在同一台機器上面建立新網站,有三個判斷的值至少要一個不一樣
1. 主機標頭名稱
請先在DNS伺服端再註冊一個FQDN。特別要注意如果使用主機標頭名稱來建立後,就無法使用IP連線,因為無法正常判斷要給哪個網頁,
2. IP
利用IP的話要先在網卡上面多增加一組IP,如何增加,先到設定IP的地方點選進階,如下圖
3. TCP連接埠
運用連接埠的方式是在設定上最輕鬆的,不過一些工作卻默默的轉嫁給使用者,因為在鍵入網址的時候必須一同帶上連接埠號碼,如1234那連結就要寫 http://nlb.ying.com:1234/,不寫預設就是80。
回來繼續介紹預設網站右鍵內容的設定
目錄安全設定 --> 驗證及存取控制 --> 編輯
匿名驗證
勾選匿名存取就可以了,使用者名稱和密碼是在安裝IIS的時候就會自動在本機建置,密碼是什麼應該是沒有人知道,不過可以用使用者管理去強制修改,不用怕刪掉打不回去。
基本驗證
明碼傳輸,請搭配SSL才能確保帳密有加密。
摘要式驗證
經過MD5加密,IIS必須是網域內的伺服器或DC,使用者必須是與IIS同一網域或信任的網域,這邊比較麻煩的是,要去AD修改使用者密碼的屬性,如下圖。特別注意打勾勾後再重新設定密碼才會生效。
整合式Windows驗證
一言難盡,安全性最高,好處多,限制也多。引用一篇有興趣的可以參考參考,http://ccie11440.blogspot.com/2008/07/windows-integrated-windows.html
以2003為基礎。IIS server最好為靜態IP,也請再DNS server建立相對應正解,網頁的根目錄最好存放在NTFS磁碟分割區。
Step1. 開始 --> 控制台 --> 新增或移除程式 --> 新增/移除 Windows 元件
Step2. 點選Application Server
Step3. 勾選IIS後安裝
預設的網站右鍵內容 先介紹一下裡面的幾種設定
主目錄 --> 這台電腦上的目錄
這邊就是網頁在本機的目錄
主目錄 --> 另一台電腦上的共用位置
請打上UNC,並點取右邊的使用者名稱,設定連結的帳號密碼,此時不管是否兩台電腦擁有相同帳號及密碼,還是請大家把勾勾拿掉,從新輸入擁有資料夾來源端相對權限的帳密。如下圖
主目錄 --> 某個URL重新導向
使用時機是在網頁維修的時候,就自動導向某一特定網頁
主目錄 --> 應用程式設定值
如果有要跑ASP的一些東西,執行權限請選擇 "僅指令碼"
文件 --> 啟用預設內容頁
預設網頁會優先跑的檔案名稱,依個人喜好高興就好
文件 --> 啟用文件頁尾
大家可以研究一下yahoo網頁的最後一段,每一頁都有,每一頁都一樣,這邊的文件頁尾有點類似,只是有點類似,不過網頁設計師並不會真的勾選這選項,不加贅述,有興趣的人可以問網頁強者。
實體目錄和虛擬目錄
實體目錄為主目錄下設定的路徑下的所有目錄都稱之,本機或另一台伺服器都算是實體目錄,只要是根目錄以下非虛擬目錄的都算之。
而虛擬目錄是運用連結的觀念,讓使用者可以透過這個目錄,去開啟不是存在根目錄之下的目錄,或者縮短根目錄底下複雜連結的對應,在做連結的時候,相對的權限也會被賦予,所以不會有權限不對的問題。
虛擬目錄的建置,他可以是本機任何一個地方的目錄,當然也可以是網頁根目錄裡的目錄;運用最廣的莫過於虛擬其他台伺服器的目錄,建置會要求輸入來源端的帳號密碼,也請拿掉勾勾乖乖輸入。
建立新網站
如何在同一台機器上面建立新網站,有三個判斷的值至少要一個不一樣
1. 主機標頭名稱
請先在DNS伺服端再註冊一個FQDN。特別要注意如果使用主機標頭名稱來建立後,就無法使用IP連線,因為無法正常判斷要給哪個網頁,
2. IP
利用IP的話要先在網卡上面多增加一組IP,如何增加,先到設定IP的地方點選進階,如下圖
運用連接埠的方式是在設定上最輕鬆的,不過一些工作卻默默的轉嫁給使用者,因為在鍵入網址的時候必須一同帶上連接埠號碼,如1234那連結就要寫 http://nlb.ying.com:1234/,不寫預設就是80。
回來繼續介紹預設網站右鍵內容的設定
目錄安全設定 --> 驗證及存取控制 --> 編輯
匿名驗證
勾選匿名存取就可以了,使用者名稱和密碼是在安裝IIS的時候就會自動在本機建置,密碼是什麼應該是沒有人知道,不過可以用使用者管理去強制修改,不用怕刪掉打不回去。
基本驗證
明碼傳輸,請搭配SSL才能確保帳密有加密。
摘要式驗證
經過MD5加密,IIS必須是網域內的伺服器或DC,使用者必須是與IIS同一網域或信任的網域,這邊比較麻煩的是,要去AD修改使用者密碼的屬性,如下圖。特別注意打勾勾後再重新設定密碼才會生效。
一言難盡,安全性最高,好處多,限制也多。引用一篇有興趣的可以參考參考,http://ccie11440.blogspot.com/2008/07/windows-integrated-windows.html
2009年10月15日 星期四
[NAT] 用虛擬機器跑兩個網段
Virtual Server 2005 R2 建立兩個網段 (Server 2003 BASE)
假設還是以不增加HOST的負擔為原則,先用差異化硬碟準備三台虛擬機器,名稱分別為,LAN1_Server、LAN2_Server、Router。(每台NewSID記得跑一下)
接著再準備三個網路,這邊大家要注意一下網路和網卡的分別,Virtual Server裡面 虛擬網路 的選項,我們所建立的是一個網路,而不是網卡,這三段網路名稱分別為 WAN、LAN1、LAN2,如下圖
這邊請大家注意一下WAN這個網路請指向實體網路的那張網卡,我這邊是用MS Loopback Adapter,所以記得要去開HOST的網路分享,虛擬機器才能透過這張卡連出去,網路是用預設192.168.0.0/24這個網段的,大家的VM都是跑這段的現在都是跑這段而已,但是我們有些實驗要兩個不同的網段,然後LAN1、LAN2網路請指向 無(只適用虛擬),接著請依下圖分別把每一台電腦設定上網卡,這邊請注意Router這台機器連接三個網路,且每個網路會自動配發一張網卡
LAN1_Server、LAN2_Server請分別連上網路LAN1和LAN2,並且自動配上一張網卡
前置作業大概就是這樣,接著先我們打開LAN1_Server、LAN2_Server,分別設定一下網路環境,
LAN1_Server
IP 192.168.111.1
子網路遮罩 255.255.255.0
預設閘道 192.168.111.254
DNS 192.168.111.254
LAN2_Server
IP 192.168.222.1
子網路遮罩 255.255.255.0
預設閘道 192.168.222.254
DNS 192.168.222.254
LAN1_Server使用192.168.111.0/24這個網路;LAN2_Server使用192.168.222.0/24這個網路,這邊順便說一下那個IP我是隨便選的,大家高興用哪個就用哪個,不要跟預設閘道衝就好,DNS伺服器由於這個網路裡面還沒存在,都先只到預設閘道吧,統一一下,下圖大家參考一下
接著我們做一次ping對方的動作來看看這樣設定網路會不會對通,答案是不通的,所以LAN1和LAN2是無法對連的,那是否可以對外連出去呢?我們來試試看 #ping 168.95.1.1 當然是不行的,我不擷圖了,省省板面。
問題我就就一個一個來解決。首先是兩個網路如何互聯,請大家打開第三台Router那台,要開始做一些簡單的安裝和設定,用2003當個簡單的Router
打開電腦網路設定看到的是三張網卡,看到沒有驚嘆號的那張就是連到WAN這個網路的網卡,為什麼會是可以通的狀態,因為ICS會開DHCP
那我要如何知道剩下兩張卡,哪張是對應到LAN1? 哪張是對應到LAN2?
這不能搞混,搞混會弄不出來,所以請大家看回去Router的編輯組態,網卡的部分有卡號,那就請大家#ipconfig /all 比對一下然後順便改個名字,未來好區分。設定一下LAN1和LAN2這兩張網卡,IP請填上兩個網路的預設閘道,注意一下,這邊的預設閘道不用填,如下圖,
安裝完成後,請開啟系統管理工具 -->遠端及路由存取
請到 服務 停用且停止Windows Firewall/Internet Connection Sharing(ISC),再來一次重複上面的動作,接著會出現可愛小精靈,他會導引一切,這邊請大家選自訂設定,接著下一步後,請勾選第五個 LAN路由,最後成功的畫面,會有綠綠的箭頭。192.168.111.1可以是ping到192.168.222.1,兩個網路這樣就通了。
大家可以參考IIS那本的第十一章,那是寫給2008的,跟2003沒有相差太遠,差最大的就在那個警告要關閉Firewall和ICS的視窗,這篇的重點在於網卡的配置,可能有些人會把網路和網卡搞混了,因為在VM的環境有時候真的比較難去想像。至於那張WAN,請大家參考IIS那本的第十二章,NAT的設定,因為這兩個網路還是沒辦法連到Internet的,所以需要開啟NAT就由這張WAN這張網卡對外連線,不過兩個網路通了就可以做很多事情,
像是DHCP Relay Agent、WINS proxy、SMTP to SMTP等等。
不同的虛擬軟體之間的差異
順便補上為什麼Virtual Server 2005 R2會比較不好想像,因為他是建立網路,可是沒跟你講是哪一段,所以進去亂設自己高興選取的就可以了,很自由的發揮,不過同一網段的基本要一樣的就要一樣,要不然也不能通
VMware的架構就比較嚴謹,因為你要先切好網段,電腦才能去選擇網段並建立網卡
假設還是以不增加HOST的負擔為原則,先用差異化硬碟準備三台虛擬機器,名稱分別為,LAN1_Server、LAN2_Server、Router。(每台NewSID記得跑一下)
接著再準備三個網路,這邊大家要注意一下網路和網卡的分別,Virtual Server裡面 虛擬網路 的選項,我們所建立的是一個網路,而不是網卡,這三段網路名稱分別為 WAN、LAN1、LAN2,如下圖
前置作業大概就是這樣,接著先我們打開LAN1_Server、LAN2_Server,分別設定一下網路環境,
LAN1_Server
IP 192.168.111.1
子網路遮罩 255.255.255.0
預設閘道 192.168.111.254
DNS 192.168.111.254
LAN2_Server
IP 192.168.222.1
子網路遮罩 255.255.255.0
預設閘道 192.168.222.254
DNS 192.168.222.254
LAN1_Server使用192.168.111.0/24這個網路;LAN2_Server使用192.168.222.0/24這個網路,這邊順便說一下那個IP我是隨便選的,大家高興用哪個就用哪個,不要跟預設閘道衝就好,DNS伺服器由於這個網路裡面還沒存在,都先只到預設閘道吧,統一一下,下圖大家參考一下
問題我就就一個一個來解決。首先是兩個網路如何互聯,請大家打開第三台Router那台,要開始做一些簡單的安裝和設定,用2003當個簡單的Router
打開電腦網路設定看到的是三張網卡,看到沒有驚嘆號的那張就是連到WAN這個網路的網卡,為什麼會是可以通的狀態,因為ICS會開DHCP
那我要如何知道剩下兩張卡,哪張是對應到LAN1? 哪張是對應到LAN2?
這不能搞混,搞混會弄不出來,所以請大家看回去Router的編輯組態,網卡的部分有卡號,那就請大家#ipconfig /all 比對一下然後順便改個名字,未來好區分。設定一下LAN1和LAN2這兩張網卡,IP請填上兩個網路的預設閘道,注意一下,這邊的預設閘道不用填,如下圖,
請大家確認一下LAN1_Server可以ping到自己網路的預設閘道,LAN2_Server也可以ping到自己網路的預設閘道,大家如果有閒的話可以再確認一次LAN1_Server和LAN2_Server是無法互聯的,但是卻可以Ping到Router所有網卡,不過就是過不去另外一個網段連到彼此。
接下要讓這兩個網路彼此可以互通,我們先在Router這台機器安裝遠端存取隔離服務,新增/移除windows元件 --> Networking Services --> 遠端存取隔離服務安裝完成後,請開啟系統管理工具 -->遠端及路由存取
會出現下面警告視窗,因為是2003的關係才會出現
大家可以參考IIS那本的第十一章,那是寫給2008的,跟2003沒有相差太遠,差最大的就在那個警告要關閉Firewall和ICS的視窗,這篇的重點在於網卡的配置,可能有些人會把網路和網卡搞混了,因為在VM的環境有時候真的比較難去想像。至於那張WAN,請大家參考IIS那本的第十二章,NAT的設定,因為這兩個網路還是沒辦法連到Internet的,所以需要開啟NAT就由這張WAN這張網卡對外連線,不過兩個網路通了就可以做很多事情,
像是DHCP Relay Agent、WINS proxy、SMTP to SMTP等等。
不同的虛擬軟體之間的差異
順便補上為什麼Virtual Server 2005 R2會比較不好想像,因為他是建立網路,可是沒跟你講是哪一段,所以進去亂設自己高興選取的就可以了,很自由的發揮,不過同一網段的基本要一樣的就要一樣,要不然也不能通
VMware的架構就比較嚴謹,因為你要先切好網段,電腦才能去選擇網段並建立網卡
2009年10月12日 星期一
在資策會的一些心得
我們所學的知識是片斷的,而串聯這些片段的知識那才是智慧,
靜下心來看,資策會的課程是很有條理的,
乍看之下只有三個不相關階段,其實不然,
光是微軟作業系統的階段裡卻都有著循序漸進觀念在裡面,
劉老師細心的教學,環境適應的練習,奠定的是知識的基礎,
我們是踩著這些基礎一躍而入戴老師的教學,
戴老師所授課的各類似服器,就有點像是片斷的知識,
但知識貴不在學,而是在運用的淋淋盡致,
最後的MS Lab,那就是考驗著我們是如何去運用智慧串聯這些知識,
這智慧是老師所教不來的,是要用心去體會、去感受、去學習的,
用"熬"這個字或許太辛苦,但成敗與否其實真的不是重點,
應當把焦點落在自我邏輯的昇華和錯誤的修正,
所以
中油為大家加油 請大家幫台灣加油
不小心幫中油打廣告了。沒有啦! 主要是"大家加油"這四個字
PS 只講了一個階段 等到linux我在掰下去
為什麼MSLab會和linux有著循序漸進的關係
靜下心來看,資策會的課程是很有條理的,
乍看之下只有三個不相關階段,其實不然,
光是微軟作業系統的階段裡卻都有著循序漸進觀念在裡面,
劉老師細心的教學,環境適應的練習,奠定的是知識的基礎,
我們是踩著這些基礎一躍而入戴老師的教學,
戴老師所授課的各類似服器,就有點像是片斷的知識,
但知識貴不在學,而是在運用的淋淋盡致,
最後的MS Lab,那就是考驗著我們是如何去運用智慧串聯這些知識,
這智慧是老師所教不來的,是要用心去體會、去感受、去學習的,
用"熬"這個字或許太辛苦,但成敗與否其實真的不是重點,
應當把焦點落在自我邏輯的昇華和錯誤的修正,
所以
中油為大家加油 請大家幫台灣加油
不小心幫中油打廣告了。沒有啦! 主要是"大家加油"這四個字
PS 只講了一個階段 等到linux我在掰下去
為什麼MSLab會和linux有著循序漸進的關係
2009年10月11日 星期日
[DHCP] DHCP Relay Agent, DHCP轉接代理
環境設定
Router(MS bulid-in)
network1 192.168.2.0/24
MAC address: 00-0C-29-32-38-2D
IP address: 192.168.2.2
network2 192.168.3.0/24
MAC address: 00-0C-29-32-38-37
IP address: 192.168.3.2
2003sub1: DHCP Server
MAC address: 00-0C-29-7F-11-CD
IP address: 192.168.2.10
2003sub2: DHCP Relay Agent
MAC address: 00-0C-29-DA-1D-A6
IP address: 192.168.3.10
XPsub2: Test machine for gaining the DHCP IP
MAC address: 00-0C-29-D1-09-F0
IP DHCP yes
下面分別是對兩個網段DG所監測的封包,長這樣
network1
Router(MS bulid-in)
network1 192.168.2.0/24
MAC address: 00-0C-29-32-38-2D
IP address: 192.168.2.2
network2 192.168.3.0/24
MAC address: 00-0C-29-32-38-37
IP address: 192.168.3.2
2003sub1: DHCP Server
MAC address: 00-0C-29-7F-11-CD
IP address: 192.168.2.10
2003sub2: DHCP Relay Agent
MAC address: 00-0C-29-DA-1D-A6
IP address: 192.168.3.10
XPsub2: Test machine for gaining the DHCP IP
MAC address: 00-0C-29-D1-09-F0
IP DHCP yes
下面分別是對兩個網段DG所監測的封包,長這樣
network1
network2
從網路1可以很明顯的看到DHCP的標準四個封包
接著網路2可以看到代理的功能
會發現相同性質的封包基本上都會有兩個
一個會先跟網路1的DHCP Server聯絡
一個會跟自已網段的聯絡
就像老師說的房屋仲介的感覺
詳情我就不贅述 看IP不是很準 中間經過router了
MAC比較容易看出流程
多看封包吧 troubleshooting會快些
2009年10月10日 星期六
[DHCP] DHCP運作原理與封包
全名: Dynamic Host Configuration Protocol
課本所寫的四個封包 打開來看就是這樣,大家點小圖可以看大圖
課本所寫的四個封包 打開來看就是這樣,大家點小圖可以看大圖
1. DHCPDISCOVER
2. DHCPOFFER
3.DHCPREQUEST
4.DHCPACK
這邊我就沒有抓續約的封包了 有空大家自己試試看應該只會抓到一組
Automatic Private IP Addressing, APIPA的封包在DHCP還沒起來的情況下會特別多
這邊要特別註明,如果沒有DHCP伺服器,大家都會被配到APIPA,不管是XP或者2003都一樣會被配置到,不要誤會只有2008和VISTA會被配置到APIPA,下面那張圖是網段內的2003
DHCP的服務定義是只要在相同網段內都會接受此服務,所以那天和家福學長疑問的地方補充一下。課本有寫得很清楚,整個網段如果沒有DHCP伺服器,那網域外架的DHCP伺服器依然可以服務網域內的,既使未經授權也可(網域外要怎麼授權);而網域內如果有的DHCP伺服器,那網域外的伺服器就會停擺,在此子網段中由網域內的DHCP伺服器接手,不過簡單來說網域外的client也可以享有DHCP的服務,因為是用相同網段區分的,封包打開來看就很容易了解,因為廣播包的關係,簡單來說的話當然有進階設定啦。
DHCP轉接代理就留在下一篇.........
[微軟] 解NTFS Permissions
1. 用管理等級帳號改人家的密碼
鳥招,一定會被發現
2. 拿擁有權
好招,2000以前不是好招 因為還不回去
3. LC5
神招,沒用過
4. 運用2003以前的backup系統
賊招,還原到FAT32磁碟就解開了,或者還原時改掉安全性的選項
主要是提醒第四個,運用還原的技術去處理,所以備份的東西要小心保管
流露出去就是沒救,權限設定在漂亮也徒然,反正一解就破
最後提醒一下,遠端備份是無法備份EFS加密文件的,
所以想破EFS還是請拿Administrator的鑰匙去本機開吧。
鳥招,一定會被發現
2. 拿擁有權
好招,2000以前不是好招 因為還不回去
3. LC5
神招,沒用過
4. 運用2003以前的backup系統
賊招,還原到FAT32磁碟就解開了,或者還原時改掉安全性的選項
主要是提醒第四個,運用還原的技術去處理,所以備份的東西要小心保管
流露出去就是沒救,權限設定在漂亮也徒然,反正一解就破
最後提醒一下,遠端備份是無法備份EFS加密文件的,
所以想破EFS還是請拿Administrator的鑰匙去本機開吧。
2009年10月9日 星期五
[微軟] Distributed File System, DFS 分散式檔案系統
最沒心得的章節,第一卡在2003防火牆很煩,
至少現在我的能力只知道全關後會通,書上有寫可以單通就好,
試了N次根本沒這回事
系統要求太多,架設不困難,但環境讓他很難
有空再練練吧
因為DFS有運用價值,主要還是load balance的出發點
至少現在我的能力只知道全關後會通,書上有寫可以單通就好,
試了N次根本沒這回事
系統要求太多,架設不困難,但環境讓他很難
有空再練練吧
因為DFS有運用價值,主要還是load balance的出發點
[微軟] 磁碟管理
What's the difference between MBR and GPT?
MBR is the standard partitioning scheme that's been used on hard disks since the PC first came out. It supports 4 primary partitions per hard drive, and a maximum partition size of 2TB.
GPT disks are new, and are readable only by Windows Server 2003 SP1, Windows Vista (all versions), and Windows XP x64 Edition. The GPT disk itself can support a volume up to 2^64 blocks in length. (For 512-byte blocks, this is 9.44 ZB - zettabytes. 1 ZB is 1 billion terabytes). It can also support theoretically unlimited partitions.
quote from http://www.tomshardware.com/forum/233291-32-what-difference
Primary, Extended and Logical Partitions
一個硬碟最多就只能切出四個primary partitions剩下沒切完的空間就不能再切了,如果切出不只四個partitions就請用使用extended partitions,在extended partitions裡面可以切n個logical partitions
在2008磁碟管理內建只要切完三個primary partitions剩下的空間會被自動切進去extended partition
而2003是可以自由選取要在第幾個partition去切割extended partitions,就結果論來說MBR最小切割不是8MB而是16MB,GPT最小切割才是8MB,下面補一張有趣的圖,
142個就懶得建了,不知道還能建立幾個,不過只是建立,mount也好,給他磁碟機代號也好,我不知道可用的有幾個,我好像有印象老師上課是說最多只能切primary partitions和logical partitions總共64個,記錯請原諒我,不過真的可以切超多個的。用diskpart切
Shrink & Extend disk
Shrink是2008新的功能 2003只能做extend 系統分割區也可以shrink
動態磁碟的管理
1.Spanned volume
作跨距的時候最讓人納悶的是,儲存方式明明就是要先將第一個硬碟配發的空間用完,才會存到下一個硬碟所配發的空間,但是如果損壞一顆就整個spanned volume全毀,沒容錯就夠悶了,還會因為壞一顆其他顆也不能抓資料;另外spanned volume不能做 raid 0 1 5,所以現在硬碟夠大世界裡spanned volume實用價值等於0。
2.Striped volume
RAID 0的概念,換個名詞而已,存取速度可大大提升,FTP用這個超好的,大型的網頁伺服器這也不錯用,但是因為沒有容錯功能,所以技術上會搭配上RAID 1形成 RAID 0+1,最好使用屬性相同的硬碟,屬於高成本的磁碟管理策略
3.Mirrored volume
RAID 1的觀念,從名詞也顯而易見,可以包含boot volume和system volume,讀取效率可大幅提升,但儲存就還好。整體感覺mirrored volume跟distributed file system很像
4.RAID-5 volume (Stripe Set With Parity)
不多介紹,就是RAID 5,可用容量n-1/n,和RAID 1的50%有所不同,但同時兼具容錯,所以算是比較低成本的磁碟管理策略
MBR is the standard partitioning scheme that's been used on hard disks since the PC first came out. It supports 4 primary partitions per hard drive, and a maximum partition size of 2TB.
GPT disks are new, and are readable only by Windows Server 2003 SP1, Windows Vista (all versions), and Windows XP x64 Edition. The GPT disk itself can support a volume up to 2^64 blocks in length. (For 512-byte blocks, this is 9.44 ZB - zettabytes. 1 ZB is 1 billion terabytes). It can also support theoretically unlimited partitions.
quote from http://www.tomshardware.com/forum/233291-32-what-difference
Primary, Extended and Logical Partitions
一個硬碟最多就只能切出四個primary partitions剩下沒切完的空間就不能再切了,如果切出不只四個partitions就請用使用extended partitions,在extended partitions裡面可以切n個logical partitions
在2008磁碟管理內建只要切完三個primary partitions剩下的空間會被自動切進去extended partition
而2003是可以自由選取要在第幾個partition去切割extended partitions,就結果論來說MBR最小切割不是8MB而是16MB,GPT最小切割才是8MB,下面補一張有趣的圖,
Shrink & Extend disk
Shrink是2008新的功能 2003只能做extend 系統分割區也可以shrink
動態磁碟的管理
1.Spanned volume
作跨距的時候最讓人納悶的是,儲存方式明明就是要先將第一個硬碟配發的空間用完,才會存到下一個硬碟所配發的空間,但是如果損壞一顆就整個spanned volume全毀,沒容錯就夠悶了,還會因為壞一顆其他顆也不能抓資料;另外spanned volume不能做 raid 0 1 5,所以現在硬碟夠大世界裡spanned volume實用價值等於0。
2.Striped volume
RAID 0的概念,換個名詞而已,存取速度可大大提升,FTP用這個超好的,大型的網頁伺服器這也不錯用,但是因為沒有容錯功能,所以技術上會搭配上RAID 1形成 RAID 0+1,最好使用屬性相同的硬碟,屬於高成本的磁碟管理策略
3.Mirrored volume
RAID 1的觀念,從名詞也顯而易見,可以包含boot volume和system volume,讀取效率可大幅提升,但儲存就還好。整體感覺mirrored volume跟distributed file system很像
4.RAID-5 volume (Stripe Set With Parity)
不多介紹,就是RAID 5,可用容量n-1/n,和RAID 1的50%有所不同,但同時兼具容錯,所以算是比較低成本的磁碟管理策略
2009年10月8日 星期四
[微軟] Roaming User Profile 漫遊使用者
Roaming & Mandatory User Profile
之前一直想不到要用什麼方法去解釋Roaming
後來昨天被問突然想到可以用租屋子的角度去解釋
假設今天我到中壢讀書 打包打包行李然後到宿舍打開
宿舍就有點像是大環境 電腦硬體和軟體
然後自己的牙膏牙刷等生活用品 就是自己的設定檔
床罩就有點像是桌面 鋪上去就是自己床了 開心
然後我今天在中壢所學有成 去台北工作
打包打包 這些生活用品阿 然後checkout
當然在中壢住宿的過程中間
有可能多些衣服之類可以打包的東西
也有可能丟了一些鞋子之類的
不過全部能帶走的都帶走
到台北的宿舍打開來又是熟悉的環境
最後功成身退 衣錦還鄉 打包打包回家去
包包打開又是自己熟悉的環境
自己的環境跟著自己的行李跑
漫遊使用者的設定檔跟著使用者跑
以上是我的淺見 說不定有人有更好的比喻 懇請賜教
技術設定的部分
漫遊使用者
網域中指定使用者設定檔為Profile伺服器
漫遊使用者的部分就結束了
強制使用者
主要還是在NTUSER.DAT改成NTUSER.MAN
兩種方法 可能不只
但是都是有關權限的問題
這邊補上一個常犯的錯誤 如果是用戴老師書上作法是絕對沒問題的
用劉老師的作法 在奪取擁有權的時候會有點問題
要做強制使用者的資料夾右鍵 --> 安全性 --> 進階 --> 擁有者
取代子容器與物件的擁有者(R)
這個選項請不要打勾 勾了等於白做了
權限問題 大家自己可以想一想為什麼
最後提一下 簡單來說登入後一定會在本機留下檔案
所以通常會搭配使用者的主資料夾
檔案都存在網路磁碟 而非使用者設定檔的資料夾
我在想有沒有辦法可以在登出後自動刪除本機的檔案
.....
在學習一陣子看看吧 先留一個問題給自己
之前一直想不到要用什麼方法去解釋Roaming
後來昨天被問突然想到可以用租屋子的角度去解釋
假設今天我到中壢讀書 打包打包行李然後到宿舍打開
宿舍就有點像是大環境 電腦硬體和軟體
然後自己的牙膏牙刷等生活用品 就是自己的設定檔
床罩就有點像是桌面 鋪上去就是自己床了 開心
然後我今天在中壢所學有成 去台北工作
打包打包 這些生活用品阿 然後checkout
當然在中壢住宿的過程中間
有可能多些衣服之類可以打包的東西
也有可能丟了一些鞋子之類的
不過全部能帶走的都帶走
到台北的宿舍打開來又是熟悉的環境
最後功成身退 衣錦還鄉 打包打包回家去
包包打開又是自己熟悉的環境
自己的環境跟著自己的行李跑
漫遊使用者的設定檔跟著使用者跑
以上是我的淺見 說不定有人有更好的比喻 懇請賜教
漫遊使用者
網域中指定使用者設定檔為Profile伺服器
漫遊使用者的部分就結束了
強制使用者
主要還是在NTUSER.DAT改成NTUSER.MAN
兩種方法 可能不只
但是都是有關權限的問題
這邊補上一個常犯的錯誤 如果是用戴老師書上作法是絕對沒問題的
用劉老師的作法 在奪取擁有權的時候會有點問題
要做強制使用者的資料夾右鍵 --> 安全性 --> 進階 --> 擁有者
取代子容器與物件的擁有者(R)
這個選項請不要打勾 勾了等於白做了
權限問題 大家自己可以想一想為什麼
正常沒勾選址奪取資料夾的擁有權 也就是只多了permission指派的權利
但mtest還是在名單內且full control 如下圖
如果不幸勾選了 結果如下圖
mtest連最基本的read權限都被沒收了
NTFS與共用資料夾取最嚴格 所以自然而然就白做工了
所以通常會搭配使用者的主資料夾
檔案都存在網路磁碟 而非使用者設定檔的資料夾
我在想有沒有辦法可以在登出後自動刪除本機的檔案
.....
在學習一陣子看看吧 先留一個問題給自己
2009年10月6日 星期二
[微軟] 印表機
Server端
2008
新增角色 --> 列印服務 --> 網際網路列印順便勾 --> 下一步到安裝
2003
新增元件 --> Management and Monitoring Tools --> 列印管理元件(要有R2)
新增元件 --> Application Server --> IIS 點進去 --> 網際網路列印
實體新增 2008 必須屬於administrators 2003Power Users以上就可
安裝實體時 如有要共用 2008的共用名稱會是印表機的型號
2003則是取印表機型號的前8碼 為了相容DOS等早期產物
USB的不用他會自動驅動 所以不用怕沒有驅動程式 沒有會自動上網抓
網路介面印表機
因為是連上網際網路的
所以可以不用透過server也可以使用 比如直接從網咖打IP
一般來說 誰建的擁有者就是誰 可是2008的擁有者是system
\\hostname\print$ --> C:\windows\system32\spool\drivers 共用隱藏
上述是比較特別的資料夾 有空去看看
Client端
1. 群組原則將共用印表機部屬
卡了 會這麼說 是因為驅動程式的問題........(一言難盡)
2. 網路(2008)/網芳(2003)連結
打開網路/網芳 --> 右鍵 --> 連線 印表機裡面就找得到了
3. 新增印表機精靈(喔喔 小精靈)
i. 用AD找
ii. 鍵入 UNC file://server_name/printer_name
4. 網頁瀏覽器
* 這個要在Server上弄上IIS網路印表機服務
http://server.sys.com/printers/ 會看到所有該Server的共用印表機
5. 最懶的方法 列印的時候再做選取的動作就好
附註
印表機的進階設定
1. Priority (by user's promission)
2. Time for work
3. Printer Pool (型號要相同ex:彩色和黑白擺在一起就.....)
*這要特別注意Printer Pool是無法指定哪台印表機的
有通則的大概就這些東西
2008
新增角色 --> 列印服務 --> 網際網路列印順便勾 --> 下一步到安裝
2003
新增元件 --> Management and Monitoring Tools --> 列印管理元件(要有R2)
新增元件 --> Application Server --> IIS 點進去 --> 網際網路列印
實體新增 2008 必須屬於administrators 2003Power Users以上就可
安裝實體時 如有要共用 2008的共用名稱會是印表機的型號
2003則是取印表機型號的前8碼 為了相容DOS等早期產物
USB的不用他會自動驅動 所以不用怕沒有驅動程式 沒有會自動上網抓
網路介面印表機
因為是連上網際網路的
所以可以不用透過server也可以使用 比如直接從網咖打IP
一般來說 誰建的擁有者就是誰 可是2008的擁有者是system
\\hostname\print$ --> C:\windows\system32\spool\drivers 共用隱藏
上述是比較特別的資料夾 有空去看看
Client端
1. 群組原則將共用印表機部屬
卡了 會這麼說 是因為驅動程式的問題........(一言難盡)
2. 網路(2008)/網芳(2003)連結
打開網路/網芳 --> 右鍵 --> 連線 印表機裡面就找得到了
3. 新增印表機精靈(喔喔 小精靈)
i. 用AD找
ii. 鍵入 UNC file://server_name/printer_name
4. 網頁瀏覽器
* 這個要在Server上弄上IIS網路印表機服務
http://server.sys.com/printers/ 會看到所有該Server的共用印表機
5. 最懶的方法 列印的時候再做選取的動作就好
附註
印表機的進階設定
1. Priority (by user's promission)
2. Time for work
3. Printer Pool (型號要相同ex:彩色和黑白擺在一起就.....)
*這要特別注意Printer Pool是無法指定哪台印表機的
有通則的大概就這些東西
2009年10月3日 星期六
[微軟] NTFS不同於FAT的幾個點
NTFS Permission (cumulative & deny has highest priority)
1. Traverse folder/Execute file
2. List folder/Read data
3. Read attributes
4. Read extended attributes
5. Creat files/Write data
6. Create folder/Append data
7. Write attributes
8. Write extended attributes
9. Delete subfolders and files
10. Delete
11. Read permissions
12. Change permissions
13. Take ownership
Inheritable permission or not
到可以去進階編輯
除了
C:\Windows C:\ Program files C:\ Documents & Settings
其他從C:\建立的資料夾都會繼承C:\
Copy it or Move(cut then paste)
在同一個磁區裡面的移動 NTFS權限才不會改變
其他的像是移到不同磁區或複製都會改變
Zipped v.s Encrypting File System(EFS)
兩者擇一 都是NTFS磁碟內的功能
Zipped的搬移和拷貝原理和權限的概念相同
EFS則是本機端的動作都是維持加密的動作
EFS only for localhost
分享檔案是傳不出去的 一但加密了就不能分享
雖然回復代理是預設指定給Domain的Administrator
但是本機用Administrator登入還是無法打開或編輯此檔案
還是要從PDC那邊拿到administrator的憑證
安裝在本機才能用administrator的帳號開啟
Disk Quota
1. 簡單來說是by owner的
2. 磁碟配額的計算是不考慮壓縮因素的
3. By partition 也就是說不同的磁碟可以獨立運作
4. administrators 不會受限(2008以前都很漂亮)
上述功能都是NT時代FAT32格式所沒有 當然還有 遇到補上
補述FAT
1. FAT一個磁碟大約2G FAT32一個磁碟大約32G
2. 5G的FAT是只有微軟認得的格式
3. FAT格式的單一檔案不可超過4G
1. Traverse folder/Execute file
2. List folder/Read data
3. Read attributes
4. Read extended attributes
5. Creat files/Write data
6. Create folder/Append data
7. Write attributes
8. Write extended attributes
9. Delete subfolders and files
10. Delete
11. Read permissions
12. Change permissions
13. Take ownership
Inheritable permission or not
到可以去進階編輯
除了
C:\Windows C:\ Program files C:\ Documents & Settings
其他從C:\建立的資料夾都會繼承C:\
Copy it or Move(cut then paste)
在同一個磁區裡面的移動 NTFS權限才不會改變
其他的像是移到不同磁區或複製都會改變
Zipped v.s Encrypting File System(EFS)
兩者擇一 都是NTFS磁碟內的功能
Zipped的搬移和拷貝原理和權限的概念相同
EFS則是本機端的動作都是維持加密的動作
EFS only for localhost
分享檔案是傳不出去的 一但加密了就不能分享
雖然回復代理是預設指定給Domain的Administrator
但是本機用Administrator登入還是無法打開或編輯此檔案
還是要從PDC那邊拿到administrator的憑證
安裝在本機才能用administrator的帳號開啟
Disk Quota
1. 簡單來說是by owner的
2. 磁碟配額的計算是不考慮壓縮因素的
3. By partition 也就是說不同的磁碟可以獨立運作
4. administrators 不會受限(2008以前都很漂亮)
上述功能都是NT時代FAT32格式所沒有 當然還有 遇到補上
補述FAT
1. FAT一個磁碟大約2G FAT32一個磁碟大約32G
2. 5G的FAT是只有微軟認得的格式
3. FAT格式的單一檔案不可超過4G
[微軟] Virtual Server 2005 R2 關於虛擬機器的正常刪除程序
相信不少人遇過下面這張照片
那就煩請大家到
C:\Documents and Settings\All Users\Application Data\Microsoft\Virtual Server\Virtual Machines
裡面刪除你有同樣命名的的檔案
但是但是 如果不想要這麼麻煩的去找這個資料夾
那請遵從以下步驟 請大家不要在虛擬機器的資料夾急著刪除
step1 請先到管理網站點移除
當然Virtual Machine是還沒有被刪除了 警告就有說明了
step2 接著直接到儲存VM的資料夾刪除掉
--
這樣下次命名同樣的名稱就不會產生圖一的訊息 不給新增
這邊也簡單講一下為什麼 如果直接去刪除資料夾的東西
雖然從新整理後 在管理網頁會消失看不到
但是其實他在管理網頁有個小小的捷徑檔 存在
C:\Documents and Settings\All Users\Application Data\Microsoft\Virtual Server\Virtual Machines
所以在管理網頁看不到 但卻又有讓你不能新增相同名稱的阻礙
還是要去那資料夾刪除
如果一開始就有先做step1的動作
那捷徑就會在step1的時候先被刪除
再去刪除儲存VM的資料夾 這樣就是乾乾淨淨的刪除了
2009年10月2日 星期五
[微軟] Domain Controller 和 Member Server 的差別
Domain Controller
1.只能登入到Domain
2.電腦名稱(完整) 可用DCPormo降級
3.沒有本機使用者和群組 都直接升級為Domain使用者或群組
4.一般使用者預設無法登入
5.管理工具多了一些
6.DNS指向自己
Member Server
1.可以登入到本機和Domain
2.電腦名稱(完整) 可退出網域
3.保留本機使用者和群組
4.一般可登入Domain
5.用MMC等可以解決 安裝Adminpak.msi 2008 安裝系統管理
6.DNS指向DC的IP
變成DC後本機安全原則已經無法增加權力指派
全部都合併到群組管理原則做設定 有所變更後
樹系 --> 網域 --> (ABC.XXX) --> Default Domain Policy 右鍵 --> 編輯
#gpupdate 會馬上更新
MS改變IP後 DNS會有動態更新 一般五分鐘
如果不想等 可以在MS用
# ipconfig /registerdns 告訴DNS已經換IP了
Default Doamin Policy
這是在講整個Domain 所以密碼原則是在這邊
整個Domain使用者密碼參照原則 改密碼 密碼有效天數 最少字元等等
強制關閉者個網域的防火牆或者強制關閉User Account Control
Default Domain Controller Policy
這是在說明本機這台伺服器 也就是DC這台的原則
所以允不允許本機其他使用者帳號登入 要在此做修改
1.只能登入到Domain
2.電腦名稱(完整) 可用DCPormo降級
3.沒有本機使用者和群組 都直接升級為Domain使用者或群組
4.一般使用者預設無法登入
5.管理工具多了一些
6.DNS指向自己
Member Server
1.可以登入到本機和Domain
2.電腦名稱(完整) 可退出網域
3.保留本機使用者和群組
4.一般可登入Domain
5.用MMC等可以解決 安裝Adminpak.msi 2008 安裝系統管理
6.DNS指向DC的IP
變成DC後本機安全原則已經無法增加權力指派
全部都合併到群組管理原則做設定 有所變更後
樹系 --> 網域 --> (ABC.XXX) --> Default Domain Policy 右鍵 --> 編輯
#gpupdate 會馬上更新
MS改變IP後 DNS會有動態更新 一般五分鐘
如果不想等 可以在MS用
# ipconfig /registerdns 告訴DNS已經換IP了
Default Doamin Policy
這是在講整個Domain 所以密碼原則是在這邊
整個Domain使用者密碼參照原則 改密碼 密碼有效天數 最少字元等等
強制關閉者個網域的防火牆或者強制關閉User Account Control
Default Domain Controller Policy
這是在說明本機這台伺服器 也就是DC這台的原則
所以允不允許本機其他使用者帳號登入 要在此做修改
[微軟] 建置 Domain Controller
命令提示字元 ---> #dcpromo
他主要是在建立並開啟 Active Directory, AD
接著會有精靈跑出來 喔喔 真希望她是正妹 可惜是微軟的安裝精靈
勾選 "在新樹繫內建立新網域"
輸入FQDN 她會自動尋找有無重複的 有找到你就只能當人家的slave
NetBIOS會取你網域最左邊點名稱 最多15個字元
樹系等級和網域等級就選2000的
因為選了2008後會出現其他之前的作業系統無法加入網域的情形
DNS一定要勾選 因為要加入網域一定要有DNServer
DNS有可以是別台 不一定要DC
(給他跑........................超久) ....finish
NT的架構 NT的DC是一台且唯一
其他的就是backup用的 最多就可供查詢不行寫入
而NT以後的作業系統 DC是可多台運行 他們彼此會同步化 synchronize
上面我是用slave的字樣 其實很難界定啦 感覺比較像是 parallel
不過這邊要特別附註 其實PDC的觀念還是存在的
一旦PDC shutdown很多動作在整個網域內是不能做的
ex: 修改網域原則 他會連不到
他主要是在建立並開啟 Active Directory, AD
接著會有精靈跑出來 喔喔 真希望她是正妹 可惜是微軟的安裝精靈
勾選 "在新樹繫內建立新網域"
輸入FQDN 她會自動尋找有無重複的 有找到你就只能當人家的slave
NetBIOS會取你網域最左邊點名稱 最多15個字元
樹系等級和網域等級就選2000的
因為選了2008後會出現其他之前的作業系統無法加入網域的情形
DNS一定要勾選 因為要加入網域一定要有DNServer
DNS有可以是別台 不一定要DC
(給他跑........................超久) ....finish
NT的架構 NT的DC是一台且唯一
其他的就是backup用的 最多就可供查詢不行寫入
而NT以後的作業系統 DC是可多台運行 他們彼此會同步化 synchronize
上面我是用slave的字樣 其實很難界定啦 感覺比較像是 parallel
不過這邊要特別附註 其實PDC的觀念還是存在的
一旦PDC shutdown很多動作在整個網域內是不能做的
ex: 修改網域原則 他會連不到
操作主機也不是說要搶就可以搶的
RID就不給搶 所以要是PDC真的死了就沒RID的操作主機了
這邊值得一提的是基礎結構的操作主機 老師上課沒做
如果PDC又活過來的話 之前有搶就死定了
整個網域會不同步 帳號也好 原則也好 都不會同步了
永遠保持兩台基礎結構的操作主機 改都改不掉
可以看一下上圖這台操作主機的說明就知道為什麼會不同步了
[微軟] NAT 和 ICS 的分別
內部網路對外連線 可透過兩個方法
一是Network Address Translation,簡稱 NAT
二是Internet Conection Share,簡稱 ICS
NAT 內部可多個網段
日後課程學習會另外補上NAT相關技術文章
ICS 簡單版NAT
也就是說很多東西是被預設好的
內部只能一個 預設192.168.0.0 官方說法就只有這組
內外部網斷不可相同 否則無法開啟
如有IP分享器(他就是NAT的用) 改分享器LAN的設定 192.168.1.x
只要不要和192.168.0.0衝到就好
但不一定ICS要用192.168.0.x (不是微軟說的就要相信)
可以偷吃步 啟動ICS後就可以亂改 ex:192.168.2.x
以下介紹ICS的操作還有順便驗證一下微軟的官方說法
OS : 2003R2
首先要有兩張網卡 一張對外 一張對內
對外的可能是透過專線或ISP所提供的服務連上Internet
對內的就是要連接組織的電腦好讓頻寬達到共享
因為小弟我對內環境是跑在虛擬機器上的
這邊選的對內網卡是微軟內建的(Loopback Adapter)
#開始 --> 控制台 --> 網路連線 --> 區域連線(要對外的)
--> 右鍵 內容 到進階 --> 點選 允許其他網路使用者透過這台電腦.........
一是Network Address Translation,簡稱 NAT
二是Internet Conection Share,簡稱 ICS
NAT 內部可多個網段
日後課程學習會另外補上NAT相關技術文章
ICS 簡單版NAT
也就是說很多東西是被預設好的
內部只能一個 預設192.168.0.0 官方說法就只有這組
內外部網斷不可相同 否則無法開啟
如有IP分享器(他就是NAT的用) 改分享器LAN的設定 192.168.1.x
只要不要和192.168.0.0衝到就好
但不一定ICS要用192.168.0.x (不是微軟說的就要相信)
可以偷吃步 啟動ICS後就可以亂改 ex:192.168.2.x
以下介紹ICS的操作還有順便驗證一下微軟的官方說法
OS : 2003R2
首先要有兩張網卡 一張對外 一張對內
對外的可能是透過專線或ISP所提供的服務連上Internet
對內的就是要連接組織的電腦好讓頻寬達到共享
因為小弟我對內環境是跑在虛擬機器上的
這邊選的對內網卡是微軟內建的(Loopback Adapter)
#開始 --> 控制台 --> 網路連線 --> 區域連線(要對外的)
--> 右鍵 內容 到進階 --> 點選 允許其他網路使用者透過這台電腦.........
這樣對內網卡就通了 看一下圖
這是一個class C的網段 這邊的內部網卡IP位置是對內網路的預設閘道
也就是說對內網卡必須透過這個閘道才能對外連線
詳細說明在NAT相關學習會另外補充 先有可以用就好
微軟預設為192.168.0.1 但一般習慣改為192.168.0.254 沒有強制
其他預設沒填上的請不要去修改
內部機器
IP設定皆為 192.168.0.XXX (除了0和預設閘道以外都可)
子網路遮罩 255.255.255.0
預設閘道 192.168.0.254 (這邊要填上對內網卡上面的IP)
DNS ISP廠商的DNS或者直接指向預設閘道都可
接著來試試看微軟的官方說法: ICS只能有192.168.0.0/24的存在
一張圖就可以搓破了 在ISC開啟後 就可以隨意設定了
ex: 192.168.2.254 然後隨便抓一台來測試
這種方法是用來解決如果對外網路是透過IP分享器的情況
剛好IP分享器上面的設定為192.168.0.XXX 那就要用這種方法解決
Step1 先不要接上網路然後打開對外網卡的ICS
Step2 接著改掉對內網卡的IP
Step3 接上網路線 finished
[微軟] Office 2003與2007相容問題 以及存成PDF檔格式
方法有兩種
2007的角度
另存新檔 --> Word 97-2003 文件
檔名會變成.doc的 而不是預設的docx
相信這也是大家常用的
2003以下的角度
微軟下載 FileFormatConverters
安裝後便可開啟2007的檔案
--
關於2003如何轉成PDF
微軟下載 SaveAsPDFandXPS
2007只需要在另存新檔時點選即可
2007的角度
另存新檔 --> Word 97-2003 文件
檔名會變成.doc的 而不是預設的docx
相信這也是大家常用的
2003以下的角度
微軟下載 FileFormatConverters
安裝後便可開啟2007的檔案
--
關於2003如何轉成PDF
微軟下載 SaveAsPDFandXPS
2007只需要在另存新檔時點選即可
訂閱:
文章 (Atom)