資策會網路工程師養成班第 91 期

MSLab 第三組

總公司

個人書面報告

學生：楊青峰(Jacky)

指導老師：劉家聖 老師

戴有煒 老師

楊宏文 老師

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

2

目錄目錄目錄目錄

總拓樸圖…………………………………………………………………03

總公司拓樸圖……………………………………………………………03

一、總公司建置規劃……………………………………………………04

二、各功能 Server 建置狀態…………………………………………04

1.AD…………………………………………………………………04

2.DHCP………………………………………………………………06

3.DNS ………………………………………………………………06

4.WINS………………………………………………………………07

5.RADIUS……………………………………………………………08

6.PRINT ……………………………………………………………08

7.WSUS………………………………………………………………09

8.OFFICESCAN………………………………………………………11

9.BACKUP……………………………………………………………13

10.FILESERVER(DFS) ……………………………………………14

三、驗收狀況與心得……………………………………………………15

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

3

總拓樸圖總拓樸圖總拓樸圖總拓樸圖

總公司拓樸圖總公司拓樸圖總公司拓樸圖總公司拓樸圖

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

4

一一一一、、、、總公司總公司總公司總公司建置建置建置建置規劃規劃規劃規劃：：：：

建置了兩台網域控制站，兩台網域控制站皆整合了 DNS Server 和兩台 WINS Server。DNS

Server 供公司內部使用者用 DomainName 查詢 ip。WINS Server 供使用者用 NetBIOS 名稱查

詢 IP 使用。兩台 DHCP Server 供內部使用者 IP 位址。一台 CA Server 供公司內部產生憑證，

做 SSL 加密使用。一台 RADIUS，供外部連線做帳密認證使用。兩台 File Server 做 DFS 複

寫。一台 OfficeScan Server 供使用者安裝防毒軟體。一台 Printer Server 供使用者安裝印

表機。一台 WSUS Server 供內部使用者作業系統更新。一台 Backup Server 供備份使用。

二二二二、、、、各功能各功能各功能各功能 ServerServerServerServer 建置建置建置建置狀態狀態狀態狀態

1.AD1.AD1.AD1.AD

總公司、分公司各建置 2 台 DC，互相抄寫備援，總公司網段為 192.168.5.0/24，分公司

網段為 192.168.8.0/24。

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

5

在總公司有建立各部門 OU 集中管理。建立「Computers 總公司」OU，將加入 Domain 的

電腦，屬於總公司的電腦搬到該 OU 並套用相關「電腦群組原則」(上圖)。

使用 GPO 自動部署 Office Standard 2007，指派軟體必須放置在公共位置，指派路徑必

須是網路路徑，使用者才可以正常安裝(上圖)。

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

6

2.DHCP2.DHCP2.DHCP2.DHCP

建置 2 台 DHCP，可以互相備援及達到高可用性功能(上圖)。

3.DNS3.DNS3.DNS3.DNS

先建置 DC1 DNS，再建置次要區域第 2 台 DNS，達到互相備援及高可用性(上圖)。

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

7

4.WINS4.WINS4.WINS4.WINS

使用「複寫協力電腦」推入、提取功能，與分公司互相複寫資料(上下圖)。

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

8

5.RADIUS5.RADIUS5.RADIUS5.RADIUS

在 RADIUS 用戶端新增 2 筆資料，指向兩個後牆位置，讓 VPN Site to Site 可以做驗證

使用(上圖)。

6.PRINT6.PRINT6.PRINT6.PRINT

因 PrinterServer 與 OfficeScan Server 裝在同一台，所以 PrinterServer 的網址為

「http://officescan/printers/」，建置六台供各部門使用。

本來想要使用 GPO 部署各印表機至各部門人員，因 Debug 其它功能問題，所以最後沒有

做該功能設定(上圖)。

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

9

7.WSUS7.WSUS7.WSUS7.WSUS

使用 GPO 設定自動套用 WSUS 功能(上圖)。

目前 WSUS 核准的更新狀態(上圖)。

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

10

目前套用 WSUS 電腦已完全更新完畢(上圖)。

WSUS 歷史更新狀態(上圖)。

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

11

8.OFFICESCAN8.OFFICESCAN8.OFFICESCAN8.OFFICESCAN

OfficeScan 登入自動安裝，在 AD 管理及使用者，開起該帳號（如上圖），在登入指令

檔輸入 officescan.bat，當 Eric 使用者登入時，就會自動安裝，若要取消該功能，只要將

「登入指令檔」清空即可(上圖)。

Web concole 網址「https://officescan.manz.com:4343/officescan」(上圖)。

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

12

管理主控台，可以查看有那些電腦有安裝、連線狀態、病毒碼版本…相關訊息(上圖)。

OfficeScan Server 裝好預設會使用「雲端截毒掃瞄」模式，需依狀況更改其掃瞄模式，

例如 NB就不適合用「雲端截毒掃瞄」，因其相關病毒檢查碼皆放置於雲端 Server，當斷線

時無病毒檢查碼可以檢查，將無防護功能(上圖)。

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

13

預約掃瞄設定，可以有這些設定方法。若設定每天掃瞄也會造成 USER 電腦負載過大，所

以我們設定為每週一次於星期一中午 12:00，以降低中毒機率發生(上圖)。

9.BACKUP9.BACKUP9.BACKUP9.BACKUP

在 DC1 和 DC2 設定每天下午 5點備份到 Backup1，最新的備份日期 2012/10/12(上圖)。

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

14

Backup1 設定每天下午 7點半備份到分公司 Backup2，最新的備份日期 2012/10/11(上圖)。

原先預計要用諾頓來備份，因取得的軟體有些問題，所以實作時先用Windows Server Backup。

10.FILESERVER(DFS) 10.FILESERVER(DFS) 10.FILESERVER(DFS) 10.FILESERVER(DFS)

設定 FileServer1，於 Backup1 和 WSUS 兩台 Server之間，各建 FileServer 資料匣，並

做複寫功能，提高可用性(上圖)。

91 期網工班 MS LAB 第 3 組 MANZ 總公司 組長楊青峰

15

將 FileServer發佈出去，讓 Domain users 可以透過「命名空間路徑」，連到這裡(上圖)。

三三三三、、、、驗收狀況與心得驗收狀況與心得驗收狀況與心得驗收狀況與心得

總公司驗收功能部份，只有 DHCP NAP 功能沒有做出來，其它大部份功能都有做出來，差

別在其完成度多少，也謝謝劉家聖老師的指導。

在 MS LAB報告的前二個禮拜，其實對整個 MS LAB還不是很了解，到底每一個區塊要做

什麼？怎麼做？做到何種程度？詳細做的步驟？答案還是有點模模糊糊的，於是請問 90 期的

學長們，他們對 MS LAB每個區塊詳細的解釋，以及他們做的過程會遇到什麼困難，最後如何

去解決，聽完後心中大概有個方向。

分組時也很榮幸能擔任組長，雖然組長會有一點點累，但是所學習到的實務操作也會更

加深刻。在工作分配上，依大家的興趣，各自選擇二個優先順序，很巧的是大家第一個優先

順序，都剛好沒有衝突，於是就這樣分配好各區塊負責人。雖然大家對於個人選擇的部份還

是懵懵懂懂，但經歷口頭報告後，更加明白自己負責的區塊如何實作。

真正開始實作，大約是口頭報告完，隔天星期六下午。因之前詢問過 90 期兩組學長們製

做 MSLAB 要注意的事項。他們都強烈建議作業系統不要用「再製」。原本我們這一組也是用

再製做好相關的 OS Base，於是組長我決定，全部不用再製的，全部都用安裝的，Win2008R2SP1

我就用了 14 個 Base，給自己與組員們使用。為了不浪費時間重裝，所以請各位組員將安裝

好的 OS Base，全部再複製一份，以防這次設定失敗，下次可以很快的再重新開始。

我們這一組 MSLAB實作過程中，算滿順利的，經過約三天的努力，總公司、防火牆、VPN、

分公司連線成功，已可以互相溝通，其它功能也陸陸續續的完成，到第五天，整組完成率已

六十幾%，但還是有些功能有問題，第六、七天大都是在 Debug 一些有問題的功能。我們這一

組做 MSLAB過程中很少人熬夜 Debug，也許是運氣好一點，沒有遇到很多狀況，一切還算順

利。

感謝劉家聖老師、戴有煒老師、Huber老師們的指導，讓我們在做 MS LAB 可以很順利並

達到其目標，也非常謝謝我們這一組的組員都非常配合組長所指示的部份，感恩啦。

資策會網工班 91 期

MS LAB 第二組

防火牆

賴志忠

以上這些是我們這組的拓樸圖，下面這張是我所負責的防火牆部分的架構，一共

需要五台 2008R2因此對於電腦上負擔稍微重一些。此次所使用的防火牆軟體為

TMG，個人感覺操作起來很方便不過 BUG到是不少。

建置方法就不在多加敘述，以前學長的心得報告上面都有且戴老師上課上得很仔

細，學好老師所教的要完成建置其實不難。

以下兩張圖為後牆規則:

以下兩張為前牆規

則:

此兩種規則大部分只要有好好做 TMG課本後面的小 LAB，絕大多數都會在上面

看到，尤其是身為 TMG的一定要做小 LAB不然等真的要建置大 LAB的時候會欲

哭無淚。

在做MS LAB一定要先串機來檢查是否可以互 PING，我們這組就發生過一個情

形，舉例:某甲去 PING其他人的時候都沒有問題，但當其他人去 PING甲後會發

生甲無法再去 PING任何人，經找老師求解後才知道甲電腦曾經被剪刀鎖過，解

決方法是按裝剪刀鎖的防護程式就可以解決了，這問題還是第一次遇到也找不到

答案最後幸好老師有說可能是這問題才解決的，所以串機是很重要的。

心得:

這次的MS LAB讓我有更進一步的感覺，無論老師上課教的多賣力多好沒有

經過自己實作真的落差很大，尤其最大的落差在於上課怎麼做怎麼成功，但

全部都要自己動手做沒有老師可以問的時候就會發現什麼問題都有。整個實

作做下來最浪費時間的事莫過於在 DEBUG，誠心建議負責 TMG的越快把基

礎建置起來越來，越早讓自己同伴能經由 TMG上網他們才能越早去測試自

己的功能是否可以溝通及使用，然後不要害怕關機待機太久有時候服務是會

中斷的且它不一定會告知你，等你要用到某服務的時候卻一直失敗結果重開

機後就好了可在重開機之前你卻不知道已經浪費多少時間再找錯誤了，所以

最好養成一天能重開關機一次這樣可以避免老師要檢查的時候卻發生開機

但錯誤百出的狀況。

最後的建議一定要做小 LAB把小 LAB弄熟在來實作MS LAB你才懂這是什麼

原因造成失敗的並且比較懂得找出錯誤，最後要驗收前一天一定要檢查所有

功能是否正常，因為這是一個令我們慘痛的教訓，明明前幾天都沒事情的結

果到了最後一天錯誤卻都跑出來了，讓我們最後一天都心力交瘁的 DEBUG。

私人虛擬網路私人虛擬網路私人虛擬網路私人虛擬網路 VPN-Virtual Private Network 王王王王楷楷楷楷欣欣欣欣

何謂虛擬私人網路何謂虛擬私人網路何謂虛擬私人網路何謂虛擬私人網路

虛擬私人網路(VPN)讓分部不同地點的網路之間，可以透過網際網路來建立安全的私人通道

，而遠地使用者也可以透過網際網路來與公司內部網路建立 VPN，讓使用者能夠安全的存取

公司網路內資源。

VPN是利用已加密的通道協議（Tunneling Protocol）來達到保密、傳送端認證、訊息準確性等

私人訊息安全效果。若使用得法，這種技術可以用不安全的網路（例如：網際網路）來傳送可靠、

安全的訊息。需要注意的是，加密訊息與否是可以控制的。沒有加密的虛擬私人網路訊息依然有

被竊取的危險。

直到 20世紀 90年代末，計算機網路上的計算機通過非常昂貴的專線和/或撥號連線互連。視站

點間的距離，花費可達數千美元（56kbps連線）或上萬美元。由於避免了租用多條各自連接網

際網路的專線的需要，虛擬私人網路可減少網路開支。用戶可以安全地交換私密數據。

TMG 支援的支援的支援的支援的 VPN 通訊協定通訊協定通訊協定通訊協定

PPTP(Point to Point Tunneling Protocol)

─主要用於 VPN的資料鏈路層網路協議。

─可配合微軟點對點加密（MPPE）進行連接時的加密。

L2TP(Layer Two Tunneling Protocol)

─ L2TP協議自身不對傳輸的數據進行加密，但是可以和加密協議搭配使用。

─經常與 L2TP協議搭配的加密協議是 IPsec，通常合稱 L2TP/IPsec。

SSTP(Secure Socket Tunneling Protocol)

─SSTP 提供透過 HTTPS 通訊協定的「安全通訊端層」(SSL) 通道。

─伺服器驗證憑證，僅適用於「遠端存取 VPN」。

IPSec(Internet Protocol Security)

─僅適用於「站台對站台 VPN」

─是通過對網際網路協議的分組進行加密和認證來保護 IP協議的網路傳輸協議

IKEv2(Internet Key Exchange)

─是採用 Ipsec通道模式的通訊協定

─用於遠端存取

為何使用為何使用為何使用為何使用 VPN

1. 安全性

透過 IPsec、PPTP、及 L2TP/IPsec

資源、分享與隱密的優點。

2. 管理方便

不須太多的網路設備及實體線路

再多，均只需透過 Internet

3. 降低成本

運用 VPN技術，將使所有企業節省許多設備購置費用

及後續管理維護成本。

VPN 基本架構基本架構基本架構基本架構

1. 遠端存取 VPN連線(Remote access VPN connection)

VPN用戶端可以在外或在家中

作場所可以延伸。

2. 站台對站台 VPN連線(site-to

又稱為路由對路由器 VPN連線

料。兩地的使用者感覺上好像兩個網路是位於同一個地點

閘道器。

L2TP/IPsec技術，讓 VPN使用者可以更安全的存取到企業內部網路

不須太多的網路設備及實體線路，使網路的管理較為輕鬆；不論分公司或是遠端存取用戶

Internet的路徑進入企業網路。

將使所有企業節省許多設備購置費用、專用線路約租費

(Remote access VPN connection)

用戶端可以在外或在家中，利用 VPN連線進入公司內部網路。存取需要的資料令工

to-site VPN connection)

連線。它讓兩個網路之間的電腦可以透過 VPN

兩地的使用者感覺上好像兩個網路是位於同一個地點。此時的 VPN

使用者可以更安全的存取到企業內部網路

不論分公司或是遠端存取用戶

專用線路約租費、撥接線路費用

存取需要的資料令工

VPN來安全的傳送資

VPN伺服器被稱作 VPN

本公司站台對站台本公司站台對站台本公司站台對站台本公司站台對站台 VPN 建置建置建置建置

總公司 TMG伺服器與分公司 TMG伺服器皆須一張外網卡及一張內網卡，其他電腦則須依章

內網卡。

建置流程：

1. 總公司 TMG伺服器安裝 TMG後，選取防火牆規則防火牆規則防火牆規則防火牆規則→點擊發行網站發行網站發行網站發行網站→打入內部網站名稱內部網站名稱內部網站名稱內部網站名稱→

公用名稱公用名稱公用名稱公用名稱打上分公司 TMG伺服器外網卡 IP位址。

2. 新增一個接聽程式接聽程式接聽程式接聽程式→選擇不驗證不驗證不驗證不驗證→點擊進階進階進階進階標籤→勾選允許透過勾選允許透過勾選允許透過勾選允許透過 HTTP進行用戶端驗證進行用戶端驗證進行用戶端驗證進行用戶端驗證→

選擇沒有委派沒有委派沒有委派沒有委派，，，，但用戶端可以直接驗證但用戶端可以直接驗證但用戶端可以直接驗證但用戶端可以直接驗證。

3. 選取遠端存取原則遠端存取原則遠端存取原則遠端存取原則(VPN)→遠端站台遠端站台遠端站台遠端站台標籤→點擊建立建立建立建立 VPN網站間連線網站間連線網站間連線網站間連線→建立一個 branch

網站名稱→選取 IPsec上加第二層通道通訊協定上加第二層通道通訊協定上加第二層通道通訊協定上加第二層通道通訊協定(L2TP)→建立一個使用者名 main及密碼密碼密碼密碼

4. 選取憑證驗證憑證驗證憑證驗證憑證驗證(建議建議建議建議)→新增分公司內部網路 IP位址範圍位址範圍位址範圍位址範圍→取消網路附載平衡網路附載平衡網路附載平衡網路附載平衡→選擇所有所有所有所有

輸出流量輸出流量輸出流量輸出流量。

5. 檢查遠端站台 main設定

6. 在分公司 TMG伺服器依照上述步驟建立一個 main網路名稱連線網路名稱連線網路名稱連線網路名稱連線。

7. 在總公司 TMG伺服器按開始開始開始開始→系統管理工具系統管理工具系統管理工具系統管理工具→路由及遠端存取路由及遠端存取路由及遠端存取路由及遠端存取→選擇網路介面網路介面網路介面網路介面→點選

main按右鍵連線連線連線連線。

IKEv2 的建置的建置的建置的建置

架構架構架構架構

IKEv2伺服器電腦需要一張外網卡及一張內網卡，總公司內部電腦需要一張內網卡，用戶端

電腦需要一張外網卡。

建置流程：

1. 在總公司DC伺服器電腦企業根CA建立一個伺服器驗證與 IP安全性 IKE中繼憑證範本。

執行憑證管理工具—>憑證範本滑鼠右鍵 —>管理—>在 IPSEC 範本上—>滑鼠右鍵—複製

範本—>選 windows server 2003 Enrprises—>修改好記的範本名稱—>點選處理要求標

籤 勾選[匯出私密金鑰]

2. 點選 主體名稱標籤 點選 [在要求中提供] —>點選 延伸標籤 —>點應用程式原則 —>

編輯 —>點選新增—>點選 伺服器驗證後 點兩次確定

3. 回到延伸標籤 —>點選 [金鑰使用方法] —>編輯—>確認數位簽章已經勾選新—>vpn範

本建立完畢—>回憑證管理工具—>憑證範本—>滑鼠右鍵 —>新增 —>要發出的憑證範

本—>點選之前建立的 VPN 範本—>確定

4. IkEv2 VPN 伺服器設定—>由於前面步驟有安裝企業根CA,所以在網域內的主機都會自動

信任根 CA —>利用MMC工具 ,要求憑證—>點 [需要更多資訊才行註冊此憑證]—>設定

完畢後回到上一層將 VPN 憑證勾選申請該憑證

5. IKEv2 用戶端設定—>用戶端不需安裝電腦憑證,但是需要信任 CA所發的憑證所以需將

VPN伺服器的憑證匯出拿到用戶端匯入即可—>由於是 lab環境,剛才設定連線的名稱為

vpn.test.com—>在 c:\windows\system32\drivers\test hosts 檔案新增該筆資料

6. 修改用戶端連線設定—> 連線名稱改為: vpn.test.com—>修改安全性選項 IKEv2—>測

試連線成功

心得總結：

很榮幸負責公司 VPN建置，在作業過程當中必須一個步驟一個步驟做到正確才能進行下一步

驟，這樣才能避免操之過急而造成錯誤，進而影響整體團隊進度。而身為團隊一分子，也必

須配合團隊作業發揮團隊精神，如果一心兩用必然事倍功半而學無所精，所以如何將團隊合

作之精神發揚至淋漓盡致也是此 LAB最重要的一個學習課題。

而 LAB一開始找實驗室，一起想辦法籌備實驗室設備，辦公桌、網卡、網路線、分享器、

Hub等…，都看得出整個團隊對於這次 LAB實驗的重視與積極。所以我們團隊想法一致，就

是要盡最大能力把 LAB實驗完成度做到最高，並嘗試各種實作測試，以達到實務上經驗的累

積及能力上的提升。

而我最先完成的是 IKEv2的建置，這是需要跟總公司一起合作的一項作業，IKEv2最方便的

一項功能是用戶端如果斷線，只要再重啟連線則 IKEv2便會自動連線。

接下來是總公司與分公司利用 TMG建立站台與站台之間的 VPN，建立完成後卻碰到總公司

TMG後牆 VPN伺服器的路由及遠端存取可以手動連線分公司 VPN伺服器，但分公司卻無法

手動連線至總公司後牆VPN伺服器，這個問題苦惱許久，最後經過每一步驟詳細檢查後發現，

在分公司 VPN伺服器的 TMG遠端站台連線 IP位址設定錯誤，應為總公司防火牆外牆之虛

擬 IP位址，經更改設定後，雙方便能主動連線也能手動連線，此時分公司與總公司即可透過

VPN做溝通，讓 LAB的進度有了突破性的進展。

而接下來便是測試用戶端 OWA、Outlook及 Push mail測試，而每項也逐一測試完成。最後

在老師進行驗收下畫下句點。整個團隊沒有出現太大的結構性問題，完成度近 90%。

雖然沒有與老師合照獲獎，但也給自己打了 85分的分數，在此感謝第三組 Manz公司成員在

兩個多禮拜來的辛苦與付出，期許往後的課程能更進步，能力更加提升。

分公司分公司分公司分公司-吳吳吳吳宇宇宇宇城城城城

1. 分公司分公司分公司分公司 AD 環境環境環境環境

分公司與總公司同在 manz.com 網域，亦建立站台對站台，方便群組原則佈署，以及各

伺服器資料互相複寫、推拉。

建置網域或加入總公司網域時，VPN 及防火牆一定還沒架設完成，請先拉一條專線與總

公司連接，並設置同網段，加入網域，並升級成網域控制站 DC，即可開始構築分公司，不要

等到 VPN 和防火牆通了才連上總公司。

2. 分公司架構圖分公司架構圖分公司架構圖分公司架構圖

總共架設六台虛擬主機：

第一台：DC3 + DNS3 + DHCP3 + WINS3

第二台：DC4 + DNS4 + DHCP4 + WINS4 (與第一台互相備援)

第三台：Print Server2 + Backup2

第四台：RADIUS 2

第五台：WSUS 2

第六台：Client 2

附註：數字 2、3、4 為編號，與總公司做區別，並非數量。

3. Domain Controller

網域控制站，主要負責管理 AD 網域，新增、修改使用者帳戶，設定群組原則，並不

屬到各台電腦，Ex：關閉關機事件追蹤、佈屬防毒軟體。

建置 2 台以上的 DC 還可互相備援，若有一台 DC 當機、壞掉，還有其他的 DC 可以支

援，繼續提供服務，正是所謂的「高可用性」。

4. DNS Server

解析網站的 IP 位址，Ex：有個員工今天想上 Google，他在瀏覽器上輸入網址，這個

訊息會傳到 DNS 伺服器，轉換成 IP 之後，再回傳給使用者，這樣就看得到 Google 的首頁。

總公司 DNS1、2 會與分公司 DNS3、4 互相複寫、備援，以及互相設定對方為轉寄站。

5. DHCP Server

指派 IP 給使用者，用戶端設定 IP 自動取得後，與 DHCP 伺服器之間經過 4 次交流，

即可取得 IP 正常上網。

設定 DHCP3 和 4 的領域(位址集區)相同，但排除範圍相反，Ex：領域內總共有 1 到 20

個 IP，第一台 DHCP 排除 11 到 20，第二台 DHCP 排除 1 到 10，這樣兩台 DHCP 伺服器不

會打架，反而會互相支援。

(第一台 DHCP)

(第二台 DHCP)

設定保留區，輸入 MAC 位址及 IP，即可保留重要電腦所分配到的 IP，Ex：Print Server2

+ Backup2、RADIUS 2、WSUS 2。

在伺服器選項裡，設定路由器指向到 VPN 伺服器的 IP，DNS 伺服器指向到 DNS3、4 (也

就是第一、二台主機的 IP)，DNS 網域為總公司網域 (同分公司)，WINS伺服器指向到WINS3、

4 (同 DNS 伺服器 IP)，如此一來用戶端拿到 DHCP 伺服器發給的 IP 時，一並會導向正確的

DNS 及 WINS 伺服器。

6. WINS Server

解析電腦名稱，轉換成 IP，比如說有個使用者只知道另一台電腦的 NetBIOS 或是主機

名稱就想跟他連線，這個訊息會傳給 WINS 伺服器，WINS 再將電腦名稱轉換成 IP，發送

回去給用戶端，即可與對方連線。此功能可以避免網路上的芳鄰速度過慢，透過 WINS 伺

服器可以迅速的連結對方電腦，使用共用資料夾。

WINS3、4 和總公司的 WINS1、2 互為推拉夥伴，也就是複寫協力電腦，會互相把自

己資料庫裡的數據丟給對方，也會把對方的數據拿到自己的資料庫，讓每個伺服器的資料

庫最大化。

7. Print Server

使用者除了透過內部網路來使用印表機之外，還可以透過瀏覽器和印表機連線，在網

頁上進行列印或管理印表機的權限和優先順序，比如說老闆的股票分析先印，小員工的業

務資料晚點再說。

附註：Print Server 的作業系統位元數最好跟 Client 端相同，因為某些印表機只提供單

一 x86 或 x64 位元的驅動程式，驅動程式不符舊無法使用印表機。

8. Backup Server

備份軟體我們使用 Windows Server Backup，並設定在公司離峰時段，午夜 12點將 DC3

的資料 (Ex：系統狀態、AD、DNS、DHCP、WINS 資料等等)備份到 Backup 2，凌晨 1點再

將 DC4 的資料備份到 Backup 2，而分公司在早上 5 點把 DC3、4 的資料備份到總公司的

Backup 1，總公司也會在早上 6點把 DC1、2 的資料備份到分公司的 Backup 2，互相備份

以防萬一。

附註：很多人把 Print Server 和 Backup Server 分開建置在不同電腦上，但我認為這兩

個功能一個在工作時段會用到，一個在離峰時段才會啟動，且分公司資源上不如總公司充

裕，所以放在一起節省成本。

9. RADIUS Server ( 網際網路驗證服務網際網路驗證服務網際網路驗證服務網際網路驗證服務 )

驗證使用者身分、授權和帳戶處理，檢查連進來的使用者是誰，帳密有沒有打錯，然

後看看這個人的原則設定，決定要不要讓他連進來，進來之後有享有哪些權限。

新增一個 RADIUS 用戶端，其 IP 為 VPN 主機的 IP 位址，設定好密碼，即可讓 VPN 用

戶端連進分公司。

10. WSUS Server

統一由 WSUS 伺服器下載更新程式，而不用每台電腦都連到微軟下載更新，這樣的好

處就是避免網路塞車。下載的更新程式也可以先測試，看看和自己電腦裡的其他軟體會不

會產生衝突，這樣可以避免軟體間互相干擾，然後再安裝到其他的使用者電腦裡。

須在 DC 上建立 GPO(群組原則物件)，設定自動更新為已啟用、自動下載和通知我安

裝，以及指定近端內部網路 Microsoft更新服務位置為已啟用，並指向 http://wsus2。然後

可到各台電腦執行 gpupdate /force，立即更新群組原則。

附註：驗收時我又想到，應該把 RADIUS Server 和 WSUS Server 兩台伺服器合併成一

台，理由同 Print Server 和 Backup Server，兩個伺服器的運作時段互相分開不衝突，節省

分公司建置成本。

11. Client

泛指分公司內所有的用戶端電腦，老師檢測時有許多動作會在這台主機上進行，Ex：

用各種方法 ping 總公司。建議作業系統位元要和 Print Server 一樣，印表機驅動程式比較

方便安裝使用。

資策會網路工程師養成班第資策會網路工程師養成班第資策會網路工程師養成班第資策會網路工程師養成班第 91919191 期期期期

MSLAB 第三組第三組第三組第三組

周邊網路系統規畫

DMZ 建置

班級：WC103

姓名：把其宏

指導老師：戴有煒

劉家聖

楊宏文

2222

目錄目錄目錄目錄

一. 網路規畫總拓樸圖

二.DMZ 區域規畫拓樸圖

三.DMZ 伺服器建置及功能介紹

四.伺服器建置心得 (1) DNS 建置

(2) Web 建置

(3) FTP 建置

(4) FileServer 建置

五.MSLAB 檢討

3333

網路規畫總拓樸圖網路規畫總拓樸圖網路規畫總拓樸圖網路規畫總拓樸圖

4444

DMZDMZDMZDMZ 區域規畫拓樸圖區域規畫拓樸圖區域規畫拓樸圖區域規畫拓樸圖

DMZDMZDMZDMZ 規劃規劃規劃規劃：：：：

DMZ 為一個獨立的網路區域，位於外部及內部區域之

間，公司將以此區域存放提供給外部使用者存放資料的

服務。

DMZ 設置於防火牆 back to back 的範圍內，經由前後

牆的發行存取規則，可以有效的管制人員讀取資訊範圍。

不讓外部使用者及用戶端直接存取公司內部資料，避免

外部有心人士入侵公司內部做破壞的隔離區。此建置將

大幅提升公司內部在網路使用上的安全性。

5555

DMZDMZDMZDMZ 伺服器伺服器伺服器伺服器建置及建置及建置及建置及功能功能功能功能

1.1.1.1. DNS ServerDNS ServerDNS ServerDNS Server：：：：2008R22008R22008R22008R2 一台一台一台一台

功能功能功能功能：：：：提供對外部使用者查詢公司網站及 FTP 的 IP

位址解析服務。

2.2.2.2. Web ServerWeb ServerWeb ServerWeb Server：：：：2008R22008R22008R22008R2 二台二台二台二台

功能功能功能功能：：：：公司對外提供服務的網站資訊，透過 TMG 防

火牆做 Web Farm 達到高可用性功能。

3.3.3.3. FTP ServerFTP ServerFTP ServerFTP Server：：：：2003R22003R22003R22003R2 一台一台一台一台

功能功能功能功能：：：：提供公司的檔案資源分享給外部使用者下載

或上傳服務。

4.4.4.4. File ServerFile ServerFile ServerFile Server：：：：2003R22003R22003R22003R2 二台二台二台二台

功能功能功能功能：：：：儲存網站及 FTP 的資料及設定。

5.5.5.5. Exchange ServerExchange ServerExchange ServerExchange Server：：：：2003R22003R22003R22003R2 二台二台二台二台

功能功能功能功能：：：：負責網際網路郵件的收送及過濾郵件服務。

建置兩台提高可用性。

6666

伺服器建置伺服器建置伺服器建置伺服器建置DNSDNSDNSDNS ServerServerServerServer 建置建置建置建置：：：：

在建置上需要 DNS

用者提供查詢網站服務

一.DNS 必須要特別注意主機

行。

二.自我範圍建立時功能測試上都是很正常的

時對外的前牆發行規則設定完成後

IP，才能藉由此防火牆

解析我DMZ內部網站資料

順利連通。

伺服器建置伺服器建置伺服器建置伺服器建置心得心得心得心得

：：：：

DNS 伺服器管理 DMZ 區域範圍

用者提供查詢網站服務。

必須要特別注意主機 IP 位址設定，查詢功能將無法實

自我範圍建立時功能測試上都是很正常的。在和

對外的前牆發行規則設定完成後，DNS 需改成前牆網段的

才能藉由此防火牆 TMG 外網段 IP 位址到我內部

內部網站資料，經和同學討論才完成細節設定

區域範圍，對外部使

查詢功能將無法實

在和 TMG 串連

需改成前牆網段的

位址到我內部，DNS

經和同學討論才完成細節設定，

7777

Web ServerWeb ServerWeb ServerWeb Server 建置建置建置建置心得心得心得心得：：：：

建置兩台 Web 網站結合 TMG 防火牆的 NLB 功能。利用多台

IIS 網頁伺服器組成 Web Farm 後，這些伺服器將可以提供查詢

網站的使用者提供不間斷的服務，藉由多使用者同時查詢公司

內部網站，建置 2 台 web 將可以同時運作提高存取效率。

藉由防火牆的 NLB 功能可偵測對於停止運作的 Web 伺服器

導引指向正常運作的 Web 網站繼續提供服務，提高容錯功能。

經由實做練習，可以藉此體驗高可用性的伺服器功能，提

供使用者不間斷的服務，是公司對外很重視的。

1.網站連線測試

8888

加入 CA 完成網站憑證建立：

以下是跟總公司完成 CA 憑證申請後，測試網站加密功能完

成圖。

9999

FTP ServerFTP ServerFTP ServerFTP Server 建置心得建置心得建置心得建置心得：：：：

FTP 獨立建置一個伺服器，供外部使用者上傳及下載

使用。

以下是經由 DNS 解析後連接 FTP 網站測試。

10101010

FileServerFileServerFileServerFileServer 建置心得建置心得建置心得建置心得：：：：

這次將建立 2台 File 伺服器，將有效將 Web Farm 網

站共用性網頁資料及而重要性檔案做存取，並利用 TMG

建立 NLB 增加容錯確保資料永久保存不流失。

在此加入 DFS 複寫功能完成 File Server 兩台網頁資

訊及檔案即時複寫功能。降低檔案流失增加備援的功能

性。

DFSDFSDFSDFS 複寫功能複寫功能複寫功能複寫功能建置建置建置建置

11111111

EXCHANGEEXCHANGEEXCHANGEEXCHANGE 建置建置建置建置：：：：

1.1.1.1.信箱伺服器角色信箱伺服器角色信箱伺服器角色信箱伺服器角色：：：：主要負責郵件信箱資料庫的運作。

2.2.2.2.用戶端存取伺服器用戶端存取伺服器用戶端存取伺服器用戶端存取伺服器：：：：主要提供用戶端連線要求。

3.3.3.3.集線器傳輸伺服器集線器傳輸伺服器集線器傳輸伺服器集線器傳輸伺服器：：：：提供 Exchange 組織內部的郵件傳

輸服務、電子郵件傳輸規則套用、郵件日誌套用，並負

責遞送郵件訊息到使用者信箱。

4.4.4.4.邊際傳輸伺服器邊際傳輸伺服器邊際傳輸伺服器邊際傳輸伺服器：：：：以 SMTP 郵件傳輸服務協定為基礎，

負責所以對 Internet 上的郵件接收傳遞。

5.5.5.5.統一訊息伺服器角色統一訊息伺服器角色統一訊息伺服器角色統一訊息伺服器角色：：：：UM 負責將郵件與語音合併於使

用者信箱當中，並提供以電腦或電話方式存取。

基本功能建置基本功能建置基本功能建置基本功能建置

12121212

MSLAB 檢討 這次 MSLab 使我們對 Windows Server 整個功能學習做一個

總驗收，對我們而言也是個總複習的動作。經由小組的互動學

習以達學習效果，不同組別同學間也是互通有無，也增加學習

情感。我負責 DMZ 的範圍，看似簡單，在實做起來也是有不少

細節上的問題，常常在一個地方卡了很久，對於問題解決後也

是特別有成就感。

在這次的 Lab 中，之前對 CA 憑證一直有所混淆，在架設 Web

Server 需啟用 HTTPS 加密功能，經過複習及同學討論加上自我

不斷的實作，對於 CA 憑證的發放及申請流程也給加深印象及

了解。

在Web網站連結FileServer共用設定功能，使我特別記憶，

經過多次的測試及同樣負責 DMZ 的同學討論，依然是無解，最

後請教戴老師，因為我在 FileServer 不是使用和 Web 共用設

定的使用者是同一人，導致無法順利連結到 FileServer 做網

頁共用，但 DFS 複寫並不影響，才使我們豁然開朗。

在這次 MSLab 覺得學習到很多東西，除了平時老師教導我

們的技術上的知識得到應用外，經由 Teamwork 人與人之間團

隊合作的向心力及溝通，在社會上與人相處也是相當重要學習

的一環，從開始的分組、小組討論，組員與組員之間的協調溝

通，都是很重要的一環。如果組員各有技術卻意見無法融洽，

我想最終是無法得到成果的。因為我們是個 Team，所以除了自

己負責的範圍外，接著串連後發生的問題都是需要大家互助合

作，並從錯誤中及問題中一起去找答案，最終達成任務，大家

一起成長一起享受耕耘過後的果實。

LAB 過程整體結果還算順利，感謝組長青峰帶領大家也給我

不少指導。感謝劉老師及戴老師平常辛苦的指導，經由 Lab展

現此次的成果，最重要的事，我們大家都有所成長及進步。

Exchange 李李李李卓卓卓卓穎穎穎穎

拓樸圖拓樸圖拓樸圖拓樸圖：：：：

規劃規劃規劃規劃：：：：

Exchange規劃建置在總公司的網域環境內，安裝兩台 HTS；兩台 CAS；兩台MBS；一台 Target；

並於 DMZ區域設置兩台 ETS。高可用性措施：HTS建置兩台以上時，即自動具備高可用性的

功能，CAS使用 NLB，MBS使用 SCC，ETS則由對外服務的 DNS設定MX紀錄做 Round Robin

高可用性，並安裝反垃圾郵件，防毒功能。公司員工可以在外部使用 OWA、Outlook無所不

在、ActiveSnyc(Push Mail)收發公司信件。

驗收後檢討驗收後檢討驗收後檢討驗收後檢討：：：：

這一次MSLAB的實驗過程中，Exchange的部分所碰到的問題歸納起來，發生的原因大多關係

在準備好的平台所安裝的 Exchange各角色需要的功能與更新是否完整、憑證申請發放對象必

須正確無誤、各項功能的運作通過 TMG時必須搭配合宜的發行規則。

在實驗剛開始的階段，MBS要做 SCC時發現先前自行測試安裝的MailBox Role無法經由『新

增/移除程式』刪除 (如圖一)。

從錯誤訊息可以研判必須將信箱資料庫停用才能刪除

用，因此重建了一次要做MBS

在 CAS做 NLB的時候除憑證的部分要再三檢查是否申請正確

致上都很順利；最後則是 ETS配合

念問題指錯 IP，因此要除錯的時候可以利用外部機器用

確。

最後在進入測試的過程時，也許因為在建立

念走，所以可以說是蠻順利的，

無法連上伺服器的狀況(解錯 IP)

這一次的實驗讓我覺得實驗的成功與否

大的關係，這一次我們的組長青峯在實驗之前就非常有遠見的律定好組員必須一個一個去安

裝好每一台虛擬機器，以避免後續

這是我認為我們這一次的實驗能夠穩穩當當地完成的最大原因

到最多的就是讓我自己了解到

方式去解決問題吧！

從錯誤訊息可以研判必須將信箱資料庫停用才能刪除，但是卻一直無法順利將信箱資料庫停

MBS的機器。

的時候除憑證的部分要再三檢查是否申請正確，網卡 GUID

配合 TMG發行的規則設定 DNS，在這部分也許一開始會因為觀

因此要除錯的時候可以利用外部機器用 Ping的方式檢查解到的

也許因為在建立 Exchange的環境時，安裝和設定有照著老師的觀

，最多就是碰到外部 IP解得到(從這可判斷

IP)。

這一次的實驗讓我覺得實驗的成功與否，和組長和組員之間的協調以及帶領組員的方向有絕

這一次我們的組長青峯在實驗之前就非常有遠見的律定好組員必須一個一個去安

以避免後續不停除錯的困擾，同時將龐大的更新檔打包分享給組員

這是我認為我們這一次的實驗能夠穩穩當當地完成的最大原因。我想在這一次的實驗中

到最多的就是讓我自己了解到 IT的素養必須隨時隨地去養成，碰到問題時才能用最有效率的

(圖一)

但是卻一直無法順利將信箱資料庫停

GUID不能相同之外，大

在這部分也許一開始會因為觀

的方式檢查解到的 DNS是否正

安裝和設定有照著老師的觀

從這可判斷 TMG規則有開)但是

和組長和組員之間的協調以及帶領組員的方向有絕

這一次我們的組長青峯在實驗之前就非常有遠見的律定好組員必須一個一個去安

同時將龐大的更新檔打包分享給組員，

我想在這一次的實驗中，學

碰到問題時才能用最有效率的