2013

指導老師：

楊宏文、戴有煒、劉家聖

組員：謝文耀、鍾銘訓、孫依涵、林詠智、

張家銘、陳正堂

WC105-3-MSLAB 書面報告

1

公司簡介

於民國 102 年成立未來之星科技股份有限

公司，積極朝向雲端產業發展，期能成為雲

端領先者，為消費者提供雲端服務與硬體完

整整合的全方位雲端解決方案，也是我們努

力追求的目標。

Topology

2013

鍾銘訓

Headquarter 總公司

總公司Topology

總公司的AD架構及其所提供的服務，這次MSLAB 的一個重要的目標就

是建構系統的高可用性，因此在拓樸圖上可以看到只要是能夠提供互相備

援或是容錯的功能都以兩份作為建置的標準，像是DC、WINS、DNS、DHCP等

功能便是如此。

總公司與分公司最初就設定好先兩邊可以加入網域，所以一開始就自行架設了

一台單機式router使兩邊不同網段可以互通

一、DC 網域控制站

等兩邊網路可以連線後，就可以直接把分公司的網域加進總公司的網域，成

為樹狀根目錄的形式，這樣的好處是不需等待防火牆完成後，才使用 vpn 功能

達成總公司與分公司的連線，可以單獨各自獨立完成網域的作業。

二、DNS (FQDN)名稱伺服器

DNS 伺服器是用來提供網路位址的 IP 查詢和解析服務，客戶端查詢相同的網站

位址時會以儲存在快取中的暫存資料提供資料，不用再重新對外查詢一次，節省對

外網路的流量使用。

三、WINS(NetBIOS)名稱伺服器

WINS 提供了區域網內查詢電腦名稱時，先將有設定 WINS 用戶端的電腦資料登

錄在自己的資料庫中，當有某台電腦要透過網方尋找其他電腦時，可以直接向 WINS

伺服器詢問，不需要使用廣播封包的方式去尋找目標電腦，減輕廣播封包佔據內部

網路頻寬使網路產生大量碰撞。

四、DHCP 動態主機設定

DHCP 的功能未自動指派可用的 IP 位置及網路設定給用戶端電腦，避免因手動

設定造成的錯誤 。

五、公司內部網頁與檔案服務

對公司內部提供資訊及各種服務的內部網站，對於這個架構我們採用負載平衡

的網頁伺服器 NLB 功能，架設兩台伺服器供網頁存取。NLB 功能會自動將連線分散

的其中之一的伺服器上，並可偵測運作狀況，如有伺服器無法提供服務時會自動轉

換成另一台正常的伺服器繼續提供服務。

檔案部分為了確保檔案伺服器部會生發單點故障，也是採用兩台 RAID-5 磁碟陣

列提供容錯和提升效能，並且在伺服器間使用翻散是檔案系統DFS同步其中的檔案。

便於網頁伺服器在存取資料時可提供最棒的效能及安全性。

六、AD RMS

Active Directory Rights Management Services (AD RMS) 功能提供企業內部文件的安全防護，透過 AD

RMS 可以設定文件的權限，只給那些人讀取或者變更文件內容，這樣可以保護公司重要的文件。

建置上遇到的問題

申請憑證時，若是透過憑證主控台向 CA 申請的電腦憑證可能會無法使用，此時必須移除重新

安裝，但安裝過程中可能會出現如下(圖一)的錯誤，此時須透過 ADSI 編輯器來刪除物件(如圖二)。

此外要特別注意服務帳戶不可和安裝帳戶相同(如圖三)，所以須先建立一個服務帳戶。

圖一:安裝過程中的錯誤訊息

圖二:透過 ADSI 將所圈選的項目刪除即可重新安裝

圖三:服務帳戶不可和安裝帳戶相同

七、心得:

這次的 MSLAB 讓我收穫很多，以前沒有好好學的東西都重新學過一遍，也做出

很多功能是在前一家公司當 MIS 時就已經有的功能，即使那些功能不是我建置的，

但經由這次的 lab，自己還是有能力建置出一樣功能的系統，這讓我感覺很興奮，甚

至有能力獨自一人建置完公司普通常用的 server，這讓我得到不少信心，不過唯一的

缺憾是沒有去實作防火牆與郵件伺服器的架設，因為本身負責總公司部分，所以在

這兩方面的建置經驗會比較薄弱些，當然之後自己一定持續完成其他所沒完成的功

能部份，增加自己更多的技術能力。

而這次跟我一組的組員，有兩位非常的強，分別是依涵語文耀同學，由他們負

責的兩大功能伺服器，都建置的非常完善，幾乎達到老師所提出的所有要求，甚至

完成本身的責任後，還能抽出許多時間繼續建置其他更多樣化的伺服器功能，能力

真的非常的強，與他們同一組真的讓我覺得非常放心也很榮譽，有這樣強的隊友真

的是很幸運。

最後還是很感謝能有再次架設伺服器的機會，讓我自己很多過去不清楚的觀念

都重新再釐清，對於未來有更多信心去迎接新的公司，也非常感謝這次 wc105 同班

的同學們，給予我非常多的幫助，與他們一起學習過程中，互相討論激發出很多新

的火花來，讓我得到很多收穫，更感謝老師們辛苦的教導，讓我能學到這麼多的技

能，對於未來心中不再忐忑不安，能很踏實的去迎接更多挑戰。

2013

謝文耀

Exchange 總公司

一、建置目標

為了公司員工可以使用 Outlook 來收發電子郵件，或出差時可以透過 Outlook 無所不在連回公

司的伺服器存取郵件，所以在總公司內部建置了兩台集線傳輸伺服器（HTS）、兩台用戶端存取伺

服器（CAS）採用 NLB 的方式、兩台信箱伺服器（MBS）採用 CCR 的的方式，並在 DMZ 區架設

兩台邊際傳輸伺服器（ETS）使用 Round Robin/MX 的方式，來讓各伺服器都有高可用性。

二、實作心得

Exchange 是在 Microsoft 課程最後的才上，在這之前已經就分好組別了，而我被分配到要做

Exchange 的部份，於是就在上課就盡量很專注的聽講，發現上完後感覺很不會很難，也沒有時間做

老師上課後面所附的實例演練，就硬著頭皮上戰場，結果就在第一次建置所需伺服器的過程中，發

生了意想不到的狀況，就是我在需要的機器裡面，都先個別安裝 Exchange 的角色，結果就是發現

在 MBS 伺服器不能先行安裝 Exchange，而是要先進行叢集連續複寫（CCR）的功能，才能安裝

Exchange，並勾選 Active Clustered Mailbox Role，才會使 MBS 有高可用性。

之後我想要移除 Exchange 時，由於對於 Exchange 的不熟悉，讓我沒辦法正常的移除，，所以

導致所有的伺服器都要重新來過，並使用 ADSI 編輯器來移除 AD 資料庫裡面，所有跟 Exchange 的

資料，這樣才夠在不損壞 AD 時，可以重新安裝 Exchange 的所有角色。

第二次建置所需伺服器時，我就先把老師後面所提供的實例演練，都先看過一遍，並確認那些

步驟，要先行完成才不會影響到後面的結果，沒想到很順利就完成了，感謝老師後面提供的實例演

練，對於我的幫助真的很大，也讓我對於 Exchange 有很不錯的開始。

三、防毒軟體建置

我們公司是採用 ESET Endpoint Antivirus 的軟體，來建立公司內部的病毒防護，內建防毒和防

垃圾郵件功能，配合高級安全技術以及雲端偵測功能、裝置控制功能和客戶端遠程管理功能。

四、Print Server 建置

透過群組原則來部署印表機，並可以設定印表機的優先順序，及設定時間讓印表機可以讓印表機可

以運作。

五、備份軟體建置 我們是採用 CA ARCserve Backup 來備份公司所有的伺服器，可以單獨備份 AD 的資料庫，也可

以整台機器備份，並支援異機還原的功能。

2013

孫依涵

Firewall 防火牆

總拓樸圖

個人拓樸圖

一、虛擬機器建置環境

主機名稱 作業系統 記憶體

(MB) 網卡 IP 設定 虛擬 IP 備註

EMS

Windows Server

2008 R2

4096 LAN IP:192.168.8.4/24 DG:192.168.8.200 DNS:192.168.8.1

無 有加入總公司網域

BTMG1 4096 LAN、DMZ

LAN: IP:192.168.8.201/24 DNS:192.168.8.1

LAN: 192.168.8.200/24

後牆 DMZ:

IP:192.168.6.201/24 DG:192.168.6.100

DMZ: 192.168.6.200/24

BTMG2 4096 LAN、DMZ

LAN: IP:192.168.8.202/24 DNS:192.168.8.1

LAN: 192.168.8.200/24

後牆 DMZ: IP:192.168.6.202/24 DG:192.168.6.100

DMZ: 192.168.6.200/24

FTMG1 4096 DMZ、WAN

DMZ: IP:192.168.6.101/24 DNS:192.168.8.1

DMZ: 192.168.6.100/24

前牆 WAN:

IP:192.168.5.101/24 DG:192.168.5.1

WAN: 192.168.5.100/24 192.168.5.103/24 192.168.5.104/24

FTMG2 4096 DMZ、WAN

DMZ: IP:192.168.6.102/24 DNS:192.168.8.1

DMZ: 192.168.6.100/24

前牆 WAN:

IP:192.168.5.102/24 DG:192.168.5.1

WAN: 192.168.5.100/24 192.168.5.103/24 192.168.5.104/24

BranchTMG 4096 WAN、LAN

WAN: IP:192.168.5.201/24 DG:192.168.5.1

無 分公司防火牆 LAN:

IP:192.168.9.201/24 DNS:192.168.9.3

Win7 Win 7(64位元) 1024 WAN

WAN: IP:192.168.5.50/24 DG:192.168.5.1 DNS:192.168.5.100

無

外部測試電腦

NAP RADIUS

Windows Server

2008 R2 1024 LAN

LAN: IP:192.168.8.40 DG:192.168.8.200 DNS:192.168.8.1

無

內部RADIUS、NAP伺服器

二、建置目標

1. 防火牆採 Back2Back 架構，將總公司劃分為內部、DMZ、外部網路。

2. 前、後端防火牆各利用兩台 TMG 來提供 NLB 功能，利用 EMS 的 AD-LDS 資料庫儲存前後牆

的原則設定。

3. 總公司後牆兼具 VPN 伺服器，同時提供站台對站台 VPN(L2TP)、支援 VPN 用戶端(SSTP)與 NAP

功能。

4. 提供 DMZ 區網頁 Web Farm 功能，需支援 HTTPS。

5. 發行 DMZ 區的網站和 DNS Server。

6. 發行 Exchange 相關 OWA、Outlook 無所不在、ActiveSync。

7. 惡意程式碼檢查以及封鎖即時通訊軟體。

三、建置步驟

1. 將上述七台虛擬機器安裝完畢，並跑過 sysprep 後，將網路卡設定為橋接，並將其網路環境都設

定完後，用 PING 指令確認各個主機間都可以溝通。

2. 安裝 EMS，並建立前後牆陣列。

3. 在 BTMG1 和 BTMG2 安裝 TMG，並將其加入 EMS 的後牆陣列。

4. 在後牆開放所需的流量。

5. 在 FTMG1 和 FTMG2 安裝 TMG，並將其加入 EMS 的後牆陣列。

6. 建置 RADIUS 和 NAP Server。

7. 在後牆建立站台對站台的 VPN 設定。

8. 在前牆開放所需的流量。

9. 在分公司安裝 TMG 並建立站台對站台的 VPN 相關設定。

10. 測試 VPN 的連線以及前後牆的高可用性。

11. 設定 VPN 用戶端(SSTP)。

12. 利用 Win7 模擬在外部的用戶端來測試 VPN 連線(SSTP)。

13. 在前牆發行 DMZ 區的 DNS Server、Web Farm。

14. 在前牆發行 OWA、Outlook 無所不在、ActiveSync。

15. 利用 Win7 測試 Web Farm、OWA、Outlook 無所不在、ActiveSync。

四、前牆規則

1. 要特別注意 ETS 的發行，因為要具有高可用性的話，在外部選擇的虛擬 IP 兩個 ETS Server 要選

擇兩個不同的虛擬 IP 才行，這兩個虛擬 IP 同時也要跟 DMZ 區的 DNS 設定一樣。

2.發行 Web Farm 時，要注意以下圈起來的部分，不要選到傳送要求的原始用戶端，這樣會把原始

IP 暴露出來，選擇來自 TMG 的話，才會將來源 IP 改成 TMG 的 IP。

五、後牆規則

六、分公司防火牆規則

七、惡意程式碼檢查

1.啟用 TMG 內建的惡意程式碼檢查的時候，只要內部員工存取到 TMG 認為有病毒或是有害的網頁

時，就會看到以下的畫面

2.當內部員工要下載檔案時，TMG 也會去檢查檔案內容

八、RADIUS

建置 RADIUS 是要去驗證 VPN 連線的帳號密碼是否有權限，只要跟著課本的步驟去做，不會太困

難，只要注意 RADIUS 伺服器端設定的密碼要和用戶端一致就可以。

九、NAP

NAP 主要是針對在外部的 VPN 用戶端，透過 VPN 連線時去檢查該電腦有沒有符合連線的健康

原則。

在本次實驗中我所設定的健康原則較為簡單只是去檢查該電腦有沒有開啟防火牆，若是沒有開

啟防火牆則會先拒絕連線，同時間會自動去開啓該電腦的防火牆，再次連線就可以成功連線。

十、建置上遇到的問題

1. 總公司內部無法透過 TMG 上網

解決方法:

當初遇到這個問題的時候很困擾，即使將防火牆流量全開，總公司內部還是無法上網，但是 DMZ

區可以順利上網，花了兩天還是無法找出問題所在點，因為無法解決這問題，所以也無法繼續

往下進行建置，所以只好把防火牆全部砍掉重新建置，重新建置完後，設定也跟原本一樣，但

是總公司內部就可以順利上網了，目前還是沒辦法找出問題所在點。

2. RADIUS 驗證無法成功

解決方法:

重新再安裝一台 RADIUS 就可以解決了，也是不知道原因出在哪。

十一、實作心得

微軟課程上了兩個多月，MS LAB 算是一個總驗收，透過這次的實作，我更清楚了解到平

常上課的觀念，比如從一開始的串機也學到很多，很多東西用聽的跟真的動手做是差很多的，

有做就會有收穫。

在這次的 LAB 中，防火牆跟每個部分都有相關，因為所有的流量都要通過防火牆出去，

所以對我也是個很大的挑戰，不過其實只要上課有認真聽講，做過戴老師 TMG 講義後面小 LAB，

就能夠掌握每條規則的來龍去脈。

經由這次 LAB 我學習到很多，包括跟組員間的互動，因為防火牆的規則設定，都會影響

到其他組員的進度，所以必須要去搞清楚開放規則的原因，而且也更能了解到一個公司的運作

和團隊之間的溝通，相信這次的經驗對未來是很有幫助的。我們這組在過程中，其實算是滿順

利的，並沒有出什麼很大的問題，組員之間也都很互相幫忙，出現問題都會一起想辦法解決，

這樣互助的精神是很難能可貴的，大家一起努力完成目標，其實很有成就感。

最後再次感謝我的組員和其他組的同學，大家給予我很多幫助，讓我也學習到很多，也要

謝謝戴老師以及劉老師平日的教導。

DMZ 非軍事區

謝文耀

2013

一、建置目標：

1. 建置兩台 Web Server 提供公司網站資訊，透過 TMG Web Farm 具有高可用性，並支援 HTTPS。

2. File Server 做儲存公司網站資訊及相關設定，並使用 iSCSI+RAID5 來進行達到容錯。

3. 提供 FTP 將公司檔案資源分享給外部使用者上傳及公司內部使用者存取，並做 RAID5 達到容

錯。

4. 建置 DNS 提供外部使用者查詢公司網站與檔案傳輸時，可以利用網址解析到 Server 的 IP 位

址。

5. 邊際傳輸伺服器(ETS)負責郵件的收送及過濾，建置兩台提供 Round Robin/MX 高可用性。

二、實作心得：

DMZ 部份跟其他比較起來，可以算是單純的區域，前期即使不串機也能獨立建置到一定程度，

也趁這時間好好把上課中學的重新復習一遍，在做的過程中，都是參考到課本中的內容來建置。

之後要把 Server 與 TMG 做整合時，就發現問題，在 DNS 的設定部份，一開始不知道怎樣建立

新的主機，可以順利指向 Web Server 的主機，於是請教別組的同學後，告知說要在總公司內部要在

DNS 主機內，新增一個正向對應區域要指向 DMZ 區的主機，這樣才可以讓 TMG 在發行 Web Farm

規則，就可以讓內部及外部使用者都可以連到公司架設的 Web Server。

從這次 MSLAB 中也學習到許多知識，從無到有，讓我獲益良多，並了解 Team 的重要性，在跟

組員溝通時，也學習到許多沒有遇過的問題，並與其他組互相幫忙中，了解到自己所沒碰到的問題，

感謝各組相互的幫忙和支持，讓我們未來繼續加油。