MS-LAB 報告 資策會第 79 期網路工程師養成班

～軍火商的美麗與哀愁～

ISA Server 2006 規劃與建置

UC101 第二組 規劃者：鄭超文

指導老師：戴有煒、劉家聖、楊宏文

中 華 民 國 九 十 九 年 四 月 二 十 五 日

2

Index Chapter1 preview --ISA Server 2006 ……………….…….…3 1.1 Environment…………………………………………….…..3 1.2 Advantage………………………………………………..….3 Chapter2 planning & structure --ISA Server 2006 ………..….3 2.1 Topology……………………………………………………..3 2.2 Objective……………………………………………….…….4 2.3 Rules of back-end firewall………………………..……….…4 2.4 Rules of front-end firewall…………………..………….……5 Chapter3 note & problem solving …………………………….11 3.1 Note………………………………………………...….……..11 3.2 Problem solving……………………………………….…..….11 Chapter4 journals & thoughts………………………………….12 4.1 Journals………………………………………….….…….…..12 4.2 Thoughts………………………………………………………16 Reference…………………………………………………….…….16 Key words:ISA Server,LAB,SOP,experience

3

Chapter1 preview --ISA Server 2006 1.1 environment

貴公司（SWAT.com）的軍火貿易收益正大幅成長，原有市場通路

已不敷需求，需導入更為彈性的網路電子商務來另闢市場，增加利潤，

減少庫存量。由於網路市場競爭激烈，依據本公司多年來的網路規劃經

驗及輔導成功案例來看，貴公司需要的是深具彈性的安全設施，以及具

備容錯機制的網路環境，尤其貴公司的舊有伺服器多以微軟系統為主，

因此強烈推薦您使用微軟的「ISA Server 2006」防火牆系統作為邊緣安

全的第一道防線。 1.2 advantage -- ISA Server 2006 可架設於 Microsoft Server 2003，不需另外購買 Microsoft Server

2008。 具備一致性的管理平台：MMC3.0。 具有高可用性、容錯及備援的機制：整合式 NLB。 可擴展的平台：VPN-Server 端、RADIUS-Client 端…等 更快速的網頁存取：排定「內容下載工作」 Chapter2 planning & structure --ISA Server 2006 2.1 Topology

In te rn e t F irew al l

F i rew al l

F ir ew a ll

F ir ew a ll

E x ch a n g e S e rv e r

I IS

R ou te r

F T P S e rv e r

C L IEN T

無 線 A P

19 2 .1 6 8 .1 6 8 .x

.1 6 .0

總公司的建議架構

4

2.2 objective 總公司架設 BACK to BACK 式防火牆，將對外服務的伺服器集中管

理（DMZ 區），且與內部網路作區隔，將可能的資安風險降到最低。 分公司架設邊緣式防火牆，減少被攻擊的機會。 內部網路伺服器（對內服務）與外部網路作隔離。 總、分公司之間的流量控制。 員工上網過濾內容（OSI 第七層）。 杜絕貴公司技術遭竊取問題。 所有客戶端須通過驗證，才能存取公司資源（使用 SSL 安全憑證）。 排程自動更新 ISA Server，提高效能、安全度。 設定主動將安全性警示以 E-mail 通知管理者。 2.3 rules of back-end firewall 決定方案： CSS（規則設定儲存區）放在內部網路，且加入 AD 網域：保護重

要設定不被竄改。 前後端防火牆 ISA Server「不」加入網域：提升安全性。即使倒牆，

可迅速再架設，不影響後端的 CSS。 後端防火牆規則：

5

2.4 rules of front-end firewall 決定方案： 前端防火牆是外部流量要進入的第一道關卡，因此在這裡發佈 DMZ 區

網站（網站陣列）、DNS 伺服器、SMTP 轉寄站、檔案伺服器…等等。

另外，允許前端防火牆的流量如下：Exchange OWA、網站（HTTP 相關）、

SMTP 與 POP3、FTP、DNS…等等。若採用 ISA Server內建的站台對站

台 VPN（VPN Server 流量經過防火牆），另開幾個規則如 IKE 用戶端、

PPTP…等等。 前端防火牆規則：（發佈網站的規則另設）

6

發佈 DMZ 區對外服務的網站(HTTP)： 在不使用 SSL 連線方式的架構下發佈網站時有幾個注意事項： a. ISA Server 與 Web Server 之間使用 HTTP 協定。

b. 公用名稱請輸入網站對外 DNS 名稱。

7

c. 外部網路客戶端與 ISA Server 網頁接聽程式之間使用 HTTP 協定。

8

d. 網頁接聽程式使用的對外接聽虛擬 IP須與對外發佈的DNS伺服器所

接聽的虛擬 IP 相同。

9

e. ISA Server 網頁接聽程式不驗證。

f. 「驗證委派」記得選：沒有委派，用戶端無法直接驗證。

10

g. 記得在對外 DNS 伺服器新增的 DMZ 區網站 IP 記錄是前端防火牆外

網卡（虛擬 IP）。

h. 在外部網路測試成功畫面。

11

Chapter3 note & problem solving 3.1 note a. 防火牆服務常有異常狀況，此時只要停止再重新啟動即可。若全面

檢查完設定後還是有異常情況，可重新啟動系統來確定問題不是微

軟的 bug。 b. 替前端的 ISA Server 申請完憑證並安裝之後，記得須將防火牆服務停

止再重新啟動（也是微軟的 bug）。 c. 若採用 VPN Server 架在 ISA Server 上的架構，而又必須使用 SSL 連

線方式（L2TP over IPSec）且安裝憑證，則必須將 Remotre Access Service 停止再重新啟動，VPN 功能才會正常。

d. 依照實體線路圖裝完網卡、拉好線、接對 Switch 以後，開始測試網

路是否正常（使用 ping），電腦與電腦、虛擬系統與虛擬系統之間是

否可連線。測試時先將閘道設為非防火牆的實體機器位址，等之後

架好伺服器，服務啟動，且在測試電腦測試 OK 後，再將閘道設為

防火牆位址。此舉是為了確定連線問題所在，簡化問題成為單一「自

變項」。 3.2 problem solving a. 情境：CSS 與後牆之間無法連線，使用 ping 指令測試時發現封包沒

收到，推測是虛擬網卡問題。 解決方法：檢查虛擬網卡的 MAC 位址發現對應到錯的系統網卡，調整

回來後（最好是再重開機）恢復正常連線。 b. 情境：Fnode1 與 Fnode2 的 NLB 在重開機之後出現異常，使用 ping

檢測後發現無法與 CSS 溝通。 解決方法：詳細對照路由表後發現 Fnode2 的路由表在連到不同網段時

的介面卡錯誤（起點錯誤），改回來後即恢復正常。（推測是 Virtual Server的問題，可能重開機以後虛擬網卡抓錯張） c. 情境：啟用 NLB 時會重新演算出一張新網卡MAC 位址，造成除錯

時的困擾。 解決方法：對照兩個互相作 NLB 的 ISA Server，檢查是否使用同樣 MAC位址的網卡在作 NLB。 d. 情境：在 CSS 中將 Virtual IP 刪除後，在 ISA Server 產生 IP 位址衝

突的警告，且造成此陣列的 NLB 失敗。 解決方法：到網路的 TCP/IP內容選進階，將 Virtual IP 刪除，過一陣子

12

即恢復正常，再新增想用的 Virtual IP。 e. 情境：在測試Exchange Server 是否能對外服務時，無法確定是 firewall

rules擋掉封包還是 Exchange Server 設定問題導致寄信失敗。 解決方法：在 firewall rules 中新增一暫時規則：允許所有網路的所有流

量，若 Exchange Server 還是無法寄信，代表不是 firewall rules 的問題；

若此時可以寄信，代表是 firewall rules 沒開對。 f. 情境：在外部網路以瀏覽器測試連到 DMZ 區的網站時，發現無法連

線。使用指令 ping 前端防火牆 IP 位址可以連線，但 ping DMZ 區網

站的 DNS 名稱時無回應，代表 DMZ 區的 DNS Server 無法解析 IP，檢查防火牆規則後確定已允許 DNS 流量、發佈 DMS Server。

解決方法：直接到 DMZ 區的 DNS Server 上檢查，發現路由表有問題，

沒有到網段 192.168.1.0（外部網路）的路徑，因此新增一筆路徑

192.168.1.0 mask 255.255.255.0 192.168.4.253（或是設定網路的預設閘

道）。 g. 情境：SMTPRelay成功加入 AD網域，重開機後卻無法以 administrator

登入網域主機。 解決方法：由本機登入後檢查路由表，發現剛剛新增的一筆路徑消失

了，原來是忘了加上參數 –p （持續存在），因此再新增一次即可。 Chapter4 journals & thoughts 4.1 journals 日期 日誌 3/17 今天終於決定 MS-LAB 分組與組長名單，鬆了一口氣，因為這

是個很艱難的決定，關係到之後組員之間的互動情形（尤其我

對於 LAB 是一無所知）。開了第一次會，會中決定由我和組長

志光提供房間作為實作場所（很好，因為我喜歡熱鬧）。工欲

善其事，必先利其器，先確定配備總是必要的，因此每個人將

自己電腦 CPU 廠牌、核心數，和 RAM 的 SIZE 報給組長，我

則是紀錄，幫大家整理會議內容。 3/18 感謝冠豪提供記錄紙和電子檔，方便會議記錄工作。現在開始

除了組長外每個組員都要簽到，做成記錄，且會議結束後須決

定下次開會時間。此次開會重點在決定大區塊的負責人員：總

分公司、對外 DMZ 區、防火牆三個區塊人員比 4：4：3。

13

3/22 鑑於大區塊無從準備，因此決定每個人負責一個服務（伺服器）

（較重要的）。我和紹偉是 ISA Server 和 VPN Server，先決定

每個人在自己機器先架，等拓樸圖出來後再研究如何規劃虛擬

機器。遇到問題先做紀錄，想出解決辦法後也要記錄。今天中

午開組長會議，身為記錄的我也決定出席，瞭解狀況。我們和

Hubert 老師討論有關第一次簡報的重點、驗收報告的注意事項

等等，老師特別強調問題解決的經驗，希望我們隨時做紀錄，

當作自我成長的見證。另外，也希望我們畫出實體線路圖，釐

清觀念，確定位在不同主機的虛擬機器可以互相溝通。最後，

我問老師有關背對背防火牆的網路架構，老師告訴我三個網

路：外部網路、DMZ 區、內部網路，我才終於稍稍瞭解背對

背式防火牆的特點及功用。經過這次的組長會議，我才瞭解學

長們畫的拓樸其實是需要以另一種觀點去看待，尤其是：實體

的路由器是不存在的！這讓我困擾很久，因為我完全不知道如

何設定實體路由器。作 LAB 時是以 Server 2003（或 2008）的

「路由及遠端存取服務」產生路由功能來代替實體路由器，效

能差了些，但設定上方便許多。（需先停止 firewall/ICS Service） 3/25 暫訂 4/1 搬電腦進宿舍。利用早上空堂請每個人報告所負責的

領域，個人覺得精彩的有 AD RMS、Exchange Server…等。自

己的部分報告完後覺得在表達上還算滿意，不過只是 VPN 的

皮毛而已，離真正瞭解尚有一段距離。在下午加開一場會議（但

有些人先走了），將所有必須的服務項目盡數分配，包括 AD和 DNS Server 等等，我仍一本初衷的選擇 ISA Server，紹偉也

是。 3/29 由於環境需要串接多台實體電腦，因此需向資策會商借 Switch

和網路線、網路卡、接頭，當然包含夾線工具。我已將公司拓

樸圖畫出，但仍不瞭解畫拓樸圖的意義在哪裡（直到驗收當天

我才真正瞭解）。至於搬電腦進宿舍時，需自備延長線、貼標

籤，彥暉熱心的提供小巧的 EEE-PC 當作測試用電腦。 3/31 明日搬電腦的計畫臨時喊卡（讓大家有時間作更多測試）。與

David 老師討論後決定將 VPN Server 從 ISA Server 中拉出來，

理由是想做到「NAP」的功能，而 NAP 在 Server 2008 中有方

便的檢測程式可以使用（Server 2003 只能自己寫程式），但 ISA Server 只能裝在 Server 2003 上，因此只有另架 VPN Server 一途。那要放哪呢？原本規劃放在防火牆後端的內部網路的 VPN Server 其流量要先經過防火牆才能到外部網路（或從外部網路

到內部網路），但與老師討論後決定將它獨立成專線（直接通

到外部網路而不經過防火牆），理由是減少防火牆負擔、增加

14

虛擬私人網路的彈性。在開會議程中阿澤學長蒞臨指導，他建

議我們 Exchange Server晚點再架，因為它會修改 AD 的架構

（Schema）。另外，他特別叮嚀我們事先規劃公司環境，務使

提出的解決方案符合專業分工、架構可行性的理想。 4/06 上台簡報在即，組長規定男生穿西裝褲，女生穿 OL 裝，而簡

報用筆電無法借到，可用 106 教室現有的機器，但須先測試。

預計 04/10 下午借用 106 教室進行簡報預演，測試 PowerCam錄音效果。Hubert 老師預計加開一堂電子白版使用教學課程，

時間在 04/08。各網段 IP 規劃大致底定，細部的將在實作時再

作調整。網路拓樸圖完成，經 David 老師指點需加註 IP 網段。 4/08 電子白板超好用，不過需熟練才能真正提升簡報效果，感謝

Hubert 老師的熱心教導。 4/10 簡報預演階段發現三樓麥克風拿不到，熱心的村哥研究了一下

告訴我們只要有轉接頭就可以從無線麥克風的主機直接錄製，音質將會比之前的清晰好幾倍，這真是太棒了，感謝熱血

的村哥。 4/12 「上台簡報」：

自己小感冒，仍盡力的將自己的部分報告完，只不過可能有點

有氣無力的感覺。今早本組欲給評審的書面簡報出了狀況，導

致我們遲了 5 分鐘才進場，有點不好意思。大抵上今天我在精

神上是雀躍的，在外表上有點急躁，有點失控的感覺，而志光

在整組總結提到的一起工作、一同學習、同吃同睡的革命情

感，讓我蠻感動的，這就是伙伴啊！ 4/13 最後一台電腦搬進宿舍後，開始拉網路線、架 Switch。村哥教

我們如何夾線，如何排序：白橙橙、白綠藍、白藍綠、白棕棕，

帥啊，村哥就是村哥！讓不懂測線器的我夾過一條又一條，而

且都通！算是我 LAB 中最大的收穫。至於拉線交給紹偉真是

萬無一失，我只要負責確認而已。將每條網路線貼標籤後，開

始測試可不可以互 ping，一開始有點問題，閘道設對後就 OK了，但是還不能上網。紹偉將我的電腦的外部網卡路由方式設

定成「NAT」之後（另兩張是路由），每個人就能上網，真神！

不用再跑到我的電腦報名參訪活動了。 4/14 今天的進度是將後牆規則設好，運作 NLB，順便瞭解大家的進

度，以及紹偉的 VPN Server，看起來 VPN Server 有點卡卡的，

書上說的都已經作了，到底漏了什麼呢？後來發現在 Server 2008 上用 IE8 要向 CA 申請憑證會有問題，怎麼樣就是裝不起

來，再一次細翻書本後才發現其實老師有說明解決方法，終於

解決了！

15

4/15 今天的進度是將前牆規則設好，運作 NLB，結果在設定外部網

路的 Virtual IP 時有點卡卡的，索性改成用 port 來區別對外服

務好了（後來老師說這樣不好，因為使用者不會用特殊 port來連，因此又改回使用不同的 Virtual IP 來區別接聽程式）。晚上時五台虛擬機器重開機（想測試一下穩定度），結果前牆 NLB失效，查了很久找不到原因，差點要重灌，最後問一下正在水

深火熱的紹偉，他告訴我從前牆 ping 到 CSS 看看（用 DNS 名

稱），不通，奇怪，他又叫我查 ISA Server 的路由表，怪了！！

竟然原本手動加入的路由紀錄錯了，我明明沒有動它（只是重

開機而已），改回來就正常了。今天打算不睡了，因為都還沒

有用測試電腦測試過。收發信一測試就出現問題，將防火牆規

則一看再看，連前人的規則設定都照樣設定了一次（只多了一

筆不知道為什麼的規則），還是不行，暫時將網路流量全開，

還是不行，這樣可能是 SMTPRelay 本身設定轉送的問題了。

測了一下 Exchange OWA，不行，問阿信，他說沒有 SSL，改

一下防火牆規則，查一下書本，再改了一下，通了，看到首頁，

但輸入帳號密碼後卻連不進去，需再跟阿信確定一下。接著，

測試從外部網路連接內部網路的 CA 網站，不通，思考一下後

牆規則，作個調整，通了，感動～～沒有花太久的時間。接著，

從外部網路測試要連到 DMZ 區的檔案伺服器，不通，改一下

規則，雖然還是不通，但發現連線訊息有進步了，有找到伺服

器，只是驗證出現問題，再繼續試，試到後來身體不行了，跑去承緯房間瞇一下（不太能入眠）。一個小時後繼續回來奮戰，

不過也差不多該接老師了，利用僅存的 30 分鐘將這三天來的

經驗整理一下，寫到筆記本裡，以備日後驗收報告的撰寫。 4/16 「實機驗收」：

紹偉的 VPN Server 很順利，輪到我時有點卡卡的，因為之前

沒有和宗宏討論網站的測試狀況，導致網站公用名稱不同，當

然無法連線。改回來後又發現只能以 SSL 來連線，檢查不出規

則錯誤在哪，想要砍掉規則再重建，卻發生 CSS 和 ISA Server連線異常狀況，搞不定，只能留待驗收完後再作修正。值得慶

幸的是 ISA Server 的 NLB 功能正常，且學到在模擬某一台 ISA Server 當掉時不要用虛擬功能的「暫停」或「儲存狀態」，要

真正的「關機」，不然 NLB 功能會怪怪的。有點可惜的是

Exchange Server 沒有驗收到 OWA 部分（還是我沒看到），因

為我今天凌晨沒睡覺把它的防火牆規則修正一下，在外部網路

作測試成功！不過使用者身份驗證可能還有問題，應該再和阿

信討論一下。

16

4.2 thoughts LAB 最大的收穫就是拉近我與同學之間的距離。平常上課認真聽

講，下課猛 K 書，根本沒時間和同學切磋、討論，藉由這次的 LAB讓我瞭解到團體思考的重要性，這也是 Peter Senge 五項修練之一。

畫完實體線路圖後，我發現自己對於路由器與交換器的差別多瞭解

了一點。 雖然有些同學平常靜靜的，但是到了 LAB 時展現驚人的除錯能力

（大家應該知道我說誰了），真太強了。 要學到東西，自己必須要先知道自己想要學什麼，當這種「學的慾

望」累積的夠多時，學習將會很有效率。 雖然處處碰壁，但還是要堅持對的路，耐心走下去，因為成功的果

實不是長在路邊的野花，而是路的盡頭那高大壯碩的椰子。 reference

63 期第三組 MSLAB 報告 ISA Server 2006 新功能介紹,精誠公司,恆逸資訊教育訓練中心,

唐任威