amber's profile

http://www.amber.com/

WC103 MSLAB 第二組

Preface

Topology

Headquater

Exchange

TMG (Fire Wall)

Branch

Worksheet

Preface

Topology

Headquater

Exchange

TMG (Fire Wall)

Branch

Worksheet

二、拓樸圖

Amber Pogai Technology是以提供中小型企業一架構簡便並且

具有高可用性及穩定性的內部資源管理解決方案，主體以微軟的

Windows作業系統搭配 Active Directory提供公司內部網域的主體架

構及服務，同時搭配微軟推出的各種相關軟體，確保和系統間的最高相

容性及最完整的服務內容。

在本次的計畫中，我們的建構目標有：

設置防火牆保護公司內部網路的安全

確保各項服務和功能都具有高可用性 ( 容錯 )

建立 DMZ 區提供公司對外的網路服務

在總公司和分公司間透過 VPN 互相連線

使用 Active Directory 來管理公司內部人員和資源

使用 Exchange Server 作為內部資訊交流及時程規劃的管道

透過部署企業防毒搭配 WSUS 的更新服務確保公司內的電腦安全性

一、前言

01http://www.amber.com/

二、拓樸圖

Amber Pogai Technology是以提供中小型企業一架構簡便並且

具有高可用性及穩定性的內部資源管理解決方案，主體以微軟的

Windows作業系統搭配 Active Directory提供公司內部網域的主體架

構及服務，同時搭配微軟推出的各種相關軟體，確保和系統間的最高相

容性及最完整的服務內容。

在本次的計畫中，我們的建構目標有：

設置防火牆保護公司內部網路的安全

確保各項服務和功能都具有高可用性 ( 容錯 )

建立 DMZ 區提供公司對外的網路服務

在總公司和分公司間透過 VPN 互相連線

使用 Active Directory 來管理公司內部人員和資源

使用 Exchange Server 作為內部資訊交流及時程規劃的管道

透過部署企業防毒搭配 WSUS 的更新服務確保公司內的電腦安全性

一、前言

01http://www.amber.com/

AmberPogai’s Topology

蔡尚明

Headquater

AmberPogai Technology

蔡尚明

Headquater

本節的內容是以在總公司的 AD 架構及其所提供的服務為主，不包含

Exchange 和 DMZ 及 TMG ，這三部分會在後續的章節中做說明。

這次 MSLAB 的一個重要的目標就是建構系統的高可用性，因此在拓

樸圖上可以看到只要是能夠提供互相備援或是容錯的功能就都以兩份作

為建置的標準，像是 DC 、 WINS 、 DNS 、 DHCP 等功能便是如此。

(一) AD基礎架構

總公司中建置了兩台的網域控制站 (DC)，且兩台都是通用類別伺

服器 (GC)，用途在於避免單一的 DC會發生單點失敗導致網域癱瘓無法

提供服務的狀況。

虛擬機器的注意事項：使用虛擬機器上請注意 Virtual Box 4.2.0 版

本會與 Windows 2008 R2 的 CA及 WSUS功能有著相容性的問題，在存取

這兩項功能時會有高機率導致 VBox 的嚴重錯誤發生，導致強制終止虛

擬機器的執行。如果發生在網域控制站，會導致 AD 資料庫無法修復

的毀損。如非得使用 4.2.0 版本，請將 CA 和 WSUS 移出作為一台或兩台

獨立的伺服器運行。

同時，兩台網域控制站可以共同負擔使用者登入認證的工作，減輕

DC 工作量的負載。

站台的配置上將總公司和分公司區隔為兩個自己所屬的站台，模擬

總公司和分公司實際上處於不同位置。

在建構總公司和分公司時通常防火牆都還沒有連線能力或是根

本還沒有安裝好，因此需要將總公司和分公司 (負責 Exchange的同

學也可先行作業 )的電腦透過一台 Switch來直接連接。但是，在這

種環境下總公司和分公司的 IP網段必須暫時先設定為相同才能互相

溝通，而如果採用這種做法，之後將分公司的網段改為正確的網段

時，可能會讓 AD資料庫找不到在原來 IP上的分公司電腦而出現各

種錯誤需要手動去矯正。

Headquater

07http://www.amber.com/06

本節的內容是以在總公司的 AD 架構及其所提供的服務為主，不包含

Exchange 和 DMZ 及 TMG ，這三部分會在後續的章節中做說明。

這次 MSLAB 的一個重要的目標就是建構系統的高可用性，因此在拓

樸圖上可以看到只要是能夠提供互相備援或是容錯的功能就都以兩份作

為建置的標準，像是 DC 、 WINS 、 DNS 、 DHCP 等功能便是如此。

(一) AD基礎架構

總公司中建置了兩台的網域控制站 (DC)，且兩台都是通用類別伺

服器 (GC)，用途在於避免單一的 DC會發生單點失敗導致網域癱瘓無法

提供服務的狀況。

虛擬機器的注意事項：使用虛擬機器上請注意 Virtual Box 4.2.0 版

本會與 Windows 2008 R2 的 CA及 WSUS功能有著相容性的問題，在存取

這兩項功能時會有高機率導致 VBox 的嚴重錯誤發生，導致強制終止虛

擬機器的執行。如果發生在網域控制站，會導致 AD 資料庫無法修復

的毀損。如非得使用 4.2.0 版本，請將 CA 和 WSUS 移出作為一台或兩台

獨立的伺服器運行。

同時，兩台網域控制站可以共同負擔使用者登入認證的工作，減輕

DC 工作量的負載。

站台的配置上將總公司和分公司區隔為兩個自己所屬的站台，模擬

總公司和分公司實際上處於不同位置。

在建構總公司和分公司時通常防火牆都還沒有連線能力或是根

本還沒有安裝好，因此需要將總公司和分公司 (負責 Exchange的同

學也可先行作業 )的電腦透過一台 Switch來直接連接。但是，在這

種環境下總公司和分公司的 IP 網段必須暫時先設定為相同才能互相

溝通，而如果採用這種做法，之後將分公司的網段改為正確的網段

時，可能會讓 AD資料庫找不到在原來 IP上的分公司電腦而出現各

種錯誤需要手動去矯正。

Headquater

或者，戴老師提供了另一種解決方案。一樣將 3台電腦接在同

一台 Switch上，但 IP就直接先設定為正確的網段，透過一台虛擬機

器 (可以是 2008 R2或 2003)來提供路由服務，將預設閘道指向這台

虛擬機器相對應的網卡上 (要接幾個網段就要有幾張虛擬網卡 )讓其

扮演路由器的角色連結各個不同網段的電腦。再從分公司的電腦執

行 dcpromo，直接加入網域或建立子網域就可以避免因為改動 IP 造

成AD資料庫的混亂。

(二) DHCP Server

DHCP的功能為自動指派可用的 IP位置及網路設定給使用自動取得

IP的用戶端電腦，省去手動逐台設定 IP的大量時間和可能會發生的設定

錯誤。

在本次架構中，我們在兩台網域控制站中都建置 DHCP Server，

設定發放同一段 IP領域，透過排除互相發布的 IP 區段來達到互相備援，

提供DHCP伺服器的高可用性。

DNS伺服器是用來提供網路位址的 IP查詢和解析服務，客戶端如

查詢相同的網站位址時會以儲存在快取中的暫存資料提供資訊，不用再

重新對外查詢一次，節省對外網路的流量使用。

(三)DNS Server

Headquater

或者，戴老師提供了另一種解決方案。一樣將 3台電腦接在同

一台 Switch上，但 IP就直接先設定為正確的網段，透過一台虛擬機

器 (可以是 2008 R2或 2003)來提供路由服務，將預設閘道指向這台

虛擬機器相對應的網卡上 (要接幾個網段就要有幾張虛擬網卡 )讓其

扮演路由器的角色連結各個不同網段的電腦。再從分公司的電腦執

行 dcpromo，直接加入網域或建立子網域就可以避免因為改動 IP 造

成AD資料庫的混亂。

(二) DHCP Server

DHCP的功能為自動指派可用的 IP位置及網路設定給使用自動取得

IP的用戶端電腦，省去手動逐台設定 IP的大量時間和可能會發生的設定

錯誤。

在本次架構中，我們在兩台網域控制站中都建置 DHCP Server，

設定發放同一段 IP領域，透過排除互相發布的 IP 區段來達到互相備援，

提供DHCP伺服器的高可用性。

DNS伺服器是用來提供網路位址的 IP查詢和解析服務，客戶端如

查詢相同的網站位址時會以儲存在快取中的暫存資料提供資訊，不用再

重新對外查詢一次，節省對外網路的流量使用。

(三 )DNS Server

Headquater

(四) WINS Server

WINS提供了在區域網路內查詢電腦名稱來尋找其他電腦位置的服

務。 WINS伺服器會先將有設定 WINS用戶端的電腦資料登錄在自己的

資料庫中，有電腦要透過網芳尋找其他電腦時，就可以直接向 WINS伺

服器詢問，不需要再以廣播封包的方式去尋找目標電腦，減輕廣播封包

佔據內部網路頻寬甚至讓網路產生大量碰撞。

WINS伺服器的配置一樣是在兩台網域控制站上都各建立一台，兩

台互相設定為推拉夥伴，同步兩台 WINS伺服器上的資料，如有一台伺

服器或是網域控制站失去功能無法提供服務的時候也可以從另一台網域

控制站上查詢到需要的資料。

(五)WSUS及企業防毒部署(FCS)

為了確保公司內的電腦安全性，需要讓作業系統接受最即時的更新

服務，但是如果讓公司內所有的電腦都自己連接到微軟的更新服務去抓

取更新檔，不但非常地耗時還會大量占用公司珍貴的網際網路頻寬，有

時候甚至會和所使用的軟體發生衝突。

因此，透過架設 Windows Server Update Services(WSUS)伺

服器，由這台伺服器先去接收微軟發出的更新資訊，待管理者審核，先

在幾台測試電腦上實驗這次的更新會不會和現有的軟體衝突，再核可到

公司內部的電腦，且是透過高速的內部網路發佈更新檔，不但可以減少

傳輸所需的時間更可以保證更新的穩定度。

Headquater

(四) WINS Server

WINS提供了在區域網路內查詢電腦名稱來尋找其他電腦位置的服

務。 WINS伺服器會先將有設定 WINS用戶端的電腦資料登錄在自己的

資料庫中，有電腦要透過網芳尋找其他電腦時，就可以直接向 WINS伺

服器詢問，不需要再以廣播封包的方式去尋找目標電腦，減輕廣播封包

佔據內部網路頻寬甚至讓網路產生大量碰撞。

WINS伺服器的配置一樣是在兩台網域控制站上都各建立一台，兩

台互相設定為推拉夥伴，同步兩台 WINS伺服器上的資料，如有一台伺

服器或是網域控制站失去功能無法提供服務的時候也可以從另一台網域

控制站上查詢到需要的資料。

(五 )WSUS及企業防毒部署(FCS)

為了確保公司內的電腦安全性，需要讓作業系統接受最即時的更新

服務，但是如果讓公司內所有的電腦都自己連接到微軟的更新服務去抓

取更新檔，不但非常地耗時還會大量占用公司珍貴的網際網路頻寬，有

時候甚至會和所使用的軟體發生衝突。

因此，透過架設 Windows Server Update Services(WSUS)伺

服器，由這台伺服器先去接收微軟發出的更新資訊，待管理者審核，先

在幾台測試電腦上實驗這次的更新會不會和現有的軟體衝突，再核可到

公司內部的電腦，且是透過高速的內部網路發佈更新檔，不但可以減少

傳輸所需的時間更可以保證更新的穩定度。

Headquater

同時為了保護公司內部的電腦免於病毒的感染和攻擊，我們採用微

軟的 Forefront Client Security防毒軟體來提供防毒功能， FCS除了可

以透過 FCS伺服器來監控客戶端電腦的安全狀況及執行掃描外，還可以

搭配 WSUS伺服器來部署客戶端電腦至公司內部電腦及更新病毒定義

碼，提供隨時最即時的防護。

在設定這類要部檔案至大量電腦的 GPO時 (像是 WSUS的更

新、 FCS客戶端安裝和部署 Office軟體 )，請衡量自己的電腦配備

和負載，不要隨意的直接將 GPO套用到整個網域中，輕則自己的

電腦可能會卡住、當機，嚴重可能會影響作 Exchange和 TMG的

同學的電腦效能或功能。

(六) AD RMS

Active Directory Rights Management Services(AD RMS)可以

提供企業內部的文件安全防護，經過 AD RMS設定權限後，使用者可以

設定這一份文件只可以由哪些人閱讀、哪幾個人可以編輯和輸出這份文

件，確保公司的機密資料就算被有心人士偷看或是攜帶出去也無法存取

這些重要資料，保護公司的重要資產。

在安裝 AD RMS的時候要注意憑證的申請，如果是透過憑證主

控台直接和 CA要求的電腦憑證可能會無法使用在 AD RMS的服務

上，同時使用者要有電子郵件帳戶才能使用此服務。

Headquater

同時為了保護公司內部的電腦免於病毒的感染和攻擊，我們採用微

軟的 Forefront Client Security防毒軟體來提供防毒功能， FCS除了可

以透過 FCS伺服器來監控客戶端電腦的安全狀況及執行掃描外，還可以

搭配 WSUS伺服器來部署客戶端電腦至公司內部電腦及更新病毒定義

碼，提供隨時最即時的防護。

在設定這類要部檔案至大量電腦的 GPO時 (像是 WSUS的更

新、 FCS客戶端安裝和部署 Office軟體 )，請衡量自己的電腦配備

和負載，不要隨意的直接將 GPO套用到整個網域中，輕則自己的

電腦可能會卡住、當機，嚴重可能會影響作 Exchange和 TMG的

同學的電腦效能或功能。

(六 ) AD RMS

Active Directory Rights Management Services(AD RMS)可以

提供企業內部的文件安全防護，經過 AD RMS設定權限後，使用者可以

設定這一份文件只可以由哪些人閱讀、哪幾個人可以編輯和輸出這份文

件，確保公司的機密資料就算被有心人士偷看或是攜帶出去也無法存取

這些重要資料，保護公司的重要資產。

在安裝 AD RMS的時候要注意憑證的申請，如果是透過憑證主

控台直接和 CA要求的電腦憑證可能會無法使用在 AD RMS的服務

上，同時使用者要有電子郵件帳戶才能使用此服務。

Headquater

如果設定都正確，但是還是出現下圖無法存取 AD RMS服務的

話，請先嘗試完整的移除掉 AD RMS及舊憑證並且重開機，改透過網

頁向 CA提交並申請網頁伺服器的憑證重新匯入後再安裝回去，通常

就可以排除這個問題。

注意！不斷的重複安裝&移除AD RMS可能會造成本機資料庫損毀

(七) 公司內部網頁

對公司內部提供資訊及各種服務的內部網站也是企業中很重要的一

環，一個可靠的網站可以穩定的提供各種最新的資訊，讓內部的公開資

訊得以快速的傳播。

因此，對於架構這個網頁的伺服器我們採用了網路負載平衡

(Network Load Balancing, NLB)的功能，架設兩台或更多的伺服器提

供網頁的存取。 NLB 功能會自動的將連線分散到其中的伺服器上，並可

以偵測其運作狀況，如果有伺服器當機或是無法提供服務時便會自動調

整連線避開故障的伺服器，由其他穩定的伺服器繼續提供服務。

Headquater

如果設定都正確，但是還是出現下圖無法存取 AD RMS服務的

話，請先嘗試完整的移除掉 AD RMS及舊憑證並且重開機，改透過網

頁向 CA提交並申請網頁伺服器的憑證重新匯入後再安裝回去，通常

就可以排除這個問題。

注意！不斷的重複安裝&移除AD RMS可能會造成本機資料庫損毀

(七) 公司內部網頁

對公司內部提供資訊及各種服務的內部網站也是企業中很重要的一

環，一個可靠的網站可以穩定的提供各種最新的資訊，讓內部的公開資

訊得以快速的傳播。

因此，對於架構這個網頁的伺服器我們採用了網路負載平衡

(Network Load Balancing, NLB)的功能，架設兩台或更多的伺服器提

供網頁的存取。 NLB 功能會自動的將連線分散到其中的伺服器上，並可

以偵測其運作狀況，如果有伺服器當機或是無法提供服務時便會自動調

整連線避開故障的伺服器，由其他穩定的伺服器繼續提供服務。

Headquater

而為了更加提高網頁的安全性和穩定性，我們將網頁的設定檔及資

料本身另外安放於檔案伺服器中。相同的，為了確保檔案伺服器不會發

生單點故障的狀況，也是採取在兩台伺服器上建置 RAID-5磁碟陣列提供

容錯和提升效能，並且在伺服器間使用分散式檔案系統 (DFS)同步其中

的檔案。這樣網頁伺服器在存取資料時便可提供最棒的效能及安全性。

這次的 MSLAB 中，其實是有點意外性的當上了組長，原本是有點害怕

會無法統整或是帶領組員成功的完成這個 LAB 。但是非常的幸運組員們都是

非常的好溝通和十分的上進，讓組內的氣氛從頭到尾都維持在一可以令人安

心作業的環境中，各自負責的部分遇到了問題除了努力的自己翻書查資料嘗

試 Debug外也十分樂於和我及組員們討論交流，無法解決時也會很勤快的

向其他組作相同部分的同學請教研究，讓我們可以在驗收時交出一筆非常不

錯的成績。

我自己所負責的部分是總公司 AD網域和功能的架設，在整個 LAB 的架

構下是最基礎的根基， AD存則組存， AD亡則大家一起重新來，雖然自己架

設的系統還算是穩定，但其他組發生的災情還是讓我提心吊膽了一陣子，深

怕自己的電腦突然掛掉讓幾個禮拜來大家的努力化為灰燼。雖然在驗收前的

一個晚上防火牆電腦的網卡突然鬧了很大一下的彆扭讓所有的人都嚇出了一

身的冷汗，不過在嘗試排除這個狀況時別組的同學們及學長都十分樂意且主

動的來協助我們搞到凌晨兩點多，最後也成功的解決掉了這恐怖的網卡問

題，真的是十分的感謝大家的幫忙。

最後驗收當天在老師給的提示下成功的將一直以來無法排除的一些

bug給順利的修正好，讓我們的系統可以完整的運作，也算是交出了一張不

錯的成績單。在這 LAB 的過程中自己也獲得了很棒的經驗及收穫，這樣說有

點不好意思但是在其他組協助他們排除問題時的確給了我不少的樂趣，可以

接觸並解決自己沒有遇到的問題，讓自身的學習更加的完整。在此我還是要

感謝我的組員們及 WC103班的同學們給我的支持和協助，讓我們可以順利

的完成這次 MSLAB ！

四、心得

Headquater

而為了更加提高網頁的安全性和穩定性，我們將網頁的設定檔及資

料本身另外安放於檔案伺服器中。相同的，為了確保檔案伺服器不會發

生單點故障的狀況，也是採取在兩台伺服器上建置 RAID-5磁碟陣列提供

容錯和提升效能，並且在伺服器間使用分散式檔案系統 (DFS)同步其中

的檔案。這樣網頁伺服器在存取資料時便可提供最棒的效能及安全性。

這次的 MSLAB 中，其實是有點意外性的當上了組長，原本是有點害怕

會無法統整或是帶領組員成功的完成這個 LAB 。但是非常的幸運組員們都是

非常的好溝通和十分的上進，讓組內的氣氛從頭到尾都維持在一可以令人安

心作業的環境中，各自負責的部分遇到了問題除了努力的自己翻書查資料嘗

試 Debug外也十分樂於和我及組員們討論交流，無法解決時也會很勤快的

向其他組作相同部分的同學請教研究，讓我們可以在驗收時交出一筆非常不

錯的成績。

我自己所負責的部分是總公司 AD網域和功能的架設，在整個 LAB 的架

構下是最基礎的根基， AD存則組存， AD亡則大家一起重新來，雖然自己架

設的系統還算是穩定，但其他組發生的災情還是讓我提心吊膽了一陣子，深

怕自己的電腦突然掛掉讓幾個禮拜來大家的努力化為灰燼。雖然在驗收前的

一個晚上防火牆電腦的網卡突然鬧了很大一下的彆扭讓所有的人都嚇出了一

身的冷汗，不過在嘗試排除這個狀況時別組的同學們及學長都十分樂意且主

動的來協助我們搞到凌晨兩點多，最後也成功的解決掉了這恐怖的網卡問

題，真的是十分的感謝大家的幫忙。

最後驗收當天在老師給的提示下成功的將一直以來無法排除的一些

bug給順利的修正好，讓我們的系統可以完整的運作，也算是交出了一張不

錯的成績單。在這 LAB 的過程中自己也獲得了很棒的經驗及收穫，這樣說有

點不好意思但是在其他組協助他們排除問題時的確給了我不少的樂趣，可以

接觸並解決自己沒有遇到的問題，讓自身的學習更加的完整。在此我還是要

感謝我的組員們及 WC103班的同學們給我的支持和協助，讓我們可以順利

的完成這次 MSLAB ！

四、心得

Headquater

班耀明

Exchange

班耀明

Exchange

用戶端存取伺服器 (CAS):NLB 架構信箱伺服器 (MBX):SCC 架構

在正常的情況下使用主動式 MBS1

這次在架設 CAS 碰到的問題就是 " 沒有介面可以用來設定新叢集 " ，

主要的發生原因是再製後的虛擬主機裡網路卡的 GUID 重複。

解決方法 : 把網卡解除安裝後再從新探索安裝即可

Exchange

用戶端存取伺服器 (CAS):NLB 架構信箱伺服器 (MBX):SCC 架構

在正常的情況下使用主動式 MBS1

這次在架設 CAS 碰到的問題就是 " 沒有介面可以用來設定新叢集 " ，

主要的發生原因是再製後的虛擬主機裡網路卡的 GUID 重複。

解決方法 : 把網卡解除安裝後再從新探索安裝即可

Exchange

當MBS1故障時，會自動轉移到被動式MBS2繼續運作

Others

實驗心得

不管在信箱伺服器或其餘伺服器上，只要開啟 Exchange 主控台就會

出現此畫面，按下取消後視窗就會消失，而 Exchange 主控台不會受到影

響，一切都能照常運作，其他組也是會出現此視窗畫面，但都不受影

響，目前推測是微軟的小 bug 。

這次的實驗我所負責的 Exchange 算是比較獨立性，剛開始只要加入

網域後就可以獨立作業，但後續還是需要配合到防火牆。而 Exchange 是

最後的課程，剛開始的時候還真的有點不太熟悉，碰到問題時幾乎都是

跟別組作 Exchange 一起討論，因為大家好像都是不太熟 Exchange ，所以我

們各組負責做 Exchange 的人都會一起互相討論，這樣學習效果還算不

錯。

最後驗收成果時，我遲遲無法測試從外部寄信到內部，基本上我的

Exchange

當MBS1故障時，會自動轉移到被動式MBS2繼續運作

Others

實驗心得

不管在信箱伺服器或其餘伺服器上，只要開啟 Exchange 主控台就會

出現此畫面，按下取消後視窗就會消失，而 Exchange 主控台不會受到影

響，一切都能照常運作，其他組也是會出現此視窗畫面，但都不受影

響，目前推測是微軟的小 bug 。

這次的實驗我所負責的 Exchange 算是比較獨立性，剛開始只要加入

網域後就可以獨立作業，但後續還是需要配合到防火牆。而 Exchange 是

最後的課程，剛開始的時候還真的有點不太熟悉，碰到問題時幾乎都是

跟別組作 Exchange 一起討論，因為大家好像都是不太熟 Exchange ，所以我

們各組負責做 Exchange 的人都會一起互相討論，這樣學習效果還算不

錯。

最後驗收成果時，我遲遲無法測試從外部寄信到內部，基本上我的

楊勝傑

AmberPogai TechnologyAmberPogai Technology功能與內部收發全都正常，而外部寄信到內部會通過防火牆，但我們這

組 TMG 一直無法解析到 DMZ 區的 DNS 伺服器，照成外部無法連回內部，而

我的 Exchange 也就都一直無法測試是否可以從外部寄信到內部裡，而我們

一直不斷的尋找問題，別組的也有一起來 troubleshooting ，到了驗收前的

最後一晚幾乎沒睡，還是找不到，等到老師驗收提醒我們可以先利用

HOSTS 的方式，而不是一直被這個問題卡住，而老師也有幫我們看了一下

發現是 DNS 那台有一些問題才會造成解析不到，其實各自的區塊都可運

作，只差外部通到內部還有 VPN 的連線有一些狀況。而每組有每組不同的

問題，不過這次我們的 TMG 不知砍掉過重練幾次，不過 DC 倒是沒有砍掉

從練， TMG 會砍掉那麼多次有些可能是 VirtualBox 的問題，至於我的

Exchange 也是有發生小意外，深夜電腦因為 Windows update 自動安裝而從新

開機，隔天一早要準備做時才發現整個 VirtualBox 出現錯誤，幸好後來檢

查叢集的部分都沒有問題，別組有出現電腦睡眠裝置沒關而造成叢集損

壞，又必須砍掉重建。

這次的 LAB 到最後驗收感覺不是很滿意，畢竟外部到內部的主要功能

都無法驗收，挺可惜，但也學習到不少經驗。在做 LAB 的這段期間，每天

都覺得日子過很快，每天都是做到深夜才騎車回家，還好家裡住的近，

不會花太多時間在交通上。實作真的可以學習到很多，每次單純看書會

看不下去，但當實作的時候，發現不會的地方再去翻書，記憶更深刻。

而且不只可以跟同組學習與討論，有時都會到不同組去做詢問，大家也

都熱意的教學，不只謝謝同組的組員一起配合，也很謝謝其他組的同學

幫忙。

Exchange

楊勝傑

AmberPogai TechnologyAmberPogai Technology功能與內部收發全都正常，而外部寄信到內部會通過防火牆，但我們這

組 TMG 一直無法解析到 DMZ 區的 DNS 伺服器，照成外部無法連回內部，而

我的 Exchange 也就都一直無法測試是否可以從外部寄信到內部裡，而我們

一直不斷的尋找問題，別組的也有一起來 troubleshooting ，到了驗收前的

最後一晚幾乎沒睡，還是找不到，等到老師驗收提醒我們可以先利用

HOSTS 的方式，而不是一直被這個問題卡住，而老師也有幫我們看了一下

發現是 DNS 那台有一些問題才會造成解析不到，其實各自的區塊都可運

作，只差外部通到內部還有 VPN 的連線有一些狀況。而每組有每組不同的

問題，不過這次我們的 TMG 不知砍掉過重練幾次，不過 DC 倒是沒有砍掉

從練， TMG 會砍掉那麼多次有些可能是 VirtualBox 的問題，至於我的

Exchange 也是有發生小意外，深夜電腦因為 Windows update 自動安裝而從新

開機，隔天一早要準備做時才發現整個 VirtualBox 出現錯誤，幸好後來檢

查叢集的部分都沒有問題，別組有出現電腦睡眠裝置沒關而造成叢集損

壞，又必須砍掉重建。

這次的 LAB 到最後驗收感覺不是很滿意，畢竟外部到內部的主要功能

都無法驗收，挺可惜，但也學習到不少經驗。在做 LAB 的這段期間，每天

都覺得日子過很快，每天都是做到深夜才騎車回家，還好家裡住的近，

不會花太多時間在交通上。實作真的可以學習到很多，每次單純看書會

看不下去，但當實作的時候，發現不會的地方再去翻書，記憶更深刻。

而且不只可以跟同組學習與討論，有時都會到不同組去做詢問，大家也

都熱意的教學，不只謝謝同組的組員一起配合，也很謝謝其他組的同學

幫忙。

Exchange

前牆規則後牆規則

問題與心得問題分析

關於這次實驗裡，遇到很多的問題多半不是技術性的問題。在安裝

過程中，光是再製硬碟，就把原本機器內的系統搞當機，實驗建置過程

中，大部分的時間，都在等待安裝的時間，似乎每組都曾出現過相同的

情況，把自己主人的系統搞當機，重建時就讓自己比別人多花很多時間

安裝。

再來就是Ｖ irturalBox 的版本問題，原先版本用 4.1.22，為了整組

的一致性和穩定，改用 4.2版，於是災情開始產生，先是擴充包無法順利

安裝，測試安裝機器時，常常會發生系統崩潰，無法正常穩定持續運

作，建議之後的學弟妹選用機器時，可以用老師測試過後的版本，或者

是4.1.22板來運行。

在實驗過程中，有一組的虛擬機器每個人都使用不同，結果發生系

統的不穩定，安裝過程建議使用自己重新安裝的主作業系統，並且更新

至最新版本較穩定，使用乾淨的作業系統做完再製後，當要做 NLB 時常

會發生失敗，主要原因通常為再製時，網路卡有重複性的問題，雖然更

改在製後的 MAC位置，但似乎還不構，必需到電腦管理裝置管理員網路

介面卡將網路卡解除安裝後，再重新掃描新的硬體，重新安裝後再進行

NLB 較沒問題。

以下將列舉出在MSLAB 中遇到的問題，做個簡單介紹：

圖1：未加入陣列時，版本為Standard。

一、 TMG版本問題，上課時只要將視窗關閉就能順利轉換成企業

版，但是實驗時卻完全失敗，必須等到加入陣列時才能變更

版本。

問題與心得問題分析

關於這次實驗裡，遇到很多的問題多半不是技術性的問題。在安裝

過程中，光是再製硬碟，就把原本機器內的系統搞當機，實驗建置過程

中，大部分的時間，都在等待安裝的時間，似乎每組都曾出現過相同的

情況，把自己主人的系統搞當機，重建時就讓自己比別人多花很多時間

安裝。

再來就是Ｖ irturalBox 的版本問題，原先版本用 4.1.22，為了整組

的一致性和穩定，改用 4.2版，於是災情開始產生，先是擴充包無法順利

安裝，測試安裝機器時，常常會發生系統崩潰，無法正常穩定持續運

作，建議之後的學弟妹選用機器時，可以用老師測試過後的版本，或者

是4.1.22板來運行。

在實驗過程中，有一組的虛擬機器每個人都使用不同，結果發生系

統的不穩定，安裝過程建議使用自己重新安裝的主作業系統，並且更新

至最新版本較穩定，使用乾淨的作業系統做完再製後，當要做 NLB 時常

會發生失敗，主要原因通常為再製時，網路卡有重複性的問題，雖然更

改在製後的 MAC位置，但似乎還不構，必需到電腦管理裝置管理員網路

介面卡將網路卡解除安裝後，再重新掃描新的硬體，重新安裝後再進行

NLB 較沒問題。

以下將列舉出在MSLAB 中遇到的問題，做個簡單介紹：

圖1：未加入陣列時，版本為Standard。

一、 TMG版本問題，上課時只要將視窗關閉就能順利轉換成企業

版，但是實驗時卻完全失敗，必須等到加入陣列時才能變更

版本。

圖2：加入陣列後才能順利轉換成Enterprise。

圖3：未知錯誤版本，版本區出現SKU名稱，此時無法操作管理介面。

二、加入陣列時出現錯誤，或者成功加入後EMS卻無法管理陣列。

圖4：加入陣列時發生錯誤

圖2：加入陣列後才能順利轉換成Enterprise。

圖3：未知錯誤版本，版本區出現SKU名稱，此時無法操作管理介面。

二、加入陣列時出現錯誤，或者成功加入後EMS卻無法管理陣列。

圖4：加入陣列時發生錯誤

圖5：加入成功後，EMS卻無法讀到資料。

解答： TMG在加入陣列時，使用此帳戶連線時，必須將本機密碼設定，

成跟網域密碼一樣，在加入陣列時的 (圖 7)步驟時，才能順利通過驗證，否則

有可能發生(圖4)(圖5)等情況。

圖 6：因為上課時老師密碼皆為 cuser(經典密碼 )，所以沒有問題發生，

MSLAB 網域和TMG負責的人不同，主人密碼皆不同才發現問題所在。

三、用前牆或後牆登入 TMG管理介面時，帳號密碼明明打正確，

或者直接按關閉時會出現錯誤。

圖7：帳號密碼打正確卻失敗

圖8：直接關閉輸入帳號密碼視窗

解答： (圖 7)(圖 8)通常只要重新登入正確帳號密碼就能順利進入

管理介面，如果失敗必須多試幾次。

圖5：加入成功後，EMS卻無法讀到資料。

解答： TMG在加入陣列時，使用此帳戶連線時，必須將本機密碼設定，

成跟網域密碼一樣，在加入陣列時的 (圖 7)步驟時，才能順利通過驗證，否則

有可能發生(圖4)(圖5)等情況。

圖 6：因為上課時老師密碼皆為 cuser(經典密碼 )，所以沒有問題發生，

MSLAB 網域和TMG負責的人不同，主人密碼皆不同才發現問題所在。

三、用前牆或後牆登入 TMG管理介面時，帳號密碼明明打正確，

或者直接按關閉時會出現錯誤。

圖7：帳號密碼打正確卻失敗

圖8：直接關閉輸入帳號密碼視窗

解答： (圖 7)(圖 8)通常只要重新登入正確帳號密碼就能順利進入

管理介面，如果失敗必須多試幾次。

四、執行VPN 連線時，無法順利連線

圖 9：剛開始採用 PPTP連線方式先測試連線，後來轉成

L2TP。開始發生問題。

解答：主要問題的發生跟憑證有關，可用 TMG跟 CA重新申請憑

證，再將憑證正確匯入到電腦內，一定要用前後牆 TMG申請，不可用

EMS申請。

總結與心得

在 MSLAB 中，防火牆負責人扮演著核心的腳色，花費的時間大部

分都在等 TMG之間的同步和服務的啟動，和夥伴之間的溝通也相當重

要，一個錯誤的產生直覺反應通常會檢查本身的規則問題，但是當發現

問題不再規則的時候，再去找其他人負責的部分時，所花的時間會讓他

人措手不及，建議在除錯時能同步進行除錯，以本次實驗為例，大部分

錯誤的發生皆不在 TMG上，除了在 TMG本身檢查外，其他負責的人也

該從自己系統內有無設定錯誤做檢查。

防火牆負責人除了要顧好自己負責的部分外，還要特別關心一下

其他組員間有無發生問題，並迅速作出處理，不然等其他人在除錯的時

間，會讓時間不知不覺的流逝掉，非常可惜。

本次實驗，除了自己本身的系統問題外，還有許多時間都是在等

待夥伴除錯，因為相信夥伴所以沒有即時的伸出援手，導致浪費不少能

夠利用的時間，建議系統要穩定，除了 VirtualBox 版本統一外，重新安

裝的Base也要更新到最新版本，比較不會發生莫名的問題。

學弟妹可以多參考，主動問學長們 LAB 問題可以省下非常多的時

間，報告完畢。

四、執行VPN 連線時，無法順利連線

圖 9：剛開始採用 PPTP連線方式先測試連線，後來轉成

L2TP。開始發生問題。

解答：主要問題的發生跟憑證有關，可用 TMG跟 CA重新申請憑

證，再將憑證正確匯入到電腦內，一定要用前後牆 TMG申請，不可用

EMS申請。

總結與心得

在 MSLAB 中，防火牆負責人扮演著核心的腳色，花費的時間大部

分都在等 TMG之間的同步和服務的啟動，和夥伴之間的溝通也相當重

要，一個錯誤的產生直覺反應通常會檢查本身的規則問題，但是當發現

問題不再規則的時候，再去找其他人負責的部分時，所花的時間會讓他

人措手不及，建議在除錯時能同步進行除錯，以本次實驗為例，大部分

錯誤的發生皆不在 TMG上，除了在 TMG本身檢查外，其他負責的人也

該從自己系統內有無設定錯誤做檢查。

防火牆負責人除了要顧好自己負責的部分外，還要特別關心一下

其他組員間有無發生問題，並迅速作出處理，不然等其他人在除錯的時

間，會讓時間不知不覺的流逝掉，非常可惜。

本次實驗，除了自己本身的系統問題外，還有許多時間都是在等

待夥伴除錯，因為相信夥伴所以沒有即時的伸出援手，導致浪費不少能

夠利用的時間，建議系統要穩定，除了 VirtualBox 版本統一外，重新安

裝的Base也要更新到最新版本，比較不會發生莫名的問題。

學弟妹可以多參考，主動問學長們 LAB 問題可以省下非常多的時

間，報告完畢。

陳沛彣

DMZ ，正式名稱 Demilitarized Zone，譯名為「非軍事區」，一

種網路主機的部署方案，就是在較危險的的外部網路和內部網路之間，

建立一組能對外部網路提供服務的伺服器主機組。

由於從外部網路進入內部網路必須要經過隔離 DMZ 與外部網路和

隔離內部網路與 DMZ 之間的隔離設備（如防火牆）和處於 DMZ 的主機

（不一定經過），比一般的防火牆方案，從外部網路入侵內部網路的難

度會有所增加，從而提供對內部網路的保護。對於外部網路用戶端來說

來說只能訪問到 DMZ 內的主機。所以此區即使被入侵，還有防火牆後牆

保護對公司內部資料，使其無立即危險性。

DNS Server：

WEB Server：

FTP Server：

ETS Server：

提供外部用戶端查詢位置用。

網頁服務為提供公司及企業介紹，在此設置兩部網頁伺服

器，並由TMG提供網路負載平衡來達到高可用性服務。

本次網頁亦支援HTTPS。

提供外部用戶檔案存取服務，開放檔案上傳或下載權限。

要進入總公司內部Exchange信件，都會先經過此區的

ETS伺服器做過濾的動作，來達到防毒以及過濾垃圾郵件

的效果。設置兩台並於DNS中有MX紀錄來達成高可用

性效果。

伺服器主機功能介紹：

一、環境介紹

本次 DNS在實驗時遭遇到外部網路一直無法順利尋找此區的

DNS伺服器。導致內外部的信件，以及外部網頁瀏覽都受到影響。但

經老師提醒，即使 DNS不通應仍可透過 Hosts檔案，登錄 IP及主機名

稱的動作來達成尋找到我們內部要找的伺服器。最後發現 DNS無法順

利找到是因為 DNS本身主機的位置沒有被登錄，所以外面要找自然找

不到這一台 DNS。另外，最後網頁伺服器設叢集的 IP很容易忘記要登

錄，一定要記得。

二、實作過程

DNS ServerDNS Server

DMZ ，正式名稱 Demilitarized Zone，譯名為「非軍事區」，一

種網路主機的部署方案，就是在較危險的的外部網路和內部網路之間，

建立一組能對外部網路提供服務的伺服器主機組。

由於從外部網路進入內部網路必須要經過隔離 DMZ 與外部網路和

隔離內部網路與 DMZ 之間的隔離設備（如防火牆）和處於 DMZ 的主機

（不一定經過），比一般的防火牆方案，從外部網路入侵內部網路的難

度會有所增加，從而提供對內部網路的保護。對於外部網路用戶端來說

來說只能訪問到 DMZ 內的主機。所以此區即使被入侵，還有防火牆後牆

保護對公司內部資料，使其無立即危險性。

DNS Server：

WEB Server：

FTP Server：

ETS Server：

提供外部用戶端查詢位置用。

網頁服務為提供公司及企業介紹，在此設置兩部網頁伺服

器，並由TMG提供網路負載平衡來達到高可用性服務。

本次網頁亦支援HTTPS。

提供外部用戶檔案存取服務，開放檔案上傳或下載權限。

要進入總公司內部Exchange信件，都會先經過此區的

ETS伺服器做過濾的動作，來達到防毒以及過濾垃圾郵件

的效果。設置兩台並於DNS中有MX紀錄來達成高可用

性效果。

伺服器主機功能介紹：

一、環境介紹

本次 DNS在實驗時遭遇到外部網路一直無法順利尋找此區的

DNS伺服器。導致內外部的信件，以及外部網頁瀏覽都受到影響。但

經老師提醒，即使 DNS不通應仍可透過 Hosts檔案，登錄 IP及主機名

稱的動作來達成尋找到我們內部要找的伺服器。最後發現 DNS無法順

利找到是因為 DNS本身主機的位置沒有被登錄，所以外面要找自然找

不到這一台 DNS。另外，最後網頁伺服器設叢集的 IP 很容易忘記要登

錄，一定要記得。

二、實作過程

DNS ServerDNS Server

WEB Server及FTP Server

因 IIS可同時管理 WEB 及 FTP的設定故本次實驗便將這兩項功能，

建置在同一台主機上。這兩項功能設定都不複雜，參照課本步驟一步一

步來即可順利完成。 HTTPS的部分要注意信任 CA以及網頁伺服器的憑

證不要匯入錯地方。網頁伺服器的憑證時的名稱在 IIS裡申請時，一般

名稱裡要正確的輸入 FQDN ，因為會影響到憑證的正確性。

FTP要記得勾選讀取/寫入，在防火牆TMG那台的規則設定，「篩

選」也要記得在「設定FTP」的地方將唯讀的打勾取消，才不會封鎖

FTP檔案上載。另外，我們在他組發現FTP使用檔案總管來操作時不接

受中文檔案名稱的上傳，而英數名稱不受此影響，此現象在2008以及

2003都是一樣，但在命令提示字元卻不會有此種現象發生。

在這次的 LAB 設定當中，除了老師規定的內容之外。因想讓 File

Server也達到的高可用性的建置，便另外加入 DFS的設定。又我的

File Server是建置在不同網段，此用意可使該獨立網段流量只提供給

檔案傳輸專用的好處。但需克服 DFS自動複寫功能的成立必須要在網

域內，

所以不同網段的兩台 File Server就自行建立 AD，設置 DC 、

DNS等，來達到網域型伺服器DFS管理的自動複寫的需求。

WEB Server及FTP Server

因 IIS可同時管理 WEB 及 FTP的設定故本次實驗便將這兩項功能，

建置在同一台主機上。這兩項功能設定都不複雜，參照課本步驟一步一

步來即可順利完成。 HTTPS的部分要注意信任 CA以及網頁伺服器的憑

證不要匯入錯地方。網頁伺服器的憑證時的名稱在 IIS裡申請時，一般

名稱裡要正確的輸入 FQDN ，因為會影響到憑證的正確性。

FTP要記得勾選讀取/寫入，在防火牆TMG那台的規則設定，「篩

選」也要記得在「設定FTP」的地方將唯讀的打勾取消，才不會封鎖

FTP檔案上載。另外，我們在他組發現FTP使用檔案總管來操作時不接

受中文檔案名稱的上傳，而英數名稱不受此影響，此現象在2008以及

2003都是一樣，但在命令提示字元卻不會有此種現象發生。

在這次的 LAB 設定當中，除了老師規定的內容之外。因想讓 File

Server也達到的高可用性的建置，便另外加入 DFS的設定。又我的

File Server是建置在不同網段，此用意可使該獨立網段流量只提供給

檔案傳輸專用的好處。但需克服 DFS自動複寫功能的成立必須要在網

域內，

所以不同網段的兩台 File Server就自行建立 AD，設置 DC 、

DNS等，來達到網域型伺服器DFS管理的自動複寫的需求。

而 WEB1及 WEB2的便各自用獨立型伺服器 DFS管理來連結兩台

File Server來達到高可用性的功能。要注意的是 WEB1的 IIS檔案的實

際路徑一定要指向 DFS管理的命名空間路徑， DFS才會發生作用。如果

仍指向FileServer1的實際路徑，DFS管理便等同於虛設。

這兩台 ETS的建置，是給 Exchange對內對外聯絡的橋樑。我幫忙

架構好主機並完成訂閱後，就是再增加幾筆 DNS紀錄。主要的運作仍

是位於內部的伺服器在進行。

ETS Server

三、心得

這次 LAB 的體驗算是很有趣的。之前雖也曾為了工作好幾個月撐

到天亮都不睡，但一群人擠破頭共同想一個解決方案的過程卻是之前

從沒體驗過的。

我所負責的區域與是較其他人獨立且單純的，即使沒有串機也能

獨立作業運作到一定的程度，所以個人部分的建置工作在初期便已完

成，餘下的時間又把獨立型 DFS及網域型 DFS的功能好好地複習了一

番。而組長可能是看我晾在那邊怕我發霉，就好心地把文書及美工的

工作委派過來，順便再提出做公司網頁的要求。因此習得了 html 的基

礎語法。 (聽說我們是網工班，隔壁才是多媒體互動班?)

但是到後期與防火牆功能的聯繫，卻是最大的瓶頸。雖然我的功

能要建置完成，就需能從外部透過防火牆開啟公司對外的預設網頁。

但是每位組員都必須跟防火牆的功能做連結，負責的同學一直是

unavalible忙線中的狀態。再加上 DNS一直查詢不到的狀況，無力感

不斷累積。屋漏偏逢連夜雨，等到後來用來跟 DMZ 連結的那張網卡終

於在驗收前一天晚上罷工，感動到我無法言語。現在想想，當功能不

通時應是要有相關功能的「全部」主機，換人再檢查一次設定。

而 WEB1及 WEB2的便各自用獨立型伺服器 DFS管理來連結兩台

File Server來達到高可用性的功能。要注意的是 WEB1的 IIS檔案的實

際路徑一定要指向 DFS管理的命名空間路徑， DFS才會發生作用。如果

仍指向FileServer1的實際路徑，DFS管理便等同於虛設。

這兩台 ETS的建置，是給 Exchange對內對外聯絡的橋樑。我幫忙

架構好主機並完成訂閱後，就是再增加幾筆 DNS紀錄。主要的運作仍

是位於內部的伺服器在進行。

ETS Server

三、心得

這次 LAB 的體驗算是很有趣的。之前雖也曾為了工作好幾個月撐

到天亮都不睡，但一群人擠破頭共同想一個解決方案的過程卻是之前

從沒體驗過的。

我所負責的區域與是較其他人獨立且單純的，即使沒有串機也能

獨立作業運作到一定的程度，所以個人部分的建置工作在初期便已完

成，餘下的時間又把獨立型 DFS及網域型 DFS的功能好好地複習了一

番。而組長可能是看我晾在那邊怕我發霉，就好心地把文書及美工的

工作委派過來，順便再提出做公司網頁的要求。因此習得了 html 的基

礎語法。 (聽說我們是網工班，隔壁才是多媒體互動班?)

但是到後期與防火牆功能的聯繫，卻是最大的瓶頸。雖然我的功

能要建置完成，就需能從外部透過防火牆開啟公司對外的預設網頁。

但是每位組員都必須跟防火牆的功能做連結，負責的同學一直是

unavalible忙線中的狀態。再加上 DNS一直查詢不到的狀況，無力感

不斷累積。屋漏偏逢連夜雨，等到後來用來跟 DMZ 連結的那張網卡終

於在驗收前一天晚上罷工，感動到我無法言語。現在想想，當功能不

通時應是要有相關功能的「全部」主機，換人再檢查一次設定。

談完了功能最後想提的就是團隊合作這一塊。我相信我們在

LAB 這一段會遇到的問題都是經驗不足所以無法即時克服問題。累積

紮實基本功的經驗、疑難克服的經驗、時間規劃的經驗、與人溝通的

經驗、情緒處理的經驗以及與人共事的經驗。酸甜苦辣每個人滋味不

同，唯一想表達的就是感謝。感謝房東願意借我們場地做 LAB 使用；

感謝老師這段期間的關心跟教導，無時無刻 follow我們在

Facebook 上的狀況及難題，又明明說驗收時不會 debug但還是花了

很大力氣關心我們的狀況；感謝同樣 DMZ 組的其宏及俊廷，最能互相

了解狀況與即時伸一把手；謝謝我的組員尚明、勝傑、耀明、禹畯在

這段相處的時間裡，包容我的粗線條跟 NLB 狀況的處理，對一般人來

說真的很不容易。最後再故意補上組長蔡尚明很 OX，口頭總說不干自

己的事情他不理，但給三組 ping –t的時候還是認命地跑了其他組的

LAB 幫忙到底，以上。

陳禹畯

Branch

談完了功能最後想提的就是團隊合作這一塊。我相信我們在

LAB 這一段會遇到的問題都是經驗不足所以無法即時克服問題。累積

紮實基本功的經驗、疑難克服的經驗、時間規劃的經驗、與人溝通的

經驗、情緒處理的經驗以及與人共事的經驗。酸甜苦辣每個人滋味不

同，唯一想表達的就是感謝。感謝房東願意借我們場地做 LAB 使用；

感謝老師這段期間的關心跟教導，無時無刻 follow我們在

Facebook 上的狀況及難題，又明明說驗收時不會 debug但還是花了

很大力氣關心我們的狀況；感謝同樣 DMZ 組的其宏及俊廷，最能互相

了解狀況與即時伸一把手；謝謝我的組員尚明、勝傑、耀明、禹畯在

這段相處的時間裡，包容我的粗線條跟 NLB 狀況的處理，對一般人來

說真的很不容易。最後再故意補上組長蔡尚明很 OX，口頭總說不干自

己的事情他不理，但給三組 ping –t的時候還是認命地跑了其他組的

LAB 幫忙到底，以上。

陳禹畯

Branch

個人在第二組負責 " 分公司 " 的系統架構跟網路服務建置，本小組的

分公司架構比較特別，是一個子網域的架構方式，

在此跟大家分享 ( 在架構初期 . 採用加入網域在 DCPROMO 成為子網域

時，一直遇到問題，分公司 DC 無法複寫正確的總公司資料，分公司

DNS 一直無法聯絡總公司 ) ，站台對站台也無法確實複寫資料 ( 除錯紀錄，

再個人附錄 )

正當我心情低落時 . 跟組長尚明說 . 不然我們嘗試一次不加入總公司

網域，直接 PROMO 看看，組長也欣然答應了，在這迷糊的嘗試下，竟然

成功了，頓時間我真的無法入睡 ( 當時已經晚上 12 點 ). 開心的把每一個步

驟拍照存檔 . 想在個人心得內跟大家分享，這得來不易的經驗 ( 此架構方

式總公司跟分公司為求達到實際的應用方式，中間透過路由器 (Router 來

連接 )

Amber.com

Ang.Amber.com

總公司

192.168.6.1

分公司

192.168.7.1路由器

1. 設定好分公司的網段 ip.不加入網域 .直接在工作群組上 .dcpromo

2. AD精靈

3. 成為現有樹系內建立新網域

4. 網域認證 (需要總公司管理者帳戶核准

5. 命名新網域

6. 網域NetBIOS名稱

7. 網域功能等級

8. 選擇站台

9. 勾選DNS&通用類別目錄 (GC)

10.來源網域控制站 (以及複寫協力電腦 )

11.資料夾設定存放位址

12.目錄還原模式

13.升級

Branch

個人在第二組負責 " 分公司 " 的系統架構跟網路服務建置，本小組的

分公司架構比較特別，是一個子網域的架構方式，

在此跟大家分享 ( 在架構初期 . 採用加入網域在 DCPROMO 成為子網域

時，一直遇到問題，分公司 DC 無法複寫正確的總公司資料，分公司

DNS 一直無法聯絡總公司 ) ，站台對站台也無法確實複寫資料 ( 除錯紀錄，

再個人附錄 )

正當我心情低落時 . 跟組長尚明說 . 不然我們嘗試一次不加入總公司

網域，直接 PROMO 看看，組長也欣然答應了，在這迷糊的嘗試下，竟然

成功了，頓時間我真的無法入睡 ( 當時已經晚上 12 點 ). 開心的把每一個步

驟拍照存檔 . 想在個人心得內跟大家分享，這得來不易的經驗 ( 此架構方

式總公司跟分公司為求達到實際的應用方式，中間透過路由器 (Router 來

連接 )

Amber.com

Ang.Amber.com

總公司

192.168.6.1

分公司

192.168.7.1路由器

1. 設定好分公司的網段 ip.不加入網域 .直接在工作群組上 .dcpromo

2. AD精靈

3. 成為現有樹系內建立新網域

4. 網域認證 (需要總公司管理者帳戶核准

5. 命名新網域

6. 網域NetBIOS名稱

7. 網域功能等級

8. 選擇站台

9. 勾選DNS&通用類別目錄 (GC)

10.來源網域控制站 (以及複寫協力電腦 )

11.資料夾設定存放位址

12.目錄還原模式

13.升級

檢查站台是否正確、 AD 網域信任 DNS 資料複寫

使用此方式升級好處，不用手動去拆站台，不會有資料複寫不正確，而

且一次完成。

Branch

分公司 DC2

1. 修改電腦名稱

2. 修改 IP

3. 升級成為 AD

DC設定

檢查站台是否正確、 AD 網域信任 DNS 資料複寫

使用此方式升級好處，不用手動去拆站台，不會有資料複寫不正確，而

且一次完成。

Branch

分公司 DC2

1. 修改電腦名稱

2. 修改 IP

3. 升級成為 AD

DC設定

Branch

4. 選擇要安裝在哪一個網域，需輸入該網域管理者帳號密碼

5.選擇成為哪一個網域的網域控制站

6.選擇分公司BranchOffice站台

7. 設定 DNS& 通用類別目錄 ( 為提高分公司可用性﹞

8. 自動更新 DNS 委派

9. 更新 DNS 委派時 . 需要網域管理員帳號密碼

10. 透過網路複寫網域控制站資料

11. 來源網域控制站

12. 摘要

13.DNS 委派輸入總公司網域管理員帳號密碼

14.檢查登入網域以及電腦名稱是否正確

Branch

4. 選擇要安裝在哪一個網域，需輸入該網域管理者帳號密碼

5.選擇成為哪一個網域的網域控制站

6.選擇分公司BranchOffice站台

7. 設定 DNS& 通用類別目錄 ( 為提高分公司可用性﹞

8. 自動更新 DNS 委派

9. 更新 DNS 委派時 . 需要網域管理員帳號密碼

10. 透過網路複寫網域控制站資料

11. 來源網域控制站

12. 摘要

13.DNS 委派輸入總公司網域管理員帳號密碼

14.檢查登入網域以及電腦名稱是否正確

Branch

15.檢查AD站台及服務 & DNS & AD網域及信任

16.檢查DNS子網域資料

列印伺服器架設

在此範例採用 Windows 2003 R2( 為分公司列印伺服器 )

1. 新增列印管理伺服器元件

2. 選擇需要套件

3. 列印管理伺服器為了讓管理者以及使用者方便透過遊覽器來使用所以

也要安裝 IIS 服務

4. 安裝完成測試 IIS 是否正常 ( 在瀏覽器打上 http:\\print

5. 新增印表機

6. 設定印表機連接埠 ( ㄅㄨˋ )

Branch

15.檢查AD站台及服務 & DNS & AD網域及信任

16.檢查DNS子網域資料

列印伺服器架設

在此範例採用 Windows 2003 R2( 為分公司列印伺服器 )

1. 新增列印管理伺服器元件

2. 選擇需要套件

3. 列印管理伺服器為了讓管理者以及使用者方便透過遊覽器來使用所以

也要安裝 IIS 服務

4. 安裝完成測試 IIS 是否正常 ( 在瀏覽器打上 http:\\print

5. 新增印表機

6. 設定印表機連接埠 ( ㄅㄨˋ )

Branch

7.測試印表機伺服器網頁瀏覽是否正常以及安裝的印表機

8.更改列印伺服器 IP位址 (準備加入分公司網域

9.列印伺服器加入分公司 (Ang.Amber.com)成功

10.使用網域成員電腦連結列印伺服器測試成功

12.列印管理單元內的詳細資料

1.在分公司DC1上新增(網路原則及存取服務

RADIUS伺服器架設

Branch

7.測試印表機伺服器網頁瀏覽是否正常以及安裝的印表機

8.更改列印伺服器 IP位址 (準備加入分公司網域

9.列印伺服器加入分公司 (Ang.Amber.com)成功

10.使用網域成員電腦連結列印伺服器測試成功

12.列印管理單元內的詳細資料

1.在分公司DC1上新增(網路原則及存取服務

RADIUS伺服器架設

Branch

3.設定RADIUS用戶端IP(為分公司TMG內網卡IP位址

4.修改進階設定

分公司TMG

1.外網卡設定(192.168.8.200

2.內網卡設定(192.168.7.200

3.分公司流量開放設定

4.分公司DC1 PING 測試TMG內\外網卡\對外GOOLE

Branch

3.設定RADIUS用戶端IP(為分公司TMG內網卡IP位址

4.修改進階設定

分公司TMG

1.外網卡設定(192.168.8.200

2.內網卡設定(192.168.7.200

3.分公司流量開放設定

4.分公司DC1 PING 測試TMG內\外網卡\對外GOOLE

Branch

WSUS伺服器軟體部署

1.新增WSUS功能

2.連線到SQL

3.安裝路徑

4. 在分公司 DC1 上建立群組原則管理

5. 原則設定 / 設定網域內成員更新對象

6. 更新群族原則指令 ( 一般要等到 60~120 分鐘 ,不想等待請下指令

gpupdate /force

1.在AD上建立OU業務二部/並且把業務二部電腦移動到此群組

2.在群組原則管理上建立新的GPO連結至業務二部

Branch

WSUS伺服器軟體部署

1.新增WSUS功能

2.連線到SQL

3.安裝路徑

4. 在分公司 DC1 上建立群組原則管理

5. 原則設定 / 設定網域內成員更新對象

6. 更新群族原則指令 ( 一般要等到 60~120 分鐘 ,不想等待請下指令

gpupdate /force

1.在AD上建立OU業務二部/並且把業務二部電腦移動到此群組

2.在群組原則管理上建立新的GPO連結至業務二部

Branch

3. 佈署軟體給業務二部電腦

4. 查看佈署電腦是否正確安裝

1.在AD上給予業務部經理撥入權限

2.在TMG上開設好流量

分公司VPN(PPTP)

3.使用RADIUS來驗證使用者

4.啟用PPTP連線方式

5.測試PPTP連入分公司

Branch

3. 佈署軟體給業務二部電腦

4. 查看佈署電腦是否正確安裝

1.在AD上給予業務部經理撥入權限

2.在TMG上開設好流量

分公司VPN(PPTP)

3.使用RADIUS來驗證使用者

4.啟用PPTP連線方式

5.測試PPTP連入分公司

6.使用設定好的帳戶連線

Branch

分公司vpn(pptp)

1. 為什麼採用子公司架構

2. 遇到甚麼樣的問題跟挫折

3. 如何找出正確架構子公司子網域?

3. 參與實務經驗的感想

4. 驗收前的心情

5. 最後感想

起初其實只是想真實模擬分公司架構子網域，據說歷年來沒人挑戰這個項

目。

由於子網域完全沒有參考資料，所以在架構分公司時一直發生AD資料無法

跟總公司完成複寫，光是在尋找如何架構完整子網域.分公司DC1歷經4次的

重灌.每當分公司資料崩潰時.心情有些低落。

其實這真的是無心插柳.柳成陰.正當我一籌莫展歷經4次分公司資料不正確

失敗後，我突然開玩笑的跟組長說，不如我們嘗試一次不加入總公司網

域.直接 DCPROMO看看如何？就這樣子成功了。

終於上完一個月多的微軟2008R2的課程，準備參與2008R2的實際操作等

待這一天好久了，真的是非常開心，以往在學校都是練習老師架構好的環

境去練習，當自己架構環境時就特別的非常興奮。

因為負責的部分是劉老師指導的Windows 2008 R2，所以在驗收前一天

真的非常緊張，所以一直在反覆的做測試，深怕自己的分公司部分驗收出問

題，自己一直想一些問題再反覆測試，確保功能正常運作，並且把想展現給

老師驗收的項目一一檢查過。

為期7天左右的MSLAB終於告一段落，這期間真的令人印象深刻，雖然個

人發生一些問題，多虧我的組員在一旁適時的給於我肯定和加油，讓我一路

堅持到底，特別謝謝組長：蔡尚明他的帶領團隊方式真的值得去學習，雖

然我一直問他關於LAB的觀念問題問得他有些不耐煩，不過也正因為如此我

才能學到更多，真的要感謝他，透過這次的MSLAB加強了我與團隊之間的

合作能力，加強自己的抗壓性，以及自己的求知渴望。

6362 http://www.amber.com/

6.使用設定好的帳戶連線

Branch

分公司vpn(pptp)

1. 為什麼採用子公司架構

2. 遇到甚麼樣的問題跟挫折

3. 如何找出正確架構子公司子網域?

3. 參與實務經驗的感想

4. 驗收前的心情

5. 最後感想

起初其實只是想真實模擬分公司架構子網域，據說歷年來沒人挑戰這個項

目。

由於子網域完全沒有參考資料，所以在架構分公司時一直發生AD資料無法

跟總公司完成複寫，光是在尋找如何架構完整子網域.分公司DC1歷經4次的

重灌.每當分公司資料崩潰時.心情有些低落。

其實這真的是無心插柳.柳成陰.正當我一籌莫展歷經4次分公司資料不正確

失敗後，我突然開玩笑的跟組長說，不如我們嘗試一次不加入總公司網

域.直接 DCPROMO看看如何？就這樣子成功了。

終於上完一個月多的微軟2008R2的課程，準備參與2008R2的實際操作等

待這一天好久了，真的是非常開心，以往在學校都是練習老師架構好的環

境去練習，當自己架構環境時就特別的非常興奮。

因為負責的部分是劉老師指導的Windows 2008 R2，所以在驗收前一天

真的非常緊張，所以一直在反覆的做測試，深怕自己的分公司部分驗收出問

題，自己一直想一些問題再反覆測試，確保功能正常運作，並且把想展現給

老師驗收的項目一一檢查過。

為期7天左右的MSLAB終於告一段落，這期間真的令人印象深刻，雖然個

人發生一些問題，多虧我的組員在一旁適時的給於我肯定和加油，讓我一路

堅持到底，特別謝謝組長：蔡尚明他的帶領團隊方式真的值得去學習，雖

然我一直問他關於LAB的觀念問題問得他有些不耐煩，不過也正因為如此我

才能學到更多，真的要感謝他，透過這次的MSLAB加強了我與團隊之間的

合作能力，加強自己的抗壓性，以及自己的求知渴望。

6362 http://www.amber.com/

指導老師

楊宏文、劉家聖、戴有煒

Headquater/工務/組長

蔡尚明

Exchange/BGM

班曜明

TMG (Fire Wall)/團康

楊勝傑

DMZ/美編

陳沛彣

Branch/

陳禹畯

特別感謝

WC103全體同學

amber's profile

Documents