Embed Size (px)
Citation preview
中壢資策會網工班第七十六期 TC103
Microsoft LAB
指導老師 : 林聰旺 楊宏文 戴有煒 劉家盛
學 生 : 詹運昌
本次MSLAB擔任第三組組長,主要負責組織任務及分工、時程掌控、系統
架構、建置拓樸圖,企業防毒部署與基礎系統弱點偵測部分。
報告大綱
1.專案目標
2.系統架構
3.系統建置拓樸圖
4.LAB環境
5.Microsoft Forefront Client Security
6.Microsoft Baseline Security Analyzer
7.LAB工作日誌
8.心得感想
專案目標
系統架構
服務高可用性
• Server Redundancy 、iSCSI SAN
伺服器集中監控
• End-to-end Service Monitoring
政策有效實行
• Permissions 、 Group Policy
備份策略
• Online backup
資訊安全
• Security update、Anti-virus、Firewall、VPN 、CA
弱點偵測
• 系統弱點掃描 & ISA入侵偵測
系統建置拓樸圖
總公司
• 為達到容錯與備援,重要服務皆建置兩台伺服器,兩台的網域控制站AD資料相互複寫,並分
別PDC為Windows2003及SDC使用Windows2008,藉此營造出昇級兼容的環境,ISA設定存放伺服器亦建置第二部以企業複本方式的存放伺服器,可避免存放伺服器損毀而導致空有防火牆陣列卻無法運作的窘境,企業郵件信箱部分則使用Exchange2003,並採用iSCSI SAN
Cluster技術,以達企業必要的高可用性郵件系統。
• 對外服務的網站則置使用WEB FARM技術,服務提供叢集之外,並將資料獨立於FileServer,並建置磁碟陣列,可確保資料的安全性及一致性,此點以電子商務網站來說尤其重要,並將此類對外服務的伺服器皆置放於防火牆的DMZ區,並施作ISA防火牆的對外發行功能,以增加資訊的安全性,DMZ區再建置SMTP Relay以及對外的DNS、FTP伺服器,並在SMTP Relay上建置郵件防毒,這樣可在信進到內部郵件伺服器前,先行做一次郵件的病毒掃描以及
過濾,尤其在廣告及病毒郵件氾濫的今日,此建置是更為必要,DNS&FTP部分則為獨立伺服器,並不加入網域,此DNS及FTP服務僅供外部使用者,因此將主機的紀錄皆指向防火牆的WAN的IP並配合ISA的服務發行,以避免外部使用者直接與防火牆內部接觸,企業防毒則以微軟的Forefront Client Security部屬伺服器及Client端的防毒部屬,並搭配MOM及WSUS達到電腦集中管理以及資料分析並施作病毒定義碼的更新以及Windows update。
LAB環境
這次MSLAB於宿舍中架設,本組使用了六台 PC、兩台 Laptop,使用 Ethernet將各電腦上的
資料備份則使用第三方軟體,以施作集中統一管理各伺服器的備份策略,除使用線上備份以及標準的備份策略外,備份的檔案並支援線上異地備份及異機還原,在資料災難回復時爭取最短的時間讓公司重要的服務上線,綜合以上幾點,以達到完整的企業備份策略。
防火牆
•總公司的防火牆使用微軟的ISA Server,建置前後牆架構並藉此隔離出外部網路(WAN)、非軍事區(DMZ)以及內部網路(LAN),藉此增加安全性,並在分別於前後牆皆建置兩台伺服器,施作陣列與負載
平衡,以達到防火牆的容錯與高可用性。
•分公司的部分則使用ISA Server邊緣防火牆架構,並在兩地施作VPN Site,提供兩地以VPN連線聯繫,
並提供授權的VPN客戶端撥入。
分公司
• 分公司相同的使用兩台網域控制站,以建置服務容錯與負載平衡,並將DNS與WINS等服務與
總公司相互複寫,以利兩地透過VPN連線時,可正確的解析到主機而進一步的存取資料。
• 企業防毒部屬分公司,因硬體效能限制故採用第三方軟體施作,相同的可達到集中統一管理的目的。
Microsoft Forefront Client Serurity
FCS伺服器角色:
l 管理伺服器: FCS管理主控台、MOM管理主控台、MOM操作員主控台。
l 集合伺服器:MOM Server。
l 集合資料庫:SQL Server、 MOM資料庫、設定儲存區。
l 報告伺服器及報告資料庫: SQL Server Reporting Service、MOM Reporting。
l 分布伺服器:WSUS、FCS Update Assistant。
建置步驟
本次 LAB中使用單一伺服器拓樸,五種角色建置於一台伺服器
l FCS Server : Install SQL Server=> Install WSUS=> Install FCS。
l Client部署 : 核准WSUS用戶端元件=>建立WSUS測試群組設定自動更新=>使用 FCS控制台部原則。
企業防毒部署
此圖截自Micorsoft Technet
1.安裝 SQL Server2005 2.安裝WSUS
3.安裝 FCS角色 4.WSUS核准 FCS用戶端更新、並建置更新測試群組
5.使用 FCS主控台運用群組原則部署 Client 6.使用 FCS報表產生 Client相關資訊
FCS除了防毒,更提供企業內部資訊安全,深度整合及簡化管理的方案,FCS包含 FCS主控
台以及Microsoft Operations Manager,並搭配Windows Server Update Services以及
Microsoft SQL Server,以達到集中管理、更新控管、與資料分析、報表的功能,藉此提供了 IT人
員更多的資訊,作為企業資安管理、部署上的主要參考方針。
Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer :
l 發現遺漏的安全性更新。
l 找出不適當的設定。
l 可集中統一同時掃描所有的電腦。
可選擇以網域或著 IP範圍來做弱點掃描,此點非常便利,可集中的統一掃描,就算是在公司工
作的時段作業,使用者亦不須中斷作業,也不會有任何不便利的感覺,並可指定針對的掃描項目,
並且產生報告提供分析與修正。
系統弱點偵測
• 待系統建置完畢,功能與服務測試完畢之後,進行系統弱點偵測,本次LAB使用微軟所開發的
系統弱點掃描免費工具MBSA(Microsoft Baseline Security Analyzer),對整個網域的伺服器及客戶端進行掃描。
掃描完成後MBSA將依據每一台電腦分別產生報告,並顯示被掃描電腦的名稱、IP
等資訊,管理員可逐一的檢視報告。
報告上列出弱點及不適當的設定,管理員可依據掃描報告作為企業系統基礎安全的
指南,實為簡單易用的基礎弱點偵測掃描工具,又是免費的,資安基礎可由此做起。
LAB工作日誌 2009/08/24
星期一
0900-2200 III LAB前簡報、LAB 環境建置 完成.
一、 在下午結束”LAB前簡報”後,今日主要目標為 LAB 環境建置,Esther 與 Marx借出
房間提供環境架設,計畫將環境分部為兩個房間,並以 Ethernet 相互連結,組員皆未曾
製作過網路線,示範後大家都上手的很快,也做得很好。
二、 MARX在安裝 ISA 用之兩片網路卡時,發生 IRQ衝突之情況,待多次更換插槽與重複
開機測試後才正常。
三、 Brian晚間遇上網查詢資料,因此將與 ISA連接 DMZ區的網路線拔除接至 AP,當網路
線要接回 ISA主機時,發生網路偵測異常狀況,重開機後狀況才排除。 LAB 環境於今日
以建置完畢,組員也陸續在建置 Virtual Machine BASE 環境。
四、 擔任組長似乎不是把時程與任務掌控好即可,還需注意組員的 EQ,一個人的情緒會影
響到整個工作的環境。
2009/08/25
星期二
0900-2200 系統建置 30%
一、 希望讓防火牆後端 Lan 的 Host 可以上網查詢資料,因此於 ISA Host 的 LAN端開啟
ICS,但發現上網速度非常緩慢,判斷M/B內建的網路晶片在多台 virtual machine 與
Host 的共同要求下,似乎有工作上的瓶頸。
二、 Brian 的 DMZ主機 CPU風扇突然不轉,Brian 重新調整過後再觀察。
三、 Enzo反映 DC1 的 DNZ Zone(AD整合)自動消失,log看不出明顯的錯誤訊息,之後嘗
試手動由 DC2 複寫依然無效,最後 Enzo 以手動建立主要區域。
四、 Marx反映無反 PING 到 DC1,經查發現原為 DC 的 Host 上 Virtual Server 網路組態
自行切換至不正確的虛擬網卡,查無原因,將網卡換回後,ISA Server 與 DC1聯繫即正
常。
五、 Esther在 Exchange遇到節點辨識磁區的問題,node1在掛載 Target Server 硬碟後進
行 RAID轉換後,node2即無法正常識別,須於節點上重新掛載,反之亦然,經查官方
文件,官方建議 Cluster 使用硬體式陣列,Windows Cluster似乎不支援 Windows
Software RAID,因此 Target搭配軟體陣列容錯項目暫時作罷,再搜尋有無 Plan B。
六、 Marx反應數次 ISA Server莫名停止防火牆及相關服務,因此更換 LAB主機重新架設,
並持續觀察。
七、 小M反映無法進行分公司內部的 DHCP授權,因分公司為旁系 Domain,以 Enterprise
Admin登入後即可進行授權。
八、 今日發現 LAB 網路不穩定,在設備交叉測試後依然找不出確切之原因,PING宿網
Getway偶有掉包之情形,宿網在先前進行抓包分析時即發現壞包情況極為嚴重,也無法
立即請業者改善,在不影響目前 LAB狀況下,再持續觀察,目前進度與期望時程落後但
尚在預定排成時間內,團隊氣氛至今日較為融洽,大家在歡笑中一同努力也較起勁。
2009/08/26
星期三
0900-2200 系統建置 70%
一、 組員反映無法上網,經測發現 ISA Server前牆節點無法 PING 到分享器的 Getway,但
可 PING 到其他 host上的 Virtual Machine,使用其他 host或 Virtual Machine PING
分享器則正常,交叉測試後,判斷疑似為 ISA主機系統問題,於是將作業系統重新安裝
並由 VISTA改為 Server2003,改完後發現依然無法 PING 到分享器,蒐集多方資訊依然
無法找出確切原因,詢問第二組組員並無此狀況發生,與該組借測分享器,發現前述之
情況未發生,綜合判斷應為分享器之問題,於是捨棄使用分享器,並使用四組宿網 IP配
發給防火牆與分公司使用,此故障排除耗費許多時間。
二、 Marx反映 ISA Server 服務異常,最後反覆測試發現可能為 CSS 與 ISA SERVER管理員
帳號不同,導致無法擷取資料,更改相同帳號密碼後則正常。
三、 晚間發生 CSS 無法擷取到 ISA Server 資料,查詢設備及網路線發現,原為 Esther誤將
網路線接至 Switch uplink port,接回正確 port後網路即正常。
四、 目前進度持續前進中,但網路不穩定之問題依然無法排除,有太多不確定因素,也只能
藉由 ping每一台 host觀察ms品質,但有發現一些跡象,host 與 host之間通訊皆正常,
vm 與 vm通訊即不穩定,尤其是當網路使用一段時間之後,網路品質皆有明顯下將之趨
勢,待全員將 Virtual Machine 重開後即改善,因此懷疑多台 Virtual Machine(isa array)
的資料量,再加上 host 的連外流量,會導致網路卡罷工,此情況在捨棄分享器改用宿網
IP後更為明顯,因此建議組員暫時減少網路使用量。從第一天至今能遇到的問題皆浮現
出來,而大部分的問題都是來自於 LAB 環境,反而在系統建置方面無遇到嚴重的問題。
2009/08/27
星期四
0900-2200 系統建置 80% → 0%
一、 一早全體電腦開機後發現 CSS 無法擷取 ISA Server,逐一測試發現為總公司的 LAB主
機 Virtual Machine 網路卡自行切換到不正確的組態,調整後即排除,而在 VPN 測試
連線時也發生錯誤狀況,經查為設定遺漏。
二、 至中午發現內部網路無法經由 ISA上網,而後牆與前牆也接連無法上網,也無明確的 log
可供判斷,最終全體電腦重新開機,並查詢網路設備,經反覆測試依然找不到問題點,
晚間全體組員一致同意將所有系統重新建置,並將 LAB 環境改變成一間,並簡化網路連
結,以純化 LAB 環境。
2009/08/28
星期五
0900-2200 系統建置 90%
一、昨晚將 LAB 環境改變後,並系統重建,每位組員對自己的系統皆很熟悉,在很短的時間
即完成大部分的架構,今日的建置與進度非常的順利,先前所遇到的狀況也一一的排除,但
唯獨網路的狀況依舊不穩定,不過在減少上網與電腦重開後可排除。
2009/08/31-09/02
星期一 ~ 星期三
0900-2200 服務及功能測試
一、 大部分的架構皆已完成,每個人皆針對自己負責的系統做最後的功能與測試。
二、 網路問題已明顯化,只要在 VPN連線測試後,則有非常高的機率會導致內部網路無法
連外,在Marx 測試”VPN隔離使用者”後也會發生此情況,或著站台間 VPN連線正常
但無法 PING 到對方的現象,這些問題在重開機後即可解決。
三、 綜合數日發生的問題推斷,疑似 ISA主機的網路晶片相容性不佳,但驗收在即,ISA角
色又牽一髮動全身,便沒有進行交叉測試,部分 LAB主機以 Virtual Machine來看,穩
定度不足。
四、 嘗試將分享器設定接回後,發現雖然 ISA前牆無法 PING 到分享器 Getway但並不影響
上網功能,而且內部網路經由 ISA連外的速度成長許多,掉包的情況也完全改善,顯見
原本使用網卡直接設定三組宿網 IP給 ISA前牆的方式,讓網路卡效能十分吃重,因第一
組也是使用宿網 IP,討論得知這種狀況也發生在他們的 LAB中。
五、 (周三)今日為第一組驗收日,也感謝第一組告知須要注意的地方,並加強測試,大部分
的架構與目標皆已完成,每個人則繼續測試功能延伸的可能。
2009/09/03
星期四
驗 收
0900-1200
今日為驗收日,昨晚在關機前測試都正常,但隔日則豬羊變色,一早網路功能即全部停擺,
只有趁著第二組還在驗收時,趕緊請組員將所有電腦依序重開,在大家一陣手忙腳亂中,終
於網路功能回復正常。
Hubert 導師、戴老師前來驗收,結果雖稱不上完美,但大部份的功能皆實現,但因為網路不
穩定的緣故,在之後的 VPN 測試完畢之後,發生兩地 VPN已連線,但無法 PING 到對方的
狀況,雖都在意料之中..,但難免有遺珠之憾。
檢討與改善:
1.LAB前測試主機硬體組件,盡可能重新安裝OS,僅裝 LAB必要軟體,純化 LAB 系統環境。
2.確實測試網路線及網路周邊設備,以減少故障排除考量因素。
3.規劃時因預留兩台經測試無誤的主機,以備用、供測試對照。
4.多台虛擬主機資料量,可能導致網路卡效能降低-使用處理效能較高階網路卡。
5.使用分享器能減輕 ISA LAB主機“多 VM單一網卡”的負擔。
心得與感想
這次的 LAB讓我跌破眼鏡,出乎意料的艱辛,從第一天到驗收前,幾乎每天都有新的問題產生等待
著我們去解決,而多數的問題來自於 LAB的實體環境,不像在單機 LAB環境上那麼的順利,複雜的
環境,加上機器的不穩定,故障排除有非常多的因素要去考慮,因為如此,我們遇到了實體環境會發
生的問題,也體會到基本架設之外的東西,不論是自己還是組員,收穫都很多。尤其是以團隊的方式
進行,無論是在分工還是各負責人之間的互動與協調上,真是非常難得的經驗,也感謝組員的推選,
讓我有機會能夠擔任第三組的組長,讓我能在不同的心態與角度上去共同完成這個 LAB,更難能可
貴的是,讓我領悟到技術以外的寶貴經驗,感觸不同以往在學或工作上的經驗。
在此感謝 戴有煒 劉家聖 老師,隨時不吝指教、有問必答,讓我在Microsoft課程中學習得比預期
更好,還有 Hubert導師對全班的鼓勵,讓大家毫不猶豫的前進,最後感謝這次 LAB中給予建議的
71期楊家福、75期戴志丞學長、別組樂於討論的同學 及 我努力不懈的 LAB組員們! 期待接下來
的 Linux LAB J。
