Windows Server 2012 R2 伺服器網路建置與規劃

1/45 曹祖聖台灣微軟資深講師 jimycao@syset.com http://teacher.syset.com MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTS, MCITP, MCPD, MCT, MVP

2/45

3/45 資源記錄 根 (.).com 資源記錄 DNS 用戶端內部 DNS 伺服器 Internet DNS 伺服器.edu

4/45

5/45 DNS 根伺服器 DNS 伺服器 根提示 DNS 伺服器.com DNS 用戶端 microsoft

轉寄站 往返式查詢 到.com 去查 DNS 根伺服器.com 6/45 本地 DNS 伺服器 DNS 用戶端 contoso.com

DNS 伺服器查詢快取 主機名稱 IP 位址 TTL ServerA.contoso.com 131.107.0.44 28 秒 查詢 ServerA ServerA = 131.107.0.44 DNS 用戶端 #1 ServerA = 131.107.0.44 查詢 ServerA 7/45 DNS 用戶端 #2 ServerA

8/45 www.contoso.com 60 IN A 172.16.0.11 www.contoso.com 60 IN A 172.16.0.120 www.contoso.com 60 IN A 172.16.0.133 172.16.0.11 172.16.0.120 172.16.0.133 www.contoso.com 向 DNS 註冊 A 記錄 contoso.com DNS 伺服器

DNS 伺服器 子網路 #2 DNS 區域 DNS 用戶端 子網路 #1 DNS 用戶端 DNS 伺服器 子網路 #3 DNS 區域 9/45 DNS 用戶端

10/45 區域類型主要次要虛設常式 (stub) AD 整合 說明 可讀寫, 文字檔或 AD 整合 唯讀, 文字檔 僅包含 DNS 伺服器的 NS 記錄, 文字檔或 AD 整合 DNS 記錄儲存在 AD 資料庫中

11/45 contoso.com DNS 伺服器 DNS 區域 sales DNS 子網域 DNS 區域 marketing DNS 伺服器

12/45 內部 DNS 伺服器記錄了內部電腦主機的相關記錄, 再加上 DMZ 中的公開伺服器 ( 郵件伺服器 Web 伺服器 ) 記錄 外部 DNS 伺服器僅僅記錄了公開伺服器 ( 郵件伺服器 Web 伺服器 ) 記錄 Web 伺服器 郵件伺服器 外部 DNS 伺服器 內部防火牆 外部防火牆 網域控制站 + DNS 伺服器 DMZ 內部網路 1. 2. 3. 內部網路中的電腦使用從內部網路電腦如果查詢的是外, 一律將 DNS DNS 查詢送到內部的伺服器查詢到的 DNS 名稱空間 DNS IP 存取內部, 伺服器則轉寄網路或到 DMZ DMZ 的 DNS 中的伺服器伺服器去查詢, 如果 DMZ 的 DNS 伺服器也查不㺫, 則再向外查詢

13/45 DHCP 租約運作機制 DHCP 伺服器 #2 DHCP 伺服器 #1 DHCP 用戶端 1. DHCP 用戶端廣播 DHCPDISCOVER 封包 2. DHCP 伺服器廣播 DHCPOFFER 封包 3. DHCP 用戶端廣播 DHCPREQUEST 封包 ( 向 DHCP 伺服器 #1 要求 IP) 4. DHCP 伺服器 #1 廣播 DHCPACK 封包

14/45 DHCP 租約更新機制 DHCP 伺服器 #2 DHCP 用戶端 DHCP 伺服器 #1 到達租約時間的 100% 租約時間 87.5% 50% 1. DHCP 用戶端傳送 DHCPREQUEST 封包給原來配發 IP 的 DHCP 伺服器 2. DHCP 伺服器 #1 回傳 DHCPACK 封包, 用戶端續約成功 3. 如果 DHCP 用戶端錯過 50% 這個時間, 那麼在到達租約 87.5% 的時候會再嘗試送出續租要求 4. 如果 DHCP 用戶端錯過 87.5% 這個時間, 那麼 DHCP 用戶端的 IP 可以使用到租約至期為止, 然後就重新廣播 DHCPDISCOVER 封包, 尋找可以配發 IP 的 DHCP 伺服器

原本選項 81 的行為 變更過的選項 81 行為 DNS 伺服器 4. 動態更新 DNS PTR 記錄 DHCP 伺服器 DNS 伺服器 3. 動態更新 DNS A 記錄 DHCP 伺服器 2. IP 租約確認 4. 動態更新 DNS PTR 記錄 3. 動態更新 DNS A 記錄 1. 要求 IP 租約 2. IP 租約確認 1. 要求 IP 租約 15/45 DHCP 用戶端 主機名稱 DHCP 用戶端 主機名稱

16/45 http://technet.microsoft.com/en-us/library/hh831538.aspx

17/45 http://technet.microsoft.com/en-us/library/hh831538.aspx

18/45 http://technet.microsoft.com/en-us/library/hh831385.aspx

台北使用者 台北伺服器 2 1 \\Contoso.com\Marketing 1 Folder Targets \\TPE-SRV-01\ProjectDocs \\KHH-SRV-01\ProjectDocs DFS 複寫 2 名稱空間 高雄使用者 高雄伺服器 19/45 1. 使用者連線 UNC 路徑 : \\contoso.com\marketing 2. 用戶端電腦連線到名稱空間伺服器, 取得實際伺服器 UNC 路徑 3. 用戶端將路徑快取至記憶體, 依照站台設計連線到最近的檔案伺服器

20/45 設計安全的網路 DMZ 內部網路 Internet 外部防火牆 內部防火牆

21/45 Network Address Translation (NAT) 公司電腦 Internet 網站 NAT 伺服器 172.16.0.50 172.16.0.1 131.107.0.10 172.16.0.10 172.16.0.51

22/45 VPN 使用場景 大型遠端分公司 企業總部 遠端辦公室 VPN 伺服器 VPN 伺服器 VPN 伺服器 中型遠端分公司 VPN 家庭辦公室 VPN 用戶端 VPN 伺服器 遠端 VPN 用戶端

23/45 通道通訊協定防火牆存取 說明 PPTP TCP 1723 提供資料加密, 但是不提 供資料完整性檢查與資料 驗證 L2TP/IPsec UDP 500, UDP 1701, UDP 4500, IP 通訊協定 ID 50 可以使用憑證或密碼 (preshared key) 進行驗證 SSTP TCP 443 使用 SSL 技術, 提供資料 加密 資料完整性檢查與 資料驗證 IKEv2 UDP 500 支援最新的 IPSec 加密演算 法, 提供資料加密 資料 完整性檢查與資料驗證

24/45 協定說明安全等級 PAP 使用明碼傳輸密碼 無法避免重覆撥放攻 擊 用戶端偽裝攻擊 伺服器端偽裝攻擊 CHAP 挑戰回應式驗證 ( 不傳送密碼 ), 無法確認伺服器端身使用標準 MD5 雜湊演算法份 MS-CHAPv2 EAP MS-CHAP 的升級版, 提供雙向驗證 (mutual authentication). 用戶端確認伺服器端可以存取使用密碼資料 允許延伸其它類型的驗證機制, 例如指紋 比 CHAP 安全 最安全的驗證方式

25/45

26/45 開始檢查原則 否 是 有任何網路原則可以檢查嗎? 是 否 是否符合網路原則中指定條件? 檢查下一個網路原則 是 使用者帳戶的遠端存取權限是否設定為禁止存取? 否 禁止連線要求 是 否 使用者帳戶的遠端存取權限是否設定為允許存取? 否 是 網路原則中是否設定為禁止存取? 禁止連線要求 是 接受連線 否 連線要求是否符合使用者帳戶和連線設定檔的設定?

Windows Server 2012 R2 開始支援 1. 2. AD FS AD DS Web Application Proxy 企應用程式 Client devices 27/45 Internet 防火牆 防火牆 微軟應用程式 Corporate network

Internet 網站 內部用戶端 網域控制站 DNS 伺服器 NRPT/ Consec DirectAccess 伺服器 IPv6/IPsec 外部用戶端 內部網路資源 NLS Name Resolution Policy Table (NRPT) 28/45 PKI deployment

29/45

30/45

31/45 ISATAP 在 IPv4 網路上使用 IPv6 通道連接內部網路 6to4 DirectAccess 用戶端有公開 IP 位址 Teredo DirectAccess 用戶端位於 NAT 後方 使用私有 IP 位址 IP HTTPS 無法使用以上協定的用戶端

32/45 Internet 網站 內部用戶端 連線安全規則 網域控制站 DNS 伺服器 DirectAccess 伺服器 NRPT CRL 發送點 NLS 內部網路資源

33/45 Internet 網站 DNS 伺服器 DirectAccess 伺服器 網域控制站 DNS 伺服器 連線安全規則 內部網路資源 NRPT 外部用戶端

網域控制站 Messaging 辦公室 #2 Database 總公司 NWT-CA DHCP1 DMZ Web1 VPN1 憑證授權中心 (CA) 網域控制站 辦公室 #1 34/45 網域控制站

35/45

36/45 公司筆記型電腦 訪客電腦與設備 桌上型電腦 未加入網域的私人電腦

37/45 方法 說明 IPSec 最嚴格的 NAP, 可以指定特定的 IP 位址與通訊協定通訊埠 802.1X 連線支援 802.1X 的無線 Wifi 基地台或有線交換器 VPN 透過 VPN 連線進來的遠端用戶端 DirectAccess 透過 DirectAccess 連線進來的遠端用戶端 DHCP 讓透過 DHCP 取得 IP 的用戶端, 取得不同的 DHCP 選項, 例如預設閘道位址 DNS 伺服器 最不嚴格的一種 NAP ( 使用者自行設定 IP 組態 )

38/45 VPN 伺服器 Active Directory 802.1X 設備 Internet 健康註冊授權中心 (HRA) DMZ DHCP 伺服器 內部網路 NAP 健康原則伺服器 隔離的網路 修複伺服器 被限制連線的 NAP 用戶端

修複伺服器 HRA RADIUS 訊息 安全要求伺服器 系統健康更新 系統安全要求佇列 DHCP 伺服器 NAP 用戶端 NAP 健康原則伺服器 VPN 伺服器 39/45 IEEE 802.1X 網路存取設備

40/45 規劃 IPSec NAP SHAs NAP Agent NAP ECs HRA VPN 802.1X DHCP NPS 代理 NAP 管理伺服器網路原則 NAP 健康原則連線要求原則 SHVs 不符合規則的 NAP 用戶端 不支援 NAP 的用戶端 NAP 連線伺服器 修複伺服器 NPS 伺服器 憑證服務郵件伺服器 NAP 原則伺服器 安全的伺服器 SHAs NAP Agent NAP ECs 符合規則的 NAP 用戶端 受限制網路邊界網路安全的內部網路

41/45

生產環境虛擬網路 測試用虛擬網路 生產環境虛擬機器 測試用虛擬機器 虛擬化 實體網路 實體伺服器 交換器 42/45 透過伺服器虛擬化, 讓多個虛擬伺服器在同一個實體伺服器上同時運作 伺服器 透過網路虛擬化, 讓多個虛擬網路在同一個實體網路上同時運作

小型分公司 Internet AD FS AD DS Windows Server Gateway 實體網路 Hyper-V 基礎架構 43/45 生產環境虛擬網路 測試用虛擬網路

44/45

45/45 https://gallery.technet.microsoft.com/hybrid-cloud-with-nvgre-aa6e1e9a http://technet.microsoft.com/en-us/library/ee624058(ws.10).aspx http://technet.microsoft.com/en-us/magazine/hh922970.aspx