Embed Size (px)
Citation preview
TNQ200-02TNQ200-02
「「 Windows 2000 Windows 2000 融會貫通系列」之四融會貫通系列」之四
看看 WindowsWindows®® 2000 2000 通訊服務通訊服務
讓企業網路四通八達讓企業網路四通八達
鍾希桓鍾希桓台灣微軟台灣微軟技術專員技術專員
蘇裕民蘇裕民台灣微軟顧問台灣微軟顧問
(( 第三波教育訓練中心第三波教育訓練中心 ))
Windows 2000 / NT 4.0Windows 2000 / NT 4.0 的整合的整合
支援現有的支援現有的 NT4 NT4 服務服務,並加強,並加強 User AuthenticationUser Authentication File/PrintFile/Print Remote Access Remote Access DNSDNS DHCPDHCP IISIIS
新的 新的 Windows 2000 Windows 2000 服務服務 IP Security ProtocolIP Security Protocol Quality of ServiceQuality of Service Network Address Network Address
TranslationTranslation Kerberos Kerberos
AuthenticationAuthentication Active DirectoryActive Directory
Windows 2000 Server Windows 2000 Server 可以很容易地可以很容易地與 與 Windows NT4 Windows NT4 整合整合
現有的現有的 Windows NT Windows NT 網路繼續運作網路繼續運作 ! !
PDCPDC
Windows NT4Windows NT4
BDCBDC
BDCBDCBDCBDC
將一台將一台 BDCBDC 離離線線
Mixed Mode Mixed Mode 將將 PDCPDC 昇級昇級昇級所有的昇級所有的 BDCBDC轉為 轉為 native modenative mode
Native Mode Native Mode
Windows 2000 / NT 4.0Windows 2000 / NT 4.0 的整合的整合如何昇級至如何昇級至 ADAD
網路用戶的登入方式網路用戶的登入方式
PDCPDC
BDCBDCBDCBDC
Windows Windows ClientClient
BDCBDC
您將學會您將學會 :: 什麼是 什麼是 connection sharingconnection sharing 如何選擇如何選擇 VPN VPN 協定: 協定:
PPTP, L2TP/IPSEC, IPSEC TransportPPTP, L2TP/IPSEC, IPSEC Transport 如何用如何用 Active Directory Active Directory 管理遠端存取的用管理遠端存取的用
戶戶 Active Directory Active Directory 如何處理如何處理 Windows NTWindows NT®®
4.0 4.0 用戶的驗證用戶的驗證 如何設定如何設定 Windows Load Balancing Windows Load Balancing
Services Services 以提高網路效能與延展性以提高網路效能與延展性 如何利用如何利用 QoS QoS 彈性調整網路流量彈性調整網路流量
五種情境五種情境 如何將如何將辦公室辦公室安全地連上安全地連上 Internet ?Internet ?
如何防止如何防止未加密的資料未加密的資料在網路上傳遞 在網路上傳遞 ??
如何以如何以用戶群組用戶群組和和限制時間限制時間管理遠端取用戶 管理遠端取用戶 ??
如何彈性如何彈性調整網路封包流量調整網路封包流量 ??
如何滿足如何滿足多部伺服器提供相同 多部伺服器提供相同 IP IP 服務服務時的時的穩定性與管理需求 穩定性與管理需求 ??
情境一情境一 如何將辦公室安全地連上如何將辦公室安全地連上 Internet ?Internet ?
目前環境:目前環境: Windows NT 4.0 Windows NT 4.0 伺服器 伺服器
Windows NT 4.0 Windows NT 4.0 工作站工作站 , Windows 95/98 , Windows 95/98
答案答案 : : Windows 2000 Connection Windows 2000 Connection
SharingSharing Internet Connection Sharing (ICS) Internet Connection Sharing (ICS) 提供提供
o DHCP, DNS, and WINS DHCP, DNS, and WINS
Network Address Translation (NAT)Network Address Translation (NAT)
任何提供 任何提供 DHCP DHCP 的作業系的作業系
統統
InternetInternet
Windows 95Windows 95
Windows 98Windows 98
Windows NT Windows NT 4.0 4.0 工作站工作站
Windows 2000 Windows 2000 NAT NAT 伺服器伺服器
私有位址私有位址 公用位址公用位址
整個網路被認為是單一整個網路被認為是單一IPIP 位址位址
192.168.0.192.168.0.xx211.18.44.7211.18.44.7
www.microsoft.comwww.microsoft.com
Windows NT 4 Windows NT 4 伺服器伺服器
情境一圖解情境一圖解 Corp Server
可以用可以用 Proxy Server Proxy Server 嗎嗎 ?? 可以,都提供可以,都提供 NATNAT
比較比較 ICS ICS 提供簡易、快速設定方式提供簡易、快速設定方式
NAT, DHCP, DNS, WINSNAT, DHCP, DNS, WINS
Proxy ServersProxy Servers 提升效能 提升效能 – – 資料快取資料快取 使用記錄使用記錄 加強安全加強安全 – – 類似 類似 firewallfirewall
提示 – ICS 很適合使用 modem 或 ADSL 的用戶
情境一演練情境一演練 如何安裝與設定如何安裝與設定 Windows 2000 Windows 2000
Connection Sharing (NAT)Connection Sharing (NAT)
客戶端設定
何時需以何時需以 MicrosoftMicrosoft®® Proxy Server Proxy Server
取代取代 Windows 2000 Connection Windows 2000 Connection
Sharing ?Sharing ?
現學現用:現學現用:
情境二情境二 如何防止未加密的資料在網路上傳遞 如何防止未加密的資料在網路上傳遞 ?? 目前環境目前環境
Windows NT 4.0 Single Master DomainWindows NT 4.0 Single Master Domain Windows NT 4.0 Windows NT 4.0 和和 Windows 95/98 Windows 95/98 客戶客戶
端端 答案答案 : : Windows 2000Windows 2000
提供 提供 Internet Protocol Security (IPSEC)Internet Protocol Security (IPSEC) 提供 提供 VPN VPN 協定協定
Layer 2 Tunneling Protocol (L2TP)/IPSECLayer 2 Tunneling Protocol (L2TP)/IPSEC Point to Point Tunneling Protocol (PPTP)Point to Point Tunneling Protocol (PPTP)
不需要建立不需要建立 Active Directory !Active Directory !
Windows Windows NT 4.0NT 4.0
Windows 98Windows 98
Windows 95Windows 95
財務用戶端財務用戶端Windows NT 4.0Windows NT 4.0
Windows 2000 Windows 2000 伺服器伺服器
財務用戶端財務用戶端
Windows 2000Windows 2000
使用 使用 IPSEC IPSEC 傳輸模式加傳輸模式加密原始資料方式密原始資料方式
安全設定安全設定
- - NTFSNTFS
- - Share Permissions Share Permissions
- - IPSECIPSEC
情境二圖解 情境二圖解 AA
公司
Windows 2000Windows 2000
RRAS VPN RRAS VPN 伺服器伺服器
Windows 2000Windows 2000
用戶端用戶端
檔案伺服器安全設定檔案伺服器安全設定
- - NTFSNTFS
- - Share Share PermissionsPermissions
情境二圖解情境二圖解 BB
Internet
PPTP PPTP 或或
L2TP/IPSecL2TP/IPSec
使用 使用 VPN VPN 傳輸模式加傳輸模式加密密原始資料方式原始資料方式
IPSEC IPSEC 協定協定 兩種協定的組合兩種協定的組合
Encapsulated SecurityEncapsulated Security Payload (ESP)Payload (ESP)
Authentication Header (AH)Authentication Header (AH) 使用數位憑證為鑰匙的身分認使用數位憑證為鑰匙的身分認
證架構證架構
兩種模式兩種模式 傳輸 – 自發送者包裝傳輸 – 自發送者包裝
IP IP 封包 封包 ((End-to-End)End-to-End) 隧道 隧道 – – 自隧道的發送端自隧道的發送端
包裝包裝 IP IP 封包封包
VPN VPN 協定協定 都建立在 Point to Point Protocol 之上
可經由 撥接 或 專線 傳送資料 PPP 包裝 IP, IPX, 與 NetBEUI 封包
PPTP:Point to Point Tunneling Protocol 包裝 PPP 封包為 IP 封包 以密鑰將用戶名稱及密碼加密 不需要公開鑰匙的運作架構
L2TP: Layer 2 Tunneling Protocol 包裝 PPP 封包為 IP, X.25, Frame Relay,
或 ATM 封包
IPSec 傳輸模式
PPTPPPTP L2TP/IPSec
PPTPL2TP/IPSec
IPSec 隧道模式
簡易低成本 加強安全
Client-Gateway
Gateway-Gateway
End-End
應該選擇那一種協定 應該選擇那一種協定 ??
甲 乙 丙
PPTP PPTP 的特性 的特性 ??
現學現用:現學現用:
L2TP/IPSEC L2TP/IPSEC 的特性 的特性 ??
VPN VPN 的未來的未來 L2TP/IPSECL2TP/IPSEC
成為成為 Windows 2000 Windows 2000 的核心的核心 目前沒有計劃支援 目前沒有計劃支援 Windows NT 4.0, Windows NT 4.0,
Windows 95, Windows 3xWindows 95, Windows 3x 未來將支援未來將支援 Windows 98, Windows CEWindows 98, Windows CE
PPTPPPTP Windows 2000, Windows NT 4.0, Windows 2000, Windows NT 4.0,
Windows 9x Windows 9x 有完整的支援有完整的支援 未來將支援 未來將支援 Windows CEWindows CE
IPSEC – IPSEC – 原則與規則原則與規則
每個原則都至少有一個以上的規則每個原則都至少有一個以上的規則 規則決定如何及何時引用原則規則決定如何及何時引用原則 規則有五個元素規則有五個元素
連線類型連線類型 ((Connection Type)Connection Type)
驗證方法驗證方法 ((Authentication Method)Authentication Method)
IP IP 篩選器清單篩選器清單 ((Filter List)Filter List)
篩選器動作篩選器動作 ((Filter Action)Filter Action)
通道設定通道設定 ((Tunnel Settings)Tunnel Settings)
情境二演練情境二演練 如何設定如何設定 IPSEC IPSEC 原則 原則 ?? AD AD 改變 改變 IPSec IPSec 的管理方式的管理方式
情境三情境三 如何以用戶群組和限制時間來管理遠端存取用如何以用戶群組和限制時間來管理遠端存取用
戶 戶 ?? 目前環境目前環境
Windows NT 4.0 Single Master DomainWindows NT 4.0 Single Master Domain Windows NT 4.0 Windows NT 4.0 和和 Windows 95/98 Windows 95/98 客戶端客戶端 Windows NT 4.0 PPTP RAS Windows NT 4.0 PPTP RAS 伺服器伺服器 僅允許僅允許 sales group sales group 有遠程存取資格有遠程存取資格
答案 : Windows 2000 Routing and Remote Access 原則 針對個別用戶的遠程存取管制針對個別用戶的遠程存取管制 可立即與 可立即與 Windows NT 4.0 Domain Windows NT 4.0 Domain 整合整合 未來可結合 未來可結合 Active Directory (Group Policy) Active Directory (Group Policy) !!
RAS RAS 三種管理模式三種管理模式 以使用者為出發點
許可權建立在個別使用者的基礎 類似 Windows NT 4.0 的管理風格 僅使用預設原則
o 若預設原則被刪除,則不論用戶是否授權一律拒絕
以系統原則為出發點 - mixed-mode 依實際需求建立個別的原則 可整合 Windows NT 4.0
以系統原則為出發點 - native-mode 以遠程存取原則決定許可權
Windows NT 4.0 Windows NT 4.0 或 或 Windows 9xWindows 9x Windows 2000Windows 2000 RRAS ServerRRAS Server
Internet公司
情境三 情境三 ( ( 狀態一 狀態一 )) Windows 2000 Windows 2000 當做 當做 RRAS RRAS 伺服器伺服器
以使用者為出發點以使用者為出發點 不需要改變基本架構不需要改變基本架構
整合整合 Windows 2000 Windows 2000 和 和 NT 4.0 RAS NT 4.0 RAS 伺服器伺服器 提供更多的存取埠提供更多的存取埠
Windows NT 4.0Windows NT 4.0
Windows NT 4.0 Windows NT 4.0 和 和 Windows 9xWindows 9x
使用者是 使用者是 sales group sales group 的成員 的成員 ??連線是在許可的時間內 連線是在許可的時間內 ??
Internet 公司
只有 只有 Windows 2000Windows 2000
RRAS ServerRRAS Server
否則 否則 Windows 2000 RRAS Windows 2000 RRAS 伺服器拒絕連線 伺服器拒絕連線 !!
情境三 情境三 ( ( 狀態二 狀態二 ))
將 將 RAS RAS 伺服器全面升級為 伺服器全面升級為 Windows Windows 20002000 系統原則為出發點系統原則為出發點 使用 使用 Group Policy Group Policy 加強安全加強安全
設定遠端存取原則設定遠端存取原則
Windows NT 4.0 Windows NT 4.0 and Windows 9xand Windows 9x
Internet 公司
Windows 2000Windows 2000
RRAS ServerRRAS Server
Windows 2000Windows 2000
L2TP/IPSECL2TP/IPSEC
PPTPPPTP
or PPTPor PPTP
情境三 情境三 ( ( 狀態三 狀態三 ))
部分遠端用戶升級為部分遠端用戶升級為 Windows 2000Windows 2000 系統原則為出發點系統原則為出發點 利用 利用 L2TP/IPSEC L2TP/IPSEC 加強安全加強安全 仍可整合仍可整合 Windows NT 4.0 RAS ServerWindows NT 4.0 RAS Server
情境三演練情境三演練
在 RRAS MMC 中建立遠端存取原則
僅允許 Sales group 存取
拒絕 1 - 3 AM 存取
如果不小心刪除預設原則,而且沒有其
他的原則時 , 會發生什麼事 ?
現學現用:現學現用:遠端存取原則遠端存取原則
情境四情境四 如何彈性調整網路封包流量 如何彈性調整網路封包流量 ?? 現有環境現有環境
Windows NT 4.0 ServerWindows NT 4.0 Server Windows NT 4.0 Windows NT 4.0 和和 Windows 95/98 Windows 95/98 客戶端客戶端 相關的網路設備相關的網路設備
答案答案 : : Windows 2000 Quality of Service Windows 2000 Quality of Service (QoS)(QoS) 確保網路應用軟體與用戶可以取得適量的頻寬確保網路應用軟體與用戶可以取得適量的頻寬 需要需要 QoS-enabled QoS-enabled 網路裝置、網路裝置、 QoS aware QoS aware 應用軟體 和應用軟體 和 Active DirectoryActive Directory
QoS enabled網路
Windows NT 4.0 Windows NT 4.0 ServerServer
Windows 2000Windows 2000Windows NT 4.0 Windows NT 4.0 工作站工作站Windows 95Windows 95
Windows 2000 ProfessionalWindows 2000 ProfessionalWindows 98Windows 98
QoS trafficQoS traffic
Non-QoS trafficNon-QoS traffic
情境四圖解情境四圖解 網路頻寬網路頻寬
針對針對 Windows 2000 Windows 2000 伺服器與伺服器與 Windows Windows 2000/98 2000/98 客戶端之間提供保證客戶端之間提供保證
所有裝置所有裝置 (routers, NICs) (routers, NICs) 必須是必須是 QoS enabledQoS enabled
Windows 2000 QoSWindows 2000 QoS
建置上的考量建置上的考量 Admission Control Services (ACS)Admission Control Services (ACS)
運用 運用 AD AD 的原則管理網路資源的原則管理網路資源 Subnet Bandwidth Manager (SBM)Subnet Bandwidth Manager (SBM)
管理上的考量管理上的考量 運用 運用 AD AD 的原則管理的原則管理 相關硬體環境的配合相關硬體環境的配合 QoS enabled QoS enabled 應用程式應用程式
運用 運用 QoS API QoS API 和和 Traffic Control APITraffic Control API
提示 – 既然遲早需要 QoS ,請儘早採用 QoS aware 裝置
Admission Control ServicesAdmission Control Services
強迫式頻寬管理強迫式頻寬管理 :: Per userPer user
Per group of usersPer group of users
Per computerPer computer
可建立在流量需求的基礎可建立在流量需求的基礎 ACS ACS 滿足需求前會向滿足需求前會向 Active Directory Active Directory 確確
認認
情境四演練情境四演練
QoS QoS 改變頻寬的使用,提升網路效能改變頻寬的使用,提升網路效能
VideoVideo
情境五情境五 如何滿足多部伺服器提供相同 如何滿足多部伺服器提供相同 IP IP 服務時的服務時的
穩定性與管理需求 穩定性與管理需求 ?? 目前環境目前環境
Windows NT 4.0 IIS,Windows NT 4.0 IIS, Web FarmWeb Farm Windows NT 4.0 PPTP Windows NT 4.0 PPTP 伺服器伺服器
答案答案 : : Network Load Balancing (NLB)Network Load Balancing (NLB) Windows NT Server 4.0 Windows NT Server 4.0 企業版提供企業版提供
Windows Load Balancing Service (WLBS)Windows Load Balancing Service (WLBS) Windows 2000 Advanced Server Windows 2000 Advanced Server 和 和
Datacenter Server Datacenter Server 的內建功能的內建功能 不需要 不需要 Active DirectoryActive Directory
NLB NLB 功能功能 將網路需求分散給不同的伺服器將網路需求分散給不同的伺服器 最高可達最高可達 32 32 部伺服器部伺服器 負載平衡提升效能負載平衡提升效能 偵測偵測 failed failed 主機並於主機並於 8 8 秒內自動重新分配需求秒內自動重新分配需求 允許遠端管理允許遠端管理
NLB HostNLB Host NLB HostNLB Host NLB HostNLB Host NLB HostNLB Host
Ethernet LAN
單一 “虛擬單一 “虛擬” ” IP IP 位址位址
NetworkNetwork ?虛擬 虛擬 IP IP 位址位址
個別 個別 IP IP 位址位址
NLB NLB 工作方式 工作方式 - - 網路負載平網路負載平衡衡
NLB NLB 工作方式 工作方式 - - 主機間的溝主機間的溝通通 通常配有二張網卡 也支援單一網卡
不提供 Multicast 支援
在專屬需求上沒有顧慮
Heart Beat幾乎不佔頻寬 每台主機約 1.5K
bytes/sec
IP: .1 .2 .1 .3
網路卡 網路卡
伺服軟體 NLB 服務
網路卡 網路卡
伺服軟體 NLB 服務
Heart Beat
NLB NLB 的應用限制的應用限制 伺服器間複製資料伺服器間複製資料
需配合 需配合 Content Replication ServerContent Replication Server
資料庫伺服器的讀資料庫伺服器的讀 //寫寫 需配合 需配合 Microsoft Cluster ServiceMicrosoft Cluster Service
啟動或停止應用軟體啟動或停止應用軟體 偵測應用軟體伺服器的服務是否終止偵測應用軟體伺服器的服務是否終止
需配合需配合 SMSSMS 或其他網路偵測工具或其他網路偵測工具
Microsoft Clustering Microsoft Clustering 技術技術 Microsoft Cluster ServiceMicrosoft Cluster Service
後端式後端式 clusteringclustering
提升重要應用系統的穩定與效能提升重要應用系統的穩定與效能 SQL ServerSQL Server
Exchange ServerExchange Server
Network Load Balancing ServiceNetwork Load Balancing Service 前端式前端式 clusteringclustering
IP IP 負載平衡負載平衡
Internet/Intranet 封包
NLB NLB 服務服務
- IISIIS- VPNVPN- NetShowNetShow
Tier 1: 任何 IP-based 服務
Windows Clustering Windows Clustering 應用應用
Microsoft Cluster Service Microsoft Cluster Service
Tier 2: 資料層
Windows 2000Windows 2000 的分散應用系統架構ClientsClients
IIS Web ServerIIS Web Server or other IP-basedor other IP-based
servicesservices
Network Load Network Load BalancingBalancing
COM+COM+ComponentsComponents
Component Load Component Load Balancing (COM+)Balancing (COM+)
ApplicationApplicationServersServers
Data ServersData Servers SQL, Exchange, FileSQL, Exchange, File
Cluster ServerCluster Server
NLB NLB 服務是否需要特殊的硬體 服務是否需要特殊的硬體 ??
現學現用:現學現用:
NLB NLB 服務是否需要二片網路卡 服務是否需要二片網路卡 ??
NLB NLB 服務是否佔用大量網路頻寬 服務是否佔用大量網路頻寬 ??
NLB NLB 服務是否支援虛擬網站 服務是否支援虛擬網站 ??
其他資源其他資源 http://wwwhttp://www.microsoft.microsoft.com.com/taiwan/technet/taiwan/technet// Whitepapers -Whitepapers -
http://www.microsoft.com/windows/server/http://www.microsoft.com/windows/server/Technical/networking/Technical/networking/
http://www.microsoft.com/ntserver/http://www.microsoft.com/ntserver/commserv/techdetails/commserv/techdetails/
Microsoft Official CurriculumMicrosoft Official Curriculum www.www.microsoftmicrosoft.com/train_cert/win2kmoc.com/train_cert/win2kmoc Course #1562 - Designing a Microsoft Course #1562 - Designing a Microsoft
Windows 2000 Networking Services Windows 2000 Networking Services InfrastructureInfrastructure
