TNQ200-02
「 Windows 2000 融會貫通系列」之四 看 Windows ® 2000 通訊服務 讓企業網路四通八達 鍾希桓 台灣微軟技術專員 蘇裕民 台灣微軟顧問 ( 第三波教育訓練中心 )
Windows 2000 / NT 4.0 的整合 支援現有的 NT4 服務, 並加強 User Authentication File/Print Remote Access DNS DHCP IIS 新的 Windows 2000 服 務 IP Security Protocol Quality of Service Network Address Translation Kerberos Authentication Active Directory Windows 2000 Server 可以很容易地 Windows 2000 Server 可以很容易地 與 Windows NT4 整合 現有的 Windows NT 網路繼續運作 !
PDC Windows NT4 BDC BDC BDC 將一台 BDC 離線 Mixed Mode 將 PDC 昇級 昇級所有的 BDC 轉為 native mode Native Mode Windows 2000 / NT 4.0 的整合 如何昇級至 AD
網路用戶的登入方式 PDC BDC BDC Windows Client BDC
您將學會 : 什麼是 connection sharing 如何選擇 VPN 協定: PPTP, L2TP/IPSEC, IPSEC Transport 如何用 Active Directory 管理遠端存取的用戶 Active Directory 如何處理 Windows NT ® 4.0 用戶的驗證 如何設定 Windows Load Balancing Services 以提高網路效能與延展性 如何利用 QoS 彈性調整網路流量
五種情境 如何將辦公室安全地連上 Internet ? 如何防止未加密的資料在網路上傳遞 ? 如何以用戶群組和限制時間管理遠端取用戶 ? 如何彈性調整網路封包流量 ? 如何滿足多部伺服器提供相同 IP 服務時的穩 定性與管理需求 ?
情境一 如何將辦公室安全地連上 Internet ? 目前環境: Windows NT 4.0 伺服器 Windows NT 4.0 工作站, Windows 95/98 答案 : Windows 2000 Connection Sharing Internet Connection Sharing (ICS) 提供 o DHCP, DNS, and WINS Network Address Translation (NAT)
任何提供 DHCP 的作業系統 Internet Windows 95 Windows 98 Windows NT 4.0 工作站 Windows 2000 NAT 伺服器 私有位址 公用位址 整個網路被認為是單一 IP 位址 x Windows NT 4 伺服器 情境一圖解 Corp Server
可以用 Proxy Server 嗎 ? 可以,都提供 NAT 比較 ICS 提供簡易、快速設定方式 NAT, DHCP, DNS, WINS Proxy Servers 提升效能 – 資料快取 使用記錄 加強安全 – 類似 firewall 提示 – ICS 很適合使用 modem 或 ADSL 的用戶
情境一演練 如何安裝與設定 Windows 2000 Connection Sharing (NAT) 客戶端設定
何時需以 Microsoft ® Proxy Server 取 代 Windows 2000 Connection Sharing ? 現學現用:
情境二 如何防止未加密的資料在網路上傳遞 ? 目前環境 Windows NT 4.0 Single Master Domain Windows NT 4.0 和 Windows 95/98 客戶端 答案 : Windows 2000 提供 Internet Protocol Security (IPSEC) 提供 VPN 協定 Layer 2 Tunneling Protocol (L2TP)/IPSEC Point to Point Tunneling Protocol (PPTP) 不需要建立 Active Directory !
Windows NT 4.0 Windows 98 Windows 95 財務用戶端 Windows NT 4.0 Windows 2000 伺服器 財務用戶端 Windows 2000 使用 IPSEC 傳輸模式加密 原始資料方式 安全設定 - NTFS - NTFS - Share Permissions - Share Permissions - IPSEC - IPSEC 情境二圖解 A
公司 Windows 2000 RRAS VPN 伺服器 Windows 2000 用戶端 檔案伺服器安全設定 - NTFS - NTFS - Share Permissions - Share Permissions 情境二圖解 B Internet PPTP 或 L2TP/IPSec 使用 VPN 傳輸模式加密 原始資料方式
IPSEC 協定 兩種協定的組合 Encapsulated Security Payload (ESP) Authentication Header (AH) 使用數位憑證為鑰匙的身分認 證架構 兩種模式 傳輸 – 自發送者包裝 IP 封包 (End-to-End) 隧道 – 自隧道的發送端 包裝 IP 封包
VPN 協定 都建立在 Point to Point Protocol 之上 可經由 撥接 或 專線 傳送資料 PPP 包裝 IP, IPX, 與 NetBEUI 封包 PPTP:Point to Point Tunneling Protocol 包裝 PPP 封包為 IP 封包 以密鑰將用戶名稱及密碼加密 不需要公開鑰匙的運作架構 L2TP: Layer 2 Tunneling Protocol 包裝 PPP 封包為 IP, X.25, Frame Relay, 或 ATM 封包
IPSec 傳輸模式 PPTPL2TP/IPSec PPTP L2TP/IPSec IPSec 隧道模式 簡易 低成本 加強安全 Client-Gateway Gateway-Gateway End-End 應該選擇那一種協定 ? 甲 乙 丙
PPTP 的特性 ? 現學現用: L2TP/IPSEC 的特性 ?
VPN 的未來 L2TP/IPSEC 成為 Windows 2000 的核心 目前沒有計劃支援 Windows NT 4.0, Windows 95, Windows 3x 未來將支援 Windows 98, Windows CE PPTP Windows 2000, Windows NT 4.0, Windows 9x 有完整的支援 未來將支援 Windows CE
IPSEC – 原則與規則 每個原則都至少有一個以上的規則 規則決定如何及何時引用原則 規則有五個元素 連線類型 (Connection Type) 驗證方法 (Authentication Method) IP 篩選器清單 (Filter List) 篩選器動作 (Filter Action) 通道設定 (Tunnel Settings)
情境二演練 如何設定 IPSEC 原則 ? AD 改變 IPSec 的管理方式
情境三 如何以用戶群組和限制時間來管理遠端存取用 戶 ? 目前環境 Windows NT 4.0 Single Master Domain Windows NT 4.0 和 Windows 95/98 客戶端 Windows NT 4.0 PPTP RAS 伺服器 僅允許 sales group 有遠程存取資格 答案 : Windows 2000 Routing and Remote Access 原則 針對個別用戶的遠程存取管制 可立即與 Windows NT 4.0 Domain 整合 未來可結合 Active Directory (Group Policy) !
RAS 三種管理模式 以使用者為出發點 許可權建立在個別使用者的基礎 類似 Windows NT 4.0 的管理風格 僅使用預設原則 o o 若預設原則被刪除,則不論用戶是否授權一律拒絕 以系統原則為出發點 - mixed-mode 依實際需求建立個別的原則 可整合 Windows NT 4.0 以系統原則為出發點 - native-mode 以遠程存取原則決定許可權
Windows NT 4.0 或 Windows 9x Windows 2000 RRAS Server Internet 公司 情境三 ( 狀態一 ) Windows 2000 當做 RRAS 伺服器 以使用者為出發點 不需要改變基本架構 整合 Windows 2000 和 NT 4.0 RAS 伺服器 提供更多的存取埠 Windows NT 4.0
Windows NT 4.0 和 Windows 9x 使用者是 sales group 的成員 ? 連線是在許可的時間內 ? Internet 公司 只有 Windows 2000 RRAS Server 否則 Windows 2000 RRAS 伺服器拒絕連線 ! 情境三 ( 狀態二 ) 將 RAS 伺服器全面升級為 Windows 2000 系統原則為出發點 使用 Group Policy 加強安全 設定遠端存取原則
Windows NT 4.0 and Windows 9x Internet 公司 Windows 2000 RRAS Server Windows 2000 L2TP/IPSEC PPTP or PPTP 情境三 ( 狀態三 ) 部分遠端用戶升級為 Windows 2000 系統原則為出發點 利用 L2TP/IPSEC 加強安全 仍可整合 Windows NT 4.0 RAS Server
情境三演練 在 RRAS MMC 中建立遠端存取原則 僅允許 Sales group 存取 拒絕 AM 存取
如果不小心刪除預設原則,而且沒有其 他的原則時, 會發生什麼事 ? 現學現用: 遠端存取原則
情境四 如何彈性調整網路封包流量 ? 現有環境 Windows NT 4.0 Server Windows NT 4.0 和 Windows 95/98 客戶端 相關的網路設備 答案 : Windows 2000 Quality of Service (QoS) 確保網路應用軟體與用戶可以取得適量的頻寬 需要 QoS-enabled 網路裝置、 QoS aware 應 用軟體 和 Active Directory
QoS enabled 網路 Windows NT 4.0 Server Windows 2000 Windows NT 4.0 工作站 Windows 95 Windows 2000 Professional Windows 98 QoS traffic Non-QoS traffic 情境四圖解 網路頻寬 針對 Windows 2000 伺服器與 Windows 2000/98 客戶端之間提供保證 所有裝置 (routers, NICs) 必須是 QoS enabled
Windows 2000 QoS 建置上的考量 Admission Control Services (ACS) 運用 AD 的原則管理網路資源 Subnet Bandwidth Manager (SBM) 管理上的考量 運用 AD 的原則管理 相關硬體環境的配合 QoS enabled 應用程式 運用 QoS API 和 Traffic Control API 提示 – 既然遲早需要 QoS ,請儘早採用 QoS aware 裝置
Admission Control Services 強迫式頻寬管理 : Per user Per group of users Per computer 可建立在流量需求的基礎 ACS 滿足需求前會向 Active Directory 確認
情境四演練 QoS 改變頻寬的使用,提升網路效能 Video
情境五 如何滿足多部伺服器提供相同 IP 服務時的 穩定性與管理需求 ? 目前環境 Windows NT 4.0 IIS, Web Farm Windows NT 4.0 PPTP 伺服器 答案 : Network Load Balancing (NLB) Windows NT Server 4.0 企業版提供 Windows Load Balancing Service (WLBS) Windows 2000 Advanced Server 和 Datacenter Server 的內建功能 不需要 Active Directory
NLB 功能 將網路需求分散給不同的伺服器 最高可達 32 部伺服器 負載平衡提升效能 偵測 failed 主機並於 8 秒內自動重新分配需求 允許遠端管理 NLB Host Ethernet LAN 單一 “ 虛擬 ” IP 位址
Network ? 虛擬 IP 位址 個別 IP 位址 NLB 工作方式 - 網路負載平衡
NLB 工作方式 - 主機間的溝通 通常配有二張網卡 也支援單一網卡 不提供 Multicast 支援 在專屬需求上沒有顧慮 Heart Beat 幾乎不 佔頻寬 每台主機約 1.5K bytes/sec IP: 網路卡 伺服軟體 NLB 服務 網路卡 伺服軟體 NLB 服務 Heart Beat
NLB 的應用限制 伺服器間複製資料 需配合 Content Replication Server 資料庫伺服器的讀 / 寫 需配合 Microsoft Cluster Service 啟動或停止應用軟體 偵測應用軟體伺服器的服務是否終止 需配合 SMS 或其他網路偵測工具
Microsoft Clustering 技術 Microsoft Cluster Service 後端式 clustering 提升重要應用系統的穩定與效能 SQL Server Exchange Server Network Load Balancing Service 前端式 clustering IP 負載平衡
Internet/Intranet 封包 NLB 服務 - IIS - VPN - NetShow Tier 1: 任何 IP-based 服務 Windows Clustering 應用 Microsoft Cluster Service Tier 2: 資料層
Windows 2000 Windows 2000 的分散應用系統架構Clients IIS Web Server or other IP-based or other IP-basedservices Network Load Balancing COM+Components Component Load Balancing (COM+) ApplicationServers Data Servers SQL, Exchange, File SQL, Exchange, File Cluster Server
NLB 服務是否需要特殊的硬體 ? 現學現用: NLB 服務是否需要二片網路卡 ? NLB 服務是否佔用大量網路頻寬 ? NLB 服務是否支援虛擬網站 ?
其他資源 Whitepapers - chnical/networking/ /techdetails/ Microsoft Official Curriculum Course # Designing a Microsoft Windows 2000 Networking Services Infrastructure