1

資策會網工班 81 期

MS LAB

第一組- IIIBM

ISA、VPN

學生：黃國庭

指導老師：劉家聖、戴有煒、楊宏文

2

目錄

簡介 .................................................................................................................................. 3

拓樸圖 ............................................................................................................................. 4

ISA Server 2006 ................................................................................................... 5

VPN .............................................................................................................................. 13

Q&A ............................................................................................................................. 15

心得 ............................................................................................................................... 18

3

簡介

來扶(Life)公司為傳統產業轉型之公司。在轉型之際，將公司

網路規劃交由 IIIBM.公司進行規畫架設。

原公司網路環境為單純工作群組，構造簡單且安全性極低，

並無法因應轉型後之需求，因此根據其需求並經由本公司規

劃，為來扶公司設計全新網路架構以符合公司的作業環境，

而在其公司新的網路架構中規畫添加 ISA 防火牆，並以 Back

to Back 架設方式增強安全性。且在總、分公司之間架設 VPN

通道以利於資料傳輸。

4

此為規劃後之拓樸圖：

10

5

ISA Server 2006

ISAServer2006 的特點：

1.網頁快取

2.控管進出內外部的網路流量

3.具備負載及容錯轉移能力

4.可以和 VPN 及 RADIUS 整合

ISA Server 架設流程

一、安裝 CSS：

（1） 先將 CSS 電腦加入網域(life.com)，並向 CA 申請憑證 (名稱為 CSS 的

FQDN：mcss.life.com )，安裝憑證，將憑證匯出存檔(含私密金鑰)

（2） 確認 CSS 信任 CA (網域成員會自動信任企業 CA)

（3） 安裝 CSS，安裝過程中選擇之前匯出存檔的憑證檔

6

（4）安裝完成後，建立前、後端 ISA Server 陣列，

1.後端陣列名稱 BArray，並在總公司內部DNS 新增 BArray.life.com 記錄，對應 IP

為虛擬內網卡 IP(192.168.1.200)

2.變更 CSS 的驗證方式：陣列BArray 內容→設定存放區→在 SSL 加密通道上驗證

3.前端陣列名稱 FArray，IP 為 192.168.3.100，其餘設定同後端陣列

7

（5）開放可以從 CSS 電腦來遠端管理兩個陣列內的 ISA Server：將 CSS 電腦

加入「企業遠端管理電腦組」（企業原則→工具箱→企業遠端管理電腦組）

二、後端 BArray 陣列的設定：

（1）變更 BISA1 及 BISA2 的電腦名稱：增加尾碼 life.com，並在內部 DNS Server

加入此兩筆資料

（2）在 CSS, BISA1 及 BISA2 電腦上互相 PING 彼此的 DNS 主機名稱， 確認

彼此可以透過內部的 DNS Server 得知對方的 IP

（3）分別在 BISA1 和 BISA2 上執行信任 CA 的步驟

8

（4）在 BISA1 和BISA2 安裝 ISA Server 服務：

在過程中需設定 CSS 的 FQDN、連接 CSS 的帳戶、加入已建立的 陣列 BArray，

並選擇透過 SSL 加密通道驗證，最後設定內部網路 IP 範圍

9

（5）將 BArray 的內部網路和外部網路之間的網路規則改為路由

（6）分別在BISA1 和BISA2 的本資安全性資料庫上建立鏡像帳戶 IntraArray，密碼相

同且永久有效

（7）在 CSS 電腦上將 BArray 陣列內部認證帳戶設為 IntraArray：陣列內容→陣

列內部認證→驗證使用此帳戶

10

（8）將 IntraArray 指定為允許監視陣列帳戶：陣列內容→指派角色→允許監視此陣列

的使用者→新增→「群組或使用者」中輸入 IntraArray→「角色」處選擇「ISA Server

陣列系統管理員」

（9）在 CSS 電腦上啟用後端BArray 的「網路負載平衡整合」

1.安裝 KB938550X：輸入 cscript kb938550x.wsf /array:BArray /nlb:multicast /net1:

內部 /net2:外部

2.等待 BISA1 和BISA2 同步後，啟用陣列 BArray 的「網路負載平衡整合」：內部虛擬

IP 設定為192.168.1.200，並等候同步

（10）在後端 ISA Server 陣列開放所需流量

三、前端陣列 FArray 的設定：

步驟基本同 BArray 陣列設定，但在安裝 ISA Server 服務前，須先在 FISA1 和

FISA2 的路由表內增加網內部網路的路徑（route -p add 192.168.1.0 mask

255.255.255.0 192.168.3.200），並確定 CSS、FISA1 和 FISA2 可以利用互 PING

對方 FQDN 來得知對方 IP

四、後端防火牆開放規則圖：

11

12

五、前端防火牆開放規則圖：

13

VPN

VPN 的特點

1. 讓分佈於各地的區域網路或使用者之間能夠透過網際網路來建立安全的私人

通道

2. 利用加密技術，讓封包在網際網路上傳遞，但是只有用戶端與服務端可以進

行解密

3.優點為成本較低、網路架構彈性較大、管理方便並可以提供高水準的

安全

VPN 的建構流程

一、在總公司前端防火牆陣列發行內部獨立根 CA 的網站，使得分公司的 VPN

Server 可以來申請所需的憑證以及執行信任 CA 程序

二、在總公司後端 BArray 陣列完成建立遠端 VPN 站台與申請憑證等工作

（1）建立遠端 VPN 站台 branch：選擇 L2TP、指定 BISA1 和 BISA2 都可發

放 IP 位址(IP 不可重複)、遠端 VPN 伺服器 IP 為 192.168.5.6、遠端驗證使用者

名稱為 main（本機帳戶）、設定網路位置、取消勾選遠端 NLB 中選項、規則用

預設值、存取規則用所有輸出流量

（2）點擊「定義位址指派」指定 WIN、DNS 伺服器，並指定將驗證工作轉給

RADIUS Server(需先將後端兩台 ISA Serve 的 固定 IP 位址加入到 RADIUS

Server 的 RADIUS 用戶端)

14

（3）在 Active Directory 內建立具備有”允許存取”撥入權利的撥接帳戶

branch，並給予「允許存取」的撥入權限

（4）替 BISA1 和 BISA2 申請及安裝所需憑證並確認已經信任 CA、重新啟動「路

由及遠端存取服務」

（5）設定讓 VPN 用戶端可以來連線：啟用 VPN 用戶端存取，並選用 PPTP

L2TP/IPSec，用戶端可以存取內部網路資源

（6）在前端防火牆開放及發行與 VPN 有關的規則（參考 ISA 前端防火牆規則

圖）

（7）在分公司的 VPN Server 建立遠端站台 main，申請憑證、並設定讓 VPN 用

戶端可以來連線 ISA Server，最後開放及發行與 VPN 有關的規則

15

Q&A

在建構防火牆以及 VPN 過程中遇到一些問題，茲將這些問題整理描述並提供解決辦法

如下

Q1.

在一開始的建置中，安裝完 CSS 並設定陣列後，在安裝 BISA1 的防火牆時會發生無法

安裝的錯誤，並且回到 CSS 查看陣列卻發現BArray 陣列會自動消失。

ANS.

當時安裝到這邊後，不管怎麼安裝都會失敗。但是相同步驟到別人電腦安裝卻成功的安

裝了，歷經了許多次的失敗以及上網尋求答案後，才由同組同學找到解答，原來 ISA 不

支援 3 核心甚至連 6 核心都不支援，所以解決之法便是從BIOS 關掉 2 顆核心，將 CPU

降成 4 核心，之後即可順利安裝。

16

Q2.

成功將總公司防火牆建立起來之後，明明一切正常，但過一段時間卻會發生前端或是後

端陣列無法同步的問題。

ANS.

這問題發生了好幾次，但是也找不出原因，基本上重開後就好了，但是過一段時機又會

再發生。最後更換一台主機並將每台 ISA 電腦記憶體增加為 1024MB 就好了，因此研判

應該是硬體問題，ISA 對於系統的要求在安裝時不用太高，但是使用一段時間後因為全

公司的電腦都要透過它因此會造成負擔過重而不同步。

Q3.

在建構過程中，有時候因為實驗需要，所以會將 ISA 的機器搬來搬去或是DC 重新安裝

而有了新的 CA，這時候會考慮因為憑證問題，是否需要重新安裝 ISA。

ANS.

這個問題也困擾我很久，後來是在之前學長的報告中找到答案，原來不用再重新安裝，

而是可以透過修復來將新的憑證再安裝進去 CSS 裡面

17

Q4.

VPN 使用 L2TP 進行連線時總公司可以連線到分公司，但分公司連線到總公司會失敗無

法連線。

ANS. 因為總公司有二道防火牆，雖然書上有提到 XP 解決辦法，但是 2003 也有可

能發生，所以在分公司的 ISA Server 加入 DWORD 的值，重新開機就可以正常連

線了。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec 中加入

AssumeUDPEncapsulationContextOnSendrule 的 DWORD 值並將其設為 2

18

心得

這次的 MS LAB，我有幸與另外兩位同學分到 ISA 的部分，在David 老師還沒開始

上課之前我便按照老師發的 SOP 來進行實驗了。但是中間卻遇到很多問題，像是因為

CPU 核心問題無法安裝或是其他的安裝問題，所以其實到了 LAB 開始的第 2 天我都還

沒真正的完整安裝過ISA，因此我們ISA組的同學便壓縮到了負責其他部分同學的進度。

尤其是第三天因為不明原因 ISA 無法安裝，經過小組討論之後就把網路架構整個砍掉重

練，一切歸零重來。那時候心情真的是五味雜陳，一方面時間已經不多了，竟然還要從

頭再來過；一方面又會覺得原本信心滿滿可以完成，但是現在卻又怕到時候LAB驗收時，

我們還沒完成該怎麼辦。就這樣，抱持著緊張的心情，我們 ISA 組的 3 位同學只有前兩

天有正常的睡眠時間，從第 3 天開始幾乎都是奮戰到最後，然後才一個一個倒下去，睡

不到幾個小時又起來繼續跟 ISA 搏鬥，中間還請了二、三組的同學來一起討論、幫忙。

後來雖然建構過程順利完成，但是卻在 VPN 連接以及規則開放的部分一樣遇到瓶頸，

尤其是 Exchange 加入後的規則卡了很久，到後來幾乎是整組 8 個人一起來幫忙 ISA 才

完成的，。

這次的 LAB，是我第一次接觸的大型實驗，以前念書的時候，就算大型的報告也不

用像現在這樣夜以繼日的全組奮鬥，所以讓我深深體會到團隊合作的重要性，如果沒有

團隊意識，而是人人只想做好自己的部分，我想 LAB 的困難度會提高很多，甚至可能會

失敗，畢竟我們的技術還不是很到位。經過這一個星期，我可以感覺出來大家的感情更

好，而且終於跨過了第一座高山，所得到的滿足感，我想是會讓我久久都難以忘懷的。