Duke的隨手札記

2015/06/06

架設企業內部的根憑證伺服器

Filed under: Windows Server — jj8113 @ 23:10:18

建置了 Active Directory 環境後,通常會與其他伺服器做整合。像是 Exchange Server、檔案伺服器等,或是其他需要由 Web 方式認證身分的 VPN 等服務能夠更安全的運作。因此還要再建置一部根憑證伺服器去頒發憑證,以憑證並且加密的方式去驗證使用者身分,如此才能使這些伺服器能夠正常使用加密安全的 SSL 服務,保障資料傳輸過程的安全性。

1.請勾選「Active Directory 憑證服務」:

2.請依照下圖設定:

 

3.請勾選「企業」:

4.請勾選「根 CA」:

5.由於本篇的範例是新建置,因此我們並沒有以前的私鑰,所以請選擇「建立新的私密金鑰」:

6.加密方式建議選擇「SHA1」,長度選擇「2048」以上:

7.這邊系統會自動帶入:

8.這邊可以選擇憑證的有效期限,建議選擇5年以上:

9.確認資料庫的儲存位置後,請點選「下一步」:

10.點選「下一步」後會自動開始安裝。安裝完成後請重新啟動伺服器:

如此,便完成了 Root CA Server 的建置,以後再讓提供服務的伺服器去向 Root CA Server 申請核發二級憑證,最後再將根憑證以 GPO 的方式派送到網域客戶端即可。

回首頁 回首頁

2015/04/24

申請免費的企業內部 SSL 憑證

Filed under: Windows Server — jj8113 @ 13:35:40

如果是公司的入口網站、購物或會員網站、電子郵件伺服器登入頁面等,只要是需要客戶或使用者輸入帳號、密碼或信用卡資料…等的機密、敏感資料的話,我們就可以考慮使用 SSL 憑證了。因為 SSL (Secure Socket Layer) 協定可以保證網站的機密敏感訊息從使用者瀏覽器到伺服器之間的傳輸受到高強度加密保障,較無法被駭客非法竊取、窺視及篡改,也能辨別網站之網域名稱確實為憑證申請者擁有,網站較不會被偽造或仿冒。

一般要採用 SSL 加密機制是需要有效的憑證。而這個憑證通常是公認憑證機構(例如: Symantec SSL(前身為 Verisign)、GoDaddy中華電信通用憑證管理中心等)為自己的網站簽發一個二級或三級憑證。其實我們在企業內部可以使用免費的內部企業憑證就足夠了,一般都是使用在 mail 或是網頁方面。以下就以 Windows Server 內建的 IIS 網頁伺服器向企業內部申請二級憑證為例!

1.請依照下圖依序展開樹系,並點選 IIS 的「伺服器憑證」:

2.請點選「建立憑證要求」:

3.請輸入您的公司資訊,以建立相關的憑證。然後會產生一個 .txt 的記事本檔案,這是根憑證所產生的加密金鑰:

4.在 IIS 伺服器上以瀏覽器開啟根憑證的主機網頁,向根憑證伺服器申請子憑證。這個步驟請點選「要求憑證」:

5.接著請點選「進階憑證要求」:

6.請再點選「用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求。」:

7.找到並開啟第三步所申請到的 .txt 加密金鑰檔案後請全部複製:

8.請將金鑰複製到下圖1的位址,並選擇「網頁伺服器」後再點選「提交」:

9.請再點選「下載憑證」:

10.請點選「完成憑證要求…」,然後在 https 綁定新申請的憑證:

11.也不要忘記開啟網頁需要 SSL 的協定:

12.最後再以客戶端的瀏覽器後開啟 https 進行測試,沒有憑證錯誤的提示訊息,表示憑證是可用且正常且是未過期的:

另外,憑證通常也會簽署在安裝程式、驅動程式,讓使用者方便辨識這個應用程式是否有被修改過。雖然數位簽章曾經被偽造,無法保證100%的絕對安全,但還是有高度的安全性可以信賴:

回首頁 回首頁

2015/04/18

使用 Windows Server Backup 備份伺服器

Filed under: Windows Server — jj8113 @ 06:49:28

一直以來,Windows 無論是個人系統或伺服器系統,內建的備份程式因為自訂性不高,因此一直都為人所詬病,直到 Windows Server 2008 R2 開始的內建 Windows Server Backup,總算讓人有比較好用的觀感了! 以下就是筆者用排程的方式去完整備份伺服器的簡單說明。

1.點選右邊窗格的「備份排程」:

2.點選「下一步」:

3.選取「完整伺服器」後再點選「下一步」:

4.筆者這邊設定為上午3點進行備份。因為這個時間在企業內應該比較少人在使用電腦,選在此時備份的話,伺服器的負擔及影響會比早上來得少:

5.這邊筆者依自己的習慣選「備份到磁碟區」,也就是將備份的映像檔存到另一個分區。當然,我們也可以備份到虛擬磁碟中(VHD):

6.選擇存放映像檔的磁區後再點選「下一步」:

7.再次確認:

8.備份完成! 以後每天上午3點都會自動進行完整備份:

回首頁 回首頁

2015/04/15

簡單設定 Exchange Server 郵件伺服器

Filed under: Windows Server — jj8113 @ 08:06:05

建置 Exchange Server 郵件伺服器 這篇網誌中,筆者已經簡單介紹了以單純的環境去建置 Exchange 2010 郵件伺服器了。接下來的這一篇就我們就做個簡單的紀錄,主要是說明如何做初步的設定,才能讓郵件伺服器能夠正常提供企業內部服務為主。

1.請先依照下圖做初步的設定:

2.這一步主要是選取郵件伺服器的主要用途,通常都是企業內部使用比較多。如果有付費向ISP申請網域名稱以及憑證的話,也可以對外提供服務:

3.設定可以存取這部郵件主機的 IP 範圍:

4.除了「匿名使用者」外,其他的建議全部勾選。不勾選「匿名使用者」的主要考量是為了安全性,因為可以不用網域帳號登入就可以收發信,真的是太危險了:

5.開始新增使用者

6.依實際的需求來選取要新增信箱的項目:

7.因為筆者這邊是直接從網域去新增網域帳戶,因此新增使用者的步驟非常輕鬆(多筆新增的時候,別名會出現亂碼。這個部分我們可以透過 Exchange Management Shell 去下指令解決):

8.以 Office Outlook 內部測試收發郵件成功:

9.因為 Exchange 強制使用 SSL,因此我們以瀏覽器登入 OWA,網址會是「https:\\您的網域名稱\owa」。下圖是筆者已建立企業內部可信任的 SSL 憑證,因此在存取 https 網頁時沒有任何關於憑證錯誤的提示(請記得要先設定派送憑證到客戶端):

10.請記得先一定要為 OWA 建立可信任的憑證,否則客戶端「每次」無論是以瀏覽器登入 OWA,或是以 Office Outlook 的方式去登入,都會提示憑證錯誤的訊息,如下圖:

11.其實登入方式可以改為用使用者帳號登入即可,不需要在前面加上網域名稱。只是筆者在擷圖前還沒做到這個設定:

回首頁 回首頁

2015/04/14

建置 Exchange Server 郵件伺服器

Filed under: Windows Server — jj8113 @ 16:29:54

建置 Exchange Server 稍微特殊一點,除了建議安裝在另一台獨立的伺服器以外,它也必須要在 AD DS 環境底下,也就是說它必須加入網域後才能開始建置。接著也必須要具備以下的所有條件才符合安裝需求:
.NET Framework 3.5 Service Pack 1 (Windows Server 2008 R2 內建,無須下載及安裝)
Windows PowerShell 2.0 (Windows Server 2008 R2 內建,無須下載及安裝)
Microsoft Filter Pack (集線傳輸角色需要)
Ldifde.exe (集線傳輸、用戶端存取、信箱等角色皆需要)
Net.Tcp 連接埠共用服務設為「自動」 (用戶端存取角色需要)
擴充 AD Schema
安裝 IIS 相關角色服務(「靜態內容」、「預設文件」、「ASP.NET」、「.NET 擴充性」、「ISAPI 擴充功能」、「ISAPI 篩選器]「基本驗證」、「Windows 驗證」、「摘要式驗證」、「要求篩選」、「靜態內容壓縮」、「IIS 6 Metabase 相容性」、「IIS 6 管理主控台」)

有這麼多繁雜瑣碎的準備工作及步驟,光是安裝且不含設定可能就要一兩個小時以上了吧… 因此,筆者建議可以把最主要的 .NET Framework 3.5 SP1、Microsoft Filter Pack 下載回來後,再用命令去安裝,重新開機兩次以後,就可以用光碟安裝完成了。以下就是筆者以 Windows Server 2008 R2 安裝 Exchange Server 2010 的小記錄。

1.安裝 Microsoft Filter Pack、Windows PowerShell 2.0(也可以不裝)。

2.輸入 sc config NetTcpPortSharing start= auto,將「Net.Tcp Port Sharing Service」這個服務設為自動啟動的命令(預設是停用)。並且再輸入 ServerManagerCmd 的命令去調用 Exchange 光碟中的 Exchange-Typical.xml 檔案:

3.首次執行 Windows PowerShell 時,必須先輸入「Set-ExecutionPolicy RemoteSigned」修改安全性的預設值,否則命令將會失敗。請參考下圖的兩串命令(帶有 PS 字樣的第三、第四行),輸入完成後請重新啟動伺服器:

4.如此,前置工作就完成了。已經可以開始用 DVD 或映像檔安裝了:

5.如果沒有打算對外服務,也沒有付費申請網域名稱及憑證的話,可以先略過,直接下一步:

6.Exchange 正在檢查是否符合安裝需求,可能會需要一點時間:

7.開始安裝 Exchange。這邊可能就會需要比較久的等待時間:

以上就是簡單的建置 Exchange Server 郵件伺服器。關於簡易設定的部分請參考 簡單設定 Exchange Server 郵件伺服器

回首頁 回首頁

2015/04/11

限制 Domain Users 權限不能加入、退出網域

Filed under: Windows Server — jj8113 @ 07:29:44

為什麼要限制 Domain Users 權限不能加入網域呢? 因為加入網域後可以存取企業資源,如果是私人帶筆電來公司加入網域,敏感資料容易被竊取,因此將加入網域的權限提高到 Domain Admins,或是僅有特定的網域帳戶才能協助加入網域,以便達到過濾的目的。

且這麼做還有一個好處,就是防止使用者私自退出網域,不受控管。退出網域基本上算是非常不好管制,因為只要有本機 Administrator,或是 Domain Admins、Enterprise Admins 其中一種權限就可以退出… 這種情況非常少,但如果客戶端有這些權限(最高的機率是擁有本機 Administrator),就可以私自退出網域。本篇的目的是必須要由網管人員代為加入,或多或少都可起到警惕的效果,因為人家知道你會這麼做。以下就以 ADSI 編輯器為例,將 Domain Users 預設能加入10部電腦到網域的次數改為0,也就是沒有權限可以將電腦加入網域。

※Windows Server 2000、2003 需要在 Winodws 原版安裝光碟中的 SUPPORT\TOOLS 中提取並安裝,才有 ADSI 編輯器。也可以在微軟網站上下載: http://www.microsoft.com/en-us/download/details.aspx?id=16770

1.開啟 ADSI 編輯器(adsiedit.msc)後,依序點選「執行」→「連線到」:

2.選擇您要管理的 DC 後,再點選「確定」:

3.選擇「DC=xxxx,DC=xxx」的網域控制站後再找到「ms-DS-MachineAccountQuota」。將預設值從10改為0即可:

4.我們最後再從客戶端測試加入網域,成功收到了「超過上限」的錯誤訊息:

回首頁 回首頁

2015/04/10

使用批次檔大量建立網域帳戶

Filed under: Windows Server — jj8113 @ 14:36:29

在大量建立網域帳戶是件非常累人的事情,因為每個帳戶光是要點選這麼多的視窗,不僅手都快抽筋,且還會耗費大把時間… 因此,如果我們是在 DC 上以批次檔的方式去新增,最少會簡單一些。為什麼呢? 因為是在記事本裡面編輯,自然快速多了!

以下就是簡單的命令,可以自行編輯:

dsadd user CN=70980,OU=資訊室,DC=cycu,DC=local -display 謝XX -pwd !Ab12345678 -canchpwd no -pwdneverexpires yes -upn 70980@cycu.edu.tw

CN (帳號)為: 70980。使用者登入方式為 CYCU\70980

OU (組織)為: 資訊室

DC (網域)為: cycu.local

-display (使用者登入顯示名稱)為: 謝XX

-pwd (密碼)為 !Ab12345678

-canchpwd no: 勾選「使用者不能變更密碼」

-pwdneverexpires yes: 勾選「密碼永久有效」(預設是no,密碼會過期)

-upn (使用者登入名稱方式)為 70980@cycu.edu.tw

在 DC 上,我們可以看到網域帳戶已建立成功:

客戶端也能夠正常登入上面所建立的 70980、謝XX 的網域帳號,且名稱也正常顯示:

回首頁 回首頁

2015/04/01

以 Windows Server Update Service 提供內部主機更新

Filed under: Windows Server — jj8113 @ 23:07:15

絕大多數的企業內部客戶端電腦,都是以 Windows 作業系統為主。而微軟每個月的第二個禮拜,均會為旗下的作業系統及其他產品釋出安全性修補程式。為了防止病毒跟木馬的侵略,定期安裝修補程式,是大家早已耳熟能詳的事。若作業系統幾乎都是 Windows XP 倒還好,因為已經停止更新了! 但若有100部 Windows XP 以上系統的客戶端(甚至更多)都連線到微軟的伺服器去下載動輒數十、數百MB的更新檔,這樣頻寬肯定會被消耗殆盡。因此,我們只要架設一台 Windows Server Update Service(WSUS) 伺服器,由這部主機負責下載及派送,就可以達到節省頻寬的需求了。架設 WSUS 主機的好處是節省對外頻寬,並保持網路暢通,又可提升內部的資訊系統安全性。

建置 Windows Server Update Service 主機的前置工作如下:

1.AD 環境+DC 主機一部或多部

2.WSUS 主機一部(可存取網際網路)

假設我們將這台 WSUS 主機的靜態 IP 位址設為 192.168.1.3,並先將其加到網域中。這樣所有的前置工作就完成了! 接著就開始簡單的說明。

1.開始建置 Windows Server Update Service 主機:

2.這個步驟會彈出 Windows Server Update Service 安裝精靈,沒什麼特別好說明的,下一步就好了:

3.Windows Server Update Service 建置完成後,下圖的步驟絕對不能被忽略,否則客戶端電腦會收不到更新:

4.回到 DC 後,以 GPO 修改原則,讓客戶端的電腦可以自動更新:

5.同樣是在 DC 上做設定,這邊是設定什麼時間開始安裝更新(通常建議是假日的深夜,實際情形則依產業別去自行做設定):

6.同樣還是在 DC 上做設定,這邊是設定更新的主機是區域網路中的哪一部:

設定完成後,就可以只有一部主機下載更新檔,但其他內網的所有客戶端電腦也可以更新了!

回首頁 回首頁

刪除 AD 中被保護的物件

Filed under: Windows Server — jj8113 @ 20:58:07

在網域控制戰中,新增部分物件時,伺服器預設值是勾選「保護容器以防止被意外刪除」。這個立意絕對是好的,就怕一些規則被刪除要重建是會很花時間的。

但如果有的時候,一些東西其實已經沒有存在的必要了,但又刪除不了的時候,真的是很礙眼… 以下就簡單介紹刪除的方法。

1.開啟網域控制站後,依序點選功能錶的「檢視」→「進階功能」:

2.點選欲刪除的物件後再點選「內容」:

3.將「保護物件以防止被意外刪除」的勾選取消後,再點選「確定」:

如此就可以刪除物件了,非常的簡單。對於有潔癖的管理員來說,是件值得開心的事。

回首頁 回首頁

2015/03/29

解決無線網路在 Windows Server 2012 預設無法使用的問題

Filed under: Windows Server — jj8113 @ 00:15:34

前兩天在做 Windows Server 2012 R2 的 AD 的時候,用的是另一部主機。該主機由於場地的關係,因此是用無線網路卡。

AD 服務啟動了以後,再建置 DC 的時候,由於 Windows Server 2012 R2 會偵測 TCP/IP 通訊協定是否正常,沒想到此時出現了錯誤訊息。查看了一下發現是沒有具備連線能力… 本來想說這個問題應該很簡單,只是驅動程式的小問題而已。但進入裝置管理員看到有偵測到無線網路卡,且是正常的,重新裝了網路卡的驅動程式後依舊無效,只得上網找解決的辦法了… 後來發現了微軟知識庫,上面是寫說需要啟動無線網路的服務,果然啟動服務後再重開伺服器就可以了!

以下是透過UI的簡易解決步驟:

1.在「伺服器管理員儀表板」中,點選「管理」,然後點選「新增角色及功能」。「新增角色及功能精靈」隨即開啟

2.按「下一步」。在「選取安裝類型」中,選取「角色型或功能型安裝」,然後按「下一步」

3.在「選取目的地伺服器」中,啟用「從伺服器集區選取伺服器」,然後在「伺服器集區」,選取您要啟用無線區域網路服務的伺服器,然後按「下一步」

4.在「選取伺服器角色」中按「下一步」

5.在「選取伺服器功能」的「功能」中,選取「無線區域網路服務」,然後按「下一步」  

上述的步驟是透過使用者介面的方式去開啟「無線區域網路服務」。我們也可以使用 Dism 的命令去開啟 WirelessNetworking 功能,以使服務順利被啟動。

回首頁 回首頁

2015/03/27

以群組原則設定網域使用者擁有 Local Administrator 權限及修改密碼

Filed under: Windows Server — jj8113 @ 02:08:05

首先,因為網域使用者帳號預設是放在DC的「網域名稱→User」底下,而這個「User」並無法直接設定群組原則(Group Policy)。此外企業內的電腦通常會因各種因素而有不同的管理需求,所以應該要建立不同的OU來做管理。簡單的來說,我們可以先在「群組原則管理」(gpmc.msc)中的「群組原則物件」建立一些符合需求的原則,然後建立各部門的OU,最後再依實際需求將「群組原則物件」複製到那個OU去(或是直接在OU裡面新增原則),比較能符合現實層面的管理。

一、賦予權限: 讓網域內的特定使用者擁有本機 Administrator 帳戶權限:

那如果要讓某位網域使用者 (假定為 CYCU\TEST1) 具備某一個OU下所有成員電腦中的系統管理員權限,若直接將這個 CYCU\TEST1 加入 Domain Admins 群組雖是最快的方式。但如此一來,這個 CYCU\TEST1 就具備了管理網域的權限,這樣權限絕對是過大了。因此建議的作法是在OU底下使用群組原則中的「受限群組」來將網域使用者加到 Administrators 群組織中,以後客戶端就可以使用 Administrator 這個管理員帳戶登入自己的電腦。操作的方式請參照下圖:

二、收回權限: 每次開機時修改網域內使用者的本機 Administrator 帳戶密碼:

雖然上面介紹了如何給 Local Administrator 權限,但筆者還是不太適合,因為那樣真的就有點失去 AD 的意義了,每個人都不受控制… 其實不給 Local Administrator 最主要的用意是在於防範使用者被賦予該部電腦的最高管理權限,可能導致中毒時去攻擊其他網域內的電腦,所以為了安全性,不開放才是比較好的做法啊…

那有什麼好方法可以管理 Local Administrator 帳戶的權限呢? 如果公司政策支持的話,網管人員最簡單的做法就是寫一個 vbs,如此就可以修改網域內每部電腦的 Local Administrator 密碼,然後統一保管,並要求使用者必須以網域帳號登入。以下的範例是修改 Local Administrator 的密碼為 12345678(如果 AD 裡面設定密碼必須複雜化,則這個 vbs 可能不會修改客戶端 Local Administrator 帳戶密碼):

strComputer = "."

Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")

objUser.SetPassword "12345678"

objUser.SetInfo

1.在OU底下使用群組原則後再依下圖操作:

2.點選「顯示檔案」:

3.將第一步修改密碼的 vbs 放進去後即可讓使用者在登出後自動執行:

4.上述兩種原則設定完成後,如果想立即讓網域底下的電腦生效,請在 DC 上輸入「gpupdate /force」:

回首頁 回首頁

2015/03/26

在網域中限制網域使用者做某些事情

Filed under: Windows Server — jj8113 @ 17:44:05

在網域中還有一個重要的功能,就是限制網域中的使用者去做某些事情,讓使用者幾乎只能做一些基本的事情。這篇網誌的內容僅為記錄,及簡單的介紹如何限制網域中使用存取 USB,防止敏感資料外洩。

1.開啟網域控制站後,點選網域名稱,並以滑鼠右鍵依序點選「新增」→「組織單位(OU)」:

2.輸入這個組織的名稱:

3.點選在第二步所建立的組織中,以滑鼠右鍵依序點選「組織名稱」→「新增」→「使用者」:

4.在這個容器中建立要被管制的網域使用者帳號:

5.輸入 gpmc.msc 後會開啟群組原則管理,這時候請在第2步所建立的名稱上以滑鼠右鍵點選「在這個網域中建立 GPO 並連結到」以建立原則:

6.請依照下圖點選。這邊的範例是限制使用 USB 裝置:

6-1.請依照下圖點選。這邊的範例是限制不能安裝部分軟體,或是禁止在某個路徑安裝軟體(Domain Users 本身就沒有安裝軟體的權限,因此這一個步驟是給 Domain Users 以上的權限用戶適用):

7.原則設定完成後,如果想立即生效,請在 DC 上輸入「gpupdate /force」:

回首頁 回首頁

備份、還原 AD、DC

Filed under: Windows Server — jj8113 @ 12:24:29

閱讀本篇前,請先瞭解一件事,那就是最保護 AD 資料庫安全的作法,應該是要有第二部 DC 來複寫第一部 DC 的資料庫(GC、DNS),兩部互相備援。如果第一部 DC (或是擔任五大角色的 DC) 掛點導致無法開機,由於 DC2 保有 DC1 的資料庫的關係,我們應該要立即在正常的環境(不是目錄還原模式)下登入 DC2 (或備援的 DC) 去奪取 AD 五大角色。然後以命令刪除 DC1 的相關資料。此時,DC1 無論用任何方式復原成功後都絕對不能再上線了 (DC1 若上線會以為自己還保有五大角色,進而導致衝突。讓 AD 環境錯亂,甚至 AD 資料庫損毀)。只能將 DC1 格式化重新安裝,然後加入網域,才是最安全的做法。

上面提到的是正常情況下,同時有兩部 DC 可以相互備援的正規作法。但如果現在經費拮据,只有一部 DC,也是可以在深夜大家下班時間用 Windows Server Backup 做單機備份(第一次須完整備份,第二次可設為增量備份)整個系統及 AD 資料庫的方式來進行。以下介紹為備份整個磁區及所有設定,並不僅限於備份在 AD 所建議的網域使用者而已。當然,AD 的資料庫、記錄檔、SYSVOL 的內容存放在哪邊,也必須要先查清楚,才不會沒備份到。

另外,如果 AD 主機硬體升級或是新購了一台硬體配置較高的主機,以筆者的備份方式,也可以讓整部 AD 主機無痛轉移。只是缺點是這部 AD 可能需要停機一個小時左右就是了… 當然,如果只是日常的系統、資料備份,那大可以設定排程備份,在深夜的時候自動執行就好了。

其實不光是 AD,DC、Exchange 等,只要是 Winodws Server 都可以用這種方式來做復原。簡單的來說,要管理得好、運作穩定,就是只能勤於備份了。

1.首先我們看到網域的使用者帳戶共有 TEST1、TEST2 兩個網域帳戶:

2.接著我們開始做整個磁區的備份動作,建議是備份到如 NAS 上。如果公司沒有 NAS,那就備份到另一個槽或是存到其他硬碟裡吧:

3.備份完成後,我們來測試一下。這邊筆者又另外加入了 TEST3、TEST4 兩個網域帳戶。也就是現在已經變成了 TEST1、TEST2、TEST3、TEST4 四個網域帳戶:

4.開始還原:

5.還原完成後又變回只有 TEST1、TEST2 兩個網域帳戶:

上述以網域使用者的方式來表現,只是為了可以呈現確保 AD 主機的設定可以被完整備份及還原而已。更重要的是購入新主機的時候也可以無痛轉移,是挺好的備份方式。購入新主機的並需要做轉移的時候,絕對是需要手動操作的,所以停機可能在所難免…

回首頁 回首頁

2015/03/25

以 Windows Server 2008 為例,建置 AD、DC 並新增使用者、設定隸屬群組

Filed under: Windows Server — jj8113 @ 15:34:31

在中型以上的企業,通常會架設一部 Active Directory 伺服器做管理,而這部 AD 建置完成並重新啟動伺服器後,需要手動將自己變成網域內的第一部網域控制站(Domain Controller,簡稱: DC)。通常我們都會擔心機器掛點,因此會再有一部 DC2 當作備援。而架設 AD 的好處是因為如郵件伺服器 Exchange Server 或 NAS 權限設定、硬體防火牆,或是其他服務也能與 AD 做連結並達到與網域帳號權限的目的,讓使用者以一個網域帳號就可以使用多項服務。而對於網管人員來說,也可以群組原則來限制使用者做出如私自安裝軟體、私接USB複製資料等危害公司行為。以下就做一個簡單的架設及新增網域使用者為範例,也順便做個小記錄。

開始建置 DC 以前,請先依照網路架構去將網路卡設為靜態 IP 位址,DC 主機切勿使用 DHCP 的方式取得 IP 位址:

‧Class A: 10.xxx.xxx.xxx

‧Class B: 172.16.xxx.xxx

‧Class C : 192.168.xxx.xxx

建置完成後,如有其它伺服器要加入 AD 時,請給予靜態 IP 位址(如: 172.16.1.2)。或是客戶端要加入網域時,請先將客戶機的 DNS 指向 DC 主機,以便解析到 DC 後才能夠順利加入網域。下圖為客戶端的 IP位址設定,採 DHCP 方式,以免使用者動到 IP 設定,導致 IP 衝突:

1.點選「角色」→「新增角色」:

2.點選「下一步」:

3.勾選「Active Directory 網域服務」後再點選「下一步」。這邊請勿先勾選「Active Directory 憑證服務」,否則將會導致無法將這部伺服器變為網域控制站:

4.繼續點選「下一步」:

5.點選「安裝」:

6.正在安裝,可能會需要數分鐘的時間,可以喝杯茶、上個洗手間:

7.點選「關閉」:

8.上述的過程已經將 Active Directory 環境架設完成,但我們還需要接著安裝網域控制站(DC)。這時候請點選右邊窗格的「請執行 Active Directory 網域服務安裝精靈 (dcpromo.exe)。」:

9.點選「下一步」:

10.再繼續點選「下一步」:

11.依需求選擇功能後再點選「下一步」:

12.輸入網域名稱後,我們接著瘋狂的再點選「下一步」。下圖的範例是不正確的! 其實應該要輸入 cycu.local 才對,因為如果內部的網域名稱與外部的網域名稱相同的話,使用 nslookup 指令就會被查出企業內部的 IP 位址。且如果有提供對外如 mail 服務的話,DNS 解析容易發生問題:

13.選擇樹系功能等級後再點選「下一步」:

14.不解釋… 「下一步」:

15.設定資料庫、記錄檔、SYSVOL 存放的位置(不建議是C槽,這邊僅為範例),然後再點選「下一步」:

16.輸入「Domain Admin」的密碼後再點選「下一步」:

17.點選「下一步」:

18.上述的步驟也已將網域控制站(DC)架設完成,接著我們要新增網域使用者。點選「系統管理工具」→「Active Directory 使用者和電腦」:

19.請看下圖的設定。屆時網域使用者要加入並需要登入網域時,必須要輸入「CYCU\12345678」,也就是網域名稱+網域使用者名稱:

20.設定密碼完成後,通常我們會把這個使用者的群組歸在 Domain Users,主要是使其成為受限制的成員,例如不能安裝軟體等。當然,如果項部門主管需要自行安裝軟體的話,則權限當然要提升到 Power User 群組(需自行建立)。但若是老闆或的話,其實筆者也不知道該不該設為 Domain Admins 群組… 但最少管理員自己絕對是 Domain Admins 這個群組就是了:

回首頁 回首頁

2015/01/16

快速加入網域,並自動將網域帳戶加到本機

Filed under: Windows Server — jj8113 @ 10:51:31

先前筆者在幫客戶端加入網域的時候,除了要一步一步的點選為數不少的步驟外,加完網域後又得以本機管理員帳戶登入去設定共用資料夾與印表機。如果只做幾台的話,或許算還好而已。但如果要做很多台電腦的時候,這反反覆覆的動作,不僅浪費時間,更是會被瑣碎的雜事給耽誤了其他工作…

因此筆者撰寫了簡單的批次檔。如此一來,就可以很簡單的幫客戶端加入網域,且會自動將網域帳戶權限設為自己想給予客戶端的群組,例如 Users 群組。下圖則是依照當時的環境,給予 Administrators 群組權限:

回首頁 回首頁

2013/09/02

取消 Windows Server 2003、2008、2012 的關機事件追蹤器

Filed under: Windows Server — jj8113 @ 09:59:15

Microsoft 的服器作業系統(Server 2003、Server 2003 R2、Server 2008、Server 2008 R2、Server 2012、Server 2012 R2)基於謹慎的立場,在每次關機時均會彈出「關機事件追蹤器」視窗,並要求填寫關機或重新啟動的原因。這樣的用意是在於日後若出現問題時,IT 人員可以用最快速的方式來調閱當時伺服器下線的原因,如下圖:

而且就算是無預警的斷電關機、重新啟動,在 IT 人員重新啟動伺服器後,還是會彈出「為什麼電腦意外地關機」的視窗,並同樣要求填寫意外關機的原因,如下圖:

不得不說,這樣的立意甚好,不然怎麼當機的都不知道… 但對於像筆者建置部分的伺服器只是為了實驗性質的人來說,常常關機讓伺服器下線絕對是肯定的。因為筆者並沒有任何依賴網站的收入來源,所以自然無法抵銷電費、額外線路的支出… 當然上面關機所彈出的詢問視窗,對於筆者來說,不啻是個煩人的問題。其實我們只要複製並匯入以下藍色的登錄機碼,即可取消 Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 這項「貼心」的功能,還給像筆者這樣玩家型的伺服器一個簡便且習慣的關機模式。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability]

"ShutdownReasonUI"=dword:00000000

"ShutdownReasonOn"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

"disablecad"=dword:00000001

回首頁 回首頁

2013/05/26

取消 Windows Server 2003 的遠端桌面連線僅能2人的限制

Filed under: Windows Server — jj8113 @ 05:20:59

在閱讀本網誌之前,筆者衷心建議,伺服器若要開啟遠端桌面,請務必限制IP,切勿以預設值開放所有IP,如下圖:

筆者在先前已經介紹過讓 Windows XP Service Pack 3 的遠端桌面支援網路層級驗證了,有興趣的朋友不妨可以先看看。在 Windows Server 2003、Windows Server 2008、Windows Server 2012 遠端桌面的預設值,都允許兩位以相同的使用者名稱同時登入伺服器,但在單機個人版的部分(如: Windows XP、Windows 7),不僅只能以不同的使用者名稱登入,且僅允許一個使用者遠端登入,這是比較可惜的一件事… 但單機版作業系統的限制還是可以取消的! 只是沒辦法像伺服器版的作業系統可以用同樣使用者名稱登入就是了!

有的時候網管可能會需要以遠端桌面的方式去排除伺服器的種種問題,但這個 IT 部門也有可能是個團隊,所以都知道這部伺服器的帳號及密碼。但如果超過兩個人同時連線(或是直接關閉遠端桌面視窗,而未以登出方式),第三位網管欲登入伺服器時就會出現以下訊息了:

其實這個時候我們只要以 UltraEdit 去修改 C:\Windows\system32 底下的 termsrv.dll,就可以輕鬆突破限制2人登入伺服器的限制了! 當然,微軟限制僅能2人,除了基於安全性外,筆者真的想不到了! 其實盡可能的,還是關閉遠端桌面功能,或是將 3389 遠端桌面的連接埠改為其它的連接埠,這樣較能提升安全性。首先,我們以 UltraEdit 開啟 termsrv.dll 後,尋找 8B FF 55 8B EC,並將其改為 31 C0 C2 04 00 後另存新檔:

最後再將剛剛修改過的 termsrv.dll 複製到 C:\Windows\system32 底下去取代原檔,當然,取代前請務必記得備份原檔! 另外,取代的方式應該無須筆者贅述了,相信會看本篇的朋友,電腦程度絕對都已有基本的功力,因此這邊筆者就不再著墨了! 最後,請將您的伺服器重新啟動後,再試試看3人以上一起連線到這部伺服器吧! 相信這樣可以對大家在處理問題時都會有更好的效率!

回首頁 回首頁

2013/05/19

簡易偽裝作業系統,變相增強安全性(二)

Filed under: Windows Server — jj8113 @ 07:46:38

簡易偽裝作業系統,變相增強安全性(一)中筆者提到了在 Windows 內建防火牆中關閉 ICMP 協議以防止伺服器被 ping。除了伺服器本身可以減少回應 ping 請求的頻寬以提升效能外,還可以塑造伺服器已下線的假象,從而提升安全性,本篇筆者就繼續簡介如何關閉 ICMP 協議吧!

其實在 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 的環境下,內建防火牆的預設值都不會被 ping,因為功能稍微增強了! 僅有在 NT 5.x 的防火牆預設值才會被 ping。所以我們必須要針對 Windows XP、Windows Server 2003 來做調整。當然,若您的伺服器已經安裝了其它的防火牆,就會取代作業系統內建的防火牆! 而現在的防火牆,不須做調整,都會拒絕 ping 的請求,且功能相較系統內建的防火牆來說,真的是強大不少。以下我們就以 Windows Server 2003 為例!

進入「控制台」後選擇「Windows 防火牆」:

切換到「進階」標籤後再點選「設定值(E)…」:

將「允許傳入的回應要求」的勾選取消後即可:

值得注意的是,若「允許傳入的回應要求」是反白的,您無法手動取消時,請先關閉 139、445 連接埠後,再取消勾選即可。關閉 139、445 連接埠後會造成「檔案及印表機」無法共用,但伺服器本來就需要追求安全,關閉不需要的功能,僅提供它該有的服務即可。

另外,從 Windows 7 開始,內建防火牆的功能有著大幅度的提升,系統預設值是不能被所有電腦 ping 的,無論是內網或外網都一樣。若要讓本機能被 ping 通,請依序點選「控制台」→「所有控制台項目」→「Windows 防火牆」→「進階設定」→「輸入規則」,接著再點選右方窗格中的「檔案及印表機共用 (回應要求 – ICMPv4-In)」,將其改為「啟用規則」:

下圖第一次 ping 是系統預設值,未改變防火牆規則。第二次 ping,則是允許「檔案及印表機共用 (回應要求 – ICMPv4-In)」,已經可以被 ping 通了:

回首頁 回首頁

2013/05/17

簡易偽裝作業系統,變相增強安全性(一)

Filed under: Windows Server — jj8113 @ 19:43:12

當網路不暢通時,我們通常都會習慣以 ping 指令來去嘗試排除問題。若 ping 不通時,不見得是網路故障,而是有可能是防火牆拒絕 ping 請求,從而減少因返回 ping 請求的頻寬。更重要的是,讓比較不精明的駭客誤以為這部伺服器已下線,或是已不存在。當然,還會有些駭客以 TTL 的返回值來判斷伺服器的作業系統。筆者這邊就順便說一下 TTL 的值所代表的意義吧:
TTL=32,代表 Windows 98
TTL=64,代表 LINUX 2.2X/2.4X
TTL=128,代表 Windows NT/2000/XP/7/2008/8/2012
TTL=255,代表 UNIX/BSD

當然,此種方法是非常基礎的欺敵方式,還是建議使用防火牆禁止 ICMP 協議(Windows 7、8 內建防火牆已禁止 ping),來實現拒絕 ping 的動作才是比較正規的作法,這個部分在下一篇網誌中會提到。至於如何修改 TTL 的返回值呢? 只要將下方紅字的部分另存為 *.reg,匯入後重新啟動您的電腦即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]

"DefaultTTL"=dword:00000255

完成,如下圖所示:

筆者此次 ping 的主機作業系統是 Windows XP,因此應該是128,也就是第二次 ping 所返回的 TTL=120(近似值)。第一次則是修改為 UNIX/BSD,所以返回的 TTL=247(近似值)。是不是個非常簡單的詐欺方式呢?

回首頁 回首頁

2012/09/29

架設代理伺服器,突破網站封鎖

Filed under: Windows Server — jj8113 @ 15:51:35

當我們連上網際網路時,電腦與電腦之間是透過IP相互連結的,且每部電腦對外都有一組實體IP位址。若您所架設的網站不願意讓某些國家的IP連上的話,我們就可利用「封鎖IP」的方式來將對方電腦來做阻擋的動作。但相反過來,若您的IP不幸被特定的網站擋掉了,其實我們就可以利用掛 Proxy 的方式來改變連線途徑,透過這些中繼電腦來突破網站對我們的封鎖。但 Proxy 的功能也不僅僅於突破網路封鎖而已,另外還有加快網站瀏覽速度、過濾不良內容…等用途,而 Proxy 的種類也有很多種。在突破封鎖這部分,Proxy 也並非是萬能的,若某些網站連常用的 Proxy 主機或類似的跳板機制也都封鎖掉的話,您換再多個 Proxy 也是無濟於事。但要特別注意的是,並非所有的 Proxy 都是安全的,有些 Proxy 可能會偷偷紀錄您的上網內容,搞不好有些比較惡質的 Proxy 還會竊取您的帳號、密碼或信用卡號碼,這些都不是我們可以察覺或防範的。若您擔心 Proxy 的安全性,建議只用來做瀏覽用途,不要拿來登入網站、收發郵件等,更不要透過 Proxy 來做線上購物或網路銀行…等動作。介紹完了以後,我們就開始架設代理伺服器吧!

若您覺得時常尋找可用的代理伺服器是一件非常麻煩的事,那本篇筆者就告訴您如何自行架設 Proxy Server。首先,我們需要的工具是由 Hand-Crafted Software 所開發的免費工具: FreeProxy。下載完成後請先解壓縮,然後在伺服器端中直接安裝。

FreeProxy 4.1 Build 1541 免費版:

http://www.handcraftedsoftware.org/download/freeproxy.zip

安裝完成後,請開啟主程式,並在「Users」的地方連按兩下滑鼠左鍵以開啟設定介面:

在「Client Port」的地方自訂連接埠後再點選「Done」:

無須理會警告,請直接點選「是」:

再次回到主介面後點選工具列最右邊的「Start/Stop」:

點選「Start」開啟服務後再點選「OK」:

如此一來就完成 FreeProxy 的設定了,接下來請開啟 Windows 內建防火牆或防毒軟體附加的防火牆,或者是自行安裝的專業防火牆,並將我們剛剛在第2步所設定1234連接埠放行後就完成伺服器端的所有作業了。接下來我們就再繼續介紹客戶端的設定。

1.以 Internet Explorer 為例,在客戶端電腦中開啟 Internet Explorer 後依序點選功能表「工具」→「網際網路選項」後,再切換到「連線」標籤後再點選「區域網路設定」後就會彈出下圖的對話方塊。請將 Proxy 伺服器依下圖來進行設定後即可。這邊須特別注意代理伺服器的實體IP或網域名稱是否正確,以及連接埠編號必須與第2步所設定的連接埠編號相同:

2.完成,如此一來上網的實體IP就變成該台代理伺服器了,同時也達到突破封鎖的目的了:

上述所介紹的 Proxy 只是 VPN Server 的一種。因為 Proxy Server 畢竟只局部在使用另一部電腦的實體IP (如上述所介紹的 Internet Explorer 掛代理伺服器),但如果是透過 VPN Server 則是整部電腦都在使用另一部電腦的實體IP (如 MSN、Dropbox…等任何透過網際網路連線的服務)。因此要用哪種,還是端看各位朋友自己的需求是什麼了。

2005/12/04

使用 Microsoft 小工具更安全的釋放記憶體

Filed under: Windows Server — jj8113 @ 23:07:45
empty.exe 是一個來自微軟官方工具: Microsoft Windows Server 2003 Resource Kit Tools (可以做完整的備份,且在備份時會連帶原本的日期、時間、安全性完全複製) 的其中一項小工具,主要是用來釋放應用程式在系統中所佔用記憶體。特點是由微軟開發,保證安全且相容性佳,以及釋放速度非常的快。
 
empty.exe 的用法:

empty pid (Process的ID),或是 empty taskname (影像名稱)。
一般來說,當然是使用 taskname 會比較方便,如果您經常需要釋放記憶體,那麼筆者建議您直接寫一個批次檔,加入到「工作排程器」中自動執行會比較方便。
例如釋放 IIS 的記憶體指令為:

empty w3wp.exe
另外,Microsoft Windows Server 2003 Resource Kit Tools 預設的安裝路徑是 X:\Program Files\Windows Resource KitsTools,若您不想全部安裝,請從另一台有安裝此工具的電腦中複製 empty.exe 後放到您的 X:\Windows\System32 底下即可。
 
附註: empty.exe 適用於 Windows XP/2003 以上之作業系統,Windows 2000 環境下無法使用 empty.exe。

在 WordPress.com 建立免費網站或網誌.