View
220
Download
5
Category
Preview:
DESCRIPTION
Web Farm, WSUS, FCS
Citation preview
網工 82 期
MS-LAB 第二組
Web Farm
WSUS
FCS
學員:李奎樂
指導老師:劉家聖、戴有煒、楊宏文
Web Farm簡介
Web Farm是由多台 IIS網頁伺服器所組成,這些伺服器將同時對使用者來提供
不中斷且可靠的網站服務。當 Web Farm接收到不同使用者的連接網站要求時,
這些要求會被分給 Web Farm中不同的網頁伺服器來處理,因此可以提高網頁的
存取效率。此外,若Web Farm中有網頁伺服器因故無法對使用者提供服務的話,
會由其他仍正常運作的伺服器來繼續對使用者提供服務,因此 Web Farm具備容
錯功能。這裡分別使用常見的 NLB(網路負載平衡)與 DFS(分散式檔案系統)來建
構 Web Farm。
當網頁伺服器加入 NLB 叢集後,它們會共用一個相同的虛擬叢集 IP位址,並
透過此 IP位址接收外來的上網要求,NLB叢集在接收到這些要求後,會將它們
分散給叢集中的網頁伺服器來處理,因此可達到負載平衡的目的,提高運作效率。
NLB叢集中的伺服器會隨時監聽其他伺服器的狀況,若有伺服器故障,偵測到
此狀況的伺服器便會啟動交集程序,當完成交集程序後,所有連接 Web Farm網
站的要求會重新分配給其餘仍正常運作的網頁伺服器來負責。
DFS含有兩個主要元件,一個是 DFS命名空間,另一個是 DFS複寫。DFS命名
空間可允許使用者從一個固定的邏輯網路路徑來存取分別位於多台檔案伺服器
上的共用檔案。DFS複寫則負責在檔案伺服器之間複製資料,自動保持 DFS架
構下各個共用資料夾間的一致性。利用 DFS命名空間與 DFS複寫服務,可在不
同的檔案伺服器間,建立自動化的檔案同步機制,並且還具備失效自動切換的容
錯能力,使用者也無須在網路芳鄰上逐一搜尋,就能快速存取到位於不同伺服器
上的所有共用檔案,而且使用者對於共用檔案所做的任何異動,也都會立即同步
到所有伺服器上。
Web Farm架構圖
Web1 Web2
DC1
File1 File2
NLB
DFS
Web Farm建構步驟
1. 首先建立四台虛擬主機,兩台用 Windows Server 2008,主機名稱分別命名
為Web1與Web2,另兩台用Windows Server 2003,名稱分別為File1和File2,
所有主機都各只需一張網卡即可,也都要加入母公司的 AD網域。
2. 開啟母公司 AD主機 DC1的 DNS管理員,在正向對應區域裡新增一筆名稱
為 www的主機記錄,IP位址可自訂。
3. 在 Web1 和 Web2上安裝 IIS。
4. 在安裝過程記得要勾選 ASP.NET。
5. 在 File1和 File2新增一個名稱為 Webuser的新使用者,密碼要設一樣。
6. 在 File1和 File2建立名稱為 Webfiles的共享資料夾,並賦予 Webuser變更
的權限。
7. 在 File1的 Webfiles資料夾建立兩個子資料夾,分別命名為 Configurations
和 Contents。
8. 在剛建立的 Contents資料夾裡新增一個網頁檔,格式隨意,不過建議採用戴
老師紅色課本圖 7-3-11的範例。
9. 在 Web1 和 Web2也新增名為 Webuser的使用者,密碼也要和 File1與 File2
上的一樣,這裡 Webuser還要加入 IIS_IUSRS的群組。
10. 點選 Web1 及 Web2的 IIS管理員裡 Default Web Site右邊的基本設定,再新
增如下圖的實體路徑,接著依序點選連線身份→特定使用者→設定,輸入上
一步所新增的 Webuser名稱及其密碼。
11. 出現如下圖的結果即表示設定成功。
12. 接著點選 Web1 的 IIS管理員裡 WEB1伺服器首頁下方的共用設定,再點選
右邊的匯出設定,實體路徑設定如下圖,連線身分則輸入 Webuser的名稱密
碼,加密金鑰可自訂,只要符合其原則即可,都完成後點選確定。
13. 出現匯出設定檔案成功的訊息後,勾選下圖中的啟用共用設定,實體路徑則
同上一步,使用者名稱和密碼同Webuser的,都完成後點選右邊的套用,接
著輸入上一步設定的加密金鑰。
14. 成功的話應會出現如下圖的訊息,而 Web2的共用設定部分則只需重覆上一
步的操作即可。
15. 接著在 Web1 和 Web2的伺服器管理員都新增網路負載平衡的功能。
16. 安裝好後執行 Web1系統管理工具裡的網路負載平衡管理員,然後在網路負
載平衡叢集上按滑鼠右鍵選新增叢集,接著在主機處輸入Web1後點選連線,
因為只有一張網卡所以直接點選下一步。
17. 這個畫面直接點選下一步。
18. 這裡要新增在步驟 2所新增的 IP位址,子網路遮罩則用預設值 255.255.255.0,
完成後點選下一步。
19. 這裡因為只有一張網卡,所以要選擇多點傳送,完成後點選下一步。
20. 這裡直接點選完成。
21. 設定成功的話,過一段時間後 WEB1(網卡 1)應會變成如下圖的狀態。
22. 接著在叢集 IP上按滑鼠右鍵選新增主機到叢集,接下來同步驟 16~20,只
是主機名稱改為 Web2。
23. 設定成功後,經過一段時間會變成下圖的狀態。
24. 以紅色課本 7-46頁上面的附註步驟來驗證 NLB是否能正常運作。
25. 現在開始是DFS的部分,首先在DC1建立一個共享資料夾命名為WebDFS。
26. 在 File1執行系統管理工具裡的分散式檔案系統,接著在裡面的分散式檔案
系統上按滑鼠右鍵選擇新增根目錄,然後選擇網域根目錄後點選下一步。
27. 這裡選擇母公司的網域後點選下一步。
28. 點選右邊的瀏覽選取主機 DC1後點選下一步。
29. 這裡直接點選完成。
30. 在設定好的根目錄上按滑鼠右鍵選擇新增連結,目標路徑指向 File1的
Webfiles共享資料夾,連結名稱一樣用 Webfiles,完成後點選確定。
31. 在剛設定好的連結上按滑鼠右鍵選擇新增目標,路徑則指向 File2的Webfiles
資料夾,再勾選將這個目標加入複寫設定,完成後點選確定。
32. 這裡點選是。
33. 這裡直接點選下一步。
34. 這裡選擇 File1的資料夾後點選下一步。
35. 這裡選擇完整網狀後點選完成。
36. 設定成功後應會出現如下圖的畫面。
37. 要驗證複寫是否設定成功,先在 File1或 File2 的 Webfiles資料夾新增一個
文件,再切換到另一台上的該資料夾應會出現相同的檔案。而驗證 DFS能
否正常運作,則是把其中一台主機關機或暫停,再連網頁看還會不會出現。
WSUS 與 FCS 簡介
一般公司企業由各主機使用者自行透過網際網路下載 Windows更新,在多台電
腦同時下載更新的情況會影響整體對外網路的效率,且在未經過測試的情況下安
裝更新程式可能會與系統現有的軟體產生衝突。因此微軟提供了WSUS(Windows
Server Update Services)這套程式來解決這個問題。在 Active Directory網域環境下,
可以透過群組原則來讓網域內的電腦從指定的WSUS伺服器集中下載更新程式,
而且網管人員可以先測試更新程式,確定對其他電腦不會有不良影響後,再透過
WSUS將這些更新程式部署到用戶端的電腦上,如此一來不僅可節省對外網路的
頻寬,更能達到快速下載的目標。
FCS(Microsoft Forefront Client Security)是微軟自製的企業用防毒軟體,它透過一
個代理伺服器,可隨時統一檢測、刪除與防範現有或新出現的惡意軟體、間諜軟
體,以及病毒與蠕蟲等。FCS伺服器擁有一個可用來管理所有用戶端電腦 FCS
的控制台,功能包括進行本地或遠端電腦的掃毒與檢視安全報告,並可搭配
WSUS 與 Active Directory網域來作部署與更新。
WSUS 與 FCS 建構步驟
1. 建立一台Windows Server 2003與一台用來測試的Windows XP虛擬主機並
都加入母公司的 AD網域中,以下所有套件安裝都是在 2003的主機上。
2. 安裝 ASP.NET 和 IIS。
3. 放入 SQL Server 2005的映像檔,出現下圖畫面後點選伺服器元件、工具、
線上叢書及範例。
4. 這裡要勾選第 1、3、5、6項,完成後點選下一步。
5. 這裡要選擇使用網域使用者帳戶,然後輸入此主機登入母公司網域的帳號、
密碼與網域名稱,最後再勾選 SQL Server Agent後點選下一步,其餘步驟
都只需點選下一步直到安裝完成。
6. 安裝 SQL Server 2005 SP3的更新程式,這裡都只需點選下一步,安裝完成
後要重新啟動電腦。
7. 安裝 GPMC SP1,這裡都只需點選下一步。
8. 安裝報表檢視器 2008 SP1,這裡都只需點選下一步。
9. 開始安裝 WSUS 3.0 SP2,這裡直接點選下一步。
10. 選擇使用這部電腦現有的資料庫伺服器,再點選下一步。
11. 這裡一直點選下一步直到出現下一步驟的畫面。
12. 這裡先點選開始連線。
13. 選項變反白且下方進度已完成後點選下一步
14. 這裡選擇只下載下列語言的更新,然後勾選中文(繁體)後點選下一步。
15. 這裡先取消所有產品更新,先只勾選 Forefront Client Security,然後點選下
一步。
16. 這裡再多勾選更新,然後點選下一步。
17. 接下來一直點選下一步直到出現下圖畫面再點選完成。
18. 執行系統管理工具裡的群組原則管理,並新增一個名為 WSUS的原則。
19. 在剛建立的原則上按滑鼠右鍵選編輯,然後如下圖展開至 Windows Update,
接著修改以下內容:設定自動更新→啟用→自動下載和通知我安裝,指定
內部網路Microsoft更新服務的位置→啟用→兩個位址都設為 http://此主機
名稱,自動更新偵測頻率→啟用→檢查更新的頻率設為 1小時,允許立即
安裝自動更新→啟用。
20. 為了加快群組原則的套用,到其他網域電腦上執行命令提示字元,然後輸
入 gpupdate /force指令,有成功套用的話到控制台裡的自動更新選項應會
如下圖變為反白的狀態。
21. 過一段時間之後,在 WSUS主控台的所有電腦應可以看到其他電腦的名稱
和 IP位址等資訊。
22. 可另外先建立一個電腦群組來把要測試的電腦加進來(非必要)。
23. 在左上方的更新按滑鼠右鍵選新增更新檢視,先勾選更新適用於特定產品,
然後再點選編輯屬性裡有底線的字(非必要)。
24. 勾選 Forefront Client Security。
25. 最後指定名稱則輸入 FCS。
26. 點選想更新的項目,然後再點選右邊的核準(未在下圖畫面裡)。
27. 對想要安裝更新的電腦群組按滑鼠右鍵選已核准安裝,結果如下圖。
28. 在其他電腦上的命令提示字元輸入 wuauclt /detectnow指令,右下角應會馬
上出現通知更新的黃色帶有驚嘆號的盾排符號(沒有的話就等一段時間)。
29. 現在開始安裝 FCS,首先放入 FCS的映像檔,出現下圖畫面後點選執行安
裝精靈。
30. 這裡要勾選分佈伺服器,接著點選下一步。
31. 注意這裡的 DAS帳戶名稱要輸入:網域名\登入帳號名,完成後點選下一
步,之後就一直點選下一步直到安裝完成後,再重新啟動電腦。
32. 第一次執行 FCS主控台會自動進入 FCS設定精靈,接著就一直點選下一
步,如果都沒有錯誤應會出現如下圖的畫面,點選關閉後再重開機一次。
33. 再執行一次 FCS主控台,然後進到原則管理點選新增。
34. 在一般的名稱輸入如下圖所示,或自訂名稱也可以。
35. 在進階裡的用戶端選項要選擇使用者可以檢視所有~~~這個項目,完成後
點選確定。
36. 接著點選上方的部署,然後點選新增組織單位,選擇母公司的網域後點選
部署。
37. 設定成功後應會出現如下圖的狀態。
38. 配合 WSUS和之前有提到的兩個可加快部署與偵測更新的指令,在測試用
的 XP主機上安裝 FCS用戶端更新。
39. 安裝好後應會自動更新為最新版本,此時右下角的 FCS圖示應為綠色且有
打勾。
40. 執行MOM系統管理員主控台,在擱置動作按滑鼠右鍵選立即核准手動代
理程式安裝,然後在電腦探索規則按滑鼠右鍵選立即執行電腦探索,成功
後應會出現下圖的狀態。
41. 回到 FCS主控台,點選儀表板右方的立即掃描。
42. 目標選擇掃瞄特定的電腦並指向測試的XP主機名稱,然後點選立即掃瞄,
過一段時間後測試主機上的 FCS應會開始自動掃瞄。
43. 最後在測試主機執行瀏覽器並輸入
http://www.eicar.org/anti_virus_test_file.htm這個網址,然後隨便下載一個檔
案,右下角的 FCS應會出現如下圖的警告訊息,可用來驗證 FCS是否有
正常運作。
心得與感想
這次LAB雖然在驗收是可以正常運作的,不過DFS複寫的一開始做時是成功的,
所以前一天就沒有再檢查,結果老師驗收時才發現沒有作用,經劉老師提示後才
發現原來之前自己所試的步驟都是錯的,於是參考劉老師的影片再做一次才成功,
所以建議做 LAB時還是盡量照老師上課所教的程序,如果因為所用的 Windows
Server版本不同,比較重要的部分老師也都有再另錄教學影片。此外每做一個階
段最好都能將各虛擬主機的硬碟檔做備份,尤其是 Web1 和 Web2這兩台主機在
設定 IIS的共用設定和 NLB時特別容易出現不可預期的狀況,尤其是前者後果
很可能會造成 IIS無法使用的困境,因此在做這些設定時請務必特別小心,且在
設定前最好都先做備份以防萬一。
Recommended