1

資策會中壢網路工程師班第80期

個人報告

AD、DNS、WINS

指導教師:戴有煒 老師

劉家聖 老師

楊宏文 老師

學 生:張建元

學 號:31000145

EMAIL:nilfishevevtyu@gmail.com

2

一.公司拓譜圖

我負責的部分在上圖 DC1 及 DC2 與分公司 DC 主機

二.Active Directory

1. 為何需要 AD?

統一控管使用者帳戶。

統一管理公司內部電腦資源。

透過 ADRMS 智慧產權可以控管公司內部資料安全性。

2. 提供備援系統架構

透過多台網域控制站,提供備援容錯,達到高可用性 。

3. 透過群組原則方便管理

可以部署軟體限制員工使用或安裝軟體、硬體使用 。

3

比如可以限制員工使用 USB 隨身碟裝置帶走公司文件

三.AD 架構圖

SITEA 及 SITEB 透過 VPN 連線進行，站台復寫。

SITE-TO-SITE:建構方式先以實體線建立站台復寫，連線等

待 VPN 伺服器建置完成在移除實體線。

4. ADRMS

透過 AD RMS 可以保護企業內部的機密文件與智慧財

4

產 。

四.DNS

1. DNS 主要功能

將 Fully Qualified Domain Name ( FQDN )名稱轉譯成 IP。

2. 企業內部為何需要 DNS 服務?

方便快速尋找公司內部電腦資源。

可幫助公司發佈公司外部網頁。

3. 策略: 採用2003 Server 及 2008 Server DNS(支援動態更新)

4. Site-to-Site 策略:將 DC1 及 DC2 新增正向次要區域由 DC3

轉寄，DC3 新增正向次要區域由 DC1 及 DC2 轉寄。

注意:此作法只是其一並不是最好的方式，還有家聖老師的建

議的另一種做法直接在 DC1 及 DC2 的正向主要區域新增子

網域區域，而在 DC1 上設定委派網域到 DC3。

五.WINS

1. WINS:主要功能將 NETBIOS 電腦名稱解析成

IP。

2.有了 WINS 的好處:

方便公司內部電腦與電腦之間的溝通。

5

3.WINS:

須搭配內部電腦用戶端指定 WINS 伺服器的 IP

位置。

建置過程:透過新增復寫協力電腦達到

DC1DC2DC3 之間的支援及復寫

6

由於 DNS 及 WINS 的功能相近

於是在 DNS 上設定 WINS 正向對應

六.問題及解決:

問題 1.

本來 DC1 是採用 2008 Server、DC2 採用 2003 Server 作為備

援次要 DC，但此時出現了以下的問題、當 DC2 未開啟時、

或是尚未開啟完畢時，DC1 會出現錯誤訊息(如下圖一及圖

二)。造成 DC1 開啟需要等待非常長的時間，大約 30 分鐘左

右。

圖一

7

圖二

解決辦法：根據上微軟技術網站查詢及詢問過戴老師，此種

情況會出現在有 2 台 DC 並且主 DC1 為 2008 Server 上。但

若是要先開啟 DC2，在等待 DC2 開啟完畢也事會要比一般

8

開機還要多出一些等待時間約 10 分鐘，微軟官方建議是修

改登入機碼。我的解決方法是將 DC1 的 DNS 設為另一台

Member Server 的 DNS 服務，此時開機時先開啟 MS 的 DNS，

在開 DC1 便可以大幅降低開機時間。

問題 2.

由於我們這組出現了 2 次大失敗情況:第 1 次是病毒，第 2 次

是因為 FCS 部屬之後出現 AD 有大量錯誤訊息及警告(如圖

3)。

於是決定重建，但為了避免再次發生問題一的情況，於是採

用主 DC1 為 2003 Server 、DC2 為 2008 Server。但此時當我

要將 2008 Server 升為 DC2 時，系統顯示不讓我新增。

9

解決辦法:

注意:擴充樹系網域架構

若主 dc 為 2003 Server，樹系及網域功能等級最高只有到

2003，此時 2008 Server 想加入是沒有辦法的。首先需要將

2008 光碟放置到 dc1 在命令提示字元裡 adprep/forestprep 擴

充樹系等級，之後執行 adprep /domainprep /gpprep 擴充網域

10

之後就可以將 DC2 加入進來。

七.補充:

1. 使用群組原則部屬 OFFICE 2007

OFFICE 2007 只可以佈署在電腦而不是使用者，並且在

XP 及更早之前的作業系統，要佈署必須還要另外加”永遠

在電腦啟動及登入時等待網路啟動”原則設定來停用快速

登入最佳化功能，不然可能會被視為已套用。

以下是客戶端畫面

11

12

2. ADRMS 建置

ADRMS 簡易拓譜圖

AD及 存放資料庫

RMS

文件擁有者其他欲存取文件使

用者

13

此次 RMS 很可惜我只成功做出一次，之後都失敗 15 次。注

意:首先 2008MS 不能使用 NEWSID 必須要用 SYSPREP 否

則會出現無法與 LOCALHOST 聯繫的錯誤訊息。由於安裝

ADRMS 會與 IIS 一同安裝、於是先安裝 IIS 並且申請憑證在

安裝 ADRMS。(圖一為成功畫面) ADRMS 的文件擁有者在

編寫文件時，即會產生一組金鑰保管在 RMS SERVER，當其

他使用者想要使用這份文件時，會先經過 AD 驗證證明為公

司網域內使用者，在到 RMS 取得金鑰。取得使用許可權。

圖一

圖二為失敗畫面一直出現錯誤訊息 204 事件

14

3. CA

2003 架設 Server CA 如果 2008 Server 要向 2003 申請，會

有 active 控制項一直顯示下載中、無法申請到，CA 必須

要去下載 hotfix MS02-048： 憑證註冊控制項中的瑕疵

可能導致數位憑證遭到刪除解決，此項安裝完成後即可解

決問題。

八.個人心得:

這次 LAB 我負責的部分是 AD、DNS、WINS。基本上

老師要求的東西大多都有做出來。只是在操作上，還是有不

熟悉的地方，需要加強及改進，謝謝家聖老師在驗收時，有

給予學生指導。SITE-TO-SITE 也很感謝同組智仁 VPN 的成

功，才能如此順利。很可惜的是 RMS 最後還是起不來。也

15

謝謝學長 kimo 及超文學長的指導讓我們的 lab 有比較順利。

做完這次 LAB 覺得這次 LAB 真的是環環相扣，需要互

相搭配，原本以為會很快的做完自己的部分、但還是大多是

在幫忙其他組員、因為很多都有互相配合，所以也常常做到

很晚才回家。也謝謝其他組員智仁、宏騰、姿瑩、明洋、嘉

彥、銘修、承凱、祐霖、祖華的配合大家的 LAB 才能完成，

雖然有些小地方沒做到，但完成了主架構。做完這次 LAB

可以更了解同組組員在做 LAB 上的努力認真，以後會是好

戰友呢。

九.工作日誌

LAB 工作日誌

日期 工作內容及問題解決

2010 年 6 月 16 日 製作 HYPER-V 母碟 XP 2003 及 2008 並更新

2010 年 6 月 17 日 Hyper-v 2003 母碟更新須先安裝舊型網路介面卡並在更新到 sp2 之後 才可以更改

回新式網路卡 並且才可以安裝整合型服務(受限於 os 版本)

2010 年 6 月 18 日

1.Hyper-v xp 更新非常的慢 並且利用 ms update 也跑很久 上網查詢後 似乎是

虛擬網卡 ipv6 在做怪 關閉之後 就可以解決 但安裝更新 sp3 時也還是很慢 似乎

是與 os 板本有關造成的 因為在更新完 sp3 後 運作上來說 加快了很多

2.2003HOST 將 2005 管理網站 加入近端網站 及 ie8 相容模式下 即解決之前不可

新增 vm 的問題 3.安裝 VM2005 2003 xp 2008vm 母碟 目前在思考如何解決不走

nat 的網路設定

2010 年 6 月 19 日

1.2003VM2005 的 VM Ip 問題已解決 2.覺得 HYPER-V 略嫌慢 於是試著安裝

VIRTUALBOX在 WIN7 速度上來說果然快 但安裝2008R2 64BIT 母碟時一直不成

功 最後是勾起 I/O 功能 讓主機板可與 VM 資源交流於是安裝完畢 3.安裝完

VBOX2003 XP 2008 母碟且更新完畢 4.安裝完之後 決定 捨棄 HYPER-V 於是在

2008 上使用 VIRTUALBOX 並將使用 WIN7 建立的母碟移植過來使用 但除了 2008

母碟有問題之外 XP 跟 2003 都正常 於是重灌 2008 母碟

16

2010 年 6 月 20 日

1.將電腦搬到 LAB 佈線測試 一開始大家走的方向錯誤 想讓其他電腦透過 HUB

連接本來在宿舍內可上網的 NAT 聯外 但是這是不可行的 因為根據理論上來說變

成由外部連到可上網的電腦的內部 NAT 裡在聯外 於是大家先改成同網段私人 IP

互 PING 等待 ISA 及 VPN 創建好 在大家一起用同一個真實 IP 聯外 2. 執行

DCPROMO 成為網域控制站並安裝 DNS 服務 加入新使用者及設定新使用者群

組權限

2010 年 6 月 21 日

1.分公司 DC 因為加入網域後 但是重開後用本機登入 於是 AD 站台及使用者看

不到他的資料,並且不能執行 DCPROMO 後來退出網域重新執行 DCPROMO 並且

使用 網域登入 狀況排出 2.PRINT SERVER 未能抓到明洋的印表機尚待解決

3.DC1 安裝 IIS DC2 安裝 IIS 及 CA

2010 年 6 月 22 日 上課 不做 LAB

2010 年 6 月 23 日 1.今天一開機 就覺得有些不正常 開始有人發現有病毒 只好開始掃毒 但沒掃

到 為了保險起見 大家決定 都重灌

2010 年 6 月 24 日 1.將電腦重灌 2.host 安裝 2008 r2 採用 virtual box 安裝 2 台 vm 一台 2008 一台

2003 並且更新至最新 且在 vm 上安裝 fcs 防毒軟體

2010 年 6 月 25 日 製作 2008 2003 母碟

2010 年 6 月 26 日

製作 XP VM WIN7 VM 母碟 2. 將電腦搬 LAB 3.架設 AD 環境 AD1 +DNS+WINS

安裝 IIS 發行企業 CA 2003VM 安裝 IIS 發行獨立 CA 4.智仁電腦問題 vpn

server 如何與我們溝通因為他只有一張網卡 於是解決辦法是在該 HOST 上在新增

一張網路卡

2010 年 6 月 27 日

1.昨晚發現 AD 2008 DC1 開機時非常緩慢 後來進去之後發現錯誤代碼 DNS

4013 DNS 尋找 AD 目錄服務 及 AD 服務因為 DNS 服務未啟動關係 造成登入緩慢

及 登入後 DNS 必須要手動啟動 查詢結果在網路上算是常見問題 在微軟的網

站上 解決方式是更改 REGEDIT 我沒有採用 於是 我在 另一台建立 DNS

SERVER (DC-TWG) 將此台 DNS 區域設為次要區域可從ad-dc1 的dns 複寫過來 做

為備援 並且將 AD-DC1 慣用 DNS 指向 DC-TWG) 即解決此問題解決登入延遲問

題 2.昨晚因為網路問題 造成智仁電腦無法登入 今日他本機登入後更改電腦名

稱 重新加入網路 未先退出網域重加 並且在 AD 上增加新使用者及刪除舊使用者

但依然無法登入原因在於每個物件在 AD 目錄裡都有獨有的 GUID 到我來到

之後 我將他的使用者刪除 並且重建 並且由於他電腦加入網域的作法有問題

造成該電腦無法判斷應用何種電腦身分登入網域 於是我使用本機登入後 退出網

域 重新加入網域 電腦名稱不更改 於是狀況即可排除 3.由於可以上網了 於是更

新 發現 2003 即使有更新依然會中 Conficker 蠕蟲 解決方法是 手動下載更新檔

MS08-67 微軟發佈檔 以及使用微軟惡意程式掃毒

2010 年 6 月 28 日 1.將發布 CA 獨立根的 IIS 安裝 CA 憑證 2.協助智仁 VM 與我們可互 PING 他的

DNS 設定錯誤

2010 年 6 月 30 日 協助宏騰的 isa 外牆找到網域內的 css

2010 年 7 月 1 日 建立分公司 ad 環境準備

17

2010 年 7 月 2 日

1.建立分公司 2008vm ad 站台 並且與總公司 site-to-site, dns 建立分公司正向區域

及總公司區域轉送次要區域 總公司 dns 建立分公司次要轉送區域 用來確保分公

司及總公司 可以解析到對方主機服務 2.更新分公司 2003 至 sp2 並且安裝 isa

server

2010 年 7 月 3 日

1.因為企業防毒 使用 WSUS 佈署 GPO 造成 AD 目錄 有大量的錯誤訊息 在停

用後 就排除狀況 但大家還是決議大家重建 2.ca 2003 與 2008 ca 在獨立根 設

定存放方式有點不同 2008變成放在共同資料夾下 變成不能下載下來 3.2003做為

主 dc 減少問題 2008 做為副 dc 開起複寫

2010 年 7 月 4 日 建置分公司 ISA SERVER

2010 年 7 月 5 日 建置總公司 dc1 及 dc2 DHCP server

2010 年 7 月 6 日 嘗試安裝 ADRMS 但一直出現錯誤代碼 查出之後 問題在於 2008 NEWSID 的原

因 並且準備 VISTA CLIENT 端安裝 OFFICE2007 準備測試用

2010 年 7 月 7 日 白天在報告 晚上 另外準備 2008 跑 SYSPREP 重新安裝 ADRMS 成功 VPN 通

道已通 立刻去重設 SITE- TO -SITE 並且移掉實體線

十.參考書目

Windows Server2008-安裝及管理 作者:戴有煒

Windows Server2008-AD 建置實務 作者:戴有煒

Windows Server2008-網路管理與 IIS 架站 作者:戴有煒