2018年1月28日 星期日

測試 IPv6 ISATAP 通道

ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) 是一種IPv6轉換傳送機制, 允許IPv6封包通過IPv4網路上節點傳輸

不同於6over4, ISATAP視IPv4網路為一個非廣播多路由存取網路的資料鏈結層, 因此它不需要底層的IPv4網路基礎設備來支援多播


由於 DHCP 剛好設定好 IPv6, 所以就來測試 ISATAP 通道, isatap通道的特色就是, 將 IPv4 的 IP 包在 IPv6 的 IP 裡, 而且當中包含 5efe 的 Subnet ID

準備環境:
。ADDS/DHCP伺服器: IP: 192.168.0.1/24 , 不設定預設閘道, DNS: 192.168.0.1
。用戶端主機: IP: 192.168.0.10/24 , 預設閘道: 192.168.0.1, DNS: 192.168.0.1

1. 於作為 isatap 路由器的主機上(此示範是設定於DHCP伺服器上, 正常來說應該另外再建立一台純路由器來作 isatap ), 輸入指令刪除從預設的全域查詢封鎖列表中的ISATAP

於DHCP Server上試作 IPv6 (DHCPv6)

DHCP 可以使用 IPv4, 當然也可以使用 IPv6, 設定過程也很簡單

1. 首先確認要作為 IPv6 DHCP 伺服器的主機上建立一組 IPv6 Unique local 固定 IP, 例如 FD00::1

2. 查看 DHCP 伺服器上網路設定 (因為要把這台主機暫時當作路由器做後面的isatap測試, 所以沒設定預設閘道)

2018年1月27日 星期六

DHCP的維護及管理

DHCP的安全:
因DHCP用戶端是不需要身分驗證就能取得IP, 所以要確認只有允許的用戶端才能使用
1. 限制網路存取: 例網路孔管制、網路卡位址管制、IEEE 802.1X身份驗證、WiFi身分驗證
2. 啟用DHCP審核日誌記錄追蹤使用情況
3. DHCP名稱保護: 使用DHCID防止Windows系統DNS名稱註冊被使用相同名稱的非Windows系統覆蓋
4. 設定進階DHCP選項(原則): 廠商類別、使用者類別、MAC位址、用戶端識別元、完整網域名稱、轉送代理資訊

DHCP名稱保護, 於領域項目上按滑鼠右鍵叫出內容, 再點擊DNS標籤, 按下名稱保護設定按鈕

2018年1月26日 星期五

DHCP高可用性: 2-DHCP叢集與容錯移轉 Cluster, Failover

DHCP叢集:
叢集成員都將安裝具有相同範圍的DHCP伺服器, DHCP的設定儲存在共享儲存設備上, 如果一個叢集成員發生故障, 另一個叢集成員將檢測到該故障並啟動DHCP服務


DHCP容錯移轉:
。啟用兩個DHCP伺服器, 在相同的子網或範圍提供IP位址和選項設定
。要求容錯移轉關係具有唯一名稱
。支持熱待命模式和負載平衡模式
(熱待命模式最適用於災難恢復站點位於不同位置的部署)
(負載平衡模式為預設模式, 兩台DHCP同時提供IP)

要設定DHCP容錯移轉需要在兩個DHCP伺服器之間建立容錯移轉關係, 還必須為此關係指定一個唯一的名稱, 容錯移轉合作夥伴在設定期間交換此名稱, 這使得單一DHCP伺服器與其他DHCP伺服器具有多個容錯移轉關係, 只要它們都具有唯一名稱即可

執行DHCP容錯移轉時:
。MCLT(Maximum Client Lead Time)確定容錯移轉夥伴何時控制子網或IP範圍
。自動狀態切換間隔確定何時認為容錯移轉夥伴已關閉
。訊息驗證可以驗證容錯移轉訊息
。在DHCP安裝期間自動設定防火牆規則

DHCP高可用性: 1-DHCP領域劃分 Split Scopes

DHCP高可用性:

。領域(範圍)劃分: 將一個網段領域中的IP領域範圍分割成兩個範圍並分別設定在兩台伺服器上使用, 分成主要及次要伺服器, 當主要伺服器故障時則次要伺服器能繼續提供DHCP服務, 但有設定群組原則的IP領域範圍無法使用領域(範圍)劃分


試作DHCP領域劃分:
操作領域劃分之前, 除了原本的DHCP伺服器之外, 還要再建立另外一台有網域授權的DHCP伺服器作為次要伺服器, 次要伺服器不需先建立IP領域範圍

1. 於主要DHCP伺服器上, 於建立的IP領域範圍項目按滑鼠右鍵, 點選進階, 點擊領域劃分

2018年1月25日 星期四

DHCP轉接代理 Relay Agent

DHCP轉接代理:
DHCP轉接代理接聽從DHCP用戶端發出的DHCP廣播, 然後再將該廣播傳送到不同子網路上(遠端)的DHCP伺服器, 簡言之就是在不同網段中使用一台(以上)DHCP Server做分配IP的工作, 而在路由器上需設定DHCP轉接代理的功能

應該是在另外一台主機安裝的Routing and Remote Access, 下圖為了示範所以先裝在AD主機上 (如果AD主機要作為遠端存取路由也是可以安裝, 只是AD主機負擔會加重)

進階DHCP Scopes領域範圍設定

進階DHCP Scopes:
1. 超級領域(範圍) SuperScopes:
。在DHCP Server建立2個以上的IP租用範圍(Scopes)才能使用
。當某Scope的IP即將用完時, 可以在DHCP Server新增一個子網路, 此範圍將地址出租給同一實體網路中的用戶端, 經設定路由器以識別新子網, 可以透過將用戶端分成邏輯網路來分隔

2. 多點傳送領域(範圍) Multicast Scopes:
。Class D IP位址(224.0.0.0~239.255.255.255/3)的IP集合
。當應用程式需要對多數用戶端進行同步式通訊資料傳送, 透過多個主機監聽同一IP位址的流量來實現


試作 Super Scopes 設定:
1. 首先確認 DHCP Server 中已經有2個以上的 Scope

DHCP保留(Reservations)

DHCP保留(Reservations):
。動態分配IP狀態下讓用戶端取得固定IP使用
。首先讓用戶端從DHCP Server取得動態IP, 再於DHCP Server上紀錄中取得該用戶端網路卡位址, 再行設定為固定IP
。優點是方便管理這些使用DHCP Server提供IP的主機


DHCP Server的進階使用: 3.原則設定選項

以群組原則為基礎設定相關條件作為選項:

1. 新增原則, 可設定為伺服器層級或是領域層級的原則

2. 設定原則名稱

DHCP Server的進階使用: 2.自定選項

DHCP Server 雖預設不少選項可使用, 但是有些選項並沒有在設定表中, 所以並須手動加入, 例如在使用 WDS 服務時, 需要有 060 啟動預先執行(PXE)用戶端的選項, 如此用戶端在開機時才能接收到 DHCP Server 提供的 IP 而繼續執行系統安裝

1. 在 IPv4 的項目上按滑鼠右鍵, 點擊設定預先定義選項

2. 跳出設定畫面後, 點擊新增

3. 在選項類型中輸入 PXEClient 的名稱及 060 代號

4. 設定完成可以看到多了這一個選項, 之後就可以在設定領域選項中使用

以上步驟也可使用指令 netsh 或 powershell 執行

DHCP Server的進階使用: 1.設定選項

DHCP Server看似簡單, 設定幾個領域範圍(Scope)就能使用, 不過重點在於裡面的選項設定

DHCP用戶端服務以四個不同級別的優先順序應用選項, 從最不優先到最優先:

1. 伺服器等級: 為DHCP伺服器的所有DHCP用戶端分配伺服器級選項
2. 領域範圍(Scope)等級: 為範圍內的所有用戶端分配範圍級選項, 範圍選項覆蓋伺服器選項
3. 類別等級: 為所有標識自己為類別成員的用戶端分配類別級選項, 類別選項會覆蓋範圍和伺服器選項
4. 保留用戶端等級: 為一個DHCP用戶端分配預留級別選項, 保留的用戶端選項適用於具有DHCP保留的設備

DHCP Server說明

之前在Windows Server 2016安裝過DHCP Server, 現在來做些說明

IP租約:
用戶端可以在指定的時間段內使用分配的DHCP位址稱為租約, 租期預設8天, 用戶端被排程在指定時間後自動續訂租約, 通常是在租約期的50%過後, 只要有可用的IP位址, DHCP就會繼續提供續約, 如果用戶端在50%的租約期後未完成續約, 則在租期的87.5%之後, DHCP租用更新流程會再次啟動

Microsoft DHCP服務支持IPv6, 但是大多數組織使用IPv4作為其網路協議, IPv6尚未廣泛實施, IPv6使用128位元位址, 而IPv4使用32位元位址


DHCP租約生成過程包括四個步驟:
1. DHCP用戶端向子網中的每台電腦廣播DHCPDISCOVER封包, 唯一回應的電腦是具有DHCP伺服器角色的主機或運行DHCP中繼代理的電腦或路由器, 如為路由器情況下, DHCP中繼代理會將消息轉發到將其配置為中繼請求的DHCP伺服器
2. DHCP伺服器使用DHCPOFFER封包進行回應, 該封包包含用戶端的潛在位址
3. 用戶端收到DHCPOFFER封包, 它可能會從多個伺服器接收封包, 通常會選擇對其DHCPDISCOVER做出最快回應的伺服器, 然後用戶端廣播包含伺服器標識符的DHCPREQUEST, 通知接收廣播的DHCP伺服器們已選擇接受哪個伺服器的DHCPOFFER
4. DHCP伺服器接收DHCPREQUEST, 用戶端未接受的伺服器使用此訊息作為用戶端拒絕該伺服器通知, 所選伺服器將IP位址,用戶端信息儲存在DHCP資料庫中, 並以DHCPACK訊息進行回應, 如果DHCP伺服器無法提供初始DHCPOFFER中提供的位址, 則DHCP伺服器會發送DHCPNAK訊息


DHCP Server建立及設定IP範圍過程:
。名稱及描述: 此設定的說明
。IP位址範圍: 設定可提供分配使用的IP範圍
。子網遮罩: 定義網路架構的位置
。排除位址: 於IP範圍中不提供出租的IP位址
。延遲: 發送DHCPOFFER之前延遲的時間, 預設為0毫秒
。出租期限: 出租IP的使用期限, 預設為8天
。選項: 在使用IP範圍中的屬性設定, 例:
-Option 003: 路由器(預設閘道)
-Option 006: DNS Servers
-Option 015: DNS尾碼
。啟動: 必須啟動範圍設定才能分配IP位址

2018年1月21日 星期日

一些 IPv6 的說明 2

IP 的節點型態:
。僅IPv4節點: 僅支援IPv4位址的節點不支援IPv6
。僅IPv6節點: 僅支援IPv6位址的節點和應用程式僅使用IPv6的環境
。IPv6/IPv4節點: 支援IPv4和IPv6位址的節點, Windows Server 2008之後的系統以及Windows Vista之後的系統默認使用IPv4和IPv6
。IPv4節點: 設定IPv4位址的節點, 但它也可以是僅IPv4節點或IPv6/IPv4節點
。IPv6節點: 設定IPv6位址的節點, 但它也可以是僅IPv6節點或IPv6/IPv4節點


在IPv6完全取代IPv4前, 需要一些轉換機制使得只支援IPv6的主機可以連絡IPv4服務, 並且允許孤立的IPv6主機及網路可以藉由IPv4設施連絡IPv6網際網路


2018年1月20日 星期六

Windows Server 2016 上設定 IPv6 及一些指令

現在IPv6使用率還不是很高, 一般還是習慣使用IPv4, 如果是公用IP(網際網路使用)則須詢問ISP的發配狀況, 如果是要設定成私人IP的話一樣可以在控制台中設定網路卡

1. 在網路卡的內容中, 選擇 TCP/IPv6 的項目按下內容

2. 在 TCP/IPv6 內容中設定 IPv6, 按下進階鈕可再詳細設定


一些 IPv6 的說明

。網路位元數量是由首碼 (prefix)定義
。每一台主機有配置64位元作為介面識別碼 (interface identifier)
。IPv6 是以主機位址為主要識別的網路位址設計方式
。主機位址(Host Address)固定為右邊往左算的64個位元, 而剩下的64個位元才來做網路位址(Network Address)的區域或類別的規劃, 因此網路位址又稱routing prefix (路由前置碼)

IPv4 與 IPv6 位址對照:
IPv4 IPv6
未指定位址 0.0.0.0 ::/128
Loopback 127.0.0.1 ::1/128
自動位址 169.254.0.0/16 FE80::/10
廣播 255.255.255.255 使用多點傳播
多點傳播 224.0.0.0/4 FF00::/8



關於 IPv6

以前都是接觸 IPv4 的東西, 學了 Windows Server 2016 之後才開始接觸 IPv6

為什麼要使用 IPv6:
1. 網際網路的成長和即將耗盡的 IPv4 位址空間
2. 網際網路的發展和網際網路骨幹路由器維護大型路由表的能力
3. 更簡單的設定
4. IP層的安全要求
5. 需要更好的支援即時數據傳輸

IPv4 與 IPv6 比較
IPv4
IPv6
封包分割由路由器和發送主機執行 封包分割不是由路由器執行, 由發送主機執行
ARP使用廣播ARP請求框架將IPv4位址解析 ARP使用多點傳播鄰近請求訊息
IGMP管理多點廣播群組成員 多點廣播傾聽探索訊息
ICMP路由器探索 ICMPv6路由器請求和路由器通告
使用A記錄DNS主機記錄 使用AAAA記錄DNS主機記錄
使用IN-ADDR.ARPA反解DNS 使用IP6.ARPA反解DNS
封包最小576 byte 封包最小1280 byte



2018年1月10日 星期三

安裝及使用MAP (Microsoft Assessment and Planning Toolkit)

微軟評估和規劃工具Microsoft Assessment and Planning Toolkit, 簡稱MAP, 就微軟官網上面的說明翻譯:「微軟評估和規劃工具使您可以輕鬆評估您當前的IT基礎架構,從而進行各種技術移植項目。此解決方案加速器提供了強大的清單,評估和報告工具,可簡化遷移計劃流程。」簡單來說是種資產管理軟體, 收集主機資訊及工作負載資料.

題外話: 微軟官方教材把本篇放在第一章系統安裝後面, 似乎太早了, 覺得應該放在系統部署管理那邊可能比較好

下載網站: Microsoft Assessment and Planning Toolkit
(只有英文版)

1. 安裝 MAP

2018年1月6日 星期六

Windows Server 2016 上使用指令設定 route

1. 命令提示工具查看 IPv4 路由 route 指令

命令提示工具的路由 route 指令範例
w-studio.idv.tw

2018年1月5日 星期五

Windows Server 2016 上使用指令設定 IPv4 -2

常用的命令提示工具 IP 檢查指令: ipconfig

命令提示工具IPv4網路設定指令: netsh interface ipv4


Windows Server 2016 上使用指令設定 IPv4

設定固定IP: 10.10.0.10, 子網路遮罩: 255.255.255.0, 預設閘道: 10.10.0.1, DNS servers: 10.12.0.1 + 10.12.0.2

1. 使用命令提示工具(指令 Netsh)設定:

Netsh interface ipv4 set address name="網路(卡)名稱" source=static addr=10.10.0.10 mask=255.255.255.0 gateway=10.10.0.1

Netsh interface ipv4 set dns name="網路(卡)名稱" source=static addr=10.12.0.1

Netsh interface ipv4 add dns name="網路(卡)名稱" 10.12.0.2 index=2



2. 使用 PowerShell 設定:

New-NetIPAddress -InterfaceAlias "網路(卡)名稱" -IPAddress 10.10.0.10 -PrefixLength 24 -DefaultGateway 10.10.0.1

Set-DNSClientServerAddress -InterfaceAlias "網路(卡)名稱" -ServerAddresses 10.12.0.1,10.12.0.2


如果為設定自動IP(使用DHCP), 則 PowerShell 指令為:
Set-NetIPInterface -InterfaceAlias "網路(卡)名稱" -Dhcp Enabled
Restart-NetAdapter -Name "網路(卡)名稱"

沒有DHCP Server時網路使用自動 TCP/IP 位址

如果已設定使用 DHCP 的 Windows 電腦無法使用 DHCP 伺服器, 就可以自動地為自己指定「網際網路通訊協定」(IP) 位址, 例如在沒有 DHCP 伺服器的網路, 或是將 DHCP 伺服器臨時停機以進行維護的網路上, 就會發生這種情形

Internet Assigned Numbers Authority (IANA) 已經保留 169.254.0.0 到 169.254.255.255 的位址, 做為「自動私人 IP 位址」, 因此 APIPA 所提供的位址保證不會與可路由傳送的位址發生衝突

在指派 IP 位址給網路介面卡之後, 電腦就可以使用 TCP/IP, 與連接到相同區域網路、為 APIPA 所設定, 或是手動將 IP 位址設定為 169.254.x.y 位址範圍 (其中 x.y 是用戶端的唯一識別碼) 並具有 255.255.0.0 子網路遮罩的任何其他電腦進行通訊, 但電腦無法與位於其他子網路的電腦或不是使用自動私人 IP 位址的電腦進行通訊

Windows Server 2016 上的 IPv4

與之前版本相比, Windows Server 2016 上的 IPv4 設定沒有什麼不同

1. 開啟控制台「網路和共用中心」, 點擊「變更介面卡設定」, 或是在開始按鈕按下滑鼠右鍵叫出「網路連線」再去「變更介面卡設定」, 接著到個別的網路卡(例:乙太網路)按下滑鼠右鍵叫出內容

2. 於乙太網路內容中按下設定可以看到網路卡的進階內容


2018年1月1日 星期一

安裝VirtualBox 5.2.4及簡單介紹

1. 至 VirtualBox 官網下載最新版
VirtualBox

2. 下載回來, 執行安裝, 現在都有支援中文繁體字