Software and printer of GPO

1. 群組管理原則 發佈軟體時的目錄權限必須是共享及安全性都要everyone
2. 軟體發佈分二種型態

• 自動發佈，於電腦加入AD後，重開機即會在開機的過程中將軟體依序安裝，可用於必裝軟體
• 被動發佈，於電腦加入AD後，使用者可以自行到控制台，新增/移除軟體中，選擇要安裝或移除的軟體，可用於自選安裝
• 不論何種軟體，都必須是封裝式檔案msi

1. 印表機亦可以透過GPO發佈，無須個別安裝
2. 但需要先安裝列印伺服器，可以建立印表機匯集區(一個印表機可分配子機作分工列印)，也可以設定不同的名稱來達到優先序之列印
3. 並且可以直接安裝多種版本驅動程式，於電腦加入AD後自動安裝印表機

DHCP

• 安裝
• 配置
• 新增領域
• 在DHCP主機名稱上以右鍵點取「新增領域」，開啟「新增領域精靈」後，點取「下一步」
• 輸入「領域名稱」及「描述」，點取「下一步」
• 在「IP位置範圍」，輸入「領域的IP起始至結束位置」，點取「下一步」
• 在「新增排除項目」，輸入「排除的IP起始至結束位置」(可輸入多組)，點取「下一步」
• 在「租用期間」設定IP位置租用限制時間，點取「下一步」
• 設定DHCP選項，點取「下一步」
• 設定「路由器(預設閘道」的位置，設好後點取「下一步」
• 設定「網域名稱和DNS伺服器」的位置，設好後點取「下一步」
• 設定「WINS伺服器」位置，設好後點取「下一步」
• 是否要啟動領域，完成
• 新增保留，給特定電腦給予固定IP

Installation

舊記錄

伺服器自行架設第一步驟

1. 請使用新的磁碟分割槽，並使用ntfs檔案系統，若未使用RAID則以單一實體硬碟整塊分割為一區為系統專用碟(區、槽)
2. 開始安裝windows server 2003 enterprise r2 x64 sp2版本
3. 授權方式採用每一使用者，並調至最大
4. 請仔細設定電腦所有者名稱及組織
5. 留意設定電腦名稱及工作群組，按日後規劃的名稱定義，以免日後更改麻煩
1. 可用server1、server2依序命名
6. 設定administrator，請使用最複雜之密碼規則(英、數、特殊字元混合，並8碼含以上)
7. 進入桌面後，繼續安裝R2
8. 調整錯誤回報、啟動選項(單)、將虛擬記憶體設為實體記憶體的3倍(可移至另一顆實體碟，以增加效能)、調整桌面項目增加效能、啟用遠端桌面以便搖控及關閉自動更新
9. 設定「本機安全性設定」「安全性設定」「帳戶原則」中的二項「密碼原則」及「帳戶鎖定原則」，提昇伺服器的安全性
10. 重新開機後，安裝ws2003kb修補程式，先裝sp2，不要裝search desktop
11. 安裝主機的所有驅動程式，若使有二張網卡分別對外及對內，則對內網卡只設IP及遮照，不設閘道及DNS、WINS選項，對外網卡則配置靜態IP位置或由該網段的路由器配給IP(由路由器固定IP)
12. 安裝防毒軟體、提昇效能工具軟體、USB開關等程式，安裝搭配的工具軟體，若只是成員伺服器，請加入網域後以網域管理員登入安裝，若要成為網域控制站時，請加成為網域控制站後再安裝

IIS SSL

• 請先安裝「憑證服務」元件，並完成根憑證建立
• 點取「開始」的「系統管理工具」執行「網際網路資訊服務(IIS)管理員」
• 展開「伺服器主機名稱」的「網站」，右鍵點取「預設的網站」的「內容」
• 點取標籤「目錄安全設定」中「安全通訊（區塊）」的「伺服器憑證」，開啟「網頁伺服器憑證精靈」點取「下一步」
• 在「伺服器憑證」中點取「建立新憑證」，點取「下一步」
• 在「延遲或立即要求」中點取「準備要求，但於稍後傳送」，再點取「下一步」
• 在「名稱及安全設定」中的「名稱」，設定有意義的名稱如公司全銜（或某服務專用等字樣），點取「下一步」
• 在「公司資訊」中，設定「公司」及「單位」名稱，點取「下一步」
• 在「您網站的一般名稱」中的「一般名稱」，請將使用該憑證的主機各種名稱以「,」區隔設定，點取「下一步」
• 如your.local,your.com.tw,www.your.com.tw,server1,server1.your.local,mail.your.local等
• 若有Exchange Server 2007，請以Exchange Power Shell建立SSL憑證，以便同時用在SMTP、POP3及IMAP4及各SSL上
• 在「地理資訊」中，設定「國家(地區)」、「省/州」及「城市/位置」名稱，點取「下一步」
• 在「憑證要求檔案名稱」，設定「檔案名稱(預設為c:\certreq.txt)」(及儲放路徑)，點取「下一步」
• 點取「下一步」及「完成」後完成憑證建立
• 進入「憑證服務」網站(http://your.local/certsrv/)
• 點取「要求憑證」
• 點取「進階憑證要求」
• 點取「用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求，或用 Base-64 編碼的 PKCS #7 檔案提交更新要求。」
• 開啟(預設)c:\certreq.txt，將內容複製並貼上於「Base-64 編碼的 憑證要求 (CMC or PKCS #10 or PKCS #7):」的右邊空白框處，點取「提交」
• 在「憑證已發出」中點取「DER編碼」後，點取「下載憑證」，將其儲放在c:\下
• 回到仍展開的「網際網路資訊服務(IIS)管理員」
• 展開「伺服器主機名稱」的「網站」，右鍵點取「預設的網站」的「內容」
• 點取標籤「目錄安全設定」中「安全通訊（區塊）」的「伺服器憑證」，開啟「網頁伺服器憑證精靈」點取「下一步」
• 在「擱置的憑證要求」中點取「處理擱置要求及安裝憑證」，點取「下一步」
• 在「處理擱置要求」中的「路徑及檔案名稱」，請指向剛儲存的憑證，點取「下一步」
• 在「SSL連接埠」中，設定「這個網站應該使用的SSL連接埠(預設為443)」，點取「下一步」
• 點取「下一步」再點取「完成」，完成憑證安裝
• 將所有憑證的檔案刪除

Internet Information Services

(視需要)安裝IIS（變更ASP版本)元件及相關程式（安裝其他ISAPI、FASTCGI程式，如PHP等等）安裝及配置

　一、安裝「Application Server」元件

　　（一）啟用網路COM+存取

　　（二）網際網路資訊服務(IIS)

　　　　１NNTP Service(若要安裝Exchange2003則要安裝，若無則不必安裝)

　　　　２SMTP Service(若要安裝Exchange2003則要安裝，若無則不必安裝)

　　　　３全球資訊網服務

　　　　　（１）Active Server Pages

　　　　　（２）全球資訊網服務

　　　　４共用檔案

　　　　５網際網路資訊服務管理員

　　　　６(非必要)檔案轉換通訊協定(FTP)服務

　　（三）應用程式伺服器主控台

　二、調整目錄路徑、權限、配置防火牆，在IIS中將SMTP與NNTP停止服務，若是DC2包含安裝DC1的憑證以便使用HTTPS通道

　　（一）開啟「網站」「預設的網站」，以滑鼠右鍵點選內容，點取「目錄安全設定」開啟「伺服器憑證」精靈

　　（二）指派憑證到網站的方法，選取「從遠端伺服器網站複製或移動憑證到此網站」，並於下一步選「第一項，複製....」

　　（三）輸入遠端伺服器網站的主機名稱、帳號及密碼

　　（四）選擇遠端伺服器擁有憑證的網站或主機

　　（五）完成後重新啟動IIS服務

　三、(非必要)配置FTP目錄安全設定及寫入、其他設定，系統槽的FTPROOT目錄為虛擬目錄建置區，實體檔案另建目錄至非系統槽，並設置虛擬目錄連結，並設定IUSR_(SERVER_NAME)無法存取但可連線

　四、安裝framework2.0、3.0及3.5及sp修補及語言檔，由於1.0~1.1只有32位元程式，若要執行相關.NET程式，則必須要將IIS改為以32位元方式執行

　五、確認IIS的MMC的網站是否已將「內容」中的「ASP.NET」的版本切至2.0（含以上）

IPv6

• 點選「開始」中「控制台」的「網路連線」
• 以右鍵點取任一連線(區域連線)的「內容」
• 在標籤「一般」中按「安裝」並選擇「通訊協定」，點取「新增」後點取「Microsoft TCP/IP version 6」完成安裝
• 測試
• 點選「開始」中「執行」，輸入「cmd」(enter)
• 輸入「netsh interface ipv6 install」後即可看到「確定」字樣
• 輸入「ping ::1」即可看到回應訊息
• 輸入「ping6 ::1」即可看到回應訊息

NTP

• 網域中僅PDC為NTP SERVER並可與網際網路時間校時，其餘SERVER、PC均向PDC校時
• PDC
• 「開始」中的「執行」輸入下二行指令來進行設定
• w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov
• w32tm /config /update
• 請先測試 被對時的外部網域NTP SERVER是否能正常運作
• DC、成員伺服器、終端電腦
• net time /querysntp (當 Type = NT5DS 便不會向外校時)
• net time /set 同步
• GPO 啟用群組原則
• 陸續展開「電腦設定」「系統管理範本」「系統」「Windows時間服務」「時間提供者」
• 啟用 Windows NTP 伺服器(若要讓 client 電腦與非PDC主機對時，則啟用另二個)

VPN

1. Install remote and route role
2. In install，click checkbox VPN and Route, next finish
3. start VPN SERVER of local server name contact
4. tag「general」at router，choose「LAN and pppoe be route」
5. 「Security」 when you don`t have any RADIUS SERVER to use WINDOWS account check
6. tag「IP」please create DHCP SERVER first，before choose「RAS」
7. Configuare AD/account connect server time limit and work status
8. can use sql server to record
9. principle「connect remote Microsoft route and remote read write server」，click「contact」，edit setting item，click IP of tag，allow user account can get ip address， and you can set a IP to user in AD/user account

wins

一、安裝WINS SERVER角色

　二、設定複寫或推入（出）其他WINS SERVER

　三、可使用ｓｑｌ記錄資料

退出AD及DC降級為成員伺服器

若為PDC時請勿降級造成網域故障，以下操作為非PDC而欲降級移機時，若要移除PDC且仍有其他DC存在時，請先進行５＋１角色轉移

1. 使用管理介面，執行安裝移除角色精靈進行「移除AD」以降級為成員伺服器
2. 強制降級，無法正常降級時，當無法正常以安裝精靈移除AD角色時，將使用此方式進行單機降級，但要事後至現存AD中將殘餘離線的DC資料手動移除 http://www.wretch.cc/blog/josephphoto/13886817
• 點按「開始」→「執行」，輸入「dcpromo /forceremoval」
• 在「歡迎使用 Active Directory 安裝精靈」頁面上，點按「下一步」按鈕
• 在「強制移除 Active Directory」頁面上，點按「下一步」按鈕
• 在「系統管理員密碼」中，輸入您要指定給本機 SAM 資料庫中系統管理員帳戶的密碼，重複確認密碼後，點按「下一步」按鈕
• 在「摘要」上，點按「下一步」按鈕
• 在樹系中其餘的網域控制站上，清除降級的網域控制站的中繼資料
3. 手動移除已永久離線的DC資料方式一
• 開啟「系統管理工具」的「Active Directory管理」
• 將「Active Directory使用者及電腦」中的「Domain Controllers」內已不存在的DC刪掉
• 將「Active Directory站台及服務」的「Sites」「Default-First-Site」「Servers」中，已不要的DC刪除

網域名稱DNS管理

一、整合AD將進行複寫，建議使用於內部網域配置上，若有二台以上DC，至少要有二部DC安裝DNS並互指，可減少因啟動過慢造成服務中斷問題

　（一）開啟DNS管理介面

　（二）點選「新增區域」，本次以向網域註冊商所註冊可進行管理的網域名稱為主要操作說明

　（三）設定為「主要區域」並可以與AD整合

　（四）複寫的方式採用「網域中的所有DNS伺服器」，若有其他需求，可自行調整

　（五）接下來設定為「正向對應區域」，除非有必要，不然無須設置「反向對應區域」（反解，由IP反向對應DNS）

　（六）將註冊的網域名稱填入「區域名稱」內，並且已在網域註冊商所提供的介面設置NAME SERVER並指向要對應的IP位置

　　　１、範例一：ns1.domain.com 123.123.123.123及ns2.domain.com 123.123.123.123（只有一個IP的情況）

　　　２、範例二：dns1.domain.com 456.456.456.456及dns2.domain.com 789.789.789.789（有二個IP或有架二台DNS SERVER的情況）

　（七）更新方式採用預設即可，可視需求自行設置

　（八）設定完後，在正向對應區會有，你所設定的「區域名稱」的區域在清單中，後續將開始進行細部的設置（SOA、NAME SERVER、MX及A記錄）

　（九）點選自設的「區域名稱」「內容」開啟設定對話盒

　　　１、設定SOA主機名稱及負責用及時間設定

　　　　（１）主要伺服器：電腦名稱{dot}區域名稱{dot}，如 server{dot}domain{dot}com{dot}

　　　　（２）負責人：人員名稱{dot}區域名稱{dot}，如 admin{dot}domain{dot}com{dot}

　　　２、設定名稱伺服器：作用為通知要求服務的主機，告知其主機各個服務的實際位置

　　　　（１）將原主機位置刪除

　　　　（２）在第六項中，於網域名稱註冊商的管理介面中，將設定值予以「新增」至清單中

　　　　（３）如 dns1.domain.com 456.456.456.456及dns2.domain.com 789.789.789.789

　　　３、（請視情況）區域轉送，請鉤選「允許區域轉送」，以便傳送複本給要求的DNS SERVER或要求複寫的DNS SERVER及本區的次DNS伺服器

　　　４、設定A記錄：如www、ftp、mail或全部轉向等等

　　　　（１）在要設定的「區域名稱」以滑鼠右鍵點選「新增主機(A)」

　　　　（２）新增www的A記錄並將IP指為123.123.123.123，如此在輸入www.domain.com便會解析為123.123.123.123

　　　　（３）可新增一個空白的A記錄，讓所有未定義的次網域均轉向至指定的IP

　　　　（４）SOA的主機位置可增加A記錄來變更

　　　　（５）新增一個mail的次網域A記錄，將來若有建立多個MAIL SERVER則於此處設定IP位置

　　　５、設定MX記錄：作為電子郵件交換用，讓對方知道MAIL SERVER的主機位置

　　　６、其他記錄，可視需求自行設置

　（十）ＡＤ主樹系網域名稱無須使用反向查詢，外部ＩＰ才需要，在建記錄時則不鉤選建立PTR反查詢記錄

二、不予AD整合不進行複寫，一般建議外部用DNS使用此選項

　（一）操作步驟至AD整合篇的第（三）項，而整合AD不予鉤選

　（二）選擇「正向對應區域」

　（三）將註冊的網域名稱填入「區域名稱」

　（四）區域名稱的設定檔，請使用預設檔名即可，也可使用既有設定檔

　（五）請設置「不允許動態更新」，避免發安全性問題

　（六）記錄設定，同AD整合篇（八、九）項

網域控制器 Domain Controller SDC/DC2

　一、成員伺服器

　　（一）首先手動設定IP、DNS及WINS等配置，並將DNS指向PDC/DC1

　　（二）接著變更「我的電腦」「內容」「電腦名稱」，將電腦加入網域，輸入網域名稱及網域帳號密碼登入後，完成重新開機即成為網域的成員亦為成員伺服器。

　二、網域控制站

　　（一）先成為網域成員伺服器。

　　（二）使用「管理您的伺服器」元件，點取「新增或移除角色」後，新增「網域控制站Active Directory」

　　（三）由於是設定第二部DC因此選擇「現存網域中的網域控制站」，輸入帳號、密碼來執行ad安裝

　　（四）輸入PDC(DC1)所管的網域名稱

　　（五）輸入還原模式要用的密碼後，進行安裝到結束，完成第二部DC架設

　　（六）若要配置防火牆，則必須啟動逺端路由及防火牆或建置硬體防火牆

　　（七）當PDC(DC1)為原生模式時，將自動同為該模式

Primary Domain Controller

Primary Active Directory

一、第一部網域控制站(器)

　　（一）開啟「管理你的伺服器」精靈，新增或移除角色

　　（二）選擇第一台伺服器的一般設定

　　（三）設定要使用的網域名稱，請使用代有尾段為.local的名稱，來區別內外網域

　　（四）設定內部網域名稱.local及NETBIOS要用的名稱

　　（五）設定無法解析的DNS所要轉寄的IP位置，如HINET 168.95.1.1，請勿停用遞迴造成無法解析，郵件或web等服務無法動作

　　（六）確定要安裝的元件清單及提示訊息「安裝的過程中可能將會重啟動數次」

　　（七）接下來設定路由及遠端存取

　　　　１、設定連接網際網路的介面及使用NAT及基本防火牆

　　　　２、設定可存取網際網路的介面

　　（八）安裝DHCP服務

　　（九）安裝AD服務，在過程中將會要求存取原安裝光碟，並重新啟動系統

　　（十）登入系統後將會繼續進行安裝及設定至結束，完成網域控制站設定

　　（十一）若網域中沒有比WS2K3還低階的網域控制站，則可開啟「Active Directory」「提高網域功能等級」選「Windows Server 2003」

二、5+1角色轉移

FTP of IIS

　　（一）安裝管理工具：點選「開始」「控制台」「新增或移除程式」，再點選「新增/移除windows元件」「Application Server」的「詳細資料」，再點選「網際網路資訊服務(IIS)」的「詳細資料」，將「檔案轉換通訊協定(FTP)服務」鉤選並安裝

　　（二）點選「開始」的「系統管理工具」，開啟「網際網路資訊服務(IIS)」後即可看到「FTP站台」及已建置好的「預設的FTP站台」

　　（三）點選「預設的FTP站台」的內容，進行修改FTP站台的組態，以便調整及權限等後續設置

　　　　１、「FTP站台」，請視情況自行調整

　　　　２、「安全設定帳戶」，若要可暱名存取的話，此部份不變動，若要以帳號管理者，請取消「允許暱名連線」的鉤選

　　　　３、「訊息」，此處將會提供登入或結束連線時的使用者，提示其設定中的訊息內容

　　　　４、「主目錄」，請將「寫入」鉤選

　　　　５、「目錄安全設定」，可自行配置、限制可存取或拒絕之IP位置

　　（四）建立虛擬目錄

　　　　１、「FTP站台」的主目錄路徑預設為「c:\inetpub\ftproot」

　　　　２、請將該路徑作為虛擬目錄用，而不存放任何資料，僅與實際存放檔案之資料夾對應（當然也可以視需求存放實際檔案），此意為利於管理及儲存規劃於非系統槽

　　　　３、在路徑下設置三個資料夾，分別為「admin」（僅administrator帳戶可讀寫）、「super」（administrator帳戶可讀寫、super可讀寫、guest帳戶可讀）及「guest」（任何帳戶含暱名帳戶均可讀寫）

　　　　４、承上，設置一實體存放路徑為「c:\ftp」，亦建立同上三個資料夾

　　（五）帳戶及權限設置

　　　　１、除了administrator帳戶為預設系統管理員帳戶外，另外設置super帳戶

　　　　２、配置「c:\ftp\admin」目錄權限

　　　　　（１）右鍵點選資料夾後，選擇「共用與安全性」後

　　　　　（２）點選「進階」後，取消鉤選「允許從父項繼承權限套用到這個物件和所有子物件，包括明確定義於此的項目(A)」，出現警告對話盒後點選「移除」，此時僅剩administrator對該資料夾仍有擁有權

　　　　　（３）請點選「編輯」，請將「套用在」的選單，選擇「這個資料夾，子資料夾及檔案」，按「確定」回到上層對話盒後按「套用」，再按二次「確定」關閉對話盒，完成設定

　　　　３、配置「c:\ftp\super」目錄權限

　　　　　（１）右鍵點選資料夾後，選擇「共用與安全性」後

　　　　　（２）點選「進階」後，取消鉤選「允許從父項繼承權限套用到這個物件和所有子物件，包括明確定義於此的項目(A)」，出現警告對話盒後點選「移除」，此時僅剩administrator對該資料夾仍有擁有權

　　　　　（３）請點選「編輯」，請將「套用在」的選單，選擇「這個資料夾，子資料夾及檔案」，按「確定」回到上層對話盒後按「套用」，再按「確定」回到內容

　　　　　（４）請點選「新增」並輸入「super」帳戶按確定，並按「套用」

　　　　　（５）點選「進階」開啟進階安全性對話盒，點選「super」帳戶並按「編輯」，套用在選單中請選「這個資料夾，子資料夾及檔案」，權限請鉤選「完全控制」，按「確定」回到上層對話盒後按「套用」及「確定」回到內容，再按「套用」及「確定」關閉對話盒，完成設定

　　　　４、配置「c:\ftp\guest」目錄權限

　　　　　（１）右鍵點選資料夾後，選擇「共用與安全性」後

　　　　　（２）點選「進階」後，取消鉤選「允許從父項繼承權限套用到這個物件和所有子物件，包括明確定義於此的項目(A)」，出現警告對話盒後點選「移除」，此時僅剩administrator對該資料夾仍有擁有權

　　　　　（３）請點選「編輯」，請將「套用在」的選單，選擇「這個資料夾，子資料夾及檔案」，按「確定」回到上層對話盒後按「套用」，再按「確定」回到內容

　　　　　（４）請點選「新增」並輸入「everyone」帳戶按確定，並按「套用」

　　　　　（５）點選「進階」開啟進階安全性對話盒，點選「everyone」帳戶並按「編輯」，套用在選單中請選「這個資料夾，子資料夾及檔案」，權限請鉤選「完全控制」，按「確定」回到上層對話盒後按「套用」及「確定」回到內容，再按「套用」及「確定」關閉對話盒，完成設定

　　（六）「FTP站台」虛擬目錄設定

　　　　１、開啟「IIS管理介面」進入「預設的FTP站台」

　　　　２、新增「admin」、「super」及「guest」三個虛擬目錄

　　　　３、「別名」與「c:\inetpub\ftproot」下的三個目錄對應

　　　　４、「路徑」分別對與「c:\ftp」下三個目錄名稱對應

　　　　５、「權限」部份均鉤選「讀取」與「寫入」

　　（七）開啟瀏覽器，在網址列輸入「ftp://localhost」(Enter)連線至FTP站台

　　　　１、分別以「暱名」、「super」及「administrator」等帳戶進行讀取及寫入測試

　　　　２、登入方式為連線後，在空白處點選滑鼠右鍵，點選「登入身份」後輸入帳戶及密碼

　　　　３、當為暱名時，可連進FTP站台，可在目錄「guest」讀寫資料，但無法讀取目錄「super」及「admin」

　　　　４、當登入為「administrator」時，目錄「guest」、「super」及「admin」均可讀寫資料

　　　　５、當登入為「super」時

　　　　　（１）由於目錄「super」與其同名，一經登入時將會直接進入該目錄，且顯示為根目錄（即該User的Home目錄或稱專屬目錄），而不會進入真正的ftproot根目錄

　　　　　（２）變更目錄「super」所有設定為「test」時，則進入ftproot根目錄，並顯示其他目錄，並可在目錄「guest」及「test」讀寫資料，但無法讀取目錄「admin」

　　（八）可整合「檔案伺服器管理與檔案伺服器資源管理員(網芳、共用)」

File Service System

　一、檔案伺服器管理與檔案伺服器資源管理員(網芳、共用)

　　（一）安裝管理工具：點選「開始」「控制台」「新增或移除程式」，再點選「新增/移除windows元件」「Management and Monitoring Tools」的「詳細資料」

　　　　　將「檔案伺服器資源管理員」及「檔案伺服器管理」二項鉤選後開始安裝，安裝完後會重新啟動

　　（二）點選「開始」「系統管理工具」「檔案伺服器管理或檔案伺服器資源管理員」開始進行設置

　　　　１、點選「檔案伺服器資源管理員」的「設定選項」，進行組態設定，包含郵件通知等。

　　　　２、設定郵件通知。

　　　　３、設定報告檔存放路徑，可使用預設或另外設定存放路徑，避免系統磁碟空間不足

　　（三）建立共用資料區「自訂資料夾」，請規劃非系統磁碟區來儲存，避免影響系統運作及日後縮減之空間

　　（四）建立共用資料區「自訂資料夾」，的配額限制

　　（五）若要限制或允許某些檔案，則要建立「檔案檢測」，符合原則的檔案格式，將被（不）允許存入被指定檢測的資料夾，在此不作設定

　　（六）發佈，可以規畫此共用資料夾結合AD

　　（七）可作分散式檔案系統管理，將檔案複本存放在各個群組的伺服中，使用者將從最近的伺服存取

　　（八）進入方式為「網路芳鄰」或點選「開始」的「執行」後輸入「\\位置」（位置可以是IP或NETBIOS名稱）

　　（九）可整合「IIS的FTP站台」

　二、IIS的FTP站台

　三、分散式檔案系統

Distributed File System

1.Plan

　A.Creating in Active Directory

　B.Server Array [S1 & S2 & S11], Data write on S1 and S2, S11 is only portal

　C.Use AD Tree

　D.Creating Name Server in Server array

2.Install DFS

　A.Type 1

　　(1)Open [Management your server]

　　(2)Click [Add / Remove Rolu]

　　(3)Select [File Server]

　　　(A)Click DFS

　　　(B)and you can choose other item

　B.Type 2

　　(1)Open [Start], [Control], [Add / Remove Programs]

　　(2)Open [Add/Remove Windows element]

　　(3)Click [Distributed File System], Click All of this item.

　　(4)Into [Management and Monitoring Tools], click [File Server Resource Manager] and [File Server Management]

3.Run [File Server]

　A.Create a Name Space [MyFolder]

　　(1)Choose Server [S1]

　　(2)Set Name

　　(3)Set DFSroot permission for domain users

　　(4)Choose base of AD [local]

　B.Open name space [\\local\MyFolder]

　　(1)Add new folder [Folder1]

　　(2)Add target folder

　　　(A)Click browse

　　　(B)Choose S1

　　　(C)Click display all share folder

　　　(D)Click Add a new share folder

　　　(E)Set a name [Folder1$]

　　　(F)Choose and set [Folder1$] path in S1

　　　　<1>Click browse

　　　　<2>Choose Disk

　　　　<3>Create a new folder[Folder1](you can creat a root folder)

　　　　<4>Right click this folder and click properties

　　　　<5>Click tag [Security], and click [Advanced]

　　　　<6>Clear the [Include inheritable permissions from this object's parent] check box, and click [Remove]

　　　　<7>Edit [Administrator ..], Apply choose [This folders, subfolders and files] and submit, and apply and submit again

　　　　<5>Return Tag Security, add a user, choose this folder`s users or group and set permission, and apply and submit

　　　　<5>Click submit return

　　　(G)Choose [Custom permission], and click button

　　　　<1>Remove all permission or not

　　　　<2>Add user [administrator] all of permission

　　　　<3>Add this folder user and set permission

　　　　<4>Apply and Submit

　　　(H)Click Submit

　　(3)Choose created finish folder [Folder1$], and submit, and submit again

　　(4)Do (1)~(3) create on [S2]

　　(5)Click Submit to finish

　C.When [B.] Finish will open [Create a Replication Group]

　　(1)Click [Yes]

　　(2)Set Replication Folder, and click [Next]

　　(3)Confirm information and click [Next]

　　(4)Choose a main server [S2], and click [Next]

　　(5)Choose [Full Mesh Topology], and click [Next]

　　(6)Set [BandWidth], and click [Next]

　　(7)Click [Create], when finish to click [Close] and submit

　D.Announce to other name server

　　(1)Right click [Folder1]

　　(2)Add a new name server

　　(3)Browse and Choose a Server [S1]

　　(4)Click [edit setting]

　　　(A)Choose [Custom permission], and click button

　　　(B)Remove all permission or not

　　　(C)Add user [administrator] all of permission

　　　(D)Add this folder user and set permission [Domain users]

　　　(E)Apply and Submit

　　(5)Click submit

　　(6)Do (1)~(5) to create on [S2]

4.File Server Management(local)

　A.Connect to S1

　B.Click [File Server Resource Manager]

　C.Click [Quota Management]

　　(1)Click [Quota Template]

　　　(A)Create a quota templates

　　　(B)Choose a template to copy

　　　(C)Modify setting and submit

　　(2)Click [Quota]

　　　(A)Create a quota

　　　(B)Choose a folder path [Folder1]

　　　(C)Choose a quota template

　　　(D)Click [create]

　D.File Screening Management

　　(1)Right Click [File Screening] and Add a new

　　(2)Choose a folder path [Folder1]

　　(3)Choose a File Screening template

　　(4)Click create

　E.Do A.~D. to S2

5.Test and Work

IAS & RADIUS

網際網路驗證服務IAS (RADIUS)，可將網路設備整合，將使用權進行限制，用戶連接設備時，透過設備將向伺服器連接取得驗證，完成驗證後取得有線、無線或VPN連線至網路的使用權

　　　管控上限為50裝置，並且須配置憑證伺服器發佈憑證及個人憑證，應用於ＶＰＮ、ＷＩＲＥＬＥＳＳ（８０２．１Ｘ）

　一、安裝網際網路驗證服務IAS

　　（一）前置作業

　　　　１、安裝憑證服務

　　　　２、建立並發行(SSL)憑證，可以IIS建立一憑證

　　　　３、網路設備必須支援802.1x及RADIUS設定

　　（二）安裝「網際網路驗證服務(IAS)」

　　　　１、點取「開始」的「控制台」執行「新增/移除程式」後，點取「新增/移除Windows元件」

　　　　２、點取「Networking Services」後點取「詳細資料」，將「網際網路驗證服務(IAS)」鉤選後，點取「確認」再點取「下一步」進行安裝

　　（三）服務配置

　　　　１、點取「開始」的「系統管理工具」執行「網際網路驗證服務」

　　　　２、服務登錄至Active DIrectory

　　　　　（１）在「網際網路驗證服務(本機)」點取右鍵後，點取「在Active Directory中登錄伺服器」

　　　　３、用戶端設定

　　　　　（１）以右鍵點取「RADIUS用戶端」，點取「新增RADIUS用戶端」

　　　　　（２）輸入「好記的名稱」如「OFFICE AP1 D-LINK DAP-1150」，輸入「用戶端位置(IP或DNS)」如「192.168.1.4」

　　　　　（３）設定「用戶端廠商」為「RADIUS Standard」，輸入「(確認)共用密碼」，供網路設備連接驗證用

　　　　４、存取原則設定

　　　　　（１）對話盒驗證

　　　　　　　Ａ、以右鍵點取「遠端存取原則」，點取「新增遠端存取原則」開啟「新增遠端存取原則精靈」，並點取「下一步」

　　　　　　　Ｂ、在「您要如何設定這個原則」選取「使用這個精靈為一般狀況設定基本原則」

　　　　　　　Ｃ、輸入「原則名稱」，如「Wireless AP Connect Check」，點取「下一步」

　　　　　　　Ｄ、在「存取方法」點取「無線」，點取「下一步」

　　　　　　　Ｅ、在「使用者或群組存取」中設置存取權限，因要授權予所有員工，因此在此點取「新增」後將「Domain Users」加入，點取「下一步」

　　　　　　　Ｆ、在「驗證方法」類型中點取「受保護的(PEAP)」，並點取「設定」

　　　　　　　　（Ａ）在「憑證發給」點取本機的FQDN名稱的項目

　　　　　　　　（Ｂ）鉤選「啟用快速重新連線」，點取「確認」，再點取「下一步」

　　　　　　　Ｇ、完成配置

　　　　　（２）憑證驗證

　　　　　　　Ａ、點取「遠端存取原則」，將已設置好的新原則二次點取後開啟對話盒

　　　　　　　　（Ａ）點取「編輯設定檔」

　　　　　　　　　　ａ、在標籤「驗證」中點取「EAP方法」

　　　　　　　　　　ｂ、點取「新增」，點取「智慧卡或其他憑證」後點取「確定」

　　　　　　　　　　　（ａ）點取「智慧卡或其他憑證」後點取「上移」(優先使用)，再點取「確定」

　　　　　　　　　　　（ｂ）點取「套用」後再點取「確定」

　　　　　　　　　　ｃ、點取「確定」後完成設定

　　　　５、存取記錄設定

　　　　　（１）展開「遠端存取記錄」，點取「本機檔案」，將「設定」標籤中的三個項目均鉤選

　　　　　（２）調整設定檔及路徑等，以防記錄檔過大或移至記錄檔專用磁碟，或配合檔案管理限制配額

　　　　　（３）可使用SQL SERVER儲存記錄

　　（四）用戶撥入權限

　　　　１、個別帳戶設定

　　　　　（１）開啟「Active Directory」，在「使用者名稱」以右鍵點取「內容」

　　　　　（２）點取標籤「撥入」中設定「用戶遠端存取使用權限(撥入或VPN)」，授予「允許存取」

　　　　２、群組原則設定

　　　　　（１）在遠端存取原則中，增加屬性質「Ignore-User-Dialin-Properties」，並將其設為「True」，即可忽視「個別帳戶設定」

　　　　　　　Ａ、在已設好的遠端存取原則項目，二次點取開啟「內容」對話盒

　　　　　　　Ｂ、點取「編輯設定檔」，再點取標籤「進階」

　　　　　　　Ｃ、點取「新增」，點取屬性質「Ignore-User-Dialin-Properties」後點取「新增」，並設其值為「True」

　　（五）網路設備配置

　　　　１、啟動網路設備，在此以無線AP設備為例，並進入GUI介面進行設定

　　　　２、驗證模式為「WPA」，加密模式為「TKIP」，PSK/EAP為「Enterprise」

　　　　３、在「802.1x」的「RADIUS」中，設定RADIUS SERVER IP、PORT(1812)及RADIUS用戶端時所設的「共用密碼」

　二、用戶端驗證設定

　　（一）採用非憑證式登入

　　　　１、請先確認「網際網路驗證服務(IAS)」中是否可以使用此驗證方法

　　　　２、連接時會發生找不到憑證登入，二次點取「無線連線」後開啟「無線網路連線」，點取「變更進階設定」

　　　　３、點取上方標籤「無線網路」，再下方「慣用網路」中點取要登入的網線網路SSID，再點取「內容」

　　　　４、SSID 內容

　　　　　（１）在標籤「關聯」中，在「網路驗證」點取「WPA」，在「資料加密」點取「TKIP」

　　　　　（２）在標籤「驗證」中，在「EAP類型」點取「Protected EAP (PEAP)」後，點取「內容」

　　　　　（３）受保護的 EAP 內容

　　　　　　　Ａ、在「連線時」取消鉤選「確認伺服器憑證」，鉤選「啟用快速重新連線」

　　　　　　　Ｂ、在「選擇驗證方法」點「設定」

　　　　　　　　（Ａ）取消鉤選「自動使用我的Windows登入名稱及密碼....」

　　　　５、點取「確認」到退出對話盒

　　　　６、此時將會跳出「輸入認證」對話盒，輸入AD帳戶的名稱及密碼即可連線

　　（二）採用憑證式登入

　　　　１、請先確認「網際網路驗證服務(IAS)」中是否可以使用此驗證方法

　　　　２、安裝根憑證

　　　　３、安裝使用者憑證

　　　　４、終端電腦

　　　　　（１）二次點取「無線網路連線」，點取要連線的無線網路

　　　　　（２）出現提示訊息確認憑證，點取「確定」後完成連線

　　　　　（３）若無法連線或使用非Windows內建無線網路管理服務者，請確認以下設定

　　　　　　　Ａ、驗證方式：WPA

　　　　　　　Ｂ、資料加密：TKIP

　　　　　　　Ｃ、EAP驗證類型：TLS(或智慧卡或憑證)

　　　　５、行動裝置

　　　　　（１）匯出使用者憑證

　　　　　　　Ａ、開啟「瀏覽器Internet Explorer」，點取「工具」的「網際網路選項」

　　　　　　　　（Ａ）點取標籤「內容」中「憑證區塊」的「憑證」

　　　　　　　　（Ｂ）點取「自已的使用者憑證」，再點取「匯出」

　　　　　　　　（Ｃ）開啟「憑證匯出精靈」後點取「下一步」

　　　　　　　　　　ａ、在「匯出私密金鑰」中點取「是，匯出私密金鑰」，再點取「下一步」

　　　　　　　　　　ｂ、在「匯出檔案格式」中，鉤選「如果可能的話，在憑證路徑中包含所有的憑證」及「啟用加強保護」，點取「下一步」

　　　　　　　　　　ｃ、在「密碼」中不設置密碼，注意，安裝完憑證後須將匯出的憑證檔案刪除，避免被盜用，否則請設密碼，點取「下一步」

　　　　　　　　　　ｄ、在「要匯出的檔案」中點取「瀏覽」，選擇匯出目的目錄，設定「檔名(自訂)」後點取「儲存」，點取「下一步」

　　　　　　　　　　ｅ、點取「完成」再點取「確定」，完成憑證匯出

　　　　　　　　（Ｄ）點取「確定」到退出對話盒

　　　　　（２）將行動裝置與電腦連線

　　　　　　　Ａ、將匯出的*.pfx憑證傳送至行動裝置上

　　　　　　　Ｂ、在行動裝置上點取該憑證完成憑證安裝，若有設定密碼，則請輸入安裝密碼

　　　　　　　Ｃ、設定連線

　　　　　　　　（Ａ）進入「無線網路設定」

　　　　　　　　（Ｂ）點取要連線的無線網路，編輯設定

　　　　　　　　　　ａ、驗證方式：WPA

　　　　　　　　　　ｂ、資料加密：TKIP

　　　　　　　　　　ｃ、EAP驗證類型：TLS(或智慧卡或憑證)

　　　　　　　Ｄ、點取該無線網路，點取「連線」

　　　　　（３）在本機電腦與行動裝置上，將匯出的使用者憑證全部刪除

CA Server

一、憑證配置
　（一）在IIS中使用憑證HTTPS
　（二）在Exchange中使用憑證SMTP、IMAP4、POP3
　（三）個人憑證及數位憑證
　（四）在SQL連線中使用
　（五）在WIRLESS無線網路上用
　（六）各種SSL連線使用
二、安裝憑證服務
　（一）開啟「控制台」「新增或移除程式」的「安裝或移除Windows元件」，將「Certifiacte Services」鉤選後進行安裝
　　　１、CA類型，選擇「企業根CA」
　　　２、CA識別資訊，CA的一般名稱，填寫公司完整名稱，分辯名稱尾碼，將公司所有網域名稱全部填入，有效期自行設定
　（二）請將IIS中的certsrv目錄勾選基本驗證，取消暱名連線
三、憑證要求
　（一）建立新憑證：
　　　１、IIS的伺服器憑證，點選「網站」的內容，選擇「目錄安全設定」的「伺服器憑證」，選擇建立新的憑證，將資料填寫完後將會提出要求（擱置中）
　　　２、進入http://domain/certsrv/進行憑證要求
　（二）進入「系統管理工具」的「憑證管理」，將擱置的憑證要求，進行批審，發行或拒絕
　（三）申請者再次進入http://domain/certsrv/中的擱置要求中，下載自已所要求的憑證
四、安裝根憑證
　（一）進入http://servername/certsrv/會出現警示訊息，請點選「是」
　（二）輸入「網域\帳號」、「密碼」
　（三）點選「下載 CA 憑證、憑證鏈結或CRL」
　（四）點選「請安裝這個CA憑證鏈結。」，出現提示訊息均請點「是」後，完成根憑證安裝
五、安裝使用者憑證
　（一）進入http://servername/certsrv/會出現警示訊息，請點選「是」
　（二）輸入「網域\帳號」、「密碼」
　（三）點選「要求憑證」
　（四）點選「使用者憑證」後，按下「提交」鈕
　（五）出現提示訊息點「是」後，點選「安裝這個憑證」，接著會再出現提示訊息，請點「是」完成安裝

WS2K3 5+1角色轉移

首先進入目的主機(將負責5+1角色的主機)，點選「開始」>「系統管理工具」執行「Active Directory 管理」

展開「Active Directory 使用者及電腦」，在「自訂的網域」點取滑鼠右鍵，執行「操作主機」，將「RID」、「PDC」及「基礎結構」等3個角色主機變更為目前這部主機

以滑鼠右鍵點取「Active Directory 網域及信任」，並執行「操作主機」，將「命名」角色主機變更為目前這部主機

展開「Active Directory 站台及服務」>「Sites」>「Default-First-Site」>「Servers」>「目前這部主機的名稱」 ，在「NTDS Settings」點取滑鼠右鍵，執行「內容」，將「通用類別目錄」予以鉤選起，將「通用類別目錄」變更為目前這部主機

點選「開始」>「執行」，輸入「regsvr32 schmmgmt」「Enter」，再次點選「開始」>「執行」，輸入「mmc」，開啟「主控台」，點選「檔案」的「新增/移除崁入式管理單元」，點取「新增」「Active Directory 架構」至「主控台」，在「Active Directory 架構」點取滑鼠右鍵，執行「變更網域控制站」，點取「指定名稱」並「確認」，再次「Active Directory 架構」點取滑鼠右鍵，執行「操作主機」，將「架構」角色主機變更為目前這部主機