DNS運作原理

by mandy 9. April 2015 11:14
DNS(Domain Name System),指的是「網域名稱系統」。電腦與電腦透過網路溝通時,都是利用IP來找位置,就好像家中都會一個獨一無二的「門牌號碼」一樣,IP就是這樣子的概念。而人腦是有極限的,我們在上網時能記得了多少IP位置呢?所以DNS是非常重要的服務,DNS可以利用淺顯易懂的名稱(e.g. www.google.com)來找到電腦上的門牌號碼(IP)。   以下模擬一個上網的情境: 當Client在瀏覽網頁時,這邊以www.test.tw舉例 1.   Client端會先搜尋自己本機的HOSTS檔,檢查看看是否有相對應的FQDN(Fully Qualified Domain Name,完整網域名稱)-->IP的對應資料。 本機HOSTS檔存放在%systemroot%\system32\drivers\etc\ 正解:FQDN-->IP;反解:IP-->FQDN,若此情境就是Client希望local DNS server提供正解的資訊 一個正解或反解的domain我們稱之為「Zone」,每一台DNS server都可以管理多個domain,不管是正解或是反解(多個zone)。 2.   若搜尋不到,會向local DNS server發出一個request,此時local DNS server會先檢查資訊庫內看是否有此正解資訊。如果有,就直接把IP丟回給Client端,若沒有此筆對照資料,會再檢查local DNS Cache是否有此筆對照資料,若都找不到對應資料,就會向root DNS server詢問。 3.   root DNS server會說:「我不知道你這串FQDN的IP是什麼,但我知道有一台負責tw的DNS server,他應該知道你要查的IP是什麼。」接著就會提供FQDN為tw的DNS server IP。 4.   tw DNS server會說:「 我不知道你這串FQDN的IP是什麼,但我知道有一台負責edu.tw的DNS server,他應該知道你要查的IP是什麼。」接著就會提供FQDN為edu.tw的DNS server IP。 5.   edu.tw的DNS server會說:「這個FQDN我知道!www.test.tw的IP為xxx.xxx.xxx.xxx」接著就把這個IP回傳到local DNS server。 6.   最後local DNS server就會把IP回傳給Client端,並將此紀錄在local DNS server的Cache內,之後在存放時間內進行查詢的話,就不必再回到root DNS server去詢問了。 以上的過程包含兩種查詢概念: 遞迴式(Recursive):Client 端向DNS server查詢的模式。Client端丟出一個詢問給 local DNS server, 然後local DNS server就會不斷地查到答案出來為止,Client只需要等待回應。這種方式只處理回應回來的封包是否是正確回應或是說是找不到該名稱的錯誤訊息。 交談式(Interactive):DNS Server間的查詢模式。由Client端或是DNS Server上所發出去的Query,這種方式是送封包出去,所回應回來的資料不一定是最後正確的名稱位置,但也不是如上所說的回應回來是錯誤訊息,回應回來只是告訴你最接近的IP位置,然後再到此最接近的IP去尋找所要解析的名稱。 為何要包含兩種查詢概念?這是網友的比喻: 在Client查詢Local DNS的時候,用戶端是很懶的,丟出問題後就只想得到結果,所以選用Recursive的方式。 在DNS Server之間互相查詢的時候,伺服器是認命的,受人之託只好拚命找答案,所以選用Iterative的方式。 用戶端為什麼不能勤勞點,使用Iterative的方式呢?如果真的這樣做,那就像民眾看病通通都先跑到國際醫學中心(root DNS server),再轉到國家醫院(top-level domain層級的DNS server),才到巷弄口的診所(local DNS server),會造成資源(頻寬)浪費。   Domain Name Server/Service/System,這些是什麼?到底哪一個才是DNS? 視談論議題的範圍:System>Server>Service 也就是說在Domain Name System裡面(整個FQDN-->IP查詢過程的樹狀結構)的某台提供Domain Name Service的叫做Domain Name Server(也有人稱DNS server-Domain Name Service server)。 一般網管人員在企業內部談論的大多是指Domain Name Server 講到FQDN解析為IP的整體架構及流程時就是Domain Name System。 p.s. 不知道我的解讀對不對~請各位多多賜教!!! 參考資料 iT邦幫忙-DNS運作原理的小疑問(DNS Recursive & Iterative) http://ithelp.ithome.com.tw/question/10089561 Seednet教室-DNS運作原理 http://eservice.seed.net.tw/class/class09.html DNS伺服器的運作原理 http://hsmaterial.moe.edu.tw/file/computer/7I85/class800/7I85/final/7i85_2_5/7i85_2_5.htm DNS介紹 http://faculty.ndhu.edu.tw/~comput/computer_c/training/hbc0122/dns-0.htm

Tags: ,

網管學習筆記

RAID-5 硬碟故障模擬測試

by mandy 27. March 2015 14:25
此次想試驗一下測試機RAID-5是否正確被建立且真的具有容錯的機制。 RAID-5 原硬碟分割區及大小配置: 測試機上為三顆1TB的硬碟,使用RAID-5之後,可用空間為2TB: 為了模擬RAID-5其中一顆硬碟壞掉的情況, 因此電腦關機後先把一顆硬碟拔掉: 拔掉後電腦還是可以正常開啟: 接著再關機,再接上剛剛那顆硬碟,將硬碟從RAID轉成non-RAID(partition會被摧毀、資料會遺失) (就是模擬全新硬碟的環境,這邊忘記截圖了Q__Q) ※注意新硬碟必須和損壞的硬碟一樣大小或者比原本的大。 ※若是SATA硬碟,安裝新硬碟時要插在原本的SATA port上。 這是其他有使用到Intel Rapid Storage Techology的user manual上面寫的 若是插在別的port上會如何呢?我也不知道... 步驟大概就是Ctrl+i進入Intel Rapid Storage Technology,選擇reset disk to non-raid   轉成non-RAID後,提示按下Ctrl+i以進入Intel Rapid Storage Technology: 發現RAID5的磁區已經Degraded: 確定是否要rebuild磁區: 按下確定之後,狀態會改為rebuild: ※大家有注意到下面一行字嗎? 上面寫著Volumns with “Rebuild” status will be rebuilt within the operating system. 可是進OS後看不到任何徵象表示在”Rebuild” 若要看Rebuild進度,可利用主機板光碟安裝或去Intel官網下載Intel Rapid Storage Technology(IRST),才有辦法在Windows內追蹤進度。 於IRST內看到進度目前為44%: Rebuild完成:

Tags: ,

網管學習筆記

系統檔怪獸-pagefile.sys & hiberfil.sys & swapfile.sys

by mandy 26. March 2015 17:37
前幾天遠端到伺服器進行維運時,發現C:幾乎快被佔滿, 現在SSD的使用已經越來越普遍了,相較於HDD,SSD的容量顯得更「物以稀為貴」, 因此硬碟空間還是必須注意的。   利用市面上常見的磁碟空間分析軟體,可以觀察磁碟內檔案的佔用情況。 以下利用我的本機電腦進行檢查, 裡面有兩個檔特別可怕:「pagefile.sys、hiberfil.sys」、「swapfile.sys」也是潛在威脅之一? 但這邊的空間佔用量不等於使用量,因為這些系統檔是屬於sparse file(稀疏檔案),系統只是宣告一個大小,而非真的佔用那麼多空間。但看到這麼多空間被佔用還是很不開心啊!!! 而這些系統檔又不能直接手動刪除,要如何和它們和平共處呢?以下將會介紹。 什麼是pagefile.sys? 系統分頁檔,是將一部份的硬碟空間轉為虛擬記憶體做使用。當實體記憶體不敷使用的時候,它只是用來存放實體記憶體放不下的閒置分頁,並不能夠直接被程式拿來做使用。由於技術的演進實體記憶體目前在應用上算是夠用的了,導致分頁檔的功能已不再那麼重要。Windows有提供關閉分頁檔的選項,但建議不要關閉,只要將容量改小即可,否則有可能造成系統不穩定。 容量改小方式:控制台->系統->進階系統設定->進階->設定->變更->自訂大小 根據需求輸入適當的大小     什麼是hiberfil.sys? 而hiberfil.sys是一個記憶體暫存檔,當電腦休眠時,系統會將休眠前的所有工作狀態,儲存到這個檔案中,以便解除休眠後,才能回復到休眠前的狀態,若平常沒有讓電腦休眠的習慣,hiberfil.sys可以直接關閉,也可以將檔案大小調整,但若使用調整大小的方式,最少還是必須保留50%的檔案容量。 容量改小方式: 以系統管理員身分開啟命令提示字元 powercfg /h off          (將休眠功能關閉) powercfg /h /size 50           (將hiberfil.sys縮減成50%大小)   什麼是swapfile.sys? Windows 8才開始擁有的系統檔,主要用來應付Metro Apps的分頁需求,和傳統的pagefil.sys提供的功能較不相同。 一般來說檔案大小大約為256MB(佔用空間情況算少了~放過它吧!!)   參考資料: 調整系統分頁檔,刪除hiberfil.sys休眠設定,讓你的SSD多出20GB硬碟空間 http://www.techbang.com/posts/12827-unknown-system-cannot-be-deleted-through-the-system [技術] 關閉Windows7的hiberfil.sys 和 pagefile.sys http://dreamyeh.pixnet.net/blog/post/28462639-%5B%E6%8A%80%E8%A1%93%5D-%E9%97%9C%E9%96%89windows7%E7%9A%84hiberfil.sys-%E5%92%8C-pagefile.sys [教學]Windows 8的hiberfil.sys有用處,調整大小代替直接關閉!!以文找文 http://blog.yam.com/geniusoffice0716/article/72050431

Tags: , , ,

網管學習筆記

NTFS檔案系統

by mandy 25. March 2015 15:18
這次技術文章的主題是藉由2015/3/24技術分享會上的PPT,寫成詳細文件,做一個學習的紀錄。   What is N‧T‧F‧S? New Technology-最早是Windows NT預設的檔案系統,故命名為「NT」 File System(檔案系統)-定義電腦如何找到檔案的方式 e.g. 我怎麼知道某個txt檔要讀取硬碟上的哪個位置? 可以想像有一個「容器」,內部紀錄各檔案的名稱及存放位置,當電腦在存取檔案時即會先到這個容器搜尋。 接著要說明典型的檔案系統-FAT(File Allocation Table): 右上的Table就是FAT的核心,裡面會記錄各個檔案的起始位置, 例如:moo這個檔案的起始位置是5,我們在下面的對照表找到第5的位置, 這個位置會再紀錄檔案下一個存放的位置12, 接著到12位置又會指向下一個位置1, 最後在1的位置記錄著EOF(End of File),表示這是檔案的結尾。 所以檔案系統不外乎就是有一個參照表,指向我要的真實檔案。 NTFS的概念其實也是如此。 NTFS磁區包含四個部分: 主檔案表(Master File Table):是NTFS的核心。前16個檔是系統檔,定義了MFT本身紀錄了些什麼。   工作管理員->perfomance->Open Resource Monitor可以觀察目前這些檔佔用資源的狀況。 MFT Zone:存放於NTFS所預留的硬碟位置及空間(避免受到其他檔案資料干擾),名為MFT zone。 資料區域:user可自由使用的區域。 主資料表備份:MFT Mirror,當MFT損毀時可以讀取此處資料做復原。 (其中MFT+MFT Zone會佔磁區的12%;其他佔88%。) ※叢集(Cluster)概念: 磁碟可用空間中,紀錄一個檔案的最小單位 NTFS叢集大小的範圍在512 Bytes ~ 64 KBytes (一般都會使用預設的4 KBytes) 下表是cluster size預設大小: 磁碟區大小 Windows NT 3.51 Windows NT 4.0 Windows 2000↑ 7 MB – 512 MB 512 個位元組 4 KB 4 KB 512 MB – 1 GB 1 KB 4 KB 4 KB 1 GB – 2 GB 2 KB 4 KB 4 KB 2 GB – 2 TB 4 KB 4 KB 4 KB 2 TB – 16 TB 不支援 * 不支援 * 4 KB 16 TB – 32 TB 不支援 * 不支援 * 8 KB 32 TB – 64 TB 不支援 * 不支援 * 16 KB 64 TB – 128 TB 不支援 * 不支援 * 32 KB 128 TB – 256 TB 不支援 * 不支援 * 64 KB > 256 TB 不支援 不支援 不支援 ※叢集和IT人員有什麼關係? 當IT人員在格式化硬碟時,「配置單位大小」就是cluster size,這邊要設定多少比較好? 若硬碟存取的都是「大檔案」 使用大叢集 效能較好 e.g.若影片檔案大小約1G,使用4KB的叢集數量 > 使用64KB的叢集數量, 此時硬碟若使用4KB叢集,找檔案的次數會暴增,因此大檔案建議使用大叢集。   若硬碟存取的都是「小檔案」 使用小叢集 硬碟空間利用率較高 e.g. 若目前有一個txt檔為8KB, 此時硬碟若使用64KB叢集,每新增一個txt檔就會占用64KB的空間,相當浪費。 NTFS特性: Transaction-based 每新刪修一次檔案或資料夾,即會產生一個transaction transaction的好處是可以重做(Redo)之前的動作 當重做(Redo)時發生錯誤,系統會禁止你重做 File and folder permissions 針對每個檔案或資料夾都可以做個別的權限控管 Basic permissions: Advanced permissions: ※進階安全性設定可以針對每一個user/group做細部的權限設定。   ※Auditing為稽核的意思,當啟用稽核功能,可以在事件檢視器內追蹤這個檔案或資料夾的每個動作。當其他人誤改誤刪了重要的檔案,就可以利用這個功能來揪出始作俑者!   ※可以查詢出目前user/group針對這個檔案或資料夾擁有的權限細項為何。 Disk quotas - 磁碟配額 針對單一使用者限制磁碟的使用量。 以檔案和資料夾的owner來計算量的總和。 ※NTFS磁碟槽按右鍵->內容->配額,可開啟磁碟配額功能。   ※可在Quota Entries(配額項目)  中查看目前各個使用者的磁碟空間使用狀況。 Reparse points (used to link files) -進入點 Hard Links 透過MFT上的磁區來對應資料,所以不能跨磁區。 Soft Links Shortcut 一般常見的「捷徑」 Junctions 主要提供目錄(folder)的連結,可跨磁區 一般用在磁碟空間不足時,可將C:的資料夾搬到D:,並做junctions來連結 Symbolic Links 和junctions是一樣的,差別在於可以連結檔案(file)還有連結網路上的資源 Sparse file support ※Sparse file中文翻作「疏鬆檔案」,當檔案被標示成「sparse」,NTFS就不會分配空間給「0」使用,檔案大小實際上會去掉0的部分。 Compression 使用演算法壓縮檔案或資料夾、磁區:例如C:有60G只使用了10G,可以利用壓縮把磁碟空間騰出來 Encryption ※NTFS可使用Encrypted File System(EFS)加密檔案系統功能 檔案加密:plain text(明文)經過對稱式金鑰加密後變成加密檔,而系統也有擁有這把對稱金鑰,再加入使用者的公開金鑰就變成了$EFS,$EFS加上加密檔就變成了我的完整加密檔案。 檔案解密:將$EFS與加密檔拆開,$EFS加上使用者的私密金鑰就成了一剛開始的對稱金鑰,擁有這把鑰匙就可以拿來解加密檔,成為明文。 使用者感受不到加密前後差別 NTFS才可加密,把檔案移到FAT32時會解密 系統檔、systemroot無法加密 FEK金鑰憑證必須妥善保存   Alternate data streams 中文稱作「附加資料流」,當初微軟設計ADS出來其實是要當作metadata使用,但幾乎沒有任何的應用程式會使用到ADS 人人都可以看到的檔案裡,附上一個或多個檔案 被附加的檔案無法被看到,也不會改變原始大小 一般的使用者很難察覺 主要使用者:駭客! NTFS優缺點 Pros: 復原檔案 安全性 磁碟配額 檔案位置應用 疏鬆檔案 壓縮檔案、磁碟空間 Cons: 高空間消耗 命名限制(特殊字元限制),且無法辨別大小寫 磁碟區最小值大約是8MB Windows支援的叢集數必須大於127個 8MB/64KB=128 Windows Me/98/95無法存取NTFS磁區(通用性較差) 參考資料 維基百科-NTFS http://zh.wikipedia.org/wiki/NTFS Microsoft-working with file system https://technet.microsoft.com/en-us/library/bb457112.aspx 菲談-淺談NTFS https://feitalk.wordpress.com/2014/01/08/%E6%B7%BA%E8%AB%87-ntfs-new-technology-file-system/ The windows system http://nabiy.sdf1.org/index.php?work=ntfs File Allocation Table(FAT) http://clinuxpro.com/the-operating-systems-view-of-file-management/file-allocation-table-fat Understanding NTFS Hard Links, Junctions and Symbolic Links http://www.2brightsparks.com/resources/articles/NTFS-Hard-Links-Junctions-and-Symbolic-Links.pdf Specifics of Wiping for Different File Systems http://killdisk.com/wipe-ntfs.htm Transparent file encryption on a PC using Cybersafe File Encryption http://cybersafesoft.com/blog/transparent-file-encryption-on-a-pc/ 硬連結?軟連結?檔案分身不乏術 http://www.techbang.com/posts/12538-hard-links-soft-links-archives-does-not-fashu

Tags: , ,

網管學習筆記

應用OSI Model於網路故障排除

by mandy 18. March 2015 15:23
OSI 協定(Open System Interconnection)真正的七層架構並沒有提供一個實作的方法,而是描述一個相當完整的概念,協調各種網路的軟硬體廠商功能發展時的標準。 TCP/IP協定也是簡化OSI七層架構所發展出來的。 此次文章的目的:利用OSI架構的思考模式,應用在網路故障排除方法。 ※實務上Layer1 ~ Layer2會打包成「一個」鏈結層,因此故障排除時可以一起來看。 Layer 1 實體層Physical Layer:在物理線材上傳遞0&1的訊號,常見的設備包含網路線、網路卡、Hub。 Layer 2 資料鏈結層Data-Link Layer:將第一層的數位訊號封裝成Frame,這個Frame裡面包含了MAC(Media Access Control)位址。常見的設備如Layer2 Switch,包含一個table紀錄著每台電腦的MAC位址。 網路卡:有無正常運作(燈號是否亮起)、網卡驅動是否正常運作、ping 127.0.0.1測試 網路線:接到別台電腦是否可正常上網 Hub:ping 區網內的電腦 是否可以通 Layer 2 Switch:ping 區網內的電腦 是否可以通 Layer 3 網路層Network Layer:利用IP(Internet Protocol)為通訊協定,將IP位址加入frame內成為封包(packet),封包內包含來源及目的地的IP位址以利傳輸。常見的設備如router。 router: ping router所在位址 是否可以通,確保PC到router間沒有問題 ping 外部IP/主機名稱 是否可以通 Layer 4 傳送層Transport Layer:這一個分層定義了發送端與接收端的連線技術(如 TCP&UDP),同時包括該技術的封包格式,資料封包的傳送、流程的控制、傳輸過程的偵測檢查與復原重新傳送等等, 以確保各個資料封包可以正確無誤的到達目的端。 例如:TCP、UDP 每一個應用層一般都會使用到兩個傳輸層協定之一: TCP協定或UDP協定 ※實務上Layer5 ~ Layer7會打包成「一個」應用層,因此故障排除時可以一起來看。 Layer 5 會談層Session Layer:在這個層級當中主要定義了兩個位址之間的連線通道之連接與掛斷,此外,亦可建立應用程式之對談、 提供其他加強型服務如網路管理、簽到簽退、對談之控制等等。如果說傳送層是在判斷資料封包是否可以正確的到達目標, 那麼會談層則是在確定網路服務建立連線的確認。 Layer 6 表現層Presentation Layer:將來自local端應用程式的資料格式轉換(或者是重新編碼)成為網路的標準格式, 然後再交給底下傳送層等的協定來進行處理。所以,在這個層級上面主要定義的是網路服務(或程式)之間的資料格式的轉換, 包括資料的加解密也是在這個分層上面處理。 Layer 7 應用層Application Layer:應用層本身並不屬於應用程式所有,而是在定義應用程式如何進入此層的溝通介面,以將資料接收或傳送給應用程式,最終展示給使用者。 HTTP、SMTP、FTP等等協定,可直接做測試,看是否可以連接。   ※參考資料: 鳥哥的Linux私房菜-第二章網路基礎概念 http://linux.vbird.org/linux_server/0110network_basic.php#whatisnetwork_osi iT邦幫忙-什麼是OSI的7層架構?和常聽到的Layer 7有關? http://ithelp.ithome.com.tw/question/10000021 小網管筆記-Hub(集線器)、Bridge(橋接器)、Switch(交換器)與Router(路由器) http://giboss.pixnet.net/blog/post/26798642

Tags: , , ,

網管學習筆記

如何轉移使用者設定(user profile migration)

by mandy 16. March 2015 17:09
※研究目的: 此次遭遇的問題是:原本使用本機帳戶,使用了一段時間後要加入AD網域,並使用AD帳號密碼登入windows8,在切換帳戶時使用者設定(user profile)並不會帶入另外一個帳戶,因此需要搬移使用者相關設定,進而讓user能夠立即使用他所習慣的設定及桌面…等等的環境。 ※什麼是user profile: c:\users\[username]底下的資料,如下圖: 所有共用資料夾及public資料夾 桌布及桌面上的資料 cmd設定 IE設定、我的最愛 字型 資料夾選項 鍵盤、滑鼠設定 遠端存取設定 ODBC設定 ...等等等 ※本次使用工具:USMT(User State Migration Tool)5.0 使用USMT除了可以搬移user profile,還可以轉移應用程式的設定、以及不屬於user profile的文件。 過程中請使用系統管理員身分執行 ※安裝USMT: 請下載Windows ADK(Windows Assessment and Deployment Kit),並安裝USMT項目: USMT 5.0 包含三個命令列工具: ScanState.exe 6.2 版 LoadState.exe 6.2 版 UsmtUtils.exe 6.2 版(此次不會使用到) USMT 5.0 也包含一組三個可以修改的 .xml 檔案: MigApp.xml MigDocs.xml MigUser.xml 可修改上述三個XML檔案,編輯想要搬移的內容。 有些東西是USMT是不會轉移的:例如本地印表機、硬體驅動程式及設定、使用者密碼、分享資料夾及權限…等。 已知Microsoft Office (2007/2010/2013) 32 Bits轉移到64 Bits是會出現問題的,所以轉移Office設定時必須是同位元版本。 ※安裝完成後,USMT做資料轉移主要會有兩個步驟:    1.   Scanstate:掃描並匯出使用者相關檔案,成為.MIG檔。 A. 於cmd指向USMT路徑 B. 輸入 scanstate d:\ /i:migapp.xml /i:miguser.xml /i:migdocs.xml   D:\是目標路徑,要把檔案產生在哪裡 /i:xxxxxx.xml代表包含哪些轉移的設定檔 預設會匯出所有帳戶,端看需求如何,若要copy特定使用者請參考scanstate相關指令。 C.成功    2.    Loadstate:在目標電腦上執行,進行搬移程序。 A. 於cmd指向USMT路徑 B. 輸入 scanstate d:\ /i:migapp.xml /i:miguser.xml /i:migdocs.xml /md:mandy:ad1   D:\是剛剛scanstate產出的.MIG檔路徑 /i:xxxxxx.xml代表包含哪些轉移的設定檔 /md:mandy:ad1表示的是將本機mandy設定套用到已存在的ad1網域身份。 C. 成功 登入網域身分,發現桌面已套用相關設定: 測試outlook設定: 設定會自動帶入: 設定中: ※其實還有另一套工具可做user profile migration,是微軟內建的Easy Transfer,介面如下: Easy Transfer就無法帶入應用程式的設定及User profile沒有包含的文件,可做簡單的資料轉移。 ※參考資料: Microsoft-Scanstate語法: https://technet.microsoft.com/zh-tw/library/cc749015%28v=ws.10%29.aspx Justin Lau 的 IT世界-User State Migration Tool (USMT) 轉移/備份User Profile的指令紀錄: http://www.dotblogs.com.tw/swater111/archive/2014/06/09/145459.aspx Microsoft-Migrate User Accounts https://technet.microsoft.com/en-us/library/hh824918.aspx Microsoft-What Does USMT Migrate? https://msdn.microsoft.com/en-us/library/dd560792(v=ws.10).aspx

Tags: , , , ,

網管學習筆記

Juniper SSG 5 - 設定 MIP (Mapped IP)

by Joseph Wu 7. November 2014 12:21
NAT 概述 在我目前的經驗中,設定 NAT 的需求不外乎有兩種:(1) Internet IP + Port 重新導向到 Internal IP + Port  (2) Internal IP 完全使用一個 Internet IP,當然要完全使用多個 IP 也ok。各位看倌們應該有發現我沒有使用專有名詞來介紹 NAT 的需求,而是使用白話的方式來描述,主要原因是每一家硬體廠商對於同一種 NAT 的功能的名詞實在是太多了。以 「Internet IP + Port 重新導向到 Internal IP + Port」 來說,就有以下 4 種描述方法:(1) NAT (2) Port Forwarding (3) Port redirection (4) Virtual IP 。所以作者我還是決定用比較口語的方式來描述該功能。 通常設定 NAT 時,以 Port 的重新導向居多;但這次和大家分享的是「一個 Internal IP 完全使用一個 Internet IP」。 設定MIP (Mapped IP) 1、設定 Internet 網路介面 (ethernet0/0)        Network > Interfaces > List > Edit ethernet0/0                     點選 MIP,並新增一個 Mapped IP 與 Host IP (Virtual Router 建議使用 untrust-vr)                                   看到 Configure 的狀態是 In use 的話,就代表可以使用該 MIP 了。                2、設定規則        Policy > Polices                     將領域調整為 from untrust to trust,並新增一條規則                       設定一條規則                             由於我的設定是讓防火牆規則是 Any to Any ,這代表只要 Host 服務有開且本機防火牆沒有封鎖,即可使用有在 listening 的服務。以我的測試來說,我的 Windows Server 2012 R2 有開啟「遠端桌面連線」,所以當在遠端桌面連線軟體上我輸入 Internet IP (192.168.2.54)時,Juniper SSG 5 就會將此連線重新導向到 Internal IP (192.168.1.33)。 另外尚有一點需要注意,假設我們要移除已建立好的 MIP 時,必須要先移除防火牆的規則設定,否則就無法直接在 ethernet0/0 中移除 MIP 。   相關連結 [ScreenOS] MIP - Definition, configuration of MIP to an IP or a subnet, and troubleshooting tips Juniper SSG 5 - Get Started Guide

Tags: , , ,

網管學習筆記

Windows Server 虛擬化Hyper-V (虛擬交換器設定)

by stevie 20. October 2014 19:30
設定介面可以從Hyper-V管理員叫出”虛擬交換器管理員”的介面 點入之後可建立的虛擬交換器主要有三個類型(後續會再介紹) 1、外部 2、內部 3、私人 一、 外部虛擬交換器(可讓選擇此網路的VM對外連線,如同實體機一般) 圖解概念如下: 備註:只要實體網路線正常運作,即使Host網卡關閉VM一樣可以連線 二、內部虛擬交換器(選擇此網路的VM僅能對本機以及選擇相同網路的VM連線) 圖解概念如下: 三、私人虛擬交換器 (選擇此網路的VM僅能對選擇相同網路的VM連線,實體機要與該VM連線必須透過”Hyper-V管理員”工具來做管理) 圖解概念如下: 主要設定概念如上所述 使用虛擬化時設定網路環境也是相當重要的一環!! 參考資料:Hyper-V網路虛擬化概觀

Tags: , , ,

Hyper-V | Windows Server | 網管學習筆記

DELL EqualLogic PS4100 複寫 (replication) 研究筆記

by Joseph Wu 6. October 2012 11:54
半年前在我們買的 storage 上進行設定,最近出現了錯誤,我也趁此機會來徹底的研究一下複寫機制,並且重新思考設定是否需要調整。 如果有架設過 Windows AD 的朋友應該知道,架設 2 台以上的 DC 時,彼此可以進行複寫的動作,但是這的複寫單純就是讓雙方的 DC 資料同步而已。可是我翻了 DELL  的技術文件後,發現在 storage 的複寫機制上其實做了許多不同的變化,讓複寫更加有彈性了。 首先,是複寫路徑的變化,複寫的路徑設定多達 4 種, 1、基本型:    2 台 storage 彼此進行單向複寫 2、互惠型:    2 台 storage 彼此進行雙向複寫 (ps: 同一 volume 仍然是一對一喔) 3、一對多:     1 台 storage 上的不同 volume 複寫至不同的 storage 4、多對一:    1 台 storage 上的不同 volume 是其它 storage 上的 volume 的複寫來源 如下圖:     在設定前,要和大家說一個重要的觀念,在 secondary 的 volume 中,複寫容量必定是大於 primary 的 volume 的,因為: 這點在設定上要相當小心,為了避免 secondary 的容量不足,務必要在事前規劃妥當。 而複寫機制在操作手冊中也有詳盡的說明,大致上看著流程圖應該就可知道複寫過程,其中有幾個需要注意的地方,列點如下: 1、如果是第一次進行複寫,會將整個整個 volume 的資料 copy 至 secondary storage 中,這份複寫資料是不可刪除的。 2、如果有開啟 Fast Fail-Backup Recovery 模式,parimary storage 必須開啟 local replica reserve 的,如果超出保留容量,可以設定為使用 free pool volume 的空間。 實例分享: 一、如果 secondary 的空間滿了該怎麼辦?   如下圖: 解決方法其實很多,我這邊有想到的是 1、擴增 secondary 的 delegated space     ←當然有空間的話,這是比較好的辦法 2、排程 replicate 設定時,減少 replicas 的數量 二、分析是否需要建立 replication 我自己有碰到一個狀況是,我有建立了 5 個 volume,通常複寫時應該是複寫資料變動的部份,但我看了其中一個 volume,怎麼每次做 replication 的時候,其大小幾乎都是整個 volume 的容量,我仔細的檢查了設定值,發現 原來這個 volume 主要是擺放 SQL Server 的 tempDB ,那當然每日進行複寫時,變動幾乎全部的 volume 用量 如果大家是和我遇到一樣的原因,可以考慮排除此 volume ,不需要進行 replication 也沒關係的。   參考文獻: DELL 官方網站 EqualLogic PS4100  操作手冊

Tags: , ,

網管學習筆記

Intel Modular Server System MFSYS25 排除新舊模組共用所產生的錯誤 -2

by Joseph Wu 6. October 2011 15:10
我之前寫的文章「Intel Modular Server System MFSYS25 排除新舊模組共用所產生的錯誤」,雖然當下看似解決問題,但爾後做進一步設定時又發生了錯誤。 我們打算採取之前文章所提及的第 5 個步驟,即 “更換整座刀鋒伺服器” 我做了什麼設定? → 將其中二台 Web Server 加入 NLB node → 加入網域 發生了什麼事? → 和上篇文章一樣於刀鋒伺服器上產生 Unfit 錯誤事件 → 無法使用做 NLB 的網卡   這部份牽扯到的技術層次都是我比較不了解的,在請教硬體提供商之後,有幾點是以後升級 firmware需要注意的。 1、所有模組要綁在一起升級 2、避免 2 座刀鋒中的模組互相使用 (雖然這在邏輯上看來是沒問題,但實際上還是發生了) 在更換整座刀鋒伺服器的過程中,也有幾點必須特別注意: 1、硬碟務必按照順序插拔,並且一定要在關機的時候安裝,安裝完畢後才能開機 (RAID 資訊都是建立在硬碟上,所以即使 SCM 換新的,也不影響 RAID ) 2、SWM 設定必須記錄下來。 (如果置換新的 SWM,所有網路設定必須重新來過) 3、CMM 設定必須記錄下來。 (如果置換新的 CMM,IP、帳戶、SMTP、……等設定必須重新來過) 4、網路線與電源線位置在拔掉之前,記錄原先插入的位置   大致上就是這樣了,雖然每個步驟都不難,但是務必確保不能搞錯步驟操作內容及順序,否則後果,真的是難以想像。

Tags: , ,

網管學習筆記

關於我們

這裡是由一群熟悉 Microsoft IT 技術的工程師所共同分享技術文章的部落格,除了定期分享工作上的技術經驗,我們也提供專業的技術顧問諮詢服務,有任何疑難雜症都歡迎與我們聯絡!

  • 陳冠龍(Owen)
  • 02-2322-2480 # 33
  • 陳昌賢(Mars)
  • 02-2322-2480 # 16
  • 有任何的建議或問題,請來信 ithelp-azure@miniasp.com

※ 學習資源:
    2016/3/9 - 你所不知道的 Microsoft Azure 雲端採購技巧
    (講者:多奇數位技術總監 - Will 保哥)

最新消息

企業上雲端會是未來趨勢

微軟主打 2 種公有雲平台

Office 365 & Azure

有興趣皆可來電 or E-Mail 詢問

Calendar

<<  August 2018  >>
MoTuWeThFrSaSu
303112345
6789101112
13141516171819
20212223242526
272829303112
3456789

View posts in large calendar