arrow_back

使用 Windows 防禦主機設定安全的 RDP:挑戰研究室

加入 登录
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

使用 Windows 防禦主機設定安全的 RDP:挑戰研究室

Lab 1 小时 universal_currency_alt 5 积分 show_chart 中级
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

GSP303

Google Cloud 自修研究室標誌

總覽

在挑戰研究室中,您必須在特定情境下完成一系列任務。挑戰研究室不會提供逐步的操作說明,您必須運用從解決研究室任務中所學到的技巧,自行找出完成任務的方法!自動評分系統 (如本頁面所示) 將根據您是否正確完成任務而提供意見。

在您完成任務的期間,挑戰研究室不會介紹新的 Google Cloud 概念。您須靈活運用所學技巧,例如變更預設值或詳讀並研究錯誤訊息,解決遇到的問題。

若想滿分達標,就必須在時限內成功完成所有任務!

這個研究室適合準備 Google Cloud 認證專業雲端架構師認證測驗的學員。準備好迎接挑戰了嗎?

挑戰情境

貴公司已決定要在雲端部署全新的應用程式服務,您的工作是開發安全的架構,用於管理要部署的 Windows 服務。您需要為安全的實際工作環境 Windows 伺服器,建立新的虛擬私有雲網路環境。

該伺服器初始必須完全獨立於外部網路,不能直接與外部網路通訊。如要在這個環境中設定並管理第一個伺服器,請部署防禦主機或跳板機,存取使用 Microsoft 遠端桌面通訊協定 (RDP) 的網路。防禦主機只能透過網路 RDP 存取,可進行通訊的其他運算執行個體,也必須位於使用 RDP 的虛擬私有雲網路內。

貴公司也有監控系統在預設的虛擬私有雲網路中執行,因此所有運算執行個體必須有第二個網路介面,只與該虛擬私有雲網路內部連線。

您的挑戰

部署安全的 Windows 機器,且該機器未在新的虛擬私有雲子網路中設定外部通訊,接著在當中部署 Microsoft Internet Information Server。為配合本研究室的學習目標,請在下列區域和可用區中佈建所有資源:

  • 區域
  • 可用區

工作

下方為本研究室的主要工作。祝您順利!

  • 建立新的虛擬私有雲網路,當中含有單一子網路。
  • 建立防火牆規則,允許外部 RDP 流量傳送至防禦主機系統。
  • 部署兩個 Windows 伺服器,兩者皆連至虛擬私有雲網路和預設網路。
  • 建立指向開機指令碼的虛擬機器。
  • 設定防火牆規則,允許 HTTP 存取虛擬機器。

工作 1:建立虛擬私有雲網路

  1. 建立新的虛擬私有雲網路 securenetwork

點選「Check my progress」,確認目標已達成。建立虛擬私有雲網路。

  1. 區域的 securenetwork 中,建立新的虛擬私有雲子網路。

點選「Check my progress」,確認目標已達成。建立虛擬私有雲子網路。

  1. 網路和子網路都設定完成後,請設定防火牆規則,允許從網際網路傳入的 RDP 流量 (TCP 通訊埠 3389) 傳送至防禦主機。這項規則應適用於使用網路標記的適當主機。

點選「Check my progress」,確認目標已達成。建立防火牆規則。

工作 2:部署 Windows 執行個體並設定使用者密碼

  1. 部署名為 vm-securehost 的 Windows 2016 伺服器,使用 可用區中的兩個網路介面。
  2. 設定第一個網路介面,只與新的虛擬私有雲子網路內部連線;第二個網路介面則只與預設的虛擬私有雲網路內部連線。這是安全的伺服器。
  3. 安裝第二個名為 vm-bastionhost 的 Windows 2016 伺服器執行個體,使用 可用區中的兩個網路介面。
  4. 設定第一個網路介面連至新的虛擬私有雲子網路,使用臨時公開位址 (外部網路位址轉譯);第二個網路介面則只與預設的虛擬私有雲網路內部連線。這是跳板機或防禦主機。

點選「Check my progress」,確認目標已達成。建立 vm-bastionhost 執行個體。

點選「Check my progress」,確認目標已達成。建立 vm-securehost 執行個體。

設定使用者密碼

  1. Windows 執行個體建立完成後,請建立使用者帳戶並重設 Windows 密碼,以連至各個執行個體。
  2. 下列 gcloud 指令會建立名為 app-admin 的新使用者,並重設位於 可用區的 vm-bastionhost 主機密碼:
gcloud compute reset-windows-password vm-bastionhost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}
  1. 您也可以在 Compute Engine 控制台強制重設密碼。由於執行個體的登入憑證皆不同,您必須在第二個主機中重複這個步驟。

工作 3:連至安全的主機並設定 Internet Information Server

如要連至這個主機,請先在防禦主機中設定 RDP,接著開啟第二個 RDP 工作階段,連至主機的內部私人網路位址。含外部位址的 Windows Compute 執行個體可透過 RDP 連線,方法是使用 RDP 按鈕。該按鈕位於 Compute 執行個體總覽頁面中,Windows Compute 執行個體的旁邊。

連至 Windows 伺服器後,您可以使用 mstsc.exe 指令推出 Microsoft RDP 用戶端,或在「開始」選單中搜尋 Remote Desktop Manager。這項操作可讓您從防禦主機連至其他運算執行個體,即使這些執行個體本身不能直接連至網路也無妨,但必須位於相同虛擬私有雲內。

點選「Check my progress」,確認目標已達成。設定 IIS 網路伺服器軟體。

疑難排解

  • 無法連至防禦主機:請確認您嘗試連線的是防禦主機外部位址。如果位址正確,但防火牆規則未正確設定,您仍無法連至防禦主機。防火牆規則必須允許 TCP 通訊埠 3389 (RDP) 的流量,或是您系統的公開 IP 位址,傳送至含外部位址防禦主機的網路介面。最後,如果您的網路不允許透過 RDP 存取網路位址,您可能是遇到透過 RDP 連線的相關問題。如果確認一切設定無誤,請與您連線的網路擁有者通訊,以開啟通訊埠 3389,或使用不同網路連線。
  • 無法從防禦主機連至安全的主機:如果能成功連至防禦主機,但無法使用 Microsoft 遠端桌面連線應用程式建立內部 RDP 連線,請確認兩邊執行個體連至相同的虛擬私有雲網路。

恭喜!

恭喜!在本研究室中,您使用防禦主機和虛擬私有雲網路,設定了安全的 Windows 伺服器環境。您也設定了防火牆規則來允許 HTTP 存取虛擬機器,並在安全的機器上部署 Microsoft Internet Information Server。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期:2024 年 2 月 9 日

研究室上次測試日期:2023 年 12 月 6 日

Copyright 2024 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。