20111103

Windows Server 2008 NTP feature is not work

Windows Server 2008 NTP feature is not work!!!

  1. w32tm /unregister
  2. Access is denied. (0x8007005)
  3. Started netlogon service and it then allowed me to configure/use the w32time service.
  4. Start the netlogon service via 'net start netlogon'.
  5. Netlogon 服務正在啟動 . Netlogon 服務無法啟動。服務沒有報告任何錯誤。 3534 The service did not report an error.
  6. Event Viewer: 這個 Windows NT 電腦是設成某個工作群組的一個成員,並不是網域的 成員。Netlogon 服務不需要在這個設定下執行。 [WTF]
  7. The Netlogon service does not start and event IDs 2114 and 7024 are logged in Windows Server 2003 and in Windows 2000 Server, all options needs to restart the server, my server is located in HongKong !!!
  8. I just download the NTPClock from http://www.stdtime.gov.tw and execute the program with the option 'Run as Administrator'
  9. Done

20111102

How to add new SSL VPN Tunnel without remote gateway on Fortigate 80C.

How to add new SSL VPN Tunnel without remote gateway on Fortigate 80C.

目的說明,

中華電信 3G 網路服務開始作 IPSec VPN Transport mode 連線阻擋, 所以在不更動現有的 IPSec VPN Transport mode 的狀況下, 我需要一個 VPN Tunnel, 公司本來就有對外用的 SSL VPN Tunnel, 但是這個 SSL VPN Tunnel 連上之後所有的網路連線都會從那邊繞出去, 實際上我只需要把我要連接的 IP 透過 route 手動指定靜態路由到這一個連線上就可以了, 所以開始研究到底要怎麼作,

參考資料,

設定Fortigate SSL VPN 分割通道
如何設定 SSL VPN 分割通道 on Fortigate 80C

設備狀況,

Fortigate 50A, 連線方式設定 IPSec VPN Transport mode, 辦公室 FTTB 連線正常, 中華電信 3G 連線失敗,
Fortigate 80C, 連線方式設定 SSL VPN Tunnel, 辦公室 FTTB, 中華電信 3G 連線正常, 缺點是所有的網路連線都會經過這一台出去, VPN 設備本身就有既有的流量限制, 不適合上網或者大量連線, 大量流量的使用,

期望的結果,

保留既有 Fortigate 50A, IPSec VPN Transport mode  連線, 調整 Fortigate 80C,SSL VPN Tunnel 連線關閉遠端閘道,

實作說明,

首先要建立一個新的 SSL VPN Portal, 這邊的 Portal 的意思是使用者在用 IE 透過 'IP:10443' 作 SSL VPN 連現得時候看到的介面, 原來的 SSL VPN Portal 叫作 'tunnel-access', 新建的 SSL VPN Portal 叫作 'tunnel no remote gateway', 說明圖片鏈結, 新增的 Portal 裡面基本上我只有放 Session Information 跟 Tunnel Mode 兩個 Widget, 這邊的關建設定在於Tunnel Mode 裡面的 'Split Tunneling' 選項要打勾, 另外要注意的事情是 Start IP 跟 End IP 的範圍最好也跟原來的 SSL VPN Portal 分開比較不會搞混, 說明圖片鏈結,

再來先加一個帳號, 可以不一樣, 但是跟既有的帳號有關係會比較好記一點, 我原來的帳號叫作 'david', 所以我這邊新帳號叫作 'david.nrg', 'nrg' 是 No Remote Gateway 的意思, 我只是覺得這樣比較好記!! 說明圖片鏈結

接下來建立一個新的使用者群組, 不需要遠端閘道的使用者帳號都要放到這個使用者群組裡面來, 我把這個使用者群組名稱命名作 'NO REMOTE GATEWAY', 我把原來的使用者群組名稱命名作 'REMOTE GATEWAY', 這邊看到的圖片是已經建立好的狀態, 新的使用者群組內容裡面, 記得把剛剛建立的新帳號加入 Members, Type 是 'SSL VPN', 然後關鍵在 Portal 要選擇剛建立的 'tunnel no remote gateway', 如果這邊選錯的話就沒有關閉遠端閘道的效果, 所以決定用不用遠端閘道是透過使用者所屬的使用者群組所用的 Portal 的設定決定的 !! 說明圖片鏈結,

最後設定防火牆規則, 讓這個使用者群組可以連線進來, 我這邊修改既有的防火牆規則, Action: SSL-VPN, From: wan1, To: internal 這個規則, 說明圖片鏈結, 在 Enable Identity Based Policy 下面的 ADD 點選相對應的 User Group: NO REMOTE Gateway, Schedule: always, Service: HTTP, HTTPS, SSH, proxy 之後確認, 就會加入 Rule ID:2 的項目, 說明圖片鏈結,

如果一切順利, 這邊的設定都完成的話, 這邊就來確認連線設定的成果,

使用預設 SSL VPN 的設定, 預設的路由會被改到 SSL VPN 的 IP 192.168.22.150 上面去


IPv4 路由表
===========================================================================
使用中的路由:
網路目的地                 網路遮罩         閘道          介面       計量
          0.0.0.0          0.0.0.0      192.168.2.1     192.168.2.89   4235
          0.0.0.0          0.0.0.0            在連結上    192.168.22.150     21
===========================================================================

勾選 Split Tunneling 之後關閉遠端閘道的路由, 預設閘道沒有被改到 SSL VPN 上面去,

IPv4 路由表
===========================================================================
使用中的路由:
網路目的地                 網路遮罩         閘道          介面       計量
          0.0.0.0          0.0.0.0      192.168.2.1     192.168.2.89     10
===========================================================================

哪這樣要怎樣連接中華電信上面連接不到的 Fortigate 50A? 就用系統管理者權限執行命令提示字元之後, 執行

route add [Fortigate IP] mask 255.255.255.255 [SSLVPN IP]

這樣就可以啦!!

設備軟體版本, FortiGate 80C, Firmware Version v4.0.0,build5025,090616