使用 Windows 防禦主機設定安全的 RDP：挑戰研究室

Lab 1 小时 universal_currency_alt 5 积分 show_chart 中级

GSP303
總覽
挑戰情境
您的挑戰
工作 1：建立虛擬私有雲網路
工作 2：部署 Windows 執行個體並設定使用者密碼
工作 3：連至安全主機並設定 Internet Information Server
疑難排解
恭喜！

Test and share your knowledge with our community!

done

Get access to over 700 hands-on labs, skill badges, and courses

GSP303

Google Cloud 自修研究室標誌

總覽

在挑戰研究室中，您會在特定情境下完成一系列任務。挑戰研究室不會提供逐步說明，您將運用從課程研究室學到的技巧，自行找出方法完成任務！自動評分系統 (如本頁所示) 將根據您是否正確完成任務來提供意見回饋。

在您完成任務的期間，挑戰研究室不會介紹新的 Google Cloud 概念。您須靈活運用所學技巧，例如變更預設值或詳讀並研究錯誤訊息，解決遇到的問題。

若想滿分達標，就必須在時限內成功完成所有任務！

這個研究室適合準備 Google Cloud 認證專業雲端架構師認證測驗的學員。準備好迎接挑戰了嗎？

挑戰情境

貴公司已決定要在雲端部署全新的應用程式服務，您的工作是開發安全的架構，用於管理要部署的 Windows 服務。您需要為安全的正式環境 Windows 伺服器，建立新的虛擬私有雲網路環境。

該伺服器一開始必須完全獨立於外部網路，不能直接透過網際網路存取，或與網際網路連線。如要在這個環境設定並管理伺服器，請先部署防禦主機 (跳板機)，該機器需能透過網際網路使用 Microsoft 遠端桌面通訊協定 (RDP) 存取。防禦主機只能透過網路 RDP 存取，可進行通訊的其他運算執行個體，也必須位於使用 RDP 的虛擬私有雲網路內。

貴公司也有監控系統在預設的虛擬私有雲網路中執行，因此所有運算執行個體必須有第二個網路介面，只與該虛擬私有雲網路內部連線。

您的挑戰

在新的虛擬私有雲子網路中，部署安全的 Windows 機器，且該機器需設為無法與外部通訊，接著在當中部署 Microsoft Internet Information Server。為配合本研究室的學習目標，請在下列區域和可用區中佈建所有資源：

區域：
可用區：

工作

下方為本研究室的主要工作。祝您順利！

建立新的虛擬私有雲網路，當中含有單一子網路。
建立防火牆規則，允許外部 RDP 流量傳送至防禦主機系統。
部署兩個 Windows 伺服器，兩者皆連至虛擬私有雲網路和預設網路。
建立指向開機指令碼的虛擬機器。
設定防火牆規則，允許使用 HTTP 存取虛擬機器。

工作 1：建立虛擬私有雲網路

建立新的虛擬私有雲網路 securenetwork。

點選「Check my progress」，確認目標已達成。建立虛擬私有雲網路。

在區域的 securenetwork 中，建立新的虛擬私有雲子網路。

點選「Check my progress」，確認目標已達成。建立虛擬私有雲子網路。

網路和子網路都設定完成後，請設定防火牆規則，允許從網際網路傳入的 RDP 流量 (TCP 通訊埠 3389) 傳送至防禦主機。這項規則應使用網路標記套用至適當的主機。

點選「Check my progress」，確認目標已達成。建立防火牆規則。

工作 2：部署 Windows 執行個體並設定使用者密碼

部署名為 vm-securehost 的 Windows Server 2016 (含有桌面體驗的伺服器)，並在可用區中設定兩個網路介面。
- 將一個網路介面設為只與新建立的虛擬私有雲子網路內部連線。
- 另一個介面則只與預設的虛擬私有雲網路內部連線。這是安全的伺服器。

點選「Check my progress」，確認目標已達成。建立 vm-securehost 執行個體。

部署第二個名為 vm-bastionhost 的 Windows Server 2016 (含有桌面體驗的伺服器)，並在可用區中設定兩個網路介面。
- 將第一個網路介面設為透過臨時公開位址 (外部 NAT) 連至新建立的虛擬私有雲子網路。
- 另一個介面則只與預設的虛擬私有雲網路內部連線。這是跳板機，即防禦主機。

點選「Check my progress」，確認目標已達成。建立 vm-bastionhost 執行個體。

設定使用者密碼

Windows 執行個體建立完成後，請建立使用者帳戶並重設 Windows 密碼，以連至各個執行個體。

注意：請複製兩個執行個體的使用者名稱和密碼，稍後會用到。

下列 gcloud 指令會建立名為 app-admin 的新使用者，並重設位於可用區的 vm-bastionhost 主機密碼：

gcloud compute reset-windows-password vm-bastionhost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}

下列 gcloud 指令會建立名為 app-admin 的新使用者，並重設位於可用區的 vm-securehost 主機密碼：

gcloud compute reset-windows-password vm-securehost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}

您也可以在 Compute Engine 控制台強制重設密碼。由於執行個體的登入憑證皆不同，您必須在第二個主機中重複這個步驟。

工作 3：連至安全主機並設定 Internet Information Server

為了連至安全主機，請先使用 RDP 連線至 bastion host。含外部位址的 Windows Compute 執行個體可透過 RDP 連線，方法是使用 RDP 按鈕。該按鈕位於 Compute 執行個體總覽頁面中，Windows Compute 執行個體的旁邊。
使用 RDP 工作階段連至防禦主機後，請在 bastion host 內開啟新的 RDP 工作階段，並連至 secure host 的內部私人網路位址。
連至 Windows 伺服器後，您可以使用 mstsc.exe 指令啟動 Microsoft RDP 用戶端，或在「開始」選單中搜尋 Remote Desktop Manager。這項操作可讓您從防禦主機連至其他運算執行個體，即使這些執行個體本身不能直接連至網際網路也無妨，但必須位於相同虛擬私有雲內。

透過 RDP 連至 vm-securehost 主機後，請設定 Internet Information Server。

登入 vm-securehost 主機後，請開啟伺服器管理視窗。接著 Configure the local server，新增角色和特徵。
使用 Role-based or feature-based installation 新增 Web Server (IIS) 角色。

點選「Check my progress」，確認目標已達成。設定 IIS 網路伺服器軟體。

疑難排解

無法連至防禦主機：請確認您嘗試連線的是防禦主機外部位址。如果位址正確，但防火牆規則未正確設定，您仍無法連至防禦主機。防火牆規則必須允許 TCP 通訊埠 3389 (RDP) 的流量，或是您系統的公開 IP 位址，傳送至含外部位址防禦主機的網路介面。最後，如果您的網路不允許透過 RDP 存取網路位址，您可能是遇到透過 RDP 連線的相關問題。如果確認一切設定無誤，請確認您用於連至網際網路的網路為何，並請該網路的擁有者開啟通訊埠 3389，或使用不同的網路連線。
無法從防禦主機連至安全的主機：如果能成功連至防禦主機，但無法使用 Microsoft 遠端桌面連線應用程式建立內部 RDP 連線，請確認兩邊執行個體連至相同的虛擬私有雲網路。

恭喜！

恭喜！在本研究室中，您使用防禦主機和虛擬私有雲網路，設定了安全的 Windows 伺服器環境。您也設定了防火牆規則來允許 HTTP 存取虛擬機器，並在安全的機器上部署 Microsoft Internet Information Server。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2024 年 2 月 9 日

研究室上次測試日期：2023 年 12 月 6 日