緯育 2026-0323

VMWARE 虛擬化基本概念

本課程介紹 VMware 的虛擬化基本概念，並強調理論與實作的結合。課程聚焦 VMware 的 vSphere 系列產品，特別是 ESXi 與 vCenter，並透過「vSphere in a Box」概念，讓學員在單一電腦上建構資料中心雛形。講者說明了從實體伺服器到虛擬伺服器的演進、背後原因，以及其帶來的高階應用優勢（如 VMotion 線上遷移），這些是實體機器無法比擬的，也是企業即使面對成本增加仍採納虛擬化的關鍵。課程目標是讓學員理解理論並能實際操作，掌握現代資料中心的運作模式。

課程介紹與行業背景

• 課程核心目標
  • 本課程為「VMWARE」相關課程，旨在介紹虛擬化的基本概念。
  • 強調理論與實作雙向並行，此教學法獲業界認可。
• Tech Support 職涯價值
  • 課程所訓練的 Tech Support 人才，與台灣多數資訊科系著重程式開發的教學方向不同。
  • Tech Support（或稱客戶工程師，Customer Engineering）重視實務經驗。
  • 此類培訓的經歷在履歷上具高度鑑別度，容易引起面試官注意，因為許多業界主管也來自類似培訓體系。
• 資料中心的概念演進
  • 建議學員使用更專業的「資料中心」（Data Center）而非「雲」。
  • 「雲」是為了讓非資訊行業人員（如市場部門）易於理解而產生的市場名詞。
  • 資料中心的前身是「機房」（Server Farm），約 30 年前機房內皆為實體機器。

虛擬化技術的演進與背景

• 從實體到虛擬伺服器
  • 過去伺服器皆為實體伺服器，需購買 CPU 等硬體。
  • 虛擬化伺服器風潮約自 2007 或 2010 年起，與 AWS 早期服務推出時間接近。
• 虛擬化的動機與現實
  • VMware 早期教材以「節省成本」作為從實體轉向虛擬的主要優勢。
  • 然而近二十年（約 2007–2025）實踐發現，轉為虛擬化後成本反而可能增加。
  • 儘管成本增加，企業仍採納虛擬化，因虛擬機器提供許多實體機器無法實現的好處與高階應用。
• CPU 資源過剩的推力
  • 虛擬化的出現與 CPU 效能強大有關。Intel CPU 通常耐用，其他零件（主機板、記憶體）壞了，CPU 仍完好。
  • 實體伺服器運作時 CPU 使用率常僅十幾至二十幾%，造成資源過剩。
  • 因此衍生將一台實體電腦分割給多個（如 4–6 台）虛擬伺服器共享 CPU 資源的概念，催生虛擬化。

VMware 產品與架構

• VMware 與博通（Broadcom）
  • VMware 現隸屬博通，博通約三年前收購 VMware。
  • 博通股價近期因其在 AI 晶片（ASIC，專用型 GPU）領域發展而飆漲，被視為能與輝達（NVIDIA）競爭。
  • 收購後博通進行業務重整，保留賺錢部門（如 vSphere）並漲價；雖引發企業抱怨，但因市場領導地位，客戶仍持續使用。
• vSphere 產品系列
  • vSphere 是 VMware 專用於「伺服器虛擬化」的產品系列。
  • 內含兩個核心產品：ESXi 與 vCenter。
  • 版本號隨 vSphere 系列，例如 vSphere 6 代表其下 ESXi 與 vCenter 皆為第 6 版。課程將介紹版本 6 與版本 7。
• ESXi（Hypervisor）
  • ESXi 是伺服器作業系統（Operating System），奠定現代資料中心的重要基礎。
  • 它是虛擬化作業系統，主要功能是在其上建立與運行虛擬機器（Virtual Machine, VM）。
  • 如 Google 等大型資料中心部署成百上千台 ESXi 主機。
• vCenter Server
  • vCenter 是應用程式（Application Software），非作業系統。
  • 定位為集中化管理軟體，提供統一圖形化介面，管理數百至數千台 ESXi 主機及其上的虛擬機器，以提升管理效率。

虛擬化的進階應用與實例

• 高階虛擬化應用
  • 在 ESXi 與 vCenter 基礎上，可實現多項高階應用，如 VMotion、DRS、HA、FT 等。
  • 這些應用構成現代資料中心提供各種 Web 服務的基礎，也是學習 AWS 等雲端課程前的底層知識。
• VMotion（線上遷移）
  • VMotion 的中文為「線上遷移」，屬高階虛擬化應用。
  • 當某台 ESXi 主機因其上虛擬機器導致 CPU 或 RAM 使用率過高（如達 80–90%）而影響效能時，VMotion 機制會被觸發。
  • 它可將正在運行的虛擬機器（VM A）從高負載主機（ESXi 1）「線上」「自動」遷移至另一台負載較低的主機（ESXi 2），全程無需停機或重裝。
  • 遷移後，VM A 會自 ESXi 1 消失，並在 ESXi 2 繼續運行，達到負載平衡並確保效能穩定。
• 元大證券實例
  • 元大證券的機房維運由課程學姊負責，其核心應用「下單軟體」在交易時段（週一至週五，上午 9 點至下午 1 點半）絕不容許當機或效能低落。
  • 若下單請求因伺服器繁忙而延遲（如延遲 2–3 分鐘），將引起客戶嚴重不滿。
  • 元大證券約 10 年前投資數千萬導入 VMware 虛擬化，即為利用 VMotion 等高階功能。
  • 當承載下單軟體的虛擬機器使主機 CPU 負載過高時，VMotion 能自動將其遷移至較空閒主機，確保下單服務效能與穩定性。

課程實作方法：vSphere in a Box

• 概念說明
  • 「vSphere in a Box」是業界常用名詞，意指「在一個盒子（電腦）裡的 vSphere 環境」。
  • 課程將採用此方法，讓學員在自己的筆記型電腦中透過建立 4 台虛擬機器，模擬並搭建「麻雀雖小，五臟俱全」的資料中心雛形。
• 學習目標
  • 讓學員親身體驗資料中心的運行方式，使其不再遙不可及。
  • 目標是讓每位學員都能完成實驗，並藉此訓練模式獲得業界認可的實務能力。

本周課程內容與進度

本系列講座為一門關於 VMware 虛擬化課程的介紹，涵蓋了課程評分、IT 職業發展、虛擬化核心架構與實作環境建置等主題。首先，講師說明課程將採用「實機考試」搭配「課堂問答加分」的評分方式，並鼓勵學生使用較新版本的軟體（7.x/8.x）以獲得更高分數。接著，講師探討了 IT 行業中溝通能力的重要性及不同的職業路徑，如技術支援、MIS 與產品經理。

技術核心部分，課程將使用 VMware Workstation 建立一個包含四台虛擬機（一台 AD/DNS 伺服器、兩台 ESXi 主機、一台 vCenter 伺服器）的巢狀虛擬化（Nested Virtualization）實驗環境。講師詳細解釋了此架構的原理，包括作業系統的角色、為何需要 AD 與 DNS 服務進行命名管理，以及 vCenter 從 Windows 版本演進至 VCSA（vCenter Server Appliance）的原因。此外，講座強調在創建虛擬機前，需先準備好運算、網路、儲存三大資源池。最後，講師指導學員檢視 VMware Workstation Pro 的網路設定，並規劃為本次實驗建立一個獨立的 Host-only 模式軟體交換機（VMnet11），以區隔不同的實驗環境。實機考試將採 Open Book 形式，學員需根據變更後的參數完成實驗步驟。

課程介紹與評分方式

• 課程演變與評分
  • 課程早期僅要求繳交報告，近一兩年改為包含「實機考試」，教學效果顯著提升。
  • 考試難度較高，因此將採用上課問答的「加分制度」輔助。若學生回答獲講師認可，可自行記錄加分次數，於考試前提交。
  • 班代與特定同學因服務全班，將獲得當然加分。
• 軟體版本與分數差異
  • 課堂教學以 VMware 6.x 版本為基礎，但鼓勵學生使用 7.x 或 8.x 版本。
  • 考試時若使用 6.x 版本，滿分為 90 分；使用 7.x 或 8.x 版本，滿分為 100 分。
  • 講師會說明 6.x 與新版本在安裝與操作上的主要差異。
• 實機考試說明
  • 採用「Open Book」形式，學員可參考筆記或手冊。
  • 考試內容與課堂步驟相同，但會更改網域名稱、IP 位址等部分參數。
  • 學員可事先模擬不涉及變動參數的步驟來準備。

IT行業職業發展與所需技能

• 溝通與表達能力的重要性
  • IT行業（如技術支援、客戶工程師）非常需要與人溝通，課堂問答亦是為了訓練此能力。
  • 良好的溝通能力是未來轉職為產品經理（Product PM）或業務的基礎。
• IT行業的職業路徑與公司文化案例
  • 技術支援（Tax Support）：負責對外處理客戶問題，壓力較大，需頻繁出差。
  • MIS：負責對內維護公司資訊架構，工作相對穩定。
  • 以敦陽、智邦（Accton）為例，說明不同公司文化與職位性質，鼓勵學生探索適合自己的道路。

虛擬化核心架構與概念

• 作業系統（OS）與伺服器基礎
  • OS 的核心功能是作為人機介面，管理 CPU、記憶體、硬碟等硬體資源。
  • 建置資料中心時，首要任務是安裝 AD（Active Directory）和 DNS 服務，以利於使用「名稱」而非「IP位址」來管理大量伺服器。
• 巢狀虛擬化 (Nested Virtualization)
  • 指在虛擬機器中再安裝虛擬機器，本課程將實作兩層架構。
  • 第一層：在學員筆記型電腦上使用 VMware Workstation 作為 Hypervisor 平台。
  • 第二層：在 Workstation 創建的虛擬機中，安裝 ESXi 伺服器（本身也包含 Hypervisor）。
  • 此為實驗室作法；業界實務是直接將 ESXi 安裝在實體伺服器上（僅一層虛擬化）。
• Hypervisor
  • 是一個虛擬化程式或作業系統核心，允許在實體伺服器上創建和運行多個虛擬機器（VM）。
  • 是虛擬化伺服器（如 ESXi）與一般作業系統（如 Windows）的關鍵區別。
• 三大硬體資源池（Pools）
  • 在創建虛擬機前，ESXi 會將實體硬體整合成三大資源池：

   1. 運算資源池 (Computation Pool): CPU、GPU、記憶體。
   2. 網路資源池 (Networking Pool): 網卡、交換機。
   3. 儲存資源池 (Storage Pool): 硬碟、SSD。

課程實作環境建置

• 四台虛擬機規劃
  • 整個實驗將在 VMware Workstation 上建立四台虛擬機：

   1. AD-016：安裝 Windows Server 2016，提供 AD 與 DNS 服務。
   2. EXI-01 與 EXI-02：安裝 ESXi 伺服器作業系統。
   3. V-Center-12：安裝 vCenter Server，用於統一管理兩台 ESXi 主機。

• vCenter Server 版本演進
  • 6.x 版以前：提供 Windows 版本，需先安裝 Windows OS。
  • VCSA (vCenter Server Appliance)：將 Linux OS 與 vCenter 應用程式打包的官方版本，效能較佳且為開源。
  • 7.x/8.x 版以後：VMware 不再提供 Windows 版本，僅提供 VCSA。
• VMware Workstation Pro 網路設定
  • 學員使用的筆電為租賃方案，配備 i7 CPU 與 512GB SSD。
  • 透過 Virtual Network Editor 工具管理軟體交換機（Virtual Switch）。
  • 平台預設提供三種模式：Bridge (VMnet0)、Host-only (VMnet1)、NAT (VMnet8)。
  • 現有 Linux 課程的 VM 皆使用 NAT 模式的 VMnet8。
• 新實驗網路規劃
  • 為避免環境混淆，本次 VMware 實驗將新增一台獨立的軟體交換機。
  • 規劃新增 VMnet11，並設定為 Host-only 模式。
  • 未來新建的四台虛擬機網卡都將連接到此 VMnet11 交換機。

課程結構與學習路徑

• 第一章：安裝設定 VMware Workstation。
• 第二章：安裝 ESXi 伺服器。
• 第三章：安裝 vCenter Server。
• 第四、五章：設定網路與儲存資源池。
• 第六章：部署與創建虛擬機。
• 第八、九章：學習 VMotion 等進階虛擬化功能。

VMware Workstation Pro 初始設定與概念

• 偏好選項 (Preferences) 設定
  • 設定路徑：透過點擊頂端選單的「Edit」(編輯)，然後選擇「Preferences」(偏好選項) 進入設定介面。
  • 工作空間 (Workspace)：此設定定義虛擬機檔案的預設存放位置。一台虛擬機在檔案系統中相當於一個檔案夾，其內的 .vmdk 檔對應虛擬硬碟。建議在檔案總管中開啟「顯示副檔名」以便查看。
  • 停用自動更新：
  • 版本一致性的重要性：講師強調，在虛擬化領域，版本是「一大致命傷」，微小的版本差異可能導致功能異常。特別是在考試前，不應進行任何更新。
  • 停用產品更新：強烈建議取消勾選「Check for product updates on startup」(啟動時檢查產品更新)，確保環境版本在課程期間保持一致。
  • 元件更新：建議先選擇「Download all components now」(立即下載所有元件)，將當前版本的所有元件下載下來，但不再進行後續更新。
• VMware Tools 的概念與更新設定
  • 定義：VMware Tools 是 VMware Workstation Pro 內建的工具箱小程式，會在安裝客體作業系統（Guest OS）後自動安裝進去。
  • 主要功能 * 時間同步：VMware Tools 能自動讓虛擬機器的時間與主機作業系統（Host OS）的時間同步，這對資安至關重要，也避免了手動調整多台虛擬機時間的麻煩。
  • 更新建議：與軟體本身一樣，建議不要勾選自動更新 VMware Tools 的選項，以避免潛在的穩定性問題。

虛擬網路編輯器 (Virtual Network Editor) 設定

• 虛擬交換機 (Virtual Switch) 網路資源
  • VMware Workstation 提供 20 台虛擬交換機，可分為三種運作模式：

   1. 橋接 (Bridge)：預設為 VMnet0。
   2. NAT (網路位址轉譯)：預設為 VMnet8。
   3. 僅主機 (Host-only)：預設為 VMnet1。

• 創建與設定新的虛擬交換機 (VNX-11)
  • 創建步驟：進入 Virtual Network Editor，點擊「Change Settings」後，選擇「Add Network」並指定一個未使用的編號（如 VMnet11）。
  • 遵循課堂指定參數：講師強調，設定時不能完全照抄實驗手冊（Labguide），需根據課堂指定參數。例如，本次實驗指定的 IP 位址第三碼為 101。
  • DHCP 服務停用：由於實驗需要使用固定的靜態 IP，必須在虛擬網路編輯器中，取消勾選「使用本地 DHCP 服務將 IP 位址分派給虛擬機」的選項。
  • 子網路 IP 設定：停用 DHCP 後，手動設定子網路網段。本次實驗中 VMnet11 的網段應設為 192.168.101.0。
• 主機虛擬網卡 (Host Virtual Adapter)
  • 定義與功能：這是用於連接「虛擬交換機」與「主機作業系統」（如 Win11）的虛擬網卡，其名稱與所連接的虛擬交換機相同（如 VMnet11）。它的主要功能是讓虛擬機與主機之間能夠通訊。
  • 啟用設定：透過勾選「Connect a host virtual adapter to this network」選項來啟用。
  • 實驗環境下的必要性：為節省主機資源，本次實驗將 Client 端程式安裝在主機上而非獨立的虛擬機中。因此，必須啟用主機虛擬網卡，以建立主機上的 Client 與虛擬機中的 Server 之間的通訊路徑。

Host-Only 與 NAT 網路模式比較

• 共通點：兩種模式都會使用主機虛擬網卡來連接主機作業系統。
• 主要區別 * 與實體網卡的連通性：
  • NAT 模式：其主機虛擬網卡（如 VMnet8）會與主機的「實體網卡」連通，使得虛擬機可以透過此路徑存取外部網際網路。
  • Host-Only 模式：其主機虛擬網卡（如 VMnet1, VMnet11）與主機的「實體網卡」之間的連線是「斷開」的，形成一個隔離的網路環境，虛擬機無法存取外部網路。

虛擬網路連線原則

• 單一交換機原則：所有需要互相通訊的虛擬機器（如 AD2016, AD301 等），都必須手動指定並連接到同一個虛擬交換器上（本次為 VNX-11）。
• 內部隔離：連接到不同虛擬交換器（如一台連至 VMnet11，另一台連至 VMnet8）的虛擬機器之間是無法直接內部互通的。若皆處於 Host-Only 模式，則絕對無法通訊。

Windows Server 2016 架構與安裝

VMware 虛擬網路與交換機

• 主機器網卡與主機實體網卡不同；教學圖示含多張網卡與交換機類型。
• NAT 與 Host-only 差異：
  • NAT 可讓虛擬機透過主機對外連線，並與主機互通。
  • Host-only 僅限主機與虛擬機之間的封閉網段，不對外。
• 預設交換機多為 VMnet8（NAT）或 VMnet1（Host-only）；安裝時需將虛擬網卡改接「VMnet11」，避免預設值導致拓撲錯誤。
• 常見誤選為 Host-only（1 號）；正確做法是在 Network Adapter 選擇 Custom → VMnet11。

建立虛擬機器流程與安裝精靈

• 建立入口：Home 的「Create New Virtual Machine」或 File → New。
• 安裝精靈模式：
  • Typical：初學者優先，提供較多預設值；第一層 VM 使用。
  • Custom：進階可調多項參數；第二層 VM 明確要求使用以掌握所有設定。
• 在向導最後步驟勿直接 Finish，應選 Customize 調整記憶體、CPU、網路（VMnet11）、並移除不必要裝置（USB、音效卡），保留 Display。

ISO 檔與安裝來源

• 以 ISO（虛擬光碟影像檔）作為主流安裝來源，取代過去實體光碟。
• 平台會自動偵測 ISO 版本資訊（如 2016），需核對正確以免混淆。
• 操作：在向導中選擇「Install from disc image file（ISO）」並 Browse 指向檔案路徑。

Windows Server 版本、金鑰與帳戶

• 版本選擇影響驅動與套件相容性；課程選擇 Windows Server 2016 Standard。錯置版本（如平台設定為 Datacenter 而實際安裝 Standard）會導致功能異常。
• 產品金鑰可暫略，使用微軟 60 天試用期完成教學。
• 安裝時可建立暫用本機管理員帳戶（名稱自訂），後續將升級為網域管理員以支援 Active Directory。

命名、工作空間與虛擬磁碟

• 命名建議小寫（範例 AD2010），平台會在工作空間建立同名資料夾存放 VM 檔案。
• Disk Capacity 上限設為 60G，為最大值非即時佔用。
• 單一檔 vs 多檔：
  • 單一檔（single file）：效能較好，搬移不便；課程以效能優先選擇單一檔。
  • 多檔（split）：搬移較容易，效能較差；示例：學長 Linux Server 以多個 VMDK 構成。

CPU/記憶體資源規劃方法

• 名詞對應：Processor/CPU、Core、Logical CPU（微軟）、Thread（Intel）可視為分配單位。
• 以 Windows 11 工作管理員與 Intel 官網確認 CPU 規格：示例 2 大核（具超執行緒，每核 2 Thread）+ 8 小核（每核 1 Thread）= 12 邏輯處理器。
• 邏輯 CPU 作為分配基準：VM 設定中的 Processor × Core 乘積即分配的邏輯 CPU 數，拓撲不同但總量一致。簡化建議採預設 2×1。
• 記憶體觀察與分配：總記憶體約 32G，系統使用約 9–10G，估算可用約 23G。第一台（AD/DNS/2016）可分配 2G；第四台（vCenter+DB）需預留 10–13G 以上，其餘依需求調整。

安裝流程與 VMware Tools

• 完成 Customize 設定（Memory 2048MB、CPU 2×1、Network VMnet11、移除 USB/音效卡、Disk 60G）後再 Finish 開始安裝。
• 安裝完成後 VMware Tools 會自動安裝，可能觸發 Server 2016 自動重開機，最終停在登入畫面。

虛擬CPU概念與VMware Tools安裝

• 虛擬CPU的命名與概念
  • 不同廠商對CPU核心有不同稱呼，如Intel的P-Core與E-Core，而VMware則稱為「邏輯CPU」。
  • 虛擬機的資源分配以「虛擬CPU」為單位，例如1x2（1個插槽，2個核心）或2x1（2個插槽，1個核心）皆可。
• VMware Tools安裝
  • 通常在安裝完操作系統後會自動安裝。
  • 若未自動安裝，可能是VMware Workstation Pro版本與操作系統不相容。
  • 安裝完成後需重新開機，系統會自動登入並顯示儀表板。

伺服器基本參數設定

• 關閉Windows防火牆
  • 原因：在實驗環境中，為了避免外部主機無法ping通虛擬機等連線問題，建議完全關閉。生產環境中應保持開啟。
  • 操作步驟：透過「本機伺服器」儀表板，進入防火牆設定，將「私人網路」和「公用網路」的防火牆都選擇「關閉」。
• 調整時區
  • 系統通常會透過VMware Tools自動同步主機的時區（如UTC+8 臺北時區）。若未同步需手動檢查。
• 設定固定IP位址
  • 目的：為虛擬機設定固定IP，方便實驗中的網路通訊。
  • IP規劃：根據範例，網段為 192.168.101.0 或 192.168.102.0，第一台虛擬機IP設為 192.168.101.100 或 192.168.102.100。
  • 操作步驟：

   1. 在儀表板點擊網卡設定，進入「內容」。
   2. 停用IPv6：取消勾選「Internet Protocol Version 6 (TCP/IPv6)」，以避免系統解析名稱時浪費時間。
   3. 選擇「Internet Protocol Version 4 (TCP/IPv4)」，填入規劃好的IP位址與子網路遮罩（255.255.255.0）。
   4. 預設閘道 (Gateway)：不設定，因為實驗環境中所有設備在同一網段，無需路由。
   5. DNS伺服器：暫時保留空白，為後續AD課程中展示錯誤訊息做準備。

• 更改電腦名稱
  • 目的：為方便管理，將電腦名稱設定為與虛擬機器名稱一致（例如：ad2016）。
  • 操作步驟：需透過「變更」按鈕修改，修改後系統會要求重新啟動。
  • 工作群組：目前伺服器保持在預設的「WORKGROUP」工作群組中，後續課程將加入網域。
• 關閉Windows Defender
  • 原因：在記憶體有限的實驗環境中，為節省寶貴的記憶體資源而關閉。實務環境應保持開啟。
  • 操作步驟：打開Windows Defender設定，將「即時保護」、「雲端式保護」、「自動樣本提交」等所有選項關閉。

使用者帳戶與登入管理

• 取消自動登入
  • 原因：VMware安裝的系統預設自動登入，雖方便但缺乏安全性。為符合資安要求，需改為手動輸入密碼登入。
  • 操作步驟：

   1. 以「系統管理員身分」開啟「命令提示字元」(CMD)。
   2. 輸入 control userpasswords2 或 netplwiz 並按Enter。
   3. 在彈出的視窗中，勾選「必須輸入使用者名稱和密碼，才能使用這台電腦」。

• 設定Administrator密碼
  • 目的：為後續AD設定，需使用具備最高權限的Administrator帳戶。
  • 操作步驟：從「工具」開啟「電腦管理」，導航至「本機使用者和群組」→「使用者」，右鍵點擊Administrator帳戶設定密碼。
  • 密碼規則：課程規定統一格式為 P@ssw0rd 加上主機名稱，例如 P@ssw0rdAD2016。
• 登入與身分驗證
  • 設定完成後登出，在登入畫面發送 Ctrl+Alt+Delete 指令。
  • 選擇其他使用者，輸入 Administrator 及其新設定的密碼來登入。
  • 登入後可檢查開始功能表的使用者名稱，確認當前身分。

管理員權限與網域概念

• 管理員類型
  • 本地管理員 (Local Administrator)：權限僅限於管理單一一台電腦。
  • 網域管理員 (Domain Administrator)：在微軟網域架構下，可透過單一帳號管理網域內所有資源（如數千台電腦），大幅簡化管理。
• 微軟網域 (Microsoft Domain) 與 Active Directory (AD)
  • AD 是一種目錄服務，如同公司的IT資源黃頁，集中儲存使用者、電腦等物件的資訊與權限。
  • 安裝AD服務需使用具最高權限的本地管理員帳號。安裝後，伺服器會成為網域控制站 (Domain Controller, DC)，儲存AD資料庫，而該本地管理員帳號會自動升級為網域管理員。
  • 判斷機器是否加入網域，可檢查「本機伺服器」的「工作群組」欄位；加入後會顯示網域名稱。

Active Directory (AD) 的層級架構

• 核心術語與架構
  • AD採用倒置的樹狀結構，根在上方。
  • 樹林 (Forest)：最高層級，對應整個企業集團（如台積電TSMC）。
  • 樹 (Tree)：對應集團下的獨立單位，如不同國家的分公司（如美國台積電）。
  • 根網域 (Root Domain)：樹的根部，一個樹林中只有一個。
  • 子網域 (Child Domain)：位於根網域之下，對應分公司下的營運地點或廠區（如台灣台積電下的新竹、台中廠區）。
  • 組織單位 (Organizational Unit, OU)：位於網域內，作為「容器(Container)」使用，對應具體部門（如行銷、人資），用於存放使用者、電腦、伺服器、印表機等「物件」(Objects)。
• OU與資源權限管理
  • 資源物件在AD架構中的層級位置，決定了其存取權限範圍。
  • 部門專用：物件放在特定部門OU下，僅該部門可使用。
  • 跨部門共用：物件放在多個OU之上的Domain層級，則其下的部門皆可共用。
  • 全公司共用：物件放在Forest的根部，則整個集團所有使用者皆可存取。

群組原則物件 (GPO) 的概念與應用

• GPO的定義與目的: GPO (Group Policy Object) 是一種對AD中的電腦或使用者進行集中化管理的物件，旨在簡化MIS管理員的工作，避免重複設定。
• 透過GPO部署策略: 管理員可針對特定OU（部門）的所有電腦，透過GPO統一部署策略。當電腦開機登入網域時，系統會自動應用指定的設定。
• 應用實例:
  • 自動安裝憑證: 將憑證設定於GPO，OU內的電腦登入時會自動安裝。
  • 自動安裝印表機驅動程式: 將驅動程式置於GPO，使用者登入後其電腦會自動安裝，即可使用部門印表機。

跨平台系統與AD整合

• 不同作業系統加入AD網域:
  • Linux系統: 可透過安裝「Samba」服務加入微軟網域。
  • VMware ESXi系統: 儘管是競爭對手，但在企業現實需求下，ESXi伺服器也必須能加入微軟AD網域以實現統一管理。
• 整合目標: 將ESXi主機加入AD網域後，網域管理員即可用其身份登入並管理ESXi主機。

AD DS 安裝第一階段流程

• 啟動與類型: 在伺服器管理員的「儀表板」選擇「新增角色及功能」，並選擇「角色型或功能型安裝」。
• 選擇角色與功能: 勾選「Active Directory 網域服務」，系統會提示一併「新增功能」，需確認包含所有管理工具，特別是「群組原則管理」(Group Policy Management)。
• 自動重啟: 在確認頁面，務必勾選「必要時自動重新啟動目的伺服器」，讓系統自動處理複雜的安裝與重啟流程，以避免安裝失敗。
• 完成安裝: 點擊「安裝」開始執行。第一階段完成後，準備進行第二階段的「將此伺服器升級為網域控制站」。

Active Directory 安裝與設定

• 安裝後的第二階段：升級為網域控制站
  • 安裝完 AD DS 角色後，需進行第二階段設定，將伺服器升級 (Promote) 為網域控制站。
  • 此程序可透過安裝後視窗或伺服器儀表板上的警示通知來啟動。
• 部署設定選項
  • 新增樹系 (Forest)：適用於從零開始建立一個全新的、獨立的 AD 環境，是本次教學的選擇。
• 樹系 (Forest) 與根網域 (Root Domain)
  • 「樹系」是 AD 的最高層級結構，可包含多個網域。
  • 若樹系中只有一個網域，該網域即為「根網域」，其名稱也同時作為整個樹系的名稱。
• 根網域名稱的命名策略
  • 建議使用 .local 後綴（如 vsphere6.local）建立內部網域，以避免與公用網際網路上的真實域名產生名稱衝突。
• NetBIOS 名稱
  • 為相容舊式、單層的 NetBIOS 網路，AD 會自動截取根網域名稱的第一層（如 vsphere6）作為 NetBIOS 名稱。此為舊技術，通常不需特別修改。
• 功能等級
  • 決定 AD 的版本與功能，通常與安裝 AD 的 Windows Server 版本一致（例如，Server 2016 上的 AD 功能等級為 2016）。
• 目錄服務還原模式 (DSRM) 密碼
  • 一個用於 AD 資料庫離線還原與修復的特殊密碼，需在安裝過程中設定。

DNS 概念、整合與設定

• AD 與 DNS 的必要整合
  • AD 是一個儲存使用者、電腦等抽象物件的資料庫，它必須依賴 DNS 服務，將這些物件名稱解析為實體的 IP 位址，才能讓網路中的設備相互通訊。
  • 微軟規定：若環境中只有「唯一」一台網域控制站，則 AD 和 DNS 服務「必須」安裝在同一台伺服器上。安裝精靈會自動勾選並強制安裝 DNS。
• DNS 的「區域」(Zone)
  • DNS 伺服器透過不同的「區域」來管理其功能。核心區域包括：

 ** 正向搜尋區域 (Forward Lookup Zone)：負責將域名解析為 IP 位址。
 ** 反向搜尋區域 (Reverse Lookup Zone)：負責將 IP 位址反向解析為域名。

• DNS 記錄類型
  • A 記錄 (A Record)：存放在正向搜尋區域中，記錄了「FQDN 對應到 IP 位址」的關係。
  • PTR 記錄 (Pointer Record)：存放在反向搜尋區域中，記錄了「IP 位址對應到 FQDN」的關係，主要應用於郵件過濾等場景。
• 完整合格域名 (Fully Qualified Domain Name, FQDN)
  • 在 AD 與資安領域，必須使用 FQDN 來唯一識別一台電腦。
  • 其結構為「主機名稱 (hostname)」加上「域名 (domain name)」，格式為：hostname.domain.name (例如 AD2016.vsphere6.local)。
• 名稱解析流程範例 (瀏覽網頁)

 1. DNS 查詢：使用者在瀏覽器輸入網址 (如 www.cisco.com) 後，作業系統會先向設定好的 DNS 伺服器發出查詢請求，將該域名解析為 IP 位址。
 2. HTTP 請求：瀏覽器在取得 IP 位址後，才會使用 HTTP 協定，向該 IP 位址的伺服器發送請求，以獲取網頁內容。

安裝驗證與故障排除

• 先決條件檢查
  • 安裝程序會執行先決條件檢查，只有所有條件都通過（顯示綠色勾號），才能繼續安裝。
  • 常見失敗與排除：一個常見的失敗原因是伺服器的 DNS 用戶端設定為空。解決方案是將該伺服器網路卡的「慣用 DNS 伺服器」位址設定為它自己的 IP 位址（例如 192.168.1.100），讓它自己為自己提供 DNS 解析服務。
• 成功安裝後的變化
  • 伺服器會自動重啟，登入畫面變為網域登入。
  • 原本的「本機管理員」(Local Administrator) 帳戶會自動升級為「網域管理員」(Domain Admin)。
  • 伺服器儀表板會新增 AD DS 和 DNS 服務，且狀態應為綠色正常。
  • 「本機伺服器」資訊中，電腦會從「工作群組」變為加入新建立的「網域」。
  • 可在「AD 的使用者和電腦」管理工具的 Domain Controllers 容器中看到該伺服器主機，證明其已成為網域控制站。
• 網域管理員帳號的表示法
  • 完整表示法: administrator@[網域名稱] (例如 administrator@vsphere6.local)。
  • 簡寫表示法 (NetBIOS): [NetBIOS 名稱]\administrator (例如 VSPHERE6\administrator)，為系統預設登入格式。
• 驗證工具
  • ipconfig /all: 用於查看本機網路設定，包括所使用的 DNS 伺服器位址。
  • nslookup: 用於測試 DNS 解析是否正常，可查詢任一域名對應的 IP 位址。
• 補充教材
  • DNS中的正向解析與反向解析 及 nslookup命令使用

DNS 與 AD 的關聯與預設行為

• 正向查詢區負責主機名稱（含 FQDN）→ IP，反向查詢區負責 IP → 主機名稱，兩者互補以確保雙向一致。
• DNS 與 AD 綁定於 Domain Controller 時，系統會自動建立與 AD 網域同名的正向查詢區（示例：vSphere.local），並預設存在一筆對應 Domain Controller 的 A 記錄（如 ad2016.vSphere.local → 192.168.1.100）。介面可能以簡寫呈現主機名，但本質仍為 FQDN 對應。
• 在跨平台（如 Linux/BIND）與安全治理中，建議使用完整 FQDN 以避免歧義。

VMware/vSphere 對 DNS 的要求

• 規範要求每一筆 A 記錄在反向區必須有對應 PTR 記錄，否則 VMware 內部的反向解析與服務驗證可能失敗。
• 例：A 記錄 AD2016.vSphere.local → 192.168.1.100，反向需有 PTR 192.168.1.100 → AD2016.vSphere.local。

IPv4 反向區域命名規則與「速寫法」

• IPv4 反向區域使用 in-addr.arpa 結尾，以網段八位元組倒序命名：如 192.168.101.0/24 對應 101.168.192.in-addr.arpa。
• 微軟 DNS 精靈提供「速寫法」：正向輸入網段（如 192.168.101），系統自動倒序並補上 in-addr.arpa，降低手動命名錯誤。
• 建立區域時選「主要（Primary）區域」，勾選「將區域存放在 Active Directory 中」，複寫範圍建議選「網域層級」，使同一網域下所有 OU 共用。

反向區域與 PTR 記錄的建立策略

• 動態更新策略：
  • 實驗示範一：不允許動態更新，所有 A/PTR 以手動維護，降低 AD 動態交互的複雜度。
  • 實務快速法：在正向區新增 A 記錄時勾選「建立關聯的指標記錄」，系統自動於反向區建立對應 PTR，減少對錯物件與維運負擔。
• 在 AD 整合 DNS 中，主機是 AD 的電腦物件。若採手動新增 PTR，建議在 PTR 對話框使用「瀏覽」從正向區選取既有 A 記錄/電腦物件關聯，而非僅手動輸入文字主機名，確保正確關聯。

具體配置範例與擴展

• 四臺主機示例：AD2016、ESXI0106、ESXI0206、V-CENTER 06／VC06。名稱建立於正向區時會自動附加網域尾綴（如 vSphere.local）。
• IP 範例以實作畫面為準（192.168.101.x、192.168.101.x、192.168.101.x），關鍵在「每一主機唯一 IP 且 A/PTR 一一對應」。
• 若資料中心規模擴展至 100 臺主機，DNS 中需同時維持 100 筆 A 記錄與 100 筆 PTR 記錄，並保持命名/IP 規劃一致性。

驗證與工具

• 使用 nslookup 進行驗證：
  • 正向：輸入主機名（系統自動帶網域）應回傳對應 IP。
  • 反向：輸入 IP 應回傳該主機完整 FQDN。
• 若 nslookup 顯示本機 DNS 為 127.0.0.1，表示查詢指向本機；未設定 DNS 伺服器則可能顯示 NO，需先正確設定 DNS 指向。

ESXi vSphere 實務與安裝

VSphere X (7或8) 資料中心建置作業

• 作業目標
  • 建立一個新的 VSphere 7 或 VSphere 8 的資料中心地臺。這個環境將與現有的 VSphere 6 資料中心並存但區隔開。
• 網路環境設定
  • 建立一個新的 VMNET，例如編號12號的軟體交換機，以和代表 VSphere 6 資料中心的11號 VMNET 區分開。
  • VMNET 11 (VSphere 6) 的網段為 192.168.101.0。
  • 新的 VMNET 12 (VSphere X) 的網段設定為 192.168.102.0。
• 虛擬機器規格與命名
  • 第一台 (AD 伺服器)
  • 名稱：AD2016
  • 網域名稱：vsphereX.local (X代表7或8)
  • IP 位址：192.168.102.100
  • DNS 第一筆紀錄將對應此 AD。
  • 第二台 (ESXi 主機)
  • 名稱：esxi010x (對應 VSphere 6 的 esxi0106)
  • IP 位址：192.168.102.101
  • 第三台 (ESXi 主機)
  • 名稱：esxi020x (對應 VSphere 6 的 esxi0206)
  • IP 位址：192.168.102.102
  • 第四台 (vCenter Server)
  • 名稱：vc0x (對應 VSphere 6 的 vc06)
  • IP 位址：192.168.102.250
  • 其他未提及的參數均與 VSphere 6 資料中心的第一台虛擬機器設定相同。

ESXi 主機安裝與設定

• 安裝概念與目標
  • 安裝目標：安裝 VSphere X (7或8) 的第二台與第三台虛擬機器，即 ESXi 主機，並確保其網路與 AD 伺服器互通。
  • 裸機安裝 (Bare-metal Installation)：指將作業系統（如 ESXi）直接安裝在硬體上，而非作為應用程式執行。
• 虛擬機器硬體配置
  • 記憶體 (RAM)：ESXi 6.7 版預設需要 4GB。
  • 處理器 (Processor)：設定為 2 顆 CPU，每顆單核心 (2x1)。
  • 硬碟：建議上限為 40GB 或 47GB，並將虛擬硬碟儲存為單一檔案以獲得較好效能。ESXi 會將其格式化為專有的 VMFS (Virtual Machine File System) 檔案系統。
  • 網卡：需配置六張網卡，全部連接到同一個虛擬網路（如 VMnet11 或 VMnet12）。
  • 移除不必要的裝置：如 USB 控制器，以優化設定。
• 安裝步驟
  • 掛載 ESXi 的安裝 ISO 映像檔啟動虛擬機。
  • 按 F11 接受授權協議 (License Agreement)。
  • 選擇硬碟並按 Enter 進行格式化。
  • 選擇預設的 US 鍵盤佈局。
  • 設定 root 管理員密碼（範例：P@ssw0rd 或 P@ssw0rd,ESXi-0106）。
  • 確認設定後按 F11 開始安裝。
  • 安裝完成後，系統會停留在黃灰色的主控台畫面，可按 F2 進入設定。

巢狀虛擬化與安裝衝突解決

• 巢狀虛擬化與平台選擇
  • 效能挑戰：若未經特定技術優化，在第一層虛擬機器上執行的第二層虛擬機器效能會非常緩慢。
  • 關鍵功能：VMware Workstation Pro 支援的「虛擬化Intel VT-x/EPT 或 AMD-V/RVI」功能是改善第二層虛擬機器效能的關鍵。
  • 平台選擇：因 VirtualBox 可能不支援或較晚支援類似功能，故選擇 VMware Workstation Pro 以確保教學環境的效能與相容性。
• 安裝衝突的根源與解決方案
  • 問題描述：在安裝第一層 ESXi 時，若勾選了「虛擬化 Intel VT-x/EPT」選項，會與安裝程序衝突，導致安裝失敗並彈出警告。
  • 問題分析：此功能是為「未來」的第二層虛擬機準備的，但「當下」的 ESXi 安裝引導程序無法支援這個已啟用的進階功能。
  • 系統選項分析：
  • 選擇「Yes」：同意繼續安裝，但系統會禁用該功能，導致安裝後無法建立第二層虛擬機。
  • 選擇「No」：堅持啟用該功能，導致安裝立即終止。
  • 最終解決策略：採取「走一步算一步」的策略，優先完成第一層 ESXi 安裝。

   1. 手動進入虛擬機的 CPU 設定，取消勾選「虛擬化 Intel VT-x/EPT」選項。
   2. 重新啟動虛擬機，完成 ESXi 的安裝。
   3. 安裝過程中會出現硬體虛擬化未啟用的警告，這是預期中的，可忽略並繼續。
   4. 待安裝完成後，再於後續課程中解決如何重新啟用此功能以支援第二層虛擬化。

學習方法與建議

• 重複練習的重要性
  • 講師以優秀學員為例，該學員每天將實驗內容刪除重做，以鞏固知識與操作邏輯。建議學員重複練習本次作業。
• 輔助工具建議
  • 若經濟允許，建議購買外接螢幕，可在操作時一邊看文件一邊實作，避免切換視窗，提高效率。

ESXi 主機初始網路設定

• 169.254 IP 位址的意義
  • 設備（如 ESXi 主機）設為 DHCP 但找不到伺服器時，會自動取得 169.254.x.x IP。
  • 看到 169 開頭代表網路設定異常，未成功自動取得 IP。
• DCUI 介面介紹與登入
  • DHCP 搜尋失敗後，按 F2 進入設定。
  • 使用 root 與安裝時設定的密碼（例如：EXH056）登入。
  • DCUI（Direct Console User Interface）為本機主控台設定介面，供進行基礎管理。
• ESXi 的管理方式
  • vCenter：進階、集中化管理整個資料中心的 ESXi 主機。
  • DCUI（Direct Console）：本機登入做基礎設定，適用於尚未納入 vCenter 或進行初始網路設定（IP、主機名稱、DNS）。

透過 DCUI 設定管理網路（Configure Management Network）

• 網卡（Network Adapters）設定
  • 實體網卡命名為 VMNIC，自 VMNIC0 起算。
  • 管理功能預設綁定在 VMNIC0。
  • 從外部（如 Win11 桌面）對管理 IP 的 ping 會經由綁定管理功能的網卡。
  • 以空白鍵切換需要綁定的網卡；本課程維持預設 VMNIC0。
• VLAN 設定
  • VLAN 用於區隔網段；屬於 Cisco 網路課程重點。
  • 為簡化，本課程所有 VM 置於同一網段 192.168.101.x，故 VLAN 保持 not set。
• IPv4 設定
  • 由動態（Dynamic）改為靜態（Static）。
  • 依規劃設定 IP 與子網路遮罩；例：第二台 192.168.101.101，遮罩 255.255.255.0。
  • 所有主機同網段，預設閘道（Default Gateway）留空。
• IPv6 設定
  • 停用（Disable）IPv6。
  • 停用後需重新啟動主機使設定生效。
• DNS 設定
  • 手動指定資料中心內 DNS 伺服器。
  • 本環境 DNS 位於第一台主機 192.168.101.100，設為 Primary DNS。
• 主機名稱（Hostname）設定
  • 必須使用完整 FQDN，且與 DNS 的 A 與 PTR 記錄完全一致。
  • 例：第二台主機名稱應為 esxi0106.vsphere6.local ，不可只填 esxi0106。
  • 確保正向與反向解析成功，避免常見設定錯誤。
  • 第一台主機可用簡短名稱是因為加入 AD 後會自動補上網域後綴；ESXi 未加入 AD 時需手動填完整 FQDN。
• 套用與重啟設定
  • 完成設定後按 ESC 退出。
  • 選擇 Y 套用變更，系統會重新啟動網路服務。

驗證與測試網路設定

• 測試管理網路（Test Management Network）
  • DCUI 主選單提供測試功能（第五項）。
  • 測試包含：

   1. Ping DNS 伺服器（如 192.168.101.100）與其他主機（如 192.168.101.101）以確認連線。
   2. 向指定 DNS 發送解析請求，驗證 FQDN 能正確解析。

• • 兩項皆 OK 代表連線與解析均成功。
• 從用戶端連線驗證
  • 於瀏覽器輸入 ESXi 主機 IP（如:192.168.101.101）。
  • 接受憑證警告後，以 root 與密碼登入 Web 介面。
  • 登入後檢查儲存區等資訊以確認主機狀態。