Chuong 2 3

TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE

1

CHƯƠNG II CÀI ĐẶT VÀ CẤU HÌNH ISA 2004

I.- MÔ HÌNH:

Hệ thống gồm 03 máy: 1.- Máy chủ Domain Controller: Windows Server 2003 2.- Máy chủ ISA: Windows Server 2003 3.- Máy trạm: Windows XP Cấu hình IP: 1.- Máy chủ Domain Controller: tên ServerNhomX, gồm 01 card mạng

IP : 10.0.X.2/24 Default gateway : 10.0.X.1 DNS : 10.0.X.2

2.- Máy chủ ISA: tên ISANhomX, gồm 02 card mạng

- Card 01 : Kết nối với mạng LAN IP : 10.0.X.1/24 Default gateway : trống DNS : 10.0.X.2

- Card 02 : Kết nối với mạng INTERNET

IP : 192.168.1.1X/24 Default gateway : 192.168.1.1 DNS : trống

3.- Máy trạm: Windows XP: gồm 01 card mạng cấu hình IP động Cấu hình Domain: Tên domain là nhomX.com Trong đó X là số thứ tự của nhóm.


2

II.- THỰC HIỆN: Ok, Chúng ta bắt đầu cấu hình, ở đây tôi chọn nhóm 1 để làm thực hành: 1.- CÀI ĐẶT MÁY CHỦ DOMAIN CONTROLLER:

STT Cách thực hiện Hình ảnh

1 Đổi tên máy: Đổi tên máy thành

ServerNHOM1

2 Cấu hình network: Start->Settings->Network

Connections->Local Area Network IP : 10.0.1.2/24 Default gateway: 10.0.1.1 DNS : 10.0.1.2


3

3 Cài đặt và cấu hình DNS Click Start và sau đó click

Administrative Tools. Click DNS.

Trong bảng làm việc của DNS

(DNS console), mở rộng server name SERVERNHOM1 ), sau đó click trên Reverse Lookup Zones. Right click trên Reverse Lookup Zones và click New Zone.

Click Next trên Welcome to

the New Zone Wizard. Trên Zone Type , chọn Primary zone option và click Next.


4

Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter 10.0.1 vào text box. Click Next.

Chấp nhận chọn lựa mặc định trên Zone File page, và click Next.

Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates option. Click Next. Click Finish trên Completing the New Zone Wizard page.

Right click Forward Lookup Zone và click New Zone.


5

Click Next trên Welcome to the New Zone Wizard page. Trên Zone Type page, chọn Primary zone option và click Next.

Trên Zone Name page, điền tên của forward lookup zone trong Zone name text box. Trong ví dụ này tên của zone là nhom1.com, trùng với tên của Domain sẽ tạo sau này. Đưa nhom1.com vào text box. Click Next.

Chấp nhận các xác lập mặc định

trên Zone File page và click Next.

Trên Dynamic Update page,

chọn Allow both nonsecure and secure dynamic updates. Click Next. Click Finish trên Completing the New Zone Wizard page.


6

Mở rộng Forward Lookup Zones và click vào nhom1.com zone. Right click trên nhom1.com và Click New Host (A).

Trong New Host dialog box,

điền vào chính xác SERVERNHOM1 trong Name (uses parent domain name if blank) text box. Trong IP address text box, điền vào 10.0.1.2. Check vào Create associated pointer (PTR) record checkbox. Click Add Host. Click OK trong DNS dialog box thông báo rằng (A) Record đã được tạo xong. Click Done trong New Host text box.

Right click trên nhom1.com forward lookup zone và click Properties.


7

Click Name Servers tab. Click servernhom1 entry và click Edit.

Trong Server fully qualified

domain name (FQDN) text box, điền vào tên đầy đủ của Domain controller computer là servernhom1.nhom1.com. Click Resolve. Sẽ nhận thấy, IP address của Server xuất hiện trong IP address list. Click OK.


8

Click Apply và sau đó click OK trên nhom1.com Properties dialog box.

Chọn Properties trên

SERVERNHOM1, chọn tab Forwarder nhập ip 192.168.1.1 rồi chọn Add -> chọn OK

Right click trên DNS server name SERVERNHOM1 , chọn All Tasks. Click Restart. Close DNS console.

4 Nâng cấp lên Domain

Controller


9

Start->Run-> Gõ vào dcpromo

Click Next -> Next -> Chọn

Domain Controller for new domain -> Next

Chọn Domain in a new forest

-> Next

Gõ nhom1.com vào ô Full DNS

name for new domain -> Next -> Next -> Next -> Next


10

Trên DNS Registration Diagnostics page, chọn I will correct the problem later by configuring DNS manually (Advanced). Click Next.

Trên Permissions page, chọn

Permissions compatible only with Windows 2000 or Windows Server 2003 operating system. Click Next.

Click Next. Chờ...

Click Finish -> Khởi động lại

máy ...


11

2.- CÀI ĐẶT MÁY CHỦ ISA: STT Cách thực hiện Hình ảnh

1 Đổi tên máy và join domain: Đổi tên máy thành ISANHOM1,

login tài khoản adminsitrator vào domain NHOM1.COM. Máy chủ ISA: gồm 02 card mạng

- Card 01 : Kết nối với mạng LAN IP : 10.0.1.1/24 Default gateway : trống DNS : 10.0.1.2

- Card 02 : Kết nối với mạng INTERNET IP : 192.168.1.11/24 Default gateway: 192.168.1.1 DNS : trống

2 Cài đặt ISA 2004 SP3 Chọn Install ISA server 2004

Chọn kiểu cài đặt Custom xong click Next


12

Click Next để tiếp tục…

Click Add..

Chọn card LAN như hình … Click OK để tiếp tục.

Click next …


13

Click next …

Chọn Install… chờ cài đặt xong

Update lên SP3…

Khởi động lại máy …


14

3 Cấu hình ISA Mở ISA Server Management

Chọn tên server isa ISANHOM1->Configuration->Networks->Tepmplates->Edge Firewall

Click Next

Chọn Export để lưu cấu hình gốc của ISA …


15

Đặt tên file cấu hình isa_goc.xml -> chọn Export -> Click Next

Click Next … ở mục Internal Nextwork IP Addresses, click Next

Chọn Allow unrestricted access … ở mục Select a Firewall Policy, , click Next

Chọn Finish


16

Chọn Apply

Test Proxy, SecureNAT, Firewall client Buổi tiếp theo sẽ nghiên cứu kỹ cách tạo các access rule …


17

CHƯƠNG III CẤU HÌNH CLIENT: WEB PROXY, SECURENAT, FIREWALL

CLIENT, TẠO CÁC ACCESS RULE

I.- MÔ TẢ: 1.- SECURENAT: Chỉ cần khai báo Default Gateway là ip của ISA server. Không chứng thực

được user. Không giới hạn giao thức truy cập. 2.- WEB PROXY: Không cần khai báo Default Gateway, chỉ khai báo proxy trên trình duyệt web.

Chứng thực được user. Chỉ giới hạn truy cập HTTP, HTTPS, FTP, FTPS 3.- FIREWALL CLIENT: Kết họp giữa WEB PROXY và SECURENAT nhưng phải cài đặt isa firewall

client. Chỉ hỗ trợ các hệ điều hành của Microsoft. II.- THỰC HIỆN: Ok, Chúng ta bắt đầu cấu hình, ở đây tôi chọn nhóm 1 để làm thực hành: 1.- CÀI ĐẶT SECURENAT: Đã thực hiện ở bài một. 2.- WEB PROXY: Cài máy ảo Windows XP trên SERVERNHOM1 bằng phần

mềm Virtual PC 2007 SP1. STT Cách thực hiện Hình ảnh

1 Trên máy trạm chạy Windows XP bỏ Default Gateway: Start->Settings->Network Connections->Local Area Network IP : 10.0.1.3/24 Default gateway: trống DNS : 10.0.1.2


18

2 Mở Internet Explorer để cấu hình proxy: Tool->Internet Options->chọn tab Connections-> chọn LAN settings Nhập IP của ISA server vào mục Address: 10.0.1.1, Port: 8080 như hình vẽ. Thử ping 10.0.1.1 xem sao, cho biết kết quả đi … Thử ping 10.0.1.2 xem sao, cho biết kết quả đi … Thử vào một trang web nào xem sao… nếu truy cập được internet, hãy giải thích tại sao: ____________________________________________________________________________________________________________

Thực hiện xong nhớ 3.- FIREWALL CLIENT: Cấu hình trên máy chủ ISANHOM1 và cài đặt ISA client

trên máy trạm XP

STT Cách thực hiện Hình ảnh 1 Cấu hình ISA Mở chương trình Cài đặt ISA lên

rồi chọn Modify


19

Chọn thêm mục Firewall Client Installation Share rồi chọn Next. Đợi cài đặt…

Mở ISA Server Management

Chọn tên server isa

ISANHOM1->Configuration->Networks->click đúp Internal-> chọn TAB Firewall Client.


20

Chọn Browse… ở mục Firewall client configuration để tìm ISANHOM1.nhom1.com, xong chọn OK

Chọn Browse… ở mục Use a Web proxy server để tìm ISANHOM1.nhom1.com, xong chọn OK

Nhấn OK xong chọn Apply …


21

2 Cài đặt ISA Firewall Client trên máy ảo Windows XP

Mở địa chỉ \\Isanhom1\mspclnt chạy file setup (Nếu yêu cầu nhập user thì nhập tài khoản admin của Domain nhóm 1)

Chọn mặt định nhấn Next để cài đặt

Chọn Connect to this ISA Server computer rồi nhập vào ISANHOM1.nhom1.com, chọn Next


22

Chọn Install…Cài xong chọn Finish rồi khởi động lại máy …

Quá trình cài đặt thành công sẽ thấy biểu tượng ISA Firewall Client ở gốc phải màn hình. Thử ping 10.0.1.1 xem sao, cho biết kết quả đi … Thử ping 10.0.1.2 xem sao, cho biết kết quả đi … Thử vào một trang web nào xem sao… nếu truy cập được internet, hãy giải thích tại sao: ____________________________________________________________________________________________________________

TẠO ACCESS RULE CƠ BẢN

1.- Mô tả: là các điều kiện để truy cập 2.- Ở bài 1 chúng ta đã sử dụng network template để đơn giản hóa việc tạo chính sách cho isa nhằm cho phép Internal network truy xuất ra External network


23

CÀI ĐẶT AUTODISCOVERY HỖ TRỢ WEB PROXY VÀ FIREWALL CLIENT

I.- MÔ TẢ: Web Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các

trình duyệt Web browsers (như Internet Explorer, Nestcape Navigator…) và ISA Firewall client có thể tự động khám phá ISA Server 2004 Firewall (IP address). Các Client này sau đó có thể download các thông tin cấu hình tự động (Autoconfiguration information) từ Firewall, sau đó Web Proxy và Firewall client sẽ discover ra address liên lạc với ISA Server.

Tóm lại chức năng WPAD giải quyết cung cấp các thông số tự động cho các

Web browsers. Xác lập mặc định trên Internet Explorer 6.0 là autodiscover Web proxy client. Khi xác lập này được enabled, Web browser có thể gửi đi một thông điệp DHCPINFORM message hoặc một truy vấn DNS query để tìm địa chỉ của ISA Server 2004, dựa trên những thông tin đã nhận được (download) từ Autoconfiguration information.

Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng

Firewall (detect Firewall) để kết nối ra Internet. ISA Server 2004 Firewall client cũng có thể dùng wpad entry để tìm ISA

Server 2004 Firewall và download các thông tin cấu hình này về. Trong phần này chúng ta sẽ tiến hành • Cấu hình hỗ trợ DHCP WPAD • Cấu hình hỗ trợ DNS WPAD Sau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web

Proxy và Firewall clients sẽ không cần phải cấu hình thủ công để có thể ra Internet thông qua ISA Server 2004 Firewall.

II.- THỰC HIỆN: Cấu hình hỗ trợ DHCP WPAD

DHCP scope option số 252 có thể được dùng để cấu hình tự động cho Web Proxy và Firewall clients. Web Proxy hoặc Firewall client phải được cấu hình trở thành DHCP client, và các Users log-on vào các Clients này phải là thành viên của nhóm Local administrators group hoặc Power users group (Windows 2000). Trên Windows XP, thì chỉ cần là thành viên của nhóm Network Configuration Operators group là có quyền để thực hiện gửi các truy vấn DHCP (DHCPINFORM messages).

STT Cách thực hiện Hình ảnh


24

1 Cấu hình hỗ trợ DHCP WPAD Thực hiện trên máy Domain Conntroller: servernhom1

Click Start, Administrative Tools. Click DHCP.

Trên DHCP console, right click trên server name và click Authorize (xác nhận DHCP server này hoạt động hợp pháp trong Domain, như vậy tất cả các DHCP server không được Authorize sẽ bị vô hiệu hóa trong việc cung cấp IP addresses). Click nút Refresh.

Right click trên server name, click New Scope.


25

Click Next trên Welcome to the New Scope Wizard page.

Trên Scope Name page, đặt tên cho scope trong Name text box và đưa thông tin mô tả trong Description text box. Trong ví dụ này, chúng ta sẽ đặt tên scope là Scope Nhom1 và không mô tả trong Description. Click Next.

Nhập Start address là 10.0.1.1 và End address là 10.0.1.254. Tiếp theo chúng ta sẽ đưa thông số subnet mask vào text box Length hoặc Subnet mask. Trong ví dụ ở đây, chúng ta xác nhận giá trị 24 trong Length text box. Giá trị Subnet mask cũng tự động thay đổi sau khi bạn đã điền giá trị vào Length. Click Next.


26

Nhập Start address là 10.0.1.1 và End address là 10.0.1.2. Nhấn Add. Chọn Next. (Đây là IP của SERVERNHOM1 và ISANHOM1)

Chấp nhận lượng thời gian cho thuê địa chỉ (lease duration) là 8 ngày tại Lease Duration page. Click Next.

Trên Configure DHCP Options page, chọn Yes, I want to configure these options now option và click Next.


27

Trên Router (Default Gateway) page, điền vào IP address của internal interface (10.0.0.1) trên ISA Server 2004 Firewall computer trong IP address text box và click Add. Click Next.

Đưa vào tên Domain là nhom1.com trong text box. Trong IP address text box, điền IP address của DNS server (10.0.1.2) trên Internal Network. Chú ý domain controller cũng là DNS server internal Network như đã xác định tại các phần trước. Click Add. Click Next.

Trên WINS Servers page, điền IP address của WINS server (10.0.1.2) và Click Add.


28

Trên Activate Scope page, chọn Yes, I want to activate this scope now option và click Next. Click Finish trên Completing the New Scope Wizard page.

Trong DHCP console, mở rộng Scope Nhom1 node, click vào Scope Options node. Bạn sẽ thầy danh sách các Options vừa cấu hình.

Mở DHCP console từ Administrative Tools menu, right click server name. Click Set Predefined Options


29

Trong Predefined Options and Values dialog box, click Add.

Trong Option Type dialog box, đưa vào các thông tin sau:

Name: wpad

Data type: String

Code: 252

Description: wpad entry

Click OK.

Trong khung Value, điền vào địa

chỉ URL dẫn đến ISA Server 2004 Firewall trong String text box.

Theo định dạng như sau:

Http://isanhom1.nhom1.com:80/wpad.dat


30

2 Cấu hình hỗ trợ DNS WPAD Thực hiện trên máy Domain Controller: servernhom1

Click Start, Administrative Tools. Click DNS entry. Trong DNS management console, right click trên Forward lookup zone của Domain và click New Alias (CNAME).

Trong New Resource Record dialog box, điền vào wpad trong Alias name (uses parent domain if left blank) text box.

Điền: isanhom1.nhom1.com vào khung Fully qual… Click OK

3 CÀI ĐẶT AUTODISCOVERY Thực hiện trên máy

isanhom1


31

Chọn tên server isa ISANHOM1->Configuration->Networks->click đúp Internal-> chọn TAB Auto Discovery. Click chọn mục Publish automatic discovery information. Click OK -> Apply… Lưu ý: tắt IIS Admin trên máy isa vì ta chọn publish trên cổng 80.

4 Kiểm tra chức năng AUTODISCOVERY

Trên máy trạm chạy windows xp mở Internet Explorer -> Tool -> Internet Options -> Connections -> Lan Setting

Trên máy trạm chạy windows xp mở Firewall Client chọn Automatically detected ISA Server . Xem có thành công không…. Giải thích tại sao …

Documents

Chuong 2 3