TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE 1 CHƯƠNG II CÀI ĐẶT VÀ CẤU HÌNH ISA 2004 I.- MÔ HÌNH: Hệ thống gồm 03 máy: 1.- Máy chủ Domain Controller: Windows Server 2003 2.- Máy chủ ISA: Windows Server 2003 3.- Máy trạm: Windows XP Cấu hình IP: 1.- Máy chủ Domain Controller: tên ServerNhomX, gồm 01 card mạng IP : 10.0.X.2/24 Default gateway : 10.0.X.1 DNS : 10.0.X.2 2.- Máy chủ ISA: tên ISANhomX, gồm 02 card mạng - Card 01 : Kết nối với mạng LAN IP : 10.0.X.1/24 Default gateway : trống DNS : 10.0.X.2 - Card 02 : Kết nối với mạng INTERNET IP : 192.168.1.1X/24 Default gateway : 192.168.1.1 DNS : trống 3.- Máy trạm: Windows XP: gồm 01 card mạng cấu hình IP động Cấu hình Domain: Tên domain là nhomX.com Trong đó X là số thứ tự của nhóm.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
1
CHƯƠNG II CÀI ĐẶT VÀ CẤU HÌNH ISA 2004
I.- MÔ HÌNH:
Hệ thống gồm 03 máy: 1.- Máy chủ Domain Controller: Windows Server 2003 2.- Máy chủ ISA: Windows Server 2003 3.- Máy trạm: Windows XP Cấu hình IP: 1.- Máy chủ Domain Controller: tên ServerNhomX, gồm 01 card mạng
IP : 10.0.X.2/24 Default gateway : 10.0.X.1 DNS : 10.0.X.2
2.- Máy chủ ISA: tên ISANhomX, gồm 02 card mạng
- Card 01 : Kết nối với mạng LAN IP : 10.0.X.1/24 Default gateway : trống DNS : 10.0.X.2
- Card 02 : Kết nối với mạng INTERNET
IP : 192.168.1.1X/24 Default gateway : 192.168.1.1 DNS : trống
3.- Máy trạm: Windows XP: gồm 01 card mạng cấu hình IP động Cấu hình Domain: Tên domain là nhomX.com Trong đó X là số thứ tự của nhóm.
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
2
II.- THỰC HIỆN: Ok, Chúng ta bắt đầu cấu hình, ở đây tôi chọn nhóm 1 để làm thực hành: 1.- CÀI ĐẶT MÁY CHỦ DOMAIN CONTROLLER:
STT Cách thực hiện Hình ảnh
1 Đổi tên máy: Đổi tên máy thành
ServerNHOM1
2 Cấu hình network: Start->Settings->Network
Connections->Local Area Network IP : 10.0.1.2/24 Default gateway: 10.0.1.1 DNS : 10.0.1.2
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
3
3 Cài đặt và cấu hình DNS Click Start và sau đó click
Administrative Tools. Click DNS.
Trong bảng làm việc của DNS
(DNS console), mở rộng server name SERVERNHOM1 ), sau đó click trên Reverse Lookup Zones. Right click trên Reverse Lookup Zones và click New Zone.
Click Next trên Welcome to
the New Zone Wizard. Trên Zone Type , chọn Primary zone option và click Next.
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
4
Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter 10.0.1 vào text box. Click Next.
Chấp nhận chọn lựa mặc định trên Zone File page, và click Next.
Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates option. Click Next. Click Finish trên Completing the New Zone Wizard page.
Right click Forward Lookup Zone và click New Zone.
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
5
Click Next trên Welcome to the New Zone Wizard page. Trên Zone Type page, chọn Primary zone option và click Next.
Trên Zone Name page, điền tên của forward lookup zone trong Zone name text box. Trong ví dụ này tên của zone là nhom1.com, trùng với tên của Domain sẽ tạo sau này. Đưa nhom1.com vào text box. Click Next.
Chấp nhận các xác lập mặc định
trên Zone File page và click Next.
Trên Dynamic Update page,
chọn Allow both nonsecure and secure dynamic updates. Click Next. Click Finish trên Completing the New Zone Wizard page.
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
6
Mở rộng Forward Lookup Zones và click vào nhom1.com zone. Right click trên nhom1.com và Click New Host (A).
Trong New Host dialog box,
điền vào chính xác SERVERNHOM1 trong Name (uses parent domain name if blank) text box. Trong IP address text box, điền vào 10.0.1.2. Check vào Create associated pointer (PTR) record checkbox. Click Add Host. Click OK trong DNS dialog box thông báo rằng (A) Record đã được tạo xong. Click Done trong New Host text box.
Right click trên nhom1.com forward lookup zone và click Properties.
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
7
Click Name Servers tab. Click servernhom1 entry và click Edit.
Trong Server fully qualified
domain name (FQDN) text box, điền vào tên đầy đủ của Domain controller computer là servernhom1.nhom1.com. Click Resolve. Sẽ nhận thấy, IP address của Server xuất hiện trong IP address list. Click OK.
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
8
Click Apply và sau đó click OK trên nhom1.com Properties dialog box.
Chọn Properties trên
SERVERNHOM1, chọn tab Forwarder nhập ip 192.168.1.1 rồi chọn Add -> chọn OK
Right click trên DNS server name SERVERNHOM1 , chọn All Tasks. Click Restart. Close DNS console.
4 Nâng cấp lên Domain
Controller
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
9
Start->Run-> Gõ vào dcpromo
Click Next -> Next -> Chọn
Domain Controller for new domain -> Next
Chọn Domain in a new forest
-> Next
Gõ nhom1.com vào ô Full DNS
name for new domain -> Next -> Next -> Next -> Next
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
10
Trên DNS Registration Diagnostics page, chọn I will correct the problem later by configuring DNS manually (Advanced). Click Next.
Trên Permissions page, chọn
Permissions compatible only with Windows 2000 or Windows Server 2003 operating system. Click Next.
Click Next. Chờ...
Click Finish -> Khởi động lại
máy ...
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
11
2.- CÀI ĐẶT MÁY CHỦ ISA: STT Cách thực hiện Hình ảnh
1 Đổi tên máy và join domain: Đổi tên máy thành ISANHOM1,
login tài khoản adminsitrator vào domain NHOM1.COM. Máy chủ ISA: gồm 02 card mạng
- Card 01 : Kết nối với mạng LAN IP : 10.0.1.1/24 Default gateway : trống DNS : 10.0.1.2
- Card 02 : Kết nối với mạng INTERNET IP : 192.168.1.11/24 Default gateway: 192.168.1.1 DNS : trống
2 Cài đặt ISA 2004 SP3 Chọn Install ISA server 2004
Chọn kiểu cài đặt Custom xong click Next
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
12
Click Next để tiếp tục…
Click Add..
Chọn card LAN như hình … Click OK để tiếp tục.
Click next …
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
13
Click next …
Chọn Install… chờ cài đặt xong
Update lên SP3…
Khởi động lại máy …
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
14
3 Cấu hình ISA Mở ISA Server Management
Chọn tên server isa ISANHOM1->Configuration->Networks->Tepmplates->Edge Firewall
Click Next
Chọn Export để lưu cấu hình gốc của ISA …
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
15
Đặt tên file cấu hình isa_goc.xml -> chọn Export -> Click Next
Click Next … ở mục Internal Nextwork IP Addresses, click Next
Chọn Allow unrestricted access … ở mục Select a Firewall Policy, , click Next
Chọn Finish
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
16
Chọn Apply
Test Proxy, SecureNAT, Firewall client Buổi tiếp theo sẽ nghiên cứu kỹ cách tạo các access rule …
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
17
CHƯƠNG III CẤU HÌNH CLIENT: WEB PROXY, SECURENAT, FIREWALL
CLIENT, TẠO CÁC ACCESS RULE
I.- MÔ TẢ: 1.- SECURENAT: Chỉ cần khai báo Default Gateway là ip của ISA server. Không chứng thực
được user. Không giới hạn giao thức truy cập. 2.- WEB PROXY: Không cần khai báo Default Gateway, chỉ khai báo proxy trên trình duyệt web.
Chứng thực được user. Chỉ giới hạn truy cập HTTP, HTTPS, FTP, FTPS 3.- FIREWALL CLIENT: Kết họp giữa WEB PROXY và SECURENAT nhưng phải cài đặt isa firewall
client. Chỉ hỗ trợ các hệ điều hành của Microsoft. II.- THỰC HIỆN: Ok, Chúng ta bắt đầu cấu hình, ở đây tôi chọn nhóm 1 để làm thực hành: 1.- CÀI ĐẶT SECURENAT: Đã thực hiện ở bài một. 2.- WEB PROXY: Cài máy ảo Windows XP trên SERVERNHOM1 bằng phần
mềm Virtual PC 2007 SP1. STT Cách thực hiện Hình ảnh
1 Trên máy trạm chạy Windows XP bỏ Default Gateway: Start->Settings->Network Connections->Local Area Network IP : 10.0.1.3/24 Default gateway: trống DNS : 10.0.1.2
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
18
2 Mở Internet Explorer để cấu hình proxy: Tool->Internet Options->chọn tab Connections-> chọn LAN settings Nhập IP của ISA server vào mục Address: 10.0.1.1, Port: 8080 như hình vẽ. Thử ping 10.0.1.1 xem sao, cho biết kết quả đi … Thử ping 10.0.1.2 xem sao, cho biết kết quả đi … Thử vào một trang web nào xem sao… nếu truy cập được internet, hãy giải thích tại sao: ____________________________________________________________________________________________________________
Thực hiện xong nhớ 3.- FIREWALL CLIENT: Cấu hình trên máy chủ ISANHOM1 và cài đặt ISA client
trên máy trạm XP
STT Cách thực hiện Hình ảnh 1 Cấu hình ISA Mở chương trình Cài đặt ISA lên
rồi chọn Modify
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
20
Chọn Browse… ở mục Firewall client configuration để tìm ISANHOM1.nhom1.com, xong chọn OK
Chọn Browse… ở mục Use a Web proxy server để tìm ISANHOM1.nhom1.com, xong chọn OK
Nhấn OK xong chọn Apply …
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
21
2 Cài đặt ISA Firewall Client trên máy ảo Windows XP
Mở địa chỉ \\Isanhom1\mspclnt chạy file setup (Nếu yêu cầu nhập user thì nhập tài khoản admin của Domain nhóm 1)
Chọn mặt định nhấn Next để cài đặt
Chọn Connect to this ISA Server computer rồi nhập vào ISANHOM1.nhom1.com, chọn Next
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
22
Chọn Install…Cài xong chọn Finish rồi khởi động lại máy …
Quá trình cài đặt thành công sẽ thấy biểu tượng ISA Firewall Client ở gốc phải màn hình. Thử ping 10.0.1.1 xem sao, cho biết kết quả đi … Thử ping 10.0.1.2 xem sao, cho biết kết quả đi … Thử vào một trang web nào xem sao… nếu truy cập được internet, hãy giải thích tại sao: ____________________________________________________________________________________________________________
TẠO ACCESS RULE CƠ BẢN
1.- Mô tả: là các điều kiện để truy cập 2.- Ở bài 1 chúng ta đã sử dụng network template để đơn giản hóa việc tạo chính sách cho isa nhằm cho phép Internal network truy xuất ra External network
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
23
CÀI ĐẶT AUTODISCOVERY HỖ TRỢ WEB PROXY VÀ FIREWALL CLIENT
I.- MÔ TẢ: Web Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các
trình duyệt Web browsers (như Internet Explorer, Nestcape Navigator…) và ISA Firewall client có thể tự động khám phá ISA Server 2004 Firewall (IP address). Các Client này sau đó có thể download các thông tin cấu hình tự động (Autoconfiguration information) từ Firewall, sau đó Web Proxy và Firewall client sẽ discover ra address liên lạc với ISA Server.
Tóm lại chức năng WPAD giải quyết cung cấp các thông số tự động cho các
Web browsers. Xác lập mặc định trên Internet Explorer 6.0 là autodiscover Web proxy client. Khi xác lập này được enabled, Web browser có thể gửi đi một thông điệp DHCPINFORM message hoặc một truy vấn DNS query để tìm địa chỉ của ISA Server 2004, dựa trên những thông tin đã nhận được (download) từ Autoconfiguration information.
Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng
Firewall (detect Firewall) để kết nối ra Internet. ISA Server 2004 Firewall client cũng có thể dùng wpad entry để tìm ISA
Server 2004 Firewall và download các thông tin cấu hình này về. Trong phần này chúng ta sẽ tiến hành • Cấu hình hỗ trợ DHCP WPAD • Cấu hình hỗ trợ DNS WPAD Sau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web
Proxy và Firewall clients sẽ không cần phải cấu hình thủ công để có thể ra Internet thông qua ISA Server 2004 Firewall.
II.- THỰC HIỆN: Cấu hình hỗ trợ DHCP WPAD
DHCP scope option số 252 có thể được dùng để cấu hình tự động cho Web Proxy và Firewall clients. Web Proxy hoặc Firewall client phải được cấu hình trở thành DHCP client, và các Users log-on vào các Clients này phải là thành viên của nhóm Local administrators group hoặc Power users group (Windows 2000). Trên Windows XP, thì chỉ cần là thành viên của nhóm Network Configuration Operators group là có quyền để thực hiện gửi các truy vấn DHCP (DHCPINFORM messages).
STT Cách thực hiện Hình ảnh
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
24
1 Cấu hình hỗ trợ DHCP WPAD Thực hiện trên máy Domain Conntroller: servernhom1
Click Start, Administrative Tools. Click DHCP.
Trên DHCP console, right click trên server name và click Authorize (xác nhận DHCP server này hoạt động hợp pháp trong Domain, như vậy tất cả các DHCP server không được Authorize sẽ bị vô hiệu hóa trong việc cung cấp IP addresses). Click nút Refresh.
Right click trên server name, click New Scope.
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
25
Click Next trên Welcome to the New Scope Wizard page.
Trên Scope Name page, đặt tên cho scope trong Name text box và đưa thông tin mô tả trong Description text box. Trong ví dụ này, chúng ta sẽ đặt tên scope là Scope Nhom1 và không mô tả trong Description. Click Next.
Nhập Start address là 10.0.1.1 và End address là 10.0.1.254. Tiếp theo chúng ta sẽ đưa thông số subnet mask vào text box Length hoặc Subnet mask. Trong ví dụ ở đây, chúng ta xác nhận giá trị 24 trong Length text box. Giá trị Subnet mask cũng tự động thay đổi sau khi bạn đã điền giá trị vào Length. Click Next.
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
26
Nhập Start address là 10.0.1.1 và End address là 10.0.1.2. Nhấn Add. Chọn Next. (Đây là IP của SERVERNHOM1 và ISANHOM1)
Chấp nhận lượng thời gian cho thuê địa chỉ (lease duration) là 8 ngày tại Lease Duration page. Click Next.
Trên Configure DHCP Options page, chọn Yes, I want to configure these options now option và click Next.
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
27
Trên Router (Default Gateway) page, điền vào IP address của internal interface (10.0.0.1) trên ISA Server 2004 Firewall computer trong IP address text box và click Add. Click Next.
Đưa vào tên Domain là nhom1.com trong text box. Trong IP address text box, điền IP address của DNS server (10.0.1.2) trên Internal Network. Chú ý domain controller cũng là DNS server internal Network như đã xác định tại các phần trước. Click Add. Click Next.
Trên WINS Servers page, điền IP address của WINS server (10.0.1.2) và Click Add.
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
28
Trên Activate Scope page, chọn Yes, I want to activate this scope now option và click Next. Click Finish trên Completing the New Scope Wizard page.
Trong DHCP console, mở rộng Scope Nhom1 node, click vào Scope Options node. Bạn sẽ thầy danh sách các Options vừa cấu hình.
Mở DHCP console từ Administrative Tools menu, right click server name. Click Set Predefined Options
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
29
Trong Predefined Options and Values dialog box, click Add.
Trong Option Type dialog box, đưa vào các thông tin sau:
Name: wpad
Data type: String
Code: 252
Description: wpad entry
Click OK.
Trong khung Value, điền vào địa
chỉ URL dẫn đến ISA Server 2004 Firewall trong String text box.
Theo định dạng như sau:
Http://isanhom1.nhom1.com:80/wpad.dat
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
30
2 Cấu hình hỗ trợ DNS WPAD Thực hiện trên máy Domain Controller: servernhom1
Click Start, Administrative Tools. Click DNS entry. Trong DNS management console, right click trên Forward lookup zone của Domain và click New Alias (CNAME).
Trong New Resource Record dialog box, điền vào wpad trong Alias name (uses parent domain if left blank) text box.
Điền: isanhom1.nhom1.com vào khung Fully qual… Click OK
3 CÀI ĐẶT AUTODISCOVERY Thực hiện trên máy
isanhom1
TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
31
Chọn tên server isa ISANHOM1->Configuration->Networks->click đúp Internal-> chọn TAB Auto Discovery. Click chọn mục Publish automatic discovery information. Click OK -> Apply… Lưu ý: tắt IIS Admin trên máy isa vì ta chọn publish trên cổng 80.
4 Kiểm tra chức năng AUTODISCOVERY
Trên máy trạm chạy windows xp mở Internet Explorer -> Tool -> Internet Options -> Connections -> Lan Setting
Trên máy trạm chạy windows xp mở Firewall Client chọn Automatically detected ISA Server . Xem có thành công không…. Giải thích tại sao …