1. “Chuyên trang dành cho kỹ thuật viên tin học”
CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT
Part 38 - ISA Server - Server Publishing
Ở bài Access Rule chúng ta đã tìm hiểu về cách tạo các Rule Allow & Deny để các máy trong Internal Network có thể truy cập được Internet
hay nói đúng hơn chúng ta chỉ tạo các Rule Outbound mà thôi. Trong bài này chúng ta sẽ tìm hiểu cách thức để mở các Port sao cho các máy từ
External Network có thể truy cập vào mạng chúng ta công việc này còn gọi là Server Publishing.
Hay hiểu một cách đơn giản hơn là trước kia thay vì để người dùng Internet truy cập vào mạng chúng ta thông qua NAT thì với bài này chúng ta
cũng làm công việc tương tự nhưng trong môi trường có ISA Server và DC Server.
Giả sử mạng của tôi như sau:
Subnet 172.16.2.0/24
ISA Server: IP=172.16.2.1
DC Server, DNS Server: IP=172.16.2.2 có Domain Name là gccom.net
Web Server: IP=172.16.2.3
Mail Server: IP=172.16.2.4
Khi đó các máy trong Internal Network khi truy vấn domain gccom.net sẽ truy cập thẳng đến máy có IP là 172.16.2.2 nhờ DNS Server của hệ
thống phân giải. Và hiển nhiên Domain gccom.net này chỉ có tác dụng trong mạng nội bộ mà thôi.
Sau một thời gian hoạt động công ty tôi tiến hành mua Domain gccom.net từ nhà cung cấp dịch vụ Domain và được cấp cho một IP Public (trên
thực tế ta cũng phải mua IP này) là 203.114.98.108.
Như vậy các máy trong mạng Internal Network khi truy vấn các dịch vụ Web, Mail của Domain gccom.net sẽ nhờ DNS Server của hệ thống
phân giải cho ra IP tương ứng là 172.16.2.3 , 172.16.2.4
Trong khi đó các máy từ External Network khi truy vấn các dịch vụ Web, Mail của Domain gccom.net sẽ nhờ DNS Server của nhà cung cấp dịch
vụ ISP phân giải và cho ra duy nhất một IP là 203.114.98.108
Như vậy yêu cầu đặt ra làm sao để các máy từ External Network truy cập vào mạng chúng ta thông qua IP Public sẽ truy cập vào các máy chạy
các dịch vụ tương ứng.
Để làm được điều này đòi hỏi tại mạng chúng ta phải xây dựng thêm một DNS Server khác có tác dụng giải đáp các yêu cầu từ bên ngoài và dẫn dắt
các yêu cầu này vào trong DNS Server nội bộ, máy DNS Server này còn gọi là External DNS Server.
Để cho đơn giản trong bài tôi sẽ gom các dịch vụ này lại với nhau và chúng ta có sơ đồ như sau trong đó:
1 of 16

2. - PC01 vừa là ISA Server vừa là External DNS. Trên thực tế vì lý do bảo mật ta phải tách rời 2 dịch vụ này ra làm 2 máy. Máy ISA Server đã Join
vào domain gccom.net
- PC02 bao gồm các dịch vụ Exchange Server, DC Server, DNS Server, Web Server, CA Server... với Domain là gccom.net
- PC03 là một máy bất kỳ nằm ngoài Internet
- Mạng 192.168.1.0/24 là mạng giả lập Internet
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02 PC03
Name isa.gccom.net server.gccom.net client
Card Lan
IP Address 192.168.1.2 192.168.1.3
Subnet Mask 255.255.255.0 255.255.255.0
Default
gateway
192.168.1.1 192.168.1.1
Preferred DNS 192.168.1.2
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Default
gateway
172.16.2.1
Preferred DNS 172.16.2.2 127.0.0.1
Card Lan: nối gián tiếp 2 máy PC01 & PC03 với nhau thông qua Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
Như vậy với mô hình này IP 192.168.1.2 chính là IP giả lập của IP Public 203.114.98.108 mà ta mua từ nhà cung cấp dịch vụ
Bây giờ ta tiến hành đi vào chi tiết bao gồm các bước:
1) Cấu hình cho DNS Server
2) Cấu hình cho máy External DNS Server
3) Cấu hình External DNS trên ISA Server
4) Xin Certificate cho máy Web Server
5) Xin Certificate cho máy ISA Server
6) Publish các dịch vụ HTTP, HTTPS, FTP, SMTP, POP3, OWA...
Đầu tiên ta cấu hình cho DNS Server nội bộ trước tại máy Exchange Server (PC02) bật DNS lên. Vì máy EX được nối trực tiếp với ISA Server
thông qua mạng 172.16.2.0/24 nên nếu trong này còn tồn tại các Subnet khác thì bạn tiến hành xóa chúng đi.
Trong hình DNS còn tồn tại các Host (A) của mạng 192.168.1.0/24 nên tôi phải xóa chúng đi.
2 of 16

3. Nhấp phải vào Reverse Lookup Zones chọn New Zone
Giữ nguyên giá trị mặc định Primary Zone
Chọn To all DNS Servers in the Active Directory domain gccom.net
3 of 16

4. Nhập nguyên Subnet của mạng Internal Network là 172.16.2.0/24
Chọn Allow only secure dynamic updates
Màn hình sau khi hoàn tất
4 of 16

5. Ra Command DOS nhập ipconfig registerdns để cập nhật động Pointer cho DNS
Màn hình sau khi Refresh
Từ máy ISA Server (PC01) đăng nhập vào quyền Administrator của Domain gccom.net
Trở lại máy Exchange Server nhấp vào gccom.net trong DNS sẽ thấy xuất hiện thêm Host (A) của máy ISA
Nhấp chọn 172.16.2.x Subnet sẽ thấy các Pointer cũng được tự động cập nhật
5 of 16

6. Trở lại gccom.net tạo các Alias là mail và www
Vì ngay chính máy DNS Server này cũng chính là máy chạy dịch vụ Mail Server nên trong này tôi tạo luôn MX Record (Xem lại bài DNS Server)
Đến đây ta đã hoàn thành xong việc cấu hình DNS cho hệ thống mạng nội bộ. Như vậy bất kỳ máy nào trong Internal Network truy vấn các dịch
vụ (Web, Mail...) của Domain gccom.net sẽ được chính máy DNS này phân giải về các máy chạy các dịch vụ tương ứng trong cùng Internal
Network
Bây giờ ta sẽ cấu hình tại máy External DNS tuy nhiên vì trong bài này máy cài ISA Server cũng chính là máy mà ta giả lập làm External DNS
nên tại máy ISA Server (PC01) bạn cài thêm dịch vụ DNS vào.
Như vậy đến lúc này trong hệ thống mạng chúng ta có đến 2 máy cài dịch vụ DNS trong đó:
- DNS Server được cài lên máy PC02 thuộc Internal Network
- DNS Server được cài lên máy PC01 thuộc Local Host và được gọi là External DNS
Tại máy ISA Server bật DNS lên nhấp phải vào Forward Lookup Zones chọn New Zones
Giữ nguyên giá trị mặc định Primary Zone
6 of 16

7. Trong Zone Name bạn nhập domain mà mình đã mua vào trong này cũng chính là gccom.net
Chọn Do not allow dynamic updates để không cập nhật động
Nhấp chọn gccom.net ta nhận thấy sẽ xuất hiện 2 Host (A) là 192.168.1.2 (chính là IP Public mà ta mua từ trước) và 172.16.2.1 (IP máy ISA)
ta phải tiến hành xóa Host (A) 172.16.2.1 lý giải:
- Trong thực tế máy cài External DNS sẽ hoàn toàn đôc lập với máy chạy ISA Server nên trên máy này chỉ tồn tại duy nhất một Card Lan mà thôi
7 of 16

8. như vậy khi tạo Zone sẽ chỉ xuất hiện mỗi Host (A) 192.168.1.2. Nhưng vì do trong bài chúng ta gom chung 2 máy ISA Server và External DNS
là một nên tại máy này phải tồn tại 2 Card Lan nên khi tạo Zone sẽ xuất hiện cả 2 Host (A) của 2 Card này.
- Ta phải xóa Host (A) 172.16.2.1 đi vì tại máy External DNS đóng vai trò là IP mặt ngoài (IP Public) của mạng chúng ta và nó chỉ tiếp nhận các
yêu cầu từ ngoài gởi vào mà thôi. Hay nói cách khác nó mang trên mình một IP thuộc External Network chứ không thuộc Internal Netwok.
Tạo một Reverse Lookup Zones là 192.16.1.x Subnet (trong thực tế Subnet này chính là 203.114.98.x)
Tiếp tục tạo các Host www cho gccom.net
Nhập IP chính là IP mặt ngoài của chúng ta trong vì dụ này IP này cũng chính là IP của máy ISA Server (trong thực tế IP này chính là
203.114.98.108).
Click chọn tùy chọn Create associated pointer (PRT) record
Màn hình gccom.net sau khi hoàn tất
8 of 16

9. Màn hình 192.168.1.x Subnet sau khi hoàn tất
Do trong bài chúng ta gom chung ISA Server và External DNS trên cùng một máy nên ta phải chỉ định cho External DNS biết sẽ phải dẫn dắt các
yêu cầu từ nên ngoài vào trong thông qua mạng nào (trong thực tế ta không phải làm bước này)
Nhấp phải vào ISA chọn Properties
Chọn Only the following IP addresses trong mục Linten on và Remove IP 192.168.1.2 ra, lý giải:
Khi các máy từ bên ngoài truy cập vào mạng chúng ta chúng chỉ thấy duy nhất mỗi IP 192.168.1.2 (trong thực tế IP này chính là 203.114.98.108)
mà thôi, khi đó External DNS sẽ dẫn dắt các yêu cầu này thông qua IP 172.16.2.1 để vào bên trong
9 of 16

10. Màn hình sau khi hoàn tất
Đến đây ta đã hoàn tất việc cấu hình trên External DNS. Bước tiếp theo là ta phải cấu hình ISA Server để các máy trong Internal Network có thể
truy cập lẫn nhau và ra được Internet
Để cho đơn giản tôi tạo một Rule như sau
Name: Internal VS Local Host
Action: Allow
Protocols: All Outbound Traffic
Access Rule Sources: Internal & Local Host
Access Rule Destinations: External & Internal & Local Host
User Sets: All User
10 of 16

11. Tiếp theo để cho các máy từ bên ngoài nhìn vào mạng chúng ta thấy được máy External DNS (vì External Network nằm trong Local Host) ta phải
tạo một Rule Publish DNS này ra ngoài External Network
Tại ISA Server nhấp phải vào Firewall Policy chọn New -> Non-Web Server Protocol Publishing Rule...
Đạt tên cho Rule này là Publish DNS
Nhập IP của máy External DNS trong này chính là IP máy ISA Server
11 of 16

12. Chọn DNS Server trong Select Protocol
Chọn External trong Network Listener IP Address
Màn hình sau khi hoàn tất
12 of 16

13. Bây giờ ta sẽ tiến hành Test thử. Từ máy Client bất kỳ chỉnh Rerfered DNS về IP mặt ngoài của mạng chúng ta là 192.168.1.2 (trong thực tế IP
này chính là 203.114.98.108)
Vào Command DOS nhập:
nslookup www.gccom.net & và thấy kết nslookup mail.gccom.net quả thành công.
Tiếp theo ta sẽ Publish các dịch vụ HTTP & HTTPS.
Tại máy Exchange Server (PC02) mở IIS lên nhấp phải vào Default Web chọn Properties
13 of 16

14. Chọn Tab Directory Sercurity
Trong hình ta thấy Certificate đã được cấp cho Default Web rồi vì tôi đã làm từ trước đó (Xem lại bài Certificate)
Nhấp chọn View Certificate thấy Issued to là server.gccom.net
14 of 16

15. Tôi sẽ tiến hành Remove Certificate cho Default Web này đi và tạo lại một Certificate mới có Issued to là www.gccom.net
Tại Tab Directory Sercurity chọn Edit và bỏ tùy chọn Require secure channel (SSL) đi để có thể chạy được cả 2 dịch vụ HTTP & HTTPS
15 of 16

16. Bật IE của máy Exchange Server lên test thử Web Server thấy rất tốt
OK mình vừa trình bày xong phần Server Publishing - Configuration - ISA Server trong 70-351 của MCSA.
Công ty TNHH đầu tư phát triển tin học GC Com
Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học
Điện thoại: (073) - 3.511.373 - 6.274.294
Website: http://www.gccom.net
16 of 16