Chuong 2 3

TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE

CHƯƠNG II
CÀI ĐẶT VÀ CẤU HÌNH ISA 2004
I.- MÔ HÌNH:

Hệ thống gồm 03 máy:

1.- Máy chủ Domain Controller: Windows Server 2003
2.- Máy chủ ISA: Windows Server 2003
3.- Máy trạm: Windows XP

Cấu hình IP:

1.- Máy chủ Domain Controller: tên ServerNhomX, gồm 01 card mạng
IP : 10.0.X.2/24
Default gateway : 10.0.X.1
DNS : 10.0.X.2
2.- Máy chủ ISA: tên ISANhomX, gồm 02 card mạng

- Card 01 : Kết nối với mạng LAN
IP : 10.0.X.1/24
Default gateway : trống
DNS : 10.0.X.2

- Card 02 : Kết nối với mạng INTERNET
IP : 192.168.1.1X/24
Default gateway : 192.168.1.1
DNS : trống

3.- Máy trạm: Windows XP: gồm 01 card mạng cấu hình IP động

Cấu hình Domain: Tên domain là nhomX.com

Trong đó X là số thứ tự của nhóm.

1


II.- THỰC HIỆN:

Ok, Chúng ta bắt đầu cấu hình, ở đây tôi chọn nhóm 1 để làm thực hành:

1.- CÀI ĐẶT MÁY CHỦ DOMAIN CONTROLLER:

STT Cách thực hiện Hình ảnh
1 Đổi tên máy:
Đổi tên máy thành
ServerNHOM1

2 Cấu hình network:
Start->Settings->Network
Connections->Local Area
Network

IP : 10.0.1.2/24
Default gateway: 10.0.1.1
DNS : 10.0.1.2

2


3 Cài đặt và cấu hình DNS
Click Start và sau đó click
Administrative Tools. Click
DNS.

Trong bảng làm việc của DNS
(DNS console), mở rộng server
name SERVERNHOM1 ), sau đó
click trên Reverse Lookup
Zones. Right click trên Reverse
Lookup Zones và click New
Zone.

Click Next trên Welcome to
the New Zone Wizard.
Trên Zone Type , chọn Primary
zone option và click Next.

3


Trên Reverse Lookup Zone
Name page, chọn Network ID
option và Enter 10.0.1 vào text
box. Click Next.

Chấp nhận chọn lựa mặc định
trên Zone File page, và click
Next.

Trên Dynamic Update page,
chọn Allow both nonsecure
and secure dynamic updates
option. Click Next.

Click Finish trên Completing
the New Zone Wizard page.

Right click Forward Lookup
Zone và click New Zone.

4



Trên Zone Type page, chọn
Primary zone option và click
Next.

Trên Zone Name page, điền tên
của forward lookup zone
trong Zone name text box.
Trong ví dụ này tên của zone là
nhom1.com, trùng với tên của
Domain sẽ tạo sau này. Đưa
nhom1.com vào text box. Click
Next.

Chấp nhận các xác lập mặc định
trên Zone File page và click
Next.

Trên Dynamic Update page,
chọn Allow both nonsecure and
secure dynamic updates. Click
Next.


5


Mở rộng Forward Lookup
Zones và click vào nhom1.com
zone. Right click trên
nhom1.com và Click New Host
(A).

Trong New Host dialog box,
điền vào chính xác
SERVERNHOM1 trong Name
(uses parent domain name if
blank) text box. Trong IP address
text box, điền vào 10.0.1.2.
Check vào Create associated
pointer (PTR) record
checkbox.

Click Add Host. Click OK trong
DNS dialog box thông báo rằng
(A) Record đã được tạo xong.
Click Done trong New Host text
box.

Right click trên nhom1.com
forward lookup zone và click
Properties.

6


Click Name Servers tab. Click
servernhom1 entry và click
Edit.

Trong Server fully qualified
domain name (FQDN) text
box, điền vào tên đầy đủ của
Domain controller computer là
servernhom1.nhom1.com.
Click Resolve. Sẽ nhận thấy, IP
address của Server xuất hiện
trong IP address list. Click OK.

7


Click Apply và sau đó click OK
trên nhom1.com Properties
dialog box.

Chọn Properties trên
SERVERNHOM1, chọn tab
Forwarder nhập ip 192.168.1.1
rồi chọn Add -> chọn OK

Right click trên DNS server
name SERVERNHOM1 , chọn
All Tasks. Click Restart.

Close DNS console.

4 Nâng cấp lên Domain
Controller

8


Start->Run-> Gõ vào
dcpromo

Click Next -> Next -> Chọn
Domain Controller for new
domain -> Next

Chọn Domain in a new forest
-> Next

Gõ nhom1.com vào ô Full DNS
name for new domain ->
Next -> Next -> Next -> Next

9


Trên DNS Registration
Diagnostics page, chọn I will
correct the problem
later by configuring DNS
manually (Advanced). Click
Next.

Trên Permissions page, chọn
Permissions compatible only
with Windows
2000 or Windows Server
2003 operating system. Click
Next.

Click Next. Chờ...

Click Finish -> Khởi động lại
máy ...

10


2.- CÀI ĐẶT MÁY CHỦ ISA:

1 Đổi tên máy và join domain:
Đổi tên máy thành ISANHOM1,
login tài khoản adminsitrator vào
domain NHOM1.COM.
Máy chủ ISA: gồm 02 card mạng

- Card 01 : Kết nối với mạng LAN
IP : 10.0.1.1/24
Default gateway : trống
DNS : 10.0.1.2

- Card 02 : Kết nối với mạng
INTERNET
IP : 192.168.1.11/24
Default gateway: 192.168.1.1
DNS : trống

2 Cài đặt ISA 2004 SP3
Chọn Install ISA server 2004

Chọn kiểu cài đặt Custom xong
click Next

11


Click Next để tiếp tục…

Click Add..

Chọn card LAN như hình … Click
OK để tiếp tục.

Click next …

12


Click next …

Chọn Install… chờ cài đặt xong

Update lên SP3…

Khởi động lại máy …

13


3 Cấu hình ISA
Mở ISA Server Management

Chọn tên server isa
ISANHOM1->Configuration-
>Networks->Tepmplates-
>Edge Firewall

Click Next

Chọn Export để lưu cấu hình
gốc của ISA …

14


Đặt tên file cấu hình
isa_goc.xml -> chọn Export -
> Click Next

Click Next … ở mục Internal
Nextwork IP Addresses, click
Next

Chọn Allow unrestricted
access … ở mục Select a
Firewall Policy, , click Next

Chọn Finish

15


Chọn Apply

Test Proxy, SecureNAT,
Firewall client

Buổi tiếp theo sẽ nghiên cứu kỹ
cách tạo các access rule …

16


CHƯƠNG III
CẤU HÌNH CLIENT: WEB PROXY, SECURENAT, FIREWALL
CLIENT, TẠO CÁC ACCESS RULE
I.- MÔ TẢ:

1.- SECURENAT:

Chỉ cần khai báo Default Gateway là ip của ISA server. Không chứng thực
được user. Không giới hạn giao thức truy cập.

2.- WEB PROXY:

Không cần khai báo Default Gateway, chỉ khai báo proxy trên trình duyệt web.
Chứng thực được user. Chỉ giới hạn truy cập HTTP, HTTPS, FTP, FTPS

3.- FIREWALL CLIENT:

Kết họp giữa WEB PROXY và SECURENAT nhưng phải cài đặt isa firewall
client. Chỉ hỗ trợ các hệ điều hành của Microsoft.

II.- THỰC HIỆN:

Ok, Chúng ta bắt đầu cấu hình, ở đây tôi chọn nhóm 1 để làm thực hành:

1.- CÀI ĐẶT SECURENAT: Đã thực hiện ở bài một.

2.- WEB PROXY: Cài máy ảo Windows XP trên SERVERNHOM1 bằng phần
mềm Virtual PC 2007 SP1.

1 Trên máy trạm chạy Windows XP
bỏ Default Gateway:
Start->Settings->Network
Connections->Local Area
Network

IP : 10.0.1.3/24
Default gateway: trống
DNS : 10.0.1.2

17


2 Mở Internet Explorer để cấu hình
proxy: Tool->Internet
Options->chọn tab
Connections-> chọn LAN
settings

Nhập IP của ISA server vào mục
Address: 10.0.1.1, Port: 8080
như hình vẽ.

Thử ping 10.0.1.1 xem sao, cho
biết kết quả đi …


Thử vào một trang web nào xem
sao… nếu truy cập được internet,
hãy giải thích tại sao:

___________________________
___________________________
___________________________
___________________________

Thực hiện xong nhớ

3.- FIREWALL CLIENT: Cấu hình trên máy chủ ISANHOM1 và cài đặt ISA client
trên máy trạm XP

1 Cấu hình ISA
Mở chương trình Cài đặt ISA lên
rồi chọn Modify

18


Chọn thêm mục Firewall Client
Installation Share rồi chọn
Next. Đợi cài đặt…

Mở ISA Server Management

>Networks->click đúp
Internal-> chọn TAB Firewall
Client.

19


Chọn Browse… ở mục Firewall
client configuration để tìm
ISANHOM1.nhom1.com, xong
chọn OK

Chọn Browse… ở mục Use a
Web proxy server để tìm
ISANHOM1.nhom1.com, xong
chọn OK

Nhấn OK xong chọn Apply …

20


2 Cài đặt ISA Firewall Client
trên máy ảo Windows XP
Mở địa chỉ Isanhom1mspclnt
chạy file setup (Nếu yêu cầu
nhập user thì nhập tài khoản
admin của Domain nhóm 1)

Chọn mặt định nhấn Next để cài
đặt

Chọn Connect to this ISA
Server computer rồi nhập vào
ISANHOM1.nhom1.com,
chọn Next

21


Chọn Install…Cài xong chọn
Finish rồi khởi động lại máy …

Quá trình cài đặt thành công sẽ
thấy biểu tượng ISA Firewall
Client ở gốc phải màn hình.



Thử vào một trang web nào xem
sao… nếu truy cập được internet,
hãy giải thích tại sao:

___________________________
___________________________
___________________________
___________________________

TẠO ACCESS RULE CƠ BẢN

1.- Mô tả: là các điều kiện để truy cập

2.- Ở bài 1 chúng ta đã sử dụng network template để đơn giản hóa việc tạo
chính sách cho isa nhằm cho phép Internal network truy xuất ra External network

22


CÀI ĐẶT AUTODISCOVERY HỖ TRỢ WEB PROXY VÀ
FIREWALL CLIENT

I.- MÔ TẢ:

Web Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các
trình duyệt Web browsers (như Internet Explorer, Nestcape Navigator…) và ISA
Firewall client có thể tự động khám phá ISA Server 2004 Firewall (IP address). Các
Client này sau đó có thể download các thông tin cấu hình tự động (Autoconfiguration
information) từ Firewall, sau đó Web Proxy và Firewall client sẽ discover ra address
liên lạc với ISA Server.

Tóm lại chức năng WPAD giải quyết cung cấp các thông số tự động cho các
Web browsers. Xác lập mặc định trên Internet Explorer 6.0 là autodiscover Web
proxy client. Khi xác lập này được enabled, Web browser có thể gửi đi một thông
điệp DHCPINFORM message hoặc một truy vấn DNS query để tìm địa chỉ của ISA
Server 2004, dựa trên những thông tin đã nhận được (download) từ
Autoconfiguration information.

Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng
Firewall (detect Firewall) để kết nối ra Internet.

ISA Server 2004 Firewall client cũng có thể dùng wpad entry để tìm ISA
Server 2004 Firewall và download các thông tin cấu hình này về.

Trong phần này chúng ta sẽ tiến hành

• Cấu hình hỗ trợ DHCP WPAD

• Cấu hình hỗ trợ DNS WPAD

Sau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web
Proxy và Firewall clients sẽ không cần phải cấu hình thủ công để có thể ra Internet
thông qua ISA Server 2004 Firewall.

II.- THỰC HIỆN:

Cấu hình hỗ trợ DHCP WPAD

DHCP scope option số 252 có thể được dùng để cấu hình tự động cho Web
Proxy và Firewall clients. Web Proxy hoặc Firewall client phải được cấu hình trở
thành DHCP client, và các Users log-on vào các Clients này phải là thành viên của
nhóm Local administrators group hoặc Power users group (Windows 2000). Trên
Windows XP, thì chỉ cần là thành viên của nhóm Network Configuration Operators
group là có quyền để thực hiện gửi các truy vấn DHCP (DHCPINFORM messages).


23


1 Cấu hình hỗ trợ DHCP WPAD Thực hiện trên máy Domain Conntroller:
servernhom1
Click Start, Administrative
Tools. Click DHCP.
Trên DHCP console, right click
trên server name và click
Authorize (xác nhận DHCP
server này hoạt động hợp pháp
trong Domain, như vậy tất cả các
DHCP server không được
Authorize sẽ bị vô hiệu hóa trong
việc cung cấp IP addresses).
Click nút Refresh.

Right click trên server name,
click New Scope.

24


the New Scope Wizard page.

Trên Scope Name page, đặt
tên cho scope trong Name text
box và đưa thông tin mô tả trong
Description text box. Trong ví dụ
này, chúng ta sẽ đặt tên scope là
Scope Nhom1 và không mô tả
trong Description. Click Next.

Nhập Start address là 10.0.1.1
và End address là 10.0.1.254.
Tiếp theo chúng ta sẽ đưa thông
số subnet mask vào text box
Length hoặc Subnet mask. Trong
ví dụ ở đây, chúng ta xác nhận
giá trị 24 trong Length text
box. Giá trị Subnet mask cũng
tự động thay đổi sau khi bạn đã
điền giá trị vào Length. Click
Next.

25


Nhập Start address là 10.0.1.1
và End address là 10.0.1.2.
Nhấn Add. Chọn Next.
(Đây là IP của SERVERNHOM1 và
ISANHOM1)

Chấp nhận lượng thời gian cho
thuê địa chỉ (lease duration) là 8
ngày tại Lease Duration page.
Click Next.

Trên Configure DHCP Options
page, chọn Yes, I want to
configure these options now
option và click Next.

26


Trên Router (Default
Gateway) page, điền vào IP
address của internal interface
(10.0.0.1) trên ISA Server 2004
Firewall computer trong IP
address text box và click Add.
Click Next.

Đưa vào tên Domain là
nhom1.com trong text box.
Trong IP address text box, điền
IP address của DNS server
(10.0.1.2) trên Internal
Network. Chú ý domain
controller cũng là DNS server
internal Network như đã xác định
tại các phần trước. Click Add.
Click Next.

Trên WINS Servers page, điền
IP address của WINS server
(10.0.1.2) và Click Add.

27


Trên Activate Scope page,
chọn Yes, I want to activate this
scope now option và click Next.
the New Scope Wizard page.

Trong DHCP console, mở rộng
Scope Nhom1 node, click vào
Scope Options node. Bạn sẽ thầy
danh sách các Options vừa cấu
hình.

Mở DHCP console từ
Administrative Tools menu,
right click server name. Click
Set Predefined Options

28


Trong Predefined Options and
Values dialog box, click Add.

Trong Option Type dialog box,
đưa vào các thông tin sau:

Name: wpad

Data type: String

Code: 252

Description: wpad entry

Click OK.

Trong khung Value, điền vào địa
chỉ URL dẫn đến ISA Server
2004 Firewall trong String text
box.

Theo định dạng như sau:

Http://isanhom1.nhom1.com:80/
wpad.dat

29


2 Cấu hình hỗ trợ DNS WPAD Thực hiện trên máy Domain Controller:
servernhom1
Click Start, Administrative
Tools. Click DNS entry. Trong
DNS management console,
right click trên Forward lookup
zone của Domain và click New
Alias (CNAME).

Trong New Resource Record
dialog box, điền vào wpad trong
Alias name (uses parent
domain if left blank) text box.

Điền: isanhom1.nhom1.com vào
khung Fully qual… Click OK

3 CÀI ĐẶT AUTODISCOVERY
Thực hiện trên máy
isanhom1

30


>Networks->click đúp
Internal-> chọn TAB Auto
Discovery. Click chọn mục
Publish automatic discovery
information. Click OK ->
Apply…

Lưu ý: tắt IIS Admin trên
máy isa vì ta chọn publish
trên cổng 80.

4 Kiểm tra chức năng
AUTODISCOVERY
Trên máy trạm chạy windows xp
mở Internet Explorer -> Tool
-> Internet Options ->
Connections -> Lan Setting

Trên máy trạm chạy windows xp
mở Firewall Client chọn
Automatically detected ISA
Server .

Xem có thành công không….
Giải thích tại sao …

31

Chuong 2 3

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Similar to Chuong 2 3

Similar to Chuong 2 3 (20)

Chuong 2 3