1. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
CHƯƠNG II
CÀI ĐẶT VÀ CẤU HÌNH ISA 2004
I.- MÔ HÌNH:
Hệ thống gồm 03 máy:
1.- Máy chủ Domain Controller: Windows Server 2003
2.- Máy chủ ISA: Windows Server 2003
3.- Máy trạm: Windows XP
Cấu hình IP:
1.- Máy chủ Domain Controller: tên ServerNhomX, gồm 01 card mạng
IP : 10.0.X.2/24
Default gateway : 10.0.X.1
DNS : 10.0.X.2
2.- Máy chủ ISA: tên ISANhomX, gồm 02 card mạng
- Card 01 : Kết nối với mạng LAN
IP : 10.0.X.1/24
Default gateway : trống
DNS : 10.0.X.2
- Card 02 : Kết nối với mạng INTERNET
IP : 192.168.1.1X/24
Default gateway : 192.168.1.1
DNS : trống
3.- Máy trạm: Windows XP: gồm 01 card mạng cấu hình IP động
Cấu hình Domain: Tên domain là nhomX.com
Trong đó X là số thứ tự của nhóm.
1
2. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
II.- THỰC HIỆN:
Ok, Chúng ta bắt đầu cấu hình, ở đây tôi chọn nhóm 1 để làm thực hành:
1.- CÀI ĐẶT MÁY CHỦ DOMAIN CONTROLLER:
STT Cách thực hiện Hình ảnh
1 Đổi tên máy:
Đổi tên máy thành
ServerNHOM1
2 Cấu hình network:
Start->Settings->Network
Connections->Local Area
Network
IP : 10.0.1.2/24
Default gateway: 10.0.1.1
DNS : 10.0.1.2
2
3. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
3 Cài đặt và cấu hình DNS
Click Start và sau đó click
Administrative Tools. Click
DNS.
Trong bảng làm việc của DNS
(DNS console), mở rộng server
name SERVERNHOM1 ), sau đó
click trên Reverse Lookup
Zones. Right click trên Reverse
Lookup Zones và click New
Zone.
Click Next trên Welcome to
the New Zone Wizard.
Trên Zone Type , chọn Primary
zone option và click Next.
3
4. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Trên Reverse Lookup Zone
Name page, chọn Network ID
option và Enter 10.0.1 vào text
box. Click Next.
Chấp nhận chọn lựa mặc định
trên Zone File page, và click
Next.
Trên Dynamic Update page,
chọn Allow both nonsecure
and secure dynamic updates
option. Click Next.
Click Finish trên Completing
the New Zone Wizard page.
Right click Forward Lookup
Zone và click New Zone.
4
5. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Click Next trên Welcome to
the New Zone Wizard page.
Trên Zone Type page, chọn
Primary zone option và click
Next.
Trên Zone Name page, điền tên
của forward lookup zone
trong Zone name text box.
Trong ví dụ này tên của zone là
nhom1.com, trùng với tên của
Domain sẽ tạo sau này. Đưa
nhom1.com vào text box. Click
Next.
Chấp nhận các xác lập mặc định
trên Zone File page và click
Next.
Trên Dynamic Update page,
chọn Allow both nonsecure and
secure dynamic updates. Click
Next.
Click Finish trên Completing
the New Zone Wizard page.
5
6. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Mở rộng Forward Lookup
Zones và click vào nhom1.com
zone. Right click trên
nhom1.com và Click New Host
(A).
Trong New Host dialog box,
điền vào chính xác
SERVERNHOM1 trong Name
(uses parent domain name if
blank) text box. Trong IP address
text box, điền vào 10.0.1.2.
Check vào Create associated
pointer (PTR) record
checkbox.
Click Add Host. Click OK trong
DNS dialog box thông báo rằng
(A) Record đã được tạo xong.
Click Done trong New Host text
box.
Right click trên nhom1.com
forward lookup zone và click
Properties.
6
7. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Click Name Servers tab. Click
servernhom1 entry và click
Edit.
Trong Server fully qualified
domain name (FQDN) text
box, điền vào tên đầy đủ của
Domain controller computer là
servernhom1.nhom1.com.
Click Resolve. Sẽ nhận thấy, IP
address của Server xuất hiện
trong IP address list. Click OK.
7
8. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Click Apply và sau đó click OK
trên nhom1.com Properties
dialog box.
Chọn Properties trên
SERVERNHOM1, chọn tab
Forwarder nhập ip 192.168.1.1
rồi chọn Add -> chọn OK
Right click trên DNS server
name SERVERNHOM1 , chọn
All Tasks. Click Restart.
Close DNS console.
4 Nâng cấp lên Domain
Controller
8
9. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Start->Run-> Gõ vào
dcpromo
Click Next -> Next -> Chọn
Domain Controller for new
domain -> Next
Chọn Domain in a new forest
-> Next
Gõ nhom1.com vào ô Full DNS
name for new domain ->
Next -> Next -> Next -> Next
9
10. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Trên DNS Registration
Diagnostics page, chọn I will
correct the problem
later by configuring DNS
manually (Advanced). Click
Next.
Trên Permissions page, chọn
Permissions compatible only
with Windows
2000 or Windows Server
2003 operating system. Click
Next.
Click Next. Chờ...
Click Finish -> Khởi động lại
máy ...
10
11. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
2.- CÀI ĐẶT MÁY CHỦ ISA:
STT Cách thực hiện Hình ảnh
1 Đổi tên máy và join domain:
Đổi tên máy thành ISANHOM1,
login tài khoản adminsitrator vào
domain NHOM1.COM.
Máy chủ ISA: gồm 02 card mạng
- Card 01 : Kết nối với mạng LAN
IP : 10.0.1.1/24
Default gateway : trống
DNS : 10.0.1.2
- Card 02 : Kết nối với mạng
INTERNET
IP : 192.168.1.11/24
Default gateway: 192.168.1.1
DNS : trống
2 Cài đặt ISA 2004 SP3
Chọn Install ISA server 2004
Chọn kiểu cài đặt Custom xong
click Next
11
12. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Click Next để tiếp tục…
Click Add..
Chọn card LAN như hình … Click
OK để tiếp tục.
Click next …
12
13. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Click next …
Chọn Install… chờ cài đặt xong
Update lên SP3…
Khởi động lại máy …
13
14. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
3 Cấu hình ISA
Mở ISA Server Management
Chọn tên server isa
ISANHOM1->Configuration-
>Networks->Tepmplates-
>Edge Firewall
Click Next
Chọn Export để lưu cấu hình
gốc của ISA …
14
15. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Đặt tên file cấu hình
isa_goc.xml -> chọn Export -
> Click Next
Click Next … ở mục Internal
Nextwork IP Addresses, click
Next
Chọn Allow unrestricted
access … ở mục Select a
Firewall Policy, , click Next
Chọn Finish
15
16. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Chọn Apply
Test Proxy, SecureNAT,
Firewall client
Buổi tiếp theo sẽ nghiên cứu kỹ
cách tạo các access rule …
16
17. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
CHƯƠNG III
CẤU HÌNH CLIENT: WEB PROXY, SECURENAT, FIREWALL
CLIENT, TẠO CÁC ACCESS RULE
I.- MÔ TẢ:
1.- SECURENAT:
Chỉ cần khai báo Default Gateway là ip của ISA server. Không chứng thực
được user. Không giới hạn giao thức truy cập.
2.- WEB PROXY:
Không cần khai báo Default Gateway, chỉ khai báo proxy trên trình duyệt web.
Chứng thực được user. Chỉ giới hạn truy cập HTTP, HTTPS, FTP, FTPS
3.- FIREWALL CLIENT:
Kết họp giữa WEB PROXY và SECURENAT nhưng phải cài đặt isa firewall
client. Chỉ hỗ trợ các hệ điều hành của Microsoft.
II.- THỰC HIỆN:
Ok, Chúng ta bắt đầu cấu hình, ở đây tôi chọn nhóm 1 để làm thực hành:
1.- CÀI ĐẶT SECURENAT: Đã thực hiện ở bài một.
2.- WEB PROXY: Cài máy ảo Windows XP trên SERVERNHOM1 bằng phần
mềm Virtual PC 2007 SP1.
STT Cách thực hiện Hình ảnh
1 Trên máy trạm chạy Windows XP
bỏ Default Gateway:
Start->Settings->Network
Connections->Local Area
Network
IP : 10.0.1.3/24
Default gateway: trống
DNS : 10.0.1.2
17
18. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
2 Mở Internet Explorer để cấu hình
proxy: Tool->Internet
Options->chọn tab
Connections-> chọn LAN
settings
Nhập IP của ISA server vào mục
Address: 10.0.1.1, Port: 8080
như hình vẽ.
Thử ping 10.0.1.1 xem sao, cho
biết kết quả đi …
Thử ping 10.0.1.2 xem sao, cho
biết kết quả đi …
Thử vào một trang web nào xem
sao… nếu truy cập được internet,
hãy giải thích tại sao:
___________________________
___________________________
___________________________
___________________________
Thực hiện xong nhớ
3.- FIREWALL CLIENT: Cấu hình trên máy chủ ISANHOM1 và cài đặt ISA client
trên máy trạm XP
STT Cách thực hiện Hình ảnh
1 Cấu hình ISA
Mở chương trình Cài đặt ISA lên
rồi chọn Modify
18
19. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Chọn thêm mục Firewall Client
Installation Share rồi chọn
Next. Đợi cài đặt…
Mở ISA Server Management
Chọn tên server isa
ISANHOM1->Configuration-
>Networks->click đúp
Internal-> chọn TAB Firewall
Client.
19
20. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Chọn Browse… ở mục Firewall
client configuration để tìm
ISANHOM1.nhom1.com, xong
chọn OK
Chọn Browse… ở mục Use a
Web proxy server để tìm
ISANHOM1.nhom1.com, xong
chọn OK
Nhấn OK xong chọn Apply …
20
21. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
2 Cài đặt ISA Firewall Client
trên máy ảo Windows XP
Mở địa chỉ Isanhom1mspclnt
chạy file setup (Nếu yêu cầu
nhập user thì nhập tài khoản
admin của Domain nhóm 1)
Chọn mặt định nhấn Next để cài
đặt
Chọn Connect to this ISA
Server computer rồi nhập vào
ISANHOM1.nhom1.com,
chọn Next
21
22. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Chọn Install…Cài xong chọn
Finish rồi khởi động lại máy …
Quá trình cài đặt thành công sẽ
thấy biểu tượng ISA Firewall
Client ở gốc phải màn hình.
Thử ping 10.0.1.1 xem sao, cho
biết kết quả đi …
Thử ping 10.0.1.2 xem sao, cho
biết kết quả đi …
Thử vào một trang web nào xem
sao… nếu truy cập được internet,
hãy giải thích tại sao:
___________________________
___________________________
___________________________
___________________________
TẠO ACCESS RULE CƠ BẢN
1.- Mô tả: là các điều kiện để truy cập
2.- Ở bài 1 chúng ta đã sử dụng network template để đơn giản hóa việc tạo
chính sách cho isa nhằm cho phép Internal network truy xuất ra External network
22
23. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
CÀI ĐẶT AUTODISCOVERY HỖ TRỢ WEB PROXY VÀ
FIREWALL CLIENT
I.- MÔ TẢ:
Web Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các
trình duyệt Web browsers (như Internet Explorer, Nestcape Navigator…) và ISA
Firewall client có thể tự động khám phá ISA Server 2004 Firewall (IP address). Các
Client này sau đó có thể download các thông tin cấu hình tự động (Autoconfiguration
information) từ Firewall, sau đó Web Proxy và Firewall client sẽ discover ra address
liên lạc với ISA Server.
Tóm lại chức năng WPAD giải quyết cung cấp các thông số tự động cho các
Web browsers. Xác lập mặc định trên Internet Explorer 6.0 là autodiscover Web
proxy client. Khi xác lập này được enabled, Web browser có thể gửi đi một thông
điệp DHCPINFORM message hoặc một truy vấn DNS query để tìm địa chỉ của ISA
Server 2004, dựa trên những thông tin đã nhận được (download) từ
Autoconfiguration information.
Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng
Firewall (detect Firewall) để kết nối ra Internet.
ISA Server 2004 Firewall client cũng có thể dùng wpad entry để tìm ISA
Server 2004 Firewall và download các thông tin cấu hình này về.
Trong phần này chúng ta sẽ tiến hành
• Cấu hình hỗ trợ DHCP WPAD
• Cấu hình hỗ trợ DNS WPAD
Sau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web
Proxy và Firewall clients sẽ không cần phải cấu hình thủ công để có thể ra Internet
thông qua ISA Server 2004 Firewall.
II.- THỰC HIỆN:
Cấu hình hỗ trợ DHCP WPAD
DHCP scope option số 252 có thể được dùng để cấu hình tự động cho Web
Proxy và Firewall clients. Web Proxy hoặc Firewall client phải được cấu hình trở
thành DHCP client, và các Users log-on vào các Clients này phải là thành viên của
nhóm Local administrators group hoặc Power users group (Windows 2000). Trên
Windows XP, thì chỉ cần là thành viên của nhóm Network Configuration Operators
group là có quyền để thực hiện gửi các truy vấn DHCP (DHCPINFORM messages).
STT Cách thực hiện Hình ảnh
23
24. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
1 Cấu hình hỗ trợ DHCP WPAD Thực hiện trên máy Domain Conntroller:
servernhom1
Click Start, Administrative
Tools. Click DHCP.
Trên DHCP console, right click
trên server name và click
Authorize (xác nhận DHCP
server này hoạt động hợp pháp
trong Domain, như vậy tất cả các
DHCP server không được
Authorize sẽ bị vô hiệu hóa trong
việc cung cấp IP addresses).
Click nút Refresh.
Right click trên server name,
click New Scope.
24
25. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Click Next trên Welcome to
the New Scope Wizard page.
Trên Scope Name page, đặt
tên cho scope trong Name text
box và đưa thông tin mô tả trong
Description text box. Trong ví dụ
này, chúng ta sẽ đặt tên scope là
Scope Nhom1 và không mô tả
trong Description. Click Next.
Nhập Start address là 10.0.1.1
và End address là 10.0.1.254.
Tiếp theo chúng ta sẽ đưa thông
số subnet mask vào text box
Length hoặc Subnet mask. Trong
ví dụ ở đây, chúng ta xác nhận
giá trị 24 trong Length text
box. Giá trị Subnet mask cũng
tự động thay đổi sau khi bạn đã
điền giá trị vào Length. Click
Next.
25
26. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Nhập Start address là 10.0.1.1
và End address là 10.0.1.2.
Nhấn Add. Chọn Next.
(Đây là IP của SERVERNHOM1 và
ISANHOM1)
Chấp nhận lượng thời gian cho
thuê địa chỉ (lease duration) là 8
ngày tại Lease Duration page.
Click Next.
Trên Configure DHCP Options
page, chọn Yes, I want to
configure these options now
option và click Next.
26
27. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Trên Router (Default
Gateway) page, điền vào IP
address của internal interface
(10.0.0.1) trên ISA Server 2004
Firewall computer trong IP
address text box và click Add.
Click Next.
Đưa vào tên Domain là
nhom1.com trong text box.
Trong IP address text box, điền
IP address của DNS server
(10.0.1.2) trên Internal
Network. Chú ý domain
controller cũng là DNS server
internal Network như đã xác định
tại các phần trước. Click Add.
Click Next.
Trên WINS Servers page, điền
IP address của WINS server
(10.0.1.2) và Click Add.
27
28. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Trên Activate Scope page,
chọn Yes, I want to activate this
scope now option và click Next.
Click Finish trên Completing
the New Scope Wizard page.
Trong DHCP console, mở rộng
Scope Nhom1 node, click vào
Scope Options node. Bạn sẽ thầy
danh sách các Options vừa cấu
hình.
Mở DHCP console từ
Administrative Tools menu,
right click server name. Click
Set Predefined Options
28
29. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Trong Predefined Options and
Values dialog box, click Add.
Trong Option Type dialog box,
đưa vào các thông tin sau:
Name: wpad
Data type: String
Code: 252
Description: wpad entry
Click OK.
Trong khung Value, điền vào địa
chỉ URL dẫn đến ISA Server
2004 Firewall trong String text
box.
Theo định dạng như sau:
Http://isanhom1.nhom1.com:80/
wpad.dat
29
30. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
2 Cấu hình hỗ trợ DNS WPAD Thực hiện trên máy Domain Controller:
servernhom1
Click Start, Administrative
Tools. Click DNS entry. Trong
DNS management console,
right click trên Forward lookup
zone của Domain và click New
Alias (CNAME).
Trong New Resource Record
dialog box, điền vào wpad trong
Alias name (uses parent
domain if left blank) text box.
Điền: isanhom1.nhom1.com vào
khung Fully qual… Click OK
3 CÀI ĐẶT AUTODISCOVERY
Thực hiện trên máy
isanhom1
30
31. TRƯỜNG TRUNG CẤP KINH TẾ KỸ THUẬT TÂY BẮC ISA SERVER – MAIL EXCHANGE
Chọn tên server isa
ISANHOM1->Configuration-
>Networks->click đúp
Internal-> chọn TAB Auto
Discovery. Click chọn mục
Publish automatic discovery
information. Click OK ->
Apply…
Lưu ý: tắt IIS Admin trên
máy isa vì ta chọn publish
trên cổng 80.
4 Kiểm tra chức năng
AUTODISCOVERY
Trên máy trạm chạy windows xp
mở Internet Explorer -> Tool
-> Internet Options ->
Connections -> Lan Setting
Trên máy trạm chạy windows xp
mở Firewall Client chọn
Automatically detected ISA
Server .
Xem có thành công không….
Giải thích tại sao …
31