Hướng dẫn cài đặt và cấu hình ISA Server Firewall 2004 doc

Chương này sẽ mô tả các vấn đề sau: • Giúp bạn hiểu các tính năng có mặt trên ISA Server 2004 • Cung cấp những lời khuyên cụ thể khi dùng tài liệu để cấu hình ISA Server 2004 firewall •

Hướng dẫn cài đặt và cấu hình ISA Server

tin Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn đề Khởi động từ những năm đầu thập niên

90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những tổ chức sử dụng

nó Và những ai “chộn rộn” nhất thì lại tự hỏi mình “mua cái thiết bị để làm gì nhĩ ?!

nó không sản xuất ra được sản phẩm, và nó cũng chẳng giúp công việc giấy tờ giảm bớt là bao, liệu chúng ta đã tổn hao một số tiền vô ích?! ”” Không đâu xa những nước láng giềng khu vực như Thailand, Singapore, những nền kinh tế mạnh trong khu vực và đang trên đà phát triển mạnh mẽ Nhận thức được sự ưu việt của ứng dụng CNTT, và từ rất sớm họ đã đem CNNT áp dụng vào mọi hoạt động, không chỉ sản xuất, giao dịch, quản lý mà CNTT được mang đến mọi nhà, mọi người Và họ cũng học thành thục những kĩ năng để giải quyết và điều khiển công việc rất sáng tạo từ các “vũ khí” tân thời này Đâu đó trong trích đoạn “Con đường Phía trước” của Bill Gates có nói đến giá trị to lớn của thông tin trong thế kỉ 21, một kỉ nguyên thông tin đích thực Thực thể quý giá “phi vật chất” này, đang dần trở thành một đối tượng được săn lùng, được kiểm soát gắt gao, và cũng là bệ phóng cho tất cả những quốc gia muốn phát triển một cách mạnh mẽ, nhanh chóng và “bền vững” Cần có những

hệ thống mạnh mẽ nhất để kiểm soát thông tin, sáng tạo thông tin và đem những thông tin này vào ứng dụng một cách có hiệu quả Thế giới bước trong thế kỉ 21 dùng bàn đạp CNTT để tạo lực bẩy và cũng là để dẫn đường cho các hoạt động, cho mọi người xích lại gần nhau hơn, khiến cho những cách biệt Địa Lý không còn tồn tại,

dễ dàng hiểu nhau hơn và trao đổi với nhau những gì có giá trị nhất, đặc biệt nhất Ứng dụng công nghệ thông tin một cách có hiệu quả và “bền vững”, là tiêu chí hàng đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ Xét trên bình diện một doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng luôn mong muốn

có được điều này Tính hiệu quả là điều bắt buộc, và sự “bền vững” cũng là tất yếu Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó Và tất cả chúng

ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, etc ) Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen đáng sợ đó Ai tạo ra bức tường lửa đủ mạnh này để có thể “thiêu cháy” mọi ý đồ xâm nhập?! Xin thưa rằng trước hết đó là ý thức sử dụng máy tính an toàn của tất cả mọi nhân viên trong một

tổ chức, sự am hiểu tinh tường của các Security Admin trong tổ chức đó, và cuối cùng là những công cụ đắc lực nhất phục vụ cho “cuộc chiến” này Đó là các Firewall,

từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Mạng của một tổ chức Và Microsoft ISA SERVER

2004 là một Enterprise Firewall như thế ! Một sản phẩm tốt và là người bạn tin cậy

để bảo vệ an toàn cho các hệ thống thông tin

vụ bên ngoài (internet), lẫn các Client bên ngoài (Internet Clients) cần truy cập các dịch vụ bên trong Mạng tổ chức

Firewalls luôn giữ truyền thống là một trong các loại thiết bị Mạng cấu hình phức tạp nhất và duy trì hoạt động của nó để bảo vệ Network cũng gặp không ít thử thách cho các Security Admin Cần có những kiến thức cơ bản về TCP/IP và các Network Services để hiểu rõ một Firewall làm việc như thế nào Tuy nhiên cũng không nhất thiết phải trở thành một chuyên gia về hạ tầng Mạng (network infrastructure ) mới

có thể sử dụng được ISA SERVER 2004 như một Network Firewall

Chương này sẽ mô tả các vấn đề sau:

• Giúp bạn hiểu các tính năng có mặt trên ISA Server 2004

• Cung cấp những lời khuyên cụ thể khi dùng tài liệu để cấu hình ISA Server 2004 firewall

• Mô tả chi tiết thực hành triển khai (ISA SERVER 2004 Lab Configuration)

Hiểu các tính năng trên ISA Server 2004

ISA Server 2004 được thiết kế để bảo vệ Mạng, chống các xâm nhập từ bên ngoài lẫn kiểm soát các truy cập từ bên trong Mạng nội bộ của một tổ chức ISA Server

2004 firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phép qua Firewall và những gì sẽ bị ngăn chặn Chúng ta hình dung đơn giản như sau: Có một quy tắc được áp đặt trên Firewall cho phép thông tin được truyền qua Firewall, sau đó những thông tin này sẽ được “Pass” qua, và ngược lại nếu không có bất kì quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị Firewall chặn lại

ISA Server 2004 firewall chứa nhiều tính năng mà các Security Admin có thể dùng để đảm bảo an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tài nguyên trong Mạng nội bộ Cuốn sách cung cấp cho các Security Admin hiểu được những khái niệm tổng quát và dùng những tính năng phổ biến, đặc thù nhất trên ISA SERVER 2004, thông qua những bước hướng dẫn cụ thể (Steps by Steps)

Firewalls không làm việc trong một môi trường “chân không”, vì đơn giản là chúng ta triển khai Firewall để bảo vệ một cái gì đó, có thể là một PC, một Server hay cả một

hệ thống Mạng với nhiều dịch vụ được triển khai như Web, Mail, Database…

Chúng ta sẽ có một hướng dẫn đầy đủ về việc triển khai các dịch vụ cần thiết cho hoạt động mạng của một tổ chức cách thức cài đặt và cấu hình những dịch vụ này như thế nào Và điều tối quan trọng là Mạng và các dịch vụ phải được cấu hình đúng cách trước khi triển khai firewall Điều này giúp chúng ta tránh được những vấn đề phiền toái nảy sinh khi triển khai ISA SERVER 2004

Các Network Services và những tính năng trên ISA SERVER 2004 sẽ được cài đặt và cấu hình gồm:

• Cài đặt và cấu hình Microsoft Certificate Services (dịch vụ cung cấp các chứng thư

kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch trên Mạng)

• Cài đặt và cấu hình Microsoft Internet Authentication Services (RADIUS) dịch vụ xác thực an toàn cho các truy cập từ xa thông qua các remote connections (Dial-up hoặc VPN)

• Cài đặt và cấu hình Microsoft DHCP Services (dịch vụ cung cấp các xác lập TCP/IP cho các node trên Mạng) và WINS Services (dịch vụ cung cấp giải pháp truy vấn NETBIOS name của các Computer trên Mạng)

• Cấu hình các WPAD entries trong DNS để hỗ trợ chức năng autodiscovery (tự động khám phá)) và autoconfiguration (tự động cấu hình) cho Web Proxy và Firewall clients Rất thuận lợi cho các ISA Clients (Web và Firewall clients) trong một tổ chức khi họ phải mang Computer từ một Network (có một ISA SERVER) đến Network khác (có ISA SERVER khác) mà vẫn tự động phát hiện và làm việc được với Web Proxy Service và Firewall Service trên ISA SERVER này

• Cài đặt Microsoft DNS server trên Perimeter network server (Network chứa các Server cung cấp trực tuyến cho các Clients bên ngoài, nằm sau Firewall, nhưng cũng tách biệt với LAN)

• Cài đặt ISA Server 2004 firewall software

• Back up và phục hồi thông tin cấu hình của ISA Server 2004 firewall

• Dùng các mô hình mẫu của ISA Server 2004 (ISA Server 2004 Network Templates)

để cấu hình Firewall

• Cấu hình các loại ISA Server 2004 clients

• Tạo các chính sách truy cập (Access Policy) trên ISA Server 2004 firewall

• Publish Web Server trên một Perimeter network

• Dùng ISA Server 2004 firewall đóng vai trò một Spam filtering SMTP relay (trạm trung chuyển e-mails, có chức năng ngăn chặn Spam mails)

• Publish Microsoft Exchange Server services (hệ thống Mail và làm việc cộng tác của Microsoft, tương tự Lotus Notes của IBM)

• Cấu hình ISA Server 2004 firewall đóng vai trò một VPN server

• Tạo kết nối VPN theo kiểu site to site giữa hai Networks

Trước khi thực hành cấu hình ISA Server 2004 firewall, phải nhận thức rõ ràng : Đây

là một hệ thống ngăn chặn các cuộc tấn công từ Internet và một firewall với cấu hình lỗi sẽ tạo điều kiện cho các cuộc xâm nhập Mạng Với những lý do này, điều quan trọng nhất các Security Admin quan tâm đó là Làm thế nào để cấu hình Firewall đảm bảo an toàn cho việc truy cập Internet

Với cấu hình mặc định của mình ISA SERVER 2004 ngăn chặn tất cả lưu thông vào,

ra qua firewall

Rõ ràng đây là một cấu hình chủ động, an toàn nhất mà Admin có thể yên tâm ngay

từ đầu khi vận hành ISA SERVER Và sau đó để đáp ứng các yếu cầu hợp pháp truy cập các dịch vụ khác nhau của Internet (ví dụ như web, mail, chat, download, game online v.vv ), Security Admin sẽ cấu hình để ISA SERVER 2004 có thể đáp ứng các yêu cầu được phép trên

Các Securty Admin luôn được khuyến cáo: Hãy tạo các cuộc kiểm tra cấu hình ISA SERVER 2004 trong phòng Lab, trước khi đem các cấu hình này áp dụng thực tế Chúng ta sẽ được hướng dẫn cấu hình ISA Server 2004 firewall đúng cách, chính xác thông qua giao diện làm việc rất gần gủi của ISA SERVER 2004 Có thể có những sai lầm khi thực hiện Lab, nhưng các Admin không qua lo lắng vì chắc rằng các attackers không thể lợi dụng những lỗ hỗng này (trừ khi Lab Network được kết nối với

Internet ) Trên Lab điều quan trọng nhất là hiểu đúng các thông số đã cấu hình, cho phép sai phạm và các Admin rút ra kinh ghiệm từ chính những “mistakes” này

LAB hướng dẫn cấu hình ISA SERVER 2004 Firewall

Chúng ta sẽ dùng một Network Lab để mô tả những khả năng và những nét đặc trưng của ISA SERVER 2004 Các Admin khi thực hành nên xây dựng một Test Lab tương tự như mô hình chỉ ra dưới đây (tất cả các thông số sử dụng) Nếu các

Security Admin không có đủ các thiết bị thật như Test Lab này, có thể dùng mô hình giả lập, đến từ các Virtual Software như

Microsoft’s Virtual PC software (hoặc VMWare) để tạo mô hình Lab ảo

Xem thêm về Virtual PC tại Website:

http://www.microsoft.com/windowsxp/virtualpc/

Trong phần này, chúng ta sẽ xem xét:

• Hướng dẫn cấu hình Network cho ISA Server 2004

• Cài đặt Windows Server 2003 , và sau đó nâng Computer này lên (dcpromo) thành một Domain controller (máy chủ kiểm soát toàn hoạt động của Domain)

• Cài đặt Exchange Server 2003 trên Domain controller này và cấu hình thành một Outlook

Web Access Site dùng phương thức xác thực cơ bản (Basic authentication)

Sơ đồ Mạng triển khai ISA Server 2004

Đây là mô tả của Lab network Có 7 Computers trên lab network này

Tuy nhiên Network Lab không yêu cầu cả 7 Computers này chạy cùng một thời điểm Điều này tạo điều kiện dễ dàng cho Lab đặc biệt là Lab ảo

Mô hình Mạng của tổ chức này có một Local network (Mạng cục bộ-LAN) và một

Remote network (Mạng ở xa) Mỗi Mạng có một ISA SERVER 2004 chắn phía trước

đóng vai trò Firewall Tất cả các Computers trên Local network đều là thành viên của

Domain msfirewall.org, và domain này bao gồm luôn cả ISA Server 2004 firewall

computer Tất cả các Computers còn lại không là thành viên của Domain này

Trên lab network, Card mạng ngoài (External interfaces) của các ISA Server 2004 firewalls có kết nối cho phép truy cập Internet Các Admin nên tạo các thông số cấu hình giống nhau để có thể Test các kết nối thực sự đến Internet từ phía Clients nằm sau ISA Server 2004 firewalls

Nếu chúng ta dùng phần mềm giả lập thì lưu ý rằng, chúng ta phải set-up đến 3

Virtual networks trên Test Lab Đó là các Vitual networks: Domain Controller nằm

trên Internal Network, TRIHOMELAN1 Computer nằm trên Perimeter network

và REMOTECLIENT virtual network thứ ba

Lưu ý với Lab ảo: Chắc chắn một điều là trên các Virtual networks này bố trí các

Computers trên các Virtual Switches khác nhau, để ngăn chặn các thông tin tràn ngập theo kiểu Ethernet broadcast traffic, điều này có thể gây nên những kết quả không mong muốn trên Lab ảo

Cài đặt và cấu hình Domain Controller trên Internal Network

Một Computer khác hơn so với ISA Server 2004 firewall computer, có quyền lực quản trị toàn Domain nội bộ đó là Domain Controller Microsoft xây dựng mô hình Domain dưới sự kiểm soát của Active Directory Service và Domain Controller là công cụ kiểm soát Domain đó (quản lý tất cả các Clients và Servers cung cấp dịch vụ trong

Domain như Web, Mail, Database server và kể cả ISA servers)

Trong Lab này chúng ta sẽ cấu hình một Windows Server 2003 domain controller, và triển khai luôn các dịch vụ như: DNS, WINS, DHCP, RADIUS, Microsoft Exchange Server 2003 trên chính Domain controller này

Các giai đoạn tiến hành:

• Cài đặt Windows Server 2003

• Nâng Computer này lên thành Domain controller

Cài đặt Windows Server 2003

Tiến hành các bước sau trên Computer sẽ đóng vai trò Domain Controller

1 Đưa đĩa CD cài đặt vào CD-ROM, khởi dộng lại Computer Cho phép boot từ CD

2 Chương trình Windows setup bằt đầu load những Files phục vụ cho việc cài đặt

Nhấn Enter khi mà hình Welcome to Setup xuất hiện

3 Đọc những điều khoản về License trên Windows Licensing Agreement , dùng phím PAGE DOWN để xem hết sau đó nhấn F8 để đồng ý với điều khoản

4 Trên Windows Server 2003, bản cài đặt Standard Edition xuất hiện màn hình tạo các phân vùng lôgic (Partition) trên đĩa cứng, trước hết tạo Partition dùng cho việc cài đặt Hệ Điều hành Trong Test Lab này, toàn bộ đĩa cứng sẽ chỉ làm một Partition Nhấn ENTER

5 Trên Windows Server 2003, màn hình Standard Edition Setup, chọn Format

Partition dùng hệ thống File NTFS Nhấn ENTER

6 Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, sẽ chờ ít phút cho tiến trình này hoàn thành

7 Computer sẽ tự Restart khi tiến trình copy File vào đĩa cứng hoàn thành

8 Computer sẽ restart lại trong giao diện đồ họa (graphic interface mode) Click

Next trên trang Regional and Language Options

9 Trên trang Personalize Your Software, điền Tên và Tổ chức của Bạn

Ví dụ : Name Viet Ha.Ho

Organization Network Information Security Vietnam

10 Trên trang Product Key điền vào 25 chữ số của Product Key mà bạn có và click Next

11 Trên trang Licensing Modes chọn đúng option được áp dụng cho version

Windows Server 2003 mà bạn cài đặt Nếu cài đặt Licence ở chế độ per server

licensing, hãy đưa vào số connections mà bạn đã có License Click Next

12 Trên trang Computer Name và Administrator Password điền tên của

Computer trong Computer Name text box Theo các bước trong xây dựng Test Lab

này, thì Domain controller/Exchange Server trên cùng Server và có tên là

EXCHANGE2003BE, tên này được điền vào Computer Name text box Điền tiếp

vào mục Administrator password và xác nhận lại password tại mục Confirm

password (ghi nhớ lại password administrator cẩn thận, nếu không thì bạn cũng

không thể log-on vào Server cho các hoạt động tiếp theo) Click Next

13 Trên trang Date and Time Settings pagexác lập chính xác Ngày, giờ và múi giờ Việt Nam (nếu các bạn ở Việt Nam) Click Next

14 Trên trang Networking Settings, chọn Custom settings option

15 Trên trang Network Components, chọn Internet Protocol (TCP/IP) entry trong Components và click Properties

16 Trong Internet Protocol (TCP/IP) Properties dialog box, xác lập các thông số

sau:

IP address: 10.0.0.2

Subnet mask: 255.255.255.0

Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này cũng là IP

address của Internal Card trên ISA server)

Preferred DNS server: 10.0.0.2

17 Click Advanced trên Internet Protocol (TCP/IP) Properties dialog box Trong Advanced TCP/IP Settings dialog box, click WINS tab Trên WINS tab, click Add Trong TCP/IP WINS Server dialog box, điền 10.0.0.2 và click Add

18 Click OK trong Advanced TCP/IP Settings dialog box

19 Click OK trong Internet Protocol (TCP/IP) Properties dialog box

20 Click Next trên trang Networking Components

21 Chấp nhận lựa chọn mặc định môi trường Mạng là Workgroup (chúng ta sẽ tạo

môi trường Domain sau, đưa máy này trở thành một Domain controller và cũng là thành viên của Domain (là một member server, vì trên Server này còn cài thêm

nhiều Server Service khác ngoài Active Directory Service).Click Next

22 Tiến trình cài đặt được tiếp tục và khi Finish, Computer sẽ tự khởi động lại

23 Log-on lần đầu tiên vào Windows Server 2003 dùng password mà chúng ta đã tạo cho tài khoản Administrator trong quá trình Setup

24 Xuất hiện đầu tiên trên màn hình là trang Manage Your Server, bạn nên check vào Don’t display this page at logon checkbox và đóng cửa sổ Window lại

Cài đặt và cấu hình DNS

Bước kế tiếp là cài đặt Domain Naming System (DNS) server trên chính Computer

này (EXCHANGE2003BE ) Điều này là cần thiết vì Active Directory Service hoạt

động trên Domain Controller, kiểm soát toàn Domain yêu cầu phải có DNS server service phục vụ cho nhu cầu truy vấn tên -hostname, đăng kí các record (A, PTR, SRV records v.v ) Chúng ta sẽ cài DNS server và sau đó sẽ nâng vai trò Computer này lên thành một Domain Controller, và DNS server này sẽ phục vụ cho toàn

Domain

Tiến hành các bước sau để cài đặt DNS server

1 Click Start, Control Panel Click Add or Remove Programs

2 Trong Add or Remove Programs, click Add/Remove Windows Components

3 Trong Windows Components, xem qua danh sách Components và click

Networking Services entry Click Details

4 Check vào Domain Name System (DNS) checkbox và click OK

5 Click Next trong Windows Components

6 Click Finish trên Completing the Windows Components Wizard

7 Đóng Add or Remove Programs

DNS server đã được cài đặt, Admin cần đưa vào DNS Server các thông số cụ thể

phục vụ cho hoạt động truy vấn tên, cụ thể là sẽ tạo ra hai vùng Forward và

Reverse lookup zones Tiến hành các bước sau để cấu hình DNS server:

1 Click Start và sau đó click Administrative Tools Click DNS

2 Trong bảng làm việc của DNS (DNS console), mở rộng server name

(EXCHANGE2003BE ), sau đó click trên Reverse Lookup Zones Right click trên

Reverse Lookup Zones và click New Zone

4 Trên Zone Type , chọn Primary zone option và click Next

5 Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter 10.0.0 vào text box Click Next

6 Chấp nhận chọn lựa mặc định trên Zone File page, và click Next

7 Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates option Click Next

8 Click Finish trên Completing the New Zone Wizard page

Kế tiếp chúng ta tạo Forward lookup zone cho Domain mà Computer này sẽ là

Domain Controller

Tiến hành các bước sau

1 Right click Forward Lookup Zone và click New Zone

2 Click Next trên Welcome to the New Zone Wizard page

3 trên Zone Type page, chọn Primary zone option và click Next

4 Trên Zone Name page, điền tên của forward lookup zone trong Zone name text

box Trong ví dụ này tên của zone là msfirewall.org, trùng với tên của Domain sẽ tạo sau này Đưa msfirewall.org vào text box Click Next

5 Chấp nhận các xác lập mặc định trên Zone File page và click Next

6 Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates Click Next

7 Click Finish trên Completing the New Zone Wizard page

8 Mở rộng Forward Lookup Zones và click vào msfirewall.org zone Right

click trên msfirewall.org và Click New Host (A)

9 Trong New Host dialog box, điền vào chính xác EXCHANGE2003BE trong

Name (uses parent domain name if blank) text box Trong IP address text box,

điền vào 10.0.0.2 Check vào Create associated pointer (PTR) record checkbox Click Add Host Click OK trong DNS dialog box thông báo rằng (A) Record đã được tạo xong Click Done trong New Host text box

10 Right click trên msfirewall.org forward lookup zone và click Properties Click Name Servers tab Click exchange2003be entry và click Edit

11 Trong Server fully qualified domain name (FQDN) text box, điền vào tên đầy

đủ của Domain controller computer là exchange2003be.msfirewall.org Click Resolve Sẽ nhận thấy, IP address của Server xuất hiện trong IP address list

Click OK

12 Click Apply và sau đó click OK trên msfirewall.org Properties dialog box

13 Right click trên DNS server name EXCHANGE2003BE , chọn All Tasks Click Restart

14 Close DNS console

Giờ đây Computer này đã sẵn sàng để nâng vai trò lên Thành một Domain controller

trong Domain msfirewall.org

Tiến hành các bước sau để tạo Domain và nâng server này thành Domain Controller đầu tiên của Domain (Primary Domain Controller)

Cài đặt Primary Domain Controller

1 Click Start và click Run

2 Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK

3 Click Next trên Welcome to the Active Directory Installation Wizard page

4 Click Next trên Operating System Compatibility page

5 Trên Domain Controller Type page, chọn Domain controller for a new

domain option và click Next

6 Trên Create New Domain page, chọn Domain in a new forest option và click

Next

7 Trên New Domain Name page, điền tên đầy đủ của Domain (Full DNS name)

msfirewall.org text box và click Next

8 Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support

cho các Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi các Client này muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định

Trong ví dụ này là MSFIREWALL Click Next

9 Chấp nhận các xác lập mặc định trên Database and Log Folders page và click

12 Trên Permissions page, chọn Permissions compatible only with Windows

2000 or Windows Server 2003 operating system option Click Next

13 Trên Directory Services Restore Mode Administrator Password page (chế

độ phục hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chế

độ troubleshoot này bằng cach1 Restart Computer, chọn F8), điền vào Restore Mode Password và sau đó Confirm password (Các Admin không nên nhầm lẫn

Password ở chế độ này với Domain Administrator Password, điều khiển hoạt động của DCs hoặc Domain) Click Next

14 Trên Summary page, click Next

15 Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active

16 Click Finish trên Completing the Active Directory Installation Wizard page,

hoàn thành việc cài đặt

17 Click Restart Now trên Active Directory Installation Wizard page

18 Log-on vào Domain Controller dùng tài khoản Administrator sau khi đã Restart

Cài đặt và cấu hình Microsoft Exchange trên Domain Controller

Computer đã sẵn sàng cho việc cài đặt Microsoft Exchange Trong phần này chúng

ta sẽ tiến hành những bước sau:

• Cài đặt các dịch vụ IIS World Wide Web, SMTP và NNTP services

• Cài đặt Microsoft Exchange Server 2003

• Cấu hình Outlook Web Access WebSite

Tiến hành các bước sau để cài World Wide Web, SMTP và NNTP services:

1 Click Start, chọn Control Panel Click Add or Remove Programs

2 Trong Add or Remove Programs, click Add/Remove Windows Components

3 Trên Windows Components page, chọn Application Server entry trong

Components page Click Details

4 Trong Application Server dialog box, check vào ASP.NET checkbox Chọn

Internet Information Services (IIS) entry và click Details

5 Trong Internet Information Services (IIS) dialog box, check vào NNTP

Service checkbox Check tiếp SMTP Service checkbox Click OK

6 Click OK trong Application Server dialog box

7 Click Next trên Windows Components page

8 Click OK vào Insert Disk dialog box

9 Trong Files Needed dialog box, đưa đường dẫn đến Folder I386 trên CD cài đặt Windows Server 2003 trong copy file từ text box Click OK

10 Click Finish trên Completing the Windows Components Wizard page

11 Close Add or Remove Programs

Tiến hành các bước sau cài Microsoft Exchange:

1 Đưa Exchange Server 2003 CD vào CD-ROM, trên autorun page, click Exchange

Deployment Tools link nằm dưới Deployment heading

2 Trên Welcome to the Exchange Server Deployment Tools page, click Deploy

the first Exchange 2003 server link

3 Trên Deploy the First Exchange 2003 Server page, click New Exchange

2003 Installation link

4 Trên New Exchange 2003 Installation page, kéo xuống cuối trang.Click Run

Setup now link

5 Trên Welcome to the Microsoft Exchange Installation Wizard page, click

Next

6 Trên License Agreement page, chọn I agree option và click Next

7 Chấp nhận các xác lập mặc định trên Component Selection page và click Next

8 Chọn Create a New Exchange Organization option trên Installation Type

page

và click Next

9 Chấp nhận tên mặc định trong Organization Name text box trên Organization

Name page, và click Next

10 Trên Licensing Agreement page, chọn I agree that I have read and will be bound by the license agreement for this product và click Next

11 Trên Installation Summary page, click Next

12 Trong Microsoft Exchange Installation Wizard dialog box, click OK

13 Click Finish trên on the Completing the Microsoft Exchange Wizard page khi

cài đặt hoàn thành

14 Đóng tất cả cửa sổ đang open

Exchange Server đã được cài đặt và giờ đây Admin có thể tạo các mailboxes cho

Users Bước kế tiếp là cấu hình Outlook Web Access site và chỉ dùng phương thức

xác thực duy nhất là Basic Authentication Đối với các quản trị Mail Server thì đây

là một cấu hình quan trọng (nhưng tất nhiên không bắt buộc) khi muốn cho phép

truy cập từ xa (remote access) vào OWA site Sau đó, chúng ta sẽ yêu cầu một

Website Certificate (chứng thư số Website) cho OWA site và publish OWA site

dùng quy tắc Web Publishing Rule trên ISA Server, thông qua rule này, sẽ cho phép remote users truy cập vào OWA site

Tiến hành các bước sau để cấu hình OWA site dùng phương thức xác thực duy nhất

3 Click trên Public node và sau đó right click Click Properties

4 Trong Public Properties dialog box, click Directory Security tab

5 Trên Directory Security tab, click Edit trong khung Authentication and access

control

6 Trong Authentication Methods dialog box, đảm bảo không check vào (remove)

Integrated Windows authentication checkbox Click OK

7 Click Apply và click OK

8 Click trên Exchange node và right click Click Properties

9 Trên Exchange Properties dialog box, click Directory Security tab

10 Trên Directory Security tab, click Edit trong Authentication and access

control

11 Trong Authentication Methods dialog box, đảm bảo không check vào (remove)

Integrated Windows authentication checkbox Click OK

12 Click Apply, click OK trong Exchange Properties dialog box

13 Click trên ExchWeb node,sau đó right click Click Properties

14 Trong ExchWeb Properties dialog box, click Directory Security tab

15 Trên Directory Security tab, click Edit trong khung Authentication and

access control

16 Trong Authentication Methods dialog box, không check (remove) vào Enable

anonymous access checkbox Sau đó check vào Basic authentication (chú ý

dùng phương thức xác thực này, password được gửi đi dưới dạng clear text)

checkbox Click Yes trong IIS Manager dialog box và Admin nhận được thông báo rằng password được gửi đi hoàn toàn không mã hóa (clear) Trong Default domain text box, đưa vào tên Internal network domain, chính là MSFIREWALL Click OK

17 Click Apply trong ExchWeb Properties dialog box Click OK trong Inheritance

Overrides dialog box Click OK trong ExchWeb Properties dialog box

18 Right click Default Web Site và click Stop Right click lại Default Web Site và click Start

Kết luận:

Trong sách hướng dẫn cấu hình ISA Server 2004 này chúng ta đã thảo luận những mục tiêu và những phương thức, để có thể nắm bắt triển khai và cấu hình ISA sao cho hiệu quả nhất Sách hướng dẫn cũng cung cấp cho các bạn phương pháp giải quyết vấn đề theo từng bước cụ thể Chương một này tập trung vào việc xây dựng một cơ sở hạ tầng Mạng (Network Infrastructure) theo mô hình Microsoft Active

khai các dịch vụ khác liên quan đến hạ tầng Mạng như WINS, DNS, và các dịch vụ

gia tăng như Web, Mail Chương kế tiếp trình bày cách thức cài đặt một Microsoft

Certificate Services trên Domain Controller Computer

Chương 2: Cài đặt Certificate Services

(Dịch vụ cung cấp chứng thư kĩ thuật số cho các giao dịch Mạng)

Microsoft Certificate Services có thể được cài đặt trên Domain controller của internal

network và cung cấp các Certificates cho các Hosts trong Internal network

domain, cũng như các Hosts không là thành viên của Internal network domain Chúng ta sẽ sử dụng Certificates trong nhiều kịch bản khác nhau, các công việc cần hoàn thành:

• Cho phép ISA Server 2004 firewall cung cấp kênh để hỗ trợ L2TP/IPSec VPN

protocol, tạo liên kết site-to-site VPN

• Cho phép ISA Server 2004 firewall cung cấp kênh để hỗ trợ L2TP/IPSec VPN

protocol, tạo điều kiện cho VPN client thực hiện kết nối từ một Remote Location

(site)

• Cho phép remote users có thể truy cập đến Outlook Web Access site, phương thức bảo mật mạnh SSL-to-SSL bridged connections

• Publish secure Exchange SMTP và POP3 services lên Internet Certificates cho

phép dùng SSL/TLS security SSL (Secure Sockets Layer) protocol, là một giao thức

lớp session (layer) có khả năng mã hóa dữ liệu truyền giữa client và server

SSL security hiện được xem là chuẩn cung cấp an toàn cho các remote access đến các Websites Ngoài ra, certificates còn có thể được dùng để xác nhận các đối tượng tham gia các kết nối VPN , bao gồm VPN clients và VPN servers (phương pháp này gọi là xác thực cả hai chiều- mutual Authentication)

Trong phần này chúng ta sẽ đề cập đến các tiến trình sau:

• Cài đặt Internet Information Services 6.0 để hỗ trợ Certificate Authority’s

Web Enrollment ( nhận các Certificates từ CA server thông qua hình thức đăng kí

trên CA’sWeb)

• Cài đặt Microsoft Certificate Services ở chế độ Enterprise CA

Cài đặt Internet Information Services 6.0

Certificate Authority’s Web enrollment site sử dụng Internet Information Services World Wide Publishing Service Bởi vì chúng ta đã cài IIS Web services,

trong chương 1 khi tiến hành cài Exchange 2003 hỗ trợ Outlook Web Access site, nên

sẽ không cần cài lại IIS service Tuy nhiên, bạn nên xác nhận lại WWW Publishing

Service đã được Enabled, trước khi tiến hành cài Enterprise CA

Thi hành các bước sau để xác nhận WWW Publishing Service đang chạy trên domain controller:

1 Click Start chọn Administrative Tools Click Services

2 Trong Services console, click Standard tab phía dưới Kéo xuống danh sách và double-click vào World Wide Web Publishing Service

3 Trong World Wide Web Publishing Server Properties dialog box, xác nhận

Startup type là Automatic, và trang thái vận hành của service là Started

4 Click Cancel và đóng Services console

Như vậy WWW Publishing Service đã vận hành, bước tiếp theo là cài đặt Enterprise

CA software

Cài đặt Certificate Services ở chế độ Enterprise CA

Microsoft Certificate Services sẽ được cài đặt ở chế độ này trên chính domain

controller Có những thuận lơi khi cài CA ở chế độ Enterprise mode (ngược lại với

Standalone mode) bao gồm:

• Chứng thư gốc của CA (root CA certificate) được tự động đưa vào vùng lưu trữ

Certificate của Trusted Root Certification Authorities (certificate store) trên tất

cả các máy thành viên của Domain (domain member) Các Computer thành viên của

Domain khi dùng các giao dịch cần Certificates để nâng cao tính an toàn, có thể dễ

dàng tìm các nhà cung cấp hơp pháp- CA servers, trong Trusted Root Certification

Authorities trên Computer của mình

• Các Clients này cũng dễ dàng dùng Certificates MMC snap-in (tại RUN, type

mmc, chọn File, Add/Remove snap-in, Add, chọn Certificates), và dễ dàng

dùng snap-in này để yêu cầu certificates từ CA Servers hoặc từ CA’s Websites

• Tất cả các Computer trong Domain có thể được phân chia Certificates đồng loạt

thông qua tính năng Active Directory autoenrollment feature

Lưu ý rằng không nhất thiết phải cài CA ở Enterprise mode Bạn có thể cài CA ở chế

độ Standalone mode, nhưng trong Lab này chúng ta sẽ không đề cập standalone

mode hoặc làm thế nào để xin cấp certificate từ một Standalone CA

Tiến hành các bước sau để cài đặt Enterprise CA trên Domain Controller

EXCHANGE2003BE

1 Click Start, Control Panel Click Add or Remove Programs

2 Trong Add or Remove Programs, click Add/Remove Windows Components

3 Trên Windows Components page, kéo danh sách xuống và check vào

Certificate Services checkbox Click Yes trong Microsoft Certificate Services

dialog box, thông báo rằng informing “you may not change the name of the machine

or the machine’s domain membership while it is acting as a CA” Như vậy là rất rõ

ràng Bạn không thể thay đổi Computer Name hoặc thay đổi tư cách thành viên

Domain của Computer này, sau khi đã cài CA service.Click Yes

4 Click Next trên Windows Components page

5 Trên CA Type page, chọn Enterprise root CA option và click Next

6 Trên CA Identifying Information page, điền tên cho CA server này trong

Common name của CA text box Nên dùng tên dạng DNS host name của domain

controller Tham khảo về cấu hình DNS hỗ trợ ISA server

Trong text box này các bạn điền vào NetBIOS name của domain controller là

EXCHANGE2003BE Click Next

7 Nếu Computer này trước đây đã cài đặt một CA, bạn sẽ được hỏi “you wish to

overwrite the existing key”, ghi đè lên các khóa đã tồn tại Còn nếu bạn đã triển khai

các CA khác trên mạng có thể không nên overwrite các khóa hiện tại Và nếu đây là

CA đầu tiên, có thể chấp nhận overwrite the existing key Trong ví dụ này chúng ta

trước đó đã chưa cài CA trên Computer vì vậy không nhìn thấy dialog box thông báo như trên

8 Trong Certificate Database Settings page, dùng vị trí lưu trữ mặc định cho

Certificate Database và Certificate database log text boxes Click Next

9 Click Yes trong Microsoft Certificate Services dialog box, bạn nhận được thông báo phải restart Internet Information Services Click Yes để stop service Service

sẽ được restart automatic

10 Click OK trong Insert Disk dialog box Trong Files Needed dialog box, đưa đường dẫn đến I386 folder trong Copy file from text box và click OK

11 Click Finish trên Completing the Windows Components Wizard page

12 Đóng Add or Remove Programs

Tại thời điểm này Enterprise CA có thể cấp phát certificates cho các Computer khác

trong Domain thông qua autoenrollment, Certificates mmc snap-in, hoặc qua

Web enrollment site Trong hướng dẫn cấu hình ISA Server 2004 này, chúng ta sẽ

cấp phát một Web site certificate cho OWA Web site và cũng cấp phát các

Computer certificates cho ISA Server 2004 firewall computer và cho các

external VPN client và VPN gateway (VPN router) machine

Kết luận:

Trong phần này chúng ta đã thảo luận về việc dùng một CA- Certificate Authority và

làm thế nào để cài đặt một Enterprise CA trên Domain controller trong internal

network Và tiếp theo chúng ta sẽ dùng Enterprise CA để cấp Computer Certificates

cho các VPN clients và servers, cũng cấp luôn một Web site certificate cho Exchange Server’s Outlook Web Access Web site

Chương 3: Cài đặt và cấu hình Microsoft Internet Authentication Service

Microsoft Internet Authentication Server (IAS) là một chuẩn thuộc loại RADIUS

(Remote Authentication Dial In User Service) server được dùng để xác thực Users kết nối đến ISA Server 2004 firewall machine Bạn có thể dùng IAS để xác thực các Web Proxy clients trên Internal network hay VPN clients, VPN gateways đang tiến hành kết nối từ một External network location (ví dụ như từ một văn Phòng chi nhánh của công ty) Ngoài ra, có thể dùng RADIUS xác thực remote users khi những đối tượng này kết nối đến các Web servers đã được published thông qua Web Publishing rules trên ISA Server 2004

Ưu điểm chính của việc dùng RADIUS xác thực Web proxy và VPN connections là SA Server 2004 firewall computer không cần phải là thành viên của Active Directory Domain mới có thể xác thực được các Users, khi tài khỏan của những Usrs này đang

nằm trong Active Directory database thuộc Internal network Nhiều Firewall

administrators khuyến cáo rằng không nên để Firewall Computer là thành viên trong Domain User Vì điều này có thể ngăn chặn Attackers xâm nhập vào Firewall, và qua

đó có được quyền Domain Member từ Firewall này, mở rộng hướng tấn công vào Mạng nội bộ

Tuy nhiên, nhược điểm lớn khi không đưa ISA Server 2004 firewall làm thành viên của Internal network domain đó là chúng ta sẽ không thể dùng ISA Firewall Client để cung cấp các xác thực hợp pháp cho ISA server khi các Firewall Clients này truy cập đến tất cả các giao thức TCP và UDP Chính vì lý do này, chúng ta sẽ tạo một ISA Server 2004 firewall computer làm một thành viên của Internal Domain Tuy nhiên nếu bạn không gia nhập Firewall vào Domain, vẫn có thể dùng IAS để xác thực các VPN và Web Proxy clients

Các công việc tiếp theo sẽ là:

Cài đặt và cấu hình Microsoft Internet Authentication Service

Microsoft Internet Authentication Service server là một RADIUS server Chúng ta sẽ

sử dụng RADIUS server này trong các phần sau của hướng dẫn (bật chức năng

RADIUS authentication phục vụ cho Web Publishing Rules và tìm hiểu cách thức một RADIUS server xác thực PN clients như thế nào)

Tiến hành các bước sau để cài đặt Microsoft Internet Authentication Server trên

domain controller EXCHANGE2003BE thuộc Internal network:

1 Click Start, Control Panel Click Add or Remove Programs

2 Trong Add or Remove Programs, click Add/Remove Windows Components

3 Trên Windows Components page, kéo xuống Components list và chọn

Networking Services entry Click Details

4 Check vào Internet Authentication Service checkbox và click OK

5 Click Next trên Windows Components page

6 Click Finish trên Completing the Windows Components Wizard page

7 Đóng Add or Remove Programs

Tiếp theo chúng ta sẽ cấu hình Internet Authentication Service

Cấu hình Microsoft Internet Authentication Service

Bạn cần cấu hình IAS server đúng cách để có thể làm việc với ISA Server 2004 firewall computer Tại thời điểm này, chúng ta sẽ cấu hình IAS Server để làm việc với ISA Server 2004 firewall Sau đó sẽ cấu hình Firewall để giao tiếp với IAS server Tiến hành các bước sau với Domain controller trên Internal network để cấu hình IAS server:

1 Click Start, Administrative Tools Click Internet Authentication Service

2 Trong Internet Authentication Service console, mở rộng Internet

Authentication Service (Local) node Right click trên RADIUS Clients node và

click New RADIUS Client

3 Trên Name and Address page của New RADIUS Client wizard, điền vào

Friendly-name của ISA Server 2004 firewall computer trong Friendly name text

box Đơn giản là tên này được dùng để xác định RADIUS client và không được sử dụng cho những mục đích hoạt động Đưa đầy đủ FQDN name (là

EXCHANGE2003BE MSFIREWALL.ORG) , hoặc IP address của ISA Server 2004

firewall computer trong Client address (IP or DNS) text box

4 Click Verify Trong Verify Client dialog box, FQDN-fully qualified domain name

của ISA Server 2004 firewall computer sẽ xuất hiện trong Client text box Click

Resolve Nếu RADIUS server có thể giải quyết Tên thì IP address sẽ xuất hiện trong

IP address frame Nếu RADIUS server không thể giải quyết tên ra IP Address, điều

này lưu ý với Admin rằng: hostname của ISA Server 2004 firewall chưa được tạo trong DNS server (chưa tạo record cho ISA server) Nếu trường hợp này xảy ra, bạn

có thể đưa 2 cách giải quyết: Tạo A Record cho ISA Server trên DNS server được cài đặt trên Domain controller, hoặc bạn có thể dùng IP address trên Internal interface

(10.0.0.1) của ISA Server 2004 firewall trong Client address (IP and DNS) text box thuộc Name or Address page (đã đề cập ở trên) Click OK vào Verify Client

dialog box Mục đích của các xác lập trong phần này là biến ISA SERVER 2004

Firewall trở thành một RADIUS Client, khi đó giữ RADIUS server và RADIUS Client mới có thể bắt tay cộng tác

5 Click Next trên Name and Address page của New RADIUS Client wizard

6 Trên Additional Information page của wizard, dùng default Client-Vendor entry, chuẩn của RADIUS Điền vào một password trong Shared secret text box và

xác nhận lại password này Password bí mật được chia sẽ (chỉ có RADIUS server và

RADIUS Client- ISA SERVER 2004 firewall biết), và dùng “tín hiệu” này để làm việc

với nhau Shared Secret chứa ít nhất 8 kí tự (cả hoa lẫn thường, số và cả các kí tự đặc biệt ) Check vào Request must contain the Message Authenticator

attribute check box Click Finish

7 Bây giờ các bạn đã thấy New RADIUS client entry xuất hiện trên console

8 Đóng Internet Authentication Service console

Việc cấu hình tiếp theo trên ISA Server 2004 Firewall để công nhận đối tác của nó là RADIUS server, cấu hình sẽ được tiến hành thông qua giao diện quản trị ISA SERVER

2004 Firewall và RADIUS server này sẽ đảm nhiệm vai trò xác thực các yêu cầu từ Web và VPN client

Kết luận:

Trong chương này chúng ta đã đề cập đến Microsoft Internet Authentication

Server, cách thức cài đặt và cấu hình một IAS server trên Domain controller thuộc

Internal network domain Trong các phần kế tiếp của hướng dẫn, chúng ta sẽ dùng IAS server này để xác thực các yêu cầu từ bên ngoài (incoming requestst của

Web/VPN Clients) truy cập vào Web/VPN server

Chương 4: Cài đặt và cấu hình Microsoft DHCP và WINS Server Services

Windows Internet Name Service (WINS) khi dịch vụ này được triển khai trong

Internal Network Domain, nó sẽ phục vụ các Computer trong Mạng giải quyết để tìm

NetBIOS names lẫn nhau, và một Computer A trong Network này có thể thông qua

WINS server để giải quyết được NetBIOS name của Computer B ở một Network khác (tất nhiên hệ thống WINS thông thường chỉ được dùng để giải quyết tên Netbios names trong Mạng nội bộ của tổ chức, tránh nhầm lẫn với cách giải quyết hostname của DNS server- có khả năng giải quyết tên dạng FQDN (www.nis.com.vn) của

Internet hoặc Internal network Domain Các bạn có thể tham khảo “ XÂY DỰNG HẠ TẦNG MẠNG TRÊN MICROSOFT WINDOWS SERVER 2003”, sắp được phát hành của tôi để hiểu rõ hơn về vai trò của một WINS server trong Mạng nội bộ

Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS clients, sẽ

đăng kí tên của mình (Netbios/Computer names) với WINS server WINS clients cũng

có thể gửi các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IP

addresses Nếu trong Mạng nội bộ không có WINS Server, thì Windows clients sẽ

gửi các message dạng broadcast để tìm Netbios name của Computer muốn giao

tiếp Tuy nhiên, nếu các Computer này nằm tại một Mạng khác (với Network ID khác) thí các Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặc định trên các Router) Như vậy trong mạng nội bộ của một tổ chức, gồm nhiều

Network Segments, thì việc giải quyết cho các Computer từ Network 1 tìm NetBios name của các Computers ở Network 2,3 Dùng WINS server là giải pháp lý tưởng WINS server cũng đặc biệt quan trọng cho các VPN clients VPN clients không trực tiếp kết nối đến Internal network, và như vậy không thể dùng broadcasts để giải quyết NetBIOS names của các Computers bên trong Mạng nội bộ (Trừ khi bạn dùng Windows Server 2003 và mở chức năng NetBIOS proxy, sẽ hỗ trợ NetBIOS

broadcast, nhưng rất hạn chế) VPN clients dựa vào WINS server để giải quyết

NetBIOS names và sử dụng các thông tin này để tìm kiếm các Computers trong My Network Places của Internal Network

Dynamic Host Configuration Protocol (DHCP) được dùng để cung cấp tự động các thông số liên quan đến IP address (TCP/IP settings) cho DHCP clients DHCP server

sẽ được cấu hình trên Internal network server và không phải trên chính ISA SERVER

2004 Firewall Khi chúng ta đã cấu hình DHCP server trên Internal network, ISA Server 2004 firewall tự động có thể thuê IP Addresses từ DHCP server và phân bố lại cho các VPN Clients (các IP addresses này được lấy từ một vùng địa chỉ đặc biệt trên DHCP server, ví dụ Admin đã tạo sẵn một DHCP scope có tên là “VPN Clients

Network.”, vùng này chứa các IP address và các thông số chỉ cung cấp cho VPN Clients) Việc điều khiển truy cập (Access controls) và cách thức định tuyến (routing relationships) cho các VPN Clients này truy nhập Mạng nội bộ có thể được cấu hình giữa VPN Clients Network và các mạng nội bộ được xác định trong phân vùng LAT (Local Address Table) do ISA Server 2004 firewall quản lý

Trong phần này chúng ta sẽ thực hiện việc cài đặt Microsoft WINS và DHCP services

Sau đó chúng ta sẽ cấu hình một DHCP scope với các thông số hợp lý của DHCP

scope options

Cài đặt WINS Service

Windows Internet Name Service (WINS) được sử dụng để giải quyết NetBIOS names

ra IP Addresses (đơn giản vì chúng ta đang dùng Mạng TCP/IP, mạng giao tiếp theo số- IP address, Computer name chỉ là yếu tố phụ, và là thói quen xác lập giao tiếp,

vì tên dễ nhớ hơn số) Trong các mô hình Mạng mới ngày nay (ví dụ Mạng Microsoft Windows 2000/2003) sử dụng giải pháp tìm tên chính đó là DNS service, WINS service triển khai thêm là một sự lựa chọn, và hoàn toàn không bắt buộc) Tuy nhiên

nhiều tổ chức muốn dùng My Network Places để có thể xác định các Server trên

Mạng Chúng ta biết rằng My Network Places hoạt động tìm kiếm các Network

Computer dựa trên dịch vụ Windows Browser Và Windows Browser service giải

quyết tên dựa trên nền tảng Broadcast ( broadcast-based service), nếu Network triển khai WINS server Windows Browser trên các Computer sẽ phụ thuộc vào WINS server để thu thập thông tin về các Computers phân tán khắp các Segment của Mạng Ngoài ra, WINS service cũng được yêu cầu triển khai khi các VPN clients muốn có được danh sách các Computers trong mạng nội bộ Mục đích cài WINS server trong hướng dẫn này để hỗ trợ giải quyết NetBIOS name và Windows browser service cho các VPN clients

Tiến hành các bước sau để cài WINS:

1 Click Start, Control Panel Click Add or Remove Programs

2 Trong Add or Remove Programs, click Add/Remove Windows Components

3 Trên Windows Components page, kéo xuống danh sách Components và chọn

Networking Services entry Click Details

4 Trong Network Services dialog box, check vào Windows Internet Name

Service (WINS) check box Check tiếp vào Dynamic Host Configuration

Protocol (DHCP) check box Click OK

5 Click Next trên Windows Components page

6 Click OK trên Insert Disk dialog box Trong Files Needed dialog box, đưa đường dẫn đến I386 folder trong mục Copy files from text box và click OK

7 Click Finish trên Completing the Windows Components Wizard page

8 Đóng Add or Remove Programs

WINS server đã sẵn sàng phục vụ nhu cầu đăng kí NetBIOS name ngay lập tức mà không cần bất cứ cấu hình thêm nào ISA Server 2004 firewall, Domain controller, và các Internal network clients tất cả sẽ được cấu hình như WINS Client và sẽ đăng kí với WINS server trong mục xác lập TCP/IP của mình (TCP/IP Properties settings)

Cấu hình DHCP Service

Dynamic Host Configuration Protocol (DHCP) được sử dụng để phân chia tự động các thông số liên quan đến IP Address cho Internal network clients và VPN clients Trong Lab này, mục đích chính của DHCP server là cấp phát các thông số IP address cho Mạng VPN clients Lưu ý rằng, trong mô hình Mạng thực tế của các tổ chức, nên cấu hình các Computer trở thành DHCP clients, không nên yêu cầu một IP address tĩnh (tất nhiên có những trường hợp ngoại lệ, ví dụ như dùng IP cố định cho Servers, hoặc trong một Network có số lượg Computer ít, triển khai thêm DHCP server tạo chi phí gia tăng đáng kể, làm tăng Total Cost Ownership-TCO )

DHCP server service đã được cài đặt theo những thủ tục đưa ra tại chương 1 Bước

kế tiếp, chúng ta sẽ cấu hình một DHCP scope (vùng IP addresses, kèm theo các thông số tùy chọn- DHCP options) Tất cả những thông số này sẽ được cung cấp cho các DHCP Clients

Tiến hành các bước sau để cấu hình một DHCP scope:

1 Click Start, Administrative Tools Click DHCP

2 Trên DHCP console, right click trên server name và click Authorize (xác nhận

DHCP server này hoạt động hợp pháp trong Domain, như vậy tất cả các DHCP server không được Authorize sẽ bị vô hiệu hóa trong việc cung cấp IP addresses)

3 Click nút Refresh Các bạn sẽ nhận thấy icon của DHCP server chuyển từ Đỏ sang

Xanh lá cây, và DHCP đã hoạt động

4 Right click trên server name, click New Scope

5 Click Next trên Welcome to the New Scope Wizard page

6 Trên Scope Name page, đặt tên cho scope trong Name text box và đưa thông tin

mô tả trong Description text box Trong ví dụ này, chúng ta sẽ đặt tên scope là

scope 1 và không mô tả trong Description Click Next

7 Trên IP Address Range page, đưa vào một IP address bắt đầu Start IP address

và một IP Adrress Cuối cùng (End IP address ) trong text boxes Và đây chính là

vùng địa chỉ IP mà bạn muốn sẵn sàng cung cấp cho DHCP Clients Trong ví dụ này,

chúng ta sẽ xác lập như sau: Start address là 10.0.0.200 và End address là

10.0.0.219 Vúng này chứa 20 IP Address cho DHCP Clients Sau đó chúng ta sẽ cấu

hình ISA Server 2004 firewall cho phép các VPN clients thực hiện đồng thời 10 VPN connections, và vì thế có thể mất tối đa10 trong số 20 IP addresses này cho VPN Clients ISA Server 2004 firewall có thể yêu cầu nhiều hơn 10 IP Addresses này từ DHCP server, nếu thực sự điều đó là cần thiết Tiếp theo chúng ta sẽ đưa thông số

subnet mask vào text box Length hoặc Subnet mask Trong ví dụ ở đây, chúng ta

xác nhận giá trị 24 trong Length text box Giá trị Subnet mask cũng tự động thay đổi sau khi bạn đã điền giá trị vào Length.Click Next

8 Không xác định bất kì exclusions (vùng loại trừ, nhằm mục đích dự trữ cho nhu

cầu dùng IP addresses tương lai, hoặc để tránh cấp phát những IP đang được sử dụng cố định trên Network cho các thiết bị như Routers, Network Printers ), trên

Add Exclusions page Click Next

9 Chấp nhận lượng thời gian cho thuê địa chỉ (lease duration) là 8 ngày tại Lease

Duration page Click Next

10 Trên Configure DHCP Options page, chọn Yes, I want to configure these

options now option và click Next

11 Trên Router (Default Gateway) page, điền vào IP address của internal

interface (10.0.0.1) trên ISA Server 2004 firewall computer trong IP address text

box và click Add Click Next

12 Trên Domain Name and DNS Servers page, điền tên Domain của Internal network trong Parent domain text box Đây là Domain name được dùng bởi các

DHCP clients, căn cứ vào đây, các Clients này sẽ xác định môi trường Mạng mà mình đang hoạt động, và thuận lợi cho các Admin sau này, khi cấu hình các thông số như

wpad entry, có chức năng phục vụ cho các Web Proxy và Firewall client tự động phát

hiện, và làm việc với Firewall Service hoặc Web Proxy Service (hai dịch vụ vận hành

trên ISA SERVER 2004) chức năng này gọi là autodiscovery Trong ví dụ này, các

bạn sẽ đưa vào tên Domain là msfirewall.org trong text box Trong IP address text box, điền IP address của DNS server (10.0.0.2) trên Internal network Chú ý

domain controller cũng là DNS server internal network như đã xác định tại các phần trước Click Add Click Next

13 Trên WINS Servers page, điền IP address của WINS server (10.0.0.2) và Click

Add

14 Trên Activate Scope page, chọn Yes, I want to activate this scope now

option và click Next

15 Click Finish trên Completing the New Scope Wizard page

16 Trong DHCP console, mở rộng Scope 1 node, click vào Scope Options node

Bạn sẽ thầy danh sách các Options vừa cấu hình

17 Đóng DHCP console

Tại thời điểm này DHCP server sẵn sàng phục vụ phân chia các thông số liên quan

đến IP address cho DHCP clients trên Mạng nội bộ,và cả các VPN Clients thuộc VPN

clients network Tuy nhiên, ISA Server 2004 firewall sẽ chưa cung cấp các thông số

IP này cho VPN Clients khi mà Admin chưa cho phép triển khai dịch vụ VPN (VPN

server) trên Firewall

Kết luận:

Trong chương này, chúng ta đã thảo luận việc sử dụng Microsoft WINS và DHCP servers, cài đặt cả hai dịch vụ này lên Domain controller, và cấu hình một DHCP Scope trên DHCP server Ở phần sau chúng ta sẽ nói đến cách thức mà các dịch vụ này sẽ hỗ trợ cho các VPN clients

Chương 5: Cấu hình DNS và DHCP để hỗ trợ tính năng

Autodiscovery cho Web Proxy và Firewall Client

Web Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các trình duyệt Web browsers (như Internet Explorer, Nestcape Navigator…) và ISA Firewall client có thể tự động khám phá ISA Server 2004 Firewall (IP address) Các Client này sau đó

có thể download các thông tin cấu hình tự động (autoconfiguration information) từFirewall, sau đó Web Proxy và Firewall client sẽ discover ra address liên lạc với ISA server

Tóm lại chức năng WPAD giải quyết cung cấp các thông số tự động cho các Web

browsers Xác lập mặc định trên Internet Explorer 6.0 là autodiscover Web proxy client Khi xác lập này được enabled, Web browser có thể gửi đi một thông điệp

DHCPINFORM message hoặc một truy vấn DNS query để tìm địa chỉ của ISA Server

2004, dựa trên những thông tin đã nhận được (download) từ autoconfiguration

information

Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng Firewall (detect Firewall) để kết nối ra Internet

ISA Server 2004 Firewall client cũng có thể dùng wpad entry để tìm ISA Server

2004 firewall và download các thông tin cấu hình này về

Trong phần này chúng ta sẽ tiến hành

• Cấu hình hỗ trợ DHCP WPAD

• Cấu hình hỗ trợ DNS WPAD

Sau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web Proxy và

Firewall clients sẽ không cần phải cấu hình thủ công để có thể ra Internet thông qua ISA Server 2004 firewall

Cấu hình hỗ trợ DHCP WPAD

DHCP scope option số 252 có thể được dùng để cấu hình tự động cho Web Proxy

và Firewall clients Web Proxy hoặc Firewall client phải được cấu hình trở thành DHCP

client, và các Users log-on vào các Clients này phải là thành viên của nhóm Local administrators group hoặc Power users group (Windows 2000) Trên Windows

XP, thì chỉ cần là thành viên của nhóm Network Configuration Operators group

là có quyền để thực hiện gửi các truy vấn DHCP (DHCPINFORM messages)

Chú ý:

Chi tiết hơn về những hạn chế của việc dùng DHCP phục vụ autodiscovery cho

Internet Explorer 6.0, tham khảo hướng dẫn “Automatic Proxy Discovery in Internet

Explorer with DHCP Requires Specific Permissions “ tại

http://support.microsoft.com/default.aspx?scid=kb;en-us;312864

Tiến hành các bước sau tại DHCP server để tạo DHCP option phục vụ cho chức năng

wpad

1 Mở DHCP console từ Administrative Tools menu, right click server name Click

Set Predefined Options

2 Trong Predefined Options and Values dialog box, click Add

3 Trong Option Type dialog box, đưa vào các thông tin sau:

Name: wpad Data type: String Code: 252

Description: wpad entry

Click OK

4 Trong khung Value, điền vào địa chỉ URL dẫn đến ISA Server 2000 firewall trong

String text box

Theo định dạng như sau:

http://ISAServername:AutodiscoveryPort Number/wpad.dat

Mặc định autodiscovery port number là TCP 80 Port 80 này có thể thay đổi thông

qua cấu hình trên ISA SERVER 2004 Chi tiết về cấu hình này sẽ thảo luận sau

Trong ví dụ hiện tại, điền vào String text box:

http://isalocal.msfirewall.org:80/wpad.dat

Đảm bảo rằng wpad.dat không dùng những kí tự viết hoa Về vấn đề này có thể

tham khảo tại "Automatically Detect Settings Does Not Work if You Configure DHCP

Option 252”

http://support.microsoft.com/default.aspx?scid=kb;en-us;307502

Thực ra problem này là do cơ chế nhận dạng case sensitive trên ISA SERVER 2004,

do đó nếu không phải là wpad.dat, mà lại là Wpad.dat, hoặc WPad.dat trong URL,

đều khiến ISA SERVER 2004 phủ nhận

Click OK

5 Right click trên Scope Options node và click Configure Options

6 Trong Scope Options dialog box, kéo xuống danh sách Available Options và

đánh dấu- check vào 252 wpad check box Click Apply và click OK

7 252 wpad entry giờ đây xuất hiện dưới Scope Options

publish các thông tin của mình phục vụ cho autodiscovery information Chúng ta sẽ

bàn đến vấn đề này tại các chương sau

Cấu hình hỗ trợ DNS WPAD

Phương pháp khác để phân phối thông tin autodiscovery cho Web Proxy và Firewall clients là dùng DNS Admin có thể tạo một wpad alias entry trong DNS server và

cho phép các Internet Browser trên Clients sử dụng thông tin này để cấu hình tự động cho chính nó Tôi muốn nhấn mạnh ở đây là chính trình duyệt- Browser sẽ làm việc này, tương phản với phương pháp dùng DHCP mà chúng ta đã gặp trước đó (User log-on phải là thành viên của những Group đặc biệt trong Windows operating system)

Phương thức giải quyết Tên (Name resolution), là yếu tố chủ chốt trong phương pháp

này của Web Proxy và Firewall client để autodiscovery có thể làm việc chính xác

Trong trường hợp này Hệ điều hành Clients phải có khả năng tìm FQDN name của

wpad alias trên DNS server Ở đây Web Proxy và Firewall client chỉ cần biết rằng nó

có khả năng giải quyết tên wpad Không cần phải nằm trong một Domain cụ thể nào mới có thể giải quyết wpad name Chúng ta sẽ đề cập đến vấn đề này chi tiết hơn ở

phần sau

Chú ý: Ngược lại với phương pháp dùng DHCP để cấp thông tin tự động đến Web Proxy và Firewall clients

Chúng ta sẽ không có lựa chọn dùng port number để publish autodiscovery

information khi sử dụng phương pháp DNS Bạn phải publish thông tin tự động

này trên TCP Port 80 Tiến hành các bước sau để cấu hình DNS hỗ trợ Web Proxy và Firewall client tự động khám phá ISA Server 2004 firewall:

• Tạo wpad entry trong DNS

• Cấu hình Clientsử dụng tên đầy đủ- fully qualified của wpad alias

• Cấu hình trình duyệt- Client browser sử dụng autodiscovery

Tạo Wpad entry trong DNS

Trước khi tạo wpad alias entry trong DNS Alias này(cón được biết dưới tên là

CNAME record) phải trỏ đến một (A) Host record đã được tạo cho ISA Server 2004

firewall trên DNS server (A) Host record trên DNS, giúp giải quyết hostname (ví dụ

isalocal.msfirewall.org ) của ISA Server 2004 firewall đến Internal IP address của

ISA firewall

Cần tạo (A) Host record trước khi chúng ta CNAME record Nếu DNS server cho

phép các name records được đăng kí tự động thì hostname của ISA Server 2004

firewall và IP address của nó sẽ được cập nhật tự động vào DNS và là một (A) Host

record Còn nếu DNS server không cho phép automatic registration, thì cần phải tạo

(A) Host record cho ISA Server 2004 firewall

Trong ví dụ này ISA Server 2004 firewall đã đăng kí tự động với DNS, do Internal

interface trên ISA Server 2004 firewall được cấu hình để thực hiện việc này, và dĩ

nhiên DNS server cũng được cấu hình để chấp nhận đăng kí động Host record này

(unsecured dynamic registrations)

Tiến hành các bước sau trên DNS server (xin nhắc lại: cũng là domain

controller) của Internal network:

1 Click Start, Administrative Tools Click DNS entry Trong DNS management

console, right click trên Forward lookup zone của Domain và click New Alias

(CNAME)

2 Trong New Resource Record dialog box, điền vào wpad trong Alias name

(uses parent domain if left blank) text box Click Browse

3 Trong Browse dialog box, double click trên server name trong Records list