Trang 23 Triển khai ISA Server Firewall 2004 3. Trên Name and Address page của New RADIUS Client wizard, điền vào Friendly-name của ISA Server 2004 firewall computer trong Friendly name text box. Đơn giản là tên này được dùng để xác định RADIUS client và không được sử dụng cho những mục đích hoạt động. Đưa đầy đủ FQDN name (là EXCHANGE2003BE. MSFIREWALL.ORG) , hoặc IP address của ISA Server 2004 firewall computer trong Client address (IP or DNS) text box. Trang 24 Triển khai ISA Server Firewall 2004 4. Click Verify. Trong Verify Client dialog box, FQDN-fully qualified domain name của ISA Server 2004 firewall computer sẽ xuất hiện trong Client text box. Click Resolve. Nếu RADIUS server có thể giải quyết Tên thì IP address sẽ xuất hiện trong IP address frame. Nếu RADIUS server không thể giải quyết tên ra IP Address, điều này lưu ý với Admin rằng: hostname của ISA Server 2004 firewall chưa được tạo trong DNS server (chưa tạo record cho ISA server). Nếu trường hợp này xảy ra, bạn có thể đưa 2 cách giải quyết: Tạo A Record cho ISA Server trên DNS server được cài đặt trên Domain controller, hoặc bạn có thể dùng IP address trên Internal interface (10.0.0.1) của ISA Server 2004 firewall trong Client address (IP and DNS) text box thuộc Name or Address page (đã đề cập ở trên). Click OK vào Verify Client dialog box. Mục đích của các xác lập trong phần này là biến ISA SERVER 2004 Firewall trở thành một RADIUS Client, khi đó giữ RADIUS server và RADIUS Client mới có thể bắt tay cộng tác. 5. Click Next trên Name and Address page của New RADIUS Client wizard. 6. Trên Additional Information page của wizard, dùng default Client-Vendor entry, chuẩn của RADIUS. Điền vào một password trong Shared secret text box và xác nhận lại password này. Password bí mật được chia sẽ (chỉ có RADIUS server và RADIUS Client- ISA SERVER 2004 firewall biết), và dùng “tín hiệu” này để làm việc với nhau. Shared Secret chứa ít nhất 8 kí tự (cả hoa lẫn thường, số và cả các kí tự đặc biệt ). Check vào Request must contain the Message Authenticator attribute check box. Click Finish. Trang 25 Triển khai ISA Server Firewall 2004 7. Bây giờ các bạn đã thấy New RADIUS client entry xuất hiện trên console 8. Đóng Internet Authentication Service console. Việc cấu hình tiếp theo trên ISA Server 2004 Firewall để công nhận đối tác của nó là RADIUS server, cấu hình sẽ được tiến hành thông qua giao diện quản trị ISA SERVER Trang 26 Triển khai ISA Server Firewall 2004 2004 Firewall và RADIUS server này sẽ đảm nhiệm vai trò xác thực các yêu cầu từ Web và VPN client. Kết luận: Trong chương này chúng ta đã đề cập đến Microsoft Internet Authentication Server, cách thức cài đặt và cấu hình một IAS server trên Domain controller thuộc Internal network domain. Trong các phần kế tiếp của hướng dẫn, chúng ta sẽ dùng IAS server này để xác thực các yêu cầu từ bên ngoài (incoming requestst của Web/VPN Clients) truy cập vào Web/VPN server. Trang 27 Triển khai ISA Server Firewall 2004 Chương 4: Cài đặt và cấu hình Microsoft DHCP và WINS Server Services Windows Internet Name Service (WINS) khi dịch vụ này được triển khai trong Internal Network Domain, nó sẽ phục vụ các Computer trong Mạng giải quyết để tìm NetBIOS names lẫn nhau, và một Computer A trong Network này có thể thông qua WINS server để giải quyết được NetBIOS name của Computer B ở một Network khác (tất nhiên hệ thống WINS thông thường chỉ được dùng để giải quyết tên Netbios names trong Mạng nội bộ của tổ chức, tránh nhầm lẫn với cách giải quyết hostname của DNS server- có khả năng giải quyết tên d ạng FQDN (www.nis.com.vn) của Internet hoặc Internal network Domain. Các bạn có thể tham khảo “ XÂY DỰNG HẠ TẦNG MẠNG TRÊN MICROSOFT WINDOWS SERVER 2003”, sắp được phát hành của tôi để hiểu rõ hơn về vai trò của một WINS server trong Mạng nội bộ. Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS clients, sẽ đăng kí tên của mình (Netbios/Computer names) với WINS server. WINS clients cũng có thể gửi các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IP addresses. Nếu trong Mạng nội bộ không có WINS Server, thì Windows clients sẽ gử i các message dạng broadcast để tìm Netbios name của Computer muốn giao tiếp. Tuy nhiên, nếu các Computer này nằm tại một Mạng khác (với Network ID khác) thí các Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặc định trên các Router). Như vậy trong mạng nội bộ của một tổ chức, gồm nhiều Network Segments, thì việc giải quyết cho các Computer từ Network 1 tìm NetBios name của các Computers ở Network 2,3. Dùng WINS server là giải pháp lý tưởng. WINS server cũng đặc biệt quan trọng cho các VPN clients. VPN clients không trực tiếp k ết nối đến Internal network, và như vậy không thể dùng broadcasts để giải quyết NetBIOS names của các Computers bên trong Mạng nội bộ. (Trừ khi bạn dùng Windows Server 2003 và mở chức năng NetBIOS proxy, sẽ hỗ trợ NetBIOS broadcast, nhưng rất hạn chế). VPN clients dựa vào WINS server để giải quyết NetBIOS names và sử dụng các thông tin này để tìm kiếm các Computers trong My Network Places của Internal Network. Dynamic Host Configuration Protocol (DHCP) được dùng để cung cấp tự động các thông số liên quan đến IP address (TCP/IP settings) cho DHCP clients. DHCP server sẽ được cấu hình trên Internal network server và không phải trên chính ISA SERVER 2004 Firewall. Khi chúng ta đã cấu hình DHCP server trên Internal network, ISA Server 2004 firewall tự động có thể thuê IP Addresses từ DHCP server và phân bố lại cho các VPN Clients (các IP addresses này được lấy từ một vùng địa chỉ đặc biệt trên DHCP server, ví dụ Admin đã tạo sẵn một DHCP scope có tên là “VPN Clients Network.”, vùng này chứa các IP address và các thông số chỉ cung cấp cho VPN Clients) Việc điều khiển truy cập (Access controls) và cách thức định tuyến (routing relationships) cho các VPN Clients này truy nhập Mạng nội bộ có thể được cấu hình giữa VPN Clients Network và các mạng nội bộ được xác định trong phân vùng LAT (Local Address Table) do ISA Server 2004 firewall qu ản lý. Trang 28 Triển khai ISA Server Firewall 2004 Trong phần này chúng ta sẽ thực hiện việc cài đặt Microsoft WINS và DHCP services. Sau đó chúng ta sẽ cấu hình một DHCP scope với các thông số hợp lý của DHCP scope options. Cài đặt WINS Service Windows Internet Name Service (WINS) được sử dụng để giải quyết NetBIOS names ra IP Addresses (đơn giản vì chúng ta đang dùng Mạng TCP/IP, mạng giao tiếp theo số- IP address, Computer name chỉ là yếu tố phụ, và là thói quen xác lập giao tiếp, vì tên dễ nhớ hơn số). Trong các mô hình Mạng mới ngày nay (ví dụ Mạng Microsoft Windows 2000/2003) sử dụng giải pháp tìm tên chính đó là DNS service, WINS service triển khai thêm là một sự lựa chọn, và hoàn toàn không bắt buộc). Tuy nhiên nhiều tổ chức muốn dùng My Network Places để có thể xác định các Server trên Mạng. Chúng ta biết rằng My Network Places hoạt động tìm kiếm các Network Computer dựa trên dịch vụ Windows Browser. Và Windows Browser service giải quyết tên dựa trên nền tảng Broadcast ( broadcast-based service), nếu Network triển khai WINS server Windows Browser trên các Computer sẽ phụ thuộc vào WINS server để thu thập thông tin về các Computers phân tán khắp các Segment của Mạng. Ngoài ra, WINS service cũ ng được yêu cầu triển khai khi các VPN clients muốn có được danh sách các Computers trong mạng nội bộ. Mục đích cài WINS server trong hướng dẫn này để hỗ trợ giải quyết NetBIOS name và Windows browser service cho các VPN clients. Tiến hành các bước sau để cài WINS: 1. Click Start, Control Panel. Click Add or Remove Programs. 2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, kéo xuống danh sách Components và chọn Networking Services entry. Click Details. 4. Trong Network Services dialog box, check vào Windows Internet Name Service (WINS) check box. Check tiếp vào Dynamic Host Configuration Protocol (DHCP) check box. Click OK. Trang 29 Triển khai ISA Server Firewall 2004 5. Click Next trên Windows Components page. 6. Click OK trên Insert Disk dialog box. Trong Files Needed dialog box, đưa đường dẫn đến I386 folder trong mục Copy files from text box và click OK. 7. Click Finish trên Completing the Windows Components Wizard page. 8. Đóng Add or Remove Programs . WINS server đã sẵn sàng phục vụ nhu cầu đăng kí NetBIOS name ngay lập tức mà không cần bất cứ cấu hình thêm nào. ISA Server 2004 firewall, Domain controller, và các Internal network clients tất cả sẽ được cấu hình như WINS Client và sẽ đăng kí với WINS server trong mục xác lập TCP/IP của mình (TCP/IP Properties settings) Cấu hình DHCP Service Dynamic Host Configuration Protocol (DHCP) được sử dụng để phân chia tự độ ng các thông số liên quan đến IP Address cho Internal network clients và VPN clients. Trong Lab này, mục đích chính của DHCP server là cấp phát các thông số IP address cho Mạng VPN clients. Lưu ý rằng, trong mô hình Mạng thực tế của các tổ chức, nên cấu hình các Computer trở thành DHCP clients, không nên yêu cầu một IP address tĩnh. (tất nhiên có những trường hợp ngoại lệ, ví dụ như dùng IP cố định cho Servers, hoặc trong một Network có số lượg Computer ít, triển khai thêm DHCP server tạo chi phí gia tăng đáng kể, làm tăng Total Cost Ownership-TCO ) DHCP server service đã được cài đặt theo những thủ t ục đưa ra tại chương 1. Bước kế tiếp, chúng ta sẽ cấu hình một DHCP scope (vùng IP addresses, kèm theo các thông số tùy chọn- DHCP options). Tất cả những thông số này sẽ được cung cấp cho các DHCP Clients. Tiến hành các bước sau để cấu hình một DHCP scope: Trang 30 Triển khai ISA Server Firewall 2004 1. Click Start, Administrative Tools. Click DHCP. 2. Trên DHCP console, right click trên server name và click Authorize (xác nhận DHCP server này hoạt động hợp pháp trong Domain, như vậy tất cả các DHCP server không được Authorize sẽ bị vô hiệu hóa trong việc cung cấp IP addresses) 3. Click nút Refresh .Các bạn sẽ nhận thấy icon của DHCP server chuyển từ Đỏ sang Xanh lá cây, và DHCP đã hoạt động 4. Right click trên server name, click New Scope. 5. Click Next trên Welcome to the New Scope Wizard page. 6. Trên Scope Name page, đặt tên cho scope trong Name text box và đưa thông tin mô tả trong Description text box. Trong ví dụ này, chúng ta sẽ đặt tên scope là scope 1 và không mô tả trong Description. Click Next. 7. Trên IP Address Range page, đưa vào một IP address bắt đầu Start IP address và một IP Adrress Cuối cùng (End IP address ) trong text boxes. Và đây chính là Trang 31 Triển khai ISA Server Firewall 2004 vùng địa chỉ IP mà bạn muốn sẵn sàng cung cấp cho DHCP Clients. Trong ví dụ này, chúng ta sẽ xác lập như sau: Start address là 10.0.0.200 và End address là 10.0.0.219. Vúng này chứa 20 IP Address cho DHCP Clients. Sau đó chúng ta sẽ cấu hình ISA Server 2004 firewall cho phép các VPN clients thực hiện đồng thời 10 VPN connections, và vì thế có thể mất tối đa10 trong số 20 IP addresses này cho VPN Clients. ISA Server 2004 firewall có thể yêu cầu nhiều hơn 10 IP Addresses này từ DHCP server, nếu thực sự điều đó là cần thiết. Tiếp theo chúng ta sẽ đưa thông số subnet mask vào text box Length hoặc Subnet mask. Trong ví dụ ở đây, chúng ta xác nhận giá trị 24 trong Length text box. Giá trị Subnet mask cũng tự động thay đổi sau khi bạn đã điền giá trị vào Length.Click Next. 8. Không xác định bất kì exclusions (vùng loại trừ, nhằm mục đích dự trữ cho nhu cầu dùng IP addresses tương lai, hoặc để tránh cấp phát những IP đang được sử dụng cố định trên Network cho các thiết bị như Routers, Network Printers ), trên Add Exclusions page. Click Next. 9. Chấp nhận lượng thời gian cho thuê địa chỉ (lease duration) là 8 ngày tại Lease Duration page. Click Next. 10. Trên Configure DHCP Options page, chọn Yes, I want to configure these options now option và click Next. 11. Trên Router (Default Gateway) page, điền vào IP address của internal interface (10.0.0.1) trên ISA Server 2004 firewall computer trong IP address text box và click Add. Click Next. Trang 32 Triển khai ISA Server Firewall 2004 12. Trên Domain Name and DNS Servers page, điền tên Domain của Internal network trong Parent domain text box. Đây là Domain name được dùng bởi các DHCP clients, căn cứ vào đây, các Clients này sẽ xác định môi trường Mạng mà mình đang hoạt động, và thuận lợi cho các Admin sau này, khi cấu hình các thông số như wpad entry, có chức năng phục vụ cho các Web Proxy và Firewall client tự động phát hiện, và làm việc với Firewall Service hoặc Web Proxy Service (hai dịch vụ vận hành trên ISA SERVER 2004) chức năng này gọi là autodiscovery. Trong ví dụ này, các bạn sẽ đưa vào tên Domain là msfirewall.org trong text box. Trong IP address text box, điền IP address của DNS server (10.0.0.2) trên Internal network. Chú ý domain controller cũng là DNS server internal network như đã xác định tại các phần trước. Click Add. Click Next. [...]... DHCP WPAD • Cấu hình hỗ trợ DNS WPAD Sau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web Proxy và Firewall clients sẽ không cần phải cấu hình thủ công để có thể ra Internet thông qua ISA Server 20 04 firewall Cấu hình hỗ trợ DHCP WPAD DHCP scope option số 25 2 có thể được dùng để cấu hình tự động cho Web Proxy và Firewall clients Web Proxy hoặc Firewall client phải được cấu hình trở thành... đến ISA Server 20 00 firewall trong String text box Theo định dạng như sau: http://ISAServername:AutodiscoveryPort Number/wpad.dat Trang 36 Triển khai ISA Server Firewall 20 04 Mặc định autodiscovery port number là TCP 80 Port 80 này có thể thay đổi thông qua cấu hình trên ISA SERVER 20 04 Chi tiết về cấu hình này sẽ thảo luận sau Trong ví dụ hiện tại, điền vào String text box: http://isalocal.msfirewall.org:80/wpad.dat... Click OK trong Resource Record dialog box Trang 42 Triển khai ISA Server Firewall 20 04 8 CNAME (alias) entry sẽ xuất hiện DNS management console 9 Đóng DNS Management console Cấu hình ISA Client để dùng Fully Qualified wpad Alias Trang 43 Triển khai ISA Server Firewall 20 04 Web Proxy và Firewall client cần giải quyết tên của wpad Các cấu hình của Web Proxy và Firewall client không thể giúp các Client này... của ISA Server 20 04, dựa trên những thông tin đã nhận được (download) từ autoconfiguration information Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng Firewall (detect Firewall) để kết nối ra Internet ISA Server 20 04 Firewall client cũng có thể dùng wpad entry để tìm ISA Server 20 04 firewall và download các thông tin cấu hình này về Trong phần này chúng ta sẽ tiến hành • Cấu hình. .. Host record đã được tạo cho ISA Server 20 04 firewall trên DNS server (A) Host record trên DNS, giúp giải quyết hostname (ví dụ isalocal.msfirewall.org ) của ISA Server 20 04 firewall đến Internal IP address của ISA firewall Cần tạo (A) Host record trước khi chúng ta CNAME record Nếu DNS server cho phép các name records được đăng kí tự động thì hostname của ISA Server 20 04 firewall và IP address của nó... động vào DNS và là một (A) Host record Còn nếu DNS server không cho phép automatic registration, thì cần phải tạo (A) Host record cho ISA Server 20 04 firewall Trong ví dụ này ISA Server 20 04 firewall đã đăng kí tự động với DNS, do Internal interface trên ISA Server 20 04 firewall được cấu hình để thực hiện việc này, và dĩ nhiên DNS server cũng được cấu hình để chấp nhận đăng kí động Host record này (unsecured... nhiên, ISA Server 20 04 firewall sẽ chưa cung cấp các thông số IP này cho VPN Clients khi mà Admin chưa cho phép triển khai dịch vụ VPN (VPN server) trên Firewall Trang 33 Triển khai ISA Server Firewall 20 04 Kết luận: Trong chương này, chúng ta đã thảo luận việc sử dụng Microsoft WINS và DHCP servers, cài đặt cả hai dịch vụ này lên Domain controller, và cấu hình một DHCP Scope trên DHCP server Ở phần. .. box, double click trên server name trong Records list Trang 40 Triển khai ISA Server Firewall 20 04 4 Trong Browse dialog box, double click trên Forward Lookup Zone entry trong khung Records 5 Trong Browse dialog box, double click trên tên của Forward lookup zone trong khung Records Trang 41 Triển khai ISA Server Firewall 20 04 6 Trong Browse dialog box, chọn tên của ISA Server 20 00 firewall trong khung... vào 25 2 wpad check box Click Apply và click OK Trang 37 Triển khai ISA Server Firewall 20 04 7 25 2 wpad entry giờ đây xuất hiện dưới Scope Options 8 Đóng DHCP console Tại thời điểm này một DHCP client được log-on với tài khoản local administrator (hoặc Power users ) sẽ có thể dùng DHCP wpad để hỗ trợ cho việc tự động khám phá (automatically discover) ISA Server 20 04 firewall và tiếp đó là tự cấu hình. .. nhiên, ISA Server 20 04 firewall phải được cấu hình để hỗ trợ để publish các thông tin của mình phục vụ cho autodiscovery information Chúng ta sẽ bàn đến vấn đề này tại các chương sau Cấu hình hỗ trợ DNS WPAD Trang 38 Triển khai ISA Server Firewall 20 04 Phương pháp khác để phân phối thông tin autodiscovery cho Web Proxy và Firewall clients là dùng DNS Admin có thể tạo một wpad alias entry trong DNS server . trên ISA Server 20 04 Firewall để công nhận đối tác của nó là RADIUS server, cấu hình sẽ được tiến hành thông qua giao diện quản trị ISA SERVER Trang 26 Triển khai ISA Server Firewall 20 04 20 04. DHCP server sẽ được cấu hình trên Internal network server và không phải trên chính ISA SERVER 20 04 Firewall. Khi chúng ta đã cấu hình DHCP server trên Internal network, ISA Server 20 04 firewall. (là EXCHANGE2003BE. MSFIREWALL.ORG) , hoặc IP address của ISA Server 20 04 firewall computer trong Client address (IP or DNS) text box. Trang 24 Triển khai ISA Server Firewall 20 04 4. Click