Cài đặt và cấu hình ISA Server Firewall 2003
Trang 1Cài đặt và cấu hình ISA Server Firewall 2004 (chapter 5)
Tác giả: www.nis.com.vn
Chương 5: Cấu hình DNS và DHCP để hỗ trợ tính năng Autodiscovery cho Web Proxy và Firewall Client
Web Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các trình duyệt Web browsers (như Internet Explorer, Nestcape Navigator…) và ISA Firewall client có thể tự động khám phá ISA Server 2004 Firewall (IP address) Các Client này sau đó có thể download các thông tin cấu hình tự động (Autoconfiguration information) từFirewall, sau đó Web Proxy và Firewall client sẽ discover ra address liên lạc với ISA Server
Tóm lại chức năng WPAD giải quyết cung cấp các thông số tự động cho các Web
browsers Xác lập mặc định trên Internet Explorer 6.0 là autodiscover Web proxy
client Khi xác lập này được enabled, Web browser có thể gửi đi một thông điệp DHCPINFORM message hoặc một truy vấn DNS query để tìm địa chỉ của ISA Server
2004, dựa trên những thông tin đã nhận được (download) từ Autoconfiguration
information.
Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng Firewall (detect Firewall) để kết nối ra Internet
ISA Server 2004 Firewall client cũng có thể dùng wpad entry để tìm ISA Server 2004
Firewall và download các thông tin cấu hình này về
Trong phần này chúng ta sẽ tiến hành
Trang 2• Cấu hình hỗ trợ DHCP WPAD
• Cấu hình hỗ trợ DNS WPAD
Sau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web Proxy và
Firewall clients sẽ không cần phải cấu hình thủ công để có thể ra Internet thông qua ISA Server 2004 Firewall
Cấu hình hỗ trợ DHCP WPAD
DHCP scope option số 252 có thể được dùng để cấu hình tự động cho Web Proxy và
Firewall clients Web Proxy hoặc Firewall client phải được cấu hình trở thành DHCP
client, và các Users log-on vào các Clients này phải là thành viên của nhóm Local
administrators group hoặc Power users group (Windows 2000) Trên Windows XP,
thì chỉ cần là thành viên của nhóm Network Configuration Operators group là có quyền để thực hiện gửi các truy vấn DHCP (DHCPINFORM messages).
Chú ý:
Chi tiết hơn về những hạn chế của việc dùng DHCP phục vụ Autodiscovery cho Internet
Explorer 6.0, tham khảo hướng dẫn “Automatic Proxy Discovery in Internet Explorer with DHCP Requires Specific Permissions “ tại http://support.microsoft.com/default.aspx? scid=kb;en-us;312864
Tiến hành các bước sau tại DHCP server để tạo DHCP option phục vụ cho chức năng
wpad
1 Mở DHCP console từ Administrative Tools menu, right click server name Click Set
Predefined Options
2 Trong Predefined Options and Values dialog box, click Add.
3 Trong Option Type dialog box, đưa vào các thông tin sau:
Name: wpad
Data type: String
Code: 252
Description: wpad entry
Trang 3Click OK.
4 Trong khung Value, điền vào địa chỉ URL dẫn đến ISA Server 2000 Firewall trong
String text box.
Theo định dạng như sau:
http://ISAServername:AutodiscoveryPort Number/wpad.dat
Mặc định Autodiscovery port number là TCP 80 Port 80 này có thể thay đổi thông qua
cấu hình trên ISA Server 2004 Chi tiết về cấu hình này sẽ thảo luận sau
Trong ví dụ hiện tại, điền vào String text box:
http://isalocal.MSFirewall.org:80/wpad.dat
Đảm bảo rằng wpad.dat không dùng những kí tự viết hoa Về vấn đề này có thể tham khảo tại "Automatically Detect Settings Does Not Work if You Configure DHCP
Option 252”
http://support.microsoft.com/default.aspx?scid=kb;en-us;307502
Thực ra problem này là do cơ chế nhận dạng case sensitive trên ISA Server 2004, do đó nếu không phải là wpad.dat, mà lại là Wpad.dat, hoặc WPad.dat trong URL, đều khiến
ISA Server 2004 phủ nhận
Click OK
Trang 45 Right click trên Scope Options node và click Configure Options.
6 Trong Scope Options dialog box, kéo xuống danh sách Available Options và đánh dấu- check vào 252 wpad check box Click Apply và click OK.
Trang 57 252 wpad entry giờ đây xuất hiện dưới Scope Options.
8 Đóng DHCP console
Tại thời điểm này một DHCP client được log-on với tài khoản local administrator
(hoặc Power users ) sẽ có thể dùng DHCP wpad để hỗ trợ cho việc tự động khám phá
(automatically discover) ISA Server 2004 Firewall và tiếp đó là tự cấu hình cho chính
mình Tuy nhiên, ISA Server 2004 Firewall phải được cấu hình để hỗ trợ để publish các thông tin của mình phục vụ cho Autodiscovery information Chúng ta sẽ bàn đến vấn đề
này tại các chương sau
Trang 6Cấu hình hỗ trợ DNS WPAD
Phương pháp khác để phân phối thông tin Autodiscovery cho Web Proxy và Firewall clients là dùng DNS Admin có thể tạo một wpad alias entry trong DNS server và cho
phép các Internet Browser trên Clients sử dụng thông tin này để cấu hình tự động cho chính nó Tôi muốn nhấn mạnh ở đây là chính trình duyệt- Browser sẽ làm việc này, tương phản với phương pháp dùng DHCP mà chúng ta đã gặp trước đó (User log-on phải
là thành viên của những Group đặc biệt trong Windows operating system)
Phương thức giải quyết Tên (Name resolution), là yếu tố chủ chốt trong phương pháp này của Web Proxy và Firewall client để
Autodiscovery có thể làm việc chính xác Trong trường hợp này Hệ điều hành Clients
phải có khả năng tìm FQDN name của wpad alias trên DNS server Ở đây Web Proxy và Firewall client chỉ cần biết rằng nó có khả năng giải quyết tên wpad Không cần phải nằm trong một Domain cụ thể nào mới có thể giải quyết wpad name Chúng ta sẽ đề cập
đến vấn đề này chi tiết hơn ở phần sau
Chú ý: Ngược lại với phương pháp dùng DHCP để cấp thông tin tự động đến Web Proxy
và Firewall clients
Chúng ta sẽ không có lựa chọn dùng port number để publish Autodiscovery
information khi sử dụng phương pháp DNS Bạn phải publish thông tin tự động này
trên TCP Port 80 Tiến hành các bước sau để cấu hình DNS hỗ trợ Web Proxy và Firewall client tự động khám phá ISA Server 2004 Firewall:
• Tạo wpad entry trong DNS
• Cấu hình Clientsử dụng tên đầy đủ- fully qualified của wpad alias
• Cấu hình trình duyệt- Client browser sử dụng Autodiscovery
Tạo Wpad entry trong DNS
Trước khi tạo wpad alias entry trong DNS Alias này(cón được biết dưới tên là CNAME
record) phải trỏ đến một (A) Host record đã được tạo cho ISA Server 2004 Firewall
trên DNS server (A) Host record trên DNS, giúp giải quyết hostname (ví dụ
isalocal.MSFirewall.org ) của ISA Server 2004 Firewall đến Internal IP address của
ISA Firewall
Cần tạo (A) Host record trước khi chúng ta CNAME record Nếu DNS server cho phép các name records được đăng kí tự động thì hostname của ISA Server 2004 Firewall và
IP address của nó sẽ được cập nhật tự động vào DNS và là một (A) Host record Còn nếu
DNS server không cho phép automatic registration, thì cần phải tạo (A) Host record cho
Trang 7ISA Server 2004 Firewall.
Trong ví dụ này ISA Server 2004 Firewall đã đăng kí tự động với DNS, do Internal
interface trên ISA Server 2004 Firewall được cấu hình để thực hiện việc này, và dĩ nhiên
DNS server cũng được cấu hình để chấp nhận đăng kí động Host record này (unsecured
dynamic registrations)
Tiến hành các bước sau trên DNS server (xin nhắc lại: cũng là domain controller) của Internal Network:
1 Click Start, Administrative Tools Click DNS entry Trong DNS management console, right click trên Forward lookup zone của Domain và click New Alias
(CNAME).
2 Trong New Resource Record dialog box, điền vào wpad trong Alias name (uses
parent
domain if left blank) text box Click Browse.
Trang 83 Trong Browse dialog box, double click trên server name trong Records list.
4 Trong Browse dialog box, double click trên Forward Lookup Zone entry trong khung Records
Trang 95 Trong Browse dialog box, double click trên tên của Forward lookup zone trong khung Records.
6 Trong Browse dialog box, chọn tên của ISA Server 2000 Firewall trong khung
Records Click OK.
Trang 107 Click OK trong Resource Record dialog box.
Trang 118 CNAME (alias) entry sẽ xuất hiện DNS management console.
9 Đóng DNS Management console.
Trang 12Cấu hình ISA Client để dùng Fully Qualified wpad Alias
Web Proxy và Firewall client cần giải quyết tên của wpad Các cấu hình của Web Proxy
và Firewall client không thể giúp các Client này có được thông tin của wpad alias Hệ
điều hành của Web Proxy và Firewall client phải giải quyết được vấn đề này cho Web Proxy và Firewall client
Các truy vấn DNS phải ở dạng tên đầy đủ- fully qualified, trước khi các truy vấn này
được gửi đến DNS server Một yêu cầu dạng fully qualified bao gồm một hostname và một domain name Web Proxy và Firewall client chỉ có thể biết hostname, còn Hệ điều hành của Web Proxy và Firewall client phải có khả năng xác định chính xác domain
name của wpad host name, trước khi nó có thể gửi một truy vấn DNS đến DNS server.
Có nhiều phương pháp có thể giúp Admin liên kết chính xác domain name với wpad,
trước khi truy vấn được gửi đến DNS server Hai phương pháp phổ biến để thực hiện điều này là:
• Dùng DHCP khi tạo DHCP scope, xác nhận primary domain name cho các Clients
• Cấu hình primary domain name trong mục Network identification trên Microsoft
Windows (2000, XP,2003 )dialog box.
Trong phần cấu hình Scope 1, trên DHCP server, chúng ta đã cấu hình một primary
DNS name và xác định tên này (MSFIREWALL.ORG ) cho các DHCP clients thuộc
Internal Network Domain
Các bước sau mộ tả xác lập primary domain name gắn liền với các truy vấn DNS
Lưu ý: Trong Lab này không cần phải thực hiện những bước dưới đây, trên các Clients
Computer của Internal Network Do các Clients đã là thành viên của Active Directory domain trên Internet Network Tuy nhiên, cũng nên xem qua các bước sau để hiểu cách
primary domain name được cấu hình như thế nào trên một Computer không phải là
thành viên của Internal Domain
1 Right click My Computer, click Properties.
2 Trong System Properties dialog box, click Network Identification tab Click
Properties
Trang 133 Trong Changes dialog box, click More.
4 Trong Primary DNS suffix of this computer text box, điền vào domain name chứa
wpad entry Hệ điều hành sẽ gắn tên này vào wpad name trước khi gửi truy vấn đến
DNS server Theo mặc định primary domain name chính là tên của domain (MSFIREWALL.ORG )chứa Computer này Nếu Computer không là thành viên của
Domain thì text box sẽ để trống
Trang 14Chú ý: Change primary DNS suffix when domain embership changes được enabled
theo mặc định Trong ví dụ hiện tại Computer không phải là thành viên của Domain
Cancel tất cả dialog boxes vừa xuất hiện và không cấu hình primary domain name tại
thời điểm này.Cũng lưu ý, nếu trên Internal Network có nhiều Domain, và Clients thuộc
nhiều Domains, chúng ta cần tạo nhiều wpad CNAME alias cho mỗi domains.
Cấu hình trình duyệt- Client Browser để sử dụng Autodiscovery
Trong bước này, chúng ta sẽ cấu hình cho trình duyệt Internet Explorer, dùng chức năng
Autodiscovery Sau khi xác nhận chức năng này, Web browser trên các Clients sẽ làm
việc trực tiếp với Web Proxy service của ISA Server 2000 Firewall với cơ chế tự động khám phá- Autodiscovery
1 Right click trên Internet Explorer icon, click Properties.
2 Trong Internet Properties dialog box, click Connections tab Click LAN Settings
3 Trong Local Area Network (LAN) Settings dialog box, check vào Automatically
detect settings check box Click OK.
Trang 154 Click Apply, click OK trong Internet Properties dialog box.
Bước kế tiếp, cần cấu hình trên ISA Server 2000 Firewall để publish thông tin về
Autodiscovery, hỗ trợ cho Web Proxy và Firewall clients.
Kết luận:
Chúng ta đã đề cập ở các chương trước về việc sử dụng Microsoft Internet Authentication Server, cách thức cài đặt và cấu hình IAS server trên một Domain controller thuộc Internal Network Trong các phần sau, chúng ta sẽ IAS server này, để xác thực các kết nối từ xa của Web và VPN client (incoming connections)
