Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com SECURE SERVER PUBLISHING I GIỚI THIỆU: Bài Lab dùng máy: - ISA server (PC lẻ) : Bản ghost P1 - DC (PC chẵn) : Bản ghost P3_EX1 - Client : Bản ghost P4 Bài Lab gồm nội dung chính: Chuẩn bị hệ thống Publish DNS server Publish Secure Web server Publish Secure Outlook Web Access II THỰC HIỆN: Qui ước: P: số phòng X: số máy ISA (PC lẻ) Y: số máy DC (PC chẵn) Z: số máy Client Chú ý: Điều chỉnh lại IP máy theo bảng sau: INTERFACE PC ISA DC ISA Thông số LAN CROSS IP / S.M Default Gateway Preferred DNS server IP / S.M Default Gateway Preferred DNS server IP / S.M Default Gateway Preferred DNS server 192.168.P.X / 24 192.168.P.200 - 172.16.X.1 / 24 172.16.X.2 172.16.X.2 / 24 172.16.X.1 172.16.X.2 Disable 192.168.P.Z / 24 192.168.P.200 192.168.P.X Disable Chuẩn bị hệ thống: Tương tự phần Server Publishing Publish DNS Server: Tương tự phần Server Publishing B1 Xây dựng External DNS server (thực máy ISA) - Cài service DNS - Điều chỉnh để DNS service lắng nghe interface CROSS - Tạo host: www.domY.com, IP 192.168.P.X Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 45 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B2 Tạo rule Publish DNS (thực máy ISA) Publish Secure Web Server: B1 Tạo alias www.domY.com (thực máy DC) B2 Xây dựng trang web default (thực máy DC) B3 Xây dựng Certification Authority Server: Cài Enterprise Root CA Common name: CA DomY (thực máy DC, tham khảo Lab 70-299) Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 46 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B4 Xin certificate cho Web server (thực máy DC) - Start  Programs > Administrative Tools  Internet Information Services - Trong cửa sổ Internet Information Services  Click phải Default Web Site  Properties Màn hình Welcome  Next Hộp thoại Server Certificate  chọn Create a new certificate  Next Hộp thoại Delayed or Immediate Request  chọn Send the request immediately…  Next - Trong hộp thoại Default Web Site Properties  tab Directory Security  Server Certificate - - - Hộp thoại Name and Security Settings  giữ nguyên thông số mặc định  Next Hộp thoại Organization Information  nhập Organization name Organization unit name  Next - Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 47 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com - Hộp thoại Your Site’s Common Name  nhập Common Name: www.domY.com - Hộp thoại Geographical Information  chọn Country/Region nhập thông tin City/Locality  Next Hộp thoại SSL Port  giữ nguyên thông số port 443 mặc định  Next Hộp thoại Choose a Certification Authority  giữ nguyên thông số mặc định  Next Hộp thoại Certification Request Submission  Next  Finish - B5 Kiểm tra hoạt động trang secure web default (thực máy DC): Trong chương trình Internet Explorer, nhập địa chỉ: HTTPS://www.domY.com B6 Share certificate root CA (thực máy DC): - Trên ổ đĩa G, tạo thư mục SharedCert - Share thư mục SharedCert - Copy file certtificate Enterprise root CA từ thư mục gốc ổ đĩa G vào thư mục SharedCert B7 Import certificate Enterprise root CA vào Trusted root CA ISA server (thực ISA server) - Map thư mục SharedCert thành ổ đĩa Z ISA server - Start  Run  mmc Trong console1  Add snap-in “Certificate” > chọn “Computer account” (local computer) Console1  Trusted Root Certification Authority  Click phải Certificates  All tasks  Import Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 48 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com - Hộp thoại File to Import  Browse ổ đĩa Z  chọn certificate Enterprise root CA  Next  Next  OK B8 Điều chỉnh system rule để ISA server truy cập trang web domY.com - Trong cửa sổ ISA server Management  Click phải lên Firewall Policy  Edit System Policy - - Hộp thoại System Policy Editor  khung Configuration Groups  chọn Allow Sites  chọn tab To  chọn System Policy Allow Sites  Edit Hộp thoại System Policy Allow Sites  New  Nhập vào giá trị: “ *.domY.com ”  OK OK Trong cửa sổ ISA server Management  Apply  OK Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 49 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B9 Xin certificate cho ISA server (thực máy ISA) - Khai báo http://www.domY.com vào Trusted Sites: Trong chương trình Intenet Explorer  menu Tool  Internet Options  tab Securuty  chọn Trusted Sites  Sites  khung “Add this Web site to the zone” nhập: http:// www.domY.com  Add  Close  OK - Trong chương trình Intenet Explorer  nhập URL: http://www.domY.com/CERTSRV  Request a certificate  advanced certificate request  Create and submit a request to this CA  Khai báo thơng số: • Certificate template: Web Server • Name: www.domY.com • Check “Store certificate in the local computer certificate store” - Submit Install certificate Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 50 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B10 Tạo Secure Web Listener (trên máy ISA) - - Hộp thoại Welcome  Đặt tên: “HTTPS Listener”  Next Hộp thoại IP Addresses  đánh dấu chọn External network Next Hộp thoại Port Specification  Bỏ dấu chọn Enable HTTP port 80  Chọn Enable SLL port 443  Select - Hộp thoại Select Certificate  chọn certificate www.domY.com  OK - Quay Hộp thoại Port Specification  Next - Hộp thoại Completing…  Finish  Cửa sổ ISA Server Management  Apply  OK Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 51 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B11 Tạo rule publish secure web - Hộp thoại Welcome  Đặt tên: “Publish Secure Web”  Next Hộp thoại Publishing Mode  chọn SSL Bridging  Next - Hộp thoại Select Rule Action  chọn Allow  Next - Hộp thoại Bridging Mode  chọn “Secure connection to clients and Web server” - Hộp thoại Define Website to Publish  nhập Computername “www.domY.com”  Next - Hộp thoại Publish Name Details  Nhập Public Name: “www.domY.com”  Next Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 52 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com - Hộp thoại Select web listener  chọn HTTPS Listener  Next - Hộp thoại User sets  giữ nguyên set “All Users”  Next Hộp thoại Completing the New SSL Web Publishing Rule Wizard  Finish Trên cửa sổ ISA Server Management  Apply  OK B12 Kiểm tra hoạt động (thực máy Client): Trong chương trình Internet Explorer, nhập URL: HTTPS://WWW.DOMY.COM  Yes Publish Secure Outlook Web Access: B1 Bổ sung liệu External DNS server (thực máy ISA): Tạo host: smail.domY.com IP 192.168.P.X Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 53 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B2 Bổ sung liệu Internal DNS server (thực máy DC): Tạo alias: smail.domY.com host pcY.domY.com B3 Xin certificate cho Exchange mail server (thực máy DC): • Remove certificate cũ: - Start  Programs > Administrative Tools  Internet Information Services - Trong cửa sổ Internet Information Services  Click phải Default Web Site  Properties - Trong hộp thoại Default Web Site Properties  tab Directory Security  Server Certificate - Màn hình Welcome  Next - Hộp thoại Server Certificate  chọn Remove the current certificate  Next  Finish • Xin certificate: - Trong hộp thoại Default Web Site Properties  tab Directory Security  Server Certificate - Màn hình Welcome  Next - Hộp thoại Server Certificate  chọn Create a new certificate  Next - Hộp thoại Delayed or Immediate Request  chọn Send the request immediately…  Next - - Hộp thoại Organization Information  nhập Organization name Organization unit name  Next Hộp thoại Your Site’s Common Name  nhập Common Name: smail.domY.com Hộp thoại Name and Security Settings  giữ nguyên thông số mặc định  Next Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 54 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com - Hộp thoại Geographical Information  chọn Country/Region nhập thông tin City/Locality  Next Hộp thoại SSL Port  giữ nguyên thông số port 443 mặc định  Next Hộp thoại Choose a Certification Authority  giữ nguyên thông số mặc định  Next Hộp thoại Certification Request Submission  Next  Finish B4 Cấu hình virtual directory Exchange server: • - Start  Programs > Administrative Tools  Internet Information Services - Trong cửa sổ Internet Information Services  Web Sites  Default Web Site Exchange virtual directory: - Hộp thoại Exchange Properties  tab Directory - Click phải vào Exchange  Security  mục Secure Communications  Edit Properties - • • Hộp thoại Secure Communications  check vào option Require Secure Channel (SSL)  OK  OK ExchWeb virtual directory: - Click phải vào ExchWeb  Properties - Hộp thoại ExchWeb Properties  tab Directory Security  mục Secure Communications  Edit - Hộp thoại Secure Communications  check vào option Require Secure Channel (SSL) Public virtual directory: - Click phải vào Public  Properties - Hộp thoại Public Properties  tab Directory Security  mục Secure Communications  Edit - Hộp thoại Secure Communications  check vào option Require Secure Channel (SSL) Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 55 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B5 Xin certificate cho ISA server (thực máy ISA):Trong chương trình Intenet Explorer  nhập URL: http://pcY.domY.com/CERTSRV  Request a certificate  advanced certificate request  Create and submit a request to this CA  Khai báo thơng số: • Certificate template: Web Server • Name: smail.domY.com • Check “Store certificate in the local computer certificate store” - Submit Install certificate Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 56 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B6 Điều chỉnh HTTPS Listener - Trên cửa sổ ISA Server Management  Properties HTTPS Listener - Hộp thoại HTTPS Listener Properties  tab Preferences  Select - Hộp thoại Select Certificate  chọn certificate Issued To smail.domY.com  OK  OK - Trên cửa sổ ISA Server Management  Apply  OK B7 Tạo rule publish Secure Outlook Web Access (thực máy ISA) - Hộp thoại Welcome  Đặt tên: “Publish Secure OWA”  Next Hộp thoại Select Access Type  chọn Web client access: Outlook Web Access (OWA), Outlook Mobile…  Next Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 57 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com - Hộp thoại Select Service  chọn Outlook Web Access  Next Hộp thoại Bridging Mode chọn Secure connections to clients and mail server  Next - Hộp thoại Specify the Web Mail Server  nhập vào smail.domY.com  Next - Hộp thoại Select Web Listener  chọn HTTPS Listener  Next - Hộp thoại User Sets  Giữ nguyên thông số mặc định All Users  Next Hộp thoại Completing the New Mail Server Publishing Rule Wizard  Finish - - - - Hộp thoại Public Name Details  Nhập public name smail.domY.com  Next Để user gửi mail ngoài, tạo thêm 02 access rule: Rule Name : “DNS Outbound” Rule Name Action : Allow Action Protocol : DNS Protocol Rule source : Internal Rule source Rule destination : External Rule destination User sets : All Users User sets : “SMTP Outbound” : Allow : SMTP : Internal : External : All Users Trên cửa sổ ISA Server Management  Apply  OK Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 58 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B8 Kiểm tra hoạt động (thực máy Client): Dùng chương trình Internet Explorer truy cập địa HTTPS://smail.domY.com/exchange Gửi mail cho Administrator@domY.com để kiểm tra Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 59