Cài đặt và cấu hình ISA Server
Firewall 2004 - Chương 1
Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết
yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng
dụng công nghệ thông tin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng
CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ
(Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều
vấn đề. Khởi động từ những năm đầu thập niên 90, với mộtsố ít chuyên gia về
CNTT,những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản
xuất, giaodịch, quản lý còn khá khiêm tốn và chỉ dừnglại ở mức côngcụ, và đôi khi
tôi cònnhậnthấy những công cụ “đắt tiền” nàycòn gây một số cản trở, khôngđem
lại nhữnghiệu quả thiết thực chonhững Tổ chức sử dụngnó.
Và những ai “chộn rộn” nhất thì lại tự hỏi mình “mua cái thiết bị để làm gì
nhĩ ?! nó không sản xuấtra được sản phẩm,và nó cũng chẳnggiúp công việcgiấy
tờ giảm bớt là bao, liệuchúng ta đã tổn haomộtsố tiền vô ích?! ”” . Không đâu xa
những nước láng giềng khuvực nhưThailand,Singapore, những nền kinhtế mạnh
trong khuvực và đang trên đà phát triển mạnhmẽ. Nhận thức được sự ưu việt của
ứng dụngCNTT,và từ rất sớm họ đã đemCNNTáp dụng vào mọi hoạt động,không
chỉ sản xuất, giaodịch, quản lý mà CNTT được mangđến mọi nhà, mọi người
. Và họ cũng học thành thụcnhững kĩ năng để giải quyết vàđiều khiển công
việc rấtsángtạo từ các “vũ khí”tân thời này. Đâuđó trong trích đoạn “Con đường
Phía trước” củaBill Gates có nói đếngiá trị tolớn của thông tin trongthế kỉ 21,
một kỉ nguyên thôngtin đích thực. Thựcthể quý giá “phi vật chất”này, đangdần
trở thành mộtđối tượng đượcsăn lùng,được kiểmsoát gắt gao,và cũng làbệ
phóngcho tất cả nhữngquốc giamuốn phát triển một cách mạnh mẽ, nhanhchóng
và “bền vững”. Cần có những hệ thống mạnhmẽ nhất để kiểm soátthông tin, sáng
tạo thông tinvà đem nhữngthông tin nàyvào ứngdụngmột cáchcó hiệu quả. Thế
giới bướctrongthế kĩ 21 dùngbàn đạp CNTTđể tạo lực bẩy và cũng làđể dẫn
đườngcho các hoạt động,cho mọi người xíchlại gần nhauhơn, khiếncho những
cách biệt ĐịaLý không còn tồn tại, dễ dàng hiểu nhau hơn vàtrao đổivới nhau
những gì có giá trị nhất, đặc biệt nhất.

Ứng dụng công nghệ thông tin một cách cóhiệu quả và “bềnvững”, là tiêu
chí hàng đầu của nhiềuquốc giahiện nay, Việt Nam không là ngoại lệ. Xét trên bình
diện một doanhnghiệp khiứng dụngCNTTvào sản xuất, kinh doanhcũng luôn
mongmuốn có đượcđiều này. Tính hiệu quả là điều bắt buộc, và sự “bền vững”
cũng là tất yếu.Dưới góc nhìn của một chuyên gia về bảo mật hệ thống,khitriển
khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặtchẽ, antoàn, như
vậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanhnghiệp
đó. Vàtất cả chúng ta đều hiểu rằnggiá trị thôngtin của doanhnghiệp làtài sản vô
giá. Khôngchỉ thuần túyvề vật chất, những giá trị khác không thể đo đếm được
như uy tín của họ với khách hàng sẽ ra sao, nếunhững thông tin giaodịch với
khách hàng bị đánh cắp,rồi sauđó bị lợi dụng với nhữngmục đích khác
nhau Hacker,attacker,virus, worm, phishing,những khái niệmnày giờ đây không
còn xalạ, vàthực sự là mối lo ngại hàngđầu của tất cả các hệ thống thông tin (PCs,
Enterprise Networks, Internet,etc ). Và chínhvì vậy, tất cả những hệ thống này
cần trang bị những công cụ đủ mạnh, amhiểucách xử lý để đối phó với những thế
lực đenđáng sợ đó. Ai tạo ra bứctường lửa đủ mạnh này để có thể “thiêu cháy”
mọiý đồ xâm nhập?!Xin thưa rằng trướchết đó là ý thức sử dụngmáytính an
toàncủa tất cả mọi nhânviên trongmột Tổ chức, sự amhiểu tinh tường củacác
SecurityAdmintrong Tổ chức đó,và cuối cùng là những công cụ đắc lực nhất phục
vụ cho “cuộcchiến” này.Đó là các Firewall, từ PersonalFirewall bảo vệ cho từng
Computer cho đến các Enterprise Firewallcó khả năng bảovệ toàn hệ thống
Networkcủa mộtTổ chức. Và Microsoft ISAServer2004 là một Enterprise
Firewallnhư thế ! Mộtsản phẩm tốt và làngười bạn tin cậy để bảo vệ an toàn cho
các hệ thống thôngtin.
CHƯƠNG 1: Hướng dẫn sử dụng
CHƯƠNG 2: Cài đặt Certificate Services
CHƯƠNG 3: Cài đặt và cấu hình Microsoft Internet Authentication
Service
CHƯƠNG 4: Cài đặt và cấu hình Micosoft DHCP và WINS Server Service
CHƯƠNG 5: Cấu hình DNS và DHCP hỗ trợ tính năng Autodiscovery cho

Web Proxy và Firewall Client
CHƯƠNG 6: Cài đặt và cấu hình DNS Server với tính năng Caching-only
trên Perimeter Network
CHƯƠNG 7: Cài đặt ISA Server 2004 trên Windows Server 2003
CHƯƠNG 8: Sao lưu và phục hồi cấu hình Firewall
CHƯƠNG 9: Đơn giản hóa cấu hình Network với các Network
Templates
CHƯƠNG 10: Cấu hình các loại ISA Clients: SecureNAT, Web Proxy và
Firewall Client
CHƯƠNG 11: Cấu hình các chính sách trên Firewall với ISA Server 2004
Access Policy
CHƯƠNG 12: Tiến hành Publish các Service trên Perimeter Network ra
bên ngoài như: Web, Ftp Server
CHƯƠNG 13: Cấu hình Firewall đóng vai trò Filtering SMTP Relay
CHƯƠNG 14: Tiến hành publish Exchange Outlook Web Access, SMTP
Server vàPOP3 Server Sites.
CHƯƠNG 15: Cấu hình VPN Server trên ISA Server 2004
CHƯƠNG 16: Tạo một Site to Site VPN trên các ISA Server 2004
Firewalls
CHƯƠNG 1: Triển khai hạ tầng Network với những Service thiết yếu
Cuốn sách đượctrình bày theo thực tế triển khai ISAServer 2004trongmô
hình Networkcủa một Tổ chức. Nội dungcủa sách gói gọn trongcác vấn đề cấu
hình hệ thốngISA Server2004 trở thànhmột Firewallmạnhmàvẫn đáp ứng được
các yêucầu sử dụng cácService từ xa, phục vụ cho cả các ISA Clients bên trong
truycậpcácService bênngoài(Internet),lẫn các Clientbên ngoài(InternetClients)
cần truy cập các Service bên trong NetworkTổ chức.
Firewallsluônlà một trong các loại thiết bị Networkcấu hình phứctạp
nhất và duytrì hoạt độngcủa nóđể bảo vệ Network cũng gặp khôngít thử thách
cho các Security Admin. Cần có những kiến thức cơ bản về TCP/IP vàcác Network
Services để hiểu rõ một Firewall làmviệc như thế nào. Tuy nhiên cũng không nhất

thiết phải trở thành một chuyên giavề hạ tầng Network (Network Infrastructure)
mớicó thể sử dụng được ISAServer 2004như một NetworkFirewall.
Chươngnày sẽ mô tả các vấn đề sau:
• Giúp bạn hiểucác tính năng có mặt trên ISA Server2004
• Cungcấp nhữnglờikhuyên cụ thể khi dùngtài liệu để cấu hình ISA Server2004
Firewall
• Mô tả chitiết thựchành triển khai ( ISA SERVER 2004 LabConfiguration)
Hiểu các tính năng trên ISA Server 2004
ISA Server2004 được thiết kế để bảo vệ Network,chống các xâm nhập từ
bên ngoài lẫn kiểm soát các truy cậptừ bên trong Nội bộ Network của mộtTổ
chức.ISA Server 2004Firewalllàm điều này thôngqua cơ chế điều khiểnnhững gì
có thể được phép qua Firewall vànhững gìsẽ bị ngăn chặn. Chúngta hìnhdung
đơn giản như sau: Có một quy tắc được áp đặt trên Firewallcho phép thông tin
được truyền qua Firewall, sauđó những thôngtinnày sẽ được “Pass”qua, và
ngược lại nếukhông có bất kì quy tắc nàocho phép những thông tinấy truyềnqua,
những thông tinnày sẽ bị Firewall chặn lại.
ISA Server2004 Firewallchứa nhiều tính năng mà cácSecurityAdmin có
thể dùng để đảm bảo antoàncho việc truy cậpInternet, và cũng bảo đảm an ninh
cho các tài nguyên trongNội bộ Network. Cuốn sách cung cấp chocác Security
Adminhiểu đượcnhững khái niệm tổng quát và dùng những tính năngphổ biến,
đặc thù nhất trênISA Server 2004, thông quanhững bước hướngdẫn cụ thể (Steps
by Steps)
Firewallskhông làm việc trong mộtmôi trường“chân không”,vì đơn giản là
chúng ta triển khaiFirewall để bảo vệ một cái gì đó,có thể là một PC, một Server
hay cả mộthệ thốngNetworkvới nhiều Service được triển khainhư Web, Mail,
Database….
Chúng tasẽ có một hướngdẫn đầyđủ về việc triển khai các Service cần thiết
cho hoạt động Network của một Tổ chức. cách thức càiđặt vàcấu hìnhnhững
Service này như thế nào. Và điều tối quan trọng là Network và các Service phải
được cấu hình đúng cách trước khitriển khaiFirewall.Điềunày giúp chúng ta

tránh được những vấn đề phiền toái nảy sinh khitriển khaiISAServer 2004.
Các Network Services và những tính năngtrên ISA Server2004sẽ được cài
đặt và cấu hình gồm:
• Cài đặt và cấu hình MicrosoftCertificate Services (Service cungcấp các
Chứng từ kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch trên Network)
• Cài đặt và cấu hình MicrosoftInternetAuthenticationServices (RADIUS) Service
xác thựcan toàn cho các truy cập từ xa thông qua các remoteconnections (Dial-up
hoặc VPN)
• Cài đặt và cấu hình MicrosoftDHCPServices (Service cung cấp các xác lập TCP/IP
cho các nodetrên Network)và WINSServices (Servicecung cấp giải pháp truyvấn
NETBIOSname của các Computer trên Network)
• Cấu hìnhcácWPAD entriestrong DNS để hỗ trợ chức năng Autodiscovery(tự
độngkhám phá))và Autoconfiguration (tự động cấu hình) cho Web Proxy và
Firewallclients.Rất thuận lợi cho các ISA Clients (Webvà Firewall clients) trong
một Tổ chức khi họ phải mang Computertừ một Network(có một ISA Server)đến
Networkkhác (cóISA Serverkhác) mà vẫntự động phát hiện và làmviệc được với
Web Proxy Servicevà FirewallService trênISA Servernày .
• Cài đặt MicrosoftDNS servertrênPerimeterNetworkserver(Networkchứa các
Server cung cấp trực tuyến cho các Clients bênngoài, nằm sauFirewall,nhưng
cũng tách biệt vớiLAN)
• Cài đặt ISA Server2004Firewall software
• Backup và phục hồi thông tin cấu hìnhcủa ISA Server 2004 Firewall
• Dùngcác môhình mẫucủa ISA Server 2004( ISA Server 2004Network
Templates) để cấu hình Firewall
• Cấu hìnhcácloại ISA Server 2004clients
• Tạo các chính sách truycập (AccessPolicy) trên ISA Server 2004Firewall
• Publish Web Server trên một Perimeter Network
• DùngISA Server 2004 Firewall đóng vai trò một Spam filtering SMTP relay(trạm
trung chuyển e-mails, có chức năngngăn chặn Spam mails)
• Publish MicrosoftExchange Serverservices(hệ thống Mail và làm việc cộng tác

của Microsoft, tương tự Lotus Notescủa IBM)
• Cấu hìnhISA Server 2004Firewallđóng vaitrò mộtVPN server
• Tạo kết nối VPNtheo kiểu site tosite giữa hai Networks
Trướckhi thực hành cấu hình ISA Server 2004Firewall,phảinhận thức rõ
ràng : Đây là mộthệ thống ngăn chặn các cuộctấn công từ Internetvà một Firewall
với cấu hình lỗi sẽ tạo điều kiện cho các cuộc xâm nhập Network.Với những lý do
này, điều quan trọng nhất các SecurityAdmin quan tâm đó là Làm thế nàođể cấu
hình Firewall đảmbảoan toàn choviệc truycập Internet.
Với cấu hình mặc định củamình ISA Server 2004ngăn chặn tấtcả lưu thông
vào, ra qua Firewall.
Rõ ràng đây là một cấu hình chủ động, antoàn nhất mà Admincó thể yên
tâmngay từ đầu khi vậnhành ISA Server. Và sau đó để đáp ứngcác yếu cầu hợp
pháp truycập các Service khác nhaucủaInternet (vídụ như web,mail, chat,
download, gameonline v.vv ), SecurityAdmin sẽ cấu hình để ISA Server 2004có
thể đáp ứng các yêu cầu được phép trên.
Các Securty Adminluôn được khuyến cáo: Hãy tạo cáccuộc kiểm tra cấu
hình ISA Server 2004trong phòng Lab,trước khi đem các cấu hình này áp dụng
thực tế. Chúng ta sẽ đượchướngdẫn cấu hình ISA Server 2004 Firewallđúngcách,
chínhxác thôngqua giaodiện làm việc rấtgần gũi của ISA Server 2004.Có thể có
những sailầmkhi thực hiện Lab,nhưng các Adminkhôngqua lo lắng vì chắcrằng
các attackers không thể lợi dụngnhững lỗ hỗng này (trừ khi Lab Network được
kết nối với Internet ). TrênLab điều quan trọng nhất là hiểu đúng các thông số đã
cấu hình, cho phép sai phạm và cácAdminrút ra kinh ghiệmtừ chínhnhững
“mistakes” này.
LAB hướng dẫn cấu hình ISA Server 2004 Firewall
Chúng tasẽ dùngmộtNetwork Labđể mô tả những khả năngvà nhữngnét
đặc trưng của ISA Server2004. Các Admin khithực hànhnênxây dựng một Test
Lab tươngtự như mô hình chỉ ra dưới đây (tất cả các thông số sử dụng). Nếucác
SecurityAdminkhông cóđủ các thiết bị thật như Test Labnày, có thể dùng mô
hình giả lập, đến từ các VirtualSoftware như

Microsoft’s Virtual PCsoftware (hoặc VMWare)để tạo mô hìnhLab ảo.
Xem thêmvề VirtualPC tại
Website: />Trongphần này,chúng ta sẽ xemxét:
• Hướngdẫn cấu hình NetworkchoISA Server 2004
• Cài đặt WindowsServer2003 ,và sau đó nâng (dcpromo) Computer này lên
thành một Domaincontroller (máy chủ kiểm soáttoàn hoạt động của Domain)
• Cài đặt ExchangeServer2003 trên Domaincontroller này vàcấu hìnhthành một
Outlook
Web Access Site dùng phương thức xác thực cơ bản (Basicauthentication)
Sơ đồ Networktriển khai ISA Server 2004
Mô hình Network Lab– 7Computers.
Tuy nhiên NetworkLab không yêucầu cả 7 Computers này chạy cùngmột
thời điểm
Điều nàytạo điều kiệndễ dàng cho Labđặc biệt là Labảo.
Mô hình Networkcủa Tổ chức này có một Local Network (Network cục
bộ LAN) và mộtRemote Network. Mỗi Network có một ISA Server 2004chắnphía
trướcđóng vai trò Firewall.Tấtcả cácComputerstrênLocal Networkđều là thành
viên củaDomainMSFirewall.org, và domainnày bao gồm luôn cả ISA Server2004
Firewallcomputer.Tấtcả các Computerscòn lại không là thànhviên của Domain
này.
Trênlab Network,NetworkCard ngoài (External interfaces) của các ISA
Server 2004Firewallscó kết nốicho phéptruy cập Internet.Các Admin nên tạo
các thông số cấu hình giống nhauđể có thể Testcác kếtnối thực sự đến Internet từ
phía Clients nằm sau ISA Server 2004Firewalls.
Nếu chúngta dùng phần mềm giả lập thì lưu ýrằng, chúng ta phải set-upđến
3 VirtualNetworks trên Test Lab. Đó là các Vitual Networks:Domain
Controller nằm trên Internal Network, TRIHOMELAN1 Computer nằm
trên Perimeter Network và REMOTECLIENTvirtual Networkthứ ba.
Lưu ý với Lab ảo: Chắc chắn một điều là trên các VirtualNetworksnày bố trí
các Computers trên các VirtualSwitches khác nhau, để ngăn chặn các thông tin

tràn ngập theo kiểu Ethernetbroadcast traffic, điều này có thể gây nên nhữngkết
quả không mongmuốn trên Labảo
Cài đặt và cấu hình Domain Controller trên Internal Network
Một Computer khác hơnso với ISA Server 2004Firewallcomputer, có quyền
lực quản trị toàn Domain nội bộ đó là Domain Controller. Microsoftxây dựng mô
hình Domain dưới sự kiểm soátcủa ActiveDirectory Service và DomainController
là côngcụ kiểm soátDomainđó. (quản lý tất cả các Clients và Servers cungcấp
Service trong Domainnhư Web, Mail, Databaseservervà kể cảISA Servers)
TrongLab nàychúng ta sẽ cấu hìnhmộtWindowsServer 2003domain
controller, và triển khai luôn các Service như: DNS, WINS, DHCP, RADIUS,
MicrosoftExchange Server 2003 trênchính Domain controller này.
Các giai đoạn tiến hành:
• Cài đặt WindowsServer2003
• Cài đặt và cấu hình DNS service
• Nâng Computer này lên thành Domaincontroller
Cài đặt Windows Server 2003
Tiếnhành cácbước sau trên Computer sẽ đóngvaitrò DomainController
1. Đưađĩa CDcài đặt vàoCD-ROM,khởi dộng lại Computer. Chophépboot từ
CD
2. Chươngtrình Windowssetupbằt đầuload những Files phục vụ cho việccài đặt.
NhấnEnter khimà hìnhWelcome to Setup xuấthiện
3. Đọc những điều khoản về License trên Windows Licensing Agreement , dùng
phím PAGE DOWN để xemhết sauđó nhấn F8 để đồng ývới điều khoản
4. TrênWindows Server 2003, Standard Edition Setup xuất hiện màn hìnhtạo
các phân vùng lôgic (Partition)trênđĩa cứng, trướchết tạo Partition dùngcho việc
cài đặtHệ Điều hành. TrongTest Labnày, toàn bộ đĩa cứngsẽ chỉ làm một
Partition. NhấnENTER.
5. TrênWindows Server 2003, Standard Edition Setup, chọn Format the
partition using the NTFS file system Nhấn ENTER.
6. Chươngtrình WindowsSetuptiến hànhđịnh dạng (format) đĩa cứng, sẽ chờ ít

phút chotiến trình này hoàn thành
7. Computer sẽ tự Restart khitiến trình copy File vào đĩa cứng hoàn thành
8. Computer sẽ restart lại trong giao diện đồ họa (graphic interface mode).
Click Next trên trang Regional and Language Options
9. Trêntrang Personalize Your Software, điền Tên vàTổ chức của Bạn
Ví dụ :
Name: Nis.com.vn
Organization: Network Information Security Vietnam
10. Trên trangProduct Key điềnvào 25 chữ số của Product Key mà bạn có
và click Next.
11. Trên trangLicensing Modes chọn đúng option đượcáp dụngcho version
WindowsServer 2003mà bạn cài đặt. Nếu cài đặt Licenceở chế độ per server
licensing, hãy đưa vào số connections mà bạnđã có License.Click Next.
12. Trên trangComputer Name và Administrator Password điềntên của
Computer trong Computer Name textbox. Theocác bước trong xây dựng Test Lab
này, thì Domain controller/Exchange Server trêncùng Servervà có tên
là EXCHANGE2003BE, tênnày được điềnvào Computer Name text box. Điềntiếp
vào mụcAdministrator password và xácnhậnlại passwordtại mục Confirm
password (ghi nhớ lại passwordadministrator cẩnthận, nếu khôngthì bạn cũng
khôngthể log-onvào Server chocác hoạt động tiếp theo). ClickNext.
13. Trên trangDate and Time Settings xác lập chínhxác Ngày, giờ và múi giờ
Việt Nam(nếu cácbạn ở Việt Nam). Click Next.
14. Trên trangNetworking Settings, chọnCustom settings option.
15. Trên trangNetwork Components, chọn Internet Protocol (TCP/IP) entry
trongComponents và click Properties.
16. TrongInternet Protocol (TCP/IP) Properties dialog box,xác lập các thông số
sau:
IP address: 10.0.0.2.
Subnet mask: 255.255.255.0.
Default gateway: 10.0.0.1 (chú ýDefaultGateway10.0.0.1 này cũng là IP address

của InternalCard trênISA Server).
Preferred DNS server: 10.0.0.2.
17.ClickAdvanced trên Internet Protocol (TCP/IP) Properties dialogbox.
TrongAdvanced TCP/IP Settings dialog box,click WINS tab. Trên WINS tab,
click Add. TrongTCP/IP WINS Server dialogbox, điền 10.0.0.2 và click Add.
18. Click OKtrong Advanced TCP/IP Settings dialogbox.
19. Click OKtrong Internet Protocol (TCP/IP) Properties dialog box.
20. Click Next trên trang Networking Components.
21. Chấp nhận lựa chọnmặc định môi trườngNetworklà Workgroup (chúng ta sẽ
tạo môi trường Domain sau,đưamáy này trở thànhmột Domain controller và
cũng là thành viên của Domain (làmột member server,vì trên Server này còn cài
thêmnhiều ServerServicekhácngoài ActiveDirectory Service).Click Next.
22. Tiến trình cài đặt được tiếp tụcvà khi Finish, Computer sẽ tự khởi độnglại
23. Log-onlần đầu tiênvào WindowsServer2003dùng passwordmàchúng ta đã
tạo chotài khoản Administrator trong quátrình Setup.
24. Xuấthiện đầutiên trên màn hình là trangManage Your Server, bạn nên check
vào Don’t display this page at logon checkboxvàđóng cửasổ Windowlại
Cài đặt và cấu hình DNS
Bướckế tiếp là càiđặt DomainNamingSystem(DNS)server trên chính
Computer này (EXCHANGE2003BE ). Điều này là cần thiết vì Active Directory
Service hoạt động trên Domain Controller, kiểm soát toàn Domain yêu cầu phải có
DNS server servicephục vụ chonhu cầu truy vấn tên -hostname, đăng kí các
record(A, PTR,SRV recordsv.v ). Chúng ta sẽ cài DNSserver và sau đó sẽ nâng vai
trò Computer này lên thành một Domain Controller, và DNS server này sẽ phục vụ
cho toàn Domain.
Tiếnhành cácbước sau để cài đặt DNSserver
1. Click Start, Control Panel. Click Add or Remove Programs.
2. TrongAdd or Remove Programs, click Add/Remove Windows Components
3. TrongWindows Components,xem qua danh sách Components và
click Networking Services entry.Click Details.

4. Checkvào Domain Name System (DNS) checkboxvà click OK.
5. Click Next trong Windows Components.
6. Click Finish trên Completing the Windows Components Wizard.
7. ĐóngAdd or Remove Programs
DNS server đã được cài đặt, Admincầnđưa vào DNSServercác thôngsố cụ
thể phục vụ cho hoạt độngtruy vấn tên,cụ thể là sẽ tạo rahai
vùng Forward và Reverse lookup zones. Tiến hành các bướcsau để cấu hình
DNS server:
1. Click Start và sauđó click Administrative Tools. Click DNS
2. Trongbảnglàm việc của DNS (DNSconsole), mở rộng server
name(EXCHANGE2003BE ), sau đó click trên Reverse Lookup Zones. Right click
trên Reverse LookupZones và click New Zone.
3. Click Next trên Welcome to the New Zone Wizard.
4. TrênZone Type , chọnPrimary zone option và click Next.
5. TrênReverse Lookup Zone Name page,chọn Network ID option và
Enter 10.0.0 vàotext box.Click Next.
6. Chấpnhận chọnlựa mặc định trên Zone File page,và click Next.
7. TrênDynamic Update page, chọn Allow both nonsecure and secure
dynamic updatesoption.Click Next.
8. Click Finish trên Completing the New Zone Wizard page.
Kế tiếp chúng ta tạo Forward lookup zone cho Domain mà Computernày
sẽ là DomainController.
Tiếnhành cácbước sau
1. Rightclick Forward Lookup Zone và click New Zone.
2. Click Next trên Welcome to the New Zone Wizard page.
3. trênZone Type page, chọn Primary zone option vàclick Next.
4. TrênZone Name page, điền tên của forward lookup zone trong Zone
name text box. Trong ví dụ này tên của zone là MSFirewall.org, trùng với têncủa
Domain sẽ tạo sau này. Đưa MSFirewall.org vào text box. Click Next.
5. Chấpnhận các xác lập mặc địnhtrên Zone File pagevà click Next.

6. TrênDynamic Update page, chọn Allow both nonsecure and secure
dynamic updates. Click Next.
7. Click Finish trên Completing the New Zone Wizard page.
8. Mở rộng Forward Lookup Zones và click vào MSFirewall.org zone.
Right click trênMSFirewall.org và Click New Host (A).
9. TrongNew Host dialogbox, điền vào chính xác EXCHANGE2003BE trong
Name (uses parent domain name if blank) textbox. TrongIP address textbox,
điền vào10.0.0.2. Checkvào Create associated pointer (PTR)
record checkbox. Click Add Host. Click OKtrong DNS dialogbox thông báo rằng
(A) Record đã được tạo xong.Click DonetrongNew Host textbox.
10. Rightclick trên MSFirewall.org forward lookup zone và
click Properties. Click Name Servers tab. Click exchange2003be entryvà
click Edit.
11. TrongServer fully qualified domain name (FQDN) textbox, điền vào
tên đầyđủ của Domaincontroller computerlà exchange2003be.MSFirewall.org.
ClickResolve.Sẽ nhận thấy, IP address củaServer xuất hiện trong IP address list.
Click OK.
12. Click Apply và sau đó click OKtrên MSFirewall.org Properties dialog
box.
13. Rightclick trên DNS server name EXCHANGE2003BE ,chọnAll Tasks.
ClickRestart.
14. Close DNS console.
Giờ đây Computernày đã sẵn sàng để nâng vaitròlên ThànhmộtDomain
controller trong Domain MSFirewall.org
Tiếnhành cácbước sau để tạo Domain vànâng servernàythành Domain
Controller đầu tiên của Domain(Primary DomainController)
Cài đặt Primary Domain Controller
1. Click Start và click Run .
2. TrongRun dialogbox,đánh lệnh dcpromo trongOpen text box và click
OK.

3. Click Next trên Welcome to the Active Directory Installation
Wizard page.
4. Click Next trên Operating System Compatibility page.
5. TrênDomain Controller Type page, chọnDomain controller for a new
domain option và click Next.
6. TrênCreate New Domain page,chọn Domain in a new forest optionvà
click Next.
7. TrênNew Domain Name page,điềntên đầy đủ của Domain(Full DNS
name)MSFirewall.org text box và click Next.
8. TrênNetBIOS Domain Name page (NetBIOS namecủa Domainnhằm
supportcho các WindowsOS- như các dòng WindowsNTvà WINDOWS9x đời cũ,
khi các Client này muốn giaodịch vớiDomain),chấpnhận NetBIOSname mặc định
Trongví dụ này là MSFIREWALL. Click Next.
9. Chấp nhận các xác lập mặc địnhtrên Database and Log Folders pagevà
click Next.
10. Trên Shared System Volume page, chấpnhận vị trí lưu trữ mặc địnhvà
click Next.
11. Trên DNS Registration Diagnostics page,chọnI will correct the
problem later by configuring DNS manually (Advanced). Click Next.
12. Trên Permissions page, chọn Permissions compatible only with
Windows 2000 or Windows Server 2003 operating system option.Click Next.
13. Trên Directory Services Restore Mode Administrator Password page
(chế độ phụchồi cho Domain Controller khiDC nàygặp phải sự cố,Khi DCoffline,
vào chế độ troubleshootnày bằng cach1 RestartComputer, chọn F8),điền
vào Restore Mode Password và sauđó Confirm password. (Các Admin không
nên nhầm lẫn Password ở chế độ này với DomainAdministrator Password, điều
khiểnhoạt độngcủa DCs hoặc Domain).ClickNext.
14. Trên Summary page,click Next.
15. Bây giờ làlúc Computer cần Restartđể các thông số vừa cài đặt Active
16. Click Finishtrên Completing the Active Directory Installation

Wizard page, hoàn thành việc cài đặt.
17. Click Restart Now trên Active Directory Installation Wizard page.
18. Log-onvào Domain Controller dùng tàikhoản Administrator sau khiđã
Restart.
Cài đặt và cấu hình Microsoft Exchange trên Domain Controller
Computer đã sẵn sàngcho việc cài đặt Microsoft Exchange. Trong phần này
chúng ta sẽ tiến hành những bướcsau:
• Cài đặt các Service IIS WorldWide Web, SMTP và NNTP services
• Cài đặt Microsoft Exchange Server 2003
• Cấu hìnhOutlook Web Access WebSite
Tiếnhành cácbước sau để cài World Wide Web, SMTP vàNNTP services:
1. Click Start,chọn Control Panel.Click Add or Remove Programs.
2. TrongAdd or Remove Programs, click Add/Remove Windows
Components
3. TrênWindows Components page,chọn Application Server entry
trong Componentspage. Click Details.
4. TrongApplication Server dialog box, checkvàoASP.NET checkbox.
Chọn Internet Information Services (IIS) entryvà click Details.
5. TrongInternet Information Services (IIS) dialogbox, check vào NNTP
Servicecheckbox.Checktiếp SMTP Service checkbox.Click OK.
6. Click OK trong Application Server dialog box.
7. Click Next trên Windows Components page.
8. Click OK vào Insert Disk dialogbox.
9. TrongFiles Needed dialog box, đưa đường dẫn đếnFolderI386 trên CD
cài đặtWindowsServer2003 trongcopy file từ text box. Click OK.
10. Click Finishtrên Completing the Windows Components Wizard page.
11. Close Add or Remove Programs .
Tiếnhành cácbước sau cài Microsoft Exchange:
1. ĐưaExchange Server2003 CD vào CD-ROM,trên autorun page,
click Exchange Deployment Tools linknằm dưới Deployment heading.

2. TrênWelcome to the Exchange Server Deployment Tools page,
click Deploy the first Exchange 2003 server link.
3. TrênDeploy the First Exchange 2003 Server page,click New Exchange
2003 Installation link.
4. TrênNew Exchange 2003 Installation page, kéoxuống cuối
trang.ClickRun Setup nowlink.
5. TrênWelcome to the Microsoft Exchange Installation Wizard page,
click Next.
6. TrênLicense Agreement page,chọn I agree option và click Next.
7. Chấp nhận các xác lập mặc địnhtrên Component Selection page và
click Next.
8. Chọn Create a New Exchange Organization option trên Installation
Type pagevàclickNext.
9. Chấp nhận tên mặc địnhtrong Organization Name text box
trên Organization Namepage, và click Next.
10. Trên Licensing Agreement page, chọn I agree that I have read and
will be bound by the license agreement for this product và click Next.
11. Trên Installation Summary page, click Next.
12. TrongMicrosoft Exchange Installation Wizard dialog box, click OK.
13. Click Finish trên on the Completing the Microsoft Exchange
Wizard page khicài đặthoàn thành.
14. Đóng tất cả cửa sổ đang open.
ExchangeServerđã được cài đặtvà giờ đây Admincóthể tạo
các mailboxes cho Users. Bước kế tiếp là cấu hình Outlook Web Access site và
chỉ dùng phương thức xácthực duynhất làBasic Authentication. Đối với các
quản trị Mail Server thì đây là một cấu hình quantrọng(nhưng tất nhiên không bắt
buộc) khimuốncho phép truy cậptừ xa (remoteaccess) vàoOWA site. Sau đó,
chúng ta sẽ yêu cầu một Website Certificate (Chứngtừ số Website)choOWA site
và publish OWA site dùngquytắc Web Publishing Rule trênISAServer, thông
qua rulenày, sẽ cho phép remote users truy cậpvào OWA site.

Tiếnhành cácbước sau để cấu hìnhOWA sitedùngphươngthứcxác thực
duy nhất Basic authentication:
1. Click Start,chọn Administrative Tools. Click Internet Information
Services (IIS) Manager.
2. TrongInternet Information Services (IIS) Manager console,mở
rộng server name, mở rộng WebSites node và mở Default Web Site.
3. Click trên Public nodevà sau đó right click. Click Properties.
4. TrongPublic Properties dialogbox, click Directory Security tab.
5. TrênDirectory Security tab, click Edit trong khungAuthentication and
access control.
6. TrongAuthentication Methods dialog box, đảm bảo không check vào
(remove)Integrated Windows authentication checkbox.Click OK.
7. Click Apply và click OK.
8. Click trên Exchange nodevà rightclick. Click Properties.
9. TrênExchange Properties dialogbox, click Directory Security tab.
10. Trên Directory Security tab, click Edit trong Authentication and
access control
11. TrongAuthentication Methods dialog box, đảm bảo không check vào
(remove)Integrated Windows authentication checkbox.Click OK.
12. Click Apply,click OK trong Exchange Properties dialog box.
13. Click trên ExchWeb node,sau đó right click. Click Properties.
14. TrongExchWeb Properties dialog box, click Directory Security tab.
15. Trên Directory Security tab, click Edit trong khungAuthentication
and access control
16. TrongAuthentication Methods dialog box, không check(remove)
vàoEnable anonymous access checkbox. Sauđó check vào Basic
authentication (chú ý dùngphương thứcxác thựcnày, password đượcgửi đi
dướidạng clear text) checkbox.Click Yestrong IIS Manager dialog boxvà Admin
nhậnđược thông báo rằng passwordđượcgửi đi hoàn toàn không mã hóa (clear).
TrongDefault domain text box,đưa vào tên Internal Network domain, chính

là MSFIREWALL. Click OK.
17. Click Apply trong ExchWeb Properties dialog box. Click OK
trong InheritanceOverrides dialog box. Click OK trong ExchWeb
Properties dialogbox.
18. Rightclick Default Web Site và click Stop. Rightclick lại Default Web
Site và clickStart.
Kết luận:
Trongsách hướng dẫn cấu hình ISA Server2004 này chúng tađã thảo luận
những mục tiêu và những phương thức, để có thể nắm bắt triển khai và cấu
hình ISA sao cho hiệu quả nhất. Sách hướng dẫn cũngcung cấp cho cácbạn
phươngphápgiải quyết vấn đề theo từng bước cụ thể. Chương một nàytập trung
vào việc xây dựng một cơ sở hạ tầngNetwork (NetworkInfrastructure) theomô
hình Microsoft Active DirectoryDomain trênmáy chủ Winndowsserver2003
Domain Controller,và triển khai các Service khác liênquan đến hạ tầng Network
như WINS, DNS,và các Service gia tăng như Web, Mail Chương kế tiếp trình bày
cách thức cài đặt một Microsoft Certificate Services trênDomain
Controller Computer.