Tải bản đầy đủ (.pdf) (24 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

triển khai cấu hình ISA Server Firewall 2004 phần 2 ppt

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (342.59 KB, 24 trang )

Trang 23 Triển khai ISA Server Firewall 2004


3. Trên Name and Address page của New RADIUS Client wizard, điền vào
Friendly-name của ISA Server 2004 firewall computer trong Friendly name text
box. Đơn giản là tên này được dùng để xác định RADIUS client và không được sử
dụng cho những mục đích hoạt động. Đưa đầy đủ FQDN name (là
EXCHANGE2003BE. MSFIREWALL.ORG) , hoặc IP address của ISA Server 2004
firewall computer trong Client address (IP or DNS) text box.



Trang 24 Triển khai ISA Server Firewall 2004
4. Click Verify. Trong Verify Client dialog box, FQDN-fully qualified domain name
của ISA Server 2004 firewall computer sẽ xuất hiện trong Client text box. Click
Resolve. Nếu RADIUS server có thể giải quyết Tên thì IP address sẽ xuất hiện trong
IP address frame. Nếu RADIUS server không thể giải quyết tên ra IP Address, điều
này lưu ý với Admin rằng: hostname của ISA Server 2004 firewall chưa được tạo
trong DNS server (chưa tạo record cho ISA server). Nếu trường hợp này xảy ra, bạn
có thể đưa 2 cách giải quyết: Tạo A Record cho ISA Server trên DNS server được cài
đặt trên Domain controller, hoặc bạn có thể dùng IP address trên Internal interface
(10.0.0.1) của ISA Server 2004 firewall trong Client address (IP and DNS) text
box thuộc Name or Address page (đã đề cập ở trên). Click OK vào Verify Client
dialog box. Mục đích của các xác lập trong phần này là biến ISA SERVER 2004
Firewall trở thành một RADIUS Client, khi đó giữ RADIUS server và RADIUS Client
mới có thể bắt tay cộng tác.



5. Click Next trên Name and Address page của New RADIUS Client wizard.
6. Trên Additional Information page của wizard, dùng default Client-Vendor


entry, chuẩn của RADIUS. Điền vào một password trong Shared secret text box và
xác nhận lại password này. Password bí mật được chia sẽ (chỉ có RADIUS server và
RADIUS Client- ISA SERVER 2004 firewall biết), và dùng “tín hiệu” này để làm việc
với nhau. Shared Secret chứa ít nhất 8 kí tự (cả hoa lẫn thường, số và cả các kí tự
đặc biệt ). Check vào Request must contain the Message Authenticator
attribute check box. Click Finish.

Trang 25 Triển khai ISA Server Firewall 2004


7. Bây giờ các bạn đã thấy New RADIUS client entry xuất hiện trên console



8. Đóng Internet Authentication Service console.
Việc cấu hình tiếp theo trên ISA Server 2004 Firewall để công nhận đối tác của nó là
RADIUS server, cấu hình sẽ được tiến hành thông qua giao diện quản trị ISA SERVER
Trang 26 Triển khai ISA Server Firewall 2004
2004 Firewall và RADIUS server này sẽ đảm nhiệm vai trò xác thực các yêu cầu từ
Web và VPN client.

Kết luận:
Trong chương này chúng ta đã đề cập đến Microsoft Internet Authentication
Server, cách thức cài đặt và cấu hình một IAS server trên Domain controller thuộc
Internal network domain. Trong các phần kế tiếp của hướng dẫn, chúng ta sẽ dùng
IAS server này để xác thực các yêu cầu từ bên ngoài (incoming requestst của
Web/VPN Clients) truy cập vào Web/VPN server.







































Trang 27 Triển khai ISA Server Firewall 2004
Chương 4: Cài đặt và cấu hình Microsoft DHCP và WINS Server
Services

Windows Internet Name Service (WINS) khi dịch vụ này được triển khai trong
Internal Network Domain, nó sẽ phục vụ các Computer trong Mạng giải quyết để tìm
NetBIOS names lẫn nhau, và một Computer A trong Network này có thể thông qua
WINS server để giải quyết được NetBIOS name của Computer B ở một Network khác
(tất nhiên hệ thống WINS thông thường chỉ được dùng để giải quyết tên Netbios
names trong Mạng nội bộ của tổ chức, tránh nhầm lẫn với cách giải quyết hostname
của DNS server- có khả năng giải quyết tên d
ạng FQDN (www.nis.com.vn) của
Internet hoặc Internal network Domain. Các bạn có thể tham khảo “ XÂY DỰNG HẠ
TẦNG MẠNG TRÊN MICROSOFT WINDOWS SERVER 2003”, sắp được phát hành của
tôi để hiểu rõ hơn về vai trò của một WINS server trong Mạng nội bộ.
Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS clients, sẽ
đăng kí tên của mình (Netbios/Computer names) với WINS server. WINS clients cũng
có thể gửi các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IP
addresses. Nếu trong Mạng nội bộ không có WINS Server, thì Windows clients sẽ
gử
i các message dạng broadcast để tìm Netbios name của Computer muốn giao
tiếp. Tuy nhiên, nếu các Computer này nằm tại một Mạng khác (với Network ID
khác) thí các Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặc
định trên các Router). Như vậy trong mạng nội bộ của một tổ chức, gồm nhiều
Network Segments, thì việc giải quyết cho các Computer từ Network 1 tìm NetBios
name của các Computers ở Network 2,3. Dùng WINS server là giải pháp lý tưởng.

WINS server cũng đặc biệt quan trọng cho các VPN clients. VPN clients không trực
tiếp k
ết nối đến Internal network, và như vậy không thể dùng broadcasts để giải
quyết NetBIOS names của các Computers bên trong Mạng nội bộ. (Trừ khi bạn dùng
Windows Server 2003 và mở chức năng NetBIOS proxy, sẽ hỗ trợ NetBIOS
broadcast, nhưng rất hạn chế). VPN clients dựa vào WINS server để giải quyết
NetBIOS names và sử dụng các thông tin này để tìm kiếm các Computers trong My
Network Places của Internal Network.

Dynamic Host Configuration Protocol (DHCP) được dùng để cung cấp tự động các
thông số liên quan đến IP address (TCP/IP settings) cho DHCP clients. DHCP server
sẽ được cấu hình trên Internal network server và không phải trên chính ISA SERVER
2004 Firewall. Khi chúng ta
đã cấu hình DHCP server trên Internal network, ISA
Server 2004 firewall tự động có thể thuê IP Addresses từ DHCP server và phân bố lại
cho các VPN Clients (các IP addresses này được lấy từ một vùng địa chỉ đặc biệt trên
DHCP server, ví dụ Admin đã tạo sẵn một DHCP scope có tên là “VPN Clients
Network.”, vùng này chứa các IP address và các thông số chỉ cung cấp cho VPN
Clients) Việc điều khiển truy cập (Access controls) và cách thức định tuyến (routing
relationships) cho các VPN Clients này truy nhập Mạng nội bộ có thể được cấu hình
giữa VPN Clients Network và các mạng nội bộ được xác định trong phân vùng LAT
(Local Address Table) do ISA Server 2004 firewall qu
ản lý.

Trang 28 Triển khai ISA Server Firewall 2004
Trong phần này chúng ta sẽ thực hiện việc cài đặt Microsoft WINS và DHCP services.
Sau đó chúng ta sẽ cấu hình một DHCP scope với các thông số hợp lý của DHCP
scope options.

Cài đặt WINS Service


Windows Internet Name Service (WINS) được sử dụng để giải quyết NetBIOS names
ra IP Addresses (đơn giản vì chúng ta đang dùng Mạng TCP/IP, mạng giao tiếp theo
số- IP address, Computer name chỉ là yếu tố phụ, và là thói quen xác lập giao tiếp,
vì tên dễ nhớ hơn số). Trong các mô hình Mạng mới ngày nay (ví dụ Mạng Microsoft
Windows 2000/2003) sử dụng giải pháp tìm tên chính đó là DNS service, WINS
service triển khai thêm là một sự lựa chọn, và hoàn toàn không bắt buộc). Tuy nhiên
nhiều tổ chức muốn dùng My Network Places để có thể xác định các Server trên
Mạng. Chúng ta biết rằng My Network Places hoạt động tìm kiếm các Network
Computer dựa trên dịch vụ Windows Browser. Và Windows Browser service giải
quyết tên dựa trên nền tảng Broadcast ( broadcast-based service), nếu Network
triển khai WINS server Windows Browser trên các Computer sẽ phụ thuộc vào WINS
server để thu thập thông tin về các Computers phân tán khắp các Segment của
Mạng. Ngoài ra, WINS service cũ
ng được yêu cầu triển khai khi các VPN clients
muốn có được danh sách các Computers trong mạng nội bộ. Mục đích cài WINS
server trong hướng dẫn này để hỗ trợ giải quyết NetBIOS name và Windows browser
service cho các VPN clients.

Tiến hành các bước sau để cài WINS:

1. Click Start, Control Panel. Click Add or Remove Programs.
2. Trong Add or Remove Programs, click Add/Remove Windows Components
3. Trên Windows Components page, kéo xuống danh sách Components và chọn
Networking Services entry. Click Details.
4. Trong Network Services dialog box, check vào Windows Internet Name
Service (WINS) check box. Check tiếp vào Dynamic Host Configuration
Protocol (DHCP) check box. Click OK.

Trang 29 Triển khai ISA Server Firewall 2004



5. Click Next trên Windows Components page.
6. Click OK trên Insert Disk dialog box. Trong Files Needed dialog box, đưa đường
dẫn đến I386 folder trong mục Copy files from text box và click OK.
7. Click Finish trên Completing the Windows Components Wizard page.
8. Đóng Add or Remove Programs .

WINS server đã sẵn sàng phục vụ nhu cầu đăng kí NetBIOS name ngay lập tức mà
không cần bất cứ cấu hình thêm nào. ISA Server 2004 firewall, Domain controller, và
các Internal network clients tất cả sẽ được cấu hình như WINS Client và sẽ đăng kí
với WINS server trong mục xác lập TCP/IP của mình (TCP/IP Properties settings)

Cấu hình DHCP Service

Dynamic Host Configuration Protocol (DHCP) được sử dụng để phân chia tự độ
ng các
thông số liên quan đến IP Address cho Internal network clients và VPN clients. Trong
Lab này, mục đích chính của DHCP server là cấp phát các thông số IP address cho
Mạng VPN clients. Lưu ý rằng, trong mô hình Mạng thực tế của các tổ chức, nên cấu
hình các Computer trở thành DHCP clients, không nên yêu cầu một IP address tĩnh.
(tất nhiên có những trường hợp ngoại lệ, ví dụ như dùng IP cố định cho Servers,
hoặc trong một Network có số lượg Computer ít, triển khai thêm DHCP server tạo chi
phí gia tăng đáng kể, làm tăng Total Cost Ownership-TCO )
DHCP server service đã được cài đặt theo những thủ t
ục đưa ra tại chương 1. Bước
kế tiếp, chúng ta sẽ cấu hình một DHCP scope (vùng IP addresses, kèm theo các
thông số tùy chọn- DHCP options). Tất cả những thông số này sẽ được cung cấp cho
các DHCP Clients.


Tiến hành các bước sau để cấu hình một DHCP scope:
Trang 30 Triển khai ISA Server Firewall 2004
1. Click Start, Administrative Tools. Click DHCP.
2. Trên DHCP console, right click trên server name và click Authorize (xác nhận
DHCP server này hoạt động hợp pháp trong Domain, như vậy tất cả các DHCP server
không được Authorize sẽ bị vô hiệu hóa trong việc cung cấp IP addresses)



3. Click nút Refresh .Các bạn sẽ nhận thấy icon của DHCP server chuyển từ Đỏ sang
Xanh lá cây, và DHCP đã hoạt động



4. Right click trên server name, click New Scope.
5. Click Next trên Welcome to the New Scope Wizard page.
6. Trên Scope Name page, đặt tên cho scope trong Name text box và đưa thông tin
mô tả trong Description text box. Trong ví dụ này, chúng ta sẽ đặt tên scope là
scope 1 và không mô tả trong Description. Click Next.
7. Trên IP Address Range page, đưa vào một IP address bắt đầu Start IP address
và một IP Adrress Cuối cùng (End IP address ) trong text boxes. Và đây chính là
Trang 31 Triển khai ISA Server Firewall 2004
vùng địa chỉ IP mà bạn muốn sẵn sàng cung cấp cho DHCP Clients. Trong ví dụ này,
chúng ta sẽ xác lập như sau: Start address là 10.0.0.200 và End address là
10.0.0.219. Vúng này chứa 20 IP Address cho DHCP Clients. Sau đó chúng ta sẽ cấu
hình ISA Server 2004 firewall cho phép các VPN clients thực hiện đồng thời 10 VPN
connections, và vì thế có thể mất tối đa10 trong số 20 IP addresses này cho VPN
Clients. ISA Server 2004 firewall có thể yêu cầu nhiều hơn 10 IP Addresses này từ
DHCP server, nếu thực sự điều đó là cần thiết. Tiếp theo chúng ta sẽ đưa thông số
subnet mask vào text box

Length hoặc Subnet mask. Trong ví dụ ở đây, chúng ta
xác nhận giá trị 24 trong Length text box. Giá trị Subnet mask cũng tự động thay
đổi sau khi bạn đã điền giá trị vào Length.Click Next.



8. Không xác định bất kì exclusions (vùng loại trừ, nhằm mục đích dự trữ cho nhu
cầu dùng IP addresses tương lai, hoặc để tránh cấp phát những IP đang được sử
dụng cố định trên Network cho các thiết bị như Routers, Network Printers ), trên
Add Exclusions page. Click Next.
9. Chấp nhận lượng thời gian cho thuê địa chỉ (lease duration) là 8 ngày tại Lease
Duration page. Click Next.
10. Trên Configure DHCP Options page, chọn Yes, I want to configure these
options now option và click Next.
11. Trên Router (Default Gateway) page, điền vào IP address của internal
interface (10.0.0.1) trên ISA Server 2004 firewall computer trong IP address text
box và click Add. Click Next.

Trang 32 Triển khai ISA Server Firewall 2004


12. Trên Domain Name and DNS Servers page, điền tên Domain của Internal
network trong Parent domain text box. Đây là Domain name được dùng bởi các
DHCP clients, căn cứ vào đây, các Clients này sẽ xác định môi trường Mạng mà mình
đang hoạt động, và thuận lợi cho các Admin sau này, khi cấu hình các thông số như
wpad entry, có chức năng phục vụ cho các Web Proxy và Firewall client tự động phát
hiện, và làm việc với Firewall Service hoặc Web Proxy Service (hai dịch vụ vận hành
trên ISA SERVER 2004) chức năng này gọi là autodiscovery. Trong ví dụ này, các
bạn sẽ đưa vào tên Domain là msfirewall.org trong text box. Trong IP address


text box, điền IP address của DNS server (10.0.0.2) trên Internal network. Chú ý
domain controller cũng là DNS server internal network như đã xác định tại các phần
trước. Click Add. Click Next.

Trang 33 Triển khai ISA Server Firewall 2004


13. Trên WINS Servers page, điền IP address của WINS server (10.0.0.2) và Click
Add
14. Trên Activate Scope page, chọn Yes, I want to activate this scope now
option và click Next.
15. Click Finish trên Completing the New Scope Wizard page.
16. Trong DHCP console, mở rộng Scope 1 node, click vào Scope Options node.
Bạn sẽ thầy danh sách các Options vừa cấu hình.



17. Đóng DHCP console.
Tại thời điểm này DHCP server sẵn sàng phục vụ phân chia các thông số liên quan
đến IP address cho DHCP clients trên Mạng nội bộ,và cả các VPN Clients thuộc VPN
clients network. Tuy nhiên, ISA Server 2004 firewall sẽ chưa cung cấp các thông số
IP này cho VPN Clients khi mà Admin chưa cho phép triển khai dịch vụ VPN (VPN
server) trên Firewall.

Trang 34 Triển khai ISA Server Firewall 2004
Kết luận:
Trong chương này, chúng ta đã thảo luận việc sử dụng Microsoft WINS và DHCP
servers, cài đặt cả hai dịch vụ này lên Domain controller, và cấu hình một DHCP
Scope trên DHCP server. Ở phần sau chúng ta sẽ nói đến cách thức mà các dịch vụ
này sẽ hỗ trợ cho các VPN clients.











































Trang 35 Triển khai ISA Server Firewall 2004
Chương 5: Cấu hình DNS và DHCP để hỗ trợ tính năng
Autodiscovery cho Web Proxy và Firewall Client

Web Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các trình duyệt
Web browsers (như Internet Explorer, Nestcape Navigator…) và ISA Firewall client có
thể tự động khám phá ISA Server 2004 Firewall (IP address). Các Client này sau đó
có thể download các thông tin cấu hình tự động (autoconfiguration information)
từFirewall, sau đó Web Proxy và Firewall client sẽ discover ra address liên lạc với ISA
server.
Tóm lại chức năng WPAD giải quyết cung cấp các thông số tự động cho các Web
browsers. Xác lập mặc định trên Internet Explorer 6.0 là autodiscover Web proxy
client. Khi xác lập này được enabled, Web browser có thể gửi đi một thông điệp
DHCPINFORM message hoặc một truy v
ấn DNS query để tìm địa chỉ của ISA Server
2004, dựa trên những thông tin đã nhận được (download) từ autoconfiguration
information.
Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng Firewall
(detect Firewall) để kết nối ra Internet.

ISA Server 2004 Firewall client cũng có thể dùng wpad entry để tìm ISA Server
2004 firewall và download các thông tin cấu hình này về.
Trong phần này chúng ta sẽ tiến hành
• Cấu hình hỗ trợ DHCP WPAD
• Cấu hình hỗ trợ DNS WPAD
Sau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web Proxy và
Firewall clients sẽ không cần phải cấ
u hình thủ công để có thể ra Internet thông qua
ISA Server 2004 firewall.

Cấu hình hỗ trợ DHCP WPAD

DHCP scope option số 252 có thể được dùng để cấu hình tự động cho Web Proxy
và Firewall clients. Web Proxy hoặc Firewall client phải được cấu hình trở thành DHCP
client, và các Users log-on vào các Clients này phải là thành viên của nhóm Local
administrators group hoặc Power users group (Windows 2000). Trên Windows
XP, thì chỉ cần là thành viên của nhóm Network Configuration Operators group
là có quyền để thực hiện gửi các truy vấn DHCP (DHCPINFORM messages).
Chú ý:
Chi tiết hơn về những hạn chế của việc dùng DHCP phục v
ụ autodiscovery cho
Internet Explorer 6.0, tham khảo hướng dẫn “Automatic Proxy Discovery in Internet
Explorer with DHCP Requires Specific Permissions “ tại


Tiến hành các bước sau tại DHCP server để tạo DHCP option phục vụ cho chức năng
wpad

1. Mở DHCP console từ Administrative Tools menu, right click server name. Click
Set Predefined Options

2. Trong Predefined Options and Values dialog box, click Add.
Trang 36 Triển khai ISA Server Firewall 2004



3. Trong Option Type dialog box, đưa vào các thông tin sau:
Name: wpad
Data type: String
Code: 252
Description: wpad entry
Click OK.



4. Trong khung Value, điền vào địa chỉ URL dẫn đến ISA Server 2000 firewall trong
String text box.
Theo định dạng như sau:
http://ISAServername:AutodiscoveryPort Number/wpad.dat
Trang 37 Triển khai ISA Server Firewall 2004
Mặc định autodiscovery port number là TCP 80. Port 80 này có thể thay đổi thông
qua cấu hình trên ISA SERVER 2004 Chi tiết về cấu hình này sẽ thảo luận sau.
Trong ví dụ hiện tại, điền vào String text box:
:80/wpad.dat
Đảm bảo rằng wpad.dat không dùng những kí tự viết hoa. Về vấn đề này có thể
tham khảo tại "Automatically Detect Settings Does Not Work if You Configure DHCP
Option 252”

Thực ra problem này là do cơ chế nhận dạng case sensitive trên ISA SERVER 2004,
do đó nếu không phải là wpad.dat, mà lại là Wpad.dat, hoặc WPad.dat trong URL,
đều khiến ISA SERVER 2004 phủ nhận.

Click OK.



5. Right click trên Scope Options node và click Configure Options.
6. Trong Scope Options dialog box, kéo xuống danh sách Available Options và
đánh dấu- check vào 252 wpad check box. Click Apply và click OK.

Trang 38 Triển khai ISA Server Firewall 2004


7. 252 wpad entry giờ đây xuất hiện dưới Scope Options.



8. Đóng DHCP console.
Tại thời điểm này một DHCP client được log-on với tài khoản local administrator
(hoặc Power users ) sẽ có thể dùng DHCP wpad để hỗ trợ cho việc tự động khám
phá (automatically discover) ISA Server 2004 firewall và tiếp đó là tự cấu hình cho
chính mình. Tuy nhiên, ISA Server 2004 firewall phải được cấu hình để hỗ trợ để
publish các thông tin của mình phục vụ cho autodiscovery information. Chúng ta sẽ
bàn đến vấn đề này tại các chương sau

Cấu hình h
ỗ trợ DNS WPAD

Trang 39 Triển khai ISA Server Firewall 2004
Phương pháp khác để phân phối thông tin autodiscovery cho Web Proxy và Firewall
clients là dùng DNS. Admin có thể tạo một wpad alias entry trong DNS server và
cho phép các Internet Browser trên Clients sử dụng thông tin này để cấu hình tự

động cho chính nó. Tôi muốn nhấn mạnh ở đây là chính trình duyệt- Browser sẽ làm
việc này, tương phản với phương pháp dùng DHCP mà chúng ta đã gặp trước đó
(User log-on phải là thành viên của những Group đặc biệt trong Windows operating
system).
Phương thức giải quyết Tên (Name resolution), là yếu tố chủ chốt trong phương pháp
này củ
a Web Proxy và Firewall client để autodiscovery có thể làm việc chính xác.
Trong trường hợp này Hệ điều hành Clients phải có khả năng tìm FQDN name của
wpad alias trên DNS server. Ở đây Web Proxy và Firewall client chỉ cần biết rằng nó
có khả năng giải quyết tên wpad. Không cần phải nằm trong một Domain cụ thể nào
mới có thể giải quyết wpad name. Chúng ta sẽ đề cập đến vấn đề này chi tiết hơn ở
phần sau
Chú ý: Ngược lạ
i với phương pháp dùng DHCP để cấp thông tin tự động đến Web
Proxy và Firewall clients
Chúng ta sẽ không có lựa chọn dùng port number để publish autodiscovery
information khi sử dụng phương pháp DNS . Bạn phải publish thông tin tự động
này trên TCP Port 80. Tiến hành các bước sau để cấu hình DNS hỗ trợ Web Proxy và
Firewall client tự động khám phá ISA Server 2004 firewall:
• Tạo wpad entry trong DNS
• Cấu hình Clientsử dụng tên đầy đủ- fully qualified của wpad alias
• Cấu hình trình duyệt- Client browser sử dụng autodiscovery

Tạo Wpad entry trong DNS

Tr
ước khi tạo wpad alias entry trong DNS. Alias này(cón được biết dưới tên là
CNAME record) phải trỏ đến một (A) Host record đã được tạo cho ISA Server 2004
firewall trên DNS server. (A) Host record trên DNS, giúp giải quyết hostname (ví dụ
isalocal.msfirewall.org ) của ISA Server 2004 firewall đến Internal IP address của

ISA firewall.
Cần tạo (A) Host record trước khi chúng ta CNAME record. Nếu DNS server cho
phép các name records được đăng kí tự động thì hostname của ISA Server 2004
firewall và IP address của nó sẽ được cập nhật tự động vào DNS và là một (A) Host
record. Còn nếu DNS server không cho phép automatic registration, thì cần phải tạo
(A) Host record cho ISA Server 2004 firewall.
Trong ví dụ này ISA Server 2004 firewall đã đăng kí tự động với DNS, do Internal
interface trên ISA Server 2004 firewall được cấu hình để thực hiện việc này, và dĩ
nhiên DNS server cũng được cấu hình để chấp nhận đăng kí động Host record này
(unsecured dynamic registrations)

Tiến hành các bước sau trên DNS server (xin nhắc lại: cũng là domain
controller) của Internal network:

Trang 40 Triển khai ISA Server Firewall 2004
1. Click Start, Administrative Tools. Click DNS entry. Trong DNS management
console, right click trên Forward lookup zone của Domain và click New Alias
(CNAME).
2. Trong New Resource Record dialog box, điền vào wpad trong Alias name
(uses parent domain if left blank) text box. Click Browse.



3. Trong Browse dialog box, double click trên server name trong Records list.
Trang 41 Triển khai ISA Server Firewall 2004


4. Trong Browse dialog box, double click trên Forward Lookup Zone entry trong
khung Records .




5. Trong Browse dialog box, double click trên tên của Forward lookup zone trong
khung Records.

Trang 42 Triển khai ISA Server Firewall 2004


6. Trong Browse dialog box, chọn tên của ISA Server 2000 firewall trong khung
Records. Click OK.



7. Click OK trong Resource Record dialog box.

Trang 43 Triển khai ISA Server Firewall 2004


8. CNAME (alias) entry sẽ xuất hiện DNS management console.



9. Đóng DNS Management console.

Cấu hình ISA Client để dùng Fully Qualified wpad Alias

Trang 44 Triển khai ISA Server Firewall 2004
Web Proxy và Firewall client cần giải quyết tên của wpad. Các cấu hình của Web
Proxy và Firewall client không thể giúp các Client này có được thông tin của wpad
alias. Hệ điều hành của Web Proxy và Firewall client phải giải quyết được vấn đề này

cho Web Proxy và Firewall client.
Các truy vấn DNS phải ở dạng tên đầy đủ- fully qualified, trước khi các truy vấn này
được gửi đến DNS server. Một yêu cầu dạng fully qualified bao gồm một
hostname và một domain name. Web Proxy và Firewall client chỉ có thể biết
hostname, còn Hệ đi
ều hành của Web Proxy và Firewall client phải có khả năng xác
định chính xác domain name của wpad host name, trước khi nó có thể gửi một
truy vấn DNS đến DNS server.
Có nhiều phương pháp có thể giúp Admin liên kết chính xác domain name với
wpad, trước khi truy vấn được gửi đến DNS server. Hai phương pháp phổ biến để
thực hiện điều này là:
• Dùng DHCP khi tạo DHCP scope, xác nhận primary domain name cho các Clients
• Cấu hình primary domain name trong mục Network identification trên
Microsoft Windows (2000, XP,2003 )
dialog box.
Trong phần cấu hình Scope 1, trên DHCP server, chúng ta
đã cấu hình một primary
DNS name và xác định tên này (MSFIREWALL.ORG ) cho các DHCP clients thuộc
Internal Network Domain.

Các bước sau mô tả xác lập primary domain name gắn liền với các truy vấn DNS
Lưu ý: Trong Lab này không cần phải thực hiện những bước dưới đây, trên các
Clients Computer của Internal Network. Do các Clients đã là thành viên của Active
Directory domain trên Internet network. Tuy nhiên, cũng nên xem qua các bước sau
để hiểu cách primary domain name được cấu hình như thế nào trên một Computer
không phải là thành viên của Internal Domain
1. Right click My Computer, click Properties.
2. Trong System Properties dialog box, click Network Identification tab. Click
Properties .




3. Trong Changes dialog box, click More.

Trang 45 Triển khai ISA Server Firewall 2004


4. Trong Primary DNS suffix of this computer text box, điền vào domain name
chứa wpad entry. Hệ điều hành sẽ gắn tên này vào wpad name trước khi gửi truy
vấn đến DNS server. Theo mặc định primary domain name chính là tên của
domain (MSFIREWALL.ORG )chứa Computer này. Nếu Computer không là thành
viên của Domain thì text box sẽ để trống.



Chú ý: Change primary DNS suffix when domain embership changes được enabled
theo mặc định. Trong ví dụ hiện tại Computer không phải là thành viên của Domain.
Cancel tất cả dialog boxes vừa xuất hiện và không cấu hình primary domain name
tại thời điểm này.Cũng lưu ý, nếu trên Internal Network có nhiều Domain, và Clients
thuộc nhiều Domains, chúng ta cần tạo nhiều wpad CNAME alias cho mỗi domains.
Trang 46 Triển khai ISA Server Firewall 2004

Cấu hình trình duyệt- Client Browser để sử dụng Autodiscovery

Trong bước này, chúng ta sẽ cấu hình cho trình duyệt Internet Explorer, dùng chức
năng autodiscovery. Sau khi xác nhận chức năng này, Web browser trên các
Clients sẽ làm việc trực tiếp với Web Proxy service của ISA Server 2000 firewall với
cơ chế tự động khám phá- autodiscovery
1. Right click trên Internet Explorer icon, click Properties.
2. Trong Internet Properties dialog box, click Connections tab. Click LAN

Settings
3. Trong Local Area Network (LAN) Settings dialog box, check vào
Automatically detect settings check box. Click OK.



4. Click Apply, click OK trong Internet Properties dialog box.

Bước kế tiếp, cần cấu hình trên ISA Server 2000 firewall để publish thông tin về
autodiscovery, hỗ trợ cho Web Proxy và Firewall clients.
Kết luận:
Chúng ta đã đề cập ở các chương trước về việc sử dụng Microsoft Internet
Authentication Server, cách thức cài đặt và cấu hình IAS server trên một Domain
controller thuộc Internal network. Trong các phần sau, chúng ta sẽ IAS server này,
để xác thực các kết nối từ xa của Web và VPN client (incoming connections).





Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×