Tài liệu Part 38 - ISA Server - Server Publishing docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.9 MB, 16 trang )
“Chuyên trang dành cho kỹ thuật viên tin học”
CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT
Part 38 - ISA Server - Server Publishing
Ở bài Access Rule chúng ta đã tìm hiểu về cách tạo các Rule Allow & Deny để các máy trong Internal Network có thể truy cập được Internet
hay nói đúng hơn chúng ta chỉ tạo các Rule Outbound mà thôi. Trong bài này chúng ta sẽ tìm hiểu cách thức để mở các Port sao cho các máy từ
External Network có thể truy cập vào mạng chúng ta công việc này còn gọi là Server Publishing.
Hay hiểu một cách đơn giản hơn là trước kia thay vì để người dùng Internet truy cập vào mạng chúng ta thông qua NAT thì với bài này chúng ta
cũng làm công việc tương tự nhưng trong môi trường có ISA Server và DC Server.
Giả sử mạng của tôi như sau:
Subnet 172.16.2.0/24
ISA Server: IP=172.16.2.1
DC Server, DNS Server: IP=172.16.2.2 có Domain Name là gccom.net
Web Server: IP=172.16.2.3
Mail Server: IP=172.16.2.4
Khi đó các máy trong Internal Network khi truy vấn domain gccom.net sẽ truy cập thẳng đến máy có IP là 172.16.2.2 nhờ DNS Server của hệ
thống phân giải. Và hiển nhiên Domain gccom.net này chỉ có tác dụng trong mạng nội bộ mà thôi.
Sau một thời gian hoạt động công ty tôi tiến hành mua Domain gccom.net từ nhà cung cấp dịch vụ Domain và được cấp cho một IP Public (trên
thực tế ta cũng phải mua IP này) là 203.114.98.108.
Như vậy các máy trong mạng Internal Network khi truy vấn các dịch vụ Web, Mail của Domain gccom.net sẽ nhờ DNS Server của hệ thống
phân giải cho ra IP tương ứng là 172.16.2.3 , 172.16.2.4
Trong khi đó các máy từ External Network khi truy vấn các dịch vụ Web, Mail của Domain gccom.net sẽ nhờ DNS Server của nhà cung cấp dịch
vụ ISP phân giải và cho ra duy nhất một IP là 203.114.98.108
Như vậy yêu cầu đặt ra làm sao để các máy từ External Network truy cập vào mạng chúng ta thông qua IP Public sẽ truy cập vào các máy chạy
các dịch vụ tương ứng.
Để làm được điều này đòi hỏi tại mạng chúng ta phải xây dựng thêm một DNS Server khác có tác dụng giải đáp các yêu cầu từ bên ngoài và dẫn dắt
các yêu cầu này vào trong DNS Server nội bộ, máy DNS Server này còn gọi là External DNS Server.
Để cho đơn giản trong bài tôi sẽ gom các dịch vụ này lại với nhau và chúng ta có sơ đồ như sau trong đó:
1 of 16
- PC01 vừa là ISA Server vừa là External DNS. Trên thực tế vì lý do bảo mật ta phải tách rời 2 dịch vụ này ra làm 2 máy. Máy ISA Server đã Join
vào domain gccom.net
- PC02 bao gồm các dịch vụ Exchange Server, DC Server, DNS Server, Web Server, CA Server... với Domain là gccom.net
- PC03 là một máy bất kỳ nằm ngoài Internet
- Mạng 192.168.1.0/24 là mạng giả lập Internet
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02 PC03
Name isa.gccom.net server.gccom.net client
Card Lan
IP Address
192.168.1.2
192.168.1.3
Subnet Mask
255.255.255.0
255.255.255.0
Default
gateway
192.168.1.1
192.168.1.1
Preferred DNS
192.168.1.2
Card Cross
IP Address
172.16.2.1 172.16.2.2
Subnet Mask
255.255.255.0 255.255.255.0
Default
gateway
172.16.2.1
Preferred DNS
172.16.2.2 127.0.0.1
Card Lan: nối gián tiếp 2 máy PC01 & PC03 với nhau thông qua Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
Như vậy với mô hình này IP 192.168.1.2 chính là IP giả lập của IP Public 203.114.98.108 mà ta mua từ nhà cung cấp dịch vụ
Bây giờ ta tiến hành đi vào chi tiết bao gồm các bước:
1) Cấu hình cho DNS Server
2) Cấu hình cho máy External DNS Server
3) Cấu hình External DNS trên ISA Server
4) Xin Certificate cho máy Web Server
5) Xin Certificate cho máy ISA Server
6) Publish các dịch vụ HTTP, HTTPS, FTP, SMTP, POP3, OWA...
Đầu tiên ta cấu hình cho DNS Server nội bộ trước tại máy Exchange Server (PC02) bật DNS lên. Vì máy EX được nối trực tiếp với ISA Server
thông qua mạng 172.16.2.0/24 nên nếu trong này còn tồn tại các Subnet khác thì bạn tiến hành xóa chúng đi.
Trong hình DNS còn tồn tại các Host (A) của mạng 192.168.1.0/24 nên tôi phải xóa chúng đi.
2 of 16
Nhấp phải vào Reverse Lookup Zones chọn New Zone
Giữ nguyên giá trị mặc định Primary Zone
Chọn To all DNS Servers in the Active Directory domain gccom.net
3 of 16
Nhập nguyên Subnet của mạng Internal Network là 172.16.2.0/24
Chọn Allow only secure dynamic updates
Màn hình sau khi hoàn tất
4 of 16
Ra Command DOS nhập ipconfig registerdns để cập nhật động Pointer cho DNS
Màn hình sau khi Refresh
Từ máy ISA Server (PC01) đăng nhập vào quyền Administrator của Domain gccom.net
Trở lại máy Exchange Server nhấp vào gccom.net trong DNS sẽ thấy xuất hiện thêm Host (A) của máy ISA
Nhấp chọn 172.16.2.x Subnet sẽ thấy các Pointer cũng được tự động cập nhật
5 of 16
Trở lại gccom.net tạo các Alias là mail và www
Vì ngay chính máy DNS Server này cũng chính là máy chạy dịch vụ Mail Server nên trong này tôi tạo luôn MX Record (Xem lại bài DNS Server)
Đến đây ta đã hoàn thành xong việc cấu hình DNS cho hệ thống mạng nội bộ. Như vậy bất kỳ máy nào trong Internal Network truy vấn các dịch
vụ (Web, Mail...) của Domain gccom.net sẽ được chính máy DNS này phân giải về các máy chạy các dịch vụ tương ứng trong cùng Internal
Network
Bây giờ ta sẽ cấu hình tại máy External DNS tuy nhiên vì trong bài này máy cài ISA Server cũng chính là máy mà ta giả lập làm External DNS
nên tại máy ISA Server (PC01) bạn cài thêm dịch vụ DNS vào.
Như vậy đến lúc này trong hệ thống mạng chúng ta có đến 2 máy cài dịch vụ DNS trong đó:
- DNS Server được cài lên máy PC02 thuộc Internal Network
- DNS Server được cài lên máy PC01 thuộc Local Host và được gọi là External DNS
Tại máy ISA Server bật DNS lên nhấp phải vào Forward Lookup Zones chọn New Zones
Giữ nguyên giá trị mặc định Primary Zone
6 of 16
