ISA Server (Phần VI)
Trang 1 trong tổng số 1 trang
ISA Server (Phần VI)
admin 3/6/2010, 11:46 pm
Bài viết liên quan: ISA Server ( Phần V)/ISA Server ( Phần VII)
Ở bài Access Rule chúng ta đã tìm hiểu về cách tạo các Rule Allow & Deny để các máy trong Internal Network có thể truy cập được Internet hay nói đúng hơn chúng ta chỉ tạo các Rule Outbound mà thôi. Trong bài này chúng ta sẽ tìm hiểu cách thức để mở các Port sao cho các máy từ External Network có thể truy cập vào mạng chúng ta công việc này còn gọi là Server Publishing.
Hay hiểu một cách đơn giản hơn là trước kia thay vì để người dùng Internet truy cập vào mạng chúng ta thông qua NAT thì với bài này chúng ta cũng làm công việc tương tự nhưng trong môi trường có ISA Server và DC Server.
Giả sử mạng của tôi như sau:
Subnet 172.16.2.0/24
ISA Server: IP=172.16.2.1
DC Server, DNS Server: IP=172.16.2.2 có Domain Name là gccom.net
Web Server: IP=172.16.2.3
Mail Server: IP=172.16.2.4
Khi đó các máy trong Internal Network khi truy vấn domain gccom.net sẽ truy cập thẳng đến máy có IP là 172.16.2.2 nhờ DNS Server của hệ thống phân giải. Và hiển nhiên Domain gccom.net này chỉ có tác dụng trong mạng nội bộ mà thôi.
Sau một thời gian hoạt động công ty tôi tiến hành mua Domain gccom.net từ nhà cung cấp dịch vụ Domain và được cấp cho một IP Public (trên thực tế ta cũng phải mua IP này) là 203.114.98.108.
Như vậy các máy trong mạng Internal Network khi truy vấn các dịch vụ Web, Mail của Domain gccom.net sẽ nhờ DNS Server của hệ thống phân giải cho ra IP tương ứng là 172.16.2.3 , 172.16.2.4
Trong khi đó các máy từ External Network khi truy vấn các dịch vụ Web, Mail của Domain gccom.net sẽ nhờ DNS Server của nhà cung cấp dịch vụ ISP phân giải và cho ra duy nhất một IP là 203.114.98.108
Như vậy yêu cầu đặt ra làm sao để các máy từ External Network truy cập vào mạng chúng ta thông qua IP Public sẽ truy cập vào các máy chạy các dịch vụ tương ứng.
Để làm được điều này đòi hỏi tại mạng chúng ta phải xây dựng thêm một DNS Server khác có tác dụng giải đáp các yêu cầu từ bên ngoài và dẫn dắt các yêu cầu này vào trong DNS Server nội bộ, máy DNS Server này còn gọi là External DNS Server.
Để cho đơn giản trong bài tôi sẽ gom các dịch vụ này lại với nhau và chúng ta có sơ đồ như sau trong đó:
- PC01 vừa là ISA Server vừa là External DNS. Trên thực tế vì lý do bảo mật ta phải tách rời 2 dịch vụ này ra làm 2 máy. Máy ISA Server đã Join vào domain gccom.net
- PC02 bao gồm các dịch vụ Exchange Server, DC Server, DNS Server, Web Server, CA Server… với Domain là gccom.net
- PC03 là một máy bất kỳ nằm ngoài Internet
- Mạng 192.168.1.0/24 là mạng giả lập Internet
Cấu hình IP các máy như sau:
Như vậy với mô hình này IP 192.168.1.2 chính là IP giả lập của IP Public 203.114.98.108 mà ta mua từ nhà cung cấp dịch vụ
Bây giờ ta tiến hành đi vào chi tiết bao gồm các bước:
1) Cấu hình cho DNS Server
2) Cấu hình cho máy External DNS Server
3) Cấu hình External DNS trên ISA Server
4) Xin Certificate cho máy Web Server
5) Xin Certificate cho máy ISA Server
6) Publish các dịch vụ HTTP, HTTPS, FTP, SMTP, POP3, OWA…
Đầu tiên ta cấu hình cho DNS Server nội bộ trước tại máy Exchange Server (PC02) bật DNS lên. Vì máy EX được nối trực tiếp với ISA Server thông qua mạng 172.16.2.0/24 nên nếu trong này còn tồn tại các Subnet khác thì bạn tiến hành xóa chúng đi.
Trong hình DNS còn tồn tại các Host (A) của mạng 192.168.1.0/24 nên tôi phải xóa chúng đi.
Nhấp phải vào Reverse Lookup Zones chọn New Zone
Giữ nguyên giá trị mặc định Primary Zone
Chọn To all DNS Servers in the Active Directory domain gccom.net
Nhập nguyên Subnet của mạng Internal Network là 172.16.2.0/24
Chọn Allow only secure dynamic updates
Màn hình sau khi hoàn tất
Ra Command DOS nhập ipconfig registerdns để cập nhật động Pointer cho DNS
Màn hình sau khi Refresh
Từ máy ISA Server (PC01) đăng nhập vào quyền Administrator của Domain gccom.net
Trở lại máy Exchange Server nhấp vào gccom.net trong DNS sẽ thấy xuất hiện thêm Host (A) của máy ISA
Nhấp chọn 172.16.2.x Subnet sẽ thấy các Pointer cũng được tự động cập nhật
Trở lại gccom.net tạo các Alias là mail và www
Vì ngay chính máy DNS Server này cũng chính là máy chạy dịch vụ Mail Server nên trong này tôi tạo luôn MX Record (Xem lại bài DNS Server)
Đến đây ta đã hoàn thành xong việc cấu hình DNS cho hệ thống mạng nội bộ. Như vậy bất kỳ máy nào trong Internal Network truy vấn các dịch vụ (Web, Mail…) của Domain gccom.net sẽ được chính máy DNS này phân giải về các máy chạy các dịch vụ tương ứng trong cùng Internal Network
Bây giờ ta sẽ cấu hình tại máy External DNS tuy nhiên vì trong bài này máy cài ISA Server cũng chính là máy mà ta giả lập làm External DNS nên tại máy ISA Server (PC01) bạn cài thêm dịch vụ DNS vào.
Như vậy đến lúc này trong hệ thống mạng chúng ta có đến 2 máy cài dịch vụ DNS trong đó:
- DNS Server được cài lên máy PC02 thuộc Internal Network
- DNS Server được cài lên máy PC01 thuộc Local Host và được gọi là External DNS
Tại máy ISA Server bật DNS lên nhấp phải vào Forward Lookup Zones chọn New Zones
Giữ nguyên giá trị mặc định Primary Zone
Trong Zone Name bạn nhập domain mà mình đã mua vào trong này cũng chính là gccom.net
Chọn Do not allow dynamic updates để không cập nhật động
Nhấp chọn gccom.net ta nhận thấy sẽ xuất hiện 2 Host (A) là 192.168.1.2 (chính là IP Public mà ta mua từ trước) và 172.16.2.1 (IP máy ISA) ta phải tiến hành xóa Host (A) 172.16.2.1 lý giải:
- Trong thực tế máy cài External DNS sẽ hoàn toàn đôc lập với máy chạy ISA Server nên trên máy này chỉ tồn tại duy nhất một Card Lan mà thôi như vậy khi tạo Zone sẽ chỉ xuất hiện mỗi Host (A) 192.168.1.2. Nhưng vì do trong bài chúng ta gom chung 2 máy ISA Server và External DNS là một nên tại máy này phải tồn tại 2 Card Lan nên khi tạo Zone sẽ xuất hiện cả 2 Host (A) của 2 Card này.
- Ta phải xóa Host (A) 172.16.2.1 đi vì tại máy External DNS đóng vai trò là IP mặt ngoài (IP Public) của mạng chúng ta và nó chỉ tiếp nhận các yêu cầu từ ngoài gởi vào mà thôi. Hay nói cách khác nó mang trên mình một IP thuộc External Network chứ không thuộc Internal Netwok.
Tạo một Reverse Lookup Zones là 192.16.1.x Subnet (trong thực tế Subnet này chính là 203.114.98.x)
Tiếp tục tạo các Host www cho gccom.net
Nhập IP chính là IP mặt ngoài của chúng ta trong vì dụ này IP này cũng chính là IP của máy ISA Server (trong thực tế IP này chính là 203.114.98.108).
Click chọn tùy chọn Create associated pointer (PRT) record
Màn hình gccom.net sau khi hoàn tất
Màn hình 192.168.1.x Subnet sau khi hoàn tất
Do trong bài chúng ta gom chung ISA Server và External DNS trên cùng một máy nên ta phải chỉ định cho External DNS biết sẽ phải dẫn dắt các yêu cầu từ nên ngoài vào trong thông qua mạng nào (trong thực tế ta không phải làm bước này)
Nhấp phải vào ISA chọn Properties
Chọn Only the following IP addresses trong mục Linten on và Remove IP 192.168.1.2 ra, lý giải:
Khi các máy từ bên ngoài truy cập vào mạng chúng ta chúng chỉ thấy duy nhất mỗi IP 192.168.1.2 (trong thực tế IP này chính là 203.114.98.108) mà thôi, khi đó External DNS sẽ dẫn dắt các yêu cầu này thông qua IP 172.16.2.1 để vào bên trong
Màn hình sau khi hoàn tất
Đến đây ta đã hoàn tất việc cấu hình trên External DNS. Bước tiếp theo là ta phải cấu hình ISA Server để các máy trong Internal Network có thể truy cập lẫn nhau và ra được Internet
Để cho đơn giản tôi tạo một Rule như sau
Name: Internal VS Local Host
Action: Allow
Protocols: All Outbound Traffic
Access Rule Sources: Internal & Local Host
Access Rule Destinations: External & Internal & Local Host
User Sets: All User
Tiếp theo để cho các máy từ bên ngoài nhìn vào mạng chúng ta thấy được máy External DNS (vì External Network nằm trong Local Host) ta phải tạo một Rule Publish DNS này ra ngoài External Network
Tại ISA Server nhấp phải vào Firewall Policy chọn New -> Non-Web Server Protocol Publishing Rule…
Đạt tên cho Rule này là Publish DNS
Nhập IP của máy External DNS trong này chính là IP máy ISA Server
Chọn DNS Server trong Select Protocol
Chọn External trong Network Listener IP Address
Màn hình sau khi hoàn tất
Bây giờ ta sẽ tiến hành Test thử. Từ máy Client bất kỳ chỉnh Rerfered DNS về IP mặt ngoài của mạng chúng ta là 192.168.1.2 (trong thực tế IP này chính là 203.114.98.108)
Vào Command DOS nhập:
nslookup www.gccom.net & và thấy kết nslookup mail.gccom.net quả thành công.
Tiếp theo ta sẽ Publish các dịch vụ HTTP & HTTPS.
Tại máy Exchange Server (PC02) mở IIS lên nhấp phải vào Default Web chọn Properties
Chọn Tab Directory Sercurity
Trong hình ta thấy Certificate đã được cấp cho Default Web rồi vì tôi đã làm từ trước đó (Xem lại bài Certificate)
Nhấp chọn View Certificate thấy Issued to là server.gccom.net
Tôi sẽ tiến hành Remove Certificate cho Default Web này đi và tạo lại một Certificate mới có Issued to là www.gccom.net
Tại Tab Directory Sercurity chọn Edit và bỏ tùy chọn Require secure channel (SSL) đi để có thể chạy được cả 2 dịch vụ HTTP & HTTPS
Bật IE của máy Exchange Server lên test thử Web Server thấy rất tốt
OK mình vừa trình bày xong phần Server Publishing - Configuration - ISA Server trong 70-351 của MCSA
Server Publishing - Configuration
Ở bài Access Rule chúng ta đã tìm hiểu về cách tạo các Rule Allow & Deny để các máy trong Internal Network có thể truy cập được Internet hay nói đúng hơn chúng ta chỉ tạo các Rule Outbound mà thôi. Trong bài này chúng ta sẽ tìm hiểu cách thức để mở các Port sao cho các máy từ External Network có thể truy cập vào mạng chúng ta công việc này còn gọi là Server Publishing.
Hay hiểu một cách đơn giản hơn là trước kia thay vì để người dùng Internet truy cập vào mạng chúng ta thông qua NAT thì với bài này chúng ta cũng làm công việc tương tự nhưng trong môi trường có ISA Server và DC Server.
Giả sử mạng của tôi như sau:
Subnet 172.16.2.0/24
ISA Server: IP=172.16.2.1
DC Server, DNS Server: IP=172.16.2.2 có Domain Name là gccom.net
Web Server: IP=172.16.2.3
Mail Server: IP=172.16.2.4
Khi đó các máy trong Internal Network khi truy vấn domain gccom.net sẽ truy cập thẳng đến máy có IP là 172.16.2.2 nhờ DNS Server của hệ thống phân giải. Và hiển nhiên Domain gccom.net này chỉ có tác dụng trong mạng nội bộ mà thôi.
Sau một thời gian hoạt động công ty tôi tiến hành mua Domain gccom.net từ nhà cung cấp dịch vụ Domain và được cấp cho một IP Public (trên thực tế ta cũng phải mua IP này) là 203.114.98.108.
Như vậy các máy trong mạng Internal Network khi truy vấn các dịch vụ Web, Mail của Domain gccom.net sẽ nhờ DNS Server của hệ thống phân giải cho ra IP tương ứng là 172.16.2.3 , 172.16.2.4
Trong khi đó các máy từ External Network khi truy vấn các dịch vụ Web, Mail của Domain gccom.net sẽ nhờ DNS Server của nhà cung cấp dịch vụ ISP phân giải và cho ra duy nhất một IP là 203.114.98.108
Như vậy yêu cầu đặt ra làm sao để các máy từ External Network truy cập vào mạng chúng ta thông qua IP Public sẽ truy cập vào các máy chạy các dịch vụ tương ứng.
Để làm được điều này đòi hỏi tại mạng chúng ta phải xây dựng thêm một DNS Server khác có tác dụng giải đáp các yêu cầu từ bên ngoài và dẫn dắt các yêu cầu này vào trong DNS Server nội bộ, máy DNS Server này còn gọi là External DNS Server.
Để cho đơn giản trong bài tôi sẽ gom các dịch vụ này lại với nhau và chúng ta có sơ đồ như sau trong đó:
- PC01 vừa là ISA Server vừa là External DNS. Trên thực tế vì lý do bảo mật ta phải tách rời 2 dịch vụ này ra làm 2 máy. Máy ISA Server đã Join vào domain gccom.net
- PC02 bao gồm các dịch vụ Exchange Server, DC Server, DNS Server, Web Server, CA Server… với Domain là gccom.net
- PC03 là một máy bất kỳ nằm ngoài Internet
- Mạng 192.168.1.0/24 là mạng giả lập Internet
Cấu hình IP các máy như sau:
Như vậy với mô hình này IP 192.168.1.2 chính là IP giả lập của IP Public 203.114.98.108 mà ta mua từ nhà cung cấp dịch vụ
Bây giờ ta tiến hành đi vào chi tiết bao gồm các bước:
1) Cấu hình cho DNS Server
2) Cấu hình cho máy External DNS Server
3) Cấu hình External DNS trên ISA Server
4) Xin Certificate cho máy Web Server
5) Xin Certificate cho máy ISA Server
6) Publish các dịch vụ HTTP, HTTPS, FTP, SMTP, POP3, OWA…
Đầu tiên ta cấu hình cho DNS Server nội bộ trước tại máy Exchange Server (PC02) bật DNS lên. Vì máy EX được nối trực tiếp với ISA Server thông qua mạng 172.16.2.0/24 nên nếu trong này còn tồn tại các Subnet khác thì bạn tiến hành xóa chúng đi.
Trong hình DNS còn tồn tại các Host (A) của mạng 192.168.1.0/24 nên tôi phải xóa chúng đi.
Nhấp phải vào Reverse Lookup Zones chọn New Zone
Giữ nguyên giá trị mặc định Primary Zone
Chọn To all DNS Servers in the Active Directory domain gccom.net
Nhập nguyên Subnet của mạng Internal Network là 172.16.2.0/24
Chọn Allow only secure dynamic updates
Màn hình sau khi hoàn tất
Ra Command DOS nhập ipconfig registerdns để cập nhật động Pointer cho DNS
Màn hình sau khi Refresh
Từ máy ISA Server (PC01) đăng nhập vào quyền Administrator của Domain gccom.net
Trở lại máy Exchange Server nhấp vào gccom.net trong DNS sẽ thấy xuất hiện thêm Host (A) của máy ISA
Nhấp chọn 172.16.2.x Subnet sẽ thấy các Pointer cũng được tự động cập nhật
Trở lại gccom.net tạo các Alias là mail và www
Vì ngay chính máy DNS Server này cũng chính là máy chạy dịch vụ Mail Server nên trong này tôi tạo luôn MX Record (Xem lại bài DNS Server)
Đến đây ta đã hoàn thành xong việc cấu hình DNS cho hệ thống mạng nội bộ. Như vậy bất kỳ máy nào trong Internal Network truy vấn các dịch vụ (Web, Mail…) của Domain gccom.net sẽ được chính máy DNS này phân giải về các máy chạy các dịch vụ tương ứng trong cùng Internal Network
Bây giờ ta sẽ cấu hình tại máy External DNS tuy nhiên vì trong bài này máy cài ISA Server cũng chính là máy mà ta giả lập làm External DNS nên tại máy ISA Server (PC01) bạn cài thêm dịch vụ DNS vào.
Như vậy đến lúc này trong hệ thống mạng chúng ta có đến 2 máy cài dịch vụ DNS trong đó:
- DNS Server được cài lên máy PC02 thuộc Internal Network
- DNS Server được cài lên máy PC01 thuộc Local Host và được gọi là External DNS
Tại máy ISA Server bật DNS lên nhấp phải vào Forward Lookup Zones chọn New Zones
Giữ nguyên giá trị mặc định Primary Zone
Trong Zone Name bạn nhập domain mà mình đã mua vào trong này cũng chính là gccom.net
Chọn Do not allow dynamic updates để không cập nhật động
Nhấp chọn gccom.net ta nhận thấy sẽ xuất hiện 2 Host (A) là 192.168.1.2 (chính là IP Public mà ta mua từ trước) và 172.16.2.1 (IP máy ISA) ta phải tiến hành xóa Host (A) 172.16.2.1 lý giải:
- Trong thực tế máy cài External DNS sẽ hoàn toàn đôc lập với máy chạy ISA Server nên trên máy này chỉ tồn tại duy nhất một Card Lan mà thôi như vậy khi tạo Zone sẽ chỉ xuất hiện mỗi Host (A) 192.168.1.2. Nhưng vì do trong bài chúng ta gom chung 2 máy ISA Server và External DNS là một nên tại máy này phải tồn tại 2 Card Lan nên khi tạo Zone sẽ xuất hiện cả 2 Host (A) của 2 Card này.
- Ta phải xóa Host (A) 172.16.2.1 đi vì tại máy External DNS đóng vai trò là IP mặt ngoài (IP Public) của mạng chúng ta và nó chỉ tiếp nhận các yêu cầu từ ngoài gởi vào mà thôi. Hay nói cách khác nó mang trên mình một IP thuộc External Network chứ không thuộc Internal Netwok.
Tạo một Reverse Lookup Zones là 192.16.1.x Subnet (trong thực tế Subnet này chính là 203.114.98.x)
Tiếp tục tạo các Host www cho gccom.net
Nhập IP chính là IP mặt ngoài của chúng ta trong vì dụ này IP này cũng chính là IP của máy ISA Server (trong thực tế IP này chính là 203.114.98.108).
Click chọn tùy chọn Create associated pointer (PRT) record
Màn hình gccom.net sau khi hoàn tất
Màn hình 192.168.1.x Subnet sau khi hoàn tất
Do trong bài chúng ta gom chung ISA Server và External DNS trên cùng một máy nên ta phải chỉ định cho External DNS biết sẽ phải dẫn dắt các yêu cầu từ nên ngoài vào trong thông qua mạng nào (trong thực tế ta không phải làm bước này)
Nhấp phải vào ISA chọn Properties
Chọn Only the following IP addresses trong mục Linten on và Remove IP 192.168.1.2 ra, lý giải:
Khi các máy từ bên ngoài truy cập vào mạng chúng ta chúng chỉ thấy duy nhất mỗi IP 192.168.1.2 (trong thực tế IP này chính là 203.114.98.108) mà thôi, khi đó External DNS sẽ dẫn dắt các yêu cầu này thông qua IP 172.16.2.1 để vào bên trong
Màn hình sau khi hoàn tất
Đến đây ta đã hoàn tất việc cấu hình trên External DNS. Bước tiếp theo là ta phải cấu hình ISA Server để các máy trong Internal Network có thể truy cập lẫn nhau và ra được Internet
Để cho đơn giản tôi tạo một Rule như sau
Name: Internal VS Local Host
Action: Allow
Protocols: All Outbound Traffic
Access Rule Sources: Internal & Local Host
Access Rule Destinations: External & Internal & Local Host
User Sets: All User
Tiếp theo để cho các máy từ bên ngoài nhìn vào mạng chúng ta thấy được máy External DNS (vì External Network nằm trong Local Host) ta phải tạo một Rule Publish DNS này ra ngoài External Network
Tại ISA Server nhấp phải vào Firewall Policy chọn New -> Non-Web Server Protocol Publishing Rule…
Đạt tên cho Rule này là Publish DNS
Nhập IP của máy External DNS trong này chính là IP máy ISA Server
Chọn DNS Server trong Select Protocol
Chọn External trong Network Listener IP Address
Màn hình sau khi hoàn tất
Bây giờ ta sẽ tiến hành Test thử. Từ máy Client bất kỳ chỉnh Rerfered DNS về IP mặt ngoài của mạng chúng ta là 192.168.1.2 (trong thực tế IP này chính là 203.114.98.108)
Vào Command DOS nhập:
nslookup www.gccom.net & và thấy kết nslookup mail.gccom.net quả thành công.
Tiếp theo ta sẽ Publish các dịch vụ HTTP & HTTPS.
Tại máy Exchange Server (PC02) mở IIS lên nhấp phải vào Default Web chọn Properties
Chọn Tab Directory Sercurity
Trong hình ta thấy Certificate đã được cấp cho Default Web rồi vì tôi đã làm từ trước đó (Xem lại bài Certificate)
Nhấp chọn View Certificate thấy Issued to là server.gccom.net
Tôi sẽ tiến hành Remove Certificate cho Default Web này đi và tạo lại một Certificate mới có Issued to là www.gccom.net
Tại Tab Directory Sercurity chọn Edit và bỏ tùy chọn Require secure channel (SSL) đi để có thể chạy được cả 2 dịch vụ HTTP & HTTPS
Bật IE của máy Exchange Server lên test thử Web Server thấy rất tốt
OK mình vừa trình bày xong phần Server Publishing - Configuration - ISA Server trong 70-351 của MCSA
Sưu tầm
admin- Thiếu Úy III
- Tổng số bài gửi : 627
Diem : 6565
Thank : 4
Join date : 24/03/2010
Đến từ : Bỉm Sơn - Thanh hóa -
Similar topics» ISA Server ( Phần I)
» ISA Server ( Phần II)
» ISA Server ( Phần III)
» ISA Server ( Phần IV)
» ISA Server (Phần V)
» ISA Server ( Phần II)
» ISA Server ( Phần III)
» ISA Server ( Phần IV)
» ISA Server (Phần V)
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết
» Quản Lí Tiến Trình Dùng Thư Viện PSAPI
» xin tai lieu tieng viet
» Theo dõi tiến trình
» Giải pháp Bảo mật của Cisco
» Nghiên cứu và đưa ra giải pháp phòng chống tấn công DoS, DDoS (Phần 1)
» Learn to hack !
» Giải pháp hệ thống dành cho doanh nghiệp với thiết bị mạng Fortinet (Phần 1)
» Ô Long Viên (Tập II)
» những ebook về hack tiếng việt cho người mới tìm hiểu.