ISA Server ( Phần VII)
Trang 1 trong tổng số 1 trang
ISA Server ( Phần VII)
admin 4/6/2010, 9:56 am
Bài viết liên quan: ISA Server ( Phần VI)/ISA Server ( Phần VIII)
Sau khi đã cấu hình hoàn tất tại các máy ISA, DNS, External DNS, Web Server… ở bài trước trong bài này chúng ta sẽ tạo tiếp các Rule tại máy ISA Server để Publish các dịch vụ ra ngoài.
Publish HTTP, HTTPS
Tại máy ISA Server bật chương trình ISA lên tiếp tục trong Firewall Policy tạo một Rule mới bằng cách chọn New -> Web Site Publishing Rule
Đặt tên cho Rule này là Publish Web
Trong Rule Action chọn Allow
Chọn Publish a single Web site or load balancer trong Publishing Type
Với Rule này tôi sẽ Publish dịch vụ HTTP trước nên trong Server Connection Sercurity tôi chọn lựa chọn Use non-secured connections to conect the published Web server or server farm
Internal site name bạn nhập Domain name của hệ thống (chính là Domain của DC Server)
Trong Internal Publishing Details bạn chừa trống ô Path
Nhập Domain name mà bạn mua từ nhà cung cấp dịch vụ vào ô Public name trong Public Name Details
Trong cửa sổ Select Web Listener chưa tồn tại các Web Listener nào cả vì vậy ta phải tạo các Listener mới cho nó. Nhấp New
Đặt tên cho Web Listener này là Publish Port 80
Tiếp tục chọn tùy chọn là Do not require SSL secured connections with clients để chỉ Publish dịch vụ HTTP mà thôi
Chọn External trong Web Listener IP Address
Tại Authentications Settings chọn Basic
Trở lại màn hình Select Web Listener sẽ thấy xuất hiện Web Listener là Publish Port 80 vừa tạo chọn Publish Port 80
Chọn tùy chọn No delegation, and cliecnt cannot authenticate directly trong Authentication Delegation
Chọn All Authenticated Users trong User Sets
Màn hình tạo Rule Publish Web sau khi hoàn tất
Tương tự bạn tạo một Rule mới để Publish dịch vụ HTTPS ví dụ tôi đặt tên cho nó là Publish Secure Web
Các bước làm tương tự trong phần tạo Rule Publish Web nhưng trong Server Connection Sercurity tôi chọn lựa chọn Use SSL to connect to the published Web server or server farm để Publish dịch vụ HTTPS
Trong cửa sổ Select Web Listener chỉ tồn tại một Web Listener duy nhất là Publish Port 80 do ta tạo lúc nãy và với Web Listener này chỉ cho phép Publish các dịch vụ HTTP mà thôi nên ta phải tạo một Web Listener mới. Nhấp New
Đặt tên cho Web Listener này là Publish Port 443
Chọn tùy chọn là Require SSL secured connections with clients để chỉ Publish dịch vụ HTTPS mà thôi
Chọn External trong Web Listener IP Address
Để chạy được SSL đòi hỏi phải có Certificate click chọn Select Certificate
Trong cửa sổ Select Certificate hoàn toàn trống rỗng vì chúng ta chưa xin Certificate từ máy CA Server (PC02) cho máy ISA Server này (PC01).
Tạm gác công việc này lại đây bạn bật IE lên để tiến hành xin Certificate cho ISA Server (Xem lại bài Certificate)
Nhấp chọn Request a certificate
Chọn advanced certificate request
Chọn tiếp Create and submit a request to this CA
Trong Advanced Certificate Request bạn chọn Web Server và nhập Domain name mình vào đây
Tiếp tục chọn mục Store certificate in the local computer certificate store
Sau đó nhấp Install this certificate để tiến hành cài đặt Certificate lên máy
Sau khi đã cài đặt Certificate hoàn tất bạn quay trở lại màn hình Select Certificate sẽ thấy xuất hiện một Certificate là www.gccom.net, Click chọn Certificate này
Màn hình sau khi hoàn tất
Tại Authentications Settings chọn Basic
Trở lại màn hình Select Web Listener sẽ thấy xuất hiện thêm Web Listener là Publish Port 443 vừa tạo chọn Publish Port 443
Màn hình tạo Rule Publish Secure Web sau khi hoàn tất
Đến đây ta đã hoàn thành việc Publish 2 dịch vụ HTTP & HTTPS hay nói các khác ta đã hoàn thành Publish Web Server và có thể từ một máy Client bất kỳ ở đâu bật IE lên và nhập IP mặt ngoài (IP Public) của mạng chúng ta là 192.168.1.2 (trên thực tế IP này là 203.114.98.108) sẽ truy cập được các dịch vụ HTTP & HTTPS. Thực chất đến đây mọi chuyện coi như đã hoàn tất.
Tuy nhiên do trong bài ta dùng mạng 192.168.1.0/24 vừa giả lập mạng Internet vừa có IP 192.168.1.2 của mạng này làm IP Public của mạng 172.16.2.0/24, chính vì thế khi ta dùng một máy Client có IP 192.168.1.3 để Test các dịch vụ trong mạng 172.16.2.0/24 sẽ không được, lý giải:
- Máy Client ta dùng để Test cùng mạng với máy External DNS và cũng có nghĩa là thay vì được xem là một máy thuộc Local Host nhưng do External DNS được cài chung với ISA Server nên ISA Server chỉ xem máy Client này là máy thuộc Internal Network mà thôi.
- Máy Client thuộc Internal Network muốn truy cập được ISA Server đòi hỏi nó phải cài Firewall Client
- Máy Client phải Rerfered DNS về máy ISA Server để nhờ External DNS phân giải Domain name gccom.net (vì trong mạng giả lập ta không thể nhờ DNS của ISP được, lúc này DNS Server của ISP chính là External DNS)
Trong màn hình chỉnh IP của Firewall Client bạn chỉ nó về IP của máy IP theo mạng 192.168.1.0/24
Như vậy vấn đề phát sinh lúc này là trong Internal Network ngoài mạng 172.16.2.0/24 xuất hiện thêm một mạng 192.168.1.0/24
Mạng 192.168.1.0/24 này nằm ngoài tầm kiểm soát của ISA Server vì trước kia khi cài đặt ISA Server ta chỉ Add mội mạng 172.16.2.0/24 mà thôi
Nhấp chọn Networks trong Configuration chú ý dòng Internal trong Tab Networks chỉ thấy duy nhất một mạng 172.16.2.0/24
Double click lên Internal chọn Tab Addresses chọn tiếp Add Range
Add dãy IP của mạng 192.168.1.0/24 vào
Màn hình sau khi hoàn tất
Bây giờ tại máy Client (PC03) bạn bật IE lên để test các dịch vụ HTTP của domain gccom.net thấy thành công
Với dịch vụ HTTPS cũng rất tốt
OK mình vừa trình bày xong phần Server Publishing - HTTP - HTTPS - ISA Server trong 70-351 của MCSA
Server Publishing - HTTP - HTTPS
Sau khi đã cấu hình hoàn tất tại các máy ISA, DNS, External DNS, Web Server… ở bài trước trong bài này chúng ta sẽ tạo tiếp các Rule tại máy ISA Server để Publish các dịch vụ ra ngoài.
Publish HTTP, HTTPS
Tại máy ISA Server bật chương trình ISA lên tiếp tục trong Firewall Policy tạo một Rule mới bằng cách chọn New -> Web Site Publishing Rule
Đặt tên cho Rule này là Publish Web
Trong Rule Action chọn Allow
Chọn Publish a single Web site or load balancer trong Publishing Type
Với Rule này tôi sẽ Publish dịch vụ HTTP trước nên trong Server Connection Sercurity tôi chọn lựa chọn Use non-secured connections to conect the published Web server or server farm
Internal site name bạn nhập Domain name của hệ thống (chính là Domain của DC Server)
Trong Internal Publishing Details bạn chừa trống ô Path
Nhập Domain name mà bạn mua từ nhà cung cấp dịch vụ vào ô Public name trong Public Name Details
Trong cửa sổ Select Web Listener chưa tồn tại các Web Listener nào cả vì vậy ta phải tạo các Listener mới cho nó. Nhấp New
Đặt tên cho Web Listener này là Publish Port 80
Tiếp tục chọn tùy chọn là Do not require SSL secured connections with clients để chỉ Publish dịch vụ HTTP mà thôi
Chọn External trong Web Listener IP Address
Tại Authentications Settings chọn Basic
Trở lại màn hình Select Web Listener sẽ thấy xuất hiện Web Listener là Publish Port 80 vừa tạo chọn Publish Port 80
Chọn tùy chọn No delegation, and cliecnt cannot authenticate directly trong Authentication Delegation
Chọn All Authenticated Users trong User Sets
Màn hình tạo Rule Publish Web sau khi hoàn tất
Tương tự bạn tạo một Rule mới để Publish dịch vụ HTTPS ví dụ tôi đặt tên cho nó là Publish Secure Web
Các bước làm tương tự trong phần tạo Rule Publish Web nhưng trong Server Connection Sercurity tôi chọn lựa chọn Use SSL to connect to the published Web server or server farm để Publish dịch vụ HTTPS
Trong cửa sổ Select Web Listener chỉ tồn tại một Web Listener duy nhất là Publish Port 80 do ta tạo lúc nãy và với Web Listener này chỉ cho phép Publish các dịch vụ HTTP mà thôi nên ta phải tạo một Web Listener mới. Nhấp New
Đặt tên cho Web Listener này là Publish Port 443
Chọn tùy chọn là Require SSL secured connections with clients để chỉ Publish dịch vụ HTTPS mà thôi
Chọn External trong Web Listener IP Address
Để chạy được SSL đòi hỏi phải có Certificate click chọn Select Certificate
Trong cửa sổ Select Certificate hoàn toàn trống rỗng vì chúng ta chưa xin Certificate từ máy CA Server (PC02) cho máy ISA Server này (PC01).
Tạm gác công việc này lại đây bạn bật IE lên để tiến hành xin Certificate cho ISA Server (Xem lại bài Certificate)
Nhấp chọn Request a certificate
Chọn advanced certificate request
Chọn tiếp Create and submit a request to this CA
Trong Advanced Certificate Request bạn chọn Web Server và nhập Domain name mình vào đây
Tiếp tục chọn mục Store certificate in the local computer certificate store
Sau đó nhấp Install this certificate để tiến hành cài đặt Certificate lên máy
Sau khi đã cài đặt Certificate hoàn tất bạn quay trở lại màn hình Select Certificate sẽ thấy xuất hiện một Certificate là www.gccom.net, Click chọn Certificate này
Màn hình sau khi hoàn tất
Tại Authentications Settings chọn Basic
Trở lại màn hình Select Web Listener sẽ thấy xuất hiện thêm Web Listener là Publish Port 443 vừa tạo chọn Publish Port 443
Màn hình tạo Rule Publish Secure Web sau khi hoàn tất
Đến đây ta đã hoàn thành việc Publish 2 dịch vụ HTTP & HTTPS hay nói các khác ta đã hoàn thành Publish Web Server và có thể từ một máy Client bất kỳ ở đâu bật IE lên và nhập IP mặt ngoài (IP Public) của mạng chúng ta là 192.168.1.2 (trên thực tế IP này là 203.114.98.108) sẽ truy cập được các dịch vụ HTTP & HTTPS. Thực chất đến đây mọi chuyện coi như đã hoàn tất.
Tuy nhiên do trong bài ta dùng mạng 192.168.1.0/24 vừa giả lập mạng Internet vừa có IP 192.168.1.2 của mạng này làm IP Public của mạng 172.16.2.0/24, chính vì thế khi ta dùng một máy Client có IP 192.168.1.3 để Test các dịch vụ trong mạng 172.16.2.0/24 sẽ không được, lý giải:
- Máy Client ta dùng để Test cùng mạng với máy External DNS và cũng có nghĩa là thay vì được xem là một máy thuộc Local Host nhưng do External DNS được cài chung với ISA Server nên ISA Server chỉ xem máy Client này là máy thuộc Internal Network mà thôi.
- Máy Client thuộc Internal Network muốn truy cập được ISA Server đòi hỏi nó phải cài Firewall Client
- Máy Client phải Rerfered DNS về máy ISA Server để nhờ External DNS phân giải Domain name gccom.net (vì trong mạng giả lập ta không thể nhờ DNS của ISP được, lúc này DNS Server của ISP chính là External DNS)
Trong màn hình chỉnh IP của Firewall Client bạn chỉ nó về IP của máy IP theo mạng 192.168.1.0/24
Như vậy vấn đề phát sinh lúc này là trong Internal Network ngoài mạng 172.16.2.0/24 xuất hiện thêm một mạng 192.168.1.0/24
Mạng 192.168.1.0/24 này nằm ngoài tầm kiểm soát của ISA Server vì trước kia khi cài đặt ISA Server ta chỉ Add mội mạng 172.16.2.0/24 mà thôi
Nhấp chọn Networks trong Configuration chú ý dòng Internal trong Tab Networks chỉ thấy duy nhất một mạng 172.16.2.0/24
Double click lên Internal chọn Tab Addresses chọn tiếp Add Range
Add dãy IP của mạng 192.168.1.0/24 vào
Màn hình sau khi hoàn tất
Bây giờ tại máy Client (PC03) bạn bật IE lên để test các dịch vụ HTTP của domain gccom.net thấy thành công
Với dịch vụ HTTPS cũng rất tốt
OK mình vừa trình bày xong phần Server Publishing - HTTP - HTTPS - ISA Server trong 70-351 của MCSA
Sưu tầm
admin- Thiếu Úy III
- Tổng số bài gửi : 627
Diem : 6565
Thank : 4
Join date : 24/03/2010
Đến từ : Bỉm Sơn - Thanh hóa -
Similar topics» ISA Server (Phần IX)
» ISA Server (Phần X)
» ISA Server (Phần XI)
» ISA Server ( Phần II)
» ISA Server ( Phần III)
» ISA Server (Phần X)
» ISA Server (Phần XI)
» ISA Server ( Phần II)
» ISA Server ( Phần III)
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết
» Quản Lí Tiến Trình Dùng Thư Viện PSAPI
» xin tai lieu tieng viet
» Theo dõi tiến trình
» Giải pháp Bảo mật của Cisco
» Nghiên cứu và đưa ra giải pháp phòng chống tấn công DoS, DDoS (Phần 1)
» Learn to hack !
» Giải pháp hệ thống dành cho doanh nghiệp với thiết bị mạng Fortinet (Phần 1)
» Ô Long Viên (Tập II)
» những ebook về hack tiếng việt cho người mới tìm hiểu.