Cài đặt và cấu hình ISA Server Firewall 2004 - Chương 4

  •  
  • 3.431

CHƯƠNG 4: Cài đặt và cấu hình Microsoft DHCP và WINS Server Services

Windows Internet Name Service (WINS) khi Service này được triển khai trong Internal Network Domain, nó sẽ phục vụ các Computer trong Network giải quyết để tìm NetBIOS names lẫn nhau, và một Computer A trong Network này có thể thông qua WINS server để giải quyết được NetBIOS name của Computer B ở một Network khác (tất nhiên hệ thống WINS thông thường chỉ được dùng để giải quyết tên Netbios names trong Nội bộ Network của Tổ chức, tránh nhầm lẫn với cách giải quyết hostname của DNS server- có khả năng giải quyết tên dạng FQDN (www.nis.com.vn) của Internet hoặc Internal Network Domain.

Các bạn có thể tham khảo “XÂY DỰNG HẠ TẦNG MẠNG TRÊN MICROSOFT WINDOWS SERVER 2003”, sắp được phát hành của tôi để hiểu rõ hơn về vai trò của một WINS server trong Nội bộ Network .

Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS clients, sẽ đăng kí tên của mình (Netbios/Computer names) với WINS server. WINS clients cũng có thể gửi các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IP addresses. Nếu trong Nội bộ Network không có WINS Server, thì Windows clients sẽ gửi các message dạng broadcast để tìm Netbios name của Computer muốn giao tiếp. Tuy nhiên, nếu các Computer này nằm tại một Network khác (với Network ID khác) thí các Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặc định trên các Router). Như vậy trong Nội bộ Network của một Tổ chức, gồm nhiều Network Segments, thì việc giải quyết cho các Computer từ Network 1 tìm NetBios name của các Computers ở Network 2,3. Dùng WINS server là giải pháp lý tưởng.

WINS server cũng đặc biệt quan trọng cho các VPN clients. VPN clients không trực tiếp kết nối đến Internal Network, và như vậy không thể dùng broadcasts để giải quyết NetBIOS names của các Computers bên trong Nội bộ Network . (Trừ khi bạn dùng Windows Server 2003 và mở chức năng NetBIOS proxy, sẽ hỗ trợ NetBIOS broadcast, nhưng rất hạn chế). VPN clients dựa vào WINS server để giải quyết NetBIOS names và sử dụng các thông tin này để tìm kiếm các Computers trong My Network Places của Internal Network.

Dynamic Host Configuration Protocol (DHCP) được dùng để cung cấp tự động các thông số liên quan đến IP address (TCP/IP settings) cho DHCP clients. DHCP server sẽ được cấu hình trên Internal Network server và không phải trên chính ISA Server 2004 Firewall. Khi chúng ta đã cấu hình DHCP server trên Internal Network, ISA Server 2004 Firewall tự động có thể thuê IP Addresses từ DHCP server và phân bố lại cho các VPN Clients (các IP addresses này được lấy từ một vùng địa chỉ đặc biệt trên DHCP server, ví dụ Admin đã tạo sẵn một DHCP scope có tên là “VPN Clients Network.”, vùng này chứa các IP address và các thông số chỉ cung cấp cho VPN Clients)

Việc điều khiển truy cập (Access controls) và cách thức định tuyến (routing relationships) cho các VPN Clients này truy nhập Nội bộ Network có thể được cấu hình giữa VPN Clients Network và các Nội bộ Network được xác định trong phân vùng LAT (Local Address Table) do ISA Server 2004 Firewall quản lý.

Trong phần này chúng ta sẽ thực hiện việc cài đặt Microsoft WINS và DHCP services. Sau đó chúng ta sẽ cấu hình một DHCP scope với các thông số hợp lý của DHCP scope options.

Cài đặt WINS Service

Windows Internet Name Service (WINS) được sử dụng để giải quyết NetBIOS names ra IP Addresses (đơn giản vì chúng ta đang dùng Network TCP/IP, Network giao tiếp theo số- IP address, Computer name chỉ là yếu tố phụ, và là thói quen xác lập giao tiếp, vì tên dễ nhớ hơn số). Trong các mô hình Network mới ngày nay (ví dụ Network Microsoft Windows 2000/2003) sử dụng giải pháp tìm tên chính đó là DNS service, WINS service triển khai thêm là một sự lựa chọn, và hoàn toàn không bắt buộc). Tuy nhiên nhiều Tổ chức muốn dùng My Network Places để có thể xác định các Server trên Network. Chúng ta biết rằng My Network Places hoạt động tìm kiếm các Network Computer dựa trên Service Windows Browser. Và Windows Browser service giải quyết tên dựa trên nền tảng Broadcast ( broadcast-based service), nếu Network triển khai WINS server Windows Browser trên các Computer sẽ phụ thuộc vào WINS server để thu thập thông tin về các Computers phân tán khắp các Segment của Network. Ngoài ra, WINS service cũng được yêu cầu triển khai khi các VPN clients muốn có được danh sách các Computers trong Nội bộ Network . Mục đích cài WINS server trong hướng dẫn này để hỗ trợ giải quyết NetBIOS name và Windows browser service cho các VPN clients.

Tiến hành các bước sau để cài WINS:

1. Click Start, Control Panel. Click Add or Remove Programs.

2. Trong Add or Remove Programs, click Add/Remove Windows Components

3. Trên Windows Components page, kéo xuống danh sách Components và chọn Networking Services entry. Click Details.

4. Trong Network Services dialog box, check vào Windows Internet Name Service (WINS) check box. Check tiếp vào Dynamic Host Configuration Protocol (DHCP) check box. Click OK.

5. Click Next trên Windows Components page.

6. Click OK trên Insert Disk dialog box. Trong Files Needed dialog box, đưa đường dẫn đến I386 folder trong mục Copy files from text box và click OK.

7. Click Finish trên Completing the Windows Components Wizard page.

8. Đóng Add or Remove Programs .

WINS server đã sẵn sàng phục vụ nhu cầu đăng kí NetBIOS name ngay lập tức mà không cần bất cứ cấu hình thêm nào. ISA Server 2004 Firewall, Domain controller, và các Internal Network clients tất cả sẽ được cấu hình như WINS Client và sẽ đăng kí với WINS server trong mục xác lập TCP/IP của mình (TCP/IP Properties settings)

Cấu hình DHCP Service

Dynamic Host Configuration Protocol (DHCP) được sử dụng để phân chia tự động các thông số liên quan đến IP

Address cho Internal Network clients và VPN clients. Trong Lab này, mục đích chính của DHCP server là cấp phát các thông số IP address cho Network VPN clients. Lưu ý rằng, trong mô hình Network thực tế của các Tổ chức, nên cấu hình các Computer trở thành DHCP clients, không nên yêu cầu một IP address tĩnh. (tất nhiên có những trường hợp ngoại lệ, ví dụ như dùng IP cố định cho Servers, hoặc trong một Network có số lượg Computer ít, triển khai thêm DHCP server tạo chi phí gia tăng đáng kể, làm tăng Total Cost Ownership-TCO..)

DHCP server service đã được cài đặt theo những thủ tục đưa ra tại chương 1. Bước kế tiếp, chúng ta sẽ cấu hình một DHCP scope (vùng IP addresses, kèm theo các thông số tùy chọn- DHCP options). Tất cả những thông số này sẽ được cung cấp cho các DHCP Clients.

Tiến hành các bước sau để cấu hình một DHCP scope:

1. Click Start, Administrative Tools. Click DHCP.

2. Trên DHCP console, right click trên server name và click Authorize (xác nhận DHCP server này hoạt động hợp pháp trong Domain, như vậy tất cả các DHCP server không được Authorize sẽ bị vô hiệu hóa trong việc cung cấp IP addresses)

3. Click nút Refresh .Các bạn sẽ nhận thấy icon của DHCP server chuyển từ Đỏ sang Xanh lá cây, và DHCP đã hoạt động

4. Right click trên server name, click New Scope.

5. Click Next trên Welcome to the New Scope Wizard page.

6. Trên Scope Name page, đặt tên cho scope trong Name text box và đưa thông tin mô tả trong Description text box. Trong ví dụ này, chúng ta sẽ đặt tên scope là scope 1 và không mô tả trong Description. Click Next.

7. Trên IP Address Range page, đưa vào một IP address bắt đầu (Start IP address) và một IP Adrress Cuối cùng (End IP address ) trong text boxes. Và đây chính là vùng địa chỉ IP mà bạn muốn sẵn sàng cung cấp cho DHCP Clients. Trong ví dụ này, chúng ta sẽ xác lập như sau: Start address10.0.0.200End address10.0.0.219. Vúng này chứa 20 IP Address cho DHCP Clients. Sau đó chúng ta sẽ cấu hình ISA Server 2004 Firewall cho phép các VPN clients thực hiện đồng thời 10 VPN connections, và vì thế có thể mất tối đa10 trong số 20 IP addresses này cho VPN Clients. ISA Server 2004 Firewall có thể yêu cầu nhiều hơn 10 IP Addresses này từ DHCP server, nếu thực sự điều đó là cần thiết. Tiếp theo chúng ta sẽ đưa thông số subnet mask vào text box Length hoặc Subnet mask. Trong ví dụ ở đây, chúng ta xác nhận giá trị 24 trong Length text box. Giá trị Subnet mask cũng tự động thay đổi sau khi bạn đã điền giá trị vào Length.Click Next.

8. Không xác định bất kì exclusions (vùng loại trừ, nhằm mục đích dự trữ cho nhu cầu dùng IP addresses tương lai, hoặc để tránh cấp phát những IP đang được sử dụng cố định trên Network cho các thiết bị như Routers, Network Printers..), trên Add Exclusions page. Click Next.

9. Chấp nhận lượng thời gian cho thuê địa chỉ (lease duration) là 8 ngày tại Lease Duration page. Click Next.

10. Trên Configure DHCP Options page, chọn Yes, I want to configure these options now option và click Next.

11. Trên Router (Default Gateway) page, điền vào IP address của internal interface (10.0.0.1) trên ISA Server 2004 Firewall computer trong IP address text box và click Add. Click Next.

12. Trên Domain Name and DNS Servers page, điền tên Domain của Internal Network trong Parent domain text box. Đây là Domain name được dùng bởi các DHCP clients, căn cứ vào đây, các Clients này sẽ xác định môi trường Network mà mình đang hoạt động, và thuận lợi cho các Admin sau này, khi cấu hình các thông số như wpad entry, có chức năng phục vụ cho các Web Proxy và Firewall client tự động phát hiện, và làm việc với Firewall Service hoặc Web Proxy Service (hai Service vận hành trên ISA Server 2004) chức năng này gọi là Autodiscovery. Trong ví dụ này, các bạn sẽ đưa vào tên Domain là MSFirewall.org trong text box. Trong IP address text box, điền IP address của DNS server (10.0.0.2) trên Internal Network. Chú ý domain controller cũng là DNS server internal Network như đã xác định tại các phần trước. Click Add. Click Next.

13. Trên WINS Servers page, điền IP address của WINS server (10.0.0.2) và Click Add

14. Trên Activate Scope page, chọn Yes, I want to activate this scope now option và click Next.

15. Click Finish trên Completing the New Scope Wizard page.

16. Trong DHCP console, mở rộng Scope 1 node, click vào Scope Options node. Bạn sẽ thầy danh sách các Options vừa cấu hình.

17. Đóng DHCP console.

Tại thời điểm này DHCP server sẵn sàng phục vụ phân chia các thông số liên quan đến IP address cho DHCP clients trên Nội bộ Network ,và cả các VPN Clients thuộc VPN clients Network. Tuy nhiên, ISA Server 2004 Firewall sẽ chưa cung cấp các thông số IP này cho VPN Clients khi mà Admin chưa cho phép triển khai Service VPN (VPN server) trên Firewall.

Kết luận:

Trong chương này, chúng ta đã thảo luận việc sử dụng Microsoft WINS và DHCP servers, cài đặt cả hai Service này lên Domain controller, và cấu hình một DHCP Scope trên DHCP server. Ở phần sau chúng ta sẽ nói đến cách thức mà các Service này sẽ hỗ trợ cho các VPN clients.

Đón đọc Chương 5: Cấu hình DNS và DHCP để hỗ trợ tính năng Autodiscovery cho Web Proxy và Firewall Client sẽ được phát hành

Chương trước: CHƯƠNG 3: Cài đặt và cấu hình Microsoft Internet Authentication Service

Ho Viet Ha - Owner
Network Information Security Vietnam, Inc.
http://nis.com.vn
Email:
[email protected]

Theo Quản Trị Mạng
  • 3.431