Xem mẫu
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
SECURE SERVER PUBLISHING
I. GIỚI THIỆU:
Bài Lab dùng 3 máy:
- ISA server (PC lẻ) : Bản ghost P1
- DC (PC chẵn) : Bản ghost P3_EX1
- Client : Bản ghost P4
Bài Lab gồm những nội dung chính:
1. Chuẩn bị hệ thống
2. Publish DNS server
3. Publish Secure Web server
4. Publish Secure Outlook Web Access
II. THỰC HIỆN:
Qui ước: P: số phòng. X: số máy ISA (PC lẻ). Y: số máy DC (PC chẵn). Z: số máy Client
Chú ý: Điều chỉnh lại IP của các máy theo bảng sau:
INTERFACE
Thông số LAN CROSS
PC
IP / S.M. 192.168.P.X / 24 172.16.X.1 / 24
ISA Default Gateway 192.168.P.200 -
Preferred DNS server - 172.16.X.2
IP / S.M. 172.16.X.2 / 24
DC Default Gateway Disable 172.16.X.1
Preferred DNS server 172.16.X.2
IP / S.M. 192.168.P.Z / 24
ISA Default Gateway 192.168.P.200 Disable
Preferred DNS server 192.168.P.X
1. Chuẩn bị hệ thống: Tương tự phần 1 của bài Server Publishing
2. Publish DNS Server: Tương tự phần 2 của bài Server Publishing
B1 Xây dựng External DNS
server (thực hiện trên máy
ISA)
- Cài service DNS.
- Điều chỉnh để DNS
service chỉ lắng nghe
trên interface CROSS
- Tạo host:
www.domY.com,
chỉ về IP
192.168.P.X.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 45
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B2 Tạo rule Publish DNS (thực hiện trên máy ISA)
3. Publish Secure Web Server:
B1 Tạo alias www.domY.com (thực hiện trên máy DC) B2 Xây dựng trang web default (thực
hiện trên máy DC)
B3 Xây dựng Certification Authority Server: Cài Enterprise Root CA. Common name: CA DomY (thực hiện
trên máy DC, tham khảo Lab 70-299)
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 46
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B4 Xin certificate cho Web server (thực hiện trên
máy DC)
- Start Programs > Administrative Tools - Trong hộp thoại Default Web Site Properties
Internet Information Services. tab Directory Security Server
- Trong cửa sổ Internet Information Services Certificate.
Click phải Default Web Site Properties.
- Màn hình Welcome Next
- Hộp thoại Server Certificate chọn Create
a new certificate Next
- Hộp thoại Delayed or Immediate Request
chọn Send the request immediately…
Next
- Hộp thoại Name and Security Settings
giữ nguyên thông số mặc định Next.
- Hộp thoại Organization Information nhập
Organization name và Organization unit
name Next.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 47
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
- Hộp thoại Your Site’s Common Name
nhập Common Name: www.domY.com
- Hộp thoại Geographical Information chọn Country/Region và nhập thông tin City/Locality
Next
- Hộp thoại SSL Port giữ nguyên thông số port 443 mặc định Next.
- Hộp thoại Choose a Certification Authority giữ nguyên thông số mặc định Next.
- Hộp thoại Certification Request Submission Next Finish.
B5 Kiểm tra hoạt động của trang B6 Share certificate của root CA (thực hiện trên máy DC):
secure web default (thực hiện trên - Trên ổ đĩa G, tạo thư mục SharedCert.
máy DC): Trong chương trình Internet - Share thư mục SharedCert.
Explorer, nhập địa chỉ: - Copy file certtificate của Enterprise root CA từ thư mục
HTTPS://www.domY.com gốc ổ đĩa G vào thư mục SharedCert
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 48
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B7 Import certificate của Enterprise root CA vào - Start Run mmc
Trusted root CA của ISA server (thực hiện trên - Trong console1 Add snap-in “Certificate” >
ISA server) chọn “Computer account” (local computer)
- Map thư mục SharedCert thành ổ đĩa Z - Console1 Trusted Root Certification
của ISA server Authority Click phải Certificates All tasks
Import
- Hộp thoại File to Import Browse về ổ
đĩa Z chọn certificate của Enterprise
root CA Next Next OK
B8 Điều chỉnh system rule để ISA - Hộp thoại System Policy Editor trong khung
server có thể truy cập trang web của Configuration Groups chọn Allow Sites chọn tab To
domY.com. chọn System Policy Allow Sites Edit
- Trong cửa sổ ISA server
Management Click phải
lên Firewall Policy Edit
System Policy
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 49
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
- Hộp thoại System Policy Allow Sites New
Nhập vào giá trị: “ *.domY.com ” OK
OK
- Trong cửa sổ ISA server Management
Apply OK
B9 Xin certificate cho ISA server (thực hiện trên máy ISA)
- Khai báo http://www.domY.com vào Trusted Sites:
Trong chương trình Intenet Explorer menu Tool
Internet Options tab Securuty chọn Trusted
Sites Sites trong khung “Add this Web site to
the zone” nhập: http:// www.domY.com Add
Close OK
- Trong chương trình Intenet Explorer nhập URL: http://www.domY.com/CERTSRV Request a
certificate advanced certificate request Create and submit a request to this CA Khai báo
các thông số:
• Certificate template: Web Server
• Name: www.domY.com
• Check “Store certificate in the local computer certificate store”
- Submit và Install certificate.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 50
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B10 Tạo Secure Web Listener (trên máy ISA) - Hộp thoại Welcome Đặt tên: “HTTPS
Listener” Next
- Hộp thoại IP Addresses đánh dấu chọn
External network Next
- Hộp thoại Port Specification Bỏ dấu
chọn Enable HTTP port 80 Chọn Enable
SLL port 443 Select
- Hộp thoại Select Certificate chọn
certificate www.domY.com OK
- Quay về Hộp thoại Port Specification
Next
- Hộp thoại Completing… Finish Cửa sổ ISA Server Management Apply OK
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 51
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B11 Tạo rule publish secure web - Hộp thoại Welcome Đặt tên: “Publish
Secure Web” Next
- Hộp thoại Publishing Mode chọn SSL
Bridging Next
- Hộp thoại Select Rule Action chọn Allow - Hộp thoại Bridging Mode chọn “Secure
Next connection to clients and Web server”
- Hộp thoại Define Website to Publish - Hộp thoại Publish Name Details Nhập
nhập Computername “www.domY.com” Public Name: “www.domY.com” Next
Next
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 52
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
- Hộp thoại Select web listener chọn
HTTPS Listener Next
- Hộp thoại User sets giữ nguyên set “All
Users” Next
- Hộp thoại Completing the New SSL Web
Publishing Rule Wizard Finish
- Trên cửa sổ ISA Server Management
Apply OK
B12 Kiểm tra hoạt động (thực hiện trên máy Client): Trong chương trình Internet Explorer, nhập URL:
HTTPS://WWW.DOMY.COM Yes.
4. Publish Secure Outlook Web Access:
B1 Bổ sung dữ liệu
External DNS server
(thực hiện trên máy
ISA):
Tạo host:
smail.domY.com
chỉ về IP
192.168.P.X.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 53
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B2 Bổ sung dữ liệu
Internal DNS server
(thực hiện trên máy
DC):
Tạo alias:
smail.domY.com
chỉ về host
pcY.domY.com.
B3 Xin certificate cho Exchange mail server (thực hiện trên máy DC):
• Remove certificate cũ:
- Start Programs > Administrative Tools
Internet Information Services.
- Trong cửa sổ Internet Information Services Click
phải Default Web Site Properties.
- Trong hộp thoại Default Web Site Properties tab
Directory Security Server Certificate
- Màn hình Welcome Next
- Hộp thoại Server Certificate chọn Remove the
current certificate Next Finish
• Xin certificate:
- Trong hộp thoại Default Web Site
Properties tab Directory Security
Server Certificate
- Màn hình Welcome Next
- Hộp thoại Server Certificate chọn
Create a new certificate Next
- Hộp thoại Delayed or Immediate Request - Hộp thoại Organization Information nhập
chọn Send the request immediately… Organization name và Organization unit name
Next Next.
- Hộp thoại Your Site’s Common Name nhập
Common Name: smail.domY.com
- Hộp thoại Name and Security Settings
giữ nguyên thông số mặc định Next.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 54
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
- Hộp thoại Geographical Information chọn Country/Region và nhập thông tin City/Locality
Next
- Hộp thoại SSL Port giữ nguyên thông số port 443 mặc định Next.
- Hộp thoại Choose a Certification Authority giữ nguyên thông số mặc định Next.
- Hộp thoại Certification Request Submission Next Finish.
B4 Cấu hình các virtual directory của Exchange server:
- Start Programs > Administrative Tools Internet Information Services.
- Trong cửa sổ Internet Information Services Web Sites Default Web Site.
• Exchange virtual directory:
- Click phải vào Exchange - Hộp thoại Exchange Properties tab Directory
Properties Security mục Secure Communications Edit
- Hộp thoại Secure Communications
check vào option Require Secure
Channel (SSL) OK OK
• ExchWeb virtual directory:
- Click phải vào ExchWeb Properties
- Hộp thoại ExchWeb Properties tab Directory Security mục Secure Communications Edit
- Hộp thoại Secure Communications check vào option Require Secure Channel (SSL)
• Public virtual directory:
- Click phải vào Public Properties
- Hộp thoại Public Properties tab Directory Security mục Secure Communications Edit
- Hộp thoại Secure Communications check vào option Require Secure Channel (SSL)
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 55
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B5 Xin certificate cho ISA server (thực hiện trên máy ISA):Trong chương trình Intenet Explorer nhập
URL: http://pcY.domY.com/CERTSRV Request a certificate advanced certificate request Create
and submit a request to this CA Khai báo các thông số:
• Certificate template: Web Server
• Name: smail.domY.com
• Check “Store certificate in the local computer certificate store”
- Submit và Install certificate.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 56
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B6 Điều chỉnh HTTPS Listener
- Trên cửa sổ ISA Server Management - Hộp thoại HTTPS Listener Properties tab
Properties của HTTPS Listener Preferences Select
- Hộp thoại Select Certificate chọn
certificate Issued To smail.domY.com
OK OK
- Trên cửa sổ ISA Server Management
Apply OK
B7 Tạo rule publish Secure Outlook Web Access (thực hiện trên máy ISA)
- Hộp thoại Welcome Đặt tên: “Publish
Secure OWA” Next
- Hộp thoại Select Access Type chọn Web
client access: Outlook Web Access (OWA),
Outlook Mobile… Next
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 57
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
- Hộp thoại Select Service chọn Outlook
Web Access Next
- Hộp thoại Bridging Mode chọn Secure
connections to clients and mail server
Next
- Hộp thoại Specify the Web Mail Server - Hộp thoại Public Name Details Nhập
nhập vào smail.domY.com Next public name smail.domY.com Next
- Hộp thoại Select Web Listener chọn
HTTPS Listener Next
- Hộp thoại User Sets Giữ nguyên thông số
mặc định All Users Next
- Hộp thoại Completing the New Mail Server
Publishing Rule Wizard Finish.
- Để user có thể gửi mail ra ngoài, tạo thêm 02 access rule:
Rule Name : “DNS Outbound” Rule Name : “SMTP Outbound”
Action : Allow Action : Allow
Protocol : DNS Protocol : SMTP
Rule source : Internal Rule source : Internal
Rule destination : External Rule destination : External
User sets : All Users User sets : All Users
- Trên cửa sổ ISA Server Management Apply OK
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 58
- Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM
Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com
B8 Kiểm tra hoạt động (thực hiện trên máy Client):
Dùng chương trình Internet Explorer truy cập địa chỉ HTTPS://smail.domY.com/exchange. Gửi mail cho
Administrator@domY.com để kiểm tra.
Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 59
nguon tai.lieu . vn