Конфигурирование ip настроек на Gray интерфейсе.

Теперь начнем настраивать серое соединение. В принципе практически все то же самое, только безопасность этого соединения немного либеральнее. В окне с вашими соединениями правой кнопкой мыши щелкните на Gray интерфейсе и выберите Properties.

Отметьте пункт Internet Protocol (TCP/IP), далее нажмите на кнопку Properties, чтобы открыть настройки TCP/IP. Так же как и в предыдущем случае отметьте пункт Use the following IP address: и введите IP адрес который вы назначили для сервера (рис.1.8.6).

Рис. 1.8.6. Настройка протокола TCP/IP внешнего интерфейса.

Этот адрес должен соответствовать стандарту RFC-1918 и не может использоваться во внешней сети интернет, иначе ISA сервер скорее всего будет работать некорректно, если вообще будет работать. Так же введите Subnet Mask. Важно: поле Default Gateway оставьте пустым. Его заполнять НЕ надо.

Стандарт RFC-1918 подразделяется на три группы.

10/8

IP range = 10.0.0.1 - 10.255.255.254 Subnet mask = 255.0.0.0 одна подсеть, 16.777.214 хостов

172.16/12

IP range = 172.16.0.1 - 172.31.255.254 Subnet mask = 255.240.0.0 14 подсетей, 983.038 хостов

192.168/16

IP range = 192.168.0.1 - 192.168.255.254 Subnet mask = 255.255.0.0 одна подсеть, 65.534 хостов

Последний вариант используется чаще всего.

IP range = 192.168.0.1 - 192.168.255.254 Subnet mask=255.255.255.0 254 подсети, 254 хоста

В поле для DNS сервера введите IP адрес вашего DNS сервера который отвечает за преобразование ВНУТРЕННИХ адресов, т.е. адресов вашей локальной сети. Если у вас настроен Domain Controller, то в качестве первичного(Preferred) DNS необходимо поставить именно DNS для этого domain controllera. Если вы используете еще один сервер DNS, например для преобразования интернет имен, то его следует поставить как альтернативный(Alternate). Если у вас настроены несколько серых подсетей (192.168.0.х, 192.168.1.х, и т.д.) вы должны определить таблицу маршрутизации в ISA для ваших подсетей. Наиболее простой путь, это определить так называемую бесклассовую маршрутизацию (CIDR) с помощью команды Route. Далее нажмите кнопку Advanced и перейдите на закладку DNS. Если ваш DNS сервер поддерживает динамическое обновление (DNS сервера в контроллере домена должны обязательно поддерживать) то поставьте галочку в пункте Register this connection's address in DNS, если не поддерживает то снимите галочку, если она установлена. Если DNS не поддерживает динамическое обновление и вы оставите эту галочку включенной, то это может помешать DHCP клиенту ISA сервер зарегистрировать этот IP адрес в перечисленных DNS серверах (рис.1.8.7).

Рис.1.8.7. Дополнительные настройки внутреннего сетевого интерфейса.

Далее переходим на закладку WINS и включите Enable NetBIOS over TCP/IP, если она не включена (хотя по умолчанию включена всегда). Так же оставьте не отмеченным пункт Enable LMHOSTS lookup.

Настройка ISA Server.

Задание 1. Создание правила протокола

Сейчас вы создадите правило протокола, разрешающее безопасный доступ в Интернет.

Запуск мастера New Protocol Rule

1. Войдите в систему сервера Server1 под учетной записью Administrator (Администратор).

2. Щелкните кнопку Start (Пуск), затем последовательно выберите пункты меню Programs (Программы), Microsoft ISA Server и ISA Management.

3. Откройте меню View и отметьте команду Taskpad.

4. В дереве консоли последовательно раскройте узлы Servers and Arrays и MyArray. При этом откроются узлы конфигурации компьютера Server1.

5. Раскройте узел Access Policy и выберите папку Protocol Rules.

6. В области сведений щелкните значок Create Protocol Rule.

Создание правила протокола при помощи мастера New Protocol Rule

1. В текстовом поле Protocol Rule Name введите AllowIP (разрешить IP-трафик). Примечание. Здесь решается упрошенная задача: разрешить всем внутренним клиентам доступ к любому IP-трафику. В реальности часто требуется ограничивать доступ определенных пользователей, групп пользователей или подмножеств клиентов к определенным протоколам.

2. Щелкните кнопку Next.

В окне Rule Action установите переключатель в положение Allow и щелкните Next.

3. На странице Protocols в поле со списком Apply this rule to выберите элемент All IF traffic и щелкните кнопку Next.

4. На странице Schedule (расписание) в поле со списком Use This Schedule выберите элемент Always и щелкните Next.

5. На странице Client Type установите переключатель в положение Any Request и щелкните кнопку Next.

6. На странице Completing the New Protocol Rule Wizard щелкните Finish. В области сведений появится только что созданное правило AllowIP. Примечание. Между созданием правила протокола и началом его действия иногда проходит определенное время, поэтому перед выполнением задания 2 подождите несколько минут или перезапустите ISA-сервер в соответствии с инструкциями в занятии 4 этой главы.

Задание 2. Настройка Internet Explorer на использование службы Web-прокси

В этом задании вы настроите Internet Explorer на взаимодействие со службой Web-прокси ISA-сервера. Для связи с Интернет-провайдером используйте подключение по телефонной линии компьютера Server1.

1. Войдите в домен Domain01 с компьютера Server2 под учетной записью Administrators (Администратор).

2. Запустите Internet Explorer.

3. Если откроется окно мастера Internet Connection Wizard (Мастер подключения к Интернету), выполните при помощи этого мастера настройку подключения к Интернету по локальной сети.

4. В меню Tools (Сервис) выберите команду Internet Options (Свойства обозревателя).

5. На вкладке Connections (Подключение) щелкните кнопку LAN Settings (Настройка сети).

6. Сбросьте флажок Use A Proxy Server (Использовать прокси-сервер).

7. В поле Address (Адрес) введите 192.168.0.1, а в поле Port (Порт) - 8080.

8. Щелкните кнопку ОК, чтобы закрыть диалоговое окно Local Area Network (LAN) Settings (Настройка локальной сети).

9. Щелкните OK, чтобы закрыть диалоговое окно Internet Options (Свойства обозревателя).

Теперь на компьютере Server2 должен стать доступным просмотр Web-узлов при помощи Internet Explorer.

Установка клиента брандмауэра

Сейчас вы установите клиент брандмауэра. Если на компьютере его нет, служба брандмауэра применяет правила политики доступа только к IP-адресам внутренних клиентов. После установки клиента брандмауэра становится возможным применять правила политики доступа не только к IP-адресам, но и к отдельным пользователям и компьютерам. Клиенты брандмауэра повышают производительность за счет поддержки локальных копий LAT и LDT (Local Domain Table), встроенной поддержки протоколов с дополнительными подключениями, возможности дополнительной настройки параметров Winsock-приложений средствами глобального файла конфигурации клиента Mspclnt.ini и автоматического обнаружения ISA-сервера.

Установка клиента брандмауэра в локальной сети

Это задание выполняется на сервере Server2.

1. Откройте папку My Network Places (Мое сетевое окружение) и найдите в сети ресурс \\serverl\mspclnt\.

2. Дважды щелкните значок Setup в папке \\server1\mspclnt\. Откроется окно мастера установки клиента брандмауэра.

3. Щелкните кнопку Next.

4. В окне Destination Folder (папка для установки) подтвердите предлагаемую по умолчанию папку для установки клиента и щелкните Next.

5. В окне Ready to Install the Program щелкните Install. Мастер выполнит установку клиента брандмауэра и откроет окно Install Wizard Completed.

6. Щелкните кнопку Finish.