Đề tài Cấu hình DNS và DHCP để hỗ trợ tính năng Autodiscovery cho Web Proxy và Firewall Client

Cài đặt và cấu hình ISA Server Firewall 2004 (chapter 5)   Tác giả: www.nis.com.vn Chương 5: Cấu hình DNS và DHCP để hỗ trợ tính năng Autodiscovery cho Web Proxy và Firewall Client Web Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các trình duyệt Web browsers (như Internet Explorer, Nestcape Navigator…) và ISA Firewall client có thể tự động khám phá ISA Server 2004 Firewall (IP address). Các Client này sau đó có thể download các thông tin cấu hình tự động (Autoconfiguration information) từFirewall, sau đó Web Proxy và Firewall client sẽ discover ra address liên lạc với ISA Server. Tóm lại chức năng WPAD giải quyết cung cấp các thông số tự động cho các Web browsers. Xác lập mặc định trên Internet Explorer 6.0 là autodiscover Web proxy client. Khi xác lập này được enabled, Web browser có thể gửi đi một thông điệp DHCPINFORM message hoặc một truy vấn DNS query để tìm địa chỉ của ISA Server 2004, dựa trên những thông tin đã nhận được (download) từ Autoconfiguration information. Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng Firewall (detect Firewall) để kết nối ra Internet. ISA Server 2004 Firewall client cũng có thể dùng wpad entry để tìm ISA Server 2004 Firewall và download các thông tin cấu hình này về. Trong phần này chúng ta sẽ tiến hành • Cấu hình hỗ trợ DHCP WPAD • Cấu hình hỗ trợ DNS WPAD Sau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web Proxy và Firewall clients sẽ không cần phải cấu hình thủ công để có thể ra Internet thông qua ISA Server 2004 Firewall. Cấu hình hỗ trợ DHCP WPAD DHCP scope option số 252 có thể được dùng để cấu hình tự động cho Web Proxy và Firewall clients. Web Proxy hoặc Firewall client phải được cấu hình trở thành DHCP client, và các Users log-on vào các Clients này phải là thành viên của nhóm Local administrators group hoặc Power users group (Windows 2000). Trên Windows XP, thì chỉ cần là thành viên của nhóm Network Configuration Operators group là có quyền để thực hiện gửi các truy vấn DHCP (DHCPINFORM messages). Chú ý: Chi tiết hơn về những hạn chế của việc dùng DHCP phục vụ Autodiscovery cho Internet Explorer 6.0, tham khảo hướng dẫn “Automatic Proxy Discovery in Internet Explorer with DHCP Requires Specific Permissions “ tại Tiến hành các bước sau tại DHCP server để tạo DHCP option phục vụ cho chức năng wpad 1. Mở DHCP console từ Administrative Tools menu, right click server name. Click Set Predefined Options 2. Trong Predefined Options and Values dialog box, click Add. 3. Trong Option Type dialog box, đưa vào các thông tin sau: Name: wpad Data type: String Code: 252 Description: wpad entry Click OK. 4. Trong khung Value, điền vào địa chỉ URL dẫn đến ISA Server 2000 Firewall trong String text box. Theo định dạng như sau: Number/wpad.dat Mặc định Autodiscovery port number là TCP 80. Port 80 này có thể thay đổi thông qua cấu hình trên ISA Server 2004.. Chi tiết về cấu hình này sẽ thảo luận sau. Trong ví dụ hiện tại, điền vào String text box: Đảm bảo rằng wpad.dat không dùng những kí tự viết hoa. Về vấn đề này có thể tham khảo tại "Automatically Detect Settings Does Not Work if You Configure DHCP Option 252” Thực ra problem này là do cơ chế nhận dạng case sensitive trên ISA Server 2004, do đó nếu không phải là wpad.dat, mà lại là Wpad.dat, hoặc WPad.dat trong URL, đều khiến ISA Server 2004 phủ nhận. Click OK. 5. Right click trên Scope Options node và click Configure Options. 6. Trong Scope Options dialog box, kéo xuống danh sách Available Options và đánh dấu- check vào 252 wpad check box. Click Apply và click OK. 7. 252 wpad entry giờ đây xuất hiện dưới Scope Options. 8. Đóng DHCP console. Tại thời điểm này một DHCP client được log-on với tài khoản local administrator (hoặc Power users..) sẽ có thể dùng DHCP wpad để hỗ trợ cho việc tự động khám phá (automatically discover) ISA Server 2004 Firewall và tiếp đó là tự cấu hình cho chính mình. Tuy nhiên, ISA Server 2004 Firewall phải được cấu hình để hỗ trợ để publish các thông tin của mình phục vụ cho Autodiscovery information. Chúng ta sẽ bàn đến vấn đề này tại các chương sau Cấu hình hỗ trợ DNS WPAD Phương pháp khác để phân phối thông tin Autodiscovery cho Web Proxy và Firewall clients là dùng DNS. Admin có thể tạo một wpad alias entry trong DNS server và cho phép các Internet Browser trên Clients sử dụng thông tin này để cấu hình tự động cho chính nó. Tôi muốn nhấn mạnh ở đây là chính trình duyệt- Browser sẽ làm việc này, tương phản với phương pháp dùng DHCP mà chúng ta đã gặp trước đó (User log-on phải là thành viên của những Group đặc biệt trong Windows operating system). Phương thức giải quyết Tên (Name resolution), là yếu tố chủ chốt trong phương pháp này của Web Proxy và Firewall client để Autodiscovery có thể làm việc chính xác. Trong trường hợp này Hệ điều hành Clients phải có khả năng tìm FQDN name của wpad alias trên DNS server. Ở đây Web Proxy và Firewall client chỉ cần biết rằng nó có khả năng giải quyết tên wpad. Không cần phải nằm trong một Domain cụ thể nào mới có thể giải quyết wpad name. Chúng ta sẽ đề cập đến vấn đề này chi tiết hơn ở phần sau Chú ý: Ngược lại với phương pháp dùng DHCP để cấp thông tin tự động đến Web Proxy và Firewall clients Chúng ta sẽ không có lựa chọn dùng port number để publish Autodiscovery information khi sử dụng phương pháp DNS . Bạn phải publish thông tin tự động này trên TCP Port 80. Tiến hành các bước sau để cấu hình DNS hỗ trợ Web Proxy và Firewall client tự động khám phá ISA Server 2004 Firewall: • Tạo wpad entry trong DNS • Cấu hình Clientsử dụng tên đầy đủ- fully qualified của wpad alias • Cấu hình trình duyệt- Client browser sử dụng Autodiscovery Tạo Wpad entry trong DNS Trước khi tạo wpad alias entry trong DNS. Alias này(cón được biết dưới tên là CNAME record) phải trỏ đến một (A) Host record đã được tạo cho ISA Server 2004 Firewall trên DNS server. (A) Host record trên DNS, giúp giải quyết hostname (ví dụ isalocal.MSFirewall.org ) của ISA Server 2004 Firewall đến Internal IP address của ISA Firewall. Cần tạo (A) Host record trước khi chúng ta CNAME record. Nếu DNS server cho phép các name records được đăng kí tự động thì hostname của ISA Server 2004 Firewall và IP address của nó sẽ được cập nhật tự động vào DNS và là một (A) Host record. Còn nếu DNS server không cho phép automatic registration, thì cần phải tạo (A) Host record cho ISA Server 2004 Firewall. Trong ví dụ này ISA Server 2004 Firewall đã đăng kí tự động với DNS, do Internal interface trên ISA Server 2004 Firewall được cấu hình để thực hiện việc này, và dĩ nhiên DNS server cũng được cấu hình để chấp nhận đăng kí động Host record này (unsecured dynamic registrations) Tiến hành các bước sau trên DNS server (xin nhắc lại: cũng là domain controller) của Internal Network: 1. Click Start, Administrative Tools. Click DNS entry. Trong DNS management console, right click trên Forward lookup zone của Domain và click New Alias (CNAME). 2. Trong New Resource Record dialog box, điền vào wpad trong Alias name (uses parent domain if left blank) text box. Click Browse. 3. Trong Browse dialog box, double click trên server name trong Records list. 4. Trong Browse dialog box, double click trên Forward Lookup Zone entry trong khung Records . 5. Trong Browse dialog box, double click trên tên của Forward lookup zone trong khung Records. 6. Trong Browse dialog box, chọn tên của ISA Server 2000 Firewall trong khung Records. Click OK. 7. Click OK trong Resource Record dialog box. 8. CNAME (alias) entry sẽ xuất hiện DNS management console. 9. Đóng DNS Management console. Cấu hình ISA Client để dùng Fully Qualified wpad Alias Web Proxy và Firewall client cần giải quyết tên của wpad. Các cấu hình của Web Proxy và Firewall client không thể giúp các Client này có được thông tin của wpad alias. Hệ điều hành của Web Proxy và Firewall client phải giải quyết được vấn đề này cho Web Proxy và Firewall client. Các truy vấn DNS phải ở dạng tên đầy đủ- fully qualified, trước khi các truy vấn này được gửi đến DNS server. Một yêu cầu dạng fully qualified bao gồm một hostname và một domain name. Web Proxy và Firewall client chỉ có thể biết hostname, còn Hệ điều hành của Web Proxy và Firewall client phải có khả năng xác định chính xác domain name của wpad host name, trước khi nó có thể gửi một truy vấn DNS đến DNS server. Có nhiều phương pháp có thể giúp Admin liên kết chính xác domain name với wpad, trước khi truy vấn được gửi đến DNS server. Hai phương pháp phổ biến để thực hiện điều này là: • Dùng DHCP khi tạo DHCP scope, xác nhận primary domain name cho các Clients • Cấu hình primary domain name trong mục Network identification trên Microsoft Windows (2000, XP,2003..)dialog box. Trong phần cấu hình Scope 1, trên DHCP server, chúng ta đã cấu hình một primary DNS name và xác định tên này (MSFIREWALL.ORG ) cho các DHCP clients thuộc Internal Network Domain. Các bước sau mộ tả xác lập primary domain name gắn liền với các truy vấn DNS Lưu ý: Trong Lab này không cần phải thực hiện những bước dưới đây, trên các Clients Computer của Internal Network. Do các Clients đã là thành viên của Active Directory domain trên Internet Network. Tuy nhiên, cũng nên xem qua các bước sau để hiểu cách primary domain name được cấu hình như thế nào trên một Computer không phải là thành viên của Internal Domain 1. Right click My Computer, click Properties. 2. Trong System Properties dialog box, click Network Identification tab. Click Properties . 3. Trong Changes dialog box, click More. 4. Trong Primary DNS suffix of this computer text box, điền vào domain name chứa wpad entry. Hệ điều hành sẽ gắn tên này vào wpad name trước khi gửi truy vấn đến DNS server. Theo mặc định primary domain name chính là tên của domain (MSFIREWALL.ORG )chứa Computer này. Nếu Computer không là thành viên của Domain thì text box sẽ để trống. Chú ý: Change primary DNS suffix when domain embership changes được enabled theo mặc định. Trong ví dụ hiện tại Computer không phải là thành viên của Domain. Cancel tất cả dialog boxes vừa xuất hiện và không cấu hình primary domain name tại thời điểm này.Cũng lưu ý, nếu trên Internal Network có nhiều Domain, và Clients thuộc nhiều Domains, chúng ta cần tạo nhiều wpad CNAME alias cho mỗi domains. Cấu hình trình duyệt- Client Browser để sử dụng Autodiscovery Trong bước này, chúng ta sẽ cấu hình cho trình duyệt Internet Explorer, dùng chức năng Autodiscovery. Sau khi xác nhận chức năng này, Web browser trên các Clients sẽ làm việc trực tiếp với Web Proxy service của ISA Server 2000 Firewall với cơ chế tự động khám phá- Autodiscovery 1. Right click trên Internet Explorer icon, click Properties. 2. Trong Internet Properties dialog box, click Connections tab. Click LAN Settings 3. Trong Local Area Network (LAN) Settings dialog box, check vào Automatically detect settings check box. Click OK. 4. Click Apply, click OK trong Internet Properties dialog box. Bước kế tiếp, cần cấu hình trên ISA Server 2000 Firewall để publish thông tin về Autodiscovery, hỗ trợ cho Web Proxy và Firewall clients. Kết luận: Chúng ta đã đề cập ở các chương trước về việc sử dụng Microsoft Internet Authentication Server, cách thức cài đặt và cấu hình IAS server trên một Domain controller thuộc Internal Network. Trong các phần sau, chúng ta sẽ IAS server này, để xác thực các kết nối từ xa của Web và VPN client (incoming connections).