Tạo VPN Site-to-site trên ISA 2006 (Phần 7)

Trong bài trước chúng ta cũng xem xét tác động của các liên lạc RPC qua ISA Firewall. Ở bài này có một số điểm khác với nhiều câu hỏi khó trả lời hơn. Hy vọng, sau khi phân tích và “đưa vấn đề ra ánh sáng”, chúng ta có thể khai thác được thêm nhiều kiến thức và kinh nghiệm từ cộng đồng ISA Firewall qua các trả lời của họ.
Nội dung trích xuất từ tài liệu:
Tạo VPN Site-to-site trên ISA 2006 (Phần 7)Tạo VPN Site-to-site trên ISA 2006 (Phần 7)Nguồn:quantrimang.comMột số tác động của liên lạc RPC qua ISA Firewall.Trong bài trước chúng ta đã các Enterprise Policy, cho phép đưa DomainController vào văn phòng chi nhánh. Chúng ta cũng đã được biết cách cấu hìnhtường lửa tự động, đặc biệt hữu ích khi triển khai các mảng ISA Firewall trêndiện rộng.Sau 6 phần đầu, đến giờ chúng đã đã tạo thành công và đưa vào hoạt độngVPN Site-to-Site, đồng thời sẵn sàng triển khai Domain Controller branch office ởvăn phòng chi nhánh. Tiếp đó là cài đặt Active Directory tích hợp DNS servertrên DC và cấu hình ISA Firewall branch office sử dụng DNS server với vai trònhư một server DNS chính. Điều này sẽ giúp loại bỏ phụ thuộc trên kết nối VPNSite-to-Site, tăng khả năng sẵn sàng cao cho dịch vụ DNS.Trong bài trước chúng ta cũng xem xét tác động của các liên lạc RPC qua ISAFirewall. Ở bài này có một số điểm khác với nhiều câu hỏi khó trả lời hơn. Hyvọng, sau khi phân tích và “đưa vấn đề ra ánh sáng”, chúng ta có thể khai thácđược thêm nhiều kiến thức và kinh nghiệm từ cộng đồng ISA Firewall qua cáctrả lời của họ.Loại bỏ Strict RPC-compliancetrên quy tắc liên lạc nội miềnMột vấn đề phổ biến thường hay xảy ra từ khi các liên lạc thực hiện qua ISAFirewall là chức năng autoenrollment hoạt động không chính xác như mongmuốn. Một vấn đề khác cũng liên quan mật thiết với nó là các chứng chỉ MMCsnap-in không hoạt động được. Trước đây có một bài trong phần Hướng dẫn cơbản (KB) của Microsoft chỉ ra rằng, nếu chúng ta loại bỏ strict RPC-compliancetrên Access Rule thì hai chức năng này sẽ hoạt động bình thường.Chúng ta cần chứng chỉ tự động thu hồi vì nó liên quan đến CA enterprise (cơchế thẩm định doanh nghiệp) cài đặt trên Domain Controller của trụ sở chính. CAenterprise cho phép bạn đặt tự động chứng chỉ CA trong khu lưu trữ chứng chỉmáy Trusted Root Certificate Authorities của tất cả thành viên miền. Quả là rấttiện lợi, vì tất cả thành viên miền sẽ tự động tin tưởng tất cả chứng chỉ do PKIenterprise của chúng ta cấp.Thực hiện các bước sau để loại bỏ Strict RPC-compliancetrên Access Rule củaliên lạc nội miền:1. Trong console ISA Firewall, mở rộng nút Enterprise, sau đó là nút Enterprise Policies. Chọn nút Branch Policy và kích phải chuột lên Branch DCs > Main DC Access Rule, bấm chọn Configure RPC protocol. Hình 12. Trong hộp thoại Configure RPC protocol policy, bỏ dấu chọn ở ô Enforce strict RPC compliance. Kích OK. Hình 2 3. Ấn Apply để ghi lại các thay đổi và update chính sách tường lửa. Bấm OK trong hộp thoại Apply New Configuration.Nhiều người đặt ra câu hỏi là liệu chúng ta có nên cho phép sử dụng lại StrictRPC-compliance sau khi cài đặt DC branch office không. Thực ra chưa có câutrả lời thoả đáng nào cho vấn đề này, vì các chi tiết chính xác của thiết lập khôngđược công bố rộng rãi. Để kiểm tra, bạn có thể giả sử rằng sẽ an toàn hơn khicho phép sử dụng strict RPC-compliance. Nhưng liệu thành phần bảo mật nàycó phá vỡ một số chức năng cơ bản cốt yếu. Suy cho cùng, lựa chọn tốt nhấtcho chúng ta là loại bỏ thành phần này.Nói vậy nhưng, quyết định cuối cùng là tuỳ thuộc vào bạn. Nếu không cần chứcnăng autoenrollment, bạn có thể sử dụng strict RPC-compliance.Nhưng chú ý là không có cái gì gọi là câu trả lời chính xác hay câu trả lời sai ởđây cả. Chỉ là sự lựa chọn trường hợp bảo mật nào phù hợp nhất với hoàn cảnhcủa bạn mà thôi.Chạy CDPromo trên máy Domain Controller branch officeBây giờ chúng ta đã sẵn sàng cài đặt Domain Controller tại văn phòng chinhánh. Thực hiện công việc này như thế nào là tuỳ thuộc vào môi trường củabạn. Có nhiều công ty tạo môi trường thử nghiệm với lược đồ địa chỉ IP xâydựng lại tương tự như thực tế của văn phòng chi nhánh. Sau đó cài đặt, cấuhình DC ở văn phòng chính trước, rồi mới gắn với văn phòng chi nhánh sau. Mộtsố công ty khác lại gắn máy DC tại văn phòng nhánh, sau đó cử chuyên viên ITở trụ sở chính tới để cài đặt DC.Mỗi cách thức trên đều có những điểm lợi thế và bất cập riêng. Cá nhân tôi thíchgửi các chuyên viên IT tới văn phòng chi nhánh hơn. Vì triển khai DC là vấn đềcực kỳ quan trọng, và thường tốt nhất là nên có một người nào đó biết cách xửlý các vấn đề tiềm ẩn phát sinh trực tiếp tại nơi triển khai.Thực hiện các bước sau để cài đặt DC trên máy Domain Controller branchoffice: 1. Vào Start > Run > nhập dcpromo trong ô Open. Kích OK. 2. Bấm Next trên trang Welcome to the Active Directory Installation Wizard. 3. Đọc thông tin trên trang Operating System Compatibility và kích Next. 4. Trên trang Domain Controller Type, chọn tuỳ chọn Additional domain controller for an existing domain và kích Next. Hình 35. Trên trang Network Credentials, nhập thông tin thẩm định của người dùng có quyền cài đặt các Domain Controller mới. Kích Next. Hình 46. Trên trang Additional Domain Controller, kích chuột vào nút Browse và ấn chọn tên miền của main office. Ở ví dụ này, tên miền là msfirewall.org. Nhập tên miền vào danh sách trong hộp thoại Browse for Domain. Bấm OK và kích Next để tiếp tục. Hình 57. Trên trang Database and Log Folders, chấp nhận các thiết lập mặc định và bấm Next.8. Trên trang Shared System Volume, chấp nhận khu vực mặc định và bấm Next.9. Nhập mật khẩu và kiểm chứng mật khẩu trên trang Directory Services Restore Mode Administrator Password rồi kích Next.10. Kích Next trên trang Summary, kích Next tiếp.11. Chương trình Installation Wizard bắt đầu. Giữ nguyên cho đến khi nào bạn thấy trang hoàn thành xuất hiện. Hình 612. Kích Finish trên trang Completing the Active Directory Installation Wizard. ...