Giới thiệu về Network Access Protection (Phần 1)
Giới thiệu về Network Access Protection (Phần 2)
Trong phần 2 của loạt bài viết này, chúng ta đã đi qua toàn bộ quá trình cài đặt Enterprise Certificate Authority (ECA) được sử dụng bởi một máy chủ. Trong phần 3 này chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cách làm thế nào đề cấu hình máy chủ VPN cần thiết. Với các mục đích trong loạt bài viết này, chúng tôi sẽ cài đặt Network Policy Server vào một máy tính cùng cấu hình như máy tính sử dụng cho máy chủ VPN. Trong triển khai của thế giới thực bạn luôn muốn sử dụng hai máy tính riêng biệt để cấu hình các vai trò của nó. Việc cấu hình cả hai vai trò trên cùng một máy tính chỉ nên thực hiện trong phòng thí nghiệm.
Các nhiệm vụ cấu hình cơ bản
Trước khi trình bày về cách cấu hình máy chủ này như một máy chủ VPN, bạn phải thực hiện một số nhiệm vụ cấu hình cơ bản. Về bản chất, điều đó nghĩa là bạn phải cài đặt Longhorn Server và cấu hình nó để sử dụng một địa chỉ IP tĩnh. Địa chỉ IP phải được đặt trong cùng một dãy bộ điều khiển miền mà bạn đã cấu hình từ trước. Thiết lập Preferred DNS Server của máy chủ trong cấu hình TCP/IP của nó cần phải chỉ rõ bộ điều khiển miền mà bạn thiết lập trong loạt bài này khi nó cũng đang thực hiện như một máy chủ DNS. Sau khi kết thúc việc thực hiện cấu hình khởi tạo của máy chủ VPN, bạn nên sử dụng lệnh “ping” để xác minh lại xem máy chủ VPN đã truyền thông với bộ điều khiển miền chưa.
Nối tới một miền
Bạn đã chỉ định cấu hình TCP/IP của máy và đã kiểm tra kết nối của nó còn bây giờ là lúc bạn bắt đầu với các nhiệm vụ cấu hình thực. Thứ đầu tiên phải làm đó là nhập tên miền vào máy chủ mà bạn đã tạo trong phần trước. Quá trình nhập vào một tên miền trên Longhorn Server cũng tương tự như trong Windows Server 2003. Bạn nhấn chuột phải vào lệnh Computer tìm thấy trên menu Start của máy chủ. Làm như vậy, với Longhorn Server bạn sẽ mở System applet của Control Panel. Bây giờ kích vào nút Change Settings trong Computer Name, Domain và phần Workgroup Settings trong màn hình này. Bằng cách đó bạn sẽ khám phá được các thuộc tính của hệ thống System Properties. System Properties không có gì khác mấy so với trong Windows Server 2003. Nhấn vào nút Change để vào hộp thoại Computer Name Changes. Nhấn nút Domain, nhập vào tên của miền vào trường Domain và nhấn OK.
Bạn nên xem hộp thoại đang nhắc nhở thiết lập một số chức năng. Nhập vào tên người dùng và mật khẩu cho tài khoản quản trị miền, nhấn nút Submit. Sau đó một lúc bạn sẽ thấy hộp thoại chào mừng. Nhấn OK bạn sẽ thấy hộp thoại cho biết phải khởi động lại máy tính. Nhấn OK một lần nữa, sau nút Close. Khi khởi động lại máy tính, bạn sẽ là một thành viên của miền đã chỉ định.
Cài đặt sự truy cập từ xa và định tuyến
Bây giờ bạn phải tiến hành cài đặt dịch vụ truy cập từ xa và định tuyến Routing and Remote Access. Sau đó chúng ta sẽ tiến hành cấu hình dịch vụ này làm việc như trên một máy chủ VPN. Bắt đầu quá trình bằng việc mở Server Manager. Bạn có thể tìm thấy một shortcut cho Server Manager trên menu Administrative Tools. Khi Server Manager mở, bạn kéo phần trong cửa sổ chi tiết sau đó nhấn vào Add Roles liên kết để khởi tạo Add Roles Wizard.
Khi wizard mở, bạn nhấn Next để bỏ qua cửa sổ ban đầu. Bạn nên quan sát cửa sổ đang nhắc nhở bạn chọn vai trò nào để cài đặt trên máy chủ. Nhấn hộp checkbox ứng với tùy chọn Network Access Services. Nhấn nút Next bạn sẽ thấy một cửa sổ giới thiệu về các dịch vụ truy cập mạng Network Access Services. Nhấn Next thêm một lần nữa bạn gặp một cửa sổ hỏi chọn các thành phần Network Access Services nào muốn cài đặt. Chọn các hộp checkbox ứng với Network Policy Server và Routing and Remote Access Services.
Khi bạn chọn các dịch vụ truy cập mạng và định tuyến Routing and Remote Access Services, dịch vụ truy cập từ xa Remote Access Service, định tuyến Routing và bộ quản trị kết nối Connection Manager Administration Kit thì các hộp checkbox sẽ tự động được tích. Bạn phải bỏ chọn checkbox Remote Access Service đã được chọn đi vì nếu chọn nó sẽ cài đặt các thành phần sẽ cần thiết cho máy chủ để làm việc như một VPN. Hai hộp checkbox khác có thể tùy chọn. Nếu muốn máy chủ có chức năng như một bộ định tuyến NAT hay sử dụng các giao thức như IGMP proxy hay RIP, thì bạn cần bỏ chọn phần Routing.
Nhấn Next bạn sẽ thấy một cửa sổ hiển thị các loại dịch vụ sẽ được bạn đã cài đặt. Nếu mọi thứ đều diễn ra tốt đẹp, nhấn nút Install để bắt đầu quá trình cài đặt. Có thể điều bạn muốn biết ở đây sẽ tốn mất thời gian là bao lâu trong việc cài đặt này đối với phiên bản cuối cùng của Longhorn Server phát hành. Bài test của chúng tôi được tiến hành trên phiên bản thử nghiệm của Longhorn Server và quá trình cài đặt mất vài phút để hoàn tất. Trong thực tế, máy chủ sẽ cho bạn cảm giác rằng nó bị khóa trong suốt quá trình cài đặt. Khi quá trình cài đặt hoàn tất, bạn nhấn nút Close.
Sau khi bạn cài đặt Network Access Services, bạn cấu hình Routing and Remote Access Services để chấp nhận các kết nối VPN. Bắt đầu bằng việc nhập lệnh MMC vàp cửa sổ lệnh RUN của máy chủ. Bằng cách làm như vậy bạn sẽ mở một Microsoft Management console (MMC) trống. Chọn Add/Remove Snap-in từ menu File. Windows sẽ hiển thị cho bạn một danh sách các mô đun phần mềm có sẵn. Chọn mô đun phần mềm Routing and Remote Access trong danh sách đó và nhấn nút Add sau đó nhấn OK. Mô đun phần mềm này sẽ được nạp ra giao diện làm việc.
Nhấn chuột phải vào phần chứa Server Status của giao diện sử dụng và chọn Add Server từ kết quả của menu tắt. Khi được nhắc, bạn chọn tùy chọn máy tính này và nhấn OK. Giao diện sử dụng sẽ hiển thị một danh sách máy chủ của bạn. Nhấn chuột phải vào danh sách với máy chủ và chọn Configure and Enable Routing and Remote Access từ menu đó. Cửa sổ Routing and Remote Access Server Setup Wizard sẽ được mở.
Nhấn Next để bỏ qua màn hình welcome của wizard. Bạn nên quan sát cửa sổ sau đó, cửa sổ này hỏi xem bạn muốn sử dụng cấu hình nào. Chọn tùy chọn Remote Access (dial-up hoặc VPN) và nhấn Next. Cửa sổ dưới đây sẽ cho bạn một sự lựa chọn giữa việc cấu hình truy cập dial-up hoặc VPN. Chọn checkbox VPN và nhấn Next.
Wizard sẽ đưa bạn đến phần kết nối VPN, chọn giao diện mạng sẽ được sử dụng bởi các client để kết nối đến máy chủ VPN và bỏ chọn Enable Security trên Selected Interface bằng checkbox Setting up Static Packet Filters. Nhấn next và sau đó chọn From a Specified Address, sau đó nhấn Next lần nữa.
Ở đây, bạn sẽ thấy một cửa sổ hỏi nhập dãy địa chỉ IP có thể được gán cho các client VPN. Nhấn nút Next và nhập địa chỉ đầu và địa chỉ cuối cho dãy địa chỉ IP. Nhấn OK, sau đó là Next. Windows sẽ mở cửa sổ của Managing Multiple Remote Access Server
Bước tiếp theo trong quá trình này là chọn tùy chọn Yes để cấu hình máy chủ làm viêc với một máy chủ Radius. Bạn sẽ được nhắc nhở nhập vào địa chỉ IP cho máy chủ Radius. Vì NPS sẽ chạy cùng với Routing and Remote Access Services, nên bạn chỉ cần nhập các máy chủ có địa chỉ IP chính và địa chỉ Radius thứ cấp. Bạn cũng sẽ bị nhắc nhở để nhập vào đó một bí mật được cấp tương đương nhau. Với mục đích chứng minh, bạn chỉ cần nhập vào rras. Nhấn Next sau đó là Finish. Bạn sẽ thấy một vài cảnh báo. Hãy nhấn OK để đóng các cảnh báo này.
Bước cuối cùng trong quá trình cấu hình RRAS là thiết lập sơ đồ thẩm định. Để làm việc này, bạn nhấn chuột phải vào danh sách máy chủ và chọn Properties. Khi thấy các thuộc tính của máy chủ, bạn hãy vào tab Security. Thêm EAP-MSCHAPv2 và PEAP vào phần Authentication Methods và nhấn OK.
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn làm thế nào để cài đặt và cấu hình các dịch vụ truy cập từ xa và định tuyến Routing and Remote Access Services theo cách để cho phép máy chủ làm việc như một máy chủ VPN. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn làm thế nào để cấu hình thành phần Network Policy Server.
Giới thiệu về Network Access Protection (Phần 4)
Giới thiệu về Network Access Protection (Phần 5)
Giới thiệu về Network Access Protection (Phần 6)
Giới thiệu về Network Access Protection (Phần 7)