Giới thiệu bổ sung về Network Access Protection - Phần 1
Giới thiệu bổ sung về Network Access Protection - Phần 2
Brien M. Posey
Quản trị mạng - Trong phần hai của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách cài đặt một Enterprise Certificate Authority và cách chuẩn bị những phần còn lại của cơ sở hạ tầng mạng cần thiết trong quá trình triển khai và sử dụng Network Access Protection. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn về cách cấu hình VPN Server. Với mục đích của bài viết, chúng tôi sẽ cài đặt Network Policy Server trên cùng máy tính vật lý được sử dụng cho VPN Server. Tuy nhiên trong triển khai bảo mật thực, bạn nên sử dụng hai máy tính riêng biệt để cấu hình các role cho các mục đích bảo mật. Việc cấu hình các role trên cùng một máy tính chỉ nên được thực hiện trong môi trường lab.
Các nhiệm vụ cấu hình cơ bản
Trước khi chúng tôi giới thiệu cho các bạn cách cấu hình máy chủ này để thực hiện như máy chủ VPN, bạn phải thực hiện một số nhiệm vụ cấu hình cơ bản. Về cơ bản, nghĩa là bạn phải cài đặt Windows Server 2008 và cấu hình để có thể sử dụng một địa chỉ IP tĩnh. Địa chỉ IP tĩnh phải nằm trong cùng dải địa chỉ với domain controller mà bạn đã cấu hình trước đó. Thêm vào đó, các thiết lập của máy chủ DNS của máy chủ trong cấu hình TCP/IP của nó cần phải trỏ đến domain controller mà bạn đã thiết lập từ trước trong loạt bài này, điều này là do nó cũng đang hoạt động như một máy chủ DNS. Sau khi hoàn thành việc thực hiện cấu hình ban đầu cho máy chủ, bạn nên sử dụng lệnh PING để thẩm định rằng máy chủ VPN có thể truyền thông với domain controller.
Gia nhập một miền
Cho đến đây bạn đã chỉ định xong cấu hình TCP/IP của máy và đã test thử kết nối của nó, đây chính là lúc chúng ta bắt đầu với các nhiệm vụ cấu hình thực. Thứ đầu tiên mà bạn cần phải thực hiện là gia nhập vào một miền mà đã được tạo từ trước trong loạt bài này đối với máy chủ của mình. Quá trình gia nhập vào một miền trong Windows Server 2008 gần giống như trong Windows Server 2003.
Để gia nhập vào một miền, bạn hãy kích chuột phải vào lệnh Computer có trong menu Start của máy chủ và chọn lệnh Properties từ menu xuất hiện. Bằng cách thực hiện như vậy, Windows sẽ mở cho bạn applet hệ thống của Control Panel, khi đó bạn hãy kích vào nút Change Settings trong Computer Name, Domain và phần Workgroup Settings của cửa sổ này. Bạn sẽ thấy xuất hiện trang các thuộc tính của hệ thống. Trang thuộc tính hệ thống gần giống như trong Windows Server 2003, tham khảo trong hình A. Kích nút Change để xuất hiện hộp thoại Computer Name Changes. Trong hình A, nút Change bị đánh dấu màu xám vì máy chủ đã gia nhập vào một miền. Lúc này, hãy chọn nút radio Domain. Nhập tên của miền vào trường Domain và kích OK.
Hình A: Cửa sổ Properties của hệ thống gần giống với các cửa sổ cùng loại
trong Windows Server 2003
Bạn sẽ thấy một hộp thoại xuất hiện nhắc nhở bạn về các chứng chỉ cần thiết. Nhập username và password vào tài khoản quản trị viên miền của bạn, kích nút Submit. Sau một chút thời gian chờ, bạn sẽ thấy một hộp thoại chào đón bạn gia nhập vào một miền. Kích OK, khi đó bạn sẽ thấy một hộp thoại khác yêu cầu bạn phải khởi động lại máy tính. Kích OK thêm lần nữa, sau đó là Close. Khi bạn khởi động lại máy tính, máy tính lúc đó sẽ là một thành viên của miền mà bạn đã chỉ định.
Cài đặt Routing và Remote Access
Lúc này chúng ta hãy cài đặt dịch vụ Routing và Remote Access. Như một phần của quá trình cài đặt, chúng tôi sẽ cấu hình dịch vụ này để hành động như một máy chủ VPN. Bắt đầu quá trình bằng cách mở Server Manager. Bạn có thể thấy một shortcut đến Server Manager trên menu Administrative Tools. Khi Server Manager được mở, bạn hãy tìm đến phần Roles Summary trong panel chi tiết. Lúc đó, hãy kích vào liên kết Add Roles để khởi chạy Add Roles Wizard.
Khi Add Roles Wizard được khởi chạy, kích Next để đi qua màn hình chào. Lúc đó bạn sẽ thấy một cửa sổ nhắc bạn về role nào muốn cài đặt trên máy chủ. Tích vào hộp kiểm tương ứng với tùy chọn Network Policy và Access Services. Kích nút Next, bạn sẽ được đưa đến cửa sổ chứa các thông tin giới thiệu về Network Policy và Access Services. Kích Next lần nữa, bạn sẽ thấy một cửa sổ nhắc bạn về chọn các thành phần của Network Policy và Access Services để cài đặt. Chọn hộp kiểm tương ứng với Network Policy Server, Routing và Remote Access Services, xem thể hiện trong hình B.
Hình B: Chọn các tùy chọn Network Policy Server, Routing và Remote Access Services
Khi bạn chọn hộp kiểm Routing và Remote Access Service, các hộp kiểm Remote Access Service và Routing sẽ được chọn một cách tự động. Bạn phải để lại dấu kiểm trên các hộp chọn này vì chúng sẽ cài đặt các thành phần cần thiết cho máy chủ để nó có thể hoạt động như một VPN.
Kích Next, khi đó bạn sẽ được đưa đến một cửa sổ hiển thị các thông tin tóm tắt về các dịch vụ đã được cài đặt. Giả sử rằng mọi thứ đều ok, khi đó bạn hãy kích nút Install để bắt đầu quá trình cài đặt. Đây chính là thời điểm thích hợp để bạn tạm nghỉ đôi chút vì quá trình cài đặt sẽ tiêu tốn một vài phút để hoàn tất, thời gian cụ thể còn phụ thuộc vào phần cứng máy tính của bạn. khi quá trình cài đặt được hoàn tất, kích nút Close.
Sau khi cài đặt xong Network Access Services, bạn hãy cấu hình Routing và Remote Access Service để chấp nhận các kết nối VPN. Bắt đầu bằng cách mở Server Manager và điều hướng thông qua giao diện cây đến Server Manager | Roles | Network Policy và Access Service | Routing and Remote Access. Lúc này, hãy kích chuột phải vào mục Routing and Remote Access và chọn Configure and Enable Routing and Remote Access. Khi đó Windows sẽ mở Routing and Remote Access Server Set up Wizard.
Kích Next để đi qua cửa sổ chào đón. Khi đó bạn sẽ thấy một cửa sổ hỏi bạn về cấu hình nào bạn muốn sử dụng. Chọn tùy chọn Remote Access (dial-up hoặc VPN), như thể hiện trong hình C và kích Next. Cửa sổ sau đó sẽ cho bạn một sự lựa chọn giữa việc cấu hình truy cập dial-up hay VPN. Chọn hộp kiểm VPN và kích Next.
Hình C: Chọn tùy chọn Remote Access (Dial-Up or VPN)và kích Next
Wizard sẽ đưa bạn đến trang kết nối VPN. Lúc này, hãy chọn giao diện mạng sẽ được sử dụng bởi các máy khách để kết nối với VPN server và hủy tùy chọn “Enable Security on the Selected Interface by Setting up Static Packet Filters”, xem thể hiện trong hình D.
Hình D: Chọn network adapter mà bạn muốn sử dụng cho các yêu cầu VPN inbound (gửi đến)
Kích Next, bạn sẽ thấy cửa sổ hỏi bạn xem có muốn gán các địa chỉ IP cho các máy khách một cách tự động không, hay thích chọn các địa chỉ từ một dải địa chỉ cụ thể. Chọn tùy chọn From a Specified Range of Addresses và kích Next.
Tại đây, bạn sẽ thấy một cửa sổ yêu cầu bạn nhập vào dải địa chỉ IP để gán cho các máy khách VPN. Kích nút New và nhập vào địa chỉ bắt đầu và địa chỉ cuối cùng cho dải địa chỉ IP của bạn, xem thể hiện trong hình E. Khi đã thực hiện xong, kích OK, sau đó kích Next. Windows khi đó sẽ mở trang của Managing Multiple Remote Access Server.
Hình E: Bạn phải nhập vào một dải địa chỉ IP để gán cho các máy khách
Wizard sẽ hỏi bạn xem bạn có muốn máy chủ RRAS có thể thẩm định các yêu cầu kết nối không hoặc xem bạn có thích sử dụng máy chủ RADIUS. RRAS có khả năng thực hiện sự thẩm định cần thiết, nhưng với các tổ chức lớn thường nhiều máy chủ RRAS hãy nên sử dụng RADIUS server tập trung cho thẩm định để tạo sự dễ dàng trong quản lý.
Tiếp tục và chọn tùy chọn Yes để cấu hình máy chủ sao cho nó có thể làm việc với Radius server. Lúc này bạn sẽ được nhắc nhở nhập vào địa chỉ IP cho Radius server của mình. Chúng ta vẫn chưa thiết lập Radius server nhưng sau chúng ta sẽ cài đặt RADIUS trên VPN server. Tuy nhiên trong triển khai thực bạn sẽ cần phải cài đặt RADIUS trên một máy chủ riêng. Nhưng ở đây với mục đích giới thiệu chúng ta chỉ nhập vào địa chi IP của chính máy chủ với tư cách là địa chỉ máy chủ Radius chính và phụ. Bạn sẽ được nhắc nhở nhập vào một bí mật chia sẻ. Cho mục đích minh chứng, bạn chỉ cần nhập vào rras là đủ. Khi đã thực hiện xong, kích Next và sau đó là Finish. Khi đó bạn sẽ thấy một cặp cảnh báo. Chỉ cần kích OK để đóng mỗi cảnh báo này.
Bước cuối cùng trong quá trình cấu hình RRAS là thiết lập cơ chế thẩm định. Để thực hiện điều đó, bạn phải quay trở lại Server manager, kích chuột phải vào mục Routing and Remote Access và chọn Properties. Khi đó bạn sẽ gặp một cửa sổ thuộc tính của máy chủ. Vào tab Security và kích nút Authentication Methods. Thẩm định rằng các hộp kiểm MSCHAPv2 và EAP đã được chọn, như thể hiện trong hình F và kích OK.
Hình F: Thẩm định rằng các tùy chọn MSCHAPv2 và EAP được lựa chọn
Kết luận
Trong bài này chúng tôi đã giới thiệu cho các bạn cách cài đặt và cấu hình Routing và Remote Access Services theo cách cho phép máy chủ thực hiện như một VPN server. Trong phần tiếp theo của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách cấu hình thành phần Network Policy Server.