تعريف الايزا فايروولز ( (ISA 2006 RCلدعم المستخدمين لاستخدام قيود Kerberos.

[Demor]

من اهم التعديلات في برنامج ISA firewall هي القدرة على دعم Kerberos للمستخدمين العاملين على ISA firewall باستخدام الشهادات، ISA Server 2006 يدعم بشكل كبير تقيد المستخدمين Kerberos KCD يسمح للمستخدمين بتقديم الشهادات لل ISA firewall وتقديمها للشبكة العالمية، هذا قد يمنع المستخدمين من تقديم وثائق التفويض للمرة الثانية.



الافتراضات والشروط.

سوف نقوم بعمل بيئة شبكة باستخدام اربع خصائص وهي Publishing Outlook Web Access و Outlook RPC/HTTP مع ISA Server 2006 Enterprise Edition Firewalls باستخدام Forms-based وهناك عدة عناصر اساسية في هذه الشبكه التي يتطلبها القيام بهذا العمل:

·كل الاجهزة يجب ان يكون مثبت عليها نفس Active Directory domain.

·يجب ان يكون domain ضمن مستويات وظائف Windows Server 2003.

لقد تم نشر PKI لبيان دخول الا لات ومستخدمين الشهادت.



Machine name
DC
BEEXCAHNGE2003
FE1EXCHANGE
FE2EXCHANGE
ISA2006SE**
IP addressing information
IP address: 10.0.0.2/24
Default gateway: 10.0.0.1
DNS: 10.0.0.2
IP address: 10.0.0.3/24
Default gateway: 10.0.0.1
DNS: 10.0.0.2
IP address: 10.0.0.4/24
Default gateway: 10.0.0.1
DNS: 10.0.0.2
IP address: 10.0.0.5/24
Default gateway: 10.0.0.1
DNS: 10.0.0.2
EXT IP address: 192.168.1.71/24
Default gateway: 192.168.1.60/24
INT IP address: 10.0.0.1/24
DNS: 10.0.0.2*
OS
Windows Server 2003 SP1
Windows Server 2003 SP1
Windows Server 2003 SP1
Windows Server 2003 SP1
Windows Server 2003 SP1
Network Services Installed
DHCP
DNS
Enterprise CA
IAS
WINS
Active Directory
CMAK
Microsoft Exchange Server 2003 SP2
Configured as back-end Exchange Server
Microsoft Exchange Server SP2
Configured as the first of a pair of front-end Exchange Servers
Microsoft Exchange Server SP2
Configured as the second of a pair of front-end Exchange Servers
ISA Server 2006 Enterprise Edition as a single member array
CSS installed on firewall
Member of user domain (recommended configuration)
Certificates installed
CA certificate for enterprise CA installed on the DC
CA certificate for enterprise CA installed on the DC
CA certificate for enterprise CA installed on the DC
Web site certificate with common/subject name owa.msfirewall.org installed on the default Web site
CA certificate for enterprise CA installed on the DC
Web site certificate with common/subject name owa.msfirewall.org installed on the default Web site
CA certificate for Enterprise CA
Web site certificate with common/subject name owa.msfirewall.org installed in machine certificate store to be used by Web listener
Notes:
DC is the domain controller on this network where all machines are members of the msfirewall.org domain.
Active Directory is set for Windows Server 2003 Functional Level
All supporting networking services required by the ISA firewall are installed on DC.
This is not meant to represent a recommended or highly secure configuration. For example, DHCP servers are best located on a machine that is not a DC.
Some services, such as the CMAK and IAS are installed to support configurations that are not discussed in this article.
BEEXCHANGE2003 is a back-end Exchange Server in the same domain as all other servers in the domain.
This back-end Exchange Server will be the back-end for two front-end Exchange Servers.
Note that this isn’t meant to promote a preferred configuration. Depending on the number of mailboxes, two or more back-end Exchange Servers may be required.
FE1EXCHANGE is a first of two front-end Exchange Servers.
This machine hosts OWA front-end and the RPC/HTTP proxy sites.
FE1EXCHANGE is a first of two front-end Exchange Servers.
This machine hosts OWA front-end and the RPC/HTTP proxy sites.
* It is critical that a single DNS server address is configured on the ISA firewall and that DNS server address is configured only on the internal interface of the ISA firewall and that interface should be on the top of the interface list.
**The name of the server seems to indicate that this is Standard Edition firewall, but it’s a lab artifact. In this lab the ISA2006SE machine has ISA Server 2006 Enterprise Edition installed.
The ISA firewall is a domain member, which in general is a more secure configuration. Certain features included in ISA Server 2006 mitigate the lower security posture of a non-domain member, but not completely.
Note the default gateway in this lab is for the internal address of an upstream ISA firewall. This is an artifact of my lab configuration. You should configure your default gateway as appropriate first for your lab environment and then your production environment.

من اجل الحصول على شهادات مع Kerberos للقيام بهذا العمل انت بحاجة الى عمل الخطوات التالية:

·قم بتعريف حسابات الكمبيوتر لاعطاء الثقة للمستخدم.

·قم بتعريف Exchange Directories وقم بانشاء قواعد نشر الويب.

·اختبر التعريفات.

تعريف حسابات الكمبيوتر لاعطاء الثقة للمستخدم.

يجب تعريف FE Exchange Servers لاعطاء الثقة Kerberos لمن يتعامل مع ISA firewall بالاضافة الى ذلك يجب ان يتم تعريف BE Exchange Server لاكتمال العملية بين Kerberos و FE Exchange Servers.

ولعمل ذلك اتبع الخطوات التالية:

• في مجال التحكم بالدومين ( في درسنا هذا) اضغط Start ثم توجه الى Administrative Tools اضغط على Active Directory Users and Computers.

في دليل Active Directory Users and Computers console 2. قم بالضغط على علامة + ثم اضغط على Computers في الجهة اليمنة انقر على اسم ISA firewall ( في هذا المثال قمنا بتسميته ISA2006SE).



3. في ISA2006SE dialog box اضغط على Delegation ثم اختار rust this computer for delegation to specified services only ثم اختار Use any authentication protocol ثم اضغط Add.


4. اضغط على Users or Computers.



5.في Select Users or Computers dialog box ادخل اسم NetBIOS التابع front-end Exchange Servers في هذا المثال اسم NetBIOS للfront-end Exchange Servers هو FE1EXCHANGE و FE2EXCHANGE2003. اضغط OK.



6.في Add Services dialog box انزل لغاية ما تلاقي http اضغط CTRL واختار Exchange FE servers ثم اضغط OK.



7. في قائمة Delegation الان يجب ان ترى اسمي FE Exchange Servers وhttp اضغط OK.

• في Active Directory Users and Computers console قم بالنقر على احد FE Exchange Servers وهنا قمنا بالنقر على FE1EXCHANGE.
• في FE1EXCHANGE Properties dialog box اضغط على Delegation قم باختيار Trust this computer for delegation to specified service only ثم اختار Use any authentication protocol ثم اضغط Add.
• وفي Add Services dialog box اضغط على Users or Computers.
• وفي Select Users or Computers dialog box ادخل اسم BE Exchange computer، اذا لم تتذكر الاسم استخدم Browse للعثور على الاسم.
• Add Services dialog box اختار http لل BE Exchange computer ثم اضغط OK.
• اضغط OK.
• اعد هذه الخطوات لكل FE Exchange Servers المتبقية.

[najinetman]

بارك الله فيك اخي الكريم ...شكرا جزيلا على هذه المعلومات القيمة

[الغرام]

يعطيك العافيه
والف شكر