Раздел: Документация

0 ... 74 75 76 77 78 79 80 ... 131

Практикум. Создание и применение политики предприятия

На этом практическом занятии вы создадите политику предприятия. Затем вы установите ISA-сервер на Serveг2, примените созданную политику предприятия и просмотрите результаты.

► Создание политики предприятия на Server 1

1.Войдите в систему Server! под учетной записью Administrator (Администратор).

2.В дереве консоли ISA Management последовательно раскройте узлы Enterprise и Policies.

3.Щелкните правой кнопкой мыши узел Enterprise Policy 1 и выберите команду Properties. Откроется диалоговое окно Enterprise Policy 1 Properties,

4.Переименуйте Enterprise Policy 1. Для этого введите Test Enterprise Policy в текстовом поле Name.

5.Щелкните кнопку ОК.

6.Раскройте узел Test Enterprise Policy.

7.Щелкните правой кнопкой палку Protocol Rules и последовательно выберите в контекстном меню команды New и Rule. Откроется окно мастера New Protocol Rule.

8.В текстовом поле Protocol Rule Name введите Deny Archie Protocol (запрет протокола Archie) и щелкните кнопку Next.

9.На странице Rule Action установите переключатель в положение Deny и щелкните кнопку Next.

10.На странице Protocols в поле со списком Apply this rule to (применять данное правило к...) выберите Selected Protocols. Откроется список Protocols (Enterprise Level).

11.В списке Protocols (Enterprise Level) пометьте вариант Archie и щелкните кнопку Next.

12.На странице Schedule оставьте в поле со списком Use this schedule значение Always и щелкните кнопку Next.

13.На странице Client Type ociani,re переключатель в положении Any request и щепкките

кнопку Next.

14.На странице Completing the New Protocol Rule Wizard щелкните кнопку Finish.

15.В дереве консоли щелкните правой кнопкой узел Enterprise и выберите команду Set

Defaults. Откроется диалоговое окно Set Defaults.

Убедитесь, что выбран переключатель Use this enterprise policy. В поле со списком должен быть выбран элемент Test Enterprise Policy.

17.Убедитесь, что установлен флажок Allow array-level access policy rules that restrict enterprise policy.

18.Щелкните OK.

Таким образом, вы создали политику предприятия, которая полностью блокирует использование протокола Archie для всех запросов. Поскольку массив MvArray настроен на использование только политики массива, новую политику предприятия применить к нему не удастся. Однако ничто не мешает вам создать новый массив и применить к нему политику Test Enterprise Policy. Эту процедуру вы выполните в задании 2.

Задание 1. Создание политики предприятия

Сейчас вы настроите параметры политики предприятия на сервере Server 1.

---

Задание 2. Создание нового массива, наследующего политику предприятия по умолчанию

Сейчас вы установите iSА-сервер на Server2 в качестве члена нового массива. Вы войдете в систему под учетной записью члена группы Domain Admins (Администраторы домена), но не группы Enterprise Admins (Администраторы предприятия). Поскольку Test Enterprise Policy является политикой предприя-ия по умолчанию и у вас нет разрешений группы Enterprise Admins, новый массив автоматически унаследует параметры Test Enterprise Policy. После установки нового млеа ва вы не получите разрешения на выбор политики предприятия, применяемой к новому массиву, — в этом случае автоматически применяется политика предприятия по

►Создание массива, который наследует политику предприятия

Создайте в домене Dom n inO I учетную запись нового пользователя с именем Ai ray Admin (администратор массива). Включит; ArrayAdmin только в члены группы Domain Admins (Администраторы домена). Оставьте его членом группы Domain Users (Пользователи

домена).

2.Войдите в домен DomainOl с сервера Server2 под учетной записью ArrayAdmin.

3.Установите ISA-сервер, как описано в практикуме занятия 2 в главе 2. Инициализировать предприятие не нужно, поскольку эта операция была выполнена при установке ISA-сервера на Server 1.

4.Для установки выберите полный вариант и установите сервер как член массива.

В начале процесса установки откроется диалоговое окно Microsoft ISA Server Setup, в котором следует указать, присоединить сервер к массиву VIyArray или же создать новый массив.

5.Щелкните New для создания нового массива. Откроется диалоговое окно New Array.

6.В текстовом поле Array Name замените имя по умолчаниюна

7.Щелкните кнопку ОК.

Откроется диалоговое окно Microsoft ISA Server Setup, в котором выбран переключатель Integrated Mode. Оставьте переключатель в таком положении.

8.Щелкните кнопку Continue.

9.Закончите установку ISA-сервера, приняв параметры кэша ISA-сервера по умолчанию и построив таблицу локальных адресов (Local Address Table, LAT) на основе внутреннего диапазона IP-адресов 192.168,0.0-192.168.0.255.

Задание 3. Проверка созданной конфигурации

В этом задании вы проверите, как политики Test Enterprise Policy влияют на политику уровня массива, определенную для NewArray.

►Проверка конфигурации

1.Войдите в домен DomainOl с сервера Server2 под учетной записью ArrayAdmin.

2.Откройте консоль ISA Management.

3.В дереве консоли последовательно раскройте узлы Enterprise и Policies.

4.Откройте подузел Test Enterprise Policy узла. Policies и выберите папку Protocol Rules

(правила протоколов). Убедитесь, что в области сведений есть правило Deny Archie

Protocol.

5.В дереве консоли последовательно раскройте узлы Servers And Arrays и NewArray.

6.Раскройте узел Access Policy (политика доступа) и выберите папку Protocol Rules. Найдите в области сведений правило Deny Archie Protocol. Политика доступа массива

NewArray унаследовала параметры Test Enterprise Policy. При установке ISA-сервера вы

---

вошли в систему как член группы Domain Admins, а не Enterprise Admins, поэтому новый массив унаследовал параметры политики предприятия по умолчанию.

7.В меню View отметьте команду Advanced.

8.В области сведений щелкните правой кнопкой мыши правило Deny Archie Protocol и в контекстном меню выберите команду Delete. Откроется диалоговое окно Confirm Delete.

9.Щелкните кнопку Yes, чтобы подтвердить удаление правила.

Откроется окно ISA Error, информирукшше об отсутствии разрешении на выполнение этого действия.

Для корректной работы политики на не ем предприятии следует л.лкжрэзетъ сеть так, чтобы администраторы массивов уровня подразделений не входили в группу Eni.-rprise Admins. При этом им необходимо предоставить привилегии группы Domain Admins.

10.Щелкните кнопку Continue.

i i При повторном появлении окна с сообщением еще раз щелкните Continue, чтобы закрыть его.

12.В дереве консоли щелкните правой кнопкой папку Protocol Rules, расположенную под узлом Access Policy, и в контекстном меню последовательно выберите New и Rii-e.

Откроется окно мастера New Protocol Rule.

13.В текстовом поле Protocol Rule Name введите Array-Level Protocol Rule, затем щелкните

кнопку Next.

Откроется окно Rule Action. Обратите внимание, что переключатель Allow недоступен.

Это означает, что при действующей политике уровня предприятия разрешается создавать только запрещающие правила, то есть типа Deny. Это же верно в отношен г и пра вил узлов и содержимого.

14.Щелкните кнопку Cancel, чтобы выйти из мастера,

15.В дереве консоли ISA Management щелкните правой кнопкой папку IP Packet Filters, в контекстном меню выберите New и затем — Filter.

Откроется окно мастера New IP Packet Filter.

16.В поле IP Packet Filter Name введите Open All и щелкните кнопку Next, чтобы перейти на страницу Servers.

17.Щелкните кнопку Next, чтобы перейти на страницу Filter Mode.

18.Щелкните Next, чтобы перейти на страницу Filter Type.

19.Установите переключатель в положение Custom и щелкните кнопку Next.

Откроется окно Filter Settings. Обратите внимание, что в поле со списком IP protocol

выбрано значение Any (любой), а в поле Direction — значение Both (в обоих направлениях).

20.Щелкните кнопку Next, чтобы перейти на страницу Local Computer.

21.Щелкните кнопку Next, чтобы перейти на страницу Remote Computers.

22.Щелкните Next, чтобы перейти на страницу Completing the New IP Packet Filter Wizard.

23.Щелкните кнопку Finish.

24.В дереве консоли щелкните папку IP Packet Filters. В области сведений в списке фильтров пакетов указан фильтр Open Политика предприятия не ограничивает использование фильтров IP-пакетов.

25.Выйдите из системы Server2, завершив работу под учетной записью ArrayAdmin, и снова войдите под учетной записью Administrator.

26.Снова запустите ISA Server Setup и удалите все компоненты ISA-сервера. Когда появится диалоговое окно с запросом на удаление всех журналов и архивных копий конфигурации ISA-сервера, щелкните кнопку Yes.

0 ... 74 75 76 77 78 79 80 ... 131