Apriamo le porte al server
Ora dobbiamo solo creare le policy per il server che gli permettano di accedere a Internet e a tutti i suoi servizi. Ormai dovrebbe essere chiaro come fare. Creiamo una nuova "Access rule" come descritto sopra, e diamo nel passaggio sui "Protocols" inseriamo come nel precedente passaggio "All outbounds traffic".
Al passaggio successivo "Access rules sources" inseriamo solo "Local Host" e come "Destination", "External". Fatto. Ora dal server possiamo navigare in Internet, leggere la posta, utilizzare i vari Messenger e quant'altro.
Un'annotazione particolare la merita il protocollo FTP. Se proviamo ad accedere ad un server esterno per fare l'upload di un file, essa ci sarà negato.
Perché? Non abbiamo liberato con la "rule" appena impostata l'accesso libero a tutte le risorse di Internet? No, di default il protocollo di FTP viene impostato in modalità sola lettura, tocca ancora a noi con ISA Server l'apertura di questa porta.
Selezioniamo l'Access Rule in ISA Server e clicchiamo con il tasto destro del mouse e selezioniamo "Configure FTP":
Deselezioniamo il checkbox "Read Only": ora avremo libero accesso in FTP ai server esterni.
I client
Come deciso in precedenza, i client dovranno avere solo libero l'accesso alle pagine Web, alle e-mail, ai newsgroups e ai servizi di messenger - lo so, sono troppo buono!
Iniziamo con il web. Come in precedenza creiamo una nuova "Access rule" dal nome fittizio "Web Clients" come in questa tabella:
| Protocol: | Gopher Http Https |
| Access Rule Source: | Internal |
| Access Rule Destination: | External |
| Rule Action: | Allow |
Ora dai client sarà possibile navigare tra le pagine web. E' buona regola, ma non obbligatorio, impostare nei client il proxy diretto ad ISA server:
La voce "Rivela automaticamente impostazioni" è sufficiente per i nostri scopi, ma possiamo inserire anche i dati relativi al proxy server così come si vede nell'immagine qui sopra.
Ora dai browser dei client sarà possibile navigare in Internet anche con pagine protette (https).
ISA funziona come un Web Proxy ed è in grado di intercettale le richieste dei client per pagine Web per eseguire le varie ottimizzazioni del caso: inserimento nella sua cache di pagine che saranno inviate direttamente ad altri client in caso di una loro richiesta e così via.
Il mistero delle mail e newsgroups
Creiamo l'access rule per la posta e newsgroups dal nome fittizio "Mail NNTP":
| Protocol: | IMAP4 NNTP POP3 SMTP |
| Access Rule Source: | Internal |
| Access Rule Destination: | External |
| Rule Action: | Allow |
E proviamo a leggere la posta da un client. Sorpresa, otteniamo un errore simile al seguente:
In questo caso si è cercato di scaricare la posta da un server, e ci è stato inviato l'errore di account non trovato. Se proviamo ad accedere anche ad un server NNTP per i newsgroups otterremo lo stesso errore. Il problema in questo caso è che attraverso il protocollo POP3 - protocollo utilizzato in questo caso - non è possibile risolvere il nome di dominio ("tele2.it" in questo caso). La domanda che potrebbe nascere spontanea a questo punto è il perché navigando nelle pagine web con lo stesso client non si hanno questo tipo di problemi per la risoluzione dei nomi di dominio, mentre per la lettura di e-mail e newsgroups sì. La risposta sta nel modo con cui i client si collegano per la navigazione di pagine Web. Esse, infatti, vengono richieste al web proxy di ISA, e sarà il server ISA a inviare la richiesta, risolvendo eventuali nomi di dominio, della pagina Web al server desiderato effettuando poi tutte le ottimizzazioni tipiche di un proxy: memorizzazione nella cache interna delle pagine per un secondo accesso più veloce e quant'altro. L'accesso alla posta elettronica e ai newsgroups non viene filtrata dal web proxy di ISA, ma la richiesta passa direttamente attraverso ISA senza alcuna operazione.
Per risolvere questo problema dobbiamo creare un nuovo "Ruolo" in Windows 2003 Server, il DNS, attraverso l'"Amministrazione server" in Windows 2003.
Possiamo lasciare tutte le impostazioni di base e procedere con l'installazione. Alla fine dovrebbero attivi questi "ruoli" sul server:
Proviamo dal client a scaricare la posta o leggere i newsgroups: ora non ci dovrebbero essere problemi. Non ci resta che liberare l'accesso all'esterno anche dei vari messenger. Creiamo l'access rule "Messenger" con questi dati:
| Protocol: | ICQ ICQ 2000 MSN Messenger |
| Access Rule Source: | Internal |
| Access Rule Destination: | External |
| Rule Action: | Allow |
Contenuti dell'articolo
- Pagina 1
- Pagina 2
- Pagina 4
- Pagina 5
- Pagina 6
Aggiungi un nuovo commento »»»
Per inserire un commento, devi registrarti alla nostra community.
Difficoltà
Utilità
Stampa 
Download 
