Rất mong anh Tuấn, Anh Giết Hoa Hồng, Anh Dân và các chuyên gia khác chỉ bảo tận tình. Em đã mất 1 buổi chiều hỏi anh Tuấn EVN nhưng cuối cùng vẫn không làm được! Xin các anh chỉ bảo tận tình giúp - steps by steps - vì em đọc tài liệu cóp nhặt, không được đào tạo bài bản nên...

Em có một mạng LAN, kết nối ADSL của Viettel. Mục đích bây giờ là cài ISA chỉ để kết nối Internet an toàn - không có yêu cầu gì đặc biệt, cũng không cung cấp dịch vụ gì cho External Clients. Chỉ để làm firewall.

Em đã cấu hình như sau:

1. Domain Controler: Cấu hình domain là bắt buộc theo yêu cầu của khách hàng. Em đã cấu hình 1 DC chạy server 2003 với các dịch vụ AD, DNS, DHCP, WINS,.. Server có tên là DNSSERVER và đảm bảo được cấu hình đúng. NIC của DNSSERVER có IP tĩnh = 192.168.0.1/24. Dịch vụ DHCP server trên máy này được cấu hình để cấp phát IP từ 192.168.0.10 - 192.168.0.100. Và trỏ Default gateway đến ISASERVER=192.168.0.2.

Kết nối vật lý của server này như sau:
DNSSERVER có IP = 192.168.0.1 ----> switch ------

2. Máy cài ISA: Em cài Windows2003 / chỉ gia nhập vào domain mà chưa cài bất kỳ dịch vụ nào trên server này. Server này có tên ISASERVER và có 2 NIC: NIC1 set IP tĩnh = 192.168.0.2/24 nối vào LAN; NIC2 có IP tĩnh 10.0.0.3/24 nối ra Internet qua modem ADSL.

Kết nối vật lý của ISASERVER như sau:
------ switch -------- NIC1 = 192.168.0.2 + ISASERVER + NIC2 = 10.0.0.3 ------>modem ADSL có IP = 10.0.0.2 -----> Internet

3. Các máy PCs nhận IP động, cài XP. Kết nối vật lý như sau:
PCs có IP = 192.168.0.x/24 (x=10..100) ------> switch ------

(Tất cả các máy trên đều tắt Firewall mặc định của Windows, có cài SAV, chưa cài bất kỳ firewall nào.)

HOẠT ĐỘNG CỦA MẠNG LÚC CHƯA CÀI ISA:
- Các máy ping + truy cập đến nhau rất tốt.
- Phân giải tên đúng.
- Lưu ý lúc này DNSSERVER & các PCs truy cập + ping được đến ISASERVER. Tất nhiên không ping đến modem được.

CHUẨN BỊ CÀI ISA:
Em làm theo các bước sau (như tài liệu trên nis.com.vn cung cấp)
- Cấu hình hỗ trợ DHCP WPAD
- Cấu hình hỗ trợ DNS WPAD
Xin xem chi tiết tại http://www.nis.com.vn/nis/index.php?...d=79&Itemid=39

CẤU HÌNH ISA:
- Khi cài đặt ISA2004 thì nếu em chọn Internal Network theo NIC bằng cách Select Network Adapter thì nó ra bảng địa chỉ rất buồn cười: 0.0.0.1-9.255.255.255;10.0.1.0-10.255.255.254;11.0.0.0-126.255.255.255;128.0.0.0-192.167.255.255;192.168.1.0-223.255.255.255;240.0.0.0-255.255.255.254
- Nếu em gõ thủ công Internal Network theo dải 192.168.0.10 - 192.168.0.100 thì kết quả sau này cũng... tệ như vậy!
- Sử dụng template Edge Firewall + cho phép truy cập không giới hạn (Allow unrestricted access)
- Không can thiệp gì khác vài ISA.
- À, lúc cài ISA thì nó có thông báo gì đó về việc không truy cập được Microsoft Anti Spyware (vì em có cài soft này trên DNSSERVER)! Tuy nhiên, vẫn cài đặt tiếp tục bình thường và báo là ... thành công!

SAU KHI CÀI ISA:
- Tất cả các máy không ping được đến ISASERVER. Kể cả DNSSERVER cũng không truy cập được vào ISASERVER nữa!
- Tuy nhiên, các máy PC và DNSSERVER vẫn liên lạc với nhau rất tốt.
- Đặc biệt là máy ISASERVER vẫn truy cập tốt các máy còn lại trong LAN.
- Bản thân máy ISASERVER cũng không ping được tới modem (10.0.0.2) mặc dù có NIC2=10.0.0.3.
- Tất nhiên là các máy đều không thể dò ra đường đến modem cũng như ra Internet.
- Và tất nhiên Firewall client không thể detect được Firewall server rùi!
- Thông báo lỗi như sau: Description: ISA Server detected routes through adapter "NIC2" that do not correlate with the network element to which this adapter belongs. The address ranges in conflict are: 0.0.0.1-9.255.255.255;10.0.1.0-10.255.255.254;11.0.0.0-126.255.255.255;128.0.0.0-192.167.255.255;192.168.1.0-223.255.255.255;240.0.0.0-255.255.255.254;. Fix the network element and/or the routing table to make these ranges consistent; they should be in both or in neither. If you recently created a remote site network, check if the event recurs. If it does not, you may safely ignore this message.

Bây giờ, trước khi nhờ các anh gỡ rối và chỉ bảo tận tình giúp. Em có mấy điều xin được hỏi:
1. Windows2003 mà trên đó cài ISA2004 có cần cấu hình dịch vụ gì không (DNS, RRAS, NAT,..) hay chỉ cần là thành viên của domain? Vì em thấy nó có nói đến "address ranges based on the Windows Routing Table" nhưng em không biết Windows Routing Table là gì, cấu hình ở đâu. Có phải bật NAT hoặc RRAS lên trên ISASERVER không?
2. Cả 2 NIC của ISASERVER có dùng IP động được không (NIC1 có thể lấy IP từ DHCP của DNSSERVER, NIC2 lấy twf modem ADSL)? Nếu không được thì khi set ip tĩnh cho 2 nic của ISASERVER thì phải set các thông số DNS, đặc biệt là default gateway phải trỏ như thế nào với mô hình mạng của em trên kia: LAN 192.168.0.x ------ NIC1=192.168.0.2 ------ ISASERVER ---- NIC2=10.0.0.3 -------- modem 10.0.0.2
3. Máy ISASERVER phải chỉnh lại policy như thế nào trong phần Allow access thic computer from network? Ý em là những nhóm người dùng nào sẽ phải có quyền allow access đến ISASERVER.
4. Địa chỉ DNS server khi dùng ADSL của Viettel (để em forwarder lên í mà) - cái này ko liên quan đến ISA nhưng tiện thể em hỏi luôn?

Cuối cùng, xin các anh hướng dẫn em làm lại với các bước đơn giản nhất phục vụ yêu cầu chỉ là truy cập Internet có firewall như trên - không có VPN hay Remote Access gì cả!

Mong được hướng dẫn tận tình như dạy 1 đứa học trò ngớ ngẩn vì em chưa từng cấu hình ISA bao giờ, và cũng chỉ đọc các tài liệu chắp vá nên rất kém về lĩnh vực này.