CÀI
ĐẶT VÀ CẤU HÌNH KERIO WINROUTE, KERIO CONNECT
A. MÔ
HÌNH
B. CÁC
BƯỚC TRIỂN KHAI
- Bài Lab gồm:
1 Máy Windows server 2003
làm DC, Mail Server (Kerio Connect)
1 Máy Windows server 2003
làm Firewall (Kerio Winroute).
1 Máy Xp dùng làm máy của
VIP.
1 Máy XP dùng làm máy của
User.
- Các bước thực hiện:
Cấu hình thông số
TCP/IP và cài đặt.Kerio Winroute.
Khai báo các thành phần
nội bộ trên Kerio Winroute như VIP, USER.
Thiết lập các Traffic
Policy, HTTP Filter… trên Kerio Winroute để kiểm soát các giao
dịch.
Cài đặt và cấu
hình Kerio Connect.
Tạo User từ
Database của Kerio và từ AD.
Triển khai Mail Online, cho phép User sử dụng mail bằng Web & POP3 Từ Internet.
C. TRIỂN
KHAI CHI TIẾT
I.
Chuẩn bị
1. Nâng
cấp Domain Controler trên máy Server.
Đặt
IP address:
IP:
172.16.0.2
SM:
255.255.255.0
GW:
172.16.0.1
DNS:
172.16.0.2
2. Máy
Kerio Winroute (gọi tắt là KW)
Cần
2 Card mạng:
LAN:
cùng lớp với Router.
CROSS:
Cùng lớp với mạng nội bộ.
Join
Domain máy Kerio Winroute
3. Máy
XP1 (thuộc nhóm VIP, sử dụng IP từ 10 à 50):
Đặt
IP và Join Domain.
4. Máy
XP2 (thuộc nhóm User, sử dụng IP từ 51 à 100):
Đặt
IP và Join Domain:
II. Cài đặt và cấu hình Kerio Winroute:
1. Cài
đặt Kerio Winroute.
Chạy
File Setup của Kerio Winroute
Chọn
Custom, Click Next.
Next
Đặt
Username và Password quản lý, Next.
Nếu
đang cài Winroute từ xa, click chọn “I am… remotely”, không
thì bỏ qua, click Next.
Clich
Install.
Finish.
Cài
đặt xong, góc phải Taskbar xuất hiện Icon của
Kerio Connect:
2. Cấu
hình Interface.
Double
Click vào Icon Winroute, nhập Password lúc cài đặt, click
Connect.
Bảng
Network Rule Ward xuất hiện, click Cancel.
Liscence
cho Kerio Winroute.
Cấu
hình Interface:
Configuration
> Interface
Chọn
Card Lan > Edit, chọn Internet interfaces > OK
Chọn Card CROSS > Edit > Trusted/ Local
interfaces. > OK
Click
Apply.
3. Cấu
hình Traffic Policy:
a. Kiểm tra hoạt động của Firewall
Configuration
> Traffic Policy.
Mặc
định, KW sẽ khóa toàn bộ truy cập từ trong
ra ngoài và từ ngoài vào trong, trừ máy cài KW. (Trường
hợp cài KW từ xa thì Kerio sẽ mở tất cả).
-
Dùng máy DC truy cập Internet thử, sẽ không truy cập
được.
Ping
IP của KW và Google không có trả lời:
b. Cho Phép DC ra Internet.
Trở
lại màn hình Traffice Policy, Click Add. Xuất hiện 1 Rule mới.
Click
phải New Rule > Edit Rule > Name: DC > OK
Click
phải vào Cột Source của Rule DC> Edit Source.
Click
Add > Host > Gõ IP của DC: 172.16.0.2 > OK > OK
Click
phải vào cột Translation của Rule DC > Edit Translation.
Chọn
Enable Source NAT > OK
Click
phải vào cột Action của Rule DC, chọn Permit. >
Apply
Từ
máy DC, ping google.com và truy cập internet bình thường.
c. Định Nghĩa VIP và User:
Configuration
> Definitions > Address Groups > Add
d. Cho phép Vip ra internet.
Quay lại Traffic
Policy.
Click
Add tạo Rule mới, Name: cho Phep Vip ra Internet.
Edit
Source: Add > IP Address Group
Chọn
Group VIP > OK > OK
Enable
Souce NAT và chọn Permit như Rule DC.
Test:
Từ
máy XP1 (VIP), ping google.com và truy cập Web, thành công.
Từ
máy XP2 (User), ping google.com và truy cập Web vẫn không
được.
Lúc
này VIP đã ra được Internet, nhưng vẫn không
ping được Kerio Winroute Server. Muốn Ping thì tạo
Rule:
Name:
cho phep VIP ping Firewall
Source:
172.16.0.10 – 172.16.0.50
Destination:
click phải, chọn Edit Destination:
Add>
Firewall Host > OK.
Service:
Click phải cột Service:
Chọn
Add > Service > Ping > OK > OK
TEST:
Từ
Vip ping 172.16.0.1 thành công
e. Cho phép nhóm User gửi nhận Mail từ Internet
Tạo
Rule mới:
Name:
Cho phep User su dung Mail
Source:
Group User
Destination:
Any
Service:
DNS, POP3, POP3S, SMTP, SMTPS
Kiểm
tra User gửi nhận Mail bình thường, nhưng không vào
Web được.
f.
Cho Nhóm User được truy cập các trang web hỗ
trợ công việc.
B1.
Định nghĩa “Web ho tro cong viec”
Configuration
> Definitions > URL Groups > Add 2 trang:
http://nhatnghe.com/*
và http://vietcombank.com.vn/*
B2.
Định nghĩa “Giờ làm việc”
Configuration
> Definitions > Time Ranges > Add
B3.
Cho Phép User truy cập Web:
Configuration
> Traffic Policy > Tạo Rule mới cho phép User sử dụng
Web: add 2 Service HTTP, HTTPS
B4.
Tạo Filter, chặn tất cả trang web, sau đó mở
lại 2 trang cần làm việc.
Configuration
> Content Filtering > HTTP Policy
Add:
Rule cấm User truy cập tất cả các Website
Add Rule cho phép truy cập 2 Website trên:
OK
> Apply. (Chú ý, Rule cho phép phải nằm trên rule cấm)
g. Cho phép User truy cập Web không hạn chế trong giờ
giảo lao.
B1.
Định Nghĩa “Giờ Giải Lao”
Configuration
> Definitions > Time Ranges > Add
B2.
Tạo URL Rule:
Configuration
> Content Filtering > HTTP Policy > Add
h. Cấm tất cả User truy cập website
ngoisao.net, nếu truy cập sẽ redirect về nhatnghe.com
B1.
Định Nghĩa URL ngoisao.net:
Configuration > Definitions > URL Groups> Add 2 trang
Http://ngoisao.net
http://ngoisao.net/*
B2.
Tạo URL Rule:
Configuration
> Content Filtering > HTTP Policy > Add
i.
Cấm
tất cả User sử dụng Media trực tuyến (nghe
nhạc, xem phim).
B1.
Định nghĩa “Media”
Configuration
> Definitions > URL Groups > Add Group Media gồm:
*.mp3,
*.mp4, *.wma, *.wmv, *.flv…
B2.
Tạo URL Rule:
Configuration
> Content Filtering > HTTP Policy > Add
j.
Cấm Tất cả User download file .EXE, .RAR, .ZIP
B1.
Định nghĩa “Cấm Download”
Configuration
> Definitions > URL Groups > Add Group “Cam Download” gồm:
*.exe, *.rar, *.zip
B2.
B2. Tạo
URL Rule:
Configuration
> Content Filtering > HTTP Policy > Add
k. Cấm Chat Yahoo/Skype…
Configuration
> Content Filtering > HTTP Policy > Add
Click
Select Rating, tick: Chat/IM > OK
Chọn
Deny > OK > Apply
l.
Lọc web theo ký tự nhạy cảm.
B1.
Xem & thêm những ký tự nhạy cảm.
Configuration
> Content Filtering > HTTP Policy> [Tab] Forbidden Works.
[Tab]URL
Rules > chọn Rule Truy cap Web trong gio giai lao
[Tab]
Content Rules > Check: Deny Webpages contening forbidden work in HTLM code.
III.
CÀI ĐẶT VÀ CẤU HÌNH KERIO
CONNECT.
1. Cài
đặt Kerio Connect.
Chạy
file Setup trên máy Mail Server (DC). Chọn English > OK
Chọn
I accept… > Next.
Chọn
Custom > Next.
Đặt
Password Admin > Next.
Đặt
tên miền cho Mail (sử dụng tên miền đã
đăng ký).
Chọn
nơi lưu Directory > Next
KHAI BÁO CẤU HÌNH CHO OUTLOOK EXPRESS CHO USER ADMIN.
B1.
Mở Outlook Express.
B2.
Cửa sổ Your name: gõ Admin > Next.
Email
server name:
My
incomming mail server is a: POP3
Incoming
mail: 172.16.0.2
Outgoing
mail: 172.16.0.2
>
Next.
Gõ
admin, password > Next.
Tools
> Accounts > [Tab] Mail > Properties > [Tab] Server > Check: My
server requires authentication > Apply.
[Tab]
Advanced > Check: Leave a copy of messages on server > OK > OK.
Click
Send/Recev. Kiểm tra đã nhận được mail.
2. Cấu
hình Kerio Connect.
a. Tạo User mới.
- Tạo
user trong Directory của Kerio: Accounts > Users > Add
Tạo
User với - Username: test.
-
Password: 123456
- Tạo
User từ Active Directory (Import từ AD của Windows Server
2003)
B1.
Tạo User trong AD.
Start
> Run > gõ: dsa.msc
*
Tạo - Username: sep
-
Password: 123
Tương
tự, tạo các User: ketoan1, ketoan2, kinhdoanh1, kinhdoanh2.
B2. Import
User:
Cửa
sổ Kerio Connect Administrator > Accounts > Users
Import
> Import from a Directory Service…
Cửa
sổ Import Users:
-
Import users from: Active Directory®
-
Active Directory® domain name: ngunhubo.local
(tên domain nội bộ)
-
Import from server: dc.ngunhubo.local (tên
Domain Controler)
-
Login as user: Administrator
-
Password: *******.
>
OK.
Chọn
những User cần Import > OK
Kiểm
tra đã có các User mới Import.
Chú ý:
Domain
nội bộ và Domain mail không cùng tên (.local và .com) nên cần
sửa lại tên Domain chứng thực Kerberos:
Configuration
> Domains > Edit: ngunhubo.com > [Tab] Advanced > KerberosTM
5: ngunhubo.local > OK
Giới
hạn dung lượng hộp Mail và mail gửi đi:
Right
Click User cần Giới hạn > [Tab] Quota: Giới hạn
dung lượng hộp Mail 2 GB.
[Tab]
Messages: Giới hạn Mail gửi đi tối đa 2MB.
b. Tạo Group
Accounts
> Groups > Add > Name: VIP
[Tab]
Email address > Add
[Tab]
Users > Add
Chọn
Admin & sep > OK > OK
Tương
tự với Group User
3. Cấu
hình Trên Domain ngunhubo.com và Router, và Winroute Firewall để
Public Mail Server.
a. Cấu hình Trên Domain:
Truy
cập trang quản lý Domain.
Add
Host Record như sau:
Hostname: mail
Address:
IP tĩnh đã thuê.
Host
type: A (Address)
b. Cấu hình Trên Router. (Mỗi Router có cách cấu
hình Chi tiết khác nhau)
B1.
Tạo Static Route:
Advanced
Setup > Routing > Static Route > Add:
Destination
Netword Address: 172.16.0.0
Subnet
Mark: 255.255.255.0
Use
Gateway Ip Address: 192.168.1.2
Use
Interface: LAN/bro
B2 .
NAT
Advanced
Setup > NAT > Virtual Server > Add Các Port: 110, 25, 80, 443 về
IP: 172.16.0.2
Cấu
hình đủ:
c. Cấu hình trên Winroute Firewall:
Configuration
> Traffic Policy > Add new Rule
Source:
Any
Destination:
172.16.0.2
Service:
HTTP, HTTPS, POP3, SMTP
Action:
Permit
Translation:
NAT
>
Apply
d. Kiểm
Tra Hoạt Động
Cấu
hình Outlook Express từ ngoài với địa chỉ POP3 và
SMTP là “mail.ngunhubo.com” .
Gửi
nhận Mail thành công. Kiểm tra gửi ra Ngoài Gmail, Yahoo
Mail.
4. ARCHIVE,
BACKUP & RESTORE.
a. Archive
Configuration
> Archiving and Backup
-
Check: Enable email archiving
-
Path to the archive directory: Trỏ tới Phân vùng hoặc ổ
cứng khác nơi cài đặt Kerio Connect. > Apply
Kiểm
tra trong Mail của Admin đã có Folder Archive.
b. Backup
Giả
lập Sếp xóa nhầm mail (hoặc Database hư), trước
đó có 1 bản Backup và tiến hành Restore lại.
Vào
mail Amin gửi 1 email cho sếp:
Vào
mail của sếp, kiểm tra đã nhận được
mail từ admin:
Tiến
hành Backup:
Configuration
> Archiving and Backup > [tab] Backup
-
Check: Enable message store and configuration recovery backup
-
Mặc định Kerio Connect đã tạo Schedue sẵn từ
thứ 2 đến Chủ Nhật.
-
Backup Directory: Trỏ đến thư mục D:\backup\Mail.
Click
Start Now. Sau đó đến thư mục D:\backup\Mail, kiểm
tra đã có 1 File *.Zip.
Vào
Email của sếp, xóa Mail admin mới gửi. Tiến hành
Recover
c. Recover
Tắt
Kerio Connect: Nhắp phải vào biểu tượng dưới
thank Taskbar
Vào
Run > Cmd
Di
chuyển tới thư mục cài đặt Kerio Connect:
Gõ:
kmsrecover D:\backup\Mail > Enter
Gõ: yes
hoặc y > Enter
Đã
hoàn tất.
Start
lại Kerio Connect:
Login
vào Email của Sếp. Kiểm tra Mail admin gứi vẫn
còn.
Comments[ 0 ]
Đăng nhận xét