INSTALLASJON AV SBS SERVER 2003 – DEL 2 ICW FOR 1 NETTVERSKORT
Configure E-mail and Internet Connection Wizard (CEICW)
Utgangspunktet
I denne artikkelen skal vi se på hvordan vi kan kjøre Configure E-mail and Internett Connection Wizard (CEICW) for det tilfellet at vi har et nettverskort.
Bakgrunn
I første del av denne artikkelserien (Installasjon av Small Business Server 2003 Del 1) avsluttet vi når vi var kommet til To Do List. Det er da naturlig å fortsette med CEICW for ”et nettverskort” i det denne vil dekke SBS Server Standard med et NIC. Så får vi se videre på Premium installasjon og CEICW for to nettverskort i kommende artikler i denne serien.
Figur 1 – Skjermbilde av To Do List. I denne artikkelen skal Connect to the Internet Wizarden kjøres for det tilfelle at et nettverskort benyttes i SBS Serveren.
Forutsetninger for at det skal virke fra internett
- Ruteren/brannmuren må ha en fast IP adresse eller alternativt så må Dynamisk DNS benyttes.
- Et på internett registrert Domenenavn må benyttes.
- MX rekord må være stilt for det registrerte domene for at serveren skal kunne motta e-post fra internett.
- Ekstern DNS server må være ferdig innstilt i den grad A-record og C-names skal virke.
Nettversmodellen for denne artikkelen
Figur 2 – Denne figuren viser nettverksmodellen med IP adresser som ligger til grunn for denne artikkelen.
Etter å ha studert Figur 2 legger vi merke til følgende forhold:
- DHCP server ligger på SBS Serveren.
- Ruteren/brannmuren er konfigurert med fast IP adresse og DHCP server er slått av.
- SBS Serveren er konfigurert med fast IP adresse på nettverskortet.
Jeg foretrekker å ha DHCP serveren på SBS Serveren, og tar derfor dette som utgangspunkt. Hvis du har DHCP på ruteren betyr dette i praksis ingen forskjell, utover at beste praksis tilsier at den ligger på SBS Server.
Forutsetninger og forhold som ICW vil sjekke:
- SBS Serveren må ha et nettverskort installert, aktivt og konfigurert med en statisk IP adresse.
- Det aktive nettverskortet kan ikke ha en Automatisk Privat IP Adresse (APIPA) eller vente på en DHCP IP adresse.
- Brukeren som skal kjøre Wizard’en må være medlem av Administrators gruppen på SBS Serveren.
- Internett Connection Sharing (ICS) må ikke kjøre på serveren.
TIPS:
Forhold knyttet til DHCP server er grundig behandlet i del 1 av denne artikkel serien (Installasjon av Small Business Server 2003 Del 1). Ta en titt der hvis du er usikker.
Hvordan bytte IP Adresse på SBS Serveren på nåværende tidspunkt?
Mange konfigurasjonsinnstillinger blir foretatt under installasjon av SBS Server Integrated Setup. Herunder DNS Server, DHCP server og WINS Server. La oss si at du har endt opp med gal IP Adresse og at du mangler DHCP server på SBS Serveren, i det denne var på ruteren/brannmuren under installasjonen, og at du ønsker å endre på dette. For det kan hende at noen angrer seg, og ønsker DHCP tilbake på SBS Serveren. Vi skal derfor kort ta en titt på hva som kan gjøres dersom man har konfigurert IP adressen feil på SBS Serveren, og hvordan vi kan installere en DHCP server.
TIPS
Det er forbundet risiko og komplikasjoner med denne rutinen. Sjekk KB886392 og KB885684. Dette er derfor ikke noe jeg anbefaler for en uerfaren bruker av SBS Server.
Figur 3 – Starter SBS Server Management panelet. Klikk på Internet and E-mail, og Change Server IP Address. Dette starter Wizarden.
TIPS:
Husk at denne Wizarden ikke vil konfigurere DHCP og WINS dersom disse ikke kan oppdages. En oppsummering av det Wizarden gjør kan gjøres som følger:
- Wizarden vil konfigurere nettverskortet med ny IP Adresse og Subnet Maske. Default Gateway blir ikke endret. DNS og WINS vil bli konfigurert til den nye IP Adressen dvs til SBS Serverens selv.
- Hvis SBS Serveren har en DHCP server vil denne konfigureres med samme scope men med den nye IP Adressen. Wizarden vil sjekke 003 Ruter option. Hvis denne ikke er satt til SBS Serverens IP Adresse vil DHCP ikke bli modifisert. Hvis IP adressen har et annerledes scope vil det nye scopet legges til grunn for konfigurering av DHCP hvis den er på SBS Server.
- Wizarden vil oppdatere DNS serverens IP Adresse ved å legge den nye IPen inn i listen over IP adresser som DNS serveren skal lytte etter, og Reverse lookup sonen vil bli laget.
- Når det gjelder Exchange server dvs hvis den er installert og relay restriksjoner er definert for SMTP tjenesten, så vil de gamle rely begrensninger bli slettet og nye konfigurert.
- WINS blir også konfigurert hvis den er tilstedet, samt stoppet og restartet.
- Wizarden vil også konfigurere IIS permission for Default Web Site og de tilhørende kataloger. Alle websteder som har den gamle IP adressen vil bli konfigurert med den nye.
- En log vil bli skrevet over de endringer som utføres. Denne ligger i katalogen %sbsprogramdir%\support med navnet changeiplog.txt.
Figur 4 – Etter å ha klikket på Change Server IP Address starter Change IP Address Tool og det spørres etter den Nye IP Adresse med tilhørende Subnet Maske. Dette fyller jeg inn riktig denne gangen.
Figur 5 – Når Wizarden er ferdig kommer følgende melding opp. Vi ser av teksten i denne at Wizarden kan gjøre et forsøk på å konfigurere Plug and Play ruter/brannmur. Personlig har jeg ikke testet dette. Jeg foretrekker å konfigurere ruteren selv.
TIPS:
Hvis du får en feilmelding under kjøringen av denne rutinen, sjekk og følg KB889028.
TIPS:
DHCP og WINS server kan du legge til selv hvis du ønsker det. De er gode Wizarder på begge deler selv om disse ikke er å finne på Server Management panelet.
Hvordan stille inn en DHCP server
Det fører litt forlang å inkludere en full guide for dette. Av den grunn får vi nøye oss med innstillingsparametrene for en DHCP server på SBS Server med de forutsetninger som ligger til grunn i denne artikkelen.
|
Beskrivelse
|
Verdi
|
|
Wizard informasjon
|
|
Scope name
|
SBS Server
|
|
Scope description
|
Manuelt konfigurert DHCP
|
|
DHCP Scope
|
192.168.16.1 – 192.168.16.254
|
|
Exclusions
|
192.168.16.1 – 192.168.16.9
|
|
Duration of lease
|
8 days
|
|
IP Address of ruter
|
192.168.16.2
|
|
Parent Domain
|
snuff.local
|
|
DNS Server on the network
|
192.168.16.2
|
|
WINS for query
|
192.168.16.2
|
|
Scope Options
|
|
003 Router
|
192.168.16.1
|
|
006 Name servers
|
192.168.16.2
|
|
015 DNS Domain name
|
snuff.local
|
|
044 WINS/NBNS Server
|
192.168.16.2
|
|
046 WINS/NBT Node type
|
0x8
|
|
Andre instillinger
|
|
Enable DNS dynamic updates according to the settings below
|
Disabled
|
Tabell 1- Innstillingsparametere for DHCP Server.
Vi setter i gang med ICW
Figur 6 – Starter Server Management og navigerer til To Do List, klikker deretter på Connect to the Internet. Dette starter ICW eller CEICW som den heter i SBS Server 2003 i motsetning til SBS Server 2000.
Figur 7 – ICW eller CEICW starter og vi klikker Next.
Figur 8 – Vi må nå bestemme Connection Type. I mitt tilfelle har jeg en ADSL linje med Ruter. Jeg velger derfor Broadband og klikker Next.
Vi står her ovenfor tre valg:
Broadband
I de aller fleste tilfeller er dette korrekt valg. Dette gjelder alle former for rutere og bredbåndsmodemer, også i de tilfeller hvor SBS Server er knyttet direkte i et bredbåndsmodem med PPPoE.
Dial-up
Når skal du eventuelt velge Dial-up? Jo, i de tilfeller hvor du har Modem (analogt eller ISDN) eller et Terminal adapter montert direkte i SBS Serveren. Dette valget er altså korrekt dersom du benytter et vanlig telefon modem som for eksempel er montert i SBS Serveren eller som er knyttet til SBS Server via RS232 eller USB. Du skal velge Dial-up fordi SBS Serveren skal ringe med modemet, og SBS Serveren skal supplere telefonnummer, brukernavn og passord. Dersom du derimot har en ISDN ruter skal du ikke velge denne forbindelsestypen fordi det er ISDN ruteren som oppretter (ringer) til ISP, og som inneholder brukernavn og passord. Du skal da velge Broadband.
Do not change connection type
Bruk dette valget hvis du har kjørt Wizarden før og du ikke ønsker å utføre noen endringer. Wizarden hopper da til Web Services Configurations.
Figur 9 – I mitt tilfelle har jeg en ruter / brannmur foran nettverskortet på SBS Serveren. Jeg velger derfor A local router device with an IP address og klikker Next.
Vi står nok en gang ovenfor tre valg og vi lurer selvfølgelig på hva vi skal velge. Vi skal derfor se nærmere på hva Wizarden mener med de forskjellige valg.
A local router device with an IP address
Dersom vi har xDSL modem og en brannmur/ruter (eller en devise som inneholder begge deler i samme boks) foran SBS Serveren vil dette være det korrekte valget i ICW, selv om forbindelsen benytter PPPoE (for eks Telenor). Årsaken til dette er at det er brannmuren/ruteren som oppretter internett forbindelsen og som inneholder brukernavn og passord til ISP. I så måte er det Ruteren som oppretter internett forbindelsen og viderefører denne til SBS Serveren ved at vi oppgir Ruterens ”interne” IP adresse som Gateway for SBS Serveren.
A connection that requires a user name and password (PPPoE)
Dersom SBS Serveren er plugget direkte i xDSL modemet uten en brannmur/ruter i front vil dette være det riktig valg så lenge forbindelsen skal benytte PPPoE. Årsaken til dette er at vi nå ikke har en ruter som utfører pålogging til ISP. SBS Serveren må derfor supplere brukernavn og passord for å opprette forbindelsen til ISP. Det vil derfor være korrekt å velge Broadband connection that requires a username and password (PPPoE). Dersom vi kun har ett nettverskort bør man under ingen omstendighet velge dette. Du har da ingen brannmur mot internett!
A direct broadband connection
La oss med en gang fastslå at dette er ikke korrekt valg dersom du har xDSL. Dette valget er ment for andre typer av forbindelser som bruker spesial utstyr med frame relay eller fractional eller full T1 forbindelse. I denne typen av internett forbindelser benyttes det spesial utstyr som ikke er vanlig for en normal bredbåndsforbindelse.
Figur 10 – Vi skal nå konfigurere SBS Serveren med Ruterens ”interne” IP adresse og DNS Server Forwarders dvs. ISPs eksterne DNS Servere. Jeg skriver inn informasjonen og passer på å klikke My Server uses a single network connection… og klikker Next.
Figur 11 - Vi ser her Forwarders registrert i DNS Serveren.
Her kan man gjøre feil og det er rom for missforståelser. Gir derfor noen forklaringer.
Preferd DNS server og Alternate DNS server
Dette er ISPs eksterne DNS servere. Disse verdiene må du finne i ruteren/brannmuren når internett forbindelsen er opprettet eller så må du kontakte internett leverandører for å få verdiene. Hva bruker så SBS Serveren disse til? Jo, det henger sammen slik at SBS Serveren først vil forsøke å løse opp IP adresser og domenenavn ved bruk av den interne DNS serveren (på SBS Serveren). Hvis den verdien som søkes ikke er å finne der, vil forespørselen sendes ut på internett for navneoppløsning. Dette kalles DNS server forwarding. Når navneoppløsning er foretatt så kommer for eks internettsidene frem i Internet Explorer. Dersom vi har gale verdier her mister vi internett. Sjekk derfor det overstående nettversdiagrammet dersom du er usikker, og kontakt ISP dersom du ikke har disse verdiene.
Local IP address of router
Dette er IP adressen til Ruteren i Lan porten. En ruter vil ha en ekstern IP adresse i WAN porten og en Lan IP adresse i Lan porten (eventuelt også andre, men det kommer vi ikke inn på her). Det er den interne adressen som skal benyttes.
My Server uses a single network connection for both Internet access and the local network
I vårt tilfelle er saken biff. Vi har kun ett nettverskort og må påse at vi klikker denne. Dette er jo en guide for ICW med 1 nettverskort. Kommer derfor ikke inn på mer av dette her.
TIPS
Hvis du i stedet for DNS servere ønsker å bruke Root Hints så er dette mulig. Du utelater da å registrere DNS servere i Figur 10. Dette vil generere en pop-up melding som lyder som følger: "DNS server information was not specified. DNS server information is used to forward name-resolution requests intended for the Internet to the DNS servers at your Internet service provider (ISP). Without DNS server information, these name-resolution requests must instead use root hints. It is recommended that you use DNS server information if it is available from your ISP. For more information about root hints, see Help and Support." Hvis du ikke vet hva Root Hints er så bør du ikke velge dette alternative.
Figur 12 – Vi får nå en klar å tydelig advarsel om at SBS Serveren kun har et nettverskort og at det derfor ikke konfigureres noen brannmur på SBS Serveren (noe vi hadde fått dersom vi hadde benyttet to nettverskort!). Av den grunn er det en klar forutsetning for forsvarlig nettversoppsett at det står en ruter/brannmur foran SBS Server mot internett. En videre blir vi påminnet om at brannmuren må konfigureres manuelt. Dette skal vi også gjøre i denne artikkelen men på et senere tidspunkt. Vi klikker No og går videre.
Figur 13 – Her er det mye å tygge i. Vi skal derfor ta en mer detaljert titt på dette i det nedenstående. I mitt tilfelle klikker jeg på det som skal åpnes og klikker Next for å gå videre. I ditt tilfelle kan du lese nedenstående avsnitt hvor jeg gjør et forsøk på å forklare de ulike valg alternativer.
Web Services Configuration – Et forsøk på forklaring
Her skal vi velge hvilke Web server tjenester som skal publiseres til Internett og være tilgjengelig der for autoriserte brukere. Internt (i Lan’et) blir disse webstedene publisert uansett. Det er altså til og fra internett vi snakker om her! Vi merker oss at dette også gjelder i det tilfellet at vi kun har et nettverskort. Dette henger sammen med på hvilken måte IIS konfigureres uten at jeg skal komme for langt inn på dette. Vi skal først se på de tre valgene vi har.
- Do not allow access to the Web site from the Internet; Dette valget vil blokkere all Internett tilgang til Web Steder på SBS Serveren.
- Allow access to only the following Web sites services from the internet; Velger vi denne kan vi publisere de komponentene som vi ønsker til Internett. De vil da være eksternt tilgjengelige hvis vi har fast IP adresse (alternativt dynamisk DNS) og brannmuren forwarder forespørsler fra internett til SBS Server. Brannmuren behandles senere.
- Allow access to the entire Web site from the Internet; Dette valget vil gjøre alle Web Steder på SBS Serveren tilgjengelig over Internett. Det kan jeg ikke anbefale i det port 80 må være åpen og forwardet til SBS Serverens IP adresse. Det anses ikke å være beste praksis. Brannmuren behandles senere.
Figur 14 – Generelle konfigurasjon av IP adresse begrensninger for IIS.
For de som er interessert i dette, hvordan konfigureres så IIS for å takle dette?
La meg nå presisere at denne kunnskapen er som steiner i hendene når du skal prøve å svømme. På den annen side kan det hende at det er lesere som er interessert i hva som egentlig foregår ”under the hud”.
I IIS kan vi under fanen Directory Security på menypunktet IP address and Domain Name Restrictions legge inn IP adresse begrensninger på hvem som skal få tilgang til dette webstedet.
Denne konfigurasjonen kan gjøres på generelt grunnlag og individuelt på hvert websted. De individuelle innstillinger på de individuelle websteder vil overstyre den generelle innstilling. Hvis vi velger Do not allow access to the Web site from the Internet vil det legget en IP adresse begrensning på webstedene i IIS. Hvis vi velger å publisere enkelte websteder vil det således gjøres unntak for dette på gjeldende websted slik at dette webstedet kan nås med andre IP adresser en det lokale nettverk som alltid har anledning til å benytte alle websteder på IIS.
Figur 15 – I dette tilfellet har jeg publisert OWA til internett og vi ser at IP begrensningene er fjernet.
I det neste eksempelet har jeg kjørt ICW og publisert OWA til internett. Vi ser da at IP adresse begrensningene er fjernet. Dette webstedet er nå tilgjengelig både for interne brukerer og over internett.
Vår konklusjon er derfor som tidligere nevnt. Alle websteder på SBS Serveren vil være tilgjengelige i det interne nettverket. Det er kun et spørsmål om å kunne den webadressen som skal til for å nå webstedet. På den annen side vil alle websteder være stengt for internett. De websteder som skal være tilgjenglige må publiseres slik at begrensninger stilt inn i IIS fjernes. Ut over dette må også ruter/brannmur stilles inn slik at forespørsler fra internett når SBS Serveren. Men bare så det er nevnt, vi kommer tilbake til dette i slutten av denne artikkelen.
La oss nå se litt på de enkelte komponentene som kan publiseres mot internett
Figur 16 - Outlook Web Access (OWA)
Outlook Web Access
Dette er web utgaven av Outlook dvs ”Outlook in a web browser”. Dersom dette valget slås på vil brukere av SBS Serveren kunne lese sin e-post med Internett Explorer eller andre kompatible nettlesere over Internett kryptert med SSL. Eksempelvis kan man lese e-post hjemme, fra et hotell eller fra en internett kafé når man er på ferie. Foruten om e-post vil også kalender, kontakter og oppgaver mv. være tilgjengelig. OWA installeres pr default når Exchange Server installeres. Interne brukere kan nå webstedet over http://<servernavn>/exchange. Brukere redirigeres da til https:// (SSL) med 128 bit kryptering og bruker må autentisere seg. Det finnes også en link i CompanyWeb. Over internett kan dette webstedet nås med https://<domene.no>/exchange eller https://<ekstern IP>/exchange.
Når Outlook Web Access blir valgt vil CEICW konfigurere komponenter i IIS for OWA virtual directory slik at alle klienter fra en hvilken som helst IP adresse kan få lov til å etablere en forbindelse dog ikke uten autentisering. OWA spesifikke kataloger er /Exchange/*, /exchweb/* og /public/*. I tilegg vil CEICW stille Default Domain property på /Exchange virtual root i IIS (under Authentication and Access Control) til domene på SBS Serveren.
Tips:
Brukere kan ikke forandre passord i OWA per default, og stikkordet er OMA eller Outlook Web Access Administrasjon Kit. Se egen artikkel på smallbizserver.no om sistnevnte.
Tips:
Når SBS Server Autentiserer (brukernavn og passord) en bruker kreves det en lisens. Dersom man benytter device CALs vil det ta en CAL å knytte seg opp til SBS Server med Autentisering fra hver eneste PC eller server man benytter for dette formål. Når device CALs benyttes må det fines en lisens for hver eneste PC eller server som skal brukes. Hvis man derimot benytter User CALs, så er det brukeren som er lisensiert, uavhengig av hvilken server eller PC som benyttes. Eksempel: En bruker har en PC hjemme og en PC på kontoret. Hun leser e-post hjemme med OWA. Hvor mange CALs tar denne? Hvis Device CALs benyttes tar det 2. Hvis User CALs benyttes tar det 1. Generelt kan vi si at Autentisering av en bruker krever.