CONTENUTO DELL'ATTIVITÀ
• Installazione di ISA Server 
• Pianificare l'installazione 
• Configurare le schede di rete del server 
• Configurare l'interfaccia interna alla rete 
• Installazione di Microsoft Internet Security and Acceleration Server 
• Utilizzare l'installazione guidata di ISA Server 
• Configurare lo stato successivo all'installazione di ISA 
• Procedura guidata introduttiva 
• Creare criteri per la connessione degli utenti a Internet 
• Accedere a Internet dal computer ISA 

Installazione di ISA Server
Per installare un firewall ISA, è necessario un computer con due schede di rete, una delle quali dovrà essere connessa alla rete interna e l'altra al provider di servizi Internet (ISP). È possibile richiedere assistenza al provider per eseguire questa connessione. Un firewall agisce come una barriera di protezione tra la rete interna (o Intranet) e Internet, impedendo ad altri utenti su Internet di accedere alle informazioni riservate sulla rete Intranet o nel computer.

Pianificare l'installazione
• È possibile eseguire ISA Server Standard Edition in un computer autonomo, in un computer membro di un dominio Microsoft Windows NT o in un computer membro di un dominio Active Directory. 
• Per ottenere il massimo livello di protezione, eseguire ISA Server in un computer autonomo. 
• La configurazione delle schede di rete richiede l'impostazione dell'interfaccia esterna a Internet e dell'interfaccia interna alla rete Windows. 
• L'ISP dovrà fornire un indirizzo IP statico, una subnet mask, un gateway predefinito e uno o più server DNS (Domain Name System). Immettere queste informazioni nelle impostazioni TCP/IP della scheda di rete connessa all'ISP. Alcuni ISP preferiscono assegnare queste informazioni mediante protocollo DHCP (Dynamic Host Configuration Protocol). 
• Sarà necessario digitare un indirizzo permanente e la subnet mask appropriata per la rete interna nella scheda interna (non utilizzare il protocollo DHCP per questa interfaccia). Lasciare sempre vuota la casella relativa al gateway predefinito. Il computer ISA Server richiede un solo gateway predefinito, quello configurato per l'interfaccia o le interfacce esterne. La configurazione di un gateway predefinito sulla scheda interna può provocare l'errato funzionamento di ISA. 
Configurare le schede di rete del server
1. Fare clic sul pulsante Start, scegliere Pannello di controllo, quindi Connessioni di rete. 
2. Fare clic con il pulsante destro del mouse sulla connessione Internet, scegliere Rinomina, quindi digitare Connessione Internet.

Ciò consentirà di ricordare quale scheda di rete è connessa a Internet. 
3. Fare clic con il pulsante destro del mouse sulla connessione Internet, quindi scegliere Proprietà. 
4. Nella scheda Generale selezionare la casella di controllo Mostra un'icona sulla barra delle applicazioni quando connesso.

Quando l'interfaccia trasferisce i dati, viene visualizzata una piccola icona intermittente sulla barra delle applicazioni. 
5. Deselezionare le caselle di controllo Client per reti Microsoft e Condivisione file e stampanti per reti Microsoft.

Questi protocolli verranno automaticamente bloccati; deselezionando le caselle di dialogo si ottiene una maggiore disponibilità di memoria. 
6. Fare doppio clic su Protocollo Internet (TCP/IP), quindi effettuare una delle operazioni seguenti: • Se l'ISP utilizza DHCP per assegnare gli indirizzi IP, fare clic sulle opzioni Ottieni automaticamente un indirizzo IP e Ottieni indirizzo server DNS automaticamente nella finestra di dialogo Proprietà protocollo Internet (TCP/IP). Procedere al punto 7. 
• Se è necessario immettere manualmente le informazioni relative all'indirizzo IP fornito dall'ISP, selezionare Utilizza il seguente indirizzo IP nella finestra di dialogo Proprietà protocollo Internet (TCP/IP), quindi digitare le informazioni relative a indirizzo, subnet mask e gateway predefinito fornite dall'ISP. Selezionare la casella di controllo Utilizza i seguenti indirizzi server DNS e digitare il nome del server o dei server DNS fornito dall'ISP. 

7. Scegliere Avanzate, quindi fare clic sulla scheda DNS. Deselezionare la casella di controllo Registra nel DNS gli indirizzi di questa connessione. 
8. Fare clic sulla scheda WINS. Nell'impostazione NETBIOS fare clic su Disabilita NetBios su TCP/IP. 
Configurare l'interfaccia interna alla rete
1. Fare clic sul pulsante Start, scegliere Pannello di controllo, quindi Connessioni di rete. 
2. Fare clic con il pulsante destro del mouse sulla connessione alla rete locale, scegliere Rinomina, quindi digitare Rete locale. 
3. Fare clic con il pulsante destro del mouse su Rete locale, quindi scegliere Proprietà. 
4. Nella scheda Generale selezionare la casella di controllo Mostra un'icona sulla barra delle applicazioni quando connesso. 
5. Selezionare le caselle di controllo Client per reti Microsoft e Condivisione file e stampanti per reti Microsoft se non sono già selezionate. 
6. Fare doppio clic su Protocollo Internet (TCP/IP), quindi selezionare la casella di controllo Utilizza il seguente indirizzo IP. 
7. Nella casella Indirizzo IP digitare un indirizzo IP interno e una subnet mask adeguata allo schema di indirizzi della rete interna. Lasciare vuota la casella Gateway predefinito. In Server DNS preferito digitare l'indirizzo IP del server o dei server DNS di rete.

NOTA: per reti molto piccole con meno di 255 computer, se si sta utilizzando la configurazione TCP/IP predefinita di Windows 2000 e la rete non dispone di un server DNS, i computer utilizzano APIPA (Automatic Private IP Address Assignment) per l'assegnazione degli indirizzi IP. Microsoft consiglia di eseguire la migrazione da APIPA e iniziare a utilizzare indirizzi statici sulle workstation client. Per ciascun computer della rete sarà necessario un indirizzo IP univoco. Quando si configura l'interfaccia interna di ISA Server, è necessario utilizzare un indirizzo statico. Utilizzare 192.168.0.254 e la subnet mask 255.255.255.0. Lasciare vuota la casella Gateway predefinito. Digitare il server DNS dell'ISP nei campi Server DNS.

Configurare ora gli indirizzi statici su ogni client: a. Sul primo computer utilizzare l'indirizzo 192.168.0.1, la subnet mask 255.255.255.0 e un gateway predefinito 192.168.0.254. Per DNS digitare il nome del server o dei server DNS dell'ISP. 
b. Sul secondo computer utilizzare l'indirizzo 192.168.0.2 e gli stessi valori indicati nel passaggio precedente. A parte l'indirizzo, che andrà aumentato per ciascun computer aggiuntivo, gli altri valori rimangono invariati. Creare un elenco dei computer e dei relativi indirizzi utilizzati. 

8. Riavviare il computer quando viene richiesto. 
Installazione di Microsoft Internet Security and Acceleration Server
Utilizzare l'installazione guidata di ISA Server
1. In Esplora risorse fare doppio clic sull'unità CD-ROM.

NOTA: l'installazione guidata di ISA Server viene avviata automaticamente, a meno che la funzionalità di notifica di avvio automatico non sia disattivata. Se l'installazione guidata non viene avviata automaticamente, passare alla directory principale del CD e fare doppio clic sul file ISAAutorun.exe per avviarne l'esecuzione. Scegliere Install ISA Server per avviare il processo. 
2. Nella schermata iniziale scegliere Continue. Digitare il numero di serie del prodotto nella casella appropriata. È possibile individuare questo numero sul retro della custodia del CD. 
3. Leggere il contratto di licenza, quindi scegliere I Agree. 
4. Scegliere Typical installation come tipo di installazione. Con questo tipo di installazione verranno installati i servizi ISA e gli strumenti di amministrazione. 
5. Scegliere Firewall mode. Verranno interrotti tutti i servizi pertinenti del computer. 
6. Configurare la tabella degli indirizzi locali (LAT, Local Address Table) per ISA. La configurazione della LAT richiede particolare attenzione. È possibile scegliere tra due opzioni: creare una LAT o utilizzare la procedura guidata di installazione. Scegliere l'opzione desiderata in base alle seguenti condizioni: • Se si conoscono la subnet o le subnet utilizzate sulla rete interna, digitarle ora.

ATTENZIONE: non fare clic sul pulsante Construct Table poiché altrimenti le informazioni sulla LAT immesse verranno sovrascritte. 
• Se non si conoscono le subnet locali, fare clic sul pulsante Construct Table. Verranno determinate le subnet locali in base alla tabella di routing del computer. • Selezionare la casella di controllo Add the following private ranges se non è già selezionata. 
• Selezionare Add address ranges based on the Windows Server 2003 routing table se questa opzione non è già selezionata. 
• Deselezionare la casella di controllo contenente la subnet che corrisponde all'interfaccia esterna (Internet) del server. 
• Selezionare la casella di controllo contenente la subnet che corrisponde all'interfaccia interna (LAN) del server. 


7. Al termine dell'impostazione avviare la procedura guidata introduttiva dell'amministratore e leggere attentamente la sezione seguente prima di completare la procedura guidata. 
Al termine dell'installazione di ISA Server viene bloccato qualsiasi accesso a e da Internet. Si tratta di una procedura consigliata, considerato che si sta impostando un firewall. La funzione principale di un firewall è di agire come punto di controllo tra due reti. Il funzionamento di ISA Server consiste nel bloccare qualsiasi attività non specificatamente consentita dai criteri di protezione.

Configurare lo stato successivo all'installazione di ISA
Per configurare i seguenti componenti dei criteri di accesso in modo tale da consentire l'accesso a Internet ai client, tenere presente quanto segue: • È necessario configurare almeno una regola per il sito e il contenuto che determinerà a quali risorse gli utenti potranno accedere e che tipo di contenuto potranno recuperare. 
• Sarà inoltre necessario configurare almeno un protocollo per indicare il tipo di traffico consentito attraverso ISA Server. 
Al termine dell'installazione, vengono create una regola per il sito e il contenuto predefinita che consentirà a tutti i client di accedere a tutti i contenuti di tutti i siti in qualsiasi momento. Tuttavia ciò non sarà sufficiente per consentire agli utenti di esplorare Internet, poiché non è ancora stata definita una regola per il protocollo. Senza questa definizione, non è consentito alcun tipo di traffico tramite ISA.

Procedura guidata introduttiva
1. Nella procedura guidata introduttiva fare clic su Configure Protocol Rules. L'elenco dei protocolli viene visualizzato in Microsoft Management Console (MMC). 
2. Scegliere Create a Protocol Rule. Digitare un nome, quale ad esempio "Tutti i protocolli". 
3. Fare clic su Allow per l'azione della regola, che corrisponde all'impostazione predefinita. 
4. Fare clic su All IP traffic per l'elenco dei protocolli, che corrisponde all'impostazione predefinita. 
5. Fare clic su Always per la pianificazione, che corrisponde all'impostazione predefinita. 
6. Fare clic su Any request per il tipo di client, che corrisponde all'impostazione predefinita. 
7. Scegliere Finish. 
Creare criteri per la connessione degli utenti a Internet
Con ISA Server non è solo possibile consentire a tutti i client l'accesso a tutti i contenuti e a tutti i siti in qualsiasi momento mediante i protocolli precedentemente definiti, ma anche creare i criteri di accesso che è possibile utilizzare per definire esattamente il tipo di accesso a Internet da parte degli utenti.

I criteri di accesso di ISA sono composti dai tre elementi seguenti: • Regole per il sito e il contenuto. 
• Regole per i protocolli. 
• Filtri per i pacchetti IP. 
A loro volta, le regole sono composte dai seguenti elementi di criteri: • Pianificazioni. 
• Insiemi di destinazioni. 
• Insiemi di indirizzi client. 
• Definizioni di protocolli. 
• Gruppi di contenuti. 
Prima di iniziare la creazione dei criteri ISA, è necessario comprendere le dipendenze esistenti tra i vari elementi. Nella tabella che segue vengono descritti gli elementi dei criteri e le corrispondenti regole dei criteri: Regole per il sito e il contenuto Regole dei protocolli 
Insiemi di destinazioni Definizioni di protocolli 
Gruppi di contenuti Pianificazioni 
Pianificazioni Insiemi di indirizzi client 
Insiemi di indirizzi client 
Accedere a Internet dal computer ISA
Per quanto riguarda l'accesso a Internet dal computer ISA stesso, se ci si trova fisicamente al computer ISA e si desidera accedere a un sito Web particolare, i protocolli e le regole per il sito e per il contenuto creati si applicano esclusivamente ai client che si trovano al di là del server ISA. Quando un client tenta di accedere a Internet, presupponendo che la richiesta sia consentita dalle regole create, viene creato un filtro di pacchetti dinamico per la richiesta della connessione. Tuttavia, se si sta utilizzando il computer ISA e si desidera accedere a Internet, è necessario creare filtri di pacchetti statici in base ai tipi di traffico che verranno generati. Ad esempio, per accedere a un sito Web, attenersi alla seguente procedura: 1. In ISA Management espandere Servers, espandere nome server, scegliere Access Policy, quindi IP Packet Filters. 
2. Fare clic su Create a packet filter per avviare la procedura guidata. 
3. Assegnare al filtro di pacchetti il nome Accesso Web. 
4. Scegliere Allow packet transmission, quindi Custom. 
5. Fare clic su TCP come protocollo IP, fare clic su Outbound per specificare la direzione, fare clic su All ports per indicare la porta locale, quindi fare clic su Fixed port per la porta remota. Digitare 80 nella casella Port Number. 
6. Selezionare gli indirizzi IP predefiniti per ciascuna interfaccia esterna presente nel server ISA. 
7. Scegliere All remote computers. 
Sarà ora possibile accedere ai siti Web dal server ISA. Microsoft consiglia di ripetere questa procedura, ma di utilizzare SSL access come nome nel passaggio 3 e 443 (anziché 80) nel passaggio 5, poiché numerosi server Web utilizzano il protocollo SSL. Per consentire un numero ancora maggiore di protocolli, seguire la stessa procedura utilizzando tuttavia un nome adeguato al punto 3 e le voci appropriate al punto 5.

Risoluzione dei problemi
I problemi più comuni riguardano la mancata comprensione delle interazioni tra gli elementi dei criteri, le regole dei criteri e i filtri di pacchetti. Prima di intraprendere operazioni più complesse rispetto all'utilizzo generico dei criteri di accesso creati, seguendo la procedura descritta nella sezione "Creare criteri per la connessione degli utenti a Internet" in questo articolo, leggere attentamente la sezione "Installazione di Microsoft Internet Security and Acceleration Server". Consultare inoltre la Guida in linea di Microsoft Internet Security and Acceleration Server. Creare quindi alcuni criteri e verificarli. La comprensione dei criteri di accesso risulta inoltre più semplice se si acquisisce familiarità con la terminologia di ISA Server e le interazioni dei componenti.

NOTA: con ISA Server è impossibile effettuare connessioni dirette tra gli elementi inclusi nella LAT e l'esterno. A tale scopo è necessario creare alcuni criteri che descrivano il tipo di accesso che si desidera consentire.


Riferimenti
Per assistenza nella risoluzione dei problemi relativi a ISA Server, vedere la Guida in linea di Microsoft Internet Security and Acceleration Server.


Le informazioni in questo articolo si applicano a
• Microsoft Windows Server 2003 Datacenter Edition 
• Microsoft Windows Server 2003 Enterprise Edition 
• Microsoft Windows Server 2003 Standard Edition 
• Microsoft Windows Server 2003 Web Edition 
• Microsoft Windows Server 2003 Datacenter Edition 
• Microsoft Windows Server 2003 64-bit Enterprise Edition 
• Microsoft Internet Security and Acceleration Server 2000 Standard Edition 


LE INFORMAZIONI CONTENUTE NELLA OMNILINK KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO OMNILINK C E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE OMNILINK O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.FONTE WWW.MICROSOFT.COM