Διαφορά μεταξύ των αναθεωρήσεων του "Windows/Διακομιστής μεσολάβησης Squid"

(Ρύθμιση Web εξυπηρετητή σε MS-Windows)
(Αυτόματη ρύθμιση proxy των σταθμών εργασίας)
Γραμμή 53: Γραμμή 53:
 
* εάν για κάποιο λόγο ο Squid server δεν είναι διαθέσιμος (πχ λόγω βλάβης υλικού, λόγω προβλήματος στο λειτουργικό του σύστημα κλπ) οι σταθμοί εργασίας αυτόματα θα συνεχίσουν να έχουν πρόσβαση στο Internet απευθείας μέσω του δρομολογητή.  
 
* εάν για κάποιο λόγο ο Squid server δεν είναι διαθέσιμος (πχ λόγω βλάβης υλικού, λόγω προβλήματος στο λειτουργικό του σύστημα κλπ) οι σταθμοί εργασίας αυτόματα θα συνεχίσουν να έχουν πρόσβαση στο Internet απευθείας μέσω του δρομολογητή.  
  
Για τη λειτουργία αυτή απαιτούνται επιπλέον:
+
Για τη λειτουργία αυτή απαιτούνται:
 
* Ρύθμιση του DNS εξυπηρετητή του ΣΕΠΕΗΥ.
 
* Ρύθμιση του DNS εξυπηρετητή του ΣΕΠΕΗΥ.
* Ρύθμιση του WEB εξυπηρετητή του ΣΕΠΕΗΥ
+
* Ρύθμιση του WEB εξυπηρετητή του ΣΕΠΕΗΥ.
 +
* Ρύθμιση των σταθμών εργασίας.
 
===Ρύθμιση DNS εξυπηρετητή του ΣΕΠΕΗΥ===
 
===Ρύθμιση DNS εξυπηρετητή του ΣΕΠΕΗΥ===
 
Στη ζώνη school.local προσθέτουμε το wpad ως νέο alias(CNAME) που δείχνει στο server.school.local. Αυτό γίνεται από την εφαρμογή {{Application|Server Manager}}, όπου στο {{Menu|Roles|DNS Server|DNS|SERVER|Forward Lookup Zones|school.local}} κάνουμε δεξί κλικ και {{UserResponse|New Alias(CNAME)}} και ορίζουμε "Alias Name" {{UserResponse|wpad}} και "Fully Qualified Domain Name" {{UserResponse|server.school.local}}.
 
Στη ζώνη school.local προσθέτουμε το wpad ως νέο alias(CNAME) που δείχνει στο server.school.local. Αυτό γίνεται από την εφαρμογή {{Application|Server Manager}}, όπου στο {{Menu|Roles|DNS Server|DNS|SERVER|Forward Lookup Zones|school.local}} κάνουμε δεξί κλικ και {{UserResponse|New Alias(CNAME)}} και ορίζουμε "Alias Name" {{UserResponse|wpad}} και "Fully Qualified Domain Name" {{UserResponse|server.school.local}}.
Γραμμή 70: Γραμμή 71:
 
Command completed successfully.<br />
 
Command completed successfully.<br />
 
}}
 
}}
Επιβεβαιώνουμε την ορθή λειτουργία των ρυθμίσεων λαμβάνοντας μέσω της εντολής nslookup για το όνομα wpad.school.local τη διεύθυνση του εξυπηρετητή.
+
Επιβεβαιώνουμε την ορθή λειτουργία των ρυθμίσεων, από σταθμούς εργασίας με dns server τον εξυπηρετητή του ΣΕΠΕΗΥ, λαμβάνοντας μέσω της εντολής nslookup για το όνομα wpad.school.local τη διεύθυνση του εξυπηρετητή. Σε σταθμούς εργασίας που δεν είναι δυνατό να οριστεί ως dns server ο εξυπηρετητής του ΣΕΠΕΗΥ, προσθέτουμε την ακόλουθη γραμμή στο αρχείο c:\windows\system32\drivers\etc\hosts.
 +
{| align="center"
 +
|-
 +
|10.x.y.z wpad
 +
|}
 
===Ρύθμιση Web εξυπηρετητή σε MS-Windows===
 
===Ρύθμιση Web εξυπηρετητή σε MS-Windows===
 
{|border="0" cellpadding="10" style="border: 0px solid darkgray;"
 
{|border="0" cellpadding="10" style="border: 0px solid darkgray;"
Γραμμή 91: Γραμμή 96:
 
|}
 
|}
 
Επιβεβαιώνουμε κατ' αρχήν την ορθή λειτουργία των ρυθμίσεων με άνοιγμα του url http://wpad.school.local/wpad.dat, μέσω του οποίου λαμβάνουμε το οριζόμενο αρχείο wpad.dat στον εξυπηρετητή. Επιπλέον οι σταθμοί εργασίας που έχουν ορισμένο τον "Αυτόματο εντοπισμό ρυθμίσεων διαμεσολαβητή", θα έχουν πρόσβαση στο διαδίκτυο μέσω του proxy, οπότε στο C:\squid\var\log\access θα καταγράφεται η δραστηριότητά τους.
 
Επιβεβαιώνουμε κατ' αρχήν την ορθή λειτουργία των ρυθμίσεων με άνοιγμα του url http://wpad.school.local/wpad.dat, μέσω του οποίου λαμβάνουμε το οριζόμενο αρχείο wpad.dat στον εξυπηρετητή. Επιπλέον οι σταθμοί εργασίας που έχουν ορισμένο τον "Αυτόματο εντοπισμό ρυθμίσεων διαμεσολαβητή", θα έχουν πρόσβαση στο διαδίκτυο μέσω του proxy, οπότε στο C:\squid\var\log\access θα καταγράφεται η δραστηριότητά τους.
 +
===Ρύθμιση των σταθμών εργασίας===

Αναθεώρηση της 17:24, 15 Οκτωβρίου 2012

Εισαγωγή

Η υπηρεσία Squid προσφέρει τα ακόλουθα πλεονεκτήματα στα ΣΕΠΕΗΥ:

  • ταχύτερη λήψη των ενημερώσεων Windows και Antivirus
  • καλύτερη αξιοποίηση της γραμμής του ΣΕΠΕΗΥ
  • μηδενικό κόστος προμήθειας προϊόντος
  • ελάχιστες απαιτήσεις σε υπολογιστικούς πόρους εξυπηρετητή
  • πλήρη κάλυψη των απαιτήσεων που έχουν τα ΣΕΠΕΗΥ, σε σημείο που μπορεί να αντικαταστήσει εμπορικά προϊόντα που πιθανόν το ΣΕΠΕΗΥ διαθέτει.

Εγκατάσταση σε περιβάλλον Windows Server

Για τη βασική εγκατάσταση πρέπει να πραγματοποιήσουμε τα ακόλουθα βήματα:

  • Λαμβάνουμε την τελευταία Stable έκδοση του squid από τη διεύθυνση http://squid.acmeconsulting.it/. Το παρόν εγχειρίδιο βασίζεται στην έκδοση «2.7 Stable 8 Standard», διαθέσιμη ως binary από το http://squid.acmeconsulting.it/download/dl-squid.html.
  • Αποσυμπιέζουμε το zip αρχείο και αντιγράφουμε τα περιεχόμενά του στο φάκελο στο c:\squid.
  • Μετονομάζουμε όλα τα αρχεία του φακέλου etc (c:\squid\etc) από .conf.default σε .conf (π.χ από squid.conf.default σε squid.conf).
  • Ανοίγουμε για επεξεργασία το αρχείο squid.conf με οποιοδήποτε editor (πχ wordpad). Κάνουμε εύρεση για το: acl localnet src. Αλλάζουμε τις εγγραφές έτσι ώστε να επιτρέπεται η πρόσβαση στην υπηρεσία μόνο από το ιδιωτικό υποδίκτυο του σχολείου (10.x.y.z) και από τον ίδιο τον εξυπηρετητή (127.0.0.1). Τελικά θα πρέπει να υπάρχουν δύο εγγραφές:
    acl localnet src 127.0.0.1
    acl localnet src 10.x.y.z/24
  • Τροποποιούμε τη γραμμή
    cache_dir ufs c:/squid/var/cache 100 16 256
    ώστε να ανταποκρίνεται στην τοποθεσία και στο μέγεθος της περιοχής cache.
  • Δημιουργούμε το φάκελο cache μέσα από Command Prompt


Terminal.pngcd c:\squid\sbin
squid -z


  • Εγκαθιστούμε το squid σαν service των Windows, που θα ξεκινά με κάθε εκκίνηση του εξυπηρετητή


Terminal.pngsquid -i


  • Ξεκινούμε την υπηρεσία squid για πρώτη φορά (χωρίς επανεκκίνηση του συστήματος), από το Server Manager στο  Configuration  Services  επιλέγουμε την υπηρεσία squid και κάνουμε Start.
  • Ο Windows Server 2008 έχει ενεργοποιημένο Firewall, στο οποίο πρέπει να επιτρέψουμε την επικοινωνία από το τοπικό δίκτυο στην θύρα 3128, όπου λαμβάνει αιτήματα ο squid. Ξεκινούμε την εφαρμογή διαχείρισης του firewall από το  Start  Administrative Tools  Windows Firewall and Advanced Security  δεξί κλικ στα Inbound Rules  New Rule... .
Επιλέγουμε τη δημιουργία κανόνα με βάση θύρα επικοινωνίας. W2k8-wfas-squid-01.jpg
Επιλέγουμε την TCP θύρα 3128. W2k8-wfas-squid-02.jpg
Επιτρέπουμε την επικοινωνία με βάση τις επιλεγμένες ρυθμίσεις. W2k8-wfas-squid-03.jpg
Ο κανόνας ενεργοποιείται για όλα τα προφίλ. W2k8-wfas-squid-04.jpg
Δίνουμε όνομα στον κανόνα και η δημιουργία του ολοκληρώνεται. W2k8-wfas-squid-05.jpg
  • Ρυθμίζουμε τον browser του εξυπηρετητή να χρησιμοποιεί τον Squid Proxy, πληκτρολογώντας την IP διεύθυνση 127.0.0.1 (ή 10.x.y.z) και ως πόρτα την 3128 στις ρυθμίσεις σύνδεσης.
  • Για τους σταθμούς εργασίας επιλέγουμε την αυτόματη ρύθμισή τους με το πρωτόκολλο WPAD, όπως περιγράφεται στην Αυτόματη ρύθμιση proxy των σταθμών εργασίας.

Επιβεβαίωση ορθής λειτουργίας Squid

Για να επιβεβαιώσουμε την ορθή λειτουργία του εξυπηρετητή Squid, μπορούμε να πραγματοποιήσουμε τα ακόλουθα:

  • Ρυθμίζουμε τον browser ενός σταθμού εργασίας να χρησιμοποιεί τον Squid Proxy, πληκτρολογώντας την διεύθυνση του εξυπηρετητή (10.x.y.z) και ως πόρτα την 3128 στις ρυθμίσεις σύνδεσης.
  • Συνδεόμαστε σε μία σελίδα του διαδικτύου.
  • Μετά την επιτυχή προβολή του περιεχομένου της ιστοσελίδας, διαπιστώνουμε πως η πρόσβαση στην εν λόγω ιστοσελίδα πραγματοποιήθηκε μέσω του squid από το αρχείο C:\squid\var\logs\access.log.

Αυτόματη ρύθμιση proxy των σταθμών εργασίας

Το Web Proxy Auto-Discovery Protocol (WPAD) είναι ένα πρωτόκολλο με το οποίο οι σταθμοί εργασίας μπορούν να έχουν αυτόματα πρόσβαση σε ένα αρχείο ρυθμίσεων, μέσω του οποίου θα ενεργοποιηθεί σε αυτούς ο proxy. Με την ενεργοποίηση του πρωτοκόλλου wpad αφενός οι browsers των σταθμών εργασίας (εφόσον έχουν αυτόματο εντοπισμό ρυθμίσεων διαμεσολαβητή ενεργοποιημένο)

  • δεν απαιτούν επιπλέον ρυθμίσεις για τον proxy και
  • εάν για κάποιο λόγο ο Squid server δεν είναι διαθέσιμος (πχ λόγω βλάβης υλικού, λόγω προβλήματος στο λειτουργικό του σύστημα κλπ) οι σταθμοί εργασίας αυτόματα θα συνεχίσουν να έχουν πρόσβαση στο Internet απευθείας μέσω του δρομολογητή.

Για τη λειτουργία αυτή απαιτούνται:

  • Ρύθμιση του DNS εξυπηρετητή του ΣΕΠΕΗΥ.
  • Ρύθμιση του WEB εξυπηρετητή του ΣΕΠΕΗΥ.
  • Ρύθμιση των σταθμών εργασίας.

Ρύθμιση DNS εξυπηρετητή του ΣΕΠΕΗΥ

Στη ζώνη school.local προσθέτουμε το wpad ως νέο alias(CNAME) που δείχνει στο server.school.local. Αυτό γίνεται από την εφαρμογή Server Manager, όπου στο  Roles  DNS Server  DNS  SERVER  Forward Lookup Zones  κάνουμε δεξί κλικ και Πρότυπο:UserResponse και ορίζουμε "Alias Name" Πρότυπο:UserResponse και "Fully Qualified Domain Name" Πρότυπο:UserResponse.

Το wpad είναι απαγορευμένο alias στο Windows Server 2008, οπότε για να υπάρξει πρόσβαση στο alias, πρέπει να άρουμε τον περιορισμό. Αρχικά βλέπουμε για ποια ονόματα υπάρχει περιορισμός.


Terminal.pngdnscmd /info /globalqueryblocklist

Query result:
String: wpad
String: isatap

Command completed successfully.


Στη συνέχεια ορίζουμε τον περιορισμό για όλα τα ισχύοντα ονόματα εκτός του wpad.


Terminal.pngC:\Users\Administrator>dnscmd /config /globalqueryblocklist isatap

Registry property globalqueryblocklist successfully reset.
Command completed successfully.


Επιβεβαιώνουμε την ορθή λειτουργία των ρυθμίσεων, από σταθμούς εργασίας με dns server τον εξυπηρετητή του ΣΕΠΕΗΥ, λαμβάνοντας μέσω της εντολής nslookup για το όνομα wpad.school.local τη διεύθυνση του εξυπηρετητή. Σε σταθμούς εργασίας που δεν είναι δυνατό να οριστεί ως dns server ο εξυπηρετητής του ΣΕΠΕΗΥ, προσθέτουμε την ακόλουθη γραμμή στο αρχείο c:\windows\system32\drivers\etc\hosts.

10.x.y.z wpad

Ρύθμιση Web εξυπηρετητή σε MS-Windows

Από την εφαρμογή Server Manager ενεργοποιούμε το ρόλο Web Server στον εξυπηρετητή του ΣΕΠΕΗΥ Win2k8-webrole-01.jpg
Μέσα από τον IIS Manager, στο Default Web Site ανοίγουμε τα MIME Types Win2k8-webrole-02.jpg
Κάνουμε Πρότυπο:UserResponse ένα νέο MIME Type, με στοιχεία File name extenstion: Πρότυπο:UserResponse και MIME Type: Πρότυπο:UserResponse. Επανεκκινούμε τον εξυπηρετητή Web με δεξί κλικ στο SERVER(SCHOOL/yper), Stop και Start. Win2k8-webrole-03.jpg

Δημιουργούμε στο root φάκελο του web site (C:\inetpub\wwwroot) ένα αρχείο κειμένου με όνομα "wpad.dat" που περιλαμβάνει τις ακόλουθες γραμμές:

function FindProxyForURL(url, host){

return "PROXY server.school.local:3128; DIRECT";
}

Επιβεβαιώνουμε κατ' αρχήν την ορθή λειτουργία των ρυθμίσεων με άνοιγμα του url http://wpad.school.local/wpad.dat, μέσω του οποίου λαμβάνουμε το οριζόμενο αρχείο wpad.dat στον εξυπηρετητή. Επιπλέον οι σταθμοί εργασίας που έχουν ορισμένο τον "Αυτόματο εντοπισμό ρυθμίσεων διαμεσολαβητή", θα έχουν πρόσβαση στο διαδίκτυο μέσω του proxy, οπότε στο C:\squid\var\log\access θα καταγράφεται η δραστηριότητά τους.

Ρύθμιση των σταθμών εργασίας