domenica, gennaio 27, 2008

Distribuire il Firewall Client con le Group Policy

Quello che vedremo in questo articolo è la distribuzione del firewall client di ISA Server mediante le Group Policy. Utilizzare le group policy ha l'indubbio vantaggio di permetterci di gestire in maniera centralizzata l'intero ciclo di gestione del software: installazione, aggiornamento, disinstallazione.

Questo è possibile solo se abbiamo un dominio Active Directory e le postazioni su cui deve essere installato il firewall client appartengono al dominio.

Combinando l'utilizzo delle Group Policy con l'Automatic Discovery possiamo rendere la nostra infrastruttura flessibile e dinamica, riducendo al minimo gli interventi sui client.

Scenario:
Dominio:
corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge
JMP-MAIL: File server per la distribuzione del software  via GP 
JMP-PC0n: Client di dominio su cui sarà installato il firewall client


STRUTTURA DELLE OU IN ACTIVE DIRECTORY
Per prima cosa dobbiamo strutturare la nostra Active Directory in maniera tale che la Group Policy che andremo a creare sia applicata solo ai computer client e non ai server.

Importante:
Il firewall client non va installato sui domain controller, su ISA Server e sui server di dominio pubblicati. Il Firewall Client va installato prevalentemente su postazioni desktop. Per installare il Firewall Client sulle sole postazioni desktop/notebook creare una organizational unit che contiene solo i computer account delle sole postazioni desktop.

Di seguito la struttura delle Organizational Unit del dominio corp.isaserver.it per la distribuzione del firewall client alle sole postazioni Desktop/Notebook

Active Directory 

CREAZIONE DELLO SHARE DI DISTRIBUZIONE SU JMP-MAIL

Su JMP-MAIL creiamo uno share per la distribuzione del firewall client con le seguenti caratteristiche:
NTFS Path: C:\Software
Share Name: Software
Share Permission: Everyone, Read  (Default)

Lo share sarà così visibile sulla rete come:
\\jmp-mail.corp.isaserver.it\software

Copiamo dal CD di installazione di ISA Server 2006 il contenuto della cartella \client che contiene i seguenti file:
ms_fwc.msi
setup.exe
setup.ini

più altri due file, ma se abbiamo sistemi Windows XP Pro o successivi possiamo evitare di copiarli,:
instmsia.exe - Windows Installer 2.0 Redistributable for Windows 95, 98, and Me  
instmsiw.exe -
Windows Installer 2.0 Redistributable Windows 2000 and Windows NT 4.0

CREAZIONE DELLA GROUP POLICY E PUBBLICAZIONE DEL SOFTWARE
Da JMP-DC lanciamo Active Directory Users and Computer e facciamo clic con il tasto destro del mouse sulla organization unit corp.isaserver.it/Desktop.
Selezioniamo Properties | Group Policy. Facciamo clic sul pulsante New e chiamiamo la Group Policy con il nome: ISA Firewall Client.

group policy properties 
Facciamo clic sul pulsante Edit. Facciamo clic con il tasto destro del mouse sul nodo Software Installation che troviamo in Computer Configuration > Software Settings.

group policy publish
 
Selezioamo New > Package... ed inseriamo nel campo File Name il percorso UNC completo al file MSI di installazione del firewall client:
\\jmp-mail.corp.isaserver.it\software\ms_fwc.msi

fwc 
dopodiché facciamo clic sul pulsante Open. Verifichiamo che sia selezionata l'opzione Assigned e facciamo clic su OK.

assigned
A questo punto abbiamo finito di configurare la group policy! Ecco il risultato della configurazione della ISA Firewall Client.

group policy publish finish
Chiudiamo Group Policy Editor e facciamo clic sul pulsante Close.

INSTALLAZIONE DEL FIREWALL CLIENT SU JMP-PC01
Per avviare l'installazione del firewall client basterà avviare JMP-PC01. Durante la fase di avvio - Start Up - del computer verrà installato il firewall client.

FWC client install 

Nota: Nel dominio corp.isaserver.it è stato configurato l'utilizzo dell' Automatic Discovery; in questo modo non è necessario nessun tipo di intervento di configurazione del firewall client.

L'impostazione di default post installazione del firewall client prevede l'utilizzo dell'Automatic Discovery, quindi avendolo già configurato nel dominio non devo fare altro!!
Il firewall client risulterà così installato e attivo...

default fwc install
Nella tray bar di JMP-PC01 è chiaramente visibile il firewall client Attivo.

default fwc install traybar 
Conclusioni
In questo articolo abbiamo visto come utilizzare le group policy per installare il firewall client sulle nostre postazioni desktop del dominio. Se implementiamo anche l'Automatic Discovery l'attività di configurazione del firewall client sui client si azzera!! Un motivo in più per implementarla.
Per domande e commenti il luogo ideale è sempre il forum di ISAServer.it.

Buon Lavoro con ISAServer.it

1 Comments:

At 5:33 PM, Blogger Mauro Cerutti - CCNA said...

Questo commento è stato eliminato dall'autore.

 

Posta un commento

<< Home