Thursday, October 18th, 2018

Путешествие Тома Шиндера (Tom Shinder) через Small Business Server 2003 Service Pack 1 – Часть 5: Проверка Настроек DNS и Сертификатов и Инсталляция ISA Firewall

Published on Февраль 9, 2009 by   ·   Комментариев нет

Мы продолжаем наше путешествие по инсталляции брандмауэра ISA на SBS 2003 SP1 с обсуждением DNSISA.

Если вы пропустили предыдущие части этой статьи, прочитайте их по адресам:

Давайте начнем с обсуждения настроек DNS, созданных CEICW. По некоторым причинам, DNS серверный адрес был присвоен внешнему интерфейсу. Нам необходимо исправить это удалением IP-адреса из DNS настроек внешнего интерфейса и затем ввести IP-адрес внутреннего интерфейса брандмауэра ISA в DNS настройках внутреннего интерфейса. Нам нужно добавить адрес к внутреннему интерфейсу до удаления DNS настройки из внешнего интерфейса.

Теперь нам нужно исправить DNS сервер. На этом я, наконец, понимаю, что страница Router Configuration выполнена. Больше ничего не нужно делать с конфигурацией маршрутизатора! Адреса DNS сервера, которые вы добавили в Router Configuration, реально добавились, как DNS forwarders, в DNS сервере на компьютере SBS 2003 SP1 computer.

DNS ретранслятор – это DNS сервер, который может разрешить DNS host имена от имени DNS сервера, посылающего запрос на DNS ретранслятор. Эта терминология немного сбивающая с толку, так как вы будете думать, что DNS сервер, посылающий DNS запросы на DNS ретранслятор, и будет forwarder (ретранслятором), так как он пересылает запрос на другой DNS сервер. Даже хотя это имеет смысл, это не вариант. DNS ретранслятор – это DNS сервер, который разрешает имя от лица другого DNS сервера.

Есть много вариантов использования DNS ретрансляторов. Одно из наиболее общих применений DNS ретрансляторов – это освобождение DNS сервера от лишней нагрузки разрешения Интернет host имен. Например, наш DNS сервер на SBS 2003 SP1 компьютере является ответственным за разрешение имен в SBS2003.local домене. Наш SBS 2003 SP1 DNS сервер ответственен за SBS2003.local домен, потому что он имеет файл DNS зоны, настроенный на это, который включает SBS2003.local DNS домен.

Когда компьютер на внутренней сети посылает DNS запрос на наш SBS 2003 DNS сервер для любого host имени в SBS2003.local домене, такого, как server1.SBS2003.local или mail.SBS2003.local, наш DNS сервер может авторитетно ответить с IP-адресом запрашиваемого имени, или наш DNS сервер может авторитетно ответить, что нет записи для этого домена. Нашему DNS серверу не требуется запрашивать другие DNS серверы для поиска ответа.

Наш DNS сервер не является авторизованным для любого другого домена, поэтому он должен иметь встроенный механизм, позволяющий ему разрешать host имена в других доменах. Есть два пути, которыми наш DNS сервер может это сделать:

  • Выполнять рекурсию и опрашивать Интернет DNS серверы до тех пор, пока он на найдет DNS сервер, авторизованный для домена в этом запросе
  • Переслать DNS запрос на другой DNS сервер и позволить этому DNS серверу выполнить рекурсию

В конце я рекомендую, чтобы вы использовали DNS серверы вашего ISP в качестве DNS ретранслятора. Причина для этого в том, что DNS кэш на DNS сервере вашего ISP будет намного больше, чем ваш собственный DNS, и поэтому это может значительно повысить производительность обработки DNS запросов.

Однако, так как растущая все больше и больше популярность DNS кэша, испорченна в прошлом году, и, фактически, большинство ISP не используют DNS серверы, основанные на Windows Server 2003, я не могу больше полностью доверять конфигурации безопасности DNS серверов наших ISP. Поэтому, я больше не рекомендую, чтобы вы использовали DNS серверы ваших ISP. Конечно, если вы знакомы с людьми, которые управляют вашим ISP, и они могут подтвердить, что они в достаточной мере защищают свои DNS серверы, вы можете тогда использовать их DNS серверы в качестве DNS ретрансляторов и получать от этого выгоду.

На компьютере SBS 2003 SP1 откройте консоль DNS управления из меню Administrative Tools (Инструменты Администрирования). Щелкните правой кнопкой имя сервера на левой панели консоли и щелкните Properties (Свойства). В диалоговом окне Properties для DNS сервера щелкните вкладку Forwarders (Ретрансляторы).

Здесь вы увидите, что DNS настройки, используемые CEICW, мы поместили на вкладку Router Configuration (Конфигурация Маршрутизатора) для расширения списка IP-адресов DNS ретранслятора. Так как мы не хотим DNS ретрансляторы, нам нужно удалить IP-адреса из этого списка. Вы можете щелкнуть IP-адреса в этом списке и нажать кнопку Remove (Удалить).

281

Рисунок 1

После того, как все IP-адреса удалены из списка, вкладка Forwarders будет выглядеть, как показано на рисунке ниже. поле Do not use recursion for this domain (Не использовать рекурсию для этого домена). Если вы это сделаете, DNS сервер не будет способен использовать элементы на вкладке Root Hints для разрешения имен Интернет Host’ов. Мы не хотим, чтобы DNS сервер выполнял рекурсию для всех DNS доменов, для которых этот DNS сервер не является авторизованным. Нажмите Apply (Применить) и затем нажмите OK для сохранения изменений.

291

Рисунок 2

На правой панели консоли DNS показываются host имена, для которых настроен в настоящее время DNS сервер. Этот мастер добавляет две записи DNS ресурса: одну запись Host (A) для sbs2003sp1.SBS2003.local и одну запись CNAME (псевдоним) для companyweb.SBS2003.local. В дополнение к этим двум критичным записям, мастер имеет автоматически заполняемую DNS зону с записями DNS ресурсов, требуемых для внутридоменных связей.

Закройте консоль DNS, и мы перенесем наше внимание на Сертификаты, добавленные CEICW.

301

Рисунок 3

В новой mmc консоли откройте отдельный встроенный элемент Certificates (Сертификаты) с фокусом на учетной записи локального компьютера. Раскройте узел Certificates и затем раскройте узел Personal (Персональные) на левой панели консоли. Щелкните узел Certificates. На правой панели консоли вы увидите имя, которое мы задали CEICW для использования для удаленного доступа к Web-ресурсам, расположенным на SBS. Это самостоятельно подписанный сертификат. Мастер создает этот сертификат и также создает CA сертификат с таким же именем, который помещает в узел Trusted Root Certificate Authorities компьютера SBS.

311

Рисунок 4

Рисунок, приведенный ниже, показывает сертификат с тем же самым именем в узле Trusted Root Certification Authorities\Certificates. Это интересно, потому что я не использую этот способ распределения сертификатов, так как я обычно использую PKI, основанный на Microsoft Certificate Services, где компьютерам присваиваются компьютерные сертификаты, а пользователям присваиваются пользовательские сертификаты с Сервера Сертификатов, что является иерархией доверия.

Я не говорю, что метод, использованный SBS, не будет работать, потому что он несомненно работает, но он значительно ограничивает ваши опции безопасности для детального управления инфраструктурой сертификатов. В мире нет причин, по которым вам следует ограничиваться этой конфигурацией, но, с этой позиции, я настоятельно рекомендую, чтобы вы оставляли на месте эту инфраструктуру сертификатов. В будущем, я дам вам подробную информацию о том, как улучшить вашу PKI защиту использованием Microsoft Certificate Server.

Помните, что имя сертификата, сохраненного на SBS 2003 SP1 – это имя, которое вы должны использовать, когда подключаетесь к Web-сервисам, выполняемым на этом сервере. Это имя должно также разрешать IP-адрес, который может принимать входящие соединения на Web-сервисы, работающие на SBS 2003 SP1 компьютере.

Если ваш SBS 2003 SP1 компьютер непосредственно подключен к Интернету и имеет публичный IP адрес на своем внешнем интерфейсе, то его имя должно преобразовываться в IP-адрес, связанный с внешним интерфейсом. Если вы используете NAT устройство или простой брандмауэр с инспекцией пакетов с контролем состояния соединения спереди от SBS 2003 SP1 компьютера, то это имя должно преобразовываться в IP адрес на внешнем интерфейсе этого NAT устройства или брандмауэра

Закройте Certificates MMC.

32

Рисунок 5

Теперь мы, наконец, готовы к инсталляции программного обеспечения брандмауэра ISA! Помните, мы все еще работаем с первым сценарием, в котором я решил не разрешать брандмауэр, так как я думаю, что, если я разрешу Windows Firewall на SBS компьютере, то ему нанесет ущерб конфигурирование программ брандмауэра ISA. Напомню, что это было ошибочным предположением с моей стороны, так как CEICW должен быть опрошен, если я хочу разрешить Windows Firewall или ISA Firewall (если я планировал инсталлировать ISA позже). Как обычно бывает, когда я играю возможную кнопку в играх с предположениями, я предполагаю ошибочную возможность. Однако часто я узнаю интересные вещи из-за моих ошибок, и я делюсь этими вещами с вами в этой серии статей.

Вставьте Premium Technologies CD в SBS SP1 компьютер и вы увидите появившуюся страницу автозапуска. Щелкните ссылку Install Microsoft Internet Security and Acceleration Server 2004 (Инсталлировать Microsoft Internet Security and Acceleration Server 2004).

33

Рисунок 6

Нажмите Next (Далее) на странице Welcome to the ISA Server 2004 Setup for Windows Small Business Server 2003 Wizard (Добро пожаловать в Мастер Установки ISA Server 2004 для Windows Small Business Server 2003).

341

Рисунок 7

Выберите опцию I accept the terms in the license agreement (Я принимаю условия лицензионного соглашения) на странице License Agreement (Лицензионное Соглашение) и нажмите Next.

35

Рисунок 8

Примите путь по умолчанию на странице InstallationPath (Инсталляционный Путь) и нажмите Next.

36

Рисунок 9

Теперь произошла неожиданная вещь. Появилась страница Completing the ISA Server 2004 Setup for Windows Small Business Server 2003 Wizard (Завершение Мастера Установки ISA Server 2004 для Windows Small Business Server 2003). Я думаю, это довольно интересно, так как я не выполнял еще конфигурацию установки ISA брандмауэра. Однако, что я не знал в то время, это что CEICW способен вытащить настройки, уже сконфигурированные на SBS 2003 SP1 компьютере, и включить эти настройки в создание осмысленной и эффективной конфигурации ISA брандмауэра и брандмауэрной политики.

Нажмите Finish (Завершить) на странице Completing the ISA Server 2004 Setup for Windows Small Business Server 2003 Wizard.

37

Рисунок 10

Заключение

Мы действительно завершили? Ни за что! Мы продолжим на следующей недели с частью 6 из этой серии статей, и я расскажу вам, что случилось. Это не то, что вы думаете, но это определенно будет интересное путешествие. Увидимся!

Источник www.isaserver.org


Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]