Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 2)

В первой части статьи об использовании мастера настройки соединения для создания VPN-соединения по схеме site-to-site между главным офисом и филиалом мы рассмотрели инфраструктуру тестовой сети и обсудили ключевые моменты создания VPN по схеме site-to-site.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

• Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 1)
• Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 3)
• Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 4)
• Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 5)
• Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 6)

Во второй части мы рассмотрим вопросы, связанные с DNS и необходимые для работы решения, установкой сервера хранения настроек и созданием массивов ISA-серверов в главном офисе и филиале.

Настройка DNS-сервера на отклонение динамических обновлений и создание записей узла (тип A) для ISA-сервера и имен массивов

Прежде чем начать установку сервера хранения настроек в главном офисе и массивов ISA-серверов, нам необходимо настроить DNS-сервер корпоративной сети на отклонение динамических обновлений. Сделать это нужно для того, чтобы виртуальный IP-адрес ISA-сервера филиала при соединении с ISA-сервером главного офиса не регистрировался в DNS вместо актуального внутреннего IP-адреса. Это также предотвратит регистрацию в DNS виртуального IP-адреса ISA-сервера главного офиса.

Это обычная проблема VPN-соединений по схеме site-to-site. Предположим, что в сети главного офиса вы используете клиенты web-прокси и брандмауэра, которые настроены на использование имени ISA-сервера для связи со службами web-прокси и брандмауэра. До установления соединения site-to-site все работало хорошо, но после этого виртуальный IP-адрес главного офиса регистрирует себя в DDNS. И теперь клиенты web-прокси и брандмауэра пытаются соединиться с виртуальным адресом ISA-сервера главного офиса (адрес RAS-интерфейса), и, естественно, соединение не устанавливается.

Другой схемой, при которой возникают проблемы с виртуальным IP-адресом интерфейса RAS, является попытка ISA-сервера филиала соединиться с сервером хранения настроек главного офиса. Когда соединение site-to-site установлено, ISA-сервер филиала регистрирует свой виртуальный адрес (адрес RAS-интерфейса) на сервере хранения настроек. Сервер хранения настроек пытается соединиться с ISA-сервером филиала по этому адресу, но соединение не устанавливается.

Данную проблему можно предотвратить путем отключения DDNS на DNS-сервере. Вы можете задать вопрос: «Нужно ли делать это постоянно или есть способ настроить интерфейс соединения по запросу на то, чтобы он не регистрировался в DDNS?» Ответ такой: «Может быть». Я пока не буду полностью отвечать на данный вопрос, а то вы можете прекратить чтение этой статьи.

Нам нужно создать записи узла (тип A) на DNS в Active Directory для следующих имен:

• isa2006se.msfirewall.org (10.0.0.1)
• isa2006branch.msfirewall.org (10.0.1.1)
• main.msfirewall.org (10.0.0.1)
• branch.msfirewall.org (10.0.1.1)

Нам не нужно создавать запись для сервера хранения настроек или контроллера домена, поскольку эти компьютеры уже установлены и зарегистрированы в DNS с помощью DDNS. Не стоит беспокоиться об этих компьютерах, поскольку информация об их IP-адресах не будет меняться.

Прежде чем создать записи узла (тип A), вам нужно создать зону обратного просмотра для подсети филиала. В нашем примере подсетью филиала является 10.0.1.0/24. Для создания зоны обратного просмотра выполните следующее:

1. На контроллере домена нажмите Start (Пуск),Administrative Tools (Администрирование) и выберите DNS.
2. В консоли DNS management (Управление DNS) раскройте имя сервера и выберите узел Reverse Lookup Zones (Зоны обратного просмотра).
3. Правой кнопкой щелкните по узлу Reverse Lookup Zone(Зоны обратного просмотра) и выберите New Zone (Новая зона).
4. На странице Welcome to the New Zone Wizard (Начало работы мастера создания новой зоны) нажмите Next (Далее).
5. На странице Zone Type (Тип зоны) выберите Primary Zone (Первичная зона) и нажмите Next (Далее).

   

   Рисунок 1

6. На странице Active Directory Zone Replication Scope (Диапазон репликации зоны вActive Directory) выберите параметр To all DNS servers in the Active Directory domain msfirewall.org (На все DNS-серверы в доменеActive Directorymsfirewall.org). Мы выбираем этот параметр, поскольку в нашей организации есть только один домен. Если у вас несколько доменов, вы можете выбрать репликацию зоны обратного просмотра на все DNS-серверы в лесу. Нажмите Next (Далее).

   

   Рисунок 2

7. На странице Reverse Lookup Zone Name (Имя зоны обратного просмотра) выберите опцию Network ID (Подсеть) и введите подсеть филиала. В нашем примере это 10.0.1.0/24, поэтому введите 10.0.1 и нажмите Next (Далее).

   

   Рисунок 3

8. На странице Dynamic Update (Динамическое обновление) выберите опцию Allow only secure dynamic updates (recommend for Active Directory) (Разрешать только безопасные динамические обновления (рекомендуется для Active Directory)). Мы не будем отменять использование динамического обновления этой зоны, поскольку мы хотим, чтобы серверы филиала могли регистрироваться в DDNS. Нам нужно только избежать регистрации в DNS интерфейса соединения по запросу, и ниже мы увидим, как сделать это возможным. Нажмите Next (Далее).

   

   Рисунок 4

9. На странице Completing the New Zone Wizard (Завершение работы мастера создания новой зоны) нажмите Finish (Завершить).
10. В левой части консоли вы увидите новую зону.

    

    Рисунок5

Теперь можно создать записи типа A. Для этого выполните следующее:

1. На контроллере домена нажмите Start (Пуск),Administrative Tools (Администрирование) и выберите DNS.
2. В консоли DNS management (Управление DNS) раскройте имя сервера и выберите узел Forward Lookup Zones(Зоны прямого просмотра). Отметьте узел msfirewall.org.
3. Щелкните правой кнопкой по узлу msfirewall.org и выберите пункт контекстного меню New Host (A) (Новый узел (тип A)).
4. В диалоговом окне New Host (Новый узел) введите в текстовое окно Name (uses parent domain name if blank) (Имя (в случае отсутствия используется имя родительского домена)) введите имя сервера. В нашем примере мы вводим имя ISA-сервера филиала, isa2006branch. В текстовом поле Fully qualified domain name (FQDN) (Полностью определенное доменное имя – FQDN) появится FQDN сервера. Введите внутренний IP-адрес ISA-сервера филиала в текстовое поле IP address (IP-адрес). В нашем случае IP-адрес ISA-сервера филиала 10.0.1.1, его мы и вводим в поле. Нажмите Add Host (Добавить узел).

   

   Рисунок 6

5. Диалоговое окно New Host (Новый узел) останется открытым, так что вы можете ввести следующие записи. Введите имена и IP-адреса узлов, указанных выше.
6. После ввода всех записей в диалоговом окне New Host (Новый узел) нажмите Cancel (Отменить).
7. У вас должно получиться нечто подобное Рисунку 7.

   

   Рисунок 7

8. Теперь нам нужно загрузить эти записи в базу данных DNS. Сделать это можно, перезапустив DNS-сервер. В консоли управления щелкните правой кнопкой по имени сервера, выберите All Tasks (Все задачи) и Restart (Перезапустить).

   

   Рисунок8

Для того, чтобы завершить настройку DNS, нам нужно отключить динамическое обновление (как минимум, на время). В левой части консоли управления DNS выделите запись msfirewall.org в узле Forward Lookup Zones (Зоны прямого просмотра). Щелкните правой кнопкой по узлу msfirewall.org и выберите Properties (Свойства).

В диалоговом окне Properties (Свойства) выберите вкладку General (Общие), где из выпадающего списка Dynamic updates (Динамические обновления) выберите None (Нет). Нажмите OK. Для того, чтобы изменения вступили в силу перегружать службу DNS не нужно. Сверните консоль управления DNS.

Рисунок 9

Установка сервера хранения настроек на выделенный компьютер

Важный шаг по настройке DNS завершен, и мы можем перейти к следующему: установке сервера хранения настроек на выделенном компьютере. Хотя есть возможность установить сервер хранения настроек на контроллере домена или даже на массиве ISA-сервера, лучше всего и безопасней всего устанавливать его на выделенном устройстве, не являющемся ни контроллером домена, ни членом массива.

Идеальным решением является установка сервера хранения настроек в выделенном сегменте сети, в котором нет других компьютеров, и в который не попадает никакой трафик из других сегментов, а сам сервер хранения настроек защищен ISA-сервером. Но для упрощения мы не будем этого делать. В будущем, возможно, я расскажу о такой схеме расположения. Однако вы можете использовать все принципы, изложенные в статьях о DMZ данного сайта, особенно те, которые посвящены защите внешних Exchange-серверов.

Для установки сервера хранения настроек на выделенный компьютер выполните следующее:

1. Вставьте установочный диск ISA 2006 в компьютер. Если меню автозапуска не появится, запустите файл ISAAutorun.exe.
2. В меню автозапуска нажмите Install ISA Server 2006 (Установить ISA-сервер 2006).
3. На странице Welcome to the Installation Wizard for Microsoft ISA Server 2006 (Начало работы мастера установки сервера Microsoft ISA Server 2006) нажмите Next (Далее).
4. На странице License Agreement (Лицензионное соглашение) выберите I accept the terms in the license agreement (Я принимаю условия лицензионного соглашения) и нажмите Next (Далее).
5. На странице Customer Information (Информация о покупателе) введите вашу информацию и нажмите Next (Далее).
6. На странице Setup Scenarios (Варианты установки) выберите Install Configuration Storage Server (Установить сервер хранения настроек) и нажмите Next (Далее).

   

   Рисунок 10

7. На странице Component Selection (Выбор компонентов) нажмите Next (Далее).

   

   Рисунок 11

8. На странице Enterprise Installation Options (Варианты установки для организации) выберите Create a new ISA Server enterprise (Создать новую организацию ISA-сервера). Данный вариант позволит вам создать новую организацию. Вариант Create a replica of the enterprise configuration (Создать копию конфигурации организации) позволяет вам создать копию существующей организации ISA-сервера, которую можно использовать в качестве резервной копии сервера хранения настроек. В нашем примере мы создадим новую организацию, которая будет содержать все наши массивы. Нажмите Next (Далее).

   

   Рисунок 12

9. На странице New Enterprise Warning (Предупреждение о новой организации) вы увидите информацию об использовании единственной организации для управления всеми массивами. Нажмите Next (Далее).

   

   Рисунок 13

10. На странице Create New Enterprise (Создать новую организацию) введите имя организации в поле Enterprise name (Имя организации). В нашем примере мы используем имя Enterprise. В поле Description (Описание) можете ввести описание вашей организации. Нажмите Next (Далее).

    

    Рисунок 14

11. В диалоговом окне Enterprise Deployment Environment (Развертывание окружения организации) укажите, будут ли ISA-серверы, также как и сервер хранения настроек, частью того же домена или они будут находиться в своей рабочей группе. Для безопасности и облегчения настройки рекомендуется, чтобы ISA-серверы находились в том же домене. Мы будем следовать этим рекомендациям. Порой некоторые «специалисты по сетям» не понимают сути работы ISA-сервера и потому могут заставить вас использовать менее безопасную конфигурацию с использованием рабочей группы. Если вы оказались в такой ситуации, вам необходимо внедрить рабочую группу, что означает внедрение инфраструктуры открытого ключа. Убедитесь, что все компьютеры обладают правильными сертификатами.
    Поскольку мы внедряем безопасную конфигурацию, то ISA-серверы и сервер хранения настроек являются членами одного домена. Поэтому мы выбираем параметр I am deploying in a single domain or in domains with trust relationships (Я развертываю серверы в одном домене или в доменах с доверительными отношениями). Нажмите Next (Далее).

    

    Рисунок 15

12. На странице Ready to Install the Program (Установка программы), нажмите Next (Далее).

    

    Рисунок 16

13. Индикатор установки укажет вам состояние, а также какие именно компоненты устанавливаются в данный момент времени.

    

    Рисунок 17

14. На странице Installation Wizard Completed (Завершение работы мастера установки) отметьте Invoke ISA Server Management when the wizard closes (Запустить консоль управления ISA-сервера после закрытия мастера). Нажмите Finish (Завершить).

    

    Рисунок 18

Создание массивов и настройка станции управления предприятием

Теперь мы готовы создать массивы для главного офиса и филиалов. Массив – это набор ISA-серверов, действующих как один логический сервер, и потому все они обладают одинаковой политикой брандмауэра и настройками. В массив ISA-серверов может входить от 1 до 32 серверов. Как минимум один интерфейс каждого члена массива должен находиться в одной с остальными ISA-серверами одного массива подсети. Данный интерфейс служит для соединений внутри массива. На практике это означает, что вы не можете разделить массив WAN-каналами или VPN-каналами по схеме site-to-site, поскольку все интерфейсы в удаленных офисах находятся в подсети, отличной от подсети главного офиса.

В нашем примере у нас будет два массива: массив Main главного офиса, и массив Branch филиала. Можно было создать несколько массивов в главном офисе, и каждый массив мог бы состоять из не более, чем 32 членов. На практике в филиалах обычно располагают массив из одного сервера, а в главном офисе и больших филиалах массивы могут содержать от 2 до 32 сервера.

Одним из преимуществ использования массивов с несколькими членами является возможность использования механизмов CARP и балансировки нагрузки, которые помогают увеличивать эффективную пропускную способность до значения, равному количеству серверов массива в каждом массива, умноженному на скорость канала, доступную для каждого члена массива.

Например, при обычной проверке пакетов обычный ISA-сервер может пропускать трафик со скоростью около 1.5 Гб/с. Если массив главного офиса состоит из пяти членов, то его эффективная пропускная способность массива равняется 7.5 Гб/с. Попробуйте подсчитать стоимость аппаратного брандмауэра с пропускной способностью 7.5 Гб/с и сравните ее со стоимостью пяти членов массива на обычном компьютерном аппаратном обеспечении.

Вас должна впечатлить экономия средств и возможность замены оборудования по выгодным ценам вас впечатлила, в сравнение с безумными ценами производителей аппаратных брандмауэров. А на сэкономленные средства купите себе, например, Корвет, а производители аппаратных брандмауэров пусть останутся с носом.

Но вернемся к консоли ISA-сервера. После нажатия на кнопку Finish (Завершить) на последней странице мастера установки перед вами появится консоль управления ISA-сервера и безопасная Web-страница. Для добавления сервера хранения настроек в станции удаленного управления организацией политики организации выполните следующее:

1. Прочтите web-страницу Protect the ISA Server Computer (Защита компьютера ISA-сервера) и закройте ее.
2. В консоли ISA-сервера раскройте узел Enterprise (Организация), а затем узел Enterprise Policies (Политики организации). Щелкните по узлу Default Policy (Политика по умолчанию).

   

   Рисунок 19

3. Щелкните по вкладке Toolbox (Инструменты) в панели задач. Щелкните по заголовку Network Objects (Сетевые объекты). Нажмите на папку Computer Sets (Наборы компьютеров) и дважды щелкните по пункту Enterprise Remote Management (Удаленное управление организацией).

   

   Рисунок 20

4. В диалоговом окне Enterprise Remote Management Computers Properties (Свойства удаленного управления компьютерами организации) нажмите Add (Добавить) и выберите пункт Computer (Компьютер).

   

   Рисунок 21

5. В диалоговом окне New Computer Rule Element (Новый элемент правила – компьютер) введите имя компьютера сервера хранения настроек, которое также будет и именем станции удаленного управления организацией. Мы назовем наш компьютер CSS и введем это имя в поле Name (Имя). В поле Computer IP Address (IP-адрес компьютера) введите IP-адрес сервера хранения настроек. В нашем примере это 10.0.0.3. Введите описание компьютера в поле Description (optional) (Описание (необязательно)). В диалоговом окне New Computer Rule Element (Новый элемент правила – компьютер) нажмите OK.

   

   Рисунок 22

6. В диалоговом окне Enterprise Remote Management Computers Properties (Свойства удаленного управления компьютерами организации) нажмите OK.
7. Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применение новых настроек) нажмите OK.

Теперь нам нужно создать массивы. Их будет два: массив главного офиса и массив филиала. Оба массива будут в одной организации ISA-сервера, и будут управляться с помощью централизованных политик организации. Для создания массива Main выполните следующее:

1. В левой части консоли ISA-сервера щелкните правой кнопкой по узлу Arrays (Массивы). Выберите пункт New Array (Новый массив).

   

   Рисунок 23

2. В диалоговом окне Welcome to the New Array Wizard (Начало работы мастера создания нового массива) введите имя массива в текстовое поле Array name (Имя массива). В нашем примере это Main. Нажмите Next (Далее).

   

   Рисунок 24

3. В текстовое поле Array DNS Name (DNS-имя массива) введите имя FQDN, определяющее массив. Это полезно при использовании для балансировки нагрузки NLB или CARP на стороне клиента. В нашем примере мы будем использовать имя main.msfirewall.org, которое разрешается в IP-адрес внутреннего интерфейса ISA-сервера главного офиса. Если бы мы использовали NLB, это имя разрешалось бы во внутренний VIP-адрес, а если бы мы использовали CARP, мы должны были бы создать несколько записей типа A для этого имени и использовать DNS-карусель для распределения начальных соединений для получения информации таблицы массива. Нажмите Next (Далее).

   

   Рисунок 25

4. На странице Assign Enterprise Policy (Назначение политики организации) выберите параметр по умолчанию — Default Policy (Политика по умолчанию). Ниже мы увидим, как использовать политики организации, которые применяются ко всем массивам, управляемым в одной организации ISA-сервера. Нажмите Next (Далее).

   

   Рисунок 26

5. На странице Array Policy Rule Types (Типы правил политики массива) вы можете проконтролировать типы правил, настраиваемые администраторами массива. Оставьте опции “Deny” Access Rules (Правила доступа «Отклонить»), “Allow” Access Rules (Правила доступа «Разрешить») и Publishing rules (Deny and Allow) (Правила публикации (Отклонить и Разрешить) включенными и нажмите Next (Далее).

   

   Рисунок 27

6. На странице Completing the New Array Wizard (Завершение работы мастера создания нового массива) нажмите Finish (Завершить).

   

   Рисунок 28

7. Во время создания массива вы увидите индикатор процесса.

   

   Рисунок 29

8. После появления окна The new array was successfully created (Новый массива был успешно создан) нажмите OK.

   

   Рисунок 30

9. Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применение новых настроек) нажмите OK.

Теперь создадим массив филиала:

1. Щелкните правой кнопкой по узлу Arrays (Массивы) и выберите пункт New Array (Новый массив).

   

   Рисунок 31

2. Введите имя массива Branch в текстовое поле Array name (Имя массива). Нажмите Next (Далее).

   

   Рисунок 32

3. Введите branch.msfirewall.org в поле Array’s DNS name (DNS-имя массива). Это имя будет разрешаться во внутренний IP-адрес ISA-сервера филиала. Нажмите Next (Далее).

   

   Рисунок 33

4. На странице Assign Enterprise Policy (Назначение политики организации) выберите параметр по умолчанию — Default Policy (Политика по умолчанию). Нажмите Next (Далее).

   

   Рисунок 34

5. Примите значения по умолчанию на странице Array Policy Rule Types (Типы правил политики массива) и нажмите Next (Далее).

   

   Рисунок 35

6. На странице Completing the New Array Wizard (Завершение работы мастера создания нового массива) нажмите Finish (Завершить).

   

   Рисунок 36

7. Индикатор процесса показывает процесс создания нового массива.

   

   Рисунок 37

8. После появления окна The new array was successfully created (Новый массива был успешно создан) нажмите OK.

   

   Рисунок 38

9. Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применение новых настроек) нажмите OK.

Прежде, чем закончить, выполним еще одну процедуру. Нажмите на ссылку вверху средней панели, относящейся к программе улучшения работы клиентов. Откроется диалоговое окно Customer Feedback (Отзыв клиента). Я настоятельно рекомендую участвовать в программе, поскольку это помогает разработчикам ISA-сервера понять, как вы используете ISA-сервер, и как быстрее реагировать на проблемы, которые у вас могут появиться при работе с ISA-сервером. Никакая конфиденциальная информация не передается в Microsoft, а конечным результатом будет только более безопасный и стабильный ISA-сервер.

Рисунок 39

Резюме

В данной части статьи об использовании мастера настройки соединения для создания VPN-соединения по схеме site-to-site мы рассмотрели вопросы создания записей типа A для поддержки нашего решения. После настройки DNS мы установили сервер хранения настроек на выделенном компьютере и создали массивы ISA-серверов в главном офисе и филиале. В следующей части мы создадим файл ответов, который затем используем для создания VPN- соединения по схеме site-to-site и связи филиала с главным офисом. Увидимся!

www.isaserver.org

• Общие папки exchange
• Word 2007 руководство
• Sip сервер Windows
• Политика безопасности контроллера домена
• Адрес сервера outlook web access

Tags: carp, dns, domain, Exchange, forward, ISA Server, Microsoft ISA Server, replication, vpn