Sunday, October 21st, 2018

Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 6)

Published on Февраль 11, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Вариант с контроллером домена в филиале

В первых пяти частях статьи о создании VPN-соединения по схеме site-to-site между главным офисом и филиалом с помощью ISA-сервера мы рассмотрели вопросы, связанные с созданием и управлением самих VPN-соединений по схеме site-to-site. Теперь, после создания VPN-соединения, мы можем отладить его работу для обеспечения контроля того, что проходит по VPN-туннелю, и получить большую степень безопасности, чем при использовании обычного VPN-концентратора или аппаратного VPN-шлюза.

Лучше всего начать работу с настройки ISA-сервера филиала на возможность осуществления внутридоменных соединений между контроллерами домена филиала и главного офиса. В этом случае нам придется выполнить несколько процедур, которые, помимо всего прочего, хороши и как примеры. В данной статье мы выполним следующее:

  • Отключение DDNS на интерфейсе соединения по запросу на ISA-серверах главного офиса и филиала
  • Включение DDNS для зон прямого и обратного просмотра домена msfirewall.org
  • Создание правила доступа для внутридоменных соединений на ISA-сервере филиала

Отключение DDNS на интерфейсе соединения по запросу на ISA-серверах главного офиса и филиала

Помните, то ли в первой, то ли во второй части статьи мы отключили DDNS для зоны прямого просмотра для домена msfirewall.org? Помните, зачем мы сделали это? Напомню: мы отключили DDNS зоны прямого просмотра для домена msfirewall.org для предотвращения регистрации IP-адресов интерфейсов соединения по запросу ISA-серверов главного офиса и филиала в DNS. Если интерфейс соединения по запросу зарегистрирован в DDNS, это порождает массу проблем, поскольку клиенты будут в таком случае разрешать имена ISA-серверов в адреса их интерфейсов по запросу, а не в реальные IP-адреса.

Тогда я спрашивал вас, нужно ли это делать на самом деле. Не будет ли лучше найти способ настроить интерфейсы соединений по запросу так, чтобы они сами не регистрировались в DDNS? Это было бы отличным решением, поскольку в нашей организации неудобно отставлять службу DDNS отключенной. Не только неудобно, но часто и невозможно.

На самом деле мы можем отключить автоматическую регистрацию в DNS интерфейсов соединения по запросу для обоих ISA-серверов с помощью консоли RRAS. Главное, нам нужно избежать внесения изменений в настройки VPN с консоли RRAS, поскольку настройки, сделанные через консоль ISA-сервера, перезаписывают изменения, сделанные в консоли RRAS. Но хорошо, что изменения, касающиеся DDNS-регистрации интерфейса соединения по запросу не перезаписываются настройками VPN ISA-сервера.

На ISA-сервере главного офиса выполните следующее:

  1. Нажмите Start (Пуск), Administrative Tools (Администрирование) и выберите Routing and Remote Access (Маршрутизация и удаленный доступ).
  2. В консоли Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте имя сервера.
  3. Щелкните по узлу Network Interfaces (Сетевые интерфейсы) в левой части консоли. Правой кнопкой щелкните по пункту Branch в правой части консоли и выберите Properties (Свойства).

    Соеденить основной офис с филиалом

    Рисунок 1

  4. В диалоговом окне Branch Properties (Свойства интерфейса Branch) выберите вкладку Networking (Сеть) и нажмите кнопку Properties (Свойства).

    Как включить ddns ?

    Рисунок 2

  5. В диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета TCP/IP) нажмите кнопку Advanced (Дополнительно).

    Vpn ldap

    Рисунок 3

  6. В диалоговом окне Advanced TCP/IP Settings (Расширенные настройки протокола TCP/IP) выберите вкладку DNS, где уберите отметку с параметра Register the connection’s addresses in DNS (Регистрировать адреса этого соединения в DNS). Нажмите OK.

    Филиал настройки dns

    Рисунок 4

    • В диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета TCP/IP) нажмите OK. В диалоговом окне Branch Properties (Свойства интерфейса Branch) нажмите OK. Если интерфейс соединения по запросу уже подключен, вы увидите диалоговое окно, сообщающее, что изменения вступят в силу только после следующего подключения интерфейса соединения по запросу.
    • Закройте консоль Routing and Remote Access (Маршрутизация и удаленный доступ).
  7. На ISA-сервер филиала выполните следующее:
  8. Нажмите Start (Пуск), Administrative Tools (Администрирование) и выберите Routing and Remote Access (Маршрутизация и удаленный доступ).
  9. В консоли Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте имя сервера.
  10. Щелкните по узлу Network Interfaces (Сетевые интерфейсы) в левой части консоли. Правой кнопкой щелкните по пункту Main в правой части консоли и выберите Properties (Свойства).

    Массив tmg в филиале

    Рисунок 5

  11. В диалоговом окне Main Properties (Свойства интерфейса Main) выберите вкладку Networking (Сеть) и нажмите кнопку Properties (Свойства).

    Rundll32 мастер yfcnhjqrb vpn

    Рисунок 6

  12. В диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета TCP/IP) нажмите кнопку Advanced (Дополнительно).

    Системный Блок сервер схема соединения рисунки

    Рисунок 7

  13. В диалоговом окне Advanced TCP/IP Settings (Расширенные настройки протокола TCP/IP) выберите вкладку DNS, где уберите отметку с параметра Register the connection’s addresses in DNS (Регистрировать адреса этого соединения в DNS). Нажмите OK.

    Пример настройки ad с филиалами

    Рисунок 8

  14. В диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета TCP/IP) нажмите OK. В диалоговом окне Main Properties (Свойства интерфейса Main) нажмите OK. Если интерфейс соединения по запросу уже подключен, вы увидите диалоговое окно, сообщающее, что изменения вступят в силу только после следующего подключения интерфейса соединения по запросу.
  15. Закройте консоль Routing and Remote Access (Маршрутизация и удаленный доступ).
  16. Перезагрузите ISA-серверы главного офиса и филиала и дождитесь установления VPN-соединения между интерфейсами соединения по запросу.

Включение DDNS для зон прямого и обратного просмотра домена msfirewall.org

Теперь, когда проблема с DDNS для интерфейсов соединения по запросу решена, мы можем включить DDNS для зон домена msfirewall.org. Обычно, использование DDNS очень полезно, а в особенности для нас, поскольку мы хотим, чтобы контроллер домена филиала автоматически регистрировал все свои записи, связанные с DNS, в службе DNS главного офиса. Мы могли бы создать эти записи и вручную, но это повлекло бы за собой лишние затраты и увеличило бы риск появления ошибок.

На контроллере домена главного офиса выполните следующее:

  1. На контроллере домена нажмите Start (Пуск), далее Administrative Tools (Администрирование), а затем DNS.
  2. В консоли DNS раскройте имя сервера, а затем узел Forward Lookup Zones (Зоны прямого просмотра).
  3. Выберите узел msfirewall.org и нажмите Properties (Свойства).

    Vpn через ddns

    Рисунок 9

  4. В диалоговом окне msfirewall.org Properties (Свойства msfirewall.org) на вкладке General (Общие) нажмите стрелку вниз на выпадающем списке Dynamic updates (Динамические обновления) и выберите Secure only (Только безопасные). Это позволит вносить записи в DDNS только члена домена. Нажмите OK.

    Контроллер домена в филиале

    Рисунок 10

  5. Щелкните правой кнопкой по имени DNS-сервера в левой части консоли и выберите All Tasks (Все задачи), а затем Restart (Перезапустить).

    Создание rras site to site

    Рисунок 11

Создание правила доступа для внутридоменных соединений на ISA-сервере филиала

После выполнения всей подготовительной работы мы можем приступить к настройке ISA-сервера. Вначале нам нужно создать правило, которое бы разрешило контроллеру домена филиала использовать внутридоменные протоколы, необходимые для связи с другими контроллерами домена. В нашем случае – с контроллером домена главного офиса. Ниже в таблице приведены обычные настройки протоколов для правила доступа:

Имя Branch DC (контроллер домена филиала) Main DC (контроллер домена главного офиса)
Действие Разрешить
Протоколы Microsoft CIFS (TCP 445) DNS Kerberos-Adm(UDP) Kerberos-Sec(TCP) Kerberos-Sec(UDP) LDAP (TCP) LDAP (UDP) LDAP GC (Глобальный каталог) RPC (все интерфейсы) NTP Ping
От Контроллер домена филиала
К Контроллер домена главного офиса
Пользователи Все
Когда Всегда
Тип содержимого Все типы содержимого

Таблица 1: протоколы, необходимые для внутридоменных соединений

Должен отметить, что это не единственный из возможных подходов к разрешению внутридоменных соединений филиала с главным офисом. Данный подход основан на контроле трафика, походящего из филиала в главный офис. Предполагается, что из главного офиса в филиал разрешен любой трафик. Я бы не сказал, что данный подход является оптимальным (в дальнейшем мы изменим правила доступа главного офиса), но в нем выделено то, что я считаю лучшим подходом к контролю доступа: филиал наиболее подвержен риску, поэтому важно отслеживать то, что передается из филиала в главный офис.

С другой стороны, вы можете настроить политику доступа в главном офисе и сосредоточиться на ISA-сервере главного офиса, создать правила доступа для контроля того, что поступает в главный офис из филиалов. Возможно, самым лучшим и самым расширяемым способом контроля доступа между филиалами и главным офисом является использование политик предприятия. При наличии политики предприятия вы можете назначить политику каждому массиву, отвечающему за каждый филиал. Это значительно упрощает управление политиками брандмауэра для филиалов, поскольку вы можете один раз внести изменения в политику предприятия, которые автоматически будут применены на всех массивах филиалов.

В данной статье я покажу, как работают политики предприятия. Если я не ошибаюсь, это будет первое массовое обсуждение и демонстрация работы политик предприятия, так что не пропустите такое грандиозное событие! Вначале нужно создать политику предприятия, поскольку мы не можем изменять политику предприятия по умолчанию. После создания политики мы сможем создать правило доступа, которое будет применено ко всем массивам, для которых определена наша политика предприятия. И, наконец, нам нужно будет привязать политику к массиву филиала.

Для создания политики предприятия на сервере хранения настроек выполните следующее:

  1. На сервере хранения настроек главного офиса откройте консоль управления ISA-сервера.
  2. Раскройте узел Enterprise (Предприятие), а затем Enterprise Policies (Политики предприятия). Щелкните правой кнопкой по узлу Enterprise Policies (Политики предприятия) и выберите New (Новая), затем Enterprise Policy (Политика предприятия).

    Как отключить ddns?

    Рисунок 12

  3. На странице Welcome to the New Enterprise Policy Wizard (Начало работы мастера создания новой политики предприятия) введите в текстовое поле Enterprise Policy (Политика предприятия) имя политики. В нашем примере политика будет называться Branch Policy. Нажмите Next (Далее).

    213

    Рисунок 13

  4. На странице Completing the New Enterprise Policy Wizard (Завершение работы мастера создания новой политики предприятия) нажмите Finish (Завершить).

    Филиалы не видят vpn

    Рисунок 14

  5. Щелкните по узлу Branch Policy в левой части консоли и в панели задач выберите Tasks (Задачи). Нажмите Create Enterprise Access Rule (Создать правило доступа предприятия).
  6. На странице Welcome to the New Access Rule Wizard (Начало работы мастера создания нового правила доступа) в текстовое поле Access Rule name (Имя правила доступа) введите наименование правила. В нашем примере мы создадим правило, разрешающее контроллерам домена филиалов соединяться с контроллером домена главного офиса. Поэтому назовем правило Branch DCs > Main DC. Нажмите Next (Далее).

    Настраиваем vpn site to site dsr

    Рисунок 15

  7. На странице Rule Action (Действие правила) выберите Allow (Разрешить) и нажмите Next (Далее).

    Vpn 1

    исунок 16

  8. На странице Protocols (Протоколы) убедитесь, что из выпадающего списка this rule applies to (Данное правило применяется к) выбран параметр Selected protocols (Выбранные протоколы). Нажмите Add (Добавить). В диалоговом окне Add Protocols (Добавление протоколов) щелкните по папке All Protocols (Все протоколы). Дважды щелкните по каждому из протоколов, перечисленных в Таблице 1, и нажмите Close (Закрыть).

    Соединить филиалы через isa

    Рисунок 17

  9. На странице Protocols (Протоколы) нажмите Next (Далее).

    С помощью vm oracle vpn соединение

    Рисунок 18

  10. На странице Access Rule Sources (Источники для правила доступа) нажмите Add (Добавить). В диалоговом окне Add Network Entities (Добавить сетевые элементы) выберите меню New (Новый) и нажмите Computer Set (Набор компьютеров). В диалоговом окне New Computer Set Rule Element (Элемент правила – новый набор компьютеров) введите Branch Office DCs в текстовое поле Name (Название).

    Домен филиал

    Рисунок 19

  11. В диалоговом окне New Computer Set Rule Element (Элемент правила – новый набор компьютеров) нажмите Add (Добавить) и из списка выберите пункт Computer (Компьютер).

    Vpn ldap

    Рисунок 20

  12. В диалоговом окне New Computer Rule Element (Элемент правила – новый компьютер) введите имя компьютера филиала в поле Name (Имя). В нашем примере это имя будет Branch1 DC, что поможет нам отличать контроллеры домена филиалов один от другого. Введите IP-адрес этого контроллера домена в поле Computer IP Address (IP-адрес компьютера), в нашем примере 10.0.1.2. Нажмите OK.

    Создание vpn через ddns

    Рисунок 21

  13. В диалоговом окне New Computer Set Rule Element (Элемент правила – новый набор компьютеров) нажмите OK.

    Как создать филиал домена?

    Рисунок 22

  14. В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Computer Sets (Наборы компьютеров) и дважды щелкните по элементу Branch Office DCs. В диалоговом окне Add Network Entities (Добавить сетевые элементы) нажмите Close (Закрыть).

    Isa 2006 ntp

    Рисунок 23

  15. На странице Access Rule Sources (Источники для правила доступа) нажмите Next (Далее).

    Vpn между контроллерами домена сети

    Рисунок 24

  16. На странице Access Rule Destinations (Получатели для правила доступа) нажмите Add (Добавить). В диалоговом окне Add Network Entities (Добавить сетевые элементы) выберите пункт меню New (Новый) и нажмите Computer (Компьютер).

    Невозможно отключить vpn соединение

    Рисунок 25

  17. В диалоговом окне New Computer Rule Element (Элемент правила – новый компьютер) в поле Name (Имя) введите имя компьютера. В нашем примере мы вводим имя контроллера домена главного офиса — Main Office DC. Введите IP-адрес контролера домена главного офиса в поле Computer IP Address (IP-адрес компьютера) и нажмите OK.

    Vpn отключен а соединение осталось

    Рисунок 26

  18. В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Computer (Компьютер) и дважды щелкните по элементу Main Office DC. Нажмите Close (Закрыть)

    Контроллер домена в филиале

    Рисунок 27

  19. На странице Access Rule Destinations (Получатели для правила доступа) нажмите Next (Далее).

    Соединение главного офиса с филиалом

    Рисунок 28

  20. На странице User Sets (Наборы пользователей) примите установки по умолчанию — All Users (Все пользователи). Причина этой установки в том, что пользователи не регистрируются на контроллерах домена и для прохождения аутентификации им потребуется клиент брандмауэра, который нельзя устанавливать на контроллере домена. Нажмите Next (Далее).
  21. На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) нажмите Finish (Завершить)
  22. Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OKТеперь, когда политика предприятия настроена, нужно привязать ее к массиву филиала. Пока к массиву филиала привязано политика предприятия по умолчанию, а мы внесем изменения таким образом, чтобы к массиву филиала была привязана политика Branch Policy.

    Для привязки политики Branch Policy к массиву Branch выполните следующее:

  23. В консоли ISA-сервера раскройте узел Arrays (Массивы) и выберите узел Branch. Щелкните правой кнопкой по узлу Branch и нажмите Properties (Свойства).

    Как настроить vpn между офисами isa?

    Рисунок 29

  24. В диалоговом окне Branch Properties (Свойства массива Branch) выберите вкладку Policy Settings (Настройки политики), где в списке Enterprise policy (Политика предприятия) нажмите стрелку вниз и выберите параметр Branch Policy. Правила, определенные в этой политике, будут импортированы и применены к массиву. Уберите отметку с параметра Publishing rule (“Deny” and “Allow”) (Правило публикации («Запретить» и «Разрешить»)), чтобы правила серверной публикации не создавались в филиале. Это необходимо сделать по причинам безопасности. Нажмите OK.

    Vpn ldap

    Рисунок 30

  25. Раскройте массив Branch в левой части консоли и щелкните по узлу Firewall Policy (Branch) (Политика брандмауэра (массив Branch)). Обратите внимание, что созданное нами в политике предприятия правило доступа не применяется к политике массива.

    Филиал настройки dns

    Рисунок 31

  26. Нам нужно, чтобы политика контроллера домена всегда применялась до локальной политики массива. Для этого щелкните по узлу Branch Policy в левой части консоли. Правой кнопкой щелкните по правилу доступа Branch DCs > Main DC и выберите пункт Move Up (Наверх).

    Мастер настройки vpn сервера

    Рисунок 32

  27. Щелкните по узлу Firewall Policy (Branch) (Политика брандмауэра (массив Branch)). Теперь вы видите, что политика предприятия применяется до локальной политики массива.

    Rundll32 мастер yfcnhjqrb vpn

    Рисунок 33

Как вы видите из настроек политики предприятия, применять политики к нескольким филиалам очень легко, просто изменяя политику Branch Policy. Все изменения автоматически будут применяться ко всем массивам, к которым привязаны политика. Это гораздо проще, чем вносить изменения во все массивы. Например, если мы добавим дополнительные контроллеры домена филиалов, все, что нам нужно будет сделать, это обновить набор компьютеров Branch Office DCs, и правило будет автоматически применено ко всем новым контроллерам доменов в филиалах.

Резюме

В данной, шестой, части статьи об использовании мастера настройки VPN-соединения по схеме site-to-site для связи филиалов с главным офисом мы начали обсуждение расширенных настроек, которые помогут присоединить контроллер домена филиала к контроллеру домена главного офиса для внутридоменных соединений. Впервые я показал, как создавать политики предприятия и как их использовать для рационального внедрения политик в предприятии с разделенной структурой. В следующей статье мы запустим на контроллере домена филиала программу depromo, установим встроенный в Active Directory DNS-сервер на контроллере домена филиала и изменим настройки DNS на ISA-сервере филиала. После установки контроллера домена филиала нам нужно создать политику брандмауэра для филиалов, которая бы разрешала доступ к ресурсам главного офиса. Мы создадим настраиваемую политику на основе пользователей/групп, разрешающую доступ пользователей к ресурсам Exchange-сервера главного офиса и т.д. Если будет время, мы начнем настройку альтернативного сервера хранения настроек, чтобы получить устойчивость к отказам для нашего предприятия.

www.isaserver.org


Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]