Wednesday, October 17th, 2018

Использование ISA-сервера для контроля сложного доступа клиентов виртуальной частной сети (VPN) (Часть 2)

Published on Февраль 9, 2009 by   ·   Комментариев нет

В первой части статьи, посвященной серверному компоненту удаленного доступа VPN ISA-сервера, мы детально рассмотрели, как удаленный доступ VPN к ISA-серверу предоставляет гораздо более высокий уровень безопасности в отличие от VPN-серверов брандмауэров с обычными изменяемыми пакетами проверки. Затем мы обсудили детали создания групп на ISA-сервере для поддержки контроля сложного доступа пользователей/групп пользователей при VPN-соединениях. В конце мы подробно описали процедуру включения и настройки серверного компонента VPN для удаленного доступа к ISA-серверу.

В этой, второй части статьи, мы рассмотрим детали создания сложных правил доступа для контроля доступа VPN-клиентов к ресурсам корпоративной сети.

Создание сложных правил доступа на ISA-сервере

Теперь займемся кое-чем интересным. Мы создадим сложные правила доступа уровня пользователь /группа/сервер/протокол, которые дадут возможность простого контроля того, кто имеет доступ, и какой сервер использует какой протокол в любой момент времени. Это одна из многих возможностей ISA-сервера, которая отличает ISA-сервер от брандмауэров с обычными изменяемыми пакетами проверки, также имеющими VPN-сервер.

Ниже в Таблице 1 показаны группы ISA-сервера, которые мы на нем создадим, пользователи домена Active Directory, которые мы поместим в эти группы, и описание задач каждой группы. Помните, нам не нужно создавать эти группы на контроллере домена, поскольку это не глобальные группы Active Directory, а группы ISA-сервера.

Имя Группы Члены группы Описание
Пользователи группы VPN RDP Users User1 Члены группы ISA-сервера, имеющие доступ к управлению выбранными серверами по протоколу RDP
Пользователи группы VPN File Share Users User2 Члены группы ISA-сервера, имеющие доступ к общим файлам Windows и поддерживающие протоколы доступа к содержимому общих ресурсов и выбранном файловом сервере
Пользователи группы VPN Unix Admin Users User3 Члены группы ISA-сервера, имеющие доступ к определенным UNIX-серверам по протоколу Telnet
VPN Outlook MAPI Users User4 Члены группы ISA-сервера, имеющие доступ к серверу Exchange по протоколу MAPI RPC

Таблица 1: Группы ISA-сервера, члены групп — пользователи Active Directory и описание задач каждой группы

В Таблице 2 расположены правила, которые мы создадим на ISA-сервере для усиления политики сложного доступа по VPN. Обратите внимание на правило DNS вверху списка. Это правило действует для всех пользователей, поскольку все пользователи, использующие сеть клиентов VPN, должны разрешать имена корпоративной сети после установления связи с ISA-сервером.

№ правила Наименование Действие Протоколы От кого Куда Для каких групп пользователей
1 VPN DNS Разрешить DNS Cеть клиентов VPN DNS-сервер Все аутентифицированные пользователи
2 VPN RDP Admin Access Разрешить RDP Cеть клиентов VPN RDP Server Пользователи группы VPN RDP Users
3 VPN File Share Access Разрешить CIFS NetBIOS Session NetBIOS Name Service NetBIOS Datagram Cеть клиентов VPN Файловый сервер Пользователи группы VPN File Share Users
4 VPN UNIX Admin Access Разрешить Telnet Cеть клиентов VPN UNIX-сервер Пользователи группы VPN Unix Admin Users
5 VPN Outlook MAPI Client Access Разрешить Cеть клиентов VPN Exchange-сервер Пользователи группы VPN Outlook MAPI Users

Таблица 2: Правила доступа, созданные на ISA-сервере для тонкой настройки сложного контроля доступа VPN-клиентов к корпоративной сети (правила расположены по порядку)

Создание правила VPN DNS

Правило доступа DNS позволяет клиентам VPN использовать корпоративный сервер DNS для разрешения имен серверов, расположенных за ISA-сервером. Для его создания предпримем следующие шаги:

  1. В консоли ISA-сервера раскроем имя сервера и щелкнем по узлу Firewall Policy (Политики сервера) в левой панели консоли.
  2. В узле Firewall Policy (Политики сервера) выберем закладку Tasks (Задачи) в панели задач. Там выбираем Create a New Access Rule (Создать новое правило доступа).
  3. На странице Welcome to the New Access Rule Wizard (Мастер создания нового правила доступа) в текстовом поле Access Rule name (Наименование правила доступа) вводим имя нового правила. В нашем примере мы назвали правило VPN DNS. Нажимаем Next (Далее).
  4. На странице Rule Action (Действие правила) выбираем опцию Allow (Разрешить) и нажимаем Next (Далее).
  5. На странице Protocols (Протоколы) из списка This rule applies to (Это правило действует для) выбираем опцию Selected Protocols (Выбранные протоколы) и нажимаем Add (Добавить).
  6. В диалоговом окне Add Protocols (Добавить протоколы) выбираем папку Common Protocols (Обычные протоколы) и дважды нажимаем на пункт DNS. Нажимаем Close (Закрыть).
  7. Нажимаем Next (Далее) на странице Protocols (Протоколы).

    Vpn к разным виртуальным серверам

    Рисунок 1

  8. На странице Access Rule Sources (Источник правила доступа) нажимаем кнопку Add (Добавить).
  9. В диалоговом окне Add Network Entities (Добавить сетевые объекты) выбираем папку Networks (Сети) и дважды щелкаем по пункту VPN Clients (Клиенты VPN). Нажмите Close (Закрыть).

    Vpn к разным виртуальным серверам

    Рисунок 2

  10. На странице Access Rule Sources (Источник правила доступа) нажмите кнопку Next (Далее).
  11. На странице Access Rule Destinations (Адресат правила доступа) нажмите кнопку Add (Добавить).
  12. В диалоговом окне Add Network Entities (Добавить сетевые объекты) в меню New (Новый) выбираем Computer (Компьютер).
  13. В диалоговом окне New Computer Rule Element (Новый элемент правила — компьютер) вводим в текстовое окно Name (Имя) DNS-сервер. Вводим IP-адрес DNS-сервера в текстовое поле Computer IP Address (IP-адрес компьютера). В нашем примере DNS-сервер имеет адрес 10.0.0.2. Вводим это значение в поле. Вписываем дополнительное описание в текстовое окно Description (Описание). Нажимаем OK.

    Vpn для группы пользователей

    Рисунок 3

  14. В диалоговом окне Add Network Entities (Добавить сетевые объекты) в папке Computers (Компьютеры) дважды щелкаем на пункт DNS-сервер. Нажимаем Close (Закрыть).

    Vpn группы

    Рисунок 4

  15. На странице Access Rule Destinations (Адресат правила доступа) нажмите кнопку Next (Далее).
  16. На странице Users Sets (Пользователи) выберите пункт All Users (Все пользователи) и нажмите Remove (Удалить). Нажмите кнопку Add (Добавить).
  17. В диалоговом окне Add Users (Добавить пользователей) дважды щелкните по пункту Все аутентифицированные пользователи (Все аутентифицированные пользователи) и нажмите Close (Закрыть).
  18. Нажмите Next (Далее) на странице User Sets (Пользователи).

    Vpn группы

    Рисунок 5

  19. На странице Completing the New Access Rule Wizard (Завершение работы мастера по созданию нового правила доступа) нажмите Finish (Завершить).

Создание правила доступа VPN RDP Admin

Правило доступа VPN RDP Admin позволяет пользователям из группы RDP получать доступ к определенным серверам корпоративной сети. В нашем примере правило доступа VPN RDP Admin относится к пользователям, которые являются администраторами и нуждаются в доступе к серверам по протоколу RDP для их администрирования. Вы можете создать другие группу и правило доступа на Вашем ISA-сервере для менее привилегированных пользователей, которым нужен доступ к серверам терминалов, используемых обычными пользователями.

Для создания этого и следующих правил мы используем другой метод. Вместо прохождения все пунктов Мастера создания правил доступа, мы скопируем уже созданное правило и вставим его в политики ISA-сервера. Преимуществом такого подхода является то, что правило VPN DNS уже создано нами, и в нем настроено много элементов, которые мы будем использовать в следующих правилах. Другим преимуществом является то, что эта процедура позволит Вам узнать другой метод конфигурации политик ISA-сервера.

Для создания правила доступа VPN RDP Admin предпримем следующие шаги:

  1. Правой кнопкой мыши щелкнем на правило VPN DNS и выберем Copy (Копировать).
  2. Правой кнопкой мыши щелкнем на правило VPN DNS и выберем Paste (Вставить).
  3. Дважды щелкните по правилу VPN DNS(1).
  4. В диалоговом окне VPN DNS(1) нажмите закладку General (Общие). Измените название правила, введя VPN RDP Admin Access в текстовом поле Name (Имя) и нажмите Apply (Применить).
  5. Выберите закладку Protocols (Протоколы). Выберите пункт DNS и нажмите Remove (Удалить). Нажмите кнопку Add (Добавить).
  6. Выберите папку Remote Terminal (Удаленный терминал) и дважды щелкните на пункте RDP (Terminal Services). Нажмите Close (Закрыть).

    Server 2008 vpn rdp

    Рисунок 6

  7. На закладке To (Куда) выберите пункт DNS и нажмите кнопку Remove (Удалить). Нажмите кнопку Add (Добавить).
  8. В диалоговом окне Add Network Entities (Добавить сетевые объекты) в меню New (Новый) выбираем Computer (Компьютер). В диалоговом окне New Computer Rule Element (Новый элемент правила — компьютер) вводим в текстовое окно Name (Имя) RDP Server. Вводим IP-адрес RDP-сервера в текстовое поле Computer IP Address (IP-адрес компьютера). В нашем примере RDP -сервер имеет адрес 10.0.0.25. Вводим это значение в поле. Вы можете добавить комментарий в текстовое окно Description (Описание) для напоминания цели компьютера в дальнейшем. Нажимаем OK.

    Server 2008 vpn rdp

    Рисунок 7

  9. В диалоговом окне Add Network Entities (Добавить сетевые объекты) в папке Computers (Компьютеры) дважды щелкаем на пункт RDP Server. Нажимаем Close (Закрыть).
  10. На закладке Users (Пользователи) выбираем пункт All Authenticated Users (Все аутентифицированные пользователи) и нажимаем кнопку Remove (Удалить). Нажмите кнопку Add (Добавить).
  11. В диалоговом окне Add Users (Добавить пользователей) нажимаем New (Новый).
  12. В диалоговом окне Welcome to the New User Sets (Начало установки нового пользователя) введите название группы ISA-сервера. В нашем примере группа, которой следует дать права на доступ к RDP-серверу, называется VPN RDP Users. Нажмите Next (Далее).
  13. На странице Users (Пользователи) нажмите Add (Добавить), а затем в выпадающем меню выберите пункт Windows users and groups (Пользователи и группы Windows).

    Isa правило vpn по rdp

    Рисунок 8

  14. В диалоговом окне Select Users or Groups (Выбор пользователей или групп) нажмите кнопку Locations (Расположение) и выберите имя Вашего домена в диалоговом окне Locations (Расположение). В нашем примере домен называется msfirewall.org, поэтому выбираем его и нажимаем OK. В нашем примере, мы хотим, чтобы членом группы ISA-сервера VPN RDP Users был пользователь User1. Введите это имя в текстовое поле Enter the objects names to (Ввод имени объекта) и нажмите кнопку Check Names (Проверить имена). Вы увидите, что после нахождения пользователя в Active Directory его имя станет подчеркнутым. Вы можете добавить еще пользователей и даже глобальную группу домена. Мы хотим упростить пример, но в Вашей организации Вы можете скоординировать свои действия с администраторами Active Directory и попросить их создать группу, или же использовать существующую группу в домене Active Directory. Также Вы можете попросить подчиненных ввести список пользователей по этому примеру. Нажмите OK.

    Isa vpn rdp правило

    Рисунок 9

  15. На странице Users (Пользователи) нажмите Next (Далее).

    Isa vpn rdp правило

    Рисунок 10

  16. На странице Completing the New User Set Wizard (Завершение работы мастера по созданию установок для нового пользователя) нажмите Finish (Завершить).
  17. В диалоговом окне Add Users (Добавить пользователей) дважды нажимаем на пункт VPN RDP Users. Нажмите Close (Закрыть).
  18. В диалоговом окне Properties (Свойства) нажмите Apply (Применить) и OK (Внимание: есть проблема с обновлением заголовка окна диалогового окна Properties (Свойства) правил политик ISA-сервера. Вы увидите, что в заголовке окна не отображается новое название правила до тех пор, пока Вы не нажмете кнопку Apply (Применить) для сохранения политики).

    Isa vpn

    Рисунок 11

Создание правила доступа VPN File Share

Правило доступа VPN File Share позволяет пользователям группы ISA-сервера VPN Files Share Users получать доступ к определенным серверам корпоративной сети используя встроенный протокол доступа к общим файлам Windows, протоколы CIFS/SMB (CIFS -Common Internet File System — общий протокол доступа к файлам Интернет; SMB — Server Message Block — блок серверных сообщений) и протокол NetBIOS. В типичной сети VPN все пользователи имеют доступ ко всем ресурсам, включая все файловые сервера корпоративной сети. Однако, при наличии ISA-сервера, вы блокируете пользователей, поэтому если им нужен доступ к общим файлам сети, Вы можете создать на ISA-сервере группы, членство в которых даст пользователям доступ только к тем общим файлам, к которым им нужно.

Для создания правила доступа VPN File Share предпримем следующие шаги:

  1. Правой кнопкой мыши щелкнем на правило VPN DNS и выберем Copy (Копировать).
  2. Правой кнопкой мыши щелкнем на правило VPN DNS и выберем Paste (Вставить).
  3. Дважды щелкните по правилу VPN DNS(1).
  4. В диалоговом окне VPN DNS(1) нажмите закладку General (Общие). Измените название правила, введя VPN File Share Access в текстовом поле Name (Имя) и нажмите Apply (Применить).
  5. Выберите закладку Protocols (Протоколы). Выберите пункт DNS и нажмите Remove (Удалить). Нажмите кнопку Add (Добавить).
  6. Выберите папку All Protocols (Все протоколы) и дважды щелкните по следующим протоколам:
    Microsoft CIFS (TCP)
    Microsoft CIFS (UDP)
    NetBIOS Datagram
    NetBIOS Name Service
    NetBIOS Session
    Нажмите Close (Закрыть).

    Isa vpn

    Рисунок 12

  7. На закладке To (Куда) выберите пункт DNS и нажмите кнопку Remove (Удалить). Нажмите кнопку Add (Добавить).
  8. В диалоговом окне Add Network Entities (Добавить сетевые объекты) в меню New (Новый) выбираем Computer (Компьютер). В диалоговом окне New Computer Rule Element (Новый элемент правила — компьютер) вводим в текстовое окно Name (Имя) File Server. Вводим IP-адрес файлового сервера в текстовое поле Computer IP Address (IP-адрес компьютера). В нашем примере файловый сервер имеет адрес 10.0.0.25. Вводим это значение в поле. Вы можете добавить комментарий в текстовое окно Description (Описание) для напоминания цели компьютера в дальнейшем. В нашем примере файловый сервер является также и RDP-сервером, но в типичной сети файловый сервер может находиться на одном или нескольких разных серверах. Поэтому лучше вводить в это поле имя файлового сервера для простоты их опознавания в случае с несколькими файловыми серверами. Нажимаем OK.

    Isa server контроль

    Рисунок 13

  9. В диалоговом окне Add Network Entities (Добавить сетевые объекты) в папке Computers (Компьютеры) дважды щелкаем на пункт File Server. Нажимаем Close (Закрыть).
  10. На закладке Users (Пользователи) выбираем пункт All Authenticated Users (Все аутентифицированные пользователи) и нажимаем кнопку Remove (Удалить). Нажмите кнопку Add (Добавить).
  11. В диалоговом окне Add Users (Добавить пользователей) нажимаем New (Новый).
  12. В диалоговом окне Welcome to the New User Sets (Начало установки нового пользователя) введите название группы ISA-сервера. В нашем примере группа, которой следует дать права на доступ к файловому серверу, называется VPN File Server Users. Нажмите Next (Далее).
  13. На странице Users (Пользователи) нажмите Add (Добавить), а затем в выпадающем меню выберите пункт Windows users and groups (Пользователи и группы Windows).

    Isa dns для vpn клиентов

    Рисунок 14

  14. В диалоговом окне Select Users or Groups (Выбор пользователей или групп) нажмите кнопку Locations (Расположение) и выберите имя Вашего домена в диалоговом окне Locations (Расположение). В нашем примере домен называется msfirewall.org, поэтому выбираем его и нажимаем OK. В нашем примере, мы хотим, чтобы членом группы ISA-сервера VPN File Server Users был пользователь User2. Введите это имя в текстовое поле Enter the objects names to (Ввод имени объекта) и нажмите кнопку Check Names (Проверить имена). Вы увидите, что после нахождения пользователя в Active Directory его имя станет подчеркнутым. Вы можете добавить еще пользователей и даже глобальную группу домена. Мы хотим упростить пример, но в Вашей организации Вы можете скоординировать свои действия с администраторами Active Directory и попросить их создать группу, или же использовать существующую группу в домене Active Directory. Также Вы можете попросить подчиненных ввести список пользователей по этому примеру. Нажмите OK.

    Isa dns для vpn клиентов

    Рисунок 15

  15. На странице Users (Пользователи) нажмите Next (Далее).

    В чем отличие rdp от vpn

    Рисунок 16

  16. На странице Completing the New User Set Wizard (Завершение работы мастера по созданию установок для нового пользователя) нажмите Finish (Завершить).
  17. В диалоговом окне Add Users (Добавить пользователей) дважды нажимаем на пункт VPN File Server Users. Нажмите Close (Закрыть).
  18. В диалоговом окне Properties (Свойства) нажмите Apply (Применить) и OK (Внимание: есть проблема с обновлением заголовка окна диалогового окна Properties (Свойства) правил политик ISA-сервера. Вы увидите, что в заголовке окна не отображается новое название правила до тех пор, пока Вы не нажмете кнопку Apply (Применить) для сохранения политики).

    В чем отличие rdp от vpn

    Рисунок 17

Создание правила доступа VPN UNIX Admin

Правило доступа VPN UNIX Admin позволяет пользователям группы ISA-сервера VPN UNIX Admin Users получать доступ к определенным серверам корпоративной сети используя протокол Telnet. В сетях Windows часто встречаются несколько Unix-серверов, которые управляются опытными Unix-администраторами. Обычно нет причин давать им доступ к протоколу Telnet для соединения с другими серверами сети, также обычно нет причин давать доступ не-Unix пользователям к Unix-серверам, используя протокол Telnet. Поэтому мы создадим на ISA-сервере группу VPN UNIX Admin Users и разрешим ей использовать протокол Telnet только для доступа к Unix-серверам.

Для создания правила доступа VPN UNIX Admin предпримем следующие шаги:

  1. Правой кнопкой мыши щелкнем на правило VPN DNS и выберем Copy (Копировать).
  2. Правой кнопкой мыши щелкнем на правило VPN DNS и выберем Paste (Вставить).
  3. Дважды щелкните по правилу VPN DNS(1).
  4. В диалоговом окне VPN DNS(1) нажмите закладку General (Общие). Измените название правила, введя VPN UNIX Admin Access в текстовом поле Name (Имя) и нажмите Apply (Применить).
  5. Выберите закладку Protocols (Протоколы). Выберите пункт DNS и нажмите Remove (Удалить). Нажмите кнопку Add (Добавить).
  6. Выберите папку All Protocols (Все протоколы) и дважды щелкните по протоколу Telnet. Нажмите Close (Закрыть).

    Файл сервер по vpn 2003

    Рисунок 18

  7. На закладке To (Куда) выберите пункт DNS и нажмите кнопку Remove (Удалить). Нажмите кнопку Add (Добавить).
  8. В диалоговом окне Add Network Entities (Добавить сетевые объекты) в меню New (Новый) выбираем Computer (Компьютер). В диалоговом окне New Computer Rule Element (Новый элемент правила — компьютер) вводим в текстовое окно Name (Имя) UNIX Server. Вводим IP-адрес Unix-сервера в текстовое поле Computer IP Address (IP-адрес компьютера). В нашем примере Unix-сервер имеет адрес 10.0.0.35. Вводим это значение в поле. Вы можете добавить комментарий в текстовое окно Description (Описание) для напоминания цели компьютера в дальнейшем. Нажимаем OK.

    Терминальный сервер и vpn

    Рисунок 19

  9. В диалоговом окне Add Network Entities (Добавить сетевые объекты) в папке Computers (Компьютеры) дважды щелкаем на пункт Unix Server. Нажимаем Close (Закрыть).
  10. На закладке Users (Пользователи) выбираем пункт All Authenticated Users (Все аутентифицированные пользователи) и нажимаем кнопку Remove (Удалить). Нажмите кнопку Add (Добавить).
  11. В диалоговом окне Add Users (Добавить пользователей) нажимаем New (Новый).
  12. В диалоговом окне Welcome to the New User Sets (Начало установки нового пользователя) введите название группы ISA-сервера. В нашем примере группа, которой следует дать права на доступ к Unix-серверу, называется VPN UNIX Admin Users. Нажмите Next (Далее).
  13. На странице Users (Пользователи) нажмите Add (Добавить), а затем в выпадающем меню выберите пункт Windows users and groups (Пользователи и группы Windows).

    Терминальный сервер и vpn

    Рисунок 20

  14. В диалоговом окне Select Users or Groups (Выбор пользователей или групп) нажмите кнопку Locations (Расположение) и выберите имя Вашего домена в диалоговом окне Locations (Расположение). В нашем примере домен называется msfirewall.org, поэтому выбираем его и нажимаем OK. В нашем примере, мы хотим, чтобы членом группы ISA-сервера VPN UNIX Admin Users был пользователь User3. Введите это имя в текстовое поле Enter the objects names to (Ввод имени объекта) и нажмите кнопку Check Names (Проверить имена). Вы увидите, что после нахождения пользователя в Active Directory его имя станет подчеркнутым. Вы можете добавить еще пользователей и даже глобальную группу домена. Мы хотим упростить пример, но в Вашей организации Вы можете скоординировать свои действия с администраторами Active Directory и попросить их создать группу, или же использовать существующую группу в домене Active Directory. Также Вы можете попросить подчиненных ввести список пользователей по этому примеру. Нажмите OK.

    Создание правила vpn сервера

    Рисунок 21

  15. На странице Users (Пользователи) нажмите Next (Далее).

    Создание правила isa rdp vpn

    Рисунок 22

  16. На странице Completing the New User Set Wizard (Завершение работы мастера по созданию установок для нового пользователя) нажмите Finish (Завершить).
  17. В диалоговом окне Add Users (Добавить пользователей) дважды нажимаем на пункт VPN UNIX Admin Users. Нажмите Close (Закрыть).
  18. В диалоговом окне Properties (Свойства) нажмите Apply (Применить) и OK (Внимание: есть проблема с обновлением заголовка окна диалогового окна Properties (Свойства) правил политик ISA-сервера. Вы увидите, что в заголовке окна не отображается новое название правила до тех пор, пока Вы не нажмете кнопку Apply (Применить) для сохранения политики).

    Создание правила isa rdp vpn

    Рисунок 23

Создание правила доступа VPN Outlook MAPI Client

Правило доступа VPN Outlook MAPI Client позволяет пользователям группы ISA-сервера the VPN Outlook MAPI Users получать доступ к протоколу RPC, который используется для соединения с сервером Exchange корпоративной сети. Многие организации предпочитают использовать обычное клиентское приложение Outlook для удаленных пользователей, поскольку это увеличивает производительность труда работников, не находящихся непосредственно в здании компании. Однако, такие фирмы хотят быть уверенными, что MAPI-клиенты Outlook проходят аутентификацию на ISA-сервере до доступа к серверу Exchange, где они еще раз аутентифицируются.

Клиенты Outlook 2003, использующие протокол RPC поверх HTTP, могут проходить аутентификацию на ISA-сервере до доступа к серверу Exchange, но это требует использования и Outlook 2003, и Exchange 2003. Для компаний, не использующих одновременно Outlook 2003 и Exchange 2003, существует одна значительная альтернатива. Это правило публикации безопасного Exchange-сервера ISA-сервера. Правило публикации безопасного Exchange-сервера позволяет всем MAPI-клиентам Outlook устанавливать безопасное и зашифрованное соединение с Exchange-сервером из любого места по всему миру через Интернет. Однако, главное ограничение все серверных правил публикации (в отличие от правил web-публикации) в том, что невозможно провести аутентификацию на ISA-сервере до предоставления доступа к опубликованному серверу.

Мы можем легко решить эту проблему путем требования от пользователей устанавливать VPN-соединение с ISA-сервером до предоставления им права соединяться с Exchange-сервером. После установления VPN-соединения, все остальные соединения VPN-клиентов будут аутентифицированы ISA-сервером, и пользователь VPN вводит свои учетные данные для авторизации доступа к серверам корпоративной сети. VPN-соединения удаленного доступа ISA-сервера всегда будут пред-аутентифицированные, поэтому не будет соединений с сетевыми сервисами корпоративной сети не пред-аутентифицированных и не пред-авторизованных.

Для создания правила доступа VPN Outlook MAPI Client предпримем следующие шаги:

  1. Правой кнопкой мыши щелкнем на правило VPN DNS и выберем Copy (Копировать).
  2. Правой кнопкой мыши щелкнем на правило VPN DNS и выберем Paste (Вставить).
  3. Дважды щелкните по правилу VPN DNS(1).
  4. В диалоговом окне VPN DNS(1) нажмите закладку General (Общие). Измените название правила, введя VPN Outlook MAPI Client Access в текстовом поле Name (Имя) и нажмите Apply (Применить).
  5. Выберите закладку Protocols (Протоколы). Выберите пункт DNS и нажмите Remove (Удалить). Нажмите кнопку Add (Добавить).
  6. Выберите папку All Protocols (Все протоколы) и дважды щелкните по протоколу RPC (all interfaces). Нажмите Close (Закрыть).

    Создание группы безопасности vpn

    Рисунок 24

  7. На закладке To (Куда) выберите пункт DNS и нажмите кнопку Remove (Удалить). Нажмите кнопку Add (Добавить).
  8. В диалоговом окне Add Network Entities (Добавить сетевые объекты) в меню New (Новый) выбираем Computer (Компьютер). В диалоговом окне New Computer Rule Element (Новый элемент правила — компьютер) вводим в текстовое окно Name (Имя) Exchange Server. Вводим IP-адрес Exchange-сервера в текстовое поле Computer IP Address (IP-адрес компьютера). В нашем примере Exchange-сервер имеет адрес 10.0.0.2. Вводим это значение в поле. Вы можете добавить комментарий в текстовое окно Description (Описание) для напоминания цели компьютера в дальнейшем. Нажимаем OK

    Создание групп пользователей isa

    Рисунок 25

  9. В диалоговом окне Add Network Entities (Добавить сетевые объекты) в папке Computers (Компьютеры) дважды щелкаем на пункт Exchange Server. Нажимаем Close (Закрыть).

    Создание групп пользователей isa

    Рисунок 26

  10. На закладке Users (Пользователи) выбираем пункт All Authenticated Users (Все аутентифицированные пользователи) и нажимаем кнопку Remove (Удалить). Нажмите кнопку Add (Добавить).
  11. В диалоговом окне Add Users (Добавить пользователей) нажимаем New (Новый)/
  12. В диалоговом окне Welcome to the New User Sets (Начало установки нового пользователя) введите название группы ISA-сервера. В нашем примере группа, которой следует дать права на доступ к Exchange-серверу, называется VPN Outlook MAPI Users. Нажмите Next (Далее).
  13. На странице Users (Пользователи) нажмите Add (Добавить), а затем в выпадающем меню выберите пункт Windows users and groups (Пользователи и группы Windows).

    Серверная часть vpn

    Рисунок 27

  14. В диалоговом окне Select Users or Groups (Выбор пользователей или групп) нажмите кнопку Locations (Расположение) и выберите имя Вашего домена в диалоговом окне Locations (Расположение). В нашем примере домен называется msfirewall.org, поэтому выбираем его и нажимаем OK. В нашем примере, мы хотим, чтобы членом группы ISA-сервера VPN Outlook MAPI Users был пользователь User4. Введите это имя в текстовое поле Enter the objects names to (Ввод имени объекта) и нажмите кнопку Check Names (Проверить имена). Вы увидите, что после нахождения пользователя в Active Directory его имя станет подчеркнутым. Вы можете добавить еще пользователей и даже глобальную группу домена. Мы хотим упростить пример, но в Вашей организации Вы можете скоординировать свои действия с администраторами Active Directory и попросить их создать группу, или же использовать существующую группу в домене Active Directory. Также Вы можете попросить подчиненных ввести список пользователей по этому примеру. Нажмите OK.

    Серверная часть vpn

    Рисунок 28

  15. На странице Users (Пользователи) нажмите Next (Далее).

    Правила использования vpn образование

    Рисунок 29

  16. На странице Completing the New User Set Wizard (Завершение работы мастера по созданию установок для нового пользователя) нажмите Finish (Завершить).
  17. В диалоговом окне Add Users (Добавить пользователей) дважды нажимаем на пункт VPN Outlook MAPI Users. Нажмите Close (Закрыть).

    Правила isa сервера

    Рисунок 30

  18. В диалоговом окне Properties (Свойства) нажмите Apply (Применить) и OK (Внимание: есть проблема с обновлением заголовка окна диалогового окна Properties (Свойства) правил политик ISA-сервера. Вы увидите, что в заголовке окна не отображается новое название правила до тех пор, пока Вы не нажмете кнопку Apply (Применить) для сохранения политики).

    Правила isa сервера

    Рисунок 31

Последним шагом является реорганизация правил доступа таким образом, чтобы правило DNS было первым (поскольку оно относится ко все пользователям, прошедшим аутентификацию), а все остальные правила доступа расположены ниже правила DNS. Окончательное окно политик ISA-сервера должно выглядеть так, как на рисунке:

Отличие vpn от rdp

Рисунок 32

Прекрасные рекомендации от Microsoft <Передовой опыт по применению политик ISA Server 2004> http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/firewall_policy.mspx

Нажав на кнопку Apply (Применить), сохраните все изменения в политике ISA-сервера. Нажмите OK в диалоговом окне Apply New Configuration (Применить новую конфигурацию).

Резюме

Во второй части статьи, посвященной VPN-серверу ISA-сервера, мы шаг за шагом рассмотрели детали создания контроля сложного доступа пользователей/групп пользователей к корпоративной сети после установления VPN-соединения с ISA-сервером. В следующей статье я продемонстрирую, как использовать Connection Manager Administration Kit (администраторский пакет мастера подключений) для создания простых приложений для VPN-клиентов так, чтобы пользователи не нужно было знать процесс подключения к VPN-серверу. Затем мы протестируем доступ VPN-клиентов для разных пользователей и изучим файлы журналов ISA-сервера во время этих соединений.

Источник www.isaserver.org








Смотрите также:

Tags: , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]