Sunday, October 21st, 2018

Конфигурирование ISA Firewall для поддержки динамических сервисов TZO DNS

Published on Февраль 6, 2009 by   ·   Комментариев нет

Сервисы динамического DNS (DDNS) позволяют пользователям, имеющим динамические IP-адреса, регистрировать доменные имена, с помощью которых их ресурсы могут быть доступны пользователям Сети.

DDNS хорошо подходит для малого и домашнего бизнеса, где пользователи желали бы управлять собственными сервисами, доступными через Интернет.

Примеры сервисов, которые вы можете сделать доступными через Интернет:

  • Exchange Outlook Web Access (OWA)
  • Exchange Outlook Mobile Access (OMA)
  • Exchange ActiveSync (EAS)
  • Серверы SMTP
  • Серверы POP3
  • Серверы IMAP4
  • Web-серверы
  • Серверы FTP
  • Серверы новостей (NNTP)
  • Серверы VPN
  • И многие другие

Если Вам необходим доступ через Интернет к вашим серверам, IP-адрес которых меняется (т.е. является динамическим), DDNS решает эту проблему. Например, вы можете использовать фантастически безопасную опцию RPC publishing, с помощью которой вы можете использовать обычный клиент Outlook MAPI не прибегая к модернизации до Exchange 2003 и Outlook 2003 только для того, чтобы получить RPC по HTTP.

Улучшенный RPC-фильтр в ISA firewall гарантирует возможность безопасного подключения через Интернет с использованием обычного клиента Outlook, независимо от того, какую версию Outlook вы используете.

Безопасный фильтр Exchange RPC позволяет подключаться к любой версии Exchange из любой версии Outlook. Я всегда использую его в аэропортах и отелях, и могу уверить Вас — попробовав использовать эти возможности, Вы зададитесь вопросом, как Вы когда-либо жили без этого. Возможность безопасной работы с RPC — это особенность ISA firewall, позволяющая ему находиться впереди любого другого брандмауэра, дающего удаленный доступ к сервисам Exchange Server. Фактически, вы вредите себе и своей организации, если позволяете осуществлять удаленный доступ к Exchange, избегая ISA firewall перед ним.

Проблема пользователей в сетях малого и домашнего бизнеса в том, что IP-адрес меняется, и они лишены простого способа узнать новый IP-адрес, вследствие этого они не в состоянии соединиться с ресурсами их сети.

Например, представьте, что вы отправляетесь в путь и желаете соединяться с сервером Exchange, находящимся в вашей офисной сети. Вы создаете правила для OWA и безопасной работы Exchange RPC, таким образом получая возможность доступа к серверу Exchange из гостиницы или аэропорта. Вы записываете ваш текущий IP-адрес и настраиваете Outlook с использованием этого адреса, также используя его и для OWA.

Вы покидаете офис и направляетесь в аэропорт. Пытаетесь соединиться с сервером Exchange — и не можете. Внешний IP-адрес ISA firewall изменился! Дома никого нет, вы не можете применить утилиту вроде www.whatismyip.com, которая показала бы нынешний IP-адрес, и в результате не можете получить почту.

Внимание:
Существует множество похожих проблем. При настройке клиента Outlook нужно полное доменное имя сервера для подключения. Кроме того, если вы хотите безопасно использовать OWA, понадобиться SSL. SSL требует, чтобы имя сертификата, получаемого Web-сервером ISA соответствовало имени, отправляемому в запросе от web-браузера. Вы не можете вставить IP-адрес в имя сертификата.

Решение этих проблем — сервис DDNS. Сервис DDNS может быть ключевым компонентом вашей инфраструктуры DNS, что очень важно для пользователей, не имеющих возможности содержать свой сервер DNS. Это особенно важно для пользователей, принявших настройки системы «по умолчанию», использующие некорректный домен верхнего уровня ‘.local’.

TZO — это сервис DDNS, который я использую с конца 90-х годов и считаю его одним из лучших, если не лучшим из DNS провайдеров. Их сервис работает без простоев, и регистрация доменных имен очень проста. Подробности можно узнать на www.tzo.com

Внимание:
Эта статья не касается вопросов, связанных с Microsoft Small Business Server. SBS работает по-своему и вам нужно ознакомиться с его документацией.

Конфигурирование ISA Firewall для поддержки сервисов TZO DNS

Вы можете установить клиент TZO в одном из двух мест:

  • На самом ISA Firewall
  • На клиенте SecureNAT, находящемся «за» ISA Firewall

Я предпочитаю второй вариант, так как ISA Firewall должен запускать только программы специально предназначенные для ISA Firewall. Программы, предназначенные для ISA Firewall не должны повышать вероятность атаки на брандмауэр, и в их случае можно сделать исключение.

В первом варианте процедура установки не отличается ничем, кроме адреса источника (source). На следующем ниже примере я покажу, как создать Правило доступа, разрешающее исходящие соединения от клиента TZO к серверам TZO DDNS в Интернете:

  1. В консоли ISA firewall выберите имя сервера и нажмите Firewall Policy.
  2. Нажмите Tasks в Окне Задач, затем кликните Create New Access Rule.
  3. На странице ‘Welcome to the New Access Rule Wizard’ введите имя правила. В этом примере мы используем ‘Outbound to TZO DDNS’. Нажмите Next.
  4. На странице Rule Action выберите опцию Allow и нажмите Next.
  5. На странице Protocols выберите опцию Selected Protocols из списка «This rule applies to», затем нажмите Add.
  6. В диалоговом окне Add Protocols выберите меню New и нажмите Protocol.

    Динамический dns адрес из или tzo

    Иллюстрация 1

  7. На странице «Welcome to the New Protocol Definition Wizard» введите TZO в текстовую область «Protocol Definition name», нажмите Next.
  8. На странице Primary Connection Information нажмите кнопку New.
  9. В диалоговом окне New/Edit Protocol Connection установите Protocol Type на TCP. Установите Direction на Outbound, затем установите Port range как From 21330 и To 21333. Нажмите OK.

    2 tzo

    Иллюстрация 2

  10. Нажмите Next на странице «Primary Connection Information».

    Tzo protocol

    Иллюстрация 3

  11. Нажмите Next на странице Secondary Connections.
  12. Нажмите Finish на странице Completing the New Protocol Definition Wizard.
  13. В диалоговом окне Add Protocols выберите папку User-Defined, затем дважды кликните на TZO, затем нажмите Close.

    Сервисов динамического dns

    Иллюстрация 4

  14. Нажмите Next на странице Protocols.
  15. На странице Access Rule Sources нажмите Add.
  16. На этом этапе есть два варианта. Если вы установили клиент TZO на ISA firewall как таковой, то выберите папку Networks и дважды кликните Local Host. В этом примере мы установили программное обеспечение TZO на клиент SecureNAT, используя Внутреннюю Сеть (Internal network) по умолчанию, так что создадим запись Computers для этого хоста, таким образом разрешив доступ к TZO только этому хосту. Начнем, выбрав меню New, и затем нажав Computer.

    Tzo ddns

    Иллюстрация 5

  17. В диалоговом окне New Computer Rule Element введите TZO Client в поле Name. В поле Computer IP Address введите IP-адрес клиента SecureNAT, на котором установлено программное обеспечение TZO. В этом примере нужно ввести 10.10.10.100, затем нажать OK.

    Как зарегистрироваться на сервисе ddns tzo?

    Иллюстрация 6

  18. В диалоговом окне Add Network Entities выберите папку Computers, затем дважды кликните на записи TZO Client и нажмите Close.
  19. Нажмите Next на странице Access Rule Sources.
  20. На странице Access Rule Destinations нажмите Add.
  21. В диалоговом окне Add Network Entities нажмите на меню New, затем нажмите Computer Set.

    2 tzo

    Иллюстрация 7

  22. В диалоговом окне New Computer Set Rule Element введите TZO DDNS Servers в поле Name. Нажмите кнопку Add, затем нажмите Computer.
  23. Теперь нужно применить одну хитрость. Я занес все записи из журнала ISA firewall за последний месяц в таблицу Excel и включил опцию авто-фильтрации, чтобы найти адреса, с которыми соединялся клиент TZO. Результат можно увидеть на иллюстрации ниже. Предположу, что это адреса серверов TZO DDNS. Я выясняю у сотрудников TZO, существуют ли другие серверы, и если да, я добавлю в эту статью дополнительные адреса.

    Tzo protocol

    Иллюстрация 8

  24. В поле Name введите TZO DDNS Servers. Введите 216.235.248.67 (адрес первого сервера TZO DDNS) в поле Computer IP Address, затем нажмите OK. Повторите эту процедуру для следующих адресов:
    216.243.64.169
    216.75.195.44
    64.27.166.100
    64.27.166.1
  25. Список должен выглядеть, как на рисунке ниже. Нажмите OK.

    Сервисов динамического dns

    Иллюстрация 9

  26. В диалоговом окне Add Network Entities выберите папку Computer Sets, затем дважды кликните запись TZO DDNS Servers и нажмите Close.

    Tzo ddns

    Иллюстрация 10

  27. Нажмите Next на странице Access Rule Destinations.
  28. Нажмите Next на странице User Sets.
  29. Нажмите Finish на странице Completing the New Access Rule Wizard.
  30. Правило Доступа (Access Rule) должно выглядеть, как на иллюстрации ниже:

    Как зарегистрироваться на сервисе ddns tzo?

    Иллюстрация 11

  31. Нажмите Apply, чтобы сохранить изменения и обновить политику брандмауэра, затем нажмите OK в диалоговом окне Apply New Configuration.

Вы проделали много работы и не хотели бы повторять все сначала. Можете сделать резервную копию списка серверов или полной конфигурации ISA firewall. Я очень рекомендую делать резервную копию полной конфигурации ISA firewall каждый раз после нажатия кнопки «Apply», т.е. сохраняя правила брандмауэра. Одна из самых частых ошибок администраторов ISA firewall — они забывают сделать резервную копию.

Для резервного копирования конфигурации ISA firewall необходимо:

  1. В консоли ISA firewall, нажмите правой кнопкой мыши на имени сервера, затем нажмите Back Up.
  2. В диалоговом окне Backup Configuration, укажите в поле File name имя файла будущей резервной копии. Я обычно использую дату и время в имени файла, так что в этом примере ввожу 060420051129AM, и затем жму Backup.
  3. В диалоговом окне Set Password введите пароль с подтверждением и нажмите OK.
  4. Нажмите OK, когда увидите сообщение «The configuration was successfully backed up.» (Резервная копия конфигурации успешно создана).

На этом все! Ваш клиент TZO теперь может связываться с серверами TZO DDNS.

Источник www.isaserver.org








Смотрите также:

Tags: , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]