Sunday, July 22nd, 2018

Путешествие Томаса Шиндера по Small Business Server 2003 Service Pack 1 — часть 2: CEICW от страницы Welcome к странице Router Connection

Published on Февраль 9, 2009 by   ·   Комментариев нет

В этой статье я начну обзор установки и настройки SBS 2003 SP1. Установка очень проста. Я не буду описывать способы обновления в этой серии статей. У нас будет возможность обсудить важнейшие проблемы, касающиеся CEICW и последующей установки и настройки ISA firewall.

В первой части этой серии статей об установке и настройке ISA firewall на компьютере с SBS 2003 SP1, я рассказал о проблемах безопасности, связанных с запуском ISA firewall на машине центральных корпоративных ресурсов. Я также рассказал о проблемах установки устройств NAT или простых брандмауэров (firewalls), работа которых основана на анализе пакетов, впереди SBS 2003 SP1/ISA firewall.

Я не стану начинать “с азов”. Типичная инсталляция SBS 2003 SP1 очень проста, и мне почти нечего добавить к ней. Данный материал должен охватывать вопросы сетевого взаимодействия и работы с ISA firewall. Посему, я начну разговор о запуске CEICW после того момента, когда установка операционной системы SBS 2003 SP1 уже закончена.

Причина, по которой я начинаю с CEICW, заключается в принятии решений в процессе установки, создающих серьезные изменения в последующей настройке ISA firewall. Это имеет значение, поскольку мастер настройки SBS 2003 SP1 использует информацию, предоставляемую Вами в ходе настройки CEICW для конфигурации “правил публикации и доступа” (Publishing and Access Rules) для компонентов ISA firewall. Таким образом, даже если вы полностью понимаете процесс установки CEICW, Вам будет полезно придерживаться правил, используемых мной при работе с CEICW. Это поможет Вам, когда я перейду к анализу пост-инсталляционной системной политики и политики безопасности.

Заметьте, что в ходе рассказа о ISA firewall и сетевой конфигурации SBS я высказываю свое личное мнение о настройках, необходимых для наилучшего уровня безопасности, надежности и производительности. Так делаю я сам, и советую Вам поступать так же. В любом случае, мои слова о “лучшем” способе настройки не означают, что этот способ единственный. Энди Гудман написал отличный обзор о настройке CEICW с использованием различных опций, доступный здесь: http://www.12c4pc.com/sbs2k3/sbs2k3-n2.htm. В этом материале Вам будет полезно ознакомиться с теми вопросами, о которых я умолчу в этой статье.

На этой странице меня смутил следующий текст:

“Мы советуем использовать расширение .local для полных имен DNS в вашем внутреннем домене. Поскольку .local не зарезервирован для использования в Интернете, Ваш внутренний домен и Ваш общедоступный Интернет домен (например .com или .net) должны быть разделены. Это более безопасно и предотвращает проблемы преобразования доменных имен [курсив мой]”

Windows 2003 sbs обзор

Рисунок 1

Страница “Connection Type”

На странице “Тип соединения” нужно выбрать тип соединения, который Вы используете для доступа в Интернет. Broadband (широкополосное соединение) – это обобщенное название, означающее, что компьютеру SBS не понадобится звонить куда-либо для соединения с Интернетом. Однако это не значит, что никакие из компьютеров в сети не делают “звонков” провайдеру.

Например, у Вас может быть маршрутизатор ISDN, или даже соединение PPPoE DNS, устанавливаемое через маршрутизатор NAT или простой брандмауэр, анализирующий сетевые пакеты, перед компьютером SBS. Хотя они и “звонят” провайдеру, но компьютеру SBS не нужно никуда звонить, и это можно назвать широкополосным (broadband) доступом.

В нашем примере мы используем соединение FiOS (оптоволоконное соединение со скоростью 15 мегабит в секунду), которое использует интерфейс PPPoE для соединения с Интернетом. Устройство FiOS NAT установлено впереди компьютера SBS, и устанавливает PPPoE соединение через сеть FiOS. И поскольку наш компьютер SBS использует это устройство NATBroadband и нажимаем Next.

Информационное окно

Рисунок 2

Страница Broadband Connection

Broadband Connection вы устанавливаете тип широкополосного соединения.

Опция A localrouter device with an IP address используется, когда у Вас есть устройство NAT или простой брандмауэр-анализатор сетевых пакетов перед компьютером SBS. Не знаю, почему производители посчитали необходимым упомянуть, что “шлюз” (а устройства NAT на самом деле являются не совсем шлюзами) имеет IP-адрес. Полагаю, это для того, чтобы не расстраивать людей, использующих “прозрачные” брандмауэры.

Опция A connectionthat requires a user name and password (PPPoE) используется, когда вы напрямую соединяете компьютер SBS с Интернетом (через DSL или модем FiOS) и для установки доступа требуется соединение PPPoE. Важно отметить, что операционная система Windows считает соединение PPPoE dialup-соединением, и создает соответствующую запись удаленного доступа для таких соединений. Я полагаю, что на самом деле они не подразумевали, что это является dial-up соединением, так как это может смутить людей, считающих, что dial-up соединения делаются при помощи аналоговых модемов (модуляторов/демодуляторов), в отличие он DSL и кабельных “модемов”, которые на самом деле ими не являются.

Опция A directbroadband connection используется для соединения, при котором “модем” напрямую подключен к компьютеру SBS. Скорее всего, это должно быть соединение при помощи кабельного модема, т.к. кабельные сети не используют PPPoE. Вы подключаете кабельный “модем” в разъем Ethernet на компьютере SBS и внешний интерфейс компьютера SBS получает информацию об IP-адресации от Вашего провайдера.

Я очень рекомендую не использовать эту опцию. ISA firewall может иметь проблемы при работе с кабельными модемами, используя DHCP для получения информации об IP-адресации внешнего интерфейса. Гораздо лучше установить компьютер SBS позади кабельного устройства NAT или брандмауэра-анализатора сетевых пакетов, предоставив этим устройствам работать с DHCP. Тогда будет возможность иметь статический IP-адрес на внешнем интерфейсе компьютера SBS и повысить надежность.

Информационное окно

Рисунок 3

СEICW помогает выбрать тип соединения, необходимый для конфигурации. После выбора A localrouter device with an IP address можно увидеть хорошее описание опции. Обратите внимание на информацию, касающуюся компьютеров SBS с единственным интерфейсом. Если у вас компьютер SBS с единственным интерфейсом, тогда в принципе нет необходимости использовать ISA firewall на компьютере SBS. Вообще, можно сказать, что любые компьютеры с SBS 2003 SP1, имеющие установленное программное обеспечение ISA firewall должны иметь хотя бы два сетевых интерфейса.

Storage

Рисунок 4

Можно нажать Display anetwork diagram, если Вы не уверены в правильном выборе этой опции. В данном окне представлены две диаграммы, показывающие Router connectionwith adapters (соединение через шлюз с двумя сетевыми адаптерами) и диаграмма, показывающая конфигурацию Router connectionwith adapter (соединение через шлюз с одним сетевым адаптером). Повторюсь, если Вы хотите настроить конфигурацию с одной сетевой картой, рекомендую не беспокоиться о настройке ISA firewall на компьютере SBS.

Закройте окно сетевых диаграмм и нажмите Next на странице Broadband Connection.

Sbs 2003 публикация

Рисунок 5

Страница “Router Connection”

Здесь начинаются странности. На странице Router Connection (Подключение шлюза) Вам надо ввести информацию, требуемую для соединения шлюза с Интернет-провайдером. Почему же конфигурация SBS нуждается в неких манипуляциях с устройством NAT или брандмауэром-анализатором сетевых пакетов?

Текстовое поле “Предпочитаемый сервер DNS” (Preferred DNSserver) содержит адрес первичного DNS, используемого для преобразования доменных имен. Очевидное решение – использовать IP-адрес сервера, установленного на компьютере SBS в качестве первичного, но мастер установки не позволит этого сделать.

Я бы не хотел вводить в это поле адрес внешнего сервера DNS. Это же касается и записи Alternate DNSserver. Вообще-то мне не нужно использовать второй сервер DNS, но если произойдет сбой на первичном сервере, у меня возникнут проблемы гораздо большие, чем просто невозможность преобразования доменных имен. Поскольку мастер настройки не позволяет вводить IP-адрес сервера DNS на компьютере SBS, просто введите нулевые значения в поля серверов Preferred и Alternate DNS. Обратите внимание, что на рисунке внизу указаны одинаковые IP-адреса для серверов Preferred и Alternate. На самом деле так сделать нельзя, так как мастер настройки не позволит указывать одинаковые адреса. Позже я добавил значение 2.2.2.2 в поле Alternate DNS server, но забыл переделать снимок экрана.

Впоследствии я объясню, почему CEICW спрашивал адреса серверов DNS. Меня удивило то, для чего предназначалась эта операция, и я считаю, что разработчики должны были включить эту информацию для пользователей в мастер настройки, чтобы пользователи, хорошо знакомые с сетевыми аспектами Windows, могли принять самостоятельное решение касательно этой опции. Я вернусь к этой проблеме позже, когда мы исправим настройки сервера DNS.

Аргумент против использования внешних серверов DNS таков, что если у Вас имеется внутренний и внешний серверы DNS, настроенные на компьютере SBS, то есть вероятность, что преобразование доменных имен будет невозможно из-за особенностей того, как Windows 2003 обрабатывает запросы DNS. Еще одна причина, по которой нежелательно использовать внешние серверы DNS, такова, что не всегда можно полностью положится на безопасность таких серверов. Сервер DNS из Windows Server 2003 является безопасным “по умолчанию”, так что не беспокойтесь о распространенных видах атак на DNS, вроде DNS cache poisoning (заражение кэша DNS). Но большинство провайдеров используют серверы DNS на операционных системах, отличных от Windows, а они зачастую не защищены от атак. Более безопасно будет позволить Вашему серверу DNS выполнять рекурсивные запросы, чем доверять небезопасному серверу.

Безусловно, все зависит от настроек конкретного провайдера. Если Вы являетесь клиентом безопасного, профессионального и технически компетентного провайдера, Вы можете пользоваться его серверами DNS. В любом случае, это не устраняет проблему ошибок преобразования доменов, когда компьютер SBS настроен для использования внутреннего и внешнего серверов DNS.

В моем примере я ввел нулевые данные в эти поля и затем исправил их значения после изменения некоторых настроек сервера DNS, установленного на компьютере DNS.

Введите IP-адрес внешнего интерфейса устройства NAT или простого брандмауэра-анализатора сетевых пакетов, стоящих впереди компьютера SBSLocal IP address of router. В этом примере, внешний интерфейс устройства FiOS имеет адрес 192.168.1.60, этот адрес и нужно ввести.

Поскольку в этой статье мы сосредоточили внимание на ISA firewall, можно не ставить галочку рядом с My server uses a single network connection for both Internet access and the local network. Нажмите Next на странице Router Connection.

Sbs 2003 публикация

Рисунок 6

Появившееся диалоговое окно сообщает, что Вы должны настроить устройство NAT или простой брандмауэр-анализатор пакетов впереди компьютера SBS, чтобы разрешить входящие соединения из Интернета к тем портам ISA firewall, которые настроены для ожидания соединений. Для каких портов разрешить входящий доступ, зависит от того, к каким сервисам вы бы хотели предоставить доступ из Интернета. Мы закончим настройки устройства NAT в конце установки ISA firewall и обсудим правила доступа и публикации (Publishing and Access Rules), создаваемые CEICW.

Большая часть информации, требуемой для настройки входящих соединений через передний NAT или простой брандмауэр можно получить в Getting StartedGuide, Appendix CNetwork Configuration Settings (Руководство для начинающих, Приложение C, Настройки сети).

Нажмите OK, чтобы закрыть информационное окно.

Windows 2003 sbs обзор

Резюме

Данную статью об установке SBS 2003 SP1 на ISA firewall мы начали с упоминания о значимости инфраструктуры раздельной DNS, и показали безосновательность утверждений об опасности использования такой инфраструктуры. Затем мы запустили CEICW и прошли с помощью мастера установки к странице Router Connection. В следующей статье из этой серии мы продолжим разговор о CEICW, сопровождая каждый шаг детальными комментариями. До новых встреч!

Источник www.isaserver.org


Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]