Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Создание VPN Site-to-Site в ISA 2006 (Часть 2).

  1. Настройка DNS-сервера на отклонение динамических обновлений и создание записей узла (тип A) для ISA-сервера и имен массивов

Прежде чем начать установку сервера хранения настроек в главном офисе и массивов ISA-серверов, нам необходимо настроить DNS-сервер корпоративной сети на отклонение динамических обновлений. Сделать это нужно для того, чтобы виртуальный IP-адрес ISA-сервера филиала при соединении с ISA-сервером главного офиса не регистрировался в DNS вместо актуального внутреннего IP-адреса. Это также предотвратит регистрацию в DNS виртуального IP-адреса ISA-сервера главного офиса.

Это обычная проблема VPN-соединений по схеме site-to-site. Предположим, что в сети главного офиса вы используете клиенты web-прокси и брандмауэра, которые настроены на использование имени ISA-сервера для связи со службами web-прокси и брандмауэра. До установления соединения site-to-site все работало хорошо, но после этого виртуальный IP-адрес главного офиса регистрирует себя в DDNS. И теперь клиенты web-прокси и брандмауэра пытаются соединиться с виртуальным адресом ISA-сервера главного офиса (адрес RAS-интерфейса), и, естественно, соединение не устанавливается.

Другой схемой, при которой возникают проблемы с виртуальным IP-адресом интерфейса RAS, является попытка ISA-сервера филиала соединиться с сервером хранения настроек главного офиса. Когда соединение site-to-site установлено, ISA-сервер филиала регистрирует свой виртуальный адрес (адрес RAS-интерфейса) на сервере хранения настроек. Сервер хранения настроек пытается соединиться с ISA-сервером филиала по этому адресу, но соединение не устанавливается.

Данную проблему можно предотвратить путем отключения DDNS на DNS-сервере. Вы можете задать вопрос: «Нужно ли делать это постоянно или есть способ настроить интерфейс соединения по запросу на то, чтобы он не регистрировался в DDNS?» Ответ такой: «Может быть». Я пока не буду полностью отвечать на данный вопрос, а то вы можете прекратить чтение этой статьи.

Нам нужно создать записи узла (тип A) на DNS в Active Directory для следующих имен:

  • isa2006se.msfirewall.org (10.0.0.1)
  • isa2006branch.msfirewall.org (10.0.1.1)
  • main.msfirewall.org (10.0.0.1)
  • branch.msfirewall.org (10.0.1.1)

Нам не нужно создавать запись для сервера хранения настроек или контроллера домена, поскольку эти компьютеры уже установлены и зарегистрированы в DNS с помощью DDNS. Не стоит беспокоиться об этих компьютерах, поскольку информация об их IP-адресах не будет меняться.

Прежде чем создать записи узла (тип A), вам нужно создать зону обратного просмотра для подсети филиала. В нашем примере подсетью филиала является 10.0.1.0/24. Для создания зоны обратного просмотра выполните следующее:

  1. На контроллере домена нажмите Start (Пуск),Administrative Tools (Администрирование) и выберите DNS.
  2. В консоли DNS management (Управление DNS) раскройте имя сервера и выберите узел Reverse Lookup Zones (Зоны обратного просмотра).
  3. Правой кнопкой щелкните по узлу Reverse Lookup Zone(Зоны обратного просмотра) и выберите New Zone (Новая зона).
  4. На странице Welcome to the New Zone Wizard (Начало работы мастера создания новой зоны) нажмите Next (Далее).
  5. На странице Zone Type (Тип зоны) выберите Primary Zone (Первичная зона) и нажмите Next (Далее).
1
На странице Active Directory Zone Replication Scope (Диапазон репликации зоны вActive Directory) выберите параметр To all DNS servers in the Active Directory domain msfirewall.org (На все DNS-серверы в доменеActive Directorymsfirewall.org). Мы выбираем этот параметр, поскольку в нашей организации есть только один домен. Если у вас несколько доменов, вы можете выбрать репликацию зоны обратного просмотра на все DNS-серверы в лесу. Нажмите Next (Далее).
2
На странице Reverse Lookup Zone Name (Имя зоны обратного просмотра) выберите опцию Network ID (Подсеть) и введите подсеть филиала. В нашем примере это 10.0.1.0/24, поэтому введите 10.0.1 и нажмите Next (Далее).
3
На странице Dynamic Update (Динамическое обновление) выберите опцию Allow only secure dynamic updates (recommend for Active Directory) (Разрешать только безопасные динамические обновления (рекомендуется для Active Directory)). Мы не будем отменять использование динамического обновления этой зоны, поскольку мы хотим, чтобы серверы филиала могли регистрироваться в DDNS. Нам нужно только избежать регистрации в DNS интерфейса соединения по запросу, и ниже мы увидим, как сделать это возможным. Нажмите Next (Далее).
4
На странице Completing the New Zone Wizard (Завершение работы мастера создания новой зоны) нажмите Finish (Завершить).
В левой части консоли вы увидите новую зону.
5

Теперь можно создать записи типа A. Для этого выполните следующее:

  1. На контроллере домена нажмите Start (Пуск),Administrative Tools (Администрирование) и выберите DNS.
  2. В консоли DNS management (Управление DNS) раскройте имя сервера и выберите узел Forward Lookup Zones(Зоны прямого просмотра). Отметьте узел msfirewall.org.
  3. Щелкните правой кнопкой по узлу msfirewall.org и выберите пункт контекстного меню New Host (A) (Новый узел (тип A)).
  4. В диалоговом окне New Host (Новый узел) введите в текстовое окно Name (uses parent domain name if blank) (Имя (в случае отсутствия используется имя родительского домена)) введите имя сервера. В нашем примере мы вводим имя ISA-сервера филиала, isa2006branch. В текстовом поле Fully qualified domain name (FQDN) (Полностью определенное доменное имя – FQDN) появится FQDN сервера. Введите внутренний IP-адрес ISA-сервера филиала в текстовое поле IP address (IP-адрес). В нашем случае IP-адрес ISA-сервера филиала 10.0.1.1, его мы и вводим в поле. Нажмите Add Host (Добавить узел).
6
Диалоговое окно New Host (Новый узел) останется открытым, так что вы можете ввести следующие записи. Введите имена и IP-адреса узлов, указанных выше.
После ввода всех записей в диалоговом окне New Host (Новый узел) нажмите Cancel (Отменить).
У вас должно получиться нечто подобное Рисунку 7.
7
Теперь нам нужно загрузить эти записи в базу данных DNS. Сделать это можно, перезапустив DNS-сервер. В консоли управления щелкните правой кнопкой по имени сервера, выберите All Tasks (Все задачи) и Restart (Перезапустить).
8

Для того, чтобы завершить настройку DNS, нам нужно отключить динамическое обновление (как минимум, на время). В левой части консоли управления DNS выделите запись msfirewall.org в узле Forward Lookup Zones (Зоны прямого просмотра). Щелкните правой кнопкой по узлу msfirewall.org и выберите Properties (Свойства).

В диалоговом окне Properties (Свойства) выберите вкладку General (Общие), где из выпадающего списка Dynamic updates (Динамические обновления) выберите None (Нет). Нажмите OK. Для того, чтобы изменения вступили в силу перегружать службу DNS не нужно. Сверните консоль управления DNS.

9

Установка сервера хранения настроек на выделенный компьютер

Важный шаг по настройке DNS завершен, и мы можем перейти к следующему: установке сервера хранения настроек на выделенном компьютере. Хотя есть возможность установить сервер хранения настроек на контроллере домена или даже на массиве ISA-сервера, лучше всего и безопасней всего устанавливать его на выделенном устройстве, не являющемся ни контроллером домена, ни членом массива.

Идеальным решением является установка сервера хранения настроек в выделенном сегменте сети, в котором нет других компьютеров, и в который не попадает никакой трафик из других сегментов, а сам сервер хранения настроек защищен ISA-сервером. Но для упрощения мы не будем этого делать. В будущем, возможно, я расскажу о такой схеме расположения. Однако вы можете использовать все принципы, изложенные в статьях о DMZ данного сайта, особенно те, которые посвящены защите внешних Exchange-серверов.

Для установки сервера хранения настроек на выделенный компьютер выполните следующее:

  1. Вставьте установочный диск ISA 2006 в компьютер. Если меню автозапуска не появится, запустите файл ISAAutorun.exe.
  2. В меню автозапуска нажмите Install ISA Server 2006 (Установить ISA-сервер 2006).
  3. На странице Welcome to the Installation Wizard for Microsoft ISA Server 2006 (Начало работы мастера установки сервера Microsoft ISA Server 2006) нажмите Next (Далее).
  4. На странице License Agreement (Лицензионное соглашение) выберите I accept the terms in the license agreement (Я принимаю условия лицензионного соглашения) и нажмите Next (Далее).
  5. На странице Customer Information (Информация о покупателе) введите вашу информацию и нажмите Next (Далее).
  6. На странице Setup Scenarios (Варианты установки) выберите Install Configuration Storage Server (Установить сервер хранения настроек) и нажмите Next (Далее).
10
На странице Component Selection (Выбор компонентов) нажмите Next (Далее).
11
На странице Enterprise Installation Options (Варианты установки для организации) выберите Create a new ISA Server enterprise (Создать новую организацию ISA-сервера). Данный вариант позволит вам создать новую организацию. Вариант Create a replica of the enterprise configuration (Создать копию конфигурации организации) позволяет вам создать копию существующей организации ISA-сервера, которую можно использовать в качестве резервной копии сервера хранения настроек. В нашем примере мы создадим новую организацию, которая будет содержать все наши массивы. Нажмите Next (Далее).
12
На странице New Enterprise Warning (Предупреждение о новой организации) вы увидите информацию об использовании единственной организации для управления всеми массивами. Нажмите Next (Далее).
13
На странице Create New Enterprise (Создать новую организацию) введите имя организации в поле Enterprise name (Имя организации). В нашем примере мы используем имя Enterprise. В поле Description (Описание) можете ввести описание вашей организации. Нажмите Next (Далее).
14
В диалоговом окне Enterprise Deployment Environment (Развертывание окружения организации) укажите, будут ли ISA-серверы, также как и сервер хранения настроек, частью того же домена или они будут находиться в своей рабочей группе. Для безопасности и облегчения настройки рекомендуется, чтобы ISA-серверы находились в том же домене. Мы будем следовать этим рекомендациям. Порой некоторые «специалисты по сетям» не понимают сути работы ISA-сервера и потому могут заставить вас использовать менее безопасную конфигурацию с использованием рабочей группы. Если вы оказались в такой ситуации, вам необходимо внедрить рабочую группу, что означает внедрение инфраструктуры открытого ключа. Убедитесь, что все компьютеры обладают правильными сертификатами.
Поскольку мы внедряем безопасную конфигурацию, то ISA-серверы и сервер хранения настроек являются членами одного домена. Поэтому мы выбираем параметр I am deploying in a single domain or in domains with trust relationships (Я развертываю серверы в одном домене или в доменах с доверительными отношениями). Нажмите Next (Далее).
15
На странице Ready to Install the Program (Установка программы), нажмите Next (Далее).
16
Индикатор установки укажет вам состояние, а также какие именно компоненты устанавливаются в данный момент времени.
17
На странице Installation Wizard Completed (Завершение работы мастера установки) отметьте Invoke ISA Server Management when the wizard closes (Запустить консоль управления ISA-сервера после закрытия мастера). Нажмите Finish (Завершить).
18
Продолжение следует…
Всем удачи!

22.09.2009 Posted by | ms isa 2006 | Комментарии к записи Создание VPN Site-to-Site в ISA 2006 (Часть 2). отключены