Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Создание VPN Site-to-Site в ISA 2006 (Часть 5).

Вариант с контроллером домена в филиале –Установка служб ISA-сервера на серверах главного офиса и филиала.

В первой части статьи об использовании мастера настройки соединения для создания VPN-соединения по схеме site-to-site между серверами ISA 2006 Enterprise Edition главного офиса и филиала мы рассмотрели инфраструктуру тестовой сети и обсудили требования для создания VPN по схеме site-to-site, а также методы решения распространенных проблем.

Во второй  и третьей частях мы настроили DNS-сервер с необходимыми записями и отключили DDNS, чтобы VPN-шлюз не регистрировал свой VPN PPP-интерфейс в DDNS. Затем мы установили сервер хранения настроек на выделенном компьютере и создали два массива ISA-сервера на нем: один массив для главного офиса, другой для филиала.

В данной, пятой, части, мы установим службы ISA-сервера на серверах главного офиса и филиала.

Установка служб ISA на сервера главного офиса

К настоящему моменту у нас есть сервер хранения настроек и массивы серверов, определенные на нем. Теперь мы можем устанавливать службы ISA на ISA-сервере главного офиса, при этом указав ему на сервер хранения настроек главного офиса. Помните, что все информация о настройках для членов массивов хранится на сервере хранения настроек. Нельзя напрямую настроить ISA-серверы члены массива, все настройки должны быть сделаны на сервере хранения настроек, который выдает эту информацию всем членам массива ISA-серверов.

Сервер главного офиса будет настроен во время установки на использование выделенного сервера хранения настроек и будет введен в массив Main. Системная политика автоматически будет настроена на разрешение ISA-серверу соединяться с сервером хранения настроек и контроллером домена. После установки служб ISA-сервера мы рассмотрим и системную политику.

Для установки служб ISA на ISA-сервере главного офиса выполните следующее:

  1. Вставьте установочный диск сервера ISA 2006 и подождите появление окна меню автозапуска. Если оно не появилось, запустите с установочного диска файл ISAAutorun.exe.
  2. В меню автозапуска нажмите на пункт Install ISA Server 2006 (Установить ISA-сервер 2006).
  3. На странице Welcome to the Installation Wizard for Microsoft ISA Server 2006 (Начало работы мастера установки сервера Microsoft ISA Server 2006) нажмите Next (Далее).
  4. На странице License Agreement (Лицензионное соглашение) выберите I accept the terms in the license agreement (Я принимаю условия лицензионного соглашения) и нажмите Next (Далее).
  5. На странице Customer Information (Информация о покупателе) введите информацию о вас и серийный номер продукта и нажмите Next (Далее).
  6. На странице Setup Scenarios (Варианты установки) выберите Install ISA Server Services (Установить службы ISA-сервера) и нажмите Next (Далее).

1

  1. На странице Component Selection (Выбор компонентов) примите значения по умолчанию и нажмите Next (Далее).
  2. На странице Locate Configuration Server (Сервер настроек) введите имя FQDN компьютера сервера хранения настроек. В нашем случае это css2006.msfirewall.org, это имя и введите в поле Configuration Storage server (type the FQDN) (Сервер хранения настроек (Введите FQDN)). Если вы зарегистрированы как администратор домена, в разделе Connection Credentials (Учетные данные соединения) выберите Connect using the credentials of the logged on user (Соединяться, используя учетные данные текущего пользователя). Если вы зарегистрированы не как администратор домена, выберите Connect using this account (Соединяться, используя следующие учетные данные) и введите необходимую информацию. В нашем примере мы зарегистрировались как администратор домена, поэтому выберите первую опцию и нажмите Next (Далее).

2

На странице Array Membership (Членство в массиве) выберите Join an existing array (Присоединить к существующему массиву) и нажмите Next (Далее).

3

На странице Join Existing Array (Присоединить к существующему домену) нажмите Browse (Просмотр). Откроется диалоговое окно Arrays to Join (Массивы для присоединения) со списком доступных массивов. Выберите массив Main и нажмите OK.

4

На странице Join Existing Array (Присоединить к существующему домену) нажмите Next (Далее).

5

  1. На странице Configuration Storage Server Authentication Options (Варианты аутентификации на сервере хранения настроек) выберите метод аутентификации ISA-сервера на сервер хранения настроек. Вам предлагается два варианта: Windows authentication (Аутентификация Windows) и Authentication over SSL encrypted channel (Аутентификация по шифрованному SSL-каналу). Предпочтительным является первый вариант, поскольку он требует, чтобы и ISA-сервер, и сервер хранения настроек входили в один и тот же домен, что является самой безопасной конфигурацией. Однако, если вы работаете с «сетевыми специалистами» или «профессионалами в области безопасности», не понимающими, как работает ISA-сервер и считающими, что у них установлена операционная система Windows 95 и программа Zone Alarm, может получиться так, что один или оба ISA-сервера не являются членами домена. В таком случае вам придется использовать аутентификацию с помощью сертификатов компьютеров и шифрованный SSL-канал.
    Если вам приходится использовать аутентификацию через SSL, вам необходимо установить сертификат компьютера центра сертификации, который будет выдавать сертификаты компьютеров для сервера хранения настроек.
    В нашем примере и ISA-сервер, и сервер хранения настроек являются членами домена, поэтому нам пока не нужно думать о сертификатах. Выберите Windows authentication(Аутентификация Windows) и нажмите Next (Далее).

6

На странице Internal Network (Внутренняя сеть) укажите IP-адреса, определяющие внутреннюю сеть по умолчанию. Обычно внутренней сетью по умолчанию является сеть, в которой находятся контроллеры домена и другие ключевые серверы, такие как DNS, WINS и служб сертификации. Нажмите Add (Добавить).

7

На странице Addresses (Адреса) нажмите Add Adapter (Добавить адаптер).

8

В диалоговом окне Select Network Adapters (Выбор сетевых адаптеров) отметьте тот адаптер, который является внутренним интерфейсом ISA-сервера. Я изменил названия интерфейсов, чтобы было понятно, какой за что отвечает. Помните, что нужно просто отметить необходимый интерфейс и все. Нажмите OK.

9

В диалоговом окне Select Network Adapters (Выбор сетевых адаптеров) нажмите, также нажмите OK и в окне Addresses (Адреса), а затем на странице Internal Network (Внутренняя сеть) нажмите Next (Далее).
Обратите внимание, что появившийся диапазон адресов определяет внутреннюю сеть по умолчанию. Если вы обнаружите, что некоторые адреса не входят в список, это может означать, что вы не настроили таблицу маршрутизации на ISA-сервере на маршруты для других подсетей, находящихся за внутренним интерфейсом ISA-сервера. Если вы еще не настроили таблицу маршрутизации, выйдите из программы установки, произведите необходимые настройки и снова запустите процесс установки.

10

Страница Services Warning (Предупреждение о службах) сообщит вам о том, что программа установки остановит следующие службы: SNMP Service, FTP Publishing Service, NNTP Service, IIS Admin Service и World Wide Web Publishing Service. При правильном внедрении ни одна из этих служб, кроме SNMP Service, не установлена на ISA-сервере. Если вы хотите установить MIB- объекты SNMP, вам необходимо установить службу SNMP до начала установки служб ISA-сервера. Нажмите Next (Далее).

11

Нажмите Install (Установить).

12

Индикатор процесса установки укажет статус установки и то, что именно выполнят программа установки в данный момент.

13

На странице Installation Wizard Completed (Завершение работы мастера) нажмите Finish (Завершить).

14

Зайдите на сервер хранения настроек и откройте консоль ISA-сервера. Раскройте узел Arrays (Массивы) и узел массива Main. Раскройте узел Configuration (Настройка) и щелкните по узлу Servers (Серверы). Вы увидите имя ISA-сервера главного офиса и зеленый значок, который показывает, что соединения между сервером хранения настроек и ISA-сервером работают правильно.

15

Продолжение следует…

Всем удачи!

08.10.2009 Posted by | ms isa 2006 | 2 комментария

«Глюки» в Windows Vista.

На днях с помощью GPO прикрутил батник подключающий  сетевой диск:

@echo off

net use z: /delete

net use z: \\hb\user_public

exit

(Из предыстории…) У нас в компании большое количество ноутбуков и на них установлена Vista Bussiness . Соответственно на рабочих станциях WinXP.

Тут вдруг обнаружил следующий глюк:  На моем ноуте с вистой сетевой диск так и не появился .

Gpupdate /force отработала нормально – политика применилась нормально. В общем сетевой диск появился только после пятой перезагрузки. На остальных ноутбуках в домене (где установлена Виста) та же самая картина. Где установлена Win XP все отработало нормально.

Попробовал прикрутить скрипт  вот так:

1

Диск сразу появился. Дело в том, что в корпоративной среде я раньше не юзал Висту, по этому с такими «глюками»  ранее не сталкивался. Если кто-то может прокомментировать как побороть данный «глюк», отпишите плиз в комменты.

Всем удачи!

08.10.2009 Posted by | ms windows vista | Комментарии к записи «Глюки» в Windows Vista. отключены