Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Создание фала ответов для VPN-соединения по схеме Site-to-Site на ISA-сервере главного офиса (часть 8).

Теперь мы готовы создать файл ответов, который будет использовать мастер настройки соединения на ISA-сервере филиала для создания VPN по схеме site-to-site и присоединения ISA-сервера филиала к домену. Данный фал будет использовать информацию о VPN-соединении, созданном на ISA-сервере главного офиса, поэтому вначале необходимо создать VPN-соединение на ISA-сервере главного офиса для связи с филиалом.

Файл ответов мы скопируем в корень диска C: ISA-сервера филиала. Если вы не хотите использовать корень диска C:, вы можете поместить файл на переносном носителе, например на USB-диске. Мастер настройки соединения автоматически производит поиск файла в корне диска C: и на переносных носителях.

При запуске мастера создания файла ответов помните, что соединение, создаваемое с его помощью, относится к ISA-серверу филиала, т.е., если в мастере есть указание на локальный узел, имеется в виду филиал, а если мастер указывает на удаленный узел, имеется в виду главный офис.

Для создания файла ответов на сервере хранения настроек выполните следующее:

В панели задач щелкните по ссылке Create Answer File for Remote VPN Site (Создать файл ответов для удаленного VPN-узла). На странице Welcome to the Create Answer File Wizard (Начало работы мастера создания файла ответов) нажмите Next (Далее).

На странице Answer File Details (Детали файла ответов) введите в поле Type the full path to the answer file (Введите полный путь к файлу ответов) полный путь к файлу ответов. Если вы хотите, чтобы мастер настройки соединения нашел файл автоматически, обязательно назовите файл IsaUsrConfig.inf. В нашем примере мы сохраним файл в корне диска C: сервера хранения настроек. Нажмите Next (Далее).

На странице Connection Type (Тип соединения) вам не предлагается никаких вариантов, поскольку VPN-протокол, использующийся в соединении, берется из существующих настроек. Нажмите Next (Далее).

На странице Array Server Deployment (Расположение серверов в массиве) выберите пункт This is the first server deployed in the array (Это первый сервер массива). Если бы в массиве были еще серверы, мы бы выбрали пункт Another server is already deployed in the array (В массиве уже есть другой сервер), а затем указали бы внутренний IP-адрес этого сервера для разрешения соединений между членами массива. Нажмите Next (Далее).

На странице Local Site to Site Authentication (Локальная аутентификация для схемыSite-to-Site) автоматически подставляется имя Main. Это имя учетной записи пользователя ISA-сервера филиала, которую будет использовать ISA-сервер главного офиса для аутентификации в филиале. Мастер автоматически создаст эту запись на ISA-сервере филиала и даст ей разрешение на удаленный доступ. Нажмите Next (Далее).

На странице Remote Site VPN IP Addresses (IP-адрес удаленного VPN-узла) автоматически появятся адреса, определенные во внутренней сети главного офиса. Введите IP-адрес ISA-сервера главного офиса в поле Remote VPN server (IP address or name) (Удаленный VPN-сервер (IP-адрес или имя)). Помните, что в мастере создания файла ответов удаленным узлом является главный офис. Нажмите Next (Далее).

На странице Local Network VPN Settings (Установки VPN для локальной сети) выберите параметр Static IP address pool (Диапазон статических IP-адресов). Эта опция выбрана по той простой причине, что у нас в филиале нет DHCP-сервера. Если в дальнейшем мы установим в филиале DHCP-сервер, мы сможем изменить настройки IP-адресов для VPN. Нажмите кнопку Add Range (Добавить диапазон). В диалоговом окне IP Address Range Properties (Свойства диапазона IP-адресов) введите диапазон IP-адресов, который ISA-сервер филиала будет использовать для назначения адресов VPN-клиентам и удаленным VPN-шлюзам. В нашем примере мы вводим 10.0.1.252 как Start address (Начальный адрес) и 10.0.1.254 как End address (Конечный адрес). Нажмите OK, а затем нажмите Next (Далее) на странице Local Network VPN Settings (Установки VPN для локальной сети).

 

На странице Remote Authentication (Удаленная аутентификация) введите учетные данные, используемые филиалом для аутентификации на ISA-сервере главного офиса. Мы уже создали учетную запись Branch на ISA-сервере главного офиса. Это имя мы и вводим на данной странице. Это локальная учетная запись, поэтому в поле Domain (Домен) укажите имя ISA-сервера главного офиса и нажмите Next (Далее).

На странице IPSec Authentication (IPSec-аутентификация) решите, будете ли вы использовать для соединений IPSec сертификаты или общие ключи. В нашем примере мы для начала будем использовать общие ключи, а затем, когда все будет работать, начнем использовать аутентификацию с помощью сертификатов. Выберите опцию Use pre-shared key (Использовать общий ключ) и введите наш ключ 123. Нажмите Next (Далее).

На странице Join Remote Domain (Присоединение к удаленному домену) выберите опцию Join a domain (Присоединить к домену). Это даст мастеру настройки соединения присоединит ISA-сервер филиала к домену. Такая установка будет более безопасной и более гибкой. В поле Domain name (FQDN) (Имя домена (FQDN)) введите имя FQDN домена главного офиса. В нашем примере доменом главного офиса является msfirewall.org, это имя мы и вводим в соответствующее поле. Нажмите Next (Далее).

Появится окно Join Domain (Присоединить к домену). Введите имя и пароль пользователя, обладающего правами на присоединение компьютеров в домен (например, администратора домена) и нажмите OK.

На странице Locate Configuration Storage Server (Локальный сервер хранения настроек) введите в текстовое поле Configuration Storage Server (type the FQDN) (Имя сервера хранения настроек) имя сервера хранения настроек. Это должно быть полностью определенное доменное имя FQDN, а не IP-адрес или имя NetBIOS. Выберите опцию Connect using this account (Соединяться с помощью этой учетной записи) из раздела Connection Credentials (Учетные данные для соединения). Совсем не обязательно выбирать этот параметр, но я обнаружил, что иногда установка ISA-сервера зависает после перезагрузки, если вы зарегистрированы как пользователь домена, поэтому гораздо эффективнее регистрироваться как администратор домена, а в мастере настройки соединения использовать необходимые учетные данные. Нажмите Next (Далее).

На странице Securely Published Configuration Storage Server (Безопасно опубликованный сервер хранения настроек) вы указываете альтернативную конфигурацию сервера для использования ее в случаях неполадок VPN-соединения или невозможности его установки. При публикации сервера хранения настроек информация передается по шифрованному TLS-туннелю, и потому передача по сети Интернет происходит в безопасном режиме. Вы публикуете альтернативный сервер хранения настроек главного офиса на ISA-сервере главного офиса, а ISA-сервер филиала соединяется с ним с помощью правила публикации сервера. Для использования этой возможности вам нужно установить сертификат центра сертификации, выдавшего сертификат серверу хранения настроек на ISA-сервере филиала в хранилище Доверенных корневых центров сертификации. Ниже я покажу, как создать альтернативный сервер хранения настроек и опубликовать его, а затем мы настроим ISA-сервер филиала на его использование. Но пока у нас есть только один сервер хранения настроек, поэтому примите значения по умолчанию и нажмите Next (Далее).

На странице Array Membership (Членство в массиве) выберите Join an existing array (Присоединить к существующему массиву). В филиале у нас уже есть массив, поэтому мы можем выбрать данный параметр и массив. Нажмите Next (Далее).

На странице Join Existing Array (Присоединение к существующему массиву) введите имя массива, в который вы хотите ввести ISA-сервер филиала. Обратите внимание, что кнопка Browse (Просмотр) в данном случае не работает. В нашем примере мы создали для ISA-сервера филиала массив Branch, поэтому введите это имя. Нажмите Next (Далее).

На странице Configuration Storage Server Authentication Options (Варианты аутентификации сервера хранения настроек) выберите параметр Windows authentication (Аутентификация Windows). Данный вариант мы используем для того, чтобы ввести ISA-сервер в домен. Членство в домене даст нам не только повышенный уровень безопасности и гибкость развертывания, но и значительно упростит нашу конфигурацию, поскольку на данном этапе нам не придется возиться с сертификатами. Позже мы увидим, как работать с сертификатами, но пока нам не нужно думать об этом. Нажмите Next (Далее).

На странице Completing the Create Answer File Wizard (Завершение работы мастера создания файла ответов) нажмите Finish (Завершить).

Откройте файл ответов (c:\IsaUsrConfig.inf) и посмотрите на него. Обратите внимание, что содержимое файла – простой текст, где можно увидеть администраторские пароли, имена компьютеров и учетных записей. Наличие такого файла в чужих руках очень опасно. Поэтому подумайте, что делать с этим файлом. Помните, что файл должен быть расположен на USB-диске, в корне диска C: ISA-сервера филиала или в папке c:\IsaAnswerFiles ISA-сервера филиала. Скорее всего, вы захотите создать для пользователя, который будет запускать мастер настройки соединения, процедуру удаления этого файла. Назовите ее Activate Branch Office (Подключить филиал) или как-нибудь иначе, чтобы не вызвать любопытства пользователя. Да, я знаю, что все это не слишком безопасно, но это все-таки лучше, чем оставить данный файл на жестком диске ISA-сервера филиала.

Скопируйте файл ответов в корень диска C: ISA-сервера филиала.

О дальнейших настройках, я постараюсь рассказать в следующих постах. Продолжение следует…

Всем удачи!

16.12.2009 Posted by | ms isa 2006 | Комментарии к записи Создание фала ответов для VPN-соединения по схеме Site-to-Site на ISA-сервере главного офиса (часть 8). отключены

Продается !!!

По просьбе трудящихся, мною был создан диск для подготовки к экзаменам Microsoft (MCSE,MCTS,MCITP).

По возможности попытался собрать книги для подготовки в формате pdf  на русском и англицком языках. Некоторые симуляции. Sybex, CBT Nugets, Transcender и прочий материал необходимый для подготовки и дальнейшей сдаче экзаменов.

Как и все в наше время, диск не бесплатен, но стоить он будет чисто символических денег: 500 рублей (или 20$ для тех, кто готов оплатить в баксах). Как говориться: Для поддержания штанов.

Думаю это не много, за данную информацию.

Всем, кто желает приобрести просьба обращаться по почте или ICQ (эти данные указаны на странице «Об авторе..»). Самовывоз  метро Белорусская.

Всем удачи!

16.12.2009 Posted by | сertifications | Комментарии к записи Продается !!! отключены