Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 10).

Вариант с контроллером домена в филиале.

Лучше всего начать работу с настройки ISA-сервера филиала на возможность осуществления внутридоменных соединений между контроллерами домена филиала и главного офиса. В этом случае нам придется выполнить несколько процедур, которые, помимо всего прочего, хороши и как примеры. В данной статье мы выполним следующее:

  • Отключение DDNS на интерфейсе соединения по запросу на ISA-серверах главного офиса и филиала
  • Включение DDNS для зон прямого и обратного просмотра домена msfirewall.org
  • Создание правила доступа для внутридоменных соединений на ISA-сервере филиала

Отключение DDNS на интерфейсе соединения по запросу на ISA-серверах главного офиса и филиала

Помните, то ли в первой, то ли во второй части статьи мы отключили DDNS для зоны прямого просмотра для домена msfirewall.org? Помните, зачем мы сделали это? Напомню: мы отключили DDNS зоны прямого просмотра для домена msfirewall.org для предотвращения регистрации IP-адресов интерфейсов соединения по запросу ISA-серверов главного офиса и филиала в DNS. Если интерфейс соединения по запросу зарегистрирован в DDNS, это порождает массу проблем, поскольку клиенты будут в таком случае разрешать имена ISA-серверов в адреса их интерфейсов по запросу, а не в реальные IP-адреса.

На самом деле мы можем отключить автоматическую регистрацию в DNS интерфейсов соединения по запросу для обоих ISA-серверов с помощью консоли RRAS. Главное, нам нужно избежать внесения изменений в настройки VPN с консоли RRAS, поскольку настройки, сделанные через консоль ISA-сервера, перезаписывают изменения, сделанные в консоли RRAS. Но хорошо, что изменения, касающиеся DDNS-регистрации интерфейса соединения по запросу не перезаписываются настройками VPN ISA-сервера.

На ISA-сервере главного офиса выполните следующее:

  1. Нажмите Start (Пуск), Administrative Tools (Администрирование) и выберите Routing and Remote Access (Маршрутизация и удаленный доступ).
  2. В консоли Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте имя сервера.
  3. Щелкните по узлу Network Interfaces (Сетевые интерфейсы) в левой части консоли. Правой кнопкой щелкните по пункту Branch в правой части консоли и выберите Properties (Свойства).

В диалоговом окне Branch Properties (Свойства интерфейса Branch) выберите вкладку Networking (Сеть) и нажмите кнопку Properties (Свойства).

В диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета TCP/IP) нажмите кнопку Advanced (Дополнительно).

В диалоговом окне Advanced TCP/IP Settings (Расширенные настройки протокола TCP/IP) выберите вкладку DNS, где уберите отметку с параметра Register the connection’s addresses in DNS (Регистрировать адреса этого соединения в DNS). Нажмите OK.

  • В диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета TCP/IP) нажмите OK. В диалоговом окне Branch Properties (Свойства интерфейса Branch) нажмите OK. Если интерфейс соединения по запросу уже подключен, вы увидите диалоговое окно, сообщающее, что изменения вступят в силу только после следующего подключения интерфейса соединения по запросу.
  • Закройте консоль Routing and Remote Access (Маршрутизация и удаленный доступ).
  1. На ISA-сервер филиала выполните следующее:
  2. Нажмите Start (Пуск), Administrative Tools (Администрирование) и выберите Routing and Remote Access (Маршрутизация и удаленный доступ).
  3. В консоли Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте имя сервера.
  4. Щелкните по узлу Network Interfaces (Сетевые интерфейсы) в левой части консоли. Правой кнопкой щелкните по пункту Main в правой части консоли и выберите Properties (Свойства).

В диалоговом окне Main Properties (Свойства интерфейса Main) выберите вкладку Networking (Сеть) и нажмите кнопку Properties (Свойства).

В диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета TCP/IP) нажмите кнопку Advanced (Дополнительно).

В диалоговом окне Advanced TCP/IP Settings (Расширенные настройки протокола TCP/IP) выберите вкладку DNS, где уберите отметку с параметра Register the connection’s addresses in DNS (Регистрировать адреса этого соединения в DNS). Нажмите OK.

  1. В диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета TCP/IP) нажмите OK. В диалоговом окне Main Properties (Свойства интерфейса Main) нажмите OK. Если интерфейс соединения по запросу уже подключен, вы увидите диалоговое окно, сообщающее, что изменения вступят в силу только после следующего подключения интерфейса соединения по запросу.
  2. Закройте консоль Routing and Remote Access (Маршрутизация и удаленный доступ).
  3. Перезагрузите ISA-серверы главного офиса и филиала и дождитесь установления VPN-соединения между интерфейсами соединения по запросу.

Включение DDNS для зон прямого и обратного просмотра домена msfirewall.org

Теперь, когда проблема с DDNS для интерфейсов соединения по запросу решена, мы можем включить DDNS для зон домена msfirewall.org. Обычно, использование DDNS очень полезно, а в особенности для нас, поскольку мы хотим, чтобы контроллер домена филиала автоматически регистрировал все свои записи, связанные с DNS, в службе DNS главного офиса. Мы могли бы создать эти записи и вручную, но это повлекло бы за собой лишние затраты и увеличило бы риск появления ошибок.

На контроллере домена главного офиса выполните следующее:

  1. На контроллере домена нажмите Start (Пуск), далее Administrative Tools (Администрирование), а затем DNS.
  2. В консоли DNS раскройте имя сервера, а затем узел Forward Lookup Zones (Зоны прямого просмотра).
  3. Выберите узел msfirewall.org и нажмите Properties (Свойства).

В диалоговом окне msfirewall.org Properties (Свойства msfirewall.org) на вкладке General (Общие) нажмите стрелку вниз на выпадающем списке Dynamic updates (Динамические обновления) и выберите Secure only (Только безопасные). Это позволит вносить записи в DDNS только члена домена. Нажмите OK.

Щелкните правой кнопкой по имени DNS-сервера в левой части консоли и выберите All Tasks (Все задачи), а затем Restart (Перезапустить).

Продолжение следует…

Всем удачи!

16.04.2010 Posted by | ms isa 2006 | 1 комментарий