Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 11).

Создание правила доступа для внутридоменных соединений на ISA-сервере филиала.

После выполнения всей подготовительной работы мы можем приступить к настройке ISA-сервера. Вначале нам нужно создать правило, которое бы разрешило контроллеру домена филиала использовать внутридоменные протоколы, необходимые для связи с другими контроллерами домена. В нашем случае – с контроллером домена главного офиса. Ниже в таблице приведены обычные настройки протоколов для правила доступа:

Имя Branch DC (контроллер домена филиала) Main DC (контроллер домена главного офиса)
Действие Разрешить
Протоколы Microsoft CIFS (TCP 445) DNS Kerberos-Adm(UDP) Kerberos-Sec(TCP) Kerberos-Sec(UDP) LDAP (TCP) LDAP (UDP) LDAP GC (Глобальный каталог) RPC (все интерфейсы) NTP Ping
От Контроллер домена филиала
К Контроллер домена главного офиса
Пользователи Все
Когда Всегда
Тип содержимого Все типы содержимого

Таблица 1: протоколы, необходимые для внутридоменных соединений.

Для создания политики предприятия на сервере хранения настроек выполните следующее:

  1. На сервере хранения настроек главного офиса откройте консоль управления ISA-сервера.
  2. Раскройте узел Enterprise (Предприятие), а затем Enterprise Policies (Политики предприятия). Щелкните правой кнопкой по узлу Enterprise Policies (Политики предприятия) и выберите New (Новая), затем Enterprise Policy (Политика предприятия).
На странице Welcome to the New Enterprise Policy Wizard (Начало работы мастера создания новой политики предприятия) введите в текстовое поле Enterprise Policy (Политика предприятия) имя политики. В нашем примере политика будет называться Branch Policy. Нажмите Next (Далее).
На странице Completing the New Enterprise Policy Wizard (Завершение работы мастера создания новой политики предприятия) нажмите Finish (Завершить).
Щелкните по узлу Branch Policy в левой части консоли и в панели задач выберите Tasks (Задачи). Нажмите Create Enterprise Access Rule (Создать правило доступа предприятия).
На странице Welcome to the New Access Rule Wizard (Начало работы мастера создания нового правила доступа) в текстовое поле Access Rule name (Имя правила доступа) введите наименование правила. В нашем примере мы создадим правило, разрешающее контроллерам домена филиалов соединяться с контроллером домена главного офиса. Поэтому назовем правило Branch DCs > Main DC. Нажмите Next (Далее).
На странице Rule Action (Действие правила) выберите Allow (Разрешить) и нажмите Next (Далее).
На странице Protocols (Протоколы) убедитесь, что из выпадающего списка this rule applies to (Данное правило применяется к) выбран параметр Selected protocols (Выбранные протоколы). Нажмите Add (Добавить). В диалоговом окне Add Protocols (Добавление протоколов) щелкните по папке All Protocols (Все протоколы). Дважды щелкните по каждому из протоколов, перечисленных в Таблице 1, и нажмите Close (Закрыть).
На странице Protocols (Протоколы) нажмите Next (Далее).
На странице Access Rule Sources (Источники для правила доступа) нажмите Add (Добавить). В диалоговом окне Add Network Entities (Добавить сетевые элементы) выберите меню New (Новый) и нажмите Computer Set (Набор компьютеров). В диалоговом окне New Computer Set Rule Element (Элемент правила – новый набор компьютеров) введите Branch Office DCs в текстовое поле Name (Название).
В диалоговом окне New Computer Set Rule Element (Элемент правила – новый набор компьютеров) нажмите Add (Добавить) и из списка выберите пункт Computer (Компьютер).
В диалоговом окне New Computer Rule Element (Элемент правила – новый компьютер) введите имя компьютера филиала в поле Name (Имя). В нашем примере это имя будет Branch1 DC, что поможет нам отличать контроллеры домена филиалов один от другого. Введите IP-адрес этого контроллера домена в поле Computer IP Address (IP-адрес компьютера), в нашем примере 10.0.1.2. Нажмите OK.
В диалоговом окне New Computer Set Rule Element (Элемент правила – новый набор компьютеров) нажмите OK.
В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Computer Sets (Наборы компьютеров) и дважды щелкните по элементу Branch Office DCs. В диалоговом окне Add Network Entities (Добавить сетевые элементы) нажмите Close (Закрыть).
На странице Access Rule Sources (Источники для правила доступа) нажмите Next (Далее).
На странице Access Rule Destinations (Получатели для правила доступа) нажмите Add (Добавить). В диалоговом окне Add Network Entities (Добавить сетевые элементы) выберите пункт меню New (Новый) и нажмите Computer (Компьютер).
В диалоговом окне New Computer Rule Element (Элемент правила – новый компьютер) в поле Name (Имя) введите имя компьютера. В нашем примере мы вводим имя контроллера домена главного офиса — Main Office DC. Введите IP-адрес контролера домена главного офиса в поле Computer IP Address (IP-адрес компьютера) и нажмите OK.
В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Computer (Компьютер) и дважды щелкните по элементу Main Office DC. Нажмите Close (Закрыть)
На странице Access Rule Destinations (Получатели для правила доступа) нажмите Next (Далее).
  1. На странице User Sets (Наборы пользователей) примите установки по умолчанию — All Users (Все пользователи). Причина этой установки в том, что пользователи не регистрируются на контроллерах домена и для прохождения аутентификации им потребуется клиент брандмауэра, который нельзя устанавливать на контроллере домена. Нажмите Next (Далее).
  2. На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) нажмите Finish (Завершить)
  3. Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK

Теперь, когда политика предприятия настроена, нужно привязать ее к массиву филиала. Пока к массиву филиала привязано политика предприятия по умолчанию, а мы внесем изменения таким образом, чтобы к массиву филиала была привязана политика Branch Policy.

Для привязки политики Branch Policy к массиву Branch выполните следующее:

  1. В консоли ISA-сервера раскройте узел Arrays (Массивы) и выберите узел Branch. Щелкните правой кнопкой по узлу Branch и нажмите Properties (Свойства).
В диалоговом окне Branch Properties (Свойства массива Branch) выберите вкладку Policy Settings (Настройки политики), где в списке Enterprise policy (Политика предприятия) нажмите стрелку вниз и выберите параметр Branch Policy. Правила, определенные в этой политике, будут импортированы и применены к массиву. Уберите отметку с параметра Publishing rule (“Deny” and “Allow”) (Правило публикации («Запретить» и «Разрешить»)), чтобы правила серверной публикации не создавались в филиале. Это необходимо сделать по причинам безопасности. Нажмите OK.
Раскройте массив Branch в левой части консоли и щелкните по узлу Firewall Policy (Branch) (Политика брандмауэра (массив Branch)). Обратите внимание, что созданное нами в политике предприятия правило доступа не применяется к политике массива.
Нам нужно, чтобы политика контроллера домена всегда применялась до локальной политики массива. Для этого щелкните по узлу Branch Policy в левой части консоли. Правой кнопкой щелкните по правилу доступа Branch DCs > Main DC и выберите пункт Move Up (Наверх).
Щелкните по узлу Firewall Policy (Branch) (Политика брандмауэра (массив Branch)). Теперь вы видите, что политика предприятия применяется до локальной политики массива.

Как вы видите из настроек политики предприятия, применять политики к нескольким филиалам очень легко, просто изменяя политику Branch Policy. Все изменения автоматически будут применяться ко всем массивам, к которым привязаны политика. Это гораздо проще, чем вносить изменения во все массивы. Например, если мы добавим дополнительные контроллеры домена филиалов, все, что нам нужно будет сделать, это обновить набор компьютеров Branch Office DCs, и правило будет автоматически применено ко всем новым контроллерам доменов в филиалах.

Продолжение следует…

Всем удачи!

11.05.2010 Posted by | ms isa 2006 | Комментарии к записи Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 11). отключены