Возникла проблема!Нужно настроить 2 сервера ISA Server,для защиты сети от нета,между этими серверами нужно расположить веб-сервер, и разрешить VPN-канал для соединения с другой сетью(удаленный офис),подскажите как вообще настроить лучше,если будут ссылки на инфу или хоть что-то,буду благодарен!заранее спасибо!
Два ISA ипользуются для организации DMZ в конфигурации "back-to-back"? Посоветовал бы включить ISA параллельно для балансировки нагрузки и отказоустойчивости и задействовать NLB и CARP (http://www.xakep.ru/magazine/xs/068/014/1.asp). А Web-серер повесить на отдельный интерфейсы "с боку" в конфигурации "perimeter network". Хорошие ресурсы:
и возник еще один вопрос: имеется 2 сервера,на одном контролер домена(DC) на другом ISA. Тот что DC имеет к примеру следующий конфиг 192.168.1.15. маска 255.255.255.0 gateway 192.168.1.1. На ISA внутренний 192.168.1.1 маска 255.255.255.0. DNS 192.168.1.15., внешка:235.145.24.12. маска 255.255.255.0.На DC стоит форвардинг на 192.168.1.1.,на исе стоит форвардинг на внешний ДНС.ИСА введена в домен.На DC поднята зона прямого просмотра.Вопрос заключается в следующем нужно ли ставить зону заглушку на кэширующем DNS сервере ISA?подскажите пожалуйста!
просто в книгах описано, что на исе нужно поднимать такую зону,но там указано,что Иса не входит в домен внешней сети, а эта зона по сути же необходима для облегчения поиска серверов ДНС,и для избежания рекурсии.То есть так должно и без нее нормально должно быть?и DNS имена внутренний сети будут разрешаться?
Если у ISA в качестве DNS-сервера в настройках TCP/IP указан контроллер домена, и 53й порт на исе недоступен из интернет (чистый кэширующий сервер) - то нет проблем. Если на ISA есть зоны и она доступна из Internet - то другое дело.
еще один вопрос возник:нужно соединить 2 сети VPN каналом по протоколу L2TP без использования сертификатов,а с использованием секретных ключей,подскажите порядок действий,такой?:1)создать удаленную сеть в центральном офисе 2) создать сетевое правило в центральном офисе 3) создать правило доступа в центральном офисе 4) создать в центральном офисе учетную запись VPN шлюза для удаленного доступа по телефонной линии 5) создать удаленную сеть в филиале 6) создать сетевое правило в филиале 7) создать правило доступа в филиале 8)создать в филиале учетную запись VPN шлюза для удаленного доступа по телефонной линии 9) настройка секетных ключей на серверах в филиале и в главном офисе.если такой,то какие секретные ключи должны быть?одинаковыми у обоих серверов?и зачем они нужны если и так применяется аутентификация по учетке?где они вообще используются и когда запрашиваюся?помогите разобратся!
.если такой,то какие секретные ключи должны быть?одинаковыми у обоих серверов?
Да, одинаковые. Это общие ключи (PSK) для протокола IPSec, которые используются для взаимной аутентификации устройств и генерации сеансовых ключей шифрования (хотя при генерации ключей они не участвуют, там чистый Диффи-Хелман).
Цитата
и зачем они нужны если и так применяется аутентификация по учетке
Аутентификция "по учетке" используется протоколом L2TP который работает "поверх" IPSec. Поскольку сам L2TP не обеспчеивает конфиденциальность (шифрование) передаваемых данных, а выполняет только функции протоколирования, обычно используется связка IPSec+L2TP. Но IPSec в сценарии Site-to-Site вполне может использоваться самостоятельно, без L2TP. И трафика будет есть меньше.
то есть иными словами подключение на L2TP с использованием секретных ключей создается так же как и в PPTP,только выбирается протокол вместо PPTP L2TP и указываются ключи на обоих серверах(ну если без сертификатов)?а запрашиваются ли эти ключи при подключении или сервер к которому конектятся или он сам просматривает их,а то в соединениях VPN - клиентов удаленного досупа он запрашивается у клиентов.
и еще один вопрос:не могу понять в чем разница,зачем нужно вводить секретный ключ- 1 при создании удаленной сети(там еще где спрашивается,что если что секретный ключ будет вторичным способом авторизации после сертификатов или первичным,если не используются сертификаты) и 2 в свойствах Virtual Private Networks, во вкладке Авторизация?они же одинаковыми должны быть?