Об'єднання двох мереж c використанням VPN.
Чистов Андрій (Domovoy)
Зайцев Антон (GifTed)
NetworkDoc.Ru
У даній статті ми дамо опис процесу створення VPN тунелю для встановлення зв'язку між локальними мережами двох віддалених офісів через інтернет і організації спільної роботи користувачів цих мереж за допомогою встановлення довірчих відносин між контролерами доменів локальних мереж цих офісів.
Необхідно об'єднати обидві мережі за допомогою створення VPN тунелю, налаштувати довірчі відносини між доменами для організації спільної роботи користувачів.
Налаштування тунелю засобами Microsoft ISA сервер
До складу Microsoft ISA сервера входять майстри забезпечують настройку VPN і механізму безпеки. Вони дозволяють конфігурувати VPN для роботи в самих різних ситуаціях, наприклад для підключення мобільних користувачів або філій між собою.
Для створення VPN-підключень передбачені три майстри, які доступні з вузла Network Configuration дерева консолі ISA Management.
- Майстер Local ISA Server VPN - застосовується для настройки локального ISA сервера, що приймає підключення. Локальний ISA сервер також можна налаштувати на ініціювання підключень до іншого комп'ютера.
- Майстер Remote ISA Server VPN - застосовується для настройки віддаленого ISA сервера, який ініціює та приймає інші комп'ютери можуть підключитися.
- Майстер ISA Virtual Private Network - застосовується для підключення переміщаються користувачів.
На першому етапі нам слід визначити ролі ISA серверів. Один з наших серверів буде приймаючим, а другий викликає. Тут варто виходити з потреб користувачів локальних мереж і їх необхідності в використанні мережевих ресурсів віддаленого офісу. Надалі ми зробимо наш VPN тунель постійним, але все ж даний крок на нашу думку не варто ігнорувати.
Для спрощення налаштування VPN-підключень ми будемо використовувати майстра ISA-сервера, запуск яких здійснюється з вузла Network Configuration дерева консолі ISA Management.
На ISA сервері, який буде виступати в ролі приймаючої з'єднання, вибираємо Set Up Local ISA VPN Server,
далі слідуючи вказівкам майстра, вводимо імена локального і віддаленого VPN-з'єднання.
Тут слід врахувати, що дані імена будуть згодом використані ISA сервером як індикаційні імена для створюваного з'єднання, фільтрів і користувача від імені якого ISA сервер буде ініціювати це з'єднання.
Наступним кроком ми вибираємо протокол, який ми будемо використовувати при з'єднанні по VPN тунелю.
Якщо ви не знаєте, який з протоколів буде вами використаний то відзначте останній пункт, це дозволить використовувати при необхідності будь-який з протоколів, не вносячи значних змін в конфігурацію ISA сервера.
Далі ми вибираємо, яким чином буде ініціюватися з'єднання між ISA серверами. Так як ми конфигурирует приймає з'єднання ISA сервер то ми можемо, не зазначаючи опції Both the local and remote ISA VPN computers can initiate communication просто перейти до наступного кроку, але в цьому випадку користувачі цієї локальної мережі не зможуть підключитися до віддаленої мережею, якщо VPN з'єднання не ініційовано викликає ISA сервером.
На останньому етапі конфігурації приймає ISA VPN сервера ми задаємо ім'я файлу куди буде збережена конфігурація для віддаленого ISA VPN сервера і при необхідності пароль.
Створений ISA сервер конфігураційний файл необхідно передати на віддалений ISA сервер.
Для конфігурації віддаленого ISA сервера і створення на ньому викликає VPN з'єднання необхідно запустити майстер Set Up Remote VPN Server.
Далі слідуючи вказівкам майстра, вказуємо файл конфігурації і пароль.
Налаштування WINS серверів у віддалених мережах
У вікні Find by Owner виберіть свій сервер і натисніть Find Now
Після цього у вікні Active Registration будуть відображені активні записи реєстрацій на WINS сервері. Далі виділяємо весь діапазон записів і видаляємо його.
Налаштування партнерів реплікації баз WINS.
Для настройки реплікації між WINS серверами перейдіть в меню Replication Partners і в контекстному меню виберіть New Replication Partner.
На даному етапі створення партнерів реплік завершено, з плином часу в залежності від продуктивності серверів і пропускної здатності каналів, меню Active Registrations з'являться записи про власників баз WINS серверів.
Примусову реплікацію можна запустити з меню Replication Partners
- Start Push Replications (записи передаються партнеру по реплікації)
- Start Pull Replications (записи запитуються у партнера по реплікації)
Налаштування серверів DNS в віддалених мережах.
Перш ніж приступати до налаштування DNS серверів необхідно провести перевірку контролерів домену на наявність помилок. Для перевірки найкраще використовувати утиліти dcdiag і netdiag зі складу MS Support Tools. так необхідно перевірити наявність повідомлень про помилки і попереджень в Event Views. У разі виявлення помилок їх необхідно усунути до того як ви приступите до налаштування зон DNS.
Спочатку в створеній зоні повинні бути присутніми записи:
- SOA запис домена
- NS запис сервера імен (Name server)
- PTR запис хоста контролера домену
Дозвіл трансферу зон між DNS серверами
Далі нам необхідно дозволити трансфер зон між DNS серверами, для це необхідно відкрити Properties (Властивості) зони.
У закладці Zone Transfers дозволяємо передачу зони зазначивши чекбокс Allow zone transfers і вказуємо напрямок передачі, тільки сервера перераховані на сторінці серверів імен Only to server listed on the name server tab.
Аналогічно налаштовуємо нотифікацію про оновлення зон, кнопка Notify.
Переходимо в закладку Name Servers і натискаємо кнопку Add. що б додати в список дозволених серверів DNS сервер віддаленого домену.
Додаємо сервер по IP, якщо resolve не відбувається, назва заводимо в форматі server.domain.ru Після додавання в списку повинні перебувати обидва сервера.
Створення вторинних зон віддалених DNS серверів
Тепер нам необхідно створити на DNS сервері Secondary зони наявних на віддаленому DNS сервері зон. Для це відзначаємо гілку Forward Lookup Zones і по правої кнопки миші в контекстному меню вибираємо New Zone. У вікні майстра вказуємо, що ми створюємо Standard secondary зону.
У наступному вікні вводимо ім'я зони, воно повинно відповідати імені віддаленого домену.
Останнє вікно майстра покаже загальну інформацію про створюваної зоні, якщо все введено правильно, натискаємо Finish і створюємо зону.
Після цього необхідно створити Secondary зони для Reverse Lookup зони віддаленого домену.
Принцип створення теж самий, що і для Forward Lookup zone.
Після цього зони повинні реплицироваться з віддаленого сервера. Після того як зони будуть реплікуються, можна переходити до наступного кроку.
Існує ще один спосіб конфігурації зон DNS для забезпечення «видимості серверів» у багатьох випадках більш правильний, він використовується при роздачі зон в Інтернеті, це делегування зон.
Є 2 домену domain1.ld і domain2.ld
DNS сервери domain1.ru - NS1.domain1.ru - 192.168.10.1 і NS2.domain1.ru - 192.168.10.2
DNS сервери domain2.ru - NS1.domain2.ru - 192.168.11.1 і NS2.domain2.ru - 192.168.11.2
Це кращий спосіб при іспользованіb стійкого каналу зв'язку.
Установка довірчих відносин між віддаленими доменами.
1. Запустіть оснащення Active Directory Domain and Trust.
2. Вкажіть домен, який повинен взяти участь у довірчі стосунки, і натисніть праву кнопку миші. У контекстному меню виберіть команду Properties (Властивості).
3. У вікні властивостей домену перейдіть на вкладку Trusts (Довіри). Натисніть кнопку Add (додати) у групі Domains trusted by this domain (Домени, яким довіряє цей домен).
4. У вікні діалогу Add Trusted Domain (Додавання довіреної домену) вкажіть ім'я другого домену, який бере участь в довірчому відношенні, пароль для реєстрації в зазначеному домені і потім підтвердіть його.
Натисніть кнопку ОК.
З'явиться вікно повідомлення про те, що довірче ставлення не може бути перевірено, оскільки не встановлена друга половина довірчого відносини.
5. Далі необхідно в віддаленому домені. ім'я якого було зазначено раніше на вкладці Trusts (Довіри), запустити оснащення Active Directory Domain and Trust і відкрити властивості домену як було описано в пункті 2.
6. Повторіть кроки 3 і 4, маючи на увазі, що роль домену змінилася на протилежну: якщо перший домен був довірителем, то другий домен повинен бути довіреною, і навпаки. Після закінчення конфігурації натисніть кнопку ОК. З'явиться вікно повідомлення про успішне створення довірчого відносини.
Дане довірливе ставлення є односпрямованим. Для створення двонаправленого довірчого відносини між доменами, що знаходяться в різних лісах, слід повторити описану вище процедуру, але поміняти ролі доменів. Той домен, який був довіреною, повинен стати довірителем, і навпаки.
Мережеве оточення. Додаткова конфігурація комп'ютерів в мережі.
- Видаліть всі записи хостів з DNS серверів, в тому числі і з зворотної зони, крім записів серверів і записів мають аліаси. Виконайте це для обох доменів на всіх ДНС серверах беруть участь у передачі зон. Проведіть повторну реплікацію зон в ручну або дочекайтеся виконання її серверами.
- Очистіть базу WINS серверів і зробіть реплікацію з баз вручну або дочекайтеся виконання її серверами.
Можна використовувати так само додаткову настройку параметрів мережевого підключення на локальних комп'ютерах. Для це відкрийте властивості протоколу TCP / IP вашого мережевого підключення. Перейдіть в закладку DNS додаткових параметрів налаштування протоколу.
В результаті при правильних налаштуваннях ми отримаємо єдине мережеве простір для двох віддалених мереж. Відображення доменів і робочих груп мереж з мережевому оточенні.
Можливість користувачам робити вхід як в локальний так і в віддалений домен використовуючи будь-який з комп'ютерів локальних мереж.
