» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Товарищи, я заранее извиняюсь перед вами, если тема раньше поднималась. Вопрос в следующем.
Включил VPN на ISA Server 2006, клиентские компьютеры удачно подключаются к VPN. НО
Хотелось бы, чтобы было видно Сетевое окружение. Для этого, насколько я понял, нужна технология Ethernt over IP. Может ли ISA поднять штатными средствами/примочками данную весч? Rainconnect/Rainwall помогут?
Вообще,задачи такие:
1. Автоматическое поднятие VPN на клиенском компе при запуске, юзвери должны будут входить уже в домен.
2. Работа с Консультант+, другими сетевымси приложениями.
3. Раздача инета с помощью ISA client - а.
Заранее Огромное спасибо за помощь, форумчане!

KOMSOMOLEC1
1. это проблема клиента а не исы, у винды есть галка при логоне об использовании удаленного дсотупа.
2. никаких проблем не вижу
3. впн клиенту isa клиент не нужен - при впн подключении весь трафик по умолчанию заворачивается на ису, весь трафик внутри впн аутенфицируется, даже тот который иса клиент не умеет.

hardhearted
Разобрался более менее. НО...
Дорогой hardhearted, скажите пожалуйста, как реализовать Ethernet over IP ??? Хотелось бы, чтобы клиентские удаленные компьютеры видели Сетевое Окружение, т.д., говорят, что для этого нужен EoIP...
Заранее благодарю Вас!

Подскажите пожалуйста как можно настроить подключение к ISA серверу 2006 по RDP например... VPN настроил работает, а вот через удаленный рабочий стол из дома не могу подключиться к ISA серверу на работе....

Цитата:

VPN настроил работает

вот и устанавливайте соединение четез VPN а уже потом по RDP

Цитата:

вот и устанавливайте соединение четез VPN а уже потом по RDP

чет не получается... Вот в чем проблема кажется понял. Когда настраивал VPN есть закладка Способ назначения IP адреса (клиентов VPN) и там есть диапозон IP адресов. Мне пришлось вручную заносить этот диапозон, т.к. службы DHCP нет и этот ISA сервер не в домене. Он в мелком офисе. Диапозон адресов который я забил 192.168.0.1 - 192.168.0.5. Но сама внутренняя сеть LAN 192.168.1.0 - 192.168.1.255

Если я в способе назначения IP адресов для VPN клиентов пытаюсь выставить диапозон например скажем: 192.168.1.10 - 192.168.1.15, то выскакивает ошибка "сеть Внутренняя включает IP-адреса из диапазона 192.168.1.10 - 192.168.1.15 Сети не могут содержать диапозоны IP-адресов, перекрывающиеся с другими сетями." Как таг веть это и есть моя внутренняя сеть откуда я хочу выдать IP адресс..."

Вот что у Шиндлера вычитал "Если вы хотите на¬значить адреса VPN-клиентам из диапазона адресов внутренней сети, исполь¬зуя пул статических адресов, например 192.168.1.200/211 (всего 10 адресов), вам нужно будет вручную удалить эти адреса из определения внутренней сети, прежде чем вы сможете создать из них пул статических адресов." Где это удаляется кто знает?????

Получается VPN клиенты в другой подсети!? Поэтому после установки VPN соединения я не могу по RDP подключится к исе... Верно?

***************************

Все с вышенаписаным вопросом разобрался надо было просто исключить выдаваемый диапозон для VPN клиентов из внутренней сети. Например диапозоны включенные во внутреннюю сеть 192.168.1.0 - 192.168.1.20; 192.168.1.30 - 192.168.1.255, а в пуле статических адресов для VPN пользователей пишем 192.168.1.21 - 192.168.1.29...

Вроде как то так пока что работает и по RDP подключается....

Господа помогите плиз!!! Сейчас настроил второй ISA 2006 серверер в мелком офисе. (В предыдущем посте писал как настраивал удаленный доступ к нему.
Теперь вот настроил тунель между двумя офисами Site-To-Site VPN. Туннель вроде работает, пингуется внутренняя сеть по айпишнику а вот по имени хоста не пингуется... Видимо DNS в тунеле не работает? Где про это можно почитать, у Шиндлера что то ничего не нашел... Заранее спасибо за подсказку.

KOMSOMOLEC1

Цитата:

говорят, что для этого нужен EoIP

кто говорит? впервые слышу про такое понятие.

AdminNovichok
а иса то тут причем? у тебя вообще dns работает?

Цитата:

а иса то тут причем? у тебя вообще dns работает?

Внутри сети работает имена разрешаются, а вот по VPN не работает DNS и в Тунеле ТОже =(

Стояла ISA 2006, клиенты работали через веб-прокси, порт 8080. После миграции на TMG оказалось, что теперь трафик идет напрямую по 80 порту. Если в настройках браузера указывать напрямую прокси (через GP) (с последующим закрытием порта 80 на TMG), то оказывается, что ISA Client (остался от старой ISA) как будто подменяет настройки своими, на 8080 ничего не идет. Как вообще взаимодействует клиент ISA и браузер? Если в свойствах клиента отключит автоматическую настройку браузера это решит проблему с перехватом настроек?

Один мой друг, граф де ля фер, настроил ИСУ 2006 так -
был поднят 2003 сервер, на нем тупо добавлена роль ДНС ( без настроек, кеширующий получился, если я правильно в терминологии понимаю)
и в остнастке его прописаны провайдерские серверы пересылки( тупо днс прова).
Вопрос к знатокам -надо ли так делать, или же нет?
(я просто решил обойтись без этого, думаю, будет работать, установив на исе в кач-ве ДНС сервера контроллер домена внутри сети, на котором полный ДНС, с прямой и обратной зоной)
Вопрос к знатокам - нужен ли на исе кеширующий днс сервер с пересылкой?
(при условии, что клиенты опять же, используют КД с ролью ДНС )

AQAQ


Цитата:

Вопрос к знатокам - нужен ли на исе кеширующий днс сервер с пересылкой?
(при условии, что клиенты опять же, используют КД с ролью ДНС )

Нет не нужен.

Хотя я смутно себе представляю зачем вообще поднимать кэширующий DNS на исе. Единственное что приходит в голову это уменьшение количества запросов к внешнем DNS и незначительное уменьшение трафика, и то не срезу и спустя несколько дней/недель.

P.S. Есть такое неписаное правило, чем меньше всего стоит на фаервол сервере тем он надёжнее

Народ а кто что для создания отчетов использует?
И есть что-нибудь стабильное кроме BS чтобы можно было и отчеты делать и шейпить в TMG2010?

а BS разве ломанный есть под TMG?

AQAQ
Вообще есть два решения.
1. Это то что Вы описали.
2. Просто создаем правило (на ISA) разрешающее DNS доменконтроллера ходить наружу, и в настройках этого DNS указываем форвардинг на DNS провайдера.

Что правильно? Мне кажется тут действует принцип с какой стороны бить яйцо. Но лично, я использую первый принцип с кэширующим DNS на гейте. Если мне память не изменяет, этот способ так же на начале 2004 ISA рекомендовала Microsoft.
Хотя, если у нас многодоменная структура, первый способ проще к реализации. Хотя...

hardhearted


Цитата:

говорят, что для этого нужен EoIP

кто говорит? впервые слышу про такое понятие.

Ок, тогда, все же, как сделать так,

Цитата:

чтобы клиентские удаленные компьютеры видели Сетевое Окружение

???

KOMSOMOLEC1

Цитата:

Ок, тогда, все же, как сделать так,

Цитата: чтобы клиентские удаленные компьютеры видели Сетевое Окружение

Открой системные правила и убедись что включено "Allow DNS from ISA Server to selected servers" и "Allow NetBIOS from ISA Server to trusted servers". В правиле "Allow DNS from ISA Server to selected servers" укажи свои DNS серверы.

Цитата:

В правиле "Allow DNS from ISA Server to selected servers" укажи свои DNS серверы

Мммм, где, не подскажите

KOMSOMOLEC1

Цитата:

где, не подскажите

Двойной клик по правилу и все увидиш.

Цитата:

KOMSOMOLEC1

Цитата:
где, не подскажите

Двойной клик по правилу и все увидиш.

Сюда?

Цитата:

Сюда?

Похоже я подзабыл, в каком офисе что делал.
В последнем сделал так:
Я включил два описанных выше правила и создал три отдельные правила _https://rapidshare.com/files/461835319/DNS_access.JPG

SergeyMark
Спасибо! Попробую...
Вопрос такой.
В группу "Все пользователи" входит группа "Системная и сетевая служба" ??? Или последняя не входит в первую?

KOMSOMOLEC1
Это отдельные группы. Одна в другую не входят.

Господа помогите плиз!!! Сейчас настроил второй ISA 2006 серверер в мелком офисе. (В предыдущем посте писал как настраивал удаленный доступ к нему.
Теперь вот настроил тунель между двумя офисами Site-To-Site VPN. Туннель вроде работает, пингуется внутренняя сеть по айпишнику а вот по имени хоста не пингуется... Видимо DNS в тунеле не работает? Хотя в главном офисе с DNS все в порядке по имени хочта разрешает IP. Где про это можно почитать, у Шиндлера что то ничего не нашел... Заранее спасибо за подсказку.

AdminNovichok
В Сетевом окружении видны сети? Если нет, то смотри выше, как решался мой вопрос.

Чет ниче не получается, вроде разрешил DNS и NetBios между Главным Офисом и Филиалом, только чет все равно DNS не рабоет, по IP пингуется и подключается просто замечательно а вот по имени хоста никак =( В главном офисе Домен а вот в филиале workgroup это как то может влиять на дело?

AdminNovichok
а клиенты второго офиса вообще куда по днс обращаются?

Гм, я все советы использовал, какие тут давали, но все равно мой VPN-клиент не видит домен и его компьютеры в Сетевом окружении Зайти через "\\" может, а в сетевом окружении упорно не видит((
Бороздя по просторам интернета, увидел несколько магических слов:
"WINS"
"LMHOSTS"
"NETBIOS"
"В HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip есть параметр ForwardBroadcast"

Скажите, несли я WINS подниму, VPN-клиент увидит сетевое окружение? Вообще, у кого-нибудь из читающих данную ветку получилосьна практике это сделать???

Цитата:

а клиенты второго офиса вообще куда по днс обращаются?

Клиенты филиала используют провайдерский DNS я пробовал использовать и свой собственный ДНС но результат такой же, то есть из филиала через туннель пингую любой IP адрес успешно, а вот по имени хоста не получается разрешить имя...
Вот я и думаю может я тупо забыл что-то сделать... Есть на эту тему какой нибудь полный Manual? Если есть с меня пиво =)-

KOMSOMOLEC1
не знаю как у других читающих эту ветку, но у себя я всегда всеми средствами старался сделать работу с таким убожеством как "сетевое окружение" невозможным потому как эта мерзость в корпоративныхсредах совершенно не нужна

AdminNovichok
ну и откуда по твоему провайдерский днс будет знать об именах твоего центрального офиса? )
что такое "свой собственный днс"? где стоит, какие зоны держит?