[Эмблема организации]

Тел.:+38 (044) 4005850, 4004600, +38 (050) 4486958, 5172225

E-mail: Контактная информация

Основная Вверх Обратная связь Оглавление Загрузка Форма поиска Ссылки

                                    Установка ISA Server на контроллер домена

Основная Новости Контакты Продукты Услуги Статьи

[В стадии разработки]

Вверх

Установка ISA Server на контроллер домена

    Одна из частых проблем – это проблема поставить ISA server на компьютер
на котором уже есть или будет Domain Controller (DC). Вообще говоря, это не очень
удачная идея с точки зрения безопасности сервера – хранить все яйца в одной корзине.
Эти вещи часто случаются на SBS (Small Business Server) – где из экономии на один
компьютер заталкивают MS Exchange, SQL Server и еще что-нибудь.

Можно сказать что отправка/получение
почтовых сообщений и web-трафик являются основной проблемой, относящейся к интерфейсам
и настройкам DNS. Помни!, что Active Directory DC должен иметь DNS
server, для
того чтобы уметь регистрировать зависимые вхождения. Если вы имеете один
DC, то
у вас также должен быть и DNS server.

Другая проблема с комбинацией ISA
server / DC вытекает из того что компьютер с DC обычно бывает либо с несколькими
net-карточками либо одна карта с несколькими адресами (многоканальный ведущий
узел если по научному J). Эта особенность особенна ценна в сфере применения для
NetBIOS и служб обозревателя сети. Причина в том, что Active Directory DC попутно
выступает как PDC (Primary Domain Controller), который является базовым обозревателем
домена и базовым обозревателем своего сегмента сети.

Далее рассмотрим какие действия
нужно выполнить и что настроить в Win2000 server что бы все это работало на одном
компьютере. Вот эти элементы:

  • установить Windows 2000

  • сконфигурировать DNS Server and DNS Zone Properties

  • Сконфигурировать the DNS Server Forward and Reverse Lookup Zones

  • Поднять сервер в статусе до уровня Domain Controller

  • Сконфигурировать DNS Forwarder

  • Оттестировать DNS Server

  • И самое главное, установить ISA Server.  

Установка Windows 2000 server

 Опустим всю рутину по установки
этого чудища, а остановимся только на специфических особенностях. Надеюсь что
в стадии инсталляции вы добрались до выбора компонентов сервера, т.е. вам видна
кнопка Windows Components. Нажимаем ее появиться окошко.



 
  • Стукните мышкой дважды по Internet Information Services.
    Если вам необходима поддержка FTP или NNTP то выберите это пункты в списке. В
    общем будет лучше, если у вас будет минимальное количество серверов запущено в
    недрах вашего IIS.


  • Доберитесь до страницы Windows 2000 Components и в ней выберите Management
    and Monitoring Tools    . Выберите Network Monitor Tools и
    Simple Network Management Protocol если вы собираетесь использовать
    SNMP управление вашим сервером.


  • Доберитесь до закладки Networking Services и выберите там DNS
    и WINS службы. Это есть минимальное количество того, что должно быть установлено.

    • Заметка!

    Если вы установили WINS server вы
    должны запретить использование NetBIOS на внешнем интерфейсе
    ISA/DC мутанта J.
    Перед отключением NetBIOS удалите из вашей WINS базы  все элементы, касающиеся
    внешних IP адресов на вашем ISA/DC компьютере. Также проверьте, что уделены внешние
    вхождения, после того как запретили NetBIOS для внешнего интерфейса.


  • Доберитесь до Terminal Services , в ней включите Enable
    Terminal Services     и Client Creator Files.

  • В странице настройки Terminal Services Setup для терминального
    сервера включите Remote administration mode.

  • Далее вам
    нужно будет в странице Networking Settings -> Custom Settings настроить
    сетевые интерфейсы для правильной работы ISA Server. (читай статью
    «Настройка сетевых интерфейсов для MS ISA server».

    • Заметка!

    В настройках IP протокола для внутреннего
    интерфейса важно указать в качестве Preferred DNS server  IP адрес вашего
    внутреннего интерфейса, т.к. на нем будет «крутиться» ваш DNS
    server.



  • Далее откройте
    закладку WINS и добавьте в качестве WINS сервера IP адрес вашего внутреннего интерфейса.
    Вам нужно будет зарегистрировать в WINS только один этот адрес, и ни в коем случае
    не внешний.

  • И наконец,
    чтобы все толково работало, нужно поставить 2-й сервиспак для Win2000
    server.

Конфигурирование Forward и Lookup зон на вашем DNS сервере

Конфигурирование DNS сервера важно провести до запуска DCPROMO, т.е.
до того как вы поднимете сервер в статусе до DC после установки. И еще совет,
не доверяйте  Active Directory DNS Wizard, а все делайте сами.

Итак, что нужно сделать для настройки DNS:

1. Запустите в административных тулсах консоль управления
DNS.

2. Разверните все узлы и стукните правой кнопкой мыши по Forward
Lookup Zone. В контекстном меню выберите View->Advanced.

3. Стукните правой кнопкой по Reverse Look Zone и выберите
New Zone и смело жмите кнопку далее.

4. На странице Reverse Lookup Zone в разделе NetworkID
укажите адрес своей внутренней сети, как показано на рисунке (адрес будет у вас
другой J). Вам необходимо будет создавать дополнительные зоны обратного разрешения,
если ваша внутренняя сеть имеет несколько сегментов. Далее жмем
Next.


5. На странице Zone file согласитесь с предложенными по умолчанию
вариантами и жмите далее.

6. На странице Completing the New Zone Wizard смело жмем
Finish.

Далее для настройки Forward Lookup Zone нужно сделать следующее:

1. Стучим правой кнопкой по Forward Lookup Zone и выбираем
New Zone и жмем далее.

2. На странице Zone Type  выбираем Standard Primary и
жмем далее.

3. На странице Zone Name напишите имя домена вашей внутренней сети.
И жмите далее.


4. На странице Zone File можно согласиться с предложенными по умолчанию
вариантами.

5. На странице Completing the New Zone Wizard жмем
Finish.

6. Стукнем правой кнопкой по зоне, которую только что создали и
выбираем команду New Host

7. В New Host диалоге пишем хост – имя вашего компьютера на котором
должен стоять DC/ISA, IP адрес внутреннего интерфейса и в списке выбираете Create
associated pointer (PTR) record. Нажмите Add Host. Появиться, сообщение
что типа создана новая запись, жмите везде ОК и
Done.

8. Проверьте, что все было создано, и жмите кнопку
Refresh.

Конфигурирование DNS Server и  DNS Zone Properties

1. Стукните в консоли настройки DNS по DNS серверу и выберите
Properties.

2. В окне свойств DNS сервера выберите закладку
Interface. В ней
выберите опцию Only the following IP addresses. Стукните по IP адресу внешнего
интерфейса и нажмите кнопку Remove. Затем нажмите применить.

3. Выберите Root Hints закладку и и убедитесь что все нормально.

4. В этом пункте мы позволим серверу DNS непосредственно выполнять
рекурсию. Нажать OK.

5. Стукните правой кнопкой по только, что созданной зоне и выберите
«свойства».

6. Выберите закладку «Общие» и в ней установите чекбокс Allow
Dynamic Updates в Yes.

7. Далее стучим по WINS закладке и выбираем там Use WINS forward
lookup. Пишем IP адрес вашего внутреннего сетевого интерфейса и жмем
Add.

8. Далее стучим по закладке Zone Transfers и выбираем там опцию
Only to servers listed on the Name Servers.

9. Далее стучим по закладке Name Servers. Если IP адрес
внесен в список как неизвестный, выбираем имя вашего компьютера и давим кнопку
Edit. В диалоговом окошке Edit Record нажмите на кнопку
Browse.  Дважды стукните
по имени своего компьютера а потом дважды по Forward Lookup Zones затем
дважды по имени своего компьютера затем везде ОК и ПРИМЕНИТЬ.


Подъем вашего сервера в статусе до домен-контролера

1. Нажмите Start->Run и запустите утилиту
dcpromo.

2. Пропускаем страничку приглашения и выбираем домен-контроллер
для нового домена - Domain Controller for a new domain

3. Выбираем «создать новое дерево домена» - Create a new domain
tree

4. Выбираем «создать новый лес доменных беревьев» Create a new
forest of domain trees.

5. В поле имени домена напишите полное имя вашего домена.



6. На странице NetBIOS Domain Name оставьте все по умолчанию.
Заметьте, что если Вы напишите слишком длинную область, имя может быть обрезано.



7.  На закладке Database and Log Locations все оставьте
по умолчанию.

8.  На Shared System Volume сделайте все необходимые вам
установки и жмите далее.

9.  Далее вы увидите сообщение что ваш шаман не может сконтактироваться
с корневым домен-контролером, это нормально, так что жмите далее.

10. На странице Configure DNS выберите No, I will install
and configure DNS myself. Никогда не разрешайте шаману шаманить тут самомтоятельно!

11. Выбрать соответствующие разрешения для вашего окружения и жмите
Next.

12. Введите пароль для Режима Восстановления Службы каталогов подтвердите.
Нажмите Next.

13. Делайте обзор ваших параметров настройки, чтобы удостовериться,
что все правильно, затем нажимать Next.

14. Если все конфигурировано правильно, это должно занять меньше чем
5 минут, чтобы завершить конфигурацию AD. Нажмите Finish.

15. На диалоговом окне Active Directory Installation Wizard,
нажмите кнопку Restart Now.

16. Когда сервер перезапуститься, может требоваться некоторое время
при первой загрузке для переноса файлов DNS зоны сервера имен в
AD. Далее логиньтесь
в домен.

17. Ждите 5 минут а лучше более, и затем откройте консоль сервера
DNS.
Разверните Forward Lookup Zone для вашего домена, и Вы должны видеть записи
относящиеся к AD.

Конфигурирование DNS Forwarder

В этом пункте, Вы должны полагать, что использование форвардинга разрешает
имена домена для тех доменов, для которых ваш сервер не авторизирован. Практически,
это включает все другие домены кроме вашего собственного. В консоле управления
DNS, выполните следующие шаги:

1. Стукните правой кнопкой по имени сервера и выберите
Properties.

2.  В диалоговом окне Properties сервера, щелкните вкладкой
Forwarders.

3.  На вкладке Forwarders, выберите Enable forwarders. Затем
напишите IP адрес(са) сервера(ов) DNS вашего ISP и щелкните кнопкой
Add. Поставьте
галочку на A recursive query to other DNS servers. Это значительно улучшит
работу. Щелкните Apply и затем нажмите OK.

4.  Стукните правой кнопкой по имени сервера и выберите All
Task и затем Restart. Это перезапустит службу сервера
DNS.

Все!!! Можем поздравить себя с успешным завершением этого тяжкого процесса.

Установка ISA Server

На самом деле нет никаких специальных шагов, которые Вы должны сделать, устанавливая
ISA Server на DC. Но мы пройдем процедуру только, чтобы быть полным:

1.  Так, тут начиная от вставки CD-ROM и до пункта 2 все стандартное

2.  Выбираете Full Inst..

3.  Так как мы не запускали AD, мы не можем присоединить сервер
к массиву себе подобных. Если Вы управляете
SBS, Вы вероятно имеете единственный
сервер, так что это - не проблема. Так что будем устанавливать Stand alone
(автономный). Щелкните Да в диалоговом окне, сообщающем Вам, это не может
найти изменения схемы.

4.  Далее все по плану

5.  Добрались до определения LAT:




6. Заметим как выбираются опции в диалоговом окне Local Address
Table.
Это - ЕДИНСТВЕННЫЙ способ, которым это надо делать! На выборе
NIC, удостоверьтесь,
что Вы выбираете внутренний интерфейс вашего Сервера
DC/ISA. Нажать OK. Нажмите
OK в блоке информации, сообщающем Вам, что LAT была создана. Нажмите OK снова.

7.  Когда все закончиться, нажмите OK, чтобы открыть консоль ISA
Managment. Нажмите OK снова, чтобы закончить.

Фильтрация пакета допускается по умолчанию. Есть предварительно сконфигурированный
фильтр пакета DNS, так что Вы не должны волноваться о проблемах запроса доменной
системы имен.

Заключение

Это все есть то что нужно сделать с контроллером домена на который затолкали
ISA server! Однако, если это - ваш единственный сервер, вы будете иметь еще достаточно причин для беспокойства. Причина для этого - то, что Вы будете иметь набор сервисов, борющихся с вашими Web and Server publishing rule для доступных портов на внешнем интерфейсе.

Автор: Thomas Shinder

Перевод: Yustas

META - Украина. Украинская поисковая система

Отправить сообщение для: веб-мастера с вопросами и замечаниями об этом веб-узле.
© 2009 Общество с ограниченой ответсвенностью "Т-груп"
Дата изменения: 27.03.2009