Меню

Как настроить шлюз в домене

Retifff’s Blog

Мой ИТ блог

Рубрики

Календарь

Декабрь 2009

Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31

Архив

  • Январь 2020 (1)
  • Декабрь 2019 (1)
  • Октябрь 2019 (1)
  • Сентябрь 2019 (4)
  • Июль 2019 (3)
  • Апрель 2012 (1)
  • Июль 2011 (1)
  • Февраль 2011 (3)
  • Декабрь 2010 (1)
  • Сентябрь 2010 (1)
  • Апрель 2010 (1)
  • Март 2010 (1)
  • Январь 2010 (2)
  • Декабрь 2009 (6)
  • Метки

    Сертификаты

  • Админские блоги

    Сайты

    Форумы

    IRC-канал сисадминов

    irc.forestnet.org
    #sysadminz.ru:6667 (6662, 6669, 5190)
    Обязательна регистрация:
    /ns register e-mail пароль
    Кодировка UTF-8

    ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов.

    Posted by Retifff на 05.12.2009

    В последнее время часто встречаются вопросы, связанные с неправильной настройкой DNS (почта по IP -адресу работает, а по имени сервера — нет, и т.п.). В общем народ ленится, доки не читает, поэтому решил сделать краткую инструкцию по настройке DNS на компьютере с Kerio Winroute Firewall и клиентских компьютерах.

    Рассматриваем три самых распространеных общих случая:

    1. Одноранговая сеть, без домена (по определению тов. Naliman-а), точнее без DNS-сервера, в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
    2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
    3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.

    Третий вариант категорически не рекомендуется по соображениям безопасности и здравого смысла, но к сожалению применяется довольно часто в небольших сетях, где домен уже есть, а денег уже нет 🙂 В любом случае это вариант рассматирать не будем, потому что его настройки ничем не отличаются от второго варианта, кроме того, что имя и адрес DNS-сервера совпадают с именем и адресом компьютера с Winroute соответственно.

    Имеется в любом случае компьютер с двумя сетевыми картами (одна внутренняя — смотрит в локальную сеть, другая внешняя — в Интернет соответственно), играющий роль шлюза, через который мы и будем выходить в Интернет, и на который естественно 🙂 будет установлен Kerio Winroute Firewall.
    Не забывайте, что адреса на этих сетевых картах должны быть из разных подсетей, т.е. например так:

    192.168. .1/24
    192.168. 1.1/24

    почему-то новички очень часто на этом попадаются, если у них например ADSL-модем стоит.

    1. Настройка DNS в одноранговой сети.

    Настройки внутренней сетевой:

    192.168.0.1 — IP-адрес компьютера с Winroute
    255.255.255.0 — маска.
    192.168.0.1 — в качестве DNS-сервера указываем IP-адрес этой же сетевой

    Шлюз НЕ указываем!

    Дальше, берем настройки, данные нам провайдером, допустим такие:

    ip 80.237.0.99 — реальный IP
    mask 255.255.255.240 — маска
    gate 80.237.0.97 — шлюз
    dns 80.237.0.97 — DNS провайдера

    Но! Не забиваем их втупую во внешнюю сетевую, а делаем немного по-своему:

    ip 80.237.0.99
    mask 255.255.255.240
    gate 80.237.0.97
    dns 192.168.0.1 — в качестве основного DNS-сервера указываем IP-адрес внутренней сетевой;
    80.237.0.97 — в качестве альтернативного DNS-сервера указываем DNS-сервер провайдера

    Жмем Advanced. В закладке DNS убираем галочку на Register this connectionТs addresses in DNS, в закладке WINS убираем Enable LMHOSTS lookup и ставим Disable NetBIOS over TCP/IP. Также, галочек НЕ ДОЛЖНО БЫТЬ на Client for Microsoft Networks, Network Load Balancing, Fail and Printer Sharing Microsoft Networks.

    Кстати, удобно переименовать внешний интерфейс, назвать не Local Area Connection (Подключение по локальной сети), а например Internet Interface.

    Дальше, заходим в Панель управления, Cетевые подключения, в этом окне (окно проводника) меню Дополнительно -> Дополнительные параметры. Во вкладке «Адаптеры и привязки» передвигаем «Local Area Connection» («Подключение по локальной сети») на самую верхнюю позицию:

    На клиентском компьютере настройки сетевой карты будут примерно такие:

    ip 192.168.0.2
    mask 255.255.255.0
    gate 192.168.0.1 — в качестве шлюза указываем IP-адрес компьютера с Winroute
    dns 192.168.0.1 — в качестве основного DNS-сервера указываем IP-адрес компьютера с Winroute

    В Winroute, Configuration -> DNS Forwarder ставим галку «Enable DNS Forwarding», указываем DNS-серверы провайдера.

    2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute

    Настройки не очень отличаются от предыдущего варианта, в принципе все тоже самое, только:

    2.1 В зонах прямого просмотра DNS следует убрать зону «.», если она там есть. После этого перезапустить службу «DNS-сервер».

    2.2 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера, в данном случае 80.237.0.97 (и не забыть добавить правило в Traffic Policy, разрешающее контроллеру обращаться на DNS-сервер провайдера):

    2.3 DNS Forwarder в Winroute выключаем (убираем галку «Enable DNS Forwarding»), так как он у нас есть уже в на нашем DNS-сервере.

    2.4 На контроллере домена в DNS необходимо создать зону обратного просмотра (у правильных админов она наверняка создана еще при поднятии DNS 🙂 ), так как без нее невозможно по IP-адресу определить имя компьютера. В качестве кода сети указываем первые 3 группы цифр своего IP-адреса.
    Для проверки заходим в свойства зоны и убеждаемся там в наличии нашего DNS-сервера (или серверов, если их несколько) на закладке «Серверы имен». Если серверов не хватает, добавляем их туда. Желательно делать это с помощью «Обзора». Все. Осталось разрешить динамическое обновление, чтобы клиентские машины регистрировались в этой зоне, хотя можно обойтись и без этого.

    2.5 Настройки внутренней сетевой компьютера с Winroute:

    ip 192.168.0.1 — IP-адрес компьютера с Winroute
    mask 255.255.255.0 — маска
    dns 192.168.0.100 — в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC)

    Шлюз НЕ указываем!

    Настройки внешней сетевой:

    ip 80.237.0.99
    mask 255.255.255.240
    gate 80.237.0.97 — в качестве шлюза указываем IP-адрес шлюза, данный провайдером
    dns 192.168.0.100 — в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC)

    Альтернативный DNS-сервер не указываем! Он у нас имеется в пересылке.

    2.6 Настройки клиента:

    ip 192.168.0.2
    mask 255.255.255.0
    gate 192.168.0.1 — в качестве шлюза указываем IP-адрес компьютера с Winroute
    dns 192.168.0.100 — в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC)

    2.7 Для проверки на клиенте следует выполнить команды:

    Если в результате выполнения всех вышеперечисленных команд нет сообщений об ошибках — значит все у вас получилось.

    Источник

    

    Как добавить шлюз в DHCP на Windows Server 2008 R2.

    Когда я разворачивал DHCP на домен контроллере, я не настроил шлюз для систем которые будут входить в домен polygon.local. Чтобы это поправить следует зайти на домен контроллер под учетной записью ekzorchik (состоит в группе Domain Admins). Далее запустить оснастку DHCP:

    «Start» – «Control Panel» – «Administrative Tools» – «DHCP»

    Открываем текущий домен контроллер dc1.polygon.local, после разворачиваем IPv4, переходим в Scope Options, после вызываем меню “Configure Options…

    См. на скриншот, чтобы понимать, что нужно сделать:

    В меню Scope Options выбираем пункт 003 Router и назначаем IP адрес 10.0.3.15 в качестве шлюза .

    Шлюз добавил, нажимаем Apply и Ok для зафиксирования изменений, а после закрываем оснастку DHCP.

    Чтобы настройки применились, следует перезапустить службу DHCP :

    C:\Windows\system32>net stop DHCPServer

    The DHCP Server service is stopping.

    The DHCP Server service was stopped successfully.

    C:\Windows\system32>net start DHCPServer

    The DHCP Server service is starting…

    The DHCP Server service was started successfully.

    Проверим внесённые изменения на рабочей станци и

    (Windows XP – WXP86.polygon.local) входящей в домен:

    C:\Documents and Settings\test\ipconfig

    Пошаговое руководство по настройке шлюза продемонстрировано. На этом всё, удачи.

    Источник

    Установка и использование Remote Desktop Gateway

    В данном руководстве мы рассмотрим развертывание роли шлюза удаленных рабочих столов (Remote Desktop Gateway или RDG) на отдельном сервере с Windows Server 2019. Действия будут аналогичны для Windows Server 2012 и 2016 (даже, в основных моментах, 2008 R2). Предполагается, что в нашей инфраструктуре уже имеются:

    1. Служба каталогов Active Directory — настроено по инструкции Как установить роль контроллера домена на Windows Server.

    Пошагово, мы выполним следующие действия:

    Установка роли

    Открываем Диспетчер серверов:

    Переходим в УправлениеДобавить роли и компоненты:

    При появлении окна приветствия нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):

    На страницы выбора типа установки оставляем выбор на Установка ролей или компонентов:

    Выбираем целевой сервер — если установка выполняется на сервере локально, то мы должны увидеть один сервер для выбора:

    Ставим галочку Службы удаленных рабочих столов:

    Дополнительные компоненты нам не нужны:

    . просто нажимаем Далее.

    На странице служб удаленных рабочих столов идем дальше:

    Выбираем конкретные роли — нам нужен Шлюз удаленных рабочих столов. После установки галочки появится предупреждение о необходимости поставить дополнительные пакеты — кликаем по Добавить компоненты:

    Откроется окно для настроек политик:

    . нажимаем Далее.

    Откроется окно роли IIS:

    . также нажимаем Далее.

    При выборе служб ролей веб-сервера ничего не меняем:

    В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется:

    Нажимаем Установить:

    Дожидаемся окончания установки роли:

    Сервер может уйти в перезагрузку.

    Настройка RDG

    Для настройки Microsoft Remote Desktop Gateway мы создадим группу компьютеров в Active Directory, настроим политику для RDG и создадим сертификат.

    Создание групп для терминальных серверов

    Политика ресурсов позволит задать нам конкретные серверы, на которые терминальный шлюз позволит нам подключаться. Для этого мы откроем консоль Active Directory — Users and computers (Пользователи и компьютеры Active Directory) и создаем группу:

    * в данном примере мы создаем группу All terminals в организационном юните Servers Group. Это группа безопасности (Security), локальная в домене (Domain local).

    Добавим в нашу группу терминальные серверы:

    * в данном примере у нас используются два сервера — Terminal-1 и Terminal-2.

    Закрываем консоль Active Directory — Users and computers.

    Настройка политик

    Для предоставления доступа к нашим терминальным серверам, создадим политики для подключений и ресурсов.

    В диспетчере сервера переходим в СредстваRemote Desktop ServicesДиспетчер шлюза удаленных рабочих столов:

    Раскрываем сервер — кликаем правой кнопкой по Политики — выбираем Создание новых политик безопасности:

    Устанавливаем переключатель в положении Создать политику авторизации подключений к удаленным рабочим столам и авторизации ресурсов удаленных рабочих столов (рекомендуется):

    Даем название политике:

    Задаем параметры авторизации:

    * мы указали, что пользователи должны подтверждать право вводом пароля, также мы указали, что для применения политики они должны принадлежать группе Domain Users.

    В следующем окне есть возможность настроить ограничения использования удаленного рабочего стола. При желании, можно их настроить:

    * в нашем случае ограничений нет. При необходимости, устанавливаем переключатель в положение Отключить перенаправление для следующих типов клиентских устройств и оставляем галочки пункты для ограничений.

    Далее настраиваем временные ограничения использования удаленного подключения. Если в этом есть необходимость, оставляем галочки в состоянии Включить и указываем количество минут, по прошествии которых сеанс будет отключен:

    В следующем окне мы увидим вне введенные настройки:

    Откроется страница создания политики для авторизации ресурса — задаем для нее название:

    Указываем группу пользователей, для которой будет применяться политика:

    * как и при создании первой политики, мы добавили группу Domain Users.

    Теперь выбираем группу ресурсов, на которую будет разрешен доступ со шлюза терминалов:

    * мы выбрали группу, созданную нами ранее в AD.

    Указываем разрешенный для подключения порт или диапазон портов:

    * в данном примере мы разрешим подключение по порту 3389, который используется по умолчанию для RDP.

    Нажимаем Готово:

    Политики будут созданы.

    Настройка сертификата

    Для работы системы нам необходим сертификат, который можно купить или получить бесплатно от Let’s Encrypt. Однако, с некоторыми неудобствами, будет работать и самоподписанный. Мы рассмотрим вариант настройки с ним.

    Запускаем «Диспетчер шлюза удаленных рабочих столов» — кликаем правой кнопкой по названию нашего сервера — выбираем Свойства:

    Переходим на вкладку Сертификат SSL:

    Выбираем вариант Создать сомозаверяющий сертификат и кликаем по Создать и импортировать сертификат:

    Задаем или оставляем имя для сертификата — нажимаем OK:

    Мы увидим информацию о создании сертификата:

    Консоль диспетчера шлюза перестанет показывать ошибки и предупреждения:

    Сервер готов к работе.

    Подключение к серверу терминалов через шлюз

    Выполним первое подключение с использованием шлюза. В качестве клиентской операционной системы могут использоваться Windows, Linux, Mac OS. Рассмотрим пример на Windows 10.

    Запускаем «Подключение к удаленному рабочему столу» (приложение можно найти в Пуск или ввести команду mstsc). На вкладке Общие вводим локальное имя конечного сервера, к которому мы хотим подключиться:

    * в нашем случае мы будем подключаться к серверу terminal-1.dmosk.local.

    Переходим на вкладку Дополнительно и кликаем по Параметры:

    Переключаем параметр приложения в положение Использовать следующие параметры сервера шлюза удаленных рабочих столов и указываем внешнее имя сервера:

    * важно указать именно имя сервера, а не IP-адрес. В моем примере имя сервера rdp.dmosk.local (данное имя не является правильным внешним, но это только пример).

    Кликаем Подключить:

    Если мы используем самозаверенный сертификат, приложение выдаст ошибку. Кликаем по Просмотреть сертификат:

    Переходим на вкладку Состав и кликаем Копировать в файл:

    Указываем путь для выгрузки файла:

    Открываем папку, куда сохранили сертификат. Кликаем по сохраненному файлу правой кнопкой и выбираем Установить сертификат:

    Выбираем Локальный компьютерДалее:

    В качестве размещения сертификата выбираем Доверенные корневые центры сертификации:

    После снова пробуем подключиться к удаленному рабочему столу через шлюз:

    Система запросит логин и пароль для подключения (возможно, дважды) — вводим данные для учетной записи с правами на подключение (на основе настройки политики RDG).

    Настройка Remoteapp через Gateway

    Предположим, у нас есть опубликованное приложение Remoteapp и мы хотим подключаться к терминальному серверу через настроенный шлюз. Для этого открываем rdp-файл приложения на редактирование (например, блокнотом) и вносим в него изменения:

    • gatewayhostname:s:rdg.dmosk.local — добавленная строка. Настройка говорит, что если при подключении к серверу нужно использовать шлюз, то это должен быт rdg.dmosk.local.
    • gatewayusagemethod:i:1 — отредактированная строка. Указывает, что необходимо использовать шлюз.

    Несколько терминальных серверов и dns round robin

    При наличие нескольких серверов терминалов, мы можем создать несколько записей в DNS, чтобы получать по round robin разные серверы:

    Однако, при попытке подключиться к незарегистрированному серверу мы увидим ошибку:

    Для решения переходим в настройку шлюза — кликаем правой кнопкой по Политики авторизации ресурсов и выбираем Управление локальными группами компьютеров:

    Выбираем нужную группу компьютеров и нажимаем Свойства:

    * в моем случае это была единственная группа, созданная по умолчанию.

    На вкладке Сетевые ресурсы добавляем имя, созданное в DNS:

    Теперь подключение будет выполняться без ошибок.

    Возможные ошибки

    При подключении мы можем столкнуть со следующими ошибками.

    1. Учетная запись пользователя не указана в списке разрешений шлюза удаленных рабочих столов.

    Причиной является отсутствие пользователя, под которым идет подключение к шлюзу, в группе, которой разрешено использование политики. Для решения проблемы проверяем настройки политики — группы пользователей, которым разрешено использование политики и к каким ресурсам разрешено подключение. В итоге, наш пользователь должен быть в нужной группе, а терминальный сервер, к которому идет подключение должен быть указан в соответствующей группе ресурсов.

    2. Возможно, удаленный компьютер указан в формате NetBIOS (например, computer1), но шлюз удаленных рабочих столов ожидает полное доменное имя или IP-адрес (например, computer1.fabrikam.com или 157.60.0.1).

    Обращение к терминальному серверу выполняется по незарегистрированному имени. Необходимо проверить настройку в клиенте подключения или зарегистрировать ресурс, как мы это делали при настройке нескольких терминальных серверов.

    3. Сертификат шлюза удаленных рабочих столов просрочен или отозван.

    В данном случае нужно проверить, какой сертификат привязан к RDG. Также нужно убедиться, что привязанный сертификат, на самом деле, не просрочен или отозван. В крайнем случае, можно заново создать сертификат.

    Источник

  • Читайте также:  Как настроить мтс стрим