Навигация
Системное Администрирование Решения на открытых кодах Структура сети Компьютерные сети малых предприятий Сеть с централизованным управлением Управление с помощью групповых политик Организация почтового обслуживания Взаимодействие с глобальной сетью Безопасность Виртуализация Парядок настройки и определения неисправностей Средства управления системами Автоматизация установки программного обестичения Решение проблем с компьютером Разное
 
 
Избранное
Pathping. Traceroute на стероидах.
FreeNAS: создаём сетевое хранилище (NAS)
Iperf - утилита для тестирования пропускной способности сети.
Средство против «сетевой слепоты»
Преимущества и недостатки RAID 6
Дисковые массивы RAID
Надежнее, чем RAID 5
Унификация корпоративных коммуникаций
Exchange и SAN: не все так просто
Cisco против Meru
 
 
Взаимодействие с глобальной сетью - Настройка безопасного подключения одного филиала к другому
Многие организации имеют несколько территориально разделенных площадок, которые должны работать в составе единой компьютерной сети. Безопасное соединение таких локальных сетей можно выполнить с помощью VPN-канала, создание которого в этом случае имеет некоторые особенности.
Во-первых, такое подключение должно устанавливаться автоматически и автоматически же восстанавливаться в случае разрыва. Во-вторых, через такое соединение должны передаваться пакеты не только на компьютер, осуществивший подключение, но и для всей удаленной сети. Подобный вариант подключения носит название интерфейса по требованию (dial-in-интерфейса).

Создание интерфейса по требованию осуществляется мастером. Достаточно выбрать в меню RRAS опцию создания нового интерфейса по требованию, дать ему имя, указать параметры учетной записи, с помощью которых будет осуществляться подключение к другому серверу, и ввести параметры удаленной сети для создания статической маршрутизации.

Система отличает подключение удаленного пользователя от подключения интерфейса по требованию только по имени пользователя, выполняющего эту попытку. Поэтому при настройке подключений двух сетей имя подключающегося пользователя должно совпадать с названием интерфейса. То есть на сервере с интерфейсом по требованию с именем int1 должен быть указан пользователь int2 для подключения к удаленному интерфейсу по требованию с именем int2. А на другом сервере — int1.

В Windows 2000 после создания интерфейса по требованию необходимо вручную задать в RRAS статические маршруты, которые будут включаться при подсоединении этого интерфейса. Для этого выделите заголовок Static Route, вызовите команду создания статических маршрутов, выберите интерфейс по требованию и введите параметры удаленной сети. Эту операцию следует выполнить с обеих сторон канала связи офисов.

Другие настройки подключений интерфейсов по требованию (должно ли соединение инициироваться сервером или ему следует только ожидать попытки подключения, время "простоя", после которого можно разъединять связь, или необходимость постоянного соединения и т. п.) достаточно очевидны и легко настраиваются через консоль управления сервером RRAS.

На рынке представлено много оборудования, специализированного на создании и поддержании VPN как подключений для удаленных пользователей, так и в Windows 2003 Server параметры статической маршрутизации интерфейса по требованию вводятся в процессе работы мастера создания интерфейса.

Аппаратное решение более производительно и требует меньше внимания от администратора. Стоимость использования VPN Router обычно соответствует цене операционной системы вместе с программой межсетевого экрана (в случае официального приобретения). Учитывая стабильную работу канала, создаваемого таким оборудованием, данные варианты VPN-подключений можно рекомендовать для организации безопасных связей между центральным и удаленными офисами. В случае разрыва канала... Удаленные офисы небольших предприятий обычно укомплектованы всего лишь несколькими компьютерами. В этом случае размещение в удаленном офисе контроллера домена не оправдано как экономически, так и по соображениям безопасности (поскольку в филиале обычно невозможно установить особый порядок доступа к серверу). При этом перед администраторами стоит задача обеспечить совместную работу филиала с центральным офисом. Достаточно часто качество канала связи с центральным офисом (Интернетом) оставляет желать лучшего; в результате при обрыве связи удаленные пользователи теряют возможность доступа к ресурсам не только главного офиса, но и к локальным (документы, хранимые в папках совместного доступа на компьютерах других сотрудников филиала, локальный принтер и т. п.), если для доступа к ресурсам применяются доменные учетные записи.

Существуют два возможных пути решения данной проблемы. Первый — это создание на удаленных компьютерах локальных учетных записей, совпадающих по имени с доменными и имеющими тот же пароль, что в домене. В этом случае при обрыве связи и недоступности контроллера домена доступ к ресурсам на других компьютерах будет осуществляться по локальным учетным записям. Недостаток этого варианта состоит в том, что необходимо постоянно синхронизовать учетные записи домена и локальных компьютеров в случае смены паролей пользователей.

Второй путь — размещение таких ресурсов филиала (общие папки, принтер) на терминальном сервере. Поскольку в новых версиях Windows существует кэширование параметров последних входов пользователя, то при обрыве связи пользователь сможет войти на терминальный сервер без наличия подключения к контроллеру домена, используя параметры последнего входа, хранимые в кэше. Однако подключиться к совместно используемым папкам на других компьютерах будет невозможно.


 
 
 
 
Поиск по сайту
Google Поиск


Яндекс поиск
 
 
Полезное
 
 
 
 
 
systemzone.ru 2014