none
Доступ к сети Интернет для доменной сети RRS feed

  • Вопрос

  • Добрый день!

    Подскажите, пожалуйста, каким образом лучше всего организовать контролируемый доступ к сети Интернет для доменной сети на базе Windows Server 2019 для ~ 150 рабочих машин, находящихся в одном здании и в одной локальной сети? Нужно иметь возможность отслеживать и регулировать скорость доступа, ресурсы, часы работы, аутентификацию (в том числе и через веб - например подобно radius сервер + mikrotik hotspot). Аутентификация пользователей должна проходить через Active Directory.

    Будет замечательно, если Вы меня просто направите на нужные технологии, т.к. я уже немного запутался. Мы раньше работали на Windows Server 2003 без домена и был простенький аппаратный интернет-шлюз. Теперь переходим на современные технологии. Я единственный "компьютерщик" в организации (притом программист, а не сисадмин) и спросить совета совсем не у кого.

    Спасибо большое!

    19 декабря 2019 г. 9:08

Ответы

  • Можете ещё на PFSense посмотреть.

    И также ещё важно не забыть об обеспечении отказоустойчивости вашей инфраструктуры. Т.е. 2 хоста Domain Controller, 2 хоста NPS (Radius, можно совместить с DC) и т.п.

    19 декабря 2019 г. 10:43
  • Доменная от не доменной сети отличается тем что вы можете управлять настройками клиентов из одного места, вместо хождения по 150 компам и правками чего бы то ни было руками. 

    За управление интернетом традиционно отвечает proxy сервер, которых в сети есть огромное множество, но МС свой аналогичный продукт свернула (довольно давно), поэтому выбирать приходится из продуктов других фирм.

    Есть опенсорс решения по типу squid (со всеми плюсами и минусами опенсорса), или вагон програмных и аппаратных решений с красивым и понятным интерфейсом (а некоторые еще и работают стабильно)

    Шейпер (ограничение скорости), как правило является отдельным но доступным модулем.

    Советы по платным фирмам будут чем-то средним между вкусовщиной и рекламой. Главное на что следует обращать внимание это поддержка продукта, так как он закрыт и никто кроме вендора его починить будет не в силах. Смотрите отзывы и форумы о том какие проблемы возникают и как быстро их решают.


    The opinion expressed by me is not an official position of Microsoft

    19 декабря 2019 г. 9:40
    Модератор

Все ответы

  • Доменная от не доменной сети отличается тем что вы можете управлять настройками клиентов из одного места, вместо хождения по 150 компам и правками чего бы то ни было руками. 

    За управление интернетом традиционно отвечает proxy сервер, которых в сети есть огромное множество, но МС свой аналогичный продукт свернула (довольно давно), поэтому выбирать приходится из продуктов других фирм.

    Есть опенсорс решения по типу squid (со всеми плюсами и минусами опенсорса), или вагон програмных и аппаратных решений с красивым и понятным интерфейсом (а некоторые еще и работают стабильно)

    Шейпер (ограничение скорости), как правило является отдельным но доступным модулем.

    Советы по платным фирмам будут чем-то средним между вкусовщиной и рекламой. Главное на что следует обращать внимание это поддержка продукта, так как он закрыт и никто кроме вендора его починить будет не в силах. Смотрите отзывы и форумы о том какие проблемы возникают и как быстро их решают.


    The opinion expressed by me is not an official position of Microsoft

    19 декабря 2019 г. 9:40
    Модератор
  • Понял, спасибо большое!

    Я тестировал такую схему - Active Directory с пользователями + Radius, подключенный к домену + mikrotik hotspot с аутентификацией через Radius. На тестовом стенде схема работает.

    Но засомневался - а вдруг есть продукт Microsoft (ведь раньше был ISA, Forefront и проч.), да и обилие программных / программно-аппаратных решений смутила - цена весьма разная и, нередко, высокая. Вот и подумал - может быть коллеги используют некоторую распространенную схему (вроде best practice в программировании)?

    Но, насколько я понял, нужно выбирать просто из имеющихся потребностей, отзывов и проч. нужный продукт и его ставить.

    Спасибо еще раз!

    19 декабря 2019 г. 9:50
  • ISA канула в лету много лет назад и нового продукта на смену не появилось. Ваша схема с радиусом решает вопрос подключения к сети быстро и безопасно, но не самым оптимальным путем (имхо) решает вопрос с интернетом. На микротике у вас тоже есть шейперы и скорость вы можете резать на них, но прокси дает то самое удобство управления из 1 точки, а так же анализа статистики и пр. + Прокси может быть кеширующим, чем может снижать траффик, может проверять содержимое (например блокировать порносайты и загрузку фильмов)

    Я стыкался со сквидом по win и linux (последний обновляется чаще и под него есть уйма плагинов): минусы - интерфейс которого нет, и конфигурационные файлы, плюсы - дешево и сердито

    и с аппаратным комплексом от mcafee: дорого и пафосно (этим добром занимался не я)


    The opinion expressed by me is not an official position of Microsoft

    19 декабря 2019 г. 10:06
    Модератор
  • Можете ещё на PFSense посмотреть.

    И также ещё важно не забыть об обеспечении отказоустойчивости вашей инфраструктуры. Т.е. 2 хоста Domain Controller, 2 хоста NPS (Radius, можно совместить с DC) и т.п.

    19 декабря 2019 г. 10:43
  • Да, дублирование мы предусмотрели - как раз второй сервер ждем. PFSense пробовал - в целом он похож на наш прошлый интернет-шлюз и по интерфейсу, и по возможностям. Но вот стабильность и скорость работы показалось недостаточной - были проблемы на тестовой площадке (периодически на пару секунд пропадал доступ в Интернет, иногда падала скорость). Возможно я что-то неверно сконфигурировал и поэтому получил такой результат. А вот Mikrotik хорошо заработал сразу. Опять же, RouterOS тоже весьма похожа на PFSense - интерфейс, правда, не столь красивый)
    19 декабря 2019 г. 11:37