none
Не работает удаленный рабочий стол при настроенном ips RRS feed

  • Вопрос

  • Здравствуйте, подскажите почему невозможно зайти на сервер из интернета по rdp при активироврнном правиле для ipsec. ОС: Windows Server 2003 R2 Standart Edition на сервере установлен MS ISA Server 2006. При настройке пользовался ссылкой support.microsoft.com/?kbid=816514


    • Изменено switch.on 24 октября 2012 г. 3:59
    23 октября 2012 г. 23:17

Ответы

  • Вам правильно подсказали. Вы можете настроить на серверах туннельный режим IP Security и реализовать таким образом множественные защищенные связи между подсетями. Туннельный режим IPSec, по сути дела, вариант VPN. Для установки соединения аутентифицируются только компьютеры (по preshared key или по сертификатам, что более правильно), учетные записи пользователей не задействуются.

    Для того чтобы трафик IP Security проходил через ISA Server, вым придется настроить правила, разрешающие двусторонний трафик (Internet <-> Local Host) UDP по порту 500 и трафик для IP-протоколов 50 и 51 (это не порты, а протоколы!).

    Было бы идеально, если бы вы настроили такие связи, а только потом устанавливали ISA Server там, где он нужен.

    25 октября 2012 г. 7:44
    Модератор
  • ISA Server 2006 поддерживает IP Security protocol tunnel mode при создании site to site VPN, поэтому на компьютере с ISA Server вы можете воспользоваться мастером. Но, как я понял, у вас только в одном офисе установлен ISA Server, и вы не хотите замыкать на него весь сетевой трафик. Поэтому туннельный режим IP Security следует настраивать на серверах, обеспечивающих маршрутизацию сетевого трафика между офисами. Сразу скажу, что задача эта непростая и предусматривает множество шагов. В консоли RRAS следует настроить данные сервера в качестве маршрутизаторов. Настройка IPSec выполняется в Локальной политике безопасности - Политиках IP Security. Потребуется добавление статических маршрутов.

    Подробнее по настройке туннельного режива IPSec см.

    http://support.microsoft.com/kb/816514/en-us

    25 октября 2012 г. 10:35
    Модератор

Все ответы

  • А какой Authentication Method вы настроили - preshared keys, Kerberos или certificates?
    24 октября 2012 г. 6:32
    Модератор
  • Буквальная цитата из статьи, ссылку на которую вы дали:

    Kerberos is technically possible if both ends of the tunnel are in trusted domains, and  each trusted domain's IP address (IP address of a domain controller) is reachable on the network by both ends of the tunnel during IKE negotiation of the tunnel (before it is established). But this is rare.

    Если указанное утверждение неверно в вашем случае, прошу расписать детальную конфигурацию. А так, начните настройку аутентификации с preshared keys, затем переходите к сертификатам, что потребует доступности созданной вами инфраструктуры PKI как с сервера, так и с клиентского компьютера.

    24 октября 2012 г. 6:52
    Модератор
  • Можно ссылочку или подскажите, как сделать

    24 октября 2012 г. 6:56
  • Просто даже не представляю что в поисковике вводить
    24 октября 2012 г. 7:28
  • Поменял действия фильтра с "Согласовать безопасность" на "Разрешить", получил доступ на rdp. Но не проходит ping между компьютерами по статистическим ip. На обоих компьютерах Windows 2003 и MS ISA Server 2006.

    25 октября 2012 г. 1:58
  • Подскажите, может существует более легкий метод настройки  VPN соединения без дозвона (необходимо, чтобы 2сети с серверами на windows 2003 связывались через интернет, серверы имеют статический ip)



    • Изменено switch.on 25 октября 2012 г. 5:27
    25 октября 2012 г. 3:33
  • Поменял действия фильтра с "Согласовать безопасность" на "Разрешить", получил доступ на rdp. Но не проходит ping между компьютерами по статистическим ip. На обоих компьютерах Windows 2003 и MS ISA Server 2006.


    Если вы меняете действие фильтра на "Разрешить", вы отключаете IPSec, трафик больше не шифруется. Ping у вас может не проходить, т.к. не настроено соответствующее правило на ISA Server, а для трафика RDP вы его настроили.
    25 октября 2012 г. 6:06
    Модератор
  • Где настроить нужное правило для ISA?

    25 октября 2012 г. 6:13
  • Подскажите, может существует более легкий метод настройки  VPN соединения без дозвона (необходимо, чтобы 2сети с серверами на windows 2003 связывались через интернет, серверы имеют статический ip)



    Одна из конфигураций ISA Server как раз состоит в поддержке site to site VPN с использованием протоколов PPTP или L2TP. Настройка упрощена за счет использования мастера. Подробнее см. статьи

    http://www.isadocs.ru/articles/Creating-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part1html.html

    http://www.isadocs.ru/articles/Creating-Site-Site-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part2.html

    Или вы хотите наоборот избавиться от ISA Server, но тем не менее настроить VPN между офисами?

    25 октября 2012 г. 6:13
    Модератор
  • Создание учетной записи для входящих соединений VPN-шлюза в главном
    офисе

    Учетная запись создается на ISA-сервере главного офиса для того, чтобы
    брандмауэр филиала мог аутентифицироваться при создании соединения. Эта запись
    должна иметь такое же имя, как и интерфейс входящих соединений компьютера
    главного офиса. В дальнейшем мы настроим ISA-сервер филиала на использование
    этой учетной записи для создания VPN канала.

    -это цитата из вашей ссылки.

    Возможно ли сделать соединение без дозвона (постоянное включение) Дело в том, что необходимо связать между собой 4 сети, если сервер выйдет из строя, то все перестанет функционировать.Хотелось бы вариант, чтобы при выходе из строя сервера 1 сети, все остальные фунцционировали. Насколько мне объяснили, это возможно реализовать с помощью технологии ipsec. Или я ошибаюсь, это просто протокол проверки данных. А VPN соединение делается отдельно?

    25 октября 2012 г. 6:51
  • Вам правильно подсказали. Вы можете настроить на серверах туннельный режим IP Security и реализовать таким образом множественные защищенные связи между подсетями. Туннельный режим IPSec, по сути дела, вариант VPN. Для установки соединения аутентифицируются только компьютеры (по preshared key или по сертификатам, что более правильно), учетные записи пользователей не задействуются.

    Для того чтобы трафик IP Security проходил через ISA Server, вым придется настроить правила, разрешающие двусторонний трафик (Internet <-> Local Host) UDP по порту 500 и трафик для IP-протоколов 50 и 51 (это не порты, а протоколы!).

    Было бы идеально, если бы вы настроили такие связи, а только потом устанавливали ISA Server там, где он нужен.

    25 октября 2012 г. 7:44
    Модератор
  • Если ISA уже установлена, необходимо это правило сконфигурировать в ней или/и в другой службе?
    • Изменено switch.on 25 октября 2012 г. 8:34
    25 октября 2012 г. 8:34
  • ISA Server 2006 поддерживает IP Security protocol tunnel mode при создании site to site VPN, поэтому на компьютере с ISA Server вы можете воспользоваться мастером. Но, как я понял, у вас только в одном офисе установлен ISA Server, и вы не хотите замыкать на него весь сетевой трафик. Поэтому туннельный режим IP Security следует настраивать на серверах, обеспечивающих маршрутизацию сетевого трафика между офисами. Сразу скажу, что задача эта непростая и предусматривает множество шагов. В консоли RRAS следует настроить данные сервера в качестве маршрутизаторов. Настройка IPSec выполняется в Локальной политике безопасности - Политиках IP Security. Потребуется добавление статических маршрутов.

    Подробнее по настройке туннельного режива IPSec см.

    http://support.microsoft.com/kb/816514/en-us

    25 октября 2012 г. 10:35
    Модератор