none
Объединение 2 подразделений RRS feed

  • Вопрос

  •  

    Доброго времени суток!

     

    Имеем 2 подразделения фирмы: головной и удаленный офис. Имеется домен company.local. В обоих стоит ISA Server 2006.

    Между ними поднято подключение VPN Site-to-Site с соответсвующей маршрутизацией и правилами. Также в центральном подразделении установлена Traffic Quota. В основном подразделении сервер, на котором установлен ISA Server, входит в домен. В удаленном подразделении - нет (это всязано с тем, что VPN S-t-S поднимается очень долго), т.е. работает локально.

    Необходимо, чтобы пользователи домена удаленного подразделения ходили в интернет в соответствие с квотой, прописанной на сервере основного подразделения.

    Что для этого нужно? В настройках ISA Server удаленного подразделения указать LDAP сервер?

     

    С уважением,

    13 октября 2007 г. 8:36

Ответы

  • Сложность использования IAS (RADIUS) в том, что он больше заточен для авторизации VPN и RAS подлючений, и обрабатывает поданные ему данные. Кроме того в целях аудита он помещает любое событие (это отключается конечно) связанное с авторизацией в системный журнал, а т.к. прокси авторизация происходит при обращении к ресурсам интернет, журнал будет быстро заполнен. Кроме того, что бы удобнее было настраивать учетки, желательно, что бы сразу их написание сравнивалось с данными в AD, а это позволит только LDAP.

     

    Поэтому я и рекоммендую использовать LDAP и быстрее и полезной отдачи больше, я уж неговорю, что IAS будет автроизововать по открытому каналу (без шифрования).

    15 октября 2007 г. 11:58

Все ответы

  • Это скорее к ПО "Traffic Quota", оно из AD информацию берет...

     

    Авторизация используя LDAP и многое другое http://www.microsoft.com/technet/isa/2006/authentication.mspx

     

    LDAP всех проще и правельнее, на мой взгляд...

    13 октября 2007 г. 14:16
  •  Александр Щербаков написано:

     

    Доброго времени суток!

     

    Имеем 2 подразделения фирмы: головной и удаленный офис. Имеется домен company.local. В обоих стоит ISA Server 2006.

    Между ними поднято подключение VPN Site-to-Site с соответсвующей маршрутизацией и правилами. Также в центральном подразделении установлена Traffic Quota. В основном подразделении сервер, на котором установлен ISA Server, входит в домен. В удаленном подразделении - нет (это всязано с тем, что VPN S-t-S поднимается очень долго), т.е. работает локально.

     

    С уважением,

     

    У вас в удаленном офисе вообще нет домена AD?

     

     Александр Щербаков написано:

    прописанной на сервере основного подразделения.

    Что для этого нужно? В настройках ISA Server удаленного подразделения указать LDAP сервер?

     

    С уважением,

     

    Можно LDAP, можно IAS (RADIUS)

    15 октября 2007 г. 10:12
    Модератор
  • Сложность использования IAS (RADIUS) в том, что он больше заточен для авторизации VPN и RAS подлючений, и обрабатывает поданные ему данные. Кроме того в целях аудита он помещает любое событие (это отключается конечно) связанное с авторизацией в системный журнал, а т.к. прокси авторизация происходит при обращении к ресурсам интернет, журнал будет быстро заполнен. Кроме того, что бы удобнее было настраивать учетки, желательно, что бы сразу их написание сравнивалось с данными в AD, а это позволит только LDAP.

     

    Поэтому я и рекоммендую использовать LDAP и быстрее и полезной отдачи больше, я уж неговорю, что IAS будет автроизововать по открытому каналу (без шифрования).

    15 октября 2007 г. 11:58
  • 1 Если в удаленном офисе ISA server не входит в состав домена тогда невозможна работа с группами АД.

    2 Как будет различать ISA пользователей если они не имеют логин и паролей с точки зрения ISA удаленного.

    3 Как вариант. Перенаправление трафика из удаленного доступа и раздача интерента через центральный сервер.

    15 октября 2007 г. 12:23
  • 1. LDAP?

     

    2. Зачем тогда нужена авторизация RADIUS и LDAP??

     

    3. Правильно, и трафик дешевле получиться !-) в два раза

    15 октября 2007 г. 12:39
  •  

    1 Как? Если не секрет настроить работу ISA с использованием групп АД если он не увходит в состав домена.

    2 Отражается в первом вопросе

    3 Дешевизну трафика не гарантирую, но с точки зрения организации инфраструктуры интересное решение точнее с точки зрения организации работы.

    Работа пользоватьля в удаленном офисе будет напрямую передаватьсяв головной офис.

    Проще всего организовать с точки зрения правил потому что в первом случае можно забить на написание правил для второго удаленного ISA

    15 октября 2007 г. 12:54
  • Вот http://www.microsoft.com/technet/isa/2006/authentication.mspx там много чего полезного, а вообще полно веток по ISA со всяким рекоммендпциями и списками полезных ресурсов.

     

    Забивать вообще не рекоммендую, и есть ISA Enterpise в конце-концов !-)

    15 октября 2007 г. 13:04
  • Самое правильное не использовать "костыли", а строить полноценную инфраструктуру AD. Тогда все будет удобно и надежно.

    16 октября 2007 г. 9:22
    Модератор