none
ISA 2004 +DC RRS feed

  • Вопрос

  • Доброго времени суток!

    Есть задача: построить тунели из центрального офиса в филиалы, филиалы в других городах, каналы позволяют, все ОК. Обязательные условия - тунели должны быть ISA2004--ISA2004, при этом есть нюанс - сервер с ISA в филиале должен являться контроллером дочернего домена. (Я знаю, что это противоречит безопасности и здравому смыслу, но пока только так, к сожалению). Согласно методике, описанной Шиндером по установке ISA на DC сначала поднимается DC, затем уже ставится ISA. Это хорошо в том случае, если у вас один домен, а если поднимать дочерний домен, то при работе dcpromo ему очень хочется увидеть родительский домен, а тунеля у нас в этот момент еще нет. Как вариант - установить VPN-соединение до ISA в центральном офисе, поднять дочерний домен, затем установить ISA и поднять тунель. Попробовал, больше не хочу - DNS плющит и колбасит от такого счастья (допускаю, что сам что-то проглядел в процессе установки, но главная проблема в этом варианте - смена ip-адреса контроллера дочернего домена после поднятия тунеля)

    Теперь вопрос - можно ли (пробовал ли кто-нибудь) сначала установить ISA на сервер, поднять тунель, а затем уже поднять сервер до уровня DC и создать дочерний домен? Нет ли здесь каких-либо подводных камней? (очень не хочется еще раз экспериментировать)

    Заранее благодарен.

    6 декабря 2006 г. 8:38

Ответы

  • Так как Вы предлагаете не пробовал, но почему бы не провернуть следующую последовательность:

    1) поднять site-to-site VPN на RRAS

    2) поднять DC

    3) поставить ISA

     

    6 декабря 2006 г. 8:45
    Модератор

Все ответы

  • Так как Вы предлагаете не пробовал, но почему бы не провернуть следующую последовательность:

    1) поднять site-to-site VPN на RRAS

    2) поднять DC

    3) поставить ISA

     

    6 декабря 2006 г. 8:45
    Модератор
    1. Если вы собираетесь поднимать дочерний домен для каждого филиала,  то рекомендую вам ограничится все же одним доменом и сайтами, т.к. зарезервировать DC дочерних доменов вам не светит как видно, а "чиститься" от убитых поддоменов неприятно.
    2. Вариант решения вашей задачи: поставить MS Virtual Server 2005 (или VMWare), а под ним запустить две виртуальные машины с DC и с ISA.
    6 декабря 2006 г. 9:21
    Модератор
  • По-моему это бред для каждого филиала создавать свой дочерний домен. У вас что разные политики безопасности для них и это требует создание каждый раз нового домена? Делайте один домен. Все контроллеры поднимите в главном офисе. Настройте сайты и ИСУ там же, потом просто перевезите на новое место и подключите. Гемора никакого.
    6 декабря 2006 г. 12:00
  • Спасибо всем, кто откликнулся, некоторые вопросы и дополнения:

    to Alexander Trofimov: со стороны филиала нет проблем подняь тунель на RRAS, вопрос не будет ли проблем с ISA в центальном офисе? (В смысле не воспротивится ли она, что на этом же сервере будет поднят тунель на RRAS, опять же ни разу не пробовал так делать, просто где-то мимо пролетала информация, что возможны проблемы при таком варианте, в любом случае это пока самое приемлимое решение, буду пробовать)

    to sie and to Ivanov Alex: дочерние домены входят в условие задачи, это не обсуждается, равно как и бред про ISA+DC на одном сервере, увы. Виртуальные машины не потянут, к сожалению, мне даже стыдно рассказать, какое там железо :-)

    7 декабря 2006 г. 19:43
  • В центре же стоит уже ISA? Ну и пусть стоит. Туннель поднять между ISA в центре и RRAS в филиале. Вроде делал как-то - проблем не должно быть.
    8 декабря 2006 г. 6:44
    Модератор