首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA 2006 > How to :使用分支办公室 VPN 连接向导配置分支办公室与企业总部之间的连接
现在时间是: 2018-11-17 18:43
How to :使用分支办公室 VPN 连接向导配置分支办公室与企业总部之间的连接

(2006-09-17 21:25)

How to :使用分支办公室 VPN 连接向导配置分支办公室与企业总部之间的连接

 

对于企业中具有分支办公室的 IT 管理员来说,分支办公室和企业总部之间的连接是一个比较棘手的问题。目前大部分企业都是通过站点到站点 VPN 连接来实现分支办公室和企业总部的连接,ISA Server 以其强大的功能 、卓越的性能和人性化的配置界面,在站点到站点 VPN 连接部署中得到了极其广泛的应用。

最为困扰 IT 管理员的,不是选择什么连接方式,而是针对连接的管理。分支办公室中通常没有专门的 IT 管理员来管理网络连接,因此通常都是由企业总部的 IT 管理员 进行管理。通常情况下,IT 管理员在企业中部署 ISA Server 企业版,然后将分支办公室中的 ISA Server 连接到企业总部的配置存储服务器,从而接受企业总部 IT 管理员的集中管理。

现在的问题就变成了如何将分支办公室的 ISA Server 连接到企业总部的配置存储服务器。通常情况下,具有以下两种办法:

  1. 对外部网络(Internet)发布企业总部中的配置存储服务器,分支办公室中的 ISA Server 直接通过外部网络(Internet)访问企业总部中的配置存储服务器;

  2. 在分支办公室和企业总部之间创建站点到站点 VPN 连接,然后分支办公室中的 ISA Server 通过站点到站点 VPN 连接访问企业总部中的配置存储服务器;

由于第二种方式具有更低的安全风险,因此在企业网络中大量采用。但是此时又遇到一个先有鸡还是先有蛋的问题:如果没有安装 ISA Server ,就不能通过 ISA Server 建立站点到站点 VPN 连接;但是如果没有建立站点到站点 VPN 连接,就不能 正确安装 ISA Server ,该怎么办呢?

迫于无奈,许多企业的 IT 管理员只好先采用第一种方式,然后配置好站点到站点 VPN 后修改为第二种方式,或者直接在分支办公室中部署一台配置存储服务器 ,然后配置分支办公室中的 ISA Server 使用本地的配置存储服务器。当然,这都增加了 IT 管理成本。

微软 ISA Server 开发组敏锐的发现了这个问题。于是在 ISA Server 2006 企业版中增加了两个组件:分支办公室 VPN 连接向导应答文件创建向导应答文件创建向导允许企业总部的 IT 管理员根据某个分支办公室的远程站点创建一个应答文件,分支办公室 VPN 连接向导则可以根据此应答文件在对应的分支办公室的 ISA Server 计算机上进行以下操作:

  1. 创建和企业总部的站点到站点 VPN 连接;

  2. 加入企业总部中的域(可选,需要重启计算机);

  3. 将原本为使用本地配置存储服务器的 ISA Server 迁移到使用企业总部中的配置存储服务器 (可选);

  4. 卸载位于本地 ISA Server 计算机上的配置存储服务器 (和第3步一起进行,不可选)。

当分支办公室 VPN 连接向导完成操作后,分支办公室中的 ISA Server 通过站点到站点 VPN 连接到企业总部的配置存储服务器,从而可以接受企业总部 IT 管理员的集中管理。由于通过应答文件,这个过程基本是“零配置”;一切设置都可以从应答文件中读取,而不需要 人工交互。当然,这也并不是那么简单,你还需要完成其他的准备,比如需要预先在企业总部的 ISA Server 上创建站点到站点 VPN 连接、安装证书(如果身份验证需要)、正确配置分支办公室中的 ISA Server 以确保可以解析活动目录服务及配置存储服务器的域名等等。

这篇文章的试验网络结构如下图所示,企业总部网络的 IP 地址范围为 10.1.1.0/24 ,内部域为 ISACN.ORGSeattle 是域控制器; Boston 加入域 ISACN.ORG ,安装了 ISA Server 2006 企业版( ISA Server + CSS),作为边缘防火墙连接到 Internet ;分支办公室网络的 IP 地址范围为 10.2.1.0/24Hawaii 位于工作组环境,安装了 ISA Server 2006 企业版( ISA Server + CSS),作为边缘防火墙连接到 Internet 。在这个试验中,我将通过分支办公室 VPN 连接向导将 Hawaii 迁移到使用企业总部网络中的配置存储服务器(Boston),从而接受企业总部 IT 管理员的集中管理。

各计算机的 TCP/IP 配置如下所示:

Seattle.isacn.org(ISACN.ORG DC):

  • IP:10.1.1.8/24

  • DG:10.1.1.1

  • DNS:10.1.1.8

Boston.isacn.org(ISA Server + CSS):

外部网络接口:

  • IP:61.139.1.1/24

  • DG:61.139.1.1

  • DNS:None

内部网络接口:

  • IP:10.1.1.1/24

  • DG:None

  • DNS:10.1.1.8

 

Hawaii(ISA Server + CSS):

外部网络接口:

  • IP:61.139.1.2/24

  • DG:61.139.1.2

  • DNS:None

内部网络接口:

  • IP:10.2.1.1/24

  • DG:None

  • DNS:10.1.1.8

 

可能大家很奇怪,为什么 Hawaii 上的 DNS 服务器设置为企业总部网络中的 DC Seattle ?这是为以后做准备,在加入域及连接到配置存储服务器时,需要保证能够正确的解析域名,因此需要为 Hawaii 正确的配置 DNS 服务器。

这篇文章的试验步骤如下:

  • 在企业总部的 ISA Server 上创建到分支办公室的远程站点;

  • 在企业总部上使用应答文件创建向导根据到分支机构的远程站点创建应答文件;

  • 在分支办公室的 ISA Server 上使用分支办公室 VPN 连接向导通过应答文件完成迁移操作;



作者:风间子
责任编辑:风间子

[1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页>>
上一篇:How to :在 ISA Server 2006 中配置基于 LDAP 的身份验证
下一篇:How to :自定义 ISA Server 2006 中的登录表单
相关信息:

How to :在 ISA Server 2006 中发布 SharePoint 站点和使用单点登录
How to :配置 ISA Server 2006 中的站点到站点 VPN 连接
[公告]ISA Server 2006 RC 版本发布
How to :在 ISA Server 2006 中配置基于 LDAP 的身份验证
[Webcast]ISA Server 2006 勇攀高峰系列

热点信息 TOP 10
How to :自定义 ISA Server 2006 中的登录表单
How to :配置 ISA Server 2006 中的站点到站点 VPN 连接
How to :使用分支办公室 VPN 连接向导配置分支办公室与企业总部之间的连接
How to :在 ISA Server 2006 中发布邮件访问服务(OWA、MAPI和SMTP)
How to :在 ISA Server 2006 中发布 Web 服务
How to :在 ISA Server 2006 中配置基于 LDAP 的身份验证
ISA Server 2006 新特性介绍
How to :在 ISA Server 2006 中发布安全 Web 服务
ISA Server 2006 标准版和企业版架构的区别
How to :在 ISA Server 2006 中发布 SharePoint 站点和使用单点登录

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2018 All Rights Reserved..