Самоучитель
системного администратора

5.3. Удаленная работа

С повышением мобильности пользователей все чаще возникает необходимость обеспечить удаленный доступ к определенным ресурсам и реализовать полноценную работу в составе корпоративной сети. При этом администратору приходится решить несколько задач:

  • обеспечить безопасное подключение к компьютерной сети организации (через публичные сети — Интернет или через модем);
  • обеспечить приемлемую производительность для удаленных пользователей при работе по достаточно медленным каналам связи.

Удаленное подключение пользователей

Удаленный пользователь может подключиться к корпоративной сети двумя способами: через модемное подключение к одному из компьютеров сети или через общедоступные сети (Интернет). В обоих случаях это решение реализуется через настройку сервера удаленного доступа и маршрутизации (RRAS). При модемном подключении пользователь создает физический канал связи с RRAS, при работе из Интернета реализуется логическое подключение к RRAS через VPN (Virtual Private Network, виртуальная частная сеть).

Прием входящих подключений

Обеспечить подключение внешнего пользователя к системе можно как для рабочей станции, так и для сервера. Обычно практическое значение имеют два варианта: подключение через сеть Интернет и подключение через модем на данном компьютере.

Настройка рабочей станции

На прием входящих модемных соединений можно настроить рабочие станции Windows. Например, если вы хотите скопировать файлы с компьютера своего приятеля или поиграть с ним в сетевую игру, то совсем не обязательно создавать такое подключение через провайдера Интернета: достаточно один компьютер настроить для приема входящих соединений, а на другом использовать обычный вариант подключения к внешней сети.

Для создания входящего соединения следует запустить мастер создания новых подключений и выбрать опцию Установить прямое подключение к другому компьютеру. На следующем шаге необходимо включить опцию Принимать входящие соединения и отметить устройство, через которое будет осуществляться подключение. На завершающем этапе следует установить разрешения для тех пользователей, которые будут подключаться к данной системе.

Настройка сервера

При наличии подключенного модема после активизации сервера RRAS никаких дополнительных настроек администратора не требуется. Необходимые порты подключения модема создаются автоматически. Возможность доступа пользователей во внутреннюю сеть при таком подключении определяется политиками сервера RRAS (или службы RADIUS) — см. разд. "Политики подключений” далее в этой главе.

VPN

VPN (Virtual Private Network, виртуальная частная сеть) представляет собой способ расширения локальной компьютерной сети за счет включения в нее удаленных компьютеров через общедоступные сети. При подключении по VPN удаленный компьютер становится как бы участником локальной сети. Данные, которые должны быть переданы по VPN через открытые каналы связи, предварительно шифруются, "вкладываются" (инкапсулируются) в обычные пакеты и пересылаются серверу корпоративной сети. Все эти процессы происходят незаметно для пользователя. Внешнее впечатление такое, что создан специальный канал связи с корпоративной сетью и компьютер напрямик подключен к локальной сети.

Такой канал связи, предусматривающий инкапсулирование данных и их шифрование в процессе передачи, называется VPN-соединением. При работе по VPN на компьютере создается новое подключение к сети со своими параметрами настройки IP-протокола: IP-адрес из состава корпоративной (локальной) сети, данные внутренних DNS-, WINS-серверов и т. п. В качестве шлюза по умолчанию для компьютера при этом указывается шлюз удаленной локальной сети.

На практике используются различные варианты организации VPN-каналов. Вы можете просто купить "готовый канал VPN" (такие услуги предлагаются провайдерами, но они весьма дороги и используются только при подключении офисов) или использовать встроенные опции маршрутизаторов (если оборудование доступа в Интернет позволяет создавать входящие VPN-подключения). Однако наиболее простым и дешевым вариантом является создание программных VPN-подключений на базе операционных систем Linux или Windows.

    Примечание

    VPN-канал можно применять в рамках одной локальной сети при подключении отделов, работающих с особо конфиденциальной информацией. Так, можно связать, например, отдел кадров и бухгалтерию для передачи данных о доходах сотрудников.

Настройки входящих VPN-подключений для Windows

Входящее VPN-подключение можно создать как для рабочей станции Windows, так и для серверной операционной системы. Следует отметить, что на рабочей станции одновременно может быть задействовано только одно подключение.

Настройка VPN-подключения на базе операционной системы рабочей станции

В качестве примера рассмотрим процесс настройки операционной системы Windows для организации возможности приема удаленных VPN-подключений. Можно выполнить одно подключение по любому из следующих интерфейсов: модемное соединение (рис. 5.12), инфракрасный порт, параллельный порт.

Рис. 5.12.
Настройка параметров входящего подключения в Windows

Создание VPN-подключения выполняется при помощи мастера новых подключений в следующей последовательности:

  1. В мастере создания новых подключений выберите вариант Установить прямое подключение к другому компьютеру.
  2. Отметьте, что соединение должно обрабатывать входящие соединения (опция Принимать входящие подключения).
  3. На вкладке о VPN-подключениях укажите, что вы хотите разрешить VPN-подключение, и выберите пользователей, которым будет разрешено использовать данное подключение.
  4. На вкладке программного обеспечения в меню определения свойств IP-протокола настройте опции подключения удаленных пользователей к локальной сети: либо только к данному компьютеру (нужно снять флажок Разрешить звонящим доступ к локальной сети), либо ко всем компьютерам локальной сети (флажок установить). Также нужно определить параметры TCP/IP-протокола, которые будут использованы внешним клиентом. Адрес, получаемый VPN-клиентом, должен входить в подмножество адресов внутренней сети; как правило, на компьютерах сети в качестве шлюза используется адрес сетевой карты внутреннего интерфейса VPN-сервера.

Настройка VPN-подключений на базе серверной операционной системы

VPN-доступ в серверных операционных системах реализуется через службу RRAS. Администратору необходимо добавить столько портов для VPN-подключений, сколько потребуется в работе организации. Эта операция выполняется либо с помощью мастера настройки RRAS, либо вручную — простым добавлением нужного числа портов.

На практике обычно совмещают межсетевой экран и сервер входящих подключений по VPN. И создание входящих сессий в этом случае производится по правилам программного обеспечения межсетевого экрана.

VPN-подключения и межсетевые экраны

На практике могут быть реализованы различные варианты расположения VPN-сервера и межсетевого экрана организации. Можно расположить VPN-сервер за межсетевым экраном, внутри локальной сети, тогда МСЭ будет перенаправлять весь VPN-поток на локальную систему. Это является безопасным решением, поскольку на сервере VPN производится аутентификация пользователя и несанкционированные данные просто отбрасываются.

Если расположить VPN-сервер перед межсетевым экраном, то необходимо выполнить настройку МСЭ, разрешающую пересылку пакетов с VPN-сервера внутрь локальной сети.

Фильтрация трафика VPN

В системах Windows VPN-канал создается службой маршрутизации и удаленного доступа. Поскольку RRAS проводит аутентификацию пользователя, то весь VPN-трафик безопасно может быть перенаправлен на такой сервер. Для обеспечения безопасности сервера (предотвращения атак на другие службы) в этом случае достаточно установить фильтры, которые пропускают к нему только трафик VPN и отсекают иные пакеты.

Подобную настройку легко выполнить штатными средствами, не устанавливая дополнительно программы межсетевого экрана. Следует настроить следующие фильтры на интернет-интерфейсе сервера:

  • для подключения по протоколу PPTP:
    • по умолчанию игнорировать все пакеты, кроме явно разрешенных (drop all packets except those that meet the criteria below);
    • разрешить IP-протокол на порт 1723 (разрешает передачу управляющего трафика PPTP);
    • разрешить IP-протокол с идентификатором 47 (разрешает передачу данных по РРТР);
    • разрешить IP-протокол на порт 1723 в варианте TCP [established] (настройка нужна, если инициатором соединения выступает сам VPN-сервер);
  • для подключения по протоколу L2TP:
    • по умолчанию игнорировать все пакеты, кроме явно разрешенных;
    • разрешить пакеты на UDP-порт номер 500;
    • разрешить прохождение протокола с идентификатором 50;
    • разрешить пакеты на UDP-порт номер 1701.

Не забывайте, что для обоих фильтров необходимо разрешить прохождение как входных пакетов, так и соответствующих симметричных выходных.

Настройки клиентов для подключения по VPN

Настроить VPN-подключение к сети предприятия можно в любых операционных системах клиента. Но, например, каждая версия Windows имеет некоторые отличия по созданию VPN-канала. В последних версиях (Windows XP, Windows 2000) данная операция выполняется с помощью мастера подключений.

Чтобы создать VPN-подключение к удаленной сети организации, достаточно вызвать задачу создания нового подключения и в мастере установок отметить вариант подключения к корпоративной сети, после чего просто ответить на запросы мастера.

    Примечание

    Если параллельно с работой в корпоративной сети необходимо организовать использование Интернета (или доступ в иные сети) не через сеть организации, то в дополнительных настройках параметров подключения по VPN следует отключить применение шлюза по умолчанию из сети организации.

Действующий канал VPN будет отображаться пиктограммой еще одного сетевого соединения.

Политики подключений

Администраторы имеют возможность регулировать параметры доступа удаленных клиентов в локальную сеть.

    Примечание

    Описываемые политики доступа определяют одновременно как возможность подключения по модему, так и создание VPN-подключения.

При использовании RRAS настройки доступа выполняются путем задания расписания входящих соединений (когда можно и когда нельзя устанавливать подключение) и путем политики подключений. На каждом сервере RRAS применяются свои политики доступа. При этом в домене не существует возможности централизации этих настроек. Точнее, администратор не может централизованно управлять политиками доступа RRAS. Но он может создать на каждом сервере RRAS одинаковые политики, определяющие права доступа к локальной сети в зависимости от членства в доменных группах, после чего централизованно настраивать доступ путем изменения состава этих групп. То есть если в организации имеется несколько точек доступа, то настраивать каждую из них следует индивидуально.

Возможный выход — это установка службы IAS (Internet Authentication Service). IAS — это реализация сервера RADIUS (Remote Authentication Dial-In User Service) на платформе Microsoft. RADIUS традиционно используется многими интернет-провайдерами для аутентификации подключаемых к сети пользователей. После установки IAS достаточно в настройках каждого сервера RRAS указать использование этой службы (в целях резервирования обычно настраиваются основной и резервный серверы IAS). Таким образом, все серверы удаленного доступа при попытках подключения пользователей будут обращаться к одному серверу IAS, а настраивать одну политику доступа гораздо удобнее, чем постоянно заботиться об идентичности параметров различных серверов.

Варианты аутентификации пользователей

Существуют различные варианты проверки данных пользователей, пытающихся осуществить подключение к локальной сети. По умолчанию используются безпасные методы, предполагающие как шифрование пароля пользователя, так и шифрование передаваемых данных. Вряд ли администратору придется разрешать менее безопасные варианты, предусмотренные в целях совместимости с предыдущими версиями клиентов.

Самым безопасным способом аутентификации пользователя является использование смарт-карт (или их аналогов). Если имеется техническая возможность, следует использовать только этот вариант подключения, для чего в политике RRAS (или IAS) указать среди вариантов аутентификации пользователей только протокол расширенной проверки подлинности (Extensible Authentication Protocol, EAP).

Разрешения на подключения

По умолчанию политика RRAS не разрешает подключения к сети предприятия ни одному пользователю. В этом случае используются права доступа, прописанные в настройках каждого пользователя, а по умолчанию пользователи создаются без наличия права создания подключения.

Если администратор сохраняет политику подключения по умолчанию, то он должен индивидуально выдать разрешения пользователям на подключение к локальной сети. Для этого необходимо установить параметр разрешения доступа на вкладке настройки входных звонков профиля пользователя.

Другой способ разрешения состоит в создании собственных политик доступа, в которых право подключения предоставляется либо определенным пользователям, либо их группам. Создание и редактирование новой политики подключения не представляет никакой сложности и легко может быть выполнено любым специалистом.

Удаленное подключение к Linux

Linux изначально является многопользовательской системой с возможностью удаленного подключения и исполнения команд. Для него не требуется никаких дополнительных программ или режимов.

Наиболее безопасным способом удаленной работы с Linux является использование протокола OpenSSH. Создаваемое подключение в этом случае шифруется и данные недоступны для злоумышленника.

Чтобы иметь возможность такого подключения, на Linux должен быть запущен OpenSSH-сервер, а само подключение следует выполнять любым клиентом, поддерживающим SSH-протокол.

OpenSSH-сервер

OpenSSH-сервер входит в поставку операционной системы. Вам необходимо убедиться, что сервер SSH установлен и находится в режиме автоматической загрузки. Обычно установка SSH-сервера выбирается на этапе первичной инсталляции системы, так что администратору необходимо только уточнить параметры, используемые для подключения (как правило, более ужесточить по сравнению с параметрами по умолчанию).

Настройки сервера следует провести в соответствии с особенностями используемого вами дистрибутива Linux. Более никаких специальных действий выполнять не требуется.

Подключение SSH-клиента

Существуют различные версии SSH-клиентов, разработанных как для Linux, так и для Windows. Использование SSH в принципе не отличается от работы в режиме telnet, но выполняется по шифрованному каналу.

При первом подключении к Linux программа запросит вашего согласия на включение удаленного хоста в число доверенных систем. При желании вы можете предварительно скопировать ключ хоста Linux для использования в программе SSH-клиента. В этом случае можно при подключении использовать вместо пароля этот ключ.

Использование графических утилит для подключения к Linux

SSH-подключение обеспечивает работу с Linux-системой в режиме консоли (командной строки). Опытным администраторам этого достаточно для управления. Но можно подключиться к системе так же, как к терминальному серверу.

Если на Linux установлена графическая оболочка, то существуют программы, позволяющие работать в ней на удаленном компьютере. Наиболее распространенным средством такого подключения является применение кроссплатформенного па VNC (бесплатное решение), который позволяет использовать в качестве сервера и клиента операционные системы Windows и Linux в любом сочетании (можно подключаться к Linux, работая в Windows, и наоборот).

Для обеспечения возможности подключения к Linux с использованием VNC вы должны проверить, что соответствующий пакет серверного программного обеспечения установлен и включена его автоматическая загрузка. Кроме того, следует настроить конфигурацию сервера VNC, определить допустимое число сессий, пароли и т. д. Эти действия выполняются в соответствии с описаниями справочной системы.

При числе одновременных подключений не более 2-х пользователей бесплатен и вариант NoMachine NX (http://www.nomachine.com/). Существуют и другие, коммерческие решения. Например, на рис. 5.13 показано пример подключения к серверу Oracle Solaris в срезе Windows 7 при помощи программы Netsarang Xmanager.

Рис. 5.13.
Подключение к серверу Solaris с помощью Xmanager в среде Windows 7

Подключения филиалов

Многие организации имеют несколько территориально разделенных площадок, которые должны работать в составе единой компьютерной сети. В этом случае локальные сети организаций должны быть соединены туннелем.

В настоящее время появилось много доступных моделей маршрутизаторов, с помощью которых можно как осуществить безопасный доступ организации в Интернет, так и настроить VPN-подключение к другому коммутатору. В результате между коммутаторами создается туннель, по которому осуществляется обмен данными между двумя локальными сетями. Преимущество такого решения — надежность (решения, заложенные в маршрутизаторы хорошо отработаны), стабильность работы (в маршрутизаторах используются Unix-подобные операционные системы), быстрота восстановления канала в случае обрыва связи и т. д.

Если покупка маршрутизатора представляется невозможной, то создать канал между локальными сетями можно и программно. По сути нужно создать те же VPN-подключения, но с некоторыми особенностями.

Во-первых, такое подключение должно устанавливаться автоматически и автоматически же восстанавливаться в случае разрыва. Во-вторых, через такое соединение должны передаваться пакеты не только на компьютер, осуществивший подключение, но и для всей удаленной сети (нужно, чтобы между сетями было установлено соединение).

Туннель между Linux-системами

Проще всего создать безопасное объединение локальных сетей, если в качестве пограничных компьютеров используются Linux-системы. Для создания такого подключения сначала организуется безопасное соединение сетей, после чего настраивается туннель и правила фильтрации трафика.

Возможны различные варианты безопасного подключения. Например, если с другой стороны канала имеется компьютер с установленной ОС Windows, то следует настраивать VPN-подключение, а соединения между Linux-компьютерами легко выполняются с использованием протокола SSH.

Для того чтобы настройка осуществлялась без запроса пароля, в случае VPN он сохраняется в программе или записывается в файл (для Linux, доступ к файлу предоставляется только учетной записи, от которой выполняется подключение), а для SSH-подключения используются пары ключей учетной записи, что позволяет создавать соединение без запроса параметров учетной записи.

Настройка выполняется несколькими командами. Рекомендации по настройке широко представлены в Интернете, поэтому мы не будет особо останавливаться на них.

Постоянное подключение к серверу Windows

Описанный ранее вариант подключения удаленного офиса в случае реализации на ОС Windows носит название интерфейса по требованию (dial-in-интерфейса).

Создание интерфейса по требованию осуществляется мастером в задаче Маршрутизация и удаленный доступ. Достаточно выбрать в меню опцию создания нового интерфейса по требованию, дать ему имя, указать параметры учетной записи, с помощью которых будет осуществляться подключение к другому серверу, и ввести параметры удаленной сети для создания статической маршрутизации.

Система отличает подключение удаленного пользователя от подключения интерфейса по требованию только по имени пользователя, выполняющего эту попытку. Поэтому при настройке подключений двух сетей имя подключающегося пользователя должно совпадать с названием интерфейса. То есть на сервере с интерфейсом по требованию с именем Int1 должен быть указан пользователь Int2 для подключения к удаленному интерфейсу по требованию с именем Int2. А на другом сервере — Int1.

Другие настройки подключений интерфейсов по требованию (должно ли соединение инициироваться сервером или ему следует только ожидать попытки подключения, время "простоя", после которого можно разъединять связь, или необходимость постоянного соединения и т. п.) достаточно очевидны и легко настраиваются через консоль управления сервером маршрутизации и удаленного доступа.

В случае разрыва канала...

В филиале может быть установлен контроллер домена только для чтения (RODC, описан далее в этой главе). Но в небольших предприятиях филиалы часто укомплектованы всего лишь несколькими компьютерами. В этом случае размещение в удаленном офисе контроллера домена не оправдано экономически.

При этом перед администраторами стоит задача обеспечить совместную работу филиала с центральным офисом. Достаточно часто качество канала связи с центральным офисом (Интернетом) оставляет желать лучшего; в результате при обрыве связи удаленные пользователи теряют возможность доступа к ресурсам не только головного офиса, но и к локальным (документы, хранимые в папках совместного доступа на компьютерах других сотрудников филиала, локальный принтер и т. п.), если для доступа к ресурсам применяются доменные учетные записи.

Существуют два возможных пути решения данной проблемы. Первый — это создание на удаленных компьютерах локальных учетных записей, совпадающих по имени с доменными и имеющими тот же пароль, что в домене. В этом случае при обрыве связи и недоступности контроллера домена доступ к ресурсам на других компьютерах будет осуществляться по локальным учетным записям. Недостаток этого варианта состоит в том, что необходимо постоянно синхронизировать учетные записи домена и локальных компьютеров в случае смены паролей пользователей.

Второй путь — размещение таких ресурсов филиала (общие папки, принтер) на терминальном сервере. Поскольку в новых версиях Windows существует кэширование параметров последних входов пользователя, то при обрыве связи пользователь сможет войти на терминальный сервер без наличия подключения к контроллеру домена, используя параметры последнего входа, хранимые в кэше. Однако подключиться к совместно используемым папкам на других компьютерах (к которым ранее не подключался) будет невозможно.

    Примечание

    Кэширование паролей может быть отключено групповой политикой. В таком случае описанный режим будет недоступен.

Карантин клиентов удаленного подключения

    Примечание

    Данная возможность присутствует в Windows 2003 Server. В Windows 2008 используется несколько другая технология — NAP (описана в главе 9).

Если компьютеры локальной сети находятся "под присмотром" администратора, то о состоянии систем, подключаемых средствами удаленного доступа, можно только предполагать. В результате, например, спамеры начинают активно использовать такие компьютеры: на них существенно проще установить программу-троян и заставить почтовую систему организации пересылать спам. Поскольку удаленный пользователь успешно регистрируется в системе, то почтовый сервер будет принимать от него для рассылки любую корреспонденцию. Поэтому естественно желание администраторов каким-то образом проконтролировать удаленную систему перед подключением.

В сервере маршрутизации и удаленного доступа присутствует возможность такой проверки. Происходит это следующим образом: при подключении удаленного клиента сервер проверяет политику доступа, и если установлены требования проверки клиента, то подключает систему и временно помещает ее в карантин. На клиенте в это время запускается программа, проверяющая выполнение определенных администратором условий. Результат проверки сообщается серверу удаленного доступа, который принимает решение отключить клиента или предоставить ему полный доступ в сеть.

Для выполнения таких действий необходимо установить службу карантина, которая входит в состав пакета Resource Kit Tools для Windows Server 2003 (бесплатно загружается с сервера Microsoft). Установка выполняется запуском файла rqs_setup.bat, который создает на компьютере службу Remote Access Quarantine Service. После установки службы необходимо добавить в реестр параметр AllowedSet (тип REG_MULTI_SZ) со значением в виде версий сценариев, которые будут запускаться на клиентах.

Далее следует создать сценарий (профиль) удаленного входа клиента. Удобно использовать компонент Connection Manager Administration Kit (CMAK), входящий в состав сервера (установка через компоненты Windows в составе Management and Monitoring Tools). После запуска CMAK следует выбрать опцию создания нового профиля, дать ему имя1 и создать New Custom Action. Именно эта настройка будет описывать параметры карантина.

В окне настройки New Custom Action следует указать программу (сценарий), который будет запускаться на клиенте. Эта программа может использовать ряд переменных, которые будут ей переданы системой (полный список доступен в онлайновой справке CMAK). Минимально в строке Parameters нужно указать:

  • %DialRasEntry% (имя удаленного подключения/службы);
  • %TunnelRasEntry% (имя туннельного подключения);
  • %Domain% (название домена, к которому осуществляется подключение);
  • %UserName% (имя пользователя);
  • %ServiceDir% (путь к папке профиля).

Параметр Action Type следует установить в значение Post-connect, а Run this custom action for: — в значение All connections. Далее проверить, что установлены (отмечены флажками) параметры Include the custom action program with this service profile и Program interacts with the user, и сохранить изменения. Затем на вкладке Additional Files следует указать те файлы, которые необходимо иметь пользователю. Это, во-первых, программа карантина для клиента (rqc.exe), во-вторых — та программа (сценарий), которая будет запускаться на стороне пользователя.

После завершения работы мастер настроит профиль CMAK. Полученные в результате файлы будут сохранены в папке %SYSTEMDRIVE%\Program Files\ CMAK\Profiles\<имя профиля, данное при его создании>. Файл с именем, указанным вами при настройке CMAK, и с расширением exe необходимо передать пользователям, которые должны будут запустить его у себя для создания профиля подключения.

После настройки параметров подключения для клиента администратору системы необходимо создать политику удаленного доступа, которая определит параметры карантина, а именно: назначить время карантина (период ожидания сервером ответа от клиента перед его отключением) и IP-фильтры, которые должны ограничить доступ клиента к ресурсам сети во время карантина.

Настройка времени ожидания выполняется в меню редактирования профиля политики в разделе Advanced. В этом окне следует добавить атрибут с вендором Microsoft и названием MS-Quarantine-Session-Timeout. Значение этого параметра следует установить равным максимально допустимому периоду ожидания в секундах.

Второй возможный атрибут — это MS-Quarantine-IPFilter. После его добавления в свойствах следует выбрать те фильтры, которые должны быть активизированы на время карантина. Минимально необходимо разрешить входящий и исходящий трафик по порту 7252 (TCP). Этот порт по умолчанию используют программы карантина rqc/rqs. Необходимость открытия других портов определяется администратором (например, если нужно разрешить в это время использование DNS, то следует разрешить UDP 53 и т. п.).

    Примечание

    Network Access Quarantine Control (NAQC) может использоваться при подключении операционных систем Windows 98 SE/ME/2000/XP/Server 2003.

Контроллер домена только для чтения

Многие компании территориально размещены по нескольким офисам, будь то в одном городе или в нескольких регионах. Стабильная работа в филиалах — в случае единого централизованного IT-управления — требует постоянного соединения с центральным офисом, что не всегда реально достижимо. Одним из способов организации работы в случае нестабильного канала связи является размещение в филиале дополнительного контроллера домена. Однако в филиале гораздо сложнее обеспечить необходимый уровень безопасности сервера, а при наличии физического доступа к системе злоумышленнику не представляет особого труда скомпрометировать ее. С выходом ОС Windows 2008 Server появилась возможность установки контроллера домена "только для чтения" — RODC (Read-Only Domain Controller). RODC в некоторой степени можно рассматривать как расширение функционала Backup Domain Controller — контроллеров в домене Windows NT 4.0, на которые также нельзя было вносить изменения.

RODC имеет несколько особенностей:

  • Односторонняя репликация. Данные копируются на RODC с других контроллеров. Если программа пытается внести изменения в базу, хранящуюся на RODC, то операция записи будет транслироваться на "обычные" контроллеры и выполняться там.
  • Ограниченный набор атрибутов. На RDOC кэшируется только часть атрибутов каталога. Настройками на контроллере-хозяине схемы администратор может изменить состав этих атрибутов, но часть их помечена как критические и их нельзя реплицировать на RODC. На RODC можно установить сервер DNS в режиме только для чтения.
  • Возможность хранения данных аутентификации. Администратор может настроить список учетных записей, для которых данные аутентификации буду храниться (кэшироваться) на RODC. Эти пользователи смогут входить в домен и т. п. даже в случае отсутствия соединения с центральным офисом. В случае же компрометации RDOC администратор будет знать, к каким учетным записям злоумышленник мог получить доступ, и сможет принять необходимые меры.
  • Делегирование прав локального администратора. На "обычных" контроллерах домена локальный администратор является администратором домена. Для выполнения задач обслуживания RODC (установка драйверов и аналогичные операции, требующие наличия прав администратора) предусмотрено, что любая учетная запись, включенная в группу локальных администраторов, будет обладать правами локального администратора, но не получит никаких прав по управлению доменом.
    Примечание

    В случае взлома RODC злоумышленник может настроить репликацию на него дополнительных атрибутов службы каталогов, которые не копируются в филиал в нормальных условиях по соображениям безопасности. При взаимодействии с контроллером на Windows 2008 последний откажет в операции копирования. Если связь будет установлена с контроллером на Windows 2003 Server, то данные будут скопированы. Поэтому в целях безопасности необходимо устанавливать RODC в домене, режим которого переведен на уровень Windows 2008.

Установка RODC не представляет никакой сложности. Администратору необходимо начать установку контроллера домена (dcpromo или из консоли управления). Далее на соответствующем шаге мастера указать, что необходимо установить контроллер в режиме "только для чтения", а затем выбрать политику репликации паролей учетных записей. Обычно достаточно согласиться с предложением мастера операций: настройки по умолчанию подходят в большинстве случаев.

Отметим также, что RODC может быть установлен как на полную версию сервера Windows 2008, так и на вариант core.

DirectAccess

В операционных системах Windows 7 Профессиональный/Максимальный выпуск и Windows 2008 R2 (данная технология требует также домен режима Windows 2008 Server, наличия развернутой структуры сертификатов) появилась возможность подключения к ресурсам внутренней сети предприятия без операций создания VPN (при подключении используются возможности безопасности протокола IPv6). Пример структуры подобного подключения представлен на рис. 5.14 (рисунок из библиотеки TechNet).

Рис. 5.14.
Пример подключения к локальной сети с использованием DirectAccess

Преимущества решения DirectAccess — в отсутствии каких-либо пользовательских операций для подключения к локальной сети. Например, ноутбук из локальной сети переносится в глобальную сеть и по-прежнему продолжает работать с внутренним ресурсом. Если говорить "технически", то при работе в Интернете автоматически создается туннель к ресурсам локальной сети.

Настройка DirectAccess предполагает выполнение ряда операций. Подробно об этом можно прочесть в руководстве по адресу http://technet.microsoft.com/ru- ru/library/dd630627%28WS.10%29.aspx (главная страница технологии доступна по адресу http://www.microsoft.com/en-us/server-cloud/windows-server/ directaccess.aspx).

Особенностью технологии DirectAccess является постоянный контроль над клиентской системой со стороны IT-служб предприятия. Поскольку компьютер-клиент DirectAccess должен быть членом домена, а туннель подключения к домену всегда работает при наличии доступа в Интернет, то к компьютеру постоянно применяются действующие в организации технологии управления: выполняются групповые политики, обновляются антивирусные базы данных и т. п.

Сегодня технология DirectAccess пока не нашла широкого распространения в нашей стране. Причин несколько.

Во-первых, технология доступна только для клиентов указанных версий. Сегодня на предприятиях и в организациях продолжает эксплуатироваться большое количество систем Windows XP/2003, к ресурсам которых DirectAccess не позволяет подключиться.

Во-вторых, DirectAccess основано на возможностях протокола IPv6. Данный протокол реализован не в полной мере на предыдущих версиях Windows, что не позволяет подключиться к ресурсам, предоставляемым системами Windows XP/2003. Кроме того, при отсутствии инфраструктуры IP6 необходимо выполнить операции по настройке туннелирования протокола IPv4 в IP6.

В-третьих, технологии авторизации и аутентификации, применяемые в DirectAccess, существенно ограничивают круг межсетевых экранов. Рекомендуемым межсетевым экраном является продукт Microsoft, а для других решений требуется наличие сертификации Microsoft. В то же время исторически большинство организаций для доступа в Интернет применяет решения других вендоров.


1Имя следует давать по требованиям названий файлов типа 8.3, поскольку это название станет именем исполняемого файла на клиенте (к нему автоматически будет добавлено расширение exe).


Рейтинг@Mail.ru