使用分支办公室 VPN 连接向导配置分支办公室与企业总部之间的连接
对于企业中具有分支办公室的 IT 管理员来说,分支办公室和企业总部之间的连接是一个比较棘手的问题。目前大部分企业都是通过站点到站点 VPN 连接来实现分支办公室和企业总部的连接,ISA Server 以其强大的功能 、卓越的性能和人性化的配置界面,在站点到站点 VPN 连接部署中得到了极其广泛的应用。
最为困扰 IT 管理员的,不是选择什么连接方式,而是针对连接的管理。分支办公室中通常没有专门的 IT 管理员来管理网络连接,因此通常都是由企业总部的 IT 管理员 进行管理。通常情况下,IT 管理员在企业中部署 ISA Server 企业版,然后将分支办公室中的 ISA Server 连接到企业总部的配置存储服务器,从而接受企业总部 IT 管理员的集中管理。
现在的问题就变成了如何将分支办公室的 ISA Server 连接到企业总部的配置存储服务器。通常情况下,具有以下两种办法:
对外部网络(Internet)发布企业总部中的配置存储服务器,分支办公室中的 ISA Server 直接通过外部网络(Internet)访问企业总部中的配置存储服务器;
在分支办公室和企业总部之间创建站点到站点 VPN 连接,然后分支办公室中的 ISA Server 通过站点到站点 VPN 连接访问企业总部中的配置存储服务器;
由于第二种方式具有更低的安全风险,因此在企业网络中大量采用。但是此时又遇到一个先有鸡还是先有蛋的问题:如果没有安装 ISA Server ,就不能通过 ISA Server 建立站点到站点 VPN 连接;但是如果没有建立站点到站点 VPN 连接,就不能 正确安装 ISA Server ,该怎么办呢?
迫于无奈,许多企业的 IT 管理员只好先采用第一种方式,然后配置好站点到站点 VPN 后修改为第二种方式,或者直接在分支办公室中部署一台配置存储服务器 ,然后配置分支办公室中的 ISA Server 使用本地的配置存储服务器。当然,这都增加了 IT 管理成本。
微软 ISA Server 开发组敏锐的发现了这个问题。于是在 ISA Server 2006 企业版中增加了两个组件:分支办公室 VPN 连接向导和应答文件创建向导。应答文件创建向导允许企业总部的 IT 管理员根据某个分支办公室的远程站点创建一个应答文件,分支办公室 VPN 连接向导则可以根据此应答文件在对应的分支办公室的 ISA Server 计算机上进行以下操作:
创建和企业总部的站点到站点 VPN 连接;
加入企业总部中的域(可选,需要重启计算机);
将原本为使用本地配置存储服务器的 ISA Server 迁移到使用企业总部中的配置存储服务器 (可选);
卸载位于本地 ISA Server 计算机上的配置存储服务器 (和第3步一起进行,不可选)。
当分支办公室 VPN 连接向导完成操作后,分支办公室中的 ISA Server 通过站点到站点 VPN 连接到企业总部的配置存储服务器,从而可以接受企业总部 IT 管理员的集中管理。由于通过应答文件,这个过程基本是“零配置”;一切设置都可以从应答文件中读取,而不需要 人工交互。当然,这也并不是那么简单,你还需要完成其他的准备,比如需要预先在企业总部的 ISA Server 上创建站点到站点 VPN 连接、安装证书(如果身份验证需要)、正确配置分支办公室中的 ISA Server 以确保可以解析活动目录服务及配置存储服务器的域名等等。
这篇文章的试验网络结构如下图所示,企业总部网络的 IP 地址范围为 10.1.1.0/24 ,内部域为 ISACN.ORG ,Seattle 是域控制器; Boston 加入域 ISACN.ORG ,安装了 ISA Server 2006 企业版( ISA Server + CSS),作为边缘防火墙连接到 Internet ;分支办公室网络的 IP 地址范围为 10.2.1.0/24 ,Hawaii 位于工作组环境,安装了 ISA Server 2006 企业版( ISA Server + CSS),作为边缘防火墙连接到 Internet 。在这个试验中,我将通过分支办公室 VPN 连接向导将 Hawaii 迁移到使用企业总部网络中的配置存储服务器(Boston),从而接受企业总部 IT 管理员的集中管理。
各计算机的 TCP/IP 配置如下所示:
Seattle.isacn.org(ISACN.ORG DC):
IP:10.1.1.8/24
DG:10.1.1.1
DNS:10.1.1.8
Boston.isacn.org(ISA Server + CSS):
外部网络接口:
IP:61.139.1.1/24
DG:61.139.1.1
DNS:None
内部网络接口:
IP:10.1.1.1/24
DG:None
DNS:10.1.1.8
Hawaii(ISA Server + CSS):
外部网络接口:
IP:61.139.1.2/24
DG:61.139.1.2
DNS:None
内部网络接口:
IP:10.2.1.1/24
DG:None
DNS:10.1.1.8
可能大家很奇怪,为什么 Hawaii 上的 DNS 服务器设置为企业总部网络中的 DC Seattle ?这是为以后做准备,在加入域及连接到配置存储服务器时,需要保证能够正确的解析域名,因此需要为 Hawaii 正确的配置 DNS 服务器。
这篇文章的试验步骤如下:
在企业总部的 ISA Server 上创建到分支办公室的远程站点;
在企业总部上使用应答文件创建向导根据到分支机构的远程站点创建应答文件;
在分支办公室的 ISA Server 上使用分支办公室 VPN 连接向导通过应答文件完成迁移操作;
我将在企业总部 ISA Server 上创建一个到达分支办公室的基于共享密钥的 L2TP/IPSec 模式的站点到站点连接。在 Boston 上运行 ISA Server 管理控制台,然后点击虚拟专用网络节点,在中部细节面板中点击远程站点标签,然后点击右部任务面板中的创建站点到站点VPN连接链接;
在弹出的欢迎使用站点到站点连接向导页,输入远程站点名字,在此我为到分公司的远程站点命名为 Branch ,完成后点击下一步,