ISA + VPN - подключение под пользователем из другого домена
 

Всем привет, есть вопрос который не могу проверить на практике.

Сеть домен 2003, в качестве шлюза стоит Windows Server 2008 SE + Forefront Threat Management Gateway 6.0.6417.100 MBE, на нем настроен VPN, подключение проходит прекрасно, но не пускает на расшареные ресурсы, требует аутентификацию ... проблема при подключении из сети на рабочих группах была решена путем создания двух одинаковых локальных учетных записей на компьютере с которого подключаются и на том компьютере где лежит ресурс... а вот что делать, если подключаются из другого домена не совсем понятно, подскажите как авторизовать этих клиентов? Заранее большое спасибо.

Если не хочется делать доверительные отношения между доменами, то решается аналогично описаному тобой методу.

Anton04, Т.е просто создается 2 одинаковые доменные учетные записи или все-же локальные?

А правило, разрещающее доступ клиентам VPN в локалку, создали?
Если я не путаю(что вряд ли), и VPN настроен с авторизацией, то вы сможете подключиться к VPN, только указав доменную учетку, которой к тому же должен быть дан доступ (снята галка) на удаленное подключение.
Я так настроил на работе: Подключаюсь с дома в инет по GPRS, потом создаю VPN подключение к внешнему адресу своего сервера, указывая доменные данные(имя, пароль, домен). И я во внутренней сети с доступом согласно своему логину.

Delirium,

Да, создал 3 правила, одно для доступа и два для агента ретрансляции DHCP

Name:VPN
Action: Allow
Protocols:All Outbound Traffic
From/Listener: VPN Clients
To: Internal,Local Host
Condition: G VPN

Это для доступа, для DHCP приводить не буду, так как IP назначается корректно

С VPN раньше плотно не сталкивался, но полагал, что так и должно быть, учетная запись под которой подключаюсь является пользователем домена и входит в группу G VPN, в настройках записи галочка стоит как надо.
VPN настроен с авторизацией можно про это поподробнее, что вы имеете в виду.

Про домен, если в свойствах VPN подключения указать галочку "Включить домен входа в Windows" и при подключении указать этот домен вместе с именем пользователя и паролем, то выдает ошибку 691, "Доступ запрещен, поскольку такие имя пользователя и пароль недопустимы в этом домене". Если домен не указывать то подключение происходит без всяких проблем, но недоступны шары,хотя, web интерфейс почтового сервера, пожалуйста, без всяких вопросов.

Насколько важно, что домен не фирма.local, а фирма.ru, так настроил до меня предыдущий сисадмин.

Галку про домен однозначно нужно, если вы входите в сеть с доменом. Если говорит, что имя и пароль недопустимы, проверьте свойства учетной записи пользователя, под которым подключаетесь - галку "разрешить удаленный доступ" надо поставить.

Delirium

В свойствах учетной записи всё в порядке, галка разрешить удаленный доступ стоит, имя и пароль набираю верно ... весь прикол в том и заключается, что указываю имя домена (правильно) не пускает, не указываю пускает, но не дает авторизованный доступ к ресурсам сети...

Ну тогда давайте проверять ваш VPN На исе. Вкладка Virtual Private Network. Описывайте по пунктам, что где проставлено(есть ли доступ, кому прописан, создано ли правило доступа, есть ли в пункте Configuration-Network Rules - правило типа Route от VPN клиентов в Internal).

Delirium Пасиб, всё-таки дело было в свойствах VPN подключения, я указывал домен полностью (company.region.ru) и подключиться не получалось, а когда указал просто company, подключилось без проблем и никаких трудностей с доступам к ресурсу ... почему так мне лично не совсем понятно, думаю всё-таки из за того что forefront стоит бета версия, хе хе ....

А вы попробуйте сделать ping company.region.ru и ping company и поймете почему не получалось. Дело в настройках DNS сервера.