[alef2474]

Вы же уже сами предлагали в теме про hyper-v сервер с двумя картами и маршрутизацией. Одна карта во внешней сети, другая - во внутренней(NAT), она же шлюз для внутренней сети, в том числе и для интернета. Можете включать этот сервер в домен. А во внутренней сети что угодно.
Удаленные rdp-пользователи пускаются в домен независимо от членства, лишь бы учетки были зарегистрированы на терминальном сервере.

Вместо сервера-маршрутизатора можете сделать комп.-не сервер с Kerio Control (Winroute) - он интегрируется с Аctive Directory из домена локсети, но vpn у него вроде нестандартный, свой, но для сетей одной организации может подойти.

[mcmurphy]

alef2474, здравствуйте!
Я насчет того, что хватит ли встроенного фаерволла на 2008 сервере для хорошей защиты сети. + вроде не рекомендуют делать шлюз членом домена. Вот и думаю, что бы выбрать в качестве фаерволла и прокси - керио, ИСА, или еще что...

[Angry Demon]

Цитата mcmurphy:

Вот и думаю, что бы выбрать в качестве фаерволла и прокси - керио, ИСА, или еще что...

pfSense или TMeter.

[mcmurphy]

Добрый вечер!
Для начала решил попробовать настроить через 2008 сервер с ролью РРАС. Установил роль, стал настраивать через оснастку Маршрутизация и удаленный доступ: выбрал НАТ, внешнюю сетевую карту. На определенном этапе мастер предложил два варианта - Включить базовые службы назначения адреса - по умолчанию, или Установить службы имен и сопоставления позднее. Насколько я понимаю, т.к. у меня есть КД с АД и ДНС, то надо выбирать этот вариант?

Да, и настройки сетевых карт. Внешняя будет получать адресацию от провайдера по ДХЦП - тут все понятно.
А что прописывать на внутренней? Адрес и маску - из диапазона моей локалки, а ДНС сервером что указывать - мой КД? Шлюз вроде не указывают?

И до кучи - что посоветуете для повышения взломостойкости шлюза? Переименовать админскую учетку и чтобы не совпадала с админскими учетками на остальных серверах, а что еще?

[Angry Demon]

Цитата mcmurphy:

Адрес и маску - из диапазона моей локалки

Да.

Цитата mcmurphy:

ДНС сервером что указывать - мой КД?

Нет. Ничего не указывать.

Цитата mcmurphy:

Шлюз вроде не указывают?

Не указывают.

Цитата mcmurphy:

Переименовать админскую учетку и чтобы не совпадала с админскими учетками на остальных серверах, а что еще?

Например, сменить порт RDP, отключить на внешнем сетевом адаптере службы доступа к файлам и принтерам и NetBIOS, позакрывать ненужные порты.

[mcmurphy]

Ок, спасибо! Вроде бы получается.
В 2008 сервере можно ли для каждого сетевого соединения (сетевой карты) настроить свои правила фаерволла? На 2003 сервере с ролью ррас это было доступно в том числе в свойствах самого соединения, а на 2008 что-то не найду...

[Molchune]

Цитата mcmurphy:

керио, ИСА »

ISA-уже давно как TMG- и уже давно как не продается и нет у мелкомягких теперь firewall
Kerio- чисто мое мнение... Вроде не плох но с интеграцией с АД у него совсем все плохо.
Tmeter- ну как то не завелось у меня с ним одни негативные эмоции.
PfSense- для тестовой среды самое то, да и для небольших организаций считаю идеальное решение. На нем и впнки на основе сертификатов можно сделать.

Цитата mcmurphy:

В 2008 сервере можно ли для каждого сетевого соединения (сетевой карты) настроить свои правила фаерволла? »

там вроде не для интерфейса, а для типа соединения (доменный, общий вроде для них) Но я бы все таки поставил PfSense мощная штука за.... нахаляву.

[alef2474]

Цитата Molchune:

Вроде не плох но с интеграцией с АД у него совсем все плохо. »

Это неправильное мнение. У меня очень хорошо интегрировался несколько лет назад, причем очень на слабой машине с ХР.
Может только новые версии похужели?

[Molchune]

Цитата alef2474:

Это неправильное мнение. У меня очень хорошо интегрировался несколько лет назад, причем очень на слабой машине с ХР. Может только новые версии похужели? »

Вот тут хз. я с ним как лет 10-12 назад общался, тогда было все не совсем хорошо. пользователи нормально привязывались только если фиксированный IP дать. (не исключаю факта, что может я его готовить не умел) но потом пересел на ISA, и там совсем все по другому с этим обстояло.
Но иногда лазию по форумам, темы про интеграцию АД и Kerio все равно остались. На форумах ISA(TMG) таких вопросов просто нет.