VPN karantén III/1
2005/10/31 10:48
517 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Windows Server 2003 + ISA Server 2004 környezetben; SP1, publikálás, kliensoldal teendők és teszt

Az előző részben a Csatlakozáskezelővel (Connection Manager Administration Kit) foglalkoztunk, kiemelve persze e széleskörűen használható eszköz VPN karantén kliensekhez kapcsolódó szolgáltatásait. Az utolsó fejezetben az elkészített csomag ISA 2004 Serveren történő publikálásáról, valamint a kliensoldali teendőkről ill. eseményekről lesz szó. De előtte még egy kis frissítés.

Windows Server 2003 SP1 és a VPN karantén

Tanult kollégám felhívta a figyelmemet, hogy az SP1 telepítése után történik némi, nem túlságosan dokumentált változás VPN karantén témakörben. És igaza van! Ha valaki egy SP1-el felszerelt gépen kezdi el használni ezt a szolgáltatást, könnyebb dolga lesz mint előtte. Az tudtuk, hogy a szervizcsomag előtt a Microsoft a Resource Kit Tools-t javasolta mint az Rqs.exe lelőhelyét. Az is kiderült időközben hogy az ISA2004-hez célszerű ennek egy új változatot használni, amely le is tölthető már egy ideje. És az is kiderült már, hogy telepíthető komponensként meg is jelent az operációs rendszer alap komponensei között a "Remote Access Quarantine Service" (ahogy a képen látható is.) Ám egy-két meglepetés még ezen is kívül is jelen van az SP1-ben. Kezdve azzal, hogy az SP1-es Rqs.exe nem azonos semelyik előző változattal, hanem egy új verzió! Ezenkívül a telepítés során a korábbi részben említett registry machináció is megtörténik, így pl. az itt található

HKLMSYSTEMCurrentControlSetServicesqs

"AllowedSet" értéke is beállítódik egy alapértékre ("RASQuarantineConfigPassed"). Nekünk csak ezt kell a szkriptben szereplő sztringre átállítani, vagy újabb értékként egy új sorba felvinni. Aki az SP1 után telepíti a szolgáltatást, az ne felejtse, hogy nem indul el automatikusan és csak az RRAS szerviz indulása után hajlandó egyáltalán működni. E rész végére hagytam meg egy fontos dolgot. Az SP1 tartalmazza az Rqc.exe-t is (tehát ezzel kiderült, hogy mindent ami nekünk kell, azaz a ResKit egyáltalán nem lényeges kellék már), amely a CMAK-kal együtt települ fel, és megtalálható itt:

%systemdrive%Program FilesCMAKSupport

A CMAK is kicsit más lett, tudniillik kihagyja a %DialRASEntry% paramétert, ami azt jelenti, hogy az Rqc.exe is eggyel kevesebbet kér, ami meg azt eredményezi, hogy javítanunk kell a már meglévő profilt.

Publikálás

Az előző rész azzal fejeződött be, hogy a CMAK hathatós segítségével elkészült, és az ISA szerver "Program FilesCMAKProfiles" mappájában az adott profilban megtalálható a klienseken használható .exe állomány. De innentől még messze van az út vége, azaz a kliensek. Hogy kapják meg a csomagot? Talán az a legegyszerűbb ha az ISA-n keresztül kipublikáljuk és letöltik. Nézzük ennek a folyamatnak a lépéseit. Először is a webszerverünkön (akár az ISA-n, akár a DMZ-ben, akár a belső hálóban, a példa szempontjából érdektelen, mi maradunk az ISA-n, ami nem a leghelyesebb, de talán a legbonyolultabb) belül hozzunk létre egy mappát és másoljuk bele az előzőleg említett profilból az .exe csomagot. Ezután indítsuk az IIS-t, és a "Default Web Site" tulajdonságai között állítsuk át a TCP portot pl. a 81-esre (mint a lenti ábrán látható), vagy a 80-ason kívül bármilyen másra, ti. az ISA valószínűleg a 80-ast használja az éles webszerverünk publikálására vagy pl. a automatikus discovery információk kiszórására).

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek