Nettverksløsning med tre subbnett (LAN, DMZ og ISA 2006 internal)
Figur 10 – Figuren viser den prinsipielle løsning for et tre subbnett nettverk med ISA Server 2006. Virtuell host og Admin PC legges i DMZ slik at de kan nås via ruter til ruter VPN.
I dette tilfelle må man være oppmerksom på at det kan være vanskelig å komme i gjennom ISA Server 2006. Det er etter undertegnedes oppfatning derfor nødvendig å ha en ruter som takler to nettverk dersom man planlegger remote administrasjon. Ruter settes opp med ruter Lan og DMZ. I ruter Lan slås DHCP server av, og ruter Lan konfigureres med fast ip. I DMZ nettverket slås DHCP på, og ruter DMZ porten gis fast ip. Subbnettene i disse to ruter nettverkene er selvfølgelig forskjellige.
Virtuell host er i dette tilfellet utstyrt med tre nettverskort. Et nettverskort kobles i ruter Lan og det opprettes en virtuell svitsj til bruk for ISA Server 2006s eksterne nettverskort. ISA Server 2006s interne nettverskort skal knyttes til en virtuell svitsj som er knyttet til det andre nettverkskortet i virtuell host. Dette nettverskortet er koblet til en fysisk svitsj der printere og klienter kan tilkobles.
De to servere utover ISA Server 2006 dvs. SBS 2008 første og andre serveres nettverskort kobles til den virtuelle svitsjen knyttet til nettverskort to i virtuelle host. I så måte er det tre servere som benytter dette nettverskortet.
Når det gjelder det tredje nettverskortet i virtuell host så knytes dette til DMZ nettverket i ruter. Det gis en fast ipadresse i dette subbnettet som er ekskludert fra DHCP intervallet i ruteren. En videre gis fjernhjelpskortet som også er knyttet til DMZ nettverket en fast ipadresse i samme nett. Admin PC gis fast ip DMZ nettverket og kobles til dette.
Det må lages særskilte regler i ruter for kommunikasjon mellom ruter Lan og DMZ, en videre må det lages regler i ISA Server 2006 for kommunikasjon fra Lan til DMZ og vise versa. Den aktuelle kommunikasjonsformen er TCP/IP 3389 dvs. remote administration med Tilkobling til eksternt skrivebord.
Sjekk også avsnittet som forklarer virtuelle nettverk.
Eksempel på ipadresseplan for tre subbnett
Tabell 18 – Oppsett av Ruter
|
Komponent
|
Ipadresser
|
Kommentar
|
|
Wan i ruter / brannmur
|
Fast ipadresse
ISP DNS (1): 130.67.15.198
ISP DNS (2): 193.213.112.4
|
En internett linje av type xDSL med fast eller dynamisk ipadresse. Fra ISP (Internett Service Provider) har vi fått opplyst ipadressen til ISPs DNS servere for internettoppløsning.
|
|
Lan i ruter / brannmur
|
Fast ipadresse: 192.168.1.1
|
Ruteren konfigureres med en fast ipadresse i Lan. Ruterens Lan ipadresse blir default gateway for nettverskortene i Lan.
|
|
DHCP server
|
DHCP server i ruter er slått av.
|
Det er god praksis å plassere DHCP server på SBS 2008, derfor slås DHCP server av i ruter / brannmur i Lan.
|
|
Wan til Lan (protforwarding)
|
25 – SMTP, 443 HTTPS, 987 RWW
|
TCP/IP trafikk på disse porter forwardes fra ruter til ipadressen til ISA 2006 eksterne nettverskort.
|
|
DMZ i ruter / brannmur
|
Fast ipadresse: 192.168.0.1
|
Ruteren konfigureres med en fast ipadresse i DMZ. Ruterens DMZ ipadresse blir default gateway for nettverskortene i DMZ.
|
|
DHCP server
|
DHCP server slås på med scope 192.168.0.33 – 192.168.0.254
|
DHCP i ruter slås på og konfigureres. Denne DHCP server vil konfigurere computere i DMZ som ikke har fast ipadresse. Legg merke til at det reserveres ipadresser for computere som trenger fast ip.
|
|
Wan til DMZ
|
Åpne brannmur for VPN
|
Trafikk via ruter til ruter VPN tillates fra Wan til DMZ.
|
|
Lan til DMZ
|
Åpne for RDP Tcp/IP 3389
|
Åpne for remote administration med RDP slik at logon kan gjøres fra Lan til DMZ..
|
|
DMZ til Lan
|
Åpne for RDP Tcp/IP 3389
|
Åpne for remote administration med RDP slik at logon kan gjøres fra DMZ til Lan.
|
Tabell 19 – Oppsett av ISA Server 2006 (W2K3)
|
Komponent
|
IPadrsser
|
Kommentar
|
|
Operativsystem
|
W2K3 R2
|
ISA 2006 må kjøre på W2K3, og VM utstyres med to nettverskort.
|
|
Eksterne nettverskort (1
|
Fast ipadresse: 192.168.1.2
Subbnett maske: 255.255.255.0
Standard Gateway: 192.168.1.1
DNS: 192.168.16.2
|
Det eksterne nettverskortet skal dedikert til ISA i virtuell host, skal være knyttet til ruter Lan. Det opprettes en virtuell svitsj knyttet til dette fysiske nettverskortet. Det eksterne nettverskortet i den virtuelle maskin for ISA forbindes til den virtuelle svitsj. Nettverskortet i den virtuelle maskin må være av type Legacy Network Adapter.
|
|
Interne nettverskortet
|
Fast ipadresse: 192.168.16.1
Subbnett maske: 255.255.255.0
Standard Gateway: I/A
DNS: 192.168.16.2
|
Det interne nettverskortet til ISA Server 2006 (W2K3) i den virtuelle maskin, knyttes til den virtuelle svitsjen for SBS 2008 nettverket. Dette nettverskortet blir standard gateway for SBS 2008 nettverket.
|
|
ISA brannmur
|
ISA brannmuren må konfigureres for å publisere og forwarde trafikk.
|
Det ligger en egen artikkel om hvordan dette kan kjøres på smallbizserver.no.
|
|
Spesielle regler
|
Regler for RDP trafikk mellom LAN og DMZ må konfigureres.
|
ISA vil blokkere RDP administrasjonstrafikk mellom Lan og DMZ. ISA må derfor konfigureres for å tillate denne trafikken.
|
1) Det er kjente problemer med Broadcom NICs og ISA Server 2006.
Tabell 20 – Oppsett av SBS 2008 (første server).
|
Komponent
|
IPadrsser
|
Kommentar
|
|
Operativsystem
|
Windows 2008 for Small Business Server
|
Dette er den første server SBS 2008.
|
|
SBS 2008 nettverkskortet
|
Fast ipadresse: 192.168.16.2
Subbnett maske: 255.255.255.0
Standard Gateway: 192.168.16.1
DNS: 192.168.16.2
|
SBS 2008 støtter subbnett innenfor følgende intervaller:
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
|
|
DHCP server
|
DHCP scope:
192.168.16.1 – 192.168.16.254
|
DHCP server plasseres på SBS 2008.
|
|
Reserverte adresser
|
192.168.16.1 til 192.168.16.10
|
Per default reserverer SBS 2008 de første 10 adresser til devicer som trenger fast ipadresse. Denne reservering kan med fordel utvides manuelt. Gjør dette umiddelbart etter installasjon.
|
|
DNS Forwarders
|
ISP DNS (1): 130.67.15.198
ISP DNS (2): 193.213.112.4
|
Pr default benytter SBS 2008 root hints. Forwarders må registreres manuelt i DNS server på SBS 2008, og ikke på nettverskortet.
|
Tabell 21 – Oppsett av W2K3/8 (andre server).
|
Komponent
|
IPadrsser
|
Kommentar
|
|
Operativsystem
|
W2K8
|
Andre server som følger med SBS 2008 Premium.
|
|
SBS 2008 nettverkskortet
|
Fast ipadresse: 192.168.16.3
Subbnett maske: 255.255.255.0
Standard Gateway: 192.168.16.1
DNS server: 192.168.16.2
|
Premium server planlegges med fast ipadresse. Standard gateway skal peke til ruterens ipadresse i Lan. DNS server skal peke til SBS 2008s (første server) ipadresse.
|
Tabell 22 – Oppsett av W2K8 Server Core (virtuell host).
|
Komponent
|
IPadrsser
|
Kommentar
|
|
Operativsystem
|
W2K8 x64 St.RTM Server Core
W2K8 x64St. R2 Server Core
Windows 2008 Hyper-V server R2
|
Fordel om W2K8 R2 benyttes. Den har Hyper-V 2.0. Windows 2008 Hyper-V server R2 er gratis.
|
|
Arbeidsgruppe
|
HYPER_V
|
W2K8 Server Core skal ikke være medlem av SBS 2008 domenet. Serveren konfigureres som medlem i arbeidsgruppen Hyper-V.
|
|
Nettverskort (1)
|
Fast ipadresse: 192.168.0.2
Subbnett maske: 255.255.255.0
Standard Gateway: 192.168.0.1
DNS server: 192.168.0.1
ISP DNS (1): 130.67.15.198
ISP DNS (2): 193.213.112.4
|
Dette nettverskortet er dedikert til kommunikasjon / administrasjon av virtuell host. Nettverskortet konfigureres med fast ipadresse i DMZ. Når det gjelder DNS servere så kan ruters ip benyttes. Deretter registreres ISP DNS servere for å gi virtuell host tilgang til internett.. På den måten kan internett nås for oppdatering av klokke, antivirus definisjoner og MS Update.
|
|
Nettverskort (2)
|
Ingen ipadresse
|
Dette nettverskortet benyttes av et den virtuelle svitsj som knyttes til det fysiske nettverskortet. Til den virtuelle svitsjen knyttes de virtuelle maskiners nettverskort.
|
Tabell 23 – Oppsett av dedikert Admin PC.
|
Komponent
|
IPadrsser
|
Kommentar
|
|
Operativsystem
|
Windows 7 Enterprise, Professional eller Ultimate.
|
I denne artikkelen benyttes Remote Server Administration Tools (RSAT) for Windows 7. Den kan kun installeres på Win 7 Enterprise, Professional eller Ultimate. Andre versjoner av Win 7 kan ikke benyttes.
|
|
Arbeidsgruppe
|
HYPER-V
|
Win 7 Admin PC skal stå i arbeidsgruppen Hyper-V.
|
|
Computernavn
|
Admin PC
|
Denne artikkelen har behov for bruker slik at det kan demonstreres hvordan oppsette gjøres for RSAT. Av den grunn defineres computernavn, brukeren og dens passord her. Du må selvfølgelig benytte en annen dog med de samme rettigheter og prinsipper som vist i artikkelen.
|
|
Brukernavn og passord
|
Brukernavn: AdminServerCore
Passord: Passord!
|
|
Nettverskortet
|
Fast ipadresse: 192.168.0.3
Subbnett maske: 255.255.255.0
Standard Gateway: 192.168.0.1
DNS server: 192.168.0.1
ISP DNS (1): 130.67.15.198
ISP DNS (2): 193.213.112.4
|
Dette nettverskortet er dedikert til kommunikasjon / administrasjon av virtuell host. Nettverskortet konfigureres med fast ipadresse. Når det gjelder DNS servere så registreres SBS 2008s ipadresse først. Deretter registreres ISP DNS servere for å gi virtuell host tilgang til internett for det tilfelle at SBS 2008 ikke kjører. På den måten kan internett nås for oppdatering av klokke, antivirus definisjoner og MS Update.
|
Remote administration løsning med tre subbnett
Figur 11 – Remote management i DMZ.
Vi har tre (3) nettverk Lan bak ruter, DMZ og internt Lan bak ISA Server 2006. I dette tilfelle vil det være vanskelig å komme i gjennom ISA 2006. Hvis ISA ikke kjører kommer man ikke til SBS 2008 Lanet. Løsningen i dette tilfellet er derfor ubetinget DMZ der vi finner vi nettverkskortene for virtuell host, eventuelt fjernhjelpskort (DRAC / ILO) og Admin PC. Alle tre devicer har nettverksadresser (IPer) i ruters DMZ. For å nå virtuell host, fjernhjelpskortet og Admin PC, kan man sette opp ruter til ruter VPN, PC til ruter VPN eller benytte SSL logon på ruter. Når man er på innsiden kan virtuell host og Admin PC administreres med Tilkobling til eksternt skrivebord. For å nå fjernhjepskortet benyttes Internett Explorer og fjernhjelpskortets ipadresse.
Smertepunkter å passe på:
· Kommer ikke til SBS 2008 Lan når ISA 2006 ikke kjører, men virtuelle maskiner kan nås fra Hyper-V Manager på Wind 7 Admin PC.
· Må konfigurere trafikken mellom forsjellige nettverk i ruter brannmur, og ISA må konfigureres for å slippe trafikk igjennom.
· Når VPN planlegges brukt på SBS 2008 så må subbnettene i hver ende være forskjellige.
· Dersom ruter til ruter VPN eller PC til ruter VPN, så må subbnettene i hver ende være forskjellige.
· Dersom SSL pålogging planlegges til ruter, benytter denne vanligvis port 443. Port 443 vil normalt være forwardet til SBS 2008 for å kunne nå TS Gateway, Remote Web Workplace og lignende. En må derfor sjekke om ruter kan benytte annen port.
Tips
På smallbizserver.no legger det en artikkel som viser hvordan ISA Server 2006 kan konfigureres for SBS 2008.