Установка сервера шлюза
Поддержка этой версии Operations Manager прекращена. Рекомендуем перейти на Operations Manager 2019.
Серверы шлюзов используются для обеспечения основанного на агентах управления компьютерами, которые расположены за пределами зоны доверия Kerberos групп управления, например, в домене, который не является доверенным. Сервер шлюза действует как точка концентрации для взаимодействий между агентом и сервером управления. Агенты, которые находятся в доменах без отношений доверия, взаимодействуют с сервером шлюза, а сервер шлюза взаимодействует с одним или несколькими серверами управления. Взаимодействие между сервером шлюза и серверами управления осуществляется только через один порт (TCP 5723), поэтому только этот порт необходимо открыть на всех промежуточных брандмауэрах, чтобы разрешить управление несколькими компьютерами с помощью агентов. В одном домене можно разместить несколько серверов шлюза, чтобы агенты могли переключаться между этими серверами в случае потери связи с одним из серверов шлюза. Аналогично, один сервер шлюза можно настроить на переключение между серверами управления, чтобы избежать возникновения в коммуникационной цепочке единственной точки отказа.
Так как сервер шлюза находится в домене, у которого нет доверенных отношений с доменом группы управления, необходимо использовать сертификаты для установления подлинности каждого компьютера, агента, сервера шлюза и сервера управления. Данная схема удовлетворяет требованию Operations Manager к взаимной проверке подлинности.
Убедитесь в том, что сервер соответствует минимальным системным требованиям для System Center Operations Manager. Дополнительные сведения см. в статье Требования к системе для System Center Operations Manager.
Если ваши политики безопасности ограничивают протокол TLS 1.0 и 1.1, установка новой роли сервера шлюза Operations Manager 2016 завершится ошибкой, поскольку установочный носитель не включает обновления для поддержки TLS 1.2. Единственный способ установить эту роль — включить TLS 1.0 в системе, применить накопительный пакет обновления 4, а затем включить TLS 1.2 в системе. Это ограничение не применяется к Operations Manager версии 1801.
Развертывание сервера шлюза
Запросите сертификаты для любого компьютера в цепочке агентов, серверов шлюза, серверов управления.
Импортируйте эти сертификаты на конечные компьютеры с помощью средства MOMCertImport.exe.
Распространите Microsoft.EnterpriseManagement.GatewayApprovalTool.exe на сервер управления.
Запустите средство Microsoft.EnterpriseManagement.GatewayApprovalTool.exe для инициации взаимодействия между сервером управления и шлюзом.
Установите сервер шлюза.
Подготовка к установке
Перед началом работы
Для развертывания серверов шлюза требуются сертификаты. Необходимо иметь доступ к центру сертификации (ЦС). Это может быть общедоступный центр сертификации, такой как VeriSign, либо службы сертификации Майкрософт. Эта процедура содержит пошаговые инструкции для запроса, получения и импорта сертификата из служб сертификации Майкрософт.
Между управляемыми агентом компьютерами и сервером шлюза, а также между сервером шлюза и серверами управления должно быть реализовано надежное разрешение имен. Обычно такое разрешение имен осуществляется посредством DNS. Однако если обеспечить должное разрешение имен с помощью DNS не удается, возможно, потребуется вручную создать записи в файле hosts на каждом компьютере.
Файл hosts расположен в каталоге \Windows\system32\drivers\ и содержит инструкции по конфигурации.
Получение сертификатов компьютера из служб сертификации Майкрософт
Распространение Microsoft.EnterpriseManagement.GatewayApprovalTool
Средство Microsoft.EnterpriseManagement.GatewayApprovalTool.exe требуется только на сервере управления и запускается всего один раз.
Копирование Microsoft.EnterpriseManagement.GatewayApprovalTool.exe на серверы управления
На целевом сервере управления откройте каталог \SupportTools\ (amd64 или x86), расположенный на установочном носителе Operations Manager.
Скопируйте программу Microsoft.EnterpriseManagement.GatewayApprovalTool.exe с установочного носителя в каталог установки Operations Manager.
Регистрация шлюза в группе управления
Эта процедура регистрирует сервер шлюза в группе управления, а после ее завершения сервер шлюза отображается в представлении "Обнаруженная ведомость" группы управления.
Запуск средства прописки шлюза
На сервере управления, который был целевым во время установки сервера шлюза, войдите в систему с помощью учетной записи администратора Operations Manager.
Откройте командную строку и перейдите в каталог установки Operations Manager или в каталог, куда было скопировано средство Microsoft.EnterpriseManagement.gatewayApprovalTool.exe.
В командной строке выполните команду Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=Create .
Чтобы запретить серверу шлюза инициацию взаимодействия с сервером управления, укажите параметр /ManagementServerInitiatesConnection в командной строке.
Если утверждение завершится успешно, вы увидите The approval of server <GatewayFQDN> completed successfully. .
Если необходимо удалить сервер шлюза из группы управления, выполните ту же команду, заменив флаг /Action=Create на /Action=Delete .
Откройте представление "Мониторинг" в консоли управления. Выберите представление "Обнаруженная ведомость", чтобы проверить наличие сервера шлюза.
Установка сервера шлюза
Эта процедура устанавливает сервер шлюза. Сервер, который планируется использовать в качестве сервера шлюза, должен входить в тот же домен, что управляемые агентами компьютеры, которые будут отправлять на него отчеты.
При запуске установщика Windows (например, при установке сервера шлюза двойным щелчком файла MOMGateway.msi) произойдет сбой установки, если включена локальная политика безопасности "Контроль учетных записей: все администраторы работают в режиме одобрения администратором".
Запуск установщика Windows шлюза Operations Manager из окна командной строки
На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.
В окне Администратор: командная строка перейдите на локальный диск, где находится на установочный носитель Operations Manager.
Перейдите в каталог, где находится MSI-файл, введите имя этого файла и нажмите клавишу ВВОД.
Установка сервера шлюза
Войдите на сервер шлюза с правами администратора.
На установочном носителе Operations Manager запустите файл Setup.exe.
В области Установить выберите ссылку Сервер шлюза.
На экране приветствия щелкните Далее.
На странице Папка назначения примите значение по умолчанию или нажмите кнопку Изменить, чтобы выбрать другую папку, а затем нажмите кнопку Далее.
На странице Конфигурация группы управления введите имя целевой группы управления в поле Имя группы управления, введите имя целевого сервера управления в поле Сервер управления, убедитесь, что Порт сервера управления имеет значение 5723, и нажмите кнопку Далее. Этот порт можно изменить, если вы включили другой порт для связи с сервером управления в консоли управления.
На странице Учетная запись действия шлюза выберите учетную запись Локальная система, если только специально не создана учетная запись действия шлюза на основе домена или локального компьютера. Щелкните Далее.
На странице Центр обновления Майкрософт можете указать, следует ли использовать Центр обновления Майкрософт, и нажмите кнопку Далее.
На странице Все готово для установки нажмите Установить.
На странице Завершение работы щелкните Готово.
Установка сервера шлюза из командной строки
Войдите на сервер шлюза с правами администратора.
Откройте окно командной строки с помощью команды Запуск от имени администратора .
Выполните следующую команду, где path\Directory — это расположение файла Momgateway.msi, path\Logs — расположение, где нужно сохранить файл журнала. Momgateway.msi можно найти на установочном носителе Operations Manager.
Импорт сертификатов с помощью средства MOMCertImport.exe
Выполните эту операцию на каждом сервере шлюза, сервере управления и компьютере, который будет управляться агентом и находиться в недоверенном домене.
Импорт сертификатов компьютера с помощью средства MOMCertImport.exe
Скопируйте средство MOMCertImport.exe из каталога \SupportTools\ (amd64 или x86) в корневой каталог целевого сервера или каталог установки Operations Manager, если целевой сервер является сервером управления.
Откройте окно командной строки с правами администратора, перейдите в каталог с MOMCertImport.exe и запустите momcertimport.exe /SubjectName <certificate subject name> . Это позволяет Operations Manager использовать данный сертификат.
Настройка серверов шлюзов для отработки отказа между серверами управления
Хотя серверы шлюза могут взаимодействовать с любым сервером управления в группе управления, требуется соответствующая настройка. В этом сценарии дополнительные серверы управления определены как цели для отработки отказа сервера шлюза.
Используйте команду Set-SCOMParentManagementServer в оболочке Operations Manager, как показано в следующем примере, чтобы настроить сервер шлюза для отработки отказа на несколько серверов управления. Такие команды можно выполнять из любой командной оболочки в данной группе управления.
Настройка отработки отказа сервера шлюза между серверами управления
Войдите в систему сервера управления под учетной записью, являющейся членом роли "Администраторы" для группы управления.
На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, System Center Operations Manager, а затем — Командная оболочка.
В командной оболочке выполните следующую команду:
$GatewayServer = Get-SCOMGatewayManagementServer -Name "ComputerName.Contoso.com" $FailoverServer = Get-SCOMManagementServer -Name "ManagementServer.Contoso.com","ManagementServer2.Contoso.com" Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
Объединение нескольких серверов шлюзов в цепочку
Иногда требуется объединить несколько шлюзов в целях мониторинга через несколько недоверенных границ. В этом разделе описано объединение нескольких шлюзов в цепочку.
Источник
Интернет-шлюз для двух подсетей на Ubuntu Server 18.04 LTS
Небольшой эксперимент создания интернет-шлюза для двух подсетей на базе на Ubuntu Server. У меня дома компьютер с установленной Windows 10 и VirtualBox. Давайте создадим семь виртуальных машин: router , pc-1 , pc-2 , pc-3 , nfs-server , ftp-server , web-server :
- Виртуальные машины pc-1 , pc-2 , pc-3 объединены в сеть 192.168.176.0/24
- Виртуальные машины nfs-server , ftp-server , web-server объединены в сеть 192.168.30.0/24
Виртуальная машина router будет обеспечивать выход в интернет для компьютеров подсетей 192.168.176.0/24 и 192.168.30.0/24 , у нее три сетевых интерфейса:
- enp0s3 (сетевой мост) — смотрит в домашнюю сеть, получает ip-адрес 192.168.110.8 от роутера Keenetic Air
- enp0s9 (внутреняя сеть) — смотрит в одну сеть с виртуальными машинами pc-1 , pc-2 , pc-3
- enp0s8 (внутреняя сеть) — смотрит в одну сеть с виртуальными машинами nfs-server , ftp-server , web-server
Тут надо сказать несколько слов о настройке сети в VirtualBox. Существует несколько способов, рассмотрим два из них:
- Сетевой мост — при таком подключении виртуальная машина становится полноценным членом локальной сети, к которой подключена основная система. Виртуальная машина получает адрес у роутера и становится доступна для других устройств, как и основной компьютер, по своему ip-адресу.
- Внутренняя сеть — тип подключения симулирует закрытую сеть, доступную только для входящих в ее состав машин. Поскольку виртуальные машины не имеет прямого доступа к физическому сетевому адаптеру основной системы, то сеть получается полностью закрытой, снаружи и изнутри.
Настройка сети для router
Сначала нужно посмотреть, как называются сетевые интерфейсы в системе:
Теперь редактируем файл /etc/netplan/01-netcfg.yaml
Применяем настройки и смотрим сетевые интерфейсы:
Первый сетевой интерфейс enp0s3 получил ip-адрес 192.168.110.8 от роутера Keenetic Air, этот ip-адрес закреплен постоянно. Второму сетевому интерфейсу enp0s8 мы назначили ip-адрес 192.168.30.1 . Третьему сетевому интерфейсу enp0s8 мы назначили ip-адрес 192.168.176.1 .
Настройка сети для pc-1, pc-2 и pc-3
Сначала для виртуальной машины pc-1 . Смотрим, как называются сетевые интерфейсы в системе:
Открываем на редактирование файл /etc/netplan/01-netcfg.yaml :
Применяем настройки и смотрим сетевые интерфейсы:
Для виртуальных машин pc-2 и pc-3 все будет аналогично, назначаем им ip-адреса 192.168.176.3 и 192.168.176.4 .
Настройка сети для nfs-server, ftp-server, web-server
Сначала для виртуальной машины nfs-server . Смотрим, как называются сетевые интерфейсы в системе:
Открываем на редактирование файл /etc/netplan/01-netcfg.yaml :
Применяем настройки и смотрим сетевые интерфейсы:
Для виртуальных машин ftp-server и web-server все будет аналогично, назначаем им ip-адреса 192.168.30.3 и 192.168.30.4 .
Настройка интернет-шлюза
Виртуальная машина router должна обеспечивать выход в интернет для компьютеров из двух подсетей 192.168.176.0/24 и 192.168.30.0/24 . По умолчанию транзитный трафик отключен, так что редактируем файл /etc/sysctl.conf :
И перезагружаем виртуальную машину router . После этого настраиваем netfilter с помощью утилиты iptables :
И вот что у нас получилось в итоге:
Теперь настроим SNAT (подмена адреса источника), что позволит всем компьютерам двух подсетей выходить в интернет, используя единственный ip-адрес 192.168.110.8 :
И смотрим, что получилось:
Доступ к NFS-серверу за NAT
Наш NFS-сервер расположен во внутренней сети 192.168.30.0/24 и имеет ip-адрес 192.168.30.2 . Чтобы обеспечить доступ к нему из подсети 192.168.110.0/24 , выполняем на виртуальной машине router команды (подробнее можно прочитать здесь):
И смотрим, что получилось:
Доступ к FTP-серверу за NAT
Наш FTP-сервер расположен во внутренней сети 192.168.30.0/24 и имеет ip-адрес 192.168.30.3 . Чтобы обеспечить доступ к нему из подсети 192.168.110.0/24 , выполняем на виртуальной машине router команды (подробнее можно прочитать здесь):
И смотрим, что получилось:
Доступ к WEB-серверу за NAT
Наш WEB-сервер расположен во внутренней сети 192.168.30.0/24 и имеет ip-адрес 192.168.30.4 . Чтобы обеспечить доступ к нему из подсети 192.168.110.0/24 , выполняем на виртуальной машине router команду:
И смотрим, что получилось:
Связь между подсетями
Чтобы обеспечить связь между подсетями 192.168.176.0/24 и 192.168.30.0/24 , добавим на маршрутизаторе еще два правила:
Проверим, что с виртуальной машины pc-1 можно достучаться до nfs-server :
И наоборот, что с виртуальной машины nfs-server можно достучаться до pc-1 :
Доступ к серверам за NAT по SSH
Чтобы иметь возможность управлять серверами, на каждый из них установлен SSH-сервер. И нужно обеспечить доступ к ним из внешней подсети 192.168.110.0/24 . Для этого выполняем на маршрутизаторе три команды:
Первая комнанда — мы отбираем tcp-пакеты, которые приходят на интерфейс enp0s3 на порт 2222 и отправляем эти пакеты виртуальной машине nfs-server на порт 22 , заменяя в пакетах пункт назначения на 192.168.30.2 . Вторая и третья команды позволяют получить доступ к ftp-server и web-server .
Открываем на физическом компьютере окно PowerShell и выполняем команду:
Сохранение правил netfilter
Созданные с помощью утилиты iptables правила пропадут при перезагрузке виртуальной машины router . Так что их нужно сохранить и восстанавливать при перезагрузке. В этом нам поможет пакет iptables-persistent :
При установке пакета будет предложено сохранить текущие правила iptables :
- в файл /etc/iptables/rules.v4 для протокола IPv4
- в файл /etc/iptables/rules.v6 для протокола IPv6
После установки пакета будет добавлена новая служба netfilter-persistent.service , которая при загрузке системы будет восстанавливать созданные нами правила:
При добавлении новых правил, надо сохранить конфигурацию с помощью команды
Источник
Записки IT специалиста
Сегодня мы рассмотрим вопрос организации общего доступа к интернет и автоматической настройки сети на платформе Windows. Несмотря на то, что это более дорогое решение, его применение будет оправдано когда необходима тесная интеграция с сетевой инфраструктурой развернутой на базе Windows Server.
В качестве рабочей платформы мы использовали Windows Server 2008 R2, как наиболее актуальную на сегодняшний день платформу, однако все сказанное с небольшими поправками применимо и к предыдущим версиям Windows Server 2003 / 2008.
Первоначально необходимо настроить сетевые интерфейсы. В нашем случае интерфейс смотрящий в сеть провайдера получает настройки по DHCP, мы переименовали его в EXT. Внутренний интерфейс (LAN) имеет статический IP адрес 10.0.0.1 и маску 255.255.255.0.
Настройка NAT
Простейшим способом организовать общий доступ к интернет будет включение соответствующей опции в настройках сетевого подключения. Однако при всей простоте такой способ чрезвычайно негибок и приемлем только если никаких других задач маршрутизации перед сервером ставиться не будет. Лучше пойти более сложным, на первый взгляд, путем, зато получить в свои руки весьма мощный и гибкий инструмент, позволяющий решать гораздо более сложные сетевые задачи.
Начнем, как полагается, с добавления новой роли сервера: Служб политики сети и доступа.
В службах ролей отмечаем Службы маршрутизации и удаленного доступа, все остальное нас сейчас не интересует. После успешной установки роли можно будет переходить к настройкам маршрутизации.
В Ролях находим службу маршрутизации и через меню Действия выбираем Настроить и включить маршрутизацию и удаленный доступ. Настройка производится с помощью мастера, который пошагово проведет нас через все этапы настройки. В качестве конфигурации выбираем Преобразование сетевых адресов (NAT), любые другие возможности можно будет настроить позже вручную.
Здесь нужно указать интерфейс которым наш сервер подключен к интернету, при необходимости его можно создать (например при использовании PPPoE или VPN соединения).
Остальные настройки оставляем по умолчанию и после нажатия на кнопку готово произойдет запуск службы Маршрутизации и удаленного доступа, наш сервер готов обслуживать клиентов из внутренней сети. Проверить работоспособность можно указав клиентской машине IP адрес из диапазона внутренней сети и указав в качестве шлюза и DNS сервера адрес нашего сервера.
Настройка DHCP
Для автоматической настройки сетевых параметров на клиентских машинах, ну не бегать же от места к месту вручную прописывая IP адреса, следует добавить роль DHCP сервера.
Для этого выбираем Добавить роль в Диспетчере сервера и отмечаем необходимую нам опцию.
Теперь нам предстоит ответить на ряд несложных вопросов. В частности выбрать для каких внутренних сетей следует использовать DHCP, при необходимости можно настроить различные параметры для разных сетей. Потом последовательно указать параметры DNS и WINS серверов. Последний, при его отсутствии, можно не указывать. Если в вашей сети отсутствуют старые рабочие станции под управлением ОС отличных от Windows NT 5 и выше (2000 / XP / Vista / Seven), то необходимости в WINS сервере нет.
К добавлению DHCP-области нужно отнестись с повышенной внимательностью, ошибка здесь может привести к неработоспособности всей сети. Ничего сложного здесь нет, просто внимательно вводим все необходимые параметры сети, следя, чтобы выделяемый диапазон IP не перекрывал уже выделенный для других устройств и не забываем правильно указывать маску и шлюз.
Отдельно следует обратить внимание на такой параметр как срок аренды адреса. По истечении половины срока аренды клиент посылает серверу запрос на продление аренды. Если сервер недоступен, то запрос будет повторен через половину оставшегося срока. В проводных сетях, где компьютеры не перемещаются в пределах сети, можно выставлять достаточно большой срок аренды, при наличии большого количества мобильных пользователей (например публичная Wi-Fi точка в кафе) срок аренды можно ограничить несколькими часами, иначе не будет происходить своевременное освобождение арендованных адресов и в пуле может не оказаться свободных адресов.
Следующим шагом отказываемся от поддержки IPv6 и после установки роли DHCP сервер готов к работе без каких либо дополнительных настроек. Можно проверять работу клиентских машин.
Выданные IP адреса можно посмотреть в Арендованных адресах, относящихся к интересующей нас области. Здесь же можно настроить резервирование за определенным клиентом конкретного адреса (привязав по имени или MAC-адресу), при необходимости можно добавить или изменить параметры области. Фильтры позволяют создать разрешающие или запрещающие правила основываясь на MAC-адресах клиентов. Более полное рассмотрение всех возможностей DHCP-сервера Windows Server 2008 R2 выходит за рамки данной статьи и скорее всего мы посвятим им отдельный материал.
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал: 
Источник
Настройка шлюза удаленных рабочих столов
Для того чтобы повысить уровень безопасности Windows-сервера бывает недостаточно сменить TCP-порт RDP . Рассмотрим настройку шлюза удаленных рабочих столов (Remote Desktop Gateway / Terminal Services Gateway) в домене Active Directory.
Remote Desktop Gateway, что это?
Remote Desktop Gateway — это роль Windows-сервера, обеспечивающая защищенное соединение, с помощью протокола SSL, с сервером по RDP. Главное преимущество этого решения в том, что не требуется развертывание VPN-сервера, для этого и используется шлюз.
Следует отметить, что начиная с Windows Server 2008 R2, были изменены названия всех служб удаленных рабочих столов. Именуемые ранее службы Terminal Services были переименованы в Remote Desktop Services.
Преимущества Remote Desktop Gateway в следующем:
- Используя зашифрованное соединение, шлюз позволяет подключаться к внутренним сетевым ресурсам без необходимости использования VPN-соединения удаленными пользователями;
- Шлюз дает возможность контроля доступа к определенным сетевым ресурсам, тем самым реализуя комплексную защиту;
- Шлюз разрешает подключение к сетевым ресурсам, которые размещены за межсетевыми экранами в частных сетях или NAT;
- С помощью консоли диспетчера шлюза появляется возможность настраивать политики авторизации для тех или иных условий, которые должны быть выполнены при подключении к сетевым ресурсам удаленными пользователями. В качестве примера, можно указать конкретных пользователей, которые могут подключаться к внутренним сетевым ресурсам, а также должен ли клиентский компьютер при этом быть членом группы безопасности AD, допустимо ли перенаправление устройства и диска;
- Консоль диспетчера шлюза содержит инструменты, предназначенные для отслеживания состояния шлюза. Используя их, вы можете назначить отслеживаемые события для аудита, например, неудачные попытки подключения к серверу шлюза служб терминалов.
Важно! Шлюз служб терминалов должен входить в домен Active Directory. Настройка шлюза выполняется только от имени администратора домена, на любом сервере в домене.
Источник