Показать сообщение отдельно
Старый 23.07.2010, 09:11   #51
Alexei_T
Неактивный пользователь
 
Пол:Мужской
Регистрация: 24.04.2009
Сообщений: 90
Репутация: 2
По умолчанию Re: Разграничение доступа в интернет средствами AD

Ситуация следующая:
тут стояла ИСА, весь инет шел через нее, и в один прекрасный момент она накрылась (ну с исой так частенько бывает),
в качестве срочной меры пришлось из одного сервака сделать роутер и раздать всем инет через пересылку ДНС на котроллере домена,
роутер поднят стандартной виндовской службой RRAS, работает NAT (ну как положено),
помимо этого в сети стоит циска, где в качестве DNS-сервера прописан тот же контроллер домена - это сделано для клиентов, не состоящих в домене (тут распределенная сеть) - т.е. циска тоже пересылает DNS-запросы на тот же контроллер домена, а он в свою очередь отправляет их тоже на тот же роутер,
т.е. котроллер является DNS-сервером с пересылкой, как для членов домена, так и для других клиентов сети.
Может попробовать поиграть с ограничениями на роутере в RRAS? Другого выхода пока не вижу, там есть политики удаленного доступа, но я не знаю как там создавать правила.
По крайней мере может быть получиться ограничить доступ в инет статическим айпишникам (например сервакам), а то щас все сервера и контроллер тоже видят инет.
А.... забыл сказать - сервак-роутер я в актив директори не включал - он не состоит в домене.

Последний раз редактировалось Alexei_T; 23.07.2010 в 09:13..
Alexei_T вне форума
 
Ответить с цитированием Вверх
 
Время генерации страницы 0.08324 секунды с 9 запросами