Aushkin
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня имя узла и внутри и снаружи одинаковые.
Кроме того, я убрал с этой машины маршрутизацию и отключил второй сетевой интерфейс вообще. Отозвал нафиг все сертификаты, удалил CA, очистил все его папки(и логи, и данные, и web), перевел шлюз в инет и NAT целиком на железку, поменял значение шлюза в DHCP, прибил RRAS и спокойно ребутнул сервак.
Далее, установил RRAS по новой, уже без излишеств, с одним сетевым интерфейсом. Установил CA, в доменных политиках в политики открытого ключа внес сетрификат CA в доверенные, разрешил автовыдачу сертификатов компьютерам. Подключился с внешней машины по PPTP обновил политики, получил новые сертификаты, перенастроил подключение на L2TP, подключился, обрадовался, дай думаю сервак перезагружу для верности ...
После ребута ... аааааааа, опять такая же хрень. Ну блин, чтож такое-то.
Касаемо ключей и сертификатов. Ключи оно конечно хорошо, но руками на каждую машину, всем одинаковый, либо открыто передавать - не вариант.
С сертификатами проще и быстрее, тем более, что нет не одной удаленной точки, которая бы не подключалась ежедневно, так что с доступом к спискам всё в порядке. Но, даже если приключилось нечто и точка проспала все сроки, то персонально юзеру в свойствах выставляется разрешенный доступ, после чего он изменяет L2TP на PPTP, подключается, обновляется и меняет всё обратно, апосля чего снова ставим ему соответствие NAP. Это в случае с кучей удаленных станций, а именно так и есть, еденичные удаленные станции, подключающиеся из разных точек мира в произвольное время.
А если вязать офисы, то конечно железками, так оно проще, а там хоть ключ, хоть сертификат, не имеет уже большого значения, благо таких точек не много. Но у меня тонна станций, с железками как раз проблем нет.
Касаемо DNS, то внутренний IP оно понятно, а зачем создавать во внутреннем DNS узел A с внешним IP этого узла, при условии, что IP этот на самом деле на железке, а железка прозрачно роутит всё на внутренний IP? А в случае с доступом из Internet-а, всё прописано во внешнем DNS ISP.
И ещё, Вы запрашиваете сертификат через Web-интерфейс или через оснастку сертификатов?
По какому шаблону? Где и как добавляете дополнительные имена и IP?
Просто если я делаю запрос из оснастки сертификатов, то мне доступны всего два шаблона, контроллер домена и IPSec, в принципе, можно в подробностях этих шаблонов ковыряться. Можно через IIS сформировать запрос на доменный сертификат, но там не поменять ничего. Короче я совсем завяз 
|
