Wszechobecna sieć

Gwarantowany dostęp do informacji jest dla wielu firm podstawą bytu. Małe przedsiębiorstwa mogą wiele zyskać, jeśli pracownicy lub administratorzy, bez względu na miejsce pobytu lub porę dnia, będą się mogli połączyć z siecią. Grupa usług związanych ze zdalnym dostępem zawarta w pakiecie SBS 2003 jest bardzo przydatna.

Gwarantowany dostęp do informacji jest dla wielu firm podstawą bytu. Małe przedsiębiorstwa mogą wiele zyskać, jeśli pracownicy lub administratorzy, bez względu na miejsce pobytu lub porę dnia, będą się mogli połączyć z siecią. Grupa usług związanych ze zdalnym dostępem zawarta w pakiecie SBS 2003 jest bardzo przydatna.

Zdalny dostęp pozwala administratorom i użytkownikom sieci na wydajniejsze wykonywanie zadań. Administrator może szybko zmienić konfigurację Windows, sprawdzić, czy serwer pracuje stabilnie, lub zareagować na awarię jednego z komponentów systemu. Na zdalnym dostępie do zasobów sieci zyskują również użytkownicy - w podróży, hotelu czy nawet w domu często możliwość sięgnięcia do serwera firmy jest niezbędna. Pakiet SBS 2003 zawiera szereg sposobów na łączenie się z siecią przedsiębiorstwa z dowolnego miejsca. Są one uruchamiane po krótkiej i nieskomplikowanej konfiguracji.

Rys. 1. Okno powitalne witryny Remote Web Workplace.

Rys. 1. Okno powitalne witryny Remote Web Workplace.

Możliwości pakietu SBS 2003 w dużej mierze zależą od połączenia z Internetem. Gdy Windows Server 2003 funkcjonuje wyłącznie w obrębie sieci lokalnej, realizacja zdalnego dostępu jest ograniczona. Trochę poprawia sytuację zainstalowanie na serwerze modemu. Dzięki temu można zestawić połączenie dial-up i sięgnąć do zasobów sieci. Niedogodnością jest w tym wypadku mała wydajność przesyłania danych. Gdy komunikacja jest nawiązywana sporadycznie, koszty nie są wysokie. Firmy zatrudniające pracowników mobilnych oczekują rozwiązań dynamicznych i wydajnych, dlatego często wymagane jest stałe połączenie z Internetem. Wówczas zalety zdalnego dostępu są najbardziej widoczne.

Zdalny dostęp do danych serwera SBS 2003 możemy uzyskiwać przy użyciu przeglądarki internetowej lub bezpośrednio po skonfigurowaniu połączenia wdzwanianego albo VPN. Wykorzystanie przeglądarki do połączenia z witryną Remote Web Workplace jest bardzo proste. Jeśli chcemy, żeby użytkownicy łączyli się przez VPN lub dial-up, musimy skonfigurować system i klienty. Oba typy zdalnego dostępu są od siebie niezależne, a ich parametry definiuje się odmiennymi narzędziami.

Remote Web Workplace

Rys. 2. Okno kreatora otwierające porty Remote Web Workplace.

Rys. 2. Okno kreatora otwierające porty Remote Web Workplace.

Witryna internetowa Remote Web Workplace zapewnia użytkownikom i administratorom sieci dostęp do usług pakietu Small Business Server 2003. Zawiera grupę odnośników umożliwiających odczytanie i wysłanie poczty elektronicznej, podłączenie się do pulpitu lokalnego komputera pracownika, dostęp do współdzielonych aplikacji, dostęp do intranetowej witryny firmy, przeglądanie raportów o obciążeniu serwera oraz zdalną instalację aplikacji Menedżer połączeń.

Zawartość portalu zależy od przypisanych pracownikom uprawnień. Dla administratorów przygotowano stronę ułatwiającą zarządzanie serwerem. Zwykły użytkownik zobaczy stronę z odnośnikami do usług obejmujących zakres wykonywanych zadań. Ponieważ witryna jest budowana dynamicznie, brak łączy do określonych usług portalu wskazuje, że dana usługa nie została skonfigurowana lub zainstalowana na serwerze SBS.

Do połączenia z witryną zaleca się stosowanie Internet Explorera 6 z zainstalowanym uaktualnieniem SP1. Jeśli klient pracuje z inną przeglądarką lub wcześniejszą wersją Explorera, mogą wystąpić kłopoty z prawidłowym dostępem do wszystkich usług. Korzystanie z Remote Web Workplace zależy od

podania prawidłowego konta i hasła użytkownika domeny. Osoby chcące się zalogować przez przeglądarkę muszą być administratorami systemu lub należeć do grupy zabezpieczeń Remote Web Workplace Users, w przeciwnym wypadku klient zostanie odrzucony.

Instalacja i konfiguracja

Witryna Remote Web Workplace jest instalowana łącznie z innymi narzędziami administracyjnymi w czasie instalacji serwera SBS. Dla użytkowników zewnętrznych będzie jednak dostępna dopiero po zaznaczeniu odpowiednich opcji w Kreatorze konfigurowania poczty e-mail i połączenia internetowego. Warto zachować odpowiednią kolejność instalacji oprogramowania. Kreator uruchamiamy po zainstalowaniu serwera ISA. W innym przypadku będziemy musieli włączać go dwukrotnie. Jeżeli korzystamy z zapory podstawowej (RRAS), kreator przypisze odpowiednie reguły dostępu do witryny. Instalacja zapory firm trzecich może przysporzyć nieco więcej kłopotu. Trzeba pamiętać o otwarciu odpowiednich portów, standardowo są to: 80, 443, 3389 i 4125. Port 80 jest wykorzystywany przez protokół HTTP, 443 służy do bezpiecznej komunikacji przez SSL. Port 3389 odpowiada za połączenia przez zdalny pulpit, natomiast 4125 będzie wymagany przy usłudze RWW. Ustawienia portów są wprowadzane do serwera ISA przez kreator konfiguracji zapory. Jeśli chcemy sięgać z Internetu do wewnętrznego portalu intranetowego, musimy ręcznie skonfigurować dostęp do portu 444. Szczegółowa procedura zostanie opisana w dalszej części artykułu.

W oknie Kreatora konfigurowania poczty e-mail i połączenia internetowego, wyświetlanym po konfiguracji ustawień zapory, system proponuje wygenerowanie certyfikatu serwera WWW. Jeśli chcemy korzystać z bezpiecznej komunikacji przez SSL, musimy utworzyć nowy certyfikat. W pole nazwy serwera należy wprowadzić identyfikator wykorzystywany podczas łączenia się z systemem SBS przez Internet. Przykładową nazwą może być voyager.idg.pl.

Zawartość witryny Remote Web Workplace jest tworzona dynamicznie. Wygląd strony oraz odnośniki będą odmienne dla użytkowników i administratorów. Domyślnie administratorzy mogą się łączyć z pulpitem serwera, sprawdzać pocztę oraz przeglądać raporty wydajności i wykorzystania serwera. Dostęp do wewnętrznej witryny firmy oraz witryny pomocy technicznej (Help Desk) wymaga oddzielnej konfiguracji. Pozostali pracownicy firmy po zalogowaniu się do RWW domyślnie zyskują dostęp jedynie do poczty. Praca z portalem SharePoint jest konfigurowana oddzielnie.

Konfiguracja dostępu do portalu intranetowego

Rys. 3. Okno kreatora służące do utworzenia certyfikatu witryny WWW.

Rys. 3. Okno kreatora służące do utworzenia certyfikatu witryny WWW.

Po zainstalowaniu pakietu SBS połączenie przez Internet z Remote Web Workplace jest możliwe, ale witryna nie oferuje wszystkich usług. Dostęp do portalu wewnętrznego wymaga kilku zmian w parametrach komponentów SBS. Pracę rozpoczynamy od modyfikacji ustawień zapory internetowej. W tym celu otwieramy menedżer serwera ISA (Start | Programy | Microsoft ISA Server | ISA Management). Pierwszym zadaniem jest utworzenie nowej definicji protokołu. Po kolei przechodzimy przez Servers and Arrays | <nazwa_serwera> | Policy Elements | Protocol Definitions. Po zaznaczeniu folderu Protocol Definitions z menu Akcja wybieramy Nowy, a następnie Definition.

W oknie kreatora wpisujemy nazwę zasady, np. Dostęp do intranetu 444 IN, i klikamy Dalej. Wartości 444 i IN służą jedynie do celów opisowych i wskazują numer portu oraz kierunek ruchu. Następne okno służy do wprowadzenia informacji o porcie, typie protokołu i kierunku przepływu informacji. Ponieważ naszym zadaniem jest dopuszczenie do sieci komunikacji przychodzącej i skierowanie jej do witryny intranetowej, ustawiamy: Port Number - 444, Protocol type - TCP, Direction - Inbound. Numer 444 nie jest w tym przypadku obowiązujący, stosujemy go ze względu na zgodność z dokumentacją i poradnikami Microsoftu. Po wprowadzeniu danych klikamy Dalej | Zakończ.

Rys. 4. Okno tworzenia definicji protokołu.

Rys. 4. Okno tworzenia definicji protokołu.

Utworzenie definicji protokołu umożliwia konfigurację przekierowania ruchu do witryny wewnętrznej. To konieczne, ponieważ portal intranetowy domyślnie jest związany z adresem IP lokalnego interfejsu sieciowego. Po skonfigurowaniu przekierowania komunikacja adresowana do portu 444 interfejsu zewnętrznego będzie automatycznie przesyłana pod adres wewnętrzny. Modyfikacja ustawień jest wykonywana w folderze Server Publishing Rules (Servers and Arrays | <nazwa_serwera> | Publishing). Po zaznaczeniu folderu z menu Akcja wybieramy Nowy, a następnie Rule. W pierwszym oknie kreatora wprowadzamy nazwę, np. intranet WWW, i klikamy Dalej. Następnie w pole IP address of internal server wpisujemy adres lokalnego interfejsu sieciowego, najczęściej 192.168.0.1. W polu External IP address on ISA Server umieszczamy, otrzymany od dostawcy usług internetowych, publiczny adres serwera. Po kliknięciu Dalej z listy zasad protokołów wybieramy zdefiniowaną poprzednio regułę. W naszym przykładzie jest to Dostęp do intranetu 444 IN. Okno Client Type służy do określenia źródła komunikacji. Ponieważ najczęściej nie możemy jednoznacznie określić, skąd będą przychodziły żądania dostępu do intranetu, zaznaczamy Any request, a następnie klikamy Dalej i Finish. Jest to ostatnia modyfikacja parametrów serwera ISA. Po zamknięciu menedżera przechodzimy do modułu zarządzania serwerem IIS.


Zobacz również