В этом разделе описана настройка традиционной демилитаризованной зоны для поддержки корпоративного портала. Традиционная демилитаризованная зона усиливает безопасность конфигурации корпоративного портала за счет использования двух брандмауэров и двух контроллеров домена, позволяющих ограничить доступ к данным Microsoft Dynamics AX. Кроме того, в этом разделе показано, как настроить порты на устройствах брандмауэров и установить соответствующий уровень доверия между контроллерами доменов.

Важное примечание Внимание!

Администраторы, не имеющие опыта установки сети и настройки ее безопасности, могут обратиться за помощью к сертифицированному партнеру корпорации Майкрософт. Если демилитаризованная зона настроена неверно, система может быть уязвимой к угрозам безопасности.


Хотя рекомендуется использовать традиционную демилитаризованную зону, можно настроить и стандартную демилитаризованную зону на основе сервера Microsoft ISA Server и одного устройства брандмауэра. Дополнительные сведения см. в разделе Настройка стандартной демилитаризованной зоны для корпоративного портала.

Традиционная демилитаризованная зона

Традиционная демилитаризованная зона содержит два контроллера домена службы каталогов Microsoft Active Directory®, которые расположены в двух отдельных сетях, разделенных брандмауэрами, как показано на рис. 1.

Рис. 1. Традиционная демилитаризованная зона

Традиционная демилитаризованная зона корпоративного портала

В демилитаризованной зоне располагаются веб-сервер корпоративного портала, на котором запущен веб-сервер IIS, и контроллер домена Active Directory. На контроллере домена демилитаризованной зоны хранятся учетные записи внешних (по отношению к организации) пользователей, которым требуется доступ к корпоративному порталу. Учетные записи этих пользователей настраиваются на контроллере домена демилитаризованной зоны следующим образом:

  1. внешние пользователи не имеют никаких прав во внутреннем домене;

    1. внешние пользователи не могут войти на компьютер как локальные пользователи (выполнить локальный вход);

    2. внешние пользователи не имеют доступа к внутренней сети.

  2. Во внутренней сети полностью устанавливается Microsoft Dynamics AX. Сюда входят следующие компоненты:

    1. контроллер домена Active Directory, на котором хранятся учетные записи всех внутренних пользователей Microsoft Dynamics AX;

    2. база данных, в которой хранятся данные Microsoft Dynamics AX и список как внутренних, так и внешних пользователей Microsoft Dynamics AX;

    3. сервер AOS Microsoft Dynamics AX.

Контроллер внутреннего домена имеет одностороннее отношение доверия с контроллером домена демилитаризованной зоны. Это означает, что данные, отправляемые контроллером внутреннего домена, являются доверенными, в то время как данные, отправляемые контроллером домена демилитаризованной зоны, таковыми не являются. Это позволяет усилить безопасность сети, поскольку контроллер домена демилитаризованной зоны не может сообщить контроллеру внутреннего домена, какие пользователи являются внутренними по отношению к домену, а какие обладают правами администратора. Если бы данные, отправляемые контроллером домена демилитаризованной зоны, были доверенными, злоумышленник мог бы нарушить защиту контроллера внутреннего домена, получив таким образом доступ к данным внутреннего домена.

Настройка традиционной демилитаризованной зоны

В этом разделе показано, как настроить порты и одностороннее отношение доверия для традиционной демилитаризованной зоны, в которой расположен корпоративный портал.

Установка и настройка корпоративного портала в демилитаризованной зоне

Если это еще не сделано, необходимо установить корпоративный портал на веб-сервер в демилитаризованной зоне. Дополнительные сведения по установке корпоративного портала см. в разделе "Установка корпоративного портала и ролевых центров" в Microsoft Dynamics AX руководстве по установке.

Настройка портов

В этом разделе описывается, как настроить порты в демилитаризованной зоне и внутренней сети таким образом, чтобы пользователи могли получить доступ к нужным данным Microsoft Dynamics AX с помощью корпоративного портала. В таблице 1 в конце данного раздела приводятся полный список портов и соответствующие сведения о направлениях, подключениях и типах подключений.

Рис. 2. Запрос страницы корпоративного портала

Запрос страницы корпоративного портала

Запрос обрабатывается следующим образом.

  1. По умолчанию, веб-сервер корпоративного портала получает запрос от брандмауэра на TCP-порт 80 (или 443, если этот веб-сервер настроен на использование шифрования по протоколу SSL). Таким образом, на брандмауэре порт 80 или 443 должен быть открыт для входящих интернет-запросов. Весь исходящий трафик должен быть разрешен, то есть должны быть открыты все порты для трафика, идущего из демилитаризованной зоны в Интернет.

  2. Веб-сервер пересылает полученный запрос контроллеру домена демилитаризованной зоны на UDP-порт 53, чтобы определить, является ли пользователь внешним или внутренним.

  3. Контроллер домена демилитаризованной зоны и контроллер внутреннего домена взаимодействуют между собой с помощью различных портов, как показано в таблице 1 в конце этого раздела.

  4. Контроллер домена демилитаризованной зоны идентифицирует пользователя, а затем возвращает запрос веб-серверу на UDP-порт 53.

  5. На веб-сервере пользователь проходит проверку подлинности, после чего запрос направляется серверу AOS на порт 2712. Взаимодействие веб-сервера и AOS осуществляется с помощью учетной записи-посредника Business Connector.

  6. Сервер AOS обращается к серверу SQL Server Microsoft Dynamics AX по порту 1433.

  7. После того как сервер AOS получил нужные данные из базы данных, он возвращает запрос веб-серверу на TCP-порт по умолчанию (2712).

  8. Веб-сервер выполняет запрос, отправляя страницу на порт 80 или 443.

Таблица 1. Порты для традиционной демилитаризованной зоны, в которой расположен корпоративный портал.

Порт

Направление трафика

Подключение

Тип

Примечания

80 или 443 (по умолчанию)

Входящий и исходящий

От брандмауэра демилитаризованной зоны к веб-серверу корпоративного портала

TCP

Необходимо проверить, какие порты используются в конкретной среде.

2712 (по умолчанию)

Входящий и исходящий

От сервера корпоративного портала к серверу AOS Microsoft Dynamics AX

TCP

Необходимо проверить, какие порты используются в конкретной среде.

53

Входящий и исходящий

DNS

UDP

Нет

135

Исходящий

От контроллера внутреннего домена к контроллеру домена демилитаризованной зоны

TCP

Нет

135

Входящий

От контроллера домена демилитаризованной зоны к контроллеру внутреннего домена

TCP

Нет

445

Исходящий

От контроллера внутреннего домена к контроллеру домена демилитаризованной зоны

TCP

Нет

445

Входящий

От контроллера домена демилитаризованной зоны к контроллеру внутреннего домена

TCP

Нет

1638

Исходящий

От контроллера внутреннего домена к контроллеру домена демилитаризованной зоны

TCP

Нет

1638

Входящий

От контроллера домена демилитаризованной зоны к контроллеру внутреннего домена

TCP

Нет

389

Исходящий

От контроллера внутреннего домена к контроллеру домена демилитаризованной зоны

UDP

Нет

389

Входящий

От контроллера домена демилитаризованной зоны к контроллеру внутреннего домена

UDP

Нет

Нет

Исходящий

От контроллера внутреннего домена к контроллеру домена демилитаризованной зоны

UDP = домен

Нет

Нет

Входящий

От контроллера домена демилитаризованной зоны к контроллеру внутреннего домена

UDP = домен

Нет

При необходимости эти порты можно проверить с помощью Telnet или Netmon. Дополнительные сведения о настройке портов брандмауэра см. в документе Настройка брандмауэра для доменов и доверия.

Настройка DNS

Приведенные ниже процедуры показывают, как настроить службу доменных имен (DNS), чтобы создать одностороннее отношение доверия между контроллерами доменов сети. В среде с корпоративным порталом контроллер домена демилитаризованной зоны должен доверять контроллеру внутреннего домена, но контроллер внутреннего домена не должен доверять контроллеру домена демилитаризованной зоны.

Чтобы создать одностороннее отношение доверия, необходимо выполнить следующие действия:

  • Настройка передачи зоны на обоих контроллерах домена

  • Создание дополнительной зоны на обоих контроллерах домена

  • создать доверие от контроллера внутреннего домена к контроллеру домена демилитаризованной зоны.

Настройка передачи зоны на обоих контроллерах домена

Выполните приведенные ниже действия, чтобы контроллеры доменов могли взаимодействовать друг с другом.

  1. Войдите на контроллер внутреннего домена под учетной записью, которая входит в группу "Администраторы домена".

  2. Откройте консоль DNS ( Пуск> Программы> Администрирование).

  3. В консоли DNSразверните узел с именем локального сервера.

  4. Разверните Зоны обратного просмотра, щелкните правой кнопкой мыши имя домена, а затем выберите пункт Свойства.

  5. Перейдите на вкладку Передача зоны.

  6. Установите флажок Разрешить передачу зоны, а затем установите переключатель в положение Только следующим серверам.

  7. Введите IP-адрес контроллера домена демилитаризованной зоны, а затем нажмите Добавить.

  8. Щелкните ОК, а затем перезапустите DNS-сервер.

  9. Повторите эту процедуру для контроллера домена демилитаризованной зоны.

Создание дополнительной зоны на обоих контроллерах домена

Выполните следующие действия, чтобы гарантировать, что полное доменное имя каждого контроллера домена известно второму контроллеру.

  1. Войдите на контроллер внутреннего домена под учетной записью, которая входит в группу "Администраторы домена".

  2. Откройте консоль DNS ( Пуск> Программы> Администрирование).

  3. В консоли DNSразверните узел с именем локального сервера.

  4. Щелкните правой кнопкой мыши папку Зоны обратного просмотра, выберите пункт Новая зона, а затем нажмите кнопку Далее.

  5. На странице Тип зоныустановите переключатель в положение Дополнительная зона, а затем нажмите Далее.

  6. На странице Имя зонывведите полное доменное имя домена демилитаризованной зоны, а затем нажмите кнопку Далее.

  7. Введите IP-адрес контроллера домена демилитаризованной зоны, а затем нажмите кнопку Далее.

  8. Чтобы завершить работу мастера, нажмите Готово, а затем перезапустите DNS-сервер.

  9. Повторите эту процедуру для контроллера домена демилитаризованной зоны.

Создание одностороннего отношения доверия между контроллерами доменов

Выполните следующие действия, чтобы настроить одностороннее отношение доверия между контроллером внутреннего домена и контроллером домена демилитаризованной зоны.

  1. Войдите на контроллер домена демилитаризованной зоны под учетной записью, которая входит в группу "Администраторы домена".

  2. Откройте консоль "Active Directory — домены и доверие" ( Пуск> Программы> Администрирование).

  3. В дереве консоли щелкните правой кнопкой мыши имя домена, который требуется администрировать, а затем выберите пункт Свойства.

  4. Перейдите на вкладку Доверие.

  5. Щелкните Новое доверие, а затем нажмите Далее.

  6. На странице Имя довериявведите полное доменное имя внутреннего домена, а затем нажмите Далее.

  7. Выберите Одностороннее: исходящее, а затем нажмите Далее.

  8. Выберите Этот домен и указанный домен, а затем нажмите Далее.

  9. Введите учетные данные администратора домена для внутреннего домена, выберите Проверка подлинности для всех ресурсов домена, а затем нажмите Далее.

  10. Нажмите кнопку Далеедважды, а затем нажмите Да, чтобы подтвердить исходящее отношение доверия.

  11. Щелкните Готово.

Важно Важно

Чтобы сервер IIS и сервер AOS могли взаимодействовать друг с другом, сервер IIS должен иметь возможность разрешать IP-адрес и имя AOS с помощью файла LMHosts. Необходимо создать файл LMHosts для разрешения имен NetBIOS, как показано в следующем разделе.


Разрешение имен компьютеров

Microsoft Dynamics AX взаимодействует с AOS с помощью удаленного вызова процедур (RPC), который использует NetBIOS. Чтобы сервер IIS и сервер AOS могли взаимодействовать друг с другом, сервер IIS должен иметь возможность разрешать IP-адрес и имя AOS с помощью файла LMHosts.

Чтобы настроить разрешение имен компьютера, выполните следующие действия.

  1. Создайте файл LMHosts на сервере IIS в демилитаризованной зоне. Дополнительные сведения о создании этого файла см. в документе Запись файла LMHosts для проверки доменов и решения других вопросов разрешения имен.

  2. Добавьте в файл LMHosts на сервере IIS IP-адрес и имя сервера AOS.

Проверка безопасности и доступа

Чтобы проверить безопасность традиционной демилитаризованной зоны, следует создать на контроллере домена демилитаризованной зоны учетную запись пользователя, а затем настроить его в Microsoft Dynamics AX как внешнего пользователя. После создания учетной записи внешнего пользователя нужно открыть страницу внешнего веб-узла корпоративного портала (например страницу анкеты, настроенную для внешнего доступа). Внешний пользователь должен иметь доступ к этому веб-узлу.

Затем можно попытаться получить доступ к внутреннему веб-узлу корпоративного портала. Необходимо убедиться, что внешний пользователь получил сообщение об отказе в доступе или был перенаправлен на внешний веб-узел (в зависимости от настроек корпоративного портала и IIS).

И наконец, необходимо убедиться, что можно получить доступ к внутреннему узлу с помощью учетных данных внутреннего домена. Если какая-либо из проведенных проверок окажется неуспешной, следует обратиться к процедурам, приведенным в этом документе.

См. также