установка Kerio Control 7.3 на контроллер домена
 

Всем доброго времени суток! Имеется такая очень простая и примитивная структура:
Один сервер под управлением WinSrv2008R2 Std SP1 является контроллером домена. Сервак только один потому как больше и не надо - организация небольшая и клиентских машин всего 12. Все под управлением Win7Pro SP1! Вобщем ничего сложного... Из ролей на сервере установлено только: DNS-сервер, AD DS, файловые службы и на этом собственно всё!

Вопрос и собственно проблема вот в чём:
Недавно появилась такая необходимость поднять контроль расходования интернет-трафика у пользователей. Решил не заморачиваться и поэкспериментировать с Kerio Control 7.3, так как с ней мне уже приходилось иметь дело, но только в простеньких сетях (без AD). Пока всё это дело тестирую у себя дома на отдельной машине. Поднял похожую примитивную конфигурацию: контроллер AD, похожие группы и пользователи, групповые политики и локальные политики безопасности и тд - вобщем всё чтобы воспроизвести среду максимально приближённую к уже рабочей. Устанавливаю на всё это дело последний Kerio Control с сайта - установка прошла нормально. С настройками самого керио я знаком неплохо и в целом у меня проблем особых не возникло. Проблема в том что не удаётся привязать сам Kerio Control к домену чтоб импортировать в него список пользователей! Пробовал для него создавать разных пользователей с разными правами доступа, пробовал подключать его и через администратора домена, но он постоянно выдаёт ошибки: пишет либо Strong(er) authentication required, либо Invalid credentials. Перепробовал я очень много чего, но всё тщетно.

Полазил по различным форумам, почитал несколько статеек и где-то даже пишут что Kerio вообще нельзя ставить на контроллер домена - нужно его ставить на отдельный ПК или сервер и привязывать его к домену но ни в коем случае нельзя ставить на сам контроллер AD. Почитал я немного справку и ничего такого не нашёл. Скажите так ли это? Возможно ли поставить Kerio Control на контроллер AD и что надо сделать что-бы привязать его к домену? Подскажите пожалуйста если кто в курсе? Заранее благодарен!

Просто на работе нету отдельного ПК который можно было бы определить под это дело. Думал я ещё про вариант Hyper-V и поднять всё это дело на виртуальной машине, но сервак уж больно стар, слаб и ОЗУ на нём всего два гига. Сам он произведён примерно 2005 году и найти на него что-нить для апгрэйда проблематично.

Всё правильно прокси/фаервол сервер не рекомендуется (по безопасности) ставить на КД, а некоторые программные продукты вообще откажутся устанавливаться если на сервере будет роль КД (например MS ISA Server).

Вероятней всего можно можно, но это уже шаманство, например с начало ставится прокси/фаервол, а потом поднимается роль AD.

Не подскажу, стараюсь не иметь дело с керио...

ISA Server отлично работает на КД.
RESTORER,
как уже сказал Anton04, Kerio это не тот продукт что имеет смысл ставить на КД, да и с аунтефикацией Windows у него проблемы, насколько я знаю.
однако, дело, думаю, не в этом.
покажите скрин правил KWF, развёрнытых полностью.

По ходу к сожалению вы правы. Однако непонятно как быть в небольших организациях где компов немного, сервер всего один, и контроллер AD DS тоже один. Вопрос конечно сложный...
По идее сам Kerio становится и работает нормально. Проблема только в привязке его к домену, чтоб подгрузить список пользователей и вести за ними контроль... Поидее я могу и создать пользователей вручную, но тогда либо придётся задействовать Kerio VPN, либо привязка будет чисто по компам (по IP адресам), либо надо на прокси-сервере поднимать авторизацию по логин\пароль. Прокси-сервер я вообще не использую, а KerioVPN и привязка по IP неочень подходит - тогда статистика будет вестись по компам, а у нас за некоторыми компами порой по 5 пользователей за день работают (естественно под своими учётками)... Думаю самое правильное будет - это привязка к домену..
Что-то я несовсем понял какой именно скрин и каких именно настроек вам надо. Можете поподробнее разъяснить - там многовато вкладок чтоб всё уместить в пару-тройку скринов =)...
Насколько я знаю ISA не работает на 2008\2008 R2. Для этих ОСей MS выпустила какой-то другой аналогичный продукт. А так вообще незнаю - не имел с ними дело...

я не понмю как это называется в KWF, в общем меня интересуют Firewall Policy

ну настройки самого фаервола вам мало что скажут, особенно если керио при подключнии к домену выдаёт ошибки не Connection error, а немного другие.. да и сам фаерволл я пока не настраивал - просто временно создал правило "разрешить всё".
http://img27.imageshack.us/img27/3551/firewallg.png

как сильно он изменился.
да, похоже что дело в не правилах.
тогда служба поддержки Kerio =)

Моя конкретная проблема вовсе не в том что я пытаюсь запихнуть Kerio на контроллер AD DS. Пробовал я задействовать отдельный ПК для установки на него kerio. Подключаю ПК к домену, захожу под админом, ставлю Kerio, указываю все данные для привязки его к AD DS и всё таже ошибка Strong(er) authentication required при указании учётной записи администратора домена, а так-же вылазит ошибка Invalid credentials при попытке подключиться через любого другого пользователя. Народ, кто в курсе, подскажите какие разрешения или права нужно дать для Kerio чтоб его можно было спокойно подключить к AD DS? Я перепробовал много чего и уже просто теряюсь в догадках, когда даже учётка администратора тут ничего не даёт... Заранее благодарен за помощь!

http://img23.imageshack.us/img23/7161/iy0mjbhu.png
http://img687.imageshack.us/img687/6813/rdtt16lz.png

Да конечно, я просто привёл ису как пример.

TMG. Он он гораздо прожорливей той же самой исы.

Тогда Вам надо идти именно в Другие серверные продукты.

Ну почему же, бесплатных прокси море и на винде и на никсах. Выбирай не хочу...

Решение нашёл... Проблема была у меня в политиках. А именно Контроллер домена: требования цифровой подписи для LDAP-сервера и Сетевая безопасность: требование цифровой подписи для LDAP-клиента... Параметры эти я выключил, но теперь в журналах роли ADDS появляются предупреждения типа безопасность недостаточная... Щас буду думать как решать эту проблему... Всем спасибо!

А поделитесь опытом, как поставить TMG 2010 на КД. А то что-то не получается.
Но очень надо.

ewgentgm,
http://www.wingdog.net/Lists/Posts/Post.aspx?ID=3

У меня та же проблема что и у автора. Скажите у вас параметры политики был "Не определено" и вы поставили "Нет" ?