На server1 переходят в Network Connections -> Local Area Connection N -> Properties -> TCP/IP -> Properties -> General -> Advanced -> DNS tab
. Здесь удостоверьтесь, что Вы выбрали Append these DNS suffixes (in order)
и помещенный в список:
domain1.local.
domain2.local.
Ping, как большинство программ, использует встроенный сопоставитель DNS. Если Вы даете ему какое-либо имя, например thatserver
, это во-первых пытается запросить сервер DNS для thatserver.
. Если ответы DNS, "не найденные", это пытается добавить суффиксы. В этом случае это искало бы thatserver.domain1.local.
и если "не найденный", то для thatserver.domain2.local.
. Если домен не будет в списке, то он не будет искать его - игнорирование того, что домен определяется на 127.0.0.1 серверах DNS.
Наоборот на server2 (то же самое, но порядок доменов в инвертированном списке).
Конфигурирование FTPS (или неявный или явный) для работы позади брандмауэра NAT может быть головной болью.
Вы корректны в этом, ASA не может осмотреть зашифрованный трафик SSL/TLS. Разбивка происходит, когда канал передачи данных создается. Передаются ли в активном или пассивном режиме, L3 (IP) и L4 (порт) информация относительно канала передачи данных в канале управления FTP/FTPS. С традиционным FTP и контролем FTP ASA, эти данные "осмотрены" и "зафиксированы" для соответствия public/outside/whatever интерфейсу IP, и ASA динамично добавляет разрешение ACL для разрешения трафика канала передачи данных.
С SSL/TLS (как часть FTPS) ASA не видит необходимые детали канала управления, чтобы "осмотреть" или "зафиксировать" то, что необходимо, чтобы заставить канал передачи данных работать. По сути, у Вас должен будет быть некоторый добавленный ум/возможность, встроенный в серверное приложение FTPS, которое Вы используете.
Возможности включают следующее:
Наконец, в Вашем брандмауэре, разрешая (через туземный/статичный и ACL) диапазон настроен в номере 1.
В среде Windows Цербер является большим сервером FTP/FTPS/SFTP, который имеет необходимые функции и функции.
Например:
Скажите, что Ваш сервер FTPS имеет внутренний IP 192.168.1.10 и вне IP 1.1.1.2.
Теперь, когда клиенты соединяются в от WAN с помощью неявных или явных FTPS, сервер FTPS передаст корректный IP-адрес WAN обратно (не его частный адрес) и порт TCP в известном диапазоне, который будет использоваться в канале передачи данных. Наличие конкретно NAT'd и ACL разрешили порты TCP, ASA inspection/fixup не требуется.
Интересный (долгая ссылка на FTP/FTPS/SFTP через брандмауэры): FTP Через Брандмауэры