Tuesday, January 23rd, 2018

Установка сервера IPsec Server и изоляции домена с помощью групповой политики Windows Server 2008 (часть 3)

Published on Февраль 5, 2009 by   ·   Комментариев нет

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам:

Во второй части этой серии статей о настройке внедрения политики NAP IPsec мы рассмотрели сервер сетевой политики (Network Policy Server). В той части мы выполнили следующие процедуры:

  • Добавление сервера сетевой политики в группу NAP Exempt
  • Перезагрузка сервера NPS
  • Запрос сертификата компьютера для сервера NPS
  • Просмотр сертификата здоровья и компьютера, установленного на сервер NPS
  • Установка сервера NPS, подчиненного центра сертификации и центра регистрации здоровья
  • Настройка подчиненного ЦС и сервера NPS
  • Включение разрешений для центра регистрации здоровья на запрос, издание и управление сертификатами
  • Настройка центра регистрации здоровья на использование подчиненного ЦС для издания сертификатов здоровья

В этой части мы продолжим работать с сервером NPS. Во-первых, мы настроим политику NAP IPsec Enforcement на сервере NPS. После того как мы закончим создание политики, мы перейдем к работе с клиентскими системами и настроим их для тестирования.

Настройка политики NAP IPsec Enforcement на сервере NPS

В этом разделе о настройке политики внедрения NAP IPsec на сервере сетевой политики мы будем делать следующее:

  • Настройка NAP с помощью мастера NPS NAP
  • Настройка валидатора здоровья системы (Windows Security Health Validator)
  • Настройка параметров NAP клиента в групповой политике
  • Сужение границ групповой политики NAP клиента с помощью фильтрации групп безопасности

Давайте приступим!

Настройка NAP с помощью мастера

Мастер настройки NAP поможет установить NPS в качестве сервера политики здоровья NAP. Мастер предоставляет наиболее распространенные параметры для каждого метода внедрения NAP и автоматически создает пользовательские NAP политики для использования в сети. Мастера настройки NAP можно открыть из консоли сервера NPS.

  1. Нажмите Пуск, Выполнить, введите nps.msc и нажмите клавишу ENTER.
  2. В левой панели консоли сервера NPS нажмите NPS (Local).

    Как установить ipsec на сервере?

Рисунок 1
  1. В панели подробностей под вкладкой Стандартная конфигурация выберите Настроить NAP. Мастер настройки NAP будет запущен. На странице Выбор способа сетевого подключения для использования с NAP во вкладке Способ сетевого подключения выберите опцию IPsec с системой регистрации здоровья (Health Registration Authority (HRA)), а затем нажмите Далее.

    Изоляция домена

    Рисунок 2

  1. На странице Указание серверов NAP Enforcement, на которых запущен HRA нажмите Далее. Поскольку на этом сервере политики здоровья NAP центр регистрации здоровья HRA установлен локально, нам не нужно добавлять никаких RADIUS клиентов.

    Как установить ipsec на сервере?

    Рисунок 3

  1. На странице Настройка групп пользователей и машин нажмите Далее. В этой тестовой среде нам не нужно настраивать группы.

    Как установить ipsec на сервере?

    Рисунок 4

  1. На странице Определение политики здоровья NAP убедитесь, что опции Windows Security Health Validator и Включить автоисправление для клиентских компьютеров выбраны и нажмите Далее.

    Как установить ipsec на сервере?

    Рисунок 5

  1. На странице Завершение настройки политики NAP Enforcement Policy и клиентов RADIUS нажмите Закончить.

    Как установить ipsec на сервере?

    Рисунок 6

  1. Оставьте консоль сервера Network Policy Server открытой для следующей процедуры.

    Как установить ipsec на сервере?

    Рисунок 7

Настройка валидатора Windows Security Health Validator

По умолчанию Windows SHV настроен на требование включенного брандмауэра, антивирусной защиты, защиты от шпионского ПО и автоматического обновления. В этой тестовой среде мы начнем с требования включенного состояния брандмауэра Windows. А чуть позже мы посмотрим, как с помощью политик можно сделать машины здоровыми и нездоровыми.

Выполняем следующие шаги на WIN2008SRV1:

  1. В левой панели консоли Network Policy Server откройте Защита сетевого доступа и нажмите Валидаторы здоровья системы. В средней панели консоли в поле Название дважды нажмите на Windows Security Health Validator.

    Как установить ipsec на сервере?

    Рисунок 8

  1. В диалоговом окне Свойства Windows Security Health Validator нажмите Настроить.

    Изоляция домена

    Рисунок 9

  1. Уберите галочки со всех опций за исключением опции Брандмауэр включен для всех сетевых подключений.

    Как установить ipsec на сервере?

    Рисунок 10

  1. Нажмите OK, чтобы закрыть диалоговое окно Windows Security Health Validator, а затем нажмите OK, чтобы закрыть диалоговое окно свойств валидатора Windows Security Health Validator Properties.
  2. Закройте консоль сервера Network Policy Server.

Настройка параметров NAP клиента в групповой политике

Следующие параметры клиента NAP будут настроены в новом объекте групповой политики (GPO) с помощью консоли управления Group Policy Management на WIN2008DC:

  • Клиенты NAP enforcement ‘ Это говорит клиентским машинам, какой способ внедрения использовать для NAP. В нашем примере мы используем клиента HRA/IPsec enforcement.
  • Служба агента NAP ‘ Это служба клиентской стороны, позволяющая клиенту поддерживать NAP
  • Пользовательский интерфейс центра безопасности ‘ Это позволяет службе клиента NAP предоставлять информацию пользователям относительно текущего состояния безопасности машины

После того, как эти параметры настроены в GPO, добавляются фильтры безопасности для внедрения этих параметров на указанных вами машинах. В следующем разделе подробно описаны данные шаги.

Выполните следующие шаги на WIN2008DC, чтобы создать GPO и параметры групповой политики для GPO клиентов NAP:

  1. На WIN2008DC, перейдите в меню Пуск, нажмите Выполнить, введите gpme.msc и нажмите ENTER.
  2. В диалоговом окне Обзор объектов групповой политики рядом с msfirewall.org нажмите на иконке, чтобы создать новый GPO, впишите NAP Client GPO в качестве названия нового GPO, а затем нажмите OK.

    Как установить ipsec на сервере?

    Рисунок 11

  1. Откроется окно редактора управления групповой политикой (Group Policy Management Editor). Перейдите к Конфигурация компьютера /Политики /Параметры Windows /Параметры безопасности /Системные службы .
  2. В панели подробностей дважды нажмите Агент сетевого доступа.
  3. В диалоговом окне свойств Network Access Protection Agent Properties выберите опцию Определить параметры политики, затем выберите Автоматическая, а затем нажмите OK.

    Как установить ipsec на сервере?

    Рисунок 12

  1. В левой панели консоли откройте Защита сетевого доступа \Конфигурация NAP клиента \Клиенты внедрения .
  2. В панели подробностей правой клавишей нажмите IPSec Relying Party, а затем выберите Включить.

    Как установить ipsec на сервере?

    Рисунок 13

  1. В левой панели консоли во вкладке Конфигурация NAP клиента откройте Параметры регистрации здоровья \Группы доверенных серверов. Правой клавишей нажмите Группы доверенных серверов и выберите Новая.

    Как установить ipsec на сервере?

    Рисунок 14

  1. В окне Название группы введите HRA Servers, а затем нажмите Далее.

    Как установить ipsec на сервере?

    Рисунок 15

  1. В окне Добавить серверы в поле Добавить URLs центра регистрации здоровья, которым будут доверять клиенты, введите https://win2008srv1.msfirewall.org/domainhra/hcsrvext.dll, а затем нажмите Добавить. Это веб сайт, который будет обрабатывать аутентифицированные в домене запросы на сертификаты здоровья.

    Nps

    Рисунок 16

  1. Нажмите Закончить, чтобы завершить процесс добавления групп доверенных серверов HRA.
  2. В древе консоли нажмите Группы доверенных серверов, а затем в панели подробностей нажмите Доверенные серверы HRA. Проверьте URL, который вы ввели, в панели подробностей во вкладке Свойства. URL должен быть введен правильно, иначе клиентский компьютер не сможет получать сертификат здоровья, и ему будет отказано в доступе к сети, защищенной IPsec.

    Как установить ipsec на сервере?

    Рисунок 17

  1. В левой панели консоли правой клавишей нажмите Конфигурация NAP клиента и выберите Применить.
  2. В древе консоли перейдите к Конфигурация компьютера \Политики \Административные шаблоны \Компоненты Windows\ Центр безопасности.
  3. В панели подробностей дважды нажмите Включить центр безопасности (Только для машин домена), выберите Включить и нажмите OK.

    Как установить ipsec на сервере?

    Рисунок 18

  1. Вернитесь во вкладку NAP \Конфигурация NAP клиента \Клиенты внедрения. Правой клавишей нажмите Клиенты внедрения (Enforcement Clients), а затем выберите Обновить. Если статус IPsec Relying Party показан, как Отключенный (Disabled), нажмите на нем правой клавишей и выберите Включить. Затем снова нажмите на вкладке Конфигурация NAP клиента, нажмите на ней правой клавишей и выберите Применить.
  2. Если у вас появляется окно с вопросом о том, хотите ли вы применить новые параметры, нажмите Да.

Сужение границ объекта групповой политики NAP клиента с помощью фильтрации групп безопасности

Далее нужно настроить фильтрацию групп безопасности для параметров объекта групповой политики NAP клиента. Это не позволит применить параметры NAP клиентов к серверам в домене.

  1. На WIN2008DC нажмите Пуск, выберите Выполнить, введите gpmc.msc и нажмите ENTER.
  2. В древе консоли Group Policy Management Console (GPMC) перейдите к Forest: msfirewall.org\Domains\msfirewall.org\Group Policy Objects\NAP Client GPO. В панели подробностей во вкладке Фильтрация безопасности (Security Filtering) нажмите Аутентифицированные пользователи, а затем нажмите Удалить.

    Как установить ipsec на сервере?

    Рисунок 19

  1. Когда у вас появится запрос на подтверждение опции удаления привилегий делегирования, нажмите OK.
  2. В панели подробностей во вкладке Фильтрация безопасности нажмите Добавить.
  3. В диалоговом окне Выбор пользователя или группы во вкладке Ввод имени объекта для выбора (примеры) введите клиентские компьютеры NAP и нажмите OK.

    Как установить ipsec на сервере?

    Рисунок 20

    Как установить ipsec на сервере?

    Рисунок 21

  1. Закройте консоль Group Policy Management.

Обратите внимание, что сейчас в группе безопасности NAP клиентов отсутствуют члены. VISATASP1 и VISTASP1-2 будут добавлены в эту группу после того, как каждая из машин будет присоединена к домену.

Настройка VISTASP1 и VISTASP1-2 для тестирования

Теперь мы готовы к настройке клиентских компонентов системы. В этом разделе мы выполним следующее:

  • Присоединим VISTASP1 к домену
  • Добавим VISTASP1 в группу NAP клиентов
  • Подтвердим параметры групповой политики NAP на VISTASP1
  • Экспортируем сертификат Enterprise Root CA с VISTASP1
  • Импортируем сертификат корневого ЦС на VISTASP1-2
  • Вручную настроим параметры NAP клиента на VISTASP1-2
  • Запустим агента NAP на VISTASP1-2
  • Настроим брандмауэр с расширенной безопасностью на разрешение доступа машинам VISTASP1 и VISTASP1-2 для выполнения эхо запросов друг на друге

Присоединение VISTASP1 к домену

Во время настройки VISTASP1 используйте следующие инструкции. Когда настраиваете VISTASP1-2, выполняйте проверку процедуры регистрации сертификата здоровья до того, как присоединить VISTASP1-2 к msfirewall.org домену. VISTASP1-2 не присоединена к домену для проверки процедуры регистрации сертификата здоровья в целях демонстрации того, что различные сертификаты здоровья предоставляются компьютерам в средах доменов и рабочих групп.

Итак, сначала мы посмотрим, как машины, присоединенные к домену, получают сертификаты, когда присоединим VISTASP1 к домену, а затем вручную настроим VISTASP1-2 в качестве NAP клиента и посмотрим, как машины, не принадлежащие домену, получают сертификат здоровья и доступ к сети.

Выполняем следующие шаги на VISTASP1, чтобы присоединить машину к домену:

  1. Нажмите Пуск, правой клавишей нажмите Мой компьютер и выберите Свойства.
  2. В окне Система перейдите по ссылке Дополнительные параметры системы.
  3. В диалоговом окне Свойства системы перейдите по вкладке Имя компьютера и нажмите Изменить.

    Как установить ipsec на сервере?

    Рисунок 22

  1. В диалоговом окне Имя компьютера /Изменения домена выберите Домен и введите msfirewall.org.

    Nps

    Рисунок 23

  1. Нажмите Дополнительно и в поле Основной DNS суффикс этого компьютера введите msfirewall.org.

    Как установить ipsec на сервере?

    Рисунок 24

  1. Дважды нажмите OK.
  2. Когда потребуется ввести имя пользователя и пароль, введите мандаты учетной записи администратора домена и нажмите OK.

    Как установить ipsec на сервере?

    Рисунок 25

  1. Когда вы увидите диалоговое окно, приглашающее вас в msfirewall.org, нажмите OK.

    Как установить ipsec на сервере?

    Рисунок 26

  1. Когда появится окно, требующее выполнить перезагрузку компьютера, нажмите OK.

    Как установить ipsec на сервере?

    Рисунок 27

  1. В диалоговом окне Свойства системы нажмите Закрыть.
  2. В диалоговом окне, требующем перезагрузить компьютер, нажмите Перезагрузить позже. Прежде чем вы перезагрузите компьютер, вам нужно добавить машину в группу NAP клиентов.

    Как установить ipsec на сервере?

    Рисунок 28

Добавление VISTASP1 в группу NAP клиентов

После присоединения к домену VISTASP1 нужно добавить в группу NAP Клиентов, чтобы она смогла получить клиентские параметры NAP с GPO, который мы настроили ранее.

Выполните следующие шаги на WIN2008DC:

  1. На WIN2008DC перейдите в меню Пуск, наведите курсор на строку Администрирование и выберите Пользователи и компьютеры Active Directory.
  2. В левой панели консоли нажмите на msfirewall.org.
  3. В панели подробностей дважды нажмите на NAP Клиенты.
  4. В диалоговом окне Свойства NAP клиентов перейдите по вкладке Члены и нажмите Добавить.
  5. В диалоговом окне Выбор пользователей, компьютеров или групп нажмите Типы объектов, отметьте опцию Компьютеры и нажмите OK.
  6. В поле Ввод имен объектов для выбора (примеры) введите VISTASP1, а затем нажмите OK.

    Как установить ipsec на сервере?

    Рисунок 29

  1. Убедитесь, что VISTASP1 отображается во вкладке Члены, и нажмите OK.

    Nps

    Рисунок 30

  1. Закройте консоль Пользователи и компьютеры Active Directory.
  2. Перезагрузите VISTASP1.
  3. После перезагрузки VISTASP1 войдите в систему от имени учетной записи администратора домена msfirewall.org.

Подтверждение параметров групповой политики NAP на VISTASP1

После перезагрузки VISTASP1 получит параметры групповой политики, чтобы включить службу агента NAP и клиента внедрения IPsec. Для проверки этих параметров будет использоваться командная строка.

  1. На VISTASP1 перейдите в меню Пуск, нажмите Выполнить, введите cmd и нажмите ENTER.
  2. В окне командной строки введите netsh nap client show grouppolicy и нажмите ENTER.
  3. В полученных данных окна интерпретатора команд проверьте, что в разделе Клиенты внедрения (Enforcement clients) статус Admin для IPSec Relying Party имеет значение Включен (Enabled). В разделе Конфигурация группы доверенных серверов (Trusted server group configuration) убедитесь, что Доверенные HRA серверы отображено напротив строкиГруппа, что значение Включено (Enabled) задано для Требовать Https, и что URL веб сайта Domain HRA, настроенный в предыдущей процедуре, отображен напротив строки URL.

    Как установить ipsec на сервере?

    Рисунок 31

  1. В окне интерпретатора команд введите netsh nap client show state и нажмите ENTER.
  2. В полученных результатах в разделе Состояние клиентов внедрения (Enforcement client state) убедитесь, что статус Инициализированный (Initialized) для IPSec Relying Party имеет значение Да.

    Ipsec server 2008

    Рисунок 32

  1. Закройте окно интерпретатора команд.

Экспорт сертификата производственного корневого ЦС с VISTASP1

Поскольку VISTASP1-2 не присоединена к домену и не доверяет корневому ЦС msfirewall.org, она не сможет доверять сертификату SSL на WIN2008SRV1. Чтобы позволить VISTASP1-2 доступ к центру регистрации здоровья с помощью SSL, необходимо импортировать сертификат корневого ЦС в доверенный корневой центр сертификации на VISTASP1-2. Это делается путем экспортирования сертификата с VISTASP1 и его импортирования на VISTASP1-2.

  1. На VISTASP1 перейдите в меню Пуск и введите Выполнить в текстовое поле Поиск, а затем нажмите ENTER
  2. В диалоговом окне Выполнить введите mmc и нажмите OK.
  3. В меню Файл нажмите Добавить или удалить оснастку.
  4. Нажмите Сертификаты, Добавить, выберите Учетная запись компьютера, а затем нажмите Далее.
  5. Убедитесь, что выбран Локальный компьютер: (компьютер, на котором запущена эта консоль), нажмите Закончить, а затем OK.
  6. В древе консоли откройте Сертификаты (локальный компьютер)\Доверенные корневые центры сертификации \Сертификаты. В панели подробностей правой клавишей нажмите Корневой ЦС , наведите курсор на Все задачи и выберите Экспорт.

    Как установить ipsec на сервере?

    Рисунок 33

  1. На приветственной странице мастера Welcome to the Certificate Export Wizard нажмите Далее.
  2. На странице Экспортирование файла формата нажмите Далее.

    Как установить ipsec на сервере?

    Рисунок 34

  1. На странице Экспортируемый файл укажите путь и имя файла сертификата ЦС в текстовом поле Имя файла. В этом примере мы введем c:\cacert. Нажмите Далее.

    Как установить ipsec на сервере?

    Рисунок 35

  1. Нажмите Закончить на странице завершения работы мастера.
  2. Убедитесь, что отображено сообщение Экспортирование успешно завершено и нажмите OK.

    Как установить ipsec на сервере?

    Рисунок 36

  1. Скопируйте файл сертификата ЦС на VISTASP1-2

Импортирование сертификата корневого ЦС на VISTASP1-2

Теперь мы готовы к установке сертификата ЦС на VISTASP1-2. После установки сертификата VISTASP1-2 будет доверять нашим ЦС, и поэтому сможет использовать центр регистрации здоровья после того, как мы вручную настроим эту машину на использование NAP.

Выполните следующие шаги на VISTASP1-2:

  1. На VISTASP1-2 перейдите в меню Пуск, введите Выполнить в строку Поиск.
  2. Введите mmc в диалоговое окно Выполнить и нажмите ENTER.
  3. В меню Файл нажмите Добавить или удалить оснастку.
  4. Выберите Сертификаты, Добавить, Учетная запись компьютера и нажмите Далее.
  5. Убедитесь, что выбран Локальный компьютер: (компьютер, на котором запущена эта консоль) и нажмите Завершить, а затем OK.
  6. В древе консоли откройте Сертификаты (Локальный компьютер)\ Доверенные корневые ЦС \Сертификаты.
  7. Правой клавишей нажмите Сертификаты, наведите курсор на Все задачи и нажмите Импорт.

    Nps

    Рисунок 37

  1. На приветственной странице мастера Welcome to the Certificate Import Wizard нажмите Далее.
  2. На странице Импортируемый файл нажмите Обзор.
  3. Перейдите в то место, где сохранили сертификат корневого ЦС с VISTASP1 и нажмите Открыть.
  4. На странице Импортируемый файл убедитесь, что расположение файла сертификата корневого ЦС отображено в поле Имя файла, и нажмите Далее.

    Как установить ipsec на сервере?

    Рисунок 38

  1. На странице Хранилище сертификатов выберите Помещать все сертификаты в следующее хранилище, убедитесь, что Доверенные корневые центры сертификации отображено в поле Хранилище сертификатов и нажмите Далее.

    Ipsec server 2008

    Рисунок 39

  1. На странице завершения работы мастера нажмите Завершить.
  2. Убедитесь, что отображено сообщение Процесс импортирования был успешно завершен и нажмите OK.

    Как установить ipsec на сервере?

    Рисунок 40

Настройка параметров клиента NAP на VISTASP1-2 вручную

Так как VISTSP1-2 не присоединена к домену, она не сможет получить параметры NAP с групповой политики. Однако мы можем настроить машину на получение параметров NAP путем ручной настройки машины на работу с нашей архитектурой NAP. После демонстрации того, что можно заставить машину, не принадлежащую домену, работать с NAP, мы присоединим ее к домену, чтобы она могла получить параметры NAP с групповой политики.

  1. На VISTASP1-2 перейдите в меню Пуск и введите Выполнить в поле Поиск.
  2. Введите napclcfg.msc и нажмите ENTER.

    Как установить ipsec на сервере?

    Рисунок 41

  1. В древе консоли Конфигурация клиента NAP откройте Параметры регистрации здоровья.
  2. Правой клавишей нажмите Группы доверенных серверов и выберите Новый.

    Как установить ipsec на сервере?

    Рисунок 42

  1. В поле Имя группы введите Доверенные HRA серверы, а затем нажмите Далее.

    Как установить ipsec на сервере?

    Рисунок 43

  1. В поле Добавить URLs центра регистрации здоровья, которым клиент будет доверять введите https://win2008srv1.msfirewall.org/domainhra/hcsrvext.dll и нажмите Добавить. Этот веб сайт будет обрабатывать аутентифицированные на домене запросы для сертификатов здоровья. Так как это первый сервер в списке, клиенты будут пытаться получить сертификаты здоровья с этого доверенного сервера в первую очередь.
  2. В поле Добавить URLs центра регистрации здоровья, которому будут доверять клиенты введите https://win2008srv1.msfirewall.org/nondomainhra/hcsrvext.dll и нажмите Добавить. Этот веб сайт будет обрабатывать анонимные запросы на сертификаты здоровья. Так как это второй сервер в списке, клиенты не будут отправлять запрос на него, если только первый сервер не сможет предоставить сертификат.
  3. Нажмите Завершить, чтобы закончить процесс добавления групп доверенных серверов HRA.

    Nps

    Рисунок 44

  1. В левой панели консоли, нажмите Группы доверенных серверов.
  2. В правой панели консоли нажмите HRA серверы.
  3. Проверьте URLs, которые вы вводили, в свойствах в панели подробностей. Эти URLs должны быть введены правильно, иначе клиентские компьютеры не смогут получить сертификаты здоровья, и им будет отказано в доступе к сети, защищенной IPsec.

    Как установить ipsec на сервере?

    Рисунок 45

  1. В древе консоли Конфигурация NAP клиента нажмите Клиент внедрения.
  2. В панели подробностей правой клавишей нажмите IPSec Relying Party, а затем Включить.

    Изоляция домена

    Рисунок 46

  1. Закройте окно Конфигурация NAP клиента.

    Как установить ipsec на сервере?

    Рисунок 47

Запуск агента NAP на VISTASP1-2

Теперь нам нужно запустить службу клиента NAP на VISTASP1-2.

Выполните следующие шаги на VISTASP1-2:

  1. На VISTASP1-2 перейдите в меню Пуск, Все программы, Стандартные, правой клавишей нажмите Интерпретатор команд, а затем выберите опцию Выполнить в качестве администратора.
  2. В окне командной строки введите net start napagent и нажмите ENTER.
  3. В полученных результатах убедитесь, что отображено сообщение Служба агента сетевой защиты была успешно запущена.

    Как установить ipsec на сервере?

    Рисунок 48

  1. Оставьте окно командной строки открытым для следующей процедуры.

Подтверждение параметров политики NAP на VISTASP1-2

VISTASP1-2 получит параметры NAP клиента с локальной политики. Мы можем проверить эти параметры с помощью командной строки.

Выполните следующие шаги на VISTASP1-2:.

  1. В командной строке введите netsh nap client show configuration и нажмите ENTER.
  2. В полученных результатах проверьте следующее: в разделе Клиенты внедрения статус Admin для IPSec Relying Party имеет значение Enabled. В разделе Конфигурация группы доверенных серверов Доверенные HRA серверы отображены напротив строки Группа, значение Включено отображено напротив строки Требовать Https, и URLs веб сайта DomainHRA и NonDomainHRA, настроенные в предыдущем разделе, отображены напротив строки URL.

    Как установить ipsec на сервере?

    Рисунок 49

  1. В окне командной строки введите netsh nap client show state и нажмите ENTER. В полученных результатах убедитесь, что в разделе Состояние клиента внедрения,статус Инициализирован для IPSec Relying Party имеет значение Да.

    Как установить ipsec на сервере?

    Рисунок 50

  1. Закройте окно командной строки.

Настройка брандмауэра Windows с расширенной безопасностью на разрешение VISTASP1 и VISTASP1-2 пинговать друг друга

Команд Ping будет использоваться для проверки сетевого подключения VISTASP1 и VISTASP1-2. Чтобы позволить VISTASP1 и VISTASP1-2 отвечать на команду ping, нужно настроить правило исключения для ICMPv4 на брандмауэре Windows.

Выполните следующие шаги на VISTASP1 и VISTASP1-2, чтобы эти машины могли пинговать друг друга через брандмауэр Windows с расширенной безопасностью:

  1. Перейдите в меню Пуск, введите Выполнить в поле Поиск и нажмите ENTER. Введите wf.msc в поле Выполнить и нажмите ENTER.
  2. В левой панели консоли правой клавишей нажмите Входящие правила (Inbound Rules), а затем выберите Новое правило.

    Nps

    Рисунок 51

  1. Выберите Пользовательское и нажмите Далее.

    Как установить ipsec на сервере?

    Рисунок 52

  1. Выберите Все программы и нажмите Далее.

    Изоляция домена

    Рисунок 53

  1. Напротив строки Тип протокола выберите ICMPv4 и нажмите Изменить.

    Как установить ipsec на сервере?

    Рисунок 54

  1. Выберите Определенные типы ICMP, отметьте опцию Эхо запрос (Echo Request), нажмите OK, а затем Далее.

    Как установить ipsec на сервере?

    Рисунок 55

  1. Нажмите Далее, чтобы принять стандартные границы.

    Как установить ipsec на сервере?

    Рисунок 56

  1. На странице Действие убедитесь, что выбрана опция Разрешать подключение и нажмите Далее.

    Как установить ipsec на сервере?

    Рисунок 57

  1. Нажмите Далее, чтобы принять стандартный профиль.
  2. В окне Имя в поле Название введите Allow Ping Inbound и нажмите Готово.

    Nps

    Рисунок 58

  1. Закройте консоль брандмауэра Windows.

Далее проверяем, что VISTASP1 и VISTASP1-2 могут пинговать друг друга.

Заключение

В этой части нашей серии статей о конфигурации NAP с политикой внедрения IPsec, мы настроили политику NAP IPsec, а затем настроили клиентов для тестирования. В следующей заключительной части мы протестируем клиентов и посмотрим, как автоматически назначаются и удаляются сертификаты безопасности, и как клиенты подключаются и отключаются от сети. До встречи!

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]