Пакет управления подключениями Windows Server 2008 Connection Manager Administration Kit

Published on Февраль 5, 2009 by   ·   Комментариев нет

Как и предыдущие версии Windows Server, Windows Server 2008 включает отличный пакет управления подключениями Connection Manager Administration Kit (CMAK), который можно использовать для создания объектов подключения (connectoids) VPN, которые пользователи могут использовать для подключения к вашему Windows Server 2008 VPN серверу. На самом деле можно использовать эти объекты для подключения к любому Windows VPN серверу, если использовать поддерживаемые протоколы.

Преимущество использования CMAK заключается в том, что вы можете создавать исполняемые файлы, которые пользователи смогут загружать с веб сайтов. Затем, все, что им нужно будет сделать, это дважды нажать на этом файле, и объект подключения, который вы для них настроили, будет автоматически установлен на их компьютеры. Затем пользователям нужно будет дважды нажать на объект подключения в папке «Сетевые подключения», чтобы вызвать ваше VPN соединение. Этот метод значительно проще, чем пытаться научить ваших пользователей тому, как создавать собственные VPN соединения.

CMAK является параметром Windows Server 2008, который можно установить, используя менеджера Windows Server 2008 Server Manager. Просто нажмите на ссылке «Параметры» в левой панели консоли и выберите опцию Добавить функцию. На странице Выбор функций выберите Пакет управления подключениями откройте и установите его.

Затем вы можете открыть CMAK из меню Инструменты администрирования. Первое, что вы увидите, это приветственная страница мастера Welcome to the Connection Manager Administration Kit Wizard. Нажмите Далее.

Подключение принтера по vpn

Рисунок 1

На странице Выберите целевую ОС вы выбираете операционную систему, для которой хотите создать объект подключения. Одной основной разницей между Windows XP и Windows Vista является то, что Vista поддерживает SSTP SSL VPN протоколы. В этом примере мы выберем опцию Windows Vista и нажмем Далее.

Подключение принтера по vpn

Рисунок 2

На странице Создать или изменить профиль менеджера подключений вы можете выбрать опцию создания нового профиля, или объединить параметры, созданные вами сейчас, с профилем, который вы создали ранее. В этом примере я буду создавать новый профиль. Нажмите Далее.

Как создать установочный файл?

Рисунок 3

На странице Указать имя службы и имя файла вы вводите имя объекта подключения и имя файла CMAK пакета. В этом примере мы определим имя службы как Corporate VPN. Это имя конечные пользователи увидят после установки CMAK пакета. В поле Имя файла мы введем CorpVPN. Это будет имя CMAK пакета, который будет создан, и имя файла, который пользователи будут скачивать и устанавливать.

Как создать установочный файл?

Рисунок 4

На странице Указать имя области вы вводите имя области для имени пользователя. Это обычно используется в том случае, если вы используете ваш ISP в качестве шлюза аутентификации на вашем VPN сервере. В этом примере мы не будем использовать имя области, поэтому жмем Далее.

Как создать установочный файл?

Рисунок 5

Вы можете внести информацию с других профилей на странице Ввести информацию из других профилей. Эта страница отличается от предыдущей, на которой вам была дана возможность обновить ранее созданный профиль. Эта страница позволяет нам импортировать информацию телефонной книги из нескольких других профилей. В этом примере у нас нет других профилей с информацией телефонной книги, поэтому жмем Далее.

Connection manager administration kit скачать

Рисунок 6

На странице Добавить поддержку VPN соединений вы можете настраивать объекты подключений VPN на соединение с VPN напрямую через Интернет, или через dial-up соединение. Dial-up соединения уже не так широко используются, поэтому здесь мы будет использовать VPN подключение напрямую через Интернет. Ставим флажок напротив строки Телефонная книга этого профиля, затем выбираем опцию всегда использовать один VPN сервер или разрешить пользователю выбирать VPN сервер перед соединением. Если вы выберите опцию разрешить пользователю выбирать VPN сервер перед соединением, вам придется найти .txt файл, который содержит имена этих серверов, как показано на рисунке ниже.

В этом примере у нас есть только один VPN сервер, или VPN сервер, который использует NLB и один IP адрес, поэтому мы введем этот IP адрес в поле Всегда использовать один VPN сервер. Жмем Далее.

Connection manager administration kit wizard

Рисунок 7

Connection manager administration kit wizard

Рисунок 8

На странице Создать или изменить VPN запись, вы можете задавать подробности конфигурации для VPN соединения. Стандартное значение Корпоративный VPN туннель уже будет создано за нас. Нажимаем кнопку Изменить, чтобы внести изменения.

Connection manager administration kit wizard

Рисунок 9

На вкладке Общие у вас есть опция включения и отключения совместного использования файлов и принтеров для VPN клиентов. Это обычно хорошая идея для клиентских подключений VPN, поскольку эти узлы, как правило, не имеют файлов и принтеров, которые они будут совместно использовать в сети, к которой подключаются. У вас также есть возможность включения IPv4 и IPv6 вместе или по отдельности для VPN клиента. В этом примере я активирую оба типа подключения IPv4 и IPv6.

Connection manager administration kit on 2008

Рисунок 10

На вкладке IPv4 мы можем устанавливать адреса предпочитаемого и альтернативного DNS сервера. Или можно их настроить таким образом, что клиенты будут получать эту информацию с VPN сервера. В большинстве случаев используется именно метод получения VPN клиентом этой информации с VPN сервера.

Вы также можете настроить объект так, что клиент будет использовать VPN соединение в качестве клиентского шлюза по умолчанию. Когда вы это делаете, то отключаете раздельное туннелирование, что очень хорошо. Однако это также означает, что когда клиент захочет подключиться к Интернету, ему придется делать это либо через VPN сервер, к которому он подключен, либо через Winsock и Web Proxy сервер (такой как ISA Firewall), который расположен на другой машине в сети. Хотя это налагает двойную нагрузку на ваше подключение к Интернету, отключение раздельного туннелирования является лучшей практикой при использовании VPN сетей и предоставляет больше безопасности.

Наконец, вы можете включить или отключать сжатие заголовков. По умолчанию оно включено и, по большому счету, лучше его оставить включенным. Это позволяет вам увеличить пропускную способность удаленных клиентских VPN соединений.

Windows server administration kit

Рисунок 11

Мы пропустим вкладку IPv6.

На вкладке Безопасность вы можете настроить объект так, чтобы клиент запрашивал шифрование. Вы также можете настроить VPN стратегию, которая представляет собой то, как VPN клиент будет пытаться подключиться к VPN серверу. Здесь у вас есть следующие опции:

  • Использовать только протокол «точка-точка» (PPTP)
  • Сначала пробовать протокол PPTP
  • Использовать только протокол L2TP
  • Сначала пробовать протокол L2ТP
  • Использовать только протокол SSTP
  • Сначала пробовать протокол SSTP

Клиент VPN будет пробовать VPN протоколы в следующем порядке: сначала PPTP, затем L2TP/IPsec и потом SSTP. Однако если вы выберите другой протокол в качестве первого, то порядок будет изменен. К примеру, если вы выберите опцию «сначала пробовать протокол SSTP VPN», то первым будет протокол SSTP, вторым – PPTP, и третьим – L2TP/IPsec.

В рамке Безопасность входа вы можете выбрать опции Использовать отрытый протокол аутентификации или Методы аутентификации. Если вы выберите первую опцию, то сможете настроить EAP аутентификацию, которую будете использовать. Если выберите вторую опцию, то можете отметить флажками те протоколы, которые хотите поддерживать, включая PAP, CHAP и MS-CHAPv2.

Windows server administration kit

Рисунок 12

Если вы выберите опцию PEAP, вы можете принудить клиента на подтверждение сертификата сервера, а также принудить его на подключение к определенному серверу, как определено в общем/субъектном имени сертификата сервера, предоставляемого клиенту VPN сервером. Вы также можете ограничить «Доверенные корневые центры сертификации» (Trusted Root Certification Authorities). Обратите внимание на то, что в этом примере я выбрал PEAP, но в нескольких статьях о PEAP на TechNet, говорилось о том, что PEAP не поддерживается на VPN клиентах. Возможно, это было ограничение версии Windows Server 2003, или ошибка в CMAK интерфейсе, или что-то еще. Я дам вам знать, если найду ответ на этот вопрос. Для дополнительной информации о PEAP для Windows Server 2003, перейдите по ссылке PEAP

Однако если вы посмотрите в этутаблицу то увидите, что PEAP-MS-CHAPv2 поддерживается для VPN соединений удаленного доступа.

Что такое administration kit wizard?

Рисунок 13

На вкладке Дополнительно вы можете ввести DNS суффикс, который будет использоваться клиентским VPN соединением, и который также будет использоваться для регистрации на DDNS в вашей внутренней сети, если DDNS включен для этих клиентов.

Что такое administration kit wizard?

Рисунок 14

На странице Добавить телефонную книгу вы можете включить номера, используемые для подключения к dial-up серверу, прежде чем VPN соединение установлено. Поскольку в этом примере мы не используем dial-up серверы, мы не будем создавать телефонную книгу.

Управление connection maqnager

Рисунок 15

На странице Укажите обновления таблицы маршрутизации вы можете выбрать опцию обновления таблицы маршрутизации на клиенте удаленного доступа VPN, чтобы он знал текущие маршруты, к которым подключен. Если вы выберите опцию Определить обновление таблицы маршрутизации, вам нужно будет предоставить файл маршрутизации, используя формат, описанный здесь.

Если вы введете запись в URL для файла маршрутизации, записи таблицы маршрутизации будут обновлены на основе записей, включенных в файл, на который ссылается этот URL.

Нажмите Далее.

Увеличить количество подключений server 2008

Рисунок 16

На странице Настройка параметров прокси для Internet Explorer вы устанавливаете веб прокси адрес, который обозреватель будет использовать, когда подключен к VPN. Обратите внимание на то, что это не тот же адрес, который клиент может использовать, когда он не подключен к VPN. Здесь есть следующие опции:

  • Не настраивать параметры прокси
  • Автоматически копировать параметры прокси Internet Explorer для текущего пользователя в интерфейс туннеля. Это предполагает, что пользователь уже настроил параметры веб прокси в Internet Explorer, которые отменяют точку автоматизации настройки клиента VPN
  • Автоматически настроить параметры прокси

Последняя опция требует того, чтобы вы создали текстовый файл, который содержит настроенные вами параметры прокси. Этот URL содержит подробное описание требований к текстовому файлу.

Настройка веб прокси сервера полезна, когда вам нужно, чтобы VPN клиент использовал веб прокси сервер, находящийся не на машине VPN сервера, к которому клиент будет подключаться. К тому же, большинство веб прокси серверов, используемых корпорациями, обладают возможностью фильтровать сайты и их содержимое, тем самым значительно повышая безопасность ваших клиентских VPN соединений удаленного доступа. Нажимаем Далее.

Увеличить количество подключений server 2008

Рисунок 17

Есть несколько настроек, которые вы можете создать, чтобы клиент VPN осуществлял их самостоятельно. Например, вы можете создать объект так, что перед созданием подключения нужно будет выполнить некоторые действия, а некоторые – нужно будет выполнить перед отключением. Здесь требуются определенные навыки разработчика, но если вас это заинтересовало, прочтите эту страницу CMAK для дополнительной информации.

Увеличить количество vpn подключений

Рисунок 18

На странице Отображать пользовательскую битовую карту входа, вы можете включить пользовательский график, который будет появляться в окне подключения клиента VPN. Если вы решили создать этот график, он должен иметь размеры 330×140 пикселей. Используйте кнопку Обзор, чтобы найти пользовательский график. В этом примере я не буду использовать график, поэтому приму параметры по умолчанию, Стандартный график и нажму Далее.

Создать пакет msi для vpn подключения

Рисунок 19

Вы также можете создавать пользовательский график для телефонной книги. Этот график должен иметь размеры 114×309 пикселей. В этом примере у нас нет телефонной книги, поэтому мы примем параметры по умолчанию, Стандартный график и нажмем Далее.

Создать пакет msi для vpn подключения

Рисунок 20

Вы даже можете создать пользовательские файлы иконок, которые будут отображаться в папке «Сетевой центр» или «Сетевые подключения». Это должны быть файлы с расширением .ico, чтобы их можно было использовать. У нас нет никаких пользовательских файлов иконок в этом примере, поэтому принимаем стандартное значение, Иконка по умолчанию и нажимаем Далее.

Скачать connection manager administration kit rus

Рисунок 21

Если у вас есть пользовательский файл помощи в формате .chm, вы можете выбрать его использование в качестве файла помощи на странице Включить пользовательский файл помощи. У нас нет такого файла, поэтому жмем Далее.

Скачать connection manager administration kit rus

Рисунок 22

На странице Отображать информацию поддержки клиентов вы можете указать телефонный номер, по которому пользователи смогут обращаться за технической поддержкой. Жмем Далее.

При vpn подключении не виден exchange

Рисунок 23

На странице Отображать лицензионное соглашение вы можете включить текстовый файл лицензионного соглашения, который пользователи будут видеть при установке объекта VPN подключения. В этом примере у нас отсутствует такой файл, поэтому жмем Далее.

При vpn подключении не виден exchange

Рисунок 24

На странице Установка дополнительных файлов с профилем менеджера соединений вы можете включить дополнительные файлы, которые могут использоваться для выполнения определенных действий перед и после подключения, а также для отключения. Например, если бы вам пришлось использовать функцию Windows Remote Access Quarantine Control (контроль карантина удаленного доступа), вам нужно было бы включить этот компонент или решение, как часть профиля. У нас нет никаких дополнительных файлов в этом примере, поэтому нажимаем Далее.

Подключение пользователей к серверу 2003

Рисунок 25

Вот и все! Профиль создан и установочный файл готов к компиляции. Нажмите Закончить, чтобы создать установочный файл CMAK.

Подключение к общему принтору по впн

Рисунок 26

Windows Explorer откроет папку, в которой содержится установочный файл. Помимо этого установочного файла папка будет содержать другие файлы, которые вы сможете использовать для обновления пакета. Скопируйте .exe файл в то место, из которого пользователи смогут его скачать, например, в общую папку или на веб сайт, а затем скажите пользователям, которым необходимо VPN подключение, чтобы они получили файл и установили его на своих компьютерах.

Подключение к общему принтору по впн

Рисунок 27

Давайте запустим файл и посмотрим на то, с чем придется столкнуться пользователям при его установке. Сначала у них появится диалоговое окно, в котором будет задан вопрос, хотят ли они установить Corporate VPN. Это то название, которое мы задали в самом начале работы с CMAK. Нажимаем Да.

У пользователя будет выбор либо сделать это подключение доступным для Всех пользователей или Только для меня. Однако пользователям необходимо знать о том, что если они будут входить через dial-up соединение, то им нужно будет сделать этот объект подключения доступным для Всех пользователей. В противном случае, на машине будут отсутствовать пользователи, регистрировавшиеся для выхода в сеть, до первого входа, и поэтому компьютер не сможет определить того, кто этот пользователь, а, следовательно, не позволит dial-up подключение. Если пользователи входят не через dial-up подключение, то могут использовать опцию Только для меня для более безопасной конфигурации.

Пакет управления сервером

Рисунок 28

Появляется диалоговое окно регистрации. Введите имя пользователя, пароль и домен, если VPN сервер входит в домен, в котором вы используете RADIUS для аутентификации домена. Нажмите Подключить. Вот и все! Пользователи будут подключены к VPN.

Пакет администрирования microsoft Windows server 2008

Рисунок 29

Резюме

Пакет CMAK предоставляет вам простой способ создания профилей службы подключения для пользователей VPN. Пользователям не нужно будет знать детали конфигурации, не нужно будет запоминать имя VPN сервера, и не нужно будет углубляться в подробности VPN протоколов, которые нужны для подключения к VPN серверу. Это должно снизить количество обращений в связи с проблемами настройки объектов соединения VPN в стол помощи. Обратите внимание на то, что хотя конфигурация предварительно настроена для пользователя, он/а может вносить свои изменения в конфигурацию, поэтому данный метод не предназначен для того, чтобы лишить конечных пользователей возможности настраивать конфигурацию своих приложений.

Источник www.windowsecurity.com


Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]