Введение в защиту доступа к сети (NAP) (Часть 3)

Published on Февраль 20, 2009 by   ·   Комментариев нет

Во второй части этой статьи я рассказал вам о процессе установки корпоративного сертификата, который используется сервером VPN Server. В этой статье я продолжу рассказ и покажу вам, как настраивать необходимый сервер VPN Server. В рамках этой статьи я установлю сервер сетевых политик Network Policy Server на тоже самый физический компьютер, что используется для сервера VPN Server. В реальной ситуации вы должны использовать различные компьютеры для каждой из этих ролей. Размещение обоих ролей на том же самом компьютере можно сделать лишь в тестовом окружении.

Основные задачи по конфигурации

Перед тем, как я покажу вам, как настроить этот сервер для работы в качестве сервера VPN server, вы должны выполнить некоторые основные задачи по конфигурации. В основном, это означает, что вы должны установить операционную систему Longhorn Server и настроить ее на использование статического IP адреса. Этот IP адрес должен попадать в тот же интервал, в котором работает контроллер домена, которые мы настроили ранее. В качестве предпочитаемого сервера Preferred DNS Server в его конфигурации TCP/IP configuration должен быть указан контроллер домена, который вы установили ранее в этой статье, т.к. он также работает в качестве сервера DNS server. После того, как вы закончите с начальной конфигурацией сервера VPN, вы должны использовать команду PING для того, чтобы проверить, что сервер VPN server может взаимодействовать с контроллером домена.

Подключение к домену

Теперь, когда вы указали TCP/IP конфигурацию компьютера и проверили, что к нему можно подключиться, пришло время приступить к настоящим задачам по конфигурации. Первое, что вы должны сделать – это подключить сервер к домену, который вы создали ранее в этой статье. Процесс подключения к домену в операционной системе Longhorn Server очень похож на тот же процесс в операционной системе Windows Server 2003. Щелкните правой кнопкой на команде Computer, которая находится в меню Start сервера. В результате этого действия Longhorn запустит апплет System из Control Panel. Теперь нажмите на кнопку Change Settings (изменить настройки), которая располагается в разделе Computer Name, Domain, and Workgroup Settings этого окна. В результате этого появится окно системных свойств (System Properties). Окно системных свойств очень похоже на аналогичное окно в операционной системе Windows Server 2003. Нажмите на кнопку Change (изменить), чтобы появилось диалоговое окно Computer Name Changes. Теперь выберите кнопку Domain, которая располагается в разделе Member of. Введите название вашего домена в поле Domain и нажмите на кнопку OK.

Теперь появится окно для ввода ваших прав. Введите имя пользователя (username) и пароль (password) для учетной записи администратора домена и нажмите на кнопку Submit (принять). После короткой паузу вы должны увидеть диалоговое окно, приветствующее вас в домене. Нажмите на кнопку OK, и вы увидите другое диалоговое окно, сообщающее вaм, что вы должны перегрузить ваш компьютер. Нажмите на кнопку OK еще раз, а затем нажмите на кнопку Close (закрыть). После перезагрузки компьютера вы станете членом домена, который вы указали.

Установка маршрутизации и удаленного доступа

Теперь пришло время установить службу маршрутизации и удаленного доступа (Routing and Remote Access service). Затем мы настроим эту службу, чтобы наш сервер работал в роли сервера VPN. Начнем процесс с запуска менеджера сервера. Вы можете найти ярлык для менеджера сервера в меню Администрирование. После запуска менеджера сервера перейдите в раздел Roles Summary, который можно найти в окне подробно. Теперь нажмите на ссылку Add Roles (добавить роли) для запуска мастера по добавлению ролей Add Roles Wizard.

После запуска мастера нажмите на кнопку Next для того, чтобы пропустить окно приветствия. Теперь вы увидите окно, спрашивающее вас о том, какие роли вы хотите установить на сервере. Выберите ссылку, соответствующую Network Access Services (службы сетевого доступа). Нажмите на кнопку Next (далее) и вы увидите экран, который представляет собой введение в службы сетевого доступа (Network Access Services). Нажмите на кнопку Next еще раз, и вы увидите экран, на котором вы можете выбрать компоненты службы сетевого доступа Network Access Services, которые вы хотите установить. Отметьте позиции, соответствующие службам Network Policy Server, и Routing and Remote Access Services.

Если вы выберите поле для службы Routing and Remote Access Services, то автоматически будут выбраны служба удаленного доступа (Remote Access Service), служба маршрутизации (Routing), а также набор Connection Manager Administration Kit. Вы должны оставить выбранным поле для службы удаленного доступа Remote Access Service, т.к. вместе с ней будут установлены компоненты, необходимые для работы нашего сервера в качестве сервера VPN. Другие два поля дополнительные. Если вы хотите, чтобы сервер работал, как маршрутизатор NAT router или использовал протоколы маршрутизации, такие как IGMP proxy или RIP, то вы должны оставить выбранным также поле Routing. В противном случае вы можете не выбирать ее.

Нажмите на кнопку Next (далее) и вы увидите экран, который отобразит общую информацию о службах, которые вы собираетесь установить. Предполагая, что все в порядке, нажимаем на кнопку Install (установить), чтобы приступить к процессу установки. Никто не знает, сколько будет длиться процесс установки на финальной версии операционной системы Longhorn Server. Однако, на моем тестовом сервере, который работает под управлением бета версии операционной системы Longhorn, процесс установки занял несколько минут. На деле, возникает иллюзия, что сервер заблокирован на время процесса установки. После завершения процесса установки нажмите на кнопку Close (закрыть).

После установки служб сетевого доступа, необходимо настроить службы маршрутизации и удаленного доступа Routing and Remote Access Services для работы с VPN соединениями. Начните с ввода команды MMC в командной строке сервера. В результате такого действия откроется пустая консоль управления Microsoft Management console. Выберите команду Add/Remove Snap-in из меню файл (File). Windows отобразит список доступных дополнений. Выберите Routing and Remote Access Snap-in из списка и нажмите на кнопку Add (добавить), а затем на кнопку OK. Дополнение для маршрутизации и удаленного доступа загрузится в консоль.

Щелкните правой кнопкой мыши на контейнер Server Status (статус сервера в консоли) и выберите команду Add Server (добавить сервер) из контекстного меню. Затем выберите настройку This Computer (этот компьютер) и нажмите на кнопку OK. Теперь в консоли должен отобразиться список для вашего сервера. Щелкните правой кнопкой мыши на списке для сервера и выберите команду Configure and Enable Routing and Remote Access (настроить и подключить маршрутизацию и удаленный доступ) из контекстного меню. В результате этого Windows запустит мастера Routing and Remote Access Server Setup Wizard.

Нажмите на кнопку Next (далее), для того чтобы пропустить экран приветствия мастера. Теперь вы увидите экран, на котором вас спросят, какую конфигурацию вы хотите использовать. Выберите Remote Access (удаленный доступ — dial-up или VPN) и нажмите на кнопку Next (далее). В следующем окне вы сможете выбрать между настройкой dial-up или VPN доступом. Выберите поле VPN и нажмите на кнопку Next (далее).

Теперь помощник откроет перед вами окно с параметрами VPN соединения. Выберите сетевой интерфейс (network interface), который будут использовать клиенты для подключения к серверу VPN и уберите галочку напротив поля Enable Security on the Selected Interface by Setting up Static Packet Filters. Нажмите на кнопку Next (далее), а затем выберите настройку From a Specified Address и снова нажмите на кнопку Next (далее).

После этого вы увидите окно, в котором вам необходимо ввести интервал IP адресов, которые можно назначать клиентам VPN. Нажмите на кнопку New (Новый) и введите начальный и конечный адреса для интервала IP адресов. Нажмите на кнопку OK, а затем на кнопку Next. В результате этого Windows откроет окно Managing Multiple Remote Access Server.

На следующем этапе необходимо выбрать Yes для настройки сервера для работы с сервером Radius server. Теперь вам необходимо будет ввести IP адрес для сервера Radius server. Т.к. NPS будет работать на том же самом компьютере, на котором работают службы маршрутизации и удаленного доступа, то просто введите IP адрес вашего сервера в качестве основного и дополнительного адреса сервера Radius. Вам также необходимо будет ввести shared secret. В демонстрационных целях просто введите rras в качестве shared secret. Нажмите на кнопку Next (далее), а затем на кнопку Finish (завершить). Теперь вы увидите пару предупреждающих сообщений. Нажмите на кнопку OK для закрытия каждого из сообщений.

Последний этап в процессе конфигурации RRAS заключается в настройке схемы аутентификации. Для этого нажмите правой кнопкой мыши на список для вашего сервера и выберите команду Properties (свойства) из контекстного меню. Когда вы увидите окно свойств сервера перейдите на закладку Security (безопасность). Теперь добавьте EAP-MSCHAPv2 и PEAP в разделе Authentication Methods и нажмите на кнопку OK.

Заключение

В этой статье я показал вам, как устанавливать и настраивать службы маршрутизации и удаленного доступа таким образом, чтобы сервер работал в качестве VPN сервера. В следующей части этой статьи я продолжу свой рассказ и покажу вам, как настроить компонент сервера сетевой политики.

www.windowsnetworking.com


Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]