Во второй части этой статьи я рассказал вам о процессе установки корпоративного сертификата, который используется сервером VPN Server. В этой статье я продолжу рассказ и покажу вам, как настраивать необходимый сервер VPN Server. В рамках этой статьи я установлю сервер сетевых политик Network Policy Server на тоже самый физический компьютер, что используется для сервера VPN Server. В реальной ситуации вы должны использовать различные компьютеры для каждой из этих ролей. Размещение обоих ролей на том же самом компьютере можно сделать лишь в тестовом окружении.
Перед тем, как я покажу вам, как настроить этот сервер для работы в качестве сервера VPN server, вы должны выполнить некоторые основные задачи по конфигурации. В основном, это означает, что вы должны установить операционную систему Longhorn Server и настроить ее на использование статического IP адреса. Этот IP адрес должен попадать в тот же интервал, в котором работает контроллер домена, которые мы настроили ранее. В качестве предпочитаемого сервера Preferred DNS Server в его конфигурации TCP/IP configuration должен быть указан контроллер домена, который вы установили ранее в этой статье, т.к. он также работает в качестве сервера DNS server. После того, как вы закончите с начальной конфигурацией сервера VPN, вы должны использовать команду PING для того, чтобы проверить, что сервер VPN server может взаимодействовать с контроллером домена.
Теперь, когда вы указали TCP/IP конфигурацию компьютера и проверили, что к нему можно подключиться, пришло время приступить к настоящим задачам по конфигурации. Первое, что вы должны сделать – это подключить сервер к домену, который вы создали ранее в этой статье. Процесс подключения к домену в операционной системе Longhorn Server очень похож на тот же процесс в операционной системе Windows Server 2003. Щелкните правой кнопкой на команде Computer, которая находится в меню Start сервера. В результате этого действия Longhorn запустит апплет System из Control Panel. Теперь нажмите на кнопку Change Settings (изменить настройки), которая располагается в разделе Computer Name, Domain, and Workgroup Settings этого окна. В результате этого появится окно системных свойств (System Properties). Окно системных свойств очень похоже на аналогичное окно в операционной системе Windows Server 2003. Нажмите на кнопку Change (изменить), чтобы появилось диалоговое окно Computer Name Changes. Теперь выберите кнопку Domain, которая располагается в разделе Member of. Введите название вашего домена в поле Domain и нажмите на кнопку OK.
Теперь появится окно для ввода ваших прав. Введите имя пользователя (username) и пароль (password) для учетной записи администратора домена и нажмите на кнопку Submit (принять). После короткой паузу вы должны увидеть диалоговое окно, приветствующее вас в домене. Нажмите на кнопку OK, и вы увидите другое диалоговое окно, сообщающее вaм, что вы должны перегрузить ваш компьютер. Нажмите на кнопку OK еще раз, а затем нажмите на кнопку Close (закрыть). После перезагрузки компьютера вы станете членом домена, который вы указали.
Теперь пришло время установить службу маршрутизации и удаленного доступа (Routing and Remote Access service). Затем мы настроим эту службу, чтобы наш сервер работал в роли сервера VPN. Начнем процесс с запуска менеджера сервера. Вы можете найти ярлык для менеджера сервера в меню Администрирование. После запуска менеджера сервера перейдите в раздел Roles Summary, который можно найти в окне подробно. Теперь нажмите на ссылку Add Roles (добавить роли) для запуска мастера по добавлению ролей Add Roles Wizard.
После запуска мастера нажмите на кнопку Next для того, чтобы пропустить окно приветствия. Теперь вы увидите окно, спрашивающее вас о том, какие роли вы хотите установить на сервере. Выберите ссылку, соответствующую Network Access Services (службы сетевого доступа). Нажмите на кнопку Next (далее) и вы увидите экран, который представляет собой введение в службы сетевого доступа (Network Access Services). Нажмите на кнопку Next еще раз, и вы увидите экран, на котором вы можете выбрать компоненты службы сетевого доступа Network Access Services, которые вы хотите установить. Отметьте позиции, соответствующие службам Network Policy Server, и Routing and Remote Access Services.
Если вы выберите поле для службы Routing and Remote Access Services, то автоматически будут выбраны служба удаленного доступа (Remote Access Service), служба маршрутизации (Routing), а также набор Connection Manager Administration Kit. Вы должны оставить выбранным поле для службы удаленного доступа Remote Access Service, т.к. вместе с ней будут установлены компоненты, необходимые для работы нашего сервера в качестве сервера VPN. Другие два поля дополнительные. Если вы хотите, чтобы сервер работал, как маршрутизатор NAT router или использовал протоколы маршрутизации, такие как IGMP proxy или RIP, то вы должны оставить выбранным также поле Routing. В противном случае вы можете не выбирать ее.
Нажмите на кнопку Next (далее) и вы увидите экран, который отобразит общую информацию о службах, которые вы собираетесь установить. Предполагая, что все в порядке, нажимаем на кнопку Install (установить), чтобы приступить к процессу установки. Никто не знает, сколько будет длиться процесс установки на финальной версии операционной системы Longhorn Server. Однако, на моем тестовом сервере, который работает под управлением бета версии операционной системы Longhorn, процесс установки занял несколько минут. На деле, возникает иллюзия, что сервер заблокирован на время процесса установки. После завершения процесса установки нажмите на кнопку Close (закрыть).
После установки служб сетевого доступа, необходимо настроить службы маршрутизации и удаленного доступа Routing and Remote Access Services для работы с VPN соединениями. Начните с ввода команды MMC в командной строке сервера. В результате такого действия откроется пустая консоль управления Microsoft Management console. Выберите команду Add/Remove Snap-in из меню файл (File). Windows отобразит список доступных дополнений. Выберите Routing and Remote Access Snap-in из списка и нажмите на кнопку Add (добавить), а затем на кнопку OK. Дополнение для маршрутизации и удаленного доступа загрузится в консоль.
Щелкните правой кнопкой мыши на контейнер Server Status (статус сервера в консоли) и выберите команду Add Server (добавить сервер) из контекстного меню. Затем выберите настройку This Computer (этот компьютер) и нажмите на кнопку OK. Теперь в консоли должен отобразиться список для вашего сервера. Щелкните правой кнопкой мыши на списке для сервера и выберите команду Configure and Enable Routing and Remote Access (настроить и подключить маршрутизацию и удаленный доступ) из контекстного меню. В результате этого Windows запустит мастера Routing and Remote Access Server Setup Wizard.
Нажмите на кнопку Next (далее), для того чтобы пропустить экран приветствия мастера. Теперь вы увидите экран, на котором вас спросят, какую конфигурацию вы хотите использовать. Выберите Remote Access (удаленный доступ — dial-up или VPN) и нажмите на кнопку Next (далее). В следующем окне вы сможете выбрать между настройкой dial-up или VPN доступом. Выберите поле VPN и нажмите на кнопку Next (далее).
Теперь помощник откроет перед вами окно с параметрами VPN соединения. Выберите сетевой интерфейс (network interface), который будут использовать клиенты для подключения к серверу VPN и уберите галочку напротив поля Enable Security on the Selected Interface by Setting up Static Packet Filters. Нажмите на кнопку Next (далее), а затем выберите настройку From a Specified Address и снова нажмите на кнопку Next (далее).
После этого вы увидите окно, в котором вам необходимо ввести интервал IP адресов, которые можно назначать клиентам VPN. Нажмите на кнопку New (Новый) и введите начальный и конечный адреса для интервала IP адресов. Нажмите на кнопку OK, а затем на кнопку Next. В результате этого Windows откроет окно Managing Multiple Remote Access Server.
На следующем этапе необходимо выбрать Yes для настройки сервера для работы с сервером Radius server. Теперь вам необходимо будет ввести IP адрес для сервера Radius server. Т.к. NPS будет работать на том же самом компьютере, на котором работают службы маршрутизации и удаленного доступа, то просто введите IP адрес вашего сервера в качестве основного и дополнительного адреса сервера Radius. Вам также необходимо будет ввести shared secret. В демонстрационных целях просто введите rras в качестве shared secret. Нажмите на кнопку Next (далее), а затем на кнопку Finish (завершить). Теперь вы увидите пару предупреждающих сообщений. Нажмите на кнопку OK для закрытия каждого из сообщений.
Последний этап в процессе конфигурации RRAS заключается в настройке схемы аутентификации. Для этого нажмите правой кнопкой мыши на список для вашего сервера и выберите команду Properties (свойства) из контекстного меню. Когда вы увидите окно свойств сервера перейдите на закладку Security (безопасность). Теперь добавьте EAP-MSCHAPv2 и PEAP в разделе Authentication Methods и нажмите на кнопку OK.
В этой статье я показал вам, как устанавливать и настраивать службы маршрутизации и удаленного доступа таким образом, чтобы сервер работал в качестве VPN сервера. В следующей части этой статьи я продолжу свой рассказ и покажу вам, как настроить компонент сервера сетевой политики.
www.windowsnetworking.com
Tags: dns, domain, nat, proxy, vpn