Sunday, November 19th, 2017

Защита сетевого доступа, повторение (часть 3)

Published on Февраль 23, 2009 by   ·   Комментариев нет

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам:

Во второй части этой серии статей я показывал, как устанавливать производственный центр сертификации (Enterprise Certificate Authority), и как подготавливать остальную часть сетевой инфраструктуры, которая потребуется для корректной работы NAP. В этой части я покажу вам, как настраивать нужный VPN сервер. В целях написания этой статьи я установлю сервер сетевой политики (Network Policy Server) на тот же физический компьютер, который будет использоваться для сервера VPN. В условиях реальной установки, как правило, используется два различных компьютера для этих ролей из соображений безопасности. Расположение обеих ролей на одном компьютере будет использоваться исключительно в тестовой среде.

Основные задачи настройки

Прежде чем я покажу вам, как настраивать этот сервер на работу в качестве сервера VPN, нужно выполнить некоторые базовые задачи настройки. По сути, это означает, что нужно установить Windows Server 2008, и настроить его на использование статичного IP адреса. IP адрес должен входить в тот же диапазон, что и контроллер домена, настроенный ранее. Вдобавок, параметры предпочитаемого DNS сервера для этого сервера в его конфигурации TCP/IP должны указывать на контроллер домена, настроенный ранее, так как он также действует в качестве DNS сервера. После завершения начальной настройки сервера VPN необходимо воспользоваться командой PING, чтобы убедиться, что VPN сервер может взаимодействовать с контроллером домена.

Присоединение к домену

Теперь, когда вы указали конфигурацию TCP/IP для машины и проверили ее подключение, можно начинать собственно процесс настройки. Первое, что нужно будет сделать, это присоединить сервер к домену, который мы создали ранее в этой серии. Процесс присоединения к домену для Windows Server 2008 очень похож на такой же процесс для Windows Server 2003.

Чтобы присоединить сервер к домену, правой клавишей нажмите на команде Компьютер, расположенной в меню Пуск сервера, и выберите Свойства из появившегося контекстного меню. После этого Windows откроет приложение Панели управления системой. Теперь нажмите кнопку Изменить параметры, расположенную в разделе Имя компьютера, Параметры домена и рабочей группы, в этом окне. В результате у вас откроется страница Свойств системы. Страница Свойств системы практически идентична такой же странице в Windows Server 2003, как показано на рисунке A. Нажмите кнопку Изменить, чтобы вызвать диалоговое окно Изменить имя компьютера. На рисунке A, кнопка Изменить неактивна, так как сервер уже был присоединен к домену. Теперь выберите кнопку Домен, расположенную в разделе диалогового окна «Участники». Введите имя вашего домена в поле Домен и нажмите OK.

Защита статичного IP адреса

Рисунок A: Страница свойств системы практически идентична такой же странице в Windows Server 2003

Теперь у вас должно открыться диалоговое окно, запрашивающее мандаты. Введите имя пользователя и пароль учетной записи администратора домена и нажмите кнопку Утвердить (Submit). После кратковременной паузы у вас должно открыться диалоговое окно, приглашающее в домен. Нажмите OK, и у вас откроется другое окно, говорящее, что нужно перезагрузить компьютер. Нажмите OK еще раз, после чего нужно нажать кнопку Закрыть. После перезагрузки компьютера машина должна быть членом домена, который вы указали.

Установка маршрутизации и удаленного доступа

Пришло время установить службы маршрутизации и удаленного доступа. В качестве части процесса установки мы настроим эту службу на работу в роли VPN сервера. Начинаем процесс с открытия Диспетчера сервера (Server Manager). Вы найдете ярлык Диспетчера сервера в меню Администрирования. Когда диспетчер сервера откроется, пролистайте раздел Обзор ролей в панели подробностей. Теперь нажмите на ссылке Добавить роли и запустите мастера добавления ролей.

Когда мастер откроется, нажмите Далее, чтобы пропустить приветственное окно. После этого у вас должно появиться окно, спрашивающее о том, какие роли вы хотите установить на сервер. Отметьте строку, соответствующую опции Сетевой политики и Службам доступа. Нажмите кнопку Далее, после чего у вас откроется вводная страница Сетевой политики и служб доступа. Нажмите Далее еще раз и у вас откроется страница, на которой производится выбор компонентов сетевой политики и службы доступа, которые вы хотите установить. Отметьте строки сервера сетевой политики Network Policy Server, а также маршрутизации и удаленного доступа, как показано на рисунке B.

Защита статичного IP адреса

Рисунок B: Выбор опций сервера сетевой политики и служб маршрутизации и удаленного доступа

Когда вы выбираете опции служб маршрутизации и удаленного доступа, служба удаленного доступа и маршрутизация будет выбрана автоматически. Вам нужно оставить эти поля выбранными, так как они установят компоненты, необходимые для работы сервера в качестве VPN.

Нажмите кнопку Далее, после чего у вас появится окно с обзором служб, которые будут установлены. Предположив, что все нормально, нажимаем кнопку Установить, чтобы начать процесс установки. Теперь можно сделать перерыв, так как процесс установки может занять несколько минут в зависимости от аппаратного оборудования. По завершении процесса установки нажмите кнопку Закрыть.

После того как службы сетевого доступа были установлены, нужно настроить службы маршрутизации и удаленного доступа на принятие VPN соединений. Открываем Диспетчера сервера и переходим в древе консоли в Диспетчер сервера | Роли | Служба сетевой политики и доступа | Маршрутизация и удаленной доступ. Теперь правой клавишей нажимаем на вкладке «Маршрутизация и удаленный доступ» и выбираем команду «Настроить и включить маршрутизацию и удаленный доступ» из появившегося контекстного меню. После этого Windows откроет мастера установки сервера маршрутизации и удаленного доступа.

Нажмите Далее, чтобы пропустить приветственное окно мастера. Теперь должно открыться окно, спрашивающее о том, какую конфигурацию вы хотите использовать. Выберите опцию Удаленный доступ (dial-up или VPN), как показано на рисунке C, и нажмите Далее. Следующее окно даст вам выбор между настройкой dial-up или VPN доступа. Отметьте галочкой строку VPN и нажмите Далее.

Защита статичного IP адреса

Рисунок C: Выбор опции удаленного доступа (Dial-Up или VPN)

Теперь мастер откроет страницу VPN соединения. Выбираем сетевой интерфейс, который будет использоваться клиентами для подключения к VPN серверу и отменяем выбор опции «Включить безопасность для выбранного интерфейса» путем выбора опции Фильтры статичных пакетов (Static Packet Filters), как показано на рисунке D.

Защита статичного IP адреса

Рисунок D: Выбираем сетевой адаптер, который будет использоваться для входящих VPN запросов

Нажмите Далее, и у вас появится окно, спрашивающее о том, хотите ли вы присвоить IP адреса клиентам автоматически, или вы хотите получить адреса из указанного диапазона адресов. Выбираем опцию «Из указанного диапазона адресов» и жмем Далее.

Сейчас у вас должно открыться окно, в котором вам нужно будет ввести диапазон IP адресов, которые могут назначаться VPN клиентам. Нажмите кнопку Новый и введите начальный и конечный адрес диапазона IP адресов, как показано на рисунке E. Когда все готово, нажмите OK, а затем Далее. Теперь Windows откроет страницу Управление несколькими удаленными доступами сервера.

Защита статичного IP адреса

Рисунок E: Вы должны ввести диапазон IP адресов, присваиваемых клиентам

Теперь мастер спросит, хотите ли вы, чтобы RRAS сервер аутентифицировал запросы подключения, или вы хотите использовать RADIUS сервер. RRAS имеет все возможности выполнения необходимой аутентификации, но в больших организациях часто используется несколько RRAS серверов, и поэтому с точки зрения управления проще использовать централизованный сервер RADIUS для аутентификации.

Выберите опцию Да, чтобы настроить сервер на работу с сервером Radius. Теперь от вас потребуется ввести IP адрес для вашего сервера Radius. На самом деле мы не настроили сервер RADIUS, но позже мы установим RADIUS на сервере VPN. И опять же, в условиях реальной установки сервер RADIUS нужно устанавливать на отдельный сервер. Сейчас просто вводим IP адрес сервера в качестве основного и вторичного адреса сервера Radius. От вас также потребуется ввести общий секрет (shared secret). В целях демонстрации просто вводим rras в качестве общего секрета. Когда все готово, нажмите Далее, Закончить. Теперь у вас появится пара предупреждений. Просто нажмите OK, чтобы закрыть каждое сообщение.

Последним шагом в этом процессе настройки RRAS будет установка схемы аутентификации. Для этого нужно вернуться к диспетчеру сервера, правой клавишей нажать на вкладке Маршрутизация и удаленный доступ и выбрать Свойства из появившегося контекстного меню. Когда вы это сделаете, у вас откроется страница свойств сервера. Перейдите по вкладке Безопасность и нажмите кнопку Способ аутентификации. Убедитесь, что опции MSCHAPv2 и EAP отмечены галочками, как показано на рисунке F, и нажмите OK.

Защита статичного IP адреса

Рисунок F: Проверка того, что опции MSCHAPv2 и EAP отмечены

Заключение

В этой части я показал вам, как устанавливать и настраивать службы маршрутизации и удаленного доступа так, чтобы сервер мог действовать в качестве VPN сервера. В следующей части этой серии статей я покажу вам, как настраивать компоненты сервера сетевой политики NPS.

www.windowsnetworking.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]