Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам:
Во второй части этой серии статей я показывал, как устанавливать производственный центр сертификации (Enterprise Certificate Authority), и как подготавливать остальную часть сетевой инфраструктуры, которая потребуется для корректной работы NAP. В этой части я покажу вам, как настраивать нужный VPN сервер. В целях написания этой статьи я установлю сервер сетевой политики (Network Policy Server) на тот же физический компьютер, который будет использоваться для сервера VPN. В условиях реальной установки, как правило, используется два различных компьютера для этих ролей из соображений безопасности. Расположение обеих ролей на одном компьютере будет использоваться исключительно в тестовой среде.
Прежде чем я покажу вам, как настраивать этот сервер на работу в качестве сервера VPN, нужно выполнить некоторые базовые задачи настройки. По сути, это означает, что нужно установить Windows Server 2008, и настроить его на использование статичного IP адреса. IP адрес должен входить в тот же диапазон, что и контроллер домена, настроенный ранее. Вдобавок, параметры предпочитаемого DNS сервера для этого сервера в его конфигурации TCP/IP должны указывать на контроллер домена, настроенный ранее, так как он также действует в качестве DNS сервера. После завершения начальной настройки сервера VPN необходимо воспользоваться командой PING, чтобы убедиться, что VPN сервер может взаимодействовать с контроллером домена.
Теперь, когда вы указали конфигурацию TCP/IP для машины и проверили ее подключение, можно начинать собственно процесс настройки. Первое, что нужно будет сделать, это присоединить сервер к домену, который мы создали ранее в этой серии. Процесс присоединения к домену для Windows Server 2008 очень похож на такой же процесс для Windows Server 2003.
Чтобы присоединить сервер к домену, правой клавишей нажмите на команде Компьютер, расположенной в меню Пуск сервера, и выберите Свойства из появившегося контекстного меню. После этого Windows откроет приложение Панели управления системой. Теперь нажмите кнопку Изменить параметры, расположенную в разделе Имя компьютера, Параметры домена и рабочей группы, в этом окне. В результате у вас откроется страница Свойств системы. Страница Свойств системы практически идентична такой же странице в Windows Server 2003, как показано на рисунке A. Нажмите кнопку Изменить, чтобы вызвать диалоговое окно Изменить имя компьютера. На рисунке A, кнопка Изменить неактивна, так как сервер уже был присоединен к домену. Теперь выберите кнопку Домен, расположенную в разделе диалогового окна «Участники». Введите имя вашего домена в поле Домен и нажмите OK.
Рисунок A: Страница свойств системы практически идентична такой же странице в Windows Server 2003
Теперь у вас должно открыться диалоговое окно, запрашивающее мандаты. Введите имя пользователя и пароль учетной записи администратора домена и нажмите кнопку Утвердить (Submit). После кратковременной паузы у вас должно открыться диалоговое окно, приглашающее в домен. Нажмите OK, и у вас откроется другое окно, говорящее, что нужно перезагрузить компьютер. Нажмите OK еще раз, после чего нужно нажать кнопку Закрыть. После перезагрузки компьютера машина должна быть членом домена, который вы указали.
Пришло время установить службы маршрутизации и удаленного доступа. В качестве части процесса установки мы настроим эту службу на работу в роли VPN сервера. Начинаем процесс с открытия Диспетчера сервера (Server Manager). Вы найдете ярлык Диспетчера сервера в меню Администрирования. Когда диспетчер сервера откроется, пролистайте раздел Обзор ролей в панели подробностей. Теперь нажмите на ссылке Добавить роли и запустите мастера добавления ролей.
Когда мастер откроется, нажмите Далее, чтобы пропустить приветственное окно. После этого у вас должно появиться окно, спрашивающее о том, какие роли вы хотите установить на сервер. Отметьте строку, соответствующую опции Сетевой политики и Службам доступа. Нажмите кнопку Далее, после чего у вас откроется вводная страница Сетевой политики и служб доступа. Нажмите Далее еще раз и у вас откроется страница, на которой производится выбор компонентов сетевой политики и службы доступа, которые вы хотите установить. Отметьте строки сервера сетевой политики Network Policy Server, а также маршрутизации и удаленного доступа, как показано на рисунке B.
Рисунок B: Выбор опций сервера сетевой политики и служб маршрутизации и удаленного доступа
Когда вы выбираете опции служб маршрутизации и удаленного доступа, служба удаленного доступа и маршрутизация будет выбрана автоматически. Вам нужно оставить эти поля выбранными, так как они установят компоненты, необходимые для работы сервера в качестве VPN.
Нажмите кнопку Далее, после чего у вас появится окно с обзором служб, которые будут установлены. Предположив, что все нормально, нажимаем кнопку Установить, чтобы начать процесс установки. Теперь можно сделать перерыв, так как процесс установки может занять несколько минут в зависимости от аппаратного оборудования. По завершении процесса установки нажмите кнопку Закрыть.
После того как службы сетевого доступа были установлены, нужно настроить службы маршрутизации и удаленного доступа на принятие VPN соединений. Открываем Диспетчера сервера и переходим в древе консоли в Диспетчер сервера | Роли | Служба сетевой политики и доступа | Маршрутизация и удаленной доступ. Теперь правой клавишей нажимаем на вкладке «Маршрутизация и удаленный доступ» и выбираем команду «Настроить и включить маршрутизацию и удаленный доступ» из появившегося контекстного меню. После этого Windows откроет мастера установки сервера маршрутизации и удаленного доступа.
Нажмите Далее, чтобы пропустить приветственное окно мастера. Теперь должно открыться окно, спрашивающее о том, какую конфигурацию вы хотите использовать. Выберите опцию Удаленный доступ (dial-up или VPN), как показано на рисунке C, и нажмите Далее. Следующее окно даст вам выбор между настройкой dial-up или VPN доступа. Отметьте галочкой строку VPN и нажмите Далее.
Рисунок C: Выбор опции удаленного доступа (Dial-Up или VPN)
Теперь мастер откроет страницу VPN соединения. Выбираем сетевой интерфейс, который будет использоваться клиентами для подключения к VPN серверу и отменяем выбор опции «Включить безопасность для выбранного интерфейса» путем выбора опции Фильтры статичных пакетов (Static Packet Filters), как показано на рисунке D.
Рисунок D: Выбираем сетевой адаптер, который будет использоваться для входящих VPN запросов
Нажмите Далее, и у вас появится окно, спрашивающее о том, хотите ли вы присвоить IP адреса клиентам автоматически, или вы хотите получить адреса из указанного диапазона адресов. Выбираем опцию «Из указанного диапазона адресов» и жмем Далее.
Сейчас у вас должно открыться окно, в котором вам нужно будет ввести диапазон IP адресов, которые могут назначаться VPN клиентам. Нажмите кнопку Новый и введите начальный и конечный адрес диапазона IP адресов, как показано на рисунке E. Когда все готово, нажмите OK, а затем Далее. Теперь Windows откроет страницу Управление несколькими удаленными доступами сервера.
Рисунок E: Вы должны ввести диапазон IP адресов, присваиваемых клиентам
Теперь мастер спросит, хотите ли вы, чтобы RRAS сервер аутентифицировал запросы подключения, или вы хотите использовать RADIUS сервер. RRAS имеет все возможности выполнения необходимой аутентификации, но в больших организациях часто используется несколько RRAS серверов, и поэтому с точки зрения управления проще использовать централизованный сервер RADIUS для аутентификации.
Выберите опцию Да, чтобы настроить сервер на работу с сервером Radius. Теперь от вас потребуется ввести IP адрес для вашего сервера Radius. На самом деле мы не настроили сервер RADIUS, но позже мы установим RADIUS на сервере VPN. И опять же, в условиях реальной установки сервер RADIUS нужно устанавливать на отдельный сервер. Сейчас просто вводим IP адрес сервера в качестве основного и вторичного адреса сервера Radius. От вас также потребуется ввести общий секрет (shared secret). В целях демонстрации просто вводим rras в качестве общего секрета. Когда все готово, нажмите Далее, Закончить. Теперь у вас появится пара предупреждений. Просто нажмите OK, чтобы закрыть каждое сообщение.
Последним шагом в этом процессе настройки RRAS будет установка схемы аутентификации. Для этого нужно вернуться к диспетчеру сервера, правой клавишей нажать на вкладке Маршрутизация и удаленный доступ и выбрать Свойства из появившегося контекстного меню. Когда вы это сделаете, у вас откроется страница свойств сервера. Перейдите по вкладке Безопасность и нажмите кнопку Способ аутентификации. Убедитесь, что опции MSCHAPv2 и EAP отмечены галочками, как показано на рисунке F, и нажмите OK.
Рисунок F: Проверка того, что опции MSCHAPv2 и EAP отмечены
В этой части я показал вам, как устанавливать и настраивать службы маршрутизации и удаленного доступа так, чтобы сервер мог действовать в качестве VPN сервера. В следующей части этой серии статей я покажу вам, как настраивать компоненты сервера сетевой политики NPS.
www.windowsnetworking.com