В предыдущей части этого цикла статей я показал вам, как установить группу безопасности, которую можно использовать для выделения компьютеров, которые будут управляться с использованием NAP. Этой статьей я завершаю цикл, и покажу вам, как сделать клиентский компьютер членом только что созданной группы, а также мы проведем несколько тестов, которые позволят нам убедиться, что функция remote access quarantine enforcement работает. Кроме того, я покажу, как подключаться к вашей сети VPN с удаленным доступом.
Наша очередная задача состоит в том, чтобы добавить несколько клиентских компьютеров в группу безопасности, созданную в предыдущей статье. Начнем процесс с открытия консоли Active Directory Users and Computers, затем выберем контейнер, содержащий имя нашего домена. Причина выбора именно этого контейнера состоит в том, что мы создавали группу безопасности на уровне домена, а не помещали ее в контейнер Users.
При выборе контейнера уровня домена вы должны увидеть группу NAP Clients, отображенную в панели детализации. Сделайте двойной щелчок мышью на этой группе, и Windows откроет окно свойств группы. Перейдите в окне на вкладку Members и щелкните на кнопку Add. Теперь введите имя клиентского компьютера. Затем щелкните на кнопку Locations и выберите контейнер Computers; щелкните OK. Когда Windows возвращает вас на экран Select Users, Contacts, Computers, or Groups, щелкните на кнопку Check Names для проверки, может ли Windows найти ваш клиентский компьютер. Теперь для завершения процесса надо два раза щелкнуть OK.
Теперь, когда клиентский компьютер добавлен в группу безопасности, пришла пора проверить, применяются ли на этом компьютере настройки политики группы, связанные с NAP. Перед этим, однако, нужно перезагрузить клиентскую машину, а затем войти в систему как стандартный пользователь.
После входа в систему откройте окно командной строки и введите следующую команду:
NETSH NAP CLIENT SHOW GROUPPOLICY
После этого вы должны увидеть набор данных, аналогичных показанным на Рисунке A.
Рисунок A: Введите команду NETSH NAP CLIENT SHOW GROUPPOLICY в командной строке
Как вы видите на рисунке, есть несколько типов встроенных в Windows клиентов enforcement client. Это потому, что NAP может настраиваться несколькими различными способами. Поскольку мы используем NAP для контроля доступа к серверу VPN, единственным клиентов enforcement client, в котором мы заинтересованы, является Remote Access Quarantine Enforcement Client. Посмотрите под Remote Access Quarantine Enforcement Client и убедитесь, что Admin line установлена в Enabled, как на рисунке выше. Другие клиенты enforcement client должны быть отключены в данной конкретной конфигурации.
Для следующего теста введите команду:
NETSH NAP CLIENT SHOW STATE
Как вы видите на Рисунке B, в результате выводится довольно много данных. Перейдите к секции Remote Access Quarantine Enforcement Client. Проверьте, инициализирован ли клиент Remote Access Quarantine Enforcement Client.
Рисунок B: Проверьте, инициализирован ли клиент Remote Access Quarantine Enforcement Client
Если оба этих теста успешно пройдены, это означает, что настройки политики группы, связанные с NAP, успешно применяются на клиенте. В этом случае просто закройте окно командной строки. В противном случае вам необходимо вернуться назад и еще раз проверить все настройки.
Последний шаг в процессе настройки состоит из подключения VPN соединения к серверу удаленного доступа. Сделать это очень просто. В Windows Vista откройте панель управления, сделайте двойной щелчок на иконке Network and Sharing Center. После этого щелкните на ссылке Setup a Connection or Network, расположенной на панели Tasks. Теперь вы должны увидеть экран, аналогичный показанному на Рисунке C, где вас спрашивают о типе соединения, который вы хотите создать.
Hисунок C:
Выберите опцию Connect to Workplace и щелкните NextВыберите опцию Connect to a Workplace и щелкните Next. Если сетевые соединения уже существуют, Windows задаст вам вопрос, хотите ли вы создать новое соединения или использовать уже имеющееся. Выберите опцию создания нового соединения и щелкните Next..
На следующем экране вас спросят, хотите ли вы использовать ваше соединение с Интернетом, или вы хотите создать соединение с прямым набором номера. Выберите опцию Use My Internet Connection (VPN). Теперь вам предложат ввести адрес в Интернете и целевое имя. Введите либо IP-адрес сервера RRAS, либо URL в поле Internet Address, а затем введите описание соединения в поле Destination Name. Вы должны также выбрать опцию Don’t Connect Now.
Щелкните Next, и вы перейдете на экран, где вам предложат возможность ввести ваши аутентификационные данные. Можете сохранять эти данные или не сохранять – это ваше дело. После этого щелкните на кнопку Create, и новое соединение будет создано. Щелкните Close, чтобы закрыть диалоговое окно.
Теперь, когда VPN соединение создано, нужно сделать некоторые настройки, касающиеся безопасности. Для этого щелкните правой кнопкой мыши на только что созданном соединении, и затем выберите команду Properties в появившемся меню.
Когда Windows откроет окно свойств соединения, перейдите на вкладку Security и выберите опцию Advanced. Затем щелкните на кнопку Settings.
Windows теперь отобразит диалоговое окно Advanced Security Settings, показанное на Рисунке E. Выберите опцию Require Encryption (Disconnect if Server Declines) из выпадающего списка Data Encryption. Теперь выберите опцию Use Extensible Authentication Protocol (EAP), и затем Protected EAP (PEAP) (Encryption Enabled) в секции Logon Security.
Теперь вы должны щелкнуть на кнопку Properties. При этом Windows отобразит диалоговое окно Protected EAP Properties. Убедитесь, что выбраны опции Validate Server Certificate и the Connect to these Servers. Вам также необходимо убедиться, что текстовое окно под опцией Connect to These Servers содержит список для соответствующего сервера.
Центральная секция диалогового окна содержит список различных центров сертификации. Для простоты всего лишь отметьте все центры сертификации. В нижней секции диалогового окна убедитесь, что опция Select Authentication Method выставлена в Secure Password (EAP-MSCHAP v2), а также выбрана опция Enable Quarantine Checks.
Далее вам нужно щелкнуть кнопку Configure и затем выбрать Automatically Use My Windows Logon Name and Password (and Domain if Any). Щелкните OK четыре раза для закрытия различных диалоговых окон.
Теперь мы, наконец, готовы осуществить проверку NAP. Как вы, возможно, помните, у вас есть возможность требовать любое число критериев состояния для клиентов, но для демонстрационных целей мы всего лишь потребуем, чтобы на клиентской машине был включен Windows Firewall. Для этого нужно открыть Windows Security Center на клиентской машине и выключить Windows Firewall. После этого я рекомендую оставить экран Windows Security Center (Рисунок D), чтобы вы могли сразу проверить статус брандмауэра Windows Firewall.
Рисунок D: Убедитесь в том, что Windows Firewall выключен
Теперь откройте панель управления и сделайте двойной щелчок на иконке Network and Sharing Center. Когда следующий экран откроется, щелкните на ссылку Connect to a Network. Затем щелкните на VPN соединение, созданное вами ранее, и щелкните на кнопку Connect. Когда Windows зарегистрирует ваш компьютер в сети, Windows Firewall должен автоматически включиться .
Как вы видите, настройка вашего сервера удаленного доступа для использования NAP – довольно утомительная процедура. Однако старания обычно окупаются, и надежность вашей сети заметно возрастает.
www.windowsnetworking.com
Tags: domain, nat, vpn, Windows Vista