На этой странице
Развертывание инфраструктуры сертификата
Инфраструктура сертификата для VPN-подключений на основе протокола PPTP необходима только в тех случаях, когда для проверки подлинности Вы используете смарт-карты или сертификаты пользователя, основанные на настройках реестра, а также протокол EAP-TLS. Если Вы используете только протокол проверки подлинности, основанный на проверке пароля (например, MS-CHAP v2), то инфраструктура сертификата для создания VPN-подключения не нужна .
Если Вам необходима инфраструктура сертификата для VPN-подключений на основе протокола PPTP, то Вы должны установить сертификат компьютера на сервер проверки подлинности (VPN- или RADIUS-сервер), а также распространить сертификаты на смарт-карты пользователей VPN-клиентов или установить сертификаты пользователя на все компьютеры VPN-клиентов.
Для получения информации о развертывании инфраструктуры сертификата обратитесь к «Приложению Д. Развертывание инфраструктуры сертификата».
Установка сертификатов компьютера
Для установки сертификата компьютера необходимо наличие ЦС для выдачи сертификатов. После настройки выдающего ЦС Вы сможете установить сертификат компьютера следующими способами:
| 1. | Настроив автоматическое размещение сертификатов компьютера в домене Windows 2000. Данный метод обеспечивает централизованное управление для всего домена. Все члены домена автоматически запрашивают сертификат компьютера на основании настроек групповой политики. Для немедленного получения сертификата компьютера для VPN- или IAS-сервера, входящего в домен, в котором настроена функция автоматической подачи заявок на сертификаты, перезагрузите компьютер или введите в командной строке команду secedit /refreshpolicy machine_policy. Для получения дополнительной информации о настройке автоматической подачи заявок на сертификаты компьютера, обратитесь к разделу Автоматическое получение сертификатов от центра сертификации предприятия (Configure automatic certificate allocation from an enterprise CA) справки Windows 2000 Server. |
| 2. | Используя оснастку Сертификаты (Certificates) для запроса сертификата компьютера.
Если Вы используете ЦС предприятия Windows 2000 в качестве выдающего ЦС, то можно запросить сертификат компьютера отдельно для каждого компьютера у выдающего ЦС, при помощи оснастки Сертификаты. Для получения дополнительной информации обратитесь к разделам Управление сертификатами компьютера (Manage certificates for a computer) и Запрос сертификата (Request a certificate) справки Windows 2000 Server. |
| 3. | Используя оснастку Сертификаты для импорта сертификата компьютера.
Если у Вас имеется файл, содержащий сертификат компьютера, Вы можете импортировать сертификат компьютера при помощи оснастки Сертификаты. Для получения дополнительной информации об импорте сертификата при помощи оснастки Сертификаты обратитесь к разделу Импорт и экспорт сертификатов(Import a certificate) справки Windows 2000 Server. |
| 4. | Запустив сценарий клиента CAPICOM, который запрашивает сертификат компьютера.
При использовании данного метода на всех компьютерах, которым необходим сертификат компьютера, должен быть выполнен сценарий CAPICOM, запрашивающий сертификат компьютера у выдающего ЦС. CAPICOM является клиентом COM, поддерживающим автоматизацию для выполнения функций шифрования (CryptoAPI) при помощи элементов управления Microsoft ActiveX и COM-объектов. CAPICOM может быть использован при помощи Visual Basic, Visual Basic Scripting Edition и C++. Для получения дополнительной информации о CAPICOM обратитесь на веб-сайт CAPICOM. |
Развертывание смарт-карт
Для получения информации о развертывании смарт-карт в Windows 2000 обратитесь к разделу Контрольный список: внедрение использования смарт-карт для входа в систему Windows (Checklist: Deploying smart cards for logging on to Windows) справки Windows 2000 Server.
Установка сертификатов пользователя
Для установки сертификата пользователя необходимо наличие ЦС для выдачи сертификатов. После настройки выдающего ЦС Вы можете установить сертификат пользователя следующими способами:
| 1. | Запросив сертификат пользователя при помощи веб-обозревателя.
Выдающий ЦС должен поддерживать подачу веб-заявок на сертификаты. Например, если в качестве выдающего ЦС Вы используете ЦС предприятия Windows 2000, на котором также установлены службы IIS (Internet Information Services), Вы можете использовать веб-заявки для запроса сертификата пользователя. Для получения дополнительной информации о запросе сертификата пользователя обратитесь к разделу Запрос сертификатов (Submit a user certificate request via the Web) справки Windows 2000 Server. |
| 2. | Используя оснастку Сертификаты для запроса сертификата пользователя.
Если в качестве выдающего ЦС Вы используете ЦС предприятия Windows 2000, Вы можете запросить сертификат пользователя при помощи оснастки Сертификаты. Для получения дополнительной информации о запросе сертификата пользователя при помощи оснастки Сертификаты обратитесь к разделу Запрос сертификатов (Request a certificate) справки Windows 2000 Server. |
| 3. | Используя оснастку Сертификаты для импорта сертификата пользователя.
Если у Вас имеется файл, содержащий сертификат пользователя, Вы можете импортировать его при помощи оснастки Сертификаты. Для получения дополнительной информации об импорте сертификата при помощи оснастки Сертификаты обратитесь к разделу Импорт и экспорт сертификатов (Import a certificate) справки Windows 2000 Server. |
| 4. | Выполнив сценарий клиента CAPICOM, который запрашивает сертификат пользователя.
При использовании данного метода все пользователи, которым необходим сертификат пользователя, должны выполнить сценарий CAPICOM, запрашивающий сертификат пользователя у выдающего ЦС. |
Наверх страницы
Развертывание Интернет-инфраструктуры
Развертывание Интернет-инфраструктуры для VPN-подключений удаленного доступа состоит из следующих этапов:
| • | Подключение VPN-серверов к сети периметра или к Интернету. |
| • | Установка на VPN-серверах ОС Windows 2000 Server и настройка интерфейсов Интернета. |
| • | Добавление записей с адресами серверов в службу DNS сети Интернет. |
Подключение VPN-серверов к сети периметра или к Интернету
Выберите способ подключения VPN-серверов относительно брандмауэра Интернета. В большинстве типичных конфигураций VPN-серверы располагаются за брандмауэром, в сети периметра между интрасетью и Интернетом. В этом случае настройте фильтры пакетов на брандмауэре, чтобы разрешить входящий и исходящий трафик PPTP для IP-адресов интерфейсов VPN-серверов, подключенных к сети периметра. Для получения дополнительной информации обратитесь к «Приложению A».
Установка на VPN-серверах ОС Windows 2000 Server и настройка интерфейсов Интернета
Установите на компьютер VPN-сервера ОС Windows 2000 Server и подключите один из его сетевых адаптеров к Интернету или к сети периметра, а другой – ко внутренней сети. До завершения работы мастера установки сервера маршрутизации и удаленного доступа VPN-сервер не будет перенаправлять IP-пакеты между Интернетом и интрасетью. Для подключения к Интернету или к сети периметра настройте протокол TCP/IP, указав внешний IP-адрес, маску подсети и укажите в качестве основного шлюза либо брандмауэр (если VPN-сервер подключен к сети периметра), либо маршрутизатор поставщика услуг Интернет (ISP) (если VPN-сервер напрямую подключен к Интернету). Не указывайте для данного подключения IP-адреса DNS- или WINS-серверов.
Добавление записей с адресами серверов в службу DNS сети Интернет
Чтобы имя VPN-сервера (например: vpn.microsoft.com) разрешалось в соответствующий IP-адрес, или добавьте DNS-запись адреса (типа A) на Вашем DNS-сервере (если разрешение имен DNS для пользователей Интернета Вы предоставляете сами) или Ваш поставщик услуг Интернета должен добавить DNS-запись адреса (типа A) на своем DNS-сервере (если разрешение имен DNS для пользователей Интернета предоставляет Ваш поставщик услуг Интернета). При подключении к Интернету убедитесь, что имя VPN-сервера соответствует его внешнему IP-адресу.
Наверх страницы
Развертывание инфраструктуры служб проверки подлинности, авторизации и учета
Развертывание инфраструктуры служб проверки подлинности, авторизации и учета состоит из следующих этапов:
| • | Настройка учетных записей пользователей и групп Active Directory. |
| • | Настройка основного IAS-сервера на контроллере домена. |
| • | Настройка резервного IAS-сервера на дополнительном контроллере домена. |
Настройка учетных записей пользователей и групп Active Directory
Для настройки учетных записей пользователей и групп Active Directory сделайте следующее:
| 1. | Убедитесь, что все пользователи, которым необходимо создавать подключения удаленного доступа, имеют соответствующие учетные записи. Это касается сотрудников, подрядчиков, поставщиков и деловых партнеров. |
| 2. | Для управления удаленным доступом на уровне пользователей установите разрешение на удаленный доступ в свойствах учетной записи пользователя в Разрешить доступ (Allow access) или Запретить доступ (Deny access). Для управления удаленным доступом на уровне групп установите разрешение на удаленный доступ в свойствах учетной записи пользователя в Управление на основе политики удаленного доступа (Control access through Remote Access Policy). |
| 3. | Чтобы воспользоваться преимуществами политик удаленного доступа на основе групп, упорядочьте учетные записи пользователей удаленного доступа, поместив их в соответствующую универсальную группу. Для получения дополнительной информации об универсальных, глобальных и локальных группах домена обратитесь к разделу Область действия группы справки Windows 2000 Server. |
Настройка основного IAS-сервера на контроллере домена
Для настройки основного IAS-сервера на контроллере домена сделайте следующее:
| 1. | Установите службу проверки подлинности в Интернете (IAS) на контроллере домена в качестве дополнительного сетевого компонента ОС. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) справки Windows 2000 Server. |
| 2. | Настройте компьютер IAS-сервера (контроллер домена) для просмотра свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows 2000 Server. |
| 3. | Если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в других доменах, убедитесь, что между этими доменами и доменом IAS-сервера установлены двусторонние отношения доверия. Затем настройте компьютер IAS-сервера для просмотра свойств учетных записей в других доменах. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows 2000 Server. Для получения дополнительной информации о доверительных отношениях обратитесь к разделу Доверительные отношения доменов (Understanding domain trusts) справки Windows 2000 Server. В том случае, если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в доменах, не имеющих двусторонних отношений доверия с доменом, в который входит компьютер IAS-сервера, Вы должны настроить RADIUS-прокси между доменами, не имеющими доверительных отношений. |
| 4. | Включите ведение журнала событий учета и проверки подлинности. Для получения дополнительной информации обратитесь к разделу Настройка свойств ведения журнала (Configure log file properties) справки Windows 2000 Server. |
| 5. | Добавьте VPN-серверы в качестве клиентов RADIUS IAS-сервера. Для получения дополнительной информации обратитесь к разделу Регистрация клиентов RADIUS (Add RADIUS clients) справки Windows 2000 Server. Для IP-адреса каждого VPN-сервера используйте внутренний IP-адрес, назначенный VPN-серверу. Если Вы используете имена, укажите внутреннее имя VPN-сервера (это не является обязательным, если такое же DNS-имя используется клиентами сети Интернет). Используйте стойкие общие секреты (пароли). |
| 6. | Создайте политики удаленного доступа, отображающие Ваши сценарии использования удаленного доступа. Например, чтобы настроить политику удаленного доступа, требующую VPN-подключений на основе протокола PPTP для членов группы Employees с использованием протокола EAP-TLS и 128-битное шифрование для проверки подлинности, создайте политику удаленного доступа со следующими параметрами: Имя политики: VPN-подключения Условия: Для атрибута NAS-Port-Type выбрано значение Virtual (VPN) Для атрибута Tunnel-Type выбрано значение Point-to-Point Tunneling Protocol Для атрибута Windows-Groups добавлена группа Employees (в соответствии с рассматриваемым примером) Разрешение на удаленный доступ: Предоставить право удаленного доступа Настройки профиля, вкладка Проверка подлинности (Authentication) Установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol), установите параметр Выберите приемлемый тип протокола для этой политики (EAP type) в значение Смарт-карта или иной сертификат (Smart Card or other Certificate) и снимите все другие флажки. Настройки профиля, вкладка Шифрование (Encryption): Установите флажок Самое стойкое (Strongest) и затем снимите все другие флажки. |
| 7. | Если Вы создали новые политики удаленного доступа, то или удалите политику удаленного доступа по умолчанию под названием Разрешить доступ, если разрешены входящие подключения (Allow access if dial-up permission is enabled) или переместите ее в конец списка политик, чтобы она применялась в последнюю очередь. Для получения дополнительной информации обратитесь к разделам Удаление политики удаленного доступа (Delete a remote access policy) и Изменение порядка применения политик (Change the policy evaluation order) справки Windows 2000 Server. |
Настройка резервного IAS-сервера на дополнительном контроллере домена
Для настройки резервного IAS-сервера на дополнительном контроллере домена, сделайте следующее:
| 1. | Установите службу проверки подлинности в Интернете (IAS) на дополнительном контроллере домена в качестве сетевого компонента ОС. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) справки Windows 2000 Server. |
| 2. | Настройте компьютер резервного IAS-сервера (дополнительный контроллер домена) для просмотра свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows 2000 Server. |
| 3. | Если резервный IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в других доменах, убедитесь, что между этими доменами и доменом резервного IAS-сервера установлены двусторонние отношения доверия. Затем настройте компьютер резервного IAS-сервера для просмотра свойств учетных записей в других доменах. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows 2000 Server. Для получения дополнительной информации о доверительных отношениях обратитесь к разделу Доверительные отношения доменов (Understanding domain trusts) справки Windows 2000 Server. В том случае, если резервный IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в доменах, не имеющих двусторонних отношений доверия с доменом, в который входит компьютер резервного IAS-сервера, Вы должны настроить RADIUS-прокси между доменами, не имеющими доверительных отношений. |
| 4. | Скопируйте настройки основного IAS-сервера на резервный IAS-сервер. Для получения дополнительной информации обратитесь к разделу Копирование конфигурации IAS на другой сервер (Copy the IAS configuration to another server) справки Windows 2000 Server. |
Наверх страницы
Развертывание VPN-серверов
Развертывание VPN-серверов для VPN-подключений удаленного доступа состоит из следующих этапов:
| • | Настройка подключения VPN-сервера к интрасети. |
| • | Запуск мастера установки сервера маршрутизации и удаленного доступа. |
Настройка подключения VPN-сервера к интрасети
Для всех VPN-серверов настройте подключение к интрасети вручную, указав параметры TCP/IP (IP-адрес, маску подсети, DNS- и WINS-серверы интрасети). Обратите внимание на то, что Вы не должны указывать основной шлюз для подключения к интрасети, чтобы предотвратить возникновение конфликтов, связанных с маршрутом по умолчанию Интернета.
Запуск мастера установки сервера маршрутизации и удаленного доступа
Запустите мастер установки сервера маршрутизации и удаленного доступа для настройки всех VPN-серверов Windows 2000. Выполните следующие шаги:
| 1. | Нажмите Пуск (Start), выберите Программы (Programs), Администрирование (Administrative Tools) и нажмите Маршрутизация и удаленный доступ (Routing and Remote Access). |
| 2. | Щелкните правой кнопкой мыши по имени Вашего сервера и выберите Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access). |
| 3. | В окне Общие параметры (Common Configurations) выберите Сервер виртуальной частной сети (VPN)(Virtual Private Network (VPN) server) и затем нажмите кнопку Далее (Next). Если Вы хотите использовать компьютер VPN-сервера в качестве транслятора сетевых адресов (network address translator, NAT), веб-сервера или для других целей, обратитесь к «Приложению Б». |
| 4. | Убедитесь, что в окне Протоколы удаленных клиентов (Remote Client Protocols) присутствуют все протоколы данных, используемые Вашими VPN-клиентами удаленного доступа. В случае необходимости добавьте протоколы и затем нажмите кнопку Далее. |
| 5. | В окне Подключение к Интернету (Internet Connection) щелкните по подключению, соответствующему интерфейсу сети Интернет или сети периметра, и затем нажмите кнопку Далее. |
| 6. | В окне Назначение IP-адресов (IP Address Assignment) выберите параметр Автоматически (Automatic), если VPN-сервер будет использовать протокол DHCP для присвоения IP-адресов VPN-клиентам удаленного доступа. В противном случае выберите параметр Из заданного диапазона адресов (From a specified range of addresses) для использования одного или нескольких статических диапазонов адресов. Если хотя бы один из статических диапазонов адресов является диапазоном адресов, не принадлежащих подсети, в инфраструктуру маршрутизации необходимо добавить маршруты, чтобы сделать VPN-клиенты доступными. После выбора способа назначения IP-адресов нажмите кнопку Далее. |
| 7. | Если для проверки подлинности и учета Вы используете протокол RADIUS, в окне Управление несколькими серверами удаленного доступа (Managing Multiple Remote Access Servers), нажмите Да, использовать RADIUS-сервер (Yes, I want to use a RADIUS server), и затем нажмите Далее. • В окне Выбор RADIUS-сервера (RADIUS Server Selection) настройте основной (обязательный) и дополнительный (необязательный) RADIUS-серверы и введите общий секрет. Затем нажмите кнопку Далее.
|
| 8. | Нажмите кнопку Готово (Finish). |
| 9. | Когда будет предложено, запустите службу маршрутизации и удаленного доступа. |
По умолчанию на устройстве WAN Miniport (PPTP) настраивается только 128 портов PPTP. Если необходимо больше количество портов PPTP, откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), перейдите в свойства объекта Порты (Ports) и укажите необходимое количество устройств Минипорт WAN (PPTP).
По умолчанию включены только протоколы MS-CHAP и MS-CHAPv2. Если для проверки подлинности Вы используете смарт-карты или сертификаты пользователя, откройте оснастку Маршрутизация и удаленный доступ, затем свойства VPN-сервера, перейдите на вкладку Безопасность (Security) и нажмите кнопку Методы проверки подлинности (Authentication Methods). В открывшемся диалоговом окне установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol (EAP)).
Наверх страницы
Развертывание инфраструктуры интрасети
Инфраструктура интрасети
Развертывание инфраструктуры интрасети для VPN-подключений удаленного доступа состоит из следующих этапов:
| • | Настройка маршрутизации на VPN-сервере. |
| • | Проверка разрешения имени и доступности интрасети со стороны VPN-сервера. |
| • | Настройка маршрутизации для диапазонов адресов, не принадлежащих подсети. |
Настройка маршрутизации на VPN-сервере
Для того, чтобы Ваши VPN-серверы смогли пересылать трафик для ресурсов интрасети, Вы должны настроить их или используя статические маршруты, объединяющих все возможные адреса интрасети, или используя протоколов маршрутизации, таким образом, чтобы VPN-сервер выступал в роли динамического маршрутизатора и автоматически добавлял маршруты для сегментов интрасети в свою таблицу маршрутизации.
Чтобы добавить статические маршруты, обратитесь к разделу Добавление статического маршрута (Add a static route) справки Windows 2000 Server. Для настройки VPN-сервера в качестве RIP-маршрутизатора обратитесь к разделу Настройка протокола RIP для IP (Configure RIP for IP). Для настройки VPN-сервера в качестве OSPF-маршрутизатора обратитесь к разделам Вопросы проектирования среды с протоколом OSPF (OSPF design considerations) и Настройка протокола OSPF (Configure OSPF).
Проверка разрешения имени и доступности интрасети со стороны VPN-сервера
Убедитесь в том, что все VPN-серверы могут разрешать имена и успешно подключаться ко всем ресурсам интрасети. Для этого можно использовать служебную утилиту Ping, обозреватель Internet Explorer, а также выполнить подключение к принтеру или сетевому диску какого-либо сервера, принадлежащего интрасети.
Настройка маршрутизации для диапазонов адресов, не принадлежащих подсети
Если Вы настраиваете хотя бы один из VPN-серверов при помощи пулов адресов, выделяемых вручную, и если любой этих из пулов содержит диапазон адресов, не принадлежащих подсети, Вы должны убедиться в том, что в Вашей интрасети имеются маршруты, соответствующий данным диапазонам адресов, не принадлежащих подсети. Вы можете убедиться в этом, либо добавив статический маршруты соответствующий данным диапазонам адресов, не принадлежащих подсети, в качестве статического маршрута к соседним маршрутизаторам VPN-серверов, и затем распространив маршрут на другие маршрутизаторы при помощи протоколов маршрутизации, используемых в Вашей интрасети. После того, как Вы добавите данные статические маршруты, Вы должны указать в качестве шлюза или пункта назначения следующего прыжка интерфейс интрасети VPN-сервера.
Если Вы используете протоколы RIP или OSPF в качестве альтернативного решения Вы можете настроить VPN-серверы в роли RIP- или OSPF-маршрутизаторов при помощи диапазонов адресов, не принадлежащих подсети. Для использования протокола OSPF Вы должны настроить VPN-сервер в роли граничного маршрутизатора автономной системы (autonomous system boundary router, ASBR). Для получения дополнительной информации обратитесь к разделу Вопросы проектирования среды с протоколом OSPF (OSPF design considerations) справки Windows 2000.
Наверх страницы
Развертывание VPN-клиентов
Развертывание VPN-клиентов для VPN-подключений удаленного доступа может быть выполнено следующими способами:
| • | Настройка VPN-клиентов вручную. |
| • | Настройка пакетов диспетчера подключений при помощи пакета администрирования диспетчера подключений (CMAK). |
Настройка VPN-клиентов вручную
Если у Вас небольшое число VPN-клиентов, Вы можете настроить VPN-подключения вручную для каждого из них. Для VPN-клиентов Windows 2000 используйте мастер Создание нового подключения (Make New Connection) для создания Интернет- и VPN-подключений, объединяя их таким образом, чтобы когда Вы подключаетесь, используя VPN-подключение, автоматически происходило подключение к Интернету. Для VPN-клиентов Windows XP используйте Мастер новых подключений (New Connection Wizard) для создания Интернет- и VPN-подключений.
Настройка пакетов диспетчера подключений при помощи пакета администрирования диспетчера подключений
Для большого количества VPN-клиентов различных версий ОС Windows Вы можете использовать CMAK для создания и распространения настроенных пакетов диспетчера подключений (Connection Manager) среди Ваших пользователей. Для получения дополнительной информации обратитесь к разделу Подготовка к выполнению мастера CMAK (Before you start: Understanding Connection Manager and the Administration Kit) справки Windows 2000 Server.
