Настройка vpn сервера на windows server 2008 r2


Поднимаем VPN-PPTP сервер на Windows Server 2008 R2

VPN (Virtual Private Network — виртуальная частная сеть) — технология, позволяющая использование сети Internet в качестве магистрали для передачи корпоративного IP-трафика. Сети VPN предназначен подключения пользователя к удаленной сети и соединения нескольких локальных сетей. Давно я размещал заметку Введение в Виртуальные Частные Сети (VPN), время пришло расказать, как настроить VPN сервер на Windows 2008 Server R2.

Запускаем диспетчер сервера на Windows Server 2008 R2 и добавляем "Добавить роль" (Add Roles) роль сервера "Службы политики сети и доступа" (Network Policy and Access Services):

Далее выбираем "Службы маршрутизации и удаленного доступа" (Routing and Remote Access Services ) и нажимаем далее:

Все проверяем и устанавливаем:

После успешной установки, нам надо настроить эту роль, раскрываем список ролей и выбираем роль "Службы политики сети и доступа", так как у меня эта служба уже установлена, подменю "Настроить и включить маршрутизацию и удаленный доступ" (Configure and Enable Routing and Remote Access) будет не активно, у Вас активна ее и выбираем:

В мастере установке жмем далее и из пяти предложенных вариантов выбираем самый нижний Особая конфигурация (Custom configuration):

Выбираем галочкой Доступ к виртуальной частной сети (VPN):

Запускаем службу

Для полноценной работы vpn-сервера должны быть открыты следующие порты:

TCP 1723 для PPTP;
TCP 1701 и UDP 500 для L2TP;
TCP 443 для SSTP.

Настраиваем выдачи адресов. Открываем "Диспетчер сервера - Роли - Службы политики сети и доступа - Маршрутизация и удаленный доступ - Свойства":

Закладка "IPv4", включаем пересылку IPv4, устанавливаем переключатель в "Статический пул адресов" и нажимаем кнопку "Добавить":

Задаем диапазон выдаваемых адресов:

Теперь настроем разрешения для пользователей. Переходим в "Диспетчер сервера - Конфигурация- Локальные пользователи и группы - Пользователи":

К нужному пользователю заходим в Свойства и закладке "Входящие звонки" (Dial-in) разрешить подключение (allow access).

Еще записи по теме

VPN сервер на Windows Server 2008 R2. L2TP.

В прошлой статье я рассказывал, как настроить простейший VPN PPTP сервер на Windows Server 2008 R2. Сейчас поговорим о настройке VPN L2TP сервере.

L2TP -  Layer 2 Tunneling Protocol  —  туннельный протокол, использующийся для поддержки виртуальных частных сетей. Главное достоинство L2TP состоит в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay.

Установка и настройка:

  1. Проделываем те же действия что и с предыдущей статье до пункта 13.
  2. Открываем свойства нашего сервера и переходим на вкладку Общие, настройки должны соответствовать настройкам на Рис.1:

                           Рис.1.

    3.  Переходим на вкладку Безопасность. Проверка подлинности - "Windows -проверка подлинности". Ставим галку "Разрешить особые IPSec-политики для L2TP подключения" и вводим предварительный ключ, далее жмем кнопку "Методы проверки подлинности" (Рис.2):

                           Рис.2.

    4.  Методы проверки подлинности должны соответствовать настройкам на Рис.3:

    Рис.3.

    5.  Переходим на вкладку IPv4. Выбираем "Статический пул адресов" и нажимаем кнопку Добавить (Рис.4):

                           Рис.5.

    6.  Назначаем начальный и конечный IP-адрес и нажимаем Ok (Рис.6):

                                Рис.6.

    7.  В консоли "Маршрутизация и удаленный доступ" выбираем "Порты". Жмем на них правой кнопкой мыши -> Свойства (Рис.7):

                            Рис.7.

    8.  В окне свойств портов выбираем "WAN miniport (L2TP)" и нажимаем кнопку Настроить (Рис.8):

                                     Рис.8.

    9.  Должный стоять галки: "Подключения удаленного доступа (только входящие)" и "Подключения по требованию (входящие и исходящие)" и устанавливаем максимальное число портов (по умолчанию 128) и нажимаем Ок (Рис.9):

                                Рис.9.

    10.  Для разрешения доступа к VPN для пользователей делаем следующее: открываем свойства нужного пользователя и переходим на вкладку "Входящие звонки". В опциях "Права доступа к сети" выставляем параметр "Разрешить доступ" (Рис.10):

                Рис.10.


Не забываем открыть следующие порты на шлюзе:
  • L2TP — UDP порт 1701
  • IKE — UDP порт 500
  • IPSec ESP — UDP порт 50
  • IPSec NAT-T — UDP порт 4500 
  • SSTP: TCP 443

Сервер настроен. Успехов!

Установка и настройка VPN-сервера в Windows Server 2003 - Windows Server

  • Статья
  • Чтение занимает 19 мин
Были ли сведения на этой странице полезными?

Оцените свои впечатления

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт. Нажав кнопку "Отправить", вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

В этой статье

В этой пошаговой статье описывается установка виртуальной частной сети (VPN) и создание нового VPN-подключения на серверах, работающих Windows Server 2003.

Для версии XP Windows Microsoft см. в статье 314076.

Применяется к:   Windows Server 2003
Исходный номер КБ:   323441

Сводка

С помощью виртуальной частной сети можно подключить сетевые компоненты через другую сеть, например Интернет. Компьютер на Windows Server 2003 можно сделать сервером удаленного доступа, чтобы другие пользователи могли подключиться к нему с помощью VPN, а затем войти в сеть и получить доступ к общим ресурсам. Vpn-пользователи делают это путем "туннелинга" через Интернет или через другую общественную сеть таким образом, что обеспечивает ту же безопасность и функции, что и частная сеть. Данные отправляются через общедоступные сети с помощью инфраструктуры маршрутировки, но пользователю кажется, что данные отправляются по выделенной частной ссылке.

Обзор VPN

Виртуальная частная сеть — это средство подключения к частной сети (например, к сети офисов) с помощью общедоступных сетей (например, Интернета). VPN сочетает достоинства подключения к диалоговому серверу с легкостью и гибкостью подключения к Интернету. С помощью подключения к Интернету вы можете путешествовать по всему миру и в большинстве мест подключаться к вашему офису с помощью локального звонка на ближайший номер телефона с доступом к Интернету. Если у вас есть высокоскоростное подключение к Интернету (например, кабель или DSL) на компьютере и в офисе, вы можете общаться с вашим офисом на полной скорости Интернета, что намного быстрее, чем любое подключение к сети, использующее аналоговый модем. Эта технология позволяет предприятию подключаться к филиалам или другим компаниям через общению, сохраняя при этом безопасные коммуникации. Vpn-подключение через Интернет логически работает в качестве выделенной широкой сети области (WAN) ссылку.

Виртуальные частные сети используют ссылки с проверкой подлинности, чтобы убедиться, что к вашей сети могут подключаться только уполномоченные пользователи. Чтобы убедиться, что данные безопасны по мере перемещения по общедоступным сетям, vpn-соединение использует протокол туннелинга point-to-point (PPTP) или Протокол туннелинга уровня 2 (L2TP) для шифрования данных.

Компоненты VPN

VPN на серверах Windows Server 2003 состоит из VPN-сервера, VPN-клиента, VPN-подключения (это часть подключения, в котором шифруются данные) и туннеля (ту часть подключения, в которой инкапсулированы данные). Туннельный процесс завершен с помощью одного из протоколов тоннелей, включенных с серверами, работающими Windows Server 2003, оба из которых установлены с помощью маршрутных маршрутов и удаленного доступа. Во время установки Windows Server 2003 автоматически устанавливается служба маршрутного и удаленного доступа. Однако по умолчанию отключена служба маршрутного и удаленного доступа.

Два протокола туннеля, включенные в Windows, являются:

  • Протокол туннелинга точки к точке (PPTP) : обеспечивает шифрование данных с помощью шифрования microsoft Point-to-Point.
  • Протокол туннелирования уровня 2 (L2TP): обеспечивает шифрование данных, проверку подлинности и целостность с помощью IPSec.

Подключение к Интернету должно использовать выделенную строку, например T1, Fractional T1 или Frame Relay. Адаптер WAN должен быть настроен с помощью IP-адреса и подсети, назначенной для домена или предоставленной поставщиком интернет-служб (ISP). Адаптер WAN также должен быть настроен как шлюз маршрутизатора isP по умолчанию.

Примечание

Чтобы включить VPN, необходимо войти в систему с помощью учетной записи, которая имеет административные права.

Установка и включить VPN-сервер

Чтобы установить и включить VPN-сервер, выполните следующие действия:

  1. Нажмите кнопку Пуск, указать административные средства, а затем нажмите маршрутику и удаленный доступ.

  2. Щелкните значок сервера, который совпадает с именем локального сервера в левой области консоли. Если в нижнем левом углу значок имеет красный круг, служба маршрутивки и удаленного доступа не включена. Если значок имеет зеленую стрелку, указываную в левом нижнем углу, включена служба маршрутивки и удаленного доступа. Если служба маршрутивки и удаленного доступа была ранее включёна, может потребоваться перенастроить сервер. Чтобы перенастроить сервер:

    1. Щелкните правой кнопкой мыши объект сервера и нажмите кнопку Отключить маршрутику и удаленный доступ. Щелкните Да, чтобы продолжить, когда вам будет предложено информационное сообщение.
    2. Щелкните правой кнопкой мыши значок сервера и нажмите кнопку Настройка и включить маршрутику и удаленный доступ, чтобы запустить мастер настройки сервера маршрутов и удаленного доступа. Для продолжения нажмите кнопку Далее.
    3. Щелкните удаленный доступ (диалоговое окно или VPN), чтобы включить удаленные компьютеры, чтобы набрать номер или подключиться к этой сети через Интернет. Для продолжения нажмите кнопку Далее.
  3. Выберите VPN или dial-up в зависимости от роли, которую вы собираетесь назначить этому серверу.

  4. В окне VPN-подключения щелкните сетевой интерфейс, подключенный к Интернету, а затем нажмите кнопку Далее.

  5. В окне Назначение IP-адресов нажмите кнопку Автоматически, если сервер DHCP будет использоваться для назначения адресов удаленным клиентам, или выберите из указанного диапазона адресов, если удаленным клиентам должен быть предоставлен только адрес из заданного пула. В большинстве случаев параметр DHCP проще администрирования. Однако, если DHCP не доступен, необходимо указать диапазон статических адресов. Для продолжения нажмите кнопку Далее.

  6. Если вы нажмете на указанный диапазон адресов, откроется диалоговое окно "Назначение диапазона адресов". Нажмите кнопку Создать. Введите первый IP-адрес в диапазоне адресов, которые необходимо использовать в поле "Начните IP". Введите последний IP-адрес в диапазоне в поле Конечный IP-адрес. Windows вычисляет количество адресов автоматически. Щелкните ОК, чтобы вернуться в окно назначения диапазона адресов. Для продолжения нажмите кнопку Далее.

  7. Примите параметр "Нет", используйте маршрутику и удаленный доступ для проверки подлинности запросов на подключение, а затем нажмите кнопку Далее, чтобы продолжить. Щелкните Кнопку Готово, чтобы включить службу маршрутинга и удаленного доступа и настроить сервер в качестве сервера удаленного доступа.

Настройка VPN-сервера

Чтобы продолжить настройку VPN-сервера по мере необходимости, выполните следующие действия.

Настройка сервера удаленного доступа в качестве маршрутизатора

Чтобы сервер удаленного доступа правильно переадтранслировать трафик внутри сети, необходимо настроить его как маршрутизатор с помощью статических маршрутов или протоколов маршрутизации, чтобы все расположения внутрисети были доступны с сервера удаленного доступа.

Настройка сервера в качестве маршрутизатора:

  1. Нажмите кнопку Пуск, указать административные средства, а затем нажмите маршрутику и удаленный доступ.
  2. Щелкните правой кнопкой мыши имя сервера и нажмите кнопку Свойства.
  3. Щелкните вкладку General, а затем выберите маршрутизатор в статье Включить этот компьютер в качестве.
  4. Щелкните маршрутику локальной сети и набора требований, а затем нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства.

Изменение количества одновременных подключений

Количество подключений модема зависит от количества модемов, установленных на сервере. Например, если на сервере установлен только один модем, можно одновременно иметь только одно подключение модема.

Количество VPN-подключений к диалогу зависит от количества одновременных пользователей, которых вы хотите разрешить. По умолчанию при запуске процедуры, описанной в этой статье, разрешается 128 подключений. Чтобы изменить количество одновременных подключений, выполните следующие действия:

  1. Нажмите кнопку Пуск, указать административные средства, а затем нажмите маршрутику и удаленный доступ.
  2. Дважды щелкните серверный объект, нажмите правой кнопкой мыши Порты и нажмите кнопку Свойства.
  3. В диалоговом окне Ports Properties нажмите кнопку WAN Miniport (PPTP) > Настройка.
  4. В поле Maximum ports введите количество VPN-подключений, которые необходимо разрешить.
  5. Нажмите кнопку ОК ОК, а затем > закроем маршрутику и удаленное присоединение.

Управление адресами и серверами имен

Vpn-сервер должен иметь IP-адреса, доступные для назначения их виртуальному интерфейсу VPN-сервера и VPN-клиентам на этапе переговоров по протоколу IP-адресов (IPCP) процесса подключения. IP-адрес, присвоенный VPN-клиенту, назначен виртуальному интерфейсу VPN-клиента.

Для Windows серверов VPN на основе Сервера 2003 IP-адреса, присвоенные VPN-клиентам, получаются через DHCP по умолчанию. Вы также можете настроить статический пул IP-адресов. Vpn-сервер также должен быть настроен с помощью серверов разрешения имен, как правило, DNS и wins server addresses, чтобы назначить vpn-клиенту во время переговоров по IPCP.

Управление доступом

Настройте свойства dial-in в учетных записях пользователей и политиках удаленного доступа для управления доступом для подключения к сети и VPN.

Примечание

По умолчанию пользователям отказано в доступе к сети с диалогом.

Доступ к учетной записи пользователя

Чтобы предоставить доступ к учетной записи пользователя, если вы управляете удаленным доступом на основе пользователя, выполните следующие действия:

  1. В меню Пуск выберите пункт Администрирование и затем пункт Active Directory — пользователи и компьютеры.
  2. Щелкните правой кнопкой мыши учетную запись пользователя и нажмите кнопку Свойства.
  3. Щелкните вкладку Dial-in.
  4. Нажмите Кнопку Разрешить доступ, чтобы предоставить пользователю разрешение на вход. Нажмите кнопку ОК.

Доступ к членству в группе

Если вы управляете удаленным доступом на групповой основе, выполните следующие действия:

  1. Создайте группу с участниками, которым разрешено создавать VPN-подключения.
  2. Нажмите кнопку Пуск, указать административные средства, а затем нажмите маршрутику и удаленный доступ.
  3. В дереве консоли развяжь маршрутику и удаленный доступ, развяжи имя сервера и нажмите кнопку Политики удаленного доступа.
  4. Щелкните правой кнопкой мыши в любом месте правой области, указать кнопку New и нажмите кнопку Политика удаленного доступа.
  5. Нажмите кнопку Далее, введите имя политики, а затем нажмите кнопку Далее.
  6. Щелкните VPN для метода доступа к виртуальному частному доступу или нажмите кнопку Dial-up для доступа к диалоговом номеру, а затем нажмите кнопку Далее.
  7. Нажмите кнопку Добавить, введите имя группы, созданной на шаге 1, а затем нажмите кнопку Далее.
  8. Выполните инструкции на экране, чтобы завершить мастер.

Если VPN-сервер уже разрешает службы удаленного доступа к сети, не удаляйте политику по умолчанию. Вместо этого переместим ее так, чтобы она была последней политикой, которую необходимо оценить.

Настройка VPN-подключения с клиентского компьютера

Чтобы настроить подключение к VPN, выполните следующие действия. Чтобы настроить клиента для виртуального доступа к частной сети, выполните следующие действия на клиентской рабочей станции:

Примечание

Чтобы следовать этим шагам, необходимо войти в систему как член группы Администраторов.

Так как существует несколько версий microsoft Windows, на вашем компьютере могут быть другие действия. Если они есть, см. документацию по продуктам для выполнения этих действий.

  1. На клиентской компьютере подтвердим, что подключение к Интернету правильно настроено.

  2. Нажмите > кнопку Start Control Panel Network > Connections. Нажмите кнопку Создать новое подключение в рамках сетевых задач, а затем нажмите кнопку Далее.

  3. Щелкните Подключение в сеть на моем рабочем месте, чтобы создать подключение к диалогу. Для продолжения нажмите кнопку Далее.

  4. Щелкните подключение виртуальной частной сети, а затем нажмите кнопку Далее.

  5. Введите описательное имя для этого подключения в диалоговом окне имя компании, а затем нажмите кнопку Далее.

  6. Нажмите кнопку Не набирайте начальное подключение, если компьютер постоянно подключен к Интернету. Если компьютер подключается к Интернету через поставщика интернет-служб (ISP), нажмите кнопку Автоматически наберите это начальное подключение, а затем нажмите имя подключения к провайдеру. Щелкните кнопку Далее.

  7. Введите IP-адрес или имя сервера VPN (например, VPNServer.SampleDomain.com).

  8. Нажмите кнопку Любое использование, если вы хотите разрешить любому пользователю, который входит на работу, иметь доступ к этому подключению. Щелкните Кнопку Мое использование, только если вы хотите, чтобы это подключение было доступно только для зарегистрированного в настоящее время пользователя. Щелкните кнопку Далее.

  9. Нажмите кнопку Готово, чтобы сохранить подключение.

  10. Нажмите > кнопку Start Control Panel Network > Connections.

  11. Дважды щелкните новое подключение.

  12. Щелкните Свойства, чтобы продолжить настройку параметров подключения. Чтобы продолжить настройку параметров подключения, выполните следующие действия:

    • Если вы подключены к домену, щелкните вкладку Параметры, а затем нажмите кнопку включить Windows логона домена, чтобы указать, следует ли запрашивать сведения о логотипе Windows Server 2003 перед попыткой подключения.
    • Если вы хотите, чтобы подключение было перенаправлено, если линия отброшена, щелкните вкладку Параметры, а затем выберите Redial, если строка отброшена.

Чтобы использовать подключение, выполните следующие действия:

  1. Нажмите кнопку Начните, Подключение на кнопку , а затем нажмите новое подключение.

  2. Если у вас в настоящее время нет подключения к Интернету, Windows предлагает подключиться к Интернету.

  3. Когда подключение к Интернету выполнено, VPN-сервер подсказывает вам имя пользователя и пароль. Введите имя пользователя и пароль, а затем нажмите кнопку Подключение. Сетевые ресурсы должны быть доступны вам таким же образом, как и при непосредственном подключении к сети.

    Примечание

    Чтобы отключиться от VPN, щелкните правой кнопкой мыши значок подключения и нажмите кнопку Отключить.

Устранение неполадок

Устранение неполадок VPN удаленного доступа

Не удалось установить VPN-подключение удаленного доступа
  • Причина. Имя клиентского компьютера такое же, как имя другого компьютера в сети.

    Решение. Убедитесь, что имена всех компьютеров в сети и подключенных к сети компьютеров используют уникальные имена компьютеров.

  • Причина. Служба маршрутного и удаленного доступа не запущена на VPN-сервере.

    Решение. Проверьте состояние службы маршрутиза и удаленного доступа на VPN-сервере.

    Дополнительные сведения о том, как отслеживать службу маршрутного и удаленного доступа, а также как запустить и остановить службу маршрутов и удаленного доступа, см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Удаленный доступ не включен на VPN-сервере.

    Решение. Включи удаленный доступ на VPN-сервере.

    Дополнительные сведения о том, как включить сервер удаленного доступа, см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: порты PPTP или L2TP не включены для входящие запросы на удаленный доступ.

    Решение. Включаем порты PPTP или L2TP или оба для запросов на входящий удаленный доступ.

    Дополнительные сведения о настройке портов для удаленного доступа см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Для удаленного доступа на VPN-сервере не включались lan-протоколы, используемые vpn-клиентами.

    Решение. Включи протоколы LAN, используемые VPN-клиентами для удаленного доступа на VPN-сервере.

    Дополнительные сведения о просмотре свойств сервера удаленного доступа см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Все порты PPTP или L2TP на VPN-сервере уже используются подключенными к настоящему моменту клиентами удаленного доступа или маршрутизаторами с набором требований.

    Решение. Убедитесь, что все порты PPTP или L2TP на VPN-сервере уже используются. Для этого щелкните Порты в маршрутике и удаленном доступе. Если разрешенное количество разрешенных портов PPTP или L2TP недостаточно высоко, измените количество портов PPTP или L2TP, чтобы разрешить более одновременное подключение.

    Дополнительные сведения о добавлении портов PPTP или L2TP см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-сервер не поддерживает протокол туннеля vpn-клиента.

    По умолчанию Windows Сервер 2003 для VPN-клиентов удаленного доступа используют параметр автоматического типа сервера, что означает, что они сначала пытаются установить VPN-подключение на основе IPSec на основе IPSec, а затем пытаются установить VPN-подключение на основе PPTP. Если клиенты VPN используют параметр типа протокола туннельного туннелинга point-to-Point (PPTP) или типа протокола тоннеля layer-2 (L2TP), убедитесь, что выбранный протокол туннеля поддерживается VPN-сервером.

    По умолчанию компьютер с Windows Server 2003 и службой маршрутного и удаленного доступа — это сервер PPTP и L2TP с пятью портами L2TP и пятью портами PPTP. Чтобы создать сервер только для PPTP, установите количество портов L2TP до нуля. Чтобы создать сервер только для L2TP, установите количество портов PPTP до нуля.

    Решение. Убедитесь, что настроено соответствующее количество портов PPTP или L2TP.

    Дополнительные сведения о добавлении портов PPTP или L2TP см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены на использование хотя бы одного общего метода проверки подлинности.

    Решение. Настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать по крайней мере один распространенный метод проверки подлинности.

    Дополнительные сведения о настройке проверки подлинности см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены на использование хотя бы одного общего метода шифрования.

    Решение. Настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать по крайней мере один распространенный метод шифрования.

    Дополнительные сведения о настройке шифрования см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Подключение VPN не имеет соответствующих разрешений с помощью свойств учетной записи пользователя и политик удаленного доступа.

    Решение. Убедитесь, что подключение VPN имеет соответствующие разрешения с помощью свойств учетной записи пользователя и политик удаленного доступа. Чтобы установить подключение, необходимо установить параметры попытки подключения:

    • Соответствуют всем условиям по крайней мере одной политики удаленного доступа.
    • Получить разрешение на удаленный доступ через учетную запись пользователя (установлено разрешить доступ) или через учетную запись пользователя (установлено для управления доступом с помощью политики удаленного доступа) и разрешение удаленного доступа в соответствие с политикой удаленного доступа (установлено для предоставления разрешения удаленного доступа).
    • Совпадают со всеми настройками профиля.
    • Совпадают со всеми настройками свойств учетной записи пользователя.

    Дополнительные сведения о внедрении политик удаленного доступа и о том, как принять попытку подключения, см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Параметры профиля политики удаленного доступа находятся в конфликте со свойствами VPN-сервера.

    Свойства профиля политики удаленного доступа и свойства VPN-сервера содержат параметры:

    • Multilink.
    • Протокол распределения пропускной способности (BAP).
    • Протоколы проверки подлинности.

    Если параметры профиля совпадающих политик удаленного доступа находятся в конфликте с настройками VPN-сервера, попытка подключения отклоняется. Например, если в профиле политики удаленного доступа указывается, что необходимо использовать протокол проверки подлинности extensible Authentication Protocol - Transport Level Security (EAP-TLS) и не включен EAP на VPN-сервере, попытка подключения отклоняется.

    Решение. Убедитесь, что параметры профиля политики удаленного доступа не конфликтуют со свойствами VPN-сервера.

    Дополнительные сведения о протоколах multilink, BAP и проверки подлинности см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Маршрутизатор ответа не может проверить учетные данные вызываемого маршрутизатора (имя пользователя, пароль и доменное имя).

    Решение. Убедитесь, что учетные данные VPN-клиента (имя пользователя, пароль и доменное имя) являются правильными и могут быть проверены vpn-сервером.

  • Причина. В пуле статических IP-адресов недостаточно адресов.

    Решение. Если VPN-сервер настроен с пулом статических IP-адресов, убедитесь, что в пуле достаточно адресов. Если все адреса в статическом пуле были выделены подключенным VPN-клиентам, VPN-сервер не может выделить IP-адрес, и попытка подключения отклоняется. Если все адреса в статическом пуле выделены, измените пул.

    Дополнительные сведения о TCP/IP и удаленном доступе, а также о создании статического пула IP-адресов см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Клиент VPN настроен на запрос собственного номера узла IPX, а VPN-сервер не настроен, чтобы разрешить клиентам IPX запрашивать собственный номер узла IPX.

    Решение. Настройте VPN-сервер, чтобы разрешить клиентам IPX запрашивать собственный номер узла IPX.

    Дополнительные сведения о IPX и удаленном доступе см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-сервер настроен с диапазоном ipX сетевых номеров, которые используются в других местах в сети IPX.

    Решение. Настройте VPN-сервер с помощью диапазона ipX-номеров, уникальных для вашей IPX-сети.

    Дополнительные сведения о IPX и удаленном доступе см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Поставщик проверки подлинности VPN-сервера неправильно настроен.

    Решение. Проверка конфигурации поставщика проверки подлинности. Можно настроить VPN-сервер для использования Windows Server 2003 или удаленной службы пользователей с удаленной проверкой подлинности (RADIUS) для проверки подлинности учетных данных клиента VPN.

    Дополнительные сведения о поставщиках проверки подлинности и учете см. в Windows Server 2003, а также о том, как использовать проверку подлинности RADIUS. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-сервер не может получить доступ к Active Directory.

    Решение. Для VPN-сервера, который является сервером-участником в смешанном режиме или на родном домене Windows Server 2003, настроенном для проверки подлинности Windows Server 2003, убедитесь, что:

    • Существует группа безопасности RAS и IAS Servers. Если нет, создайте группу и установите тип группы в Security, а область групповой — локальному домену.

    • Группа безопасности RAS и IAS Servers имеет разрешение на чтение объекта Проверки доступа к RAS и IAS Servers.

    • Учетная запись компьютера на компьютере VPN-сервера является членом группы безопасности RAS и IAS Servers. Вы можете использовать netsh ras show registeredserver команду для просмотра текущей регистрации. Вы можете использовать команду netsh ras add registeredserver для регистрации сервера в указанном домене.

      Если вы добавите (или удалите) компьютер VPN-сервера в группу безопасности RAS и IAS Servers, это изменение не вступает в силу немедленно (из-за способа, Windows Сервер 2003 кэшетов данных Active Directory). Чтобы немедленно действовать в результате этого изменения, перезапустите компьютер VPN-сервера.

    • VPN-сервер является членом домена.

    Дополнительные сведения о добавлении группы, проверке разрешений для группы безопасности RAS и IAS, а также о командах удаленного доступа см. в центре поддержки и поддержки netsh Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: Windows NT vpn-сервер на основе 4.0 не может проверить запросы на подключение.

    Решение. Если vpn-клиенты набираются на VPN-сервер с Windows NT 4.0, который входит в домен смешанного режима Windows Server 2003, убедитесь, что группа Everyone добавлена в группу предварительного Windows 2000 совместимого доступа со следующей командой:

    "net localgroup "Pre-Windows 2000 Compatible Access"" 

    Если нет, введите следующую команду в командной подсказке на компьютере контроллера домена, а затем перезапустите компьютер контроллера домена:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add 

    Дополнительные сведения о Windows NT сервере удаленного доступа 4.0 в домене Windows Server 2003 см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: VPN-сервер не может взаимодействовать с настроенным сервером RADIUS.

    Решение. Если вы можете достичь сервера RADIUS только с помощью интернет-интерфейса, сделайте одно из следующих способов:

    • Добавьте фильтр ввода и фильтр вывода в интерфейс Интернета для порта UDP 1812 (на основе RFC 2138, "Служба пользователей с удаленным подключением к проверке подлинности (RADIUS)"). -или-
    • Добавьте фильтр ввода и фильтр вывода в интерфейс Интернета для порта UDP 1645 (для старых серверов RADIUS), для проверки подлинности RADIUS и порта UDP 1813 (на основе RFC 2139, "RADIUS Accounting"). -или-
    • -or-Add an input filter and an output filter to the Internet interface for UDP port 1646 (for older RADIUS servers) for RADIUS accounting.

    Дополнительные сведения о добавлении фильтра пакетов см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Не может подключиться к VPN-серверу через Интернет с помощью Ping.exe утилиты.

    Решение. Из-за фильтрации пакетов PPTP и L2TP через IPSec, настроенных на интерфейсе ИНТЕРНЕТА VPN-сервера, отфильтровываемые пакеты протокола сообщений управления Интернетом (ICMP), используемые командой тсинга. Чтобы включить VPN-сервер для ответа на пакеты ICMP (ping), добавьте фильтр ввода и фильтр вывода, разрешающий трафик для ip-протокола 1 (трафик ICMP).

    Дополнительные сведения о добавлении фильтра пакетов см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

Не может отправлять и получать данные

  • Причина. Соответствующий интерфейс набора требований не был добавлен в маршрутный протокол.

    Решение. Добавьте соответствующий интерфейс набора требований в маршрутный протокол.

    Дополнительные сведения о добавлении интерфейса маршрутов см. в Windows Server 2003. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Нет маршрутов с обеих сторон VPN-подключения маршрутизатора к маршрутизатору, которые поддерживают двуна пути обмена трафиком.

    Решение. В отличие от VPN-подключения удаленного доступа VPN-подключение маршрутизатора к маршрутизатору не создает автоматически маршрут по умолчанию. Создайте маршруты с обеих сторон VPN-подключения маршрутизатора к маршрутизатору, чтобы трафик можно было маршрутить с другой стороны VPN-подключения маршрутизатора к маршрутизатору и с другой стороны.

    Вы можете вручную добавлять статические маршруты в таблицу маршрутов или добавлять статические маршруты через протоколы маршрутов. Для сохраняющихся VPN-подключений можно включить open Shortest Path First (OSPF) или Routing Information Protocol (RIP) через VPN-подключение. Для vpn-подключений по запросу можно автоматически обновлять маршруты с помощью автоматического обновления RIP. Дополнительные сведения о добавлении протокола маршрутиза ip, добавлении статического маршрута и выполнении автостатических обновлений см. в Windows Server 2003 online Help. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Инициированный с двух способов маршрутизатор ответа в качестве подключения к удаленному доступу интерпретирует VPN-подключение маршрутизатора к маршрутизатору.

    Решение. Если имя пользователя в учетных данных вызываемого маршрутизатора отображается в клиенты dial-in в маршрутике и удаленном доступе, маршрутизатор ответа может интерпретировать маршрутизатор вызова как клиент удаленного доступа. Убедитесь, что имя пользователя в учетных данных вызываемого маршрутизатора совпадает с именем интерфейса с запросом на маршрутизаторе ответа. Если входящий вызыватель является маршрутизатором, порт, на который был получен вызов, показывает состояние Active, а соответствующий интерфейс набора требований находится в подключении.

    Дополнительные сведения о том, как проверить состояние порта в маршрутизаторе ответа и как проверить состояние интерфейса с запросом, см. в Windows Server 2003 online Help. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина: Фильтры пакетов на интерфейсах вызываемого маршрутизатора и маршрутизатора ответов препятствуют потоку трафика.

    Решение. Убедитесь, что в интерфейсах вызываемого маршрутизатора и маршрутизатора ответа нет фильтров пакетов, препятствующих отправке или приему трафика. Вы можете настроить каждый интерфейс набора требований с помощью фильтров ввода и вывода IPX и IPX, чтобы контролировать точный характер трафика TCP/IP и IPX, разрешенного в интерфейсе с запросом и вне него.

    Дополнительные сведения об управлении фильтрами пакетов см. в Windows Server 2003 online Help. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

  • Причина. Фильтры пакетов в профиле политики удаленного доступа препятствуют потоку IP-трафика.

    Решение. Убедитесь, что в свойствах профилей политик удаленного доступа на VPN-сервере (или сервере RADIUS, если используется служба проверки подлинности в Интернете) нет настроенных фильтров пакетов TCP/IP, которые препятствуют отправке или приему трафика TCP/IP. Политики удаленного доступа можно использовать для настройки фильтров входных данных TCP/IP и выходных пакетов, которые контролируют точный характер трафика TCP/IP, разрешенного для подключения к VPN. Убедитесь, что фильтры пакетов TCP/IP профиля не препятствуют потоку трафика.

    Дополнительные сведения о настройке параметров IP см. в Windows Server 2003 online Help. Нажмите кнопку Пуск для доступа к центру Windows Server 2003.

Настройка сервера удаленного доступа для постоянно подключенного VPN-профиля

Служба RRAS разработана так же, как маршрутизатор и сервер удаленного доступа, поскольку она поддерживает широкий набор функций. Для целей этого развертывания требуется только небольшое подмножество этих функций: поддержка VPN-подключений IKEv2 и маршрутизация по локальной сети.

IKEv2 — это туннельный протокол VPN, описанный в статье запрос принудительного запроса задачи по инженерам Интернета для комментариев 7296. Основное преимущество IKEv2 заключается в том, что оно допускает прерывания в базовом сетевом подключении. Например, если подключение временно потеряно или пользователь переместит клиентский компьютер из одной сети в другую, IKEv2 автоматически восстановит VPN-подключение, когда сетевое подключение будет восстановлено — без вмешательства пользователя.

Настройте сервер RRAS для поддержки подключений IKEv2 при отключении неиспользуемых протоколов, что снижает объем безопасности сервера. Кроме того, настройте сервер для назначения адресов VPN-клиентам из статического пула адресов. Вы можете феасибли назначать адреса из пула или DHCP-сервера. Однако использование DHCP-сервера повышает сложность проектирования и предоставляет минимальные преимущества.

В этой процедуре вы устанавливаете роль удаленного доступа как VPN-сервер шлюза RAS одного клиента. Дополнительные сведения см. в разделе Удаленный доступ.

Для установки роли удаленного доступа с помощью диспетчер сервера можно использовать следующую процедуру.

Откроется диалоговое окно Мастер добавления ролей и компонентов .

В этом разделе вы можете настроить VPN удаленного доступа, разрешающее подключения по протоколу IKEv2 VPN, запретить подключения от других протокола VPN и назначить пул статических IP-адресов для выдачи IP-адресов для подключения разрешенных VPN-клиентов.

  • На VPN-сервере в диспетчер сервера выберите флаг уведомлений .

  • В меню задачи выберите команду открыть мастер начало работы .

    Откроется мастер настройки удаленного доступа.

    Примечание

    Мастер настройки удаленного доступа может открыться позади диспетчер сервера. Если вы считаете, что мастер занимает слишком много времени, переместите или уменьшите диспетчер сервера, чтобы узнать, находится ли мастер за ним. В противном случае дождитесь инициализации мастера.

  • Выберите вариант развернуть только VPN.

    Откроется консоль управления Microsoft (MMC) Маршрутизация и удаленный доступ.

  • Щелкните правой кнопкой мыши VPN-сервер, а затем выберите настроить и включить маршрутизацию и удаленный доступ.

    Откроется мастер установки сервера маршрутизации и удаленного доступа.

  • В окне приветствия мастера установки сервера маршрутизации и удаленного доступа нажмите кнопку Далее.

  • В окне Конфигурациявыберите Настраиваемая конфигурация, а затем нажмите кнопку Далее.

  • В окне Настраиваемая конфигурациявыберите VPN-доступ, а затем нажмите кнопку Далее.

    Откроется окно Завершение работы мастера установки сервера маршрутизации и удаленного доступа.

  • Нажмите кнопку Готово , чтобы закрыть мастер, а затем кнопку ОК , чтобы закрыть диалоговое окно Маршрутизация и удаленный доступ.

  • Выберите запустить службу , чтобы запустить удаленный доступ.

  • В консоли управления для удаленного доступа щелкните правой кнопкой мыши VPN-сервер и выберите пункт Свойства.

  • В окне Свойства перейдите на вкладку Безопасность и выполните следующие действия.

    a. Выберите поставщик проверки подлинности и выберите Проверка подлинности RADIUS.

    b. Нажмите кнопку Настроить.

    Откроется диалоговое окно Проверка подлинности RADIUS.

    c. Выберите Добавить.

    Откроется диалоговое окно Добавление сервера RADIUS.

    d. В поле имя серверавведите полное доменное имя (FQDN) сервера политики сети в вашей организации или корпоративной сети.

    Например, если NetBIOS-имя сервера NPS — NPS1, а имя домена — corp.contoso.com, введите NPS1.Corp.contoso.com.

    д) В окне общий секретвыберите изменить.

    Откроется диалоговое окно изменение секрета.

    е) В поле новый секретвведите текстовую строку.

    ж. В поле Подтверждение нового секретавведите ту же текстовую строку, а затем нажмите кнопку ОК.

    Важно!

    Сохраните эту текстовую строку. При настройке сервера политики сети в организации или корпоративной сети этот VPN-сервер будет добавлен в качестве RADIUS-клиента. Во время этой конфигурации вы будете использовать тот же общий секрет, чтобы серверы NPS и VPN могли обмениваться данными.

  • В окне Добавление сервера RADIUSпроверьте параметры по умолчанию для.

  • При необходимости измените значения в соответствии с требованиями для вашей среды и нажмите кнопку ОК.

    NAS — это устройство, предоставляющее некоторый уровень доступа к более крупной сети. NAS, использующий инфраструктуру RADIUS, также является клиентом RADIUS, который отправляет запросы на подключение и сообщения учета на сервер RADIUS для проверки подлинности, авторизации и учета.

  • Проверьте настройку регистратора.

    Если требуется... Этого…
    Действие удаленного доступа, зарегистрированное на сервере удаленного доступа убедитесь, что выбрана учет Windows .
    Сервер политики сети для выполнения служб учета VPN Измените поставщик учетной отчетности на RADIUS-учет , а затем настройте NPS в качестве поставщика учетных данных.
  • Перейдите на вкладку IPv4 и выполните следующие действия.

    a. Выберите статический пул адресов.

    b. Выберите Добавить , чтобы настроить пул IP-адресов.

    Пул статических адресов должен содержать адреса из внутренней сети периметра. Эти адреса находятся на внутреннем сетевом подключении на VPN-сервере, а не в корпоративной сети.

    c. В поле начальный IP-адресвведите начальный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам.

    d. В поле конечный IP-адресвведите конечный IP-адрес в диапазоне, который вы хотите назначить VPN-клиентам или в поле число адресоввведите номер адреса, который необходимо сделать доступным. Если вы используете DHCP для этой подсети, убедитесь, что на DHCP-серверах настроено соответствующее исключение адресов.

    Примечание

    Для оптимальной производительности сети сам VPN-сервер не должен иметь сетевой интерфейс в той же подсети IPv4, которая назначает клиентам IPv4-адреса. Если VPN-сервер имеет сетевой интерфейс в этой подсети, то широковещательная или многоадресная рассылка, отправленная в эту подсеть, может привести к резкому увеличению задержки.

    д) Используемых Если вы используете DHCP, выберите адаптери в списке результатов выберите адаптер Ethernet, подключенный к внутренней сети периметра.

  • Используемых При настройке условного доступа для VPN-подключенияиз раскрывающегося списка Сертификат в разделе привязка SSL-сертификатавыберите аутентификацию сервера VPN.

  • Используемых При настройке условного доступа для VPN-подключенияв консоли управления NPS разверните узел политики полиЦиес\нетворк и выполните следующие действия.

    a. Правой кнопкой мыши щелкните подключения к сетевой политике сервера маршрутизации и удаленного доступа Майкрософт и выберите свойства.

    b. Выберите доступ с предоставлением доступа. Предоставить доступ, если запрос на подключение соответствует этому параметру политики.

    c. В разделе Тип сервера сетевого доступа выберите сервер удаленного доступа (VPN-подключение) в раскрывающемся списке.

  • В консоли MMC «Маршрутизация и удаленный доступ» щелкните правой кнопкой мыши элемент порты и выберите пункт свойства.

    Откроется диалоговое окно Свойства портов.

  • Выберите Минипорт WAN (SSTP) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (SSTP).

    a. Снимите флажки подключения удаленного доступа (только входящие) и подключения с маршрутизацией вызовов по требованию (входящие и исходящие) .

    b. Щелкните ОК.

  • Выберите Минипорт WAN (L2TP) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (L2TP).

    a. В поле Максимальное число портоввведите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.

    b. Щелкните ОК.

  • Выберите Минипорт WAN (PPTP) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (PPTP).

    a. В поле Максимальное число портоввведите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.

    b. Щелкните ОК.

  • Выберите Минипорт WAN (IKEv2) и щелкните Configure (настроить). Откроется диалоговое окно Настройка мини-порта устройства WAN (IKEv2).

    a. В поле Максимальное число портоввведите количество портов в соответствии с максимальным количеством одновременных VPN-подключений, которые требуется поддерживать.

    b. Щелкните ОК.

  • При появлении запроса выберите Да , чтобы подтвердить перезапуск сервера, и нажмите кнопку Закрыть , чтобы перезапустить сервер.

  • Настройка OpenVPN-сервера на Windows 2008/2012

    OpenVPN — открытая реализация технологии VPN (Virtual Private Network), которая предназначена для создания виртуальных частных сетей между группой территориально удаленных узлов поверх открытого канала передачи данных (интернет). OpenVPN подходит для таких задач, как безопасное удаленное сетевое подключение к серверу без открытия интернет-доступа к нему, как будто вы подключаетесь к хосту в своей локальной сети. Безопасность соединения достигается шифрованием OpenSSL.

    В статье мы расскажем:

    Как работает OpenVPN?

    По окончанию настройки OpenVPN сервер сможет принимать внешние защищенные SSL сетевые подключения к созданному при запуске VPN-сервиса виртуальному сетевому адаптеру (tun/tap), не затрагивая правила обработки трафика других интерфейсов (внешний интернет-адаптер и др.) Имеется возможность настроить общий доступ клиентов OpenVPN к конкретному сетевому адаптеру из присутствующих на сервере. Во второй части инструкции рассмотрено такое туннелирование интернет-трафика пользователей. При этом способе переадресации обрабатывающий VPN-подключения хост будет выполнять и функцию прокси-сервера (Proxy) - унифицировать правила сетевой активности пользователей и осуществлять маршрутизацию клиентского интернет-трафика от своего имени.

    Установка OpenVPN на сервер

    Скачайте и установите актуальную версию OpenVPN, соответствующую вашей операционной системе. Запустите установщик, убедитесь что на третьем шаге мастера установки выбраны все компоненты для установки.

    Обратите внимание, что в этой инструкции дальнейшие команды приведены из расчета, что OpenVPN установлен в директорию по-умолчанию "C:\Program Files\OpenVPN".

    Разрешаем добавление виртуального сетевого адаптера TAP в ответ на соответствующий запрос и дожидаемся завершения установки (может занять несколько минут).

    Генерация ключей (PKI) центра сертификации, сервера, клиента; алгоритм Диффи-Хеллмана

    Для управления парами "ключ/сертификат" всех узлов создаваемой частной сети используется утилита easy-rsa, работающая через командную строку по аналогии с консолью Linux. Для работы с ней откройте запустите командую строку (Сочетание клавиш Win+R, затем наберите cmd и нажмите Enter)

    Файлы конфигурации

    Скачайте наши файлы конфигурации и скрипты и замените их в каталоге C:\Program Files\OpenVPN\easy-rsa.

    Если пути по умолчанию не совпадают, откорректируйте их во всех файлах.

    В файле конфигурации openssl-1.0.0.conf обязательно задайте значения переменным, соответствующие вашим данным: countryName_default
    stateOrProvinceName_default
    localityName_default
    0.organizationName_default
    emailAddress_default

    Примечание: если значение переменной содержит пробел, то заключите ее в кавычки.

    Генерация ключей Центра Сертификации и Сервера

    1. Переименуйте файл index.txt.start в index.txt, serial.start в serial с помощью следующих команд: cd \
      cd "C:\Program Files\OpenVPN\easy-rsa"
      ren index.txt.start index.txt
      ren serial.start serial

      Перейдем к созданию ключа/сертификата центра сертификации. Запустите скрипт: .\build-ca.bat

      В ответ на появляющиеся запросы вы можете просто нажимать Enter. Единственное исключение - поле KEY_CN (Common Name) - обязательно укажите уникальное имя и такое же имя вставьте в поле name.

    2. Аналогичным образом генерируем сертификат сервера. Здесь значение полей Common Name и Name - SERVER: .\build-key-server.bat server

       

      Примечание: аргумент server - имя будущего файла.

      Для всех генерируемых ключей теперь будет задаваться вопрос о том, подписать ли создаваемый сертификат (Sign the certificate) от имени центра сертификации. Отвечаем y (yes).

    Генерация клиентских ключей и сертификатов

    Для каждого клиента VPN необходимо сгенерировать отдельный SSL-сертификат.

    В конфигурации OpenVPN присутствует опция, включив которую вы можете использовать один сертификат для нескольких клиентов (см. файл server.ovpn -> опция "dublicate-cn"), но это не рекомендуется с точки зрения безопасности. Сертификаты можно генерировать и в дальнейшем, по мере подключения новых клиентов. Поэтому сейчас создадим только один для клиента client1:

    Выполните следующие команды для генерации клиентских ключей: cd \
    cd "C:\Program Files\OpenVPN\easy-rsa"
    .\build-key.bat client1

    Примечание: аргумент client1 - имя будущего файла.

    В поле Common Name указываем имя клиента (в нашем случае client1).

    Параметры Diffie Hellman

    Для завершения настройки шифрования, необходимо запустить скрипт генерации параметров Диффи-Хеллмана: .\build-dh.bat

    Отображение информации о создании параметров выглядит так:

    Перенос созданных ключей/сертификатов

    Сгенерированные сертификаты находятся в директории C:\Program Files\OpenVPN\easy-rsa\keys. Скопируйте перечисленные ниже файлы в каталог C:\Program Files\OpenVPN\config:

    • ca.crt
    • dh3048.pem/dh2048.pem
    • server.crt
    • server.key

    Конфигурация сервера OpenVPN

    В дереве найдите каталог HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. В правой части окна найдите переменную IPEnableRouter, двойным щелчком мыши перейдите в окно редактирования значения и измените его на 1, тем самым разрешив адресацию на VPS.

    1. Перейдем к настройке непосредственно VPN-сервера, используйте наш файл конфигурации с именем server.ovpn и поместите его в директорию C:\Program Files\OpenVPN\config.

      Откройте файл, находим пути до ключей (см. ниже). Проверяем в нем пути до скопированных ранее сертификатов ca.crt, dh2024.pem/dh3048.pem, server.key, server.crt и при необходимости меняем: port 1194
      proto udp
      dev tun
      server 10.8.0.0 255.255.255.0
      ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
      cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
      key "C:\\Program Files\\OpenVPN\\config\\server.key"
      dh "C:\\Program Files\\OpenVPN\\config\\dh3048.pem"
      push "redirect-gateway def1"
      push "dhcp-option DNS 8.8.8.8"
      keepalive 10 120
      comp-lzo
      persist-key
      persist-tun
      verb 3

      Сохраняем файл.

    2. Теперь необходимо разрешить пересылку трафика между адаптерами. Выполните следующие шаги: Панель управления -> Сеть и интернет -> Центр управления сетями и общим доступом -> Изменение параметров адаптера. Выберете адаптер который смотрит во внешнюю сеть Интернет (TAP-адаптер отвечает за VPN соединение). В нашем примере это Ethernet 2.

      С помощью двойного щелчка мыши откройте Свойства адаптера и перейдите во вкладку Доступ, отметьте галочкой все пункты. Сохраните изменения.

    3. Далее нужно включить IP-адресацию.

      С помощью поиска Windows найдите приложение REGEDIT.exe.

    Автозапуск OpenVPN

    Сразу настроим службу OpenVPN на автозапуск при старте системы. Открываем "Службы"(Services) Windows. Находим в списке OpenVPN -> ПКМ -> Свойства (Properties) -> Запуск: Автоматически

    На этом базовая настройка сервера виртуальной частной сети завершена. Найдите файл C:\Program Files\OpenVPN\config\server.ovpn -> кликните правой кнопкой мыши -> "Start OpenVPN on this config" для запуска сервера виртуальной частной сети и подготовленного нами файла настроек.

    Конфигурация клиента OpenVPN

    Клиентские приложения OpenVPN доступны для всех популярных ОС: Windows / Linux / iOS / Android. Для MacOS используется клиент Tunnelblick. Все эти приложения работают с одними и теми же файлами конфигурации. Возможны лишь некоторые различия нескольких опций. Узнать о них вы можете, изучив документацию к своему клиенту OpenVPN. В этом руководстве мы рассмотрим подключение Windows-клиента с использованием того же дистрибутива программы, который мы устанавливали на сервер. При использовании приложений для других операционных систем логика настройки аналогична.

    1. Устанавливаем актуальную версию OpenVPN на клиентский компьютер.
    2. Копируем в директорию C:\Program Files\OpenVPN\config созданные ранее на сервере файлы клиентских сертификатов (2 сертификата с расширением .crt и ключ с расширением .key) и используем наш файл конфигурации клиента client.ovpn. Последний файл после копирования на устройство пользователя удаляем с сервера или переносим из папки config во избежание путаницы в будущем.
    3. Откройте файл client.ovpn. Найдите строку remote my-server-1 1194 и укажите в ней ip-адрес или доменное имя vpn-сервера:
      remote <ip-address> 1194</ip-address>

      Например: remote 111.222.88.99 1194

    4. Находим пути до сертификатов. Указываем в нем пути до скопированных ранее сертификатов ca.crt, client1.key, client1.crt как в примере ниже:
      # See the server config file for more
      # description. It's best to use
      # a separate .crt/.key file pair
      # for each client. A single ca
      # file can be used for all clients.
      ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
      cert "C:\\Program Files\\OpenVPN\\config\\client1.crt"
      key "C:\\Program Files\\OpenVPN\\config\\client1.key"
      # This file should be kept secret
    5. Сохраните файл. Настройка клиентской части завершена.

    Проверка правил Брандмауэра Windows

    Внимание! Для корректной работы сервиса OpenVPN требуется, чтобы на севере были открыты соответствующие порты (по-умолчанию UDP 1194). Проверьте соответствующее правило в вашем Firewall'е: Брандмауэре Windows или стороннем антивирусном ПО.

    Проверка OpenVPN-соединения

    Запустите OpenVPN сервер, для этого перейдите в директорию C:\Program Files\OpenVPN\config и выберите файл конфигурации сервера (у нас server.ovpn -> ПКМ -> "Start OpenVPN on this config file").

    Запустите клиент, для этого перейдите в директорию C:\Program Files\OpenVPN\config и выберите файл конфигурации клиента (у нас client.ovpn -> ПКМ -> "Start OpenVPN on this config file").

    На экране отобразится окно статуса подключения. Через несколько секунд оно будет свернуто в трей. Зеленый индикатор ярлыка OpenVPN в области уведомлений говорит об успешном подключении.

    Проверим доступность с клиентского устройства сервера OpenVPN по его внутреннему адресу частной сети:

    1. Нажимаем клавиши Win+R и появившемся окне вводим cmd для открытия командной строки.
    2. Выполняем команду ping до адреса нашего сервера в виртуальной частной сети (10.8.0.1): ping 10.8.0.1
    3. В случае корректной настройки VPN начнется обмен пакетами с сервером

       

    4. С помощью утилиты tracert проверим по какому маршруту идут пакеты от клиента. В консоли введите следующую команду: tracert ya.ru
      Из результата работы утилиты мы видим, что сначала пакеты отправляются на сервер VPN, а уже потом во внешнюю сеть.

    Теперь вы имеете готовую к работе виртуальную частную сеть, позволяющую осуществлять безопасные сетевые подключения между ее клиентами и сервером, используя открытые и территориально удаленные точки подключения к сети интернет.

     

    P. S. Другие инструкции:


    Ознакомиться с другими инструкциями вы можете на нашем сайте. А чтобы попробовать услугу — кликните на кнопку ниже.

    Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

    Настройка VPN-сервера на базе Windows Server 2008

    Настройка VPN-сервера в Windows Server 2008 и Windows Server 2008 R2 обычно состоит из 4 шагов:
    1. Установка ролей и служб.
    2. Настройка VPN-сервера.
    3. Настройка пограничного маршрутизатора.
    4. Настройка пользователей для удалённого доступа.

    Шаг 1. Установка ролей и служб

    Для работы VPN-сервера требуется только одна роль: "Службы политики сети и доступа".

    Установить её можно, например, из диспетчера сервера, где нажимаем на ссылку "Добавить роль". Далее выбираем роль "Службы политики сети и доступа", нажимаем кнопку "Далее":


    А в службе ролей выбираем "Служба удалённого доступа" и также "Далее":
    а затем "Закрыть":
    роли "Службы политики сети и доступа". Обычно после нажатия запускается мастер, который позволяет настроить VPN-сервер. Но это рассматривается на следующем шаге.

    Шаг 2. Настройка VPN-сервера

    Для настройки VPN-сервера необходимо запустить соответствующую оснастку консоли MMC (%windir%\system32\rrasmgmt.msc) или используя меню "Администрирование" > "Маршрутизация и удалённый доступ":
    Для сервера в контекстном меню выбрать "Настроить и включить маршрутизацию и удалённый доступ". В случае неправильной настройки (что может произойти с каждым), необходимо отключить маршрутизацию и удалённый доступ, а затем снова начать с этого шага (см. далее).
    Настройка маршрутизации и удалённого доступа производится в двух режимах:
    • когда используется только одна служба, например, VPN-сервер;
    • когда используется несколько служб, в т.ч. VPN-сервер.

    Рассмотрим первый вариант, поскольку в большинстве конфигураций этого будет достаточно. Выбираем вариант "Особая конфигурация". Если на сервере одна сетевая карта (в моём случае данный сервер является контроллером домена и имеет одну сетевую карту; маршрутизация осуществляется на другом сервере) и выбран вариант "Удалённый доступ (VPN или модем)", то возникнет следующая ошибка:
    На данном компьютере обнаружено менее двух интерфейсов сети.  Для стандартной настройки виртуальной частной сети (VPN) требуется наличие не менее двух интерфейсов сети. Используйте путь к особой настройке.


    Поэтому процесс настройки придётся начать сначала, а при выборе конфигурации указать "Особая конфигурация":
    Затем выбираем "Доступ к виртуальной частной сети (VPN)":
    Установка роли завершена:


    После нажатия на кнопку "Готово", будет предложено запустить службу. Внимательно читаем ниже.
    Внимание! Если у Вас не поддерживается протокол IPv6, то при запуске службы возникнет ошибка:
    Имя журнала:   System Источник:      RemoteAccess Дата:          12.09.2012 16:29:53 Код события:   20103 Категория задачи:Отсутствует Уровень:       Ошибка Ключевые слова:Классический Пользователь:  Н/Д Компьютер:     DCBM.k43.guap.ru Описание: Не удается загрузить C:\Windows\System32\iprtrmgr.dll. Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">   <System>     <Provider Name="RemoteAccess" />     <EventID Qualifiers="0">20103</EventID>     <Level>2</Level>     <Task>0</Task>     <Keywords>0x80000000000000</Keywords>     <TimeCreated SystemTime="2012-09-12T12:29:53.000000000Z" />     <EventRecordID>10950</EventRecordID>     <Channel>System</Channel>     <Computer>DCBM.k43.guap.ru</Computer>     <Security />   </System>   <EventData>     <Data>C:\Windows\System32\iprtrmgr.dll</Data>     <Binary>1F000000</Binary>   </EventData> </Event>

    Следует убрать поддержку протокола IPv6 из маршрутизации и удалённого доступа. См. "Не удается загрузить C:\Windows\System32\iprtrmgr.dll". Для этого выполним следующие команду.
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ipv6" /f net stop RemoteAccess net start RemoteAccess

    Внимание! В случае возникновения ошибки или если где-то накосячили, то всегда можно вернуться к начальному этапу настройки служб маршрутизации и удалённого доступа.

    Для этого для сервера в контекстном меню выбираем "Отключить маршрутизацию и удалённый доступ".


    И подтверждаем выбранное намерение.
    После успешного запуска службы, должны быть открыты порты 500, 1701, 1723:
    C:\Users\Администратор>netstat -an | find ":500 " UDP 0.0.0.0:500 *:* UDP [::]:500 *:* C:\Users\Администратор>netstat -an | find ":1701 " UDP 0.0.0.0:1701 *:* UDP [::]:1701 *:* C:\Users\Администратор>netstat -an | find ":1723 " TCP 0.0.0.0:1723 0.0.0.0:0 LISTENING

    Возможно потребуется изменить механизм раздачи адресу подключаемым пользователям. Они могут использовать службу DHCP, если она настроена на сервере, или можно выделить пул адресов. Эти параметры задаются в свойствах сервера, вкладка "IPv4":

    Шаг 3. Настройка пограничного маршрутизатора

    Описание протоколов, портов и как настроить IPTables показано тут: http://kaktusenok.blogspot.com/2011/09/vpn-windows-linux-windows.html

    Для данного VPN-сервера требуется разрешить передачу данных по TCP 1723, UDP 500, UDP 1701.

    Шаг 4. Настройка пользователей для удалённого доступа

    Следующим шагом будет настройка разрешений для пользователя. Открываем в "Администрирование" > "Active Directory - пользователи и компьютеры" (%SystemRoot%\system32\dsa.msc). Выбираем нужного нам пользователя и заходим в его свойства:
    Во вкладке "Входящие звонки" в группе "Права доступа к сети" выбираем "Разрешить доступ". Теперь этот пользователь может подключаться по VPN к локальной сети предприятия. Как это сделать см. "Подключение Windows 7 к VPN-серверу".

    Настройка VPN и RADIUS сервера на Windows Server 2008 | Info-Comp.ru

    Сегодня речь пойдет об установке и настройке VPN сервера на Windows Server 2008 в связке с Network Policy Server (NPS), который будет выполнять роль RADIUS сервера, а также будет защищать нашу сеть с помощью сетевых политик.

    Для начала определимся для чего нам нужно устанавливать и настраивать VPN? Чаще всего VPN используется для предоставления доступа в свою сеть из вне, по защищенному каналу. Но тут нужно подумать, является это для Вас лучшим решением или можно обойтись и без VPN (например «Удаленный рабочий стол»). Но если у Вас нет другого выхода, кроме как настраивать VPN, то давайте приступим.

    Для начала расскажу, в каких условиях мы будем все это дело настраивать.

    • Во-первых, на базе службы каталогов Active Directory Windows Server 2008;
    • Во-вторых, обычно второй сетевой интерфейс, который слушает входящие звонки, имеет внешний IP адрес, я для тестов буду использовать просто другую локальную сеть. Предполагается, что у нас на сервере имеется два сетевых интерфейса:

    Первый (локальный)
    10.10.10.3
    255.255.255.0
    Второй (как бы выход в инет, т.е. этот интерфейс будет принимать входящие подключения)
    192.168.1.1
    255.255.255.0

    Задача. Настроить VPN сервер и NPS сервер. При этом клиенты VPN сервера должны подключаться только в определенное время (с 20:00 до 21:00) в другое время им запрещено входить в сеть.

    Для начала создайте группу безопасности в оснастке Active Directory «Пользователи и компьютеры». Для того чтобы в нее помещать пользователей, которые будут иметь возможность подключаться к сети по VPN.

    Установка ролей сервера для VPN и NPS

    Далее можно переходить к установке необходимых ролей сервера. В качестве VPN сервера у нас будет выступать «Служба маршрутизации и удаленного доступа», а в качестве RADIUS сервера будет выступать «Сервер политики сети». Для установки как обычно зайдите в «Диспетчер сервера» и добавьте роль «Служба политики сети и доступа». На вкладке «Службы ролей» поставьте необходимые галочки (как на картинке).

    Настройка службы маршрутизации и удаленного доступа для VPN

    После того как все установилось можно переходить к настройке «Службы маршрутизации и удаленного доступа». Для этого запустите соответствующую оснастку в администрирование. Запускайте мастер настройка сервера (правой кнопкой «Настроить и включить маршрутизацию и удаленный доступ»).

    Выбирайте «Удаленный доступ (VPN  или модем)» как на картинке (мы сейчас будем настраивать только удаленный доступ, NAT настраивать не будем, у нас нет такой задачи, поэтому выбираем самый первый пункт).

    Далее выбираем «Доступ к виртуальной частной сети (VPN)».

    На следующем этапе выбирайте интерфейс, который будет слушать входящие звонки, т.е. именно по этому адресу клиенты будут к нам подключаться (в настоящих условиях это интерфейс который смотрит в Интернет).

    Далее выберете способ раздачи IP адресов клиентам, которые будут подключаться, другими словами, для того чтобы пользователь находился в одной сети, ему необходимо присвоить соответствующий IP адрес. Существует два способа это сделать:

    • Раздать через DHCP;
    • Задать вручную диапазон.

    Первый вариант можно использовать тогда, когда у Вас настроен DHCP сервер в Вашей сети. Весь процесс выглядит так – если Вы выбрали этот вариант «Служба маршрутизации и удаленно доступа» сразу займет на DHCP сервере 10 IP адресов, поэтому не удивляйтесь, почему у Вас на DHCP сервере появились занятые ip-ки с уникальном кодом RAS. Кстати если одновременных подключений будет больше 10, то RAS займет еще 10 и так далее, т.е. занимает сразу по десять штук.

    Если Вы не хотите использовать DHCP, то просто на всего выберете соответствующий пункт и задайте диапазон IP адресов.

    Примечание! Если Вы решили задать вручную и при этом у Вас работает DHCP сервер, то задавайте тот диапазон, который не будет пересекаться с выдачей DHCP, или просто на DHCP сервере задайте диапазон исключений, IP адреса которого не будут выдаваться, а здесь Вы его укажите для выдачи.

    На следующем этапе Вам предложат выбрать способ проверки подлинности запросов на подключение. Здесь у Вас снова два варианта: первый, сама служба будет это делать, а второй RADIUS сервер, как раз второй вариант мы сегодня и рассматриваем.

    Далее предстоит выбрать адрес основного RADIUS сервера, так как основным сервером являемся мы сами, то и пишем наш IP адрес: 10.10.10.3

    Все жмите готово, у Вас при этом настроится DHCP сервер для совместной работы с данной службой.

    Настройка Network Policy Server (NPS)

    Теперь переходим к настройке Network Policy Server (NPS) для этого запускайте оснастку «Сервер политики сети». Для начала зарегистрируйте этот сервер в AD, правой кнопкой «Зарегистрировать сервер в AD». Потом можно выключить политики, которые создались по умолчанию (также легко, правой кнопкой выключить). Затем можете запускать мастер настройки сервера.

    Сначала выбираете тип подключения и можете задать имя Ваших политик, я например не изменял, а оставил все по умолчанию.

    Затем можно указать клиентов RADIUS сервера. Под этим понимается сервера, которым нужны услуги RADIUS сервера, например наш VPN сервер, но так как он находится на нашем локальном компьютере, то здесь можно ничего не заполнять.

    На следующем этапе у Вас спросят, какой метод проверки подлинности Вы хотите использовать, выберите вариант MS-CHAPv2.

    Далее добавьте группу пользователей, которые имеют право на подключения к VPN серверу. Свою группу я назвал VPN.

    Потом Вас попросят настроить ip-фильтры, но мы этого делать не будем, жмем далее и попадаем на этап настройки шифрования, здесь опять ничего не меняем (по умолчанию все галочки включены). Переходим к следующему этапу, где необходимо указать «Имя сферы» мы это тоже пропускаем и жмем далее, где нам уже скажут, что настройка прошла успешно. Жмем «Готово».

    Теперь можете раскрыть политики, выберете «Политики запросов на подключение» нажмите правой кнопку на созданную Вами политику и нажмите свойства, перейдите на вкладку условия и нажмите добавить. Найдите там раздел «Ограничение по дням недели и времени суток» и жмите еще раз добавить. Настройте время так, как Вам нужно, для нашей с Вами тестовой задачи это с 20:00 по 21:00.

    Теперь можно переходить к тестированию, в настройках подключения клиента указываем адрес 192.168.1.1 (в реальность внешний IP адрес или DNS имя).

    Все, на этом наша с Вами тестовая задача выполнена. Но сразу могу сказать, что возможностей у NPS сервера очень много и Вы можете задавать свои сетевые политики для своей локальной сети, при выполнении некоторых условий. Например, компьютеры должны быть в домене и у них должен быть включен NAP агент. Но об этом и многом другом будем разговаривать в следующих статьях.

    Нравится1Не нравится

    Настройка VPN-сервера на базе Windows Server 2012 R2 (Windows Server 2012 R2)

    В этой статье мы покажем вам, как установить и настроить простейший VPN-сервер на базе Windows Server 2012 R2, который можно эксплуатировать в небольшой организации или при использовании отдельного сервера (так называемые размещенные скрипты).

    Примечание . Данное руководство не рекомендуется в качестве справочника по организации VPN-сервера в крупной корпоративной сети.В качестве корпоративного решения лучше реализовать прямой доступ и использовать его для удаленного доступа (который, кстати, настроить сейчас гораздо проще, чем в Windows 2008 R2).

    Прежде всего, роль " Удаленный доступ " Вы можете сделать это через консоль диспетчера серверов или PowerShell (ниже молча).

    В роли удаленного доступа нас интересует служба " DirectAccess and VPN (RAS)" . Установить (установка сервиса тривиальна, в следующих шагах можно оставить все настройки по умолчанию.Будет установлен веб-сервер IIS (внутренние компоненты базы данных Windows — WID).

    После завершения работы мастера нажмите « Открыть мастер первых шагов ». В результате запустится мастер установки RAS-сервера.

    Вы можете установить RAS с помощью Powershell с помощью команды:

     Install-WindowsFeatures RemoteAccess -IncludeManagementTools 

    Поскольку нам не нужно внедрять DirectAccess, мы указываем, что нам нужно только установить VPN-сервер (пункт « Развернуть только VPN ").

    Откроется знакомая консоль MMC Routing and Remote Access. В консоли щелкните правой кнопкой мыши имя сервера и выберите « Настройка и включение маршрутизации и удаленного доступа ».

    Запустится мастер настройки сервера RAS. В окне мастера выберите « Пользовательская конфигурация ». Затем установите флажок «Доступ к VPN».

    После завершения работы мастера система предложит запустить службу маршрутизации и удаленного доступа.Сделай это.

    Для межсетевого экрана между VPN-сервером и внешней сетью, к которой подключаются клиенты (обычно это Интернет), откройте следующие порты и перенаправьте трафик на эти порты на VPN-сервер на базе Windows Server 2012 R2:

    • Для PPTP: TCP - 1723 и протокол 47 GRE (также называемый PPTP Pass-through)
    • Для SSTP: TCP 443
    • Для L2TP через IPSEC: TCP 1701 и UDP 500

    После установки сервера необходимо разрешить доступ к VPN у пользователя характеристики.Если сервер находится в домене Active Directory, нужно это сделать в свойствах пользователя в ADUC, а если сервер локальный, то в свойствах пользователя в консоли управления компьютером (Network Access Allow - Разрешить доступ).

    Если вы не используете внешний DHCP-сервер, раздающий IP-адреса VPN-клиентам, необходимо включить «Статический пул адресов» в свойствах VPN-сервера на вкладке IPv4 и указать диапазон адресов для раздачи.

    Примечание .Для правильной маршрутизации IP-адреса, раздаваемые сервером, не должны пересекаться с IP-адресацией на стороне VPN-клиента.

    Осталось настроить VPN-клиент и протестировать (как настроить VPN-клиент в Windows 8).

    Примечание . Сервер VPN также может быть организован на основе операционной системы клиента. Об этом подробно написано в статьях:
    • VPN-сервер Windows 7
    • Встроенные VPN-серверы Widows 8
    .

    Сайт, посвященный внедрению и управлению продуктами Microsoft.

    Развертывание сервера удаленного доступа на основе частных виртуальных сетей (VPN) позволяет пользователям безопасно подключаться через общедоступный Интернет к частным удаленным сетям. Настройка удаленного доступа VPN в Windows Server предполагается, что один пользователь подключается через Интернет к серверу, на котором запущена служба маршрутизации и удаленного доступа.
    Как правило, эта услуга представляет собой программный многопротокольный маршрутизатор, который можно настроить для выполнения маршрутизации в IP-сетях, между локальными и глобальными сетями (LAN-LAN и LAN-WAN) и частными сетями. виртуальных сетей (VPN) и для преобразования адресов NAT.

    Частные виртуальные сети (VPN) — это логические сети, которые физически распространяются через Интернет. В VPN частные пакеты сначала шифруются, а затем инкапсулируются в адресуемые общедоступные пакеты. на удаленный сервер удаленного доступа.Эта информация о маршрутизации позволяет транспортировать зашифрованные частные данные «через туннель» в общедоступной сети к конечному пункту назначения. После получения информации через VPN-туннель, который были инкапсулированы, сервер VPN удаляет общедоступные заголовки и расшифровывает частные данные.

    Важной особенностью VPN является то, что общедоступные физические сети, через которые передаются данные, становятся невидимыми для обеих конечных точек связи. Два компьютера, Компьютер1 и Компьютер2, они физически связаны только через интернет.Несмотря на то, что два компьютера разделены несколькими маршрутизаторами, VPN-подключение представляется как один переход.

    Рисунок 1. Схема VPN-соединения, реализуемого сервером удаленного доступа (VPN-сервером) со службой маршрутизации и удаленного доступа (RRAS).

    Windows Server поддерживает четыре типа VPN: IKEv2, SSTP, PPTP и L2TP/IPSec.
    Туннели PPTP проще в установке. Безопасность передаваемых данных пропорциональна надежности пароля пользователя.Использование длинных и сложных паролей обеспечивает защиту на уровне туннеля L2TP/IPSec на основе сертификатов. Итак, давайте заставим учетные записи пользователей в домене AD использовать надежные пароли. Это можно сделать, настроив GPO Default Domain Policy . Хотя соединения PPTP VPN конфиденциальность данных (перехваченные пакеты не могут быть расшифрованы без ключа), но они не обеспечивают целостность данных (проверка того, что данные не были изменены во время передачи) или аутентификацию источника данных (проверьте, что они были отправлены авторизованным пользователем).
    Для PPTP-соединений шифрование выполняется по методу MPPE, который не требует настройки инфраструктуры открытого ключа (PKI) или назначение сертификатов пользователям или компьютерам на каждом конце частного виртуального соединения. Однако PPTP можно использовать вместе с инфраструктурой сертификатов, если он используется в качестве протокола аутентификации. EAP-TLS будет выбран. Канал между двумя концами соединения VPN рассматривается как соединение PPP, зашифрованное с использованием MPPE.Затем фрейм PPP оборачивается заголовком GRE. (Общая инкапсуляция маршрутизации) и IP-заголовок.
    При соединениях L2TP/IPSec или IKEv2 (на основе IPSec) VPN-клиент и VPN-сервер используют L2TP или IKE для обмена компьютерными сертификатами или ключами. предварительный кондиционер для установления ассоциации безопасности интернет-протокола (IPSec). В обоих случаях клиент и сервер VPN аутентифицируют друг друга на уровне компьютера. Аутентификация с компьютерными сертификатами является гораздо более надежным методом аутентификации и поэтому настоятельно рекомендуется.Аутентификация на уровне компьютера используется протоколом туннелирования второго уровня (L2TP)/соединениями IPsec или IKE версии 2. если данные, отправляемые через VPN-соединение, поступают с другого конца соединения и не изменялись при передаче, данные содержат криптографическую контрольную сумму, основанную на ключе шифрования, известном только отправителю и получателю. Аутентификация источника данных и целостность данных доступны для соединений L2TP/IPsec и IKE версии 2, использование второго протокола более безопасно и дает лучшие параметры соединения.
    Для подключений L2TP/IPSec протокол L2TP обеспечивает туннелирование VPN, а функция Encapsulation Security Payload (EPS), являющаяся функцией IPSec, обеспечивает шифрование данных. В отличие от PPTP, Соединения L2TP/IPSec требуют аутентификации компьютера в дополнение к аутентификации пользователя. В первую очередь выполняется компьютерная аутентификация. Этот процесс происходит каждый раз, когда вы пытаетесь установить соединение между клиентами и серверами удаленного доступа по протоколам L2TP/IPSec.После аутентификации туннеля и установления безопасного канала между клиентом и сервером выполняется аутентификация пользователя. Аутентификация пользователя через VPN-соединение по протоколу L2TP/IPSec основана на том же наборе протоколов аутентификации, что и для PPTP- и коммутируемого соединений. После завершения аутентификации пользователя пользователь авторизуется.
    Для большинства VPN-подключений на основе L2TP проверка подлинности компьютера зависит от инфраструктуры сертификатов.Чтобы установить этот тип VPN, вы должны сначала установить VPN на каждом сервере и клиенте. сертификат компьютера, выданный тем же центром сертификации (CA). Сертификаты содержат расширения Enhanced Key Usage (EKU), определяющие назначение сертификата. Сертификат компьютера должен содержать либо целевой IKE Intermediate и Server Authentication , либо IPSec в расширении сертификата. В свою очередь, сертификат VPN-сервера должен содержать целевой IP-безопасность IKE Intermediate или Аутентификация клиента .
    Использование VPN-подключений на основе протоколов PPTP и L2TP может быть затруднено из-за блокировки портов некоторыми веб-прокси-серверами, брандмауэрами и преобразованиями NAT между VPN-клиентами и серверами. Для решения этой проблемы Microsoft разработала новый механизм удаленного доступа. Решение под названием SSTP (Secure Socket Tunneling Protocol) позволяет безопасно получать доступ к удаленным компьютерным сетям, не беспокоясь о проблемах с блокировкой портов.SSTP строит VPN-туннель через Secure-HTTP, устраняя упомянутые проблемы. Протокол основан на SSL (не PPTP или IPSec), и весь трафик SSTP он поддерживается на TCP-порту 443. Однако использование этого типа подключения требует установки соответствующего сертификата на VPN-сервере.

    Каждый удаленный компьютер, подключающийся к серверу удаленного доступа, автоматически получает IP-адрес в процессе установления соединения. Сервер удаленного доступа (VPN-сервер) получает IP-адреса от существующего DHCP-сервера. или из диапазона статических IP-адресов, определенного в RRAS.После установления соединения между компьютером и сервером удаленного доступа и присвоения необходимых адресов их необходимо аутентифицировать на тот момент полномочия. Аутентификация — это процесс подтверждения того, что пользователь действительно является тем, за кого себя выдает. Проверка происходит путем проверки пароля или других учетных данных, таких как смарт-карта или сертификат. Аутентификация удаленного доступа предшествует процессу аутентификации для регистрации в домене.Прежде чем пользователь попытается удаленно войти в домен, соединение должно оставаться впервые установлен, аутентифицирован и авторизован.
    Процесс аутентификации предназначен для проверки учетных данных пользователя, а процесс авторизации для авторизации — для разрешений доступа пользователя к ресурсам. Реализуется на основании разрешений указанный в свойствах учетной записи пользователя или с помощью политики удаленного доступа, определенной на сервере политики сети (NPS), который является эквивалентом сервера RADIUS (служба удаленной аутентификации пользователей по телефонной линии).

    Протоколы аутентификации.
    Для проверки подлинности учетных данных, предоставленных VPN-подключением, сервер и клиент удаленного доступа должны сначала согласовать использование общего протокола проверки подлинности. Большинство протоколов аутентификации предлагают некоторый критерий безопасности (измерение), чтобы учетные данные пользователя не могли быть перехвачены и основаны на этих уровнях безопасности для протоколов аутентификации. Приоритеты назначаются серверам и клиентам Windows.
    Протокол аутентификации, выбранный для подключения удаленного доступа, всегда является наиболее безопасным протоколом среди протоколов, включенных в свойствах клиентского подключения, в свойствах сервера удаленного доступа. или определяется политикой удаленного доступа, применяемой к этому соединению.

    • Расширяемый протокол аутентификации — безопасность на транспортном уровне (EAP-TLS)
      Протокол аутентификации на основе сертификатов и EAP, который представляет собой расширяемую платформу для поддержки новых методов аутентификации.Чаще всего используется в сочетании со смарт-картами. Он поддерживает шифрование как для аутентификации, так и для данных подключения. Обратите внимание, что EAP-TLS не поддерживается на автономных серверах. Сервер удаленного доступа Windows Server должен принадлежать домену. Для соединений PPTP он может заменить MS-CHAPv2 для более безопасной аутентификации. Однако такое решение требует реализации сертификатов.
    • МС-ЧАП v2.
      Распространенный метод шифрования как данных аутентификации, так и данных подключения. Для каждого соединения и для каждого направления передачи используется новый криптографический ключ. Гарантировать
    • МС-ЧАП.
      Одностороннее шифрование данных аутентификации и подключения. Один и тот же криптографический ключ используется для всех соединений. Пароль не должен превышать 14 символов.
    • Протокол аутентификации рукопожатия вызова (CHAP).
      Общий метод проверки подлинности, который шифрует данные проверки подлинности с помощью хэш-схемы MD5. Групповая политика, применяемая к учетным записям, использующим этот метод, должна быть настроена на пароли были сохранены с использованием обратимого метода шифрования (пароли должны быть сброшены после применения этой новой политики). Протокол не поддерживает шифрование данных соединения.

    Методы шифрования.
    Windows Server поддерживает два основных метода шифрования данных для подключения удаленного доступа: Rivest-Shamir Adleman (RSA) RC4 и стандарт шифрования данных (DES).RSA RC4 — это группа алгоритмов, используется в методе MPPE, который является типом шифрования протоколов аутентификации MS-CHAP или EAP-TLS как для коммутируемых подключений, так и для VPN-подключений на основе PPTP. Схема шифрования DES чаще всего используется с протоколом IPSec, который является стандартом безопасности для протокола аутентификации L2TP в сетях VPN.

    • Сильнейшее шифрование (MPPE 128-бит)
      Для VPN-соединений на основе PPTP используется 128-битный ключ.Для VPN-соединений на основе L2TP/IPSec используется 168-битное шифрование 3DES (Triple DES).
    • Сильное шифрование (MPPE 56-бит)
      Для VPN-подключений на основе PPTP используется 56-битный ключ. Для VPN-соединений на базе L2TP/IPSec используется 56-битное шифрование DES.
    • Базовое шифрование (MPPE 40-бит)
      Для VPN-подключений на основе PPTP используется 40-битный ключ. Для VPN-соединений на базе L2TP/IPSec используется 56-битное шифрование DES.

    Реализация удаленного доступа на основе сети VPN.
    Для развертывания удаленного доступа с использованием маршрутизации и удаленного доступа требуются следующие компоненты:
    - Служба каталогов Active Directory (домен: msa.domen.pl),
    - сервер со службой контроллера домена (DNS: dc.msa.domen.pl),
    - сервер с сервисом RRAS (VPN-сервер) (DNS: vpn.msa.domena.pl),
    - сервер со службой сервера политики сети (сервер NPS) (DNS: nps.msa.domen.pl),
    - сервер со службой Центра сертификации (CA-сервер) (DNS: ca.msa.domen.pl).
    В тестовой среде контроллер домена AD, сервер политики сети и службы центра сертификации могут работать на одном сервере. Домен Active Directory в тестовой среде — msa.domen.pl . Все серверы и компьютеры, которые действуют как клиенты VPN, должны быть членами этого домена. Это обеспечит авторизацию сервера ЦС на всех компьютерах.

    Установка службы маршрутизации и удаленного доступа.
    Для установки службы RRAS будет использоваться компьютер с операционной системой Windows Server 2016, оснащенный двумя сетевыми адаптерами, подключенными к сетям LAN и DMZ. В идеале такой VPN-сервер должен быть прямым Доступ в Интернет в обход основного брандмауэра и маршрутизатора доступа, отделяющего Интернет от внутренних сетей (LAN, DMZ) предприятия. Это позволит нам избежать проблем с установлением соединений на основе IPSec.

    Рисунок 2. Консоль MMC маршрутизации и удаленного доступа (RRAS).

    Пример конфигурации VPN-сервера описан ниже:
    - Имя сервера: VPN
    - имя в локальном DNS-сервисе: vpn.msa.domen.pl
    - имя в DNS-сервисе Интернета: vpn.domen.pl
    - IP-адрес платы Ethernet1: 192.168.20.1 (сеть LAN)
    - IP-адрес карты Ethernet2: 157.54.130.1 (Интернет-сеть)

    Адаптер Ethernet1 подключен непосредственно к корпоративной локальной сети.Отправка запроса в локальную службу DNS для разрешения адреса vpn.msa.domena.pl вернет IP-адрес 192.168.20.1. В Интернете компьютер виден под DNS-именем vpn.domen.pl и IP-адресом 157.54.130.1, присвоенным сетевой карте Ethernet2.

    Рекомендуется переименовать ваши сетевые адаптеры во что-то более описательное, например LAN, DMZ или Internet. Адрес шлюза по умолчанию должен быть установлен на адаптере, подключенном к Интернету или подсети DMZ. Адреса DNS-серверов должны быть настроены для адаптера, подключенного к локальной сети.Мы предполагаем, что сетевая инфраструктура компании имеет собственные серверы DNS и WINS (NetBIOS).
    Служба RRAS устанавливается с помощью командного интерпретатора PowerShell.
    Команда: Install-WindowsFeature -Name DirectAccess-VPN -IncludeAllSubFeature -Restart.
    Затем мы устанавливаем набор средств управления удаленным доступом для управления службой RRAS.
    Команда: Install-WindowsFeature -Name RSAT-RemoteAccess -IncludeAllSubFeature.
    Среди установленных консолей управления найдите консоль Routing and Remote Access и запустите ее. После выбора значка сервера в контекстном меню выберите «Настроить и включить маршрутизацию и удаленный доступ». В мастере настройки службы выберите Пользовательская конфигурация > Доступ к VPN и завершите работу мастера. Служба удаленного доступа будет запущена.
    Убедитесь, что учетная запись компьютера в службе каталогов AD является членом группы RAS и IAS Servers .Это членство необходимо, чтобы разрешить серверам доступ к определенным настройкам учетной записи пользователя.
    На вкладке Общие настройте параметры:
    - Включить этот компьютер в качестве IPv4-маршрутизатора : включено, дополнительно установите флажок LAN и маршрутизация вызова по требованию .
    - Сервер удаленного доступа IPv4 : включен.
    На вкладке IPv4 укажите диапазон IP-адресов, которые будут назначаться VPN-клиентам.Будет использоваться пул IP-адресов из сети 192.168.21.0/24 в диапазоне от 192.168.21.1 до 192.168.21.30. Первый адрес в диапазоне он назначается внутреннему сетевому интерфейсу, предназначенному для VPN-соединений. Он виден в опции Network Interfaces под именем Internal . Маршрутизаторы в локальной сети компании должны быть быть настроен на получение информации об этой подсети.

    Внимание!
    Сеть, выделенная для VPN-соединений, не может быть использована в инфраструктуре компании, так как вызовет проблемы с маршрутизацией пакетов и, как следствие, отсутствие доступа к сетевым ресурсам несмотря на положительное заключение. VPN-соединение.

    Настройте параметры:
    - Включить переадресацию IPv4 : Включено
    - Статический пул адресов : укажите диапазон адресов для VPN-соединений.
    - Включить разрешение широковещательных имен : Включено, установлено для сетевого адаптера, подключенного к внутренней сети. В нашем случае это Ethernet1.

    Конфигурация службы сервера политики сети (NPS).
    Служба Network Policy Server включает в себя реализацию сервера RADIUS, благодаря которому он выполняет централизованные процессы аутентификации, авторизации и разрешения многих типов доступа к сети по типу беспроводных соединений. и удаленный доступ к виртуальным частным сетям (VPN).Он будет использоваться для создания политики, определяющей условия предоставления доступа к VPN-соединению сервером удаленного доступа.
    В сервисной консоли NAS добавьте учетную запись VPN-сервера: NPS (локальный)> Клиенты и серверы RADIUS> Клиенты RADIUS.
    Настраиваем соответствующие параметры, чтобы создать учетную запись для VPN-сервера.
    Вкладка Настройки :
    - Включить этот клиент RADIUS : Включено
    - Понятное имя : VPN-сервер
    - Адрес (IP или DNS) : vpn.msa.domen.pl
    - Shared Secret : укажите значение пароля вручную (Manual) или воспользуйтесь опцией автоматической генерации.
    Вкладка Дополнительно :
    - Имя поставщика : Microsoft
    Значение поля Shared Secret потребуется для настройки подключения к NPS-серверу в RRAS.

    Рисунок 3. Консоль MMC сервера сетевых политик. Создайте новую учетную запись клиента RADIUS.

    Следующим шагом является создание правила, определяющего условия, которым должны соответствовать компьютер и учетная запись пользователя, чтобы дать согласие на установку VPN-подключения. Для учетных записей пользователей членство будет условием в локальной доменной группе VPNUsers . Для этого создайте в AD группу VPNUsers и добавьте в нее учетные записи пользователей, которые смогут использовать VPN-соединения. После этого создайте соответствующую политику в службе НПС.Однако этот шаг облегчен, так как такое правило уже существует. Вам нужно только изменить его.

    В сервисной консоли NAS измените созданное по умолчанию правило Подключения к серверу маршрутизации и удаленного доступа Microsoft , доступное в NPS (локальный)> Политики> Политики сети. Настройки на вкладке Обзор показаны на фото 4.

    Рисунок 4. Параметры политики подключений к серверу маршрутизации и удаленного доступа Microsoft.Вкладка «Обзор».

    На вкладке Условия добавьте группу безопасности домена VPNUsers с записью UserGroups .

    Рисунок 5. Настройка сервера NPS в службе RRAS.

    Следующим шагом является указание RRAS сервера политики сети, который примет или отклонит запрос на подключение на основе политики доступа, основанной на настройке политики «Подключения к серверу маршрутизации и удаленного доступа Майкрософт» .В консоли RRAS на вкладке Security из списков Authentication provider и Accounting provider выберите RADIUS Authentication и RADIUS Accouting соответственно. Используйте параметр Конфигурация , чтобы сделать запись, указывающую на сервер со службой NPS (например, s.msa.domena.pl), и введите значение пароля Shared Secret .

    Конфигурация VPN-соединения с использованием PPTP/MS-CHAPv2.
    Для предоставления VPN-подключений на основе протокола PPTP и метода аутентификации MS-CHAPv2: 11:20 2019-01-24
    - предоставить группу портов типа PPTP на сервере RRAS,
    - включить метод аутентификации MS-CHAPv2 на сервере RRAS,
    - включить метод аутентификации MS-CHAPv2 в настройках политики удаленного доступа на сервере NPS,
    - включить протокол шифрования данных MPPE в настройках политики удаленного доступа на сервере NPS,
    - открыть соответствующие порты на корпоративном брандмауэре и VPN-сервере.

    Рисунок 6. Конфигурация портов PPTP.

    Чтобы выполнить описанные выше действия, перейдите в раздел Порты > Свойства в консоли управления RRAS. В окне Port Properties выбираем WAN Miniport (PPTP) , переходим Configure....
    В поле Максимальный порт укажите количество общих портов. В среде tesotwym стало доступно 5 портов. Обратите внимание, что количество общих портов не должно превышать количество доступных IP-адресов для VPN-соединений.
    Также должны быть включены опции:
    Соединение удаленного доступа (только входящее)
    - & nbsp Соединение маршрутизации вызова по требованию (входящее и исходящее)

    Следующим шагом является включение проверки подлинности MS-CHAPv2 с помощью RRAS и NPS.
    В консоли RRAS перейдите в «Свойства» > «Безопасность» > «Методы аутентификации…» и выберите Зашифрованная аутентификация Майкрософт версии 2 (MS-CHAPv2) .
    В консоли NPS выберите политику доступа для VPN-подключений с именем Подключения к серверу маршрутизации и удаленного доступа Microsoft , на вкладке Ограничения > Методы аутентификации включите следующие параметры:
    - Microsoft Encrypted Authentication, версия 2 (MS-CHAPv2) ,
    - Пользователь может изменить пароль после истечения срока его действия .
    На вкладке «Настройки» > «Шифрование» включите шифрование данных MPPE.Самый безопасный метод — выбрать 128-битный метод шифрования MPPE, который поддерживается Windows, начиная с Windows XP / Windows Server 2003 и выше. Настройки этих опций в сервисе NPS показаны на фото №7.

    Рисунок 7. Включите аутентификацию MS-CHAP2v2 и шифрование MPPE в настройках политики Connections to Microsoft Routing and Remote Access службы NPS.

    Такая настроенная политика позволит установить VPN-соединение компьютеру с операционной системой Windows XP и новее.Вопреки распространенному мнению, безопасность, обеспечиваемая протоколом PPTP, высока, если длина пароля пользователя превышает 8 символов и он периодически меняется.
    Последним шагом является открытие соответствующих портов для PPTP-трафика на брандмауэре VPN-сервера и брандмауэре компании, если VPN-сервер не имеет прямого подключения к Интернету. Список необходимых портов находится в конце статьи.

    Конфигурация VPN-подключения на клиенте Windows 10.
    Конфигурация VPN-подключения в более ранних версиях Windows очень похожа.
    В Windows 10 новый мастер VPN-подключения доступен в меню «Настройки»> «Сеть и Интернет»> «VPN». В случае с классической панелью управления это Панель управления > Центр управления сетями и общим доступом > Настройка нового подключения или новой сети.
    Запустите мастер нового подключения, нажав Добавить новое подключение (или в окне Центра управления сетями и общим доступом нажмите Настроить новое подключение или новую сеть ).Заполните соответствующие поля по мере необходимости с данными конфигурации:
    - VPN-провайдер : Windows (встроенный)
    - Имя соединения : любое значение, например VPN .
    - Имя или адрес сервера : vpn.domen.pl
    - Тип сети : автоматический
    - Введите данные для входа : Имя пользователя и пароль
    - Имя пользователя (опционально) : возможные комбинации Домен \ Логин пользователя или логин самого пользователя.Если домен не указан, VPN-сервер будет использовать домен, членом которого он является.
    - Пароль (необязательно) : текущий пароль пользователя в домене .

    Выбор типа сети: Автоматически заставит Windows выбирать наиболее безопасное соединение для согласования с сервером VPN при установлении соединения VPN.

    Рисунок 8. Активное соединение PPTP видно в консоли RRAS.

    Порядок типов подключения следующий: IKEv2, SSTP, PPTP, L2TP/IPsec.
    После запуска и установления соединения, в консоли RRSA, мы можем проверить его статус, щелкнув узел Remote Access Clients . Будут показаны все активные VPN-подключения. На фото №8 вы можете увидеть тестовое VPN-соединение PPTP с методом шифрования MPPE 128 (надежное шифрование (MPPE 128-Bit)), выбранным в настройках политики Connections to Microsoft Routing and Remote Access server .Проверка выбранного соединения и выбор Статус позволяет просмотреть подробную статистику соединения.

    Конфигурация VPN-подключения с использованием PPTP/EAP-TLS.
    Вы можете повысить безопасность соединений PPTP, используя более безопасный протокол Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) . Требуется использование сертификатов, которые будут получены от центра сертификации. компания, управляемая службой центра сертификации (CA) Windows Server.В тестовой среде служба CA работает на компьютере с именем CA (DNS: ca.msa.domena.pl).
    EAP-TLS требует два сертификата: сертификат, выданный пользователю, и сертификат для аутентифицирующего компьютера, то есть NPS. Первый должен соответствовать следующим условиям:
    - быть выданным Удостоверяющим центром (ЦС), сертификат которого включен в обещанный NTAuth службы AD,
    - включить цель (OID) Аутентификация клиента ,
    - пройти все проверочные тесты, включая проверку списка отзывов,
    - содержат значение основного имени пользователя (UPN) из учетной записи пользователя в AD, присвоенное значению расширения альтернативного имени субъекта.
    Примером такого сертификата является сертификат User , доступный в ЦС. Его настройки можно посмотреть, зайдя в хранилище сертификатов ЦС. На вкладке Имя субъекта сертификата параметр Создан на основе информации Active Directory включен с выбранными параметрами Имя электронной почты и Основное имя пользователя (UPN) . для значения Включите эту информацию в альтернативное имя субъекта .
    Сертификат, выданный для сервера аутентификации, должен соответствовать следующему требованию:
    - включить цель (OID) Аутентификация сервера .
    Таким сертификатом может быть сертификат Computer или RAS и IAS Server . Второй сертификат предназначен для серверов, содержащих службы RRAS или NPS, так как он выдается с машины. для всех компьютеров, входящих в группу безопасности RAS и серверов IAS . Достаточно только на вкладке Security этого сертификата, для группы безопасности RAS и IAS Servers , добавить разрешения на чтение, регистрацию и автоматическую регистрацию.

    Для повышения безопасности сертификат пользователя можно хранить на смарт-карте. Его использование неуполномоченным лицом требует физической кражи. К сожалению, использование смарт-карт требует, чтобы каждый компьютер (клиент VPN) был оборудован считывателем смарт-карт.

    Для использования аутентификации EAP-TLS требуется:
    - выпуск сертификата типа User для учетной записи пользователя в AD,
    - выдача сертификата типа RAS и IAS Server для компьютера со службой NPS,
    - включение метода аутентификации EAP в сервисе RAAS,
    - Метод аутентификации EAP добавлен в параметры политики Connections to Microsoft Routing and Remote Access server в службе NPS.

    В консоли ЦС перейдите к узлу Шаблоны сертификатов и выберите Управление . Дублируйте шаблон сертификата User и создайте на его основе новый шаблон, например MSA-User. На вкладке Security добавьте доменную группу VPNUsers и назначьте разрешения на чтение, регистрацию и автоматическую регистрацию. Такие разрешения позволят автоматически выдавать сертификат для учетных записей пользователей, которые являются членами группа VPNUsers и в дальнейшем автоматическое обновление сертификата в случае истечения срока его действия.Если в доменной среде больше нет компьютеров с операционной системой Windows XP, стоит повысить уровень совместимости сертификат до уровня Windows 7/Windows Server 2008R2. Для этого на вкладке Compatibility сертификата должно быть установлено соответствие на уровне:
    - Центр сертификации : Windows Server 2008R2,
    - Получатель сертификата : Windows 7/Windows Server 2008R2.
    После сохранения изменений необходимо выпустить сертификат, чтобы сделать его доступным в Удостоверяющем центре.

    Внимание!
    Параметр Альтернативное имя субъекта сертификата создается из полей Имя электронной почты и Основное имя пользователя (UPN) учетной записи пользователя в AD, поэтому в учетной записи должно быть заполнено поле Электронная почта. Если это поле отсутствует, центр сертификации (ЦС) не выдаст пользователю сертификат.

    Рисунок 8. Включение аутентификации EAP-TLS в настройках политики Connections to Microsoft Routing and Remote Access NPS.

    После того как ЦС выдаст сертификат для данного пользователя, вход на любой компьютер в домене AD приведет к автоматической установке сертификата пользователя в хранилище сертификатов пользователя в Windows.

    Сертификат NPS должен быть выдан RAS и IAS Server . В консоли управления ЦС шаблон сертификата RAS и IAS Server следует продублировать и сохранить как новый, например MSA-RAS и IAS Server .На вкладке Безопасность в новом шаблоне, для группы RAS и IAS Серверы Должны быть добавлены разрешения Read, Enreoll и Autoenroll. Что касается шаблона сертификата User , то его соответствие следует повысить до уровня, соответствующего операционной системе компьютеров со службами RRAS и NPS.
    После перезапуска NPS сертификат MSA-RAS и IAS Server появятся в хранилище сертификатов Компьютер . В консоли управления NPS выберите политику доступа для VPN-подключений и на вкладке Ограничения измените записи для узла Аутентифицированные методы , добавив запись Microsoft: смарт-карта или другой сертификат в список типов EAP.

    Рисунок 9. Настройки VPN-подключения с опцией аутентификации EAP-TLS при выборе опции Сертификат.

    Далее редактируем запись и в поле Сертификат выдан: указываем сертификат MSA-RAS и IAS Server . Если для сервера было выпущено больше сертификатов, поля Срок действия и Понятное имя будут полезны для поиска правильного сертификата.

    Последний шаг — включить аутентификацию EAP с помощью RRAS.В консоли управления RRAS перейдите в «Свойства» > «Безопасность» > «Методы аутентификации…» и выберите Расширяемый протокол аутентификации (EAP) .
    Если вы установите Тип сети: Автоматически в настройках VPN-подключения на клиентской станции, протокол аутентификации MS-CHAPv2 будет использоваться по умолчанию для PPTP-подключения. Чтобы принудительно использовать протокол EAP-TLS, содержимое поля Тип информации для входа следует изменить с Имя пользователя и пароль на Сертификат .Подробные изменения, которые вызовет такое изменение, показаны на фото 10. Проверить эти настройки можно в свойствах VPN-подключения из Панели управления (Панель управления > Центр управления сетями и общим доступом > Изменить параметры сетевой карты).

    Рисунок 10. Расширенные настройки VPN-подключения с опцией аутентификации EAP-TLS. Они соответствуют настройке опции Сертификат в поле Тип информации для входа в опции простого редактирования конфигурации.

    Здесь можно настроить параметр EAP-TLS. На вкладке Безопасность в разделе Аутентификация выберите опцию Использовать расширенный протокол аутентификации (EAP) и из списка доступных опций выберите Microsoft: Смарт-карта или другой сертификат (шифрование включено) . Затем перейдите в Свойства и отключите параметр Подтвердить подлинность сервера, проверив сертификат .

    Страница: 1, 2, 3, 4

    .

    Geek-Admin: VPN для Windows 2012, часть 14

    VPN или виртуальная частная сеть — это способ подключения, например, к корпоративной сети с использованием безопасного соединения.
    Как и в предыдущих версиях системы, так и в 2012 Сервере есть такая возможность.

    1) Установка и конфигурация VPN:


    через менеджер сервера мы добавляем удаленный доступ:






    Мы выбираем Directaccess28 и VPN (
    ) Роль:
    Оставьте параметры по умолчанию:

    . Мы можем настроить начальные параметры, нажав Мастер начала работы :





    . Выберите . Развернуть только VPN:

    . Настройка и включение маршрутизации и удаленного доступа:

    Будет запущен мастер:


    Если у нас есть один сетевой интерфейс на нашем сервере, выберите Пользовательская конфигурация:




    Выберите Доступ к VPN :
    9 0002
    Мы должны добавить пожарные порты как открытые к нашей стене.Перейдите на экран плитки (установите курсор в правом нижнем углу, затем нажмите Пуск , затем выберите Панель управления ): TCP, 1701 TCP, 500 UDP, 443 TCP):


    Должны включить доступ VPN к серверу, если мы работаем в домене (а это цель продакшн среды), то мы должны разрешить доступ в в меню свойств определенных учетных записей пользователей на вкладке "Входящие звонки", щелкнув в диспетчере серверов в AD DS, затем запустите Пользователи и компьютеры Active Directory:
    Перейдите к Маршрутизация и удаленный доступ , затем Свойства:



    Перейдите к IPv4 , выберите Статический адрес пул и затем Добавьте :

    Мы добавим диапазон адресов, которые позволят им логировать пользователи.

    Если у нас есть 1 сетевая карта на сервере, мы должны добавить второй диапазон из того же диапазона, естественно, используя бесплатные номера.




    .

    техническая информация и требования к оборудованию

    Информация об архитектуре:

    Система TenvirkMK/ERP представляет собой многоуровневое приложение, основанное на архитектуре SOA с использованием WebServices, XML и COM + распределенные транзакции. Система использует собственную прикладную платформу XTEN основан на графическом моделировании бизнес-процессов.Основой системы является .NET компании Microsoft и Windows 2008 или 2012 (рекомендуется). Система использует веб-сервер IIS и базу данных MS SQL Server 2008 или 2012 (рекомендуется) или 2014. Файлы соответствия модуля событий и модуля управления версиями файлов TENVIRK FILE MANAGER хранятся не в базе данных, а в отдельных папках на сервере используя стандартную файловую систему Windows. Это позволяет хранить большое количество загруженных, просканированы и получены файлы без чрезмерного роста базы данных.

    Благодаря этой передовой технологии возможно:

    • одновременная работа многих пользователей на относительно не очень продвинутом сервере;
    • высокая устойчивость к ошибкам благодаря механизмам автоматического управления транзакциями;
    • низкая нагрузка на базу данных и возможность одновременной работы многих пользователей;
    • сотрудников могут работать с приложением через удобный пользовательский интерфейс Windows без необходимости использования веб-браузера — работа происходит в онлайн без необходимости использования терминалов или VPN;
    • предоставление дополнительного доступа к приложению через веб-браузер и инструмент под названием «веб-панель».Для клиентов предоставляется веб-доступ и партнеры компании, у которых нет программы;
    • высокая скорость работы благодаря передаче сжатых и зашифрованных XML-данных;
    • высокий уровень безопасности благодаря шифрованию передачи по протоколу SSL,
    • для защиты установки с помощью сертификатов сервера и клиента в стандарте X.509.

    Рекомендуется запускать систему на отдельном сервере.Сервер может быть доставлен и настроен оптимально требованиям системы компанией TENVIRK или авторизованным техническим партнером. Прежде чем купить сервер, вы должны обязательно проконсультируйтесь с его параметрами у TENVIRK или у авторизованного партнера. В случае, если у вас есть свой параметры сервера должны быть проверены.

    .

    Руководство по работе в сети Windows Server 2008 и 2008R2 для ИТ-специалистов, 2022 г.

    В этой статье я постарался предоставить все важные ссылки на информацию о сетевых технологиях Windows, которые будут полезны при работе в сети профессионалам, включая студентов и обычных пользователей. Ссылки на ресурсы организованы в разные разделы в соответствии с их типами.

    Ресурсы Windows Server 2008 и Windows Server 2008 R2

    Этот раздел содержит ссылки на информацию о сетевых технологиях, задокументированных в библиотеке Технического центра Windows Server, в коллекции Windows Server® 2008 и в Windows Server 2008 R2 Networking.

    Коллекция сетей Windows Server 2008 и Windows Server 2008 R2. Узнайте, как развернуть базовую сеть и связанные с ней технологии с помощью коллекции сетевых руководств, доступной в формате HTML в Технической библиотеке Windows Server 2008 и Windows Server 2008 R2

    .

    Сетевые направляющие

    Следующие инструкции доступны в сетевых руководствах Foundation Collection:

    • Руководство по сети Windows Server 2008: узнайте, как развернуть базовую сеть с доменными службами Active Directory, протоколом динамической конфигурации хоста (DHCP) и другими сетевыми технологиями.
    • Развертывание сертификатов сервера: узнайте, как автоматически регистрировать сертификаты сервера для NPS и серверов виртуальной частной сети на основе виртуального доступа с использованием служб сертификации Active Directory (AD CS) и групповой политики
    • Развертывание сертификатов компьютеров и пользователей: узнайте, как развернуть сертификаты для клиентских и пользовательских компьютеров с помощью служб сертификации Active Directory (AD CS). При развертывании Extensible Authentication Protocol) — TLS (безопасность на транспортном уровне) или Protected EAP (PEAP) — TLS сертификаты требуются для аутентификации серверов, клиентов и пользователей при попытке сетевых подключений через серверы сетевого доступа, такие как 802.1 X Аутентификация коммутаторов и точек беспроводного доступа, серверов виртуальной частной сети (VPN) и компьютеров под управлением Windows Server 2008 со шлюзом служб терминалов или Windows Server 2008 R2 со шлюзом удаленных рабочих столов.
    • Реализация проводного доступа с проверкой подлинности 802.1X с помощью PEAP-MS-CHAP v2: узнайте, как внедрить доступ к сети с проверкой подлинности 802.1X с использованием защищенного расширяемого протокола проверки подлинности — протокол проверки подлинности Microsoft Challenge версии 2 (PEAP-MS-CHAP v2) для проверки подлинности на основе пароля .
    • Развертывание беспроводного доступа с проверкой подлинности 802.1X с помощью PEAP-MS-CHAP v2: узнайте, как внедрить беспроводной доступ с проверкой подлинности 802.1X с использованием протокола защищенной расширяемой аутентификации-M Icrosoft Challenge Handshake Authentication Protocol версии 2 (PEAP-MS-CHAP v2).
    • Развертывание групповой политики с использованием групп участников. В этом руководстве к Network Foundation Guide приведены инструкции по развертыванию объектов групповой политики (GPO) на компьютерах в домене независимо от иерархии доменных подразделений.Членство в одной группе членства приводит к тому, что к компьютеру применяется допустимый объект групповой политики с фильтрами, гарантирующими, что объект групповой политики для одной версии Windows не будет случайно применен к другой версии.

    Все руководства Foundation Network доступны для загрузки в Центре загрузки Microsoft

    .

    Информация о новых сетевых функциях Windows Server 2008 R2

    Операционные системы Windows Server 2008 R2 и Windows 7 включают сетевые расширения, упрощающие пользователям подключение и поддержание связи независимо от их местоположения или типа сети.Эти усовершенствования также позволяют ИТ-специалистам удовлетворять потребности своего бизнеса безопасным, надежным и гибким образом.

    Сведения о новых сетевых функциях для Windows Server 2008 R2 и Windows 7 см. в разделе Новые возможности работы в сети в библиотеке Windows Server TechCenter. Включены следующие новые функции:

    • DirectAccess: позволяет пользователям получать доступ к корпоративной сети без дополнительного шага инициирования подключения к виртуальной частной сети (VPN).
    • VPN Reconnect: автоматически повторно подключает VPN-подключение, как только подключение к Интернету восстанавливается, чтобы пользователи не могли повторно ввести свои учетные данные и заново создать VPN-подключения.
    • BranchCache: позволяет обновлять содержимое из файлов и веб-серверов в глобальной сети (WAN) для кэширования на компьютерах локального филиала, повышая скорость отклика приложений и уменьшая трафик WAN.
    • Качество обслуживания (QoS) на основе URL-адресов: позволяет назначать уровень приоритета для трафика на основе URL-адреса, с которого поступает трафик.
    • Поддержка мобильного широкополосного доступа: Предоставляет модель на основе драйвера для устройств, используемых для доступа к мобильному широкополосному доступу.

    Дополнительные ресурсы

    • Документы, охватывающие широкий спектр тем, можно загрузить из Центра загрузки Майкрософт.
    • Щелкните здесь, чтобы найти информацию о широком спектре сетевых технологий.
    • Найдите информацию о клиентских операционных системах Windows в Техническом центре Windows Client.
    .

    MS-6421 Настройка и устранение неполадок сетевой инфраструктуры Windows Server® 2008

    Зачем этот учебный курс?

    Пятидневный курс дает слушателям знания и навыки, необходимые для настройки и устранения неполадок сетевой инфраструктуры на базе Windows Server 2008 и Windows Server 2008 R2 SP1. Программа охватывает сетевые технологии, наиболее часто используемые в Windows Server 2008 и Windows Server 2008 R2 с пакетом обновления 1 (SP1), такие как DNS, DHCP, IPv4 и IPv6, сервер политики сети и защита доступа к сети, а также настройку безопасного доступа к сети.Курс охватывает тему маршрутизации и удаленного доступа, мониторинга и обновления систем и приложений Microsoft.

    Что нужно знать перед тренировкой?

    Промежуточный термин для операционных систем Windows Server, таких как Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2 SP1, и клиентских систем, таких как Windows Vista или Windows 7;
    знания клиента, эквивалентные полученным сертификатам: Экзамен 70-680: ТС: Windows 7, Конфигурация или Экзамен 70-620: ТС: Windows Vista, Конфигурация.
    Понимание понятий TCP/IP, наличие базовых знаний об адресации, разрешении имен (DNS/WINS), способах подключения (проводные, беспроводные, виртуальные частные сети (VPN)).
    Знание методов безопасности, таких как права доступа к системным файлам, понимание методов аутентификации.
    Минимальный уровень знаний, требуемый в трех пунктах выше, отсутствие опыта работы с клиентами или знаний, эквивалентных обучению MS 6420B: основы Windows Server 2008.
    Базовые знания Active Directory будут дополнительным преимуществом.

    Чему вы научитесь?

    Планирование и настройка IPv4

    внедрение сетевой инфраструктуры IPv4
    обзор служб разрешения имен в сетевой инфраструктуре IPv4
    настроить и устранить неполадки IPv4

    Настройка и устранение неполадок роли DHCP

    рассмотрение вопросов, связанных с ролью сервера DHCP
    настройка диапазонов DHCP
    настройка опции DHCP
    Управление базой данных DHCP
    Мониторинг DHCP
    и устранение неполадок Конфигурация безопасности DHCP

    Настройка и устранение неполадок DNS-сервера

    установка роли сервера DNS
    Конфигурация роли DNS
    настройка зон DNS
    настройка зонных переводов 9000 9 Управление DNS

    и устранение неполадок Настройка и устранение неполадок IPv6 TCP/IP

    обзор IPv6
    IPv6-адресация
    сосуществование с IPv6
    Технологии туннелирования IPv6
    переход с IPv4 на IPv6

    Настройка и устранение неполадок службы маршрутизации и удаленного доступа

    конфигурация удаленного доступа
    Конфигурация доступа VPN
    обзор сетевых политик
    обзор проблем пакета администрирования диспетчера подключений (CMAK)
    Устранение неполадок службы маршрутизации и удаленного доступа
    Конфигурация DirectAccess

    Установка, настройка и устранение неполадок сервера политики сети (NPS)

    установка и настройка NPS
    настройка серверов и клиентов RADIUS
    Методы аутентификации NPS
    Мониторинг и устранение неполадок NPS

    Внедрение службы защиты доступа к сети

    обзор вопросов, связанных с NAP
    Обзор работы NAP 9000 9 конфигурация NAP
    мониторинг и устранение неполадок NAP

    Повышение уровня безопасности серверов Windows


    инфраструктура безопасности настройка брандмауэра Windows в режиме повышенной безопасности
    развертывание обновлений с помощью служб Windows Server Update Services

    Повышение уровня безопасности при сетевой связи

    рассмотрение вопросов, связанных с IPSec
    настройка правил безопасности подключения
    Конфигурация NAP с форсированием IPSec
    Мониторинг и устранение неполадок IPSec

    Настройка и устранение неполадок файловых служб и служб печати

    настройка и устранение неполадок доступа к ресурсам
    шифрование сетевых файлов с помощью EFS
    шифрование разделов с помощью BitLocker
    настройка и устранение неполадок сетевой печати

    Оптимизация доступа к данным для филиалов

    доступ к данным для филиалов
    обзор DFS
    Обзор пространства имен DFS
    Конфигурация репликации DFS
    Конфигурация BranchCache

    Контроль и мониторинг сетевых складов

    мониторинг сетевых складов
    контроль использования сетевого хранилища
    настройка классификации файлов и управления файлами

    Восстановление данных сети и сервера

    восстановление сетевых данных с помощью теневых копий тома
    восстановление сетевых и серверных данных с помощью Windows Server Backup

    Мониторинг серверов сетевой инфраструктуры Windows Server 2008

    средства мониторинга
    использование монитора производительности
    Мониторинг журнала событий

    Дополнительная информация

    Занятия проводятся на польском языке, материалы и программное обеспечение на английском языке.
    Преподаватель: Microsoft Certified Trainer

    .

    Windows Server 2012 — новые и улучшенные сетевые технологии — Computerworld

    В Windows Server 2012 и Windows 8 представлен ряд новых сетевых функций и улучшены существующие. Усовершенствования системы были в основном основаны на улучшении автоматизации процессов и безопасности, а также на повышении гибкости обслуживания. Все это результат потребностей пользователей и администраторов и результат многолетнего опыта Microsoft.

    1.Аутентификация проводного и беспроводного доступа 802.1X

    Проводной и беспроводной доступ для Windows Server 2012 и Windows 8 обеспечивает расширяемый протокол проверки подлинности (EAP) с безопасным туннелем на транспортном уровне (EAP-TTLS). EAP-TTLS является новым для Windows Server 2012 и Windows 8 и недоступен в других версиях Windows.

    Протокол EAP-TTLS основан на стандартах туннелирования EAP.Поддерживает взаимную аутентификацию. EAP-TTLS обеспечивает безопасный туннель только для аутентификации клиента с использованием методов EAP и других устаревших протоколов. EAP-TTLS предлагает настройку протокола на стороне клиента для определения доступа к сети на наиболее широко используемом сервере аутентификации пользователей службы удаленной аутентификации (RADIUS), который использует EAP-TTLS.

    2. Бранчкэш

    BranchCache — это технология глобальной сети (WAN), оптимизирующая пропускную способность.Это работает, когда пользователи, имеющие доступ к контенту на удаленных серверах, копируют контент с одного сервера на локальный компьютер. Затем BranchCache копирует содержимое с главного сервера или облачных серверов и кэширует содержимое на серверах филиалов, чтобы клиентские компьютеры могли получать доступ к содержимому локально в филиалах, а не через глобальную сеть.

    Усовершенствования BranchCache в системах Windows Server 2012 включают в себя: автоматическую настройку BranchCache на клиентской станции, интеграцию с файловым сервером, возможность кэширования небольших обновлений файлов.BranchCache имеет два режима работы: режим распределенного кэша и режим размещенного кэша. Когда BranchCache развернут в режиме распределенного кэша, содержимое данных в филиале распределяется между клиентскими компьютерами. Однако при развертывании BranchCache в режиме размещения данные в вашем филиале находятся на одном или нескольких серверах, называемых сервером размещенного кэша. Благодаря этой функции мы получаем экономию на пропускной способности, улучшение безопасности или упрощенный режим реализации кэш-сервера.

    3. Мост центра обработки данных (DCB)

    DCB — это функция, представленная как новая технология в Windows Server 2012. DCB — это стандарт IEEE (Институт инженеров по электротехнике и радиоэлектронике, IEEE), который позволяет конвергентному центру обработки данных делать хранимые данные, сетевой трафик и кластеры доступными для всех пользователей через той же инфраструктурной сети. В современных центрах обработки данных имеется множество специфических сетевых приложений, работающих на отдельных технологиях передачи, хранилищах данных по оптоволоконному каналу и связи по локальной сети через Ethernet.DCB обеспечивает аппаратное выделение пропускной способности для определенного типа трафика и повышает надежность транспорта Ethernet, используя приоритеты управления передачей.

    4. Система доменных имен (DNS)

    Система доменных имен

    (DNS) используется в корпоративных сетях для управления именами компьютеров и сетевыми службами. Используя DNS, компьютеры могут находить устройства и службы в сети, используя удобные для пользователя имена.

    DNS в Windows включает службы клиента и DNS-сервера.Windows Server 2012 и Windows 8 включают несколько улучшений DNS. Функция DNSSEC была улучшена для повышения безопасности протокола DNS за счет проверки ответов DNS. DNSSEC обеспечивает аутентификацию источников данных (DNS-серверов) с использованием асимметричной криптографии и цифровых подписей. Защита всей системы обеспечивается ее целостностью, проверкой данных, определением зоны защиты. Дополнительным преимуществом является возможность интеграции DNS-сервера со службой каталогов (AD DS) и интеграция DNS с DHCP.

    5. Протокол динамической конфигурации хоста (DHCP)

    DHCP — это стандарт Internet Engineering Task Force (IETF), предназначенный для снижения административной нагрузки и сложности настройки хостов в сети TCP/IP, например в частных сетях. Использование DHCP-сервера позволяет автоматически настроить протокол TCP/IP для клиентов. Windows Server 2012 включает несколько улучшений службы DHCP-сервера, в том числе резервный вариант DHCP. Это позволяет вам иметь два DHCP, которые обслуживают конечных пользователей.Они работают по принципу взаимной репликации — когда один предоставляет услуги клиентам, другой недоступен. Также можно предоставить услугу аварийного переключения в режиме балансировки нагрузки. В роли DHCP, доступного в Windows Server 2012, выступает так называемый политики / политики. Они позволяют назначать IP-адреса устройствам, отвечающим определенным критериям. Политики можно определить на уровне всех областей или на уровне конкретной области IPv4. Новинкой является управление ролью DHCP-сервера благодаря PowerShell.Существует 103 командлета, связанных с функциями DHCP-сервера.

    6. Виртуализация сети Hyper-V

    Наряду с преимуществами виртуализированных ЦОД на рынке появились предложения, облегчающие предоставление услуг по запросу заказчика. Этот сервисный уровень известен как «инфраструктура как услуга» (IaaS). Windows Server 2012 предоставляет все необходимые функции, которые позволяют корпоративным клиентам создавать частное облако и переходить на операционную модель «ИТ как услуга».Windows Server 2012 также позволяет создавать общедоступные облака и предлагать IaaS для своих клиентов, а в сочетании с программным обеспечением System Center для управления виртуализированной инфраструктурой и сетями Microsoft предоставляет эффективное облачное решение.

    Виртуализация сети в Windows Server 2012 предоставляет функцию, с помощью которой это программное обеспечение управляет структурой сети. Это снижает общие затраты на управление инфраструктурой корпоративных сетей, которые намерены перенести ее в облако.Облачный хостинг обеспечивает лучшую гибкость и масштабируемость виртуальных машин, что позволяет добиться более эффективного использования ресурсов.

    7. Виртуальный коммутатор Hyper-V

    Виртуальный коммутатор Hyper-V

    — это второй виртуальный сетевой уровень, обеспечивающий программное управление и расширяющий возможности подключения виртуальных машин к физической сети. Виртуальный коммутатор соответствует требованиям безопасности, изоляции уровней и служб. Кроме того, он представляет множество новых и улучшенных функций Windows Server 2012 для изоляции пользователей, формирования трафика, защиты от небезопасных виртуальных машин и упрощенной системы устранения неполадок.

    В Windows Server 2012 новый коммутатор обеспечивает более высокий уровень безопасности, включая функции, позволяющие клиентам легко отслеживать и перемещать трафик через коммутатор. Кроме того, виртуальный коммутатор Hyper-V поддерживает интерфейс, на который можно установить стороннее программное обеспечение, тем самым расширяя функциональные возможности коммутатора.

    8. Управление IP-адресами (IPAM)

    Функция IPAM в Windows Server 2012 является совершенно новой.Его целью является оценка, мониторинг, контроль и управление пространствами IP-адресов, используемыми в корпоративной сети. IPAM управляет и контролирует серверы протокола динамической конфигурации хоста (DHCP) и службы доменных имен (DNS). Благодаря этому он автоматически раздает IP-адреса для выбранного домена. В виде контроллера информирует о нестандартных IP-адресах в организации, отслеживает и записывает в сеть все данные, относящиеся к подключенному объекту. IPAM обеспечивает автоматический мониторинг доступности служб DHCP и DNS-серверов в лесу AD.Отображается состояние службы DNS и все сведения о DHCP-сервере.

    9. Балансировка сетевой нагрузки NLB

    Network Load Balancing (NLB) — функция распределения трафика на несколько серверов с использованием TCP/IP. Путем объединения двух или более компьютеров, на которых запущены приложения Windows Server 2012, в один виртуальный кластер. NLB обеспечивает надежность и производительность веб-серверов и других критически важных серверов.

    Серверы в кластере NLB называются хостами, и каждый хост поддерживает отдельную копию серверных приложений. NLB распределяет входящие клиентские запросы на все узлы в кластере. Вы можете настроить рабочие нагрузки, которые будут обрабатываться каждым хостом, и вы можете динамически добавлять хосты в кластер для обработки возросшей нагрузки. С помощью NLB вы также можете направить весь трафик на назначенный хост, который называется хостом по умолчанию.

    10. Привязка двунаправленного сетевого интерфейса (объединение сетевых карт)

    Network Interface Card (NIC) Teaming — это новая технология, представленная в Windows Server 2012. Объединение сетевых карт, также известное как балансировка нагрузки и аварийное переключение (LBFO), позволяет нескольким сетевым адаптерам рабочих станций работать вместе для достижения, среди прочего, агрегации пропускной способности и предоставления возможность использования аварийных соединений для предотвращения потери связи в случае выхода из строя части сети.Для объединения сетевых карт требуется один физический адаптер Ethernet, который можно использовать с разделением по VLAN. Напротив, для всех режимов, обеспечивающих защиту от сбоев, требуется как минимум два сетевых адаптера. Реализация объединения сетевых карт в Windows Server 2012 поддерживает до 32 сетевых адаптеров в группе.

    11. Качество обслуживания (QoS)

    QoS — это набор технологий для эффективного управления сетевым трафиком с целью повышения функциональности пользователей в корпоративной среде, а также дома и в небольших офисах.Технологии QoS позволяют измерять пропускную способность, обнаруживать изменяющиеся условия сети (например, перегрузку или доступность пропускной способности) и, таким образом, приоритизировать или блокировать трафик. Например, QoS можно использовать для приоритизации трафика для приложений, чувствительных к задержкам (например, для передачи голоса или видео), и для контроля влияния на приложения, нечувствительные к задержкам сетевого трафика (например, для передачи больших объемов данных).

    В Windows Server 2012 QoS включает новые функции, позволяющие управлять полосой пропускания.Это позволяет предприятиям обеспечить целевую производительность сети для виртуальных машин на сервере с Hyper-V. Однако в размещенных средах QoS позволяет поставщику услуг хостинга гарантировать определенную производительность на основе соглашения об уровне обслуживания (SLA). QoS помогает клиентам изолировать общую многопользовательскую инфраструктуру, включающую обработку, хранение данных и совместное использование сетевых ресурсов.

    Некоторые из новых функций QoS включают предоставление возможности принудительно устанавливать минимальную пропускную способность для потока трафика.Вы можете настроить это регулирование полосы пропускания на порту виртуального коммутатора с помощью Windows PowerShell или WMI и применить политику QoS для каждого основного виртуального входа/выхода (SR-IOV) — совместимые сетевые карты поддерживают резервирование полосы пропускания виртуального порта.

    12. Удаленный доступ

    Удаленный доступ в Windows Server 2012 объединяет две сетевые службы в одну единую роль сервера — DirectAccess и RRAS unified.

    Windows Server 2008 R2 представляет DirectAccess как функцию удаленного доступа, которая позволяет подключаться к корпоративным сетевым ресурсам без необходимости создавать виртуальные частные сети (VPN).DirectAccess поддерживал только пользователей, подключенных к домену, работающих под управлением Windows 7 Enterprise и Ultimate. Сервер маршрутизации и удаленного доступа Windows (RRAS) предлагает традиционное VPN-подключение для клиентов, не являющихся доменами, и корпоративных VPN-клиентов. RRAS устанавливает соединения сервер-сервер. RRAS в Windows Server 2008 R2 не может сосуществовать на одном сервере с DirectAccess. Эти функции должны были быть реализованы и управляться отдельно.

    Windows Server 2012 объединяет DirectAccess и роль RRAS в новую подключенную роль.Новая роль сервера удаленного доступа обеспечивает централизованное управление, настройку и мониторинг как DirectAccess, так и VPN, основанных на службах удаленного доступа. Кроме того, Windows Server 2012 DirectAccess поддерживает множество обновлений и улучшений для решения проблем развертывания и упрощения управления.

    13. Брандмауэр Windows в режиме повышенной безопасности

    Вот некоторые из новых функций брандмауэра Windows в режиме повышенной безопасности:

    — IKEv2 для IPsec добавлен в Windows Server 2012.Обеспечивает взаимодействие с другими операционными системами Windows, использующими IKEv2 для защиты конечных точек. Это дополнение поддерживает требования Suite B (RFC 4869)

    .

    — администраторы могут настроить брандмауэр Windows для доступа к сети, если им нужен больший контроль над своими приложениями из Магазина Windows

    .

    — в Windows PowerShell есть дополнительные команды (командлеты) для настройки системного брандмауэра и управления им.

    Резюме

    Сетевые технологии в серверных системах, каждая редакция, предлагает администраторам несколько функций, которых не было в предыдущих версиях. Windows Server 2012 — это большое количество новостей и развитие существующих функций. Было введено множество сетевых функций, которых раньше не было, хотя они были необходимы. Большинство из них теперь доступны с Windows Server 2012.

    .

    Смотрите также

    Только новые статьи

    Введите свой e-mail

    Видео-курс

    Blender для новичков

    Ваше имя:Ваш E-Mail: