Защита доступа к сети Network Access Protection (NAP) в Windows 2008 Server - Установка маршрутизации и удаленного доступа

ОГЛАВЛЕНИЕ

 

Установка маршрутизации и удаленного доступа

Теперь пришло время установить службу маршрутизации и удаленного доступа (Routing and Remote Access service). Затем мы настроим эту службу, чтобы наш сервер работал в роли сервера VPN. Начнем процесс с запуска менеджера сервера. Вы можете найти ярлык для менеджера сервера в меню Администрирование. После запуска менеджера сервера перейдите в раздел Roles Summary, который можно найти в окне подробно. Теперь нажмите на ссылку Add Roles (добавить роли) для запуска мастера по добавлению ролей Add Roles Wizard.

После запуска мастера нажмите на кнопку Next для того, чтобы пропустить окно приветствия. Теперь вы увидите окно, спрашивающее вас о том, какие роли вы хотите установить на сервере. Выберите ссылку, соответствующую Network Access Services (службы сетевого доступа). Нажмите на кнопку Next (далее) и вы увидите экран, который представляет собой введение в службы сетевого доступа (Network Access Services). Нажмите на кнопку Next еще раз, и вы увидите экран, на котором вы можете выбрать компоненты службы сетевого доступа Network Access Services, которые вы хотите установить. Отметьте позиции, соответствующие службам Network Policy Server, и Routing and Remote Access Services.

Если вы выберите поле для службы Routing and Remote Access Services, то автоматически будут выбраны служба удаленного доступа (Remote Access Service), служба маршрутизации (Routing), а также набор Connection Manager Administration Kit. Вы должны оставить выбранным поле для службы удаленного доступа Remote Access Service, т.к. вместе с ней будут установлены компоненты, необходимые для работы нашего сервера в качестве сервера VPN. Другие два поля дополнительные. Если вы хотите, чтобы сервер работал, как маршрутизатор NAT router или использовал протоколы маршрутизации, такие как IGMP proxy или RIP, то вы должны оставить выбранным также поле Routing. В противном случае вы можете не выбирать ее.

Нажмите на кнопку Next (далее) и вы увидите экран, который отобразит общую информацию о службах, которые вы собираетесь установить. Предполагая, что все в порядке, нажимаем на кнопку Install (установить), чтобы приступить к процессу установки. Никто не знает, сколько будет длиться процесс установки на финальной версии операционной системы Windows 2008 Server. Однако, на моем тестовом сервере, который работает под управлением бета версии операционной системы Windows 2008, процесс установки занял несколько минут. На деле, возникает иллюзия, что сервер заблокирован на время процесса установки. После завершения процесса установки нажмите на кнопку Close (закрыть).

После установки служб сетевого доступа, необходимо настроить службы маршрутизации и удаленного доступа Routing and Remote Access Services для работы с VPN соединениями. Начните с ввода команды MMC в командной строке сервера. В результате такого действия откроется пустая консоль управления Microsoft Management console. Выберите команду Add/Remove Snap-in из меню файл (File). Windows отобразит список доступных дополнений. Выберите Routing and Remote Access Snap-in из списка и нажмите на кнопку Add (добавить), а затем на кнопку OK. Дополнение для маршрутизации и удаленного доступа загрузится в консоль.

Щелкните правой кнопкой мыши на контейнер Server Status (статус сервера в консоли) и выберите команду Add Server (добавить сервер) из контекстного меню. Затем выберите настройку This Computer (этот компьютер) и нажмите на кнопку OK. Теперь в консоли должен отобразиться список для вашего сервера. Щелкните правой кнопкой мыши на списке для сервера и выберите команду Configure and Enable Routing and Remote Access (настроить и подключить маршрутизацию и удаленный доступ) из контекстного меню. В результате этого Windows запустит мастера Routing and Remote Access Server Setup Wizard.

Нажмите на кнопку Next (далее), для того чтобы пропустить экран приветствия мастера. Теперь вы увидите экран, на котором вас спросят, какую конфигурацию вы хотите использовать. Выберите Remote Access (удаленный доступ - dial-up или VPN) и нажмите на кнопку Next (далее). В следующем окне вы сможете выбрать между настройкой dial-up или VPN доступом. Выберите поле VPN и нажмите на кнопку Next (далее).

Теперь помощник откроет перед вами окно с параметрами VPN соединения. Выберите сетевой интерфейс (network interface), который будут использовать клиенты для подключения к серверу VPN и уберите галочку напротив поля Enable Security on the Selected Interface by Setting up Static Packet Filters. Нажмите на кнопку Next (далее), а затем выберите настройку From a Specified Address и снова нажмите на кнопку Next (далее).

После этого вы увидите окно, в котором вам необходимо ввести интервал IP адресов, которые можно назначать клиентам VPN. Нажмите на кнопку New (Новый) и введите начальный и конечный адреса для интервала IP адресов. Нажмите на кнопку OK, а затем на кнопку Next. В результате этого Windows откроет окно Managing Multiple Remote Access Server.

На следующем этапе необходимо выбрать Yes для настройки сервера для работы с сервером Radius server. Теперь вам необходимо будет ввести IP адрес для сервера Radius server. Т.к. NPS будет работать на том же самом компьютере, на котором работают службы маршрутизации и удаленного доступа, то просто введите IP адрес вашего сервера в качестве основного и дополнительного адреса сервера Radius. Вам также необходимо будет ввести shared secret. В демонстрационных целях просто введите rras в качестве shared secret. Нажмите на кнопку Next (далее), а затем на кнопку Finish (завершить). Теперь вы увидите пару предупреждающих сообщений. Нажмите на кнопку OK для закрытия каждого из сообщений.

Последний этап в процессе конфигурации RRAS заключается в настройке схемы аутентификации. Для этого нажмите правой кнопкой мыши на список для вашего сервера и выберите команду Properties (свойства) из контекстного меню. Когда вы увидите окно свойств сервера перейдите на закладку Security (безопасность). Теперь добавьте EAP-MSCHAPv2 и PEAP в разделе Authentication Methods и нажмите на кнопку OK.