См. также
В этой статье описано, как настроить Шлюз Microsoft Forefront Threat Management для работы с принудительной защитой доступа к сети. При этом предполагается, что сеть VPN настроена и работает должным образом. Настройка Forefront TMG для работы с защитой доступа к сети включает следующие задачи.
- Настройка протокола EAP в
качестве метода проверки подлинности для VPN-клиентов.
- Настройка параметров
RADIUSВ том числе:
- настройка RADIUS в качестве протокола доступа к сети;
- настройка сервера политики сети в качестве главного
RADIUS-сервера
- настройка RADIUS в качестве протокола доступа к сети;
- Включение управления
карантином на основе защиты доступа к сети
- Включение карантина для
клиентов без защиты доступа к сети (необязательно), в том числе
настройка Forefront TMG в качестве прослушивателя RQS для поддержки
устаревших клиентов.
С чего начать: чтобы настроить Forefront TMG на использование защиты доступа к сети, в дереве консоли управления Forefront TMG щелкните Виртуальные частные сети. В области сведений перейдите на вкладку VPN-клиенты.
Настройка протокола EAP в качестве
метода проверки подлинности для VPN-клиентов
- В области задач щелкните Выбрать методы проверки
подлинности.
- На вкладке Проверка подлинности щелкните Протокол
расширенной проверки подлинности (EAP) с использованием смарт-карты
или другого сертификата.
- Оставьте это окно открытым для последующих задач.
Настройка параметров RADIUS
- На вкладке RADIUS щелкните Использовать протокол
RADIUS для проверки подлинности, а затем
RADIUS-серверы.
- Если RADIUS-сервер, представляющий NPS-сервер, не настроен,
нажмите кнопку Добавить. Если сервер настроен, проверьте,
соответствует ли его конфигурация описанной ниже.
- В поле Имя сервера введите имя или IP-адрес
NPS-сервера.
- Щелкните Изменить, чтобы создать новый общий секрет.
Запишите общий секрет для использования при настройке
NPS-сервера.
Важно.В случае обнаружения проблем соединения Forefront TMG и NPS попробуйте увеличить значение времени ожидания на RADIUS-сервере. - Нажмите кнопку ОК, чтобы закрыть диалоговое окно
Добавление RADIUS-сервера.
- Если в списке присутствует несколько RADIUS-серверов,
переместите NPS RADIUS-сервер наверх с помощью стрелки «вверх».
- Нажмите кнопку ОК, чтобы закрыть диалоговое окно
RADIUS-серверы.
Включение управления карантином на
основе защиты доступа к сети
- В области задач выберите Настройка управления
карантином.
- На вкладке Карантин установите флажки Включить
управление карантином и Помещать в карантин в соответствии с
политиками RADIUS-сервера и нажмите кнопку ОК, чтобы
закрыть диалоговое окно.
Включение карантина для клиентов без
защиты доступа к сети (необязательно)
Если процесс развертывания включает клиенты без защиты доступа к сети, рекомендуется включить поддержку этих клиентов через карантин на основе Forefront TMG.
Для этого необходимо подготовить Forefront TMG в качестве прослушивателя RQS. Инструкции см. в статье Установка средства карантина удаленного доступа.
Обновляемый список клиентских операционных систем, поддерживающих защиту доступа к сети, см. в статье Какие версии Windows поддерживают защиту доступа к сети в качестве клиента? http://www.microsoft.com/technet/network/nap/napfaq.mspx.