В этом разделе рассматривается, как настроить Шлюз Microsoft Forefront Threat Management на помещение VPN-клиентов удаленного доступа в карантин с использованием службы карантина для удаленного доступа (RQS) и клиента карантина для удаленного доступа (RQC). Управление карантином обеспечивает поэтапный доступ к сети для удаленных клиентов, переводя их в режим карантина до того, как они получают доступ к сети.

Механизм для управления карантином предусматривается двумя компонентами программного обеспечения. Служба карантина для удаленного доступа (Rqs.exe) запускается на компьютере Forefront TMG как компонент прослушивателя. Клиент карантина для удаленного доступа (Rqc.exe) выполняется на компьютере клиента удаленного доступа как компонент уведомления, который информирует компонент прослушивателя, выполняющийся на Forefront TMG, что компьютер клиента соответствует требованиям политики безопасности.

После того как конфигурация компьютера клиента приведена в соответствие с особыми ограничениями карантина в вашей организации, к соединению применяется стандартная политика VPN в соответствии с типом карантина, который был задан. Дополнительные сведения о карантине см. в разделе Обзор виртуальных частных сетей (VPN).

Включение управления карантином

С чего начать: Чтобы включить управление карантином, в дереве консоли диспетчера Forefront TMG щелкните вкладку Виртуальные частные сети (VPN). В области сведений выберите вкладку VPN-клиенты.

Чтобы включить управление карантином

  1. В области задач выберите меню Настроить управление карантином.

  2. На вкладке Карантин выберите пункт Включить управление карантином.

  3. Выберите одну из следующих возможностей:

    • Помещать в карантин в соответствии с политиками RADIUS-сервера. Когда VPN-клиент пытается установить соединение, политика маршрутизации и удаленного доступа определяет, будет ли запрос на установление соединения передан в Forefront TMG. После проверки политики маршрутизации и удаленного доступа клиент присоединяется к сети VPN-клиентов.

    • Помещать в карантин VPN-клиентов в соответствии с политиками Forefront TMG. Когда VPN-клиент пытается установить соединение с компьютером Forefront TMG, политика маршрутизации и удаленного доступа всегда передает запрос в Forefront TMG. Forefront TMG помещает этого клиента в сеть VPN-клиентов, помещенных в карантин, и клиент попадает под действие политики межсетевого экрана, определенного для этой сети. Когда клиент проходит карантин, он перемещается в сеть VPN-клиентов. При выборе этого варианта для установления VPN-подключения необходимо отключить функцию карантина маршрутизации и удаленного доступа.

  4. Если клиенты, помещенные в карантин, должны быть отключены от сети через определенный промежуток времени, выберите Отсоединять пользователей, помещенных в карантин, через (секунд): и введите количество секунд, которое должно пройти, прежде чем клиент будет удален из сети VPN-клиентов, помещенных в карантин, и отключен от Forefront TMG.

    Важно.
    При выборе этого варианта необходимо настроить функцию управления карантином на компьютере Forefront TMG и на VPN-клиентах, которые пытаются установить соединение. В противном случае удаленные VPN-клиенты будут оставаться в режиме карантина до тех пор, пока не пройдет заданный промежуток времени и они не будут отключены от Forefront TMG.

  5. Если вы хотите освободить отдельных пользователей от управления карантином, нажмите кнопку Добавить и в меню Доступные наборы пользователей выберите, какие пользователи должны быть освобождены от управления карантином.

    Примечание.
    Пользователи, освобожденные от управления карантином, автоматически становятся членами сети VPN-клиентов.

  6. Подготовьте Forefront TMG в качестве прослушивателя RQS. Указания по подготовке см. в разделе Установка средства карантина удаленного доступа.