В этом разделе описывается, как разрешить клиентам удаленный доступ с использованием VPN-подключения. Дополнительные сведения о виртуальных частных сетях см. в разделе Обзор виртуальных частных сетей (VPN). Процесс настройки доступа удаленных клиентов включает следующие задачи.
- Создание пользователей и групп для удаленных VPN-клиентов.
Определение и настройка учетных записей пользователей, которым
разрешено подключение к Шлюз Microsoft Forefront Threat Management
в качестве удаленных VPN-клиентов. Пользователей можно определить
как пользователей RADIUS или пользователей Windows.
- Включение и настройка удаленного доступа для VPN-клиентов. Эта
задача включает следующие действия.
- Разрешение VPN-клиентам доступа к компьютеру Forefront TMG.
- Задание максимального числа одновременных подключений удаленных
клиентов.
- Выбор туннельных протоколов VPN, которые будут использоваться
при подключении к Forefront TMG: PPTP или L2TP.
- Разрешение VPN-клиентам доступа к компьютеру Forefront TMG.
- Включение сопоставления пользователей (необязательно). Если
используется проверка подлинности RADIUS или EAP и Forefront TMG
является членом домена, включите сопоставление пользователей для
удаленного доступа VPN-клиентов, проверка подлинности которых
выполняется по методу RADIUS или EAP.
- Проверка VPN-подключений.
- Включение управления карантином (необязательно).
Создание пользователей и групп для удаленных VPN-клиентов
С чего начать. Нажмите кнопку Пуск, щелкните Выполнить и введите compmgmt.msc, после чего нажмите клавишу ВВОД. Этой командой открывается окно Управление компьютером.
- В окне управления компьютером щелкните Локальные
пользователи и группы, затем щелкните правой кнопкой элемент
Группы и выберите команду Создать группу.
- В окне Новая группа введите имя группы и нажмите кнопку
Создать, а затем кнопку Закрыть.
- Щелкните элемент Пользователи. Для каждого пользователя,
которому необходим удаленный VPN-доступ, выполните следующие
действия.
- Дважды щелкните пользователя, чтобы открыть его свойства.
- На вкладке Членство в группах нажмите кнопку
Добавить.
- В поле Введите имена выбираемых объектов введите имя
группы и нажмите кнопку OK.
- На вкладке Входящие звонки выберите параметр
Управление на основе политики удаленного доступа и нажмите
кнопку OK.
Важно. Только пользователи с настроенными свойствами входящих звонков могут использовать Forefront TMG для удаленного доступа VPN-клиентов.
В процессе настройки доступа VPN-клиентов при указании локальных групп, имеющих право на удаленный доступ, можно добавить только следующие группы.
- HelpServicesGroup
- IIS_WPG
- TelnetClients
Примечание. Другие встроенные локальные группы, такие как «Администраторы», «Операторы архива» или «Опытные пользователи», добавить нельзя. Эти группы являются общими, и Forefront TMG не удается отличить локальных администраторов от администраторов домена.
В основных доменах Active Directory для учетных записей доменов установлен удаленный доступ, управляемый по умолчанию политикой удаленного доступа. В неосновных (смешанных) доменах Active Directory необходимо включить удаленный доступ для учетной записи каждого пользователя домена, которому требуется VPN-доступ. Для каждой учетной записи на вкладке Входящие звонки выберите параметр Разрешить доступ.
- Дважды щелкните пользователя, чтобы открыть его свойства.
Включение и настройка удаленного доступа для VPN-клиентов
С чего начать. В дереве консоли управления Forefront TMG щелкните Виртуальные частные сети, а в области сведений откройте вкладку VPN-клиенты.
- На вкладке Задачи щелкните Включить доступ
VPN-клиентов, чтобы открыть диалоговое окно Свойства:
VPN-клиенты.
- На вкладке Общие щелкните Включить доступ
VPN-клиентов.
Примечание. При включении доступа VPN-клиентов активируется системная политика под названием Разрешить VPN-клиенты для межсетевого экрана.
После включения удаленного доступа VPN-клиентов активируется используемое по умолчанию сетевое правило, чтобы установить отношение между внутренней сетью и двумя сетями VPN-клиентов (VPN-клиентами и VPN-клиентами на карантине).
Необходимо создать правила доступа, разрешающие соответствующий доступ VPN-клиентам. Например, можно создать правило, разрешающее доступ из сети VPN-клиентов во внутреннюю сеть по всем или только по определенным протоколам. - В поле Максимальное разрешенное количество VPN-клиентов
введите максимальное число VPN-клиентов, которые могут подключаться
одновременно. Учтите, что максимальное число одновременных
подключений VPN-клиентов не должно превышать 1000.
- На вкладке Протоколы можно выбрать следующие
параметры.
- Разрешить протокол PPTP
- Разрешить протокол L2TP/IPsec
Примечание. Если разрешить удаленное подключение VPN-клиентов к Forefront TMG с использованием туннельного протокола L2TP, потребуется сертификат.
- Разрешить протокол PPTP
- На вкладке Группы нажмите кнопку Добавить и
добавьте группу VPN-клиентов, созданную при выполнении процедуры
«Создание пользователей и групп для удаленных VPN-клиентов».
Нажмите кнопку ОК, чтобы закрыть диалоговое окно
Свойства: VPN-клиенты.
Примечание. В качестве пользователей VPN нельзя добавить встроенные группы Windows. Встроенные группы доменов можно использовать (даже в том случае, когда сервер Forefront TMG является также контроллером домена).
Включение сопоставления пользователей (необязательно)
Включите сопоставление пользователей, чтобы применить используемые по умолчанию правила доступа политики межсетевого экрана для пользователей, проверка подлинности которых осуществляется методом RADIUS или EAP.
- На вкладке Сопоставление пользователей щелкните
Включить сопоставление пользователей.
- Если имя пользователя, предназначенное для сопоставления, не
включает доменное имя, выберите параметр Если в имени
пользователя не содержится домен, использовать данный домен.
Затем в поле Доменное имя введите имя используемого
домена.
Важно. Если RADIUS-сервер (Remote Authentication Dial-In User Service) и сервер Forefront TMG находятся в различных доменах (или один из них входит в рабочую группу), сопоставление пользователей поддерживается только для методов проверки подлинности на основе протоколов проверки пароля PAP и SPAP. Сопоставление пользователей не следует применять, если настроен другой метод проверки подлинности.
Чтобы использовать сопоставление пользователей, в домене необходимо установить Forefront TMG. Не включайте сопоставление пользователей в среде рабочей группы.
Сопоставление пользователей необходимо применять, только если создается политика межсетевого экрана для групп. Чтобы создать политику для пользователей, можно определить наборы учетных записей в пространствах имен RADIUS.
Проверка VPN-подключений
Чтобы проверить VPN-подключения, можно понаблюдать за использованием удаленного доступа и попытками проверки подлинности через средство просмотра сеансов.
- На вкладке Задачи щелкните Наблюдение за
VPN-клиентами. В средстве просмотра сеансов отображаются данные
для VPN-клиентов, подключающихся к Forefront TMG.
Включение управления карантином (необязательно)
Возможно, вы пожелаете помещать каждого подключающегося VPN-клиента в карантин, чтобы убедиться, что он соответствует применяемой политике безопасности. VPN-клиентам, не соответствующим этой политике, будет разрешено подключиться к ресурсам внутренней сети, с которых они могут загрузить программное обеспечение и обновления, необходимые для обеспечения совместимости, но им будет запрещен общий доступ к корпоративным ресурсам. Дополнительные сведения см. в разделах Настройка карантина на основе защиты доступа к сети (NAP) и Настройка управления карантином на основе RQS/RQC.