В этом разделе описывается, как настроить клиенты виртуальной частной сети (VPN) для работы с принудительной защитой доступа к сети. Сюда входят следующие задачи.
- Включение клиента принудительного карантина
для удаленного доступа
- Включение и запуск службы агента NAP
- Настройка VPN-подключений
- Подстройка клиентов, не поддерживающих защиту
доступа к сети (необязательно)
Требования
Описанные здесь процедуры предполагают, что перед установкой и настройкой NAP было успешно настроено и протестировано подключение к VPN-клиенту.
NAP поддерживается на клиентах со следующими операционными системами.
- Windows Server 2008
- Windows Vista
- Windows XP с пакетом обновления 3
(SP3)
Обновленный список клиентских операционных систем, поддерживающих защиту доступа к сети, см. в разделе "Какие версии Windows поддерживают защиту доступа к сети в качестве клиента?" статьи Защита доступа к сети: вопросы и ответы (текст может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=153403).
Включение клиента принудительного
карантина для удаленного доступа
Для метода принудительной защиты доступа к сети VPN необходимо, чтобы клиент принудительного карантина для удаленного доступа был включен на всех компьютерах с клиентом NAP.
Чтобы включить клиент
принудительного карантина для удаленного доступа, выполните
следующие действия:
-
Нажмите кнопку Пуск, выберите Все программы, затем Стандартные и Выполнить.
-
Введите napclcfg.mscи нажмите клавишу ВВОД.
-
В дереве консоли выделите элемент Клиенты системы ограничений.
-
В области сведений щелкните правой кнопкой Клиент принудительного карантина для удаленного доступа и выберите команду Включить.
-
В окне Конфигурация клиента NAP нажмите кнопку Закрыть.
Включение и запуск службы агента
NAP
По умолчанию служба агента защиты доступа к сети на компьютерах с операционной системой Windows Vista настроена на запуск Вручную. Каждый клиент должен быть настроен таким образом, чтобы служба агента NAP запускалась автоматически, а затем необходимо запустить соответствующую службу.
Чтобы включить и запустить службу агента NAP, выполните следующие действия:
-
Нажмите кнопку Пуск, выберите Панель управления, затем Система и ее обслуживание и Администрирование.
-
Дважды щелкните элемент Службы.
-
В списке служб дважды щелкните Агент защиты доступа к сети.
-
В диалоговом окне Свойства агента защиты доступа к сети измените Тип запуска на Автоматически, а затем нажмите кнопку Запустить.
-
Дождитесь, когда запустится служба агента NAP, а затем нажмите кнопку ОК.
-
Закройте консоль Службы и окна Администрирование и Система и ее обслуживание.
Настройка VPN-подключений
Чтобы изменить VPN-подключения, выполните следующие действия:
-
Нажмите кнопку Пуск, выберите пункт Выполнить и введите NCPA.cpl, после чего нажмите клавишу ВВОД.
-
В окне Сетевые подключения щелкните правой кнопкой мыши нужное VPN-подключение, выберите пункт Свойства и перейдите на вкладку Безопасность.
-
Убедитесь, что выбран параметр Дополнительные (выборочные параметры), и нажмите кнопку Параметры.
-
Для параметра Безопасный вход установите флажки Использовать Протокол расширенной проверки подлинности (EAP) и Защищенный EAP (PEAP) (шифрование включено), а затем выберите Свойства.
-
Щелкните элемент Настройка, а затем кнопку ОК.
-
В разделе Выберите метод проверки подлинности выберите либо Безопасный пароль (MS-CHAP v2), либо Смарт-карта или иной сертификат в зависимости от способа развертывания.
-
Выберите параметр Включить проверки в карантине.
-
В окнах Свойства VPN-подключения нажмите кнопку ОК три раза.
Подстройка клиентов, не
поддерживающих защиту доступа к сети (необязательно)
Клиенты с другими операционными системами могут быть настроены для развертывания с защитой доступа к сети. Эти клиенты должны подключаться к сети при помощи диспетчера подключений, а сервер политики сети нужно настроить таким образом, чтобы эти клиенты помещались в карантинную сеть. В этом случае они смогут подключиться к сети VPN-клиентов через службу карантина для удаленного доступа (RQS) или клиент карантина для удаленного доступа (RQC).
Дополнительные сведения об использовании диспетчера подключений см. на странице Пакет администрирования диспетчера подключений (http://go.microsoft.com/fwlink/?LinkID=16616).
Сведения о конфигурации сервера политики сети см. в подразделе "Настройка политики сети для клиентов, не поддерживающих NAP" раздела Настройка сетевых политик сервера политики сети.
См. также
© Корпорация Майкрософт, 2009 Все права защищены.