Определение удаленных VPN-клиентов

В этом разделе описывается процесс настройки пользователей и групп для доступа по VPN. Определение удаленных VPN-клиентов состоит из следующих этапов.

Создание пользователей и групп для удаленных VPN-клиентов — задание и настройка учетных записей пользователей, которым разрешено подключение к Forefront TMG в качестве удаленных VPN-клиентов. Пользователи могут идентифицироваться в качестве пользователей RADIUS (Remote Authentication Dial-In User Service) или пользователей Windows.
Настройка групп доменов для удаленного доступа — выбор группы доменов, для которых доступ по VPN разрешен.
Включение сопоставления пользователей для клиентов, проходящих проверку подлинности RADIUS или EAP (дополнительна возможность) — включение сопоставления пользователей, если требуется применять проверку подлинности RADIUS или EAP и компьютер Forefront TMG является членом домена.

Создание пользователей и групп для удаленных VPN-клиентов

Обратите внимание, что настройка групп и пользователей выполняется в консоли управления (MMC) "Управление компьютером".

Чтобы создать пользователей и группы, выполните следующие действия

Нажмите кнопку Пуск, щелкните Выполнить и введите compmgmt.msc, после чего нажмите клавишу ВВОД.
В окне Управление компьютером щелкните Локальные пользователи и группы, затем щелкните правой кнопкой элемент Группы и выберите команду Создать группу.
В окне Новая группа введите имя группы и нажмите кнопку Создать, а затем кнопку Закрыть.
Щелкните элемент Пользователи. Для каждого пользователя, которому необходим удаленный доступ по VPN, выполните следующие действия.
1. Дважды щелкните пользователя, чтобы открыть его свойства.
2. На вкладке Членство в группах нажмите кнопку Добавить.
3. В поле Введите имена выбираемых объектов введите имя группы и нажмите кнопку OK.
4. На вкладке Входящие звонки выберите параметр Управление на основе политики удаленного доступа и нажмите кнопку OK.

Важно.
Только пользователи с настроенными свойствами входящих звонков могут использовать Forefront TMG для удаленного доступа VPN-клиентов.

Примечание.
В процессе настройки доступа VPN-клиентов при указании локальных групп, имеющих право на удаленный доступ, можно добавить только следующие группы. HelpServicesGroup IIS_WPG TelnetClients Другие встроенные локальные группы, такие как «Администраторы», «Операторы архива» или «Опытные пользователи», добавить нельзя. Эти локальные группы являются общими, и Forefront TMG не удается отличить локальных администраторов от администраторов домена.

Примечание.

В процессе настройки доступа VPN-клиентов при указании локальных групп, имеющих право на удаленный доступ, можно добавить только следующие группы.

HelpServicesGroup
IIS_WPG
TelnetClients

Другие встроенные локальные группы, такие как «Администраторы», «Операторы архива» или «Опытные пользователи», добавить нельзя. Эти локальные группы являются общими, и Forefront TMG не удается отличить локальных администраторов от администраторов домена.

Примечание.
В основных доменах Active Directory для учетных записей доменов установлен удаленный доступ, управляемый по умолчанию политикой удаленного доступа. В неосновных (смешанных) доменах Active Directory необходимо включить удаленный доступ для учетной записи каждого пользователя домена, которому требуется VPN-доступ. Для каждой учетной записи на вкладке Входящие звонки выберите параметр Разрешить доступ.

Примечание.

В основных доменах Active Directory для учетных записей доменов установлен удаленный доступ, управляемый по умолчанию политикой удаленного доступа. В неосновных (смешанных) доменах Active Directory необходимо включить удаленный доступ для учетной записи каждого пользователя домена, которому требуется VPN-доступ. Для каждой учетной записи на вкладке Входящие звонки выберите параметр Разрешить доступ.

Настройка групп доменов для удаленного доступа

Чтобы разрешить членам групп доменов осуществлять удаленный доступ по VPN, выполните следующие действия.

Чтобы разрешить удаленный доступ для членов групп доменов, выполните следующие действия

В дереве консоли управления Forefront TMG щелкните узел Политика удаленного доступа (VPN).
В области сведений перейдите на вкладку VPN-клиенты.
На вкладке Задачи выберите параметр Настройка доступа для клиентов VPN.
На вкладке Группы нажмите кнопку Добавить.
Введите имена пользователей или групп, которым требуется разрешить доступ к сети VPN-клиентов.

Включение сопоставления пользователей для клиентов, проходящих проверку подлинности RADIUS или EAP (дополнительна возможность)

Используйте следующую процедуру, обеспечивающую, чтобы правила доступа политики межсетевого экрана, применяемые к наборам учетных записей для пользователей и групп Windows, также применялись к VPN-клиентам, к которым при доступе в сеть организации применяется проверка подлинности RADIUS или EAP. Для этого необходимо включить сопоставление пользователей.

Чтобы включить сопоставление пользователей, выполните следующие действия

В дереве консоли управления Forefront TMG щелкните узел Политика удаленного доступа (VPN).
В области сведений перейдите на вкладку VPN-клиенты.
На вкладке "Задачи" выберите параметр Настройка доступа для клиентов VPN.
На вкладке Сопоставление пользователей щелкните Включить сопоставление пользователей.
Если имя пользователя, предназначенное для сопоставления, не включает доменное имя, выберите параметр Если в имени пользователя не содержится домен, использовать данный домен, и введите имя домена, который требуется использовать.

Примечание.
Если RADIUS-сервер и сервер Forefront TMG находятся в различных доменах (или один из них входит в рабочую группу), сопоставление пользователей поддерживается только для методов проверки подлинности на основе протокола проверки пароля PAP. Сопоставление пользователей не следует использовать, если настроен другой метод проверки подлинности. Чтобы использовать сопоставление пользователей, в домене необходимо установить Forefront TMG. Не включайте сопоставление пользователей в среде рабочей группы. Сопоставление пользователей необходимо использовать, только если создается политика межсетевого экрана для групп. Чтобы создать политику для пользователей, можно вместо этого определить наборы учетных записей в пространствах имен RADIUS.

Примечание.

Если RADIUS-сервер и сервер Forefront TMG находятся в различных доменах (или один из них входит в рабочую группу), сопоставление пользователей поддерживается только для методов проверки подлинности на основе протокола проверки пароля PAP. Сопоставление пользователей не следует использовать, если настроен другой метод проверки подлинности.
Чтобы использовать сопоставление пользователей, в домене необходимо установить Forefront TMG. Не включайте сопоставление пользователей в среде рабочей группы.
Сопоставление пользователей необходимо использовать, только если создается политика межсетевого экрана для групп. Чтобы создать политику для пользователей, можно вместо этого определить наборы учетных записей в пространствах имен RADIUS.

Дальнейшие шаги

Включение базового доступа удаленных клиентов

См. также

Основные понятия

Настройка удаленного доступа по VPN для удаленного клиента