Сетевые политики содержат условия, параметры и ограничения для подключения к сети. Необходимо создать сетевую политику, применяемую к компьютерам, соответствующим требованиям к работоспособности, и сетевую политику, применяемую к компьютерам, не соответствующим требованиям к работоспособности. В данном разделе клиентские компьютеры, соответствующие требованиям к работоспособности, будут иметь неограниченный доступ к сети. Клиенты, не соответствующие требованиям к работоспособности, будут добавлены в сеть VPN-клиентов Forefront TMG, помещенных в карантин. Такие клиенты получат доступ к серверам обновлений с исправлениями, параметрам и приложениями, необходимыми для соответствия требованиям к работоспособности. Кроме того, клиенты могут обновляться до состояния соответствия требованиям к работоспособности и впоследствии им может предоставляться неограниченный доступ к сети.
Важно. |
---|
Forefront TMG не поддерживает IP-фильтры, настроенные на сервере политики сети. Чтобы предоставить клиентам, не соответствующим требованиям к работоспособности, доступ к серверам обновлений, необходимо создать правило доступа на сервере Forefront TMG из сети VPN-клиентов, помещенных в карантин, к соответствующим серверам обновлений. |
Настройка сетевой политики для компьютеров клиентов, соответствующих требованиям
Создайте сетевую политику для запросов сетевого доступа компьютеров, соответствующих требованиям.
Чтобы настроить сетевую политику для компьютеров клиентов, соответствующих требованиям, выполните следующие действия:
-
Чтобы открыть консоль управления сервера политики сети, на компьютере с установленным сервером политики сети нажмите кнопку Пуск, выберите команду Выполнить, введите nps.msc и нажмите клавишу ВВОД. Оставьте окно открытым для выполнения следующих задач настройки NPS.
-
В дереве дважды щелкните Политики.
-
Щелкните Сетевые политики.
-
В области Имя политики щелкните правой кнопкой мыши две политики по умолчанию и выберите команду Отключить.
-
Щелкните правой кнопкой мыши Сетевые политики и выберите команду Создать.
-
В окне Укажите имя сетевой политики и тип подключения в поле Имя политики введите Полный доступ и нажмите кнопку Далее.
-
В окне Укажите условия нажмите кнопку Добавить.
-
В диалоговом окне Выбор условий дважды щелкните элемент Политики проверки работоспособности.
-
В диалоговом окне Политики проверки работоспособности в разделе Политики проверки работоспособности выберите Соответствующий политике компьютер и нажмите кнопку ОК.
-
В окне Укажите условия проверьте, указаны ли Политики проверки работоспособности в поле Условия со значением Соответствует, и нажмите кнопку Далее.
-
Убедитесь, что в окне Укажите права доступа выбран вариант Доступ разрешен, после чего три раза нажмите кнопку Далее.
-
В окне Настройка параметров выберите Принудительная защита доступа к сети. Убедитесь, что выбран параметр Разрешить полный доступ к сети, и нажмите кнопку Далее.
-
В окне Завершение создания сетевой политики нажмите кнопку Готово.
Настройка сетевой политики для компьютеров клиентов, не соответствующих требованиям
Создайте сетевую политику для запросов сетевого доступа компьютеров, не соответствующих требованиям.
Чтобы настроить сетевую политику для компьютеров клиентов, не соответствующих требованиям, выполните следующие действия:
-
В консоли диспетчера управления сервера политики сети щелкните правой кнопкой мыши элемент Сетевые политики и выберите команду Создать.
-
В окне Указание имени сетевой политики и типа подключения в поле Имя политики введите Ограниченный доступи нажмите кнопку Далее.
-
В окне Укажите условия нажмите кнопку Добавить.
-
В диалоговом окне Выбор условий дважды щелкните Политики проверки работоспособности.
-
В диалоговом окне Политики проверки работоспособности в разделе Политики проверки работоспособности выберите Не соответствует и нажмите кнопку ОК.
-
В окне Укажите условия проверьте, указаны ли Политики проверки работоспособности в поле Условия со значением Не соответствует, и нажмите кнопку Далее.
-
Убедитесь, что в окне Укажите права доступа выбран вариант Доступ разрешен.
Важно. Параметр Доступ разрешен не означает, что клиентам, не соответствующим требованиям, предоставлен полный доступ к сети. Он означает, что политика должна продолжать проверку клиентов, соответствующих этим условиям. -
Нажмите кнопку Далее три раза.
-
В окне Настройка параметров выберите Принудительная защита доступа к сети. Выберите Разрешить ограниченный доступ, а затем выберите Включить автоматическое исправление компьютеров клиентов.
-
В окне Настройка параметров нажмите кнопку Далее, а затем в окне Завершение создания сетевой политики нажмите кнопку Готово.
Настройка сетевой политики для клиентов, не поддерживающих NAP
При наличии клиентов, не поддерживающих NAP, рекомендуется создать сетевую политику для обработки запросов сетевого доступа этих клиентов. Эта политика позволяет клиентам, не поддерживающим NAP, подключаться и перемещаться в сеть клиентов, помещенных в карантин. Дополнительные сведения о настройке конфигурации см. в разделе Настройка управления карантином на основе RQS/RQC.
Чтобы настроить сетевую политику для компьютеров клиентов, не соответствующих требованиям, выполните следующие действия:
-
В консоли диспетчера управления сервера политики сети щелкните правой кнопкой мыши элемент Сетевые политики и выберите команду Создать.
-
В окне Указание имени сетевой политики и типа подключения в поле Имя политики введите Не поддерживает NAPи нажмите кнопку Далее.
-
В окне Укажите условия нажмите кнопку Добавить.
-
В диалоговом окне Выбор условий дважды щелкните Компьютеры с поддержкой NAP, выберите Только компьютеры, не поддерживающие NAP, нажмите кнопку ОК, а затем кнопку Далее.
-
На странице Укажите права доступа нажмите кнопку Доступ разрешен, а затем нажмите кнопку Далее.
-
На странице Настройка методов проверки подлинности выберите необходимые методы проверки подлинности и нажмите кнопку Далее.
-
На странице Настройка ограничений нажмите кнопку Далее.
-
На странице Настройка параметров выберите Сведения от производителя и нажмите кнопку Добавить.
-
В окне Добавить атрибут поставщика выберите Microsoft из раскрывающегося списка Поставщик.
-
Выберите Тайм-аут-сеанса-карантина-MS, нажмите кнопку Добавить и в окне Сведения об атрибуте в поле Значение атрибута введите 1200и нажмите кнопку ОК.
-
Нажмите кнопку Закрыть,, а затем на странице Настройка параметров нажмите кнопку Далее.
-
Проверьте настройки сетевой политики и нажмите кнопку Готово.
См. также
© Корпорация Майкрософт, 2009 Все права защищены.