В этом разделе описывается, как включить базовый доступ для удаленных клиентов, используя виртуальную частную сеть (VPN). После выполнения процедур, приведенных ниже, и проверки наличия VPN-подключений, рекомендуется реализовать более высокий уровень безопасности, как описано в разделе Настройка удаленного доступа к клиентам с повышенной безопасностью. Чтобы включить базовый доступ удаленных клиентов, выполните следующие процедуры:

Предварительные требования

Перед тем как начать, рекомендуется создать группу VPN-клиентов, как описано в процедуре "Создание пользователей и групп для удаленных VPN-клиентов" в разделе Определение удаленных VPN-клиентов .

Назначение IP-адресов для удаленных VPN-клиентов

Чтобы назначить IP-адреса для удаленных VPN-клиентов, выполните следующие действия:

  1. В дереве консоли управления Forefront TMG щелкните узел Политика удаленного доступа (VPN), а затем в области сведений выберите вкладку VPN-клиенты.

  2. В области сведений выберите команду Настройка способа назначения IP-адресов.

  3. На вкладке Назначение адресов выберите один из следующих параметров:

    • Пул статических адресов — если требуется назначить статические адреса для удаленных VPN-клиентов.

    • Протокол DHCP — если требуется назначать адреса для удаленных VPN-клиентов динамически.

      Примечание.
      Настроить Forefront TMG на использование DHCP-сервера для назначения IP-адресов удаленным VPN-клиентам можно только для массивов с одним сервером. При наличии нескольких членов массива используйте назначение пула статических адресов.
  4. Если выбран Пул статических адресов, выполните следующие действия:

    1. Нажмите кнопку Добавить.

    2. В массивах с несколькими членами, в окне Выберите сервер выберите член массива, для которого определяется пул статических адресов.

      Примечание.
      В развертывании с несколькими членами массива VPN-клиент может подключаться к любому из них. Эта настройка определяет, какой пул адресов может использовать каждый член массива. Пулы адресов различных членов массива не должны перекрываться.
    3. В поле Начальный адрес введите первый адрес диапазона адресов для назначения VPN-клиентам.

    4. В поле Конечный адрес введите последний адрес диапазона адресов для назначения VPN-клиентам.

    5. Нажмите кнопку ОК, чтобы закрыть диалоговое окно.

  5. В поле Использовать следующую сеть для получения доступа к службам DHCP, DNS и WINS выберите сеть, в которой находятся серверы разрешения имен.

  6. Если необходимо настроить параметры DNS-сервера и WINS-сервера, нажмите кнопку Дополнительно.

    1. Задайте настройку адреса DNS-сервера, выбрав один из следующих вариантов:

      • Получить адреса DNS-сервера при помощи настроек DHCP —.

      • Использовать следующие адреса DNS-серверов — предоставить статический IP-адрес DNS-сервера, который VPN-клиенты должны использовать для разрешения имен. При выборе этого варианта в поле Основной введите IP-адрес DNS-сервера, который находится во внутренней сети и который VPN-клиенты могут использовать для разрешения имен во внутренней сети. В поле Дополнительный введите IP-адрес DNS-сервера, находящегося во внутренней сети, который VPN-клиенты могут использовать для разрешения имен во внутренней сети, когда основной DNS-сервер недоступен.

    2. Задайте настройку адреса WINS-сервера, выбрав один из следующих вариантов:

      • Получить адреса WINS-сервера при помощи настроек DHCP — если VPN-клиенты должны получать адреса WINS-сервера с помощью конфигурации DHCP.

      • Использовать следующие адреса WINS-серверов — предоставить статический IP-адрес WINS-сервера, который VPN-клиенты должны использовать для разрешения имен. При выборе этого варианта в поле Основной введите IP-адрес WINS-сервера, который находится во внутренней сети и который VPN-клиенты могут использовать для разрешения имен во внутренней сети. В поле Дополнительный введите IP-адрес WINS-сервера, находящегося во внутренней сети, который VPN-клиенты могут использовать для разрешения имен во внутренней сети, когда основной WINS-сервер недоступен.

  7. Если пользователи или группы удаленного доступа не указываются, см. раздел Определение удаленных VPN-клиентов .

  8. Оставьте окно Свойства политики удаленного доступа (VPN) открытым для следующего этапа по включению базового доступа удаленных клиентов.

Примечание.
  • Адреса, назначенные через Active Directory (на вкладке Входящие звонки свойств пользователя в консоли управления компьютером), не могут использоваться в массивах с несколькими рядовыми серверами.

Настройка сетей с доступом для VPN-клиентов и методов проверки подлинности

Чтобы настроить сети с доступом для VPN-клиентов и методы проверки подлинности

  1. Перейдите на вкладку Сети доступа в окне Свойства политики удаленного доступа (VPN).

  2. Убедитесь, что выбрана сеть Внешняя и установите флажки для сетей, из которых клиенты будут инициировать подключения к VPN-серверу.

  3. Перейдите на вкладку Проверка подлинности в окне Свойства политики удаленного доступа (VPN).

  4. Убедитесь, что выбран параметр Шифрованная проверка подлинности (Microsoft, версия 2, MS-CHAP, версия 2), и снимите флажки со всех остальных методов проверки подлинности.

  5. Чтобы сохранить изменения, нажмите кнопку ОК, а затем в области Принять изменения — кнопку Применить.

Включение сетей с доступом для VPN-клиентов и настройка туннельного протокола

Чтобы включить доступ для VPN-клиентов и выбрать туннельный протокол, выполните следующие действия:

  1. В области Задачи нажмите Настройка доступа для клиентов VPN и на вкладке Общие нажмите Включить доступ VPN-клиентов.

    Примечание.
    • При включении доступа VPN-клиентов активируется системная политика под названием Разрешить VPN-клиенты для межсетевого экрана. Это правило устанавливает отношение маршрутизации между внутренней сетью и двумя сетями VPN-клиентов (VPN-клиентами и VPN-клиентами на карантине).

    • Необходимо создать правила доступа, разрешающие соответствующий доступ VPN-клиентам. Например, можно создать правило, разрешающее доступ из сети VPN-клиентов во внутреннюю сеть по всем или только по определенным протоколам.

  2. При необходимости измените максимальное число одновременно подключенных клиентов Максимально разрешенное количество VPN-клиентов (на одного члена массива). Значение по умолчанию 100; максимальное значение 1000.

  3. Перейдите на вкладку Протоколы и убедитесь, что выбран параметр Разрешить протокол PPTP.

    Совет.
    Рекомендуется начинать тестирование VPN-подключений только с протоколом PPTP. После проверки подключений следует включить протокол L2TP через протокол проверки подлинности и шифрования IPSec в целях повышения безопасности. Инструкции см. в разделе Настройка удаленного доступа к клиентам с повышенной безопасностью.

Тестирование базовых VPN-подключений

Чтобы протестировать базовые VPN-подключения, выполните следующие действия:

  1. На удаленном клиенте инициируйте VPN-подключение из внешней сети.

  2. В дереве консоли управления Forefront TMG щелкните узел Политика удаленного доступа (VPN), а затем в области сведений выберите вкладку VPN-клиенты.

  3. На вкладке Задачи щелкните Наблюдение за VPN-клиентами. В средстве просмотра сеансов отображаются данные для VPN-клиентов, подключающихся к Forefront TMG.

Дальнейшие шаги

См. также


© Корпорация Майкрософт, 2009 Все права защищены.