Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Развертывание инфраструктуры служб проверки подлинности, авторизации и учета

Настройка основного IAS-сервера на контроллере домена

Для настройки основного IAS-сервера на контроллере домена выполните следующие шаги:

  1. Установите на контроллере домена службу проверки подлинности в Интернете (IAS) в качестве дополнительного компонента сетевых служб. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) встроенной справки Windows 2000 Server.
  2. Настройте компьютер IAS-сервера (контроллер домена) таким образом, чтобы разрешить ему просмотр свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) встроенной справки Windows 2000 Server.
  3. Если IAS-сервер проверяет подлинность попыток подключения учетных записей, принадлежащих другим доменам, проверьте, что между этими доменами и доменом IAS-сервера установлены двухсторонние доверительные отношения. После этого настройте компьютер IAS-сервера таким образом, чтобы разрешить ему просмотр свойств учетных записей пользователей других доменов. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) встроенной справки Windows 2000 Server. Для получения дополнительной информации по установке доверительных отношений обратитесь к разделу Использование доверительных отношений доменов (Understanding domain trusts) встроенной справки Windows 2000 Server.

    Если IAS-сервер проверяет подлинность попыток подключения учетных записей, принадлежащих другим доменам, и между этими доменами и доменом IAS-сервера не установлены двухсторонние доверительные отношения, Вам необходимо настроить RADIUS-прокси между двумя доменами, не имеющими доверительных отношений.

  4. Включите протоколирование событий учета и проверки подлинности. Для получения дополнительной информации обратитесь к разделу Настройка параметров файла журнала (Configure log file properties) встроенной справки Windows 2000 Server.
  5. Добавьте VPN-маршрутизаторы в качестве RADIUS-клиентов сервера IAS. Для получения дополнительной информации обратитесь к разделу Регистрация клиентов RADIUS (Register RADIUS clients) встроенной справки Windows 2000 Server. В качестве сетевого адреса каждого VPN-маршрутизатора используйте назначенный ему IP-адрес внутренней сети. Если вместо IP-адресов Вы используете имена, используйте внутреннее имя VPN-маршрутизатора. Используйте стойкие общие секреты.
  6. Создайте политики удаленного доступа, отражающие сценарии использования удаленного доступа. Предположим, что требуется создать политику удаленного доступа со следующими параметрами: политика применяется к группе пользователей VPNRouters, для этой группы используются VPN-подключения на основе L2TP, и для этих подключений требуется проверка подлинности на основе MS-CHAP v2 и 128-битное шифрование. В этом случае политика должна быть настроена следующим образом:

    Имя политики: VPN-подключения "маршрутизатор-маршрутизатор"

    Условия:

    Разрешение на удаленный доступ: Предоставить право удаленного доступа (Grant remote access permission)

    Параметры профиля, вкладка Проверка подлинности (Authentication):

    Параметры профиля, вкладка Шифрование (Encryption):

    • Для атрибута NAS-Port-Type выбрано значение Virtual (VPN)
    • Для атрибута Tunnel-Type выбрано значение Layer Two Tunneling Protocol
    • Для атрибута Windows-Groups добавлена группа VPNRouters (в соответствии с рассматриваемым примером)
    • Установите флажок Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2) (Microsoft Encrypted Authentication (MS-CHAP v2)) и снимите все остальные флажки.
    • Установите флажок Самое стойкое (Strongest) и снимите все остальные флажки.
  7. Если Вы создали новые политики удаленного доступа, удалите политику Разрешить доступ, если разрешены входящие подключения (Allow access if dial-up permission is enabled), которая существует по умолчанию, или поставьте ее в конец списка политик, чтобы она применялась в последнюю очередь. Для получения дополнительной информации обратитесь к разделам Удалениеполитики удаленного доступа (Delete a remote access policy) и Изменение порядка применения политик (Change the policy evaluation order) встроенной справки Windows 2000 Server.

Примечание
Уровень шифрования Самое стойкое (Strongest) доступен только после установки пакета обновлений Service Pack 2 (или выше) или пакета стойкого шифрования (High Encryption Pack) для Windows 2000
.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.