Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Диспетчер подключений

Единая регистрация

Единая регистрация – это возможность, которая позволяет пользователям удаленного доступа создавать подключения удаленного доступа к сети организации и входить в домен организации с использованием тех же учетных данных. Для доменных инфраструктур имя пользователя и пароль или смарт-карты используются для проверки подлинности и входа в домен Windows. Единая регистрация предоставляется в том случае, если в окне входа в систему ОС Windows XP и Windows 2000 выбран параметр С использованием удаленного доступа (Logon by using dial-up networking option), а также тип подключения к сети организации (коммутируемое подключение, или VPN-подключение).

До создания VPN-подключений пользователь должен сначала подключиться к Интернету. После этого может быть завершено VPN-подключение и вход в домен. Если для подключения к Интернету используется отдельная учетная запись поставщика услуг Интернета (ISP), Вы можете создать коммутируемое соединение с уже настроенными учетными данными провайдера. Необходимо настроить Ваше VPN-подключение до того, как Вы подключитесь к Интернету. При такой настройке пользователю никогда не придется вводить учетные данные поставщика услуг Интернета (ISP) при входе в домен. Связывание VPN-подключения с подключением к Интернету может быть выполнено вручную или при помощи диспетчера подключений (Connection Manager).

Установка сертификата на клиентский компьютер

Если VPN-клиенты Вашей ОС Windows 2000 создают L2TP-подключения или используют сертификаты для проверки подлинности, то на компьютер VPN-клиента должны быть установлены сертификаты для проверки подлинности и создания безопасной ассоциации (Security association, SA) протокола IPSec. Для проверки подлинности на уровне пользователей используйте протокол расширенной проверки подлинности – безопасности транспортного уровня (Extensible Authentication Protocol-Transport Level Security, EAP-TLS). Совместно с этим протоколом Вы также можете использовать сертификат пользователя или смарт-карту.

Для проверки подлинности пользователей на основе сертификатов пользователь компьютера должен запросить сертификат пользователя из центра сертификации (ЦС)(certification authority, CA) Windows 2000 Вашей интрасети. Для проверки подлинности при помощи смарт-карт сетевой администратор должен настроить станцию подачи заявок и выпуск смарт-карт с сертификатами, сопоставленными с личными учетными данными пользователя.

Для получения дополнительной информации об установке сертификатов на компьютеры VPN-клиенты обратитесь к разделу "Инфраструктура сертификата" данного документа.

Вопросы проектирования: настройка VPN-клиента

При настройке VPN-клиентов для VPN-подключений удаленного доступа обратите внимание на следующие моменты:

  • При небольшом числе VPN-клиентов выполните настройку VPN-подключений вручную на каждом компьютере.
  • При большом числе VPN-клиентов, работающих под управлением различных версий операционных систем Microsoft, используйте диспетчер подключений Windows 2000, чтобы создать настроенного установочного пакета VPN-подключения для установки и ведения базы данных телефонной книги Ваших точек присутствия.
  • Если Вы используете Windows XP, Windows 2000 или Microsoft L2TP/IPSec VPN Client для создания L2TP-подключения, то Вам необходимо установить сертификат компьютера на компьютер VPN-клиента.
  • Если Вы используете VPN-клиенты Windows XP или Windows 2000 и сертификаты пользователя для проверки подлинности при помощи протокола EAP-TLS, то Вы должны установить сертификат пользователя на компьютер VPN-клиента или установить сертификат пользователя на смарт-карту, используемую компьютером VPN-клиента.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.