Рисунок Microsoft Windows

Роль сервера удаленного доступа или VPN-сервера: настройка сервера удаленного доступа или VPN-сервера

Для удаленных пользователей можно настроить на сервере удаленный доступ к ресурсам частной сети через подключение удаленного доступа или подключение к виртуальным частным сетям. Такой тип сервера называется сервер удаленного доступа или VPN-сервер. Сервер удаленного доступа или VPN-сервер предоставляет возможность преобразования сетевых адресов (NAT). Для компьютеров частной сети можно открыть доступ в Интернет через совместное подключение к Интернету, используя NAT. С помощью виртуальной частной сети и NAT клиенты VPN могут определять IP-адреса компьютеров в частной сети, но не в Интернете.

В этом разделе разъясняются основные шаги настройки сервера удаленного доступа или VPN-сервера, используя оснастку «Управление данным сервером», мастер настройки сервера и мастер настройки сервера маршрутизации и удаленного доступа. По окончании установки основного сервера удаленного доступа или VPN-сервера можно выполнить дополнительную настройку в зависимости от того, для чего предназначается сервер.

В этом разделе:

Предварительная подготовка

Настройка сервера удаленного доступа или VPN-сервера

Дальнейшие действия: выполнение дополнительных задач


Предварительная подготовка

Перед настройкой сервера как сервера удаленного доступа или VPN-сервера необходимо убедиться в следующем.

В следующей таблице содержатся сведения, необходимые для настройки сервера удаленного доступа или VPN-сервера.

Действия, которые необходимо выполнить перед добавлением роли сервера удаленного доступа или VPN-сервера Комментарий
Запустите Windows Update. Запустите Windows Update, чтобы проверить, что на сервере установлены самые последние обновления операционной системы. Дополнительные сведения см. в разделе Windows Update.
Настройте порты для разрешения удаленного администрирования Если данный сервер удаленного доступа или VPN-сервер будет управляться удаленно, настройте порты для разрешения удаленного администрирования. При включенном брандмауэре Windows необходимо выполнить специальную настройку ряда параметров, чтобы можно было использовать возможности технологий, поставляемых с операционными системами Windows Server 2003, и осуществлять их удаленное администрирование. Сведения об этих параметрах см. на веб-узле корпорации Майкрософт в документе, в котором описываются параметры брандмауэра Windows(http://www.microsoft.com/).
Определите, какой сетевой интерфейс подключается к Интернету, а какой — к частной сети. В ходе настройки указывайте правильный интерфейс подключения к Интернету. В противном случае сервер удаленного доступа или VPN-сервер будет работать неправильно.
Определите, откуда получают IP-адреса удаленные клиенты — от DHCP-сервера частной сети либо от настраиваемого сервера удаленного доступа или VPN-сервера. Если в сети имеется DHCP-сервер, сервер удаленного доступа или VPN-сервер может арендовать на нем по 10 адресов за раз и назначать их удаленным клиентам. Если в сети нет DHCP-сервера, сервер удаленного доступа или VPN-сервер может автоматически генерировать и назначать IP-адреса удаленным клиентам. Необходимо задать диапазон, из которого сервер удаленного доступа или VPN-сервер будет назначать IP-адреса.
Определите, как будут обрабатываться запросы на подключение от клиентов виртуальной частной сети — сервером службы проверки подлинности удаленных пользователей (RADIUS) или сервером удаленного доступа или VPN-сервером. Сервер RADUS рекомендуется добавлять, если в частной сети устанавливается несколько серверов удаленного доступа или VPN-серверов, точек беспроводного доступа или других клиентов RADUS. Дополнительные сведения см. в разделе Служба проверки подлинности в Интернете.
Определите разрешение клиентам VPN отправлять сообщения DHCP на DHCP-сервер в частной сети. Если DHCP-сервер находится в той же подсети, что и сервер удаленного доступа или VPN-сервер, DHCP-сервер сможет принимать сообщения DHCP от клиентов VPN после установки виртуального частного подключения. Если DHCP-сервер и сервер удаленного доступа или VPN-сервер находятся в разных подсетях, убедитесь, что маршрутизатор между подсетями может ретранслировать сообщения DHCP между клиентом и сервером. Если маршрутизатор работает под управлением операционной системы Windows Server 2003, на нем можно настроить службу агента ретрансляции DHCP на пересылку сообщений DHCP между подсетями.
Убедитесь, что все пользователи имеют учетные записи, настроенные для удаленного доступа. Для подключения к сети им необходимо иметь учетные записи пользователей на сервере удаленного доступа или VPN-сервер или в Active Directory. Каждая учетная запись пользователя на изолированном сервере или контроллере домена содержит параметры, определяющие разрешение на подключение этого пользователя. На изолированном сервере эти свойства можно установить, щелкнув правой кнопкой мыши учетную запись пользователя в оснастке «Локальные пользователи и группы» и выбрав команду Свойства. Для установки этих свойств на контроллере домена нужно щелкнуть правой кнопкой мыши учетную запись пользователя в консоли оснастки «Active Directory – пользователи и компьютеры» и выбрать команду Свойства. Дополнительные сведения см. в разделах Параметры входящих звонков учетной записи пользователя и Active Directory – пользователи и компьютеры.

Настройка сервера удаленного доступа или VPN-сервера

Для настройки сервера удаленного доступа или VPN-сервера запустите мастер настройки сервера, выполнив следующие действия.

На странице Параметры настройки выберите вариант Особая конфигурация и нажмите кнопку Далее. На странице Роль сервера выберите пункт Сервер удаленного доступа или VPN-сервер и нажмите кнопку Далее.

В этом разделе описаны этапы настройки сервера удаленного доступа или VPN-сервера, не входящего в домен Active Directory или в сеть с DNS или DHCP-серверами, в мастере настройки сервера маршрутизации и удаленного доступа. Это позволяет настроить сервер удаленного доступа или VPN-сервер, который предоставляет удаленный доступ и доступ через VPN для клиентов удаленного доступа, поддерживает преобразование сетевых адресов (NAT) для компьютеров частной сети, генерирует и назначает IP-адреса клиентам удаленного доступа и обеспечивает локальную проверку подлинности запросов на подключение.

В этом разделе:

Сводка выбранных параметров

Использование мастера настройки сервера маршрутизации и удаленного доступа

Завершение работы мастера настройки сервера

Завершение настройки в оснастке «Маршрутизация и удаленный доступ»

Удаление роли сервера удаленного доступа и VPN-сервера

Сводка выбранных параметров

На странице Сводка выбранных параметров посмотрите и подтвердите выбранные параметры. Если на странице Роль сервера был выбран пункт Сервер удаленного доступа или VPN-сервер, отобразится следующее сообщение.

Для применения параметров, выбранных на странице Сводка выбранных параметров, нажмите кнопку Далее. В мастере настройки сервера запускается мастер настройки сервера маршрутизации и удаленного доступа. Если отменить работу мастера настройки сервера маршрутизации и удаленного доступа, не будет настроен сервер удаленного доступа или VPN-сервер, не будет запущена служба маршрутизации и удаленного доступа, а мастер настройки сервера отобразит страницу Продолжение невозможно.

После завершения работы мастера настройки сервера маршрутизации и удаленного доступа и мастера настройки сервера автоматически запускается служба маршрутизации и удаленного доступа.

Использование мастера настройки сервера маршрутизации и удаленного доступа

После выбора в мастере настройки сервера пункта «Сервер удаленного доступа или VPN-сервер» и подтверждения этого выбора в окне «Сводка» нажатием кнопки Далее запускается мастер настройки сервера маршрутизации и удаленного доступа.

В данном разделе описаны следующие действия мастера настройки сервера маршрутизации и удаленного доступа.

Настройка

VPN-подключение

Назначение IP-адресов

Службы преобразования имен и адресов

Диапазон назначения адресов

Управление несколькими серверами удаленного доступа

Завершение работы мастера настройки сервера маршрутизации и удаленного доступа

Настройка

На странице Конфигурация нажмите Доступ к виртуальной частной сети (VPN) и NAT и нажмите кнопку Далее.

Внимание!

VPN-подключение

На странице Соединение по VPN выберите сетевой интерфейс, подключающий этот компьютер к Интернету. Выбранный сетевой интерфейс будет настроен на получение подключений от VPN-клиентов. Остальные интерфейсы будут настроены как подключения к частной сети.

В окне «Сетевые интерфейсы» флажок Включить систему безопасности на данном интерфейсе с использованием основного брандмауэра должен быть уже установлен. Не снимайте его. Это свойство активирует основной брандмауэр — службу фильтрации динамических пакетов, защищающую частную сеть от атак злоумышленников.

Для продолжения нажмите кнопку Далее.

Назначение IP-адресов

На странице Назначение IP-адресов параметр Автоматически выбирается автоматически. Не изменяйте его. Этот параметр настраивает сервер на генерирование и назначение IP-адресов удаленным клиентам.

Для продолжения нажмите кнопку Далее.

Службы преобразования имен и адресов

На странице Службы преобразования имен и адресов параметр Включить базовые службы назначения адреса и сопоставления имен выбирается автоматически. Не изменяйте его. Этот параметр настраивает сервер на автоматическое назначение IP-адресов компьютерам, запросившим IP-адреса. Кроме того, он настраивает сервер на пересылку запросов на разрешение имен DNS-серверу через Интернет.

Для продолжения нажмите кнопку Далее.

Диапазон назначения адресов

На странице Назначение диапазонов адресов отображается диапазон, из которого назначаются адреса компьютерам сети, приславшим запросы. Этот диапазон генерируется на основе IP-адреса сетевого адаптера, выбранного на странице Соединение по VPN. Просмотрите эти сведения.

Для продолжения нажмите кнопку Далее.

Управление несколькими серверами удаленного доступа

На странице Управление несколькими серверами удаленного доступа параметр Нет, использовать маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение выбирается автоматически. Не изменяйте его. Этот параметр настраивает сервер на локальную проверку подлинности запросов на подключение, используя проверку подлинности Windows, Windows – учет и локальные политики удаленного доступа.

Для продолжения нажмите кнопку Далее.

Завершение работы мастера сервера маршрутизации и удаленного доступа

На странице Завершение работы мастера сервера маршрутизации и удаленного доступа просмотрите сводные сведения. Проверьте выполнение следующих условий.

Если сводные сведения неверны, нажмите кнопку Назад и измените их.

После нажатия кнопки Готово невозможно будет открыть мастер настройки сервера маршрутизации и удаленного доступа, пока не будет либо удалена роль сервера удаленного доступа или VPN-сервера в мастере настройки сервера, либо отключена маршрутизация и удаленный доступ в оснастке «Маршрутизация и удаленный доступ».

Убедитесь, что сводные сведения верны, и нажмите кнопку Готово. После этого появится сообщение о том, что для поддержки ретрансляции сообщений DHCP от клиентов удаленного доступа на DHCP-сервер необходимо открыть компонент «Маршрутизация и удаленный доступ» на сервере удаленного доступа или сервере VPN и настроить агент DHCP-ретрансляции в соответствии с IP-адресом DHCP-сервера. Нажмите кнопку ОК. Служба «Маршрутизация и удаленный доступ» откроется автоматически, и мастер настройки сервера откроется снова.

Завершение работы мастера настройки сервера

После завершения работы мастера настройки сервера маршрутизации и удаленного доступа мастер настройки сервера отобразит страницу Этот сервер теперь является сервером удаленного доступа или VPN-сервером. Для просмотра всех изменений, сделанных на сервере мастером настройки сервера, или для проверки успешной установки новой роли щелкните ссылку Просмотр сведений о настройке журнала сервера. Мастер настройки сервера находится в папке системный_корневой_каталог\Debug\Configure Your Server.log. Чтобы закрыть мастер настройки сервера, нажмите кнопку Готово.

Теперь можно завершить настройку сервера удаленного доступа или VPN-сервера в службе «Маршрутизация и удаленный доступ».

Завершение настройки в оснастке «Маршрутизация и удаленный доступ»

Чтобы открыть оснастку «Маршрутизация и удаленный доступ», выберите пункт Управление данным сервером удаленного доступа или VPN-сервером в оснастке «Управление данным сервером». Оснастку «Маршрутизация и удаленный доступ» можно открыть также из папки «Администрирование». XOX

В оснастке «Маршрутизация и удаленный доступ» дважды щелкните имя только что настроенного сервера и выберите пункт Политика удаленного доступа. По умолчанию политика удаленного доступа настроена на запрещение доступа для всех. Чтобы предоставить пользователям возможность подключиться к серверу удаленного доступа или VPN-серверу, необходимо изменить политику по умолчанию или заменить ее другой политикой. Дважды щелкните политику по умолчанию, чтобы просмотреть ее и указать доступ, который требуется разрешить для пользователей.

Если данный сервер уже настроен как сервер удаленного доступа или VPN-сервер или на нем настроена служба IAS, параметры политики удаленного доступа или политик в оснастке «Маршрутизация и удаленный доступ» могут отличаться от параметров политики удаленного доступа по умолчанию. Следует обратить особое внимание на политику удаленного доступа, чтобы убедиться, что имеющиеся разрешения и отказ в доступе соответствуют задачам и целям сети. Проверьте, не были ли по ошибке назначены незапланированные разрешения или отказы в удаленном доступе.

Дополнительные сведения см. в разделах Добавление политики удаленного доступа, Введение в политику удаленного доступа и Чтобы восстановить политику удаленного доступа по умолчанию.

После настройки политик удаленного доступа завершается настройка необходимых параметров для сервера удаленного доступа или VPN-сервера в сети без DHCP-сервера. Если в сети используется DHCP-сервер, необходимо настроить также агент ретрансляции DHCP. В оснастке «Маршрутизация и удаленный доступ» дважды щелкните пункт IP-маршрутизация, щелкните правой кнопкой мыши Агент DHCP-ретрансляции и выберите команду Свойства. Введите IP-адрес DHCP-сервера в поле Адрес сервера, нажмите кнопку Добавить, а затем нажмите кнопку ОК.

Удаление роли сервера удаленного доступа или VPN-сервера

Если требуется перенастроить сервер для другой роли, можно удалить существующую роль. Сервер прекращает обеспечивать удаленный доступ или доступ к виртуальной частной сети для клиентов удаленного доступа после удаления роли сервера удаленного доступа или VPN-сервера. Кроме того, сервер прекращает обеспечивать преобразование сетевых адресов для компьютеров сети. Удаленные пользователи не смогут подключаться к данной частной сети, а компьютеры этой частной сети не смогут подключаться к Интернету. Основной брандмауэр перестает защищать компьютеры в частной сети. После удаления роли сервера удаленного доступа или VPN-сервера рекомендуется добавить другой брандмауэр, если такового не имеется, для защиты компьютеров в частной сети. Протестируйте частную сеть, чтобы убедиться, что для компьютеров установлен уровень доступа, который требуется для данной организации. Заново настройте политики доступа в IAS, чтобы запретить все попытки удаленного доступа.

Для удаления роли сервера удаленного доступа или VPN-сервера необходимо перезапустить мастер настройки сервера, выполнив следующие действия.

На странице Роль сервера выберите пункт Сервер удаленного доступа или VPN-сервер и нажмите кнопку Далее. На странице Подтверждение удаления роли просмотрите сведения в поле Сводка, установите флажок Удалить роль сервера удаленного доступа или VPN-сервера и нажмите кнопку Далее. На запрос диалогового окна с просьбой о подтверждении отключения маршрутизатора и удаления конфигурации удаленного доступа нажмите кнопку Да. На странице Роль сервера удаленного доступа или VPN-сервера удалена нажмите кнопку Готово.


Дальнейшие действия: выполнение дополнительных задач

После завершения работы мастера настройки сервера и завершения настройки в оснастке «Маршрутизация и удаленный доступ» сервер готов к использованию в качестве сервера удаленного доступа или VPN-сервера, предоставляющего доступ к виртуальной частной сети и преобразование сетевых адресов. На данный момент выполнены следующие шаги.

После выполнения этих действий будет создан основной сервер удаленного доступа или VPN-сервер. К этому серверу, поддерживающему удаленные подключения или виртуальные частные подключения и преобразования сетевых адресов для частной сети, смогут подключаться удаленные компьютеры.

Следующая таблица содержит дополнительные задачи, которые можно выполнять на сервере удаленного доступа или VPN-сервере.

Задача Назначение задачи Ссылка
Настройка фильтров статических пакетов Фильтры статических пакетов повышают степень защиты сети. Чтобы добавить фильтры локальных узлов
Настройка служб и портов Для открытия доступа к службам частной сети для пользователей удаленного доступа при необходимости. Чтобы настроить службы и порты
Настройка уровней ведения журнала для протоколов маршрутизации Для задания уровня сведений о событиях, которые следует заносить в журнал. Можно задать тип сведений, которые должны быть отражены в файлах журнала. Чтобы вести журнал сведений для протокола маршрутизации
Настройка количества портов VPN Чтобы добавить или удалить порты VPN. Чтобы добавить порты PPTP или L2TP
Создание профиля диспетчера подключений для пользователей Позволяет управлять клиентскими подключениями пользователей и упрощает устранение неполадок клиентских подключений. Пакет администрирования диспетчера подключений
Добавление служб сертификации Для настройки центра сертификации (CA) и управления им на сервере. Службы сертификации используются в инфраструктуре открытого ключа (PKI). Службы сертификации; Сертификаты компьютеров для виртуальных частных подключений по протоколу L2TP/IPSec
Повышение безопасности удаленного доступа Предназначается для защиты удаленных пользователей и частной сети путем применения безопасных методов проверки подлинности, повышения уровня шифрования данных и т.п. Сведения о безопасности для удаленного доступа
Повышение безопасности виртуальных частных сетей Для защиты удаленных пользователей и частной сети посредством применения безопасных протоколов маршрутизации и туннельных протоколов, блокировки учетной записи и т.д. Вопросы безопасности для VPN