Принудительная защита доступа к сети для виртуальной частной сети развертывается с помощью серверного и клиентского компонентов принудительной защиты VPN. Благодаря такому методу принудительной защиты серверы виртуальной частной сети могут применять политику работоспособности при попытках подключения клиентских компьютеров к сети с использованием VPN-подключения. Принудительная защита VPN обеспечивает строгие ограничения на доступ для всех компьютеров, подключающихся к сети через VPN-подключение.

Примечание

Применение VPN отличается от действия компонента Network Access Quarantine Control – возможности ОС Windows Server 2003 и сервера ISA Server 2004.

Требования

Для развертывания защиты доступа к сети с VPN необходимо выполнить следующие действия:

  • Установить и настроить службу маршрутизации и удаленного доступа в качестве VPN-сервера. Настроить сервер, на котором выполняется сервер политики сети, в качестве основного RADIUS-сервера в службе маршрутизации и удаленного доступа.

  • На сервере политики сети настроить VPN-серверы как RADIUS-клиенты. Кроме того, необходимо настроить политику запросов на подключение, сетевую политику и политику работоспособности защиты доступа к сети. Можно настроить эти политики по отдельности с помощью консоли сервера политики сети или воспользоваться мастером Новая политика защиты доступа к сети.

  • Включить удаленный доступ к защите доступа к сети и клиентов применения протокола EAP на клиентских компьютерах с поддержкой доступа к сети.

  • Включить службу защиты доступа к сети на клиентских компьютерах с поддержкой защиты доступа к сети.

  • В зависимости от конфигурации защиты доступа к сети настроить средство проверки работоспособности системы безопасности Windows или установить и настроить другие агенты работоспособности системы и средства проверки работоспособности системы.

  • При использовании PEAP-TLS или EAP-TLS со смарт-картами или сертификатами развернуть инфраструктуру открытого ключа с помощью служб сертификации Active Directory® (AD CS).

  • При использовании PEAP-MS-CHAP v2 выдать сертификаты сервера с помощью служб сертификации Active Directory или приобрести их у доверенного корневого центра сертификации.

Дополнительные сведения

Если при развертывании метода применения защиты доступа к сети с использованием VPN имеется настроенное применение защиты доступа к сети с параметром Разрешить полный доступ к сети в ограниченное время, подключенные к сети VPN-клиенты автоматически отключаются при достижении времени истечения сеанса работы независимо от того, соответствуют ли они политике работоспособности.

После истечения срока сеанса VPN-клиенты, предпринявшие попытку подключиться к сети, помещаются в сеть с ограниченным доступом, если они не соответствуют политике работоспособности. Клиентам, соответствующим политике работоспособности, предоставляется полный доступ к сети.