Принудительная защита доступа к сети для виртуальной частной сети развертывается с помощью серверного и клиентского компонентов принудительной защиты VPN. Благодаря такому методу принудительной защиты серверы виртуальной частной сети могут применять политику работоспособности при попытках подключения клиентских компьютеров к сети с использованием VPN-подключения. Принудительная защита VPN обеспечивает строгие ограничения на доступ для всех компьютеров, подключающихся к сети через VPN-подключение.
Примечание | |
Применение VPN отличается от действия компонента Network Access Quarantine Control – возможности ОС Windows Server 2003 и сервера ISA Server 2004. |
Требования
Для развертывания защиты доступа к сети с VPN необходимо выполнить следующие действия:
- Установить и настроить службу маршрутизации и
удаленного доступа в качестве VPN-сервера. Настроить сервер, на
котором выполняется сервер политики сети, в качестве основного
RADIUS-сервера в службе маршрутизации и удаленного доступа.
- На сервере политики сети настроить
VPN-серверы как RADIUS-клиенты. Кроме того, необходимо настроить
политику запросов на подключение, сетевую политику и политику
работоспособности защиты доступа к сети. Можно настроить эти
политики по отдельности с помощью консоли сервера политики сети или
воспользоваться мастером Новая политика защиты доступа к
сети.
- Включить удаленный доступ к защите доступа к
сети и клиентов применения протокола EAP на клиентских компьютерах
с поддержкой доступа к сети.
- Включить службу защиты доступа к сети на
клиентских компьютерах с поддержкой защиты доступа к сети.
- В зависимости от конфигурации защиты доступа
к сети настроить средство проверки работоспособности системы
безопасности Windows или установить и настроить другие агенты
работоспособности системы и средства проверки работоспособности
системы.
- При использовании PEAP-TLS или EAP-TLS со
смарт-картами или сертификатами развернуть инфраструктуру открытого
ключа с помощью служб сертификации Active Directory®
(AD CS).
- При использовании PEAP-MS-CHAP v2 выдать
сертификаты сервера с помощью служб сертификации Active Directory
или приобрести их у доверенного корневого центра сертификации.
Дополнительные сведения
Если при развертывании метода применения защиты доступа к сети с использованием VPN имеется настроенное применение защиты доступа к сети с параметром Разрешить полный доступ к сети в ограниченное время, подключенные к сети VPN-клиенты автоматически отключаются при достижении времени истечения сеанса работы независимо от того, соответствуют ли они политике работоспособности.
После истечения срока сеанса VPN-клиенты, предпринявшие попытку подключиться к сети, помещаются в сеть с ограниченным доступом, если они не соответствуют политике работоспособности. Клиентам, соответствующим политике работоспособности, предоставляется полный доступ к сети.