Hvis du ønsker å lese andre deler til artikkelserien kan du lese: Begynn prosessen ved å åpne Network Policy Server konsollen og navigere gjennom konsolltreet til NPS (Local) | Politikk | Nettverks Politikk
Nettverk Access Protection, Revisited (del 1)
)
)
)
)
I forrige artikkel i denne serien, viste jeg deg hvordan du oppretter autorisasjonsregler for både kompatibel og for ikke-kompatibel datamaskin. I denne artikkelen vil vi fullføre prosedyren serverkonfigurasjonen. Det første trinnet i å gjøre det er å skape et nettverk politikk som kan brukes på hvilken som helst maskin som autentiserer via VPN-serveren.
Opprette en nettverksRegler
. På dette punktet, bør detaljruten vise noen tidligere eksisterende nettverksreglene. Ta deg tid til å kontrollere at Compliant - Full tilgang og ikke-kompatibel - Begrensede politikk er aktivert, og at Tilkoblinger til Microsoft Routing and Remote Access Server politikk er deaktivert, som vist i figur A.
Figur A:
Kontroller at Compliant - Full tilgang og ikke-kompatibel - Kun politikk er aktivert
Nå er det på tide å opprette et nettverk politikk. For å gjøre dette, høyreklikker du på Nettverks Politikk beholderen og velg Ny kommando fra den resulterende hurtigmenyen. Når du gjør det, vil Windows starte Regler Wizard New Network.
første du må gjøre er å skrive inn et navn for den nye politikken som vi skaper. For vårt formål, la oss kalle politikken RRAS. Etter inn RRAS i forsikrings Navn-feltet velger Remote Access Server (VPN-Dial up) alternativ fra Type Network Access Server nedtrekkslisten, som vist i figur B.
Figur B:
Sett Type Network Access Server til Remote Access Server (VPN-Dial up)
Klikk på Neste og veiviseren vil ta deg til den presise betingelser skjermen. Veiviseren vil ikke engang tillate deg å fortsette til du oppgi minst én betingelse som må være oppfylt. Jeg liker å konfigurere politikk for å se på innkommende tilkoblingstype. På den måten kan jeg sette politikken til å gjelde alle VPN-tilkobling som er etablert med serveren.
Sette vilkår, klikker du på knappen Legg til, og deretter bla gjennom Select betingelser dialogboksen til du finner tunnelalternativ . Velg Tunnel Type alternativet, og klikk på Legg til. Du vil nå se en skjerm som ber deg om å spesifisere hvilke typer tunneler kreves for å matche politikken. Du kan virkelig velge noe som du vil her, men jeg anbefaler å velge Layer Two Tunneling Protocol (L2TP) og Point to Point Tunneling Protocol (PPTP) alternativer, som vist i figur C.
Figur C:
Velg PPTP og L2TP alternativer, og klikk OK
Klikk OK, og klikk deretter på Neste. Veiviseren vil nå vise Angi tilgangstillatelse skjermen. Velg Tilgang gitt alternativknappen, og velg deretter Tilgang bestemmes av bruker Dial I Properties boksen, som vist i Figur D.
Figur D:
velge Tilgang gitt radioknappen, og velg deretter Tilgang bestemmes av bruker Dial I Properties boksen
neste skjermbildet som du vil bli tatt til spør deg hvilke EAP typene du vil bruke for godkjenning. Du kan bruke alle EAP-typer som du vil, men jeg anbefaler at du bruker Microsoft Protected EAP og EAP-MSCHAP-V2. For å spesifisere disse typer EAP, klikker du på knappen Legg til, og velg deretter Microsoft: Beskyttet EAP (PEAP) alternativet, og klikk OK. Deretter klikker du på knappen Legg igjen, velger Microsoft: Sikret passord (EAP-MSCHAP-V2) alternativet, og klikk OK. Når veiviseren kommer du tilbake til Konfigurer Autentiseringsmetoder skjermen, fjerner du merket for Microsoft Kryptert Authentication (MS-CHAP) i boksen. Skjermen skal nå se ut som den som er vist i figur E.
Figur E:
Din Konfigurer Autentiseringsmetoder skjermen skal se slik ut
Klikk på Neste og veiviseren vil vise Konfigurer Begrensninger skjermen. Som du kan se i figur F, gjør denne skjermen du å sette ting som session timeout periode eller hvilken som helst dag eller tidsbegrensninger som du ønsker å innføre. Gitt problemene ved å bruke NAP, anbefaler jeg i utgangspunktet ikke pålegge noen begrensninger. Jeg pleier å tenke at det er bedre å først fokusere på å få NAP arbeidsmiljø, og deretter gå tilbake senere og angi ønskede begrensninger
Figur F:.
Jeg anbefaler å vente til senere for å pålegge noen begrensninger
Klikk neste, etterfulgt av Fullfør for å fullføre konfigureringen.
RADIUS Client Configuration Regler
I denne typen distribusjon, Network Policy Server fungerer som en RADIUS server. Snarere enn klienter utfører en direkte RADIUS autentisering mot Network Policy Server den RRAS server som fungerer som en VPN-serveren kommer til å bli konstituert som RADIUS-klient.
siste trinnet i serverkonfigurasjonen prosessen innebærer å gi Network Policy Server med en liste over autoriserte RADIUS klienter. Siden den eneste RADIUS klient kommer til å være VPN-serveren, vil du ganske enkelt inn VPN-serverens IP-adresse. Husk at de RRAS tjenester kjører på samme fysiske server som nettverksRegler Services, så vil du ganske enkelt angi serverens egen IP-adresse.
For å opprette en RADIUS Client Configuration Policy, navigere gjennom Network Policy Server konsolltreet til NPS (Local) | RADIUS klienter og servere | RADIUS Clients
. Nå, høyreklikk på RADIUS Clients container, og velg deretter New RADIUS-klienten kommando fra den resulterende hurtigmenyen. Dette vil føre til Windows for å åpne den nye RADIUS dialogboksen Client boks.
Første som denne dialogboksen krever at du må gjøre er å angi et navn og en IP-adresse for den nye RADIUS klient. I en virkelig verden distribusjon, skriver du inn RRAS som vennlig navn, og du vil gå inn i RRAS serverens IP-adresse i feltet. Som du vil huske, er dette en lab distribusjon, og RRAS kjører på samme server som nettverkspolicy Services. Derfor angi serverens eget navn og IP-adressen til klikk.
Neste feltet i dialogboksen er Leverandøren navnefeltet. For å være helt ærlig, har jeg ingen anelse om hva Leverandøren Navn egentlig gjør, men teksten i dialogboksen ber deg om å bruke RADIUS Standard innstillingen for de fleste distribusjoner. Dette har fungert bra for meg i det siste, så gå videre og velger RADIUS Standard alternativ, hvis det ikke allerede er valgt.
Det neste som dialogboksen ber om er en felles hemmelighet. Som med alle delt hemmelighet både klienten og serveren må være klar over den delte hemmeligheten. Den sikreste måten å sette opp en felles hemmelighet, er å velge Generer knappen. Når du gjør det, vil Windows automatisk generere et tilfeldig delt hemmelighet.
Personlig anbefaler jeg å begynne å bruke en fin, enkel, manuell delt hemmelighet. Det er to grunner til dette. Først, ikke alle Windows-klienter støtter bruk av veldig lang delte hemmeligheter. For det andre er det veldig vanskelig å skrive inn en lang, tilfeldig streng består av masse tall, bokstaver og symboler. I interesse av å holde ting enkelt, anbefaler jeg å velge alternativet Manuell, og deretter bare bruke ordet RRAS som den delte hemmeligheten. Når du har fått NAP arbeidsmiljø, kan du alltid gjøre det sikrere ved å velge en lengre, mer komplekse delt hemmelighet.
Siste ting som du trenger å gjøre er å velge RADIUS klient er NAP Capable boksen. NEW RADIUS dialog Client boksen skal nå se ut som den som er vist i figur G. Klikk på OK for å fullføre konfigureringen
Figur G:. Anmeldelser Skriv en felles hemmelighet, og velg Client er NAP Capable boksen
Konklusjon
I denne artikkelen har vi fullført konfigurasjonen av Network Policy Server. I del 7, vil jeg vise deg hvordan du utfører på klientene del av installasjonsprosessen. Anmeldelser
Datamaskin læring 