Установка сервера политики сетиInstall Network Policy Server. Службы политики и сети доступа


В ежовых рукавицах - «Хакер»

Содержание статьи

 

Технологии безопасности Windows Server 2012

В корпоративной сети могут работать сотни компьютеров, география подключений нередко охватывает все регионы планеты. Повальный переход на облачные технологии, рост объема информации, доступ к ней из разных точек требует обеспечить безопасность данных и управляемость инфраструктуры. И в первую очередь необходим контроль пользователей и устройств.

Сегодня очень популярна технология BYOD (Bring Your Own Device), когда сотрудники используют в работе свои личные устройства, за которыми следят самостоятельно. Это удобно всем: компания избавляется от постоянной заботы закупать и обновлять оборудование, а пользователи работают с любимыми и современными гаджетами. Однако ради удобства пользователь может отключить службу установки обновлений, переконфигурировать брандмауэр или работать с устаревшими антивирусными базами. Это приводит к увеличению рисков, такие устройства несут потенциальную опасность для остальных систем. Чтобы избежать проблем при подключении личных устройств к корпоративной сети, следует контролировать их состояние.

Новая функция Network Access Protection, появившаяся в Win2k8, проверяет ОС на соответствие принятым политикам. На основе анализа состояния для конкретного устройства можно ограничить доступ, разрешить полный доступ временно или постоянно. Все события журналируются, и админ всегда располагает свежей информацией о проблемах.

В карантинной подсети располагаются коррекционные серверы (Remediation Server), предоставляющие ресурсы для устранения выявленных недостатков (сервер обновлений WSUS, антивирусная база). После устранения проблем система повторно подключается и проверяется, если все в норме, она получает полноценный доступ в сеть. В процессе работы состояние системы контролируется постоянно, и если оно перестает удовлетворять требованиям политик, то устройство снова переводится в карантин (или выполняется любое другое действие, предписанное админом). По сути, контроль состояния и карантин — это вся роль NAP, все остальное реализуется сторонними механизмами. При настройке NAP используется несколько механизмов принуждения (DHCP, VPN, IPsec, IEEE 802.1x и другие).

На удаленной системе устанавливается клиент NAP, состоящий из агента NAP, агента состояния системы (Windows Security Health Agent) и клиента принуждения (NAP Enforcement Client). Последний и отвечает за взаимодействие с механизмом принуждения. Собранные данные клиент отправляет серверу сетевых политик (NPS, Network Policy Server) в виде SHV-маркера (System Health Validators).

Агент уже включен во все версии Windows от XP SP3, поддерживается интеграция с Cisco Network Admission Control (NAC). Сторонние фирмы предлагают клиенты NAP для OS X и Linux и могут добавлять требуемую функциональность в NAP. Например, решение Symantec Endpoint Protection содержит дополнительные модули, позволяющие проверять состояние при помощи NPS.

Роль сервера «Службы политики сети и доступа» можно использовать для развертывания собственно службы NPS либо сервера и прокси-сервера RADIUS, выполняющего авторизацию при запросах на подключение со стороны клиентов RADIUS (коммутаторы Ethernet с поддержкой 802.1X, хотспоты). Все настройки производятся при помощи диспетчера сервера или утилиты netsh (контекст netsh nps, все команды можно узнать в документации).

В Win2k8R2 служба NPS получила возможность использовать несколько конфигураций SHV, что позволяет создавать свои политики для систем, подключающихся по разным каналам (LAN, VPN). Также появились новые шаблоны, упрощающие создание и экспорт элементов конфигурации NPS.

В Win2012 служба маршрутизации и удаленного доступа, которая раньше была частью NPS, выведена в отдельную роль сервера удаленного доступа. Сделано это, чтобы уменьшить путаницу при развертывании. Для роли сервера NPS понадобится физический или виртуальный (Hyper-V) сервер, кластеры не поддерживаются.

Установка сервера NPS производится при помощи мастера добавления ролей и компонентов, просто отмечаем пункт «Службы политики сети и доступа» и следуем его указаниям. Роль содержит три службы ролей:

  • сервер политики сети — используется для централизованного управления доступом к сети через разнообразные серверы доступа, включая точки беспроводного доступа, VPN, серверы удаленного доступа и 802.1X-коммутаторы;
  • центр регистрации работоспособности (HRA) — компонент, отвечающий за выпуск сертификатов работоспособности для клиентов, проходящих проверку политики. Используется только с принудительным методом протокола IPsec;
  • протокол авторизации учетных данных узлов (HCAP) — позволяет объединить решение для защиты доступа к сети от MS с сервером управления сетевым доступом от компании Cisco.

В случае выбора HRA потребуется связать его с центром сертификации (это можно сделать позднее, после установки). Выдача сертификатов возможна как зарегистрированным в домене пользователям, так и анонимным (всем). Если NPS работает в доменной сети, то предпочтителен первый вариант.

Все установки производятся из консоли «Сервер групповых политик». Первоначальные настройки задаются при помощи готового сценария, просто выбираем нужный из списка и следуем указаниям мастера. Политики позволяют задать группы (Windows, компьютеров или пользователей), HCAP (группы пользователей и размещения), ограничения по дням недели и времени, типу удостоверения, классу IP, ОС и архитектуре, критерию политики работоспособности и другим параметрам.

У каждого контроллера домена, работающего на Win2012, должна быть та же настройка политики административных шаблонов (Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> KDC -> Поддержка динамического контроля доступа и защиты Kerberos).

В Win2012 также добавилась возможность использовать PowerShell для установки и настройки некоторых параметров роли NPS, поэтому многие операции можно выполнить из консоли. Ставим и смотрим новый набор из 13 командлетов).

PS> ADD-WindowsFeature NPAS-Policy-Server -includemanagementtools PS> Import-Module NPS PS> Get-Command –Module NPS

Например, командлеты Export/Import-NPSConfiguration позволяют сохранить и восстановить конфигурацию NPS-сервера. Они заменят netsh nps export/import, выполняющие аналогичную функцию. Вызов прост. Сохраняем:

PS> Export-NpsConfiguration –Path C:NPSTemp -Path Npsconfig.xml

Файл содержит данные RADUIS-клиентов, поэтому необходимо позаботиться, чтобы никто не получил к нему доступ. Теперь на другом сервере импортируем, просто указав на файл.

PS> Import-NpsConfiguration -Path C:Npsconfig.xml

Как и netsh, командлеты PowerShell не поддерживают перенос настроек шаблонов. Это доступно через интерфейс консоли.

Первоначальные настройки NPS задаются при помощи готового сценарияОпределяем параметры безопасности клиента

Многие годы в Windows используется механизм управления доступом на уровне пользователей и групп. Выдержав проверку временем, он работает хорошо, тем не менее он уже не всегда подходит для современных условий, когда имеет значение не только должность пользователя, но и его роль и даже текущее местоположение. Пользователь может работать в защищенной локальной сети или подключаться через общественную точку доступа. Человек один, а риски для бизнеса разные.

Особо остро этот вопрос стоит сегодня, так как по статистике большинство утечек происходит по вине инсайдеров (намеренной или случайной), которые имеют легальный доступ к некоторой информации. В результате, чтобы перекрыть все потребности, создается большое количество групп, что серьезно усложняет администрирование, в частности понимание того, кто и куда действительно имеет доступ. Малейшая ошибка пользователя или админа — и документ оказывается не на своем месте и имеет ненадлежащие права доступа. Современным организациям остро необходим простой в использовании механизм предотвращения утечки информации (DLP, Data Leak Prevention).

Защитить содержимое можно при помощи службы управления правами (Rights Management Services), но она снимает только часть проблем. Более глобально задачу управления доступом и аудита призвана решить технология динамического управления доступом (Dynamic Access Controls, DAC). Технология базируется на трех основных понятиях:

  • классификация документов — на основе тегов, которые добавляются пользователем при создании/редактировании документа (в свойствах), приложением, наследуются от каталога или присваиваются по контексту. Если документ не классифицирован, то используются только традиционные средства доступа;
  • политики — состоят из одного или нескольких правил, основанных на выражениях, описывающих условия доступа для утверждений пользователей/устройств и тегов. Выражения содержат атрибуты Active Directory и, по сути, являются основой DAC, показывая, кто и на каких условиях может получить доступ;
  • аудит — расширенные политики аудита, позволяющие получить информацию о попытках доступа к конфиденциальной информации.

Реализована интеграция DAC со службой RMS, что позволяет в реальном времени защищать документы, которым присвоен соответствующий тег. Настройки упрощает автоматическое тегирование документов, которое создается при помощи правил, настраиваемых в диспетчере ресурсов файлового сервера (File Server Resource Manager).

Для реализации DAC система безопасности Win2012 получила новый механизм утверждения claims, такие утверждения существуют для ресурсов, пользователей и учетных записей компьютеров. При входе в систему помимо идентификатора безопасности SID (Security Identifier) учетной записи в маркер добавляются claims (просмотреть их можно, введя «whoami /claims»). Вот эти утверждения, вместе с данными об участии в группах, и используются при доступе к объектам файловой системы. При этом старые механизмы никуда не исчезли. Вначале применяются права доступа к сетевому ресурсу, затем NTFS и, наконец, вступает в работу DAC.

Одна из особенностей DAC — возможность постепенного внедрения, когда администратор вначале настраивает политики DAC без блокировки, только в режиме аудита. Это позволит выяснить, кто и куда пытался получить или получил доступ, отловить излишне любопытных и впоследствии установить блокировки более точно, сведя к минимуму жалобы пользователей.

Учитывая, что в современных условиях ситуация быстро меняется, необходим механизм быстрого решения проблем с доступом, и DAC его предоставляет. Пользователю, получившему отказ, приходит сообщение с вариантами восстановления доступа — прямая ссылка на сайт или справка с объяснением. На сайте пользователь получает дополнительную информацию, например соглашение о неразглашении, которое нужно подтвердить. После выполнения требований claims обновляются, и пользователь получает доступ.

Политики задаются централизованно на уровне домена, распространяются при помощи GPO и указываются в настройках конкретного ресурса. В первом случае установки задаются в консоли центра администрирования Active Directory (ADAC, Active Directory Administrative Center), в котором находится специальный подраздел, содержащий восемь пошаговых настроек. На каждом необходимо будет заполнить предложенные мастером поля.

Настройка классификации документов

Первым идет настройка утверждений, где доступно более 100 атрибутов Active Directory, каждый из которых может присутствовать в claims. Для удобства поиска предложен фильтр. Например, атрибут departament описывает отдел, в котором работает пользователь. Последовательно отбираем нужные, создавая claims. Поле «Предложенные значения» позволяет указать требуемые значения атрибутов. Например, для departament прописываем названия отделов, для которых будем создавать политики.

Вторым шагом идет настройка свойств ресурсов (Resource Properties), позволяющих классифицировать конкретные файлы и папки. По умолчанию уже создано несколько свойств, которые нужно отредактировать и включить или добавить новые. Переходим к шагу три — созданию централизованного правила доступа (Central Access Rule), где выбираем критерии целевых ресурсов и разрешения. Процесс прост: выбираем из списков свойства, указываем значение и задаем права (система предложит разрешения, их можно отредактировать и применить). В итоге все ресурсы, которые будут помечены соответствующим тегом (указанным в значении), будут попадать под правило. Так как правил может быть несколько, то для удобства применения на следующем шаге их объединяют в политики (Central Access Policies).

Для настройки динамического контроля доступа необходимо пройти восемь шагов

После создания политик они должны быть опубликованы на файловом сервере. Для этого вызываем редактор групповой политики, переходим в «Конфигурация компьютера -> Политики -> Конфигурация Windows -> Файловая система -> Централизованная политика доступа». Выбираем в контекстном меню пункт «Управление централизованными политиками доступа» и в списке созданные ранее политики, которые необходимо применить. Собственно, это все.

Для управления аудитом следует перейти в «Конфигурация расширенной политики аудита -> Политика аудита -> Доступ к объектам», где в Win2012 появился новый пункт «Аудит сверки с централизованной политикой доступа».

Теперь применяем политику. Переходим в свойства документа/каталога, выбираем «Дополнительно» и переходим во вкладку «Централизованная политика», выбираем в раскрывающемся списке нужную политику.

Традиционно новая возможность получила свой набор из 58 командлетов PowerShell, которые относятся к модулю Active Directory (goo.gl/304CC). Например, при помощи Get-ADCentralAccessPolicy можем получить информацию обо всех центральных политиках доступа.

PS> Get-ADCentralAccessPolicy -Filter * Динамическим контролем доступа можно управлять при помощи командлетов PowerShell

 

Интеграция DAC и RMS

Для полноценной защиты конфиденциальной информации необходимо применять шифрование. Интеграция DAC и RMS позволит все проделать автоматически на основе тегов или содержания документа, причем настройки дают возможность зашифровать и ранее созданные документы. Для работы следует активировать свойство ресурсов Impact, позволяющее классифицировать ресурсы по одному из трех значений важности. Далее в консоли диспетчера ресурсов файлового сервера, в разделе «Управление классификацией -> Правила классификации» (Classification Management -> Classification Rules) создаем правила, в которых указываем тип и расположение файлов, метод классификации (Windows PowerShell, папки или содержимого) и собственно строки или регулярные выражения, совпадения с которыми будут активировать правило. Здесь же указываем, какое значение присвоить доступным атрибутам. В раскрывающемся списке можно увидеть все созданные ранее атрибуты, нас в данном случае интересует Impact. Чтобы привести механизм в действие, переходим в «Задачи управления файлами», где создаем новую задачу. Указываем название, папки, настраиваем оповещение и расписание. Во вкладке «Действие» выбираем «Шифрование RMS» и доступный шаблон RMS. Во вкладке «Условие» следует указать свойство файла, которое приведет к выполнению задания.

Сегодня организация может использовать десятки серверов и приложений, размещенных на разных платформах, к которым необходимо обеспечить безопасный доступ. Если приложения разнородные и для идентификации используют разные стандарты, это становится проблемой. Microsoft предлагает для ее решения сервис Windows Azure AppFabric Access Control Service (ACS, goo.gl/2dmqR), позволяющий реализовать механизмы федеративной авторизации и обработку запросов на основе декларативных правил. Сервис, к которым обеспечивается доступ, не обязательно должен работать в среде Azure, это может быть любая (в том числе не Windows) платформа или приложение, работающее на популярных языках, включая Java, Ruby, PHP. Как ясно из названия, сервис относится к Azure Fabric и выступает в роли посредника между приложением и провайдерами идентификаций (identity providers) — базой данных пользователей. ACS использует принцип идентификации на основе заявок (claims-based identity), каждая сущность в процессе идентификации играет одну или более канонических ролей: субъект (subject), провайдер идентификации (identity provider), доверяющая сторона (relying party) и провайдер федерации (federation provider).

Поддерживаются стандартные механизмы аутентификации (OpenID, OAuth WRAP, OAuth 2.0, WS-Trust и WS-Federation), интеграция с Windows Live ID, Active Directory, Google, Yahoo!, Facebook и так далее. Сам AppFabric Access Control (ASC) базируется на Windows Identity Foundation (WIF, расширение Microsoft .NET Framework) и представляет собой сервис, специально созданный для обеспечения безопасности облачных вычислений. Модель WIF отделяет приложение от деталей того, как происходит аутентификация, и от низкоуровневых деталей, предлагая удобную абстракцию, позволяющую просто указывать внешний механизм. Все установки можно выполнить с помощью специального мастера в Visual Studio, писать код не требуется. Для новичков будут интересны примеры, позволяющие разобраться, как интегрировать ACS с веб-сервисами.

Windows Azure AppFabric состоит из трех основных компонентов: Access Control (управление доступом), Bus Service (Сервис шины) и Cache (Кеш — Ассоциативная память).

 

Биометрическая аутентификация

Требования к сложности пароля с каждым днем ужесточаются, также растет количество сервисов, с которыми приходится работать пользователю. Все это удержать в голове затруднительно, да и сотрудники часто забывают пароли, нагружая саппорт. Поэтому нередко юзеры идут на упрощения, используя одну комбинацию на разных ресурсах. Достаточно взломать один пасс, и получаем доступ ко всему остальному. Выхода два — использовать биометрическую или аппаратную (смарт-карты) аутентификацию. Это как минимум удобно, ведь уже не нужно ничего запоминать. При биометрии все необходимое у пользователя всегда с собой: для идентификации используются уникальные характеристики человека, наиболее популярен из методов отпечаток пальца. Раньше поддержка средств биометрической аутентификации обеспечивалась специальными драйверами и ПО, поставляемыми производителями. Для программистов производители предлагали собственный SDK (известны как коммерческие, так и опенсорсные решения). Каждый реализовывал механизм как хотел, единого стандарта не было. Начиная с Windows 7, Microsoft предлагает свой вариант — специальный фреймворк Windows Biometric Framework (WBF, goo.gl/QzYZK).

Управляют процессом при помощи четырех объектов групповой политики, которые находятся в «Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Биометрия». Изменилась в Win2012/8 и поддержка смарт-карт: появились виртуальные смарт-карты, изменился порядок взаимодействия с пользователем и логика запуска/остановки службы.

За настройку биометрии отвечают четыре групповые политики

Механизмы управления доступом, применяющиеся в различных ОС, сегодня вряд ли можно назвать достаточными. Новшества, которые появились в Win2012, позволяют на порядок снизить риски и обеспечить максимальную безопасность данных. Дело осталось за малым — их внедрить.

Сергей Яремчук, [email protected]

xakep.ru

Установка сервера политики сети | Microsoft Docs

  • 10.04.2018
  • Время чтения: 4 мин

In this article

В этом разделе можно использовать для установки сервера политики сети (NPS), используя либо Windows PowerShell или мастера добавления ролей и компонентов.You can use this topic to install Network Policy Server (NPS) by using either Windows PowerShell or the Add Roles and Features Wizard. NPS — это служба роли в роли сервера служб политики сети и доступа.NPS is a role service of the Network Policy and Access Services server role.

Примечание

По умолчанию сервер политики сети прослушивает RADIUS-трафик на портах 1812, 1813, 1645 и 1646 для всех установленных сетевых адаптеров.By default, NPS listens for RADIUS traffic on ports 1812, 1813, 1645, and 1646 on all installed network adapters. Если при установке сервера политики сети, включен брандмауэр Windows в режиме повышенной безопасности, исключения брандмауэра для этих портов автоматически создаются во время установки для протокола IP версии 6 (IPv6) и IPv4-трафика.If Windows Firewall with Advanced Security is enabled when you install NPS, firewall exceptions for these ports are automatically created during the installation process for both Internet Protocol version 6 (IPv6) and IPv4 traffic. Если серверы доступа к сети настроены на отправку RADIUS-трафика через порты, отличные от значения по умолчанию, удалите исключения, созданные в брандмауэре Windows в режиме повышенной безопасности во время установки сервера политики сети и создать исключения для портов, используемых для RADIUS-трафика.If your network access servers are configured to send RADIUS traffic over ports other than these defaults, remove the exceptions created in Windows Firewall with Advanced Security during NPS installation, and create exceptions for the ports that you do use for RADIUS traffic.

Учетные данные администратораAdministrative Credentials

Для выполнения этой процедуры необходимо быть членом "Администраторы домена" группы.To complete this procedure, you must be a member of the Domain Admins group.

Установка сервера политики сети с помощью Windows PowerShellTo install NPS by using Windows PowerShell

Для выполнения этой процедуры с помощью Windows PowerShell, запустите Windows PowerShell от имени администратора, введите следующую команду и нажмите клавишу ВВОД.To perform this procedure by using Windows PowerShell, run Windows PowerShell as Administrator, type the following command, and then press ENTER.

Install-WindowsFeature NPAS -IncludeManagementTools

Установка сервера политики сети с помощью диспетчера сервераTo install NPS by using Server Manager

  1. На сервере NPS1 в диспетчере серверов щелкните управление, а затем нажмите кнопку Добавить роли и компоненты.On NPS1, in Server Manager, click Manage, and then click Add Roles and Features. Откроется мастер добавления ролей и компонентов.The Add Roles and Features Wizard opens.

  2. В перед началом, нажмите кнопку Далее.In Before You Begin, click Next.

    Примечание

    Перед началом страница мастера компонентов и добавить роли не отображается, если ранее вы выбрали пропустить эту страницу по умолчанию запуска добавления ролей и компонентов мастера.The Before You Begin page of the Add Roles and Features Wizard is not displayed if you have previously selected Skip this page by default when the Add Roles and Features Wizard was run.

  3. В Выбор типа установки, убедитесь, что Установка на основе ролей или компонентов установлен, а затем нажмите кнопку Далее.In Select Installation Type, ensure that Role-Based or feature-based installation is selected, and then click Next.

  4. В Выбор целевого сервера, убедитесь, что выберите сервер из пула серверов выбран.In Select destination server, ensure that Select a server from the server pool is selected. В пула серверов, убедитесь, что выбран локальный компьютер.In Server Pool, ensure that the local computer is selected. Нажмите кнопку Далее.Click Next.

  5. В Выбор ролей серверав ролейвыберите служб политики сети и доступа.In Select Server Roles, in Roles, select Network Policy and Access Services. Откроется диалоговое окно с запросом, если его следует добавить компоненты, необходимые для служб политики сети и доступа.A dialog box opens asking if it should add features that are required for Network Policy and Access Services. Нажмите кнопку добавить компоненты, а затем нажмите кнопку ДалееClick Add Features, and then click Next

  6. В выберите компоненты, нажмите кнопку Далееи в служб политики сети и доступа, проверьте сведения, которые предоставляются, а затем нажмите кнопку Далее.In Select features, click Next, and in Network Policy and Access Services, review the information that is provided, and then click Next.

  7. В Выбор служб ролей, нажмите кнопку сервера политики сети.In Select role services, click Network Policy Server. В добавить компоненты, необходимые для сервера политики сети, нажмите кнопку добавить компоненты.In Add features that are required for Network Policy Server, click Add Features. Нажмите кнопку Далее.Click Next.

  8. В подтверждение выбранных элементов для установки, нажмите кнопку автоматический перезапуск конечного сервера, если требуется.In Confirm installation selections, click Restart the destination server automatically if required. При появлении запроса на подтверждение этого выбора, нажмите кнопку Да, а затем нажмите кнопку установить.When you are prompted to confirm this selection, click Yes, and then click Install. На странице хода установки отображается состояние во время установки.The Installation progress page displays status during the installation process. После завершения процесса, сообщение «Установка прошла успешно на ComputerName» отображается, когда ComputerName — это имя компьютера, на котором установлен сервер политики сети.When the process completes, the message "Installation succeeded on ComputerName" is displayed, where ComputerName is the name of the computer upon which you installed Network Policy Server. Нажмите кнопку закрыть.Click Close.

Дополнительные сведения см. в разделе управление серверами NPS.For more information, see Manage NPS Servers.

docs.microsoft.com

Настройка защиты доступа к сети на сервере политики сети (NPS)

В данном разделе описывается процесс настройки политик защиты доступа к сети (NAP) на сервере сетевых политик (NPS) и процесс настройки NPS для взаимодействия с Шлюз Microsoft Forefront Threat Management. NPS является реализацией сервера службы удаленной проверки пользователей (RADIUS) и осуществляет проверку подлинности подключения, авторизацию, а также является службой учетных записей для многих типов сетевого доступа, включая беспроводные и VPN-подключения. NPS также выполняет функцию сервера оценки работоспособности для защиты доступа к сети (NAP). Дополнительные сведения см. в разделе «Защита доступа к сети» на веб-узле Microsoft TechNet.

Настройка NAP на NPS включает выполнение следующих задач.

  • Установите Forefront TMG в качестве RADIUS-клиента
  • Создайте средства проверки работоспособности системы
  • Создайте политики проверки работоспособности NAP
  • Создайте сетевые политики
  • Создайте политики запросов на подключение
  • Обратите внимание, что в этом разделе описано развертывание, при котором NPS и Forefront TMG установлены на отдельных компьютерах Windows Server 2008. Преимущество такого развертывания заключается в возможности использования NPS для оценки работоспособности клиентов отличным от VPN способом.
  • Если после установки NPS на компьютере Forefront TMG необходимо оценивать работоспособность клиентов, не являющихся VPN-клиентами, создайте правило доступа с Forefront TMG к NPS с указанием соответствующего порта.
  1. Чтобы установить роль управления NPS, нажмите кнопку Пуск, выберите команду Выполнить, введите CompMgmtLauncher и нажмите клавишу ВВОД. Откроется окно Диспетчер сервера.
  2. В разделе Сводные по ролям нажмите Добавить роли, а затем нажмите кнопку Далее.
  3. Установите флажок Политика сети и службы доступа и дважды нажмите кнопку Далее.
  4. Установите флажок Сервер сетевых политик, нажмите кнопку Далее, а затем нажмите кнопку Установить.
  5. Если установка завершена успешно, нажмите кнопку Закрыть.
  6. Закройте окно Диспетчер сервера.

Поскольку NPS и Forefront TMG установлены на отдельных компьютерах и Forefront TMG будет отправлять сообщения RADIUS на NPS для проверки подлинности и авторизации VPN-подключения, компьютер Forefront TMG должен быть настроен как клиент RADIUS на NPS.

Необходимые действия.

  • Чтобы открыть консоль управления NPS, на компьютере с установленным NPS нажмите кнопку Пуск, выберите команду Выполнить, введите nps.msc и нажмите клавишу ВВОД. Оставьте окно открытым для выполнения следующих задач настройки NPS.
  1. Выберите Клиенты и серверы RADIUS
  2. Выберите Клиенты RADIUS, щелкните правой кнопкой мыши и выберите Новый клиент RADIUS
  3. В диалоговом окне Новый клиент RADIUS в поле Понятное имя введите описание Forefront TMG. В поле Адрес (IP или DNS) введите IP-адрес Forefront TMG.
  4. В поле Общий секрет введите общий секрет, созданный в Настройка VPN-подключений удаленного доступа на использование карантина на основе защиты доступа к сети (NAP).
  5. В поле Подтвердите общий секрет снова введите общий секрет.
  6. Установите флажок Клиент RADIUS является NAP-совместимым. См. следующий пример.
  7. Нажмите кнопку OK.

Средства проверки работоспособности системы определяют требования конфигурации для компьютеров, подключающихся к сети. В этом разделе требованием средств проверки работоспособности системы Windows будет только наличие включенного брандмауэра Windows.

  1. Дважды щелкните Защита доступа к сети и нажмите Средства проверки работоспособности системы.
  2. В центральной области под строкой Имя дважды щелкните Средства проверки работоспособности системы Windows.
  3. В диалоговом окне Свойства средств проверки работоспособности системы Windows нажмите Настроить.
  4. Снимите все флажки, кроме Брандмауэр включен для всех сетевых подключений. См. следующий пример.
  5. Нажмите кнопку OK, чтобы закрыть диалоговое окно Средства проверки работоспособности системы Windows, затем нажмите кнопку OK, чтобы закрыть диалоговое окно Свойства средств проверки работоспособности системы Windows.

Политики проверки работоспособности определяют, какие средства проверки работоспособности системы используются при проверке конфигурации компьютеров, подключающихся к сети. На основе результатов проверки политики проверки работоспособности определяют состояние работоспособности клиента. Результаты определяют две политики проверки работоспособности в соответствии с состоянием работоспособности.

  1. Дважды щелкните элемент Политики.
  2. Щелкните правой кнопкой мыши узел Политики проверки работоспособности и выберите команду Создать.
  3. В диалоговом окне Создание новой политики проверки работоспособности в поле Имя политики введите «Compliant» (Соответствующий политике).
  4. В поле Проверки политики проверки работоспособности клиента выберите Клиент проходит все проверки работоспособности.
  5. В поле Средства проверки работоспособности, используемые в данной политике установите флажок Средства проверки работоспособности системы Windows, как показано в следующем примере.
  6. Нажмите кнопку OK.
  7. Щелкните правой кнопкой мыши узел Политики проверки работоспособности и выберите команду Создать.
  8. В диалоговом окне Создание новой политики проверки работоспособности в поле Имя политики введите «Noncompliant» (Не соответствующий политике).
  9. В поле Проверки политики проверки работоспособности клиента выберите Клиент не прошел одну или несколько проверок SHV.
  10. В поле Средства проверки работоспособности, используемые в данной политике установите флажок Средства проверки работоспособности системы Windows, как показано в следующем примере.
  11. Нажмите кнопку OK.

Сетевые политики содержат условия, настройки и ограничения для подключения к сети. Необходимо создать сетевую политику, применяемую к соответствующим требованиям компьютерам, и сетевую политику, применяемую к не соответствующим требованиям компьютерам. В ходе данной тестовой проверки соответствующие требованиям компьютеры будут иметь неограниченный доступ к сети. Клиенты, не соответствующие требованиям, будут добавлены в сеть VPN-клиентов Forefront TMG, помещенных в карантин. Такие клиенты получат доступ к серверам обновлений с исправлениями, настройками и приложениями, необходимыми для соответствия требованиям. Кроме того, клиентам может быть присвоен статус соответствующих требованиям и впоследствии предоставлен неограниченный доступ к сети.

Важно.
Forefront TMG не поддерживает IP-фильтры NPS; Forefront TMG игнорирует IP-фильтры, настроенные на NPS. Чтобы предоставить клиентам, не соответствующим требованиям, доступ к серверам обновлений, необходимо создать правило доступа на сервере Forefront TMG из сети VPN-клиентов, помещенных в карантин, к соответствующим серверам обновлений.

Настройка сетевой политики для компьютеров клиентов, соответствующих требованиям

Создайте сетевую политику для запросов сетевого доступа компьютеров, соответствующих требованиям.

  1. Дважды щелкните элемент Политики.
  2. Щелкните Сетевые политики.
  3. Отключите две политики по умолчанию в поле Имя политики. Для этого щелкните политики правой кнопкой мыши и нажмите Отключить.
  4. Щелкните правой кнопкой мыши Сетевые политики и выберите команду Создать.
  5. В окне Указание имени сетевой политики и типа подключения в поле Имя политики введите Полный доступ и нажмите кнопку Далее. См. следующий пример.
  6. В окне Укажите условия нажмите кнопку Добавить.
  7. В диалоговом окне Выбор условий дважды щелкните Политики проверки работоспособности.
  8. В диалоговом окне Политики проверки работоспособности в разделе Политики проверки работоспособности выберите Соответствующий политике компьютер и нажмите OK. См. следующий пример.
  9. В окне Укажите условия проверьте, указаны ли Политики проверки работоспособности в Условиях со значением Соответствующий политике компьютер, и нажмите Далее.
  10. Убедитесь, что в окне Указание прав доступа выбран вариант Доступ разрешен.
  11. Нажмите кнопку Далее три раза.
  12. В окне Настройка параметров нажмите Принудительная защита доступа к сети. Убедитесь, что выбрана функция Разрешить полный доступ к сети, и нажмите кнопку Далее. См. следующий пример.
  13. В окне Завершение создания сетевой политики нажмите кнопку Готово.

Настройка сетевой политики для компьютеров клиентов, не соответствующих требованиям

Создайте сетевую политику для запросов сетевого доступа компьютеров, не соответствующих требованиям.

  1. Щелкните правой кнопкой мыши Сетевые политики и выберите команду Создать.
  2. В окне Указание имени сетевой политики и типа подключения в поле Имя политики введите Ограниченный доступи нажмите кнопку Далее. См. следующий пример.
  3. В окне Укажите условия нажмите кнопку Добавить.
  4. В диалоговом окне Выбор условий дважды щелкните Политики проверки работоспособности.
  5. В диалоговом окне Политики проверки работоспособности в разделе Политики проверки работоспособности выберите Не соответствующий политике компьютер и нажмите OK. См. следующий пример.
  6. В окне Укажите условия проверьте, указаны ли Политики проверки работоспособности в Условиях со значением Не соответствующий политике компьютер, и нажмите Далее.
  7. Убедитесь, что в окне Указание прав доступа выбран вариант Доступ разрешен. Важно.
    Параметр Доступ разрешен не означает предоставление полного доступа к сети. Он означает, что политика должна продолжить проверку клиентов, соответствующих этим условиям.
  8. Нажмите кнопку Далее три раза.
  9. В окне Настройка параметров нажмите Принудительная защита доступа к сети. Выберите Разрешить ограниченный доступ, а затем выберите Включить автоматическое исправление компьютеров клиентов. См. следующий пример.
  10. В окне Настройка параметров нажмите Далее.
  11. В окне Завершение создания сетевой политики нажмите кнопку Готово.

Настройка сетевой политики для NAP-несовместимых клиентов (необязательно)

При наличии NAP-несовместимых клиентов рекомендуется создать сетевую политику для обработки запросов сетевого доступа этих клиентов. Эта политика позволяет NAP-несовместимым клиентам подключаться и перемещаться в сеть клиентов, помещенных в карантин. Дополнительные сведения о настройке конфигурации см. в разделе Настройка защиты доступа к сети на сервере политики сети (NPS).

  1. Щелкните правой кнопкой мыши Сетевые политики и выберите команду Создать.
  2. В окне Указание имени сетевой политики и типа подключения в поле Имя политики введите «Non-NAP capable» (NAP-несовместимые)и нажмите кнопку Далее.
  3. В окне Укажите условия нажмите кнопку Добавить.
  4. В диалоговом окне Выбор условий дважды щелкните NAP-совместимые компьютеры, выберите Только NAP-несовместимые компьютеры, а затем нажмите кнопку OK.
  5. Нажмите кнопку Далее для перехода к окну Указание прав доступа.
  6. Выберите переключатель Доступ разрешен и нажмите кнопку Далее.
  7. В окне Настройка методов проверки подлинности выберите необходимые методы проверки подлинности и нажмите кнопку Далее.
  8. В окне Настройка ограничений нажмите Далее.
  9. В окне Настройка параметров выберите Сведения от производителя и щелкните Добавить.
  10. В окне Добавить атрибут поставщика выберите Microsoft из раскрывающегося списка Поставщик.
  11. Выберите Время ожидания сеанса карантина MS, нажмите Добавить и в окне Сведения об атрибуте введите Значение атрибута 1200 и нажмите кнопку OK.
  12. Нажмите кнопку Закрыть, чтобы вернуться в окно Настройка параметров, а затем нажмите кнопку Далее.
  13. Проверьте настройки сетевой политики и нажмите кнопку Готово.

Политики запросов на подключение содержат условия и параметры для обработки запросов на подключение и управления проверкой. В этом сценарии используется единая политика запросов на подключение для проверки подлинности VPN-клиентов.

  1. Нажмите Политики запросов на подключение.
  2. Отключите политику запросов на подключение по умолчанию, указанную в поле Имя политики. Для этого щелкните политику правой кнопкой мыши и нажмите Отключить.
  3. Щелкните правой кнопкой мыши Политики запросов на подключение и выберите команду Создать.
  4. В окне Указание имени политики запросов на подключение и типа подключения в поле Имя политики введите VPN-подключения.
  5. В поле Тип сервера сетевого доступа выберите Сервер удаленного доступа (VPN и удаленный доступ) и нажмите кнопку Далее. См. следующий пример.
  6. В окне Укажите условия нажмите кнопку Добавить.
  7. Дважды щелкните IPv4-адрес клиента и введите внутренний IP-адрес Forefront TMG в диалоговом окне IPv4-адрес клиента. См. следующий пример.
  8. Нажмите кнопку OK, чтобы закрыть диалоговое окно IPv4-адрес клиента, и нажмите кнопку Далее.
  9. В окне Укажите перенаправление запроса на подключение выберите Проверять подлинность запросов на этом сервере и нажмите кнопку Далее.
  10. В окне Выбор методов проверки подлинности выберите Переопределить параметры проверки подлинности на уровне сети.
  11. В разделе Типы EAP нажмите кнопку Добавить. В диалоговом окне Добавление EAP в разделе Методы проверки подлинности щелкните Microsoft: защищенный EAP (PEAP) и нажмите кнопку OK.
  12. В разделе Типы EAP нажмите кнопку Добавить. В диалоговом окне Добавление EAP в разделе Методы проверки подлинности нажмите Microsoft: Защищенный пароль (EAP-MSCHAP v2), затем нажмите кнопку OK. См. следующий пример.
  13. В разделе Типы EAP щелкните Microsoft: Защищенный EAP (PEAP) и нажмите кнопку Изменить.
  14. Выберите соответствующий сертификат сервера. Сертификат сервера обычно устанавливается автоматически при присоединении к домену.
  15. Выберите Включить проверки в карантине и нажмите кнопку OK.
  16. Добавьте необходимые методы проверки подлинности: Смарт-карта или иной сертификат и Защищенный пароль (EAP-MSCHAP v2).
  17. При настройке сетевой политики для NAP-несовместимых клиентов выберите соответствующий протокол проверки подлинности, используемый для таких клиентов (например Шифрованная проверка подлинности (Microsoft, версия 2, MS-CHAP, версия 2).
  18. Нажмите кнопку Далее два раза, а затем нажмите кнопку Готово.

certsrv.ru

Настройка сетевых политик сервера политики сети

Эта документация перемещена в архив и не поддерживается.

Опубликовано: Ноябрь 2009 г.

Обновлено: Февраль 2010 г.

Назначение: Forefront Threat Management Gateway (TMG)

Сетевые политики содержат условия, параметры и ограничения для подключения к сети. Необходимо создать сетевую политику, применяемую к компьютерам, соответствующим требованиям к работоспособности, и сетевую политику, применяемую к компьютерам, не соответствующим требованиям к работоспособности. В данном разделе клиентские компьютеры, соответствующие требованиям к работоспособности, будут иметь неограниченный доступ к сети. Клиенты, не соответствующие требованиям к работоспособности, будут добавлены в сеть VPN-клиентов Forefront TMG, помещенных в карантин. Такие клиенты получат доступ к серверам обновлений с исправлениями, параметрам и приложениями, необходимыми для соответствия требованиям к работоспособности. Кроме того, клиенты могут обновляться до состояния соответствия требованиям к работоспособности и впоследствии им может предоставляться неограниченный доступ к сети.

Важно.
Forefront TMG не поддерживает IP-фильтры, настроенные на сервере политики сети. Чтобы предоставить клиентам, не соответствующим требованиям к работоспособности, доступ к серверам обновлений, необходимо создать правило доступа на сервере Forefront TMG из сети VPN-клиентов, помещенных в карантин, к соответствующим серверам обновлений.

Создайте сетевую политику для запросов сетевого доступа компьютеров, соответствующих требованиям.

Чтобы настроить сетевую политику для компьютеров клиентов, соответствующих требованиям, выполните следующие действия:
  1. Чтобы открыть консоль управления сервера политики сети, на компьютере с установленным сервером политики сети нажмите кнопку Пуск, выберите команду Выполнить, введите nps.msc и нажмите клавишу ВВОД. Оставьте окно открытым для выполнения следующих задач настройки NPS.

  2. В дереве дважды щелкните Политики.

  3. Щелкните Сетевые политики.

  4. В области Имя политики щелкните правой кнопкой мыши две политики по умолчанию и выберите команду Отключить.

  5. Щелкните правой кнопкой мыши Сетевые политики и выберите команду Создать.

  6. В окне Укажите имя сетевой политики и тип подключения в поле Имя политики введите Полный доступ и нажмите кнопку Далее.

  7. В окне Укажите условия нажмите кнопку Добавить.

  8. В диалоговом окне Выбор условий дважды щелкните элемент Политики проверки работоспособности.

  9. В диалоговом окне Политики проверки работоспособности в разделе Политики проверки работоспособности выберите Соответствующий политике компьютер и нажмите кнопку ОК.

  10. В окне Укажите условия проверьте, указаны ли Политики проверки работоспособности в поле Условия со значением Соответствует, и нажмите кнопку Далее.

  11. Убедитесь, что в окне Укажите права доступа выбран вариант Доступ разрешен, после чего три раза нажмите кнопку Далее.

  12. В окне Настройка параметров выберите Принудительная защита доступа к сети. Убедитесь, что выбран параметр Разрешить полный доступ к сети, и нажмите кнопку Далее.

  13. В окне Завершение создания сетевой политики нажмите кнопку Готово.

Создайте сетевую политику для запросов сетевого доступа компьютеров, не соответствующих требованиям.

Чтобы настроить сетевую политику для компьютеров клиентов, не соответствующих требованиям, выполните следующие действия:
  1. В консоли диспетчера управления сервера политики сети щелкните правой кнопкой мыши элемент Сетевые политики и выберите команду Создать.

  2. В окне Указание имени сетевой политики и типа подключения в поле Имя политики введите Ограниченный доступи нажмите кнопку Далее.

  3. В окне Укажите условия нажмите кнопку Добавить.

  4. В диалоговом окне Выбор условий дважды щелкните Политики проверки работоспособности.

  5. В диалоговом окне Политики проверки работоспособности в разделе Политики проверки работоспособности выберите Не соответствует и нажмите кнопку ОК.

  6. В окне Укажите условия проверьте, указаны ли Политики проверки работоспособности в поле Условия со значением Не соответствует, и нажмите кнопку Далее.

  7. Убедитесь, что в окне Укажите права доступа выбран вариант Доступ разрешен.

    Важно.
    Параметр Доступ разрешен не означает, что клиентам, не соответствующим требованиям, предоставлен полный доступ к сети. Он означает, что политика должна продолжать проверку клиентов, соответствующих этим условиям.
  8. Нажмите кнопку Далее три раза.

  9. В окне Настройка параметров выберите Принудительная защита доступа к сети. Выберите Разрешить ограниченный доступ, а затем выберите Включить автоматическое исправление компьютеров клиентов.

  10. В окне Настройка параметров нажмите кнопку Далее, а затем в окне Завершение создания сетевой политики нажмите кнопку Готово.

При наличии клиентов, не поддерживающих NAP, рекомендуется создать сетевую политику для обработки запросов сетевого доступа этих клиентов. Эта политика позволяет клиентам, не поддерживающим NAP, подключаться и перемещаться в сеть клиентов, помещенных в карантин. Дополнительные сведения о настройке конфигурации см. в разделе Настройка управления карантином на основе RQS/RQC.

Чтобы настроить сетевую политику для компьютеров клиентов, не соответствующих требованиям, выполните следующие действия:
  1. В консоли диспетчера управления сервера политики сети щелкните правой кнопкой мыши элемент Сетевые политики и выберите команду Создать.

  2. В окне Указание имени сетевой политики и типа подключения в поле Имя политики введите Не поддерживает NAPи нажмите кнопку Далее.

  3. В окне Укажите условия нажмите кнопку Добавить.

  4. В диалоговом окне Выбор условий дважды щелкните Компьютеры с поддержкой NAP, выберите Только компьютеры, не поддерживающие NAP, нажмите кнопку ОК, а затем кнопку Далее.

  5. На странице Укажите права доступа нажмите кнопку Доступ разрешен, а затем нажмите кнопку Далее.

  6. На странице Настройка методов проверки подлинности выберите необходимые методы проверки подлинности и нажмите кнопку Далее.

  7. На странице Настройка ограничений нажмите кнопку Далее.

  8. На странице Настройка параметров выберите Сведения от производителя и нажмите кнопку Добавить.

  9. В окне Добавить атрибут поставщика выберите Microsoft из раскрывающегося списка Поставщик.

  10. Выберите Тайм-аут-сеанса-карантина-MS, нажмите кнопку Добавить и в окне Сведения об атрибуте в поле Значение атрибута введите 1200и нажмите кнопку ОК.

  11. Нажмите кнопку Закрыть,, а затем на странице Настройка параметров нажмите кнопку Далее.

  12. Проверьте настройки сетевой политики и нажмите кнопку Готово.

 

technet.microsoft.com

Политики сети | Microsoft Docs

  • 10.04.2018
  • Время чтения: 6 мин

In this article

Область применения: Windows Server (канал точками годовой), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Обзор политик сети на сервере политики сети можно использовать в этом разделе.You can use this topic for an overview of network policies in NPS.

Примечание

Дополнение к данному разделу доступна следующая документация политики сети.In addition to this topic, the following network policy documentation is available.

Политики сети представляют собой наборы условий, ограничений и параметров, которые позволяют указать, кто может подключиться к сети и обстоятельства, при которых они могут или не удается подключиться.Network policies are sets of conditions, constraints, and settings that allow you to designate who is authorized to connect to the network and the circumstances under which they can or cannot connect.

При обработке запросов на подключение в качестве сервера службы проверки подлинности удаленного пользователя (RADIUS), сервер политики сети выполняет проверку подлинности и авторизацию запроса на подключение.When processing connection requests as a Remote Authentication Dial-In User Service (RADIUS) server, NPS performs both authentication and authorization for the connection request. Во время процесса проверки подлинности NPS проверяет удостоверение пользователя или компьютера, который подключается к сети.During the authentication process, NPS verifies the identity of the user or computer that is connecting to the network. Во время процесс авторизации NPS определяет, разрешено ли пользователю или компьютеру доступ к сети.During the authorization process, NPS determines whether the user or computer is allowed to access the network.

Чтобы эти решения, сервер политики сети использует сетевые политики, настроенными в консоли сервера политики сети.To make these determinations, NPS uses network policies that are configured in the NPS console. Сервер политики сети также проверяет свойств удаленного доступа учетной записи пользователя в Active Directory® (AD DS) службы домена для выполнения авторизации.NPS also examines the dial-in properties of the user account in Active Directory® Domain Services (AD DS) to perform authorization.

Политики сети — это упорядоченный набор правилNetwork Policies - An Ordered Set of Rules

Политики сети можно рассматривать как правила.Network policies can be viewed as rules. Каждое правило содержит набор условий и параметров.Each rule has a set of conditions and settings. Сервер политики сети сравнивает условия правила для свойств запросов на подключение.NPS compares the conditions of the rule to the properties of connection requests. В случае совпадения правила и запроса на подключение, параметрам, заданным в правиле применяются к подключению.If a match occurs between the rule and the connection request, the settings defined in the rule are applied to the connection.

Если несколько политик сети настроены на сервере политики сети, они являются упорядоченный набор правил.When multiple network policies are configured in NPS, they are an ordered set of rules. Сервер политики сети проверяет каждый запрос на подключение от первого правила из списка, а затем второй и т. д., пока не будет найдено совпадение.NPS checks each connection request against the first rule in the list, then the second, and so on, until a match is found.

Каждая политика сети имеет состояние политики параметра, который позволяет включить или отключить политику.Each network policy has a Policy State setting that allows you to enable or disable the policy. При отключении политики сети, сервер политики сети оценивает эту политику, при авторизации запросов на подключение.When you disable a network policy, NPS does not evaluate the policy when authorizing connection requests.

Примечание

Если требуется, чтобы сервер политики сети, чтобы оценить политики сети при выполнении авторизации запросов на подключение, необходимо настроить состояние политики флажок Включить параметр, выбрав политику.If you want NPS to evaluate a network policy when performing authorization for connection requests, you must configure the Policy State setting by selecting the Policy enabled check box.

Свойства политики сетиNetwork policy properties

Существует четыре категории свойств для каждой политики сети.There are four categories of properties for each network policy:

ОбзорOverview

Эти свойства позволяют указать, включена ли политика, ли политика предоставляет или запрещает доступ, и является ли способ конкретного сетевого подключения или тип сервера доступа к сети (NAS), необходимое для запросов на подключение.These properties allow you to specify whether the policy is enabled, whether the policy grants or denies access, and whether a specific network connection method, or type of network access server (NAS), is required for connection requests. Обзор свойства также можно указать игнорируются ли свойств удаленного доступа учетных записей пользователей в Доменных службах Active Directory.Overview properties also allow you to specify whether the dial-in properties of user accounts in AD DS are ignored. Если этот флажок установлен, только параметры в политике сети используются сервером политики сети для определения авторизации подключения.If you select this option, only the settings in the network policy are used by NPS to determine whether the connection is authorized.

УсловияConditions

Эти свойства позволяют указать условия, которые запрос на подключение необходимо для соответствия политике сети; Если запрос на подключение соответствует условиям, настроенного в политике, сервер политики сети применяется параметров, указанных в политике сети для подключения.These properties allow you to specify the conditions that the connection request must have in order to match the network policy; if the conditions configured in the policy match the connection request, NPS applies the settings designated in the network policy to the connection. Например если указать NAS IPv4-адрес в качестве условия политики сети и сервера политики сети получает запрос на подключение от NAS с указанным IP-адресом, условие в политике соответствует запрос на подключение.For example, if you specify the NAS IPv4 address as a condition of the network policy and NPS receives a connection request from a NAS that has the specified IP address, the condition in the policy matches the connection request.

ОграниченияConstraints

Ограничения являются дополнительными параметрами политики сети, требуемое для соответствия запроса на подключение.Constraints are additional parameters of the network policy that are required to match the connection request. Если ограничение не соответствует запрос на подключение, сервер политики сети автоматически отклоняет запрос.If a constraint is not matched by the connection request, NPS automatically rejects the request. В отличие от NPS ответ на несопоставленный условий политики сети если ограничения не соответствует, сервер политики сети отклоняет запрос на подключение без оценки дополнительных сетевых политик.Unlike the NPS response to unmatched conditions in the network policy, if a constraint is not matched, NPS denies the connection request without evaluating additional network policies.

ПараметрыSettings

Эти свойства позволяют задавать параметры, сервер политики сети применяется запрос на подключение, если все условия политики сети для политики соответствуют.These properties allow you to specify the settings that NPS applies to the connection request if all of the network policy conditions for the policy are matched.

При добавлении новой сетевой политики с помощью консоли сервера политики сети, необходимо использовать мастер создания политики сети.When you add a new network policy by using the NPS console, you must use the New Network Policy Wizard. После создания политики сети с помощью мастера можно настроить политики, дважды щелкнув файл политики в консоли сервера политики сети для получения свойств политики.After you have created a network policy by using the wizard, you can customize the policy by double-clicking the policy in the NPS console to obtain the policy properties.

Примеры синтаксис соответствия шаблону, чтобы указать сетевые атрибутов политики, см. в разделе использование регулярных выражений в NPS.For examples of pattern-matching syntax to specify network policy attributes, see Use Regular Expressions in NPS.

Дополнительные сведения о сервере политики сети см. в разделе сервера политики сети (NPS).For more information about NPS, see Network Policy Server (NPS).

docs.microsoft.com

Установка роли сервера сетевых политик

Эта документация перемещена в архив и не поддерживается.

Опубликовано: Ноябрь 2009 г.

Обновлено: Февраль 2010 г.

Назначение: Forefront Threat Management Gateway (TMG)

Сервер политики сети является реализацией, выполненной корпорацией Майкрософт, RADIUS-сервера и прокси в Windows Server 2008. Сервер политики сети заменяет службу проверку подлинности в Интернете в Windows Server 2003.

В качестве RADIUS-сервера сервер политики сети осуществляет централизованную проверку подлинности подключения, авторизацию, а также является службой учетных записей для многих типов сетевого доступа, включая беспроводные и VPN-подключения. В качестве RADIUS-прокси сервер политики сети направляет сообщения проверки подлинности и учетные сообщения другим RADIUS-серверам. Сервер политики сети также выполняет функцию сервера оценки работоспособности для защиты доступа к сети (NAP).

Сервер политики сети является службой роли сервера политики сети и служб доступа (NPAS). Другими службами ролей сервера NPAS являются служба маршрутизации и удаленного доступа, сервер авторизации работоспособности и протокол HCAP (Host Credential Authorization Protocol), авторизации учетных данных узла.

После установки сервера политики сети его администрирование можно выполнять следующим образом.

  • Локально с помощью оснастки "Консоль управления MMC", статической консоли сервера политики сети в средствах администрирования или с помощью команд сетевой оболочки (Netsh) для сервера политики сети
  • С удаленного сервера политики сети с помощью оснастки "Консоль управления MMC", команд сетевой оболочки для сервера политики сети или подключения к удаленному рабочему столу
  • С удаленной рабочей станции с помощью подключения к удаленному рабочему столу

В следующей процедуре представлены инструкции по установки роли сервера сетевых политик.

Чтобы установить роль сервера сетевых политик, выполните следующие действия:
  1. Нажмите кнопку Пуск, выберите пункт Выполнить и введите CompMgmtLauncher, после чего нажмите клавишу ВВОД.

  2. В окне Диспетчер сервера в разделе Сводка по ролям выберите Добавить роли и нажмите кнопку Далее.

  3. Установите флажок Политика сети и службы доступа и дважды нажмите кнопку Далее.

  4. Установите флажок Сервер сетевых политик, нажмите кнопку Далее, а затем нажмите кнопку Установить.

  5. Если установка завершена успешно, нажмите кнопку Закрыть.

  6. В окне Диспетчер сервера нажмите кнопку Закрыть.

 

technet.microsoft.com

Как установить службу маршрутизации и удаленного доступа в Windows Server 2008 R2

Как установить службу маршрутизации и удаленного доступа в Windows Server 2008 R2-01

Всем привет сегодня хочу рассказать как установить службу маршрутизации и удаленного доступа в Windows Server 2008 R2.

Служба маршрутизации и удаленного доступа (RRAS) в операционных системах Windows Server 2008 R2 и Windows Server 2008 поддерживает связь удаленных пользователей или сайтов с использованием VPN-подключений или подключений удаленного доступа. Служба маршрутизации и удаленного доступа включает в себя следующие компоненты:

  • Удаленный доступ. С помощью службы маршрутизации и удаленного доступа можно развертывать подключения виртуальной частной сети (VPN) и обеспечивать удаленный доступ конечных пользователей к сети организации. Кроме того, можно создать VPN-подключение типа "сеть-сеть" между двумя серверами, находящимися в разных местах.
  • Маршрутизация. Служба маршрутизации и удаленного доступа представляет собой программный маршрутизатор на базе открытой платформы и обеспечивает маршрутизацию и сетевые подключения. Служба предоставляет организациям возможности маршрутизации в средах локальных и глобальных сетей, а также в среде Интернета с использованием защищенных VPN-подключений. Маршрутизация используется в службах многопротокольной маршрутизации пакетов между локальными сетями, между локальными и глобальными сетями, а также в случае использования виртуальных частных сетей (VPN) и преобразования сетевых адресов (NAT).

Открываем диспетчер сервера и жмем справа сверху Добавить роли.

Как установить службу маршрутизации и удаленного доступа в Windows Server 2008 R2-02

выбираем роль Службы политики сети и доступа

Как установить службу маршрутизации и удаленного доступа в Windows Server 2008 R2-03

в следующем окне мастера жмем далее.

Как установить службу маршрутизации и удаленного доступа в Windows Server 2008 R2-04

Так как мне нужно только натирование, то я ставлю галку только на Службы маршрутизации и удаленного доступа, две галки Служба удаленного доступа и Маршрутизация проставятся автоматически.

Как установить службу маршрутизации и удаленного доступа в Windows Server 2008 R2-05

Установить.

Как установить службу маршрутизации и удаленного доступа в Windows Server 2008 R2-06

После установки RRAS службы маршрутизации и удаленного доступа жмем закрыть.

Как установить службу маршрутизации и удаленного доступа в Windows Server 2008 R2-07

ввот так вот просто установить RRAS. В следующей статье мы рассмотрим как настроить NAT между двумя сетями с помощью службы маршрутизации и удаленного доступа в Windows Server 2008 R2.

Материал сайта pyatilistnik.org

pyatilistnik.org