У наш час користувачі вже давно перестали отримувати доступ до корпоративних даних виключно зі своїх офісів. Світ змінюється, світ стає мобільнішим. Багато під час лікарняних, замість того, щоб не заражати своїх співробітників, вважають за краще працювати з корпоративними даними прямо з дому. Під час відряджень також у людей все частіше і частіше бувають ситуації, коли вкрай важливо підключитися до внутрішньої мережі. І, природно, бувають такі ситуації, коли звичайного підключення до мережі Інтернет, будь то дротове підключення або wi-fi, просто недостатньо. Звичайно, вже давно з'явилися різні сервіси, до яких можна віднести той же OWA, істотно полегшують життя, але, тим не менше, щоб користувачі могли підключатися до внутрішніх серверів, обмінюватися документами, синхронізувати файли, а також виконувати безліч інших завдань, часто доводиться налаштовувати віддалений доступ.
Найчастіше прийнято використовувати такі типи підключення, як комутовані підключення, VPN і DirectAccess, який з'явився не так давно, але в великих компаніях стає все більш і більш популярним. Але оскільки вам як адміністратор повинен не тільки налаштувати сам сервер віддаленого підключення (тобто підняти роль Remote Access), а ще й централізовано налаштувати підключення для користувачів, у яких можуть виникнути з цією процедурою складності, тут не обійтися без функціональних можливостей групової політики.
Отже, дана стаття буде розбита на дві частини: опис налаштування VPN-сервера, а також використання функціональних можливостей елемента переваги групової політики «Мережеві параметри». Починати ми будемо по порядку, тобто з
Налаштування VPN-сервера
Перш ніж налаштовувати свій VPN-сервер, не кажучи вже про поширення налаштувань підключення засобами GPO, слід згадати про те, що ж взагалі являють собою віртуальні приватні мережі. Відповідно до одного з найпростіших визначень, віртуальна приватна мережа, вона ж Virtual Private Network, простіше кажучи - VPN, представляє собою підключення типу «точка-точка» в приватній або загальнодоступній мережі, скажімо, в Інтернеті. Для реалізації захищеного каналу обміну даними між двома комп'ютерами в процесі самої передачі VPN-клієнти використовують спеціальні TCP / IP-протоколи, які також прийнято називати тунельними протоколами. Якщо говорити коротко, то при базовій реалізації цієї технології VPN-клієнт ініціює віртуальне підключення типу «точка-точка» до встановленого всередині самої компанії сервера віддаленого доступу через Інтернет. Сервер віддаленого доступу, в свою чергу, відповідає на такий виклик, виконує перевірку справжності зухвалої сторони і потім вже передає дані між VPN-клієнтом і комп'ютерами корпоративної мережі. Між іншим, можна виділити три різних форми перевірки автентичності, а саме: перевірка справжності на рівні користувача по протоколу PPP, перевірка справжності на рівні комп'ютера по протоколу IKE, а також перевірка справжності джерела даних і забезпечення цілісності даних (працює з протоколами L2TP / IPSec і IKE версії 2). Ще під час проектування своїх віртуальних приватних мереж обов'язково переконайтеся в тому, що облікові записи всіх користувачів налаштовані на віддалений доступ. Для подальшого підключення до мережі користувачі повинні володіти обліковими записами на сервері віддаленого доступу до VPN або, що пріоритетне, в доменних службах Active Directory.
Не буду надто заглиблюватися в теорію, так як на деяких моментах ми ще зупинимося, а на інші нюанси однієї статті буде мало, але на даному етапі тільки зазначу ще такий момент: для роботи настроюється сервера віддаленого доступу отконфігуріруйте VPN-сервер хоча б з двома мережевими адаптерами. Підключіть один мережевий адаптер до суспільного Інтернету, так як цей інтерфейс буде приймати вхідні VPN-підключення і йому слід призначити статичний IP-адресу. А другий мережевий адаптер вам потрібно підключити до локальної мережі, так як такий інтерфейс буде пересилати трафік між VPN і мережевими ресурсами.
Будемо переходити до практики. Для того щоб налаштувати VPN-сервер на комп'ютері зі встановленою операційною системою Windows Server 2012 R2, вам потрібно буде виконати наступні дії:
- У диспетчері серверів перейдіть за посиланням «Управління» (Manage), а потім виберіть команду «Додати ролі та функції» (Add roles and features), що дозволяє відкрити відомий багатьом майстер додавання ролей і компонентів. На першій сторінці майстра, як правило, слід прочитати про призначення цього майстра, а потім натиснути на кнопку «Далі» (Next). Після цього на сторінках «Вибір типу установки» і «Вибір цільового сервера» (Installation Type і Server Selection) виберіть опцію «Установка ролей і компонентів» (Role-based or feature-based installation) і, відповідно, сервер, на якому буде встановлюватися необхідна серверна роль. Після цього на сторінці «Вибір ролей сервера» (Server Roles) слід встановити прапорець на серверної ролі «Віддалений доступ» (Remote Access), а потім натиснути на кнопку «Далі» (Next);
- На цьому етапі в діалоговому вікні того ж майстра на сторінці «Вибір компонентів» (Add Features) можна залишити прапорці, встановлені майстром, в залежності від обраної вами серверної ролі за замовчуванням і переміщатися на наступну сторінку майстра. На сторінці «Віддалений доступ» (Remote Access) вам буде надана ознайомча інформація про встановлюється ролі. Відразу ж можна сміливо натискати на кнопку «Далі» (Next). На сторінці «Вибір служб ролей» (Role Services) ви можете вибрати необхідну серверну роль. Майстер дозволяє вибрати наступні ролі:
- DirectAccess і VPN (RAS) (DirectAccess & VPN (RAS)). Ця служба ролі дозволяє розгортати служби віддаленого доступу, а також DirectAccess. За замовчуванням вибирається саме ця служба, та й вона в цьому випадку нам і потрібна;
- Маршрутизація (Routing). Як зрозуміло з назви, поточна служба дозволяє управляти можливостями маршрутизації, тобто NAT, роботою з протоколами BGP, RIP і т.д .;
- Проксі-сервер веб-додатків (Web Application Proxy). Служба, що дозволяє публікувати веб-додатки з вашої корпоративної мережі для клієнтських пристроїв, розміщених за вашої демілітаризованою зоною.
Мал. 1. Сторінка вибору служб ролей майстра установки ролей і компонентів
Тут, як я вже вказав, потрібно вибрати саме DirectAccess & VPN (RAS) і в діалоговому вікні, що погодитися з усіма встановленими паралельно компонентами. Для повноцінної роботи цієї служби ролі вам знадобиться ще встановити веб-сервер, компоненти внутрішньої бази даних Windows, консоль управління груповими політиками, а також такий засіб, як CMAK, про який більш детально ви прочитаєте в одній з наступних статей. На всіх інших сторінках майстра вам потрібно буде погодитися з параметрами, вибраними за замовчуванням, а вже будучи на сторінці «Підтвердження» (Confirmation), натиснути на кнопку «Встановити» (Install). Після того як завершиться процес інсталяції, можна сміливо закривати діалогове вікно і переходити до процесу налаштування VPN-сервера;
- Найпростіший метод відкриття необхідної оснастки - пошук оной в диспетчері серверів. Для цього слід натиснути на «Засоби» (Tools), а потім із запропонованого списку вибрати опцію «Маршрутизація та віддалений доступ» (Routing and Remote Access). Після цього, в лівій частині отобразившейся консолі клацніть правою кнопкою миші на назві вашого сервера, а потім з контекстного меню виберіть команду «Налаштувати і включити маршрутизацію і віддалений доступ» (Configure and Enable Routing and Remote Access), як показано на наступній ілюстрації:
Мал. 2. Початок настройки сервера віддаленого доступу
- На сторінці привітання майстра установки сервера маршрутизації та віддаленого доступу, тобто майстра «Майстер налаштування сервера маршрутизації і віддаленого доступу» (Routing And Remote Access Server Setup Wizard) клацніть на кнопку «Далі» (Next);
- Після виконання попереднього кроку, перебуваючи на сторінці «Конфігурація» (Configuration) справжнього майстра, виберіть опцію «Віддалений доступ (VPN або модем)» (Remote access (dial-up or VPN)) і клацніть кнопку «Далі» (Next), як показано нижче:
Мал. 3. Налаштування необхідної конфігурації сервера віддаленого доступу
- На сторінці «Віддалений доступ» (Remote Access) встановіть прапорець на опції «Доступ до віртуальної приватної мережі (VPN)» (VPN), а потім натисніть на кнопку «Далі» (Next);
- В якості наступного дії на сторінці «З'єднання по VPN» (VPN Connection) виберіть мережевий адаптер, який підключає сервер до мережі Інтернет, а потім знову натисніть на кнопку Next;
Мал. 4. Вибір мережевого адаптера для підключення до Інтернету
- На сторінці «Призначення IP-адрес» (IP Address Assignment) виберіть опцію «Автоматично» (Automatically), якщо в мережі вже є DHCP-сервер. Якщо ж ви хочете, щоб сервер віддаленого доступу розподіляв IP-адреси в діапазоні, ще не призначеного DHCP-сервера, виберіть опцію «З заданого діапазону адрес» (From A Specified Range Of Addresses). Після вказівки поточних налаштувань, натисніть на кнопку «Далі» (Next):
Мал. 5. Налаштування призначення IP-адрес
- Якщо ви вибрали другу опцію, відкриється сторінка «Призначення діапазонів IP-адрес» (Address Range Assignment). Тут натисніть на кнопку «Створити» (New), введіть діапазон IP-адрес і клацніть «ОК». Додайте необхідні діапазони адрес;
- На сторінці «Керування кількома серверами віддаленого доступу» (Managing Multiple Remote Access Servers) слід вибрати метод перевірки автентичності користувачів віддаленого доступу. Якщо ви використовуєте окремий RADIUS-сервер, виберіть опцію «Так, налаштувати даний сервер для роботи з RADIUS-сервером» (Yes, Set Up This Server To Work With A RADIUS Server ). Якщо ж для перевірки справжності ви плануєте використовувати службу маршрутизації і віддаленого доступу, зокрема для перевірки автентичності в домені Active Directory, виберіть опцію «Ні, використовувати службу маршрутизації і віддаленого доступу для перевірки справжності запитів на підключення» (No, Use Routing And Remote Access To Authenticate Connection Requests). Після цього, знову ж таки, натисніть на кнопку «Далі» (Next);
Мал. 6. Налаштування методу перевірки автентичності
- Тепер уже можна сміливо натискати на кнопку «Готово» (Finish), а після відкриття вікна підтвердження клацати «ОК».
Установка і початкова настройка сервера віддаленого доступу завершена. Тепер залишилося надати користувачам необхідні дозволи, а також створити саме VPN-підключення. Було б розумно реалізувати VPN-підключення за допомогою сервера мережевих політик, але так як це досить трудомісткий процес, в даній статті буде розглянуто більш простий спосіб (використання NPS та NAP будуть розглядатися в інших статтях). Для того щоб скористатися обхідним шляхом, вам потрібно буде зробити наступне:
- В оснащенні «Користувачі та комп'ютери Active Directory» (Active Directory Users and Computers) перейти до діалогового вікна властивостей користувачів, які будуть підключатися до VPN, і на вкладці «Вхідні дзвінки» (Dial-In) в самій верхній групі встановити перемикач на опцію « дозволити доступ »(Allow Access), як показано на наступному зображенні:
Мал. 7. Вкладка «Вхідні дзвінки»
- Створіть VPN-підключення. Для цього перейдіть в центр управління мережами і загальним доступом, а потім створіть підключення до робочого місця за допомогою відповідного майстра.
Перевіримо, чи вийде створити підключення і виконати саме підключення.
Мал. 8. Перевірка VPN-підключення
Вузол переваг групової політики «Мережеві параметри»
З установкою, налаштуванням серверної ролі, зі створенням підключення і підключенням до внутрішньої мережі компанії ми з вами вже встигли розібратися. Зараз же ми спробуємо автоматизувати процес підключення користувачів до робочого місця засобами функціональних можливостей групової політики, а якщо говорити трохи точніше, то засобами певного елемента переваг - елемента «Мережеві параметри». Цей елемент переваг, за великим рахунком, призначений для того, щоб можна було спростити користувачам життя при налаштуванні підключення віртуальної приватної мережі або підключення віддаленого доступу. Як і в випадку практично з кожним з елементів переваг, за даний елемент несе відповідальність динамічна бібліотека gpprefcl.dll і ідентифікатор GUID {3A0DBA37-F8B2-4356-83DE-3E90BD5C261F}.
Далі, з огляду на те, що в попередньому розділі даної статті розглядалася настройка VPN-підключення, в цьому розділі я покажу, як можна налаштувати це ж підключення, але при використанні даного елемента переваги. Отже, для виконання поставленого завдання спробуємо виконати наступні дії:
- З оснащення «Управління груповою політикою» (Group Policy Management) створіть об'єкт групової політики, наприклад, «Group Policy Preferences - 19», зв'яжіть його з підрозділом і відкрийте редактор GPME;
- У відобразивши оснащенні перейдіть до вузла Конфігурація компьютераНастройкаПараметри панелі управленіяСетевие параметри (Computer ConfigurationPreferencesControl Panel SettingsNetwork Options), де при створенні нового елемента переваг виберіть команду «VPN-підключення» (VPN Connection), як показано на наступному зображенні:
Мал. 9. Створення нового елемента переваг
- У діалоговому вікні, що нових властивостей VPN відразу ж можна виявити кілька, а точніше, цілих 5 вкладок, з яких раніше в моїх статтях розглядалася лише остання. Розберемося по черзі з кожної вкладкою. На найпершій вкладці - «Підключення віртуальної приватної мережі (VPN)» (VPN Connection) - вам надається можливість визначення основних параметрів, призначених для установки з'єднання. Із списку «Дія» (Action) ви можете, як і у випадку з більшістю елементів переваг, вибрати потрібну дію. В даному випадку, так як створюється таке підключення, слід вибрати дію «Створити» (Create). Опції близько перемикача «Підключення користувача» і «Підключення всіх користувачів» (User connection і All users connection) дозволяють створювати таке підключення або для конкретного користувача, або для всіх користувачів, які виконують вхід на цільовому комп'ютері. Так як цей елемент переваг створюється в вузлі конфігурації комп'ютера, перемикач за замовчуванням встановлюється на другий опції. У текстовому полі «Назва з'єднання» (Connection Name) має бути визначено майбутнє найменування створюваних підключень. Якщо ви хочете, щоб підключення створювалося з тим же найменуванням, що і присутні підключення на комп'ютері, на якому створюється поточний елемент переваги, ви можете скористатися кнопкою огляду. Наприклад, як можна помітити на наступній ілюстрації, в даному прикладі підключення будуть називатися «Biopharmaceutic VPN». Наступне текстове поле може називатися по-різному. Спочатку це поле «IP-адреса» (IP Address), в яке потрібно ввести IP-адресу віддаленої машини. Якщо встановити прапорець «Використовувати DNS-ім'я» (Use DNS name), текстове поле перейменується в «DNS-ім'я» (DNS name), і вам потрібно буде в цьому текстовому полі ввести повне доменне ім'я для того ж комп'ютера. Також слід звернути увагу на те, що якщо ви вже повноцінно встигли мігрувати на IPv6, то тепер, починаючи з серверної операційної системи Windows Server 2012 R2, ви можете використовувати IPv6-адреси, встановивши для цього текстового поля відповідний прапорець. Текстове поле «Спочатку набрати номер для цього підключення» (Dial another connection first) дозволяє вам визначити більш пріоритетне підключення при спробі підключення до VPN. Нарешті, якщо ви хочете, щоб у вас в області повідомлення відображався анімований значок підключення до VPN-мережі, встановіть прапорець на опції «При підключенні вивести значок в області повідомлень» (Show icon in notification area when connected). Дана вкладка відображена на наступній ілюстрації:
Мал. 10. Вкладка підключення віртуальної приватної мережі створюваного елемента переваг
- Вкладка «Параметри» (Options) дозволяє вам вказати параметри для набору номера і для повторного дзвінка при підключенні до віртуальної приватної мережі. В принципі, такі параметри ідентичні з тими ж параметрами, які ви можете визначити в діалоговому вікні властивостей існуючого підключення до VPN, що може бути вкрай корисно, в першу чергу, при зміні параметрів існуючого підключення. У групі «Параметри набору номера» (Dialing options) ви можете виявити прапорці, що відповідають за відображення процесу підключення, вимога введення імені, пароля, за вказівку сертифікатів, а також за додавання домену входу користувача в систему в відповідне поле підключення до віртуальної приватної мережі. В принципі, ці опції практично так само і називаються, так що їх назви ви побачите на відповідній ілюстрації. Нижче, в групі «Параметри повторного дзвінка» (Redialing options), ви можете визначити число повторів набору номера після розриву підключення (наприклад, як в цьому прикладі, 35), з певними інтервалами між спробами перепідключення (1 секунда, наприклад), час простою операційної системи до роз'єднання підключення VPN, а також можете встановити прапорець, який відповідає за автоматичну спробу перепідключення при розриві з'єднання. Дана вкладка зображена на наступній ілюстрації:
Мал. 11. Параметри вкладки «Параметри» діалогового вікна властивостей елемента переваги
- Вкладка «Безпека» (Security) призначена для вибору використовуваних при підключенні до VPN-сервера параметрів безпеки, що відповідають за шифрування даних, протоколи перевірки автентичності, безпечні паролі, а також за використання при VPN-підключення імені користувача і пароля, які вводить користувач при виконанні входу в систему. Так як в даному прикладі не використовується ні шифрування, ні особливі протоколи перевірки автентичності, що застосовуються для реалізації безпечного входу, буде встановлений перемикач з групи «Додаткові (вибіркові параметри)» (Advanced (custom settings)) на опцію «Протокол розширеної перевірки автентичності (EAP ) »(Extensible Authentication Protocol (EAP)), а із списку« Шифрування даних »(Data encryption) буде обрана опція« За вибором », як показано нижче. Так як інші протоколи перевірки автентичності будуть розглядатися в інших статтях, пов'язаних безпосередньо з VPN і NAP, дана вкладка діалогового вікна властивостей елемента переваги властивостей VPN буде більш детально розглянута саме в відповідних статтях.
Мал. 12. Параметри вкладки «Безпека» в діалоговому вікні властивостей елемента переваги
- Вкладка «Мережа» (Network), в свою чергу, дозволяє вам вибрати тип VPN-підключення, яке використовується в вашому випадку. Як я встиг мигцем згадати в попередньому розділі даної статті, Майкрософт працює з декількома типами підключення захищених VPN, а якщо подивитися на можливості елемента переваг, то тут ви можете вибрати тунельний протокол за типом «точка-точка» PPTP, що дозволяє комп'ютеру встановлювати захищене з'єднання з сервером за рахунок створення спеціального тунелю в стандартній, незахищеною мережі, а також протокол тунелювання другого рівня, застосовуваний для підтримки віртуальних приватних мереж, який використовується спільно з IPSec. Зрозуміло, це L2TP. Так, на цій вкладці ви і можете вибрати або один з цих двох типів VPN, або автоматичний вибір відповідного типу. Наприклад, в даному випадку буде обраний тип «Автоматично» (Automatically):
Мал. 13. Параметри вкладки «Мережа» в діалоговому вікні властивостей елемента переваги
- Після того як всі необхідні параметри будуть визначені, слід зберегти зміни в створюваному елементі переваги, при необхідності додати націлювання на рівень елемента, а потім закрити редактор управління груповими політиками.
Слід перевірити, чи вийшло визначити всі необхідні параметри засобами згенерованого тільки що елемента переваги. Отже, потрібно на цільовому комп'ютері оновити параметри групової політики і перейти до вікна мережевих підключень. Як видно на наступній ілюстрації, підключення було успішно створено, і при спробі підключення від кінцевого користувача не вимагається виконання будь-яких дій. Інакше кажучи, все працює прозоро і так, як потрібно.
Мал. 14. Результати поновлення параметрів групової політики
Висновок
<
p align = "justify"> У цій статті було розглянуто черговий елемент переваги групової політики, що відповідає за створення підключень до серверів віддаленого доступу. Більш того, тут я розповів про те, яким чином встановлюється серверна роль віддаленого доступу і налаштовується саме VPN-підключення. По суті, цю статтю можна вважати вичерпним матеріалом, де описано кожен можливий параметр і сценарій використання VPN-підключень, але, завдяки їй, ви дізналися про базові методи настройки підключення, а інші сценарії, пов'язані з NPS та NAP, обов'язково будуть розглянуті в інших статтях, пов'язаних з віддалених з'єднань.