Розгортання інфраструктури сертифіката
Для отримання інформації про розгортання інфраструктури сертифіката зверніться до «Додатку Д. Розгортання інфраструктури сертифіката».
Установка сертифікатів комп'ютера
Для установки сертифіката комп'ютера необхідна наявність ЦС для видачі сертифікатів. Після настройки видає ЦС Ви зможете встановити сертифікат комп'ютера наступними способами:
Запустивши сценарій клієнта CAPICOM, який запитує сертифікат комп'ютера.
При використанні даного методу на всіх комп'ютерах, яким необхідний сертифікат комп'ютера, повинен бути виконаний сценарій CAPICOM, запитувач сертифікат комп'ютера у видає ЦС. CAPICOM є клієнтом COM, що підтримує автоматизацію для виконання функцій шифрування (CryptoAPI) за допомогою елементів управління Microsoft ActiveX і COM-об'єктів. CAPICOM може бути використаний за допомогою Visual Basic, Visual Basic Scripting Edition і C ++. Для отримання додаткової інформації про CAPICOM зверніться на веб-сайт CAPICOM.
Установка сертифікатів користувача
Для установки сертифіката користувача необхідна наявність ЦС для видачі сертифікатів. Після настройки видає ЦС Ви можете встановити сертифікат користувача наступними способами:
Виконавши сценарій клієнта CAPICOM, який запитує сертифікат користувача.
При використанні даного методу всі користувачі, яким необхідний сертифікат користувача, повинні виконати сценарій CAPICOM, запитувач сертифікат користувача у видає ЦС.
Розгортання Інтернет-інфраструктури
Розгортання Інтернет-інфраструктури для VPN-підключень віддаленого доступу складається з наступних етапів:
Підключення VPN-серверів до мережі периметра або до Інтернету.
Параметри облікових записів користувачів і груп Active Directory.
Налаштування основного IAS-сервера на контролері домену.
Налаштування резервного IAS-сервера на додатковому контролері домену.
Параметри облікових записів користувачів і груп Active Directory
Для налаштування облікових записів користувачів і груп Active Directory зробіть наступне:
Переконайтеся, що всі користувачі, яким необхідно створювати підключення віддаленого доступу, мають відповідні облікові записи. Це стосується співробітників, підрядників, постачальників і ділових партнерів.
Для управління віддаленим доступом на рівні користувачів встановіть дозвіл на віддалений доступ у властивостях облікового запису користувача в Дозволити доступ (Allow access) або Заборонити доступ (Deny access). Для управління віддаленим доступом на рівні груп встановіть дозвіл на віддалений доступ у властивостях облікового запису користувача в Управління на основі політики віддаленого доступу (Control access through Remote Access Policy).
Налаштування основного IAS-сервера на контролері домену
Для настройки основного IAS-сервера на контролері домену, виконайте такі дії:
Створіть політики віддаленого доступу, що відображають Ваші сценарії використання віддаленого доступу. Наприклад, щоб налаштувати політику віддаленого доступу, що вимагає VPN-підключень на основі протоколу PPTP для членів групи Employees з використанням протоколу EAP-TLS і 128-бітове шифрування для перевірки автентичності, створіть політику віддаленого доступу з такими параметрами:
Ім'я політики: VPN-підключення
Для атрибута NAS-Port-Type вибрано значення Virtual (VPN)
Для атрибута Tunnel-Type вибрано значення Point-to-Point Tunneling Protocol
Для атрибута Windows-Groups додана група Employees (відповідно до розглянутим прикладом)
Дозвіл на віддалений доступ: Надати право віддаленого доступу
Налаштування профілю, вкладка Перевірка справжності (Authentication)
Налаштування профілю, вкладка Шифрування (Encryption):
Встановіть прапорець Саме стійке (Strongest) і потім зніміть всі інші прапорці.
Налаштування резервного IAS-сервера на додатковому контролері домену
Для настройки резервного IAS-сервера на додатковому контролері домену, виконайте наступні дії:
Розгортання VPN-серверів
Розгортання VPN-серверів для VPN-підключень віддаленого доступу складається з наступних етапів: