У заключному розділі шостий частини цієї статті я показав вам, як налаштувати непрацююче VPN з'єднання з клієнтом, що працює під управлінням операційної системи Windows Vista. У цій статті я завершу цю статтю і покажу вам, як закінчити процес налаштування клієнта.
Почнемо процес налаштування з запуску Панелі управління (Control Panel), і натискання на посилання Network and Internet (мережа та інтернет), а потім на посилання Network and Sharing Center (мережа і центр доступу). Коли відкриється вікно Network and Sharing Center, натисніть на посилання Manage Network Connections (управління мережевими підключеннями). Ви повинні побачити вікно, в якому відображені всі ваші мережеві підключення, а також VPN підключення, яке ви створили в останній частині цієї статті.
Клацніть правою кнопкою миші на VPN з'єднання і виберіть команду Properties (властивості) з випадаючого контекстного меню. Після цього з'явиться вікно властивостей з'єднання. Перейдіть на закладку Security (безпека) і виберіть радіо-кнопку Advanced (Custom Settings), як показано на малюнку A.
Малюнок A. Ви повинні налаштувати ваше з'єднання, щоб використовувати додаткові настройки безпеки Advanced (Custom Settings)
Тепер натисніть на кнопку Settings (налаштування), щоб з'явилося діалогове вікно Advanced Security Settings (додаткові налаштування безпеки). Оскільки ми вже набудували VPN з'єднання на використання відкритого протоколу для аутентифікації (Extensible Authentication Protocol), то ви повинні вибрати радіо-кнопку Use Extensible Authentication Protocol (EAP). Після цього стане активним випадає, розташований під цією радіо-кнопкою. Виберіть пункт Protected EAP (PEAP - захищений EAP) (Encryption Enabled-шифрування включено), як показано на малюнку B.
Малюнок B. Ви повинні налаштувати безпеку вашого VPN з'єднання і використовувати Protection EAP (PEAP) (Encryption Enabled)
Тепер клацніть на кнопку Properties (властивості), щоб відкрити діалогове вікно Protected EAP Properties (властивості захищеного EAP). Поставте галочку в поле Validate Server Certificate (перевіряти сертифікат сервера) і приберіть галочку з поля Connect to these Servers (підключатися до серверів). Ви також повинні вибрати пункт Secured Password (EAP-MSCHAP V2) зі списку Select Authentication Method (вибір методу аутентифікації). Нарешті, приберіть галочку з поля Enable Fast Reconnect (включити швидке перепідключення) і поставте галочку в поле Enable Quarantine Checks (включити карантинні перевірки), як показано на малюнку C.
Малюнок C. Сторінка властивостей Protected EAP Properties дозволяє вам налаштувати параметри для відкритого протоколу для аутентифікації (Extensible Authentication Protocol)
Після цього натисніть на кнопку OK в кожному відкритому діалоговому вікні, щоб їх закрити. Тепер ви налаштували з'єднання VPN connection, щоб воно задовольняло необхідним вимогам. Але ще не все зроблено. Для того, щоб Network Access Protection (захист доступу до мережі) почала працювати, необхідно зробити так, щоб служба Network Access Protection service стартувала автоматично. За замовчуванням, в операційній системі Windows Vista всі служби налаштовані на ручний запуск, тому ви повинні змінити спосіб запуску цієї служби.
Для цього відкрийте панель управління (Control Panel) і натисніть на посилання System and Maintenance (система і підтримка), а потім на посилання Administrative Tools (адміністрування). Тепер перед вами з'явиться список різних адміністративних інструментів. Двічі клацніть на іконці Services (служби), щоб відкрити Service Control Manager (менеджер управління службами).
Знайдіть у списку служб службу Network Access Protection Agent service. Двічі клацніть на цій службі, а потім змініть тип запуску (startup type) на Automatic (автоматично) і натисніть на кнопку OK. Пам'ятайте, що зміна типу запуску служби на Automatic (автоматично) не запуститься цю службу. Це лише гарантує, що ця служба буде автоматично запущена після перезавантаження комп'ютера. Однак, ви можете запустити служби без перезавантаження, натиснувши правою кнопкою миші на службі і вибравши команду Start (пуск) з контекстного меню. Якщо у вас виникли проблеми з запуском служби, то перевірте, щоб була запущена служба Remote Procedure Call (RPC віддалений виклик процедур) і служби DCOM Server Process Launcher. Агент служби захисту доступу до мережі Network Access Protection Agent service не може працювати без цих допоміжних служб.
Перевірка захисту доступу до мережі (Network Access Protection)
Чи вірите ви чи ні, але ми, нарешті, закінчили настройку захисту доступу до мережі (Network Access Protection). Тепер прийшов час виконати деякі прості тести, щоб переконатися, що все працює так, як ми хочемо.
Як ви пам'ятаєте, ми змінили налаштування нашого сервера мережевих політик (network policy server) таким чином, щоб комп'ютери, не задовольняють політиці, автоматично виправлялися. Ми також налаштували наш сервер мережевих політик (network policy server) таким чином, щоб єдиним критерієм був включений брандмауер Windows firewall. Таким чином, ви повинні відключити брандмауер (firewall) на клієнтській машині, а потім з'єднатися з сервером мережевий політики (network policy server), який використовує створене вами VPN з'єднання. Після цього, брандмауер на клієнтській машині повинен бути автоматично включений.
Давайте почнемо з відключення брандмауера на клієнтському комп'ютері. Для цього відкрийте панель управління (Control Panel) і натисніть на посилання Security (безпека). Тепер виберіть посилання Windows Firewall (брандмауер), щоб відкрити діалогове вікно Windows Firewall. Припускаючи, що брандмауер Windows Firewall вже запущений, натисніть на лінк Turn Windows Firewall On or Off. Тепер ви побачите діалогове вікно, яке дозволяє вам ввімкнути або вимкнути брандмауер. Виберіть радіо-кнопку Off (not recommended), як зображено на малюнку D, і натисніть на кнопку OK. Тепер брандмауер Windows firewall повинен бути відключений.
Малюнок D. Виберіть радіо-кнопку Off (Not Recommended) і натисніть на кнопку OK, щоб відключити брандмауер Windows firewall
Тепер, коли ви відключили брандмауер Windows Firewall, потрібно встановити VPN з'єднання з вашим сервером RRAS / NAP server. Для цього відкрийте Control Panel (Панель керування), а потім натисніть на лінк Network and Internet (мережа та інтернет), а потім на посилання Network and Sharing Center (мережа і центр доступу). Коли відкриється вікно Network and Sharing Center, натисніть на посилання Manage Network Connections (управління мережевими підключеннями). Тепер ви повинні побачити список локальний з'єднань вашої робочої станції і існуючі VPN підключення.
Двічі клацніть на VPN з'єднання, яке ви створили, а потім натисніть на кнопку Connect (підключитися). Вам необхідно буде ввести ім'я користувача, пароль і назву домену. Натисніть на кнопку OK після введення цієї інформації, і після цього буде встановлено з'єднання з вашим сервером VPN / NAP server.
Через невеликий проміжок часу після встановлення з'єднань, ви повинні побачити наступне повідомлення на екрані:
This Computer Does Not Meet Corporate Network Requirements. Network Access is Limited (Цей комп'ютер на задовольняє корпоративним вимогам до мережі. Доступ до мережі обмежений).
Ви можете побачити це повідомлення на малюнку E.
Малюнок E. Якщо брандмауер (firewall) відключений, то ви повинні побачити це повідомлення після встановлення VPN з'єднання
Відразу ж після цього, ви побачите, що іконка брандмауера Windows Firewall змінитися і буде вказувати на те, що брандмауер включений. Як тільки це відбудеться, ви побачите ще одне повідомлення:
This Computer Meets Corporate Network Requirements. You Have Full Network Access (Це комп'ютер задовольняє корпоративним вимогам до мережі. У вас повний доступ до мережі).
Ви можете побачити це повідомлення на малюнку F.
Малюнок F. Коли сервер NAP Server підключить брандмауер Windows Firewall, з'явиться це повідомлення
Повідомлення, зображене на малюнку F також з'явиться, коли ваш комп'ютер, повністю задовольняє корпоративним вимогам, з'єднатися з сервером NAP, використовуючи VPN з'єднання.
висновок
У цій статті я показав вам, як налаштувати сервер NAP server, який дозволить гарантувати, що клієнти VPN задовольняють вашим вимоги до безпеки мережі. Однак, не забувайте, що до моменту написання цієї статті операційна система Longhorn Server все ще перебувала в режимі тестування. І тому, деякі етапи цього процесу можуть зазнати невеликі зміни після виходу остаточної версії Longhorn, але я не очікую якихось великих змін. Ви також повинні пам'ятати, що захист доступу до мережі Network Access Protection здатний перевіряти лише робочі станції, що працюють під управлінням операційної системи Windows Vista. Я чув чутки, що операційна система Windows XP може бути трохи перероблено для підтримки NAP.