Что такое подключение vpn с ad
Перейти к содержимому

Что такое подключение vpn с ad

  • автор:

Удаленный доступ к корпоративной сети с помощью VPN Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Ярмак Дмитрий Анатольевич

В статье рассматривается пример удаленного доступа на сеть предприятия. Есть 4 основных типа реализации такой системы, рассматривать все мы не будем, рассмотрим только одну. Данной системы у нас в университете нет, поэтому хотел реализовать данный пример для дальнейшего обучения студентов. В данной статье будет использовано оборудование производства Cisco, так как это самое доступное и часто используемое оборудование. Также будут использованы сервера и пример конфигурации для работоспособности данной схемы. Какие мы рассмотрим далее.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Ярмак Дмитрий Анатольевич

Оценка эффективности тушения пожаров в резервуарных парках с помощью стационарных робототехнических комплексов

Сокращение времени тушения пожаров в резервуарных парках с помощью стационарных робототехнических средств

Реализация ультразвукового расходомера воды на основе время-импульсного метода

Устройство врезки в продуктопровод для подачи воздушно-механической огнетушащей пены в горящий резервуар

Исследование статистики применения пожарной техники для тушения пожаров
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Удаленный доступ к корпоративной сети с помощью VPN»

5. Кремлевский П.П. Расходомеры и счетчики количества. Л.: Машиностроение, 1989. 701 с.

6. Using PICOSTRAIN® with piezo-resistive sensors, Data Sheet, AN030_e V0.0, Acam-Messelectronic GmbH, 2011.

УДАЛЕННЫЙ ДОСТУП К КОРПОРАТИВНОЙ СЕТИ С ПОМОЩЬЮ VPN Ярмак Д.А. Email: Yarmak1134@scientifictext.ru

Ярмак Дмитрий Анатольевич — студент магистратуры, физико-технический факультет, Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Кубанский государственный университет, г. Краснодар

Аннотация: в статье рассматривается пример удаленного доступа на сеть предприятия. Есть 4 основных типа реализации такой системы, рассматривать все мы не будем, рассмотрим только одну. Данной системы у нас в университете нет, поэтому хотел реализовать данный пример для дальнейшего обучения студентов. В данной статье будет использовано оборудование производства Cisco, так как это самое доступное и часто используемое оборудование. Также будут использованы сервера и пример конфигурации для работоспособности данной схемы. Какие — мы рассмотрим далее. Ключевые слова: VPN, сервер с TMG, активном каталоге, сервер терминалов.

REMOTE ACCESS TO THE CORPORATE NETWORK VIA VPN

Yarmak Dmitriy Anatolevich — graduate student, PHYSICAL-TECHNICAL FACULTY, FEDERAL STATE BUDGETARY EDUCATIONAL INSTITUTION OF HIGHER PROFESSIONAL EDUCATION KUBAN STATE UNIVERSITY, KRASNODAR

Abstract: the article is an example of remote access to the enterprise network. There are 4 main types of implementation of such a system, we will not consider all of them, we will consider only one. We do not have this system at our university, so I wanted to implement this example, for further training of students. In this article, Cisco equipment will be used, as this is the most affordable and frequently used equipment. In the same way, the server and the configuration example for the operation of this circuit will be used. Which we consider below.

Keywords: VPN, Server, TMG, Active directory, terminal Server.

Начнем с того, что собственно такое VPN — это технология, обеспечивающая защищенную (закрытую от внешнего доступа) связь логической сети поверх частной или публичной при наличии высокоскоростного интернета [2].

Я хочу рассказать об одном из решений, которое действительно работает, на собственном опыте. Отличие описано в 3 пунктах:

1. На стороне пользователя необходимо минимальное вмешательство в настройки — необходим стандартный функционал ОС Windows;

2. Удаленный пользователь работает на сервере терминалов, что обеспечивает его необходимой средой для выполнения своих должностных обязанностей;

3. Легкое управление доступом к ресурсам предприятия. Начнем с того, что нам необходимо:

Сервер с TMG и Сервер терминалов. На предприятии эти два сервера — виртуальная машина, подключенная на hyper-v.

Еще нам необходимы 2 не занятые сети. Предоставление доступа к ресурсам разделим на три этапа:

1. Доступ pptp в изолированную сеть vpn-клиентов.

2. Доступ по rdp на сервер терминалов.

3. Прямой доступ с сервера терминалов к ресурсам компании по любой маске.

4. Доступ с помощью pptp в сеть vpn-клиентов.

Рис. 1. Общая схема подключения и описание этапов

Доступ с помощью pptp в сеть vpn-клиентов. Для того чтобы воплотить это, необходим pptp сервер, будем пользоваться cisco, ничего не мешает прописать pptp с пограничного маршрутизатора\ firewall на TMG\ISA, которой будем пользоваться для доступа клиентов к ресурсам и поднять pptp сервер на ней. Ниже представлена часть конфигурации, которая отвечает за pptp.

username ias_usei password 7 0101570109065500755S1B0C4F044011530F5D2F7A743B62643 useiname ias_guest passwaid 7 120B5416401S5F3B7E2C713D653075005F025A

ip virtual-reassembly max-fragments £4 max-reassemblles 25 5

access-list 170 permit udp 172.22.4.0 0.0.0.255 host 172.22.1.201 eq domain access-list 170 permit tcp 172.22.4.0 0.0.0.255 host 172.22.3.1 eq 33S9

access-list 170 permit tcp 172.22.4.0 0.0.0.255 host 172.22.3.1 eq ww

Важнейший момент — организация сети vpn-клиентов с возможностью соединения из нее только на сервер терминалов на порт rdp.

Доступ по rdp на сервер терминалов.

Клиент подключен к pptp [3] серверу и имеет доступ на сервер терминалов, благодаря удаленному рабочему столу реализуется подключение к серверу терминалов, учетные данные при подключении — доменная учетная запись пользователя. Тут необходимо немного пояснить: В активном каталоге создаются группы согласно маске, предположим у нас четыре группы ресурсов, поделенные по темам. Тема 1, Тема 2, Тема 3 и общие. Следовательно в активном каталоге делаем 4 группы безопасности, так же сделаем Тема 1, Тема 2, Тема 3 участниками группы «общие». А группе «общие» сделаем доступ на сервер терминалов. Для подключения удаленного доступа каждому пользователю AD мы будем добавлять его в нужную группу.

Прямой доступ с сервера терминалов к ресурсам компании по любой маске доступа. Для воплощения этого в жизнь потребуется настроить TMGMSA, так как данная статья не носит в себе смысла инструкции, не будем детально рассматривать настройки firewall, выделим важные моменты:

— В TMG внешней сетью является наша локальная сеть [1].

— Внутренней является сеть с сервером терминалов.

— На сервере терминалов находится TMGMSA клиент (других вариантов нет), это необходимо, чтобы мы могли присваивать нужные правила пользователям.

— Следовательно, все правила в firewall присваиваются к созданным нами группам Тема 1, Тема 2, Тема 3 и общие.

Список литературы / References

1. МельниковД.А. Системы и сети передачи данных: учебник. А. Мельников. М., 2013.

2. ОлейникА.И., Сизов А.В. ИТ-Инфраструктура, 2001 г.

3. Кочукова Е.В., Павлова О.В., Рафтопуло Ю.Б. Система экспертных оценок в информационном обеспечении учёных // Информационное обеспечение науки. Новые технологии: Сб. науч. тр. М.: Научный Мир, 2009. С. 190-199.

СОКРАЩЕНИЕ ВРЕМЕНИ ТУШЕНИЯ ПОЖАРОВ В РЕЗЕРВУАРНЫХ ПАРКАХ С ПОМОЩЬЮ СТАЦИОНАРНЫХ РОБОТОТЕХНИЧЕСКИХ

Керимов У.А. Email: Kerimov1134@scientifictext.ru

Керимов Умар Абакарович — магистрант, направление: пожарная безопасность, кафедра пожарной тактики и основ аварийно-спасательных и других неотложных работ, Ивановская пожарно-спасательная академия Государственной противопожарной службы Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий, г. Иваново

Аннотация: в статье рассматриваются вопросы совершенствования системы тушения пожаров в резервуарах с хранением нефтепродуктов с помощью робототехнических комплексов. Произведен количественный анализ тушения пожаров с применением существующих способов тушения пожаров и с комплексным использованием стационарных роботизированных лафетных стволов и средств обнаружения пожара, для охлаждения горящего и соседнего резервуаров в автономном режиме, на основе этого анализа выявлено, что применение робототехнических средств позволит не только сократить время тушения пожара, но и сократить количество личного состава оперативных подразделений, привлекаемого на проведение мероприятий по охлаждению резервуаров. Ключевые слова: тушение пожара, аварийно-спасательные работы, нефтепродукты, резервуарные парки, пожарно-техническое вооружение.

REDUCTION IN TIME EXTINGUISH FIRES IN TANK FARMS USING CONVENTIONAL ROBOTIC TOOLS Kerimov U.A.

Kerimov Umar Abakarovich — Master’s degree, DIRECTION: FIRE SAFETY, FIRE DEPARTMENT AND TACTICS FUNDAMENTALS OF RESCUE AND OTHER EMERGENCY OPERATIONS IVANOVO FIRE AND RESCUE ACADEMY OF THE STATE FIRE SERVICE OF THE MINISTRY OF THE RUSSIAN FEDERATION FOR CIVIL DEFENSE, EMERGENCIES AND ELIMINATION OF CONSEQUENCES OF NATURAL DISASTERS, IVANOVO

Abstract: the article deals with the improvement of the fire extinguishing system in the storage tanks of petroleum products with the help of robotic systems. Produced by quantitative analysis of extinguishing fires using existing methods of fire extinguishing and complex use of stationary robotic fire monitors and fire detection means for cooling, burning and neighboring tanks offline, on the basis of this analysis revealed that the use of robotic tools will not only reduce the time fire suppression, but also reduce the number ofpersonnel operating units attracted to the event by cooling tanks.

Keywords: firefighting, emergency rescue, petroleum tank farms, fire-technical equipment.

Тушение пожаров в резервуарных парках связано со значительными трудностями, кроме того, пожары наносят колоссальный материальный ущерб и сопровождаются человече скими жертвами. Как правило, при возникновении пожара в резервуарном парке, силы и средства объектовых оперативных подразделений вводятся на экстренную эвакуацию персонала организации из зон воздействия опасных факторов пожара. Установленное законодательством Российской Федерации время прибытия пожарно — спасательных подразделений варьируется от 10 до 20 минут, в зависимости от территориального расположения. Эти два фактора создают условия для динамичного развития пожара в резервуарном парке [1]. По прибытию к месту вызова оперативных подразделений, первоочередными мероприятиями являются сосредоточение сил и средств на охлаждение резервуаров, горящего и соседних [10].

Руководство. Развертывание AlwaysOn VPN — настройка инфраструктуры для AlwaysOn VPN

В этом руководстве описано, как развернуть VPN-подключения AlwaysOn для клиентских компьютеров Windows, присоединенных к удаленному домену. Вы создадите пример инфраструктуры, которая показывает, как реализовать процесс VPN-подключения AlwaysOn. Процесс состоит из следующих шагов:

  1. VPN-клиент Windows использует общедоступный DNS-сервер для выполнения запроса разрешения имен для IP-адреса VPN-шлюза.
  2. VPN-клиент использует IP-адрес, возвращенный DNS, для отправки запроса на подключение к VPN-шлюзу.
  3. VPN-сервер также настроен как клиент службы пользователей удаленной проверки подлинности (RADIUS); КЛИЕНТ VPN RADIUS отправляет запрос подключения на сервер NPS для обработки запросов на подключение.
  4. Сервер NPS обрабатывает запрос на подключение, включая авторизацию и проверку подлинности, и определяет, следует ли разрешить или запретить запрос на подключение.
  5. Сервер NPS перенаправит ответ Access-Accept или Access-Deny на VPN-сервер.
  6. Подключение инициируется или завершается на основе ответа, полученного VPN-сервером от сервера NPS.

Необходимые компоненты

Чтобы выполнить действия, описанные в этом руководстве, выполните следующие действия.

  • Вам потребуется доступ к четырем физическим компьютерам или виртуальным машинам (виртуальным машинам).
  • Убедитесь, что учетная запись пользователя на всех компьютерах является членом Администратор istrator или эквивалентна.

Использование удаленного доступа в Microsoft Azure не поддерживается, включая VPN удаленного доступа и DirectAccess. Дополнительные сведения см. в статье о поддержке программного обеспечения сервера Майкрософт для виртуальных машин Microsoft Azure.

Создание контроллера домена

  1. Установите Windows Server на компьютере, на котором будет запускаться контроллер домена.
  2. Установите службы домен Active Directory (AD DS). Подробные сведения о том, как установить AD DS, см. в разделе «Установка служб домен Active Directory».
  3. Повышение уровня windows Server до контроллера домена. В этом руководстве вы создадите новый лес и домен в этом новом лесу. Подробные сведения об установке контроллера домена см. в разделе «Установка AD DS».
  4. Установите и настройте центр сертификации (ЦС) на контроллере домена. Подробные сведения об установке ЦС см. в разделе «Установка центра сертификации».

Создание групповой политики Active Directory

В этом разделе описано, как создать групповую политику на контроллере домена, чтобы члены домена автоматически запрашивали сертификаты пользователей и компьютеров. Эта конфигурация позволяет VPN-пользователям запрашивать и получать сертификаты пользователей, которые автоматически проходят проверку подлинности VPN-подключений. Эта политика также позволяет серверу NPS автоматически запрашивать сертификаты проверки подлинности сервера.

  1. На контроллере домена откройте раздел «Управление групповой политикой».
  2. В области слева щелкните правой кнопкой мыши домен (например, corp.contoso.com). Выберите » Создать объект групповой политики» в этом домене и свяжите его здесь.
  3. В диалоговом окне «Создать объект групповой политики» введите «Имя» введите политику автоматической регистрации. Нажмите ОК.
  4. В левой области щелкните правой кнопкой мыши политику автоматической регистрации. Выберите «Изменить», чтобы открыть редактор управления групповыми политиками.
  5. В редакторе управления групповыми политиками выполните следующие действия, чтобы настроить автоматическую регистрацию сертификата компьютера:
    1. В левой области перейдите к политикам>конфигурации>компьютера Windows Параметры Security Параметры>>Public Key Policies.
    2. В области сведений щелкните правой кнопкой мыши клиент служб сертификатов — автоматическая регистрация. Выберите Свойства.
    3. В диалоговом окне «Свойства автоматической регистрации» в клиенте служб сертификатов выберите «Включена модель конфигурации».
    4. Выберите параметры Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов.
    5. Нажмите ОК.
    1. В левой области перейдите к политикам>конфигурации>пользователей Windows Параметры Security Параметры>>Public Key Policies.
    2. В области сведений щелкните правой кнопкой мыши клиент служб сертификатов — автоматическая регистрация и выберите свойства.
    3. В диалоговом окне «Свойства автоматической регистрации» в модели конфигурации выберите «Включена» в клиенте служб сертификатов.
    4. Выберите параметры Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов.
    5. Нажмите ОК.
    6. Закройте редактор управления групповыми политиками.

    Создание сервера NPS

    1. Установите Windows Server на компьютере, на котором будет запускаться сервер NPS.
    2. На сервере NPS установите роль политики сети и службы Access (NPS). Подробные сведения об установке NSP см. в разделе «Установка сервера политики сети».
    3. Зарегистрируйте сервер NPS в Active Directory. Сведения о регистрации сервера NPS в Active Directory см. в разделе «Регистрация NPS» в домен Active Directory.
    4. Убедитесь, что брандмауэры разрешают трафик, необходимый для правильной работы подключений VPN и RADIUS. Дополнительные сведения см. в разделе «Настройка брандмауэров для трафика RADIUS».
    5. Создайте группу серверов NPS:
      1. На контроллере домена откройте Пользователи и компьютеры Active Directory.
      2. В домене щелкните правой кнопкой мыши компьютеры. Выберите «Создать«, а затем выберите «Группа«.
      3. В имени группы введите NPS-серверы, а затем нажмите кнопку «ОК«.
      4. Щелкните правой кнопкой мыши NPS-серверы и выберите пункт «Свойства«.
      5. На вкладке «Члены» диалогового окна «Свойства серверов NPS» нажмите кнопку «Добавить«.
      6. Выберите «Типы объектов», нажмите кнопку «Компьютеры» проверка, а затем нажмите кнопку «ОК«.
      7. Введите имена объектов, которые нужно выбрать, введите имя компьютера сервера NPS. Нажмите ОК.
      8. Закройте окно «Пользователи и компьютеры Active Directory».

      Создание VPN-сервера

      1. Установите Windows Server на компьютере, на котором будет запущен VPN-сервер. Убедитесь, что на компьютере установлены два физических сетевых адаптера: один для подключения к Интернету, а один — для подключения к сети, в которой находится контроллер домена.
      2. Определите, какой сетевой адаптер подключается к Интернету и какой сетевой адаптер подключается к домену. Настройте сетевой адаптер, подключенный к Интернету, с общедоступным IP-адресом, а адаптер, который сталкивается с интрасетью, может использовать IP-адрес из локальной сети.
      3. Для сетевого адаптера, подключающегося к домену, задайте предпочтительный IP-адрес DNS для IP-адреса контроллера домена.
      4. Присоединение VPN-сервера к домену. Сведения о присоединении сервера к домену см. в статье «Присоединение сервера к домену».
      5. Откройте правила брандмауэра, чтобы разрешить UDP-портам 500 и 4500 входящий трафик во внешний IP-адрес, примененный к общедоступному интерфейсу на VPN-сервере.
      6. В сетевом адаптере, подключаемом к домену, включите следующие порты: UDP1812, UDP1813, UDP1645 и UDP1646.
      7. Создайте группу VPN-серверов:
        1. На контроллере домена откройте Пользователи и компьютеры Active Directory.
        2. В домене щелкните правой кнопкой мыши компьютеры. Выберите «Создать«, а затем выберите «Группа«.
        3. В имени группы введите VPN-серверы, а затем нажмите кнопку «ОК«.
        4. Щелкните правой кнопкой мыши VPN-серверы и выберите «Свойства«.
        5. На вкладке «Члены» диалогового окна «Свойства VPN-серверов» нажмите кнопку «Добавить«.
        6. Выберите «Типы объектов», нажмите кнопку «Компьютеры» проверка, а затем нажмите кнопку «ОК«.
        7. Введите имена объектов, которые нужно выбрать, введите имя компьютера VPN-сервера. Нажмите ОК.
        8. Закройте окно «Пользователи и компьютеры Active Directory».
        1. Выберите поставщик проверки подлинности и выберите RADIUS Authentication.
        2. Выберите «Настроить», чтобы открыть диалоговое окно проверки подлинности RADIUS.
        3. Нажмите кнопку «Добавить», чтобы открыть диалоговое окно «Добавить сервер RADIUS».
          1. В поле «Имя сервера» введите полное доменное имя сервера NPS. В этом руководстве сервер NPS является сервером контроллера домена. Например, если имя NetBIOS сервера NPS и сервера контроллера домена — dc1, а доменное имя — corp.contoso.com, введите dc1.corp.contoso.com.
          2. В общем секрете выберите «Изменить», чтобы открыть диалоговое окно «Изменить секрет«.
          3. В поле «Новый секрет» введите текстовую строку.
          4. В поле «Подтверждение нового секрета» введите ту же текстовую строку, а затем нажмите кнопку «ОК«.
          5. Сохраните этот секрет. Это потребуется при добавлении этого VPN-сервера в качестве клиента RADIUS далее в этом руководстве.

          Создание VPN-клиента Windows

          1. Установите Windows 10 или более поздней версии на компьютере, который будет vpn-клиентом.
          2. Присоединение VPN-клиента к домену. Сведения о присоединении компьютера к домену см. в статье «Присоединение компьютера к домену».

          Создание пользователя и группы VPN

          1. Создайте VPN-пользователя, выполнив следующие действия.
            1. На контроллере домена откройте Пользователи и компьютеры Active Directory.
            2. В домене щелкните правой кнопкой мыши «Пользователи«. Выберите Создать. В поле «Имя входа пользователя» введите любое имя входа. Выберите Далее.
            3. Выберите пароль для пользователя.
            4. При следующем входе пользователь должен изменить пароль. установлен флажок Срок действия пароля не ограничен.
            5. Выберите Готово. Оставайтесь открытыми Пользователи и компьютеры Active Directory.
            1. В домене щелкните правой кнопкой мыши «Пользователи«. Выберите «Создать«, а затем выберите «Группа«.
            2. В имени группы введите VPN-пользователей, а затем нажмите кнопку «ОК«.
            3. Щелкните правой кнопкой мыши VPN-пользователей и выберите «Свойства«.
            4. На вкладке «Члены» диалогового окна «Свойства пользователей VPN» нажмите кнопку «Добавить«.
            5. В диалоговом окне «Выбор пользователей» добавьте созданного VPN-пользователя и нажмите кнопку «ОК«.

            Настройка VPN-сервера в качестве клиента RADIUS

            1. На сервере NPS откройте правила брандмауэра, чтобы разрешить входящий трафик портов UDP 1812, 1813, 1645 и 1646.
            2. В консоли NPS дважды щелкните radius-клиенты и серверы.
            3. Щелкните правой кнопкой мыши «Клиенты RADIUS» и выберите «Создать «, чтобы открыть диалоговое окно «Новый клиент RADIUS».
            4. Убедитесь, что выбрано поле «Включить этот клиент RADIUS» проверка.
            5. В понятном имени введите отображаемое имя VPN-сервера.
            6. В поле Address (IP или DNS) введите IP-адрес или полное доменное имя VPN-сервера. Если ввести полное доменное имя, выберите «Проверить , правильно ли имя» и сопоставляется с допустимым IP-адресом.
            7. В общем секрете:
              1. Убедитесь, что выбрано руководство .
              2. Введите секрет, созданный в разделе «Создание VPN-сервера».
              3. Для подтверждения общего секрета повторно введите общий секрет.

              Настройка NPS-сервера в качестве сервера RADIUS

              В этом руководстве сервер NPS устанавливается на контроллере домена с ролью ЦС; и нам не нужно регистрировать отдельный сертификат сервера NPS. Однако в среде, в которой сервер NPS установлен на отдельном сервере, необходимо зарегистрировать сертификат сервера NPS, прежде чем можно будет выполнить эти действия.

              1. В консоли NPS выберите NPS(Local).
              2. В стандартной конфигурации убедитесь, что выбран сервер RADIUS для Подключение подключения или VPN.
              3. Выберите «Настроить VPN» или «Телефонный подключение», чтобы открыть мастер настройки VPN или телефонного подключения.
              4. Выберите Подключение виртуальных частных сетей (VPN) и нажмите кнопку «Далее«.
              5. В поле «Указать телефонный или VPN-сервер» в клиентах RADIUS выберите имя VPN-сервера.
              6. Выберите Далее.
              7. В разделе «Настройка методов проверки подлинности» выполните следующие действия.
                1. Снимите флажок Microsoft Encrypted Authentication версии 2 (MS-CHAPv2).
                2. Выберите расширяемый протокол проверки подлинности.
                3. Для типа выберите Microsoft: Protected EAP (PEAP) (PEAP). Затем нажмите кнопку «Настроить», чтобы открыть диалоговое окно «Свойства защищенного EAP».
                4. Выберите «Удалить «, чтобы удалить защищенный пароль (EAP-MSCHAP версии 2) EAP.
                5. Выберите Добавить. Откроется диалоговое окно «Добавить EAP».
                6. Нажмите кнопку «Смарт-карта» или другой сертификат, а затем нажмите кнопку «ОК«.
                7. Нажмите кнопку «ОК», чтобы закрыть свойства защищенного EAP.
                1. Выберите Добавить. Откроется диалоговое окно выбора пользователей, компьютеров, учетных записей служб или групп.
                2. Введите VPN-пользователей, а затем нажмите кнопку «ОК«.
                3. Выберите Далее.

                Следующие шаги

                Теперь вы создали образец инфраструктуры, которую вы готовы настроить центр сертификации.

                • Руководство по развертыванию AlwaysOn VPN: настройка шаблонов центра сертификации
                • Устранение неполадок постоянно подключенного VPN-профиля

                Запуск VPN соединения до входа в Windows

                date

                10.11.2023

                user

                itpro

                directory

                PowerShell, Windows 10, Windows 11, Windows Server 2019

                comments

                комментариев 18

                По умолчанию встроенный VPN клиент Windows позволяет подключиться к VPN серверу только после входу пользователя в систему. Это создает проблемы для компьютеров/ноутбуков, которые состоят в домене Active Directory и подключаются к доменной сети через VPN. Конечно, пользователь может войти на свой компьютер под кэшированными учетными данными домена (cached credentials) и после этого запустить VPN. Но у такого пользователей постоянно будут появляться проблемы с доступом к общим сетевым папкам и другим доменным ресурсам (особенно после смены пароля в домене).

                �� Онлайн-курс по устройству компьютерных сетей
                На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

                Windows позволяет установить подключение с VPN серверу до входа пользователя в систему. В этом случае пользователь после установления VPN подключения выполнит полноценную аутентификацию на контроллере домена AD.

                В предыдущих версиях Windows это можно было реализовать с помощью опции “Allow other people to use this connection” в настройках VPN подключения. Но в современных версиях Windows 10 и 11 эта опция отсутствует.

                VPN подключение - опция Allow other people to use this connection

                В новых версиях Windows можно создать общее VPN подключения из командной строки PowerShell. Например, для L2TP VPN подключения с общим ключом используется команда:

                Add-VpnConnection -Name WorkVPN_L2TP -ServerAddress x.x.x.x -TunnelType L2TP -L2tpPsk «str0ngSharedKey2» -EncryptionLevel Required -AuthenticationMethod MSChapv2 -RememberCredential -AllUserConnection $true –PassThru

                Особенности использования L2TP/IPsec VPN подключений в Windows.

                В данном случае опция -AllUserConnection $true позволяет создать VPN подключение, которое доступно всем пользователям Windows, в том числе на экране входа.

                Чтобы создать другие типы VPN подключений (PPTP, SSTP, IKEv2), обратитесь к примерам использования командлета Add-VpnConnection в статье “Управление VPN подключениями в Windows из PowerShell”.

                В дальнейшем вы можете изменить настройки общего VPN подключения из графического интерфейса панели управления (ncpa.cpl).

                Если VPN подключение уже создано в вашем профиле, вы можете сделать его общим, скопировав файл rasphone.pbk из каталога %userprofile%\AppData\Roaming\Microsoft\Network\Connections\PBK в C:\ProgramData\Microsoft\Network\Connections\PBK .

                rasphone.pbk скопировать VPN подключение для всех пользователей

                Теперь на экране входа в Windows нужно нажать значок сетевого подключения в правом нижнем углу.

                VPN подключение на экране входа в Windows

                Введите имя и пароль пользователя для VPN подключения.

                Имя и пароль пользователя для L2TP подключения до входа в Windows

                После этого ваш компьютер должен установить подключение, и вы можете войти в Windows под своей доменной учетной записью.

                Подключиться к VPN до входа пользователя в Windows

                Если VPN подключение прервется, пользователь может самостоятельно переподключиться из панели управления (или настроить автоматическое переподключение к VPN).

                �� Онлайн-курс по устройству компьютерных сетей
                На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

                Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

                Читайте далее в разделе PowerShell Windows 10 Windows 11 Windows Server 2019

                page

                page

                page

                Ищем источник блокировки учетной записи пользователя в Active Directory

                Настройка проброса сетевых портов (порт форвардинг) в Windows

                Установка и настройка сервера обновлений WSUS на Windows Server

                Быстрая настройка FTP-сервера на Windows Server и Windows 10/11

                Условный доступ для VPN-подключения с помощью идентификатора Microsoft Entra

                В этом руководстве вы узнаете, как предоставить пользователям VPN доступ к ресурсам с помощью условного доступа Microsoft Entra. С помощью условного доступа Microsoft Entra для подключения к виртуальной частной сети (VPN) можно защитить VPN-подключения. Условный доступ — это подсистема оценки на основе политик, которая позволяет создавать правила доступа для любого подключенного приложения Microsoft Entra.

                Необходимые компоненты

                Прежде чем приступить к настройке условного доступа для VPN, необходимо выполнить следующие предварительные требования:

                • Условный доступ в идентификаторе Microsoft Entra
                • VPN и условный доступ
                • Вы завершили руководство. Развертывание инфраструктуры AlwaysOn VPN для AlwaysOn VPN или уже настроено vpn-инфраструктуру AlwaysOn в вашей среде.
                • Клиентский компьютер Windows уже настроен с VPN-подключением с помощью Intune. Если вы не знаете, как настроить и развернуть профиль VPN в Intune, см. статью «Развертывание профиля VPN AlwaysOn в Windows 10 или более новых клиентах с помощью Microsoft Intune».

                Настройка игнорирования проверки списка отзыва сертификатов (CRL) в EAP-TLS

                Клиент EAP-TLS не может подключиться, если сервер NPS не завершает отзыв проверка цепочки сертификатов (включая корневой сертификат). Облачные сертификаты, выданные пользователю идентификатором Microsoft Entra ID, не имеют списка отзыва сертификатов, так как они являются краткосрочными сертификатами с сроком существования в течение одного часа. Необходимо настроить EAP на NPS, чтобы игнорировать отсутствие списка отзыва сертификатов. Так как метод проверки подлинности — EAP-TLS, это значение реестра необходимо только в EAP\13. Если используются другие методы проверки подлинности EAP, то в них также следует добавить значение реестра.

                В этом разделе вы добавите IgnoreNoRevocationCheck и NoRevocationCheck . По умолчанию IgnoreNoRevocationCheck и NoRevocationCheck задано значение 0 (отключено).

                Дополнительные сведения о параметрах реестра CRL NPS см. в разделе «Настройка списка отзыва сертификатов сервера политики сети» проверка параметров реестра.

                Если сервер маршрутизации Windows и удаленный доступ (RRAS) использует NPS для прокси-вызовов RADIUS ко второму NPS, необходимо установить IgnoreNoRevocationCheck=1 на обоих серверах.

                Сбой в реализации этого изменения реестра приведет к сбою подключений IKEv2 с использованием облачных сертификатов с PEAP, но подключения IKEv2 с использованием сертификатов проверки подлинности клиента, выданных из локального ЦС, будут продолжать работать.

                1. Откройте regedit.exe на сервере NPS.
                2. Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
                3. Выберите «Изменить > новое» и выберите значение DWORD (32-разрядная версия) и введите IgnoreNoRevocationCheck.
                4. Дважды щелкните IgnoreNoRevocationCheck и задайте для данных «Значение» значение 1.
                5. Выберите «Изменить > новое» и выберите значение DWORD (32-разрядная версия) и введите NoRevocationCheck.
                6. Дважды щелкните NoRevocationCheck и задайте для данных «Значение» значение 1.
                7. Нажмите кнопку «ОК» и перезагрузите сервер. Перезапуск служб RRAS и NPS недостаточно.
                Путь реестра Расширение EAP
                HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 Протокол EAP-TLS
                HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25 PEAP

                Создание корневых сертификатов для проверки подлинности VPN с помощью идентификатора Microsoft Entra

                В этом разделе описана настройка корневых сертификатов условного доступа для проверки подлинности VPN с помощью идентификатора Microsoft Entra, который автоматически создает облачное приложение под названием VPN-сервер в клиенте. Чтобы настроить условный доступ для VPN-подключения, выполните следующие действия:

                1. Создайте VPN-сертификат на портале Azure.
                2. Скачайте этот VPN-сертификат.
                3. Разверните сертификат на VPN-серверах и серверах NPS.

                После создания VPN-сертификата в портал Azure идентификатор Microsoft Entra будет сразу же использовать его для выдачи кратковременных сертификатов VPN-клиенту. Важно немедленно развернуть VPN-сертификат на VPN-сервере, чтобы избежать проблем с проверкой учетных данных VPN-клиента.

                Когда пользователь пытается подключиться к VPN, VPN-клиент вызывает диспетчер веб-учетных записей (WAM) на клиенте Windows 10. WAM вызывает облачное приложение VPN-сервера. Когда условия и элементы управления в политике условного доступа удовлетворены, идентификатор Microsoft Entra выдает маркер в виде кратковременного (1-часового) сертификата WAM. WAM помещает сертификат в хранилище сертификатов пользователя и передает управление VPN-клиенту.

                Затем VPN-клиент отправляет сертификат, выданный идентификатором Microsoft Entra, в VPN для проверки учетных данных.

                Идентификатор Microsoft Entra использует последний созданный сертификат в колонке VPN-подключения в качестве издателя. Конечные сертификаты VPN-подключения к VPN-подключению Microsoft Entra теперь поддерживают надежные сопоставления сертификатов, требование проверки подлинности на основе сертификатов, введенное КБ 5014754. Конечные сертификаты VPN-подключения теперь включают расширение SID (1.3.6.1.4.1.311.25.2), которое содержит закодированную версию идентификатора безопасности пользователя, полученную из атрибута onPremisesSecurityIdentifier.

                Чтобы создать корневые сертификаты, выполните приведенные действия.

                1. Войдите на портал Azure как глобальный администратор.
                2. В меню слева выберите идентификатор Microsoft Entra.
                3. На странице идентификатора записи Майкрософт в разделе «Управление» щелкните «Безопасность«.
                4. На странице «Безопасность» в разделе «Защита» щелкните условный доступ.
                5. Условный доступ | Страница «Политики» в разделе «Управление» щелкните vpn-Подключение ivity.
                6. На странице VPN connectivity (VPN-подключение) щелкните Новый сертификат.
                7. На новой странице выполните следующие действия: a. В течение срока выбора выберите 1, 2 или 3 года. b. Нажмите кнопку создания.

                Настройка политики условного доступа

                В этом разделе описана настройка политики условного доступа для VPN-подключения. При создании первого корневого сертификата в колонке «VPN-подключение» он автоматически создает облачное приложение VPN-сервера в клиенте.

                Создайте политику условного доступа, назначенную группе пользователей VPN, и область облачное приложение на VPN-сервер:

                • Пользователи: VPN-пользователи
                • Облачное приложение: VPN-сервер
                • Предоставление (управление доступом): «Требовать многофакторную проверку подлинности». При желании можно использовать другие элементы управления.

                Процедура. Этот шаг охватывает создание самой базовой политики условного доступа. При желании можно использовать дополнительные условия и элементы управления.

                1. На странице условного доступа в верхней части панели инструментов нажмите кнопку «Добавить«. Select add on conditional access page
                2. На новой странице в поле «Имя» введите имя политики. Например, введите политику VPN. Add name for policy on conditional access page
                3. В разделе «Назначение» выберите «Пользователи и группы«. Select users and groups
                4. На странице Пользователи и группы выполните следующие действия: Select test usera. Выберите «Выбрать пользователей и группы«. b. Выберите Выбрать. c. На странице «Выбор» выберите группу пользователей VPN и нажмите кнопку «Выбрать«. d. На странице «Пользователи и группы» нажмите кнопку «Готово«.
                5. На странице Создать выполните следующие действия: Select cloud appsa. В разделе «Назначения» выберите «Облачные приложения«. b. На странице «Облачные приложения» выберите » Выбрать приложения«. d. Выберите VPN-сервер.
                6. На новой странице, чтобы открыть страницу «Предоставление» в разделе «Элементы управления«, выберите «Предоставить«. Select grant
                7. На странице Предоставить выполните следующие действия: Select require multi-factor authenticationa. Выберите Требовать многофакторную проверку подлинности. b. Выберите Выбрать.
                8. На странице «Создать» в разделе «Включить политику» нажмите кнопку «Включить«. Enable policy
                9. На странице «Создать» нажмите кнопку «Создать«.

                Развертывание корневых сертификатов условного доступа в локальной службе AD

                В этом разделе описано, как развернуть доверенный корневой сертификат для проверки подлинности VPN в локальной службе AD.

                  На странице подключения VPN выберите «Скачать сертификат«.

                Примечание. Параметр скачивания сертификата base64 доступен для некоторых конфигураций, требующих сертификатов base64 для развертывания.

                Примечание. В средах, где VPN-сервер не присоединен к домену Active Directory, необходимо добавить в хранилище доверенных корневых центров сертификации доверенные корневые центры сертификации вручную.

                Команда Description
                certutil -dspublish -f VpnCert.cer RootCA Создает два контейнера корневого ЦС MICROSOFT VPN 1-го поколения под контейнерами ЦС CN=AIA и CN=Сертификации и публикует каждый корневой сертификат в качестве значения в атрибуте cACertificate обоих контейнеров корневого ЦС Microsoft VPN 1-го поколения.
                certutil -dspublish -f VpnCert.cer NTAuthCA Создает один контейнер CN=NTAuthCertificates под контейнерами CN=AIA и CN=Certificate Authority и публикует каждый корневой сертификат в качестве значения в атрибуте cACertificate контейнера CN=NTAuthCertificates.
                gpupdate /force Ускоряет добавление корневых сертификатов на сервер Windows и клиентские компьютеры.
                1. Войдите на сервер с правами Enterprise Администратор с установленными средствами управления центром сертификации.

                По умолчанию устанавливаются серверы центра сертификации. Их можно установить на других серверах-членах в рамках средств Администратор istration Role в диспетчер сервера.

                1. На VPN-сервере в меню введите pkiview.msc, чтобы открыть диалоговое окно Enterprise PKI.
                2. В меню введите pkiview.msc, чтобы открыть диалоговое окно «Корпоративный PKI».
                3. Щелкните правой кнопкой мыши PKI Enterprise и выберите пункт «Управление контейнерами AD».
                4. Убедитесь, что каждый сертификат корневого ЦС MICROSOFT VPN 1-го поколения присутствует в:
                  • NTAuthCertificates
                  • Контейнер AIA
                  • Контейнер центров сертификации

                Создание профилей VPNv2 на основе OMA-DM на устройствах Windows 10

                В этом разделе описано, как создать профили VPNv2 на основе OMA с помощью Intune для развертывания политики конфигурации VPN-устройств.

                1. В портал Azure выберите «Профили конфигурации>устройств Intune» и выберите профиль VPN, созданный в разделе «Настройка VPN-клиента» с помощью Intune >.
                2. В редакторе политик выберите свойства>Параметры>Base VPN. Расширьте существующий xml EAP, чтобы включить фильтр, который дает VPN-клиенту логику, которую он должен получить сертификат условного доступа Microsoft Entra из хранилища сертификатов пользователя, а не оставить его, чтобы позволить ему использовать первый обнаруженный сертификат.

                Примечание. Без этого VPN-клиент может получить сертификат пользователя, выданный локальным центром сертификации, что приведет к сбою VPN-подключения.

                Intune portal

                Найдите раздел, заканчивающийся , и вставьте следующую строку между этими двумя значениями, чтобы предоставить VPN-клиенту логику, чтобы выбрать сертификат условного доступа Microsoft Entra:

                AAD Conditional Access1.3.6.1.4.1.311.87AAD Conditional Access 
              8. Выберите колонку условного доступа и переключите условный доступ для этого VPN-подключения включено . Включение этого параметра изменяет true в XML-файле профиля VPNv2. Conditional Access for Always On VPN - Properties
              9. Нажмите ОК.
              10. Выберите «Назначения», в разделе «Включить» выберите «Выбрать группы», чтобы включить.
              11. Выберите правильную группу, которая получает эту политику, и нажмите кнопку «Сохранить«. CAP for Auto VPN Users - Assignments

              Принудительное синхронизация политик MDM на клиенте

              Если профиль VPN не отображается на клиентском устройстве, в разделе Параметры\Network и Internet\VPN можно принудительно синхронизировать политику MDM.

              1. Войдите на клиентский компьютер, присоединенный к домену, в качестве члена группы VPN-пользователей .
              2. В меню введите учетную запись и нажмите клавишу ВВОД.
              3. В области навигации слева выберите «Доступ к рабочей или учебной среде«.
              4. В разделе «Доступ к рабочим или учебным заведениям» выберите Подключение в MDM, а затем выберите «Сведения«.
              5. Выберите «Синхронизация» и убедитесь, что профиль VPN отображается в разделе Параметры\Network и Internet\VPN.

              Следующие шаги

              Вы настроите профиль VPN для использования условного доступа Microsoft Entra.

              • Дополнительные сведения о том, как работает условный доступ с виртуальными сетями, см. в статье VPN и условный доступ.
              • Дополнительные сведения о расширенных функциях VPN см. в статье «Дополнительные функции VPN».
              • Общие сведения о VPNv2 CSP см. в статье VPNv2 CSP. В этом разделе приведен обзор VPNv2 CSP.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *